worm.win32(wormwin32autorunatmn)

NO.5 ClubHou數據泄露事件

1. 事件穿越

大東：ClubHou聊天室被攻擊者竊聽，大量的用戶信息被竊取。

小白：啊，怎么做到的？

大東：ClubHou用戶隱私被竊取有兩種主要形式，第一種是攻擊者直接竊聽了ClubHou聊天室；第二種是攻擊者竊取了用戶數據，大量的用戶數據被拖庫。

小白：拖庫是什么呢？

大東：直白來說便是攻擊者隱藏自己的身份，暗地里將語音聊天流數據傳輸到了自己的網站。

2. 事件影響

小白：那我們國內的用戶有沒有受到什么影響呢，東哥？

大東：由于ClubHou使用了中國公司Agora的實時語音技術服務，由此也引發了外媒和安全人員的焦慮。

小白：那Agora公司對于這件事保持了什么態度呢？

大東：大東：Agora表示，它無法對Clubhou的安全或隱私協議發表評論，并堅稱本公司不會為任何客戶“存儲或共享個人身份信息”。而且在Agora官網首頁的顯要位置看到Agora的“安全與合規”聲明——“兼具數據安全保障和個人隱私保護的RTE可靠服務，服務每一位開發者，尊重每一位終端用戶”。

小白：那這個事件最后發展如何了？

大東：在2021年2月初，中國的ClubHou用戶表示，由于敏感話題討論激增，他們已無法訪問該應用程序，該程序已經下架。

3. 小白內心說

小白：任何軟件沒有絕對的安全，我們只需要審時度勢，不要盲目追捧一些新問世的軟件，也不要輕易在網絡上發布個人信息。

NO.4 Windows與Android雙平臺水坑攻擊

1. 事件穿越

大東：水坑攻擊屬于APT攻擊的一種，它是一種高級的釣魚攻擊！

小白：它與釣魚攻擊相比有哪些升級呢？

大東：與釣魚攻擊相比，攻擊者無需耗費精力制作釣魚網站，而是利用合法網站的弱點，隱蔽性比較強。

小白：攻擊者是利用了我們對那些經常訪問的網站的信任啊。

大東：水坑攻擊利用這些被信任網站的弱點在其中植入攻擊代碼，攻擊代碼利用瀏覽器的缺陷，被攻擊者訪問網站時終端會被植入惡意程序或者直接被盜取個人重要信息。

小白：那東哥，這個水坑攻擊最近怎么又出來興風作浪了呢？

大東：因為本次攻擊過程，攻擊者利用漏洞利用鏈分別針對Windows和Android用戶進行了0day漏洞攻擊。

2. 事件影響

小白：那東哥，本次雙線水坑攻擊事件最后怎樣解決了呢？

大東：谷歌在漏洞利用服務器中尋找到了四個Chrome漏洞利用，而且其中的一個CVE-2020-6418-TurboFan中的Chrome漏洞在發現時還未修復。

小白：哇，那要盡快修復啊！還有其他類型的漏洞嗎，東哥？

大東：研究者們還發現了三個Windows 0day漏洞，分別是兩個Windows上的字體漏洞和CRSS漏洞。

小白：除了這些還有別的收獲嗎，東哥？

大東：他們還獲得了一個提權工具包，其中包含針對較舊版本的Android的Nday漏洞。

3. 小白內心說

小白：東哥，為了應對水坑攻擊，公司和組織可以采取哪些防范措施呢？

大東：首先，公司安全負責人員應當定期檢查員工訪問量最大的網站是否存在惡意軟件，并對發現的所有受感染站點進行攔截。安全人員也可以設置瀏覽器和工具，以利用網站信譽讓用戶知道不良網站。總而言之，針對這類攻擊，重要的一點便是對用戶進行安全教育，讓大家意識到這類攻擊及其危害性，遇到點擊鏈接的要求時越謹慎越好。

NO.3 Incaformat蠕蟲病毒

1. 事件穿越

小白：Incaformat蠕蟲病毒是在什么時候出現的？又是什么類別呢？

大東：這其實是一個比較古老的蠕蟲病毒了，某機構根據此類病毒的傳播機理，將其系列變種均統一歸入Worm/Win32.Autorun。

小白：這么早的病毒，那為什么現在還會造成危害呢？

大東：其實，此類病毒近期傳播感染并沒有激增，之所以有人會被攻擊其實就是用戶的安全意識不高所導致的。因為很多機構和個人用戶機器長期處于“裸奔狀態”，或者不安裝一些防護軟件，導致這一蠕蟲病毒長期寄存在電腦中。

小白：如果是這樣的話，那為什么病毒現在才爆發呢？

大東：其實之所以病毒最近才發作是攻擊者的疏忽，病毒制作者預設2010年4月1日為首次發作日期，但是由于傳入的函數參數錯誤，導致這個事件被延遲到了2021年1月13日。

2. 事件影響

小白：東哥，那些被病毒刪除的文件是不是找不回來了呀？

大東：其實還是有補救的余地的，安全廠商經測試發現該蠕蟲病毒刪除的文件可由數據恢復軟件進行恢復。

小白：哦哦，我們應該怎么手動處置這個病毒呢？

大東：處置的方法很簡單，首先結束下列進程tsay.exe、ttry.exe。

小白：然后呢?

大東：接下來需要刪除C:windows say.exe；C:Windows try.exe，最后刪除該路徑HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce下名為“msfsa”的鍵值。

3. 小白內心說

小白：網絡空間的安全不能只靠安全廠商設計出更安全的軟件，還需要我們培養安全意識，不然的話，無論有多安全的軟件，都會有可能被黑客入侵，所以現在群眾的網絡安全意識培養是重中之重。

NO.2 攝像頭非法采集人臉信息

1. 事件穿越

小白：2021年“3·15”晚會曝光了某公司使用某品牌攝像頭非法采集顧客的人臉信息。

大東：數字時代個人的生物特征還是很重要的，保護個人的隱私是重中之重。而且，我最近看新聞發現，江蘇省張家港市市場監督管理局對轄區內的商戶進行專項排查后發現，某些門店仍存在類似情況。

小白：什么？居然敢頂風作案？能詳細說一下嗎？

大東：有人提供新聞線索給張家港市市場監督管理局執法人員，然后其在對轄區內商戶進行專項排查時發現，某公司的門店內攝像頭居然被膠帶包裹。

小白：被膠帶裹著？上面到底寫的什么？

大東：這個情況也引起了當時執法人員的注意，工作人員將膠帶拆除后發現該攝像頭側面赫然印著某攝像頭的品牌logoXX掌。

小白：我之前只知道xx掌這款攝像頭不好，會非法采集顧客人臉信息，但是對顧客的隱私有多大侵犯我還真不太清楚，東哥，你能說一下嗎？

大東：侵犯隱私的主要依靠該APP的人臉識別功能，它不僅能夠識別進店顧客的性別、年齡段等信息，而且還可以自動將顧客識別，并打上“新顧客第一次到店”、“熟客第15次到店”、“會員”等的標簽，而這些信息的采集顧客毫不知情！

2. 事件影響

大東：記者在全國多地先后調查了20多家裝有人臉識別系統的商戶，所到之處，人臉識別信息均被偷偷獲取，沒有一個商家明確告知，征得同意更是無從談起。

小白：能舉幾個例子嗎？

大東：比如，在某汽車4S店記者發現了瑞*公司的人臉識別攝像頭。在某專賣店，記者看到了xx掌公司的攝像頭。某公司也在全國上千家門店安裝了具有人臉識別功能的攝像頭，消費者只要進了其中一家店，在不知情的情況下，就會被攝像頭抓取并自動生成編號,以后顧客再去哪家店，去了幾次，科*衛浴都會知道。

小白：那他們到底安裝了多少攝像頭，收集的信息又有多少呢？

大東：據某電子科技股份有限公司經理透露，“這種攝像頭已經安裝了幾十上百萬個了。”蘇州某網絡科技有限公司經理也告訴記者，他們平臺目前擁有的人臉數據量已經上億。

小白：那這件事情是怎樣進行處理的呢？

大東：在被3·15晚會點名之后，上述4家企業均發表聲明稱“已成立專項工作組，就此事開展自查”，部分企業甚至表示，將暫停人臉識別相關業務。

3. 小白內心說

小白：技術的力量我們不能否認，我們應該做的是防止這種力量被濫用，并且去學習、了解、掌握最新的科技知識，才能不會一無所知地被侵犯、利用。

NO.1 “老裁縫”激活工具

1. 事件穿越

大東：這次安全事件發生在2021年四月上旬，是一起由“老裁縫”激活工具引發的供應鏈感染事件。

小白：具體發生了什么呢？

大東：具體就是相關研究者處置了一起針對特定設備的“老裁縫”木馬感染事件，系相關設備制造公司交付時使用了被污染系統激活工具所致，屬于一起較典型的供應鏈污染事件。

小白：相關研究者是怎么發現的呢？

大東：就是在安全監測過程中發現一臺設備不斷地請求惡意域名“tsh16.t15jk.com”和“rl1.w7q.net”。接著威脅情報顯示這兩個域名標簽為“惡意軟件”、“電商劫持”，因此初步判斷該設備被黑產木馬感染。這個黑產木馬就是“老裁縫”木馬。

小白：我沒有了解過這個“老裁縫”木馬病毒啊，你能解釋一下嗎？

大東：“老裁縫”激活工具從2015年就已經開始制作病毒，因為C&C通信服務器中包含laocaifeng字符串，所以病毒以“老裁縫”命名。

2. 事件影響

小白：那它是怎么進行攻擊的呢？

大東：“老裁縫”會按照制作者的計劃，通過云端規則下發任務的方式，對電商進行劫持，劫持的電商有某東、某貓、某寶等電商平臺。

小白：除了對電商進行攻擊，還有別的攻擊對象嗎？

大東：當然有，“老裁縫”木馬也會對自媒體視頻進行播放量暗刷。

小白：都有哪些平臺呢？

大東：視頻網站包括某酷、桃廠、某狐等幾大站點。根據統計顯示“老裁縫”進行暗刷的自媒體視頻廣告條目有208條，平均每一條視頻總的訪問量約在2.5W左右，最高的一條達57W左右。

3. 小白內心說

小白：在日常上網過程中遇到陌生鏈接不要隨便點擊，下載app也要盡可能前往官網。手機權限不要隨便提供給軟件，這些可能會影響到使用的隱私安全，特別是root，root權限相當于手機令牌，軟件一旦被惡意使用，手機會變得非常危險。

來源：中國科學院信息工程研究所