安全焦点

勒索软件团伙的“得力助手” DoubleVPN 的服务器被查封

执法部门查封了 DoubleVPN 的服务器，这是一项基于俄罗斯的 VPN 服务，提供双重加密服务，攻击者们广泛使用该服务来匿名化其在执行恶意活动时的操作。

DoubleVPN 是一项基于俄罗斯的 VPN 服务，可对通过其服务发送的数据进行双重加密。使用该服务时，请求被加密并传输到一个 VPN 服务器，后者将其发送到另一台 VPN 服务器，后者最终连接到最终目的地。在执行网络攻击时，威胁参与者通常使用此服务来混淆他们的位置和原始 IP 地址。

执法部门表示他们获得了 DoubleVPN 服务器的访问权限，并获取了该服务客户的个人信息、日志和统计数据。“执法部门取缔了 DoubleVPN。执法部门获得了 DoubleVPN 服务器的访问权，并查获了 DoubleVPN 保存的有关其所有客户的个人信息、日志和统计数据。DoubleVPN 的所有者未能提供他们承诺的服务，”现已查封的网站说。执法部门表示“国际执法部门继续共同打击网络犯罪的推动者，无论其发生在何处，以何种方式发生。有关该网络客户数据的调查将继续进行。”

勒索病毒攻击往往会基于系统漏洞进行，通过系统漏洞扫描互联网中的机器，发送漏洞攻击数据包，入侵机器植入后门，然后上传运行勒索病毒，或者是通过钓鱼邮件、弱口令等其他方式，入侵连接了互联网的一台机器，然后再利用漏洞局域网横向传播。在这个过程中会有大量的C&C的通讯或者反弹shell的连接，如果勒索病毒犯罪份子，不对自己的真实ip地址进行技术处理，那么在执法机构的溯源过程中，很容易暴露自己的真实身份，所以DoubleVPN的双重加密特性变成了勒索病毒犯罪团伙实施犯罪行为的必备工具，相关服务的查封，对于勒索病毒的攻击也起到了一定的抑制作用。

安全风险

思科UC第三方工具现3个高危漏洞 攻击者或可执行最高权限

网络安全研究人员发现，在思科统一通信环境中用作第三方配置工具的Akkadian Provisioning Manager具有3个高度严重的安全漏洞，这些系统漏洞可以链接在一起以启用具有更高权限的远程代码执行(RCE)，目前漏洞仍未进行修补。

思科的UC套件支持跨业务范围的VoIP和视频通信。Akkadian产品通常用于大型企业，通过自动化来帮助管理所有UC客户端和实例的配置和配置过程。

应对建议为了保护公司环境，公司应该限制对SSH端口(22/tcp)的网络访问，以便只允许受信任的用户访问，并禁用任何面向Internet的连接。此外，系统运营商应了解，在没有修复的情况下，由于存在第2和第3个问题，有权访问Akkadian Appliance Manager的用户实际上拥有对设备的root shell访问权限。

企业安全

首款利用Windows Server容器攻陷云环境的恶意软件

Palo Alto Networks 公司的安全专家表示，发现了针对并逃逸 Windows Server 容器以感染受害者 Kubernetes 集群基础设施的首款恶意软件。

研究人员表示，攻击者一直在扫描互联网中的常见云应用程序如 Web 服务器并部署老旧漏洞的 exploit，以在未修复应用程序上站稳脚跟。如该 web app 在 Windows Server 容器中运行，则攻击者会部署名为 “Siloscape” 的恶意软件，通过此前记录的 Windows 容器逃逸技术访问底层操作系统。如该操作系统以 Kubernetes 节点方式运行，则攻击者提取并收集该节点的凭证。Siloscape 同时下载并安装了 Tor 客户端以联系其命令和控制服务器并接受命令。研究人员指出，“其它攻击容器的恶意软件一般旨在劫持密币，但 Siloscape 并不会主动执行任何损害集群的动作，而是专注于不被检测到和不被追踪到，并在集群中打开后门。”

Palo Alto 公司正在警告各企业采取行动，将应用程序从 Windows 容器转移到微软新推出的 Hyper-V 可视化技术，而甚至微软也在推荐使用这种新技术而非老旧且安全程度更低的容器机制。如不重视这一建议，重要的内部系统就可能遭攻击。虽然该攻击者很可能以密币挖掘牟利，但它同时能够将某些大型被黑企业的访问权限出租给其它犯罪组织，如勒索软件组织，获取更大的收益。

文/上海蓝盟 IT外包专家

• 上一篇: 蓝盟IT外包一站式解决方案：引入航空级SOP标准，实现网络与服务器从被动应急到主动运维的全面升级
  下一篇: 蓝盟IT外包：微软云&腾讯云融合解决方案研讨学习会热烈进行时

• 分享到：