安全态势周刊

News information

安全态势周刊-六方云(AI基因·智能防御)——总第18期

<<返回

2018年08月06日 10:16


一、业界动态

1、腾讯安全2018上半年互联网黑产研究报

    2018年,伴随移动应用的影响力超过电脑应用,主要互联网黑产也迁移到手机平台。腾讯安全反诈骗实验室观测数据表明,以持续多年的暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、App推广刷量黑产为典型,这些移动端的互联网黑产,给用户和软件开发者带来了巨大的经济损失。

    同时,2018年是区块链大年,几乎所有的新兴产业,都绕不开区块链这个关键词。与之相应,2017年下半年至今,互联网病毒木马的主流也都围绕区块链、比特币、以太坊、门罗币而来。由于比特币具备交易不便于警方追查的特性,全球范围内的黑市交易,大多选择比特币充当交易货币。由比特币等数字货币引发的网络犯罪活动继续流行,挖矿木马成为了2018年影响面最广的恶意程序。对于挖矿而言,除了大规模投入资本购买矿机自建矿场,黑产的作法是控制尽可能多的肉鸡电脑组建僵尸网络进行挖矿。而僵尸网络除了可以挖矿牟利,控制肉鸡电脑执行DDoS攻击也是历史悠久的黑产赢利模式之一。  


    详情链接:http://www.freebuf.com/articles/paper/179308.html

2、2018上半年暗网现状逐渐成为威胁情报来源,与加密货币互相影响

    在通常的解读中,暗网是指日常上网搜索时无法触及的网站及信息,需要通过 VPN 和 Tor 浏览器(或者Riffle、FreeNet、anoNet 和 ZeroNet 等)才能实现匿名访问。一些调查表明,很多暗网的生命周期都很短。有些能活跃长达一年甚至更久,而有些的寿命只有两个月。

    近期发布的一项研究报告表明,就暗网中数据买卖以及钓鱼邮件这两项重大“攻击指标”而言,金融行业受攻击的可能性最大。根据报告中的统计数据,目前针对金融行业的三大领头的黑客组织分别是MoneyTaker、Carbanak和Cobalt,而这三个黑客组织都被认为是俄罗斯黑客组织,累计对全球多个国家的银行、金融机构和零售行业进行了几百次攻击。而另一个新发现是,很多暗网黑市的供应商已经开始转移到 Telegram 加密聊天室等社交媒体平台开展业务。这为真实世界中安全研究人员应对攻击、开展研究提供了新的方向。

 

    详情链接:http://www.freebuf.com/articles/neopoints/179189.html

3、浅析“煤炭企业如何进行工控安全建设”

    煤炭工业控制系统是整个煤炭企业安全生产监控系统信息的集成,它需要一个快速、安全、可靠的网络平台为大量的信息流动提供支撑,同时要有一个功能全面的安全生产信息应用系统为矿井安全生产提供科学调度、决策的依据。做好煤炭企业工控安全建设是实现生产安全的必要保障。

 

    详情链接:http://www.freebuf.com/articles/ics-articles/178822.html

二、黑客攻击

1、浙江省1000万学籍数据正在暗网售卖

    威胁猎人通过暗网监测到浙江省1000万学籍数据正在暗网上售卖。售卖的学籍数据覆盖了浙江的大部分市区,被泄露的信息包含了学生姓名、身份证、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称等。售卖的学籍数据里还提供有照片链接,数据在100G左右。

 

    详情链接:https://mp.weixin.qq.com/s/ZganfMpBOlndvHMtSUGZiQ

2、三名乌克兰黑客因盗取美国1500万张信用卡记录被捕

    据外媒报道,三名乌克兰公民近日因参与一项针对100多家美国企业的长期网络攻击行动而被捕。根据起诉书了解到,该团队在过去总共从6500多个销售点终端盗取了超1500万张信用卡记录。据安全研究人员介绍,这个叫做Carbanak的团伙利用社交工程和网络钓鱼攻击渗入到企业并从中盗取金融数据。

 

    详情链接:https://www.cnbeta.com/articles/tech/753061.htm

3、台积电三大工厂接连遭病毒感染,敲响工控安全的警钟

    8月3日晚,台积电部分生产设备相继遭到病毒感染,导致台湾新竹科学园区的Fab 12厂区(12寸晶圆厂)、台中科学园区的Fab 15厂区(28nm和7nm生产基地)以及台南科学园区的Fab 14厂区(16nm生产基地)三大生产基地相继停摆。据称台积电遭遇的是勒索病毒,不少人透露是wannacry,但暂时还无法确认。

    台积电作为全球最大的芯片代工厂,一直都是黑客重点关注的目标,每年都难免遭受大量的网络攻击事件。但导致如此大规模的生产线停摆,几乎从来没有发生过,而且生产线设备一般都不连接互联网,至于台积电这次是如何感染病毒,暂时不得而知。

    详情链接:http://www.freebuf.com/news/179766.html

4、GSM劫持短信验证码引关注

    “几条奇怪的短信,半辈子积蓄没了”。日前,南京江宁警方官微科普了一种新型伪基站诈骗手段——GSM劫持+短信嗅探技术,引发网友关注。

    据了解,GSM劫持+短信嗅探技术是近两年来出现的新型伪基站犯罪手段,使用的方法是利用GSM 2G网络的设计缺陷,实现不接触目标手机,而获得目标手机所接收到的验证短信。进而利用各大银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。

 

    详情链接:http://tech.ifeng.com/a/20180804/45102690_0.shtml

 

三、漏洞事件

1、三星智能家居平台SmartThings Hub出现大量漏洞

    近期,思科研究员在三星SmartThings Hub中发现了20个漏洞,攻击者可利用漏洞进行监控、控制及干扰家庭设备。

    三星SmartThings Hub是一个中央处理器,用于实时监控和管理物联网设备,包括相机、恒温器、LED灯、智能插座、家庭报警系统以及运动探测器等,这些设备通过以太网、蓝牙Zigbee等多种技术链接。攻击者可利用这些漏洞进行DDoS攻击和远程代码执行,达到完全的操控效果。

 

    详情链接:https://www.helpnetsecurity.com/2018/07/27/samsung-smartthings-hub-vulnerabilities/

2、威胁预警SamSam勒索病毒最新变种来袭

    近期深信服EDR安全团队接到客户应急需求,称服务器被勒索病毒加密,经过深入分析,提取到相关的样本信息,发现此样本为SamSam勒索病毒最新的变种样本,加密的流程与之前发现的SamSam的变种基本一致。

    SamSam勒索病毒最早于2016年4月左右被首次发现,主要通过服务器网站漏洞、垃圾邮件、RDP爆破等方式感染服务器,此勒索病毒主要用于攻击企业服务器,主要活跃在北美地区,之前曾对北美多个国家医院服务器进行攻击,破坏医院的正常业务,最近此勒索病毒变种在北美等地区非常活跃,已有多家企业中招,此次发现的最新变种加密后的文件后缀为:weapologize,它会通过PSEXEC.EXE工具感染其它主机,勒索病毒采用RSA2048加密算法加密相应的文件,加密后的文件无法还原。

 

    详情链接:http://www.freebuf.com/articles/terminal/179085.html

3、20多万Mikro Tik路由器遭遇加密劫持,被用于加密货币挖矿

    安全研究员发现大量 MikroTik 路由器遭遇加密劫持(cryptojacking )攻击。攻击者更改了路由器配置,并通过路由器占用用户的 web 流量,注入 Coinhive 恶意代码并挖掘加密货币。这起大规模加密劫持主要利用的是 2018 年 4 月份 MikroTik 路由器中的 0-day 漏洞,最早从巴西发起,随后蔓延到全球。据统计,共有 20 多万 MikroTik 路由器遭到攻击,且规模还可能会扩大。

详情链接:https://www.bleepingcomputer.com/news/security/massive-coinhive-cryptojacking-campaign-touches-over-200-000-mikrotik-routers/

四、安全峰会

1、安全行业峰会日程预报

    2018第七届KCon黑客大会,时间:2018.08.24-2018.08.26,地点:北京751D·PARK 东区故事 D·live 生活馆;

    中国互联网安全领袖峰会,时间:2018.08.27-2018.08.28,地点:北京国家会议中心

    2018网络安全分析与情报大会,时间:2018.08.29,地点:北京新云南皇冠假日酒店;

 

    北京六方云科技有限公司,是一家致力于工业互联网安全产品和解决方案提供商。聚集了一大批来自于工业控制、云计算、网络安全、大数据挖掘、人工智能等领域的优秀专家和工程师,为中国网络空间安全保驾护航。