安全快讯Top News

从地缘紧张局势中识别黑客活动

网络威胁情报(CTI)专员可通过跟踪地缘性紧张局势来深入了解对手行动。与刑事调查中的“遵循金钱”方法类似,查看冲突区域可以揭示相关网络功能。 上述理论得到了地缘政治紧张局势相关事件的验证: 俄罗斯黑客入侵导致的2015年和2016年的乌克兰电力事件、2017年的NotPetya事件以及至今的持续攻击活动。 阿拉伯/波斯湾地区的恶意软件和2017年的“封面”海卫/ TRISIS事件。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1408/         消息来源:domaintools,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Stantinko 僵尸网络正在瞄准 Linux 服务器以隐藏代理

至少自2012年以来,一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标,目前已将目光投向了Linux服务器。 Intezer的分析报告指出,该木马伪装成Linux服务器上常用的HTTPd程序,它是一个新版本恶意软件,被跟踪为Stantinko。 早在2017年,ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络,它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件,安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器,以加密挖矿的形式从他们控制的计算机中获利。 尽管Stantinko传统上是一个Windows恶意软件,但他们存在针对Linux的扩展工具。ESET观察到一个Linux木马代理通过恶意二进制文件部署在受损服务器上。 Intezer的最新研究提供了对该Linux代理的全新见解,特别是同一恶意软件(v1.2)的较新版本(v2.17),称为“httpd”,其中一个恶意软件样本已于11月7日从俄罗斯上传到VirusTotal。 执行后,“httpd”将验证与恶意软件一起提供的“etc/pd.d/proxy.conf”中的配置文件,并通过创建套接字和侦听器以接受研究人员认为是其他受感染系统的连接。 来自受感染客户机的HTTP Post请求传递到受攻击者控制的服务器上,然后该服务器使用代理转发回客户端进行响应。 如果未受感染的客户端向受损服务器发送HTTP Get请求,则会发回HTTP 301重定向到配置文件中指定的预配置URL。 Intezer的研究人员指出,新版恶意软件只起到代理的作用,新变种与旧版本共享多个函数名,一些硬编码路径与之前的Stantinko活动有相似之处。 “Stantinko是最新一个针对Linux服务器的恶意软件,这种恶意软件与利用受损Linux服务器的攻击活动有很大联系。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

VMware 存在严重的命令注入型漏洞 且尚未被修复

VMware发布了临时解决方案,以解决其产品中的一个严重漏洞,攻击者可以利用该漏洞控制受影响的系统。 这家虚拟化软件和服务公司在其咨询中指出:“恶意攻击者可以通过端口8443访问网络上的管理配置器,配置器管理员帐户的有效密码,从而可以在底层操作系统上以不受限制的特权执行命令。” 该命令注入漏洞的编号为CVE-2020-4006,其CVSS评分为9.1(满分10),影响VMware Workspace One Access、Access Connector、Identity Manager和Identity Manager Connector。 虽然该公司表示此漏洞的补丁“即将发布”,但并没有说明预计发布的具体日期。目前尚不清楚该漏洞是否被攻击者利用。 受影响产品的完整列表如下: VMware Workspace One Access(适用于Linux和Windows的版本20.01和20.10) VMware Workspace One Access Connector(适用于Windows的版本20.10、20.01.0.0和20.01.0.1) VMware Identity Manager(适用于Linux和Windows的版本3.3.1、3.3.2和3.3.3) VMware Identity Manager Connector(适用于Linux的版本3.3.1、3.3.2和Windows的3.3.1、3.3.2、3.3.3) VMware Cloud Foundation(适用于Linux和Windows的4.x版) vRealize Suite Lifecycle Manager(适用于Linux和Windows版本8.x) VMware表示,该解决方案仅适用于托管在8443端口上的管理配置器服务。 该公司表示,“解决方法实施后,将无法更改配置器管理的设置。如果需要更改,需要先恢复原来的状态,进行必要的更改后再次禁用,直到补丁可用。”           消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

因第三方数据库泄漏 Spotify 要求将近 35 万个账号重置密码

得益于丰富的曲库、简洁的用户界面,Spotify 已经成为全球最受欢迎的音乐流媒体服务之一。不过伴随着用户规模的极速扩张,也暴露了一些安全风险隐患。近日受第三方数据库泄漏的影响,Spotify 公司不得不发出重置密码电子邮件,据悉有将近 35 万个账号受到影响。 值得注意是,本次数据泄漏并非来自 Spotify 本身,它并没有受到任何形式的攻击和破坏。当网络上泄漏大型密码数据库的时候,黑客会试图尽可能的在其他服务上登录这些凭证,然后不可避免的能够访问一些站点和服务。 如果您采取适当的密码保护措施,并确保不会在多个网站或服务中重复使用相同的登录凭据,那么被这些违规事件之一捕获的机会将降为几乎零。不幸的是,似乎有超过 30 万的用户出现了这个问题。 对于收到 Spotify 密码重置通知的用户,外媒编辑推荐除了重置 Spotify 密码之外,最好重置其他使用该泄漏相同密码的所有其他平台账号。所有这些数据都在“72GB数据库”中公开,其中包含“超过3.8亿条记录”。该数据库已找到,其存在已由vpnMentor的研究人员公开披露,vpnMentor是网络安全和关注互联网隐私的博客。       (消息来源:cnBeta;封面来自网络)

微软推出 Pluton 安全处理器 携手 AMD 、英特尔、高通构建统一体系

提升计算机和网络安全性的一个主要原则,就是尽可能减少系统中可被攻击入侵的位面。此外在虚拟化的处理上,也需要结合软硬件的附加安全层,辅以全面的检测与保护特性。为了打造一个更加统一的体系,微软想到了为 Windows 搭配 Pluton 安全处理器,并且向 AMD、英特尔和高通伸出了橄榄枝。 据悉,在 Xbox 主机和 Azure Sphere 生态系统中率先得到应用的 Pluton 安全处理器,可实现类似于可信平台模块(TPM)的全栈芯片到云安全特性。 过去十多年时间里,TPM 一直是服务器安全性的一个重要组成部分,为安全密钥和其它验证系统完整性的元数据提供了物理存储空间。 此外在移动市场,内置 TPM 方案允许展开其它形式的安全验证,比如 Windows Hello 生物识别和 Bitlocker 加密。 然而微软指出,随着时间的推移,这些系统中的物理 TPM 模块已成为现代安全设计的薄弱环节。 具体说来是,在获得了对系统的物理访问权限之后,TPM 模块将变得毫无用处,导致传输中的数据被劫持(或发动中间人攻击)。 更糟糕的是,由于 TPM 是大多数服务器环境中的一个可选组件,因此物理模块到 CPU 的数据路径,也成为了一个重要的攻击位面。 有鉴于此,微软希望能够与 AMD、英特尔、高通之类的芯片制造商共同推进 Pluton 安全处理器项目,以将与 TPM 等效的产品直接纳入未来每台 Windows PC 的芯片中。 推广初期,Pluton 架构将模拟成一个 TPM 模块,以兼容现有的安全协议套件。但由于其已内置于芯片之中,则可大幅降低任何潜在的物理攻击位面。 之后 Pluton 体系架构还有望启用 TPM 功能的超集,且微软强调了独特的 SHACK 安全硬件密码技术(使安全密钥永远不会暴露在硬件环境之外)。 最终通过与社区之间的广泛合作(比如 Open Cute / Cerberus 项目)来启用基于根信任的固件身份验证。 据悉,上述三家芯片制造商均已将 Pluton 作为首个安全保护层,不过芯片厂家自家的技术可以更沉底一些(比如 AMD 的 PSP 方案)。 鉴于目前 AMD 已经同微软合作开发了面向主机平台的 Pluton 产品,它与其它技术(比如安全加密虚拟化)一起出现在 AMD 的消费 / 企业级芯片中,应该也不是一件难事。 至于英特尔,其表示与微软保持着长期的合作伙伴关系,这有助于 Pluton 安全处理器技术的顺利整合,但拒绝披露可能的时间表。 最后,从某种意义上来说,高通的加入是有些出乎意料的。但 Pluton 与苹果公司的 T2 安全芯片,显然存在着许多相似之处。早前发布的 Apple Silicon Mac,就已在 M1 处理器中集成了相关功能。       (消息来源:cnBeta;封面来自网络)

TA416 使用 PlugX 恶意软件新的 Golang 变种进行攻击

国庆假期之后,安全研究人员观察到APT组织TA416重新开始了活动。这次活动以在非洲开展外交活动的组织为目标。攻击者对工具集进行更新以逃避检测,该工具集用于传递PlugX恶意软件的有效负载。研究人员发现了TA416的PlugX恶意软件新的Golang变种,并且确定了攻击者在活动中对PlugX恶意软件的持续使用。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1407/         消息来源:proofpoint,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

欧洲打算破解 WhatsApp 等通讯服务的数据加密方式

据报道,在巴黎、维也纳、尼斯发生一连串恐怖袭击之后,欧盟(EU)似乎正在为打击已接受端到端加密数据的行动做准备。在本月早些时候发表的一份联合声明中,欧盟成员国内政部长呼吁各国元首“慎重思考数据加密问题,以便主管部门能够合法收集和使用数字证据。” 在这份声明发表之前,有几份关于加密数据的欧盟内部文件遭遇泄露。最开始是由Politico发布的一份声明,提出了反对端到端加密的一些措施,并以此作为打击虐待儿童内容的一种方式。声明中说道:“对于此类非法内容的打击是争议最小的。” 端到端加密(End-to-end encryption)是一些应用程序和服务(包括WhatsApp、Signal和Facebook Messenger)使用的一种安全工具,旨在提供更高级别的隐私保护服务。 使用端到端加密工具发送的信息在离开发送者的手机或电脑之前会被加密,使用的密钥是交换双方设备的唯一密钥。即使这些信息在传输过程中被黑客或政府机构截获,这些信息也是不可读的,因为只有来自发送方和接收方的设备才能解码这些信息。 这种保密形式给试图监控犯罪团伙通信情况的国家带来了一个问题:只有当你真正能够读取非法信息内容时,拦截非法信息的能力才是有用的。 欧盟的一名发言人表示,长期以来,欧盟立法者一直在公民隐私权和警察机构工作范围之间寻求更妥善的平衡。 欧盟成员国已经在多个场合“呼吁采取解决方案,允许执法部门和其他主管部门在不禁止或削弱加密的情况下合法获取数字证据。” 正如7月安全联盟策略(Security Union Strategy)所述,欧盟选择支持这样一种方式:“既保持加密在保护隐私和通信安全方面的有效性,又能对严重犯罪和恐怖主义做出有效回应。” 欧盟反恐协调员吉尔斯·德克尔乔夫(Gilles de Kerchove)试图通过避开“后门(back-door)”的方式来达到这一目的,他认为这是与“前门(front-door)”相对应的方法,即与第三方加密提供商展开正式合作,而不是在尚未获得其同意的情况下擅自行动。 而隐私教育评论网站ProPrivacy的研究员雷·沃尔什(Ray Walsh)却表示,这种方法时不可能的。他在接受媒体采访时表示:“无论你是选择将一个专门开发的辅助接入点称为‘前门’还是‘后门’,其结果都是消除了数据所有权和访问控制,这将会不可避免地会导致一个根本性的漏洞。” 他补充说:“部长们想要鱼与熊掌兼得,但他们似乎不明白,也不想承认,这是不可能的,而且这种行为会有意识地造成数据加密系统的脆弱。如果这类立法获得通过,那么普通公众将会受到极大损害。” 伦敦国王学院(King’s College London)的德语区、欧洲与国际研究讲师亚历克斯•克拉克森(Alex Clarkson)指出,类似这种正在讨论中的措施“已经成为政府议程中持续进行的一部分。” 但他和沃尔什都强调,目前还只是讨论而已。 克拉克森将这些提议简单地描述为“官僚机构正在做什么”,是由一系列决策组成的政治“愿望清单”中的一部分。他表示:“这些系统中的某些部分会催生一种冲动,而系统的另一部分会对这种冲动进行制衡。但这并不一定意味着,他们会选择这些决策。” 尽管如此,沃尔什还是担心这种所谓“后门”的方式会引起争论。他说:“这将给国家安全和数据隐私带来问题,但实际上却并不会降低犯罪分子找到秘密通信方式的可能性,比如通过暗网或其他加密方式。” 他表示:“在任何自由开放的社会中,能够进行私下的自由交流是一项基本人权。剥夺公民在不被观察的情况下分享信息的能力,将导致更大程度的自我审查,使人们无法行使言论自由的权力。”       (消息来源:cnBeta;封面来自网络)

黑客组织 BigBlueBox 宣布成功 Dump 了两款 PS5 游戏镜像

每当新游戏主机上市,除了玩家迫不及待入手游玩自己期待的游戏之外,摩拳擦掌的还有全球各地的技术大牛和黑客们,能够在第一时间攻破新主机的防线,完成主机软件系统到硬件的全方位的破解是对技术能力最好的证明。在PS5全球发售不足半月的今天,已经有团队取得了PS5破解的初步胜利。 近日,知名黑客组织BigBlueBox宣布成功Dump了两款PS5游戏镜像,这两款游戏其中包括上市初期销量最高的《漫威蜘蛛侠:迈尔斯·莫拉莱斯》,这款游戏Dump出的镜像文件达到49.78GB,另一款游戏是《过山车之星主机版》,容量11.8GB。 虽然PS5游戏在上市短短一周多就被成功Dump,不过就目前PS5的破解工作开展进度来说,游戏镜像完全没有办法派上用场。最早成功Dump出Switch游戏的组织也是BigBlueBox,距离通过破解手段运行这些游戏镜像则用了一年到两年多的时间。 值得一提的是,在被Dump出的PS5游戏镜像的nfo文件中,BigBlueBox还写下了两行以Mariko开头的密钥,疑似与续航版Switch和Lite的破解工作新进展有关。       (消息及封面来源:cnBeta)

FBI 公布钓鱼网站清单:有黑客利用FBI相似域名窃取用户信息

美国联邦调查局(FBI)近日发布警告,称有网络犯罪分子正在使用一系列伪装成 FBI 的钓鱼网站来窃取用户信息。这些钓鱼网站使用了欺骗性极强的域名,例如使用相近的字母、添加或者减少某个字幕,从而让受害者认为他们加载的是合法正规网站。 在大多数情况下,黑客会发布鼓励用户提供诸如个人详细信息和信用卡号之类的信息的内容。FBI 表示,该机构已经检测到了大量欺骗性域名,以及不再解析的其他域名,这意味着它们已被暂停(尽管也有可能在以后的时间将其重新激活)。 在警告中写道: 联邦调查局(FBI)发布了此公告,以帮助公众识别和避免与FBI有关的欺骗性Internet域名。联邦调查局发现,未经注册的网络参与者在欺骗合法的联邦调查局网站的过程中注册了许多域,这表明了未来的运营活动的潜力。 欺骗性的域名和电子邮件帐户被外国行为者和网络犯罪分子利用,很容易被误认为合法网站或电子邮件。攻击者可以使用欺骗性域名和电子邮件帐户传播虚假信息;收集有效的用户名,密码和电子邮件地址;收集个人身份信息;并传播恶意软件,从而导致进一步的威胁和潜在的财务损失。           (消息来源:cnBeta;封面来自网络)

特斯拉 Model X 遭遇黑客中继攻击 3 分钟可开走汽车

一名黑客成功地为特斯拉汽车开发了一种新的密钥克隆“中继攻击”(Relay Attack),并在特斯拉Model X电动汽车上进行了演示。报道称,特斯拉被告知了这一新的攻击,目前准备为其推出新的补丁。 在北美,特斯拉汽车被盗相当罕见。但在欧洲,有一些老练的窃贼,他们通过“中继攻击”,盗窃了不少特斯拉汽车,其中大多数都没有被找回。 为了应对这些攻击,特斯拉之前已经推出了额外的安全保护措施,配备了改进的密钥卡和可选的“PIN to Drive”功能。 但如今,比利时鲁汶大学(Belgian university KU Leuven)安全研究员列纳特·沃特斯(Lennert Wouters)声称,他组织了一系列新的攻击,可以绕过密钥卡中新改进的加密技术。 沃特斯表示,他只需大约90秒的时间,即可进入特斯拉汽车。一旦进入车内,为了能开走汽车,还需要进行第二步攻击。大概1分钟左右的时间,他就可以注册自己的汽车钥匙,然后把车开走。 目前还不清楚,“PIN-to-Drive”功能能否让沃特斯的第二步攻击失效,该功能要求司机输入PIN后,才能让车辆进入驾驶状态,而不管密钥卡是什么。 不管怎样,特斯拉还是看到了沃特斯攻击的一些价值。沃特斯表示,他们早在8月份就告知了特斯拉。       (消息来源:cnBeta;封面来自网络)