三月最新安全輿情：AMD被爆13個安全漏洞成熱點

來自專欄 騰訊安全聯合實驗室

導言：根據騰訊反病毒實驗室的後台統計，3月熱議話題分別是漏洞、有害樣本、勒索敲詐、攻擊事件、釣魚事件、挖礦木馬。其中漏洞安全、DDoS攻擊、數據泄漏、banker木馬、挖礦木馬較上月分別有不同程度的增幅，整體安全話題有些許上升。下圖為3月資訊分布情況。

三月出現的重大安全事件包括Github遭受大規模DDoS攻擊、AMD Ryzen和EPYC系列處理器爆出4類漏洞、劍橋分析公司私自收集Facebook用戶個人信息。其他常規的安全事件依然持續不斷。本文從漏洞安全、流行木馬、攻擊事件、挖礦事件、DDoS攻擊、垃圾郵件、數據泄露七個維度重點羅列本月的典型安全事件。下面分別從幾個佔比較大且有特點的安全類型展示本月熱點事件。

一、漏洞安全

系統漏洞、應用軟體漏洞被頻頻爆出，用戶需關注廠商及時發布的補丁，做好系統升級、軟體更新和安全檢測軟體的更新。本月熱門漏洞事件有以下三例：影響了AMD Ryzen和EPYC系列處理器的AMD四類漏洞、Vmware Workstation的Dos漏洞、Adobe ReaderDC任意代碼執行漏洞。

AMD已確認四類漏洞的有效性，並且影響了AMD Ryzen和EPYC系列處理器

3月12日，AMD已正式確認RyzenFall，MasterKey，Fallout和Chimera四類漏洞確實存在，這些漏洞波及EPYC、Ryzen產品。

其中，RyzenFall，MasterKey，Fallout是由於AMD架構整合的一個安全處理器和集成內存控制器設計的缺陷造成的，使用的是系統共享內存，而不是自己單獨的物理內存空間，導致攻擊者可繞過安全檢查、公共和私有密鑰泄露、以及打通虛擬機和主機；Chimera漏洞會影響管理處理器，內存和外設之間通信的AMD晶元組（主板組件），攻擊者可以執行代碼並將虛假信息傳遞給其他組件。

Vmware Workstation爆出Dos漏洞CVE-2018-6957

近日，VMware的工作站版本及Fusion產品爆出DoS漏洞CVE-2018-6957，大量的VNC連接會導致伺服器觸發一個異常，導致虛擬機關閉。攻擊者可以啟動VNC會話觸發此漏洞。

Adobe ReaderDC發現任意代碼執行漏洞

在Adobe Acrobat Reader DC 2018.009.20044中打開特製的PDF文檔時，嵌入在PDF文件中的特定Javascript腳本可能導致文檔ID欄位在無界複製操作中使用，從而導致基於堆棧的緩衝區溢出，棧溢出會導致一個稱為返回地址覆蓋的操作，這會導致任意代碼執行。若要利用此漏洞，目標需要打開惡意文件或訪問惡意網頁。

二、流行木馬

木馬技術隨著殺軟檢測手段的提升而不斷升級，變種的更新也越來越頻繁，這就要求用戶不但安裝殺毒軟體，還要關注殺軟更新、及時升級病毒庫，以達到對病毒的有效防範。本月爆出的新型木馬主要有兩類：FlawedAmmyy木馬——建立在合法軟體泄漏的代碼上，迷惑性更強；TrickBot木馬新增模塊。

木馬FlawedAmmyy使用合法軟體的泄露源代碼來窺視用戶

Ammyy Admin是一種流行的遠程桌面訪問工具，企業和用戶用它來處理Microsoft Windows機器上的遠程控制和診斷。但是，近期新發現的FlawedAmmyy木馬則是建立在Ammyy Admin第3版的泄漏源代碼之上，使攻擊者能夠偷偷窺探那些被安裝的軟體。該木馬能夠完成遠程桌面控制，為黑客提供對系統的完全訪問許可權，並有機會竊取文件，憑證等等。惡意軟體也有可能濫用音頻聊天。

TrickBot木馬獲取Screenlocker組件

TrickBot木馬通過下載各種不同的模塊來感染受害者，已知的模塊包括銀行木馬（瀏覽器注入器）、從受感染主機發送垃圾郵件、SMB自我複製蠕蟲等，近期在受害者機器上發現的TrickBot木馬新模塊——creenlocker，其作用為檢測受感染用戶若不是電子銀行用戶，則執行勒索行為。

三、攻擊事件

本月熱門攻擊事件包括印度電力公司和亞特蘭大分別遭受的勒索軟體攻擊、Hidden Cobra對土耳其金融機構進行的魚叉式攻擊。

黑客攻擊印度電力公司（UHBVN）

3月21日，黑客獲得了印度Uttar Haryana Bijli Vitran Nigam（UHBVN）電力公司的計算機系統訪問權，竊取了客戶的賬單數據。攻擊者要求支付1個RS Core，或1000萬盧比，用於恢複數據，這相當於大約15萬美元。據稱這些數據是通過從日誌和其他來源輸入來恢復的。這個賬單數據的丟失意味著電力公司將無法向其客戶發送準確的賬單以用於當前的消費以及之前欠缺的任何賬單。

亞特蘭大遭受勒索軟體的攻擊

近日亞特蘭大遭受了網路攻擊，造成若干計算機系統的中斷，導致網上支付賬單和一些執法數據無法使用。據攻擊者聲明，所攻擊的文件已經加密，需要一個密鑰才能重新獲得訪問許可權，並且要求使用比特幣支付贖金。

Hidden Cobra 攻擊土耳其金融機構

近期Hidden Cobra通過包含惡意Microsoft Word文檔的魚叉式電子郵件對土耳其金融機構進行攻擊，攻擊目標主要包括了政府控制的主要金融機構，以及另一個涉及金融和貿易的土耳其政府組織。所使用的惡意文檔包含了一個嵌入的Adobe Flash CVE-2018-4878漏洞利用程序，允許攻擊者執行任意植入代碼。

四、挖礦事件

數字加密貨幣不斷攀升的價格和不斷減少的數量，以及其交易的隱私性，導致挖礦木馬層出不窮，一般是利用系統或者應用軟體的未打補丁的漏洞進行最大限度的傳播。本月的熱門挖礦事件利用的均不是最新的漏洞，而是以前爆出的漏洞，但仍有企業或用戶未安裝補丁導致中招。

門羅幣挖礦木馬WannaMiner利用「永恆之藍」漏洞傳播

近期，WannaMiner門羅幣挖礦木馬利用「永恆之藍」漏洞進行傳播。該木馬將染毒機器構建成一個健壯的殭屍網路，其支持內網自更新，並且以一種相對低調的獲利方式「挖礦」來長期潛伏。儘管「永恆之藍」漏洞在2017年5月WannaCry事件爆發時，很多機器已經安裝了相應補丁，但仍有部分企業未安裝補丁或者部署防護類措施。由於其在內網傳播過程中通過SMB進行內核攻擊，可能造成企業內網大量機器出現藍屏現象。

利用CVE-2017-8464漏洞進行挖礦

lnk遠程代碼執行漏洞CVE-2017-8464可被用來攻擊基礎設施、存放關鍵資料的核心隔離系統等，對政企單位的內網安全有較大威脅。近日發現了利用此漏洞傳播門羅幣挖礦木馬的攻擊事件，攻擊者利用帶毒的U盤感染目標用戶機器，一旦用戶運行U盤，無需任何操作，電腦就會被不法分子遠程控制。並且，病毒樣本還會釋放CVE-2017-8464漏洞文件，繼續感染其它插入的可移動磁碟。

黑客利用舊漏洞將Linux伺服器變成加密貨幣礦工

黑客組織利用Cacti「Network Weathermap」插件中一個已有5年歷史的漏洞，在Linux伺服器上安裝了Monero礦工，賺了近75,000美元。該漏洞是Network Weathermap中的editor.php中的跨站腳本漏洞，允許遠程攻擊者通過map_title參數注入任意web腳本或HTML。

五、DDoS攻擊

memcached是一個免費且開源的高性能分散式內存緩存系統，旨在通過減輕資料庫負載來加速動態Web應用程序，近期攻擊者正在濫用memcached進行DDoS放大攻擊。攻擊者通過埠11211向目標伺服器發送欺騙受害者IP地址的請求，發送到伺服器的請求由幾個位元組組成，而響應可能會大幾萬倍，導致擴大攻擊。本月的熱門DDoS事件——github遭受最大的DDoS攻擊即是利用memcached進行的DDoS放大攻擊。

Github遭受最大的DDoS攻擊

近期，github遭受了迄今為止記錄的最大的DDoS攻擊，所遭受的攻擊的第一部分達到了1.35Tbps，之後又出現了另一個400Gbps的峰值。攻擊者通過公共互聯網發送小位元組的基於UDP的數據包請求到配置錯誤的memcached伺服器，作為回應，memcached伺服器通過向http://GitHub.com發送大量不成比例的響應，可達到15個位元組的請求來觸發134KB的響應，甚至更大數據量響應的效果，形成巨大規模的DDoS攻擊。

六、垃圾郵件

本月垃圾郵件熱門事件：Sanny信息竊取木馬變種針對政府機構分發惡意軟體。

Sanny信息竊取木馬變種針對政府機構分發惡意軟體

3月中下旬，攻擊者通過魚叉式網路釣魚攻擊將SANNY惡意軟體變種分發給全球多個政府。攻擊分多個階段進行，每個階段都從攻擊者的伺服器下載，SANNY變種還增加了命令行規避技術，感染運行Windows 10的系統的能力，以及使用最近的用戶帳戶控制（UAC）旁路技術。

七、數據泄露事件

本月熱門數據泄漏事件主要有以下2件：紐約一家醫院伺服器受攻擊導致約13.5公民的信息泄漏、劍橋分析公司私自收集超過5000萬Facebook用戶的個人資料。

紐約一家醫院伺服器受攻擊，約13.5萬公民個人信息遭泄漏

最近紐約州奧爾巴尼的一家醫院的伺服器被入侵，攻擊者在未經授權的情況下獲得了伺服器訪問許可權，伺服器發生了數據泄露，約13.5萬公民的信息，包括姓名、出生日期、地址、服務日期、診斷代碼、保險信息等個人信息遭到了泄漏。

劍橋分析公司私自收集超過5000萬Facebook用戶的個人資料

據外媒報道，新興的選民剖析公司劍橋分析公司從未獲得他們許可的超過5000萬用戶的Facebook個人資料中收集私人信息，這一違規行為使得該公司能夠利用美國選民的大量私人社交媒體活動開發相關技術，為2016年總統的競選活動提供支持。Facebook表示這是由於允許第三方開發者訪問用戶數據並盲目相信劍橋分析公司和其他參與數據收集公司所造成的，並承諾解決所有問題，以防止第三方開發者濫用Facebook的API。