近日，有外媒刊文稱，2020年其讀者在網(wǎng)絡(luò)安全方面的關(guān)注多為居家辦公安全、以疫情為主題的事件等，但在2021年發(fā)生了明顯的轉(zhuǎn)變。隨著2021年接近尾聲，Log4Shell、科洛尼爾公司、kaseya、ProxyLogon/ProxyShell、太陽(yáng)風(fēng)等大事件占據(jù)了今年新聞?lì)^條，但從流量來看，讀者還對(duì)以下5項(xiàng)內(nèi)容很感興趣：

• 數(shù)據(jù)泄露
• 主要零日漏洞
• 代碼庫(kù)惡意軟件
• 勒索軟件創(chuàng)新
• 游戲攻擊

[[443185]]

(圖片來源于外媒)

數(shù)據(jù)泄露

(1) 益百利數(shù)據(jù)曝光

4月，羅切斯特理工學(xué)院大二學(xué)生比爾·德米爾卡皮(Bill Demirkapi)發(fā)現(xiàn)，幾乎每個(gè)美國(guó)人的信用評(píng)分都通過益百利(Experian)信貸局使用的API工具暴露出來。該工具稱為Experian Connect API，允許貸款人自動(dòng)執(zhí)行FICO分?jǐn)?shù)查詢。德米爾卡皮說，他能夠構(gòu)建一個(gè)命令行工具，讓他自動(dòng)查找?guī)缀跛腥说男庞迷u(píng)分，即使在出生日期字段中輸入了全零。但益百利并不是唯一一個(gè)因數(shù)據(jù)不安全而吸引讀者的家喻戶曉的名字：LinkedIn(領(lǐng)英)數(shù)據(jù)在暗網(wǎng)上出售是今年另一個(gè)非常熱門的話題。

(2) LinkedIn 數(shù)據(jù)抓取

在4月份的一次數(shù)據(jù)抓取事件中，5億LinkedIn會(huì)員受到影響，之后，該事件在6月份再次發(fā)生。一個(gè)自稱為“GOD User TomLiner.”的黑客在RaidForums上發(fā)布了一條包含7億條LinkedIn待售記錄的帖子。該廣告包含100萬條記錄樣本作為“證據(jù)”。Privacy Sharks檢查了免費(fèi)樣本，發(fā)現(xiàn)記錄包括全名、性別、電子郵件地址、電話號(hào)碼和行業(yè)信息。目前尚不清楚數(shù)據(jù)的來源是什么。但據(jù) LinkedIn稱，沒有發(fā)生任何網(wǎng)絡(luò)泄露事件。

研究人員表示，即便如此，安全后果也很嚴(yán)重，可以導(dǎo)致暴力破解帳戶密碼、電子郵件和電話詐騙、網(wǎng)絡(luò)釣魚嘗試、身份盜竊等。

主要零日漏洞

從 Log4Shell 開始。

(1) Log4Shell

Log4Shell漏洞是無處不在的Java日志庫(kù)Apache Log4j中的一個(gè)容易被利用的缺陷，它可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行 (RCE) 和完整的服務(wù)器接管——并且它仍然在野外被積極利用。

該缺陷 (CVE-2021-44228) 首先出現(xiàn)在迎合世界上最受歡迎的游戲Minecraft用戶的網(wǎng)站上。Apache匆忙發(fā)布補(bǔ)丁，但在一兩天內(nèi)，由于威脅行為者試圖利用新漏洞，攻擊變得越發(fā)猖獗。

(2) NSO Group

9月，一個(gè)名為ForcedEntry be的零點(diǎn)擊零日漏洞被發(fā)現(xiàn)，它影響了蘋果的所有產(chǎn)品：iPhone、iPad、Mac 和手表。它被NSO Group用來安裝臭名昭著的Pegasus間諜軟件。

蘋果推出了緊急修復(fù)程序，但 Citizen Lab已經(jīng)觀察到NSO Group的目標(biāo)是前所未見的零點(diǎn)擊漏洞。ForcedEntry漏洞尤其引人注目，因?yàn)樗晒Σ渴鹪谧钚碌膇OS版本14.4和14.6上，突破了蘋果新的BlastDoor沙箱功能。

(3) Palo Alto

另一個(gè)引起廣大讀者興趣的零日消息是，Randori的研究人員開發(fā)了一個(gè)有效的漏洞，通過關(guān)鍵漏洞CVE 2021-3064，在Palo Alto Networks的Global Protect防火墻上獲得遠(yuǎn)程代碼執(zhí)行(RCE)。

Randori研究人員表示，如果攻擊者成功利用該弱點(diǎn)，他們可以在目標(biāo)系統(tǒng)上獲得shell，訪問敏感配置數(shù)據(jù)，提取憑據(jù)等;之后，攻擊者可以跨越目標(biāo)組織。他們說：“一旦攻擊者控制了防火墻，他們就可以看到內(nèi)部網(wǎng)絡(luò)，并可以繼續(xù)橫向移動(dòng)。”

Palo Alto Networks在披露當(dāng)天修補(bǔ)了該漏洞。

(4) 谷歌

今年3月，谷歌匆忙修復(fù)其Chrome瀏覽器中的一個(gè)受到主動(dòng)攻擊的漏洞。如果被利用，該漏洞可能允許對(duì)受影響系統(tǒng)進(jìn)行遠(yuǎn)程代碼執(zhí)行和拒絕服務(wù)攻擊。

該缺陷是一個(gè)釋放后使用漏洞，特別存在于Blink中，Blink是作為 Chromium項(xiàng)目的一部分開發(fā)的Chrome瀏覽器引擎。瀏覽器引擎將 HTML文檔和其他網(wǎng)頁(yè)資源轉(zhuǎn)換為最終用戶可以查看的可視表現(xiàn)形式。

“通過說服受害者訪問精心編制的網(wǎng)站，遠(yuǎn)程攻擊者可以利用此漏洞執(zhí)行任意代碼或在系統(tǒng)上造成拒絕服務(wù)條件，” IBM X-Force在對(duì)該漏洞的報(bào)告中稱。

(5) 戴爾

今年早些時(shí)候，研究人員發(fā)現(xiàn)自2009年以來售出的所有戴爾個(gè)人電腦、平板電腦和筆記本電腦中，都存在五個(gè)隱藏了12年的高嚴(yán)重性安全漏洞。據(jù)SentinelLabs稱，它們?cè)试S繞過安全產(chǎn)品，執(zhí)行代碼并轉(zhuǎn)向網(wǎng)絡(luò)的其他部分進(jìn)行橫向移動(dòng)。研究人員表示，這些缺陷潛伏在戴爾的固件更新驅(qū)動(dòng)程序中，可能會(huì)影響數(shù)億臺(tái)戴爾臺(tái)式機(jī)、筆記本電腦、筆記本電腦和平板電腦。

自2009年以來一直在使用的固件更新驅(qū)動(dòng)程序版本 2.3 (dbutil_2_3.sys) 模塊中，存在多個(gè)本地權(quán)限提升 (LPE) 錯(cuò)誤。驅(qū)動(dòng)程序組件通過戴爾BIOS實(shí)用程序處理戴爾固件更新，并且它預(yù)先安裝在大多數(shù)運(yùn)行Windows的戴爾機(jī)器上。

代碼庫(kù)和軟件供應(yīng)鏈

軟件供應(yīng)鏈由開放源代碼存儲(chǔ)庫(kù)(Open Source Code Repositories)支撐，使開發(fā)人員可以集中上傳軟件包，供開發(fā)人員在構(gòu)建各種應(yīng)用程序、服務(wù)和其他項(xiàng)目時(shí)使用。

它們包括GitHub以及更專業(yè)的存儲(chǔ)庫(kù)，如Java的Node.js包管理器 (npm)代碼存儲(chǔ)庫(kù);RubyGems(用于Ruby編程語(yǔ)言)等。這些包管理器代表了供應(yīng)鏈威脅，因?yàn)槿魏稳硕伎梢韵蛩鼈兩蟼鞔a，而代碼又可能在不知不覺中用作各種應(yīng)用程序的構(gòu)建塊。任何用戶的應(yīng)用程序都可能受到惡意代碼的攻擊。

網(wǎng)絡(luò)犯罪分子蜂擁而至。

例如，12月，在npm中發(fā)現(xiàn)了一系列17個(gè)惡意軟件包;它們都是針對(duì) Discord而構(gòu)建的，Discord是一個(gè)被3.5億用戶使用的虛擬會(huì)議平臺(tái)，支持通過語(yǔ)音通話、視頻通話、短信和文件進(jìn)行通信。同樣在本月，托管在PyPI代碼存儲(chǔ)庫(kù)中的三個(gè)惡意軟件包被發(fā)現(xiàn)，總共有超過12,000 次下載，并且可能被偷偷地安裝在各種應(yīng)用程序中。這些軟件包包括一個(gè)用于在受害者機(jī)器上建立后門的木馬和兩個(gè)信息竊取程序。

研究人員上周還發(fā)現(xiàn)，Maven Central生態(tài)系統(tǒng)中有17,000個(gè)未打補(bǔ)丁的Log4j Java包，這使得Log4Shell漏洞利用帶來了巨大的供應(yīng)鏈風(fēng)險(xiǎn)。根據(jù)谷歌安全團(tuán)隊(duì)的說法，整個(gè)生態(tài)系統(tǒng)可能需要“幾年”才能修復(fù)。

使用惡意軟件包作為網(wǎng)絡(luò)攻擊媒介也是今年早些時(shí)候的一個(gè)常見主題。

勒索軟件變種

勒索軟件在2021年很猖獗。用于鎖定文件的實(shí)際惡意軟件的進(jìn)展，不僅僅是簡(jiǎn)單地在目標(biāo)文件夾上打一個(gè)擴(kuò)展名，其包括以下三大發(fā)現(xiàn)。

HelloKitty 的 Linux 變體以虛擬機(jī)為目標(biāo)

今年6月，研究人員首次公開發(fā)現(xiàn)了一種Linux加密器——被 HelloKitty勒索軟件團(tuán)伙使用。

HelloKitty是2月份對(duì)視頻游戲開發(fā)商CD Projekt Red攻擊的幕后黑手，它開發(fā)了許多Linux ELF-64版本的勒索軟件，用于攻擊VMware ESXi 服務(wù)器和運(yùn)行在它們上面的虛擬機(jī) (VM)。

VMware ESXi，以前稱為ESX，是一種裸機(jī)管理程序，可以輕松安裝到服務(wù)器上并將它們劃分為多個(gè)VM。雖然這使得多個(gè)VM可以輕松共享相同的硬盤驅(qū)動(dòng)器存儲(chǔ)，但它使系統(tǒng)成為攻擊的一站式站點(diǎn)，因?yàn)楣粽呖梢约用苡糜诖鎯?chǔ)跨 VM數(shù)據(jù)的集中式虛擬硬盤驅(qū)動(dòng)器。

(1) MosesStaff：沒有可用的解密

11月，一個(gè)名為MosesStaff的政治組織癱瘓了以色列實(shí)體，沒有任何財(cái)務(wù)目標(biāo)——也沒有交出解密密鑰的意圖。相反，它正在使用勒索軟件對(duì)以色列目標(biāo)進(jìn)行出于政治動(dòng)機(jī)的破壞性攻擊，試圖造成最大的破壞。

MosesStaff加密網(wǎng)絡(luò)并竊取信息，并且無意索要贖金或糾正損害。該組織還保持著活躍的社交媒體，發(fā)布信息和視頻，并公開其意圖。

(2) Epsilon Red以 Exchange 服務(wù)器為目標(biāo)

6 月份，威脅行為者在一組PowerShell腳本的背后部署了新的勒索軟件，這些腳本是為利用未修補(bǔ)的Exchange服務(wù)器中的缺陷而開發(fā)的。

Epsilon Red勒索軟件是在對(duì)一家美國(guó)酒店業(yè)公司發(fā)動(dòng)攻擊后被發(fā)現(xiàn)的，它指的是X戰(zhàn)警漫威漫畫中一個(gè)不起眼的敵人角色，一名俄羅斯血統(tǒng)的超級(jí)士兵，配備了四個(gè)機(jī)械觸手。

研究人員表示，雖然惡意軟件本身是一個(gè)用Go編程語(yǔ)言編寫的“準(zhǔn)系統(tǒng)”64位Windows可執(zhí)行文件，但它的交付系統(tǒng)依賴于一系列 PowerShell腳本，這些腳本“為最終的勒索軟件負(fù)載準(zhǔn)備被攻擊的機(jī)器，并最終交付和啟動(dòng)它。”

游戲安全

連續(xù)第二年，游戲安全在2021年成為讀者關(guān)注的焦點(diǎn)，這可能是因?yàn)槿蛞咔榱餍型苿?dòng)了更高的游戲量。網(wǎng)絡(luò)犯罪分子也繼續(xù)瞄準(zhǔn)該領(lǐng)域。在卡巴斯基最近的一項(xiàng)調(diào)查中，近61%的人報(bào)告稱遭受過諸如身份盜竊、詐騙或游戲內(nèi)貴重物品被盜等不法行為。這方面的新聞事件包括Steam用于托管惡意軟件、Twitch源代碼泄露、索尼PlayStation3 禁令等。

來源：摘譯自threatpost，作者泰拉。