2018 年俄罗斯世界杯:俄罗斯网络间谍可能会入侵参观者移动设备

据外媒报道,美国反间谍安全中心主任 William Evanina 于近期发布警告称前往俄罗斯参加世界杯的球迷的移动设备和电脑可能会受到俄罗斯情报部门的黑客攻击。根据这位美国高级情报官员的说法,出于安全考虑,俄罗斯当局会在世界杯期间进行大规模监视。 Evanina 在一份声明中表示,前往俄罗斯参加世界杯的每一位旅行人员或者球迷都有可能会成为俄罗斯情报机构的目标,其移动电话、笔记本电脑、PDA 或者其他电子设备上的任何数据(尤其是个人身份信息)可能会被俄罗斯政府或者网络犯罪分子访问,尤其是一些企业和政府官员所面临的风险值可能最大,因此他们应随时保持高度警惕。 为了以防止黑客入侵,建议在未使用设备时取出电池。 消息来源:Security Affairs,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

尽管领袖被捕,Cobalt 黑客组织仍然活跃

俄罗斯安全公司 Group-IB 近期发现,专门窃取银行和金融机构资金的 Cobalt 黑客组织仍然活跃,尽管其领导人于两个月前在西班牙被捕,但其成员仍在继续针对世界各地的金融组织及其他公司发起新的攻击活动。 这项新活动是从上周 23 日开始的,当时 Group-IB 安全专家发现了 Cobalt 的钓鱼电子邮件,用来针对俄罗斯和其他前苏联国家的银行。根据 Group-IB 分享的报告显示,这种钓鱼邮件被设计伪装成卡巴斯基实验室的安全警报, 诱使用户访问恶意网站,从而感染 CobInt 木马。 Group-IB 公司表示,尽管 Cobalt 的领导人被捕,但该组织仍然拥有不容忽视的黑客力量,因为其成员短期内似乎并没有计划停止对银行的攻击行动。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Brain Food 僵尸网络散布恶意 PHP 脚本,已有超 5000 个网站受损

据外媒报道, Proofpoint 研究员 Andrew Conway 上周对一个名为” Brain Food ”的僵尸网络进行了剖析。根据 Conway 的说法,由该僵尸网络推动的垃圾邮件活动早在去年 3 月就已被发现,其源头可能是来自于一个恶意的 PHP 脚本,因为该脚本一直秘密地将用户重定向到减肥和提高智力药片的网页上。据统计,目前已有超过 5000 个网站上存在该脚本 , Conway 通过对这些站点进行追踪后发现,其中绝大多数都是在 GoDaddy 的网络上找到的,并且仅在上周内活跃的网站已超过 2400 个。 Conway 表示,该脚本用于让被黑网站处于网络犯罪分子的控制之下,并对各种垃圾邮件活动的动态重定向进行管理。 根据最近的垃圾邮件活动发现,该 PHP 脚本能够从 Brain Food 运营商那里获得新的“重定向目标”,并收集到每次活动的点击统计数据。 虽然僵尸网络只是推送了一些垃圾内容,对用户并无实际害处,但这对被感染的网站来说是危险的,主要是因为它具有类似后门的功能,允许僵尸网络运营商随时执行他们想要的任何代码。 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

DNS 劫持恶意软件 Roaming Mantis 升级,针对全球 iOS、Android 和桌面用户

据外媒报道, 卡巴斯基实验室发现针对 Android 设备的路由器 的 DNS 劫持恶意软件 Roaming Mantis 现在已升级到了针对 iOS 设备以及桌面用户。最初该恶意软件被发现在上个月劫持了网络路由器,目的旨在散布窃取用户登录凭证和双重身份验证密码的 Android 银行恶意软件。而目前根据卡巴斯基实验室的安全研究人员的说法,通过增加针对 iOS 设备的钓鱼攻击以及针对 PC 用户的加密货币挖掘脚本,Roaming Mantis 活动背后的犯罪集团已经扩大了他们的目标。此外,尽管最初的袭击旨在针对来自东南亚的用户 ,但目前该新活动已经演变到支持 27 种语言,以扩大在欧洲和中东地区的业务范围。 与之前的版本类似,新的 Roaming Mantis 恶意软件通过 DNS 劫持进行分发,攻击者更改无线路由器的 DNS 设置,将流量重定向到由他们控制的恶意网站。因此,当用户试图通过一个被破坏的路由器访问任何网站时,他们都会被重定向到恶意网站,这些网站可用于:提供 Android 用户虚假银行恶意软件;提供 iOS 用户 钓鱼网站;提供桌面用户使用加密货币挖掘脚本的站点。 为了保护免受此类恶意软件的侵害,安全研究人员给出了以下建议: “建议您确保您的路由器运行最新版本的固件并使用强密码保护; 由于黑客活动使用攻击者控制的 DNS 服务器伪装合法域名,将用户重定向到恶意下载文件,所以建议您在访问站点前确保其启用了 HTTPS; 您还应该禁用路由器的远程管理功能,并将可信的 DNS 服务器硬编码到操作系统网络设置中; 建议 Android 用户从官方商店安装应用程序,并设置禁用安装未知来源的应用程序; 检查您的 Wi-Fi 路由器是否已被入侵,查看您的 DNS 设置并检查 DNS 服务器地址,如果它与您的提供商发布的不符,请将其修正,并立即更改所有帐户密码。” 卡巴斯基实验室分析报告: 《Roaming Mantis dabbles in mining and phishing multilingually》 消息来源:Thehackernews,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

思科发布安全公告披露高危漏洞,Cisco DNA Center 软件受到影响

据外媒报道,思科于本周三发布了 16 项安全警告,其中包括 3 个 CVSSv3 严重程度评分为满分 10 分的高危漏洞,根据思科介绍,这 3 个漏洞分别是思科全数字化网络架构中心(Cisco DNA Center)的一个后门帐户和两个认证系统的 bypass。 Cisco DNA Center 是一款针对企业客户的软件,它提供了一个中央系统,用于在大型网络中设计和部署设备配置。 以下为三个高危漏洞的的具体细节: CVE-2018-0222 此漏洞是由于受影响软件的默认管理帐户存在未记录的静态用户凭据,攻击者可以通过使用该帐户登录受影响的系统来利用此漏洞。目前来说,一次成功的攻击可能允许攻击者登录到受影响的系统并使用 root 权限执行任意命令。 此漏洞影响 Cisco DNA Center 软件 1.1.3 之前的版本。 CVE-2018-0268 该漏洞是 Cisco DNA Center 的容器管理子系统中的漏洞,可能允许未经身份验证的远程攻击者绕过身份验证并获得提升的权限。 该漏洞是由于 Cisco DNA Center 中 Kubernetes 容器管理子系统的默认配置不安全造成的,有权访问 Kubernetes 服务端口的攻击者可以在提供的容器中使用提升的特权执行命令。成功利用该漏洞可能会导致受影响的容器完全泄露。 此漏洞影响 Cisco DNA Center 软件 1.1.3 及更早版本。 CVE-2018-0271 该漏洞是 Cisco DNA Center 的 API 网关中的漏洞,可能允许未经身份验证的远程攻击者绕过身份验证并访问关键服务。 该漏洞是由于在服务请求之前无法正常化 URL。攻击者可以通过精心设计的 URL 来利用此漏洞。一次成功的攻击可能会使攻击者获得对关键服务的未经授权的访问,从而导致提升 DNA Center 特权。 此漏洞影响 Cisco DNA Center 软件 1.1.2 之前的版本。 详情请参考思科安全公告: <CVE-2018-0222> <CVE-2018-0268> <CVE-2018-0271> 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Signal 桌面应用程序新代码注入漏洞,窃取用户明文聊天记录

距离 Signal 桌面应用程序上一个代码注入漏洞(CVE-2018-10994)被披露不到一周的时间内,安全研究人员又发现了另一个严重的代码注入漏洞(CVE-2018-11101)。与之前的漏洞相似,新漏洞允许远程攻击者可以在无需任何用户交互的情况下,通过向接收者的 Signal 桌面应用程序发送消息来注入恶意代码,从而以明文形式窃取用户的 Signal 聊天记录。 两者漏洞之间的唯一区别在于前一个驻留在处理聊天中共享链接的函数中,而新漏洞则是存在于处理引用消息验证的不同函数中,即引用回复中的前一条消息。换句话说,若要利用 Signal 桌面应用程序的易受攻击版本上新补丁的错误,攻击者需要将恶意 HTML / JavaScript 代码作为消息发送给受害用户,然后使用任何随机文本对同一消息进行引用或者回复。如果受害者在其易受攻击的 Signal 桌面应用程序中接收到包含恶意 payload 的引用消息,那么它将自动执行 payload,而不需要任何用户交互。 除了聊天记录被窃取之外,研究人员在其博客中还指出,攻击者甚至可以使用 HTML iFrame 从远程 SMB 共享中包含文件,该文件可能被滥用来窃取 Windows 密码。 目前开发人员已针对 Windows、MacOS 以及 Linux 用户发布了 Signal 桌面版 1.11.0,建议可能会受到漏洞影响的用户尽快更新。 相关参考: 《新漏洞利用 PoC 》 《CVE-2018-10994》 消息来源:Thehackernews,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Red Hat Linux DHCP 客户端被曝远程命令注入漏洞

近日,Google 安全研究人员在Red Hat Linux 及其衍生工具(如 Fedora 操作系统) 的 DHCP 客户端(dhclient)软件包中发现了一个严重的远程命令注入漏洞 CVE-2018-1111,可能允许攻击者在目标系统上以 root 权限执行任意命令。目前红帽公司也于本周二发布安全公告确认该漏洞影响了“Red Hat Enterprise Linux 6 和 7”,并建议所有运行 dhclient 软件包受感染版本的客户尽快进行更新。 Google 安全小组的 Felix Wilhelm 发现漏洞驻留在 DHCP 客户端软件包中的 NetworkManager 集成脚本中,由于该脚本主要是用于为使用 DHCP 协议获取网络配置,当用户主机连接到网络后,它会发出 DHCP 请求来获取网络配置参数,例如 IP 地址和 DNS 服务器。而带有恶意 DHCP 服务器、或者连接到与受害者相同网络的攻击者则会通过伪造 DHCP 响应来利用该漏洞在目标系统上以 root 权限执行任意命令。 出于安全考虑,虽然用户可以选择删除或禁用易受攻击的脚本,但Red Hat表示这会阻止在本地系统上配置 DHCP 服务器提供的某些配置参数,例如本地 NTP 或 NIS 服务器的地址。 消息来源:Thehackernews,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型技术利用 UPnP 协议避免 DDoS 缓解方案

据外媒 15 日报道,美国知名网络安全公司 Imperva 于本周一发布报告称攻击者正在尝试使用 UPnP 协议来屏蔽 DDoS 泛洪期间发送的网络数据包源端口,从而避免一些 DDoS 缓解方案。 根据 Imperva 的说法,他们已在野外发现了至少两起采用该技术的 DDoS 攻击,并且也通过其内部 POC 成功测试了其中之一。该 PoC 代码通过搜索暴露其 rootDesc.xml 文件的路由器(其中包含端口映射配置),添加了隐藏源端口的自定义端口映射规则,随后发起了 DDoS 放大攻击。 Imperva 认为,使用 UPnP 隐藏源端口和在 DDoS 泛洪期间利用 DNS 和 NTP 协议,将会意味着该种新技术在攻击者选择使用的 DDoS 放大技术的类型方面是不可知的,并且很有可能随着时间的推移,这项技术将变得越来越流行。因此出于安全考虑,Imperva 建议路由器用户在非必需要情况下禁用 UPnP 支持。 Imperva 完整分析报告: 《New DDoS Attack Method Demands a Fresh Approach to Amplification Assault Mitigation》 消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

上百万台光纤路由器爆认证旁路漏洞,可被远程访问攻击

外媒近日消息,安全研究人员发现通过一个认证旁路漏洞能够远程访问超过一百万台光纤路由器。研究表明,该漏洞很容易通过修改浏览器地址栏中的 URL 来利用,可让任何人绕过路由器的登录页面和访问页面,只需在路由器的任何配置页面上的网址末尾添加 “?images /”,就能够完全访问路由器。由于设备诊断页面上的 ping 和 traceroute 命令以 “ root ” 级别运行,因此其他命令也可以在设备上远程运行。 这些路由器是将高速光纤互联网带入人们家庭的核心。根据周一发布的调查结果表明,该漏洞在用于光纤连接的路由器中发现。目前 Shodan 上列出了约 106 万个标记的路由器 ,其中一半易受攻击的路由器位于墨西哥的 Telmex 网络上,其余的则在哈萨克斯坦和越南被发现。 研究人员表示已经联系了建立路由器的韩国技术公司 Dasan Networks,但并没有立即收到回复。此外,他还联系了易受攻击设备数量最多的互联网提供商 Telmex,也没有任何回音。 发现该错误的匿名安全研究人员认为漏洞带来的损害远远大于受影响的路由器。因为由于该设备是一个路由器,这意味着它能控制着自己的网络,并且能够将整个网络(不仅仅是这个设备)作为僵尸网络。他补充道,路由器可能很容易被篡改,修改其 DNS 设置,以重定向用户访问恶意版本的网站,从而窃取用户的凭证。 最近的研究表明,路由器是黑客滥用的主要目标,因为它们是大多数网络的中心点。当受到攻击时,攻击者可以进一步立足于网络。路由器也是一个很容易利用的目标,它们可以轻易地被黑客攻击,被僵尸网络劫持,并且通过互联网流量入侵目标,将它们置于离线状态。这些分布式拒绝服务(DDoS)攻击可以在精确瞄准时摧毁大量网络。 例如本月早些时候,英国和美国当局都警告说,俄罗斯黑客正在使用受损的路由器为未来的攻击奠定基础。 研究人员表示,随着路由器安全性变得越来越好, DDoS 攻击只会越来越强大。 消息来源:ZDNet,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

用于崩溃多数最新 Windows 版本的 POC 代码已发布

近日,一名罗马尼亚硬件专家在 GitHub 上发布了能立即崩溃多数 Windows 版本的 POC 代码,即使计算机处于锁定状态也能在几秒钟内崩溃。据悉,该 PoC 利用了微软处理 NTFS 文件系统映像时存在的一个漏洞,该漏洞由 Bitdefender 公司的研究员 Marius Tivadar 发现。 NTFS 漏洞和 Windows autoplay 功能不完全兼容 该 POC 中包含了一个格式错误的 NTFS 映像,用户可以提取该映像并将其放在 U 盘中。当 Windows 计算机中插入了该U盘后,系统会在几秒内崩溃,导致死机蓝屏(BSOD)。 Tivadar 在详细说明该漏洞情况及其影响时指出,Windows autoplay 功能被默认激活。即使它被禁用,当文件被访问时,系统也会崩溃。例如,当 Windows Defender 扫描或使用其它工具打开 U 盘时就能够导致系统崩溃。 微软拒绝修复 其实 Tivadar 早在 2017 年 7 月就此问题与微软联系,但是微软拒绝将此问题归类为安全漏洞。微软降低了该漏洞的严重程度,因为他们认为利用漏洞需要物理访问或社交工程(指欺骗用户)。 不过 Tivadar 并不同意微软方面的解释。他指出,物理访问不一定是必需的,因为攻击者可以使用恶意软件远程部署 POC。 NTFS 漏洞也会导致锁定的 PC 崩溃 Tivadar 认为 NTFS 漏洞比微软认为的更危险,因为它也可以在 PC 锁定的情况下工作。Tivadar 表示操作系统不应该从插入端口的随机 U盘中读取数据。一般来说,当系统被锁定并且外部设备插入机器时,不应该加载驱动程序和执行代码。 完整 POC: 《 PoC for a NTFS crash that I discovered, in various Windows versions 》 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。