2022十大網(wǎng)安事件盤點（上）丨大東話安全

*** 次數(shù)不足，請聯(lián)系開發(fā)者***

　　小白：東哥你說得沒錯，我這兩天還梳理了2022的內(nèi)容，2022年圍繞網(wǎng)絡(luò)安全，我們提出了八個打、、六個看、五個能、四個學(xué)。

　　大東：在酒香也怕巷子深的當(dāng)今經(jīng)濟(jì)社會中，擁有一雙慧眼，能有效地對特定行業(yè)欣賞、觀測、發(fā)現(xiàn)、甄別、洞察，就如同擁有了神兵利器，將浩如煙海的產(chǎn)業(yè)情報化整為零、去粗取精，實現(xiàn)精準(zhǔn)的信息遴選，進(jìn)而快人一步、棋高一著，占盡行業(yè)、產(chǎn)業(yè)先機(jī)；在網(wǎng)絡(luò)安全行業(yè)中，亦復(fù)如是。

　　大東：所以啊，普羅大眾如何實現(xiàn)對網(wǎng)絡(luò)安全行業(yè)從初窺門徑看熱鬧，到如數(shù)家珍看門道的視野躍遷，就要經(jīng)歷下面的六個看的過程。這六個看，就體現(xiàn)了如同博弈中段位逐步提高的過程。

　　大東：目前，我們提出了網(wǎng)安對抗棋譜的新安全理念，就是以層出不窮的安全事件作為長期分析對象，針對網(wǎng)絡(luò)安全的本質(zhì)即攻防做聚焦性研究，以國計民生的需求凝練為科學(xué)問題，不斷積累迭代形成網(wǎng)安對抗棋譜。

　　小白：俗話說得好，懂行最重要?，F(xiàn)在的產(chǎn)業(yè)分工更加精細(xì)，更多的是要找懂行的人提高我們的鑒別能力。聽完東哥講了六個看還是有點暈暈的，我都拿小本本記下啦。看來無論是想成為網(wǎng)安專家還是找網(wǎng)安專家咨詢，都離不開中科院啊。

　　大東：跨年夜大家都會發(fā)信息給親朋好友送祝福，有的人會傾向使用即時性通訊軟件，有的人會傾向使用email方式。很多使用微軟Exchange 的用戶發(fā)現(xiàn)，自己寫好的新年祝福等郵件突然無法發(fā)出，并且都會收到一條錯誤提醒。

　　大東：是一個由于2022年的到來而導(dǎo)致的bug。微軟的郵件過濾管理系統(tǒng)存儲日期的格式，這個格式其實也是編程程序員比較常見的格式y(tǒng)ymmddHHMM，并使用有符號變量（Int32，也就是long）實現(xiàn)。

　　小白：有符號的Int32最多只能存儲-2147483647到+2147483647的數(shù)據(jù)，這樣的線時開始，就超過了Int32所能存儲的數(shù)據(jù)最大范圍。

　　大東：所以這個漏洞也被網(wǎng)友稱為2022版千年蟲，也被一些Exchange管理員命名為Y2K22。

　　大東：是的，你想，設(shè)置在2022年新年發(fā)送的郵件會在許多公司的郵箱服務(wù)器內(nèi)滯留，據(jù)了解，有的公司郵箱服務(wù)器中滯留的郵件甚至已經(jīng)達(dá)到數(shù)十萬封。

　　大東：是的。Reset-ScanEngineVersion.ps1腳本執(zhí)行時，Microsoft過濾管理和Microsoft Exchange傳輸服務(wù)都會被停止，隨后會刪除舊的防病毒引擎文件，并下載新的防病毒引擎，最后再次啟動這些服務(wù)。

　　小白：欸，感覺變量這件事看起來微不足道，實際上出問題之后影響還是蠻大的。寫程序的時候一定要多多考慮?。?/p>

　　大東：2022年3月，某富豪警告稱，該公司的衛(wèi)星寬帶服務(wù)很有可能在熱點地區(qū)成為被針對的目標(biāo)。

　　大東：他要求用戶只在需要時打開，并將天線放在距離人群盡可能遠(yuǎn)的地方...對天線進(jìn)行輕度偽裝，以免被發(fā)現(xiàn)。

　　大東：這個系統(tǒng)是一家美國公司的一個項目，該公司計劃在2019年至2024年間在太空搭建提供互聯(lián)網(wǎng)服務(wù)的由約1.2萬顆衛(wèi)星組成的網(wǎng)絡(luò)，該網(wǎng)絡(luò)中的1584顆將會部署在地球上空550千米處的近地軌道，并從2020年開始工作。

　　大東：系統(tǒng)通過低軌道通信衛(wèi)星提供高速互聯(lián)網(wǎng)服務(wù)。如果一切順利，可以在全球范圍內(nèi)提供低成本的互聯(lián)網(wǎng)連接服務(wù)。

　　大東：技術(shù)的進(jìn)步是永無止境的，防御手段在升級，可攻擊手段也在升級。因此，或許要在安全領(lǐng)域做出一個宏觀的布局，才能更好地應(yīng)對可能的安全威脅。

　　小白：這讓我想到2021年世界互聯(lián)網(wǎng)大會烏鎮(zhèn)峰會上展示的天蛛。天蛛的目標(biāo)是實現(xiàn)我國衛(wèi)星互聯(lián)網(wǎng)體系的安全基因內(nèi)置，圍繞星網(wǎng)的原生安全能力驗證以及未來承載的互聯(lián)網(wǎng)應(yīng)用開展相應(yīng)的科學(xué)實驗驗證，從源頭上確保安全。

　　大東：是的，天蛛的第一步是建設(shè)衛(wèi)星互聯(lián)網(wǎng)攻防仿真驗證平臺，建立衛(wèi)星互聯(lián)網(wǎng)全仿真模擬環(huán)境和面向衛(wèi)星互聯(lián)網(wǎng)的攻防環(huán)境，實現(xiàn)衛(wèi)星互聯(lián)網(wǎng)場景攻防演練，并建立外部真實環(huán)境與業(yè)務(wù)接入機(jī)制。

　　大東：在2022年4月初，可為云計算提供安全服務(wù)的美國某公司研究人員發(fā)現(xiàn)了一種新型惡意軟件，即Win32.PWS.FFDroider的軟件（簡稱FFDroider）。

　　大東：FFDroider利用盜來的cookie，幫助攻擊者登錄用戶的社交媒體平臺，對賬戶信息進(jìn)行提取，之后利用這些信息竊取更多的敏感信息或個人信息，比如通過展示虛假廣告，誘騙用戶輸入敏感信息，通過這種手段進(jìn)行進(jìn)一步的攻擊。

　　大東：該公司表示，這款惡意軟件對某社交平臺的攻擊效果最為明顯。另外，其他目標(biāo)還包括電子商務(wù)平臺如亞馬遜、eBay和Etsy等的用戶。一旦竊取了用戶個人信息，犯罪分子就可以以此進(jìn)行欺詐和盜取金錢等不法行為。

　　大東：為了避免類似事件發(fā)生，對于個人用戶來說，我們需要提高自身安全意識，盡可能下載官方網(wǎng)站來源的軟件，對下載的文件進(jìn)行必要的安全檢查。

　　大東：為增強(qiáng)企事業(yè)單位內(nèi)部的網(wǎng)絡(luò)安全，首先應(yīng)加強(qiáng)對員工的培訓(xùn)和教育，增強(qiáng)網(wǎng)絡(luò)安全意識，其次，應(yīng)把終端安全軟件安裝在每一臺主機(jī)上，并限制單位員工個人使用非官網(wǎng)渠道下載安裝程序，以保障內(nèi)部網(wǎng)絡(luò)的安全性。

　　小白：東哥，我最近研究APT方面的知識，發(fā)現(xiàn)各種案例都有，竟然還有不法分子攻擊航空公司的案例，真是駭人聽聞！

　　大東：你這一說，我倒是想起來前一陣被公布的一則安全分析報告，這個報告與一家亞洲航空公司相關(guān)。該航空公司被分析出了潛在威脅，而且潛在攻擊者疑似是一個伊朗APT組織。

　　大東：它是一個非?；钴S的全球性黑客組織，名為ITG17，又稱Muddy Water。污水（MuddyWater）APT組織這次攻擊活動始于2019年，目標(biāo)是一家亞洲航空公司，以竊取航班預(yù)訂數(shù)據(jù)。

　　大東：沒錯，一旦掌握了足夠的訂單信息，就可提取某些關(guān)鍵人物的近期航班動向，進(jìn)而可對其活動區(qū)域進(jìn)行定點監(jiān)控，執(zhí)行某些后續(xù)攻擊。

　　小白：東哥，面對此次針對亞洲航空公司的APT攻擊，我們該采取怎樣的防御措施將這種潛在攻擊扼殺在搖籃中呢？

　　大東：從2017年被曝光以來，MuddyWater APT組織不但沒有停止攻擊，反而更加積極地改進(jìn)攻擊的武器。要做出防御就要從分析該組織的攻擊技術(shù)入手。

　　大東：廣大用戶一定不要隨便打開來歷不明的郵件的附件，并且做好殺毒軟件等安全軟件的安裝。目前已經(jīng)有了專門的威脅檢測系統(tǒng)可以防御這種攻擊。