2021年已经结束了,COVID-19大流行持续蔓延,现在是时候调查一下今年每个月发布的内容中吸引了超过100万的访问者的帖子,同时对一些热门趋势进行简单的总结(通过查看在Threatpost网站上阅读量最多的帖子)。
2020年一整年的内容几乎都是围绕在家工作的安全、以COVID-19为主题的社会工程和游戏(所有这些都是由大流行第一年的社会变化推动的),但2021年的重点发生了明显的转变。数据不安全、代码存储库恶意软件、主要的0day漏洞和新的勒索软件策略占据了最常阅读的列表——这或许表明,随着我们工作方式的“新常态”变得更加稳定,人们更加关注网络犯罪创新。
跳转:
数据泄露
主要0day漏洞
代码库恶意软件
4. 勒索软件创新
5. 游戏攻击
6. 奖金!十二生肖杀手密码破解
1.2021年阅读量最多的帖子:Experian泄露了用户的信用评分
显然有一些重大新闻在这一年占据了头条新闻:Log4Shell;Colonial Pipeline;Kaseya;ProxyLogon/ProxyShell;SolarWinds。但从文章流量来看,读者最感兴趣的是Experian的数据泄露。
今年4月,罗彻斯特理工学院大二学生比尔·德米尔卡皮(Bill Demirkapi)发现,几乎每个美国人的信用评分都被Experian信贷局使用的API工具披露出来。他说,该工具在贷方网站上保持开放状态,甚至没有基本的安全保护。
该工具称为Experian Connect API,允许贷方自动执行FICO评分查询。Demirkapi说他能够构建一个命令行工具,让他可以自动查找几乎任何人的任何信用评分,即使在出生日期字段中输入全零之后。他将其命名为“Bill's Cool credit score Lookup Utility”。
除了原始信用评分外,该大学生表示,他能够使用API连接从Experian获取“风险因素”,这些因素解释了一个人信用记录中的潜在缺陷,例如“消费者金融公司账户过多”。
就Experian而言,它解决了该问题,并驳斥了安全社区对该问题可能是系统性的担忧。
Experian并不是唯一一个因数据不安全而引起读者关注的公司:LinkedIn数据在暗网上出售是今年另一个非常热门的故事。
LinkedIn数据抓取
在4月份的一次数据抓取事件中,5亿LinkedIn会员受到影响后,该事件在6月份再次发生。一个自称为“上帝用户TomLiner”的黑客在热门网络论坛RaidForums上发布了一个包含7亿条LinkedIn待售记录的帖子,其中包含100万条记录样本作为“证据”。
Privacy Sharks检查了免费样本,发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据的来源是什么——但它们可能是从公开资料中抓取的。据LinkedIn称,没有发生任何网络泄露事件。
研究人员表示,即便如此,安全后果也很严重,研究人员表示,因为缓存可以暴力破解帐户密码、电子邮件和电话诈骗、网络钓鱼、身份盗窃,最后,数据可能成为社会工程的金矿。当然,攻击者可以简单地访问公共资料以锁定某人,但是在一个地方拥有如此多的记录将会让使用有关用户的工作和性别的信息以及其他详细信息自动进行针对性攻击成为可能。
2.主要0day漏洞
这是一个非常吸引读者的话题,2021年有一些有趣的事情,让我们从Log4Shell开始。
Log4Shell基本上威胁到所有现存的Web服务器
Log4Shell漏洞是无处不在的Java日志库Apache Log4j中的一个容易被利用的漏洞,它可能允许未经身份验证的远程代码执行(RCE)和完全的服务器接管——并且它仍然在野外被积极利用。
该漏洞(CVE-2021-44228)首次出现在迎合世界上最受欢迎的游戏《我的世界》的用户的网站上。Apache匆忙发布了一个补丁,但在一两天内,由于威胁行为者试图利用新漏洞,攻击变得猖獗起来。从那时开始,读者的兴趣就开始集中于额外漏洞利用媒介、第二漏洞、各种真实世界攻击以及威胁面(日志库基本上无处不在)等相关的新闻上。
NSO Group的Apple零点击漏洞
9月,研究人员发现了一个名为ForcedEntry be的零点击0day漏洞,影响了苹果的所有设备:iPhone、iPad、Mac和Apple Watch。事实证明,它被NSO Group用来安装臭名昭著的Pegasus间谍软件。
Apple推出了紧急修复程序,但Citizen Lab已经观察到,该漏洞的目标是iMessage。据网络安全监管机构称,该漏洞被用于利用通过NSO公司开发的Pegasus间谍软件非法监视巴林激进分子。
ForcedEntry漏洞相当引人注目,因为它成功部署在最新的iOS版本-14.4和14.6上,突破了苹果新的BlastDoor沙盒功能,以在巴林激进分子的iPhone上安装间谍软件。
Palo Alto安全设备中的巨大0day漏洞
另一个引起广大读者兴趣的0day项目是,有消息称来自Randori的研究人员开发了一种有效漏洞利用,通过关键漏洞CVE 2021-3064在Palo Alto Networks的GlobalProtect防火墙上获得远程代码执行(RCE)。
Randori研究人员表示,如果攻击者成功利用该漏洞,他们可以在目标系统上获得shell,访问敏感配置数据,提取凭据等。之后,攻击者可以跨越目标组织,他们说:“一旦攻击者控制了防火墙,他们就可以看到内部网络,并可以继续横向移动。”
Palo Alto Networks在披露当天修补了该漏洞。
谷歌内存0day漏洞
今年3月,谷歌紧急修复了Chrome浏览器中的一个漏洞,该漏洞正受到主动攻击。如果被利用,该漏洞可能允许对受影响的系统进行远程代码执行和拒绝服务攻击。这则报道受到了读者的广泛关注。
该漏洞是一个释放后使用漏洞,特别存在于Blink中,Blink是作为Chromium项目的一部分开发的Chrome浏览器引擎。浏览器引擎将HTML文档和其他网页资源转换为最终用户可以查看的视觉表现形式。
根据IBM X-Force对该漏洞的报告,“通过引诱受害者访问特制网站,远程攻击者可以利用此漏洞执行任意代码或在系统上造成拒绝服务条件。”
戴尔内核权限漏洞
今年早些时候,在自2009年以来出货的所有戴尔PC、平板电脑和笔记本电脑中都发现了五个隐藏了12年的严重安全漏洞。据SentinelLabs称,它们允许绕过安全产品、执行代码并转移到其他部分,用于横向移动的网络。
研究人员表示,这些漏洞潜伏在戴尔的固件更新驱动程序中,可能会影响数亿台戴尔台式机、笔记本电脑和平板电脑。
自2009年以来一直在使用的固件更新驱动程序版本2.3(dbutil_2_3.sys)模块中存在多个本地权限提升(LPE)漏洞。驱动程序组件通过戴尔BIOS实用程序处理戴尔固件更新,并且它预先安装在大多数运行Windows的戴尔机器上。
3.代码库和软件供应链
软件供应链以开源代码存储库为基础,开发人员可以上传软件包,供开发人员构建各种应用程序、服务和其他项目。它们包括GitHub,以及更专业的存储库,如用于Java的Node.js包管理器(npm)代码存储库;用于Ruby编程语言的RubyGems;用于Python的Python包索引(PyPI)等等。
这些包管理器代表了一种供应链威胁,因为任何人都可以向他们上传代码,而代码又可能在不知不觉中用作各种应用程序的构建块。任何被恶意代码破坏的应用程序都可以攻击程序的用户。
为了启动,一个恶意包可以被加入多个不同的项目中——用加密矿工、信息窃取者等感染它们,并大大提高了修复过程的难度。
网络犯罪分子蜂拥而至这个攻击面,这引起了读者极大的关注。
例如,12月,在npm中发现了17个的恶意包,它们都是针对Discord构建的,Discord是一个拥有3.5亿用户的虚拟会议平台,支持通过语音通话、视频通话、短信和文件进行通信。这些恶意宝主要用来偷取Discord token从而进行账户接管。
同样在本月,托管在PyPI代码存储库中的三个恶意软件包被发现,它们总共有超过12,000次的下载量,并且可能潜入各种应用程序的安装中。这些软件包包括一个用于在受害者机器上建立后门的木马程序和两个信息窃取程序。
研究人员上周还发现,Maven Central生态系统中有17,000个未打补丁的Log4j Java包,这使得Log4Shell漏洞利用带来了巨大的供应链风险。根据谷歌的安全团队,整个生态系统可能需要数年才能完全修复。
使用恶意软件包作为网络攻击媒介也是今年早些时候的一个常见主题。以下是其他近期发现的概述:
- 一月份,在三个npm包中发现了其他窃取Discord的恶意软件。其一是“an0n-chat-lib”,它没有合法的“孪生”包,但另外两个则利用品牌劫持和域名抢注来试图使开发人员认为他们是合法的。“discord-fix”恶意组件的名称与合法的“discord-XP”类似,后者是一个用于Discord机器人的XP框架。“sonatype”包同时使用了纯粹的品牌劫持。
- 今年3月,研究人员在npm公共代码存储库中发现了针对Amazon、Lyft、Slack和Zillow(以及其他公司)内部应用程序的恶意包,所有这些软件包都包含了敏感信息。
- 3月的那次攻击是基于安全研究员Alex Birsan的研究,他发现可以将恶意代码注入到开发人员项目中安装依赖项的常用工具中。此类项目通常使用来自GitHub等站点的公共存储库。然后,恶意代码可以使用这些依赖项通过目标公司的内部应用程序和系统传播恶意软件。通过利用公共的开源开发人员工具,这种新颖的供应链攻击(在道德上)被用来破坏超过35家技术公司的系统,包括Microsoft、Apple、PayPal、Shopify、Netflix、Tesla和Uber。
- 6月,一群加密矿工被发现已渗透到了PyPI。研究人员发现六个不同的恶意软件包隐藏在那里,总共有5,000次下载。
- 7月,在npm中发现了一个使用Google Chrome网络浏览器中合法密码恢复工具的凭据窃取包。研究人员在Windows系统上抓到了从Chrome窃取凭据的恶意软件。密码窃取器是多功能的:它还可以侦听来自攻击者的命令和控制(C2)服务器的传入命令,可以上传文件、从受害者的屏幕和相机进行记录以及执行shell命令。
4.有趣的勒索软件变体
勒索软件流行在2021年日趋成熟,用于锁定文件的实际恶意软件的进展不仅仅是简单地在目标文件夹上打一个扩展名。读者开始加大对恶意软件分析报道的关注,这些报道涵盖了勒索软件种类的进展,包括以下三大发现。
HelloKitty的Linux变体以虚拟机为目标
今年6月,研究人员首次公开发现了一种Linux加密器——被HelloKitty勒索软件团伙使用。
HelloKitty是2月份对视频游戏开发商CD Projekt Red发起的攻击的幕后黑手,它开发了许多Linux ELF-64版本的勒索软件,用于攻击在其上运行的VMware ESXi服务器和虚拟机(VM)。
VMware ESXi,以前称为ESX,是一种裸机管理程序,可以轻松安装到服务器上,并将它们划分为多个VM。虽然这使得多个VM可以轻松共享相同的硬盘驱动器存储,但它使系统成为攻击的“一站式购物点”,因为攻击者可以加密用于存储来自多个虚拟机的数据的集中式虚拟硬盘。。
New Net Technologies(NNT)的Dirk Schrader告诉Threatpost,除了ESXi服务器作为目标的吸引力之外,“将Linux作为许多虚拟化平台的起源添加到[恶意软件]功能中”还将带来一个副作用,即能够在任何Linux机器上启用攻击。
MosesStaff:没有可用的解密
去年11月,一个名为MosesStaff的政治组织使得整个以色列瘫痪了,它没有任何财务目标,也无意交出解密密钥。它的目标是使用勒索软件进行具有政治动机的破坏性攻击,希望造成尽可能大的破坏。
MosesStaff加密网络并窃取信息,无意索要赎金。该组织还保持活跃的社交媒体影响力,通过其渠道发布挑衅性信息和视频,并不隐瞒其意图。
Exchange服务器成为Epsilon Red的攻击目标
6月份,有人看到攻击者在一组PowerShell脚本背后部署了新的勒索软件,这些脚本是为利用未修补的Exchange服务器中的漏洞而开发的。
Epsilon Red勒索软件是在对一家美国酒店业公司发动攻击后被发现的,它指的是X战警漫威漫画中一个不起眼的负面角色,一名配备了四个机械触手的俄罗斯裔超级士兵。
研究人员表示,通过调查攻击事件,发现企业的Microsoft Exchange服务器是攻击者进入企业网络的初始入口,但尚不清楚这是由ProxyLogon漏洞利用还是其他漏洞启用的,但根本原因似乎是未修补的服务器,攻击者使用WMI将其他软件安装到他们可以从Exchange服务器访问的网络内的机器上,然后进行下一步的勒索攻击操作,这是一款新型的勒索病毒,使用go语言编写的,攻击者初期会使用powershell脚本加载勒索病毒payload。
5.游戏安全
连续第二年,游戏安全在2021年成为读者关注的焦点,这可能是因为全球COVID-19大流行使得游戏玩家越来越多,也让网络犯罪分子继续瞄准该领域。在卡巴斯基最近的一项调查中,近61%的人报告称遭受过诸如身份盗窃、诈骗或游戏内贵重物品被盗等不法行为。下面是一些较受欢迎的帖子的概述。
Steam用于托管恶意软件
今年六月,被命名为SteamHide的恶意软件出现,它在Steam上的个人资料图片中伪装自己。
根据G Data的研究,Steam平台仅用作托管恶意文件的工具:“下载、解包和执行加载程序获取的恶意有效负载等繁重工作由外部组件处理,该组件访问一个Steam profile上的恶意profile图片。这种外部有效载荷可以通过特制的电子邮件分发到受感染的网站。”
信息隐写技术显然不是什么新技术——但Steam profile被用作攻击者控制的托管站点——当我们发布这个故事时,读者的兴趣被极大的吸引起来。
Twitch源代码泄露
10月,一位匿名用户在4chan上发布了一个125GB种子文件的链接,其中包含Twitch的所有源代码、其成立之初的评论、用户支付信息等。
攻击者声称已经洗劫了实时游戏流媒体平台的所有内容;不久之后,Twitch就证实了这个漏洞。
威胁行为者称这次泄密是一种“在在线视频流媒体领域引发更多破坏和竞争”的手段。
Discord上的骗局
11月,一个骗局开始在Discord上四处传播,网络犯罪分子可以通过它获取Steam帐户信息,并试图窃取账户中任何有价值的东西。
以游戏玩家为目标的Discord骗局几乎无处不在。但研究人员发现了一种值得注意的新方法,它跨越了Discord和Stream游戏平台,骗子据称可以免费订阅Nitro(Discord附加组件,可实现自定义表情符号、个人资料徽章、更大的上传、服务器升级等等),以换取两个帐户的“链接”。
目标首先在Discord上收到带有虚假标价的恶意消息,上面写道“只需链接您的Steam帐户即可享受。”其中包含一个链接。恶意链接将用户带到带有“Get Nitro”按钮的虚假Discord页面。一旦受害者点击按钮,该网站似乎跳出一个Steam弹出广告,但研究人员解释说,该广告仍然是该恶意网站的一部分。
该策略旨在让用户认为他们来到了Steam平台,从而输入他们的登录信息——实际上,骗子已经准备好获取凭据。
索尼PlayStation3禁令
今年6月,据报道,索尼的一个文件夹被攻击,其中包含了所有PlayStation3游戏机的序列号,这使得用户被莫名其妙地禁止进入该平台。
据报道,索尼在网上留下了一个包含每个PS3游戏机ID的不安全文件夹,并于4月中旬被一位名为“The WizWiki”的西班牙YouTuber发现并报告。六月,PlayStation Network留言板上的玩家开始抱怨他们无法登录。
用户认为威胁行为者开始将窃取的PS3主机ID用于恶意目的,导致合法玩家被禁止。但索尼并未证实PS3 ID泄露与玩家被禁止登陆平台之间存在联系。
惊喜:黄道十二宫密码被破解!
这是2021年最受欢迎的10个Threatpost帖子之一——连环杀手Zodiac的340密码,该密码50年来一直未曾有人成功破解。2020年12月,美国的软件开发人员David Oranchak,澳大利亚的数学家Sam Blake和比利时的程序员Jarl Van Eycke终于成功解决了这一难题。
据称,这位黄道十二宫连环杀手在1960年代末和1970年代初在北加利福尼亚地区及其周边地区谋杀了至少5人,他声称自己手上有37条人命。这位仍未具名的凶手向当地报纸媒体发送了一系列四条编码信息吹嘘自己的罪行,其中还包含了一些神秘的图标,这为他赢得了“黄道十二宫”的绰号。
连环杀手发送的第一个密码很快就被破译了。但第二个,以340个字符命名的340 Cipher很弄清楚。澳大利亚数学家Sam Blake计算出有650,000种可能的方式来读取代码,而在比利时担任仓库操作员的Jarl Van Eycke编写了一个密码破解软件来解决解密问题。很快,他们独特的算法方法得到了回报。这条被FBI正式认可为正确的信息内容如下:
“我希望你在尝试抓住我的过程中得到很多乐趣。
打电话上节目宣称是十二宫杀手的那人,并不是我。
我不怕毒气室,因为它可以把我很快地送入天堂。
我现在有足够多的奴隶为我工作,而其他人到了天堂就一无所有了,所以他们害怕死亡。
我不害怕,因为我知道,在天堂里生活将是一件很轻松的事。”
虽然难以捉摸的连环杀手的名字仍然无从知晓,但这一突破代表了密码学和网络安全的基本构建块——访问控制和分段的胜利。
本文翻译自:https://threatpost.com/5-top-threatpost-stories-2021/177278/如若转载,请注明原文地址。