2017年7月,著名服务器终端管理软件Xshell在发布的5.0 Build 1322官方版本中被植入后门,用户下载或更新到该版本均会中招。由于相关软件在国内程序开发和运维人员中被广泛使用,可能会导致大量用户服务器账号密码泄露。
无独有偶,2017年9月,著名系统优化工具CCleaner的某个版本被发现植入后门,大量使用该工具的用户将面临泄密风险。这是继Xshell后门事件后,又一起严重的软件供应链来源攻击事件。CCleaner是一款免费的系统优化和隐私保护工具,主要用来清除Windows系统不再使用的垃圾文件,以腾出更多硬盘空间,并且还具有清除上网记录等功能。
5.WPA2协议曝高危漏洞
2017年10月,国外研究人员Mathy Vanhoef在WPA2协议中发现严重安全漏洞,几乎影响所有Wi-Fi设备,当一台设备加入一个受保护的Wi-Fi网络时,一个名为四次握手的流程便会发生,这种“握手”会确保客户端与接入点都能拥有正确的登录信息,并生成一个新的加密密钥来保护网络流量。这个加密密钥会在四向握手的第三步安装,但如果接入点认为消息丢失,有时会重复发送相同的密钥。
研究发现,攻击者可以迫使接入点安装相同的加密密钥,这样便可借此攻击加密协议,并破解数据。攻击者可以利用 KRACK攻击读取敏感信息,如信用卡账号、密码、聊天信息、电子邮件、照片等。
6.蓝牙协议爆严重安全漏洞
2017年8月,物联网安全研究公司Armis在蓝牙协议中发现了8个零日漏洞,这些漏洞将影响超过53亿设备——从Android、iOS、Windows以及Linux系统设备到使用短距离无线通信技术的物联网设备,利用这些蓝牙协议漏洞,Armis构建了一组攻击向量(attack vector)“BlueBorne”,演示中攻击者完全接管支持蓝牙的设备,传播恶意软件,甚至建立一个“中间人”(MITM)连接。
7.BadRabbit突袭东欧
2017年10月,新型勒索病毒BadRabbit在东欧爆发,乌克兰、俄罗斯等企业及基础设施受灾严重。该病毒会伪装成flash_player,诱导用户下载,当用户下载后,病毒会加密特定格式文件,修改MBR,并索要比特币。BadRabbit可以通过弱口令和漏洞在局域网扩散,成为勒索病毒蠕虫化的典型代表。
8.大量家庭摄像头被入侵
2017年6月,央视曝光大量家庭摄像头遭入侵。很多人家里都装有智能摄像头,下载一个相关联的应用程序,就可以随时用手机查看家里情况,但是由于很多智能摄像头存在弱口令、漏洞等问题,导致大量家庭摄像头遭入侵。一旦攻击者入侵成功,便可以远程观看受害者家中视频。
9.FireBall火球病毒感染超过2.5亿电脑
2017年6月,由中国商业公司控制的Fireball(火球)病毒,感染全球约2.5亿部计算机,感染最严重的国家是印度、巴西和墨西哥。火球病毒通过捆绑正常软件传播,中毒电脑浏览器主页、默认搜索页会被锁定且难以更改,黑客利用广告插件植入广告获利,去年一年获利近8000万元。
(二)2017年APT攻击事件1.白象APT组织
白象APT组织,又称摩诃草组织(APT-C-09)、丰收行动、HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork。该组织是一个来自于南亚地区的境外APT组织,最早由安全公司Norman于2013年曝光。该组织在针对中国地区的攻击中,主要针对政府机构与科研教育领域。
中国在过去五年持续遭到白象APT组织的网络攻击,该组织主要使用鱼叉攻击,同时也使用基于即时通讯工具和社交网络作为恶意代码的投递途径。其攻击使用的恶意代码主要针对Windows系统,整个攻击过程使用了大量系统漏洞,其中至少包括一次0day漏洞攻击。
2、越南背景APT32攻击亚洲国家
APT32又称海莲花、OceanLotus、APT32,有信息表明该组织为越南背景,主要针对东南亚国家进行攻击,其中包括越南周边国家的政府、公司等机构,越南被攻击的主要目标为,跨国公司在越南的分公司和全球咨询公司在越南的办事处,以及持不同政见者和记者。
2012年开始攻击中国的政府、海事机构、科研院所、航运企业等。主要通过水坑攻击和鱼叉邮件进行攻击。水坑攻击下载的样本伪装为浏览器和flash更新、字体等。鱼叉邮件攻击中所发送的邮件附件,文件名非常具有针对性,预先对国内时事热点和被攻击单位业务进行了一定的了解,攻击成功率高。
攻击主要特点为:
(1)善于使用白利用,曾利用过谷歌、赛门铁克等公司带有数字签名的软件。
(2)攻击网站较为明目张胆,替换下载链接,植入恶意脚本,伪装flash更新,伪装字体。
(3)定制后门和开源工具相结合,善于使用Meterpreter、Cobalt Strike。
(4)掌握的资源较丰富,提前收集过被攻击者的情报,善于使用社工。
3、Turla监视全球领事馆和大使馆