2020年，新冠的爆發(fā)影響了各行各業(yè)的穩(wěn)定運(yùn)轉(zhuǎn)，同時(shí)也催生出不少居家辦公、以新冠疫情為核心的新需求，然而在2021年，全球用戶的關(guān)注點(diǎn)發(fā)生了明顯的轉(zhuǎn)變。不安全的數(shù)據(jù)、代碼托管庫的惡意軟件、關(guān)鍵性的零日漏洞利用和前所未見的勒索軟件方案，這些話題成為了讀者最常閱讀的新聞主題。這或許表明在新的工作方式趨于“常態(tài)化”后，外界更熱衷于關(guān)注網(wǎng)絡(luò)犯罪的創(chuàng)新。

1. 不斷泄露的“數(shù)據(jù)”

2021年的新聞?lì)^條顯然被Log4Shell、殖民管道、卡塞亞、ProxyLogon/ProxyShell和SolarWinds等重大安全事件占據(jù)。除此之外，根據(jù)相關(guān)文章的流量數(shù)據(jù)，益博睿公司數(shù)據(jù)泄露事件也受到了廣泛關(guān)注。

今年 4 月，羅徹斯特理工學(xué)院大二學(xué)生 Bill Demirkapi 發(fā)現(xiàn)，在一個(gè)貸款人網(wǎng)站上，通過益博睿信用局API端口，幾乎可以查詢?nèi)魏我粋€(gè)美國人的信用評分，訪問沒有受到絲毫限制。

該端口名為Experian Connect API，允許貸款人自動(dòng)進(jìn)行FICO分?jǐn)?shù)查詢。Demirkapi通過建立一個(gè)名為"Bill's Cool Credit Score Lookup Utility"的命令行工具，即使在出生日期字段中用零代替，仍可以自動(dòng)查詢幾乎所有人的信用分?jǐn)?shù)。此外，通過該API端口，還可以獲取益博睿用戶更為詳細(xì)的信用記錄，以及信用預(yù)警，例如某用戶消費(fèi)金融賬戶過多等。

益博睿公司表示已經(jīng)解決了該問題，并否決了該問題將帶來系統(tǒng)性威脅的可能。

無獨(dú)有偶，LinkedIn 數(shù)據(jù)在暗網(wǎng)上出售也成為2021年備受關(guān)注數(shù)據(jù)泄露事件。

2021年4月和6月，LinkedIn相繼發(fā)生數(shù)據(jù)泄露事件，5 億 LinkedIn 會(huì)員受到影響。一個(gè)自稱是“GOD User TomLiner”的黑客在 RaidForums 上發(fā)布了一條包含 7 億條 LinkedIn 賬號(hào)待售記錄的帖子。該條帖子包含 100 萬條賬號(hào)記錄，證明系LinkedIn 會(huì)員信息，經(jīng)Privacy Sharks 檢測發(fā)現(xiàn)，泄露數(shù)據(jù)包括姓名、性別、電子郵件地址、電話號(hào)碼和行業(yè)信息等內(nèi)容。

截至目前我們?nèi)匀徊磺宄?shù)據(jù)的具體來源，外界猜測相關(guān)數(shù)據(jù)可能源于公開資料的抓取。

LinkedIn 堅(jiān)稱數(shù)據(jù)庫并沒有被外來者入侵。

不過即便如此，LinkedIn用戶數(shù)據(jù)泄露所其帶來的安全影響也是巨大的，因?yàn)檫@些緩存記錄可被不法分子用來暴力破解賬戶密碼、電子郵件，從而實(shí)施電話詐騙、網(wǎng)絡(luò)釣魚、身份盜竊等活動(dòng)。更重要的是，這些數(shù)據(jù)可能形成一個(gè)社交工程的“金礦”，攻擊者輕輕松松就通過訪問該檔案獲取不少目標(biāo)用戶的個(gè)人信息，進(jìn)而實(shí)施有針對性的詐騙。

2. 關(guān)鍵零日漏洞

關(guān)鍵零日漏洞，這是一個(gè)永恒的話題，但2021年的惡性事件，要從 Log4Shell 說起。

Log4Shell 漏洞是 Java 日志庫 Apache Log4j 中的一個(gè)關(guān)鍵漏洞，允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行 (RCE) 和完全接管服務(wù)器，目前，該漏洞仍在野外被積極利用。

在該漏洞 (CVE-2021-44228) 首次出現(xiàn)在 Minecraft 游戲網(wǎng)站后，Apache 匆忙發(fā)布補(bǔ)丁，但在一兩天內(nèi)，由于威脅者試圖利用這個(gè)新漏洞，攻擊逐漸變得猖獗起來。自此之后，關(guān)于額外的利用載體、第二個(gè)漏洞、攻擊之兇猛及波及面的擴(kuò)大新聞，就霸占了12月的全部頭條。

NSO 公司針對 Apple 的“零點(diǎn)擊”攻擊事件

9 月，研究人員發(fā)現(xiàn)了一個(gè)稱為“ForcedEntry be”的零點(diǎn)擊漏洞，蘋果包括 iPhone、iPad、Mac和Apple Watch在內(nèi)的所有產(chǎn)品均受到影響。結(jié)果顯示，該漏洞被NSO公司利用來安裝臭名昭著的 Pegasus 間諜軟件。

雖然蘋果公司推出了緊急修復(fù)程序，但 Citizen Lab 已經(jīng)觀察到 NSO 公司已經(jīng)通過 iMessage渠道實(shí)施了非法監(jiān)控活動(dòng)，而其中所利用的正是該漏洞。

Palo Alto 安全設(shè)備中的巨大零日漏洞

來自 Randori 的研究人員開發(fā)了一個(gè)有效的利用程序，以通過關(guān)鍵漏洞 CVE 2021-3064 在 Palo Alto Networks 的 GlobalProtect 防火墻上獲得遠(yuǎn)程代碼執(zhí)行 (RCE)。

Randori 研究人員表示，如果攻擊者成功利用該漏洞，他們可以獲得目標(biāo)系統(tǒng)的 shell，訪問敏感配置數(shù)據(jù)，提取憑據(jù)等。

“一旦攻擊者控制了防火墻，他們就可以訪問內(nèi)網(wǎng)，并繼續(xù)橫向移動(dòng)。”值得慶幸的是，Palo Alto Networks 在信息披露當(dāng)天修補(bǔ)了該漏洞。

谷歌內(nèi)存零日漏洞

2021年 3 月，谷歌急忙修復(fù) Chrome 瀏覽器中的一個(gè)受到主動(dòng)攻擊的漏洞。該漏洞是一個(gè)釋放后使用漏洞，允許遠(yuǎn)程攻擊者利用漏洞構(gòu)建惡意WEB頁，誘使用戶解析，可使應(yīng)用程序崩潰或執(zhí)行任意代碼。

“通過說服受害者訪問特制網(wǎng)站，遠(yuǎn)程攻擊者可以利用此漏洞執(zhí)行任意代碼或在系統(tǒng)上造成拒絕服務(wù)條件，” IBM X-Force 對該漏洞報(bào)告寫道。

戴爾內(nèi)核權(quán)限漏洞

今年年初，研究者在部分戴爾個(gè)人電腦、平板電腦和筆記本電腦中發(fā)現(xiàn)了5個(gè)隱藏了12年的嚴(yán)重安全漏洞，這些產(chǎn)品均在2009年前后銷往市場。根據(jù)SentinelLabs的說法，這些安全漏洞可以繞過防火墻或其他安全防護(hù)產(chǎn)品的保護(hù)，在目標(biāo)設(shè)備商執(zhí)行代碼，并通過局域網(wǎng)或是互聯(lián)網(wǎng)向其他設(shè)備進(jìn)行橫向移動(dòng)滲透。

研究人員說，這些漏洞隱藏在戴爾的固件更新驅(qū)動(dòng)程序中，可能影響到數(shù)億臺(tái)戴爾電腦設(shè)備。

自 2009 年以來，戴爾固件更新驅(qū)動(dòng)程序版本 2.3 (dbutil_2_3.sys) 模塊中存在多個(gè)本地權(quán)限提升 (LPE) 漏洞。驅(qū)動(dòng)程序組件通過戴爾 BIOS 實(shí)用程序處理戴爾固件更新，將漏洞“預(yù)先安裝”在大多數(shù)運(yùn)行 Windows 系統(tǒng)的戴爾機(jī)器上。

3. 軟件供應(yīng)鏈和代碼庫危機(jī)

軟件供應(yīng)鏈以開源代碼存儲(chǔ)庫為基礎(chǔ)，開發(fā)人員可以在集中位置上傳軟件包，供開發(fā)人員在構(gòu)建各種應(yīng)用程序、服務(wù)和其他項(xiàng)目時(shí)使用。它們包括 GitHub，以及更專業(yè)的存儲(chǔ)庫，如 Java 的 Node.js 包管理器 (npm) 代碼存儲(chǔ)庫、Ruby 編程語言的RubyGems 、Python 包索引 (PyPI)等等。

這些軟件包管理器在提供便利的同時(shí)，卻又成為了全新的供應(yīng)鏈威脅，因?yàn)槿魏稳硕伎梢韵蛩鼈兩蟼鞔a，而這些代碼又能在不知不覺中滲入各類應(yīng)用程序中。

更為重要的是，一個(gè)單一的惡意軟件包可以被植入加密礦工、信息竊取器等不同的項(xiàng)目中，并進(jìn)一步感染，使得修復(fù)過程變得極其復(fù)雜。

由于操作簡單，危害性又極為嚴(yán)重，因此網(wǎng)絡(luò)犯罪分子蜂擁而至。例如，12 月在 npm 中發(fā)現(xiàn)了 17個(gè)系列惡意包，它們都是針對虛擬會(huì)議平臺(tái) Discord 而構(gòu)建的。目的是為了竊取Discord令牌，從而接管賬戶。

同樣在本月，托管在 PyPI 代碼存儲(chǔ)庫中的三個(gè)惡意軟件包被發(fā)現(xiàn)，總共有超過 12,000 次下載，可能已經(jīng)潛入各種應(yīng)用程序的安裝中。這些軟件包包括一個(gè)用于在受害者設(shè)備建立后門的木馬程序和兩個(gè)信息竊取程序。

研究人員還發(fā)現(xiàn)，Maven Central 生態(tài)系統(tǒng)中有 17,000 個(gè)未打補(bǔ)丁的 Log4j Java 包，這使得Log4Shell 漏洞利用帶來的巨大供應(yīng)鏈風(fēng)險(xiǎn)顯而易見。谷歌安全團(tuán)隊(duì)表示，這可能需要 "數(shù)年 "的時(shí)間來修復(fù)整個(gè)生態(tài)系統(tǒng)。

4. 狡猾的勒索軟件變體

2021年，勒索軟件稱為一種日益嚴(yán)重的威脅，此類網(wǎng)絡(luò)犯罪的復(fù)雜性和創(chuàng)新水平不斷提高。用來鎖定文件的惡意軟件，已不再是簡單地在目標(biāo)文件夾上加一個(gè)擴(kuò)展名。關(guān)于勒索軟件的變體及進(jìn)展，主要有如下三大發(fā)現(xiàn)：

HelloKitty ：以虛擬機(jī)為目標(biāo)

今年 6 月，研究人員首次公開了HelloKitty 勒索軟件團(tuán)伙使用的一種 Linux 加密器。

HelloKitty是2月份攻擊電子游戲開發(fā)商CD Projekt Red的幕后黑手，它開發(fā)了許多 Linux ELF-64 版本的勒索軟件，用于攻擊VMware ESXi 服務(wù)器和運(yùn)行在它們上面的虛擬機(jī) (VM)。

VMware ESXi(以前稱為 ESX)，是一種裸機(jī)管理程序，可以輕松安裝到服務(wù)器上，并將其分割為多個(gè)虛擬機(jī)系統(tǒng)。盡管這使得多個(gè)虛擬機(jī)共享相同的硬盤存儲(chǔ)變得容易，但這反而增加了系統(tǒng)遭受攻擊的風(fēng)險(xiǎn)。由于多個(gè)虛擬機(jī)共用同一個(gè)儲(chǔ)存系統(tǒng)，因此一旦數(shù)據(jù)被鎖，攻擊者就可以直接攻陷多個(gè)服務(wù)器系統(tǒng)。

MosesStaff：“失蹤”的密鑰

11月，一個(gè)名為 MosesStaff 的團(tuán)體向以色列相關(guān)機(jī)構(gòu)發(fā)起攻擊，攻擊最終使以色列網(wǎng)絡(luò)系統(tǒng)陷入癱瘓。

與一般網(wǎng)絡(luò)勒索案件不同的是，MosesStaff并不求財(cái)，它用盡手段加密網(wǎng)絡(luò)和竊取信息，只是源于“政治意圖”。該組織還在社交媒體上保持活躍，通過各種渠道發(fā)布煽動(dòng)性的信息和視頻，并讓外界知道它的所作所為。

Epsilon Red 以 Exchange 服務(wù)器為目標(biāo)

6 月份，研究員發(fā)現(xiàn)，某攻擊者在一組 PowerShell 腳本的基礎(chǔ)上部署了新的勒索軟件，這些腳本是利用未打補(bǔ)丁的 Exchange 服務(wù)器的漏洞而開發(fā)的。

Epsilon Red 勒索軟件是在對美國一家酒店公司攻擊時(shí)被發(fā)現(xiàn)的，對其命名來自 X 戰(zhàn)警漫威漫畫中一個(gè)不起眼的敵人角色，一名有著四個(gè)機(jī)械觸手的俄羅斯超級(jí)士兵。

研究人員表示，該勒索軟件的入侵模式與一般勒索軟件有所不同。雖然該惡意軟件本身是一個(gè)用Go編程語言編程的64位Windows可執(zhí)行程序，但其交付系統(tǒng)依賴于一系列PowerShell腳本。

5. 游戲安全

連續(xù)第二年，游戲安全成為關(guān)注的焦點(diǎn)，這可能是因?yàn)槿蛞咔榱餍型聘吡擞螒蛐枨?，網(wǎng)絡(luò)犯罪分子也繼續(xù)瞄準(zhǔn)游戲領(lǐng)域。在卡巴斯基最近的一項(xiàng)調(diào)查中，近 61% 的人有過諸如ID盜竊、詐騙或游戲內(nèi)貴重物品被盜的遭遇。下面概述了一些相關(guān)事件。

SteamHide風(fēng)波

今年六月，出現(xiàn)了名為SteamHide的惡意軟件，它利用游戲平臺(tái)Steam的個(gè)人資料頭像進(jìn)行傳播。

根據(jù)G Data公司的研究，惡意軟件并不會(huì)直接感染Steam，而是將它作為了傳播渠道。SteamHide會(huì)通過電子郵件首次傳播，隨后快速感染目標(biāo)設(shè)備上的Steam平臺(tái)，存有惡意代碼的圖片會(huì)替換掉原有的Steam個(gè)人資料頭像。當(dāng)用戶的好友訪問到這張頭像時(shí)，就會(huì)自動(dòng)感染SteamHide。

事實(shí)上，隱寫技術(shù)并不是什么新興技術(shù)，只不過SteamHide能夠想到利用隱寫和Steam平臺(tái)好友訪問來實(shí)施網(wǎng)絡(luò)犯罪，其創(chuàng)意還是讓人為之震驚。

Twitch 源代碼泄露

10月，一個(gè)匿名用戶在4chan上發(fā)布了大小為125GB的數(shù)據(jù)鏈接，其中包含Twitch的所有源代碼，可以追溯到Twitch成立伊始的所有數(shù)據(jù)，包括用戶評論，用戶付費(fèi)信息等等。

攻擊者聲稱洗劫了Twitch直播平臺(tái)的一切，而Twitch則證實(shí)了這一事件的真實(shí)性。不過值得慶幸的是，攻擊者并沒有謀求錢財(cái)，發(fā)起攻擊完全為了發(fā)泄對于Twitch 規(guī)則的不滿，攻擊者希望能以此完善Twitch的用戶規(guī)則。

竊取Steam 的 Discord 騙局

11 月，一種新的騙局開始在 Discord 上傳播，網(wǎng)絡(luò)犯罪分子可以通過它獲取 Steam 帳戶信息，并利用帳戶中的有用數(shù)據(jù)實(shí)施詐騙。

以游戲玩家為目標(biāo)的Discord騙局屢見不鮮，而這一種卻玩出了新意。研究人員指出，新模式跨越了Discord和Stream游戲平臺(tái)，騙子提供所謂的免費(fèi)訂閱Nitro(一種Discord插件，可以實(shí)現(xiàn)頭像、自定義表情符號(hào)、個(gè)人資料徽章、更大的上傳、服務(wù)器提升等等)，以換取兩個(gè)賬戶的 "鏈接"。

目標(biāo)用戶會(huì)在Discord上收到一條惡意鏈接，其中描述了不少好處，包括獲得免費(fèi)游戲或是游戲道具，而用戶需要做的只是“鏈接你的Steam賬戶"。點(diǎn)擊惡意鏈接會(huì)將用戶帶到一個(gè)虛假的Discord頁面，上面有一個(gè)按鈕，寫著 "獲得Nitro"。一旦受害者點(diǎn)擊該按鈕，該網(wǎng)站似乎會(huì)提供一個(gè)與Steam頁面類似的彈出式廣告，但研究人員解釋說，該廣告仍是惡意網(wǎng)站的一部分。

該策略旨在欺騙用戶認(rèn)為他們被帶到 Steam 平臺(tái)以輸入他們的登錄信息，實(shí)際上，騙子已經(jīng)準(zhǔn)備好接受你的賬戶數(shù)據(jù)了。

PlayStation3 被“Ban”了

2021年6月，由于索尼疏于管理，一個(gè)包含所有PlayStation3游戲機(jī)序列號(hào)的文件夾以明文的方式放在網(wǎng)上。這給了不法分子可乘之機(jī)，最終導(dǎo)致部分PlayStation 3玩家的主機(jī)直接被“Ban”,無法正常使用。

2021年4月中旬，一個(gè)名為 "The WizWiki "的西班牙YouTuber發(fā)現(xiàn)，索尼在網(wǎng)上留下了一個(gè)包含所有PS3游戲機(jī)ID的文件夾，沒有任何安全保障可言。而到了2020年6月，PlayStation網(wǎng)絡(luò)留言板上的玩家開始抱怨他們無法登錄。

用戶猜測，威脅者使用偷來的PS3游戲機(jī)ID進(jìn)行惡意操作，導(dǎo)致合法玩家被禁。但索尼并未確認(rèn)這兩者之間存在必然的聯(lián)系。

額外閱讀：十二宮殺手密碼終被破解

困擾美國警方半個(gè)多世紀(jì)的“十二宮殺手”密碼，在2020年12月被某數(shù)學(xué)家團(tuán)隊(duì)破解。

據(jù)報(bào)道， 1960 年代末和 1970 年代初，連環(huán)殺手在北加利福尼亞地區(qū)及其周邊地區(qū)謀殺了至少 5 人。這位至今未具名的兇手向當(dāng)?shù)貓?bào)紙媒體發(fā)送了四串加密信息，吹噓自己的罪行并包含神秘的圖標(biāo)，這為他贏得了“黃道十二宮”的綽號(hào)。

第一串密碼很快被破譯，但以340字符命名的“340 Cipher ”更難破譯。澳大利亞數(shù)學(xué)家 Sam Blake 計(jì)算出有 650,000 種解讀方式。比利時(shí)一名倉庫操作員 Jarl Van Eycke 編寫了一個(gè)軟件來破解密碼。這一獨(dú)特的密碼破解方式有了回音。并且這條消息得到了FBI的官方確認(rèn)。

雖然神秘的連環(huán)殺手的名字還不為人知，但這一突破代表著密碼學(xué)和網(wǎng)絡(luò)安全中訪問控制和分割的勝利。

參考來源：https://threatpost.com/5-top-threatpost-stories-2021/177278/#Experian_Leak