2020年,新冠的爆发影响了各行各业的稳定运转,同时也催生出不少居家办公、以新冠疫情为核心的新需求,然而在2021年,全球用户的关注点发生了明显的转变。不安全的数据、代码托管库的恶意软件、关键性的零日漏洞利用和前所未见的勒索软件方案,这些话题成为了读者最常阅读的新闻主题。这或许表明在新的工作方式趋于“常态化”后,外界更热衷于关注网络犯罪的创新。
1. 不断泄露的“数据”
2021年的新闻头条显然被Log4Shell、殖民管道、卡塞亚、ProxyLogon/ProxyShell和SolarWinds等重大安全事件占据。除此之外,根据相关文章的流量数据,益博睿公司数据泄露事件也受到了广泛关注。
今年 4 月,罗彻斯特理工学院大二学生 Bill Demirkapi 发现,在一个贷款人网站上,通过益博睿信用局API端口,几乎可以查询任何一个美国人的信用评分,访问没有受到丝毫限制。
该端口名为Experian Connect API,允许贷款人自动进行FICO分数查询。Demirkapi通过建立一个名为"Bill's Cool Credit Score Lookup Utility"的命令行工具,即使在出生日期字段中用零代替,仍可以自动查询几乎所有人的信用分数。此外,通过该API端口,还可以获取益博睿用户更为详细的信用记录,以及信用预警,例如某用户消费金融账户过多等。
益博睿公司表示已经解决了该问题,并否决了该问题将带来系统性威胁的可能。
无独有偶,LinkedIn 数据在暗网上出售也成为2021年备受关注数据泄露事件。
2021年4月和6月,LinkedIn相继发生数据泄露事件,5 亿 LinkedIn 会员受到影响。一个自称是“GOD User TomLiner”的黑客在 RaidForums 上发布了一条包含 7 亿条 LinkedIn 账号待售记录的帖子。该条帖子包含 100 万条账号记录,证明系LinkedIn 会员信息,经Privacy Sharks 检测发现,泄露数据包括姓名、性别、电子邮件地址、电话号码和行业信息等内容。
截至目前我们仍然不清楚数据的具体来源,外界猜测相关数据可能源于公开资料的抓取。
LinkedIn 坚称数据库并没有被外来者入侵。
不过即便如此,LinkedIn用户数据泄露所其带来的安全影响也是巨大的,因为这些缓存记录可被不法分子用来暴力破解账户密码、电子邮件,从而实施电话诈骗、网络钓鱼、身份盗窃等活动。更重要的是,这些数据可能形成一个社交工程的“金矿”,攻击者轻轻松松就通过访问该档案获取不少目标用户的个人信息,进而实施有针对性的诈骗。
2. 关键零日漏洞
关键零日漏洞,这是一个永恒的话题,但2021年的恶性事件,要从 Log4Shell 说起。
Log4Shell 漏洞是 Java 日志库 Apache Log4j 中的一个关键漏洞,允许未经身份验证的远程代码执行 (RCE) 和完全接管服务器,目前,该漏洞仍在野外被积极利用。
在该漏洞 (CVE-2021-44228) 首次出现在 Minecraft 游戏网站后,Apache 匆忙发布补丁,但在一两天内,由于威胁者试图利用这个新漏洞,攻击逐渐变得猖獗起来。自此之后,关于额外的利用载体、第二个漏洞、攻击之凶猛及波及面的扩大新闻,就霸占了12月的全部头条。
NSO 公司针对 Apple 的“零点击”攻击事件
9 月,研究人员发现了一个称为“ForcedEntry be”的零点击漏洞,苹果包括 iPhone、iPad、Mac和Apple Watch在内的所有产品均受到影响。结果显示,该漏洞被NSO公司利用来安装臭名昭著的 Pegasus 间谍软件。
虽然苹果公司推出了紧急修复程序,但 Citizen Lab 已经观察到 NSO 公司已经通过 iMessage渠道实施了非法监控活动,而其中所利用的正是该漏洞。
Palo Alto 安全设备中的巨大零日漏洞
来自 Randori 的研究人员开发了一个有效的利用程序,以通过关键漏洞 CVE 2021-3064 在 Palo Alto Networks 的 GlobalProtect 防火墙上获得远程代码执行 (RCE)。
Randori 研究人员表示,如果攻击者成功利用该漏洞,他们可以获得目标系统的 shell,访问敏感配置数据,提取凭据等。
“一旦攻击者控制了防火墙,他们就可以访问内网,并继续横向移动。”值得庆幸的是,Palo Alto Networks 在信息披露当天修补了该漏洞。
谷歌内存零日漏洞
2021年 3 月,谷歌急忙修复 Chrome 浏览器中的一个受到主动攻击的漏洞。该漏洞是一个释放后使用漏洞,允许远程攻击者利用漏洞构建恶意WEB页,诱使用户解析,可使应用程序崩溃或执行任意代码。
“通过说服受害者访问特制网站,远程攻击者可以利用此漏洞执行任意代码或在系统上造成拒绝服务条件,” IBM X-Force 对该漏洞报告写道。
戴尔内核权限漏洞
今年年初,研究者在部分戴尔个人电脑、平板电脑和笔记本电脑中发现了5个隐藏了12年的严重安全漏洞,这些产品均在2009年前后销往市场。根据SentinelLabs的说法,这些安全漏洞可以绕过防火墙或其他安全防护产品的保护,在目标设备商执行代码,并通过局域网或是互联网向其他设备进行横向移动渗透。
研究人员说,这些漏洞隐藏在戴尔的固件更新驱动程序中,可能影响到数亿台戴尔电脑设备。
自 2009 年以来,戴尔固件更新驱动程序版本 2.3 (dbutil_2_3.sys) 模块中存在多个本地权限提升 (LPE) 漏洞。驱动程序组件通过戴尔 BIOS 实用程序处理戴尔固件更新,将漏洞“预先安装”在大多数运行 Windows 系统的戴尔机器上。
3. 软件供应链和代码库危机
软件供应链以开源代码存储库为基础,开发人员可以在集中位置上传软件包,供开发人员在构建各种应用程序、服务和其他项目时使用。它们包括 GitHub,以及更专业的存储库,如 Java 的 Node.js 包管理器 (npm) 代码存储库、Ruby 编程语言的RubyGems 、Python 包索引 (PyPI)等等。
这些软件包管理器在提供便利的同时,却又成为了全新的供应链威胁,因为任何人都可以向它们上传代码,而这些代码又能在不知不觉中渗入各类应用程序中。
更为重要的是,一个单一的恶意软件包可以被植入加密矿工、信息窃取器等不同的项目中,并进一步感染,使得修复过程变得极其复杂。
由于操作简单,危害性又极为严重,因此网络犯罪分子蜂拥而至。例如,12 月在 npm 中发现了 17个系列恶意包,它们都是针对虚拟会议平台 Discord 而构建的。目的是为了窃取Discord令牌,从而接管账户。
同样在本月,托管在 PyPI 代码存储库中的三个恶意软件包被发现,总共有超过 12,000 次下载,可能已经潜入各种应用程序的安装中。这些软件包包括一个用于在受害者设备建立后门的木马程序和两个信息窃取程序。
研究人员还发现,Maven Central 生态系统中有 17,000 个未打补丁的 Log4j Java 包,这使得Log4Shell 漏洞利用带来的巨大供应链风险显而易见。谷歌安全团队表示,这可能需要 "数年 "的时间来修复整个生态系统。
4. 狡猾的勒索软件变体
2021年,勒索软件称为一种日益严重的威胁,此类网络犯罪的复杂性和创新水平不断提高。用来锁定文件的恶意软件,已不再是简单地在目标文件夹上加一个扩展名。关于勒索软件的变体及进展,主要有如下三大发现:
HelloKitty :以虚拟机为目标
今年 6 月,研究人员首次公开了HelloKitty 勒索软件团伙使用的一种 Linux 加密器。
HelloKitty是2月份攻击电子游戏开发商CD Projekt Red的幕后黑手,它开发了许多 Linux ELF-64 版本的勒索软件,用于攻击VMware ESXi 服务器和运行在它们上面的虚拟机 (VM)。
VMware ESXi(以前称为 ESX),是一种裸机管理程序,可以轻松安装到服务器上,并将其分割为多个虚拟机系统。尽管这使得多个虚拟机共享相同的硬盘存储变得容易,但这反而增加了系统遭受攻击的风险。由于多个虚拟机共用同一个储存系统,因此一旦数据被锁,攻击者就可以直接攻陷多个服务器系统。
MosesStaff:“失踪”的密钥
11月,一个名为 MosesStaff 的团体向以色列相关机构发起攻击,攻击最终使以色列网络系统陷入瘫痪。
与一般网络勒索案件不同的是,MosesStaff并不求财,它用尽手段加密网络和窃取信息,只是源于“政治意图”。该组织还在社交媒体上保持活跃,通过各种渠道发布煽动性的信息和视频,并让外界知道它的所作所为。
Epsilon Red 以 Exchange 服务器为目标
6 月份,研究员发现,某攻击者在一组 PowerShell 脚本的基础上部署了新的勒索软件,这些脚本是利用未打补丁的 Exchange 服务器的漏洞而开发的。
Epsilon Red 勒索软件是在对美国一家酒店公司攻击时被发现的,对其命名来自 X 战警漫威漫画中一个不起眼的敌人角色,一名有着四个机械触手的俄罗斯超级士兵。
研究人员表示,该勒索软件的入侵模式与一般勒索软件有所不同。虽然该恶意软件本身是一个用Go编程语言编程的64位Windows可执行程序,但其交付系统依赖于一系列PowerShell脚本。
5. 游戏安全
连续第二年,游戏安全成为关注的焦点,这可能是因为全球疫情流行推高了游戏需求,网络犯罪分子也继续瞄准游戏领域。在卡巴斯基最近的一项调查中,近 61% 的人有过诸如ID盗窃、诈骗或游戏内贵重物品被盗的遭遇。下面概述了一些相关事件。
SteamHide风波
今年六月,出现了名为SteamHide的恶意软件,它利用游戏平台Steam的个人资料头像进行传播。
根据G Data公司的研究,恶意软件并不会直接感染Steam,而是将它作为了传播渠道。SteamHide会通过电子邮件首次传播,随后快速感染目标设备上的Steam平台,存有恶意代码的图片会替换掉原有的Steam个人资料头像。当用户的好友访问到这张头像时,就会自动感染SteamHide。
事实上,隐写技术并不是什么新兴技术,只不过SteamHide能够想到利用隐写和Steam平台好友访问来实施网络犯罪,其创意还是让人为之震惊。
Twitch 源代码泄露
10月,一个匿名用户在4chan上发布了大小为125GB的数据链接,其中包含Twitch的所有源代码,可以追溯到Twitch成立伊始的所有数据,包括用户评论,用户付费信息等等。
攻击者声称洗劫了Twitch直播平台的一切,而Twitch则证实了这一事件的真实性。不过值得庆幸的是,攻击者并没有谋求钱财,发起攻击完全为了发泄对于Twitch 规则的不满,攻击者希望能以此完善Twitch的用户规则。
窃取Steam 的 Discord 骗局
11 月,一种新的骗局开始在 Discord 上传播,网络犯罪分子可以通过它获取 Steam 帐户信息,并利用帐户中的有用数据实施诈骗。
以游戏玩家为目标的Discord骗局屡见不鲜,而这一种却玩出了新意。研究人员指出,新模式跨越了Discord和Stream游戏平台,骗子提供所谓的免费订阅Nitro(一种Discord插件,可以实现头像、自定义表情符号、个人资料徽章、更大的上传、服务器提升等等),以换取两个账户的 "链接"。
目标用户会在Discord上收到一条恶意链接,其中描述了不少好处,包括获得免费游戏或是游戏道具,而用户需要做的只是“链接你的Steam账户"。点击恶意链接会将用户带到一个虚假的Discord页面,上面有一个按钮,写着 "获得Nitro"。一旦受害者点击该按钮,该网站似乎会提供一个与Steam页面类似的弹出式广告,但研究人员解释说,该广告仍是恶意网站的一部分。
该策略旨在欺骗用户认为他们被带到 Steam 平台以输入他们的登录信息,实际上,骗子已经准备好接受你的账户数据了。
PlayStation3 被“Ban”了
2021年6月,由于索尼疏于管理,一个包含所有PlayStation3游戏机序列号的文件夹以明文的方式放在网上。这给了不法分子可乘之机,最终导致部分PlayStation 3玩家的主机直接被“Ban”,无法正常使用。
2021年4月中旬,一个名为 "The WizWiki "的西班牙YouTuber发现,索尼在网上留下了一个包含所有PS3游戏机ID的文件夹,没有任何安全保障可言。而到了2020年6月,PlayStation网络留言板上的玩家开始抱怨他们无法登录。
用户猜测,威胁者使用偷来的PS3游戏机ID进行恶意操作,导致合法玩家被禁。但索尼并未确认这两者之间存在必然的联系。
额外阅读:十二宫杀手密码终被破解
困扰美国警方半个多世纪的“十二宫杀手”密码,在2020年12月被某数学家团队破解。
据报道, 1960 年代末和 1970 年代初,连环杀手在北加利福尼亚地区及其周边地区谋杀了至少 5 人。这位至今未具名的凶手向当地报纸媒体发送了四串加密信息,吹嘘自己的罪行并包含神秘的图标,这为他赢得了“黄道十二宫”的绰号。
第一串密码很快被破译,但以340字符命名的“340 Cipher ”更难破译。澳大利亚数学家 Sam Blake 计算出有 650,000 种解读方式。比利时一名仓库操作员 Jarl Van Eycke 编写了一个软件来破解密码。这一独特的密码破解方式有了回音。并且这条消息得到了FBI的官方确认。
虽然神秘的连环杀手的名字还不为人知,但这一突破代表着密码学和网络安全中访问控制和分割的胜利。
参考来源:https://threatpost.com/5-top-threatpost-stories-2021/177278/#Experian_Leak
