worm.win32(wormwin32autorunatmn)

NO.5 ClubHou数据泄露事件

1. 事件穿越

大东：ClubHou聊天室被攻击者窃听，大量的用户信息被窃取。

小白：啊，怎么做到的？

大东：ClubHou用户隐私被窃取有两种主要形式，第一种是攻击者直接窃听了ClubHou聊天室；第二种是攻击者窃取了用户数据，大量的用户数据被拖库。

小白：拖库是什么呢？

大东：直白来说便是攻击者隐藏自己的身份，暗地里将语音聊天流数据传输到了自己的网站。

2. 事件影响

小白：那我们国内的用户有没有受到什么影响呢，东哥？

大东：由于ClubHou使用了中国公司Agora的实时语音技术服务，由此也引发了外媒和安全人员的焦虑。

小白：那Agora公司对于这件事保持了什么态度呢？

大东：大东：Agora表示，它无法对Clubhou的安全或隐私协议发表评论，并坚称本公司不会为任何客户“存储或共享个人身份信息”。而且在Agora官网首页的显要位置看到Agora的“安全与合规”声明——“兼具数据安全保障和个人隐私保护的RTE可靠服务，服务每一位开发者，尊重每一位终端用户”。

小白：那这个事件最后发展如何了？

大东：在2021年2月初，中国的ClubHou用户表示，由于敏感话题讨论激增，他们已无法访问该应用程序，该程序已经下架。

3. 小白内心说

小白：任何软件没有绝对的安全，我们只需要审时度势，不要盲目追捧一些新问世的软件，也不要轻易在网络上发布个人信息。

NO.4 Windows与Android双平台水坑攻击

1. 事件穿越

大东：水坑攻击属于APT攻击的一种，它是一种高级的钓鱼攻击！

小白：它与钓鱼攻击相比有哪些升级呢？

大东：与钓鱼攻击相比，攻击者无需耗费精力制作钓鱼网站，而是利用合法网站的弱点，隐蔽性比较强。

小白：攻击者是利用了我们对那些经常访问的网站的信任啊。

大东：水坑攻击利用这些被信任网站的弱点在其中植入攻击代码，攻击代码利用浏览器的缺陷，被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。

小白：那东哥，这个水坑攻击最近怎么又出来兴风作浪了呢？

大东：因为本次攻击过程，攻击者利用漏洞利用链分别针对Windows和Android用户进行了0day漏洞攻击。

2. 事件影响

小白：那东哥，本次双线水坑攻击事件最后怎样解决了呢？

大东：谷歌在漏洞利用服务器中寻找到了四个Chrome漏洞利用，而且其中的一个CVE-2020-6418-TurboFan中的Chrome漏洞在发现时还未修复。

小白：哇，那要尽快修复啊！还有其他类型的漏洞吗，东哥？

大东：研究者们还发现了三个Windows 0day漏洞，分别是两个Windows上的字体漏洞和CRSS漏洞。

小白：除了这些还有别的收获吗，东哥？

大东：他们还获得了一个提权工具包，其中包含针对较旧版本的Android的Nday漏洞。

3. 小白内心说

小白：东哥，为了应对水坑攻击，公司和组织可以采取哪些防范措施呢？

大东：首先，公司安全负责人员应当定期检查员工访问量最大的网站是否存在恶意软件，并对发现的所有受感染站点进行拦截。安全人员也可以设置浏览器和工具，以利用网站信誉让用户知道不良网站。总而言之，针对这类攻击，重要的一点便是对用户进行安全教育，让大家意识到这类攻击及其危害性，遇到点击链接的要求时越谨慎越好。

NO.3 Incaformat蠕虫病毒

1. 事件穿越

小白：Incaformat蠕虫病毒是在什么时候出现的？又是什么类别呢？

大东：这其实是一个比较古老的蠕虫病毒了，某机构根据此类病毒的传播机理，将其系列变种均统一归入Worm/Win32.Autorun。

小白：这么早的病毒，那为什么现在还会造成危害呢？

大东：其实，此类病毒近期传播感染并没有激增，之所以有人会被攻击其实就是用户的安全意识不高所导致的。因为很多机构和个人用户机器长期处于“裸奔状态”，或者不安装一些防护软件，导致这一蠕虫病毒长期寄存在电脑中。

小白：如果是这样的话，那为什么病毒现在才爆发呢？

大东：其实之所以病毒最近才发作是攻击者的疏忽，病毒制作者预设2010年4月1日为首次发作日期，但是由于传入的函数参数错误，导致这个事件被延迟到了2021年1月13日。

2. 事件影响

小白：东哥，那些被病毒删除的文件是不是找不回来了呀？

大东：其实还是有补救的余地的，安全厂商经测试发现该蠕虫病毒删除的文件可由数据恢复软件进行恢复。

小白：哦哦，我们应该怎么手动处置这个病毒呢？

大东：处置的方法很简单，首先结束下列进程tsay.exe、ttry.exe。

小白：然后呢?

大东：接下来需要删除C:windows say.exe；C:Windows try.exe，最后删除该路径HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce下名为“msfsa”的键值。

3. 小白内心说

小白：网络空间的安全不能只靠安全厂商设计出更安全的软件，还需要我们培养安全意识，不然的话，无论有多安全的软件，都会有可能被黑客入侵，所以现在群众的网络安全意识培养是重中之重。

NO.2 摄像头非法采集人脸信息

1. 事件穿越

小白：2021年“3·15”晚会曝光了某公司使用某品牌摄像头非法采集顾客的人脸信息。

大东：数字时代个人的生物特征还是很重要的，保护个人的隐私是重中之重。而且，我最近看新闻发现，江苏省张家港市市场监督管理局对辖区内的商户进行专项排查后发现，某些门店仍存在类似情况。

小白：什么？居然敢顶风作案？能详细说一下吗？

大东：有人提供新闻线索给张家港市市场监督管理局执法人员，然后其在对辖区内商户进行专项排查时发现，某公司的门店内摄像头居然被胶带包裹。

小白：被胶带裹着？上面到底写的什么？

大东：这个情况也引起了当时执法人员的注意，工作人员将胶带拆除后发现该摄像头侧面赫然印着某摄像头的品牌logoXX掌。

小白：我之前只知道xx掌这款摄像头不好，会非法采集顾客人脸信息，但是对顾客的隐私有多大侵犯我还真不太清楚，东哥，你能说一下吗？

大东：侵犯隐私的主要依靠该APP的人脸识别功能，它不仅能够识别进店顾客的性别、年龄段等信息，而且还可以自动将顾客识别，并打上“新顾客第一次到店”、“熟客第15次到店”、“会员”等的标签，而这些信息的采集顾客毫不知情！

2. 事件影响

大东：记者在全国多地先后调查了20多家装有人脸识别系统的商户，所到之处，人脸识别信息均被偷偷获取，没有一个商家明确告知，征得同意更是无从谈起。

小白：能举几个例子吗？

大东：比如，在某汽车4S店记者发现了瑞*公司的人脸识别摄像头。在某专卖店，记者看到了xx掌公司的摄像头。某公司也在全国上千家门店安装了具有人脸识别功能的摄像头，消费者只要进了其中一家店，在不知情的情况下，就会被摄像头抓取并自动生成编号,以后顾客再去哪家店，去了几次，科*卫浴都会知道。

小白：那他们到底安装了多少摄像头，收集的信息又有多少呢？

大东：据某电子科技股份有限公司经理透露，“这种摄像头已经安装了几十上百万个了。”苏州某网络科技有限公司经理也告诉记者，他们平台目前拥有的人脸数据量已经上亿。

小白：那这件事情是怎样进行处理的呢？

大东：在被3·15晚会点名之后，上述4家企业均发表声明称“已成立专项工作组，就此事开展自查”，部分企业甚至表示，将暂停人脸识别相关业务。

3. 小白内心说

小白：技术的力量我们不能否认，我们应该做的是防止这种力量被滥用，并且去学习、了解、掌握最新的科技知识，才能不会一无所知地被侵犯、利用。

NO.1 “老裁缝”激活工具

1. 事件穿越

大东：这次安全事件发生在2021年四月上旬，是一起由“老裁缝”激活工具引发的供应链感染事件。

小白：具体发生了什么呢？

大东：具体就是相关研究者处置了一起针对特定设备的“老裁缝”木马感染事件，系相关设备制造公司交付时使用了被污染系统激活工具所致，属于一起较典型的供应链污染事件。

小白：相关研究者是怎么发现的呢？

大东：就是在安全监测过程中发现一台设备不断地请求恶意域名“tsh16.t15jk.com”和“rl1.w7q.net”。接着威胁情报显示这两个域名标签为“恶意软件”、“电商劫持”，因此初步判断该设备被黑产木马感染。这个黑产木马就是“老裁缝”木马。

小白：我没有了解过这个“老裁缝”木马病毒啊，你能解释一下吗？

大东：“老裁缝”激活工具从2015年就已经开始制作病毒，因为C&C通信服务器中包含laocaifeng字符串，所以病毒以“老裁缝”命名。

2. 事件影响

小白：那它是怎么进行攻击的呢？

大东：“老裁缝”会按照制作者的计划，通过云端规则下发任务的方式，对电商进行劫持，劫持的电商有某东、某猫、某宝等电商平台。

小白：除了对电商进行攻击，还有别的攻击对象吗？

大东：当然有，“老裁缝”木马也会对自媒体视频进行播放量暗刷。

小白：都有哪些平台呢？

大东：视频网站包括某酷、桃厂、某狐等几大站点。根据统计显示“老裁缝”进行暗刷的自媒体视频广告条目有208条，平均每一条视频总的访问量约在2.5W左右，最高的一条达57W左右。

3. 小白内心说

小白：在日常上网过程中遇到陌生链接不要随便点击，下载app也要尽可能前往官网。手机权限不要随便提供给软件，这些可能会影响到使用的隐私安全，特别是root，root权限相当于手机令牌，软件一旦被恶意使用，手机会变得非常危险。

来源：中国科学院信息工程研究所