安联智库--网络安全新媒体资讯平台 http://www.seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Fri, 21 Feb 2020 05:53:48 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Fri, 21 Feb 2020 05:53:48 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Fri, 21 Feb 2020 05:53:48 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Fri, 21 Feb 2020 05:53:48 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
CNVD曝出Tomcat服务器文件包含漏洞 Fri, 21 Feb 2020 05:53:49 +0800 ff.png

近日,国家信息安全漏洞共享平台发布了Apache Tomcat上的文件包含漏洞。通知中表示攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件,如:webapp配置文件或源代码等。而且该漏洞是于2020年1月6日报送,距今已有一个半月的时间。

22.png

2020年2月20日下午17:30,CNVD发布漏洞预报,全文如下(https://www.cnvd.org.cn/webinfo/show/5415):

微信截图_20200220190727.png


Tomcat是Apache软件基金会的Jakarta项目中的一个核心项目,由Apache、Sun和其他一些公司及个人共同开发而成,目前在全球范围内被广泛利用。

根据目前FOFA系统最新数据(一年内数据),显示全球范围内共有2812352个Tomcat服务对外开放。中国使用数量最多,共有1015990个,美国第二,共有645451个,巴西第三,共有108635个,德国第四,共有99789个,韩国第五,共有91441个。

33.png

中国大陆地区浙江省使用数量最多,共有371333个,北京市第二,共有169212个,广东省第三,共有79255个,上海市第四,共有45408个,江苏省第五,共有41842个。

44.png

根据Tomcat官网的数据,版本更新时间在2020年之后的共有Tomcat 7.0.100(2020-02-14),Tomcat 9.0.31(2020-02-11),Tomcat 8.5.51(2020-02-11)。

55.png

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务

9999.jpg

]]>
1060多万名米高梅酒店客人信息被公布在黑客论坛上 Fri, 21 Feb 2020 05:53:49 +0800 据外媒报道,本周,超1060万名住在米高梅国际度假(MGM Resorts)酒店的客人的个人详细信息被公布在了一个黑客论坛上。除了普通游客之外,遭新曝光的信息还包括了一些名人、科技公司老总、记者、政府官员以及来自全球最大科技公司的职工。

01.jpg

米高梅度假村发言人通过电子邮件确认了这一事件。

泄露了什么?

根据外媒ZDNet的分析,今天被曝光的MGM数据转储包含了10,683,188名曾在MGM酒店住过的客人的个人详细信息。

泄露的文件中包含了个人详细信息,诸如全名、家庭住址、电话号码、电子邮件和生日等。

ZDNet跟一部分酒店客人进行了联系并确认他们曾住在这家酒店以及他们的时间表和泄漏文件中所含数据的准确性。

02.png

结果他们得到了来自国际商务旅客、参加技术会议的记者、参加商务会议的CEO以及前往拉斯维加斯分支机构的政府官员的确认。

米高梅度假村称他们去年已经通知客人

米高梅发言人告诉ZDNet,本周被发布到网上的数据源于去年发生的安全事件。

“去年夏天,我们发现未经授权的云服务器访问,该云服务器包含了某些以前为米高梅度假村的某些客人提供的信息。我们有信心,这一事件并不涉及任何财务、支付卡或密码数据问题。”

这家连锁酒店表示,将根据适用的州法律及时通知所有受影响的酒店客人。

此外,米高梅度假酒店还告诉ZDNet,他们聘请了两家网络安全取证公司对发生在去年的服务器数据泄露事件进行内部调查。

这家公司说道:“在米高梅度假酒店,我们非常重视保护访客数据的责任,并且我们已经加强和增强了网络的安全性以防止再次发生这种情况。”

SIM交换和鱼叉式钓鱼的潜在危险

尽管去年米高梅的安全事件备受关注,但本周在一个人气黑客论坛上发布了此数据转储仍旧吸引了很多黑客的注意。

发现此漏洞并通知记者的Under the Breach公司则强调了该漏洞存在的高度敏感性。该公司告诉ZDNet,这些用户现在面临着接收鱼叉式网络钓鱼电子邮件以及SIM被更换的更高风险。

据Under the Breach披露,他们在泄露文件中看到了Twitter CEO杰克·多尔西、流行歌手贾斯汀·比伯以及DHS和TSA一些官员的名字。

对此,米高梅度假酒店告诉ZDNet,这些数据都是老数据。ZDNet表示他们确实从今天致电的所有酒店客人中确认了这一说法,这些客人在2017年以后都没有入住过这家酒店。另外,该外媒拨打的某些电话号码也已经打不通,不过仍有许多电话号码能够接通并且有人接了电话。

9999.jpg






]]>
声称完美保密的新加密方法引发怀疑 Fri, 21 Feb 2020 05:53:49 +0800        一个国际研究小组去年底在《Nature Communications》期刊上发表论文,描述了一种完美保密的新加密系统,声称能对抗未来的量子计算机。英特尔公司的加密专家 Rafael Misoczki 称,完美保密是加密学中最高等级的安全观念,一个加密系统如果能实现完美保密,那么不管对手的计算能力有多强它将仍然是安全的。

绝大多数实现完美保密的尝试都集中在开发量子密钥分发系统(QKD),但部署 QKD 系统需要企业和政府投入大量资金去建造新的量子通信线路。但研究人员描述的新完美保密加密方法是基于现有的光纤通信基础设施。它不是依赖于量子物理学,而是基于混沌光状态。

受人指纹的启发,研究人员在硅芯片表面使用反射纳米盘印上点状图案,芯片的图案表面充当了激光的迷宫,光波以随机方式穿过时会正在里面反弹。不管输入条件如何,进入图案的光会产生混沌运动。

利用这套系统 Alice 和 Bob 可以创造无法拦截和监听的一次性密钥,类似 QKD。但计算机科学家对此有不同看法,他们认为论文作者对加密学的看法有着明显错误,量子计算机并不能破解所有经典加密学方法,如 AES 只要增加密钥长度仍然能抵抗量子计算机。

在加密学中运用混沌理论早在 1989 年就有人提出过,但因为存在漏洞而没有流行起来。                      

9999.jpg



]]>
美国一天然气公司在感染勒索软件后关闭两天 Fri, 21 Feb 2020 05:53:49 +0800        美国国土安全部网络安全和基础设施安全署的公告显示,有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施,攻击始于钓鱼邮件内的恶意链接。

gas-pipeline-800x600.jpg

攻击者从其 IT 网络渗透到作业 OT 网络,其 IT 和 OT 网络都被勒索软件感染。感染没有扩散到控制压缩设备的可编程逻辑控制器,因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天,但由于管道传输的依赖性,它的关闭连带影响到了其它地方的压缩设施。                      

9999.jpg



]]>
WordPress 插件 bug 允许攻击者远程重置网站内容 Fri, 21 Feb 2020 05:53:49 +0800 640.webp (18).jpg

使用 ThemeGrill 商业主题的 WordPress 网站站长需要尽快更新随主题一起安装的插件,以修复可能导致网站所有内容归零的严重 bug。bug 存在于 ThemeGrill Demo Importer 中,该插件用于导入演示内容到 ThemeGrill 主题内,它被安装在 20 多万个网站上。WordPress 安全公司 WebARX 报告,旧版本 ThemeGrill Demo Importer 允许远程攻击者发送特质负荷到存在漏洞的网站触发插件功能。该功能会将所有网站内容重置为零,事实上清空启用 ThemeGrill 主题的网站所有内容。

9999.jpg

]]>
家长注意!教育部发布今年第1号预警,已有多人受骗! Fri, 21 Feb 2020 05:53:49 +0800 2月17日,教育部网站发布《全国治理教育乱收费联席会议办公室关于谨防有人利用疫情防控期间线上教学名义进行网上收费诈骗的预警(2020年第1号预警)》。

640.webp (16).jpg

近期,据一些中小学生家长反映,有人通过班级微信群、QQ群等媒介假冒学校教师或班主任身份,以延期开学和组织开展线上教学为由发布诈骗信息,要求学生家长通过微信、支付宝等网上支付方式缴纳各项费用,致使部分家长上当受骗。

对此,预警提醒,延期开学期间,教育部整合国家、有关省份和学校优质教学资源,开通国家中小学网络云平台和中国教育台电视空中课堂及部分省份网络学习平台,并提供有关教材电子版、“人教点读”数字教学资源库等学习资源,均为免费提供。

建议广大中小学生和家长,在积极做好疫情防控、有序开展线上学习的同时,对借此名义收取相关费用的行为,一定要提高警惕,增强防范意识,以免上当受骗,遭受不必要的经济损失。一旦发现可疑情况,应及时向学校和老师反映,并保存好相关证据、及时报警。

预警提出严禁以疫情防控期间开展线上教学的名义擅自设立收费项目、违规收费。同时,对学校和班级建立的微信群、QQ群等,要严格落实群主管理责任,严格核实所有成员身份,严格落实实名制度,严格入群批准验证,杜绝陌生人随意入群现象,对身份存疑的尽快清除出群。对确有需要通过网上支付的合规收费事项,建议学生和家长要与学校和老师进行确认,不可盲目进行网上支付。

此前,针对利用延期开学实施诈骗的行为,工信部也曾发布重要提醒,警惕疫情期间电信网络诈骗新套路——谨防延期开学,冒充老师骗取学费。↓
640.webp (17).jpg
这样的骗术需小心
经搜索发现,利用疫情冒充班主任行骗的案件不在少数,已有多名家长“中招”。

640.jpg

640 (1).jpg
警方提示:网上转账一定要核实真伪
对此,警方提醒:家长要学会分辨信息真假。学校一般不会在群内发送二维码,要求家长通过网络转账的方式支付学费。因此,不管是在微信群还是QQ群,家长在收到任何扫码交学费的消息,切勿急于汇款,一定要直接与班主任或校方核实真伪。  

学校老师要加强联络群的管理。请老师(或群管理员) 开启入群验证功能 ,并实行实名制,对每一位入群的成员身份进行审核,避免陌生人随意加入家长QQ、微信群。另外,各位老师应立刻对本班家长QQ、微信群成员身份进行核查,对身份可疑人员,尽快清除出群。

9999.jpg

]]>
安全周报(02.10-02.16) Fri, 21 Feb 2020 05:53:49 +0800

1


瑞士这家密码公司帮美国偷窥120个国家 我国例外

北京时间2月12日消息,Crypto AG是瑞士一家加密通信设备公司,靠在第二次世界大战期间为美军生产密码编制设备发家。过去数十年以来,Crypto AG一直为全球逾120个国家和地区提供加密系统。
但根据《华盛顿邮报》和德国电视二台报道称,数十年来,这家公司的“东家”一直是美国中央情报局和德国情报机关联邦情报局,这使得中央情报局、美国国家安全局和德国情报机关,能够看到这些国家和地区的大多数秘密情报。不过,前苏联和中国没有使用Crypto AG的加密技术。
通过Crypto AG掌握秘密情报的能力,使得美国在伊朗人质危机期间对伊朗各部门间的通信,在马岛战争期间对阿根廷的通信,在埃及-以色列在戴维营谈判和平协议期间对埃及总统安瓦尔·达特萨(Anwar Sadat)的通信了如指掌,对利比亚通信的监视证实卡扎菲政府参与了1986年西柏林舞厅爆炸案。据《华盛顿邮报》和德国电视二台称,在1980年代的两伊战争期间,80%至90%的伊朗通信都被监听。

515be1d04c7acc1.jpg

2


国务院:不符合网络安全要求的政务信息系统未来将不给经费

近日,国务院办公厅印发《国家政务信息化项目建设管理办法》,对国家政务信息系统的规划、审批、建设、共享和监管作出规定。
其中提出加强国家政务信息化项目建设投资和运行维护经费协同联动,对于未按要求共享数据资源、未纳入国家政务信息系统总目录、不符合密码应用和网络安全要求等情况的政务信息系统,不安排运行维护经费。加强对绩效评价和项目后评价结果的应用,将评价结果作为下一年度安排政府投资和运行维护经费的重要依据。坚持“联网通办是原则,孤网是例外”,对部门认为根据有关法律法规和党中央、国务院要求不能进行信息共享,但是确有必要建设或者保留的,经国务院批准后方可建设或者保留。

微信截图_20200216140911.png

3


新安卓系统漏洞:仅需目标设备蓝牙MAC地址即可发起RCE攻击

在2019年11月3日,位于德国海德堡的IT安全公司ERNW发现并报告了一个严重漏洞,称影响了Android蓝牙子系统。漏洞名叫BlueFrag
在Android 8.0到9.0版本上,只要启用了蓝牙,附近的远程攻击者就可以使用具有高权限的蓝牙守护程序,从而以静默方式执行任意代码。
全程无需用户交互,仅需知道目标设备的蓝牙MAC地址即可,对于某些设备,可以从WiFi MAC地址推断出蓝牙MAC地址。
此漏洞可能导致个人数据被盗,并且有可能被用来传播恶意软件(短距离蠕虫)。
而在Android 10上,由于技术原因无法利用此漏洞,只会导致Bluetooth守护程序崩溃

微信截图_20200216141437.png

4


谷歌浏览器出现500多款恶意扩展程序会弹广告并劫持用户到钓鱼网站

谷歌公司在接到安全研究人员的反馈后已经从浏览器商店里删除500多款存在广告重定向等恶意行为的扩展程序。
这些恶意扩展程序有的已经发布多年有的是刚刚上线没多久的,而这些恶意扩展程序的下载量已经得到170万次。
尽管谷歌表示该公司会使用机器学习以及自动化扫描技术检测扩展,但是看起来这并不能彻底解决恶意扩展问题。
安全研究人员在日常检查时发现有扩展程序会访问其他地址,对其进行追根溯源后发现该扩展程序存在恶意行为。
在恶意行为方面研究人员分析后发现这些恶意扩展程序常规的操作就是在用户们打开某些页面时植入不同的广告。
微信截图_20200216141802.png

5


即使恢复出厂设置也无效:xHelper仍令安全专家头疼

 自2019年5月被安全厂商Malwarebytes曝光之后,Android恶意程序xHelper就一直是手机厂商重点关注的对象。自那时开始,大多数Android安全应用程序都添加了xHelper检测,理论上意味着大多数设备应该已经受到保护,可以免受这种恶意程序的攻击。但事实上,想要彻底清除xHelper要比我们想象中困难的多,即使恢复出厂设置依然存在。
根据 Malwarebytes 的说法,这些感染的来源是“网络重定向”,它会将用户发送到托管 Android 应用程序的网页。这些网站指导用户如何从 Play 商店外部间接加载非官方的 Android 应用。这些应用程序中隐藏的代码将下载 xHelper 木马。
好消息是该木马目前没有执行破坏性操作,多数时间它会显示侵入式弹出广告和垃圾邮件通知。广告和通知会将用户重定向到 Play 商店,并要求用户安装其他应用程序——通过这种方式,xHelper 从按安装付费的方式中赚钱。
f79ffca7bfb7e5a.jpeg


]]>
谷歌浏览器出现500多款恶意扩展程序会弹广告并劫持用户到钓鱼网站 Fri, 21 Feb 2020 05:53:49 +0800 谷歌公司在接到安全研究人员的反馈后已经从浏览器商店里删除500多款存在广告重定向等恶意行为的扩展程序。

这些恶意扩展程序有的已经发布多年有的是刚刚上线没多久的,而这些恶意扩展程序的下载量已经得到170万次。

尽管谷歌表示该公司会使用机器学习以及自动化扫描技术检测扩展,但是看起来这并不能彻底解决恶意扩展问题。

谷歌浏览器出现500多款恶意扩展程序会弹广告并劫持用户到钓鱼网站

相同家族的恶意扩展群:


安全研究人员在日常检查时发现有扩展程序会访问其他地址,对其进行追根溯源后发现该扩展程序存在恶意行为。

随后研究人员将更多的类似扩展程序添加到检测范围,检测结果显示这些扩展程序除了名称不同外基本没有区别。

这些扩展程序使用相当的基础代码库并且连执行的操作都是相同的,随后研究人员将其结果共享给其他安全团队。

安全团队通过快速指纹识别后发现谷歌浏览器扩展商店有500多款类似的扩展 ,  显然这些扩展也都是相同家族的。

在会话里添加广告还会劫持用户:


在恶意行为方面研究人员分析后发现这些恶意扩展程序常规的操作就是在用户们打开某些页面时植入不同的广告。

同时如果用户打开的电商购物网站的话还会进行劫持添加返利链接,不过这些行为相对来说还不会造成严重后果。

在深入分析后研究人员发现这些恶意扩展程序还会劫持用户访问,将用户的访问跳转到黑产团伙制作的钓鱼网站。

如果用户不慎在这些钓鱼网站输入账号密码或财务信息的话,则有可能会导致账号泄露甚至信用卡被盗刷等后果。

目前谷歌已经将这些扩展程序从用户以及商店里进行删除,同时我们也建议用户不要安装任何不熟悉的扩展程序。

9999.jpg

]]>
南非Ned银行受合作伙伴牵连,泄露170万客户数据 Fri, 21 Feb 2020 05:53:49 +0800 22.jpg

近日,南非地区最大的银行之一—Ned银行披露了一起安全事件,影响了170万用户的个人信息。

该银行表示,此次攻击发生在Computer Facilities公司。这家公司是Ned银行进行市场营销和促销活动的合作伙伴。

Ned银行在其网站上发布的一份安全通知中表示,这家第三方银行的系统存在一个漏洞,可以让攻击者渗透其系统。

33.png

通知中还表示涉及以前和现在的170万客户的数据受到了影响。Computer Facilities公司中所存储的详细信息包括姓名、身份证号码、家庭住址、电话号码和电子邮件地址。

该银行昨日开始通过短信向客户通报这一事件,以下是其中一篇通知的副本,由我们的一位读者提供。

44.jpg

这家总部位于南非的银行表示,它是在对合作伙伴的网络系统进行常规和持续监测的过程中发现了可疑行为,并最终关联到了第三方承包商网络中的一个漏洞。

事件发生后,Ned银行还表示,该承包商已将整个网络下线,以防止出现下一步的攻击,该行目前已经销毁了承包商系统的所有客户数据。

Ned银行表示,它自身的系统并没有受到这次事件的影响,网络入侵仅限于它的承包商网络。虽然他们似乎拥有银行客户数据的副本,但无法直接访问银行系统。

银行内部人员为公开这次数据泄露事件道歉,并表示他们正在与执法部门合作,努力抓捕攻击者。

Ned银行是非洲最大的银行之一。虽主要在南非开展业务,但也在安哥拉、肯尼亚、莱索托、马拉维、莫桑比克、纳米比亚、斯威士兰和津巴布韦等国家开展业务。

9999.jpg

]]>
奇虎 360 研究员披露 Shadowsocks 流密码重定向攻击 Fri, 21 Feb 2020 05:53:49 +0800 奇虎 360 的一位安全研究员披露了流行 SOCKS5 代理 Shadowsocks 的流密码重定向攻击漏洞。流密码是一种对称加密算法,加密和解密双方使用相同伪随机加密数据流作为密钥,明文数据每次与密钥数据流顺次对应加密,得到密文数据流。流行的流密码算法包括 ChaCha、RC4、A5/1、A5/2、Chameleon、FISH、Helix 等。研究人员发现 Shadowsocks 协议存在漏洞,会破坏流密码的保密性。利用重定向攻击被动攻击者可以轻松解密所有 Shadowsocks 的加密数据包。中间人攻击者还能实时修改流量,就好像加密根本不存在。受影响的版本包括 shadowsocks-py、shadowsocoks-go 和 shadowsocoks-nodejs,shadowsocks-libev 和 go-shadowsocks2 不受影响,研究人员还建议使用 AEAD 加密算法。漏洞是在 2018 年 12 月发现的,2019 年 3 月发布了概念验证攻击。9999.jpg

]]>
4人非法购买公民个人信息伪造3D头像 成功骗过支付宝人脸认证 Fri, 21 Feb 2020 05:53:49 +0800        支付宝可能怎么也没想到,自己有一天也会被“诈骗”。怎么回事呢?近日,雷锋网在裁判文书网上发现了一起刑事案件 ,根据浙江省衢州市中级人民法院的判决书显示,从 2018 年 7 月份开始,被告人张富、余杭飞等人以牟利为目的,使用其购买的公民个人身份信息注册支付宝账号,并使用软件将公民头像照片制作成公民 3D 头像,从而通过支付宝人脸识别认证。

通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励(包括邀请新人红包、通用消费红包、花呗红包等),而每个新注册支付宝至少可以获取 28 元收益。

雷锋网了解到,截止案发,该团伙非法收集近 2000 万条公民身份信息,共使用他人公民个人身份信息注册成功至少 547 个通过人脸识别认证的实名支付宝账户,获利 4 万元。

最终,被告人张某犯侵犯公民个人信息罪,判处有期徒刑四年,并处罚金人民币 10000 元;犯诈骗罪,判处有期徒刑一年,并处罚金人民币 5000 元,决定执行有期徒刑四年八个月,并处罚金人民币 15000元。

被告人余某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币 10000 元;犯诈骗罪,判处有期徒刑一年,并处罚金人民币 5000 元,决定执行有期徒刑三年九个月,并处罚金人民币 15000 元。

被告人史某犯诈骗罪,判处有期徒刑九个月,缓刑一年,并处罚金人民币 5000 元。

被告人马某犯诈骗罪,判处有期徒刑六个月,缓刑一年,并处罚金人民币 2000 元。

被告人刘某犯诈骗罪,判处有期徒刑六个月,缓刑一年,并处罚金人民币 2000 元。

被告人张某退出的违法所得 13316 元、被告人余某退出的违法所得 7000 元、被告人史某退出的违法所得 18724 元、被告人马某退出的违法所得 1500 元、被告人刘某退出的违法所得 1500 元,发还给被害单位支付宝(中国)网络技术有限公司。

虽然说此次被坑的是支付宝,金额也不是很巨大,但仅仅是这 4 个人非法窃取近 2000 万条公民信息并使用软件制作了 1153 个 3D 头像通过支付宝人脸认证的这一事实就足以让大家恐慌了。

除此之外,编辑还发现一个更令人不安的事实,在本案中,涉案的四人仅仅是使用软件合成了 3D 头像便骗过了支付宝,难道支付宝的人脸认证系统就如此“不堪一击”吗?

其实不然。

厦门大学信息学院教授 H 表示,以目前的技术,人脸认证系统还是有漏洞的,一定程度上是可以被破解 的,第一种是活体检测,这种基于活体识别的人脸识别确实有一定概率会被面具突破。

“虽然 AI 可以通过让你眨眨眼、抬抬头、张张嘴等互动,来检测你是不是活体,但不管怎样,AI 智能算法跟人的智能判别、智能识别,目前还是存在很大距离的。如果是精准度非常好并且细节十分到位的面具,那么对机器来说,分辨真假的确还是有难度的。”

第二种是人脸模型实时重建:即通过仿真的人脸建模,实时进行面部动作调整,从而实现真人动作模拟。而在网上公开自己的高清照片,确实有可能被 3D 建模,制作出高精度的面具,所以最好的办法还是保护好个人生物信息。

当然,大家也不用太担心,一般情况下,面具的制作成本高昂,他们是不会付出这么大代价的,其次,此次的案件并不能说明支付宝的人脸认证系统是不安全的,只是犯罪分子抓住了其认证过程中的一个 bug 。

9999.jpg



]]>
即使恢复出厂设置也无效:xHelper仍令安全专家头疼 Fri, 21 Feb 2020 05:53:49 +0800      自2019年5月被安全厂商Malwarebytes曝光之后,Android恶意程序xHelper就一直是手机厂商重点关注的对象。自那时开始,大多数Android安全应用程序都添加了xHelper检测,理论上意味着大多数设备应该已经受到保护,可以免受这种恶意程序的攻击。但事实上,想要彻底清除xHelper要比我们想象中困难的多,即使恢复出厂设置依然存在。

根据 Malwarebytes 的说法,这些感染的来源是“网络重定向”,它会将用户发送到托管 Android 应用程序的网页。这些网站指导用户如何从 Play 商店外部间接加载非官方的 Android 应用。这些应用程序中隐藏的代码将下载 xHelper 木马。

好消息是该木马目前没有执行破坏性操作,多数时间它会显示侵入式弹出广告和垃圾邮件通知。广告和通知会将用户重定向到 Play 商店,并要求用户安装其他应用程序——通过这种方式,xHelper 从按安装付费的方式中赚钱。

恼人的是 xHelper 服务无法删除,因为该木马每次都会重新安装自身,即使用户对整个设备进行了出厂重置后也是如此。xHelper 如何在恢复出厂设置后得以生存仍然是个谜。不过,Malwarebytes 和赛门铁克均表示 xHelper 不会篡改系统服务和系统应用程序。

xHelper 最早发现于 3 月。到 8 月,它逐渐感染了 32,000 多台设备。而截至去年10月,根据赛门铁克的数据,感染总量已达到 45,000。该恶意软件的感染轨迹不断上升。赛门铁克表示,xHelper 每天平均造成 131 名新受害者,每月约有 2400 名新的受害者。

在最新Malwarebytes报告中,写道:“即使Google Play没有恶意程序,但是Google Play中的某些事件触发了重新感染,可能是有某些文件存储其中。此外这些东西可能将Google Play作为伪装,从而安装其他来源的恶意程序。 ”

安全供应商详细说明了客户的设备感染了xHelper的情况。在仔细检查了受感染的Android手机上存储的文件之后,我们发现木马程序已嵌入到位于com.mufc.umbtts目录中的APK中。更糟糕的是,研究人员仍然不知道该漏洞如何使用Google Play触发感染。

Malwarebytes研究人员解释说:“这是令人困惑的部分:设备上没有显示Trojan.Dropper.xHelper.VRW的安装。我们相信,它会在几秒钟内再次安装,运行和卸载,以逃避检测-所有这些都是由Google Play触发的。 ”

要清除感染,用户首先需要禁用Google Play商店,然后才使用防病毒软件运行设备扫描。否则,尽管该病毒显然已被删除,但该恶意软件仍将继续传播。

9999.jpg



]]>
美国CIA被曝利用瑞士加密公司窃听120国,销售产品被植入加密漏洞 Fri, 21 Feb 2020 05:53:49 +0800 2013年6月6日英国《卫报》和美国《华盛顿邮报》报道,美国国家安全局(NSA)和联邦调查局(FBI)于2007年启动了一个代号为“棱镜”的秘密监控项目 ,其可以直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。而近些年来好像对于美国中央情报局的报道甚少。

 

然而,同样是美国《华盛顿邮报》,这次联合德国电视二台ZDF,于2020年2月11日再次曝光美国情报机构的秘密,报道称美国中央情报局CIA,在60年来一直秘密操纵一家全球著名的加密技术公司并对美国盟友进行窃听。

 

该公司名为Crypto AG,其在第二次世界大战期间与美国国防部签订了为美国军队制造代码制作机的合同。数十年来,CryptoAG已成为加密设备的主要制造商,引领着技术浪潮的发展,从机械齿轮类加密设备到电子电路类,再到硅芯片和软件类加密设备。各国政府都用来进行与间谍,士兵和外交官之间的加密通讯。

640.webp (7).jpg

 

到21世纪,这家瑞士公司赚了数百万美元,向120多个国家/地区销售设备。它的客户包括伊朗,拉丁美洲的军政府,核竞争对手印度和巴基斯坦,甚至梵蒂冈。

 

但是,没有一个客户知道Crypto AG是由CIA秘密拥有的,且曾经与西德情报部门高度机密的合作关系。自1970年以来,这两家情报局分别拥有该公司50%的股份。这些间谍机构操纵了该公司的部署在各国的设备,以便可以轻松破解各国用来发送加密邮件的代码。

 

Rubikon行动


在介绍这起行动前,需要介绍一个机构。

 

德国联邦情报局简称BND,这是联邦德国于1956年4月在美国支持下,按中央情报局的旨意和模式成立的。从某种意义上说,联邦调查局就是美国中央情报局在联邦德国的翻版。它是一个由希特勒国防军高级将领掌管和指挥的秘密情报机关。其骨干,基本上是纳粹情报头子盖伦的旧班底。

 

而德国联邦情报局(BND)和CIA的内部96页文件证明,这两个秘密情报机构自1970年以来一直拥有瑞士的Crypto AG,并操纵了加密设备。秘密行动的别名是“ Rubikon”。

640.webp (8).jpg


从1970年到1993年,当时德国联邦情报局和中央情报局共同窃听了100多个国家的加密通信。BND和CIA的主要员工先前在未公开的文件已证明了这一点。而BND于1993年终止了与中央情报局的合作,并将股份1700万美元卖给了美国CIA此后均为CIA单方面进行窃听活动。

 

根据ZDF获取的资料显示,CryptoAG的客户群大部分为下图标红处,有趣的是其中并不包含美国。而其他亲西方势力均在图中。

640.webp (9).jpg

 

为什么覆盖的国家中,美国盟友这么多。这不得不提到未公开文件的组成部分,内容有两部分组成,一是由中央情报局内部历史研究中心的中央情报研究中心于2004年完成的,在中情局的文档中,Crypto AG被称作“Minerva”( 智慧女神密涅瓦)。第二部分是德国情报官员在2008年汇编的口述历史。

 

在2008年德国情报官员的口述报告中,经常会出现对美国间谍经常针对他们的盟友进行频繁监视而感到震惊。具体为什么要监视同盟国,这里没有提到。

 

而且,这些文件首次证明,BND和中情局在早期就被告知智利总统阿连德(1973年)的倒台以及阿根廷军政府对人权的严重侵犯。

 

由德国人和美国人传输的解密后的阿根廷海军无线电通讯,为英国在1982年的福克兰群岛战争中的胜利做出了决定性的贡献。CryptoAG加密设备的最大买家是沙特阿拉伯和伊朗。

 

也因此,几十年来,即使是在1979年美国德黑兰大使馆劫持人质期间,德国人和美国人也能够获取到阿亚图拉政权的秘密政府通讯。

640.webp (10).jpg

 

在美国与伊拉克长达十年的战争期间,美国间谍机构截获了通过加密机发送的19,000多个伊朗通讯,并将它们挖掘出来,以获取有关德黑兰恐怖分子联系以及试图针对持不同政见者等主题的报道。

 

根据中央情报局的文件,伊朗的通讯对美国间谍“可读性为80%到90%”,如果德黑兰不使用CryptoAG的加密设备,这个数字很可能会跌至个位数。


在1978年美国前总统卡特与埃及前总统萨达特举行埃及-以色列和平协议会谈时,美国能够监听萨达特与开罗的所有通信。


1989年,梵蒂冈使用加密设备在美国对巴拿马领导人曼努埃尔·安东尼奥·诺列加的追捕中至关重要。当诺列加在使徒圣殿寻求庇护时(相当于教皇使馆),他的下落被传回梵蒂冈的信息所揭露。

 

PY交易


而这一切的根源,都始于一场交易。

 

CryptoAG的创始人鲍里斯·哈格林是一名出生于俄罗斯的发明家,二战期间逃往美国,并带去了他发明的哈格林的M--209便携式加密设备,手动供电,非常适合行进中的部队。

640.webp (11).jpg

 

战争结束后,哈格林返回瑞典重新开设工厂,后来他发明的升级版加密设备越发的高精度难以破解,当时的苏联人,中国人和朝鲜人正在使用几乎无法理解的代码制定系统。美国间谍机构担心,如果各国可以从哈奇林购买安全机器,那么世界其他地区也将一片漆黑。

 

1950年代末,美国政府成功说服哈格林,限制出售给其他国家的加密设备的加密强度,由美国政府补偿由此带来的损失。该交易要求哈格林将其公司迁至瑞士,以限制将其最先进的模型销售到美国批准的国家。不在名单上的国家将拥有较旧的,较弱的系统。哈格林将因销售损失而获得赔偿,最高可预付70万美元。该机构每年向他支付70,000美元的固定费用,并开始向其公司注入10,000美元的现金,用于“营销”费用,以确保Crypto(而不是加密业务的其他公司)与世界上大多数国家的政府签订合同。

 

说白了就是给钱做广告,打价格价,扩大部署量,也因此,Crypto曾经在持续亏损的时候,仍然都够存活的原因。在60年代,加密技术由机械发展到电子加密后,美国国家安全局(NSA)操纵了Crypto公司的算法。1967年推出的H-460型加密机,内部算法完全由NSA设计。

640.webp (12).jpg

 

到1960年代末,哈格林已接近80岁,并急于为自己的公司争取未来,公司已发展为拥有180多名员工的公司。中情局官员同样担心,如果哈格林突然出卖他们或死亡,该行动将会如何。

 

哈格林曾经希望将控制权交给他的儿子。但最后,哈格林于1970年在华盛顿环城公路上的一次车祸中丧生。

 

最后一番博弈和竞标之后,该公司被上文提到的两个情报机构收入囊下。


1970年,CIA和BND收购了Crypto公司。报道称,根据德方的纪录,CIA和BND每年瓜分了Crypto赚取的利润,CIA特工对BND方面“忙于赚钱”感到不满,经常提醒德国人:“这是个情报行动,而不是个赚大钱的企业。”BND方面则对美国的“希望监控其最亲密的盟友”感到震惊,因为美方甚至将意大利、希腊、土耳其、西班牙等北约盟国列为了目标。


然后就有了下面这个监控列表,值得注意的是,瑞典,以色列和英国都知道这起行动。

640.webp (13).jpg

事件回应

 

瑞士政府已回应德国电视台ZDF,《华盛顿邮报》和瑞士电视台(SRF)关于Crypto AG的消息。目前瑞士联邦议员盖伊·帕梅林(Guy Parmelin)吊销这家瑞士公司对加密技术的一般出口许可,称“直到相关情况,公共问题已经解决之后再开启”。

 

但是,CIA和BND的文件表明,瑞士官员一定已经知道Crypto与美国和德国间谍机构的关系长达几十年,但是只有在得知新闻机构即将揭露这一切之后,瑞士官员才进行干预。

 

除此之外,Crypto工作的员工也表示自己受骗了。

640.webp (14).jpg


但是,那些执行秘密行动的人仍然毫无歉意。

 

“我有什么可不安的?”曾在1970年代末和1980年代初担任国家安全局局长和中央情报局副局长的鲍比·雷·英曼说。“这是世界上很大一部分地区的非常有价值的通讯资源,对美国进行决策很重要。”

 

Crypto AG的官网上也出现了一则通告,其称Crypto International Group是一家瑞典独资公司,于2018年从Crypto AG收购了品牌名称和其他资产,该组织由瑞典国民Andreas Linda拥有全资股份,并与CIA或BND从来没有一点关系。

640.webp (15).jpg

 

抛开上面的声明,该公司不仅销售加密设备赚了数百万美元,而且这些设备在不知不觉中又将情报传回了CIA,这买卖,制造了粗略估算有数十亿美元的收益,一点都不亏。

 

补充:


报道称NSA的窃听列表中有三个重要代号,A代表苏联,B代表亚洲,G代表世界其他地区。而在80年代,“G”地区中一半以上的情报都是通过Crypto加密机传播的。


1981年,沙特阿拉伯是Crypto的最大客户,其次是伊朗、意大利、印度尼西亚、伊拉克、利比亚、约旦和韩国。


在1986年的柏林舞厅爆炸案中,美国前总统罗纳德·里根表示,美国截获到了利比亚官员向上级汇报袭击成功的情报,这引起了利比亚和伊朗政府对Crypto的疑心。根据CIA的记录,在马岛战争期间,美国还利用阿根廷对于Crypto加密设备的依赖,将截获的阿根廷军事计划泄露给了英国。在1977年,有一位Crypto工程师对加密算法产生怀疑,他前往大马士革,修复了叙利亚政府使用的产品中的漏洞后,遭到Crypto解雇。

640.webp (16).jpg

《华盛顿邮报》表示,CIA直到2018年还在利用这家公司,之后将该公司资产卖给了两家私人企业。


其中一家名为CyOneSecurity的公司发表了一份声明,表示对前身Crypto不予置评。

CyOneSecurity表示,该公司由瑞士人完全控股,完全独立于前公司,与外国情报机构毫无关联。然而,该公司由Crypto的前员工运营。另一家就是上面提到的截图。


《卫报》表示,这项行动证明了在广泛销售的通讯设备中植入漏洞,具有巨大的情报价值。CIA多年来的成功,可能强化了美国目前对中国华为公司设备的怀疑。

9999.jpg

]]>
微软已经发布最新累积更新封堵在野外被利用的IE浏览器零日漏洞 Fri, 21 Feb 2020 05:53:49 +0800 此前微软发布安全公告透露由谷歌安全实验室Clément Lecigne和360安全集团Ella Yu 报告的IE浏览器零日漏洞。

该零日漏洞在研究人员发现前就已经遭到攻击者利用,而攻击者借助漏洞可获得非常高的权限甚至控制整个电脑

不过当时微软并未直接发布临时安全更新修复这个问题,而是将该问题推迟修复直到本月份的累积安全更新发布。

微软已经发布最新累积更新封堵在野外被利用的IE浏览器零日漏洞

所有用户均需安装更新进行修复:


微软表示若攻击者制作含有恶意代码的网页并诱导用户打开,那么攻击者就有可能成功执行代码并获得相关权限。

也正是如此现在微软发布安全更新进行修复后,所有用户都应该立即安装这枚安全更新将脚本引擎漏洞彻底封堵。

而在攻击方式上其实攻击者也并不需要非得使用钓鱼手段,在此前已经发生过多次攻击者利用广告联盟投毒事件。

即攻击者寻找那些审核不严的广告联盟投放含有恶意代码的广告,当用户浏览某些网页时就会直接触发零日漏洞。

因此对于攻击者来说如果有必要的话完全可以进行广泛撒网,这种情况有可能造成大规模的计算机非法入侵事情。

如何下载和封堵这枚零日漏洞:


如果你使用的是Windows 10可以转到系统更新里检查和安装最新更新,安装后需要重启系统才能使用更新生效。

当然也可以直接从微软的补丁库里搜索和下载离线安装包进行部署,若需要进行离线部署可以点击这里进行查询

若用户使用的是 Windows 7 系统则可能无法正常下载更新,因为该版本已结束支持因为微软不再提供免费更新。

仍然想继续安全使用 Windows 7 系统的用户可以试试蓝点网此前介绍的工具,这款工具可让系统继续接收更新。

9999.jpg

]]>
雅诗兰黛泄露4.4亿数据记录,官方声明未涵盖客户信息 Fri, 21 Feb 2020 05:53:49 +0800 1月30日,安全研究员Jeremiah Fowler在网上发现了一个数据库,其中包含 “大量记录”。这个在网上公开的数据库没有密码保护,总共包含440,336,852条记录,连接到总部位于纽约的化妆品巨头雅诗兰黛。

estee-lauder.jpg

雅诗兰黛是一家美国跨国公司,生产高档护肤、化妆品、香水和护发产品,并拥有多个品牌、并通过数字商务和零售渠道在全球范围内分销。

Fowler说:“该数据库似乎是一个内容管理系统,其中包含从网络的工作方式到内部文档的参考、销售矩阵数据等等的所有内容。一看到电子邮件地址,我验证电子邮件是真实可用的,随后立即与雅诗兰黛联系。”

之后,该公司对此发表声明:

“2020年1月30日,我们发现可以通过互联网临时访问一个教育平台的部分非客户电子邮件地址。这个教育平台不是面向客户的,也不包含客户数据。我们没有发现未经授权临时访问数据库的情况。雅诗兰黛公司非常重视数据隐私和安全性。我们一发现便立即采取行动以保护数据,并通知有关各方。”

雅诗兰黛快速关闭对数据库的访问

随后雅诗兰黛立即关闭了对该数据库的访问通道,对数据进行保护。

Fowler补充说,当时尚不清楚数据库中公开了多少个电子邮件地址,以及在线公开了多长时间的数据。此外,还不清楚的是第三方(包括威胁行为者)是否访问了数据。

公开的数据库记录不包含付款数据或敏感的员工信息,数据库泄露的其他数据则包括:

以纯文本格式存储的用户电子邮件,包括来自@ estee.com域的内部电子邮件地址;

内部大量IT日志,包括生产、审核、错误、内容管理系统和中间件报告;

参考报告和其他内部文件;

对公司内部使用的IP地址,端口、路径和存储的引用。

ESTĒE-LAUDER-data-leak.png

数据泄露后存在的风险

KnowBe4的安全意识倡导者Erich Kron通过电子邮件说:“这或许是一个简单的配置错误,例如,在共享驱动器或数据库上设置权限,因而造成的数据泄露。” 

此外,Fowler还警告说,“雅诗兰黛公司使用了数以百万计的中间件记录。中间件是一种在操作系统提供的功能之外为应用程序提供通用服务和功能的软件。数据管理,应用程序服务,消息传递,身份验证和API管理通常都由中间件处理。”

“这种数据泄露的另一个潜在风险,即中间件可以为恶意软件创建辅助路径,从而可以破坏应用程序和数据。在这种情况下,任何连网的用户都可以查看到目标系统版本或软件版本,路径地址以及其他可以作为网络后门所使用的数据。”

因此,广大雅诗兰黛的客户应保持警惕,以防犯罪分子进行电子邮件网络钓鱼。

参考来源:

https://www.forbes.com/sites/daveywinder/2020/02/11/estee-lauder-data-leak-440-million-records-exposed/#22aff2662590

https://securityaffairs.co/wordpress/97675/data-breach/estee-lauder-data-leak.html

https://www.bankinfosecurity.com/unsecured-estee-lauder-database-exposed-440-million-records-a-13712

https://threatpost.com/estee-lauder-440m-records-email-network-info/152789/

9999.jpg

]]>
MIT:区块链投票系统Voatz存在一系列漏洞 极易受到攻击 Fri, 21 Feb 2020 05:53:49 +0800        麻省理工学院工程师团队的最新研究发现,在名为Voatz的区块链投票系统中存在一系列令人震惊的漏洞。对Voatz的Android应用程序进行反向工程后,研究人员得出结论称,通过入侵选民手机,攻击者几乎可以随意观察、压制和更改选票。该论文称,网络攻击还可能揭示给定用户在哪里投票,并可能在此过程中压制投票。

@CD4Y~ZMAANNJ(N]7OL`C(R.png

研究人员说,最令人不安的是,破坏了管理Voatz API的服务器的攻击者甚至可以在投票到来时更改选票,这在理论上应该可以防止分布式分类账的威胁。

研究人员得出结论称:“鉴于本文所讨论的失败的严重性,缺乏透明度,选民隐私的风险以及攻击的琐碎性质,我们建议放弃将这个应用程序用于高风险选举的任何近期计划。”

Voatz的基于区块链的投票项目旨在替代缺席选票,安全研究人员对此表示怀疑,但许多科技界人士表示了浓厚兴趣,其获得了超过900万美元的风险投资。在Voatz系统下,用户将通过应用程序远程投票,并通过手机的面部识别系统验证身份。

Voatz已经在美国的一些次要选举中使用,在2018年西弗吉尼亚选举中收集了150多张选票。

Voatz 在博客文章中对MIT的发现提出了质疑,称该研究方法存在“错误”。该公司的主要抱怨是,研究人员正在测试Voatz客户端软件的过时版本,并且没有尝试连接到Voatz服务器本身。博客文章写道:“这种有缺陷的方法使关于其破坏整个系统能力的任何主张无效。”

%2PF[1KU(46QMG1T8)SEN`8.png

Voatz的高管在与记者的电话中辩称,服务器端保护将阻止受感染的设备通过身份验证进入更广泛的系统。Voatz首席执行官Nimit Sawhney说道:“他们的所有主张都基于这样的想法,因为他们能够破坏设备,因此能够破坏服务器。而这个假设是完全错误的。”

Voatz还强调了允许选民和选举官员事后核实选票的措施。该公司产品负责人Hilary Braseth说道:“使用Voatz提交的每张选票都会产生纸质选票,使用Voatz的每位选民一旦提交,都会收到一张选票。”

到目前为止,这些解释并没有使安全专家印象深刻。约翰·霍普金斯密码学家Matthew Green在Twitter上指出:“设备只是将票发送到服务器。服务器可能会将它们放在区块链上,但是如果设备或服务器受到威胁,这将无济于事。Voatz需要解释他们如何处理这个问题。”

Voatz还在博文中指出了其正在进行的漏洞赏金计划和定期的代码审查,以证明该应用程序具有强大的安全性-但有些研究人员可能不同意。去年10月,该公司因FBI转介事件而备受抨击,消息人士告诉CNN该事件起源于密歇根大学的选举安全课程。其他人则批评了Voatz的赏金计划对研究人员来说是繁重且敌对的,这可能解释了为什么麻省理工学院的研究人员没有参加其中。

总体而言,这仍然不是第一次提出有关Voatz或区块链投票的安全问题。11月,参议员Ron Wyden(D-OR)写信给五角大楼,提出对Voatz安全性的担忧,并要求对该应用程序进行全面审核。该请求最终被推迟。Wyden在一份声明中说道:“网络安全专家已经明确表明,互联网投票是不安全的。现在距离共和党人结束选举安全禁令和让国会通过整个选举系统的强制性安全标准已经过去了很长时间。”

9999.jpg



]]>
网络诈骗横行英国金融业 知名对冲基金的网站被克隆 Fri, 21 Feb 2020 05:53:49 +0800        伦敦一些顶级对冲基金和资产管理公司成为诈骗网站的目标,这些诈骗网站会复制知名对冲基金和资管公司的名字和网站,制作假网站,试图从毫无戒心的投资者中骗钱。英国主要金融监管机构FCA发出的大量警告(今年迄今大约每天一次),突显出该行业对虚假网站的担忧。

       尽管到目前为止,已知上当受骗的人寥寥无几。但随着骗子变得越来越大胆,两家颇具知名度得资管公司艾尔格布里斯(Algebris)和元盛资产管理(Winton Group)已成为骗子们得目标。

该监管机构警告称,诈骗者通常使用真实公司的名称,制作一个与原网站设计类似的网站。

该机构警告称,今年1月和2月,意大利投资者戴维-塞拉(Davide Serra)创建的Algebris UK和英国亿万富翁戴维-哈丁(David Harding)创建的Winton Group可能会被克隆网站。这些案件曝光之际,英国政府周三表示,可能会任命电信监管机构英国通信办公室(Ofcom)来监管这个行业。英国政府正在考虑出台新的立法,以打击流氓网络运营商。

据一位知情人士透露,Winton Group在wintonfinance.com网站成立后向FCA投诉。

在另一起事件中,一段被描述为Winton创始人哈丁与Bitsmax的访谈视频于12月26日发布在视频网站上,发布者是一个以Bitsmax为名义注册的账户。Bitsmax在其网站上自称是一家英国认证的加密货币投资平台。这位知情人士说,这段视频实际上是哈丁在一次投资会议上的讲话。这段视频一直在网上流传,直到周一,谷歌(1518.27, 9.48, 0.63%)的一名发言人表示,该视频已被删除。接近温顿的消息人士称,该公司此前曾花费数周时间试图删除该视频。

FCA在周二发布了针对Bitsmax的警告。2月3日,Winton在社交媒体上发布了一个更笼统的警告,随后该公司在2月5日通过其网站向客户发布了一个警告,称Bitsmax与公司及其创始人存在虚假关联。

到目前为止,FCA在今年已经发布了40个关于克隆站点的警告,而去年是365个,2018年是303个,2017年是111个。

该机构上月发出警告的公司包括一些未经授权的公司,它们自称与Natixis投资管理公司、英杰华投资者全球服务公司(Aviva Investors Global Services)和Redhedge资产管理公司(Redhedge Asset Management)有关联。

英杰华的一位发言人表示:“在金融服务行业,克隆网站和其它网络诈骗越来越普遍。”在英杰华的案例中,这位发言人说,一个自称为www.avibonds.com的克隆网站使用了英杰华投资者真实网站的背景。

英杰华(Aviva)和Redhedge表示,没有客户或个人损失过钱,而法国外贸银行(Natixis)在12月10日(FCA发出警告前28天)在其网站上发布警告时表示,“公众可能是受害者”。

Redhedge首席执行官兼首席信息官安德烈-西米纳拉(Andrea Seminara)表示:“我们会定期检查这样的克隆公司,并在适当的时候与监管机构保持持续对话。”

这家资产管理公司的首席运营官埃洛伊丝-利普金(Eloise Lipkin)表示,FCA在他们投诉后48小时内就对该公司的Redhedge投资发出了警告。

9999.jpg

]]>
新安卓系统漏洞:仅需目标设备蓝牙MAC地址即可发起RCE攻击 Fri, 21 Feb 2020 05:53:49 +0800 近日,insinuator发布简报称其发现了一个安卓系统蓝牙漏洞。


在2019年11月3日,位于德国海德堡的IT安全公司ERNW发现并报告了一个严重漏洞,称影响了Android蓝牙子系统。漏洞名叫BlueFrag

640.webp (4).jpg



此漏洞已分配编号为CVE-2020-0022,现已在2020年2月之后的最新安卓安全补丁中进行了修补。注意是最新的Android版本。


640.webp (5).jpg


具体修改的代码如下所示,红字为删除,蓝字为新增,看样子是修改了数据包相关的代码。(代码可复制),一般安卓的开源性,估计很快就有大佬公开POC了。


diff --git a/hci/src/packet_fragmenter.cc b/hci/src/packet_fragmenter.cc
index 5036ed5..143fc23 100644
--- a/hci/src/packet_fragmenter.cc
+++ b/hci/src/packet_fragmenter.cc
@@ -221,7 +221,8 @@
                 "%s got packet which would exceed expected length of %d. "
                 "Truncating.",
                 __func__, partial_packet->len);
-        packet->len = partial_packet->len - partial_packet->offset;
+        packet->len =
+            (partial_packet->len - partial_packet->offset) + packet->offset;
        projected_offset = partial_packet->len;
      }



安全影响如下:


在Android 8.0到9.0版本上,只要启用了蓝牙,附近的远程攻击者就可以使用具有高权限的蓝牙守护程序,从而以静默方式执行任意代码。


全程无需用户交互,仅需知道目标设备的蓝牙MAC地址即可。


对于某些设备,可以从WiFi MAC地址推断出蓝牙MAC地址


此漏洞可能导致个人数据被盗,并且有可能被用来传播恶意软件(短距离蠕虫)。


Short-Distance Worm概念不明,大概是指靠近人进行蠕虫传播的意思。


而在Android 10上,由于技术原因无法利用此漏洞,只会导致Bluetooth守护程序崩溃。


甚至早于8.0的Android版本也可能会受到影响,但发现者尚未评估这种影响。


强烈建议用户从2020年2月开始安装最新的安全补丁。如果您还没有可用的补丁或设备不再受支持,则可以尝试通过一些通用行为规则来减轻影响:


比如,仅在绝对必要时启用蓝牙。请记住,大多数蓝牙耳机也支持有线模拟音频。


保持设备不可发现。仅当您进入蓝牙扫描菜单时,才能发现大多数内容。但是,某些较旧的手机可能会永久被发现。


一旦ERNW确信用户已经修补相关补丁,他们将发布有关此漏洞的技术细节报告,包括对该漏洞的描述以及POC代码。


谷歌也评估了,其可以造成远程代码执行,还有拒绝服务攻击,也就是导致程序崩溃

640.webp (6).jpg


Android的安全补丁链接,其中一句话解决问题,检查并更新您的Android版本,没办法了:

https://source.android.com/security/bulletin/2020-02-01.html


因此,升级到Android 10吧。


当然,隔空获取目标的蓝牙MAC地址是一件比较困难的事情,你也可以不用太担心,平常注意使用习惯,不取随意用蓝牙连接未知来源的设备。


其实,一些厂商的应用会去收集用户的这些信息,如果对应上,制成数据库,这个对于QB人员来说是个利器。

微信图片_20200212143004.png

但如果一个人从某些途径获取到了Mac地址,然后在你开蓝牙听歌的时候,跟踪着你,植入恶意代码的场景。


还是有点可怕的。


9999.jpg

]]>
日本三菱公司遭网络攻击 自卫队装备品信息或外泄 Fri, 21 Feb 2020 05:53:49 +0800 日本防卫省10日表示,由于三菱电机公司遭到网络攻击,与试制自卫队装备品有关的竞标信息有可能已经外泄,其中包括试制品所需性能及竞标评估标准这些需要谨慎处理的“注意信息”。三菱电机未能中标,由其他企业签约。主管竞标的防卫装备厅称:“根据开发的不同阶段,性能可能发生变化,正在详查对安全保障方面的影响。”

22.png

据报道,防卫省回应称:“发生这种事件,非常遗憾。”三菱电机1月20日发布消息称,遭到大规模网络攻击时,曾否认有关防卫及电力等社会基础设施的信息发生泄露,但防卫装备厅就注意信息的外泄认为,“可能起因于当时的攻击”。

防卫装备厅透露称,该厅2018年10月30日曾向三菱电机出借写有关于试制装备品信息的3份纸质文件,之后回收。该公司虽提交了彻底保全信息的誓约书,但却将文件电子化后保管在与外部接通的网络。

三菱电机2月7日向防卫省报告了信息泄露的可能性,并为管理不彻底致歉。该公司推定多达200MB的大量信息发生外泄,防卫装备厅正在推进确认,是否包括其他敏感信息。

2019年6月,三菱电机的国内服务器等发现可疑动作,此后的调查发现遭到了网络攻击。围绕针对防卫相关企业的网络攻击问题,防卫省透露称,NEC、神户制钢所及航空测量巨头PASCO曾遭到网络攻击。

9999.jpg

]]>
国务院:不符合网络安全要求的政务信息系统未来将不给经费 Fri, 21 Feb 2020 05:53:49 +0800 近日,国务院办公厅印发《国家政务信息化项目建设管理办法》(以下简称《办法》),对国家政务信息系统的规划、审批、建设、共享和监管作出规定。

171127-poulsen-china-hack-tease_vv1sgq.jpg

《办法》指出,要规范国家政务信息化建设管理,推动政务信息系统跨部门跨层级互联互通、信息共享和业务协同,强化系统应用绩效考核。国家政务信息系统主要包括:国务院有关部门和单位负责实施的国家统一电子政务网络平台、国家重点业务信息系统、国家信息资源库、国家信息安全基础设施、国家电子政务基础设施(数据中心、机房等)、国家电子政务标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》规定的系统。

《办法》强调,国家政务信息化建设管理应当坚持统筹规划、共建共享、业务协同、安全可靠的原则,充分发挥国家政务信息化建设规划的统筹作用。各有关部门编制规划涉及政务信息化建设的,应当与国家政务信息化建设规划进行衔接。

《办法》在简化优化项目申报和审批流程的基础上,要求对中央本级政务信息系统全口径纳入管理平台进行统一管理。各部门所有新建政务信息化项目,均应当在全国投资项目在线审批监管平台政务信息化项目管理子平台报批或者备案。各部门应当在管理平台及时更新本部门政务信息系统目录。管理平台汇总形成国家政务信息系统总目录。

《办法》提出,加强国家政务信息化项目建设投资和运行维护经费协同联动,对于未按要求共享数据资源、未纳入国家政务信息系统总目录、不符合密码应用和网络安全要求等情况的政务信息系统,不安排运行维护经费。加强对绩效评价和项目后评价结果的应用,将评价结果作为下一年度安排政府投资和运行维护经费的重要依据。坚持“联网通办是原则,孤网是例外”,对部门认为根据有关法律法规和党中央、国务院要求不能进行信息共享,但是确有必要建设或者保留的,经国务院批准后方可建设或者保留。

《办法》强调,有关部门要建立国家政务信息化建设管理的协商机制,做好统筹协调,开展督促检查和评估评价,推广经验成果,形成工作合力。

image.png

国家政务信息化项目建设管理办法

第一章 总则

第一条 为规范国家政务信息化建设管理,推动政务信息系统跨部门跨层级互联互通、信息共享和业务协同,强化政务信息系统应用绩效考核,根据《国务院关于印发政务信息资源共享管理暂行办法的通知》(国发〔2016〕51号)等有关规定,制定本办法。

第二条 本办法适用的国家政务信息系统主要包括:国务院有关部门和单位负责实施的国家统一电子政务网络平台、国家重点业务信息系统、国家信息资源库、国家信息安全基础设施、国家电子政务基础设施(数据中心、机房等)、国家电子政务标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》规定的系统。

第三条 国家政务信息化建设管理应当坚持统筹规划、共建共享、业务协同、安全可靠的原则。

第四条 国家发展改革委负责牵头编制国家政务信息化建设规划,对各部门审批的国家政务信息化项目进行备案管理。财政部负责国家政务信息化项目预算管理和政府采购管理。各有关部门按照职责分工,负责国家政务信息化项目审批、建设、运行和安全监管等相关工作,并按照“以统为主、统分结合、注重实效”的要求,加强对政务信息化项目的并联管理。

第五条 国家发展改革委会同中央网信办、国务院办公厅、财政部建立国家政务信息化建设管理的协商机制,做好统筹协调,开展督促检查和评估评价,推广经验成果,形成工作合力。

第二章 规划和审批管理

第六条 国家发展改革委会同有关部门根据信息化发展规律和政务信息化建设特点,统筹考虑并充分论证各部门建设需求,编制国家政务信息化建设规划并报国务院批准后实施;如内外部发展环境发生重大变化,适时组织评估论证,提出调整意见报国务院批准。各有关部门编制规划涉及政务信息化建设的,应当与国家政务信息化建设规划进行衔接。

第七条 国家发展改革委审批或者核报国务院审批的政务信息化项目,以及其他有关部门按照项目审批管理的政务信息化项目,原则上包括编报项目建议书、可行性研究报告、初步设计方案等环节。

对于已经纳入国家政务信息化建设规划的项目,可以直接编报可行性研究报告。

对于党中央、国务院有明确要求,或者涉及国家重大战略、国家安全等特殊原因,情况紧急,且前期工作深度达到规定要求的项目,可以直接编报项目可行性研究报告、初步设计方案和投资概算。

第八条 国家政务信息化项目原则上不再进行节能评估、规划选址、用地预审、环境影响评价等审批,涉及新建土建工程、高耗能项目的除外。

第九条 除国家发展改革委审批或者核报国务院审批的外,其他有关部门自行审批新建、改建、扩建,以及通过政府购买服务方式产生的国家政务信息化项目,应当按规定履行审批程序并向国家发展改革委备案。

备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、信息资源目录、信息共享开放、应用系统、等级保护或者分级保护备案情况密码应用方案和密码应用安全性评估报告等内容,其中改建、扩建项目还需提交前期项目第三方后评价报告。

第十条 跨部门共建共享的政务信息化项目,由牵头部门会同参建部门共同开展跨部门工程框架设计,形成统一框架方案后联合报国家发展改革委。框架方案要确定工程的参建部门、建设目标、主体内容,明确各部门项目与总体工程的业务流、数据流及系统接口,初步形成数据目录,确保各部门建设内容无重复交叉,实现共建共享要求。框架方案确定后,各部门按照项目管理要求申请建设本部门参建内容。

各有关部门对于需要地方共享协同的政务信息化项目,应当按照统筹规划、分级审批、分级建设、共享协同的原则建设,并加强与地方已有项目的衔接。项目建设单位应当加强对地方的指导,统筹制定信息共享、业务协同的总体要求和标准规范。地方项目建设单位应当根据项目的总体目标、整体框架、建设任务、绩效目标及指标等,按照本地有关规定开展项目审批建设工作,并做好与国家有关项目建设单位的衔接配合。

第十一条 可行性研究报告、初步设计方案应当包括信息资源共享分析篇(章)。咨询评估单位的评估报告应当包括对信息资源共享分析篇(章)的评估意见。审批部门的批复文件或者上报国务院的请示文件应当包括对信息资源共享分析篇(章)的意见。

项目建设单位应当编制信息资源目录,建立信息共享长效机制和共享信息使用情况反馈机制,确保信息资源共享,不得将应当普遍共享的数据仅向特定企业、社会组织开放。

信息资源目录是审批政务信息化项目的必备条件。信息资源共享的范围、程度以及网络安全情况是确定项目建设投资、运行维护经费和验收的重要依据。

第十二条 各部门所有新建政务信息化项目,均应当在全国投资项目在线审批监管平台政务信息化项目管理子平台(以下简称管理平台)报批或者备案。

所有中央本级政务信息系统应当全口径纳入管理平台进行统一管理。各部门应当在管理平台及时更新本部门政务信息系统目录。管理平台汇总形成国家政务信息系统总目录。

第三章 建设和资金管理

第十三条 项目建设单位应当确定项目实施机构和项目责任人,建立健全项目管理制度,加强对项目全过程的统筹协调,强化信息共享和业务协同,并严格执行招标投标、政府采购、工程监理、合同管理等制度。招标采购涉密信息系统的,还应当执行保密有关法律法规规定

第十四条 项目建设单位应当按照《中华人民共和国网络安全法》等法律法规以及党政机关安全管理等有关规定,建立网络安全管理制度,采取技术措施,加强政务信息系统与信息资源的安全保密设施建设,定期开展网络安全检测与风险评估,保障信息系统安全稳定运行

第十五条 项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估

第十六条 项目应当采用安全可靠的软硬件产品。在项目报批阶段,要对产品的安全可靠情况进行说明。项目软硬件产品的安全可靠情况,项目密码应用和安全审查情况,以及硬件设备和新建数据中心能源利用效率情况是项目验收的重要内容。

第十七条 项目建设单位应当充分依托云服务资源开展集约化建设。

第十八条 对于人均投资规模过大、项目建设单位不具备建设运行维护能力的项目,应当充分发挥职能部门作用或者外包,减少自建自管自用自维。

第十九条 国家政务信息化项目实行工程监理制,项目建设单位应当按照信息系统工程监理有关规定,委托工程监理单位对项目建设进行工程监理。

第二十条 项目建设单位应当对项目绩效目标执行情况进行评价,并征求有关项目使用单位和监理单位的意见,形成项目绩效评价报告,在建设期内每年年底前向项目审批部门提交。

项目绩效评价报告主要包括建设进度和投资计划执行情况。对于已投入试运行的系统,还应当说明试运行效果及遇到的问题等。

第二十一条 项目建设过程中出现工程严重逾期、投资重大损失等问题的,项目建设单位应当及时向项目审批部门报告,项目审批部门按照有关规定要求项目建设单位进行整改或者暂停项目建设。

第二十二条 项目建设单位应当严格按照项目审批部门批复的初步设计方案和投资概算实施项目建设。项目建设目标和内容不变,项目总投资有结余的,应当按照相关规定将结余资金退回。

项目建设的资金支出按照国库集中支付有关制度规定执行。

第二十三条 项目投资规模未超出概算批复、建设目标不变,项目主要建设内容确需调整且资金调整数额不超过概算总投资15%,并符合下列情形之一的,可以由项目建设单位调整,同时向项目审批部门备案:

(一)根据党中央、国务院部署,确需改变建设内容的;

(二)确需对原项目技术方案进行完善优化的;

(三)根据所建政务信息化项目业务发展需要,在已批复项目建设规划的框架下调整相关建设内容及进度的。

不符合上述情形的,应当按照国家有关规定履行相应手续。

第二十四条 初步设计方案和投资概算未获批复前,原则上不予下达项目建设投资。对于因开展需求分析、编制可行性研究报告和初步设计、购地、拆迁等确需提前安排投资的政务信息化项目,项目建设单位可以在项目可行性研究报告获批复后,向项目审批部门提出申请。

第二十五条 国家政务信息化项目建成后半年内,项目建设单位应当按照国家有关规定申请审批部门组织验收,提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告(包括涉密信息系统安全保密测评报告或者非涉密信息系统网络安全等级保护测评报告等)、密码应用安全性评估报告等材料。

项目建设单位不能按期申请验收的,应当向项目审批部门提出延期验收申请。

项目审批部门应当及时组织验收。验收完成后,项目建设单位应当将验收报告等材料报项目审批部门备案。

第二十六条 项目建设单位应当按照国家有关档案管理的规定,做好项目档案管理,并探索应用电子档案。

未进行档案验收或者档案验收不合格的,不得通过项目验收。

第二十七条 项目建设单位应当在项目通过验收并投入运行后12至24个月内,依据国家政务信息化建设管理绩效评价有关要求,开展自评价,并将自评价报告报送项目审批部门和财政部门。项目审批部门结合项目建设单位自评价情况,可以委托相应的第三方咨询机构开展后评价。

第二十八条 加强国家政务信息化项目建设投资和运行维护经费协同联动,坚持“联网通办是原则,孤网是例外”。部门已建的政务信息化项目需升级改造,或者拟新建政务信息化项目,能够按要求进行信息共享的,由国家发展改革委会同有关部门进行审核;如果部门认为根据有关法律法规和党中央、国务院要求不能进行信息共享,但是确有必要建设或者保留的,由国家发展改革委报国务院,由国务院办公厅会同有关部门进行审核,经国务院批准后方可建设或者保留。

(一)对于未按要求共享数据资源或者重复采集数据的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。

(二)对于未纳入国家政务信息系统总目录的系统,不安排运行维护经费。

(三)对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统

第四章 监督管理

第二十九条 项目建设单位应当接受项目审批部门及有关部门的监督管理,配合做好绩效评价、审计等监督管理工作,如实提供建设项目有关资料和情况,不得拒绝、隐匿、瞒报。

第三十条 国务院办公厅、国家发展改革委、财政部、中央网信办会同有关部门按照职责分工,对国家政务信息化项目是否符合国家有关政务信息共享的要求,以及项目建设中招标购、资金使用、密码应用网络安全等情况实施监督管理。发现违反国家有关规定或者批复要求的,应当要求项目建设单位限期整改。逾期不整改或者整改后仍不符合要求的,项目审批部门可以对其进行通报批评、暂缓安排投资计划、暂停项目建设直至终止项目。

网络安全监管部门应当依法加强对国家政务信息系统的安全监管,并指导监督项目建设单位落实网络安全审查制度要求。

各部门应当严格遵守有关保密等法律法规规定,构建全方位、多层次、一致性的防护体系,按要求采用密码技术,并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。

第三十一条 审计机关应当依法加强对国家政务信息系统的审计,促进专项资金使用真实、合法和高效,推动完善并监督落实相关制度政策。

第三十二条 项目审批部门、主管部门应当加强对绩效评价和项目后评价结果的应用,根据评价结果对国家政务信息化项目存在的问题提出整改意见,指导完善相关管理制度,并按照项目审批管理要求将评价结果作为下一年度安排政府投资和运行维护经费的重要依据。

第三十三条 单位或者个人违反本办法规定未履行审批、备案程序,或者因管理不善、弄虚作假造成严重超概算、质量低劣、损失浪费、安全事故或者其他责任事故的,相关部门应当予以通报批评,并对负有直接责任的主管人员和其他责任人员依法给予处分。

相关部门、单位或者个人违反国家有关规定,截留、挪用政务信息化项目资金,或者违规安排运行维护经费的,由有关部门按照《财政违法行为处罚处分条例》等相关规定予以查处。

第五章 附则

第三十四条 国务院有关部门可以根据本办法的规定及职责分工,制定本部门的具体管理办法。

各省、自治区、直辖市人民政府可以参照本办法制定本地区的管理办法。

第三十五条 本办法由国家发展改革委会同财政部负责解释。

第三十六条 本办法自2020年2月1日起施行。2007年8月13日国家发展改革委公布的《国家电子政务工程建设项目管理暂行办法》同时废止。

*本文来源:信安在线资讯,转载请注明来源

9999.jpg

]]>
木马病毒Emotet可“空气传播”:感染附近WiFi网络 Fri, 21 Feb 2020 05:53:49 +0800 木马病毒Emotet由于其开发团队的“敏捷性”和“产品”不断进化,号称打不死的小强。近日,研究者发现该木马获得了“空气传播”的可怕技能。

是时候使用强密码保护Wi-Fi网络和Windows用户帐户了:研究人员发现并分析了一个恶意软件程序,该程序能够将Emotet 木马病毒传播到附近的无线网络并破坏其中的计算机。

Emotet:一个古老的威胁

Emotet是目前用途最广泛的恶意软件威胁之一。

具体来说,Emotet就像一个“搬运工”,侵入宿主系统后,具备下载其他恶意软件的能力,由于其模块化的性质,这只是其能力之一。

借助传播组件,Emotet能够将自身传送到同一网络上的其他计算机,该组件可以通过挂载共享或利用漏洞利用来传播恶意软件。

但是,据Binary Defense研究人员称,Emotet现在get到了一个更加危险的技能——可以“跳入”其他Wi-Fi网络并试图破坏其中的计算机。

“空气传播”新技能

Binary Defense威胁搜寻和反情报高级主管Randy Pargman表示:

我们从用于研究的Emotet机器人中检索了该恶意软件样本,并使用IDA Pro对恶意软件代码进行了逆向工程以确定其运行方式。

恶意软件感染了连入Wi-Fi网络的计算机后,它会使用wlanAPI接口发现该区域中的所有Wi-Fi网络:邻居的Wi-Fi网络、咖啡馆的免费Wi-Fi网络或附近的商家的Wi-Fi网络。

“即使这些网络受到访问密码的保护,该恶意软件也会尝试字典攻击破解密码,一旦得手就可以连接到Wi-Fi网络,开始扫描连接到同一网络的所有其他计算机,以查找所有启用了文件共享的Windows计算机。然后,它检索这些计算机上所有用户帐户的列表,并尝试猜测这些帐户以及管理员帐户的密码。如果猜出的任何密码正确,则恶意软件会将其自身复制到该计算机,并通过在另一台计算机上运行远程命令来进行安装。”

最后,是报告给命令和控制服务器以确认安装。

一些“有趣”的细节

分析期间发现的一件有趣的事是,该恶意软件用于无线传播的主要可执行文件的时间戳记可追溯到2018年4月,并于一个月后首次提交给VirusTotal。

Binary Defense威胁研究人员James Quinn 指出:

带有此时间戳的可执行文件包含Emotet使用的Command and Control(C2)服务器的硬编码IP地址。这意味着这种Wi-Fi传播行为已经运行了将近两年了。

Emotet通过“空气传播”之所以未能引起业界注意,这可能部分是由于二进制文件在木马中投放的频率不高。根据记录,从2019年8月下旬Emotet首次出现至今,Binary Defense直到2020年1月23日才首次观察到Emotet投放此类文件。

此恶意软件保持低调的另一个原因是能够绕过安全检查,如果研究人员在没有Wi-Fi适配器的VM /自动沙箱中运行,则恶意软件不会触发对wlanAPI网络扫描发现功能的利用。

9999.jpg

]]>
瑞士这家密码公司帮美国偷窥120个国家 我国例外 Fri, 21 Feb 2020 05:53:49 +0800 北京时间2月12日消息,Crypto AG是瑞士一家加密通信设备公司,靠在第二次世界大战期间为美军生产密码编制设备发家。过去数十年以来,Crypto AG一直为全球逾120个国家和地区提供加密系统。

Crypto AG的机械加密设备

但根据《华盛顿邮报》和德国电视二台报道称,数十年来,这家公司的“东家”一直是美国中央情报局和德国情报机关联邦情报局,这使得中央情报局、美国国家安全局和德国情报机关,能够看到这些国家和地区的大多数秘密情报。不过,前苏联和中国没有使用Crypto AG的加密技术。

通过Crypto AG掌握秘密情报的能力,使得美国在伊朗人质危机期间对伊朗各部门间的通信,在马岛战争期间对阿根廷的通信,在埃及-以色列在戴维营谈判和平协议期间对埃及总统安瓦尔·达特萨(Anwar Sadat)的通信了如指掌,对利比亚通信的监视证实卡扎菲政府参与了1986年西柏林舞厅爆炸案。据《华盛顿邮报》和德国电视二台称,在1980年代的两伊战争期间,80%至90%的伊朗通信都被监听。

曾经的Crypto AG总部

德国情报机关1990年代出售了持有的Crypto AG股权,中央情报局直到2016年还持有其股权。由于其他数字加密工具的广泛普及,以及一系列失误——包括Crypto AG一名销售人员1992年在伊朗被捕,Crypto AG的情报价值大大缩水。但这段历史也表明了美国政府对其他国家拥有部分通信基础设施带来的潜在安全风险的担忧,打压华为就是一个明证。

美国中央情报局通过Crypto AG监听其他国家加密通信的细节,出自中央情报局下属情报研究中心2004年的一份报告,以及联邦情报局官员收集的“口述历史”。

哈格林及其夫人1949年到达纽约

在中央情报局的文档中,Crypto AG被称作“Minerva”(密涅瓦,指智慧女神)。美国政府与Crypto AG的联系,发端于后者创始人鲍里斯·哈格林(Boris Hagelin)——在二战期间从挪威移居美国。

1950年代末,美国政府成功说服哈格林,限制出售给其他国家的加密设备的加密强度,由美国政府补偿由此带来的损失。Crypto AG转向电子加密技术后,美国情报机构对它的影响更大了。Crypto AG 1967年推出的第一代电子加密设备,基本上完全是由美国国家安全局设计的。Crypto AG销售两种版本的加密系统——销售给盟国的是强加密版本,销售给其他国家的加密系统可以被“操纵”。

Crypto AG不仅提供了大量情报——1980年,在国家安全局获取的其他国家外交等机密情报中,Crypto AG贡献了约40%——也给中央情报局和联邦情报局贡献了巨额收入。

目前仍然有逾十个国家在使用Crypto AG的加密系统,但2月10日晚,瑞士政府吊销了Crypto AG的出口许可证。

2020-02-11-image-31.jpg2020-02-11-image-32.jpg

9999.jpg

]]>
美国国土安全部承认使用数据库追踪数百万手机用户 Fri, 21 Feb 2020 05:53:49 +0800 美国国土安全部已经承认其使用了追踪数百万智能手机用户的数据库,无视此前作出的一项法庭裁决。这些数据已经被用于边境和移民执法,有一些证据表明,国土安全部并不想承认有权访问它的数据库。

640.webp (3).jpg


熟知内情的消息人士透露,特朗普政府购买了一个汇总美国数百万部智能手机的活动地图的商业数据库,并正在将其用于移民和边境执法。这些定位数据来自已获用户授权以记录手机位置的普通移动应用,如游戏、天气和电商应用等,报道称,美国国土安全部已经利用这些信息来检测非法移民和其他可能非法进入美国的人。


尽管从技术上来讲,智能手机用户确实会授权应用访问其位置数据,但他们在这样做时通常不会意识到自己的数据可能会被出售给多达40家不同的公司。另外,用户还可能会被号称保护匿名的隐私政策所误导,而现实却是,在这种政策之下,个人用户被识别和追踪根本是件不值一提的事情。在大多数情况下,只需要确定住宅和办公室的位置就足以识别出一个人,毕竟通勤者总是“两点一线”。


有个案例表明执法机构刻意隐瞒其对上述数据库的使用。知情人士称,美国国土安全部曾利用定位数据来检测手机用户是否穿过毒贩在美国和墨西哥之间修建的一条隧道,这条隧道在美国境内的出口是亚利桑那州圣路易斯市附近一家已经关门的肯德基炸鸡店。


此举帮助当局在2018年逮捕了这家已停业肯德基餐厅的老板伊万·洛佩兹(Ivan Lopez),罪名是其共谋修建了这条隧道。但是,警方对这起事件的记录并未提到有定位数据显示他在这个不同寻常的位置穿越美墨边境,而是归结于例行截停检查所带来的结果。


2018年的一项法院裁决对美国政府从电话公司获取定位数据的权力进行了限制,但外媒指出,从商业公司购买定位数据当局被用作绕过法律的一种方式。


美国国土安全部承认其购买了追踪数百万智能手机的数据库,但拒绝说明该部是如何使用这些信息的。消息人士称,这些数据被用来跟踪跨境人员流动,以及“不寻常地区的手机活动,比如偏远的沙漠地带”。

9999.jpg

]]>
安全周报(02.03-02.09) Fri, 21 Feb 2020 05:53:49 +0800

1


某黑客组织宣称对国内视频监控发起攻击

2020年2月6日左右,白帽汇安全研究员发现境外社交媒体上有黑客组织宣称要在2月13日对国内视频监控发起攻击。在其发表的内容中出现了关键词“Op_Tibet”,这个特殊的单词和一年多前所宣称的针对中国的网络攻击有关。
值得一提的是,Tibet代表西藏,2月13日是黑客组织所编造的所谓的西藏独立日,前后两次黑客活动时间也正是2019年2月13日和2020年2月13日。由此看来,这可能是境外反动组织的“例行公事”。

微信截图_20200209134501.png


2


思科大量设备中招:思科发现协议的高危漏洞

物联网网络安全网络Armis在实施思科发现协议(CDP)的各种设备中发现了五个危急的零日漏洞,这些漏洞使远程攻击者无需任何用户干预就可以全面接管设备。CDP是思科的一种专有第2层(数据链路层)网络协议,用于发现有关本地连接的思科设备的信息。CDP实施在几乎所有的思科产品中,包括交换机、路由器、IP电话机和摄像头。所有这些设备出厂交付时都默认启用了CDP。

微信截图_20200209135618.png

3


印度APT组织趁火打劫对我国医疗机构发起定向攻击!无耻!

就在全国人民万众一心抗击疫情之时,近日,360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。

该攻击组织使用采用鱼叉式钓鱼攻击方式,通过邮件进行投递。可恨至极的是,它竟公然利用当前肺炎疫情等相关题材作为诱饵文档,部分相关诱饵文档如:武汉旅行信息收集申请表.xlsm,进而通过相关提示诱导受害者执行宏命令。

这里一旦宏命令被执行,攻击者就能访问指定网站,并使用scrobj.dll远程执行Sct文件,这是一种利用INF Script下载执行脚本的技术。

1581218190421453.jpg

4


日内瓦和维也纳联合国办事处去年遭黑客攻击 400GB数据被泄露

在2019年7月发起的一项目的明确的网络攻击活动中,黑客组织入侵了联合国在日内瓦和维也纳办事处的IT系统。在事件发生之后联合国并没有立即公开本次攻击事件,甚至没有向员工披露该事件的性质和受影响范围。直到近日,联合国IT部门的高级官员才对外证实遭到了非常复杂的网络攻击,预估已经有400GB的数据被泄露。

在媒体披露的一份联合国机密报告中的,还提到了“数十个联合国服务器”遭到了破坏,包括其人权办公室和人事部门的系统,部分管理员账号,以及“Still counting our casualties”的标题内容。

1581212145871823.jpg




勒索病毒




1


勒索软件通过技嘉驱动杀死安全软件

据某些安全研究人员透露,RobbinHood勒索软正在利用一个存在缺陷的技嘉(GIGABYTE)驱动,往Windows机器中安装未被签名的恶意驱动程序,用于对抗反病毒和安全软件。
在最新一份报告中,Sophos研究人员发现RobbinHood勒索软件安装了一个由微软联合签名的存在缺陷的技嘉驱动程序,并利用它来禁用微软的驱动程序签名强制执行策略。
一旦禁用成功,攻击者就可以安装一个定制的恶意内核驱动程序,用于终止反病毒和安全软件的进程。

微信截图_20200209135427.png



]]>
安卓被曝安全漏洞:允许攻击者通过蓝牙向用户发送恶意软件 Fri, 21 Feb 2020 05:53:49 +0800 据外媒消息,日前,网络安全公司ERNW的安全研究人员发行了一个名为BlueFrag的漏洞,该漏洞使具有蓝牙功能的Android设备范围内的任何人都可以访问该设备的存储。入侵者只需要知道目标的蓝牙MAC地址或通过查看WiFi MAC地址就很容易猜到。网络安全公司ERNW方面题型任何使用运行Android 8或9的旧Android设备的人都需要警惕使用蓝牙。

22.jpg

据悉,如果利用此漏洞,黑客可以在Android设备上以蓝牙守护程序或后台进程的身份执行代码。目前,ERNW并未提供更多细节来防止任何人滥用此漏洞,但该安全公司警告: “该漏洞可能导致个人数据被盗,并有可能被用来传播恶意软件。”例如,ERNW指出了黑客发射短距离计算机蠕虫攻击附近易受攻击的Android手机的危险。

ERNW的报告指出,如果您由于Android版本太旧而无法安装2020年2月安全更新,则最好的解决方案是停止使用蓝牙。虽然这也使您无法使用蓝牙配件,但是这使黑客无法对您使用此漏洞。

不过,值得庆幸的是Google在通过2020年2月的Android安全更新修复了该漏洞。唯一的问题是,Android智能手机供应商向客户手机发布更新的速度可能很慢,有时可能需要数周或数月。在有些情况下,厂商可能由于手机型号太旧而完全放弃了安全支持。

9999.jpg

]]>
印度APT组织趁火打劫对我国医疗机构发起定向攻击!无耻! Fri, 21 Feb 2020 05:53:49 +0800  疫情亦网情,新冠病毒之后网络空间成疫情战役的又一重要战场。

 

就在全国人民万众一心抗击疫情之时,近日,360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。



640.webp.jpg


在进一步追踪溯源中,我们发现这起APT组织隶属于印度黑客组织。抗疫攻坚难题当前,印度APT组织竟公然瞄准我国医疗机构发动攻击!借势搅局、趁火打劫,此举不仅令人愤慨至极,简直是丧尽天良!

 

带着满腔的愤怒,我们进一步讲述关于此次攻击的重磅详情!

 

首先:是谁在趁火打劫,对我国痛下毒手?


在揭开幕后真凶的神秘面纱前,我们先简单了解下此次攻击者的攻击“路数”。

 

该攻击组织使用采用鱼叉式钓鱼攻击方式,通过邮件进行投递。可恨至极的是,它竟公然利用当前肺炎疫情等相关题材作为诱饵文档,部分相关诱饵文档如:武汉旅行信息收集申请表.xlsm,进而通过相关提示诱导受害者执行宏命令。


640.webp (1).jpg

 

简单说,攻击者其将关键数据存在worksheet里,worksheet被加密,宏代码里面使用key去解密然后取数据。然而其用于解密数据的Key为:nhc_gover,而nhc正是中华人民共和国国家卫生健康委员会的英文缩写。

 

这里一旦宏命令被执行,攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct,并使用scrobj.dll远程执行Sct文件,这是一种利用INF Script下载执行脚本的技术。


然而,此处我们想强调的是,此次攻击所使用的后门程序与之前360安全大脑在南亚地区APT活动总结中已披露的已知的印度组织专属后门cnc_client相似,通过进一步对二进制代码进行对比分析,其通讯格式功能等与cnc_client后门完全一致。可以确定,攻击者来源于印度的APT组织!


640.webp (2).jpg


值得注意的是,该印度APT组织的攻击目标主要为:中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。而且在对中国地区的攻击中,主要针对政府机构、科研教育领域进行攻击,尤其以科研教育领域为主。

 

其次:谁又该提高警惕,免遭其迫害?


在明确了是谁在打我们的时候,又一个重要问题迎来而来,谁是此次攻击的受害者?

 

不言而喻,当攻击者精心利用新冠肺炎疫情相关题材,作为诱饵文档,进行鱼叉式攻击时,医疗机构、医疗工作领域无疑成为此次攻击的最大受害者。

 

别有用心国家级APT组织的搅局,让这场本就步履维艰的疫情之战,更加艰难。一旦其“攻击阴谋”得逞,轻则丢失数据、引发计算机故障,重则影响各地疫情防控工作的有序推进,危及个人乃至企业政府等各机构的网路安全。尤其面对这等有着国家级背景的APT组织的攻击,后果简直不堪设想。

 

最后:攻击者的定向攻击目的,或许更值得深思?


中国有句古话,人生有三不笑:不笑天灾,不笑人祸,不笑疾病。

 

在重大灾难疫情面前,国家、企业、个人,我们尽我们一切所能做到的,支援武汉,支援前线,几乎所有工作者都在不眠不休的与时间赛跑、与病毒赛跑,在努力打赢这场疫情防御之战。同时,抗击疫情关键时刻,我们还收到来自他国的支持,近日,我国外交部发言人华春莹一口气向11国致谢。

 

就是在国内外友人守望相助时,为什么印度APT组织却如此丧尽天良的对我国医疗机构发动定向攻击?


这里我们不妨有个大胆的猜测:


第一,   它们为了获取最新最前沿的医疗新技术。这与该印度APT组织的攻击重点一直在科研教育领域有着莫大关系;


第二,  它们为了进一步截取医疗设备数据。为打赢这场异常艰难的疫情之战,我国投入了重大的人力、物力、财力资源,其中尤其在医疗设备上更是重点,所以该组织此次发动攻击,能进一步截取我国更多的医疗设备数据信息;


第三,  扰乱中国的稳定,制造更多的恐怖。疫情面前,不仅是一场与生物病毒的战役,更是一场民心之战,只有民心定了,才能保证社会的稳定。而该组织在此次发动攻击,无疑给疫情制造了更多的恐慌,恐吓之中,进行扰乱社会的稳定。

 

但无论是哪种猜测,它在此次时刻发动攻击,都将令本就不易的疫情攻坚战更加艰难,但我们更相信我们强大的祖国,相信奋战在任何前线的工作人员,不仅是卫士医疗团队、人民子弟兵,还有那些保证我们网络安全的勇士们,我们相信人定胜天!我们一定能打赢这场疫情之战,也一定能守护好网络空间这片净土!


加油,中国!

9999.jpg

]]>
微软威胁情报中心公布最新钓鱼攻击 黑客借助Excel诱导用户加载宏 Fri, 21 Feb 2020 05:53:49 +0800 长期以来钓鱼攻击都是黑客们的惯用伎俩,不过有些黑客也会针对不同的目标用户开展不同的钓鱼获得最佳效果。

例如借助办公软件展开攻击通常都是面向企业和商务人士的,而办公软件中的宏功能更是黑客们钟爱的攻击手法。

微软威胁情报中心最新公布的案例就是黑客通过 Excel 文件诱导用户加载宏文件执行恶意代码负载更多恶意软件。

利用办公软件展开攻击绝大多数都是基于宏的,尽管少数是基于软件本身漏洞不过若是禁用宏的话会安全许多的。

微软威胁情报中心公布最新钓鱼攻击 黑客借助Excel诱导用户加载宏

当办公软件提示文档受保护时你会怎么做:


被称为TA505的网络犯罪集团主要以零售企业和金融机构为目标,该网络犯罪集团的目的就是获得直接经济收入。

通常情况下TA505会直接群发垃圾邮件和钓鱼邮件诱导企业点击链接或者下载软件,不过最近他们已经更换策略。

微软威胁情报中心拦截到的恶意样本显示,TA505现在正尝试将恶意代码放在宏里,然后诱导用户开启和加载宏。

当用户打开钓鱼文档时会直接显示黑客伪造的文档保护提示,该提示诱导用户必须点击加载宏才可查看文档内容。

如果用户轻信黑客伪造的提示点击加载宏,则包含恶意代码的宏辉被立即执行并联系远程服务器加载恶意软件等。

TA505会在受害者计算机上安装多种恶意软件,例如后门程序、木马下载器、勒索软件、键盘记录器及其他软件。

不幸中招的话会被窃取机密信息:


TA505主要目的就是收集信息进行金融诈骗或者直接窃取钱财,因此不到万不得已的时候他们不会开启勒索软件。

如果能够成功收集的各种机密信息例如银行账户、密码或者财务资料,那么黑客就会尝试将其账户余额进行转账。

尽管这个过程本身比较复杂但只需要有耐心即可,毕竟受害者计算机已经被安装各种记录器总归会泄露各种信息。

如果实在找不到有利用价值的信息TA505就会使用最后的招数,那就是直接开启勒索软件加密文件再进行勒索等。

例行安全提醒时间:


多数针对Microsoft Office 攻击都需要依靠漏洞或者是携带恶意代码的文档并诱导用户打开来加载其他恶意软件。

对于用户来说保持Microsoft Office 更新是最佳解决方案,只要保持更新就可以及时封堵已经被发现的安全漏洞。

此外不要打开任何来历不明的文档,绝大多数情况下非联系人发送的附件或者文档不是广告那就是含有恶意代码。

除电子邮件外诸如QQ 和微信等工具发送来历不明的文档同样需要警惕,最后如果不用宏功能的话最好直接禁用

9999.jpg

]]>
谷歌相册出现安全性问题 部分用户上传的隐私视频会被其他用户获取 Fri, 21 Feb 2020 05:53:49 +0800 谷歌相册即Google Photos可帮助用户免费备份照片到云端而且是免费的 , 因此在国外该应用拥有相当多的用户。

不幸的是谷歌发布公告称因出现故障可能泄露用户隐私,尽管此次问题只影响部分用户但还是引起很多用户担心。

谷歌表示在用户上传和备份视频内容时,这些视频内容有较低的概率会同步到其他用户的账号中导致视频的泄露。

当然有的用户自己的私密视频泄露也有概率看到其他用户的私密视频,谷歌表示当前该公司已彻底修复这个问题。

谷歌并未透露具体受影响的用户数:


谷歌在给用户发送的电子邮件中表示此次故障仅影响0.01%的用户,不幸的是谷歌相册实际用户已经超过10亿名。

这意味着即便是0.01%也有相当多的用户受到影响,即自己的视频会被他人查看或自己账号收到他人的私密视频。

谷歌也没有透露此次问题是如何发生的 ,谷歌表示用户在2019年11月21日~25日尝试上传则有可能遇到此问题。

同时谷歌没有透露每个用户会泄露多少视频,如果按最坏的结果猜测若用户许多视频则这些视频可能都遭到泄露。

似乎谷歌也没办法彻底解决问题:


尽管谷歌在公告中表示该公司已经彻底解决这个问题,但这仅代表用户再次上传视频时不会导致视频被意外泄露。

如果用户此前上传的视频内容已经遭到泄露,除非其他人收到视频后主动删除否则这些视频都是无法被直接撤回。

这意味着受影响的用户也就是私密视频被泄露的用户,除了希望自己的视频不会被不坏好意的人收到外毫无办法。

如果别人将私密视频发到网上或者泄露到其他地方,这些受影响的用户都是没办法彻底从网上抹除这些视频内容。

也正是如此此次问题也让大量用户抱怨谷歌的处理机制,实际上谷歌所谓的修复也不会给用户带来任何实际帮助。

当然按惯例谷歌在邮件向受影响的用户道歉,该公司表示已就该问题进行彻底分析,防止以后再出现类似的问题。

9999.jpg

]]>
360监测到印度黑客集团利用新型冠状病毒疫情为诱饵攻击我国医疗机构 Fri, 21 Feb 2020 05:53:49 +0800 在新型冠状病毒疫情引起许多关注后,黑客组织目前正在利用这个热点消息发起各种钓鱼行动攻击某些特定机构。

据国内安全机构统计,目前在中国、美国、英国等国家和地区都出现利用新型冠状病毒为诱饵的针对性钓鱼攻击。

这些攻击通常会以新型冠状病毒疫情统计为名号制作钓鱼文件,当用户打开并取消安全保护后就有可能遭到感染。

此次Qihoo 360监测到的是来自印度的黑客集团,该黑客集团利用新型冠状病毒疫情,向我国医疗机构发起攻击。

360监测到印度黑客集团利用新型冠状病毒疫情为诱饵攻击我国医疗机构

利用疫情相关内容作为诱饵发动攻击:


我们知道当前疫情形式严峻因此各地都在统计发热病人,这种比较频繁的统计表格也被印度的高级黑客组织盯上。

Qihoo 360拦截的样本,显示黑客此次攻击采用鱼叉式钓鱼攻击,将含有恶意代码的表格文件通过邮件进行群发。

例如部分的诱饵表格文档的名称为:武汉旅行信息收集申请表、新型冠状病毒感染引起的肺炎的预防和诊断措施。

这类名称极易引起社区和医疗工作者乃至普通民众的注意,因此许多用户收到这类钓鱼邮件后会不假思索的打开。

当然可能医疗机构和医疗工作者收到这类信息的概率更高,所以也更容易遭到黑客的钓鱼攻击而感染恶意软件等。

利用宏文件执行恶意代码窃取文件:


在具体的攻击手法是依然是非常常见的宏攻击,攻击者们将恶意代码放在宏里面然后诱导用户打开表格时加载宏。

当用户打开表格时会显示黑客伪造的文档受保护的提示,若用户点击顶部的启用宏功能,则恶意代码会立即执行。

宏模块执行后会连接远程服务器下载恶意脚本,再通过脚本下载恶意软件,恶意软件被启用后还会设置开机启动。

这样即便受害者重启计算机也同样会启动恶意软件,而恶意软件驻留在后台窃取各种敏感文件并上传远程服务器。

当然面向医疗机构发起的针对性攻击可能更多目的就是收集医学研究方面的数据,所幸目前该病毒已经会被拦截。

请彻底禁用宏功能防止恶意文档:


蓝点网曾多次提醒大家如无需要的话不要开启宏功能,因为许多具有针对性的攻击都是通过宏模块传播恶意代码。

对于普通用户和无需使用宏功能的办公人士来说彻底禁用宏是最可靠的,只要禁用掉前台也无法直接启用宏功能。

诸如医疗机构、企业和其他组织的IT管理员也可按实际情况进行配置 ,  对无需使用宏功能的用户也需要及时禁用。

有关Microsoft Office宏功能的禁用方法请点击这里查看图文教程:如何彻底禁用掉 Office 办公软件中的宏功能

9999.jpg

]]>
黑客或劫持智能建筑控制系统发起DDoS攻击 Fri, 21 Feb 2020 05:53:49 +0800 22.jpg

Realtek近期修复了在Realtek HD音频驱动中发现的一个安全漏洞,它可让攻击者在未打补丁的Windows系统上获得持久性控制权限、植入恶意软件以及绕过安全检测。

Realtek高清音频驱动往往与Realtek音频卡一起默认安装在Windows电脑上。该漏洞于2019年7月10日被厂商知晓,并在2019年12月13日发布补丁,在8857或更新版本中漏洞已不存在。

如果漏洞利用成功,CVE-2019-19705可让攻击者使目标机器上被Realtek-Semiconductor签名的进程加载和执行payload。

DLL劫持

这个漏洞是由SafeBreach实验室的安全研究员Peleg Hadar发现的,在利用这个漏洞之前,攻击者需要具有管理员权限。

尽管这中漏洞的威胁不是很明显(因为它需要高权限和本地访问才能被利用),但这类安全问题经常被评为中高严重性。

攻击者通常会利用Windows中DLL的搜索加载顺序来进行劫持,旨在进一步持久控制设备。

一旦成功利用,除了持久控制,还可能在执行恶意代码时绕过安全软件的检测。

33.png

加载任意无签名DLL

Hadar表示,CVE-2019-19705是由于RAVBg64.exe进程试图从其当前工作目录加载DLL(而不是DLL的实际位置),同时未能验证DLL是否已被签名所导致的。

他发现HD音频在后台以NT AUTHORITY\SYSTEM权限运行的进程试图从当前工作目录(也就是C:\Program Files\Realtek\Audio\HDA\目录)导入RAVBg64ENU.dllRAVBg64LOC.dll,尽管它们的位置并不在那。

为了演示漏洞,研究人员往C:\Program Files\Realtek\Audio\HDA\目录移植了一个DLL文件,并重新启动了高清音频程序。

很快,就可以观察到这个DLL被RAVBg64.exe加载并执行。请注意,这是由Realtek Semiconductor所签名的进程以NT AUTHORITY\SYSTEM权限执行的。

44.png

根据Realtek的说法,在8855版本中,本地用户可以通过往可执行文件相同的文件夹中植入精心制作的DLL获得权限。

55.png

“而漏洞的根本原因是被使用来命名驱动程序包(version 1.0.0.8855)的Microsoft Visual Studio 2005 MFC会自动加载一个资源DLL。”

VS2005 MFC使用了一个低权限的LdrLoadLibrary函数,它也会加载一个代码段,因此存在加载恶意代码的风险。

SafeBreach实验室的安全研究员Peleg Hadar对BleepingComputer表示:“攻击者植入的恶意代码都以Realtek的身份执行,从而可能绕过安全防护,引发一系列后续攻击。”

当被问及哪些平台受易受攻击时,Peleg表示虽然漏洞实验是在Windows 10上做的,但其他版本的操作系统大概率也受影响,因为漏洞成因和操作系统版本无关。

其他DLL劫持

Realtek HD音频驱动的漏洞并不是SafeBreach实验室的安全研究员Peleg Hadar发现并报告的第一个DLL加载漏洞。

2019年8月以来,他还发现了其他类似的问题,影响了多款软件产品,包括但不限于赛门铁克的Endpoint Protection,趋势科技的密码管理器,Check Point的Endpoint Protection,Bitdefender,Avira的Antivirus 2019,Avast的AVG杀毒和Avast杀毒以及迈克菲的杀毒软件。

他发现的每一个DLL劫持漏洞都有可能应用于渗透后的攻防对抗中。

9999.jpg

]]>
Realtek修复了Windows HD音频驱动中的DLL劫持漏洞 Fri, 21 Feb 2020 05:53:49 +0800 22.jpg

Realtek近期修复了在Realtek HD音频驱动中发现的一个安全漏洞,它可让攻击者在未打补丁的Windows系统上获得持久性控制权限、植入恶意软件以及绕过安全检测。

Realtek高清音频驱动往往与Realtek音频卡一起默认安装在Windows电脑上。该漏洞于2019年7月10日被厂商知晓,并在2019年12月13日发布补丁,在8857或更新版本中漏洞已不存在。

如果漏洞利用成功,CVE-2019-19705可让攻击者使目标机器上被Realtek-Semiconductor签名的进程加载和执行payload。

DLL劫持

这个漏洞是由SafeBreach实验室的安全研究员Peleg Hadar发现的,在利用这个漏洞之前,攻击者需要具有管理员权限。

尽管这中漏洞的威胁不是很明显(因为它需要高权限和本地访问才能被利用),但这类安全问题经常被评为中高严重性。

攻击者通常会利用Windows中DLL的搜索加载顺序来进行劫持,旨在进一步持久控制设备。

一旦成功利用,除了持久控制,还可能在执行恶意代码时绕过安全软件的检测。

33.png

加载任意无签名DLL

Hadar表示,CVE-2019-19705是由于RAVBg64.exe进程试图从其当前工作目录加载DLL(而不是DLL的实际位置),同时未能验证DLL是否已被签名所导致的。

他发现HD音频在后台以NT AUTHORITY\SYSTEM权限运行的进程试图从当前工作目录(也就是C:\Program Files\Realtek\Audio\HDA\目录)导入RAVBg64ENU.dllRAVBg64LOC.dll,尽管它们的位置并不在那。

为了演示漏洞,研究人员往C:\Program Files\Realtek\Audio\HDA\目录移植了一个DLL文件,并重新启动了高清音频程序。

很快,就可以观察到这个DLL被RAVBg64.exe加载并执行。请注意,这是由Realtek Semiconductor所签名的进程以NT AUTHORITY\SYSTEM权限执行的。

44.png

根据Realtek的说法,在8855版本中,本地用户可以通过往可执行文件相同的文件夹中植入精心制作的DLL获得权限。

55.png

“而漏洞的根本原因是被使用来命名驱动程序包(version 1.0.0.8855)的Microsoft Visual Studio 2005 MFC会自动加载一个资源DLL。”

VS2005 MFC使用了一个低权限的LdrLoadLibrary函数,它也会加载一个代码段,因此存在加载恶意代码的风险。

SafeBreach实验室的安全研究员Peleg Hadar对BleepingComputer表示:“攻击者植入的恶意代码都以Realtek的身份执行,从而可能绕过安全防护,引发一系列后续攻击。”

当被问及哪些平台受易受攻击时,Peleg表示虽然漏洞实验是在Windows 10上做的,但其他版本的操作系统大概率也受影响,因为漏洞成因和操作系统版本无关。

其他DLL劫持

Realtek HD音频驱动的漏洞并不是SafeBreach实验室的安全研究员Peleg Hadar发现并报告的第一个DLL加载漏洞。

2019年8月以来,他还发现了其他类似的问题,影响了多款软件产品,包括但不限于赛门铁克的Endpoint Protection,趋势科技的密码管理器,Check Point的Endpoint Protection,Bitdefender,Avira的Antivirus 2019,Avast的AVG杀毒和Avast杀毒以及迈克菲的杀毒软件。

他发现的每一个DLL劫持漏洞都有可能应用于渗透后的攻防对抗中。

9999.jpg

]]>
思科大量设备中招:思科发现协议的高危漏洞 Fri, 21 Feb 2020 05:53:49 +0800 总体概述:物联网网络安全网络Armis在实施思科发现协议(CDP)的各种设备中发现了五个危急的零日漏洞,这些漏洞使远程攻击者无需任何用户干预就可以全面接管设备。CDP是思科的一种专有第2层(数据链路层)网络协议,用于发现有关本地连接的思科设备的信息。CDP实施在几乎所有的思科产品中,包括交换机、路由器、IP电话机和摄像头。所有这些设备出厂交付时都默认启用了CDP。CERT协调中心也发布了一份安全公告(https://kb.cert.org/vuls/id/261385/)。

222.jpg


CDP的常见用途是管理IP电话机。比如说,CDP让交换机可以为语音分配一个VLAN,为以菊花链方式连接到电话机的任何PC分配另一个VLAN。关于这些独立VLAN的信息则通过CDP传递到IP电话机。此外,这些设备中许多通过以太网供电(PoE)获得电力。通过CDP数据库,交换机可以协商为连接到交换机的某个设备分配多少电力。
这个名为CDPwn的骇人发现披露了可能使攻击者完全控制所有这些设备的几个漏洞。这五个漏洞中的四个是远程代码执行(RCE)漏洞,另一个是拒绝服务(DoS)漏洞。利用RCE漏洞可能会导致:

破坏网络分段。

通过企业组织的交换机和路由器传输的企业网络流量泄露数据。

通过拦截和篡改公司交换机上的流量,利用中间人攻击来访问其他设备。

敏感信息泄露数据,比如来自IP电话机等设备的通话和来自IP摄像头的视频内容。

这项研究的发现意义重大,因为第2层协议是所有网络的基础。作为一条攻击途径,第2层协议是一个未充分研究的领域,却又是网络分段这种做法的基础。网络分段机制被用来改善网络性能,并提供安全。遗憾的是,正如本研究表明的那样,网络基础设施本身面临风险,任何攻击者都可以钻空子,因此网络分段不再是一种有保障的安全策略。关于所有漏洞的一份详细技术报告可在该技术白皮书中找到(https://go.armis.com/hubfs/White-papers/Armis-CDPwn-WP.pdf)。
Armis已在2019年8月29日向思科披露了这些漏洞,此后一直与对方共同开发和测试缓解措施和补丁。

Armis研究副总裁Ben Seri和Yuval Sarel将于2月6日在特拉维夫召开的BluehatIL大会上详细讨论这些漏洞。此外,Ben Seri和Barak Hadad还将于3月17日至18日在德国海德堡召开的Troopers大会上和4月3日在新加坡召开的黑帽亚洲大会上谈论这一发现。


企业网络上的“物件”

如果你深入分析现代企业,会看到大量的不同设备用于众多的不同应用场合:从前台到后台,再到接待大厅和工厂车间。设备种类繁多,从传统的台式机、笔记本和服务器,到电话机、监控摄像头、智能电视、智能照明及暖通空调(HVAC)、楼宇自动化、身份证件读取装置到工业控制系统,不一而足。这些设备日益可以连接到企业网络,而且确实如此。这些新的联网设备中大多数本身没有安全性,因此无法运行代理。

大量诸如IP电话机之类的设备最终出现在攻击者发觉极易下手的地方,比如交易大厅、董事会会议室、CEO会议室、白宫椭圆形办公室的总统书桌,甚至军事情报室。实际上,据思科声称,《财富》500公司中95%以上使用思科协作解决方案。

333.jpg

虽然企业经常使用网络分段作为将这些设备与网络其他部分隔离开来的一种手段,但CDPwn可用于突破那些边界,允许未经授权的访问和破坏。


与CDPwn有关的风险有哪些?


虽然结果是全面接管运行CDP的所有设备,但攻击者采用的原因和环境各不相同。

场景1:破坏网络分段

在这里,攻击者可以使用CDP漏洞来破坏网络分段。交换机和路由器常常被视为公司网络上的隐形设备,可以将诸地方的设备有效地彼此连接,同时还充当流量警察。然而,从攻击者的角度来看,交换机是一种宝贵的资产,因为它们可以访问所有网段,而且放在泄露泄露的绝佳位置。

更糟糕的是,交换机负责解析和处理它们所独有的许多第2层协议,是一条很少被探究的攻击途径。虽然这些协议的实施很少被探究,但是其中发现的任何漏洞会对解析它们的网络设备的安全性和它们服务的网络的完整性产生严重影响。此外,许多这些协议默认情况下已在交换机的所有端口上被启用,而不仅仅是在管理端口上被启用,因而扩大了攻击面。

444.jpg

比如在分段网络中,攻击者潜入一个属于网段或VLAN的设备后,攻击者只能收集信息,并进而攻击连接到与攻击者在同一个网段上的其他设备。为了提升攻击,攻击者要找到一种方法来横向移动,进入到包含众多敏感数据的其他网段。突破分段的一种方法是,对攻击者所连接的那个网络设备(交换机)下手。用于交换机本身操作运行的第2层协议就是网络交换机在它所服务的所有网段上默认启用的攻击途径,而CDP正是这种协议之一。

接管交换机后,攻击者可以横向移动到该交换机所服务的所有网段。

可通过其他方式获得交换机的控制权。比如说,交换机处于侦听通过该交换机传送的网络流量的理想位置,它甚至可以被用来对通过该交换机传输的设备流量发起中间人攻击。此外,交换机对攻击者来说是最佳的隐藏位置——它是一种相对不安全的设备,不允许在上面安装任何安全代理,攻击者可以从交换机向网络中的设备发起攻击。攻击者还可以隐藏他生成的恶意流量,不被用来检查流量的任何其他网络分流器(tap)发现。

场景2:IP电话机和摄像头等设备泄漏数据

666.jpg

由于已在网络里面找到立脚点,攻击者可以考虑跨网段横向移动,进而访问有价值的设备(比如IP电话机或摄像头)。与交换机不同,这些设备直接保存敏感数据,接管这些设备可能是攻击者的目标,而不仅仅是突破网络分段的方法。IP电话机受一个独特漏洞的影响——类似Armis在URGENT/11中发现的那个漏洞。该漏洞可以由发送到网络中所有设备的广播数据包触发,不过只会在思科IP电话机上触发该漏洞。这意味着攻击者可以同时接管某个网络中的所有思科IP电话机。


受影响的设备

777.jpg

路由器:

ASR 9000系列聚合服务路由器

运营商路由系统(CRS)

Firepower 1000系列

Firepower 2100系列

Firepower 4100系列

Firepower 9300安全设备

IOS XRv 9000路由器

运行思科IOS XR的白盒路由器

交换机:

Nexus 1000虚拟边缘

Nexus 1000V交换机

Nexus 3000系列交换机

Nexus 5500系列交换机

Nexus 5600系列交换机

Nexus 6000系列交换机

Nexus 7000系列交换机

Nexus 9000系列光纤交换机

MDS 9000系列多层交换机

网络融合系统(NCS)1000系列

网络融合系统(NCS)5000系列

网络融合系统(NCS)540路由器

网络融合系统(NCS)5500系列

网络融合系统(NCS)560路由器

网络融合系统(NCS)6000系列

UCS 6200系列交换矩阵互联

UCS 6300系列交换矩阵互联

UCS 6400系列交换矩阵互联

IP电话机:

IP会议电话机7832

IP会议电话机8832

IP电话机6800系列

IP电话机7800系列

IP电话机8800系列

IP电话机8851系列

统一IP会议电话机8831

无线IP电话机8821

无线IP电话机8821-EX

IP摄像头:
•视频监控8000系列IP摄像头


技术概述—CDPwn是什么东西?


CDPwn由五个漏洞组成,这些漏洞影响众多的思科设备:从网络基础设施(比如交换机和路由器),到企业级端点设备(比如IP电话机和安全摄像头),不一而足。如上所述,这些漏洞被列为危急漏洞,包括四个远程代码执行(RCE)漏洞,第五个漏洞是拒绝服务(DoS)漏洞,可以用来影响网络总体的运行。CDPwn漏洞出现在思科发现协议(CDP)数据包的处理环节,表明了第2层协议对网络安全状况可能带来的影响。

四个漏洞允许远程执行代码

下面几个漏洞是危急的RCE漏洞,每个漏洞影响实施CDP解析机制的不同方法,众多思科产品使用这些方法。为了触发这些漏洞,攻击者只需将恶意制作的CDP数据包发送到网络内部的目标设备。

思科NX-OS软件—思科发现协议远程代码执行漏洞(CVE-2020-3119)

该漏洞是一个堆栈溢出漏洞,存在于IOS XR实施的CDP中解析含有对以太网供电(PoE)请求字段进行协商的信息的CDP数据包这个环节。含有太多PoE请求字段的CDP数据包将在受影响的设备上触发该漏洞。攻击者可以使用合法的CDP数据包来利用该漏洞,只要合法数据包的功率级别高于交换机本该收到的总功率级别,从而导致堆栈溢出。通过利用该漏洞,攻击者可以全面控制交换机及其负责的那部分网络基础设施,从而破坏分段,并允许在VLAN之间进行跳跃。

思科IOS-XR—CDP格式字符串漏洞(CVE-2020-3118)

该漏洞是一种格式字符串漏洞,存在于IOS XR实施的CDP中解析入站CDP数据包的某些字符串字段(设备ID和端口ID等)这个环节。这个漏洞使攻击者可以控制传递给sprintf函数的格式字符串参数。使用某些的格式字符串字符,攻击者可以将受控字节写入越界堆栈(out-of-bounds stack)变量,这实际上导致堆栈溢出。然后,这种类型的溢出导致远程执行代码。使用该漏洞,攻击者可以全面控制目标路由器,在网段之间传输流量,并使用路由器实行后续攻击。

思科IP语音电话机—CDP远程执行和拒绝服务漏洞(CVE-2020-3111)

思科IP电话机利用CDP进行管理,包括配置电话机应连接到哪个VLAN。电话机还可以请求特定的PoE参数,与它相连接的交换机可以使用CDP启用或禁用那些参数。在该漏洞中,可以利用端口ID解析函数中的堆栈溢出,在电话机上执行代码。虽然CDP数据包由网络中每个支持CDP的交换机终止,但IP电话机实施的CDP存在另一个bug:单播和广播CDP数据包也被视为合法的CDP数据包。
只有被发送到一个指定的多播MAC地址,其他所有思科网络设备才会将以太网数据包解读为合法的CDP数据包。这意味着,为了在IP电话机上触发该漏洞,攻击者可以处于本地网络中的任何位置,而不仅限于直接从目标设备相连接的接入交换机内部发送恶意制作的CDP数据包。

此外,由于IP电话机还将广播CDP数据包解读为合法的CDP数据包,攻击者就可以发送以太网广播数据包,这会触发该漏洞,同时对同一个LAN上的所有高危设备发动DoS攻击。

思科视频监控8000系列IP摄像头—思科发现协议远程代码执行和拒绝服务漏洞(CVE-2020-3110)
该漏洞是一个堆溢出漏洞,存在于思科8000系列IP摄像头实施的CDP中解析CDP数据包这个环节。入站CDP数据包中提供过大的端口ID字段时,会引发这个堆溢出。堆溢出含有攻击者控制的字节,可由攻击者多次触发。此外,IP摄像头中使用的CDP守护程序是与位置无关的二进制文件,这意味着它并不使用ASLR(地址空间布局随机化)缓解措施。由于上述情形,攻击者可以利用该溢出、实现远程代码执行。

拒绝服务(DoS)漏洞

上述四个漏洞中的每个漏洞都会影响各种思科产品使用的实施CDP的不同方法。然而,下面这个DoS漏洞本质上是一个类似的漏洞,研究发现它会影响三款不同的思科操作系统使用的实施CDP的三种不同方法。

思科FXOS、IOS XR和NX-OS软件—思科发现协议拒绝服务漏洞(CVE-2020-3120)

只要使路由器或交换机的CDP守护程序分配导致进程崩溃的大段内存,可触发该漏洞。借助该漏洞,攻击者可导致CDP进程反复崩溃,进而导致路由器重启。这意味着攻击者可以利用该漏洞对目标路由器实施全面的DoS攻击,进而完全破坏目标网络。


更新版、缓解措施和注意事项


思科安全更新版

思科提供了更新版,这些更新版可在其“安全公告”页面(https://tools.cisco.com/security/center/publicationListing.x)上找到。

各个更新版可以在这里找到:

CVE-2020-3120

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-fxnxos-iosxr-cdp-dos

CVE-2020-3119

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-nxos-cdp-rce

CVE-2020-3118

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-iosxr-cdp-rce

CVE-2020-3111

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-voip-phones-rce-dos

CVE-2020-3110

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-ipcameras-rce-dos


防范CDPwn

允许攻击者突破网络分段、在网络中随意移动的漏洞对企业界构成了巨大威胁。目标已从传统的台式机、笔记本和服务器扩大到含有宝贵的语音和视频数据的设备,比如IP电话机和摄像头。当前的安全措施(包括端点保护、移动设备管理、防火墙和网络安全解决方案)不是为识别这些类型的攻击而设计的。许多企业目前使用网络分段作为唯一的安全机制,以保护企业物联网(EoT)设备免受攻击,并保护企业计算机避免遭到中招的EoT设备攻击,它们应重新考虑这种方法。

这五个CDPwn漏洞虽然很严重,却只是近几年影响网络基础设施的一大批零日RCE漏洞中的最新漏洞。企业应考虑使用其他安全机制来加强网络分段。由于基于代理的传统安全解决方案无法与大多数EoT设备一起使用,应考虑其他方法,比如基于网络的行为监控。

如果企业使用上面列出的任何受影响的设备,应立即使用思科提供的更新版来更新软件。除非完成了这些更新,否则企业应假定所有受影响的设备都面临攻击风险,应密切监控设备的行为,以检测异常及其他攻击迹象。

风险评估

CDPwn漏洞披露后,各行各业的企业以及政府部门都在想方设法确定哪些设备受这些漏洞的影响。Armis提供了CDPwn风险评估服务(https://go.armis.com/cdpwn-risk-assessment?hs_preview=lgkIMYOk-25264302501),帮助企业组织了解自身风险。

9999.jpg

]]>
勒索软件通过技嘉驱动杀死安全软件 Fri, 21 Feb 2020 05:53:49 +0800 22.jpg

据某些安全研究人员透露,RobbinHood勒索软正在利用一个存在缺陷的技嘉(GIGABYTE)驱动,往Windows机器中安装未被签名的恶意驱动程序,用于对抗反病毒和安全软件。

当攻击者需要对大面积网络进行勒索攻击时,往往需要一个能躲避安全软件查杀的勒索软件,尽可能地隐藏自己。

所以对于攻击者来说,隐藏恶意行为的方式之一就是在杀毒软件干掉勒索软件之前就将其杀死。

为了实现这个目标,RobbinHood勒索软件会将一个定制的针对杀毒软件的程序包对已感染的机器进行推送,为加密文件做好防御工作。

使用受信任的驱动程序去终止安全进程

大多数Windows安全软件的进程通常都会受到保护,不受常规进程终止动作的影响,只能被内核驱动程序所中断。而内核驱动程序在Windows中往往代表最高的权限。

为了更好地保护Windows,Microsoft加入了一个驱动程序签名执行策略:除非已经由Microsoft联合签名,否则会阻止安装Windows内核驱动程序。

这样主要是防止外部攻击者和恶意软件安装他们的恶意驱动,防止在未经过微软审查的情况下,让某些驱动获得内核级别的特权。

在最新一份报告中,Sophos研究人员发现RobbinHood勒索软件安装了一个由微软联合签名的存在缺陷的技嘉驱动程序,并利用它来禁用微软的驱动程序签名强制执行策略。

一旦禁用成功,攻击者就可以安装一个定制的恶意内核驱动程序,用于终止反病毒和安全软件的进程。

根据Sophos的报告:“在此类攻击场景中,犯罪分子利用技嘉驱动程序作为开头,将第二个未签名的驱动程序植入到Windows中。然后第二个驱动程序会不遗余力地杀死任何安全产品的进程和文件,绕过篡改保护,使勒索软件能够在不受干扰的情况下进行攻击。”

33.png

整体攻击流程攻击从一个名为Steel.exe的可执行文件开始,它会利用技嘉gdrv.sys驱动中的CORE-2018-0007内核漏洞。

当Steel.exe执行时,会提取出ROBNR.EXEC:\Windows\Temp文件夹,这同时也会将两个驱动程序释放到该文件夹,其中包括存在漏洞的gdrv.sys驱动以及和勒索软件有关的名为rbnl.sys的驱动。

44.jpg

接着勒索软件会利用技嘉去禁用Windows的驱动安全策略。

55.jpg

一旦禁用成功,就开始安装恶意的rbnl.sys驱动,它可终止和删除安全软件。

66.jpg

Steel.exe程序将从PLIST.TXT读取需要终止的进程列表和应该删除的服务,然后逐一进行排查,进行终止或删除。

77.png

此外,Sophos告诉BleepingComputer,他们已经无法访问PLIST.TXT文件,不知道哪些进程和服务是目标。

Steel.exe完成任务后,勒索软件就可以加密文件而不用担心被发现。

勒索软件攻击所带来高额回报诱使攻击者投入了大量资源来开发新的防御对抗方法,特别是针对Windows中的安全软件。

由于这些攻击都基于网络,所以请保证你的机器不处于危险的网络环境中。

9999.jpg

]]>
某黑客组织宣称对国内视频监控发起攻击 Fri, 21 Feb 2020 05:53:49 +0800 2020年2月6日左右,白帽汇安全研究员发现境外社交媒体上有黑客组织宣称要在2月13日对国内视频监控发起攻击。

222.png


在其发表的内容中出现了关键词“Op_Tibet”,这个特殊的单词和一年多前所宣称的针对中国的网络攻击有关,白帽汇也曾发表过相关文章,当时某个黑客组织曾宣称要对境内100个重点目标进行攻击(文章链接:https://nosec.org/home/detail/2202.html)。

333.png

值得一提的是,Tibet代表西藏,2月13日是黑客组织所编造的所谓的西藏独立日,前后两次黑客活动时间也正是2019年2月13日和2020年2月13日。由此看来,这可能是境外反动组织的“例行公事”。

在宣言中该黑客组织也依旧放出了一个没有什么营养的视频:

https://www.youtube.com/watch?time_continue=2&v=sbKGrLw1RUc&feature=emb_title

aaa.png


同时也在pastebin网站放出了所谓的攻击目标和相关信息:


https://pastebin.com/qhMbxQRj

https://pastebin.com/s2ynYuXQ

https://pastebin.com/9sGWFEKc

444.png


目前在社交媒体上关于攻击宣言的回复尚且很少,很难估计其真实性和参与人数,不过还是建议相关单位做好网络攻击方面的防御。

参考

https://mp.weixin.qq.com/s/ObXZZwflhhSxr9J25ZwhCw

https://twitter.com/search?q=%23Op_Tibet&src=typed_query

9999.jpg

]]>
警惕利用“新型冠状病毒”名义的网络钓鱼攻击 Fri, 21 Feb 2020 05:53:49 +0800 最近,利用冠状病毒爆发事件展开的攻击活动频出,主要的攻击形式为针对个人的网络钓鱼。基于这个现状,笔者整理了几类比较典型的攻击案例,借此希望帮助大家更好地识别虚假、恶意信息。

疫情当前,不容黑客妄行。

Coronavirus-Phishing_(2).jpg

1、提供周围区域的感染列表

在美国,黑客冒充疾病预防控制中心和病毒专家,针对个人进行网络钓鱼攻击。

网络钓鱼模拟和安全意识培训机构KnowBe4的研究人员发现了这些网络钓鱼活动,攻击者号称会提供周围区域的感染列表,以此诱骗潜在的受害者点击邮件中嵌入的链接并进入钓鱼页面。

在KnowBe4发现的网络钓鱼电子邮件样本中,攻击者尝试将其垃圾邮件伪装成由CDC(疾病预防控制中心)的Health Alert Network(健康警报网络)分发的官方警报。然后,告知攻击目标——疾病预防控制中心已经建立了事件管理系统,以协调国内外公共卫生对策。然后,攻击者以链接的形式诱使他们接收其城市周围新感染病例的更新列表。而结果是,攻击者通过钓鱼页面收集并窃取了用户凭证。

2.jpg

冠状病毒网络钓鱼电子邮件示例(KnowBe4)

2、提供安全措施

安全公司Mimecast发现了另一起利用新型冠状病毒诱饵的网络钓鱼活动,这次是针对美国和英国人。在这一系列的网络钓鱼电子邮件中,则要求收件人“仔细阅读所附文件中有关冠状病毒传播的安全措施”,并强调这些安全措施的重要性促使攻击目标下载恶意PDF,而该PDF中的恶意软件有效载荷将感染其计算机。

3.jpg

冠状病毒网络钓鱼电子邮件样本(Mimecast)

3、提供冠状病毒预防文档

与Emotet集团有关的垃圾邮件发送者也在向日本目标积极发送电子邮件,警告他们日本岐阜,大阪和鸟取等县都出现了感染。

事实上这些信息看起来非常像是来自残疾福利服务提供者和公共卫生中心的官方通知,但实际是攻击者使用了被盗的电子邮件,以此作为模板建模的。

4.jpg

Emotet的“冠状病毒”电子邮件样本(IBM X-Force&Bom)

在这些电子邮件的附件中提供了有关如何预防冠状病毒的详细措施。一旦攻击目标打开这些Word文档,就会弹出一个EmotetOffice365文档模板,并要求受害者“启用内容”以查看完整文档,启用宏后,将使用PowerShell命令将Emotet有效负载安装在受害者的设备上。一旦电脑受到感染,它就会将恶意垃圾邮件消息发送到其他目标,并将其他恶意软件安装到设备上,进而可以集用户凭据,浏览器历史记录和敏感文档,并且打包并发送到攻击者控制的存储服务器中。

5.jpg

示例Emotet恶意文档模板

最后

攻击者为了自己的恶意目的,利用乃至扩大公众对新型冠状病毒的恐慌而“趁火打劫”。不管是所谓的周边感染列表还是新型冠状病毒预防措施,公众在接收、传播疫情相关信息时,更需要谨而慎之,尤其要注意网络安全问题。

首先,对邮件或其他渠道传播的含有冠状病毒感染解决方法或安全措施的文件保持警惕,不要随意下载或打开文件名中带有“武汉疫情”、“新型冠状病毒”等热点词汇的exe、csr等可执行文件。

在技术上,实施可靠的网络安全解决方案,例如防病毒解决方案;在电子邮件网关上实施过滤器,并在防火墙处阻止可疑IP地址。

在个人网络卫生习惯上,建议使用强密码并且不启用附件宏。

伴随着病毒的扩散,我们可能还会看到更多基于新型冠状病毒的恶意电子邮件流量,社交媒体也或成为高频的攻击途径。不仅仅是美国、英国、日本,中国同样要高度警惕。疫情之下,需要我们有更强的判断和更坚定的决心,不仅众志成城打赢病毒战,在网络安全上同样要守好关!

参考链接

1、Emotet Uses Coronavirus Scare to Infect Japanese Targets

2、Coronavirus Phishing Attacks Are Actively Targeting the US

9999.jpg

]]>
FTCODE勒索软件再升级 现在会加密系统文件并窃取浏览器密码 Fri, 21 Feb 2020 05:53:49 +0800 研究人员发现了FTCODE勒索软件的更新版本,这一次看起来作者似乎将更多的精力放在了密码窃取功能上。ThreatLabZ团队进行的分析表明,该恶意软件专门针对说意大利语的Windows用户,并且最新版本(检测为1117.1)采用VBScript下载方法进行更复杂的攻击。

ftcode-ransomware-now-encrypts-windows-files-steals-chrome-firefox-passwords-528925-2.png

攻击者使用电子邮件将勒索软件传播到潜在目标,恶意电子邮件包括受感染的文档和VBScript,它们在执行时运行会触发勒索软件感染的PowerShell脚本。该脚本首先将诱饵图像下载到%temp%文件夹中,并试图诱使用户相信他们只是收到了图像,然后在后台下载并运行勒索软件。

该恶意软件试图通过在Windows启动文件夹中创建一个名为WindowsIndexingService.lnk的快捷方式来获得持久运行能力。此外,它还会创建一个计划任务,称为WindowsApplicationService,快捷方式和计划任务都共同指向恶意的WindowsIndexingService.vbs脚本。

一旦设备被感染,勒索软件就会对多种文件格式进行加密,FTCODE使用GUID生成密码,并生成较早的随机字符集。它使用Rijndael对称密钥加密来加密上述每个扩展文件的40960字节。初始化向量基于11个随机生成的字符,并在根文件夹中放入名为“READ_ME_NOW.htm”的勒索注释。

完成准备后,勒索软件会指示用户下载Tor浏览器并访问链接,在该链接上,他们需要付费才能使用解密密钥来解锁文件。

除了加密文件之外,勒索软件还从包括Internet Explorer,Mozilla Firefox,Mozilla Thunderbird,Google Chrome和Microsoft Outlook在内的流行浏览器和电子邮件客户端中窃取凭据。勒索软件可以扫描这些应用程序存储凭据的默认位置,提取数据,然后将其上传到恶意软件作者把控的服务器。

9999.jpg





]]>
日内瓦和维也纳联合国办事处去年遭黑客攻击 400GB数据被泄露 Fri, 21 Feb 2020 05:53:49 +0800 在2019年7月发起的一项目的明确的网络攻击活动中,黑客组织入侵了联合国在日内瓦和维也纳办事处的IT系统。在事件发生之后联合国并没有立即公开本次攻击事件,甚至没有向员工披露该事件的性质和受影响范围。直到近日,联合国IT部门的高级官员才对外证实遭到了非常复杂的网络攻击,预估已经有400GB的数据被泄露。

177ecb901b23a34.jpg

援引《新人道主义》(The New Humanitarian)报道,联合国日内瓦办事处的IT官员似乎在一个月后意识到了该黑客事件,并于2019年8月向其技术团队发出了警报。

在接受采访时候,他表示:“我们在假设整个域都遭到破坏的情况下还继续工作。到目前为止,攻击者尚未表现出活动迹象,我认为我们已经锁定了他们的位置但目前处于休眠状态。”

在媒体披露的一份联合国机密报告中的,还提到了“数十个联合国服务器”遭到了破坏,包括其人权办公室和人事部门的系统,部分管理员账号,以及“Still counting our casualties”的标题内容。

联合国发言人史蒂芬·杜哈里克(StéphaneDujarric)将事件归类为“严重”,并指出,由于无法确定其确切性质和范围,因此未公开披露该违规行为。

在这种情况下,通常遵循“掩盖文化”,事件没有透露给受影响的员工,他们被要求在泄露后更改密码,唯一的知情方包括内部IT团队和联合国负责人日内瓦办事处和联合国维也纳办事处。

据报道,该攻击使用了一些未知的恶意软件,并利用了Microsoft SharePoint(CVE-2019-0604)中的一个漏洞,该修补程序已经发布了几个月,但尚未部署。

据说,这些泄露的数据包括人事记录和数千份商业合同的信息,因为黑客获得了网络上的管理员访问权限,最终渗透到该组织在维也纳和日内瓦办事处(包括其高级专员办事处)的40台服务器。

9999.jpg



]]>
黑客利用人们对冠状病毒的恐惧传播恶意软件 Fri, 21 Feb 2020 05:53:49 +0800 网络犯罪分子长期以来一直使用不道德的手段来欺骗人们,包括玩弄他们的恐惧。现在网络犯罪分子通过电子邮件声称提供有关如何防御冠状病毒的信息,进而散布恶意软件。目前,全球已确诊的冠状病毒病例近10000例,死亡总数213例。这种情况最近导致世界卫生组织宣布其为突发公共卫生事件。

Bleeping Computer报告称,与Emotet集团有关的垃圾邮件发送者一直在向日本目标发送电子邮件,警告他们全美各地的多个县都有感染。这些信息看起来像是来自残疾福利服务提供者和公共卫生中心的官方通知,攻击者使用被盗的电子邮件作为模板,使其看起来更合法。

这些电子邮件声称在附件中提供了有关如何预防冠状病毒的建议。打开这些Word文档会弹出一个Emotet Office 365文档模板,该模板要求受害者“启用内容”以查看所有内容。一旦电脑受到感染,它就会被用来向其他目标发送恶意垃圾邮件,并将其他恶意软件安装到设备上,进而可以集用户凭据,浏览器历史记录和敏感文档,并且打包并发送到攻击者控制的存储服务器当中。

过去,Emotet犯罪团伙利用公众视线传播恶意软件。去年12月,它发出了类似恶意电子邮件,邀请人们参加针对气候变化的抗议活动。

a9f92019007f434.jpg

9999.jpg



]]>
Toll证实遭受勒索软件攻击 其在澳州各地的货物交付速度放缓 Fri, 21 Feb 2020 05:53:49 +0800 澳大利亚物流公司Toll Group已证实,其上周五遭受的 “网络安全事件”是勒索软件引起的。Toll在周二下午的更新声明中写道:“我们可以确定这起网络安全事件是由于有针对性的勒索软件攻击而导致,我们决定立即隔离并禁用某些系统,以限制攻击的蔓延。”

600x200.jpg

该公司表示:“我们迅速采取行动以减轻潜在影响,我们正在进行详细调查,以期尽快恢复所有相关系统。”

该公司拥有40000多名员工。周一晚上,为预防起见,该公司关闭了许多系统,这影响了其一些面向客户的应用程序。

Toll 表示,目前还没有证据表明任何个人数据已经丢失。“我们在1月31日(周五)就意识到了这一问题,一旦发现,我们迅速采取行动禁用了相关系统,并展开了详细的调查以了解原因,并采取了应对措施。”

Toll 在声明中继续说道:“我们将继续进行彻底的调查,我们将全天候工作,以尽早恢复正常服务。随着我们安全地使系统恢复在线状态,我们将继续提供更新。”该事件导致Toll恢复为手动流程,以清除勒索软件攻击造成的积压未交付货物。

该公司解释称:“由于我们决定在近期的网络安全威胁后禁用某些系统,因此,我们将通过遍及全球的手动和自动流程相结合的方式继续满足许多客户的需求,尽管其中一些流程会出现延迟或中断。”

关于包裹,Toll表示其处理中心将继续运行运送,处理和调度功能,“尽管在某些情况下速度有所放缓”。

客户还可以通过公司的呼叫中心进行预订,而在线预订平台仍处于禁用状态。

Toll表示,其正在与有关当局合作,并将安全事项报告给有关机构进行刑事调查。

$D`32RSG)N2YAAEINJRJ9(9.png

9999.jpg



]]>
欧洲名校遭黑客勒索 付了30个比特币赎金 Fri, 21 Feb 2020 05:53:49 +0800 北京时间6日消息,马斯特里赫特大学周三披露,去年12月24日曾遭遇黑客袭击,被迫支付了30个比特币的赎金,当时价值20万欧元,以解除对其IT系统,包括电子邮件和电脑的阻塞。此类黑客攻击近年来已经司空见惯,2019年多个公司、医院和机场遭到攻击后,保险公司将网络安全保费最高提高了25%。

马斯特里赫特大学副校长尼克·博斯(Nick Bos)说,校方在考虑了替代方案后决定支付赎金,以避免从零开始重建整个IT系统的麻烦。

他说:“这对学生、科学家、工作人员的工作以及机构的连续性造成的损害几乎无法想象。”

博斯在周三的一次新闻发布会上透露了该大学对此次黑客攻击已知的情况,包括一个月前一名工作人员点击了一封网络钓鱼邮件,导致了最初的入侵。

网络安全公司Fox-IT帮助这所大学恢复并分析了发生的事情,确定黑客是臭名昭著的TA505。

6DEVF34B2NLUNKTX`S`~D4J.png

9999.jpg



]]>
Sudo 出现可让非特权用户获得 root 权限的漏洞 Fri, 21 Feb 2020 05:53:49 +0800 Sudo 维护团队指出,从 Sudo 1.7.1 到 1.8.25p1 都包含一项可让非特权用户获得 root 权限的漏洞(编号 CVE-2019-18634),他们已在最新发布的 1.8.31 版本中完成修复,同时提供了暂时缓解的方法。Sudo 1.7.1 于2009年4月19日发布,因此该漏洞已存在大约 10 年。

另外,1.8.26 到 1.8.30 版本也发现存在 CVE-2019-18634 漏洞,但 1.8.26 版本发布时曾变更 EOF(end of file)处理的设定,致使该漏洞无法被利用。

Sudo 是 UNIX 和 Linux 操作系统广泛使用的工具,它让系统管理员给普通用户分配合理的权限,以执行一些只有管理员或其他特定帐号才能完成的任务。此次被发现的高危漏洞在启用了 pwfeedback 选项的系统中很容易被利用,根据漏洞的描述,pwfeedback 功能让系统能够以 '*' 表示目前输入的字符长度,原意是一项提升安全性的功能,但安全研究员 Joe Vennix 发现系统启用 pwfeedback 功能后,用户可能会触发基于堆栈的缓冲区溢出 bug,从而获得 root 权限。

虽然在 sudo 的上游版本中默认情况下未启用 pwfeedback,但某些下游发行版,例如 Linux Mint 和 elementary OS 在其默认 sudoers 文件中启用了它(Ubuntu 不受影响)。

具有 sudo 特权的用户可以通过运行以下命令来检查是否启用了 pwfeedback:

sudo-l

如果在"Matching Defaults entries"输出中列出了 pwfeedback,则 sudoers 配置将受到影响。如下所示的 sudoers 配置就很容易受到攻击:

$sudo -lMatchingDefaults entries for millert on linux-build:insults,pwfeedback, mail_badpass, mailerpath=/usr/sbin/sendmailUsermillert may run the following commands on linux-build:(ALL : ALL) ALL

最后,建议受影响的系统尽快将 sudo 升级至最新版本 1.8.31。如果没条件升级到新版本,在启用了 pwfeedback 的 sudoer 配置文件里,将“Defaults pwfeedback”改成“Defaults !pwfeedback”,也能有效阻止攻击。

9999.jpg

]]>
电脑疯狂报毒是误报还是真有毒?教你鉴定 Fri, 21 Feb 2020 05:53:49 +0800 很多朋友都会接触到各种破解补丁,例如算号器、免CD补丁等等。而这些来历不明的破解工具,往往会被杀毒软件疯狂报毒。特别是Windows 10自带的Defender,在这方面非常敏感。但是这些东西是不是真有毒呢?也未必。


这类工具之所以被报毒,很大一部分原因是为了达成目的使用了加壳、注入等手段,这些手段在恶意软件中也很常见,所以会被误杀;另外,出于商业利益保护的目的,Defender之类的安全软件也很有动机将破解补丁赶尽杀绝。那么问题来了,作为普通用户,该如何才能知道破解补丁是真有毒还是被误报?

像Defender这样的杀软经常报毒破解补丁,是真有毒吗?

如果一个软件被报毒属于误报,那么就意味着换一个杀毒软件可能就不报毒了——不同的杀软检测机制不尽相同,如果一个软件不是病毒木马,没理由所有的杀软都会不放过它。因此,要判断某个软件被报毒属不属于误报,最好的方法就是用大量各种不同的杀毒软件都扫描它一次,然后看看有多少个杀软报毒。如果绝大多数杀软都报毒了,那么说明这个软件风险很大;如果只有寥寥几个杀软报毒,那么这软件很有可能是安全的,报毒纯属误报。

然而,普通用户是不会在电脑上安装N个杀软的。要如何才能做到这点?其实有更便利的方法。一些网站提供了N个杀软的扫描检测服务,上传文件后就可以得出结果。今天,就来给大家分享两个这样的网站吧。

ViruSCAN

网址:https://www.virscan.org/language/zh-cn/

ViruSCAN是一个著名病毒检测网站,它搜罗了高达49个不同的杀毒软件,也就是说你上传一个文件到这个网站上,就可以经过49种不同杀软的查杀,并给出结果。ViruSCAN使用的杀软不乏赫赫有名的牌子,例如卡巴斯基、比特梵德、大蜘蛛、小红伞等等,也不乏小众产品。ViruSCAN使用的杀软都更新到了最新的版本和病毒库,还是比较靠谱的。

ViruSCAN主界面

ViruSCAN的使用很简单。它支持简体中文,上传文件后点击“扫描一下”即可。ViruSCAN支持上传各类文件,但也存在一些限制,例如文件大小不能大雨20M,如果上传的是压缩包,内含文件不得超过20个。

ViruSCAN有一个很不错的地方,如果你上传的文件之前已经被上传过,那么ViruSCAN可以直接给出上次扫描的结果,让你省去等待扫描的功夫。当然,就算重新扫描一次,用时也并不算长,很快就能得出结果。

告诉你多个杀毒软件的测试结果

完成扫描后,ViruSCAN会告诉你这个文件被多少个杀软报毒,并判断这文件是不是病毒。但至于这文件是不是病毒,其实还是得你自己来判断。笔者这就分享几个判断文件是否安全的心得。

至于文件是不是真的有毒,要自己判断

·看报毒率。这个很好理解,如果绝大多数杀软都报毒,那它可能不安全;如果只有少数报毒,那文件可能值得信任。

·看报毒的是什么杀软。著名的杀软的判断值得重点关注,例如卡巴斯基、比特梵德、ESET、AVAST等等……如果它们之中没有人报毒,那么可以倾向于认为这个文件应该比较安全。

·看文件行为分析报告。ViruSCAN提供了微步文件行为分析报告,用于分析这个文件运行后会有什么行为动作。如果没有检测到可疑行为,那么也可以倾向于认为文件安全。

ViruSCAN的行为分析报告

VirusTotal

网址:https://www.virustotal.com/gui/home/upload

这也是一个在线多杀毒引擎扫描的网站。它不支持中文,但在功能上却要比ViruSCAN更强大。VirusTotal提供了67个杀毒软件的扫描服务,而且不仅支持上传文件,还可以直接粘贴URL扫描。也就是说如果遇到疑似带病毒的网页,VirusTotal也可以帮你排查,相当不错。

VirusTotal主界面

VirusTotal的扫描速度非常快,而且扫描后会优先将判断有毒的杀软列在上方,方便你观察到底是哪个杀软报了毒。

支持的杀毒软件很多

和ViruSCAN相比,VirusTotal的功能会更强大,这不仅体现在VirusTotal支持更多的杀毒软件,还在于它能提供更加专业的文件行为分析报告。VirusTotal会分析某个文件的具体所作所为,包括访问的网络、读取的文件、修改的注册表等等,而且还能够选择不同的文件行为分析引擎,非常强大。

行为分析非常强大

从实际体验来看,笔者认为VirusTotal是要比ViruSCAN强大的。不过VirusTotal访问速度较慢,如果你迟迟无法开启,也可以访问VirusTotal为老旧浏览器打造的网页。

VirusTotal快捷版:https://www.virustotal.com/old-browsers/

总结

总的来说,以上两个网站都可以帮助你判断某个文件被报毒到底是不是误报。如果你经常接触一些可疑的文件,相信它们一定能帮上忙!

9999.jpg

]]>
阿拉伯木马成功汉化,多款APP惨遭模仿用于攻击 Fri, 21 Feb 2020 05:53:49 +0800 概述

近日,奇安信病毒响应中心在日常样本监控过程中发现了一批伪装成点读通.apk、作业帮.apk、手机找回.apk、PUBG.apk等国内用户常用软件的MobiHok家族样本。

样本在执行过程中为了迷惑用户会安装内置的正规APK,真正的恶意程序则隐匿执行,用户在此过程中一般感觉不到异常,从而窃取用户短信、联系人、通话记录、地理位置、键盘记录、文件目录、应用信息、手机固件信息、录音、录像、截屏、拨打电话、发送短信等。

基于奇安信的多维度大数据关联分析,我们已经发现国内有用户中招,为了防止危害进一步扩散,我们对该远控木马进行了详细分析,并给出解决方案。

MobiHokRAT简介

MobiHok最早在2019年七月份在地下论坛中被发现,售卖者名为“Mobeebom”,除了在多个阿·拉伯语地下论坛活跃之外,售卖者还通过FaceBook、youtube进行宣传,在FaceBook进行宣传时同样使用了阿拉伯文。

YouTube中拍摄了各个版本的运行视频和一些安全机制绕过方法:

目前V4版本已经免费,在其官网上可以下载,其余版本收费情况如下,价格不菲:

相关证据表明在V4版本免费之后,国内使用该家族的团伙逐渐变多,且V4版本就可以绕过华为、三星、Google Play安全机制和FaceBook身份验证。奇安信监控的数据如下:

V4版本主控端界面如下:

Mergin App项中可以嵌入任意正规APP。

样本分析

相关样本如下:

申请的权限:

该远控APK木马功能复杂,在执行过程中会运行内置正规Apk软件来迷惑用户,可以从资源中dump出正规的apk文件:

安装后为作业帮app:

而木马则在手机中隐秘执行,监听电池变化的广播,每当电池电量有变化时,计算百分比,并获取充电类型:

获取手机网络链接类型:

测试是否能访问www.google.com:

查看屏幕保护的状态:

会静默安装内置的正规APP,并启动:

kforniwwsw0类作为服务在MainActivity中被调用,连接远程C2服务器:

远控功能列表整理如下

指令参数指令功能
calls_delete删除通话记录
OpenApp打开指定app
KeyStart配置相关
ViewFile文件查看
WriteFiles文件写入
fcbkopen()创建子目录
ConnectedDownloadManager指定URL下载者
AccountManager()账户管理
MicrophoneStop()麦克风停止
ViewFileVideoPlay浏览视频文件
PlayStop停止播放
Apps()枚举安装的app
DelLog删除日志
GetLog获取日志
gglopen()获取指定app信息
SaveEdit保存编辑
REHost修改Host
StartServiceGLocation()启动位置服务
CompressFiles压缩文件
DownManager下载者
CallsManager()通话记录管理
DDownManagerSocket管理
WinCall联网环境下电话呼入呼出
StartServiceCamera开启摄像头服务
contacts_delete联系人删除
Microphone20()麦克风相关
deleteFiles删除文件
Terminal远程终端
SetWallpaper设置手机背景墙
FileManager2文件管理
FileDelete文件删除
Microphone()麦克风相关
ContactsManager()联系人管理
properties获取properties文件
FileMove文件移动
FileRename文件重命名
FSettings获取设备相关信息
_VibratorOff设置相关
contacts_write添加联系人
FUN恶搞相关
FControl控制音量、蓝牙、GPS、WIFI等功能
AmDPM修改锁屏密码
FileManager文件管理
toast弹框
unzip解压缩
PlayStart开始播放
FindCamera()寻找摄像头设备
SMSManager短信管理
key_logger键盘记录
ListenMicrophone麦克风监听
FileStart弹出文件
FileWrite文件写入
ViewFileVideoBreak()视频相关
StopServiceGLocation()停止定位服务
KeyStop设置相关
CallPhone拨打电话
_Vibrator设置相关
chatOpen打开聊天框
chat_set聊天设置
edithost修改Host
EditFile修改文件
SetParameters设置摄像头参数
StopServiceCamera()停止摄像头服务
InfDownManager下载者

相关的远控操作:

相关功能代码:

FSettings获取本机设备相关信息,如手机号、SDK_INT、Language、Siminfo、IMSI、IMEI、MAC、SSID、RSSI等相关信息:

获取当前音频模式:

获取手机摄像头相关信息:

获取通话记录相关信息。姓名、电话号、类型、持续时间:

录音功能:

文件管理:

音频管理:

键盘记录:

下载者:

获取联系人信息:

拨号功能:

添加新联系人:

总结

近年来,诸如SpyNote、AhMyth、AndroRAT等安卓远控相继免费甚至公开源代码,黑产向移动端转型的成本大大降低,相比于PC端的远控,安卓远控在地下论坛中售价较为便宜,1500-2500不等,有些中间商甚至使用开源的远控框架不做任何免杀就在地下论坛进行贩卖。

奇安信病毒响应中心提醒用户不要安装未知来源的APP,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,目前奇安信威胁情报中心文件深度分析平台,奇安信病毒响应中心会移动安全团队会持续对新型远控框架的跟踪,目前奇安信威胁情报中心文件深度分析平台

https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。

9999.jpg

]]>
三菱电机遭网络攻击 个人及客户等信息可能外泄 Fri, 21 Feb 2020 05:53:49 +0800        日本国防承包商三菱电机表示,受大规模网络攻击影响,个人及客户等信息可能外泄。据分析,中国网络黑客组织可能参与了攻击。遭到非法访问的电脑和服务器中没有包含关于防卫及电力、铁路等基础设施运用之类机密性高的信息,这些信息没有泄露。

三菱电机表示,“未确认到”网络攻击导致的“受害及影响”。去年 6 月三菱电机国内服务器等设备被发现可疑迹象。

1200px-Mitsubishi_Electric_Nagoya_1.JPG

公司实施内部调查,在总部・事业总部的大部分和总公司管理部门发现非法访问现象。据称由于非法访问的手法巧妙,调查持续至近期。

9999.jpg

]]>
黑客泄露了超50W台服务器,路由器和IoT设备的密码 Fri, 21 Feb 2020 05:53:49 +0800  今天,在APT228的一个成员FlatL1ne中,发现了一个惊人的消息。

640.webp (8).jpg

 跟踪点击进去链接

640.webp (9).jpg

发现某聊天工具的链接

640.webp (10).jpg

发现未知压缩包

"500KMIRAIpassIP.7z"

640.webp (11).jpg

打开确认

640.webp (12).jpg

640.webp (13).jpg

640.webp (14).jpg

图源:ZDNet


黑客本周发布了大量的Telnet凭据列表,这些凭据用于超过515,000台服务器,家用路由器和IoT(物联网)“智能”设备。


该列表发布在一个流行的黑客论坛上,其中包括每个设备的IP地址,以及Telnet服务的用户名和密码,该服务是一种远程访问协议,可用于通过Internet控制设备。


据ZDNet采访的专家以及泄密者本人的说法,该列表是通过扫描整个Internet来查找暴露其Telnet端口的设备而编制的。然后,黑客尝试使用(1)出厂设置的默认用户名和密码,或(2)自定义但易于猜测的密码组合。


这些类型的列表(称为“机器人列表”)是IoT僵尸网络操作的常见组件。黑客扫描互联网以建立漫游器列表,然后使用它们来连接设备并安装恶意软件。

DDOS服务运营商泄露的数据


该列表是由DDoS租用(DDoS引导程序)服务的维护者在线发布的。


当被问及为什么他发布如此庞大的“机器人”列表时,泄漏者说他将DDoS服务从在IoT僵尸网络之上的工作升级为依靠从云服务提供商租用高输出服务器的新模式。

640.webp (15).jpg

图源:ZDNet


黑客泄露的所有列表的日期为2019年10月至11月。其中一些设备现在可能在不同的IP地址上运行,或使用不同的登录凭据。

危险无处不在


一位物联网安全专家表示:即使列表中的某些条目由于设备可能已更改其IP地址或密码而不再有效,对于熟练的攻击者而言,列表仍然非常有用。


配置错误的设备不会在Internet上平均分布,由于ISP的员工在将设备部署到各自的客户群时会对其进行错误配置,因此它们通常聚集在一个ISP的网络上。


攻击者可能会使用列表中包含的IP地址,确定服务提供商,然后重新扫描ISP的网络以使用最新的IP地址更新列表。

安全建议


1、建议账户密码修改策略(字母\数字\大小写\特殊符号)八位以上;


2、请速度更改设备账户密码,全面检查是否有后门的存在;


3、查验设备登录日志信息,确保是否有被攻击行为;


 另:本人涉及本次下载记录与内容,本人已将数据不可恢复的永久删除。

9999.jpg







]]>
安全周报(01.13-01.19) Fri, 21 Feb 2020 05:53:49 +0800 1.所有Windows都中招!微软爆出超级漏洞

微软计划于周三发布重要软件更新,修复一个:所有版本 Windows 中都存在的核心加密组件中的一个极为严重的安全漏洞。

这个漏洞位于名为 crypt32.dll 的 Windows 组件中,用于处理 “CryptoAPI 中的证书和加密消息传递功能。”

由于复杂的加密算法实现起来非常困难,所以在过去,许多应用程序只能使用非常简单的加密技术,这样做的结果就是加密的数据很容易就可以被人破译。

Windows 组件中的这个严重漏洞 (CVE-2020-0601) 可能会对许多重要的 Windows 功能产生广泛的安全影响,包括在 Windows 台式机和服务器上进行身份验证,保护由 Microsoft 的浏览器 (Internet Explorer / Edge) 浏览器处理的敏感数据,以及许多第三方应用程序和工具。

640.webp (4).jpg


2.暴风激活工具被发现携带「麻辣香锅」病毒修改和劫持浏览器主页

出于对价格的考量许多用户在重装系统时都会使用各类激活工具,作为辐射范围颇广的暴风激活工具用户量挺多。据360安全安全大脑监测日前截获的暴风激活工具样本携带病毒 , 该病毒的主要用途是修改/劫持用户浏览器主页。
因其木马运行后释放的病毒文件在MLXG_KM目录下,故360安全专家将其命名为麻辣香锅病毒(即拼音的首字母),麻辣香锅病毒最主要的目的就是劫持用户浏览器主页,几乎所有主流浏览器的主页都会被该病毒篡改并进行锁定。
当这些浏览器主页被劫持后会被强制锁定因此用户无法修改,即便手动修改主页在浏览器重启后会再次遭到篡改


640.webp (5).jpg

3.微软发现恶意npm软件包 可从UNIX系统窃取数据

Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。该恶意软件包名为 1337qq-js,于 2019 年 12 月 30 日上传到 npm 存储库中。目前,该恶意软件包已被 npm 的安全团队删除。在此之前,该软件包至少被下载了 32 次。

根据 npm 安全团队的分析,该软件包通过安装脚本来泄漏敏感信息,并且仅针对 UNIX 系统。

640.webp (6).jpg


4.超10亿张患者医学图像被泄漏 但始终没引起医疗机构重视

每天,数以百万计、包含患者个人健康信息的医学图像都会涌入到互联网上。数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统,以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。

去年9月份,Greenbone已经发现了有超过2400万例患者的7.2亿张医学图像在网络上被曝光。然而两个月之后,暴露的服务器数量增加了一半以上,达到3500万例患者检查,暴露了11.9亿次扫描,这严重侵犯了患者的隐私。

不过问题几乎没有减弱的痕迹。攻击者可以利用这些信息部署和实施更有效的社交工程和网络钓鱼攻击,从而最终获得金钱。

5.六银行App遭点名 监管开出罕见数据治理罚单

金融数据治理正走在一个十字路口。一方面,互联网使得银行等金融机构对个人和小微企业展业,App等成为银行“大零售”转型载体。另一方面,数据治理的边界在哪里,也正在拷问业内。近期,多家银行App被密集点名,解开了银行以App为代表的数据治理的冰山一角。

1月13日,国家计算机病毒应急处理中心点名25款应用,其中22款“未向用户明示申请的全部隐私权限,涉嫌隐私不合规”。在金融领域有6款应用被点名,民生银行、兴业银行两家股份制银行,以及内蒙古三家银行和海峡银行。

在被点名后,21世纪经济报道记者实测发现,兴业银行、内蒙古银行和鄂尔多斯银行于1月13日当日立刻更新其用户隐私政策。民生银行也于翌日更新其隐私政策。

640.webp (7).jpg

]]>
国家黑客利用VPN服务器漏洞入侵美国政府网络 Fri, 21 Feb 2020 05:53:49 +0800 近日,FBI 在一次安全警报中表示,有国家(伊朗)黑客利用 Pulse Secure VPN 服务器的严重漏洞,破坏了美国市政府和美国金融公司的网络。

美国网络安全和基础设施安全局 (CISA) 于 1 月 10 日警告企业,修补其 Pulse Secure VPN 服务器以防止利用漏洞 CVE-2019-11510 的攻击。

该漏洞使未经身份验证的远程攻击者可以发送特制的 URI,以连接到易受攻击的服务器并读取包含用户凭据的敏感文件,并在后继的攻击阶段用于控制组织的系统等。

在未打补丁的系统上,该漏洞允许无有效用户名和密码的人远程连接到公司网络,关闭多因素身份验证控制,远程查看纯文本日志(包括 Active Directory 帐户和缓存的密码)。

美国多家机构实体遭到入侵

FBI 表示,自 2019 年 8 月以来,身份不明的威胁行为者已使用 CVE-2019-11510 安全漏洞 “入侵著名的美国实体机构”,包括一家金融机构和一个市政府网络。

在 2019 年 8 月,攻击者通过利用未修补 CVE-2019-11510 漏洞的服务器来访问美国一家金融机构的研究网络。

在同一个月内,攻击者利用相同漏洞的攻击破坏了美国市政政府网络。

根据 FBI 的报道,针对和破坏美国市政府网络的攻击发生在 2019 年 8 月中。这次攻击中,攻击者能够枚举和泄露用户的帐户、主机配置信息和会话标识符,从而使他们能够进一步访问内部网络。目前,联邦调查局正在继续收集对该事件的失陷指标。

根据两次攻击中使用的战术,技术和程序 (TTP) 的复杂程度,FBI 认为,身份不明的国家黑客参与了这两次攻击;但是,尚不清楚是否是孤立事件。

FBI 称,成功地针对 CVE-2019-11510 漏洞的攻击案例不仅限于上述两家机构。尚未正式确认的被攻击机构还包括国际货币兑换平台 Travelex,该公司在未修补其 Pulse Secure VNP 服务器后于12月3日遭到 Sodinokibi 勒索软件的攻击,攻击者要求提供 300 万美元的赎金。

Travelex 在 2019 年 9 月就接到了服务器脆弱性警告,但是直到被勒索软件也没有做出回应或者修补漏洞。

PulseSecure 首席市场官 Scott Gordon (CISSP) 告诉媒体,攻击者正在通过利用 VPN 接口的交互提示向用户尝试分发和激活勒索软件,利用 “未打补丁的VPN服务器传播恶意软件 REvil (Sodinokibi)。”

可能是伊朗黑客

尽管 FBI 并未将这些攻击直接与伊朗支持的黑客联系起来,但在一天后分享的详细介绍伊朗网络战术和技术的私密行业通知 (PIN) 中却提到:信息表明伊朗黑客已尝试利用常见漏洞 (CVE) 2019-11510。

FBI 评估了自 2019 年末以来发生的 VPN 服务器漏洞攻击,发现其波及广泛,已影响到美国和其他国家的许多部门。

漏洞缓解措施和安全建议

FBI 建议美国市政当局仔细阅读国家安全局 (NSA) 的 VPN 漏洞缓解建议,采取以下措施来防御针对与市政网络域的潜在攻击,包括 “管理紧急服务、交通或选举的本地基础结构”:

警惕并立即安装供应商发布的补丁程序,尤其是面向 Web 的设备;

阻止或监视上述恶意IP地址以及其他在特殊时间段进行远程登录的 IP 地址;

在将升级后的设备重新连接到外部网络之前,请重置凭据。

撤消并创建新的 VPN 服务器密钥和证书;

使用多因素身份验证作为密码的补充安全性措施;

查看帐户列表,以确保对手没有创建新帐户;

在适当的地方实施网络分段;

确保无法从 Internet 访问管理 Web 界面。

9999.jpg

]]>
Clearview已被数百家美国执法机构使用:拍张照就能知道你的姓名住址 Fri, 21 Feb 2020 05:53:49 +0800 街头一位陌生人只需要拍下你的照片,然后就能通过一款APP来快速锁定你的姓名、联系方式和家庭住址,你是否觉得非常可怕?在《纽约时报》本周六刊发的一篇报道中,就表示包括FBI在内的数百家美国执法机构正在使用这样一款APP,而它是由一家名为Clearview AI的初创公司开发和提供的。

TIM截图20200119091251.png

援引纽约时报报道,这款APP已经从Facebook,Venmo,YouTube和其他网站上收集并创建了拥有30亿张图片的超大容量数据库。在获得你的面部照片之后,通过和数据库中数据进行匹配,从而提供关于数据库中图片的源链接。而通过这些线索,能够非常轻松地了解你的名字和其他敏感信息。

相比较Clearview,FBI自己创建的数据库就显得有点相形见绌。FBI自己的数据库是其中最大的数据库之一,其中收集了护照和驾照照片,其中包含超过6.41亿张美国公民的图像。目前尚不清楚未来Clearview是否会推出消费者版本,不过在报道中称美国警方和Clearview的投资者都认为会在未来推出。

执法人员表示,目前已经成功利用该APP解决了入店行窃、猥亵儿童和谋杀等做多犯罪行为。不过隐私倡导者表示该APP可能会将错误的匹配结果反馈给警察,并且可能会被其他人非法利用。

9999.jpg

]]>
微软公布新的欺骗性漏洞 无法被利用直接攻击和传播 Fri, 21 Feb 2020 05:53:49 +0800 微软在1月份的补丁升级报告中,公布了Windows CryptoAPICrypt32.dll)验证椭圆曲线加密(ECC)证书的方式中存在欺骗漏洞(CVE-2020-0601)。

 


攻击者可以通过使用欺骗性的代码签名证书对恶意文件进行签名,达到利用该漏洞的目的,使该文件看似来自受信任的合法来源。成功利用此漏洞还可以让攻击者进行中间人攻击,并解密与受影响软件的用户连接的机密信息。

 


该漏洞影响Windows 10系统(1507160717091803180919031909)以及Windows Server2016Windows Server 2019系统,对于其它系统(包括微软刚刚停止支持的Windows 7系统)不会产生影响。

 


需要强调的是,微软对于该漏洞的评级并没有达到永恒之蓝“Critical”(高危)级别,而是“Important”(重要)级别。这是因为该漏洞危害更多在于欺骗性,漏洞本身无法被用来直接攻击和传播,和永恒之蓝这类攻击型高危漏洞有本质区别,相较而言,对于普通用户危害较小,因此并不需要过分担心,只需及时下载补丁修复该漏洞即可。

 


微软官方已经提供该漏洞补丁,火绒产品(个人版、企业版)已完成相关升级,火绒个人用户、企业用户均可以通过“漏洞修复”功能修复此漏洞。

 


目前,火绒监测到已有攻击者利用该漏洞伪造微软数字签名,正在传播病毒,火绒用户无需担心,火绒最新版(个人版、企业版)可查杀。事实上,火绒包括病毒查杀在内的各项防护功能并不依赖文件数字签名的有效性,火绒检测病毒的标准也不会考量数字签名的合法性。

 


兔兔.jpg

附:微软官方补丁

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0601

9999.jpg

]]>
美国国家安全局向微软提交严重级别的加密安全漏洞并提前获得补丁修复 Fri, 21 Feb 2020 05:53:49 +0800 在棱镜计划曝光和影子经纪人泄密后我们知道诸如美国国家安全局等机构会收集和购买各种安全漏洞以展开攻击。

然而让人意外的是美国国家安全局此次发现漏洞后竟然是向微软反馈,然后微软在本月累积更新对漏洞进行修复。

当然这枚安全漏洞的危害等级极高也影响到美国政府机构和美国军队的分支机构,这也必须让微软来修复该漏洞。

值得注意的是在签署相关保密协议后微软实际上已经提前把补丁发送给上述机构,而不是等到今天的例行更新日。

美国国家安全局向微软提交严重级别的加密安全漏洞并提前获得补丁修复

图片来自:ITProToday

加密组件验证ECC算法存在欺骗漏洞:


ECC即椭圆曲线算法是目前主流使用的加密算法之一,而 Windows CryptoAPI 是微软用于验证这类算法的组件。

本次发生漏洞的就是微软这个加密验证组件,攻击者利用特殊手段可以使用伪造的数字证书对恶意文件进行签名。

然后这会让恶意文件看起来就像是经过正规签名的合法应用,这可以用来绕过微软及部分安全软件开发商的检测。

而现代加密算法又是许多安全领域依赖最高的加密体系,虽然算法本身没有问题但微软组件也会让这个体系崩塌。

这也是这枚安全漏洞危害等级极高的主要原因,基于此美国国家安全局决定向微软披露漏洞以获得微软官方修复。

美政府和军队等机构要求提前获得补丁:


尽管美国国家安全局并没有透露此漏洞是否在野外发现黑客利用,但显然基于安全考虑越早修复安全性也会越高。

为此美国国家安全局与微软达成协议向微软披露漏洞但要求提前获得补丁,然后提前在所有关键设施里部署补丁。

当然最终结果是微软同意提前提供补丁但要求这些机构签署保密协议,在补丁未公开发布前也不得透露任何细节。

今天是微软的例行更新日微软已经向受支持的操作系统发布累积更新,目前微软加密组件的相关漏洞已经被修复。

不过基于安全考虑微软当前并未透露关于该漏洞的更多细节,估计要等到绝大多数用户部署更新后细节才会披露。

漏洞存在多久暂时也没有消息:


按美国国家安全局以往作风来看即便发现安全漏洞也会先进行利用,现在反馈给微软进行修复或许也是不得已的。

而漏洞被发现多久也没人知道,外媒猜测称说不好漏洞早已经被发现并被加以利用然后才会被通报给微软来修复。

针对此次安全问题微软发言人表示遵循协调披露漏洞原则,为降低风险研究人员和供应商不会在漏洞公开前披露。

同时微软强调已启用自动更新或部署更新的用户现在已经获得保护,同时一如既往地鼓励所有用户尽快安装补丁。

9999.jpg

]]>
这些第三方软件居然可以删除我的微信好友?! Fri, 21 Feb 2020 05:53:49 +0800 有些朋友随着时间的推移,慢慢离你越来越远了,不聊天,不开放朋友圈权限,有的甚至悄咪咪的就删掉了你微信。不仅成了你的 “ 无效好友 ”,还白白浪费了你一个好友坑位,想想好像是还挺不舒服的。而这个现象直接催生出了上图里面的神操作 ——被删除验证

这条验证自己是否被你删除的消息,也大概率的成了这个人和你进行过的第一次,同时也是最后一次对话。。。

不过最近,小辣椒倒是几乎再也没有碰到过这样的消息 “ 骚扰 ” 。

本来还觉得,可能是现在的人交友都越来越佛系,不再纠结这些有的没的了,结果看到这么一个新闻 ↓

其实,查“ 单向删除 ”早就形成一个成熟的服务产业!

这些服务可以在不打扰好友的情况下,帮用户查看自己都被谁解除了好友关系。

甚至已经升级到了查询服务 2.0 版本

不仅可以帮用户查被哪些人删除,还可以检测出有哪些人向自己屏蔽了朋友圈!收费也都不贵,几块钱就可以搞定,排名前几的商店月销几乎都过万。。。

某宝上提供这项服务的商家不少▼

不过,功能这么强大 ,真的不会有什么安全问题么?

小辣椒顺势随便下了一单,给大家瞅瞅这些服务都是怎么操作的。

不得不说,卖家服务还挺靠谱的,下单之后第一时间就来热情给我介绍操作流程。

按照他给到网址,小辣椒登入了一个网站,然后输入了卖家提供的卡密。

网站弹出了一个让微信登录的二维码。

到这里,一切都很正常。

但接下来的请求,直接把小辣椒给看懵逼了。。。

扫码之后,微信提示我的微信号正在请求在上海的一个设备登录,也就是说这个设备可以获取我几乎所有的微信权限。

行呗,来都来了,哪有临阵退缩的道理?登!接着,在我的微信主页上出现了账号在 iPad 登录的标识

还没等小辣椒回过神来,这个软件已经开始下一步神操作了。

微信里的“ 文件传输助手 ”开始疯狂给我弹消息,一个名叫

咔咔清理管家

的软件加载进入了微信通讯录。。。

并开始以发送好友名片的形式,通知我每个好友的状态。

对小辣椒屏蔽了朋友圈的,或者已经三个月,半年没有更新朋友圈的。。。

大概过了几分钟,小辣椒收到了好友检测完成的通知,系统也自动退登了微信。

最后,小辣椒检查了一下自己的账号,发现刚刚在上海登入的设备确实已经退出登入了。

已经看不到设备登入标识▼

除此之外,在我的好友标签里,多了好几个带有 “ 咔咔管家 ” 标签的分类。。。

被筛查过的所有好友,都自动被分别归到了这几个标签里。

这波操作简直比你猴哥还来无影,去无踪啊。。。到这里,小辣椒的微信号并没有出现什么大问题,不过仔细想想,细思恐极。这个软件,读取了我的微信通讯录,并且还取得了微信好友标签的修改权限,甚至还获取了我删除好友的权限!

这就意味着我的联系人、和这些联系人的关系,甚至聊天记录,财务状况等等信息可能都被暴露了。

而软件是怎么做到“ 清理微信死粉 ”的呢?

这里有好几种方法。

其中之一,和文章一开始提到的发 “ 骚扰 ” 消息验证的原理是一个思路。

因为在你授权软件商微信账号的权限同时,也默认授权他可以向你的好友们发送消息,不过这些软件可能 把一段具体的文字,替换成了一段发送之 后并不会通知对方的代码。

其二,是软件模拟了建群这个操作。

这也是一个验证好友是否把你删除的常规操作。

在建群的时候,无法被添加入群的人,就是已经单方面和你说过再见的人。

拉群后不说话不会有人收到通知▼

而验证好友是否对你屏蔽了朋友圈,则可能是借用你的权限查看了好友的朋友圈,通过批量查看朋友圈页面提示,获取了用户数据。

这些方法,其实用户也可以自己操作,但软件的优势肯定是更快,更省事儿。

不过软件在把这些工作都揽到了自己手上的同时,也把你对账号的上帝权限握在了手里。

而你并不知道他们会对账号做什么其他的操作。

所以,小辣椒奉劝大家,不要轻易用微信登录第三方软件,更不要随便把账号的操作权限拱手让人。

等到号财两空那一天再后悔,就晚了!

9999.jpg

]]>
WordPress插件高危漏洞或影响32万网站 Fri, 21 Feb 2020 05:53:49 +0800 22.jpg

近期,两个WordPress插件InfiniteWP ClientWP Time Capsule曝出高危的授权绕过漏洞(逻辑漏洞),可让攻击者在不知道密码的情况下访问网站的后端。根据WordPress插件库的统计,大约有30万个网站使用了存在漏洞的InfiniteWP Client插件,2万个网站使用了存在漏洞的WP Time Capsule插件。

开发人员对这些漏洞很快做出了反应,并在报告的第二天就发布了补丁。不管怎样,漏洞修复速度总是越快越好。

防火墙可能无法提供保护

由于身份验证绕过漏洞通常是代码中的逻辑缺陷,实际上并不涉及高度敏感的payload,很难立刻确定问题来自何处。

在这种情况下,很难用一般的防火墙规则来防御漏洞攻击,与这两个插件的合法请求相比,恶意请求不会有太大的不同。

为此,我们特意在WebARX防火墙中添加了一个新模块进行防御,因为两个插件都没有像预期的那样连接到WordPress核心。我们也观察到其他WordPress安全公司遵循了相同的方法。或许在将来我们可以扩展一个新的防御功能来阻止类似的问题。

当然,由于该漏洞的性质,基于云的防火墙可能也无法区分恶意或合法的流量,难以提供有效的防护。

因此,使用第三方防火墙产品的用户也应该及时更新插件,保护网站安全。

InfiniteWP Client < 1.9.4.5

为了能触发存在漏洞的代码,我们必须使用JSON编码payload,然后再使用base64,最后通过POST请求将其发送到目标站点。

攻击者唯一需要知道的信息是网站管理员的用户名。在发送恶意请求后,将自动登录网站。

33.png

这个缺陷存在于函数iwp_mmb_set_request中,位于init.php文件。这个函数会检查IWP_MMB_Core类的request_params变量是否为空,只有payload在满足某些条件时才会填充该变量。