普普安全资讯一周概览(0902-0908)

作者:

时间:
2023-09-08


01

IoT蜜罐展示物联网设备存在的网络威胁


随着物联网(loT)设备的数量不断增加,loT设备在网络安全方面面临现实威胁。蜜罐历来被用作诱饵设备,帮助研究人员更好地了解网络上威胁的动态及其影响。但由于设备及其物理连接的多样性,物联网设备对此提出了独特挑战。对此,美国南佛罗里达大学及美国国家标准与技术研究院研究人员进行了为期三年的蜜罐实验,创建了多样化的生态系统,模拟了各种类型和位置的低交互物联网设备,以研究攻击者为何会攻击特定设备,并对相关数据进行了研究。在蜜罐研究工作中,研究人员通过观察真实世界中攻击者在低交互蜜罐生态系统中的行为,提出了一种创建多阶段、多方面蜜罐生态系统的新方法,该方法逐渐提高了蜜罐与攻击者交互的复杂性。同时设计并开发了一个低交互的摄像头蜜罐,使其能够更深入地了解攻击者的目标。此外提出了一种创新的数据分析方法,来识别攻击者的目标。该蜜罐已经活跃了三年多,能够在每个阶段收集越来越复杂的攻击数据。


普普点评

在网络安全中,蜜罐是为了吸引攻击活动而设置的设备。通常,此类系统是面向互联网的设备,包含可供攻击者攻击的模拟或真实系统。由于这些设备不用于任何其他目的,因此对它们的任何访问都将被视为恶意访问。通过分析蜜罐收集的数据,网络安全措施可以得到改进,特别是对于在修复安全漏洞方面资源有限的组织。






02

超1200个网站使用MitM钓鱼工具包,允许网络犯罪分子绕过2FA身份验证

据The Record 12月27日消息,研究人员发现1200个站点被部署网络钓鱼工具包,这些工具包能够拦截双因素身份验证(2FA)安全代码,并允许网络犯罪分子绕过这一身份验证。这些工具包也称为MitM(中间人)网络钓鱼工具包。近年来,主流科技公司为其客户开通2FA默认安全功能后,这些工具在网络犯罪黑社会中变得非常流行。2FA默认功能的开通,直接导致了网络钓鱼者无法绕过2FA程序,被盗的凭证变得毫无用处。至少从2017年起,威胁行为者开始采用新工具,用来应对这种账户安全保护的新技术趋势。威胁者开始通过窃取通过用户认证的cookies来绕过2FA,这些cookies是用户在2FA程序完成后登录账户时创建的浏览器文件。通常情况下,网络犯罪分子依靠一类被称为“信息窃取器”的恶意软件,从他们设法感染的计算机中窃取这些身份验证cookie文件。还有一种窃取特殊的窃取方式,那就是不依赖于受恶意软件感染的计算机,即在文件从网络服务提供商传输到用户计算机的传输过程中实施偷窃。

普普点评

攻击者通过使用反向代理的钓鱼工具包,在受害者、网络钓鱼站点和合法服务商之间转发流量。在MitM网络钓鱼站点上进行身份验证的用户,实际上登录到了一个合法站点,但由于所有流量都通过反向代理系统,攻击者因此截获了身份验证cookie的副本,继而对该副本进行滥用或转售。目前,随着2FA在在线服务中得到更广泛的采用,越来越多的威胁者将MitM技术纳入其钓鱼工具包中。






03

恶意软件变异:改变行为以实现隐蔽性和持久性

近年来,企业组织为了应对恶意软件威胁采取了大量工作,但是,似乎每天都有新的恶意软件样本能够绕过各种防护措施。这些层出不穷的恶意软件从何而来?答案是恶意软件变异。通过变异,攻击者让恶意软件不断“焕然一新”,从而逃避安全控制。例如REvil或DarkSide这样的组织会在其恶意代码中放置“识别开关”,用于检查它所在设备上的语言是否为俄语或英语。这种策略造成了恶意软件的“变异性”——同一段代码可以在不同的计算机上进行不同的操作,具体不同取决于操作系统版本、安装的库或语言设置。如果有人尝试在三到四台不同的机器上运行相同的恶意软件,可能会得到三到四种不同的操作行为。虽然安全研究人员早就意识到恶意软件的变异性,但很少有研究人员评估其广泛性。Avllazagaj的研究可以揭示恶意代码的变异性,以帮助安全社区更好地理解这个问题。Avllazagaj表示:“我们凭经验评估了恶意软件发生了多少变化、其行为的哪些部分发生了变化,以及可以采取哪些措施来应对这些变化。

普普点评

在大多数情况下,攻击性很强的恶意软件都会将“隐蔽性”作为一个重要考量因素。攻击者一开始都会先执行一些小工具,因为即便它们被发现或检测到,替换这些小工具也要比替换完整的关键恶意程序容易得多。未来,我们可能会看到更多具有可变行为的恶意软件在各行各业产生影响,为了应对这种情况,防病毒企业正在密切研究这些群体,并分析那些不同寻常的样本,以便了解其微小细节。






04

Telegram被滥用以窃取加密钱包凭证

攻击者使用Echelon信息窃取器瞄准Telegram用户的加密钱包,旨在欺骗加密货币的新用户或毫无戒心的用户。他们在一份分析报告中表示,SafeGuard Cyber第七部门威胁分析部门的研究人员在10月份检测到一个以加密货币为重点的Telegram频道上发布的Echelon样本。活动中使用的恶意软件旨在从多个消息传递和文件共享平台窃取凭据,包括Discord、Edge、FileZilla、OpenVPN、Outlook甚至Telegram本身,以及许多加密货币钱包,包括AtomicWallet、BitcoinCore、ByteCoin、Exodus、Jaxx和Monero。据报道,该活动采用一种“撒网并祈祷(spray and pray)”的模式:“根据恶意软件及其发布方式,SafeGuard Cyber认为它不是协调活动的一部分,而只是针对该频道的新用户或不熟悉的用户。”研究人员发现,攻击者使用“Smokes Night”句柄在频道上传播Echelon,但尚不清楚它的进展程度。他们写道:“该帖子似乎不是对频道中任何相关消息的回应。”他们说,频道上的其他用户似乎没有注意到任何可疑之处也没有参与其中。然而,研究人员写道,这并不意味着恶意软件没有到达用户的设备。

普普点评

Telegram消息应用程序确实已成为网络犯罪分子活动的温床,他们利用其受欢迎程度和广泛的攻击面,通过使用机器人、恶意帐户和其他方式在平台上传播恶意软件。恶意软件的其他功能包括计算机指纹识别,以及截取受害者机器屏幕截图的能力。他们说,从活动中提取的Echelon样本使用压缩的.ZIP文件将凭据和其他被盗数据以及屏幕截图发送回命令和控制服务器。




05

近几年攻击者利用Docker API的错误配置进行攻击

研究人员发现,攻击者使用“Smokes Night”句柄在频道上传播Echelon,但尚不清楚它的进展程度。他们写道:“该帖子似乎不是对频道中任何相关消息的回应。”他们说,频道上的其他用户似乎没有注意到任何可疑之处也没有参与其中。然而,研究人员写道,这并不意味着恶意软件没有到达用户的设备。自2019年以来,实施文件加密的网络攻击活动背后的黑客团伙逐渐浮出了水面。研究人员说,这些攻击活动都利用了设备上配置错误的Docker APIs,这使得他们能够获得内部网络的入口,并最终在被攻击的主机上安装后门,然后挖掘加密货币。该攻击技术是基于脚本进行的,该攻击方式被称为 'Autom',因为它利用了文件 'autom.sh'。Aquasec研究部门在周三发表的一份报告中写道,该攻击活动在活跃时期时,攻击者一直在滥用API的错误配置,但是其使用的规避策略各不相同。研究人员说,虽然攻击者在攻击的载体中使用了相同的攻击方式来实现他们的目的—对文件进行加密,这么多年以来攻击的最大变化就是威胁者在不断演化出新的规避检测手法。

普普点评

威胁者通过使用 'sudo '命令来提升权限,然后将一个新建用户变成一个root用户,授予无限的权限来运行任何sudoers文件。通过这一系列的操作,攻击者成功安装了一个后门,使得他们在被攻击主机上获得了权限的持久性。Autom的攻击活动表明,攻击者的攻击方式正在变得越来越复杂,不断的改进他们的攻击技术来避免被安全解决方案发现的可能性。



06

Google以5亿美元收购以色列网络安全初创公司Siemplify

Google正在收购以色列网络安全初创公司Siemplify。收购的价格估计为5亿美元,这将标志着这家科技巨头首次收购活跃在网络安全领域的以色列公司。Siemplify在以色列、美国和伦敦有200名员工,他们将在收购后加入Google。Google将利用Siemplify为其在以色列的网络安全业务奠定基础,这将是该公司云计算活动的一部分,Siemplify的联合创始人将继续留在公司。Google首席执行官桑达尔-皮查伊在2021年8月向美国总统乔-拜登承诺,该公司将在未来五年内投资100亿美元用于网络安全。Google的计划包括扩大零信任计划,帮助确保软件供应链的安全,以及加强开源安全。该公司承诺在IT支持和数据分析等领域培训10万名美国人,学习包括数据隐私和安全在内的急需技能。这一承诺将包括进行收购和投资,Siemplify将成为Google的第一个此类收购。迄今为止,Siemplify已经在四轮融资中筹集了5800万美元,以色列风险投资公司G20 Ventures是公司的最大股东。其他投资者包括83North、Jump Capital和Georgian,后者最近还投资了以色列网络安全初创公司Noname Security。

普普点评

Siemplify由Amos Stern(首席执行官)、Alon Cohen(首席技术官)和Garry Fatakhov(首席运营官)创立于2015年。Siemplify的安全操作平台被设计为SOC(安全操作中心)的'操作系统'。与其他SOAR(安全协调、自动化和响应)平台不同的是,Siemplify的设计是为了从头到尾管理整个安全运营功能,这些平台主要侧重于游戏规则的构建和自动化。该公司的平台将被整合到Google的云系统中。




07

研究人员发现70个Web缓存中毒漏洞,涉及 GitHub/GitLab等

安全研究员 Iustin Ladunca(Youstin)近期针对许多网站(包括一些高流量的在线服务)进行了调研,结果发现了70个具有不同影响的缓存中毒漏洞。根据介绍,Web缓存中毒攻击的目标是网络服务器和客户端设备之间的中间存储点,如point-of-presence servers、代理和负载均衡器。中间商通过存储本地版本的Web内容来加快向Web客户端的传送速度,从而帮助提高网站的性能。Web缓存中毒攻击操纵了缓存服务器的行为,以及它们如何响应客户的特定URL请求。Ladunca自2020年11月开始研究Web缓存中毒;然而仅仅几周后,他就发现了两个新的缓存中毒漏洞:“这让我意识到缓存中毒的攻击面有多大”。他在一篇博客中详细介绍了自己是如何发现和报告网络缓存漏洞的,其中包括有 Apache Traffic Server、GitHub、GitLab、HackerOne 和 Cloudflare 以及其他服务器。“一种常见的模式是缓存服务器被配置为只缓存静态文件,这意味着攻击只限于静态文件。即便如此,仍然有很大的影响,因为现代网站严重依赖JS和CSS,删除这些文件会真正影响应用程序的可用性。”

普普点评


多个Web缓存漏洞导致拒绝服务(DoS)攻击。缓存服务器使用一些headers作为keys来存储和检索URL请求。通过在unkeyed headers中使用无效值,Ladunca能够强制服务器缓存错误响应,并在之后提供这些响应而不是原始内容,这会使得客户无法访问目标网页。就所使用的技术而言,迄今为止最常见的是通过unkeyed headers进行CP-DoS,这可能占总发现的80%。其他 Web 缓存中毒漏洞可能会导致跨站点脚本(XSS)攻击。