CNTIC周报 第五十二期

CNTIC周报本期主办：中科院信工所第六研究室2019年第4期 / 总第52期（2019年1月21日～ 2019年1月27日）安全要闻拼多多出现大Bug：100无门槛券随便领 或损失超千万1月20日凌晨，拼多多平台出现“优惠券Bug”，有媒体报道称，专职羊毛党发现了这个Bug，使用该优惠券后，可实现用0.46元充值100元话费，且可以通过新账号的方式无限制领券。网上热议此次Bug造成拼多多200多亿元损失，直到20日上午9点，该优惠券的领取通道才被官方正式下架。拼多多当时对外声明称，1月20日晨，有黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利。针对此行为，平台已第一时间修复漏洞，并正对涉事订单进行溯源追踪。同时我们已向公安机关报案，并将积极配合相关部门对涉事黑灰产团伙予以打击。北京时间1月21日下午消息，拼多多今日发布声明称，黑灰产团伙所利用的“优惠券漏洞”盗取的相关优惠券，系拼多多此前与一档电视节目合作时需要特殊生成的优惠券类型。除此之外，此种类型优惠券，从未在任何时候、以任何方式出现在平台正常的线上促销活动当中。本次事件属于“套券诈骗”的网络诈骗案件。依据目前该事件相关统计及进展，拼多多方面预计，本次事件造成的最终实际资损大概率低于千万元。此外，期间广为流传的“数十万Q币”、“公关部多多哥”、“脉脉网鹿杖客”等相关截图，经查均系不实谣言。俄罗斯对Facebook和Twitter发起民事诉讼，违反数据法俄罗斯通信监管机构“联邦通信、信息技术与大众传媒监督局”(Roscomnadzor)今日宣布，已对Facebook和Twitter发起民事诉讼，原因是这两家公司未能履行俄罗斯的数据保护法。Roskomnadzor周一表示，根据俄罗斯的法规，企业需要将俄罗斯用户的个人数据存储在俄罗斯境内的服务器上。针对此要求，Facebook和Twitter给出了正式的答复。但它们并未具体说明目前的实际执行情况，也没有说明将在何时执行该要求。为此，Roskomnadzor于21日对这两家公司提起民事诉讼。对此，Twitter拒绝发表评论，而Facebook尚未发表评论。韩国国防部机密文件被盗据外媒报道，有黑客入侵了韩国一家政府机构的电脑系统，该机构负责韩国军方的武器和弹药采购。韩国政府表示，黑客入侵了30台电脑，并从10台电脑中窃取了数据。黑客攻击发生于2018年10月，被入侵的组织是韩国国防部下属的国防采购项目管理局。被盗文件包含了下一代战斗机的采购信息。黑客入侵了一个政府电脑上安装的安全程序服务器，获得了该软件服务器的管理员权限，并从连接该服务器的工作站窃取文档。去年11月，大韩民国国家情报院调查了这起网络攻击事件，并向政府报告了调查结果，政府本周向公众披露了这攻击事件。 威胁分析报告疑似DarkHydrus APT组织针对中东地区的定向攻击活动分析360威胁情报中心捕获到多个专门为阿拉伯语使用者设计的诱饵文档。钓鱼文档为携带恶意宏的Office Excel文档，恶意宏代码最终会释放执行一个C#编写的后门程序，该后门程序利用了复杂的DNS隧道技术与C2进行通信并执行指令，且通过GoogleDrive API实现文件的上传下载。360威胁情报中心经过溯源和关联后确认，这是DarkHydrus APT组织针对中东地区的又一次定向攻击行动。DarkHydrus APT组织是Palo Alto在2018年7月首次公开披露的针对中东地区政府机构进行定向攻击的APT团伙。色情勒索病毒和信息窃取木马的新套路ProofPoint的安全研究专家近期发现了一种新的网络诈骗活动，攻击者“勾引”用户下载攻击者录下的视频（视频中记录了用户的某些“特殊活动”）。这种新的诈骗策略杀伤力会更大，因为收件人第一反应会感到恐慌，然后他们就会去下载视频看看“对方”说的到底是不是真的。用户下载下来的是一个zip压缩文件，其中包含一个可执行文件，打开压缩文件后，瞬间感染了两种不同类型的恶意软件。感染的第一个恶意软件为AZORult，它的作用是收集目标主机中的信息，例如登录账号、cookie、聊天记录和其他文件等等。接下来，它还会安装GandCrab勒索软件，并对用户计算机中存储的数据进行加密。趋势科技：恶意应用程序伪装成合法工具分发Anubis恶意软件趋势科技最近在Google Play上发现了两款恶意软件，这两个应用程序被伪装成有用的工具，简单地命名为Currency Converter和BatterySaverMobi。这些应用程序释放了了一个恶意负载，其可以安全地链接到已知的银行恶意软件Anubis（趋势科技检测为ANDROIDOS_ANUBISDROPPER）。在分析有效载荷后，发现该代码与已知的Anubis样本非常相似。它还通过域名aserogeege.space连接到C＆C服务器，该域名也链接到Anubis。安全厂商拦截了利用BYOB开源框架的攻击活动以色列网络安全公司感知点(Perception Point)的事件响应团队拦截了一场利用open-source构建自己的僵尸网络(BYOB)框架的攻击。虽然这种攻击技术在APT中会受限制，但是由于攻击工具的即插即用性，在新手攻击者中更容易使用。BYOB框架实现了构建僵尸网络所需的所有模块，以此来改进网络安全防御。然而，防御所使用的东西也可能落入攻击者手中。随着这些黑客工具包的不断发展，任何攻击者都可以利用此框架进行本来不可能的攻击。根据电子邮件分析显示，受害者会收到一封带有HTML附件的电子邮件，其中包含模仿Office 365登录页面的钓鱼网站链接，以及自动将恶意软件下载到受害者电脑的脚本代码。 会议政策赛事亚马逊、苹果等知名互联网公司受到多起GDPR投诉根据外媒报道，专注于欧洲商业隐私问题的欧洲隐私执法非营利组织Noyb，已代表10个用户向奥地利数据保护局提交了10起GDPR投诉，针对8家在线流媒体公司违反第15条规定。根据GDPR的惩罚规则，这10项投诉的理论最高罚款可能达188亿欧元。在对八家公司“获得访问权”合规性进行测试后，noyb发现八家流媒体公司中没有一家完全符合规定，这些公司甚至都参与了欧盟数据保护立法的“结构性违规”。根据欧洲消费者组织的数据，在2018年11月，谷歌还受到了多个消费者群体的GDPR投诉,Acxiom、Oracle、Criteo、Quantcast、Tapad、Equifax和Experian也因收集了数百万用户的数据并创建了用户配置文件而遭到了用户权利组织Privacy  International的GDPR投诉。此外，Twitter也曾在8月因拒绝回复链接跟踪信息而遭到GDPR投诉。Pwn2Own黑客大会：攻陷特斯拉，30万美金带回家据外媒报道，将于今年3月在加拿大温哥华举行的Pwn2Own CanSecWest安全峰会的组织者已经决定让参赛的安全研究人员现场参与攻击特斯拉Model 3汽车。而参与这个项目的研究人员将能够赢得不同金额的奖金，从3.5万美元到30美元不等，具体取决于他们使用的漏洞和针对的汽车系统。Pwn2Own是目前全球最知名、奖金最丰厚的黑客大赛，由趋势科技（Trend Micro）的项目组ZDI（Zero Day Initiative）主办，谷歌、微软、苹果、Adobe等互联网和软件巨头都表示对该大赛的支持，以通过黑客攻击挑战来完善自身产品。根据ZDI项目组负责人Brian Gorenc的说法，凡是第一位在特斯拉Model 3上取得漏洞利用成功的安全研究人员，无论目标部件和方法如何，都将赢得一个全新的特斯拉Model 3模型。此次峰会的组织者将在现场安装一辆特斯拉Model 3汽车，以供研究人员进行攻击尝试。如果研究人员能够获取到任意汽车部件（如调制解调器、调谐器、WiFi、蓝牙、自动驾驶仪、网关或VCSEC系统）的代码执行权，就能够赢得奖励。在这里，成功的攻击指的是必须搭建起这些部件与流氓基站或其他恶意设备之间的通信信道。另外，如果研究人员能够在车载息娱乐系统（In-Vehicle  Infotainment，IVI）上实现代码执行并浏览恶意内容，他们也可以赢得奖品。 前沿技术从不信任，总是验证：8年前提出的零信任开始复兴零信任模型最初由佛瑞斯特研究所与美国国家标准与技术局(NIST)于2010年提出，并不是个新鲜概念。该模型摒弃了“信任但验证”的传统方法，将“从不信任，总是验证”作为其指导方针。零信任模型的基石有三：⑴确保所有资源安全访问，无论位置在哪儿；⑵应用最小权限策略，严格实施访问控制。零信任中所有用户默认不受信任；⑶检查并记录所有流量。即便流量来自局域网也被假定可疑，接受与来自广域网的流量同等的分析与记录待遇。零信任及其各项益处一直在发展进化中。如今，零信任被公司企业用于驱动策略性安全倡议，推动业务决策者和IT主管实现实用预防、检测及响应措施。零信任已从纯概念发展成了公司企业和政府机构逐渐采用的安全框架。IDG的2018安全重点调查显示，71%专注安全的IT决策者都注意到了零信任模型，已经有8%在自己的企业中积极采用这种模型，10%正在试用。零信任模型实现虽然无法一蹴而就，但也不需要像谷歌那样完全重设计已有网络架构。逐步改变当前基础设施即可。从技术角度出发，零信任框架由旨在保护网络、数据、工作负载、人员及设备的一系列组件构成，提供安全威胁可见性，自动化并编排修复动作，通过API互联。最终，零信任挑战并清除传统安全措施中固有的信任假设，堵死外部及内部攻击的入口。特权访问滥用是当今数据泄露头号原由的情况下，考虑踏上零信任模型之路的公司企业应从投资身份相关的技术起步。62亿台设备受影响  黑客无需点击就能破解你的WiFi根据Embedi安全研究专家Denis  Selianin22日披露的报告，Marvell Avastar 88W8897无线芯片组固件存在安全漏洞，导致全球数十亿台使用该芯片的笔记本、智能手机、游戏设备、路由器和物联网设备存在安全隐患。在报告中，Selianin描述了如何在不需要用户任何交互的情况下，利用88W8897无线芯片组上安装的ThreadX固件来执行恶意代码。ThreadX是一种实时操作系统（RTOS），已经作为数十亿台设备的固件。研究人员选择这款WiFi SoC（system-on-a-chip），是因为88W8897是目前市场上最受欢迎的WiFi芯片组之一，被广泛部署于PlayStation 4、Xbox One、微软Surface系列笔记本电脑、三星Chromebook系列、三星Galaxy J1手机和Valve SteamLink直播设备等等。Selianin表示：“我已经设法在该固件的部分代码中发现了4个内存损坏问题。发现的漏洞之一就是ThreadX块池溢出的特殊情况。在扫描可用网络时，无需用户交互即可触发此漏洞。”研究人员说，扫描新WiFi网络的固件功能每五分钟自动启动一次，这使得入侵变得非常简单。攻击者所要做的就是向任何使用Marvell Avastar WiFi芯片组的设备发送格式错误的WiFi数据包，等到该功能启动，执行恶意代码并接管设备。  原文始发于微信公众号（国家网络威胁情报共享开放平台）：CNTIC周报 第五十二期