1、勞動(dòng)管理平臺Kronos遭到勒索軟件攻擊

勞動(dòng)管理平臺Kronos遭到勒索軟件攻擊，它說這將會(huì)使其云端服務(wù)在幾周內(nèi)無法使用。它建議客戶使用其他方式來完成工資核算和其他人力資源活動(dòng)。這次故障給客戶帶來了災(zāi)難性的后果。

Kronos提供了一系列的解決方案，包括員工的日程安排、薪酬管理、工資和工時(shí)、福利管理、休假管理、人才招聘、入職培訓(xùn)等內(nèi)容。它的客戶包括很多世界上最大的公司，如特斯拉和彪馬，以及各種衛(wèi)生、公共部門和知名大學(xué)、基督教青年會(huì)等組織，以及餐館和零售商等小型企業(yè)。

在周日下午晚些時(shí)候發(fā)給Kronos私有云(KPC)的客戶信息中，該公司表示，從周六開始，有幾個(gè)解決方案已經(jīng)開始使用了。

該公司在通知中說，目前，我們還沒有一個(gè)準(zhǔn)確的恢復(fù)時(shí)間，這個(gè)問題可能至少需要幾天才能解決。該公司在周一的更新中把這個(gè)時(shí)間段擴(kuò)大到了可能需要幾周。我們建議那些受影響的客戶使用其他計(jì)劃來處理考勤數(shù)據(jù)，進(jìn)行工資處理，管理時(shí)間，以及其他對該組織很重要的相關(guān)操作。

#?普普點(diǎn)評?#

這種情況表明，企業(yè)必須積極準(zhǔn)備應(yīng)對勒索軟件攻擊。他說：'這次攻擊使人們認(rèn)識到，企業(yè)需要快速有效制定容災(zāi)恢復(fù)和持續(xù)運(yùn)營計(jì)劃。企業(yè)越是嚴(yán)重依賴技術(shù)服務(wù)，就越需要有一個(gè)在沒有這些服務(wù)的情況下依然能夠運(yùn)行的計(jì)劃。索軟件團(tuán)伙經(jīng)常將攻擊的時(shí)間定在假期內(nèi)組織人手不足的時(shí)候，他們希望攻擊耗費(fèi)更長的時(shí)間才被發(fā)現(xiàn)，那么應(yīng)急響應(yīng)的時(shí)間也會(huì)用的更多。

2、多個(gè)勒索軟件團(tuán)伙利用VMware的Log4Shell漏洞

日前，英國國民保健署(NHS)警告稱，黑客們正在大肆利用VMware Horizon虛擬桌面平臺中的Log4Shell漏洞，以部署勒索軟件及其他惡意程序包。隨后，微軟證實(shí)，一個(gè)名為DEV-0401的勒索軟件團(tuán)伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微軟表示：“我們的調(diào)查表明，這些活動(dòng)有些已成功入侵目標(biāo)系統(tǒng)，并部署了NightSky勒索軟件?！?/span>

微軟的調(diào)查結(jié)果為NHS的早期警報(bào)提供了新線索，NHS警告稱：“攻擊者肆意利用VMware Horizon服務(wù)器中的Log4Shell漏洞，企圖建立Web Shell?！惫粽呖梢允褂眠@些Web Shell，部署惡意軟件和勒索軟件以及泄露數(shù)據(jù)。為了應(yīng)對這起安全事件，NHS和VMware都敦促用戶盡快修補(bǔ)受影響的系統(tǒng)，以及/或者實(shí)施安全公告中提到的變通辦法。

VMware發(fā)言人表示：“凡是連接到互聯(lián)網(wǎng)，但尚未針對Log4j漏洞打補(bǔ)丁的服務(wù)都很容易受到黑客攻擊，VMware強(qiáng)烈建議立即采取措施?！睋?jù)了解，在本月早些時(shí)候安全研究組織MalwareHunterTeam發(fā)現(xiàn)，NightSky是一個(gè)比較新的勒索軟件團(tuán)伙，在去年年底開始活躍起來。繼Log4Shell漏洞之后，安全研究人員警告類似的漏洞可能很快會(huì)出現(xiàn)。

#?普普點(diǎn)評?#

H2是一款流行的開源數(shù)據(jù)庫管理系統(tǒng)，用Java編寫，它廣泛應(yīng)用于眾多平臺，包括Spring Boot和ThingWorks。該系統(tǒng)可以嵌入到Java應(yīng)用程序中，或在客戶端-服務(wù)器模式下運(yùn)行。據(jù)JFrog和飛塔的FortiGuard Labs介紹，該系統(tǒng)提供了一種輕量級內(nèi)存中服務(wù)，不需要將數(shù)據(jù)存儲(chǔ)在磁盤上。與Log4Shell相似，該漏洞可允許H2數(shù)據(jù)庫框架中的幾條代碼路徑將未經(jīng)過濾的攻擊者控制的URL傳遞給啟用遠(yuǎn)程代碼執(zhí)行的函數(shù)。

3、FIN7組織通過郵寄惡意U盤來投放勒索軟件

美國聯(lián)邦調(diào)查局周五警告說，勒索軟件團(tuán)伙正在郵寄惡意的U盤，冒充美國衛(wèi)生與公眾服務(wù)部(HHS)和亞馬遜集團(tuán)，針對運(yùn)輸、保險(xiǎn)和國防行業(yè)進(jìn)行勒索軟件感染攻擊。

聯(lián)邦調(diào)查局在發(fā)給各個(gè)組織的安全警報(bào)中說，F(xiàn)IN7--又名Carbanak或Navigator Group，是使用Carbanak后門惡意軟件進(jìn)行攻擊的網(wǎng)絡(luò)犯罪團(tuán)伙，其攻擊經(jīng)常以獲取經(jīng)濟(jì)利益為目的。

FIN7從2015年就已經(jīng)開始存在了。最初，該團(tuán)伙通過使用其定制的后門惡意軟件來維持對目標(biāo)公司的持續(xù)訪問權(quán)限，以及使用間諜軟件來針對銷售點(diǎn)(PoS)系統(tǒng)進(jìn)行攻擊而逐漸為民眾所熟知。它的攻擊目標(biāo)往往是休閑餐廳、賭場和酒店。但在2020年，F(xiàn)IN7也開始涉足勒索軟件以及游戲領(lǐng)域，其攻擊活動(dòng)經(jīng)常會(huì)使用REvil或Ryuk作為有效攻擊載荷。

聯(lián)邦調(diào)查局說，在過去的幾個(gè)月里，F(xiàn)IN7將惡意的USB設(shè)備郵寄給美國公司，希望有人能夠把它插到驅(qū)動(dòng)器上，然后利用惡意軟件來感染系統(tǒng)，從而為以后的勒索軟件攻擊做好準(zhǔn)備。

#?普普點(diǎn)評?#

BadUSB攻擊是利用了USB固件中的一個(gè)固有漏洞，該漏洞能夠使攻擊者對USB設(shè)備進(jìn)行重新編程，使其能夠作為一個(gè)人機(jī)交互設(shè)備，即作為一個(gè)預(yù)裝了自動(dòng)執(zhí)行腳本的惡意USB鍵盤。重新編程后，USB可以被用來在受害者的電腦上執(zhí)行惡意命令或運(yùn)行惡意程序。端點(diǎn)保護(hù)軟件也可以幫助防止這些攻擊，它可以很好的保證用戶的安全性。

4、惡意軟件偽裝成系統(tǒng)更新 通殺Win Mac Linux三大系統(tǒng)

能同時(shí)攻擊Windows、Mac、Linux三大操作系統(tǒng)的惡意軟件出現(xiàn)了。雖然“全平臺通殺”病毒并不常見，但是安全公司Intezer的研究人員發(fā)現(xiàn)，有家教育公司在上個(gè)月中了招。更可怕的是，他們通過分析域名和病毒庫發(fā)現(xiàn)，這個(gè)惡意軟件已經(jīng)存在半年之久，只是直到最近才被檢測到。

他們把這個(gè)惡意軟件命名為SysJoker。SysJoker核心部分是后綴名為“.ts”的TypeScript文件，一旦感染就能被遠(yuǎn)程控制，方便黑客進(jìn)一步后續(xù)攻擊，比如植入勒索病毒。SysJoker用C++編寫，每個(gè)變體都是為目標(biāo)操作系統(tǒng)量身定制，之前在57個(gè)不同反病毒檢測引擎上都未被檢測到。

那么SysJoker到底是如何通殺三大系統(tǒng)的？SysJoker的感染步驟；SysJoker在三種操作系統(tǒng)中的行為類似，下面將以Windows為例展示SysJoker的行為。首先，SysJoker會(huì)偽裝成系統(tǒng)更新。一旦用戶將其誤認(rèn)為更新文件開始運(yùn)行，它就會(huì)隨機(jī)睡眠90到120秒，然后在目錄下復(fù)制自己，并改名為igfxCUIService.exe，偽裝成英特爾圖形通用用戶界面服務(wù)。接下來，它使用Live off the Land（LOtL）命令收集有關(guān)機(jī)器的信息，包括MAC地址、IP地址等。

#?普普點(diǎn)評?#

SysJoker現(xiàn)在被殺毒軟件檢測出的概率很低，但發(fā)現(xiàn)它的Intezer公司還是提供了一些檢測方法。用戶可以使用內(nèi)存掃描工具檢測內(nèi)存中的SysJoker有效負(fù)載，或者使用檢測內(nèi)容在EDR或SIEM中搜索。具體操作方法可以參見Intezer網(wǎng)站。已經(jīng)感染的用戶也不要害怕，Intezer也提供了手動(dòng)殺死SysJoker的方法。用戶可以殺死與SysJoker相關(guān)的進(jìn)程，刪除相關(guān)的注冊表鍵值和與SysJoker相關(guān)的所有文件。

5、一文了解漏洞利用鏈：含義、風(fēng)險(xiǎn)、用例及緩解建議

漏洞利用鏈(也稱為漏洞鏈)是將多個(gè)漏洞利用組合在一起以危害目標(biāo)的網(wǎng)絡(luò)攻擊方式。與專注于單一入口點(diǎn)相比，網(wǎng)絡(luò)犯罪分子更喜歡使用它們來破壞設(shè)備或系統(tǒng)，以獲得更大的破壞力或影響。

Forrester分析師Steve Turner表示，漏洞利用鏈攻擊的目標(biāo)是獲得內(nèi)核/根/系統(tǒng)級別的訪問權(quán)限來破壞系統(tǒng)以執(zhí)行攻擊活動(dòng)。漏洞利用鏈允許攻擊者通過使用正常系統(tǒng)進(jìn)程中的漏洞，繞過眾多防御機(jī)制來快速提權(quán)自己，從而融入組織的環(huán)境中。

雖然漏洞利用鏈攻擊通常需要花費(fèi)網(wǎng)絡(luò)犯罪分子更多的時(shí)間、精力和專業(yè)技能，但將漏洞利用組合在一起，允許惡意行為者執(zhí)行更復(fù)雜且難以修復(fù)的攻擊，這具體取決于漏洞序列的長度和復(fù)雜程度。

漏洞利用鏈給組織帶來的風(fēng)險(xiǎn)將是巨大的。Vulcan Cyber研究團(tuán)隊(duì)負(fù)責(zé)人Ortal Keizman表示，不幸的現(xiàn)實(shí)是，IT安全團(tuán)隊(duì)背負(fù)著這樣一個(gè)事實(shí)：幾乎所有漏洞利用都利用了已知漏洞和漏洞利用鏈，而這些漏洞由于各種原因尚未得到緩解。

#?普普點(diǎn)評?#

漏洞利用鏈最常用于移動(dòng)設(shè)備。鑒于手機(jī)架構(gòu)的性質(zhì)，需要使用多種漏洞來獲取root訪問權(quán)限，以執(zhí)行移動(dòng)惡意軟件所需的操作。針對瀏覽器漏洞的利用鏈同樣存在可能性，攻擊者可以使用網(wǎng)絡(luò)釣魚電子郵件將用戶引導(dǎo)到網(wǎng)頁，然后再發(fā)起“路過式”(drive-by)攻擊以利用瀏覽器漏洞。然后將它們與第二個(gè)漏洞鏈接以執(zhí)行沙盒逃逸，然后是第三個(gè)漏洞以獲取權(quán)限提升。

6、您對網(wǎng)絡(luò)威脅51%攻擊知多少？

區(qū)塊鏈的去中心化性質(zhì)和加密算法使其幾乎不可能受到攻擊。然而，以太經(jīng)典(Ethereum Classic)區(qū)塊鏈淪為了51%攻擊(51% attack)的受害者，估計(jì)因此損失110萬美元。那么，51%攻擊是如何發(fā)生的?它的影響怎樣?

51%攻擊，較常見的字面意思是：只要算力超過51%，就能對某個(gè)系統(tǒng)發(fā)動(dòng)攻擊，這個(gè)系統(tǒng)就存在中心化或者被攻破的可能性。它是一種區(qū)塊鏈滲入，可能導(dǎo)致網(wǎng)絡(luò)中斷，最終導(dǎo)致挖礦壟斷。一旦礦工(miner、是指嘗試創(chuàng)建區(qū)塊并添加到區(qū)塊鏈上的人或者機(jī)器，同時(shí)也指代做這個(gè)事情的軟件)。當(dāng)一個(gè)新的有效的區(qū)塊被創(chuàng)建時(shí)，比特幣協(xié)議自動(dòng)分發(fā)一定數(shù)量的比特幣給相應(yīng)的礦工，作為工作的獎(jiǎng)賞)、組織或某個(gè)實(shí)體對區(qū)塊鏈網(wǎng)絡(luò)上的算力獲得超過50%的控制權(quán)，就會(huì)發(fā)生這種攻擊。

攻擊的結(jié)果是，攻擊者獲得訪問權(quán)，阻止礦工挖礦、取消交易，最終卷走根本不屬于他們的被盜貨幣。如果區(qū)塊鏈網(wǎng)絡(luò)被劫持，攻擊者將擁有足夠的挖礦能力來篡改交易。這意味著他們可以篡改訂購交易，可以停止所有挖礦活動(dòng)。

#?普普點(diǎn)評?#

任何新興技術(shù)(包括區(qū)塊鏈和加密貨幣)都可能遇到各種風(fēng)險(xiǎn)和漏洞，這正是我們需要了解51%攻擊的原因。雖然更多的技術(shù)有望規(guī)避這種攻擊，但網(wǎng)絡(luò)滲入仍不可避免。從好的方面來說，這類攻擊給了行業(yè)和企業(yè)學(xué)習(xí)和改進(jìn)的正當(dāng)理由。盡管51%攻擊可能很危險(xiǎn)，但它也有一些缺陷，如51%攻擊無法操縱按照礦工區(qū)塊給予的獎(jiǎng)勵(lì);攻擊者無力創(chuàng)建交易。

7、像搭“樂高”一樣實(shí)現(xiàn)整合式網(wǎng)絡(luò)安全體系

部署多種防護(hù)產(chǎn)品，卻無法形成防御合力，是當(dāng)前很多企業(yè)網(wǎng)絡(luò)安全建設(shè)都面臨的挑戰(zhàn)。網(wǎng)絡(luò)安全能力整合是企業(yè)的剛需，也是行業(yè)發(fā)展的大勢所趨。雖然Gartner 提出的網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)（CSMA，Cybersecurity Mesh Architecture )印證了這種趨勢，但如何實(shí)現(xiàn)網(wǎng)絡(luò)安全能力的整合則是廣大企業(yè)當(dāng)下最緊迫的任務(wù)。

企業(yè)安全能力的整合不是一蹴而就，更不能推倒重來。企業(yè)需要在先進(jìn)、完善網(wǎng)絡(luò)安全框架指導(dǎo)下，借助能夠協(xié)同調(diào)度的接口，在對企業(yè)多年來部署的安全防護(hù)產(chǎn)品“利舊”的同時(shí)，合理規(guī)劃增補(bǔ)新的安全產(chǎn)品和模塊，實(shí)現(xiàn)全面覆蓋、深度集成、動(dòng)態(tài)協(xié)同的“網(wǎng)絡(luò)安全網(wǎng)格平臺”打造。

樂高積木作為世界上最為流行的玩具之一，受到不同年齡段人群的喜愛。其每個(gè)組件本身形態(tài)各異、功能不一。通過將它顏色各異、類型不同的模塊，通過標(biāo)準(zhǔn)化的接口實(shí)現(xiàn)相互兼容、耦合，再結(jié)合獨(dú)特的框架設(shè)計(jì)，就能發(fā)生奇妙的“化學(xué)”反應(yīng)。這與企業(yè)網(wǎng)絡(luò)安全建設(shè)不謀而合。不同類型的模塊、標(biāo)準(zhǔn)化的接口加上獨(dú)特的框架設(shè)計(jì)，成為樂高積木風(fēng)靡全球的三大關(guān)鍵核心。

#?普普點(diǎn)評?#

Fortinet 像搭 “樂高”一樣整合網(wǎng)絡(luò)安全體系。Fortinet Security Fabric安全架構(gòu)作為一個(gè)全面覆蓋、深度集成和動(dòng)態(tài)協(xié)同的 “網(wǎng)絡(luò)安全網(wǎng)格平臺”，提供集中管理和可見性，支持在一個(gè)龐大的解決方案生態(tài)系統(tǒng)中協(xié)同運(yùn)行，自動(dòng)適應(yīng)網(wǎng)絡(luò)中的動(dòng)態(tài)變化。在為企業(yè)客戶帶來一種集成的安全方案，打造整合安全體系，推動(dòng)企業(yè)數(shù)字化轉(zhuǎn)型上有著“樂高”式的優(yōu)勢。