黑客利用思科智能安装漏洞,全球 20 万台路由器躺枪

据外媒报道,一个名为“ JHT ”的黑客组织在上周五利用 Cisco(思科) CVE-2018-0171 智能安装漏洞攻击了许多国家的网络基础设施,例如俄罗斯和伊朗等 。根据伊朗通信和信息技术部的说法,目前全球已超过 20 万台路由器受到了攻击影响,其中有 3500 台受影响设备位于伊朗。 在利用 CVE-2018-0171 攻击 Cisco 路由器后,路由器的配置文件 startup-config 被覆盖,路由器重新启动。这不仅导致了网络中断,并且路由器的启动配置文件也被更改成显示一条 “不要干扰我们的选举“的消息。 攻击者透露他们扫描了许多国家的易受攻击的系统,但只袭击了俄罗斯或伊朗的路由器,并且他们还声称通过发布 no vstack 命令来修复美国和英国路由器上任何被发现的漏洞 。 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

思科智能安装协议遭到滥用,数十万关键基础设施倍感压力

外媒 4 月 6 日消息,思科发布安全公告称其智能安装(SMI)协议遭到滥用,数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端(也称为集成分支客户端(IBC))的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备,在设备上加载新的 IOS 映像,以及在运行 Cisco IOS 和 IOS XE 软件的交换机上执行高权限 CLI 命令。 根据思科的说法,他们发现试图检测设备的互联网扫描量大幅增加,因为这些设备在完成安装后,其智能安装功能仍处于启用状态,并且没有适当的安全控制,以至于很可能容易让相关设备误用该功能。思科不认为这是 Cisco IOS,IOS XE 或智能安装功能本身中的漏洞,而是由于不要求通过设计进行身份验证的智能安装协议造成的。思科表示已经更新了“ 智能安装配置指南”,其中包含有关在客户基础设施中部署思科智能安装功能的最佳安全方案。 在 3 月底,思科修补了其 IOS 软件中的 30 多个漏洞,包括影响 Cisco IOS 软件和 Cisco IOS XE 软件智能安装功能的 CVE-2018-0171 漏洞。未经身份验证的远程攻击者可利用此漏洞重新加载易受攻击的设备或在受影响的设备上执行任意代码。 思科发布的安全公告显示该漏洞是由于分组数据验证不当造成的,攻击者可以通过向 TCP 端口 4786 上的受影响设备发送制作好的智能安装(SMI)协议来利用此漏洞。 目前专家已经确定了约 250,000 个具有 TCP 端口 4786 的易受攻击的思科设备。思科最近进行的一次扫描发现,有 168,000 个系统在线暴露。 思科安全公告: 《Cisco Smart Install Protocol Misuse》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

虚假杀毒软件窃取设备存储信息,竟是两种 Android RAT 变体

近日,EST 安全团队发布了一篇关于 Android 手机平台上虚假防病毒恶意软件的帖子。根据韩国媒体的报道,有人认为这些恶意软件可能与 123 组织( Group 123)之间存在某种关联。在深入研究这种关联中,Talos 结合其调查报告以及 123 组织的历史背景,确定了 Android 远程管理工具(RAT)的两种变体: KevDroid 和 PubNubRAT。这两种变体具有相同的功能 , 即窃取受感染设备上的信息(如联系人、短信和电话历史记录),并记录受害用户的电话。除此之外,两种变体的数据也都是使用 HTTP POST 发送到唯一的命令和控制(C2)服务器上的。 其中一种变体 KevDroid 使用了已知的 Android 漏洞(CVE-2015-3636),以便在受损的 Android 设备上获得 root 访问权限。 而 PubNubRAT(以 Windows 为目标)则是被确认托管在 KevDroid 使用的命令和控制服务器上。该恶意软件专门使用 PubNub 平台作为它的 C2 服务器。PubNub 是一个全球数据流网络(DSN), 攻击者可以使用 PubNub API 向被攻击的系统发布命令。 Talos 表示他们目前只是大致识别了一些无法可靠确定真正联系的策略、技术和程序要素,还不能够确定这些变体与 123 组织之间的具体关联。 Talos 完整分析报告: 《 Fake AV Investigation Unearths KevDroid, New Android Malware 》 消息来源:talosintelligence,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

菲律宾央行就「黑客攻击马来西亚央行 SWIFT 系统」一案向当地金融机构预警

据外媒报道,在上周二黑客攻击马来西亚央行的 SWIFT 服务器后,菲律宾中央银行向当地金融机构发出警告。马来西亚央行证实,黑客通过 SWIFT 银行结算系统向目标银行发送欺诈性电汇请求,以诱骗其进行转账行为。不过据称黑客的窃取行为并没有成功,因为此次网络攻击事件没有导致任何资金流失。 尽管目前还不清楚黑客是如何访问马来西亚央行的 SWIFT 服务器的,也没有调查出黑客的具体身份。但负责监管该国 45 家商业银行的马来西亚央行表示不会因为受到网络攻击而中断其他支付和结算系统。除此之外,马来西亚央行在一份声明中称已采取了额外的安全措施来保护其利益相关者。他们通过与其他中央银行、 SWIFT 平台、以及金融机构的强有力合作,迅速采取行动阻止所有未经授权的交易。 这是继 2016 年孟加拉国央行被窃取 8100 万美元后,国家中央银行遭受黑客攻击的第二起案件。 2016 年,菲律宾央行也卷入了孟加拉银行的网络抢劫事件中。黑客从孟加拉国中央银行窃取 8100 万美元后,将钱转入了位于菲律宾马尼拉的 Rizal Commercial Banking Corp(RCBC)的多个账户中,然后用这些资金进入当地的赌场业。在此次事件中,菲律宾央行因未能防止欺诈性转移货币而被罚款 2000 万美元。 孟加拉银行副行长 Razee Hassan 认为马来西亚央行的网络攻击事件显示出 SWIFT 平台依然脆弱,因为在 SWIFT 采取了几项在全球范围内保护系统的措施后还出现了这种情况,这意味着犯罪分子可能拥有更充足的能力以及更强大的网络武器,所以对于目前来说进一步改善全球金融转移体系变得尤为重要。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

快讯 | 数以万计 Django 应用程序因配置错误泄露密码等敏感信息

近日,安全研究员 FábioCastro 发现 28,165 个配置错误的 Django 应用程序暴露敏感信息,其中包括密码,API 密钥以及 AWS 访问令牌。FábioCastro 称这是由于 Django 开发人员忘记禁用调试模式导致的,黑客可以使用这些泄露的数据来获得系统的完全控制权。 Django 是一个非常流行的高级 Python Web 框架,它可以快速开发基于 Python 的 Web 应用程序。不过 Castro 在一个小项目上使用 Django 框架时却发现其配置是错误的,出于安全考虑他建议将应用程序部署到生产时禁用调试模式。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型 Android 恶意软件 HiddenMiner 开启「毁机」挖矿模式,危害中印两国手机用户

趋势科技在本周三表示发现了一种新的 Android 挖矿恶意软件 HiddenMiner,它可以暗中使用受感染设备的CPU 计算能力来窃取 Monero。HiddenMiner 的自我保护和持久性机制让它隐藏在用户设备上滥用设备管理员功能 (通常在 SLocker Android 勒索软件中看到的技术)。另外,由于 HiddenMiner 的挖矿代码中没有设置开关、控制器或优化器,这意味着一旦它开始执行挖矿进程,便会一直持续下去,直到设备电量耗尽为止。鉴于 HiddenMiner 的这种特性,这意味着它很可能会持续挖掘 Monero,直到设备资源耗尽。根据研究人员的说法,HiddenMiner 是在第三方应用商店发现的,大部分受害用户都位于中国和印度。 HiddenMiner 的持续挖矿与导致设备电池膨胀的Android 恶意软件 Loapi 类似,不仅如此,HiddenMiner 还使用了类似于撤销设备管理权限后 Loapi 锁定屏幕的技术。 研究人员通过进一步钻研 HiddenMiner,发现 Monero 矿池和钱包与恶意软件连接,并获悉其中一家运营商从钱包中提取了 26 XMR(截至 2018 年 3 月26 日价值为 5,360 美元)。 图 1 一个 Monero 钱包地址状态的屏幕截图 感染链与技术分析 HiddenMiner 伪装成了合法的 Google Play 商店应用更新程序,使用了与 Google Play 商店相同的图标。HiddenMiner 随着 com.google.android.provider 弹出,并要求用户以设备管理员身份激活它。一旦获得许可,HiddenMiner 将在后台开始挖掘 Monero。 图 2 恶意应用程序的屏幕要求用户以设备管理员身份激活它 HiddenMiner 使用多种技术将自己隐藏在设备中,例如清空应用程序标签并在安装后使用透明图标。一旦受害者以设备管理员身份将其激活,它将通过调用 “ setComponentEnableSetting()”从应用程序启动器隐藏自己。需要注意的是,恶意软件会自行隐藏并自动以设备管理员权限运行,直到下一次设备引导。 DoubleHidden Android 的广告也采用了类似的技术。 图 3 安装后的空应用程序标签和透明图标(左),然后一旦授予设备管理权限就会消失(右) 除此之外,HiddenMiner 还具有反仿真功能,可绕过检测和自动分析。它会通过滥用 Github 上的 Android 模拟器检测器来检查自身是否在模拟器上运行。 图 4 代码片段显示了 HiddenMiner 如何绕过沙箱检测和 Android 模拟器 图 5 代码片段显示了 HiddenMiner 如何挖掘 Monero 在 HiddenMiner 的案例中,受害用户无法将 HiddenMiner 从设备管理员中删除,因为当用户想要停用其设备管理员权限时,恶意软件会利用技巧来锁定设备的屏幕。因为它利用了 Android 操作系统中发现的缺陷(不包括 Nougat 「Android 7.0」和更高版本的设备,因为 Google 通过减少设备管理员应用程序的权限解决了这一问题。) 的确,HiddenMiner 是网络犯罪分子如何驾驭加密货币挖掘浪潮的又一例证。对于用户和企业而言,提高网络安全意识刻不容缓:仅从官方应用市场下载 APP 、定期更新操作系统以及授予应用程序权限时更加谨慎 等都能在一定程度上减小感染恶意软件的几率。 原文报告及解决方案: 《Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure》 消息来源:Trendmicro,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

罗克韦尔 Allen Bradley MicroLogix 1400 系列工控设备曝多项严重漏洞

罗克韦尔自动化公司的 Allen-Bradley MicroLogix 1400 可编程逻辑控制器( PLCs )被用于各种不同的工业控制系统(ICS)的应用和流程,这些 PLCs 设备为不同的关键基础设施部门执行关键过程控制功能提供了一定支撑。 但近日, Cisco Talos 却在 PLCs 中发现了一些安全漏洞,可以被用来修改设备配置和梯形逻辑、将修改后的程序数据写入到设备的内存模块、从设备的内存模块中删除程序数据、以及对受影响的设备进行拒绝服务攻击等。根据工业控制过程中受影响的 PLCs 来看,漏洞可能还会导致更严重的损害。 Allen-Bradley MicroLogix 1400 B 系列漏洞详情: 以太网卡格式错误的数据包拒绝服务漏洞(TALOS-2017-0440 / CVE-2017-12088) 该漏洞允许未经身份验证的攻击者发送特制数据包,从而使受影响的设备进入电源循环并进入故障状态,这种情况会导致先前存储在设备上的梯形逻辑被删除。需要注意的是,这个漏洞不是通过以太网/ IP 协议来利用的,因此使用 RSLogix 来禁用以太网/ IP 不会提供有效的缓解。 梯形图逻辑程序下载设备故障拒绝服务漏洞(TALOS-2017-0441 / CVE-2017-12089) 该漏洞允许未经身份验证的攻击者发送导致拒绝服务条件的特制数据包。该漏洞位于受影响设备的程序下载功能中,允许攻击者通过发送“ 执行命令列表 ”(CMD 0x0F,FNC 0x88)数据包而不使用“下载完成”( CMD 0x0F, FNC 0x52 )来强制设备进入故障状态( CMD 0x0F,FNC 0x52)。当出现这种情况时,设备会将此作为故障状态处理,进入非用户故障模式,从而导致设备停止正常操作并删除任何存储的逻辑。 SNMP 集处理不正确的行为顺序拒绝服务漏洞(TALOS-2017-0442 / CVE-2017-12090) 该漏洞与固件更新期间设备处理“ snmp-set ”命令的方式有关,可能会允许经过身份验证的攻击者在受影响的设备上发生拒绝服务条件。通过发送特制的’snmp-set’命令而不是发送通常与在固件更新过程中最终命令关联的后续’snmp-set’命令,攻击者可以迫使该设备在重新启动过程中无法使用。 未经身份验证的数据/程序/功能文件访问控制漏洞不正确(TALOS-2017-0443 / CVE-2017-14462 – CVE-2017-14473) 该漏洞与受影响设备上的文件访问控制不当有关。该漏洞允许未经身份验证的攻击者对存储在设备上的文件执行读取和写入操作,这可以用于从受影响的设备中检索敏感信息(包括设备主密码)、修改设备设置或梯形图逻辑、或导致设备进入导致拒绝服务条件的故障状态。 内存模块存储程序文件写入漏洞(TALOS-2017-0444 / CVE-2017-12092) 该漏洞允许未经身份验证的远程攻击者将在线程序写入受影响设备上已安装的内存模块。攻击者可以使用它来存储程序修改,直到设备重新启动后才能生效。随后,攻击者可以将新存储的程序与“加载内存模块的内存错误”设置结合使用来修改系统设置,从而导致启用的服务发生更改。 PLC 会话通信资源池拒绝服务漏洞不足(TALOS-2017-0445 / CVE-2017-12093) 该漏洞存在于受影响设备的会话连接功能中,默认情况下,这些设备最多支持 10 个同时连接。一旦达到最大值,设备将终止最早的连接,以在连接池中为新连接腾出空间。未经身份验证的攻击者可以在一段时间内发送多个“ Register Session ”数据包,以强制终止合法连接,并阻止对受影响设备建立额外的合法连接。 Cisco Talos 经过测试已经确认以下版本受到漏洞影响: Allen-Bradley Micrologix 1400 B系列FRN 21.003 Allen-Bradley Micrologix 1400 B系列FRN 21.002 Allen-Bradley Micrologix 1400 B系列FRN 21.0 Allen-Bradley Micrologix 1400 B系列FRN 15 由于这些设备通常用于支持关键的工业控制过程,因此建议将受影响设备升级到最新版本的固件,以便不再受到这些漏洞的影响。 消息来源:Cisco Talos,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

波音遭遇勒索软件攻击, WannaCry 成为最大怀疑对象

据西雅图时报报道,波音公司于本周三遭遇了勒索软件攻击(疑似“ WannaCry ”), 其商用飞机制造总工程师 Mike VanderWel 警告称,该勒索软件正在从波音公司南卡罗来纳州北查尔斯顿的工厂扩散出去,并且可能已经导致 777 的翼梁自动装配工具产线瘫痪。VanderWel 担忧 恶意软件可能不仅会感染用于飞机功能测试的设备,也可能扩展到“飞机软件”中。 但随后波音在 Twitter 上发表声明说,媒体的报道与真实情况具有一定差距,因为根据波音网络安全运营中心的检测,恶意软件的入侵仅影响到少数系统,并且安全人员也已经采取了补救措施。 虽然 WannaCry 偶尔还是会被发现试图传播,但大多数情况下,安全研究人员已经能够有效地拦截这个勒索软件。这就是为什么一年之后,所有发布的补丁程序和 AV 软件都能检测到它。 目前,波音公司遭受的勒索软件还没有被 100% 确认为 WannaCry,安全人员猜测它也有可能只是 WannaCry 的模仿版。 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

研究报告称中东石油和天然气行业的网络安全发展滞后

外媒 3 月 27 日消息,根据西门子和 Ponemon 研究发现,在过去的 12 个月中,近 3/4 的中东石油和天然气工业组织经历了安全危害,导致其机密数据或操作技术( OT )中断。研究报告指出,中东所有网络攻击中石油和天然气行业占据了一半的比例。鉴于中东地区经济的重要性,这些行业面临的风险更加紧迫。 OT 研究包括监控以及控制物理设备和工业过程的系统,它与 IT 网络的联系日益紧密。然而,也因如此 IT / OT 融合正在为网络攻击开辟新的途径。 在调查的受访者中,大多数 ( 60% )认为其组织在 OT 中面临的风险比 IT 环境要大。因为研究显示,中东地区 30% 的攻击目标都是针对 OT。而内部人士被发现是 OT 安全威胁的主要来源,例如某种程度上一些粗心大意的人士比恶意行为者更具威胁性。 报告指出,目前这些组织已经开始采取关键措施,以抵御越来越普遍的网络攻击,其中包括建立专门的 OT 安全团队,与 OT 安全专家合作,利用安全分析以及引入尖端的监控工具。 不过有趣的是,他们的 OT 网络防御的预算并没有与“威胁”同步:研究发现中东的石油和天然气组织只花费其网络安全预算的三分之一来强化 OT 环境,他们的网络安全预算总额,包括 IT 和 OT ,都低于全球同行。 以下为中东地区石油和天然气组织遭受的攻击事件: 2012 年,世界上最大的石油公司沙特石油公司在感染了 3.5 万台电脑的病毒之后遭受重大破坏。 阿拉伯海湾石油和天然气部门因袭击事件仅在去年财务损失就达到了 10 亿欧元。 2017 年 8 月,攻击者利用 OT 特定的恶意软件 Trisis 或 Triton 来攻击沙特阿拉伯一家石油和天然气工厂的安全系统,导致其设施停止运营。 消息来源:welivesecurity,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

监控界神秘巨星「 Gray Heron 」:专为各国执法部门提供高级间谍产品,幕后掌控疑涉沙特政府

据外媒报道,一家名为 Grey Heron 的神秘监控公司正在宣传其间谍软件,声称能够监视 Signal 和 Telegram 通信。根据 Motherboard 进行的一项调查显示,该公司与意大利监控公司 Hacking Team 应该具有某种联系,因为背后有与沙特政府相关的投资者支撑,目前 Hacking Team 仍在继续售卖其间谍软件。 监视软件的开发和销售是一项有利可图的业务,许多政府机构都将间谍软件用于不同的目的。因此为了更加清楚地掌握 Grey Heron 与这些机构间的关系 ,Motherboard 展开了深入调查。 Motherboard 从一份 Grey Heron 的宣传册获知,Grey Herond 的使命是为执法部门提供有力工具来平衡犯罪分子的能力。这本宣传册包含了一张 Eric Rabe 的名片、Grey Heron 的营销和沟通方式。 Grey Heron 背后势力 值得注意的是,Rabe 是意大利监控公司 Hacking Team 的长期发言人。Hacking Team 是一家向其他国家政府(例如苏丹、埃塞俄比亚、沙特阿拉伯和巴林等)出售间谍产品的监控公司。 根据 Motherboard 调查,目前Hacking Team 黑客团队仍然活跃,这在一定程度上要归功于一个与沙特政府有关联的投资者。 Private Eye 在最近的一份报告中也透露了 Grey Heron 总部设在米兰,并简要地提及了 Grey Heron 与 Rabe 的关系。除此之外,Private Eye 还认为 Grey Heron  可能与英国另一家同名公司(该公司由一位前英国军官管理)具有一些联系。   Gray Heron 间谍能力 在宣传册中,Gray Heron 承诺解决与其他恶意软件供应商指出的相同问题,比如易于使用的加密技术激增。那么为了应对这些问题, Gray Heron 要如何部署其间谍软件呢? 一般情况下,Gray Heron 是采用了多种不同的方式来部署,其中包括通过漏洞远程利用或社交工程攻击来欺骗目标对象下载软件。该公司为 Android 和 iOS 设备以及 OS X 和 Windows 计算机提供功能。 Gray Heron 可以收集来自 Signal 和 Telegram 的数据。虽然如何从 Signal 中提取信息还尚不清楚,但是在营销材料中特别提及 Signal 的恶意软件公司并不常见。除此之外,Grey Heron 还透露他们将 Skype 和加密电子邮件作为目标对象。 Gray Heron 对欧洲和北美市场都非常感兴趣,并且 Gray Heron 已私下证实,意大利政府已经允许其在整个欧盟范围内出口其产品。 Motherboard 记者发布的分析文章: 《 Government Malware Company ‘Grey Heron’ Advertises Signal, Telegram Spyware 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。