CNTIC周报 第五十三期

CNTIC周报本期主办：中科院信工所第六研究室2019年第5期 / 总第53期（2019年3月25日～ 2019年3月31日）安全要闻黑客劫持了华硕软件更新服务器，在数千台电脑上安装后门网络安全公司Kaspersky表示，去年在攻击者破坏了Asus华硕实时软件更新工具的服务器之后，作为世界上最大电脑制造商之一的华硕无意中在其数千台客户电脑上安装了恶意后门。Kaspersky表示，恶意文件使用了合法的华硕数字证书，使其看起来像是该公司真正的软件更新。去年在被发现之前，至少已经向客户推送后门五个月时间。研究人员估计有50万台Windows电脑通过华硕更新服务器接收了恶意后门，尽管攻击者似乎只利用了其中大约600台电脑。恶意软件通过其唯一的MAC地址搜索目标系统，恶意软件会联系到攻击者操作的命令和控制服务器，然后在这些电脑上安装其他恶意软件。Kaspersky表示，他们在一月份发现了这一攻击，因为他们在扫描工具中添加了一种新的供应链检测技术，可以捕捉隐藏在合法代码中的异常代码片段，或者捕捉在电脑上劫持正常操作的代码。该公司计划下个月在新加坡举行的安全分析师峰会上发布一份关于华硕这次攻击的完整技术文件和演示文稿，并将这种攻击取名为“ShadowHammer”。Magecart 黑客攻击电商网站 My Pillow 和 Amerisleep据外媒The Hacker News报道，网络安全研究人员今天披露了两个新发现的 Magecart 攻击细节，针对床上用品零售商 MyPillow 和 Amerisleep 的在线用户。经过HSA的初步调查和对数据库日志的审查后，表明没有其他未经授权的人访问过该数据库。 HSA首席执行官Mimi Choong因安全漏洞而道歉，并表示正在加紧对供应商的检查和监控。Magecart 是安全研究人员对至少 11 个不同黑客组织的总称，这些组织专门在电商网站上植入恶意软件代码，悄悄窃取客户的支付信息。在 RiskIQ 的报告中，研究人员揭示了两个新的与 Magecart 相关的攻击，影响了在线床上用品零售商 MyPillow 和 Amerisleep，与之前的攻击一样，在目标网站上找到注入点后，黑客植入了恶意代码并设法在客户交易时窃取支付信息。新加坡再次出现据泄露事件，政府职员邮箱密码在暗网出售据外媒报道，黑客在网上公开了新加坡多家政府机构和教育机构员工的电子邮件登录信息，以及新加坡多家银行的1.9万多张被盗银行卡的详细信息。俄罗斯网络安全公司Group-IB 3月19日透露，在过去两年中，公司在暗网上发现了新加坡一些政府机构员工的邮件密码。去年，公司又发现了被盗的银行卡信息，价值超过60万美元。根据Group-IB发布的一份新闻稿，信息被盗的组织包括新加坡政府科技局（GovTech）、教育部、卫生部和新加坡警察部队，以及新加坡国立大学。发言人称，这些邮箱不是从政府系统泄露的，而是官员个人出于非官方的目的使用了政府电子邮箱。 威胁分析报告黑客在暗网销售六家公司的2642万条记录一位曾在过去一个月内出售超过8.4亿用户记录的黑客在暗网市场上进行第四轮用户数据销售。这一次，该黑客出售了六家公司的数据，用户数据总计2642万条，出售价格为1.2431比特币（约4,940美元）。黑客的名字是Gnosticplayers，迄今为止，他已经出售过三轮数据。这是他第四轮出售数据。他声称出售这些公司的数据是因为这些公司未能用类似bcrypt这样强大的加密算法来保护密码。疑似MuddyWater APT组织针对伊拉克移动运营商攻击活动分析近期，360威胁情报中心截获到一个针对伊拉克移动运营商（Korek Telecom）的定向攻击样本。该运营商是伊拉克发展最快的移动公司，服务于伊拉克的18个省份，为企业、政府和个人用户提供服务。攻击样本使用鱼叉式钓鱼邮件进行投递：诱导受害者打开附件Office Word文档，并启用恶意宏。恶意宏代码最终会释放执行PowerShell  后门，从而实现对受害者计算机的远程控制。360威胁情报中心经过溯源和关联后发现，该攻击活动疑似与MuddyWater APT组织相关，并溯源和分析了多个与之相关的恶意样本。MuddyWater APT组织可能来自伊朗，其相关活动可追溯到2017年初，其主要针对政府机构、通信和石油公司。2017年11月，Palo Alto在对多个攻击进行关联分析后，将该组织命名为MuddyWater。进入2018年后，其目标地区不再局限于伊朗和沙特，更是拓展到了亚洲、欧洲和非洲，目标性质也涵盖了军事实体、教育机构等。数亿Facebook用户密码以明文形式存储多年据称，在Facebook展开的内部调查中发现，有2亿到6亿笔Facebook用户密码竟然以明文方式存储，而有权限查看的Facebook员工则超过2万名。 虽然Facebook自称没有证据显示这些密码遭受恶意访问，但其风险显然不容小觑。Pwn2Own 2019 黑客竞赛首日：Mac 版 Safari 浏览器再曝两个零日漏洞近日第 19 届  CanSecWest 安全会议正在加拿大温哥华举行，同时我们迎来了一年一度的 Pwn2Own 黑客竞赛。安全研究人员 Amat Cama 与 Richard Zhu 携手，率先曝光了两个与 Mac 版 Safari 浏览器有关的零日漏洞。其成功地利用了整数堆栈溢出的暴力技术组合来逃离沙箱，获得了 5.5 万美元的奖金。当天晚些时候，又有三位黑客（Niklas Baumstark、Luca Todesco、以及 Bruno Keith）成功地借助内核提权，攻破了 Safari 浏览器。在 Pwn2Own 黑客竞赛的第一天，参与者们一共领走了 24 万美元的奖金。比赛期间发现的所有漏洞报告，都会提交给原公司，以便其对系统进行修补。 会议政策赛事美空军耗资3500万美元打造网络攻击武器3月20日，美国空军希望启动一项耗资3500万美元的新计划，称为网络部队基础工具（Cyber Mission Force Foundational Tools）项目，为美空军网络部队提供先进的网络战武器。美国空军文件指出：“通过相关活动，研究、开发、测试、评估、演示和部署先进网络技术，形成可操作的网络优势能力。这个项目将使作战指挥官能够在网络空间，操纵、破坏、拒绝、降级或摧毁目标计算机、信息系统和网络。”这些基础工具将被纳入空军的分布式网络战行动（Distributed Cyber Warfare Operations portfolio，DCWO）。DARPA和国家科学基金会将合作发展“实时机器学习”美国防高级研究项目局（DARPA）在其3月15日的一份跨部门通告（BAA）中指出，该机构将为其与美国家科学基金会（NSF）合作开展的“实时机器学习（Real-Time  Machine Learning，RTML）”项目提供1000万美元的资助，以促进对“可实时主动地理解和学习数据、使用其学到的知识来解决不熟悉问题、并在人类大脑搬能耗效率下运行的处理器”相关技术的研究。国防高级研究项目局期望通过该项目形成可利用人工智能来实时学习并适应新条件的轻量级小型低能耗系统，而实现这个目标将需要“从零开始”发展专为机器学习而设计的全新处理器、计算架构和算法。在“实时机器学习”项目中，美国家科学基金会将负责管理“开拓性研究（Pathfinding  research）”，而美国防高级研究项目局将研发可在“持续提供的数据流”中训练人工智能的工具和芯片。国防高级研究项目局负责的项目部分将分成两个分别为期18个月的研究阶段：第一阶段将研发“人不在回路”的硬件编译器，目标是实现从高级源代码中完全自动地生成针对机器学习的芯片设计，从而大幅降低当前专用集成电路开发过程中的高昂成本；第二阶段将以第一阶段的硬件编译器成果为基础，目标是针对尺寸、重量和供能受限的“高带宽无线通信系统”和“高带宽图像图像处理系统”这两个“实时机器学习”演示应用进行硬件优化支持。国家科学基金会负责的项目部分将是同期开展、为期36个月的研发环节，在此过程中，国防高级研究项目局和国家科学基金会两个机构各自选择的项目研究团队可互相使用对方的科研成果，以加速对“实时机器学习”新架构和芯片设计的研发进程。 前沿技术全球首次！微软实现信息全自动存进DNA用 DNA 来存储信息正在离我们越来越近。本周早些时候，微软宣布在概念验证测试中，微软已经演示了第一个全自动DNA数据存储系统。微软在利用 DNA 来取代数据中心的路途上，也向前迈进了一步。虽然该技术仍有改善的空间，但微软希望能借此证明 DNA 存储技术的进展。这个测试听上去挺简单的：来自微软和华盛顿大学(University of  Washington；UW)的研究人员在合成DNA上编码了“hello”这个单词，并通过全自动系统将这个单词转换成数字数据。现有的系统已经可以处理DNA 存储过程中的一些重要环节，但根据微软的声明，在实验室中，许多中间过程至今仍需要人工操作，而这次的全自动系统不需要，这也将是 DNA 存储技术从实验室走向商业数据中心的关键步骤。这些转换过程自动化，对实现合成DNA规模化存储来说至关重要。微软提到，“DNA可以将目前存储在仓库大小的数据中心的所有信息，存入大约几个游戏骰子大小的空间中。”但是，如何检索这些数据是一个依赖人工的耗时过程。这次实验中，“hello ”转译成 DNA 并成功进行读取共花了 21 个小时。近年来在电磁、光存储介质之外，业内不少公司已开始探索生物质硬盘，比如这次微软所使用的 DNA（脱氧核糖核酸）。此前，微软研究院透露，一个立方毫米的 DNA 能够存储一个 exabyte（十亿字节，也就是 0.9 GB）的数据，更重要的是，DNA 上面的信息能够保存一千到一万年。IoT异常检测：用数据预测非预期事件这几年来，数据科学技术在IoT和网络安全领域已经得到了成功的应用。比如说，机器学习在IoT领域的一个经典用例就是需求预测。今晚有多少顾客会光临餐厅？能卖出多少箱奶？明天的用电量是多少？提前知道这些数据可以进行更好的规划。数据科学有个特别的分支：异常发现。异常是什么？异常就是相当罕见，难以归入某一特定类型，难以预测。异常事件就是非预期事件，不能以当前所知加以分类。异常检测问题不会提供带已标记样例的经典训练集（出自正常系统的信号和出自类比系统的信号）。这种情况下，我们只能在仅有“正常”样例的训练集上训练机器学习模型，以原始信号和预测信号之间的偏差值来触发异常警报。IoT数据中，信号时序由特意部署在机械部件上或其周边的传感器产生。时序就是时间变量值序列。IoT环境中，这些变量描述物体的机械属性，由一个或多个传感器测量而得。这些机械部件通常运转良好。因此，正常状态下的样例很多，而故障情况下的样例却几近于零。关键部件上更是如此，因为位置太过重要，通常在出现故障时导致整个机器报废前就会被换掉。IoT世界中，一个重要课题就是在事发前预测机械故障发生的概率。如果能预测，我们就可以用足其整个生命周期而又不危及机械链的其他部分。预测机械故障可能迹象的工作，便被称为预测性维护异常检测。  原文始发于微信公众号（国家网络威胁情报共享开放平台）：CNTIC周报 第五十三期