FreeBuf 2018年企业安全月报（一月刊）

去年年底，FreeBuf研究院发布了《2017企业安全威胁统一应对指南》，帮助企业了解 2017 年安全行业的威胁动态和企业能够实际采取的应对方案，有助于帮助企业做出许多重要决策。

自2018年1月起，我们将持续为大家提供关于企业安全方面的资讯。资讯以月报形式发出，帮助企业在防范安全漏洞的同时掌握安全市场的最新动态，让企业能够及时地做出应对措施。

2018年1月4日，Jann Horn等安全研究者披露了”Meltdown”(CVE-2017-5754)和”Spectre”(CVE-2017-5753 & CVE-2017-5715)两组CPU特性漏洞。

漏洞会造成CPU运作机制上的信息泄露，低权级的攻击者可以通过漏洞来远程泄露用户信息或本地泄露更高权级的内存信息。更多信息可以查看“芯片底层漏洞专题”。

实际攻击场景中，攻击者在一定条件下可以做到：

泄露出本地操作系统底层运作信息，秘钥信息等；

通过获取泄露的信息，可以绕过内核(Kernel), 虚拟机超级管理器(HyperVisor)的隔离防护；

云服务中，可能可以泄露到其它租户隐私信息；

通过浏览器泄露受害者的帐号，密码，内容，邮箱,cookie等用户隐私信息；

截至目前相关的平台，厂商，软件提供商提供了解决方案应对该漏洞。

[更多详情]

趋势科技报道，KillDisk 磁盘擦除恶意软件出现新版本，拉丁美洲金融公司遭受攻击。

KillDisk 最初主要是主要感染后期部署的磁盘擦除恶意软件，可用于破坏入侵证据并隐藏攻击者踪迹。由俄罗斯的网络间谍组织 Telebots 开发和使用。这个团队创造了袭击美国工业设备的 Sandworm 恶意软件，用于攻击乌克兰电网的 BlackEnergy 恶意软件，以及 2017 年 6 月袭击许多公司的 NotPetya 勒索软件。

2016 年底，KillDisk 伪装成勒索软件攻击乌克兰银行，其 Linux 变种也在不久之后被发现并用于相同目标。而近日，新版本的  KillDisk 出现，保留了其磁盘擦除特性，并依然伪装成勒索软件，针对拉丁美洲的金融机构发起攻击。一旦 KillDisk 感染计算机，就会自动加载进内存，从磁盘中删除文件并重命名进行伪装。随后，它会重写每个储存设备 MBR 中前 20 个部分，并重写每个固定或可移动内存设备中每个文件的前 2800 个字节，最后开始 15 分钟计时，删除多个重要的操作系统相关进程。系统重启后，如果不修复受损的 MBR 记录，用户就无法使用计算机。

[来源：bleepingcomputer]

1 月 11 日星期四，有黑客入侵了美国印第安纳州当地的一家医院网络（Hancock Health），使用 SamSam 勒索软件加密文件，并将相关文件重命名为“I’m sorry”。随后，医院的运营受到影响。 IT 人员介入并暂停了整个网络，要求员工关闭所有计算机，以避免勒索软件传播到其他计算机。在此情况下，医护人员利用笔和纸来代替电脑继续工作，尽力照顾患者。

而在医院方面，尽管文件都有备份，他们还是选择支付了黑客要求的 4 比特币赎金（支付时价值约为 5.5 万美元）。医院表示，从备份中恢复文件很麻烦，因为要把所有的系统投入运行需要几天甚至几周的时间。 因此，他们决定支付赎金，以便尽快恢复正常运营。

本次攻击中使用的 SamSam 勒索软件在两年前就已经出现过。主要通过开放的 RDP 端口传播。不过医院表示，此次被入侵并非是由于员工偶然点击恶意邮件造成的。具体感染原因目前尚不清楚。

[来源：bleepingcomputer]