2021年结束,COVID-19大流行继续蔓延,现在是时候调查今年每月吸引超过100万访问者的帖子趋势简要总结(通过查看在Threatpost上阅读次数最多的帖子)。几乎整个2020年的工作都围绕着家庭安全、以COVID-19为主题的社会工程和游戏(所有这些都是由大流行第一年的社会变化推动的),但2021年的重点将发生明显的转变。数据不安全、代码存储库恶意软件、主要0day漏洞和新的勒索软件策略占据了最常阅读的列表——这或许是一个迹象,表明随着我们工作方式的“新常态”变得更加稳定,人们更加关注网络犯罪创新。跳转:数据泄露主要0day漏洞代码库恶意软件4.勒索软件创新5.游戏攻击6.奖励!ZodiacKillerPasswordCrack1.2021年最常阅读的帖子:Experian泄露用户的信用评分显然有一些重大新闻占据了今年的头条新闻:Log4Shell;殖民地管道;加濑谷;代理登录/代理外壳;太阳风。但从文章流量来看,读者最感兴趣的是Experian的数据泄露事件。4月,罗切斯特理工学院二年级学生BillDemirkapi发现,几乎每个美国人的信用评分都是由Experian信用局使用的API工具揭示的。他说,该工具在贷方的网站上处于打开状态,甚至没有基本的安全保护。该工具称为ExperianConnectAPI,允许贷方自动执行FICO评分查询。Demirkapi说他能够构建一个命令行工具,使他能够自动查找任何人的几乎所有信用评分,即使在出生日期字段中输入全零之后也是如此。他将其命名为“Bill'sCoolcreditscoreLookupUtility”。除了原始信用评分外,这名大学生还表示,他能够使用API连接从Experian获取“风险因素”,这些因素可以解释一个人信用记录中的潜在缺陷,例如“消费者金融公司的账户太多”。就Experian而言,它解决了这个问题并驳回了安全社区对这个问题可能是系统性的担忧。Experian并不是唯一一家因数据不安全而引起读者关注的公司:LinkedIn数据在暗网上出售是今年另一个非常热门的故事。LinkedIn数据抓取在4月份的数据抓取事件影响了5亿LinkedIn会员之后,该事件在6月份再次发生。一位自称“上帝用户TomLiner”的黑客在热门网络论坛RaidForums上发布了一篇帖子,其中包含7亿条LinkedIn记录待售,其中包括100万条记录的样本作为“证据”。PrivacySharks检查了免费样本,发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据的来源是什么——但它们可能是从公开来源中删除的。据LinkedIn称,没有发生网络漏洞。即便如此,研究人员表示,安全后果仍然很严重,因为缓存可以暴力破解帐户密码、电子邮件和电话诈骗、网络钓鱼、身份盗用,最后,数据可以成为社会工程学的金矿。当然,攻击者可以简单地访问公共配置文件以针对某人,但是在一个地方拥有如此多的记录将可以使用有关用户的工作和性别的信息以及其他详细信息来自动进行有针对性的攻击。2.0day重大漏洞这是一个非常吸引读者的话题,2021年也有一些有趣的事情,我们先从Log4Shell说起。Log4Shell基本上威胁所有现有的Web服务器Log4Shell漏洞是无处不在的Java日志记录库ApacheLog4j中的一个容易利用的漏洞,它可能允许未经身份验证的远程代码执行(RCE)和完整的服务器接管——并且它仍在被积极利用。该漏洞(CVE-2021-44228)首次出现在面向世界上最受欢迎的游戏♂用户的网站上。Apache匆忙发布了一个补丁,但在一两天内,由于威胁行为者试图利用新漏洞,攻击愈演愈烈。从那时起,读者的兴趣就集中在有关其他利用向量、次级漏洞、各种现实世界攻击和威胁面(日志库基本上无处不在)的新闻上。NSOGroup的Apple零点击漏洞9月,研究人员发现了一个名为ForcedEntrybe的零点击、零日漏洞,它会影响所有Apple设备:iPhone、iPad、Mac和AppleWatch。它被NSOGroup用来安装臭名昭著的Pegasus间谍软件。Apple推出了紧急修复程序,但CitizenLab观察到该漏洞针对的是iMessage。据网络安全监管机构称,该漏洞被用于使用NSO开发的Pegasus间谍软件非法监视巴林武装分子。ForcedEntry漏洞非常引人注目,因为它已成功部署在最新的iOS版本-14.4和14.6上,突破了Apple新的BlastDoor沙盒功能,可以在巴林激进分子的iPhone上安装间谍软件。PaloAlto安全设备中存在巨大的0day漏洞另一个引起广泛读者兴趣的0day项目是来自Randori的研究人员开发出一种有效的利用方法,可以利用PaloAltoNetworks的GlobalProtect防火墙中的关键漏洞CVE2021-3064获取远程代码执行的消息(RCE)上。Randori研究人员表示,如果攻击者成功利用该漏洞,他们可以获得目标系统的外壳、访问敏感配置数据、提取凭据等等。然后攻击者可以跨越目标组织,他们说:“一旦攻击者控制了防火墙,他们就可以看到内部网络并可以继续横向移动。”PaloAltoNetworks在披露当天修补了该漏洞。谷歌内存0day漏洞今年3月,谷歌紧急修复了Chrome浏览器中一个被主动攻击的漏洞。如果被利用,该漏洞可能允许对受影响的系统进行远程代码执行和拒绝服务攻击。这份报告受到了读者的广泛关注。该漏洞是一个释放后使用漏洞,特别是在作为Chromium项目的一部分开发的Chrome浏览器引擎Blink中。浏览器引擎将HTML文档和其他Web资源转换为最终用户可以查看的可视化表示。根据IBMX-Force关于该漏洞的报告,“通过引诱受害者访问特制网站,远程攻击者可以利用此漏洞执行任意代码或导致系统出现拒绝服务状态。“戴尔内核权限漏洞今年早些时候在2009年以来出货的所有戴尔个人电脑、平板电脑和笔记本电脑中发现了五个严重的安全漏洞,这些漏洞已经隐藏了12年。据SentinelLabs称,它们允许绕过安全产品、代码执行,并转移到网络的其他部分进行横向移动。研究人员表示,这些缺陷潜伏在戴尔的固件更新驱动程序中,可能会影响数亿台戴尔台式机、笔记本电脑和平板电脑。固件更新驱动程序版本2.3中存在多个本地权限提升(LPE)漏洞(dbutil_2_3.sys)模块,自2009年以来一直在使用。驱动程序组件通过戴尔BIOS实用程序处理戴尔固件更新,它预装在大多数运行Windows的戴尔机器上。3.代码存储库和软件供应链软件供应链基于开源代码存储库,开发人员可以在其中上传软件包,开发人员可以使用这些软件包构建各种应用程序、服务和其他项目。它们包括GitHub,以及更专业的存储库,例如用于Java的Node.js包管理器(npm)代码存储库;RubyGems用于Ruby编程语言;Python的Python包索引(PyPI)等。这些包管理器代表了供应链威胁,因为任何人都可以向它们上传代码,而这些代码又可能在不知不觉中被用作各种应用程序的构建块。任何被恶意代码破坏的应用程序都可以攻击程序的用户。要启动,可以将单个恶意包添加到多个不同的项目——用加密矿工、信息窃取器等感染它们,并使补救过程变得更加困难。网络犯罪分子蜂拥而至此次攻击从表面上看,这引起了读者的极大关注。例如,去年12月,在npm中发现了17个恶意包,它们都是针对Discord构建的,Discord是一个拥有3.5亿用户的虚拟会议平台,支持通话、视频通话、短信和文件进行通信。这些恶意宝物主要用于窃取Discord代币进行账号接管。同样在本月,PyPI代码库中托管的三个恶意软件包被发现,总下载量超过12000次,并可能潜入各种应用程序的安装中。这些软件包包括一个用于在受害者机器上建立后门的特洛伊木马程序和两个信息窃取程序。研究人员上周还发现,MavenCentral生态系统中有17,000个未打补丁的Log4jJava包,这使得Log4Shell漏洞利用存在显着的供应链风险。据谷歌的安全团队称,整个生态系统可能需要数年时间才能完全修复。使用恶意软件包作为网络攻击载体也是今年早些时候的一个常见主题。以下是其他近期发现的概述:1月份,在三个npm包中发现了其他窃取Discord的恶意软件。一个“an0n-chat-lib”没有合法的“孪生”包,但另外两个使用品牌劫持和域名抢注试图让开发人员相信它们是合法的。“discord-fix”恶意组件的名称与合法的“discord-XP”相似,后者是Discord机器人的XP框架。“sonatype”包也使用纯品牌劫持。3月,研究人员在npm公共代码存储库中发现了针对Amazon、Lyft、Slack和Zillow(以及其他公司)内部应用程序的恶意包,所有这些包都包含敏感信息。3月份的那次攻击是基于安全研究员AlexBirsan的研究,他发现恶意代码可以注入到用于在开发项目中安装依赖项的通用工具中。此类项目通常使用来自GitHub等网站的公共存储库。然后,恶意代码可以使用这些依赖项通过目标公司的内部应用程序和系统传播恶意软件。通过利用公共开源开发人员工具,这种新颖的供应链攻击被用于(合乎道德地)破坏超过35家科技公司的系统,包括微软、苹果、PayPal、Shopify、Netflix、特斯拉和优步。6月,发现一群加密货币矿工已渗透PyPI。研究人员发现其中隐藏着六个不同的恶意软件包,总共有5,000次下载。7月,在npm中发现了一个在GoogleChrome网络浏览器中使用合法密码恢复工具的凭据窃取包。研究人员发现了从Windows系统上的Chrome窃取凭据的恶意软件。密码窃取器是多功能的:它还可以侦听来自攻击者的命令和控制(C2)服务器的传入命令,可以上传文件,从受害者的屏幕和摄像头进行记录,以及执行shell命令。4.有趣的勒索软件变体随着勒索软件流行在2021年逐渐成熟,用于锁定文件的实际恶意软件已经超越了简单地在目标文件夹上添加扩展名。读者开始更加关注涵盖勒索软件类别进展的恶意软件分析报告,包括以下三大发现。HelloKitty的Linux变体以虚拟机为目标6月,研究人员首次公开发现了一个Linux加密器——被HelloKitty勒索软件团伙使用。HelloKitty是2月份对视频游戏开发商CDProjektRed发起攻击的幕后黑手,它开发了一系列LinuxELF-64版本的勒索软件,以针对运行在其上的VMwareESXi服务器和虚拟机(VM)。VMwareESXi,以前称为ESX,是一种裸机管理程序,可以轻松安装到服务器上并将它们分区为多个VM。虽然这使得多个VM可以轻松共享相同的硬盘驱动器存储,但它使系统成为攻击的“一站式购物点”,因为攻击者可以加密用于存储来自多个虚拟机的数据的集中式虚拟硬盘驱动器。.NewNetTechnologies(NNT)的DirkSchrader告诉Threatpost,除了ESXi服务器作为目标的吸引力之外,“将Linux作为许多虚拟化平台的起源添加到[恶意软件]的功能中”将产生一个副作用,即能够启用攻击任何Linux机器。MosesStaff:无法解密去年11月,一个名为MosesStaff的政治团体使整个以色列陷入瘫痪。它没有财务目标,也无意交出解密密钥。它的目标是使用勒索软件进行破坏性的、出于政治动机的攻击,希望造成尽可能大的损害。MosesStaff加密网络并窃取信息,无意索取赎金。该组织还保持活跃的社交媒体存在,通过其渠道发布挑衅性信息和视频,而不隐瞒其意图。EpsilonRed以Exchange服务器为目标6月,有人看到攻击者在一组PowerShell脚本后面部署了新的勒索软件,这些脚本是为利用未打补丁的Exchange服务器中的漏洞而开发的。EpsilonRed勒索软件是在一家美国酒店服务公司遭到攻击后被发现的,它指的是漫威漫画中一个不起眼的X战警角色,一名出生在俄罗斯的超级士兵,配备了四个机械触手。研究人员表示,对此次攻击的调查表明,企业的MicrosoftExchange服务器是攻击者进入企业网络的初始入口点,但尚不清楚这是由ProxyLogon漏洞利用还是其他漏洞造成的,但根本原因似乎是未打补丁server,攻击者使用WMI在网络中可以从Exchange服务器访问的机器上安装其他软件,然后进行下一步的勒索软件攻击。这是一种新型勒索软件,使用go语言编写,攻击者将使用powershell脚本加载勒索软件负载。5.游戏安全游戏安全连续第二年成为2021年读者关注的焦点,可能是因为全球COVID-19大流行带来了更多游戏玩家和网络犯罪分子继续瞄准该领域。在卡巴斯基最近的一项调查中,近61%的人报告曾有过身份盗用、欺诈或盗窃游戏内贵重物品等不当行为。以下是一些较受欢迎的帖子的概述。Steam被用来托管恶意软件6月,名为SteamHide的恶意软件出现,将自己伪装在Steam上的个人资料图片中。根据GData研究,Steam平台仅用作托管恶意文件的工具:“下载、解压缩和执行加载程序获得的恶意负载的繁重工作由访问恶意配置文件图像的外部组件处理在Steam配置文件上。这种外部有效负载可以通过特制电子邮件分发到受感染的网站。”隐写术显然不是一项新技术——但Steam配置文件正被用作攻击者控制的托管站点——当我们发布这个故事时,读者的兴趣被极大地吸引了。Twitch源代码泄露在10月,一位匿名用户发布了一个链接到4chan上一个125GB的torrent文件,其中包含Twitch的所有源代码、成立以来的评论、用户支付信息等。攻击者声称已经从直播游戏流媒体平台上洗劫了所有内容;不久之后,Twitch证实了这一漏洞。威胁者称这次泄密是一种“在在线视频流空间引发更多破坏和竞争”的手段。试图从帐户中窃取任何有价值的东西。针对游戏玩家的Discord骗局几乎无处不在。但研究人员发现了一种跨越Discord和Stream游戏平台的值得注意的新方法,据称诈骗者在这些平台上提供免费订阅Nitro(一种Discord附加组件,可以实现自定义表情符号、个人资料徽章、更大的上传、服务器升级等),以换取两个帐户之间的“链接”。目标首先在Discord上收到一条带有虚假价格标签的恶意消息,称“只需链接您的Steam帐户即可享受”。它包含一个链接。恶意链接将用户带到带有“GetNitro”按钮的虚假Discord页面。一旦受害者点击按钮,该网站就会显示一个Steam弹出广告,但研究人员解释说该广告仍然是恶意网站的一部分。该策略旨在让用户认为他们来到Steam平台是为了输入他们的登录信息——而事实上,骗子已经准备好获取凭据。索尼PlayStation3禁令6月,有报道称包含所有PlayStation3游戏机序列号的索尼文件夹遭到黑客攻击,导致用户莫名其妙地被禁止使用该平台。据报道,索尼在网上留下了一个不安全的文件夹,其中包含每台PS3游戏机的ID,该文件夹于4月中旬被一位名为“TheWizWiki”的西班牙YouTuber发现并报告。6月,PlayStationNetwork留言板上的玩家开始抱怨他们无法登录。用户认为威胁行为者开始使用窃取的PS3控制台ID用于恶意目的,导致合法玩家被禁止。但索尼并未证实PS3ID泄露与玩家被禁止使用该平台之间存在联系。惊喜:生肖密码破解!这是2021年最受欢迎的10个Threatpost帖子之一——连环杀手Zodiac的340代码,50年来一直没有被成功破解。2020年12月,美国软件开发人员DavidOranchak、澳大利亚数学家SamBlake和比利时程序员JarlVanEycke终于设法解决了这个难题。据称,十二宫连环杀手在1960年代末和70年代初在北加州及其周边地区杀害了至少5人,并夺走了37条生命。这位仍未透露姓名的杀手向当地报纸发送了一系列四条编码信息,吹嘘他的罪行,其中还包括神秘的图标,为他赢得了“十二生肖”的绰号。连环杀手发送的第一个密码很快就被破译了。但是第二个,即以340个字符命名的340Cipher,就很清楚了。澳大利亚数学家山姆布莱克计算出密码有650,000种可能的读取方式,而在比利时担任仓库操作员的JarlVanEycke编写了密码破解软件来解决解密问题。很快,他们独特的算法方法得到了回报。这条消息被联邦调查局正式承认是正确的,上面写着:“我希望你在抓我的过程中玩得开心。我不是那个在节目中自称是十二宫杀手的人。我不害怕毒气室,因为它可以很快把我送到天堂。我现在有足够的奴隶为我工作,而其他人到天堂时什么都没有,所以他们害怕死亡。我不害怕,因为我知道,在天堂生活会很轻松。”虽然难以捉摸的连环杀手的名字仍然难以捉摸,但这一突破代表了密码学和网络安全的基本构建块——访问控制和分段——的胜利。本文翻译自:https://threatpost.com/5-top-threatpost-stories-2021/177278/如有转载请注明出处。
