国内外最新网络安全发展态势

重要事件回顾，智览网安行业发展。近日国内外网安行业发生了哪些重要事件，呈现出了怎样的发展态势呢？杂志社联合中国网安科技情报研究团队将从行业大角度出发，带领大家回顾近日国内外行业的重要事件，探究其中的发展态势。

事件概览：

1、人民银行发布《关于规范金融业开源技术应用与发展的意见》

2、网信办部署推进“清朗互联网用户账号运营乱象专项整治行动”

3、央视曝光大量人脸照片几毛钱价格被售

4、20多家企业承诺不监听个人隐私

5、我国网络安全相关企业超71万，广州上海最多

6、微软警告Today Zoo网络钓鱼套件攻击

7、Evil公司通过金刚鹦鹉勒索4000万美元

8、美国要求芯片大厂台积电等交出机密数据

9、思科SD-WAN 缺陷可导致任意代码执行

10、WinRAR 中的缺陷可能导致远程代码执行

11、黑客窃取浏览器Cookies劫持Youtube帐户

12、谷歌从 Chrome 中删除文件传输协议代码

13、FBI、CISA、NSA发布BlackMatter操作咨询

14、入侵13家电信公司的幕后黑手浮出水面

15、美将禁止向中国和俄罗斯出售黑客工具

16、黑客窃取阿根廷全体人ID 数据库

17、2021年上半年全球DDoS 攻击增长11％

国内

01　人民银行发布《关于规范金融业开源技术应用与发展的意见》

据2021年10月20日报道，人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》（以下简称《意见》）。近年来，开源技术在金融业各领域得到广泛应用，在推动金融机构科技创新和数字化转型方面发挥着积极作用，但也面临安全可控等诸多挑战。

《意见》的出台，有助于规范金融机构合理应用开源技术，提高应用水平和自主可控能力，促进开源技术健康可持续发展。《意见》要求金融机构在使用开源技术时，应遵循“安全可控、合规使用、问题导向、开放创新”等原则。《意见》鼓励金融机构将开源技术应用纳入自身信息化发展规划，加强对开源技术应用的组织管理和统筹协调，建立健全开源技术应用管理制度体系，制定合理的开源技术应用策略；鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等；鼓励金融机构积极参与开源生态建设，加强与产学研交流合作力度，加入开源社会组织等。

《意见》强调要加强统筹协调，建立跨部门协作配合、信息共享机制，完善金融机构开源技术应用指导政策，探索建立开源技术公共服务平台，加强开源技术及应用标准化建设等。

下一步，人民银行、中央网信办、工业和信息化部、银保监会、证监会将继续协同联动，推进《意见》中的各项工作部署落实落地，切实提升金融业开源技术应用水平。

02　网信办部署推进“清朗互联网用户账号运营乱象专项整治行动”

据2021年10月19日中国网信网报道，为切实解决账号运营存在的突出问题，国家互联网信息办公室于10月18日召开“清朗·互联网用户账号运营乱象专项整治行动”全国视频工作会议，对相关工作进行专题部署。中央网信办副主任、国家网信办副主任盛荣华出席并讲话。

会议指出，今年以来，网信系统认真贯彻落实习近平总书记关于网络强国的重要思想，针对社会各界高度关注、人民群众反映强烈的突出问题，开展“清朗”系列专项整治，着力解决影响网络空间清朗生态的顽症痼疾，取得积极成效。账号运营乱象专项整治行动是“清朗”系列专项整治的重要内容，将坚持问题导向和效果导向，对即时通讯、新闻资讯、论坛社区、网络直播、知识问答、生活服务、电子商务、网络视频、网络游戏等各类网站平台账号乱象进行集中整治。

会议强调，专项整治行动要紧盯五类账号运营乱象：一是违法违规账号“转世”。加强账号注册管理，严禁已被依法依约关闭的账号以相同名称、相似名称等关联名称重新注册，对于已被关闭的账号主体，根据违法违规程度设置一定的禁止重新注册期限。二是互联网用户账号名称信息违法违规。坚决处置名称、昵称、头像、简介和封面等包含违法违规信息的账号，假冒仿冒党政军机关、企事业单位、新闻媒体等组织机构名称、标识以假乱真误导公众的账号，不具备经济、教育、医疗卫生、司法等领域专业资质仍从事专业领域信息内容生产的账号。三是网络名人账号虚假粉丝。严格管控网络名人账号异常涨粉行为，全面清理“僵尸”粉、机器粉，大力打击通过雇佣水军等方式的非自然涨粉行为，定期清理“僵尸”账号。四是互联网用户账号恶意营销。从严处置利用社会时事“蹭热点”、发布“标题党”文章煽动网民情绪的账号；传播低俗、庸俗、媚俗内容的直播、主播账号；炒作明星八卦等泛娱乐化信息，引发网民互相攻击的账号；以知识传播名义歪曲解读国家政策，干扰公众认知的账号；“带节奏”操控评论，干扰真实舆论呈现的水军账号。五是向未成年人租售网络游戏账号。严格网络游戏账号实名注册和登记要求，清理向未成年人提供网络游戏账号的租售交易。此外，因机构调整等原因无法注销的政务号也将予以集中处置。

会议要求，专项整治行动要强化统筹协调，通过进一步加强账号注册、使用和管理全流程动态监管，督促网站平台严格落实主体责任，引导账号主体规范账号运营行为，营造清朗网络空间。

03　央视曝光大量人脸照片几毛钱价格被售
据2021年10月23日快科技报道，一张静态的半身照，经过特殊的软件处理，就能够变成一段视频，而这样一段视频就可以冒充人脸识别的图像。据央视网报道称，嫌疑人交代，由于国家规范手机卡的使用，所有手机卡都需要实名认证。一些不法分子对手机卡需求量巨大，嫌疑人也因此动起了歪脑筋，伪造他人的人脸视频来通过注册认证。

而在网络上，有不少专门贩卖这些资料的人员，他们被称为“料商”。犯罪嫌疑人 马某：“有的便宜的有几毛钱，有的也就一块钱”。开始的个人信息泄露，到在网络上被以几毛钱的价格进行兜售，再到伪造自己的人脸进行认证，很多受害人对此是一无所知。

不少网友看到这一幕后纷纷表示，希望能够彻查这些不法商贩，然后查清源头。

中国政法大学传播法研究中心副主任朱巍表示，目前没有法律具体规定谁有权采集我们的人脸信息。我们希望这个问题能在法律层面上尽早明确，避免出现商家随意收集用户人脸信息的情况，或“不刷脸就不提供服务”的霸王条款。

记者在调查中还发现，多款APP还存在着随意收集人脸数据信息的情况。

04　20多家企业承诺不监听个人隐私

据2021年10月22日快科技报道，由中共深圳市委网信办联合深圳市公安局、市市场监管局、市通管局主办的深圳市APP个人信息共护大会在深圳中心书城举行。

深圳市委常委、宣传部部长王强出席会议，并与市民代表共同见证腾讯、华为等20余家重点APP运营企业签署《深圳市APP个人信息保护自律承诺书》。

据深圳商报报道，会上来自网络社交、直播、游戏、电商、金融、物流、交通、社区服务等多个应用领域运营主体的相关负责人现场签署了《深圳市APP个人信息保护自律承诺书》，向社会公开作出“不超范围采集信息，不强制索要用户授权，不利用大数据杀熟、不滥用人脸识别数据，不监听个人隐私”等承诺。

在今天华为开发者大会上，华为消费者业务首席运营官、华为消费者业务手机产品线总裁何刚表示，华为制定了严苛的隐私安全原则，包括数据安全保障、数据最小化、数据端侧处理、透明可控、身份保护。“我们的标准很严苛，任何不符合安全与隐私保护原则和流程的业务不允许发布” 。何刚提到，网络安全和隐私保护是华为践行全场景生态战略的原点，因此，需要倍加“呵护”。

大会现场，何刚也代表华为消费者业务，提出安全与隐私保护的“三大承诺”：第一，隐私是用户的基本权利，用户的隐私安全在华为是作为最高优先级；第二，你的数据，全部为你加密，未经你的允许，任何人无法访问你的数据；第三，你的信息，由你全权掌控，从开机到使用每一步都要你的同意。

对于应用生态伙伴，华为开放了4大安全能力包，10多个安全能力子集；对于设备生态伙伴，华为共开放了2大安全能力包，30多个安全能力子集。确保打造以安全为前提的全场景生态。

此外，华为将多年构建的安全与隐私能力，除了应用在华为产品上，也开放给应用生态和设备生态伙伴，希望能和大家一起构建一个安全可信的全场景生态。大会现场华为也正式发布《HarmonyOS Connect生态设备安全与隐私保护指导书》，让生态伙伴在开发产品时有据可依。

据悉，早在2018年华为就设有“华为终端安全漏洞奖励计划”，与白帽安全专家一起，共同守护消费者安全。其中单漏洞最高奖励150万元，系统性漏洞最高奖励800万元。

05　我国网络安全相关企业超71万，广州上海最多

网络安全，虽然看起来很高大上：烧脑的代码、网络病毒攻击，涉及计算机、通信、密码等多个学科，但它覆盖我们生活的方方面面。企查查数据显示，我国现存“网络安全”相关企业共71.2万家。2020年是近十年注册量的高峰期，全年共注册了19.5万家相关企业，同比增长了112.7%；今年前三季度共注册了26.9万家企业，同比增长了102.3%。从企业省份分布来看，广东省以12.7万家企业位居第一，其次是福建、山东。广州、上海、西安则是排名前三的城市。

国外

01　微软警告Today Zoo网络钓鱼套件攻击

微软周四披露了一系列"广泛的网络钓鱼活动"，该活动利用了一个自定义网络钓鱼工具包，将至少五种广泛传播的组件拼接在一起，目的是窃取用户登录信息。

这家科技巨头的微软365卫士威胁情报团队，在2020年12月在野外发现了该工具的首例，被称为复制和粘贴攻击基础设施"Today Zoo"。

研究人员说："大量的网络钓鱼工具包和其他可供出售或出租的工具使得独狼攻击者很容易从这些工具包中挑选出最好的功能。"他们把这些功能放在一个定制的工具包中，并试图从中获得全部好处。Today Zoo就是这样。

网络钓鱼工具包通常作为一次性付款在地下论坛中出售，是包含图像、脚本和 HTML 页面的打包存档文件，使威胁行为人能够设置网络钓鱼电子邮件和页面，并利用它们作为获取和传输凭据到攻击者控制的服务器的诱饵。

TodayZoo 网络钓鱼活动也不例外，因为发件人电子邮件冒充 Microsoft，声称是密码重置或传真和扫描仪通知，将受害者重定向到凭据收割页面。最突出的是网络钓鱼工具包本身，它由从其他工具包中取出的代码块拼凑而成——"有些可通过公开访问的诈骗卖家出售，或者被其他工具包经销商重复使用和重新包装。

具体来说，框架的大部分内容似乎已慷慨地从另一个工具包（称为 DanceVida）中取出，而仿制品和混淆相关组件与至少五个其他网络钓鱼工具包（如博索、FLCFood、Office-RD117、WikiRed 和 Zenfo）中的代码明显重叠。尽管依赖于回收模块，但 TodayZoo 在凭据采集组件中偏离了 DanceVida，用其自身的渗透逻辑取代了原始功能。

如果说有什么不同的话，"弗兰肯斯坦的怪物特征的Today Zoo "说明了威胁行为者利用网络钓鱼工具包进行邪恶目的的不同方式，无论是通过从网络钓鱼即服务（PhaaS）提供商那里租用它们，还是从零开始构建自己的变种来适应他们的目标。

微软的分析写道："这项研究进一步证明，目前观察到或可用的大多数网络钓鱼工具包都是基于一个较小的大工具包'家庭'集群。虽然以前已经观察到这一趋势，但鉴于我们所看到的网络钓鱼工具包之间共享大量代码，它仍然是常态。

02　Evil公司通过金刚鹦鹉勒索4000万美元

据2021年10月21日BLEEPINGCOMPUTER网站报道，

Evil公司推出了一个新的勒索软件称为金刚鹦鹉锁，以逃避美国的制裁。

Evil公司是黑客组织，也被称为因德里克蜘蛛和Ddridx团伙，自2007年以来一直参与网络犯罪活动，但主要是作为其他组织的附属公司。随着时间的推移，该组织开始专注于自己的攻击，在网络钓鱼攻击中创建和分发一个名为 Dridex 的银行特洛伊木马程序。

随着勒索软件攻击变得越来越有利可图，Evil公司发起了一项名为 BitPaymer 的操作，通过 Dridex 恶意软件交付给受损的公司网络。黑客组织的犯罪活动最终导致他们在2019年受到美国政府的制裁。

由于这些制裁，勒索软件公司将不再为Evil公司的业务支付赎金提供便利。为了绕过美国的制裁，Evil公司开始重命名他们的勒索软件业务到不同的名字，如浪费洛克、哈迪斯、凤凰加密锁、和有效载荷宾等。

03　美国要求芯片大厂台积电等交出机密数据

据2021年10月23日快科技报道，前不久，美国商务部突然发出要求，要台积电、三星等半导体企业交出机密数据，以便调查半导体缺货的问题。之前已经有Intel、SK海力士等多家公司同意上交，台积电昨天才表态同意交出商业数据，被认为妥协了，不过该公司表示不会泄露客户机密。

此前报道，美国要求相关企业在45天内，缴交相关数据，包括库存、销售及客户等商业机密，这样的要求将使公司陷入困境，业界担心，向美国披露良率信息，意味着公开自己的半导体水准，可能会导致代工厂在议价过程中处于不利位置。

美国商务部长雷蒙多表示，政府需要更多的信息，需要知道芯片要运往哪里，瓶颈在哪里，这样才能防患于未然。

雷蒙多提醒行业高管，如果他们不自愿分享信息，她可能会援引冷战时期的《国防生产法》，迫使他们分享信息。

在这个要求中，台积电的态度尤其引人注意，因为他们是全球最大的晶圆代工厂，而且工艺也是最先进的，掌握了苹果、AMD、高通、NVIDIA等公司的秘密，还有许多国内的芯片设计公司也是依赖台积电代工的，因此非常敏感。

Intel、SK海力士、英飞凌等都承诺会在45天内按期提交相关数据，台积电拖到昨天才表态，表示会在11月8日的最后期限之前，提交相关资料给美国。

台积电的表态也引发热议，其客户也担心台积电把他们的机密信息透漏给美国政府部门。对此台积电法务副总经理暨法务长方淑华日前受访时表示，客户是台积电成功的要素之一，台积电不会泄漏敏感资讯，尤其是客户的机密资料，请股东与客户不要担心。

04　思科SD-WAN 缺陷可导致任意代码执行

据2021年10月23日 securityaffairs.com网站报道，思科在思科 SD-WAN 中修复了操作系统命令注入缺陷（跟踪为 CVE-2021-1529），该缺陷允许特权升级并导致任意代码执行。

思科在思科 SD-WAN 中处理了高严重性操作系统命令注入漏洞，该漏洞被跟踪为 CVE-2021-1529，可允许特权升级并导致任意代码执行。

思科 SD-WAN 是一种云交付的叠加 WAN 架构，可实现企业的数字和云转换，它允许通过云连接不同的办公地点。

经过验证的本地攻击者可以利用 CVE-2021-1529 漏洞执行具有根特权的任意命令。CVE-2021-1529 获得 CVSS 分数 7.8，"该漏洞是由于系统 CLI 的输入验证不足。攻击者可以通过对受影响的设备进行身份验证并将精心制作的输入提交到 CLI 系统来利用此漏洞。成功的漏洞利用可以使攻击者能够使用根特权在基础操作系统上执行命令。阅读IT 巨头发布的公告。

思科已经发布了软件更新来解决这一缺陷，该公司指出，没有解决方法来解决这个问题。

思科 PSIRT 不知道在野外利用此漏洞的攻击。

美国网络安全和基础设施安全局 （CISA） 也发布了针对这一缺陷的安全通报，敦促组织解决此漏洞。

05　WinRAR 中的缺陷可能导致远程代码执行

据2021年10月21日 securityaffairs.com网站报道，WinRAR 中的漏洞是 Windows 的试用软件文件存档程序实用程序，远程攻击者可能会利用该漏洞来破解系统。

正技术研究员伊戈尔·萨克-萨科夫斯基在流行的 WinRAR 试用软件文件存档器 Windows 实用程序中发现了一个远程代码执行漏洞，该漏洞被跟踪为 CVE-2021-35052。

该漏洞影响实用程序的试用版本，易受攻击版本为 5.70。

"此漏洞允许攻击者拦截和修改发送给应用程序用户的请求。这可用于在受害者的计算机上实现远程代码执行 （RCE）。它已被分配CVE ID - CVE-2021-35052。 "我们在 WinRAR 版本 5.70 中偶然发现了此漏洞。

研究人员安装了该软件，并注意到它正在产生一个JavaScript错误，具体错误表明，互联网浏览器引擎正在渲染这个错误窗口。

经过一系列测试，专家注意到，试用期结束后，软件开始显示错误消息，三次执行中有一次。专家使用 Burp Suite 作为默认 Windows 代理来拦截显示消息时产生的流量。

当 WinRAR 通过" notifier.rarlab.com " 提醒用户免费试用期结束时发送的响应代码分析。com"透露，修改它到"301移动永久"重定向消息，如果可能缓存重定向到恶意域的任何后续请求。专家还指出，访问同一网络域的攻击者会进行 ARP 欺骗攻击，以远程启动应用程序、检索本地主机信息并运行任意代码。

"接下来，我们尝试修改从 WinRAR 到用户的截获的响应。我们注意到，如果响应代码更改为"301 永久移动"，则会缓存到恶意域名"attacker.com"，所有请求将转到"attacker.com"，而不是每次拦截和更改默认域名"notifier.rarlab.com"响应。"接下来，我们尝试修改从 WinRAR 到用户的截获的响应。我们注意到，如果响应代码更改为"301 永久移动"，则会缓存到恶意域"attacker.com"，并且所有请求都将转到"attacker.com"，而不是每次拦截和更改默认域"notifier.rarlab.com"响应。

专家指出，第三方软件中的漏洞对组织构成严重风险，可以利用它们访问系统的任何资源，并可能利用托管该系统的网络。

"不可能审核用户可能安装的每一个应用程序，因此策略对于管理与外部应用程序相关的风险以及平衡此风险与各种应用程序的业务需求至关重要。不当管理可能会产生广泛的后果。

06　黑客窃取浏览器Cookies劫持Youtube帐户

据2021 年 10 月 21 日报道，至少自 2019 年末以来，一个黑客雇佣网络一直在劫持 YouTube 创建者的频道，利用虚假的合作机会引诱他们广播加密货币诈骗或将账户出售给出价最高者。

这是根据谷歌威胁分析小组（TAG）发布的一份新报告，该报告称，它扰乱了针对视频平台的以Cookie盗窃恶意软件为目标的出于财务动机的网络钓鱼活动。渗透背后的行为者被归结于一群黑客在一个讲俄语的论坛上招募。

"Cookie盗窃，也被称为'通过Cookie攻击'，是一种会话劫持技术，使访问用户帐户与会话Cookies存储在浏览器中，"TAG的Ashley Shen说。虽然该技术已经存在了几十年，但其重新成为最高安全风险的原因可能是采用了多因素身份验证 （MFA）， 使得滥用变得困难，并且将攻击者的注意力转移到了社会工程策略上。

自5月份以来，这家互联网巨头指出，它已经屏蔽了160万条信息，并恢复了近4000个受社会工程活动影响的YouTube影响账户，一些被劫持的频道根据用户数量在账户交易市场上的售价在3到4000美元之间。

相比之下，其他频道则因加密货币诈骗而被重新命名，在该骗局中，对手直播视频，承诺提供加密货币赠品，以换取初始贡献，但在更改频道名称、个人资料图片和内容以欺骗大型技术或加密货币交换公司之前，则不然。

攻击涉及在反病毒软件、VPN 客户端、音乐播放器、照片编辑应用程序或在线游戏的视频广告协作的诡计下向频道所有者发送恶意链接，这些链接在单击时将收件人重定向到恶意软件着陆站点，其中一些网站冒充合法软件网站（如 Luminar 和思科 VPN），或伪装成专注于 COVID-19 的媒体渠道。

谷歌表示，它在网络钓鱼信息背后发现了不少于15，000个帐户和1，011个域名，这些账户是专门为提供负责执行 Cookie 窃取恶意软件的欺诈软件而构建的，这些恶意软件旨在从受害者的机器中提取密码和身份验证 Cookie 并将其上传到演员的命令和控制服务器。

然后，黑客将使用会话 Cookie 控制 YouTube 创建者的帐户，有效地规避双重身份验证 （2FA），并采取措施更改密码和帐户的恢复电子邮件和电话号码。

在谷歌的干预下，人们发现肇事者将目标转向WhatsApp、电报和Discod等应用程序，试图绕过Gmail的网络钓鱼保护，更不用说向 aol.com、email.cz、seznam.cz 和 post.cz 等其他电子邮件提供商过渡。强烈建议用户通过双重身份验证保护其帐户，以防止此类收购攻击。

07　谷歌从 Chrome 中删除文件传输协议代码

据2021年10月20报道，谷歌终于弃用了对文件传输协议 （FTP）的 支持，而且从 Chrome 浏览器的最新稳定构建（版本 95）中的代码库中剥离。

一段时间以来，Chrome 的 FTP 实施中缺乏对加密连接的支持，加上大多数浏览器用户普遍不感兴趣，而且可用更有能力的第三方备选方案，这意味着代码已经从弃用转向完全消失。

从 Chrome 72 中剥离了对通过 FTP 获取文档资源的支持，在 Chrome 76 中删除了对 FTP 的代理支持，Chrome 86 引入了一个标志来完全关闭它。

在76到86版本之间，谷歌对弃用进行了调整，在2020年上半年，为了应对这一流行病和受压迫的IT人员所面临的工作量，谷歌退缩了。到第 88 版，它已为所有用户禁用。

早在7月份，Mozilla就从Firefox浏览器上丢弃了该协议，而苹果在Safari中并不真正支持它。

08　FBI、CISA、NSA发布BlackMatter操作咨询

据2021年10月19日报道，FBI、CISA、NSA已经发布了关于BlackMatter勒索软件团伙行动的联合通报，并提供了防御建议。

此咨询提供了与勒索软件团伙相关的战术、技术和程序 （TTP） 信息，这些信息是从对 BlackMatter 勒索软件样本的分析以及从受信任的第三方报告获得的。

BlackMatter集团于7月底展开行动，该团伙自称是黑面和雷维尔集团的继任者。与其他勒索软件操作一样，BlackMatter 还建立了其泄漏站点，在加密其系统之前发布从受害者那里渗出的数据。

BlackMatter 勒索软件即服务 （RaaS） 的推出首先被记录未来公司的研究人员发现，他们还报告说，该团伙正在利用在两个网络犯罪论坛（如漏洞利用和 XSS）上发布的广告建立一个联盟网络。

该组织正在招募能够访问年收入在1亿美元或以上的大型企业网络的骗子，试图用勒索软件感染他们。该集团正在美国、英国、加拿大或澳大利亚寻找企业网络。

BlackMatter 勒索软件运营商宣布，他们不会针对医疗保健组织、关键基础设施、国防工业组织和非营利性公司。今年8月，该团伙实施了Linux加密器，以攻击VMwareESXi虚拟机平台。

BlackMatter 运营商已经打击了许多美国组织，并要求支付 8 万美元到 15，000，000 美元的比特币和 Monero 赎金。

BlackMatter 使用嵌入式、以前已泄露的凭据，利用轻量级目录访问协议 （LDAP） 和服务器消息块 （SMB） 协议访问活动目录 （AD） 以发现网络上的所有主机。然后，BlackMatter 会在主机和共享驱动器找到时对它们进行远程加密。

研究人员分析的样本允许他们发现勒索软件操作员使用损坏的管理员凭据来发现受害者活动目录中的所有主机。为了列出每个主机的所有可访问网络共享，恶意代码使用微软远程程序呼叫 （MSRPC） 功能 （srvsvc.NetShareenumAll）， 允许为每个主机列出所有可访问的网络共享。

"BlackMatter 变种使用以前被破坏的嵌入式管理员或用户凭据以及 NtQuerySystem 信息和设备服务统计ExW 分别列举运行过程和服务。然后，BlackMatter 使用 LDAP 和 SMB 协议中的嵌入式凭据来发现 AD 和 srvsvc.NetShareenumall 微软远程程序呼叫 （MSRPC） 功能中的所有主机，以列举每个主机的可访问共享。值得注意的是，BlackMatter 的此变种利用嵌入的凭据和 SMB 协议从原始受损主机远程加密所有已发现的股份内容，包括管理$、C$、SYSVOL 和 NETLOGON。

BlackMatter 操作员使用单独的加密二进制器来加密 ESXi 虚拟计算机。专家注意到，BlackMatter 操作员会擦除或重换备份数据存储和设备，而不是加密备份系统。

警报还包括网络防御者可用于检测与 BlackMatter 相关的网络活动的打鼾签名。

CISA、FBI 和 NSA 敦促网络维护者应用以下缓解措施，以降低 BlackMatter 勒索软件的妥协风险：

实施检测签名;

使用强密码;

实施多因素认证;

修补和更新系统;

限制通过网络获取资源;

实施网络分割和横向监控;

使用管理员禁用工具支持身份和特权访问管理;

实施和执行备份和恢复政策和程序;

美国机构还敦促关键基础设施组织实施以下其他缓解措施：

禁用 LSASS 内存中清晰文本密码的存储。

考虑禁用或限制新技术局域网管理器 （NTLM） 和 WDigest 认证。

为 Windows 10 和服务器 2016 实施凭据防护，为本地安全局 （LSA） 启用受保护流程灯。

最小化 AD 攻击表面。

该警报还提供了以下应对勒索软件攻击的建议：

继CISA-多州信息共享和分析中心 （MS-ISAC） 联合勒索软件指南第 11 页的勒索软件响应检查表之后。

扫描备份。

立即向联邦调查局在当地FBI外地办事处、us-cert.cisa.gov/report CISA或美国特勤局外地办事处报告事件。

应用由 CISA 和澳大利亚、加拿大、新西兰和英国的网络安全部门开发的"发现和补救恶意活动联合咨询、T 生态方法"中发现的事件响应最佳实践。

09　入侵13家电信公司的幕后黑手浮出水面

10月20日，网络安全公司赛门铁克刚披露了一个针对南亚电信公司的神秘APT（高级持续威胁）组织，一个名为 LightBasin 的黑客组织被确定为针对电信行业发起一系列攻击的幕后黑手，其目标是从移动通信基础设施中收集“高度特定信息”，例如用户信息和呼叫元数据。

网络安全公司 CrowdStrike 研究人员发表分析报告称：LightBasin 又名UNC1945，这一组织从2016年起开始活跃，据统计自2019年以来， LightBasin 利用自定义工具通过电信协议中的防御漏洞攻击了全球13家电信公司。

CrowdStrike 调查发现，攻击者利用外部DNS (eDNS) 服务器通过 SSH 和先前建立的后门（如 PingPong）直接连接到其他电信公司的 GPRS 网络，在密码喷射攻击的帮助下安装恶意软件，以窃取其他网络系统的密码。

攻击者能够模拟GPRS网络接入点，以便与先前建立的后门一起执行命令通过电信网络传输流量控制通信。

LightBasin 恶意软件库中有一个名为“CordScan”的网络扫描和数据包捕获实用程序，它能允许运营商对移动设备进行指纹识别及“SIGTRANslator“（一种可以通过卫星定位系统协议套件传输和数据接收的ELF二进制文件，用来通过IP网络承载公共交换电话网信令）。

CrowdStrike 指出，攻击者正是借助电信公司之间的漫游协议需要服务器相互通信这点，打通了组织间流量后能在多家电信公司之间进行切换。为避免类似攻击，CrowdStrike 建议电信公司制定 GPRS 网络防火墙规则，在 DNS 或 GTP等先前协议上限制网络流量。

10　美将禁止向中国和俄罗斯出售黑客工具

据2021 年 10 月 20 日报道，美国商务部周三出台了新的出口管制规定，旨在限制向中国和俄罗斯出口或转售黑客工具。由于担心试图遏制此类销售会无意中阻碍防御性网络努力，该规定被搁置多年。

该部在一份声明中说，在考虑到数百条评论之后，它现在相信，它已经达成了一个平衡，使研究人员和网络安全公司能够继续与海外合作伙伴和客户合作处理软件错误和恶意攻击，同时遏制对手掌握该技术的能力。

美国商务部长吉娜·雷蒙多（Gina M. Raimondo）在一份声明中表示："美国致力于与我们的多边合作伙伴合作，阻止某些可用于恶意活动的技术的传播。

该规定将在90天内生效，要求企业在销售中国、俄罗斯和其他国家关注的黑客软件和设备之前，必须获得该部门工业和安全局（BIS）的许可。其理念是使对手更难使用这些网络工具践踏人权、跟踪持不同政见者或扰乱通信，同时仍为网络安全公司提供空间。

此举使美国与数十个欧洲盟国更加紧密，这些盟国已经签署了所谓的《瓦塞纳尔安排》，这是一个自愿框架，旨在控制可用于民用和军用的技术名册的销售。中国和以色列不是《瓦塞纳尔协定》的一部分，但俄罗斯是。

以色列过去曾表示，它将自愿采取其瓦塞纳尔控制措施，但是否真的发生了一些问题。研究人员发现了数十个飞马间谍软件被放置在异议手机上的例子。飞马是由以色列国家统计局集团开发的。

早在8月份，蒙克公共事务和全球政策学院的公民实验室就发现，9名巴林维权人士的iPhone在2020年6月至2021年2月间被NSO集团的飞马间谍软件成功入侵。飞马也被认为是用来秘密瞄准两名最接近被谋杀的沙特专栏作家贾迈勒·哈索吉的女性的智能手机。以色列国家统计局否认其软件正以这种方式使用。

商务部的新规定建立在拜登政府近几个月来实施的其他与技术相关的出口管制的基础上。早在今年3月，美国政府就以国家安全为由，限制向中国和俄罗斯出口先进的半导体和加密软件。一个月后，美国政府以涉嫌帮助中国制造开发核武器和其他先进军事武器所需的超级计算机而向7家中国公司和政府实验室提出了美国出口管制要求。

商务部已经给公众45天时间对周三宣布的规则发表评论。该机构还有45天的时间修改新的出口法规，然后才成为最终法规。

11　黑客窃取阿根廷全体人ID 数据库

据https://therecord.media/网站报道，一名黑客入侵了阿根廷政府的IT网络，窃取了该国全体民众的身份证详细信息，这些数据目前正在私人圈子里出售。

上个月发生的黑客攻击的目标是RENAPER--国家注册局，翻译为国家人口登记处。

该机构是阿根廷内政部内部的一个关键机构，其任务是向所有公民发放国家身份证，该数据还以数字格式存储，作为其他政府机构可访问的数据库，作为大多数政府查询公民个人信息的骨干机构。

本月早些时候，当一个名为@AnibalLeaks的新注册账户公布了44名阿根廷名人的身份证照片和个人信息时，第一个有人违反RENAPER的证据浮出水面。

这包括该国总统阿尔贝托·费尔南德斯、多名记者和政治人物的详细资料，甚至还有足球巨星莱昂内尔·梅西和塞尔吉奥·阿圭罗的数据。

在图片和个人信息在Twitter上公布一天后，黑客还在一个著名的黑客论坛上发布了一则广告，表示愿意查找任何阿根廷用户的个人信息。

面对Twitter泄密事件后媒体的报道，阿根廷政府三天后确认了一起安全漏洞。内政部在10月13日的一份新闻稿中说，其安全小组发现，分配给卫生部的VPN账户被用来查询RENAPER数据库的19张照片，官员们补充说，"RENAPER数据库没有遭受任何数据泄露或泄露"，当局目前正在调查8名政府雇员是否可能参与泄密。

在此后几天的一次谈话中，黑客说他们有一份RENAPER数据，这与政府的官方声明相矛盾。

这是继2017年和2019年Gorra泄密事件之后，阿根廷历史上第二次重大安全违规事件，当时黑客入侵者泄露了阿根廷政客和警察部队的个人信息。

12　2021年上半年全球 DDoS 攻击增长11％

近日，国际知名公司 NETSCOUT 公布其调查报告结果显示，2021年上半年，网络罪犯发动了约 540 万次分布式拒绝服务（DDoS）攻击，比 2020 年上半年的数字增长 11%。数据预测指出，2021 年是全球 DDoS 攻击超过 1100 万次的又一创纪录的一年

2021 年上半年，在 Colonial Pipeline（美国最大燃油管道公司）、JBS（全球最大肉食加工供应商）、Harris Federation（英国非营利多学院信托机构）、澳大利亚广播公司第九频道、CNA 金融和其他几起高调攻击之后，DDoS 和其他网络安全攻击的影响已在全球范围内显现出来。许多当地政府正在积极推出新的计划和政策，以抵御攻击，而各地安全部门正在发起前所未有的合作努力来应对危机。

2021 年 1 月，网络罪犯将 7 种较新的反射/放大 DDoS 攻击载体武器化并加以利用，使全球公司和组织面临更大的风险。这种攻击向量的爆炸刺激了多向量 DDoS 攻击的增加，其中，在针对一个组织的单个攻击中部署了创纪录的 31 个攻击向量。

2021 年上半年全球 DDoS 攻击呈现出下列趋势：

• 新的自适应 DDoS 攻击技术避开了传统防御。通过定制策略，网络罪犯发展了他们的攻击方式，绕过了基于云端的和预设的静态 DDoS 防御系统，以针对商业银行和信用卡服务商。

• 网络连接供应链日益受到攻击。希望造成最大附带损害的攻击者将精力集中在重要的互联网组件上，包括 DNS 服务器、虚拟专用网络 （VPN） 集中器、服务和互联网交换，从而中断基础网关。

• 网络罪犯在他们的工具包中添加 DDoS，以发起三重敲诈勒索活动。勒索软件已成为一种大生意。敲诈勒索者在其攻击方案中添加 DDoS，给受害者的安全团队施加压力。三重勒索结合了文件加密、数据盗窃和 DDoS 攻击，增加了网络罪犯获得付款的可能性。

• 速度最快的 DDoS 攻击达到 16.17% 的同比增幅。一名巴西有线宽带互联网用户发动了这次袭击，这可能与网络游戏有关。他使用 DNS 反射/放大、TCP ACK 洪水、TCP RST 洪水和 TCP SYN/ACK 反射/放大攻击，本次复杂攻击的强度为 675 Mpps。

• 最大的 DDoS 攻击，1.5Tbps，同比增长169%。本次攻击是针对德国 ISP 服务商，部署了 DNS 反射/放大向量攻击。与 2020 年 1 月记录的任何攻击一起，此攻击的规模都显著增加。

• 僵尸网络有助于主要的 DDoS 活动。全球跟踪僵尸网络集群和高密度攻击源区域，显示出恶意对手如何滥用这些僵尸网络参与超过 280 万次 DDoS 攻击。其中，著名的物联网僵尸网络 Gafgyt 和 Mirai 继续构成严重威胁，是 DDoS 攻击总数一半以上的恶意流量来源。

NETSCOUT 公司网络威胁情报负责人理查德•胡梅尔（Richard Hummel）总结道：“网络罪犯正在成为头版新闻。他们瞄准全球新冠疫情时期的远程工作模式，通过发起数量空前的 DDoS 攻击，企图破坏网络连接供应链的关键组成部分”。“勒索软件团伙将三重勒索 DDoS 策略添加到他们的工具箱中。同时，Fancy Lazarus 组织发起的 DDoS 勒索活动将多个行业的威胁推向高潮，重点是 ISP 服务商，特别是其权威 DNS 服务器” 。

商务合作 | 开白转载 | 媒体交流 | 理事服务

请联系：15710013727（微信同号）

《信息安全与通信保密》杂志投稿

联系电话：13391516229（微信同号）

邮箱：xxaqtgxt@163.com

《通信技术》杂志投稿

联系电话：15198220331（微信同号）

邮箱：txjstgyx@163.com