安全资讯报告
新西兰最大网络安全危机本可避免?DHB在遭袭前近半年已收到提醒
今年5月的网络攻击中,黑客关闭了怀卡托DHB的数百台服务器,导致一些癌症患者被转移至其他地区,选择性手术被推迟,患者和工作人员的信息被传至暗网。
RNZ报道,一份标注日期为2020年12月的内部网络安全文件曾提醒怀卡托DHB,称其IT系统安全性不足,且已遭到严重破坏。
今年5月18日,怀卡托DHB的计算机和手机等IT系统遭严重网络攻击,当地多所医院受到影响。这是新西兰历史上最严重的网络攻击事件,当时甚至上升到了国家危机的高度。
也就是说,早在网络攻击发生前大约半年,怀卡托DHB就收到了提醒。
报告还指出,由于缺乏相关培训,员工对IT系统会构成无意的威胁。
然而,怀卡托DHB表示,该战略只是一份草案,是一项更广泛数字战略的一部分。今年5月18日黑客发动袭击时,DHB的委员们正要听取这项战略的意见。
这份32页的报告指出了怀卡托DHB存在的诸多问题:
- 在一些系统上运行老旧的WindowsXP,该操作系统发布于2001年,过去五年没有得到过安全支持;
- 依赖于防火墙、屏蔽和恶意软件保护等“周边安全”(perimeter security)措施,而随着DHB转向云服务,这些措施已经过时;
- 多个不兼容的IT应用程序并存,其中大多非常陈旧,得到的支持也很差,有的甚至没有支持;
- 在打补丁、安装关键软件更新方面落后于安全性目标;
- 没有足够的专业人员管理和协调IT安全,没有网络安全专家,对网络安全的投资没有得到优先考虑;
- 没有持续监控云服务,以检测可疑行为;
- 没有针对IT安全领域,为员工制定合适的政策或培训计划。
新闻来源:
https://www.chineseherald.co.nz/news/new-zealand/dhb-warned/
Windows 10权限提升零日获得非官方修复
研究人员警告说,CVE-2021-34484(Windows User Profile Service的特权提升漏洞)可以通过补丁绕过来利用,该漏洞最初由微软于8月解决。漏洞的CVSS评分为7.8重要等级。
Windows中一个部分未修补的安全漏洞可能允许从普通用户本地权限升级到系统,但微软仍未完全解决——来自oPatch的非官方补丁已经出现。
该漏洞(CVE-2021-34484)最初是作为微软8月补丁星期二更新的一部分披露和修补的。当时,它被归类为一个被认为是低优先级的任意目录删除问题,因为攻击者需要在本地登录目标计算机才能利用它,从理论上讲,这将允许攻击者以任何方式删除文件夹。
安全研究人员Abdelhamid Naceri发现该漏洞也可以用于特权升级,这是一个完全不同的漏洞利用。特权提升后,攻击者可能访问网络其他部分的资源、数据库和服务器。
Abdelhamid还查看了Microsoft的原始补丁,随后通过对他开发的漏洞利用代码进行简单调整找到了绕过它的方法,基本上将其恢复到零日状态。该漏洞影响Windows 10(32位和64位)版本v21H1、v20H2、v2004和v1909;以及Windows Server 2019 64位
新闻来源:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34484
对抗勒索软件的10大网络安全最佳实践
Veritas Technologies的数据保护专家Sonya Duffin提供了构建多层弹性配置文件的十大步骤。
1.提示系统升级和软件更新
使用过时的软件可能允许攻击者利用未缓解的安全漏洞。为了减少攻击面,请确保经常修补和升级所有基础设施、操作系统和软件应用程序。更新备份应用程序也很重要。不要用昨天的技术对抗今天的勒索软件。
2.实施3-2-1备份规则
如果您经常备份数据、系统映像和配置,那么在勒索软件确实发生时,您将始终有一个最新的位置来恢复操作。更好的是,通过使用3-2-1备份规则分散数据,更进一步避免单点故障。
3.实施零信任模型
零信任模型是一种专注于不信任任何设备或用户的心态,即使它们默认位于公司网络内。
不仅需要密码(是的,即使它又长又复杂),还需要多因素身份验证(MFA)和基于角色的访问控制(RBAC),监控和减轻恶意活动,并加密传输中的数据和静止状态,这会使泄露的数据无法使用。
4.网络分割
攻击者喜欢单一连续、扁平的网络。这意味着它们可以轻松地分布在您的整个基础架构中。
阻止攻击者并显着减少其攻击面的有效方法是网络分段和微分段。使用此模型,网络被划分为多个较小网络区域,并且访问受到管理和限制,尤其是对您最重要的数据的访问。
5.端点可见性
大多数组织严重缺乏对远程端点的可见性。现在,不良行为者越过前线安全人员并闲逛已成为一种常见做法-保持休眠足够长的时间以定位弱点并找到适当的时间进行攻击。至关重要的是,您必须实施能够在整个环境中提供完整可见性、检测异常情况、寻找网络上的恶意活动并向您发出警报的工具,从而使勒索软件无处可藏。这将帮助您在不良行为者有机会采取行动之前减轻威胁和漏洞。
6.不可变和不可磨灭的存储
如前所述,保护您的数据免受勒索软件侵害的最佳方法之一是实施不可变和不可擦除的存储,以确保在确定的时间内无法更改、加密或删除数据。然而,“不可变存储”一词如今已成为备份供应商的流行词。寻找不仅是逻辑上的不变性,还包括物理不变性,并且包含内置安全层很重要。
7.快速恢复
可以通过灵活的替代选项(例如在公共云提供商上快速建立数据中心)来协调和自动化恢复,这可以缩短停机时间并提供支付赎金的替代方案。有了正确的系统,如有必要,恢复时间可以减少到几秒钟。
8.定期测试和验证
制定全面的数据保护计划并不意味着您的工作已经完成。测试可确保您的计划在您需要时发挥作用。虽然初始测试可以确认计划的所有方面确实有效,但定期测试很重要,因为IT环境不断变化。
9.受过教育的员工
众所周知,员工通常是攻击的门户。现代网络钓鱼攻击和社会工程现在非常先进,以至于经常欺骗安全专业人员。
相反,专注于培训员工识别网络钓鱼和社会工程策略;建立强密码;安全浏览;利用MFA;并始终使用安全的VPN,从不使用公共Wi-Fi。还要确保员工知道该怎么做以及如果他们成为受害者,应该向谁发出警报。
10.网络攻击手册
创建一个标准的网络攻击手册,在紧急情况下阐明角色,并通过清晰的通信路径和响应协议协调和授权跨职能团队。
您有能力采取重要措施打击勒索软件并扭转网络犯罪分子的局面。通过整合包含上述最佳实践和无可挑剔的网络安全卫生的多层勒索软件弹性策略,您可以在攻击者站稳脚跟之前阻止他们。
新闻来源:
https://threatpost.com/cybersecurity-best-practices-ransomware/176316/
数以百万计的路由器和物联网设备面临新型开源恶意软件的风险
研究人员发现,用谷歌的开源编程语言编写的难以检测和编写的新出现的恶意软件有可能利用数百万个路由器和物联网设备。
Alien Labs的安全研究员Ofer Caspi在周四发表的一篇博客文章中写道,由AT&T AlienLabs的研究人员发现,BotenaGo可以利用30多种不同的漏洞来攻击目标。
该恶意软件是用Golang(谷歌于2007年首次发布的一种语言)编写的,它通过为设备创建后门来工作。他写道,然后它等待通过端口19412或从运行在同一台机器上的另一个相关模块接收来自远程操作员的攻击目标。
提供分析恶意软件平台的Intezer的研究表明,在野外发现的用Go编写的恶意软件代码增加了2,000%,他写道。
研究人员表示,此时他们不知道哪个或哪些威胁参与者开发了BotenaGo,也不知道易受恶意软件攻击的设备的全部规模。Caspi写道,到目前为止,防病毒保护似乎也无法识别恶意软件,有时会将其误认为是Mirai恶意软件的变种。
新闻来源:
https://threatpost.com/routers-iot-open-source-malware/176270/
安全公司因等待12个月披露Palo Alto 0day而面临强烈反对
网络安全社区内对Randori进行了大量辩论,Randori是一家安全公司,该公司等了一年才披露在Palo Alto Networks的GlobalProtect VPN中发现的关键缓冲区溢出错误。
ZDNet首次报告了严重等级为9.8的零日漏洞,允许在产品的易受攻击的安装上进行未经身份验证的远程代码执行。
该问题影响了8.1.17之前的PAN-OS8.1的多个版本,Randori表示,它发现在面向互联网的资产中暴露了许多易受攻击的实例,超过70,000个资产。许多财富500强公司和其他全球企业都在使用它。
Randori的首席科学家Aaron Portnoy向ZDNet解释说,在2020年10月,他的团队的任务是研究GlobalProtect Portal VPN的漏洞。到2020年11月,他的团队发现了CVE-2021-3064,开始授权利用Randori客户,并成功地将其登陆他们的一个客户——通过互联网——而不仅仅是在实验室中。
根据他们提供的时间表,他们直到几周前才通知Palo Alto Networks。其他人对Randori在红队演习中使用0-day的决定提出异议,其他人质疑他们是否为了进一步宣传他们的工作和业务而推迟发布该问题的通知。尽管遭到强烈反对,但有些人还是为兰多里辩护,认为他们的行为司空见惯。
新闻来源:
https://www.zdnet.com/article/security-company-faces-backlash-for-waiting-12-months-to-disclose-palo-alto-0-day/
勒索软件攻击变得越来越复杂,甚至更难预防
勒索软件攻击者正在探索已知的常见漏洞和暴露(CVE)中的弱点并迅速利用它们,以比供应商团队修补它们的速度更快地发起攻击。不幸的是,勒索软件攻击者还使攻击变得更加复杂、成本高昂且难以识别和阻止,以比企业反应更快的速度针对潜在目标的弱点采取行动。
最近的两项研究——Ivanti与Cyber Security Works和Cyware合作进行的最新勒索软件报告,以及Forrester Consulting代表Cyware进行的第二项研究——表明企业识别勒索软件威胁的速度与网络攻击的速度之间存在越来越大的差距。这两项研究都对企业在识别和阻止勒索软件攻击方面的落后程度进行了严格的评估。
勒索软件攻击者正在以越来越快的速度扩展他们的攻击武器库,并迅速采用新技术。2021年第3季度勒索软件指数更新确定勒索软件组织在第3季度通过12个新的漏洞关联扩大了他们的攻击库,是上一季度的两倍。正在采用更新、更复杂的攻击技术,包括木马即服务和投放器即服务(DaaS)。此外,在过去的一年里,更多的勒索软件代码在网上泄露,因为更高级的网络犯罪分子希望招募不太先进的团伙作为其勒索软件网络的一部分。
勒索软件仍然是2021年增长最快的网络攻击策略之一。仅在2021年第三季度,与勒索软件相关的已知漏洞数量就从266个增加到278个。被积极利用以发起攻击的趋势漏洞也增加了4.5%,总数达到140个。此外,Ivanti的索引更新在第三季度发现了5个新的勒索软件系列,使全球勒索软件系列的总数达到151个。
勒索软件组织正在挖掘已知的CVE,以在将CVE添加到国家漏洞数据库(NVD)并发布补丁之前发现并利用零日漏洞:2021年之前创建的258个CVE现在与基于最近的攻击模式的勒索软件相关联。大量遗留CVE进一步说明了勒索软件攻击者如何利用过去的CVE弱点。这是当今追踪到的与勒索软件相关的所有漏洞的92.4%。
新闻来源:
https://venturebeat.com/2021/11/13/ransomware-attacks-are-getting-more-complex-and-even-harder-to-prevent/