普普安全資訊一周概覽(1023-1029)

作者:

時間:
2021-10-29

3D模型網(wǎng)站Thingiverse用戶數(shù)據(jù)泄露 超5萬臺打印機可能被劫持

根據(jù)Data breach today上周報道,知名3D模型網(wǎng)站Thingiverse泄露了22.8萬名用戶資料,但相關(guān)人員最近發(fā)現(xiàn),這起泄露事件還可能導(dǎo)致約5萬臺打印機被劫持。

從2020年10月起,共有36GB大小的Thingiverse數(shù)據(jù)被泄露,包括用戶的電子郵件地址、IP 地址、用戶名、居住地址等信息。曾在Thingiverse母公司MakerBot工作過的軟件工程師TJ Horner表示,此次泄露的數(shù)據(jù)中包括一些OAuth令牌,這些令牌可用于遠程訪問MakerBot第5代甚至更高版本的3D打印機,并調(diào)用打印機上的攝像頭對其實行監(jiān)視。Horner認為,如果打印機連接到互聯(lián)網(wǎng),任何擁有這些令牌的人都可以完全控制打印機,攻擊者可能會向 3D 打印機發(fā)送錯誤的示意圖,并損壞打印機的步進電機,此外,這些泄露的令牌還能讓攻擊者訪問Thingiverse用戶的賬戶信息。MakerBot在此次事件中沒有公開提及有關(guān)打印機的令牌泄露,但已對相關(guān)令牌進行作廢處理。面對這起泄露事件,MakerBot曾聲明,只有不到500名用戶受到數(shù)據(jù)泄露的影響,并強調(diào)泄露的只包括主要用于測試數(shù)據(jù)的非生產(chǎn)、非敏感數(shù)據(jù)。它還堅持已通知受影響的用戶。

普普點評

目前絕大部分的數(shù)據(jù)泄露風險都來自企業(yè)內(nèi)部,其中郵件外發(fā)和互聯(lián)網(wǎng)上傳是兩個最方便的數(shù)據(jù)外傳手段,也是泄露事件發(fā)生概率最高的兩個渠道。由于數(shù)據(jù)大多存儲在網(wǎng)絡(luò)空間的服務(wù)器上,本來就容易成為不法分子攻擊、竊取的目標。而一些公司企業(yè)自身對于數(shù)據(jù)防護意識不高,防護手段不足,遇到工作人員操作失誤或者網(wǎng)絡(luò)攻擊就容易泄露數(shù)據(jù)信息。



02

網(wǎng)絡(luò)安全市場規(guī)模超500億 人才需求全面爆發(fā)

近期,隨著2021年國家網(wǎng)絡(luò)安全宣傳周活動在全國各地開展,網(wǎng)絡(luò)安全話題備受關(guān)注。根據(jù)最新發(fā)布的《2021年中國網(wǎng)絡(luò)安全產(chǎn)業(yè)分析報告》,2019年我國網(wǎng)絡(luò)安全市場規(guī)模已經(jīng)達到478億元,同比增長21.5%;2020年,我國網(wǎng)絡(luò)安全市場規(guī)模再度漲到532億元,雖然受疫情影響增速有所放緩,但增長率仍然達到了兩位數(shù)。

目前我國每年網(wǎng)絡(luò)安全相關(guān)專業(yè)畢業(yè)生只有2萬多人,而行業(yè)的缺口已經(jīng)高達50萬至100萬人,網(wǎng)絡(luò)安全行業(yè)人才供需矛盾正急劇凸顯,實戰(zhàn)型、實用型等人才非常急缺。與此同時,根據(jù)工信部近日發(fā)布的《網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報告》,網(wǎng)絡(luò)安全產(chǎn)業(yè)人才需求還在高速增長,2021年上半年,行業(yè)人才需求總量已經(jīng)較去年同期增長了39.87%,不少企業(yè)為了招到人才不惜付出高薪,2021年領(lǐng)域內(nèi)平均招聘薪酬已達到22387元/月,人才供需的數(shù)量失衡可見一斑。當然,失衡不僅在數(shù)量上,還在地域上。

普普點評

如今網(wǎng)絡(luò)安全已經(jīng)成為我們不容忽視的一大產(chǎn)業(yè),其既是保護個人數(shù)據(jù)隱私的必要手段,也是維護國家安全和推動經(jīng)濟發(fā)展的必由之路。只要解決好了人才方面的問題,再把握住政策、資本所帶來的各方機遇與福利,網(wǎng)絡(luò)安全產(chǎn)業(yè)才能迎來令人滿意的發(fā)展。行百米者半九十,如今我國網(wǎng)絡(luò)安全發(fā)展正值關(guān)鍵,需全力以赴!


04

全球頂尖極客匯聚GeekPwn 2021 解構(gòu)智能生活安全威脅

云計算、5G、AI等前沿技術(shù)發(fā)展,加速了產(chǎn)業(yè)數(shù)字化的步伐,但同時也帶來了新的安全隱患。關(guān)注前沿技術(shù)的應(yīng)用安全,是GeekPwn一直以來的傳統(tǒng)。在今年的舞臺上,極客們以AI對抗AI,上演了精彩的安全攻防。

“未知攻,焉知防”,網(wǎng)絡(luò)安全的本質(zhì)是攻防兩端能力的對抗。極客們積極探索前沿技術(shù),并將其應(yīng)用到安全實踐中,用新技術(shù)來解決新的安全問題。

網(wǎng)聯(lián)汽車、機器人、醫(yī)療器械等等智能硬件,正在改變?nèi)藗兊纳罘绞健eekPwn在關(guān)注前沿技術(shù)安全的同時,也關(guān)注智能生活中的安全風險。

醫(yī)療領(lǐng)域,野生極客曾穎濤帶來了一項通過控制胰島素泵來突破其原有注射設(shè)置的挑戰(zhàn)。選手通過藍牙侵入胰島素泵的控制器,修改了原有的注射設(shè)置,用幾秒鐘就將加大注射劑量的胰島素全部推出,這種情況如果發(fā)生在現(xiàn)實中,將對病人的生命造成嚴重威脅。

普普點評

智能生活是全球創(chuàng)新熱點和未來產(chǎn)業(yè)發(fā)展制高點,更是人們未來生活的一部分。作為智能生活發(fā)展的基石,信息安全保障與智能化應(yīng)用同步部署必要性日益凸顯,便利、安全的兼顧還需共同持續(xù)努力。我們需要準確把握技術(shù)和產(chǎn)業(yè)發(fā)展趨勢,不斷規(guī)范不同領(lǐng)域人工智能安全應(yīng)用,進而避免盲目追求人工智能技術(shù)的應(yīng)用,而忽視了智能技術(shù)造福于人的本質(zhì)目標。


05

對某單位遭受投遞FormBook竊密木馬的分析報告

自今年7月以來,安天CERT監(jiān)測到多起廣撒網(wǎng)式投遞竊密木馬的釣魚郵件活動,誘導(dǎo)目標執(zhí)行附件中的FormBook竊密木馬,實施竊密活動。其中捕獲到一封對某單位投遞的釣魚郵件。FormBook是一種非?;钴S的商業(yè)竊密木馬,自2016年開始在黑客論壇上以“惡意軟件即服務(wù)”形式出售,版本不斷迭代更新,目前發(fā)現(xiàn)的最新版本為4.1,本次監(jiān)測到的為3.2版本。

FormBook主要被用于竊取目標個人信息,該竊密木馬能夠自動收集目標系統(tǒng)中瀏覽器、郵箱客戶端、即時通訊客戶端和FTP客戶端中的敏感信息,具備鍵盤記錄和屏幕獲取功能。同時它具有遠程控制能力,具體包括更新、下發(fā)惡意軟件、命令執(zhí)行、數(shù)據(jù)回傳等功能,實現(xiàn)對目標系統(tǒng)進行長期駐留控制。此次發(fā)現(xiàn)的FormBook變種采用C#編寫的加載器進行加載,核心功能運行前具有多層解密執(zhí)行和進程注入操作,同時針對虛擬機和沙箱環(huán)境進行檢測,使用數(shù)十個C2服務(wù)器作為備選,具備一定的對抗檢測、對抗分析和反溯源能力。

普普點評

商業(yè)竊密木馬異?;钴S,早已經(jīng)形成了成熟的黑色產(chǎn)業(yè)鏈。在技術(shù)方面,商業(yè)化竊密木馬在反沙箱、反虛擬機的對抗檢測以及反溯源上為使用者做足了對抗技術(shù);在運營方面,采用了“惡意軟件即服務(wù)” 的運營模式;在木馬管理方面,為購買者提供了易于操作的后臺管理接口。通過以上服務(wù)手段,極大降低攻擊者的技術(shù)門檻,造成竊密木馬泛濫的局面。


06

淺談云上攻防——CVE-2020-8562漏洞為k8s帶來的安全挑戰(zhàn)

2021年4月,Kubernetes社區(qū)披露了一個編號為CVE-2020-8562的安全漏洞,授權(quán)用戶可以通過此漏洞訪問 Kubernetes 控制組件上的私有網(wǎng)絡(luò)。在完成校驗并通過校驗之后,Kubernetes立即進行第二次域名解析,此次域名解析后并不再進行IP地址的校驗,這將導(dǎo)致上述校驗存在繞過問題,如果一個DNS服務(wù)器不斷返回不同的非緩存解析請求,攻擊者可以利用此方式繞過Kubernetes的API Server Proxy IP地址限制,并訪問內(nèi)網(wǎng)ControlPlane管控組件。

通過查閱此漏洞披露報告可發(fā)現(xiàn),這個漏洞擁有較低的CVSS v3評分,其分值僅有2.2分,與以往披露的Kubernetes高危漏洞相比,這個擁有較低評分的漏洞極其容易被安全研究人員以及運維人員所忽視。但經(jīng)過研發(fā)測試發(fā)現(xiàn),在實際情況中,這個低風險的漏洞卻擁有著不同于其風險等級的威脅:在與云上業(yè)務(wù)結(jié)合后,CVE-2020-8562漏洞將會為云廠商帶來不可忽視的安全挑戰(zhàn)。

普普點評

在安全研究以及運維中,一些低風險的集群漏洞極其容易被安全以及運維人員所忽略,但是這些漏洞在一些特定場景中仍為云上安全帶來了極大的安全挑戰(zhàn),正如本文中所舉例的CVE-2020-8562安全漏洞,這個僅有2.2評分的Kubernetes安全漏洞,在與實際業(yè)務(wù)結(jié)合后,仍可為業(yè)務(wù)帶來極大的安全風險。因此與云上安全相關(guān)的漏洞,無論嚴重與否,都應(yīng)得到安全人員以及運維人員的相應(yīng)重視。


07

網(wǎng)絡(luò)釣魚工具包的新趨勢:模塊化

近日,微軟在分析最近一次網(wǎng)絡(luò)釣魚攻擊事件中發(fā)現(xiàn),犯罪分子使用了名為TodayZoo的新型工具包,該工具包沒有任何自己開發(fā)的功能,而是剪裁和整合其他惡意軟件拼湊而成。TodayZoo工具包大量使用了另一個工具包DanceVida的代碼,而其他組件與至少五個網(wǎng)絡(luò)釣魚工具包的代碼顯著匹配。

通由于其相關(guān)活動的重定向模式、域名和其他技術(shù)、策略和程序(TTP)的一致性,我們認為攻擊者‘定制’了舊的網(wǎng)絡(luò)釣魚工具包模板,修改了憑據(jù)收集功能,加入了自己的滲漏邏輯,使TodayZoo僅用于其邪惡目的?!蔽④涍M一步分析指出,“網(wǎng)絡(luò)釣魚工具包,類似于惡意軟件,將會變得越來越模塊化?!?/p>

除模塊化外,網(wǎng)絡(luò)釣魚的主戰(zhàn)場也在從電子郵件向移動設(shè)備轉(zhuǎn)移。根據(jù)蘋果電腦和設(shè)備企業(yè)管理工具供應(yīng)商Jamf發(fā)布的一份報告,大多數(shù)成功的攻擊都是針對移動用戶,很少來自電子郵件客戶端。

普普點評

商業(yè)網(wǎng)絡(luò)釣魚攻擊的傳播已經(jīng)遠遠超出了提供‘無人認領(lǐng)的彩票獎金’的措辭拙劣的電子郵件。它們不僅更加個性化、更具說服力,而且比以往任何時候都可以接觸到更多地方的用戶,并且越來越超越消費者,瞄準業(yè)務(wù)憑證和數(shù)據(jù)。企業(yè)應(yīng)該考慮采用多因素身份驗證并加強其郵件服務(wù)器的配置,以使網(wǎng)絡(luò)釣魚攻擊更加困難。