欢迎光临
我们一直在努力

年终,警惕冒充“疾管中心”、“市场监管”等进行的电信诈骗活动

Ysck阅读(4)

 

作者:猎影实验室

背景

2021年1月8日,国家反诈中心提醒:有不法分子借预约新冠疫苗接种发布虚假链接非法收集公民个人信息,案犯群发所谓“开放预约、名额有限”短信,引诱受害人点击木马网址链接,要求填写身份证号、手机号、银行卡号等,随后套取银行卡验证码,将账户内资金转走。

我们通过安恒威胁情报中心平台以及安恒Sumap全球网络空间超级雷达进行关联分析,还发现了该事件相关的多个钓鱼网站。

这些钓鱼网站使用了四种风格相似的网页模板,钓鱼模板伪装为“统一企业执照信息管理系统”“国家企业执照信息公示系统”“国家企业信用信息公示系统”“统一全程电子化商事等级管理系统”等多个系统。当用户点击查询或认证时,将要求用户提供姓名、身份证、手机号码、银行卡号、交易密码等个人信息,以进行下一步的活动。

 

通过多个模板进行钓鱼活动

钓鱼网站的网页模板有以下四种,虽然不同模板的页面布局有区别,但收集的用户信息和提交后跳转的页面都是相同的,下面将分别介绍。

模板一

伪装为“统一企业执照信息管理系统”

模板一伪装成“统一企业执照信息管理系统”界面,

如https://www.gsjzzz[.]site,

点击“登记认证”按钮进入下一页面后,会进入到信息填写页面,要求用户输入真实姓名、身份证号、银行卡号、手机号等信息进行提交。

该网站在2020年10月21日被市场监督管理局曝光,

市场监督管理局称:“犯罪分子以‘工商管理’、‘工商登记’等名义向市场主体发送短信,以需要上网‘认证’为由,诱导登录‘钓鱼网站’链接后将其银行账户内的资金转走,导致经营者遭受损失。”

模板二

伪装为“国家企业执照信息公示系统”

模板二伪装为“国家企业执照信息公示系统”,在进入界面前会提示政策声明。界面几乎和模板一完全相同,只是系统名称发生了变化。

如http://hwww.0dqcutg[.]top,访问后会显示一段“《关于个体工商户升级电子版本政策措施》的声明”,

点击确认后进入“国家企业执照信息公示系统”伪装页面,

点击“登记认证”后进入以下界面,同样要求用户输入真实姓名、身份证号、银行卡号、手机号等信息进行提交。

模板三

伪装为“国家企业信用信息公示系统”

模板三伪装成“国家企业信用信息公示系统”,

如http://www.mm2h.net[.]cn,

当点击“确认”或“搜索”等按钮时,将进入认证界面,要求填入法人姓名、身份证号。

当用户输入身份信息并点击“开始认证”时,将提示法人信息过期,并跳转到下一个页面,并要求用户提交更详细的个人信息。

模板四

伪装为“统一全程电子化商事等级管理系统”

模板四伪装为“统一全程电子化商事等级管理系统”,在访问时也会显示相关政策声明,和模板二的声明部分相似,

如https://gswzl[.]cc,但文字有了变化,如下所示。

点击确认后,将进入系统界面,提示用户输入手机号码进行认证,当点击认证时,将跳转到认证界面。

在认证界面中点击“下一步”后,将提示用户输入更详细的个人信息完成认证。

当用户在任意模板中填写并提交个人信息后,将跳转到以下页面,并一直循环刷新,以欺骗用户系统正在提交中。

并且查看代码发现用户输入的信息将发送给攻击者控制的恶意域中。

 

结论

攻击者通过短信引诱用户点击钓鱼网站链接,诱导用户登录,并让其输入银行卡号等个人信息,以进行下一步的违法犯罪活动,导致用户遭受损失。

安恒威胁情报中心猎影实验室提醒广大用户,切勿轻信可疑的收集短信,不要访问来历不明的链接,不要随意提交个人信息。

 

IOC

备注

IOC存在历史不活跃的和当前活跃的,以及可能还会有新的,这里给出当前活跃的。

Domain(当前活跃的):

0dqcutg[.]top

baofengyuan[.]com

bjlqw[.]cn

fskf[.]cn

gongsz[.]site

gs.gswll[.]site

gsde[.]site

gsjaal[.]site

gsjdle[.]site

gsjhg[.]site

gsjzzz[.]site

gswal[.]site

gswll[.]site

gswvy[.]site

gswzl[.]cc

gzjsk[.]site

hdcx[.]cc

m.nmqsj[.]com

nmbst[.]cn

tgyd99[.]net

tianguyudao[.]com

tianguyudao[.]net

zhlr[.]cc

zout[.]cc

zyky[.]site

zzlk[.]cc

senhaihongtu[.]com

awrbiup[.]cn

raixkd[.]cn

yynjd37[.]cn

cubibonus[.]com

frvxiw[.]cn

fi7229[.]cn

ip(周期短,仅参考)

112.121.174[.]195

154.92.23[.]247

112.121.174[.]198

124.156.100[.]167

124.156.154[.]69

112.121.174[.]197

112.121.174[.]196

45.114.125[.]124

45.114.124[.]119

156.255.214[.]196

112.121.174[.]194

156.255.214[.]198

154.92.23[.]139

154.92.22[.]44

143.92.51[.]118

154.92.22[.]61

103.149.90[.]217

150.129.80[.]38

103.94.180[.]209

45.195.8[.]233

 

参考

1 https://m.weibo.cn/detail/4591198008778192#comment

2 https://baijiahao.baidu.com/s?id=1681156050512423270&wfr=spider&for=pc

本文为安恒威胁情报中心原创

转载请注明出处,谢谢

安恒信息威胁情报中心专注于提供威胁情报数据和分析服务 平台地址:https://ti.dbappsecurity.com.cn/

1月14日每日安全热点 – Sunburst后门分析报告

Ysck阅读(6)

漏洞 Vulnerability
CVE-2021-1647:Microsoft Defender远程代码执行漏洞通告
2021-01 补丁日: 微软多个高危漏洞通告
Laravel <= 8.4.2 Debug模式 _ignition 远程代码执行漏洞
安全工具 Security Tools
RadareEye:一种专门用于扫描附近设备(BLE,蓝牙和Wifi)并在目标设备进入范围内时在系统上执行给定命令的工具
Sigurls:一种侦察工具,它从AlienVault的OTX,Common Crawl,URLScan,Github和Wayback机中获取URL
安全研究 Security Research
使用跨进程 XSS 逃逸 macOS Safari 沙箱
TRENDnet 无线摄像头 TV-IP512WN 栈溢出漏洞分析
Jackson反序列化漏洞(CVE-2020-36188)从通告到POC
三星手机内核防护技术RKP深度剖析(一)
恶意软件 Malware

Incaseformat 蠕虫病毒威胁通告

Ysck阅读(5)

 

0x01事件简述

2021年01月13日,360安全卫士发布了Incaseformat蠕虫病毒的风险通告,事件等级:高危,事件评分:8.5

360第一时间发布了专杀工具与修复方案(见修复建议)

对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
360CERT评分 8.5

 

0x03修复建议

通用修补建议

360安全卫士已支持对该病毒的查杀

用户可以通过安装360安全卫士或通过软件管家下载incaseformat专杀工具

临时修补建议

1、 文件不见了,空间占用正常

1)不要重启,清空安全卫士信任区

2) 进行全盘杀毒

2、 已经重启,或磁盘空间减少

1) 立即切断主机电源,并使硬盘断电

2) 向专业的数据恢复人员求助

 

0x04产品侧解决方案

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对本次安全事件,用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x05时间线

2021-01-13 360安全卫士发布通告

2021-01-13 360安全卫士发布专杀工具

2021-01-14 360CERT发布通告

 

0x06参考链接

1、 最新暴力蠕虫病毒“incaseformat”来袭!360安全卫士轻松拿下!

 

0x07特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

Incaseformat 蠕虫病毒威胁通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

TRENDnet 无线摄像头 TV-IP512WN 栈溢出漏洞分析

Ysck阅读(10)

 

CVE ID: CVE-2020-12763

漏洞描述

TRENDnet(趋势网络) ProView Wireless camera TV-IP512WN 1.0R 1.0.4 版本中的 RTSP 数据包在处理过程存在缓冲区溢出漏洞。攻击者可利用该漏洞执行代码或导致拒绝服务。漏洞发生在 /sbin 目录下的二进制文件 rtspd 中,该文件主要负责处理设备接收到的 RTSP 连接。当文件在解析 RTSP header 的 “Authorization: Basic” 字段时,由于字段内容的长度不确定,程序又没有对拷贝到栈上的内容长度进行检查限制,因此可能会导致缓冲区溢出,更严重的是该漏洞无需登录授权便可以触发。

在探讨技术细节前请注意以下几点:

1、漏洞是在该型号产品最新版本的固件中发现的。
2、漏洞已经上报厂商 TRENDnet。
3、TRENDnet 认为该产品已停产,所以拒绝漏洞验证。

 

漏洞产品

厂商: TRENDnet
影响产品:ProView Wireless N Network Camera TV-IP512WN (Version v1.0R)
固件:FW_TV-IP512P_512WN(1.0.4).zip
SHA-1:B27998BBB4C8503E9314730F504E389B56AD6F6C
产品链接:https://www.trendnet.com/support/support-detail.asp?prod=175_TV-IP512WN

 

产品图片

 

固件详情

 

漏洞分析

需要澄清的一点是,受新冠疫情影响,我很难买到这次分析用的无线摄像头设备,也就无法实际触发该漏洞,所以我是通过静态分析发现的这个漏洞。为方便读者理解,我会把反编译后的代码截图放到文章里,并对大部分函数和变量进行了重命名。

这次漏洞是典型的 CWE-120 栈溢出错误,错误可被利用于远程执行代码(RCE)或拒绝服务(DOS)攻击。溢出发生在 sbin 目录下的二进制文件 rtspd,该文件主要负责处理设备接收到的 RTSP 连接请求。

函数 parse_auth_header(address 0x11a18)解析 Authorization: Basic header 的时候会发生栈溢出,函数被调用时传入两个缓冲区参数,第一个存放 RTSP header,第二个用来存放解析后获得的 header 值,下图为反编译后的函数代码。

图 A:校验头解析函数 parse_auth_header 反汇编代码

我们来试着理解下这个函数:

  1. 1、如上图代码所示,10-17 行是一个循环,从缓冲区第一个字符开始搜索 header 字符串 “Authorization: Basic”,如果找到就断开循环,然后将指针 src_buf_ptr 前移 0x15 个字节(长度刚好指向 header 值的内容)。
    2、调用 strstr 函数查找换行符 “rn”,返回一个 char 指针 newline_ptr。
    3、将前面两个指针相减,获得的差值便是 Authorization: Basic header 值的长度。
    4、函数 memcpy 把 src_buf_ptr 指针指向的 header 值内容拷贝到缓冲区 dest_buf 里面,程序执行到这一步时可能会发生溢出错误,因为程序没有检查 dest_buf 的长度是否足够容纳 header 值的内容,如果内容过长的话就会导致 dest_buf 缓冲区溢出,接下来我会证明这一点。

先来看下传给函数的参数是什么。
将地址为 0x11ae8 的函数重命名为 check_authentication,函数中调用了parse_auth_header 函数,请看下图的反汇编代码。

图 B:check_authentication 函数反汇编代码

可以看到,parse_auth_header 是在第 35 行被调用的,第一个参数来自调用函数check_authentication 的最后一个指针参数 param_4(此处原文作者描述和所给图片有出入,所以稍有修改),第二个参数是一个 char 型指针,指向的缓冲区大小为 64,希望你能明白这里的问题所在:

传入 parse_auth_header 的第二个缓冲区参数大小是固定的(64 个字节),而当函数拷贝数据时又没有校验数据长度是否在缓冲区大小范围内。

发现这个问题并不难,但我们怎么知道函数处理的数据是来自 socket 呢?问得好,先找到调用 check_authentication 的函数,重命名为 is_client_authenticated,下图为反汇编后的函数代码:

图 C:函数 is_client_authenticated 的反汇编代码

check_authentication 函数在第 23 行被调用,根据其返回值,程序会判断下一行的 if 代码块是否执行。if 代码块(24-35 行)除了在控制台输出文件名和函数名,还会将一行拼接有 RTSP/1.0 401 Unauthorized 内容的字符串作为 send 函数的参数,而 send 函数用于向 socket 写入数据,这就证明了之前的一系列函数是在做权限校验工作,如果 Authorization Basic header 内容过长的话,就会触发溢出漏洞。

继续探究,找到所有 is_client_authencticate 函数的调用,这能帮助我们更好地了解程序何时进行权限校验,请看下面的函数调用情况:

图 D

图 E

图 F

图 G

图 H

图 I

如上图代码所示,当触发摄像头的暂停,设置,播放,拆分等功能时,程序就会调用函数 is_client_authencticate,以检查收到的功能请求授权是否合法,返回值为 0 表示校验通过,然后实现功能,否则程序直接返回。

这篇 维基百科 介绍了 RTSP 的协议格式,进一步印证了上面我们看到的图 D – 图 I 中的各个功能。

另外需要注意的一点是,由于这个 bug 是在解析 Authorization header 时触发的,也就意味着无需授权就能够执行 RCE,这在很大程度上加剧了漏洞的严重性。

 

结论

我们看到了数据包解析代码里一个小小的 bug 就能导致缓冲区溢出,也见识了攻击者是怎样绕过权限校验触发漏洞的,虽然还没法写出一个行之有效的 PoC 来证明 RCE ,但是我会在文章第二部分试着搭建 qemu 环境,模拟运行二进制文件,通过创建远程 socket 连接的方式实现 RCE,触发漏洞,然后大功告成!

From 新概念研究中心

2021-01 补丁日:微软多个高危漏洞通告

Ysck阅读(13)

 

0x01事件简述

2021年01月13日,360CERT监测发现发布了的风险通告,事件等级:严重,事件评分:8.8

此次安全更新发布了83个漏洞的补丁,主要涵盖了以下组件: Windows操作系统、Edge浏览器、Office办公套件、Windows 编解码器库、Visual Studio、SQL Server、反病毒引擎、.NET、Azure 。其中包括10个严重漏洞,73个高危漏洞。

对此,360CERT建议广大用户及时将Windows操作系统及相关组件升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 8.8

 

0x03影响版本

已利用>易利用>可利用>难利用

编号 标题 新版可利用性 旧版可利用性 公开状态 在野利用 导致结果
CVE-2021-1647 [严重]CVE-2021-1647 远程代码执行漏洞 已利用 已利用 No Yes 远程代码执行
CVE-2021-1665 [严重]CVE-2021-1665 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1673 [严重]CVE-2021-1673 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1660 [严重]CVE-2021-1660 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1658 [严重]CVE-2021-1658 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1666 [严重]CVE-2021-1666 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1667 [严重]CVE-2021-1667 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1668 [严重]CVE-2021-1668 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1643 [严重]CVE-2021-1643 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1642 [高危]CVE-2021-1642 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1644 [高危]CVE-2021-1644 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1641 [高危]CVE-2021-1641 欺骗漏洞 可利用 可利用 No No 欺骗
CVE-2021-1636 [高危]CVE-2021-1636 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1637 [高危]CVE-2021-1637 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1651 [高危]CVE-2021-1651 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1652 [高危]CVE-2021-1652 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1653 [高危]CVE-2021-1653 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1654 [高危]CVE-2021-1654 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1655 [高危]CVE-2021-1655 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1656 [高危]CVE-2021-1656 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1657 [高危]CVE-2021-1657 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1659 [高危]CVE-2021-1659 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1661 [高危]CVE-2021-1661 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1662 [高危]CVE-2021-1662 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1663 [高危]CVE-2021-1663 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1664 [高危]CVE-2021-1664 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1669 [高危]CVE-2021-1669 安全特性绕过漏洞 可利用 可利用 No No 安全特性绕过
CVE-2021-1670 [高危]CVE-2021-1670 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1671 [高危]CVE-2021-1671 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1672 [高危]CVE-2021-1672 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1674 [高危]CVE-2021-1674 安全特性绕过漏洞 可利用 可利用 No No 安全特性绕过
CVE-2021-1676 [高危]CVE-2021-1676 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1679 [高危]CVE-2021-1679 拒绝服务漏洞 可利用 可利用 No No 拒绝服务
CVE-2021-1680 [高危]CVE-2021-1680 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1681 [高危]CVE-2021-1681 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1682 [高危]CVE-2021-1682 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1683 [高危]CVE-2021-1683 安全特性绕过漏洞 可利用 可利用 No No 安全特性绕过
CVE-2021-1684 [高危]CVE-2021-1684 安全特性绕过漏洞 可利用 可利用 No No 安全特性绕过
CVE-2021-1685 [高危]CVE-2021-1685 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1686 [高危]CVE-2021-1686 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1687 [高危]CVE-2021-1687 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1688 [高危]CVE-2021-1688 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1689 [高危]CVE-2021-1689 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1690 [高危]CVE-2021-1690 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1691 [高危]CVE-2021-1691 拒绝服务漏洞 可利用 可利用 No No 拒绝服务
CVE-2021-1692 [高危]CVE-2021-1692 拒绝服务漏洞 可利用 可利用 No No 拒绝服务
CVE-2021-1693 [高危]CVE-2021-1693 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1694 [高危]CVE-2021-1694 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1695 [高危]CVE-2021-1695 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1696 [高危]CVE-2021-1696 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1697 [高危]CVE-2021-1697 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1707 [高危]CVE-2021-1707 远程代码执行漏洞 易利用 易利用 No No 远程代码执行
CVE-2021-1708 [高危]CVE-2021-1708 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1709 [高危]CVE-2021-1709 权限提升漏洞 易利用 易利用 No No 权限提升
CVE-2021-1710 [高危]CVE-2021-1710 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2020-26870 [高危]CVE-2020-26870 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1711 [高危]CVE-2021-1711 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1712 [高危]CVE-2021-1712 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1718 [高危]CVE-2021-1718 篡改漏洞 可利用 可利用 No No 篡改
CVE-2021-1723 [高危]CVE-2021-1723 拒绝服务漏洞 可利用 可利用 No No 拒绝服务
CVE-2021-1725 [高危]CVE-2021-1725 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1650 [高危]CVE-2021-1650 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1649 [高危]CVE-2021-1649 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1648 [高危]CVE-2021-1648 权限提升漏洞 可利用 可利用 Yes No 权限提升
CVE-2021-1646 [高危]CVE-2021-1646 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1645 [高危]CVE-2021-1645 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1638 [高危]CVE-2021-1638 安全特性绕过漏洞 可利用 可利用 No No 安全特性绕过
CVE-2021-1677 [高危]CVE-2021-1677 欺骗漏洞 可利用 可利用 No No 欺骗
CVE-2021-1678 [高危]CVE-2021-1678 安全特性绕过漏洞 可利用 可利用 No No 安全特性绕过
CVE-2021-1699 [高危]CVE-2021-1699 信息泄漏漏洞 可利用 可利用 No No 信息泄漏
CVE-2021-1700 [高危]CVE-2021-1700 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1701 [高危]CVE-2021-1701 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1702 [高危]CVE-2021-1702 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1703 [高危]CVE-2021-1703 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1704 [高危]CVE-2021-1704 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1705 [中危]CVE-2021-1705 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1706 [高危]CVE-2021-1706 权限提升漏洞 可利用 可利用 No No 权限提升
CVE-2021-1713 [高危]CVE-2021-1713 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1714 [高危]CVE-2021-1714 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1715 [高危]CVE-2021-1715 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1716 [高危]CVE-2021-1716 远程代码执行漏洞 可利用 可利用 No No 远程代码执行
CVE-2021-1717 [高危]CVE-2021-1717 欺骗漏洞 可利用 可利用 No No 欺骗
CVE-2021-1719 [高危]CVE-2021-1719 权限提升漏洞 可利用 可利用 No No 权限提升

 

0x04修复建议

通用修补建议

360CERT建议通过安装360安全卫士进行一键更新。

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Windows server / Windows 检测并开启Windows自动更新流程如下

-点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。

-点击控制面板页面中的“系统和安全”,进入设置。

-在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。

-然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)

临时修补建议

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

2021 年 01 月安全更新 – 发行说明 – 安全更新程序指南 – Microsoft

 

0x05产品侧解决方案

360安全卫士

针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x06时间线

2021-01-12 微软发布安全更新

2021-01-13 360CERT发布通告

 

0x07参考链接

1、 2021 年 1 月安全更新

2、 THE JANUARY 2021 SECURITY UPDATE REVIEW

 

0x08特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

2021-01 补丁日: 微软多个高危漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

CVE-2021-1647:Microsoft Defender远程代码执行漏洞通告

Ysck阅读(13)

 

0x01漏洞简述

2021年01月13日,360CERT监测发现Microsoft发布了Microsoft Defender 缓冲区溢出漏洞的风险通告,该漏洞编号为CVE-2021-1647,漏洞等级:高危,漏洞评分:7.8

攻击者通过构造特殊的PE文件,可造成Microsoft Defender 远程代码执行

该漏洞目前有在野利用

对此,360CERT建议广大用户及时将Microsoft Defender升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
360CERT评分 7.8

0x03漏洞详情

CVE-2021-1647: 缓冲区溢出漏洞

攻击者通过构造特殊PE格式的文件,使得Microsoft Defender在对该文件进行解析的时候,产生缓冲区溢出,从而造成远程代码执行。

 

0x04影响版本

Microsoft:Microsoft Defender:Windows 8.1 for 32-bit systems

Microsoft:Microsoft Defender:Windows 7 for x64-based Systems Service Pack 1

Microsoft:Microsoft Defender:Windows 7 for 32-bit Systems Service Pack 1

Microsoft:Microsoft Defender:Windows Server 2016 (Server Core installation)

Microsoft:Microsoft Defender:Windows Server 2016

Microsoft:Microsoft Defender:Windows 10 Version 1607 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1607 for 32-bit Systems

Microsoft:Microsoft Defender:Windows 10 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 for 32-bit Systems

Microsoft:Microsoft Defender:Windows Server, version 20H2 (Server Core Installation)

Microsoft:Microsoft Defender:Windows 10 Version 20H2 for ARM64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 20H2 for 32-bit Systems

Microsoft:Microsoft Defender:Windows 10 Version 20H2 for x64-based Systems

Microsoft:Microsoft Defender:Windows Server, version 2004 (Server Core installation)

Microsoft:Microsoft Defender:Windows 10 Version 2004 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 2004 for ARM64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 2004 for 32-bit Systems

Microsoft:Microsoft Defender:Windows Server, version 1909 (Server Core installation)

Microsoft:Microsoft Defender:Windows 10 Version 1909 for ARM64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1909 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1909 for 32-bit Systems

Microsoft:Microsoft Defender:Windows Server 2019 (Server Core installation)

Microsoft:Microsoft Defender:Windows Server 2019

Microsoft:Microsoft Defender:Windows 10 Version 1809 for ARM64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1809 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1809 for 32-bit Systems

Microsoft:Microsoft Defender:Windows 10 Version 1803 for ARM64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1803 for x64-based Systems

Microsoft:Microsoft Defender:Windows 10 Version 1803 for 32-bit Systems

Microsoft:Microsoft System Center 2012 Endpoint Protection

Microsoft:Microsoft Security Essentials

Microsoft:Microsoft System Center 2012 R2 Endpoint Protection

Microsoft:Microsoft System Center Endpoint Protection

Microsoft:Microsoft Defender:Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Microsoft:Microsoft Defender:Windows Server 2008 for 32-bit Systems Service Pack 2

Microsoft:Microsoft Defender:Windows RT 8.1

Microsoft:Microsoft Defender:Windows 8.1 for x64-based systems

Microsoft:Microsoft Defender:Windows Server 2012 R2 (Server Core installation)

Microsoft:Microsoft Defender:Windows Server 2012 R2

Microsoft:Microsoft Defender:Windows Server 2012 (Server Core installation)

 

0x05修复建议

通用修补建议

360CERT建议通过安装

360安全卫士

进行一键更新。 应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Windows server / Windows 检测并开启Windows自动更新流程如下

-点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。

-点击控制面板页面中的“系统和安全”,进入设置。

-在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。

-然后进入设置窗口,展开下拉菜单项,选择其中的 自动安装更新(推荐) 。

临时修补建议

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

2021 年 1 月安全更新 – 发行说明 – 安全更新程序指南 – Microsoft

 

0x06产品侧解决方案

360安全卫士

针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x07时间线

2021-01-12 微软发布安全更新

2021-01-13 360CERT发布通告

 

0x08参考链接

1、 Microsoft Defender Remote Code Execution Vulnerability

 

0x09特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

CVE-2021-1647:Microsoft Defender远程代码执行漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

与狼共舞:2020年网络安全产业核心洞察报告

Ysck阅读(13)

 

一、卷首语

自2020年1月9日武汉报道国内首例新冠死亡案例以来,过去12个月全球有180多万人被新冠病毒夺去生命。全球经济遭遇重创,各国社交隔离政策导致数以千万计的员工转向远程办公。至今,这场人类历史罕见的大流行,仍在持续肆虐。

对于全球网络安全行业来说,2020年是一场炼狱级的挑战,不仅要应对数量规模创下历史新高的安全漏洞和网络攻击,还随时要护航“敦刻尔克式”的大规模远程办公和云端迁移。年末SolarWinds供应链攻击为2020年打出了严重性满级评分,这场堪称过去十年最严重的网络攻击事件,正在酝酿一场全球性的网络空间安全冷战。

2020年,网络安全的热门关键词很多:安全能力、安全上云、安全左移、安全内生、安全智能……,在日趋实战化、高动态大强度对抗的网络安全环境中,网络安全厂商和企业都在重新思考定位、战术与策略。

企业用户和资本市场则开始集体反思和重新评估网络安全价值和优先级。全球范围内的多项CIO调研显示,2020年下半年网络安全已经成为多数企业IT预算的最高优先级。与之呼应的是,2020年,中国网络安全市场先”疫”后扬,低开高走,多数企业的业绩经历一、二季度的疫情冲击后,三、四季度实现反弹。网络安全资本市场更是逆势飘红,不但A股网络安全板块市值年中创下新高,创投融资规模也不断刷新记录。

面对人类历史上“驻留”、“横向移动”和“迭代”能力最强的“高级持续威胁”——新冠病毒,零信任(微隔离)、快速检测、分析与响应,已经被证明是目前最有效的遏制新冠病毒流行的方法。

同样,面对高速产业化、复杂化和定制化的勒索软件与APT攻击以及大规模杀伤性的供应链攻击,无论从用户需求、市场趋势还是资本热度来看,2020年和未来数年网络安全产业的趋势和热点都已逐渐明晰:重新构筑基于信任的安全生态链,连续无摩擦的内生安全防御体系,以及围绕“快速检测与响应”打造核心安全运营能力。

回首先“疫”后扬,浴火重生的2020,安全牛分析师在本报告中将从产业、企业、用户、资本、政策五大维度为读者立体复盘和解读中国网络安全产业的关键变量与趋势。

 

二、网络安全产业关键发现

发现1:2019年国内网络安全总市场规模580亿元,同比增加32%,产业市场规模增速远高于国际平均水平。随着新基建的开展及一系列政策的规范,中国网络安全市场在未来3到5年仍将保持较快的增长态势。

发现2:网络安全产业碎片化特征长期存在,但基于2019年统计数据发现,综合类企业的整体市场占比继续处于上升状态,网络安全领域的集中化趋势开始显现。

发现3:整个网络安全行业的平均利润率约为7.83%,应用安全、安全管理与服务、业务安全等传统安全领域利润水平较高,工控系统安全、云安全、物联网安全等新兴安全技术领域仍然处于市场培育与研发投入阶段,整体利润率较低。

发现4:近年来,网络安全多数细分领域厂商的产出效率都在提升状态,尤其是云安全、业务安全、新兴安全、物联网安全等领域增幅较大,整个安全行业企业也在趋于高效化发展。2019年网络安全行业平均人均产出为63.82万元。

发现5:随着数据成为企业发展的重要资产,大数据安全、数据防泄密、隐私保护等数据安全问题,成为甲方用户在本次调研中,重点关注的保护和建设方向。在安全牛网络安全百强CISO调查的72个细分安全领域中,大数据安全、数据防泄漏、web安全、APP安全、高级威胁防护和隐私增强等是CISO最关注的细分安全领域。

发现6:网络安全领域受到资本市场重点关注,由于网络安全成为国家安全战略的重要组成部分,安全企业的估值优势进一步提升。自注册制改革以来,受益于行业政策及资本市场政策的双重利好,网安企业IPO进入密集爆发期。国内融资交易三大热点:身份与访问控制、安全运营、数据安全;境外并购三大热点:云安全、安全运营、应用安全。

 

三、核心洞察——产业篇

安全牛百强及全景图收集行业信息,基本覆盖网络安全产业企业,以计算企业收入总和加预估未收录企业收入形式,统计各年度安全产业市场规模(跨行业综合性厂商只计算安全类业务收入)。计算得出,2019年国内网络安全总市场规模580亿元,较上年增加32%,2020年受疫情影响市场增量较小,但相对其他行业仍属较快增长,预计增长规模为8%,同样计算从2017年至2020年网络安全市场情况如下图所示。

可见,除2020年受疫情影响市场增速放缓,近年中国网络安全市场一直保持着30%以上的增长速度。由于国内的政策、市场等因素影响,行业增长远高于国际平均水平。随着新基建的开展及一系列政策的规范,中国网络安全市场在未来3到5年仍将保持着较大的增长态势。

根据安全牛对网络安全领域的产品和服务分类,各安全厂商根据提供产品/服务分为13个子领域,分别为:云安全、应用安全、业务安全、新兴安全、物联网安全、数据安全、工控系统/OT安全、网络与边界安全、身份与访问控制、端点安全、安全管理与服务、安全运营、综合类等。通过统计近3年各领域厂商收入水平,判断行业市场情况如下图所示(部分非综合类厂商有多项业务领域,统计数额有小部分重合):

由上图可清晰见到,所有领域整体规模都有显著增长,由于品牌效应、规模效应等因素,综合类厂商整体收入水平远高于其他。2019年,网络安全市场综合类厂商收入占总市场的39.64%。由于产业链位置关系,综合类厂商也会采购各分领域产品,再由其向甲方提供综合解决方案。

根据安全牛统计,2019年各细分领域市场份额占比情况如下:

另外通过收集近3年各领域市场份额数据进行对比(见下图),发现综合类企业的市场份额每年处于上升状态,而多数细分领域的市场占比多数处于下降状态。但各领域的市场总量仍保持着较高的成长状态,并未由于市场份额减少而影响其收入的增长。由此可看出网络安全市场正处于一种日趋集中的产业格局,综合类厂商凭借自身优势占领直接甲方市场,同时以代理、采购、外包乃至并购等形式整合各细分领域厂商资源,逐步提升自身市场地位。

 

四、核心洞察——企业篇

以下厂商分布情况是根据安全牛收集整理百强及全景图企业得出,基本覆盖安全行业各个领域(极小部分企业未收录,对整体比例不造成重要影响),情况如下:

安全牛通过安全行业企业多方面经营数据收集,通过多维度比较分析,得出以下经营指标:安全牛统计2019年各领域企业收入情况,阶梯性统计企业收入,按照收入范围划分5个阶段,由此统计各领域收入的集中情况及整个市场的竞争格局。

综合类企业仍然占据市场的大部分比例,且被大型厂商占据大部分市场空间,而如网络边界与安全、云安全等仍呈现较为松散的竞争格局,另外部分细分领域由于本身市场空间限制,并未有大型的专注型厂商出现。

经统计,整个网络安全行业的平均利润率约为7.83%,其中超过行业平均值的领域分别为:

在高利润率领域的企业中,表现为产品自研率较高,且其领域相对进入成熟期,能够形成稳定收入。而利润率未达到平均值的安全运营、端点安全、网络与边界安全、物联网安全、新兴安全、云安全、工控系统/OT安全等领域中,一种情况由于产品自研比例相对较小,导致毛利偏低,另一种情况由于该领域处于起步状态,从产品研发及市场上相对没有成熟,因此整体收入水平不高导致利润水平偏低甚至暂时处于亏损状态。

据安全牛统计,2019年厂商网络安全从业人员约10万人,各领域企业平均人数为:

综合类企业普遍为大型厂商,规模通常较大,业务安全和新兴安全领域由于有大中型厂商的参与,平均人员规模也相对较大。而部分领域厂商由于其发展阶段、产品性质等因素,普遍规模不大。

2019年,安全行业平均人均产出为63.82万元,结合近三年来各企业的收入情况,计算各领域的人均产出,可以看出:

虽然由于各厂商由于商业模式不同人均产出不同,但可看出近年来多数领域的产出效率都在提升状态,云安全、业务安全、新兴安全、物联网安全等领域增幅较大,整个安全行业企业也在趋于高效化发展。

 

五、核心洞察——用户篇

我们一对一调研了来自政府、金融、电信运营商、能源、互联网、制造业、医疗、教育等十多个行业多达105名央企及大中型企业的IT与安全技术决策者(CIO/CSO/CISO/CTO),以求获得更加精准且符合市场的数据。

以受访者岗位划分,受访者比例如下:

受访者为面向甲方广泛收集,其中行业分布为(由于行业分散度较大,在此仅收录占总数比例大于1%的行业):

经对甲方企业的深度调研,客户在选择供应商时,重点考虑因素主要包括:

公司层面:由于安全行业有一定进入壁垒,是否具备相关资质,也代表了公司及项目人员的相关能力水平能否通过统一的认证标准,成为了行业的准入门槛。

产品层面:产品为企业的核心,自身产品的技术是否具有先进性,在同类产品中的竞争优势等问题为客户重要关注点。同时,产品的可定制化程度及售后服务方面也会为客户带来更好体验,在增强客户粘性及满意度方面更加重要。

成功案例:尽管很多新兴企业有在自己专精领域的技术领先性和产品特色,但很多甲方客户缺乏对新技术新模式的深度判断能力,仍希望供应商有成熟案例可供参考,包括是否有重要客户的服务案例,及服务是否获得其认可等,以此加强采购的判断依据。

安全牛将甲方诉求集中到安全厂商的12个领域,下设72个分类,甲方根据自身需求及关注点进行排序性选择,其中,领域关注热点总票数情况为:

安全牛又根据其72个细分分类,在甲方全客户群体中调研并按五档优先级排序,整理前20个细分领域如下所示:

根据统计甲方客户关注热点,大数据安全最受甲方关注,如数据防泄漏DLP和隐私增强等领域,虽然整体关注度排名稍靠后,但被选为首选项的情况并未相较整体关注度大幅领先的大数据安全低。

 

六、核心洞察——资本篇

1.融资事件

1.1国内2019年度和2020年度(截至2020.11.30)融资事件总览

图 1:国内2019-2020年(截至2020.11.30)融资事件总览

1.1.1总体融资规模和融资数量(按月度)说明

根据公开数据收集并整理,截至2019年年末中国网安市场共发生融资交易123起,累计发生且公开的融资交易金额总计60.5亿元人民币。

图2:2019年境内网安融资按月份统计

根据公开数据收集并整理,截至2020年11月中国网安市场共发生融资交易106起,累计发生且公开的融资交易金额总计约8.0亿元人民币。

图3:2020年境内网安融资按月份统计

1.1.2 各细分领域融资规模和融资数量(按月度/季度)说明

根据公开数据收集,我们将融资项目分为12大类行业进行统计整理。

2019年,按交易笔数统计:截至2019年年末中国网安市场发生交易笔数前三的分别为数据安全以27起交易位居第一;工控安全20笔位列第二,物联网安全19笔位列第三。

2019年按交易金额统计:截至2019年年末中国网安市场发生交易笔数前三的分别为身份与访问控制18.4亿元人民币,安全运营14.0亿元人民币和数据安全10.1亿元人民币。

图4:2019年境内网安融资按一级行业统计

2020年,按交易笔数统计:截至2020年11月中国网安市场发生交易笔数前三的分别为身份与访问控制以19起交易位居第一;新兴安全排名第二,发生12笔融资交易;数据安全和工控系统/OT安全位列第三,发生11笔融资交易。

2020年按交易金额统计:截至2020年11月境外网安市场发生交易金额前三的分别为身份与访问控制26.8亿元人民币,安全运营12.1亿元人民币,数据安全约8.0亿元人民币。

图5:2020年境内网安融资按一级行业统计

1.2 海外2019年度和2020年度(截至2020.11.30)融资事件总览

图 6:境外2019-2020年(截至2020.11.30)融资事件总览

1.2.1 总体融资规模和融资数量(按月度)说明

根据公开数据收集并整理,2019年境外网安市场共发生融资交易84起,累计发生且公开的融资交易金额总计48.3亿美元。

图7 :2019年境外网安融资按月份统计

根据公开数据收集并整理,截至2020年11月,境外网安市场共发生融资交易161起,累计发生且公开的融资交易金额总计63.9亿美元。

图8:2020年境外网安融资按月份统计

1.2.2各细分领域融资规模和融资数量(按月度)说明

根据公开数据收集,我们将融资项目分为12大类行业进行统计整理。

按交易笔数统计:2019年,境外网安市场发生交易笔数前三的分别为,安全管理与服务行业以14起交易位居第一;云安全位列第二,发生了12笔融资;身份访问与控制和数据安全并列第三,都发生了11笔融资。

按交易金额统计:2019年,境外网安市场发生交易金额前三的分别为,数据安全10.2亿美元,安全管理与服务8.7亿美元,端点安全8.2亿美元。

图9:2019年境外网安融资按一级行业统计

按交易笔数统计:截至2020年11月境外网安市场发生交易笔数前三的分别为,安全管理与服务行业以28起交易位居第一;安全运营和身份与访问控制并列第二,都发生24笔融资交易。

按交易金额统计:截至2020年11月境外网安市场发生交易金额前三的分别为,云安全12.5亿美元,安全管理与服务9.5亿美元,端点安全8.0亿美元。

图10:2020年境外网安融资按一级行业统计

以下部分详细内容见《2020年网络安全产业核心洞察报告》。

1.3国内和海外融资事件比较说明

1.3.1按总体融资规模和融资数量比较说明

1.3.2按各细分领域融资规模和融资数量比较说明

2.IPO事件

2.1国内2019年度和2020年度(截至2020.11.30)IPO事件总览

2.2海外2019年度和2020年度(截至2020.11.30)IPO事件总览

3.上市公司表现

3.1国内相关上市公司表现

3.1.1上市公司2019年度和2020年度(截至2020.11.30)整体表现说明

3.1.2监管政策解读

3.2海外相关上市公司表现

3.2.1上市公司2019年度和2020年度(截至2020.11.30)整体表现说明

3.2.2与国内相关上市公司整体表现对比说明

4.并购事件

4.1国内相关并购事件整体说明2019年度和2020年度(截至2020.11.30)

4.2海外相关并购事件整体说明2019年度和2020年度(截至2020.11.30)

 

七、核心洞察——政策篇

随着《网络安全法》的实施和产业的持续创新,国家关于网络安全相关的产业政策陆续出台,给网络安全产业的发展也带来了积极的影响。

从2019年至2020年网络安全产业相关重要政策可以看出国家对网络安全产业一直保持着支持的态度,以政策及法律法规的形式从多个维度对相关标准进行规范。相对于整个安全产业而言,不仅在短期内可以刺激产业的高速增长,也对网络安全行业健康的、可持续的发展起到了促进作用。

 

八、中国网络安全企业100强

安全牛从经营、用户(甲方)、产业、社会贡献四大维度看安全,强调网络安全市场的生态与战略、技术创新与交付、客户价值与满意度的“三位一体”,编制中国网络安全企业100强。

(本报告相关行业数据来源于安全牛对企业用户、安全厂商的实际调研,资本数据来源于航行资本支持。)

1月13日每日安全热点 – 新西兰储备银行的数据被黑客窃取

Ysck阅读(13)

安全研究 Security Research
恶意软件 Malware
BORG :一个快速进化的僵尸网络
EMOTET:通过电子邮件传播方式对其溯源

关公面前耍大刀?利用色情反向链接威胁网站运营商

Ysck阅读(12)

 

最近,一些网站运营商收到威胁邮件,邮件中称如果他们不发布关于一家加密货币交易所的五星评论,其网站的信誉值将面临大打折扣的风险。

一周前,BleepingComputer收到了一封勒索电子邮件,要求为coinmama.com加密货币交易所进行两次点赞/分享和发布五星评论。 勒索者声称,如果BleepingComputer没有在48小时内执行他们的要求,他们将创建数百万个从色情网站链接到BleepingComputer网站的反向链接,从而破坏网站的声誉。

我需要你为我们留下5星评价和点赞,并在我们的社交媒体渠道上分享我们的帖子。

限你48小时以内完成。 如果我在你的频道上没有看到你的五星级评论和至少两次点赞和分享,我将向bleepingcomputer.com发送数百万个色情反向链接,这会让你的网站被搜索引擎禁止访问。 我已经向你的站点发送了几十个垃圾邮件链接,不信你看看。不过只要我看到你发了好评,我会把这些垃圾邮件链接删除。

好吧,想必上面说的内容已经吸引了你的注意力。现在你需要乖乖做以下事情。

给我们五颗星评价:

https://www.trustpilot.com/review/coinmama.com

关注我们:

https://www.facebook.com/Coinmama/

https://twitter.com/coinmama

https://t.me/coinmamanews

https://il.linkedin.com/company/coinmama

这种勒索策略似乎适得其反,因为收到此电子邮件的其他网站所有者已开始在coinmama.com评价页面上留下负面评论。

BleepingComputer已就有关这些电子邮件的问题与Coinmama联系,但尚未收到回复。 Coinmama可能出于SEO目的雇用了第三方公司,而这并没有按原定的SEO方案计划进行。

这表明向网络安全新闻网站发送敲诈勒索并非明智之举。

在2019年6月,针对网站所有者的另一种敲诈勒索骗局正在进行。 在那次敲诈中,诈骗者扬言要破坏站点的信誉值(site reputation),除非他们支付2400美元的比特币。

川粉新阵地 Parler 被封杀后,数百万用户数据遭泄露,而 Parler 将矛头指向了亚马逊

Ysck阅读(11)

Parler 可能也没想到,自己会随着特朗普的下台而被美国集体封杀。

自 1 月 6 日国会暴动之后,Parler 的用户数从从 450 万用户飙升到 800 万。

1 月 8 日,Twitter 宣布永久封禁特朗普个人账号后,不少特朗普的支持者转而聚集在 Parler 平台。数据显示,这款社交软件的下载量曾达到 34 万次,一度登上苹果免费应用商店排行榜榜首。

可仅仅三天过去,这款社交软件就遭到了谷歌、苹果、亚马逊的全网封杀。

更惨的是其背后的服务商也在逐渐“倒戈”。11日据外媒报道,Parler 创始人、首席执行官(CEO)约翰·马兹(John Matze)称,Parler 的下架可能要比预期的更久,因为自亚马逊、谷歌和苹果发表声明后,其他的云服务公司不愿意与 Parler 合作。

《卫报》11日消息称,客服供应商 Zendesk、手机号码验证合作商 Twilio 和身份管理软件 Okta 等,均停止了与 Parler 的合作。

伴随着全网对其停止服务,Parler 也出现了安全问题。

数百万 paler 用户数据被泄露是黑客故意而为之?

Buzzfeed 新闻网介绍称,“Parler”于 2018 年上线,如今已成为那些因违反脸书和推特等热门社交媒体规则而被封禁处罚的人的“避难天堂”。

这家公司对内容审查和管制采取更为宽松的态度,因而也吸引了大量阴谋论人士、仇恨团体成员和公开煽动暴力的右翼人士及团体。

包括共和党籍参议员泰德·克鲁兹(Ted Cruz)、众议院共和党领袖凯文·麦卡锡(Kevin McCarthy)以及特朗普的家人,都在“Parler”上创建了账号。同时,这些人还一直敦促他们的支持者从其他社交媒体“转战”到此平台。

特朗普的女儿也是其用户之一。

一直以来,Parler 都宣称是一款言论自由的社交媒体,而在被三大巨头联合封杀后,其背后服务商也在逐渐放弃该平台。

于是,安全问题也赤裸裸的暴露出来。

近日,据外媒 wired 报道,在 Parler 被封杀前的几个小时,遭到了黑客的入侵。

自称奥地利的黑客(推特账号@Donk_Enby)发布推文声称,他获得了所有上传到 Parler 的“未处理的、原始的”视频文件,以及“所有相关的元数据”。

并称已经利用 Parler 的安全机制缺陷爬取了 99.9% 的 Parler 用户数据,包括 100 多万条视频,并且已经开始建立在线档案,同时还有谁以及如何参与了国会大厦的突袭的关键证据。

为了证明数据泄露是真实的,这名黑客甚至附上了一个文件库链接。

这一泄露的消息迅速在网上传播开来,人们纷纷讨论黑客是如何获取上述信息的。

“今日俄罗斯”(RT)11日援引 Reddit 一篇贴文称,“罪魁祸首”可能是 Parler 的托管平台之一Twilio,该平台在此前发布的新闻稿中意外暴露了该应用的安全认证,才使得黑客通过创建“管理员账户”获取用户信息。

此外,在 Reddit 上似乎还泄露这名黑客是如何将用户数据公之于众的。报道称 Parler 数据的大规模剥离是通过利用该网站双因素身份验证中的一个安全漏洞进行的,该漏洞允许黑客创建具有管理员权限的“数百万个帐户”。

更吓人的还在后面。

由于 Parler 使用的第三方邮件服务和 2FA 认证服务都已关闭,任何人都可以创建用户,而不必验证电子邮件地址,并且立即拥有一个登录账户,访问用于传递内容的登录框 API,并检索出拥有管理员权限的账号。

也就是说,Parler 的所有用户隐私数据,包括已经被用户删除的数据,一夜之间变成了一个人人皆可访问的“开源项目”。

同时,该帖文还表示,黑客获得的不仅是视频文件,还有包括用户驾照照片在内的全部数据。

但该黑客否认了上述指控。他 12 日将 Reddit 的贴文形容为“扯淡的”,并写道:“我只存档了通过网络公开过的东西。我没有你的电子邮箱、电话和信用卡账号,除非是你自己在 Parler 上公开过。”

亚马逊数据中心遭威胁

与此同时,亚马逊数据中心也收到了来自 Parler 用户的威胁。

当地时间 1 月 11 日,亚马逊在停止为 Parler 提供主机服务后,一些 Parler 用户将亚马逊的行为视作“宣战”,并扬言要攻击该公司数据中心。

有人用“极权主义”和“科技暴君”等词语形容苹果和亚马逊,随后表示:他们“和苹果和亚马逊没完,等着看接下来会发生什么吧”;

还有人表示这就是名义上的”内战“,并扬言要让民主党人及其家人好看,“即将发生的恐怖事件将是辉煌的”。

甚至有人直接写道:“如果有受过炸弹训练的人去拜访了亚马逊数据中心,那可就太令人遗憾了。”

除了来自 Parler 用户的威胁外,亚马逊还面临着来自 Parler 公司的反垄断诉讼。

Parler 起诉亚马逊,控诉其垄断

一直以来,Parler 依靠亚马逊旗下的云计算服务平台 AWS 进行数据备份、存储、网站托管等服务,现在随着亚马逊停止服务,其他服务商业停止了服务,这无疑让 Parler 的用户数据赤裸的暴露出来,也让Parler 走到了绝境。 

作为亚马逊曾经的客户之一,Parler认为亚马逊其实是在助长推特的利益,于是,将亚马逊告上法庭。

12 日,据外媒报道,Parler 已向西雅图联邦法院提起诉讼,指控亚马逊“出于政治和反竞争”的原因将该公司踢出其云服务器。

起诉书称,亚马逊终止为 Parler 服务的决定显然是“出于政治敌意”,这显然也是为了减少市场竞争,让推特受益。起诉书还指控亚马逊违反了双方合同。

Parler 指出,推特最近与亚马逊签署了一项多年的网络托管协议,并以此为由指责亚马逊在 Parler 和推特之间采用双重标准。

对此,亚马逊回应称,Parler 的诉讼“没有任何价值”,该诉讼没有法律依据,并重申了其立场,即 Parler 不缓和宣扬暴力的内容。

最后一问,大家认为宣称言论自由的社交平台 Parler 还有可能回归吗?

参考来源:

【1】https://techcrunch.com/2021/01/11/parler-sues-amazon-leveling-far-fetched-antitrust-allegations/

【2】https://www.cnet.com/news/parler-users-posts-archived-along-with-some-location-data/

【3】https://www.cnbeta.com/articles/tech/1076865.htm

【4】https://lifehacker.com/parler-wasnt-hacked-but-that-doesnt-mean-its-safe-to-u-1845757409

【5】https://www.republicworld.com/technology-news/apps/was-parler-hacked-parlers-database-screenshot-circulates-on-the-internet.html

【6】https://www.wired.com/story/parler-hack-data-public-posts-images-video

【7】https://leadstories.com/hoax-alert/2020/11/fact-check-no-evidence-parler-hacked.html

中国宏阔黑客联盟原创文章,未经授权禁止转载。转载注明中国宏盟