普普安全资讯一周概览（0115-0121）

作者：

时间：

2022-01-21

1、劳动管理平台Kronos遭到勒索软件攻击

劳动管理平台Kronos遭到勒索软件攻击，它说这将会使其云端服务在几周内无法使用。它建议客户使用其他方式来完成工资核算和其他人力资源活动。这次故障给客户带来了灾难性的后果。

Kronos提供了一系列的解决方案，包括员工的日程安排、薪酬管理、工资和工时、福利管理、休假管理、人才招聘、入职培训等内容。它的客户包括很多世界上最大的公海710，如特斯拉和彪马，以及各种卫生、公共部门和知名大学、基督教青年会等组织，以及餐馆和零售商等小型企业。

在周日下午晚些时候发给Kronos私有云(KPC)的客户信息中，该公海710表示，从周六开始，有几个解决方案已经开始使用了。

该公海710在通知中说，目前，我们还没有一个准确的恢复时间，这个问题可能至少需要几天才能解决。该公海710在周一的更新中把这个时间段扩大到了可能需要几周。我们建议那些受影响的客户使用其他计划来处理考勤数据，进行工资处理，管理时间，以及其他对该组织很重要的相关操作。

#?普普点评?#

这种情况表明，企业必须积极准备应对勒索软件攻击。他说：'这次攻击使人们认识到，企业需要快速有效制定容灾恢复和持续运营计划。企业越是严重依赖技术服务，就越需要有一个在没有这些服务的情况下依然能够运行的计划。索软件团伙经常将攻击的时间定在假期内组织人手不足的时候，他们希望攻击耗费更长的时间才被发现，那么应急响应的时间也会用的更多。

2、多个勒索软件团伙利用VMware的Log4Shell漏洞

日前，英国国民保健署(NHS)警告称，黑客们正在大肆利用VMware Horizon虚拟桌面平台中的Log4Shell漏洞，以部署勒索软件及其他恶意程序包。随后，微软证实，一个名为DEV-0401的勒索软件团伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微软表示：“我们的调查表明，这些活动有些已成功入侵目标系统，并部署了NightSky勒索软件。”

微软的调查结果为NHS的早期警报提供了新线索，NHS警告称：“攻击者肆意利用VMware Horizon服务器中的Log4Shell漏洞，企图建立Web Shell。”攻击者可以使用这些Web Shell，部署恶意软件和勒索软件以及泄露数据。为了应对这起安全事件，NHS和VMware都敦促用户尽快修补受影响的系统，以及/或者实施安全公告中提到的变通办法。

VMware发言人表示：“凡是连接到互联网，但尚未针对Log4j漏洞打补丁的服务都很容易受到黑客攻击，VMware强烈建议立即采取措施。”据了解，在本月早些时候安全研究组织MalwareHunterTeam发现，NightSky是一个比较新的勒索软件团伙，在去年年底开始活跃起来。继Log4Shell漏洞之后，安全研究人员警告类似的漏洞可能很快会出现。

#?普普点评?#

H2是一款流行的开源数据库管理系统，用Java编写，它广泛应用于众多平台，包括Spring Boot和ThingWorks。该系统可以嵌入到Java应用程序中，或在客户端-服务器模式下运行。据JFrog和飞塔的FortiGuard Labs介绍，该系统提供了一种轻量级内存中服务，不需要将数据存储在磁盘上。与Log4Shell相似，该漏洞可允许H2数据库框架中的几条代码路径将未经过滤的攻击者控制的URL传递给启用远程代码执行的函数。

3、FIN7组织通过邮寄恶意U盘来投放勒索软件

美国联邦调查局周五警告说，勒索软件团伙正在邮寄恶意的U盘，冒充美国卫生与公众服务部(HHS)和亚马逊集团，针对运输、保险和国防行业进行勒索软件感染攻击。

联邦调查局在发给各个组织的安全警报中说，FIN7--又名Carbanak或Navigator Group，是使用Carbanak后门恶意软件进行攻击的网络犯罪团伙，其攻击经常以获取经济利益为目的。

FIN7从2015年就已经开始存在了。最初，该团伙通过使用其定制的后门恶意软件来维持对目标公海710的持续访问权限，以及使用间谍软件来针对销售点(PoS)系统进行攻击而逐渐为民众所熟知。它的攻击目标往往是休闲餐厅、赌场和酒店。但在2020年，FIN7也开始涉足勒索软件以及游戏领域，其攻击活动经常会使用REvil或Ryuk作为有效攻击载荷。

联邦调查局说，在过去的几个月里，FIN7将恶意的USB设备邮寄给美国公海710，希望有人能够把它插到驱动器上，然后利用恶意软件来感染系统，从而为以后的勒索软件攻击做好准备。

#?普普点评?#

BadUSB攻击是利用了USB固件中的一个固有漏洞，该漏洞能够使攻击者对USB设备进行重新编程，使其能够作为一个人机交互设备，即作为一个预装了自动执行脚本的恶意USB键盘。重新编程后，USB可以被用来在受害者的电脑上执行恶意命令或运行恶意程序。端点保护软件也可以帮助防止这些攻击，它可以很好的保证用户的安全性。

4、恶意软件伪装成系统更新通杀Win Mac Linux三大系统

能同时攻击Windows、Mac、Linux三大操作系统的恶意软件出现了。虽然“全平台通杀”病毒并不常见，但是安全公海710Intezer的研究人员发现，有家教育公海710在上个月中了招。更可怕的是，他们通过分析域名和病毒库发现，这个恶意软件已经存在半年之久，只是直到最近才被检测到。

他们把这个恶意软件命名为SysJoker。SysJoker核心部分是后缀名为“.ts”的TypeScript文件，一旦感染就能被远程控制，方便黑客进一步后续攻击，比如植入勒索病毒。SysJoker用C++编写，每个变体都是为目标操作系统量身定制，之前在57个不同反病毒检测引擎上都未被检测到。

那么SysJoker到底是如何通杀三大系统的？SysJoker的感染步骤；SysJoker在三种操作系统中的行为类似，下面将以Windows为例展示SysJoker的行为。首先，SysJoker会伪装成系统更新。一旦用户将其误认为更新文件开始运行，它就会随机睡眠90到120秒，然后在目录下复制自己，并改名为igfxCUIService.exe，伪装成英特尔图形通用用户界面服务。接下来，它使用Live off the Land（LOtL）命令收集有关机器的信息，包括MAC地址、IP地址等。

#?普普点评?#

SysJoker现在被杀毒软件检测出的概率很低，但发现它的Intezer公海710还是提供了一些检测方法。用户可以使用内存扫描工具检测内存中的SysJoker有效负载，或者使用检测内容在EDR或SIEM中搜索。具体操作方法可以参见Intezer网站。已经感染的用户也不要害怕，Intezer也提供了手动杀死SysJoker的方法。用户可以杀死与SysJoker相关的进程，删除相关的注册表键值和与SysJoker相关的所有文件。

5、一文了解漏洞利用链：含义、风险、用例及缓解建议

漏洞利用链(也称为漏洞链)是将多个漏洞利用组合在一起以危害目标的网络攻击方式。与专注于单一入口点相比，网络犯罪分子更喜欢使用它们来破坏设备或系统，以获得更大的破坏力或影响。

Forrester分析师Steve Turner表示，漏洞利用链攻击的目标是获得内核/根/系统级别的访问权限来破坏系统以执行攻击活动。漏洞利用链允许攻击者通过使用正常系统进程中的漏洞，绕过众多防御机制来快速提权自己，从而融入组织的环境中。

虽然漏洞利用链攻击通常需要花费网络犯罪分子更多的时间、精力和专业技能，但将漏洞利用组合在一起，允许恶意行为者执行更复杂且难以修复的攻击，这具体取决于漏洞序列的长度和复杂程度。

漏洞利用链给组织带来的风险将是巨大的。Vulcan Cyber研究团队负责人Ortal Keizman表示，不幸的现实是，IT安全团队背负着这样一个事实：几乎所有漏洞利用都利用了已知漏洞和漏洞利用链，而这些漏洞由于各种原因尚未得到缓解。

#?普普点评?#

漏洞利用链最常用于移动设备。鉴于手机架构的性质，需要使用多种漏洞来获取root访问权限，以执行移动恶意软件所需的操作。针对浏览器漏洞的利用链同样存在可能性，攻击者可以使用网络钓鱼电子邮件将用户引导到网页，然后再发起“路过式”(drive-by)攻击以利用浏览器漏洞。然后将它们与第二个漏洞链接以执行沙盒逃逸，然后是第三个漏洞以获取权限提升。

6、您对网络威胁51%攻击知多少？

区块链的去中心化性质和加密算法使其几乎不可能受到攻击。然而，以太经典(Ethereum Classic)区块链沦为了51%攻击(51% attack)的受害者，估计因此损失110万美元。那么，51%攻击是如何发生的?它的影响怎样?

51%攻击，较常见的字面意思是：只要算力超过51%，就能对某个系统发动攻击，这个系统就存在中心化或者被攻破的可能性。它是一种区块链渗入，可能导致网络中断，最终导致挖矿垄断。一旦矿工(miner、是指尝试创建区块并添加到区块链上的人或者机器，同时也指代做这个事情的软件)。当一个新的有效的区块被创建时，比特币协议自动分发一定数量的比特币给相应的矿工，作为工作的奖赏)、组织或某个实体对区块链网络上的算力获得超过50%的控制权，就会发生这种攻击。

攻击的结果是，攻击者获得访问权，阻止矿工挖矿、取消交易，最终卷走根本不属于他们的被盗货币。如果区块链网络被劫持，攻击者将拥有足够的挖矿能力来篡改交易。这意味着他们可以篡改订购交易，可以停止所有挖矿活动。

#?普普点评?#

任何新兴技术(包括区块链和加密货币)都可能遇到各种风险和漏洞，这正是我们需要了解51%攻击的原因。虽然更多的技术有望规避这种攻击，但网络渗入仍不可避免。从好的方面来说，这类攻击给了行业和企业学习和改进的正当理由。尽管51%攻击可能很危险，但它也有一些缺陷，如51%攻击无法操纵按照矿工区块给予的奖励;攻击者无力创建交易。

7、像搭“乐高”一样实现整合式网络安全体系

部署多种防护产品，却无法形成防御合力，是当前很多企业网络安全建设都面临的挑战。网络安全能力整合是企业的刚需，也是行业发展的大势所趋。虽然Gartner 提出的网络安全网格架构（CSMA，Cybersecurity Mesh Architecture )印证了这种趋势，但如何实现网络安全能力的整合则是广大企业当下最紧迫的任务。

企业安全能力的整合不是一蹴而就，更不能推倒重来。企业需要在先进、完善网络安全框架指导下，借助能够协同调度的接口，在对企业多年来部署的安全防护产品“利旧”的同时，合理规划增补新的安全产品和模块，实现全面覆盖、深度集成、动态协同的“网络安全网格平台”打造。

乐高积木作为世界上最为流行的玩具之一，受到不同年龄段人群的喜爱。其每个组件本身形态各异、功能不一。通过将它颜色各异、类型不同的模块，通过标准化的接口实现相互兼容、耦合，再结合独特的框架设计，就能发生奇妙的“化学”反应。这与企业网络安全建设不谋而合。不同类型的模块、标准化的接口加上独特的框架设计，成为乐高积木风靡全球的三大关键核心。

#?普普点评?#

Fortinet 像搭 “乐高”一样整合网络安全体系。Fortinet Security Fabric安全架构作为一个全面覆盖、深度集成和动态协同的 “网络安全网格平台”，提供集中管理和可见性，支持在一个庞大的解决方案生态系统中协同运行，自动适应网络中的动态变化。在为企业客户带来一种集成的安全方案，打造整合安全体系，推动企业数字化转型上有着“乐高”式的优势。

上一篇:普普安全资讯一周概览（0129-0204）下一篇:普普安全资讯一周概览（0108-0114）