根據(jù)CNBC透露的消息，暗網(wǎng)中所有跟REvil勒索軟件團(tuán)伙相關(guān)的網(wǎng)站從7月13日開始就全部神秘消失了。目前我們還尚不清楚是什么原因?qū)е碌?，因?yàn)檫@些網(wǎng)站最近一直都處于極度活躍狀態(tài)，而現(xiàn)在當(dāng)用戶訪問相關(guān)網(wǎng)站時(shí)，返回的只是“找不到具有指定主機(jī)名的服務(wù)器”。

勒索軟件REvil也被稱為Sodinokibi，是一個(gè)由俄羅斯網(wǎng)絡(luò)犯罪團(tuán)伙運(yùn)營的勒索軟件。REvil 勒索病毒稱得上是 GandCrab的“接班人”。GandCrab 是曾經(jīng)最大的 RaaS(勒索軟件即服務(wù))運(yùn)營商之一，在賺得盆滿缽滿后于 2019 年 6 月宣布停止更新。

隨后，另一個(gè)勒索運(yùn)營商買下了 GandCrab 的代碼，即最早被人們稱作 Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvil Decryptor”作為程序名稱，又被稱為 REvil 勒索病毒。

目前，我們還不清楚是何原因?qū)е赂鶵Evil勒索軟件相關(guān)的暗網(wǎng)網(wǎng)站消失下線。但這一事件已經(jīng)引發(fā)了安全社區(qū)內(nèi)研究人員的熱烈討論，很多人認(rèn)為可能是當(dāng)局所采取的措施。

電子郵件安全公司Egress對(duì)美國和英國的500名IT領(lǐng)導(dǎo)者和3,000名員工進(jìn)行的一項(xiàng)新調(diào)查顯示，在過去一年中，94%的企業(yè)都經(jīng)歷了內(nèi)部數(shù)據(jù)泄漏。

84%受訪的IT領(lǐng)導(dǎo)層工作者表示，人為錯(cuò)誤是導(dǎo)致嚴(yán)重事故的首要原因。然而，受訪者更關(guān)心內(nèi)部人員的惡意行為，28%的受訪者表示故意惡意行為是他們最大的恐懼。盡管造成的事故最多，但人為錯(cuò)誤在IT領(lǐng)導(dǎo)層的擔(dān)心列表里依然排名墊底，只有21%的受訪者表示人為錯(cuò)誤是他們最擔(dān)心的問題。不過56%的受訪者認(rèn)為遠(yuǎn)程/混合工作將使防止人為錯(cuò)誤或網(wǎng)絡(luò)釣魚造成的數(shù)據(jù)泄漏變得更加困難，但61%的員工認(rèn)為他們?cè)诩夜ぷ鲿r(shí)造成違規(guī)的可能性與在公司并無區(qū)別甚至更小。從漏洞的原因來看，74%的企業(yè)因員工違反安全規(guī)則而遭到利用，73%的企業(yè)成為網(wǎng)絡(luò)釣魚攻擊的受害者。

在調(diào)查員工是否會(huì)如實(shí)上報(bào)觸犯了違規(guī)行為時(shí)，97%的員工表示會(huì)如實(shí)上報(bào)，這對(duì)55%要依靠員工提醒他們是否發(fā)生了安全事件的IT領(lǐng)導(dǎo)者來說是個(gè)好消息。但誠實(shí)可能并不會(huì)有回報(bào)，因?yàn)?9%的事件都會(huì)對(duì)涉事員工產(chǎn)生消極影響。

新的研究表明，在2021年上半年，關(guān)鍵制造業(yè)的漏洞增加了148%，基于勒索軟件的全套服務(wù)(RaaS)驅(qū)動(dòng)了大部分攻擊數(shù)量的增幅。Nozomi Networks的報(bào)告發(fā)現(xiàn)ICS-CERT的漏洞也增加了44%。制造業(yè)是最容易受到影響的行業(yè)，而能源行業(yè)也被證明是脆弱的。

Nozomi Networks聯(lián)合創(chuàng)始人兼首席技術(shù)官M(fèi)oreno Carullo說：'Colonial Pipeline、JBS和最新的Kaseya軟件供應(yīng)鏈攻擊都是痛苦的教訓(xùn)，說明勒索軟件攻擊的威脅是真實(shí)的。安全專業(yè)人員必須用網(wǎng)絡(luò)安全和可視性解決方案來武裝自己，這些解決方案要納入實(shí)時(shí)威脅情報(bào)，并使之能夠以可操作的建議和計(jì)劃來快速應(yīng)對(duì)。了解這些犯罪組織的工作方式，并預(yù)測(cè)未來的攻擊，對(duì)于他們抵御這種不幸的新常態(tài)至關(guān)重要。'

物聯(lián)網(wǎng)安全攝像機(jī)也在顯示出弱點(diǎn)。預(yù)計(jì)今年全球?qū)⒂谐^10億臺(tái)網(wǎng)絡(luò)攝像機(jī)投入生產(chǎn)，不安全的物聯(lián)網(wǎng)安全攝像機(jī)是一個(gè)日益嚴(yán)重的問題。該報(bào)告包括對(duì)Verkada漏洞以及Reolink相機(jī)和ThroughTek軟件的安全漏洞的分析。

南亞地區(qū)一直以來都是APT 組織攻擊活動(dòng)的活躍區(qū)域之一。自2013年5月國外安全公司Norman披露 Hangover 行動(dòng)（即摩訶草組織）以來，先后出現(xiàn)了多個(gè)不同命名的APT組織在該地域持續(xù)性的活躍，并且延伸出錯(cuò)綜復(fù)雜的關(guān)聯(lián)性，包括摩訶草(APT-C-09、HangOver、Patchwork、白象)、蔓靈花(APT-C-08、BITTE)、肚腦蟲(APT-C-35、Donot)、魔羅桫(Confucius)、響尾蛇(Sidewinder、APT-C-17) 等。

造成歸屬問題的主要因素是上述 APT 活動(dòng)大多使用非特定的攻擊載荷，各組織在使用的攻擊武器方面也有不同程度的重合。腳本化和多種語言開發(fā)的載荷也往往干擾著歸屬分析判斷，包括使用.Net、Delphi、AutoIt、Python、Powershell、Go等。但從歷史攻擊活動(dòng)來看，其也出現(xiàn)了一些共性：

同時(shí)具備攻擊Windows和Android平臺(tái)能力；

巴基斯坦是主要的攻擊目標(biāo)，部分組織也會(huì)攻擊中國境內(nèi)；

政府、軍事目標(biāo)是其攻擊的主要目標(biāo)，并且投放的誘餌文檔大多也圍繞該類熱點(diǎn)新聞。

長期以來，美國黑客組織持續(xù)對(duì)我國實(shí)施網(wǎng)絡(luò)攻擊。通過監(jiān)測(cè)分析，目前已發(fā)現(xiàn)多個(gè)美國黑客組織以我國黨政機(jī)關(guān)、事業(yè)單位、科研院所等重要敏感單位的網(wǎng)站和相關(guān)主機(jī)為主要目標(biāo)，實(shí)施漏洞掃描攻擊、暴力破解，DDoS攻擊等攻擊行為。本文選擇了3個(gè)較為典型的美國黑客組織進(jìn)行研究，分析其攻擊行為特征如下：

2020年10月發(fā)現(xiàn)的黑客組織A控制了位于美國的1065臺(tái)主機(jī)對(duì)中國2426臺(tái)目標(biāo)主機(jī)實(shí)施攻擊，攻擊對(duì)象主要為黨政機(jī)關(guān)和企事業(yè)單位，如某汽車動(dòng)力總成公司、某鋼鐵股份有限公司以及部分高校等。攻擊手段主要為SSH暴力破解、SNMP暴力破解等。

2020年10月發(fā)現(xiàn)的黑客組織B控制了位于美國的24臺(tái)主機(jī)對(duì)中國993臺(tái)目標(biāo)主機(jī)實(shí)施攻擊，攻擊對(duì)象主要為高校，涉及山西、廣西、廣東等省份；也有部分黨政機(jī)關(guān)，如某省科技委員會(huì)、某市商務(wù)局等。攻擊手段主要包括SNMP暴力破解、PHP代碼執(zhí)行漏洞、Struts2遠(yuǎn)程命令執(zhí)行漏洞等暴力破解和Web掃描攻擊。

2020年8月發(fā)現(xiàn)的黑客組織C控制了位于美國的5臺(tái)主機(jī)對(duì)中國119臺(tái)目標(biāo)主機(jī)實(shí)施攻擊，攻擊對(duì)象主要為高校，涉及廣東、北京等地。攻擊手段主要為PHP漏洞攻擊、SQL注入等Web類攻擊。?

PrintNightmare漏洞是近期企業(yè)面臨的主要安全風(fēng)險(xiǎn)，但讓微軟感到尷尬的是，上周緊急推出的補(bǔ)丁在社交媒體上被安全專家質(zhì)疑，認(rèn)為該補(bǔ)丁并不完善，可被黑客繞過。雖然微軟再次發(fā)布聲明聲稱補(bǔ)丁有效并且敦促所有企業(yè)用戶盡快更新，但近日又有消息傳出，說微軟的補(bǔ)丁會(huì)導(dǎo)致部分打印機(jī)出現(xiàn)問題。

PrintNightmare漏洞包含CVE-2021-1675 和CVE-2021-34527，其中一個(gè)是遠(yuǎn)程代碼執(zhí)行漏洞，另一個(gè)是本地提權(quán)漏洞。一個(gè)嚴(yán)峻問題是，在微軟發(fā)布補(bǔ)丁之前，漏洞利用代碼就已經(jīng)在公共領(lǐng)域開始傳播。

微軟指出，攻擊者可以利用該漏洞以系統(tǒng)權(quán)限編寫他們想要的任何代碼。從那里，他們可以安裝程序；查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新帳戶。但一些客戶安裝了補(bǔ)丁程序后，某些打印機(jī)出現(xiàn)了問題。

一位微軟客戶透露：“安裝此更新后，某些打印機(jī)可能會(huì)遇到問題。大多數(shù)受影響的打印機(jī)是通過USB連接的收據(jù)或標(biāo)簽打印機(jī)，說明這一情況與CVE-2021-34527或CVE-2021-1675無關(guān)。”?

近日，安全研究人員披露了惠普打印機(jī)驅(qū)動(dòng)程序中存在的一個(gè)提權(quán)漏洞的技術(shù)細(xì)節(jié)，該驅(qū)動(dòng)程序也被三星與施樂公司所使用。該漏洞影響了十六年間眾多版本的驅(qū)動(dòng)程序，可能波及上億臺(tái) Windows 計(jì)算機(jī)。攻擊者可以利用該漏洞執(zhí)行繞過安全防護(hù)軟件、安裝惡意軟件、查看/修改/加密/刪除數(shù)據(jù)、創(chuàng)建后門賬戶等操作。

SentinelOne 的研究人員表示，該漏洞(CVE-2021-3438)已經(jīng)在 Windows 系統(tǒng)中潛伏了 16 年之久，直到今年才被發(fā)現(xiàn)。它的 CVSS 評(píng)分為 8.8 分，是一個(gè)高危漏洞。

該漏洞存在與驅(qū)動(dòng)程序中控制輸入/輸出(IOCTL)的函數(shù)，在接收數(shù)據(jù)時(shí)沒有進(jìn)行驗(yàn)證。使得 strncpy在復(fù)制字符串時(shí)長度可以被用戶控制。這就使得攻擊者可以溢出驅(qū)動(dòng)程序的緩沖區(qū)。

因此，攻擊者可以利用該漏洞提權(quán)到 SYSTEM 級(jí)別，從而可以在內(nèi)核模式下執(zhí)行代碼。

存在漏洞的驅(qū)動(dòng)程序已在數(shù)百萬臺(tái)計(jì)算機(jī)中運(yùn)行了數(shù)年?；诖蛴C(jī)的攻擊向量是犯罪分子喜歡的完美工具，因?yàn)槠潋?qū)動(dòng)程序幾乎在所有 Windows 計(jì)算機(jī)中都存在，而且會(huì)自動(dòng)啟動(dòng)。