2021年最具影響的安全話題

隆雪芬

不久前，有國外媒體精選出2021年最值得關注的熱門話題，總結網絡安全威脅發展態勢。

2020年，新冠的爆發影響了各行各業的穩定運轉，同時也催生出不少居家辦公、以新冠疫情為核心的新需求，然而在2021年，全球用戶的關注點發生了明顯的轉變。不安全的數據、代碼托管庫的惡意軟件、關鍵性的零日漏洞利用和前所未見的勒索軟件方案，這些話題成為讀者最常閱讀的新聞主題。這表明在新的工作方式趨于“常態化”后，外界更熱衷于關注網絡犯罪的創新。

不斷泄露的數據

2021年的新聞頭條被Log4Shell、殖民管道、卡塞亞、ProxyLogon/ProxyShell和SolarWinds等重大安全事件占據。除此之外，根據相關文章的流量數據，益博睿公司數據泄露事件也受到了廣泛關注。

2021年4月，羅徹斯特理工學院大二學生Bill Demirkapi發現，在一個貸款人網站上，通過益博睿信用局API端口，幾乎可以查詢任何一個美國人的信用評分，訪問沒有受到絲毫限制。

該端口名為Experian Connect API，允許貸款人自動進行FICO分數查詢。Demirkapi通過建立一個名為Bill’s Cool Credit Score Lookup Utility的命令行工具，即使在出生日期字段中用零代替，仍可以自動查詢幾乎所有人的信用分數。此外，通過該API端口，還可以獲取益博睿用戶更為詳細的信用記錄和信用預警，例如某用戶消費金融賬戶過多等。益博睿公司表示已經解決了該問題，并否認了該問題將帶來系統性威脅的可能。

無獨有偶，LinkedIn數據在暗網上出售也成為2021年備受關注的數據泄露事件。

2021年4月和6月，LinkedIn相繼發生數據泄露事件， 5億LinkedIn會員受到影響。一個自稱是GOD User TomLiner黑客在RaidForums上發布了一條包含7億條LinkedIn賬號待售記錄的帖子。該條帖子包含100萬條賬號記錄，證明系LinkedIn會員信息，經Privacy Sharks檢測發現，泄露數據包括姓名、性別、電子郵件地址、電話號碼和行業信息等內容。

截至目前仍然不清楚數據的具體來源，外界猜測相關數據可能源于公開資料的抓取。LinkedIn堅稱數據庫并沒有被外來者入侵。

不過即便如此，LinkedIn用戶數據泄露所其帶來的安全影響也是巨大的，因為這些緩存記錄可被不法分子用來暴力破解賬戶密碼、電子郵件，從而實施電話詐騙、網絡釣魚、身份盜竊等活動。更重要的是，這些數據可能形成一個社交工程的“金礦”，攻擊者輕輕松松就通過訪問該檔案獲取不少目標用戶的個人信息，進而實施有針對性的詐騙。

關鍵零日漏洞

關鍵零日漏洞，這是一個永恒的話題，但2021年的惡性事件，要從Log4Shell說起。

Log4Shell漏洞是Java日志庫Apache Log4j中的一個關鍵漏洞，允許未經身份驗證的遠程代碼執行（RCE）和完全接管服務器，目前，該漏洞仍在野外被積極利用。

該漏洞（CVE-2021-44228）首次出現在Minecraft游戲網站后，Apache匆忙發布補丁，但在1～2天內，由于威脅者試圖利用這個新漏洞，攻擊逐漸變得猖獗起來。自此之后，關于額外的利用載體、第二個漏洞、攻擊之兇猛及波及面的擴大新聞，就霸占了12月的全部頭條。

NSO公司針對Apple的“零點擊”攻擊事件

9月，研究人員發現了一個被稱為ForcedEntry be的零點擊漏洞，蘋果包括iPhone，iPad、Mac，Apple Watch在內的所有產品均受到影響。結果顯示，該漏洞被NSO公司利用來安裝臭名昭著的Pegasus間諜軟件。

雖然蘋果公司推出了緊急修復程序，但Citizen Lab已經觀察到NSO公司通過iMessage渠道實施了非法監控活動，而其中所利用的正是該漏洞。

Palo Alto安全設備中的巨大零日漏洞

來自Randori的研究人員開發了一個有效的利用程序，通過關鍵漏洞CVE 2021-3064在Palo Alto Networks的GlobalProtect防火墻上獲得遠程代碼執行（RCE）。Randori研究人員表示，如果攻擊者成功利用該漏洞，他們可以獲得目標系統的Shell，訪問敏感配置數據，提取憑據等。“一旦攻擊者控制了防火墻，他們就可以訪問內網，并繼續橫向移動。”值得慶幸的是，Palo Alto Networks在信息披露當天修補了該漏洞。

谷歌內存零日漏洞

2021年3月，谷歌急忙修復Chrome瀏覽器中的一個受到主動攻擊的漏洞。該漏洞是一個釋放后使用漏洞，允許遠程攻擊者利用漏洞構建惡意WEB頁，誘使用戶解析，可使應用程序崩潰或執行任意代碼。

“通過說服受害者訪問特制網站，遠程攻擊者可以利用此漏洞執行任意代碼或在系統上造成拒絕服務條件，”IBM X-Force對該漏洞報告寫道。

戴爾內核權限漏洞

不久前，研究者在部分戴爾個人電腦、平板電腦和筆記本電腦中發現了5個隱藏了12年的嚴重安全漏洞，這些產品均在2009年前后銷往市場。根據SentinelLabs的說法，這些安全漏洞可以繞過防火墻或其他安全防護產品的保護，在目標設備商執行代碼，并通過局域網或是互聯網向其他設備進行橫向移動滲透。

研究人員說，這些漏洞隱藏在戴爾的固件更新驅動程序中，可能影響到數億臺戴爾電腦設備。自2009年以來，戴爾固件更新驅動程序版本2.3（dbutil_2_3.sys）模塊中存在多個本地權限提升（LPE）漏洞。驅動程序組件通過戴爾BIOS實用程序處理戴爾固件更新，將漏洞“預先安裝”在大多數運行Windows系統的戴爾機器上。

軟件供應鏈和代碼庫危機

軟件供應鏈以開源代碼存儲庫為基礎，開發人員可以在集中位置上傳軟件包，供開發人員在構建各種應用程序、服務和其他項目時使用。它們包括GitHub，以及更專業的存儲庫，如Java的Node.js包管理器（npm）代碼存儲庫、Ruby編程語言的RubyGems、Python包索引（PyPI）等。

這些軟件包管理器在提供便利的同時，也成為了全新的供應鏈威脅，因為任何人都可以向它們上傳代碼，而這些代碼又能在不知不覺中滲入各類應用程序中。

更為重要的是，一個單一的惡意軟件包可以被植入加密礦工、信息竊取器等不同的項目中，并進一步感染，使修復過程變得極其復雜。

由于操作簡單，危害性又極為嚴重，因此網絡犯罪分子蜂擁而至。例如，12月在npm中發現了17個系列惡意包，它們都是針對虛擬會議平臺Discord而構建的，目的是為了竊取Discord令牌，從而接管賬戶。

同樣在當月，托管在PyPI代碼存儲庫中的3個惡意軟件包被發現，總共有超過12 000次下載，可能已經潛入各種應用程序的安裝中。這些軟件包包括一個用于在受害者設備建立后門的木馬程序和2個信息竊取程序。

研究人員還發現，Maven Central生態系統中有17 000個未打補丁的Log4j Java包，使得Log4Shell漏洞利用帶來的巨大供應鏈風險顯而易見。谷歌安全團隊表示，這可能需要數年的時間來修復整個生態系統。

狡猾的勒索軟件變體

2021年，勒索軟件為一種日益嚴重的威脅，此類網絡犯罪的復雜性和創新水平不斷提高。用來鎖定文件的惡意軟件，已不再是簡單地在目標文件夾上加一個擴展名。關于勒索軟件的變體及進展，主要有以下三大發現：

HelloKitty：以虛擬機為目標

2021年6月，研究人員首次公開了HelloKitty勒索軟件團伙使用的一種Linux加密器。

HelloKitty是2月份攻擊電子游戲開發商CD Projekt Red的幕后黑手，它開發了許多Linux ELF-64版本的勒索軟件，用于攻擊VMware ESXi服務器和運行在它們上面的虛擬機（VM）。

VMware ESXi（ESX），是一種裸機管理程序，可以輕松安裝到服務器上，并將其分割為多個虛擬機系統。盡管這使得多個虛擬機共享相同的硬盤存儲變得容易，但增加了系統遭受攻擊的風險。由于多個虛擬機共用同一個儲存系統，因此一旦數據被鎖，攻擊者就可以直接攻陷多個服務器系統。

MosesStaff：“失蹤”的密鑰

11月，一個名為MosesStaff的團體向以色列相關機構發起攻擊，攻擊最終使以色列網絡系統陷入癱瘓。

與一般網絡勒索案件不同的是，MosesStaff并不求財，它用盡手段加密網絡和竊取信息，只是源于政治意圖。該組織還在社交媒體上保持活躍，通過各種渠道發布煽動性的信息和視頻，并讓外界知道它的所作所為。

Epsilon Red以Exchange服務器為目標

6月份，研究員發現，某攻擊者在一組PowerShell腳本的基礎上部署了新的勒索軟件，這些腳本是利用未打補丁的Exchange服務器的漏洞而開發的。

Epsilon Red勒索軟件是在對美國一家酒店公司攻擊時被發現的，其命名來自X戰警漫威漫畫中一個不起眼的敵人角色，一名有著4個機械觸手的俄羅斯超級士兵。

研究人員表示，該勒索軟件的入侵模式與一般勒索軟件有所不同。雖然該惡意軟件本身是一個用Go編程語言編程的64位Windows可執行程序，但其交付系統依賴于一系列PowerShell腳本。

游戲安全

連續兩年，游戲安全成為關注的焦點，這可能是因為全球疫情流行推高了游戲需求，網絡犯罪分子也瞄準該領域。在卡巴斯基最近的一項調查中，近61 %的人遇到過諸如ID盜竊、詐騙或游戲內貴重物品被盜的情況。下面概述了一些相關事件。

SteamHide風波

2021年6月，出現了名為SteamHide的惡意軟件，利用游戲平臺Steam的個人資料頭像進行傳播。

根據G Data公司的研究，惡意軟件并不會直接感染Steam，而是將它作為傳播渠道。SteamHide會通過電子郵件首次傳播，隨后快速感染目標設備上的Steam平臺，存有惡意代碼的圖片會替換掉原有的Steam個人資料頭像。當用戶的好友訪問到這張頭像時，就會自動感染SteamHide。

事實上，隱寫技術并不是什么新興技術，只不過SteamHide能夠想到利用隱寫和Steam平臺好友訪問來實施網絡犯罪，其創意還是讓人為之震驚。

Twitch源代碼泄露

2021年10月，一個匿名用戶在4chan上發布了大小為125 GB的數據鏈接，其中包含Twitch的所有源代碼，可以追溯到Twitch成立伊始的所有數據，包括用戶評論、用戶付費信息等。

攻擊者聲稱洗劫了Twitch直播平臺的一切，而Twitch則證實了這一事件的真實性。值得慶幸的是，攻擊者并沒有謀求錢財，發起攻擊完全為了發泄對于Twitch規則的不滿，攻擊者希望能以此完善Twitch的用戶規則。

竊取Steam的Discord騙局

11月，一種新的騙局開始在Discord上傳播，網絡犯罪分子可以通過它獲取Steam帳戶信息，并利用帳戶中的有用數據實施詐騙。

以游戲玩家為目標的Discord騙局屢見不鮮，而它卻玩出了新意。研究人員指出，新模式跨越了Discord和Stream游戲平臺，騙子提供所謂的免費訂閱Nitro（一種Discord插件，可以實現頭像、自定義表情符號、個人資料徽章、更大的上傳及服務器提升等），以換取兩個賬戶的鏈接。

目標用戶會在Discord上收到一條惡意鏈接，其中描述了不少好處，包括獲得免費游戲或游戲道具，而用戶需要做的只是“鏈接你的Steam賬戶”。點擊惡意鏈接會將用戶帶到一個虛假的Discord頁面，上面有一個按鈕，寫著“獲得Nitro”。一旦受害者點擊該按鈕，該網站似乎會提供一個與Steam頁面類似的彈出式廣告，但研究人員解釋說，該廣告仍是惡意網站的一部分。

該策略旨在欺騙用戶認為他們被帶到Steam平臺，以輸入他們的登錄信息，實際上，騙子已經準備好接收你的賬戶數據了。

PlayStation3被Ban了

2021年6月，由于索尼疏于管理，一個包含所有Play Station3游戲機序列號的文件夾以明文的方式放在網上。這給不法分子提供了可乘之機，導致部分PlayStation 3玩家的主機直接被Ban，無法正常使用。

2021年4月中旬，一個名為The WizWiki的西班牙YouTuber發現，索尼在網上留下了一個包含所有PS3游戲機ID的文件夾，沒有任何安全保障可言。而到了6月，PlayStation網絡留言板上的玩家開始抱怨他們無法登錄。

用戶猜測，威脅者使用偷來的PS3游戲機ID進行惡意操作，導致合法玩家被禁。但索尼并未確認這二者之間存在必然的聯系。

十二宮殺手密碼終被破解

困擾美國警方半個多世紀的“十二宮殺手”密碼，2020年12月被某數學家團隊破解。

據報道，1960年代末和1970年代初，連環殺手在北加利福尼亞地區及其周邊地區謀殺了至少5人。這位至今未具名的兇手向當地報紙媒體發送了4串加密信息，吹噓自己的罪行并包含神秘的圖標，這為他贏得了“黃道十二宮”的綽號。

第一串密碼很快被破譯，但以340字符命名的340 Cipher更難破譯。澳大利亞數學家Sam Blake計算出650 000種解讀方式。比利時一名倉庫操作員Jarl Van Eycke編寫了一個軟件來破解密碼。這一獨特的密碼破解方式有了回音，并且得到了FBI的官方確認。

雖然神秘的連環殺手的名字還不為人知，但這一突破代表著密碼學和網絡安全中訪問控制和分割的勝利。