5th域安全微讯早报【20240530】130期
2024-05-30 星期四 Vol-2024-130
今日热点导读
1. 美国NIST推出ARIA计划:提升人工智能风险评估与影响分析
2. 美国国防部提出新规:加强承包商网络安全评估
3. 英国政府被敦促发布选举人工智能指南以防虚假信息
4. 俄罗斯加强打击深度伪造技术的刑事责任
5. Meta报告:欧盟选举干预多来自国内非俄罗斯
6. 乌克兰签署新安全协议,寻求西方长期支持应对俄罗斯
7. 德国准备动用网络外交工具箱应对俄罗斯黑客攻击
8. BlackSuit勒索软件团伙泄露攻击数据,针对关键行业
9. Eclipse ThreadX中的漏洞可能导致代码执行
10. Check Point发布紧急修复补丁,阻止VPN零日漏洞攻击
11. RoboForm密码生成器存在漏洞
12. 利用Cloudflare Workers进行网络钓鱼:透明网络钓鱼和HTML走私
13. Kiteshield Packer正被Linux网络威胁者滥用
14. "免费钢琴"钓鱼攻击瞄准美国大学生和员工
15. 量子技术兴起引发新型网络安全威胁
16. Windows Defender绕过工具在GitHub上分享
资讯详情
政策法规
1. 美国NIST推出ARIA计划:提升人工智能风险评估与影响分析
美国国家标准与技术研究院(NIST)推出了“人工智能风险与影响评估”(ARIA) 计划,旨在通过测试、评估、确认和验证(TEVV)方法,增强对人工智能能力和影响的理解。ARIA计划评估人工智能系统在现实世界中的社会风险和影响,特别是其有效性、可靠性、安全性、隐私保护和公平性。该计划支持美国AI安全研究所的工作,致力于建立可靠、值得信赖的AI系统。ARIA是对拜登总统关于安全、可靠和值得信赖的人工智能行政命令的回应,扩展了NIST去年发布的AI风险管理框架。ARIA计划将重点关注大型语言模型(LLM)相关的风险和影响,采用模型测试、红队测试和现场测试三层评估方法。该计划还将创建定性和定量的指标,衡量模型在特定使用环境中的风险和影响。NIST将与参与者密切合作,开发这些指标,并公开评估结果。ARIA计划不仅支持NIST和美国AI安全研究所的工作,还将帮助组织和个人了解和降低AI风险,实现AI技术的安全和可靠应用。
来源:https://industrialcyber.co/ai/nist-launches-aria-program-to-assess-societal-impacts-ensure-trustworthy-ai-systems/
2. 美国国防部提出新规:加强承包商网络安全评估
美国国防部已向管理和预算办公室(OMB)提交一项提案,根据《文书工作减少法案》评估承包商对网络安全要求的遵守情况。这项计划符合《2020 财年国防授权法案》第1648条的规定,旨在为国防工业基础(DIB)部门建立基于风险的网络安全框架。通过收集信息,国防部将评估供应链中的漏洞,并确保未完全实施NIST SP 800-171安全要求的承包商立即采取纠正措施。该要求已在国防联邦采购条例补充(DFARS)中实施,通过招标条款和合同条款强化承包商对NIST SP 800-171的遵守。计划的实施涉及每年对11,686名受访者进行评估,预计每份回复的平均负担时间为4.92小时。该条款要求承包商提供其设施、系统和人员的访问权限,以便进行必要的中级或高级评估。中级评估由项目管理办公室和国防合同管理局(DCMA)进行,高级评估则由DCMA进行或与其联合进行。NIST发布了最新的SP 800-171r3和SP 800-171Ar3,涵盖保护受控非机密信息(CUI)的最新安全要求和评估程序,提供了更清晰的指导和实施支持。
来源:https://industrialcyber.co/risk-management/dod-issues-information-collection-requirements-for-assessing-contractor-compliance-with-cybersecurity-standards/
3. 英国政府被敦促发布选举人工智能指南以防虚假信息
艾伦图灵研究所呼吁英国政府在即将于7月4日举行的全国大选前发布人工智能使用指南,以防止虚假和误导性信息的传播。研究人员警告,尽管人工智能对特定选举结果的直接影响有限,但其在竞选环境中的应用可能带来严重的二阶风险,如两极分化和对网络消息来源的信任破坏。报告建议政府发布指导意见,明确要求政党标记人工智能生成的内容,提供深度伪造检测工具列表,并建立实时存储库供选民识别。艾伦图灵研究所强调,随着选举临近,监管机构必须迅速行动,确保选举公正性,并帮助公众区分事实与虚构。此前,英国议会科学、创新和技术委员会已就人工智能发展提出警示,强调了人工智能系统的多项风险,并呼吁政府在必要时出台专门的人工智能法律。
来源:https://www.govinfosecurity.com/uk-government-urged-to-publish-guidance-for-electoral-ai-a-25347
4. 俄罗斯加强打击深度伪造技术的刑事责任
俄罗斯国家杜马即将审议一项新法案,旨在对非法使用公民的图像、声音和生物识别数据的行为追究刑事责任。这项由劳工、社会政策和退伍军人事务委员会主席雅罗斯拉夫·尼洛夫发起的法案,将对深度伪造技术(包括数字面具)的使用建立更严格的惩罚措施。法案涉及俄罗斯联邦刑法中的“诽谤”、“盗窃”、“欺诈”、“勒索”和“造成财产损失”等条款。法案指出,随着计算机技术的发展,特别是现代软件、硬件系统、神经网络和人工智能的使用,基于图像和声音样本创建难以与现实区分的视频和音频材料变得可能。这导致了深度伪造技术被用于欺诈活动,需要加强法律监管。根据法案规定,非法使用深度伪造技术的肇事者将面临最高150万卢布的罚款或最高两年的其他收入罚款,或最高七年监禁。雅罗斯拉夫·尼洛夫强调,此举是为了回应深度造假技术在欺诈中的使用,以及去年与总统直接沟通时所证明的问题。目前,该法案尚未提交审查。
来源:https://www.securitylab.ru/news/548706.php
安全事件
5. Meta报告:欧盟选举干预多来自国内非俄罗斯
社交媒体平台Meta在其季度威胁报告中指出,尽管存在对俄罗斯干预即将到来的欧洲议会选举的担忧,但近期欧洲的多数干预活动实际上源自俄罗斯国内。报告中提到的Doppelgänger活动,尽管试图通过发布虚假新闻来破坏对乌克兰的支持,但其在社交媒体上吸引真实受众的努力基本上是无效的。美国财政部曾指控Doppelgänger受克里姆林宫指挥,该活动的参与者已受到美国和欧盟的制裁。Meta还指出,尽管对外国威胁和干涉保持敏感,但目前打击的以欧盟为中心的虚假行为大多数是来自欧盟内部,包括克罗地亚、法国、德国、波兰和意大利的网络。外国威胁主要集中在破坏对乌克兰的支持,而非直接针对选举。欧盟委员会此前对Meta展开调查,怀疑其未遵守新的选举诚信规则,并对Doppelgänger活动的持续存在表示不满。即将到来的欧洲议会选举将由欧盟成员国选民选出共705名议员,尽管这些议员的权力相对较小,选举的关注度也不如国内选举。来源:https://therecord.media/most-eu-election-interference-domestic-meta6. 乌克兰签署新安全协议,寻求西方长期支持应对俄罗斯
乌克兰近日与西班牙、比利时和葡萄牙签署了安全协议,加入此前与十多个国家达成的类似协议。这些协议由北约成员国通过双边谈判达成,承诺向乌克兰提供财政、人道主义、军事和网络支持,以对抗俄罗斯。乌克兰通信与信息保护特别服务局(SSSCIP)副局长奥列克桑德尔·波蒂在爱沙尼亚CyCon网络安全会议上表示,这些协议在乌克兰等待加入北约期间至关重要,保证了在侵略事件发生时其他国家将迅速提供援助。协议包括培训、技术支持和信息交换等网络组件,并建立共同的事件响应流程。自年初以来,乌克兰已与英国、德国、法国、加拿大和芬兰等12个国家签署了协议,目前还有四项正在进行中,包括与美国的协议。这些协议基于G7承诺的支持,将持续10年或直到乌克兰加入北约。乌克兰政府需制定实施计划,并由不同机构负责具体任务,如SSSCIP和乌克兰安全局(SBU)将负责网络相关任务。来源:https://therecord.media/ukraine-cycon-security-deals-belgium-portugal-spain7. 德国准备动用网络外交工具箱应对俄罗斯黑客攻击
德国网络大使雷吉娜·格林贝格透露,德国正准备利用"欧洲网络外交工具箱"来应对俄罗斯支持的黑客对德国政党的攻击。5月初,德国宣布APT28组织与俄罗斯GRU军事情报机构有关,并对德国社会民主党进行了网络攻击。格林贝格表示,虽然制裁是欧盟网络外交的一部分,但实施制裁需要满足许多先决条件,包括提供并展示袭击责任方的证据,这需要时间。德国外交部长已表示俄罗斯必须承担后果,并召回了驻俄大使。格林贝格称此次黑客攻击是危险和破坏性的,可能是为了破坏民主社会。尽管俄罗斯否认了相关指控,但格林贝格表示,德国希望加强规范,表明不能接受违反网络规范的行为。她还提到,德国发现来自俄罗斯国家行为者和网络犯罪分子的网络攻击急剧增加,德国将始终保持高度警惕,应对网络攻击。来源:https://therecord.media/germany-cyber-diplomacy-russia-gru8. BlackSuit勒索软件团伙泄露攻击数据,针对关键行业
BlackSuit勒索软件团伙泄露了过去一年对53个组织实施的攻击中窃取的数据。ReliaQuest的研究人员分析了该团伙在4月份发动的攻击,该团伙自2023年5月以来一直活跃,被认为是从Royal勒索软件团伙中分离出来的。BlackSuit主要针对美国教育和工业品等关键行业的公司,选择目标以最大化经济利益。BlackSuit使用双重勒索方法和其他策略、技术和程序(TTP),表现出非同寻常的成熟度。ReliaQuest的调查表明,BlackSuit利用了包括Kerberoasting、PsExec、FTP和暴力破解在内的一系列简单TTP。攻击始于通过有效账户获得VPN访问权限,然后利用PsExec进行横向移动,通过Kerberoasting感染用户,并通过FTP泄露数据。最终,攻击者在虚拟机中部署勒索软件,执行加密。ReliaQuest还披露了组织可以采取的多种缓解策略,如改进网络设备配置管理、监控Windows事件日志、部署EDR工具,以及采取措施减轻Kerberoasting攻击的风险。来源:https://www.darkreading.com/cyberattacks-data-breaches/blacksuit-dozens-victims-curated-ransomware漏洞预警
9. Eclipse ThreadX中的漏洞可能导致代码执行
Humanativa Group的Marco Ivaldi在分析Eclipse ThreadX的源代码时发现了多个漏洞,这些漏洞可能导致内存损坏、拒绝服务(DoS)或执行任意代码。Eclipse ThreadX是由微软开发并贡献给Eclipse基金会的实时操作系统,专为资源受限的物联网设备设计。发现的漏洞包括缺少数组大小检查导致的缓冲区溢出(CVE-2024-2214)、FreeRTOS兼容性API缺少参数检查导致的整数回绕和堆缓冲区溢出(CVE-2024-2212),以及影响ThreadX NetX Duo网络堆栈的整数回绕和堆缓冲区溢出(CVE-2024-2452)。这些漏洞已于2023年12月和2024年1月报告给微软和Eclipse基金会,并在Eclipse ThreadX 6.4.0版本中得到修复。Humanativa Group还报告了其他安全隐患,尽管它们未被ThreadX维护人员视为漏洞,但将在未来的版本中作为代码改进得到解决。来源:https://www.securityweek.com/vulnerabilities-in-eclipse-threadx-could-lead-to-code-execution/10. Check Point发布紧急修复补丁,阻止VPN零日漏洞攻击
Check Point发布了针对VPN零日漏洞的紧急修复补丁,该漏洞被黑客利用来远程访问防火墙,试图入侵企业网络。该漏洞被跟踪为CVE-2024-24919,影响多个产品版本,包括CloudGuard Network、Quantum Maestro、Quantum Scalable Chassis等。Check Point已发布了针对该漏洞的安全更新,适用于各个受影响的产品版本。更新后,系统将自动阻止使用弱凭证和认证方法的登录尝试,并生成日志。即使对于已停止支持的版本,也提供了手动下载和应用的热修复。此外,Check Point建议加强安全策略,更新安全网关使用的Active Directory(AD)密码,并提供了远程访问验证脚本供管理员使用。来源:https://www.bleepingcomputer.com/news/security/check-point-releases-emergency-fix-for-vpn-zero-day-exploited-in-attacks/11. RoboForm密码生成器存在漏洞
一位名为迈克尔的欧洲加密货币投资者在2013年使用软件钱包存储了他的43.6 BTC,当时价值仅5300美元。为了保护资金,他利用RoboForm密码管理器生成了一个20字符的密码,并用TrueCrypt进行加密。不幸的是,加密文件后来损坏,导致密码丢失,迈克尔多年来尝试恢复访问未果。著名黑客专家乔·格兰德及其团队最终帮助迈克尔解决了这个问题。他们发现RoboForm密码生成器存在漏洞,可以预测生成的密码。尽管迈克尔不记得生成密码的确切日期,但专家团队通过分析和推算,最终在2022年11月重建了原始密码。此时,RoboForm开发团队已于2015年在7.9.14版本中修复了该漏洞,但未通知其600万用户更新密码,这使得使用旧密码的用户容易受到攻击。迈克尔的比特币钱包恢复访问后,其价值飙升至260万美元。他等待比特币价格进一步上涨,最终在每枚62,000美元时出售了30BTC,获得了300万美元的巨额利润。迈克尔的经历提醒人们在使用加密货币钱包时需要谨慎,同时也展示了专业技能在解决复杂问题中的价值。来源:https://www.securitylab.ru/news/548733.phpTTPs动向
12. 利用Cloudflare Workers进行网络钓鱼:透明网络钓鱼和HTML走私
网络钓鱼活动正在滥用Cloudflare Workers平台,通过两种方式进行攻击:一是利用HTML走私技术注入隐藏的恶意内容,类似于Azorult恶意软件;二是将Cloudflare Workers作为透明代理,窃取Microsoft、Gmail和Yahoo Mail等邮件服务的登录凭据,主要针对亚洲、北美和南欧的用户,尤其是科技、金融和银行领域的用户。攻击者通过在worker.dev子域下创建具有自定义域的恶意应用程序,利用免费的无服务器应用程序部署平台Cloudflare Workers托管钓鱼网站。尽管Cloudflare Workers上托管的恶意应用程序数量不断增长,但总体流量似乎已经稳定。攻击者利用Cloudflare Workers进行HTML走私,绕过网络防御并投放钓鱼页面,将恶意代码隐藏在base64编码的blob中,并通过createObjectURL()方法在受害者浏览器中显示钓鱼页面。此外,攻击者还使用透明代理技术,创建服务器充当受害者和合法登录页面之间的中间人,窃取受害者的登录凭据。Netskope的研究人员分析了这些攻击,发现它们是基于修改后的开源MITM工具包构建的,并利用Cloudflare Workers的“Hello World”模板来拦截受害者的请求。来源:https://gbhackers.com/phishing-with-cloudflare-workers/13. Kiteshield Packer正被Linux网络威胁者滥用
研究人员分析了一批使用Kiteshield打包的可疑ELF文件,这些文件具有较低的防病毒检测率,并运用了反调试技术、混淆和加密,显示出攻击者的技术老练。Kiteshield是一个Linux打包程序,它通过加密和注入使用RC4解密的加载器来保护ELF二进制文件,同时采用反调试技术阻碍分析。加载器在运行时仅解密当前调用堆栈上的函数,利用ptrace机制,进一步阻碍分析和解密。此外,它还通过单字节XOR混淆字符串,并通过检查进程状态和环境变量来防止调试。研究人员提供了Python代码,演示了如何解密加载器中的字符串,从而了解打包二进制文件的行为。通过YARA规则和Python脚本,研究人员展示了识别和解包Kiteshield打包的ELF文件的方法,揭示了其逃避技术的有效性。Xlab的研究人员还分析了三个未打包的恶意软件样本,包括Winnti APT用户空间rootkit、一个未知网络犯罪组织开发的植入程序,以及部分被杀毒软件发现的Gafgyt僵尸网络脚本。这些分析结果强调了防病毒引擎需要改进,以检测使用Kiteshield等高级打包工具的恶意软件。来源:https://gbhackers.com/kite-shield-packer-abused/14. "免费钢琴"钓鱼攻击瞄准美国大学生和员工
一场大规模的钓鱼活动利用了一个不寻常的诱饵,通过欺骗邮件接收者,让他们相信他们即将免费获得一架婴儿三角钢琴,以至少赚取了90万美元。这一活动由电子邮件安全公司Proofpoint发现,于2024年1月启动,已发送了超过12.5万封邮件,主要针对北美大学生和教职员工。这些钓鱼邮件声称来自一名大学教授,通知收件人由于缩小规模,一名名为Dereck Adams的人正在免费提供一架2014年的雅马哈婴儿三角钢琴。邮件提供了一个电子邮件地址,以安排查看和送货。第二封电子邮件声称来自“美国货运公司”,提供了一些合法性的细节,如物品的参考编号、尺寸和重量,以及三种送货选项。这封邮件还添加了紧迫性的元素,声称有多人表现出对钢琴的兴趣,并建议首先支付送货费用的人将获得钢琴。然而,只提供了Zelle、Paypal、Apple Pay、Chime和Cash App等支付选项,追踪和撤销支付要比传统方法复杂得多。虽然这些钓鱼攻击采用的策略并不新颖,但其收益表明其非常有效。Proofpoint表示,他们能够与此次活动联系在一起的一个比特币钱包地址目前持有超过90万美元,尽管目前尚不清楚这是否全部来自于“免费钢琴”的诱饵。来源:https://www.bleepingcomputer.com/news/security/free-piano-phish-targets-american-university-students-staff/新兴技术
15. 量子技术兴起引发新型网络安全威胁
Gartner预测到2025年,约40%的大公司将实施量子技术并开展试点项目,而麦肯锡报告称量子技术投资已创新高,达到23.5亿美元。随着企业对量子技术的兴趣日益增加,攻击者也在探索新的网络攻击手段。Positive Technologies的研究表明,量子技术面临的主要网络威胁包括物理层面的攻击、机密信息窃取、量子软件漏洞、云计算威胁以及对量子互联网的攻击。量子位的不稳定性可能导致拒绝服务攻击,而量子计算的高价值使其易受机密信息窃取。量子软件中的已知漏洞,如NVIDIA cuQuantum和Visual Studio Code的Quantum开发套件中的漏洞,表明未来量子软件缺陷可能被利用。云计算的普及也可能吸引攻击者寻找漏洞,而量子互联网的攻击可能针对信息窃取或损害量子节点。后量子密码学的发展旨在应对“现在存储,稍后解密”的策略,允许攻击者在未来使用量子计算机解密数据。俄罗斯正积极发展量子技术,由Rosatom和俄罗斯铁路监管的“量子计算”和“量子通信”领域路线图是主要推动力。目前,全面保护措施尚未形成,但开放新的错误赏金计划和量子密钥分发的推进是未来网络安全的重要步骤。来源:https://www.securitylab.ru/news/548719.php16. Windows Defender绕过工具在GitHub上分享
一个名为“No Defender”的GitHub项目因其能够禁用Windows Defender和防火墙而引起网络安全研究人员的关注。该项目声称通过逆向工程Windows安全中心(WSC)服务的API,找到了一种“有趣的方式”来禁用Windows Defender和防火墙。项目所有者“es3n1n”表示,他们利用了防病毒软件供应商用来通知Windows系统中存在其他防病毒软件的API,通过逆向工程Avast防病毒软件中的wsc_proxy.exe服务,创建了一个可以添加自定义内容的服务。CERT高级漏洞分析师Will Dormann在Mastodon上分享了对该项目的担忧,指出该工具使用未记录的WSC API和Avast模块来禁用Microsoft Defender。Dormann提供的视频显示,该工具似乎运行有效。尽管如此,一些评论者认为这不是微软的漏洞,而是Avast的问题,因为该工具需要一个由AuthentiCode Signing Level 7签名的可执行文件。Dormann提醒,运行No Defender工具需要管理员权限,这给Windows用户带来了另一个不以管理员身份运行Windows的理由。来源:https://thecyberexpress.com/windows-defender-bypass-tool-github/往期推荐
2024-05-24
2024-05-25
2024-05-27
2024-05-28
2024-05-29