連年上漲,全球信息安全支出明年或超1240億美元;美國科技巨頭大力遊說,印度數據本地化方案遇阻
內容提要:
1.連年上漲,全球信息安全支出明年或超1240億美元
2. 美國科技巨頭大力遊說,印度數據本地化方案遇阻
3. Trickbot銀行木馬新變種強勢來襲,讓縮放文檔都成為「危險操作」
4. 微軟VBScirpt引擎中的0day漏洞遭Darkhotel APT利用
5. 以太坊「後偷渡時代」盜幣之「拾荒攻擊」
6. Blackhat議題淺析 | php新的漏洞利用技術—phar://
7. 首個Spark REST API未授權漏洞利用解析
8.DEFCON 2018 | 騰訊刀鋒團隊演示如何破解亞馬遜Echo來竊聽用戶
9. 肚腦蟲組織(APT-C-35)移動端攻擊活動揭露
1.連年上漲,全球信息安全支出明年或超1240億美元
研究公司 Gartner 最新預測,2018 年的全球信息安全產品和服務支出將超過 1140 億美元,比去年增長 12.4% 。該公司還預測,2019 年市場規模將增長 8.7% ,達到 1240 億美元。相比之下,2017 年的支出為 1015.4 億美元。
2.美國科技巨頭大力遊說,印度數據本地化方案遇阻」
美國科技巨頭們正計劃加強遊說力度,以應對印度更嚴格的數據本地化要求。這些巨頭稱,數據本地化將破壞他們在印度的發展。代表亞馬遜、美國運通和微軟等公司的美國貿易組織已經對印度打算在本地存儲數據的計劃提出反對。
3.Trickbot銀行木馬新變種強勢來襲,讓縮放文檔都成為「危險操作」
Trickbot是眾所周知的金融木馬,以大型銀行的客戶為目標並竊取他們的憑證。最近,Cyberbit惡意軟體研究團隊對最新的Trickbot變種進行了研究,以了解它與以前的變種有何不同,並充分了解其新的行為和技巧。新變種是通過一個包含宏代碼的Word文檔下載的,這一說法最初被發布在Twitter上,並得到了Cyberbit團隊的證實。有意思的是,即使單擊了「enable content」以啟用宏,該文檔也不會執行它所包含的宏代碼,直到用戶對文檔進行了縮放操作。Cyberbit團隊表示,這很可能是為了規避沙箱檢測,但同時也會使不會縮放文檔的用戶免受其害。
4.微軟VBScirpt引擎中的0day漏洞遭Darkhotel APT利用
VBScript可在 Windows 和 IE 11 最新版本上使用。不過微軟在瀏覽器的默認設置中禁用了 Windows 最新版本中的 VBScript 執行,以解決該漏洞。儘管如此,但還存在載入腳本的其它方法。例如,Office 組件中的應用依靠 IE 引擎載入並渲染 web 內容。趨勢科技公司的安全研究員早在微軟於7月份交付 Windows 常規更新一天後就注意到這個 VBScript 漏洞遭利用。該漏洞的 CVE 編號是 CVE-2018-8373,已在本月的補丁日修復。它是一個使用後釋放內存損壞漏洞,能讓攻擊者在受攻陷計算機上運行 shellcode。
5.以太坊「後偷渡時代」盜幣之「拾荒攻擊」
2018年08月01日,知道創宇404區塊鏈安全研究團隊發布《金錢難寐,大盜獨行——以太坊 JSON-RPC 介面多種盜幣手法大揭秘》,針對偷渡漏洞和後偷渡時代的盜幣方式進行了介紹,披露了後偷渡時代的三種盜幣方式:離線攻擊、重放攻擊和爆破攻擊。在進一步的研究中,安全客又發現了針對這些攻擊方式的補充:拾荒攻擊。攻擊者或求助於礦工,或本身擁有一定算力以獲得將交易打包進區塊的權利。在偷渡漏洞中,攻擊者在被攻擊節點構造gasPrice 為 0 的交易,等待用戶解鎖賬戶簽名廣播。攻擊者同時設置一個惡意節點,用於接收這筆交易。攻擊者將符合條件的交易打包,就可以實現 0 手續費完成轉賬。通過這種攻擊,攻擊者可以獲取到餘額不足以支付轉賬手續費或勉強足夠支付手續費節點上的所有以太幣,並在一定程度上可以防止其他攻擊者的競爭,可謂是薅羊毛的典範。
6.Blackhat議題淺析 | php新的漏洞利用技術—phar://
來自Secarma的安全研究員Sam Thomas發現了一種新的漏洞利用方式,可以在不使用php函數unserialize()的前提下,引起嚴重的php對象注入漏洞。這個新的攻擊方式被他公開在了美國的BlackHat會議演講上,演講主題為:」不為人所知的php反序列化漏洞」。它可以使攻擊者將相關漏洞的嚴重程度升級為遠程代碼執行。我們在RIPS代碼分析引擎中添加了對這種新型攻擊的檢測。
7.首個Spark REST API未授權漏洞利用解析
2018年7月7日,阿里雲安全首次捕獲SparkREST API的未授權RCE漏洞進行攻擊的真實樣本。7月9號起,阿里雲平台已能默認防禦此漏洞的大規模利用。這是首次在真實攻擊中發現使用「暗網」來傳播惡意後門的樣本,預計未來這一趨勢會逐步擴大。目前全網約5000台 Spark伺服器受此漏洞影響。阿里雲安全監控到該類型的攻擊還處於小範圍嘗試階段,需要謹防後續的規模性爆發。
8.DEFCON2018 | 騰訊刀鋒團隊演示如何破解亞馬遜Echo來竊聽用戶
在今年的DEF CON黑客大會上,兩名來自騰訊刀鋒團隊的研究專家演示了如何利用一台經過特殊製作的Echo來入侵同一網路下的另一台Echo,並實現竊聽目標用戶的目的。首先,他們需要移除攻擊端Echo的快閃記憶體晶元,並上傳新的修改版固件,然後再把快閃記憶體晶元裝會Echo之中。接下來,他們需要將修改後的Echo接入目標設備所在的同一WiFi網路(利用Amazon的軟體功能)。接入網路之後,他們就能夠在後台悄悄監聽目標Echo周圍的聲音,或者控制其他設備播放任意音頻等等。
9.肚腦蟲組織(APT-C-35)移動端攻擊活動揭露
傳統的APT攻擊主要是針對PC端進行,而隨著智能手機和移動網路在世界範圍內的普及發展,越來越多黑客組織的攻擊目標也迅速蔓延到移動端,甚至出現出和PC端結合的趨勢。近幾年被國內外安全廠商陸續披露的Fancy Bear、Lazarus、OperationManul、摩訶草、黃金鼠等多個攻擊組織無疑印證了這點。近期,360烽火實驗室發現肚腦蟲組織(APT-C-35)最新的攻擊已把移動端也加入到其攻擊目標中。
