1、劳动管理平台Kronos遭到勒索软件攻击

劳动管理平台Kronos遭到勒索软件攻击，它说这将会使其云端服务在几周内无法使用。它建议客户使用其他方式来完成工资核算和其他人力资源活动。这次故障给客户带来了灾难性的后果。

Kronos提供了一系列的解决方案，包括员工的日程安排、薪酬管理、工资和工时、福利管理、休假管理、人才招聘、入职培训等内容。它的客户包括很多世界上最大的公司，如特斯拉和彪马，以及各种卫生、公共部门和知名大学、基督教青年会等组织，以及餐馆和零售商等小型企业。

在周日下午晚些时候发给Kronos私有云(KPC)的客户信息中，该公司表示，从周六开始，有几个解决方案已经开始使用了。

该公司在通知中说，目前，我们还没有一个准确的恢复时间，这个问题可能至少需要几天才能解决。该公司在周一的更新中把这个时间段扩大到了可能需要几周。我们建议那些受影响的客户使用其他计划来处理考勤数据，进行工资处理，管理时间，以及其他对该组织很重要的相关操作。

# 普普点评 #

这种情况表明，企业必须积极准备应对勒索软件攻击。他说：'这次攻击使人们认识到，企业需要快速有效制定容灾恢复和持续运营计划。企业越是严重依赖技术服务，就越需要有一个在没有这些服务的情况下依然能够运行的计划。索软件团伙经常将攻击的时间定在假期内组织人手不足的时候，他们希望攻击耗费更长的时间才被发现，那么应急响应的时间也会用的更多。

2、多个勒索软件团伙利用VMware的Log4Shell漏洞

日前，英国国民保健署(NHS)警告称，黑客们正在大肆利用VMware Horizon虚拟桌面平台中的Log4Shell漏洞，以部署勒索软件及其他恶意程序包。随后，微软证实，一个名为DEV-0401的勒索软件团伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微软表示：“我们的调查表明，这些活动有些已成功入侵目标系统，并部署了NightSky勒索软件。”

微软的调查结果为NHS的早期警报提供了新线索，NHS警告称：“攻击者肆意利用VMware Horizon服务器中的Log4Shell漏洞，企图建立Web Shell。”攻击者可以使用这些Web Shell，部署恶意软件和勒索软件以及泄露数据。为了应对这起安全事件，NHS和VMware都敦促用户尽快修补受影响的系统，以及/或者实施安全公告中提到的变通办法。

VMware发言人表示：“凡是连接到互联网，但尚未针对Log4j漏洞打补丁的服务都很容易受到黑客攻击，VMware强烈建议立即采取措施。”据了解，在本月早些时候安全研究组织MalwareHunterTeam发现，NightSky是一个比较新的勒索软件团伙，在去年年底开始活跃起来。继Log4Shell漏洞之后，安全研究人员警告类似的漏洞可能很快会出现。

# 普普点评 #

H2是一款流行的开源数据库管理系统，用Java编写，它广泛应用于众多平台，包括Spring Boot和ThingWorks。该系统可以嵌入到Java应用程序中，或在客户端-服务器模式下运行。据JFrog和飞塔的FortiGuard Labs介绍，该系统提供了一种轻量级内存中服务，不需要将数据存储在磁盘上。与Log4Shell相似，该漏洞可允许H2数据库框架中的几条代码路径将未经过滤的攻击者控制的URL传递给启用远程代码执行的函数。

3、FIN7组织通过邮寄恶意U盘来投放勒索软件

美国联邦调查局周五警告说，勒索软件团伙正在邮寄恶意的U盘，冒充美国卫生与公众服务部(HHS)和亚马逊集团，针对运输、保险和国防行业进行勒索软件感染攻击。

联邦调查局在发给各个组织的安全警报中说，FIN7--又名Carbanak或Navigator Group，是使用Carbanak后门恶意软件进行攻击的网络犯罪团伙，其攻击经常以获取经济利益为目的。

FIN7从2015年就已经开始存在了。最初，该团伙通过使用其定制的后门恶意软件来维持对目标公司的持续访问权限，以及使用间谍软件来针对销售点(PoS)系统进行攻击而逐渐为民众所熟知。它的攻击目标往往是休闲餐厅、赌场和酒店。但在2020年，FIN7也开始涉足勒索软件以及游戏领域，其攻击活动经常会使用REvil或Ryuk作为有效攻击载荷。

联邦调查局说，在过去的几个月里，FIN7将恶意的USB设备邮寄给美国公司，希望有人能够把它插到驱动器上，然后利用恶意软件来感染系统，从而为以后的勒索软件攻击做好准备。

# 普普点评 #

BadUSB攻击是利用了USB固件中的一个固有漏洞，该漏洞能够使攻击者对USB设备进行重新编程，使其能够作为一个人机交互设备，即作为一个预装了自动执行脚本的恶意USB键盘。重新编程后，USB可以被用来在受害者的电脑上执行恶意命令或运行恶意程序。端点保护软件也可以帮助防止这些攻击，它可以很好的保证用户的安全性。

4、恶意软件伪装成系统更新 通杀Win Mac Linux三大系统

能同时攻击Windows、Mac、Linux三大操作系统的恶意软件出现了。虽然“全平台通杀”病毒并不常见，但是安全公司Intezer的研究人员发现，有家教育公司在上个月中了招。更可怕的是，他们通过分析域名和病毒库发现，这个恶意软件已经存在半年之久，只是直到最近才被检测到。

他们把这个恶意软件命名为SysJoker。SysJoker核心部分是后缀名为“.ts”的TypeScript文件，一旦感染就能被远程控制，方便黑客进一步后续攻击，比如植入勒索病毒。SysJoker用C++编写，每个变体都是为目标操作系统量身定制，之前在57个不同反病毒检测引擎上都未被检测到。

那么SysJoker到底是如何通杀三大系统的？SysJoker的感染步骤；SysJoker在三种操作系统中的行为类似，下面将以Windows为例展示SysJoker的行为。首先，SysJoker会伪装成系统更新。一旦用户将其误认为更新文件开始运行，它就会随机睡眠90到120秒，然后在目录下复制自己，并改名为igfxCUIService.exe，伪装成英特尔图形通用用户界面服务。接下来，它使用Live off the Land（LOtL）命令收集有关机器的信息，包括MAC地址、IP地址等。

# 普普点评 #

SysJoker现在被杀毒软件检测出的概率很低，但发现它的Intezer公司还是提供了一些检测方法。用户可以使用内存扫描工具检测内存中的SysJoker有效负载，或者使用检测内容在EDR或SIEM中搜索。具体操作方法可以参见Intezer网站。已经感染的用户也不要害怕，Intezer也提供了手动杀死SysJoker的方法。用户可以杀死与SysJoker相关的进程，删除相关的注册表键值和与SysJoker相关的所有文件。

5、一文了解漏洞利用链：含义、风险、用例及缓解建议

漏洞利用链(也称为漏洞链)是将多个漏洞利用组合在一起以危害目标的网络攻击方式。与专注于单一入口点相比，网络犯罪分子更喜欢使用它们来破坏设备或系统，以获得更大的破坏力或影响。

Forrester分析师Steve Turner表示，漏洞利用链攻击的目标是获得内核/根/系统级别的访问权限来破坏系统以执行攻击活动。漏洞利用链允许攻击者通过使用正常系统进程中的漏洞，绕过众多防御机制来快速提权自己，从而融入组织的环境中。

虽然漏洞利用链攻击通常需要花费网络犯罪分子更多的时间、精力和专业技能，但将漏洞利用组合在一起，允许恶意行为者执行更复杂且难以修复的攻击，这具体取决于漏洞序列的长度和复杂程度。

漏洞利用链给组织带来的风险将是巨大的。Vulcan Cyber研究团队负责人Ortal Keizman表示，不幸的现实是，IT安全团队背负着这样一个事实：几乎所有漏洞利用都利用了已知漏洞和漏洞利用链，而这些漏洞由于各种原因尚未得到缓解。

# 普普点评 #

漏洞利用链最常用于移动设备。鉴于手机架构的性质，需要使用多种漏洞来获取root访问权限，以执行移动恶意软件所需的操作。针对浏览器漏洞的利用链同样存在可能性，攻击者可以使用网络钓鱼电子邮件将用户引导到网页，然后再发起“路过式”(drive-by)攻击以利用浏览器漏洞。然后将它们与第二个漏洞链接以执行沙盒逃逸，然后是第三个漏洞以获取权限提升。

6、您对网络威胁51%攻击知多少？

区块链的去中心化性质和加密算法使其几乎不可能受到攻击。然而，以太经典(Ethereum Classic)区块链沦为了51%攻击(51% attack)的受害者，估计因此损失110万美元。那么，51%攻击是如何发生的?它的影响怎样?

51%攻击，较常见的字面意思是：只要算力超过51%，就能对某个系统发动攻击，这个系统就存在中心化或者被攻破的可能性。它是一种区块链渗入，可能导致网络中断，最终导致挖矿垄断。一旦矿工(miner、是指尝试创建区块并添加到区块链上的人或者机器，同时也指代做这个事情的软件)。当一个新的有效的区块被创建时，比特币协议自动分发一定数量的比特币给相应的矿工，作为工作的奖赏)、组织或某个实体对区块链网络上的算力获得超过50%的控制权，就会发生这种攻击。

攻击的结果是，攻击者获得访问权，阻止矿工挖矿、取消交易，最终卷走根本不属于他们的被盗货币。如果区块链网络被劫持，攻击者将拥有足够的挖矿能力来篡改交易。这意味着他们可以篡改订购交易，可以停止所有挖矿活动。

# 普普点评 #

任何新兴技术(包括区块链和加密货币)都可能遇到各种风险和漏洞，这正是我们需要了解51%攻击的原因。虽然更多的技术有望规避这种攻击，但网络渗入仍不可避免。从好的方面来说，这类攻击给了行业和企业学习和改进的正当理由。尽管51%攻击可能很危险，但它也有一些缺陷，如51%攻击无法操纵按照矿工区块给予的奖励;攻击者无力创建交易。

7、像搭“乐高”一样实现整合式网络安全体系

部署多种防护产品，却无法形成防御合力，是当前很多企业网络安全建设都面临的挑战。网络安全能力整合是企业的刚需，也是行业发展的大势所趋。虽然Gartner 提出的网络安全网格架构（CSMA，Cybersecurity Mesh Architecture )印证了这种趋势，但如何实现网络安全能力的整合则是广大企业当下最紧迫的任务。

企业安全能力的整合不是一蹴而就，更不能推倒重来。企业需要在先进、完善网络安全框架指导下，借助能够协同调度的接口，在对企业多年来部署的安全防护产品“利旧”的同时，合理规划增补新的安全产品和模块，实现全面覆盖、深度集成、动态协同的“网络安全网格平台”打造。

乐高积木作为世界上最为流行的玩具之一，受到不同年龄段人群的喜爱。其每个组件本身形态各异、功能不一。通过将它颜色各异、类型不同的模块，通过标准化的接口实现相互兼容、耦合，再结合独特的框架设计，就能发生奇妙的“化学”反应。这与企业网络安全建设不谋而合。不同类型的模块、标准化的接口加上独特的框架设计，成为乐高积木风靡全球的三大关键核心。

# 普普点评 #

Fortinet 像搭 “乐高”一样整合网络安全体系。Fortinet Security Fabric安全架构作为一个全面覆盖、深度集成和动态协同的 “网络安全网格平台”，提供集中管理和可见性，支持在一个庞大的解决方案生态系统中协同运行，自动适应网络中的动态变化。在为企业客户带来一种集成的安全方案，打造整合安全体系，推动企业数字化转型上有着“乐高”式的优势。