近日,有外媒发文称,2020年,其读者对网络安全的担忧大多是居家办公安全和疫情主题事件等,但2021年A这些年来发生了明显的转变。2021年接近尾声,Log4Shell、Colonial、kaseya、ProxyLogon/ProxyShell、SolarWind等重大事件占据了今年的头条,但从流量的角度来看,读者对以下五项也很感兴趣:数据泄漏重大零日漏洞代码库恶意软件勒索软件创新游戏攻击(图片来自外媒)数据泄露(1)Experian数据泄露,几乎每个美国人的信用评分都是通过Experian信用局使用的API工具暴露的。该工具称为ExperianConnectAPI,允许贷方自动执行FICO分数查找。Demirkapi说他能够构建一个命令行工具,让他可以自动查询几乎任何人的信用评分,即使在出生日期字段中输入的全是零。但Experian并不是唯一一个因数据不安全而吸引读者的家喻户晓的名字:在暗网上出售LinkedIn数据是今年另一个非常热门的话题。(2)LinkedIn数据抓取在4月份的数据抓取事件中,5亿LinkedIn会员受到影响,然后在6月份再次发生该事件。自称为“上帝用户TomLiner”的黑客。在RaidForums上发布了一篇帖子,其中包含7亿条LinkedIn待售记录。该广告包括100万条记录的样本作为“证据”。PrivacySharks检查了免费样本,发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据来源是什么。但根据LinkedIn的说法,没有发生网络漏洞。即便如此,研究人员表示,安全后果仍然很严重,可能会导致暴力破解帐户密码、电子邮件和电话诈骗、网络钓鱼企图、身份盗用等。主要的零日攻击始于Log4Shell。(1)Log4ShellLog4Shell漏洞是无处不在的Java日志库ApacheLog4j中的一个容易被利用的缺陷,它可能允许未经身份验证的远程代码执行(RCE)和完整的服务器接管——而且它仍然在野外被积极利用。该漏洞(CVE-2021-44228)首次出现在一个面向世界上最受欢迎的游戏Minecraft用户的网站上。Apache急于发布补丁,但在一两天内,攻击变得猖獗,因为威胁参与者试图利用新漏洞。(2)NSOGroup9月,发现了一个名为ForcedEntry的零点击零日漏洞,影响所有Apple产品:iPhone、iPad、Mac和手表。NSOGroup使用它来安装臭名昭著的Pegasus间谍软件。Apple推出了紧急修复程序,但CitizenLab观察到NSOGroup瞄准了一个前所未见的零点击漏洞。ForcedEntry漏洞特别值得注意,因为它已成功部署在最新的iOS版本14.4和14.6上,突破了Apple新的BlastDoor沙箱功能。(3)来自帕洛阿尔托的另一条引起广大读者兴趣的零日新闻是Randori的研究人员开发了一种有效的漏洞利用程序来获取远程代码执行(RCE)。Randori研究人员表示,如果攻击者成功利用该弱点,他们可以获得目标系统上的外壳、访问敏感配置数据、提取凭据等等;之后,攻击者可以跨越目标组织。“一旦攻击者获得防火墙的控制权,他们就可以看到内部网络并继续横向移动,”他们说。PaloAltoNetworks在该漏洞被披露的当天就对其进行了修补。(4)谷歌3月,谷歌紧急修复了其Chrome浏览器中一个被积极利用的漏洞。如果被利用,该漏洞可能允许对受影响的系统进行远程代码执行和拒绝服务攻击。该缺陷是一个释放后使用漏洞,专门存在于作为Chromium项目的一部分开发的Chrome浏览器引擎Blink中。浏览器引擎将HTML文档和其他Web资源转换为最终用户可以查看的可视化表示。“通过说服受害者访问精心制作的网站,远程攻击者可以利用此漏洞执行任意代码或导致系统出现拒绝服务状态,”IBMX-Force在其关于该漏洞的报告中表示。(5)戴尔今年早些时候,研究人员发现了自2009年以来销售的所有戴尔PC、平板电脑和笔记本电脑中隐藏了12年的五个高危安全漏洞。根据SentinelLabs的说法,它们允许绕过安全产品,执行代码和转向网络的其他部分进行横向移动。研究人员表示,这些缺陷潜伏在戴尔的固件更新驱动程序中,可能会影响数亿台戴尔台式机、笔记本电脑和平板电脑。自2009年以来一直在使用的固件更新驱动程序版本2.3(dbutil_2_3.sys)模块中存在多个本地权限提升(LPE)错误。驱动程序组件通过戴尔BIOS实用程序处理戴尔固件更新,它预装在大多数运行Windows的戴尔机器。代码存储库和软件供应链软件供应链由开放源代码存储库支撑,它允许开发人员集中上传软件包,供开发人员在构建各种应用程序、服务和其他项目时使用。它们包括GitHub以及更专业的存储库,例如Java的Node.js包管理器(npm)代码存储库;RubyGems(用于Ruby编程语言)等。这些包管理器代表了供应链威胁,因为任何人都可以向它们上传代码,而这些代码又可能在不知不觉中被用作各种应用程序的构建块。任何用户的应用程序都可能受到恶意代码的攻击。网络罪犯蜂拥而至。例如,12月,在npm中发现了一系列17个恶意软件包;它们都是针对Discord构建的,Discord是一个虚拟会议平台,有3.5亿用户使用该平台,可以进行语音通话、视频通话、文本消息和文件通信。同样在本月,PyPI代码库上托管的三个恶意软件包被发现,总下载量超过12,000次,可能被偷偷安装在各种应用程序中。这些软件包包括一个用于在受害者机器上创建后门的特洛伊木马程序和两个信息窃取程序。研究人员上周还发现,MavenCentral生态系统中有17,000个未打补丁的Log4jJava包,这使得Log4Shell利用存在重大供应链风险。据谷歌的安全团队称,修复整个生态系统可能需要“数年”时间。使用恶意软件包作为网络攻击载体也是今年早些时候的一个常见主题。勒索软件变体勒索软件在2021年猖獗。用于锁定文件的实际恶意软件的发展,除了简单地在目标文件夹上添加扩展名之外,还包括以下三个发现。HelloKitty的Linux变体以虚拟机为目标6月,研究人员首次公开发现了一个Linux加密器——被HelloKitty勒索软件团伙使用。HelloKitty是2月份对视频游戏开发商CDProjektRed发起攻击的幕后黑手,它开发了一系列LinuxELF-64版本的勒索软件来攻击VMwareESXi服务器和在其上运行的虚拟机(VM)。VMwareESXi,以前称为ESX,是一种裸机管理程序,可以轻松安装到服务器上并将它们划分为多个VM。虽然这使得多个VM可以轻松共享相同的硬盘驱动器存储,但它使系统成为攻击的一站式站点,因为攻击者可以加密用于跨VM存储数据的集中式虚拟硬盘驱动器。(1)MosesStaff:无法解密11月,一个名为MosesStaff的政治团体在没有任何财务目标的情况下瘫痪了以色列实体——而且无意交出解密密钥。相反,它使用勒索软件对以色列目标进行破坏性的、出于政治动机的攻击,试图造成最大的损害。MosesStaff加密网络并窃取信息,无意索要赎金或纠正损害。该组织还保持活跃的社交媒体存在,发布消息和视频并公开其意图。(2)EpsilonRed以Exchange服务器为目标6月,威胁行为者在一组PowerShell脚本背后部署了新的勒索软件,这些脚本旨在利用未打补丁的Exchange服务器中的缺陷。EpsilonRed勒索软件是在一家美国酒店服务公司遭到攻击后被发现的,它指的是X战警漫威漫画中一个不起眼的敌人角色,一个拥有四个机甲触手的俄罗斯血统超级士兵。研究人员表示,虽然恶意软件本身是用Go编程语言编写的“准系统”64位Windows可执行文件,但其传递系统依赖于一系列PowerShell脚本,这些脚本“准备好要被利用的最终勒索软件有效负载”。攻击机器,并最终交付并启动它。”游戏安全连续第二年成为2021年读者关注的焦点,这可能是由于全球大流行导致游戏量增加。网络罪犯也继续瞄准这一领域。在卡巴斯基最近的一项调查中,近61%的人报告曾有过身份盗用、欺诈或盗窃游戏内贵重物品等不当行为。该领域的新闻事件包括Steam被用来托管恶意软件、Twitch源代码泄露、索尼PlayStation3禁令等。来源:threatpost摘录,作者Terra。
