游戏安全资讯精选 2017年第十二期 挖矿软件WaterMiner潜伏在《侠盗猎车手》,Carbon Black预测勒索软件市场增长了2502%,如何用云盾WAF实现虚拟补丁

简介: 挖矿软件WaterMiner潜伏在《侠盗猎车手》,Carbon Black预测勒索软件市场增长了2502%,如何用云盾WAF实现虚拟补丁

0e2605beda5386c9bd151bbc132da6d1279b929d


【本周游戏行业DDoS攻击态势】

88786ce128ecba9b4284476b5fe5c044ea143cb7

【游戏行业安全动态】


挖矿软件WaterMiner潜伏在《侠盗猎车手》 点击查看原文


 
  

WaterMiner会嵌入到游戏模块中,当用户下载模块,恶意软件就会随之入侵,还可以逃避任何监视工具。

WaterMiner的压缩文件会被托管在Yandex.Disk上,Yandex.Disk相当于是俄罗斯的Google。压缩文件提供了所宣称的修改功能,然而,在数十个文件中,它包含一个名为“pawncc.exe”的文件,如下图所示。一旦下载开始执行, “pawncc.exe”也就开始了活动。pawncc.exe一旦在受害者的系统上执行,则会启动一连串的事件,最终导致WaterMiner的运行。(本段来源于嘶吼)



Carbon Black勒索软件调查报告:2016年到2017年,勒索软件市场增长了2502%,且势头继续看涨 点击查看原文


概要:

(1)暗网市场中,研究人员发现了 45000 个勒索软件。但这是由于恶意软件作者使用不同的收费模式造成的,有些按单个软件定价,有些按月订购或按年订购。

(2)暗网中的勒索软件市场规模已经从 249287.05 美元涨到了 6237248.90 美元,增长率高达 2502% 。FBI 提供的数据也表示,2016 年的勒索赎金总额约为 1 亿美元,高于 2015 年的 2400 万美元。

(3)一体化的 RaaS 本身就是一条完善的勒索链,其中集成了分发通道(攻击套件,spam 僵尸网络等);可以对比特币勒索进行管理的支付模式;对文件的加密与解锁,还有对用户的技术支持,所有的这些都集成在一个简单的 web 后台面板中。

(4)地下的勒索软件经济已趋于成熟,和现有的软件商业模式类似,包括开发,售后,分发,经销,质保等各个环节。整个勒索软件行业越来越像一个合法的行业。


点评:

目前挖矿类的软件攻击主要为软件捆绑式入侵和漏洞入侵实现挖矿软件成功运行,对于企业用户,建议按照以下措施防御:首先是部署阶段:(1)更新所有的补丁。如果有一个业务需要新上线部署,建议对操作系统、应用服务软件更新所有的补丁,确保所有的软件处于最新状态。(2)划分安全域,配置好防火墙策略

根据业务情况,划分不同的安全域,实用ECS安全组或iptables配置好网络访问控制策略,防止暴露不必要的服务,为黑客提供入侵条件。(3)加固操作系统和软件:对操作系统和应用服务软件进行加固,例如:配置强口令、修改默认登陆名、禁止不必要的服务、开启日志审计功能尽可能记录所有的日志


阿里云安全加固手册,帮助提高业务安全性:点击查看


第二是运维阶段:(1)定期关注安全漏洞并及时更新补丁:安全漏洞的不是一蹴而就的,近几年,大规模使用的操作系统、开源软件(例如:Struts2、tomcat等应用中间件或框架)被曝出系列高危漏洞,需要运维人员实时关注各厂商发布的漏洞信息,根据漏洞信息更新软件,防止被黑客利用。(2)部署搭建入侵检测或防御基础安全能力:针对黑客入侵检测、主机恶意文件查杀(webshell、木马)、web攻击行为,应部署必要的产品,提供基本的检测和防御能力(3)确保应用程序代码无漏洞:业务代码漏洞是造成入侵的主要根源,开发人员和运维人员应确保按照安全开发规范开发,防止源头上出现安全问题,从而被黑客利用。(4)应用白名单:确保企业级业务服务器不乱安装非业务软件,所有的业务软件必须要确保为官方发布的软件,防止发生供应链攻击行为导致被黑客长时间入侵利用。


【相关安全事件】


WiFi网络WPA2 KRACK漏洞分析报告 点击查看原文


概要:安全研究员Mathy Vanhoef发现的WPA2协议的KRA(Key Reinstallation Attacks)漏洞,利用WPA2协议标准加密密钥生成机制上的设计缺陷,四次握手协商加密密钥过程中第三个消息报文可被篡改重放,导致在用密钥被重新安装。

WiFi网络通过WPA2 handshake四次握手消息协商用于后续数据通信的加密密钥,其中交互的第三个消息报文被篡改重放,可导致中间人攻击重置重放计数器(replay counter)及随机数值(nonce),重放给client端,使client安装上不安全的加密密钥。


点评:此漏洞攻击方式被命名为Key reinstallation attacks密钥重装攻击,除了影响已经在用的数据加密密钥,同时也影响PeerKey, group key, Fast BSS切换FT握手等,会导致WiFi通信数据加密通道不安全,存在被嗅探、篡改和重放等风险,攻击者可获取WiFi网络中的数据信息。几乎所有支持Wi-Fi的设备(Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys等)都面临安全威胁,危害较大。该漏洞相关影响取决于被攻击的握手过程和数据加密协议,例如AES-CCMP可被重放和解密,TCP流量存在被劫持和注入恶意流量的可能,WPATKIP和GCMP可被重放、篡改及解密,影响会更大,因为GCMP两端使用的相同的认证密钥。


【云上视角】


技术实操:如何用云盾WAF实现虚拟补丁 点击查看原文


概要:企业安全团队除了通过WAF制作虚拟补丁,临时缓解漏洞影响,实际在漏洞响应过程中之执行了如下动作:对网站代码和Web服务器进行深入安全调查

确保本次白帽子发现漏洞之前,该漏洞不曾被黑客利用;找到开发大牛,对PHP代码漏洞进行修复并发布上线;增强服务器安全监控,部署阿里云安骑士客户端

彻查公司内部同类开源项目的版本及漏洞情况;制定Web安全漏洞测试规范;重新评估网站的综合安全性;将先知安全众测列入下一阶段工作计划;技术作者提到:“安全从来就不是单一环节的问题,从业人员必须能够从一个点看到多个层面的问题,从而有效提升企业信息系统的整体安全行,并将安全运营带入正轨。”


期待听到您的反馈


 金融、政府、游戏安全资讯精选会通过云栖社区专栏,

阿里云安全微信和微博,每周与您见面。

如果您是阿里云用户,

也欢迎通过邮件、钉钉公众号查看本周行业资讯。




029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈 


我们会认真讨论您的每一条建议

并邀请精彩回答者加入VIP读者群

f4e338d5b817324ee85128eeafa00d7d5d5453ab

扫码加入THE LAB读者钉钉群


目录
相关文章
|
2天前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
61 1
|
14天前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
8月前
|
监控 安全 网络协议
01-基础设施安全-3-WEB应用防火墙-ACA-03-产品使用流程
01-基础设施安全-3-WEB应用防火墙-ACA-03-产品使用流程
51 0
|
8月前
|
负载均衡 安全 网络协议
01-基础设施安全-3-WEB应用防火墙-ACA-02-核心能力与接入原理
01-基础设施安全-3-WEB应用防火墙-ACA-02-核心能力与接入原理
140 0
|
8月前
|
数据采集 安全 网络安全
01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析
01-基础设施安全-3-WEB应用防火墙-ACA-01-产品简介与特性解析
140 1
|
数据采集 SQL 机器学习/深度学习
阿里云安全产品Web应用防火墙是什么?有什么作用?
Web应用防火墙是一款网站Web应用安全的防护产品,拦截针对您网站发起的Web通用攻击(如SQL注入、XSS跨站等)或是应用资源消耗型攻击(CC),同时也可以满足您网站从流量管理角度来防御业务风险,例如Bot防御、账户安全等场景。Web应用防火墙对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。
|
云安全 域名解析 SQL
什么是云盾Web应用防火墙?阿里云服务器如何接入云盾Web应用防火墙?
本文介绍了阿里云 云盾Web应用防火墙是什么以及云服务器如何接入云盾Web应用防火墙。
808 0
什么是云盾Web应用防火墙?阿里云服务器如何接入云盾Web应用防火墙?
|
网络安全
《云盾-Web应用防火墙(WAF)用户接入手册》电子版地址
云盾-Web应用防火墙(WAF)用户接入手册
173 0
《云盾-Web应用防火墙(WAF)用户接入手册》电子版地址
|
云安全 域名解析 SQL
阿里云安全ACP认证试验之阿里云Web应用防火墙接入体验
阿里云安全ACP认证试验之阿里云Web应用防火墙接入体验
228 0
阿里云安全ACP认证试验之阿里云Web应用防火墙接入体验
|
SQL 安全 算法
开始使用云盾 Web 应用防火墙 | 学习笔记
快速学习 开始使用云盾 Web 应用防火墙
164 0