内容转载

= ̄ω ̄= 内容转载

黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

Guardicore Labs 的安全研究人员发布了一份报告,该报告关于在全球范围内攻击 Windows MS-SQL 和 PHPMyAdmin 服务器的黑客活动,代号“Nanshou”,且这一攻击源头是中国黑客。 报告称,包括属于医疗保健、电信、媒体和 IT 公司等在内的 50,000 多台服务器受到了攻击,一旦受到攻击,目标服务器就会被恶意负载感染。黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。 这并非典型的加密攻击,它使用 APT (Advanced Persistent Threat,高级持续性威胁,本质是针对性攻击)中经常出现的技术,例如假证书和特权升级漏洞。 该攻击活动于 4 月初被首次发现,但可以追溯至 2 月 26 日,每天有超过 700 个新的受害者。研究人员发现已存在 20 多种不同的有效恶意负载,这期间每周至少会有一个新的恶意负载被创建,受感染的计算机数量在一个月内就已翻倍。 在使用管理权限成功登录身份验证后,攻击者在受感染系统上执行一系列 MS-SQL 命令,以从远程文件服务器下载恶意负载,并以 SYSTEM 权限运行它。 在后台,有效负载利用已知的权限提升漏洞(CVE-2014-4113)来获取受感染系统的 SYSTEM 权限。 然后,有效负载在受感染的服务器上安装加密货币挖掘恶意软件以挖掘 TurtleCoin 加密货币。 研究人员还发布了一份完整的 IoC(危害指标)列表和一个免费的基于 PowerShell 的脚本,Windows 管理员可以使用它来检查他们的系统是否被感染。 由于攻击依赖于 MS-SQL 和 PHPMyAdmin 服务器的弱用户名和密码组合,因此,强烈建议管理员为账户设置一个复杂密码。 调查报告完整版:https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/   (稿源:开源中国,封面源自网络。)

Flipboard 发安全通告:内部系统遭黑客攻击 推荐所有用户重置密码

新闻聚合服务和移动新闻应用 Flipboard 今天发布安全通告,公司内部多个系统遭到黑客攻击,已经持续超过 9 个月时间。援引外媒 ZDNet 掌握的多封电子邮件,Flipboard 表示黑客获得了存储客户信息的服务器访问权限。在该服务器上存储了用户名、哈希值、加密密码,以及和第三方服务捆绑的 Flipboard 个人资料。 不过好消息是服务器上存储的密码都是通过名为 bcrypt 的强密码哈希算法进行加密的,目前业内这种算法很难被破解。公司也表示一些密码是使用比较弱的 SHA-1 算法加密的,但是数量并不多。Flipboard 表示:“如果用户在 2012 年 3 月 14 日之后创建或者更改过密码,那么都使用了 bcrypt 算法进行加密。如果用户并没有更改过密码,那么是使用 SHA-1 算法进行加密的。” Flipboard 表示:“我们仍在确定确切的受影响账户数量,但是我们知道并非所有账户都收到了伤害。”在其电子邮件中,Flipboard 表示无论是否受到影响,所有用户都应该重置密码。此外公司已经取消了连接到 Flipboard 的包括 Facebook、Twitter、Google 和 Samsung 在内第三方服务的所有数字代币。 该公司表示。“我们没有发现任何证据证明未经授权的人访问了与您的 Flipboard 帐户相关的第三方帐户。”   (稿源:cnBeta,封面源自网络。)

爱尔兰数据保护机构发起 19 项调查 11 项都是 Facebook

北京时间5月28日早间消息,自欧盟最新的数据保护法规一年前生效以来,Facebook及该公司旗下的Instagram和WhatsApp在爱尔兰遭遇了最多的数据调查。 爱尔兰数据保护委员会表示,他们已经据此发起了19起调查,其中11起重点关注Facebook、WhatsApp和Instagram。 Twitter和LinkedIn也遭到了调查,该委员会还在上周针对谷歌使用个人数据提供精准广告的方式展开调查。 在此之前,谷歌刚刚因为广告个性化缺乏透明度、信息不足和授权不清而遭到法国数据监管机构CNIL罚款5000万欧元。但该公司已经对此提出上诉。 多数美国科技公司都在爱尔兰处理个人数据,所以就需要遵守欧盟的《通用数据保护条例》(GDPR)。在爱尔兰数据保护委员会发起的调查中,有9起是因为个人或企业投诉,还有10起是其主动展开调查。(书聿)   (稿源:新浪科技,封面源自网络。)

谷歌将投资 6.7 亿美元扩建芬兰数据中心

北京时间5月28日早间消息,谷歌将投资约6亿欧元(6.7亿美元)在芬兰建立一个数据中心,而其母公司Alphabet目前也在大力投资服务器,满足对文件和媒体访问速度的需求。 谷歌周一在电子邮件公告中表示,这栋新建筑将在谷歌位于芬兰南部海岸Hamina的现有数据中心综合体上进行扩建,该公司在那里的总投资达到14亿欧元。 随着企业和个人越来越多地在所谓的云平台上存储更多数据,科技公司都在竞相建立更多此类设施。谷歌为用户提供各种服务,包括电子邮件、地图、搜索和照片以及视频。 这家总部位于加州山景城的公司目前在全球拥有58个数据中心。在欧洲,他们自2007年以来已在五个此类设施中投资超过43亿欧元,第一季度的应计资本支出达到45亿美元,其中包括数据中心、服务器和办公设施的支出。 芬兰扩建计划正值谷歌通过其新的流媒体服务Stadia推动视频游戏的发展之际,这将允许玩家通过网络运行游戏,而无需购买昂贵的游戏机或PC。Stadia通过YouTube运行,需要借助数据中心网络才能发挥作用。 谷歌的Hamina综合体将使用从北欧三个新风电场获得的可再生能源为动力。(书聿)   (稿源:新浪科技,封面源自网络。)

易到用车服务器遭到连续攻击:攻击者索要巨额比特币

2019年5月26日凌晨,易到用车服务器遭到连续攻击,因此给用户使用带来严重的影响。 据悉,攻击者索要巨额的比特币相要挟,攻击导致易到核心数据被加密,服务器宕机。我们的相关技术人员正在努力抢修。 易到表示,我们严厉谴责这种不法行为,并已向北京网警中心报案,并保留一切法律途径追究攻击者责任的权利。运营团队会根据解决此次事件的时长制定补偿方案,希望广大用户能够理解和保持耐心等待。 5月22日,针对用户余额减少甚至变成0的状况。易到用车发布《易到用车乘客端账户系统故障说明》表示,在紧急调试全新模式的用户充返活动时,技术工作发生了故障与失误,导致部分用户的账户余额受到影响。 易到表示“已及时的进行了系统修复!此次受影响的用户账户,将在7个工作日内陆续恢复。”   (稿源:快科技,封面源自网络。)

macOS 被爆安全漏洞:可轻松绕过门禁功能安装恶意程序

在向苹果反馈三个月之后,一位安全专家详细披露了如何绕过Gatekeeper(门禁),欺骗用户运行潜在的恶意程序。安全顾问Filippo Cavallarin表示,macOS系统中的设计缺陷可以让黑客轻松绕过Gatekeeper。他在2019年2月22日向Apple报告了这一漏洞,现在决定公开披露。 Cavallarin在个人博客上表示:“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后,我公开了这些信息。” Gatekeeper设计目标根本不是为了防止这种漏洞,而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用,审查通过后予以接受并添加签名,确保应用未经篡改或改动。如果某个应用存在问题,Apple 会迅速从商店中下架。 视频:https://player.youku.com/embed/XNDE5Njg2ODU4NA== 但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示:“根据设计规范,Gatekeeper将外部磁盘和网络共享视为安全位置,而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择,在下次打开的时候Gatekeeper就不会继续检查它。 Cavallarin继续说道:“Zip档案可以包含指向任意位置的符号链接(包括automount enpoints),并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说,用户可以“轻易”欺骗安装网络共享驱动器,然后该文件夹中的任何内容都可以通过Gatekeeper。 目前苹果官方并未针对该漏洞做出回应。   (稿源:cnBeta,封面源自网络。)

FB 一季处理 21.9 亿假帐号 安全预算大于 Twitter 年收入

北京时间5月24日早间消息,Facebook已经加强了对虚假帐号的打击力度。据美国财经媒体CNBC报道,该公司本周四在其第三次定期发布的社区标准执行报告中表示,其在2019年第一季度处理的可疑虚假帐号数量几乎是2018年第四季度的两倍。 该公司表示,上升的原因在于“有不良行为试图通过自动攻击一次性创建大量帐号”。 在为讨论该报道而召开的电话会议上,Facebook CEO马克·扎克伯格(Mark Zuckerberg)回应了通过反垄断分拆该公司的说法,他认为这将损害Facebook为打击虚假新闻和违反其政策的其它内容所作的努力。 “我们的安全系统预算金额大于Twitter今年的全部收入。”扎克伯格周四在电话会议上说,“我们能够做一些我认为其他人无法做到的事情。” 具体而言,Facebook在2019年第一季度关闭的帐号数量为21.9亿,而2018年第四季度则为12亿。 由于Facebook 2019年第一季度的月活跃用户为23.8亿,所以这个数字堪称庞大。Facebook发言人表示,该公司禁用的帐号数量并未包含在其月活跃用户数字中,因为明显的虚假帐号通常会很快被删除。尽管如此,Facebook估计每月活跃用户中约有5%是虚假帐号。 最新报道发布之前,Facebook于3月份宣布了一项隐私计划,最终将通过Instagram、Messenger和WhatsApp的聊天功能将更多用户的通信转移到私人加密频道。扎克伯格周四表示,这一变化将使Facebook更难找到并删除周四报告中所涵盖的内容类型。 “我们将在缺少重要工具的情况下参与这场战斗” 扎克伯格说。(书聿)   (稿源:新浪科技,封面源自网络。)

传 Snapchat 员工滥用内部工具 获取位置数据等信息

北京时间5月24日早间消息,根据美国科技媒体Motherboard的报道,Snap的前员工表示,几年前有“多名”Snap员工通过不当方式访问用户数据。这意味着他们滥用了自己的权限,在合法理由之外监视用户。 Snap的员工拥有内部工具,让他们可以访问Snapchat用户的个人信息,包括位置数据、在应用上保存的照片,以及电子邮件地址。一名前员工表示,这样的数据滥用至少发生过几次。 这样的工具之一是SnapLion,其设计是为了满足司法部门获得用户数据的要求。然而,Snap的反垃圾邮件团队、客户运营团队和信息安全人员都可以使用该工具。一名前员工将该工具称作“王国的钥匙”。内部电子邮件显示,一名员工曾使用该工具去查找某用户的电子邮件地址。 Facebook和Uber此前也发生过类似问题。这两家公司的员工曾利用自己的权限去追踪女性用户。类似事件还曾发生在美国国家安全局(NSA),当时几名员工使用监控工具去监视名人。(李丽)   (稿源:cnBeta,封面源自网络。)

巴尔的摩市政府遭遇勒索软件事件再遇新问题:临时 Gmail 账号被禁

本月早些时候,巴尔的摩(Baltimore)市政府遭到勒索软件攻击,锁定了大约 10000 台政府计算机,导致该市一系列重要的公共服务被关闭。在拒绝向黑客支付赎金之后,当地政府着手启动了恢复计划。不过在恢复过程中该市官员又遇到了新的问题–谷歌阻止该市政府部门使用新创建的Gmail账号。   援引当地媒体Baltimore Sun报道,在5月7日该市政府系统网站遭到了勒索软件攻击,并要求支付13个莱特币(当前市值约 10.2 万美元)赎金。勒索软件已经让巴尔的摩全市沦为了人质,因为市政府无法访问电子邮件账户,甚至连给雇员发工资都做不到。此外,市民无法支付一系列公共事业费用,房地产相关的交易也无法顺利展开。 报道称暗虽然官员处理这个问题还需要数月时间才能修复,但是已经有用户开始注册免费的Gmail账号以继续运营。Gmail将用户群划分为普通个体和来自企业或者其他机构的用户,而后者需要为服务支付一定的费用。根据Baltimore Sun报道,谷歌的系统将城市官员划归到机构中,并且已经关闭了临时账号。本周四,该市卫生部门、市议会助理和市长办公室所发送的电子邮件都被退回操作。 谷歌发言人随后在一份声明中表示,该公司的安全系统在短时间内检测到多个账户的创建,并自动将其关闭。对此发言人表示:“我们已经恢复了对巴尔的摩市官员Gmail帐户的访问权限。由于在同一网络下批量创建了多个消费级Gmail账户,我们的自动安全系统禁用了这些账户。”   (稿源:cnBeta,封面源自网络。)

巴尔的摩市已被加密货币勒索软件困扰两周

本月早些时候,黑客成功地在巴尔的摩市部署了一批勒索软件。在两周的时间里,它已经导致了该市一系列重要的公共服务被关闭。外媒指出,本次攻击锁定了大约 10000 台政府计算机。虽然攻击者的真实身份不得而知,但其向政府勒索 13 个莱特币(当前市值约 10.2 万美元),否则就不予恢复设备上的正常数据。 (图 via:Bleeping Computer,文自:BGR) 显然,勒索软件已经让巴尔的摩全市沦为了人质,因为市政府无法访问电子邮件账户,甚至连给雇员发工资都做不到。此外,市民无法支付一系列公共事业费用,房地产相关的交易也无法顺利展开。 令人欣慰的是,市政官员表示他们无意支付这部分赎金,因为只要妥协过一次,无疑会鼓励别有用心者在未来发起更多类似的攻击。 只是在此期间,巴尔的摩市正在耗费大量的心力、以恢复基础服务的正常运行。 在数日前发布的新闻稿中,巴尔的摩市市长 Bernard Young 说到:“我们建立了一套基于 Web 的事故指挥方案,将操作转换到了手动模式,并会通过其它方案来继续向公众提供服务” 巴尔的摩市将继续调整和完善那些被中断服务的交付,同时寻求重新激活任何完全中断的服务的方法。 在恢复的过程中,我们还与 FBI 合作展开了调查,不过具体的细节还无法向大家分享。如被允许,我们将继续向公众通报相关进展。 Bernard Young 补充道:作为控制勒索软件并实施工具更新的一部分,该市正在与业内顶尖的网络安全专家合作,以确保此类事件不再发生。 至于一切恢复正常运转的时间,目前暂不得而知。不过按照估计,部分系统可能要画上几个月的时间,才能完全恢复。 正如许多大企业那样,巴尔的摩市拥有数千套系统和相关应用程序。当前的重点是让关键服务优先上线,并在期间将安全性视为首要任务之一。 市民们可在未来几周内看到部分服务开始恢复运转,但一些较复杂的系统,可能需要几个月才能彻底恢复。 实际上,这并不是巴尔的摩市首次遭遇勒索软件攻击。因为去年的时候,该市的 911 应急报警系统就曾遭遇过一次。幸运的是,这次勒索软件并没有影响到 911 系统。 至于本轮勒索软件攻击的细节,《巴尔的摩太阳报》指出,罪魁祸首是被称作 RobbinHood 的勒索软件变种。在对其展开深入研究后,专家称其是由经验丰富的编程者捣鼓出来的。   (稿源:cnBeta,封面源自网络。)