2017 年，一个名叫 Shadow Brokers 的神秘黑客团体，在网络上公布了名为“Lost in Translation”的数据转储，其中包含了一系列据称来自美国国家安全局（NSA）的漏洞利用和黑客工具。此后臭名昭著的 WannaCry、NotPetya 和 Bad Rabbit 勒索软件攻击，都基于这里面提到的 EternalBlue 漏洞。现在，卡巴斯基研究人员又发现了另一座冰山，它就是一个名叫 sigs.py 的文件。 （题图 via ZDNet） 据悉，该文件是一个名副其实的情报数据宝库。作为内置的恶意软件扫描程序，黑客利用它来扫描受感染的计算机，以查找是否存在其它高级可持续威胁（APT / 通常指背后能量巨大的黑客团体）。 总 sigs.py 脚本包括了用于检测其它 44 个 APT 的签名，但在 2017 年泄密之初，许多网络安全行业从业者并没有对此展开深入研究，表明 NSA 知晓且有能力检测和追踪许多敌对 APT 的运行。 在上月的一份报告中，卡巴斯基精英黑客手雷部门 GReAT 表示，他们终于设法找到了其中一个神秘的 APT（通过 sigs.py 签名的 #27 展开追踪）。 研究人员称，DarkUniverse 组织从 2009 到 2017 年间一直活跃。但在 ShadowBrokers 泄漏后，他们似乎就变得沉默了。 GReAT 团队称：“这种暂停或许与‘Lost in Translation’泄漏事件的发生有关，或者攻击者决定改用更加现代的方法、开始借助更加广泛的手段”。 该公司称，其已在叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白罗斯、以及阿联酋等地，找到了大约 20 名受害者。其中包括了民间和军事组织，如医疗、原子能机构、以及电信企业。 不过，卡巴斯基专家认为，随着时间的推移和对该集团活动的进一步深入了解，实际受害者人数可能会更多。至于 DarkUniverse 恶意软件框架，卡巴斯基表示，其发现代码与 ItaDuke 恶意软件 / APT 重叠。   （稿源：cnBeta，封面源自网络。）

据外媒报道，本周发表的一项新研究揭示了在过去 10 年里发现的安全漏洞中实际遭到利用的数量。据悉，这项被认为是迄今为止在同类研究中最广泛的研究发现，在 2009 年至 2018 年发现的 7.6 万个安全漏洞中只有 4183 个安全漏洞遭到利用。 更有趣的是，研究人员发现，在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。 研究小组表示，2009 年至 2018 年间，在 4183 个安全漏洞中只有一半的漏洞代码曾出现在公共网站上。 这意味着，没有公共 PoC 并不一定会阻止攻击者利用某些漏洞–一些黑客在需要的时候会利用自己的漏洞。 严重缺陷被利用的最多 研究指出，在外被利用的大多数漏洞都是安全漏洞，它们都具有很高的 CVSSv2 严重性评分（可以从 1 到 10，其中 10 分被分配给最危险和最容易遭到利用的漏洞）。 研究小组表示：“在所有被利用的漏洞中，将近一半的漏洞 CVSS 的得分是 9 分或更高。” 据悉，这项研究的核心数据由多种来源汇编而成的。例如，从 NIST 的国家漏洞数据库(NVD)中提取了所有安全漏洞、分数和漏洞特征的列表。而与在外发现的攻击有关数据则从防御工事实验室收集而来，有关攻击的证据从 SANS Internet Storm Center、Secureworks CTU、Alienvault 的 OSSIM 元数据和 reverse Labs 元数据中收集而来。关于编写的利用代码信息来自 Exploit DB、利用框架（Metasploit、D2 Security 的 Elliot Kit 和 Canvas Exploitation Framework）、Contagio、Reversing Labs 和 Secureworks CTU，研究团队发现在 2009 年到 2018 年间 PoCs 发布的数量有 9726 个。 此外，通过 Kenna Security，安全研究人员还获得了从扫描数百个公司网络的漏洞扫描器信息中提取的每个漏洞的流行程度。 未来 研究人员希望，他们这一安全漏洞研究将能帮助企业优先考虑其首先想到的漏洞修补以及那些最有可能遭到攻击的漏洞。 这份研究表明，一个漏洞的 CVSSv2 得分越高，它遭到严重利用的可能性就越大–无论利用代码公开与否。 另外，受到攻击的漏洞数量是 1/20，而不是以前的研究表明的 1/10。 此外，研究团队还希望他们的工作将能增强整个 CVSS 框架并提供关于特定漏洞可能会被利用的新信息，进而帮助那些依赖 CVSS 评分来评估和优先打补丁的组织提供更好的指导。   （稿源：cnBeta，封面源自网络。）