普普安全資訊一周概覽(0916-0922)

作者:

時(shí)間:
2023-09-22


01

充滿(mǎn)潛力的未來(lái):元宇宙將打開(kāi)新的漏洞


元宇宙的興起與所有技術(shù)創(chuàng )新一樣,它帶來(lái)了新的機遇和新的風(fēng)險。懷有惡意的人將利用它打開(kāi)新的漏洞。Metaverse 是一種沉浸式虛擬現實(shí)版本的互聯(lián)網(wǎng) ,人們可以在其中與數字對象以及他們自己和他人的數字表示進(jìn)行交互,并且可以或多或少地從一個(gè)虛擬環(huán)境自由移動(dòng)到另一個(gè)虛擬環(huán)境。它還可以達到虛擬現實(shí)和物理現實(shí)的融合,既通過(guò)在虛擬中代表來(lái)自物理世界的人和物體,又通過(guò)將虛擬帶入人們對物理空間的感知。通過(guò)戴上虛擬現實(shí)耳機和增強現實(shí)眼鏡,人們將能夠在環(huán)境之間以及數字和物理之間的界限是可滲透的環(huán)境中進(jìn)行社交和工作等等。在元宇宙中,人們將能夠找到與他們離線(xiàn)生活相一致的意義和體驗。問(wèn)題就在于此。當人們學(xué)會(huì )愛(ài)某物時(shí),無(wú)論是數字的、物理的還是組合的,從他們那里拿走那東西都會(huì )導致情緒上的痛苦和痛苦。更確切地說(shuō),人們所珍視的東西變成了可以被那些試圖造成傷害的人利用的漏洞。有惡意的人已經(jīng)注意到元宇宙是他們武器庫中的一個(gè)潛在工具。


普普點(diǎn)評

新的虛擬和混合現實(shí)空間帶來(lái)了新目標的潛力。就像建筑物、事件和人在現實(shí)世界中可能受到傷害一樣,在虛擬世界中也可能受到攻擊。想象一下猶太教堂上的萬(wàn)字符,銀行、購物和工作等現實(shí)生活活動(dòng)的中斷,以及公共活動(dòng)的破壞。破壞增強現實(shí)或虛擬現實(shí)業(yè)務(wù)意味著(zhù)個(gè)人遭受真正的經(jīng)濟損失。與物理場(chǎng)所一樣,虛擬空間可以精心設計和制作,從而承載人們投入時(shí)間和創(chuàng )造力建設的東西所具有的意義。





02

URL解析錯誤導致DoS、RCE等

研究人員警告說(shuō),由于16個(gè)不同的URL解析庫之間的不一致而導致的8個(gè)不同的安全漏洞,可能導致多種Web應用程序中的拒絕服務(wù)(DoS)情況、信息泄漏和遠程代碼執行(RCE)。這些漏洞是在為各種語(yǔ)言編寫(xiě)的第三方Web包中發(fā)現的,并且像Log4Shell和其他軟件供應鏈威脅一樣,可能已被導入到數百或數千個(gè)不同的Web應用程序和項目中。受影響的是Flask(一個(gè)用Python編寫(xiě)的微型Web框架)、Video.js(HTML5視頻播放器)、Belledonne(免費的VoIP和IP視頻電話(huà))、Nagios XI(網(wǎng)絡(luò )和服務(wù)器監控)和Clearance(Ruby密碼驗證)。來(lái)自Claroty Team82研究部門(mén)和Synk的研究人員在周一的一份分析報告中寫(xiě)道:“URL實(shí)際上是由五個(gè)不同的組件構成的:方案、權限、路徑、查詢(xún)和片段?!薄懊總€(gè)組件都扮演著(zhù)不同的角色,它決定了請求的協(xié)議、持有資源的主機、應該獲取的確切資源等等?!?/span>

普普點(diǎn)評

URL庫混淆會(huì )干擾正確的驗證,就像Clearance漏洞一樣。研究人員指出,Clearance(Ruby的Rails框架中一個(gè)廣泛應用的第三方插件,可以實(shí)現簡(jiǎn)單安全的電子郵件和密碼身份驗證)中的易受攻擊的函數是“return_to”。此函數在登錄/注銷(xiāo)過(guò)程之后調用,并且應該將用戶(hù)安全地重定向到他們之前請求的頁(yè)面。但是,如果可以說(shuō)服目標單擊具有以下語(yǔ)法的URL,則可將其破壞。






03

勞動(dòng)管理平臺Kronos遭到勒索軟件攻擊

勞動(dòng)管理平臺Kronos遭到勒索軟件攻擊,它說(shuō)這將會(huì )使其云端服務(wù)在幾周內無(wú)法使用。它建議客戶(hù)使用其他方式來(lái)完成工資核算和其他人力資源活動(dòng)。這次故障給客戶(hù)帶來(lái)了災難性的后果。Kronos提供了一系列的解決方案,包括員工的日程安排、薪酬管理、工資和工時(shí)、福利管理、休假管理、人才招聘、入職培訓等內容。它的客戶(hù)包括很多世界上最大的公司,如特斯拉和彪馬,以及各種衛生、公共部門(mén)和知名大學(xué)、基督教青年會(huì )等組織,以及餐館和零售商等小型企業(yè)。在周日下午晚些時(shí)候發(fā)給Kronos私有云(KPC)的客戶(hù)信息中,該公司表示,從周六開(kāi)始,有幾個(gè)解決方案已經(jīng)開(kāi)始使用了。該公司在通知中說(shuō),目前,我們還沒(méi)有一個(gè)準確的恢復時(shí)間,這個(gè)問(wèn)題可能至少需要幾天才能解決。該公司在周一的更新中把這個(gè)時(shí)間段擴大到了可能需要幾周。我們建議那些受影響的客戶(hù)使用其他計劃來(lái)處理考勤數據,進(jìn)行工資處理,管理時(shí)間,以及其他對該組織很重要的相關(guān)操作。

普普點(diǎn)評

這種情況表明,企業(yè)必須積極準備應對勒索軟件攻擊。他說(shuō):'這次攻擊使人們認識到,企業(yè)需要快速有效制定容災恢復和持續運營(yíng)計劃。企業(yè)越是嚴重依賴(lài)技術(shù)服務(wù),就越需要有一個(gè)在沒(méi)有這些服務(wù)的情況下依然能夠運行的計劃。索軟件團伙經(jīng)常將攻擊的時(shí)間定在假期內組織人手不足的時(shí)候,他們希望攻擊耗費更長(cháng)的時(shí)間才被發(fā)現,那么應急響應的時(shí)間也會(huì )用的更多。






04

多個(gè)勒索軟件團伙利用VMware的Log4Shell漏洞

日前,英國國民保健署(NHS)警告稱(chēng),黑客們正在大肆利用VMware Horizon虛擬桌面平臺中的Log4Shell漏洞,以部署勒索軟件及其他惡意程序包。隨后,微軟證實(shí),一個(gè)名為DEV-0401的勒索軟件團伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微軟表示:“我們的調查表明,這些活動(dòng)有些已成功入侵目標系統,并部署了NightSky勒索軟件?!?/span>微軟的調查結果為NHS的早期警報提供了新線(xiàn)索,NHS警告稱(chēng):“攻擊者肆意利用VMware Horizon服務(wù)器中的Log4Shell漏洞,企圖建立Web Shell?!惫粽呖梢允褂眠@些Web Shell,部署惡意軟件和勒索軟件以及泄露數據。為了應對這起安全事件,NHS和VMware都敦促用戶(hù)盡快修補受影響的系統,以及/或者實(shí)施安全公告中提到的變通辦法。NightSky是一個(gè)比較新的勒索軟件團伙,在去年年底開(kāi)始活躍起來(lái)。繼Log4Shell漏洞之后,安全研究人員警告類(lèi)似的漏洞可能很快會(huì )出現。

普普點(diǎn)評

H2是一款流行的開(kāi)源數據庫管理系統,用Java編寫(xiě),它廣泛應用于眾多平臺,包括Spring Boot和ThingWorks。該系統可以嵌入到Java應用程序中,或在客戶(hù)端-服務(wù)器模式下運行。據JFrog和飛塔的FortiGuard Labs介紹,該系統提供了一種輕量級內存中服務(wù),不需要將數據存儲在磁盤(pán)上。與Log4Shell相似,該漏洞可允許H2數據庫框架中的幾條代碼路徑將未經(jīng)過(guò)濾的攻擊者控制的URL傳遞給啟用遠程代碼執行的函數。




05

FIN7組織通過(guò)郵寄惡意U盤(pán)來(lái)投放勒索軟件

美國聯(lián)邦調查局周五警告說(shuō),勒索軟件團伙正在郵寄惡意的U盤(pán),冒充美國衛生與公眾服務(wù)部(HHS)和亞馬遜集團,針對運輸、保險和國防行業(yè)進(jìn)行勒索軟件感染攻擊。聯(lián)邦調查局在發(fā)給各個(gè)組織的安全警報中說(shuō),FIN7--又名Carbanak或Navigator Group,是使用Carbanak后門(mén)惡意軟件進(jìn)行攻擊的網(wǎng)絡(luò )犯罪團伙,其攻擊經(jīng)常以獲取經(jīng)濟利益為目的。FIN7從2015年就已經(jīng)開(kāi)始存在了。最初,該團伙通過(guò)使用其定制的后門(mén)惡意軟件來(lái)維持對目標公司的持續訪(fǎng)問(wèn)權限,以及使用間諜軟件來(lái)針對銷(xiāo)售點(diǎn)(PoS)系統進(jìn)行攻擊而逐漸為民眾所熟知。它的攻擊目標往往是休閑餐廳、賭場(chǎng)和酒店。但在2020年,FIN7也開(kāi)始涉足勒索軟件以及游戲領(lǐng)域,其攻擊活動(dòng)經(jīng)常會(huì )使用REvil或Ryuk作為有效攻擊載荷。聯(lián)邦調查局說(shuō),在過(guò)去的幾個(gè)月里,FIN7將惡意的USB設備郵寄給美國公司,希望有人能夠把它插到驅動(dòng)器上,然后利用惡意軟件來(lái)感染系統,從而為以后的勒索軟件攻擊做好準備。

普普點(diǎn)評

BadUSB攻擊是利用了USB固件中的一個(gè)固有漏洞,該漏洞能夠使攻擊者對USB設備進(jìn)行重新編程,使其能夠作為一個(gè)人機交互設備,即作為一個(gè)預裝了自動(dòng)執行腳本的惡意USB鍵盤(pán)。重新編程后,USB可以被用來(lái)在受害者的電腦上執行惡意命令或運行惡意程序。端點(diǎn)保護軟件也可以幫助防止這些攻擊,它可以很好的保證用戶(hù)的安全性。



06

惡意軟件偽裝成系統更新,通殺Win Mac Linux三大系統

能同時(shí)攻擊Windows、Mac、Linux三大操作系統的惡意軟件出現了。雖然“全平臺通殺”病毒并不常見(jiàn),但是安全公司Intezer的研究人員發(fā)現,有家教育公司在上個(gè)月中了招。更可怕的是,他們通過(guò)分析域名和病毒庫發(fā)現,這個(gè)惡意軟件已經(jīng)存在半年之久,只是直到最近才被檢測到。他們把這個(gè)惡意軟件命名為SysJoker。SysJoker核心部分是后綴名為“.ts”的TypeScript文件,一旦感染就能被遠程控制,方便黑客進(jìn)一步后續攻擊,比如植入勒索病毒。SysJoker用C++編寫(xiě),每個(gè)變體都是為目標操作系統量身定制,之前在57個(gè)不同反病毒檢測引擎上都未被檢測到。下面將以Windows為例展示SysJoker的行為。首先,SysJoker會(huì )偽裝成系統更新。一旦用戶(hù)將其誤認為更新文件開(kāi)始運行,它就會(huì )隨機睡眠90到120秒,然后在目錄下復制自己,并改名為igfxCUIService.exe,偽裝成英特爾圖形通用用戶(hù)界面服務(wù)。接下來(lái),它使用Live off the 命令收集有關(guān)機器的信息,包括MAC地址、IP地址等。

普普點(diǎn)評

SysJoker現在被殺毒軟件檢測出的概率很低,但發(fā)現它的Intezer公司還是提供了一些檢測方法。用戶(hù)可以使用內存掃描工具檢測內存中的SysJoker有效負載,或者使用檢測內容在EDR或SIEM中搜索。具體操作方法可以參見(jiàn)Intezer網(wǎng)站。已經(jīng)感染的用戶(hù)也不要害怕,Intezer也提供了手動(dòng)殺死SysJoker的方法。用戶(hù)可以殺死與SysJoker相關(guān)的進(jìn)程,刪除相關(guān)的注冊表鍵值和與SysJoker相關(guān)的所有文件。




07

一文了解漏洞利用鏈:含義、風(fēng)險、用例及緩解建議

漏洞利用鏈(也稱(chēng)為漏洞鏈)是將多個(gè)漏洞利用組合在一起以危害目標的網(wǎng)絡(luò )攻擊方式。與專(zhuān)注于單一入口點(diǎn)相比,網(wǎng)絡(luò )犯罪分子更喜歡使用它們來(lái)破壞設備或系統,以獲得更大的破壞力或影響。Forrester分析師Steve Turner表示,漏洞利用鏈攻擊的目標是獲得內核/根/系統級別的訪(fǎng)問(wèn)權限來(lái)破壞系統以執行攻擊活動(dòng)。漏洞利用鏈允許攻擊者通過(guò)使用正常系統進(jìn)程中的漏洞,繞過(guò)眾多防御機制來(lái)快速提權自己,從而融入組織的環(huán)境中。雖然漏洞利用鏈攻擊通常需要花費網(wǎng)絡(luò )犯罪分子更多的時(shí)間、精力和專(zhuān)業(yè)技能,但將漏洞利用組合在一起,允許惡意行為者執行更復雜且難以修復的攻擊,這具體取決于漏洞序列的長(cháng)度和復雜程度。漏洞利用鏈給組織帶來(lái)的風(fēng)險將是巨大的。Vulcan Cyber研究團隊負責人Ortal Keizman表示,不幸的現實(shí)是,IT安全團隊背負著(zhù)這樣一個(gè)事實(shí):幾乎所有漏洞利用都利用了已知漏洞和漏洞利用鏈,而這些漏洞由于各種原因尚未得到緩解。

普普點(diǎn)評


漏洞利用鏈最常用于移動(dòng)設備。鑒于手機架構的性質(zhì),需要使用多種漏洞來(lái)獲取root訪(fǎng)問(wèn)權限,以執行移動(dòng)惡意軟件所需的操作。針對瀏覽器漏洞的利用鏈同樣存在可能性,攻擊者可以使用網(wǎng)絡(luò )釣魚(yú)電子郵件將用戶(hù)引導到網(wǎng)頁(yè),然后再發(fā)起“路過(guò)式”(drive-by)攻擊以利用瀏覽器漏洞。然后將它們與第二個(gè)漏洞鏈接以執行沙盒逃逸,然后是第三個(gè)漏洞以獲取權限提升。