2021年十大網絡安全漏洞&“Lazarus”組織介紹
寫在前面:關于攻擊的三篇文檔。很多知識,日常閱讀時一眼掃過去,以為自己都知道,但客戶真問起來還真不一定能說清楚。
“Lazarus”的釣魚方式,還是挺有意思的。
2021年十大網絡安全漏洞
根據2022年X-Force威脅情報指數,從2020年到2021年,漏洞利用導致的事件數量增加了33%。這些被利用的漏洞中很大一部分是新發現的;事實上,2021年的前5個漏洞中有4個是較新的漏洞。IBM Security X-Force在2021年觀察到,漏洞利用是緊隨網絡釣魚之后,第二大最常見的初始感染方式。網絡犯罪分子正在尋找新的途徑,發現網絡環境中的弱點或常見的漏洞和暴露(CVE)來繞過安全防御,這些漏洞和暴露可以被利用為他們的利益,但對易受攻擊的組織不利。
本博客著眼于2021年被利用最多的漏洞,并為組織提供建議,支持他們的補丁管理程序,幫助降低2022年被利用的風險。
網絡安全漏洞
2021年最引人注目的CVE之一是CVE-2021-44228,也被稱為Log4J或Log4Shell。盡管Log4j漏洞在去年12月才被公開披露,但在不到一個月的時間里,它已成為2021年十大CVE漏洞中第二大被利用最多的漏洞。
如前所述,2021年被利用最多的5個漏洞中有4個是新發現的。2020年這一比例僅為10%。這一趨勢表明,以前未知的漏洞數量明顯增加,表明總體攻擊面正在迅速擴大。
根據X-Force的內部數據,2021年發現了20,790個新漏洞,超過了2020年19242個漏洞的記錄。請注意,這些數字代表整體的脆弱性,不僅限于MITRE發布的CVE。每年漏洞的劇烈增加轉化為威脅攻擊者利用的攻擊方式。
2021年10大CVE
X-Force根據威脅攻擊者利用或試圖利用這些漏洞的頻率,列出了2021年最常見的10個CVE。該排名由X-Force事件響應(IR)和IBM托管安全服務(MSS)收集的2021年數據組成。
在2021年排名靠前的CVE名單中,最老的漏洞已經被披露了4年,這與2020年的幾個CVE被披露近10年或更久的情況相比,顯示出了巨大的差異。這一趨勢可能表明威脅行為者在針對受害者網絡時希望尋找新的感染方式。攻擊者還經常迅速利用在常見應用程序和平臺(如Apache和Microsoft Exchange服務器)中容易利用和發現的新漏洞;利用有漏洞的組織部署補丁之前存在的機會窗口。
- CVE-2021-34523 - Microsoft Exchange服務器漏洞,允許惡意攻擊者繞過身份驗證并冒充管理員。一般稱為ProxyLogon。
- CVE-2021-44228 - Apache Log4j Library漏洞
- CVE-2021-26857 - Microsoft Exchange Server遠程代碼執行漏洞
- CVE-2020-1472 - Netlogon特權提升漏洞
- CVE-2021-27101 - Accellion FTA漏洞易受SQL注入影響
- CVE-2020-7961 - Liferay Portal對不可信數據的反序列化允許通過JSON web服務遠程執行代碼
- CVE-2020-15505 - MobileIron漏洞允許遠程代碼執行
- CVE-2018-20062 - NoneCMS ThinkPHP遠程代碼執行漏洞
- CVE-2021-35464 - ForgeRock AM服務器的Java反序列化漏洞,允許遠程代碼執行
- CVE-2019-19781 - Citrix服務器路徑遍歷缺陷
以下詳細地介紹了2021年的三個最有名的CVE:
1. CVE-2021-44228: Apache Log4j Library漏洞
Log4j,又名Log4Shell,于2021年12月公開暴露。它是開發人員用于Java編程的日志庫,許多組織用來開發服務器和客戶端應用。Apache軟件基金會(Apache Software Foundation)將Log4j評為一個嚴重級別的漏洞,它會影響其使用的核心功能,從而允許攻擊者執行遠程代碼,這意味著他們可以運行任何代碼,并獲得對有漏洞機器的未經授權的訪問。
雖然已經發布了一個補丁,但大型組織可能有數百個易受攻擊的應用程序運行在數千個設備上,從而增加了復雜性和更廣泛的攻擊面。因此,到2022年,安全社區已經看到了針對所有行業組織的無數Log4j攻擊嘗試。Log4j在不到一個月的時間里成為排名第二的漏洞,這一事實突出了它在2021年末的流行。
2. CVE-2021-26857: Microsoft Exchange Server遠程代碼執行漏洞
該CVE于2021年3月被披露,同時披露的還有另外三個影響本地Microsoft Exchange服務器的嚴重漏洞,統稱為ProxyLogon。在發現之時,APT組織正在大肆利用這些漏洞。ProxyLogon一直是勒索軟件運營商的訪問方式。值得注意的是,在2021年,Black KingDom和DearCry勒索軟件的運營者都被觀察到在最近的活動中利用了這一漏洞。X-Force將該漏洞列為2021年第三大被利用漏洞。該CVE是Microsoft Exchange統一消息服務中的一個不安全的反序列化缺陷,它允許威脅攻擊者滲透目標的Exchange服務器,并安裝基于web的木馬后門以進行長期訪問。
在CVE的最初披露之后,好幾個安全廠商報告說,至少發現有10個APT組織利用Microsoft Exchange Server的漏洞。可能與威脅組織APT41有關。微軟已經發布了軟件更新和補丁來解決這些問題;然而,2021年3月襲擊事件的激增凸顯了這個CVE的重要性,它值得進入今年10大CVE名單。
3.CVE-2019-19781: Citrix服務器路徑遍歷漏洞
該漏洞于2019年12月被發現,是2020年被利用最多的漏洞。盡管這個Citrix漏洞(CVE-2019-19781)已經被發現兩年多了,但它仍然進入了X-Force 2021年的前10名漏洞列表。這種持久性可能歸因于開發的有效性、易于操作和/或Citrix技術的廣泛特性。
Citrix漏洞影響Citrix ADC和Citrix Gateway,允許威脅攻擊者利用Citrix服務器中的目錄遍歷漏洞,并通過下載有效負載(如允許命令執行的木馬后門)的附加功能執行遠程任意代碼執行。
未知:零日漏洞
企業可以使用最健壯的縱深防御安全措施來保護其業務職能,但無論如何,永遠不可能得到百分之百的保護。威脅攻擊者總是在針對受害者開發更復雜的戰術、技術和程序,并尋找新的和創造性的途徑來感染個人和組織。尚未公開披露或發現的漏洞稱為零日漏洞,對企業網絡構成重大威脅。
盡管很難防御未知的漏洞,但X-Force評估,已知的漏洞對組織整體構成的更大威脅。當涉及到漏洞管理時,采用分層的方法可以識別、優先排序和糾正已經暴露的漏洞,可以大大降低風險級別,甚至可能提供強大的投資回報率(ROI)。
漏洞管理和修復工作
在當今的網絡安全威脅環境中,保護網絡基礎設施不受惡意攻擊者的利用是維護任何組織(無論是哪個行業)適當安全的關鍵步驟。通過漏洞管理,您的組織正在實施所有必要的步驟,以避免成為網絡安全攻擊的受害者。識別和修復軟件應用程序或不同網絡環境中的關鍵漏洞是糾正任何類型的網絡相關風險的關鍵第一步。
能夠在您的組織中有效地實施漏洞管理程序是長期成功的關鍵,但可能會根據您的業務需求和目標增加復雜性。X-Force建議使用我們的前10名cve列表來幫助識別威脅行為者最有可能瞄準和利用的關鍵漏洞。
以下列出的其他補救措施,可以幫助在實施健壯的補丁管理計劃時對關鍵元素進行優先排序:
- 對你的網絡進行季度清點。這可以幫助識別與應用程序、設備、操作系統或其他資產相關聯的授權軟件,以推動關鍵的業務決策。
- 利用您的清單來識別風險并刪除任何未經授權的軟件。這將縮小組織的整體攻擊范圍。
- 了解您最關鍵的資產以及哪些資產可能暴露敏感數據。為這些資產設置基線,并根據基線觀察它們的行為。
- 在補丁管理之前搭建和開發測試環境。確保在更新出軟件補丁之前測試它們,并可以回滾。不要在攻擊者可能訪問的不安全網絡上運行任何更新。
- 利用自動化工具幫助加快漏洞管理工作。這些工具可以幫助部署軟件補丁。建議以更小的批次推出補丁,以防止在測試階段可能出現的任何軟件安全錯誤。
在網絡安全領域的事實證明,2021年是網絡罪犯利用新威脅和漏洞影響全球受害者的又一個多產的年份。通過提供對不斷變化的威脅前景的關鍵見解和趨勢,X-Force可以幫助您的組織更好地保護免受新出現的網絡威脅。
(完)
“Lazarus”黑客如何開始他們的攻擊
朝鮮的“Lazarus”黑客如何利用領英(LinkedIn)攻擊目標,并利用Office宏入侵主機。“Lazarus”黑客組織是來自朝鮮的最大網絡安全威脅之一,最近因大規模偷取加密貨幣而引起了美國政府的注意。
現在,NCCGroup的研究人員已經整理出了Lazarus黑客最近一直在使用的一些工具和技術,包括LinkedIn上的社會工程學,向WhatsApp上的美國國防承包商目標發送消息,以及安裝惡意下載程序LCPDot。
NCCGroup的發現建立在對Lazarus黑客已有的了解之上。據悉,該組織及其子組織利用LinkedIn欺騙目標安裝帶有隱藏宏的惡意文件,如Word文檔。
今年2月,Qualys的研究人員發現該組織冒充國防承包商洛克希德·馬丁公司(Lockheed Martin),在Word文檔中用公司的名字作為求職誘餌。這些文檔包含用于安裝惡意軟件的惡意宏,并依賴計劃任務在系統上持久駐留。
Lazarus一直將LinkedIn作為首選的社交網絡,利用招聘和專業人士聯系。2020年,F-Secure的研究人員發現,該組織試圖招募一名系統管理員,向目標的LinkedIn賬戶發送一份釣魚文件,內容是一家區塊鏈公司正在尋找新的系統管理員。
今年4月,美國財政部認為Lazarus與3月份“玩賺”游戲背后的區塊鏈網絡發生的6億美元劫案有關。
同月,美國聯邦調查局(FBI)、網絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)和財政部警告稱,Lazarus目前正針對區塊鏈和加密貨幣行業的交易所,使用魚叉式網絡釣魚活動和惡意軟件竊取加密貨幣。
NCCGroup發現,最近使用偽造洛克希德·馬丁(Lockheed Martin)檔案與目標分享招聘廣告的行為,依賴于托管在某個域名的文件,該域名試圖模仿美國一家招聘政府和國防職位的網站。
為了繞過微軟最近在Office文檔中使用宏的限制,該網站托管了一個包含惡意文檔的ZIP文件,該文件被用來連接Lazarus的C2服務器。
NCCGroup指出:“為了繞過微軟最近對Office宏的安全控制,該網站托管了一個包含惡意文檔的ZIP文件。”
今年4月,微軟引入了新的Office默認行為,該行為可以阻止Windows系統運行從互聯網獲取的文檔中VBA宏。由于宏惡意軟件的流行,一位安全專家稱其為“游戲規則改變者”。
NCCGroup還獲得了一個Lazarus的下載器LCPDot變體的樣本,日本CERT最近分析,認為它來自Lazarus。
在向C2服務器注冊一個受侵害的主機后,下載程序將接收另一個載荷,對其進行解密,然后將其加載到內存中。
谷歌在3月份詳細介紹了一項廣泛的活動,與lazarus有關的組織針對媒體和科技行業的數百人,通過電子郵件冒充迪士尼(Disney)、谷歌和甲骨文(Oracle)的招聘人員,向他們發出工作邀請。區塊鏈分析公司Chainalysis估計,朝鮮黑客在2021年竊取了價值4億美元的加密貨幣。
摘自:
https://www.zdnet.com/google-amp/article/security-researchers-heres-how-the-lazarus-hackers-start-their-attacks/
(完)
“Lazarus”黑客用假洛克希德·馬丁公司的工作邀請攻擊國防工業
Lazarus與一場攻擊國防工業有希望的求職者的新運動有關。高級持續威脅(APT)組織在最近的行動中一直在冒充洛克希德·馬丁公司。這家位于馬里蘭州貝塞斯達的公司涉及航空、軍事技術、任務系統和太空探索。洛克希德·馬丁公司在2020年的銷售額為654億美元,在全球擁有約114,000名員工。
Lazarus是一個國家支持的黑客組織,與朝鮮有聯系。這個多產而復雜的組織通常以財務為動機,被認為是多起嚴重攻擊的幕后黑手,首先是“WannaCry”勒索軟件的爆發,以及針對孟加拉國銀行的8000萬美元的網絡盜取,針對貨運公司和韓國供應鏈的襲擊。
2月8日,Qualys威脅研究高級工程師Akshat Pradhan透露了一項使用洛克希德·馬丁公司的名字攻擊求職者的新活動。
與過去濫用諾斯羅普·格魯曼公司(Northrop Grumman)和BAE系統公司(BAE Systems)名聲的行為類似,Lazarus正在向目標發送網絡釣魚文件,假裝提供就業機會。
這些名為Lockheed_Martin_JobOpportunities.docx和salary_lockheed_martin_jobopportunities . secrets .doc的文檔包含惡意宏,這些宏會觸發shellcode來劫持控制流,并利用計劃任務功能長期駐留。
本地生存(LOLBins)也被濫用來進一步破壞目標機器。然而,當惡意腳本試圖引入進一步的有效載荷時,就會返回一個錯誤——所以Qualys不能確定惡意程序包的最終目的是什么。
普拉丹說:“我們將這次活動歸因于Lazarus,因為在宏內容、活動流程、釣魚主題等方面,和其他廠商認定的Lazarus較老變體相比,有很大的重疊。”
這不是Lazarus第一次利用求職者或職位空缺。F-Secure此前發現了偽裝成工作機會的網絡釣魚郵件樣本,這些郵件被發送給了某個加密貨幣組織的系統管理員。
在相關研究中,Outpost24的Blueliv網絡安全團隊將Lazarus、Cobalt和FIN7列為目前針對金融行業最常見的威脅組織。
摘自:
https://www.zdnet.com/article/lazarus-hackers-target-defense-industry-with-fake-lockheed-martin-job-offers/
(完)
