本篇文章给大家谈谈snoopy是什么意思中文,以及snoopy包包的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
文章详情介绍:
2020重大网络安全事件盘点 · 互联网篇
导读
2020 年,网络安全挑战再度升级,各行业数据泄露事件层出不穷。Risk Based Security(风险基础安全)数据显示,2020 年全球数据泄露总数高达 360 亿,达到历史新高。
微步在线持续密切关注全球网络安全态势,并对 2020 年全球重大安全事件进行了梳理,精选出金融、能源、互联网、政府、工控、医疗、教育等行业的代表性事件,以及疫情相关的重大攻击事件,以便大家了解全球最新安全威胁,及时做好安全加固,防患于未然。
2020 重大安全事件盘点将会按细分行业陆续发布,敬请持续关注。
在2020年互联网相关行业的攻击事件中,攻击方式多种多样,包含密码喷洒攻击、木马攻击、0day漏洞攻击等,部分企业曝出信息泄露事件。2020年12月,欧美多国受到 SolarWinds 供应链攻击事件影响,事件调查至今仍在进行中。
2020年2月 | Cloud Snooper 攻击能绕过防火墙安全措施
2020年2月25日,SophosLabs 发布报告称在调查针对 AWS 云基础架构服务器的恶意软件感染过程中发现了一种复杂的攻击,将其命名为 Cloud Snooper。Cloud Snooper 采用独特的技术组合逃避检测,允许恶意软件通过防火墙与 C2 通信。它将 C2 流量伪装成 Web 流量等普通流量,能绕过许多防火墙。分析发现,攻击中使用基于 Ghost 的 Windows 和 Linux 软件,以及过滤网络流量的 rootkit。该 rootkit 可以通过 AWS SG 远程控制服务器,以及用于与任何边界防火墙之后的恶意软件进行通信并进行控制。简单来说,该 rootkit 侦听来自特定端口的入栈流量,在流量到达 Web 服务器之前进行过滤解析然后转发给 rootkit 安装的后门,rootkit 会对后门的出栈数据包进行重构,确保源端口还原回输入数据包的目的地的原始端口,这样保证了 C2 流量透明的流经 AWS SG 等防火墙允许的端口。关联分析发现,核心 snoopy 木马中存在明文的中文调试信息。
微步在线点评:
Cloud Snooper 攻击能绕过防火墙安全措施,可结合应用安全检查等进行防御。
参考链接:https://news.sophos.com/en-us/2020/02/25/cloud-snooper-attack-bypasses-firewall-security-measures/
2020年3月 | 美国云计算厂商 Citrix 遭黑客攻击
在2018年10月至2019年3月近5个月的时间里,有伊朗背景的黑客组织潜伏在 Citrix 内部,窃取了超过 6TB 的敏感数据。Citrix 被黑源于一种鲜为人知的名为“密码喷洒”的攻击技术。被窃取的数据包括:公司相关雇员、员工、实习生和合同工等及其家人的个人和财务信息(具体包括社会保障号码及其他税收标号、驾照号、护照号、财务账号、支付卡号及有限的医疗保险信息),内部文档等被盗。据称幕后黑手是有伊朗背景的 IRIDIUM。
微步在线点评:
网络风险千变万化,“密码喷洒”通常也只是入侵的第一步,除针对此攻击制定策略进行防御外,企业对后续入侵内网的攻击行为也应引起足够重视。企业在建设纵深防御体系时,可以考虑引入威胁情报进行威胁检测。
从目前观测的到情况来看,“密码喷洒”在当前并未引起足够的重视,但不可否认的是此类攻击确实呈现上升态势。我们推测,不是不存在更多的“密码喷洒”攻击事件,而是可能被忽视或没有被发现。
参考链接:https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2551
2020年4月 | Zoom 视频会议平台设计缺陷导致大量用户视频泄露
美国《华盛顿邮报》报道,成千上万个 Zoom 视频通话记录在公开网络上曝光。这些视频包括个人理疗会议,涉及私人财务记录的公司商务会议,以及任何观看视频的人都能看到学生详细信息的在线课程。因为 Zoom 视频记录是以相同的方式命名的,通过“简单的在线搜索”即可观看和下载这些视频。
微步在线点评:
受疫情影响,很多企业的工作被迫转移至线上。疫情期间,Zoom 用户就曾把视频链接放在公网,因被无关人员加入而导致会议的正常秩序受到影响。Zoom 作为大型的视频会议平台,应该不断完善自身产品,让其贴合用户需求的同时也要保证其安全性,用户在配置时也需要注意是否存在安全隐患。
参考链接:https://www.newsbytesapp.com/news/science/over-15-000-zoom-recordings-found-online/story
2020年7月 | 朝鲜黑客被指控对美国和欧洲的购物者进行了攻击
Sansec 研究表明,朝鲜黑客与拦截美国和欧洲购物者的在线支付活动有关,其中 APT Lazarus / HIDDEN COBRA 相关的黑客,被发现最早在2019年5月闯入美国大型零售商的在线商店并种植了付款掠夺者。为了拦截交易,攻击者需要修改运行在线商店的计算机代码。HIDDEN COBRA 设法获得了大型零售商的商店代码,例如国际时尚连锁店 Claire’s 7。HIDDEN COBRA 如何获得访问权限尚不清楚,但是攻击者经常使用钓鱼邮件来获取零售人员的密码。使用未经授权的访问,HIDDEN COBRA 将其恶意脚本注入商店结帐页面。监听器等待毫无戒心的顾客的击键。客户完成交易后,拦截的数据(例如信用卡号)将发送到 HIDDEN COBRA 控制的收款服务器。Sansec 收集了相关证据,该证据与先前记录的朝鲜归因的黑客行动复用了资产。Sansec 认为,自2019年5月以来,朝鲜黑客一直在进行大规模的拦截交易活动。
微步在线点评:
Lazarus Group 是一个网络犯罪组织,自从至少2009年以来一直活跃,据报道2014年11月索尼影视娱乐的攻击主要主导者。该组织的攻击一般以盈利为目的,防范该类攻击可以引入威胁情报检测能力进行辅助。
参考链接:https://sansec.io/research/north-korea-magecart
2020年7月 | TeamTNT 团伙对 Docker 主机发起攻击活动
2020年7月,微步在线监测发现一起尝试攻击 Docker 主机并植入挖矿木马的攻击活动,挖矿木马存放在一台位于德国的服务器(85.214.149.236)中,该服务器上还存在 Tsunami DDoS 木马和其他后门程序,其中一款木马样本与微步在线在2020年1月发布的“我国大量服务器被黑产组织攻陷”通报中涉及的木马相同,疑似同一团伙所为,微步在线其命名为“TeamTNT”。此次攻击的主要目的是挖矿,但也具备部署后门来维持权限的能力。由于上次攻击者攻击的 IP 地址 90% 以上是属于中国,因此应对此次攻击采取相当的重视。
微步在线点评:
在 Docker 的使用中,应限制访问权限,采用标准的最佳实践来减少攻击面。
参考链接:https://mp.weixin.qq.com/s/RLzod8AiwjcvziiwQ17sNA
2020年8月 | XCSSET 恶意软件:感染 Xcode 项目,利用 0day 漏洞对浏览器执行 UXSS攻击
趋势科技披露了一件与 Xcode 开发者项目有关的恶意感染事件。不同寻常的是,被感染的 Xcode 开发者项目会将恶意代码注入本地 Xcode 项目,可以在构建项目时运行恶意代码,这尤其给 Xcode 开发人员带来了风险。在 GitHub上,已可以找到受影响的项目,这会导致对依赖这些项目的用户的供应链式攻击。值得注意的是,恶意代码中有利用两个 0day 漏洞:一个是利用 Data Vault 的行为缺陷窃取 cookies;另一个是滥用 Safari 的开发者版本,可以实现对 Safari 的劫持和注入多种 JavaScript 载荷。
微步在线点评:
近几年针对开发人员的供应链攻击日益增多,如何保护好开源项目的安全、保护开发环境不被污染,企业应该在开源项目使用时多做斟酌。
参考链接:https://documents.trendmicro.com/assets/pdf/XCSSET_Technical_Brief.pdf
2020年9月 | 微软必应服务器泄露 6.5 TB 搜索记录和位置信息
Wizcase 安全研究人员发现了一个与微软必应移动应用相关的不受保护的后端服务器,该服务器暴露了高达 6.5 TB的数据,包括数百万次搜索查询的详细信息、设备详细信息和 GPS 坐标。该服务器是用来记录与微软的安卓和 iOS 手机应用 Bing 相关的数据的,这些应用在移动设备上已经有超过一千万的下载量。尽管日志中没有必应用户的姓名或地址,但这个未受保护的 Elastic 服务器包含了大量信息,很容易被黑客滥用。
微软发言人称,微软已经修复了一个错误配置,该错误配置导致少量搜索查询数据暴露。分析确定暴露的数据是有限的,且无法识别用户身份。
微步在线点评:
因配置错误导致的安全事件越来越多,其实早在2019年必应搜索就曾被曝出信息泄露的漏洞。企业应该从资产及系统部署等方面安全方面加强管理。
参考链接:https://www.teiss.co.uk/unprotected-microsoft-bing-database-exposed-user-records/
2020年9月 | Windows XP SP1 和其他版本的操作系统源代码泄露
2020年9月,在 4chan 论坛上有用户散布 Windows XP 源码及其它版本的操作系统源代码。原始泄密者称,这批代码在私下渠道已经流传了很多年。微软官方对于此事只是说正在积极调查。
微步在线点评:
早在2014年,微软就对 Windows XP 系统停止了更新维护,但目前仍有少部分用户仍然在使用 Windows XP 系统。技术爱好者们可以基于此代码进一步了解 Windows XP 系统的工作原理,攻击者也会利用此源码进行漏洞挖掘。各企业应该将系统进行更新升级。
参考链接:https://www.engadget.com/windows-xp-source-code-leak-170715593.html
2020年12月 | SolarWinds 供应链攻击
2020年12月13日,FireEye 曝光了一起利用 SolarWinds 供应链进行木马投递的供应链攻击。攻击者对 SolarWinds 旗下的 Orion 软件植入了 SUNBURST 后门,2020年3月至2020年5月,对多个木马更新进行了数字签名,并发布到 SolarWinds 的更新网站。SolarWinds 是一家从事企业网络监控的公司,在全球拥有广泛的客户群体,此次攻击事件波及了北美、欧洲、亚洲和中东的政府机构和科技企业。
微步在线点评:
供应链攻击隐蔽性高、检测难度大,已经成为 APT 的常态化攻击手段。基于关键和基础软件的供应链攻击先天性突破了信任边界,其直接和潜在危害都难以估量。SolarWinds 攻击事件是本年度影响最大的供应链攻击事件,此事件甚至被称为美国遭遇的史上最严重网络攻击,影响范围远超近年来的 Xcode、CCleaner、Xshell、phpStudy、驱动人生等软件供应链攻击事件。
对供应链攻击的防范,需要软硬件供应商、最终用户和安全厂商协力进行。于软硬件供应商,应夯实自身安全能力,在整个生命周期引入安全机制,保证最终交付产品的完整性;于最终用户,应选择可信来源下载软件,条件允许可对软件进行安全评估,不盲信软件的安全性,同时做好自身安全建设,利用威胁情报等建立持续检测响应、持续监控和态势感知能力,并逐步建立纵深防御体系;于安全厂商,应提升并积极输出安全能力,建立对供应链攻击的发现响应机制,及时输出供应链攻击相关威胁情报。
参考链接:https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
更多推荐