普普安全資訊一周概覽(0916-0922)

作者:

時間:
2023-09-22


01

充滿潛力的未來:元宇宙將打開新的漏洞


元宇宙的興起與所有技術(shù)創(chuàng)新一樣,它帶來了新的機遇和新的風(fēng)險。懷有惡意的人將利用它打開新的漏洞。Metaverse 是一種沉浸式虛擬現(xiàn)實版本的互聯(lián)網(wǎng) ,人們可以在其中與數(shù)字對象以及他們自己和他人的數(shù)字表示進行交互,并且可以或多或少地從一個虛擬環(huán)境自由移動到另一個虛擬環(huán)境。它還可以達到虛擬現(xiàn)實和物理現(xiàn)實的融合,既通過在虛擬中代表來自物理世界的人和物體,又通過將虛擬帶入人們對物理空間的感知。通過戴上虛擬現(xiàn)實耳機和增強現(xiàn)實眼鏡,人們將能夠在環(huán)境之間以及數(shù)字和物理之間的界限是可滲透的環(huán)境中進行社交和工作等等。在元宇宙中,人們將能夠找到與他們離線生活相一致的意義和體驗。問題就在于此。當(dāng)人們學(xué)會愛某物時,無論是數(shù)字的、物理的還是組合的,從他們那里拿走那東西都會導(dǎo)致情緒上的痛苦和痛苦。更確切地說,人們所珍視的東西變成了可以被那些試圖造成傷害的人利用的漏洞。有惡意的人已經(jīng)注意到元宇宙是他們武器庫中的一個潛在工具。


普普點評

新的虛擬和混合現(xiàn)實空間帶來了新目標(biāo)的潛力。就像建筑物、事件和人在現(xiàn)實世界中可能受到傷害一樣,在虛擬世界中也可能受到攻擊。想象一下猶太教堂上的萬字符,銀行、購物和工作等現(xiàn)實生活活動的中斷,以及公共活動的破壞。破壞增強現(xiàn)實或虛擬現(xiàn)實業(yè)務(wù)意味著個人遭受真正的經(jīng)濟損失。與物理場所一樣,虛擬空間可以精心設(shè)計和制作,從而承載人們投入時間和創(chuàng)造力建設(shè)的東西所具有的意義。




02

URL解析錯誤導(dǎo)致DoS、RCE等

研究人員警告說,由于16個不同的URL解析庫之間的不一致而導(dǎo)致的8個不同的安全漏洞,可能導(dǎo)致多種Web應(yīng)用程序中的拒絕服務(wù)(DoS)情況、信息泄漏和遠程代碼執(zhí)行(RCE)。這些漏洞是在為各種語言編寫的第三方Web包中發(fā)現(xiàn)的,并且像Log4Shell和其他軟件供應(yīng)鏈威脅一樣,可能已被導(dǎo)入到數(shù)百或數(shù)千個不同的Web應(yīng)用程序和項目中。受影響的是Flask(一個用Python編寫的微型Web框架)、Video.js(HTML5視頻播放器)、Belledonne(免費的VoIP和IP視頻電話)、Nagios XI(網(wǎng)絡(luò)和服務(wù)器監(jiān)控)和Clearance(Ruby密碼驗證)。來自Claroty Team82研究部門和Synk的研究人員在周一的一份分析報告中寫道:“URL實際上是由五個不同的組件構(gòu)成的:方案、權(quán)限、路徑、查詢和片段。”“每個組件都扮演著不同的角色,它決定了請求的協(xié)議、持有資源的主機、應(yīng)該獲取的確切資源等等?!?/span>

普普點評

URL庫混淆會干擾正確的驗證,就像Clearance漏洞一樣。研究人員指出,Clearance(Ruby的Rails框架中一個廣泛應(yīng)用的第三方插件,可以實現(xiàn)簡單安全的電子郵件和密碼身份驗證)中的易受攻擊的函數(shù)是“return_to”。此函數(shù)在登錄/注銷過程之后調(diào)用,并且應(yīng)該將用戶安全地重定向到他們之前請求的頁面。但是,如果可以說服目標(biāo)單擊具有以下語法的URL,則可將其破壞。





03

勞動管理平臺Kronos遭到勒索軟件攻擊

勞動管理平臺Kronos遭到勒索軟件攻擊,它說這將會使其云端服務(wù)在幾周內(nèi)無法使用。它建議客戶使用其他方式來完成工資核算和其他人力資源活動。這次故障給客戶帶來了災(zāi)難性的后果。Kronos提供了一系列的解決方案,包括員工的日程安排、薪酬管理、工資和工時、福利管理、休假管理、人才招聘、入職培訓(xùn)等內(nèi)容。它的客戶包括很多世界上最大的公司,如特斯拉和彪馬,以及各種衛(wèi)生、公共部門和知名大學(xué)、基督教青年會等組織,以及餐館和零售商等小型企業(yè)。在周日下午晚些時候發(fā)給Kronos私有云(KPC)的客戶信息中,該公司表示,從周六開始,有幾個解決方案已經(jīng)開始使用了。該公司在通知中說,目前,我們還沒有一個準(zhǔn)確的恢復(fù)時間,這個問題可能至少需要幾天才能解決。該公司在周一的更新中把這個時間段擴大到了可能需要幾周。我們建議那些受影響的客戶使用其他計劃來處理考勤數(shù)據(jù),進行工資處理,管理時間,以及其他對該組織很重要的相關(guān)操作。

普普點評

這種情況表明,企業(yè)必須積極準(zhǔn)備應(yīng)對勒索軟件攻擊。他說:'這次攻擊使人們認(rèn)識到,企業(yè)需要快速有效制定容災(zāi)恢復(fù)和持續(xù)運營計劃。企業(yè)越是嚴(yán)重依賴技術(shù)服務(wù),就越需要有一個在沒有這些服務(wù)的情況下依然能夠運行的計劃。索軟件團伙經(jīng)常將攻擊的時間定在假期內(nèi)組織人手不足的時候,他們希望攻擊耗費更長的時間才被發(fā)現(xiàn),那么應(yīng)急響應(yīng)的時間也會用的更多。





04

多個勒索軟件團伙利用VMware的Log4Shell漏洞

日前,英國國民保健署(NHS)警告稱,黑客們正在大肆利用VMware Horizon虛擬桌面平臺中的Log4Shell漏洞,以部署勒索軟件及其他惡意程序包。隨后,微軟證實,一個名為DEV-0401的勒索軟件團伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微軟表示:“我們的調(diào)查表明,這些活動有些已成功入侵目標(biāo)系統(tǒng),并部署了NightSky勒索軟件。”微軟的調(diào)查結(jié)果為NHS的早期警報提供了新線索,NHS警告稱:“攻擊者肆意利用VMware Horizon服務(wù)器中的Log4Shell漏洞,企圖建立Web Shell?!惫粽呖梢允褂眠@些Web Shell,部署惡意軟件和勒索軟件以及泄露數(shù)據(jù)。為了應(yīng)對這起安全事件,NHS和VMware都敦促用戶盡快修補受影響的系統(tǒng),以及/或者實施安全公告中提到的變通辦法。NightSky是一個比較新的勒索軟件團伙,在去年年底開始活躍起來。繼Log4Shell漏洞之后,安全研究人員警告類似的漏洞可能很快會出現(xiàn)。

普普點評

H2是一款流行的開源數(shù)據(jù)庫管理系統(tǒng),用Java編寫,它廣泛應(yīng)用于眾多平臺,包括Spring Boot和ThingWorks。該系統(tǒng)可以嵌入到Java應(yīng)用程序中,或在客戶端-服務(wù)器模式下運行。據(jù)JFrog和飛塔的FortiGuard Labs介紹,該系統(tǒng)提供了一種輕量級內(nèi)存中服務(wù),不需要將數(shù)據(jù)存儲在磁盤上。與Log4Shell相似,該漏洞可允許H2數(shù)據(jù)庫框架中的幾條代碼路徑將未經(jīng)過濾的攻擊者控制的URL傳遞給啟用遠程代碼執(zhí)行的函數(shù)。



05

FIN7組織通過郵寄惡意U盤來投放勒索軟件

美國聯(lián)邦調(diào)查局周五警告說,勒索軟件團伙正在郵寄惡意的U盤,冒充美國衛(wèi)生與公眾服務(wù)部(HHS)和亞馬遜集團,針對運輸、保險和國防行業(yè)進行勒索軟件感染攻擊。聯(lián)邦調(diào)查局在發(fā)給各個組織的安全警報中說,F(xiàn)IN7--又名Carbanak或Navigator Group,是使用Carbanak后門惡意軟件進行攻擊的網(wǎng)絡(luò)犯罪團伙,其攻擊經(jīng)常以獲取經(jīng)濟利益為目的。FIN7從2015年就已經(jīng)開始存在了。最初,該團伙通過使用其定制的后門惡意軟件來維持對目標(biāo)公司的持續(xù)訪問權(quán)限,以及使用間諜軟件來針對銷售點(PoS)系統(tǒng)進行攻擊而逐漸為民眾所熟知。它的攻擊目標(biāo)往往是休閑餐廳、賭場和酒店。但在2020年,F(xiàn)IN7也開始涉足勒索軟件以及游戲領(lǐng)域,其攻擊活動經(jīng)常會使用REvil或Ryuk作為有效攻擊載荷。聯(lián)邦調(diào)查局說,在過去的幾個月里,F(xiàn)IN7將惡意的USB設(shè)備郵寄給美國公司,希望有人能夠把它插到驅(qū)動器上,然后利用惡意軟件來感染系統(tǒng),從而為以后的勒索軟件攻擊做好準(zhǔn)備。

普普點評

BadUSB攻擊是利用了USB固件中的一個固有漏洞,該漏洞能夠使攻擊者對USB設(shè)備進行重新編程,使其能夠作為一個人機交互設(shè)備,即作為一個預(yù)裝了自動執(zhí)行腳本的惡意USB鍵盤。重新編程后,USB可以被用來在受害者的電腦上執(zhí)行惡意命令或運行惡意程序。端點保護軟件也可以幫助防止這些攻擊,它可以很好的保證用戶的安全性。


06

惡意軟件偽裝成系統(tǒng)更新,通殺Win Mac Linux三大系統(tǒng)

能同時攻擊Windows、Mac、Linux三大操作系統(tǒng)的惡意軟件出現(xiàn)了。雖然“全平臺通殺”病毒并不常見,但是安全公司Intezer的研究人員發(fā)現(xiàn),有家教育公司在上個月中了招。更可怕的是,他們通過分析域名和病毒庫發(fā)現(xiàn),這個惡意軟件已經(jīng)存在半年之久,只是直到最近才被檢測到。他們把這個惡意軟件命名為SysJoker。SysJoker核心部分是后綴名為“.ts”的TypeScript文件,一旦感染就能被遠程控制,方便黑客進一步后續(xù)攻擊,比如植入勒索病毒。SysJoker用C++編寫,每個變體都是為目標(biāo)操作系統(tǒng)量身定制,之前在57個不同反病毒檢測引擎上都未被檢測到。下面將以Windows為例展示SysJoker的行為。首先,SysJoker會偽裝成系統(tǒng)更新。一旦用戶將其誤認(rèn)為更新文件開始運行,它就會隨機睡眠90到120秒,然后在目錄下復(fù)制自己,并改名為igfxCUIService.exe,偽裝成英特爾圖形通用用戶界面服務(wù)。接下來,它使用Live off the 命令收集有關(guān)機器的信息,包括MAC地址、IP地址等。

普普點評

SysJoker現(xiàn)在被殺毒軟件檢測出的概率很低,但發(fā)現(xiàn)它的Intezer公司還是提供了一些檢測方法。用戶可以使用內(nèi)存掃描工具檢測內(nèi)存中的SysJoker有效負(fù)載,或者使用檢測內(nèi)容在EDR或SIEM中搜索。具體操作方法可以參見Intezer網(wǎng)站。已經(jīng)感染的用戶也不要害怕,Intezer也提供了手動殺死SysJoker的方法。用戶可以殺死與SysJoker相關(guān)的進程,刪除相關(guān)的注冊表鍵值和與SysJoker相關(guān)的所有文件。



07

一文了解漏洞利用鏈:含義、風(fēng)險、用例及緩解建議

漏洞利用鏈(也稱為漏洞鏈)是將多個漏洞利用組合在一起以危害目標(biāo)的網(wǎng)絡(luò)攻擊方式。與專注于單一入口點相比,網(wǎng)絡(luò)犯罪分子更喜歡使用它們來破壞設(shè)備或系統(tǒng),以獲得更大的破壞力或影響。Forrester分析師Steve Turner表示,漏洞利用鏈攻擊的目標(biāo)是獲得內(nèi)核/根/系統(tǒng)級別的訪問權(quán)限來破壞系統(tǒng)以執(zhí)行攻擊活動。漏洞利用鏈允許攻擊者通過使用正常系統(tǒng)進程中的漏洞,繞過眾多防御機制來快速提權(quán)自己,從而融入組織的環(huán)境中。雖然漏洞利用鏈攻擊通常需要花費網(wǎng)絡(luò)犯罪分子更多的時間、精力和專業(yè)技能,但將漏洞利用組合在一起,允許惡意行為者執(zhí)行更復(fù)雜且難以修復(fù)的攻擊,這具體取決于漏洞序列的長度和復(fù)雜程度。漏洞利用鏈給組織帶來的風(fēng)險將是巨大的。Vulcan Cyber研究團隊負(fù)責(zé)人Ortal Keizman表示,不幸的現(xiàn)實是,IT安全團隊背負(fù)著這樣一個事實:幾乎所有漏洞利用都利用了已知漏洞和漏洞利用鏈,而這些漏洞由于各種原因尚未得到緩解。

普普點評


漏洞利用鏈最常用于移動設(shè)備。鑒于手機架構(gòu)的性質(zhì),需要使用多種漏洞來獲取root訪問權(quán)限,以執(zhí)行移動惡意軟件所需的操作。針對瀏覽器漏洞的利用鏈同樣存在可能性,攻擊者可以使用網(wǎng)絡(luò)釣魚電子郵件將用戶引導(dǎo)到網(wǎng)頁,然后再發(fā)起“路過式”(drive-by)攻擊以利用瀏覽器漏洞。然后將它們與第二個漏洞鏈接以執(zhí)行沙盒逃逸,然后是第三個漏洞以獲取權(quán)限提升。