2020年,新冠疫情的爆发影响了各行各业的稳定运行。然而,进入2021年,全球用户的关注点发生了明显的变化。不安全的数据、代码托管存储库中的恶意软件、关键的零日攻击和前所未见的勒索软件计划是读者阅读的热门新闻主题。这或许表明,在新的工作方式“常态化”之后,外界更加热衷于关注网络犯罪的创新。1.不断泄露的“数据”2021年的头条新闻明显被Log4Shell、ColonialPipeline、Cassia、ProxyLogon/ProxyShell、SolarWinds等重大安全事件占据。此外,根据相关文章的流量数据,益博睿的数据泄露事件也受到了广泛关注。4月,罗彻斯特理工学院二年级学生BillDemirkapi发现,在一家贷方的网站上,通过Experian信用局API端口,几乎可以查询任何美国人的信用评分,而且没有访问限制。该端口称为ExperianConnectAPI,允许贷方自动执行FICO分数查找。Demirkapi构建了一个名为“Bill'sCoolCreditScoreLookupUtility”的命令行工具,它可以自动查询几乎任何人的信用评分,即使出生日期字段中的零被替换。此外,通过该API接口,您还可以获得益百利用户更详细的信用记录,以及信用预警,比如某用户金融账户消费过多等。Experian表示,它已经解决了这个问题,并驳斥了该问题将构成系统性威胁的可能性。无独有偶,暗网出售LinkedIn数据也成为2021年备受瞩目的数据泄露事件。2021年4月和2021年6月,LinkedIn接连发生数据泄露事件,影响了5亿LinkedIn会员。一名自称“GOD用户TomLiner”的黑客在RaidForums上发布了一篇帖子,其中包含7亿个LinkedIn帐户待售。该帖子包含100万条账户记录,经证实是LinkedIn会员信息。经PrivacySharks测试发现,泄露的数据包括姓名、性别、电子邮箱、电话号码、行业信息等。截至目前,我们仍不清楚该数据的具体来源,外界猜测相关数据可能来自对公开信息的抓取。LinkedIn坚称该数据库没有被外人破坏。但即便如此,LinkedIn用户数据泄露带来的安全影响也是巨大的,因为这些缓存记录可以被不法分子用来暴力破解账户密码和邮箱,从而实施电话诈骗、网络钓鱼、身份盗用等活动。更重要的是,这些数据可能会形成社会工程学的“金矿”。攻击者可以通过访问该文件轻松获取众多目标用户的个人信息,进而进行有针对性的诈骗。2.严重的零日漏洞严重的零日漏洞是一个永恒的话题,但2021年的恶性事件将从Log4Shell开始。Log4Shell漏洞是Java日志库ApacheLog4j中的一个严重漏洞,它允许未经身份验证的远程代码执行(RCE)和完全服务器接管,目前仍在被积极利用。在漏洞(CVE-2021-44228)首次出现在Minecraft游戏网站上后,Apache急于发布补丁,但在一两天内,由于威胁行为者试图利用新漏洞,攻击愈演愈烈。从那时起,有关其他利用向量、第二个漏洞以及攻击的凶猛性和影响范围的消息占据了整个12月的头条新闻。NSO对Apple的“零点击”攻击9月,研究人员发现了一个名为“ForcedEntrybe”的零点击漏洞,该漏洞影响所有Apple产品,包括iPhone、iPad、Mac和AppleWatch。事实证明,该漏洞被NSOCorporation利用来安装臭名昭著的Pegasus间谍软件。在Apple推出紧急修复程序的同时,CitizenLab观察到NSO通过利用该漏洞的iMessage渠道开展了非法监视活动。PaloAlto安全设备中存在巨大的零日漏洞Randori的研究人员开发了一个有效的漏洞利用程序,通过严重漏洞CVE2021-3064在PaloAltoNetworks的GlobalProtect防火墙上获得远程代码执行(RCE)。Randori研究人员表示,如果攻击者成功利用该漏洞,他们可以获得目标系统上的外壳、访问敏感配置数据、提取凭据等等。“一旦攻击者控制了防火墙,他们就可以访问内部网络并继续横向移动。”值得庆幸的是,PaloAltoNetworks在披露当天修补了该漏洞。谷歌内存零日漏洞2021年3月,谷歌急于修复其Chrome浏览器中一个被积极利用的漏洞。该漏洞为释放后使用漏洞,远程攻击者可利用该漏洞构建恶意WEB页面,诱骗用户解析,导致应用程序崩溃或执行任意代码。IBMX-Force在漏洞报告中写道:“通过说服受害者访问特制网站,远程攻击者可以利用此漏洞执行任意代码或导致系统出现拒绝服务状态。”DellKernelPrivilegeVulnerabilities今年早些时候,研究人员在部分戴尔PC、平板电脑和笔记本电脑中发现了五个严重的安全漏洞,这些漏洞已隐藏了12年,这些产品均在2009年左右投放市场。据SentinelLabs称,这些安全漏洞可以绕过防火墙或其他安全防护产品的保护,在目标设备厂商上执行代码,通过局域网或互联网对其他设备进行横向移动渗透。研究人员表示,这些漏洞隐藏在戴尔的固件更新驱动程序中,可能会影响数亿台戴尔计算机设备。2009年的戴尔固件更新驱动程序版本2.3(dbutil_2_3.sys)模块中存在多个本地特权提升(LPE)漏洞。驱动程序组件通过戴尔BIOS实用程序处理戴尔固件更新,该实用程序“预安装”了大多数戴尔的漏洞运行Windows的机器。3.软件供应链和代码库危机软件供应链基于开源代码库,开发者可以集中上传软件包,供开发者在构建各种应用、服务和其他项目时使用。它们包括GitHub以及更专业的存储库,例如用于Java的Node.js包管理器(npm)代码存储库、用于Ruby编程语言的RubyGems、Python包索引(PyPI)等等。虽然这些包管理器提供了便利,但它们也代表了一种全新的供应链威胁,因为任何人都可以向它们上传代码,从而在不知不觉中渗透到各种应用程序中。更重要的是,单个恶意软件包可以植入不同的项目,如挖矿机、信息窃取器等,并进一步感染,使得修复过程极其复杂。由于其简单性和极端危害性,网络犯罪分子蜂拥而至。例如,去年12月,在npm中发现了17个恶意包家族,它们都是为虚拟会议平台Discord构建的。目的是窃取Discord代币,从而接管账户。同样在本月,在PyPI代码库上发现了三个恶意软件包,总下载量超过12,000次,可能已经渗透到各种应用程序的安装中。这些软件包包括一个用于在受害者设备上创建后门的特洛伊木马程序和两个信息窃取程序。研究人员还发现,在MavenCentral生态系统中有17,000个未打补丁的Log4jJava包,这表明Log4Shell漏洞利用带来的重大供应链风险显而易见。谷歌的安全团队表示,修复整个生态系统可能需要“数年”时间。4.偷偷摸摸的勒索软件变种勒索软件是2021年日益严重的威胁,此类网络犯罪的复杂性和创新程度不断提高。用于锁定文件的恶意软件不再简单地向目标文件夹添加扩展名。关于勒索软件的变种和进展,主要有以下三个发现:HelloKitty:以虚拟机为目标今年6月,研究人员首次披露了HelloKitty勒索软件团伙使用的Linux加密器。HelloKitty是2月份对视频游戏开发商CDProjektRed发起攻击的幕后黑手,它开发了多个LinuxELF-64版本的勒索软件来攻击VMwareESXi服务器和在其上运行的虚拟机(VM)。VMwareESXi(以前称为ESX)是一种裸机管理程序,可以轻松安装在服务器上并分区为多个虚拟机系统。虽然这使得多个虚拟机可以轻松共享同一硬盘驱动器存储,但它增加了系统攻击的风险。由于多个虚拟机共享同一个存储系统,一旦数据被锁定,攻击者可以直接攻击多个服务器系统。MosesStaff:“失踪”的钥匙11月,一个名为MosesStaff的组织对以色列相关机构发起攻击,最终导致以色列网络系统瘫痪。与一般的网络勒索案件不同,MosesStaff并不要钱。它不择手段地加密网络和窃取信息,只是出于“政治意图”。该组织还在社交媒体上保持活跃,通过各种渠道发布煽动性信息和视频,让外界知道他们在做什么。EpsilonRed以Exchange服务器为目标6月,研究人员发现攻击者部署了基于一组PowerShell脚本的新勒索软件,这些脚本是为利用未打补丁的Exchange服务器中的漏洞而开发的。EpsilonRed勒索软件是在攻击一家美国酒店公司时发现的,它以X战警漫威漫画中一个不起眼的敌人角色命名,这是一个拥有四个机械触手的俄罗斯超级士兵。研究人员表示,该勒索病毒的入侵方式与一般勒索病毒不同。虽然恶意软件本身是用Go编程语言编写的64位Windows可执行文件,但其传递系统依赖于一系列PowerShell脚本。5、游戏安全游戏安全连续第二年成为人们关注的焦点。这可能是因为全球疫情推高了游戏需求,网络犯罪分子不断瞄准游戏领域。在卡巴斯基最近的一项调查中,近61%的人有过身份盗窃、诈骗或游戏内贵重物品被盗等经历。下面概述了一些相关事件。SteamHide事件今年6月,有一款名为SteamHide的恶意软件利用游戏平台Steam的头像进行传播。根据GData的研究,该恶意软件并未直接感染Steam,而是将其作为传播渠道。SteamHide首先会通过邮件传播,然后迅速感染目标设备上的Steam平台,包含恶意代码的图片会替换原来的Steam头像。当用户的好友访问该头像时,会自动感染SteamHide。其实隐写技术并不是什么新技术,但SteamHide能想到利用隐写和Steam平台好友权限进行网络犯罪,其创意还是令人震惊的。Twitch源代码泄露10月,一位匿名用户在4chan上发布了一个125GB的数据链接,其中包含所有Twitch源代码,所有数据可追溯到Twitch成立之初,包括用户评论、用户支付信息等。攻击者声称在Twitch直播平台洗劫了一切,Twitch确认了事件的真实性。但幸运的是,攻击者并没有谋取金钱,发动攻击完全是为了发泄对Twitch规则的不满,攻击者希望改进Twitch用户规则。Discord骗局窃取Steam11月,一种新的骗局开始在Discord上传播,使网络犯罪分子能够访问Steam帐户信息并使用帐户中的有用数据进行欺诈。针对游戏玩家的Discord诈骗司空见惯,但这一次却有所创新。研究人员指出,新模式跨越了Discord和Stream游戏平台,诈骗者提供所谓的免费订阅Nitro(一个Discord插件,可以启用头像、自定义表情符号、个人资料徽章、更大的上传、服务器提升等),作为交换用于两个帐户之间的“链接”。目标用户将在Discord上收到一个恶意链接,其中描述了一些好处,包括获得免费游戏或游戏物品,而用户需要做的就是“链接您的Steam帐户”。单击恶意链接会将用户带到一个虚假的Discord页面,该页面带有一个显示“获取Nitro”的按钮。研究人员解释说,一旦受害者点击该按钮,该网站就会弹出一个类似于Steam页面的广告,但该广告仍然是恶意网站的一部分。该策略旨在诱使用户认为他们已被带到Steam平台以输入他们的登录详细信息,而实际上,骗子已准备好接受您的帐户数据。PlayStation3被“Ban”2021年6月,由于索尼管理不严,一个包含所有PlayStation3游戏机序列号的文件夹以明文形式被放到了互联网上。这给了不法分子以可乘之机,最终导致部分PlayStation3玩家的主机被直接“Ban”,无法正常使用。2021年4月中旬,一位名为“TheWizWiki”的西班牙YouTuber发现索尼在网上留下了一个文件夹,其中包含所有PS3游戏机的ID,完全没有安全性。而在2020年6月,PlayStationNetwork留言板上的玩家开始抱怨无法登录。用户推测威胁行为者使用窃取的PS3游戏机ID进行恶意操作,导致合法玩家被封禁。但索尼并未证实两者之间存在必然联系。补充阅读:生肖密码终于破解困扰美国警方半个多世纪的“生肖”密码,于2020年12月被一组数学家破解。据报道,连环杀手在1960年代末和70年代初在北加州及其周边地区杀害了至少5人。这位尚未透露姓名的杀手向当地报纸发送了四封加密信息,吹嘘他的罪行并包含神秘图标,这使他获得了“十二生肖”的绰号。第一串密码很快被破译,但以340个字符命名的“340密码”更难破译。澳大利亚数学家山姆布莱克计算出有65万种解释。比利时仓库操作员JarlVanEycke编写了破解代码的软件。这种独特的密码破解方法有回声。而这个消息已经得到了美国联邦调查局的官方证实。虽然神秘连环杀手的名字仍然未知,但这一突破代表着密码学和网络安全领域的访问控制和分段取得了胜利。参考来源:https://threatpost.com/5-top-threatpost-stories-2021/177278/#Experian_Leak
