1 厂商揭示TRITON框架攻击工控系统技术细节
TRITON 攻击始于IT网络渗透,其攻击方法已有很多分析,易于检测。然后,通过可访问两种环境的系统迁移到OT(运营技术)网络,一旦进入OT网络,攻击者就可感染 SIS 系统的工程工作站。感染可能通过社工技术,使工程师接收或下载具有合法文件名的释放程序(dropper),dropper文件是一个干净的可执行文件,处理与Triconex 及其日志记录功能相关的内容(TRIconex LOGging filename)。释放程序的主要目的是将恶意负载投放到目标系统,释放程序执行后很快连接到目标Triconex系统,将真正的恶意载荷代码注入到其内存当中。恶意载荷由两个独立的二进制文件组成,分别名为 inject.bin和 imain.bin。释放程序读取这两个文件,将其注入Triconex的内存中并执行。 释放程序用Python开发,并在 trilog.exe 可执行文件中编译。攻击者对TriStation协议进行了逆向工程,在释放程序中用它来完成与目标设备的交互。 研究人员通过以下步骤对TRITON的投放进行研究:获得 TRITON工程工具集,获得Triconex控制器,对 TriStation 套件进行逆向工程,发现未记录的高级用户,分析TriStation协议,解析Triconex硬件定义,了解TriStation协议栈实现。最后利用TRITON直接读、写、执行TriStation内存。此次未成功的原因是植入到 Triconex系统后,系统的主处理器之一触发了冗余警报,三个主处理器启动安全关闭协议。
https://threatpost.com/understan ... f-theattack/134895/
2 勒索软件Princess新变种将转型为RaaS形式
7月25日以来,研究人员发现恶意广告活动在利用Rig漏洞利用包 传播挖矿恶意软件及勒索软件GandCrab。8月1日,趋势科技研究人员在Rig的流量中发现了一种未知勒索软件,通过深入研究并检查Tor网络中的赎金支付页面,被检测为RANSOM_PRINCESSLOCKER.B,这是在2016年出现的Princess Locker勒索软件的新版本Princess Evolution,根据地下论坛正在发布的广告可知,运营商似乎在不断进化,并正在把勒索软件作为服务 (RaaS)寻找附属公司。Princess Evolution对系统上的文件进行加密,并将原始文件扩展到随机生成的字符串。与之前版本的重大变化是使用用户数据报协议(UDP)来进行命令和控制(C&C)通信。UDP在发送数据之前无需建立连接,所以传输和发送数据的速度更快。它的加密程序包括使用XOR和AES算法来打乱文件的第一块数据块,用AES加密文件其余部分。Princess Locker产生一个随机的XOR密钥(0x80字节),另一个在AES-128算法中,并将这些密钥连同受感染计算机的用户名,活动网络接口的名称,系统的区域设置ID(LCID),操作系统版本(OS),受害者身份证,在Windows注册的安全软件,程序启动时的时间戳信息,通过UDP6901端口发送到167.114.195[.]0/23。Princess Evolution的C&C通信方法类似于Cerber的方法。趋势科技表示应保持系统及其应用程序的修补,并深入实施防御以抵抗勒索软件所带来的威胁。
https://blog.trendmicro.com/tren ... ing-for-affiliates/
3 研究人员认为近期系列网络攻击与朝鲜有关
研究人员们通过最近几个月对从Mydoom变种Brambul到最近的Fallchill,WannaCry以及对加密货币交换的目标等事件着重进行代码的分析,说明归属于朝鲜的样本、共享网络基础设施和隐藏在二进制文件中的其他暴露数据之间的关键相似之处,从一系列的攻击事件时间点可以看出一个明显的时间表,并结合朝鲜的国家背景,一系列证据都在指向朝鲜。攻击使用了大量的重用代码,包括通用SMB模块、通用文件映射、独特的网络共享、DarkHotel操作,这些代码仅在归因于朝鲜的恶意软件中才会出现。
https://www.intezer.com/examinin ... s-malware-families/
4 智能灌溉系统僵尸网络可危及城市供水服务
以色列本-古里安大学的安全研究人员警告,多个智能灌溉系统存在漏洞,可能被利用构造僵尸网络,对城市供水系统进行协同DDOS攻击。研究人员测试了三种最畅销的智能灌溉系统:GreenIQ,BlueSpray和RainMachine智能灌溉系统。发现通过同时应用利用此类漏洞的分布式攻击,1355个智能灌溉系统的僵尸网络可以在一小时内清空城市水塔,并且23,866个智能灌溉系统的僵尸网络可以在一夜之间清空水库。在这项研究中,研究人员提出了一种针对城市供水服务的更容易的新攻击,使用智能灌溉监管系统的僵尸网络。并进行了相应的攻击演示,在15分钟之内将受感染的设备上连接到局域网灌溉系统,通过一组会话劫持和重放攻击开启浇水。研究人员Nassi称被用于对关键基础设施监管的物联网设备包含严重的安全漏洞,很快将成为攻击者的主要目标。
https://www.helpnetsecurity.com/ ... irrigation-systems/
Piping Botnet - Turning Green Technology into a Water Disaster.pdf
(2.15 MB, 下载次数: 26)
5 BIND DNS存在可被攻击者远程利用的缺陷
互联网系统联盟(ISC)宣布BIND DNS软件存在可被远程攻击者利用并导致拒绝服务(DoS)攻击的严重安全漏洞。该漏洞由剑桥大学的Tony Finch发现,被追踪为CVE-2018-5740。专家称该漏洞仅影响具有“deny-answer-aliases”功能的服务器,该功能默认情况下禁止使用的,实施此功能是为了帮助归服务器运营商保护最终用户免受DNS重新绑定攻击,这是一种绕过客户端浏览器使用的安全模型的潜在方法。DNS重新绑定阵营允许任何网站创建允许与之通信的DNS名称,然后将其解析为localhost,远程黑客滥用目标用户的浏览器直接连接本地网络上的主机并利用这些系统中的漏洞。该漏洞现已影响了BIND的多个版本,ISC发布的安全补丁已在部分的版本中实现应用,还提供了一些列方法包括禁用该功能。
https://securityaffairs.co/wordp ... s-software-dos.html
6 安全团队称四类智能城市系统存在大量漏洞
IBM's X-Force Red Team在Black Hat发布称,通过研究了四种智能城市系统的常见设备,共发现包括9个关键性的17个漏洞,这些产品包括ICS组件、与联网汽车一起使用的设备,以及其他控制各种传感器的产品。安全漏洞包括被发现暴露在互联网上的设备,开源软件附带了一个容易找到的硬编码用户名和密码,包含的shell缺陷可能会给攻击者提供root特权。研究主管Crowley为了显示潜在攻击的物理将带来的严重后果,用Meshlium物联网网关模拟控制河流水位的大坝进行了演示实验,由于Meshlium外壳缺陷,可对其破解并输入错误的读数,导致大坝泄洪。Crowley称供应商一旦知晓漏洞,可在任何情况下快速发布补丁,但供应商没有采取基本的安全措施来保护这些关键产品。以下为IBM团队发现漏洞: CVE-2018-10627、CVE-2018-8859、CVE-2018-8855、CVE-2018-8851、CVE-2018-1000625、CVE-2018-1000624、CVE-2018-1000630、CVE-2018-1000626、 CVE-2018-1000627、 CVE-2018-1000628、CVE-2018-1000629、CVE-2018-1000631。
https://www.scmagazine.com/black ... ems/article/787136/
|
发表于 2018-8-10 21:36
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡