每日安全简讯

时间  2018年05月25日  来源:  安天

1 FBI关闭IoT VPNFilter僵尸网络关联域名

美国FBI在思科、网络威胁联盟(CTA)和美国执法机构周二公布IoT VPNFilter僵尸网络之后,周三关闭VPNFilter关联的两个相关域名。FBI认为VPNFilter与APT28有关,另外乌克兰首都基辅将于5月26日举办国际足球比赛,猜测与VPNFilter近期攻击乌克兰有关。

2 TalkTalk路由器存在漏洞可泄露WiFi密码

软件开发公司 IndigoFuzz 的研究人员指出,互联网服务提供商 TalkTalk 的超级路由器 (Super Router) 的 WPS 功能可遭攻陷,从而导致路由器无线密码被盗。虽然早在2014年TalkTalk 就已经获悉这个问题,但直到今天似乎仍然无动于衷。

3 勒索软件Crypton通过RDP服务实施攻击

研究人员发现Crypton勒索软件背后的攻击者通过远程桌面服务实施攻击,一旦攻击者获得计算机访问权限即会执行勒索软件并加密文件,加密成功后将“.ransomed@india.com”作为加密文件扩展名。

4 安全厂商发布IoT VPNFilter僵尸网络分析

安全厂商思科发布僵尸网络VPNFilter利用IoT路由器、NAS网络存储设备攻击活动分析,VPNFilter分为三个攻击阶段,第一阶段通过修改NVRAM然后调用linux定时任务命令crontab建立持久机制,即使IoT设备重启也不会消失;第二阶段的样本不具备持久性,从C2接收指令,安装Tor模块,具备破坏设备和代理功能;第三阶段的样本也不具备持久性,以插件的方式作业,包括流量嗅探和Tor通信等。Talos认为VPNFilter第一阶段的RC4加密代码与 BlackEnergy代码相同,而将攻击者归因于俄罗斯。VPNFilter 利用各国的命令和控制(C2)基础设施,在5月8日感染了很多乌克兰境内及多个国家主机。预估至少有 54 个国家遭入侵,受感染设备的数量至少为 50 万台。受影响的设备主要有小型和家庭办公室(SOHO)中使用的 Linksys、MikroTik、NETGEAR 和 TP-Link 路由器以及 QNAP 网络附加存储(NAS)设备。暂时尚未发现其他网络设备供应商受感染。

5 研究人员披露友讯路由器存在后门账号

安全厂商卡巴斯基的安全研究人员在友讯 DIR-620 路由器固件中发现了后门账号,允许攻击者控制受影响设备。该后门允许攻击者访问路由器的 Web 面板,而用户没有办法关闭这个秘密账号。唯一防止路由器被入侵的方法是避免路由器在 WAN 接口暴露管理面板。好消息是 DIR-620 路由器型号较旧,因此能被利用的设备并不多。大多数设备主要被俄罗斯、独联体和东欧的 ISP 部署使用。

6 统计显示私有软件使用开源代码比例增长

Black Duck Software 审计了超过 1000 个商业代码库,发现 96% 含有开源组件,平均每个程序含有 257 个组件,代码库里开源组件的比例从 36% 增长到了 57%,显示私有软件使用开源代码的比例在增长,很多私有程序包含的开源代码比私有代码更多。Black Duck 还发现,78% 的代码库包含至少一个与开源组件相关的安全漏洞,平均每个代码库发现 64 个漏洞。

以上详细内容请点击:http://bbs.antiy.cn/forum.php?mod=viewthread&tid=81567