2023年8月31日，2023年国家网络安全宣传周新闻发布会在京举行。中央网信办网络安全协调局局长高林，福州市委常委、宣传部部长、统战部部长、一级巡视员陆菁介绍活动筹备情况，并答记者问。 2023年国家网络安全宣传周将于9月11日至17日在全国范围内统一开展。其中，开幕式等重要活动将在福建省福州市举行。高林介绍，今年的网安周以“网络安全为人民，网络安全靠人民”为主题，结合深入学习贯彻党的二十大精神，将深入学习宣传贯彻习近平总书记关于网络强国的重要思想，以及习近平总书记关于网络安全和信息化工作的重要指示精神作为首要任务，围绕党的十八大以来网络安全领域取得的成就开展主题宣传活动，深入宣传《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等重要法律法规、政策文件、国家标准，通过论坛、研讨、展览、竞赛等形式，党政机关、科研机构、高校、企业、社会组织、群众等各方力量广泛参与网络安全宣传活动，全面营造全社会共筑网络安全防线的浓厚氛围。陆菁介绍，本届网安周具有以下特点：一是突出人民性，营造网络安全为人民、网络安全靠人民的浓厚氛围。二是突出创新性，坚持促进发展和依法管理相统一。三是突出融合性，推进网络安全“政产融学研用”融合发展。今年网安周期间，除开幕式外，还将举行网络安全博览会、网络安全技术高峰论坛、网络安全微视频征集，以及主题日、进基层等活动。2023年国家网络安全宣传周由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等十部门联合举办。各级地方党委网信委统一领导组织本行政区内的网络安全宣传周活动。中央和国家机关各部门组织指导本系统本行业本领域的活动。 文章来源：安全学习那些事儿 ...

WinRAR再爆0 day漏洞，已被利用超过4个月。  Winrar是一款免费的主流压缩文件解压软件，支持绝大部分压缩文件格式的解压，全球用户量超过5亿。Group-IB研究人员在分析DarkMe恶意软件时发现WinRAR在处理ZIP文件格式时的一个漏洞，漏洞CVE编号为CVE-2023-38831。攻击者利用该漏洞可以创建欺骗性扩展的诱饵文件来隐藏恶意脚本，即将恶意脚本隐藏在伪装为.jpg、.txt和其他文件格式的压缩文件中，并窃取用户加密货币账户。 研究人员在分析DarkMe恶意软件时发现了一些可疑的ZIP文件。Group-IB在8个加密货币交易的主流论坛上发现了这些恶意ZIP文件，如图1所示： 图1. 交易论坛发布的帖子 CVE-2023-38831漏洞序列图如图2所示： 图2. CVE-2023-38831漏洞序列图 所有压缩文件都是用同一方法创建的，结构相同，包括一个诱饵文件和一个包含恶意文件和未使用文件的文件夹。当用户打开恶意压缩文件后，受害者机会看到一个图像文件和一个相同文件名的文件夹，如图3所示。 图3. 恶意zip文件示例 如果受害者打开伪装为图像的诱饵文件，恶意脚本就会执行攻击的下一阶段，如图4所示： 图4. 攻击流程图 脚本的主要作用是进入攻击的下一阶段，这是通过运行最小化窗口来完成的。然后搜索两个特定文件“Screenshot_05-04-2023.jpg”和 “Images.ico”。JPG文件是受害者打开的图像，“Images.ico”是用来提取和启动新文件的SFX CAB压缩文件。恶意脚本示例如下： @echo off if not DEFINED IS_MINIMIZED   set IS_MINIMIZED=1 && start "" /min "%~dpnx0" %* && exit   cd %TEMP%   for /F "delims=" %%K in ('dir /b /s "Screenshot_05-04-2023.jpg"') do     for /F "delims=" %%G in ('dir /b /s "Images.ico"') do       WMIC process call create "%%~G" && "%%~K" && cd %CD% && exit Exit 为了解漏洞工作原理，研究人员创建了2个与发现的恶意压缩文件结构相同的压缩文件。两个文件都包含图像文件，其中一个压缩文件中还包含一个存储脚本的内部文件夹，可以触发消息展示框。然后，研究人员修改了其中一个文件使其与恶意压缩文件一样。然后，比较WinRAR在解压不同压缩文件时的区别。 研究人员主要想确定在打开解压文件时会在%TEMP%/%RARTMPDIR%文件夹中创建什么文件。在原始的zip文件中，只会创建image.jpg文件。在恶意文件zip文件中，其中的文件夹内容也会被提取。 图5. 不同zip文件解压比较 也就是说，攻击发生在WinRAR尝试打开用户想要访问的文件时。ShellExecute函数接收到了打开文件的错误参数。图像文件名与搜索不匹配，引发其被跳过。然后就发现了批处理文件，并执行。 图6 漏洞复现 8月15日该漏洞被分配了CVE编号，但该漏洞从2023年4月开始就被在野利用。研究人员建议WinRAR用户更新到最新的v 6.23版本。 参考及来源：https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/...

网络安全风险管理是指识别、评估企业网络信息系统中的缺陷和风险隐患，并采取相应的安全控制以防止网络威胁，这是一个持续的过程，会随着威胁的发展而不断优化调整。网络安全风险管理和网络安全防护是两个密切相关但不可互换的概念，网络安全防护侧重于应对攻击和响应正在发生的安全事件，而网络安全风险管理则强调从更全面的视角去评估企业的安全状况和面临的威胁态势，要从对组织运营、商誉、财务和合规等多个方面整体应对各种可能发生的网络威胁。 因此，当企业组织开展网络安全风险管理时没有捷径可走，安全团队需要全面考虑各个方面的风险因素。本文梳理了可以有效落地网络安全风险管理流程的10个关键要素，将帮助企业更好开展相关工作。 1、从业务发展的角度识别风险 企业的安全团队应该准确理解，开展网络安全风险管理是为了更好地实现业务发展目标，因此网络安全风险管理的基础要求是要从业务发展的角度识别风险，了解当前网络安全风险的业务环境。从业务发展视角识别现有的安全风险和潜在的安全威胁至关重要，这将决定后续的风险管理工作中需要做多少，以及需要保护的重点是什么。   </p> 2、网络安全风险评估   </p> 网络安全风险评估是指企业根据其关键业务发展目标，量化不同网络风险的潜在影响以及发生的可能性。通过风险评估，企业管理者和安全团队可以更加合理地分配防护资源，聚焦于关键性风险，以最具性价比的方式将风险控制在企业可以接受的范围内。网络安全风险评估可以借助FAIR等风险量化模型来实现，主要步骤包括风险范围界定、风险识别、风险分析、风险评估和记录报告等。   </p> 3、定义组织的风险承受能力   </p> 除了网络安全风险评估，安全团队还必须确定组织的网络安全风险承受能力。当不影响业务发展的时候，企业组织可以接受和承担一定程度的网络安全风险。如果经过量化评估的网络安全风险在可承受的范围内，企业的管理者就可以在一定时期内接受该风险，而将注意力和防护资源投入到更需要重视的高优先级风险中。需要强调的是，企业在定义网络安全风险承受能力的时候，应该与组织的整体业务发展目标保持一致。   </p> 4、制定风险化解策略   </p> 有许多途径、方法和工具可用于帮助企业管理和缓解网络安全风险，但没有一种策略能够适合所有企业，也没有一种安全工具可以解决所有的问题。企业应该根据已识别风险的关键特征，制定适合自己的风险化解策略，这些策略可能包括实施技术控制措施、流程改进和安全培训计划等。同时，安全团队应该利用先进的安全技术工具，向企业管理层表明降低风险的必要性和价值，并确定风险缓解措施的优先级。   </p> 5、制定事件响应计划   </p> 没有绝对的安全，因此企业不能在网络安全事件发生时才被动响应，而是要提前制定安全事件响应的策略和计划，尽量减少攻击事件造成的影响。在此计划中，组织应该明确界定事件响应团队成员的角色和职责，并定期进行演练和演习，测试计划的有效性，并对过程中所发现的不足进行完善。   </p> 6. 模拟测试和演练   </p> 实战化背景下的模拟测试可以更快速了解企业在网络防御方面的不足，同时梳理企业的IT资产、寻找漏洞和攻击路径，以便更好地修复或应对风险。此外，定期开展测试演练，作用不仅仅在于发现安全问题，对系统开发人员深入了解计算机系统也会大有帮助。通过了解为企业效力的“坏人”的想法，有助于防止一些灾难性的网络安全事件发生，降低企业业务发展风险。   </p> 7. 持续风险监控   </p> 网络安全风险管理是一个整体性工作，也是一个持续的流程。实现持续地网络安全风险监控对于发现新的威胁和漏洞至关重要。企业应该积极利用自动化技术，将其量化预警信息或风险暴露状况统一整合起来，提升企业预测潜在风险的能力。实现控制环境与未知风险之间的协同，是开展网络安全风险管理的核心关注点之一。   </p> 8. 员工安全意识培养   </p> 尽管存在种种技术漏洞，但人依然是网络安全中最薄弱的环节。企业可以限制用户对某些系统和数据的访问，却难以阻止员工可能会犯的每个人为性错误。因此，持续的员工网络安全意识培训是减小数字攻击面最重要的安全控制之一。现代企业中的每一位员工都应该定期接受网络安全意识培训，以识别网络钓鱼等攻击企图，了解哪些数据很敏感，了解潜在的风险和漏洞，并了解如何遵循确保敏感数据安全的最佳实践。尽管人为性错误难以避免，但能通过适当的教育和培训，可以大大降低导致数据泄露危害发生的可能性。   </p> 9. 供应商和第三方风险管理   </p> 随着软件供应链攻击的不断加剧，企业网络安全风险管理不仅需要包括组织内部的管理，还需要定期评估第三方供应商和合作伙伴的安全风险。因为，今天的企业组织大量依赖于第三方生态来共同构建产品，并完成对用户的服务交付，创建一个有效的TPRM计划对于组织评估潜在的安全风险，管理不断增长的数字攻击面至关重要。   </p> 10. 面对管理层的汇报与沟通   </p> 网络安全风险管理已经成为企业数字化发展中的核心职能，董事会和管理层对这项工作的关注和审查力度也大大增加。高层领导想知道威胁发生的情况、投入资金的方向以及如何继续改进和发展。因此，安全领导者需要能够清楚地阐述与业务目标紧密相关的网络安全风险管理计划，避免使用技术术语。此外，要让所有利益相关者都可以及时了解组织在网络安全方面的计划和变动，安全领导者应该基于最新的风险信息编制完整的风险管理态势报告。  ...

近日，纽约大学和鲁汶大学的研究人员发现大多数VPN产品中都存在长达二十多年的多个漏洞，攻击者可利用这些漏洞读取用户流量、窃取用户信息，甚至攻击用户设备。 “我们的攻击所需的计算资源并不昂贵，这意味着任何具有适当网络访问权限的人都可以实施这些攻击，且不受VPN安全协议限制。换而言之，无论VPN使用何种安全协议，所发现的漏洞都可能被滥用。即使是声称使用“军用级加密”或使用自行开发的加密协议的VPN（包括微软和苹果操作系统的内置VPN）也可能受到攻击。”纽约大学的Nian Xu声称： “即使受害者使用了HTTPS加密，我们的攻击也会泄露用户正在访问哪些网站，这可能会带来重大的隐私风险。” 四大数据泄露漏洞危及全球VPN客户端 研究者发现的四个普遍存在的VPN漏洞的CVE编号分别是：CVE-2023-36672、CVE-2023-35838、CVE-2023-36673和CVE-2023-36671。 CVE-2023-36672：LocalNet攻击导致明文流量泄漏。参考CVSS分数为6.8。 CVE-2023-35838：LocalNet攻击导致流量阻塞。参考CVSS分数为3.1。 CVE-2023-36673：ServerIP攻击与DNS欺骗相结合，可以将流量泄漏到任意IP地址。参考CVSS分数为7.4。 CVE-2023-36671：ServerIP攻击，只有VPN服务器真实IP地址的流量才会被泄露。参考CVSS分数为3.1。 第一对漏洞可在LocalNet攻击中被利用，即当用户连接到攻击者设置的Wi-Fi或以太网时（下图）： LocalNet攻击示意图 后一对漏洞可被攻击者或恶意互联网服务提供商(ISP)所利用，通过不受信任的Wi-Fi/以太网发动ServerIP攻击。 ServerIP攻击示意图 研究人员表示：“这两种攻击都会操纵受害者的路由表，诱骗受害者将流量发送到受保护的VPN隧道之外，从而使对手能够读取和拦截传输的流量。” 除了数据泄露，此类攻击还产生另外一个风险：VPN通常用于保护较旧或不安全的协议，VPN防护失效意味着攻击者随后可以攻击较旧或不安全的协议，例如RDP、POP、FTP、telnet等。 研究者公布了多种攻击的视频演示 （https://www.**屏蔽敏感词**/watch?v=vOawEz39yNY&t=52s），还发布了可用于检查VPN客户端是否易受攻击的脚本（https://github.com/vanhoefm/vpnleaks）。 研究人员补充说：“一旦足够多的VPN设备修补了有关漏洞，如果有必要和/或有益，攻击脚本也将被公开发布。” 苹果设备VPN客户端几乎“全军覆没” 在测试了许多消费者和企业级VPN解决方案后，研究人员发现苹果设备上的VPN客户端几乎全军覆没（无论是Mac电脑、iPhone或iPad），Windows和Linux设备的VPN也很容易受到上述一种或两种攻击。在Android设备上，只有四分之一左右的VPN应用程序容易受到攻击——这可能与Android“精心设计”的API有关。 如上图所示，大多数Windows、macOS和iOS的内置VPN客户端都容易受到攻击，超过三分之一的Linux上的VPN客户端也是如此。 研究人员表示，他们并不知道这些漏洞是否在野外被利用，如果有的话，也很难发现。 据悉，研究人员已经向一些VPN供应商通报了他们发现的漏洞，其中一些供应商已经修复了漏洞，但却没有在更新说明中提及（以遵守研究人员在其研究发表之前的保密要求）。 研究人员在论文的末尾提供了各种设备上经过测试的VPN应用程序的完整列表，可供用户检查自己的VPN应用/客户端是否容易受到攻击。 缓解建议 研究人员指出：“一些VPN产品已经修复漏洞，包括Mozilla VPN、Surfshark、Malwarebytes、Windscribe（可以导入OpenVPN配置文件）和Cloudflare的WARP。” 思科已确认其适用于Linux、macOS和Windows的思科安全客户端和AnyConnect安全移动客户端容易受到CVE-2023-36672的影响，但仅限于特定的非默认配置。Mulvad则表示只有其iOS应用程序容易受到LocalNet攻击。 如果用户的VPN安全更新不可用，研究人员给出的建议是通过禁用本地网络访问来缓解LocalNet攻击。用户还可以通过确保网站使用HTTPS来缓解攻击，现在大多数网站都支持HTTPS。...

我跟骗子是咋认识的？wb上私信我聊天聊起来的，我本着多认识一个网友的想法，也没有往网恋的方向上去思考。 后这个骗子隔三差五的乱表白，乱“发情”。我回复的也很冷淡，我也想知道他到底想干嘛，断断续续的聊天。 骗子说他在广州做IT，公司是维护线上彩票啊，dubo网站的，说都是维护正规网站的。我也没多在意。 过几天骗子说公司派他去澳门出差，澳门duchang出现了问题要去维护。第二天晚上他就进入正题了，说发现一组数据是开奖号码，让我帮他下注赚钱。 我就帮他玩了几次，当时他账户里的钱从10w变成了28w，然后提现了，我也没有在意。只是觉得emmm真厉害呢……   </p>   </p> 第三天晚上，这位兄弟又让我帮他玩，我当时人在外面洗脚按摩，就没帮他玩。第四天白天的时候，帮他玩了下。 我对这个本身心有存疑，也偷偷注册了一个号，充值了1500，然后他说什么我也跟着下什么，第二把结束以后骗子可能察觉到了，换了高级厅（要10w+本金才能进的厅）。 我这个本金1500的小菜鸡就没法跟着玩了，然后我把偷偷注册的账号里的钱（共赢了两千多一共4k+）全提取出来了，两小时内到账。然后我就觉得，哇这个赚钱的诶！ 晚上骗子说让我也注册一个要带我理财，我再三推脱，我充了4k，然后骗子还不高兴了，说我没出息没志气？？？ 我本来不想充值，然后他说他会帮我一部分，我在想骗子的话也不至于用他的钱帮我吧……然后我就又充了1w，现在里面是1.4w 然后骗子给我充值了4w。   </p> 这个时候我还没有意识到这个是骗局，脑子里就在想怎么把剩下的4.6w搞定，然后开始第一次微粒贷的借贷…骗子这时候还在那边很笃定和我说不会骗我。   </p> 次日醒来，我从拍拍贷、分期乐借了3w出来（因为微粒贷电话我没接到没贷款成功）将3w充值进账号，骗子又帮我充值1.6w，网站本金达到10w了。（迄今我投进去4.4w） 然后下午骗子就带我开始运作了，他说买什么我就跟着买什么，中途骗子让我去问客服有什么活动。   </p> 骗子让我账户预约一个青铜会员，需要往里面充20w。我没有这么多钱，骗子安慰我说这个20w会帮我达成，我这边达成以后再帮他达成。这时候我心一落地说没问题…   </p>   </p> 玩了几把以后，我的账户金额从10w变成了48w，我也瞬间兴奋了！ 骗子和我说一起想办法解决这个20w。我重新点击微粒贷把微粒贷的3.4w借出来充值进去了，还差16.6w。这时候我已经放下戒心和骗子开始聊天了……   </p>   </p> 骗子之前一直不和我用微信聊天，一直用微博聊天，我还一直问，现在看来他给的解释很牵强，但是当时我竟然还相信了…   </p>   </p> 我还在那边做梦…和骗子在那边算账…我可真的是太愚蠢了……   </p>   </p>   </p> 他说次日他会帮忙给我的账户充值16.6w。次日下午的时候，他说他朋友那边暂时只有7w，先充值进去，还差9.6w。再晚一点他又找了2w充值进去，这样就还差7.6w。这时候骗子开始引诱我再次去借贷。   </p>   </p>   </p> 我还傻乎乎的和他说，我发现我的招商公积金贷能贷款15.2w……然后骗子可能激动了，让我借钱出来，而且开始激将法了。   </p> 然后招商贷钱到账以后我立马充值进去，然后很兴奋的进行提现动作，提现两次均失败。我问客服。骗子开始了下一步套路。   </p>   </p>   </p> 这个时候，我还没有反应过来这是骗局！！！还在那边担心，啊钱怎么还不回来…然后我把招商贷剩下的也贷出来了……   </p> 这个时候我投入进去已经23w了… 基本上都是贷款来的… 我也真的是很愚蠢！！！为什么这么大胆！！！！我傻乎乎的把7.2w都交了进去了…… 到了傍晚，骗子又开始他的套路，然后我再次去点击那些贷款。   </p>   </p> 我又从农商的公积金贷款贷了7w……把剩下的六万多解冻金交掉了…… 这个时候银行已经给我打电话了，问我是不是遭遇了电信诈骗。但是我还是没有起疑心，还傻乎乎的和他说了这个事情…   </p> 这个时候的我已经负债30w了… 客服说要等到次日才能解冻，这个时候我还在做着美梦，想着钱到账了我要怎么孝敬父母…   </p> 等到次日10点，我兴冲冲去提现，又提现失败骗子还在那边假意安慰我…这个时候又出来一个保卡费…还要8w多。   </p>   </p>    </p> 骗子又开始稳住我，说一起想办法。   </p>   </p> 我只剩最后的希望了，我把我最后的积蓄基金大概四万多取出来，让骗子再去借4w多，把这个保卡费交了。 我一直在和骗子保持联系，这个时候骗子的态度没有之前的好了，可能是知道利用价值快没有了… 然后骗子为了稳住我，说最后四万他来想办法。   </p>   </p>   </p>   </p>   </p> 这个时候警察叔叔也给我打电话了！！！但是我还是没有相信警察叔叔…我的天我实在太蠢了。   </p>   </p> 因为有一个基金我看错到账时间了要晚一两天才到账，但是这个保卡费要在8号交。正好8号我工资到账，我脑子也蠢，凑上工资刚好4.2w就又汇款了…   </p> 这个时候 这个骗子又开始套路了   </p>   </p>   </p>   </p>   </p> 这个时候，骗子已经开始态度转变，开始反咬一口了。   </p>   </p> 然后骗子开始了拖拉战术…   </p>    </p> 我当时真的很生气，然后我后来自己去京东白条和花呗套现，搞出了4w交进去。当时我自私的想法是钱拿出来我不给这个男的了。 事情发展越来越严重，我这个账户里的钱已经到了86w，下分的时候又失败。客服和我说让我提供几个朋友的卡号，分批下款，不然一下子八十多万下款账户会被冻结，然后我找了朋友的账户给客服了。 客服说我还要交四万多的给银行的“打点费”。我找朋友借了6w，又tm给客服转了。 这个时候我负债40+w了。 我兴冲冲的第二天问客服，客服又说这个下款被银行驳回，现在需要现金交接给我，公司派出三个代表来和我现金交接，我要交给他们6w出行费… 我找朋友东拼西凑又给他凑齐了…… 这时候负债46w+。 又过了24小时，客服和我说这几个人被扣在海关那边了，需要3w的关口费，我又去凑钱… 49w负债了… 又过了24小时，客服又和我说钱被海关扣了，需要我缴纳20%个人所得税，考虑到我特殊情况，公司帮我承担一半我自己交一半，也就是我交8w多。 我又找朋友借了6w，凑齐了八万多给客服。期待着第二天醒来现金到我手里。 到这个时候我负债55w+。   </p> 钱交完我总不安心，还在那边和骗子交流。   </p>   </p> 果然第二天又出现问题了……   </p>   </p> 骗子开始说我不认真“审题”了开始怪我了。   </p> 然后开始不耐烦的语气说话了，应该是知道我没有钱了……   </p>   </p> 因为一直想这个事情，交不出后续的八万多“税款”。我一直担惊受怕的，得了支气管炎咳嗽的不停，我妈看见我脸色不太对，一直问我发生了什么事情。 我实在忍不住和我妈说了，我妈想了很久和我说这是个骗局。 当下我立马崩溃了，哭了两天最后决定去报警了……冷静下来了这几天我真的觉得自己很蠢，看着之前的聊天记录我都觉得有很多的破绽但是我一直没在意。 报完警之后我一直意难平，微博上发了几段话骂骗子，骗子依然当没事人一样，诈骗犯真的没有心！不得好死！！！！真的！！！ 因为自己家里单亲，我从小性子比较内向，也迫切想要自己能够独立。所以我这次也因为我的性格狠狠地吃了大亏。 是我的贪心毁了我，之前我也信誓旦旦觉得我遇到杀猪盘不会被骗。本来想着做美梦…24岁的我年纪轻轻就能拥有几十万的积蓄… 前两天真的崩溃到想离开这个世界。 我所有的压力，都是因为我太想要。所有的痛苦，都是因为太较真了。有些事不能尽你心意，就是提醒你该转弯了。如果事事都如意，那就不叫生活了 ——原谅我现在才懂得这句话。 想了很久还是把我的被骗经历发上来，给大家做个警示。报了警，警察说找回钱的希望很渺茫，又气又恨，就是难找回。所以现在电信诈骗可以这么猖狂。接下来开始慢慢还债了，为自己的错误买单。 这是我的错我也不会逃避。我从没想过能从网上找到恋爱对象，我只是想赚钱证明我自己。父母觉得我就是月光族的命运，我也很不甘，我想赚钱证明自己。是我太过于贪财害了自己。 家里人也商量了会帮我解决这次的贷款。我心里也记着，我接下来也会努力赚钱慢慢还给他们的。是的，我还年轻，我能够努力赚钱。 来源：全民防骗局   </p> 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文   END   </p>     </p>    ...

武汉地震监测中心被网攻“幕后黑手”已锁定，美国神秘侦察系统即将被曝光 《环球时报》记者14日获悉，针对武汉市应急管理局地震监测中心的网络攻击事件，国家计算机病毒应急处理中心和360公司组成的联合调查组已取得新进展，发现了符合美国情报机构特征的后门恶意软件。下一步有关机构将向外界公开披露美国政府一直处于高度保密的某全球侦察系统，其对我国和世界各国国家安全和世界的和平安全都构成严重安全威胁。 7月26日，武汉市应急管理局地震监测中心报警称，该中心发现部分地震速报数据前端台站采集点网络设备被植入后门程序，此事引起外界广泛关注。国家计算机病毒应急处理中心和360公司随即组成联合调查组赴武汉调查取证。国家计算机病毒应急处理中心高级工程师杜振华对《环球时报》记者表示，目前，联合调查组已经在受害单位的网络中发现了技术非常复杂的后门恶意软件，符合美国情报机构特征，具有很强的隐蔽性，并且通过恶意软件的功能和受影响的系统判断，攻击者的目的是窃取地震监测相关数据，而且具有明显的军事侦察目的。 杜振华 图源：环球时报-环球网 美国情报机构为什么锁定地震监测系统？ 地震之后，各国相关机构会对外公布发布震源位置、震级、深度等相关数据，作为一项民用基础设施，地震监测系统为什么会成为美国情报机构军事侦察的目标呢？杜振华介绍，我国是遭受地震灾害最为严重的国家之一，多次发生造成严重人员和财产损失的地震灾害。“因此我国高度重视地震监测和地震预警工作，为了提高地质灾害的监测预警能力，地震监测数据并不限于震级震源等基本信息，还包括地表变形监测数据、水文监测数据等丰富的地理地质数据；这些数据同时也是具有很高价值的军事情报数据。因此，美国情报机构对地震监测中心的网络攻击是一次有计划有预谋的网络军事侦察行动。” 全国政协委员，安天集团董事长、首席技术架构师肖新光接受《环球时报》记者采访时进一步解释说，震源位置、震级、深度虽然是公开发布的信息，但这是基于多传感器的一个感知计算结果，“这些传感器所感知采集的综合震动声波数据，尤其是次声波数据，对研判地质地形、分析武器系统试验、核试验等均有重要情报价值。” 而且这只是美将网络目标对准地震监测等系统的原因之一，肖新光还分析说，当前这部分信息获取只是相关行为体已被曝光出来的行为活动，还有很多针对其他领域的信息窃取尚未浮出水面。凭借其本身对全球的综合探测能力，加之多方位的入侵窃取和其它综合手段运用，获取我方各种各类遥测数据，再综合其他多源辅助数据，就形成了对我方经济社会运行甚至军事行动的分析、研判、归因、定位等能力。 若攻击者篡改地震监测数据触发误报警，或导致社会恐慌 专家们认为，针对包括地震监测系统在内的民用基础设施遭受到网络攻击也一样会导致非常严重的后果。 杜振华举例说，如果此次攻击者对地震监测系统进行了恶意破坏，当地震发生时，系统就无法有效提供准确数据，影响地震预警和灾害评估工作，进而导致更加严重的人员财产损失，“更加危险的是，如果攻击者篡改地震监测数据，触发误报警，可能导致社会恐慌和秩序混乱，造成无辜群众伤亡。” 肖新光也表示，遥感遥测体系和数据是必须重点保护的国家战略资源。这些数据能从宏观到微观展示我国经济社会的基本运行，是综合决策、应急响应的综合支撑，是国土安全和国家安全的支撑资源。” 肖新光 图源：环球时报-环球网 “美方情报机构不仅针对各种信号情报进行主动采集，也长期以来通过多种方式获取他国地形、地质、地球物理、气象、水文等综合地球系统科学遥感遥测数据作为战略情报，获取手段包括通过盟友情报机制共享，胁迫高科技公司提供，以及利用学术、科研活动套取等。”肖新光表示，此次武汉监测站事件的发现不是偶然的，由此可以判断，网络攻击入侵窃取已成为美方获取他国遥感遥测数据的最低成本途径。美方建设了一系列信号情报采集分析处理系统，如针对电磁信号监听获取的“梯队”项目、针对电信运营商的“主干道”项目、针对美大型IT和互联网厂商的超级访问接口“棱镜”项目等。 肖新光还透露，“我们会同有关部门经过多年持续跟踪，近期将对美国政府的某全球侦察系统进行公开披露，它对我国和世界各国的国家安全和世界的和平安全都构成了严重安全威胁，对此，必须高度警惕、严密防范。” 美对民用设施发动网络攻击违反国际法 事实上，在“棱镜门”、“影子经纪人”和“维基解密”等事件中曝光的美国国家安全局（NSA）、中央情报局（CIA）大量内部文件表明，美国作为名副其实的“黑客帝国”“窃密帝国”，其网络情报收集活动的目标是“无差别”的（包括其盟友），全球范围内的民事机构和个人都是其网络攻击的对象，充分暴露了美国在人权问题上的双重标准和虚伪面孔。 杜振华进一步表示，美国军事情报机构利用自身信息技术优势针对民用基础设施发动网络攻击是明显违反国际法的犯罪行为，严重侵害了我国国家安全和社会公共利益。“事实上，长期以来，美国对我国关键信息基础设施的网络攻击是全方位的，政府机构、高校、科研单位、大型企业都是其网络间谍活动的目标。美国妄图通过这种不正当的手段，全面窃取我国政治、经济、军事、外交等敏感情报，以遏制我国的发展进步，维持美国的世界霸权。” 长期从事计算机病毒防治技术研究工作和应急处置工作的专家杜振华建议，一旦我国关键信息基础设施遭受到有国家背景的网络攻击，相关单位必须第一时间向主管部门报告遭网络攻击情况；严格依据《网络关键设备和网络安全专用产品目录》开展网络安全能力建设；加强供应链安全管理，提高自主可控能力；定期开展网络安全演练，提高应急处置和恢复能力。 肖新光认为，中国网络安全整体产业体系虽然目前市场规模依然较小，但整体上从加密认证、威胁检测防护、系统防护、流量安全等基础能力频谱上来看，技术门类齐全，没有明显短板，“在与威胁的持续对抗，特别是发现、分析、曝光包括美方在内的高级持续性网络攻击方面，中国多家优秀的网络安全企业已经展示了自身的能力，成为了保障国家安全、捍卫网络空间命运共同体安全的产业支撑力量。” 他还表示，在网络安全能力上中国没有必要妄自菲薄，我们可以建立更具备进取性的目标，成为国家治理体系中的能力长板，成为相较于主要地缘竞合方的能力优势，在应对霸权国家综合打压，甚至面临高烈度安全冲突过程中不会成为重大制约和风险软肋，“我们可以通过强化网络安全的公共服务属性建设，通过加强对共性安全能力、弹性机制和网络安全基础设施的建设，达成网络安全风险整体基本可控、增量收敛的目标状态。” 此前报道：武汉地震监测中心遭网络攻击！黑手疑来自美国 来源：环球时报-环球网特约记者 袁宏 ～!    ↓ ...

人们普遍认为macOS比Windows更安全，于是乎很多中小企业就利用macOS来追求安全性，但对于完全依赖macOS来保证安全的中小型企业来说，这是非常危险的。比如，用户将找不到macOS中内置的类似Defender的安全中心。 在这篇文章中，我们将从三方面介绍macOS安全性，这对于目前没有在macOS设备上部署额外终端保护的企业来说是至关重要的。 苹果的平台安全策略 苹果关于在macOS上防范恶意软件介绍的最近一次更新是在2022年5月，最新公开文件指出，其恶意软件防御分为三方面： 防止恶意软件启动或执行：App Store或Gatekeeper与Notarisation的结合； 阻止恶意软件在客户系统上运行：Gatekeeper、Notarisation和XProtect； 修复已执行的恶意软件：XProtect，macOS 内建了称为 XProtect 的防病毒技术，可基于签名检测和移除恶意软件。系统使用由 Apple 定期更新的 YARA 签名，YARA 是一款用来基于签名检测恶意软件的工具。你可以认为它是 macOS 系统中的“Defender”。 不过这些技术的透明性和可做作性都不是太好，例如，不可能允许或排除用户或设备之间的特定应用程序或代码。在单个设备上，用户可以制定非常广泛的系统策略决策，例如允许或拒绝来自App Store外部的所有应用程序，但即便如此，除非系统由移动设备管理平台(MDM)解决方案管理，否则本地用户在没有管理员权限的情况下也可以覆盖该策略。 从企业安全的角度来看，更令人担忧的是，几乎看不到哪些代码被阻止，何时以及为什么被阻止，也不清楚这些扫描是何时执行的，也不知道它们的有效性。另外就是恶意软件修复会在后台悄无声息地发生，而不会向用户发出提示或警告。在企业环境中，这些远远不够的，因为安全维护人员无法掌握信息。如果要充分保护企业，安全团队需要了解恶意软件是何时出现在系统的，存在了多长时间以及恶意软件的攻击源在哪里等。 1. XProtect签名经常会忽略一些最新的恶意软件 根据苹果的说法，macOS内置了名为XProtect的防病毒技术，用于基于签名的恶意软件检测和删除。该系统使用YARA签名，这是一种用于进行基于签名的恶意软件检测的工具，苹果会定期更新。 苹果XProtect的最后一次更新，包含这些YARA签名的bundle是在6月29日开发的，但根据设备的位置，更新可能要几天后才能发布。 不幸的是，这次更新没有包括对文件签名的任何更改，苹果称这些更改增强了XProtect的阻止能力。YARA文件具有与去年2月更新的版本2166相同的哈希。 如果从版本号来看，在过去的12个月里，XProtect的YARA规则应该有7次更新，但实际上在网络安全公司SentinelOne的测试设备中只观察到3次。此外，去年11月发布的2165版本与最近发布的版本之间的区别仅仅是增加了针对两个恶意软件家族的规则：一个针对Keysteal，2019年2月7日。德国安全研究人员 Linus Henze 发现了 macOS 零日漏洞,名为“KeySteal”,它可以用来获取 Mac 用户在钥匙串访问应用中存储的所有敏感数据；另两个是Honkbox。 由于在过去的几个月里，SentinelOne和许多其他供应商都报告了多种新的macOS恶意软件，因此完全依赖XProtect规则的用户和管理员应该提高防护意识。 2. XProtectRemediator会隐藏攻击痕迹 XProtect Remediator 是对现有 XProtect 系统工具的补充。去年九月，在 macOS 12.3 Monterey 发布前后，苹果悄悄为其 XProtect 服务推出了一种新的 XProtect Remediator 工具，该工具可在后台检查恶意软件。XProtect Remediator 会更频繁地查找恶意软件并在检测到恶意软件时对其进行修复。尽管苹果的主要恶意软件拦截工具缺乏更新，但其一直在定期地更新其MRT替代工具XProtectRemeditor。XProtectRemeditor每天每隔6小时运行一次，查找已知恶意软件家族。 对于信息窃取者来说，6个小时的时间太长了，尤其是他们只需要几秒钟就可以完成工作。会话cookie是攻击者进一步潜入组织的主要目标，并将单个Mac的攻击转化为严重的漏洞，例如最近在CircleCI发生的情况。CircleCI是一个非常流行的CI/CD持续集成开发平台，号称向超过一百万软件工程师用户提供“快速可靠的”开发服务。 如上所述，macOS上没有用户界面来让用户了解哪些恶意软件已被修复，何时以及如何被引入系统。然而，从macOS Ventura开始，没有第三方可见性工具的系统管理员可以尝试利用macOS 13引入的eslogger工具。Apple 并不经常为我们提供专门针对安全性的新工具，但 ESLogger 看起来对安全从业人员、恶意软件分析师和威胁检测工程师来说可能非常有用。根据发布的该工具的手册页，ESLogger 与 Endpoint Security 框架共同记录 ES 事件，这些事件可以输出到文件、标准输出或统一的日志系统。Apple 还通过向 ES 框架添加更多 NOTIFY 事件来重申其对第三方安全产品的承诺，并且 ESLogger 支持现在在 macOS Ventura 中可用的所有 80 个 NOTIFY 事件。ESLogger 为研究人员提供了对安全相关事件的急需且方便的可见性，而无需部署完整的 ES 客户端。 不幸的是，eslogger并没有考虑到企业规模。这将需要一些基础设施和外部工具，以便将整个检测结果带入一个可以监控和挖掘数据的中央数据库。在这两种情况下，除非安全团队积极主动，否则苹果的XProtectRemediator将会在发现恶意软件时悄悄地将其删除，而不会提醒用户或管理员曾经发生过攻击。类似地，该工具既不会警告也不会记录可疑恶意活动，因为它没有明确地编程工具来检测。 对企业和苹果来说，依靠这种补救方式来提高自身安全是一种高风险的策略。在这种情况下，误报的风险可能会对用户和企业造成严重伤害，所以苹果很可能在检测和默默删除方面设计了非常保守的工具。 对于企业来说，无法接收警报和难以检查日志意味着，XProtectRemeditor几乎不可能发现遗漏的感染，也不可能追踪其删除的感染的根本原因，也不太可能进一步调查事件及其对组织的影响。 3.XProtectBehaviorService：隐藏检测活动 苹果公司最近增加了一项恶意软件检测技术，该技术尚未公开发布，名称为XProtectBehaviorService。 目前，该服务只是静默地记录违反某些预编程行为规则的应用程序的详细信息，这些规则目前在/usr/libexec/syspolicyd中定义。 这些规则(内部称为“堡垒规则”)在位于/var/protected/xprotect/ xpdb的隐藏sqlite数据库中记录违规行为。值得称赞的是，苹果正在记录对Slack和Teams等企业应用程序以及各种浏览器和聊天应用程序中数据的访问。然而，问题仍然存在，苹果打算为用户，特别是管理、IT和安全团队提供什么访问权限，以及在进一步操作过程中收集的信息。例如，这些日志最近被用于调查APT攻击，该攻击感染了四个macOS Ventura系统，XProtect既没有成功阻止该攻击，XProtectRemediator也没有将其删除。 尽管这些数据现在可以由事件响应人员找到，但收集这些数据并学习如何使用这些数据却落在了负责安全的人员的肩上。上述示例说明那些完全依赖苹果提供保护的It团队，必须主动分析他们的macOS设备，并挖掘苹果隐藏的日志和监测数据。 总结 如上所述，苹果在安全方面的做法与其他操作系统供应商不同，这本身并无好坏之分，重要的是管理员要清楚地知道他们的操作系统是如何处理安全事件的。一个好的、安静的系统并不一定意味着一个安全可靠的系统。 了解公司终端上发生的事情是保护设备的第一步，在macOS后端发生的与安全相关的事件比面上看到的要多得多。...