《维他命》每日安全简讯20190201

发布时间 2019-02-01



导读


2018年,数据泄露事件创历史记录,并且延伸到各个行业领域;DDoS攻击更为严峻,攻击流量越来越大;勒索App更具有针对性,且青睐于金融、法律、政府和非赢利性行业;CVE漏洞披露数量远远超过往年;GDPR等网络安全法规将对网络安全行业带来更广泛的影响;物联网安全将成为最重要的主题之一;供应链攻击将会一直持续下去。

1月

谷歌披露了CPU安全漏洞Meltdown(CVE-2017-5753和CVE-2017-5715)和Specter(CVE-2017-5754)的细节,其影响了自1995年以来的所有CPU。谷歌表示,攻击者可利用这两个漏洞窃取计算机当前处理的数据,这种攻击方式目前无法被检测到,所有的芯片厂商(Intel、AMD、arm ) 、  操 作 系 统 ( Windows 、 Linux 、 macOS 、 Android 、 ChromeOS ) 、 云 服 务 商(亚马逊、谷歌、微软)以及应用程序均受到影响。多数OS厂商已经或即将发布相关的修复补丁。

印媒曝印度身份识别系统Aadhaar数据泄露,可购买无限访问服务,根据印度媒体The Tribune的报道,印度身份识别系统Aadhaar约10亿印度公民信息泄露,如购买一项服务,可以无限制地访问Aadhaar系统中的数据,包括姓名、地址、邮编、照片、电话号码和电子邮件地址等。

安全厂商发布2018年网络安全威胁趋势预测报告,报告内容包括:智能家居设备可能会泄露隐私,如家用遥控摄像头、安防系统甚至汽车门锁系统等;儿童个人信息泄露,父母应该帮助儿童安全访问网络,如教他们关闭不必要的功能和修改默认密码;无服务器应用程序导致攻击面增加;勒索App针对高端人群;攻防技术的较量。
 
2月

美国ATM首次遭遇Jackpotting攻击,ATM Jackpotting攻击是一种复杂的犯罪行为,长期以来主要是针对欧洲和亚洲,美国FBI已经警告相关金融机构。攻击者似乎在使用Ploutus.D恶意App进行一系列攻击,将Opteva 500和700系列Dielbold ATM作为主要目标。

苹果苹果系统的组件iBoot-iOS源代码被上传到Github上,但是缺少文件无法编译,黑客和研究人员可通过源码开发恶意App和苹果越狱。共享代码来自iOS 9,但其中一部分可能仍然包含在iOS 11当中。

ESET发布2017年年终报告, Android设备上的勒索App感染数量逐渐下降。但是2017年整体的恶意App感染数量创下新高。
 
3月

近期使用Memcached服务器放大的UDP数据包的DDoS攻击有所增加。当攻击者伪造目标的IP地址向Memcached服务器发送请求时,作为响应,Memcached服务器会向目标IP发送大量不成比例的响应,从而构成反射攻击和放大攻击。这种放大倍数最大可达51200倍。估计有8.8万个Memcached服务器可被利用,北美和欧洲最多。

GitHub遭到大规模的DDoS攻击,诞生新的DDoS攻击记录是1.7Tbps。

美国一家能源企业因数据泄露事件被罚款270万美金,该电力企业已同意支付巨额罚款并采取行动以避免再次发生类似事件。NERC发布的罚款通知提供了有关该事件的一些细节,并澄清说,虽然能源企业同意支付罚款,但既不承认也不否认违反关键基础设施保护(CIP)NERC可靠性标准。

脸书发生大规模数据泄露事件,在2016年的美国大选期间剑桥分析企业非法盗取了超过5000万脸书用户的信息为川普助选。报告指出剑桥大学心理学讲师Dr. Aleksandr Kogan以学术研究为名,通过thisisyourdigitallife在线调查程序收集用户的数据,这些数据随后被川普雇佣的剑桥分析企业在美国大选中利用。
 
4月

黑客团伙JHT利用思科漏洞(CVE-2018-0171)发起针对俄罗斯和伊朗的网络基础设施的攻击活动。全球超过20万台路由器受影响,其中包括伊朗的3500台路由器。

圣马丁岛的基础设施遭到网络攻击,整个政府的基础设施被迫关闭,公共服务中断。当局表示这是一年来发生的第3起攻击事件。

大量Android应用违规采集儿童隐私信息,以谷歌 Play商店的“为家庭而设计”(DFF)计划的5855个应用为例, 57%的app可能违反了儿童在线隐私保护法案(COPPA)。约5%的app未经许可收集用户的位置和联系人信息,约19%的app与第三方共享敏感信息,约40%的app违反了旨在保护儿童隐私的谷歌服务条款。主要原因是大多数app使用的SDK通常自动收集用户信息。

数据企业LocalBlox从脸书、LinkedIn、Twitter和房地产企业Zillow等网站上收集的约4800万条信息可公开访问。这些数据包括用户的姓名、出生日期、实际地址、(LinkedIn)工作历史记录、部分用户的IP和电子邮件地址以及部分用户的个人净资产等信息。
 
5月

恶意攻击活动Operation GhostSecret,旨在窃取全球多个行业的数据,包括关键基础设施、娱乐、金融、医疗保健以及电信等行业。

随着WebStresser网站被关闭,欧洲的DDoS攻击下降60%,但DDoS攻击的缓和可能只是暂时的,随着新的DDoS攻击服务将填补WebStresser的空缺,预计DDoS攻击将会再次增加。

欧洲中央银行(ECB)发布基于威胁情报的TIBER-EU框架,该框架是首个范围为欧洲的针对金融市场的受控和定制网络攻击的测试框架。这一举措是对过去几年内针对金融行业的多起网络攻击的回应。该框架包括一个模拟真正黑客的策略、技术和程序的红方团队,来参与金融行业中的企业系统的漏洞评估和渗透测试。
 
6月

研究发现可通过声波/超声波攻击来破坏硬盘(HDD)的读取、写入和存储功能,还能导致操作系统崩溃。

数以千计的企业因谷歌 Groups的错误配置导致敏感数据泄露,在9600个分析对象中,有31%的企业的电子邮件信息泄露。包括财富500强的企业、医院、大学、报纸和电视台,甚至还有美国的政府机构。

以色列DNA检测企业MyHeritage遭黑客攻击,超过9200万用户的电子邮件地址和哈希密码泄露。虽然用户的密码已经使用加盐哈希进行保护,因而难以被破解,但该企业仍然建议用户修改密码。

AcFun发布公告称其遭黑客攻击,近千万用户数据泄露,包括用户ID、昵称、加密存储的密码等。建议密码过于简单的其它用户修改密码。
 
7月

英国税务机关HMRC涉嫌违法收集约510万英国公民的语音记录。HMRC通过2017年1月推出的一项语音识别服务收集了这些记录,该服务允许用户在呼叫HMRC时通过语音进行身份验证。但Big Brother Watch发现用户无法选择不使用该服务,所有拨打HMRC热线的用户都被迫录制了语音记录,并且用户无法选择从HMRC的数据库中删除其语音记录。

Wi-Fi联盟正式发布新一代安全标准WPA3,WPA3是用于Wi-Fi连接的用户身份验证技术的最新版本。Wi-Fi联盟表示WPA3的SAE算法能够抵御暴力攻击,WPA3将在多次失败尝试后阻止认证请求。

巴黎酒店预订企业FastBooking遭黑客入侵,数百家酒店的用户数据泄露。FastBooking称该事件影响了日本的380家酒店,Bleeping Computer认为这一数字在全球范围内可能超过了1000家。

Akamai发布2018年夏季互联网安全报告,重点关注DDoS攻击的趋势。DDoS攻击同比增长16%,基础架构层的攻击同比增长16%,反射型DDoS攻击同比增长4%,应用层的DDoS攻击同比增长38%;针对GitHub的DDoS攻击事件,创造了新的记录;Mirai攻击仍在持续;新的变种不断出现。

约5亿IoT设备易受DNS重新绑定攻击的影响,几乎所有类型的智能设备都易受此类攻击,包括智能电视、路由器、打印机、监视器、IP电话等。修复所有的设备可能是一项无法完成的任务,但将IoT设备集成到安全监控产品中可能是最简单有效的解决方案。
 
8月

我国工业互联网安全应急响应中心(ICS-CERT)发布联网视频监控系统网络安全态势报告,报告从地域分布、品牌分布、威胁分布等多个角度阐述国内网络视频监控系统的安全态势情况,并针对近年来发生的网络视频监控系统安全事件起因提出了相应的风险防范和安全应对方案,给相关政府部门、组织和研究机构提供参考和借鉴。

印度银行Cosmos Bank遭黑客入侵,三天内损失超过1350万美金。

欧盟资讯网站上的第三方cookie的数量在GDPR实施后下降了22%。该报告分别分析了2018年4月以及7月的数据,涵盖了芬兰、法国、德国、意大利、波兰、西班牙和英国七个国家的200个资讯网站。下降幅度最大的是英国,其资讯网站使用的跟踪cookie比GDPR实施前减少了45%。下降幅度最小的是德国,为6%。而波兰则是唯一一个cookie数量增长的国家,增长幅度为20%。
 
9月

利用.tk域名的大规模广告诈骗活动,攻击者将用户重定向至虚假的博客网站,这些网站上的广告收入每月达2万美金以上。部分.tk域名还被用于技术支撑诈骗。研究人员总共发现了与该恶意活动有关的3804个.tk域名。

卡巴斯基实验室ICS CERT发布关于2018年上半年工业自动化系统的威胁景观的分析报告。攻击比例同比增长4.6%。

Veeam因MongoDB配置错误导致4.45亿条记录泄露,包括用户的姓名、电子邮件地址、居住国家/地区等个人信息以及客户类型和企业规模、IP地址、相关URL、用户代理等营销相关信息。

Nexusguard的2018年Q2威胁报告,DDoS攻击平均增长26Gbps,规模增加500%多。与2017年同期相比,DDoS攻击的最大规模翻了四倍,达359Gbps。研究人员称数据的激增源于物联网僵尸网络Satori的增长。Syn洪泛攻击占据了主导地位。

赛门铁克2017年的移动威胁报告,主要发现包括移动恶意App的变种和数量都有所增加,移动恶意App变种的数量增加了54%;部分移动设备继续使用过时的操作系统,只有3%的Android设备更新至最新的操作系统版本,41%的Android设备至少缺少两个月的安全补丁,iOS设备相对较好,80%的iOS设备安装了最新的更新;危险的Wi-Fi网络比以往任何时候都更加广泛。
 
超过20亿台设备仍受BlueBorne漏洞的影响,例如服务器、智能手表、医疗设备和工业设备等还未进行修复,包括7.68亿台Linux设备、7.34亿台运行Android5.1及更早版本的设备、2.61亿台运行Android6及更早版本的设备、2亿台Windows设备以及5000万台运行iOS9.3.5及更早版本的设备。
10月

10月

脸书遭0day漏洞攻击,约5000万用户的访问令牌被窃,该漏洞存在于脸书的View As功能中,可允许攻击者窃取用户的访问令牌并访问用户的私人信息,而无需账户密码或双因素验证码。脸书已采取措施帮助近9000万用户重置了访问令牌,并禁用了View As功能。

Apollo企业遭黑客攻击,超过2亿条联系人记录泄露。Apollo从公共渠道收集了大量信息,包括姓名,电子邮件地址和企业联系信息,它还通过抓取Twitter和LinkedIn来收集数据。

金雅拓报告称2018上半年全球共发生945起数据泄露事件,共有45亿条数据记录遭到泄露。与2017年同期相比,丢失、被窃以及泄露的数据增长了133%。尽管数据泄露事件的数量略有下降,但事件的严重程度有所增加。其中6起社交媒体数据泄露事件导致了超过56%的数据泄露。数据泄露的最常见原因是外部因素(占56%)。
 
乌克兰政府机构的信息系统和电信系统再次遭到APT组织BlackEnergy的攻击,攻击者使用了新的恶意App,其功能包括远程管理操作系统以及文件复制、监控用户行为和拦截密码等。
 
超过3500万美国选民信息在黑客论坛上出售,包含来自19个州的多达3500万条选民信息。包括姓名、电话号码、住址、投票历史和其它投票数据等。

11 月

卡巴斯基发布2018年工业网络安全状况白皮书,指出随着与外部世界的连接不断增多,在工业IT和OT网络中安全性正在成为最重要的主题之一。77%的工业安全人士认为他们的企业很可能成为网络安全事件的目标,同时48%的受访者表示他们没有专门的OT/ICS事件响应计划。过去12个月内超过一半的企业表示他们没有经历过任何安全事件,但许多企业事实上根本没有检测或跟踪过任何攻击。
  
VirtualBox虚拟机逃逸0day,该漏洞影响了VirtualBox 5.2.20及之前的版本。该漏洞适用于网卡为Intel PRO/1000 MT Desktop (82540EM) 并处于NAT模式的虚拟机,攻击者可利用该漏洞逃逸至主机ring3权限,并利用其它技术提权至ring0。
  
研究机构发布美国信用卡欺诈报告,过去1年内已有6000万张信用卡信息泄露,其中4580万(75%)的信用卡信息是通过PoS机上的实卡交易被泄露的,只有25%的信用卡信息被在线窃取。这些实卡中90%是EMV卡。过去12个月内在电子商务中被窃的信用卡数量增长了14%,这意味者犯罪分子正在从实卡交易转向无卡欺诈。
 
51个国家、224家企业以及92个非营利组织在法国政府的推动下签署了这项《巴黎网络空间信任和安全倡议》协议,包括MicroSoft、GOOGLE、脸书和SAMSUNG等多家科技巨头。这份倡议书主要是为了应对过去几年出现的网络战。
 
卡巴斯基发布2019年网络威胁趋势的预测报告,主要内容包括:或许不会再发现更多的大型APT组织;网络硬件与物联网威胁将会不断增强;与外交和政治有关的公开报复;东南亚和中东地区或许会出现更多的攻击组织;(Ring -)权限,比Ring 0更高的权限;最受欢迎的感染媒介-钓鱼;或将出现更多类似“奥运驱逐舰”的攻击;供应链攻击将继续;移动恶意App不会出现大爆发,但高级攻击者会继续寻找入侵设备的方法。
 

12月


万豪酒店集团超大规模数据泄露,波及5亿用户,这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。
 
Quora遭黑客入侵,约1亿用户数据泄露,包括用户的账户信息,例如姓名、电子邮件地址、哈希密码以及从脸书、Twitter等社交媒体导入的数据;用户的公开内容,例如提问、回答、点赞和评论;用户的非公开内容,例如回答邀请、私人消息等。
 
爱立信App证书过期,导致11个国家通信网络瘫痪,包括英国移动运营商O2的用户、日本软银的用户等。爱立信在资讯稿中称设备故障是由特定版本的SGSN–MMEApp导致的,具体来说,其根本原因是安装在客户设备上的App证书过期。
 
美国众议院能源和商业委员会发布网络安全战略报告,旨在确立预防和缓解网络安全事件的战略。该报告认为当前美国的网络安全举措并未跟上互联网的发展,传统的信息技术策略在应对不断增长的网络安全事件中收效甚微。报告梳理出六点网络安全概念与六项网络安全优先项,包括建立普遍接受的协同披露程序、引入App物料清单(software bill of materials,简称SBOM)、支撑开源App、完善CVE程序、实施技术生命周期支撑战略以及强化公私合作模式。
 
IBM X-Force发布关于2019年网络犯罪威胁格局的预测报告,报告称2019年企业将减少使用社保号码作为身份验证标识;GDPR将对威胁情报、网络安全带来更广泛的影响;攻击者将更多地利用面向公众的自助服务系统收集有价值的用户数据;网络安全保险服务商将更多地与安全供应商进行合作;犯罪分子将更多地针对旅游、酒店业的数据;一些股票卖空可能与网络攻击有关,2019年将会披露一些事件或活动;恶意挖矿攻击将更多地利用PowerShell以无文件的形式进行。