安全快讯

网络安全研究人员披露了一种名为GoodWill的新型勒索软件，它迫使受害者为社会事业捐款，并向有需要的人提供经济援助。

CloudSEK 的研究人员在上周发布的一份报告中说： “勒索软件组织传播非常不寻常的要求以换取解密密钥。” “类似罗宾汉的组织声称有兴趣帮助不幸的人，而不是为了经济动机敲诈受害者。”该勒索软件以 .NET 编写，于 2022 年 3 月由这家位于印度的网络安全公司首次发现，感染导致敏感文件在不解密的情况下无法访问。该恶意软件使用AES 算法进行加密，还因休眠 722.45 秒以干扰动态分析而著称。

加密过程之后会显示一个多页的赎金记录，要求受害者进行三项社会驱动的活动才能获得解密工具包。

这包括向无家可归者捐赠新衣服和毯子，带任何五个贫困儿童去达美乐比萨店、必胜客或肯德基接受治​​疗，并为需要紧急医疗护理但没有经济能力的患者提供经济支持所以。

此外，受害者被要求以屏幕截图和自拍的形式记录活动，并将其作为证据发布在他们的社交媒体账户上。

研究人员说：“一旦完成所有三项活动，受害者还应该在社交媒体（Facebook 或 Instagram）上写下‘你如何通过成为名为 GoodWill 的勒索软件的受害者而将自己变成一个善良的人’的说明。”

没有已知的 GoodWill 受害者，他们用于促进攻击的确切策略、技术和程序 (TTP) 尚不清楚。

威胁参与者的身份也无法识别，尽管对电子邮件地址和网络工件的分析表明操作员来自印度并且他们说印地语。

对勒索软件样本的进一步调查还发现，它与另一个名为HiddenTear的基于 Windows 的菌株存在重大重叠，这是 2015 年土耳其程序员作为概念验证 (PoC) 开源的第一个勒索软件。

研究人员说：“GoodWill 运营商可能已经获得了访问权限，从而允许他们创建一个经过必要修改的新勒索软件。”

一个名为Enemybot的新兴基于 Linux 的僵尸网络已扩展其功能，将最近披露的安全漏洞包括在其武器库中，以针对 Web 服务器、Android 设备和内容管理系统 (CMS)。

“该恶意软件正在迅速采用一日漏洞作为其利用能力的一部分，”AT&T Alien Labs在上周发表的一篇技术文章中表示。“VMware Workspace ONE、Adobe ColdFusion、WordPress、PHP Scriptcase 等服务以及物联网和 Android 设备都是目标。”

Securonix在 3 月首次披露，后来又被Fortinet披露，Enemybot与追踪为 Keksec（又名 Kek Security、Necro 和 FreakOut）的威胁行为者有关，早期攻击针对的是 Seowon Intech、D-Link 和 iRZ 的路由器。

Enemybot 能够进行DDoS 攻击，其起源于其他几个僵尸网络，如 Mirai、Qbot、Zbot、Gafgyt 和 LolFMe。对最新变体的分析表明，它由四个不同的组件组成——

• 一个 Python 模块，用于下载依赖项并为不同的操作系统架构编译恶意软件
• 核心僵尸网络部分
• 用于编码和解码恶意软件字符串的混淆段，以及
• 一种命令和控制功能，用于接收攻击命令并获取额外的有效载荷

“如果通过 USB 或机器上运行的 Android 模拟器连接 Android 设备，EnemyBot 将尝试通过执行 [a] shell 命令来感染它，”研究人员指着一个新的“adb_infect”功能说。ADB 指的是Android Debug Bridge，一种用于与 Android 设备通信的命令行实用程序。

还包含一个新的扫描器功能，该功能旨在搜索与面向公众的资产相关的随机 IP 地址以查找潜在漏洞，同时在公开披露的几天内考虑新的错误。

除了 2021 年 12 月曝光的Log4Shell 漏洞外，这还包括 Razer Sila 路由器（无 CVE）、VMware Workspace ONE Access ( CVE-2022-22954 ) 和 F5 BIG-IP ( CVE-2022-1388 )中最近修补的漏洞以及视频同步 PDF 等 WordPress 插件的弱点。

其他武器化的安全缺陷如下 –

• CVE-2022–22947 (CVSS score: 10.0) – Spring Cloud Gateway 中的代码注入漏洞
• CVE-2021-4039（CVSS 评分：9.8） – Zyxel Web 界面中的命令注入漏洞
• CVE-2022-25075（CVSS 评分：9.8） – TOTOLink A3000RU 无线路由器中的命令注入漏洞
• CVE-2021-36356（CVSS 评分：9.8）- KRAMER VIAware 中的远程代码执行漏洞
• CVE-2021-35064（CVSS 评分：9.8）- Kramer VIAWare 中的权限提升和命令执行漏洞
• CVE-2020-7961（CVSS 评分：9.8）——Liferay 门户中的远程代码执行漏洞

众所周知，第 3 方应用程序可以提高生产力、实现远程和混合工作，并且总体而言对于构建和扩展公司的工作流程至关重要。

在电子邮件的早期，一个无害的过程很像单击附件，人们在将他们需要的应用程序与他们的 Google 工作区或 M365 环境等连接时不会三思而后行。用户采取的简单操作，从创建电子邮件到更新 CRM 中的联系人，可能会导致连接平台中的其他几个自动操作和通知。

如下图所示，OAuth 机制使得互连应用程序变得非常容易，许多人没有考虑可能的后果。当 SaaS 平台的这些应用程序和其他附加组件请求访问权限时，通常会不假思索地授予它们，这为不良行为者提供了访问公司数据的更多机会。这使公司面临供应链访问攻击、API 接管和恶意第三方应用程序的风险。

Oauth 机制权限请求

当涉及到本地机器和可执行文件时，组织已经拥有内置控制，使安全团队能够阻止有问题的程序和文件。当涉及到 SaaS 应用程序时，它必须是相同的。

3rd 方应用程序如何获得访问权限？

OAuth 2.0 大大简化了身份验证和授权，并提供了细粒度的访问权限委派。以范围的形式表示，应用程序请求用户对特定权限的授权。一个应用可以请求一个或多个范围。通过范围的批准，用户授予这些应用程序执行代码的权限，以在其环境中在幕后执行逻辑。这些应用程序可以是无害的，也可以像可执行文件一样具有威胁性。

减轻第三方应用程序访问风险的最佳实践

为了保护公司的 SaaS 堆栈，安全团队需要能够识别和监控其 SaaS 生态系统中发生的所有事情。以下是安全团队可以与员工共享并自行处理以降低第三方应用程序访问风险的内容。

1 –教育组织中的员工

网络安全的第一步总是回到提高意识。一旦员工更加意识到这些 OAuth 机制存在的风险和危险，他们就会更加犹豫是否要使用它们。组织还应制定一项政策，强制员工提交对第三方应用程序的请求。

2 —了解所有关键业务应用程序的第 3 方访问权限

安全团队应了解每个关键业务应用程序，并审查已与其关键业务 SaaS 应用程序集成的所有不同第三方应用程序 – 涵盖所有原则。缩小威胁面的第一步是了解整个环境。

3 –映射连接的第三方应用程序请求的权限和访问级别

一旦安全团队知道连接了哪些第三方应用程序，他们应该映射每个第三方应用程序被授予的权限和访问类型。从那里，他们将能够根据更高级别的范围查看哪个第三方应用程序存在更高的风险。能够区分可以读取的应用程序和可以写入的应用程序将有助于安全团队确定需要首先处理的优先级。

此外，安全团队应该映射哪些用户授予了这些权限。例如，高权限用户、在其工作区中拥有敏感文档的人、授予第三方应用程序访问权限的人可能会给公司带来高风险，需要立即进行补救。

4 —采用自动化方法处理第 3 方应用程序访问

SaaS 安全态势管理解决方案可以自动发现第 3 方应用程序。正确的 SSPM 解决方案（如 Adaptive Shield）具有内置逻辑，可以映射所有 3rds 方应用程序，并可以访问组织的 SSPM 集成应用程序。这种可见性和监督为安全团队提供了支持，因此无论公司拥有 100 个还是 600 个应用程序，他们都可以轻松控制、监控和保护公司的 SaaS 堆栈。

更大的 SaaS 安全图景

为了保护公司的 SaaS 堆栈，安全团队需要能够识别和监控其 SaaS 生态系统中发生的所有事情。第三方应用程序访问只是 SaaS 安全态势管理图片的一个组成部分。

大多数现有的网络安全解决方案仍然没有提供足够的保护或方便的方式来监控公司的 SaaS 堆栈，更不用说他们已知的应用程序和平台之间的通信，使公司容易受到攻击，无法有效地知道或控制哪些方可以访问敏感的公司或个人资料。

组织需要能够查看每个应用程序的所有配置和用户权限，包括已被用户授予访问权限的所有第 3 方应用程序。通过这种方式，安全团队可以保持对 SaaS 堆栈的控制、修复任何问题、阻止使用过多权限的任何应用程序并降低风险。