2021年07月07日 – FortiGuard Labs 近期发布最新的威胁情资报告,分享关于美国的国家安全局(NSA)、网络安全性及基础架构安全局(CISA)、联邦调查局(FBI)与英国的国家网络安全中心(NCSC)所发布的联合网络安全警示,公布俄国军事情报局(GRU)针对全球机构发动暴力攻击(brute force attack)。这份报告特别提到一场由俄罗斯情报局第 85 主要特种勤务中心(GTsSS)26165 军事部队发起的攻击行动。这场为期将近两年的攻击活动利用 Kubernetes 丛集对全球多个实体进行暴力攻击,有多个政府机构与私人企业受害。Fortinet分析,除了由国家级骇客组织所发起的资安攻击行动,政府机构和企业也经常遭到勒索软件和其他远端程序代码执行(Remote Code Execution,RCE)零日(Zero-day)漏洞攻击。
国家级骇客组织不断侵害破坏企业及云端环境
联合网络安全警示提出多项 GTsSS 执行任务时所采用的战略技术流程。据观察,GTsSS 会使用密码喷洒(Password Spraying)攻击入侵目标网络,接著横向移动扩散,再从外泄资料中窃取存取帐密,进行深入侦查,HTTP(S)、IMAP(S)、POP3 与 NTLM 等通讯协定也是骇客锁定的目标。获得存取权后,这些骇客会采取进一步行动,例如透过横向移动扩散接近目标。骇客也利用了 CVE 2020-0688 (Microsoft Exchange 验证金钥远端程序代码执行漏洞)与 CVE 2020-17144(Microsoft Exchange 远端程序代码执行漏洞)。遭到骇客恶意利用的 Kubernetes 丛集,会透过商业 VPN 与 TOR 服务混淆攻击者的来源以及他们的来源 IP 位址。
Fortinet 新发现:全新勒索软件Diavol
FortiEDR于 6 月初阻止了一场对Fortinet客户发起的勒索软件攻击。Fortinet 深入调查 Diavol 这款新兴勒索软件的内部运作方式后,认为这款勒索软件可能出自犯罪集团 Wizard Spider 之手,因为 Diavol 使用的指令列参数与 Conti 几乎相同,而且也用于执行相同功能,包括记录文件、加密本机软盘或网络共享软盘,以及扫描网络共享的特定主机。此外,Diavol 与 Egregor 勒索软件之间或许也有关联,因为支付赎金的说明文件中有几行完全相同。有些人认为操纵 Conti 的骇客集团 Wizard Spider 与操纵 Egregor 的骇客集团 Twisted Spider 之间有关联,据传这两个犯罪集团在多种攻击行动中都会合作,而且皆因会对受害者进行双重勒索(透过窃取及加密资料)而恶名昭彰。
尽管目前仍未查出骇客的入侵来源,但攻击者所使用的参数以及写死的编码配置中出现的错误,都显示 Diavol 是骇客的新攻击工具,且他们尚未完全习惯使用这些工具。在骇客进行攻击的过程中,我们在网络里找到了更多名为 locker.exe 的 Conti 酬载,提高了幕后黑手正是 Wizard Spider 的可能性。尽管 Diavol、Conti 与其他相关勒索软件有一些相似之处,Fortinet尚无法确定这些勒索软件之间的直接关联。
Fortinet 针对微软PrintNightmare 漏洞推出 IPS 特征值
除了最新的勒索软件攻击, FortiGuard Labs 也留意到微软 Windows 打印多工缓冲处理器的新发现零日漏洞报告中的问题。一般认为该漏洞的问题来自 CVE-2021-1675(Windows 打印多工缓冲处理器远端程序代码执行漏洞),微软亦在其2021 年 6 月的周二修补日公布。然而,最新发现的漏洞似乎可能是该漏洞的变形或另一个新漏洞。微软目前尚未发表任何公开声明证实这个说法。低阶的已验证使用者或者拥有这类凭证的骇客,可以透过目前这种型态的漏洞轻松从“系统”层级夺占目标服务器,进行各种攻击,包括但不限于完全掌控系统、部署恶意软件等等。Fortinet提醒,这些发现或许与 CVE-2021-1675 无关,因为有多次透过公开来源情报(Open Source Intelligence,OSINT)管道进行的对话表示这可能是全新的漏洞。
目前还不知道哪些版本的Windows会受到这个漏洞的影响,但 MimiKatz 的开发者 Benjamin Delpy 证实了2021年6月8日释出的 Windows 10 版本更新 2021-KB5003646 (操作系统组建 17763.1999)很容易因此漏洞受到攻击。
Fortinet 端点解决方案全面围堵勒索病毒恶意攻击
即使在没有获得事前相关信息或进行特殊设定的情况下,FortiEDR也能在侦测到 Diavol 与 Conti 勒索软件攻击后,立即加以阻挡。FortiEDR利用执行后防护发动机来辨识加密文件或清除阴影副本等恶意活动,再实时予以封锁。此外,Fortinet亦立即将该次威胁的详细信息分享给其他资安威胁联盟( Cyber Threat Alliance )成员,协助联盟成员为全球用户创建更有保障的防护措施。
针对微软 PrintNightmare 零日远端程序代码执行漏洞,Fortinet建议各企业组织务必评估已知用于执行 Windows Print Spool 服务的装置是否可用,尤其是可暂时停用的网域控制站,包含阻隔 TCP 端口 135(RPC)与 445(Spooler SMB)。此漏洞很可能对企业的日常营运和商誉带来损害,例如在非预期情况下发布资料、干扰企业营运等等,因此各企业组织务必确保所有 AV 与 IPS 特征值均为最新版本。
FortiGuard 研发中心台湾区经理林乐表示:“建议各企业须持续举办训练课程,教导并告知职员最新的网络钓鱼/鱼叉式网络钓鱼攻击,同时也劝导员工不要打开寄件人不明的邮件中附加的文件,针对未知及不信任寄件人所传送的电子邮件亦须小心处理。骇客透过社交工程散布机制进行各种网络钓鱼/鱼叉式网络钓鱼攻击的事件屡见不鲜,让企业内终端使用者了解各种类型攻击成为当务之急。举例来说,企业可以使用内部信息安全部门预先制作范本举办定期训练课程或突击测验,以简单的使用者警觉训练,教导使用者辨别带有恶意附件或链接的电子邮件,也有助于防范骇客入侵网络”。
参考信息
了解FortiGuard Labs针对俄罗斯国家级骇客组织发动攻击的联合网络安全警示的
了解Fortinet针对微软PrintNightmare漏洞释出的以及
了解 针对端点安全的侦测与解决方案
深入阅读FortiGard Labs针对新型勒索软件Diavol提出的
了解 Fortinet 安全织网() 如何为企业组织的数码基础架构提供全面、集成且自动化的保护。
深入了解 与 FortiGuard 安全服务。
深入了解 Fortinet ,包含、、与 。
阅读更多关于如何使用 Fortinet 服务保护其组织网络信息安全
Fortinet 使用者社群(Fuse),分享你的想法与意见、深入了解我们的产品与技术并与其他人交流。
在、、、 与 上追踪 Fortinet。
本文由:TVT体育app下载 提供
关键字: TVT体育app下载 - TVT体育手机下载最新版
返回列表