安全态势周刊

News information

安全态势周刊-六方云(AI基因·智能防御)——第38期

<<返回

2018年12月24日 10:59


一、业界动态

1、六方云:用人工智能防御未知威胁

    当前,国内互联网+、工业互联网和物联网发展地如火如荼,由此引发的信息安全威胁也备受关注。信息安全威胁共分为两类:已知威胁和未知威胁。对于已知威胁的解决,很多信息安全厂商已经提供了多种解决方案;对于未知威胁的防范,虽然也出现了一些技术,如MTD、蜜罐等,但都无法很好的解决问题。六方云“超弦”人工智能实验室的专家经过多年研究、多次实验,首次将人工智能技术应用到未知威胁防御,使安全技术无需依赖大量人工干预和决策就可以实现自我进化,从而更有效的解决未知威胁的防御问题。

    详情链接:六方云

    http://www.6cloudtech.com/portal/article/index/id/15/cid/2.html

2、华为未来五年将投资20亿美元强化网络安全 增加人员和实验室设施

    据国外媒体报道,华为周二表示,将在未来五年内投入20亿美元加强网络安全(cybersecurity),在这方面增加更多人员和升级实验室设施。目前该公司面临对其网络设备相关风险的担忧。华为在其东莞园区举行的记者会上做出上述表示,有20多位国际记者到场。华为轮值董事长胡厚崑还介绍,华为已获得逾25份第五代移动通讯(5G)商业合同,略高于11月宣布的22份。

    详情链接: kejixun

    http://www.kejixun.com/article/181219/452589.shtml

3、北京首次打掉撞库诈骗产业链团伙

    近日,北京市公安局海淀分局通过发挥专业优势,不断深化网络犯罪打击深度和广度,破获北京首例通过撞库盗号实施诈骗的产业链条,3名犯罪嫌疑人被刑事拘留。

    据介绍,今年7月10日,海淀公安分局警务支援大队接辖区某互联网企业报案称,该公司网站被他人利用木马程序进行攻击,非法获取网站大量的注册用户名和密码,并通过这些用户名和密码登录公司网站,发布非法招嫖、办证等信息3.7万余条,造成公司直接经济损失18万余元,且严重影响了公司的声誉。 

    详情链接: 北京青年报

    http://epaper.ynet.com/html/2018-12/18/content_314015.htm?div=-1

4、网赚APP产业链调研报告

    网赚行业指的就是利用电脑、手机、服务器等设备,足不出户、通过Internet(因特网)从网络上获利的赚钱方式。伴随移动互联网高速发展、成熟,移动端涌现大量网赚平台,各大网赚平台构建推广渠道,通过现金激励等手段汇集大量用户,鼓励用户观看、点击广告、试玩游戏、电商购物等,为广告主带来大量新用户,实现三方互赢;网赚群体也大量涌入各大网赚平台,网赚给流量广告、产品销售等带来便利的同时,大量网赚群体通过使用脚本、群控设备等刷量工具进行薅羊毛,赚取更多的推广费用,同时这些刷量行为也会导致网赚平台推广渠道质量下降。

    详情链接:FreeBuf

    https://www.freebuf.com/articles/paper/192078.html

二、工业安全

1、ABB PLC网关爆严重漏洞,且产品已过维护期

    安全专家发现瑞士工业技术公司ABB生产的某些网关受潜在严重漏洞影响,而坏消息是,由于受影响产品已超过使用期限,供应商将不会发布固件更新。

    详情链接: secrss

    https://www.secrss.com/articles/7249

2、西门子SINUMERIK产品曝多个漏洞,允许黑客执行DOS攻击和任意代码

    西门子告知用户,其SINUMERIK数控系统被安全研究人员确认受到10个安全漏洞的影响,包括拒绝服务(DOS)、特权提升和代码执行漏洞。其中,有四个漏洞的安全风险等级均被评定为“Critcial(紧急)”。

    详情链接:hackeye

    https://www.hackeye.net/securityevent/17922.aspx

三、安全事件

1、伊朗相关黑客利用网络钓鱼攻击活动人士和美国官员

    据外媒报道,根据伦敦网络安全竞购Certfa最新公布的一份报告显示,与伊朗政府相关的黑客将实施了制裁的他国官员、活动人士和记者作为其网络钓鱼黑客攻击目标。获悉,目标包括了原子科学家、美国财政部官员以及今年被美国总统特朗普撤销的伊朗核协议的支持者和批评者。报道称,该黑客行动在很大程序上主要依赖于诱骗邮箱用户交出他们电子邮件的用户名和密码。不过像Yubikey等这样的物理令牌有助于防止此类黑客攻击,因为当登录重要邮箱账号时设备必须在场才行。

    目前还不清楚究竟有多少受害人落入了这个网络钓鱼的全套,而这些黑客之所以被发现看来是因为他们犯了一个基础错误。据称,他们在网上留下了一个不安全的信息,研究人员正是通过这个找到了他们并从中获取了钓鱼活动的细节信息。

    详情链接:cnbeta

    https://www.cnbeta.com/articles/tech/798487.htm

2、利用网银APP漏洞非法获利超2800万,6人被刑拘

    近日,上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙。

2018年11月26日,松江区某银行工作人员向警方报案称,该行所属的一个账户发生多笔异常交易,造成银行巨额经济损失。

    12月6日,经周密部署,警方在多地同步撒网,成功将涉案的主要犯罪嫌疑人马某以及另3名犯罪嫌疑人一举抓获,并当场查获了5套作案工具、现金200余万元,以及大量豪车、名表、奢侈品。

    据警方初步查证,马某利用“黑客”技术,长期在网上寻找全国各家银行、金融机构的安全漏洞。今年5月,他发现某银行APP软件中的质押贷款业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,借此获得质押贷款,累计非法获利2800余万元。为了在套现过程中躲避侦查和监管,马某将非法获利的账户存款余额,在某网络直播平台上全部购成点数卡,再折价卖给其他用户。

    经进一步侦查,警方还循线抓获了非法出售个人身份信息和银行储户信息的方某某以及倒卖此类信息的邓某某,并对其他倒卖个人信息的犯罪嫌疑人进行布控。目前,警方已将马某、方某某、邓某某等6名犯罪嫌疑人依法刑事拘留,并敦促涉案银行完成了安全漏洞的修复,案件正在进一步侦查中。

    详情链接:网易新闻

    https://c.m.163.com/news/a/E381PSSO0001875P.html?spss=wap_refluxdl_2018

3、一场精心策划的针对驱动人生公司的定向攻击活动分析

    2018年12月14日下午,腾讯安全御见威胁情报中心监测到一款通过“驱动人生”系列软件升级通道传播的木马突然爆发,仅2个小时受攻击用户就高达10万。该病毒会通过云控下发恶意代码,包括收集用户信息、挖矿等,同时利用“永恒之蓝”高危漏洞进行扩散。腾讯御见威胁情报中心立即对该病毒疫情对外通报,并发布详细的技术分析报告。

    详情链接: FreeBuf

    https://www.freebuf.com/articles/system/192194.html

4、商业公司以制作病毒为主业,已有数十万台电脑被感染

    日前,火绒安全团队发现某商业公司制作的流量劫持病毒”FakeExtent”(产品名为”天馨气象”),正通过”WIN7之家”等下载站中的多款激活工具大范围传播。该病毒入侵电脑后,会释放多个恶意插件,篡改系统配置、劫持流量。 通过”火绒威胁情报系统”监测和评估,已有数十万台电脑被该病毒感染。 目前,国内外安全软件仅对该病毒进行查杀,并不查杀该病毒植入的某些恶意插件,这导致被感染用户在主病毒被杀之后,依然面临被攻击的风险。2015年,360安全团队曾曝光过该病毒团伙,之后该团伙有所收敛,最近他们重出江湖,并利用激活工具传播病毒。

    火绒工程师分析发现,病毒作者将病毒”FakeExtent”植入到 “KMSTools”、”暴风激活工具V17.0″等软件激活工具中,并上传到 “WIN7之家”等下载站中,用户一旦下载并运行上述软件,该病毒就会感染电脑,向用户浏览器中安装名为”天馨气象”和”星驰天气助手”病毒插件。并向IE浏览器中添加BHO插件。上述恶意插件进入用户电脑后,将会劫持浏览器流量、网页广告弹窗以及将下载的安装包替换为病毒作者提供的渠道包,然后挂上和上游公司分成的计费名,以和其分成。

    详情链接:火绒

    https://www.huorong.cn/info/1545225938178.html

四、漏洞事件

1、SQLite被曝存在漏洞,所有Chromium浏览器受影响

    SQLite被曝存在一个影响数千应用的漏洞,受害应用包括所有基于 Chromium 的浏览器。该漏洞由腾讯 Blade 安全团队发现,允许攻击者在受害者的计算机上运行恶意代码,并在危险较小的情况下泄漏程序内存或导致程序崩溃。

    由于SQLite嵌入在数千个应用程序中,因此该漏洞会影响各种软件,包括物联网设备、桌面软件、Web浏览器、Android与iOS应用。如果底层浏览器支持 SQLite 和 Web SQL API,那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。

    Chromium浏览器引擎支持此API,这意味着像Chrome、Vivaldi、Opera和Brave等浏览器都会受到影响,而Firefox和Edge由于不支持此 API,因此不受影响。腾讯Blade 研究人员表示,他们在今年秋季早些时候向SQLite团队报告了此问题,对方针对SQLite 3.26.0进行了修复。Chrome 71已经解决了该问题,但是Opera的Chromium版本还没有更新,可能仍旧会受到影响。另一方面,虽然Firefox不支持Web SQL API,不会受到远程利用攻击,但是其自带了一个本地可访问的SQLite ,这意味着本地攻击者可能利用此漏洞来执行代码。

    详情链接:thehackernews

    https://thehackernews.com/2018/12/sqlite-vulnerability.html

2、新型恶意软件可从 Twitter 表情包隐藏的代码中获取指令

    安全研究人员近期发现了一种新型恶意软件,可以从 Twitter 表情包隐藏的代码中获取指令。这个恶意软件跟大多数原始的远程访问特洛伊木马(RAT)一样,会暗中感染存在漏洞的计算机,对屏幕进行截图并从受感染的系统中盗取其他数据,并发回到恶意软件的命令和控制服务器。这个恶意软件把 Twitter 用作与其控制中枢进行通信的渠道。木后攻击者推送的推文中使用隐写术在表情包图像中隐藏了“/print”指令,让恶意软件截取受感染计算机的屏幕图像。然后,恶意软件会从发布在 Pastebin 的一则帖子中获取命令和控制服务器所在的地址,把屏幕截图发送过去。研究人员还表示,发布到 Twitter 的表情包中可能包含了其他指令,比如获取当前运行应用和进程列表的“/processos”,盗取用户剪贴板内容的“/clip”,以及从特定文件夹检索文件名的“/docs”。目前,恶意攻击者所使用的 Twitter 账户已经遭到 Twitter 永久冻结。

    详情链接:securityaffairs

    https://securityaffairs.co/wordpress/78991/malware/malware-twitter-memes.html

3、华硕、技嘉多款硬件驱动被爆代码执行漏洞

    华硕和技嘉科技公司的四款硬件驱动程序中被曝存在多个漏洞,可被攻击者用于获取更高的系统权限并执行任意代码。总体而言,共有5款软件产品受7个漏洞的影响,研究人员已为每个漏洞编写 PoC 代码,其中很多漏洞可能尚未被修复。其中两款易受攻击的驱动是由华硕 Aura Sync 软件(v1.07.22 及更早版本)安装的,其中包含的权限可被用于执行本地代码。

    技嘉 (GIGABYTE) 公司的驱动器是和技嘉主板和显卡、以及该公司的子公司AORUS 发布的。这些漏洞导致通过软件如 GIGABYTE App Center (v1.05.21及以下版本)、AORUS Graphics Engine(v1.33及以下版本)、XTREME Engine 工具(v1.25 及更早版本)以及 OC Guru II (v2.08) 提升权限。 

    详情链接:bleepingcomputer

    https://www.bleepingcomputer.com/news/security/asus-gigabyte-drivers-contain-code-execution-vulnerabilities-pocs-galore/

五、安全峰会

1、安全行业峰会日程预报

    北京六方云科技有限公司,是一家致力于工业互联网安全产品和解决方案提供商。聚集了一大批来自于工业控制、云计算、网络安全、大数据挖掘、人工智能等领域的优秀专家和工程师,为中国网络空间安全保驾护航。