分类: 安全快讯

微软分享 Exchange Server 攻击背后的破坏活动情报

许多企业内部的Exchange服务器正在忙着打补丁,但微软警告说,调查发现,在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限,或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。 微软本周早些时候表示,已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而,网络安全公司F-Secure表示,已经有 “数万台”Exchange服务器被入侵。 在一篇新的博客文章中,微软重申了它的警告,即 “给系统打补丁并不一定能消除攻击者的访问”。”许多被入侵的系统还没有收到二次行动,例如人为操作的勒索软件攻击或数据外流,这表明攻击者可能正在建立和保留他们的访问权限,以便以后的潜在行动,”微软365 Defender威胁情报团队指出。 在系统被入侵的地方,微软敦促管理员实践最小特权原则,减轻网络上的横向移动。最低权限将有助于解决常见的做法,即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。”由于服务账户凭证不会经常改变,这可以为攻击者提供很大的优势,即使他们由于防病毒检测而失去了最初的Web Shell访问,因为该账户可以用于以后提升权限,”微软指出。 以DoejoCrypt勒索软件(又名DearCry)为例,微软指出,该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现,并且可能为攻击者提供了一条重新获得访问的途径,在那里感染已经被检测和删除。 “这个批处理文件会执行安全账户管理器(SAM)数据库以及系统和安全注册表蜂巢的备份,允许攻击者稍后访问系统上本地用户的密码,更关键的是,在注册表的LSA[本地安全]部分,那里存储着服务和计划任务的密码,”微软指出。 即使在受害者没有被勒索的情况下,攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前,Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说,受害者今天可能没有被勒索,但攻击者已经在网络上留下了明天动手的工具。 Exchange服务器面临的另一个网络犯罪威胁来自于恶意加密货币矿工。据观察,Lemon Duck加密货币僵尸网络就在利用脆弱的Exchange服务器。有趣的是,Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器,使其独占Exchange服务器的权限。微软还发现,服务器被用来安装其他恶意软件,而不仅仅是挖掘加密货币。 微软同时公布了大量的泄密指标,系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。           (消息及封面来源:cnBeta)

37 多万台 Exchange 服务器已部署补丁

本月对于 IT 管理员来说是非常忙碌的,因为他们不得不尽快对内部的 Exchange Server 实例部署补丁。不过在政府的高度重视、微软的积极引导下,现在情况有所好转。微软今天宣布,92% 易受攻击的 Exchange IP 均已部署补丁或者得到缓解。 微软安全响应中心(MSRC)今天发布推文,表示 Exchange Server 实例被修复的势头强劲。在推文中写道:“我们的工作仍在继续,但是我们看到内部 Exchange 服务器更新的强劲势头。全球92%的 Exchange IP 已经打上补丁或得到缓解。上周全球范围改善了 43%” 。 从上图可以看到,还有将近 3 万个实例并没有被打上补丁。根据 RiskIQ 的遥测数据,在微软自 3 月 1 日以来观察到的 40 万个实例中,约占 8%。除了 IT 管理员的努力外,显著的减少可以归功于微软在过去几周内发布的多个建议,以及它在 Microsoft Defender 中引入的一键工具和自动缓解功能。 该公司还发布了对不再支持的预置Exchange Server实例的带外更新。剩下的实例需要多长时间才能打上补丁还有待观察,但微软可能会寄希望于未来几周持续的势头,以便实现这一目标。         (消息来源:cnBeta;封面源自网络)

650 万名以色列公民数据泄露

据外媒报道,当地时间周一,数百万名以色列公民的选民登记和个人信息在网上被泄露,两天之后,该国将举行一院制议会的大选。曝光的资料波及到6528565名以色列人的选民登记详细资料和以色列约930万总人口中3179313人的个人详细资料。后者包括了全名、电话号码、身份证号码、家庭住址、性别、年龄和政治倾向等细节。 据以色列媒体报道,一名自称为The Israeli Autumn的威胁分子称对此事负责。 以色列威胁情报公司KELA的产品经理Raveed Laeb在周三媒体采访时表示,自周一以来,这些数据已经被多个电报频道广泛分享。此前,他在泄露的文件中发现了自己的个人信息。 目前,数据泄露源头已被锁定为Elector–一个为Elector Software for Likud公司开发的同名应用的网站。Likud(利库德集团)是以色列现任总理本雅明·内塔尼亚胡领导的政党。 2020年2月,一位名叫Ran Bar-Zik的以色列网页开发者发现,该应用的网站暴露了一个API端点,该端点允许他获得该网站管理员及其帐户详细信息的列表,其中包括密码。 Bar-Zik称,通过利用这些密码,他能访问一个包含以色列选民个人信息的数据库。 Bar-Zik在一篇博文中详细阐述了他的发现,这在2020年初引发了以色列的一场重大媒体丑闻,因为尽管出于政治竞选计划等原因政党可以访问以色列的全部选民数据库,但他们不应该跟第三方分享这些数据。当时,Bar-Zik向该应用网站的开发公司报告了这一情况,但网站开发者警告称,目前尚不清楚其他各方是否在他之前发现了同样的问题,也不清楚他们是否利用API获取了以色列公民的选民登记数据。 在该国最新一轮选举前几天公布的数据显示,Bar-Zik的困境似乎在本周得到了解决。几位以色列政治专家本周提出的理论认为,泄露这些数据可能是为了损害利库德集团的公众形象和信任,然而,由于利库德集团有望在2021年3月的议会选举中获胜,所以此次的泄密似乎并没有产生任何的影响。           (消息及封面来源:cnBeta)

针对 Windows 的恶意软件正构筑僵尸网络

早在 2018 年,安全研究人员就已经发现了后被命名为 Purple Fox 的 Rootkit 恶意软件,起初攻击者主要利用网络钓鱼电子邮件和漏洞利用工具包进行传播。然而 Guardicore 安全研究人员 Amit Serper 和 Ophir harpaz 在一篇博客文章中指出:在利用了一种全新的感染技术之后,该恶意软件已能够在 Windows 设备间更迅速地传播,且僵尸网络的规模也在不断增长。 研究人员指出,该恶意软件正在对使用弱密码和面向互联网的 Windows 计算机发起新一轮攻击。此外通过利用新的感染技术,其传播速度也得到了极大的增强。 具体说来是,该恶意软件通过针对服务器信息块(简称 SMB)来猜测 Windows 用户帐户的弱密码,进而使 Windows 与其它设备(例如打印机和文件服务器)进行通信和达成传播感染的目的。 一旦获得了易受攻击的计算机的访问权,Purple Fox 就会从将近 2000 台较旧且受感染的 Windows Web 服务器网络中,提取恶意负载并悄悄安装 Rootkit、让恶意软件持久锚定在计算机上,同时更加难以被发现、检测和删除。 研究人员指出,一旦被感染,该恶意软件就会关闭最初用于感染计算机的防火墙端口,这或许可阻止重复感染、或避免被其它攻击者入侵并劫持受害者的计算机。 之后,该恶意软件会生成一份 Internet 地址列表,扫描网络上具有弱密码的易受攻击的设备,以进一步感染和创建一个不断扩大的僵尸网络。 通常情况下,黑客会利用僵尸网络来发起 DDoS 攻击,但也可以用于散播恶意软件和垃圾邮件、或在受感染的计算机上部署加密劫持用户文件的勒索软件。 Guardicore 北美安全研究副总裁 Amit Serper 表示,由于自身传播的能力较强,蠕虫僵尸网络对受害者造成的风险也更大。相较于此前的网络钓鱼和漏洞利用工具包,蠕虫感染技术的“运营成本”也更低。 作为一种“机会主义”的攻击形式,它会不断扫描互联网并寻找更易受攻击的机器,意味着攻击者可以一劳永逸。 根据 Guardicore 的互联网传感器监测数据,自 2020 年 5 月以来,Purple Fox 的感染率已飙升 600%,且实际数量可能会更高(过去一年总计超狗 90000 感染)。             (消息及封面来源:cnBeta)

俄罗斯男子承认密谋敲诈特斯拉

据外媒报道,美检察官和法庭记录显示,一名俄罗斯男子在美国认罪,他曾向特斯拉一名员工提供100万美元让其用勒索软件将特斯拉位于内华达州的大型电动电池工厂的网络瘫痪,另外还借此盗取该公司的机密信息以进行进一步的敲诈勒索。 Egor Igorevich Kriuchkov于当地时间周四在美国地方法院认罪。网络安全专家称Kriuchkov承担的风险是特殊的。法院为其指定的联邦公设辩护律师Chris Frey拒绝对外界置评。 美检察官指控Kriuchkov代表国外同谋者试图通过面对面的贿赂来招募一名内部人员来植入勒索软件。据悉,这种软件会破坏目标网络上的数据,其只有通过攻击者提供的软件密钥才能解锁。通常情况下,从安全的避风港操作的勒索软件团伙会通过互联网侵入受害者的网络并在激活勒索软件之前下载数据。 对此,杀毒软件公司EMSIsoft网络安全分析师Brett Callow评论道:“他们冒这样的风险或许可以表明,这是一次旨在获取信息的情报行动,而非旨在获取金钱的勒索行动…也有可能是犯罪分子认为赌博是值得的并决定掷骰子。” 网络安全公司FireEye首席技术官Charles Carmakal对此表示赞同。他说道:“你可以在几千英里以外的地方进行,而这不需要承担任何资产风险。” FBI表示,这名未透露姓名的潜在招募者通知了特斯拉并跟联邦调查局合作从而在造成任何损害之前使得这场阴谋被阻止了。 去年9月,27岁的Kriuchkov告诉法官,他知道俄罗斯政府知道他的案子。但美检察官和FBI没有指控他跟克里姆林宫存在联系。Kriuchkov目前被关押在雷诺的瓦肖县监狱。 Kriuchkov承认故意破坏一台受保护的电脑,这可能使他面临最高5年的监禁和25万美元的罚款。然而根据书面认罪协议,他将只需面临不到10个月的刑期。 自8月在洛杉矶被捕以来,他已经被拘留了7个月。联邦当局称,他当时正前往机场准备飞往国外。 法庭文件还显示,去年7月和8月,Kriuchkov持俄罗斯护照和旅游签证在美国呆了五个多星期,当时他试图招募一名被认定为为电脑安装黑客软件的雇员。这名未被确认身份的员工将收到用数字加密货币比特币支付的款项。 本案中没有其他同谋嫌疑人受到指控。不过根据法庭记录目前还不清楚资金是否易手。           (消息及封面来源:cnBeta)

英国官员推特帐户被入侵

近日,NHS Horizons官员的推特帐户被黑客入侵后被用来宣传PS5。据BBC报道称,NHS Horizons高官Helen Bevan发现她的两个推特帐户遭到了黑客的攻击,黑客在黑入后把头像改成了PS5的标识。 由于Bevan没有开启双重身份验证,帐号在经历了几天后才被找回。找回后Bevan发现在私信中有不少人向她询问关于PS5的具体情况。 在随后的推文中,Bevan表示,她希望其他人引以为戒,在推特账户上开启双重身份验证来避免类似的情况。           (消息及封面来源:cnBeta)

Twitter 托管的图片可用来隐藏病毒文件

昨天,一位研究人员披露了一种在Twitter图片中隐藏多达3MB数据的方法。在他的演示中,研究人员展示了包含在Twitter上托管的PNG图像内的MP3音频文件和ZIP档案。 虽然在图像中隐藏非图像数据的艺术(隐身术)并不新颖,但由于图像可以托管在像Twitter这样的热门网站上,而且没有经过杀毒,这就为其被恶意行为者滥用提供了可能。昨天,研究员兼程序员大卫-布坎南在他的推特上附上了实例图片,这些图片中隐藏着整个ZIP档案和MP3文件等数据。 虽然Twitter上托管的附件PNG文件在预览时代表了有效的图像,但仅仅是下载并改变其文件扩展名就足以从同一个文件中获得不同的内容。据BleepingComputer观察,该研究者在推特上发布的6KB图片包含了整个ZIP档案。该ZIP包含了大卫-布坎南的源代码,任何人都可以用它将杂七杂八的内容打包成PNG图片。 对于那些喜欢稍微不动手的人来说,研究者还在GitHub上提供了生成他所谓的tweetable-polyglot-png文件的源代码。在另一个上传到Twitter上的例子中,Buchanan在推特上发布了一张会唱歌的图片。下载这个,重命名为.mp3,在VLC中打开,变成MP3的图片文件就会开始播放Rick Astley的《Never Gonna Give You Up》这首歌。大卫-布坎南表示,你可以在DEFLATE流(文件中存储压缩像素数据的部分)的末尾附加数据,而Twitter不会将其剥离。 隐身威胁行为者经常利用隐身技术,因为他们可以将恶意命令、有效载荷和其他内容隐藏在图像等看似普通的文件中。就在昨天,BleepingComputer报道了一种新的渗透技术,网络犯罪分子利用这种技术将被盗的信用卡数据隐藏在JPG图片中。正如大卫-布坎南所展示的那样,Twitter可能并不总是将无关信息从图片中剥离出来,这一事实为威胁行为者滥用该平台提供了空间。             (消息及封面来源:cnBeta)

微软或从美国网络安全资金中获 1.5 多亿美元拨款

北京时间3月16日早间消息,据报道,消息人士称,微软将从美国政府获得1.5亿美元的网络安全资金,这占了美国新冠救助资金中用于网络安全防卫的近四分之一。然而,一些立法者对此感到不满,他们并不希望美国政府为这家软件公司提供资金。黑客攻击对国家安全构成重大威胁,这令美国立法者深感挫折,因此美国国会在周四签署的新冠救助法案中配置了网络安全方面的援助资金。 俄勒冈州参议员罗恩·怀登(Ron Wyden)是国会情报委员会的主要民主党人,他说:“微软长期忽视软件设计方面的缺陷,造成了重大漏洞,并被黑客所利用。如果解决这一问题的唯一办法是给微软更多的钱,那么政府需要重新评估对这家公司的依赖。”“对那些向政府销售不安全软件的公司,如果还继续给与更大的政府合同,这样的做法无异于是在奖励这些公司。” 微软此前表示,它将优先修复那些遭到广泛攻击的漏洞。 根据媒体获得的一份美国网络基础设施安全开支计划草案,在6.5亿美元的新资金中,约有1.5亿多美元被用于“安全云平台”的建设。知情人士透露,这笔钱实际上已经编入了微软的预算,主要用于帮助联邦机构升级现有的微软软件,以提高其云系统的安全性。 微软的一项称为“活动日志”的关键服务,允许其客户端监视其所在云中的数据流量,从而发现可能的黑客活动。微软周日表示,尽管其所有云产品都具有安全功能,“但规模较大的组织机构可能需要更先进的功能,比如更深入的安全日志以及调查这些日志并采取行动的能力。” 大多数主要软件都曾经遭到过黑客的攻击,而微软产品的广泛流行性又使其成为了黑客们的首要目标。 许多针对政府机构以及私营公司的攻击是通过操纵微软的系统来进行。 虽然主管网络的一些美国高官认为除了向微软拨款别无选择,但怀登和其他三名立法者已公开对这一拨款计划表示担忧。在2月26日的一场听证会上,针对微软收取额外日志费用的问题,罗得岛州众议员吉姆·兰格文(Jim Langevin)就向微软总裁布拉德·史密斯(Brad Smith)提出了质疑。 兰格文问道:“这究竟是微软的一种盈利方式,还是向客户提供的成本价服务?” 史密斯的回答是:“我们是一家营利性公司。我们所做的一切都是为了产生回报,而不是做慈善。” 微软已经把安全产品变成了一个重要的收入来源,该业务目前每年可为微软带来100亿美元的收入,较以前增长了40%。         (消息及封面来源:cnBeta)

Linux 内核发现 3 个存在 15年 之久的提权漏洞

通常情况下,基于 Linux 的发行版本要比 Windows 更加安全,但这并不是说就没有漏洞了。近日,网络安全公司 GRIMM 的安全研究人员在 Linux 内核中发现了不少于 3 个漏洞,可以利用这些漏洞可以获得系统的 root 权限。更重要的是,这些漏洞已经存在长达 15 年之久。 这些漏洞(被追踪为 CVE-2021-27363、CVE-2021-27364 和 CVE-2021-27365)存在于内核的 iSCSI 模块中。虽然在默认情况下该模块是没有被加载的,但是 Linux 内核对模块按需加载的支持意味着它可以很容易地被调用到行动中。安全专家在 Red Hat 所有已测试版本和其他发行版本中均存在这些漏洞。 在 GRIMM 博客上,安全研究员 Adam Nichols 表示:“我们在 Linux mainline 内核的一个被遗忘的角落里发现了 3 个BUG,这些 BUG 已经有 15 年的历史了。与我们发现的大多数积满灰尘的东西不同,这些 BUG 依然存在影响,其中一个原来可以作为本地权限升级(LPE)在多个 Linux 环境中使用”。 这些漏洞存在于无法远程访问的代码中,所以无法被黑客远程利用。但这并不意味着它的破坏力不强。Nichols 警告说黑客可以利用这些漏洞发起任何现有的网络威胁,甚至于会让事情变得更加糟糕。可以想象在你的系统中有不信任的用户以 root 权限访问,这是多么的可怕。 在详细介绍这三个漏洞的博文中,Nichols 解释了受影响的系统类型:”为了让这些漏洞暴露在用户区,scsi_transport_iscsi 内核模块必须被加载。当执行创建 NETLINK_ISCSI 套接字的调用时,这个模块会被自动加载。此外,至少有一个 iSCSI 传输必须在 iSCSI 子系统中注册。在某些配置中,当无权限的用户创建 NETLINK_RDMA 套接字时,ib_iser 传输模块将被自动加载。” 正如 SC Media 所解释的那样,这些漏洞已经在以下内核版本中得到修复:5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260 和 4.4.260。而其他已经停止支持的内核将不会收到本次安全修复。             (消息及封面来源:cnBeta)

微软已修补了被朝鲜黑客利用的关键零日漏洞

微软已经修补了一个关键的零日漏洞,朝鲜黑客正利用这个漏洞以恶意软件为目标对安全研究人员进行攻击。 1月份,谷歌和微软的帖子曝光了这些0day攻击。两篇帖子都说,受朝鲜政府支持的黑客花了数周时间与安全研究人员发展工作关系。为了赢得研究人员的信任,黑客创建了一个研究博客和Twitter角色,他们与研究人员联系,询问他们是否愿意就某个项目进行合作。 最终,假的Twitter资料要求研究人员使用Internet Explorer打开一个网页。那些上钩的人会发现,他们打了完整补丁的Windows 10机器被安装了一个恶意服务和一个内存后门,该后门联系了一个黑客控制的服务器。 微软在周二修补了该漏洞,其编号为CVE-2021-26411, 该安全漏洞被评为危急,只需要低复杂度的攻击代码即可利用。谷歌表示,联系研究人员的人为朝鲜政府工作。微软表示,他们是Zinc的一部分,Zinc是微软对一个威胁组织的称呼,而这个威胁组织更出名的名称是Lazarus。在过去的十年中,Lazarus已经从一个零散的黑客团体转变为一个强大的威胁行为者。 据报道,联合国2019年的一份报告估计,Lazarus和相关团体为该国的大规模杀伤性武器项目创造了20亿美元。Lazarus还与关闭全球电脑的Wannacry蠕虫、无文件的Mac恶意软件、针对ATM的恶意软件以及针对叛逃者的恶意Google Play应用有关。 除了使用利用IE的水洞攻击,针对研究人员的Lazarus黑客还向目标发送了一个Visual Studio项目,据称其中包含验证漏洞的源代码。项目里面藏着定制的恶意软件,可以联系攻击者的控制服务器。 虽然微软将CVE-2021-26411描述为 “Internet Explorer内存破坏漏洞”,但周一的公告称,该漏洞也会影响Edge,这是微软从头开始打造的浏览器,比IE安全得多,但没有报告称漏洞已经主动针对该浏览器的用户。 该补丁作为微软周二更新的一部分。微软总共发布了89个补丁。除了IE漏洞外,Win32k组件中的一个单独的升级权限漏洞也在被主动利用中。补丁将在未来一两天内自动安装。想要立即更新的用户应该进入开始>设置(齿轮图标)>更新与安全>Windows更新安装这些安全补丁。           (消息及封面来源:cnBeta)