【簡介：】重要事件回顧，智覽網(wǎng)安行業(yè)發(fā)展。近日國內(nèi)外網(wǎng)安行業(yè)發(fā)生了哪些重要事件，呈現(xiàn)出了怎樣的發(fā)展態(tài)勢呢？中國網(wǎng)安科技情報(bào)研究團(tuán)隊(duì)將從行業(yè)大角度出發(fā)，帶領(lǐng)大家回顧近日國內(nèi)外行業(yè)的

重要事件回顧，智覽網(wǎng)安行業(yè)發(fā)展。近日國內(nèi)外網(wǎng)安行業(yè)發(fā)生了哪些重要事件，呈現(xiàn)出了怎樣的發(fā)展態(tài)勢呢？中國網(wǎng)安科技情報(bào)研究團(tuán)隊(duì)將從行業(yè)大角度出發(fā)，帶領(lǐng)大家回顧近日國內(nèi)外行業(yè)的重要事件，探究其中的發(fā)展態(tài)勢。事件概覽：1、騰訊發(fā)布主機(jī)安全旗艦版2、《上海市反間諜安全防范條例》發(fā)布3 、網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范工作啟動(dòng)4、國標(biāo)《重要數(shù)據(jù)識(shí)別指南》起草發(fā)生重大修改5、瑞士軍隊(duì)要求其人員使用Threema即時(shí)通訊應(yīng)用程序6、取證專家在PC上保留了謀殺快照入獄7、網(wǎng)絡(luò)竊賊突襲Grass Valley8、超過一半的中小企業(yè)經(jīng)歷過網(wǎng)絡(luò)安全漏洞攻擊9、美國對(duì)商業(yè)間諜軟件發(fā)出警告10、研究人員在十幾個(gè)廣泛使用的URL解析器庫中發(fā)現(xiàn)了錯(cuò)誤11、Abcbot僵尸網(wǎng)絡(luò)鏈接到Xanthe Cryptomining惡意軟件的運(yùn)營商12、APT黑客在最近的惡意軟件攻擊中達(dá)成自己的目標(biāo)13、組織每周遭受925次攻擊，創(chuàng)歷史新高14、新的ZLoader惡意軟件活動(dòng)襲擊了111個(gè)國家的2000多名受害者國內(nèi)01 騰訊發(fā)布主機(jī)安全旗艦版2022年1月9日下午，“騰訊主機(jī)安全旗艦版”發(fā)布會(huì)在線上召開。煥新升級(jí)的云主機(jī)安全旗艦版，以新引擎、新能力、新體驗(yàn)為特點(diǎn)的云原生安全能力，助力入侵檢測、入侵溯源、文件查殺、漏洞管理及安全預(yù)警，為企業(yè)打造云上安全防護(hù)閉環(huán)。據(jù)騰訊安全資深產(chǎn)品專家張殷介紹，騰訊安全基于用戶核心需求，從“預(yù)防→防御→檢測→響應(yīng)”四個(gè)階段構(gòu)建主機(jī)安全防護(hù)體系。同時(shí)，云主機(jī)安全旗艦版依托七大核心引擎、百萬級(jí)終端防護(hù)、百億威脅數(shù)據(jù)，幫助企業(yè)實(shí)時(shí)防護(hù)核心資產(chǎn)安全，滿足等保合規(guī)、資產(chǎn)風(fēng)險(xiǎn)管理及入侵防護(hù)需求。張殷表示：“旗艦版新增安全播報(bào)、安全防護(hù)模塊，支持混合云統(tǒng)一管理，幫助企業(yè)實(shí)現(xiàn)資產(chǎn)可視化，并提供一鍵檢測、自動(dòng)修復(fù)、鏡像快照功能，實(shí)現(xiàn)分鐘級(jí)漏洞檢測效率，在優(yōu)化掃描性能的同時(shí)提升精準(zhǔn)度，讓安全更簡單！”目前，騰訊云主機(jī)安全產(chǎn)品已廣泛覆蓋于金融、媒體、汽車、交通、電商、教育等泛互聯(lián)網(wǎng)行業(yè)，并在頭豹&沙利文《2021年中國云主機(jī)市場安全報(bào)告》中蟬聯(lián)領(lǐng)導(dǎo)者象限。02 《上海市反間諜安全防范條例》發(fā)布近日，上海市第十五屆人民代表大會(huì)常務(wù)委員會(huì)第三十八次會(huì)議正式通過《上海市反間諜安全防范條例》（以下簡稱“《條例》”），自2022年1月1日起施行。《條例》共七章三十五條，進(jìn)一步完善了反間諜安全防范法律體系，依法維護(hù)國家安全。《條例》在第一章總則中指出，國家安全機(jī)關(guān)是反間諜安全防范工作的主管機(jī)關(guān)。公安、保密以及網(wǎng)信、經(jīng)濟(jì)信息化、商務(wù)、教育、科技、民族宗教、規(guī)劃資源、住房城鄉(xiāng)建設(shè)管理、農(nóng)業(yè)農(nóng)村、文化旅游、金融監(jiān)管、外事、國資、海關(guān)等有關(guān)部門應(yīng)當(dāng)與國家安全機(jī)關(guān)密切配合，在各自職責(zé)范圍內(nèi)做好反間諜安全防范工作。有關(guān)部門及其工作人員對(duì)履行反間諜安全防范職責(zé)中知悉的國家秘密、工作秘密、商業(yè)秘密、個(gè)人隱私和個(gè)人信息等，應(yīng)當(dāng)嚴(yán)格保密。同時(shí)，上海市加強(qiáng)與長江三角洲區(qū)域和國內(nèi)其他省、自治區(qū)、直轄市反間諜安全防范工作的協(xié)作交流,推動(dòng)實(shí)現(xiàn)信息互通、資源共享、處置聯(lián)動(dòng),增強(qiáng)反間諜安全防范工作實(shí)效。《條例》在第二章工作職責(zé)中指出，上海市加強(qiáng)對(duì)經(jīng)濟(jì)、金融、科技、生物、網(wǎng)絡(luò)、通信、數(shù)據(jù)等領(lǐng)域的反間諜安全風(fēng)險(xiǎn)防范。國家安全機(jī)關(guān)應(yīng)當(dāng)會(huì)同行業(yè)主管部門定期開展反間諜安全風(fēng)險(xiǎn)評(píng)估，動(dòng)態(tài)調(diào)整反間諜安全防范重點(diǎn)事項(xiàng)和重點(diǎn)范圍。政府有關(guān)部門與國家安全機(jī)關(guān)應(yīng)當(dāng)建立綜合監(jiān)管工作機(jī)制，在審查和監(jiān)管涉及國家安全事項(xiàng)的建設(shè)項(xiàng)目時(shí)，開展執(zhí)法聯(lián)動(dòng)，加強(qiáng)數(shù)據(jù)信息共享,并在各自職責(zé)范圍內(nèi),依法督促建設(shè)項(xiàng)目的建設(shè)、所有、使用和管理方落實(shí)相關(guān)安全防范工作?！稐l例》在第三章安全防范中指出，反間諜安全防范重點(diǎn)單位以外的涉及經(jīng)濟(jì)安全、科技安全、新型領(lǐng)域安全等重點(diǎn)領(lǐng)域的單位，除遵守本條例第十六條規(guī)定外，還應(yīng)當(dāng)履行下列反間諜安全防范義務(wù)：（1）涉及國民經(jīng)濟(jì)命脈的重要行業(yè)和關(guān)鍵領(lǐng)域的單位，應(yīng)當(dāng)加強(qiáng)反間諜安全風(fēng)險(xiǎn)管控，定期開展資金流向、數(shù)據(jù)處理、技術(shù)應(yīng)用、人才交流、貨物流通等方面的反間諜安全防范工作自查；（2）涉及科技安全的高等院校、科研機(jī)構(gòu)、國防軍工等單位，應(yīng)當(dāng)加強(qiáng)涉密專家、高新技術(shù)項(xiàng)目、試驗(yàn)場所等方面的反間諜安全防范管理；（3）涉及生物、數(shù)據(jù)等新型領(lǐng)域安全的單位，應(yīng)當(dāng)在國家安全機(jī)關(guān)和有關(guān)行業(yè)主管部門的指導(dǎo)下，根據(jù)新的安全需要加強(qiáng)相應(yīng)領(lǐng)域的反間諜安全防范工作。《條例》在第四章宣傳教育中指出，上海市在每年4月15日全民國家安全教育日等重要時(shí)間節(jié)點(diǎn)組織開展反間諜安全防范宣傳教育活動(dòng)。國家安全機(jī)關(guān)應(yīng)當(dāng)加強(qiáng)愛國主義教育、國家安全教育,開展有關(guān)反間諜安全防范的普法教育、風(fēng)險(xiǎn)警示教育、防范常識(shí)教育,指導(dǎo)機(jī)關(guān)、人民團(tuán)體、企業(yè)事業(yè)組織和其他社會(huì)組織開展反間諜安全防范宣傳教育培訓(xùn)工作；會(huì)同有關(guān)部門，組織、動(dòng)員居民委員會(huì)、村民委員會(huì)開展反間諜安全防范宣傳教育工作。03 網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范工作啟動(dòng)工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、水利部、國家衛(wèi)生健康委員會(huì)、應(yīng)急管理部、中國人民銀行、國家廣播電視總局、中國銀行保險(xiǎn)監(jiān)督管理委員會(huì)、中國證券監(jiān)督管理委員會(huì)、國家能源局、國家鐵路局、中國民用航空局等十二部門近日聯(lián)合印發(fā)通知，組織開展網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范工作，將面向公共通信和信息服務(wù)、能源、交通、水利、應(yīng)急管理、金融、醫(yī)療、廣播電視等重要行業(yè)領(lǐng)域網(wǎng)絡(luò)安全保障需求，從云安全、人工智能安全、大數(shù)據(jù)安全、車聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全、智慧城市安全、網(wǎng)絡(luò)安全共性技術(shù)、網(wǎng)絡(luò)安全創(chuàng)新服務(wù)、網(wǎng)絡(luò)安全“高精尖”技術(shù)創(chuàng)新平臺(tái)9個(gè)重點(diǎn)方向，遴選一批技術(shù)先進(jìn)、應(yīng)用成效顯著的試點(diǎn)示范項(xiàng)目。04 國標(biāo)《重要數(shù)據(jù)識(shí)別指南》起草發(fā)生重大修改《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》（以下簡稱《條例》）均提出，國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度。按照數(shù)據(jù)對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施。不僅如此，《條例》還專設(shè)第五章“重要數(shù)據(jù)安全”。這意味著，我國正在通過立法建立重要數(shù)據(jù)安全監(jiān)管制度，重要數(shù)據(jù)處理者要履行一系列法定義務(wù)。因此，什么是“重要數(shù)據(jù)”，成為我國數(shù)據(jù)安全工作中急迫需要解決的問題。2020年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng)制定國家標(biāo)準(zhǔn)《重要數(shù)據(jù)識(shí)別指南》。2021年9月，標(biāo)準(zhǔn)起草組在小貝說安全公布了最新的標(biāo)準(zhǔn)草案?！稐l例》在2021年11月14日公開征求意見后，根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處的工作安排，標(biāo)準(zhǔn)起草組又對(duì)《重要數(shù)據(jù)識(shí)別指南》作了修改。本次修改后，標(biāo)準(zhǔn)內(nèi)容發(fā)生重大變化，起草組在此公開標(biāo)準(zhǔn)草案最新版，并披露了修改思路。需要指出，該版本是經(jīng)《重要數(shù)據(jù)識(shí)別指南》編制組授權(quán)，在小貝說安全首發(fā)，僅供各方參考和提出意見、建議。據(jù)悉，標(biāo)準(zhǔn)即將在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)官方網(wǎng)站正式征求意見。近期，起草中的國家標(biāo)準(zhǔn)《重要數(shù)據(jù)識(shí)別指南》發(fā)生重大修改。2022年1月7日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處組織了對(duì)該標(biāo)準(zhǔn)的審議，根據(jù)會(huì)議意見，編制組已修改形成征求意見稿。本期文章將介紹此次重大修改的基本思路，并經(jīng)編制組授權(quán)首次公布標(biāo)準(zhǔn)當(dāng)前進(jìn)展情況。標(biāo)準(zhǔn)正式文本以近期官方網(wǎng)站公布為準(zhǔn)。標(biāo)準(zhǔn)的主要改動(dòng)體現(xiàn)在，取消了對(duì)重要數(shù)據(jù)的“特征”說明，因?yàn)檫@些特征依然不可避免地涉及行業(yè)分類，對(duì)各地方、各部門制定部門、本行業(yè)以及本系統(tǒng)、本領(lǐng)域的重要數(shù)據(jù)識(shí)別細(xì)則帶來了不必要的約束。為此，標(biāo)準(zhǔn)編制組進(jìn)一步調(diào)研了全球其他國家在網(wǎng)絡(luò)安全、數(shù)據(jù)安全領(lǐng)域制定類似標(biāo)準(zhǔn)的情況，并選擇了美國制定的《國家安全系統(tǒng)識(shí)別指南》作為參照。該指南已運(yùn)行13年之久，其可操作性已得到充分證明。目前，《重要數(shù)據(jù)識(shí)別指南》的起草思路與其類似。國外01 瑞士軍隊(duì)要求其人員使用Threema即時(shí)通訊應(yīng)用程序據(jù)1月 9日?qǐng)?bào)，瑞士軍隊(duì)已經(jīng)禁止了Signal、Telegram和WhatsApp等外國即時(shí)通訊應(yīng)用程序，只允許其成員使用在瑞士開發(fā)的Threema消息傳遞應(yīng)用程序。Threema是即時(shí)通訊工具，旨在生成盡可能少的用戶數(shù)據(jù)。所有通信都是端到端加密的，并且該應(yīng)用程序是開源的。Threema不要求用戶在注冊時(shí)提供電話號(hào)碼或電子郵件地址，這意味著無法通過這些數(shù)據(jù)鏈接用戶的身份。最近，媒體分享了一份聯(lián)邦調(diào)查局的培訓(xùn)文件，該文件揭示了美國執(zhí)法部門的監(jiān)視能力，詳細(xì)說明了可以從加密的消息應(yīng)用程序中提取哪些數(shù)據(jù)。該文件分析了對(duì)多個(gè)加密消息傳遞應(yīng)用程序的合法訪問，包括iMessage、Line、Signal、Telegram、Threema、Viber、WhatsApp、WeChat或Wickr。培訓(xùn)文件中報(bào)告的信息提供了執(zhí)法部門訪問流行消息傳遞應(yīng)用程序內(nèi)容的能力的最新情況。聯(lián)邦調(diào)查局無法訪問Signal、Telegram、Threema、Viber、WeChat和Wickr的消息內(nèi)容，同時(shí)他們可以有限地訪問來自iMessage、Line和WhatsApp的加密通信內(nèi)容。無論如何，根據(jù)單個(gè)加密消息傳遞應(yīng)用程序，執(zhí)法部門可以提取不同的元數(shù)據(jù)，從而可以揭開最終用戶的面紗。奇怪的是，瑞士軍隊(duì)要求軍事人員使用Threema作為私人用戶，而不是使用稱為Threema Work的商業(yè)版本。02 取證專家在PC上保留了謀殺快照入獄據(jù)1月10日?qǐng)?bào)道，一名警方法醫(yī)專家因?qū)?shù)千張來自警方計(jì)算機(jī)系統(tǒng)的嚴(yán)峻圖像下載到他自己的計(jì)算機(jī)上而被送進(jìn)英國的監(jiān)獄。斯塔福德附近小海伍德的56歲的達(dá)倫?柯林斯（Darren Collins）承認(rèn)非法訪問犯罪現(xiàn)場的照片和對(duì)謀殺受害者進(jìn)行的尸檢?；始覚z察院（CPS）表示，柯林斯利用他的數(shù)字專業(yè)知識(shí)創(chuàng)建了自己的訪問數(shù)據(jù)庫的途徑，而他無權(quán)這樣做，被描述為一種'后門'技術(shù)，避免了適當(dāng)和合法的訪問程序?？铝炙箤⑦@些圖像復(fù)制到USB記憶棒上，將存儲(chǔ)設(shè)備帶回家，然后將其內(nèi)容傳輸?shù)剿约旱膫€(gè)人電子設(shè)備上。在2014年1月至2018年12月期間，數(shù)字取證專家柯林斯非法訪問了存儲(chǔ)在警方計(jì)算機(jī)系統(tǒng)上的3000多張圖像。03 網(wǎng)絡(luò)竊賊突襲Grass Valley據(jù)1月10日?qǐng)?bào)道，對(duì)加利福尼亞州一個(gè)城市的網(wǎng)絡(luò)攻擊導(dǎo)致屬于供應(yīng)商、城市員工及其配偶的個(gè)人和財(cái)務(wù)數(shù)據(jù)泄露。Grass Valley發(fā)布的一份數(shù)據(jù)安全事件通知指出，去年有四個(gè)月，一名未知的攻擊者能夠訪問該市的一些IT系統(tǒng)。該市表示，攻擊者利用他們在2021年4月13日至7月1日期間享受的未經(jīng)授權(quán)的訪問來竊取屬于未指定數(shù)量的數(shù)據(jù)。受數(shù)據(jù)泄露影響的受害者包括Grass Valley員工、前員工、配偶、家屬以及該市雇用的個(gè)人供應(yīng)商。其他受害者包括可能已向Grass Valley警察局提供資料的個(gè)人，以及在貸款申請(qǐng)文件中向Grass Valley社區(qū)發(fā)展部提供資料的個(gè)人。12 月 1 日，對(duì)威脅參與者訪問了哪些文件以及哪些數(shù)據(jù)遭到入侵的審查已經(jīng)結(jié)束。在攻擊期間暴露的信息被發(fā)現(xiàn)包括社會(huì)安全號(hào)碼、駕駛執(zhí)照號(hào)碼、供應(yīng)商名稱以及有限的醫(yī)療或健康保險(xiǎn)信息。對(duì)于可能已向Grass Valley警察局提供信息的個(gè)人，受影響的數(shù)據(jù)包括姓名和以下一項(xiàng)或多項(xiàng)：社會(huì)安全號(hào)碼、駕駛執(zhí)照號(hào)碼、財(cái)務(wù)帳戶信息、支付卡信息、有限的醫(yī)療或健康保險(xiǎn)信息、護(hù)照號(hào)碼以及在線帳戶的用戶名和密碼憑據(jù)。那些申請(qǐng)社區(qū)發(fā)展貸款的人可能的姓名和社會(huì)安全號(hào)碼、駕駛執(zhí)照號(hào)碼、財(cái)務(wù)帳號(hào)和支付卡號(hào)遭到入侵。04 超過一半的中小企業(yè)經(jīng)歷過網(wǎng)絡(luò)安全漏洞攻擊據(jù)1月10日?qǐng)?bào)道，根據(jù)保險(xiǎn)公司Markel Direct的一項(xiàng)新研究，英國超過一半（51%）的中小企業(yè)和自雇工人經(jīng)歷過網(wǎng)絡(luò)安全漏洞攻擊。調(diào)查結(jié)果來自對(duì)英國1000家中小企業(yè)和自雇人士的調(diào)查，突顯了人們的擔(dān)憂，即由于缺乏資源和網(wǎng)絡(luò)安全專業(yè)知識(shí)，這些組織面臨特別高的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，COVID-19期間加劇了這個(gè)問題。這些組織面臨的最常見的攻擊方法是與惡意軟件/病毒相關(guān)的（24%）、數(shù)據(jù)泄露（16%）和網(wǎng)絡(luò)釣魚攻擊（15%）。超過三分之二（68%）的受訪者表示，他們經(jīng)歷的違規(guī)行為成本高達(dá)5000英鎊。該研究還分析了中小企業(yè)和自雇人士采取的網(wǎng)絡(luò)安全措施的程度。近九成（88%）的受訪者表示，他們至少有一種形式的網(wǎng)絡(luò)安全，如防病毒軟件、防火墻或多因素身份驗(yàn)證，70%的受訪者表示，他們對(duì)自己的網(wǎng)絡(luò)安全安排相當(dāng)有信心或非常有信心。在這些組織和個(gè)人中，53%擁有防病毒/惡意軟件，48%的人投資了防火墻和安全網(wǎng)絡(luò)。此外，近三分之一（31%）的受訪者表示，他們每月進(jìn)行風(fēng)險(xiǎn)評(píng)估和內(nèi)部/外部審計(jì)。令人擔(dān)憂的是，11%的受訪者表示他們不會(huì)在網(wǎng)絡(luò)安全措施上花任何錢，認(rèn)為這是不必要的成本。Markel Direct的直接和合作伙伴關(guān)系總監(jiān)Rob Rees評(píng)論說：對(duì)大公司的網(wǎng)絡(luò)攻擊通常是頭條新聞，特別是考慮到過去幾年發(fā)生的一些重大違規(guī)行為。然而，中小企業(yè)和自雇人士也面臨風(fēng)險(xiǎn)，其后果可能對(duì)小型企業(yè)造成毀滅性打擊，這些企業(yè)可能無法從網(wǎng)絡(luò)漏洞的財(cái)務(wù)影響中恢復(fù)過來或失去客戶的信任。網(wǎng)絡(luò)犯罪分子通常以自雇人士和中小企業(yè)為目標(biāo)，因?yàn)樗麄內(nèi)狈Υ笮推髽I(yè)在網(wǎng)絡(luò)安全方面投資的資源。中小企業(yè)和自雇人士成為網(wǎng)絡(luò)攻擊的目標(biāo)，最終可能面臨財(cái)務(wù)和運(yùn)營后果，其中一些人可能永遠(yuǎn)無法從中恢復(fù)過來。05 美國對(duì)商業(yè)間諜軟件發(fā)出警告據(jù)1月10日?qǐng)?bào)道，美國政府安全專家發(fā)布了針對(duì)商業(yè)間諜軟件可能目標(biāo)的新指南，以保護(hù)自己免受不必要的監(jiān)視。一些政府正在使用商業(yè)監(jiān)控軟件來瞄準(zhǔn)全球的持不同政見者、記者和其他他們認(rèn)為是批評(píng)者的人，美國國家反情報(bào)和安全中心（NCSC）在Twitter帖子中警告說。商業(yè)監(jiān)視工具的使用方式也對(duì)美國人員和系統(tǒng)構(gòu)成嚴(yán)重的反間諜和安全風(fēng)險(xiǎn)。該通知解釋說，間諜軟件正在使用Wi-Fi和蜂窩數(shù)據(jù)連接部署到移動(dòng)和其他互聯(lián)網(wǎng)連接設(shè)備。在某些情況下，惡意行為者可以在設(shè)備所有者不采取行動(dòng)的情況下感染目標(biāo)設(shè)備。在其他情況下，他們可以使用受感染的鏈接來訪問設(shè)備，它說。該指導(dǎo)文件由NCSC和國務(wù)院聯(lián)合發(fā)布，警告間諜軟件可以監(jiān)控電話、設(shè)備位置和設(shè)備上的幾乎任何內(nèi)容，包括短信、文件、聊天、消息傳遞應(yīng)用程序內(nèi)容、聯(lián)系人和瀏覽歷史記錄。針對(duì)潛在目標(biāo)的建議包括定期更新軟件，切勿點(diǎn)擊未經(jīng)請(qǐng)求的消息中的鏈接，加密和密碼保護(hù)設(shè)備，并定期重新啟動(dòng)設(shè)備以幫助刪除惡意軟件植入物。06 研究人員在十幾個(gè)廣泛使用的URL解析器庫中發(fā)現(xiàn)了錯(cuò)誤據(jù)1月 10報(bào)道，對(duì)16個(gè)不同的統(tǒng)一資源定位器（URL）解析庫的研究發(fā)現(xiàn)了不一致和混亂，這些不一致和混亂可以被利用來繞過驗(yàn)證，并為各種攻擊媒介打開大門。在網(wǎng)絡(luò)安全公司Claroty和Synk聯(lián)合進(jìn)行的深入分析中，在用C，JavaScript，PHP，Python和Ruby語言編寫并被多個(gè)Web應(yīng)用程序使用的許多第三方庫中發(fā)現(xiàn)了八個(gè)安全漏洞。使用多個(gè)解析器是發(fā)現(xiàn)這八個(gè)漏洞的兩個(gè)主要原因之一，另一個(gè)是當(dāng)庫遵循不同的URL規(guī)范時(shí)不一致引起的問題，有效地引入了可利用的漏洞。濫用范圍包括涉及包含反斜杠（\）的URL的混淆，斜杠的不規(guī)則數(shù)量（例如，[。]com）或URL 編碼數(shù)據(jù)（%），以指向缺少 URL 方案的 URL，這些 URL 可能被利用來獲得遠(yuǎn)程代碼執(zhí)行，甚至階段性拒絕或服務(wù) （DoS） 和開放重定向網(wǎng)絡(luò)釣魚攻擊。發(fā)現(xiàn)的八個(gè)漏洞列表如下，所有這些漏洞都已由各自的維護(hù)者解決 -? Belledonne的SIP堆棧（C，CVE-2021-33056）)? 視頻.js（JavaScript，CVE-2021-23414)? Nagios XI （PHP， CVE-2021-37352)? Flask-security（Python，CVE-2021-23385)? Flask-security-too （Python， CVE-2021-32618)? Flask-unchained （Python， CVE-2021-23393)? Flask-User （Python， CVE-2021-23401)? 清除（Ruby，CVE-2021-23435)07 Abcbot僵尸網(wǎng)絡(luò)鏈接到Xanthe Cryptomining惡意軟件的運(yùn)營商據(jù)1月10日?qǐng)?bào)道，對(duì)名為Abcbot的新興DDoS僵尸網(wǎng)絡(luò)背后的基礎(chǔ)設(shè)施的新研究發(fā)現(xiàn)了與2020年12月曝光的加密貨幣采礦僵尸網(wǎng)絡(luò)攻擊的聯(lián)系。奇虎360的Netlab安全團(tuán)隊(duì)于2021年11月首次披露了涉及Abcbot的攻擊，該攻擊是通過惡意shell腳本觸發(fā)的，該腳本針對(duì)由華為、騰訊、百度和阿里云等云服務(wù)提供商運(yùn)營的不安全云實(shí)例，以下載將機(jī)器選擇到僵尸網(wǎng)絡(luò)的惡意軟件，但在此之前不會(huì)終止來自競爭威脅參與者的進(jìn)程并建立持久性。有問題的shell腳本本身就是趨勢科技在2021年10月最初發(fā)現(xiàn)的早期版本的迭代，該版本攻擊了華為云中易受攻擊的ECS實(shí)例。但有趣的是，通過映射所有已知的入侵指標(biāo)（IoC），包括IP地址、URL和樣本，對(duì)僵尸網(wǎng)絡(luò)的持續(xù)分析揭示了Abcbot的代碼和功能級(jí)別與稱為Xanthe的加密貨幣挖掘操作的代碼和功能級(jí)別相似性，該操作利用錯(cuò)誤配置的Docker實(shí)現(xiàn)來傳播感染。同一個(gè)威脅行為者同時(shí)負(fù)責(zé)Xanthe和Abcbot，并正在將其目標(biāo)從在受感染的主機(jī)上挖掘加密貨幣轉(zhuǎn)移到傳統(tǒng)上與僵尸網(wǎng)絡(luò)相關(guān)的活動(dòng)，例如DDoS攻擊，Cado Security的Matt Muir在與The Hacker News分享的一份報(bào)告中說。兩個(gè)惡意軟件系列之間的語義重疊范圍從源代碼的格式化方式到為例程提供的名稱，某些函數(shù)不僅具有相同的名稱和實(shí)現(xiàn)（例如，nameservercheck），而且還將單詞go附加到函數(shù)名稱的末尾（例如，filerungo）。這可能表明該函數(shù)的Abcbot版本已經(jīng)迭代了幾次，每次迭代都會(huì)添加新功能，Muir解釋說。此外，對(duì)惡意軟件的深入檢查揭示了僵尸網(wǎng)絡(luò)通過使用通用的、不顯眼的名稱（如自動(dòng)更新器，記錄器，sysall和系統(tǒng)）來創(chuàng)建多達(dá)四個(gè)自己的用戶以避免檢測，并將它們添加到sudoers文件中，以使流氓用戶對(duì)受感染的系統(tǒng)具有管理權(quán)限。代碼重用甚至類似復(fù)制經(jīng)常出現(xiàn)在惡意軟件家族和任何平臺(tái)上的特定樣本之間，Muir說。從發(fā)展的角度來看，這是有道理的。正如合法軟件的代碼被重用以節(jié)省開發(fā)時(shí)間一樣，非法軟件或惡意軟件也是如此。08 APT黑客在最近的惡意軟件攻擊中達(dá)成自己的目標(biāo)據(jù)1月9日?qǐng)?bào)道，威脅獵人已經(jīng)揭示了一個(gè)名為Patchwork的印度裔黑客組織所采用的策略、技術(shù)和程序，這是2021年11月下旬開始的新運(yùn)動(dòng)的一部分，該運(yùn)動(dòng)針對(duì)巴基斯坦政府實(shí)體和個(gè)人，研究重點(diǎn)是分子醫(yī)學(xué)和生物科學(xué)。具有諷刺意味的是，我們收集的所有信息都是可能的，這要?dú)w功于威脅行為者用自己的[遠(yuǎn)程訪問特洛伊木馬]感染自己，導(dǎo)致捕獲到他們的擊鍵和他們自己的計(jì)算機(jī)和虛擬機(jī)的屏幕截圖，Malwarebytes威脅情報(bào)團(tuán)隊(duì)在周五發(fā)布的一份報(bào)告中說。成功滲透的突出受害者包括巴基斯坦國防部、伊斯蘭堡國防大學(xué)、UVAS拉合爾生物科學(xué)學(xué)院、國際化學(xué)和生物科學(xué)中心（ICCBS），H.E.J.化學(xué)研究所和薩利姆哈比卜大學(xué)（SBU）。該間諜組織主要以打擊巴基斯坦、中國、美國智囊團(tuán)以及位于印度次大陸的其他目標(biāo)而聞名，其名稱來自以下事實(shí)：其所用惡意軟件工具大部分代碼都是從網(wǎng)絡(luò)上公開的各種來源復(fù)制和粘貼的。這個(gè)威脅行為者使用的代碼是從各種在線論壇復(fù)制粘貼的，以一種讓我們想起拼湊被子的方式，現(xiàn)已倒閉的以色列網(wǎng)絡(luò)安全初創(chuàng)公司Cymmetria的研究人員在2016年7月發(fā)表的調(diào)查結(jié)果中指出。多年來，他們進(jìn)行的連續(xù)秘密行動(dòng)試圖放棄并執(zhí)行QuasarRAT以及名為BADNEWS的植入，該植入充當(dāng)攻擊者的后門，使他們能夠完全控制受害者機(jī)器。2021年1月，還觀察到威脅組織利用Microsoft Office中的遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2017-0261）在受害計(jì)算機(jī)上提供有效載荷。最新的活動(dòng)沒有什么不同，因?yàn)閷?duì)手用RTF文件吸引潛在目標(biāo)，這些文件冒充巴基斯坦當(dāng)局，最終充當(dāng)部署B(yǎng)ADNEWS木馬新變種Ragnatela的渠道 - 在意大利語中意為蜘蛛網(wǎng) - 使操作員能夠執(zhí)行任意命令，捕獲擊鍵和屏幕截圖，列出和上傳文件，并下載其他惡意軟件。新的誘餌據(jù)稱來自卡拉奇的巴基斯坦國防軍官住房管理局（DHA），包含微軟方程式編輯器的漏洞，該漏洞被觸發(fā)以破壞受害者的計(jì)算機(jī)并執(zhí)行Ragnatela有效載荷。但是在OpSec失敗的情況下，威脅行為者最終也用RAT感染了他們自己的開發(fā)機(jī)器，因?yàn)镸alwarebytes能夠揭示其許多策略，包括使用雙鍵盤布局（英語和印度語）以及采用虛擬機(jī)和VPN，如VPN Secure和CyberGhost來隱藏其IP地址。09 組織每周遭受925次攻擊，創(chuàng)歷史新高據(jù)1月10日?qǐng)?bào)道，研究人員發(fā)現(xiàn)2021年網(wǎng)絡(luò)攻擊同比增長50%，由于Log4j漏洞引發(fā)網(wǎng)絡(luò)攻擊在12月達(dá)到頂峰。2021年在Log4Shell引發(fā)的閃電戰(zhàn)中將自己拖入尾聲。自上個(gè)月發(fā)現(xiàn)該漏洞以來，每小時(shí)有數(shù)百萬次針對(duì)Log4j的攻擊，全球每個(gè)組織每周有925次網(wǎng)絡(luò)攻擊的破紀(jì)錄峰值。這個(gè)數(shù)字來自Check Point Research（CPR）的周一報(bào)告，該報(bào)告發(fā)現(xiàn)Log4Shell攻擊是2021年企業(yè)網(wǎng)絡(luò)上每周整體攻擊次數(shù)同比增長50%的主要原因。截至10月，CPR報(bào)告增加了40%，早期的數(shù)據(jù)顯示，全球每61個(gè)組織中就有一個(gè)每周受到勒索軟件的攻擊。CPR研究人員表示，教育/研究是2021年遭受攻擊量最高的行業(yè)，平均每個(gè)組織每周有1，605次攻擊：比2020年增加了75次。舉個(gè)例子：截至12月30日，高級(jí)持續(xù)威脅（APT）Aquatic Panda正在使用Log4Shell漏洞利用工具瞄準(zhǔn)大學(xué)，試圖竊取工業(yè)情報(bào)和軍事機(jī)密。第二受歡迎的部門是政府/軍隊(duì)，每周發(fā)生1，136次襲擊：增加了47%。接下來是通信行業(yè)，每個(gè)組織每周有1，079次攻擊：增加了51%。非洲去年經(jīng)歷了最多的攻擊，每個(gè)組織平均每周有1，582次攻擊：比2020年增加了13%。亞太地區(qū)每個(gè)組織的每周攻擊增加了25%，平均每周攻擊次數(shù)為1，353次。拉丁美洲每周有1，118次攻擊，增長了38%;歐洲每周有670次攻擊，增加了68%;北美每個(gè)組織平均每周有503次攻擊，比2020年增加了61%。CPR的建議是：在混合環(huán)境中，邊界現(xiàn)在無處不在，安全性應(yīng)該能夠保護(hù)一切。該公司表示，電子郵件、網(wǎng)頁瀏覽、服務(wù)器和存儲(chǔ)僅僅是基礎(chǔ)：移動(dòng)應(yīng)用程序、云和外部存儲(chǔ)也是必不可少的，連接的移動(dòng)和端點(diǎn)設(shè)備以及物聯(lián)網(wǎng)（IoT）設(shè)備的合規(guī)性也是如此。此外，CPR建議，多云和混合云環(huán)境中的工作負(fù)載、容器和無服務(wù)器應(yīng)用程序應(yīng)始終成為清單的一部分。最佳安全實(shí)踐標(biāo)準(zhǔn)：及時(shí)了解安全補(bǔ)丁以阻止利用已知缺陷的攻擊，對(duì)網(wǎng)絡(luò)進(jìn)行分段，在網(wǎng)段之間應(yīng)用強(qiáng)大的防火墻和 IPS 保護(hù)措施，以遏制感染在整個(gè)網(wǎng)絡(luò)中傳播，并教育員工識(shí)別潛在威脅。很多時(shí)候，用戶意識(shí)可以在攻擊發(fā)生之前阻止攻擊，CPR研究人員建議?；c(diǎn)時(shí)間教育你的用戶，并確保如果他們看到異常情況，他們會(huì)立即向你的安全團(tuán)隊(duì)報(bào)告。用戶教育一直是避免惡意軟件感染的關(guān)鍵因素。最后，實(shí)施先進(jìn)的安全技術(shù)，CPR說。沒有一種銀彈技術(shù)可以保護(hù)組織免受所有威脅和所有威脅媒介的侵害。但是，有許多偉大的技術(shù)和想法可用 - 機(jī)器學(xué)習(xí)、沙盒、異常檢測等等。CPR 建議考慮兩個(gè)關(guān)鍵組件：威脅提取（文件清理）和威脅模擬（高級(jí)沙盒）。每個(gè)元素都提供不同的保護(hù)，當(dāng)一起使用時(shí)，提供了一個(gè)全面的解決方案，可以在網(wǎng)絡(luò)級(jí)別和直接在端點(diǎn)設(shè)備上防止未知惡意軟件侵害。10 新的ZLoader惡意軟件活動(dòng)襲擊了111個(gè)國家的2000多名受害者據(jù)1月10日?qǐng)?bào)道，Check Point Research的專家于2021年11月初發(fā)現(xiàn)了一個(gè)新的ZLoader惡意軟件活動(dòng)。惡意軟件活動(dòng)仍然活躍，截至2022年1月2日，威脅行為者已經(jīng)竊取了111個(gè)國家/地區(qū)2000多名受害者的數(shù)據(jù)和憑據(jù)。Zloader是一種銀行惡意軟件，至少自2016年以來一直活躍，它從臭名昭著的Zeus 2.0.8.9銀行木馬中借用了一些功能，并用于傳播類似宙斯的銀行木馬（即Zeus OpenSSL）。攻擊鏈利用合法的遠(yuǎn)程管理軟件 （RMM） 來獲取對(duì)目標(biāo)系統(tǒng)的初始訪問權(quán)限。感染鏈從在受害者的機(jī)器上安裝Atera軟件開始。Atera 是一種合法的企業(yè)遠(yuǎn)程監(jiān)控和管理軟件，可以使用包含所有者電子郵件地址的唯一.msi文件安裝代理并將端點(diǎn)分配給特定帳戶。攻擊者使用臨時(shí)電子郵件地址Antik.Corp@mailto.plus創(chuàng)建了此安裝程序。與之前的 Zloader 活動(dòng)一樣，該文件偽裝成 Java 安裝。然后，惡意軟件利用Microsoft的數(shù)字簽名驗(yàn)證方法將其有效負(fù)載注入已簽名的系統(tǒng)DLL中，以逃避檢測。威脅行為者利用一個(gè)漏洞，跟蹤為CVE-2013-3900，該漏洞于2013年被發(fā)現(xiàn)并修復(fù)，但在2014年微軟修訂了該修復(fù)程序。WinVerifyTrust 函數(shù)處理PE文件的 Windows Authenticode 簽名驗(yàn)證的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。匿名攻擊者可以通過修改現(xiàn)有的已簽名可執(zhí)行文件來利用此漏洞，以利用文件的未經(jīng)驗(yàn)證的部分，從而在不使簽名無效的情況下向文件添加惡意代碼。 成功利用此漏洞的攻擊者可以完全控制受影響的系統(tǒng)。在調(diào)查過程中，專家們發(fā)現(xiàn)了一個(gè)開放目錄，托管在teamworks455.com上，它持有一些下載在廣告系列中的文件。惡意軟件操作員每隔幾天就會(huì)更改文件，對(duì)文件條目的分析允許檢索感染Zloader及其原籍國的受害者列表。這里看到的兩種值得注意的方法是使用合法的RMM軟件作為對(duì)目標(biāo)機(jī)器的初始訪問，并將代碼附加到文件的簽名中，同時(shí)仍然保持簽名的有效性并使用mshta.exe運(yùn)行它。將代碼附加到文件簽名的能力已經(jīng)存在多年，并且如上所述分配了多個(gè)CVE。為了緩解此問題，所有供應(yīng)商都應(yīng)遵守新的 Authenticode 規(guī)范，以將這些設(shè)置作為默認(rèn)設(shè)置，而不是選擇加入更新。在此之前，我們永遠(yuǎn)無法確定我們是否可以真正信任文件的簽名。

重要事件回顧，智覽網(wǎng)安行業(yè)發(fā)展。近日國內(nèi)外網(wǎng)安行業(yè)發(fā)生了哪些重要事件，呈現(xiàn)出了怎樣的發(fā)展態(tài)勢呢？中國網(wǎng)安科技情報(bào)研究團(tuán)隊(duì)將從行業(yè)大角度出發(fā)，帶領(lǐng)大家回顧近日國內(nèi)外行業(yè)的重要事件，探究其中的發(fā)展態(tài)勢。事件概覽：1、騰訊發(fā)布主機(jī)安全旗艦版2、《上海市反間諜安全防范條例》發(fā)布3 、網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范工作啟動(dòng)4、國標(biāo)《重要數(shù)據(jù)識(shí)別指南》起草發(fā)生重大修改5、瑞士軍隊(duì)要求其人員使用Threema即時(shí)通訊應(yīng)用程序6、取證專家在PC上保留了謀殺快照入獄7、網(wǎng)絡(luò)竊賊突襲Grass Valley8、超過一半的中小企業(yè)經(jīng)歷過網(wǎng)絡(luò)安全漏洞攻擊9、美國對(duì)商業(yè)間諜軟件發(fā)出警告10、研究人員在十幾個(gè)廣泛使用的URL解析器庫中發(fā)現(xiàn)了錯(cuò)誤11、Abcbot僵尸網(wǎng)絡(luò)鏈接到Xanthe Cryptomining惡意軟件的運(yùn)營商12、APT黑客在最近的惡意軟件攻擊中達(dá)成自己的目標(biāo)13、組織每周遭受925次攻擊，創(chuàng)歷史新高14、新的ZLoader惡意軟件活動(dòng)襲擊了111個(gè)國家的2000多名受害者國內(nèi)