标签: 网络攻击

报告称全球约 72% 的零售商是网络攻击的受害者

据外媒Betanews报道,Keeper Security 和 Ponemon Institute 的一项新调查结果指出,全球约有72%的零售商遭受了网络攻击,去年有61%遭受过一次网络攻击,但是50%的企业没有针对数据泄露的应对计划。 调查结果也说明每一起网络攻击涉及的客户/员工数据丢失导致平均7772个客户的个人记录丢失或被盗,每一起网络攻击造成的正常运营中断平均导致近190万美元损失。 在接受调查的零售商中,有87%同意网络攻击变得更有针对性,有67%认为网络攻击越来越严重,另有61%认为网络攻击越来越复杂。最常见的攻击方法是网络钓鱼(69%),基于网络的攻击(54%)和恶意软件攻击(40%)。 从这些攻击背后的因素来看,预算是零售商最担忧的问题。只有三分之一的零售商认为他们有足够的预算来实现强大的IT安全性。但是,有93%的零售商在安全方面的支出不到总IT预算的20%,平均支出为11.5%。人员不足(91%),预算不足(51%)以及对如何保护自己免受网络攻击的理解(40%)是阻碍充分有效的安全态势的最常被提及的挑战。 Keeper Security首席执行官兼联合创始人Darren Guccione表示:“暗网上有数十亿个被盗凭证,网络罪犯可以等待数月之久的主要机会,例如高峰购物季节,以利用零售商的安全漏洞并进行非法购买。现实是,零售业面临的网络安全问题不是金钱或人员问题,而是思维定势。零售商需要知道存在易于实施,具有成本效益的安全解决方案,这些解决方案可以大大增强其安全状况并在很大程度上防止此类网络犯罪发生。”   (稿源:cnBeta,封面源自网络。)

警惕来自节假日的祝福:APT 攻击组织”黑格莎(Higaisa)”攻击活动披露

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw   一、概述 腾讯安全御见威胁情报中心曾经在2019年年初捕获到一次有意思的攻击活动,该攻击活动一直持续到现在。根据对该组织活动中所使用的攻击技术、被攻击人员背景等分析研判,我们认为该攻击组织为来自朝鲜半岛的一个具有政府背景的APT攻击组织。 根据腾讯安全御见威胁情报中心的大数据分析发现,该组织的攻击活动至少可以追溯到2016年,而一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。 此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等。目前监测到的受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 对于该组织的归属,腾讯安全分析了大量样本,我们确信其来自于朝鲜半岛。对攻击背景分析后,我们认为该组织为来自韩国的一个攻击组织。从样本的技术细节、基础设施等经过详细分析后,我们尚无证据证明该组织跟韩国的另一攻击组织DarkHotel(黑店)有关联,即便是攻击对象、某些攻击手法跟DarkHotel(黑店)有一些类似。 我们决定把该组织列为来自韩国的又一独立的攻击组织,取名为”黑格莎(Higaisa)“。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。 “黑格莎(Higaisa)”组织攻击流程图: 目前尚不排除该组织为DarkHotel的某一分支。由于受限于样本、受控机、基础设施等等客观情况,可能在组织归属上存在一些细节的误判和遗漏,我们希望安全社区同仁来共同完善该组织的一些细节。 值得注意的是,我们曾在腾讯安全2019年上半年APT总结报告中有提及该组织的攻击活动,当时我们错误的把该组织归属到了Group123。因此也借本文对该错误归属进行勘误和致歉,同时本文也对该活动进行更为详细的活动披露。若存在错误,望安全同仁一起来指正。 “黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载: https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf 二、攻击过程 最初始的攻击,从邮件钓鱼开始,邮件内容如下: 邮件内容为韩语的元旦祝福: 而从后面的分析可知,在节假日发祝福邮件投递恶意文件,是该组织的惯用伎俩。 邮件的附件为一个压缩包,解压后为一个可执行文件,该可执行文件其实为一个dropper木马: 执行后,会释放并打开诱饵,以及释放恶意文件carsrvdx.sed到系统目录并通过设置注册表创建服务使得该dll以系统服务的方式开机自启动实现持久化: 其中,payload文件加密存储在资源中,释放的过程涉及简单的RC4解密,密钥为ssove0117: 释放的carsrvdx.sed实际为一个downloader,该文件首先会构造url,从http://info.hangro.net/file/start?session=[8位随机数字]&imsi=0获取要下载的文件名: 得到文件名avp.exe、avpif.exe后再构造以下URL进行下载后再构造以下URL进行下载: http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avp.exe http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avpif.exe 下载回来的文件同样需要经过简单的RC4解密,密钥为Higaisakora.0。下载回来的文件avp.exe(fca3260cff04a9c89e6e5d23a318992c),是一个基于gh0st开源远控框架修改而来远程控制木马,除了命令分发和数据包压缩算法弃用原来的之外,其他内容未发现重大改动,基本保留的原来的框架。 而命令分发部分改动较大,删除了绝大部分的命令处理函数,只保留了插件管理功能,木马的所有功能都将通过插件完成,成功下载了回来的插件为FileManager.dll(dd99d917eb17ddca2fb4460ecf6304b6,注:内存加载不落地),为文件管理插件,其命令分发与gh0st源码相似性达90%以上: 下载回来的另外一个文件为avpif.exe (77100e638dd8ef8db4b3370d066984a9),该文件的功能主要是收集系统信息,并回传。 收集的信息包括: 系统信息:计算机硬件、系统版本、用户信息、系统补丁、网卡信息等 网络信息:本地网络信息 进程列表 显示域、计算机、等共享资源的列表 C盘文件列表 D盘文件列表 E盘文件列表 收集完成后加密上传到服务器中,上传url为:http://180.150.227.24/do/index.php?id=ssss 三、关联分析 通过腾讯安全御见威胁情报中心的大数据分析和挖掘,我们发现大量跟该攻击相关的样本。我们对该组织的攻击活动进行梳理,使我们对该组织的攻击活动有更深入的了解。 1、初始攻击 通过监测发现,攻击活动均为使用鱼叉邮件攻击的方式。而攻击的时间窗口基本都在重要节假日。通过发送节日祝福,附带恶意文件的方式进行攻击。 我们根据payload解密的密码” Higaisakora.0″进行搜索,搜索到了另一篇分析文章:https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html 虽然无法获取该报告中的样本,但根据报告中的截图和描述,可以确定为同一木马的不同变种。而根据该文章的披露,攻击方式同样为通过在节假日发送祝福邮件,并附带恶意文件的方式: 此外,有意思的是,我们发现该邮件的发送邮箱为gov.cn的邮箱,我们猜测攻击者可能首先攻破了某gov.cn的邮箱,然后利用该邮箱继续进行钓鱼工作。同样我们发现发件人邮箱同样存在china字眼,因此我们猜测,该组织习惯利用跟中国有关的邮箱做为跳板来进行下一步的攻击。 2、攻击诱饵 诱饵的类型根据文件种类分为两类,一类为可执行文件,另一类为恶意文档类。 1)可执行文件类诱饵: 可执行文件类又分为两个类型: 类型一:伪装为图像文件或文档文件,运行后会释放相关的图片或文档 该类型的可执行文件的图标一般要么伪装成word、excel、pdf、txt、邮件等软件的图标,要么直接是图片的内容图标: 内容主要分为: (1)传统节假日问候,如新年、元宵节、端午节、圣诞节等: (2)朝鲜国庆、领导人纪念日等相关: (3)新闻: (4)其他(包括色情图片或文本): 类型一诱饵的技术特点 将payload及伪装文件存放在PE资源中; 伪装文件未加密无需解密,payload需使用RC4解密后释放; 字符串以局部数组的形式存储,绝大部分API函数使用动态调用; 释放payload后,创建系统服务将其加载执行。 此外,我们发现这些诱饵内容都非常的及时,如某一诱饵为一个新闻,讲的是牡丹峰团长玄松月在平昌冬奥会前访问韩国: 通过搜索,该新闻是2018年1月22日: 而发现的利用该诱饵攻击的另一攻击样本(fa8c53431746d9ccc550f75f15b14b97),其编译日期为1月26日: 可以发现该组织非常擅长利用最新热点新闻。 类型二:伪装成Winrar、Teamview、播放器等常用软件 如运行后,除了释放原本的安装文件外,还会释放gh0st木马: 释放文件路径:C:\WINDOWS\system32\dilmtxce32.dll,而释放的文件同样需要通过解密,密钥为HXvsEoal_s。 2)恶意文档型诱饵: 我们发现的另一个攻击母体为(a5a0bc689c1ea4b1c1336c1cde9990a4),其路径为\AppData\Roaming\Microsoft\Word\STARTUP\winhelp.wll,而该目录为word的启动文件夹,当word启动的时候,会自动加载该目录下的模块文件。因此该手法常做为office后门加载方式的重要手法。 遗憾的是,我们并未获取到相关的文档文件,因此尚不知该启动文件是执行了某一恶意文档释放的(因为有很多攻击诱饵会利用漏洞等方式释放相关恶意文件到word启动目录),还是其他的母体释放到该目录的。不过我们认为由某一恶意文档通过漏洞释放的可能性更大。 该wll文件加载后,会释放文件在%USERPROFILE%\PolicyDefinitions\MMCSnapins.exe,该文件是个downloader,下载回来的文件有3个,分别为infostealer木马,用于窃取文件目录结构;gh0st RAT插件版;另一个未知的完整功能的RAT木马。 3、解密密码 我们发现该组织非常喜欢使用RC4加密算法,如解密释放的payload,解密下载回来的文件等。我们发现他的payload的解密密码跟随着时间而进行变化,但是downloader下载回来的文件解密木马始终都为Higaisakora.0。目前其解密payload的最新使用的密码为XsDAe0601。我们整理了一份时间和密码的对应表如下(相同的密码只取了一个): 可以看到,随着时间的变化,密码也相应的进行了变化。虽然密码上并未有相应的规律可以获取,但是至少也说明了作者一直在进行更新。 4、其他文件分析 我们还在相关受控机上发现大量其他文件,相信是该组织下发用来进行持续渗透和横向移动的工具。具体如下: 1)键盘记录器 文件BioCredProv.exe(6e95c5c01f94ef7154e30b4b23e81b36) 用于记录按键、窗口信息。 2)邮件相关 out1 .exe (901e131af1ee9e7fb618fc9f13e460a7),pdb为:E:\code\PasswordRecover\do_ok\OutlookPassRecover\Release\OutlookPassRecover.pdb 该文件的功能是outlook密码窃取,窃取的outlook账号密码保存到c:\users\public\result.dat。 文件out12.exe (08993d75bee06fc44c0396b4e643593c),pdb路径为: E:\code\PasswordRecover\outlook\OutlookPasswordRecovery-master\OutlookPasswordRecovery\obj\Release\OutlookPasswordRecovery.pdb 该文件的功能同样为窃取outlook账号密码,窃取的信息保存为Module.log。 根据pdb的路径在github上搜索,发现了该工程: https://github.com/0Fdemir/OutlookPasswordRecovery 跟文件里的完全一致: 3)非插件版的Gh0st RAT 之前发现的gh0st RAT均为插件版的gh0st RAT,也就是说所有功能通过插件来完成,但是我们在某台受控机上还发现一个非插件版的gh0st RAT,并且通过Installer解密数据文件.vnd后执行。 安装器的文件路径为:E:\360Rec\sun.exe(cc63f5420e61f2ee2e0d791e13e963f1) 最后解密后生成的文件C:\\Windows\\system32\\PRT\\WinDef32.dll(c5f0336b18a1929d7bd17d09777bdc6c)就为非插件版的gh0st。 其中主命令分发,只保留了部分gh0st功能,包括文件管理、屏幕监控、键盘记录、远程Shell等,而文件管理功能,保留了gh0st RAT文件管理的全部指令,并增加了获取和设置文件时间的功能。 5、移动端木马分析 通过拓展分析,我们还发现了几个安卓木马,如검찰청(翻译:监察厅).apk(8d3af3fea7cd5f93823562c1a62e598a): 该apk执行后界面如下: 伪装韩国检察厅APP,主要为访问网站http://www.spo.go.kr/spo/index.jsp。 实际上该app为一个远控木马,能够实现手机截屏、GPS位置信息获取、SMS短信获取、通话录音、通讯录获取、下载木马、上传文件等功能。 6、攻击归属分析 1)攻击样本中的地域分析 我们抽取了部分样本对编译的时间戳进行了分析(不包含被篡改的): 可以发现编译的时间主要发生在上午8点后,大部分时间都在晚上23点前。按照普通人的生活习惯,我们认为可能是在东9区的攻击者。正好覆盖朝鲜半岛。 其次我们发现样本中出现的naver.com字符: naver为韩国最大的搜索引擎和门户网站。 2)攻击对象分析: 因为诱饵内容几乎都跟朝鲜有一定的关系,包括朝鲜的国庆、朝鲜的联系人名单等;从钓鱼目标对象来看,基本都为朝鲜的外交官、海外居民、和朝有贸易往来人员等等;从受控机属性来看也几乎都为中朝贸易人员。 因此我们判断攻击的对象为与朝鲜相关的人员。 3)攻击手法 攻击手法包括钓鱼、伪装常用软件、下载插件等等,并且还具有多平台的攻击能力。 4)结论 从上述分析我们认为,攻击者可能来自朝鲜半岛,由于攻击目标为跟朝鲜相关,我们判断攻击者可能来自韩国。其次,从攻击手法、对象来看,跟韩国的另外一个APT攻击组织DarkHotel(黑店)比较类似。但是,从样本、基础设施等分析来看,我们并未发现有跟DarkHotel重叠的部分,也未有明确证据证明跟DarkHotel相关。但我们并不排除该组织或为DarkHotel的分支。 鉴于此,我们决定暂时把该攻击小组列为一个独立的攻击组织,取名为”黑格莎(Higaisa)“。源于作者喜欢使用的RC4的解密密钥为“Higaisakora”,取Higaisa的英译。归属过程可能因信息有限,或存在错误,我们希望安全同仁一起来完善该组织的更多信息。 四、总结 当节假日来临,我们往往会收到来自各地的祝福信息,尤其是单位的邮箱。但是一些别有用心的攻击者往往利用此机会,附带恶意文件进行攻击。而本次攻击主要是针对朝鲜相关的一些政治实体、人权组织、商贸等关系单位和人员,因此也有波及中国境内和朝鲜进行贸易的一些人员。 此外,该攻击组织的攻击武器库也一直在进行更新,而且除了pc端,也具有移动端攻击的能力。我们判断,该攻击活动必然还会继续进行下去,因此我们提醒相关人员,一定要提高安全意识,避免遭受不必要的损失。 五、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 1、通过官方渠道或者正规的软件分发渠道下载相关软件; 2、谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3、不要打开不明来源的邮件附件、即使查看可疑文档也切勿启用宏代码; 4、及时安装操作系统补丁和Office等重要软件的补丁; 5、使用腾讯电脑管家或腾讯御点终端安全管理系统防御可能的病毒木马攻击; 6、推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 六、附录 1、IOCs MD5: 7c94a0e412cc46db5904080980d993c3 6febd1729c49f434b6b062edf8d3e7f3 fca3260cff04a9c89e6e5d23a318992c 77100e638dd8ef8db4b3370d066984a9 dd99d917eb17ddca2fb4460ecf6304b6 7d6f2cd3b7984d112b26ac744af8428d 8d3af3fea7cd5f93823562c1a62e598a C2: info.hangro.net console.hangro.net register.welehope.com www.phpvlan.com wiki.xxxx.com 180.150.227.24 39.109.4.143 103.81.171.157 2、参考文章 1)https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html 2)https://s.tencent.com/research/report/762.html “黑格莎(Higaisa)”组织攻击活动的完整技术报告,请从这里下载: https://dlied6.qq.com/invc/qqpcmgr/skin/1572851347.pdf

微软:网络攻击已成企业面临的最大安全风险

近日,保险咨询公司 Marsh 发布了携手微软展开的一项调查,显示大多数企业高管已将网络攻击视作其面临的最大问题,且远超对经济的不确定性预期、以及品牌和监管的损益。这项调查涉及全球 1500 多名企业领导人,其职责涵盖了对瞬息万变的组织风险采取适当的应对措施。然而受访者普遍表示,涉及网络安全的保险政策,已较过去两年变得更为常见。 (图自:Marsh / Microsoft,via ZDNet) 2017 年的时候,Marsh 和微软发现有 62% 的受访者将网络攻击视作前五大风险。但是今年,这一数字已提升至 79% 。 今年最让企业领导人关心的前 2~5 项风险,分别是经济的不确定性、品牌破坏与监管损失、以及关键岗位职工的流失、 而在《2019 全球风险报告》中,世界经济论坛(WEF)将数据盗窃和网络攻击列为可能性排名前五的较大风险,然后是极端天气事件和气候变化问题。 自 2017 年以来,全球企业领导人已经见识到了 WannaCry、以及紧随其后的 NotPetya 勒索软件爆发所造成的巨大破坏。 过去数月,美国多个地方政府持续遭到了类似的攻击。比如今年早些时候,Norsk Hydro 就付出了 4000 万美元的代价。 最近,西方各大院校又受到了有组织的黑客攻击,只是其目标从勒索、变成了靠窃取知识产权来牟利。 企业方面,电子邮件泄密(BEC)正在成为最常见和代价惨重的威胁。美国商业保险业巨头 AIG 近期透露: 其在 2018 年遭遇了一起与之相关的巨额网络保险索赔,占 EMEA 市场总额的 23%,其次才是勒索软件威胁。 另根据 Marsh 和微软的调查,47% 的组织购买了网络保险,高于 2017 年的 34% 。年收入超过 10 亿美元的大型企业,这一数字是 57%;而低于 1 亿美元的企业,也有 36% 。 几乎所有受访者(总计 89%)都认为,网络保险政策可覆盖事件所造成的成本损失,但并非所有网络保险索赔都已完成佩服。 作为 2017 NotPetya 勒索软件攻击的几大受害者这一,食品巨头 Mondelez 就遭遇了保险提供商(苏黎世保险集团 / Zurich Insurance Group)的拒赔。 这家保险公司将 NotPetya 勒索软件攻击视作‘和平时期的敌对与战争行为’,并以此为由,拒绝向 Mondelez 给予 1 亿美元的损害赔偿。 今年 1 月的时候,不服此事的 Mondelez 向苏黎世保险集团提起了诉讼。此外《纽约时报》在今年 4 月报道称,默克制药也是 NotPetya 勒索软件攻击的受害者之一,同样的扯皮事件也在该公司与保险公司之间上演。 最后,微软调查发现,超过一半受访者表示他们在‘高度关注’有深厚背景的网络攻击事件。 另有 55% 受访者表示政府应该采取更多的措施,以保护企业免受此类攻击的威胁。     (稿源:cnBeta,封面源自网络。)

所有 Instagram 用户都存在新型钓鱼网络威胁

援引福布斯报道,来自Sophos的网络安全专家近期发现了新型网络攻击方式。虽然要比以往攻击方式更加复杂,但可使用双因素(2FA)来获取受害者的账号信息。研究人员警告称,黑客使用伪造的2FA页面让用户相信有未经授权的登录行为,并要求用户登陆来确认他们的身份。 这些电子邮件所描述的内容自然是假的,但可怕的是这些页面和实际的Instagram登录页面非常相似。Sophos团队表示:“尽管我们不愿意承认,但黑客在伪造技术上是一流的。而且还采用了更令人信服的SSL连接。”黑客获得了该网站的SSL证书,该证书添加了HTTPS和绿色挂锁,以确保用户认为是在访问真正的Instagram网站。 Sophos团队还为用户发布了一条很棒的建议。如果您收到需要访问社交媒体的电子邮件,请不要按照电子邮件中的链接进行操作。相反,请正常登录网站,然后按照电子邮件中的步骤解决问题。这将确保您不会意外地将您的凭据放入钓鱼网站。 此外Sophos团队还建议用户不要只看是否有绿色挂锁,因为黑客非常容易得到。用户应该注意域名信息,Facebook和Instagram等大多数公司都使用顶级域名(.com)。这可以帮助您识别网络钓鱼网站,因为它将使用不同的域。例如,黑客在这里使用的是“.cf”,这是一个分配给中非共和国注册的域名。     (稿源:cnBeta,封面源自网络。)

美国网络受害者地图:阿拉斯加州受害者最多 加州总损失最大

每个人都可能经历过账号被盗、个人隐私被窃取等伤害,成为网络攻击、恶意软件、勒索软件的受害者。在对基于互联网犯罪投诉中心的FBI年度报告进行分析之后,CenturyLinkQuote绘制了2018年美国每个州的网络受害者数量和损失金额程度。 根据地图显示,阿拉斯加州成为网络受害者数量最多的州,在每1万名居民中就有21.67位网络受害者,而且每位受害者的损失金额高达2256.30美元,使其连续第二年成为受害最严重的州。而网络受害者数量最少的州今年依然是南卡罗来纳州,每万人受害者数量仅为5.3人,整个州全年的网络损失为1.37亿美元。 尽管南卡罗来纳州的总损失已经很高了,但是美国加利福尼亚州总损失金额最大。在2018年美国加州因网络诈骗、恶意软件等网络攻击损失了4.5亿美元,平均每位受害者损失9178.70美元。纽约州以2.07亿美元位居第二,平均每位受害者损失11426.29美元。 在受害方式方面,社交网络是2018年比较流行的攻击方式,41000名受害者因此造成1.01亿美元的损失。而虚拟货币骗局让36000名受害者损失了1.82亿美元。不出所料,60岁以上的人是诈骗者最具针对性的年龄组。他们在2018年失去了6.5亿美元的计划,包括信任/关系欺诈。   (稿源:cnBeta,封面源自网络。)

德克萨斯州 20 个地方政府机构网络遭勒索软件攻击

据外媒报道,五年前勒索软件可能还只是网络犯罪领域的一个小角色,但现在它是困扰IT系统的最昂贵的问题之一。德克萨斯州已成为最新遭勒索软件攻击的州,该州20个地方政府实体受到影响。 此前美国佛罗里达州、马里兰州等州政府机构的网络也曾遭遇勒索软件攻击,并导致了数千万美元的损失。 本周,德克萨斯州已加入目标清单。据德克萨斯州信息资源部(DIR)称,20多个地方政府实体受到“ 协调的勒索软件攻击 ”的影响。DIR表示,“德克萨斯军事部和德克萨斯A&M大学系统的网络响应和安全运营中心团队正在为受影响最严重的司法管辖区部署资源。” 虽然最近针对其他州的攻击可能令人费解,但没有披露要求具体支付多少款项。目前缺少“地方政府实体”受影响的任何信息。 美国公共部门和地方政府机构似乎警察受到这种袭击的的影响。一种可能的解释是,预算紧张和昂贵的升级程序会阻止许多组织更新旧软件,从而变得不安全。德克萨斯州将如何应对这场危机还有待观察。德克萨斯州官员可能希望像美国国家安全局这样的联邦机构帮助恢复秩序 – 因为据称 NSA自己的EternalBlue程序是许多现代版勒索软件的基础。   (稿源:cnBeta,封面源自网络。)

美国一些选举系统被指连上网络 存在被攻击风险

据外媒报道,安全研究人员发现,美国10个州的35个后端选举系统在过去一年的某个时候都已经连接到互联网上,这意味着它们面临着被黑客攻击或遭篡改的风险。另外研究人员还发现,选举系统的防火墙可能配置不当或不安全。 据悉,这些州使用的选举系统由美国最大的投票机公司Election Systems & Software(以下简称ES&S)开发。ES&S曾在最新的这次研究告诉媒体,这些系统不会连接公共互联网。然而就在研究结果公布后没不久,研究人员提到的一些网站被撤下,这也表明了研究人员得出的结论是有效的。 实际上,这并不是对ES&S的安全措施第一次提出担忧:去年,这家公司披露,他们在2000年至2006年期间在一些投票机上安装了远程访问软件。虽然报告中没有提供表明该系统或投票记录被操纵的证据,但这些未披露的漏洞仍旧引发了人们对美国投票系统安全性的质疑。 此外,这家公司出售的许多新投票机都没有跟上打击选举干预所需的严格安全措施。美联社最近的一篇报道指出,宾夕法尼亚州使用的许多新选举系统包括ES&S开发的系统都还在运行Windows 7系统。而我们知道,从明年年初开始,Windows 7将不再获得补丁或技术支持,届时微软将要求对更新需求收费。   (稿源:cnBeta,封面源自网络。)

破坏型攻击爆发:制造业沦为重灾区

研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍,而且受影响的组织中有50%属于制造业。基于近阶段的网络攻击,本周一IBM的X-Force IRIS事件响应团队发布了新的安全研究报告,强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现,诸如Industroyer,NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控,而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。 研究人员表示:“在历史上,像Stuxnet,Shamoon和Dark Seoul这样的破坏性恶意软件通常是被有国家背景的黑客所使用。不过自2018年年末以来,网络攻击份子开始不断将这些破坏型代码整合到自己的攻击中,例如LockerGoga和MegaCortex这样的新型勒索软件。” 而制造业是这些攻击的主要目标,目前曝光的案件中50%以上和工业公司有关。其中石油、天然气和教育领域的组织是重灾区,非常容易受到这种类型的攻击。最常见的初步感染手段就是网络钓鱼电子邮件,然后窃取进入内部网络所需要的电子凭证,注水漏洞攻击,劫持目标连接从而让对方妥协。 在发动恶意攻击之前,一些黑客将潜伏在公司系统中数月。IBM的X-Force IRIS事件响应团队的全球补救负责人Christopher Scott表示:“目前在破坏型恶意软件中存在另种攻击行为,前期保持缓慢发展,直到收集到需要的所有信息才会进行破坏;而另一种则是单纯的入侵然后破坏。” 报告中称当一家企业遭受破坏型恶意软件攻击之后,平均会有12000个工作站受到损坏,并且在攻击事件发生之后可能需要512个小时或者更长时间才能恢复。在一些极端情况下,恢复时间甚至可以延长到1200个小时。而大公司的恢复成本非常高,平均成本高达2.39亿美元。作为对比,Ponemon Institute估计,平均数据泄露将花费392万美元。   (稿源:cnBeta,封面源自网络。)

Cloudflare 宣布终止对 8chan 的服务 后者或面临潜在 DDoS 攻击

据外媒The Verge报道,Cloudflare是一项帮助网站缓解DDoS攻击的在线基础设施服务。在周末德克萨斯州埃尔帕索发生致命的白人民族主义枪击事件后,Cloudflare宣布终止对在匿名贴图讨论版网站8chan的服务。枪手Patrick Crusius被曝曾在8chan发布仇恨言论。 8chan的所有者已经被告知他们的服务将被撤销,该网站可能面临导致其完全关闭的潜在DDoS攻击。Cloudflare将于太平洋时间周一午夜正式关闭服务。目前尚不清楚8chan的所有者是否已找到新的安全服务来取代Cloudflare。 8chan的所有者没有回应重复的评论请求。 Cloudflare的联合创始人兼首席执行官Matthew Prince在周日晚上的一篇博客文章中写道:“虽然从我们的网络中删除8chan会让我们失去热情,但却无法解决为什么仇恨网站在网上恶化。它没有解决为什么发生大规模枪击事件。它没有解决为什么部分人会不再抱有幻想,将其变成仇恨。“ “在采取这一行动时,我们已经解决了我们自己的问题,但我们还没有解决互联网问题,”他继续说道。 8chan的创始人Fredrick Brennan感谢Cloudflare终止其服务,并在推文中说:“最终这场噩梦可能会结束。” 周六在埃尔帕索发生枪击事件造成至少20人死亡,二十多人受伤,这是今年发生的第三次与8chan和白人民族主义意识形态有关的大规模枪击事件。第一次是在新西兰克赖斯特彻奇发生的枪击事件, 当时Cloudflare拒绝撤销其服务。 Cloudflare之前已经终止为其他包含仇恨言论的网站提供服务,其中最著名的是新纳粹网站The Daily Stormer。然而,Cloudflare竞争对手为The Daily Stormer提供服务,该网站至今仍然可用。 “不幸的是,我们今天采取的行动不会在网上修复仇恨,”Prince写道。“它几乎肯定不会从互联网上删除8chan。但这是正确的做法。”   (稿源:cnBeta,封面源自网络。)

美联邦法官驳回 DNC 提起的总统大选网络攻击诉讼

据外媒报道,当地时间周二,美国一名联邦法官驳回了民主党全国委员会(DNC)对俄罗斯政府、维基解密和特朗普竞选团队提起的诉讼。该诉讼称,被告涉嫌在2016年攻入DNC电脑并泄露私人电子邮件。 尽管美国地区法官John Koeltl同意俄罗斯联邦无疑是该次黑客攻击的幕后黑手,但他裁定,俄罗斯联邦不能被起诉–《外国主权豁免法》保护外国政府免受民事诉讼。 Koeltl在裁决中写道:“外国政府采取敌对行动的补救措施是国家行动。”换言之,对于俄罗斯的行为必须通过外交手段而非司法体系来解决。 另外,法官裁定,维基解密和特朗普竞选团队在不违反《第一修正案》的情况下不能为泄露DNC的电子邮件承担责任。 至于DNC声称维基解密活跃入侵其电脑的说法,Koeltl法官裁定,该委员会未能提供令人信服的证据。 维基解密代表律师Joshua Dratel在接受采访时说道:“它(这起案件)重申了《第一修正案》的一些重要原则,这些原则适用于新闻业的各个领域,无论你是一个强大的机构还是一个小型的独立机构。” DNC发言人Adrienne Watson表示,他们正在审查这一决定并对其开创的先例感到担忧。 至于DNC方面是否会上诉目前并未得到公布。   (稿源:cnBeta,封面源自网络。)