771771威尼斯.cm安全资讯一周概览(0916-0922)
元宇宙的兴起与所有技术创新一样,它带来了新的机遇和新的风险。怀有恶意的人将利用它打开新的漏洞。Metaverse 是一种沉浸式虚拟现实版本的互联网 ,人们可以在其中与数字对象以及他们自己和他人的数字表示进行交互,并且可以或多或少地从一个虚拟环境自由移动到另一个虚拟环境。它还可以达到虚拟现实和物理现实的融合,既通过在虚拟中代表来自物理世界的人和物体,又通过将虚拟带入人们对物理空间的感知。通过戴上虚拟现实耳机和增强现实眼镜,人们将能够在环境之间以及数字和物理之间的界限是可渗透的环境中进行社交和工作等等。在元宇宙中,人们将能够找到与他们离线生活相一致的意义和体验。问题就在于此。当人们学会爱某物时,无论是数字的、物理的还是组合的,从他们那里拿走那东西都会导致情绪上的痛苦和痛苦。更确切地说,人们所珍视的东西变成了可以被那些试图造成伤害的人利用的漏洞。有恶意的人已经注意到元宇宙是他们武器库中的一个潜在工具。
新的虚拟和混合现实空间带来了新目标的潜力。就像建筑物、事件和人在现实世界中可能受到伤害一样,在虚拟世界中也可能受到攻击。想象一下犹太教堂上的万字符,银行、购物和工作等现实生活活动的中断,以及公共活动的破坏。破坏增强现实或虚拟现实业务意味着个人遭受真正的经济损失。与物理场所一样,虚拟空间可以精心设计和制作,从而承载人们投入时间和创造力建设的东西所具有的意义。
研究人员警告说,由于16个不同的URL解析库之间的不一致而导致的8个不同的安全漏洞,可能导致多种Web应用程序中的拒绝服务(DoS)情况、信息泄漏和远程代码执行(RCE)。这些漏洞是在为各种语言编写的第三方Web包中发现的,并且像Log4Shell和其他软件供应链威胁一样,可能已被导入到数百或数千个不同的Web应用程序和项目中。受影响的是Flask(一个用Python编写的微型Web框架)、Video.js(HTML5视频播放器)、Belledonne(免费的VoIP和IP视频电话)、Nagios XI(网络和服务器监控)和Clearance(Ruby密码验证)。来自Claroty Team82研究部门和Synk的研究人员在周一的一份分析报告中写道:“URL实际上是由五个不同的组件构成的:方案、权限、路径、查询和片段。”“每个组件都扮演着不同的角色,它决定了请求的协议、持有资源的主机、应该获取的确切资源等等。”URL库混淆会干扰正确的验证,就像Clearance漏洞一样。研究人员指出,Clearance(Ruby的Rails框架中一个广泛应用的第三方插件,可以实现简单安全的电子邮件和密码身份验证)中的易受攻击的函数是“return_to”。此函数在登录/注销过程之后调用,并且应该将用户安全地重定向到他们之前请求的页面。但是,如果可以说服目标单击具有以下语法的URL,则可将其破坏。
劳动管理平台Kronos遭到勒索软件攻击,它说这将会使其云端服务在几周内无法使用。它建议客户使用其他方式来完成工资核算和其他人力资源活动。这次故障给客户带来了灾难性的后果。Kronos提供了一系列的解决方案,包括员工的日程安排、薪酬管理、工资和工时、福利管理、休假管理、人才招聘、入职培训等内容。它的客户包括很多世界上最大的公司,如特斯拉和彪马,以及各种卫生、公共部门和知名大学、基督教青年会等组织,以及餐馆和零售商等小型企业。在周日下午晚些时候发给Kronos私有云(KPC)的客户信息中,该公司表示,从周六开始,有几个解决方案已经开始使用了。该公司在通知中说,目前,我们还没有一个准确的恢复时间,这个问题可能至少需要几天才能解决。该公司在周一的更新中把这个时间段扩大到了可能需要几周。我们建议那些受影响的客户使用其他计划来处理考勤数据,进行工资处理,管理时间,以及其他对该组织很重要的相关操作。这种情况表明,企业必须积极准备应对勒索软件攻击。他说:'这次攻击使人们认识到,企业需要快速有效制定容灾恢复和持续运营计划。企业越是严重依赖技术服务,就越需要有一个在没有这些服务的情况下依然能够运行的计划。索软件团伙经常将攻击的时间定在假期内组织人手不足的时候,他们希望攻击耗费更长的时间才被发现,那么应急响应的时间也会用的更多。
多个勒索软件团伙利用VMware的Log4Shell漏洞
日前,英国国民保健署(NHS)警告称,黑客们正在大肆利用VMware Horizon虚拟桌面平台中的Log4Shell漏洞,以部署勒索软件及其他恶意程序包。随后,微软证实,一个名为DEV-0401的勒索软件团伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微软表示:“我们的调查表明,这些活动有些已成功入侵目标系统,并部署了NightSky勒索软件。”微软的调查结果为NHS的早期警报提供了新线索,NHS警告称:“攻击者肆意利用VMware Horizon服务器中的Log4Shell漏洞,企图建立Web Shell。”攻击者可以使用这些Web Shell,部署恶意软件和勒索软件以及泄露数据。为了应对这起安全事件,NHS和VMware都敦促用户尽快修补受影响的系统,以及/或者实施安全公告中提到的变通办法。NightSky是一个比较新的勒索软件团伙,在去年年底开始活跃起来。继Log4Shell漏洞之后,安全研究人员警告类似的漏洞可能很快会出现。
H2是一款流行的开源数据库管理系统,用Java编写,它广泛应用于众多平台,包括Spring Boot和ThingWorks。该系统可以嵌入到Java应用程序中,或在客户端-服务器模式下运行。据JFrog和飞塔的FortiGuard Labs介绍,该系统提供了一种轻量级内存中服务,不需要将数据存储在磁盘上。与Log4Shell相似,该漏洞可允许H2数据库框架中的几条代码路径将未经过滤的攻击者控制的URL传递给启用远程代码执行的函数。
美国联邦调查局周五警告说,勒索软件团伙正在邮寄恶意的U盘,冒充美国卫生与公众服务部(HHS)和亚马逊集团,针对运输、保险和国防行业进行勒索软件感染攻击。联邦调查局在发给各个组织的安全警报中说,FIN7--又名Carbanak或Navigator Group,是使用Carbanak后门恶意软件进行攻击的网络犯罪团伙,其攻击经常以获取经济利益为目的。FIN7从2015年就已经开始存在了。最初,该团伙通过使用其定制的后门恶意软件来维持对目标公司的持续访问权限,以及使用间谍软件来针对销售点(PoS)系统进行攻击而逐渐为民众所熟知。它的攻击目标往往是休闲餐厅、赌场和酒店。但在2020年,FIN7也开始涉足勒索软件以及游戏领域,其攻击活动经常会使用REvil或Ryuk作为有效攻击载荷。联邦调查局说,在过去的几个月里,FIN7将恶意的USB设备邮寄给美国公司,希望有人能够把它插到驱动器上,然后利用恶意软件来感染系统,从而为以后的勒索软件攻击做好准备。BadUSB攻击是利用了USB固件中的一个固有漏洞,该漏洞能够使攻击者对USB设备进行重新编程,使其能够作为一个人机交互设备,即作为一个预装了自动执行脚本的恶意USB键盘。重新编程后,USB可以被用来在受害者的电脑上执行恶意命令或运行恶意程序。端点保护软件也可以帮助防止这些攻击,它可以很好的保证用户的安全性。
恶意软件伪装成系统更新,通杀Win Mac Linux三大系统
能同时攻击Windows、Mac、Linux三大操作系统的恶意软件出现了。虽然“全平台通杀”病毒并不常见,但是安全公司Intezer的研究人员发现,有家教育公司在上个月中了招。更可怕的是,他们通过分析域名和病毒库发现,这个恶意软件已经存在半年之久,只是直到最近才被检测到。他们把这个恶意软件命名为SysJoker。SysJoker核心部分是后缀名为“.ts”的TypeScript文件,一旦感染就能被远程控制,方便黑客进一步后续攻击,比如植入勒索病毒。SysJoker用C++编写,每个变体都是为目标操作系统量身定制,之前在57个不同反病毒检测引擎上都未被检测到。下面将以Windows为例展示SysJoker的行为。首先,SysJoker会伪装成系统更新。一旦用户将其误认为更新文件开始运行,它就会随机睡眠90到120秒,然后在目录下复制自己,并改名为igfxCUIService.exe,伪装成英特尔图形通用用户界面服务。接下来,它使用Live off the 命令收集有关机器的信息,包括MAC地址、IP地址等。SysJoker现在被杀毒软件检测出的概率很低,但发现它的Intezer公司还是提供了一些检测方法。用户可以使用内存扫描工具检测内存中的SysJoker有效负载,或者使用检测内容在EDR或SIEM中搜索。具体操作方法可以参见Intezer网站。已经感染的用户也不要害怕,Intezer也提供了手动杀死SysJoker的方法。用户可以杀死与SysJoker相关的进程,删除相关的注册表键值和与SysJoker相关的所有文件。
漏洞利用链(也称为漏洞链)是将多个漏洞利用组合在一起以危害目标的网络攻击方式。与专注于单一入口点相比,网络犯罪分子更喜欢使用它们来破坏设备或系统,以获得更大的破坏力或影响。Forrester分析师Steve Turner表示,漏洞利用链攻击的目标是获得内核/根/系统级别的访问权限来破坏系统以执行攻击活动。漏洞利用链允许攻击者通过使用正常系统进程中的漏洞,绕过众多防御机制来快速提权自己,从而融入组织的环境中。虽然漏洞利用链攻击通常需要花费网络犯罪分子更多的时间、精力和专业技能,但将漏洞利用组合在一起,允许恶意行为者执行更复杂且难以修复的攻击,这具体取决于漏洞序列的长度和复杂程度。漏洞利用链给组织带来的风险将是巨大的。Vulcan Cyber研究团队负责人Ortal Keizman表示,不幸的现实是,IT安全团队背负着这样一个事实:几乎所有漏洞利用都利用了已知漏洞和漏洞利用链,而这些漏洞由于各种原因尚未得到缓解。漏洞利用链最常用于移动设备。鉴于手机架构的性质,需要使用多种漏洞来获取root访问权限,以执行移动恶意软件所需的操作。针对浏览器漏洞的利用链同样存在可能性,攻击者可以使用网络钓鱼电子邮件将用户引导到网页,然后再发起“路过式”(drive-by)攻击以利用浏览器漏洞。然后将它们与第二个漏洞链接以执行沙盒逃逸,然后是第三个漏洞以获取权限提升。