安全資訊報告

紐西蘭最大網路安全危機本可避免？DHB在遭襲前近半年已收到提醒

今年5月的網路攻擊中，黑客關閉了懷卡託DHB的數百臺伺服器，導致一些癌症患者被轉移至其他地區，選擇性手術被推遲，患者和工作人員的資訊被傳至暗網。

RNZ報導，一份標註日期為2020年12月的內部網路安全檔案曾提醒懷卡託DHB，稱其IT系統安全性不足，且已遭到嚴重破壞。

今年5月18日，懷卡託DHB的計算機和手機等IT系統遭嚴重網路攻擊，當地多所醫院受到影響。這是紐西蘭歷史上最嚴重的網路攻擊事件，當時甚至上升到了國家危機的高度。

也就是說，早在網路攻擊發生前大約半年，懷卡託DHB就收到了提醒。

報告還指出，由於缺乏相關培訓，員工對IT系統會構成無意的威脅。

然而，懷卡託DHB表示，該戰略只是一份草案，是一項更廣泛數字戰略的一部分。今年5月18日黑客發動襲擊時，DHB的委員們正要聽取這項戰略的意見。

這份32頁的報告指出了懷卡託DHB存在的諸多問題：

• 在一些系統上執行老舊的WindowsXP，該作業系統釋出於2001年，過去五年沒有得到過安全支援；

• 依賴於防火牆、遮蔽和惡意軟體保護等“周邊安全”(perimeter security)措施，而隨著DHB轉向雲服務，這些措施已經過時；

• 多個不相容的IT應用程式並存，其中大多非常陳舊，得到的支援也很差，有的甚至沒有支援；

• 在打補丁、安裝關鍵軟體更新方面落後於安全性目標；

• 沒有足夠的專業人員管理和協調IT安全，沒有網路安全專家，對網路安全的投資沒有得到優先考慮；

• 沒有持續監控雲服務，以檢測可疑行為；

• 沒有針對IT安全領域，為員工制定合適的政策或培訓計劃。

新聞來源： 

https://www.chineseherald.co.nz/news/new-zealand/dhb-warned/

Windows 10許可權提升零日獲得非官方修復

研究人員警告說，CVE-2021-34484（Windows User Profile Service的特權提升漏洞）可以通過補丁繞過來利用，該漏洞最初由微軟於8月解決。漏洞的CVSS評分為7.8重要等級。

Windows中一個部分未修補的安全漏洞可能允許從普通使用者本地許可權升級到系統，但微軟仍未完全解決——來自oPatch的非官方補丁已經出現。

該漏洞(CVE-2021-34484)最初是作為微軟8月補丁星期二更新的一部分披露和修補的。當時，它被歸類為一個被認為是低優先順序的任意目錄刪除問題，因為攻擊者需要在本地登入目標計算機才能利用它，從理論上講，這將允許攻擊者以任何方式刪除資料夾。

安全研究人員Abdelhamid Naceri發現該漏洞也可以用於特權升級，這是一個完全不同的漏洞利用。特權提升後，攻擊者可能訪問網路其他部分的資源、資料庫和伺服器。

Abdelhamid還檢視了Microsoft的原始補丁，隨後通過對他開發的漏洞利用程式碼進行簡單調整找到了繞過它的方法，基本上將其恢復到零日狀態。該漏洞影響Windows 10（32位和64位）版本v21H1、v20H2、v2004和v1909；以及Windows Server 2019 64位

新聞來源： 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34484

對抗勒索軟體的10大網路安全最佳實踐

Veritas Technologies的資料保護專家Sonya Duffin提供了構建多層彈性配置檔案的十大步驟。

1.提示系統升級和軟體更新

使用過時的軟體可能允許攻擊者利用未緩解的安全漏洞。為了減少攻擊面，請確保經常修補和升級所有基礎設施、作業系統和軟體應用程式。更新備份應用程式也很重要。不要用昨天的技術對抗今天的勒索軟體。

2.實施3-2-1備份規則

如果您經常備份資料、系統映像和配置，那麼在勒索軟體確實發生時，您將始終有一個最新的位置來恢復操作。更好的是，通過使用3-2-1備份規則分散資料，更進一步避免單點故障。

3.實施零信任模型

零信任模型是一種專注於不信任任何裝置或使用者的心態，即使它們預設位於公司網路內。

不僅需要密碼（是的，即使它又長又複雜），還需要多因素身份驗證(MFA)和基於角色的訪問控制(RBAC)，監控和減輕惡意活動，並加密傳輸中的資料和靜止狀態，這會使洩露的資料無法使用。

4.網路分割

攻擊者喜歡單一連續、扁平的網路。這意味著它們可以輕鬆地分佈在您的整個基礎架構中。

阻止攻擊者並顯著減少其攻擊面的有效方法是網路分段和微分段。使用此模型，網路被劃分為多個較小網路區域，並且訪問受到管理和限制，尤其是對您最重要的資料的訪問。

5.端點可見性

大多陣列織嚴重缺乏對遠端端點的可見性。現在，不良行為者越過前線安全人員並閒逛已成為一種常見做法-保持休眠足夠長的時間以定位弱點並找到適當的時間進行攻擊。至關重要的是，您必須實施能夠在整個環境中提供完整可見性、檢測異常情況、尋找網路上的惡意活動並向您發出警報的工具，從而使勒索軟體無處可藏。這將幫助您在不良行為者有機會採取行動之前減輕威脅和漏洞。

6.不可變和不可磨滅的儲存

如前所述，保護您的資料免受勒索軟體侵害的最佳方法之一是實施不可變和不可擦除的儲存，以確保在確定的時間內無法更改、加密或刪除資料。然而，“不可變儲存”一詞如今已成為備份供應商的流行詞。尋找不僅是邏輯上的不變性，還包括物理不變性，並且包含內建安全層很重要。

7.快速恢復

可以通過靈活的替代選項（例如在公共雲提供商上快速建立資料中心）來協調和自動化恢復，這可以縮短停機時間並提供支付贖金的替代方案。有了正確的系統，如有必要，恢復時間可以減少到幾秒鐘。

8.定期測試和驗證

制定全面的資料保護計劃並不意味著您的工作已經完成。測試可確保您的計劃在您需要時發揮作用。雖然初始測試可以確認計劃的所有方面確實有效，但定期測試很重要，因為IT環境不斷變化。

9.受過教育的員工

眾所周知，員工通常是攻擊的門戶。現代網路釣魚攻擊和社會工程現在非常先進，以至於經常欺騙安全專業人員。

相反，專注於培訓員工識別網路釣魚和社會工程策略；建立強密碼；安全瀏覽；利用MFA；並始終使用安全的VPN，從不使用公共Wi-Fi。還要確保員工知道該怎麼做以及如果他們成為受害者，應該向誰發出警報。

10.網路攻擊手冊

建立一個標準的網路攻擊手冊，在緊急情況下闡明角色，並通過清晰的通訊路徑和響應協議協調和授權跨職能團隊。

您有能力採取重要措施打擊勒索軟體並扭轉網路犯罪分子的局面。通過整合包含上述最佳實踐和無可挑剔的網路安全衛生的多層勒索軟體彈性策略，您可以在攻擊者站穩腳跟之前阻止他們。

新聞來源： 

https://threatpost.com/cybersecurity-best-practices-ransomware/176316/

數以百萬計的路由器和物聯網裝置面臨新型開源惡意軟體的風險

研究人員發現，用谷歌的開源程式語言編寫的難以檢測和編寫的新出現的惡意軟體有可能利用數百萬個路由器和物聯網裝置。

Alien Labs的安全研究員Ofer Caspi在週四發表的一篇部落格文章中寫道，由AT&T AlienLabs的研究人員發現，BotenaGo可以利用30多種不同的漏洞來攻擊目標。

該惡意軟體是用Golang（谷歌於2007年首次釋出的一種語言）編寫的，它通過為裝置建立後門來工作。他寫道，然後它等待通過埠19412或從執行在同一臺機器上的另一個相關模組接收來自遠端操作員的攻擊目標。

提供分析惡意軟體平臺的Intezer的研究表明，在野外發現的用Go編寫的惡意軟體程式碼增加了2,000%，他寫道。

研究人員表示，此時他們不知道哪個或哪些威脅參與者開發了BotenaGo，也不知道易受惡意軟體攻擊的裝置的全部規模。Caspi寫道，到目前為止，防病毒保護似乎也無法識別惡意軟體，有時會將其誤認為是Mirai惡意軟體的變種。

新聞來源： 

https://threatpost.com/routers-iot-open-source-malware/176270/

安全公司因等待12個月披露Palo Alto 0day而面臨強烈反對

網路安全社群內對Randori進行了大量辯論，Randori是一家安全公司，該公司等了一年才披露在Palo Alto Networks的GlobalProtect VPN中發現的關鍵緩衝區溢位錯誤。

ZDNet首次報告了嚴重等級為9.8的零日漏洞，允許在產品的易受攻擊的安裝上進行未經身份驗證的遠端程式碼執行。

該問題影響了8.1.17之前的PAN-OS8.1的多個版本，Randori表示，它發現在面向網際網路的資產中暴露了許多易受攻擊的例項，超過70,000個資產。許多財富500強公司和其他全球企業都在使用它。

Randori的首席科學家Aaron Portnoy向ZDNet解釋說，在2020年10月，他的團隊的任務是研究GlobalProtect Portal VPN的漏洞。到2020年11月，他的團隊發現了CVE-2021-3064，開始授權利用Randori客戶，併成功地將其登陸他們的一個客戶——通過網際網路——而不僅僅是在實驗室中。

根據他們提供的時間表，他們直到幾周前才通知Palo Alto Networks。其他人對Randori在紅隊演習中使用0-day的決定提出異議，其他人質疑他們是否為了進一步宣傳他們的工作和業務而推遲釋出該問題的通知。儘管遭到強烈反對，但有些人還是為蘭多裡辯護，認為他們的行為司空見慣。

新聞來源： 

https://www.zdnet.com/article/security-company-faces-backlash-for-waiting-12-months-to-disclose-palo-alto-0-day/

勒索軟體攻擊變得越來越複雜，甚至更難預防

勒索軟體攻擊者正在探索已知的常見漏洞和暴露(CVE)中的弱點並迅速利用它們，以比供應商團隊修補它們的速度更快地發起攻擊。不幸的是，勒索軟體攻擊者還使攻擊變得更加複雜、成本高昂且難以識別和阻止，以比企業反應更快的速度針對潛在目標的弱點採取行動。

最近的兩項研究——Ivanti與Cyber Security Works和Cyware合作進行的最新勒索軟體報告，以及Forrester Consulting代表Cyware進行的第二項研究——表明企業識別勒索軟體威脅的速度與網路攻擊的速度之間存在越來越大的差距。這兩項研究都對企業在識別和阻止勒索軟體攻擊方面的落後程度進行了嚴格的評估。

勒索軟體攻擊者正在以越來越快的速度擴充套件他們的攻擊武器庫，並迅速採用新技術。2021年第3季度勒索軟體指數更新確定勒索軟體組織在第3季度通過12個新的漏洞關聯擴大了他們的攻擊庫，是上一季度的兩倍。正在採用更新、更復雜的攻擊技術，包括木馬即服務和投放器即服務(DaaS)。此外，在過去的一年裡，更多的勒索軟體程式碼在網上洩露，因為更高階的網路犯罪分子希望招募不太先進的團伙作為其勒索軟體網路的一部分。

勒索軟體仍然是2021年增長最快的網路攻擊策略之一。僅在2021年第三季度，與勒索軟體相關的已知漏洞數量就從266個增加到278個。被積極利用以發起攻擊的趨勢漏洞也增加了4.5%，總數達到140個。此外，Ivanti的索引更新在第三季度發現了5個新的勒索軟體系列，使全球勒索軟體系列的總數達到151個。

勒索軟體組織正在挖掘已知的CVE，以在將CVE新增到國家漏洞資料庫(NVD)併發布補丁之前發現並利用零日漏洞：2021年之前建立的258個CVE現在與基於最近的攻擊模式的勒索軟體相關聯。大量遺留CVE進一步說明了勒索軟體攻擊者如何利用過去的CVE弱點。這是當今追蹤到的與勒索軟體相關的所有漏洞的92.4%。

新聞來源： 

https://venturebeat.com/2021/11/13/ransomware-attacks-are-getting-more-complex-and-even-harder-to-prevent/