BUF早餐鋪 | SynAck勒索軟體利用多種高階技術躲避檢測；聯想修復安全啟動問題和任意程式碼執行漏洞；…

梨花淡白柳深青，柳絮飛時花滿城。

各位 Buffer 早上好，今天是 5 月 9 日星期三，農曆三月廿四。今天得 BUF 早餐鋪內容主要有： Synack 勒索軟體利用多種高階技術躲避檢測；聯想修復安全啟動問題和任意程式碼執行漏洞；羅技 Harmony Hub 中的漏洞可被用於攻擊本地網路的其他裝置；黑客使用初始密碼，控制日本數十臺攝像頭；Positive Technologies 最新報告：73％ 的 ICS 工控系統易受黑客攻擊；多種手機APP稱可「直連央行徵信」，使用者面臨安全風險。

安全資訊早知道，兩分鐘聽完最新安全快訊~

以下請看詳細內容：

【國際時事】

Synack 勒索軟體利用多種高階技術躲避檢測

近日，研究人員發現 SynAck 勒索軟體的最新變種利用多種新穎且複雜的技術躲避檢測。通常情況下，爲了能夠在被感染系統中存在更長的時間，攻擊者通常會新增多種防禦技術來識別檢測工具的審查。SynAck 勒索軟體就部署了「常用技術」，併爲新的變種新增了 Process Doppelgänging 程式碼注入技術 。這種技術最早出現在 Black Hat 歐洲 2017 大會上，利用這種技術的攻擊方式對所有 Windows 平臺都有效，而且能夠攻擊主流的安全產品。利用這項技術，SynAck 勒索軟體能夠偽裝成儲存在磁碟上的合法程式，最終執行惡意代碼，且不會更改可能引發警報的檔案。

此外，SynAck 還使用混淆技術、常見識別技術，甚至還會測試目標系統的鍵盤語言設定，來躲避檢測。如果系統預設語言設定為西里爾文，這款軟體就不會執行。[來源： Securityaffairs ]

聯想修復安全啟動問題和任意程式碼執行漏洞

聯想上週五發布了針對其 ThinkPad 系列產品和 System x 伺服器產品的兩個補丁。其中一個漏洞與安全啟動過程中的身份驗證缺陷有關；另一個漏洞則是任意程式碼執行漏洞。

第一個高危的安全啟動漏洞（CVE-2017-3775）是聯想內部測試團隊發現的，受影響的有近十幾個供企業使用的聯想系統，包括 System x、Flex System 和一臺高密度 NeXtScale nx360 M5 型伺服器。在受影響的 Lenovo 伺服器型號中，某些 BIOS / UEFI 版本在安全啟動模式啟動之前未正確驗證簽名程式碼。因此，對系統進行物理訪問的攻擊者可以在裝置中啟動未簽名的惡意代碼。

此外，聯想的 MapDrv 實用程式中存在緩衝區溢位漏洞（CVE-2018-9063），這個程式為 System Update 提供了與網路共享相關的功能。 具有本地訪問許可權的管理員可以使用 MapDrv 實用程式連線或斷開網路共享。但是研究人員發現，MapDrv（C： Program Files Lenovo System Update mapdrv.exe）可能被攻擊者利用。攻擊者會輸入量級很大的使用者 ID 或密碼來溢位程式的緩衝區， 這會導致系統執行任意程式碼。不過這個漏洞影響並不太嚴重，因為成功利用需要管理員許可權，而且不能遠端利用。不過聯想還是建議使用者及時安裝補丁，保護系統安全。[來源： Threatpost ]

【物聯網安全】

羅技 Harmony Hub 中的漏洞可被用於攻擊本地網路的其他裝置

FireEye 紅隊（Red Team）的研究人員發現了羅技 Harmony Hub 物聯網裝置的多個漏洞，漏洞主要包括不適當的證書驗證；不安全的更新過程；開發者在生產韌體映象中留下的除錯標誌以及空 root 密碼。攻擊者可以利用這些漏洞，通過 SSH 來獲取裝置 root 許可權。

Harmony Hub 是用來連線和控制家中不同裝置的家庭控制系統。攻擊者從本地網路中利用這些漏洞可以控制與 Hub 相連的裝置，還可以將 Hub 作為執行空間（execution space），去攻擊本地網路上的其他裝置。由於 Harmony Hub 包括智慧門鎖、智慧溫度計和其他智慧家居裝置，所其中的漏洞會將使用者置於巨大的風險之中。

2018 年 1 月，FireEye 向羅技通報了漏洞。羅技目前已經更新了韌體（4.15.96）來修復這些漏洞。[來源： Fireeye ]

黑客使用初始密碼，控制日本數十臺攝像頭

根據日本當地媒體報道，日本各地的數十臺佳能安全攝像機都遭遇黑客入侵，並在受影響的裝置的視訊源上顯示「我被入侵了。再見」的字樣。根據被黑客入侵的裝置上的螢幕影象，5 月 6 日星期日發生了許多類似事件，而此類事件自 4 月中旬以來一直持續。第一批被入侵攝像頭的管理者表示，他們沒有更改攝像頭的預設密碼，因此被黑客利用，遭遇入侵。

日本佳能公司於4月26日釋出了一份安全說明，在第一次報告相關入侵內容後，建議客戶更改預設密碼。日本使用者和當局報告稱，監控公共場所、政府大樓、水路、廣島的魚市場、神戶殘疾人護理設施等區域的攝像機都遭到入侵。

長期的案例表明，智慧相機和其他物聯網裝置會成為黑客實施更嚴重入侵的入口。不更改裝置的預設密碼是物聯網裝置遭黑客攻擊的主要原因，也是物聯網僵屍網絡掃描易受攻擊裝置時最先檢測的因素。[來源： bleepingcomputer ]

【安全報告】

Positive Technologies 最新報告：73％ 的 ICS 工控系統易受黑客攻擊

安全公司Positive Technologies在上週四（5月3日）釋出的一份題為《工業企業攻擊向量（INDUSTRIAL COMPANIES ATTACK VECTORS）》的測試報告中指出，在所有參與網路安全測試的工業企業中，有73％的企業網路都容易遭受黑客攻擊。導致這種狀況出現的原因更多的是來自於系統管理員，而非系統本身。

報告指出，企業員工所使用的企業信息系統（Corporate Information Systems，CIS）會是黑客攻擊的一個重要突破口，因為這些CIS系統普遍存在安全漏洞，如外部攻擊者可用的管理介面（SSH、TELNET、RDP）、特權使用者的字典密碼、外部攻擊者可用的DBMS連線介面、易受攻擊的軟體版本、不安全協議的使用、任意檔案上傳、使用者和軟體許可權過大以及在明文或公眾中儲存敏感資料等等。

此外，還需要著重提出的便是使用弱密碼的問題，這往往會使得攻擊升級。一旦密碼破解成功，會授予攻擊者足夠大的特權來對整個企業基礎設施的進行控制。[來源： ptsecurity ]

【國內新聞】

多種手機APP稱可「直連央行徵信」，使用者面臨安全風險

最近一年，一些手機APP開始在朋友圈賣力推廣，號稱不用跑銀行排隊等候，在手機上下載個APP應用，就可以查詢自己在央行徵信系統中的個人信用報告。有市民下載使用後還感覺很方便，完全沒有感知到這背後埋藏著嚴重的資訊保安隱患。

日前，中國人民銀行釋出《關於進一步加強徵信資訊保安管理的通知》（以下簡稱「通知」），通知指出，執行機構和接入機構要健全徵信資訊查詢管理，嚴格授權查詢機制，未經授權嚴禁查詢徵信報告，規範內部人員和國家機關查詢辦理流程，嚴禁未經授權認可的APP接入徵信系統。

業內人士表示，現在接入央行徵信系統的只有符合條件的銀行和小額貸款公司、融資性擔保公司、村鎮銀行等金融機構，市場上這些第三方APP本身是不可能與央行直連的。只不過使用者用自己的個人資訊在這些APP上註冊後，APP可以通過技術手段，幫助使用者在手機上進入央行徵信中心的個人信用資訊服務平臺進行查詢。

雖然在手機上查詢很方便，但其實這種方式非常不安全，很容易被盜用資訊。因為，使用者在使用這些APP的過程中，一般要通過手機和驗證碼註冊，隨後還要進行身份驗證。在身份驗證的過程中，使用者需要輸入身份證等個人資訊、還要回答一些私密問題甚至還可能被要求輸入銀行卡等資訊。這些資訊和隨後查詢到的央行徵信報告（記載了個人通訊方式、住址、婚姻狀況、職業資訊、銀行貸款記錄、信用卡透支記錄等詳細資訊），全都是最容易被盜用、最需要保護的個人隱私。但是，從理論上講這些APP可以輕而易舉地將它們留存使用，給客戶留下極大的安全隱患。一旦之後被人非法使用，將造成難以預測的後果。這也正是此次央行明文禁止未經授權認可的APP接入徵信系統，加強對徵信系統查詢管理的主要原因。[來源： 中國青年報 ]

*AngelaY 編譯整理，轉載請註明來自 FreeBuf.COM。