NSA 发现 Win10 漏洞 影响全球数十亿用户

继Adobe 星期二发布2020年第一个补丁程序软件更新后,微软也发布了一月份安全公告,警告数十亿用户有49个漏洞需要更新。周二发布的补丁程序的特别之处在于它更新修复了一个由美国国家安全局(NSA)发现的被广泛应用于windows10、Server 2016和2019版本中的一个核心组件。 CVE-2020-0601: Windows CryptoAPI欺诈漏洞 根据微软发布的官方公告:这个被称为“’NSACrypt”并定义为CVE-2020-0601的漏洞存在于Crypt32.dll模块中,该模块被包含在windows API系统,会对数据进行加密以及对各种“通行证和加密信息传递”进行解密处理。 但问题在于Crypt32.dll模块主要采用椭圆曲线加密(ECC)方式(该加密形式主要在SSL/TLS证书中使用),而椭圆曲线加密是目前公钥加密行业的标准。NSA在发布的新闻稿中对此现象解释到:攻击者通过通行证会破坏windows的加密验证方式,实现远程代码的执行。 攻击者通过滥用漏洞会破坏的验证方式有: HTTPS连接 签名文件和电子邮件 用户模式进下启动可执行签名代码 尽管该漏洞的技术细节尚未公开,但微软证实:若攻击者成功利用漏洞,会在用户不知情的情况下仿冒用户数字签名,进行恶意软件程序安装,也可以仿冒用户安装任何合法软件。此外,CryptoAPI中的漏洞还可能使远程攻击者更容易冒充网站或对受影响软件上的信息进行解密。 国家安全局表示:“此漏洞是我们与安全社区研究合作的一个例子,为确保用户安全,在此之前一个漏洞已被私下披露进行发布更新,若我们不对漏洞进行修复,其后果会很严重。 除了威胁等级被评为“重要”的Windows CryptoAPI欺诈漏洞之外,微软还修补了48个其他漏洞,其中8个是核心漏洞,其余40个都是重要漏洞。目前对于此种漏洞没有彻底的解决办法,建议用户可通过点击“窗口设置→更新和安全→窗口更新→单击“检查电脑上的更新”来安装最新的软件更新。 Windows系统中的其他重要的RCE漏洞 其中两个是会影响windows远程网关的CVE-2020-0609和CVE-2020-0610,未经身份验证的攻击者可以利用这些网关通过RDP请求在目标系统上执行恶意代码。 “此漏洞采用的是身份预先认证,不需要用户进行交互认证。成功利用此漏洞,攻击者可以在目标系统上执行任意代码,”windows顾问说。而CVE-2020-0611远程桌面客户端中的一个关键问题是它可能会导致反向RDP攻击,恶意服务器可以在连接客户端的计算机上执行任意代码。 “要利用这一漏洞,攻击者需要控制服务器,然后说服用户连接到它,而攻击者还可能危及合法服务器,在其上托管恶意代码,并等待用户连接”微软顾问说到。 幸运的是,微软本月修复的漏洞并未发现被公开披露或任意利用。   消息来源:thehackernews, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Cisco Webex 漏洞允许远程执行代码

上周三,Cisco Systems 发布了14个产品漏洞修补程序,其中包括12个中危漏洞和2个高危漏洞。日前,已修复了2个高危漏洞,其中一个漏洞位于Webex视频会议平台,它在内部网络安全测试中被发现,对Cisco Webex Video Mesh软件在2019.09.19.1956m(固定版本)之前的版本都会产生影响。 该漏洞存在于Cisco Webex Video Mesh的基于Web的管理界面中,该功能可用于视频会议的本地基础结构来增强音频、视频和内容,并在此基础上进行远程攻击。Cisco本周发布安全公告称:成功利用此漏洞可使攻击者在目标节点上以根用户权限对潜存的Linux操作系统执行任意命令。 尽管攻击者可远程利用这些漏洞,但他们需要通过身份验证,这意味着攻击者首先需要通过管理权限登录web管理界面,然后再向应用程序提交请求,但在一般情况下Webex平台对这些请求并不会直接通过。 此外,这家网络巨头还发布了针对Cisco IOS和Cisco IOS XE软件web用户界面中另一个严重故障的修复程序。IOS XE是基于Linux Cisco 网络操作系统(IOS)的一个版本,是Cisco 路由器和交换机的驱动软件。IOS XE支持的产品包括企业交换机(包括Cisco的Catalyst系列)、分支路由器和边缘路由器(包括ASR 1013)。 实验发现,此漏洞可使未经身份验证的远程攻击者在受影响的系统上发起跨站点伪造(CSRF)请求攻击。CSRF攻击者通过使用社交软件发起电子邮件,诱使受害者点击链接,然后将伪造的请求发送到服务器。 Cisco称该漏洞产生原因在于:受影响设备的web用户界面CSRF保护不足,而攻击者可以通过对用户进行恶意跟踪来利用该漏洞。成功利用此漏洞可使攻击者对目标用户的权限进行任意操作,如果用户本身具有管理权限,攻击者还可以更改配置、对命令进行重新加载执行。 据了解,该漏洞由MehmetÖnder Key发现,Cisco IOS或Cisco IOS XE软件16.1.1之前启用了HTTP服务器功能的版本会产生影响。目前还没有发现任何针对该漏洞的解决办法,此漏洞在CVSS上被评分8.8分(满分10分)。   消息来源:threatpost, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Sodinokibi 勒索软件首次发布被盗数据

由于未及时支付赎金,Sodinokibi勒索软件背后的攻击者首次发布了从一名受害者那里窃取的文件。自上个月以来,Sodinokibi(也称为REvil)公开表示,他们将开始效仿Maze,如果受害者不支付赎金,就公开从受害者那里窃取的数据。他们在俄罗斯黑客和恶意软件论坛上首次发布了大约337MB所谓的被盗受害者文件的链接。 攻击者称:这些数据属于Artech信息系统公司(该公司被称为是少数民族和女性员工最多的公司,同时也是美国较大的IT公司之一),如果该公司不支付赎金,他们将发布更多的数据。 “这些数据只是我们所拥有数据一小部分。如果还不采取任何行动,我们将向第三方出售剩余的更重要以及更有趣的数据,而这些数据中还包含财务细节。” 目前,Artech网站因不明原因已全线关闭,Bleeping Computer 向Artech方求证相关问题,也并未得到回复。 正如我们反复提及的,对勒索软件攻击造成的数据泄露事件应该以透明方式来解决,若试图采取隐藏方式,公司员工、客户数据不仅会被暴露,还可能有罚款和被诉讼的危险。而这种利用被盗数据作为砝码的行为不仅不会解决事情,还会使事情变得更糟。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

黑客谎称微软遭受伊朗网络攻击进行邮件钓鱼

黑客正试图利用伊朗最近可能发动网络攻击的警告,来搜集Microsoft登录凭据进行网络欺诈。由于美国和伊朗之间关系日渐紧张,美国政府就伊朗可能会对重要基础设施发起网络攻击发出警告。在这样的局势下,一名攻击者谎称自己源于“Microsoft MSA”并发送了主题为“电子邮件用户受到伊朗网络攻击”的邮件,谎称微软服务器受到了来自伊朗的网络攻击来进行网络欺诈。 仿冒邮件还写到:为了应对这一攻击,微软会将邮件和数据锁定在服务器上以此保护用户免受伤害,若想要再次获得锁定用户的数据访问权,用户需要重新登录。 关于进行网络欺诈的电子邮件 据收到该钓鱼邮件的用户Michael Gillett说:他发现该邮件能够绕过Outlook的垃圾邮件过滤器,到达收件人的邮箱中。 以下是邮件内容 Cyber Attack 我们的服务器今天遭到伊朗政府的网络攻击,为了确保您的网络安全,我们不得不采取额外措施来保护您的帐户和个人数据。 一些电子邮件和文件可能会被锁定,为了您的账户安全,您需要再次登录账户。如果您在接收电子邮件时仍有问题,请耐心等待,我们的技术支持团队正在加紧处理,会尽快恢复数据。 Restore Data 如果收件人点击“还原数据”按钮,则会返回到仿冒的Microsoft登录页面,但从URL可以看到,这并不是一个合法的Microsoft站点。 伪造的Microsoft登录页面 如果用户输入登录凭证,用户信息将会被攻击者盗取被进行其他方面的网络攻击,而这些攻击可能包括:有针对性的网络欺诈、凭证填充攻击,数据盗窃。 因此,在这里提醒用户:当收到奇怪电子邮件,要求登录账户执行某项操作时,需要保持警惕,有问题可以联系网络或邮件账户管理员。此外,用户还要注意检查包含Microsoft登录表单在内的任何登录页面的URL,而合法的登录表单会在Microsoft.com、live.com和outlook.com域上进行公布。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

VPN 警告:REvil 勒索软件盯上未打补丁的 Pulse Secure VPN 服务器

使用REvil(Sodinokibi)勒索软件勒索大型组织的网络罪犯瞄准未打补丁的Pulse Secure VPN服务器,并禁用防病毒软件。 安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补,否则将面临犯罪分子的“大规模”勒索软件攻击,这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。 上个月,在纳斯达克上市的美国数据中心提供商CyrusOne遭到REvil(Sodinokibi)勒索软件攻击,而去年夏天,美国的几个网络服务商、德克萨斯州的20多个地方政府机构以及400多个牙医诊所也相继遭到了网络攻击。 由于犯罪分子利用该勒索软件来加密关键业务系统,并要求巨额赎金解密,英国安全研究员凯文·博蒙特将REvil归为“big game”类别,该勒索软件病毒株于去年4月被发现,主要是使用Oracle WebLogic中的漏洞来感染系统。 去年10月,美国CISA、美国国家安全局联合英国国家网络安全中心发布的警告称:REvil瞄准的Pulse secure VPN服务器还未打补丁。此前有证据显示,政府支持的黑客正在利用Pulse Secure 以及Fortinet VPN产品中的漏洞,由于该漏洞已被网络犯罪分子广泛使用,因而波及范围也越来越广。 凯文·博蒙特指出:由于该服务器允许远程攻击者在没有有效凭据的情况下连接公司网络,同时禁用多种形式的身份验证,在这样的情况下以纯文本的形式远程查看包括活动目录和账户密码在内的日志和缓存密码,导致Pulse Secure VPN 漏洞情况越来越糟糕。上周发生的两起漏洞事件都采用了类似的手段:通过访问网络来获取域管理控制,然后使用开源VNC远程访问软件来访问移动网络。 在这样的流程后,所有安全端口都会被禁用,REvil(Sodinokibi)勒索软件会通过PsExec渗透到Windows远程管理系统中。网络安全公司Bad Packets 1月4日扫描数据显示:仍有3825台Pulse secure VPN服务器漏洞还未被修补,其中去年10月警报中所提到的CVE-2019-11510漏洞就包含其中,而1300多个易受攻击的漏洞VPN服务器均位于美国。   消息来源:zdnet, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新发现!FIN7 的新型装载程序应用在 Carbanak 后门

专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序,该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现,被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃,活动目标是窃取全球范围内的企业支付卡信息,目前疑似已经袭击了100多家美国公司,袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月,臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉,并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外,BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看,BOOSTWRITE也是一个与FIN7组织相关联的加载程序,它也能够将恶意软件直接放入内存,但BIOLOAD通过二进制植入技术,采用dll的劫持方法,将恶意代码加载到合法程序中。 在研究过程中,Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库,这个链接库从windows 10 1803中开始清理安装Windows OS.此外,研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看,BIOLOAD装载机样本于分别2019年3月和7月进行了编制,而BOOSTWRITE样本于5月编制。在加载器上,BIOLOAD不支持多个有效载荷,而使用XOR来解密有效载荷,并不是ChaCha密码。在秘钥连接上,BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示,BIOLOAD加载器主要被用来进行程序攻击,并进行Carbank病毒传输。专家发现,这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明:BIOLOAD是由FIN7网络犯罪集团开发的,很可能是BOOSTWRITE的前身。 Fortinet因此得出结论:“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件,Fin7拥有最新工具的共享代码库,以及同样的技术和后门,导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议:由于加载程序是专门为每台目标计算机构建的,需要管理权限才能部署,因此建议相关部门要注意收集有关目标网络的信息。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

OilRig 伊朗威胁组织伪装合法的思科工具 安装 Poison Frog 后门

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序,以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一,它包含一个面板,面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本,它是一个用C语言编写的PE可执行文件,只有删除包含后门Powershell脚本的功能。在同样的逻辑下,还发现了另一个PowerShell脚本,它有两个不同的长字符串,包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件,OilRig威胁组织成员还巧妙使用了计俩,将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现,起到欺瞒用户的作用,使用户误认为是应用程序或互联网的接入有问题,而实际上却是在悄悄的将后门安装在系统上。”   消息来源:gbhackers, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

Maze 勒索软件公布从彭萨科拉市盗取的文件

Maze勒索软件近期发布2GB的文件,有消息称这些文件正是从彭萨科拉市所盗取。 本月彭萨科拉市遭到勒索软件攻击,该市的通信系统受到影响,网络系统几近瘫痪。据Bleeping Computer证实,这一事件的发生正是因为受到Maze勒索软件的攻击。昨天,Maze勒索软件也发布了32GB文件中的2GB文件,他们声称这些文件来源于在加密网络前就已盗取该市的网络数据,若想解密数据,需花费赎金100万美元。 在Bleeping Computer与Maze相关黑客人员的商讨中,Maze方透露,他们所盗取的文件远不止发布的2GB. “这是媒体报道的错误,我们所盗取的数据远不止如此,我们也不想给这座城市造成压力,也早已表明了真实的意图,但现在还没到我们想到的预期。” 当Bleeping Computer询问他们是否打算发布其余的数据时,他们的回答是“这取决于彭萨科拉市政府”。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

全新 Mozi P2P 僵尸网络入侵 Netgear、D-Link、Huawei 路由器

由于被一个名为Mozi的P2P僵尸网络入侵,Netgear、D-Link和Huawei路由器正积极检测Telnet弱密码。因该僵尸网络再次使用了部分代码,可判定该事件与 Gafgyt恶意软件相关。 360 Netlab的安全研究人员在发现该僵尸网络后,对其进行了为期四个月的监控,发现该僵尸网络主要目的是用于DDoS网络攻击。攻击行动首先会在torrent客户端和其他P2P端存储节点信息,然后通过DHT协议进行网络扩散。而这样的扩散行为会使得在无需服务器情况下建立的僵尸网络传播速度更快,也会导致大量僵尸网络在DHT协议中巧妙藏身,更难被检测。 此外,Mozi还使用了ECDSA384和XOR算法来保证僵尸网络组件和P2P网络的完整性和安全性。 恶意软件使用telnet并利用漏洞向新的易受攻击的设备进行传播,该行为主要通过登录加密性弱的路由器或CCTV DVR来实现,在成功利用未修复的主机后立刻执行负载。而恶意软件一旦载入受攻击设备,新激活的bot将自动加入Mozi P2P成为受攻击的新节点。在受感染后,新的网络节点将接收并执行僵尸网络主机的命令,此时Netgear、D-Link和华为路由器也会收到影响。 针对此现象,研究人员做出解释:Mozi在通过DHT协议建立p2p网络后,配置的网络设备会同步更新,相应的任务也会根据配置文件中的指令即刻启动。 以下是自360 Netlab研究人员自2003年9月监测Mozi以来发现的10个受感染的P2P未修补设备: 像Nugache、Storm(又名Peacomm)、Sality P2P、Waledac、Kelihos(又名Hlux)、ZeroAccess(又名Sirefefef)、Miner和Zeus这样的P2P僵尸网络从2006年初开始,就为他们的主人组建了庞大的僵尸网络系统,但现在大部分已经灭绝,而另一些设备如Hajime 、Hide’N Seek(简称HNS),他们仍在寻找易受攻击的设备。 2018年9月,Hide’N Seek在短短几天内感染9万多台设备,而Hajime自2016年秋季首次被发现以来,在短短6个月内,感染约30万台设备。 众所周知P2P僵尸网络对打击他们的下沉式攻击具有很强的弹性,但也不乏一些例子证明ZeroAccess和Kelihos是易受攻击的。 在更多关于Mozi的相关信息被检测出来之前,关于对它进行深层次攻击可能性的猜测从未间断。但可以肯定的是,在此项检测之前,若相关目标还未被修补,Mozi对信息的搜集扩散范围会越来越大。 除上述僵尸网络外,另一个名为Roboto的P2P僵尸网络在8月下旬被被同一个研究小组发现,该网络在互联网上还会对未修补Webmin安装的Linux服务器进行扫描,而有关这个新的P2P僵尸网络更多信息可在360 Netlab的Mozi报告末尾了解。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

GozNym 恶意软件窃取近 1 亿美元 幕后黑客被判刑

美国司法部发布报告:美国企业及金融机构盗窃案告破,其中三名犯罪分子已被监禁判刑。 该案件发生在2015至2016年间,犯罪分子主要是利用 GozNym banking Trojan病毒入侵全球的4000多台计算机来进行网络欺诈,最终盗取近1亿美元,美国和欧洲损失最为严重。而Goznym病毒的本质是一个银行木马,它由两大部分组成,分别是2012年首次出现的银行木马Gozi ISFB 以及类似勒索软件的木马下载器Nymaim。 今年五月,欧洲刑警组织捣毁这一犯罪网络,美国对该犯罪组织10名成员提出指控,5名成员当场被捕,包括开发者在内的另外五名成员潜逃。 周五,在匹兹堡的一家联邦法院,事件中担任财务的Krasimir  Nikolov以网络欺诈罪名被联邦政府指控。Nikolov于2016年9月被保加利亚当局逮捕,并于2016年12月被引渡到保加利亚。而在格鲁吉亚被逮捕起诉并判刑的另外两名成员Alexander Konovolov及Marat Kazandjian也分别被判监禁7年和5年。 该恶意软件运行流程为:先利用大规模恶意软件来攻击受害者的电脑,然后进行病毒传播,在受害者将他们的银行密码输入浏览器后,通过恶意软件来捕获账户密码,继而登录银行账户进行资金转移。 对于该案件的告破,美国检察官Scott W. Brady说到:“这是全球各执法伙伴共同合作的功劳。”   消息来源:thehackernews, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接