欢迎光临
我们一直在努力

连环勒索企业案,是吸金还是吸血?

Ysck阅读(85)

5月7日,黑客组织黑暗面(DarkSide)为索取赎金,对美国最大燃油管道运营商科洛尼尔(Colonial Pipeline)发起攻击,通过加密手段锁住该公司计算机系统并劫持了该公司近100GB的数据。

覆盖了美国东海岸45%的燃料供应的输油管道被迫关闭,引起了民众的恐慌,也为关键基础设施安全及网络安全敲响了“警钟”。

据消息人士透露,科洛尼尔在遭到黑客攻击的数小时后,就以无法追踪交易往来的加密货币支付了将近500万美元的赎金,约合人民币3200万元。

收到赎金的黑客,如约提供了解密工具。

始料不及的是,由于解密工具运行过慢,科洛尼尔最终不得已采用了备份数据来恢复系统。

据悉,由该黑客组织运营的网站于周四起已无法登陆。DarkSide的运营商在线上发表公告,称其受到执法机构和美国的压力,目前已无法访问基础架构的公共部分:博客、付款服务器和DOS服务器。

此次“管道网络攻击”一战成名后,DarkSide也表示其目标只是为了赎金,不是给社会“添堵”。

周五,据媒体援引网络安全研究公司FireEye信源报道,DarkSide已宣布解散。

而对于该组织声称的“受到美国压力”,美国司法部和FBI均未对外作出回应。

针对此次“解散”,网络安全专家认为,是此类勒索团队“换个名字重出江湖”的普遍操作。

无巧不成书。

据日本NHK报道,于日本当地时间周五凌晨1时,Darkside建立了一个暗网网站并发表声明,已入侵了东芝法国分公司的系统,并窃取了超740GB的管理信息、新业务以及个人数据等信息。

东芝却表示,在一次勒索软件攻击中,公司极少量工作数据被盗,且目前没有发现数据泄露,网络攻击发生后也已采取了保护措施。

真相只有一个,其面目何时揭开,仍待考量。

据悉,近日的连环作案犯Darkside是“双重勒索”的惯犯,勒索金额通常为20万至2000万美元不等。受害者若是拒绝支付赎金,他们将会公开其窃取的数据信息。

而据统计,截至目前,Darkside已公布了40多位受害者的机密信息。

援引Flashpoint的研究人员表示,DarkSide的所有者很可能曾是REvil的会员,而DarkSide本身也可能是基于REvil代码开发的。

“赎金通知、壁纸、文件加密扩展名和详细信息的设计以及内部工作方式都与REvil勒索软件非常相似,后者是俄罗斯血统,并具有广泛的会员计划。”Flashpoint声称。

REvil是近期也在业界内屡次出现的一个勒索软件组织,并成功入侵某计算机巨头企业的内部系统。

据其Tor付款站点显示,REvil向该企业勒索金额达 5000万美金,折合人民币约 3.25 亿元,是勒索病毒历史上索要赎金的最高记录。

而据悉,这并不是该企业第一次遭REvil攻击。

过去两年里,REvil多以国内外中大型企业作为攻击目标,索要的赎金不低于20万人民币。

2020年,纽约一家服务于全球影视娱乐巨星的知名律所就遭到来REvil勒索软件的攻击,并表示律所如果不支付赎金,将会分9次公布其窃取的756GB数据。

而这其中,很可能包括了LadyGaga、埃尔顿·约翰、罗伯特·德尼罗和麦当娜等明星客户的个人信息。

面对勒索软件组织一波又一波的攻势,美国总统拜登于12日签署了一项行政命令,旨在加强美国应对此类攻击时的网络安全防御,并提出在面对高科技间谍和犯罪分子时,各公共及私营部门显得非常脆弱。

中国宏阔黑客联盟原创文章,未经授权禁止转载。转载注明中国宏盟

360CERT网络安全四月月报发布

Ysck阅读(64)

 

360CERT团队介绍

“360网络安全响应中心”致力于维护计算机网络空间安全,是360基于”协同联动,主动发现,快速响应”的指导原则,对全球重要网络安全事件进行快速预警、应急响应的安全协调中心。

 

前言

当前,随着数字化浪潮的不断加快,网络空间博弈上升到全新高度。潜在的漏洞风险持续存在,全球各类高级威胁层出不穷。洞悉国内外网络安全形势,了解网络安全重要漏洞是建设好自身安全能力的重要基石。在此背景下,360CERT推出《网络安全月报》,总结本月国内外安全漏洞、网络安全重大事件、恶意软件攻击态势、移动安全情况等。每个章节中都具备总结性文字、重点罗列、图表分析等展现形式,方便读者了解本月网络安全态势。

 

目录预览

 

网络安全月度综述

安全漏洞

2021年4月,360CERT共收录30个漏洞,其中严重15个,高危10个,中危5个。主要包含代码执行漏洞、命令执行漏洞、特权提升漏洞、文件读取漏洞、XML外部实体注入漏洞等。涉及的组件主要是Exchange、Pulse Connect、Chrome、Win32K、GitLab、Homebrew cask等。

 

安全事件

本月收录安全事件227项,话题集中在数据泄露、恶意程序、网络攻击方面,涉及的组织有:Microsoft、Google、Facebook、LinkedIn、Twitter、华为

等。涉及的行业主要包含IT服务业、政府机关及社会组织、制造业、教育业、金融业、交通运输业等。

 

恶意程序

勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。

2021年4月,全球新增活跃勒索病毒:QLocker、WhiteBlackGroup、Jormungand、Cring、Wintenzz、GEHENNALocker、RIP_Imao、Runsomware、Nocry、CryBaby等。其中QLocker是本月新增针对QNAS进行攻击的勒索病毒,短短五天获得260000美元。

通过移动恶意软件传播TOP10来看,广东、山东、江苏这三个省份恶意软件传播数量依旧占据前列,基本上可以体现人口越集中、经济越发达、移动设备使用数量越多的省份,恶意攻击和软件存活比例越大。

 

本月攻击态势

本月Windows系统下僵尸网络活动呈现放缓趋势,原因在于大型挖矿僵尸网络“紫狐”的攻击趋势在进入4月后骤然下降,并在4月15日左右停止攻击。除了“紫狐”僵尸网络外,另一大型挖矿僵尸网络”驱动人生“在本月也有大动作。

本月在钓鱼邮件攻击趋势相比较上月有所下降,主要原因在于银行木马活跃度有所下降。

本月针对Web应用和数据库的攻击数量相比3月有显著上升,主要原因在于攻防演练期间攻击队使用大量Web应用和数据库漏洞对防守队的服务器发起攻击。

 

本月重要漏洞

Exchange Server多个蠕虫级远程命令执行漏洞

CVE-2021-22893 Pluse Connect远程代码执行漏洞

多个(两个)Chrome远程代码执行漏洞

CVE-2021-28310:Win32k特权提升漏洞

CVE-2021-22205:GitLab远程代码执行漏洞

Homebrew cask恶意软件包投毒漏洞

CVE-2021-21982: VMware Carbon Black Cloud Workload身份验证绕过漏洞

Oracle Weblogic Server多个远程代码执行漏洞

CVE-2021-29200/30128 Apache OFBiz远程代码执行漏洞

Cisco SD-WAN vManage多个严重漏洞

 

本月重要事件

针对性伪装攻击,终端信息安全的间谍–海莲花 APT

伊朗组织 APT34 使用更新后的武器库发起攻击活动

Facebook采取行动阻止巴勒斯坦背景黑客的攻击行动

REvil窃取苹果产品蓝图并向其勒索

Facebook 5.33亿用户数据泄漏

针对安全研究人员的最新网络攻击

伊朗核电站遭遇网络攻击

黑客利用0day漏洞攻击MacOS操作系统

PHP Composer漏洞可导致广泛的供应链攻击

 

本月勒索病毒关键词

Devos

Eking

Lockbit

Makop

Dragon

Solaso

Buran

globeimposter-alpha666qqz

globeimposter-alpha865qqz

globeimposter

 

部分图表信息展示

 

部分内页展示

 

获取方式

1. 点击下方“阅读原文”进行下载查看。

2. 点击下载:http://certdl.qihucdn.com/cert-public-file/【360CERT】网络安全四月月报.pdf

 

其他相关

月报反馈问卷:https://www.wjx.cn/vj/PykAK1F.aspx

报告订阅:https://www.wjx.top/jq/94378831.aspx

关注360CERT微信公众号

诈骗分子出没!冒充马斯克宣传比特币获利约17万美元

Ysck阅读(82)

 

推特上的诈骗分子正在利用马斯克主持的《周六夜现场》(Saturday Night Live)来推动他们的诈骗行动,窃取人们的比特币、以太坊和狗狗币。(注:马斯克为SpaceX和特斯拉公司CEO)

推特上一直存在数字货币诈骗分子活跃的身影,最近他们又开发出新骗术:通过侵入被废弃的认证Twitter账户,利用认证Twiter账号提高人们信任程度,据此开展诈骗行动。这种简单的诈骗方法非常成功,他们轻松的获取到约17万美元的收益。

 

利用《周六夜现场》热点进行诈骗

由于马斯克主持了今晚的《周六夜现场》,这些诈骗分子通过入侵经过认证的推特账户,修改个人资料,模仿《周六夜现场》的官方推特账号,如下图所示。

他们使用这样的高仿号,在马斯克的推特下进行回复,如下图所示,以此吸引戒心低的人们相信他们宣传的比特币骗局,并点击链接查看详情。

当访问这些链接时,用户会发现自己进入了一个虚假的Medium帖子中,该钓鱼网站宣称马斯克将赠送给用户5000个比特币,如下图所示,可以看到URL完全跟medium无关

这些帖子包含了比特币、以太坊和狗狗币赠送页面的进一步链接,这些页面上声称人们可以收到他们发送到特定加密货币地址的10倍的金额,如下所示。

 

仍有许多人上当受骗

你可能会在想这怎么会有人会上当,不幸的是,这种简单骗局十分有效。

MalwareHunterTeam,一直在监控这些诈骗行动,他们告诉BleepingComputer,这个SNL骗局在今天传播迅速,通过不断的认证帐户推广免费的url。

从BleepingComputer上分享的推文示例列表中,我们确定这些骗子在过去两天里至少赚了97054.62美元。

这些收益包括0.69515729个比特币,按目前的高价计算,相当于40840美元。

以太坊的诈骗则为他们赚了13758美元。

最后,加密货币诈骗领域的新人、马斯克最喜欢的狗狗币(Dogecoin)获得了超过6.6万个狗狗币,价值42456美元。

BleepingComputer仅仅从两个不同的诈骗网站收集到几个已知的收款地址,由于诈骗者利用了许多免费网站,诈骗者本周可能赚到了更多的钱。

 

防止上当

重要的是要记住,没有人会免费赠送加密货币,特别是当它们都是最近热点时。

如果你在Twitter上看到据说是马斯克推广的活动时,最好把它当作一个骗局,并且千万不要向他们发送数字货币或者法币。

日企算盘被拨响,Babuk勒索软件强势回归

Ysck阅读(75)

第85期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

【安全头条公告】

安全头条主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周二、周四营业。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

日企算盘被拨响,Babuk勒索软件强势回归

在一行干习惯了突然隐退,很容易又怀念曾经的职业生涯。对此,Babuk勒索软件运营商深有体会。

完成了进攻华盛顿特区警署的收官之作后,Babuk成员宣布了他们将正式从勒索软件大学毕业的消息,浪子决定走上回头路。不过,他们还没来得及沉淀为经典icon,又转头复出,回锅成了当红炸子鸡,并带来了最新作品——日企YAMABIKO勒索案。

Yamabiko是一家电动工具和农工业机械制造商,总部位于东京。尽管YAMABIKO还没有酝酿出正式声明,但有媒体报道,Babuk方已经在自己的泄露网站上公布出了盗自YAMABIKO的部分数据。数据总量据说有0.5TB。

为什么这群手握键盘的黑客打起了Yamabiko的算盘?查查Yamabiko的账本便不难回答。作为一家年收入超过10亿美元的殷实企业,Yamabiko的铜香让Babuk慕名而来,为此不惜打破金盆洗手的誓言。从目前的情况来看,Babuk短期内应该不会再离开这片江湖。

在最近的访问中,Babuk说他们正着手利用一个VPN 0day漏洞。某家日媒近期也报道过,VPN产品是勒索软件攻击日本企业的最佳助手。因此,存在VPN相关的漏洞,可能是Yamabiko破防的一个原因。

至于Babuk此次复出能否收到心仪的出场费,即便结果还不见分晓,但已有媒体开始唱衰。日本企业一向是一块不好啃的犟骨头,是勒索软件最头疼的协商对手。拿最近的卡普空被勒索事件举例,Ragnar Locker向其要出1100亿美元赎金,但卡普空一直无视他们的对谈邀请,像冷眼旁观一个跳梁小丑。

 

DarkSide宣布今后将筛查作案目标

上周,DarkSide勒索软件加密了美国最大燃油管道公司Colonial Pipeline的网络,导致18州进入紧急状态,可谓一鸣惊人,一战封神。(详见上期报道:最大燃料管道商遭网络攻击停运,美国18州进入紧急状态

或许是作案方本人也被事态的爆破式发展状况吓到,前天,DarkSide发布公告,声明团队的行为并不受任何政治倾向的驱使,勒索企业纯粹是想借此赚钱。此外,团队保证,今后实施加密攻击前,他们一定会把握好度,并且事先审查好目标企业,避免再出现社会失序的状况。

DarkSide是典型的“勒索即服务”团队,成员被划分为两个群体。一部分人负责核心的运营业务以及开发勒索软件,另一部分人由前者雇佣,主要工作是入侵目标企业网络,并部署勒索软件。根据这一分工,核心运营成员可以分得2-3成赎金,剩余钱款将被余下成员纳入囊中。

如果DarkSide所言不虚,这一决定对于关键基础设施、医疗保健和政府机构等组织而言可谓是个好消息。不过,DarkSide的审查机制一出,也可能导致他的下游“盟友”转投其他勒索团队麾下。

 

钓鱼邮件钓亲员工,鱼儿上钩心凉透

西米德兰郡铁路的近2500名员工最近收到了一封据说是由总经理 Julian Edwards发出的邮件,邮件感谢了他们在疫情肆虐的2020年的卖力付出,并“端上一盆大饼”,承诺公司将为此向每位员工发放一笔奖励,一次性到账。

然而,当他们点击一条貌似会跳转到Edwards致谢页的链接时,出来接待他们的却是IT部门的泼下的一盆冷水。IT向他们致以问候,解释说这封邮件只是一场对他们安全意识的测试。冷水浇懵了这群被钓上岸的鱼儿。

听闻这场事件后,西米德兰郡铁路工会用“粗鲁”“该受谴责”之类的词汇,对这场钓鱼行动进行了猛烈抨击。他们认为公司层面以“新冠”“奖金”作为噱头诱使员工掉进陷阱,非常没有同理心。在疫情持续的这一年多里,为了保障大家出行,西米德兰郡铁路的员工一直奋战在一线。员工当中,感染过新冠的不在少数,有一位甚至因此丧生。

工会称,公司必须出面收拾这摊由他们搞砸的残局。如果想测试员工的网络安全意识或者是系统的安全性,他们大可以打出其他的幌子。用莫须有的奖金哄骗这群在困难的工作环境中坚持付出的可靠员工,有悖员工对公司的信任。

西米德兰郡铁路的发言人却解释,用钓鱼邮件发动攻击是黑客的常用手段,这场演练不过是一次非常逼真的呈现。公司非常看重网络安全,平时也会经常安排相关培训,借助模拟演练来测试培训成效是必不可少的。得亏这只是一场演习,没有造成实际的损失。

美国成品油管道运营商遭勒索软件攻击停运事件分析

Ysck阅读(63)

 

背景

2021年5月7日,美国最大输油管道公司Colonial Pipeline遭勒索软件攻击,导致其被迫关闭管道系统。网络攻击迫使向东海岸的主要液体燃料供应商暂时停止了所有管道运营,受该事件影响,美国在5月9日发布豁免,允许汽车运输石油产品,以缓解针对燃料运输的各种限制。

Colonial Pipeline公司成立于1962年,是美国最大的成品油管道公司,Colonial的输油管线绵延8851公里,每天可从墨西哥湾地区向纽约港及纽约各主要机场输送多达250万桶的精炼汽油、柴油及飞机燃料,更承担着美国东海岸45%的燃油供应。

为防止事态进一步扩大,该公司主动将关键系统设为离线状态,以避免勒索软件扩大感染范围。并与执法部门、网络安全专家、能源部等多个联邦机构合作,对事件进行调查,以尽快恢复系统的正常运营。

ColonialPipeline公司的管道线路图

 

攻击分析

多个消息来源声称本次攻击来自一个名为DarkSide的勒索软件团伙,该团伙在5月6日入侵Colonial的网络,并窃取近100GB的数据,黑客对目标系统植入勒索软件,并要求受害者付款解密,否则将把数据泄漏到互联网上。

有国外安全公司认为,攻击是由新冠疫情引起的,工程师因疫情原因在家办公,通过远程访问管道控制系统而导致攻击的发生,但这只是其中一种推测。目前,事件仍处于调查阶段。Colonial公司表示,目前正与执法部门、网络安全专家合作,以恢复系统的正常运营。

DarkSide首次出现在2020年8月,是勒索软件团伙的新锐代表,该组织采用勒索软件即服务(RaaS)模型进行各种犯罪活动,并专门针对有能力支付大型赎金的企业进行攻击,在加密数据的同时并窃取数据,并威胁如果不支付赎金就将其数据公开。据DarkSide组织称,其勒索软件配备了市场上最快的加密速度,并且包括Windows和Linux版本。

DarkSide团伙近期活动较为频繁:

2021年4月28日,DarkSide团伙疑似攻击意大利信贷银行Banca di Credito Cooperativo,攻击造成该银行的188个分支机构业务瘫痪。

2021年4月20日,DarkSide团伙通过网络攻击手段做空上市企业(如针对在纳斯达克或其他股票市场上市的公司),致使目标公司股价下跌,从而增加受害者的压力。

2020年11月,DarkSide勒索软件团伙声称,他们正在伊朗建立一个分布式存储系统,用来存储和泄露从受害者那里窃取的数据。并且招募开发人员进行编程开发,以及招募会员来实施企业入侵,开发人员和会员都可以获得一定比例的报酬。

该组织此前已经攻击过40多个受害者组织,并要求索取20-200万美元的赎金。

DarkSide不同于早期勒索病毒通过僵尸网络利用漏洞自动植入目标系统的广撒网方式,而是有组织的实施攻击行动,通常会尝试拿下Windows AD域控制器从而实现整个AD域的横向渗透便于盗取数据和批量释放勒索软件。

DarkSide勒索软件简要分析:

样本会调用API检测当前主机语言环境,如果当前设备所处地区为俄罗斯、乌克兰等地,则结束运行。

通过Post方法与C2服务器(如catsdegree[.]com)连接,回传主机设备敏感信息:

回传加密数据如下图所示:

然后调用Powershell执行WMI来删除磁盘卷影副本,防止用户恢复:

Powershell指令如下所示:

解混淆后的Powershell代码通过调用执行WMI删除卷影副本:

结束正在运行的系统进程(防止加密文件被占用),然后遍历磁盘文件进行加密。加密完成后DarkSide勒索软件会在“ProgramData”目录写入壁纸图片.

修改注册表“HKEY_CURRENT_USERControl PanelDesktop”设置桌面壁纸。并在用户桌面文件夹生成Readme.txt提示文本,勒索用户提交赎金。

 

美方情况

白宫发言人表示,拜登在5月8日就此事件进行了通报,并表示政府正在积极评估该事件的影响,以避免供应中断,并帮助该公司尽快恢复管道运营。

Colonial Pipeline 遭到网络攻击后,截至北京时间5月10日,美国总统或联邦政府并没有宣布进入 “ 国家紧急状态 ” ,只是美国联邦汽车运输安全管理局的东部、南部、西部服务中心的三个主任联合签发了一个“区域紧急状态声明”,临时给予受影响的17个州和华盛顿特区的汽油、柴油、航空燃料和其他成品油的临时运输豁免,以使有关燃料可以通过公路运输。

 

思考总结

越来越多的勒索软件组织开始针对工业和制造设备的旧系统,以及由于企业办公需求将敏感网络连接到Internet,以实现高效率和自动化办公,亦或是方便远程连接而架设的VPN网络也可能存在风险,这将导致公司网络更加容易受到攻击。

从Colonial事件可以看出,网络攻击可以在不损坏设备的前提下破坏关键基础设施。以经济利益为中心的网络犯罪团伙正在寻找最敏感,最有价值的目标,而工业系统和关键基础设施于他们而言是很好的目标。事实上,针对工业系统的勒索软件业务正在显著增加,未来将会看到更多的工业受害者。

这表明关键信息基础设施正面临着巨大的现实威胁,需要各单位进一步加快构建关键信息基础设施安全保障体系,以抗衡类似的威胁。

防范建议

安恒威胁情报中心平台支持对DarkSide组织恶意软件及回连资产进行检测。

5月13日每日安全热点 – 塔尔萨市遭遇勒索袭击

Ysck阅读(115)

漏洞 Vulnerability
安全事件 Security Incident

绿盟科技:布局车联网新赛道,泛政府及国际业务将成业务增长点

Ysck阅读(88)

近日,绿盟科技举办了投资者调研活动。

绿盟专注于工业互联网、物联网、车联网等领域的安全研究工作,并积极布局车联网新赛道。

在产品方面,绿盟在车联网及探针产品均有研发投入和布局。

对于第三方产品收入略有下滑,绿盟表示,公司专注于自主产品的研发和销售,不鼓励集成,第三方产品收入略有下滑属于正常。

在数字货币领域,绿盟暂无相关安全产品,但在区块链领域已发表多个安全研究成果。

对于内部人才培养,绿盟已逐步形成健全的人才培养体系。

绿盟内部设有绿盟科技企业大学,为员工提供了专业的组织保障、高质量培训课程以及共享知识的平台。

从公司人员增长来看,2019 年和 2020 年增速分别为 8.05%和 15.67%,2020 年末员工为 3402 人,预计 2021 年人员净增长在 20%以上。

在收入和占比上,绿盟在金融行业客户实现收入占营业收入的 20.61%,运营商占比 21.48%,政府、事业单位及其他占比 34.07%,同比增速分别为19.25%、 -4.2%、41.22%。

绿盟表示,泛政府行业及国际市场的业务拓展,将是公司业务增长的机会点。

为提高业务收入,绿盟采用订阅方式对用户提供安全服务,也得到了资本市场的认同。

同时,为平衡人员增长带来的费用增长,绿盟制定了相应的 PBC 考核体系指标以确保利润目标的实现。

在渠道战略方面,绿盟将继续加强渠道销售,并加大在西北、西南和东北地区的投入力度。

截至 2020 年末,公司研发人员和销售人员占比分别为 27%和 21%左右。

在零信任等领域上,绿盟加大了投入,并发布了安全认证网关 SAG,统一身份认证平台 UIP 等新产品,支撑了零信任安全访问、零信任安全运维等新兴零信任场景,并成功在多个行业部署和应用。

对于未来研发费用的投入,绿盟将基于未来战略和年度预算目标,持续加大研发费用投入,并持续关注投入产出效率。

 以下是调研全文,中国宏阔黑客联盟作了不改变原意的整理与编辑:

1.车联网安全相关的产品研发有什么重大进展吗?具体到哪一步了?未来公司具体如何在车联网安全方面进行布局?

公司积极布局车联网新赛道,公司格物实验室专注于工业互联网、物联网、车联网业务领域的安全研究工作。

公司参与车联网安全评估与实车检测评估、车联网安全标准/白皮书编制工作,开展车联网安全研究及服务项目。 

车联网漏洞挖掘与安全检测技术研究已服务主流车企的数十款车型安全服务。

在产品方面,公司在车联网相关平台及探针产品均有研发投入和布局。

车联网安全态势感知、智能网联汽车安全检测平台获得工信部专项、关键技术与平台创新试点示范的支持。

2.公司在数字货币领域研究的结果?打算在数字货币上有什么动作吗?

公司在区块链领域展开了相关的安全研究,发表多个安全研究成果,与北京航空航天大学、中国移动研究院联合推出《企业级区块链安全白皮书》, 目前并无关于此领域的安全产品。

3.公司的人才培养机制是怎样的?

公司一直将人才做为公司最宝贵的资源和资产;经过多年的实践,公司以独有的技术氛围,已逐步形成健全的内部人才培养体系。

公司内部设立有绿盟科技企业大学,绿盟科技企业大学拥有专业的讲师队伍、丰富的导师资源,为员工的多元化培养提供了强有力的组织保障;

绿盟科技企业大学拥有课程开发、培训项目开发、讲师队伍激励和建设等方面的公司扶持政策,为不同岗位、合作伙伴开发有针对性的高质量培训课程、在岗培训项目,持续改善和优化公司的研究和产品开发流程、服务流程和管理流程;

绿盟科技企业大学是员工分享知识、获取知识的平台,也是员工展示才华、获得锻炼的舞台。

公司坚持推行现有的公司管理文化,鼓励各个岗位在各个领域的创新,提倡多方位的职业路径和人才发展规划。

此外,公司还有导师制、新员工培训、鹰计划、干部管理、任职资格、内部论坛、内部知识平台和分享等一系列的机制,为员工的成长、进步提供了便利的平台。

4.请问公司下游客户包括金融运营商、政府事业单位几大行业的收入占比和增速分别是怎样的?

公司在金融行业客户实现收入占营业收入的比例为 20.61%,运营商占比 21.48%,政府、事业单位及其他占比 34.07%,同比增速分别为19.25%、 -4.2%、41.22%。

5.请问公司如何在十四五期间保持自身的增长速度跟上行业?

市场方面,公司在泛政府行业及国际市场的业务拓展将是公司业务增长的机会点,国际市场目前体量较小,希望后续有较快发展;

产品和模式方面,公司有丰富的产品线,未来头部网络安全公司将更多的体现为运营模式,公司在方案整合能力和运营能力方面的积累和储备对后续发展有足够的支撑。

从行业角度,政策法规对安全行业合规需求有较大的促进作用,公司也将从中受益。

6.在并购标的的考量上如何选择?

近年来,信息安全行业发展较快,公司主要通过内生式发展实现收入和利润的增长。

7.2021 年公司人员会继续增长吗?

国内主要安全公司披露的 2020 年人员情况如下:奇安信 7796 人、深信服 7553 人、启明星辰 5381 人、天融信 5357 人。2019 年和 2020 年公司人员增速为 8.05%和 15.67%,公司 2020 年末员工为 3402 人,公司会根据业务发展规划来确定人员增长计划。从目前情况来看,近几年仍将会保持较高的人员增长速度,预计 2021 年人员净增长在 20%以上。

8.现在海外疫情尤其是东南亚那边比较严重,公司的境外业务受到什么影响没有?

海外疫情对公司境外业务拓展造成一定影响,公司也积极通过线上营销业务推广等方式努力克服疫情的影响。目前,公司海外业务体量较小,去年亏损较同期有所减少,业务呈良性发展趋势。

9.绿盟 NF 防火墙系统-V6.1 的研发进展?

相关研发工作进展正常。

10.国外公司的订阅式服务增长率和保有率都很高,未来我国的安全市场是否也会朝着订阅式发展? 

近几年,国外安全公司如 CrowdStrike、Zscaler 等在业务模式上有些创新,收入模式上采用订阅方式对用户提供安全服务,业务收入增长很快,也得到了资本市场的认同。

国内外用户对于订阅式服务有着不同的认识和理解,国内大部分企业用户对采用此类服务的看法尚处于观望和试探阶段。

从技术发展趋势以及实施效果来看,订阅式服务也会逐步为国内用户所接受,只是过程也许会漫长一些。

11.公司处于人员增长速度较快的阶段,请问费用增长如何平衡?考核计划如何实施的?

公司的人员增长及费用增长与公司的战略目标是匹配的,2021 年费用的增速将根据年度收入及利润目标来合理确定。同时,公司也制定了相应的 PBC 考核体系指标来确保目标实现。

12.第三方产品收入下滑了 11%左右是什么原因?

公司专注于自主产品的研发和销售,不鼓励集成,第三方产品收入略有下滑属于正常。

13.2020 年直销和渠道的占比?未来是怎样的规划?

2020 年直销和渠道销售的占比 40%、60%左右,公司在未来将继续加强渠道战略,渠道销售占比将有进一步提升。

14.公司 2020 西北、西南和东北地区表现不错,今年是否可持续?对各个地区如何部署? 

公司将继续加大在上述区域的投入力度,希望取得良好的业绩。

15.今年海外业务有望实现扭亏吗?

公司海外业务体量较小,目前仍处于投入阶段,希望通过投入实现较快的业务规模增长,同时也考虑到海外疫情影响,实现扭亏可能需要一定时间。

16.公司投资设立的几家子公司,江苏绿盟、广州,湖南绿盟怎么都是亏损的?经营上出现了哪些问题?

这几家子公司都是 2020 年新投资设立的子公司,尚在投入期,经营一切正常。

17.请问您怎么看中长期网安市场的竞争格局?

国内网络安全行业在未来较长时间还会处于群雄割据状态,在市场、产品、模式、管理四个维度分析来看,只有能够在这四个维度中的一个或几个产生明显突破的企业,才有可能在今后的产业竞争中脱颖而出。

18.国内的 SaaS 公司续约率一般在多少?

目前阶段,美国 SaaS 企业年客户流失率的中值为 7%。国内 SaaS 公司的客户流失率高于美国。

从数据上来看,国内 SaaS 服务的提供者和使用者尚处于磨合的初期阶段,还有非常多需要改进和提升的空间。

19.请问公司研究人员和销售人员的构成?

截至 2020 年末,公司研发人员和销售人员占比分别为 27%和 21%左右。

20.公司对“零信任网络”领域布局是怎样的?

近年来,公司加大了在 IAM、零信任领域的投入,陆续发布了安全认证网关 SAG,统一身份认证平台 UIP 等新产品,支撑了零信任安全访问、零信任安全运维等新兴零信任场景,并成功在多个行业部署和应用。

21.公司对安全产品和安全服务的毛利率变化有什么预期?

公司希望能够通过不断的技术创新和提升运营效率,保持并提升安全产品和安全服务的毛利率。

22.未来研发费用的管控在什么范围?

公司基于未来战略,将持续加大研发投入,研发费用投入是根据公司战略及年度预算目标来合理确定的,过程中公司将关注投入产出效率。

中国宏阔黑客联盟原创文章,未经授权禁止转载。转载注明中国宏盟

2021-05 补丁日:微软多个漏洞通告

Ysck阅读(75)

 

0x01   事件简述

2021年05月12日,360CERT监测发现微软发布了5月份安全更新,事件等级:严重,事件评分:9.9

此次安全更新发布了55个漏洞的补丁,主要覆盖了以下组件:Windows操作系统、Exchange Server、.Net Core、Office、SharePoint Server、Hyper-V、 Visual Studio。其中包含4个严重漏洞,50个高危漏洞。

对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02   风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 9.9

 

0x03   漏洞详情

CVE-2021-31166: HTTP 协议远程代码执行漏洞

CVE: CVE-2021-31166

组件: HTTP Protocol

漏洞类型: 代码执行

影响: 服务器接管

简述: 攻击者通过向主机发送特制流量包可触发该漏洞。该漏洞可以造成蠕虫级影响,可在可通信设备之间广泛传播。

CVE-2021-28476: Hyper-V 远程代码执行漏洞

CVE: CVE-2021-28476

组件: Hyper-V

漏洞类型: 代码执行

影响: 服务器接管

简述: 成功利用该漏洞的攻击者可以在 Hyper-V 的服务器上执行任意代码,并最终控制该服务器。

CVE-2021-27068: Visual Studio 远程代码执行漏洞

CVE: CVE-2021-27068

组件: Visual Studio

漏洞类型: 代码执行

影响: 服务器接管

简述: 成功利用该漏洞的攻击者可以通过 VS2019 在服务器上执行任意代码,并最终控制该服务器。该漏洞无需用户交互,且利用难度低。

CVE-2021-31204: .Net Core 权限提升漏洞

CVE: CVE-2021-31204

组件: .Net Core/Visual Studio

漏洞类型: 权限提升

影响: 获得服务器的高级控制权限

简述:存在在野利用.NET 5.0 以及 .NET Core 3.1 受到该漏洞影响,并同时影响VS2019。成功利用该漏洞可实现低等级用户升级为高等级用户。

CVE-2021-31200: Common Utilites 远程代码执行漏洞

CVE: CVE-2021-31200

组件: Common Utilites

漏洞类型: 代码执行

影响: 服务器接管

简述:存在在野利用成功利用该漏洞可在服务器上执行任意代码,并最终控制该服务器。

CVE-2021-31207: Exchange Server 安全特性绕过漏洞

CVE: CVE-2021-31207

组件: Exchange Server

漏洞类型: 安全特性绕过

影响: 服务器控制

简述:存在在野利用该漏洞为2021 Pwn2Own 上公开的漏洞,成功利用该漏洞可获得一定的服务器控制权限。

 

0x04   修复建议

通用修补建议

360CERT建议通过安装360安全卫士进行一键更新。

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Windows server / Windows 检测并开启Windows自动更新流程如下:

– 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。

– 点击控制面板页面中的“系统和安全”,进入设置。

– 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。

– 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)。

临时修补建议

通过如下链接寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

2021年05月安全更新

 

0x05   产品侧解决方案

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360终端安全管理系统

360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。

360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。

 

0x06   时间线

2021-05-11 微软发布通告

2021-05-12 360CERT发布通告

 

0x07   参考链接

1、 Zero Day Initiative — The May 2021 Security Update Review

2、 May 2021 Security Updates – Release Notes – Security Update Guide – Microsoft

 

0x08   特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

2021-05 补丁日:微软多个漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

Adobe Acrobat Reader 多个严重漏洞通告

Ysck阅读(63)

 

0x01   漏洞简述

2021年05月12日,360CERT监测发现Adobe发布了Adobe Acrobat Reader 安全更新的风险通告,其中涉及到10个严重漏洞,事件等级:严重,事件评分:9.8

Adobe Acrobat Reader是由Adobe公司所开发的电子文字处理软件集,可用于阅读、编辑、管理和共享PDF文档。 一般包含如下包:Adobe Acrobat Reader,包括专业版和标准版。用于对PDF文件进行编辑、共享和管理,需要购买,而3D版本,除了专业版的功能,另外也支持立体向量图片的转换。

对此,360CERT建议广大用户及时将Adobe Acrobat Reader升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02   风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 9.8

 

0x03   漏洞详情

CVE-2021-28550/28562/28553: Acrobat Reader UAF漏洞

CVE: CVE-2021-28550、CVE-2021-28562、CVE-2021-28553

组件: acrobat reader dc,acrobat reader 2020,acrobat reader 2017

漏洞类型: UAF

影响:任意代码执行

简述: 利用此漏洞的攻击者,通过发送精心制造的PDF给受影响的Acrobat或Reader用户,可直接造成任意代码执行,获得终端控制权。此漏洞监测到存在在野利用,各厂商用户请及时更新

CVE-2021-21044/21038/21086: Acrobat Reader内存越界写漏洞

CVE: CVE-2021-21044、CVE-2021-21038、CVE-2021-21086

组件: acrobat reader dc,acrobat reader 2017,acrobat reader 2020

漏洞类型: 内存越界写

影响: 任意代码执行

简述: 利用此漏洞的攻击者,通过提供精心构造的数据,可在当前进程的上下文中执行代码。

CVE-2021-28564: Acrobat Reader内存越界写漏洞

CVE: CVE-2021-28564

组件: acrobat reader 2017,acrobat reader dc,acrobat reader 2020

漏洞类型: 内存越界写

影响: 任意代码执行

简述: 利用此漏洞的攻击者,通过提供精心构造的数据,可在当前进程的上下文中执行代码。

CVE-2021-28565: Acrobat Reader内存越界读漏洞

CVE: CVE-2021-28565

组件: acrobat reader 2020,acrobat reader 2017,acrobat reader dc

漏洞类型: 内存越界读

影响: 任意代码执行

简述: 利用此漏洞的攻击者,通过提供精心构造的数据,可在当前进程的上下文中执行代码。

CVE-2021-28557: Acrobat Reader内存越界读漏洞

CVE: CVE-2021-28557

组件: acrobat reader dc,acrobat reader 2020,acrobat reader 2017

漏洞类型: 内存越界读

影响: 内存泄漏

简述: 利用此漏洞的攻击者,通过提供精心构造的数据,可造成内存泄漏。

CVE-2021-28560: Acrobat Reader缓冲区溢出漏洞

CVE: CVE-2021-28560

组件: acrobat reader 2020,acrobat reader dc,acrobat reader 2017

漏洞类型: 缓冲区溢出

影响: 任意代码执行

简述: 利用此漏洞的攻击者,通过提供精心构造的数据,可造成任意代码执行

 

0x04   影响版本

– Adobe:Acrobat Reader 2017: <=2017.011.30194

– Adobe:Acrobat Reader 2020: <=2020.001.30020

– Adobe:Acrobat Reader DC: <=2021.001.20149

 

0x05   修复建议

通用修补建议

最新的产品版本可通过以下方法提供给用户:

– 用户可以通过选择“帮助”>“检查更新”来手动更新其产品安装。

– 检测到更新后,产品将自动更新,而无需用户干预。

– 完整的Acrobat Reader安装程序可以从 Acrobat Reader下载中心下载,下载链接:https://get.adobe.com/cn/reader/

对于IT管理员(托管环境):

– 请参阅特定的发行说明版本以获取安装程序的链接。

– 通过常用的方式进行更新,如AIP-GPO、bootstrapper、SCUP/SCCM (Windows)、SSH、Apple Remote Desktop等。

相关版本更新链接:

– Acrobat DC:https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#continuous-track

– Acrobat Reader DC:https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#continuous-track

– Acrobat 2020:https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#classic-track

– Acrobat Reader 2020:https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#classic-track

– Acrobat 2017:https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#id3

– Acrobat Reader 2017:https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html#id3

 

0x06   产品侧解决方案

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360安全卫士团队版

用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

 

0x07   时间线

2021-05-11 Adobe发布安全更新

2021-05-12 360CERT发布通告

 

0x08   参考链接

1、 https://helpx.adobe.com/security/products/acrobat/apsb21-29.html

 

0x09   特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

Adobe Acrobat Reader 多个严重漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

5月12日每日安全热点 – 苹果对受到XcodeGhost攻击的用户保持沉默

Ysck阅读(80)

漏洞 Vulnerability
Oracle 企业Linux内核安全更新
Microweber CMS 认证后远程代码执行
MikroTik RouterOS 多个高危漏洞
安全事件 Security Incident
疑似Lazarus组织利用大宇造船厂为相关诱饵的系列攻击活动分析
苹果对受到XcodeGhost攻击的用户保持沉默