Myasiacloud亚洲云海

谷歌和微软表示，他们承诺在未来五年内共投资 300 亿美元用于 网络安全 发展，因为美国政府与私营部门公司合作，以应对一系列复杂的恶意网络活动针对该国所面临的威胁。关键基础设施，暴露了全球数据、组织和政府面临的风险。 白宫网络安全会议汇集了来自教育、能源、金融、保险和科技行业的高管，包括 ADP、亚马逊、苹果、美国银行、Code.org、Girls Who Code、谷歌、IBM、摩根大通等公司Chase、微软和 Vantage Group 等。 为此，美国政府周三宣布美国国家标准与技术研究院 (NIST) 与行业合作伙伴合作开发一个新框架，以提高技术供应链的安全性和完整性，同时计划扩大工业控制确保天然气管道安全的系统网络安全计划。 大型科技行业也纷纷推出一系列举措，其中: 微软将在未来五年内投资 200 亿美元来提供先进的安全解决方案，此外还将提供 1.5 亿美元的技术服务来帮助联邦、州和地方政府升级安全保护。 谷歌将投资超过 100 亿美元来加强网络安全，包括扩大零信任计划、帮助保护软件供应链和增强开源安全。值得注意的是，这家搜索巨头在今年 6 月初宣布了一个名为软件工件供应链级别（SLSA或“salsa”）的框架，以保护软件供应链的完整性。 Apple将与 9,000 多家供应商合作，推动大规模采用多因素身份验证、漏洞修复、事件记录和安全培训。 IBM将在未来三年内培训 150,000 人网络安全技能，并将与 20 所历史悠久的黑人学院和大学合作，建立更加多样化的网络劳动力。 亚马逊将为所有亚马逊网络服务账户持有人提供一种多因素身份验证设备，以防止网络钓鱼和密码盗窃，无需额外费用。 虽然这些努力将如何在实践中展开还有待观察，但在最近几个月针对SolarWinds、微软、Colonial Pipeline、JBS和Kaseya 的一系列备受瞩目的网络攻击之后，这些承诺表明了优先考虑和提升网络安全的紧迫性。这些事件还促使美国总统乔拜登在 5 月发布行政命令，要求联邦机构对其网络安全防御进行现代化改造。 Myasiacloud 亞洲雲海 網路安全防禦專家 亞太高防資源 無上限防禦 DDoS/CC 攻擊 !! 全球優質節點 中國大陸全境加速 海外加速 詳情訪問 https://www.myasiacloud.com/clouddf 商務聯

  VMware 周三发布了安全更新，以解决多个产品中的漏洞，攻击者可能利用这些漏洞来控制受影响的系统。 六个安全漏洞（从 CVE-2021-22022 到 CVE-2021-22027 ， CVSS 分数： 4.4 - 8.6 ）影响 VMware vRealize Operations （ 8.5.0 版之前）、 VMware Cloud Foundation （ 3.x 版和 4.x 版） ) 和 vRealize Suite Lifecycle Manager （版本 8.x ），如下所列 - CVE-2021-22022 （ CVSS 评分： 4.4 ） - vRealize Operations Manager API 中的任意文件读取漏洞，导致信息泄露 CVE-2021-22023 （ CVSS 分数： 6.6 ） - vRealize Operations Manager API 中的不安全直接对象引用漏洞，使具有管理访问权限的攻击者能够更改其他用户的信息并控制帐户 CVE-2021-22024 （ CVSS 评分： 7.5 ） - vRealize Operations Manager API 中的任意日志文件读取漏洞，导致敏感信息泄露 CVE-2021-22025 （ CVSS 评分： 8.6 ） ——vRealize Operations Manager API 中的访问控制漏洞，允许未经身份验证的恶意行为者向现有 vROps 集群添加新节点 CVE-2021-22026 和 CVE-2021-22027 （ CVSS 评分： 7.5 ） ——vRealize Operations Manager API 中的服务器端请求伪造漏洞，导致信息泄露。 报告缺陷的是 Positive Technologies 的 Egor Dimitrenko （ CVE-2021-22022 和 CVE-2021-22023 ）和 MoyunSec V-Lab 的 thiscodecc （从 CVE-2021-22024 到 CVE-2021-22027 ）。 另外， VMware 还发布了补丁来修复影响 VMware vRealize Log Insight 和 VMware Clou

  LockBit 2.0 之后，被称为LockFile的勒索软件的运营商是已被发现利用最近披露的缺陷（例如ProxyShell和PetitPotam）来破坏 Windows 服务器并部署文件加密恶意软件。 LockFile利用一种称为“间歇性加密”的新技术来绕过勒索软件保护。 该恶意软件仅对文件的每隔 16 个字节进行加扰，从而使其能够逃避勒索软件防御。 “勒索软件运营商通常使用部分加密来加快加密过程，我们已经看到 BlackMatter、DarkSide 和 LockBit 2.0 勒索软件实现了它，”Sophos 工程总监 Mark Loman 在一份声明中说。“LockFile 的不同之处在于，与其他的不同，它不加密前几个块。相反，LockFile 每隔 16 个字节就加密一个文档。” “这意味着诸如文本文档之类的文件仍然部分可读，并且在统计上看起来像原始文件。这个技巧可以成功对抗依赖于使用统计分析检查内容来检测加密的勒索软件保护软件，”Loman 补充道。 Sophos 对 LockFile 的分析来自于2021 年 8 月 22 日上传到 VirusTotal 的一个工件。 一旦存放，恶意软件还会采取措施通过 Windows 管理界面 (WMI) 终止与虚拟化软件和数据库相关的关键进程，然后继续加密关键文件和对象，并显示与 LockBit 2.0 风格相似的勒索软件注释。 赎金说明还敦促受害者联系特定的电子邮件地址“contact@contipauper.com”，Sophos 怀疑这可能是对一个名为 Conti 的竞争性勒索软件组织的贬义。 更重要的是，勒索软件会在成功加密机器上的所有文档后将自身从系统中删除，这意味着“没有勒索软件二进制文件可供事件响应者或防病毒软件查找或清理。” 此外，美国联邦调查局 (FBI) 发布了一份Flash 报告，详细介绍了一种名为 Hive 的新型勒索软件即服务 (RaaS) 装备的策略，该装备由许多使用多种机制的参与者组成。 网络威胁格局永远不会停滞不前，破坏商业网络，窃取数据并加密网络上的数据，并试图收集赎金以换取对解密软件的访问，对手将迅速抓住每一个可能的机会或工具来发动成功的攻击，提前做好 网络攻击防御 ，保护好商业机密。 Myasiacloud 亞洲雲海 網路安全防禦專家 亞太高防資源 無上限防禦

  随着勒索软件攻击变得越来越大、越来越频繁、规模和严重性越来越大，同时也从经济勒索演变为紧迫的 国家安全和安全问题 ，威胁到世界各地的学校、医院、企业和政府，促使国际当局制定了一系列针对勒索软件运营商和更广泛的 IT 生态系统和洗钱基础设施的行动，这些生态系统被滥用来窃取资金。 网络安全研究人员揭开了可能对企业和关键基础设施构成严重威胁的四个崭露头角的勒索软件组织的秘密，因为最近爆发的勒索软件事件的连锁反应表明，攻击者在从受害者那里获取报酬。 Palo Alto Networks 的 Unit 42 威胁情报团队在与 The Hacker News 分享的一份报告中说： “虽然勒索软件危机在好转之前似乎会变得更糟，但造成最大损害的网络犯罪集团的阵容却在不断变化。”“当他们声名狼藉时，有时会变得安静，以至于他们成为执法部门的优先事项。其他人通过修改他们的策略、技术和程序、更新他们的软件和发起营销活动来招募新人，从而重新启动他们的业务，使他们更有利可图。附属机构。” 新加入者中的佼佼者是 AvosLocker，这是一个勒索软件即服务 (RaaS) 组织，该组织于 6 月下旬通过“新闻稿”开始运营，这些新闻稿带有蓝色甲虫标志，以招募新的附属机构。该卡特尔还经营着一个数据泄露和勒索网站，据说已经入侵了美国、英国、阿联酋、比利时、西班牙和黎巴嫩的六个组织，赎金要求从 50,000 美元到 75,000 美元不等。 相比之下，尽管 Hive 与 AvosLocker 同月开业，但已经袭击了多家医疗保健提供商和中型组织，包括一家欧洲航空公司和三个美国实体，以及位于澳大利亚、中国、印度、荷兰、挪威、秘鲁、葡萄牙、瑞士、泰国和英国 还在野外检测到的是 HelloKitty 勒索软件的 Linux 变体，它挑选出运行 VMware 的 ESXi 管理程序的 Linux 服务器。“观察到的变种影响了意大利、澳大利亚、德国、荷兰和美国的五个组织，”Unit 42 研究人员 Doel Santos 和 Ruchna Nigam 说。“从该组织观察到的最高赎金要求为 1000 万美元，但在撰写本文时，威胁行为者只收到了三笔交易，总金额约为 148 万美元。” 最后加入名单的是 LockBit 2.0，这是一个成熟的勒索软件组织，其附属程序的 2.0 版本吹嘘其“加密速度和自传播功能”的“无与

几月前，有相关研究人员发现，微软PowerApps入口网站（portal）平台的默认数据组态问题，导致超过3800万用户接种疫苗或个资公开于网络上，受害者包括福特、美国航空及数个州政府。 PowerApps是微软力推的低程序代码开发、流程设计等生产力工具。PowerApps 入口网站可让内部用户输入及储存信息，且开放外部用户利用不同的身分识别登入、建立、查询或浏览数据，或是网站上App互动。 但被经常揭露云端平台漏洞的研究人员发现它某个预设的访问权限设定，可能导致美国纽约市、印第安纳及马里兰州等政府及数家大型企业储存的用户数据，包括COVID-19疫苗接种或社会安全码、电子邮件个资曝露于开放网络上。 Power Apps的原理是，Power Apps 内部数据表单（list）中撷取Microsoft  Dataverse表格中的数据，再透过API将数据曝露或显示于Power Apps入口网站上。问题出在PowerApps用来汲取资料的API之一：OData API。开发人员以此API启动从OData Fee窗体（list）捞出数据的OData feed同时，一定要记得在功能选单中启动「设定表格许可（Table Permission）」，以确保不会有匿名存取，或是非授权用户存取数据。但这表格访问权限设定在Power Apps窗体中是默认关闭的；也就是说，只要用户忘了变更设定，使用OData API的单位等于数据公开曝露于开放网络上。 研究人员发现了数千个入口网站曝露出可匿名存取的窗体 。其中几个较重大的例子是美国3个州、市政府的入口网站，曝光的数据报括COVID-19案例及疫苗接种、求职者社会安全码及其他可识别个人身份的信息（PII）。其他用户还包括德州登顿郡（Denton County）、美国航空、J.B. Hunt运输服务公司、福特及微软。总计曝险的数据涉及3800多万用户。 今年6月底微软接获通知后，变更了PowerApps入口网站的数据组态默认。 Myasiacloud 亞洲雲海 網路安全防禦廠商 亞太高防資源 無上限防禦 DDoS/CC 攻擊 !! 全球優質節點 中國大陸全境加速 海外加速 詳情訪問 https://www.myasiacloud.com/clouddf     商務聯絡 TG: @myasiacloud66

  对于许多企业而言， 网络安全 问题很是棘手，网络网关（ Network Gateway ）设备是因特网与内部环境存取的桥梁，一旦遭到入侵，便有可能导致企业门户大开，让攻击者能对企业内部进一步造成危害，而黑客攻击这类连网设备的行动，很可能就会运用殭尸网络病毒。 例如，最近微软揭露新一波殭尸网络 Mozi 的攻击，研究人员发现，近期这款殭尸网络病毒针对 Netgear 、华为、中兴（ ZTE ）等厂牌的网络网关设备，加入了能够持续运作的能力。 Mozi 是点对点（ P2P ）的殭尸网络，最早是 Netlab 360 实验室于 2019 年 12 月揭露，其特点是透过 DHT 协议（ Distributed Hash Table ，一种类似 BitTorrent 的传输方式），来感染物联网（ IoT ）装置，例如路由器、网络网关，或是数字视频录像机（ DVR ）等。 黑客运用该殭尸网络病毒发动攻击的大致流程为何？ 首先，他们会透过像是物联网搜索引擎 Shodan ，来找寻、识别曝露在因特网上的连网设备。 接着，黑客会渗透攻击目标，方法可能是透过 Telnet 的弱密码，或者是物联网装置未修补的漏洞，进而在目标装置植入 Mozi 。而攻击者运用 Mozi 可能会衍生的攻击行为，包含了发动分布式阻断服务（ DDoS ）攻击、数据外泄，以及执行指令或是恶意酬载等，藉由 Mozi 感染这些设备当做跳板，攻击者可以进而横向移动，来攻击具有高度价值的目标。例如，操作科技（ OT ）环境里的信息系统、工业控制系统（ ICS ）等。 但微软在分析新的 Mozi 殭尸网络病毒之后发现，黑客加入能让 Mozi 在受害装置持续运作的能力，包含了在受害装置的文件系统中加入脚本（ Script ），让 Mozi 能随着装置开机就执行，并且窜改组态设定，阻碍组态服务器与受害装置之间的通讯；再者，攻击者会借着切断 Telnet 等远程访问的通讯协议，来封锁管理者复原装置组态的管道。 攻击者究竟如何运用殭尸网络病毒 Mozi ？ 微软列出了可能的流程，包含最初的找寻、识别攻击目标（步骤 1 、 2 ），渗透受害的网络网关装置并植入 Mozi （步骤 3 、 4 ），设置能让 Mozi 持续运作的组态（步骤 5 至 7 ），最终达到攻击企业内部环境的目的（步骤 8 至 10 ）：例

虚拟专用网络 (VPN) 是您在线可能遇到的许多问题的完美解决方案 - 访问被阻止的站点、隐藏您的浏览活动、摆脱互联网限制、寻找更好的交易等等。但是 VPN 可以保护您免受黑客攻击吗？您的私人信息和文件在互联网上使用 VPN 是否更 安全 ？它在数据保护方面有多大区别？ VPN 可以防止黑客入侵吗？ 您绝对应该在公共网络或家庭 Wi-Fi 上使用 VPN，因为它可以显着保护您的隐私。但是 VPN 不能简单地保护您免受每种类型的网络攻击。 有些攻击非常复杂，即使是 VPN 也无法阻止。 但是让我们来看看 VPN 可以阻止的一些网络攻击。 1 - MITM（中间人）攻击 MITM 攻击是指黑客介入您与您尝试通过 Internet 与之通信的个人或 Web 服务器之间。这就像窃听，因为黑客会中断并窃取现有对话或数据传输中的数据。 当黑客知道您在哪个网络上时，他们可以利用其弱加密标准来拦截您的数据传输。最可怕的是，你甚至不会注意到它。使用这种方法，黑客可以轻松窃取敏感信息，例如信用卡详细信息或登录凭据。 大多数 wi-fi 网络，特别是公共 wi-fi 网络，使用 WPA2 安全标准，这是一种非常弱的加密标准，容易受到 MITM 攻击。即使是 WPA3 标准也不是完全万无一失的。 那么，在这种情况下，VPN 有什么帮助呢？ VPN 会加密您的所有在线活动。VPN 加密非常强大，几乎不可能破解。使用 VPN 时，您的 IP 将在不同位置反弹。黑客甚至不会知道您连接到网络的真实 IP 地址。他们将不知道您正在浏览哪些网站，因此他们无法拦截您或将您重定向到虚假网站。 2 -远程黑客 黑客使用的最古老和最有效的技巧之一是通过您的 IP 地址访问您的系统。几乎您访问的每个网站都会跟踪您的 IP 地址。如果这些网站之一被攻击者入侵，他们将可以访问您的 IP 地址。那么这只是使用该 IP 地址作为系统后门的一种情况。我们谈论的是您的智能手机、个人电脑、电视、闭路电视以及连接到您的 Wi-Fi 的所有设备。 VPN 会掩盖您的真实 IP 地址，防止黑客访问它。因此，如果您在浏览互联网时连接到 VPN，您访问的每个站点实际上都不会跟踪您的真实 IP，因此黑客无法知道它。 3 — DDoS/DoS 攻击 DDoS（分布式拒绝服务）攻击是指黑客用不需要的请求和流量淹没您的网络。目的是迫使您离线一

美国目前正在与两种流行病作斗争——新冠病毒和勒索软件攻击。两者都部分关闭了部分经济。然而，就 网络安全 而言，松懈的安全措施使黑客可以轻松地窃取数百万美元。 对于黑客来说，获取经济利益非常简单，即使用恶意软件访问和加密数据并将其扣为人质，直到受害者支付赎金为止。 网络攻击现在更加频繁，因为黑客可以毫不费力地执行它们。此外，付款方式现在对他们更友好。此外，由于对数字基础设施的依赖日益增加，企业愿意支付赎金，这让黑客更有动力尝试更多的漏洞。 1.更大胆的网络犯罪分子 几年前，网络犯罪分子在获得银行密码并利用他们的技术知识从人们的账户中窃取资金之前，会玩心理游戏。他们现在更大胆了，因为他们很容易购买勒索软件即服务，并从 YouTube 等在线视频共享网站学习黑客技术。一些网络团伙甚至为商业黑客提供服务，收取费用，通常是利润的一部分。 加密货币使黑客更加大胆，因为他们可以无限制地和匿名地勒索现金。由于比特币转账的匿名性，黑客发现他们可以向受害者索取更高的金额。 你也可以将网络攻击的增加归咎于一些愿意支付数百万美元比特币的公司的行为。但是，如果公司和数据安全专家确保黑客不再有利可图，攻击就会停止。 2.网络攻击是越来越引人注目还是实际上在上升？ 这两个问题的答案都是肯定的。勒索软件正变得越来越普遍，因为它易于执行。黑客使用软件来探查安全漏洞或使用网络钓鱼诈骗策略欺骗网络用户，例如发送似乎来自受信任来源的恶意软件。此外，网络安全专家最近了解到，一些大公司的网络安全协议一直松懈。 其中一个案例是 Colonial Pipeline 的供应链攻击，其首席执行官 Joseph Blount 在国会面前承认，该公司在用户登录时不使用多因素身份验证。 根据 2020 年发布的互联网犯罪报告，FBI 在 2020 年收到了近 2,500 份勒索软件报告，比 2019 年报告的案件高出 20%。 FBI 还指出，2020 年勒索软件攻击的总成本接近 2,910 万美元. 这相当于比 2019 年增加了 200%，其中成本达到了 890 万美元。 导致勒索软件攻击增加的另一个因素是在线用户数量的增加。冠状病毒大流行导致全球互联网使用量激增。许多学生和工人正在远程工作和学习。 Cyber​​crime Magazine 预测，从 2031年开始，勒索软件每年将给受害者造成约2650 亿美元的损失

以色列的 IT 和通信公司处于由伊朗威胁行为者牵头的供应链攻击活动的中心， 安全 问题热度持续，该活动涉及冒充这些公司及其人力资源人员，以提供虚假工作机会的受害者为目标，试图渗透他们的计算机并访问公司的客户。 这些攻击在 2021 年 5 月和 7 月分两波发生，与一个名为 Siamesekitten（又名 Lyceum 或 Hexane）的黑客组织有关，该组织主要针对中东和非洲的石油、天然气和电信供应商。 攻击者进行的感染首先是识别潜在的受害者，然后他们通过伪装成来自被冒充公司的人力资源部门员工，被 ChipPc 和 Software AG 等知名公司的“诱人”工作机会引诱，只将受害者带到包含武器化文件的网络钓鱼网站，这些文件会卸载名为 Milan 的后门，以与远程服务器建立连接并下载名为 DanBot 的第二阶段远程访问木马。 ClearSky 推测，这些攻击主要针对 IT 和通信公司，这表明它们旨在促进对其客户的供应链攻击。 除了使用诱饵文件作为初始攻击媒介外，该组织的基础设施还包括建立欺诈网站以模仿被冒充的公司以及在 LinkedIn 上创建虚假个人资料。就他们而言，诱饵文件采用宏嵌入 Excel 电子表格的形式，其中详细说明了假定的工作机会和一个便携式可执行 (PE) 文件，其中包括被冒充组织使用的产品“目录”。 无论受害者下载什么文件，攻击链最终都会安装基于 C++ 的 Milan 后门。2021 年 7 月对以色列公司的攻击也值得注意的是，威胁行为者用一种名为 Shark 的新植入物取代了米兰，该植入物是用 .NET 编写的。 这家以色列网络安全公司表示：“该活动类似于朝鲜的‘求职者’活动，采用了近年来广泛使用的攻击媒介——冒充。” “该组织的主要目标是进行间谍活动并利用受感染的网络访问其客户的网络。与其他组织一样，间谍活动和情报收集可能是执行针对勒索软件或擦除器恶意软件的模拟攻击的第一步。 ” Myasiacloud 亞洲雲海 網路安全防禦專家 亞太高防資源 無上限防禦 DDoS/CC 攻擊 !! 全球優質節點   中國大陸全境加速 海外加速 詳情訪問 https://www.myasiacloud.com/clouddf     商務聯絡 @myasiacloud66

  微软披露了一项为期一年的社会工程活动的详细信息，其中运营商平均每 37 天不断更改其混淆和加密机制，包括依赖摩尔斯电码，以试图掩盖他们的踪迹并秘密获取用户凭据。 网络钓鱼攻击采用以发票为主题的诱饵形式，模仿与金融相关的商业交易，电子邮件中包含一个 HTML 文件（“XLS.HTML”）。最终目标是获取用户名和密码，随后将其用作以后渗透尝试的初始入口点。 微软将附件比作一个“拼图游戏”，并指出 HTML 文件的各个部分被设计为看起来无害并且可以绕过端点安全软件，只有当这些部分被解码和组装在一起时才会显示其真实面目。该公司没有确定行动背后的黑客。 Microsoft 365 Defender 威胁情报团队在分析中表示：“这种网络钓鱼活动体现了现代电子邮件威胁：复杂、隐蔽且不断发展。” “HTML 附件分为几个部分，包括用于窃取密码的 JavaScript 文件，然后使用各种机制对其进行编码。这些攻击者从使用纯文本 HTML 代码转向使用多种编码技术，包括旧的和不寻常的加密方法，如摩尔斯电码, 隐藏这些攻击片段。 打开附件会启动一个浏览器窗口，该窗口会在模糊的 Excel 文档顶部显示一个虚假的 Microsoft Office 365 凭据对话框。该对话框显示一条消息，敦促收件人重新登录，原因是他们对 Excel 文档的访问据称已超时。如果用户输入密码，则会提醒个人输入的密码不正确，而恶意软件会在后台悄悄收集信息。 据说该活动自 2020 年 7 月被发现以来已经经历了 10 次迭代，攻击者定期切换其编码方法以掩盖 HTML 附件的恶意性质和文件中包含的不同攻击片段。 微软表示，它在 2021 年 2 月和 5 月的攻击浪潮中检测到摩尔斯电码的使用，而后来发现网络钓鱼工具包的变体将受害者定向到合法的 Office 365 页面，而不是在输入密码后显示虚假错误消息. 研究人员表示：“基于电子邮件的攻击不断尝试绕过电子邮件 安全 解决方案。” “就这次网络钓鱼活动而言，这些尝试包括对已知的现有文件类型（例如 JavaScript）使用多层混淆和加密机制。HTML 中的多层混淆同样可以规避浏览器安全解决方案。 Myasiacloud亞洲雲海 網路安全防禦專家 亞太高防資源 無上限防禦DDoS/CC攻擊!! 全球優質節點  中國大陸全境加速 海外加速  詳情訪問 https

在中间件和审查基础设施中实施 TCP 协议的弱点可以被武器化为一个载体，以对任何目标进行反射拒绝服务 (DDoS) 放大攻击，超过了许多现有的基于 UDP 的放大因素。 马里兰大学和科罗拉多大学博尔德分校的一组学者在 USENIX 安全研讨会上详细介绍了体积攻击利用 TCP 不合规的网络中间件——例如防火墙、入侵防御系统和深度数据包检查 (DPI) 盒 — 放大网络流量，数十万个 IP 地址提供的放大系数超过 DNS、NTP 和 Memcached。 该研究在会议上获得了杰出论文奖，是同类研究中首次描述了一种通过滥用中间盒错误配置对 TCP 协议进行 DDoS 反射放大攻击的技术，这种方法以前被认为可有效防止此类攻击欺骗攻击。 反射放大攻击是一种 DDoS 攻击 ，攻击者利用 UDP 协议的无连接特性向配置错误的开放服务器发出欺骗性请求，以便用大量数据包淹没目标服务器或网络，从而导致中断或渲染服务器及其周边基础设施无法进入。这通常发生在来自易受攻击的服务的响应大于欺骗请求时，然后可以利用欺骗请求发送数千个这样的请求，从而显着放大发送给目标的大小和带宽。 虽然 DDoS 放大传统上是基于 UDP 的，因为 TCP 的三向握手会在基于 IP 的网络（SYN、SYN+ACK 和 ACK）上建立 TCP/IP 连接所产生的复杂性，但研究人员发现，大量的网络中间件不符合 TCP 标准，并且它们可以“响应带有大块页面的欺骗审查请求，即使没有有效的 TCP 连接或握手”，将这些设备变成有吸引力的 DDoS 放大攻击目标。 “中间盒往往不是TCP-符合的设计：许多中间件尝试[转]处理非对称路由，其中中间件只能看到数据包的一个方向的连接（例如，客户机到服务器），”研究人员说。“但这个功能让他们容易受到攻击：如果中间件仅基于连接的一侧注入内容，攻击者就可以欺骗 TCP 三向握手的一侧，并说服中间件存在有效连接。” 换句话说，该机制依赖于诱使中间盒在没有完成三向握手的情况下注入响应，随后使用它访问禁止域，例如色情、赌博和文件共享站点，导致中间盒以阻止页面响应，这将比审查请求大得多，从而导致放大。 更重要的是，这些放大的响应不仅主要来自中间件，其中大部分网络检查设备是民族国家审查机构，突出了此类基础设施在使政府能够抑制对其境内信息的访问方面所发挥的作用，甚至更糟，允许对手将网络设备武器化

  2021 年，macOS 广告软件系列的新一波攻击已经发展到利用大约 150 个独特的样本，其中一些已经绕过了 Apple 的设备上恶意软件扫描程序，甚至由其自己的公证服务签名，突出了恶意软件不断尝试适应和逃避检测。 2021 版 AdLoad 锁定使用不同文件扩展名模式（.system 或 .service）的持久性和可执行名称，使恶意软件能够绕过 Apple 整合的额外安全保护，最终导致安装持久性代理，反过来，这会触发攻击链以部署伪装成虚假 Player.app 的恶意投放器来安装恶意软件。 “AdLoad”，正如已知的恶意软件，是自 2017 年以来针对 macOS 的几种广泛使用的广告软件和捆绑软件加载程序之一，它能够后门受影响的系统下载和安装广告软件或潜在有害程序 (PUP)，以及收集和传输有关受害机器的信息。 更重要的是，将滴管签署使用开发者证书具有有效的签名，促使苹果吊销证书“关于VirusTotal被观察的样本天（有时小时）的问题中，由这些特定的提供防止进一步感染，一些迟来的和临时的保护通过 Gatekeeper 和 OCSP 签名检查对样本进行签名，”Stokes 指出。 SentinelOne 表示，它在几个小时和几天内检测到用新证书签名的新样本，称其为“打地鼠游戏”。据说 AdLoad 的第一个样本最早于 2020 年 11 月出现，在 2021 年上半年定期出现，随后在整个 7 月，特别是 2021 年 8 月的前几周急剧上升。 AdLoad 与 Shlayer 一起属于恶意软件家族，众所周知，它可以绕过 XProtect 并使用其他恶意负载感染 Mac。2021 年 4 月，Apple 解决了其 Gatekeeper 服务 ( CVE-2021-30657 ) 中一个被积极利用的零日漏洞，Shlayer 运营商滥用该漏洞在 Mac 上部署未经批准的软件。 Stokes 说：“macOS 上的恶意软件是设备制造商正在努力应对的一个问题，数百个知名广告软件变种的独特样本已经传播了至少 10 个月，但仍未被 Apple 的内置恶意软件扫描程序检测到。这一事实表明，有必要为 Mac 设备添加进一步的端点安全控制。” Myasiacloud 亞洲雲海 網路安全防禦專家 亞太高防資源 無上限防禦 DDos/CC 攻擊 !! 全球優質節點

  一种新技术利用设备电源指示灯 LED 发出的光来从连接的外围设备中恢复声音，并在 35 米的距离内监视电子对话。 本周早些时候，内盖夫本古里安大学的一组学者发表了被称为“萤火虫攻击”的研究结果，将这种方法描述为“一种光学TEMPEST攻击，窃听者可以使用它通过分析光学信号来恢复声音。通过指向各种设备的电源指示灯 LED 的电光传感器获得的测量结果。” 伴随实验装置的是光音频转换 (OAT)，它允许通过将语音与通过将光电传感器指向设备的电源指示灯 LED 获得的光学测量值隔离来检索声音。 TEMPEST 是由电子和机电信息处理设备产生的无意识的带有情报的辐射的代号。Glowworm 建立在一种名为 Lamphone 的类似攻击之上，该攻击去年由同一位研究人员进行了演示，并且能够从包含头顶悬挂灯泡的受害者房间中恢复声音。 虽然这两种方法都通过光电传感器从光中提取声音，但它们的不同之处还在于，Lamphone攻击“是一种利用灯泡微小振动的侧信道攻击，这是声波撞击灯泡的结果， ” Glowworm 是一种“TEMPEST 攻击，它利用了电路的设计方式。它可以从 USB 集线器分离器等设备中恢复声音，这些设备不会响应扬声器播放的声音信息而移动。” 攻击取决于连接的扬声器播放的声音与其电源指示灯 LED 的强度之间的光学相关性，它们不仅直接连接到电源线，而且设备的电源指示灯 LED 的强度受电源指示灯的影响。能量消耗。更重要的是，恢复的声音质量与窃听者使用的设备质量成正比。 在现实场景中，威胁模型针对的是 Zoom、Google Meet 和 Microsoft Teams 等虚拟会议平台的参与者生成的语音，恶意方位于相邻建筑物的房间内，使对手能够从扬声器的电源指示灯 LED 恢复声音。 在从房间外看不到电源指示灯 LED 的间接攻击场景中，窃听者可以从用于为扬声器提供电源的设备的电源指示灯 LED 恢复声音。 尽管消费者可以通过在设备的电源指示灯 LED 上放置黑胶带来应对此类攻击，但研究人员建议设备制造商集成电容器或运算放大器，以消除扬声器发出声音时出现的功耗波动。 研究人员说：“虽然我们的对策的成本似乎可以忽略不计，但考虑到这些设备有批量生产的可能性，增加一个 防止攻击 的组件可能会使制造商损失数百万美元。” “鉴于消费者的成本驱动性质和制造商的利润驱动性质，已知的漏

近日有愈来有多网钓攻击者利用 Google Meet 和 Google DoubleClick 的开放重定向（ open redirect ）功能，将用户导向恶意网站骗取帐密。 研究人员估计，今年第 1 季到第 2 季之间，使用 Google Meet 和 Google DoubleClick 中的开放重定向功能的网钓攻击成长了 84% 。 开放重定向是一项功能，也可说是一项漏洞。合法网域，像是 Google 允许使用者输入并指定 URL 目的地为何，而将用户导向任何协力网站、包括恶意网站。开放复位向功能也常被用在网钓攻击，以骗取用户的账号及密码。 DoubleClick 是 Google 2007 年收购的老牌广告联盟技术，但从 2008 年就被发现重定向的安全隐忧，但是迄今尚未解决。 2014 年的恶意广告攻击就是利用 doubleclick.net 广告联盟网络所为。在开放重定向攻击中，只要参数中加入目的地 URL 即可；在 DoubleClick 中用的是参数是「 adurl= 」，攻击者甚至无需 DoubleClick 账号即可设定开放重定向。 而 Google Meet 则在 COVID-19 疫情下，成为新兴的恶意连结散布管道。拜去年的疫情所赐，远距办公及虚拟会议需求大增， Google Meet 每日与会者超过 1 亿，但也成为犯罪者的工具。在 Google Meet 传送的 URL 使用「 linkredirect? 」即可发动开放重定向攻击。 研究人员指出，今年 1 到 2 季之间，利用 Google Meet 传送的恶意连结量成长 57% ，而利用 DoubleClick 平台传送的恶意连结更大增 141% 。 为防止 Google 二项服务成为网钓攻击管道，安全厂商建议搞清楚其电子邮件安全平台是怎么分析网域权重（ Domain Authority ）及目的地网站，以防用户受到开放重定向攻击。同时也应设定限定自家合法网域的 URL 重定向。 Myasiacloud 亞洲雲海 網路安全防禦專家 亞太高防資源 無上限防禦 DDos/CC 攻擊 !! 全球優質節點   中國大陸全境加速 海外加速 詳情訪問 https://www.myasiacloud.com/clouddf     商务 聯絡

网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞，这些漏洞可能允许攻击者从企业网络中窃取敏感信息。 该DNS漏洞被称为“宝贵情报的无底之井”。信息宝库包含内部和外部 IP 地址、计算机名称、员工姓名和位置以及有关组织 Web 域的详细信息。 基础设施安全公司 Wiz 的研究人员说：“我们发现了一个简单的漏洞，使我们能够拦截通过亚马逊和谷歌等托管 DNS 提供商的全球动态 DNS 流量的一部分。” 研究人员补充说：“从内部网络流量泄露给我们的流量为恶意行为者提供了发起成功攻击所需的所有情报。” “更重要的是，它让任何人都能鸟瞰公司和政府内部发生的事情。我们把这比作拥有国家级的间谍能力——就像注册一个域名一样容易。” 漏洞利用过程取决于在亚马逊的 Route53 DNS 服务（或 Google Cloud DNS）上注册一个与 DNS 名称服务器同名的域——它提供域名和主机名到相应互联网协议 (IP) 的翻译（也称为解析）地址 - 导致有效打破租户之间隔离的场景，从而允许访问有价值的信息。 换句话说，通过在 AWS 名称服务器内的 Route53 平台上创建一个具有相同名称的新域并将托管区域指向其内部网络，它会导致来自 Route53 客户端点的动态 DNS 流量被劫持并直接发送到流氓和同名服务器，从而创建一个简单的途径来映射企业网络。 “我们窃听的动态 DNS 流量来自 15,000 多个组织，包括财富 500 强公司、45 个美国政府机构和 85 个国际政府机构，”研究人员说。“这些数据包括大量有价值的情报，例如内部和外部 IP 地址、计算机名称、员工姓名和办公地点。” 虽然亚马逊和谷歌表示已经修补了这些问题，但DNS漏洞仍需警惕。 Myasiacloud 亞洲雲海 網路安全防禦專家 亞太高防資源 無上限防禦 DDos/CC 攻擊 !! 全球優質節點   中國大陸全境加速 海外加速 詳情訪問 https://www.myasiacloud.com/clouddf     官方客服聯絡 @myasiacloud66

  黑客从一个基于区块链的金融网络中窃取了价值 6.11 亿美元的加密货币，这被认为是针对数字资产行业的最大抢劫案之一，使其领先于交易所Coincheck和Mt. 戈克斯。关注 网络安全 迫不及待! Poly Network 是一个跨链去中心化金融 (DeFi) 平台，用于在多个区块链（如比特币、以太坊等）之间交换代币，周二披露身份不明的参与者利用其系统中的漏洞掠夺了数以千计的数字代币，如以太币。保利网络说：“黑客利用了合同调用之间的漏洞。” 据称，被盗的币安链、以太坊和 Polygon 资产已转移到三个不同的钱包，该公司敦促受影响区块链和中心化加密交易所的矿工将来自这些地址的代币列入黑名单。三个钱包地址如下—— 以太坊：0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963（2.73 亿美元） 币安智能链：0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71（2.53亿美元） 多边形：0x5dc3603C9D42Ff184153a8a9094a73d461663214（8500万美元） Tether 的首席技术官 Paolo Ardoino 在推特上说，这家稳定币公司冻结了价值 3300 万美元的代币。 “我们知道今天发生的 poly.network 漏洞。虽然没有人控制 BSC（或 ETH），但我们正在与所有安全合作伙伴协调以主动提供帮助。 黑客的身份仍不清楚，尽管区块链安全公司慢雾声称它能够追踪攻击者的电子邮件地址、IP 地址和设备指纹，并且他们的初始资金来源是门罗币，然后将其兑换为 ETH 、MATIC 和其他货币。 Myasiacloud亞洲雲海 網路安全防禦專家 亞太高防資源 無上限防禦DDos/CC攻擊!! 全球優質節點  中國大陸全境加速 海外加速  詳情訪問 https://www.myasiacloud.com/clouddf     官方客服聯絡@myasiacloud66

  数十亿物联网 (IoT) 设备中使用的硬件随机数生成器中存在一个严重漏洞，该漏洞无法正确生成随机数，从而破坏IoT设备 安全 性并使其面临遭受攻击的风险。 随机数生成 ( RNG ) 是一个关键过程，它支撑着几个加密应用程序，包括密钥生成、随机数和加密。在传统操作系统上，它源自使用从高质量种子源获得的熵的加密安全伪随机数生成器 (CSPRNG)。对于 IoT 设备，这是由片上系统 (SoC) 提供的，该系统芯片包含一个称为真随机数发生器 (TRNG) 的专用硬件 RNG 外设，用于从物理过程或现象中捕获随机性。 Bishop Fox 研究人员指出：“事实证明，当涉及到物联网设备时，这些‘随机’选择的数字并不总是像您希望的那样随机。”“事实上，在许多情况下，设备选择 0 或更差的加密密钥。这可能导致任何上游使用的安全性灾难性崩溃。” 研究人员指出当前调用外围设备的方式是不正确的，并指出缺乏对错误代码响应的全面检查，导致生成的随机数不仅仅是随机的，更糟糕​​的是，可预测的，导致部分熵，未初始化的内存，甚至包含纯零的加密密钥。 研究人员指出：“RNG 外围设备的 HAL 功能可能会因各种原因而失败，但迄今为止最常见（和可利用的）是设备的熵已用完。” “硬件 RNG 外围设备通过各种方式（例如模拟传感器或 EMF 读数）将熵从宇宙中提取出来，但并不是无限供应。“它们每秒只能产生这么多随机位。如果你在没有任何随机数给你的情况下尝试调用 RNG HAL 函数，它将失败并返回一个错误代码。因此，如果设备试图过快地获取太多随机数，调用将开始失败。” 这个问题是物联网领域独有的，因为他们缺乏一个通常带有随机性 API 的操作系统（例如，类 Unix 操作系统中的“ /dev/random ”或Windows 中的BCryptGenRandom），研究人员强调了更大的好处与 CSPRNG 子系统关联的熵池，从而消除“熵源中的任何单点故障”。 尽管可以通过软件更新来修复这些问题，但理想的解决方案是物联网设备制造商和开发人员包含从一组不同的熵源中生成的 CSPRNG API，一个重要而复杂的功能，并确保代码不会忽略错误条件或无法阻止当没有更多的熵可用时调用 RNG。 Myasiacloud 亞洲雲海 -- 網路安全防禦專家 亞太高防資源 無上限防禦 DDos/CC 攻擊 !!