研究人员在调查资安漏洞的过程,很有可能面临系统维护业者、软体开发业者的关切,认为研究人员在从事骇客行为而采取法律行动,对此,近期有国家特别针对研究人员调整相关法律,而引起注目。
德国联邦司法部本周提出新的刑法修正草案,就是针对此事而来,而透过修法保护资安研究人员的做法已有先例,2022年,美国修订《电脑诈欺及滥用法案(CFAA)》,豁免研究人员遭到起诉的风险。
【攻击与威胁】
软体供应链攻击已在近年成为不可忽视的威胁,Checkmarx资安研究团队最近发现了一种新手法,过程中运用区块链技术。该攻击使用以太坊(Ethereum)区块链智慧合约作为指挥与控制(C2)伺服器的中介,透过NPM套件传播跨平台恶意软体。这种新手段,不仅提升了攻击的隐蔽性,也使攻击架构更难被阻断,成为软体供应链的新威胁。
该攻击行动透过NPM生态系中的仿冒套件jest-fet-mock启动,该套件伪装成为合法的JavaScript测试工具。攻击者利用名称误植(Typosquatting)技术,在NPM中发布仿冒套件,而该套件在安装过程会执行预安装脚本以自动载入恶意程式码,并进行下一步攻击程序。
值得留意的是,该攻击不仅针对Windows平台,同时也影响Linux与macOS开发环境。由于开发人员通常拥有更高的系统权限,开发套件也会整合至CI/CD工作管线,因此会对开发环境和建置系统带来更高的安全性风险。
恶意软体滥用WebDAV共用资料夹来隐匿行踪的做法,今年已有数起,例如:4月出现的恶意软体IcedID变种Latrodectus,攻击者从网页应用程式开发平台Firebase下载JavaScript档案,并于受害电脑执行,就会从WebDAV共享资料夹启动MSI安装档,而能启动该恶意软体,如今类似的手法再度出现。
资安业者Cyble发现最新一波窃资软体Strela Stealer攻击行动,骇客锁定中欧及欧洲西南部地区,假借发票通知的名义寄送钓鱼邮件。这些信件挟带ZIP附件档案,该压缩档内含经重度混淆处理的JavaScript档案,骇客在其中埋藏了经Base64处理的PowerShell命令,一旦执行,就会从WebDAV伺服器启动恶意酬载,从而窃取电子邮件配置的相关资讯,以及详细的系统资讯,使得攻击者能对受害电脑进行下个阶段的恶意行为。
为何攻击者直接从WebDAV伺服器执行Strela Stealer?主要目的就是想避免在受害电脑留下恶意的DLL档案,想要躲过资安系统的侦测。
其他攻击与威胁
◆◆
【漏洞与修补】
该公司指出,这项漏洞涉及不受控制的搜寻路径元素,一旦攻击者取得安装NetBackup的磁碟根目录写入权限,就有机会借由漏洞部署恶意DLL程式库,一旦使用者执行NetBackup命令,就会载入此DLL,并执行攻击者的程式码,此漏洞的CVSS风险评为7.8分。至于如何在适当时机让使用者执行NetBackup命令,以触发攻击?Veritas指出,可利用社交工程手法达到目的。
新的草案主要是调整《刑法(StGB)》第202a条的内容,当资安研究人员、资安业者,或是白帽骇客在侦测及防堵漏洞的过程中,只要不被认定为「未经授权(unauthorized)」,就有机会免除法律责任。
这项草案正寻求各州及相关机构的意见,并在12月13日前回复,再由联邦议会进行最终审议。
其他资安产业动态