0110-0116 一定要看的資安新聞

 

#勒索軟體  #特定企業APT

短短5個月,Ryuk勒索軟體讓駭客得手370萬美元

近期CrowdStrike與McAfee等2大資安廠商,都針對新興的勒索軟體Ryuk,揭露研究成果。基本上,這款勒索軟體是基於攻擊遠東銀行的Hermes所改造而成,並且鎖定大型企業發動攻擊,估計自2018年8月至今,駭客得手705.8個比特幣,相當於370萬美元。

於2017年2月現身的Hermes是款商業勒索軟體,並於駭客論壇上以300美元的價格兜售,換言之,任何人都能取得。資安社群普遍認為,Hermes來自北韓,而最新的Ryuk便是基於這個勒索軟體改造而成,並在去年8月中納入公開的惡意程式資料庫。

CrowdStrike指出,從Ryuk阻止電腦還原的指令來看,駭客相當熟悉大型企業所採用的備份軟體,因此呼籲企業,要落實員工資安教育訓練,以及定期備份重要資料。詳全文

(圖片來源)McAfee

 

#勒索軟體  #國家級攻擊  #資安保險

以戰爭除外為由,保險公司拒絕理賠NotPetya攻擊損失

2017年惡意軟體NotPetya肆虐歐美企業,導致許多公司行號受害。其中,擁有Ritz及Oreo兩大知名餅乾品牌,同時也是全球第二大食品集團億滋(Mondelez),當時也遭受NotPetya的攻擊。而最近億滋集團因投保的蘇黎世保險公司拒絕出險,憤而提告。

在遭受NotPetya攻擊之後,億滋超過1,700臺伺服器與2.4萬臺筆電遇害,事後向蘇黎世申請1億美元理賠。但該保險公司調查之後,根據英國等國政府接連指出,該事件是俄羅斯當局發動的戰爭為由,不予理賠。而這樣的事件,也突顯資安保險的機制中,企業與保險公司之間,對於理賠界定上的差異。詳全文

 

#網路釣魚  #URL混淆手法

駭客以ZWSP手法對Office 365用戶發動網釣攻擊

為了防範釣魚郵件,微軟在Office 365服務裡,提供ATP安全連結(Safe Link)機制,針對電子郵件跟Office文件中的URL,進行信譽評等檢查。但是該公司資安人員去年11月發現,許多使用Office 365客戶都面臨網路釣魚攻擊,駭客運用了零寬空格(Zero-width Spaces,ZWSP)手法,竄改URL,迴避上述的安全機制。微軟接獲通報後,已經完成修補。

ZWSP是特殊的Unicode字元,主要用於文件內容排版,標記可能需要換行的位置。而上述攻擊中,駭客在惡意網站的URL上,加入這種符號,得以規避了安全連結的檢查機制。詳全文

 

#假新聞  #URL混淆手法

Google知識圖表漏洞可用來散布假新聞

英國資安專家Wietze Beukema指出,Google的知識圖表(Knowledge Graph)含有漏洞,能讓使用者在Google的搜尋結果中嵌入任意圖表,有可能助長假新聞的散布。

當使用者在執行Google搜尋網站時,搜尋結果右方呈現的內容,就是來自知識圖表。由於該圖表的內容彙整自維基百科、World Factbook,以及Freebase等,不少使用者相當仰賴此處提供的參考資料。然而,Wietze Beukema指出,Google提供分享圖表的短網址,可被有心人士濫用,例如,搜尋誰應該為911負責時,卻顯示美國前總統布希的資料。

Wietze Beukema表示,他早在1年前就通報Google,所舉報的漏洞竟遭直接結案不予處理。Wietze認為,現在假新聞滿天飛,Google卻忽視這樣的問題相當不負責任。詳全文

 

#作業系統元件漏洞  #Linux

Linux系統管理軟體Systemd驚爆3個嚴重漏洞

資安公司Qualys發現Systemd的3個重大安全漏洞,而且存在長達3到5年之久,幾乎所有Linux發行版本都受到影響。

為了驗證漏洞,研究人員針對其中的2個漏洞,開發了概念驗證(PoC)攻擊程式。在搭載AMD處理器的電腦上,他們以此平均花費70分鐘取得Root權限,而在採用Intel處理器的電腦,研究人員只需10分鐘,即可取得相關權限。

唯獨SUSE Linux Enterprise 15、OpenSUSE Leap 15.0,以及Fedora 28至29版,因Systemd部分元件組譯方式不同,而倖免於難。而RedHat已針對其中較為嚴重的2個漏洞,進行修補。詳全文

(圖片來源)Systemd

 

#資料外洩  #資料庫公開

MongoDB資料庫門戶大開,逾2億中國民眾履歷外洩

Hacken網路風險研究總監Bob Diachenko指出,他發現了一個完全沒有任何防護、在公開網路上曝光至少一星期的MongoDB資料庫,內含多達2.02億名中國民眾的求職履歷。

Diachenko表示,他去年底已經透過Twitter揭露此事,隨即該資料庫就受到保護。但從這個資料庫的事件記錄中,透露資料庫曝光於公開網路上的期間,曾遭到來自數十個IP的存取。不過,該資料庫的所有人,迄今仍是個謎。詳全文

(圖片來源)Bob Diachenko

 

#網站憑證  #HTTPS

美國政府停擺,聯邦網站所使用的逾80個TLS憑證失效

自2018年12月22日起,因美國參議院與總統川普(Donald Trump)之間,因美墨築牆的臨時支出法案意見相左,致使美國政府因預算不足,關閉部分政府機構或是服務,估計已有1/4的政府機構關門,80萬名員工停薪。根據資安業者Netcraft指出,至少有接近80個美國政府網站,所使用的TLS憑證失效。

這樣的情況,將會導致2種結果,使用者無法存取美國政府旗下網站,或是被迫改以未加密的HTTP連線執行。若是透過未加密的協定存取網站,將因此引來中間人(man-in-the-middle,MITM)攻擊。詳全文

 

#滲透測試  #規避測試

知名滲透測試軟體Metasploit推出大改版,支援規避測試

Rapid 7推出滲透測試工具Metasploit Framework大改版,在新出爐的5.0版當中,採用全新資料庫與自動化API,並且加入規避測試的能力,同時,效能及易用性也得到改善,因此,使用者可透過單一模組,測試多臺主機。

此外,新版Metasploit支援多種程式語言,包含Go、Phython,以及Ruby等3種,希望吸引更多開發者投入。詳全文

 

#密碼學  #加密機制

Mozilla技術長與加州大學密碼學教授因加密應用貢獻獲獎

為了表彰對於加密實際應用做出重大貢獻的研究者,自2015年開始成立的Levchin獎,今年的得獎者出爐了,包含Mozilla技術長Eric Rescoria,以及加州大學教授Mihir Bellar等2人。

其中的Eric Rescoria是TLS 1.3重要推手,並且也是免費憑證派發機構Let's Encrypt的創辦者之一;Mihir Bellar則是深耕密碼學的學者,論文受引用超過5萬次,同時,他也參與開發了多種廣泛應用的密碼演算法,涵蓋了HMAC、RSA-OAEP、RSA-PSS,以及DHIES等。詳全文

 

更多資安動態

凱悅飯店集團推出網站與App抓漏計畫
思科修補可能產生永久服務阻斷的AsyncOS漏洞
GoDaddy遭爆未經客戶同意,於託管網頁植入JavaScript腳本
Google公共DNS開始支援加密的DNS-over-TLS
Librem 5智慧型手機最新進展,已完成通話、即時通訊與使用者介面
波蘭政府以間諜罪名逮捕華為員工,再度掀起採用華為設備論戰
Firefox 69預設將關閉Flash外掛
麻州修法要求企業即時揭露資料外洩事件
5大熱門網站代管平臺皆含有安全漏洞
ForeScount指出智慧建築隱含有諸多漏洞
全球最大線上票務系統漏洞可讓駭客變更用戶記錄,近半航空公司遭殃
駭進SEC資料庫從事內線交易的烏克蘭駭客遭美國起訴
Yubico發表首款支援蘋果Lightning介面的實體安全金鑰
Chrome封鎖入侵式網頁廣告政策預計於7月推向全球用戶
Windows 7修補程式造成網路無法共享,作業系統版權驗證失敗
歐盟表示使用者個資被遺忘的權利不應推向全球
中國區塊鏈法規出爐,採用戶實名制,內容必須受審
中國要求網路短影片必需先審後播,還封鎖100種內容
法官:警方不得強迫嫌犯解鎖自己的Face ID、Touch ID
Google將開始掃蕩過度存取用戶簡訊、通話記錄的App
DuckDuckGo整合Apple Maps強化地圖搜尋能力


Advertisement

更多 iThome相關內容