惡意軟件制造者詭計多端 使用“小眾”編程語(yǔ)言逃避常見(jiàn)安全檢測

黑莓研究人員報告稱(chēng)，不常見(jiàn)的編程語(yǔ)言包括 Go、Rust、Nim和DLang正在成為惡意軟件作者的最?lèi)?ài)，它們試圖繞過(guò)安全防御或解決開(kāi)發(fā)過(guò)程中的弱點(diǎn)。攻擊者使用新編程語(yǔ)言并不新鮮，研究團隊注意到這四種語(yǔ)言的惡意用途增加，使用它們的惡意軟件家族數量同時(shí)增多。研究人員指出，這些語(yǔ)言變得越來(lái)越發(fā)達，并預計隨著(zhù)趨勢的繼續，它們的使用者會(huì )日益增多。攻擊者采用一種新的編程語(yǔ)言有如下幾個(gè)原因：它可以解決現有語(yǔ)言的弱點(diǎn)，或者為開(kāi)發(fā)人員提供更簡(jiǎn)單的語(yǔ)法、更有效的內存管理或性能提升。研究人員同時(shí)指出，新語(yǔ)言也可能更適合現有的設備環(huán)境，比如，大多數使用低級語(yǔ)言的物聯(lián)網(wǎng)設備。當攻擊者利用這些特點(diǎn)時(shí)，就會(huì )對防御者構成挑戰。惡意軟件分析工具并不總是支持鮮為人知的語(yǔ)言，與C或C++ 等傳統語(yǔ)言相比，用Go、Rust、Nim和 DLang 編寫(xiě)的二進(jìn)制文件在反匯編時(shí)可能會(huì )顯得更加復雜。

普普點(diǎn)評：

用這些鮮為人知的語(yǔ)言編寫(xiě)的惡意軟件通常不會(huì )像用更常見(jiàn)和成熟的語(yǔ)言編寫(xiě)的惡意軟件那樣被檢測到，軟件檢測及分析工具要和惡意軟件同步還需要一段時(shí)間，但企業(yè)及組織的安全意識必須提高起來(lái)，要積極主動(dòng)去防御新出現的技術(shù)和惡意軟件手段。加強軟件安全防御能力，從底層源代碼安全檢測做起，不給惡意軟件可乘之機。

2021年威脅情報發(fā)展報告：近半公司被不準確或過(guò)時(shí)的威脅情報困擾

深網(wǎng)與暗網(wǎng)的體量是僅次于美國和中國的世界第三大經(jīng)濟體，換句話(huà)說(shuō)，如果你是網(wǎng)絡(luò )罪犯就必須與之產(chǎn)生接觸根據分析，許多公司都開(kāi)始收集深網(wǎng)和暗網(wǎng)的情報，也了解了情報更新的重要性。但收集情報的速度與質(zhì)量以及這些情報對公司網(wǎng)絡(luò )安全的影響存在著(zhù)巨大的鴻溝。以色列的威脅情報公司 Cybersixgill 認為，由于數據質(zhì)量較差、缺乏上下文等問(wèn)題，想要利用暗網(wǎng)的情報仍然存在許多問(wèn)題。根據報告可以發(fā)現：在過(guò)去的一年中，有 25% 的公司經(jīng)歷了六次以上的安全違規事件，35% 的公司認為補充新的威脅情報需要 12 小時(shí)以上的時(shí)間才能開(kāi)始進(jìn)行升級和補救，35% 的公司會(huì )使用七個(gè)以上的威脅情報數據源，95% 的公司中威脅情報分析人員每周都會(huì )因為誤報浪費一個(gè)小時(shí)以上的時(shí)間，40% 的公司認為威脅情報最大的痛點(diǎn)在于缺乏上下文?？偨Y來(lái)說(shuō)，這些公司擁有的情報數據非常容易導致誤報，同時(shí)由于缺乏全局的理解也無(wú)法保證網(wǎng)絡(luò )防御策略保護公司免受攻擊。

普普點(diǎn)評：

威脅情報是包含漏洞、資產(chǎn)、威脅、風(fēng)險、運行和事件等多維度安全知識在內的知識集合?！缎畔踩夹g(shù) 網(wǎng)絡(luò )安全等級保護測評要求》中，首次提出了對“威脅情報檢測系統”和“威脅情報庫”的要求。威脅情報可以幫助企業(yè)安全人員了解其所在行業(yè)的威脅環(huán)境，有哪些攻擊者，攻擊者使用的戰術(shù)技術(shù)等。威脅情報幫助其了解企業(yè)自身正在遭受或未來(lái)面臨的威脅，并為高層決策提供建議。

Zimbra新漏洞或造成20萬(wàn)家企業(yè)數據泄漏

Zimbra是一套開(kāi)源協(xié)同辦公套件，包括WebMail、日歷、通信錄、Web文檔管理和創(chuàng )作。它通過(guò)將終端用戶(hù)的信息和活動(dòng)連接到私有云中，為用戶(hù)提供了最具創(chuàng )新性的消息接收體驗，因此每天有超過(guò)20萬(wàn)家企業(yè)和1000多家政府、金融機構使用Zimbra與數百萬(wàn)用戶(hù)交換電子郵件。SonarSource的專(zhuān)家近期披露了開(kāi)源 Zimbra代碼中的兩個(gè)漏洞。這些漏洞可能使未經(jīng)身份驗證的攻擊者破壞目標企業(yè)的Zimbra網(wǎng)絡(luò )郵件服務(wù)器。借此，攻擊者就可以不受限制的訪(fǎng)問(wèn)所有員工通過(guò)Zimbra傳輸的電子郵件內容。劫持Zimbra服務(wù)器的兩個(gè)漏洞：CVE-2021-35208跨站點(diǎn)腳本漏洞，CVE-2021-35209服務(wù)器端請求偽造漏洞。安全專(zhuān)家表示，當用戶(hù)瀏覽查看Zimbra傳入的惡意電子郵件時(shí)，就會(huì )觸發(fā)跨站點(diǎn)腳本漏洞。惡意電子郵件會(huì )包含一個(gè)精心設計的JavaScript有效負載，當該負載被執行時(shí)，攻擊者將能夠訪(fǎng)問(wèn)受害者所有的電子郵件。另一個(gè)服務(wù)器端請求偽造漏洞，繞過(guò)了訪(fǎng)問(wèn)控制的允許列表，該漏洞可以被任何權限角色的經(jīng)過(guò)身份驗證的組織成員利用。

普普點(diǎn)評：

隨著(zhù)虛擬化協(xié)同辦公發(fā)展的深入，國內的開(kāi)源協(xié)同辦公軟件也逐漸成熟起來(lái)，然而Zimbra漏洞的披露彰顯了軟件供應鏈安全的脆弱性。這一事件也提醒我們，軟件供應鏈安全的提升需要從兩個(gè)維度出發(fā)，其一，對于軟件供應商來(lái)說(shuō)，通過(guò)軟件開(kāi)發(fā)安全的相關(guān)流程來(lái)增強軟件安全性變得愈加重要；其二，對于軟件使用者，企業(yè)要提升員工的安全意識，軟件產(chǎn)品的穩定性和安全性不是堅不可摧的，我們在使用過(guò)程中對于一些“可疑”的使用情況要提高警惕性。

診療系統癱瘓 西安警方偵破一起破壞醫院計算機信息系統案

普普點(diǎn)評：

《中華人民共和國刑法》第二百八十六條：違反國家規定，對計算機信息系統功能進(jìn)行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。離職員工與原工作單位有糾紛的，應采取正確方法維護個(gè)人利益，施行違法行為滿(mǎn)足報復心理，只會(huì )得不償失。

工信部：企業(yè)應將保護數據安全作為生產(chǎn)經(jīng)營(yíng)的底線(xiàn)和紅線(xiàn)

7月28日，工信部網(wǎng)絡(luò )安全管理局委托中國互聯(lián)網(wǎng)協(xié)會(huì )組織召開(kāi)重點(diǎn)互聯(lián)網(wǎng)企業(yè)貫徹落實(shí)數據安全法座談會(huì )。中國互聯(lián)網(wǎng)協(xié)會(huì )、中國信息通信研究院及阿里、騰訊、美團、奇安信、小米、京東、微博、字節跳動(dòng)、58同城、百度、拼多多、螞蟻集團等12家企業(yè)近40人參會(huì )。工信部強調，做好重點(diǎn)互聯(lián)網(wǎng)企業(yè)數據安全保護工作，對于貫徹《數據安全法》、維護國家安全有重要意義。會(huì )上，工信部要求各企業(yè)貫徹總體國家安全觀(guān)，深入貫徹落實(shí)《數據安全法》，切實(shí)加強數據安全保護。工信部表示，一是認真學(xué)習貫徹法律明確的監管機制、制度體系、主體責任、保護義務(wù)等要求，做到知法、懂法、守法，將保護數據安全作為企業(yè)生產(chǎn)經(jīng)營(yíng)的底線(xiàn)和紅線(xiàn)，維護國家主權、安全和發(fā)展利益；二是強化大型互聯(lián)網(wǎng)企業(yè)責任擔當，切實(shí)履行數據保護義務(wù)，企業(yè)要加強組織領(lǐng)導，明確數據安全責任部門(mén)和責任人，建立全生命周期的數據安全管理體系和機制，采取相應的技術(shù)措施開(kāi)展風(fēng)險監測和應急處置，加強重要數據安全風(fēng)險評估和出境管理；三是共同構建協(xié)同共治的行業(yè)數據安全監管體系，鼓勵企業(yè)積極參與數據安全標準研制、關(guān)鍵技術(shù)研發(fā)等工作，并主動(dòng)配合行業(yè)監管。6月10日，數據安全法經(jīng)十三屆全國人大常委會(huì )第二十九次會(huì )議表決通過(guò)，將自今年9月1日起正式施行。相較于前兩次的審議稿，正式出臺的數據安全法首次提出“國家核心數據”概念，并規定違反國家核心數據管理制度情節嚴重最高可罰一千萬(wàn)元。

普普點(diǎn)評：

近日來(lái)，工信部對互聯(lián)網(wǎng)行業(yè)數據安全方面的整治動(dòng)作不斷，尤其是企業(yè)在數據收集、傳輸、存儲及對外提供等環(huán)節是近期社會(huì )輿論關(guān)注的重點(diǎn)，保護用戶(hù)的數據安全，需要相關(guān)企業(yè)必須要履行的社會(huì )責任。

你的屏幕被“偷”了 新惡意軟件Vultur已控制數千臺設備

最近研究人員在 Google Play 中發(fā)現一種新型 Android 惡意軟件，已經(jīng)波及了一百多個(gè)銀行和加密貨幣應用程序。荷蘭安全公司 ThreatFabric 的研究人員將該種惡意軟件命名為 Vultur。該惡意軟件會(huì )在目標應用程序打開(kāi)時(shí)記錄屏幕，Vultur 會(huì )使用 VNC 屏幕共享將失陷主機的屏幕鏡像到攻擊者控制的服務(wù)器。Vultur 的攻擊是可以擴展并自動(dòng)化的，欺詐的手法可以在后端編寫(xiě)腳本并下發(fā)到受害設備。與許多 Android 銀行木馬程序一樣，Vultur 嚴重依賴(lài)于移動(dòng)操作系統中內置的輔助功能服務(wù)。首次安裝時(shí)，Vultur 會(huì )濫用這些服務(wù)來(lái)獲取所需的權限。而一旦安裝成功，Vultur 就會(huì )監控所有觸發(fā)無(wú)障礙服務(wù)的請求。Vultur 使用這些服務(wù)監測來(lái)自目標應用程序的請求，而且還使用這些服務(wù)通過(guò)一般手段對惡意軟件進(jìn)行刪除和清理。每當用戶(hù)嘗試訪(fǎng)問(wèn) Android 設置中的應用程序詳細信息頁(yè)時(shí)，Vultur 都會(huì )自動(dòng)單擊后退按鈕。這會(huì )妨礙用戶(hù)點(diǎn)擊卸載按鈕，而且 Vultur 也隱藏了它自己的圖標。安裝成功后，Vultur 會(huì )使用? VNC 開(kāi)始進(jìn)行屏幕錄制。Vultur 針對103 個(gè) Android 銀行應用程序或加密貨幣應用程序進(jìn)行竊密，意大利、澳大利亞和西班牙是受攻擊最多的國家。除了銀行應用程序和加密貨幣應用程序外，該惡意軟件還會(huì )收集 Facebook、WhatsApp Messenger、TikTok 和 Viber Messenger 的憑據。

普普點(diǎn)評：

安卓手機用戶(hù)為避免手機被惡意應用程序劫持，應該在正規軟件商店下載手機APP，且盡可能只安裝來(lái)自知名廠(chǎng)商的應用程序，應用安裝后應仔細閱讀 APP 的授權條款，盡量關(guān)閉不必要的 APP 后臺權限。

微軟示警：近期網(wǎng)絡(luò )釣魚(yú)郵件肆虐 以巧妙方式欺騙用戶(hù)點(diǎn)擊鏈接下載附件

普普點(diǎn)評：

5招識別釣魚(yú)郵件：一看發(fā)件人地址，二看郵件標題，三看正文措辭，四看正文目的，五看正文內容；防范釣魚(yú)郵件做到5不要：不要輕信發(fā)件人地址中顯示的“顯示名”，不要輕易點(diǎn)開(kāi)陌生郵件中的鏈接，不要放松對“熟人”郵件的警惕，不要使用公共場(chǎng)所的網(wǎng)絡(luò )設備執行敏感操作，不要將敏感信息發(fā)布到網(wǎng)上。