政府举措

国家电网收到攻击警报大增，需加快设备国产化

关键词：电网设备国产化

2019年3月委内瑞拉发生大面积停电事故，引起国际社会对电力网络安全的担忧。

全国政协经济委员会副主任曹培玺在2020年两会发言中透露，国家电网公司收到攻击警报相对于上一年度有较大增长，未来能源电力领域关键信息基础设施遭到攻击的风险将进一步增加。

对此他提出建议，加快国产化替代和新型基础设施建设，保障能源网络安全。

一要加快对我国能源电力关键信息基础设施网络的国产化替代，加强能源网络安全防护技术研究和应用，将关键软硬件技术掌控在自己手中。定期开展能源电力网络安全检查，及时封堵漏洞。

二要顺应数字时代要求，加快建设新型能源工业互联网基础设施，研发并掌握核心技术，加强标准建设并引导国际标准，加强能源行业海量数据资产的管理和开发，打牢数字时代能源网络安全的基础。（来源：中国经营网）

网络安全事件

报告显示僵尸网络会利用百度贴吧等常用服务进行管理

关键词：僵尸网络

奇虎安全研究人员报告，双枪恶意程序的僵尸网络利用国内的常用服务进行管理。该僵尸网络的数量超过了 10 万。研究人员观察到双枪恶意程序使用百度贴吧图片来分发配置文件和恶意软件，使用了阿里云存储来托管配置文件，利用百度统计管理感染主机的活跃情况，恶意程序样本中还多次发现了腾讯微云的 URL 地址。

近日，域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算，感染规模超过100k。研究人员通过告警域名关联到一批样本和 C2，分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击，但每次都能死灰复燃高调复出，可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大，导致互联网监测数据异常，触发了netlab的预警系统。

另外，还观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件，还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性，加大阻拦难度，开发者还利用百度统计这种常见的网络服务来管理感染主机的活跃情况。（来源：freebuf）

微软警告：PonyFinal勒索软件正在泛滥！印度、伊朗和美国均已中招

关键词：勒索软件泛滥

近日据外媒报道，微软安全团队发布了一份高危安全预警，警告全球各地的组织都需要开始部署保护措施，以防止这两个月来开始流行的新型勒索软件—PonyFinal。

据悉，微软在发布的一系列推文中表示， PonyFinal是一种基于Java的勒索软件，已开始被黑客们部署在人工勒索软件攻击中。据了解，人工勒索软件是勒索软件类别的一个子部分，在人为操作的勒索软件攻击中，黑客可以在破坏公司网络的同时开始自行部署勒索软件。

这与过去出现的经典勒索软件攻击方式相反，例如传统的勒索软件是通过电子垃圾邮件或工具包来分发勒索软件，这些过程的感染主要依赖于欺骗用户启动有效负载。

对此，微软表示，在大多数情况下PonyFinal的黑客们部署Visual Basic脚本，是由于PonyFinal是用Java语言编写，因此攻击者还会将目标锁定在安装了Java Runtime Environment（JRE）的工作站上。（来源：E安全）

思科 VPN 服务器遭黑客入侵

关键词：思科遭入侵

思科披露六台用于提供 VPN 服务的服务器遭黑客入侵，攻击者利用了 4 月底公开的 Salt 组件漏洞。思科的 Virtual Internet Routing Lab Personal Edition (VIRL-PE) 和 Cisco Modeling Labs Corporate Edition 都整合了 Salt 管理框架，而 Salt 在四月底披露了两个高危漏洞——目录遍历和身份验证绕过，两个漏洞组合允许未经授权访问整个服务器文件系统。思科在 5 月 7 日部署服务器时没有整合补丁，同一天它的服务器遭到了黑客入侵，然后同一天它把相关服务器都下线了。（来源：solidot）

黑客组织窃取ESET杀毒软件日志

关键词：ESET日志

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年1月，三个目标分别是国家议会和外交部，黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。

ComRAT 的最新版本是 v4，研究人员观察到了 ComRAT v4 的新变种包含了两项新功能：收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。

安全研究人员认为，黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来，他们可以进行调整以躲避检测。（来源：solidot）

泰国移动运营商泄露83亿互联网记录

关键词：泰国移动运营商

研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问，数据库包含大约 83 亿记录，容量约为 4.7 TB，每 24 小时增加 2 亿记录。

AIS 是泰国最大的 GSM 移动运营商，用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制，包括了 DNS 查询日志和 NetFlow 日志，这些数据可用于绘制一个用户的网络活动图。

研究人员尝试联系 AIS 但毫无结果，直到最后联络泰国国家计算机紧急响应小组之后数据库才无法公开访问。 （来源：solidot）

数据统计

科学家发现 26 个USB漏洞：Linux 18个、Windows 4个

关键词：USB漏洞

近日多名学术界人士表示，在Linux、macOS、Windows和FreeBSD等操作系统所使用的USB驱动堆栈中发现了26个新的漏洞。这支科研团队由普渡大学的Hui Peng、瑞士联邦理工学院洛桑分校的Mathias Payer带领，所有漏洞都是通过他们创建的新工具USBFuzz发现的。

这类工具被团队成员称之为“模糊器”（fuzzer）。模糊器是多款应用程序的集合，能够帮助安全研究人员将大量无效、意外或者随机数据输入其他应用程序。然后，安全研究人员分析被测试软件的行为方式，以发现新的bug，其中一些可能被恶意利用。

研究人员在FreeBSD中发现了一个bug，在MacOS中发现了三个（两个导致计划外重启，一个导致系统冻结），在Windows 8和Windows 10中发现了四个（导致死亡蓝屏）。

最严重的是针对Linux的，总共有18个。其中16个是针对Linux各个子系统（USB core, USB sound和net-work）的高危内存漏洞，此外还有1个是针对Linux的USB

host主控驱动，还有一个是USB摄像头驱动。

Peng和Payer表示，他们向Linux内核团队报告了这些bug，并提出了补丁建议，以减轻 “内核开发人员在修复报告的漏洞时的负担”。（来源：cnBeta）

研究：71%全球大公司网络可被新手黑客攻破，最短仅需30分钟

关键词：大公司网络并不安全

Positive Technologies公司基于2019年对28家公司信息系统做的保护性资料统计和渗透测试，发表研究结果称，低水平黑客能侵入71%被研究的全球大公司内网，且只需要半小时。

外部渗透测试期间，专家成功进入93%公司的局域网。大多数情况下用几种方式可以入侵这些公司的内网。专家称，“六分之一的公司发现受侵入痕迹——网络外围资源存在网络外壳、官网上附有有害链接或有效账户被泄露，这些说明基础设施可能已经受到黑客控制。”

与此同时，77%的入侵与软件安全漏洞有关，仅这一种方式就让86%的公司中招。还有一种方式是选择已泄露的账户信息入侵各种服务器，包括入侵数据库管理系统和远程访问部门。研究指出：“通过已知的软件安全漏洞可入侵39%公司的局域网，而通过零日漏洞可以入侵14%的公司。”

专家建议各大公司定期检查本公司的网络资源，出台制定密码的严格规定并保证规定得到遵守。除此之外，专家建议及时升级操作系统和软件。（来源：界面新闻）

漏洞速递

Sign in with Apple被爆高危漏洞：可远程劫持任意用户帐号

关键词：Sign in with Apple

近日苹果向印度漏洞安全研究专家Bhavuk Jain支付了高达10万美元的巨额赏金，原因就是他报告了存在于Sign in with Apple中的严重高危漏洞。Sign in with Apple（通过Apple登录），能让你利用现有的Apple ID快速、轻松地登录 App 和网站，目前该漏洞已经修复。

该漏洞允许远程攻击者绕过身份验证，接管目标用户在第三方服务和应用中使用Sign in with Apple创建的帐号。在接受外媒The Hacker News采访的时候，Bhavuk Jain表示在向苹果的身份验证服务器发出请求之前，苹果客户端验证用户方式上存在漏洞。

Bhavuk在上个月负责任地向苹果安全团队报告了这个问题，目前该公司已经对该漏洞进行了补丁。除了向研究人员支付了bug赏金外，该公司在回应中还确认，它对他们的服务器日志进行了调查，发现该漏洞没有被利用来危害任何账户。（来源：cnBeta）

关键词：Android设备漏洞

挪威应用安全公司Promon的研究人员本周披露了一个严重的Android漏洞，恶意软件可利用该漏洞劫持受害者设备上的几乎所有应用程序。

Promon透露已经发现了另一个类似的Adndroid漏洞，将其命名为StrandHogg 2.0（CVE-2020-0096），并称其为StrandHogg的“邪恶双胞胎”。

与StrandHogg1.0版本漏洞类似，StrandHogg 2.0可以被利用来劫持应用程序，但该公司警告说：“2.0版本可以进行更广泛的攻击，并且更难检测。”

恶意软件利用StrandHogg 2.0不需要任何权限，受害者只需执行恶意应用即可触发利用。如果利用成功，则攻击者可以滥用被劫持的应用程序来获取读取SMS消息，窃取文件，网络钓鱼登录凭据，跟踪设备的位置，拨打或记录电话以及通过电话的麦克风和间谍监视用户所需的特权。相机。（来源：网络）