摘要：挖礦軟件WaterMiner潛伏在《俠盜獵車手》，Carbon Black預(yù)測勒索軟件市場增長了2502%斜筐，如何用云盾WAF實現(xiàn)虛擬補丁

【本周游戲行業(yè)DDoS攻擊態(tài)勢】

【游戲行業(yè)安全動態(tài)】

挖礦軟件WaterMiner潛伏在《俠盜獵車手》點擊查看原文

WaterMiner會嵌入到游戲模塊中龙致，當(dāng)用戶下載模塊，惡意軟件就會隨之入侵顷链，還可以逃避任何監(jiān)視工具目代。

WaterMiner的壓縮文件會被托管在Yandex.Disk上，Yandex.Disk相當(dāng)于是俄羅斯的Google嗤练。壓縮文件提供了所宣稱的修改功能榛了，然而，在數(shù)十個文件中潭苞，它包含一個名為“pawncc.exe”的文件忽冻，如下圖所示。一旦下載開始執(zhí)行此疹， “pawncc.exe”也就開始了活動。pawncc.exe一旦在受害者的系統(tǒng)上執(zhí)行，則會啟動一連串的事件蝗碎，最終導(dǎo)致WaterMiner的運行湖笨。（本段來源于嘶吼）

Carbon Black勒索軟件調(diào)查報告：2016年到2017年，勒索軟件市場增長了2502%蹦骑，且勢頭繼續(xù)看漲點擊查看原文

概要：

（1）暗網(wǎng)市場中慈省，研究人員發(fā)現(xiàn)了 45000 個勒索軟件。但這是由于惡意軟件作者使用不同的收費模式造成的眠菇，有些按單個軟件定價边败，有些按月訂購或按年訂購。

（2）暗網(wǎng)中的勒索軟件市場規(guī)模已經(jīng)從 249287.05 美元漲到了 6237248.90 美元捎废，增長率高達 2502% 笑窜。FBI 提供的數(shù)據(jù)也表示，2016 年的勒索贖金總額約為 1 億美元登疗，高于 2015 年的 2400 萬美元排截。

（3）一體化的 RaaS 本身就是一條完善的勒索鏈，其中集成了分發(fā)通道（攻擊套件辐益，spam 僵尸網(wǎng)絡(luò)等）断傲；可以對比特幣勒索進行管理的支付模式；對文件的加密與解鎖智政，還有對用戶的技術(shù)支持认罩，所有的這些都集成在一個簡單的 web 后臺面板中。

（4）地下的勒索軟件經(jīng)濟已趨于成熟续捂，和現(xiàn)有的軟件商業(yè)模式類似猜年，包括開發(fā)，售后疾忍，分發(fā)乔外，經(jīng)銷，質(zhì)保等各個環(huán)節(jié)一罩。整個勒索軟件行業(yè)越來越像一個合法的行業(yè)杨幼。

點評：

目前挖礦類的軟件攻擊主要為軟件捆綁式入侵和漏洞入侵實現(xiàn)挖礦軟件成功運行，對于企業(yè)用戶聂渊，建議按照以下措施防御：首先是部署階段：(1)更新所有的補丁差购。如果有一個業(yè)務(wù)需要新上線部署，建議對操作系統(tǒng)汉嗽、應(yīng)用服務(wù)軟件更新所有的補丁欲逃，確保所有的軟件處于最新狀態(tài)。（2）劃分安全域饼暑，配置好防火墻策略

根據(jù)業(yè)務(wù)情況稳析，劃分不同的安全域洗做，實用ECS安全組或iptables配置好網(wǎng)絡(luò)訪問控制策略，防止暴露不必要的服務(wù)彰居，為黑客提供入侵條件诚纸。（3）加固操作系統(tǒng)和軟件：對操作系統(tǒng)和應(yīng)用服務(wù)軟件進行加固，例如：配置強口令陈惰、修改默認登陸名畦徘、禁止不必要的服務(wù)、開啟日志審計功能盡可能記錄所有的日志

阿里云安全加固手冊抬闯，幫助提高業(yè)務(wù)安全性：點擊查看

第二是運維階段：（1）定期關(guān)注安全漏洞并及時更新補毒尽：安全漏洞的不是一蹴而就的，近幾年溶握，大規(guī)模使用的操作系統(tǒng)杯缺、開源軟件（例如：Struts2、tomcat等應(yīng)用中間件或框架）被曝出系列高危漏洞奈虾，需要運維人員實時關(guān)注各廠商發(fā)布的漏洞信息夺谁，根據(jù)漏洞信息更新軟件，防止被黑客利用肉微。（2）部署搭建入侵檢測或防御基礎(chǔ)安全能力：針對黑客入侵檢測匾鸥、主機惡意文件查殺(webshell、木馬)碉纳、web攻擊行為勿负，應(yīng)部署必要的產(chǎn)品，提供基本的檢測和防御能力（3）確保應(yīng)用程序代碼無漏洞：業(yè)務(wù)代碼漏洞是造成入侵的主要根源劳曹，開發(fā)人員和運維人員應(yīng)確保按照安全開發(fā)規(guī)范開發(fā)奴愉，防止源頭上出現(xiàn)安全問題，從而被黑客利用铁孵。（4）應(yīng)用白名單：確保企業(yè)級業(yè)務(wù)服務(wù)器不亂安裝非業(yè)務(wù)軟件锭硼，所有的業(yè)務(wù)軟件必須要確保為官方發(fā)布的軟件，防止發(fā)生供應(yīng)鏈攻擊行為導(dǎo)致被黑客長時間入侵利用蜕劝。

【相關(guān)安全事件】

WiFi網(wǎng)絡(luò)WPA2 KRACK漏洞分析報告點擊查看原文

概要：安全研究員Mathy Vanhoef發(fā)現(xiàn)的WPA2協(xié)議的KRA（Key Reinstallation Attacks）漏洞檀头，利用WPA2協(xié)議標(biāo)準(zhǔn)加密密鑰生成機制上的設(shè)計缺陷，四次握手協(xié)商加密密鑰過程中第三個消息報文可被篡改重放岖沛，導(dǎo)致在用密鑰被重新安裝暑始。

WiFi網(wǎng)絡(luò)通過WPA2 handshake四次握手消息協(xié)商用于后續(xù)數(shù)據(jù)通信的加密密鑰，其中交互的第三個消息報文被篡改重放婴削，可導(dǎo)致中間人攻擊重置重放計數(shù)器(replay counter)及隨機數(shù)值(nonce)廊镜，重放給client端，使client安裝上不安全的加密密鑰唉俗。

點評：此漏洞攻擊方式被命名為Key reinstallation attacks密鑰重裝攻擊嗤朴，除了影響已經(jīng)在用的數(shù)據(jù)加密密鑰配椭，同時也影響PeerKey, group key, Fast BSS切換FT握手等，會導(dǎo)致WiFi通信數(shù)據(jù)加密通道不安全播赁，存在被嗅探颂郎、篡改和重放等風(fēng)險吼渡，攻擊者可獲取WiFi網(wǎng)絡(luò)中的數(shù)據(jù)信息容为。幾乎所有支持Wi-Fi的設(shè)備（Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys等）都面臨安全威脅，危害較大寺酪。該漏洞相關(guān)影響取決于被攻擊的握手過程和數(shù)據(jù)加密協(xié)議坎背，例如AES-CCMP可被重放和解密，TCP流量存在被劫持和注入惡意流量的可能寄雀，WPATKIP和GCMP可被重放得滤、篡改及解密，影響會更大盒犹，因為GCMP兩端使用的相同的認證密鑰懂更。

【云上視角】

技術(shù)實操：如何用云盾WAF實現(xiàn)虛擬補丁點擊查看原文

概要：企業(yè)安全團隊除了通過WAF制作虛擬補丁，臨時緩解漏洞影響急膀，實際在漏洞響應(yīng)過程中之執(zhí)行了如下動作：對網(wǎng)站代碼和Web服務(wù)器進行深入安全調(diào)查

確保本次白帽子發(fā)現(xiàn)漏洞之前沮协，該漏洞不曾被黑客利用；找到開發(fā)大牛卓嫂，對PHP代碼漏洞進行修復(fù)并發(fā)布上線慷暂；增強服務(wù)器安全監(jiān)控，部署阿里云安騎士客戶端

徹查公司內(nèi)部同類開源項目的版本及漏洞情況晨雳；制定Web安全漏洞測試規(guī)范行瑞；重新評估網(wǎng)站的綜合安全性；將先知安全眾測列入下一階段工作計劃餐禁；技術(shù)作者提到：“安全從來就不是單一環(huán)節(jié)的問題血久，從業(yè)人員必須能夠從一個點看到多個層面的問題，從而有效提升企業(yè)信息系統(tǒng)的整體安全行帮非，并將安全運營帶入正軌氧吐。”

原文鏈接