ISHACK AI BOT

CrushFTP 服务器包含敏感数据并用于文件共享和存储，这使得它们经常成为黑客数据盗窃和勒索软件攻击的目标。 此外，CrushFTP服务器中的漏洞可能被用来未经授权地访问网络或向连接的系统分发恶意软件。 最近，Silent Push的研究人员发现，在版本10.7.1/11.1.0之前的CrushFTP中存在有严重的零日漏洞，标识为CVE-2024-4040，其CVSS评分为9.8。 技术分析 未经身份验证的漏洞允许攻击者通过Web界面逃离虚拟文件系统，获取管理员访问权限和远程代码执行功能。 CrushFTP强烈建议立即进行升级，即使是在DMZ（隔离区域）部署的情况下也是如此。 研究人员正在监控此漏洞，并利用易受攻击的域、托管服务的IP和基础设施填充数据源，并积极利用CVE-2024-4040进行早期检测。 Silent Push每天进行互联网范围内的扫描，利用SPQL对数据进行分类，以定位相关的基础设施和内容。 利用CVE-2024-4040的信息，已确定了暴露于互联网的CrushFTP Web界面可利用的情况。 由此产生的易受攻击的域和IP已经被聚集到两个批量数据源中，供企业客户分析受影响的基础设施。 下面，提到了这两个批量数据源： ·CrushFTP 易受攻击的域 ·CrushFTP 易受攻击的 IP SPQL的核心是一种跨越90多个类别的DNS数据分析工具。纵观全球范围内，CrushFTP接口容易受到CVE-2024-4040的攻击的国家，大多数位于美国和加拿大，但也有许多可以在南美洲、俄罗斯、亚洲和澳大利亚以及其他地方找到。 企业用户可以下载原始数据，并以API端点的形式导出批量数据源，其中列出易受攻击的CrushFTP域和IP。 有了这些信息，安全团队就可以识别其网络中的弱点，并告知用于评估外部危险的风险评分系统。 同时，用于早期检测的源可以实时跟踪入侵尝试，同时记录与这些尝试相关的基础设施，以便可以自动阻止它。

安全研究机构最近报告了威胁分子如何滥用 GitHub 缺陷来推送恶意软件，同时使其看起来像是托管在可信组织的官方源代码存储库上。 虽然大多数与恶意软件相关的活动都是基于 Microsoft GitHub URL，但这个“缺陷”可能会被 GitHub 或 GitLab 上的任何公共存储库滥用，从而允许威胁分子创建非常令人信服的诱饵。 GitLab 评论也可能被滥用来推送恶意软件 例如，攻击中使用的以下 URL 使这些 ZIP 看起来像是存在于 Microsoft 的源代码存储库中： https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip然而，经过调查，这些文件（属于恶意软件）在 Microsoft 的代码存储库中却找不到。 相反，这些内容存在于 GitHub 的 CDN 上，很可能是由滥用该平台“评论”功能的威胁分子上传的。 在对提交或拉取请求留下评论时，GitHub 用户可以附加一个文件（档案、文档等），该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联：' https: //www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}。' 对于视频和图像，文件将存储在该/assets/路径下。 在用户将文件添加到未保存的评论后，GitHub 会自动生成下载链接，而不是在发布评论后生成 URL，如下所示。这使得威胁分子可以在用户不知情的情况下将其恶意软件附加到任何存储库。 将文件添加到评论时自动生成的下载链接来源 即使评论从未实际发布或后来被用户（或攻击者）删除，该文件的链接仍然有效。 自动恶意软件分析服务 UNPACME 的 Sergei Frankoff上个月就该漏洞进行了直播，表示威胁分子正在积极滥用该漏洞。 除此之外，GitLab 也未能幸免于这个问题，用户也可以以类似的方式滥用 GitLab 上的“评论”功能。 在测试中，用户能够将 GitLab 的 CDN 的文件上传，但看起来这些文件存在于 Inkscape 和 Wireshark 等流行开源项目的 GitLab 存储库中： https://gitlab[.]com/inkscape/inkscape/uploads/edfdbc997689255568a7c81db3f3dc51/InkScape-2024-Latest.exe https://gitlab[.]com/wireshark/wireshark/uploads/b4162053fbb4dc6ee4f673c532009e16/WireShark-v4.2.4-stable-release.exe测试中使用的文件是良性 JPG 图像，已重命名为 .exe，以演示威胁分子如何通过滥用此功能来误导用户下载带有恶意软件的假冒软件版本。 上传到 GitLab CDN 的此类文件遵循的格式是： https://gitlab.com/{project_group_namr}/{repo_name}/uploads/{file_id}/{file_name} 这里的file_id看起来像 MD4 或 MD5 哈希值，而不是更简单的数字标识符。 将文件添加到 GitLab 评论时自动生成的下载链接 与 GitHub 非常相似，即使攻击者从未发布过评论或后来删除了评论，生成的 GitLab 文件链接仍将保持活动状态。 GitLab 确实会提示用户先登录，然后才能上传或下载这些文件，但这并不能阻止威胁分子上传这些文件。 由于几乎每个软件公司都使用 GitHub 或 GitLab，因此此缺陷使威胁分子能够开发出极其狡猾且表面看起来值得信赖的诱饵。 例如，威胁分子可以在 NVIDIA 的驱动程序安装程序存储库中上传恶意软件可执行文件 ，该恶意软件可执行文件伪装成修复流行游戏中问题的新驱动程序。或者，威胁分子可以在Google Chromium 源代码的评论中上传文件，并假装它是网络浏览器的新测试版本。 这些 URL 似乎也属于该公司的存储库，这使得它们看起来更加真实。即使公司得知他们的存储库被滥用来传播恶意软件，也找不到任何允许他们管理或删除附加到其项目的文件的设置。

密码重复使用似乎是很多人的常用做法，但这种行为却会对企业的网络安全产生深远影响。当用户在多个账户中重用密码时，这便为黑客进行破坏创造了一个黄金机会。 企业可能有自己强有力的密码策略，但如果重用密码广泛，可能会造成一种错误的安全感。 密码重用如何造成破坏 假设每一个终端用户都被提示创建一个由随机字母组成的多个字符的密码短语，那甚至可以对照最常用的密码列表进行检查。从表面上看活动目录的密码安全性很强，但当用户在不太安全的个人设备、网站或应用程序上重用这个密码时，危机就开始了。 黑客可能会在安全性差的情况下侵入网站的数据库，并访问每个用户的密码。从那里，他们可以试图找出个人在哪里就业，并查阅他们的工作帐户。攻击者还可以通过网络钓鱼等社会工程攻击个人来获得证书。 在密码被泄露的情况下，黑客们使用自动化的工具系统地在各种网站和应用程序中，包括那些与目标工作地点相关的网站和应用程序，测试被盗的用户名和密码组合。这使企业电子邮件帐户、内部系统、文件存储库，甚至行政权限均处于危险之中。 一旦进入网络，攻击者可以横向移动探索不同的系统，并升级他们的特权。攻击者可以访问敏感数据，破坏其他帐户、安装恶意软件，或在网络中发起进一步攻击。他们可以过滤敏感数据、操纵或删除信息、破坏业务，或扣留数据作为勒索筹码。 为什么人们会重复使用密码 密码重用主要是为了方便。用户倾向于选择易于记住的密码，并经常在多个账户中循环使用，以避免管理众多复杂密码的麻烦。 当我们考虑到用户在记住和管理多个密码方面的负担增加时，密码重用的出现并不奇怪。人们被他们需要管理的帐户和密码的数量所淹没，这种疲劳导致了密码重用等捷径。 即使最终用户通过培训意识到了风险，也常常会有一种“不会是我”的心态，最近的一项调查结果显示，有84%的人在多个账户中使用相同的密码。 改变这种行为需要的不仅仅是用户教育和安全意识培训，也需要技术支持。 解决密码重用问题 解决密码重用问题需要将用户教育、技术解决方案和组织政策结合起来。要改变用户行为，提高认识，并采用安全的身份验证方法，以减少对密码的依赖。 安全和方便之间有微妙的平衡。企业需要实施强有力的安全措施，以减少密码重用，但还必须考虑用户体验，避免造成用户负担。 用户教育和认识 定期举办网络安全培训班，以教育员工了解密码重用的风险和设置强有力密码的重要性。人们需要明白，即使是强大的、独特的密码，也会处于危险之中。 多因素认证 设置MFA作为额外的安全层。通过要求用户提供多种形式的身份验证，比如密码和发送到他们的移动设备上的唯一代码，黑客就很难破坏帐户。不过，MFA不是绝对安全的。 密码管理员 密码管理器安全地存储和生成不同帐户的复杂密码，要求用户只记住一个主密码。这消除了记住多个密码的需要，并减少了重用密码的诱惑。但如果最终用户重用他们的主密码，这将使他们的所有帐户都处于风险之中。 连续加密密码扫描 针对密码重用的最好防御是实现一个解决方案，利用方案连续扫描活动目录密码和全面的数据库受损害密码，以便能够实时检测到受损密码，降低未经授权访问的风险，并对安全事件作出快速反应。

威胁情报研究人员在名为 PROXYLIB 的活动中发现 VPN 应用程序在用户不知情的情况下将用户的设备变成了网络犯罪分子的工具。 网络犯罪分子通过其他人的设备（称为代理）发送流量，他们能够使用其他人的资源来完成工作，掩盖了攻击的根源，致使被阻止的可能性较小，并且如果他们的代理之一被阻止，他们仍然可以继续操作。 代理网络地下市场的存在就是为网络犯罪分子提供灵活的、可扩展的平台，从该平台发起广告欺诈、密码喷射和撞库攻击等活动。 研究人员在 Google Play 上发现了 28 个应用程序，这些应用程序将 Android 设备变成犯罪分子的代理。其中 17 个应用程序是免费 VPN。目前，所有这些内容均已从 Google Play 中删除。 此外，研究人员还在第三方存储库中发现了数百个应用程序，这些应用程序似乎使用 LumiApps 工具包，这是一个可用于加载 PROXYLIB 的软件开发工具包 (SDK)。他们还将 PROXYLIB 与另一个专门出售代理节点访问权限的平台（称为 Asocks）绑定在一起。 保护与清除 Android 用户现在可以通过 Google Play Protect 自动保护免受 PROXYLIB 攻击，该功能在具有 Google Play 服务的 Android 设备上默认处于启用状态。 可以使用移动设备的卸载功能卸载受影响的应用程序。然而，此类应用程序将来可能会以不同的名称出现，用户仍需警惕。 远离 PROXYLIB 的建议 ·不要安装来自第三方网站的应用程序。 ·不要安装免费 VPN。 ·使用适用于 Android 的 Malwarebytes。 PROXYLIB 等新型攻击的受害者可能会流量缓慢，因为他们的带宽已被用于其他目的，并且他们的 IP 地址可能会被网站和其他服务屏蔽。有研究人员列出了他们发现的应用程序列表，如果用户在从 Google Play 删除之前安装了列表中的任何应用程序，则需要将其卸载。

网络恶意分子被发现将开源虚拟机管理程序平台 QEMU 作为对企业进行网络攻击的隧道工具。 QEMU 是一个免费的模拟器和虚拟机管理程序，允许在计算机上以访客身份运行其他操作系统。 作为攻击的一部分，网络恶意分子使用 QEMU 创建虚拟网络接口和套接字类型网络设备来连接到远程服务器。这使得恶意分子能够创建从受害者系统到攻击者服务器的网络隧道，而对系统性能的影响可以忽略不计。 安全研究分析师发现了这一问题，并指出攻击者用来保持其隐蔽性的多种方法。 隐秘的网络隧道 黑客创建网络隧道，在他们与受感染的系统之间建立隐秘且安全的通信通道。通常，这些隧道会对网络流量进行加密，以帮助绕过防火墙、入侵检测系统和其他安全措施。 安全研究机构表示，在过去三年调查的案例中，有 10% 的黑客使用了 FRP 和 ngrok 实用程序来创建隧道。攻击中使用的其他隧道工具包括 CloudFlare 隧道、Stowaway、ligolo、3proxy、dog-tunnel、chisel、gs-netcat、plink、iox 和 nps。由于它们经常被网络犯罪分子滥用，致使防御者和监控工具对这些持怀疑态度。 在涉及 QEMU 中，攻击者利用一种不太传统的工具来创建网络隧道，这种工具不太可能发出任何警报，即使这意味着放弃流量加密。 此外，QEMU 还提供有独特的功能，例如模拟各种硬件和虚拟网络、允许恶意活动与良性虚拟化流量混合，以及通过战略性设置 VM 枢轴点来桥接分段网络部分。 轻如羽毛的后门 在发现的攻击中，黑客利用“Angry IP Scanner”进行网络扫描，利用“mimikatz”进行凭证盗窃，并使用 QEMU 创建复杂的网络隧道设置，以促进隐蔽的通信通道。 攻击者试图尽可能减少足迹，只为他们创建的虚拟机分配 1MB RAM，从而大大降低了通过资源消耗被检测到的机会。 不使用 LiveCD 或磁盘映像启动的 VM 的配置包括以下参数： ·-netdev user,id=lan,restrict=off：在用户模式下配置名为“lan”的网络后端，允许通过主机的网络堆栈进行不受限制的网络访问。 ·-netdev socket,id=sock,connect= ·-netdev hubport,id=port-lan,hubid=0,netdev=lan/sock：将网络设备（lan 或 sock）链接到虚拟集线器 hubid=0，促进不同后端之间的网络连接。 ·-ngraphic：在没有图形界面的情况下运行 QEMU，仅选择命令行交互，从而减少其可见性和资源占用。 安全研究机构进行了模拟测试来复制攻击者对 QEMU 的具体使用，得出的结论如下图所示： 流量路由图 使用 QEMU 时攻击者建立了一条网络隧道，从无法访问互联网的目标内部主机到能够访问互联网的枢轴主机，后者又连接到攻击者在云上运行 Kali Linux VM 的服务器。 建立与内部主机的 RDP 连接 QEMU 虚拟机无缝链接和桥接分段网络组件的能力是绕过安全措施的关键，也可用于进一步横向破坏。企业应该采用多级保护来检测此类合法工具的使用，包括 24/7 网络监控。 安全研究机构总结道：这进一步支持了多级保护的概念，其中包括可靠的端点保护以及有针对性的攻击（包括人为攻击）专门解决方案。

Cisco Duo是一个多因素认证和单一登录服务,使用公司提供安全访问内部网络和公司应用。据相关资料显示，它为10万个客户提供服务，每月处理10亿多个认证，下载超过10000000次。 在发送给客户的电子邮件中，Cisco Duo透露一个处理该公司短信和网络电话多因素认证(MFA)消息的未命名的供应商在4月受到了影响。 通知解释说，威胁分子通过钓鱼攻击获得员工证书，然后利用这些证书进入电话供应商的系统。 威胁分子随后下载了与2024年3月至2024年3月期间特定的多帐户相关的短信日志和网络电话管理局的消息日志。思科目前正在与供应商积极合作，调查和解决这一事件。 据了解，威胁分子没有访问邮件的任何内容，也没有使用他们的权限向客户发送邮件。然而，被盗的信息日志中确实含有可用于定向钓鱼攻击的数据以获取敏感信息，如公司证书。 这些日志中的数据包括雇员的电话号码、载体、位置、日期、消息类型等。受影响的供应商发现这个漏洞时，他们会宣布受影响的凭证无效，然后分析活动日志，并通知思科。除此之外，还采取了更多的安全措施，以防止今后再发生类似事件。 该供应商向Cisco Duo提供了所有公开的信息日志，可以通过向[email protected]发送电子邮件请求，以更好地了解这次入侵的范围、其影响以及适当的防御策略。 思科还提醒受此影响的客户，警惕潜在的短信钓鱼邮件以及使用被盗信息进行的网络攻击。

近期，威胁研究人员披露了多个报废 D-Link 网络附加存储 (NAS) 设备型号中存在新的任意命令注入和硬编码后门缺陷。 发现该缺陷的研究人员“Netsecfish” 解释说 ，该问题存在于“/cgi-bin/nas_sharing.cgi”脚本中，影响其 HTTP GET 请求处理程序组件。 导致该缺陷的两个主要问题（编号为 CVE-2024-3273）是通过硬编码帐户（用户名：“messagebus”和空密码）促成的后门以及通过“system”参数的命令注入问题。 当链接在一起时，任何攻击者都可以在设备上远程执行命令。 命令注入缺陷是由于通过 HTTP GET 请求将 Base64 编码的命令添加到“system”参数，然后执行该命令而引起的。 恶意请求示例 研究人员警告说：“成功利用此漏洞可能允许攻击者在系统上执行任意命令，从而可能导致未经授权访问敏感信息、修改系统配置或拒绝服务条件。” 受 CVE-2024-3273 影响的设备型号包括： ·DNS-320L 版本 1.11、版本 1.03.0904.2013、版本 1.01.0702.2013 ·DNS-325 版本 1.01 ·DNS-327L 版本 1.09，版本 1.00.0409.2013 ·DNS-340L 版本 1.08 网络扫描显示超过 92000 个易受攻击的 D-Link NAS 设备在线暴露，容易受到这些缺陷的攻击。 互联网扫描结果 没有可用的补丁 在联系 D-Link 询问该缺陷以及是否会发布补丁后，供应商表示 NAS 设备已达到使用寿命 (EOL)，不再受支持。所有 D-Link 网络附加存储的生命周期和服务寿命已终止多年，并且与这些产品相关的资源已停止开发且不再受到支持。与此同时，D-Link 建议淘汰这些产品，并用接收固件更新的产品替换它们。 受影响的设备不像当前型号那样具备自动在线更新功能或客户外展功能来发送通知。不久，供应商发布安全公告，以提高人们对该缺陷立即淘汰或更换这些设备的必要性认识。 D-Link为旧设备建立了专门的支持页面 ，用户可以在其中浏览档案以查找最新的安全和固件更新。 即使这些更新不能解决新发现的问题（例如 CVE-2024-3273），那些坚持使用过时硬件的用户也应该应用最新的可用更新。 此外，NAS 设备不应该暴露在互联网上，因为它们通常是勒索软件攻击中窃取数据或加密的目标。

据一项民意调查显示，60% 的小企业担心网络安全威胁，58% 的小企业担心供应链崩溃，专业服务行业的小企业比制造业的小企业更担心网络安全威胁。 其中，最担心网络安全威胁的小型企业包括拥有 20-500 名员工的企业 (74%) 和专业服务行业的企业 (71%)。最不担心的小型企业包括制造业企业 (61%)、女性拥有的企业 (68%) 和健康状况一般的企业 (64%)。” 服务企业的担忧是正确的。企业面临的最严重的网络威胁是勒索软件，在几乎任何国家/地区，服务业都是受勒索软件打击最严重的行业。 然而，虽然服务业比制造业遭受的攻击更多，但差距正在稳步缩小，几乎可以忽略不计。 2024 年 2 月按行业划分的已知勒索软件攻击 不过，面对网络威胁，小型企业大都不会无动于衷。49% 的受访者表示，他们在过去一年中对员工进行了网络安全措施培训，23% 的受访者认为他们已“做好充分准备”应对网络威胁，50% 的受访者认为“已做好一定准备”。 对于小型企业的担忧其实并不意外，它们的资源有限但却需要与大型企业一样打击复杂的犯罪团伙。 而且，网络犯罪分子也在不断发展策略。他们喜欢利用社会工程以及互联网连接设备和服务中的漏洞，而不是老式恶意软件来渗透系统和网络。一旦他们侵入公司网络，就会越来越多地利用合法工具而不是恶意软件来进行攻击，这种策略被称为“靠地生存”，这也时刻提醒着企业们需要迭代出能够应对这些威胁的不同方法和安全解决方案。

美国网络安全和基础设施安全局(CSA)发布了新版本的“下一代恶意软件”，允许公众提交恶意软件样本供CSA分析。 恶意软件下一代是一个恶意软件分析平台，用于检测可疑工件的恶意软件样本,通过静态和动态分析工具接受自动恶意软件分析，使CSA能够通过自动化分析新发现的恶意软件从而加强网络防御，有助于促进国家网络安全和重要基础设施建设。 可用性 自2023年11月以来，政府等相关组织提供了下一代恶意软件，从1600份提交材料中查明了200个可疑或恶意文件和网址。为此CSA鼓励所有组织、安全研究人员和个人登记可疑档案，并将其提交该平台进行分析。 使用静态和动态分析工具在安全环境中分析提交的文件，结果以PDF和STIX2.1格式提供。 匿名抽样提交 目前只有CSA分析员和其他经过审核的人员才能访问该系统生成的恶意软件分析报告。

往期回顾： 2024.4.1—2024.4.7安全动态周回顾 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

安全研究人员发现了四个漏洞，影响多个版本的 WebOS（LG 智能电视使用的操作系统）。这些缺陷可以对受影响的模型进行不同程度的未经授权的访问和控制，包括授权绕过、权限升级和命令注入。 潜在的攻击取决于使用在端口 3000/3001 上运行的服务在设备上创建任意帐户的能力，该服务可用于使用 PIN 的智能手机连接。 连接电视的 PIN 安全研究人员解释说，虽然易受攻击的 LG WebOS 服务应该只在局域网 (LAN) 设置中使用，但 Shodan 互联网扫描显示， 91000 个暴露的设备可能容易受到这些缺陷的影响。 这四个缺陷总结如下： ·CVE-2023-6317允许攻击者利用变量设置绕过电视的授权机制，从而在没有适当授权的情况下向电视机添加额外的用户。 ·CVE-2023-6318是一个特权提升漏洞，允许攻击者在 CVE-2023-6317 提供的初始未经授权的访问之后获得 root 访问权限。 ·CVE-2023-6319涉及通过操纵负责显示音乐歌词的库来注入操作系统命令，从而允许执行任意命令。 ·CVE-2023-6320允许通过利用com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端点进行经过身份验证的命令注入，从而以 dbus 用户身份执行命令，该用户具有与 root 用户类似的权限。 这些漏洞影响 LG43UM7000PLA上的 webOS 4.9.7–5.30.40、OLED55CXPUA上的 webOS 04.50.51–5.5.0、OLED48C1PUB 上的 webOS 0.36.50–6.3.3-442 以及 OLED48C1PUB上的 webOS 03.33.85–7.3.1-43 OLED55A23LA。 安全研究人员于 2023 年 11 月 1 日向 LG 报告了其调查结果，但该供应商直到 2024 年 3 月 22 日才发布相关安全更新。 尽管 LG 电视会在重要的 WebOS 更新可用时提醒用户，但这些更新可能会无限期推迟。因此，受影响的用户应通过转到电视的“设置”>“支持”>“软件更新”并选择“检查更新”来应用更新。可以从同一菜单启用在可用时自动应用 WebOS 更新。 尽管电视在安全性方面要求不高，但在这种情况下，远程命令执行的严重性仍不容忽视，因为它可能为攻击者提供一个枢纽点，以到达连接到同一网络的其他更敏感的设备。 此外，智能电视通常具有需要帐户的应用程序，例如流媒体服务，攻击者可能会窃取这些帐户来达到控制目的。 最后，易受攻击的电视可能会受到恶意软件僵尸网络的危害，这些僵尸网络会将其纳入分布式拒绝服务 (DDoS) 攻击或用于加密货币挖矿。

GitHub 默认为所有公共存储库启用推送保护，以防止推送新代码时意外泄露访问令牌和 API 密钥等机密。这是一种自动防止敏感信息泄露的简单方法。该功能于 2023 年 5 月普遍适用于所有公共存储库。 推送保护通过在接受“git推送”操作之前扫描机密，并在检测到机密时阻止提交来主动防止泄漏。 GitHub 表示，秘密扫描功能通过发现来自 180 多个服务提供商的 200 多种令牌类型和模式（API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭证等），自动防止秘密泄露。 “我们开始为所有用户推出推送保护。这意味着，当在公共存储库的任何推送中检测到受支持的机密时，您可以选择从提交中删除该机密，或者绕过封锁。” 即使所有公共存储库默认启用推送保护，GitHub 用户也可以绕过自动提交阻止。虽然不推荐，但他们可以在安全设置中完全停用推送保护。 推送保护的实际应用 使用 GitHub Advanced Security，它可以保护私有存储库中的敏感信息，还添加了一套其他秘密扫描功能，以及代码扫描、人工智能驱动的代码建议和其他静态应用程序安全 (SAST) 功能。 Tooley 和 Claessens 表示：“API 密钥、令牌和其他机密的意外泄露可能会带来安全漏洞、声誉受损和法律责任，其规模之大令人咂舌。” 仅在 2024 年年初，GitHub 就在公共存储库上检测到了超过 100 万个泄露的机密。也就是说，每分钟就有十几起意外泄露。凭证和秘密泄露也因此导致了多起影响深远的数据泄露事件。

往期回顾： 2024.3.25—2024.3.31安全动态周回顾 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

《2024网络安全产业图谱》调研征集今天截止，望各厂商尽快将《2024网络安全产业图谱调研表》提交至指定邮箱！ 2024年，嘶吼安全产业研究院对《网络安全产业图谱》进行更新，以更准确的反映当前网络安全产业链的发展规划与趋势。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 《2024网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回复“2024图谱调研”获取。 1）征集阶段：2024年3月7日——2024年4月7日，下载填报《2024网络安全产业图谱调研表》，并发送至收集邮箱中。 2）分析阶段：根据回收的问卷，嘶吼分析师团队会针对厂商提交材料进行复核，部分厂商可能需要接受验证或者访谈，以便对存疑问题进行沟通。 3）图谱报告发布：《2024网络安全产业图谱》由嘶吼安全产业研究院官方发布。内容将呈现部分细分领域数据统计，根据实际调研结果，撰写包括网络安全产业情况、调研发现等相关内容。 填写说明： 1 请按说明要求填写，方便后续整理数据，请注意，不要删减行列！ 2 提交时请务必在附件中添加（ai格式）公司logo。 3 请务必于今日提交问卷，发送至邮箱[email protected]。 4 务必客观、真实填写该问卷。 声明： · 此次收集的调研数据，将由嘶吼安全产业研究院全程严格管理。每一个样本数据仅作为综合统计分析的素材，不会泄露和公布任何参与调研机构的隐私信息，请参与调研的每位负责人安心填写。 · 《2024网络安全产业图谱调研表》仅为调研资料收集，图谱最终呈现分类与形式，将以正式发布内容为准。 在此，我们要郑重的感谢所有参与到嘶吼图谱绘制的各家厂商，不论是网络框架梳理到内容划分调整，亦或是申请入驻、参与对细分领域的调研等环节，行业同仁都对我们提供了莫大的帮助。再次表示诚挚的感谢！

安全研究人员基于 Microsoft 配置管理器的不当设置，创建了攻击和防御技术的知识库存储库，这将允许攻击者执行有效负载或成为域控制器。 配置管理器 (MCM) 称为系统中心配置管理器（SCCM、ConfigMgr），自 1994 年以来一直存在，并存在于许多 Active Directory 环境中，帮助管理员管理 Windows 网络上的服务器和工作站。 十多年来，它一直是安全研究的对象，作为可以帮助对手获得 Windows 域管理权限的攻击面。 在SO-CON 安全会议上 ，SpectreOps 研究人员宣布发布 Misconfiguration Manager，这是一个基于错误 MCM 配置进行攻击的存储库，还为防御者提供资源以强化其安全立场。 SpectreOps 解释说：“我们的方法不仅限于对已知对手的策略进行分类，还包括渗透测试、红队行动和安全研究领域的贡献。”MCM/SCCM 的设置并不容易，而且许多默认配置都为攻击者留下了可乘之机。 获取域控制 SpectreOps 研究人员指出，研究人员在其工作中看到的最常见且最具破坏性的错误配置是具有过多特权的网络访问帐户 (NAA)。 谈到 MCM/SCCM，研究人员表示，“配置起来非常困难，新手或不知情的管理员可能会选择使用相同的特权帐户来完成所有操作。” 在工作期间，他们遇到了一种场景，该场景从损害标准用户的 SharePoint 帐户到成为域控制器，这一切都是由于 MCM 的 MCM 部署配置错误以及特权过高的 NAA 造成的。 在另一个示例中，研究人员表示配置管理器站点可以将域控制器注册为客户端，如果站点层次结构设置不正确，这会带来远程代码执行的风险。 为了进一步证明 MCM/SCCM 部署配置错误的风险，研究人员概述了相关经验，团队能够进入 MCM/SCCM 的中央管理站点 (CAS) 数据库并授予自己完整的管理员角色。 从那里他们可以通过使用配置管理器，在先前植入域客户端网络共享上的有效负载上执行来进一步破坏环境。 攻击与防御方法 由 Chris Thompson、Garrett Foster和 Duane Michael创建的Misconfiguration Manager存储库旨在帮助管理员更好地了解 Microsoft 的工具，并“为防御者简化 SCCM 攻击路径管理，同时对攻击性专业人员进行有关这一模糊攻击面的培训”。 目前，该存储库描述了 22 种可用于直接攻击 MCM/SCCM 或在后利用阶段利用它的技术。 错误配置管理器技术的攻击矩阵 根据环境的不同，所描述的技术可能允许访问凭证 (CRED)、提升权限 (ELEVATE)、执行侦察和发现 (RECON) 或获得对 MCM/SCCM 层次结构的控制 (TAKEOVER)。 对于每种攻击方法，研究人员还提供了保护环境免受每种攻击技术侵害的信息。 三类防御行动： 预防：直接减轻或影响攻击技术的配置更改 检测：检测各种攻击技术的指南和策略 CANARY：基于欺骗的检测策略，使用攻击者经常滥用的功能 考虑到它被广泛采用并且必须安装在 Active Directory 域中，如果配置不当，MCM/SCCM 可能会降低公司的安全状况，这项任务适合经验丰富的管理员。 尽管错误配置管理器的创建者已经进行了测试，但建议管理员在生产环境实施之前尽量再测试一遍存储库中提供的防御方法。

为进一步保护企业合法权益，持续优化营商网络环境，按照中央网信办“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动部署要求，北京市网信办于4月2日启动了为期9个月的“清朗·E企护航”专项整治行动。 此次专项整治行动重点聚焦侵犯企业和企业家合法权益的网络信息内容乱象，集中整治抹黑诋毁企业形象声誉、炮制传播虚假不实信息、敲诈勒索谋取非法利益、扰乱企业生产经营秩序、恶意炒作涉企公开信息，及水军账号控评造谣、唱衰经济破坏营商环境等七方面突出问题。属地各网站平台应当严格履行主体责任，健全管理制度，加强热搜榜单、用户账号及MCN机构等重点环节管理，依法依规开展服务，切实维护健康有序的网络传播秩序。 专项整治行动期间，北京市网信办将加大巡查检查力度，充分发挥统筹协调作用，联合有关部门、各区网信办对落实整治要求不力的网站平台和问题严重、影响恶劣的网络账号，依法依规予以严肃查处，并及时公开曝光典型案例，震慑打击违法违规行为。 欢迎社会各界积极向北京市违法和不良信息举报平台以及各网站平台举报涉北京属地平台账号相关违法违规线索，共同营造清朗网络空间。 北京市违法和不良信息举报平台举报网址：www.bjjubao.org.cn 北京属地重点网站平台举报途径：www.bjjubao.org.cn/2023-04/23/content_42964.html 文章来源：北京市互联网信息办公室

随着数字化时代的蓬勃发展，网络安全产业正迎来一场深刻而迅猛的变革。在过去，我们曾专注于传统的安全防御手段，采取反应式的威胁应对策略。如今，随着威胁的不断演变和技术的飞速进步，网络安全面临着前所未有的挑战和新的需求。这一变革推动我们重新审视网络安全的本质，并着眼于更加智能、预测性和综合性的解决方案。不再局限于单一的防御模式，我们必须迎接更智能化的威胁，同时在数字生态系统中建立起更为全面的保护体系。 2024年3月7日，嘶吼安全产业研究院启动了《2024网络安全产业图谱》调研工作。截止到今天，《2024网络安全产业图谱》调研征集阶段即将结束，望各厂商尽快下载填报《2024网络安全产业图谱调研表》，并于4月7日前发送至指定邮箱。 为适应当前网络安全领域的快速发展，嘶吼安全产业研究院对《网络安全产业图谱》进行更新，以更准确的反映当前网络安全产业链的发展规划与趋势。在各领域新兴技术不断涌现的背景下，我们合理重新分类网络安全产业链，进一步规划网安产业布局，展现产业核心企业能力与竞争力，为政企及其他组织机构提供客观参考。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 《2024网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回复“2024图谱调研”获取。 1）征集阶段：2024年3月7日——2024年4月7日，下载填报《2024网络安全产业图谱调研表》，并发送至收集邮箱中。 2）分析阶段：根据回收的问卷，嘶吼分析师团队会针对厂商提交材料进行复核，部分厂商可能需要接受验证或者访谈，以便对存疑问题进行沟通。 3）图谱报告发布：《2024网络安全产业图谱》由嘶吼安全产业研究院官方发布。内容将呈现部分细分领域数据统计，根据实际调研结果，撰写包括网络安全产业情况、调研发现等相关内容。 填写说明： 1 请按说明要求填写，方便后续整理数据，请注意，不要删减行列！ 2 提交时请务必在附件中添加（ai格式）公司logo。 3 请于4月7日前提交问卷，发送至邮箱[email protected]。 4 务必客观、真实填写该问卷。 声明： · 此次收集的调研数据，将由嘶吼安全产业研究院全程严格管理。每一个样本数据仅作为综合统计分析的素材，不会泄露和公布任何参与调研机构的隐私信息，请参与调研的每位负责人安心填写。 · 《2024网络安全产业图谱调研表》仅为调研资料收集，图谱最终呈现分类与形式，将以正式发布内容为准。 在此，我们要郑重的感谢所有参与到嘶吼图谱绘制的各家厂商，不论是网络框架梳理到内容划分调整，亦或是申请入驻、参与对细分领域的调研等环节，行业同仁都对我们提供了莫大的帮助。再次表示诚挚的感谢！

黑客利用 Popup Builder 插件过时版本中的漏洞入侵了 WordPress 网站后，用恶意代码感染了 3300 多个网站。 攻击中利用的缺陷被追踪为 CVE-2023-6000，这是一个影响 Popup Builder 版本 4.2.3 及更早版本的跨站点脚本 (XSS) 漏洞，最初于 2023 年 11 月披露。 今年年初发现的 Balada Injector 活动利用该特定漏洞感染了 6700 多个网站，许多网站管理员都没能足够快地修补补丁。 有报告发现在上个月一个针对 WordPress 插件上的相同漏洞活动显著增加。 根据 PublicWWW 的结果，在3329 个 WordPress 网站中发现了与这一最新活动相关的代码注入 ，Sucuri 自己的扫描仪检测到了 1170 个感染。 注射细节 这些攻击会感染 WordPress 管理界面的自定义 JavaScript 或自定义 CSS 部分，而恶意代码则存储在“wp_postmeta”数据库表中。 注入代码的主要功能是充当各种 Popup Builder 插件事件的事件处理程序，例如“sgpb-ShouldOpen”、“sgpb-ShouldClose”、“sgpb-WillOpen”、“sgpbDidOpen”、“sgpbWillClose”和“ sgpb-DidClose”。 恶意代码会在插件的特定操作时执行，例如当弹出窗口打开或关闭时。 Sucuri 表示，代码的具体操作可能有所不同，但注入的主要目的是将受感染网站的访问者重定向到恶意目的地，例如网络钓鱼页面和恶意软件投放网站。 具体来说，在某些感染中，分析人员观察到代码注入重定向 URL (hxxp://ttincoming.traveltraffic[.]cc/?traffic) 作为“contact-form-7”弹出窗口的“redirect-url”参数。 注射的一种变体 上面的注入从外部源检索恶意代码片段并将其注入到网页头部以供浏览器执行。 实际上，攻击者有可能通过这种方法实现一系列恶意目标，其中许多目标可能比重定向更严重。 防守 这些攻击源自域“ttincoming.traveltraffic[.]cc”和“host.cloudsonicwave[.]com”，因此建议阻止这两个域。 如果在站点上使用 Popup Builder 插件，请升级到最新版本（当前为 4.2.7），该版本解决了 CVE-2023-6000 和其他安全问题。 WordPress 统计数据显示，目前至少有 80000 个活跃站点使用 Popup Builder 4.1 及更早版本，因此攻击面仍然很大。 如果发生感染，删除操作包括从弹出窗口生成器的自定义部分中删除恶意条目，并扫描隐藏的后门以防止再次感染。

Black Basta 和 Bl00dy 勒索软件团伙加入了针对 ScreenConnect 服务器的攻击中。 此严重缺陷 (CVE-2024-1709) 允许攻击者在暴露于 Internet 的服务器上创建管理员帐户、删除所有其他用户并接管任何易受攻击的实例。 自三月以来，CVE-2024-1709 一直受到积极利用。近期，ConnectWise 还修复了一个高严重性路径遍历漏洞 (CVE-2024-1708)，该漏洞只能被具有高权限的威胁分子滥用。 因为这两个安全漏洞影响所有 ScreenConnect 版本，该公司已取消了所有许可证限制，因此拥有许可证的客户可以保护其服务器免受持续攻击。 CISA 还将CVE-2024-1709 添加到其已知被利用的漏洞目录中，命令美国联邦机构确保其服务器的安全。 Shadowserver 表示，CVE-2024-1709 现在在攻击中被广泛利用，有数十个针对在线暴露服务器的 IP，而 Shodan 目前跟踪超过 10000 个 ScreenConnect 服务器（只有 1,559 个运行ScreenConnect 23.9.8 修补版本）。在分析这些正在进行的攻击时， Black Basta 和 Bl00dy 勒索软件团伙也开始利用 ScreenConnect 缺陷进行初始访问，并使用 Web shell 为受害者的网络设置后门。 ScreenConnect 攻击流程 在调查他们的攻击时，安全研究团队观察到攻击者获得网络访问权限，部署在受感染系统上的与 Black Basta 连接的 Cobalt Strike 信标后的侦察、发现和权限升级活动。 Bl00dy 勒索软件团伙使用的有效负载是利用泄露的 Conti 和 LockBit Black 构建器构建的。然而，他们留下的赎金票据表明，攻击者是 Bl00dy 网络犯罪行动的一部分。 此外，攻击者部署了具有远程访问木马 (RAT) 和勒索软件功能的多用途XWorm 恶意软件。 其他威胁分子利用新获得的对受感染 ScreenConnect 服务器的访问权限来部署各种远程管理工具，例如 Atera 和 Syncro 或第二个 ConnectWise 实例。 Sophos在报告中首次透露，最新修补的 ScreenConnect 缺陷被利用在勒索软件攻击中。他们发现了使用 2022 年 9 月下旬在线泄露的LockBit 勒索软件构建器构建的多个勒索软件有效负载，包括在 30 个不同网络上发现的 buhtiRansom 有效负载以及使用泄露的 Lockbit 构建器创建的第二个 LockBit 变体。 网络安全公司也证实了他们的发现，“当地政府，包括可能与其 911 系统相关的系统”和“医疗诊所”也受到了利用 CVE-2024-1709 身份验证绕过的勒索软件的攻击。 安全研究团队为此建议用户更新到该软件最新版本。

往期回顾： 2024.3.18—2024.3.24安全动态周回顾 2024.3.11—2024.3.17安全动态周回顾 2024.3.4—2024.3.10安全动态周回顾 2024.2.26—2024.3.3安全动态周回顾 2024.2.19—2024.2.25安全动态周回顾 2024.2.12—2024.2.18安全动态周回顾 2024.1.29—2024.2.4安全动态周回顾 2024.1.22—2024.1.28安全动态周回顾 2024.1.15—2024.1.21安全动态周回顾 2024.1.8—2024.1.14安全动态周回顾

索尼子公司 Insomniac Games 视频游戏开发商在 2019 年 8 月被索尼收购后，一直是索尼互动娱乐全球工作室部门（现称为 PlayStation Studios）的一部分。 去年 12 月，索尼表示他们正在调查 Rhysida 勒索软件团伙的指控事件，该团伙声称他们入侵了 Insomniac Games 并从其网络中窃取了超过 130 万个文件。 游戏工作室拒绝支付 200 万美元赎金，谈判失败后，Rhysida 在其暗网泄露网站上泄露了 167 TB 的文件。 该工作室在泄密事件后发表声明称“我们知道被盗的数据包括员工、前员工和独立承包商的个人信息。” 泄露的文件包括许多身份扫描和内部文件，例如与 Marvel 和 Nvidia 的合同信息和许可协议，以及 Insomniac Games 即将推出的 Wolverine 游戏的屏幕截图。 正如 Rhysida 网站上声称的那样，威胁分子在将其余文件卖给最高出价者后，只泄露了他们从工作室窃取的 98% 的文件。 Rhysida 泄密网站上的 Insomniac Games 泄密信息 目前，Insomniac Games 正在通知遭到信息泄露的员工。 通知中写道：“一旦 Insomniac 识别出下载的文件，我们就开始分析这些文件，以确定哪些类型的个人信息受到影响以及与谁相关。”。 Insomniac 和索尼正在扩展 ID Watchdog 服务，作为其员工福利计划的一部分，在当前注册期之外额外提供两年的免费信用监控和身份恢复服务。该公司还设有专门的呼叫中心，随时回答受影响员工对勒索软件攻击提出的任何问题。 据悉，Rhysida 勒索软件即服务 (RaaS) 操作于 2023 年 5 月开始出现，并在入侵智利军队 (Ejército de Chile)和大英图书馆后迅速声名狼藉。

如今，勒索软件团伙正越来越多地利用合法的远程监控和管理 (RMM) 工具来实施网络攻击。 RMM 软件（例如 AnyDesk、Atera 和 Splashtop）对于 IT 管理员远程访问和管理其网络内的设备至关重要。但勒索软件团伙也可以利用这些工具渗透公司网络并窃取数据。 在这篇文章中，我们将深入研究勒索软件团伙如何使用 RMM 工具，识别最常被利用的 RMM 工具，并讨论如何使用应用程序阻止端点检测和响应 (EDR) 检测以防止可疑的 RMM 工具活动。 勒索软件团伙如何利用 RMM 工具 勒索软件团伙主要通过以下三种主要策略来利用远程监控和管理 (RMM) 工具： 通过预先存在的 RMM 工具获得初始访问权限：由于 RMM 工具通常需要系统访问凭据，因此攻击者可以利用弱或默认的 RMM 凭据和漏洞来获得对网络的未经授权的访问。 感染后安装 RMM 工具：一旦进入网络，勒索软件攻击者就可以安装自己的 RMM 工具来维持访问和控制，从而为勒索软件攻击奠定基础。例如，ThreatDown Intelligence 团队注意到勒索软件攻击者利用未修补的 VMWare Horizon 服务器来安装 Atera 的案例。 混合方法：攻击者可以使用一系列不同的社会工程诈骗（例如技术支持诈骗或恶意广告）来诱骗员工将 RMM 工具安装到自己的计算机上，从而实现初始访问和勒索软件部署机制。 勒索软件团伙利用的顶级 RMM 工具 勒索软件团伙通常使用以下 RMM 工具来远程监督和控制 IT 基础设施。 Splashtop：专为企业、MSP 和教育机构量身定制的远程访问和支持解决方案。被勒索软件团伙 CACTUS、BianLian、ALPHV、Lockbit 利用。 Atera：面向 MSP 的集成 RMM 工具，提供远程访问、监控和管理。被Royal、BianLian、ALPHV利用。 TeamViewer：用于远程访问和支持的软件。被BianLian利用。 ConnectWise：包含远程支持、管理和监控解决方案的套件。被Medusa利用。 LogMeIn：提供从任何位置对计算机的安全远程访问，以进行 IT 管理和支持。被Royal利用。 SuperOps：结合了 RMM、PSA 和其他 IT 管理功能的 MSP 平台。被CACTUS利用。 几乎所有勒索软件团伙都在其攻击中包含了上述 RMM 工具之一 阻断勒索软件团伙滥用 RMM 攻击 为了防止勒索软件团伙滥用 RMM 工具，企业可以采取两种策略： 使用应用程序阻止软件以阻止不必要的 RMM 工具，以及利用 EDR 检测可疑的 RMM 工具活动。 例如，通过使用 Application Block 等应用程序，企业可以阻止使用非必要的 RMM 应用程序。 对于 AnyDesk 等必要工具， EDR/MDR 层可以在发生感染时提供额外的保护层。 勒索软件攻击者可以使用 AnyDesk 建立命令和控制 (C&C) 服务器。在一种情况下，威胁分子通过利用未打补丁的服务器（其开放端口暴露于互联网）来渗透客户环境。 AnyDesk 由威胁分子安装，如下面的 EDR 警报所示。此类活动是英特尔团队在勒索软件攻击中进行广泛加密之前观察到的典型活动。 EDR 使用相关 MITRE 技术检测恶意 RMM 工具的使用 与其他旨在促进 IT 管理的Living Off the Land 工具非常相似，RMM 工具是双刃剑。 无论是使用 RMM 工具进行初始访问、感染后勒索软件部署，还是两者的组合，勒索软件攻击者都在提高其攻击的复杂性。与此同时，企业也应该积极推出相应策略，通过应用程序阻止和 EDR 等技术有效地减少 RMM 工具的滥用。

我们预计 2024 年工业网络安全格局不会快速发生变化，然而，其中一些趋势已经达到了临界值，也有可能会导致网络威胁格局发生质的变化。 勒索软件 到 2024 年，勒索软件仍将是工业企业的第一大威胁。 2023年，勒索软件攻击占据工业企业信息安全威胁排行榜首位。从 2023 年上半年受网络事件影响的企业官方声明中可以看出，至少六分之一的勒索软件攻击导致产品生产或交付停止。在某些情况下，攻击造成的损失达数亿美元。 目前，似乎没有理由相信威胁会在不久的将来减少。针对大型组织、独特产品（设备、材料）供应商或大型物流和运输公司的勒索软件攻击依旧会造成严重的经济和社会后果。 针对工业公司的勒索软件攻击中不少于 18% 会导致生产或产品交付中断。此外，网络犯罪分子在选择受害者时显然瞄准了“高端市场”，更倾向于能够支付大量赎金的大型企业。总部位于迪拜的国际集装箱码头和供应链运营商——迪拜环球港务集团(DP World) 最近遭受攻击，导致墨尔本、悉尼、布里斯班和弗里曼特尔港口的工作陷入停顿，约 30000 个集装箱无法交付。 勒索软件市场庞大，潜在的受害者不太可能很快就免受攻击。但是，他们可以学会更有效地减轻影响。例如，通过更多手段保护最机密的数据，并制定适当的备份和事件响应计划。 当受害者只需要支付少量的钱时，网络犯罪分子就不得不寻找新的目标来继续获利。例如，对物流和运输公司的攻击可能不再是针对支持运营的 IT 基础设施，而是针对车辆本身（汽车、船舶）。 乍一看，种类繁多的车辆似乎阻碍了此类攻击的实施，大大增加了攻击者的开发成本。然而，攻击可以针对具有相同或相似内部控制系统的多辆车辆，而不是某个特定的车主或操作员。这样的攻击同样适用于在偏远难地区（例如采矿或农业）运行的各种专用设备的所有者和操作员。 对具有重要经济意义的企业，如主要运输和物流组织、大型矿业公司、材料（如金属、合金或复合材料）、农产品和食品的制造商和供应商来说，进行货币化攻击（例如通过股票市场投机）的非常规方法，会使其短缺难以快速弥补。 此类企业的产品供应中断可能会对其市场价格产生重大影响。除了直接后果外，还可能产生连锁反应和间接副作用。回想一下，沙特阿拉伯国家石油公司 (Saudi Aramco) 遭受 Shamoon 攻击后，该公司出人意料地决定用新硬盘更换所有受攻击影响的计算机的硬盘，这对全球硬盘价格产生了爆炸性影响。 网络黑客活动 由于地缘政治等原因，出于政治动机的黑客行动将会变得更加机端，产生更具破坏性的后果。 如去年以色列灌溉系统遭到袭击，以色列 Unitronics Vision 一体式（带集成 HMI 的 PLC）解决方案遭受攻击，撇开公关效应不谈，这种情况下，造成的负面影响不可估量。 最近的黑客攻击已经证明了攻击 OT 系统的能力。据调查，紧张局势升级很可能会将出于政治动机的黑客攻击提升到一个全新的威胁水平。 除了在社会紧张局势加剧（由宗教和种族冲突以及全球许多地区经济日益不稳定引起）的背景下各国内部的抗议运动之外，我们还将看到日益增长的世界政治抗议黑客行动，例如旨在反对引入新的社会文化和宏观经济议程。 与物流和运输相关的威胁 物流和运输的自动化和数字化将导致：网络犯罪与传统犯罪更加紧密地交织在一起。例如：汽车盗窃，适用于所有现代汽车。 使用网络手段盗窃货物。例如：以网络手段为动力的走私——安特卫普港臭名昭著的“十三罗汉”案件中使用的策略。 其他物流和运输欺诈，例如：与保险索赔/取消罚款相关的收款，就像波兰 DRM 作为不公平竞争手段的做法。 非针对性攻击造成物理后果的可能性增加。目前，我们可以查阅到有各种类型的车辆被恶意软件感染的已知案例。未来，由于交通领域采用Android和Linux等“传统”操作系统，标准IT组件和通信协议的广泛集成，以及涉及云服务连接的用例数量不断增加，此类感染也将会增加。有些可能会导致关键监测和控制系统发生故障，从而产生难以预测的后果。

为适应当前网络安全领域的快速发展，嘶吼安全产业研究院对《网络安全产业图谱》进行了更新，以更准确的反映当前网络安全产业链的发展规划与趋势。截止到今天，嘶吼安全产业研究院已收到部分厂商企业图谱调研表的提交。 距离3月7日嘶吼安全产业研究院发布《网络安全产业图谱》调研时间已过半，嘶吼安全产业研究院今向各企业单位发出温馨提示：请尽快于4月7日前提交图谱调研表，如有任何调研疑问可向相关工作人员咨询！ 2024年，在各领域新兴技术不断涌现的背景下，我们合理重新分类了网络安全产业链，进一步规划网安产业布局，展现产业核心企业能力与竞争力，为政企及其他组织机构提供客观参考。 图谱调整说明： 1、各细分领域精简收录企业数量： 本次图谱调研将参考细分产品营收、营收增长率、客户数量、投入占比、品牌影响力等多个维度，对企业进行全面能力评估，重点收录综合能力较高的企业，为行业用户提供更精准的行业参考指南。 2、热门领域Top10厂商推荐： 在精选出的多个热门领域中，我们将根据调研结果评选出Top10优秀安全厂商，进行单独呈现。 《2024网络安全产业图谱》调研通知： 图谱调研表获取方式：关注嘶吼专业版公众号，回复“2024图谱调研”获取。 1）征集阶段：2024年3月7日——2024年4月7日，下载填报《2024网络安全产业图谱调研表》，并发送至收集邮箱中。 2）分析阶段：根据回收的问卷，嘶吼分析师团队会针对厂商提交材料进行复核，部分厂商可能需要接受验证或者访谈，以便对存疑问题进行沟通。 3）图谱报告发布：《2024网络安全产业图谱》由嘶吼安全产业研究院官方发布。内容将呈现部分细分领域数据统计，根据实际调研结果，撰写包括网络安全产业情况、调研发现等相关内容。 填写说明： 1 请按说明要求填写，方便后续整理数据，请注意，不要删减行列！ 2 提交时请务必在附件中添加（ai格式）公司logo。 3 请于4月7日前提交问卷，发送至邮箱[email protected]。 4 务必客观、真实填写该问卷。 声明： · 此次收集的调研数据，将由嘶吼安全产业研究院全程严格管理。每一个样本数据仅作为综合统计分析的素材，不会泄露和公布任何参与调研机构的隐私信息，请参与调研的每位负责人安心填写。 · 《2024网络安全产业图谱调研表》仅为调研资料收集，图谱最终呈现分类与形式，将以正式发布内容为准。

富士通是全球第六大 IT 服务提供商，拥有 124000 名员工，年收入达 239 亿美元。其产品组合包括服务器和存储系统、软件、电信设备等计算产品以及云解决方案、系统集成和 IT 咨询服务等一系列服务。 该公司全球市场业务遍及 100 多个国家。它还与日本政府保持着多方面的关系，承担公共部门项目，参与政府资助的研发项目，并在该国的国家安全中发挥着至关重要的作用。 该公司近期发布的一份公告披露了一起重大网络安全事件，据公告显示，该事件已损害了系统和数据。 富士通的通知中写道：“我们已经确认几台商用计算机上存在恶意软件，并且经过内部调查，发现包含个人信息和与客户相关的信息文件可能已被非法删除。” 在确认存在恶意软件后，已经及时隔离了受影响的企业计算机，并采取了加强对其他企业计算机的监控等措施。 富士通表示，将继续调查该恶意软件如何进入业务系统以及它窃取了哪些数据。 目前该公司表示尚未收到有关滥用客户数据的报告，但他们已向个人信息保护委员会通报了这一事件，目前正在为受影响的客户准备单独的通知。 富士通2021年已遭遇入侵 2021 年 5 月，富士通的 ProjectWEB 信息共享工具就被利用侵入多个日本政府机构的办公室，导致未经授权的访问窃取了 76000 个电子邮件地址和专有数据。 被盗数据包括来自政府系统的敏感信息以及来自成田国际机场的潜在空中交通管制数据。 2021 年 12 月结束的后续调查显示，黑客利用被盗的 ProjectWEB 凭据进行了此次泄露。 调查还发现了 ProjectWEB 中的多个漏洞，该漏洞现已被终止，后来被包含零信任安全措施的新信息共享工具所取代。