1017-NSA推出精英狼项目，强化OT网络入侵检测签名和威胁分析-ShellBot僵尸网络使用十六进制 IP 地址绕过检测

点击上方蓝色文字关注我们

NSA推出“精英狼”项目，强化OT网络的入侵检测签名和威胁分析；

标签：NSA

当地时间周四（10月12日），美国国家安全局 (NSA) 发布了专为OT（运营技术）环境设计的入侵检测签名和分析存储库，为网络安全领域做出了重大贡献。该资源被称为“Elitewolf”，可以帮助关键基础设施、国防工业基础和国家安全系统的防御者识别和检测其OT环境中潜在的恶意网络活动。

Elitewolf现已在NSA的GitHub页面上提供，致力于帮助组织加强OT领域的安全措施。美国NSA和其下属的网络安全机构负责人Rob Joyce分别在社交媒体平台上发布了这一消息，足见这项工作的重要性。

据其GitHub页面上的“nsacyber”称，此举出台之际，对手和不良行为者已经表现出他们持续愿意通过利用可通过互联网访问的易受攻击的OT资产对关键基础设施进行恶意网络活动。由于对手能力和活动的增加、对美国国家安全和生活方式的重要性以及运营技术系统的脆弱性，民用基础设施成为试图损害美国利益或对美国侵略进行报复的外国势力有吸引力的目标。

此外，强烈建议ICS/SCADA/OT（工业控制系统/监控和数据采集）关键基础设施所有者和运营商实施持续且警惕的系统监控计划。

美国国家安全局认为，民用基础设施已成为外国势力试图损害美国利益的有吸引力的目标。它补充说：“由于对手能力的增强、OT系统的脆弱性以及潜在的影响范围，NSA建议OT关键基础设施所有者和运营商实施ELITEWOLF作为持续和警惕的系统监控计划的一部分。”

信源：https://industrialcyber.co/critical-infrastructure/nsa-unveils-elitewolf-repository-of-intrusion-detection-signatures-and-analytics-for-ot-environments/

美国众议院通过法案，拟将联邦政府打造成网络安全“模范雇主”；

标签：美国，众议院

10月16日消息，美国众议院10月2日通过一项两党法案，规定除非法律要求，联邦机构不得对网络安全工作设定最低教育要求。

《网络安全专家培养现代化法案》（简称MACE法案，编号HR 4502）旨在扩大合格申请人的范围，从而解决联邦网络安全岗位面临的人才短缺问题。法案以394对1票的压倒性优势轻松过关。该法案由众议员Nancy Mace（南卡罗来纳州，共和党）和Katie Porter（加利福尼亚州，民主党）联合发起。

根据这项立法，机构只能在岗位能力与教育背景直接挂钩的情况下考虑申请人的教育水平。法案还要求人事管理办公室每年发布报告，详细介绍网络安全职位最低资质要求的变化、汇报担任此类职位人员的教育水平数据。

本项法案通过的大背景是，拜登政府将网络安全人才议题作为优先要务。今年七月，拜登政府发布《国家网络人才和教育战略》，表示将通过开展基于技能的招聘、提供奖学金、减少网络安全人才在公共和私人服务之间转换障碍等方式加强联邦网络安全人才队伍。

受美国商务部资助的网站CyberSeek表示，根据2022年5月至2023年4月与网络安全相关的在线职位招聘信息，美国联邦政府大约有8376个网络安全工作岗位空缺。

今年七月，众议院监督与问责委员会对法案进行最后审议。Nancy Mace表示，法案将帮助联邦政府成为网络安全招聘的领导者。

Nancy Mace是众议院网络安全、信息技术和政府创新小组委员会主席。她表示：“民主党议员经常说，联邦政府应该是一个‘典范雇主’；我们需要消除不必要的学位障碍，确保联邦政府成为这样的雇主。”

在同一份新闻稿中，Katie Porter说：“如果申请者能够证明他们的资质和能力，不应该因为少了某项教育证书，就被拒绝从事联邦工作。”

该法案随后将移交参议院审议。

信源：https://www.secrss.com/articles/59685

ShellBot 僵尸网络使用十六进制 IP 地址绕过检测；

标签：ShellBot，僵尸网络

ShellBot僵尸网络背后的攻击者使用十六进制转换的IP地址渗透易受攻击的Linux SSH服务器并部署恶意软件以发起DDoS攻击。

AhnLab Security ( ASEC ) 今天发布的 一份 新报告指出：“整体黑客行为保持不变，但攻击者用于安装 ShellBot 的 下载URL已从常规 IP 地址更改为十六进制值。”

ShellBot，也称为PerlBot，通过字典攻击危害SSH数据较弱的服务器的安全。该恶意代码用于发起 DDoS 攻击并交付加密货币矿工。

该僵尸网络的 恶意代码是用 Perl 开发的，使用IRC协议与 C2 命令和控制服务器进行通信。

最近观察到的 ShellBot 攻击使用十六进制 IP 地址安装恶意软件。例如，为IP地址“hxxp://0x2763da4e/”创建通信通道，其对应地址“hxxp://39.99.218.78”。

这种连接方法工作正常，不会引起检测，由此我们可以得出结论，黑客故意想出这样的伎俩来绕过基于URL的检测。

ASEC强调：“通过使用curl进行下载及其支持十六进制地址的能力，类似于Web浏览器，ShellBot可以在Linux环境中成功下载并通过Perl执行。”

该恶意软件的发展表明 ShellBot 继续被积极用于 Linux 系统的网络攻击。由于 ShellBot 可用于安装其他恶意软件或从受感染的服务器发起各种类型的攻击，因此建议使用强密码并定期更改。

此前，ASEC 发现了一种恶意操作 ，使用主题名称和颁发者名称字段具有异常长字符串的非标准证书来分发信息窃取恶意软件 – Lumma Stealer 和 RecordBreaker。

回到 ShellBot，此活动提醒我们，攻击者可以使用诸如用十六进制值替换经典 IP 地址等技巧轻松绕过标准检测机制。

信源：https://www.anquanke.com/post/id/290743

研究人员发布 AI 算法，可检测对无人军用车辆的 MitM 攻击；

标签：无人军用车辆

南澳大利亚大学和查尔斯特大学的教授开发了一种算法来检测和拦截对无人军事机器人的中间人（MitM）攻击。

MitM 攻击是一种网络攻击，其中两方（在本例中为机器人及其合法控制器）之间的数据流量被拦截，以窃听或在流中注入虚假数据。

此类恶意攻击旨在中断无人驾驶车辆的运行，修改传输的指令，在某些情况下甚至夺取控制权，指示机器人采取危险行动。

“机器人操作系统（ROS）极易遭受数据泄露和电子劫持，因为它的网络化程度非常高，”参与该研究的安东尼·芬恩教授评论道。

“以机器人、自动化和物联网发展为标志的工业 4 时代的到来，要求机器人协同工作，其中传感器、执行器和控制器需要通过云服务相互通信和交换信息。”

“这样做的缺点是，它们非常容易受到网络攻击。”

大学研究人员开发了一种使用机器学习技术的算法来检测这些尝试并在几秒钟内将其关闭。

信源：https://hackernews.cc/archives/46195

CISA警告利用Adobe Acrobat漏洞的攻击；

标签：CISA，Adobe Acrobat

美国网络安全机构CISA周二（10日）宣布，在其已知利用的漏洞目录中又增加了五个安全缺陷，警告组织利用今年早些时候曝光的Adobe Acrobat和Reader缺陷进行攻击。Adobe Acrobat和Reader问题为CVE-2023-21608，这是一个释放后使用漏洞，可利用当前用户的权限实现远程代码执行(RCE)。Adobe于2023年1月发布了针对此缺陷的补丁，但此后发布了大量概念验证(PoC)漏洞和技术文章，为威胁行为者开始针对该问题进行攻击创造了机会。尽管似乎没有公开报告描述对CVE-2023-21608的野外利用，但CISA 表示，它只是根据已发生利用的确凿证据将CVE添加到KEV列表中。CISA还通过CVE-2023-20109扩展了KEV，这是Cisco IOS和IOS XE的组加密传输VPN(GET VPN)功能中的越界写入缺陷。在Microsoft发布影响Skype for Business (CVE-2023-41763)和WordPad (CVE-2023-36563)的两个零日漏洞补丁的同一天，CISA将这两个缺陷添加到了KEV中。Microsoft和CISA均未提供有关观察到的攻击的详细信息。

信源：https://www.securityweek.com/cisa-warns-of-attacks-exploiting-adobe-acrobat-vulnerability/

一键四连