内容转载

= ̄ω ̄= 内容转载

伪装为 WAV 的恶意软件在受害设备上挖矿 但其 bug 导致 BSOD

Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击,该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件,并包含一个Monero挖矿软件,它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。 这款恶意软件唯一的bug,是最终导致受感染的电脑蓝屏死亡(BSOD),并且显示相关错误代码,最终引起受害者怀疑,并引发对事件的深入调查。 研究人员表示,BSOD于10月14日首次发现,当时发生致命崩溃的机器正在尝试执行长命令行(实际上是基于base-64编码的PowerShell脚本)。对脚本进行解码后,研究人员获得了可读的Powershell脚本,该脚本用于部署恶意软件。该脚本首先检查系统架构(基于指针大小)。然后,它读取存储在上述注册表子项中的值,并使用Windows API函数WriteProcessMemory将该值加载到内存中。研究人员指出,恶意软件负载通过获取和调用函数指针委托来执行。 该恶意软件尝试使用基于EternalBlue的漏洞传播到网络中的其他设备,该漏洞与WannaCry于2017年使用的漏洞相同,感染了全球数千台电脑。在对恶意软件进行反向工程之后,研究人员发现该恶意软件实际上隐藏了伪装成WAV文件的Monero挖矿模块,使用CryptonightR算法来挖掘Monero虚拟货币。此外,该恶意软件利用隐写术并将其恶意模块隐藏在外观清晰的WAV文件中。” 研究人员发现,完全删除恶意软件(包括终止恶意进程)阻止了在受害设备上发生BSOD。   (稿源:cnBeta,封面源自网络。)

外媒评俄罗斯攻击 Burisma 一事:证据不完全可靠

据外媒报道,2016年美国民主党全国委员会灾难性的黑客攻击给所有担心国际混乱竞选的人敲响了警钟。当地时间周一晚,美国人又有了一个担心2020年大选的新理由。《纽约时报》和网络安全公司Area1报道了俄罗斯情报机构针对乌克兰天然气公司Burisma发起的新一轮黑客攻击。 几个月来,共和党方面一直在暗示该公司内部存在一些可怕的腐败行为,如果俄罗斯间谍真的侵入了这家公司的网络那么可能就会带来非常可怕的后果。 一些国会议员则已经在预测2016年大选将会重演,民主党众议员Adam Schiff评论道:“看起来他们又想帮助这位总统(特朗普)。这是一个令人担忧的想法,考虑到特朗普上次拒绝承认俄罗斯的黑客行为,没有迹象表明白宫会采取任何措施来阻止它。” 尽管报告描绘了一幅可怕的画面,但证据并不像看上去那么确凿。虽然已经有强有力的证据表明Burisma成功地成为了网络钓鱼活动的目标,但很难确定是谁在背后支持这个活动。确实有迹象表明,俄罗斯的GRU情报机构可能参与其中,但证据大多是间接的。 据了解,大部分证据都在一份跟《纽约时报》文章一起发布的八页报告中。核心证据是以前针对Hudson Institute和George Soros的攻击模式。最糟糕的是,这些钓鱼活动都使用了相同的SSL供应商和相同URL的不同版本然后伪装成一个名为“My Sharepoint”的服务。在Area1看来,这是GRU的战术,Burisma只是众多目标中最新的一个。 但并不是所有人都认为基于域名属性的推断就是十拿九稳的。当Kyle Ehmke检查ThreatConnect相同模式的早期迭代时,他得出了一个更为慎重的结论,即“适度自信”地评估这些域名跟APT28有关–APT28是俄罗斯GRU的缩写。“我们看到了一致性,但在某些情况下,这些一致性并不适用于单个演员,”Ehmke告诉TheVerge。这种注册和网络钓鱼攻击的模式确实像是GRU的剧本,但它不是唯一的剧本也不是其利用的唯一剧本。 实际上,这意味着网络运营商应该在任何时候发现符合这种情况的攻击时发出警报,但要对单个事件做出明确的裁决就显得困难得多。竞选活动中使用的网络基础设施都是公开的,而且还被其他很多政党使用,所以这些都不能算是确凿的证据。而最显著的特征是术语“sharepoint”,研究人员只在跟GRU紧密相连的url中看到过这个词。但任何人都可以注册一个带有“sharepoint”的URL,所以这种连接只是间接的。 Ehmke指出:“这是一组值得注意的一致性,它可以用来寻找和识别他们的基础设施。但这并不是说所有具有这些一致性的东西都已经是而且将会是APT28。” 在缺乏一个特定机构的战略和目标的具体信息的情况下很难做出更强的归因。走向相反的方向–从一个弱归因到一个意图的假设–可能是危险的。 令人沮丧的是,这种弱归因在网络安全世界中非常常见,当各国努力搞清楚网络战的国际外交时它可能会引发真正的问题。乔治亚理工学院Internet Governance Project前执行董事Farzaneh Badii把原因不明归为“可以在技术上受到质疑的间接证据”。她认为这是一个全球性的问题,并主张成立国际归因小组来解决这种僵局,这样观察员就不必依赖私营公司或政府情报机构。如果没有这个信任问题就很难解决。   (稿源:cnBeta,封面源自网络。)

苹果 iPhone 现在可作为 Google 的物理安全密钥

谷歌更新了iOS上的Google Smart Lock应用程序。用户现在可以使用iPhone作为物理2FA安全密钥登录Chrome中的Google第一方服务。设置完成后,尝试在笔记本电脑等设备上登录Google服务,就会在附近的iPhone上生成推送通知。然后,您需要解锁支持蓝牙的iPhone,并点击谷歌应用程序中的一个按钮进行身份验证,然后才能在笔记本电脑当中登录Google第一方服务。 双因素身份验证是保护在线帐户最重要步骤之一,它提供了标准用户名和密码之外的附加安全层。物理安全密钥比当今普遍使用的六位数代码安全得多,因为这些代码几乎可以像密码本身一样被截获。谷歌之前已经允许用户使用自己的Android手机作为一个物理安全密钥,现在谷歌在iOS上提供了这个功能,这意味着拥有智能手机的任何人现在都拥有安全密钥,而无需购买专用设备。 谷歌Smart Lock应用程序通过蓝牙工作,而不是通过互联网连接。这意味着用户手机必须靠近笔记本电脑才能进行身份验证,从而提供了另一层安全保护。但是,该应用程序本身并不需要任何生物特征认证,如果用户的手机已被解锁,理论上来说,附近的攻击者可以打开该应用程序并验证登录尝试。 据Google的一位加密货币专家说,新功能利用了iPhone处理器的Secure Enclave功能,该安全区用于安全存储设备的私钥。该功能最初是在iPhone 5S上引入的,Google表示,这项安全功能需要iOS 10或更高版本才能运行。Smart Lock应用程序的新功能意味着iPhone现在可以与谷歌的高级保护程序一起使用,该程序是谷歌对网络钓鱼或其他攻击的最强保护。   (稿源:cnBeta,封面源自网络。)  

本月补丁星期二将修复严重安全漏洞 Windows 7 或无缘获得

援引外媒KrebsonSecurity报道,在2020年1月的补丁星期二活动中,微软可能已准备好修复存在于Windows系统中的严重加密漏洞,而该漏洞能够让恶意程序伪装成为受信任的组件欺骗用户进行安装感染。而重点是,今天正式停止支持的Windows 7系统可能不会修复该漏洞。 KrebsonSecurity在推文中写道:“消息源称微软计划在补丁星期二中修复存在于所有Windows版本中的严重安全漏洞,该漏洞是一个核心加密组件,可能会被用来欺骗数字签名软件的来源。显然,国防部和其他一些人会获得一个高级补丁https://t.co/V6PByhjTNR” 报道中称存在于Windows组件crypt32.dll中的安全漏洞非常严重,以至于Microsoft提前向政府安全服务发布了补丁。 KrebsonSecurity表示:“多方消息源确认,微软公司定于本周二发布软件更新,以修复所有Windows版本中核心加密组件中的严重漏洞。目前相关补丁已经提前发给了美军分支机构、以及管理关键互联网基础设施的其他高价值客户/目标,而且这些组织被要求签署协议以阻止他们透露漏洞的细节。” 不过在后续的声明中,微软否认了这一点。更为严重的是,该组件可以追溯到Windows NT时代的所有Windows版本,不过由于Windows 7停止支持,微软将不会发布相应的安全补丁。   (稿源:cnBeta,封面源自网络。)

安全公司发现俄黑客成功入侵 Burisma 网络:或对美大选产生干扰

据《纽约时报》报道,硅谷一家名为Area1的安全公司表示,他们发现有迹象表明,由国家资助的俄罗斯黑客成功入侵了乌克兰天然气公司Burisma。该公司在美国政治中扮演了核心角色,因为它跟民主党总统候选人领跑者约瑟夫·拜登关系密切。拜登的儿子亨特则是该公司的董事。 约瑟夫·拜登资料图 今年7月,特朗普总统要求乌克兰政府调查Burisma事件以找出有关拜登家族的破坏性信息。据称,特朗普曾威胁称,如果乌克兰总理不宣布展开调查,他将停止对乌克兰的军事援助。这一要求是总统正在进行的弹劾程序的核心,这也使得Burisma成为任何试图干涉美国政治的人的诱人目标。 而据安全公司Area1披露,他们发现了发送给Burisma员工的钓鱼邮件,这些邮件带有GRU黑客活动的许多特征。这些黑客显然成功获取了员工的登录信息,不过目前还不清楚他们究竟获取了多少信息。如果GRU真的有参与其中,那么该组织可能会在2020年总统大选期间曝出令人尴尬的信息。 据了解,在攻击Burisma的过程中,俄罗斯黑客可能采取了跟2016年大选期间其破坏希拉里·克林顿总统竞选活动类似的手段。   (稿源:cnBeta,封面源自网络。)  

研究发现五家美国电信企业易受 SIM 卡交换攻击

普林斯顿大学昨日发表的一项学术研究指出,美国五家主要的预付费无线运营商,极易受到 SIM 卡劫持攻击。其特指攻击者致电移动服务提供商,诱使电信企业员工将电话号码更改为攻击者控制的 SIM 卡,使之能够重置密码并访问敏感的在线账户,比如电子邮件收件箱、网银门户、甚至加密货币交易系统。 (图自:Apple,via ZDNet) 该校学者去年花费大量时间测试了美国五家主要电信运营商,以验证其是否能够欺骗呼叫中心的员工,在不提供适当凭据的情况下,将用户电话号码变更为另一个 SIM 卡。 研究团队指出,AT&T、T-Mobile、Tracfone、US Mobile 和 Verizon Wireless 均被发现在其客户支持中心中使用了易受攻击的程序,导致攻击者可借此发起 SIM 卡交换攻击。 此外,研究团队分析了 140 个线上服务和网站,发现有 17 个易被攻击者利用 SIM 卡交换攻击来劫持用户的账户。 为开展研究,团队先是创建了 50 个预付费账户(每运营商 10 个),并在唯一对应的电话上展开真实的通话。 一段时间后,研究团队开始向各个电信企业的客服中心致电,并提出类似的请求。 (图自:Lee et al)   其想法是攻击者会致电电信企业的支持中心,以求更换 SIM 卡,但故意提供了错误的 PIN 码和账户所有者的详细信息。 当在出生日期或账单邮递区号之类的隐私问题上提供不正确的答案时,研究助理会辩解称其在注册时过于粗心,导致提供了错误的信息,且一时难以回想起来。 此时,在前两种身份验证机制都失败后,电信企业会切换到第三套方案 —— 要求提供最近的两次通话记录。 在复杂的攻击流程中,攻击者可能诱骗受害者拨打特定的电话号码,因而运营商的防线很容易被攻破。 研究人员表示,借助这套方案,他们成功地骗过了所有五家美国预付费无线运营商。 在昨日发表研究结果时,团队就已经向受影响的各方发去了通知。T-Mobile 在审查了研究结果之后,决定不再使用呼叫记录进行客户身份验证。 遗憾的是,目前仍有四家运营商在使用易受攻击的验证流程。     (稿源:cnBeta,封面源自网络。)  

微软发现恶意 npm 软件包,可从 UNIX 系统窃取数据

Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。 该恶意软件包名为 1337qq-js,于 2019 年 12 月 30 日上传到 npm 存储库中。目前,该恶意软件包已被 npm 的安全团队删除。在此之前,该软件包至少被下载了 32 次。 根据 npm 安全团队的分析,该软件包通过安装脚本来泄漏敏感信息,并且仅针对 UNIX 系统。 它收集的数据类型包括: 环境变量 运行过程 / etc / hosts 优名 npmrc文件 其中,窃取环境变量则被视为重大安全漏洞。npm 团队建议所有在其项目中下载或使用此 JavaScript 程序包的开发人员从其系统中删除该程序包,并轮换使用任何 compromised 的凭据。 事实上,这是恶意软件包第六次被放入 npm 存储库索引,此前的五次分别为: 2019 年 6月 -黑客将电子本地通知库进行后门操作,以插入到达 Agama 加密货币钱包的恶意代码。 2018 年11月 -一名黑客借壳了the event-stream npm 程序包,以将恶意代码加载到 BitPay Copay 桌面和移动钱包应用程序内部,并窃取加密货币。 2018 年 7月 -黑客利用旨在窃取其他开发人员的 npm 凭据的恶意代码破坏了 ESLint 库。 2018年 5月 -黑客试图在名为 getcookies 的流行 npm 包中隐藏后门。 2017 年 4月 -黑客利用敲诈手段在 npm 上载了 38 个恶意 JavaScript 库,这些库被配置为从使用它们的项目中窃取环境细节。     (稿源:开源中国,封面源自网络。)

美政府为低收入家庭提供手机被植入恶意程序 且无法清除

为美国低收入家庭提供的智能手机近日被发现存在恶意程序,更严重的是无法在不影响手机正常工作的情况下,清除该恶意程序。援引Malwarebytes Labs本周三公布的博文,详细披露了预装在UMX U686CL手机中的恶意程序。这是一款由美国政府生命线救援项目牵头,并由Assurance Wireless提供的一款廉价Android手机。 博文中称,这款低端Android手机上存在两款恶意程序,而且都是通过预装方式直接嵌入到系统代码中的。尽管其中一款恶意程序可以被移除,但是需要繁琐的步骤并需要阻止未来的版本更新;而另一个恶意程序将其自身硬编码到设置应用中,意味着如果将其删除会导致手机无法使用。 Assurance Wireless的母公司Sprint在随后提交的声明中,表示这两款程序并不应该归类为恶意程序。公司在本周五提交的声明中写道:“我们已经发现了这个问题,并接触了设备厂商Unimax来了解根本原因。但是经过我们的初步测试,我们认为媒体描述的这两款应用程序是恶意程序。”   (稿源:cnBeta,封面源自网络。)  

超 10 亿张患者医学图像被泄漏 但始终没引起医疗机构重视

每天,数以百万计、包含患者个人健康信息的医学图像都会涌入到互联网上。数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统,以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。 在所有曝光的图像(包括X射线,超声波和CT扫描)中,约有一半属于美国患者。尽管安全研究人员就该问题向医院和医生办公室发出多次警告,但依然有很多人忽略了他们的警告,并继续暴露患者的私人健康信息。德国安全公司Greenbone Networks的研究工作的Dirk Schrader表示:“这种情况每天都在恶化。”该公司过去1年都在监控泄漏服务器的数量。 去年9月份,Greenbone已经发现了有超过2400万例患者的7.2亿张医学图像在网络上被曝光。然而两个月之后,暴露的服务器数量增加了一半以上,达到3500万例患者检查,暴露了11.9亿次扫描,这严重侵犯了患者的隐私。 不过问题几乎没有减弱的痕迹。Schrader表示:“即时我们已经向多家医疗机构发出了反馈,但是暴露的数据依然在不断增加。如果医院和医生还不采取相应的行动,那么曝光的医学图像数量很快将会刷新记录。” 公开资料表明,PACS 系统是应用于医院影像科室,主要任务是把日常产生的各种医学影像(包括核磁、CT、各种 X 光机等设备产生的图像)通过各种接口(模拟、DICOM、网络)以数字化的方式海量保存起来。当需要时,在一定授权下,可以快速调回,同时增加一些辅助诊断管理功能。这些 PACS 系统使用医学数字成像和通信 (DICOM)标准来管理医学成像数据。 这些患者数据记录非常详细,大多包括以下个人和医疗细节: 名字和姓氏; 出生日期; 审查日期; 调查范围; 成像程序的类型; 主治医师; 研究所 / 诊所; 生成的图像数量 攻击者可以利用这些信息部署和实施更有效的社交工程和网络钓鱼攻击,从而最终获得金钱。   (稿源:cnBeta,封面源自网络。)

50 多家组织致信谷歌:允许用户卸载所有 Android 预装应用程序

包括国际隐私组织、数字权利基金会,DuckDuckGo和电子前沿基金会在内的50多个组织,近日向Alphabet和Google首席执行官Sundar Pichai发出公开信,就Android设备预装软件所存在的漏洞以及它们如何给消费者带来隐私风险表明了自己的立场。 在这封公开信中,这些组织表示所有Android OEM厂商都在其设备上预装了无法删除的应用程序,并且具备厂商定值的特殊权限,因此可以绕过Android的权限模型。 这使的这些预装应用程序可以在没有用户干预的情况下,就能访问麦克风、摄像头、定位以及其他权限。这也导致很多智能手机OEM厂商可以在没有征得用户明确许可的情况下收集用户数据,并用于其他利益。 因此,这些组织希望谷歌对Android预装应用程序(Bloatware)采取一些调整,并希望公司能够为用户提供永久卸载设备上所有预装应用程序的功能。虽然可以在Android设备上禁用某些预加载的应用程序,但它们仍会继续运行某些后台进程,这使得禁用它们成为一个争论的焦点。 公开信中要求确保所有预装应用程序能够和常规应用程序一样罗列在Google Play应用商城中,并进行相同的审查。他们还希望即使设备没有用户登录,也可以通过Google Play更新所有预安装的应用。如果Google检测到OEM试图利用用户的隐私及其数据,则出于隐私和保护用户数据方面的考量拒绝认证该设备。 Google在Android 10中进行了许多针对隐私的更改,但仍有很多地方可以进行完善,帮助用户免受预装应用程序的侵害。   (稿源:cnBeta,封面源自网络。)