六月安全舆情报告

2018-07-17 来源:原创 作者:腾讯反病毒实验室
【文章摘要】六月互联网安全舆情报告
一,国际舆情概况

根据腾讯反病毒实验室的后台统计,六月热议话题分别是有害软件、漏洞、攻击事件、勒索敲诈、钓鱼事件、IoT安全、数据泄露。其中银行木马、数据泄露、垃圾邮件三个话题较上月分别有不同程度的增幅,但是钓鱼事件话题本月下降明显。整体安全话题也有些许下降。下图为六月资讯分布情况。

六月出现的重大安全事件包括InvisiMole多用途间谍软件对俄罗斯及乌克兰目标发起高针对性攻击;中国进出口企业遭遇“商贸信”攻击,企业机密被窃取;声称WannaCry重新来袭的WannaSpam垃圾;弹幕网站AcFun被攻击,泄露数千万条用户数据;一款名为“吃鸡”辅助软件,实则是挖矿病毒。


二,热点安全事件概况

   下面分别从几个占比较大且有特点的安全类型展示本月热点事件。


漏洞安全


系统漏洞、应用软件漏洞被频频爆出,用户需关注厂商及时发布的补丁,做好系统升级、软件更新和安全检测软件的更新。本月特色漏洞事件有以下两例:WordPress Core 任意文件删除漏洞披露;Axis IP 摄像头存在一系列安全漏洞。


 WordPress Core 任意文件删除漏洞披露

WordPress是网络上最受欢迎的CMS。据调查,大约30%的网站使用它。这种广泛的采用使其成为网络罪犯的一个有趣目标。为了利用该漏洞,攻击者需要获得预先编辑和删除媒体文件的权限。因此,该漏洞可用于升级通过接管具有低权限的账户或通过利用其他漏洞/错误配置而获得的权限。利用此漏洞可以使攻击者能够删除WordPress安装的任何文件。除了擦除整个WordPress安装的可能性,如果没有可用的当前备份可能会产生灾难性后果,攻击者可以利用任意文件删除的能力来规避一些安全措施并在Web服务器上执行任意代码。WordPress团队在版本4.9.7中发布了一个更新,修复了此漏洞。


 Axis IP 摄像头存在一系列安全漏洞
Axis摄像机中的一系列漏洞可能使攻击者能够访问摄像机视频流,控制摄像机,将其添加到僵尸网络或使其无用。研究人员表示,这些漏洞尚未在该领域被利用,但就目前存在的漏洞 - 其中三个漏洞可以按特定顺序利用,以使攻击者能够以root权限远程执行shell命令。例如通过概念验证(PoC)攻击,研究人员发现在摄像机的功能中存在授权绕过漏洞(CVE-2018-10661),该漏洞将以特定扩展名(.srv)结尾的文件请求发送到/ bin / ssid进程。该漏洞允许恶意软件发送未经身份验证的HTTP请求,这些HTTP请求达到.srv功能。此函数处理.srv请求,并且不需要用户凭据(通常,只有管理员用户才能访问此功能)。漏洞(CVE-2018-10662)可使授权机制PolicyKit被配置为自动授予对源自root用户的请求的访问权限,将dbus消息发送到一个这样的接口 - PolicyKitParhand,它提供了设置parhand参数的功能,攻击者可以控制任何设备的parhand参数值,使他们能够利用shell命令注入漏洞(CVE-2018-10660)。


流行木马


木马技术随着杀软检测手段的提升而不断升级,变种的更新也越来越频繁,出奇创新,这就要求用户不但安装杀毒软件,还要关注杀软更新、及时升级病毒库,以达到对病毒的有效防范。本月爆出的新型变种典型的有两类:Netflix 新型钓鱼开始使用具有有效 TLS 证书的站点;KillDisk最新变种袭击银行系统。


Netflix 新型钓鱼开始使用具有有效 TLS 证书的站点
新的Netflix网络钓鱼诈骗将受害者带到具有有效传输层安全性(TLS)证书的站点,近期使用TLS认证网站的Netflix网络钓鱼邮件有所增加  。攻击者利用未修补的安装或插件或弱密码来破坏常见的可疑CMS软件,如WordPress或Drupal。从那里,他们可以创建可能被误认为真正的Netflix域的网络钓鱼站点。在某些情况下,他们使用通配符DNS记录。近年来,使用TLS进行网络钓鱼攻击的方法急剧增加; 2017年与2016年相比,SSL / TLS提供的网络钓鱼尝试增加了400%。


KillDisk最新变种袭击银行系统
KillDisk是由一个叫TeleBots的黑客团伙开发的,是一款破坏性的恶意程序,它专门用于擦除受害者硬盘上的文件,最近几年发展为勒索软件的功能,2015年被利用于针对乌克兰进行的APT攻击之中,旨在破坏乌克兰的电力和能源系统,去年曾发现它的一个变种用于Linux下的勒索病毒,最近又被发现利用攻击某国银行的转帐系统的主机。


攻击事件


本月热门攻击事件:Android信息窃取恶意软件FakeSpy针对日语和韩语用户发起攻击;LuckyMouse组织针对中亚国家数据中心发起持续性水坑攻击;InvisiMole多用途间谍软件对俄罗斯及乌克兰目标发起高针对性攻击;中国进出口企业遭遇“商贸信”攻击,企业机密被窃取;美国票务网站 Ticketfly 遭受黑客攻击勒索。


Android信息窃取恶意软件FakeSpy针对日语和韩语用户发起攻击
欺骗合法的移动应用程序是一种常见的网络犯罪方式,依赖用户的信任来窃取信息或提供有效载荷。网络犯罪分子通常使用第三方应用程序市场来分发他们的恶意应用程序,但在分发CPUMINER,BankBot和MilkyDoor的操作中,他们会尝试在Google Play或App Store上发布他们的应用程序。最近观察到的一个活动,它使用SMS作为切入点来提供FakeSpy这个恶意软件。FakeSpy能够窃取文本消息,以及存储在受感染设备中的账户信息、联系人和呼叫记录。FakeSpy还可以作为银行木马的载体(ANDROIDOS_LOADGFISH.HRX)。目前该恶意软件仅限于感染日语和韩语用户 。


LuckyMouse 组织针对中亚国家数据中心发起持续性水坑攻击
在2018年3月,发现了一项针对中亚国家数据中心的持续活动,该数据中心自2017年秋季以来一直活跃。目标的选择很重要 - 这意味着攻击者获得了广泛的政府资源,得知政府的一举一动。这种访问被滥用,例如,在该国的官方网站上插入恶意脚本以进行水坑攻击。运营商使用HyperBro木马作为他们的内存远程管理工具(RAT)。反检测和解压缩器广泛使用Metasploit的shikata_ga_nai编码器以及使用LZNT1进行压缩。


InvisiMole多用途间谍软件对俄罗斯及乌克兰目标发起高针对性攻击
InvisiMole多功能间谍软件对俄罗斯和乌克兰的Windows PC发起高度针对性的攻击,恶意代码采用32位和64位版本,具有模块化架构,有两个功能丰富的后门,且有重叠功能。他们共同承担了近100项间谍活动。有些功能被研究员极度重视,例如,InvisiMole允许攻击者访问受感染的PC摄像机,这样他们就可以看到和听到受害者所在位置的情况。通过这种方式,攻击者可以监视目标的活动并窃取信息。到目前为止,恶意软件已在十几台机器上出现过。


中国进出口企业遭遇“商贸信”攻击,企业机密被窃取
腾讯御见威胁情报中心监测发现,近期针对中国进出口企业的网络攻击再次出现。黑客攻击的目标是中国电子科技、外贸、远洋运输企业,攻击者发送精心准备的与企业业务相关的诱饵邮件,附件是利用Office漏洞(漏洞编号:CVE-2017-11882)特别定制的攻击文档,存在漏洞的电脑上打开附件会立刻中毒。漏洞触发后利用bitsadmin下载Loki Bot木马并执行,然后窃取受害人员各类账号密码等机密信息。


美国票务网站 Ticketfly 遭受黑客攻击勒索
美国票务网站 Ticketfly 遭受黑客攻击勒索,影响到几个公开的销售音乐会门票,估计有2600万人受到了违规行为的影响,其中包括电子邮件地址以及姓名,实际地址和电话号码。黑客告知Ticketfly是一个漏洞导致数据泄露,然后要求一个比特币(约7,500美元)来换取信息。


垃圾邮件


本月垃圾邮件的热门事件主要为: 声称WannaCry重新来袭的WannaSpam垃圾邮件。


声称WannaCry重新来袭的WannaSpam垃圾邮件
近期,一个自称为“WannaCry-Hack-Team”的组织向用户发送垃圾邮件,声称收件人的计算机已被WannaCry感染,并将他们的比特币地址贴在邮件正文中,需要收件人在指定时间内发送比特币给他们,否则其计算机上的文件将被全部删除。这实际上只是一个垃圾邮件,收件人的计算机也未被WannaCry感染,只需将邮件删除即可。


数据泄露事件


本月热门数据泄漏事件主要有以下三件:DNA测试服务MyHeritage公司9200余万用户的用户数据遭泄露;Ticketmaster因聊天功能导致用户信息泄露;弹幕网站AcFun被攻击,泄露数千万条用户数据。


DNA测试服务MyHeritage公司9200余万用户的用户数据遭泄露
6月上旬,在第三方私人服务器上发现了包含MyHeritage公司9200余万名用户的电子邮件地址和散列密码,但未包含用户的其他数据,例如用户的财务信息、DNA、家谱细节等信息。MyHeritage表示,每个用户密码的哈希密钥都不相同,因此网络犯罪分子难以完全解码9200余万个密码。并表示将为用户账户实施双要素身份验证功能,以提高用户数据的安全性。


Ticketmaster因聊天功能导致用户信息泄露
近期,全球最大的票务网站Ticketmaster,因其使用的第三方聊天软件——Inbenta所提供的小部件里被注入恶意代码导致用户数据泄露,包括用户姓名、地址、电子邮件地址、电话号码、付款详细信息和Ticketmaster登录详细信息等数据。Ticketmaster称并非所有网站访问者都受到影响,只有在2017年9月至2018年6月23日期间购买或试图购买票据的国际用户受到影响,大约为其整个客户的5%左右,并且已及时在其所有页面上禁用了Inbenta小部件。


弹幕网站AcFun被攻击,泄露数千万条用户数据
6月中旬,弹幕网站AcFun发布公告称网站遭遇黑客攻击,近千万条用户数据外泄,包括用户ID、昵称以及加密存储的密码。攻击者在GitHub发布了300条用户信息及手机号,但不久之后已删除。AcFun表示2017年7月7日之后登录过AcFun的用户密码自动升级为更强的加密策略,密码是安全的,并且提示在2017年7月7日之后从未登录过的用户以及密码强度低的用户及时更改密码。


挖矿事件


本月热门挖矿事件主要有以下三件:电脑管家助力警方破获电脑挖矿大案;名为“吃鸡”辅助软件,实则挖矿病毒。


电脑管家助力警方破获电脑挖矿大案
2017年底时,腾讯电脑管家曾发现一款名为“tlMiner”的挖矿木马的传播量达到峰值,12月20日当天有近20万台机器受到该挖矿木马影响,并发现“tlMiner”挖矿木马瞄准“吃鸡”玩家及网吧高配电脑,搭建挖矿集群。腾讯电脑管家配合守护者计划及时将该案线索提供给山东警方,协助警方于2018年4月11日成功破获389万台肉鸡电脑挖矿大案,涉案案值高达1500余万元。
“tlMiner”木马作者在“吃鸡”游戏外挂、海豚加速器(修改版)、高仿盗版视频网站(dy600.com)、酷艺影视网吧VIP等程序中植入“tlMiner”挖矿木马,通过网吧联盟、论坛、下载站和云盘等渠道传播。木马作者通过以上渠道植入木马,非法控制网吧和个人计算机终端为其个人挖矿。腾讯电脑管家已全面拦截该木马病毒。


名为“吃鸡”辅助软件,实则挖矿病毒
六月,腾讯御见威胁情报中心监控到“xiaoba”勒索病毒的作者在网站xiaobaruanjian.xyz上提供《荒野行动》的游戏辅助,同时将勒索病毒、挖矿木马、篡改主页木马暗藏其中。用户一旦下载运行该网站的所谓“吃鸡”辅助软件,会导致浏览器主页被篡改、电脑CPU被大量占用挖矿。伪装成“吃鸡”游戏辅助工具的“荒野行动设备解封工具.cmd”,被打包为压缩包文件“荒野行动设备解封工具.exe”,伪装的正规软件文件名极难被用户发现。该压缩包文件执行时会启动恶意脚本cmd,修改文件创建时间,然后执行木马文件。“xiaoba”病毒会篡改浏览器导航,已针对40余款浏览器进行劫持,木马运行后在桌面释放大量推广lnk,同时挖矿占用大量CPU资源。当中毒电脑上发生比特币、以太坊币交易时,病毒会监视剪切板,在交易瞬间将收款人地址替换为自己的,从而实现虚拟币交易抢劫。更恶劣的是,“xiaoba”病毒作者还增加了勒索病毒功能,让电脑无法开机,要求受害人付款后才能解除病毒封锁。目前,腾讯电脑管家已全面拦截并查杀该病毒。

电脑管家 V16

全新上线 更轻更快