惡意軟件制造者詭計多端 使用“小眾”編程語言逃避常見安全檢測

黑莓研究人員報告稱，不常見的編程語言包括 Go、Rust、Nim和DLang正在成為惡意軟件作者的最愛，它們試圖繞過安全防御或解決開發(fā)過程中的弱點。攻擊者使用新編程語言并不新鮮，研究團(tuán)隊注意到這四種語言的惡意用途增加，使用它們的惡意軟件家族數(shù)量同時增多。研究人員指出，這些語言變得越來越發(fā)達(dá)，并預(yù)計隨著趨勢的繼續(xù)，它們的使用者會日益增多。攻擊者采用一種新的編程語言有如下幾個原因：它可以解決現(xiàn)有語言的弱點，或者為開發(fā)人員提供更簡單的語法、更有效的內(nèi)存管理或性能提升。研究人員同時指出，新語言也可能更適合現(xiàn)有的設(shè)備環(huán)境，比如，大多數(shù)使用低級語言的物聯(lián)網(wǎng)設(shè)備。當(dāng)攻擊者利用這些特點時，就會對防御者構(gòu)成挑戰(zhàn)。惡意軟件分析工具并不總是支持鮮為人知的語言，與C或C++ 等傳統(tǒng)語言相比，用Go、Rust、Nim和 DLang 編寫的二進(jìn)制文件在反匯編時可能會顯得更加復(fù)雜。

普普點評：

用這些鮮為人知的語言編寫的惡意軟件通常不會像用更常見和成熟的語言編寫的惡意軟件那樣被檢測到，軟件檢測及分析工具要和惡意軟件同步還需要一段時間，但企業(yè)及組織的安全意識必須提高起來，要積極主動去防御新出現(xiàn)的技術(shù)和惡意軟件手段。加強軟件安全防御能力，從底層源代碼安全檢測做起，不給惡意軟件可乘之機。

2021年威脅情報發(fā)展報告：近半公司被不準(zhǔn)確或過時的威脅情報困擾

深網(wǎng)與暗網(wǎng)的體量是僅次于美國和中國的世界第三大經(jīng)濟(jì)體，換句話說，如果你是網(wǎng)絡(luò)罪犯就必須與之產(chǎn)生接觸根據(jù)分析，許多公司都開始收集深網(wǎng)和暗網(wǎng)的情報，也了解了情報更新的重要性。但收集情報的速度與質(zhì)量以及這些情報對公司網(wǎng)絡(luò)安全的影響存在著巨大的鴻溝。以色列的威脅情報公司 Cybersixgill 認(rèn)為，由于數(shù)據(jù)質(zhì)量較差、缺乏上下文等問題，想要利用暗網(wǎng)的情報仍然存在許多問題。根據(jù)報告可以發(fā)現(xiàn)：在過去的一年中，有 25% 的公司經(jīng)歷了六次以上的安全違規(guī)事件，35% 的公司認(rèn)為補充新的威脅情報需要 12 小時以上的時間才能開始進(jìn)行升級和補救，35% 的公司會使用七個以上的威脅情報數(shù)據(jù)源，95% 的公司中威脅情報分析人員每周都會因為誤報浪費一個小時以上的時間，40% 的公司認(rèn)為威脅情報最大的痛點在于缺乏上下文?？偨Y(jié)來說，這些公司擁有的情報數(shù)據(jù)非常容易導(dǎo)致誤報，同時由于缺乏全局的理解也無法保證網(wǎng)絡(luò)防御策略保護(hù)公司免受攻擊。

普普點評：

威脅情報是包含漏洞、資產(chǎn)、威脅、風(fēng)險、運行和事件等多維度安全知識在內(nèi)的知識集合?！缎畔踩夹g(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》中，首次提出了對“威脅情報檢測系統(tǒng)”和“威脅情報庫”的要求。威脅情報可以幫助企業(yè)安全人員了解其所在行業(yè)的威脅環(huán)境，有哪些攻擊者，攻擊者使用的戰(zhàn)術(shù)技術(shù)等。威脅情報幫助其了解企業(yè)自身正在遭受或未來面臨的威脅，并為高層決策提供建議。

Zimbra新漏洞或造成20萬家企業(yè)數(shù)據(jù)泄漏

Zimbra是一套開源協(xié)同辦公套件，包括WebMail、日歷、通信錄、Web文檔管理和創(chuàng)作。它通過將終端用戶的信息和活動連接到私有云中，為用戶提供了最具創(chuàng)新性的消息接收體驗，因此每天有超過20萬家企業(yè)和1000多家政府、金融機構(gòu)使用Zimbra與數(shù)百萬用戶交換電子郵件。SonarSource的專家近期披露了開源 Zimbra代碼中的兩個漏洞。這些漏洞可能使未經(jīng)身份驗證的攻擊者破壞目標(biāo)企業(yè)的Zimbra網(wǎng)絡(luò)郵件服務(wù)器。借此，攻擊者就可以不受限制的訪問所有員工通過Zimbra傳輸?shù)碾娮余]件內(nèi)容。劫持Zimbra服務(wù)器的兩個漏洞：CVE-2021-35208跨站點腳本漏洞，CVE-2021-35209服務(wù)器端請求偽造漏洞。安全專家表示，當(dāng)用戶瀏覽查看Zimbra傳入的惡意電子郵件時，就會觸發(fā)跨站點腳本漏洞。惡意電子郵件會包含一個精心設(shè)計的JavaScript有效負(fù)載，當(dāng)該負(fù)載被執(zhí)行時，攻擊者將能夠訪問受害者所有的電子郵件。另一個服務(wù)器端請求偽造漏洞，繞過了訪問控制的允許列表，該漏洞可以被任何權(quán)限角色的經(jīng)過身份驗證的組織成員利用。

普普點評：

隨著虛擬化協(xié)同辦公發(fā)展的深入，國內(nèi)的開源協(xié)同辦公軟件也逐漸成熟起來，然而Zimbra漏洞的披露彰顯了軟件供應(yīng)鏈安全的脆弱性。這一事件也提醒我們，軟件供應(yīng)鏈安全的提升需要從兩個維度出發(fā)，其一，對于軟件供應(yīng)商來說，通過軟件開發(fā)安全的相關(guān)流程來增強軟件安全性變得愈加重要；其二，對于軟件使用者，企業(yè)要提升員工的安全意識，軟件產(chǎn)品的穩(wěn)定性和安全性不是堅不可摧的，我們在使用過程中對于一些“可疑”的使用情況要提高警惕性。

診療系統(tǒng)癱瘓 西安警方偵破一起破壞醫(yī)院計算機信息系統(tǒng)案

普普點評：

《中華人民共和國刑法》第二百八十六條：違反國家規(guī)定，對計算機信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。離職員工與原工作單位有糾紛的，應(yīng)采取正確方法維護(hù)個人利益，施行違法行為滿足報復(fù)心理，只會得不償失。

工信部：企業(yè)應(yīng)將保護(hù)數(shù)據(jù)安全作為生產(chǎn)經(jīng)營的底線和紅線

7月28日，工信部網(wǎng)絡(luò)安全管理局委托中國互聯(lián)網(wǎng)協(xié)會組織召開重點互聯(lián)網(wǎng)企業(yè)貫徹落實數(shù)據(jù)安全法座談會。中國互聯(lián)網(wǎng)協(xié)會、中國信息通信研究院及阿里、騰訊、美團(tuán)、奇安信、小米、京東、微博、字節(jié)跳動、58同城、百度、拼多多、螞蟻集團(tuán)等12家企業(yè)近40人參會。工信部強調(diào)，做好重點互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全保護(hù)工作，對于貫徹《數(shù)據(jù)安全法》、維護(hù)國家安全有重要意義。會上，工信部要求各企業(yè)貫徹總體國家安全觀，深入貫徹落實《數(shù)據(jù)安全法》，切實加強數(shù)據(jù)安全保護(hù)。工信部表示，一是認(rèn)真學(xué)習(xí)貫徹法律明確的監(jiān)管機制、制度體系、主體責(zé)任、保護(hù)義務(wù)等要求，做到知法、懂法、守法，將保護(hù)數(shù)據(jù)安全作為企業(yè)生產(chǎn)經(jīng)營的底線和紅線，維護(hù)國家主權(quán)、安全和發(fā)展利益；二是強化大型互聯(lián)網(wǎng)企業(yè)責(zé)任擔(dān)當(dāng)，切實履行數(shù)據(jù)保護(hù)義務(wù)，企業(yè)要加強組織領(lǐng)導(dǎo)，明確數(shù)據(jù)安全責(zé)任部門和責(zé)任人，建立全生命周期的數(shù)據(jù)安全管理體系和機制，采取相應(yīng)的技術(shù)措施開展風(fēng)險監(jiān)測和應(yīng)急處置，加強重要數(shù)據(jù)安全風(fēng)險評估和出境管理；三是共同構(gòu)建協(xié)同共治的行業(yè)數(shù)據(jù)安全監(jiān)管體系，鼓勵企業(yè)積極參與數(shù)據(jù)安全標(biāo)準(zhǔn)研制、關(guān)鍵技術(shù)研發(fā)等工作，并主動配合行業(yè)監(jiān)管。6月10日，數(shù)據(jù)安全法經(jīng)十三屆全國人大常委會第二十九次會議表決通過，將自今年9月1日起正式施行。相較于前兩次的審議稿，正式出臺的數(shù)據(jù)安全法首次提出“國家核心數(shù)據(jù)”概念，并規(guī)定違反國家核心數(shù)據(jù)管理制度情節(jié)嚴(yán)重最高可罰一千萬元。

普普點評：

近日來，工信部對互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全方面的整治動作不斷，尤其是企業(yè)在數(shù)據(jù)收集、傳輸、存儲及對外提供等環(huán)節(jié)是近期社會輿論關(guān)注的重點，保護(hù)用戶的數(shù)據(jù)安全，需要相關(guān)企業(yè)必須要履行的社會責(zé)任。

你的屏幕被“偷”了 新惡意軟件Vultur已控制數(shù)千臺設(shè)備

最近研究人員在 Google Play 中發(fā)現(xiàn)一種新型 Android 惡意軟件，已經(jīng)波及了一百多個銀行和加密貨幣應(yīng)用程序。荷蘭安全公司 ThreatFabric 的研究人員將該種惡意軟件命名為 Vultur。該惡意軟件會在目標(biāo)應(yīng)用程序打開時記錄屏幕，Vultur 會使用 VNC 屏幕共享將失陷主機的屏幕鏡像到攻擊者控制的服務(wù)器。Vultur 的攻擊是可以擴展并自動化的，欺詐的手法可以在后端編寫腳本并下發(fā)到受害設(shè)備。與許多 Android 銀行木馬程序一樣，Vultur 嚴(yán)重依賴于移動操作系統(tǒng)中內(nèi)置的輔助功能服務(wù)。首次安裝時，Vultur 會濫用這些服務(wù)來獲取所需的權(quán)限。而一旦安裝成功，Vultur 就會監(jiān)控所有觸發(fā)無障礙服務(wù)的請求。Vultur 使用這些服務(wù)監(jiān)測來自目標(biāo)應(yīng)用程序的請求，而且還使用這些服務(wù)通過一般手段對惡意軟件進(jìn)行刪除和清理。每當(dāng)用戶嘗試訪問 Android 設(shè)置中的應(yīng)用程序詳細(xì)信息頁時，Vultur 都會自動單擊后退按鈕。這會妨礙用戶點擊卸載按鈕，而且 Vultur 也隱藏了它自己的圖標(biāo)。安裝成功后，Vultur 會使用? VNC 開始進(jìn)行屏幕錄制。Vultur 針對103 個 Android 銀行應(yīng)用程序或加密貨幣應(yīng)用程序進(jìn)行竊密，意大利、澳大利亞和西班牙是受攻擊最多的國家。除了銀行應(yīng)用程序和加密貨幣應(yīng)用程序外，該惡意軟件還會收集 Facebook、WhatsApp Messenger、TikTok 和 Viber Messenger 的憑據(jù)。

普普點評：

安卓手機用戶為避免手機被惡意應(yīng)用程序劫持，應(yīng)該在正規(guī)軟件商店下載手機APP，且盡可能只安裝來自知名廠商的應(yīng)用程序，應(yīng)用安裝后應(yīng)仔細(xì)閱讀 APP 的授權(quán)條款，盡量關(guān)閉不必要的 APP 后臺權(quán)限。

微軟示警：近期網(wǎng)絡(luò)釣魚郵件肆虐 以巧妙方式欺騙用戶點擊鏈接下載附件

普普點評：

5招識別釣魚郵件：一看發(fā)件人地址，二看郵件標(biāo)題，三看正文措辭，四看正文目的，五看正文內(nèi)容；防范釣魚郵件做到5不要：不要輕信發(fā)件人地址中顯示的“顯示名”，不要輕易點開陌生郵件中的鏈接，不要放松對“熟人”郵件的警惕，不要使用公共場所的網(wǎng)絡(luò)設(shè)備執(zhí)行敏感操作，不要將敏感信息發(fā)布到網(wǎng)上。