近日，有外媒刊文稱，2020年其讀者在網(wǎng)絡(luò)安全方面的關(guān)注多為居家辦公安全、以疫情為主題的事件等，但在2021年發(fā)生了明顯的轉(zhuǎn)變。隨著2021年接近尾聲，Log4Shell、科洛尼爾公司、kaseya、ProxyLogon/ProxyShell、太陽風(fēng)等大事件占據(jù)了今年新聞頭條，但從流量來看，讀者還對以下5項內(nèi)容很感興趣：

• 數(shù)據(jù)泄露
• 主要零日漏洞
• 代碼庫惡意軟件
• 勒索軟件創(chuàng)新
• 游戲攻擊

[[443185]]

(圖片來源于外媒)

數(shù)據(jù)泄露

(1) 益百利數(shù)據(jù)曝光

4月，羅切斯特理工學(xué)院大二學(xué)生比爾·德米爾卡皮(Bill Demirkapi)發(fā)現(xiàn)，幾乎每個美國人的信用評分都通過益百利(Experian)信貸局使用的API工具暴露出來。該工具稱為Experian Connect API，允許貸款人自動執(zhí)行FICO分?jǐn)?shù)查詢。德米爾卡皮說，他能夠構(gòu)建一個命令行工具，讓他自動查找?guī)缀跛腥说男庞迷u分，即使在出生日期字段中輸入了全零。但益百利并不是唯一一個因數(shù)據(jù)不安全而吸引讀者的家喻戶曉的名字：LinkedIn(領(lǐng)英)數(shù)據(jù)在暗網(wǎng)上出售是今年另一個非常熱門的話題。

(2) LinkedIn 數(shù)據(jù)抓取

在4月份的一次數(shù)據(jù)抓取事件中，5億LinkedIn會員受到影響，之后，該事件在6月份再次發(fā)生。一個自稱為“GOD User TomLiner.”的黑客在RaidForums上發(fā)布了一條包含7億條LinkedIn待售記錄的帖子。該廣告包含100萬條記錄樣本作為“證據(jù)”。Privacy Sharks檢查了免費樣本，發(fā)現(xiàn)記錄包括全名、性別、電子郵件地址、電話號碼和行業(yè)信息。目前尚不清楚數(shù)據(jù)的來源是什么。但據(jù) LinkedIn稱，沒有發(fā)生任何網(wǎng)絡(luò)泄露事件。

研究人員表示，即便如此，安全后果也很嚴(yán)重，可以導(dǎo)致暴力破解帳戶密碼、電子郵件和電話詐騙、網(wǎng)絡(luò)釣魚嘗試、身份盜竊等。

主要零日漏洞

從 Log4Shell 開始。

(1) Log4Shell

Log4Shell漏洞是無處不在的Java日志庫Apache Log4j中的一個容易被利用的缺陷，它可能允許未經(jīng)身份驗證的遠(yuǎn)程代碼執(zhí)行 (RCE) 和完整的服務(wù)器接管——并且它仍然在野外被積極利用。

該缺陷 (CVE-2021-44228) 首先出現(xiàn)在迎合世界上最受歡迎的游戲Minecraft用戶的網(wǎng)站上。Apache匆忙發(fā)布補丁，但在一兩天內(nèi)，由于威脅行為者試圖利用新漏洞，攻擊變得越發(fā)猖獗。

(2) NSO Group

9月，一個名為ForcedEntry be的零點擊零日漏洞被發(fā)現(xiàn)，它影響了蘋果的所有產(chǎn)品：iPhone、iPad、Mac 和手表。它被NSO Group用來安裝臭名昭著的Pegasus間諜軟件。

蘋果推出了緊急修復(fù)程序，但 Citizen Lab已經(jīng)觀察到NSO Group的目標(biāo)是前所未見的零點擊漏洞。ForcedEntry漏洞尤其引人注目，因為它成功部署在最新的iOS版本14.4和14.6上，突破了蘋果新的BlastDoor沙箱功能。

(3) Palo Alto

另一個引起廣大讀者興趣的零日消息是，Randori的研究人員開發(fā)了一個有效的漏洞，通過關(guān)鍵漏洞CVE 2021-3064，在Palo Alto Networks的Global Protect防火墻上獲得遠(yuǎn)程代碼執(zhí)行(RCE)。

Randori研究人員表示，如果攻擊者成功利用該弱點，他們可以在目標(biāo)系統(tǒng)上獲得shell，訪問敏感配置數(shù)據(jù)，提取憑據(jù)等;之后，攻擊者可以跨越目標(biāo)組織。他們說：“一旦攻擊者控制了防火墻，他們就可以看到內(nèi)部網(wǎng)絡(luò)，并可以繼續(xù)橫向移動。”

Palo Alto Networks在披露當(dāng)天修補了該漏洞。

(4) 谷歌

今年3月，谷歌匆忙修復(fù)其Chrome瀏覽器中的一個受到主動攻擊的漏洞。如果被利用，該漏洞可能允許對受影響系統(tǒng)進(jìn)行遠(yuǎn)程代碼執(zhí)行和拒絕服務(wù)攻擊。

該缺陷是一個釋放后使用漏洞，特別存在于Blink中，Blink是作為 Chromium項目的一部分開發(fā)的Chrome瀏覽器引擎。瀏覽器引擎將 HTML文檔和其他網(wǎng)頁資源轉(zhuǎn)換為最終用戶可以查看的可視表現(xiàn)形式。

“通過說服受害者訪問精心編制的網(wǎng)站，遠(yuǎn)程攻擊者可以利用此漏洞執(zhí)行任意代碼或在系統(tǒng)上造成拒絕服務(wù)條件，” IBM X-Force在對該漏洞的報告中稱。

(5) 戴爾

今年早些時候，研究人員發(fā)現(xiàn)自2009年以來售出的所有戴爾個人電腦、平板電腦和筆記本電腦中，都存在五個隱藏了12年的高嚴(yán)重性安全漏洞。據(jù)SentinelLabs稱，它們允許繞過安全產(chǎn)品，執(zhí)行代碼并轉(zhuǎn)向網(wǎng)絡(luò)的其他部分進(jìn)行橫向移動。研究人員表示，這些缺陷潛伏在戴爾的固件更新驅(qū)動程序中，可能會影響數(shù)億臺戴爾臺式機、筆記本電腦、筆記本電腦和平板電腦。

自2009年以來一直在使用的固件更新驅(qū)動程序版本 2.3 (dbutil_2_3.sys) 模塊中，存在多個本地權(quán)限提升 (LPE) 錯誤。驅(qū)動程序組件通過戴爾BIOS實用程序處理戴爾固件更新，并且它預(yù)先安裝在大多數(shù)運行Windows的戴爾機器上。

代碼庫和軟件供應(yīng)鏈

軟件供應(yīng)鏈由開放源代碼存儲庫(Open Source Code Repositories)支撐，使開發(fā)人員可以集中上傳軟件包，供開發(fā)人員在構(gòu)建各種應(yīng)用程序、服務(wù)和其他項目時使用。

它們包括GitHub以及更專業(yè)的存儲庫，如Java的Node.js包管理器 (npm)代碼存儲庫;RubyGems(用于Ruby編程語言)等。這些包管理器代表了供應(yīng)鏈威脅，因為任何人都可以向它們上傳代碼，而代碼又可能在不知不覺中用作各種應(yīng)用程序的構(gòu)建塊。任何用戶的應(yīng)用程序都可能受到惡意代碼的攻擊。

網(wǎng)絡(luò)犯罪分子蜂擁而至。

例如，12月，在npm中發(fā)現(xiàn)了一系列17個惡意軟件包;它們都是針對 Discord而構(gòu)建的，Discord是一個被3.5億用戶使用的虛擬會議平臺，支持通過語音通話、視頻通話、短信和文件進(jìn)行通信。同樣在本月，托管在PyPI代碼存儲庫中的三個惡意軟件包被發(fā)現(xiàn)，總共有超過12,000 次下載，并且可能被偷偷地安裝在各種應(yīng)用程序中。這些軟件包包括一個用于在受害者機器上建立后門的木馬和兩個信息竊取程序。

研究人員上周還發(fā)現(xiàn)，Maven Central生態(tài)系統(tǒng)中有17,000個未打補丁的Log4j Java包，這使得Log4Shell漏洞利用帶來了巨大的供應(yīng)鏈風(fēng)險。根據(jù)谷歌安全團隊的說法，整個生態(tài)系統(tǒng)可能需要“幾年”才能修復(fù)。

使用惡意軟件包作為網(wǎng)絡(luò)攻擊媒介也是今年早些時候的一個常見主題。

勒索軟件變種

勒索軟件在2021年很猖獗。用于鎖定文件的實際惡意軟件的進(jìn)展，不僅僅是簡單地在目標(biāo)文件夾上打一個擴展名，其包括以下三大發(fā)現(xiàn)。

HelloKitty 的 Linux 變體以虛擬機為目標(biāo)

今年6月，研究人員首次公開發(fā)現(xiàn)了一種Linux加密器——被 HelloKitty勒索軟件團伙使用。

HelloKitty是2月份對視頻游戲開發(fā)商CD Projekt Red攻擊的幕后黑手，它開發(fā)了許多Linux ELF-64版本的勒索軟件，用于攻擊VMware ESXi 服務(wù)器和運行在它們上面的虛擬機 (VM)。

VMware ESXi，以前稱為ESX，是一種裸機管理程序，可以輕松安裝到服務(wù)器上并將它們劃分為多個VM。雖然這使得多個VM可以輕松共享相同的硬盤驅(qū)動器存儲，但它使系統(tǒng)成為攻擊的一站式站點，因為攻擊者可以加密用于存儲跨 VM數(shù)據(jù)的集中式虛擬硬盤驅(qū)動器。

(1) MosesStaff：沒有可用的解密

11月，一個名為MosesStaff的政治組織癱瘓了以色列實體，沒有任何財務(wù)目標(biāo)——也沒有交出解密密鑰的意圖。相反，它正在使用勒索軟件對以色列目標(biāo)進(jìn)行出于政治動機的破壞性攻擊，試圖造成最大的破壞。

MosesStaff加密網(wǎng)絡(luò)并竊取信息，并且無意索要贖金或糾正損害。該組織還保持著活躍的社交媒體，發(fā)布信息和視頻，并公開其意圖。

(2) Epsilon Red以 Exchange 服務(wù)器為目標(biāo)

6 月份，威脅行為者在一組PowerShell腳本的背后部署了新的勒索軟件，這些腳本是為利用未修補的Exchange服務(wù)器中的缺陷而開發(fā)的。

Epsilon Red勒索軟件是在對一家美國酒店業(yè)公司發(fā)動攻擊后被發(fā)現(xiàn)的，它指的是X戰(zhàn)警漫威漫畫中一個不起眼的敵人角色，一名俄羅斯血統(tǒng)的超級士兵，配備了四個機械觸手。

研究人員表示，雖然惡意軟件本身是一個用Go編程語言編寫的“準(zhǔn)系統(tǒng)”64位Windows可執(zhí)行文件，但它的交付系統(tǒng)依賴于一系列 PowerShell腳本，這些腳本“為最終的勒索軟件負(fù)載準(zhǔn)備被攻擊的機器，并最終交付和啟動它。”

游戲安全

連續(xù)第二年，游戲安全在2021年成為讀者關(guān)注的焦點，這可能是因為全球疫情流行推動了更高的游戲量。網(wǎng)絡(luò)犯罪分子也繼續(xù)瞄準(zhǔn)該領(lǐng)域。在卡巴斯基最近的一項調(diào)查中，近61%的人報告稱遭受過諸如身份盜竊、詐騙或游戲內(nèi)貴重物品被盜等不法行為。這方面的新聞事件包括Steam用于托管惡意軟件、Twitch源代碼泄露、索尼PlayStation3 禁令等。

來源：摘譯自threatpost，作者泰拉。