分类: 网络安全

Emotet 恶意软件冒充美国税务局进行网络钓鱼

Bleeping Computer 网站披露,Emotet 恶意软件以美国纳税人为目标,冒充美国国税局向受害者发送 W-9 纳税申报表,进行钓鱼活动。 Emotet 作为一款臭名昭著的恶意软件,主要通过网络钓鱼电子邮件传播,这些电子邮件包含带有恶意宏的 Microsoft Word 和 Excel 文档。在微软默认阻止下载的 Office 文档中存在宏后,Emotet 转而使用带有嵌入式脚本的 Microsoft OneNote 文件来安装 Emotet 恶意软件。 据悉,一旦安装了 Emotet,该恶意软件便会窃取受害者的电子邮件,用于未来的回复链攻击,发送更多的垃圾邮件,并安装其它恶意软件,为勒索软件团伙等其它威胁郭建者提供初始访问权限。 Emotet 为美国税收做好了“准备” Emotet 恶意软件通常使用“主题式”钓鱼活动,以搭上假期和年度商业活动的便车,例如当前的美国纳税季。在 Malwarebytes 和 Palo Alto Networks Unit42 安全研究人员观察到的新网络钓鱼活动中,Emotet 恶意软件以纳税人为目标,发送附有虚假 W-9 纳税表附件的电子邮件。 Malwarebytes 研究人员发现,威胁攻击者冒充美国国税局的“检查员”,发送标题为“美国国税局纳税申报表 W-9”的电子邮件。 在这些钓鱼电子邮件中有一个名为“W-9 form.ZIP”的 ZIP 存档,其中包含了一个恶意的 Word 文档。此Word 文档已“膨胀”到 500MB 以上,使安全软件更难检测到它是恶意的。 冒充国税局的 Emotet 电子邮件(来源: Malwarebytes) 目前,微软默认阻止宏,用户不太可能遇到启用宏的麻烦,也不太可能使用恶意 Word 文档感染宏。 Emotet Word 文档(来源: BleepingComputer) 在 Unit42 Brad Duncan 观察到的 Emotet 网络钓鱼活动中,攻击者通过使用带有嵌入 VBScript 文件的Microsoft OneNote 文档来绕过这些限制,这些文件安装了 Emotet 恶意软件。 此外,网络钓鱼活动使用回复链电子邮件,其中包含假装来自向用户发送 W-9 表格的业务合作伙伴的电子邮件,如下所示: 带有恶意的微软 OneNote 附件的 Emotet 回复链电子邮件(来源:Unit42) 所附的 OneNote 文件将假装受到保护,要求用户双击 “查看 “按钮,查看文件。但是,隐藏在 “查看 “按钮下面的是一个 VBScript 文档,它将被同步启动。 冒充 W-9 表格的恶意微软 OneNote 文件(资料来源:BleepingComputer:) 在启动嵌入式 VBScript 文件时,微软 OneNote 会警告用户该文件可能是恶意的。不幸的是,“历史经验”告诉我们,许多用户无视这些警告,只是让文件运行。 一旦执行,VBScript 将下载 Emotet DLL 并使用 regsvr32.exe 运行它。此后,该恶意软件现在将悄悄地在后台运行,窃取电子邮件、联系人,并等待进一步的有效载荷安装到设备上。 最后提醒用户,如果收到任何声称是 W-9 或其他税表的电子邮件,首先应使用本地杀毒软件扫描这些文件。     转自 Freebuf,原文链接:https://www.freebuf.com/news/361692.html 封面来源于网络,如有侵权请联系删除  

初期投入 29 亿!美国国家网络防御体系将升级主防系统

作为美国网络安全和基础设施安全局(CISA)2024财年预算申请的重点,该机构正在寻求建设新的“网络分析和数据系统”(CADS),作为后爱因斯坦(EINSTEIN)时代国家网络防御体系的中心。 CISA希望在2024财年为CADS项目提供4.249亿美元(约合人民币28.96亿元)。预算文件解释称,该项目的设想是打造一套“管理所有系统的系统”,提供“一个强大且可扩展和分析环境,能够集成任务可见性数据集,并为CISA网络操作人员提供可视化工具与高级分析能力。” 根据预算文件,这项新计划也是美国国家网络安全保护系统(NCPS,等同于爱因斯坦系统)“重组”措施的一部分。爱因斯坦系统由国土安全部于2003年提出,长期负责保护联邦机构的网络体系。 国家网络安全保护系统的核心基础设施、分析和信息共享等功能,将通过此次重组过渡为新的CADS计划。而入侵检测与防御等功能则将在2024年继续保留在爱因斯坦系统之下。 国土安全部前高级官员Chris Cummiskey表示,这份预算案是对过去几年间围绕爱因斯坦系统未来走向这一重大问题做出的回应。 “当时的想法是,爱因斯坦系统终将转化成其他形态。我想我们现在已经有了答案。……过去15到20年间,我们在联邦政府层面所熟知的爱因斯坦系统将变得截然不同。” 新系统为分析师提效赋能 CISA负责网络安全的执行助理主任Eric Goldstein在一封邮件声明中表示,新的CADS系统将帮助CISA“在破坏性入侵发生之前,快速分析、关联并行动以解决网络安全威胁和漏洞。” Goldstein解释道,该系统将整合来自多个来源的数据,包括“公共与商业数据馈送;CISA自己的端点检测与响应传感器、Protective[域名系统],以及覆盖美国数千家注册组织的漏洞扫描服务;还有公共和私营合作伙伴共享的数据。” CADS还将为CISA的网络分析师提供统一的数据仓库,让他们不必像现在这样,在不同系统之间切换手动比较数据和威胁信息。 “CADS提供的工具和功能有助于数据的摄取、集成、协调和自动化分析,将支持对恶意网络活动的快速识别、检测、缓解和预防。” 一位业内消息人士指出,CADS计划将为CISA建立一个工程与软件开发中心,确保在CISA快速发展的同时满足其对工具和分析的需求。 这位消息人士表示,“随着CISA的发展成熟,这方面需求也在逐步升级。CISA希望成长为一种强大、灵活的资源池,实现对软件、工具和基础设施的按需开发。” CISA还要求在2024年继续向爱因斯坦系统划拨6700万美元运营经费,并计划更换爱因斯坦中遗留的入侵检测和预防工具。 预算文件提到,在入侵防御方面,CISA计划在2024年将爱因斯坦的EINSTEIN Accelerated(E3A)邮件过滤工具“退役”,转为使用其他非机密性的商业服务,包括CISA的新Protective DNS服务。 文件还指出,CISA将继续运行爱因斯坦的入侵检测功能,同时探索新方案以满足在联邦政府内“扩大云技术使用范围”的目标。 超越“爱因斯坦” 在过去二十年间,爱因斯坦计划一直是国土安全部的核心任务之一,负责保卫联邦文职行政部门的网络安全。该系统记录进出机构网络的数据流量,在识别到恶意流量时向机构发出警报,并会阻断已知的网络攻击行为。 但美国国会研究服务处在2018年的一份报告中指出,爱因斯坦存在一个关键限制因素,即必须“之前看到并分析过恶意流量才能起效,无法在首次接触新的恶意流量时进行识别。” 换句话说,爱因斯坦系统“只能阻止已知威胁”。 在2020年SolarWinds事件爆发后,美国国会开始认真关注这个重大缺陷。 面对爱因斯坦耗资60亿美元却效果不佳的质疑,CISA官员辩护称,这套系统在设计之初就没有考虑过阻止新型供应链攻击。 CISA代理局长Brandon Wales在2021年3月的参议院听证会上表示,“我认为最好能保留爱因斯坦系统中仍能发挥作用、提供重要价值的部分,并把那些缺乏实际作用的部分替换成新项目。” 在本月初发布的报告中,国土安全部监察长办公室发现,SolarWinds漏洞“表明CISA的网络可见性和威胁识别技术需要得到显著改进”。 作为对这份报告的回应,CISA强调称正在开发CADS计划,正在为“CADS的持续交付”整理成本估算和时间表,预计将在3月31日之前交由国土安全部的项目责任和风险管理办公室审批。 虽然这项新计划的部门内审批正在推进,但CISA还要想办法说服国会。至于此前遗留的爱因斯坦计划,将在2023财年末获得重新授权。 监察长办公室的报告还提到,CISA在2023年将拥有2500万美元的“过桥资金”以继续投资基础设施和分析能力,直到2024年预算获得批准。 关于CISA如何实现新CADS计划的详细信息尚未公开。Cummiskey表示,如果CISA能够在2024年成功申请到经费,可能会很快启动相关重大采购。 “跟他们过去推进持续诊断和缓解(CDM)计划与爱因斯坦计划类似,我认为这将是网络安全行业在此类特定计划中发挥重要作用的又一关键机遇。”他说。     转自 安全内参,原文链接:https://www.secrss.com/articles/53038 封面来源于网络,如有侵权请联系删除

新的加密货币 Dero 挖矿活动,正以 Kubernetes 集群为目标进行

CrowdStrike在一份新报告中说:新的Dero加密货币开采活动集中定位在Kubernetes集群,该集群在Kubernetes API上启用了匿名访问,并在可从互联网访问的非标准端口上进行监听。 这一发展标志着从Monero的一个明显转变,Monero是此类活动中普遍使用的加密货币。这可能与Dero 提供更大的奖励和更好的匿名功能有关。 这些攻击是由一个不知名的攻击者进行的,首先是扫描Kubernetes集群,认证设置为–anonymous-auth=true,这允许匿名请求服务器,从三个不同的美国IP地址投放初始有效载荷。 这包括部署一个名为 “proxy-api “的Kubernetes DaemonSet,反过来,它被用来在Kubernetes集群的每个节点上投放一个恶意的pod,以启动采矿活动。 同时,DaemonSet的YAML文件被安排运行一个Docker镜像,其中包含一个 “暂停 “二进制文件,这实际上是Dero币的矿工。 该公司指出:在合法的Kubernetes部署中,pause容器被Kubernetes用来启动一个pod。攻击者可能使用相同的名字来混入,以避免常规的检测。 这家网络安全公司说,它发现了一个平行的Monero挖矿活动,也针对暴露的Kubernetes集群,试图删除与Dero活动相关的现有 “proxy-api “DaemonSet。 这表明加密劫持团体之间正在进行角力,他们争夺云资源,以获取并保留对机器的控制权,并消耗其所有资源。这两个活动都在试图寻找未被发现的Kubernetes攻击面,并正在进行争夺。     转自 Freebuf,原文链接:https://www.freebuf.com/news/360635.html 封面来源于网络,如有侵权请联系删除

警惕:CISA 安全漏洞目录新增这些安全漏洞

近日,美国网络安全和基础设施安全局 (CISA) 已将 VMware Cloud Foundation 中的一个严重漏洞(安全漏洞代码为CVE-2021-39144)、Plex 媒体服务器中存在近三年的高严重性远程代码执行 (RCE) 漏洞(安全漏洞代码为 CVE-2020-5741)两项安全漏洞添加到其已知利用漏洞目录中。 1 VMware Cloud Foundation中的漏洞 “由于在 VMware Cloud Foundation (NSX-V) 中利用 XStream 进行输入序列化的未经身份验证的端点,恶意行为者可以在设备的‘root’上下文中远程执行代码。” 该公司发布的公告。Source Incite 的 Sina Kheirkhah 和 Steven Seeley 报告了该漏洞。 VMware Cloud Foundation 中的严重漏洞自去年12 月初以来一直在野外被利用。根据Binding Operational Directive (BOD) 22-01:降低已知被利用漏洞的重大风险,美国联邦机构(FCEB)必须在截止日期 2023 年 3 月 31 日前解决已识别的漏洞,以阻止可能通过利用这些漏洞针对其网络的攻击企图。 2 Plex 媒体服务器中的漏洞 Plex 媒体服务器中的漏洞则允许具有管理员权限的威胁参与者在不需要用户交互的低复杂性攻击中远程执行任意 Python 代码。根据 Plex 安全团队在发布 Plex Media Server 时修补了该漏洞,因此“拥有 Plex Media Server 管理员权限的攻击者可能会滥用摄像头上传功能,使服务器执行恶意代码”。 “这可以通过将服务器数据目录设置为与启用了相机上传的库的内容位置重叠来完成。如果不首先获得对服务器 Plex 帐户的访问权限,则无法利用此问题。” 虽然 CISA 没有提供有关利用 CVE-2020-5741 的攻击的任何信息,但这很可能与LastPass 最近披露的有关。该LastPass去年披露了一名高级 DevOps工程师的计算机被黑客入侵,以通过滥用第三方媒体安装键盘 记录程序软件 RCE 错误。 据了解,攻击者曾凭借这个漏洞获得了工程师的凭证和LastPass公司保险库的访问权限。在威胁行为者窃取LastPass生产备份和关键数据库备份后,并导致了 2022 年 8 月的大规模数据泄露。 CISA强烈敦促所有组织修补这些漏洞以抵御持续的攻击,专家还建议私人组织审查目录并解决其基础设施中的漏洞。     转自 E安全,原文链接:https://mp.weixin.qq.com/s/3P90odtHRFX4gP_ExAs3Kw 封面来源于网络,如有侵权请联系删除

英国这项立法将为企业节省数十亿美元

据悉,英国政府重新引入了新的 GDPR 立法,它声称这将在未来十年内为企业和慈善机构节省多达 47 亿英镑(56 亿美元),同时加强数据保护和隐私。 保守党政府热衷于证明离开欧盟的好处,表示数据保护和数字信息 ( DPDI ) 法案将减少合规“文书工作”,而不会影响欧盟的数据充分性或全球对英国的信心。 认识到,到 2021 年英国需要保护和发展价值约 2590 亿英镑(3070 亿美元)的数字经济,政府声称新立法将为企业提供更大的灵活性来遵守数据法,同时降低整体合规性负担。 更具体地说,拟议的法律将: 1 确保只有处理活动可能对个人权利和自由构成“高风险”的组织需要保留健康数据的处理记录 2 如果企业已经遵守现行的英国数据法,则确保企业可以继续使用现有的国际数据传输机制在海外共享个人数据 3 阐明商业组织将受益于与学术机构相同的自由,以开展创新科学研究,例如更容易为研究目的重用数据 4 增强企业对可以在未经同意的情况下处理个人数据的案例的信心 5 通过阐明保护措施何时适用于自动决策制定来提高对 AI 的信心——例如对个人进行分析 6 将骚扰电话和短信的罚款提高至全球营业额的 4% 或 1750 万英镑 7 减少人们在网上看到的同意弹出窗口的数量 8 减少人们在网上看到的同意弹出窗口的数量 9 通过为监管机构创建一个新的法定委员会来加强信息专员办公室 (ICO) 该立法于 2022 年夏季首次出台,但在政府咨询行业机构和专家(包括消费者权益组织Which和贸易协会 TechUK)。尽管英国在 2018 年前制定 GDPR 方面发挥了关键作用,但政府很快将新立法宣传为比欧盟范围内的法律更具优势。 “这项新法案从一开始就与企业共同设计,确保了一项极其重要的数据保护制度是根据英国自身的需求和我们的习俗量身定制的,”技术大臣米歇尔·多尼兰 (Michelle Donelan) 表示 ,“我们的新法律将英国企业从不必要的繁文缛节中解放出来,以释放新发现、推动下一代技术、创造就业机会并促进我们的经济发展。” TechUK 首席执行官 Julian David 也对新法案表示欢迎。 “今天宣布的变化将使公司在进行研究、提供基本商业服务和开发人工智能等新技术方面更有法律信心,同时保持符合全球最高标准的数据保护水平,包括与欧盟的数据充分性。”他说。 信息专员约翰·爱德华兹 (John Edwards) 表示,他的办公室支持该法案的“雄心壮志,即使组织能够发展和创新,同时保持高标准的数据保护权利。”     转自 E安全,原文链接:https://mp.weixin.qq.com/s/P2XnuIvgyLqoq5KoeCUTsg 封面来源于网络,如有侵权请联系删除

美国国会最严重安全事件?两院议员及家人身份数据全泄露,已在暗网兜售

据美国众议院领导人向全体成员发出的通报函和参议院最高安全官员公布的备忘录,国会议员及华盛顿特区居民使用的在线健康保险市场D.C. Health Link遭到黑客攻击,导致数千名立法者、其配偶、家属和雇员的个人身份信息面临泄露风险。 国会警察局和FBI已经向加利福尼亚州共和党人、众议院议长凯文·麦卡锡(Kevin McCarthy)、众议员兼少数党领袖哈基姆·杰弗里斯 (Hakeem Jeffries)报告了针对D.C. Health Link市场的攻击情况。信中提到,由于此次违规行为,联邦调查员已经能够在暗网上买到关于国会议员及其家人的个人信息。 麦卡锡与杰弗里斯在周三的信中写道,“目前,我们的首要任务就是保护国会山社区中受到网络攻击影响的人们,为其提供安全保障。”他们将此次事件称为“严重的安全违规”。 立法者们写道,“首席行政官办公室将与信用与身份盗窃监控等重要服务部门保持联络,我们也强烈建议大家使用这些服务资源。” 根据参议院警察部门的一份内部备忘录,参议员及其工作人员的数据同样遭到泄露。备忘录中提到,泄露的数据包括“全名、注册日期、关系(本人、配偶、孩子)和电子邮件地址,但并不涉及其他个人身份信息。” 据众议院领导人称,导致此次D.C. Health Link数据泄露的原因、规模和范围尚不清楚,但强调警方和FBI“一直在向他们通报”此事。 作为在线健康保险市场,D.C. Health Link为大约1.1万名国会议员及其工作人员提供服务,总用户数量近10万人。 麦卡锡和杰弗里斯写道,“此次违规事件大大增加了议员、员工及其家人遭遇身份盗用、金融犯罪和人身威胁等本就持续存在的风险。幸运的是,出售信息的人似乎没有意识到自己掌握着高度敏感的机密内容,也不清楚这些与国会议员的关系。但随着媒体广泛报告此次违规行为,情况肯定会有所转变。” 众议院领导者们现在要求D.C. Health Benefit Exchange Authority(D.C. Health Link的运营方,一家在哥伦比亚特区管理在线健康保险市场的公私合营机构)主管Mila Kofman给出解释。 周三,麦卡锡和杰弗里斯向Kofman提出了一系列尖锐的问题。 包括保险市场为何没有就个人数据的泄露原因发出正式警告;具体有哪些注册者的信息被盗;以及有多少名立法者受到影响等。 在周三晚发布的一份声明中,政府发言人Adam Hudson证实了此次事件的存在,称“部分D.C. Health Link客户的数据已被泄露至公共论坛”。 Hudson称调查工作已经启动。 “与此同时,我们正在采取行动以保障用户个人信息的安全和隐私。我们正通知受影响客户,并将提供身份与信用监控服务。”     转自 安全内参,原文链接:https://mp.weixin.qq.com/s/sjR8zvA41heKWo7MvvmKyA 封面来源于网络,如有侵权请联系删除

网络威胁形势严峻!美国航空业紧急发布网络安全新规

美国国土安全部运输安全管理局(TSA,以下简称运安局)周二(3月7日)公布了新的网络安全规则,以加强境内最大、最重要的机场和航空运营商的保障能力。这也是拜登政府在近一周内第二次推动关键基础设施发布网络规则。 它意味着运安局将对航空业实施最新一套网络规则。新规则要求,相关机场及航空运营商制定安全计划,围绕谁有权访问网络等具体细节设计保护方案,并提交运安局进行审批。 运安局长戴维·佩科斯克(David Pekoske)在新闻稿中表示,“我们的首要任务是保护国内的交通系统”,运安局将与行业密切合作以加强网络安全。 近期美国政府已多次强调关基设施安全。上周五(3月3日),美国环境保护署针对水务行业发布新规;上周四,拜登政府发布国家网络安全战略,其体现了通过监管手段保护关键基础设施的思路转变。 就在航空业网络规则的制定过程中,近几个月来该行业遭遇了一系列事件,影响了机场网站、导航与飞行工具、乘客数据及运安局“禁飞”名单等众多产品服务。 具体规则 运安局此前要求,受到影响的机场和航空运营商指定一名网络安全协调员,保证在24小时之内将网络安全事件上报给网络安全和基础设施安全局(CISA),同时制定事件应对计划并开展漏洞评估。 在“2019版禁飞名单”由于不安全服务器暴露后,运安局今年1月又要求各承运机构审查内部系统,确保符合对敏感安全信息的最新处理标准。美国众议院国土安全委员会成员、众议员Dan Bishop要求,运安局必须查清名单泄露的原因。 图:推特用户讨论TSA禁飞名单泄露 本周二公布的新规要求,各机场及航空运营商制定一项实施计划,包含制定网络分段与控制、访问控制、持续监控与检测、基于风险的保护方法等一系列安全防范措施。 图:TSA要求机场与航空运营商采取的措施 面对此前在监管其他行业时激起的一些反对意见,运安局决定将网络新规设定为“绩效考核”,借此淡化抵触情绪。换言之,运安局不会过多关注如何实现目标,而更多关注是否达成结果。 美国政府扩大了运安局的管辖权限,保证能够涵盖网络规则的制定范畴。根据一份行政细则,运安局的当前管辖范围有望涵盖80处机场、21家客运航空公司和4条货运航线。 行业反响 据报道,国际航空运输协会去年曾对早期网络规则提出批评,称不清楚运安局是否听取过行业反馈。在运安局周二发布新指令后,该协会暂时没有回应置评请求。 其他受影响团体在受邀评论时,没有提出对新规内容的反对意见。 美国国家航空公司联盟CEO George Novak在邮件中表示,“航空业非常重视来自一切来源的网络威胁。航空公司联盟及各成员企业正与我们的政府同仁、机场及其他合作伙伴密切配合,提高我们对此类威胁的警惕性。随着网络威胁的不断发展,运安局向受监管实体(例如我们的成员航空企业)发布要求变更的情况并不罕见。运安局一直在积极保护我们国家的关键交通基础设施,我们感谢运安局在与行业合作制定有效对策方面表现出的领导力与反应力。” 美国航空发言人Marli Collier在邮件中写道,“美国航空业致力于将安全保障放在第一位,并与联邦政府合作将风险降至最低。美国航空旗下各运营商拥有强大的网络安全计划,并将继续大力投资以保护我们的基础设施。” 美国支线航空协会在一份未署名的邮件中提到,“我们及旗下各航空运营商正在审查这些要求。紧急修正案需要一段准备时间,随后立即生效。我们的各航空运营商将履行各项要求以确保合规。” 值得注意的是,这些团体并没有就新规做太多价值判断方面的评论。 一位不愿透露姓名的业内人士解释道,“面对刚刚发布的这份新规,喜欢或者不喜欢已经无所谓了。运安局显然认为这些规则是必要的,所以我们只需要考虑如何合作制定实施中的最佳实践。”     转自 安全内参,原文链接:https://www.secrss.com/articles/52617 封面来源于网络,如有侵权请联系删除  

黑客背后的猎人

作者:知道创宇404实验室 原文链接:https://paper.seebug.org/2053/   一.摘要 在实现网络攻击的过程中,C2 服务器、loader 服务器甚至黑客的“工作机”都有可能通过开启 Web 服务器进行数据的传输。 根据 ZoomEye 网络空间搜索引擎[1]的历史数据,我们发现 9247 个 Cobalt Strike[2]控制端服务器中,有 6.53% 曾对外提供目录浏览和文件下载服务,涉及恶意样本、利用脚本、扫描结果等多种文件。根据已有数据,我们针对重要网段进行高频测绘,可以发现更多的黑客“工作机”。 在研究过程中,我们还发现存在遍历下载黑客“工作机”所有文件的行为,推断在互联网上已经存在众多“猎人” 通过搜寻黑客“工作机”的方式,窃取其攻击工具和工作结果。 二.概述 黑客在控制他人电脑窃取他人文件的同时,也会成为他人攻击的重点对象。例如,黑客下载被他人嵌入恶意木马的扫描工具,运行使用该扫描工具的时候其电脑就会被背后的“猎人”所控制。 本文,我们将从黑客开启的 Web 服务器入手,通过使用 ZoomEye 网络空间搜索引擎,成为黑客背后的“猎人”。 黑客攻击者在进行攻击时,会遇到各类环境,为保证攻击成功,会使用较常用的方式下发恶意样本。例如开启 Web 服务器,然后通过大部分系统自带的 curl、wget 命令实现下载。在黑客进行测试样本和回传数据的时候,也可以通过开启临时 Web 服务器实现数据的传输。 部分编程语言自带了类似的功能,例如 Python 语言。我们可以使用一条命令开启一个 HTTP 服务: python3 -m http.server,然后在浏览器上访问的效果是这样子的: 这种做法虽然方便了数据传输,却给了其他人可趁之机。其他人若找到黑客使用的“工作机”,便可以获取其攻击工具,了解其攻击手法,甚至直接获取其窃取的数据。 三.利用 ZoomEye 平台找黑客“工作机” 下面我们来看如何利用 ZoomEye 平台找到这样的黑客“工作机”。 除了网页标题中的特征字符串之外,我们还需要指定黑客“工作机”中经常出现的关键词特征,才可以在 ZoomEye 平台精准的找到黑客“工作机”。 下面是一些搜索语句示例: “工作机”上经常存放漏洞 EXP 攻击工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"exp" “工作机”上经常存放 log4j 漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"log4j" “工作机”上经常部署 CobaltStrike (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobaltstrike" (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cobalt strike" “工作机”上经常部署 Metasploit (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"Metasploit" “工作机”上经常存放包含 CVE 编号的漏洞利用工具 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"cve" “工作机”上经常存放 payload (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"payload" “工作机”上经常存放 calc.exe,用于木马捆绑测试 (title:"Index of /" title:"Directory List" title:"Directory listing for /") +"calc.exe" 3.1 示例:黑客上传扫描工具进行恶意扫描 IP 地址为 124.200.*.* 的服务器,在 2023 年 2 月 14 日新增了名为 fscan64.exe 的工具。在随后的第二天(2023 年 2 月 15 日),创宇安全智脑 [3] 便捕获了由该 IP 地址发起的 1255 次攻击请求行为,并将该 IP 地址标记为恶意 IP 地址。 2023年2月14日,服务器上新增了名为 fscan64.exe的工具 2023年2月15日,创宇安全智脑捕获了由该 IP 地址发起的 1255 次 攻击请求行为 3.2 示例:黑客用于投放的恶意文件被标记为恶意 黑客在“工作机”上存储了多个用于投放给受害者点击的诱饵文件。我们随机挑选一个文件“Google3.exe”,该文件出现在“工作机”上的时间为 2023 年 1 月 31 日;然后将其上传到 Virustotal 平台上进行验证,显示在 2023 年 2 月 17 日该文件已经被识别为恶意。 2023年1月31日,服务器上出现了“Google3.exe”文件 我们将“Google3.exe”文件上传至Virustotal平台检测,被识别为恶意 3.3 示例:我们可获取黑客使用的攻击工具 我们在黑客“工作机”上,可以获取黑客所使用的攻击工具, 例如 CVE 漏洞利用工具、网马工具、Payload 代码、诱饵文件等。 ①Cobalt Strike 工具 ②CVE-2019-7609 Kibana远程代码执行漏洞利用工具 ③payload代码 ④Apache James Server 2.3.2 远程代码执行漏洞利用工具 ⑤多个CVE漏洞利用工具 ⑥EXP工具 3.4 示例:我们可获取黑客的工作结果 我们在黑客“工作机”上,可以获取黑客的工作成果,例如网站扫描结果、窃取的受害者 Cookie 数据、窃取的受害者键盘记录数据、窃取的受害者电脑上的文件等。 窃取受害者cookie的数据 ①针对gov.pk进行扫描工作结果的存储文件夹 ②gov.pk的子域名扩展结果 ③针对各子域名,使用FFUF工具进行Web Fuzz的结果 四.测绘重点网段 4.1 Cobalt Strike控制端开放Web目录浏览情况 根据ZoomEye网络空间搜索引擎的探测结果,2020年1月1日至2023年2月16日,一共有9247个IP地址被标记为Cobalt Strike控制端。其中有 604 个 IP 地址曾经出现过对外提供目录浏览和文件下载的服务,占比 6.53%。我们根据探测到的文件名等信息进行判断,绝大多数文件均和黑客攻击相关。这说明互联网上的部分黑客“工作机”给了其他人可趁之机。 4.2 高频测绘重点网段 从已识别为Cobalt Strike控制端的IP地址中,我们挑选了出现Cobalt Strike控制端最多的30个B段进行小范围测试,针对这30个B段IP地址的 3 个端口(8000、8080、8888)进行了持续 72 个小时的高频测绘,检测其是否对外提供目录浏览和文件下载服务,以及是否为黑客“工作机”。 结果是,在 72 个小时内,30 个 B 段的 196 万 IP 地址中,我们测绘到有 176 个 IP 地址对外提供过目录浏览和文件下载服务, 其中 13 个是黑客“工作机”。 我们进而分析其 HTTP 服务的开放和关闭时间,这 176 个 IP 地址 中,有 70 个为临时开放 HTTP 服务后便关闭的情况。 因此,我们可以推断,与通过网空搜索引擎进行查询相比,针对重要网段进行高频测绘,可以发现更多的黑客“工作机”。 五.探寻互联网上已经存在的“猎人” 通过这种方式,作为黑客背后的“猎人”,可以直接获取黑客“工作机”上的攻击工具和工作结果。我们推测互联网上已经存在这样的“猎人”,我们尝试来寻找之。 通过IP 地址 83.136.*.* 的 8000 端口 HTTP 服务列出的文件,我们可判断其是一台黑客“工作机”。其中文件“nohup.out” 是 HTTP 服务的请求日志记录文件。 nohup.out文件存储了HTTP服务的请求记录在该文件中,我们发现有一个 IP 地址 34.140.*.* 的行为很可疑。该 IP 地址在 2023 年 1 月 30 日,遍历并下载了黑客“工作机”所有文件夹下的文件。我们使用创宇安全智脑查询 IP 地址 34.140.*.* 的威胁等级,发现该 IP 地址已被标记为恶意 IP 地址,标签为 “2022 二十大重保”、“2022 护网”、“恶意扫描”等,且在 2023 年 1 月 30 日确实发起过恶意扫描攻击行为。 该 IP 地址 34.140.*.* 并不是一个搜索引擎蜘蛛IP,因此我们推断它是一个“猎人 IP”。当然,它的目标可能不仅仅是针对黑客“工作机”,也可能针对所有存在目录浏览漏洞的服务器。 ①该IP的威胁等级为“中” ②该IP的标签有“2022二十大重保”、“恶意扫描”等。 ③该IP在2023年1月30日发起过23次恶意扫描攻击行为在文件“nohup.out”中,存在 3 个与 34.140.*.* 行为一样的 IP 地址,我们推测其均属于“猎人 IP”。通过这一个黑客“工作机”的示例,我们有理由推断,在互联网上存在众多“猎人” 通过搜寻黑客“工作机”的方式,窃取其攻击工具和工作结果。 六.结语 黑客攻击者可能是一个人单打独斗,缺点是技术能力和实战经验有限,无法关注到方方面面的细节;也可能是团队合作,人员分工明确,各自负责编写工具、实施攻击、分析结果等,缺点是各自只关注自身负责的工作,未明确到位的工作或风险便无人关注。正是由于这些原因,使得我们通过 ZoomEye 网络空间搜索引擎,可以捕获到这些黑客的“工作机”。 善于攻击的黑客不一定善于防守,也可能以猎物的方式出现在高端的猎人面前。成为攻击事件背后的黑客,还是成为黑客背后的猎人,这是攻防对抗的升级,也是从上帝视角测绘网络空间的魅力所在。 七.参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org/ [2] Cobalt Strike https://www.cobaltstrike.com/ [3] 创宇安全智脑 https://gac.yunaq.com/

美国国会推出新法案 授权政府在全国范围内禁止 TikTok 等应用的运营

在周二提出一项法案后,TikTok禁令比以往任何时候都更接近美国人的生活,该法案将使拜登政府更容易在全美范围内限制对这个流行的视频共享应用程序的访问。这项由参议员马克-华纳(Mark Warner)领导的两党法案将授权商务部长在外国技术和公司对国家安全构成威胁时禁止它们在美国运营。 虽然TikTok在法案文本中没有被明确提及,但该措施涵盖了包括中国、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉在内的国家的公司。 华纳在周二的一份声明中说:”今天,每个人都在谈论的威胁是TikTok,以及它如何使监视成为可能,或促进恶性影响活动在美国的传播,我们需要一个全面的、基于风险的方法,在潜在危险技术的来源在美国站稳脚跟之前就积极主动地加以解决,这样我们就不会在它们已经无处不在的情况下打擦边球,慌忙追赶。” 该法案是在一项单独的提案之后提出的,该提案专门针对TikTok。 该法案为政府机构创建了一个正式的程序,以”威慑、破坏、预防、禁止、调查或以其他方式减轻他们认为具有威胁性的服务,只要他们能够接触到100多万美国人的’敏感个人数据’。” 这有可能意味着迫使美国公司–包括苹果和Google等应用商店运营商切断与TikTok或类似实体的关系。该法案还为商务部长提供了一些较小的工具,以减轻交易风险,如迫使公司剥离服务的能力。 在华纳法案出台的几天前,众议院外交事务委员会刚刚通过了一项限制访问TikTok的单独措施。《威慑美国技术对手法案》(Deterring America’s Technological Adversaries Act,简称DATA法案)将指示总统乔·拜登,如果政府认定TikTok与海外相关人员与机构共享美国用户数据,将对其进行制裁或禁止。 与众议院法案不同,华纳的参议院措施将建立一个框架,以评估和惩罚对美国安全构成风险的外国公司,而不是简单地针对TikTok这家公司。 该法案的共同提案人、参议员迈克尔-贝内特(Michael Bennet)周二在一份声明中说:”我们不应该让任何受外国政府指使的公司收集我们三分之一人口的数据–虽然TikTok只是一个最新的例子,但它不会是最后一个。联邦政府不能继续以一次性的方式处理来自敌对国家的新的外国技术;我们需要一个战略性的、持久的机制来保护美国人和我们的国家安全。” 针对华纳法案,TikTok发言人布鲁克·奥伯维特认为,这项措施是不必要的。”拜登政府不需要国会的额外授权来解决有关TikTok的国家安全问题:它可以批准与外国投资委员会谈判了两年的交易,它在过去六个月里一直在审查该交易,”Oberwetter周二在的一份声明中说。 TikTok多次否认它在中国存储美国用户数据,这是联邦官员最担心的问题。尽管有这些说法和限制安全风险的承诺,该公司一直陷于与美国外国投资委员会(CFIUS)的谈判,以保持在美国的运营超过三年。 周一,TikTok的一位官员提出了一个详细介绍德克萨斯项目的主题演讲,这是该公司为减轻外国对美国数据的威胁所做的最实质性努力。该提案将把TikTok的大部分美国业务与中国母公司字节跳动隔离开来。拉里·埃里森的甲骨文公司将在审计美国数据流方面发挥作用。 “我们赞赏一些国会议员仍然愿意探索解决国家安全问题的方案,这些方案不会产生审查数百万美国人的效果。美国对TikTok的禁令是对向全世界使用我们服务的十几亿人输出美国文化和价值观的禁令,”奥伯韦特说。 TikTok首席执行官Shou Zi Chew预计将在本月晚些时候出席国会众议院能源和商业委员会的听证会。       转自 cnBeta,原文链接:https://www.toutiao.com/article/7207937665356792381/ 封面来源于网络,如有侵权请联系删除  

美国又一关基行业开展全国网络安全大检查

作为美国白宫保护国家关键基础设施免受民族国家攻击及其他网络威胁侵扰的总体举措之一,联邦政府开始要求各州评估其饮用水系统的网络安全能力。 美国环境保护署(EPA,以下简称环保署)梳理了公共供水系统官员在饮用水保护方面应当采取的步骤,并要求在供水系统的“卫生检查”中强制纳入网络安全评估。 在上周五(3月3日)发布的这些要求前,环保署进行了历时数月的安全调查工作。调查结果显示,虽然许多公共供水系统(PWS)都制定了网络安全计划,但仍有相当一部分系统没有。 环保署负责水资源的助理署长Radhika Fox在一份备忘录中写道,包括公共供水系统在内的美国关键基础设施面临日益增长的攻击威胁,但表现并不理想。这份备忘录名为《在卫生检查或类似过程中解决公共供水系统网络安全问题》。 Fox指出,“如今,公共供水系统经常成为恶意网络活动的目标。安全饮用水的处理和分配,面临着等同甚至高于物理形式攻击的网络风险水平。” “因此需要强调,各州必须在卫生检查期间对供水系统的装置及运行状况进行评估,这将有助于降低供水系统被成功攻击的可能性,并在发生网络事件时提高设施的恢复能力。” 拼凑而成的供水体系 这项调查凸显出美国饮用水供应环境“东拼西凑”的特性。也正是这一特性,导致网络安全标准的制定面临挑战。 根据美国参议院共和党政策委员会去年发布的一份报告,全美约有15.3万个公共饮用水系统,为80%的美国人口提供饮用水资源。 安全软件厂商Tripwire在2022年9月一份报告中表示,美国许多供水系统“规模很小,服务于低密度社区且运营预算有限。供水设施覆盖范围的分散,再加上低预算和专业技术知识不足,意味着其中大量系统已经陈旧过时且缺乏维护。” 令人头疼的不只是供水系统的数量。环保署的Fox表示,过去二十年间,公共供水管理者越来越依赖电子工具来操作其供水系统,但这些电子系统现在极易受到网络攻击影响。 供水与废水系统行业的重要组织水业协调委员会曾在2021年的报告中指出,该行业应当从培训到教育、再到评估和工具,将网络安全视为重中之重。 曾发生过安全事件 2021年,堪萨斯州埃尔斯沃思Post Rock农村水区的一名前雇员面临指控,涉嫌远程访问并试图关闭供水系统。 同年,未知人员远程访问了佛罗里达州奥兹马尔的供水系统,并试图将氢氧化钠含量提高到正常量的100倍以上来毒化水质。 目前,环保署正在敦促所有公共供水系统,要求建立起针对此类攻击的保护措施。 负责网络与新兴技术的副国家安全顾问Anne Neuberger在备忘录中指出,“美国人民应该对自己的供水系统在网络攻击下的恢复能力充满信心。”她还提到,环保署提出的方案预设了灵活空间,供水系统管理员可以通过细节调整在保持安全供应的同时符合自身实际。 命令已经下达 根据环保署的要求,如果公共供水系统在运营当中使用了工业控制系统(ICS)等运营技术,那么作为大规模卫生检查的一部分,评估工作必须涵盖对实践和控制等运营技术的网络安全保护。 如果在网络安全保护中发现“重大缺陷”,例如设计/运营缺陷,水处理、贮存或分配系统故障等,则所在州必须保证公共供水系统解决它。 环保署也为部分组织提供更灵活的回旋空间,具体取决于之前实施的计划,包括允许供水系统运营商对其系统开展自我评估、由第三方负责评估或者由各州进行评估。 环保署还提出通过饮用水州循环基金和大中型饮用水系统基础设施恢复力与可持续性计划等,为公共供水系统提供培训、技术援助和财务支持。 在拜登政府的领导下,网络安全和基础设施安全局(CISA)及其他政府实体一直在努力加强16个关键基础设施领域的网络安全水平,包括化工、石油、电力、天然气和水资源等。这是白宫于2021年启动的工业控制系统网络安全计划的一部分。 这项计划是在此前亲俄黑客团伙DarkSide对科洛尼尔管道运输公司发动勒索软件攻击后制定的,此次攻击导致美国东海岸多个主要市场的燃油供应发生中断。不久后,全球肉类加工公司JBS Foods也遭遇复杂网络攻击,美国、加拿大及澳大利亚的多处设施受到影响。     转自 安全内参,原文链接:https://www.secrss.com/articles/52577 封面来源于网络,如有侵权请联系删除