Dark Reading年中數(shù)據(jù)泄露報(bào)告:2016年TOP7安全事件盤點(diǎn) |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2016-07-08 瀏覽次數(shù): |
信息來源:FreeBuf
2016年已經(jīng)過去了一半,全球的安全性問題一直備受關(guān)注,漏洞和泄露事件的披露始終占據(jù)媒體的頭條榜首。說起今年以來的重大安全事件,不知道你腦海里浮現(xiàn)的是哪幾起?
Dark Reading 年中數(shù)據(jù)泄露報(bào)告內(nèi)容如下:
烏克蘭攻擊事件實(shí)際發(fā)生于2015年12月底,而針對烏克蘭“電力門”事件的主要報(bào)道及分析結(jié)果則出現(xiàn)于2016年第一季度。
2016年1月4日,ESET公司就發(fā)表文章稱,烏克蘭境內(nèi)的多家配電公司設(shè)備中監(jiān)測到的KillDisk,由此懷疑使用了BlackEnergy后門,攻擊者能夠利用它來遠(yuǎn)程訪問并控制電力控制系統(tǒng)。由于此事件是針對電力設(shè)備的攻擊,對于國家關(guān)鍵基礎(chǔ)設(shè)施的安全性具有非比尋常的意義,故存在巨大的風(fēng)險(xiǎn)。
據(jù)專家分析,本次事故中的網(wǎng)絡(luò)攻擊手段包括三種:其一,利用電力系統(tǒng)的漏洞植入惡意軟件;其二,發(fā)動網(wǎng)絡(luò)攻擊干擾控制系統(tǒng)引起停電;其三,干擾事故后的維修工作;
針對此次烏克蘭電網(wǎng)攻擊事件,得出如下教訓(xùn):
1.安全防護(hù)體系存在漏洞,網(wǎng)絡(luò)隔離不足。烏克蘭各類公司間為了發(fā)、輸、配電業(yè)務(wù)的通信和控制便利,通過互聯(lián)網(wǎng)連接,控制類與非控制類系統(tǒng)未進(jìn)行物理隔離。
2.網(wǎng)絡(luò)安全監(jiān)測不力。網(wǎng)絡(luò)安全監(jiān)測可以有效的發(fā)現(xiàn)攻擊行為,阻止攻擊進(jìn)行,避免損失。烏克蘭電網(wǎng)的攻擊者進(jìn)行了長達(dá)6個月的“潛伏”,在幾個月時(shí)間當(dāng)中,他們進(jìn)行了廣泛的網(wǎng)絡(luò)偵察、探索與映射工作,并最終獲得了訪問Windows域控制器以管理網(wǎng)絡(luò)內(nèi)用戶賬戶的能力。以此為基礎(chǔ),他們收集到相關(guān)員工登錄憑證以及部分工作用VPN以遠(yuǎn)程登錄至該SCADA網(wǎng)絡(luò),并逐步實(shí)施后續(xù)攻擊計(jì)劃。此次黑客成功入侵電網(wǎng),烏克蘭電力卻未發(fā)現(xiàn)攻擊行為,可謂監(jiān)測不到位。
3.網(wǎng)絡(luò)和信息安全意識淡薄。事件發(fā)生前,國際安全機(jī)構(gòu)曾對烏克蘭電力機(jī)構(gòu)發(fā)布預(yù)警信息,但未引起重視。黑客通過郵件偽裝而成功誘騙烏克蘭電力工作人員運(yùn)行惡意程序,說明其電力工作人員網(wǎng)絡(luò)安全意識淡薄。
4.不間斷電源(UPS)同樣需要安全防護(hù)。烏克蘭電網(wǎng)攻擊中,攻擊者對提供后備電力的不間斷電源(簡稱UPS)進(jìn)行了重新配置,隨后通過被劫持的VPN接入到SCADA網(wǎng)絡(luò),并發(fā)送命令以禁用已經(jīng)被重新配置的UPS系統(tǒng)。此行為,加重了烏克蘭攻擊事件的受災(zāi)度,所以UPS的安全防護(hù)同樣不容忽視。
5.警惕不斷涌現(xiàn)的攻擊新技術(shù)。參加相關(guān)調(diào)查工作的烏克蘭與美國計(jì)算機(jī)安全專家們指出,攻擊者們覆寫了16座變電站的關(guān)鍵性設(shè)備固件,這些惡意固件在十幾座變電站中成功通過串行到以太網(wǎng)轉(zhuǎn)換機(jī)制取代了合法固件(該轉(zhuǎn)換機(jī)制負(fù)責(zé)處理來自SCADA網(wǎng)絡(luò)并用于控制變電站系統(tǒng)的命令)。
安全專家表示:
“這種針對特定目的的惡意固件更新(指向工業(yè)控制系統(tǒng))此前從未出現(xiàn)過,從攻擊的角度來看,這絕對是種天才之舉。我的意思是,他們雖然目的邪惡,但手段確實(shí)非常高明?!?/span>
勒索軟件近年來持續(xù)活躍,有關(guān)勒索軟件的新聞已經(jīng)超過APT攻擊,成為2016年的主要話題。根據(jù)卡巴斯基實(shí)驗(yàn)室的惡意軟件報(bào)告表明,Q1季度檢測到2,900種最新的勒索軟件變種,較上一季度增加了14%。現(xiàn)在,卡巴斯基實(shí)驗(yàn)室的數(shù)據(jù)庫包含約15000種勒索軟件變種,而且這一數(shù)量還在不斷增加。
2016年第一季度,卡巴斯基實(shí)驗(yàn)室安全解決方案共攔截了372,602次針對用戶的勒索軟件攻擊,其中17%針對企業(yè)用戶。遭遇攻擊的用戶數(shù)量同2015年第四季度相比,增加了30%。
2016年第一季度排名前三位的勒索軟件分別為:Teslacrypt(58.4%)、CTB-Locker (23.5%) 和 Cryptowall (3.4%)。這三種惡意軟件主要通過包含惡意附件的垃圾郵件或指向受感染網(wǎng)頁的鏈接進(jìn)行傳播。
TeslaCrypt勒索軟件瞄準(zhǔn)的主要是游戲平臺的玩家們,被盯上的游戲平臺包括使命召喚、暗黑破壞神、異塵余生、Minecraft、魔獸爭霸、F.E.A.R、刺客信條、生化危機(jī)、魔獸世界、英雄聯(lián)盟以及坦克世界等。TeslaCrypt利用Flash Player漏洞(CVE-2015-0311)或者一個古老的IE瀏覽器漏洞將TeslaCrypt勒索軟件植入目標(biāo)系統(tǒng)上。然后對受害者文件進(jìn)行加密,勒索贖金。
2015年5月1日,名為“CTB-Locker”的比特幣敲詐病毒在國內(nèi)爆發(fā)式傳播,該病毒通過遠(yuǎn)程加密用戶電腦文件,從而向用戶勒索贖金,用戶文件只能在支付贖金后才能打開。反病毒專家稱,目前國內(nèi)外尚無法破解該病毒。
Cryptowall 擁有一系列的惡意勒索軟件,一旦受害者感染了這些病毒,它們會立即對機(jī)器上的所有文件加密。病毒感染受害者機(jī)器的方式有:通過看似合法的附件和通過硬盤本身存在的惡意程序。Cryptowall自2013年出現(xiàn)以來,不斷的更新變化,到目前為止已經(jīng)更新到Cryptowall 4.0版本。該版本的Cryptowall結(jié)合地下市場上最強(qiáng)大的入侵開發(fā)工具——核開發(fā)組件(Nuclear exploit kit)。
說起勒索軟件,今年來,醫(yī)院應(yīng)該是最大的受害者。畢竟與商業(yè)機(jī)構(gòu)相比,醫(yī)院對于系統(tǒng)安全性的要求更高,更需要保持救護(hù)系統(tǒng)的正常運(yùn)行,以確保其病人的健康,也正是如此,醫(yī)院成功吸引了攻擊者的目光。其中最聳人聽聞的攻擊應(yīng)該是發(fā)生在2016年3月的,針對美國好萊塢長老會醫(yī)院的攻擊,最終該醫(yī)院支付了高達(dá)1.7萬美元 的贖金,重新恢復(fù)被勒索軟件鎖定的文件。
Methodist醫(yī)院在3月18日遭受勒索軟件攻擊,在接下來五天都處于“緊急狀態(tài)”,隨后他們報(bào)告稱解決了這個問題,沒有支付任何贖金。
3月,美國加州兩家醫(yī)院被勒索:Chino Valley醫(yī)療中心和Desert Valley醫(yī)院—這兩家醫(yī)院都屬于醫(yī)院管理公司Prime Healthcare Services;該公司發(fā)言人稱,這兩家醫(yī)院都沒有支付贖金,并且沒有病人數(shù)據(jù)被泄露。
3月,加拿大渥太華的一家醫(yī)院被勒索軟件攻擊。該醫(yī)院沒有支付贖金,而是隔離系統(tǒng)、清理驅(qū)動器并從備份恢復(fù)來解決問題。
另外, Ruby Memorial醫(yī)院也受到“惡意軟件或病毒”攻擊,但醫(yī)院發(fā)言人稱該攻擊并不是瞄準(zhǔn)病人和員工數(shù)據(jù),也沒有企圖竊取數(shù)據(jù)。
網(wǎng)絡(luò)安全公司CrowdStrike公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Dmitri Alperovitch表示:
“醫(yī)院不是唯一的受害者,我們看到很多行業(yè)(包括醫(yī)療保健、州政府和地方政府、中小企業(yè)和大型企業(yè)等)遭受勒索軟件攻擊。根據(jù)網(wǎng)絡(luò)威脅聯(lián)盟的報(bào)告顯示,勒索軟件估計(jì)造成總共約3.25億美元的損失,但在現(xiàn)實(shí)中,這個數(shù)據(jù)可能遠(yuǎn)遠(yuǎn)不止于此。”
2016年可不只有持續(xù)不斷的攻擊和漏洞事件,還有震動全球的FBI與蘋果的”加密之爭“,該事件對全球的司法及社會都產(chǎn)生了深遠(yuǎn)的影響。
2015年的12月,美國加州圣貝納迪諾(San Bernardino)發(fā)生了一起嚴(yán)重的恐怖襲擊事件,被警察射殺的兇手Farook留下了一支被密碼鎖屏的iPhone 5c。這就是引起這場“加密之爭”的導(dǎo)火索。回顧本次事件,我們可以概括為:FBI想要讓蘋果解鎖一部恐怖分子的iPhone,但是遭到了拒絕。然后FBI想通過法院來讓蘋果妥協(xié),但是最終 在開庭的前一天,F(xiàn)BI通過第三方的幫助成功解鎖了iPhone,并放棄了起訴。
資深政策顧問Ross Schulman表示:
“這不僅僅是一部iPhone的問題······這關(guān)系到我們所有的軟件和數(shù)字化設(shè)備,如果聯(lián)邦調(diào)查局尋求的先例得以實(shí)現(xiàn),那將對我們?nèi)粘J褂玫氖謾C(jī)和電腦的可靠性,造成真正的災(zāi)難,我們一直相信那些公司是出于保護(hù)我們的安全考慮而升級各類軟件,但倘若它們只是為了給我們的安全埋下隱患,那我們更情愿不要升級?!?/span>
美國東北大學(xué)的計(jì)算機(jī)科學(xué)與法律教授Andrea M. Matwyshyn在舒爾曼的看法上做了延伸,她說道:
“現(xiàn)眾多科技公司研發(fā)更強(qiáng)的安全性保護(hù),并將其作為產(chǎn)品新特征,是因?yàn)槿缃裆矸荼I竊愈發(fā)猖狂,用戶擔(dān)心身份信息被竊。通過加強(qiáng)安全性,我們就能夠與更嚴(yán)重的犯罪抗?fàn)?,防止它們的發(fā)生。因此,這是一場關(guān)于應(yīng)該以防止新型犯罪還是傳統(tǒng)犯罪的激烈討論。”
未來,隱私加密之路將何去何從,我們只能拭目以待了……
2015年5月,美國稅局(IRS)遭遇黑客攻擊,10萬名左右美國公民賬號的登錄權(quán)限被盜,不過伴隨著調(diào)查的不斷深入,這個數(shù)字在不斷增長。去年8月,受影響納稅人數(shù)量已經(jīng)增至22萬,而未被登錄但也涉及其中的納稅人數(shù)量也增至17萬。現(xiàn)在,這個數(shù)字已經(jīng)增長到了可怕的70萬。
國稅局可能是收集美國公民信息最多的聯(lián)邦政府部門,黑客這一舉動嚴(yán)重威脅到公民隱私和財(cái)物安全。參議院財(cái)政委員會主席Orrin Hatch對這份報(bào)告表達(dá)了極度的擔(dān)憂,他害怕IRS大量的數(shù)據(jù)泄露將讓辛勤工作的納稅人遭遇新的欺詐。
而事實(shí)證明,大量數(shù)據(jù)泄露確實(shí)帶來了更為嚴(yán)重的稅務(wù)欺詐事件。其實(shí)早在2014年3月就曝出退稅資金被盜取事件,攻擊者獲取這些美國公民信息后,可以修改退稅信息,將退稅資金直接存到自己的銀行賬戶。
國稅局估計(jì),在2013年就有納稅人和犯罪分子利用虛假材料騙取58億美元的退稅款。2014年被騙取的退稅款高達(dá)5000萬美元。更為嚴(yán)重的是,遭竊取的信息是納稅人的永久信息,在未來仍能繼續(xù)用來騙取退稅。
此外,泄露的信息還被用于釣魚攻擊,針對納稅人實(shí)施釣魚欺騙,冒充IRS人員騙取納稅人資產(chǎn),造成大量資金損失。
美國國稅局提醒民眾,警惕電話釣魚詐騙
從去年開始,世界范圍內(nèi)使用SWIFT系統(tǒng)的銀行相繼被曝出盜竊案件,從2015年1月的厄瓜多爾銀行損失1200萬美元,10月的菲律賓銀行,到今年2月孟加拉國央行曝出被盜竊8100萬美元,隨后第二家及第三家銀行(也是最初受害者)被黑的消息被公開。5月菲律賓一家銀行又被盜,這次他們又造成烏克蘭銀行上千萬美元的損失。
黑客利用SWIFT系統(tǒng)攻擊全球銀行系統(tǒng)線路圖
一系列的案件逐漸引起了人們對SWIFT系統(tǒng)的關(guān)注,并對SWIFT系統(tǒng)的安全性打上了問號。而針對這些攻擊事件,SWIFT與2015年5月27日宣布了新的客戶方案,以加強(qiáng)針對網(wǎng)絡(luò)威脅的安全防護(hù):
全球范圍內(nèi)信息共享,實(shí)現(xiàn)客戶事件的快速反饋,提升網(wǎng)絡(luò)防護(hù)能力;
提升SWIFT相關(guān)工具的安全性;
提供審計(jì)框架,制定相關(guān)的審計(jì)標(biāo)準(zhǔn)和認(rèn)證程序,在客戶現(xiàn)場進(jìn)行安全管理;
增加針對支付模式的安全監(jiān)控;
加強(qiáng)第三方供應(yīng)商的安全支持。
2016年3月,國外研究人員發(fā)現(xiàn)OpenSSL出現(xiàn)新的安全漏洞“DROWN”,全稱是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用過時(shí)的脆弱加密算法來對RSA算法進(jìn)破解”。據(jù)OpenSSL安全公告,DROWN是一種跨協(xié)議攻擊,如果服務(wù)器使用了SSLv2協(xié)議和EXPORT加密套件,那么攻擊者就可利用這項(xiàng)技術(shù)來對服務(wù)器的TLS會話信息進(jìn)行破解。
攻擊者可利用這個漏洞破壞網(wǎng)站加密體系,發(fā)起“中間人劫持攻擊”,從而竊取HTTPS敏感通信,包括網(wǎng)站密碼、信用卡帳號、商業(yè)機(jī)密、金融數(shù)據(jù)等。據(jù)統(tǒng)計(jì),該漏洞影響了全世界多達(dá)1100萬個HTTPS網(wǎng)站,其中包括雅虎、阿里巴巴、新浪微博、新浪網(wǎng)、360、BuzzFeed、Flickr、StumbleUpon 4Shared 和三星等知名網(wǎng)站。
安全無小事,雖然 DROWN 漏洞直接利用成本較高,降低了被攻擊的風(fēng)險(xiǎn),但是如果有其他漏洞配合 DROWN 漏洞進(jìn)行組合攻擊,危害將不可預(yù)期。
DROWN研究團(tuán)隊(duì)提供了在線檢測,方便了用戶自行檢查,檢測地址為:
如果你是一名技術(shù)人員,還可以利用一些漏洞檢測腳本,比如:
OpenSSL提供的檢測腳本:
https://mta.openssl.org/pipermail/openssl-dev/2016-March/005602.html
DROWN Scanner:
https://github.com/nimia/public_drown_scanner#drown-scanner
不過,這些檢測方法并不是百分之百準(zhǔn)確的,都存在誤報(bào)或漏報(bào)的可能。
DROWN漏洞也許不如Heartbleed漏洞的影響范圍廣,也比Heartbleed更難理解。但從攻擊模式看DROWN可以被動收集加密信息、并在之后再展開在線攻擊,DROWN攻擊并不要求在信息傳輸時(shí)展開在線攻擊,也即DROWN可以攻擊離線的加密信息,因此DROWN可以解密之前被認(rèn)為堅(jiān)不可破的TLS流量,DROWN的影響和潛在威脅其實(shí)遠(yuǎn)超出預(yù)想。
以上為Dark Reading總結(jié)的2016上半年最重大的安全事件,您想到的是這些嗎?當(dāng)然,2016上半年發(fā)生的安全大事件肯定不僅于此,您眼中的最大威脅的安全事件是哪些?歡迎與小編一起交流哦~
* 原文鏈接:darkreading,F(xiàn)B小編米雪兒編譯,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBf.COM)
|