针对教育机构的勒索软件攻击造成的不仅仅是课堂混乱。它可能会导致教学时间损失、财务紧张和个人数据泄露。在 K-12 系统中，关闭的学校迫使家长要求休假，并导致学校有限的财务捉襟见肘。

对于大学生来说，勒索软件攻击可能会导致学生在开始职业生涯时个人数据被盗。

勒索软件攻击的数量惊人地增加， 2018 年至2021 年期间报告的 K-12 事件已从 2018 年的 400 起增加到累计超过 1,300 起，我们不需要走太远就能看到它们如何损害了教育部门。

杜鲁门州立大学最近遭受勒索软件攻击，导致该大学关闭数天，并导致外部安全团队参与其中。在宾夕法尼亚州，彭克雷斯特学区发现自己成为勒索软件攻击的目标，导致多天无法上网，学校日常活动中断，影响了当地家庭。

我们将探讨教育机构的 IT 团队可以采取哪些步骤（地方政府应该支持），以保护他们所照顾的人员免受干扰和数据被盗的影响。

通过早期检测阻止勒索软件

一旦勒索软件攻击开始，采取任何措施通常都为时已晚。令人警醒的现实是，使用 Lockbit 2.0，数百 GB 的数据可在 5 分钟内加密，而且速度只会越来越快。组织通常有两个糟糕的选择。

第一个（也是不推荐的）选项是支付赎金，然后希望网络犯罪分子解密您的系统，不要出售您的数据，也不要再次遭受攻击。

或者，您需要从头开始重建 IT 系统，考虑到许多学校和大学的 IT 部门通常规模较小，这可能既昂贵又耗时。

首先采取安全措施来防止攻击是最好的防御，IT 可以监视多种攻击媒介以发出早期预警。许多攻击者会选择阻力最小的路径，而监控最简单的路径会使威胁行为者的工作变得更加困难。

尽管并不全面，但以下几个方面需要考虑密切监控：

• 网络钓鱼电子邮件 – 一种流行的传递方法，用于向不知情的用户发送勒索软件可执行文件。强大的反网络钓鱼软件和意识培训是必须的。
• 远程连接 – 远程桌面协议 (RDP)、Teamviewer、VNC 等。
• 持久安装 – 意外启动程序或计划任务创建。
• 权限升级 – LSASS 利用、哈希传递攻击或不安全的服务。
• 检测预防 – 禁用 Microsoft 防病毒软件和其他安全工具。
• 网络侦察——端口扫描、混杂网络模式等。
• 数据泄露 – 意外的出站连接目标和带宽流量峰值。

密码被泄露为勒索软件提供了简单的起点

登录比黑客入侵更容易。攻击者可以快速利用受损的密码，尤其是当人们在多个个人和工作帐户中重复使用这些密码时。例如，威胁行为者可以购买受损凭证列表，然后使用社交媒体来缩小在学校工作的人员范围。

实施多因素身份验证的机构使这种攻击变得更加困难，但并非不可能。

具有泄露密码保护 (BPP) 功能的Specops 密码策略等工具可根据不断更新的超过 30 亿个唯一泄露密码列表（甚至是目前用于攻击的密码）来检查机构的 Active Directory。这使得 IT 团队能够关闭数百条可能进入其机构的攻击路线。

由于成本效益高、实施速度快且易于最终用户使用，具有密码泄露保护功能的 Specops 密码策略深受学校、大学和地方政府的欢迎。

它允许机构创建自定义密码策略、强制执行合规性要求、阻止密码泄露，并通过动态、信息丰富的客户反馈帮助用户在 Active Directory 中创建更强的密码。很少有解决方案能够提供如此简单的方法来增强密码安全性并防止攻击者站稳脚跟并发起勒索软件攻击。

最大限度地减少面向公众的系统的攻击面

开放的远程连接是一个等待利用的漏洞。2022 年 Unit 42 事件响应报告指出，RDP 是一个共同目标。任何学校、大学或地方政府都需要使用 VPN 或零信任身份验证网关来远程连接到内部系统。

如果未修补并暴露在互联网上，即使是学校打印服务器也是不安全的。例如，最近的PaperCut NG 和 PaperCut MF 漏洞导致 Bl00dy 勒索软件团伙的勒索软件攻击增加。

将保护重点放在不会暴露超出必要范围的额外入口的系统上，从而将威胁行为者拒之门外。最大限度地减少需要监控的外部服务数量，使学校 IT 部门的工作变得易于管理。

处理陈旧和特权过高的帐户

过度劳累的学校 IT 部门经常会出现旧帐户、被遗忘的用户以及特权过高的服务帐户。这些被遗忘的帐户可能看起来无害，但对于威胁行为者来说，它们却是一个诱人的目标。

如果不引起注意，旧帐户的泄露可能不会触发响应，因为所有者可能早已不在了。从加入到退出实施适当的用户生命周期策略可以防止旧帐户受到潜在的威胁。

同样，几乎每个 IT 组织都普遍存在特权过高的帐户。创建单个特权帐户来运行多个服务可能意味着更少的工作和监控。但是，当受到威胁时，特权过高的服务帐户可以为学校或大学网络提供许多立足点。

通过最小特权访问和职责分离的概念来“调整”帐户规模，受损帐户在整个网络上造成破坏的可能性要小得多。

强化端点以抵御勒索软件攻击

即使是最好的预防策略也可能无法阻止顽固的对手向毫无戒心的学生或 IT 管理员偷偷发送带有可执行勒索软件的网络钓鱼电子邮件。下载后，未受保护的端点可能会提供在整个学校网络中传播勒索软件所需的一切。

以下是强化 Windows 端点时要采取的几个常见步骤：

• 通过使用Microsoft Applocker和白名单应用程序防止运行可疑的可执行文件。
• 实施 SMBv3 并禁用 SMB v1 和 v2以防止横向网络入侵。
• 禁用所有设备和端点上的默认用户名和密码。
• 为 Windows Server 2019 和 Windows 10 等旧操作系统实施LAPS（本地管理员密码解决方案） 。
• 为 LSASS 和Windows Defender Credential Guard实施攻击面减少 (ASR)规则。
• 实施PowerShell 日志记录并强化远程 PowerShell 连接。
• 需要非延迟的 Windows 更新以及一致的防病毒更新。
• 阻止将用户密码保存到本地浏览器（例如 Chrome 和 Firefox）。

防止端点进一步受到损害可以快速阻止勒索软件攻击。这种预防措施避免了从备份恢复系统的需要。

通过最新的离线备份防止灾难

如果最坏的情况发生，并且勒索软件攻击导致学校网络瘫痪，那么最新的离线存储备份对于让学生重返教室至关重要。

通过保持备份离线、分段或“气隙”，成功的勒索软件攻击不会影响那些允许干净恢复的备份。

备份整个机构可能很困难，并且会产生大量存储成本。然而，不这样做的代价可能会更高，因为威胁行为者可能会要求数百万美元进行恢复。

IT 管理员必须不断测试备份、验证恢复程序是否到位，并评估在发生事件时做好完整恢复准备的难度。

我们能否保证学校和学生的安全？

FBI（联邦调查局）、  CISA 和 MS-ISAC 在联合网络安全咨询 (CSA) 中警告 Vice Society 及其对教育部门构成的威胁：

“网络安全能力有限且资源有限的学区往往是最脆弱的；然而，网络犯罪分子经常采取的机会主义目标仍然可能使拥有强大网络安全计划的学区面临风险。 由于可以通过学校系统或其托管服务提供商访问大量 敏感的学生数据，K-12 机构可能被视为利润特别丰厚的目标。”

对于学校及其学生来说，勒索软件是一个日益严重且代价高昂的问题。地方政府可以通过资助适当的安全工具和技术来检测、预防和缓解勒索软件，从而为学校和大学提供支持。

尽管没有万无一失的方法可以防止每次勒索软件攻击，但包含上述步骤的全面安全计划将阻止大多数攻击，并在预防方面大有帮助。

Mandiant 发布了一款扫描器，用于检查 Citrix NetScaler 应用程序交付控制器 (ADC) 或 NetScaler Gateway 设备是否在利用 CVE-2023-3519 漏洞的广泛攻击中受到损害。 

关键的 CVE-2023-3519 Citrix 漏洞于 2023 年 7 月中旬作为零日漏洞被发现，黑客积极利用该漏洞远程执行代码，而无需在易受攻击的设备上进行身份验证。

Citrix 进行安全更新以解决该问题一周后，  Shadowserver 报告 称仍有 15,000 台暴露在互联网上的设备尚未应用补丁。

然而，即使对于安装了安全更新的组织来说，被攻击的风险仍然存在，因为该补丁不会删除攻击者在攻击后阶段植入的恶意软件、后门和 Webshel​​l。

扫描仪检查是否有被黑客入侵的设备

今天，Mandiant 发布了一款扫描仪，使组织能够检查其 Citrix ADC 和 Citrix Gateway 设备是否存在受损迹象和利用后活动。

Mandiant 的帖子中写道：“该工具旨在尽最大努力识别现有的妥协 。 ”

“它不会 100% 地识别出威胁，也不会告诉您设备是否容易受到攻击。”

Mandiant Ctrix IOC 扫描程序必须直接在设备或已安装的取证映像上运行，因为它将扫描本地文件系统和配置文件以查找是否存在各种 IOC。

完成后，扫描仪将显示一个摘要，详细说明是否遇到任何妥协迹象，如下所示。

如果检测到设备受到损害，扫描仪将显示详细的报告，列出检测到的各种损害指标。

下面列出了扫描器在 Citrix 设备上查找的一些 妥协指标：

• 文件系统路径可能包含可疑文件：
  • /var/netscaler/登录/LogonPoint/uiareas
  • /var/netscaler/登录/LogonPoint/uiareas/*/
  • /netscaler/ns_gui/epa/scripts/*/
  • /netscaler/ns_gui/vpns/主题/默认
  • /var/vpn/主题/
• shell 历史记录中已知的攻击者或可疑命令：
  • 哇阿米$
  • 猫 /flash/nsconfig/keys
  • LDAP搜索
  • chmod +x /tmp
  • openssl des3
  • 平-c 1
  • cp /bin/sh
  • chmod +s /var
  • 回声 <?php
• NetScaler 目录中内容与已知 IOC 匹配的文件：
  • /var/vpn/主题/.theme.php
  • /var/tmp/the
  • /var/tmp/npc
  • /var/tmp/conf/npc.conf
  • /var/tmp/conf/multi_account.conf
• 具有可疑权限或所有权的文件，例如异常的 setuid 二进制文件。
• “nobody”用户的 Crontab 文件。
• 历史 cron 作业以“无人”身份运行。
• 可疑的正在运行的进程以“nobody”身份运行或从“/var/tmp”运行。

如果扫描仪显示出妥协的迹象，建议对受影响的设备和网络部分进行完整的取证检查，以评估违规的范围和程度，这需要一套不同的工具。

值得注意的是，负面结果不应被视为系统没有受到损害的保证，因为攻击者仍然有很多方法来隐藏他们的痕迹，并且在许多情况下，有足够的时间来这样做。

建议在随时运行易受攻击的固件版本的同时，在所有暴露于互联网的设备上运行扫描仪。

该扫描仪设计为与 Citrix ADC 和 Citrix Gateway 版本 12.0、12.1、13.0 和 13.1 配合使用。

Raccoon Stealer 信息窃取恶意软件的开发人员结束了 6 个月的黑客论坛中断，向网络犯罪分子推广该恶意软件的新 2.3.0 版本。

Raccoon 是最知名、最广泛使用的信息窃取恶意软件家族之一，自 2019 年以来一直存在，通过订阅模式以每月 200 美元的价格出售给威胁行为者。 

该恶意软件从 60 多个应用程序窃取数据，包括登录凭据、信用卡信息、浏览历史记录、cookie 和加密货币钱包帐户。

该项目于 2022 年 10 月进入了一个不确定时期，当时其主要作者马克·索科洛夫斯基 (Mark Sokolovsky) 在荷兰被捕，联邦调查局 (FBI) 拆除了当时的恶意软件即服务基础设施。

浣熊回来了

在VX-Underground首次发现的黑客论坛上的一篇新帖子中 ，该恶意软件的当前作者告诉网络犯罪社区，他们已经回来了，他们花了时间“不知疲倦地工作”，为他们带来了丰富用户体验的新功能。

这些新功能是在“客户”反馈、请求和网络犯罪趋势之后实施的，旨在使恶意软件保持在信息窃取者市场的顶级地位。

Cyber​​int 的一份 报告 称，Raccoon 2.3.0 引入了多项“生活质量”和 OpSec 改进，使其使用起来更容易、更安全，使得技术水平较低的威胁行为者更容易使用，并且研究人员追踪他们的可能性更小和执法。

首先，Raccoon Stealer 仪表板中的新快速搜索工具使黑客能够轻松找到特定的被盗数据，并从大量数据集中检索凭证、文档或其他被盗数据。

其次，新的 Raccoon 版本具有一个系统，可以对抗可能与安全辅助机器人相关的可疑活动，例如从同一 IP 生成的多个访问事件。

在这些情况下，Raccoon 将自动删除相应的记录并相应更新所有客户端垫。

用户现在可以直接从恶意软件的仪表板查看每个 IP 地址的活动配置文件分数，其中绿色、黄色和红色笑脸图标表示机器人活动的概率。

第三个重要的新功能是针对安全研究人员的保护措施，它是一个报告系统，该系统可以检测并阻止网络情报公司用来监控 Raccoon 流量的爬虫和机器人使用的 IP。

信息窃取者对家庭用户和企业都构成了巨大的威胁，因为它们被网络犯罪社区广泛采用，确保有效负载通过无数渠道到达大量不同的受众。

由于此类恶意软件不仅窃取凭据，还窃取 cookie，因此威胁行为者可能会利用这些被盗的会话 cookie 来绕过多因素身份验证并破坏企业网络。一旦他们在网络上建立立足点，就可能导致各种攻击，包括数据盗窃、勒索软件、BEC 诈骗和网络间谍活动。

为了防止 Raccoon Stealer 和所有信息窃取者，应使用密码管理器，而不是在浏览器上存储凭据。

此外，应在所有帐户上启用多重身份验证，并避免从可疑网站下载可执行文件，即使是从 Google Ads、YouTube 视频或 Facebook 帖子等合法来源重定向到那里。

威胁行为者利用被跟踪为 CVE-2023-3519 的关键严重性远程代码执行，在一场大规模活动中入侵了近 2,000,000 台 Citrix NetScaler 服务器。

研究人员表示，在管理员安装该漏洞补丁之前，已有 1,200 多台服务器被植入后门，并且由于没有检查是否有成功利用的迹象，因此它们继续受到损害。

RCE 被利用攻击了 6% 的易受攻击的服务器

网络安全公司 Fox-IT（NCC 集团旗下）和荷兰漏洞披露研究所 (DIVD) 的安全研究人员发现了一项大规模活动，该活动在易受 CVE-2023-3519 影响的 Citrix Netscaler 服务器上植入了 Webshel​​l。

尽管该漏洞于 7 月 18 日收到了补丁，但黑客开始 在野外利用它作为零日漏洞， 在未经身份验证的情况下执行代码。

7 月 21 日，网络安全和基础设施安全局 (CISA) 警告称，该漏洞已被利用 破坏了 美国的一个关键基础设施组织

本月早些时候，非营利组织 Shadowserver Foundation 发现黑客已 感染了 640 多台 Citrix NetScaler 服务器 ，并植入了用于远程访问和持久性的 Web shell。

在过去的两个月里，Fox-IT 响应了多起与 CVE-2023-3519 漏洞利用相关的事件，并发现服务器受到多个 Web shell 的攻击。

利用有关后门的详细信息，Fox-IT 和 DIVD 能够扫描互联网以查找安装了 Web shell 的设备。管理员可以通过检查用户代理的 Citrix HTTP 访问日志来识别其扫描：DIVD-2023-00033。

最初，扫描仅考虑易受攻击的系统，但后来扩展到收到更新以解决 CVE-2023-3519 问题的 Citrix 实例。

这表明 1,952 台 NetScaler 服务器带有 Fox-IT 在事件响应期间发现的相同 Web shell 后门，表明攻击者使用自动化方法大规模利用该漏洞。

在更大范围内，当该活动活跃时，全球范围内易受 CVE-2023-3519 影响的 31,127 个 Citrix NetScaler 实例中，有 1,952 个后门服务器占 6% 以上。

Fox-IT 表示，在已发现的受感染服务器中，截至 8 月 14 日，仍有 1,828 台服务器存在后门，其中 1,247 台服务器在黑客植入 Web shell 后已得到修补。

8 月 10 日，Fox-IT 和 DIVD 开始直接或通过国家 CERT 与组织联系，了解其网络上受感染的 NetScaler 实例。

昨天，受感染的 Citrix NetScaler 服务器（无论是已打补丁还是未打补丁）的数量最多的是德国，其次是法国和瑞士。

Fox-IT 表示，欧洲受影响最严重，并强调在受影响最大的 10 个国家中，只有两个国家来自世界不同地区。

研究人员观察到的另一个细节是，虽然加拿大、俄罗斯和美国在 7 月 21 日拥有数千台易受攻击的 NetScaler 服务器，但他们几乎没有在其中发现任何受攻击的 Web shell。

Fox-IT 表示，受影响的 Citrix NetScaler 服务器数量正在下降，但仍有大量受感染实例。

研究人员警告说，打过补丁的 NetScaler 服务器仍然可能存在后门，并建议管理员对其系统进行基本分类。

他们提供了一个  使用 Dissect取证和事件响应工具包的Python 脚本 。

Mandiant 还发布了一款 扫描器 ，可查找与利用 CVE-2023-3519 的攻击相关的妥协指标。不过，研究人员警告说，运行此 bash 脚本两次会导致误报，因为“每当运行该脚本时，某些搜索就会写入 NetScaler 日志中”。

LinkedIn 正成为一波帐户黑客攻击的目标，导致许多帐户出于安全原因被锁定或最终被攻击者劫持。

据 Cyber​​int今天报道，许多 LinkedIn 用户一直在抱怨帐户被接管或锁定，以及无法通过 LinkedIn 支持解决问题。

Cyber​​int 的研究员 Coral Tayar 表示：“有些人甚至被迫支付赎金才能重新获得控制权，或者面临账户被永久删除的情况。”

“虽然 LinkedIn 尚未发布正式公告，但他们的支持响应时间似乎已经延长，有报道称支持请求数量很大。”

从BleepingComputer 在 Reddit、Twitter和Microsoft 论坛上看到的投诉来看，LinkedIn 的支持并没有帮助恢复被泄露的帐户，用户只是因为缺乏回应而感到沮丧。

“我的帐户 6 天前被黑客攻击。电子邮件在半夜被更改，我无法确认更改或阻止它，”一位受影响的用户在Reddit 帖子中写道。

“他们在任何地方都没有回应。这太可悲了。我尝试报告我被黑的帐户，进行身份验证，甚至在 Twitter 上的@linkedinhelp 上私信他们。任何地方都没有回应。这真是一个公司的笑话......”

Cyber​​int 表示，谷歌趋势中也反映出了突破的迹象，其中有关 LinkedIn 帐户被黑客攻击或恢复的搜索词在过去几个月中增长了 5,000%。

攻击者似乎正在使用泄露的凭据或暴力破解来尝试控制大量 LinkedIn 帐户。

对于受到强密码和/或双因素身份验证适当保护的帐户，多次接管尝试导致平台实施临时帐户锁定作为保护措施。

然后，系统会提示这些帐户的所有者通过提供附加信息来验证所有权，并在允许再次登录之前更新其密码。

之后，劫持者更改账户密码，阻止原持有者访问其账户。许多用户还报告称，黑客在劫持账户后开启了2FA，使得账户恢复过程变得更加困难。

在 Cyber​​int 观察到的某些情况下，攻击者会索要小额赎金，将帐户归还给原始所有者，或者在没有提出任何要求的情况下直接删除帐户。

LinkedIn 帐户对于社会工程、网络钓鱼和工作机会诈骗非常有价值，这些诈骗有时会导致数百万美元的网络抢劫。

尤其是在LinkedIn 引入了打击平台上虚假个人资料和不真实行为的功能之后，劫持现有帐户对于黑客来说变得更加务实。

如果您拥有 LinkedIn 帐户，那么现在是检查您已激活的安全措施、启用 2FA 并切换到唯一的长密码的好时机。

28u.cc已联系 LinkedIn，请求对所报道的情况发表评论，但截至发稿时我们尚未收到回复。

两个基于堆栈的缓冲区溢出（统称为 CVE-2023-32560）影响 Ivanti Avalanche，这是一种企业移动管理 (EMM) 解决方案，旨在管理、监控和保护各种移动设备。

这些漏洞被评为严重漏洞（CVSS v3：9.8），无需用户身份验证即可远程利用，可能允许攻击者在目标系统上执行任意代码。

该漏洞影响 WLAvalancheService.exe 版本 6.4.0.0 及更早版本，该版本通过 TCP 端口 1777 接收通信。

攻击者发送特制的数据包，其中包含十六进制字符串（类型 3）或由“;”分隔的十进制字符串列表。（类型 9）可能会由于用于存储转换数据的固定大小的基于堆栈的缓冲区而导致缓冲区溢出。

缓冲区溢出是一种安全问题，其中程序向相邻内存块（缓冲区）写入的数据超出其所能容纳的数据，覆盖这些位置并导致程序崩溃或任意代码执行。

基于堆栈的缓冲区溢出涉及覆盖堆栈上分配的区域（存储程序的局部变量和返回地址的内存区域），从而可以引导程序执行恶意代码。

这些问题由Tenable 研究人员发现，并于 2023 年 4 月 4 日向 Ivanti 报告，同时于 2023 年 4 月 13 日与供应商共享了概念验证。

在延长披露窗口以使供应商有更多时间解决问题后，Avalanche版本 6.4.1于 2023 年 8 月 3 日发布了安全更新。

除了 CVE-2023-32560 之外，Avalanche 版本 6.4.1 还修复了 CVE-2023-32561、CVE-2023-32562、CVE-2023-32563、CVE-2023-32564、CVE-2023-32565 和 CVE-2023- 32566，涉及各种身份验证绕过和远程代码执行缺陷。

Ivanti 软件用于关键系统和设置，因此威胁参与者不断寻找构成潜在攻击网关的关键严重性漏洞。

上个月，据透露，黑客利用 Ivanti Endpoint Manager Mobile (EPMM) 中的零日身份验证绕过漏洞 (CVE-2023-35078) 破坏了挪威政府12 个部门使用的平台，访问了潜在的敏感和机密信息。

科罗拉多州医疗保健政策和融资部 (HCPF) 向超过 400 万人发出警报，称数据泄露影响了他们的个人和健康信息。

科罗拉多州 HCPF 是一个州政府机构，负责管理科罗拉多州健康第一 (Medicaid) 和儿童健康计划 Plus 计划，并为低收入家庭、老年人和残疾公民提供支持。

Clop 勒索软件在影响全球数百个组织的黑客活动中利用了 MOVEit Transfer 零日漏洞 (CVE-2023-34362)，导致数据泄露 。

HCPF 澄清说，虽然他们的系统没有直接受到损害，但数据泄露是通过他们的承包商 IBM 使用 MOVEit 软件发生的。

“在 IBM 通知 HCPF 受到 MOVEit 事件的影响后，HCPF 立即启动调查，以了解该事件是否影响了其自己的系统，并确定 Health First Colorado 或 CHP+ 成员的受保护健康信息是否被未经授权的一方访问，”通知中写道。

调查显示，威胁行为者设法访问并可能窃取了包含某些 Health First Colorado 和 CHP+ 成员信息的文件，包括：

• 全名
• 社会安全号码 (SSN)
• 医疗补助 ID 号
• 医疗保险 ID 号
• 出生日期
• 家庭地址
• 联系信息
• 收入信息
• 人口统计数据
• 临床数据（诊断、实验室结果、治疗、药物）
• 健康保险信息

上述数据可用于发起有效的网络钓鱼或社会工程攻击，并有助于身份或银行欺诈活动。

总共有4,091,794人的数据被曝光。对于所有收到数据泄露通知的个人，HPCF 通过 Experian 提供两年的信用监控服务，以帮助打击欺诈企图。

就在一周前，科罗拉多州的另一个大型州组织高等教育部 (CDHE) 披露，勒索软件攻击造成的大规模数据泄露已经影响了大量学生和教师。

CDHE表示，威胁行为者利用窃取的数据进行双重勒索和加密网络计算机；不过，它没有说明黑客是如何获得网络访问权限的。

2023 年 7 月，科罗拉多州立大学披露了因使用易受攻击的 MOVEit Transfer 软件而导致的数据泄露，影响了数万名学生和学术人员。

在当今不断发展的数字环境中，有效的恶意软件检测仍然至关重要。随着网络攻击威胁不断升级，网络安全成为防止数据泄露和数据泄露的重要屏障。

PolySwarm通过整合区块链技术，在增强恶意软件检测能力方面取得了重大飞跃。

通过利用协作威胁检测引擎的力量，该平台开创了创新方法来加强对这些不断变化的威胁的防御。

这项合作现在迎来了PolySwarm 广泛的检测引擎网络中的新成员——网络威胁情报搜索引擎 Crime IP。

PolySwarm：利用专用引擎提升检测能力

PolySwarm 创新方法的核心在于专门的检测，并由针对不同威胁类别精心定制的微引擎提供支持。

这些微引擎由广大安全专业人员专业设计和监督，能够有效分解威胁检测任务。

这些专注的检测引擎由不同的专家精心设计，可有效针对特定威胁，包括恶意软件、网络钓鱼和勒索软件。

Crime IP 的专业知识增强了威胁数据聚合和验证

Crime IP 的专业知识旨在增强关键威胁数据的聚合和验证。

Critical IP 作为PolySwarm 恶意 URL 检测的新贡献者的加入代表了专业威胁识别方面的重大飞跃。

通过利用由多元化安全社区开发的精密微引擎，PolySwarm 采取战略措施来应对不同的威胁类别，从而提高威胁检测的准确性。

此外，犯罪 IP 对威胁数据的聚合和验证的贡献在识别真实威胁同时最大限度地减少误报方面发挥着关键作用。

微软默认为所有人启用了一个内核信息泄露漏洞修复程序，此前由于担心它可能会给 Windows 带来重大更改而禁用该漏洞。

该漏洞被跟踪为 CVE-2023-32019  ，严重程度为中等程度 4.7/10，微软将该缺陷的严重程度评为“重要”。

该漏洞由 Google 零号项目安全研究员 Mateusz Jurczyk 发现，它允许经过身份验证的攻击者访问特权进程的内存以提取信息。

虽然据信该漏洞并未被广泛利用，但微软最初发布了禁用修复程序的安全更新，警告称这可能会导致操作系统发生重大变化。

“本文中描述的解决方案引入了潜在的重大更改。因此，我们将发布默认禁用的更改，并提供启用它的选项，”  微软解释道。

相反，Windows 用户必须通过在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides项下添加以下注册表值来手动启用更新  ：

• Windows 10 20H2、21H2、22H2： 添加名为4103588492 且值数据为 1 的新 DWORD 注册表值 
• Windows 11 21H2：添加一个名为4204251788 的新 DWORD 注册表值，  其值数据为 1
• Windows 11 22H2：添加一个名为4237806220 的新 DWORD 注册表值  ，其值数据为 1
• Windows Server 2022： 添加名为4137142924 且值数据为 1 的新 DWORD 注册表值 

不过，微软并没有透露启用该更新可能会产生哪些冲突，只是当时告诉 BleepingComputer 将来会默认启用该更新。

这种不确定性导致许多 Windows 管理员没有部署该修复程序，因为担心这会导致 Windows 安装出现问题。

正如Neowin首次发现的那样 ，微软现已在2023 年 8 月的周二补丁更新中默认启用了 CVE-2023-32019 的修复 。

“本文中描述的解决方案已发布为默认启用。若要应用默认启用的解决方案，请安装 2023 年 8 月 8 日或之后的 Windows 更新。” Microsoft 在其支持公告的更新中对此进行了解释。

“不需要用户采取进一步的行动。”

28u.cc已与众多 Windows 管理员讨论了此更新，但没有人报告启用此更改后出现的问题。

Monti 勒索软件团伙在其数据泄露网站上发布受害者信息两个月后卷土重来，他们使用新的 Linux 锁来针对 VMware ESXi 服务器、法律和政府组织。

趋势科技的研究人员在分析 Monti 的新加密工具时发现，它“与其他基于 Linux 的前辈有显着差异”。

新的 Linux 储物柜

Monti 储物柜的早期版本在很大程度上 (99%) 基于 Conti 勒索软件泄露的代码，但新储物柜的相似度仅为 29%。

趋势科技观察到的重大修改如下：

• 删除“--size”、“--log”和“-vmlist”参数并添加新的“-type=soft”参数，以更微妙的方式终止 ESXi 虚拟机 (VM)逃避检测。
• 添加“--whitelist”参数来指示锁定器跳过主机上的特定 ESXi 虚拟机 (VM)。
• 修改“/etc/motd”和“index.html”文件以在用户登录时显示勒索信息内容（每日消息）。

• 现在将字节签名“MONTI”以及与加密密钥相关的附加 256 字节附加到加密文件。
• 检查文件大小是否低于或超过 261 字节，加密较小的文件，并检查较大文件是否存在“MONTI”字符串。如果字符串丢失，则会加密文件。
• 新变体使用 OpenSSL 库中的 AES-256-CTR 加密方法，这与之前使用 Salsa20 的变体不同。
• 大小在 1.048MB 到 4.19MB 之间的文件将仅加密前 100,000 字节，而小于 1.048MB 的文件将完全加密。
• 大小超过 4.19MB 的文件将对其部分内容进行加密，这是通过右移操作计算得出的。

• 新变种将 .MONTI 扩展名添加到加密文件中，并在其处理的每个目录上生成勒索字条（“readme.txt”）。

研究人员表示，该代码的亮点之一是其逃避检测的能力得到提高，这使得识别和减轻 Monti 勒索软件攻击变得更加困难。

Monti勒索软件背景

Monti 勒索软件于 2022 年 6 月首次被MalwareHunterTeam发现 ，一个月后由黑莓公开记录，Monti 勒索软件似乎是 Conti 的克隆，因为它在乌克兰研究人员泄露后使用了 Conti 的大部分代码。

2022 年 9 月，Intel471 的一份报告强调，基于相同的初始网络访问方法，Monti 成为 Conti 品牌重塑的可能性增加。

然而，由于攻击量相对较低，该威胁行为者并没有引起研究人员的太多关注，  Fortinet仅在 2023 年 1 月发布了一份报告，对其 Linux 储物柜进行了粗略检查。

该团伙成员并不认为自己是网络犯罪分子，也不认为他们的软件是恶意的。他们将他们使用的工具称为揭示企业网络安全问题的实用程序，并将他们的攻击称为渗透测试，他们希望为此获得报酬。如果受害公司不付款，他们就会在数据泄露网站的“耻辱墙”部分下公布受害者的姓名。

尽管用这些术语来描述他们的活动，但 Monti 团伙的行为与任何其他勒索软件团伙一样，破坏公司网络、窃取数据并索要赎金。