<b>【本周遊戲行業DDoS攻擊态勢】</b>
<b>【遊戲行業安全動态】</b>
<b></b>
WaterMiner會嵌入到遊戲子產品中,當使用者下載下傳子產品,惡意軟體就會随之入侵,還可以逃避任何監視工具。
WaterMiner的壓縮檔案會被托管在Yandex.Disk上,Yandex.Disk相當于是俄羅斯的Google。壓縮檔案提供了所宣稱的修改功能,然而,在數十個檔案中,它包含一個名為“pawncc.exe”的檔案,如下圖所示。一旦下載下傳開始執行,
“pawncc.exe”也就開始了活動。pawncc.exe一旦在受害者的系統上執行,則會啟動一連串的事件,最終導緻WaterMiner的運作。(本段來源于嘶吼)
<b>Carbon</b>
<b>概要:</b>
(1)暗網市場中,研究人員發現了 45000 個勒索軟體。但這是由于惡意軟體作者使用不同的收費模式造成的,有些按單個軟體定價,有些按月訂購或按年訂購。
(2)暗網中的勒索軟體市場規模已經從 249287.05 美元漲到了 6237248.90 美元,增長率高達 2502% 。FBI 提供的資料也表示,2016 年的勒索贖金總額約為 1 億美元,高于 2015 年的 2400 萬美元。
(3)一體化的 RaaS 本身就是一條完善的勒索鍊,其中內建了分發通道(攻擊套件,spam 僵屍網絡等);可以對比特币勒索進行管理的支付模式;對檔案的加密與解鎖,還有對使用者的技術支援,所有的這些都內建在一個簡單的 web 背景面闆中。
(4)地下的勒索軟體經濟已趨于成熟,和現有的軟體商業模式類似,包括開發,售後,分發,經銷,質保等各個環節。整個勒索軟體行業越來越像一個合法的行業。
<b>點評:</b>
目前挖礦類的軟體攻擊主要為軟體捆綁式入侵和漏洞入侵實作挖礦軟體成功運作,對于企業使用者,建議按照以下措施防禦:首先是部署階段:(1)更新所有的更新檔。如果有一個業務需要新上線部署,建議對作業系統、應用服務軟體更新所有的更新檔,確定所有的軟體處于最新狀态。(2)劃分安全域,配置好防火牆政策
根據業務情況,劃分不同的安全域,實用ECS安全組或iptables配置好網絡通路控制政策,防止暴露不必要的服務,為黑客提供入侵條件。(3)加強作業系統和軟體:對作業系統和應用服務軟體進行加強,例如:配置強密碼、修改預設登陸名、禁止不必要的服務、開啟日志審計功能盡可能記錄所有的日志
第二是運維階段:(1)定期關注安全漏洞并及時更新更新檔:安全漏洞的不是一蹴而就的,近幾年,大規模使用的作業系統、開源軟體(例如:Struts2、tomcat等應用中間件或架構)被曝出系列高危漏洞,需要運維人員實時關注各廠商釋出的漏洞資訊,根據漏洞資訊更新軟體,防止被黑客利用。(2)部署搭建入侵檢測或防禦基礎安全能力:針對黑客入侵檢測、主機惡意檔案清除(webshell、木馬)、web攻擊行為,應部署必要的産品,提供基本的檢測和防禦能力(3)確定應用程式代碼無漏洞:業務代碼漏洞是造成入侵的主要根源,開發人員和運維人員應確定按照安全開發規範開發,防止源頭上出現安全問題,進而被黑客利用。(4)應用白名單:確定企業級業務伺服器不亂安裝非業務軟體,所有的業務軟體必須要確定為官方釋出的軟體,防止發生供應鍊攻擊行為導緻被黑客長時間入侵利用。
<b>【相關安全事件】</b>
<a href="https://jaq.alibaba.com/community/art/show?spm=a313e.7916642.220000NaN1.1.69e97326iOMsNk&articleid=1142"></a>
<b>概要:</b>安全研究員Mathy Vanhoef發現的WPA2協定的KRA(Key Reinstallation Attacks)漏洞,利用WPA2協定标準加密密鑰生成機制上的設計缺陷,四次握手協商加密密鑰過程中第三個消息封包可被篡改重放,導緻在用密鑰被重新安裝。
WiFi網絡通過WPA2 handshake四次握手消息協商用于後續資料通信的加密密鑰,其中互動的第三個消息封包被篡改重放,可導緻中間人攻擊重置重放計數器(replay counter)及随機數值(nonce),重放給client端,使client安裝上不安全的加密密鑰。
點評:此漏洞攻擊方式被命名為Key reinstallation attacks密鑰重裝攻擊,除了影響已經在用的資料加密密鑰,同時也影響PeerKey, group key, Fast BSS切換FT握手等,會導緻WiFi通信資料加密通道不安全,存在被嗅探、篡改和重放等風險,攻擊者可擷取WiFi網絡中的資料資訊。幾乎所有支援Wi-Fi的裝置(Android, Linux, Apple, Windows,
OpenBSD, MediaTek, Linksys等)都面臨安全威脅,危害較大。該漏洞相關影響取決于被攻擊的握手過程和資料加密協定,例如AES-CCMP可被重放和解密,TCP流量存在被劫持和注入惡意流量的可能,WPATKIP和GCMP可被重放、篡改及解密,影響會更大,因為GCMP兩端使用的相同的認證密鑰。
<b>【雲上視角】</b>
<a href="https://yq.aliyun.com/articles/221645"></a>
<b>概要:</b>企業安全團隊除了通過WAF制作虛拟更新檔,臨時緩解漏洞影響,實際在漏洞響應過程中之執行了如下動作:對網站代碼和Web伺服器進行深入安全調查
確定本次白帽子發現漏洞之前,該漏洞不曾被黑客利用;找到開發大牛,對PHP代碼漏洞進行修複并釋出上線;增強伺服器安全監控,部署阿裡雲安騎士用戶端
徹查公司内部同類開源項目的版本及漏洞情況;制定Web安全漏洞測試規範;重新評估網站的綜合安全性;将先知安全衆測列入下一階段工作計劃;技術作者提到:“安全從來就不是單一環節的問題,從業人員必須能夠從一個點看到多個層面的問題,進而有效提升企業資訊系統的整體安全行,并将安全營運帶入正軌。”
期待聽到您的回報
金融、政府、遊戲安全資訊精選會通過雲栖社群專欄,
阿裡雲安全微信和微網誌,每周與您見面。
如果您是阿裡雲使用者,
也歡迎通過郵件、釘釘公衆号檢視本周行業資訊。
掃碼參與全球安全資訊精選
讀者調研回報
我們會認真讨論您的每一條建議
并邀請精彩回答者加入VIP讀者群
掃碼加入THE LAB讀者釘釘群