普普安全资讯一周概览（0814-0820）

作者：

时间：

2021-08-20

中国境内约531万台主机被攻击做好防护是关键

中国国家互联网应急中心数据显示，2020年位于境外的约5.2万个计算机恶意程序控制服务器，控制了中国境内约531万台主机，就控制中国境内主机数量来看，美国及其北约盟国分列前三位。此外，美国中央情报局的网络攻击组织APT-C-39，2008年9月-2019年6月期间，曾对中国航空航天科研机构、石油行业、大型互联网公海710以及政府机构等关键领进行了长达11年的网络渗透攻击。严重损害了中国的国家安全，经济安全，关键基础设施安全和广大民众的个人信息安全。境外组织采取APT高级持续威胁攻击是希望借助于0day漏洞这攻击利器，对目标进行持续渗透攻击，以突破主机安全防线，对主机进行攻击。因为，服务器是任何IT环境的支柱，是所有业务活动的核心，一旦被攻破，将对被攻击目标造成难以估量的损失。那么，围绕服务器构建广泛、持久的安全防护策略则至关重要。

普普点评

针对主机被攻击的安全风险，未知威胁是难以预料的，做好安全防护是关键。这样才能最大化的保障核心数据安全，确保业务正常运行。

勒索软件新变种可同时攻击群晖和威联通的NAS产品

勒索软件eCh0raix早在2019年以来就一直活跃，并以攻击NAS产品而著称。当时安全公海710Intezer和Anomali的专家就发现了针对网络附加存储(NAS)设备的勒索软件样本。NAS产品是黑客的特权目标，因为它们通常存储大量数据。今年5月，QNAP警告客户，威胁攻击者正在利用Roon Server零日漏洞，用eCh0raix勒索软件攻击其NAS设备。2019年，研究人员还报告了一波针对Synology NAS设备的eCh0raix攻击。近日，研究人员发现了一种新的eCh0raix变体，有史以来第一次支持同时攻击上述两家供应商的NAS设备。该勒索软件被Intezer跟踪为“QNAPCrypt”和Anomali的“eCh0raix”，是用Go编程语言编写的，并使用AES加密来加密文件。恶意代码将.encrypt扩展名附加到加密文件的文件名。数据显示，目前约有25万台QNAP和Synology NAS设备暴露在互联网上。攻击背后的勒索软件团伙利用QNAP NAS中的 CVE-2021-28799漏洞来访问它们，同时暴力攻击目标Synology NAS设备。

普普点评

移动办公的兴起使得个人NAS产品越来越受到欢迎，便捷的数据存储与访问也带来了数据被恶意攻击窃取的风险。针对以上问题，我们可以采取及时更新设备固件、创建复杂的登录密码、设置仅允许可识别IP的硬编码列表内的地址与SOHO设备连接的策略来避免攻击。

微软确认存在另一个新的Windows Print Spooler安全漏洞

与微软Windows打印机的相关问题的噩梦挥之不去，近日，该公海710确认了Windows Print Spooler服务的一个新的安全漏洞。这个新的漏洞被编号为CVE-2021-36958。微软表示，当Windows Print Spooler服务不适当地执行特权文件操作时，存在一个远程代码执行的漏洞，成功利用该漏洞的攻击者可以用系统权限运行任意代码。然后，攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。那些一直密切关注此事的人可能会注意到，这个新问题与正在发生的PrintNightmare漏洞有关，该公海710几天前曾为此发布了一个补丁。微软声称，该补丁应该在很大程度上有助于缓解这个问题，因为它现在需要管理员权限来实现打印驱动的安装和更新操作。然而，在已经安装了打印机驱动程序的系统上，可能是威胁者的非管理员用户仍然可以利用该漏洞。目前，微软正在进行此漏洞的修复工作。

普普点评

在此漏洞被修复前，建议用户在非必要的情况下暂时禁用Windows Print Spooler服务，或者通过使用Windows组策略中的Windows'Package Point and Print - Approved Servers'选项，将打印功能只限制在批准的服务器上。

黑客化身“复仇者” 为报复美国窃取T-Mobile 1亿用户数据

北美媒体Vice报导，美国电信巨头T-Mobile遭遇了一起重大安全事件，生产环境被打穿，超106GB敏感数据失窃，超过1亿用户的个人信息被泄露售卖。卖家宣称，这些数据包括用户的社保号码、电话号码、姓名、居住地址、国际移动电话识别码（IMEI）以及驾照信息。Vice已经看到了数据样本，并确认其中包含关于T-Mobile用户的有效信息。卖家称他们在两周前成功入侵了T-Mobile的生产、部署和开发服务器，包括一台有用户数据的Oracle数据库服务器，并窃取了多个数据库，总计106GB的数据，其中包括T-Mobile的客户关系管理（CRM）数据库。这些在地下论坛上开出6枚比特币的售价，约27万美元。攻击者声称此举是为了对美国进行报复，打击美国的基础设施。目前T-Mobile公海710对入侵行为做出了反应，攻击者已经无法通过后门访问服务器。

普普点评

据说攻击者进行此次攻击是为了报复2019年美国中央情报局和土耳其情报人员在德国绑架和折磨一名土耳其居民。用“树大招风”来形容美国在国际信息安全领域的地位是再确切不过了，越来越多的黑客组织基于各自的目的把目光投向了美国的企业和机构。

瑞昱WiFi芯片曝出严重漏洞华硕网件全中招

近日，物联网和网络设备市场传来噩耗，海量联网设备采用的无线芯片—芯片厂商瑞昱（Realtek）的Realtek RTL819xD模块曝出一个严重漏洞，攻击者可完全访问设备、操作系统和其他网络设备。Realtek提供的无线芯片几乎被所有知名电子产品制造商使用，产品类别覆盖VoIP和无线路由器、中继器、IP摄像机和智能照明控制等等具备无线联网功能的设备。受影响的硬件制造商名单包括 AsusTEK（华硕）、Belkin（贝尔金）、D-Link、Edimax、Hama、Netgear（网件）等。IoT Inspector表示：他们的安全研究人员发现并分析了这个漏洞，它影响了数十万台设备。并强烈建议使用易受攻击的Wi-Fi模块的制造商检查他们的设备并向用户提供安全补丁。攻击者通常需要位于同一个Wi-Fi网络上，但是错误的ISP配置也会将许多易受攻击的设备直接暴露给Internet。成功的攻击将提供对Wi-Fi模块的完全控制，以及对嵌入式设备操作系统的根访问。

普普点评

无论是用户还是制造商，目前对这些类别的设备的安全意识太少，他们都盲目依赖供应链中其他制造商的组件而不进行测试，结果，这些组件或产品成为不可预测的风险。就目前而言，多数制造商迫切需要实施物联网供应链安全指南。

“大数据杀熟”的末日来了我国拟立法打击信息安全将再次强化招

十三届全国人大常委会第三十次会议将于8月17日至20日举行。本次会议将审议个人信息保护法草案三审稿，三稿将进一步完善个人信息处理规则，特别是对APP过度收集个人信息、大数据杀熟等作出针对性规范。全国人大常委会法工委研究室主任臧铁伟表示，利用个人信息进行自动化决策，包括用户画像、算法推荐等，应在充分告知个人信息处理相关事项的前提下，取得个人同意，不得以个人不同意为由，拒绝提供产品或者服务。草案要求个人信息处理者保证自动化决策的透明度和结果的公平公正，不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇。其实大数据杀熟由来已久，最早出现在2000年。当时亚马逊认为，老用户的购买意愿更强，相比新用户，老用户有更强的意愿在亚马逊上购物。亚马逊通过这种方式，提高销售利润。然而没过多久，用户就发现了这一可耻行为。民愤恨恨之下，亚马逊CEO不得不亲自道歉，并退还差价。虽然亚马逊杀熟失败，但却给后来者带来了启发，于是杀熟就成了国内业态通病。

普普点评

为了抵制大数据杀熟，万能的网友被迫发掘了很多小妙招。无论是用户的行为，还是国家立法，种种迹象表明，大数据杀熟始终不得人心。对企业而言，如果再利用大数据杀熟，不但不能从中获利，还将面临法律风险。

黑客组织正利用PrintNightmare安全漏洞注入勒索软件

思科 Talos 威胁情报研究团队在一份新报告中指出：微软的 PrintNightmare 安全漏洞，现正被一个名为 Vice Society 的勒索软件团伙所利用。近段时间，Talos 团队一直在密切留意攻击者在利用 Print Spooler 服务的安全隐患。遗憾的是，尽管微软在漏洞修复上耗费了数月的时间，最终取得的成果仍相当有限。Talos 调查发现：Vice Society 与之前的 HelloKitty 勒索软件组织有关联，且目前正在利用 PrintNightmare Print Spooler 漏洞相关的动态链接库 (DLL) 文件注入勒索软件，来攻击那些易受感染的系统。该黑客组织用于执行攻击的一些策略包括：在入侵期间使用 ProxyChains 将网络流量转移到其它地方；攻击 ESXi 虚拟服务器和数据备份，让整个系统容易受勒索软件感染阻止恢复；为了避免被端点安全解决方案检测到，威胁行为者还会绕过反恶意软件软件接口。

普普点评

对于个人用户而言，我们可以通过安装刚刚发布的2021年7月累计更新来保护自己，对于企业用户而言，建议在不用于打印的系统上彻底禁用Windows Print Spooler服务。

上一篇:普普安全资讯一周概览（0821-0827）下一篇:普普安全资讯一周概览（0807-0813）