CNTIC周报 第五十六期

安全要闻

全球第二大暗网黑市被查封，暗网市场面临洗牌

5月3日，华尔街市场(简称WSM)全球第二大暗网黑市也走上了被查封的老路：三名网站管理者被抓，网站被关停。一时间满城风雨，议论纷纷。

华尔街市场像 eBay 和亚马逊这类传统电商一样运营，只不过它的存在是为了贩运禁品。截止被查之前，华尔街市场还是最繁华的非法商品市场。它拥有超过 115 万个用户，大约5400个供应商和数万个可供购买的商品。从产品列表里可以查看产品分类：包括毒品（1105）、仿制品（72）、服务（53）、恶意软件（77）、欺诈（215）、数字商品（217）、指南和教程（591）。

三位管理员被捕过程：Lousee主要通过隐匿的VPN来访问WSM服务器。某次VPN 连接突然中断，身为管理员的他继续访问该服务器，暴露了其真实IP地址；Kalla 是因为使用了被监控的代理服务器被发现的，尽管其VPN正常使用，警方通过代理服务器元数据找到了证据；第三个管理员Frost被捕，是由于他的加密货币帐户公钥的泄漏。

随着各国打击暗网黑市的力度不断加大，暗网上的非法交易空间正在被逐步压缩。但是暗网并没有就此消亡，在暗网的网站导引目录上，我们又能看到更新的暗网市场排名。

谷歌强调用户隐私：尽可能把数据留在手机本地

2019年谷歌I/O开发者大会在5月9日开幕。会上，谷歌强调了用户隐私问题，在设置中添加了更多隐私选项，还上线了地图应用的隐身模式。

谷歌在AI上进行了许多研究，比如如何识别人们的肤色。相应的，机器学习也涉及到了用户隐私问题。皮查伊强调了隐私的重要性，他表示谷歌会在这方面持续改进。比如上传照片后，你可以选择隐私设置，控制自己的信息是否保留在云上，甚至是选择保留多少天。隐身模式也从浏览器上扩展的Map App中，以保证用户的行程不会泄露。

通过这样的方式谷歌能够每天保护40亿设备，防止钓鱼袭击。谷歌表示，它们会尽量将数据存在手机本地，而不是上传到云上。在本地进行机器学习显然更有利于保护用户隐私。

间谍组织在Shadow Brokers泄密之前就使用方程式组织的工具

有研究人员发现，早在2016年3月的一次网络攻击活动中，黑客组织Buckeye就曾使用方程式组织的攻击工具，利用漏洞获取目标组织的永久访问权。

这个攻击工具利用了两个Windows漏洞来在目标设备上实现远程内核代码执行。其中一个漏洞是一个Windows 0day漏洞（CVE-2019-0703），该漏洞由赛门铁克发现。另一个漏洞同样是一个Windows漏洞（CVE-2017-0143），这个漏洞在2017年被微软修复。此事发生在Shadow Brokers（影子经纪人）泄密事件的前一年，但在2017年Buckeye消失后，相关漏洞利用代码以及攻击工具在2018年底之前仍在被人使用。

威胁分析报告

Microsoft Edge和IE浏览器同源策略绕过漏洞分析

最近爆出了IE浏览器和Edge浏览器跨域获取敏感信息的漏洞（绕过同源策略），不过并未被微软承认，天融信阿尔法实验室进行了一系列深度测试，通过在本地搭建环境重新复现了漏洞并多番修改poc进行了不同的测试。从测试情况来看，漏洞危害性还是很大的，但是网页刷新的功能会被用户所察觉。但还是在补丁未修补之前，不要使用IE和Edge浏览器浏览网页和点击不明链接。

Uber服务端响应中的API调用缺陷导致的账户劫持

香港白帽Ron Chan发现了一个关于Uber网站的漏洞。微服务英文名称Microservice，Microservice架构模式就是将整个Web应用组织为一系列小的Web服务。这些小的Web服务可以独立地编译及部署，并通过各自暴露的API接口相互通讯。它们彼此相互协作，作为一个整体为用户提供功能，也可以独立地进行修改和扩容。通过分析Uber的微服务架构中的API调用机制，利用其中的服务端响应缺陷，能以SSRF和目录遍历（PAth Traversal）方式获取到服务端为用户分配的token信息，从而实现对用户的账户劫持。

Muhstik僵尸网络利用WebLogic漏洞传播

2019年4月28日，Unit 42发现了Linux僵尸网络Muhstik的一个新变种。这个新版本利用最新的WebLogic服务器漏洞(CVE-2019-2725)，在具有漏洞的系统上进行安装。Oracle已于2019年4月26日发布了该漏洞的紧急补丁。从时间轴上可以看到Muhstik的开发人员积极地监视新的Linux服务漏洞漏洞，并立即采取行动防止这些漏洞攻击利用到僵尸网络中。自2018年3月以来，Muhstik僵尸网络一直活跃着，具有蠕虫般的自我传播能力，可以感染Linux服务器和物联网设备。感染之后，它通常会启动加密货币挖掘软件和DDoS攻击来为攻击者赚钱。Muhstik利用多种漏洞感染了不同的Linux服务，包括WebLogic、WordPress和Drupal。Muhstik之前采用了一个更早的WebLogic漏洞漏洞攻击(CVE-2017-10271)，该漏洞添加到工具包中会增加其可以感染的系统的数量。

更多Sierra AirLink受之前披露的关键漏洞影响

4月底，Cisco Talos group的专家披露了Sierra Wireless AirLink  gateways和路由器的十几个漏洞，其中包括几个严重缺陷。Sierra Wireless AirLink  gateways和路由器广泛应用于企业环境中，用于连接工业设备、智能设备、传感器、销售点(PoS)系统和工业控制系统(ICSs)。专家发现了三个被归类为critical (CVSS score  9.9)的漏洞，攻击者可以利用这些漏洞修改任何系统设置并执行任意命令和代码。经过身份验证的攻击者可以通过向目标设备发送经过特殊设计的HTTP请求来利用该漏洞。根据ICS CERT发布的报告称，Cisco修补了7个漏洞，其中2个被评为关键漏洞，5个被评为中度漏洞。

会议政策赛事

日本将开发恶意软件，以抵御网络攻击

据外媒报道，日本将研制计算机病毒来抵御网络攻击，研发工作将于明年3月完成。

日本政府的目标是提高其网络防御能力，准备好面对来自网络空间的威胁。日本希望填补在网络空间上与先进国家相比的不足，并计划进行重要投资以按计划达到目标。日本共同社网站上写道，政府表示，随着近年来科技的进步，日本正增强其在地面、海洋和空中以外的防御能力，以应对网络空间和外层空间等新领域安全挑战。在应对网络攻击威胁方面，日本落后于其他国家。日本计划将网络部门人员数量从150人增加到220人，而美国有6200人，朝鲜有7000人。

网络空间没有边界，恶意代码失控、威胁外国主权的风险是真实存在的。据知情人士透露，计算机病毒将由私人公司开发，不会用于先发制人的攻击或主动防御，政府只允许对国家或相当于国家的组织进行网络攻击。

电磁脉冲和地磁扰动应纳入业务连续性和灾难恢复计划

白宫今年3月发布了一项关于协调国家抗电磁脉冲能力的行政命令。该命令描述为将电磁脉冲(GMD)的带来影响降至最低，美国国防部(DoD)、商务部和国土安全部等机构应采取的措施。

GMD事件和太阳耀斑有关，它会像1859年卡灵顿事件破坏电报基础设施一样，影响到电网和其他电子设备。由于地球磁场的工作方式，北半球接近地磁北极和南半球接近地磁南极的地方更容易受到太阳耀斑的影响。在北美，加拿大的能源电网系统在处理影响电网的空间天气事件方面拥有最丰富的经验。由于1989年的停电事件，北美的能源网供应商们开始共同研究，如何更好应对未来可能发生的停电。根据弗吉尼亚电力公司电力传输主管戴Dave Roop说法，北美的能源网络已经为GMD事件做好了充分准备，能够应对比1989年太阳耀斑更强的GMD事件，甚至可比卡灵顿事件还要糟糕的情况。

EMP武器，广泛认为被美国和其他核武器国家持有，是一种被设计为能在大城市上空引爆的小型核武器。在爆炸范围内的所有电子设备都会遭到破坏——包括能源网，手机，电脑和现代车辆等等。目前有些被过分夸大的威胁是朝鲜可能发射一枚搭载EMP载荷的洲际弹道导弹(ICBM)，并在旧金山上空引爆。而这样的攻击肯定会造成两败俱伤，平壤在变成一片玻璃废墟的同时，美国硅谷的大部分地区都将受到破坏以及美国信息经济也将受到长达数月的冲击，因为人们必须更换每一个受到影响的电子设备。

尽管风险较低，但白宫今年3月发布了一项关于协调国家抗电磁脉冲能力的行政命令。

前沿技术

美国研究人员研发出“最强防御”的计算机处理器架构

据外媒报道，美国密歇根大学(University of Michigan)开发了一种新的计算机处理器架构，它可以帮助计算机主动防御威胁。该处理器名为MORPHEUS，通过每秒20次加密和随机重组关键代码和数据来阻止潜在的攻击，其速度比最快的电子黑客技术还要快数千倍。

该系统的开发者、密歇根大学计算机科学与工程学教授Todd Austin表示，使用MORPHEUS后，即使黑客发现了漏洞，相关信息也会在50毫秒后消失。这可能是最接近未来安全系统的东西。MORPHEUS没有使用软件来修补已知的代码漏洞，而是将安全性融入了硬件，通过不断随机化关键程序，使得黑客几乎无法锁定或利用漏洞。

处理器速率可以调整，以便在安全性和资源消耗之间达到适当的平衡。演示处理器的速率为每50毫秒一次，比最快的电子黑客技术还要快几千倍，但性能只降低了1%左右。据悉，该处理器还有一个攻击检测器，可查找潜在的威胁，并在感知到即将到来的攻击时提高速率。

Austin和他的同事对由美国国防高级研究计划局（DARPA）提供的原型处理器进行了展示，它成功地抵御了所有已知的控制流攻击。

这是继2018年美国开发出世界上第一台百万兆级的计算机——Summit之后，美国研究人员在计算机硬件上的又一项突破。

卫星安全研究基础知识与攻击技术

卫星黑客很多人感觉很酷，电视的媒体会报道一些有关火箭、卫星方面的东西，在我们的印象中，卫星属于人类的高科技。那么从黑客角度出发，入侵卫星就成了很多人梦寐以求甚至仰望、崇拜的地位，这个是情有可原。但卫星安全问题真的不像有的人吹嘘的那么容易，目前国内这个领域还算是空白。

卫星由于在地球的大气层外，无法受到大气层的保护，卫星的温差非常大，面向阳光的一面能达到100多摄氏度，而背向阳光的一面又可达零下100多摄氏度，温差可达200多度。还有来自外太空的电磁辐射等许多因素，导致了很多普通的电子原件是无法在卫星上正常工作的。卫星在太空上，电的来源只能依靠太阳能，但是卫星上的太阳能发电板跟我们日常使用的可大不一样，由于航天发射需要大量的成本，所以卫星在设计的时候需要考虑重量和性能等因素来取一个折中的方案，就需要发电效率更高的太阳能电池板。

由于卫星系统跟普通计算机系统的区别，所以卫星的主要安全体现在通信上。卫星跟地面的通信方式都采用的是无线电通信，现在出现了激光、量子通信等技术，本质都是不变的。卫星通信受到的常见攻击一般分为两类：一类为被动攻击，一类为主动攻击。因为卫星的特殊性，发射到天上后无法对其进行维护和改造，应尽量朝着软件定义卫星的方向发展，这样对日后出现的一些协议漏洞能得到有效的修补和控制。而卫星服务商应从根本上应做好卫星通信的信道加密，用户鉴权等基本工作，保障用户通信数据的保密性和完整性。