2021年最具影響的安全話題

隆雪芬

不久前，有國外媒體精選出2021年最值得關(guān)注的熱門話題，總結(jié)網(wǎng)絡(luò)安全威脅發(fā)展態(tài)勢。

2020年，新冠的爆發(fā)影響了各行各業(yè)的穩(wěn)定運轉(zhuǎn)，同時也催生出不少居家辦公、以新冠疫情為核心的新需求，然而在2021年，全球用戶的關(guān)注點發(fā)生了明顯的轉(zhuǎn)變。不安全的數(shù)據(jù)、代碼托管庫的惡意軟件、關(guān)鍵性的零日漏洞利用和前所未見的勒索軟件方案，這些話題成為讀者最常閱讀的新聞主題。這表明在新的工作方式趨于“常態(tài)化”后，外界更熱衷于關(guān)注網(wǎng)絡(luò)犯罪的創(chuàng)新。

不斷泄露的數(shù)據(jù)

2021年的新聞頭條被Log4Shell、殖民管道、卡塞亞、ProxyLogon/ProxyShell和SolarWinds等重大安全事件占據(jù)。除此之外，根據(jù)相關(guān)文章的流量數(shù)據(jù)，益博睿公司數(shù)據(jù)泄露事件也受到了廣泛關(guān)注。

2021年4月，羅徹斯特理工學(xué)院大二學(xué)生Bill Demirkapi發(fā)現(xiàn)，在一個貸款人網(wǎng)站上，通過益博睿信用局API端口，幾乎可以查詢?nèi)魏我粋€美國人的信用評分，訪問沒有受到絲毫限制。

該端口名為Experian Connect API，允許貸款人自動進行FICO分數(shù)查詢。Demirkapi通過建立一個名為Bill’s Cool Credit Score Lookup Utility的命令行工具，即使在出生日期字段中用零代替，仍可以自動查詢幾乎所有人的信用分數(shù)。此外，通過該API端口，還可以獲取益博睿用戶更為詳細的信用記錄和信用預(yù)警，例如某用戶消費金融賬戶過多等。益博睿公司表示已經(jīng)解決了該問題，并否認了該問題將帶來系統(tǒng)性威脅的可能。

無獨有偶，LinkedIn數(shù)據(jù)在暗網(wǎng)上出售也成為2021年備受關(guān)注的數(shù)據(jù)泄露事件。

2021年4月和6月，LinkedIn相繼發(fā)生數(shù)據(jù)泄露事件， 5億LinkedIn會員受到影響。一個自稱是GOD User TomLiner黑客在RaidForums上發(fā)布了一條包含7億條LinkedIn賬號待售記錄的帖子。該條帖子包含100萬條賬號記錄，證明系LinkedIn會員信息，經(jīng)Privacy Sharks檢測發(fā)現(xiàn)，泄露數(shù)據(jù)包括姓名、性別、電子郵件地址、電話號碼和行業(yè)信息等內(nèi)容。

截至目前仍然不清楚數(shù)據(jù)的具體來源，外界猜測相關(guān)數(shù)據(jù)可能源于公開資料的抓取。LinkedIn堅稱數(shù)據(jù)庫并沒有被外來者入侵。

不過即便如此，LinkedIn用戶數(shù)據(jù)泄露所其帶來的安全影響也是巨大的，因為這些緩存記錄可被不法分子用來暴力破解賬戶密碼、電子郵件，從而實施電話詐騙、網(wǎng)絡(luò)釣魚、身份盜竊等活動。更重要的是，這些數(shù)據(jù)可能形成一個社交工程的“金礦”，攻擊者輕輕松松就通過訪問該檔案獲取不少目標用戶的個人信息，進而實施有針對性的詐騙。

關(guān)鍵零日漏洞

關(guān)鍵零日漏洞，這是一個永恒的話題，但2021年的惡性事件，要從Log4Shell說起。

Log4Shell漏洞是Java日志庫Apache Log4j中的一個關(guān)鍵漏洞，允許未經(jīng)身份驗證的遠程代碼執(zhí)行（RCE）和完全接管服務(wù)器，目前，該漏洞仍在野外被積極利用。

該漏洞（CVE-2021-44228）首次出現(xiàn)在Minecraft游戲網(wǎng)站后，Apache匆忙發(fā)布補丁，但在1～2天內(nèi)，由于威脅者試圖利用這個新漏洞，攻擊逐漸變得猖獗起來。自此之后，關(guān)于額外的利用載體、第二個漏洞、攻擊之兇猛及波及面的擴大新聞，就霸占了12月的全部頭條。

NSO公司針對Apple的“零點擊”攻擊事件

9月，研究人員發(fā)現(xiàn)了一個被稱為ForcedEntry be的零點擊漏洞，蘋果包括iPhone，iPad、Mac，Apple Watch在內(nèi)的所有產(chǎn)品均受到影響。結(jié)果顯示，該漏洞被NSO公司利用來安裝臭名昭著的Pegasus間諜軟件。

雖然蘋果公司推出了緊急修復(fù)程序，但Citizen Lab已經(jīng)觀察到NSO公司通過iMessage渠道實施了非法監(jiān)控活動，而其中所利用的正是該漏洞。

Palo Alto安全設(shè)備中的巨大零日漏洞

來自Randori的研究人員開發(fā)了一個有效的利用程序，通過關(guān)鍵漏洞CVE 2021-3064在Palo Alto Networks的GlobalProtect防火墻上獲得遠程代碼執(zhí)行（RCE）。Randori研究人員表示，如果攻擊者成功利用該漏洞，他們可以獲得目標系統(tǒng)的Shell，訪問敏感配置數(shù)據(jù)，提取憑據(jù)等。“一旦攻擊者控制了防火墻，他們就可以訪問內(nèi)網(wǎng)，并繼續(xù)橫向移動?！敝档脩c幸的是，Palo Alto Networks在信息披露當(dāng)天修補了該漏洞。

谷歌內(nèi)存零日漏洞

2021年3月，谷歌急忙修復(fù)Chrome瀏覽器中的一個受到主動攻擊的漏洞。該漏洞是一個釋放后使用漏洞，允許遠程攻擊者利用漏洞構(gòu)建惡意WEB頁，誘使用戶解析，可使應(yīng)用程序崩潰或執(zhí)行任意代碼。

“通過說服受害者訪問特制網(wǎng)站，遠程攻擊者可以利用此漏洞執(zhí)行任意代碼或在系統(tǒng)上造成拒絕服務(wù)條件，”IBM X-Force對該漏洞報告寫道。

戴爾內(nèi)核權(quán)限漏洞

不久前，研究者在部分戴爾個人電腦、平板電腦和筆記本電腦中發(fā)現(xiàn)了5個隱藏了12年的嚴重安全漏洞，這些產(chǎn)品均在2009年前后銷往市場。根據(jù)SentinelLabs的說法，這些安全漏洞可以繞過防火墻或其他安全防護產(chǎn)品的保護，在目標設(shè)備商執(zhí)行代碼，并通過局域網(wǎng)或是互聯(lián)網(wǎng)向其他設(shè)備進行橫向移動滲透。

研究人員說，這些漏洞隱藏在戴爾的固件更新驅(qū)動程序中，可能影響到數(shù)億臺戴爾電腦設(shè)備。自2009年以來，戴爾固件更新驅(qū)動程序版本2.3（dbutil_2_3.sys）模塊中存在多個本地權(quán)限提升（LPE）漏洞。驅(qū)動程序組件通過戴爾BIOS實用程序處理戴爾固件更新，將漏洞“預(yù)先安裝”在大多數(shù)運行Windows系統(tǒng)的戴爾機器上。

軟件供應(yīng)鏈和代碼庫危機

軟件供應(yīng)鏈以開源代碼存儲庫為基礎(chǔ)，開發(fā)人員可以在集中位置上傳軟件包，供開發(fā)人員在構(gòu)建各種應(yīng)用程序、服務(wù)和其他項目時使用。它們包括GitHub，以及更專業(yè)的存儲庫，如Java的Node.js包管理器（npm）代碼存儲庫、Ruby編程語言的RubyGems、Python包索引（PyPI）等。

這些軟件包管理器在提供便利的同時，也成為了全新的供應(yīng)鏈威脅，因為任何人都可以向它們上傳代碼，而這些代碼又能在不知不覺中滲入各類應(yīng)用程序中。

更為重要的是，一個單一的惡意軟件包可以被植入加密礦工、信息竊取器等不同的項目中，并進一步感染，使修復(fù)過程變得極其復(fù)雜。

由于操作簡單，危害性又極為嚴重，因此網(wǎng)絡(luò)犯罪分子蜂擁而至。例如，12月在npm中發(fā)現(xiàn)了17個系列惡意包，它們都是針對虛擬會議平臺Discord而構(gòu)建的，目的是為了竊取Discord令牌，從而接管賬戶。

同樣在當(dāng)月，托管在PyPI代碼存儲庫中的3個惡意軟件包被發(fā)現(xiàn)，總共有超過12 000次下載，可能已經(jīng)潛入各種應(yīng)用程序的安裝中。這些軟件包包括一個用于在受害者設(shè)備建立后門的木馬程序和2個信息竊取程序。

研究人員還發(fā)現(xiàn)，Maven Central生態(tài)系統(tǒng)中有17 000個未打補丁的Log4j Java包，使得Log4Shell漏洞利用帶來的巨大供應(yīng)鏈風(fēng)險顯而易見。谷歌安全團隊表示，這可能需要數(shù)年的時間來修復(fù)整個生態(tài)系統(tǒng)。

狡猾的勒索軟件變體

2021年，勒索軟件為一種日益嚴重的威脅，此類網(wǎng)絡(luò)犯罪的復(fù)雜性和創(chuàng)新水平不斷提高。用來鎖定文件的惡意軟件，已不再是簡單地在目標文件夾上加一個擴展名。關(guān)于勒索軟件的變體及進展，主要有以下三大發(fā)現(xiàn)：

HelloKitty：以虛擬機為目標

2021年6月，研究人員首次公開了HelloKitty勒索軟件團伙使用的一種Linux加密器。

HelloKitty是2月份攻擊電子游戲開發(fā)商CD Projekt Red的幕后黑手，它開發(fā)了許多Linux ELF-64版本的勒索軟件，用于攻擊VMware ESXi服務(wù)器和運行在它們上面的虛擬機（VM）。

VMware ESXi（ESX），是一種裸機管理程序，可以輕松安裝到服務(wù)器上，并將其分割為多個虛擬機系統(tǒng)。盡管這使得多個虛擬機共享相同的硬盤存儲變得容易，但增加了系統(tǒng)遭受攻擊的風(fēng)險。由于多個虛擬機共用同一個儲存系統(tǒng)，因此一旦數(shù)據(jù)被鎖，攻擊者就可以直接攻陷多個服務(wù)器系統(tǒng)。

MosesStaff：“失蹤”的密鑰

11月，一個名為MosesStaff的團體向以色列相關(guān)機構(gòu)發(fā)起攻擊，攻擊最終使以色列網(wǎng)絡(luò)系統(tǒng)陷入癱瘓。

與一般網(wǎng)絡(luò)勒索案件不同的是，MosesStaff并不求財，它用盡手段加密網(wǎng)絡(luò)和竊取信息，只是源于政治意圖。該組織還在社交媒體上保持活躍，通過各種渠道發(fā)布煽動性的信息和視頻，并讓外界知道它的所作所為。

Epsilon Red以Exchange服務(wù)器為目標

6月份，研究員發(fā)現(xiàn)，某攻擊者在一組PowerShell腳本的基礎(chǔ)上部署了新的勒索軟件，這些腳本是利用未打補丁的Exchange服務(wù)器的漏洞而開發(fā)的。

Epsilon Red勒索軟件是在對美國一家酒店公司攻擊時被發(fā)現(xiàn)的，其命名來自X戰(zhàn)警漫威漫畫中一個不起眼的敵人角色，一名有著4個機械觸手的俄羅斯超級士兵。

研究人員表示，該勒索軟件的入侵模式與一般勒索軟件有所不同。雖然該惡意軟件本身是一個用Go編程語言編程的64位Windows可執(zhí)行程序，但其交付系統(tǒng)依賴于一系列PowerShell腳本。

游戲安全

連續(xù)兩年，游戲安全成為關(guān)注的焦點，這可能是因為全球疫情流行推高了游戲需求，網(wǎng)絡(luò)犯罪分子也瞄準該領(lǐng)域。在卡巴斯基最近的一項調(diào)查中，近61 %的人遇到過諸如ID盜竊、詐騙或游戲內(nèi)貴重物品被盜的情況。下面概述了一些相關(guān)事件。

SteamHide風(fēng)波

2021年6月，出現(xiàn)了名為SteamHide的惡意軟件，利用游戲平臺Steam的個人資料頭像進行傳播。

根據(jù)G Data公司的研究，惡意軟件并不會直接感染Steam，而是將它作為傳播渠道。SteamHide會通過電子郵件首次傳播，隨后快速感染目標設(shè)備上的Steam平臺，存有惡意代碼的圖片會替換掉原有的Steam個人資料頭像。當(dāng)用戶的好友訪問到這張頭像時，就會自動感染SteamHide。

事實上，隱寫技術(shù)并不是什么新興技術(shù)，只不過SteamHide能夠想到利用隱寫和Steam平臺好友訪問來實施網(wǎng)絡(luò)犯罪，其創(chuàng)意還是讓人為之震驚。

Twitch源代碼泄露

2021年10月，一個匿名用戶在4chan上發(fā)布了大小為125 GB的數(shù)據(jù)鏈接，其中包含Twitch的所有源代碼，可以追溯到Twitch成立伊始的所有數(shù)據(jù)，包括用戶評論、用戶付費信息等。

攻擊者聲稱洗劫了Twitch直播平臺的一切，而Twitch則證實了這一事件的真實性。值得慶幸的是，攻擊者并沒有謀求錢財，發(fā)起攻擊完全為了發(fā)泄對于Twitch規(guī)則的不滿，攻擊者希望能以此完善Twitch的用戶規(guī)則。

竊取Steam的Discord騙局

11月，一種新的騙局開始在Discord上傳播，網(wǎng)絡(luò)犯罪分子可以通過它獲取Steam帳戶信息，并利用帳戶中的有用數(shù)據(jù)實施詐騙。

以游戲玩家為目標的Discord騙局屢見不鮮，而它卻玩出了新意。研究人員指出，新模式跨越了Discord和Stream游戲平臺，騙子提供所謂的免費訂閱Nitro（一種Discord插件，可以實現(xiàn)頭像、自定義表情符號、個人資料徽章、更大的上傳及服務(wù)器提升等），以換取兩個賬戶的鏈接。

目標用戶會在Discord上收到一條惡意鏈接，其中描述了不少好處，包括獲得免費游戲或游戲道具，而用戶需要做的只是“鏈接你的Steam賬戶”。點擊惡意鏈接會將用戶帶到一個虛假的Discord頁面，上面有一個按鈕，寫著“獲得Nitro”。一旦受害者點擊該按鈕，該網(wǎng)站似乎會提供一個與Steam頁面類似的彈出式廣告，但研究人員解釋說，該廣告仍是惡意網(wǎng)站的一部分。

該策略旨在欺騙用戶認為他們被帶到Steam平臺，以輸入他們的登錄信息，實際上，騙子已經(jīng)準備好接收你的賬戶數(shù)據(jù)了。

PlayStation3被Ban了

2021年6月，由于索尼疏于管理，一個包含所有Play Station3游戲機序列號的文件夾以明文的方式放在網(wǎng)上。這給不法分子提供了可乘之機，導(dǎo)致部分PlayStation 3玩家的主機直接被Ban，無法正常使用。

2021年4月中旬，一個名為The WizWiki的西班牙YouTuber發(fā)現(xiàn)，索尼在網(wǎng)上留下了一個包含所有PS3游戲機ID的文件夾，沒有任何安全保障可言。而到了6月，PlayStation網(wǎng)絡(luò)留言板上的玩家開始抱怨他們無法登錄。

用戶猜測，威脅者使用偷來的PS3游戲機ID進行惡意操作，導(dǎo)致合法玩家被禁。但索尼并未確認這二者之間存在必然的聯(lián)系。

十二宮殺手密碼終被破解

困擾美國警方半個多世紀的“十二宮殺手”密碼，2020年12月被某數(shù)學(xué)家團隊破解。

據(jù)報道，1960年代末和1970年代初，連環(huán)殺手在北加利福尼亞地區(qū)及其周邊地區(qū)謀殺了至少5人。這位至今未具名的兇手向當(dāng)?shù)貓蠹埫襟w發(fā)送了4串加密信息，吹噓自己的罪行并包含神秘的圖標，這為他贏得了“黃道十二宮”的綽號。

第一串密碼很快被破譯，但以340字符命名的340 Cipher更難破譯。澳大利亞數(shù)學(xué)家Sam Blake計算出650 000種解讀方式。比利時一名倉庫操作員Jarl Van Eycke編寫了一個軟件來破解密碼。這一獨特的密碼破解方式有了回音，并且得到了FBI的官方確認。

雖然神秘的連環(huán)殺手的名字還不為人知，但這一突破代表著密碼學(xué)和網(wǎng)絡(luò)安全中訪問控制和分割的勝利。