駭客針對受害電腦什麼都能偷!而其中最常見的是竊取機密文件,或是濫用電腦的運算能力,進行挖礦攻擊或是組成殭屍網路。但攻擊者很有可能針對受害電腦的網路頻寬下手。最近有資安業者發現SQL Server、MySQL等資料庫主機遭植入代理伺服器軟體(Proxyware)的攻擊行動,駭客藉此將伺服器的頻寬提供給相關服務的業者獲利。而這已並非此種攻擊手法第一次出現,在去年8月,思科就發現濫用名為Honeygain的代理伺服器軟體攻擊行動。
微軟封鎖來自網路的Office巨集的防護策略,近期也導致駭客的攻擊手法出現變化。資安業者發現,駭客藉由光碟映像檔或是壓縮檔的方式,來打包惡意文件檔案,來突破上述微軟的封鎖,進而成功發動攻擊。他們也呼籲使用者要留意這種新型態的攻擊手法。
臺廠四零四科技於6月上旬,針對旗下的設備伺服器NPort 5100系列修補零時差漏洞,最近通報漏洞的資安業者公布這些漏洞可能會造成的危害,並呼籲用戶應儘速安裝新版韌體。
【攻擊與威脅】
駭客竊取SQL Server、MySQL伺服器的網路頻寬,將其出售牟利
駭客從受害電腦竊取的東西,不只是機密檔案、電腦運算能力,就連網路頻寬也能偷來賺錢,其手法是暗中植入代理伺服器軟體(Proxyware),將受害電腦的流量供他人使用如今也針對企業的資料庫系統下手。資安業者AhnLab發現近日有人鎖定SQL Server、MySQL等資料庫主機,透過廣告軟體(如Neoreklami)來植入Peer2Profit或IPRoyal網路頻寬共享軟體。
其中比較值得留意的是,駭客在濫用IPRoyal的服務牟利時,他們會較為偏好使用CLI版本的用戶端程式,透過命令列的方式來部署,使得受害組織難以察覺遭到攻擊的跡象。
因應微軟封鎖來自網路的Office巨集,駭客使用ISO映像檔、RAR壓縮檔打包惡意文件
為了防堵駭客利用Office惡意巨集發動攻擊,微軟自6月開始,針對來自網路上的Office檔案,直接封鎖巨集的功能,但道高一尺魔高一丈,駭客已設法突破這樣的保護措施。
資安業者Proofpoint發現,微軟從去年10月開始宣布要採取相關措施後,有越來越多駭客在發動網路釣魚攻擊的時候,將惡意文件檔案進行包裝,他們會使用ISO、IMG光碟映像檔,或是RAR壓縮檔來挾帶這類文件檔案,使得這些惡意文件檔案不會被加上來自於網路的標記(Mark-of-the-Web,MOTW),而能突破微軟的防護機制,駭客仍然可以引誘受害者啟用巨集來達成目的。
研究人員指出,另一個受到許多駭客採用的手法,則是使用LNK捷徑檔案來執行惡意軟體,自去年10月至今,相關的攻擊行動數量成長近17倍(1675%)。
機器學習模型有可能會被騙過而影響資安系統的偵測能力!研究人員透過人工智慧對抗性攻擊,導致資安防護系統產生大量誤報
近年來為了加速找出資安威脅並做出回應,資安防護系統採用機器學習與深度學習的情況越來越普遍,但有研究人員提出警告,駭客有可能操弄機器學習的機制,進而繞過資安防護系統。
美國要塞軍校(The Citadel)的研究人員指出,他們發現攻擊者有可能藉由特製的假資料,來針對採用深度學習模型的網路入侵偵測系統下手,發動對抗性攻擊(Adversarial Attack),以愚弄神經網路進而改變此網路防護系統的行為。
這些研究人員主要聚焦於DNS放大攻擊手法,並訓練一個專門識別此種攻擊的深度神經網路(準確度達98%)模型來進行實驗,結果在使用TextAttack和Elastic-Net Attack兩種對抗性攻擊手法後,上述透過深度神經網路打造的網路威脅檢測系統的準確性顯著下降,並產生大量誤報和漏報。研究人員計畫日後針對實際運作的網路入侵偵測系統進行相關檢測。
【漏洞與修補】
臺廠Moxa修補工控裝置伺服器設備的零時差漏洞
資安業者En Garde Security提出警告,臺灣工控網路通訊業者四零四科技(Moxa)旗下的NPort 5100系列設備伺服器,存在兩個零時差漏洞CVE-2022-2043、CVE-2022-2044,CVSS風險評分為7.5與8.2分,一旦遭到利用,攻擊者很可能藉由越界寫入的手法,或是改變記憶體數值,導致此裝置出現無法回應的狀態。
四零四科技在3月獲報後,於6月上旬予以修補,並表示這些漏洞只存在於2.10版韌體。美國網路安全暨基礎設施安全局(CISA)也於7月26日發布資安通告,呼籲用戶應儘速部署新版韌體。
【其他資安新聞】
惡意NPM套件攻擊行動LofyLife在受害電腦植入竊密軟體,目標是Discord用戶的Token
藝術組織電子報管理系統WordFly遭勒索軟體攻擊,2週後相關服務仍未復原
辦公室軟體LibreOffice修補可能會遭到暴力破解主金鑰的漏洞
近期資安日報
【2022年7月28日】 網路傭兵Knotweed利用CSRSS零時差漏洞發動攻擊、阿里雲OSS儲存桶被用於散布惡意軟體及挖礦
【2022年7月27日】 駭客意圖透過IIS伺服器延伸套件在Exchange植入後門、研究人員揭露Node.js原型污染漏洞
【2022年7月26日】 駭客以程式語言Rust打造竊密軟體、中國駭客使用UEFI惡意軟體CosmicStrand發動攻擊
Read Rhis 👉 新聞來源
——
吹水:Just Share
t.me/BuzzerShare
——
via NG JCbwre7L
#臺灣 #TWN 🇹🇼
#iThomeOnline
留言
張貼留言