预警 | Android 高危漏洞可被绕过签名验证机制、注入恶意代码替换合法 APP

据外媒报道,谷歌上周修补了四十多个安全漏洞,其中一个高危漏洞允许黑客绕过签名验证机制向 Android 应用程序注入恶意代码,以便恶意版本能够覆盖智能手机上的合法应用程序。目前,有数以百万计的 Android 设备面临着漏洞造成的严重风险。 这个被称为 Janus 的漏洞由 GuardSquare 公司首席技术官 Eric Lafortune 在今年夏季发现,他于 7 月份向谷歌报告了这个漏洞 ( cve -2017- 13156 ),谷歌 12 月初发布的 Android 安全公告中显示,该漏洞在上周四已被修补。 Android Janus 漏洞工作方式 研究显示,这个漏洞驻留在 Android 系统为一些应用程序处理 APK 安装的方式中,使得开发者可在 APK 文件中添加额外的字节代码而不影响应用程序的签名。通过研究发现,由于缺少文件完整性检查,这种添加额外字节的代码的情况将允许黑客以 DEX 格式编译的恶意代码添加到包含具备有效签名的合法 APK 中,以便在目标设备上执行恶意代码而不被发现,便于欺骗程序安装过程。换句话说,黑客并不需要修改合法应用程序本身的代码(使签名无效),而是利用这个漏洞向原始应用程序添加一些额外的恶意代码行即可。 当用户下载应用程序的更新时,Android 会在运行时将其签名与原始版本的签名进行比较。如果签名匹配,Android 系统将继续安装更新程序,更新后的应用程序继承原始应用程序的权限。因此,一旦安装了受感染的应用程序,黑客将拥有与原应用程序相同的系统权限。这意味着黑客可能窃取银行证书、读取消息或进一步感染目标设备。 攻击场景 黑客可以使用各种媒介(如垃圾邮件、提供虚假应用程序和更新的第三方应用程序商店、社会工程,甚至是中间人攻击)传播包含恶意代码的“合法的应用程序”。GuardSquare 公司表示,从银行应用程序、游戏到 Google 地图等都可能成为 Janus 漏洞利用者的目标。此外,从第三方应用程序商店下载的 Android APKs,比如社交媒体或者系统应用程序等也可能成为攻击目标。 修补方式 虽然目前谷歌已经修补了 Janus 漏洞,但在设备制造商(OEM)为其发布自定义更新之前,大多数 Android 用户的系统漏洞都将无法获得修复,显然大量智能手机用户还是很容易受到黑客的攻击。 GuardSquare 称,受影响的是运行比 Nougat(7.0)更早的 Android 操作系统版本以及任何支持 APK 签名方案 v1 的   Android 设备。由于此漏洞不会影响支持 APK 签名方案版本 2 的 Android 7( Nougat )和最新版本,因此强烈建议运行较旧 Android 版本的用户升级其设备操作系统。但如果你的设备制造商既没有提供安全补丁,也没有最新的  Android 版本,那么你就应该时刻保持警惕,尽量不要在谷歌的 Play Store 之外安装应用程序和更新,以最大限度地降低被黑客攻击的风险。 此外,GuardSquare 还建议,为了安全起见 Android 开发人员需要应用签名方案 v2,以确保他们的应用程序不能被篡改。 消息来源:thehackernews、threatpost,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。      

投资者当心!黑客伪造比特币交易工具投放 Orcus RAT 木马

近年来比特币价格呈现爆发式增长,价格已逾黄金 10 倍,估值甚至超过部分国家货币,仅上周时间价格上涨一度超过 60%。如此疯狂的涨幅自然少不了被黑客组织所关注,近日安全研究人员发现,有黑客通过投放关于“ Gunbot 比特币交易机器人”的虚假广告来传播 Orcus 远程访问木马(RAT),其目的就在于窃取用户比特币。同时该木马背后的开发者还部署了一个虚假比特币论坛 bitcointalk[.]org 进行钓鱼活动。 来自 FortiGuards  实验室的研究人员发现了针对热心的比特币投资者的网络钓鱼活动,有黑客组织通过发送广告邮件宣传可为用户提供由 GuntherLab 或  Gunthy 开发的新的合法比特币交易机器人 Gunbot,可帮助监测不同交易平台之间的价格差异。若出现盈利的机会,软件将会根据用户此前的设定在平台之间自动买卖比特币。 研究人员表示,垃圾邮件中所提供的比特币交易机器人 Gunbot 实际上是为恶意软件Orcus RAT服务的,它并不带来相关利润反而会导致投资者遭遇更多损失。 这个带有虚假广告的钓鱼电子邮件实际上带有一个名为 “ sourcode.vbs ” 的 zip 文件附件,其中包含一个简单的 VB 脚本。当用户触发脚本时会下载一个伪装成 JPEG 图像、但实际上是 PE 二进制的文件。 “乍一看,下载的可执行文件似乎是一个良性的库存系统工具,包含很多对 SQL 命令的库存程序的引用。然而,通过进一步的分析,我们发现它是实际一个开源库存系统工具的木马化版本—— TTJ 库存系统”。研究人员表示这些黑客组织可能缺乏相关行业经验,只是使用了在别处购买的网络钓鱼组件,又或者是对方并不在意钓鱼行为被检测到,只要有用户触发了 VB脚本他们便能够得逞。 据脚本的评论表明,网络钓鱼背后的黑客无意隐瞒其行为 自 2016 年以来,恶意软件 Orcus 的开发人员一直在将其作为远程管理工具进行广告宣传,因为它具有 RAT 软件能够提供的所有功能,并且它还加载用户开发的定制插件或者Orcus 仓库中提供的插件。而Orcus 仓库中的某些插件可用于执行分布式拒绝服务(DDoS)攻击。就像其他远程访问木马一样,Orcus还具有密码检索和关键日志功能,可以窃取受害者在其设备上输入的所有内容,并且还可以实时远程执行被感染机器上的任意代码。另外,它还可以在网络摄像头上禁用指示灯,以避免提醒用户他们的网络摄像头处于活动状态,如果用户试图关闭进程则会触发系统蓝屏(BSOD),这也使得用户难以将其从系统中移除。 调查显示,该木马背后的开发商部署了一套虚假比特币论坛 bitcointalk[.]org,通过冒充 Gunbot 工具来下载恶意软件。这一伪造的比特币交易工具包含一个类似的 trojanised “ 库存系统 ” 和一个 VB 脚本。Fortinet 的研究人员猜测这个设置的小变化将会被用在另一个钓鱼活动中。 研究人员指出,该域名似乎已经注册到了 “ Cobainin Enterprises ”,并且还有其他可疑的域名注册。他们怀疑黑客在他们的恶意软件活动之间循环使用这些网站。在对 Orcus RAT 的调查中,研究人员表示 RAT 的行为实际已经超出了无害管理工具的范围,无论开发者如何辩解,这些应用程序被用于网络犯罪活动都已成事实。 相关阅读: 来自 Fortinet 的分析报告《A Peculiar Case of Orcus RAT Targeting Bitcoin Investors》 消息来源:IBTimes,编译:榆榆,审校 :FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Process Doppelgänging 新型攻击技术 Bypass 多款主流杀软

12 月 8 日在 BlackHat 2017 欧洲(伦敦)会场上,来自 Ensilo 的安全研究人员介绍了一种名为 Process Doppelgänging 的新型代码注入技术,能够成功绕过多数杀毒软件和安全软件,从 Windows Vista 到最新版本的 Windows 10,几乎所有 Windows 版本中都可以运行 Process Doppelgänging 技术。 Bypass 多数杀毒软件 研究人员进行的测试结果显示,Process Doppelgänging 技术能够成功 Bypass 多家杀毒软件,如 Windows defender、AVG、卡巴斯基、Avast、360、McAfee 等。同时,研究人员表示使用 Process Doppelgaynging 技术运行著名的密码窃取实用程序 Mimikatz 也都没有被检测出,也说明该技术能够规避大多数防病毒软件的检测。 新型无文件攻击手法 据演讲者介绍,该技术是一种无文件的代码注入方法,利用了一个内置的 Windows 函数和一个未经注册的 Windows 进程加载程序实现攻击。研究显示,Process Doppelgienging 与另一种称为 Process Hollowing 的技术相似,但后者依赖于 Windows NTFS 事务处理机制,攻击者可以借助 Process Hollowing 技术,在内存中使用恶意代码代替合法进程,从而规避安全软件。目前所有的现代安全软件都能够检测到 Process Hollowing 技术的攻击,然而 Process Doppelgienging 利用的是 Windows NTFS 事务处理机制以及一种为 Windows XP 设计的老式 Windows 进程加载器进行攻击,能够成功避开多数防病毒软件检测。 来自 Ensilo 的安全研究人员 Tal Liberman 和 Eugene Kogan在会场上演示了这一过程。他们将 Process Doppelgänging 无文件攻击分为四个步骤: 1、处理 -将一个合法的可执行文件转换为 NTFS 事务,然后用恶意文件覆盖它。 2、加载 -从修改的(恶意)文件中创建一个内存段。 3、回滚-回滚事务(故意使事务失败),从而导致合法可执行程序的所有更改以一种从未存在的方式被删除。 4、推动 – 使用旧的 Windows 进程加载器来创建一个具有先前的内存段的进程(在第 2 步中),这实际上是恶意的,从来没有保存到磁盘,这将使它在大多数记录工具如现代的 EDRs 中不可见。 安全专家表示,该技术旨在允许恶意软件在目标机器上的合法进程中运行任意代码(包括已知的恶意代码),虽然非常类似于 Process Hollowing,但带有新颖的转变。Process Doppelgänging 的挑战是不使用类似 SuspendProcess、NtUnmapViewOfSection 这样的可疑进程和内存操作。 为完成挑战,安全研究人员利用了 NTFS  Transaction,并在事务的上下文中覆盖了一个合法的文件。随之,从修改后的文件( 事务的上下文 )中定义了一个部分并从中创建了一个进程。此外,研究人员发现,在事务中扫描文件是他们迄今为止检查的供应商不可能做到的,而且由于回滚事务,活动并没有留下任何痕迹。 NTFS Transaction 是 Windows 的一个特性,用于将事务整合到 NTFS 文件系统中,使应用程序开发人员更容易处理错误并保持数据完整性,还可以管理文件和目录。并且 NTFS Transaction 也是一个独立的空间,允许 Windows 应用程序开发人员编写文件输出例程,而这些例程的结果可以重构为失败或成功的状态。 几乎 “秒杀”  所有 Windows 版本 研究人员Liberman 表示,Process Doppelgienging 技术即使在最新版本的 Windows 10 上也能够运行,除了今年早些时候发布的 Windows 10 Redstone 和 Fall Creators Update 之外,因为在这些后来的版本中,Process Doppelgienging 攻击触发了蓝屏死机( BSOD )。幸运的是,由于需要知道关于进程创建时大量无事实证明的细节,所以在处理 Process Doppelgänging 攻击方面具有技术挑战性。然而坏消息是,因为利用了 Windows 系统的基本特性和过程加载机制的核心设计,所以攻击并不能修补。 更多阅读:BlackHat Europe 2017 ( 12 月 6 日– 7 日简报) 消息来源:Security Affairs,编译:榆榆,译审:青楚、FOX,终审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

入侵 HBO 黑客或与伊朗网络间谍组织 Charming Kitten APT 有关

ClearSky 发布的一份最新报告称,美国当局指控一名侵入 HBO(有线电视网络媒体公司)系统的男子与伊朗网络间谍组织 Charming Kitten 有关。 上个月,美国指控伊朗电脑专家 Behzad Mesri 侵入 HBO 系统并窃取《权力游戏》的剧本和剧情摘要。该名男子威胁称如果 HBO 不支付 600 万美元的比特币赎金,他将会泄露所有数据。据美国司法部透露,黑客 Mesri 是伊朗黑客组织 Turk Black Hat 成员,该组织主要针对美国和世界各地的数百个网站的网络攻击,Mesri 也曾代表伊朗军方进行网络攻击,其攻击目标是军事系统、核软件系统和以色列的基础设施。 专家们通过“跟踪” Turk Black Hat 黑客组织中的另一名成员 ArYaIeIrAN 后将黑客 Mesri 和 Charming Kitten 组织关联起来,因为与 Mesri 相关的电子邮件地址被 Charming Kitten 用来注册域名。并且,同样的电子邮件地址也在名为 MahanServer 的伊朗托管公司注册了一个域名,同时托管了 Charming Kitten 的基础设施。 此次事件中还有一个关键人物 Mohammad Rasoul Akbari, 他是伊朗托管公司 MahanServer 唯一的员工,也是 Mesri 的 Facebook 朋友。由此可见, Mesri 和 ArYaIeIrAn 是通过 Mahanserver、 Akbari 为 Charming Kitten 提供基础设施。 相关阅读: clearskysec 发布的关于黑客组织 Charming Kitten 的调查报告 消息来源:Security Affairs,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

间谍软件日志暴露了埃塞俄比亚一场国家级监控阴谋?

据外媒 11 月 6 日报道,埃塞俄比亚政府近日被发现购买了以色列 Cyberbit 公司的间谍软件用于监视居住在国内外持不同政见的人群。但因政府执行人员在配置 C&C 服务器时出现严重问题导致一份间谍软件的日志文件泄露,从而暴露了埃塞俄比亚政府的监视活动及所有监控目标。 调查显示,这个秘密监视行动似乎从去年开始,由包含各种网站链接的鱼叉式网络钓鱼邮件组成。在 2016 年和 2017 年,加拿大、美国、德国、挪威、英国和其他许多国家的人们陆续收到可疑邮件,而这并非普通的垃圾邮件,这些邮件主要通过恶意链接引诱用户下载一个虚假的 Adobe Flash Player 更新或者一个名为 Adobe PdfWriter 的应用程序查看视频或 PDF 文件。如果点击,那么他们的互联网连接就会被劫持并偷偷地重定向至目标服务器,这些服务器装有 Cyberbit 公司设计的监控软件,而购买了 Cyberbit 公司监控软件的机构能够监视目标在设备上的一举一动,还可以远程激活摄像头和麦克风。 这些攻击中使用的恶意软件是一个名为 PC Surveillance System ( PSS ) 的 Windows 程序,由 Cyberbit 出售,并且 Cyberbit 有意将 PSS 作为合法的监控软件销售给全球的情报与执法机构。据悉,Cyberbit 是 Elbit Systems 的子公司,目前还有其他三家“安全”公司加入了 Elbit Systems,分别是 HackingTeam(产品:RCS – 远程控制系统),Gamma 集团(产品:FinSpy)和 NSO 集团(多个产品),这些公司的产品都是作为专制政权的首选网络工具。 然而当地政府在发起鱼叉式钓鱼活动中犯了严重错误,一些收件人把可疑邮件转发给了加拿大公民实验室( Citizen Lab) 。而在此次事件中,埃塞俄比亚政府特工犯的最大错误在于对参与调查的 Citizen Lab 研究人员产生矛盾和进行攻击,这使得 Citizen Lab 团队对这些攻击更感兴趣,由此深入调查最终发现,假冒 Flash Player 和 PdfWriter 应用程序的恶意软件正在与一个在线暴露了 web 文件夹的 C&C 服务器进行通信。 在这些网络文件夹中,Citizen Lab 团队发现了他们需要了解的一切,包括含有攻击者 IP 地址的日志,以及埃塞俄比亚政府试图感染和监视的详细目标。值得注意的是,通过分析网络间谍活动的指挥和控制服务器,Citizen Lab 团队还监控到 Cyberbit 员工在感染笔记本电脑的情况下访问这些服务器,显然是向潜在客户展示 Cyberbit 的产品。据统计,Cyberbit 的这些客户包括泰国皇家军队、乌兹别克斯坦国家安全局、赞比亚金融情报中心和菲律宾总统马拉坎南宫。 Citizen Lab 团队发现,埃塞俄比亚政府使用的监控软件不仅影响了当地用户,还感染了许多生活在埃塞俄比亚的侨民 。对此 Citizen Lab 团队发布紧急通知提醒包括记者、活动人士和参与最近在埃塞俄比亚奥罗米亚地区发生的抗议活动的持有不同政见的人群,以及来自邻国厄立特里亚的政府官员提高警惕。 当然,这些公司坚持他们出售给政府的间谍软件是专门用来打击和调查犯罪人群的。 但问题是,通常情况下记者、学者或非政府组织试图揭露某些政府行为时,很容易会被贴上罪犯或恐怖分子的标签。且据研究表明,即使这些人群居住在国外,也很容易受到国家监视。据 Citizen Lab 研究人员称,这并非埃塞俄比亚政府第一次购买监控软件,埃塞俄比亚国家官员是 HackingTeam 和 Gamma 集团的忠实客户,在过去几年都部署了他们的产品。此外,在 Citizen Lab 调查人员的接触下,Cyberbit 管理层试图推脱了所有责任,并对外声称他们只是一个供应商,只向政府机关和执法机构提供 PSS,负责确保他们合法授权使用产品,并不实际操作任何产品。 研究人员表示,商业间谍软件行业已成为当今最危险的网络安全问题之一,也正是因为有像 Cyberbit 这样对客户实际行为视而不见、纵容间谍软件滥用导致严重后果的“安全公司”。想要解决这个问题的话需要司法机构、以及政府、民间社会和私营部门的共同努力。如果国际社会不迅速采取行动,那么将会有越来越多的记者、维权人士、律师甚至连一些国家本身的权利都不能受到保障。 相关阅读: 完整的公民实验室(Citizen Lab )分析报告可在这里找到。 消息来源:Bleeping Computer,编译:榆榆,校对:青楚、FOX,终审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

July Systems 公司 “Proximity MX” 平台因 AWS S3 存储器配置不当致敏感数据泄露

据外媒报道,总部位于旧金山的 July Systems 公司在网上暴露了大量敏感数据,该公司基于云智能定位和参与平台 “ Proximity MX ” 通过不安全的 Amazon S3 数据库公开了公司及其客户的专有信息。相关安全人员表示,极有可能是因为人为因素而造成了此次暴露事件。 相关人士透露,July Systems 的 Proximity MX 平台连接个人的数字足迹 – 特别是跟踪消费者的消费行为。该平台允许公司的客户与消费者进行相关的优惠和促销,并将数据记录到系统中”。据悉,该平台使用者还包括 CNN,ESPN,Intel,Toys “ R ” Us,CBS,Fox 和 NBC Universal 等全球知名媒体公司。 经过调查,在过去的一年中,配置不当的 S3 存储器造成的多次大规模泄漏事件已经暴露了来自各个组织的大量数据。最近, 美国陆军和国家安全局的数据也被暴露。而此次 July Systems 泄露的数据包括 iPhone 和 Android 应用程序的安全凭证,存储库凭据(可能允许任何人访问敏感的客户端数据或跟踪数据),内部构建和各种客户端的开发工具(比如 NFL, CBS,Amex,NBA,FOX,PGA 等)。此外,还暴露了诸如 “ Katy Perry,NFL , NBA ” 等品牌的档案信息和印度 Unilever 管理者的 1000 个用户名和密码。 11月 20 日,Kromtech 安全研究员 Bob Diachenko 发现了 3 个泄露的 S3 存储器 (两个与 July Systems 相关的存储器,另一个则与 Cisco 相关 ),并且发现数据库一直在实时更新。Diachenko 解释说,这三个存储器都是一个名为 EMSP 的生态系统的一部分,它可以利用 WiFi 网络获得有价值的客户信息、提供个性化的移动体验,而 JulySystems 与 CISCO 主要在合作推动 EMSP。 Diachenko 表示,此次暴露事件很可能是人为造成的 。因为 July Systems 有几台 S3 服务器没有密码并且可以公开访问。但目前不清楚是否有其他第三方访问了这些数据库,也不清楚该公司的 S3 存储器在被发现之前还要暴露多久。July Systems 在被告知数据暴露的两天内就已锁定涉事 S3 存储器,但与 Cisco 相关的服务器在获得安全保护之前仍然暴露了一个星期,然而现在真正的考验是,网络犯罪分子可能利用暴露的密码来访问数据基础设施的安全区域。 据悉,英国 IBTimes 已与 July Systems 取得联系以进一步明确此事,并正在等待回应。 消息来源:IBTimes,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

欧洲刑警组织联合微软、ESET 等公司取缔 “Andromeda” (仙女座)大型僵尸网络

据外媒报道,联邦调查局、欧洲执法机构和私营部门(例如:微软、ESET 等)于 11 月 29 日联合开展的一项国际行动,成功移除 Andromeda(又名 Gamarue 或 Wauchos)僵尸网络。 据悉,网络犯罪分子使用僵尸网络发送垃圾邮件、感染目标用户 、同时还向已感染用户二次传播恶意软件,甚至通过将僵尸网络租借给其他不法人群牟取暴利。  调查显示,相关执法机构移除了多款由黑客组织长期运营的僵尸网络,其多数由安全公司 ESET 检测为 Win32 / TrojanDownloader.Wauchos 。此外安全专家还跟踪了恶意基础设施,确定了他们的 C&C 服务器地址以及僵尸网络可能造成的潜在威胁。统计显示,其中包括 : 464 个不同的僵尸网络、80 个相关联的恶意软件系列、1214 个域名和 IP 地址的僵尸网络 C&C 服务器。 Andromeda (仙女座)是市场上最大的僵尸网络之一,自 2011 年以来一直存在。犯罪分子使用它来发布多个恶意软件系列,其中包括 Dridex 银行木马病毒和 GamaPoS 恶意软件等。据微软收集的遥测数据显示,在过去的六个月中,Andromeda 僵尸网络向受害用户提供了80 种不同的恶意软件,并且每月平均有 110 万台电脑收到僵尸网络 Andromeda 影响。 知情人士透露,Andromeda 被移除并非偶然,这要归功于去年移除了一个名为“ 雪崩 ”(Avalanche)的大型犯罪网络,该网络是一个用于驱动大规模全球恶意软件攻击和资金招募的基础设施,托管了 21 个恶意软件家族的分发基础设施(其中包括 Andromeda )。为了方便监视 Andromeda 和搜集数据,在去年新闻发布中当局并没有透露跟有关 Andromeda 僵尸网络在 Avalanche 事件上的任何细节。 欧洲刑警组织发表的报告显示,德国检察署 Verden 和 Luneburg 警方、美国宾夕法尼亚州西区检察官办公室、司法部、联邦调查局、欧洲刑警组织、欧洲司法组织和全球合作伙伴于 2016 年 11 月 30 日成功拆除了 Avalanche 的国际犯罪基础设施。这些组织被用作一个平台来管理大规模的恶意软件攻击,比如 Andromeda 和资金招募活动。 据称,欧洲刑警不仅通过已收集的数据成功逮捕了一名疑似 Andromeda 开发人员的白俄罗斯男子,还利用一年前关闭的 Avalanche 平台使用的 1500 个域名,通过 sinkholing 技术分析其流量并跟踪受感染的系统。据透露,在 48 小时的检测后,专家们观察到来自 223 个国家的约 200 万个 Andromeda 僵尸网络受害用户的 IP 地址。随后,因为最初受感染的计算机中仍有 55%  的系统继续被感染,所以调查人员将分析跟踪 Avalanche 的时间延长了一年。根据调查,英国、白俄罗斯、新加坡、中国台湾等国家/地区普遍遭到 Andromeda 和 Avalanche 僵尸网络的影响。 欧洲刑警组织欧洲网络犯罪中心负责人史蒂芬•威尔逊(Steven Wilson)表示,这是国际执法部门与行业合作伙伴处理重要的网络犯罪分子与其在全球范围内分发恶意软件感染专用基础设施的典型例子,由此可见,公私合作伙伴关系有效的打击了网络犯罪分子的恶意行为,并为用户提供更安全的网络。 更多阅读: 来自 ESET 公司的分析文章:https://www.welivesecurity.com/2017/12/04/eset-takes-part-global-operation-disrupt-gamarue 消息来源:Security Affairs、Bleeping Computer,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

印度黑客暗网低价出售的新勒索软件 Halloware 竟是一场骗局?

据外媒 12 月 3 日报道,一名自称是来自印度东北部的 17 岁大学生 Luc1F3R 正以 40 美元的低廉价格贩卖一款新勒索软件 Halloware,还专门在暗网、地下论坛、公共互联网上托管的两个站点以及 YouTube 的视频上进行销售。这些暗网为 Halloware 提供了终身许可证书,然而由于 Halloware 低廉的价格让研究人员产生了怀疑,他们推测这要么是一个骗局;要么在 Luc1F3 看来,Halloware 并没有那么复杂。对此,他们决定展开详细调查。 虽然研究人员最初认为这是一个骗局,但由于黑客在勒索软件出售网站上出现了一些操作失误,以至于他们可以追踪到 Luc1F3R  正在托管与 Halloware 有关文件的网页,包括使用勒索软件感染受害者的恶意文件列表。 调查显示,该列表中的一份文件 hmavpncreck.exe 的 SHA256 哈希值和 Luc1F3R 在 Halloware 广告中所包含 NoDistribute 的扫描结果相同,从而证实这正是安全专家所需要寻找的恶意软件二进制文件。而另一个名为 ran.py 的文件似乎是 Halloware 的源代码。虽然该文件受到了保护,但研究人员还是设法提取了它的源代码,最终由其他安全研究人员创建出解密程序,以防有人购买这个勒索软件并用它来感染目标用户。 此外,勒索软件使用了硬编码的 AES-256 密钥加密文件,并将“(Lucifer)”字符串加到加密文件中。买家可以通过改变两个图像并添加定制的支付站点 URL 来完成安装,例如,一旦加密成功,image.png 就会变成(Lucifer)image.png。“任务完成”后 Halloware 勒索软件将会弹出窗口显示一个令人毛骨悚然的小丑与一条赎金消息引诱受害者重定向至另一暗网支付网站,并更改用户的桌面墙纸或进行其他恶意操作。 虽然 Halloware 是一个简单的勒索软件,但确实奏效。专家也注意到,Halloware 勒索软件并没有在被感染的个人电脑上删除文本文件。另外,Halloware 使用了硬编码的 AES-256 密钥加密文件,并没有保存远程服务器上的任何信息,这一特性使得 Halloware 并无实际意义,而且就连作者 Luc1F3R 可能也没有机会从 Halloware 手中赚到任何钱财。 由此看来,作者 Luc1F3R 似乎只是一位低技能的新手,刚刚向网络犯罪的世界迈出第一步,因为研究人员发现他在 YouTube 上传的所有黑客教程都只是描述了基本的技术或者是宣传不太复杂的恶意软件,而在 GitHub 帐户中 Luc1F3R 还托管了另外四种恶意软件。 附:哈希表 007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09 针对加密的文件类型: .jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd 消息来源:Bleeping Computer、Security Affairs,编译:榆榆,校对:青楚、FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

预警 | 逾六千台装备 Lantronix 串口的以太网设备暴露 Telnet 密码,可连接关键工控系统

HackerNews.cc 12 月 2日消息,NewSky Security 的首席安全研究员 Ankit Anubhav 于近期发现数千台装备 Lantronix 串口的以太网设备泄漏了 Telnet 密码。知情人士透露,攻击者可以借此针对连接设备发动网络攻击。 据悉,该设备服务器由美国供应商 Lantronix 制造,并被广泛应用于连接工控系统,其中大部分是老旧设备(只具备串行端口)。调查显示,此次暴露的以太网服务器串口是转用于连接远程设备的接口,例如:产品 UDS 和 xDirect 可以轻松通过 LAN 或 WAN 连接管理设备,从而实现与具备串行接口的任何设备进行以太网连接。 Anubhav 表示,当前逾有 6,464 台可连接到关键工控系统的 Lantronix 设备服务器在线泄露了 Telnet 密码,这些设备在 Shodan 上的曝光占了 48% 。据称,此次泄露事件不仅允许攻击者接管设备后使用特权访问将串行命令发送至连接设备,还能够允许攻击者可以通过在端口 30718 上发送一个格式错误的请求检索 Lantronix 设备配置。 另外,研究人员发现在 Metaploit 黑客平台包括一个 Lantronix  “ Telnet 密码恢复 ” 模块,该模块可用于通过配置端口(旧版本的 Lantronix 设备默认启用 30718 / udp)从 Lantronix 串口到以太网设备检索安装设置记录,并以明文方式提取 Telnet 密码。目前,补丁管理再次成为问题根源,而且易受攻击的设备并未(难以)通过更新来解决此类问题。 消息来源:Security Affairs,编译:榆榆,校对:青楚、FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

全球航运公司 Clarksons 拒付黑客赎金,内部机密数据或被泄露

HackerNews.cc 30 日消息,全球航运公司 Clarksons 发表声明称,公司此前发生“安全事件”被盗的内部机密数据可能会因拒付赎金而被黑客公开。Clarksons 公司表示不接受黑客威胁、将会采取有效措施应对被盗事件,并且对受影响的客户和个人深表歉意。 直至本文截稿前,被盗数据的数量和确切细节尚未被公布,Clarksons 公司只对外宣称被盗的是高度机密数据。Clarksons 表示,黑客组织访问公司内部系统可能没有利用软件漏洞这种途径,而是盗用了一个合法账户持有者的登录证书进行渗入。公司目前已将被盗帐户禁用,并采取了相应安全措施以防止今后发生类似的问题。 据 Clarksons 透露近期黑客可能会对外发布一些数据,但是作为一个负责任的全球性企业,公司选择与警方和安全专家合作处理这个事件,并与有关监管机构进行了联系。由于所涉及的是内部保密数据,所以要求律师必须采取一切必要的措施来保护信息的机密性。 Clarksons 发言人表示,目前事件正在调查,其余细节则不予透露。 消息来源:ZDNet、ESET,译者:榆榆,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。