惡意軟件制造者詭計(jì)多端 使用“小眾”編程語(yǔ)言逃避常見(jiàn)安全檢測(cè)

黑莓研究人員報(bào)告稱，不常見(jiàn)的編程語(yǔ)言包括 Go、Rust、Nim和DLang正在成為惡意軟件作者的最愛(ài)，它們?cè)噲D繞過(guò)安全防御或解決開(kāi)發(fā)過(guò)程中的弱點(diǎn)。攻擊者使用新編程語(yǔ)言并不新鮮，研究團(tuán)隊(duì)注意到這四種語(yǔ)言的惡意用途增加，使用它們的惡意軟件家族數(shù)量同時(shí)增多。研究人員指出，這些語(yǔ)言變得越來(lái)越發(fā)達(dá)，并預(yù)計(jì)隨著趨勢(shì)的繼續(xù)，它們的使用者會(huì)日益增多。攻擊者采用一種新的編程語(yǔ)言有如下幾個(gè)原因：它可以解決現(xiàn)有語(yǔ)言的弱點(diǎn)，或者為開(kāi)發(fā)人員提供更簡(jiǎn)單的語(yǔ)法、更有效的內(nèi)存管理或性能提升。研究人員同時(shí)指出，新語(yǔ)言也可能更適合現(xiàn)有的設(shè)備環(huán)境，比如，大多數(shù)使用低級(jí)語(yǔ)言的物聯(lián)網(wǎng)設(shè)備。當(dāng)攻擊者利用這些特點(diǎn)時(shí)，就會(huì)對(duì)防御者構(gòu)成挑戰(zhàn)。惡意軟件分析工具并不總是支持鮮為人知的語(yǔ)言，與C或C++ 等傳統(tǒng)語(yǔ)言相比，用Go、Rust、Nim和 DLang 編寫的二進(jìn)制文件在反匯編時(shí)可能會(huì)顯得更加復(fù)雜。

普普點(diǎn)評(píng)：

用這些鮮為人知的語(yǔ)言編寫的惡意軟件通常不會(huì)像用更常見(jiàn)和成熟的語(yǔ)言編寫的惡意軟件那樣被檢測(cè)到，軟件檢測(cè)及分析工具要和惡意軟件同步還需要一段時(shí)間，但企業(yè)及組織的安全意識(shí)必須提高起來(lái)，要積極主動(dòng)去防御新出現(xiàn)的技術(shù)和惡意軟件手段。加強(qiáng)軟件安全防御能力，從底層源代碼安全檢測(cè)做起，不給惡意軟件可乘之機(jī)。

2021年威脅情報(bào)發(fā)展報(bào)告：近半公司被不準(zhǔn)確或過(guò)時(shí)的威脅情報(bào)困擾

深網(wǎng)與暗網(wǎng)的體量是僅次于美國(guó)和中國(guó)的世界第三大經(jīng)濟(jì)體，換句話說(shuō)，如果你是網(wǎng)絡(luò)罪犯就必須與之產(chǎn)生接觸根據(jù)分析，許多公司都開(kāi)始收集深網(wǎng)和暗網(wǎng)的情報(bào)，也了解了情報(bào)更新的重要性。但收集情報(bào)的速度與質(zhì)量以及這些情報(bào)對(duì)公司網(wǎng)絡(luò)安全的影響存在著巨大的鴻溝。以色列的威脅情報(bào)公司 Cybersixgill 認(rèn)為，由于數(shù)據(jù)質(zhì)量較差、缺乏上下文等問(wèn)題，想要利用暗網(wǎng)的情報(bào)仍然存在許多問(wèn)題。根據(jù)報(bào)告可以發(fā)現(xiàn)：在過(guò)去的一年中，有 25% 的公司經(jīng)歷了六次以上的安全違規(guī)事件，35% 的公司認(rèn)為補(bǔ)充新的威脅情報(bào)需要 12 小時(shí)以上的時(shí)間才能開(kāi)始進(jìn)行升級(jí)和補(bǔ)救，35% 的公司會(huì)使用七個(gè)以上的威脅情報(bào)數(shù)據(jù)源，95% 的公司中威脅情報(bào)分析人員每周都會(huì)因?yàn)檎`報(bào)浪費(fèi)一個(gè)小時(shí)以上的時(shí)間，40% 的公司認(rèn)為威脅情報(bào)最大的痛點(diǎn)在于缺乏上下文。總結(jié)來(lái)說(shuō)，這些公司擁有的情報(bào)數(shù)據(jù)非常容易導(dǎo)致誤報(bào)，同時(shí)由于缺乏全局的理解也無(wú)法保證網(wǎng)絡(luò)防御策略保護(hù)公司免受攻擊。

普普點(diǎn)評(píng)：

威脅情報(bào)是包含漏洞、資產(chǎn)、威脅、風(fēng)險(xiǎn)、運(yùn)行和事件等多維度安全知識(shí)在內(nèi)的知識(shí)集合?！缎畔踩夹g(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》中，首次提出了對(duì)“威脅情報(bào)檢測(cè)系統(tǒng)”和“威脅情報(bào)庫(kù)”的要求。威脅情報(bào)可以幫助企業(yè)安全人員了解其所在行業(yè)的威脅環(huán)境，有哪些攻擊者，攻擊者使用的戰(zhàn)術(shù)技術(shù)等。威脅情報(bào)幫助其了解企業(yè)自身正在遭受或未來(lái)面臨的威脅，并為高層決策提供建議。

Zimbra新漏洞或造成20萬(wàn)家企業(yè)數(shù)據(jù)泄漏

Zimbra是一套開(kāi)源協(xié)同辦公套件，包括WebMail、日歷、通信錄、Web文檔管理和創(chuàng)作。它通過(guò)將終端用戶的信息和活動(dòng)連接到私有云中，為用戶提供了最具創(chuàng)新性的消息接收體驗(yàn)，因此每天有超過(guò)20萬(wàn)家企業(yè)和1000多家政府、金融機(jī)構(gòu)使用Zimbra與數(shù)百萬(wàn)用戶交換電子郵件。SonarSource的專家近期披露了開(kāi)源 Zimbra代碼中的兩個(gè)漏洞。這些漏洞可能使未經(jīng)身份驗(yàn)證的攻擊者破壞目標(biāo)企業(yè)的Zimbra網(wǎng)絡(luò)郵件服務(wù)器。借此，攻擊者就可以不受限制的訪問(wèn)所有員工通過(guò)Zimbra傳輸?shù)碾娮余]件內(nèi)容。劫持Zimbra服務(wù)器的兩個(gè)漏洞：CVE-2021-35208跨站點(diǎn)腳本漏洞，CVE-2021-35209服務(wù)器端請(qǐng)求偽造漏洞。安全專家表示，當(dāng)用戶瀏覽查看Zimbra傳入的惡意電子郵件時(shí)，就會(huì)觸發(fā)跨站點(diǎn)腳本漏洞。惡意電子郵件會(huì)包含一個(gè)精心設(shè)計(jì)的JavaScript有效負(fù)載，當(dāng)該負(fù)載被執(zhí)行時(shí)，攻擊者將能夠訪問(wèn)受害者所有的電子郵件。另一個(gè)服務(wù)器端請(qǐng)求偽造漏洞，繞過(guò)了訪問(wèn)控制的允許列表，該漏洞可以被任何權(quán)限角色的經(jīng)過(guò)身份驗(yàn)證的組織成員利用。

普普點(diǎn)評(píng)：

隨著虛擬化協(xié)同辦公發(fā)展的深入，國(guó)內(nèi)的開(kāi)源協(xié)同辦公軟件也逐漸成熟起來(lái)，然而Zimbra漏洞的披露彰顯了軟件供應(yīng)鏈安全的脆弱性。這一事件也提醒我們，軟件供應(yīng)鏈安全的提升需要從兩個(gè)維度出發(fā)，其一，對(duì)于軟件供應(yīng)商來(lái)說(shuō)，通過(guò)軟件開(kāi)發(fā)安全的相關(guān)流程來(lái)增強(qiáng)軟件安全性變得愈加重要；其二，對(duì)于軟件使用者，企業(yè)要提升員工的安全意識(shí)，軟件產(chǎn)品的穩(wěn)定性和安全性不是堅(jiān)不可摧的，我們?cè)谑褂眠^(guò)程中對(duì)于一些“可疑”的使用情況要提高警惕性。

診療系統(tǒng)癱瘓 西安警方偵破一起破壞醫(yī)院計(jì)算機(jī)信息系統(tǒng)案

普普點(diǎn)評(píng)：

《中華人民共和國(guó)刑法》第二百八十六條：違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。離職員工與原工作單位有糾紛的，應(yīng)采取正確方法維護(hù)個(gè)人利益，施行違法行為滿足報(bào)復(fù)心理，只會(huì)得不償失。

工信部：企業(yè)應(yīng)將保護(hù)數(shù)據(jù)安全作為生產(chǎn)經(jīng)營(yíng)的底線和紅線

7月28日，工信部網(wǎng)絡(luò)安全管理局委托中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)組織召開(kāi)重點(diǎn)互聯(lián)網(wǎng)企業(yè)貫徹落實(shí)數(shù)據(jù)安全法座談會(huì)。中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、中國(guó)信息通信研究院及阿里、騰訊、美團(tuán)、奇安信、小米、京東、微博、字節(jié)跳動(dòng)、58同城、百度、拼多多、螞蟻集團(tuán)等12家企業(yè)近40人參會(huì)。工信部強(qiáng)調(diào)，做好重點(diǎn)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全保護(hù)工作，對(duì)于貫徹《數(shù)據(jù)安全法》、維護(hù)國(guó)家安全有重要意義。會(huì)上，工信部要求各企業(yè)貫徹總體國(guó)家安全觀，深入貫徹落實(shí)《數(shù)據(jù)安全法》，切實(shí)加強(qiáng)數(shù)據(jù)安全保護(hù)。工信部表示，一是認(rèn)真學(xué)習(xí)貫徹法律明確的監(jiān)管機(jī)制、制度體系、主體責(zé)任、保護(hù)義務(wù)等要求，做到知法、懂法、守法，將保護(hù)數(shù)據(jù)安全作為企業(yè)生產(chǎn)經(jīng)營(yíng)的底線和紅線，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益；二是強(qiáng)化大型互聯(lián)網(wǎng)企業(yè)責(zé)任擔(dān)當(dāng)，切實(shí)履行數(shù)據(jù)保護(hù)義務(wù)，企業(yè)要加強(qiáng)組織領(lǐng)導(dǎo)，明確數(shù)據(jù)安全責(zé)任部門和責(zé)任人，建立全生命周期的數(shù)據(jù)安全管理體系和機(jī)制，采取相應(yīng)的技術(shù)措施開(kāi)展風(fēng)險(xiǎn)監(jiān)測(cè)和應(yīng)急處置，加強(qiáng)重要數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和出境管理；三是共同構(gòu)建協(xié)同共治的行業(yè)數(shù)據(jù)安全監(jiān)管體系，鼓勵(lì)企業(yè)積極參與數(shù)據(jù)安全標(biāo)準(zhǔn)研制、關(guān)鍵技術(shù)研發(fā)等工作，并主動(dòng)配合行業(yè)監(jiān)管。6月10日，數(shù)據(jù)安全法經(jīng)十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議表決通過(guò)，將自今年9月1日起正式施行。相較于前兩次的審議稿，正式出臺(tái)的數(shù)據(jù)安全法首次提出“國(guó)家核心數(shù)據(jù)”概念，并規(guī)定違反國(guó)家核心數(shù)據(jù)管理制度情節(jié)嚴(yán)重最高可罰一千萬(wàn)元。

普普點(diǎn)評(píng)：

近日來(lái)，工信部對(duì)互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全方面的整治動(dòng)作不斷，尤其是企業(yè)在數(shù)據(jù)收集、傳輸、存儲(chǔ)及對(duì)外提供等環(huán)節(jié)是近期社會(huì)輿論關(guān)注的重點(diǎn)，保護(hù)用戶的數(shù)據(jù)安全，需要相關(guān)企業(yè)必須要履行的社會(huì)責(zé)任。

你的屏幕被“偷”了 新惡意軟件Vultur已控制數(shù)千臺(tái)設(shè)備

最近研究人員在 Google Play 中發(fā)現(xiàn)一種新型 Android 惡意軟件，已經(jīng)波及了一百多個(gè)銀行和加密貨幣應(yīng)用程序。荷蘭安全公司 ThreatFabric 的研究人員將該種惡意軟件命名為 Vultur。該惡意軟件會(huì)在目標(biāo)應(yīng)用程序打開(kāi)時(shí)記錄屏幕，Vultur 會(huì)使用 VNC 屏幕共享將失陷主機(jī)的屏幕鏡像到攻擊者控制的服務(wù)器。Vultur 的攻擊是可以擴(kuò)展并自動(dòng)化的，欺詐的手法可以在后端編寫腳本并下發(fā)到受害設(shè)備。與許多 Android 銀行木馬程序一樣，Vultur 嚴(yán)重依賴于移動(dòng)操作系統(tǒng)中內(nèi)置的輔助功能服務(wù)。首次安裝時(shí)，Vultur 會(huì)濫用這些服務(wù)來(lái)獲取所需的權(quán)限。而一旦安裝成功，Vultur 就會(huì)監(jiān)控所有觸發(fā)無(wú)障礙服務(wù)的請(qǐng)求。Vultur 使用這些服務(wù)監(jiān)測(cè)來(lái)自目標(biāo)應(yīng)用程序的請(qǐng)求，而且還使用這些服務(wù)通過(guò)一般手段對(duì)惡意軟件進(jìn)行刪除和清理。每當(dāng)用戶嘗試訪問(wèn) Android 設(shè)置中的應(yīng)用程序詳細(xì)信息頁(yè)時(shí)，Vultur 都會(huì)自動(dòng)單擊后退按鈕。這會(huì)妨礙用戶點(diǎn)擊卸載按鈕，而且 Vultur 也隱藏了它自己的圖標(biāo)。安裝成功后，Vultur 會(huì)使用? VNC 開(kāi)始進(jìn)行屏幕錄制。Vultur 針對(duì)103 個(gè) Android 銀行應(yīng)用程序或加密貨幣應(yīng)用程序進(jìn)行竊密，意大利、澳大利亞和西班牙是受攻擊最多的國(guó)家。除了銀行應(yīng)用程序和加密貨幣應(yīng)用程序外，該惡意軟件還會(huì)收集 Facebook、WhatsApp Messenger、TikTok 和 Viber Messenger 的憑據(jù)。

普普點(diǎn)評(píng)：

安卓手機(jī)用戶為避免手機(jī)被惡意應(yīng)用程序劫持，應(yīng)該在正規(guī)軟件商店下載手機(jī)APP，且盡可能只安裝來(lái)自知名廠商的應(yīng)用程序，應(yīng)用安裝后應(yīng)仔細(xì)閱讀 APP 的授權(quán)條款，盡量關(guān)閉不必要的 APP 后臺(tái)權(quán)限。

微軟示警：近期網(wǎng)絡(luò)釣魚郵件肆虐 以巧妙方式欺騙用戶點(diǎn)擊鏈接下載附件

普普點(diǎn)評(píng)：

5招識(shí)別釣魚郵件：一看發(fā)件人地址，二看郵件標(biāo)題，三看正文措辭，四看正文目的，五看正文內(nèi)容；防范釣魚郵件做到5不要：不要輕信發(fā)件人地址中顯示的“顯示名”，不要輕易點(diǎn)開(kāi)陌生郵件中的鏈接，不要放松對(duì)“熟人”郵件的警惕，不要使用公共場(chǎng)所的網(wǎng)絡(luò)設(shè)備執(zhí)行敏感操作，不要將敏感信息發(fā)布到網(wǎng)上。