恶意活动针对 Windows、Redis 及 Apache 服务器安装加密货币矿工

外媒 3 月 12 日消息,来自 ISC SANS 组织和安全公司 Imperva 的研究人员发现了两个针对 Windows Server、Redis 以及 Apache Solr 服务器的恶意活动 — 攻击者试图针对这些未打补丁的服务器安装加密货币矿工。 第一个活动被称为 RedisWannaMine,主要针对的目标对象是 Redis 和 Windows Server 服务器。研究人员发现攻击者通过大规模的网络扫描来寻找运行过时 Redis 版本的系统,以触发 CVE-2017-9805 漏洞。 研究人员观察到,RedisWannaMine 通过执行脚本来下载一个公共可用的工具 masscan ,在将其存储到 Github 存储库后,编译并安装它。一旦获得访问主机的权限,攻击者将放弃 ReddisWannaMine 恶意软件作为第一阶段 playload,并安装第二阶段的加密货币矿工。 RedisWannaMine 通过 EternalBlue (永恒之蓝)进行传播,并且具有类似蠕虫的行为, 但它在逃避技术和功能方面更为复杂:RedisWannaMine 结合先进的攻击手段来增加感染率,从而获取更大的利益。除此之外,ReddisWannaMine 活动也显示了其自传播蠕虫的经典行为模式。 第二次采矿活动是通过利用 CVE-2017-12629 漏洞攻击 Apache Solr 服务器。根据 ISC SANS 发布的分析报告,在 2 月 28 日至 3 月 8 日这段时间内,这场活动共感染了 1777 个服务器, 其中有 1416个 是 Apache Solr。 研究人员认为这两项活动都只是冰山一角,未来还会出现越来越多针对加密货币行业的攻击事件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型攻击技术 “MOSQUITO” 可通过扬声器或耳机窃取数据

外媒 3 月 12 日消息,以色列 Ben-Gurion 大学的研究团队近期详细介绍了一种使用扬声器、耳机可从气隙系统中的计算机中提取数据的新型数据过滤技术 — MOSQUITO,目前来说它是一种 “Jack Retasking” 技术:主要利用特定的音频芯片功能,将输出音频插孔转换成输入插孔,从而将连接的扬声器有效地转换为(非传统)麦克风。 通过实验,研究人员发现,设法感染 air-gapped 计算机的恶意软件可以将本地存储的文件转换成音频信号,并通过连接的扬声器、耳机或耳塞将它们传送到附近的另一台计算机设备。该设备也受到了恶意软件的感染,它使用插孔将连接的扬声器、头戴式耳机、挂式耳机或耳塞转换成临时麦克风,接收调制后音频并转换回数据文件。 除此之外,研究人员还介绍了传输速度会在一定程度上影响 MOSQUITO 攻击。尽管 MOSQUITO 支持非常快的数据传输速度,但当扬声器之间距离增加或音频频率发生变化时,传输速度可能会降低。其他影响数据传输速度的因素还包括音乐和语音等噪声环境,不过研究人员表示通过将数据泄漏频率提高到 18kHz 以上可以缓解这种情况。 MOSQUITO 攻击在实验中已被证实可行,但目前尚未在野外发现实际攻击案例。 相关阅读: 论文《MOSQUITO: Covert Ultrasonic Transmissions between Two Air-Gapped Computers using Speaker-to-SpeakerCommunication》 内含缓解措施和对策。 消息来源:bleepingcomputer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“CIGslip”的隐形攻击技术可绕过微软 CIG 安全策略加载恶意程序

外媒 3 月 9 日消息,以色列安全公司 Morphisec 的安全研究人员发现了一种被称为“CIGslip”的隐形攻击技术,攻击者可以利用它来绕过微软代码完整性保护( Code Integrity Guard,CIG),并将未签名的恶意程序库加载到受保护的进程中。 CIG 是微软在 2015 年推出的安全机制,微软将其作为 Edge 浏览器安全缓解措施的一部分。 研究人员开发了一个利用非 CIG 支持进程的攻击 POC,旨在潜入一个支持 CIG 的目标进程中,达到在任何类型的 DLL 上加载恶意代码的目的。 例如,攻击者能够使用 CIGslip 将恶意软件插入到 Edge 浏览器,并且由于使用了 CIG ,第三方安全厂商很难对 Edge 浏览器进行保护,因为每一个 DLL 想要作用于受 CIG 保护的进程要先取得微软的签名。 Morphisec 声称已向微软报告了这一问题,但据微软公司回应,该技术超出了缓解措施的范围,也超出了漏洞防御和奖励计划范围但表示会对这个漏洞进行修复。 相关链接: “CIGslip”隐形攻击技术相关 POC 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

思科产品中存在硬编码密码和 Java 反序列化高危漏洞

外媒 3 月 8 日消息,思科最近发布的一组安全更新中包括两个重要漏洞的修复方案 — 硬编码密码漏洞(CVE-2018-0141)和 Java 反序列化漏洞(CVE-2018-0147)。 硬编码密码漏洞(CVE-2018-0141)是由于系统上的硬编码帐户密码造成的,可被本地攻击者利用来获得对易受攻击设备的完全控制权。目前该漏洞仅影响思科 Prime Collaboration Provisioning(PCP)软件的 11.6 版本。虽然目前没有解决 PCP 软件漏洞的确切方法,但思科已经发布了补丁程序,并建议用户尽快升级到 PCP 12.1 版本,以避免出现安全问题。 影响思科安全访问控制系统(ACS)的 Java 反序列化漏洞,是由于受影响软件对用户提供的内容进行不安全的反序列化造成,可能允许未经身份验证的远程攻击者在受影响设备上执行任意命令。据悉,该漏洞已获得 9.8 的 CSS 评分 ,被归为高危漏洞一类。目前思科已经发布了软件更新来修复这个缺陷。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

俄罗斯 Group-IB 联合多家安全公司协助乌克兰警方取缔 DDoS 犯罪团伙

外媒 3 月 8 日消息,网络安全公司 Group-IB 联合其他企业共同协助乌克兰警方取缔一个在全球发起众多勒索事件的 DDoS 犯罪团伙。据悉,该团伙参与 DDoS 攻击和勒索的时间长达两年之久。 Group-IB 的调查行动从 2015 年 9 月开始,其安全人员在调查中发现该犯罪团伙曾对国际在线交友服务网站 AnastasiaDate 发起了 DDoS 攻击,造成 AnastasiaDate 的网站被迫关闭了几个小时,随后犯罪人员以停止攻击为条件威胁该网站支付 1 万美元的赎金 。除此此外,该团伙还针对一些在线商店、支付系统以及提供博彩、彩票和博彩服务的网站发起 DDoS 攻击。例如乌克兰欺诈案的受害者(包括美国公司租赁数据中心和托管设施 Stafford Associated、以及 PayOnline 在线支付服务)。 目前 Group-IB 的网络安全专家已经确定了该犯罪团伙并将其与两名乌克兰人 Gayk Grishkyan 和 Inna Yatsenko 联系起来。据悉,两名 DDoS 犯罪团伙成员对其罪行供认不讳,将会被判处有期徒刑 5 年。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

邮件传输代理 Exim 中的 RCE 漏洞影响一半以上在线电子邮件服务器

外媒 3 月 7 日消息, 安全公司 Devcore 于近期发布公告称邮件传输代理 (MTA) Exim 中存在一个严重的远程执行代码漏洞( CVE-2018-6789),影响了一半以上的在线电子邮件服务器。 资料显示:Exim 是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于 GPL 协议开发,是一款开源软件,主要运行于类 UNIX 系统,通常该软件会与 Dovecot 或 Courier 等软件搭配使用。 截至 2017 年 3 月,运行 Exim 的互联网电子邮件服务器总数估计已超过 56 万,相当于所有在线邮件(MX)服务器的 56% 。 Devcore 介绍,该漏洞是一个 base64 解码功能中的溢出漏洞,在第一版 Exim 中就已经存在,并且其他所有版本也受到它的影响。根据研究,该漏洞可以被用来获得远程代码执行的预授权,因此目前至少会有 40 万台电子邮件服务器处于风险之中。 此外,据搜索引擎 Shodan 称,在线曝光的 Exim 服务器数量已超过 400 万,其中大部分是在美国。 为了解决这个漏洞。Exim 团队于 2 月 10 日发布了 Exim 4.90.1 版本,并敦促其用户尽快安装更新。 相关内容: CVE-2018-6789 漏洞细节 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全公司发现可抵消 Memcached DDoS 反射放大攻击的缓解技术

外媒 3 月 7 日消息,网络安全公司 Corero 表示他们发现了一种能够抵消 Memcached DDoS 攻击的 “ kill switch ” —— 主要依赖于将命令发送回攻击服务器来抑制 DDoS 攻击,使含有漏洞的服务器缓存失效,以致攻击者种植的任何潜在的恶意 playload 都将变得毫无用处。另外,Corero 指出,该漏洞可能比最初认为的更为深远:除了 DDoS 反射放大攻击之外,由于 Memcached 服务器不需要身份验证,该漏洞也可被用来从本地网络或主机中窃取或修改数据,其中包括机密数据库记录、网站客户信息、电子邮件、API 数据、Hadoop 信息等。 根据 Corero 的说法,他们已经在服务器上测试这一对抗方案,结果证明 “ kill switch ”充分有效,并且不会造成附带损害。 其实 Memcached 服务器安全性欠佳并不是一个新问题,因为包括 Gevers 在内的许多安全专家在这方面早已发出警告,然而问题至今为止可能仍被忽略,随着基于 Memcached DDoS 攻击的 PoC 代码的在线发布,漏洞修复已经迫在眉睫。 消息来源:Securityweek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Memcached DDoS 反射攻击创下 1.7Tbps 流量峰值纪录

外媒 3 月 6 日消息,继 Github 在上周遭受了流量速度为 1.3Tbps 的分布式拒绝服务(DDoS)攻击后,网络安全监控公司 Arbor Networks 证实美国一家服务提供商也面临着流量峰值高达 1.7Tbps 的反射/放大攻击。 虽然此次 1.7Tbps 事件与上周 GitHub 发生的 DDoS 攻击类似,但其带宽因使用了英特网上数千台暴露以及错误配置的 Memcached 服务器而被放大了 51,000 多倍。 据悉,在 GitHub 事件发生之后,其客户收到了敲诈邮件,威胁他们购买 50 枚价值超过 15,000 美元的 XMR( Monero )。目前 thehackernews 的文章中并未写明此次事件是否会有勒索赎金的情况出现。 Arbor Networks 表示,虽然反射/放大攻击并不新鲜,然而,最新的攻击媒介已经演变成了数千个错误配置的 Memcached 服务器,其中许多服务器目前仍然暴露在互联网上,可能会被利用来针对其他目标发起大规模的攻击。 Arbor Networks 预计未来几天会出现更多此类攻击事件。因此,为了防止 Memcached 服务器被滥用为反射器,Arbor Networks 敦促用户安装防火墙,并限制只能从本地网络访问 memcached 服务器。此外,管理员还应该考虑避免外部流量通过 memcached 使用的端口(例如默认使用的 11211 端口), 并及时阻止或限制 UDP ,如果非必要的话,最好能够完全禁用 UDP 支持。 消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

恶意软件 ComboJack 可监控 Windows 剪贴板,以替换加密货币钱包地址获利

外媒 3 月6 日消息,Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的恶意软件,它能够检测用户何时将加密货币地址复制到了 Windows 剪贴板,并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址,达到窃取加密货币的目的。 ComboJack 攻击不仅支持多种加密货币(其中包括 比特币、莱特币、门罗币和以太坊),还可以针对其他数字支付系统,如 Qiwi、Yandex Money 和 WebMoney(美元和卢布支付)。 目前该恶意软件正在通过针对日本和美国用户的钓鱼邮件进行分发。攻击者在邮件中存放了一个被称为是护照扫描件的恶意 PDF 附件,当用户打开这个 PDF 时,附件中一个试图利用 DirectX 漏洞(CVE-2017-8579 )的 RTF 文件也将被打开。研究人员发现,该 RTF 文件引用了嵌 入式远程对象(一个包含编码 PowerShell 命令的 HTA 文件)。一旦从远程服务器获取到,该 HTA 文件会立即运行一系列 PowerShell 命令来下载并执行一个自解压文件(SFX)。这时感染过程还并未结束,只有该 SFX 文件下载并运行另一个受密码保护的 SFX 文件后,才能成功提取 ComboJack ,而为了实现持久性,ComboJack 还会设置一个注册表项。 这些步骤完成后,ComboJack 将开始每半秒检查一次剪贴板的内容,以确定是否复制了不同数字货币的钱包信息。一旦成功捕获,ComboJack 将会使用硬编码数据来替换钱包地址,并试图将资金转移到目标钱包。 研究人员分析指出,这种攻击策略依赖于钱包地址冗长而复杂,因为为了防止错误,大多数用户会选择复制字符串而不是手动输入。 随着加密货币价格的持续上涨,未来可能会出现越来越多针对虚拟货币的恶意软件,因为它是目前非法获利较多、较为快捷便利的方式之一。 消息来源:securityweek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

国际刑警组织举办“数字安全挑战赛”提升各国网络应变能力

外媒 3 月 5 日消息,国际刑警组织于近期在奥地利维也纳组织了一场名为“ 国际刑警组织数字安全挑战赛 ” 的培训演练,参与其中的网络犯罪调查人员将会应对通过物联网(IoT)设备发起的模拟攻击,例如针对银行的一些潜在危机事件。 国际刑警组织指出,全世界的警察部队通常不知道如何从计算机和手机以外的设备中收集证据。考虑到易受攻击的物联网设备扩散后引起的重大网络安全风险,上述问题与此次培训演练变得尤为相关。 模拟测试 国际刑警组织安排相关人员部署了恶意软件,并试图从银行中吸走大量资金。这时候,网络犯罪调查人员则会应用数字取证来确定银行电脑上安装恶意代码的时间和地点。 国际刑警组织说:“通过数字取证检查,这些调查小组发现恶意软件是包含在通过网络摄像头发送的电子邮件附件中,而不是直接从计算机发送的,这样做的很大一部分原因可能是是为了帮助掩盖袭击的根源。” 在检查了被黑网络摄像头的数据之后,调查人员确定了用于远程控制网络摄像头并执行攻击的 C&C 服务器。国际刑警组织称,调查人员后来又现了另一台 C&C 服务器,以及一些可用于防止进一步攻击的服务器漏洞。 奥地利内政部秘书长彼得戈德格鲁布尔认为,网络犯罪调查变得越来越复杂,调查人员每天都在面临一些新的障碍,以至于防范能力的提升和发展变得至关重要。 消息来源:welivesecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。