进入 2024 年，Gcore 发布了最新的2023 年第三、四季度（Q3-Q4） DDoS 攻击趋势报告，指出 DDoS 攻击的规模和复杂性都有了惊人增长。 Gcore发现，过去三年，DDoS 峰值攻击流量每年的增幅都超过了100%，2021年DDoS攻击峰值流量为300Gbps，2022 年增至650 Gbps，2023 年 Q1-Q2 季度再次增至800 Gbps，2023 年Q3-Q4季度增至1600 Gbps (1.6 Tbps)。 2021-2023年度DDoS峰值攻击流量趋势（Gcore） 值得注意的是，2023 年下半年的跳跃意味着网络安全行业正在以新单位 Terabit（TB） 来衡量 DDoS 攻击。这说明 DDoS 攻击的潜在损害正在显着且持续升级，Gcore预计这一趋势将在 2024 年持续下去。 主要结果概览 攻击持续时间 研究报告发现，DDoS攻击时长从三分钟到九小时不等，平均约为一小时。通常，短时间的攻击更难检测，这是由于数据稀缺，无法进行适当的流量分析，而且由于更难识别，因此也更难缓解。更长时间的攻击需要更多的资源来对抗，需要强大的缓解响应，否则存在服务器长时间不可用的风险。 Gcore记录的最长DDoS攻击持续了9个小时（Gcore） 主要攻击类型 在主要攻击类型中，UDP flood继续占据主导地位，占 DDoS 攻击的 62%。TCP flood和 ICMP 攻击也仍然很流行，分别占总数的 16% 和 12%。所有其他 DDoS 攻击类型，包括 SYN、SYN+ACK Flood 和 RST Flood，合计仅占 10%。虽然一些攻击者可能会使用这些更复杂的方法，但大多数攻击者仍然专注于提供大量数据包来摧毁服务器。 2023 年下半年主要攻击类型占比（Gcore） 主要攻击源分布 攻击源的全球传播表明了网络威胁的无国界性质，攻击者可以跨越国界进行操作。Gcore 在 2023 年下半年发现了多个攻击来源，其中美国位居第一，占 24%。印度尼西亚（17%）、荷兰（12%）、泰国（10%）、哥伦比亚（8%）、俄罗斯（8%）、乌克兰（5%）、墨西哥（3%）、德国（2%）和巴西（2%）位列前十，这说明全球面临着广泛的威胁。 攻击源地理位置占比（Gcore） DDoS 攻击源的地理分布为制定有针对性的防御策略和制定旨在打击网络犯罪的国际政策提供了重要信息。然而，由于使用 IP 欺骗等技术以及分布式僵尸网络的参与，确定攻击者的位置具有一定难度。 目标行业 游戏行业仍然是受影响最严重的行业，遭受了 46% 的攻击。银行和博彩服务在内的金融行业位居第二，占 22%。电信（18%）、基础设施服务行业（7%）和计算机软件公司（3%）也成为重点目标。 受影响行业占比分布（Gcore） 这些行业分布与Gcore的上一份报告大致相同，攻击者对游戏和金融领域特别感兴趣，这些行业一般具有较好的经济收益和用户基础，同时凸显了在受打击最严重的行业中需要有针对性的网络安全策略的必要性。 分析及结论 2023 年下半年的数据显示了 DDoS 攻击令人担忧的趋势。尤其是峰值攻击增加到了令人震惊的 1.6 Tbps，这标志着组织必须做好准备应对不断高升的威胁水位。相比之下，即使是“不起眼的”300 Gbps 攻击也能够禁用未受保护的服务器。结合攻击源的地理分布，DDoS 威胁是一个严重的全球性问题，需要国际合作和情报共享，以有效减轻潜在的破坏性攻击。 攻击持续时间的范围表明攻击者变得更具战略性，针对特定的目标和目标调整他们的方法。例如在游戏领域，攻击的威力和持续时间相对较低，但更为频繁，会对特定服务器造成反复破坏，目的是破坏玩家体验，迫使他们切换到竞争对手的服务器。对于经济影响更为直接的金融和电信行业来说，攻击的数量往往较多，且长度变化很大。 游戏、金融行业、电信和基础设施服务行业的持续攻击反映了攻击者的战略选择，因为攻击导致的业务中断都会对其经济和运营产生重大影响。 Gcore的报告及时提醒人们要积极应对不断变化的网络威胁。跨部门的组织必须投资全面且适应性强的网络安全措施，以确保其能力领先于 DDoS 威胁，同时还能够敏锐地了解网络攻击者不断变化的模式和策略。   转自Freebuf，原文链接：https://www.freebuf.com/news/390469.html 封面来源于网络，如有侵权请联系删除

据观察，隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 蠕虫。 以色列安全公司Check Point详细介绍了Gamaredon（又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder）的最新战术，称该组织从事大规模活动，随后“针对特定目标进行数据收集工作，其选择很可能是出于间谍目的。” 技术报告URL:https://research.checkpoint.com/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/ LitterDrifter 蠕虫病毒包具有两个主要功能：通过连接的 USB 驱动器自动传播恶意软件以及与攻击者的命令和控制 (C&C) 服务器进行通信。它还被怀疑是赛门铁克于 2023 年 6 月披露的基于 PowerShell 的 USB 蠕虫的演变。 传播器模块用 VBS 编写，负责将蠕虫作为 USB 驱动器中的隐藏文件以及分配了随机名称的诱饵 LNK 进行分发。该恶意软件因其初始编排组件名为“trash.dll”而得名 LitterDrifter。 Check Point 解释说：“Gamaredon 的 C&C 方法相当独特，因为它利用域名作为实际用作 C2 服务器的循环 IP 地址的占位符。” LitterDrifter 还能够连接到从 Telegram 频道提取的 C&C 服务器，这是至少从今年年初以来它反复使用的策略。 该网络安全公司表示，根据来自美国、越南、智利、波兰、德国和香港的 VirusTotal 提交的信息，它还发现了乌克兰境外可能受到感染的迹象。   Gamaredon 今年表现活跃，同时不断改进其攻击方法。2023 年 7 月，对手的快速数据泄露能力曝光，威胁行为者在最初入侵后一小时内传输敏感信息。 “很明显，LitterDrifter 的设计目的是支持大规模情报收集业务。”该公司总结道。“它利用简单而有效的技术来确保它能够实现该地区最广泛的目标。” 这一事态发展正值乌克兰国家网络安全协调中心（NCSCC）透露俄罗斯国家支持的黑客针对欧洲各地大使馆（包括意大利、希腊、罗马尼亚和阿塞拜疆）策划的攻击。 这些入侵归因于APT29（又名 BlueBravo、Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight Blizzard 和 The Dukes），涉及通过看似良性的诱饵来利用最近披露的 WinRAR 漏洞 ( CVE-2023-38831 )出售宝马汽车，这是它过去采用的主题。 攻击链首先向受害者发送网络钓鱼电子邮件，其中包含指向特制 ZIP 文件的链接，该文件启动后会利用该缺陷从 Ngrok 上托管的远程服务器检索 PowerShell 脚本。 NCSCC 表示：“俄罗斯黑客组织利用 CVE-2023-38831 漏洞的趋势令人担忧，这表明该漏洞日益流行且复杂。” 本周早些时候，乌克兰计算机紧急响应小组 (CERT-UA)发现了一场网络钓鱼活动，该活动传播恶意 RAR 档案，这些档案伪装成来自乌克兰安全局 (SBU) 的 PDF 文档，但实际上是一个可执行文件，可导致部署 Remcos RAT。 CERT-UA 正在追踪名为 UAC-0050 的活动，该活动也与 2023 年 2 月针对该国国家当局交付 Remcos RAT 的另一轮网络攻击有关。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zU-9AFRM0lhJrh9ea46GSw 封面来源于网络，如有侵权请联系删除

采用问卷调查评估形式，而非CMMC强调的第三方安全评估，以减少对小企业供应商的成本压力。 有消息称：美国国土安全部将开展“网络安全准备度”评估，在签订合同之前确定承包商是否已经采取适当的网络防御措施。 11月1日，美国国土安全部发布通知，公开新的“网络安全准备度评估因素”的详细信息。该通知由国土安全部首席信息安全官Kenneth Bible和采购政策与法规执行主任Sarah Todd共同签署。 通知确认，美国国土安全部计划采用自己的方法来评估承包商的网络安全，不再采用美国国防部的网络安全成熟度模型认证（CMMC）计划。 采用问卷调查审核评估形式 美国国土安全部官员在通知中写道：“国土安全部旨在确保，承包商已经采取了有效且适当的网络安全措施以支持工作。有了新的评估因素，国土安全部将能在适用合同招标前，评估承包商的网络安全状况，进行价值权衡，做出最佳决策。” 通知没有说明新的评估因素将何时生效。但美国国土安全部希望在11月17日之前收到对其计划的反馈意见。 在通知的附件中，美国国土安全部详细说明将如何分析承包商对问卷调查的回答，并以此为基础评估“网络安全准备度”。 如果招标使用准备度因素，投标公司需要展示他们如何落实美国国家标准与技术研究院的网络安全控制要求（如NIST SP 800-171r2、NIST SP 800-172），从而保护敏感政府数据CUI（受控非机密信息）。 投标公司将填写美国国土安全部“标准化安全评估工具问卷”。根据填写内容，公司将收到“准备度结果”和评级。从高到低，有“高度可能具备网络安全准备度”、“可能具备网络安全准备度”、“不太可能具备网络安全准备度”等多个等级。 美国国土安全部在通知中指出，这些指标“将根据具体的招标进行调整”。此外，公司的网络安全评级可能会对他们的投标产生积极或消极的影响。 通知附件指出：“目前，网络安全准备度因素将只用于适用招标工作，帮助进行价值权衡，做出最佳授标决策。当然，如果中标方在授标时并不符合美国国土安全部期望的要求，需要在招标文件中加入行动计划和里程碑节点，在授标后交付。” 美国土安全部弃用国防部CMMC标准 美国国土安全部去年向400家承包商发送自我评估问卷，以评估行业网络卫生情况，并在此基础上设计了全新的准备度评估工具。 在近日由Leadership Connect主持的网络研讨会上，Kenneth Bible表示，网络卫生工作围绕美国国土安全部的一项优先任务展开，即“通过采购提高行业承包商的网络安全态势”。 美国国土安全部的承包商需要遵循与美国国部防承包商相同的CMMC网络安全标准。不过Kenneth Bible此前表示，国防部要求许多承包商依照网络安全成熟度模型认证计划进行第三方网络安全评估，这一要求并不适合国土安全部。 Kenneth Bible在此次活动上重申了这一立场，表示该计划“不太适用于我们的行业承包商”，其中包括大量的小型企业。美国国防部正被迫对网络安全成熟度模型认证计划进行重大改革，以降低计划给中小型企业带来的成本。 Kenneth Bible表示，美国国土安全部可以在不制定任何规则的情况下实施网络安全评估机制。与之相比，国防部的网络安全成熟度模型认证流程仍处于规则制定阶段，不太可能在今年生效。 Kenneth Bible说：“这有助于我们在签订合同之前就进行审查。我们正在努力落实现在就可以落实的措施。只管动手去做就好。我认为，公众只要看到政府正在采取他们希望采取的行动，就会更加有信心。我们开始以此为工作标准，这对我们的工作会有很大帮助。或许我们无法做到每次都达到目标，但是，不动手去做，就永远无法达到目标。”   转自会安全内参，原文链接：https://www.secrss.com/articles/60508 封面来源于网络，如有侵权请联系删除

继美国国家网络主任办公室(ONCD)7月采取行动，呼吁提供信息以协调各司法管辖区的网络安全标准和法规后，世界经济论坛(WEF)周三（25日）发布了一份白皮书，列出了世界经济论坛系统的回应网络弹性：电力(SCRE)社区。 它的重点是解决网络安全要求中的冲突、确定优先部门和地区、评估国际对话、审查正在进行的全球举措以及探索监管互惠。 去年9月，WEF SCRE社区“已将全球监管互操作性确定为其重点关注领域之一，并成立了全球监管工作组，以促进电力行业全球网络监管的互操作性”，该机构在其最新文件中指出。“该工作组应对复杂、行业和部门不可知、分散、不一致、有时甚至相互冲突的法规的挑战。 这些孤立的法规缺乏并阻碍了互操作性，导致成本增加和效率低下，因为有限的资源被转移到解决合规性挑战，而不是直接解决部门和组织的网络安全状况。”白皮书补充说，工作组正在努力在其成员之间建立共同的社区立场，以帮助监管机构和充当监管机构的政府机构更好地了解该行业的需求。 SCRE社区欢迎并支持ONCD的监管协调工作。其对ONCD的建议包括： 继续ONCD不断努力提高全球监管互操作性、提高安全性和降低成本； 采用基于风险的方法，将安全性置于合规性之上； 从政策和监管流程的最初阶段就让私人、公共和民间社会利益相关者参与进来。 它还利用国际标准化组织（ISO）和国际电工委员会（IEC）等非政府机构制定的现有国际技术标准，并参与有关网络安全的国际对话和国际倡议。   转自安全客，原文链接：https://www.anquanke.com/post/id/291039 封面来源于网络，如有侵权请联系删除

俄罗斯政府和工业部门机构已成为 卡巴斯基实验室发现的大规模网络攻击的受害者 。攻击者使用附有恶意存档的网络钓鱼电子邮件，在受感染的设备上启动了新的后门。攻击的目标是窃取屏幕截图、文档、浏览器密码和剪贴板信息等数据。 这次攻击从 2023 年 6 月开始，一直持续到 8 月中旬。攻击者模仿监管机构的官方信息发送信件，其中包含 PDF 格式的虚假文档和恶意存档。如果受害者打开存档，[NSIS].nsi 脚本就会在他们的设备上启动，该脚本会在隐藏窗口中安装后门。同时，下载恶意软件的网站名称模仿了官方部门的网站。 启动后，恶意软件会检查互联网访问并尝试连接到合法的网络资源（外国媒体）。然后，它会检查受感染设备是否有可以检测其存在的软件和工具，例如沙箱或虚拟环境。如果至少有一个，后门就会停止活动。当所有检查都通过后，恶意软件会连接到攻击者的服务器并加载模块，使其能够从剪贴板窃取信息、截取屏幕截图并在流行扩展名中查找用户文档（例如 doc、.docx、.pdf、. xls、.xlsx）。所有数据均传输至控制服务器。 8月中旬，攻击者更新了他们的后门，添加了一个用于从浏览器窃取密码的新模块，并增加了对环境的检查次数。感染链保持不变。其中的差异在于，攻击者通过访问合法的网络资源取消了对互联网访问的检查：现在恶意程序立即连接到控制服务器。该恶意软件还添加了一个模块，允许其从浏览器窃取密码。此外，对环境中是否存在可检测恶意活动的工具的检查次数也有所增加。   转自安全客，原文链接：https://www.anquanke.com/post/id/290980 封面来源于网络，如有侵权请联系删除

目前，谷歌正为Chrome浏览器测试一项新的“IP保护”功能。因为该公司认为用户IP地址一旦被黑客滥用或秘密跟踪，都可能导致用户隐私信息泄露。 而这项功能可通过代理服务器屏蔽用户的IP地址，以增强用户的隐私性，这样就可以尽量在确保用户的隐私和网络的基本功能之间取得平衡。 IP 地址允许网站和在线服务跟踪跨网站的活动，从而便于创建持久的用户档案。与第三方 cookie 不同的是，用户目前没有直接的方法来躲避这种隐蔽的跟踪，这就造成了严重的隐私问题。 谷歌提出的 IP 保护功能是什么？ 虽然 IP 地址是潜在的跟踪载体，但它们也是路由流量、防止欺诈和其他重要网络任务等关键网络功能不可或缺的部分。 IP 保护 “解决方案通过代理服务器路由来自特定域的第三方流量，使这些域看不到用户的 IP 地址，从而解决了这一双重问题。随着生态系统的发展，”IP 保护 “也将不断调整，以继续保护用户免受跨站跟踪，并在代理流量中添加更多域。 关于 IP 保护功能的描述中曾提到：Chrome 浏览器正在重新引入一项建议，以保护用户免受通过 IP 地址进行的跨站跟踪。该建议是一种隐私代理，可对符合上述条件的流量进行 IP 地址匿名化处理。 前期IP 保护将作为一项可选择功能，确保用户可以控制自己的隐私，谷歌将会同时监控用户的行为趋势。这个功能的实施将分阶段进行，以适应地区性考虑并确保学习曲线。 第一阶段被称为 “第 0 阶段”，谷歌将使用专有代理将请求代理到自己的域名。这将有助于谷歌测试系统的基础设施，并为微调域名列表争取更多时间。 初期只有登录谷歌 Chrome 浏览器且 IP 位于美国的用户才能访问这些代理服务器。然后经过选择的一组客户端将自动纳入此次初步测试，但随着测试的深入，架构和设计也将随之调整。为了避免潜在的IP滥用，谷歌运营的认证服务器将向代理分发访问令牌，并为每个用户设定配额。 在下一阶段，谷歌计划采用两跳代理系统，以进一步提高隐私性。第二个代理将由外部 CDN 运行，而谷歌运行第一跳。这样可以确保两个代理都看不到客户端的 IP 地址和目的地。 由于许多在线服务利用 GeoIP 来确定用户的位置以提供服务，谷歌计划为代理连接分配代表用户 “粗略 “位置而非其具体位置的 IP 地址，如下图所示。 料来源：谷歌 谷歌打算测试该功能的域包括其自己的平台，如 Gmail 和 AdServices。同时，谷歌计划在 Chrome 119 和 Chrome 225 之间测试这一功能。 潜在的安全问题 谷歌方面解释称：新的 IP 保护功能存在一些网络安全问题。由于流量将通过谷歌服务器代理，这可能会使安全和欺诈保护服务难以阻止 DDoS 攻击或检测无效流量。 此外，如果谷歌的某个代理服务器被入侵，威胁者就可以看到并操纵通过该服务器的流量。 为了缓解这一问题，谷歌正在考虑要求使用该功能的用户对代理服务器进行身份验证，防止代理服务器将网络请求链接到特定账户，并引入速率限制以防止 DDoS 攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/381609.html 封面来源于网络，如有侵权请联系删除