政府舉措

國家電網(wǎng)收到攻擊警報大增，需加快設(shè)備國產(chǎn)化

關(guān)鍵詞：電網(wǎng)設(shè)備國產(chǎn)化

2019年3月委內(nèi)瑞拉發(fā)生大面積停電事故，引起國際社會對電力網(wǎng)絡(luò)安全的擔(dān)憂。

全國政協(xié)經(jīng)濟委員會副主任曹培璽在2020年兩會發(fā)言中透露，國家電網(wǎng)公司收到攻擊警報相對于上一年度有較大增長，未來能源電力領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施遭到攻擊的風(fēng)險將進一步增加。

對此他提出建議，加快國產(chǎn)化替代和新型基礎(chǔ)設(shè)施建設(shè)，保障能源網(wǎng)絡(luò)安全。

一要加快對我國能源電力關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)的國產(chǎn)化替代，加強能源網(wǎng)絡(luò)安全防護技術(shù)研究和應(yīng)用，將關(guān)鍵軟硬件技術(shù)掌控在自己手中。定期開展能源電力網(wǎng)絡(luò)安全檢查，及時封堵漏洞。

二要順應(yīng)數(shù)字時代要求，加快建設(shè)新型能源工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，研發(fā)并掌握核心技術(shù)，加強標(biāo)準(zhǔn)建設(shè)并引導(dǎo)國際標(biāo)準(zhǔn)，加強能源行業(yè)海量數(shù)據(jù)資產(chǎn)的管理和開發(fā)，打牢數(shù)字時代能源網(wǎng)絡(luò)安全的基礎(chǔ)。（來源：中國經(jīng)營網(wǎng)）

網(wǎng)絡(luò)安全事件

報告顯示僵尸網(wǎng)絡(luò)會利用百度貼吧等常用服務(wù)進行管理

關(guān)鍵詞：僵尸網(wǎng)絡(luò)

奇虎安全研究人員報告，雙槍惡意程序的僵尸網(wǎng)絡(luò)利用國內(nèi)的常用服務(wù)進行管理。該僵尸網(wǎng)絡(luò)的數(shù)量超過了 10 萬。研究人員觀察到雙槍惡意程序使用百度貼吧圖片來分發(fā)配置文件和惡意軟件，使用了阿里云存儲來托管配置文件，利用百度統(tǒng)計管理感染主機的活躍情況，惡意程序樣本中還多次發(fā)現(xiàn)了騰訊微云的 URL 地址。

近日，域名異常監(jiān)測系統(tǒng) DNSMon 捕捉到域名 pro.csocools.com 的異?；顒?。根據(jù)數(shù)據(jù)覆蓋度估算，感染規(guī)模超過100k。研究人員通過告警域名關(guān)聯(lián)到一批樣本和 C2，分析樣本后發(fā)現(xiàn)是與雙槍惡意程序相關(guān)的團伙開始新的大規(guī)模活動。近年來雙槍團伙屢次被安全廠商曝光和打擊，但每次都能死灰復(fù)燃高調(diào)復(fù)出，可見其下發(fā)渠道非常龐大。本次依然是因為受感染主機數(shù)量巨大，導(dǎo)致互聯(lián)網(wǎng)監(jiān)測數(shù)據(jù)異常，觸發(fā)了netlab的預(yù)警系統(tǒng)。

另外，還觀察到惡意軟件除了使用百度貼吧圖片來分發(fā)配置文件和惡意軟件，還使用了阿里云存儲來托管配置文件。為了提高靈活性和穩(wěn)定性，加大阻攔難度，開發(fā)者還利用百度統(tǒng)計這種常見的網(wǎng)絡(luò)服務(wù)來管理感染主機的活躍情況。（來源：freebuf）

微軟警告：PonyFinal勒索軟件正在泛濫！印度、伊朗和美國均已中招

關(guān)鍵詞：勒索軟件泛濫

近日據(jù)外媒報道，微軟安全團隊發(fā)布了一份高危安全預(yù)警，警告全球各地的組織都需要開始部署保護措施，以防止這兩個月來開始流行的新型勒索軟件—PonyFinal。

據(jù)悉，微軟在發(fā)布的一系列推文中表示， PonyFinal是一種基于Java的勒索軟件，已開始被黑客們部署在人工勒索軟件攻擊中。據(jù)了解，人工勒索軟件是勒索軟件類別的一個子部分，在人為操作的勒索軟件攻擊中，黑客可以在破壞公司網(wǎng)絡(luò)的同時開始自行部署勒索軟件。

這與過去出現(xiàn)的經(jīng)典勒索軟件攻擊方式相反，例如傳統(tǒng)的勒索軟件是通過電子垃圾郵件或工具包來分發(fā)勒索軟件，這些過程的感染主要依賴于欺騙用戶啟動有效負(fù)載。

對此，微軟表示，在大多數(shù)情況下PonyFinal的黑客們部署Visual Basic腳本，是由于PonyFinal是用Java語言編寫，因此攻擊者還會將目標(biāo)鎖定在安裝了Java Runtime Environment（JRE）的工作站上。（來源：E安全）

思科 VPN 服務(wù)器遭黑客入侵

關(guān)鍵詞：思科遭入侵

思科披露六臺用于提供 VPN 服務(wù)的服務(wù)器遭黑客入侵，攻擊者利用了 4 月底公開的 Salt 組件漏洞。思科的 Virtual Internet Routing Lab Personal Edition (VIRL-PE) 和 Cisco Modeling Labs Corporate Edition 都整合了 Salt 管理框架，而 Salt 在四月底披露了兩個高危漏洞——目錄遍歷和身份驗證繞過，兩個漏洞組合允許未經(jīng)授權(quán)訪問整個服務(wù)器文件系統(tǒng)。思科在 5 月 7 日部署服務(wù)器時沒有整合補丁，同一天它的服務(wù)器遭到了黑客入侵，然后同一天它把相關(guān)服務(wù)器都下線了。（來源：solidot）

黑客組織竊取ESET殺毒軟件日志

關(guān)鍵詞：ESET日志

安全公司 ESET 的研究人員披露了俄羅斯國家支持黑客組織 Turla 發(fā)動的最新攻擊。攻擊發(fā)生在今年1月，三個目標(biāo)分別是國家議會和外交部，黑客部署了新版的 ComRAT 惡意程序。舊版的 ComRAT 曾在 2008 年用于從五角大樓網(wǎng)絡(luò)竊取數(shù)據(jù)。

ComRAT 的最新版本是 v4，研究人員觀察到了 ComRAT v4 的新變種包含了兩項新功能：收集殺毒軟件的日志和使用 Gmail 收件箱控制惡意程序。

安全研究人員認(rèn)為，黑客收集殺毒軟件日志是為了更好的理解對其惡意程序的檢測。如果程序被檢測出來，他們可以進行調(diào)整以躲避檢測。（來源：solidot）

泰國移動運營商泄露83億互聯(lián)網(wǎng)記錄

關(guān)鍵詞：泰國移動運營商

研究人員發(fā)現(xiàn)了泰國移動運營商 Advanced Info Service (AIS)子公司控制的一個 ElasticSearch 數(shù)據(jù)庫可公開訪問，數(shù)據(jù)庫包含大約 83 億記錄，容量約為 4.7 TB，每 24 小時增加 2 億記錄。

AIS 是泰國最大的 GSM 移動運營商，用戶約有 4000 萬。可公開訪問的數(shù)據(jù)庫由其子公司 Advanced Wireless Network (AWN)控制，包括了 DNS 查詢?nèi)罩竞?NetFlow 日志，這些數(shù)據(jù)可用于繪制一個用戶的網(wǎng)絡(luò)活動圖。

研究人員嘗試聯(lián)系 AIS 但毫無結(jié)果，直到最后聯(lián)絡(luò)泰國國家計算機緊急響應(yīng)小組之后數(shù)據(jù)庫才無法公開訪問。 （來源：solidot）

數(shù)據(jù)統(tǒng)計

科學(xué)家發(fā)現(xiàn) 26 個USB漏洞：Linux 18個、Windows 4個

關(guān)鍵詞：USB漏洞

近日多名學(xué)術(shù)界人士表示，在Linux、macOS、Windows和FreeBSD等操作系統(tǒng)所使用的USB驅(qū)動堆棧中發(fā)現(xiàn)了26個新的漏洞。這支科研團隊由普渡大學(xué)的Hui Peng、瑞士聯(lián)邦理工學(xué)院洛桑分校的Mathias Payer帶領(lǐng)，所有漏洞都是通過他們創(chuàng)建的新工具USBFuzz發(fā)現(xiàn)的。

這類工具被團隊成員稱之為“模糊器”（fuzzer）。模糊器是多款應(yīng)用程序的集合，能夠幫助安全研究人員將大量無效、意外或者隨機數(shù)據(jù)輸入其他應(yīng)用程序。然后，安全研究人員分析被測試軟件的行為方式，以發(fā)現(xiàn)新的bug，其中一些可能被惡意利用。

研究人員在FreeBSD中發(fā)現(xiàn)了一個bug，在MacOS中發(fā)現(xiàn)了三個（兩個導(dǎo)致計劃外重啟，一個導(dǎo)致系統(tǒng)凍結(jié)），在Windows 8和Windows 10中發(fā)現(xiàn)了四個（導(dǎo)致死亡藍(lán)屏）。

最嚴(yán)重的是針對Linux的，總共有18個。其中16個是針對Linux各個子系統(tǒng)（USB core, USB sound和net-work）的高危內(nèi)存漏洞，此外還有1個是針對Linux的USB

host主控驅(qū)動，還有一個是USB攝像頭驅(qū)動。

Peng和Payer表示，他們向Linux內(nèi)核團隊報告了這些bug，并提出了補丁建議，以減輕 “內(nèi)核開發(fā)人員在修復(fù)報告的漏洞時的負(fù)擔(dān)”。（來源：cnBeta）

研究：71%全球大公司網(wǎng)絡(luò)可被新手黑客攻破，最短僅需30分鐘

關(guān)鍵詞：大公司網(wǎng)絡(luò)并不安全

Positive Technologies公司基于2019年對28家公司信息系統(tǒng)做的保護性資料統(tǒng)計和滲透測試，發(fā)表研究結(jié)果稱，低水平黑客能侵入71%被研究的全球大公司內(nèi)網(wǎng)，且只需要半小時。

外部滲透測試期間，專家成功進入93%公司的局域網(wǎng)。大多數(shù)情況下用幾種方式可以入侵這些公司的內(nèi)網(wǎng)。專家稱，“六分之一的公司發(fā)現(xiàn)受侵入痕跡——網(wǎng)絡(luò)外圍資源存在網(wǎng)絡(luò)外殼、官網(wǎng)上附有有害鏈接或有效賬戶被泄露，這些說明基礎(chǔ)設(shè)施可能已經(jīng)受到黑客控制?！?/p>

與此同時，77%的入侵與軟件安全漏洞有關(guān)，僅這一種方式就讓86%的公司中招。還有一種方式是選擇已泄露的賬戶信息入侵各種服務(wù)器，包括入侵?jǐn)?shù)據(jù)庫管理系統(tǒng)和遠(yuǎn)程訪問部門。研究指出：“通過已知的軟件安全漏洞可入侵39%公司的局域網(wǎng)，而通過零日漏洞可以入侵14%的公司?！?/p>

專家建議各大公司定期檢查本公司的網(wǎng)絡(luò)資源，出臺制定密碼的嚴(yán)格規(guī)定并保證規(guī)定得到遵守。除此之外，專家建議及時升級操作系統(tǒng)和軟件。（來源：界面新聞）

漏洞速遞

Sign in with Apple被爆高危漏洞：可遠(yuǎn)程劫持任意用戶帳號

關(guān)鍵詞：Sign in with Apple

近日蘋果向印度漏洞安全研究專家Bhavuk Jain支付了高達(dá)10萬美元的巨額賞金，原因就是他報告了存在于Sign in with Apple中的嚴(yán)重高危漏洞。Sign in with Apple（通過Apple登錄），能讓你利用現(xiàn)有的Apple ID快速、輕松地登錄 App 和網(wǎng)站，目前該漏洞已經(jīng)修復(fù)。

該漏洞允許遠(yuǎn)程攻擊者繞過身份驗證，接管目標(biāo)用戶在第三方服務(wù)和應(yīng)用中使用Sign in with Apple創(chuàng)建的帳號。在接受外媒The Hacker News采訪的時候，Bhavuk Jain表示在向蘋果的身份驗證服務(wù)器發(fā)出請求之前，蘋果客戶端驗證用戶方式上存在漏洞。

Bhavuk在上個月負(fù)責(zé)任地向蘋果安全團隊報告了這個問題，目前該公司已經(jīng)對該漏洞進行了補丁。除了向研究人員支付了bug賞金外，該公司在回應(yīng)中還確認(rèn)，它對他們的服務(wù)器日志進行了調(diào)查，發(fā)現(xiàn)該漏洞沒有被利用來危害任何賬戶。（來源：cnBeta）

關(guān)鍵詞：Android設(shè)備漏洞

挪威應(yīng)用安全公司Promon的研究人員本周披露了一個嚴(yán)重的Android漏洞，惡意軟件可利用該漏洞劫持受害者設(shè)備上的幾乎所有應(yīng)用程序。

Promon透露已經(jīng)發(fā)現(xiàn)了另一個類似的Adndroid漏洞，將其命名為StrandHogg 2.0（CVE-2020-0096），并稱其為StrandHogg的“邪惡雙胞胎”。

與StrandHogg1.0版本漏洞類似，StrandHogg 2.0可以被利用來劫持應(yīng)用程序，但該公司警告說：“2.0版本可以進行更廣泛的攻擊，并且更難檢測。”

惡意軟件利用StrandHogg 2.0不需要任何權(quán)限，受害者只需執(zhí)行惡意應(yīng)用即可觸發(fā)利用。如果利用成功，則攻擊者可以濫用被劫持的應(yīng)用程序來獲取讀取SMS消息，竊取文件，網(wǎng)絡(luò)釣魚登錄憑據(jù)，跟蹤設(shè)備的位置，撥打或記錄電話以及通過電話的麥克風(fēng)和間諜監(jiān)視用戶所需的特權(quán)。相機。（來源：網(wǎng)絡(luò)）