Google最近帮助缓解了有记录以来最大的分布式拒绝服务（DDoS）攻击。这一系列攻击发生在 8 月份，采用了基于流多路复用的新型 HPPT/2″快速重置”方法。该事件仅持续了两分钟，但高峰时每秒产生了 3.98 亿个请求（rps）。 从这个角度来看，这次攻击产生的请求量超过了维基百科 9 月份的总浏览量。 Google表示，它能够在网络边缘缓解攻击，确保服务和客户基本不受影响。这种攻击从 8 月份就开始了，随着团队了解了更多关于所使用方法的细节，他们能够更新系统并加强防御。 该搜索巨头表示，任何向互联网提供基于 HTTP 的工作负载的企业或个人都可能面临风险，而且可以使用 HTTP/2 协议进行通信的服务、应用程序和 API 都可能受到攻击。Google已为该攻击提供了补丁，该攻击被追踪为 CVE-2023-44487，严重性高达 7.5 分（满分 10 分）。 Google还在其云博客上发布了关于快速重置技术的深入探讨，供有兴趣的用户了解更多信息：https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps 值得一提的是，Google并不是唯一一家成功缓解了这些新型攻击的科技巨头。最近几个月，亚马逊和微软也对快速重置攻击采取了行动，Cloudflare 也对这一问题发表了看法。 大多数 DDoS 攻击都是为了破坏面向互联网的网站和服务。通过向服务器灌入流量，攻击者可以压垮目标并造成各种问题。一两分钟的宕机时间看起来并不多，但对于运行关键任务应用程序的大型公司来说，这可能是一个非常令人头疼的问题。   转自cnBeta，原文链接：https://www.toutiao.com/article/7288822494918640163/?log_from=befd9dbb545a1_1697076826306 封面来源于网络，如有侵权请联系删除

英国电子公司 Volex 遭受网络攻击，确认未造成 “重大财务影响”。 在英国另类投资市场（AIM）上市的英国电力和数据传输产品制造商 Volex PLC 是网络攻击的最新受害者。此次安全事件的概要如下： 英国一家重要的电力和数据传输产品制造商 Volex PLC 遭受了一次安全漏洞。 该公司声称，没有证据表明该事件造成了 “重大财务影响”。 攻击者在未经授权的情况下访问了该公司的部分 IT 系统和数据。 Volex 声称，该公司迅速采取了应对措施以减轻攻击，并实施了一项事件响应计划。 该计划的部分内容是确保其所有网站继续运行，全球生产系统不受影响。 该公司已咨询网络安全专家以调查此次事件。 该事件是由于未知威胁行为者未经授权访问该公司位于多个全球站点的部分IT系统和数据而导致的。 不过，Volex声称攻击者无法访问财务数据，该事件没有造成重大财务影响。尽管如此，正如总部位于伦敦的City AM出版物所指出的那样，该公司的股价周一上午仍下跌了4%左右。 已有131年历史的Volex聘请了未透露姓名的第三方网络安全专家顾问来调查攻击造成的根本原因和损害程度。该公司在其网络事件通知中表示，Volex的多个全球站点成为此次数据泄露的目标。 Volex解释说，它立即做出回应并采取行动以保持其网站的运行。该公司实施了一项事件响应计划，以便将全球生产水平受到的干扰降至最低，并确保与供应商和客户的贸易不间断。 然而，在UTC时间13:25:26 检查时，Volex网站已离线，显示Cloudflare页面。尽管如此，在撰写本文时，该网站已恢复并可供访问者使用。 “在意识到这一事件后，该集团颁布了既定的IT安全协议，并立即采取措施阻止未经授权的访问其系统和数据。专家、第三方顾问已参与调查事件的性质和程度，并实施事件响应计划。” 值得注意的是，该公司足迹遍布24个国家，拥有27个生产基地。欧洲、北美和亚洲是其主要交易市场。   转自Freebuf，原文链接：https://www.freebuf.com/news/380109.html 封面来源于网络，如有侵权请联系删除

近日，亚马逊网络服务公司（AWS）表示，到2024年年中起，将要求所有特权账户使用多因素身份验证（MFA），以提高默认安全性并降低账户被劫持的风险。 首席安全官Steve Schmidt表示，任何以 AWS 组织管理账户根用户登录 AWS 管理控制台的客户届时都必须使用 MFA 才能继续。 同时，他还补充到，必须启用 MFA 的客户将通过多种渠道获知即将发生的变更，包括登录控制台时的提示。他们将在2024年把这一计划扩展到更多场景，如独立账户（AWS 组织中的组织外账户）。这个新功能将使MFA大规模采用和管理变得更加便捷。 此举是继 AWS 此前努力提高 MFA 使用率之后的又一举措。该公司早在2021年秋季就开始向美国的账户所有者提供免费的安全密钥，一年后，企业可以在AWS中为每个账户根用户或每个IAM用户注册最多8个MFA设备。 Schmidt表示，他们建议每个人都采用MFA，同时他们还鼓励客户考虑选择防网络钓鱼的 MFA 形式，如安全密钥。 虽然全面启用 MFA 要求的计划安排是在2024年，但AWS方面强烈建议广大客户从现在开始，就为环境中的所有用户类型启用 MFA。 网络钓鱼攻击可能给员工带来一定的安全风险，而MFA就是降低风险的关键一步。IBM X-Force 上个月的一项研究显示，在 2022 年 6 月至 2023 年 6 月期间，云入侵的首要初始访问载体是威胁行为者使用有效凭证。 而在安全厂商调查的真实云事件中，近36%的事件都发生了这种情况，这些凭证要么是在攻击过程中被发现的，要么是在攻击账户之前被盗取的。   转自Freebuf，原文链接：https://www.freebuf.com/news/379937.html 封面来源于网络，如有侵权请联系删除

10月5日，美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 公布了十大目前最常见的网络安全错误配置，这些错误由红蓝团队在大型组织网络中发现。 根据发布的联合报告，团队评估了国防部 (DoD)、联邦民事行政部门 (FCEB)、州和地方政府以及私营部门的网络安全态势，并详细介绍了攻击者会使用哪些策略、技术和程序 (TTP) 来成功利用错误配置来实现各种目的，包括获取访问权限、横向移动以及瞄准敏感信息或系统。 红蓝团队以及 NSA 和 CISA Hunt 和事件响应团队发现的十大网络安全配置错误包括： 1.软件和应用程序的默认配置 2.用户/管理员权限分离不当 3.内网监控不足 4.缺乏网络分段 5.补丁管理不善 6.绕过系统访问控制 7.多重身份验证 (MFA) 方法薄弱或配置错误 8.网络共享和服务的访问控制列表 (ACL) 不足 9.凭证复杂性弱 10.不受限制的代码执行 对于上述风险，NSA 和 CISA 建议网络安全人员实施以下缓解措施： 消除默认凭证并强化配置； 停用未使用的服务并实施严格的访问控制； 确保定期更新并自动化修补过程，优先修补已被利用的已知漏洞； 减少、限制、审计和密切监控管理帐户和权限。 CISA 网络安全执行助理主任戈德斯坦（Goldstein）表示，软件厂商应采取一系列积极主动的做法，有效解决这些错误配置并减轻网络安全人员面临的挑战，其中包括从开发的初始阶段到整个软件开发生命周期，将安全控制集成到产品架构中。 此外，厂商应停止使用默认密码，并确保在某个单元受到攻击时不会危及整个系统的安全完整性。 最后，戈德斯坦还表示，必须为特权用户强制执行多重身份验证 (MFA)，并将 MFA 设置为默认功能，使其成为标准做法而不是可选选择。   转自Freebuf，原文链接：https://www.freebuf.com/news/379857.html 封面来源于网络，如有侵权请联系删除

最近，来自四所美国大学的研究人员开发出了一种新的 GPU 侧通道攻击，可利用数据压缩技术在访问网页时从现代显卡中泄漏敏感的视觉数据。 研究人员通过 Chrome 浏览器可执行跨源 SVG 滤镜像素窃取攻击，这也证明了这种 “GPU.zip “攻击的有效性。研究人员于 2023 年 3 月向受影响的显卡制造商披露了该漏洞。截至 2023 年 9 月，受影响的 GPU 厂商，包括AMD、苹果、Arm、英伟达、高通、谷歌Chrome 浏览器等均未推出解决该问题的补丁。 德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的研究人员在一篇论文中详细概述了这一新漏洞，该论文于第 45 届电气和电子工程师学会安全与隐私研讨会上正式发表。 通过压缩泄密 一般来说，数据压缩会产生明显的数据依赖性 DRAM 流量和缓存利用率，这可能会被滥用于数据泄露，因此软件在处理敏感数据时会关闭压缩功能。 GPU.zip 研究人员解释说，所有现代图形处理器单元，尤其是集成的英特尔和 AMD 芯片，即使没有明确要求，也会执行软件可见的数据压缩。 现代图形处理器将这种危险的做法作为一种优化策略，因为它有助于节省内存带宽，并能够在不使用软件的情况下提高性能。 这种压缩通常不会留下记录，但研究人员已经找到了一种数据可视化的方法。他们演示了一种可以在各种设备和 GPU 架构上通过网络浏览器提取单个像素数据的攻击方式，如下图所示： 不同系统的测试结果 概念验证攻击演示了从维基百科 iframe 中窃取用户名的过程，使用 Ryzen GPU 和英特尔 GPU 分别可在 30 分钟和 215 分钟内完成，准确率分别为 97% 和 98.3%。 找回用户名 iframe 承载了一个跨源网页，其像素被分离并转换成二进制，即可转换成两种颜色。然后这些像素会被放大，并应用专门的 SVG 过滤器堆栈来创建可压缩或不可压缩的纹理。研究人员可以通过测量纹理渲染所需的时间，推断出目标像素的原始颜色/状态。 GPU.zip 攻击概念 在 “Hot Pixels “攻击中，SVG 过滤器被用以诱导数据的执行，JavaScript 则被用来测量计算时间和频率，以辨别像素的颜色。 Hot Pixels 利用的是现代处理器上依赖数据的计算时间，而 GPU.zip 则利用未注明的 GPU 数据压缩来实现类似的结果。 GPU.zip 的严重性 GPU.zip 几乎影响了所有主要的 GPU 制造商，包括 AMD、苹果、Arm、英特尔、高通和英伟达，但并非所有显卡都受到同样的影响。 事实上，所有受影响的厂商都没有选择通过优化数据压缩的方法并将其操作限制在非敏感情况下，来修复该问题，因为这可能会进一步提高风险。 尽管 GPU.zip 有可能影响全球绝大多数笔记本电脑、智能手机、平板电脑和台式电脑，但由于执行攻击十分复杂并且需要大量时间，所以对用户的直接影响并不明显。 此外，拒绝跨源 iframe 嵌入的网站也无法通过这种或类似的侧信道攻击泄漏用户数据。 研究人员在该团队网站上的常见问题中解释说：大多数敏感网站已经拒绝被跨源网站嵌入，因此它们并不容易受到 GPU.zip 安装的像素窃取攻击。 最后，研究人员指出，Firefox 和 Safari 并不符合 GPU.zip 运行所需的所有条件，例如允许跨源 iframe 使用 cookies 加载、在 iframe 上呈现 SVG 过滤器以及将呈现任务委托给 GPU。   转自Freebuf，原文链接：https://www.freebuf.com/news/379530.html 封面来源于网络，如有侵权请联系删除

作为桌面操作系统重大更新的一部分，微软昨天（9月26日）正式在 Windows 11 中推出了对通行密钥的支持功能。用户仅需依靠设备的 PIN 码或生物识别信息即可完成登录步骤，不再需要提供用户名和密码即可登录网站和应用程序。 基于FIDO标准，Passkeys于2022年5月首次宣布，以一种既强大又抗网络钓鱼的方式取代密码。最近几个月，它已经被苹果、谷歌和其他一些服务采用。 虽然这家科技巨头早在2023年6月就在Windows Insider程序中添加了密钥管理，但此次新功能的推出意味着其即将适用于大多数用户。 企业和操作系统安全副总裁David Weston表示：密钥是安全登录管理的跨平台未来。密钥创建了一个唯一的、不可猜测的加密凭证，它安全地存储在你的设备上。 密钥对于每个网站或应用程序来说都是独一无二的，它消除了以往设置复杂密码并存在遗忘的风险。同时，密钥还可以在同一操作系统(或生态系统)内的设备之间同步，使登录过程更容易。 在Windows操作系统中，通过Windows Hello创建密钥。用户可以通过开始>设置>帐户> passkeys来管理他们保存的passkeys。 除此之外，微软还表示还将把Windows Hello for Business应用到企业管理的Windows 11设备上，让it团队能够为加入微软Entra ID的机器设置策略，从而确保用户身份的安全。 另外还有与企业相关的新增功能值得注意：其中包括增强了内置的Windows防火墙和一个新的自定义应用程序控制选项，以确保只有经过批准和信任的应用程序被允许进入设备，并保护端点免受恶意代码的攻击。 Weston表示，通过控制不需要或恶意代码的运行，应用程序控制是整个安全策略的关键部分，应用程序控制通常被认为是防御恶意软件的最有效手段之一。   转自Freebuf，原文链接：https://www.freebuf.com/news/379422.html 封面来源于网络，如有侵权请联系删除

9月21日，美国当局发布了一份新的网络安全公告，介绍了Snatch勒索软件即服务（RaaS）组织使用的最新战术、技术和程序（TTPs）。 网络安全和基础设施安全局（CISA）和联邦调查局解释说，虽然Snatch于2018年首次出现，但自2021年以来一直在学习借鉴其他勒索软件的技术，现已发展“壮大”。 该勒索软件采用了经典的双重勒索“玩法”，如果受害者不付钱，就会将其详细信息发布到泄密网站上。 据观察，Snatch 威胁行为者会先从其他勒索软件中购买窃取的数据，试图进一步利用受害者支付赎金，以避免他们的数据被发布在 Snatch 的勒索博客上。 该组织通常会尝试暴力破解 RDP 端点或使用其在暗网上购买的凭证进行初始访问，俄通过入侵管理员账户以及 443 端口与罗斯防弹托管服务托管的命令控制服务器建立连接，从而获得持久性。 此外，公告中还提到，附属机构使用 Metasploit 和 Cobalt Strike 等工具进行横向移动和数据发现，有时会在受害者网络内花费长达三个月的时间。 他们还经常会尝试通过一种非常特殊的方式来禁用杀毒软件。 该报告解释说，Snatch攻击者使用一种定制的勒索软件变体，可以将设备重新启动到安全模式，使勒索软件能够绕过反病毒或端点保护的检测，然后在很少有服务运行时对文件进行加密。 受害组织来自多个关键基础设施领域，包括国防工业基地（DIB）、食品和农业以及科技领域。 CardinalOps 首席执行官 Michael Mumcuoglu 表示，在过去的 12 至 18 个月时间里，Snatch 勒索软件组织的活动有所增加。此前他们声称会对最近几起备受瞩目的攻击事件负责，其中包括涉及南非国防部、加利福尼亚州莫德斯托市、加拿大萨斯喀彻温省机场、总部位于伦敦的组织 Briars Group 和其他组织的攻击事件。 Optiv 公司的网络业务负责人Nick Hyatt提到，近几个月来，该组织的 TTP 并没有太大变化。在2022年7月至2023年6月期间，该公司跟踪了Snatch在所有垂直领域发动的70次攻击，这些攻击绝大多数集中在北美地区。   转自Freebuf，原文链接：https://www.freebuf.com/news/378862.html 封面来源于网络，如有侵权请联系删除

2023年上半年，美国企业的网络保险索赔频率增长了12%，索赔严重程度增长了42%，平均损失金额超过11.5万美元。 根据保险公司Coalition发布的《2023上半年网络安全保险索赔报告》，2023年上半年，由于勒索软件、资金转账欺诈(FTF)和商业电子邮件泄露(BEC)攻击，美国企业网络安全保险索赔的频率和严重程度双双飙升。 报告发现，收入超过1亿美元的企业的索赔案件数量增幅最大(20%)，攻击造成的损失也更大，与2022年下半年相比，索赔严重程度增加了72%。 网络安全保险市场正变得越来越复杂。随着攻击频率和严重程度的增加，与安全防御覆盖范围相关的需求和条件也发生了变化。保单也变得更加多样化、复杂、昂贵且更难获得资格，这给CISO和企业投资网络保险带来了新的挑战和考量因素。 上个月，网络安全公司Delinea的研究显示，美国企业和机构获得网络安全保险所需的时间和精力正在显著增加，需要花六个月或更长时间的企业数量逐年增加，这突显了保险公司和投保企业之间存在巨大分歧，后者正在争先恐后地购买负担得起的全面保险，同时还有许多企业积极投资网络安全解决方案，以满足网络安全保险政策的要求。 勒索软件、转账欺诈和BEC影响索赔频率 根据Coalition的报告，2023年上半年，企业总体索赔频率增加了12%，索赔严重程度增加了42%，平均损失金额超过11.5万美元。转账欺诈(31%)、BEC(26%)和勒索软件(19%)攻击是关键驱动因素。 Coalition表示，勒索软件攻击索赔频率在2023年上半年增加了27%，其中造成这一峰值的最大因素是5月份的频率显著增加。与此同时，勒索软件的索赔严重程度也创下历史新高，平均损失金额超过36.5万美元，六个月内飙升了61%，一年内增长了117%。赎金要求也有所增加，2023年上半年的平均赎金金额为162万美元，比前六个月增长47%，比去年增长74%。有趣的是，今年上半年有36%的Coalition保单持有人选择支付赎金。 对网络安全索赔影响仅次于勒索软件的是转账欺诈。2023年上半年，转账欺诈的索赔频率增加了15%，严重程度增加了39%，平均损失超过29.7万美元。报告指出，攻击策略的日益复杂是转账欺诈索赔活动呈上升趋势的一个重要因素。“攻击者在入侵电子邮件帐户后驻留的时间越长，识别和报告异常活动的难度就越大，而且攻击者似乎更愿意等待合适的时机来拦截或重定向大额付款。” 最后，与勒索软件和转账欺诈相比，BEC索赔频率在2023年上半年下降了15%，严重程度下降了7%，平均损失为2.1万美元，是近年来的最低金额。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/3OSVybEsWdtJvHzX7ShTwg 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，9月20日，有T-Mobile 用户表示，他们在登录该公司的官方移动应用程序后竟然可以看到其他人的账户和账单信息。 根据Reddit 和 Twitter上的用户反映，暴露的信息包括用户的姓名、电话号码、地址、账户余额以及信用卡详细信息，例如后四位数字和到期日期。有用户声称，这一情况从两周前开始就一直出现，在向 T-Mobile 反馈后也未得到回应。 T-Mobile 表示，此次事件并非网络攻击造成，其系统也没有遭到破坏，尽管大量用户报告称受到了此问题的影响，但T-Mobile 表示该事件的影响有限，仅影响不到 100 人。 当被问及更多细节时，一位发言人告诉 BleepingComputer：“T-Mobile 没有遭受网络攻击或违规。” 自 2018 年以来发生9起数据泄露事件 T-Mobile在过去几年内就已经发生多起数据泄露事件： 2018 年 8 月，攻击者访问了大约3% 的 T-Mobile 用户数据； 2019 年，T-Mobile泄露了数量不详的预付费用户的账户信息； 2020 年 3 月，T-Mobile 员工的个人和财务信息遭到泄露； 2020 年 12 月，攻击者访问了用户专有网络信息（电话号码、通话记录）； 2021 年 2 月，T-Mobile 内部应用程序被未知攻击者未经授权访问； 2021 年 8 月，黑客在 T-Mobile 的一个测试环境遭到破坏后，暴力破解了 T-Mobile 的网络； 2022 年 4 月，臭名昭著的 Lapsus$ 勒索团伙使用窃取的凭证入侵了 T-Mobile 的网络。 仅在今年上半年，T-Mobile就披露了两起数据泄露事件。 5 月，T-Mobile披露了自在 2 月底至 3 月期间，攻击者侵入该运营商的系统，数百名客户的个人信息遭到泄露； 1 月，T-Mobile称有3700 万用户的敏感信息被使用其一个应用程序编程接口 (API) 窃取。   转自Freebuf，原文链接：https://www.freebuf.com/news/378727.html 封面来源于网络，如有侵权请联系删除

近日，中国国家计算机病毒应急处理中心通报，在处置西北工业大学遭受网络攻击时，成功提取了名为“二次约会”的间谍软件样本。该软件为美国国家安全局开发的网络“间谍”武器，在遍布全球多国的上千台网络设备中潜藏隐秘运行。 美国在网络安全领域劣迹斑斑。国家安全机关破获的系列美国间谍情报机关网络攻击窃密案件中，“黑客帝国”维护“网络霸权”的卑劣伎俩浮出水面。 招数一：建立网攻武器库 美国情报部门凭借其强大的网络攻击武器库，对包括中国在内的全球多国实施监控、窃密和网络攻击，可谓无所不用其极。特别是美国国家安全局，通过其下属的特定入侵行动办公室（TAO）以及先进的武器库，多次对我国进行体系化、平台化攻击，试图窃取我国重要数据资源。 2009年，特定入侵行动办公室就开始入侵华为总部的服务器并持续开展监控。2022年9月，又被发现长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击，控制了数以万计的网络设备，窃取大量高价值数据。 美国情报部门能够发动大规模网络攻击，自然离不开多样化网络攻击武器作为后盾。2022年以来，我国网络安全机构已披露多款美情报部门网络攻击武器，如“电幕行动（Bvp47）”“量子(Quantum)”“酸狐狸（FOXACID）”“蜂巢（Hive）”等。美国情报部门利用这些规模化的武器装备对中国、俄罗斯等全球45个国家和地区开展长达十余年的网络攻击、网络间谍行动，网络攻击目标涵盖电信、科研、经济、能源和军事等核心重要领域。 招数二：强制相关科技企业开后门配合 美国一边大肆对全球各国开展网络攻击窃密，一边花样百出炮制各种版本的“安全报告”，将中国抹黑为“网络威胁主体”，渲染炒作所谓“中国网络窃密”问题，把“颠倒黑白”演绎得炉火纯青。 众所周知，美国长期凭借技术优势对世界各国包括盟友进行大规模窃听窃密，开展网络窃密活动，早已经是公开的秘密。自2013年“棱镜门”事件曝光以来，我国相关网络安全机构多次在针对中国的网络攻击事件中发现美国的身影。近年来，美国加紧推进“前出狩猎”行动，其行动目标明确，俄罗斯、伊朗、中国和朝鲜是其主要目标。美国网络司令部正成为一支远征部队，打着“前出狩猎”、主动防御的幌子，对他国进行网络攻击和窃密。 但与此同时，美国却极力把自己塑造成“网络攻击受害者”，打着“维护网络安全”的旗号，鼓动、胁迫他国加入所谓“清洁网络”计划，企图在国际网络市场上清除中国企业。事实上，“清洁网络”是假，打压对手、维护霸权才是真。对此，我国官方多次敦促美方应深刻反省，停止针对全球的网络攻击窃密行径，停止以各种虚假信息混淆视听。 当前，网络空间日益成为维护国家安全的新战场。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众的利益也难以得到保障。让我们携起手来，强化安全防范意识，提升安全防范能力，共同维护好网络安全。 转自国家安全部，原文链接：https://mp.weixin.qq.com/s/FNOb9IAnMe7-wiDTA6HlxQ 封面来源于网络，如有侵权请联系删除