内容转载

= ̄ω ̄= 内容转载

继俄罗斯后,伊朗也发出将禁掉 Telegram 的信号

据外媒报道,伊朗政府似乎也打算在本国禁掉 Telegram,而就在几日前,俄罗斯颁布了 Telegram 禁令。实际上在今年早些时候,伊朗曾暂时禁过 Telegram 和 Instagram。Telegram 是一款加密的即时通讯应用程序,它还能为新闻机构乃至政府机构使用。 据悉,这款应用在伊朗拥有 4000 万名用户,而该国上网的用户大概也只有 5000 万,可见 Telegram 在这个国家的普及性。 当地时间周三,伊朗最高领袖哈梅内伊( Ayatollah Khamenei )表示,为了遏制 Telegram 的“垄断”,各政府机构将不能再使用 Telegram。哈梅内伊则是在个人 Telegram 频道上发布了这条消息,如此看来 Telegram 在该国拥有绝对的垄断地位。 《卫报》报道称,除了遏制 Telegram,伊朗政府此举还有一个目的–支持本国的社交媒体应用。尽管哈梅内伊的这条消息暗示了即将到来的 Telegram 禁令,但牛津互联网研究所博士生 Mahsa Alimardani 表示,至于伊朗政府未来真的要关闭 Telegram 现还不能确定,但显然比其他任何时候都更有可能。 Alimardani 指出,一直以来,伊朗政府在对待通信这个问题上尤为直言不讳,今年一月它就曾经暂时禁掉了 Telegram。 目前,伊朗政府至少已经开始尝试让本国用户转移到 iGap、Soroush、Gap 等本土通信平台上。 据了解,俄罗斯方面在实行 Telegram 禁令时采取了屏蔽属于美国谷歌和亚马逊云端服务的 IP,而这致使上百万个 Telegram 的 IP 地址受到了影响。现在还不清楚伊朗是否也会采取类似的手段。 稿源:cnBeta,封面源自网络

LG 网络存储设备存在严重 RCE 漏洞

安全公司 VPN Mentor 的专家发现了一个影响大多数 LG NAS 设备的预认证 RCE(远程代码注入)漏洞,攻击者可利用该漏洞获取设备的最高权限。 LG 尚未针对该漏洞发布安全更新,如果你是 LG NAS 设备的用户,应避免在公网上暴露设备,并尽快使用仅允许来自授权 IP 连接的防火墙进行保护。此外,VPN Mentor 的专家还建议,用户应定期检查设备上的所有注册用户,加强排查可疑活动。 稿源:freebuf,封面源自网络;

Avast:去年9月份问题 CCleaner 下载量为 227 万次

去年9月份,来自 Cisco Talos 和 Morphisec 的安全专家发布了堪称噩梦般的披露:知名计算机清理工具 CCleaner 曾被黑客入侵长达一个多月了。从 CCleaner 母公司 Avast(本身也是一家安全公司)服务器下载软件更新会植入恶意软件的后门。根据初步预估,大约数百万台计算机被称之为数字供应链的攻击方式感染。本周二在旧金山举行的 RSA 安全大会上,Avast 执行副总裁兼首席技术官 Ondrej Vlcek 表示根据事后的调查分析,本次有问题 CCleaner 的版本下载量达到了 227 万次。 去年 3 月 11 日,攻击者成功入侵了 Piriform 公司(创建了 CCleaner )的系统;同年 6 月份,Avast 收购了 Piriform;同年 9 月份,就爆发了重大的安全危机。Vlcek 表示在事件发生之后采取了快速反应,而且经过这次事件之后 Avast 吸取教训也知道如何更好的保护用户。 据悉,黑客入侵后在 CCleaner v5.33.6162、CCleaner Cloud v1.07.3191 两个版本的软件中植入了远程管理工具,会在用户后台偷偷连接未授权网页,下载其他软件。由于整个恶意字符串盗用了 CCleaner 的正版数字签名,这一下载行为不会引起任何异常报警,用户也毫无察觉。 另外,黑客还会尝试窃取用户本机隐私信息。Avast 直到 9 月 12 日才发现异常,当天就发布了干净的 CCleaner v5.34 ,三天后又升级了CCleaner Cloud ,建议使用这款软件的用户赶紧升级最新版本。 稿源:cnBeta,封面源自网络

英特尔发布新技术,利用内置 GPU 扫描恶意程序

英特尔昨天在 RSA 2018 安全会议上发布了几项新技术,其中一项功能是把病毒扫描嵌入了一些英特尔 CPU 的集成图形处理器上。这项新技术的名称是英特尔加速内存扫描( Intel Accelerated Memory Scanning )。英特尔表示,这项新功能让杀毒引擎减少 CPU 利用率,为其他应用程序腾出资源,同时,使用嵌入式 GPU 还会节省电池寿命。 给杀软跑分 目前,所有安全软件都使用计算机的 CPU 来扫描本地文件系统中的恶意软件,但往往对系统资源消耗极大。 “英特尔测试系统跑分显示,CPU 利用率从 20% 下降到仅 2% ,”英特尔副总裁 Rick Echevarria 在新闻稿中提到。 Windows Defender 的商业版本 Microsoft Windows Defender Advanced Threat Protection (ATP),已经使用该功能。 其他英特尔安全功能 除了加速内存扫描外,英特尔还在昨天的 RSA 活动上推出了另外两项新技术。 一是英特尔高级平台遥测技术,这是一种将平台遥测与机器学习相结合的工具,可加快威胁检测。思科表示思科 Tetration 平台将部署这项新技术,该平台为全球数据中心提供安全保护。 二是 Intel Security Essentials,它是一系列可信根硬件安全功能的集合,部署在英特尔的 Core,Xeon 和 Atom 处理器系列中。 “这些功能是用于安全启动、硬件保护(用于数据,密钥和其他数字资产)、加速加密和开辟可信执行区的平台完整性技术,以在运行时保护应用程序,”Echevarria 说。 尽管没有透露任何其他细节,英特尔表示,Security Essentials 功能都是基于硬件的硅级安全功能,旨在让应用程序开发人员构建专注于安全的应用程序,以安全方式处理敏感数据。 稿源:freebuf,封面源自网络;

五万 Minecraft 用户感染了格式化硬盘的恶意程序

安全公司 Avast 报告,近五万 Minecraft 账号感染了设计格式化应硬盘和删除备份及系统程序的恶意程序。恶意代码本身并不多么复杂,被认为是拷贝了已有代码,但它的隐藏在修改的游戏皮肤中,上传到了 Minecraft 官方网站,因为托管在官方域名,当安全软件弹出警告后可能会被用户认为是误报。 Minecraft 是最受欢迎的沙盒游戏之一,截至 2018 年 1 月全世界有 7400 万玩家,但只有一下部分上传修改的皮肤,绝大部分使用默认皮肤,所以只有一小部分人被感染。 稿源:cnBeta、solidot,封面源自网络;

Roaming Mantis 通过 DNS 劫持攻击亚洲的智能手机

卡巴斯基实验室的研究人员发现一种最新的通过域名系统( DNS )劫持技术传播的安卓恶意软件,其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为 Roaming Mantis,目前仍然非常活跃,其攻击目的是窃取包括凭证在内的用户信息,从而让攻击者可以完全控制被感染的安卓设备。2018 年 2 月至 4 月期间,研究人员在超过 150 个用户网络中检测到这种恶意软件,主要受害者位于韩国、孟加拉国和日本,而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织,其目的应该是为了获利。 卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监 Vitaly Kamluk 表示:“日本的一家媒体最近报道了这次攻击事件,但是在我们稍微进行了一些研究后发现,这种威胁并非起源自日本。事实上,我们发现了多个线索,表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此,大多数受害者也不在日本。Roaming Mantis 似乎主要针对韩国的用户,日本受害者似乎是某种附带危害。 卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击,通过一种非常简单却有效的劫持受感染路由器 DNS 设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦 DNS 被成功劫持,用户访问任何网站的行为都会指向一个看上去真实的 URL 地址,其中的内容是伪造的,并且来自攻击者的服务器。这些地址会要求用户“为了获得更好的浏览体验,请升级到最新版 Chrome。”点击链接会启动被植入木马的应用被安装,这些被感染的应用通常被命名为“ facebook.apk ”或“ chrome.apk ”,其中包含攻击者的安卓后门程序。 Roaming Mantis 恶意软件会检查设备是否被 root,并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据,包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序 ID。综合起来,这些迹象表明这次攻击行动的目的可能是为了获得经济利益。 卡巴斯基实验室的检测数据发现了约 150 个被攻击目标,进一步分析还发现平均每天有数千个对攻击者命令和控制( C2 )服务器的连接,表明攻击的规模应该更大。 Roaming Mantis 恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外,它支持四种语言,分别为韩语、简体中文、日语和英语。但是,我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。 卡巴斯基实验室日本安全研究员 Suguru Ishimaru 说:“ Roaming Mantis 是一个活跃并且迅速变化的威胁。所以我们现在就发表了相关发现,而没有等到找到所有答案后再发布。这次的攻击似乎有相当大的动机,我们需要提高用户的防范意识,让人们和企业能够更好地识别这种威胁。这次攻击使用了受感染的路由器以及劫持 DNS 的手段,表明采用强大的设备保护和安全连接的必要性” 卡巴斯基实验室产品将这种威胁检测为“ Trojan-Banker.AndroidOS.Wroba ”。 为了保护您的互联网连接不受感染,卡巴斯基实验室建议采取以下措施: ● 请参阅您的路由器的使用说明,确保您的 DNS 设置没有被更改,或者联系您的互联网服务提供商(ISP)寻求支持。 ● 更改路由器管理界面的默认登录名和密码。 ● 不要从第三方来源安装路由器固件。不要为您的安卓设备使用第三方软件来源。 ● 定期从路由器的官方升级您的路由器固件。 稿源:比特网,封面源自网络;

安卓手机爆发“寄生推”病毒 2000 万用户遭遇恶意推广

如“ 寄生虫 ”一般的恶意推广手段正在严重影响上千万手机用户的使用体验。近日,腾讯 TRP-AI 反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,通过预留的“后门”云控开启恶意功能,进行恶意广告行为和应用推广,以实现牟取灰色收益。目前已有 300 多款知名应用受“寄生推 ”SDK 感染,潜在影响用户超 2000 万。 超 300 多款知名应用遭“寄生推”病毒“绑架” 潜在影响超 2000 万用户 大量用户已经受到了“寄生推”推送 SDK 的影响。根据腾讯安全联合实验室反诈骗实验室大数据显示,已有数十万用户设备 ROM 内被植入相关的恶意子包,受到影响的设备会不断弹出广告和地下推广应用。此外,这些恶意子包可以绕过大多应用市场的安装包检测,导致受感染的应用混入应用市场,给用户和应用开发者带来重大损失。 更值得关注的是,感染“寄生推” SDK 的知名应用中,不仅类型丰富,更是不乏用户超过千万的巨量级软件,“我们估测超过 2000 万用户都受此威胁”,腾讯安全联合实验室反诈骗实验室技术工程师雷经纬表示。 (图:“寄生推”推送 SDK 恶意子包影响范围广) 传播过程酷似“寄生虫”:强隐蔽性+强对抗性 “寄生推”不仅影响范围广,在传播路径上更是“煞费苦心”。据雷经纬介绍,该信息推送 SDK 的恶意传播过程非常隐蔽,从云端控制 SDK 中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力,与“寄生虫”非常类似,故将其命名为“寄生推”。 具体表现为,首先,其开发者通过使用代码分离和动态代码加载技术,完全掌握了下发代码包的控制权;随后,通过云端配置任意下发包含不同功能的代码包,实现恶意代码包和非恶意代码包之间的随时切换;最后在软件后台自动开启恶意功能,包括植入恶意应用到用户设备系统目录,进行恶意广告行为和应用推广等,最终实现牟取灰色收益。 如何远离手机中的“寄生虫”?安全专家三大建议 为了帮助用户避免“寄生推”推送 SDK 的危害,腾讯手机管家安全专家杨启波提出以下三点建议:其一,SDK 开发者应尽可能的避免使用云控、热补丁等动态代码加载技术,要谨慎接入具有动态更新能力的 SDK,防止恶意 SDK 影响自身应用的口碑;其二,用户在下载手机软件时,应通过应用宝等正规应用市场进行,避免直接在网页上点击安装不明软件。 (图:腾讯手机管家查杀“寄生推”病毒) 最后,用户应养成良好的安全使用手机的习惯,借助腾讯手机管家等第三方安全软件对手机进行安全检测,移除存在安全风险的应用。作为用户手机安全的第一道防线,腾讯手机管家借助腾讯 TRP-AI 反病毒引擎的检测及分析能力,进一步增强整体防御能力。据了解,腾讯 TRP-AI 反病毒引擎,首次引入基于 APP 行为特征的动态检测,并结合AI深度学习,对新病毒和变种病毒有更强的泛化检测能力,能够及时发现未知病毒,变异病毒,和及时发现病毒恶意代码云控加载,更为智能的保护用户手机安全。 稿源:凤凰网,封面源自网络;

加密货币交易所 Kraken 退出日本市场

据彭博社报道,世界上运营时间最长的加密货币交易所之一——Kraken 将结束其为日本居民提供的交易服务。这家总部位于旧金山的公司指出在日本的运营成本上升导致其作出这项决定,尽管该公司表示未来可能会重新进入该国。 Kraken 在一份电子邮件声明中表示,暂时计划在 6 月底之前停止其在日本市场提供的所有服务。该公司于 2014 年 10 月开始进入日本。该公司在声明中表示,“暂停日本居民的服务将使我们能够更好地关注我们的资源,以改善其他地区的情况。这是一种局部暂停服务,只影响日本居民,不影响日本以外的企业的服务。” 根据 Coinmarketcap.com 的数据,Kraken 在过去 24 小时内的交易量在全球排名第 10,交易额达 1.9 亿美元。该公司被允许在日本无证经营。 长期以来,日本政府对数字货币实行较为宽松的监管政策。今年早些时候,日本加密货币交易所 Coincheck 表示,在被黑客攻击后该公司损失了价值 5 亿多美元的数字货币。这导致日本政府决定全面检查数字货币交易所,但不是彻底禁止它们。本月早些时候,日本宣布计划将 ICO 合法化。 稿源:cnBeta,封面源自网络;

Telegram 迁移后 俄罗斯封杀 180 万个亚马逊和谷歌云服务 IP 地址

上周末,Telegram 宣布将部分服务基础设备迁移到 Amazon Web Services 和 Google Cloud 服务器之后, 俄罗斯联邦通信监管局(Roskomnadzor)采取了更严厉的封禁措施。今天已经禁止了 180 万个隶属于亚马逊和 Google 云基础架构的 IP 地址。官方公告称将会从俄罗斯ISP级别禁止以下网段的 IP 地址,共计 1,835,008 个 IP 地址。 被禁的 IP 网段包括: 52.58.0.0/15 18.196.0.0/15 18.194.0.0/15 18.184.0.0/15 35.156.0.0/14 35.192.0.0/12 由于 Telegram 拒绝向俄罗斯主要情报服务 FSB 提交用户的加密秘钥,俄罗斯联邦通信监管局在今年 4 月 13 日(周五)开始封杀 Telegram 客户端。随后 Telegram 表示将服务迁移至亚马逊和 Google 的服务器上,以便于继续为俄罗斯用户提供服务。 很多俄罗斯用户在社交媒体上吐槽 Roskomnadzor 的决定,而且本次封杀了如此庞大的 IP 地址,也会导致很多合法网页服务无法正常工作。已经有用户报告大量在线游戏、移动应用和加密货币服务处于宕机状态。 稿源:cnBeta,封面源自网络;

英美警告俄罗斯黑客入侵全球路由器

周一的时候,英美情报机构发布了又一起与俄罗斯有关的潜在网络威胁警告。特别工作小组称,这群黑客得到了俄罗斯政府的支持,意图劫持全球路由器,且有可能取得了一定程度的成功。攻击目标包括互联网服务提供商、政府、小企业、以及 SOHO 。计算机应急响应小组(CERT)发布的警告称,黑客们似乎正在尝试接管网络基础设施。 美国国土安全部(DHS)、联邦调查局(FBI)、以及英国全国网络安全中心(NCSC)的一支联合安全专家团队,已经在某些国家的设备上发现其启用了通用路由封装(GRA)、思科智能安装(SMI)、以及简单网络管理协议(SNMP)。 福布斯报道称,在公告发布前,来自国家安全委员会(NSC)的总统特别助理兼网络安全协调员 Rob Joyce 已经向媒体作了简报,称高度相信俄罗斯在攻击背后横插了一脚。 英国 NCSC 主管 Ciaran Martin 补充道:攻击可追溯到一年前,不排除俄罗斯可能试图利用这个被黑客攻击的基础设施发起进一步的行动。 CERT 报告指出,作为一种执行中间人攻击的手段,黑客意图渗透路由器、交换机、防火墙、以及网络入侵检测系统。 黑客使用的攻击载体,是端口上与网络管理有关的老旧或脆弱协议。据研究人员所述,攻击者利用了以下漏洞: ● 带有未加密协议、或无身份验证服务的设备; ● 安装前就不够坚硬的设备; ● 制造商或供应商不再提供安全补丁(EoL)的设备。 报告详情: https://www.us-cert.gov/ncas/alerts/TA18-106A 稿源:cnBeta,封面源自网络;