安全資訊報告

研究人員解密Hive勒索軟體，恢復高達98%的加密檔案

韓國研究人員釋出了一種解密受Hive勒索軟體影響的檔案的方法，他們希望該方法能讓受該組織攻擊的組織恢復其資料。

研究人員分析了Hive的加密演算法並發現了一個漏洞，該漏洞允許從加密檔案中部分恢復加密主金鑰。根據國民大學金融資訊保安系的論文，該團隊恢復了95%的主金鑰，並用它來解密測試檔案中72%到98%的資料。

Kookmin團隊故意用Hive感染測試機器，然後使用隨機建立的資料集來測試主金鑰的恢復率。他們發現，如果檔案很小，他們需要分析大量受感染的檔案來恢復金鑰，但大檔案要少得多：需要6,400個平均21KB的檔案，而只有200個大約10MB的檔案才能恢復大約95%的檔案。主金鑰–或300個5MB檔案來檢索99%的金鑰。

然後，他們建立了一個包含50,000個檔案的資料集，並感染了Hive，以檢視其中有多少資料可以恢復。憑藉92.65%的主金鑰，他們能夠恢復72%的檔案資料；96.01%導致82%恢復；而96.56%的主金鑰可以讓他們恢復95%到98%的檔案。在大多數情況下，在嘗試解密受Hive勒索軟體影響的檔案時，每個檔案的開頭和結尾都是不可恢復的。

新聞來源：

https://thestack.technology/researchers-decrypt-hive-ransomware-recover-up-to-98-of-encrypted-files/

易受攻擊的Microsoft SQL Server遭遇Cobalt Strike木馬攻擊

安全研究人員觀察到在易受攻擊的Microsoft SQL Server上安裝Cobalt Strike信標的新一輪攻擊，會導致更深層次的滲透和隨後的惡意軟體感染。

已部署的SQLServer伺服器中許多沒有得到足夠的保護，通常以弱密碼公開暴露在網際網路上，根據AhnLab的一份報告，攻擊者正在利用這一點。

攻擊從掃描開放TCP埠1433的伺服器開始，這些伺服器可能是面向公眾的MS-SQL伺服器。然後攻擊者執行暴力破解和字典攻擊來破解密碼。

一旦攻擊者獲得對管理員帳戶的訪問許可權並登入伺服器，研究人員就會看到他們植入了LemonDuck、KingMiner和Vollgar等加密礦工。此外，攻擊者會使用CobaltStrike對伺服器植入後門，以建立永續性並執行橫向移動。

攻擊者如此濫用它的原因在於其豐富的功能，其中包括：命令執行、鍵盤記錄、檔案操作、SOCKS代理、許可權提升、Mimikatz（憑據竊取）、埠掃描。

此外，稱為“信標”的Cobalt Strike代理是無檔案的shellcode，因此被安全工具檢測到的機會降低了，尤其是在管理不善的系統中。

新聞來源：

https://www.bleepingcomputer.com/news/security/vulnerable-microsoft-sql-servers-targeted-with-cobalt-strike/

安全漏洞威脅

UpdraftPlus外掛中的漏洞暴露了數百萬個WordPress站點備份

2月16日，UpdraftPlus WordPress外掛的開發人員釋出了一個更新以解決CVE-2022-0633（CVSS得分為8.5），這個高危漏洞可以使具有訂閱者級別許可權的使用者也可以訪問使用UpdraftPlus建立的任何備份。

該問題與無法確保傳送心跳請求的使用者具有管理員許可權的功能有關。因此，據WordPress安全和效能公司Jetpack稱，它允許攻擊者製作惡意請求並檢索有關最新站點備份的資訊。

研究人員說，使用自定義隨機數和時間戳安全地識別站點備份，擁有這些的攻擊者可以訪問各種外掛功能。

研究人員還發現，由於該外掛沒有正確驗證使用者角色，即使是網站上具有最低許可權的帳戶也可以下載備份並獲得對網站資料庫的訪問許可權。

WordPress安全公司Defiant的Wordfence團隊表示，要使攻擊成功，攻擊者需要在目標系統上擁有一個活動帳戶，並且他們還需要欺騙透過電子郵件接收URL的請求，以便出現它來自不同的端點。

該團隊還解釋說，目前還沒有公開可用的針對該漏洞的概念驗證(PoC)漏洞利用程式碼，但警告說駭客可以迅速對該補丁進行逆向工程。

修補漏洞的UpdraftPlus版本1.22.3在問題報告給開發人員一天後釋出。由於漏洞的嚴重性，強制自動更新已被推送，並且大多數外掛安裝已更新為修補版本。

新聞來源：

https://www.securityweek.com/vulnerability-updraftplus-plugin-exposed-millions-wordpress-site-backups

Coinbase為“Market-Nuking（市場核攻擊）”安全漏洞支付25萬美元

加密貨幣交易所Coinbase支付了有史以來最大的漏洞賞金——25萬美元——用於被稱為“Market-Nuking（市場核彈）”的安全漏洞，該漏洞可能允許使用者出售他們不擁有的比特幣。

Coinbase證實，第三方研究人員於2月11日報告了危機級別的安全缺陷，並觸發了緊急事件響應，其中包括將平臺置於“僅取消模式”，此舉禁用了所有新交易。

Coinbase的一份事後報告稱，該漏洞的根本原因是零售經紀API端點中缺少邏輯驗證檢查，這使得使用者可以使用不匹配的源賬戶將交易提交到特定的訂單簿。

該公司表示：“如果該漏洞被大規模利用，一些緩解因素將限制該漏洞的影響，”並指出Coinbase交易所擁有自動價格保護斷路器和一個貿易監督團隊，持續監控其市場的健康和異常交易活動。

Coinbase表示，它在不到六小時的時間內糾正了該漏洞，“對客戶資金沒有任何影響”。“最終確定它從未被惡意利用。我們還實施了額外的檢查，以確保它不會再次發生，”Coinbase說，並指出它的嚴重性足以保證其有史以來最大的漏洞賞金支出。

新聞來源：

https://www.securityweek.com/coinbase-pays-250k-market-nuking-security-flaw