2020-4-14周二 网安资讯

政府举措

信安标委下达2020年第一批推荐性网络安全国家标准计划

关键词：网络安全国家标准

2020年4月3日，国家标准化管理委员会下达 2020 年第一批推荐性国家标准计划，该计划共包含432项，涵盖各行各业。其中新制定311项，修订121项；有415项为推荐性标准，剩余17项均为指导性技术文件。

日本防卫省利用人工智能技术开展网络防御

关键词：人工智能

根据最新消息，日本防卫省已宣布2020年在网络领域投资2.37亿美元，包括开发基于人工智能的系统以应对网络攻击，新系统预计2022年可开展实际运用。该系统将自动检测恶意电子邮件、判断威胁登记，并对网络攻击做出反应。除此之外，日本防卫省还表示将花费3150万美元购买网络信息收集系统，以收集针对防卫省或自卫队的网络攻击战术、技术和程序信息。

日本防卫省明确表示，其面临缺乏足够数量网络防御工作人员的处境，必须更新手段，运用人工智能技术以减轻现有人员的工作压力。目前，日本网络防御部队规模仅为220人，防卫省计划2020年内将这一规模增加至290人，进一步探索日本军用网络设备的网络安全措施，并积极推进在日本政府全部网络防御系统中运用人工智能技术。（来源：中国新一代人工智能）

新加坡暂停教师使用Zoom在线授课，直到安全问题解决

，在为应对疫情采取封锁措施的首周，学校停课，学生在线上课之后，新加坡决定暂停教师使用视频会议工具Zoom进行在线授课，原因是“发生了一些严重的事件”。

随着疫情期间，全球公司和学校都在广泛使用Zoom Video Communications开发的会议应用，人们对这款应用的安全性和隐私问题的关注也日渐上升。

“这些事件非常严重，”教育部技术部门人员亚伦·卢（Aaron Loh）周五时说道，但未提供细节。“教育部目前正在调查两起违规行为，如有必要，将向警方报案。作为预防措施，我们的教师将暂停使用Zoom进行授课，直到这些安全问题得到解决。”亚伦·卢还说，教育部将进一步向教师提供有关安全协议的建议，比如要求安全登录以及不要向非课堂学生分享会议链接。

此前，德国已经禁用Zoom；本周谷歌也禁止在公司笔记本上使用Zoom的桌面应用。公司还面临着集体诉讼。会议缺乏端对端的加密措施，也引起人们的广泛关注。（来源：新浪科技）

网络安全事件

拒绝付款后，SpaceX、特斯拉、波音的机密文件遭黑客泄露

由于没有收到勒索款项，DoppelPaymer 在网上公开了关于 SpaceX，特斯拉，波音等公司的机密信息。

据悉，被泄露的信息包括 Lockheed-Martin 设计的军事装备的细节（比如反迫击炮防御系统中的天线规格）、账单和付款表格、供应商信息、数据分析报告以及法律文书等。此外，Visser 与特斯拉和 SpaceX 之间的保密协议也在其中。

值得一提的是，这些机密信息均来自一家零部件制造商 Visser Precision。2020 年 3 月，DoppelPayme 入侵了 Visser Precision 的电脑并对其文件进行了加密，要求 Visser Precision 在 3 月份结束前支付赎金，否则将把机密文件内容公开至网上。

尽管 Visser Precision 仅是一家为汽车和航空业定制零件的制造商，但其客户涵盖了 SpaceX、特斯拉、波音、霍尼韦尔、Blue Origin,、Sikorsky、Lockheed Martin 等大型公司，其被窃取的机密文件也与这些公司相关。（来源：雷锋网）

国内下载站提供的开源编辑器被发现捆绑了恶意代码

安全公司报告，国内下载站西西软件园提供的开源编辑器 Notepad++ 被发现捆绑了恶意代码，而这个恶意脚本代码与勒索软件 WannaRen 有关联，该勒索软件可能通过国内下载站进行传播。在中文搜索引擎百度搜索 Notepad++，排在前几位的都是下载站，而不是官网 notepad-plus-plus.org，如果下载站的版本存在恶意代码，那么可能会有很多中国用户受到影响。（来源：solidot）

春雨医生、必胜客等20余款APP存涉嫌隐私不合规行为

国家计算机病毒应急处理中心近期在“净网2020”专项行动中对互联网监测发现，20余款外卖、医疗和在线教育类移动应用存在涉嫌隐私不合规行为。

这些移动应用的违法违规行为主要有三大方面：

一是未向用户明示申请的全部隐私权限。具体App《美菜商城》、《蜂鸟跑腿》、《永辉生活》、《大润发优鲜》、《luckin coffee》、《每日优鲜》《叮叮课堂》、《学霸君》、《人人讲》、《直播云》（、《课后网》、《叮当快药》、《药师帮》、《健康云》、《1药网》、《智慧好医院》、《春雨医生》等。

二是未说明收集使用个人信息规则。具体App有《必胜客》、《平安好医生》。

三是未提供有效的更正、删除个人信息及注销用户账号功能。具体App有《好大夫》、《妙健康》。

针对上述情况，国家计算机病毒应急处理中心将对这些App进行通报下架处理，同时提醒广大手机用户：一是要谨慎下载使用，避免个人信息受到安全威胁；二是应打开手机中防病毒移动应用的“实时监控”功能，对手机操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动。（来源：网易新闻）

意大利电子邮件服务商被黑，60万用户数据在暗网出售

ZDNet从一位读者提供的消息当中得知，目前有超过60万Email.it用户的数据正在暗网上被出售。这家意大利的电子邮件服务提供商周一向ZDNet表示：“不幸的是，我们必须确认，我们遭遇了黑客的攻击。"

Email.it黑客攻击在周日曝光，黑客声称实际入侵发生在两年多前，即2018年1月，黑客入侵了Email.it数据中心，从服务器上拿走了任何可能的敏感数据。

另外，黑客们在2月1日试图勒索Email.it，当时他们要求对方支付赏金，该公司拒绝支付，转而通知了意大利邮政警察局。在勒索失败后，黑客们现在正在以0.5到3个比特币(3500到22000美元)不等的要价出售该公司的数据。这些数据库包含了注册了免费Email.it电子邮件账户的用户信息。（来源：cnBeta）

物联网安全威胁情报（2020年3月）

总体概述

根据CNCERT监测数据，自2020年3月1日至31日，共监测到物联网（IoT）设备恶意样本17042个，发现样本传播服务器IP地址42889个，境内被攻击的设备地址达635万个。

2

传播IP情况

本月共发现42889个恶意样本传播服务器IP，境外国家/地区的传播服务器IP主要位于美国（37.11%）、澳大利亚（6.92%）、韩国（5.25%）等，地域分布如图1所示。

图1 恶意程序服务器IP地址国家（地区）分布图

在本月发现的恶意样本传播IP地址中，有34167个为新增，8722个在往期监测月份中也有发现。往前追溯半年，按监测月份排列，历史及新增IP分布如图2所示。

图2 本期传播IP在往期监测月份出现的数量

按样本分发数量排序，分发最多的10个C段为：

表1 样本分发数量最多的10个C段

目前仍活跃的恶意样本传播IP地址中，按攻击设备的地址数量排序，前10为：

表2 攻击设备最多的10个恶意样本传播IP

除了使用集中的地址进行传播，还有很多物联网恶意程序使用P2P进行传播，根据我们的监测，境内物联网两大P2P僵尸网络——Hajime和Mozi本月新增传播IP 30732个（其中Hajime12459个、Mozi18273个）

3

被攻击IP情况

境内被攻击IoT设备地址分布中，浙江占比最高，为20.89%，其次是台湾（15.20%）、北京（13.40%）、广东（8.89%）等，如图3所示。

图3 境内被攻击IoT设备IP地址省市分布图

黑客采用密码爆破和漏洞利用的方式进行攻击，根据监测情况，共发现7亿1100万3914个物联网相关的漏洞利用行为，被利用最多的10个已知IoT漏洞分别是：

表3 本月被利用最多的10个已知IoT漏洞

(按攻击次数统计)

4

样本情况

对监测到的17042个恶意样本进行家族统计分析，发现主要是Mirai、Gafgyt、Siggen、Hajime、Tsunami等家族的变种，样本家族分布如图4所示。

图4 恶意样本家族分布

样本传播时常用的文件名有UnHanaAW、loligang、hoho、Hilix等，按样本数量统计如图5所示。

图5 恶意样本文件名分布

按样本数量进行统按样本数量进行统计，漏洞利用方式在样本中的分布如图6所示。

图6 漏洞利用方式在恶意样本中的分布

按攻击IoT设备的IP地址数量排序，排名前10的样本为：

表4 攻击设备最多的10个样本信息

行业发展动态

1.谭晓生：新冠疫情对中国网络安全产业发展的影响

互联网在2020年新冠疫情处置中发挥了重大作用：民众通过互联网填报健康状况、获得疫情信息、购买日常用品、实现社区的协作，学校普遍开设了网络课堂，企业则纷纷开启远程工作模式。作为互联网安全保障的网络安全行业，肯定也受到新冠疫情影响，但是，用户行为和用户网络安全认知的变化，是过去多年想改变却未能成功的。新冠疫情给中国网络安全产业既带来威胁，也带来了产业升级的机会。

https://mp.weixin.qq.com/s/P_LZ4a1NebVB-F6_K-8qZg

2. 疫情下全球网络空间态势的新变化和新机遇

2020年，新型冠状病毒肺炎疫情的突然爆发给世界各国经济发展和社会正常运行按下了缓滞键，也给全球网络空间态势带来新的变化和机遇。

2020年，新冠肺炎疫情的影响已蔓延至各方各面。大疫当前，全球面临的网络攻击不减反增，尤其针对公共卫生服务机构的定向攻击更加密集，对疫情防控造成很大威胁。而且围绕疫情的政府间博弈更加剧了网络空间的政治对抗，相关虚假信息和诈骗活动在世界范围泛起。面对疫情中的网络空间乱象，增强网络防御手段和进一步深化全球网络空间合作或成为各国的共同愿望。抓住这一化危为机的机会，将有助于我打开网络空间发展新局面。

https://mp.weixin.qq.com/s/emCYv_p9WzLluUAgCPfUew

3. 工业互联网安全的未来画像

4月2日，360春耕行动系列直播第六期由北京市两化融合服务联盟工业互联网安全专委会主办，360企业安全集团承办。活动围绕“工业互联网安全领域技术发展趋势”展开，由360资深产品专家张雄杰担任分享嘉宾，继三期“新基建”主题研讨后，针对其重要一环——工业互联网，进行了深度解读。

https://mp.weixin.qq.com/s/rOHs84mUP0tDp_qsRB8FYA

4. 专题 | 国际网络安全应急响应体系介绍

国际网络安全应急响应体系的重要运行机构是计算机应急响应组织(CERT)。CERT最早是20世纪80年代末为对抗突发的大规模网络安全事件而产生的，并逐步演变成围绕安全事件对抗提供有计划的、全面技术支持的队伍。如今各国政府、企业和高校建立的CERT组织已成为各国网络安全保障领域不可或缺的专业队伍，在全世界活跃着数百支各类事件响应组织。为了加强国际交流与合作，CERT组织一方面通过双边的联系渠道，开展交流和合作；另一方面由各国CERT组织自主发起成立了国际事件响应与安全组织（FIRST）、亚太地区应急响应合作组织（APCERT）、欧盟的事件响应组织工作组（TF-CSIRT）等国际组织开展多边交流与合作。另外，联合国、国际电信联盟（ITU）、亚太经合组织（APEC）、上合组织等国际政府间合作组织，也都已经将CERT组织合作纳入到有关工作或文件。

https://mp.weixin.qq.com/s/77HoGIXAjz7SQJMUdF6LHw

5. 从新冠抗疫过程思考网络空间安全体系建设

2020年新冠疫情爆发，每时每刻都牵动着众人的心弦。以这次疫情为镜鉴，应对突发公共卫生安全事件，如何建设网络空间安全的体系，同样值得学习与思考。

https://mp.weixin.qq.com/s/vI0MnotFcSjcul9v-Liitg

6. 网络空间测绘的生与死

网络空间测绘技术对安全研究人员而言，最大的价值在于跳过繁琐的数据采集细节，把精力能够聚焦到技术本身。举个例子，zmap有一个参数非常好用，-N参数表明我这会只想要几个开放了特定端口的IP，在哪不重要，什么系统也不重要，是谁更加不重要，这个参数基本就是为了一个研究人员准备的。而网络空间测绘技术让技术人员更聚焦目标，比如cisco出了一个漏洞，我当然更关心漏洞原理，而不关心设备，但是如果没有设备，你就无法验证漏洞原理，你买来不及（也买不起），这时候，你想打个响指，心里默念“请赐予我几个cisco的设备吧”，然后几个IP丢你眼前。讲白了，这才是网络空间测绘技术最初的黑魔法。研究人员不用去买，不用去借，也不用去模拟设备，不用去搭建环境，打个响指就行。

https://mp.weixin.qq.com/s/d5J7CssBi1_30oRqe2tkGA

安全威胁分析

7. 美国生物安全P4实验室究竟有多少？最全面、靠谱大盘点来了！

当前，关于美国P4实验室数量的说法众说纷纭。据相关报告，美国并无政府机构来专门跟踪、统计其全部高等级实验室数量。本文根据有关美国P4实验室的权威报告和官方网站，全面、详实地梳理出美国P4实验室数量、分布、建设、更新和研究内容等。

https://mp.weixin.qq.com/s/1_JKj_HzFGPQV5nmkBmbpw

11. 原创 |【战疫观察之六】新冠疫情下医疗系统的网络安全问题及措施建议

当互联网+医疗时代的来临，医疗信息化程度越来越高，伴随而来的网络安全问题也日益突出，尤其是随着网络规模的不断扩大，整个系统面对的安全风险也越来越大。在当前新型冠状病毒大流行导致全球卫生危机的背景下，医疗机构已经成为网络攻击的首要目标。随着全球疫情防控形势的严峻和复杂化，网络犯罪分子利用危机的新闻传播恶意软件、进行网络钓鱼，甚至利用医疗用品和有关新冠病毒大流行引起的恐慌进行网络欺诈。医院和诊所、制药机构以及医疗设备的制造商等众多机构成为攻击目标，攻击者可能会传达医院需要采取的程序，可以预防或治疗感染的药物，甚至据称仍有库存的医疗用品等信息。网络犯罪分子会不择手段地诱骗用户安装各种恶意软件，网络攻击形势也日益严峻。因此，医疗卫生机构如何有效降低安全风险，强化网络安全管理，显得尤为重要，特别是医疗信息中的财务数据、电子病历、患者隐私、核心技术等都会经常受到各种病毒木马攻击，一旦遭到泄露，将会给医院带来巨大的灾难和难以弥补的损失。

https://mp.weixin.qq.com/s/cqqf0jKAXAYovfoubesJiw

12. 研究了15万个APP 发现Android系统的安全性等于没有

近日，一项来自俄亥俄州立大学、纽约大学与亥姆霍兹信息安全中心的研究显示，成千上万的Android APP拥有隐藏后门，安全性堪忧。

https://mp.weixin.qq.com/s/WyCOcB-CdAsS34Eov2-dRA

13. 物联网安全风险分析

物联网( the Intemnet of Things, IoT)是近些年提出的概念，在实际应用中，可以把感应器、处理器和无线通信模块嵌入或装备到电网、铁路、桥梁、隧道、公路、建筑等各种物体中，使它们相互连接，构成物联网。

https://mp.weixin.qq.com/s/XYATrvx98V7GXOgySBVxKQ

14. “震网”三代和二代漏洞技术分析报告

2017年6月份微软补丁发布了一个针对Windows系统处理LNK文件过程中发生的远程代码执行漏洞，通用漏洞编号CVE-2017-8464。

当存在该漏洞的电脑被插上存在漏洞文件的U盘时，不需要任何额外操作，漏洞攻击程序就可以借此完全控制用户的电脑系统。同时，该漏洞也可借由用户访问网络共享、从互联网下载、拷贝文件等操作被触发和利用攻击。

https://mp.weixin.qq.com/s/G1zyfyiknLQUG7s9ITrvCQ

15. 重磅 | 关于网关类设备0-day漏洞攻击的报告

2020年3月17日，国外知名漏洞平台Exploit Database网站公布了一个针对Netlink GPON路由器设备的漏洞POC[1]。该漏洞是远程命令执行类的漏洞，黑客可以利用该漏洞在Netlink GPON路由器上进行恶意样本植入，进而控制设备发起DDos攻击、窃取敏感信息等恶意行为。

https://mp.weixin.qq.com/s/lUs7DGdhUywJpbmxLh0mcw

2020年04月09日， 360CERT监测发现 ZDI 于 04月07日公开了其在Pwn2Own Tokyo竞赛中使用的一枚 TP-Link 的命令注入漏洞的技术细节。该漏洞的漏洞编号为CVE-2020-10882。

TP-Link（中文全称：普联技术有限公司）是专注于路由器设备生产的一家公司。

360CERT建议广大用户及时更新TP-Link设备固件。做好资产 自查/自检/预防 工作，以免遭受攻击。