内容转载

= ̄ω ̄= 内容转载

苹果更新 Windows 版 iTunes 修补了勒索软件攻击漏洞

苹果已经修补了之前在iTunes和Windows版iCloud中被发现的Bonjour漏洞,以避免勒索软件继续发动攻击。该漏洞实际上允许恶意软件在Windows中执行,看起来它是一个受信任的应用程序。精心设计的攻击者可以利用iTunes和Bonjour数字签名,绕过系统针对恶意软件的防护。 发现该漏洞的安全研究公司Morphisec表示,BitPaymer恶意软件正在使用攻击媒介感染系统。 不过,更新到iTunes 12.10.1的Windows系统不会再遭受此类攻击威胁。 目前尚不清楚该漏洞何时被引入,但苹果最近更新的适用于Windows的iTunes和iCloud已经能够阻止攻击。   (稿源:cnBeta,封面源自网络。)

NEMTY 勒索病毒 V1.6 变种节日期间高发,企业用户须小心防范

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/iJ_xP70Ft4JTkl4_7qx-zw   一、概述 腾讯安全御见威胁情报中心监测到NEMTY勒索病毒v1.6变种在国庆期间的感染量有明显上升,NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 1.6变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒由于近期在国内感染有明显上涨趋势,被加密破坏的文件暂难以解密,我们提醒各企业提高警惕。 NEMTY病毒在国内主要依靠垃圾邮件,RIG EK(网页挂马漏洞利用工具包)传播,最新1.6版本较老本版病毒除增加少量病毒环境判断条件外,对其文件加密算法,密钥生成算法进行了更新。从该变种的感染数据看,国庆期间有明显上升。 主要受害地区为江苏、辽宁、河南等省。 NEMTY勒索病毒v1.6变种的主要特点: 会检查感染痕迹,已被感染的系统,不会二次感染; 病毒有感染白名单国家,俄罗斯、白俄罗斯、乌克兰及多个中亚国家不感染; 病毒加密文件前会结束若干个数据库软件、Office程序的进程,停止相关服务,使加密文件时避免文件锁定而中止; 病毒会添加计划任务来自动运行; 加密白名单中的文件或文件夹不会被加密; 病毒会删除磁盘卷影信息,避免用户通过这些信息恢复数据; 被加密的文件后辍为“_NEMTY_randome_7位随机字符串_” 二、详细分析 NEMTY勒索病毒v1.6变种外壳程序在内存中解密出勒索payload进一步执行,外壳最终解密方式为使用硬编码的字串循环异或 病毒运行后首先检查自身互斥体,注册表信息,当机器已经被感染过,则不再进行二次感染,使用互斥体为just_a_game 随后获取感染环境ip,国家,用户名,机器名,系统版本,GUID,解密出硬编码的rsa公钥信息,硬盘信息,加密扩展后缀信息等然后上报。在此过程中,会对当前感染的国家进白名单判定,以便在后续加密过程中对白名单国家进行放行,过程中涉及的大部分字串以Base64+RC4加密存放。 ip获取接口: http://api.ipify.org 国家获取接口: http://api.db-ip.com/v2/free/xxx.xxx.xxx.xxx/countryName 信息上报接口: https://nemty.hk/public/gate?data= 白名单国家列表: Russia(俄罗斯)、Belarus(白俄罗斯)、Kazakhstan(哈萨克斯坦)、Tajikistan(塔吉克斯坦)、Ukraine(乌克兰)、Azerbaijan(阿塞拜疆)、Armenia(亚美利亚)、Kyrgyzstan(吉尔吉斯坦)、Moldova(摩尔多瓦) 病毒执行过程中使用到的部分字串使用Base64解码+RC4解密,RC4-KEY:fuckav。 病毒加密前会在本地生成rsa密钥对,随后会将生成的公钥和硬编码的rsa公钥一同导入,硬编码公钥用于加密本地生成的rsa密钥信息,AES文件加密密钥将被本地生成的rsa公钥加密。 加密文件前结束进程名中包含以下关键字的进程: Sql Winword Wordpad Outlook Thunderbird Oracle Excel Onenote Virtualboxvm Node QBW32 WBGX Teams Flow 停止以下相关服务: DbxSvc OracleXETNSListener OracleServiceXE AcrSch2Svc AcronisAgent Apache2.4 SQLWriter MSSQL$SQLEXPRESS MSSQLServerADHelper100 MongoDB SQLAgent$SQLEXPRESS SQLBrowser CobianBackup11 cbVSCService11 QBCFMontorService QBVSS 将自身拷贝至user目录并设置计划任务 删除卷影信息 加密前避开以下白名单文件、目录 v1.6版本变种主要更新了密钥生成算法,较老版本相比新增了获取当前进程数进行随机干扰 v1.6版本文件加密使用AES-ECB进行加密,加密使用WinCryptAPI,密钥为生成的0x20字节的随机值计算sha256所得。 老版本密钥生成算法相对简单,文件加密使用修改过的AES-CBC模式,Key全局生成1次,IV对每个文件单独生成。 文件被加密后被添加_NEMTY_randome_随机7位字符串_扩展后缀 生成加密扩展名_NEMTY_random_-DECRYPT.txt的勒索说明文档,文档标题可看出病毒已更新至v1.6版本。 三、安全建议 企业用户针对该病毒的重点防御措施 1.该病毒主要通过垃圾邮件和网页挂马传播,需要企业用户小心处理电子邮件。及时升级操作系统补丁,避免因浏览器漏洞而导致网页挂马攻击发生; 2. 对重要文件和数据(数据库等数据)进行定期非本地备份,普通终端电脑可以使用腾讯御点终端管理系统及腾讯电脑管家内置的文档守护者备份数据。 企业用户通用的防病毒措施 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆; 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问; 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器; 5、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码; 6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户 1、勿随意打开陌生邮件,关闭Office执行宏代码; 2、使用腾讯电脑管家拦截病毒。 3、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患; IOCs MD5: 3e6672a68447e4e7c297e4dd7171b906 6c05aa998d0523f2855769bd30b2d0d1

Windows 10 Mobile 还有 2 月退休 但微软拒绝修复新发现的漏洞

微软承认Windows 10 Mobile上存在一个安全漏洞,该漏洞能允许默认人绕过你的锁屏屏幕来访问你的相册。不过好消息是,该漏洞只有在锁屏界面启用Cortana才会存在,不过坏消息就是微软表示不会修复该安全漏洞。 目前已经有工程师成功利用该漏洞访问用户手机相册,并在不需要进行系统身份认证的情况下修改和删除照片。该工程师表示:“这个漏洞可以绕过Windows 10 Mobile系统中的安全功能,在锁屏状态下通过Cortana访问文件和文件夹。”而想要利用该漏洞,攻击者需要物理接触到手机并且需要在锁屏界面上启用Cortana。 所有Windows 10 Mobile均存在该安全漏洞,不过微软表示目前并没有证据表明有黑客利用该漏洞来窃取数据。如果你目前依然在使用Cortana,那么唯一的解决方案就是禁用锁屏界面的Cortana。 Microsoft提供了以下步骤来保护您的手机: 1.从应用程序屏幕打开Cortana应用程序。 2.点击Cortana应用程序左上方的“菜单”按钮(3个水平条)。 3.点击设置选项。 4.将“锁定屏幕”选项的滑块设置为“关”,以防止在锁定设备时访问Cortana。 Windows 10 Mobile v1709还将于11月和12月获得2个最后的补丁,因此尚不清楚微软为何在支持周期内不修复该漏洞。虽然微软提供的临时解决方案已经足够保护Windows 10 Mobile用户,但是这项决定依然让很多人感到意外。   (稿源:cnBeta,封面源自网络。)

Buran 勒索病毒传入我国,用户宜小心处理不明邮件

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/jm7Q9JvsdUzfv5xELXMJ9Q 腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。 一、概述 腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。 根据腾讯安全御见威胁情报中心的监测数据,该勒索病毒的感染主要在境外,有个别案例已在国内出现,腾讯安全专家提醒中国用户小心处理来历不明的邮件,不打开陌生人发送的用途不明的Office文档,不要启用宏功能。 二、详细分析 1、word附件 用户打开word文档,恶意宏代码会从hxxp://54.39.233.131/word1.tmp处下载勒索病毒到C:/Windows/Temp/sdfsd2f.rry运行,word文档内容、宏代码如下图: 2、勒索病毒样本(sdfsd2f.rry) 使用WinInet函数访问geoiptool.com、iplogger.com地址获取受害机的IP地址信息; 调用cmd程序复制样本到C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe,并置注册表run键开机启动; 使用ShellExecuteW( )函数,参数”C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe” -start启动样本; 调用cmd程序删除sdfsd2f.rry样本; 3、lsass.exe进程 调用cmd程序禁用系统自动修复功能、删除系统备份、删除RDP连接历史记录、清空Application、Security、System日志,关闭日志服务开机启动; 注册表保存公钥key、受害机id; 再次创建lsass.exe进程,参数C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe -agent 1,遍历磁盘文件,加密用户数据; 为每一个文件生成256位key,使用AES-256-CBC加密文件; 生成密钥对RSA-512,公钥用来加密256位key,内容存放到文件中; 私钥被注册表中的RSA公钥加密存放文件中; 以下后缀名文件会被跳过; 文件开头写入“BURAN”标志,防止文件被重复加密; 文件内容被加密后,使用代表受害机ID的后缀重命名文件; 生成勒索信息 弹出勒索信息; 调用cmd程序删除lsass.exe样本; 国外论坛某用户花了3000$才恢复了所有数据; 三、安全建议 企业用户针对该病毒的重点防御措施: 1、对重要文件和数据(数据库等数据)进行定期非本地备份,可启用腾讯电脑管家或腾讯御点内置的文档守护者功能,利用磁盘冗余空间自动备份文档; 2、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。   企业用户通用的防病毒扩散方法: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 6、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。   个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患; 3、 使用腾讯电脑管家查杀拦截该病毒。 IOC MD5: 4ac964a4a791864163476f640e460e41 f9190f9c9e1f9a8bd61f773be341ab91 328690b99a3fc5f0f2a98aa918d71faa f4cb791863f346416de39b0b254e7c5e cfab38b5c12a8abcbdadfc1f5ac5c37d 99837e301d8af9560a4e6df01a81dc39 IP: 54.39.233.131 URL: hxxp://54.39.233.131/word1.tmp

三星:20 多处安全漏洞影响所有 Galaxy 旗舰机型

据国外媒体报道,三星日前证实,发现多处安全漏洞影响Galaxy S8、S9、S10、S10e、S10Plus、S105G、Note9、Note10和Note10Plus等型号手机。 这其中,包括一个非常严重的漏洞(critical vulnerability),以及三个被评为“高危”(high)的漏洞。整体而言,它们涉及到约21个安全问题,其中17个与三星“One”用户界面有关,4个与Android有关。 关于Android的漏洞,谷歌上周已经公布,攻击者正利用谷歌Android移动操作系统中的“零日漏洞”进行攻击,该漏洞可以让他们完全控制至少18种不同型号的手机,包括四个型号的Pixel手机,以及三星Galaxy S7、S8和S9。 至于三星的Galaxy特定安全警告,三星最新的安全维护版本(SMR)现已开始向所有Galaxy设备用户推出。10月份的SMR包括来自谷歌的安全补丁,这些补丁会影响Galaxy10用户以及使用三星早期设备的用户。 此外,还有许多漏洞影响Galaxy8和Galaxy9设备用户。这其中,有一个Galaxy9漏洞被评级为“非常严重”,对Galaxy S9和Note9都有影响。目前,Galaxy9销量约为3000万部,而Galaxy Note9销量约为1000万部,意味着大约有4000万用户受该漏洞影响。   (稿源:新浪科技,封面源自网络。)

皮尤:大部分美国人缺乏网络安全基础知识

据外媒报道,皮尤研究中心的一份新研究报告显示,许多美国人在数字安全方面的知识尤其是在隐私网页浏览方式、双重认证是什么等方面存在差距。这些结果则是基于一项包含有10个问题的调查得出,据悉,调查问题主要集中在社交媒体和网络安全方面。 皮尤研究中心在其报告中总结称,人们对网络安全的认识各不相同。美国绝大多数的成年人了解诸如网站cookies是什么、网络钓鱼诈骗性质等知识,但几乎超1/4的受访成年人并不了解能够大大提高在线账户安全的双重认证功能。 另外,只有约一半的受访成年人了解隐私浏览的功能,只有不到1/4的人知道隐私浏览只会阻止其他用户查看会话的浏览历史。皮尤研究中心在最终汇总了所有的回答之后发现只有20%的美国成年人能正确回答至少七个问题。 不到一半的受访者能够正确回答有关隐私政策、网络中立、网络安全中“https”含义、拥有Instagram和WhatsApp的2FA公司、隐私网页浏览以及杰克·多尔西是谁等问题。 据了解,在这项研究中总共有4272名美国成年人参加了调查。     (稿源:cnBeta,封面源自网络。)

美国参议员向维萨和万事达施加压力 要求它们撤出Facebook区块链项目

立法者已经开始积极向天秤座协会成员施加压力,以重新考虑它们与该组织的合作。天秤座协会是由Facebook领导的国际区块链支付项目。在寄给Visa,Mastercard和Stripe首席执行官的一封新信中,参议员Brian Schatz和Sherrod Brown警告天秤座项目存在巨大风险,包括方便犯罪和恐怖分子融资以及破坏全球金融体系的稳定。 这封信还暗示,如果它们继续与该协会合作,它们将在其传统的非区块链业务中,面临金融监管机构更多监督。信件写道:“ Facebook似乎希望参与金融活动而受益,而不必承担传统金融服务公司的责任。如果您继续这样做,监管机构将对您与天秤座有关活动进行严格的审查,而且对所有支付活动都可以进行严格的审查。” 共和党人也对这个项目持怀疑态度,参议员乔Josh Hawley认为,Facebook借此扩大了自己的垄断地位。目前,对这三家公司的联邦监管日益加强,其中包括联邦贸易委员会,消费者金融保护局和司法部等部门的监管,特别是FTC,该机构今年初与脸书达成了50亿美元的和解协议。 这封信是在PayPal从天秤座协会撤出后几天后发出的。PayPal没有给出撤出的具体原因,但许多人推测这是对监管机构压力加大的反应。   (稿源:cnBeta,封面源自网络。)

2019 年 10 月 Android 安全补丁发布:共计修复 26 处漏洞

最新发布的2019年10月安全补丁更新中,谷歌共计修复了Android系统中26个漏洞,其中包括影响Android 10的一组远程代码执行漏洞。在本次修复的漏洞中,危害等级最高的是存在于Media框架中的三个远程代码执行漏洞 (CVE-2019-2184, CVE-2019-2185, and CVE-2019-2186),所有三个均标记为“Critical”,Android 7.1.1, 7.1.2, 8.0, 8.1和9均受影响。 谷歌在更新日志中写道:“这些问题中最严重的是Media框架组件中的关键安全漏洞,远程攻击者可以利用这些漏洞,使用特制的的文件获得提权并运行任意代码。”CVE-2019-2185和CVE-2019-2186也确认影响最新的Android 10系统。不过由于谷歌在Android 10中引入了全新的安全机制,因此影响程度并没有此前Android版本那么严重,谷歌仅标记为“Medium”等级。 在2019-10-01安全补丁级别中已经修复了上述三个严重的安全漏洞,此外该补丁中还修复了Framework(提权)、Media framework(信息泄露)和System(提权和信息泄露)中的“High severity”漏洞。 在201-10-05安全补丁级别中,还包括Kernel组件中的1个“High severity”漏洞,高通组件中的3个“High severity”漏洞,高通闭源组件中的8个“Critical”和7个“High severity”漏洞。 除了上述两个安全更新之后,谷歌还发布了针对Pixel设备的独立更新,修复了这些设备上存在的漏洞。作为10月更新的一部分,Pixel 1和Pixel 2手机将获得CVE-2019-2215的修复程序(Pixel 3和Pixel 3a不会受到攻击)。该漏洞是特权的提升,已经在攻击中被利用。 此更新还包括针对框架中的高风险信息披露的修复程序(CVE-2019-2183),以及两个针对高通组件中的中等严重性漏洞的补丁程序(CVE-2019-2297和CVE-2019-10566)。 此外,Google在本月针对Pixel设备的更新中包括了一系列功能补丁,以改善Wi-Fi连接性,修复Pixel Stand模式下丢失的通知,提高传感器校准和系统稳定性以及修复和改善各种用户界面问题。     (稿源:cnBeta,封面源自网络。)

四款 D-Link 路由器发现无法修复的漏洞 唯一选择是弃之不用

DIR-652,DIR-655,DIR-866L和DHP-1565这四款D-Link路由器中发现了严重的安全漏洞。如果你不幸的拥有这四款路由器中任意一款,那么为了你的安全唯一的选择就是弃之不用,因为这个漏洞永远无法修复。 来自Fortinet的安全专家上周透露,上述四款路由器中存在一个“未经身份认证的命令注入漏洞”,黑客可以利用该漏洞执行任意远程代码。换言之,遍布全球的黑客可以非常容易的劫持这些路由器,然后监视你的互联网流量,或者引导你到恶意网站上。 不幸的是,其中一种型号DIR-866L于2014年推出,已经在2018年停产。另一种型号DIR-655,于2006年推出,也在去年停产了。而DIR-655, DIR-866L和DHP-1565这三款路由器依然能够亚马逊美国官方网站进行购买,而且DIR-655还是亚马逊的推荐路由器型号。 如果你去年购买了路由器,那么你肯定希望能够正常使用12个月以上,尤其是亚马逊官方推荐的路由器型号。类似于Netgear等一些路由器厂商,在停产之后依然会提供安全更新。 不过D-Link是在设备停产之后就不再提供安全更新,因此在选购之前还需要考虑它的上市时间,以及它的支持周期。     (稿源:cnBeta,封面源自网络。)

美参议院报告呼吁采取措施阻止俄罗斯对 2020 大选的干预

据外媒报道,当地时间周二,美国参议院一个两党委员会呼吁制定新的程序以此来保护美国的2020年总统大选免遭外国虚假信息的影响。在一份85页的报告中,参议院情报委员会敦促通过新法来确保社交媒体平台上的政治广告的透明度,另外其还敦促加强社交媒公司跟政府之间的协调和信息共享。 此外,该委员会还呼吁特朗普政府成立一个特别工作组以此来监控外国在试图干涉美国民主这件事情上使用社交媒体的情况并制定相关措施阻止此类干涉。该委员会还推动了一项以提高公众对这些问题认识的运动。 该委员会主席、北卡罗来纳州共和党人Richard Burr表示,俄罗斯方面仍在继续这种干涉行为,“俄罗斯正在对美国发动一场信息战,这场信息战并没有在2016年大选的时候开始也没有结束。他们的目标则更加广泛:播下社会不和谐的种子、侵蚀公众对政府机构的信心。” 这份报告及其建议凸显了议员们在试图解决选举安全漏洞时所面临的困难。虽然美国众议院通过了一项确保选举公正的法案,但参议院的一项名为《诚实广告法案(Honest Ads Act)》的立法却遭到了搁置。   (稿源:cnBeta,封面源自网络。)