配置错误的Windows域服务器放大了DDoS攻击

配置错误的Windows域服务器放大了DDoS攻击根据黑莲花实验室最近发表的一份报告，超过12000台运行微软域控制器与活动目录的服务器经常被用来放大DDoS攻击。多年来，这一直是一场攻击者和防御者的战斗，很多时候，攻击者所要做的就是获得对僵尸网络中不断增长的连接设备列表的控制，并利用它们进行攻击。其中一个更常见的攻击方法被称为反射。反射是指攻击者不是用数据包淹没一个设备，而是将攻击发送到第三方服务器。利用第三方错误配置的服务器和欺骗数据包，使攻击看起来是来自目标的。这些第三方服务器在不知情的情况下，最终将攻击反映在目标上，往往比开始时大十倍。在过去的一年里，一个不断增长的攻击来源是无连接轻量级目录访问协议（CLDAP），它是标准轻量级目录访问协议（LDAP）的一个版本。CLDAP使用用户数据报协议数据包来验证用户，并在签署进入活动目录时发现服务。黑莲花公司的研究员ChadDavis在最近的一封电子邮件中这样说。"当这些域控制器没有暴露在开放的互联网上时（绝大多数的部署都是如此），这种UDP服务是无害的。但是在开放的互联网上，所有的UDP服务都容易受到反射的影响。"攻击者自2007年以来一直在使用该协议来放大攻击。当研究人员第一次发现CLDAP服务器中的错误配置时，数量达到了几万个。一旦这个问题引起管理员的注意，这个数字就会大幅下降，尽管自2020年以来，这个数字又急剧上升，包括根据黑莲花实验室的数据，在过去一年中上升了近60%。黑莲花为运行CLDAP的组织提供了以下建议：网络管理员应考虑不要将CLDAP服务（389/UDP）暴露在开放的互联网上。如果CLDAP服务暴露在开放的互联网上是绝对必要的，则需要努力确保系统的安全和防御。在支持TCPLDAP服务上的LDAPping的MSServer版本上，关闭UDP服务，通过TCP访问LDAPping。如果MSServer版本不支持TCP上的LDAPping，请限制389/UDP服务产生的流量，以防止被用于DDoS。如果MS服务器版本不支持TCP的LDAPping，那么就用防火墙访问该端口，这样就只有合法客户可以到达该服务。安全专业人员应实施一些措施来防止欺骗性的IP流量，如反向路径转发（RPF），可以是松散的，也可以是严格的，如果可行的话。黑莲花公司已经通知并协助管理员，他们在Lumen公司提供的IP空间中发现了漏洞。微软还没有对这些发现发表评论。...PC版：https://www.cnbeta.com.tw/articles/soft/1331447.htm手机版：https://m.cnbeta.com.tw/view/1331447.htm

[图]微软将于下月举办遏制勒索软件专项主题活动

[图]微软将于下月举办遏制勒索软件专项主题活动微软计划于北京时间9月16日凌晨0点至1点30分，举办名为“StopRansomwarewithMicrosoftSecurity”的数字线上活动。本次活动的重点是帮助组织学习如何打击勒索软件，从而避免其系统受到损害。本次活动将由查理·贝尔（CharlieBell）、瓦苏·贾卡尔（VasuJakkal）和卢·马努索斯（LouManousos）三人演讲主持。其中贝尔是MicrosoftSecurity的执行副总裁，他在微软的任务就是协助改进客户的网络安全方法，同时托管威胁和付费解决方案。微软还提供了数字活动期间的预期概要，如下所示：●聆听Microsoft领导层的重要见解，包括Microsoft安全执行副总裁CharlieBell和Microsoft安全、合规、身份和隐私业务公司副总裁VasuJakkal之间的炉边对话。●了解两种新的安全解决方案：MicrosoftDefender威胁情报和MicrosoftDefender外部攻击面管理。●查看实际的威胁情报并了解如何使用它来预防和消除勒索软件等威胁。●在实时问答聊天中让威胁防护专家回答您的问题。您可以注册该活动以参与并了解有关Microsoft安全以及如何应对恶意攻击的更多信息。在其他新闻中，微软将在10月22日至24日期间运行MicrosoftIgnite，这将是COVID-19大流行之后举行的第一次现场活动，不过与会者人数有限。PC版：https://www.cnbeta.com/articles/soft/1304779.htm手机版：https://m.cnbeta.com/view/1304779.htm

勒索软件开发者为他们的恼人活动增加了新的盈利点：整合DDoS攻击能力。

勒索软件开发者为他们的恼人活动增加了新的盈利点：整合DDoS攻击能力。勒索软件现在不仅仅能加密受害者电脑里的文件，还会利用被感染电脑发送恶意网络流量。安全研究人员报告勒索软件Cerber的一个变种整合了DDoSbot，勒索软件利用Office的宏功能执行恶意VBScript，下载和安装恶意程序，其中一个恶意负荷就是DDoS攻击工具。http://news.softpedia.com/news/ransomware-adds-ddos-capabilities-for-annoying-other-people-not-just-you-504323.shtml

微软敦促 Win10 / Win11 等用户尽快升级，已有黑客利用零日漏洞植入勒索软件

微软敦促Win10/Win11等用户尽快升级，已有黑客利用零日漏洞植入勒索软件微软本周二在安全公告中表示，已经修复了存在于Win10、Win11以及WindowsServer在内，所有受支持Windows版本内的零日漏洞。攻击者可以利用该零日漏洞，发起勒索软件攻击。微软表示该漏洞存在于Windows通用日志文件系统（CLFS）中，攻击者利用该漏洞可获取设备的所有访问权限。IT之家从网络安全公司卡巴斯基报告中获悉，已经有证据表明攻击者利用该漏洞，部署Nokoyawa勒索软件，主要针对位于中东、北美和亚洲的中小型企业的Windows服务器。攻击者利用Nokoyawa恶意软件加密文件，窃取有价值的信息，并通过公开信息等方式威胁用户支付赎金。——

洛杉矶联合学区遭勒索软件攻击 多项服务出现中断

洛杉矶联合学区遭勒索软件攻击多项服务出现中断洛杉矶联合学区(LAUSD)承认遭到勒索软件攻击，导致持续的技术中断。LAUSD是仅次于纽约市教育部的美国第二大学区。LAUSD为1000多所学校的60多万名从幼儿园到12年级的学生提供服务，并雇用了超过26000名教师。本周一，该学区承认在上周末遭到网络攻击，随后确认攻击类型为勒索软件。尽管本次攻击导致LAUSD基础设施出现“明显的中断”，不过该学区表示正着手恢复受影响的服务。LAUSD表示，预计技术问题不会影响交通、食品或课后活动，但指出“业务运营可能会延迟或修改”。该学区警告说，持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内NorthridgeAcademyHigh学校的一篇帖子证实，教师和学生可能无法访问GoogleDrive和Schoology，这是一个K-12学习管理系统，直至另行通知。LAUSD表示，根据对关键业务系统的初步分析，“员工医疗保健和工资单没有受到影响，网络事件也没有影响学校的安全和应急机制”。然而，目前尚不清楚攻击期间是否有任何数据被盗，LAUSD尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件，旨在进一步勒索受害者，威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。PC版：https://www.cnbeta.com/articles/soft/1313305.htm手机版：https://m.cnbeta.com/view/1313305.htm

【Gartner：三季度“勒索软件即服务”和比特币支付需求导致攻击激增】

【Gartner：三季度“勒索软件即服务”和比特币支付需求导致攻击激增】据全球信息技术研究和分析公司Gartner对294名不同行业和地区的企业高管调查的最新风险监测报告显示，2021年第三季度，高管们最担心的问题是“新型勒索软件”的威胁，Gartner风险与审计业务副总裁MattShinkman表示，高管们认为，不断演变的勒索软件攻击的负面影响非常严重，新的勒索软件模型在许多方面成为企业的最大威胁，这与加密货币的流行密切相关。加密货币增强了攻击者的匿名性，同时也为敲诈受害企业提供了新的模型。勒索软件的商业模式变得更加专业化和高效，包括“勒索软件即服务”和比特币支付需求，导致攻击激增。