2020年，新冠的爆發影響了各行各業的穩定運轉，同時也催生出不少居家辦公、以新冠疫情為核心的新需求，然而在2021年，全球用戶的關注點發生了明顯的轉變。不安全的數據、代碼托管庫的惡意軟件、關鍵性的零日漏洞利用和前所未見的勒索軟件方案，這些話題成為了讀者最常閱讀的新聞主題。這或許表明在新的工作方式趨于“常態化”后，外界更熱衷于關注網絡犯罪的創新。

1. 不斷泄露的“數據”

2021年的新聞頭條顯然被Log4Shell、殖民管道、卡塞亞、ProxyLogon/ProxyShell和SolarWinds等重大安全事件占據。除此之外，根據相關文章的流量數據，益博睿公司數據泄露事件也受到了廣泛關注。

今年 4 月，羅徹斯特理工學院大二學生 Bill Demirkapi 發現，在一個貸款人網站上，通過益博睿信用局API端口，幾乎可以查詢任何一個美國人的信用評分，訪問沒有受到絲毫限制。

該端口名為Experian Connect API，允許貸款人自動進行FICO分數查詢。Demirkapi通過建立一個名為"Bill's Cool Credit Score Lookup Utility"的命令行工具，即使在出生日期字段中用零代替，仍可以自動查詢幾乎所有人的信用分數。此外，通過該API端口，還可以獲取益博睿用戶更為詳細的信用記錄，以及信用預警，例如某用戶消費金融賬戶過多等。

益博睿公司表示已經解決了該問題，并否決了該問題將帶來系統性威脅的可能。

無獨有偶，LinkedIn 數據在暗網上出售也成為2021年備受關注數據泄露事件。

2021年4月和6月，LinkedIn相繼發生數據泄露事件，5 億 LinkedIn 會員受到影響。一個自稱是“GOD User TomLiner”的黑客在 RaidForums 上發布了一條包含 7 億條 LinkedIn 賬號待售記錄的帖子。該條帖子包含 100 萬條賬號記錄，證明系LinkedIn 會員信息，經Privacy Sharks 檢測發現，泄露數據包括姓名、性別、電子郵件地址、電話號碼和行業信息等內容。

截至目前我們仍然不清楚數據的具體來源，外界猜測相關數據可能源于公開資料的抓取。

LinkedIn 堅稱數據庫并沒有被外來者入侵。

不過即便如此，LinkedIn用戶數據泄露所其帶來的安全影響也是巨大的，因為這些緩存記錄可被不法分子用來暴力破解賬戶密碼、電子郵件，從而實施電話詐騙、網絡釣魚、身份盜竊等活動。更重要的是，這些數據可能形成一個社交工程的“金礦”，攻擊者輕輕松松就通過訪問該檔案獲取不少目標用戶的個人信息，進而實施有針對性的詐騙。

2. 關鍵零日漏洞

關鍵零日漏洞，這是一個永恒的話題，但2021年的惡性事件，要從 Log4Shell 說起。

Log4Shell 漏洞是 Java 日志庫 Apache Log4j 中的一個關鍵漏洞，允許未經身份驗證的遠程代碼執行 (RCE) 和完全接管服務器，目前，該漏洞仍在野外被積極利用。

在該漏洞 (CVE-2021-44228) 首次出現在 Minecraft 游戲網站后，Apache 匆忙發布補丁，但在一兩天內，由于威脅者試圖利用這個新漏洞，攻擊逐漸變得猖獗起來。自此之后，關于額外的利用載體、第二個漏洞、攻擊之兇猛及波及面的擴大新聞，就霸占了12月的全部頭條。

NSO 公司針對 Apple 的“零點擊”攻擊事件

9 月，研究人員發現了一個稱為“ForcedEntry be”的零點擊漏洞，蘋果包括 iPhone、iPad、Mac和Apple Watch在內的所有產品均受到影響。結果顯示，該漏洞被NSO公司利用來安裝臭名昭著的 Pegasus 間諜軟件。

雖然蘋果公司推出了緊急修復程序，但 Citizen Lab 已經觀察到 NSO 公司已經通過 iMessage渠道實施了非法監控活動，而其中所利用的正是該漏洞。

Palo Alto 安全設備中的巨大零日漏洞

來自 Randori 的研究人員開發了一個有效的利用程序，以通過關鍵漏洞 CVE 2021-3064 在 Palo Alto Networks 的 GlobalProtect 防火墻上獲得遠程代碼執行 (RCE)。

Randori 研究人員表示，如果攻擊者成功利用該漏洞，他們可以獲得目標系統的 shell，訪問敏感配置數據，提取憑據等。

“一旦攻擊者控制了防火墻，他們就可以訪問內網，并繼續橫向移動。”值得慶幸的是，Palo Alto Networks 在信息披露當天修補了該漏洞。

谷歌內存零日漏洞

2021年 3 月，谷歌急忙修復 Chrome 瀏覽器中的一個受到主動攻擊的漏洞。該漏洞是一個釋放后使用漏洞，允許遠程攻擊者利用漏洞構建惡意WEB頁，誘使用戶解析，可使應用程序崩潰或執行任意代碼。

“通過說服受害者訪問特制網站，遠程攻擊者可以利用此漏洞執行任意代碼或在系統上造成拒絕服務條件，” IBM X-Force 對該漏洞報告寫道。

戴爾內核權限漏洞

今年年初，研究者在部分戴爾個人電腦、平板電腦和筆記本電腦中發現了5個隱藏了12年的嚴重安全漏洞，這些產品均在2009年前后銷往市場。根據SentinelLabs的說法，這些安全漏洞可以繞過防火墻或其他安全防護產品的保護，在目標設備商執行代碼，并通過局域網或是互聯網向其他設備進行橫向移動滲透。

研究人員說，這些漏洞隱藏在戴爾的固件更新驅動程序中，可能影響到數億臺戴爾電腦設備。

自 2009 年以來，戴爾固件更新驅動程序版本 2.3 (dbutil_2_3.sys) 模塊中存在多個本地權限提升 (LPE) 漏洞。驅動程序組件通過戴爾 BIOS 實用程序處理戴爾固件更新，將漏洞“預先安裝”在大多數運行 Windows 系統的戴爾機器上。

3. 軟件供應鏈和代碼庫危機

軟件供應鏈以開源代碼存儲庫為基礎，開發人員可以在集中位置上傳軟件包，供開發人員在構建各種應用程序、服務和其他項目時使用。它們包括 GitHub，以及更專業的存儲庫，如 Java 的 Node.js 包管理器 (npm) 代碼存儲庫、Ruby 編程語言的RubyGems 、Python 包索引 (PyPI)等等。

這些軟件包管理器在提供便利的同時，卻又成為了全新的供應鏈威脅，因為任何人都可以向它們上傳代碼，而這些代碼又能在不知不覺中滲入各類應用程序中。

更為重要的是，一個單一的惡意軟件包可以被植入加密礦工、信息竊取器等不同的項目中，并進一步感染，使得修復過程變得極其復雜。

由于操作簡單，危害性又極為嚴重，因此網絡犯罪分子蜂擁而至。例如，12 月在 npm 中發現了 17個系列惡意包，它們都是針對虛擬會議平臺 Discord 而構建的。目的是為了竊取Discord令牌，從而接管賬戶。

同樣在本月，托管在 PyPI 代碼存儲庫中的三個惡意軟件包被發現，總共有超過 12,000 次下載，可能已經潛入各種應用程序的安裝中。這些軟件包包括一個用于在受害者設備建立后門的木馬程序和兩個信息竊取程序。

研究人員還發現，Maven Central 生態系統中有 17,000 個未打補丁的 Log4j Java 包，這使得Log4Shell 漏洞利用帶來的巨大供應鏈風險顯而易見。谷歌安全團隊表示，這可能需要 "數年 "的時間來修復整個生態系統。

4. 狡猾的勒索軟件變體

2021年，勒索軟件稱為一種日益嚴重的威脅，此類網絡犯罪的復雜性和創新水平不斷提高。用來鎖定文件的惡意軟件，已不再是簡單地在目標文件夾上加一個擴展名。關于勒索軟件的變體及進展，主要有如下三大發現：

HelloKitty ：以虛擬機為目標

今年 6 月，研究人員首次公開了HelloKitty 勒索軟件團伙使用的一種 Linux 加密器。

HelloKitty是2月份攻擊電子游戲開發商CD Projekt Red的幕后黑手，它開發了許多 Linux ELF-64 版本的勒索軟件，用于攻擊VMware ESXi 服務器和運行在它們上面的虛擬機 (VM)。

VMware ESXi(以前稱為 ESX)，是一種裸機管理程序，可以輕松安裝到服務器上，并將其分割為多個虛擬機系統。盡管這使得多個虛擬機共享相同的硬盤存儲變得容易，但這反而增加了系統遭受攻擊的風險。由于多個虛擬機共用同一個儲存系統，因此一旦數據被鎖，攻擊者就可以直接攻陷多個服務器系統。

MosesStaff：“失蹤”的密鑰

11月，一個名為 MosesStaff 的團體向以色列相關機構發起攻擊，攻擊最終使以色列網絡系統陷入癱瘓。

與一般網絡勒索案件不同的是，MosesStaff并不求財，它用盡手段加密網絡和竊取信息，只是源于“政治意圖”。該組織還在社交媒體上保持活躍，通過各種渠道發布煽動性的信息和視頻，并讓外界知道它的所作所為。

Epsilon Red 以 Exchange 服務器為目標

6 月份，研究員發現，某攻擊者在一組 PowerShell 腳本的基礎上部署了新的勒索軟件，這些腳本是利用未打補丁的 Exchange 服務器的漏洞而開發的。

Epsilon Red 勒索軟件是在對美國一家酒店公司攻擊時被發現的，對其命名來自 X 戰警漫威漫畫中一個不起眼的敵人角色，一名有著四個機械觸手的俄羅斯超級士兵。

研究人員表示，該勒索軟件的入侵模式與一般勒索軟件有所不同。雖然該惡意軟件本身是一個用Go編程語言編程的64位Windows可執行程序，但其交付系統依賴于一系列PowerShell腳本。

5. 游戲安全

連續第二年，游戲安全成為關注的焦點，這可能是因為全球疫情流行推高了游戲需求，網絡犯罪分子也繼續瞄準游戲領域。在卡巴斯基最近的一項調查中，近 61% 的人有過諸如ID盜竊、詐騙或游戲內貴重物品被盜的遭遇。下面概述了一些相關事件。

SteamHide風波

今年六月，出現了名為SteamHide的惡意軟件，它利用游戲平臺Steam的個人資料頭像進行傳播。

根據G Data公司的研究，惡意軟件并不會直接感染Steam，而是將它作為了傳播渠道。SteamHide會通過電子郵件首次傳播，隨后快速感染目標設備上的Steam平臺，存有惡意代碼的圖片會替換掉原有的Steam個人資料頭像。當用戶的好友訪問到這張頭像時，就會自動感染SteamHide。

事實上，隱寫技術并不是什么新興技術，只不過SteamHide能夠想到利用隱寫和Steam平臺好友訪問來實施網絡犯罪，其創意還是讓人為之震驚。

Twitch 源代碼泄露

10月，一個匿名用戶在4chan上發布了大小為125GB的數據鏈接，其中包含Twitch的所有源代碼，可以追溯到Twitch成立伊始的所有數據，包括用戶評論，用戶付費信息等等。

攻擊者聲稱洗劫了Twitch直播平臺的一切，而Twitch則證實了這一事件的真實性。不過值得慶幸的是，攻擊者并沒有謀求錢財，發起攻擊完全為了發泄對于Twitch 規則的不滿，攻擊者希望能以此完善Twitch的用戶規則。

竊取Steam 的 Discord 騙局

11 月，一種新的騙局開始在 Discord 上傳播，網絡犯罪分子可以通過它獲取 Steam 帳戶信息，并利用帳戶中的有用數據實施詐騙。

以游戲玩家為目標的Discord騙局屢見不鮮，而這一種卻玩出了新意。研究人員指出，新模式跨越了Discord和Stream游戲平臺，騙子提供所謂的免費訂閱Nitro(一種Discord插件，可以實現頭像、自定義表情符號、個人資料徽章、更大的上傳、服務器提升等等)，以換取兩個賬戶的 "鏈接"。

目標用戶會在Discord上收到一條惡意鏈接，其中描述了不少好處，包括獲得免費游戲或是游戲道具，而用戶需要做的只是“鏈接你的Steam賬戶"。點擊惡意鏈接會將用戶帶到一個虛假的Discord頁面，上面有一個按鈕，寫著 "獲得Nitro"。一旦受害者點擊該按鈕，該網站似乎會提供一個與Steam頁面類似的彈出式廣告，但研究人員解釋說，該廣告仍是惡意網站的一部分。

該策略旨在欺騙用戶認為他們被帶到 Steam 平臺以輸入他們的登錄信息，實際上，騙子已經準備好接受你的賬戶數據了。

PlayStation3 被“Ban”了

2021年6月，由于索尼疏于管理，一個包含所有PlayStation3游戲機序列號的文件夾以明文的方式放在網上。這給了不法分子可乘之機，最終導致部分PlayStation 3玩家的主機直接被“Ban”,無法正常使用。

2021年4月中旬，一個名為 "The WizWiki "的西班牙YouTuber發現，索尼在網上留下了一個包含所有PS3游戲機ID的文件夾，沒有任何安全保障可言。而到了2020年6月，PlayStation網絡留言板上的玩家開始抱怨他們無法登錄。

用戶猜測，威脅者使用偷來的PS3游戲機ID進行惡意操作，導致合法玩家被禁。但索尼并未確認這兩者之間存在必然的聯系。

額外閱讀：十二宮殺手密碼終被破解

困擾美國警方半個多世紀的“十二宮殺手”密碼，在2020年12月被某數學家團隊破解。

據報道， 1960 年代末和 1970 年代初，連環殺手在北加利福尼亞地區及其周邊地區謀殺了至少 5 人。這位至今未具名的兇手向當地報紙媒體發送了四串加密信息，吹噓自己的罪行并包含神秘的圖標，這為他贏得了“黃道十二宮”的綽號。

第一串密碼很快被破譯，但以340字符命名的“340 Cipher ”更難破譯。澳大利亞數學家 Sam Blake 計算出有 650,000 種解讀方式。比利時一名倉庫操作員 Jarl Van Eycke 編寫了一個軟件來破解密碼。這一獨特的密碼破解方式有了回音。并且這條消息得到了FBI的官方確認。

雖然神秘的連環殺手的名字還不為人知，但這一突破代表著密碼學和網絡安全中訪問控制和分割的勝利。

參考來源：https://threatpost.com/5-top-threatpost-stories-2021/177278/#Experian_Leak