国内外简报industry briefing

国内外信息安全简报2018年第四十六周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.双11网购安全报告:仿冒购物App激增 类似钓鱼网站

针对刚刚过去的“双十一”购物节,北京市公安局网络安全保卫总队猎网平台发布《网购安全生态报告》。报告显示:假冒购物软件和专业电商购物平台成为网络黑客的新目标。报告显示:早在“双十一”到来之前的一个多月,各类仿冒购物App应用的数量激增,数量近4000个,其中手机淘宝、拼多多、天猫、京东、美团、唯品会等购物平台进入了被仿冒名单的前十名。这些虚假购物应用软件与钓鱼网站危害类似,黑客可以盗取用户账户信息,造成财产损失。 另外,今年双十一期间,各类专业电商平台和应用软件,也就是所谓的垂直电商,成为各类网购高危漏洞的重灾区。报告显示:在500多个购物类应用软件中,近九成的购物应用软件存在高危漏洞。其中主流综合商城类购物软件占比为5.3%,整体数量不多,但各类专业垂直电商则成为重灾区,有三成多的应用软件存在高危漏洞。(详情链接

2.WannaCry阴魂不散 仍然是最流行的勒索软件

去年爆发的 WannaCry 勒索软件攻击利用了黑客泄漏的 NSA 漏洞利用代码 EternalBlue,被感染的电脑遍及全世界,此次勒索软件攻击的规模空前,虽然它已经失效,其使用的域名已被安全研究人员关闭,但仍然在不受控制的扩散,一年之后它依旧是最流行的勒索软件。(详情链接

3.KoiMiner挖矿木马变种入侵,超5000台SQL Server服务器被控制

近期发现KoiMiner挖矿木马变种,该变种的挖矿木马已升级到6.0版本,木马作者对部分代码加密的方法来对抗研究人员调试分析,木马专门针对企业SQL Server 服务器的1433端口爆破攻击进行蠕虫式传播。腾讯御见威胁情报中心监测数据发现,KoiMiner挖矿木马已入侵控制超过5000台SQL Server服务器,对企业数据安全构成重大威胁。该病毒在全国各地均有分布,广东、山东、广西位居前三。(详情链接

4.Facebook再曝漏洞,可使私人信息泄露

Facebook报告了一个安全漏洞,可允许攻击者获取用户及其朋友的某部分个人信息,使得海量用户的隐私受到威胁。该漏洞由Imperva的网络安全研究人员发现,漏洞存在于Facebook搜索功能显示输入查询结果的方式。根据Imperva研究员Ron Masas的说法,显示搜索结果的页面包含与每个结果相关联的iFrame元素,这些iFrame的端点URL没有任何保护机制来防止跨站点请求伪造(CSRF)攻击。Facebook报告该漏洞已修复。(详情链接

5. 欧洲刑警组织:2018年勒索软件仍是最大的恶意软件威胁

据欧洲刑警组织(Europol) 2018年版的“互联网有组织犯罪威胁评估(IOCTA)”(internetorganized Threat Assessment,简称IOCTA)报告,在大多数欧盟成员国,勒索软件仍是最主要的恶意软件威胁,而加密攻击正变得越来越普遍。欧洲刑警组织发现,,勒索软件的威胁就像其他恶意软件一样,一旦恶意软件工具变得更容易获取,变得越来越复杂和强大,攻击就会慢慢转移到商业领域,为威胁行为者提供更高的报酬。此外,由于密码攻击所需的资源要少得多,所投入的工作量也会带来更高的回报,威胁行为者越来越多地使用它来利用受害者的处理能力来挖掘加密货币。(详情链接

6.10 万家用路由器僵尸网络发送垃圾邮件

360 旗下的安全实验室报告了一个控制了大约 10 万家用和小型办公室路由器的僵尸网络,该僵尸网络被命名为 BCMUPnP_Hunter,利用了博通芯片组中 Universal Plug and Play 协议实现的漏洞,该漏洞早在 2013 年就已经曝光,受影响的路由器型号来自 Broadcom、Asus、Cisco、TP-Link、Zyxel、D-Link、Netgear 等。安全研究人员通过扫描发现僵尸网络感染了 116 种路由器型号,访问 Outlook、Hotmail、Yahoo! Mail 等、邮件服务器,因此怀疑攻击者的意图主要是和发送垃圾邮件有关。(详情链接

7.广受欢迎的暗网主机服务商遭到黑客攻击,6500个网站瘫痪

据报道,黑客疑似利用php的imap_open漏洞攻破最大暗网服务托管商,6500个暗网网站瘫痪。ZDNet从读者那了解到,Daniel's Hosting本周被黑客入侵,并且已经下线服务。Daniel's Hosting作为最大的暗网托管服务提供商之一。根据主机服务的软件开发人员Daniel Winzen的说法,黑客攻击发生在11月15日星期四。“根据我的分析,似乎有人可以访问数据库并删除了所有帐户,”他在今天发布在DH门户网站上的消息中说。Winzen表示服务器的root帐户也被删除了,平台上托管的所有6,500多个Dark Web服务现在都已消失。(详情链接

8.WordPress的AMP插件存在严重漏洞,请立即更新

据报道,WordPress上的AMP插件允许低权限攻击者在目标网站的AMP页面上注入恶意代码。漏洞原因是每个注册用户(无论帐户角色如何)都可以调用ajax hook,且调用hook时没有检查帐户权限。现已经放出更新补丁,请尽快更新到最新插件。(详情链接

9. Windows用户需要立即修补63个新的缺陷(包括0day)

这周二是个打补丁的周二,是Windows操作系统和其他微软产品的另一轮安全更新的时间。本月Windows用户和系统管理员需要立即处理总共63个安全漏洞,其中12个被评为严重漏洞,49个重要,1个中等,1个严重程度低,CVE-2018-8589已被多个APT组织在野利用。用户需尽快更新安全补丁,降低大量漏洞带来的安全危害。(详情链接

10.调查发现,职员并不了解旅行网络安全威胁

据报道,略高于3/4(即77%)的职员表示旅行时会连免费或公共WiFi,此次调查对象为美国千余名18至65岁员工,约63%的职员会使用公共WiFi查看工作电子邮件与文件。此项研究不仅证实了员工旅行时对网络安全问题的漠视,还强调了在安全意识培训方面的巨大缺失,而安全意识培训是为了缓和远程工作带来的威胁。(详情链接