惡意軟件制造者詭計多端 使用“小眾”編程語言逃避常見安全檢測

黑莓研究人員報告稱，不常見的編程語言包括 Go、Rust、Nim和DLang正在成為惡意軟件作者的最愛，它們試圖繞過安全防御或解決開發(fā)過程中的弱點。攻擊者使用新編程語言并不新鮮，研究團隊注意到這四種語言的惡意用途增加，使用它們的惡意軟件家族數(shù)量同時增多。研究人員指出，這些語言變得越來越發(fā)達，并預計隨著趨勢的繼續(xù)，它們的使用者會日益增多。攻擊者采用一種新的編程語言有如下幾個原因：它可以解決現(xiàn)有語言的弱點，或者為開發(fā)人員提供更簡單的語法、更有效的內(nèi)存管理或性能提升。研究人員同時指出，新語言也可能更適合現(xiàn)有的設備環(huán)境，比如，大多數(shù)使用低級語言的物聯(lián)網(wǎng)設備。當攻擊者利用這些特點時，就會對防御者構成挑戰(zhàn)。惡意軟件分析工具并不總是支持鮮為人知的語言，與C或C++ 等傳統(tǒng)語言相比，用Go、Rust、Nim和 DLang 編寫的二進制文件在反匯編時可能會顯得更加復雜。

普普點評：

用這些鮮為人知的語言編寫的惡意軟件通常不會像用更常見和成熟的語言編寫的惡意軟件那樣被檢測到，軟件檢測及分析工具要和惡意軟件同步還需要一段時間，但企業(yè)及組織的安全意識必須提高起來，要積極主動去防御新出現(xiàn)的技術和惡意軟件手段。加強軟件安全防御能力，從底層源代碼安全檢測做起，不給惡意軟件可乘之機。

2021年威脅情報發(fā)展報告：近半公司被不準確或過時的威脅情報困擾

深網(wǎng)與暗網(wǎng)的體量是僅次于美國和中國的世界第三大經(jīng)濟體，換句話說，如果你是網(wǎng)絡罪犯就必須與之產(chǎn)生接觸根據(jù)分析，許多公司都開始收集深網(wǎng)和暗網(wǎng)的情報，也了解了情報更新的重要性。但收集情報的速度與質量以及這些情報對公司網(wǎng)絡安全的影響存在著巨大的鴻溝。以色列的威脅情報公司 Cybersixgill 認為，由于數(shù)據(jù)質量較差、缺乏上下文等問題，想要利用暗網(wǎng)的情報仍然存在許多問題。根據(jù)報告可以發(fā)現(xiàn)：在過去的一年中，有 25% 的公司經(jīng)歷了六次以上的安全違規(guī)事件，35% 的公司認為補充新的威脅情報需要 12 小時以上的時間才能開始進行升級和補救，35% 的公司會使用七個以上的威脅情報數(shù)據(jù)源，95% 的公司中威脅情報分析人員每周都會因為誤報浪費一個小時以上的時間，40% 的公司認為威脅情報最大的痛點在于缺乏上下文。總結來說，這些公司擁有的情報數(shù)據(jù)非常容易導致誤報，同時由于缺乏全局的理解也無法保證網(wǎng)絡防御策略保護公司免受攻擊。

普普點評：

威脅情報是包含漏洞、資產(chǎn)、威脅、風險、運行和事件等多維度安全知識在內(nèi)的知識集合?！缎畔踩夹g 網(wǎng)絡安全等級保護測評要求》中，首次提出了對“威脅情報檢測系統(tǒng)”和“威脅情報庫”的要求。威脅情報可以幫助企業(yè)安全人員了解其所在行業(yè)的威脅環(huán)境，有哪些攻擊者，攻擊者使用的戰(zhàn)術技術等。威脅情報幫助其了解企業(yè)自身正在遭受或未來面臨的威脅，并為高層決策提供建議。

Zimbra新漏洞或造成20萬家企業(yè)數(shù)據(jù)泄漏

Zimbra是一套開源協(xié)同辦公套件，包括WebMail、日歷、通信錄、Web文檔管理和創(chuàng)作。它通過將終端用戶的信息和活動連接到私有云中，為用戶提供了最具創(chuàng)新性的消息接收體驗，因此每天有超過20萬家企業(yè)和1000多家政府、金融機構使用Zimbra與數(shù)百萬用戶交換電子郵件。SonarSource的專家近期披露了開源 Zimbra代碼中的兩個漏洞。這些漏洞可能使未經(jīng)身份驗證的攻擊者破壞目標企業(yè)的Zimbra網(wǎng)絡郵件服務器。借此，攻擊者就可以不受限制的訪問所有員工通過Zimbra傳輸?shù)碾娮余]件內(nèi)容。劫持Zimbra服務器的兩個漏洞：CVE-2021-35208跨站點腳本漏洞，CVE-2021-35209服務器端請求偽造漏洞。安全專家表示，當用戶瀏覽查看Zimbra傳入的惡意電子郵件時，就會觸發(fā)跨站點腳本漏洞。惡意電子郵件會包含一個精心設計的JavaScript有效負載，當該負載被執(zhí)行時，攻擊者將能夠訪問受害者所有的電子郵件。另一個服務器端請求偽造漏洞，繞過了訪問控制的允許列表，該漏洞可以被任何權限角色的經(jīng)過身份驗證的組織成員利用。

普普點評：

隨著虛擬化協(xié)同辦公發(fā)展的深入，國內(nèi)的開源協(xié)同辦公軟件也逐漸成熟起來，然而Zimbra漏洞的披露彰顯了軟件供應鏈安全的脆弱性。這一事件也提醒我們，軟件供應鏈安全的提升需要從兩個維度出發(fā)，其一，對于軟件供應商來說，通過軟件開發(fā)安全的相關流程來增強軟件安全性變得愈加重要；其二，對于軟件使用者，企業(yè)要提升員工的安全意識，軟件產(chǎn)品的穩(wěn)定性和安全性不是堅不可摧的，我們在使用過程中對于一些“可疑”的使用情況要提高警惕性。

診療系統(tǒng)癱瘓 西安警方偵破一起破壞醫(yī)院計算機信息系統(tǒng)案

普普點評：

《中華人民共和國刑法》第二百八十六條：違反國家規(guī)定，對計算機信息系統(tǒng)功能進行刪除、修改、增加、干擾，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。離職員工與原工作單位有糾紛的，應采取正確方法維護個人利益，施行違法行為滿足報復心理，只會得不償失。

工信部：企業(yè)應將保護數(shù)據(jù)安全作為生產(chǎn)經(jīng)營的底線和紅線

7月28日，工信部網(wǎng)絡安全管理局委托中國互聯(lián)網(wǎng)協(xié)會組織召開重點互聯(lián)網(wǎng)企業(yè)貫徹落實數(shù)據(jù)安全法座談會。中國互聯(lián)網(wǎng)協(xié)會、中國信息通信研究院及阿里、騰訊、美團、奇安信、小米、京東、微博、字節(jié)跳動、58同城、百度、拼多多、螞蟻集團等12家企業(yè)近40人參會。工信部強調(diào)，做好重點互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全保護工作，對于貫徹《數(shù)據(jù)安全法》、維護國家安全有重要意義。會上，工信部要求各企業(yè)貫徹總體國家安全觀，深入貫徹落實《數(shù)據(jù)安全法》，切實加強數(shù)據(jù)安全保護。工信部表示，一是認真學習貫徹法律明確的監(jiān)管機制、制度體系、主體責任、保護義務等要求，做到知法、懂法、守法，將保護數(shù)據(jù)安全作為企業(yè)生產(chǎn)經(jīng)營的底線和紅線，維護國家主權、安全和發(fā)展利益；二是強化大型互聯(lián)網(wǎng)企業(yè)責任擔當，切實履行數(shù)據(jù)保護義務，企業(yè)要加強組織領導，明確數(shù)據(jù)安全責任部門和責任人，建立全生命周期的數(shù)據(jù)安全管理體系和機制，采取相應的技術措施開展風險監(jiān)測和應急處置，加強重要數(shù)據(jù)安全風險評估和出境管理；三是共同構建協(xié)同共治的行業(yè)數(shù)據(jù)安全監(jiān)管體系，鼓勵企業(yè)積極參與數(shù)據(jù)安全標準研制、關鍵技術研發(fā)等工作，并主動配合行業(yè)監(jiān)管。6月10日，數(shù)據(jù)安全法經(jīng)十三屆全國人大常委會第二十九次會議表決通過，將自今年9月1日起正式施行。相較于前兩次的審議稿，正式出臺的數(shù)據(jù)安全法首次提出“國家核心數(shù)據(jù)”概念，并規(guī)定違反國家核心數(shù)據(jù)管理制度情節(jié)嚴重最高可罰一千萬元。

普普點評：

近日來，工信部對互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全方面的整治動作不斷，尤其是企業(yè)在數(shù)據(jù)收集、傳輸、存儲及對外提供等環(huán)節(jié)是近期社會輿論關注的重點，保護用戶的數(shù)據(jù)安全，需要相關企業(yè)必須要履行的社會責任。

你的屏幕被“偷”了 新惡意軟件Vultur已控制數(shù)千臺設備

最近研究人員在 Google Play 中發(fā)現(xiàn)一種新型 Android 惡意軟件，已經(jīng)波及了一百多個銀行和加密貨幣應用程序。荷蘭安全公司 ThreatFabric 的研究人員將該種惡意軟件命名為 Vultur。該惡意軟件會在目標應用程序打開時記錄屏幕，Vultur 會使用 VNC 屏幕共享將失陷主機的屏幕鏡像到攻擊者控制的服務器。Vultur 的攻擊是可以擴展并自動化的，欺詐的手法可以在后端編寫腳本并下發(fā)到受害設備。與許多 Android 銀行木馬程序一樣，Vultur 嚴重依賴于移動操作系統(tǒng)中內(nèi)置的輔助功能服務。首次安裝時，Vultur 會濫用這些服務來獲取所需的權限。而一旦安裝成功，Vultur 就會監(jiān)控所有觸發(fā)無障礙服務的請求。Vultur 使用這些服務監(jiān)測來自目標應用程序的請求，而且還使用這些服務通過一般手段對惡意軟件進行刪除和清理。每當用戶嘗試訪問 Android 設置中的應用程序詳細信息頁時，Vultur 都會自動單擊后退按鈕。這會妨礙用戶點擊卸載按鈕，而且 Vultur 也隱藏了它自己的圖標。安裝成功后，Vultur 會使用? VNC 開始進行屏幕錄制。Vultur 針對103 個 Android 銀行應用程序或加密貨幣應用程序進行竊密，意大利、澳大利亞和西班牙是受攻擊最多的國家。除了銀行應用程序和加密貨幣應用程序外，該惡意軟件還會收集 Facebook、WhatsApp Messenger、TikTok 和 Viber Messenger 的憑據(jù)。

普普點評：

安卓手機用戶為避免手機被惡意應用程序劫持，應該在正規(guī)軟件商店下載手機APP，且盡可能只安裝來自知名廠商的應用程序，應用安裝后應仔細閱讀 APP 的授權條款，盡量關閉不必要的 APP 后臺權限。

微軟示警：近期網(wǎng)絡釣魚郵件肆虐 以巧妙方式欺騙用戶點擊鏈接下載附件

普普點評：

5招識別釣魚郵件：一看發(fā)件人地址，二看郵件標題，三看正文措辭，四看正文目的，五看正文內(nèi)容；防范釣魚郵件做到5不要：不要輕信發(fā)件人地址中顯示的“顯示名”，不要輕易點開陌生郵件中的鏈接，不要放松對“熟人”郵件的警惕，不要使用公共場所的網(wǎng)絡設備執(zhí)行敏感操作，不要將敏感信息發(fā)布到網(wǎng)上。