20231016-5th域安全微讯早报-No.247
网络空间安全对抗资讯速递
2023年10月16日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-247 星期一
今日热点导读
资讯详情
1、Microsoft 将逐步淘汰NTLM转而使用Kerberos进行更强大的身份验证
微软宣布计划将来在Windows 11中消除NT LAN Manager(NTLM),因为它将转向替代身份验证方法和增强安全性。这家科技巨头表示:“重点是加强 Kerberos身份验证协议(该协议自2000 年以来一直是默认协议),并减少对NT LAN Manager(NTLM)的依赖。” “Windows 11的新功能包括使用 Kerberos(IAKerb)进行初始和直通身份验证以及Kerberos的本地密钥分发中心 ( KDC )。”IAKerb使客户端能够跨各种网络拓扑使用Kerberos进行身份验证。第二个功能是Kerberos的本地密钥分发中心(KDC),它将Kerberos支持扩展到本地帐户。NTLM和Kerberos 之间的主要区别在于这两种协议如何管理身份验证。NTLM依赖客户端和服务器之间的三向握手来对用户进行身份验证。Kerberos使用由两部分组成的流程,利用票证授予服务或密钥分发中心。另一个重要区别是NTLM依赖于密码散列,而Kerberos利用加密。除了NTLM固有的安全弱点之外,该技术还容易受到中继攻击,可能会导致不良行为者拦截身份验证尝试并获得对网络资源的未经授权的访问。
https://thehackernews.com/2023/10/microsoft-to-phase-out-ntlm-in-favor-of.html
2、MOVEit漏洞攻击事件将改变网络保险计算
MOVEit文件传输软件(该软件曾被用来破坏数十个主要组织)背后的Progress Software公司在最近向美国证券交易委员会(SEC)提交的文件中表示,该公司计划尝试全额收回其1500万美元的网络保险单。但是,这1500万美元的巨额支出可能会如何影响保险公司开展自身业务的方式呢?面对集体诉讼、罚款和受损的商业品牌,毫无疑问该公司将需要数百万美元来弥补损失。此外,根据Progress Software向SEC提交的最新10-Q文件,Progress Software已经在收集与2022年11月发生的先前事件相关的索赔,该事件与MOVEit勒索软件活动无关。“截至2023年 8月31日,我们已记录约490万美元的保险赔偿,其中300万美元与2022年11月的网络事件有关,190万美元与MOVEit漏洞有关,为我们提供了1,010万美元的额外网络安全保险保障(每项索赔需保留50万美元)。我们将在保险单规定的最大范围内寻求赔偿。”Tanium全球高管参与高级顾问马克·米伦德 表示,网络保险公司不像汽车或家庭保险公司那样拥有历史数据或开发的风险模型,这意味着他们需要不断调整自己的“风险偏好”。他认为,像Progress Software寻求的这样的赔付不仅会推高保费,还会提高整个网络保险生态系统的承保要求。预计在Progress Software的索赔和其他索赔之后,更新保单将变得更加棘手。
https://www.darkreading.com/risk/moveit-shift-cyber-insurance-calculus
3、加沙冲突为亲哈马斯的信息行动铺平道路
研究人员正在寻找因以色列与哈马斯冲突而产生的国家资助的信息行动,但到目前为止,还没有出现重大举措。然而,随着越来越多的黑客活动分子和间谍活动者加入竞争,这种情况可能很快就会改变。在本周举行的新闻发布会上,谷歌云Mandiant Intelligence首席分析师John Hultquist表示,到目前为止,尚未发现“协调的网络活动”,但随着局势的持续,攻击预计会随着时间的推移而增加。他指出分布式拒绝服务(DDoS)活动可能是其他类型政治活动的前兆,并特别指出“匿名苏丹”活动的活跃程度。与此同时,他指出,预计破坏性威胁将开始加剧——或者至少是关键基础设施遭到黑客攻击的说法。信息作战有双重定义:它们可以指收集有关对手的战术信息,和/或传播宣传以追求相对于对手的竞争优势。迄今为止已经确定了两项值得注意的信息行动活动。第一个与伊朗有关,他说伊朗正在“宣扬与危机有关的叙事”。另一项受到监控的信息行动活动与龙桥活动有关。
https://www.darkreading.com/dr-global/gaza-conflict-paves-way-information-operations-campaigns
4、Ubuntu在发现“仇恨言论”后终止了23.10版本
Ubuntu是最受欢迎的Linux发行版,在乌克兰语版本被发现包含仇恨言论后,该版本已下架其桌面版23.10。根据Ubuntu项目,一名恶意贡献者是反犹太主义、仇视同性恋和仇外言论的幕后黑手,这些言论通过Ubuntu档案馆之外的“第三方工具”注入到发行版中。本周,Ubuntu在发现乌克兰版本中隐藏的侮辱性字符串后,下架了其桌面安装程序23.10。该项目宣布:“我们在作为Ubuntu Archive之外的第三方工具提交的一些翻译中发现了来自恶意贡献者的仇恨言论。”在其社区论坛上,Ubuntu团队进一步解释说 ,恶意乌克兰语翻译是由社区贡献者提交给“公共第三方在线服务”的,Ubuntu桌面安装程序依赖该服务来提供语言支持。“Ubuntu 23.10发布大约三个小时后,这一事实引起了我们的注意,我们立即删除了受影响的映像。在完成初步分类后,我们认为该事件仅影响通过 Live CD环境安装期间向用户提供的翻译(不是升级)。在安装过程中,翻译仅驻留在内存中,不会传播到磁盘。如果您已从以前的版本升级到 Ubuntu Desktop 23.10,则不会受到此问题的影响。BleepingComputer观察到,神秘的恶意乌克兰语字符串是由名为“Danilo Negrilo”的用户 在翻译文件末尾注入的,这使得它们更难被发现。尽管这些恶意翻译是在中东紧张局势加剧之际发现的,但提交历史证实,破坏活动发生在9月22日左右,即以色列与哈马斯战争生效之前。
https://www.bleepingcomputer.com/news/security/ubuntu-kills-release-2310-after-hate-speech-discovered-in-it/
5、Sticky Werewolf组织攻击俄罗斯和白俄罗斯的政府网络
一群名为Sticky Werewolf的网络犯罪分子积极使用网络钓鱼电子邮件来访问俄罗斯和白俄罗斯政府组织的系统。据BI.ZONE称,该组织的活动自2023年4月以来一直受到监控,在此期间至少进行了30次成功的攻击。攻击者使用IP Logger服务在网络钓鱼电子邮件中创建链接。该工具允许您收集有关单击链接的用户的信息,包括IP地址、位置和设备规格。这种方法可以更轻松地分析潜在受害者,并让您将精力集中在最有价值的目标上。Sticky Werewolf策略的一个特点是在创建链接时使用他们自己的域名,这使得他们对潜在受害者的怀疑减少。通过单击此类链接,用户会下载伪装成Word或PDF文档的恶意文件。尽管该文件的内容可能看起来无害,例如来自紧急情况部的正式信件,但NetWire RAT恶意软件已在后台安装在设备上。该软件使攻击者能够访问系统数据,包括网络摄像头和麦克风的录音。为了掩盖其活动并增加检测难度,该组织使用Themida保护程序来混淆恶意代码。
https://www.securitylab.ru/news/542723.php
6、用户设备上投放广告的技术充当政府监控工具
来自移动应用程序和广告网络的数据提供了数十亿设备在线活动的详细情况。这些信息对世界各国政府都很有价值。根据美国情报机构最近的一份报告,消费者技术收集的数据揭示了我们每个人的敏感信息。《华尔街日报》发现了一个由经纪人和广告平台组成的网络,其信息通过“Near Intelligence”公司发送给美国国防部和情报机构。许多组织获取或接收的这些信息可能最终落入与政府机构有联系的个人手中。来自手机的信息由数据经纪人收集,然后重新打包出售给客户。一些应用程序直接向数据经纪人出售地理位置和其他技术设备数据。Near Intelligence总部位于印度,在美国和法国设有办事处,直到最近才从其他经纪商和广告网络获取数据。她与政府承包商签订了几份合同,这些承包商向美国情报机构提供这些数据。Near内部的隐私和法律专家警告公司管理层有关存储和转售数据的相关风险。在其中一封信中,Near的总法律顾问Jay Angelo指出了侵犯隐私的行为。针对这些指控,Near表示已采取措施确保机密性,包括终止与行为与公司价值观相冲突的客户的关系。
https://www.securitylab.ru/news/542722.php
7、Telegram创始人杜罗夫反对关闭哈马斯电报频道
Telegram创始人帕维尔·杜罗夫(Pavel Durov)通过哈马斯电报频道表达了他对局势的看法。他在声明中强调,封锁该渠道可能会破坏安全平衡,而保持其开放有助于确保该组织行动的透明度。杜罗夫提请注意维护用户安全的复杂问题,同时也需要反恐。他强调,关闭哈马斯渠道可能会导致恐怖组织在互联网影子部门的活动增加,这将使执法部门难以监控他们的活动。杜罗夫指出:“封锁渠道可能导致通信过渡到封闭或影子平台,这将使控制和镇压恐怖活动的能力变得复杂。”Telegram的创建者还强调了平台透明度和开放性对于确保用户社区安全的重要性。他呼吁对局势进行更深入的分析,寻求能够满足各方需求并确保数字空间安全的折衷解决方案。这种情况引起了公众的广泛抗议和争议,涉及平台对通过其传播的内容的责任,以及此类决定对整个社会可能带来的风险和后果。
https://www.securitylab.ru/news/542725.php
8、数学家警告美国间谍机构可能正在削弱下一代加密技术
著名的密码学专家、伊利诺伊大学芝加哥分校的 Daniel Bernstein告诉《新科学家》杂志,美国间谍机构可能正在削弱旨在防范配备量子计算机的黑客的新一代算法。Bernstein表示,美国国家标准与技术研究院 (NIST)故意掩盖美国国家安全局(NSA)在开发“后量子密码学”新加密标准方面的参与程度。他还认为,NIST 在描述新标准安全性的计算中犯了错误——无论是偶然的还是故意的。NIST否认了这些说法。“NIST没有遵循旨在阻止NSA削弱PQC的程序,”伯恩斯坦说。“选择加密标准的人应该透明且可验证地遵循明确的公共规则,这样我们就不需要担心他们的动机。NIST承诺透明度,然后声称它已经展示了所有工作,但这种说法根本不属实。”即使是当今最大的超级计算机,我们用来保护数据的数学问题实际上也是不可能破解的。但当量子计算机变得足够可靠和强大时,它们将能够在瞬间打破它们。
https://www.newscientist.com/article/2396510-mathematician-warns-us-spies-may-be-weakening-next-gen-encryption/
9、墨西哥参议院官方网站遭攻击致1,000份政府机密文件在网上泄露
一名论坛用户声称已成功破坏了墨西哥共和国参议院官方网站的安全。该人声称从9月到10月期间获得了1,000多份私人政府文件,数量惊人。涉嫌的共和国参议院网络攻击引发了人们对敏感政府信息的安全及其可能产生的潜在影响的担忧。这些文件的总大小达到19.4GB。《网络快报》团队试图与官员取得联系,以获取有关议事厅涉嫌网络攻击的确认,但截至本网络安全新闻发布时尚未收到任何答复。在撰写本报告时,可以访问共和国议事厅的官方网站。共和国参议院网站是与墨西哥立法活动相关的重要信息库,包含大量与政府运作相关的机密文件和数据。所谓的共和国议事厅网络攻击凸显了政府网络安全系统中存在的漏洞。声称对所谓的参议院网络攻击负责的匿名论坛用户没有提供有关其身份、动机或用于渗透网站安全的方法的具体细节。然而,他们的说法的严重性促使政府官员和网络安全专家立即对此事件展开调查。因文件被盗而被黑客入侵的共和国参议院可能包含广泛的内容,包括立法提案、机密简报以及政府官员之间的通信。
https://thecyberexpress.com/senado-de-la-republica-cyberattack-govt-docs/
10、科学家团队正在使用ChatGPT技术创建用于科学研究的人工智能
包括剑桥大学专家在内的国际科学家团队启动了一个研究项目,旨在创建一种用于科学发现的人工智能工具。该工具将基于与ChatGPT相同的技术。该项目称为Polymathic AI ,并与开放获取存储库arXiv上的许多相关作品一起发布。熨斗研究所计算天体物理中心组长Shirley Ho表示:“这将彻底改变人们在科学中使用人工智能和机器学习的方式。”博学人工智能背后的核心思想之一是,使用大型的、预先训练的模型比从头开始构建科学模型更快、更准确。Polymathic AI团队汇集了来自西蒙斯基金会、其熨斗研究所、剑桥大学、普林斯顿大学和劳伦斯伯克利国家实验室的研究人员。该团队包括物理学、天体物理学、数学、人工智能和神经科学领域的专家。Shirley Ho强调了该项目的透明度和开放性:“我们希望将一切公开。我们希望使人工智能在科学领域民主化,以便在几年内为社区提供一个预先训练的模型,可以提高科学水平各个领域的分析。”
https://www.securitylab.ru/news/542728.php
11、能够摧毁无人机的机器人在AUSA上亮相
在华盛顿特区举行的美国陆军协会年度会议上,莱茵金属公司推出了其最新的短程防空(SHORAD)开发产品Skyranger 30。该机器人武器站配备一门30毫米火炮,可每分钟发射1,250发30毫米炮弹。该系统的一个特点是它与德事隆防务系统公司制造的无人地面车辆(UGV)-RIPSAW M5集成。此次合作代表了SHORAD的两项关键创新。首先,M5比陆军用于防空的标准车辆更小、更轻。其次,M5是无人驾驶的,莱茵金属公司首席执行官斯蒂芬·赫杰表示,这是该系统发展的关键。“人们以前没有在UGV的背景下考虑过SHORAD,”Hedger说。他还强调,这两个组成部分的结合是为了预测陆军未来的防空和无人驾驶车辆需求。Skyranger系统旨在对抗无人机UAS)。据赫杰介绍,这把枪摧毁半径三公里内无人机的效率为90%。值得注意的是,莱茵金属并不是唯一一家在AUSA会议上展示其SHORAD实验的公司。例如,BAE系统公司展示了其新型装甲炮塔,通用动力公司则在其无人TRX上推出了SHORAD系统。
https://www.securitylab.ru/news/542732.php
12、采用NIST SP 800-82r3应对OT环境中网络威胁的复杂性
在直接针对操作技术(OT)的威胁不断加剧和危险的近距离攻击的背景下,美国国家标准与技术研究院(NIST)最近公布了NIST SP 800-82文件的第三次迭代。新版本强调了对OT的更大关注,这与之前对工业控制系统(ICS)的重视不同。值得注意的是,NIST SP 800-82r3出版物纳入了涵盖所有OT威胁和漏洞的关键更新,同时还推进了OT风险管理、建议实践和架构考虑因素领域。该文档还充当OT资产所有者和运营商的灯塔,提供OT安全协议的最新进展。它不仅传授针对OT环境量身定制的安全实践的最新发展,还为他们提供关键的安全功能和工具,从而加强他们对潜在网络威胁的防御。此外,NIST SP 800-82r3引入了对OT风险管理的全面改革,强调在网络安全方面采取积极主动立场的必要性。建议的做法注重加强OT网络的安全立场,包括升级的身份验证协议和网络分段的实施。更新后的架构优先考虑弹性,提倡结合分层防御和持续监控机制,从而与流行的行业标准和最佳实践保持一致。
https://industrialcyber.co/features/adapting-nist-sp-800-82r3-to-tackle-complexity-of-cyber-threats-across-ot-environments/
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement