一,国际舆情概况
根据腾讯反病毒实验室的后台统计,3月热议话题分别是漏洞、有害样本、勒索敲诈、攻击事件、钓鱼事件、挖矿木马。其中漏洞安全、DDoS攻击、数据泄漏、banker木马、挖矿木马较上月分别有不同程度的增幅,整体安全话题有些许上升。下图为3月资讯分布情况。
三月出现的重大安全事件包括Github遭受大规模DDoS攻击、AMD Ryzen和EPYC系列处理器爆出4类漏洞、剑桥分析公司私自收集Facebook用户个人信息。其他常规的安全事件依然持续不断。本文从漏洞安全、流行木马、攻击事件、挖矿事件、DDoS攻击、垃圾邮件、数据泄露七个维度重点罗列本月的典型安全事件。
二,热点安全事件概况
下面分别从几个占比较大且有特点的安全类型展示本月热点事件。
漏洞安全
系统漏洞、应用软件漏洞被频频爆出,用户需关注厂商及时发布的补丁,做好系统升级、软件更新和安全检测软件的更新。本月热门漏洞事件有以下三例:影响了AMD Ryzen和EPYC系列处理器的AMD四类漏洞、Vmware Workstation的Dos漏洞、Adobe ReaderDC任意代码执行漏洞。
- AMD已确认四类漏洞的有效性,并且影响了AMD Ryzen和EPYC系列处理器
其中,RyzenFall,MasterKey,Fallout是由于AMD架构整合的一个安全处理器和集成内存控制器设计的缺陷造成的,使用的是系统共享内存,而不是自己单独的物理内存空间,导致攻击者可绕过安全检查、公共和私有密钥泄露、以及打通虚拟机和主机;Chimera漏洞会影响管理处理器,内存和外设之间通信的AMD芯片组(主板组件),攻击者可以执行代码并将虚假信息传递给其他组件。
- Vmware Workstation爆出Dos漏洞CVE-2018-6957
近日,VMware的工作站版本及Fusion产品爆出 DoS漏洞CVE-2018-6957,大量的VNC连接会导致服务器触发一个异常,导致虚拟机关闭。攻击者可以启动VNC会话触发此漏洞。
- Adobe ReaderDC发现任意代码执行漏洞
在Adobe Acrobat Reader DC 2018.009.20044中打开特制的PDF文档时,嵌入在PDF文件中的特定Javascript脚本可能导致文档ID字段在无界复制操作中使用,从而导致基于堆栈的缓冲区溢出,栈溢出会导致一个称为返回地址覆盖的操作,这会导致任意代码执行。若要利用此漏洞,目标需要打开恶意文件或访问恶意网页。
流行木马
木马技术随着杀软检测手段的提升而不断升级,变种的更新也越来越频繁,这就要求用户不但安装杀毒软件,还要关注杀软更新、及时升级病毒库,以达到对病毒的有效防范。本月爆出的新型木马主要有两类:FlawedAmmyy木马——建立在合法软件泄漏的代码上,迷惑性更强;TrickBot木马新增模块。
- 木马FlawedAmmyy使用合法软件的泄露源代码来窥视用户
Ammyy Admin是一种流行的远程桌面访问工具,企业和用户用它来处理Microsoft Windows机器上的远程控制和诊断。但是,近期新发现的FlawedAmmyy木马则是建立在Ammyy Admin第3版的泄漏源代码之上,使攻击者能够偷偷窥探那些被安装的软件。该木马能够完成远程桌面控制,为黑客提供对系统的完全访问权限,并有机会窃取文件,凭证等等。恶意软件也有可能滥用音频聊天。
- TrickBot木马获取Screenlocker组件
TrickBot木马通过下载各种不同的模块来感染受害者,已知的模块包括银行木马(浏览器注入器)、从受感染主机发送垃圾邮件、SMB自我复制蠕虫等,近期在受害者机器上发现的TrickBot木马新模块——creenlocker,其作用为检测受感染用户若不是电子银行用户,则执行勒索行为。
攻击事件
本月热门攻击事件包括印度电力公司和亚特兰大分别遭受的勒索软件攻击、Hidden Cobra对土耳其金融机构进行的鱼叉式攻击。
- 黑客攻击印度电力公司(UHBVN)
3月21日,黑客获得了印度Uttar Haryana Bijli Vitran Nigam(UHBVN)电力公司的计算机系统访问权,窃取了客户的账单数据。攻击者要求支付1个RS Core,或1000万卢比,用于恢复数据,这相当于大约15万美元。据称这些数据是通过从日志和其他来源输入来恢复的。这个账单数据的丢失意味着电力公司将无法向其客户发送准确的账单以用于当前的消费以及之前欠缺的任何账单。
- 亚特兰大遭受勒索软件的攻击
近日亚特兰大遭受了网络攻击,造成若干计算机系统的中断,导致网上支付账单和一些执法数据无法使用。据攻击者声明,所攻击的文件已经加密,需要一个密钥才能重新获得访问权限,并且要求使用比特币支付赎金。
- Hidden Cobra 攻击土耳其金融机构
近期Hidden Cobra通过包含恶意Microsoft Word文档的鱼叉式电子邮件对土耳其金融机构进行攻击,攻击目标主要包括了政府控制的主要金融机构,以及另一个涉及金融和贸易的土耳其政府组织。所使用的恶意文档包含了一个嵌入的Adobe Flash CVE-2018-4878漏洞利用程序,允许攻击者执行任意植入代码。
挖矿事件
数字加密货币不断攀升的价格和不断减少的数量,以及其交易的隐私性,导致挖矿木马层出不穷,一般是利用系统或者应用软件的未打补丁的漏洞进行最大限度的传播。本月的热门挖矿事件利用的均不是最新的漏洞,而是以前爆出的漏洞,但仍有企业或用户未安装补丁导致中招。
- 门罗币挖矿木马WannaMiner利用“永恒之蓝”漏洞传播
近期,WannaMiner门罗币挖矿木马利用“永恒之蓝”漏洞进行传播。该木马将染毒机器构建成一个健壮的僵尸网络,其支持内网自更新,并且以一种相对低调的获利方式“挖矿”来长期潜伏。尽管“永恒之蓝”漏洞在2017年5月WannaCry事件爆发时,很多机器已经安装了相应补丁,但仍有部分企业未安装补丁或者部署防护类措施。由于其在内网传播过程中通过SMB进行内核攻击,可能造成企业内网大量机器出现蓝屏现象。
- 利用CVE-2017-8464漏洞进行挖矿
lnk远程代码执行漏洞CVE-2017-8464可被用来攻击基础设施、存放关键资料的核心隔离系统等,对政企单位的内网安全有较大威胁。近日发现了利用此漏洞传播门罗币挖矿木马的攻击事件,攻击者利用带毒的U盘感染目标用户机器,一旦用户运行U盘,无需任何操作,电脑就会被不法分子远程控制。并且,病毒样本还会释放CVE-2017-8464漏洞文件,继续感染其它插入的可移动磁盘。
- 黑客利用旧漏洞将Linux服务器变成加密货币矿工
黑客组织利用Cacti“Network Weathermap”插件中一个已有5年历史的漏洞,在Linux服务器上安装了Monero矿工,赚了近75,000美元。该漏洞是Network Weathermap中的editor.php中的跨站脚本漏洞,允许远程攻击者通过map_title参数注入任意web脚本或HTML。
DDoS攻击
memcached 是一个免费且开源的高性能分布式内存缓存系统,旨在通过减轻数据库负载来加速动态Web应用程序,近期攻击者正在滥用memcached进行DDoS放大攻击。攻击者通过端口11211向目标服务器发送欺骗受害者IP地址的请求,发送到服务器的请求由几个字节组成,而响应可能会大几万倍,导致扩大攻击。本月的热门DDoS事件——github遭受最大的DDoS攻击即是利用memcached进行的DDoS放大攻击。
- Github遭受最大的DDoS攻击
近期,github遭受了迄今为止记录的最大的DDoS攻击,所遭受的攻击的第一部分达到了1.35Tbps,之后又出现了另一个400Gbps的峰值。攻击者通过公共互联网发送小字节的基于UDP的数据包请求到配置错误的memcached服务器,作为回应,memcached服务器通过向GitHub.com发送大量不成比例的响应,可达到15个字节的请求来触发134KB的响应,甚至更大数据量响应的效果,形成巨大规模的DDoS攻击。
垃圾邮件
本月垃圾邮件热门事件:Sanny信息窃取木马变种针对政府机构分发恶意软件。
- Sanny信息窃取木马变种针对政府机构分发恶意软件
3月中下旬,攻击者通过鱼叉式网络钓鱼攻击将SANNY恶意软件变种分发给全球多个政府。攻击分多个阶段进行,每个阶段都从攻击者的服务器下载,SANNY变种还增加了命令行规避技术,感染运行Windows 10的系统的能力,以及使用最近的用户账户控制(UAC)旁路技术。
数据泄露事件
本月热门数据泄漏事件主要有以下2件:纽约一家医院服务器受攻击导致约13.5公民的信息泄漏、剑桥分析公司私自收集超过5000万Facebook用户的个人资料。
- 纽约一家医院服务器受攻击,约13.5万公民个人信息遭泄漏
最近纽约州奥尔巴尼的一家医院的服务器被入侵,攻击者在未经授权的情况下获得了服务器访问权限,服务器发生了数据泄露,约13.5万公民的信息,包括姓名、出生日期、地址、服务日期、诊断代码、保险信息等个人信息遭到了泄漏。
- 剑桥分析公司私自收集超过5000万Facebook用户的个人资料