5th域安全微讯早报【20240805】187期

2024-08-05 星期一Vol-2024-187

今日热点导读

1. 巴基斯坦推行互联网防火墙引发言论自由担忧

2. 阿根廷启动AI犯罪预测器引发争议

3. 美国环保署需加强水务部门网络安全

4. 以色列黑客团体攻击致伊朗互联网中断

5. SEMO携手IBM升级网络指挥中心，打造实战训练平台

6. 美国DARPA启动TRACTOR计划：利用AI将C代码转换为Rust

7. RailTel与Cylus合作提升印度铁路网络安全

8. HitconCTF 2024挑战中的堆利用技术解析

9. 新型Android RAT BingoMod 利用辅助服务盗取资金并擦除数据

10. 美国太空军组织变革，加速太空领域现代化

资讯详情

政策法规

1. 巴基斯坦推行互联网防火墙引发言论自由担忧

巴基斯坦信息和电信部长沙扎·法蒂玛·卡瓦贾宣布政府正引入新的互联网监管系统，称其目的是“改善网络安全”，不会限制言论自由。政府此举是为应对日益频繁的网络攻击，已在最新预算中为数字基础设施计划拨款超7000万美元。然而，批评者和数字权利活动人士担心防火墙将被用来压制异议。尽管巴基斯坦当局多次暗示可能引入审查工具，但一直未发表正式声明。看守总理安瓦尔·哈克·卡卡尔和信息和广播部长阿塔拉·塔拉尔均强调防火墙仅用于网络和数据安全。近期，巴基斯坦媒体报道称，WhatsApp消息发送问题可能是防火墙测试所致。独立电信管理局则未对此发表评论。今年，Monitor NetBlocks已记录了5起互联网限制事件，多数发生在2月选举期间。

来源：https://www.securitylab.ru/news/550762.php

2. 阿根廷启动AI犯罪预测器引发争议

阿根廷总统哈维尔·麦利政府宣布成立人工智能小组，使用统计软件预测犯罪，该小组隶属于网络犯罪和网络事务局。该小组将监控公共互联网和暗网，实时分析闭路电视图像和视频，并通过机器学习算法分析历史数据以预防犯罪。这一措施让人联想到菲利普·K·迪克的《少数派报告》，其中人们因未犯之罪受到迫害。尽管存在争议，阿根廷安全部强调，美国、中国等国家已在安全领域应用AI。然而，预测性警务的准确性受到质疑，普兰菲尔德警方2018年的犯罪预测成功率极低。与此同时，芝加哥大学研究人员开发的算法预测犯罪现场的准确率高达90%。布宜诺斯艾利斯市检察官办公室开发的预测AI系统Prometea也被认为是成功的，能在极短时间内以高准确率预测法庭案件的解决。

来源：https://www.securitylab.ru/news/550773.php

3. 美国环保署需加强水务部门网络安全

美国政府问责局（GAO）在最新报告中指出，美国环境保护署（EPA）需强化水务部门的网络安全战略，以应对日益严峻的网络安全威胁。水务行业包含约17万个供水和污水处理系统，这些系统面临网络攻击的风险，可能严重破坏公共健康和环境。报告提到，2023年伊朗相关黑客攻击了匹兹堡附近的供水系统，中国支持的黑客也试图入侵饮用水系统。尽管存在这些风险，水务部门的网络安全措施仍然分散且被动，许多公司还在使用过时技术，网络安全投资常被监管要求所掩盖。GAO报告强调，EPA依赖自愿合作的方法不足以应对当前威胁，需要进行全面风险评估和制定风险知情战略。GAO建议EPA采取果断措施，包括制定国家网络安全战略，评估并可能寻求额外的执行权力，确保水务系统遵守最佳网络防护做法。

来源：https://thecyberexpress.com/water-sector-cybersecurity-measures/

安全事件

4. 以色列黑客团体攻击致伊朗互联网中断

2024年8月3日，以色列黑客团体WeRedEvils宣布对伊朗互联网中断事件负责。该团体自2023年10月以来活跃，可能是对哈马斯袭击以色列及加沙战争的回应。WeRedEvils在Telegram上表示，他们成功入侵了伊朗的计算机系统，窃取数据并导致互联网故障。作为证据，他们指出伊朗多个政府网站无法访问，包括信息和通信技术部网站。虽然WeRedEvils声称已将窃取的信息交给以色列政府，但目前尚不清楚他们对中断事件的实际影响程度。此前，该团体在2023年10月曾攻击伊朗电网并导致其停电两小时。由于伊朗对此类事件的信息封闭性，外界难以确切判断此次攻击的全面影响。值得注意的是，WeRedEvils在以色列也引起了关注，以色列安全局在2024年6月逮捕了几名涉嫌间谍活动的团体成员。

来源：https://www.securitylab.ru/news/550774.php

5. SEMO携手IBM升级网络指挥中心，打造实战训练平台

东南密苏里州立大学（SEMO）与IBM合作，即将完成其网络指挥中心的升级，成为全球十个计划建设的中心之一，且是密西西比河以西首个能模拟实弹攻击的中心。该中心将配备沉浸式显示墙和27个计算机站，支持学生进行实战化的网络安全训练。IBM将提供1500个软件程序，结合亚马逊网络服务，为学生提供模拟超级计算机的资源。SEMO网络安全研究所主席Mario Garcia表示，该中心将面向更广泛的群体，包括当地CEO和IT工作者，以提升网络安全专业知识。项目总成本250万美元，预计10月中旬启用，将对社区网络安全教育产生深远影响。

来源：https://www.semissourian.com/story/3048810.html

6. 美国DARPA启动TRACTOR计划：利用AI将C代码转换为Rust

美国国防高级研究计划局（DARPA）近日宣布了一项名为TRACTOR的新计划，即TRanslating All C TO Rust，旨在使用先进的人工智能（AI）技术将传统的C代码转换为更安全的Rust编程语言。此举是为了解决软件开发中一个紧迫的问题：内存安全。C语言存在的内存安全问题，如缓冲区溢出，是造成软件系统关键漏洞的臭名昭著的原因。通过将C代码转换为设计上能防止这类漏洞的Rust语言，DARPA希望显著增强软件应用的安全性。该计划将利用机器学习的最新进展，包括大型语言模型（LLMs），以自动化转换过程，使大规模代码库的更新变得可行。DARPA的目标不仅是自动化代码转换，而且要达到熟练开发者手动编写的Rust代码的高质量和风格。此外，TRACTOR计划将结合软件分析方法，包括静态和动态分析，并举办公开竞赛来展示和测试这些创新技术。

来源：https://thecyberexpress.com/darpas-tractor/

7. RailTel与Cylus合作提升印度铁路网络安全

印度铁路的重要举措：RailTel与Cylus达成战略合作，全面提升印度铁路的网络安全。作为印度铁路的电信和信息通信技术解决方案提供商，RailTel将整合Cylus的先进技术CylusOne，专注于保护铁路信号和控制系统，确保铁路网络的平稳运行。该合作旨在引入Cylus的高级网络防御解决方案，增强铁路和公共交通领域的网络安全。合作目标：强化铁路信号、轨旁操作、车载系统和SCADA网络的安全性。

技术整合：RailTel将CylusOne技术整合进现有系统，重点保护信号和控制系统。培训计划：Cylus将与RailTel的数字服务合作伙伴Rail Edutech Pvt Ltd合作，提供专业的网络安全培训计划，提高铁路人员的网络安全能力。战略意义：此合作标志着印度铁路网络安全领域的重大进展，通过Cylus的专业技术和解决方案，RailTel将大幅提升铁路基础设施的安全性和弹性。

来源：https://thecyberexpress.com/cybersecurity-in-indian-railway/

新兴技术

8. HitconCTF 2024挑战中的堆利用技术解析

在HitconCTF 2024的“setjmp”挑战中，堆利用技术因其复杂性和高影响力备受关注。该挑战涉及GLIBC 2.31系统，通过scanf()触发大内存分配获取libc指针泄漏。利用GLIBC的malloc内部原理和堆管理中的bin类型，如fast bins和tcache bins，进行堆操作。挑战利用了Use After Free（UAF）和Double-Free漏洞。UAF通过释放后的用户引用操控内存结构，Double-Free则涉及同一块内存的两次释放，允许高级内存操作。攻击者通过UAF绕过tcache的双重释放检测，控制内存，通过覆盖__free_hook为system()地址，实现任意命令执行，如创建名为/bin/sh的用户并释放，触发__free_hook执行shell命令。关键步骤包括通过删除用户读取已释放的块内容实现堆泄漏，通过scanf()强制大块进入未排序bin揭示libc基地址。最终，通过覆盖__free_hook为system()地址，实现任意命令执行，展示复杂的堆利用技术。

来源：https://thecyberexpress.com/heap-exploitation-techniques/

恶意软件

9. 新型Android RAT BingoMod 利用辅助服务盗取资金并擦除数据

安全研究人员发现了一种新的Android远程访问工具（RAT），名为“BingoMod”。该恶意软件通常伪装成流行的安全工具，利用Android辅助服务（Accessibility Services）进行恶意活动。BingoMod通过伪装请求来获取敏感信息，如凭证、短信和账户余额，进而发起未经授权的资金转移（On-Device Fraud，ODF），绕过传统的银行安全措施。BingoMod的核心功能包括远程控制感染设备、执行欺诈交易、发送虚假通知钓鱼、以及从受感染设备发送短信以进一步传播恶意软件。为维持持久性，该恶意软件限制系统设置访问，阻止特定应用，并能够远程擦除设备存储以掩盖活动痕迹。BingoMod通过socket和HTTP两个通道与指挥控制基础设施（C2）进行通信，支持大约40种远程控制功能。自发现以来，BingoMod通过代码混淆和字符串加密不断进化，以减少被检测的可能性。

来源：https://thecyberexpress.com/android-rat-bingomod-accessibility-services/

其他动态

10. 美国太空军组织变革，加速太空领域现代化

美国太空军正在进行重要的组织变革，由太空作战司令Chance Saltzman将军领导，目的是增强卫星运营商和太空作战前线人员的影响力，并掌握前沿发展。变革主要包括建立综合任务三角洲部队（IMD）和成立太空未来司令部。IMD通过整合特定任务领域的部队与项目办公室，打破传统孤岛，实现更精简的指挥结构。Saltzman将军强调，这些变革对于应对新兴威胁、验证新概念至关重要。太空系统司令部的约瑟夫·罗斯上校指出，组织策略的调整将促进技术快速整合和新功能的部署，体现自下而上的决策方式，与军事采购中的自上而下决策形成对比。太空未来司令部的成立将帮助识别新威胁、提供未来能力发展的见解，预计将整合太空部队现有职能，由三个中心组成：太空作战分析中心、概念和技术中心和作战演习中心。

来源：https://spacenews.com/on-national-security-space-force-reshapes-for-new-era-competition/

往期推荐