久久精品黄色夫妻视频_午夜裸体性皤放_亚洲第一无码AV无码专区_av毛片h片在线观看

　　伊朗黑客組織這幾個月以來一直在攻擊企業(yè)VPN，現(xiàn)在正打算通過地下論壇向其他黑客出售這些被入侵企業(yè)內(nèi)部網(wǎng)絡的權限，以此謀得巨額利益。

　　他們針對的企業(yè)遍布IT、電信、油氣、航空、政府和安全行業(yè)。

伊朗國家黑客正在地下論壇出售受陷企業(yè)的訪問權限

　　2020年9月1日，著名網(wǎng)絡安全公司Crowdstrike發(fā)布報告稱，一個由伊朗國家資助的黑客組織正在地下黑客論壇上出售受陷企業(yè)網(wǎng)絡的訪問權限。Crowdstrike安全公司將該黑客組織稱為 Pioneer Kitten，它也被稱為“Fox Kitten”或“Parisite”。

　　1、黑客組織曾多次入侵企業(yè)網(wǎng)絡

　　Crowdstrike安全公司認為這一黑客組織是受伊朗政府資助的，并且他們在2019年多次通過VPN和網(wǎng)絡設備中的多個漏洞入侵企業(yè)網(wǎng)絡，例如：

　　Pulse Secure “Connect”企業(yè) VPN中的漏洞 (CVE-2019-11510)

　　運行 FortiOS 的Fortinet VPN 服務器中的漏洞 (CVE-2019-1579)

　　Citrix “ADC”服務器和 Citrix 網(wǎng)絡網(wǎng)關漏洞 (CVE-2019-19781)

　　F5 Networks BIG-IP加載平衡器 (CVE-2020-5902)

　　根據(jù)網(wǎng)絡安全公司ClearSky和Dragos的報告，Pioneer Kitten 組織一直在使用如上這些漏洞攻陷網(wǎng)絡，植入后門，隨后為其它伊朗黑客組織(如 APT33、Shamoon、ATP34 或 Chafer)提供訪問權限。

　　然后，這些其他黑客組織會進入漏洞提供的后門，通過使用更高級的惡意軟件和漏洞在網(wǎng)絡上橫行霸道，然后搜索并竊取伊朗政府可能感興趣的敏感信息，最后又借此來橫向擴展Pioneer Kitten所設法獲得的“初始訪問權限”。

　　可以看得出，他們在2019年做的是有預謀、有組織、環(huán)環(huán)相扣的黑客行動。

　　2、黑客組織在地下論壇出售企業(yè)網(wǎng)絡訪問權限

　　而就在2020年9月的第一天，這一黑客組織又被發(fā)現(xiàn)，他們在黑客論壇上出售對受陷企業(yè)網(wǎng)絡的訪問權限，并且這一行為至少是從今年7月開始的。

　　Crowdstrike安全公司認為這個黑客組織是在試圖讓他們的收入來源多樣化，并且將一些對伊朗情報機構沒有任何價值的漏洞，進行回收再利用，二次開發(fā)變現(xiàn)，以獲得高昂利潤。

　　伊朗國家黑客組織的常見目標通常包括位于美國、以色列和中東地區(qū)的其它國家。

　　目標行業(yè)通常包括國防、醫(yī)療、技術和政府行業(yè)。其它可能并非伊朗政府黑客的目標和范圍，很可能是在地下黑客論壇上出售。

　　當前，“初始訪問經(jīng)紀人”(如 Pioneer Kitten)的最大客戶群通常是勒索軟件團伙。

　　是的，你沒看錯，之所以稱之為經(jīng)紀人，是因為現(xiàn)在黑入企業(yè)網(wǎng)絡并植入后門已經(jīng)成為了一門生意。

伊朗國家黑客濫用VPN漏洞，入侵全球企業(yè)內(nèi)網(wǎng)植入后門

　　伊朗國家黑客其實早就被爆出來過，他們一直在入侵企業(yè)VPN服務器，在世界各地的公司中植入后門。

　　特別是2019年，這一年值得引起所有人的關注。

　　因為大量企業(yè)VPN服務器被發(fā)現(xiàn)存在重大安全漏洞，比如Pulse Secure、Palo Alto Networks、Fortinet和Citrix出售的VPN服務器。

　　而今年2月的一份報告更是顯示，受伊朗政府資助的黑客組織在2019年以利用VPN漏洞作為首要任務，一旦這些漏洞公開，他們就會滲透并在世界各地的公司植入后門。

　　報告指出，伊朗國家黑客針對的企業(yè)遍布“IT、電信、油氣、航空、政府和安全行業(yè)”。

　　1、某些攻擊僅發(fā)生在漏洞公開數(shù)小時后

　　報告指出，伊朗黑客組織同樣精通黑客技術，而且和俄羅斯、朝鮮國家黑客組織等一樣足智多謀，這一點和人們一貫的認識是不同的。

　　ClearSky公司指出，“伊朗 APT*組織已經(jīng)開發(fā)出良好的技術攻擊能力，而且能夠在相對較短的時間內(nèi)利用1天的漏洞。”該公司指出，在某些實例中發(fā)現(xiàn)，VPN 缺陷遭公開數(shù)小時后，伊朗國家黑客就能利用它們發(fā)動攻擊。(注：* APT代表高級持續(xù)性威脅，是一個經(jīng)常用來描述民族國家黑客組織的術語。)

　　在2019年，伊朗黑客組織迅速利用VPN 漏洞讓漏洞變成可以攻擊企業(yè)網(wǎng)絡安全的武器，VPN漏洞如下：

　　Pulse Secure“Connect” VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。

　　雖然對這些系統(tǒng)的攻擊始于去年夏天，當時有關這些錯誤的詳細信息已公開，但到2020年這些攻擊仍在繼續(xù)。

　　另外，隨著其它 VPN 缺陷遭公開，伊朗黑客組織還將這些漏洞利用到攻擊活動中(即CVE-2019-19781，這是Citrix“ ADC” VPN中披露的漏洞)。

　　2、入侵企業(yè)目標植入后門

　　報告指出，這些攻擊的目的是入侵企業(yè)網(wǎng)絡，在內(nèi)部系統(tǒng)中橫向移動并在后續(xù)日期植入后門。

　　第一階段的攻擊(攻陷 VPN)針對的是 VPN，第二階段(橫向移動)涉及全面收集工具和技術，這說明近年來伊朗黑客組織變得高級。例如，它們會濫用長久已知的技術，通過“StickyKeys”訪問性工具在Windows 系統(tǒng)上獲取管理員權限。

　　它們還利用開源的黑客工具如 JuicyPotato 和 Invoke the Hash，而且使用合法的系統(tǒng)管理員軟件如 Putty、Plink|Ngrok、Serveo 或 FRP。

　　另外，黑客如果找不到開源工具或本地工具助力，則會開發(fā)定制化惡意軟件。報告指出發(fā)現(xiàn)了伊朗黑客組織使用的工具，如：

　　STSRCheck：自開發(fā)數(shù)據(jù)庫和開放端口映射工具

　　POWSSHNET：自開發(fā)的用于 RDP-over-SSH 隧道的后門惡意軟件

　　Custom VBScripts：用于從命令和控制服務器下載 TXT 文件并將這些文件統(tǒng)一到可移植的可執(zhí)行文件

　　cs.exe 上基于套接字的后門：用于開放硬編碼 IP 地址基于套接字連接的一個 EXE 文件

　　Port.exe：掃描 IP 地址預定義端口的工具

　　3、多個黑客組織統(tǒng)一行動

　　報告指出，伊朗國家黑客組織似乎互相協(xié)作并統(tǒng)一行動，這種行為模式此前是未曾出現(xiàn)的。

　　之前關于伊朗黑客活動的報告詳細說明了活動的不同集群，通常是單個黑客組織所為。報告強調(diào)稱，針對全球 VPN 服務器的攻擊似乎至少由三個伊朗黑客組織聯(lián)合所為，即 APT33(Elfin、Shamoon)、APT34 (Oilrig) 和APT39 (Chafer)。

　　4、數(shù)據(jù)清洗攻擊

　　當前，這些攻擊的目的似乎是執(zhí)行偵察和為實施監(jiān)控活動植入后門。

　　然而，報告指出這些受感染企業(yè)網(wǎng)絡的所有訪問權限未來也可被武器化，用于部署數(shù)據(jù)清洗惡意軟件，從而蓄意破壞企業(yè)并使其宕機，導致業(yè)務受損。

　　這些場景是完全有可能發(fā)生，而且也說得通的。

　　自2019年9月以來，兩款新型數(shù)據(jù)清洗惡意軟件(ZeroCleare 和 Dustman)就已遭披露并被指和伊朗黑客組織有關。

　　另外，報告指出，并不排除伊朗國家黑客組織可能利用了受陷企業(yè)訪問權限從而在客戶端實施供應鏈攻擊的可能性。

　　這一理論的支持事實是，2月早些時候，F(xiàn)BI 警告美國私營企業(yè)警惕針對軟件供應鏈企業(yè)的攻擊，“包括支持全球能源產(chǎn)出、傳輸和分發(fā)的工控系統(tǒng)的實體”。

　　工控和能源行業(yè)過去一直是伊朗國家黑客組織的傳統(tǒng)攻擊目標。

　　FBI 在這份警告中還說明了攻擊中所部署的惡意軟件和 APT33所使用代碼之間的關聯(lián)，強有力地證明了伊朗黑客可能是這些攻擊幕后黑手的可能性。

　　另外，報告還指出，針對巴林國家石油公司 Bapco 的攻擊也使用了相同的“攻陷 VPN →橫向移動”的技術。

　　ClearSky安全公司警告稱，攻擊過去數(shù)月時間后，最終修復其 VPN 服務器的公司應該掃描內(nèi)網(wǎng)找到攻陷跡象。

　　報告中還提出了安全團隊可用于掃描日志和內(nèi)部系統(tǒng)以發(fā)現(xiàn)伊朗黑客組織入侵跡象的受陷指標 (IOCs)。

　　5、新型 VPN 缺陷

　　ClearSky在報告總結(jié)部分指出，預計伊朗國家黑客組織將在新型 VPN 缺陷遭公開后尋找利用它們的機會。也就是說預計伊朗國家黑客組織很可能會在未來利用 SonicWall SRA 和 SMA VPN 服務器，因為剛不久前安全研究員曾發(fā)布了關于影響這兩款產(chǎn)品的六個漏洞的詳情。

總結(jié)

　　這幾年，伊朗國家黑客已被爆出多次濫用企業(yè)VPN漏洞，有目的地入侵全球企業(yè)內(nèi)網(wǎng)并植入后門，還將訪問權限公然掛在暗示中販賣以獲利。

　　這意味著隨著互聯(lián)網(wǎng)時代的到來，高科技技術給人們帶來方便的同時，背后是無數(shù)的漏洞攻擊帶來的網(wǎng)絡信息安全隱患，這一隱患應引起我們的高度重視。

　　原文來源：秦安戰(zhàn)略