一、业界动态
1、CNCERT:我国DDoS攻击资源月度及2018年上半年治理情况分析报告
本报告为2018年6月份的DDoS攻击资源月度分析及半年治理情况分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
详情链接:http://www.cert.org.cn/publish/main/upload/File/DDoS201806.pdf
2、大约五亿台物联网设备容易遭受DNS重绑定攻击
曾发现BlueBorne蓝牙协议漏洞的网络安全公司Armis发布警告称,如今仍然有相当一部分智能设备容易受到DNS重绑定攻击。
近期,包括暴雪、uTorrent、谷歌等多家产品曝出关于DNS重绑定漏洞的消息,对此Armis表示,此种攻击方式起源于十多年前,并且经过调查后发现,几乎所有的智能设备都会受到该漏洞的影响,初步估计影响设备数量约为5亿台。并且由于XSS、CSRF等漏洞存在众多的安全问题,所以针对DNS漏洞对设备进行修补是“永远无法完成”的巨大任务。当前,最简单有效的方式便是将物联网设备集成到现用的网络安全监控产品中。
详情链接:https://www.bleepingcomputer.com/news/security/half-a-billion-iot-devices-vulnerable-to-dns-rebinding-attacks/
2、威胁猎人|2018年上半年国内公有云云上资产合规现状报告
基于威胁猎人自有的黑灰产攻击流量监控数据,我们从中专门提取了针对公有云的各类攻击数据。从中可以看出,2018年上半年(2018年01月-06月)间,以国内各大公有云的云上应用和云主机为目标的网络攻击整体呈明显上升趋势,威胁类型以机器人、撞库攻击为主,针对云主机、域名和邮箱等资源的业务灰产仍大量存在。
详情链接:https://www.anquanke.com/post/id/153140
二、黑客攻击
1、广东重庆多家三甲医院服务器遭暴力入侵,黑客赶走50余款挖矿木马独享挖矿资源
腾讯御见威胁情报中心近期检测到广东、重庆多家三甲医院服务器被黑客入侵,攻击者暴力破解医院服务器的远程登录服务,之后利用有道笔记的分享文件功能下载多种挖矿木马。
攻击者将挖矿木马伪装成远程协助工具Teamviewer运行,攻击者的挖矿木马会检测多达50个常用挖矿程序的进程,将这些程序结束进程后独占服务器资源挖矿。该挖矿木马还会通过修改注册表,破坏操作系统安全功能:禁用UAC(用户帐户控制)、禁用Windows Defender,关闭运行危险程序时的打开警告等等。
已知样本分析发现,攻击者使用的挖矿木马拥有多个矿池,开挖的山寨加密币包括:门罗币(XMR)、以太坊(ETH)、零币(ZEC)等等,从矿池信息看,目前攻击者已累积获利达40余万元人民币。
详情链接:http://www.freebuf.com/articles/system/178529.html
2、在押囚犯利用平板漏洞窃取22.5万美元数字资产
援引美联社报道,关押在美国爱达荷州监狱的364名囚犯通过由JPay公司所提供平板中的漏洞,成功窃取了22.5万美元的数字凭证。JPay是专门为监狱囚犯提供电子邮件、音乐、游戏和汇款等数字服务的私人公司。
详情链接:https://www.cnbeta.com/articles/tech/751187.htm
3、山东警方成功破获“tIMiner”挖矿木马案件
据法制晚报消息,近日出现的“tIMiner”挖矿木马案件,已经被山东警方在辽宁大连成功破获,其黑产公司被成功抓捕。
据悉,该公司主要通过网吧、吃鸡外挂、盗版视频等渠道非法传播木马病毒,且非法控制了用户电脑终端近389万台,来进行数字加密货币挖矿,强制广告等业务。总共挖掘了DGB、HSR、XMR等各类数字货币近2000万枚,涉案金额高达1500余万元。
详情链接:https://www.bianews.com/news/flash?id=16882
4、勒索软件攻击中远集团的美国网络
勒索软件攻击严重打乱了中远集团(中国远洋运输公司)美国网络,是全球最大的航运公司之一。由于攻击的效果,在其新闻“本地网络故障” 的释放,但是,透露该公司称这一事件为勒索感染显示,公司建议员工在其他地区不要打开可疑的电子邮件。
目前还不清楚在袭击中使用了什么类型的勒索软件,尽管行业官员说这次袭击很可能是由SamSam造成的。据Bleeping Computer报道,事件发生在7月24日,该公司的美国IT基础设施,包括电子邮件服务器,电话网络和公司网站都受到影响。
详情链接:https://www.scmagazineuk.com/ransomware-attack-knocks-shipping-giant-coscos-us-network/article/1489012?utm_source=hs_email
三、漏洞事件
1、Apache已修复Apache Tomcat中的高危漏洞
近日,Apache软件基金会为Tomcat应用程序服务器推送了最新的安全更新,并修复了多个安全漏洞,其中包括一个DoS漏洞和一个信息泄露漏洞。
Apache软件基金会修复的第一个漏洞为CVE-2018-8037,这是一个非常严重的安全漏洞,存在于服务器的连接会话关闭功能之中。一旦成功利用,该漏洞将允许攻击者在新的会话连接中再次使用之前用户的会话凭证。Tomcat v9.0.0.M9到v9.0.9以及v8.5.5到v.5.31都将受到该漏洞的影响,不过最新发布的Tomcat v9.0.10和v8.5.32已经成功修复了该漏洞。
Apache软件基金会修复的第二个漏洞为CVE-2018-1336,这个漏洞是存在于UTF-8解码器中的溢出漏洞,如果攻击者向解码器传入特殊参数的话,将有可能导致解码器陷入死循环,并出现拒绝服务的情况。受该漏洞影响的Tomcat版本有v7.0.x、v8.0.x、v8.5.x和v9.0.x,而v9.0.7、v8.5.32、v8.0.52和v7.0.90版本已经成功修复了该漏洞。
详情链接:https://securityaffairs.co/wordpress/74727/hacking/apache-tomcat-flaws.html
2、提前发现高危漏洞,微软、苹果致谢支付宝安全实验室
IT之家7月25日消息 微软用户和苹果用户躲过一劫。近日,微软和苹果分别在官网发布安全公告,致谢蚂蚁金服光年安全实验室及时发现其平台上的高危漏洞,避免更多用户中招。据介绍,这2个漏洞会导致用户的主机被远程控制。目前,微软和苹果已将漏洞修复。
据介绍,编号为CVE-2018-4264的漏洞存在Safari浏览器的JSC引擎中,CVE-2018-8283漏洞存在于Edge浏览器的ChakraCore引擎中。在访问网站时,攻击者可以通过这些漏洞在网页中执行特殊构造的脚本代码,造成浏览器崩溃,甚至可能存在可以远程执行代码的风险,从而控制用户的主机。
详情链接:https://www.ithome.com/html/it/372694.htm
3、大量蓝牙设备和系统将受到加密漏洞CVE-2018-5383
近期,安全研究专家在某些蓝牙设备中发现了一个高危加密漏洞(CVE-2018-5383),未经验证的攻击者在物理接近目标设备后,这个漏洞将允许他们拦截、监控或篡改设备的网络数据。
这个蓝牙漏洞编号为CVE-2018-5383,受影响的包括苹果、博通、英特尔和高通等大型厂商所生产的设备固件以及操作系统软件驱动器,另外该漏洞是否会影响Android和Linux设备,目前还是未知数。该漏洞主要会影响两种蓝牙功能,第一个是操作系统软件中用于安全连接配对的低功耗蓝牙(LE)实现,第二个是设备固件中用于安全简单配对的BR/EDR实现。
详情链接:https://thehackernews.com/2018/07/bluetooth-hack-vulnerability.html
四、安全峰会
1、2018 SOC&EDR应用建设高峰论坛
FreeBuf企业安全俱乐部活动首次来到深圳。本次高峰论坛以「聚焦终端响应 智慧安全运营」为主题,聚焦SOC&EDR在企业的应用建设,会议邀请了多位在SOC建设运营以及端点安全、EDR落地应用等方面有着丰富实践经验的企业安全负责人和知名厂商现场分享,受到了与会观众和嘉宾的热烈欢迎和讨论。下面一起来看看本次论坛的精华内容吧。
详情链接:http://www.freebuf.com/news/178680.html
2、安全行业峰会日程预报
2018第七届KCon黑客大会,时间:2018.08.24-2018.08.26 地点:北京 · 751D·PARK 东区故事 D·live 生活馆;
中国互联网安全领袖峰会,时间:2018.08.27-2018.08.28 地点:北京 国家会议中心。
北京六方云科技有限公司,是一家致力于工业互联网安全产品和解决方案提供商。聚集了一大批来自于工业控制、云计算、网络安全、大数据挖掘、人工智能等领域的优秀专家和工程师,为中国网络空间安全保驾护航。