企业新闻
企业新闻 行业新闻 安全时讯
盘点2019年出现的最新攻击技术
2020-01-07 浏览:431

网络犯罪分子的攻击技术和手段正变得越来越具有创新性。 到目前为止,这一年已经看到了一些新的攻击技术,可以/曾经被用来窃取数据或传播恶意软件。

以下是2019年一些新的攻击方法中的一些重要发现,这些攻击方法对全球组织和个人构成了潜在的风险。


一、Malboard攻击
研究者发现,该攻击可通过击键模仿用户的身份。 Malboard攻击利用了用户的击键特征,并已成功用于Microsoft,Lenovo和Dell生产的键盘上。在实验过程中,研究人员通过欺骗基于风险的行为认证系统KeyTrac,TypingDNA和DuckHunt,逃避了安全解决方案的检测。
相关背景:
Ben-Gurion内盖夫大学(BGU)的网络安全研究人员开发了一种名为“Malboard”的新攻击。Malboard躲避了几种检测产品,旨在根据个性化的按键特征不断验证用户的身份。
计算机和安全日志中发布的新论文“Malboard:基于侧通道分析的新用户按键模拟攻击和可信检测框架”揭示了一种复杂的攻击,其中受损的USB键盘自动生成并发送模仿受攻击的恶意击键用户的行为特征。
恶意生成的击键通常与人类输入不匹配,并且很容易被检测到。然而,使用人工智能,Malboard攻击会自动生成用户风格的命令,将键击作为恶意软件注入键盘并避开检测。研究中使用的键盘是微软,联想和戴尔的产品。
“在这项研究中,30人对三种现有的检测机制进行了三次不同的击键测试,包括KeyTrac,TypingDNA和DuckHunt。我们的攻击在83%到100%的情况下逃避了检测,”David和他的负责人Nir Nissim博士说。网络@BGU的Janet Polak家庭恶意软件实验室,以及BGU工业工程和管理部门的成员。“恶意软件在两种情况下都有效:使用无线通信进行通信的远程攻击者,以及内部攻击者或物理操作和使用恶意软件的员工。” 

(华夏信息网--http://www.mouldu.com/dianzi/06111976.html)


二、战舰(Warshipping)
攻击手段的新形式,有别于传统的Wardialing或者Wardriving。Warshipping是一种支持3G网络的设备,因此避免了传统方式必须要在黑客设备范围内的局限性,能够更加灵活的进行远程和现场控制。该技术可使威胁行为体破坏业务运营并窃取敏感数据。在这种攻击下,攻击者需要将其具有3G功能的设备塞入包装盒的底部,以接入受害者的网络。
相关背景:
Warshipping 是老式黑客攻击技术的一种演变形式,允许网络犯罪分子远程渗透目标网络。在 20 世纪 80 年代和 90 年代,拨号互联网的时代,网络犯罪分子会利用 wardialing 通过系统地调用一个数字块以获取未经授权的网络接入,直到他们成功拿下随后可以实施攻击的弱系统。
但是,与 Wardialing 或者 Wardriving 这样的传统方式不同,Warshipping 是一种支持 3G 网络的设备,可以很容易地隐藏在一些看似无害的东西中,以此实现更加灵活的远程和现场控制能力。
Warshipping缓解措施:不要指望信号强度
为了保护自身免受这种类型的攻击影响,建议公司可以像对待访客一样对待邮寄包裹,并制定适当的安全流程来对其进行安全审查。
IBM 补充道,信号强度并不是安全控制措施,不要指望它!企业必须确保其网络的信号强度,就好像它是都会中心区的无线技术一样。对于 Wi-Fi,请确保您的组织使用强大的 Wi-Fi 保护访问 (WPA2) 机制。如果您使用的是非无线协议,请确保根据需要使用强加密和其他控制机制。
此外,还要避免在企业环境中使用共享密钥。在一些高安全性无线部署中,使用多因素身份验证 (MFA) 的虚拟专用网络 (VPN) 被用作保护内部网络的网关。

(安全牛--https://www.aqniu.com/threat-alert/53413.html)


三、Spearphone攻击
Spearphone是一种新型攻击,可以使威胁行为者窃听人们的移动电话。攻击利用Android设备的内置加速度计来推断设备扬声器的语音。该攻击已在多种Android机型上成功进行了测试,这些移动设备包括LG G3,Samsung Galaxy Note 4和Samsung Galaxy S6。
相关背景:
Spearphone攻击的运作原理是基于利用Android设备的运动传感器,也可以称为加速度计。它是大多数Android设备都配备的内置硬件。研究人员表示即使零权限,也可以通过设备上安装的任何应用程序进行无限制访问。
加速度计是一种运动传感器,可以通过测量速度相对于幅度或方向的时间变化率,让应用程序监控设备的运动,例如倾斜、摇晃、旋转或摆动。
由于智能手机的内置扬声器与嵌入式运动传感器位于同一层面,因此在启用扬声器模式时,它会在智能手机机身内通过固体和气体传播语音混响。
由Abhishek Anand、Chen Wang、Jian Liu、Nitesh Saxena、Yingying Chen组成的安全研究团队发现,当受害者在扬声器模式下拨打音视频电话、尝试播放媒体文件,或与智能手机语音助手交互时,攻击就会被触发。
作为其攻击概念的验证,研究人员创建了一个Android应用程序来模仿恶意攻击者的行为,旨在使用加速度计记录语音混响,并将捕获的数据发送回攻击者控制的服务器。
研究人员进一步表示,远程攻击者能够以脱机的方式检查捕获的数据,使用信号处理和“现成的”机器学习技术来重建语音数据,并提取受害者的相关信息。
窃听通话记录、语音笔记和多媒体文件
根据研究人员的说法,Spearphone攻击可用于了解受害者通过互联网从设备库中选择的音频内容,或通过WhatsApp等即时通讯应用程序收到的语音笔记。
研究人员解释说:“社会安全号码、生日、年龄、信用卡号、银行账户等个人隐私信息主要由数字组成。因此,我们认为无论数据的多少,都值得用户提高警惕,防御潜在的攻击。”
研究人员还测试了对智能手机语音助手的攻击,包括Google智能助理和三星Bixby,并通过手机的扬声器成功捕获了用户查询的内容。
研究人员认为,通过使用已知的技术和工具,Spearphone攻击对于威胁行为者来说具有“重要价值”。
除此之外,Spearphone攻击还可用于简单地确定用户的语音特征,包括性别判断(准确率超过90%),以及说话人语音识别(准确率超过80%):
“例如,攻击者可以了解特定个人(执法机关监视的目标人员)是否在特定时间与电话所有者进行了联系。”
尽管功能强大,但此攻击方法也存在其局限性,例如Nitesh Saxena证实了Spearphone攻击无法用于捕获目标用户的周围环境声音,因为“这不足以影响手机的运动传感器,特别是考虑到操作系统施加的低采样率”,因此也不会干扰到加速度计的读数。

(安全内参--https://www.secrss.com/articles/12344)


四、CTRL-ALT-LED攻击
研究团队提出了一种称为CTRL-ALT-LED的新技术,该技术利用安全的物理隔离系统窃取敏感数据。该技术利用键盘上的在大小写锁定键(Caps Lock),数字锁定键盘(Num Lock)和滚动锁定键(Scroll Lock LED)。这一技术可针对各种光学设备来使用,例如智能手机相机,智能手表相机,安全相机,极限运动相机,甚至高级光学/光传感器。
相关背景:
以色列大学的学者证明,键盘上的Caps Lock,Num Lock和Scroll Lock LED可用于从安全的气隙系统中泄露数据。他们命名为CTRL-ALT-LED的攻击并不是普通用户应该担心的,但是对于高度安全的环境是危险的,例如存储绝密文档的政府网络或专用于存储非公开专有信息的企业网络。攻击需要一些先决条件,例如恶意行为者预先找到一种方法来感染带有恶意软件的气隙系统。CTRL-ALT-LED只是一种渗滤方法。
但是,一旦满足这些先决条件,系统上运行的恶意软件就可以使USB连接键盘的LED以快速的速度闪烁,使用自定义传输协议和调制方案对传输的数据进行编码。
附近的攻击者可以使用与编码它相同的调制方案记录这些微小的闪烁,它们可以在稍后解码。
这种渗透方法背后的研究团队表示,它使用各种光学捕获设备测试了CTRL-ALT-LED技术,例如智能手机相机,智能手表相机,安全相机,极限运动相机,甚至高级光学/光传感器。
一些攻击需要一个“邪恶的女仆”场景,攻击者需要亲自到场来记录LED闪烁 - 使用他的智能手机或智能手表。
然而,其他情况更可行,攻击者接管了具有键盘LED视线的CCTV监视系统。
当用户不在时,也可以在一天的特定间隔安排键盘LED传输。这也使攻击者更容易同步记录或仅在他们知道LED将传输被盗信息时将光学记录器或摄像机放置在气隙目标附近。
在实验期间,来自以色列内盖夫Ben-Gurion大学的研究小组表示,当他们使用敏感的光传感器时,他们已经记录了每个LED高达3000 bit / sec的渗透速度,大约120 bit / sec使用普通智能手机相机时的速度。
速度取决于相机的灵敏度和键盘距离。键盘模型在渗透速度方面没有发挥作用,没有供应商的键盘比其他键盘更容易受到这种渗透方法的影响。恢复被盗数据的误码率在可接受的3%速率到较大的8%值之间变化。

(风尚网--http://www.gjfs.com.cn/keji/201907/071118597.html)


五、Minerva攻击
Minerva是基于格的加密攻击,可以从密码库中恢复私钥。它基于椭圆曲线签名算法(ECDSA)和其他类似签名算法中使用的随机数位长度的时间泄漏。较早的Athena IDProtect智能卡以及WolfSSL,MatrixSSL,Crypto ++,Oracle SunEC和Libgcrypt密码库很容易受到攻击。
相关背景:
据外媒报道,近日研究人员披露了一种名为Minerva的旁道攻击,或将允许黑客获取为加密操作进行签名的私钥。在获取私钥后,黑客可以克隆加密智能卡、解密开源加密库中的加密数据。
研究人员指出,AtmelToolbox加密库中用于对加密操作进行签名的ECDSA和EdDSA算法存在问题。攻击者在记录足够的已签名加密操作后,可计算出对这些操作进行签名的专用加密密钥。Minerva攻击将影响2015年以前生产、带有InsideSecure AT90SC芯片并使用AtmelToolbox 00.03.11.05加密库的AthenaIDProtect智能卡。该智能卡可用作访问卡、购物/礼品卡、公交卡或医保卡。此外,Valid,SafeNet和TecSec的智能卡也可能受到影响。专家称,相比攻击智能卡,通过攻击加密库更容易获取加密密钥。因此,更新受影响的开源密码库更为急迫。

(E安全--https://www.easyaq.com/news/2147307292.shtml)


六、PDFex攻击

德国学者发现一种名为PDFex的新型攻击,可用于从加密的PDF文件中窃取数据。该攻击已针对27个桌面和Web PDF查看器成功进行了测试,其中包括目前流行的PDF查看软件,例如Adobe Acrobat,Foxit Reader,Evince,Nitro,Chrome和Firefox的内置PDF查看器。

相关背景:
研究人员对外表示,他们发现了在某些情况下读取加密PDF文档的新技术。
这种被称为PDFex的新技术包括两类攻击方式,均利用了PDF文档内置的标准加密保护的安全漏洞。
需要说明的是,PDFex不能让攻击者直接知道或删除被加密PDF文档的密码;而是在合法用户打开该文档时,攻击者可以远程窃取到文件内容。
换句话说,攻击者利用PDFex修改一个被加密的PDF文档(在没有密码的情况下),之后,一旦有人输入正确的密码打开文档,便会有一份解密后的文档发送到攻击者所控制的服务器中。
研究人员对27个流行的PDF阅读器(包括桌面版阅读器和基于网页的阅读器)测试了PDFex技术,发现所有浏览器都至少受到一种攻击的影响,大多数浏览器易受两种攻击的影响。
德国研究人员的说法,PDFex的原理是基于是PDF加密的两个主要缺陷:
1.部分加密——标准的PDF设计规范支持部分加密,只允许对字符串和数据流进行加密,而定义PDF文档结构的对象并未加密状态。
因此,这种密文与明文混合存在的情况为攻击者提供了一个契机,可以轻松地操纵文档结构,注入恶意payload。
2.密文扩展性——PDF加密使用了CBC(Cipher Block Chaining)加密模式,并没有完整性检查,攻击者可以利用这种模式创建自制的加密内容。

(NOSEC--https://nosec.org/home/detail/3010.html)


七、WIB攻击
WIB攻击是一种新的SIM卡攻击,与Simjacking攻击类似。该攻击利用无线Internet浏览器(WIB)应用程序中的漏洞来跟踪用户的设备。为了利用WIB应用程序,攻击者需要发送一种特殊格式的二进制短信SMS(称为OTA SMS),该SMS将在SIM卡上执行STK(SIM工具包)指令。
相关背景:
网络电信安全公司AdaptiveMobile security表示,Simjacker是一种短信攻击的恶意程序,主要发送经过特殊设计和处理的短信。据了解,Simjacker通过S@T浏览器的应用程序运行命令,包括发送SMS消息、打电话、启动web浏览器等功能。全世界30多个国家的移动运营商提供的SIM卡上都有S@T浏览器,这次攻击可能对10亿多部手机有效。该公司还声称,一个帮助政府监控个人的匿名组织已经使用这种方法至少两年。
据了解,发现Simjacker攻击的非盈利网络安全组织Ginno Security Lab的研究人员表示,他们近期发现了第二种 与 S@T 浏览器类似的SIM卡攻击方法——WIBattack,该攻击通过发送特殊格式的二进制SMS(OTA SMS) 消息进行远程控制,此外,黑客还能利用WIB在移动设备上使用专门设计的SMS消息进行各种活动,这些活动包括启动受害者浏览器、访问指定的URL、提供受害者位置信息、打电话和收听附近的电话等。

(E安全--https://www.easyaq.com/news/2147307284.shtml)


八、WSD攻击

这是一个新的DDoS攻击向量,它利用称为WS-Discovery(WSD)的UDP放大技术。 WSD通过TCP和UDP的3702端口运行,并且在许多与Internet连接的设备中都可以找到。可以通过发送带有伪造的返回IP地址的UDP数据包来欺骗它。响应将发送到伪造的IP地址,这使黑客可以将流量定向到DDoS目标。

相关背景:
WS-Discovery(Web Services Dynamic Discovery,WSD)是一种局域网内的服务发现多播协议,但是因为设备厂商的设计不当,当一个正常的IP地址发送服务发现报文时,设备也会对其进行回应,加之设备暴露在互联网上,则可被攻击者用于DDoS反射攻击。今年2月,百度的安全研究人员发布了一篇关于WSD反射攻击的文章。这是我们发现的关于WSD反射攻击的最早的新闻报道。ZDNet的文章中提到,今年5月也出现过利用WSD的反射攻击,到今年8月的时候,有多个组织开始采用这种攻击方式。Akamai提到有游戏行业的客户受到峰值为35 Gbps的WSD反射攻击。
WSD协议所对应的端口号是3702。当前,视频监控设备的ONVIF规范里面提到使用WSD作为服务发现协议,一些打印机也开放了WSD服务。

(绿盟科技--https://www.freebuf.com/column/215983.html)


九、JackHammer攻击
研究人员表示现场可编程门阵列(FPGA)卡更有利于发起更快的Rowhammer攻击,该攻击表中被称为JackHammer。2014年,Rowhammer攻击首次被详细描述,攻击利用的现代硬件存储卡(通常称为RAM)的一个设计缺陷。由于FPGA-CPU架构变得越来越普遍,在最新研究中,研究人员发现当从用户配置的FPGA中启动攻击代码时,与使用CPU内部执行的恶意代码启动攻击相比,JackHammer攻击更有效地引起位翻转并以更快的速度进行操作。这是因为FPGA卡直接连接到处理器的总线,从而使FPGA可以直接不受限制地访问CPU缓存和RAM存储器。此外,FPGA不必处理固件和OS软件,从而使其运行代码的速度比普通CPU快。
相关背景:
FPGA是可以添加到计算机系统(台式机或服务器)的附加卡。它们是计算机组件,旨在通过允许用户根据其需求自定义性能来优化性能,有时也称为“加速器”。
FPGA通常与设计用于运行非常特定的任务的系统一起使用,例如加密货币挖掘,Web服务器,繁重的计算系统等。
近年来,FPGA进入了云计算环境,在云计算环境中,FPGA已经成为一种常见的产品。公司如阿里巴巴云和亚马逊网络服务(AWS),为客户提供基于FPGA的服务器实例,使客户可以优化特定任务中的表现。微软还致力于在 Azure内部集成基于FPGA的技术。
(ZDNET--https://www.zdnet.com/article/fpga-cards-can-be-abused-for-faster-and-more-reliable-rowhammer-attacks/ )

本文由北京天地和兴科技有限公司原创,转载时请注明:工控安全网址:http://www.tdhxkj.com/
关于我们
公司简介 企业文化
发展历程 企业荣誉
人才招聘
联系我们
公司简介
企业文化

公司地址:北京市海淀区中关村软件园8号 华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

E-MAIL:tdhx@tdhxkj.com

友情链接
国家电网 中国大唐集团 中国华电 国家能源集团 华能集团 中核集团 中国石油 酒钢集团 马钢集团 中国通号 中国铁路 上汽集团 北汽集团 东风柳汽 中国海油 SIMENS Honeywell EMERSON 和利时 研华科技 工控安全 浙江大学 华北电力大学
扫一扫,关注天地和兴公众微信号