一����、前言年復(fù)一年�����,日復(fù)一日���,不僅威脅的總數(shù)在增加,威脅態(tài)勢(shì)也變得更加多樣化����,攻擊者也在不斷開發(fā)新的攻擊途徑并盡力在攻擊過程中掩蓋蹤跡���。
從Facebook數(shù)據(jù)泄露和萬豪酒店5億用戶開房信息掛在暗網(wǎng)銷售、“老當(dāng)益壯”的WannaCry繼續(xù)作惡并且傳播速度更快的Satan等勒索軟件大肆傳播�����,到花樣百出的APT攻擊行為迅速增長(zhǎng)�,2018年給我們敲響了另一記警鐘,即數(shù)字安全威脅可能來自意想不到的新途徑�。
縱觀去年的網(wǎng)絡(luò)安全整體態(tài)勢(shì),數(shù)據(jù)泄露事件最為觸目驚心�,全年的漏洞采集數(shù)量也達(dá)到歷年的高峰,勒索軟件也大有向挖礦的轉(zhuǎn)型之勢(shì)���。
二�����、數(shù)據(jù)泄露事件爆炸式上升數(shù)字化變革技術(shù)正在重塑組織機(jī)構(gòu)的經(jīng)營(yíng)方式�����,并將它們帶入一個(gè)數(shù)據(jù)驅(qū)動(dòng)的世界����,但是企業(yè)急于擁抱數(shù)字化新環(huán)境的做法也帶來了更多被攻擊的新風(fēng)險(xiǎn),需要企業(yè)采取數(shù)據(jù)安全控制措施來加以防范���。
經(jīng)Verizo調(diào)查�����,今年已經(jīng)發(fā)生了5.3萬多起安全事件��,其中2216起被確認(rèn)為數(shù)據(jù)泄漏事件���。
另外,在這5萬多起安全事件中�,有4.3萬起(81.1%)都是黑客通過竊取身份憑證來實(shí)現(xiàn)的。
這也證實(shí)了一個(gè)普遍的觀點(diǎn):盜用身份憑證仍然是黑客最常用�、也是最有效的攻擊和破壞手段。
根據(jù)Thales eSecurity的調(diào)查報(bào)告�,不斷增長(zhǎng)的數(shù)據(jù)威脅程度及其影響力清晰地體現(xiàn)在數(shù)據(jù)泄露和脆弱性的等級(jí)上:2016年,26%的的受訪者表示遭遇了數(shù)據(jù)泄露��,2017年的占比上升至36%�,而到2018年這一比例明顯上升至67%。
基于此��,44%的受訪者感到“非常”或“極其”容易遭受數(shù)據(jù)威脅���。
雖然技術(shù)在隨著時(shí)代而發(fā)展���,但安全策略卻并未與時(shí)俱進(jìn),這很大程度上是因?yàn)閷?shí)際支出與最有效的數(shù)據(jù)保護(hù)方法錯(cuò)配所致�。
77%的受訪者表示在預(yù)防數(shù)據(jù)泄露方面靜態(tài)數(shù)據(jù)安全解決方案最為有效,緊隨其后的是網(wǎng)絡(luò)安全(75%)和動(dòng)態(tài)數(shù)據(jù)(75%)解決方案���。
盡管如此���,57%的受訪者卻仍將大多數(shù)支出用于端點(diǎn)和移動(dòng)安全技術(shù)上,其次是分析與關(guān)聯(lián)工具(50%)��。
在數(shù)據(jù)保護(hù)方面����,認(rèn)知與現(xiàn)實(shí)之間的差距是顯而易見的,在IT安全的支出優(yōu)先事項(xiàng)中�,靜態(tài)數(shù)據(jù)安全解決方案的支出反倒墊底(40%)。
以下摘錄一些2018年發(fā)生的全球性數(shù)據(jù)泄露事件:
1. 年度數(shù)據(jù)泄露事件盤點(diǎn)
(1) Facebook數(shù)據(jù)泄露事件回顧:雖然Facebook數(shù)據(jù)泄露量不如后面的那些公司高����,但其次數(shù)和影響非常深遠(yuǎn)。
一家第三方公司通過一個(gè)應(yīng)用程序收集了5000萬Facebook用戶的個(gè)人信息�,由于5000萬的用戶數(shù)據(jù)接近Facebook美國(guó)活躍用戶總數(shù)的三分之一���,美國(guó)選民人數(shù)的四分之一,波及的范圍非常大���。
后來�,5000萬用戶數(shù)量上升至8700萬�。
今年9月,F(xiàn)acebook爆出���,因安全系統(tǒng)漏洞而遭受黑客攻擊�����,導(dǎo)致3000萬用戶信息泄露���。
其中,有1400萬人用戶的敏感信息被黑客獲取���。
這些敏感信息包括:姓名�����、聯(lián)系方式���、搜索記錄��、登陸位置等。
12月14日���,又再次爆出�,F(xiàn)acebook因軟件漏洞可能導(dǎo)致6800萬用戶的私人照片泄露����。
具體來說,在9月13日至9月25日期間����,其照片API中的漏洞使得約1500個(gè)App獲得了用戶私人照片得訪問權(quán)限。
一般來說獲得用戶授權(quán)的App只能訪問共享照片����,但這個(gè)漏洞導(dǎo)致用戶沒有公開的照片也照樣能被被讀取。
結(jié)果:Facebook CEO數(shù)據(jù)泄露道歉����,并多次出席聽證會(huì)。
一系列事件影響,F(xiàn)acebook股價(jià)已較年初跌了29.70%(12月25日)��。
而12月份的這次泄露���,歐洲隱私管制機(jī)構(gòu)愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)已著手調(diào)查�,F(xiàn)acebook或因此被罰款超過16億美元�����。
(2)涉嫌侵犯數(shù)百億條公民個(gè)人信息�����,上市公司數(shù)據(jù)堂被公安一鍋端事件回顧:據(jù)新華社新媒體2018年7月8日?qǐng)?bào)道��,大數(shù)據(jù)行業(yè)知名企業(yè)數(shù)據(jù)堂(831428.OC)在8個(gè)月時(shí)間內(nèi)�����,日均傳輸公民個(gè)人信息1.3億余條�,累計(jì)傳輸數(shù)據(jù)壓縮后約為4000GB左右,公民個(gè)人信息達(dá)數(shù)百億條�,數(shù)據(jù)量特別巨大。
結(jié)果:除了數(shù)據(jù)堂外���,山東警方共抓獲犯罪嫌疑人57名�����,打掉涉案公司11家�����。
(3)新三板掛牌公司涉竊取30億條個(gè)人信息�����,非法操控公眾賬號(hào)加粉或關(guān)注事件回顧:今年8月份���,澎湃新聞從紹興市越城區(qū)公安分局獲悉,該局日前偵破一起特大流量劫持案����,涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司,涉嫌非法竊取用戶個(gè)人信息30億條�����,涉及百度���、騰訊����、阿里、京東等全國(guó)96家互聯(lián)網(wǎng)公司產(chǎn)品����,目前警方已從該公司及其關(guān)聯(lián)公司抓獲6名犯罪嫌疑人。案件仍在進(jìn)一步偵辦中����。
結(jié)果:目前警方已從該公司及其關(guān)聯(lián)公司抓獲6名犯罪嫌疑人。
(4)圓通10億快遞信息泄露事件回顧:六月份���,暗網(wǎng)一位ID“f666666”的用戶開始兜售圓通10億條快遞數(shù)據(jù)���,該用戶表示售賣的數(shù)據(jù)為2014年下旬的數(shù)據(jù),數(shù)據(jù)信息包括寄(收)件人姓名��,電話�,地址等信息,10億條數(shù)據(jù)已經(jīng)經(jīng)過去重處理����,數(shù)據(jù)重復(fù)率低于20%�,數(shù)據(jù)被該用戶以1比特幣打包出售����。
結(jié)果:有網(wǎng)友驗(yàn)證了其中一部分?jǐn)?shù)據(jù),發(fā)現(xiàn)所購“單號(hào)”中�,姓名、電話�����、住址等信息均屬實(shí)�����。
(5)萬豪酒店5億用戶開房信息事件回顧:萬豪國(guó)際集團(tuán)11月30日發(fā)布公告稱�,旗下喜達(dá)屋酒店客房預(yù)訂數(shù)據(jù)庫遭黑客入侵�����,最多約5億名客人的信息可能被泄露���。
萬豪酒店在隨后的調(diào)查中發(fā)現(xiàn)��,有第三方對(duì)喜達(dá)屋的網(wǎng)絡(luò)進(jìn)行未經(jīng)授權(quán)的訪問���。
目前����,未經(jīng)授權(quán)的第三方已復(fù)制并加密了某些信息�,且采取措施試圖將該信息移出。
萬豪披露�,已知的是,大約3.27億客人的個(gè)人姓名��、通信地址��、電話號(hào)碼���、電子郵箱���、護(hù)照號(hào)碼、喜達(dá)屋SPG俱樂部賬戶信息��、出生日期�、性別等信息都已經(jīng)可能全部泄漏。
結(jié)果:消息公布后����,萬豪國(guó)際的股價(jià)在當(dāng)天的盤前下跌5.6%��,報(bào)115.02美元��。
事件曝光后�,萬豪采取了各種措施去補(bǔ)救�。
(6)華住酒店5億條用戶數(shù)據(jù)疑泄露事件回顧:華住酒店集團(tuán)旗下酒店用戶信息在“暗網(wǎng)”售賣,售賣者稱數(shù)據(jù)已在8月14日脫庫����。
身份證號(hào)、手機(jī)號(hào)����,一應(yīng)俱全,共涉及5億條公民信息���。
涉及酒店范圍包括:漢庭、美爵�����、禧玥�����、諾富特、美居���、CitiGO���、桔子、全季��、星程���、宜必思尚品����、宜必思��、怡萊���、海友�。
此次泄露的數(shù)據(jù)數(shù)量則總計(jì)達(dá)5億條�,全部信息的打包價(jià)為8比特幣,或者520門羅幣(約合人民幣38萬元)����。
賣家還稱���,以上數(shù)據(jù)信息的截止時(shí)間為2018年8月14日。
結(jié)果:隨后���,華住集團(tuán)酒店官方微博回應(yīng)此事稱����,“已經(jīng)報(bào)警了�。
真實(shí)性目前無法查證,我們信息安全部門在緊急處理中”����。
同時(shí)官方微博也呼吁,請(qǐng)相關(guān)網(wǎng)絡(luò)用戶�����、網(wǎng)絡(luò)平臺(tái)立即刪除并停止傳播上述信息����,保留追究相關(guān)侵權(quán)人法律責(zé)任的權(quán)利�����。
(7)瑞士數(shù)據(jù)管理公司 Veeam 泄露 4.45 億條用戶數(shù)據(jù)事件回顧:2018年9月份,研究人員在一個(gè)配置錯(cuò)誤的服務(wù)器上發(fā)現(xiàn)了存儲(chǔ)有超過200GB數(shù)據(jù)的數(shù)據(jù)庫�。
據(jù)悉,該服務(wù)器處于完全無防御的狀態(tài)�,且面向公眾開放,任何人都能夠公開查詢和訪問其數(shù)據(jù)���。
研究人員介紹稱���,該數(shù)據(jù)庫中存儲(chǔ)有來自Veeam公司的約4.45億客戶記錄,其中包含客戶的個(gè)人信息�����,如姓名���、電子郵件地址以及居住地��、國(guó)家等��。
此外����,該服務(wù)器上提供的其他詳細(xì)信息還包括部分營(yíng)銷數(shù)據(jù),例如客戶類型和組織規(guī)模�����、IP 地址��、referrerURL 以及用戶代理等����。
結(jié)果:信息在網(wǎng)上掛了4天后,就全部無法訪問����,想必公司已經(jīng)采取了措施。
對(duì)于該起事件有安全專家建議��,所有數(shù)據(jù)庫管理員考慮MongoDB在一年前發(fā)布其數(shù)據(jù)庫產(chǎn)品的安全指南�,同時(shí)添加新的內(nèi)置安全功能,如加密���,訪問控制和詳細(xì)審計(jì)等�。
(8)Exactis大數(shù)據(jù)公司失誤泄露2TB隱私信息:3.4億條�����,涉及2.3億人事件回顧:據(jù)Wired報(bào)道,六月初曝光的市場(chǎng)和數(shù)據(jù)匯總公司Exactis服務(wù)器信息暴露的事情經(jīng)調(diào)查為實(shí)�����,涉及大約3.4億條記錄��,容量接近2TB�,據(jù)說涵蓋2.3億人�。
這些數(shù)據(jù)包含的隱私深度超乎想象,包括一個(gè)人是否吸煙�����、宗教信仰���、養(yǎng)狗或養(yǎng)貓以及各種興趣等���。
結(jié)果:Exactis事后對(duì)數(shù)據(jù)進(jìn)行了加密防護(hù),以避免信息的進(jìn)一步泄露�。
(9)美國(guó)功能性運(yùn)動(dòng)品牌Under Armour 1.5億用戶信息泄露事件回顧:美國(guó)功能性運(yùn)動(dòng)品牌Under Armour(安德瑪)旗下飲食和營(yíng)養(yǎng)管理App及網(wǎng)站MyFitnessPal大規(guī)模的數(shù)據(jù)泄露,多達(dá)1.5億用戶的信息被盜�����。
此次數(shù)據(jù)泄露事件影響到的用戶數(shù)據(jù)包括用戶名、郵箱地址�����、和加密的密碼��。
安德瑪表示����,該數(shù)據(jù)泄露事件并沒有涉及到用戶的社會(huì)安全號(hào)碼、駕駛證號(hào)��、和銀行卡號(hào)等隱私信息�����。
結(jié)果:Under Armour通過電郵和App消息提醒用戶立刻更改密碼����,當(dāng)晚其股票市值下跌了4.6%。
(10)問答網(wǎng)站 Quora戶數(shù)據(jù)遭泄露1個(gè)億事件回顧:12月4日�����,據(jù)紐約時(shí)報(bào)報(bào)道�����,問答網(wǎng)站鼻祖Quora稱,該公司的計(jì)算機(jī)系統(tǒng)遭到惡意第三方的未授權(quán)訪問�����,大約有1億用戶的賬戶及私人信息可能已經(jīng)泄露�,包括姓名���、郵箱地址和加密處理的密碼���。
結(jié)果:Quora CEO發(fā)布博文致歉。
官方稱��,第一時(shí)間雇傭網(wǎng)絡(luò)安全專家進(jìn)行調(diào)查�����,同時(shí)也聯(lián)系了執(zhí)法部門��。
2. 今年的數(shù)據(jù)泄露事件還有:國(guó)泰航空數(shù)據(jù)泄露��,940萬乘客受影響MongoDB 數(shù)據(jù)庫被入侵���, 1100 萬份郵件記錄遭泄露SHEIN 數(shù)據(jù)泄露影響 642 萬用戶注冊(cè)系統(tǒng)被黑客入侵���,75000人數(shù)據(jù)遭泄露GovPayNet憑證系統(tǒng)存在漏洞�����,1400萬交易記錄被曝光瑞士電信(Swisscom)證實(shí)80萬數(shù)據(jù)被盜��,涉全國(guó)1/10公民信息英國(guó)航空公司數(shù)據(jù)泄露事件:38萬人受影響小米有品平臺(tái)泄露個(gè)人隱私 約2000萬用戶數(shù)據(jù)遭泄露美國(guó)23州連鎖餐館出現(xiàn)數(shù)據(jù)泄露�,超過50萬信用卡數(shù)據(jù)存在安全風(fēng)險(xiǎn)Atlas Quantum數(shù)字貨幣投資平臺(tái)數(shù)據(jù)泄露�����,影響約26.1萬名客戶知名OCR軟件ABBYY FineReader被曝泄露超過20萬份客戶文件Instagram平臺(tái)被黑 已超百萬用戶信息泄露乘客航班信息泄露鏈條曝光����,近500萬條信息被賣醫(yī)療軟件公司MedEvolve因服務(wù)器漏洞致20多萬患者信息泄露Robocall公司泄露了美國(guó)數(shù)十萬選民個(gè)人信息Adidas數(shù)百萬用戶數(shù)據(jù)泄漏順豐快遞3億用戶信息外泄(順豐官方否認(rèn),表示非順豐數(shù)據(jù))陌陌數(shù)據(jù)外泄3000萬(陌陌官方后來回應(yīng):跟用戶匹配度極低)AcFun受黑客攻擊���,近千萬條用戶數(shù)據(jù)外泄前程無憂用戶信息在暗網(wǎng)上被公開銷售加拿大兩大銀行遭黑客攻擊 近9萬名客戶數(shù)據(jù)被竊私人情報(bào)機(jī)構(gòu) LocalBlox 泄露 4800 萬份個(gè)人數(shù)據(jù)記錄中東打車巨頭Careem遭遇網(wǎng)絡(luò)攻擊 1400萬乘客信息失竊央視曝光偷密碼的“萬能鑰匙”�,9億人個(gè)人信息存風(fēng)險(xiǎn)旅游網(wǎng)站Orbitz 88萬份信用卡信息遭泄露三����、安全漏洞數(shù)量和嚴(yán)重性創(chuàng)下歷史新高NVD在2018年收錄的漏洞總數(shù)為18,104個(gè)�,相比2017年的18,240個(gè)處于基本持平的態(tài)勢(shì)���。
而2018年CNNVD采集的安全漏洞數(shù)量為15,040個(gè)����,相比2017年11,707個(gè)全年采集漏洞總數(shù)增加28.5%����,反映出漏洞數(shù)量迅速達(dá)到歷年高峰的嚴(yán)峻現(xiàn)實(shí)����。
年度重大漏洞盤點(diǎn):(1)2018年1月多個(gè)CPU數(shù)據(jù)緩存機(jī)制漏洞(Meltdown:CNNVD-201801-150和CNNVD-201801-152;Spectre:CNNVD-201801-151):成功利用以上漏洞的攻擊者可使用低權(quán)限的應(yīng)用程序訪問系統(tǒng)內(nèi)存,從而造成數(shù)據(jù)泄露���。
Intel�、AMD����、ARM的處理器及其關(guān)聯(lián)的上層操作系統(tǒng)和云平臺(tái)均受此漏洞影響,經(jīng)證實(shí)的操作系統(tǒng)包括Windows、Linux和MacOS�,經(jīng)證實(shí)的云平臺(tái)包括基于Xen PV、OpenVZ等構(gòu)架的云端基礎(chǔ)設(shè)施�。
目前,微軟��、蘋果�、紅帽�、亞馬遜、騰訊云�����、VMware等廠商針對(duì)相關(guān)漏洞提供了修復(fù)補(bǔ)丁或緩解措施�。
iOS 平臺(tái)WebView組件漏洞(UIWebView/ WKWebView)跨域訪問漏洞(CNNVD-201801-515):成功利用該漏洞的攻擊者可以遠(yuǎn)程獲取手機(jī)應(yīng)用沙盒內(nèi)所有本地文件系統(tǒng)內(nèi)容,包括瀏覽器的Cookies����、用戶的配置文件、文檔等敏感信息���。
iOS平臺(tái)使用了WebView組件的應(yīng)用可能均受影響�。
目前�,廠商暫未發(fā)布解決方案,但可通過臨時(shí)解決措施緩解漏洞造成的危害。
(2) 2018年3月Cisco IOS Software和IOS XE Software輸入驗(yàn)證漏洞(CNNVD-201803-1022)���、Cisco IOS Software和IOS XE Software quapty of service子系統(tǒng)緩沖區(qū)錯(cuò)誤漏洞(CNNVD-201803-1038)��、Cisco IOS XE Software安全漏洞(CNNVD-201803-1039)���。
成功利用上述漏洞的攻擊者���,可以對(duì)使用了IOS以及IOS XE系統(tǒng)的思科設(shè)備發(fā)送惡意的數(shù)據(jù)包,最終實(shí)現(xiàn)拒絕服務(wù)或遠(yuǎn)程代碼執(zhí)行����,完全控制設(shè)備等。
所有支持Smart Install cpent特性的IOS以及IOS XE設(shè)備都可能受漏洞影響�。
目前,思科官方已對(duì)該漏洞進(jìn)行了修復(fù)����。
(3) 2018年4月OracleWebLogic Server WLS核心組件遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201804-803�、CVE-2018-2628)。
遠(yuǎn)程攻擊者可利用該漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù)�����,通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,實(shí)現(xiàn)任意代碼執(zhí)行����。
Oracle WebLogic Server 10.3.6.0、12.1.3.0����、12.2.1.2��、12.2.1.3等版本均受漏洞影響�����。
目前����,該漏洞的攻擊代碼已在互聯(lián)網(wǎng)上公開�,且Oracle官方已發(fā)布補(bǔ)丁修復(fù)該漏洞。
(4) 2018年5月手機(jī)程序第三方解壓縮庫輸入驗(yàn)證安全漏洞(CNNVD-201805-440):手機(jī)程序第三方解壓縮庫輸入驗(yàn)證安全漏洞存在于使用了第三方解壓縮庫的應(yīng)用中�����。
漏洞源于手機(jī)程序中的第三方解壓縮庫�����,在解壓zip壓縮包時(shí)并未對(duì)“../”進(jìn)行過濾�����。
手機(jī)程序在調(diào)用第三方解壓縮庫解壓zip壓縮包時(shí)未對(duì)解壓路徑進(jìn)行檢查,當(dāng)從不安全的來源獲得zip格式壓縮包文件并解壓縮時(shí)����,如果該zip壓縮文件被劫持插入惡意代碼,可能導(dǎo)致任意代碼執(zhí)行��。
(5) 2018年6月Microsoft Excel遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201806-800���、)及Microsoft Windows HTTP協(xié)議堆棧遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201806-771)����。
成功利用Microsoft Excel遠(yuǎn)程代碼執(zhí)行漏洞的攻擊者�����,能在當(dāng)前用戶環(huán)境下執(zhí)行任意代碼���,如果當(dāng)前用戶使用管理員權(quán)限登錄����,攻擊者甚至可以完全控制該用戶的系統(tǒng)����。
成功利用Microsoft Windows HTTP 2.0協(xié)議堆棧遠(yuǎn)程代碼執(zhí)行漏洞的攻擊者,可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼����,并控制該用戶的系統(tǒng)。
目前��,微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞��,建議用戶及時(shí)確認(rèn)是否受到漏洞影響�,盡快采取修補(bǔ)措施。
(6) 2018年7月OracleWebLogic Server WLS核心組件遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201807-1276):攻擊者可以在未經(jīng)授權(quán)的情況下���,遠(yuǎn)程發(fā)送攻擊數(shù)據(jù)��,通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作�,最終實(shí)現(xiàn)了遠(yuǎn)程代碼的執(zhí)行����。
目前,Oracle官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)該漏洞���,請(qǐng)用戶及時(shí)檢查產(chǎn)品版本���,如確認(rèn)受到漏洞影響�,可安裝補(bǔ)丁進(jìn)行防護(hù)����。
微信支付SDKXXE漏洞(CNNVD-201807-083):成功利用該漏洞的攻擊者可以遠(yuǎn)程讀取服務(wù)器文件,獲取商戶服務(wù)器上的隱私數(shù)據(jù)��,甚至可以支付任意金額購買商品�。
使用有漏洞的Java版本微信支付SDK進(jìn)行支付交易的商家網(wǎng)站可能受此漏洞影響。
目前���,微信官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)該漏洞�����,建議用戶及時(shí)確認(rèn)是否受到漏洞影響��,盡快采取修補(bǔ)措施����。
(7) 2018年8月Apache Struts2 S2-057安全漏洞(CNNVD-201808-740����、CVE-2018-11776):成功利用漏洞的攻擊者可能對(duì)目標(biāo)系統(tǒng)執(zhí)行惡意代碼�����。
Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。
微軟多個(gè)遠(yuǎn)程執(zhí)行代碼漏洞(CNNVD-201808-403���、CVE-2018-8350和CNNVD-201808-399����、CVE-2018-8375等):成功利用上述Windows遠(yuǎn)程執(zhí)行代碼漏洞的攻擊者���,可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼���。
微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞。
(8) 2018年9月微軟官方發(fā)布了多個(gè)安全漏洞的公告���,包括Internet Explorer 內(nèi)存損壞漏洞(CNNVD-201809-509����、CVE-2018-8447)���、Microsoft Excel 遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201809-550����、CVE-2018-8331)等多個(gè)漏洞。
成功利用上述安全漏洞的攻擊者���,可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼�。
微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響�����。
微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞��。
(9) 2018年10月Oracle WebLogic Server遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201810-781):攻擊者可利用該漏洞發(fā)送攻擊數(shù)據(jù)����,通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。
WebLogic Server 10.3.6.0��、12.1.3.0���、12.2.1.2���、12.2.1.3等版本均受漏洞影響。
Oracle官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁����。
微軟官方發(fā)布了多個(gè)安全漏洞的公告�,包括Microsoft XML Core Services MSXML parsera安全漏洞(CNNVD-201810-294)����、Microsoft Windows Hyper-V安全漏洞(CNNVD-201810-327)等多個(gè)漏洞�。
成功利用上述漏洞的攻擊者,可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼��。
微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響��。
微軟官方已發(fā)布修復(fù)上述漏洞的補(bǔ)丁�。
(10) 2018年11月macOS High Sierra和iOS系統(tǒng)存在內(nèi)核漏洞(CNNVD編號(hào):CNNVD-201810-1510、CVE編號(hào):CVE-2018-4407)�����,該漏洞是XNU系統(tǒng)內(nèi)核中網(wǎng)絡(luò)部分的堆緩沖區(qū)溢出導(dǎo)致����,攻擊者通過向目標(biāo)設(shè)備發(fā)送特殊構(gòu)造的數(shù)據(jù)包從而執(zhí)行惡意代碼或使系統(tǒng)崩潰重啟。
觸發(fā)該漏洞的必要條件是攻擊者與目標(biāo)系統(tǒng)需處于同一網(wǎng)絡(luò)(如Wi-Fi)����。
微軟多個(gè)安全漏洞,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201811-349�����、CVE-2018-8570)、Microsoft Word 安全漏洞(CNNVD-201811-387�、CVE-2018-8539)、(CNNVD-201811-388���、CVE-2018-8573)等多個(gè)漏洞����。
成功利用上述安全漏洞的攻擊者�,可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。
(11) 2018年12月微軟多個(gè)安全漏洞�����,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201812-458���、CVE-2018-8619)�、Microsoft Excel安全漏洞(CNNVD-201812-466�����、CVE-2018-8597)等多個(gè)漏洞。
成功利用上述漏洞可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼�����。
微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響���。
微軟官方已經(jīng)發(fā)布漏洞修復(fù)補(bǔ)丁����。
四�����、勒索軟件業(yè)務(wù)經(jīng)歷市場(chǎng)調(diào)整如果將勒索軟件看作一項(xiàng)生意的話�����,從2016年開始到2017年勒索軟件的高額利潤(rùn)吸引大批攻擊者蜂涌而至��,贖金更是漫天要價(jià)�。
2018年�,勒索軟件“市場(chǎng)”就有點(diǎn)不景氣了,勒索軟件家族的總數(shù)下降�,贖金要求也下降了,這表明勒索軟件已經(jīng)成為了商品���。
許多網(wǎng)絡(luò)犯罪分子可能已經(jīng)將注意力轉(zhuǎn)移到加密電子貨幣挖礦上��,因?yàn)樽鳛楝F(xiàn)金的替代品����,加密電子貨幣的價(jià)值非常高。
網(wǎng)上銀行交易威脅也有死灰復(fù)燃的趨勢(shì)��,某些臭名昭著的勒索軟件集團(tuán)正試圖增加威脅的種類����。
盡管勒索軟件變種數(shù)量較去年有所上升,表明那些臭名昭著的犯罪集團(tuán)仍然相當(dāng)高產(chǎn)��,但勒索軟件家族的數(shù)量有所下降����,這表明他們的創(chuàng)新力出現(xiàn)了下降,也可能已將注意力轉(zhuǎn)向了更高價(jià)值的新目標(biāo)����。
2018年新興的勒索軟件家族摘錄:1. 2018年1月,GandGrab勒索家族首次出現(xiàn)應(yīng)該算是勒索病毒家族中的最年輕���,但是最流行的一個(gè)勒索病毒家族����,短短幾個(gè)月的時(shí)候內(nèi),就出現(xiàn)了多個(gè)此勒索病毒家族的變種����,而且此勒索病毒使用的感染方式也不斷發(fā)生變化,使用的技術(shù)也不斷在更新�,此勒索病毒主要通過郵件進(jìn)行傳播,采用RSA+ASE加密的方式進(jìn)行加密���,文件無法還原。
2. 2018年2月����,多家互聯(lián)網(wǎng)安全企業(yè)截獲了Mind Lost勒索病毒該勒索軟件采用C#語言開發(fā),其主要功能是采用AES加密方式加密本地文件��,之后引導(dǎo)受害者至指定的網(wǎng)頁要求付費(fèi)解密文件�,與以往勒索軟件不同的是,此次勒索軟件并沒有要求受害者支付比特幣等數(shù)字貨幣進(jìn)行付費(fèi)解密操作����,而是直接要求用戶使用信用卡或借記卡支付贖金,以此來套取銀行卡信息,進(jìn)而將此信息出售給不法分子從而牟取更大利益�。
加密樣本賬戶的電腦的Users目錄下的文件,如果后綴為”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密����,且解密贖金達(dá)到200美元。
3. 2018年3月���,GlobeImposter勒索病毒家族GlobeImposter勒索病毒家族是從2017年5月開始出現(xiàn)�,并在2017年11月和2018年3月有兩次較大范圍的疫情爆發(fā)���,在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1.0���,此時(shí)的病毒樣本加密后綴名以“.CHAK”較為常見,在2018年3月時(shí)出現(xiàn)了GlobeImposter2.0���,此時(shí)的病毒樣本加密后綴名以“.TRUE”����,“.doc”較為常見�����,GlobeImposter也增加了很多新型的技術(shù)進(jìn)行免殺等操作。
4. 2018年3月�,麒麟2.1的勒索病毒2018年3月1日,監(jiān)測(cè)到了“麒麟2.1”的勒索病毒�。
通過QQ等聊天工具傳文件方式傳播,一旦中招就會(huì)鎖定電腦文件��,登錄后會(huì)轉(zhuǎn)走支付寶所有余額��。
中招后���,它會(huì)鎖定電腦文件�,表面上要求掃碼用支付寶付款3元����,但實(shí)際上掃碼是登錄支付寶,登錄后會(huì)轉(zhuǎn)走支付寶所有余額��。
5. 2018年3月�,CrySiS勒索病毒爆發(fā)服務(wù)器文件被加密為.java后綴的文件�����,采用RSA+AES加密算法�,主要運(yùn)用了Mimikatz��、IP掃描等黑客工具����,進(jìn)行RDP爆破����,利用統(tǒng)一密碼特性,使用相同密碼對(duì)全網(wǎng)業(yè)務(wù)進(jìn)行集中攻擊����,通過RDP爆破的方式植入,同時(shí)此勒索病毒在最近也不斷出現(xiàn)它的新的變種�,其加密后綴也不斷變化之中。
6. 2018年12月���,一個(gè)以微信為支付手段的勒索病毒在國(guó)內(nèi)爆發(fā)幾日內(nèi)�����,該勒索病毒至少感染了10萬臺(tái)電腦��,通過加密受害者文件的手段���,已達(dá)到勒索贖金的目的�����,而受害者必需通過微信掃一掃支付110元贖金才能解密�����。
2018年6月��,羅某某自主研發(fā)出病毒“cheat”�,用于盜取他人支付寶的賬號(hào)密碼��,進(jìn)而以轉(zhuǎn)賬方式盜取資金��。
同時(shí)制作內(nèi)含“cheat”木馬病毒代碼的某開發(fā)軟件模塊�����,在互聯(lián)網(wǎng)上發(fā)布����,任何通過該開發(fā)軟件編寫的應(yīng)用軟件均包含木馬病毒代碼�,代碼在后臺(tái)自動(dòng)運(yùn)行,記錄用戶淘寶�����、支付寶等賬號(hào)密碼,以及鍵盤操作���,上傳至服務(wù)器��。
此外�,嫌疑人通過執(zhí)行命令對(duì)感染病毒的計(jì)算機(jī)除系統(tǒng)文件�����、執(zhí)行類文件以外的所有文件進(jìn)行加密��,隨后彈出包含解密字樣和預(yù)置微信收款二維碼的勒索界面����,解密程序標(biāo)題顯示“你的電腦已被加密,請(qǐng)執(zhí)行以下操作����,掃一掃二維碼,你需要支付110進(jìn)行解密”����。
五�、挖礦攻擊迭起�,花樣不斷翻新2018年全球爆發(fā)了惡意加密貨幣挖掘,因此產(chǎn)生的惡意軟件攻擊次數(shù)增加了83%以上��。
今年前三個(gè)季度有超過500萬用戶被惡意軟件攻擊�����,而2017年同期為270萬���。
根據(jù)卡巴斯基實(shí)驗(yàn)室的說法����,在加密淘金熱背后的主要驅(qū)動(dòng)因素是安裝和使用未經(jīng)許可的軟件和內(nèi)容�����。
在2018年�����,惡意加密貨幣開采戰(zhàn)勝了過去幾年的主要威脅:勒索軟件�����。
受惡意加密貨幣挖掘軟件攻擊的互聯(lián)網(wǎng)用戶數(shù)量在今年上半年穩(wěn)步增長(zhǎng)����,遭遇挖礦攻擊的用戶數(shù)量從2016年-2017年度的1,899,236人次,增長(zhǎng)為2017-2018年度的 2,735,611人次�。
挖礦攻擊出現(xiàn)頻率越來越高,對(duì)受害者造成的危害也日益嚴(yán)重�����,而且目前已經(jīng)轉(zhuǎn)向企業(yè)目標(biāo)�����。
多家互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡(luò)安全企業(yè)分析認(rèn)為����,非法“挖礦”已成為嚴(yán)重的網(wǎng)絡(luò)安全問題。
其中�,騰訊云監(jiān)測(cè)發(fā)現(xiàn),隨著“云挖礦”的興起��,云主機(jī)成為挖取門羅幣����、以利幣等數(shù)字貨幣的主要利用對(duì)象�,而盜用云主機(jī)計(jì)算資源進(jìn)行“挖礦”的情況也顯著增多;知道創(chuàng)宇安全團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn)��,“爭(zhēng)奪礦機(jī)”已成為僵尸網(wǎng)絡(luò)擴(kuò)展的重要目的之一;360企業(yè)安全技術(shù)團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn)一種新型“挖礦”病毒(挖取XMR/門羅幣)�,該病毒在兩個(gè)月內(nèi)瘋狂傳播,非法“挖礦”獲利近百萬元人民幣���。
由于入口門檻低��,只需要幾行代碼就可以執(zhí)行�,網(wǎng)絡(luò)犯罪分子大肆利用挖礦軟件盜用消費(fèi)者和企業(yè)的計(jì)算機(jī)處理能力以及占用云端 CPU��,為其達(dá)到挖掘電子加密貨幣的目的���。
隨著挖礦軟件在企業(yè)環(huán)境中逐步蔓延�����,企業(yè)網(wǎng)絡(luò)面臨著徹底癱瘓的風(fēng)險(xiǎn)��。
它可能還會(huì)給企業(yè)帶來財(cái)務(wù)上的影響��,例如為挖礦軟件所占用的云CPU 買單��。
隨著惡意挖礦軟件的不斷升級(jí)�,物聯(lián)網(wǎng)設(shè)備將仍然是這類攻擊的絕佳目標(biāo)。
挖礦木馬年度盤點(diǎn):
(1) 2018年1月tlMiner爆發(fā)�����,它是隱藏在《絕地求生》輔助程序中的HSR幣挖礦木馬�。
該挖礦木馬由一游戲輔助團(tuán)隊(duì)投放���,瞄準(zhǔn)游戲高配機(jī)實(shí)現(xiàn)高效率挖礦����,單日影響機(jī)器量最高可達(dá)20萬臺(tái)�����。
“tlMiner”木馬作者在“吃雞”游戲外掛���、海豚加速器(修改版)���、高仿盜版視頻網(wǎng)站、酷藝影視網(wǎng)吧VIP等程序中植入“tlMiner”挖礦木馬���,通過網(wǎng)吧聯(lián)盟���、論壇��、下載站和云盤等渠道傳播。
木馬作者通過以上渠道植入木馬�����,非法控制網(wǎng)吧和個(gè)人計(jì)算機(jī)終端為其個(gè)人挖礦�����。
2018年4月11日��,在騰訊電腦管家的協(xié)助下�����,山東警方在遼寧大連一舉破獲了“tlMiner”挖礦木馬黑產(chǎn)公司��。
該公司為大連當(dāng)?shù)馗咝录夹g(shù)企業(yè)�����,為非法牟利搭建木馬平臺(tái)����,招募發(fā)展下級(jí)代理商近3500個(gè),通過網(wǎng)吧渠道���、吃雞外掛�、盜版視頻軟件傳播投放木馬�����,非法控制用戶電腦終端389萬臺(tái)��,進(jìn)行數(shù)字加密貨幣挖礦���、強(qiáng)制廣告等非法業(yè)務(wù),合計(jì)挖掘DGB(極特幣)����、HSR(紅燒肉幣)、XMR(門羅幣)��、SHR(超級(jí)現(xiàn)金幣)��、BCD(比特幣鉆石)���、SIA(云儲(chǔ)幣)等各類數(shù)字貨幣超過2000萬枚����,非法獲利1500余萬元。
1月6日���,一位網(wǎng)名為“Rundvleeskroket”的Reddit(社交新聞?wù)军c(diǎn))用戶聲稱�,黑莓手機(jī)的官方網(wǎng)站(blackberrymobile[.]com)被發(fā)現(xiàn)正使用Coinhive提供的加密貨幣挖礦代碼來挖掘門羅幣(Monero)�。
Rundvleeskroket在最新的動(dòng)態(tài)更新中表示,似乎只有黑莓的全球網(wǎng)站(blackberrymobile[.]com/en)受到影響���。
所以�,任何被重定向到CA�����、EU或US的用戶都不會(huì)在網(wǎng)站開放的情況下運(yùn)行挖礦代碼�。
(2) 2018年2月安全公司 CrowdStrike 發(fā)現(xiàn)了一款名為 WannaMine 的新型 Monero 加密挖掘蠕蟲,其利用與 NSA 相關(guān)的 EternalBlue (“ 永恒之藍(lán) ” )漏洞進(jìn)行傳播��。
據(jù)研究人員測(cè)試�����,WannaMine 能夠感染從 Windows 2000 起的所有 Windows 系統(tǒng)(包括 64 位版本和 Windows Server 2003),并使其設(shè)備性能明顯下降��。
WannaMine 的惡意代碼十分復(fù)雜�,因?yàn)樗鼘?shí)現(xiàn)了一種類似于國(guó)家贊助的 APT 組織所使用的擴(kuò)散機(jī)制和持久性模型。
更詳細(xì)地解釋是:WannaMine 利用 Windows 管理工具( WMI )永久事件訂閱來在受感染的系統(tǒng)上獲得持久性����。
當(dāng)注冊(cè)一個(gè)永久事件訂閱后,WannaMine 將在事件使用者中每 90 分鐘執(zhí)行一個(gè) PowerShell 命令���。
研究人員注意到��,WannaMine 使用憑證收割機(jī) Mimikatz 來收集用戶憑據(jù),從而達(dá)到橫向移動(dòng)的目的����,但如果不能夠橫向移動(dòng)的話,WannaMine 將更依賴于 EternalBlue 的利用�����。
從2018年2月3日開始�,一組惡意代碼開始蠕蟲式快速傳播,360安全團(tuán)隊(duì)將其命名為ADB.Miner�。
最早的感染時(shí)間可以回溯到1月31日左右��,這波蠕蟲式感染于2018年2月3日下午被360系統(tǒng)檢測(cè)���,感染安卓設(shè)備上 adb 調(diào)試接口的工作端口5555,正常情況下這個(gè)端口應(yīng)該被關(guān)閉�����,但未知原因?qū)е虏糠衷O(shè)備錯(cuò)誤的打開了該端口蠕蟲式感染�����,惡意代碼在完成植入后���,會(huì)繼續(xù)掃描 5555 adb 端口�,完成自身的傳播感染��。
感染的設(shè)備大部分是智能手機(jī)以及智能電視機(jī)頂盒�。
(3) 2018年3月一種全的新的 Android 挖礦惡意軟件 HiddenMiner 可以暗中使用受感染設(shè)備的CPU 計(jì)算能力來竊取 Monero。
HiddenMiner 的自我保護(hù)和持久性機(jī)制讓它隱藏在用戶設(shè)備上濫用設(shè)備管理員功能 (通常在 SLocker Android 勒索軟件中看到的技術(shù))�。
另外,由于 HiddenMiner 的挖礦代碼中沒有設(shè)置開關(guān)���、控制器或優(yōu)化器���,這意味著一旦它開始執(zhí)行挖礦進(jìn)程��,便會(huì)一直持續(xù)下去�,直到設(shè)備電量耗盡為止���。
鑒于 HiddenMiner 的這種特性��,這意味著它很可能會(huì)持續(xù)挖掘 Monero���,直到設(shè)備資源耗盡。
根據(jù)研究人員的說法�,HiddenMiner 是在第三方應(yīng)用商店發(fā)現(xiàn)的,大部分受害用戶都位于中國(guó)和印度�。
HiddenMiner 的持續(xù)挖礦與導(dǎo)致設(shè)備電池膨脹的Android 惡意軟件 Loapi 類似,不僅如此����,HiddenMiner 還使用了類似于撤銷設(shè)備管理權(quán)限后 Loapi 鎖定屏幕的技術(shù)���。
(4) 2018年5月“WinstarNssmMiner”來襲����。
此類挖礦病毒最大的與眾不同是會(huì)阻止用戶結(jié)束挖礦進(jìn)程,一旦用戶選擇結(jié)束進(jìn)程����,其電腦會(huì)立刻藍(lán)屏。
而且此次的挖礦病毒欺軟怕硬����,碰到強(qiáng)力的殺軟會(huì)當(dāng)縮頭烏龜,一旦碰到實(shí)力不濟(jì)的殺軟它就會(huì)關(guān)閉正在運(yùn)行的殺毒軟件程序�。
因此中了此類病毒的用戶通常只能面對(duì)已經(jīng)出現(xiàn)卡慢,甚至藍(lán)屏的電腦束手無策�。
該木馬病毒會(huì)將自身的惡意代碼以父進(jìn)程的形式注入系統(tǒng)進(jìn)程svchost.exe,然后把該系統(tǒng)進(jìn)程設(shè)置為CriticalProcess��,在這種情況下一旦強(qiáng)制結(jié)束該進(jìn)程電腦就會(huì)立刻藍(lán)屏�����。
用研究員的話形容就是�,這個(gè)病毒真是相當(dāng)?shù)谋┝α?當(dāng)然,把用戶的電腦暴力藍(lán)屏是這個(gè)病毒最后的一招����,在中病前期,該病毒還會(huì)在用戶的電腦上進(jìn)行一系列操作來挖礦獲利。
(5) 2018年6月撒旦(Satan)勒索病毒的傳播方式升級(jí)����,不光使用永恒之藍(lán)漏洞攻擊,還攜帶更多漏洞攻擊模塊:包括JBoss反序列化漏洞(CVE-2017-12149)�����、JBoss默認(rèn)配置漏洞(CVE-2010-0738)�����、Tomcat任意文件上傳漏洞(CVE-2017-12615)����、Tomcat web管理后臺(tái)弱口令爆破、Weblogic WLS 組件漏洞(CVE-2017-10271)�,使該病毒的感染擴(kuò)散能力、影響范圍得以顯著增強(qiáng)����。
分析發(fā)現(xiàn),該變種的傳播方式與今年之前發(fā)現(xiàn)的版本類似�,都有利用JBoss�����、Tomcat、Weblogic等多個(gè)組件漏洞以及永恒之藍(lán)漏洞進(jìn)行攻擊�����。
新變種增加了Apache Struts2漏洞攻擊模塊�,攻擊范圍和威力進(jìn)一步提升。
最出人意料的是�����,Satan病毒放棄了此前的勒索��,開始轉(zhuǎn)行傳播挖礦木馬�����。
由于此前的satan勒索病毒的算法存在“缺陷”�����,可以被進(jìn)行完美解密��,從而使得勒索作者無法收到贖金���。
因此本次變種開始改行挖礦�����,不僅可以穩(wěn)定的獲得收入�,還可以避免很快的暴露(由于挖礦除了會(huì)讓機(jī)器稍微卡慢一點(diǎn),給用戶的其他感官不強(qiáng)���,因此一般用戶很難察覺到被挖礦)�����。
(6) 2018年9月不法黑客通過1433端口爆破入侵SQL Server服務(wù)器�,植入遠(yuǎn)程控制木馬并安裝為系統(tǒng)服務(wù)�����,然后利用遠(yuǎn)程控制木馬進(jìn)一步加載挖礦木馬進(jìn)行挖礦���。
用戶電腦不知不覺間淪為不法分子“挖礦”的工具���,電腦算力被占用,同時(shí)極有可能帶來一系列網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���。
截止目前��,該木馬現(xiàn)已累計(jì)感染約3萬臺(tái)電腦����。
騰訊智慧安全御見威脅情報(bào)中心實(shí)時(shí)攔截該挖礦木馬的入侵��,將其命名為“1433爆破手礦工”�,不法黑客除了利用感染木馬電腦挖礦外,還會(huì)下載NSA武器攻擊工具繼續(xù)在內(nèi)網(wǎng)中攻擊擴(kuò)散���,若攻擊成功����,會(huì)繼續(xù)在內(nèi)網(wǎng)機(jī)器上安裝該遠(yuǎn)程控制木馬�����。
在內(nèi)網(wǎng)攻擊中����,“1433爆破手礦工”可使用的漏洞攻擊工具之多,令人咋舌����。
其加載的攻擊模塊幾乎使用了NSA武器庫中的十八般武器�����,Eternalblue(永恒之藍(lán))�、Doubleplsar(雙脈沖星)��、EternalChampion(永恒冠軍)��、Eternalromance(永恒浪漫)���、Esteemaudit(RDP漏洞攻擊)等多種漏洞攻擊工具皆可被黑客利用實(shí)施內(nèi)網(wǎng)攻擊�����。
專攻企業(yè)局域網(wǎng)的勒索病毒GandCrab�,這個(gè)臭名昭著的勒索病毒版本號(hào)已升級(jí)到4.3��。
與以往不同的是�,攻擊者在已入侵網(wǎng)絡(luò)同時(shí)釋放挖礦木馬和勒索病毒,針對(duì)高價(jià)值目標(biāo)使用GandCrab勒索病毒�����,而一般目標(biāo)則運(yùn)行挖礦木馬,以最大限度利用被入侵的目標(biāo)網(wǎng)絡(luò)非法牟利���。
分析勒索病毒GandCrab 4.3的入侵通道��,發(fā)現(xiàn)黑客通過暴力破解Tomcat 服務(wù)器弱密碼實(shí)現(xiàn)入侵。
入侵成功后���,從C2服務(wù)器下載勒索病毒和挖礦木馬����,恢復(fù)被GandCrab勒索病毒加密的文件需要付費(fèi)499美元購買解密工具���。
通過錢包分析發(fā)現(xiàn)�����,該木馬已收獲18.6個(gè)門羅幣�����,折合人民幣約1.5萬元��。
GandCrab 勒索病毒之前的版本一般通過釣魚郵件和水坑攻擊(選擇最可能接近目標(biāo)的網(wǎng)絡(luò)部署陷阱文件��,等待目標(biāo)網(wǎng)絡(luò)內(nèi)的主機(jī)下載)���。
而現(xiàn)在���,御見威脅情報(bào)中心監(jiān)測(cè)到越來越多的勒索病毒會(huì)首先從企業(yè)Web服務(wù)器下手,其中Tomcat被暴破弱密碼攻擊的情況近期有明顯上升���。
攻擊一旦得手���,黑客就會(huì)以此為跳板,繼續(xù)向內(nèi)網(wǎng)擴(kuò)散����。
擴(kuò)散的手法,往往是使用NSA攻擊工具包或1433����,3389端口暴力破解弱口令。
之后����,黑客會(huì)選擇高價(jià)值目標(biāo)下載運(yùn)行勒索病毒,對(duì)一般系統(tǒng),則植入挖礦木馬獲利��。
針對(duì)企業(yè)使用勒索病毒加挖礦木馬雙重打擊是近期比較突出的特點(diǎn)�。
(7) 2018年10月Palo Alto Unit 42研究員 Brad Duncan發(fā)現(xiàn)的最新惡意軟件中,不僅會(huì)安裝XMRig挖礦應(yīng)用��,而且會(huì)自動(dòng)對(duì)Flash Player進(jìn)行更新���。
這樣在安裝過程中不會(huì)引起用戶的懷疑��,從而進(jìn)一步隱藏了它的真正意圖。
這款安裝器會(huì)真的訪問Adobe的服務(wù)器來檢查是否有新的Flash Player�����。
整個(gè)安裝過程中和正式版基本上沒有差別����。
這樣用戶以為正常升級(jí)Flash的背后,安裝了coinminer的挖礦應(yīng)用���。
一旦設(shè)備受到感染����,就會(huì)連接xmr-eu1.nanopool.org的挖礦池�����,開始使用100%的CPU計(jì)算能力來挖掘Monero數(shù)字貨幣。
(8) 2018年11月?lián)碛蠾indows和安卓雙版本的挖礦木馬MServicesX悄然流行�,中毒電腦和手機(jī)會(huì)運(yùn)行門羅幣挖礦程序,造成異常發(fā)熱乃至設(shè)備受損的現(xiàn)象���。
該挖礦木馬十分擅長(zhǎng)偽裝�����,在電腦端使用具有合法數(shù)字簽名的文件���,以躲避安全軟件的查殺;在安卓手機(jī)端更偽裝成Youtube視頻播放器軟件,不知情的用戶用其在手機(jī)上觀看視頻時(shí)�,病毒會(huì)在后臺(tái)運(yùn)行門羅幣挖礦程序。
數(shù)據(jù)顯示����,挖礦木馬MServicesX近期表現(xiàn)活躍,感染量波動(dòng)較大�,并且已快速蔓延至全球范圍。
在國(guó)內(nèi)�,則以廣東、江蘇、香港三地的受感染量最大����。
經(jīng)病毒溯源發(fā)現(xiàn),該病毒的Windows版本通過提供各類游戲下載安裝的某游戲下載站進(jìn)行傳播����,木馬隱藏在游戲安裝包中,游戲安裝程序在運(yùn)行時(shí)會(huì)提示用戶關(guān)閉殺毒軟件�,并釋放出木馬文件“MServicesX_FULL.exe”。
安裝包運(yùn)行后�����,病毒還會(huì)將版本更新設(shè)置為計(jì)劃任務(wù)�����,每三個(gè)小時(shí)運(yùn)行一次��,保持木馬更新為最新版本�����,利用后臺(tái)程序挖礦����,盡最大可能榨取用戶CPU資源。
KoiMiner挖礦木馬變種出現(xiàn)���,該變種的挖礦木馬已升級(jí)到6.0版本�����,木馬作者對(duì)部分代碼加密的方法來對(duì)抗研究人員調(diào)試分析�,木馬專門針對(duì)企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊進(jìn)行蠕蟲式傳播����。
騰訊御見威脅情報(bào)中心監(jiān)測(cè)數(shù)據(jù)發(fā)現(xiàn),KoiMiner挖礦木馬已入侵控制超過5000臺(tái)SQL Server服務(wù)器���,對(duì)企業(yè)數(shù)據(jù)安全構(gòu)成重大威脅��。
該病毒在全國(guó)各地均有分布�,廣東����、山東、廣西位居前三��。
