内容转载

= ̄ω ̄= 内容转载

iOS 13 最初版本漏洞百出,于是iOS 14 测试流程变了

网易科技讯 11月23日消息,据国外媒体报道,据知情人士透露,在最新版的iPhone和iPad操作系统接连出现一大堆漏洞之后,苹果公司正在改革其软件测试方式。 在与公司软件开发人员举行的最近一次内部“启动”会议上,苹果软件主管克雷格·费德里吉(Craig Federighi)和斯泰西·利希克(Stacey Lysik)等副手们宣布了软件测试方面的变化。新方法要求苹果开发团队确保未来软件更新的测试版,也就是所谓的“每日构建(Daily build)”,在默认情况下禁用未完成或有缺陷的所有功能。然后,测试人员可以通过一个称为Flags的全新内部流程和设置菜单有选择地启用这些特性或功能,从而能够将每个单独添加特性会对系统产生何种影响相互隔离开来。 今年9月,当苹果公司的iOS 13操作系统与iPhone 11系列智能手机同时发布时,iPhone用户和应用程序开发者发现了一连串的软件故障:应用程序崩溃或启动缓慢;手机信号参差不齐;应用程序出现了用户界面错误,比如消息、系统搜索都出现问题,电子邮件也存在加载问题。而通过iCloud共享文件夹以及将音乐流媒体传输到多组AirPods上等新功能要么被推迟,要么仍未实现。毫不客气的说,这次操作系统升级是是苹果历史上最麻烦、最粗糙的。 “iOS 13在继续摧毁我的士气,”知名开发者马尔科·阿蒙德(Marco Arment)在Twitter上写道。“我也是,”购物清单应用AnyList联合创始人杰森·马尔(Jason Marr)说,“在iOS 13上,苹果的表现的确是对开发者和用户的不尊重。” 这些问题表明,iPhone已经变得有多复杂,而且用户很容易对一家以软硬件顺畅整合而著称的公司感到失望。对苹果公司来说,每年跟随最新款iPhone定时发布软件更新,是增加系统新功能、防止用户转向主要竞争对手Android的关键途径。更新后的操作系统还为开发者提供了更多的应用程序开发工具,从而为苹果的应用商店带来了更多收入。 苹果发言人特鲁迪·穆勒(Trudy Muller)拒绝置评。 新的开发过程将有助于提高早期内部iOS操作系统版本的可用性,或者用苹果的话说,(不同功能)更加“易于相处”。在iOS 14开发之前,有些团队每天都会添加一些还没有经过充分测试的功能,而其他团队则每周都会对现有功能进行修改。“每天的开发过程就像一整份食谱,但很多厨师都在添加配料,”一位了解开发过程的人士表示。 测试软件在开发不同阶段的变化是如此之多,以至于这些设备常常变得难以运行。由于这个原因,一些“测试人员会在一团糟的情况下将系统跑上几天,所以他们根本不会真正清楚哪些功能会对系统产生何种作用。”该人士说。在这种情况下,由于苹果工程师很难测试出操作系统对许多新添加功能的反应,从而导致iOS 13频频出现某些问题,因此也无法达到测试目标。 苹果公司内部测试是所谓的“白手套”测试,用1到100的等级来衡量和排名其软件整体质量。有问题的软件版本得分可能在60分左右,而更稳定的软件可能在80分以上。iOS 13的得分低于之前更完善的iOS 12操作系统。在开发过程中,苹果团队还为软件产品的功能特性分别设置了绿色、黄色和红色的代码,以显示这种功能特性在开发过程中的质量。相应的优先级从0到5,其中0是关键问题,5是次要问题,用于确定单个软件错误的严重性。 新策略已经被应用到代号为“Azul”的iOS 14系统开发中,该系统将于明年发布。苹果还考虑将iOS 14的一些功能推迟到2021年发布,在公司内部这一更新被称为“Azul +1”,也可能会以iOS 15公开发布,这也让公司有更多时间关注操作系统性能。不过,熟悉苹果计划的人士表示,预计iOS 14在新功能的广度上将与iOS 13不相上下。 测试策略的转移将适用于所有苹果的操作系统,包括iPadOS、watchOS、macOS和tvOS。最新的Mac电脑操作系统macOS Catalina也出现了一些问题,比如与许多应用程序不兼容,邮件中缺少信息。一些运行基于iOS操作系统的HomePod音箱在最近一次iOS 13更新后无法工作,导致苹果暂时停止升级。另一方面,最新的苹果电视和苹果手表系统更新则相对顺利。 苹果公司的高管们希望,从长远来看,全面改革后的测试方法将提高公司软件质量。但这并不是苹果工程师第一次听到管理层这么说。 去年,苹果曾推迟了iOS 12的几项功能发布,其中包括对CarPlay和iPad主屏幕的重新设计,专注于提高可靠性和整体性能。在2018年1月的一次全体会议上,费德里吉表示,公司对新功能的重视程度过高,应该优先向消费者提供他们想要的质量和稳定性。 随后,苹果成立了所谓的“老虎团队”来解决iOS特定部分的性能问题。该公司从整个软件部门调派工程师,专注于加快应用程序启动时间、改善网络连接和延长电池寿命等任务。当iOS 12操作系统于2018年秋季发布时,运行相当稳定,在头两个月内只进行了两次更新。 这种成功没有延续到今年的操作系统升级。iOS 13的最初版本漏洞百出,以至于苹果不得不匆忙发布了几个补丁。在iOS 13发布的头两个月里,已经进行了8次更新,是自2012年费德里吉接管苹果iOS软件工程部门以来最多的一次。该公司目前正在测试另一个新版本iOS 13.3,这本是要在明年春天进行的后续工作。 今年6月份苹果召开了2019年度全球开发者大会。大约在此一个月前,该公司的软件工程师就开始意识到,当时在公司内部被称为Yukon的iOS 13表现不如之前的版本。一些参与这个项目的人说系统开发是一个“烂摊子”。 今年8月,苹果工程师们意识到,几周后与新iPhone一起发布的iOS 13.0根本无法达到质量标准,于是决定放弃对其进行修补,专注于改进后续的第一次更新版本iOS 13.1。苹果私下里认为iOS 13.1是“真正的公开发布版本”,其质量水平与iOS 12相当。公司预计只有铁杆苹果粉丝才会在手机上安装iOS 13.0操作系统。 9月24日苹果发布了更新的iOS 13.1,这比既定时间提前了一周,也压缩了iOS 13.0作为苹果旗舰操作系统发布的时间。新iPhone与苹果软件紧密集成,因此从技术角度讲,不可能推出搭载iOS 12操作系统的iPhone 11系列智能手机。由于新款手机发布时iOS 13.1还没能及时准备好,苹果唯一的选择就是发布iOS 13.0,并尽快让所有人更新到iOS 13.1。 虽然iOS 13出现的问题确实让iPhone用户感到不安,但更新速度还是相当快。据苹果称,截至10月中旬,半数苹果设备用户都在运行iOS 13。这一升级速度仍远远领先于谷歌的Android。 iOS 13.1发布后,苹果的软件工程部门迅速转向iOS 13.2,其质量目标是优于iOS 12。这次更新后的抱怨比iOS 13操作系统的前几次更新都要少,但却仍有一个错误,系统会在不应该关闭的情况下关闭后台的应用程序。 苹果应用程序资深开发者史蒂夫·特劳顿-史密斯(Steve Troughton-Smith)在Twitter上写道:“iOS 13给人的感觉就像是一个超级混乱的版本,自iOS 8以来我们从未见过如此糟糕的情况。”   (稿源:网易科技,封面源自网络)

谷歌增加 Android 安全奖励计划奖金 最高将达 150 万美元

据外媒Neowin报道,谷歌的Android安全奖励计划(Android Security Rewards Program)自2015年开始实施,并已向发现移动操作系统漏洞的安全研究人员支付了数百万美元。如今,该公司正在扩大研究人员可获得的奖励,最引人注目的是一项新的奖励,其价值可能高达150万美元。 当然,这种奖励是针对特别具有挑战性的漏洞利用。谷歌表示将向研究人员支付100万美元,他们可以执行“具有持久性的全链远程代码执行漏洞,从而破坏Pixel设备上的Titan M安全元件”。Titan M芯片是在Pixel 3上首次引入的,根据来自Gartner的数据,该设备被认为具有比其他任何经过测试的设备更高的安全性。如果在Android的“特定开发人员预览版”上执行此漏洞,则赏金可以增加50%,这将使总奖励达到150万美元。 谷歌表示,在过去的12个月中,其总共支付了约150万美元的奖励,其中包括多项奖金。在此期间,最高的奖金达161337美元,参与研究的100多名研究人员的平均奖金是每个发现3800美元。 除了这一非常高的奖励等级之外,谷歌还推出了其他新等级,这些等级的奖励比以往更高。这些漏洞包括涉及数据泄露和锁屏绕过的漏洞利用,奖励最高可达到50万美元。   (稿源:cnBeta,封面源自网络)

​黑客爆破攻击Sql Server,已控制数百台企业服务器和网站

感谢腾讯御见威胁情报中心来稿! 原文:腾讯御见威胁情报中心 一、概述 SQL爆破、提权攻击已成攻击者惯用伎俩,但仍有部分企业网管使用弱口令导致服务器被黑客操控。近日,腾讯安全御见威胁情报中心发现一起针对SQL数据库的爆破攻击事件,攻击成功后会根据系统环境下发远控木马、植入Webshell、在目标服务器创建管理员用户。本次攻击的失陷服务器已达数百台之多,主要受害者位于陕西、山西、吉林等地。 该木马的攻击行动具有如下特点 木马针对普通windows服务器下发TeamView实施远程控制,监测数据显示该木马已控制数百台服务器; 针对web服务器,木马植入webshell,已知有40多家网站共植入300余个Webshell; 木马会获取中毒主机的一般信息,包括:IP地址、操作系统版本、用户名、CPU、内存、磁盘、安全软件等基本信息,并将这些信息发送到远程服务器; 入侵成功后,会开启服务器的RDP服务(远程桌面服务),且会创建多个具有管理员权限的内置账户,方便远程登录。 二、详细分析 攻击者在HFS上的工具列表 从HFS列表可以看出,该团伙主要通过Mssql&mysql爆破,3389爆破,攻击成功后再利用提权工具进行提权,以mssql爆破工具进行分析 Start.bat启动扫描任务,并根据扫描结果进行爆破 Dhls.exe根据ip.txt中的IP列表扫描主机是否开放sql相关端口,接着使用CSQL.exe尝试爆破,其中user.txt,pass.txt分别是用户名和密码,爆破成功的IP会输出到out.txt中,接着CSQL中会对out.txt中机器进行远程命令执行,sql命令保存在2018.sql Sql命令结束杀软进程 向系统添加账户 SQLuser,sm$sm520 下载并执行team.exe 目前team.exe已经无法下载,无法得知里面具体功能,从攻击者的文件服务器上看,攻击者在爆破成功后会下发TeamView远程控制工具或webshell:hxxp://124.16.146.185:9000/tv.exe,并通过TVGET.exe程序获取到TeamView的用户ID和密码: 如果是web服务器,则会下发Webshell到c:/1.php,c:/1.asp,c:/1.aspx Webshell经过简单加密混淆,base64及字符压缩 解密后联网下载404.gif 404.gif中是一段被加密shell,通过gzinflate&base64_decode解密后可以得到一个完整的反弹木马。 首先会添加一个账户envl到系统中,方便后续远程登录 反弹链接的C2从cookie中获取反弹链接的C2从cookie中获取 在shell中也包含了用于执行mysql语句的shell 木马可对服务器web页面进行批量挂马 木马功能 目前腾讯安全御见威胁情报中心已监测到有40多家网站,300多个页面被植入该后门。 三、关联分析 追溯攻击中使用的webshell来自webshell8.com,号称免杀主流web护盾。 Webshell的界面 在攻击者发现HFS服务器被盯上后,竟在服务器上放置联系方式。 四、解决方案   加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。 修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。 企业用户可在服务器部署腾讯御点终端及时对服务器打补丁,防止这类木马利用windows提权漏洞,从而防范此类攻击。 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)   腾讯御界检测到服务器遭遇爆破攻击 IOCs IP 124.218.92.68:9000 124.16.146.185:9000 123.15.33.19:9000 Domain phpapi.info tanlini.3322.org MD5 f1c4842de714e7480e69f41540c3626b e7c182ece6eceb6f89d6bd9a6d33c53e 5c0249cce6e5c500a54aa34ba2b8c282 c8a689d353b10ca90e88f3f7b4afa25f 78ff58ad4fe3c40e6f6945a2b0c79f36 a7419cf9e40501cfb2762623c5277857 f1f22dc294694ba7a727ea991f88c3a1 URL hxxp://phpapi.info/404.gif hxxp://123.15.33.19:9000/team.exe hxxp://124.16.146.185:9000/CVE2018.exe hxxp://124.16.146.185:9000/CVE-2018-8120.exe hxxp://124.16.146.185:9000/freeSSHd.exe hxxp://124.16.146.185:9000/go.bat hxxp://124.16.146.185:9000/HAdmin.exe hxxp://124.16.146.185:9000/K8UA.asxp hxxp://124.16.146.185:9000/lcx.exe hxxp://124.16.146.185:9000/mima.ps1 hxxp://124.16.146.185:9000/mimidrv.sys hxxp://124.16.146.185:9000/mimikatz.exe hxxp://124.16.146.185:9000/mimikatz_trunk.zip hxxp://124.16.146.185:9000/mimilib.dll hxxp://124.16.146.185:9000/nc.exe hxxp://124.16.146.185:9000/she.aspx hxxp://124.16.146.185:9000/she.php hxxp://124.16.146.185:9000/shell.asp hxxp://124.16.146.185:9000/task.exe hxxp://124.16.146.185:9000/tcp.exe hxxp://124.16.146.185:9000/team.exe hxxp://124.16.146.185:9000/TV_pweg.exe hxxp://124.16.146.185:9000/TVGET.exe hxxp://124.16.146.185:9000/TVs.exe hxxp://124.16.146.185:9000/wce.exe hxxp://124.16.146.185:9000/Welcome.txt hxxp://124.16.146.185:9000/x.mof hxxp://124.16.146.185:9000/xx.jpg

收到这样的邮件请立即删除:勒索软件伪装成 Windows 更新诱骗用户点击

如果您收到一封声称来自微软的电子邮件,并要求安装所谓的关键更新,那么请立即删除这封邮件。安全公司Trustwave近日发现了新的恶意程序活动踪迹,它们利用电子邮件方式进行传播,伪装成为Windows更新让设备感染Cyborg勒索软件。 这是一种非常典型的攻击方式,首先给潜在目标发送电子邮件,邮件中会包含虚假的Windows更新。该更新似乎使用的是JPG文件扩展名,实际上是一个可执行文件,一旦启动,便从GitHub下载其他有效负载。 rustwave解释称:“根据我们的调查,受感染的设备会从一个名为misterbtc2020的GitHub账号中下载名为bitcoingenerator.exe的文件,该账号在几天前还处于活跃状态,目前已经被删除。该文件包含了btcgenerator存储库。就像附件一样,这是.NET编译的恶意软件,也就是Cyborg勒索软件。” 勒索软件感染设备后,用户文件将被加密并重命名为使用“777”扩展名。此时,用户文件被锁定,勒索软件将文本文档放置在桌面上,以向受害者提供有关如何获取解密密钥的指令。 在勒索消息中写道:“不用担心,你可以赎回所有文件!您可以发送一个加密文件[sic],我们将免费对其进行解密。您必须按照以下步骤来解密文件:将500美元的比特币发送到钱包[钱包号码],然后向我们的邮箱发送通知。” Trustwave警告说:“任何拥有该Builder的人都可以创建和分发Cyborg勒索软件。攻击者可以使用其他不同的主题来诱骗用户点击,并以不同的形式来逃避电子邮件网关的审查。攻击者可以使用已知的勒索软件扩展名,来误导受感染的用户识别出这种勒索软件。” 不用说,最简单的安全保护方法是避免打开电子邮件并下载附件。更新安全软件还可以帮助检测受感染的文件,并阻止勒索软件感染您的设备。   (稿源:cnBeta,封面源自网络。)

印度政府:法律允许政府机构监控公民设备

据外媒报道,当地时间周二,印度内政部部长G. Kishan Reddy引用《2000年信息技术法》第69章节、《1885年电信法》第5章节内容称,为了国家安全或跟外国保持友好关系,政府有权拦截、监控或解密公民设备上生成、传输、接收或存储的任何数字通信。 据悉,Reddy的这番言论则是对印度议会的回应,一名议员询问政府是否监听了公民的WhatsApp、Messenger、Viber和谷歌电话和信息。 本月早些时候,印度19名活动人士、记者、政界人士和隐私维权人士披露,他们的WhatsApp通讯可能遭到了网络攻击。 WhatsApp表示,以色列间谍软件制造商NSO的工具被用于向1400名用户发送恶意软件。这家Facebook旗下的公司在最近几周已经就此事通知了受影响用户。本月早些时候,该家社交巨头公司起诉NSO,称其工具被用来黑WhatsApp用户的账号。 不过NSO坚称,它只向政府和情报机构出售工具,很显然,这一说法引发了人们的担忧,他们担心政府可能在背后支持针对上述19人–或者更多–的行动。 虽然Reddy没有直接回答这些问题,但他在一份概括性的书面声明中表示授权机构根据正当法律程序行事且受规则规定的保障措施的约束,它们可以拦截、监控或解密来自该国任何计算机资源的任何信息。 另外他还补充道,每一个这样的拦截案件都必须得到联邦内政大臣(联邦政府案件下)和邦内政大臣(邦政府案件下)的批准才行。 而据位于新德里的软件法律与自由中心(SFLC)发布日前发布的一份报告显示,仅印度联邦政府每年就存在超10万个电话窃听的情况。“再加上邦政府发布的监听命令,很明显,印度以惊人的规模监听公民的通信。” 这个非营利组织补充称,现行法律允许执法机构对公民的私人通信进行监控,但这种方式是不透明的,因为它们完全由政府的执行部门管理而没有对监控过程的独立监督做出任何规定。   (稿源:cnBeta,封面源自网络。)

美参议员致函亚马逊 对 Ring 可视门铃的安全性提出质疑

据外媒CNET报道,五名美国参议员周三致函亚马逊,信中对其联网Ring可视门铃的数据安全性提出质疑。这封信是由民主党参议员罗恩·怀登(Ron Wyden),爱德华·马基(Edward Markey),克里斯·范·霍伦(Chris Van Hollen),克里斯·库恩斯(Chris Coons)和加里·彼得斯(Gary Peters)签署的。 参议员在信中指出:“目前有数百万的消费者在使用Ring。Ring设备会定期将包括视频记录在内的数据上传到亚马逊的服务器。因此,亚马逊拥有大量极为敏感的数据和视频画面,详细描述了数百万美国人的生活。” 这些参议员认为,如果被外国国家情报机构利用,这些镜头可能会威胁美国的国家安全,此外还威胁着美国人的隐私和安全。 本月初,研究人员发现  Ring门铃存在一个漏洞,该漏洞连续几个月泄漏了Wi-Fi登录信息,包括用户名和密码。今年早些时候,有消息揭露亚马逊如何通过其Ring安全摄像头帮助警察建立监视网络。根据数字版权组织Fight for the Future的说法,亚马逊已经与500多个城市合作,将“ Ring安全摄像头记录的画面”用于执法目的。 参议员的信中提到了Wi-Fi漏洞,并在去年的报告中指出,乌克兰的Ring员工能够在人们不知情的情况下观看他们的视频。 这封信中指出:“选择在房屋内外安装Ring产品的美国人这样做是在假设它们……使社区更加安全的前提下。” “美国人民有权知道还有谁在查看他们提供给Ring的数据,以及这些数据是否受到保护。” 参议员们希望亚马逊首席执行官杰夫·贝佐斯(Jeff Bezos)在2020年1月6日之前做出回应,其中包括以下信息: 在美国已售出多少台Ring设备。 Ring是否会删除视频画面。 数据保留多长时间。 素材是否已加密。 Ring的安全测试和审核实践是什么。 Ring员工对视频画面和实时直播画面的获取权限有多大。 乌克兰和其他国家/地区的员工是否可以使用。 Ring的计划是否与面部识别有关。 上个月,有超过10000人在Fight for the Future发起的活动中签名,呼吁美国国会调查亚马逊的监视“帝国”。 Ring表示目前正在审查这封信,但称对此事暂无评论。   稿源:cnBeta,封面源自网络。)

“窃密寄生虫”木马群发邮件传播,危害北上广等地众多企业

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/846.html 一、背景 腾讯安全御见威胁情报中心检测到以窃取机密为目的的大量钓鱼邮件攻击,主要危害我国外贸行业、制造业及互联网行业。攻击者搜集大量待攻击目标企业邮箱,然后批量发送伪装成“采购订单”的钓鱼邮件,邮件附件为带毒压缩文件。若企业用户误解压执行附件,会导致多个“窃密寄生虫”(Parasite Stealer)木马被下载安装,之后这些木马会盗取多个浏览器记录的登录信息、Outlook邮箱密码及其他机密信息上传到指定服务器。 御见威胁情报中心根据一个窃密木马PDB信息中包含的字符“Parasite Stealer”(窃密寄生虫),将其命名为Parasite Stealer(窃密寄生虫)。 根据腾讯安全御见威胁情报中心的监测数据,受Parasite Stealer(窃密寄生虫)木马影响的地区分布特征明显,主要集中在东南沿海地区,其中又以广东、北京和上海最为严重。这些地区也是我国外贸企业和互联网企业相对密集的省市。 此次攻击影响约千家企业,从行业分布来看,Parasite Stealer(窃密寄生虫)病毒影响最多的是贸易服务、制造业和互联网行业。 二、详细分析 “窃密寄生虫”(Parasite Stealer)木马的主要作案流程为:通过邮件群发带毒附件,附件解压后是伪装成文档的Jscript恶意脚本代码,一旦点击该文件,脚本便会拷贝自身到启动项目录,然后通过写二进制释放木马StealerFile.exe。StealerFile.exe进一步从服务器下载名为“q”,”w”,”e”,”r”,”t”的多个木马盗窃中毒电脑机密信息,并将获取到的信息通过FTP协议上传到远程服务器。 钓鱼邮件 钓鱼邮件内容如下,附带的邮件附件名为K378-19-SIC-RY – ATHENA REF. AE19-295.gz。   附件 附件解压后为Jscript脚本文件K378-19-SIC-RY – ATHENA REF. AE19-295.js,该文件执行后会立即拷贝自身到全局启动目录下。 Jscript脚本进一步通过写二进制释放木马文件StealerFile.exe,StealerFile.exe会使用Word.exe程序的图标来进行伪装。 随后StealerFile.exe从服务器依次下载q.exe,w.exe,e.exe运行,若判断系统为64位还会下载r.exe,t.exe运行。 q.exe q.exe(64位对应t.exe)为密码窃取程序。chrome浏览器加密后的密钥存储于%APPDATA%\..\Local \Google\Chrome\User Data\Default\Login Data下的一个SQLite数据库中,使用CryptProtectData加密。首次登陆某个网站时,Chrome会询问是否记住密码,若选择是则浏览器将密码保持到SQLite数据库中。  木马从数据库中抽取出action_url,username_value 和password_value,然后调用Windows API中的CryptUnprotectData函数来破解密码。 64位版本t.exe 64位版本t.exe文件PDB为 E:\Work\HF\KleptoParasite Stealer 2018\Version 6\3 – 64 bit firefox n chrome\x64\Release\Win32Project1.pdb Firefox登录密码加密时使用的Signons.sqlite和key3.db文件均位于%APPDATA%\Mozilla \Firefox\Profiles\[random_profile]目录下的sqlite数据库中。木马使用NSS的开源库中的函数来破解加密所使用的SDR密钥,进而破译Base64编码的数据。 w.exe和e.exe w.exe目前无法下载,e.exe的功能为获取当前计算机所使用的外网IP地址,并将其添加到待上传文件DXWRK.html中。 r.exe r.exe为邮箱密码窃取程序。通过读取 “Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles\\Outlook\\9375CFF0413111d3B88A00104B2A6676″等位置的注册表来获取Outlook保存的密码信息。 待下载的各个模块完成密码搜集工作后,StealerFile.exe尝试连接到指定的FTP服务器,准备上传机密信息文件,代码中保存有5组地址和登录所需账号密码可供登录使用。 (为防止受害者信息泄露,做打码处理) FTP服务器地址: “ftp.secures******.com” “ftp.driv******..com” “45.137.***.95” “ftp.an******.com” “fine.tec******” 登录用户名: “admi*****” “insan*****on.com” “lenfi**********net.com” “a$%2*****23” “8347**********1” 登录密码: “ad******” “%*h#$j#******” “W@T9$$******” “1pass4ll@let******” 连接服务器成功后,通过调用FtpPutFileA函数将存有账号密码等机密信息的本地文件\%Temp%\DXWRK.html上传为服务器指定文件<random>_.htm。 我们利用木马中的账号密码登录到其中一个FTP服务器,可以看到其保存的文件列表如下。 下载某个服务器上的.htm文件,其内容为用户使用Firefox,Chrome浏览器登录某些网站时使用的用户名和密码等信息。 三、安全建议 建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 建议升级office系列软件到最新版本,对陌生文件中的宏代码坚决不启用; 推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs@Parasite Stealer 伪造的发件邮箱: ayp@hct-battery.com sales5@amotach-cn.com admin@ticctv.com marketing@med-linket.com wy-sh@szzhenjia.com g-factory@paiying.com.tw fm@saspg.com hoteamsoft@hoteamsoft.com zhong.fei.ran@tateyama.com.cn info@space-icecream.com chu.yi.ye@tateyama.com.cn su.jia.min@tateyama.com.cn cnsy@quartzglasschina.com admin@tingyimould.com overseas_sales@waxpi.com zhong.fei.ran@tateyama.com.cn info@tongyongfans.com liuxiong@xinteenergy.com chu.yi.ye@tateyama.com.cn g-factory@paiying.com.tw wangjc96@tsinghua.org.cn zhong.fei.ran@tateyama.com.cn pzg@teccable.com zsh@tgc.edu.cn liucong@mail.cmec.com baiyang@baiyangcy.com xiongyi@yanshun-sh.com su.jia.min@tateyama.com.cn guokai@ruiduo.net.cn wy-sh@szzhenjia.com olive@ykxfwa.com MD5 b213bf2fb08b6f9294e343054c8231f4(K378-19-SIC-RY – ATHENA REF. AE19-295.gz) 67eabc565db23cf5a965309eaa62228d(K378-19-SIC-RY – ATHENA REF. AE19-295.js) a5fe827cf2bc87008588f633a5607755(StealerFile.exe) 15a02f0d086df6a9082667635d524e92(q.exe) 499de77bc4d8d91a62e824ce40b306bd(e.exe) 16690c337d1d78ac18f26926c0e0df7b(r.exe) 1cd8b31b1aef17f1901db887b7de6f2d(t.exe) URL http[:]//drajacoffee.com/images/produk/t http[:]//drajacoffee.com/images/produk/q http[:]//drajacoffee.com/images/produk/e http[:]//drajacoffee.com/images/produk/r http[:]//drajacoffee.com/images/produk/w ftp[:]//ftp.sec*****g.com ftp[:]//ftp.dr*****.com ftp[:]//45.137.***.*** ftp[:]//ftp.a*****.com  

天府杯 2019 网络安全大赛落幕 浏览器接受新一轮零日漏洞挑战

近日,顶尖白帽黑客集聚成都,对当前业内主流软件展开一系列的凌日测试。在周末(11 月 16-17 日)的天府杯 2019 国际网络安全大赛中,安全研究人员们争相对目标软件展开攻击,以斩获丰厚的积分、奖励和声誉。据悉,天府杯的规则,与全球顶级黑客大赛 Pwn2Own 类似。不过随着国内安全研究团队名声鹊起,天府杯也应运而生。 赛程安排(题图 via ZDNet) 在 2018 年秋季举办的大赛期间,研究人员成功破解了 Edge、Chrome、Safari、iOS、VirtualBox 等应用程序,以及来自多个移动设备制造商的产品。 本届大赛的第一天,参赛团队攻破了 Chrome、Edge、Safari、Office 365 等应用程序,其中包括 —— 针对经典版 Microsoft Edge 浏览器的三个成功利用、Chrome(两项)、Safari(一项)、Office 365(一项)、Adobe PDF Reader(两项)、D-Link DIR-878路由器(三项)、qemu-kvm + Ubuntu(一项)。 第一天结束的时候,曾拿下 Pwn2Own 冠军的 360Vulcan 团队处于领先地位。 在零日漏洞曝光后,软件供应商通常会在几分钟至数小时内发布对应的修补程序。 大赛第二天,安全研究人员们迎来了 16 场比赛。尽管只有一半能顺利进行下去,但还是得出了 7 个有效的攻击漏洞。其中包括针对 D-Link DIR-878 路由器的攻击(四项)、Adobe PDF Reader(两项)、以及 VMWare Workstation(一项)。 最终,360Vulcan 以绝对优势赢得了比赛 —— 成功地攻破了 Microsoft Edge、Office 365、qemu + Ubuntu、Adobe PDF Reader 和 VMWare Workstation 等应用程序,并拿到了 38.25 万美元的奖金。 VMWare和qemu + Ubuntu漏洞在赢得比赛中发挥了重要作用,分别带来了200,000美元和80,000美元的收入。   (稿源:cnBeta,封面源自网络。)

网络安全公司 OPSWAT 统计出最受欢迎的 Windows 防病毒产品

网络安全公司OPSWAT进行的一项新研究表明,如今,赛门铁克公司,ESET和迈克菲开发的防病毒产品已成为大多数Windows用户的首选。OPSWAT数据显示,赛门铁克以13.56%的市场份额位居Windows反恶意软件市场之首,其中Symantec Endpoint Protection份额占10.75%。 ESET以12.84%位居第二,其中,ESET Endpoint Antivirus和ESET Endpoint Security市场份额分别是4.53%和3.7%。排在第三位的McAfee占有12.21%的份额,这要归功于McAfee Endpoint Security,该产品目前在安装了McAfee软件的设备上占比9.61%。Bitdefender,卡巴斯基和Avast份额位居第四到第六位,分别为10.77%,7.66%和6.98%。 OPSWAT给出的市场份图表中未包含Windows Defender,因为OPSWAT认为其产品不能准确代表用户的选择,因为它们已预先安装在许多Windows系统上并且无法删除。另一方面,虽然Windows Defender不在OPSWAT这次研究之列,但最近的防病毒测试表明,微软安全产品至少与第三方替代产品一样有效。 Windows Defender已成为功能齐全的防病毒产品,它具有高级功能,例如实时扫描,云分析和勒索软件防护,已预装在Windows 10上,因此默认情况下可以保护所有设备。在最新的Windows 10版本中,Windows Defender已演变为Windows安全中心,可提更高级控制和访问功能,其中包括父母工具和其他功能,这些功能可以保护Windows 10设备免受大多数威胁侵害。   (稿源:cnBeta,封面源自网络。)

《Magic:The Gathering》开发商证实 安全漏洞使超 45 万玩家数据遭泄露

据外媒TechCrunch报道,游戏《Magic:The Gathering》的开发商 Wizards of the Coast已经确认,安全漏洞使数十万游戏玩家的数据遭泄露。该游戏开发商将数据库备份文件留在了公共的Amazon Web Services存储桶中。但是存储桶上没有密码,任何人都可以访问其中的文件。 据悉。自9月初以来,该存储桶就已经遭泄露。但是英国网络安全公司Fidus Information Security最近找到数据库并报告了此事。   对数据库文件的检查显示,其中包括有452634名玩家的信息,含与Wizards of the Coast员工相关的约470个电子邮件地址。该数据库包括玩家名称和用户名,电子邮件地址,以及创建帐户的日期和时间。该数据库还具有用户密码,这些密码经过哈希处理,因此很难但并非不可能被解密。没有数据被加密。根据外媒TechCrunch对数据的审查,这些帐户的日期至少可以追溯到2012年,但是一些最近的条目可以追溯到2018年年中。 Fidus联系Wizards of the Coast,但没有听到任何回应。直到TechCrunch与该公司取得之后,这家游戏制造商才将存储桶脱机。 该公司发言人Bruce Dugan在一份声明中对TechCrunch表示:“我们了解到,已被停止使用的网站上的数据库文件被无意间从公司外部访问了。”他表示:“我们从服务器上删除了数据库文件,并开始了调查以确定事件的范围。我们认为这是一起孤立事件,我们没有理由相信对数据进行了任何恶意使用,”但是发言人没有提供任何证据证明这一说法。 他表示:“但是,出于谨慎考虑,我们会通知玩家其信息已包含在数据库中,并要求他们在我们当前的系统上重置密码。” Fidus研发总监Harriet Lester表示:“在当今时代,错误的配置和缺乏基本的安全卫生措施仍然令人感到惊讶,尤其是当涉及到拥有超过45万个帐户用户的大型公司时。 ”“我们的研究团队不断工作,寻找诸如此类的错误配置,以尽快提醒公司,避免数据落入不法分子之手。这是我们帮助互联网更安全的小方法,”她告诉TechCrunch。 这家游戏机制造商表示,已根据欧洲GDPR法规的违规通知规则将有关泄露情况告知了英国数据保护部门。英国信息专员办公室没有立即回应此事。 对于违反GDPR的公司,可能会最高被处以相当于其全球年收入4%的罚款。   (稿源:cnBeta,封面源自网络。)