普普安全资讯一周概览 (0731-0806)

作者:

时间:
2021-08-06
01

恶意软件制造者诡计多端 使用“小众”编程语言逃避常见安全检测


黑莓研究人员报告称,不常见的编程语言包括 Go、Rust、Nim和DLang正在成为恶意软件作者的最爱,它们试图绕过安全防御或解决开发过程中的弱点。攻击者使用新编程语言并不新鲜,研究团队注意到这四种语言的恶意用途增加,使用它们的恶意软件家族数量同时增多。研究人员指出,这些语言变得越来越发达,并预计随着趋势的继续,它们的使用者会日益增多。攻击者采用一种新的编程语言有如下几个原因:它可以解决现有语言的弱点,或者为开发人员提供更简单的语法、更有效的内存管理或性能提升。研究人员同时指出,新语言也可能更适合现有的设备环境,比如,大多数使用低级语言的物联网设备。当攻击者利用这些特点时,就会对防御者构成挑战。恶意软件分析工具并不总是支持鲜为人知的语言,与C或C++ 等传统语言相比,用Go、Rust、Nim和 DLang 编写的二进制文件在反汇编时可能会显得更加复杂。

普普安全资讯一周概览 (0731-0806)

普普点评:

用这些鲜为人知的语言编写的恶意软件通常不会像用更常见和成熟的语言编写的恶意软件那样被检测到,软件检测及分析工具要和恶意软件同步还需要一段时间,但企业及组织的安全意识必须提高起来,要积极主动去防御新出现的技术和恶意软件手段。加强软件安全防御能力,从底层源代码安全检测做起,不给恶意软件可乘之机。


普普安全资讯一周概览 (0731-0806)
02

2021年威胁情报发展报告:近半公司被不准确或过时的威胁情报困扰


深网与暗网的体量是仅次于美国和中国的世界第三大经济体,换句话说,如果你是网络罪犯就必须与之产生接触根据分析,许多公司都开始收集深网和暗网的情报,也了解了情报更新的重要性。但收集情报的速度与质量以及这些情报对公司网络安全的影响存在着巨大的鸿沟。以色列的威胁情报公司 Cybersixgill 认为,由于数据质量较差、缺乏上下文等问题,想要利用暗网的情报仍然存在许多问题。根据报告可以发现:在过去的一年中,有 25% 的公司经历了六次以上的安全违规事件,35% 的公司认为补充新的威胁情报需要 12 小时以上的时间才能开始进行升级和补救,35% 的公司会使用七个以上的威胁情报数据源,95% 的公司中威胁情报分析人员每周都会因为误报浪费一个小时以上的时间,40% 的公司认为威胁情报最大的痛点在于缺乏上下文。总结来说,这些公司拥有的情报数据非常容易导致误报,同时由于缺乏全局的理解也无法保证网络防御策略保护公司免受攻击。

普普安全资讯一周概览 (0731-0806)

普普点评:

威胁情报是包含漏洞、资产、威胁、风险、运行和事件等多维度安全知识在内的知识集合。《信息安全技术 网络安全等级保护测评要求》中,首次提出了对“威胁情报检测系统”和“威胁情报库”的要求。威胁情报可以帮助企业安全人员了解其所在行业的威胁环境,有哪些攻击者,攻击者使用的战术技术等。威胁情报帮助其了解企业自身正在遭受或未来面临的威胁,并为高层决策提供建议。

普普安全资讯一周概览 (0731-0806)
03

Zimbra新漏洞或造成20万家企业数据泄漏


Zimbra是一套开源协同办公套件,包括WebMail、日历、通信录、Web文档管理和创作。它通过将终端用户的信息和活动连接到私有云中,为用户提供了最具创新性的消息接收体验,因此每天有超过20万家企业和1000多家政府、金融机构使用Zimbra与数百万用户交换电子邮件。SonarSource的专家近期披露了开源 Zimbra代码中的两个漏洞。这些漏洞可能使未经身份验证的攻击者破坏目标企业的Zimbra网络邮件服务器。借此,攻击者就可以不受限制的访问所有员工通过Zimbra传输的电子邮件内容。劫持Zimbra服务器的两个漏洞:CVE-2021-35208跨站点脚本漏洞,CVE-2021-35209服务器端请求伪造漏洞。安全专家表示,当用户浏览查看Zimbra传入的恶意电子邮件时,就会触发跨站点脚本漏洞。恶意电子邮件会包含一个精心设计的JavaScript有效负载,当该负载被执行时,攻击者将能够访问受害者所有的电子邮件。另一个服务器端请求伪造漏洞,绕过了访问控制的允许列表,该漏洞可以被任何权限角色的经过身份验证的组织成员利用。

普普安全资讯一周概览 (0731-0806)

普普点评:

随着虚拟化协同办公发展的深入,国内的开源协同办公软件也逐渐成熟起来,然而Zimbra漏洞的披露彰显了软件供应链安全的脆弱性。这一事件也提醒我们,软件供应链安全的提升需要从两个维度出发,其一,对于软件供应商来说,通过软件开发安全的相关流程来增强软件安全性变得愈加重要;其二,对于软件使用者,企业要提升员工的安全意识,软件产品的稳定性和安全性不是坚不可摧的,我们在使用过程中对于一些“可疑”的使用情况要提高警惕性。

普普安全资讯一周概览 (0731-0806)
04

诊疗系统瘫痪 西安警方侦破一起破坏医院计算机信息系统案


公安莲湖分局近日成功侦破一起黑客类网络攻击犯罪案件。2021年5月15日,莲湖区某医院负责人报案称,自2021年3月起,该院网络系统持续出现故障,导医台、诊室系统等网络设备无法正常联网,医院诊疗秩序受到破坏。经院方网络工程师初步排查,医院网络系统重要文件疑似被人为更改,诊疗系统全面瘫痪。公安莲湖分局网络安全保卫大队接到报警后,迅速联合属地红庙坡派出所成立专案组进行案件侦破,第一时间对受破坏网络系统开展电子证据数据侦查、取证工作,收集攻击日志近10万条,提取电子证据1.2TB。经过连续月余技术攻关,分析海量服务器数据后,警方发现多条可疑IP地址先后十余次非法登录该院计算机系统,并更改、删除、重置重要文件的记录。通过进一步侦查,最终锁定该院前系统管理员白某某(男,41岁)具有重大作案嫌疑。在掌握白某某犯罪证据后,专案组抽调精干力量对其实施抓捕,当场查获作案用电脑1台、手机1部、硬盘1个及用于作案的软件1款。经审查,犯罪嫌疑人白某某系该院前网络系统管理员,因对院方不满萌生报复心理,遂利用自学网络知识,非法入侵医院内网服务器,远程进行破坏性操作。犯罪嫌疑人白某某对其破坏计算机系统的犯罪事实供认不讳。目前,犯罪嫌疑人白某某因涉嫌破坏计算机信息系统罪被西安市公安局莲湖分局依法刑事拘留,莲湖区检察院已对其批准逮捕,案件正在进一步侦查中。
普普安全资讯一周概览 (0731-0806)

普普点评:

《中华人民共和国刑法》第二百八十六条:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。离职员工与原工作单位有纠纷的,应采取正确方法维护个人利益,施行违法行为满足报复心理,只会得不偿失。

普普安全资讯一周概览 (0731-0806)
05

工信部:企业应将保护数据安全作为生产经营的底线和红线


7月28日,工信部网络安全管理局委托中国互联网协会组织召开重点互联网企业贯彻落实数据安全法座谈会。中国互联网协会、中国信息通信研究院及阿里、腾讯、美团、奇安信、小米、京东、微博、字节跳动、58同城、百度、拼多多、蚂蚁集团等12家企业近40人参会。工信部强调,做好重点互联网企业数据安全保护工作,对于贯彻《数据安全法》、维护国家安全有重要意义。会上,工信部要求各企业贯彻总体国家安全观,深入贯彻落实《数据安全法》,切实加强数据安全保护。工信部表示,一是认真学习贯彻法律明确的监管机制、制度体系、主体责任、保护义务等要求,做到知法、懂法、守法,将保护数据安全作为企业生产经营的底线和红线,维护国家主权、安全和发展利益;二是强化大型互联网企业责任担当,切实履行数据保护义务,企业要加强组织领导,明确数据安全责任部门和责任人,建立全生命周期的数据安全管理体系和机制,采取相应的技术措施开展风险监测和应急处置,加强重要数据安全风险评估和出境管理;三是共同构建协同共治的行业数据安全监管体系,鼓励企业积极参与数据安全标准研制、关键技术研发等工作,并主动配合行业监管。6月10日,数据安全法经十三届全国人大常委会第二十九次会议表决通过,将自今年9月1日起正式施行。相较于前两次的审议稿,正式出台的数据安全法首次提出“国家核心数据”概念,并规定违反国家核心数据管理制度情节严重最高可罚一千万元。

普普安全资讯一周概览 (0731-0806)

普普点评:

近日来,工信部对互联网行业数据安全方面的整治动作不断,尤其是企业在数据收集、传输、存储及对外提供等环节是近期社会舆论关注的重点,保护用户的数据安全,需要相关企业必须要履行的社会责任。

普普安全资讯一周概览 (0731-0806)
06

你的屏幕被“偷”了 新恶意软件Vultur已控制数千台设备


最近研究人员在 Google Play 中发现一种新型 Android 恶意软件,已经波及了一百多个银行和加密货币应用程序。荷兰安全公司 ThreatFabric 的研究人员将该种恶意软件命名为 Vultur。该恶意软件会在目标应用程序打开时记录屏幕,Vultur 会使用 VNC 屏幕共享将失陷主机的屏幕镜像到攻击者控制的服务器。Vultur 的攻击是可以扩展并自动化的,欺诈的手法可以在后端编写脚本并下发到受害设备。与许多 Android 银行木马程序一样,Vultur 严重依赖于移动操作系统中内置的辅助功能服务。首次安装时,Vultur 会滥用这些服务来获取所需的权限。而一旦安装成功,Vultur 就会监控所有触发无障碍服务的请求。Vultur 使用这些服务监测来自目标应用程序的请求,而且还使用这些服务通过一般手段对恶意软件进行删除和清理。每当用户尝试访问 Android 设置中的应用程序详细信息页时,Vultur 都会自动单击后退按钮。这会妨碍用户点击卸载按钮,而且 Vultur 也隐藏了它自己的图标。安装成功后,Vultur 会使用  VNC 开始进行屏幕录制。Vultur 针对103 个 Android 银行应用程序或加密货币应用程序进行窃密,意大利、澳大利亚和西班牙是受攻击最多的国家。除了银行应用程序和加密货币应用程序外,该恶意软件还会收集 Facebook、WhatsApp Messenger、TikTok 和 Viber Messenger 的凭据。

普普安全资讯一周概览 (0731-0806)

普普点评:

安卓手机用户为避免手机被恶意应用程序劫持,应该在正规软件商店下载手机APP,且尽可能只安装来自知名厂商的应用程序,应用安装后应仔细阅读 APP 的授权条款,尽量关闭不必要的 APP 后台权限。

普普安全资讯一周概览 (0731-0806)
07

微软示警:近期网络钓鱼邮件肆虐 以巧妙方式欺骗用户点击链接下载附件


Microsoft Security Intelligence 本周发布了新的网络钓鱼安全警告。该团队认为本次活动的覆盖面非常广,包括官方Twitter账号在内,团队已经通过多个渠道向公众示警。该网络钓鱼活动会巧妙地组合看起来合法电子邮件地址和非常有欺骗性的发件人地址,让你以为这是来自同事或者朋友带有附件的电子邮件。电子邮件发件人看起来像是合法的服务人员,使用的用户名和域可能会欺骗普通用户。他们使用的打字技巧通常会愚弄快速阅读者,例如带有切换字母大小写的URL地址,或者在主域名末尾的“.com” 之前添加“com”,这种方式往往简单而有效。这些电子邮件在显示名称和消息中使用了 SharePoint 诱饵,作为对假定的“员工报告”、“奖金”、“价格手册”和其他内容的“文件共享”请求,并带有导航链接到钓鱼页面。用户被引诱点击电子邮件中的链接,所述链接将用户发送到网络钓鱼页面或一系列页面,用户必须在其中登录 Microsoft 或 Google 帐户,这些登录页面看起来非常真实,让用户相信他们正在进行正常的访问。
普普安全资讯一周概览 (0731-0806)

普普点评:

5招识别钓鱼邮件:一看发件人地址,二看邮件标题,三看正文措辞,四看正文目的,五看正文内容;防范钓鱼邮件做到5不要:不要轻信发件人地址中显示的“显示名”,不要轻易点开陌生邮件中的链接,不要放松对“熟人”邮件的警惕,不要使用公共场所的网络设备执行敏感操作,不要将敏感信息发布到网上。