歐盟網路安全法案:建通用網路安全認證系統;美國NCSC:警惕俄羅斯等國瞄準這十幾項技術
內容提要:
1. 歐盟網路安全法案:建通用網路安全認證系統
2.美國NCSC:警惕俄羅斯等國瞄準這十幾項技術
3.後斯諾登時代NSA安全修復現狀
4.德國銀行木馬Emotet演變成惡意軟體分銷商
5.Ph0neutria:一款從野外採集惡意軟體樣本的工具
6.在Web伺服器防止Host頭攻擊
7.使用lodine建立DNS隧道
8.威脅快報 | 首個Spark REST API未授權漏洞利用分析
9.APT-C-35組織(肚腦蟲)的最新攻擊活動分析
1.歐盟網路安全法案:建通用網路安全認證系統
歐盟委員會發起了一項歐洲未來網路安全章程(《歐盟網路安全法案》)的提議。《歐盟網路安全法案》是一種更廣泛的「網路安全數據包」(Cybersecurity Package)的表現形式,「網路安全數據包」的概念最初於2017年提出,後經過了一段時間的影響評估,並接受了各界評論。在網路風險不斷增加的形勢下,《歐盟網路安全法案》:將把歐盟網路和信息安全署(ENISA)定位成歐盟永久性機構,從而加強 ENISA 的力量。還將為信息和通訊技術(ICT)等產品創建一個歐洲網路安全認證框架,旨在歐盟內部提供網路彈性和響應能力,協調各種標準以提升效率也是歐盟「數字單一市場」(Digital Singl Market)戰略的核心主題。一項提議要成為正式法案,還需得到歐洲議會的批准。
2.美國NCSC:警惕俄羅斯等國瞄準這十幾項技術
E安全7月30日訊美國國家反情報與安全中心(簡稱 NCSC)美國時間7月26日發布報告稱,俄羅斯、伊朗和中國對其實施經濟間諜活動,並列舉了情報收集者最可能竊取的十餘項技術。美國官員多次誣衊稱中國"竊取"美方技術,中方外交部發言人一再表示,美國這種罔顧事實、捕風捉影、任意捏造的做法無助於雙方正常的經貿、科技合作,更不符合兩國的共同利益。報告稱,根據美國網路情報公司的信息,伊朗黑客組織「Rocket Kitten」多次瞄準美國的防務公司,企圖竊取信息,以發展伊朗的導彈和太空計劃。報告還提到俄羅斯的黑客「Eas7」和 APT28 組織。
3.後斯諾登時代NSA安全修復現狀
E安全7月30日訊 美國國安局審計檢查員於2018年7月25日發布首份非保密審計概述顯示,美國國家安局(NSA)在執行信息安全要求方面表現不佳,檢查員提出的699項建議中76%的缺陷逾期未有改善。
4.德國銀行木馬Emotet演變成惡意軟體分銷商
有證據表明,Emotet背後的運營團隊Mealybug已經從維護自己的自定義銀行木馬發展成為了其他組織的惡意軟體的分銷商。Mealybug是一個網路犯罪組織,自2014年以來一直保持活躍。我們可以通過其使用的自定義惡意軟體Trojan.Emotet來識別它。近幾年來,Mealybug似乎已經改變了其商業模式,從針對歐洲的銀行客戶轉變為了使用其基礎設施為全球其他威脅行為者提供惡意軟體包裝和交付服務。由於Emotet可以自我傳播,因此它給受害者組織帶來了額外的挑戰。Emotet的自我傳播以及暴力訪問有可能會給受害者組織帶來更大的麻煩,因為它可能會產生多次失敗的登錄嘗試,進而導致用戶被鎖定在他們的網路賬戶之外。這也產生了對IT服務台的需求增加以及一般生產力下降的連帶反應,而這正是臭名昭著的Conficker蠕蟲(W32.Downadup)的一個代表性標誌,在經歷了十年之後,引起類似問題的始作俑者換成了Emotet。
5.Ph0neutria:一款從野外採集惡意軟體樣本的工具
ph0neutria是一個直接從野外採集惡意軟體樣本的工具。並且其所有採集的內容都將被存儲在Viper中,以便於訪問和管理。該項目的靈感來源於Ragpicker(一款惡意軟體爬蟲工具)。而相比之下,ph0neutria的優勢主要體現在以下幾點:將爬取的範圍限制為僅經常更新且可靠的來源。最大化個別指標的有效性;提供單一可靠且組織良好的存儲機制;不做Viper可以完成的工作。
6.在Web伺服器防止Host頭攻擊
訪問網站時如果訪問路徑中缺少/,大多數中間件都會自動將路徑補全,返回302或301跳轉如下圖,Location位置的域名會使用Host頭的值。這種情況實際上風險較低,難以構成Host頭攻擊。但是由於大多漏洞掃描器會將這種情況檢測為Host頭攻擊,為了通過上級檢查或各種審核,大多數甲方單位會要求修復漏洞,徹底解決問題。
7.使用lodine建立DNS隧道
雖然有時這些DNS請求僅限於白名單伺服器或特定域,但你通常會發現DNS幾乎是完全不受限制的,如果我們能控制管道的兩端,那麼我們就可以通過隧道來傳輸數據。我們可以在埠53上設置一個SSH伺服器或其它類似伺服器,但在某些情況下ssh協議會被過濾,從而導致隧道建立失敗。因此,通過DNS建立隧道才是我們最好的選擇。
8.威脅快報 | 首個Spark REST API未授權漏洞利用分析
2018年7月7日,阿里雲安全首次捕獲Spark REST API的未授權RCE漏洞進行攻擊的真實樣本。7月9號起,阿里雲平台已能默認防禦此漏洞的大規模利用。
這是首次在真實攻擊中發現使用「暗網」來傳播惡意後門的樣本,預計未來這一趨勢會逐步擴大。目前全網約5000台 Spark伺服器受此漏洞影響。阿里雲安全監控到該類型的攻擊還處於小範圍嘗試階段,需要謹防後續的規模性爆發。建議受影響客戶參考章節三的修復建議進行修復。
9. APT-C-35組織(肚腦蟲)的最新攻擊活動分析
APT-C-35主要針對巴基斯坦等南亞地區國家進行網路間諜活動,該組織主要針對政府機構等領域進行攻擊,其中以竊取敏感信息為主。從2017年至今,該組織針對巴基斯坦至少發動了4波攻擊行動,攻擊過程主要是以攜帶Office漏洞或者惡意宏的魚叉郵件進行惡意代碼的傳播,並先後使用了兩套獨有的惡意代碼框架:EHDevel和yty。自第一次發現該組織的攻擊活動以來,360威脅情報中心對該組織一直保持著持續跟蹤,近期我們再次跟蹤到該團伙利用較新的Office Nday漏洞發起的新的攻擊活動,並對攻擊中使用的yty框架最新的惡意代碼進行了詳細分析。
