内容转载

= ̄ω ̄= 内容转载

Verizon 透露量子网络试验 该技术将有助于保障网络安全

Verizon正在扩大对量子计算技术的测试,该运营认商为该技术可以帮助保障其网络安全。一个名为量子密钥分发的技术在华盛顿特区的试点项目获得了成功,因此Verizon它现在将在全美范围内进行测试。量子计算可以解决一些传统机器不可能解决的计算问题,最著名的就是能够破解传统的加密技术。但Verizon正在探索一种不同的方式,即使用量子计算保护那些加密的网络连接。 量子密钥分配一种比量子计算更成熟的技术,允许双方共享用于保护通信的加密密钥。这项技术的一个关键因素是能够检测是否有其他人也试图进入。Verizon首席产品创新官尼基•帕尔默(Nicki Palmer)说:“基于量子的技术可以加强当今和未来的数据安全。 Verizon的试验涉及在两个地点之间实时加密和传送视频流。量子密钥是在一个光纤网络上创建和交换的,Verizon表示,这种技术可以立即发现黑客,QKD网络利用光子的量子特性来获得密码密钥,以防止窃听。它还使用量子随机数发生器连续生成加密密钥。       (稿源:cnBeta,封面源自网络。)

印总理莫迪个人网站 Twitter 账号确认遭入侵:要求捐赠加密货币

北京时间9月3日消息,印度总理莫迪个人网站的Twitter账号在周四稍早时候遭到入侵。莫迪个人网站账号narendramodi_in发布了一系列推文,要求其粉丝通过加密货币的形式向一个救济基金进行捐赠。这些推文随后被撤下。 Twitter证实,narendramodi_in账号遭到入侵,该公司表示已知道该账号的活动,并采取措施来保障被入侵账号的安全。“我们正在积极调查这一情况。目前,我们并未发现其他账号受影响的情况。”Twitter发言人在一份邮件声明中称。 莫迪办公室尚未就narendramodi_in账号发布的推文置评。     (稿源:凤凰网科技,封面源自网络。)

推特攻击事件又一主犯落网:来自马萨诸塞州的 16 岁少年

美国联邦当局近日又锁定了一位来自马萨诸塞州的 16 岁少年,指控他在今年 7 月发生的严重攻击事件中扮演重要角色。今年 7 月,当地警方逮捕了 17 岁的格雷厄姆·克拉克(Graham Clark of Tampa)在内的三名嫌犯,指控克拉克是本次攻击的幕后主谋。 图片为17 岁的格雷厄姆·克拉克 援引纽约时报报道,联邦特工已经确定了另一位在本次推特攻击事件中扮演更重要角色的少年。这位尚未公布姓名的少年似乎在今年 5 月与克拉克一起参与了推特攻击的策划活动。 根据纽约时报报道,这名来自马萨诸塞州的 16 岁少年还可能利用 vishing(语音钓鱼)技术入侵了该社交媒体平台更为敏感的后台系统。 7月15日,这两名少年伙同其他几名嫌犯利用窃取的推特员工凭证,发起了一场大规模的比特币骗局,利用Joe Biden, Apple, Elon Musk 和 Kanye West 等知名账号进行诈骗。     (稿源:cnBeta,封面源自网络。)

跨平台挖矿木马 MrbMiner 已控制上千台服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ 一、背景 腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner,黑客通过SQL Server服务器弱口令爆破入侵,爆破成功后在目标系统释放C#语言编写的木马assm.exe,进一步通过该木马与C2服务器通信,然后下载门罗币挖矿木马并维持挖矿进程。挖矿木马文件通过ZIP解压缩得到,并且会伪装成各类Windows系统服务。由于该挖矿木马的C2地址、矿池账号和文件信息均包含特征字符“MRB”,腾讯安全威胁情报中心将其命名为“MrbMiner“。 MrbMiner入侵后会释放另外两个下载器installerservice.exe、PowerShellInstaller.exe,下载器会将挖矿木马安装为系统服务以实现持久化运行,同时会搜集中招系统信息(包括CPU型号、CPU数量、.NET版本信息),关闭Windows升级服务以及在Windows系统中添加后门账号以方便继续入侵控制。 MrbMiner挖矿木马会小心隐藏自身,避免被管理员发现。木马会监测任务管理器进程,当用户启动“任务管理器”进程查看系统时,挖矿进程会立刻退出,并删除相关文件。 腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件,推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据,MrbMiner挖矿木马已控制上千台服务器组网挖矿。 腾讯安全系列产品已支持检测、清除MrbMiner挖矿木马,详细响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)MrbMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)MrbMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)MrbMiner挖矿木马关联的IOCs已支持识别检测; 2)SQL Server弱口令爆破登陆预警。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀MrbMiner相关木马程序; 2)SQL Server弱口令爆破登陆预警。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测MrbMiner挖矿木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀MrbMiner入侵释放的木马程序。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 黑客通过批量扫描和爆破SQL Server服务,执行shellcode下载assm.exe到服务器一下位置,并启动assm.exe: c:/program files/microsoft sql server/mssql**.mssqlserver/mssql/data/sqlmanagement/assm.exe c:/windows/temp/sqlmanagement/assm.exe assm.exe采用C#编写,执行后首先杀死已有挖矿进程,并删除文件。 然后向服务器vihansoft.ir:3341发送上线信息“    StartProgram    ok”。 从服务器mrbfile[.]xyz下载门罗币挖矿木马压缩包文件sqlServer.dll。 对下载得到的文件进行Zip解压缩。 挖矿木马文件名伪装成与Windows正常服务相似的文件名: Microsoft Media Service.exe Microsoft Agent System.exe WindowsSecurityService.exe WindowsAgentService.exe WindowsHostService.exe Windows Desktop Service.exe Windows Host Management.exe Windows Update Service.exe SecurityService.exe InstallWindowsHost.exe SystemManagement.exe 文件描述也使用类似的伪装手法: Services Service-Mrb WindowsSecurityService MrbMngService SetAllconfig()设置挖矿配置文件,首先向服务器发送消息“getConfig”获取配置文件,然后将得到的配置文件中的“rig-id”由“MRB_ADMIN”替换为“MrbAdmin-ProcessorCount”,ProcessorCount为当前机器CPU数量。 同时根据环境下不同的CPU数量设置不同的挖矿端口,默认端口为3333: CPU:1,port:3331 CPU:2,port:3332 CPU:4,port:3334 CPU:8,port:3338 默认挖矿配置参数: 一旦检测到挖矿进程退出,则重新启动。 一旦检测到“taskmgr”进程存在,则退出挖矿进程,并删除相关文件。(非常狡猾的设计,如果用户发现系统异常,准备打开任务管理器检查时,挖矿进程就结束,并删除文件) 私有矿池:mrbpool.xyz:443 公有矿池:pool.supportxmr.com:3333 门罗币钱包: 49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk 目前该钱包的收益为7个XMR,其私有矿池收益无法查询,而挖矿木马收益主要来源于私有矿池,因此该挖矿木马的实际收益会远远超过当前数额。 分析发现,黑客入侵后释放的另外两个下载器installerservice.exe、PowerShellInstaller.exe,下载门罗币挖矿木马之后,还会将其安装服务进行持久化,服务名为”Microsoft Agent Service”、”Windows Host Service”。 添加Windows账号”Default”,密码:”@fg125kjnhn987″,以便后续入侵系统。 执行Powershell命令,关闭系统升级服务: 获取系统内存信息: 获取IP地址: 获取CPU名称: 获取CPU数量: 获取.NET Framework版本信息: 此外,腾讯安全专家在攻击者的FTP服务器ftp[:]//145.239.225.15上,还发现了基于Linux平台和ARM平台的挖矿木马: Linux和ARM平台挖矿使用矿池:pool.supportxmr.com:80 钱包: 498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh 该钱包目前收益3.38个XMR。 IOCs IP 145.239.225.15 145.239.225.18 Domain mrbfile.xyz vihansoft.ir C&C vihansoft.ir:3341 URL http[:]//mrbfile.xyz/Hostz.zip http[:]//mrbfile.xyz/PowerShellInstaller.exe http[:]//mrbfile.xyz/sql/SqlServer.dll http[:]//mrbfile.xyz/Agentz.zip http[:]//mrbfile.xyz/Agenty.zip http[:]//mrbfile.xyz/sql/syslib.dll http[:]//mrbfile.xyz/sys.dll http[:]//mrbfile.xyz/35/sys.dll http[:]//mrbfile.xyz/Hosty.zip http[:]//vihansoft.ir/sys.dll https[:]//vihansoft.ir/Sys.dll http[:]//vihansoft.ir/Agentx.zip https[:]//vihansoft.ir/d.zip http[:]//vihansoft.ir/k.exe http[:]//vihansoft.ir/d.zip https[:]//vihansoft.ir/Hostx.zip http[:]//vihansoft.ir/p.zip https[:]//vihansoft.ir/k.exe https[:]//vihansoft.ir/Agentx.zip https[:]//vihansoft.ir/vhost.tar.gz https[:]//vihansoft.ir/P.zip https[:]//github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true https[:]//vihanSoft.ir/Agent.zip https[:]//vihanSoft.ir/host.zip ftp[:]//145.239.225.15/armv.tar.gz ftp[:]//145.239.225.15/linux-os.tar.gz ftp[:]//145.239.225.15/linuxservice.tar.gz ftp[:]//145.239.225.15/osx.tar.gz ftp[:]//145.239.225.15/vhost.tar.gz ftp[:]//145.239.225.15/xmr.tar.gz ftp[:]//145.239.225.15/arm.tar.gz Md5 c79d08c7a122f208edefdc3bea807d64 6bcc710ba30f233000dcf6e0df2b4e91 ac72e18ad3d55592340d7b6c90732a2e 6c929565185c42e2e635a09e7e18fcc8 04612ddd71bb11069dd804048ef63ebf 68206d23f963e61814e9a0bd18a6ceaa a5adecd40a98d67027af348b1eee4c45 c417197bcd1de05c8f6fcdbfeb6028eb 76c266d1b1406e8a5e45cfe279d5da6a 605b858b0b16d4952b2a24af3f9e8c8e c3b16228717983e1548570848d51a23b c10b1c31cf7f1fcf1aa7c79a5529381c 391694fe38d9fb229e158d2731c8ad7c 5d457156ea13de71c4eca7c46207890d f1cd388489270031e659c89233f78ce9 54b14b1aa92f8c7e33a1fa75dc9ba63d f9e91a21d4f400957a8ae7776954bd17 61a17390c68ec9e745339c1287206fdb f13540e6e874b759cc3b51b531149003 2915f1f58ea658172472b011667053df 3cb03c04a402a57ef7bb61c899577ba4 f2d0b646b96cba582d53b788a32f6db2 5eaa3c2b187a4fa71718be57b0e704c9 8cf543527e0af3b0ec11f4a5b5970810 36254048a516eda1a13fab81b6123119 0a8aac558c77f9f49b64818d7ab12000 59beb43a9319cbc2b3f3c59303989111 ce8fdec586e258ef340428025e4e44fa e4284f80b9066adc55079e8e564f448c 2f402cde33437d335f312a98b366c3c8 25a579dcc0cd6a70a56c7a4a0b8a1198 2d1159d7dc145192e55cd05a13408e9b 2dd8a0213893a26f69e6ae56d2b58d9d 0d8838116a25b6987bf83214c1058aad 0c883e5bbbbb01c4b32121cfa876d9d6 2d26ecc1fdcdad62e608a9de2542a1a6 27c91887f44bd92fb5538bc249d0e024 96b0f85c37c1523f054c269131755808 028f24eb796b1bb20b85c7c708efa497 门罗币钱包: 49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk 498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh

Google Chrome 加入密码泄露检查功能 支持一键跳转修改

近年来,网站服务被黑客入侵并暴露数百上千万密码的事件已经屡见不鲜。而为了帮助用户了解自己的密码是否已经被泄露到了互联网上,Google Chrome 浏览器正在采用一种更加标准的方法。如果被 Google 检查到您的密码已被暴露,只需点击一个按钮,浏览器就会跳转到正确的网址来帮助你轻松修改密码。 据悉,这项功能采用了“众所周知”的解决方案,因为大多数网站都有提供标准的“修改密码”页面。而 Chrome 浏览器做到了更进一步 —— 帮助用户一件跳转! 以 WordPress 为例,该网站的密码修改 URL 为【https://wordpress.com/.well-known/change-password】。 此外知名社交媒体平台 Twitter 的密码修改网址为【http://twitter.com/.well-known/change-password】。 通过集成密码泄露检查和一件跳转修改功能,Chrome 可以免除中间过程的许多麻烦。如果某些网站不支持这项功能,则谷歌会将你引导至它的主页。 按照计划,谷歌将在 2020 年 10 月发布的 Chrome 86 版本中引入这项功能,届时感兴趣的朋友可尝试手动开启或关闭该标记(flags)。 此外作为一项标准功能,其已在 Apple Safari 中得到使用,后续也将很快登陆其它基于 Chromium 内核的马甲浏览器中。     (稿源:cnBeta,封面源自网络。)

苹果错误批准恶意软件在 macOS 上运行 回应:已撤销

根据信息安全研究员的一份最新报告,苹果意外批准了伪装成Adobe Flash播放器更新的常见恶意软件在macOS系统上运行。 信息安全研究员帕特里克·沃德尔(Patrick Wardle)指出,苹果批准的一款应用中包含知名恶意软件Shlayer中使用的代码。Shlayer是一款木马下载器,通过伪装成其他应用来传播,用户中招后会遭到大量广告的轰炸。反病毒公司卡巴斯基2019年表示,Shlayer是Mac电脑面临的“最常见威胁”。 沃德尔说,这是在苹果启动新的应用认证流程后,他首次听说苹果错误认证了恶意软件。苹果于2019年公布了macOS的应用认证流程,要求所有应用在macOS上运行前都要经过苹果的审核和开发者签名,即使这些应用来自Mac App Store以外。 在发现恶意软件之后,沃德尔联系了苹果。苹果随后禁用了与该应用相关的开发者帐号,吊销了对帐号的认证。有消息称,攻击者试图再次对该恶意软件进行认证,但苹果表示,各个版本的恶意软件认证都已被撤销。     (稿源:新浪科技,封面源自网络。)

暗网 Empire Market 于三天前宕机 猜测跑路或管理员被捕

援引彭博社报道,全球最大的暗网之一 Empire Market 于三天前宕机。目前尚不清楚引发本次宕机的原因是什么,也不清楚该网站的管理员是谁。报道中采访的一位网络安全专家表示,像 Empire Market 这样的暗网宕机通常有两个原因,其一是管理员被逮捕,其二就是窃取了用户押金后跑路。 暗网 Empire Market 主要销售毒品,并提供包括护照、恶意软件在内的其他内容。彭博社报道称,在 Silk Road 和 AlphaBay 等暗网关闭之后,Empire Market 成为交易量最大的暗网市场。 帝国市场上的商品被换成了加密货币。为了在这样的市场上经营,任何想要出售的人都必须交纳押金。这笔钱会被托管,让网站的管理员对其进行控制。这使得他们有可能直接关闭网站,然后带着钱走人。一位接受彭博社采访的安全专家表示,帝国市场托管的金额很难估计,但至少是 “数百万美元”。     (稿源:cnBeta,封面源自网络。)

为拿回被朝鲜黑客盗走的加密货币 美政府提起诉讼

据外媒报道,美国政府日前提起诉讼以此来控制280个比特币和以太坊账户,据悉这些账户持有朝鲜黑客从两家加密货币交易所窃取的资金。法庭文件没有指明被黑的交易所,但官员表示,这两次黑客攻击分别发生在2019年7月1日和2019年9月25日。 在第一次事件中,朝鲜黑客窃取了价值27.2万美元的加密货币和代币,包括Proton代币、PlayGame代币和IHT Real Estate代币。而在第二次事件中,黑客窃取了多个虚拟货币,总价值超过250万美元。 美国官员表示,他们使用区块链分析追踪到两家被黑交易所门户网站被盗资金进入了280个账户中。 根据法庭文件,美国政府表示,朝鲜黑客使用了一种名为chain hopping的技术来洗黑钱。这种技术也被称为blockchain hopping,指的是从一种加密货币中获取资金并将其转换为另一种加密货币。 美司法部表示,朝鲜黑客通常会从一家交易所窃取资金然后将资金转移到另一家交易所,在那里他们会进行数次连锁交易,最终则将所有资金汇入他们追踪到的280个BTC和ETH账户中。 根据法庭文件了解到,这280个地址中的许多地址目前都被冻结在了它们建立的加密货币门户上。由于加密货币交易门户网站之间有着合作关系,它们会在遭到黑客攻击后立即冻结问题账户。 现在,美国政府想要正式控制这些账户以便将资金返还给被黑客攻击的交易所或用户。 美国司法部表示,这两起黑客攻击跟他们在2019年3月曝光的其他朝鲜黑客攻击和洗钱活动有关。 2019年9月,美国财政部曾制裁了三家朝鲜黑客组织,并冻结了跟其空壳公司相关的金融资产。美财政部官员表示,这三家组织参与了对加密货币交易所的黑客攻击,其目的是窃取资金然后转移给平壤政权手中。     (稿源:cnBeta,封面源自网络。)

Slack 修复严重远程代码执行漏洞 可访问私人文件、私钥等隐私

Slack 及其几十个桌面应用程序刚刚躲过一劫。这款被记者、科技工作者和 D&D 爱好者广泛使用的通讯工具本周五披露了一个“关键漏洞”,允许黑客在用户电脑上肆意妄为。这个安全漏洞并不是由 Slack 的内部安全团队发现的,而是由第三方安全研究人员报告的,在 1 月份通过漏洞赏金平台 HackerOne 报告的。 该漏洞被称之为“远程代码执行”,在Slack修复之前,使用该漏洞的攻击者可以做一些非常疯狂的事情,比如获得 “对私人文件、私钥、密码、秘密、内部网络访问等的访问权”,以及 “对Slack内部私人对话、文件等的访问权”。 更为重要的是,根据披露的细节有恶意倾向的黑客可能会让他们的攻击变得“wormable”。也就是说,如果你团队中的一个人被感染了,他们的账户会自动将该危险的有效载荷重新分享给所有同事。 值得强调的是,发现这个漏洞的安全研究人员决定做一个很多人认为正确的事情,通过HackerOne向Slack报告。对于这位安全研究人员来说,他的 HackerOne 账号是oskars,这让他获得了 1750 美元的漏洞赏金。 当然,如果那个人愿意,他们很可能通过把它卖给第三方漏洞中介,得到更多更多的钱。像Zerodium这样的公司,出价数百万美元购买零日漏洞,再把这些漏洞卖给政府。 外媒联系了Slack,试图确定它是如何决定其bug赏金的规模,以及它是否对安全社区成员提出的批评有回应。对此,该公司发言人回答说,Slack为bug赏金支付的金额并非一成不变。 “我们的bug赏金计划对于维护Slack的安全至关重要,”该发言人在部分内容中写道。”我们非常重视安全和开发者社区的贡献,我们将继续审查我们的支付规模,以确保我们认可他们的工作并为客户创造价值。”     (稿源:cnBeta,封面源自网络。)

为精准用户画像,恶意 npm 软件包窃取浏览器文件

据科技媒体 ZDNet 的报道,npm 安全团队近日发现了一个恶意的 JavaScript 库,该库旨在从受感染用户的浏览器和 Discord 应用程序中窃取敏感文件。 这个名为 “fallguys” 的 JavaScript 库声称提供了 “Fall Guys: Ultimate Knockout” 游戏的 API 接口。但实际上它附带恶意程序,用户在运行后即被感染。 根据 npm 安全团队的说法,此代码将尝试访问五个本地文件,读取其内容,然后利用 Discord Webhook 将数据发布到 Discord 通道内。Discord 的内置 Webhooks 是一种简便的方法,可以将消息和数据更新自动发送到服务器中的文本通道。 程序包尝试读取的五个文件分别是: /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb /AppData/Roaming/discord/Local\x20Storage/leveldb 前四个文件是特定于 Chrome、Opera、Yandex Browser 和 Brave 等浏览器的 LevelDB 数据库。这些文件通常存储特定于用户浏览历史记录的信息。 最后一个文件也是类似的 LevelDB 数据库,但用于 Discord Windows 客户端,该数据库类似地存储有关用户已加入的频道以及其他特定于频道的内容的信息。 令人寻味的是,该软件包并未收集存储凭据一类的更敏感信息,而似乎是在观察受感染者,评估他们经常访问的站点,再根据此来更新软件包,提供更有针对性的代码。 该软件包上架了两个星期,被下载近 300 次。目前,npm 安全团队已将此软件包删除。 相关链接 npm 的详细介绍:点击查看 npm 的下载地址:点击下载     (稿件与封面来源:开源中国)