《绝命毒师》将于本周播出。 今天我们讨论:混乱的反击,BEC是一个骗局,以及我们有趣的新游戏,两个真理和一个谎言。
以下是我们讨论过的每篇文章中的一些亮点:
混乱的反击
- ChaosDB是由Wiz的人发现的Microsoft Azure Cosmos DB云漏洞的名称。就是这些人,几周前,给我们带来了有趣的云DNS跨帐户漏洞,允许任何人接管他们根本不拥有的区域。他们的研究团队一直在做很多有趣的云安全研究,并正在建立这个云漏洞社区。
- Cosmos DB基本上是微软对托管Cassandra的回答。它是一个NoSQL数据存储,无限扩展,所有的等等等等云承诺。无论如何,与这些数据的交互可以通过Jupyter笔记本完成。Jupyter Lab是一个用于编写和记录你正在工作的代码的环境,我们在研究领域中经常使用它们作为沙盒环境。你可以创建笔记本,然后重新运行,这是一个非常有用的方式来处理巨大的数据存储和共享你的工作。我们是DomainTools的忠实粉丝,我甚至在GitHub上有很多我的个人笔记本,这很棒,它是行业标准。据称,微软托管的Jupyter笔记本实现存在一个漏洞,该漏洞位于CosmosDB之上,允许攻击者从他们的笔记本之一访问受害者的笔记本实例,然后访问受害者数据库的完整管理权限。每一个Cosmos DB用户都受到了影响,这是成千上万的组织。
- 他们在8月份发现了这个漏洞,但在此之前几个月就已经存在这个问题了。微软已经禁用了该功能,但实际上每一个Cosmos DB用户都受到了影响。如果您的环境中有Cosmos DB,那么是时候旋转一些键并假设您已经受到了损害。
- 根据Wiz的说法,微软通过禁用该功能解决了这个问题,但只通知了30%的潜在受害者。这是一个有趣的领域,云安全研究社区一直在讨论这些漏洞是否需要某种类似cve的结构。cve适用于传统应用程序漏洞,因为版本仍然存在,并且容易受到攻击,但对于这些托管服务产品,微软或亚马逊或任何更新其服务的公司,漏洞在很大程度上变得无关紧要。我认为公司会想“哦,这是固定的,这里没有什么可看的,继续前进”,然后就结束了。
- 如果你使用CosmosDB,你会受到影响,所以旋转你的键。这使得任何人都可以访问具有完全管理权限的完整CosmosDB实例。这可以通过多种方式进行杠杆化。看起来之前并没有被利用过,但你必须假设你受到了影响,因为这是一个微不足道的漏洞。这是件大事。
BEC是一个骗局
- 这个位于田园风光、实行酒税免税政策的新罕布什尔州小镇成为了所谓的商业电子邮件攻击的受害者,在一系列独立但毫无疑问相关的事件中,损失了230万美元。他们注意到的第一笔款项是给当地学区的一笔120万美元的款项,但这笔款项没有通过。或者更确切地说,这笔钱只花了一半:钱离开了小镇的银行,但从未进入学区的银行。后来发现还有几起案件涉及到一个建筑承包商。同样的交易……可以说,火车离开了第一站,从未到达第二站。
- 让我们温习BEC(商务邮件妥协),让我们全面分类。首先,你有了一般的社会工程……操纵人类而不是操纵机器。然后你就有了网络钓鱼。我无法想象听《绝命毒师》的人会不熟悉你的网络钓鱼。然后你就有了一种被称为你的商业电子邮件妥协的网络钓鱼。这就是你使用网络钓鱼的地方——通常与其他技术相结合,包括电话交谈、短信等等;总之,你用这些方法让受害者把钱转到他们认为合法的账户,但实际上他们是在付钱给罪犯。在彼得伯勒这个迷人而又地理位置优越的地方,其诱惑在于犯罪分子伪装成这些应付账款的接收者——学区和承包商。BEC经常失败的另一种方式是,犯罪分子伪装成公司高管,要求下属在他们的要求下进行电汇——通常是在匆忙中。 So there you have it.
- 2021年7月26日,镇选举委员会(基本上是镇议会)发现了与学校董事会有关的欺诈行为。在发现这种欺诈行为后,他们做了正确的事情,暂停了转移,尽管已经太晚了,并与特勤局取得了联系。不是那些防弹背心的人,而是那些明显属于财政部的人。于是在8月18日他们得知了转账给冒牌承包商的消息。23日,他们发布了一份描述该计划的新闻稿。
- 目前还没有关于谁实施了这次袭击的任何信息,但聪明的钱说这是犯罪分子的责任。随着时间的推移,我们可能会发现更多关于是谁专门欺骗了这个生机勃勃的社区。他们当然会进行调查,因为他们已经在调查了。至于收回资金....从这种意义上说,从罪犯手中夺回他们,虽然不是绝对不可能,但相当罕见。他们更有可能至少以保险的形式得到一些缓解,但他们也还不知道这一点。网络欺诈保险当然是一个东西,如果你对这类事情感兴趣,这可能是一个很好的投资行业。
- 由于他们还不知道在这些盗窃事件发生后,这个历史悠久的风景优美的社区是否或在多大程度上能在经济上得到弥补,所以很难知道。当然,这将鼓励其他犯罪分子利用BEC攻击市政当局,当然,网络保险精算师正在研究这一问题。尽管这不是一个“灾难”的词,但在事件发生后的恢复阶段,以及可能出现的立法、政策或最佳实践变化方面,有一些相似之处。
- 每个人都容易受到社会工程的影响。事实上,那些认为自己不能被社会设计的人可能比那些承认有时很难判断某事是否合法的人更有可能成为它的受害者。请注意,在这些攻击中,没有任何电子系统被入侵……只有人类。所以防御者的角色变成了像用户教育(我强调支持)这样的事情,也许在某种程度上确保电子邮件过滤尽可能好-我们不知道在这次攻击中电子邮件是如何结构的,但如果他们做了一些事情,比如使用欺骗域看起来像发件人来自一个可信的实体,那么一些电子邮件系统确实有办法发现和阻止这些。但如果你从我们严格认为的防御者中抽身,你可以制定一些政策来防御这些攻击。例如,如果是CEO版本,您可能会遇到这样的情况:确保每个被授权进行电汇的员工都有CEO的手机号码,并在进行任何转账之前打电话给他们(或者如果他们是人们在“办公室”工作的这些奇怪的地方之一,他们甚至可能会漫步到那个人的办公室并亲自询问。
两个真理和一个谎言
介绍最新一期《绝命毒师》我们要玩一个你们可能都很熟悉的游戏,叫做两个真相和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章标题,其中两篇是真实的,一篇是,你猜对了,一个谎言。
你将会找到答案!
当前的记分板
本周帽衫/糖果量表
混乱的反击(乍得):7/10的连帽衫
(Tim):9.1/10的连帽衫
BEC是一个骗局(乍得):9/10的连帽衫
(Tim):8/10的连帽衫
这就是我们本周的全部内容,你可以在推特上找到我们@domaintools,我们播客中提到的所有文章都会出现在我们的播客综述中。太平洋时间周三上午9点,我们将发布下一期播客和博客。
*特别感谢John Roderick为我们提供了令人难以置信的播客音乐!