每周安全动态精选(12.25-12.29)
本周精选
1、印度政府准备发布DPDPA规则草案
2、OpenSSH ProxyCommand命令执行漏洞
3、金融动机的威胁行为者滥用应用安装程序
4、曼谷航空 106.5GB 数据泄露,文件可公开下载
5、混淆的艺术:逃避静态恶意软件检测
政策法规动态
**1、**印度政府准备发布DPDPA规则草案
Tag:个人数据、数据保护
据 Moneycontrol 报道,印度政府打算在 2024 年 1 月敲定《数字个人数据保护法》的法规草案。该计划在12月20日的闭门会议上提交给了技术行业的利益相关者。在1月份正式通知规则之前,政府将给利益相关者一周的时间提供反馈,但是,美国公司正在推动延长咨询期。
https://iapp.org/news/a/indian-government-preparing-to-release-draft-dpdpa-rules
**2、**联邦贸易委员会(FTC)提出COPPA更新
Tag:隐私保护
美国联邦贸易委员会宣布了一项拟议规则制定通知,以更新《儿童在线隐私保护法》。拟议的更新是自 2013 年以来的首次更新,包括所需的定向广告选择加入、增加的数据保留限制、增强的数据安全要求等。联邦贸易委员会主席莉娜·汗(Lina Khan)说:“通过要求公司更好地保护儿童的数据,我们的提案对服务提供商施加了肯定的义务,并禁止他们将责任外包给父母。
https://iapp.org/news/a/ftc-proposes-coppa-updates/
3、EDPB 回应欧盟委员会的自愿 cookie 承诺提案
Tag:数据保护
欧洲数据保护委员会在最近的全体会议上通过了一封回应欧盟委员会自愿 cookie 承诺倡议的信函。委员会此前曾要求EDPB考虑承诺草案中是否有任何内容“违反(通用数据保护条例)和电子隐私指令”。虽然EDPB总体上批准了该承诺草案,但该机构建议企业在一整年内不要征求同意,一旦同意被拒绝,以减少“cookie疲劳”。
https://iapp.org/news/a/edpb-responds-to-european-commission-voluntary-cookie-pledge-proposal/
技术标准规范
**1、**NCSC、CISA等国际机构发布的新AI安全指南
Tag:人工智能
英国国家网络安全中心(National Cyber Security Centre)、美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)以及其他16个国家的国际机构发布了关于人工智能系统安全的新指南。
https://www.techrepublic.com/article/new-ai-security-guidelines/
2、魁北克省DPA发布隐私声明指南
Tag:数据保护
魁北克省的数据保护机构魁北克信息委员会(Commission d'acces a L'information du Quebec)发布了根据第25号法律起草隐私声明的指南。该指南建议了隐私声明中应包含的内容以及消费者数据保护的相关要素。其目的是提高隐私标准的合规性和知识,以保护客户的个人信息。
https://iapp.org/news/a/quebecs-dpa-releases-guideline-for-company-privacy-policies/
3、CIPL发布关于隐私增强技术使用的报告
Tag:隐私安全
信息政策领导中心发布了一项为期一年的研究,内容涉及使用隐私增强和隐私保护技术。研究人员发现,许多公司和当局缺乏对产品的教育,而且昂贵的实施成本可能成为其使用的障碍。CIPL呼吁组织认识到PET的好处以及该行业的更多标准。
https://iapp.org/news/a/cipl-publishes-deep-dive-report-on-use-of-privacy-enhancing-tech/
重点漏洞情报
1、OpenSSH ProxyCommand命令执行漏洞
Tag:OpenSSH、RCE
利用条件为在执行git clone命令的时候添加了--recurse-submodules参数。原理为Git将会初始化并更新每一个包含在工程中的子模块。这也意味着它将会访问并clone子模块中配置的URL。如果子模块的URL配置为以 ssh:// 开头的地址,系统将会发起SSH请求。如果ssh地址的Host含有恶意命令且符合受害者ProxyCommand配置的Host规则,最终将导致远程命令执行。
https://www.libssh.org/security/advisories/CVE-2023-6004.txt
**2、**Apache OFBiz远程代码执行漏洞
Tag:Apache OFBiz、RCE、CVE-2023-51467
由于 OFBiz 对 CVE-2023-49070 的修复时未修复其中的权限绕过漏洞,而其后出现了新的后台利用方式,导致攻击者可利用此漏洞构造恶意请求绕过身份验证,利用后台相关接口功能执行 groovy 代码,进而获取远程服务器权限。
https://ofbiz.apache.org/index.html
3、go-git拒绝服务漏洞(CVE-2023-49568)
Tag:go-git、拒绝服务
漏洞存在于go-git 4.0.0 - 5.11之前的版本中,威胁者可提供恶意制作的 Git 服务器响应来执行拒绝服务攻击,从而导致go-git 客户端资源耗尽。
https://github.com/go-git/go-git/security/advisories/GHSA-mw99-9chc-xw7r
4、Cacti SQL注入漏洞(CVE-2023-51448)
Tag:Cacti、SQL注入、CVE-2023-51448
Cacti 版本1.2.25在文件managers.php中的SNMP通知接收器功能中存在SQL注入(时间盲注)漏洞,具有“Settings/Utilities”权限的经过身份验证的威胁者可以向端点“/cacti/managers.php”发送恶意设计的HTTP请求,并在“selected_graphs_array”参数中包含带有SQL注入Payload字符串的序列化数组来利用该漏洞,成功利用该漏洞可能导致获取Cacti 数据库内容、文件读取/写入或远程代码执行等。
https://github.com/Cacti/cacti/security/advisories/GHSA-vr3c-38wh-g855
恶意代码情报
1、金融动机的威胁行为者滥用应用安装程序
Tag:金融动机、威胁行为者、应用安装程序、恶意软件
自2023年11月以来,金融动机的威胁行为者用应用安装程序(ms-appinstaller协议处理程序)发放恶意软件。这些威胁行为者欺骗合法软件的名义,通过搜索引擎欺诈和恶意广告方式诱骗使用户安装恶意应用程序。它们通过此绕过了一些防护,例如 Microsoft Defender SmartScreen,对用户造成潜在的威胁。安全防范文章给出了一系列建议和措施来减弱这种威胁的影响。
**2、**区块链开发者在 “面试” 中使用 npm 包后钱包被清空
Tag:区块链开发者、面试、npm包、钱包被清空
文章讲述了一位区块链开发者在 LinkedIn 上被一位自称是招聘人员的人联系,要求他下载 npm 包作为“面试”小时的一部分。然而,几个之后,开发者发现自己的MetaMask钱包被清空了。他向社区寻求帮助,但同时也引来了一些意象的“MetaMask支持”账户的骗局。虽然开发者仍不确定攻击这次的具体机制,但他呼吁社区提供帮助。这这不是唯一一次发生这种情况,其他开发者也受到了同样的攻击。
**3、**TargetCompany 勒索软件组织(又名 Mallox)的快速变革
Tag:TargetCompany、Mallox、勒索软件组织,加密算法,数据泄露
详细介绍了TargetCompany(又名Mallox)勒索软件组织的变革过程,从变种到反射式加载再到早期防御防御。文章介绍了该组织的受害者特点、地理和行业关注点,并深入探讨了其策略、技术和方案。此外,文章还介绍了TargetCompany的起源和关联情况。最后,文章总结了针对TargetCompany威胁的有效应对策略的重要性。
https://cyberint.com/blog/research/targetcompany-ransomware-group-aka-mallox-a-rapid-evolution/
4、伊朗背景的 APT 组织 APT33 使用 FalseFont 后门恶意软件来攻击国防工业基地 (DIB) 部门的组织
Tag:APT33、 FalseFont、国防工业基地、网络攻击
伊朗相关的APT33组织利用FalseFont后门步枪瞄准全球的国防承包商。APT33组织是一个有组织的网络攻击团体,他们一直在针对与伊朗相关的目标进行攻击文章。前面提到,APT33组织最新使用了FalseFont后门,该后门利用了字体渲染引擎的漏洞,以获取系统的敏感信息。
https://securityaffairs.com/156366/apt/apt33-falsefont-targets-defense-sector.html
数据安全情报
**1、**曼谷航空 106.5GB 数据泄露,文件可公开下载
Tag:数据泄露
12月27日,曼谷航空(Bangkok Airways) 106.5GB 数据被泄露,包含122000份文件,包括机场、就业和合同信息。数据可全量下载。LockBit 勒索软件团队还在其泄密网站上发布了一条消息,威胁说如果曼谷航空不支付赎金,就会泄露被盗数据,消息还显示他们有更多的数据要泄露。
https://hackernews.cc/archives/48580
2、英国技术公司 ULTRA 遭遇攻击,30GB 数据被泄露
Tag:数据泄露、网络攻击
12 月 27 日,Ultra Intelligence & Communications 公司 30GB 数据遭到泄露,数据包含审核数据、财务数据、项目数据、员工数据、合同数据、公司和组织列表。数据来源于勒索组织 BlackCat,数据可下载。
https://hackernews.cc/archives/48579
3、美国15 亿条房地产数据泄露,波及诸多政商名人
Tag:数据泄露
vpnMentor 报告称,属于房地产财富网络的一个不受保护的数据库在一段未知的时间内可以通过互联网进行访问。网络安全研究员 Jeremiah Fowler 发现,未受保护的数据库大小为1.16 TB,包含超过15亿条记录。其中包含用户的姓名、地址、电话号码、电子邮件地址、设备信息和文件详细信息已访问。
https://hackernews.cc/archives/48406
4、美国医疗保健提供商 ESO 遭受勒索软件攻击,270 万人受到影响
Tag:勒索软件、数据泄露
在今天早些时候发布的事件通知中,该公司表示未经授权的第三方可能已经获取了个人数据,他们正在积极配合联邦执法调查。包括姓名、地址和健康详细信息在内的患者信息遭到泄露,社会安全号码等敏感信息也可能被泄露。
https://hackernews.cc/archives/48400
热点安全事件
1、澳大利亚医疗保健提供商 ST VINCENT’S HEALTH AUSTRALIA 遭受网络攻击
Tag:网络攻击
St Vincent’s Health Australia 是澳大利亚最大的非营利性医疗保健提供商。该医疗系统遭受了一次网络攻击,导致数据泄露。St Vincent’s Health Australia 已向当地当局报告了此次事件,并正在与澳大利亚政府合作,以减轻这一安全事件的影响。
https://hackernews.cc/archives/48563
2、RHYSIDA 勒索软件组织入侵了约旦的 ABDALI 医院
Tag:勒索软件、信息泄露
Rhysida 勒索软件组织声称已经入侵了 Abdali 医院,并将其添加到该组织的 Tor 泄露站点的受害者名单中。该团伙发布了窃取文件的图片作为黑客攻击的证据。泄露的图片包括身份证、合同等内容。
https://hackernews.cc/archives/48543
**3、**法国著名视频游戏开发商和发行商育碧再次遭受黑客攻击
Tag:黑客攻击
法国著名视频游戏开发商和发行商育碧公司证实遭受网络攻击,导致其游戏、系统和服务的运行暂时中断。据VX-Underground消息,12月20日,该公司遭到一名身份不明的黑客攻击。该黑客获得了育碧内部系统的访问权限,持续时间约为48小时。黑客试图提取约 900 GB 的数据,但在此之前就失去了访问权限。该公司开始调查这一事件,并为所有员工重置密码作为预防措施。
https://hackernews.cc/archives/48466
**4、**俄罗斯自来水公司遭到挺乌黑客报复攻击
Tag:俄乌冲突、网络攻击
莫斯科的 Rosvodokanal 水管理公司遭到与乌克兰结盟的 Blackjack 组织洗劫,有报道称该公司的 IT 基础设施被“摧毁”。据报道,在与乌克兰结盟的“Blackjack”组织发起网络攻击后,总部位于莫斯科的自来水公用事业和管理公司 Rosvodokanal 的运营已停止。
https://hackernews.cc/archives/48403
热点安全技术
**1、**混淆的艺术:逃避静态恶意软件检测
Tag:干扰技术,静态恶意软件检测,加密,压缩,编码,IPv4 干扰,IPv6 干扰
介绍了恶意软件混淆技术,这些技术可以使恶意软件更加难以检测和分析。混淆技术利用加密、压缩、编码等方法隐藏恶意软件的代码和数据,帮助恶意软件规避防病毒软件和安全静态分析的解决方案。文章介绍了基于 IP 的混淆技术,包括详细将恶意软件的数据转换为 IPv4 或 IPv6 字符串,以及利用 NTDLL API 函数对这些字符串进行反混淆。
2、Ghidra 基础 - 识别、解码和修复加密字符串
Tag:Ghidra,x32dbg,加密字符串,解码,修复
介绍了使用 Ghidra 和 x32dbg 识别、解码和修复加密字符串的基本方法。通过分析可疑样本中的字符串,使用 Ghidra 的交叉引用功能找到解码函数,并利用 x32dbg 拦截输入和输出获取解密的字符串。然后,通过半自动化的方式获取解码字符串的完整列表,以修复之前在 Ghidra 中混淆的数据库。
https://embee-research.ghost.io/ghidra-basics-identifying-and-decoding-encrypted-strings/
3、深入了解 Kerberoasting 攻击
Tag:Kerberoasting攻击,Kerberos身份验证,SPN,旧和新的攻击方法
介绍了Kerberoasting攻击以及其他各种形式的Kerberos身份验证漏洞。文章首先介绍了Kerberos身份验证的工作流程和关键组件,然后详细解释了Kerberoasting攻击的原理和步骤。接着文章,介绍了在主机系统和远程系统上进行旧和新的 Kerberoasting 攻击的方法。最后,文章提到了服务主体名称 (SPN) 的重要性和语法。
https://pwnb0y.medium.com/an-extensive-look-at-kerberoasting-attack-3c8970f403d6
4、NASA 发布太空安全最佳实践指南
Tag:NASA,太空安全,最佳实践,指南,任务网络安全工作
介绍了宇航局(NASA)发布的第一版《太空安全最佳实践指南》,旨在支持公共部门和分区安全活动的任务网络工作。该指南是 NASA 确定太空任务的寿命和弹性的重要里程碑,旨在增强其安全性和可靠性。指南适用于任何规模的任务、计划或项目,旨在提供适应太空系统互联程度提高的新挑战和实施措施的最佳实践。NASA将安全继续收集太空界的反馈意见,将其整合到指南的未来版本中。
https://www.nasa.gov/general/nasa-issues-new-space-security-best-practices-guide/
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
