5月第2周業務風控關注 | 央行：嚴禁未經授權認可的APP接入徵信系統

易盾業務風控週報每週呈報值得關注的安全技術和事件，包括但不限於內容安全、移動安全、業務安全和網路安全，幫助企業提高警惕，規避這些似小實大、影響業務健康發展的安全風險。

1．央行：嚴禁未經授權認可的APP接入徵信系統

隨著個人徵信統一市場的建立，徵信資訊保安納上日程。央行在近期釋出的一份通知中要求，徵信執行機構和接入機構未經授權嚴禁查詢徵信報告，嚴禁未經授權認可的APP接入徵信系統。此外，要求成立徵信資訊保安工作領導小組，明確領導層中分管徵信工作的負責人為第一責任人。

2．Synack 勒索軟體利用多種高階技術躲避檢測

近日，研究人員發現SynAck勒索軟體的最新變種利用多種新穎且複雜的技術躲避檢測。通常情況下，為了能夠在被感染系統中存在更長的時間，攻擊者通常會新增多種防禦技術來識別檢測工具的審查。SynAck 勒索軟體就部署了“常用技術”，併為新的變種新增了 ProcessDoppelgänging程式碼注入技術。這種技術最早出現在2017 Black Hat歐洲大會上，利用這種技術的攻擊方式對所有Windows平臺都有效，而且能夠攻擊主流的安全產品。利用這項技術，SynAck勒索軟體能夠偽裝成儲存在磁碟上的合法程式，最終執行惡意程式碼，且不會更改可能引發警報的檔案。此外，SynAck 還使用混淆技術、常見識別技術，甚至還會測試目標系統的鍵盤語言設定，來躲避檢測。

3.網路安全公司發現門羅幣挖礦的新型病毒“Kitty”

近日，網路安全公司ImpervaIncapsula發現門羅幣（XMR）挖礦的新型病毒“Kitty”。據悉，該病毒利用的是Drupal 2018年3月8日發表的更新版本中的遠端執行程式碼漏洞（CVE-2018-7600）。這種新型病毒從4月上旬被發現後便以各種形式進行攻擊。如果感染此病毒，其便會與伺服器繫結，開始啟動叫做“kkworker”的門羅幣挖礦程式。

4. 殭屍網路在裝置重啟的情況下依然有效

安全研究人員發現了第一個能夠在裝置重啟後駐足系統的物聯網殭屍病毒，它在攻擊系統後能夠保留在裝置上。這是IoT殭屍病毒的重大改變，以往的病毒，裝置使用者只需要重啟裝置就可以移除那些病毒。重啟操作會重新整理裝置快閃記憶體，裝置的所有工作資料也是保留在記憶體中的，包括那些病毒。但現在，Bitdefender的研究人員宣佈他們發現了一種物聯網惡意軟體，在某些情況下會複製到/etc/init.d/，這個路徑被Linux系統用來放置守護程式指令碼，通過把病毒置於其中，裝置在重新啟動後會自動啟動惡意軟體的程式。

5．開發者誤讀晶片廠商除錯文件導致出現新核心漏洞

美國電腦保安應急響應中心(以下簡稱CERT)日前釋出公告稱，Windows、macOS、Red Hat、Ubuntu、SUSE Linux、FreeBSD、VMware和Xen等系統都可能受到一個重大安全漏洞（CVE-2018-8897）的影響，這個漏洞是由於作業系統開發者曲解了英特爾和AMD兩大晶片廠商的除錯文件所致。

6. 高危漏洞可致海康威視攝像頭、DVR及賬戶被遠端劫持

海康威視又爆漏洞，這次的漏洞是hik-connect.com的身份認證安全問題。如果該漏洞被利用，攻擊者可訪問、操作並劫持其他使用者的裝置。

該漏洞的發現者Stykas給海康威視DVR做韌體更新時發現，Hik-connect雲服務可以不用路由器埠轉發就直接訪問攝像頭，且cookie值缺乏有效驗證。

7. 哥本哈根的共享單車系統Bycyklen遭到黑客攻擊

哥本哈根整個城市1,860部自行車無法在週五到週六期間無法使用。現在尚不清楚黑客身份以及具體哪個漏洞被利用，但是有跡象表明這名攻擊者對系統瞭如指掌。Bycyklen表示，黑客並沒有竊取資料，而是直接攻擊使得整個系統癱瘓。Bycyklen不得不手動升級修復城市裡每一輛自行車。Bycyklen同時申明自己並未儲存使用者的支付資訊，而使用者的個人資訊都被加密儲存，即使自身員工也無法檢視。儘管如此，Bycyklen依然督促使用者修改自己的密碼。

8. 手機APT攻擊興起

在上週拉斯維加斯舉行的InteropITX會議上，Lookout的安全副總裁Mike Murray認為現代手機已經成為了各種攻擊的入口。

Murray用Verizon最近的2018資料洩露報告引證，指出釣魚和簡訊詐騙已經成為社會工程攻擊的常用手段——而這兩種攻擊方式都能通過手機進行。Murray還特別指出兩大組織NSO Group和Dark Caracal專注於手機APT攻擊竊取資訊。Murray表示，不同於電腦APT攻擊者在起初的時候技術尚不成熟，手機APT攻擊者可以通過從電腦端累積的經驗很快成為優秀的攻擊發起者，而防禦方需要以更快的速度來應對攻擊。