SCO:知道创宇 404 实验室披露 2018 年信息安全相关国际大事件

纵观2018年网络安全事件，网络犯罪分子攻击手段变幻莫测，除了零日漏洞的利用外，勒索软件、恶意挖矿大行其道，区块链领域险象环生，暗网数据泄露更是层出不穷，而且攻击渠道日益变幻，IoT设备、工业网亦成为不法黑客的攻击重点，以上这些皆都为整个网络空间安全环境带来全新挑战。

知道创宇404实验室通过监控、分析全球威胁活动信息，积极参与各类安全事件应急响应，并结合2018年全年国内外各个安全研究机构、安全厂商披露的重大网络攻击事件，基于这些重大攻击事件的攻击技术、危害程度等，评选出2018年信息安全相关大事件。

0x00国际篇

1.MemcacheDDoS攻击

2018年3月1日，Github遭受遭1.35TB大小的DDoS攻击，随后的几天，NETSCOUTArbor再次确认了一起由MemcacheDDoS造成的高达1.7Tbps的反射放大DDoS攻击。在2018年上半年虚拟货币价值飙升、黑灰产转向至挖矿领域、反射放大攻击持续下降的情况下，利用MemcacheDDoS造成如此大流量的攻击，其威力可见一斑。

SEC对Coinbase声称不知道自己违反了证券法的说法表示怀疑:金色财经报道，SEC的律师对Coinbase声称不知道自己违反了证券法的说法表示怀疑。SEC对Coinbase认为SEC没有足够的管辖权对其提起诉讼的文件做出了回应，文件表示，SEC将反对Coinbase可能提出的任何判决动议，并要求法院驳回Coinbase关于该诉讼违反重大问题原则和其他担忧的论点。Coinbase是一个由成熟的法律顾问提供咨询的数十亿美元的实体，它辩称自己没有意识到其行为有违反联邦证券法的风险，并表示通过在2021年批准Coinbase的注册声明，SEC确认了Coinbase的基本商业活动的合法性。然而Coinbase之前采用的正是美国最高法院颁布的法律框架，以确定某些加密货币是否符合联邦证券法的要求，同时\"明确不鼓励\"加密货币发行商做出任何传统上与证券相关的声明。[2023/7/8 22:25:19]

2.Cisco路由器被攻击事件

小蜜蜂Bee智能合约已通过知道创宇安全审计:据官网消息，知道创宇近日已完成小蜜蜂Bee智能合约项目的安全审计服务。

据介绍，小蜜蜂Bee是基于波场底层打造的第二代DeFi协议。旨在改善上一代DeFi协议在交易速度、成本等方面，面临的一些固有挑战，突破较大规模 DeFi 应用的瓶颈。

小蜜蜂Bee将于2020年10月15日晚20:00开启创世挖矿，目前小蜜蜂Bee已上线bitkeep钱包defi专栏推荐位，并已在Justswap开启流通。小蜜蜂Bee无ICO、零预挖且零私募，社区高度自治。

?合约地址：TNUXHrnHFJ89cgT8kCLmxYCVj3PeEqyJ4C[2020/10/13]

2018年1月，Cisco官方发布了一个有关CiscoASA防火墙webvpn远程代码执行漏洞的公告。2018年3月，Cisco官方发布了CiscoSmartInstall远程命令执行漏洞的安全公告。这两个漏洞都是未授权的远程命令执行漏洞，攻击者无需登录凭证等信息即可成功实施攻击。2018年4月6日，一个名为"JHT"的黑客组织攻击了包括俄罗斯和伊朗在内的多个国家网络基础设施，遭受攻击的Cisco设备的配置文件会显示为美国国旗，所以该事件又被称为"美国国旗"事件。

直播｜Philip Gradwell：如何知道新一轮牛市是否到来:金色财经 · 直播主办的金点Trend《以太坊之外的DeFi，香吗？ 》马上开始！16:30准时开播！本场嘉宾来自Chainalysis的首席经济分析师分享“如何知道新一轮牛市是否到来”，请扫码移步收听！[2020/8/28]

3.供应链攻击

供应链攻击一直以隐蔽、高效著称。2018年供应链攻击在不同层面都有发生、发生原因也不尽相同。有火绒安全最先曝光的针对驱动人生公司进行的攻击，有由于NodeJS库作者随意给相关库权限导致被攻击者植入后门的攻击，也有感染易语言模块并使用“微信支付”进行勒索的勒索病。供应链中任何薄弱的地方都有可能导致供应链攻击的发生。

4.GPON远程命令执行漏洞

2018年4月30日，vpnMentor公布了GPON路由器的两个高危漏洞，绕过验证漏洞和命令注入漏洞。结合这两个漏洞，只需要发送一次请求就可以在GPON路由器上执行任意命令。在该漏洞披露后的十天内，该漏洞就已经被多个僵尸网络家族整合、利用、在公网上以蠕虫的方式传播。

金色独家 知道创宇：应对交易所两类安全威胁 循因施策:金色财经独家专访，目前交易所面临的安全隐患比较多，知道创宇作为安全公司从技术的角度分析认为，安全威胁主要为：第一针对交易所平台可用性的威胁，如：DDoS攻击、CC攻击、Web应用安全攻击等；第二针对交易所用户隐私信息的威胁，如：利用安全漏洞进行入侵获取管理权限，盗取数据或者利用平台用户的安全意识薄弱，通过钓鱼网站取用户隐私信息，还有黑客在交易所平台的运维或开发人员的机器上植入病、木马、后门程序来获取用户隐私信息，甚至交易所平台的私钥等。

对于如何鉴别监守自盗和黑客入侵行为，其认为：黑客入侵时，都需要在服务器或主机上留下操作痕迹或文件，比如病、木马、恶意程序等，可以通过安全服务人员的应急响应服务，对黑客的攻击进行抑制、阻断、恢复和溯源；内部人员监守自盗的情况，往往都和内部人员的管理权限过大同时又缺少监管的情况有关，所以发生的安全事件会是非常明显的非正常时间的正常操作，可以通过审计访问日志记录、操作记录的方式进行排查。[2018/6/16]

5.Java反序列化漏洞

DDoS新动向：攻击同时发送勒索信 并不知道谁真的支付了加密币:据Mashable中文站5日报道，互联网公司Akamai的安全研究人员最近发现，网络攻击者改变了以前先发动攻击再通过电子邮件或其他方式发出勒索信的做法次序，在攻击的同时将勒索信埋在了攻击数据中一并发出去。Akamai安全情报高级工程师Chad Seaman接受《财富》采访时表示：“这实际上就像是把DDoS攻击、钓鱼式攻击和勒索攻击打包成一种攻击。当我们看到这种攻击时，感觉这些攻击者就是聪明的混蛋。”攻击者将勒索信埋在一串难以辨认的代码中，对攻击对象提出的赎金要求是 “50枚门罗币”。截至3日，这些门罗币的价值大约为1.8万美元。据采访称，然而由于门罗币固有的匿名性质，攻击者本人也并不一定知道受攻击者谁支付了赎金哪些还没有。[2018/3/6]

2018年的Java反序列化漏洞还在持续爆发，在知道创宇404实验室2018年应急的漏洞中，受此影响最严重的是WebLogic，该软件是美国Oracle公司出品的一个ApplicationServer。2018年知道创宇404实验室应急了5个WebLogic的反序列化漏洞。由于Java反序列化漏洞可以实现执行任意命令的攻击效果，是黑客用来传播病，挖矿程序等恶意软件的攻击方法之一。

6.Drupal远程代码执行漏洞

Drupal是使用PHP编写的开源内容管理框架，Drupal社区是全球最大的开源社区之一，全球有100万个网站正在使用Drupal，今年3月份，Drupal安全团队披露了一个非常关键的(21/25NIST等级)漏洞，被称为Drupalgeddon2(CVE-2018-7600)，此漏洞允许未经身份验证的攻击者进行远程命令执行操作。

7.数据泄漏事件

2018年多起大型数据泄漏事件被曝光，2018年6月12日，知道创宇暗网雷达监控到国内某视频网站数据库在暗网出售。2018年8月28日，暗网雷达再次监控到国内某酒店开房数据在暗网出售。2018年11月30日，某公司发布公告称，旗下某酒店数据库遭入侵，最多约5亿客人信息被泄漏。2018年12月，一推特用户发文称国内超2亿用户的简历信息遭到泄漏。除此之外，facebook向第三方机构泄漏个人信息数据也引起了极大的关注。随着暗网用户的增多，黑市及加密数字货币的发展，暗网威胁必定会持续增长，知道创宇404安全研究团队会持续通过技术手段来测绘暗网，提供威胁情报，追踪和对抗来自暗网的威胁。

8.EOS平台远程命令执行漏洞

2018年5月末，360公司Vulcan团队发现EOS平台的一系列高危漏洞，部分漏洞可以在EOS节点上远程执行任意代码。这也就意味着攻击者可以利用这个漏洞直接控制和接管EOS上运行的所有节点。从漏洞危害等方面来说，称该漏洞为“史诗级”名副其实。

9.多个区块链项目RPC接口安全问题

2018年3月20日，慢雾区和BLOCKCHAINSECURITYLAB揭秘了以太坊黑人节事件相关攻击细节。2018年8月1日，知道创宇404实验室在前者的基础上结合蜜罐数据，补充了后偷渡时代多种利用以太坊RPC接口盗币的利用方式：离线攻击、重放攻击和爆破攻击。2018年08月20日，知道创宇404实验室再次补充了一种攻击形式：“拾荒攻击”。RPC接口并非以太坊独创，其在区块链项目中多有应用。2018年12月1日，腾讯安全联合实验室对NEORPC接口安全问题提出预警。区块链项目RPC接口在方便交易的同时，也带来了极大的安全隐患。

10.区块链智能合约相关漏洞

区块链安全漏洞很多都出现在智能合约上。昊天塔(HaoTian)”是知道创宇404区块链安全研究团队独立开发的用于监控、扫描、分析、审计区块链智能合约安全自动化平台。将智能合约各种审计过程中遇到的问题总结成漏洞模型，并汇总为《知道创宇以太坊合约审计CheckList》。涵盖了超过29种会在以太坊审计过程中会遇到的问题，其中部分问题更是会影响到74.49%已公开源码的合约。

随着2017年年末的一款名为CryptoKitties(以太猫）的区块链游戏爆火，智能合约DApp成了2018年区块链发展的主旋律。2018年4月22日，攻击者利用BEC智能合约转账函数中的一处乘法溢出漏洞，清空了BEC的所有合约代币。2018年7月24日，外国的一位安全研究者利用Fomo3D的Airdrop特性加上随机数漏洞，让Fomo3D损失了空投池中所有的代币。2018年8月22日，Fomo3D第一轮大奖被开出，攻击者利用以太坊底层的交易顺序问题获得了超过10000枚以太币，这个漏洞的曝光也标志着对交易顺序依赖的智能合约正式的死亡。包括以太坊DApp和EOSDApp在内，从实际的安全漏洞到业务安全问题，智能合约安全漏洞直接威胁着代币安全，这也标志着智能合约会经受着更大挑战。

本文来源于非小号媒体平台：

知道创宇

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627125.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

从2018年度区块链安全大事件，看当前区块链安全发展与问题

下一篇：

日本通证监管探索之路，案件推动，多措并举

标签：区块链SCO以太坊UPA区块链技术通俗讲解举例Scoin以太坊币最新价格行情Rupaya

AAVE热门资讯