2021年最具影响的安全话题

隆雪芬

不久前，有国外媒体精选出2021年最值得关注的热门话题，总结网络安全威胁发展态势。

2020年，新冠的爆发影响了各行各业的稳定運转，同时也催生出不少居家办公、以新冠疫情为核心的新需求，然而在2021年，全球用户的关注点发生了明显的转变。不安全的数据、代码托管库的恶意软件、关键性的零日漏洞利用和前所未见的勒索软件方案，这些话题成为读者最常阅读的新闻主题。这表明在新的工作方式趋于“常态化”后，外界更热衷于关注网络犯罪的创新。

不断泄露的数据

2021年的新闻头条被Log4Shell、殖民管道、卡塞亚、ProxyLogon/ProxyShell和SolarWinds等重大安全事件占据。除此之外，根据相关文章的流量数据，益博睿公司数据泄露事件也受到了广泛关注。

2021年4月，罗彻斯特理工学院大二学生Bill Demirkapi发现，在一个贷款人网站上，通过益博睿信用局API端口，几乎可以查询任何一个美国人的信用评分，访问没有受到丝毫限制。

该端口名为Experian Connect API，允许贷款人自动进行FICO分数查询。Demirkapi通过建立一个名为Bill’s Cool Credit Score Lookup Utility的命令行工具，即使在出生日期字段中用零代替，仍可以自动查询几乎所有人的信用分数。此外，通过该API端口，还可以获取益博睿用户更为详细的信用记录和信用预警，例如某用户消费金融账户过多等。益博睿公司表示已经解决了该问题，并否认了该问题将带来系统性威胁的可能。

无独有偶，LinkedIn数据在暗网上出售也成为2021年备受关注的数据泄露事件。

2021年4月和6月，LinkedIn相继发生数据泄露事件， 5亿LinkedIn会员受到影响。一个自称是GOD User TomLiner黑客在RaidForums上发布了一条包含7亿条LinkedIn账号待售记录的帖子。该条帖子包含100万条账号记录，证明系LinkedIn会员信息，经Privacy Sharks检测发现，泄露数据包括姓名、性别、电子邮件地址、电话号码和行业信息等内容。

截至目前仍然不清楚数据的具体来源，外界猜测相关数据可能源于公开资料的抓取。LinkedIn坚称数据库并没有被外来者入侵。

不过即便如此，LinkedIn用户数据泄露所其带来的安全影响也是巨大的，因为这些缓存记录可被不法分子用来暴力破解账户密码、电子邮件，从而实施电话诈骗、网络钓鱼、身份盗窃等活动。更重要的是，这些数据可能形成一个社交工程的“金矿”，攻击者轻轻松松就通过访问该档案获取不少目标用户的个人信息，进而实施有针对性的诈骗。

关键零日漏洞

关键零日漏洞，这是一个永恒的话题，但2021年的恶性事件，要从Log4Shell说起。

Log4Shell漏洞是Java日志库Apache Log4j中的一个关键漏洞，允许未经身份验证的远程代码执行（RCE）和完全接管服务器，目前，该漏洞仍在野外被积极利用。

该漏洞（CVE-2021-44228）首次出现在Minecraft游戏网站后，Apache匆忙发布补丁，但在1～2天内，由于威胁者试图利用这个新漏洞，攻击逐渐变得猖獗起来。自此之后，关于额外的利用载体、第二个漏洞、攻击之凶猛及波及面的扩大新闻，就霸占了12月的全部头条。

NSO公司针对Apple的“零点击”攻击事件

9月，研究人员发现了一个被称为ForcedEntry be的零点击漏洞，苹果包括iPhone，iPad、Mac，Apple Watch在内的所有产品均受到影响。结果显示，该漏洞被NSO公司利用来安装臭名昭著的Pegasus间谍软件。

虽然苹果公司推出了紧急修复程序，但Citizen Lab已经观察到NSO公司通过iMessage渠道实施了非法监控活动，而其中所利用的正是该漏洞。

Palo Alto安全设备中的巨大零日漏洞

来自Randori的研究人员开发了一个有效的利用程序，通过关键漏洞CVE 2021-3064在Palo Alto Networks的GlobalProtect防火墙上获得远程代码执行（RCE）。Randori研究人员表示，如果攻击者成功利用该漏洞，他们可以获得目标系统的Shell，访问敏感配置数据，提取凭据等。“一旦攻击者控制了防火墙，他们就可以访问内网，并继续横向移动。”值得庆幸的是，Palo Alto Networks在信息披露当天修补了该漏洞。

谷歌内存零日漏洞

2021年3月，谷歌急忙修复Chrome浏览器中的一个受到主动攻击的漏洞。该漏洞是一个释放后使用漏洞，允许远程攻击者利用漏洞构建恶意WEB页，诱使用户解析，可使应用程序崩溃或执行任意代码。

“通过说服受害者访问特制网站，远程攻击者可以利用此漏洞执行任意代码或在系统上造成拒绝服务条件，”IBM X-Force对该漏洞报告写道。

戴尔内核权限漏洞

不久前，研究者在部分戴尔个人电脑、平板电脑和笔记本电脑中发现了5个隐藏了12年的严重安全漏洞，这些产品均在2009年前后销往市场。根据SentinelLabs的说法，这些安全漏洞可以绕过防火墙或其他安全防护产品的保护，在目标设备商执行代码，并通过局域网或是互联网向其他设备进行横向移动渗透。

研究人员说，这些漏洞隐藏在戴尔的固件更新驱动程序中，可能影响到数亿台戴尔电脑设备。自2009年以来，戴尔固件更新驱动程序版本2.3（dbutil_2_3.sys）模块中存在多个本地权限提升（LPE）漏洞。驱动程序组件通过戴尔BIOS实用程序处理戴尔固件更新，将漏洞“预先安装”在大多数运行Windows系统的戴尔机器上。

软件供应链和代码库危机

软件供应链以开源代码存储库为基础，开发人员可以在集中位置上传软件包，供开发人员在构建各种应用程序、服務和其他项目时使用。它们包括GitHub，以及更专业的存储库，如Java的Node.js包管理器（npm）代码存储库、Ruby编程语言的RubyGems、Python包索引（PyPI）等。

这些软件包管理器在提供便利的同时，也成为了全新的供应链威胁，因为任何人都可以向它们上传代码，而这些代码又能在不知不觉中渗入各类应用程序中。

更为重要的是，一个单一的恶意软件包可以被植入加密矿工、信息窃取器等不同的项目中，并进一步感染，使修复过程变得极其复杂。

由于操作简单，危害性又极为严重，因此网络犯罪分子蜂拥而至。例如，12月在npm中发现了17个系列恶意包，它们都是针对虚拟会议平台Discord而构建的，目的是为了窃取Discord令牌，从而接管账户。

同样在当月，托管在PyPI代码存储库中的3个恶意软件包被发现，总共有超过12 000次下载，可能已经潜入各种应用程序的安装中。这些软件包包括一个用于在受害者设备建立后门的木马程序和2个信息窃取程序。

研究人员还发现，Maven Central生态系统中有17 000个未打补丁的Log4j Java包，使得Log4Shell漏洞利用带来的巨大供应链风险显而易见。谷歌安全团队表示，这可能需要数年的时间来修复整个生态系统。

狡猾的勒索软件变体

2021年，勒索软件为一种日益严重的威胁，此类网络犯罪的复杂性和创新水平不断提高。用来锁定文件的恶意软件，已不再是简单地在目标文件夹上加一个扩展名。关于勒索软件的变体及进展，主要有以下三大发现：

HelloKitty：以虚拟机为目标

2021年6月，研究人员首次公开了HelloKitty勒索软件团伙使用的一种Linux加密器。

HelloKitty是2月份攻击电子游戏开发商CD Projekt Red的幕后黑手，它开发了许多Linux ELF-64版本的勒索软件，用于攻击VMware ESXi服务器和运行在它们上面的虚拟机（VM）。

VMware ESXi（ESX），是一种裸机管理程序，可以轻松安装到服务器上，并将其分割为多个虚拟机系统。尽管这使得多个虚拟机共享相同的硬盘存储变得容易，但增加了系统遭受攻击的风险。由于多个虚拟机共用同一个储存系统，因此一旦数据被锁，攻击者就可以直接攻陷多个服务器系统。

MosesStaff：“失踪”的密钥

11月，一个名为MosesStaff的团体向以色列相关机构发起攻击，攻击最终使以色列网络系统陷入瘫痪。

与一般网络勒索案件不同的是，MosesStaff并不求财，它用尽手段加密网络和窃取信息，只是源于政治意图。该组织还在社交媒体上保持活跃，通过各种渠道发布煽动性的信息和视频，并让外界知道它的所作所为。

Epsilon Red以Exchange服务器为目标

6月份，研究员发现，某攻击者在一组PowerShell脚本的基础上部署了新的勒索软件，这些脚本是利用未打补丁的Exchange服务器的漏洞而开发的。

Epsilon Red勒索软件是在对美国一家酒店公司攻击时被发现的，其命名来自X战警漫威漫画中一个不起眼的敌人角色，一名有着4个机械触手的俄罗斯超级士兵。

研究人员表示，该勒索软件的入侵模式与一般勒索软件有所不同。虽然该恶意软件本身是一个用Go编程语言编程的64位Windows可执行程序，但其交付系统依赖于一系列PowerShell脚本。

游戏安全

连续两年，游戏安全成为关注的焦点，这可能是因为全球疫情流行推高了游戏需求，网络犯罪分子也瞄准该领域。在卡巴斯基最近的一项调查中，近61 %的人遇到过诸如ID盗窃、诈骗或游戏内贵重物品被盗的情况。下面概述了一些相关事件。

SteamHide风波

2021年6月，出现了名为SteamHide的恶意软件，利用游戏平台Steam的个人资料头像进行传播。

根据G Data公司的研究，恶意软件并不会直接感染Steam，而是将它作为传播渠道。SteamHide会通过电子邮件首次传播，随后快速感染目标设备上的Steam平台，存有恶意代码的图片会替换掉原有的Steam个人资料头像。当用户的好友访问到这张头像时，就会自动感染SteamHide。

事实上，隐写技术并不是什么新兴技术，只不过SteamHide能够想到利用隐写和Steam平台好友访问来实施网络犯罪，其创意还是让人为之震惊。

Twitch源代码泄露

2021年10月，一个匿名用户在4chan上发布了大小为125 GB的数据链接，其中包含Twitch的所有源代码，可以追溯到Twitch成立伊始的所有数据，包括用户评论、用户付费信息等。

攻击者声称洗劫了Twitch直播平台的一切，而Twitch则证实了这一事件的真实性。值得庆幸的是，攻击者并没有谋求钱财，发起攻击完全为了发泄对于Twitch规则的不满，攻击者希望能以此完善Twitch的用户规则。

窃取Steam的Discord骗局

11月，一种新的骗局开始在Discord上传播，网络犯罪分子可以通过它获取Steam帐户信息，并利用帐户中的有用数据实施诈骗。

以游戏玩家为目标的Discord骗局屡见不鲜，而它却玩出了新意。研究人员指出，新模式跨越了Discord和Stream游戏平台，骗子提供所谓的免费订阅Nitro（一种Discord插件，可以实现头像、自定义表情符号、个人资料徽章、更大的上传及服务器提升等），以换取两个账户的链接。

目标用户会在Discord上收到一条恶意链接，其中描述了不少好处，包括获得免费游戏或游戏道具，而用户需要做的只是“链接你的Steam賬户”。点击恶意链接会将用户带到一个虚假的Discord页面，上面有一个按钮，写着“获得Nitro”。一旦受害者点击该按钮，该网站似乎会提供一个与Steam页面类似的弹出式广告，但研究人员解释说，该广告仍是恶意网站的一部分。

该策略旨在欺骗用户认为他们被带到Steam平台，以输入他们的登录信息，实际上，骗子已经准备好接收你的账户数据了。

PlayStation3被Ban了

2021年6月，由于索尼疏于管理，一个包含所有Play Station3游戏机序列号的文件夹以明文的方式放在网上。这给不法分子提供了可乘之机，导致部分PlayStation 3玩家的主机直接被Ban，无法正常使用。

2021年4月中旬，一个名为The WizWiki的西班牙YouTuber发现，索尼在网上留下了一个包含所有PS3游戏机ID的文件夹，没有任何安全保障可言。而到了6月，PlayStation网络留言板上的玩家开始抱怨他们无法登录。

用户猜测，威胁者使用偷来的PS3游戏机ID进行恶意操作，导致合法玩家被禁。但索尼并未确认这二者之间存在必然的联系。

十二宫杀手密码终被破解

困扰美国警方半个多世纪的“十二宫杀手”密码，2020年12月被某数学家团队破解。

据报道，1960年代末和1970年代初，连环杀手在北加利福尼亚地区及其周边地区谋杀了至少5人。这位至今未具名的凶手向当地报纸媒体发送了4串加密信息，吹嘘自己的罪行并包含神秘的图标，这为他赢得了“黄道十二宫”的绰号。

第一串密码很快被破译，但以340字符命名的340 Cipher更难破译。澳大利亚数学家Sam Blake计算出650 000种解读方式。比利时一名仓库操作员Jarl Van Eycke编写了一个软件来破解密码。这一独特的密码破解方式有了回音，并且得到了FBI的官方确认。

虽然神秘的连环杀手的名字还不为人知，但这一突破代表着密码学和网络安全中访问控制和分割的胜利。