木炭
2021年一经断绝了,COVID-19大流行赓续膨胀,当今是时代观看一下本年每个月发布的内容中劝诱了卓著100万的拜谒者的帖子,同期对一些热点趋势进行肤浅的追忆(通过稽察在Threatpost网站上阅读量最多的帖子)。
2020年一整年的内容确实都是围绕在家职责的安全、以COVID-19为主题的社会工程和游戏(系数这些都是由大流行第一年的社会变化鼓舞的),但2021年的要点发生了显然的转换。数据不安全、代码存储库坏心软件、主要的0day疏漏和新的敲诈软件战术占据了最常阅读的列表——这八成标明,跟着咱们职责姿首的“新常态”变得愈加安靖,东说念主们愈加温雅网罗违规立异。
跳转:
木炭数据暴露
主要0day疏漏
代码库坏心软件
4. 敲诈软件立异
5. 游戏袭击
6. 奖金!十二生肖杀手密码破解
1.2021年阅读量最多的帖子:Experian暴露了用户的信用评分显著有一些紧要新闻在这一年占据了头条新闻:Log4Shell;Colonial Pipeline;Kaseya;ProxyLogon/ProxyShell;SolarWinds。但从著作流量来看,读者最感敬爱的是Experian的数据暴露。
本年4月,罗彻斯特理工学院大二学生比尔·德米尔卡皮(Bill Demirkapi)发现,确实每个好意思国东说念主的信用评分都被Experian信贷局使用的API用具披自满来。他说,该用具在贷方网站上保持灵通景色,以至莫得基本的安全保护。
首页-影平卡杂果有限公司该用具称为Experian Connect API,允许贷方自动践诺FICO评分查询。Demirkapi说他能够构建一个高歌行用具,让他不错自动查找确实任何东说念主的任何信用评分,即使在出身日历字段中输入全零之后。他将其定名为“Bill's Cool credit score Lookup Utility”。
除了原始信用评分外,该大学生暗示,他能够使用API联接从Experian获取“风险身分”,这些身主见释了一个东说念主信用记载中的潜在颓势,举例“浪费者金融公司账户过多”。
就Experian而言,它处置了该问题,并驳斥了安全社区对该问题可能是系统性的担忧。
Experian并不是独逐一个因数据不安全而引起读者温雅的公司:LinkedIn数据在暗网上出售是本年另一个相配热点的故事。
LinkedIn数据持取在4月份的一次数据持取事件中,5亿LinkedIn会员受到影响后,该事件在6月份再次发生。一个自称为“天主用户TomLiner”的黑客在热点网罗论坛RaidForums上发布了一个包含7亿条LinkedIn待售记载的帖子,其中包含100万札记载样本动作“字据”。
Privacy Sharks查验了免费样本,发现记载包括全名、性别、电子邮件地址、电话号码和行业信息。目下尚不明晰数据的开始是什么——但它们可能是从公开尊府中持取的。据LinkedIn称,莫得发生任何网罗暴露事件。
揣测东说念主员暗示,即便如斯,安全效果也很严重,揣测东说念主员暗示,因为缓存不错暴力破解帐户密码、电子邮件和电话糊弄、网罗垂钓、身份盗窃,终末,数据可能成为社会工程的金矿。天然,袭击者不错肤浅地拜谒寰球尊府以锁定某东说念主,可是在一个方位领有如斯多的记载将会让使用相关用户的职责和性别的信息以特殊他详备信息自动进行针对性袭击成为可能。
2.主要0day疏漏这是一个相配劝诱读者的话题,2021年有一些意旨的事情,让咱们从Log4Shell首先。
Log4Shell基本上禁绝到系数现有的Web处事器Log4Shell疏漏是无处不在的Java日记库Apache Log4j中的一个容易被利用的疏漏,它可能允许未经身份考证的汉典代码践诺(RCE)和都备的处事器收受——何况它仍然在旷野被积极利用。
该疏漏(CVE-2021-44228)初次出当今趋奉全国上最受接待的游戏《我的全国》的用户的网站上。Apache急遽中发布了一个补丁,但在一两天内,由于禁绝行径者试图利用新疏漏,袭击变得纵情起来。从其时首先,读者的敬爱就首先都集于很是疏漏利用序论、第二疏漏、多样实在全国袭击以及禁绝面(日记库基本上无处不在)等关系的新闻上。
NSO Group的Apple零点击疏漏9月,揣测东说念主员发现了一个名为ForcedEntry be的零点击0day疏漏,影响了苹果的系数开荒:iPhone、iPad、Mac和Apple Watch。事实解释,它被NSO Group用来装配污名昭著的Pegasus间谍软件。
Apple推出了勤奋栽培法子,但Citizen Lab一经不雅察到,该疏漏的方针是iMessage。据网罗安全监管机构称,该疏漏被用于利用通过NSO公司开发的Pegasus间谍软件造孽监视巴林激进分子。
ForcedEntry疏漏相配引东说念主留神,因为它奏效部署在最新的iOS版块-14.4和14.6上,碎裂了苹果新的BlastDoor沙盒功能,以在巴林激进分子的iPhone上装配间谍软件。
Palo Alto安全开荒中的巨大0day疏漏另一个引起远大读者敬爱的0day技俩是,有音信称来自Randori的揣测东说念主员开发了一种有用疏漏利用,通过要道疏漏CVE 2021-3064在Palo Alto Networks的GlobalProtect防火墙上得到汉典代码践诺(RCE)。
Randori揣测东说念主员暗示,要是袭击者奏效利用该疏漏,他们不错在方针系统上得到shell,拜谒明锐设立数据,提取凭据等。之后,袭击者不错高出方针组织,他们说:“一朝袭击者规章了防火墙,他们就不错看到里面网罗,并不错连续横向出动。”
Palo Alto Networks在表露本日修补了该疏漏。
谷歌内存0day疏漏本年3月,谷歌勤奋栽培了Chrome浏览器中的一个疏漏,该疏漏正受到主动袭击。要是被利用,该疏漏可能允许对受影响的系统进行汉典代码践诺和断绝处事袭击。这则报说念受到了读者的庸俗温雅。
该疏漏是一个开释后使用疏漏,特殊存在于Blink中,Blink是动作Chromium技俩的一部分开发的Chrome浏览器引擎。浏览器引擎将HTML文档和其他网页资源转换为最终用户不错稽察的视觉阐扬体式。
根据IBM X-Force对该疏漏的诠释,“通过率经受害者拜谒特制网站,汉典袭击者不错利用此疏漏践诺任意代码或在系统上变成断绝处事条目。”
戴尔内核权限疏漏本年早些时代,在自2009年以来出货的系数戴尔PC、平板电脑和笔记本电脑中都发现了五个荫藏了12年的严重安全疏漏。据SentinelLabs称,它们允许绕过安全家具、践诺代码并转换到其他部分,用于横向出动的网罗。
揣测东说念主员暗示,这些疏漏苦衷在戴尔的固件更新驱动法子中,可能会影响数亿台戴尔台式机、笔记本电脑和平板电脑。
自2009年以来一直在使用的固件更新驱动法子版块2.3(dbutil_2_3.sys)模块中存在多个腹地权限提高(LPE)疏漏。驱动法子组件通过戴尔BIOS实用法子处理戴尔固件更新,何况它事先装配在大大批运行Windows的戴尔机器上。
3.代码库和软件供应链软件供应链以开源代码存储库为基础,开发东说念主员不错上传软件包,供开发东说念主员构建多样应用法子、处事和其他技俩。它们包括GitHub,以及更专科的存储库,如用于Java的Node.js包管束器(npm)代码存储库;用于Ruby编程谈话的RubyGems;用于Python的Python包索引(PyPI)等等。
这些包管束器代表了一种供应链禁绝,因为任何东说念主都不错向他们上传代码,而代码又可能在悄然无息顶用作多样应用法子的构建块。任何被坏心代码壅塞的应用法子都不错袭击法子的用户。
为了启动,一个坏心包不错被加入多个不同的技俩中——用加密矿工、信息窃取者等感染它们,并大大提高了栽培流程的难度。
网罗违规分子蜂涌而至这个袭击面,这引起了读者极大的温雅。
举例,12月,在npm中发现了17个的坏心包,它们都是针对Discord构建的,Discord是一个领有3.5亿用户的诬捏会议平台,提拔通过语音通话、视频通话、短信和文献进行通讯。这些坏心宝主要用来偷取Discord token从而进行账户收受。
相通在本月,托管在PyPI代码存储库中的三个坏心软件包被发现,它们悉数有卓著12,000次的下载量,何况可能长远多样应用法子的装配中。这些软件包包括一个用于在受害者机器上建立后门的木马法子和两个信息窃取法子。
揣测东说念主员上周还发现,Maven Central生态系统中有17,000个未打补丁的Log4j Java包,这使得Log4Shell疏漏利用带来了巨大的供应链风险。根据谷歌的安全团队,系数这个词生态系统可能需要数年才能都备栽培。
使用坏心软件包动作网罗袭击序论亦然本年早些时代的一个常见主题。以下是其他近期发现的概括:
一月份,在三个npm包中发现了其他窃取Discord的坏心软件。其一是“an0n-chat-lib”,它莫得正当的“孪生”包,但另外两个则利用品牌劫持和域名抢注来试图使开发东说念主员以为他们是正当的。“discord-fix”坏心组件的称号与正当的“discord-XP”肖似,后者是一个用于Discord机器东说念主的XP框架。“sonatype”包同期使用了简陋的品牌劫持。 本年3月,木炭揣测东说念主员在npm寰球代码存储库中发现了针对Amazon、Lyft、Slack和Zillow(以特殊他公司)里面应用法子的坏心包,系数这些软件包都包含了明锐信息。 3月的那次袭击是基于安全揣测员Alex Birsan的揣测,他发现不错将坏心代码注入到开发东说念主员技俩中装配依赖项的常用用具中。此类技俩常常使用来自GitHub等站点的寰球存储库。然后,坏心代码不错使用这些依赖项通过方针公司的里面应用法子和系统传播坏心软件。通过利用寰球的开源开发东说念主员用具,这种新颖的供应链袭击(在说念德上)被用来壅塞卓著35家技巧公司的系统,包括Microsoft、Apple、PayPal、Shopify、Netflix、Tesla和Uber。 6月,一群加密矿工被发现已浸透到了PyPI。揣测东说念主员发现六个不同的坏心软件包荫藏在那边,悉数有5,000次下载。 7月,在npm中发现了一个使用Google Chrome网罗浏览器中正当密码收复用具的凭据窃取包。揣测东说念主员在Windows系统上持到了从Chrome窃取凭据的坏心软件。密码窃取器是多功能的:它还不错侦听来自袭击者的高歌和规章(C2)处事器的传入高歌,不错上传文献、从受害者的屏幕和相机进行记载以及践诺shell高歌。 4.意旨的敲诈软件变体敲诈软件流行在2021年日趋训导,用于锁定文献的践诺坏心软件的进展不单是是肤浅地在方针文献夹上打一个扩展名。读者首先加大对坏心软件分析报说念的温雅,这些报说念涵盖了敲诈软件种类的进展,包括以下三大发现。
HelloKitty的Linux变体以诬捏机为方针本年6月,揣测东说念主员初次公开发现了一种Linux加密器——被HelloKitty敲诈软件团伙使用。
HelloKitty是2月份对视频游戏开发商CD Projekt Red发起的袭击的幕后黑手,它开发了许多Linux ELF-64版块的敲诈软件,用于袭击在其上运行的VMware ESXi处事器和诬捏机(VM)。
VMware ESXi,当年称为ESX,是一种裸机管束法子,不错应对装配到处事器上,并将它们诀别为多个VM。天然这使得多个VM不错应对分享疏通的硬盘驱动器存储,但它使系统成为袭击的“一站式购物点”,因为袭击者不错加密用于存储来自多个诬捏机的数据的都集式诬捏硬盘。。
New Net Technologies(NNT)的Dirk Schrader告诉Threatpost,除了ESXi处事器动作方针的劝诱力以外,“将Linux动作许多诬捏化平台的发祥添加到[坏心软件]功能中”还将带来一个反作用,即能够在职何Linux机器上启用袭击。
MosesStaff:莫得可用的解密旧年11月,一个名为MosesStaff的政事组织使得系数这个词以色列瘫痪了,它莫得任何财务方针,也不测交出解密密钥。它的方针是使用敲诈软件进行具有政事动机的壅塞性袭击,但愿变成尽可能大的壅塞。
MosesStaff加密网罗并窃取信息,不测索求赎金。该组织还保持活跃的酬酢媒体影响力,通过其渠说念发布寻衅性信息和视频,并不避讳其意图。
Exchange处事器成为Epsilon Red的袭击方针6月份,有东说念主看到袭击者在一组PowerShell剧本背后部署了新的敲诈软件,这些剧本是为利用未修补的Exchange处事器中的疏漏而开发的。
Epsilon Red敲诈软件是在对一家好意思国旅馆业公司发动袭击后被发现的,它指的是X战警漫威漫画中一个不起眼的负面变装,又名配备了四个机械触手的俄罗斯裔超等士兵。
揣测东说念主员暗示,通过观看袭击事件,发现企业的Microsoft Exchange处事器是袭击者参加企业网罗的启动进口,但尚不明晰这是由ProxyLogon疏漏利用照旧其他疏漏启用的,但根柢原因似乎是未修补的处事器,袭击者使用WMI将其他软件装配到他们不错从Exchange处事器拜谒的网罗内的机器上,然后进行下一步的敲诈袭击操作,这是一款新式的敲诈病毒,使用go谈话编写的,袭击者初期会使用powershell剧本加载敲诈病毒payload。
5.游戏安全一语气第二年,游戏安全在2021年景为读者温雅的焦点,这可能是因为全球COVID-19大流应用得游戏玩家越来越多,也让网罗违规分子连续对准该领域。在卡巴斯基最近的一项观看中,近61%的东说念主诠释称遭逢过诸如身份盗窃、糊弄或游戏内可贵物品被盗等造孽行径。底下是一些较受接待的帖子的概括。
Steam用于托管坏心软件本年六月,被定名为SteamHide的坏心软件出现,它在Steam上的个东说念主尊府图片中伪装我方。
根据G Data的揣测,Steam平台仅用作托管坏心文献的用具:“下载、解包和践诺加载法子获取的坏心有用负载等奋发职责由外部组件处理,该组件拜谒一个Steam profile上的坏心profile图片。这种外部有用载荷不错通过特制的电子邮件分发到受感染的网站。”
信息隐写技巧显著不是什么新技巧——但Steam profile被用作袭击者规章的托管站点——当咱们发布这个故事时,读者的敬爱被极大的劝诱起来。
Twitch源代码暴露10月,一位匿名用户在4chan上发布了一个125GB种子文献的联结,其中包含Twitch的系数源代码、其确立之初的指摘、用户支付信息等。
袭击者宣称一经劫夺了及时游戏流媒体平台的系数内容;不久之后,Twitch就阐明了这个疏漏。
禁绝行径者称此次泄密是一种“在在线视频流媒体领域激发更多壅塞和竞争”的技能。
Discord上的骗局11月,一个骗局首先在Discord上四处传播,网罗违规分子不错通过它获取Steam帐户信息,并试图窃取账户中任何有价值的东西。
以游戏玩家为方针的Discord骗局确实无处不在。但揣测东说念主员发现了一种值得提神的新治安,它高出了Discord和Stream游戏平台,骗子据称不错免费订阅Nitro(Discord附加组件,可结束自界说颜料象征、个东说念主尊府徽章、更大的上传、处事器升级等等),以换取两个帐户的“联结”。
方针最初在Discord上收到带有诞妄标价的坏心音信,上头写说念“只需联结您的Steam帐户即可享受。”其中包含一个联结。坏心联结将用户带到带有“Get Nitro”按钮的诞妄Discord页面。一朝受害者点击按钮,该网站似乎跳出一个Steam弹出告白,但揣测东说念主员解释说,该告白仍然是该坏心网站的一部分。
该战术旨在让用户以为他们来到了Steam平台,从而输入他们的登录信息——践诺上,骗子一经准备好获取凭据。
索尼PlayStation3禁令本年6月,据报说念,索尼的一个文献夹被袭击,其中包含了系数PlayStation3游戏机的序列号,这使得用户被无语其妙地谢却参加该平台。
据报说念,索尼在网上留住了一个包含每个PS3游戏机ID的不安全文献夹,并于4月中旬被一位名为“The WizWiki”的西班牙YouTuber发现并诠释。六月,PlayStation Network留言板上的玩家首先诉苦他们无法登录。
用户以为禁绝行径者首先将窃取的PS3主机ID用于坏心方针,导致正当玩家被谢却。但索尼并未阐明PS3 ID暴露与玩家被谢却登陆平台之间存在策动。
惊喜:黄说念十二宫密码被破解!这是2021年最受接待的10个Threatpost帖子之一——连环杀手Zodiac的340密码,该密码50年来一直未尝有东说念主奏效破解。2020年12月,好意思国的软件开发东说念主员David Oranchak,澳大利亚的数学家Sam Blake和比利时的法子员Jarl Van Eycke终于奏效处置了这一难题。
据称,这位黄说念十二宫连环杀手在1960年代末和1970年代初在北加利福尼亚地区特殊相近地区谋杀了至少5东说念主,他宣称我方手上有37条东说念主命。这位仍未具名的凶犯向当地报纸媒体发送了一系列四条编码信息吹嘘我方的罪过,其中还包含了一些神秘的图标,这为他赢得了“黄说念十二宫”的外号。
连环杀手发送的第一个密码很快就被破译了。但第二个,以340个字符定名的340 Cipher很弄明晰。澳大利亚数学家Sam Blake想象出有650,000种可能的姿首来读取代码,而在比利时担任仓库操作员的Jarl Van Eycke编写了一个密码破解软件来处置解密问题。很快,他们特有的算法治安得到了酬谢。这条被FBI厚爱招供为正确的信息内容如下:
“我但愿你在尝试收拢我的流程中得到许多乐趣。
打电话上节目宣称是十二宫杀手的那东说念主,并不是我。
温州佳居电气有限公司我不怕毒气室,因为它不错把我很快地送入天国。
我当今有满盈多的随同为我职责,而其他东说念主到了天国就一无系数了,是以他们发怵死亡。
我不发怵,因为我知说念,在天国里糊口将是一件很应对的事。”
天然难以捉摸的连环杀手的名字仍然无从领会,但这一碎裂代表了密码学和网罗安全的基本构建块——拜谒规章和分段的胜仗。
本文翻译自:https://threatpost.com/5-top-threatpost-stories-2021/177278/如若转载,请注明原文地址。