DOTA2-FOX

(∩•̀ω•́)⊃-*⋆biubiubiu~ 这是一个帅气的狐狸~

朝鲜黑客肆虐全球:从赌场到银行无一幸免

2016 年 2 月,孟加拉国央行陷入一片混乱,计算机系统惨遭黑客入侵、千万美元不翼而飞。时隔一年有余,证明朝鲜与该事件联系紧密的相关证据数量仍不断攀升。这起黑客事件曾被认为是全球范围内已知的最大规模金融网络犯罪。直至目前, 犯罪人员身份仍为不解之谜。 配图源自网络 自去年以来,关于此案的松散追踪就从未停止,调查结果显示,一个与朝鲜方面存在关联、代号为“拉撒路”(Lazarus)的黑客组织难逃干系,但据本月 3 日最新证据显示该组织开展的活动范围远超过之前预期。 卡巴斯基安全实验室认为,Lazarus 旗下代号为 Bluenoroff 的黑客组织专门从事金融犯罪,攻击目标遍及全球十余个国家的银行、赌场、加密货币公司。卡巴斯基实验室全球研究与分析团队在一篇博文中阐述:“Lazarus 的影响远非一般 APT(高级持续性威胁,用于描述掌握广泛资源的黑客组织、通常与政府或情报机构相关联)组织所能及”。 根据卡巴斯基调查报告内容,此黑客组织采用“水坑攻击”技术(通过恶意软件感染目标访问网站)向俄罗斯、挪威、墨西哥、乌拉圭、澳大利亚、印度、波兰、秘鲁、尼日利亚等国发起攻击。 问题焦点 卡巴斯基表示,迄今已在 18 个国家发现该组织的行踪,其中包括今年发生在欧洲与东南亚国家的一些尚未报道的黑客行为,并发布了一份根据一台命令与控制(C&C)服务器进行的分析报告。据称,这台 C&C 服务器透露了一个源自朝鲜的特殊 IP 地址。 图2. 被 Lazarus 设定为攻击目标的已知金融机构地理分布 研究结果表明,未能对无响应、被冻结的现成加密货币挖掘软件进行适当清理导致了服务器更易遭到黑客入侵。但无论如何,该 IP 地址的存在都使朝鲜成为问题的焦点。平壤方面是否与这一系列网络攻击行动有直接关系仍有待探索。通常,此类攻击都被认为源自中国。尽管如此,发生在 2014 年的索尼影业遭到大规模攻击事件已暗示了 Lazarus 以及朝鲜独裁政权具有此方面嫌疑。 网络破坏与硬盘擦除作为索尼被黑事件的两大特点与近期发生的金融犯罪不谋而合。多家网络安全公司均表示该组织已活跃多年(大概可追溯至 2009 年),但卡巴斯基认为将目标设定为银行的做法此前较少出现。一种假设是该黑客组织被迫转向此类型攻击是为了获得经济上的资助。该项计划的真实范围仍不清楚,但造成的影响显而易见。相关样本表明其拥有一个“恶意软件工厂”,提供从多种来源获取的黑客工具。 研究人员表示,“ Lazarus 攻击并非地方性问题,显然该组织的作战范围已遍及全球各地,疑似不同成员在网络窃取钱财或获得非法利润问题上具有不同分工。” “我们认为该组织的最初行动始于 2016 年底,继东南亚地区开展的其他行动中断后进行重新分组并转战至新的国家,选取目标主要为贫穷、较不发达地区,因为这些目标显然更容易得手。 “难以察觉的偷窃行为” 据报道,为了寻找偷窃巨款的途径,Lazarus/Bluenoroff 在“分解”合法软件与补丁方面花费了大量时间。尽管如此,所采用恶意软件的设计初衷并非遵循“打了就跑”模式。“他们的解决方案旨在实现不留痕迹的偷窃”,研究人员表示。 “当然,想把上千万美元巨款挪走又不被发几乎不大可能,但我们认为他们可能正在许多不同地点对恶意软件进行秘密开发,由于行动隐蔽,尚未触发其他任何严重的警报。 “Bluenoroff堪称迄今面向金融产业成功发动大规模攻击的黑客组织之一。我们认为在未来的几年内,他们仍将是银行部门、金融与贸易公司以及赌场面临的巨大威胁。” 证据数量不断攀升 然而,关于此类事件的最新消息并非源自 Lazarus。事实上,赛门铁克曾于今年 2 月在一些黑客与某波兰金融机构之间存在可疑的关联。据称,位于 31 个不同国家的 100 多个组织机构被设定为攻击目标。分析报告透露这款此前未发现的恶意软件名为 Ratankba,疑似与该朝鲜黑客组织之间存在“共性”。除了惊人相似的硬盘擦除能力外还同样采用“进攻+破坏”策略。 此外,BAE Systems Intelleigence & Security 称英国至少 7 家银行曾遭受Lazarus 恶意软件攻击。美国新增 15 起被袭击事件、波兰新增 19 起、墨西哥新增 9 起。该公司强调在卡巴斯基开展此类研究前这些事件之间存在的真实关联始终模糊难辨。 早在 2016 年 2 月,全球执法与安全巨头合作伙伴关系揭露了“重磅炸弹行动”(Operation Blockbuster),介绍了名为 Destover 的 Lazarus 相关恶意软件如何在引导FBI得出朝鲜与该行动联系密切这一结论的过程中发挥作用。 报告称,Lazarus 组织开发了广泛而多样化的工具集,可以有效结合多种方法提供其他恶意软件工具、渗出数据、发动破坏性攻击。 原作者:Jason Murdock, 译者:游弋,审核校对:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

日本计划研发独立的卫星通信技术以防黑客攻击

据外媒 3 日报道,日本政府计划与民间企业一同研发卫星通信防御系统,通过数据的动态加密来保护卫星和地面站点之间的信息传输,使卫星免遭黑客网络攻击。项目能否获得通过将在今年夏天得到最终确认,并纳入 2018 年财政预算当中。 据悉,这一雄心勃勃的研发项目将由国家信息通信技术研究所负责,隶属于政府、行业和学术机构。日本政府计划用 5 – 10 年时间进行开发。 政府方面称,卫星使用无线电波与地面基站进行通信,若被黑客拦截将导致不可预测的后果。通过解码加密数据,黑客便可窃取信息、操纵或控制卫星。日本将研发独立的卫星通信技术以确保人造卫星的安全。 原作者:Pierluigi Paganini, 译者:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接。

德国军方正式成立网络空间作战指挥部(CIR)

据外媒 1 日报道,德国军方正式成立了网络空间作战指挥部(CIR)作为加强网络防御措施的一部分。 新任指挥官 路德维希·莱诺斯 中将透露,德国在北约联盟成员国中担任着重要角色,“成立作战指挥部的主要目的是保护德国本土军事 IT 基础设施和武器系统免受网络攻击侵扰,以及进行必要的网络威胁监测。” 德国网络空间作战指挥部将由 260 名信息技术专家组成,政府计划在 7月份左右将专家队伍扩展至 13,500 人。路德维希·莱诺斯中将表示,该作战指挥部的任务之一是持续发展网络攻防能力,“想要保护自己,就必须知晓敌方可能选择的攻击方案”。据悉,网络空间作战指挥部所有行动都必须得到德国议会的批准,这意味相关网络行动都将被视为常规军事任务。 近年来德国政府频繁受到境外黑客组织侵扰,仅上个月其高级官员就曾透露,去年德国连遭俄罗斯网络间谍组织“花式熊”的两次攻击,黑客甚至使用北约域名发送钓鱼邮件诱使德国政客感染间谍软件。德国国防部也表示,在 2017 年的头 9 个星期里,联邦政府的 IT 系统就已受到 28 万多次的袭击。 原作者:Pierluigi Paganini, 译者:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密:CIA 正升级 DerStarke 2.0 恶意软件,苹果不可能“修复”漏洞

摘要:苹果公司上周发布公告称已修复 CIA 泄密文件中的漏洞,而维基解密却表示,美国中情局正将 DerStarke 恶意软件升级至 2.0 版本以感染更多的苹果产品,“Dark Matter” 中所提及的漏洞不可能完全修复。 上周四,维基解密发布了 Vault 7 第二批泄密文档,其中命名为“Dark Matter(暗物质)”的机密文件详细介绍了 CIA 是如何开发定制黑客工具来破坏 iPhone 和 Mac 的。苹果公司随后澄清表示“DarkMatter”记录的漏洞已被修复: “分析结果显示,文档提及的漏洞只存在于 iPhone 3G,2009 年 iPhone 3GS 推出时就已经修复了。早期评估还发现,自2003年之后,文档提到的 Mac 漏洞就已经修复,所有 Mac 都已被修复”。 然而维基解密却接连发布推文反驳称,“苹果不可能修复 DarkMatter 中所记录的漏洞,EFI 是一个系统性问题,而不是 0-day ”。 消息表明截至 2016 年,CIA 还在持续使用、更新着这些工具,也正在致力于开发 DerStarke 2.0。维基解密的推特似乎也在强调,尽管技术巨头有信心解决安全问题,但是苹果的产品依旧容易受到威胁。 与此同时,维基解密与苹果、谷歌等科技巨头之间的关系也变得微妙。虽然维基解密表示愿意协助科技公司修复漏洞,可却没有哪家公司敢于尝试合作。 英文稿源:ibtimes.co.uk,原作者:Ashok, 译者:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接。

分析报告:黑客组织 Winnti 滥用 GitHub 进行针对性攻击

来自网络安全解决方案团队(Cyber Safety Solutions Team)的分析结果 通常来说开发者在发布新版本的应用或维护创建的项目时需要经常修改源代码。为满足此方面需求,GitHub 作为一个提供版本控制管理的在线存储库托管服务应运而生。在许多方面,它就像一个程序员和开发人员的专属社交网站,为代码管理、共享、协作和集成提供了一个宝贵的平台。 尽管如此,GitHub 被滥用的现象也屡屡发生。例如,据称以学习为目的创建的开源勒索软件项目 EDA2 和 Hidden Tear 就曾在 GitHub 上进行托管并由此滋生了指向企业的各种分支。此外,物联网(IoT)设备漏洞利用工具在 GitHub 上也有提供。即使是用于针对性攻击的无限键盘记录器( Limiless Keylogger )也与 GitHub 项目相关联。 最近,具有传统网络犯罪(尤其是金融诈骗)背景的中国黑客组织 Winnti 集团被指控将 GitHub 滥用为疑似其新后门(被 Trend Micro 检测为  MBKDR64_WINNTI.ONM )的命令与控制( C&C )通信传输渠道。研究还表明,该组织目前仍在使用一些臭名昭著的 PlugX 恶意软件变种( Winnti 兵器库主要内容)通过特定的 GitHub 帐户进行有针对性的攻击操作。 恶意软件分析 安全团队分析的恶意软件分为两个文件:loader 和 payload。 loadperf.dll 是与其有着相似名称的合法对应文件的修改版本。作为 Microsoft 文件,它有助于操纵性能注册表。目前,已在原有分区上新添加了一个额外组件。该文件自复制在  WINDIR%\system32\wbem\ 上并替换原始 DLL,利用 Windows 收集与系统性能相关信息的合法文件——WMI 性能适配器服务(wmiAPSrv),通过 services.exe 导入loader。该系统还导入所有相关 DLL 文件并将payload loadoerf.ini 包括在内。感染链包括从 loadoerf.ini 导入的附加功能 gzwrite64(虽然为空)。gzwrite64 被用作 payload 入口点的虚假应用程序接口(API)。尽管 gzwrite64 由 loadperf.dll 导入,payload 主要功能实际上位于 loadoerf.ini 的 DLLMain 中。 图 1:添加至原 loadperf.dll 文件的附加分区 .idata 图 2: 导入的附加功能 gzwrite64 payload 是一个名为 loadoerf.ini 的文件,具有解密、运行和代码注入功能。DLLMain 被系统加载时通过 CryptUnprotectData 解密 payload。由于该功能高度依赖于实际“设备 ID ”,无法通过非原始受感染主机解密,增加了恶意软件分析难度。 图 3:payload 中使用的解密功能 解密之后,在设备上运行的部分代码随即被注入到 svchost.exe(一个关键的 Windows 组件);payload 被加载到内存。 图 4:loadoerf.ini 执行/感染流程 说到这里,GitHub 到底如何被滥用呢?感染成功后,恶意软件开始通过存储在 GitHub 项目中的库与 HTML 页面展开通信。 图5:托管  C&C 通信 HTML 页面的 GitHub 账号 看到上述图像,任何恶意软件威胁分析师都会立即将第3行代码识别为潜在的 PlugX 加密特征。开始标记 DZKS 与结束标记 DZJS 在 PlugX 中极具代表性。然而,仔细观察后发现解密算法不同于 PlugX。在此例中,解密过程会为实际的命令与控制(C&C)服务器提供引用:恶意软件将连接到的 IP 地址与端口号。 Winnti 目前通过使用不同的加密算法将这些 C&C 信息存储在 Github 文件中。其中之一就是 PlugX 使用的算法。事实上,我们已从分析的 C&C 字符串中发现了 PlugX 引用,表明该组织也可能在这次特定活动中使用相同后门。虽然我们无法通过那个特定的 GitHub 账号查找到 PlugX 样本,但可以由此推测出一些 PlugX 变种如何在复杂大环境下通过该 GitHub 库获取 C&C 信息。 本次 GitHub 活动中使用的所有其他算法几乎全部派生自原始的 PlugX 算法: ○ PlugX 类型 +移位字符串 + Base64 ○ PlugX 类型 +移位字符串+ Base64 + XOR ○ PlugX 类型 + Base64 + XOR 其中一种算法还内置了标记字符串+ 移位字符串 + Base64编码。 Winnti 寻踪 网络犯罪分子使用的 GitHub 帐号创建于 2016 年 5 月。他们还曾于 2016 年 6 月通过该账号创建了一个源自另一个 GitHub 通用页面的合法项目/存储库(手机项目)。 Winnti 的 C&C 通信库创建于 2016 年 8 月。我们推测该 GitHub 帐户未被入侵、确由 Winnti 创建。截至 2017 年 3 月,该库已经包含了创建于不同时间的 14 个不同的 HTML 页面。 活动时间线 我们通过分析 GitHub 中暴露的日期映射 Winnti 开展的活动。对于每个文件,GitHub 存储首次与末次提交时间戳;这使我们能够创建该组织多台 C&C 服务器首次使用时间表。 我们对 IP 地址连接至 Winnti C&C 服务器的时间段进行监控,了解到具体行动从下午开始持续至深夜。此份时间表的特征与网络犯罪分子的传统工作时间相似,此类群体都有着较为简单的组织架构、偏好较晚时间开始工作直至深夜。实际上,我们仅观察了在周末开展的一次活动实例(在此期间创建了一个新的 HTML 文件)。 我们追踪到关于此 GitHub 账户的最早活动时间是 2016 年 8 月 17 日,最近一次发生在 2017 年 3 月 12 日。以下是根据监控记录整理出的 C&C 服务器 IP 地址首次使用时间线: 图6:C&C服务器IP地址时间线 C&C服务器 Winnti 使用的 GitHub 帐号显示了使用各种端口号的 12 个不同的 IP 地址。发送至这些 C&C 服务器的所有通信都经由三个不同的端口号:53(DNS)、80(HTTP)和 443(HTTPS)。这些均是 PlugX 和 Winnti 恶意软件变种在被入侵设备与 C&C 服务器之间进行通信时采用的典型技术。几乎所有 C&C 服务器都在美国托管,其中两台位于日本。 图 7:用于 C&C 通信的 IP 地址以及相应端口号 我们在此篇文章文发布前向 GitHub 私下透露了本次发现,目前正积极与他们展开合作,共同应对该威胁。 结论 滥用 GitHub 等备受欢迎的平台使 Winnti 等威胁行动者得以在雷达覆盖区域内实现被入侵计算机与服务器之间的网络连通。尽管 Winnti 可能仍在使用传统的恶意软件,通过相对独特的策略在威胁活动曲线上保持领先地位的能力反映出他们在具体行动中采用了更加高深的技术。 被检测为 BKDR64_WINNTI.ONM 的相关哈希值(SHA256): ○ 06b077e31a6f339c4f3b1f61ba9a6a6ba827afe52ed5bed6a6bf56bf18a279ba — cryptbase.dll ○ 1e63a7186886deea6c4e5c2a329eab76a60be3a65bca1ba9ed6e71f9a46b7e9d – loadperf.dll ○ 7c37ebb96c54d5d8ea232951ccf56cb1d029facdd6b730f80ca2ad566f6c5d9b – loadoerf.ini ○ 9d04ef8708cf030b9688bf3e8287c1790023a76374e43bd332178e212420f9fb — wbemcomn.ini ○ b1a0d0508ee932bbf91625330d2136f33344ed70cb25f7e64be0620d32c4b9e2 — cryptbase.ini ○ e5273b72c853f12b77a11e9c08ae6432fabbb32238ac487af2fb959a6cc26089 — wbemcomn.dll 英文稿源:blog.trendmicro.com,译者:Liuf,校对:BXD、FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。    

联合国专家警告: 假新闻和压制言论同样危险

联合国以及一些区域性组织负责监督言论自由的专家在一份联合声明中对日益滋长的 “虚假新闻” 和一些政治性宣传表达担忧,同时对政府诋毁媒体的言论提出警告。 声明中强调了各国政府在培育言论自由方面的责任,并指出任何有关言论自由权的限制,如对暴力、歧视和敌意的仇恨和刺激性宣传的禁止举措都应与《国际法》一致。 联合国声明没有指向具体事件,但表达了对假新闻和政府借假新闻压制言论的担忧。它鼓励媒体和公民社会鉴别并增强意识,对蓄意捏造的虚假新闻、不实信息和政治性宣传保持警觉。声明同时也提醒说,政府诬蔑、诽谤甚至威胁媒体的言论,尤其是指责媒体带有隐蔽的政治意图等说法非常危险。联合声明称任何国家性屏蔽整个网站、IP 地址或网络协议的行为都是 “一项极端举措,唯有在依据法规且针对保护一项人权或其他合法公共权益的情况下方属合理”。 稿源:solidot奇客;封面源自网络

NASA 宣布对公众开放 2017 年至 2018 年软件目录

据外媒报道,日前,NASA 宣布对公众开放其在 2017 年至 2018 年的软件目录。在这份目录中,人们可以找到涵盖 NASA 各任务和科研成果的类别和层面的代码。不过 NASA 表示当中会有一些代码存在限制查看的情况。但不管怎样,这是一次巨大、全面的开放。 据了解,该份目录由 NASA 的 Technology Transfer 项目组整理完成,而这成为 NASA 第三次对外开放如此多的信息。第一次发生在 2014 年 4 月。 用户接下来将可以下载或在线访问最近的软件目录。在里边,他们可以找到关于航空、NASA 行动、推进器、数据处理、数据储存、业务模式等相关的代码。先前公布的数据现在已经为大量企业和个人使用。 针对这次的软件目录开放,NASA Technology Transfer 项目负责人 Dan Lockney 表示: “软件已经成为 NASA 任务成功和科学发现的重要组成部分。实际上,在所有上报的 NASA 创新中,超 30% 都是软件。我们非常高兴向其他机构提供这些工具,并且我们非常期待看到它们得到全新的、创新的使用方式。” 稿源:cnBeta;封面源自网络

智能手机已成黑客攻击的首选目标

据法国法新社 3 月 2 日消息,专家警告称,载有银行数据、信用卡信息和个人地址等数据的智能手机俨然已经成为个人资料库,但这也使其成为网络罪犯的首选攻击目标。国际杀毒软件公司卡巴斯基实验室法国分公司的主管唐吉(Tanguy de Coatpont)在巴塞罗那召开的世界移动通信大会上表示: “哪里的信息有价值,哪里就有网络罪犯的身影。网络罪犯们意识到智能手机已经成为网上购物和支付的首选终端。” 报道称,勒索软件( Ransomware )也已经开始将智能手机作为目标。该软件是一种通过锁住计算机,使用户无法正常使用,并以此胁迫用户支付解锁费用的恶意软件。 专家们在世界移动通信大会上说,现在手机因为能够接触到其用户关键信息,也在受到攻击。英特尔安全事业部法国部门的负责人法比安•雷什( Fabien Rech )表示,网络罪犯的手段已经从用勒索软件攻击智能手机发展为利用窃取的手机银行用户登录凭据的木马病毒软件。他们利用盗窃得来的凭据就可以远程登录受害人的帐户,之后将钱转走。 雷什说:“我们看到越来越多的银行应用程序受到了攻击。” 根据斯洛伐克网络安全公司 ESET 的数据显示,去年全球针对手机银行应用程序的网络攻击频率增加了 17% 。 卡巴斯基实验室的负责人、俄罗斯网络安全专家尤金•卡斯佩尔斯基( Eugene Kaspersky )说,一些年轻网络犯罪分子更擅长利用智能手机。 他说:“我认为前代网络罪犯攻击的目标是个人电脑,而新一代的攻击对象则是智能手机”。 稿源:cnBeta;封面源自网络  

科学家证明他们可在一克 DNA 中存储 215PB 数据

哥伦比亚大学的研究人员已经设法推动 DNA 数据存储的极限,并使令人兴奋的生物技术更接近成为现实。通过利用新技术,他们能够在 DNA 链中存储电影,操作系统和其他数据,并且无错误地检索这些数据。 在这个固态驱动器和 MicroSD 存储盛行的世界,磁带仍然是一些最常用和最重要的存储介质。这是因为存储大量数据,具有可靠性且不会使用大量的资源,仍然是计算机工程师的一个难题。然而,答案可能来自生活世界,即 DNA 存储。 资料图 多年来,科学家已经推理并且证明 DNA 可以用作数据存储介质,并且它具有一些显着的性质,使其成为理想的存储介质。现在,科学家已经设法在 DNA 当中存储比以往任何时候更多的数据,并且已经证明它可以被复制和检索几乎无限多次,具有零错误。 通过使用流式传输和在线压缩视频的数据技术,研究人员能够将 1.6 位数据包装到每个核苷酸中,接近理论极限的 1.8。这听起来不是很多,但科学家证明他们可以有效地在一克 DNA 当中存储 215PB 数据。 该技术还具有其他优点,如高可靠性,以及 DNA 将永远不会过时的事实,像其他技术一样,DNA 也可以储存数千年,之后仍然可以读取数据,但仍然有成本问题。使用这种技术存储和检索仅仅几兆字节的数据仍需要数千美元,因此我们不太可能在任何设备上看到 DNA 存储。然而,像谷歌和微软那样必须处理不可想象数据量的公司可能会发现 DNA 存储在经济上是可行的。 稿源:cnBeta;封面源自网络

亚马逊宕机原因查明:员工误操作致 AWS 云平台移除大量站点

几天前,亚马逊 Web 服务遭遇了一场部分停摆的尴尬,许多互联网站点都受这波故障的影响而离线。而根据亚马逊刚刚发布的详情报告,事情可能需要归咎于某个员工从 S3 子系统中,向一台远程服务器输入了一个“常规命令”。 不幸的是,员工输入了一个比预想的要大得多的数字。命令影响到了另外两个 S3 子系统上的服务器,而后者分管着全区的存储和元数据 —— 事情就此变得一发而不可收拾。 报告解释到: 一名 S3 团队的授权成员,用一个既定的脚本执行了一个命令。 他原本是想将(通过 S3 计费处理的)一小部分服务器从某个 S3 子系统中移除,却不慎输入了一个不正确的指令,结果移除了一大票比预期更大数量的服务器。 无意中删除的服务器位于两个其它 S3 子系统中,其中一个是索引子系统,管理者元数据和全区所有 S3 对象的定位信息。 稿源:cnBeta;封面源自网络