5月第2周業務風控關注 | 央行：嚴禁未經授權認可的APP接入徵信系統

05-15

易盾業務風控周報每周呈報值得關注的安全技術和事件，包括但不限於內容安全、移動安全、業務安全和網路安全，幫助企業提高警惕，規避這些似小實大、影響業務健康發展的安全風險。

1．央行：嚴禁未經授權認可的APP接入徵信系統

隨著個人徵信統一市場的建立，徵信信息安全納上日程。央行在近期發布的一份通知中要求，徵信運行機構和接入機構未經授權嚴禁查詢徵信報告，嚴禁未經授權認可的APP接入徵信系統。此外，要求成立徵信信息安全工作領導小組，明確領導層中分管徵信工作的負責人為第一責任人。

2．Synack 勒索軟體利用多種高級技術躲避檢測

近日，研究人員發現SynAck勒索軟體的最新變種利用多種新穎且複雜的技術躲避檢測。通常情況下，為了能夠在被感染系統中存在更長的時間，攻擊者通常會添加多種防禦技術來識別檢測工具的審查。SynAck 勒索軟體就部署了「常用技術」，並為新的變種添加了

ProcessDoppelg?nging代碼注入技術。這種技術最早出現在2017 Black Hat歐洲大會上，利用這種技術的攻擊方式對所有Windows平台都有效，而且能夠攻擊主流的安全產品。利用這項技術，SynAck勒索軟體能夠偽裝成存儲在磁碟上的合法程序，最終運行惡意代碼，且不會更改可能引發警報的文件。此外，SynAck 還使用混淆技術、常見識別技術，甚至還會測試目標系統的鍵盤語言設置，來躲避檢測。

3.網路安全公司發現門羅幣挖礦的新型病毒「Kitty」

近日，網路安全公司ImpervaIncapsula發現門羅幣（XMR）挖礦的新型病毒「Kitty」。據悉，該病毒利用的是Drupal 2018年3月8日發表的更新版本中的遠程執行代碼漏洞（CVE-2018-7600）。這種新型病毒從4月上旬被發現後便以各種形式進行攻擊。如果感染此病毒，其便會與伺服器綁定，開始啟動叫做「kkworker」的門羅幣挖礦程序。

4. 殭屍網路在設備重啟的情況下依然有效

安全研究人員發現了第一個能夠在設備重啟後駐足系統的物聯網殭屍病毒，它在攻擊系統後能夠保留在設備上。這是IoT殭屍病毒的重大改變，以往的病毒，設備使用者只需要重啟設備就可以移除那些病毒。重啟操作會刷新設備快閃記憶體，設備的所有工作數據也是保留在內存中的，包括那些病毒。但現在，Bitdefender的研究人員宣布他們發現了一種物聯網惡意軟體，在某些情況下會複製到/etc/init.d/，這個路徑被Linux系統用來放置守護程序腳本，通過把病毒置於其中，設備在重新啟動後會自動啟動惡意軟體的進程。

5．開發者誤讀晶元廠商調試文檔導致出現新內核漏洞

美國計算機安全應急響應中心(以下簡稱CERT)日前發布公告稱，Windows、macOS、Red Hat、Ubuntu、SUSE Linux、FreeBSD、VMware和Xen等系統都可能受到一個重大安全漏洞（CVE-2018-8897）的影響，這個漏洞是由於操作系統開發者曲解了英特爾和AMD兩大晶元廠商的調試文檔所致。

6. 高危漏洞可致海康威視攝像頭、DVR及賬戶被遠程劫持

海康威視又爆漏洞，這次的漏洞是http://hik-connect.com的身份認證安全問題。如果該漏洞被利用，攻擊者可訪問、操作並劫持其他用戶的設備。

該漏洞的發現者Stykas給海康威視DVR做固件更新時發現，Hik-connect雲服務可以不用路由器埠轉發就直接訪問攝像頭，且cookie值缺乏有效驗證。

7. 哥本哈根的共享單車系統Bycyklen遭到黑客攻擊

哥本哈根整個城市1,860部自行車無法在周五到周六期間無法使用。現在尚不清楚黑客身份以及具體哪個漏洞被利用，但是有跡象表明這名攻擊者對系統了如指掌。Bycyklen表示，黑客並沒有竊取數據，而是直接攻擊使得整個系統癱瘓。Bycyklen不得不手動升級修復城市裡每一輛自行車。Bycyklen同時申明自己並未儲存用戶的支付信息，而用戶的個人信息都被加密保存，即使自身員工也無法查看。儘管如此，Bycyklen依然督促用戶修改自己的密碼。

8. 手機APT攻擊興起

在上周拉斯維加斯舉行的InteropITX會議上，Lookout的安全副總裁Mike Murray認為現代手機已經成為了各種攻擊的入口。

Murray用Verizon最近的2018數據泄露報告引證，指出釣魚和簡訊詐騙已經成為社會工程攻擊的常用手段——而這兩種攻擊方式都能通過手機進行。Murray還特別指出兩大組織NSO Group和Dark Caracal專註於手機APT攻擊竊取信息。Murray表示，不同於電腦APT攻擊者在起初的時候技術尚不成熟，手機APT攻擊者可以通過從電腦端累積的經驗很快成為優秀的攻擊發起者，而防禦方需要以更快的速度來應對攻擊。