平安资讯报告
Emsisoft帮忙BlackMatter勒索软件受害者复原文件
自今年夏天以来,网络安全公司Emsisoft始终在机密解密BlackMatter勒索软件受害者,为受害者节俭了数百万美元。
Emsisoft及其首席技术官Fabian Wosar自2012年以来始终在帮忙勒索软件受害者复原他们的文件,在BlackMatter勒索软件操作启动后不久,Emsisoft发现了一个缺点,容许他们创立解密器来复原受害者的文件,而无需领取赎金。
当BlackMatter样本公开时,就有可能提取赎金记录并取得受害者与勒索软件团伙之间的会谈的机会。在确定受害者身份后,Emsisoft会私下分割他们理解解密器,这样他们就不用领取赎金。
这最终导致BlackMatter锁定了他们的会谈站点,以便只有受害者能力拜访,使钻研人员无奈通过这种形式找到受害者。随着受害者开始回绝付款,BlackMatter对勒索软件会谈人员越来越狐疑和愤恨。
可怜的是,BlackMatter在9月底理解到解密器并修复了容许Emsisoft解密受害者文件的谬误。对于那些在9月底之前被加密的受害者,Emsisoft依然能够通过他们的勒索软件复原服务提供帮忙。
新闻来源:
http://bleepingcomputer.com/n…
微软:WizardUpdate Mac恶意软件增加了新的躲避策略
微软示意,它发现了macOS恶意软件的新变种,称为WizardUpdate(也称为UpdateAgent或Vigram),更新后应用新的躲避和持久性策略。
正如微软平安专家发现的那样,本月早些时候发现的最新变种很可能是通过偷渡式下载散发的,它假冒非法软件,就像威逼情报公司Confiant在1月份发现它伪装成Flash安装程序时一样。
因为第一个变体是在2020年11月察看到的,过后它只能收集和泄露零碎信息,因而开发人员屡次更新了WizardUpdate。
微软钻研人员在10月份收集的样本进行了多项降级,包含可能:
- 部署从云基础设施下载的二级负载
- 通过应用SQLite枚举LSQuarantineDataURLString获取受感化 Mac的残缺下载历史记录
- 通过从下载的无效负载中删除隔离属性来绕过Gatekeeper
- 应用PlistBuddy批改PLIST文件
- 利用现有的用户配置文件来执行命令
- 更sudoers列表以授予普通用户管理员权限
在感化指标的Mac后,恶意软件开始扫描和收集发送到其命令和管制(C2)服务器的零碎信息。该木马将部署第二阶段的恶意软件有效载荷,包含一个被跟踪为Adload的恶意软件变体,自2017年底开始沉闷,并以可能通过Apple基于YARA签名的XProtect内置防病毒软件感化Mac而闻名 。
“UpdateAgent滥用公共云基础设施,以主机附加载荷并试图绕过看门人,其目标是确保只有受信赖的应用程序在Mac设施上运行,通过删除下载的文件的属性检疫,”微软说。
“它还利用现有用户权限在受影响的设施上创立文件夹。它应用PlistBuddy在LaunchAgent/LaunchDeamon中创立和批改Plist以实现持久性。”
WizardUpdate的开发人员还在最新变体中退出了回避性能,能够通过删除在受感化Mac上创立的文件夹、文件和其余工件来覆盖其形迹。
在监控自2020年11月以来始终沉闷的AdLoad流动时,当第一次发现WizardUpdate时,SentinelOne威逼研究员Phil Stokes发现了数百个样本,其中大概150个是举世无双的,并且未被Apple的内置防病毒软件检测到。
新闻来源:
https://www.bleepingcomputer….
应答网络攻击响应须要两个工作日以上
依据美国网络安全公司Deep Instinct的最新钻研,世界各地的组织均匀须要两个工作日以上的工夫来应答网络攻击 。该调查结果发表在该公司的SecOps之声报告中,该报告基于对11个国家/地区的1,500名高级网络安全业余人员的考察,这些业余人员为领有1,000多名员工且年收入超过5亿美元的企业工作。
考察显示,寰球对网络攻击的均匀响应工夫为20.09小时。金融行业的公司响应速度更快,均匀须要16小时能力做出响应。较大的公司还能够更快地响应威逼,均匀响应工夫为15小时。发现较小的公司响应速度较慢,均匀须要25小时能力采取行动。
报告中的其余次要发现是,只有1%的受访者认为他们的每个端点都装置了至多一个平安代理。
超过四分之一 (26%) 认为“复杂性”是妨碍他们装置更多端点平安代理的次要因素。其余被列为要害的问题波及考察威逼所需的工夫 (39%) 和合格的SecOps人员短缺 (35%)。
近三分之一的考察受访者认为,部署端点代理的最大挑战是云。80%的受访者认为,存储在云中的文件是一个未经查看的破绽,而68%的受访者放心他们的共事会不小心上传歹意文件。
受访者最关怀的攻打向量是暗藏的持久性。这种网络攻击是40%的受访者最放心的,威逼行为者长时间埋伏在零碎中而不被发现。
新闻来源:
https://www.infosecurity-maga…
数据安全引器重,孙逢春院士提出四大倡议促发展
“没有数据是相对平安的。”中国工程院院士、北京理工大学传授孙逢春院士于10月22日揭幕的新能源汽车国家大数据联盟2021年高峰论坛上如是说。
近年来,随着智能网联汽车的疾速倒退,在给人们带来更平安、更舒服、更便捷的驾乘体验的同时,也滋生了一些新的安全隐患。
比方智能网联汽车的数据和网络安全,目前未然成了悬在车企和零部件技术提供商上方的达摩克利斯之剑。据Upstream Security此前公布的2020年《汽车信息安全报告》显示,从2016年到2020年1月,4年内汽车信息安全事件的数量增长了605%,其中仅2019年公开报道的针对智能网联汽车信息安全攻打的事件就达到了155起,局势之严厉可见一斑。
孙逢春院士剖析指出,因为装置了大量的车载传感器,智能新能源汽车是产生海量数据采集和交互的节点,如果治理无序或者粗放危险极大,次要是体现在危害国家平安、社会平安、经济平安以及泄露个人隐私平安等。
为进一步升高以上危险,进入2021年国家频频公布相干政策,为行业倒退保驾护航。往年8月份,工信部和国家网信办别离出台《对于增强智能网联汽车生产企业及产品准入治理的意见》(以下简称“准入治理意见”)和《汽车数据安全治理若干规定(试行)》,为智能网联汽车准入和数据安全治理提供了领导;9月13日,工信部配备核心开始汽车数据安全、网络安全等自查工作;9月16日,工信部又公布《对于增强车联网网络安全和数据安全工作的告诉》,进一步强化对汽车网络安全和数据安全的领导。
但在孙逢春院士看来,想要实现汽车数据的相对平安并非一件易事。“智能网联新能源汽车数据具备面广、量大的特色,其实平安体系是一个简单的系统工程问题,次要包含四个体系:即法律法规体系、标准规范体系、监管体系、技术体系。”
其中,政策法规层面上,《网络安全法》《数据安全法》和《个人信息保护法》并行成为我国网络治理和数据保护的三驾马车,然而在具体操作层面数据安全法律体系有待欠缺,在智能网联新能源汽车或者是智能交通畛域亟待出台专项实施细则。
新闻来源:
http://auto.cnfol.com/cheshid…
工业企业位居勒索软件攻打指标榜首
工业产品和服务业务依然是勒索软件攻打的最风行指标,但网络犯罪分子正在越来越多样化地勒索他们的组织。
在很多状况下,受害者会屈服于要求并领取赎金。这可能是因为他们没有备份,因为如果不付款,犯罪分子威逼会泄露被盗数据,或者仅仅是因为受害者认为领取赎金是复原网络的最快形式。然而实际上,即便应用正确的解密密钥,服务也可能在事件产生后很长一段时间内仍会中断。
在对往年7月至9月间报告的数百起勒索软件攻打的剖析中,Digital Shadows的网络安全钻研人员发现,工业产品和服务是最常报告的行业,简直是影响第二大受影响行业的事件数量的两倍——技术。
往年最重要的勒索软件攻打之一影响了工业环境,过后Colonial Pipeline成为DarkSide勒索软件的受害者。网络攻击导致美国东海岸大部分地区天然气短缺,人们纷纷囤积天然气。该公司最终领取了数百万美元的赎金来复原网络。
其余常见的勒索软件指标包含修建、金融服务和法律服务,以及食品和饮料公司,所有这些公司都领有重要的零碎或数据,犯罪分子能够利用这些零碎或数据强制受害者领取赎金。
钻研人员正告说,指标行业的扩张可能是因为新的勒索软件个人的呈现和帮派之间的竞争加剧。
新闻来源:
https://www.zdnet.com/article…
安全漏洞威逼
“lone wolf(孤狼)”黑客组织利用商业RAT攻打阿富汗和印度
一个针对阿富汗和印度的新恶意软件流动正在利用一个影响Microsoft Office的现已打补丁的20年破绽来部署一系列商品近程拜访木马 (RAT),使对手可能齐全管制受感化的端点。
Cisco Talos将此次网络流动归因于一个“lone wolf(孤狼)”威逼行为者,该攻击者经营着一家名为Bunse Technologies的位于拉合尔的虚伪IT公司,作为发展歹意流动的火线,同时也有共享有利于巴基斯坦和塔利班的内容的历史始终追溯到2016年。
这些攻打利用托管恶意软件有效载荷的政治和政府主题钓饵域,感化链利用武器化的RTF文档和PowerShell脚本向受害者散发恶意软件。具体来说,发现这些带有RTF文件的文件利用CVE-2017-11882来执行PowerShell命令,该命令负责部署额定的恶意软件以在机器上进行侦察。
CVE-2017-11882波及一个内存损坏破绽,该破绽可能被滥用来运行任意代码 该破绽据信自2000年以来就存在,最终被微软作为其2017年11月补丁星期二更新的一部分解决。
侦察阶段之后是一个相似的攻打链,它应用上述破绽运行一系列指令,最终装置商用恶意软件,如DcRAT和QuasarRAT,这些恶意软件具备各种开箱即用的性能,包含近程外壳,过程治理、文件治理、键盘记录和凭据窃取,因而攻击者须要付出起码的致力。
在网络立功口头期间还察看到了一个用于Brave、Microsoft Edge、Mozilla Firefox、Google Chrome、Opera、Opera GX和Yandex Browser的浏览器凭据窃取程序。
新闻来源:
https://thehackernews.com/202…
纽约时报记者屡次被Pegasus(飞马)特务软件攻打
《纽约时报》记者本·哈伯德 (Ben Hubbard) 的iPhone在2018年6月至 2021年6月的三年工夫里屡次受到NSO Group的Pegasus特务软件工具的黑客攻击,导致2020年7月和2021年6月两次感化。
迄今为止,据信NSO Group至多利用了三种不同的iOS破绽——即 2019年12月的iMessage零点击破绽、2020年7月开始的针对iOS 13.5.1和iOS 13.7的KISMET破绽以及针对iOS的FORCEDENTRY破绽自2021年2月以来,从14.x到14.7.1。
值得指出的是,Apple的iOS 14更新包含一个BlastDoor框架,该框架旨在使零点击破绽利用更加艰难,只管FORCEDENTRY明确毁坏了内置于操作系统中的十分平安的性能,促使Apple在9月公布更新以修复该缺点2021。
对该流动的取证考察显示,哈伯德的iPhone在2020年7月12日和2021年6月13日两次被监控软件胜利入侵,一次是通过KISMET和FORCEDENTRY零点击iMessage破绽利用,此前两次尝试通过短信均未胜利和2018年的WhatsApp。有一长串记录在案的流动人士、记者和国家元首被应用该公司的“军用级特务软件”进行攻打。
新闻来源:
https://thehackernews.com/202…
CISA催促管理员修补Discourse RCE破绽
周五,开发人员通过紧急更新修复了一个重大的Discourse近程代码执行 (RCE) 破绽,跟踪CVE-2021-41163。
Discourse是一个宽泛部署在网络上的开源论坛、长格局聊天和邮件列表治理平台,提供杰出的可用性和集成后劲,同时重点关注社交性能。
易受攻击的版本是2.7.8及更早版本,解决危险的最佳办法是更新到周五公布的2.7.9或更高版本。最新的测试版和测试版也已针对该破绽进行了修补。
因为Discourse的宽泛应用,CISA公布无关该破绽的警报,催促论坛管理员更新到最新可用版本或利用必要的解决办法。
新闻来源:
https://www.bleepingcomputer….
发表回复