资安一周第18期：多向量放大攻击渐成DDoS攻击主流。刑事警察局长向国际呼吁让台湾加入国际刑警组织。

1115-1121一定要看的资安新闻

 

#DDoS　＃新攻击趋势

Cloudflare：多向量放大攻击渐成DDoS攻击主流

根据Cloudflare的网络流量分析，DDoS攻击者改变了他们的技术，其中多向量放大攻击频率及流量的流量正在上升，反观一度盛行的SSDP和Memcached放大攻击，则逐渐消退。

此外，在两个月前，Cloudflare发现了一股新的攻击趋势逐渐形成，骇客并不使用SSDP或Memcached单一的放大类型，而是应用许多不同的放大类型，一次攻击所有的ISP，虽然这个技术并不新颖，规模却是前所未见的。Cloudflare举出近期一个达到800Gbps的攻击，当中总共使用了7种协定为例说明，其中攻击流量第一名是Portmap的337Gbps，第二名为SSDP的177 Gbps，第三名为DNS的130Gbps，第四名为SNMP为115 Gbps。详全文

图片来源／Cloudflare

 

＃网络犯罪侦办　＃国际刑警组织

打击国际网络犯罪台湾不应缺席，刑事警察局长投书美媒

图片来源／翻摄自The National Interest

本月15日，内政部警政署刑事警察局长蔡苍柏投书外交性杂志The National Interest，指出近年网络犯罪兴起与恐怖主义横行，台湾必须与全球执法机构合作，他呼吁，应让台湾加入国际刑警组织（INTERPOL）。

多年来，台湾警方为打击跨境犯罪，已经与其他国家的执法机构合作解决许多刑事案件。关于网络犯罪的问题，在他投书的内容当中提到，对于2017年10月远东国际商业银行电脑遭骇一事，台湾依靠国际刑警组织成员国国家中央局提供的情报，拦截了超过6千万美元的被盗资金，而这样的成就也获得国际上的肯定。蔡苍柏认为，作为国际警界的一员，台湾不应被排除于场外，导致关键讯息交流出现延误与差异，进而在全球安全与反恐网络中形成重大缺口。详全文

 

＃公有云配置不当防护机制　＃Amazon　

Amazon S3阻挡公开存取功能上线，以账户层级措施防止储存库档案意外泄漏

图片来源／AWS

Amazon开始为S3服务，提供全新的阻挡公开存取（Block Public Access）功能，这是账户等级的保护措施，以提高储存桶以及物件的安全性。由于S3资料因设定疏失而外泄资料的事件频频，这项机制将提供多一道保护，希望协助企业使用公有云时，减少因为低级错误而让资料可能被公开存取的风险。

Amazon提到，阻挡公开存取是账户等级的保护措施，适用各种包括未来创建的储存桶。无论是由存取控制列表或是政策指定的存取权限，都低于阻挡公开存取的权限，使用者可以善用，确保新创建的专案不会对外曝光。

使用者可以从S3控制台、CLI、S3 API和CloudFormation模板中设定阻挡公开存取功能。在账户公开存取设置当中，关于存取控制列表有两个选项，另外还有两个管理储存桶的政策设定炫选项。详全文

 

＃硬件安全　＃GPU旁路漏洞攻击　＃Nvidia

Nvidia遭爆GPU存在旁路攻击漏洞，骇客能取得CUDA应用程序内部参数

近年CPU上的旁路攻击漏洞闹得沸沸扬扬，硬件安全成为焦点，现在又有研究人员也开始研究GPU旁路攻击是否真的存在，结果还真的可行。

加州大学研究发现，在许多场景中，GPU运算资源允许被以精细的粒度在多个应用程序间分享，而间谍应用程序则能趁机监控旁路（Side Channel），并尝试推测出受害者行为。研究人员表示，这是第一次GPU被发现存在旁路攻击漏洞，而Nvidia将会释出修补程式。

他们展示了漏洞的这两种应用，其中一个可以让CUDA间谍程式窃取其他CUDA应用程序的漏洞，将可能威胁到共用云端环境中执行的CUDA程式，致使资料被恶意程式偷走。详全文

图片来源／加州大学

 

＃银行木马　＃研究报告

银行木马Emotet已在全球建立了721个C&C服务器

图片来源／趋势科技

势科技上周公布了知名银行木马Emotet的踪迹，发现它在今年6月1日到9月15日之间，已在全球建立了721个C&C服务器，采用8,528个独立的URL，使用5,849个文件Dropper以及571个执行档案。

Emotet通常透过垃圾电子邮件进行散布及感染，例如于假冒来源的电子邮件中嵌入恶意的附加档案或连结，只要受害者开启或下载恶意的PDF或Word档案，Emotet就能常驻于受害者的电脑上，进而下载其它的恶意模组，或是伺机感染网络上的其它装置。US-CERT也曾在今年中把Emotet列为最具破坏力及成本最高的恶意程式之一，并表示每次的Emotet感染事件平均要花费100万美元来摆平。详全文

 

＃物联网安全

感恩节将至，Mozilla发布电子产品隐私采购指南

为了迎接即将来临的感恩节及圣诞节购物旺季，Mozilla检验市场上70款热门电子产品，检视它们的隐私保护及安全性，但只有不到一半的产品，符合Mozilla所制定的最低安全标准。

Mozilla表示，就算外界开始重视物联网（IoT）装置的安全及隐私问题，但企业仍持续开发不安全的连网装置，同时这些企业亦未被要求必须维护装置的安全性，因此，Mozilla、国际消费者协会及互联网协会相信，应该要替这些产品设定“底线”，进而提出了5大最低安全准则。

这5大准则包括网络通讯须加密、产品须支援自动更新、须要求强密码、业者应制定漏洞管理政策，以及须设立容易存取及阅读的隐私政策。详全文

 

＃身犯验证安全　＃指纹辨识　＃AI

指纹辨识就安全了吗？研究：AI能产生以假乱真的假指纹

今采用指纹辨识的安全设备需要使用者的指纹，因此被认为比设密码安全，并广泛用于安全防护的身份验证，包括门禁系统、电子支付与手机解锁。但研究人员现在已发展人工智能绘制而成的假指纹，在一定条件下，像是小面积的指纹辨识，以及辨识分辨率低，将将可骗过指纹辨识系统，可能解锁上述装置。而这项研究的结果，将用于指纹辨识系统安全的强化。详全文

 

＃BGP流量错误设定　＃电信网络流量绑架

尼日利亚ISP网络配置出包，Google流量因路由泄露而被导至中国

包括Google搜寻、Google Analytics及G Suite等Google云端服务，在太平洋时间12日上午发生74分钟的中断，主因为流量被导至中国电信，而使得外界一度质疑Google流量遭到挟持。然而，Google指出，是因其他ISP业者公告错误的Google Cloud IP地址所造成。尼日利亚的ISP业者MainOne也出面认错，坦承是在执行预订的网络升级计划时，不当配置了边界闸道协定（BGP），而将属于Google的前缀（Prefixes）对外公告。详全文

 

＃网钓攻击　＃金融业　＃研究报告

Group-IB：俄罗斯银行正遭遇网钓攻击

俄罗斯资安业者Group-IB上周指出，俄罗斯的金融组织正面临两大骇客集团──MoneyTaker及Silence，发动的大规模网钓攻击，骇客所寄出的邮件，假冒为俄罗斯央行及俄罗斯的金融电脑紧急应变中心FinCERT，企图引诱收信方点选附件，以植入恶意程式。值得注意的是，这些邮件的内文与呈现方式都非常类似官方的标准格式，使得Group-IB不由得猜测骇客可能先前受雇于相关组织，并曾入侵银行员工的电子邮件信箱，才会如此熟悉银行系统及金融领域的运作，还能仿冒官方的内容格式。

由于这些锁定金融组织的骇客集团，通常是在寻找金融系统的网络架构漏洞，一旦成功进驻，就可执行攻击，并借由ATM、金融卡交易或是银行间的转账盗走金钱，必须注意。详全文

 

#资安生态圈　＃BlackBerry

BlackBerry砸14亿美元并购资安公司Cylance

逐渐淡出手机市场的BlackBerry，近年开始往企业商用市场布局，像是商务行动化、物联网安全等领域。而近期该公司宣布，以14亿美元现金并购网络安全公司Cylance。

BlackBerry这次并购Cylance主要有二大目标，首先是整合该家公司的机器学习技术至BlackBerry现有产品线，强化行动端点装置的安全。第二个目标，则是以该Cylance的嵌入式AI技术为基础，加速BlackBerry Spark企业物联网平台（EoT Platform）的开发。详全文