隆雪芬

不久前，有國(guó)外媒體精選出2021年最值得關(guān)注的熱門話題，總結(jié)網(wǎng)絡(luò)安全威脅發(fā)展態(tài)勢(shì)。

2020年，新冠的爆發(fā)影響了各行各業(yè)的穩(wěn)定運(yùn)轉(zhuǎn)，同時(shí)也催生出不少居家辦公、以新冠疫情為核心的新需求，然而在2021年，全球用戶的關(guān)注點(diǎn)發(fā)生了明顯的轉(zhuǎn)變。不安全的數(shù)據(jù)、代碼托管庫(kù)的惡意軟件、關(guān)鍵性的零日漏洞利用和前所未見(jiàn)的勒索軟件方案，這些話題成為讀者最常閱讀的新聞主題。這表明在新的工作方式趨于“常態(tài)化”后，外界更熱衷于關(guān)注網(wǎng)絡(luò)犯罪的創(chuàng)新。

不斷泄露的數(shù)據(jù)

2021年的新聞?lì)^條被Log4Shell、殖民管道、卡塞亞、ProxyLogon/ProxyShell和SolarWinds等重大安全事件占據(jù)。除此之外，根據(jù)相關(guān)文章的流量數(shù)據(jù)，益博睿公司數(shù)據(jù)泄露事件也受到了廣泛關(guān)注。

2021年4月，羅徹斯特理工學(xué)院大二學(xué)生Bill Demirkapi發(fā)現(xiàn)，在一個(gè)貸款人網(wǎng)站上，通過(guò)益博睿信用局API端口，幾乎可以查詢?nèi)魏我粋€(gè)美國(guó)人的信用評(píng)分，訪問(wèn)沒(méi)有受到絲毫限制。

該端口名為Experian Connect API，允許貸款人自動(dòng)進(jìn)行FICO分?jǐn)?shù)查詢。Demirkapi通過(guò)建立一個(gè)名為Bill’s Cool Credit Score Lookup Utility的命令行工具，即使在出生日期字段中用零代替，仍可以自動(dòng)查詢幾乎所有人的信用分?jǐn)?shù)。此外，通過(guò)該API端口，還可以獲取益博睿用戶更為詳細(xì)的信用記錄和信用預(yù)警，例如某用戶消費(fèi)金融賬戶過(guò)多等。益博睿公司表示已經(jīng)解決了該問(wèn)題，并否認(rèn)了該問(wèn)題將帶來(lái)系統(tǒng)性威脅的可能。

無(wú)獨(dú)有偶，LinkedIn數(shù)據(jù)在暗網(wǎng)上出售也成為2021年備受關(guān)注的數(shù)據(jù)泄露事件。

2021年4月和6月，LinkedIn相繼發(fā)生數(shù)據(jù)泄露事件， 5億LinkedIn會(huì)員受到影響。一個(gè)自稱是GOD User TomLiner黑客在RaidForums上發(fā)布了一條包含7億條LinkedIn賬號(hào)待售記錄的帖子。該條帖子包含100萬(wàn)條賬號(hào)記錄，證明系LinkedIn會(huì)員信息，經(jīng)Privacy Sharks檢測(cè)發(fā)現(xiàn)，泄露數(shù)據(jù)包括姓名、性別、電子郵件地址、電話號(hào)碼和行業(yè)信息等內(nèi)容。

截至目前仍然不清楚數(shù)據(jù)的具體來(lái)源，外界猜測(cè)相關(guān)數(shù)據(jù)可能源于公開資料的抓取。LinkedIn堅(jiān)稱數(shù)據(jù)庫(kù)并沒(méi)有被外來(lái)者入侵。

不過(guò)即便如此，LinkedIn用戶數(shù)據(jù)泄露所其帶來(lái)的安全影響也是巨大的，因?yàn)檫@些緩存記錄可被不法分子用來(lái)暴力破解賬戶密碼、電子郵件，從而實(shí)施電話詐騙、網(wǎng)絡(luò)釣魚、身份盜竊等活動(dòng)。更重要的是，這些數(shù)據(jù)可能形成一個(gè)社交工程的“金礦”，攻擊者輕輕松松就通過(guò)訪問(wèn)該檔案獲取不少目標(biāo)用戶的個(gè)人信息，進(jìn)而實(shí)施有針對(duì)性的詐騙。

關(guān)鍵零日漏洞

關(guān)鍵零日漏洞，這是一個(gè)永恒的話題，但2021年的惡性事件，要從Log4Shell說(shuō)起。

Log4Shell漏洞是Java日志庫(kù)Apache Log4j中的一個(gè)關(guān)鍵漏洞，允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行（RCE）和完全接管服務(wù)器，目前，該漏洞仍在野外被積極利用。

該漏洞（CVE-2021-44228）首次出現(xiàn)在Minecraft游戲網(wǎng)站后，Apache匆忙發(fā)布補(bǔ)丁，但在1～2天內(nèi)，由于威脅者試圖利用這個(gè)新漏洞，攻擊逐漸變得猖獗起來(lái)。自此之后，關(guān)于額外的利用載體、第二個(gè)漏洞、攻擊之兇猛及波及面的擴(kuò)大新聞，就霸占了12月的全部頭條。

NSO公司針對(duì)Apple的“零點(diǎn)擊”攻擊事件

9月，研究人員發(fā)現(xiàn)了一個(gè)被稱為ForcedEntry be的零點(diǎn)擊漏洞，蘋果包括iPhone，iPad、Mac，Apple Watch在內(nèi)的所有產(chǎn)品均受到影響。結(jié)果顯示，該漏洞被NSO公司利用來(lái)安裝臭名昭著的Pegasus間諜軟件。

雖然蘋果公司推出了緊急修復(fù)程序，但Citizen Lab已經(jīng)觀察到NSO公司通過(guò)iMessage渠道實(shí)施了非法監(jiān)控活動(dòng)，而其中所利用的正是該漏洞。

Palo Alto安全設(shè)備中的巨大零日漏洞

來(lái)自Randori的研究人員開發(fā)了一個(gè)有效的利用程序，通過(guò)關(guān)鍵漏洞CVE 2021-3064在Palo Alto Networks的GlobalProtect防火墻上獲得遠(yuǎn)程代碼執(zhí)行（RCE）。Randori研究人員表示，如果攻擊者成功利用該漏洞，他們可以獲得目標(biāo)系統(tǒng)的Shell，訪問(wèn)敏感配置數(shù)據(jù)，提取憑據(jù)等?！耙坏┕粽呖刂屏朔阑饓?，他們就可以訪問(wèn)內(nèi)網(wǎng)，并繼續(xù)橫向移動(dòng)?！敝档脩c幸的是，Palo Alto Networks在信息披露當(dāng)天修補(bǔ)了該漏洞。

谷歌內(nèi)存零日漏洞

2021年3月，谷歌急忙修復(fù)Chrome瀏覽器中的一個(gè)受到主動(dòng)攻擊的漏洞。該漏洞是一個(gè)釋放后使用漏洞，允許遠(yuǎn)程攻擊者利用漏洞構(gòu)建惡意WEB頁(yè)，誘使用戶解析，可使應(yīng)用程序崩潰或執(zhí)行任意代碼。

“通過(guò)說(shuō)服受害者訪問(wèn)特制網(wǎng)站，遠(yuǎn)程攻擊者可以利用此漏洞執(zhí)行任意代碼或在系統(tǒng)上造成拒絕服務(wù)條件，”IBM X-Force對(duì)該漏洞報(bào)告寫道。

戴爾內(nèi)核權(quán)限漏洞

不久前，研究者在部分戴爾個(gè)人電腦、平板電腦和筆記本電腦中發(fā)現(xiàn)了5個(gè)隱藏了12年的嚴(yán)重安全漏洞，這些產(chǎn)品均在2009年前后銷往市場(chǎng)。根據(jù)SentinelLabs的說(shuō)法，這些安全漏洞可以繞過(guò)防火墻或其他安全防護(hù)產(chǎn)品的保護(hù)，在目標(biāo)設(shè)備商執(zhí)行代碼，并通過(guò)局域網(wǎng)或是互聯(lián)網(wǎng)向其他設(shè)備進(jìn)行橫向移動(dòng)滲透。

研究人員說(shuō)，這些漏洞隱藏在戴爾的固件更新驅(qū)動(dòng)程序中，可能影響到數(shù)億臺(tái)戴爾電腦設(shè)備。自2009年以來(lái)，戴爾固件更新驅(qū)動(dòng)程序版本2.3（dbutil_2_3.sys）模塊中存在多個(gè)本地權(quán)限提升（LPE）漏洞。驅(qū)動(dòng)程序組件通過(guò)戴爾BIOS實(shí)用程序處理戴爾固件更新，將漏洞“預(yù)先安裝”在大多數(shù)運(yùn)行Windows系統(tǒng)的戴爾機(jī)器上。

軟件供應(yīng)鏈和代碼庫(kù)危機(jī)

軟件供應(yīng)鏈以開源代碼存儲(chǔ)庫(kù)為基礎(chǔ)，開發(fā)人員可以在集中位置上傳軟件包，供開發(fā)人員在構(gòu)建各種應(yīng)用程序、服務(wù)和其他項(xiàng)目時(shí)使用。它們包括GitHub，以及更專業(yè)的存儲(chǔ)庫(kù)，如Java的Node.js包管理器（npm）代碼存儲(chǔ)庫(kù)、Ruby編程語(yǔ)言的RubyGems、Python包索引（PyPI）等。

這些軟件包管理器在提供便利的同時(shí)，也成為了全新的供應(yīng)鏈威脅，因?yàn)槿魏稳硕伎梢韵蛩鼈兩蟼鞔a，而這些代碼又能在不知不覺(jué)中滲入各類應(yīng)用程序中。

更為重要的是，一個(gè)單一的惡意軟件包可以被植入加密礦工、信息竊取器等不同的項(xiàng)目中，并進(jìn)一步感染，使修復(fù)過(guò)程變得極其復(fù)雜。

由于操作簡(jiǎn)單，危害性又極為嚴(yán)重，因此網(wǎng)絡(luò)犯罪分子蜂擁而至。例如，12月在npm中發(fā)現(xiàn)了17個(gè)系列惡意包，它們都是針對(duì)虛擬會(huì)議平臺(tái)Discord而構(gòu)建的，目的是為了竊取Discord令牌，從而接管賬戶。

同樣在當(dāng)月，托管在PyPI代碼存儲(chǔ)庫(kù)中的3個(gè)惡意軟件包被發(fā)現(xiàn)，總共有超過(guò)12 000次下載，可能已經(jīng)潛入各種應(yīng)用程序的安裝中。這些軟件包包括一個(gè)用于在受害者設(shè)備建立后門的木馬程序和2個(gè)信息竊取程序。

研究人員還發(fā)現(xiàn)，Maven Central生態(tài)系統(tǒng)中有17 000個(gè)未打補(bǔ)丁的Log4j Java包，使得Log4Shell漏洞利用帶來(lái)的巨大供應(yīng)鏈風(fēng)險(xiǎn)顯而易見(jiàn)。谷歌安全團(tuán)隊(duì)表示，這可能需要數(shù)年的時(shí)間來(lái)修復(fù)整個(gè)生態(tài)系統(tǒng)。

狡猾的勒索軟件變體

2021年，勒索軟件為一種日益嚴(yán)重的威脅，此類網(wǎng)絡(luò)犯罪的復(fù)雜性和創(chuàng)新水平不斷提高。用來(lái)鎖定文件的惡意軟件，已不再是簡(jiǎn)單地在目標(biāo)文件夾上加一個(gè)擴(kuò)展名。關(guān)于勒索軟件的變體及進(jìn)展，主要有以下三大發(fā)現(xiàn)：

HelloKitty：以虛擬機(jī)為目標(biāo)

2021年6月，研究人員首次公開了HelloKitty勒索軟件團(tuán)伙使用的一種Linux加密器。

HelloKitty是2月份攻擊電子游戲開發(fā)商CD Projekt Red的幕后黑手，它開發(fā)了許多Linux ELF-64版本的勒索軟件，用于攻擊VMware ESXi服務(wù)器和運(yùn)行在它們上面的虛擬機(jī)（VM）。

VMware ESXi（ESX），是一種裸機(jī)管理程序，可以輕松安裝到服務(wù)器上，并將其分割為多個(gè)虛擬機(jī)系統(tǒng)。盡管這使得多個(gè)虛擬機(jī)共享相同的硬盤存儲(chǔ)變得容易，但增加了系統(tǒng)遭受攻擊的風(fēng)險(xiǎn)。由于多個(gè)虛擬機(jī)共用同一個(gè)儲(chǔ)存系統(tǒng)，因此一旦數(shù)據(jù)被鎖，攻擊者就可以直接攻陷多個(gè)服務(wù)器系統(tǒng)。

MosesStaff：“失蹤”的密鑰

11月，一個(gè)名為MosesStaff的團(tuán)體向以色列相關(guān)機(jī)構(gòu)發(fā)起攻擊，攻擊最終使以色列網(wǎng)絡(luò)系統(tǒng)陷入癱瘓。

與一般網(wǎng)絡(luò)勒索案件不同的是，MosesStaff并不求財(cái)，它用盡手段加密網(wǎng)絡(luò)和竊取信息，只是源于政治意圖。該組織還在社交媒體上保持活躍，通過(guò)各種渠道發(fā)布煽動(dòng)性的信息和視頻，并讓外界知道它的所作所為。

Epsilon Red以Exchange服務(wù)器為目標(biāo)

6月份，研究員發(fā)現(xiàn)，某攻擊者在一組PowerShell腳本的基礎(chǔ)上部署了新的勒索軟件，這些腳本是利用未打補(bǔ)丁的Exchange服務(wù)器的漏洞而開發(fā)的。

Epsilon Red勒索軟件是在對(duì)美國(guó)一家酒店公司攻擊時(shí)被發(fā)現(xiàn)的，其命名來(lái)自X戰(zhàn)警漫威漫畫中一個(gè)不起眼的敵人角色，一名有著4個(gè)機(jī)械觸手的俄羅斯超級(jí)士兵。

研究人員表示，該勒索軟件的入侵模式與一般勒索軟件有所不同。雖然該惡意軟件本身是一個(gè)用Go編程語(yǔ)言編程的64位Windows可執(zhí)行程序，但其交付系統(tǒng)依賴于一系列PowerShell腳本。

游戲安全

連續(xù)兩年，游戲安全成為關(guān)注的焦點(diǎn)，這可能是因?yàn)槿蛞咔榱餍型聘吡擞螒蛐枨螅W(wǎng)絡(luò)犯罪分子也瞄準(zhǔn)該領(lǐng)域。在卡巴斯基最近的一項(xiàng)調(diào)查中，近61 %的人遇到過(guò)諸如ID盜竊、詐騙或游戲內(nèi)貴重物品被盜的情況。下面概述了一些相關(guān)事件。

SteamHide風(fēng)波

2021年6月，出現(xiàn)了名為SteamHide的惡意軟件，利用游戲平臺(tái)Steam的個(gè)人資料頭像進(jìn)行傳播。

根據(jù)G Data公司的研究，惡意軟件并不會(huì)直接感染Steam，而是將它作為傳播渠道。SteamHide會(huì)通過(guò)電子郵件首次傳播，隨后快速感染目標(biāo)設(shè)備上的Steam平臺(tái)，存有惡意代碼的圖片會(huì)替換掉原有的Steam個(gè)人資料頭像。當(dāng)用戶的好友訪問(wèn)到這張頭像時(shí)，就會(huì)自動(dòng)感染SteamHide。

事實(shí)上，隱寫技術(shù)并不是什么新興技術(shù)，只不過(guò)SteamHide能夠想到利用隱寫和Steam平臺(tái)好友訪問(wèn)來(lái)實(shí)施網(wǎng)絡(luò)犯罪，其創(chuàng)意還是讓人為之震驚。

Twitch源代碼泄露

2021年10月，一個(gè)匿名用戶在4chan上發(fā)布了大小為125 GB的數(shù)據(jù)鏈接，其中包含Twitch的所有源代碼，可以追溯到Twitch成立伊始的所有數(shù)據(jù)，包括用戶評(píng)論、用戶付費(fèi)信息等。

攻擊者聲稱洗劫了Twitch直播平臺(tái)的一切，而Twitch則證實(shí)了這一事件的真實(shí)性。值得慶幸的是，攻擊者并沒(méi)有謀求錢財(cái)，發(fā)起攻擊完全為了發(fā)泄對(duì)于Twitch規(guī)則的不滿，攻擊者希望能以此完善Twitch的用戶規(guī)則。

竊取Steam的Discord騙局

11月，一種新的騙局開始在Discord上傳播，網(wǎng)絡(luò)犯罪分子可以通過(guò)它獲取Steam帳戶信息，并利用帳戶中的有用數(shù)據(jù)實(shí)施詐騙。

以游戲玩家為目標(biāo)的Discord騙局屢見(jiàn)不鮮，而它卻玩出了新意。研究人員指出，新模式跨越了Discord和Stream游戲平臺(tái)，騙子提供所謂的免費(fèi)訂閱Nitro（一種Discord插件，可以實(shí)現(xiàn)頭像、自定義表情符號(hào)、個(gè)人資料徽章、更大的上傳及服務(wù)器提升等），以換取兩個(gè)賬戶的鏈接。

目標(biāo)用戶會(huì)在Discord上收到一條惡意鏈接，其中描述了不少好處，包括獲得免費(fèi)游戲或游戲道具，而用戶需要做的只是“鏈接你的Steam賬戶”。點(diǎn)擊惡意鏈接會(huì)將用戶帶到一個(gè)虛假的Discord頁(yè)面，上面有一個(gè)按鈕，寫著“獲得Nitro”。一旦受害者點(diǎn)擊該按鈕，該網(wǎng)站似乎會(huì)提供一個(gè)與Steam頁(yè)面類似的彈出式廣告，但研究人員解釋說(shuō)，該廣告仍是惡意網(wǎng)站的一部分。

該策略旨在欺騙用戶認(rèn)為他們被帶到Steam平臺(tái)，以輸入他們的登錄信息，實(shí)際上，騙子已經(jīng)準(zhǔn)備好接收你的賬戶數(shù)據(jù)了。

PlayStation3被Ban了

2021年6月，由于索尼疏于管理，一個(gè)包含所有Play Station3游戲機(jī)序列號(hào)的文件夾以明文的方式放在網(wǎng)上。這給不法分子提供了可乘之機(jī)，導(dǎo)致部分PlayStation 3玩家的主機(jī)直接被Ban，無(wú)法正常使用。

2021年4月中旬，一個(gè)名為The WizWiki的西班牙YouTuber發(fā)現(xiàn)，索尼在網(wǎng)上留下了一個(gè)包含所有PS3游戲機(jī)ID的文件夾，沒(méi)有任何安全保障可言。而到了6月，PlayStation網(wǎng)絡(luò)留言板上的玩家開始抱怨他們無(wú)法登錄。

用戶猜測(cè)，威脅者使用偷來(lái)的PS3游戲機(jī)ID進(jìn)行惡意操作，導(dǎo)致合法玩家被禁。但索尼并未確認(rèn)這二者之間存在必然的聯(lián)系。

十二宮殺手密碼終被破解

困擾美國(guó)警方半個(gè)多世紀(jì)的“十二宮殺手”密碼，2020年12月被某數(shù)學(xué)家團(tuán)隊(duì)破解。

據(jù)報(bào)道，1960年代末和1970年代初，連環(huán)殺手在北加利福尼亞地區(qū)及其周邊地區(qū)謀殺了至少5人。這位至今未具名的兇手向當(dāng)?shù)貓?bào)紙媒體發(fā)送了4串加密信息，吹噓自己的罪行并包含神秘的圖標(biāo)，這為他贏得了“黃道十二宮”的綽號(hào)。

第一串密碼很快被破譯，但以340字符命名的340 Cipher更難破譯。澳大利亞數(shù)學(xué)家Sam Blake計(jì)算出650 000種解讀方式。比利時(shí)一名倉(cāng)庫(kù)操作員Jarl Van Eycke編寫了一個(gè)軟件來(lái)破解密碼。這一獨(dú)特的密碼破解方式有了回音，并且得到了FBI的官方確認(rèn)。

雖然神秘的連環(huán)殺手的名字還不為人知，但這一突破代表著密碼學(xué)和網(wǎng)絡(luò)安全中訪問(wèn)控制和分割的勝利。