内容转载

= ̄ω ̄= 内容转载

Android 端 Twitter 应用曝出安全漏洞:信息恐已泄漏 推荐尽快更改密码

今天早些时候,推特(Twitter)面向所有Android端推特用户发送了一封电子邮件,在确认公司已经修复Android端APP存在的严重漏洞之外,有黑客可能通过该漏洞获取了部分用户账户信息。在公司发布的详细博文中,推特表示公司目前并没有发现任何直接证据表明这些数据已经被使用,在暗网或者其他渠道上也没有披露/出售的信息。 但是作为预防措施,推特已经通过电子邮件和移动APP的方式通知用户尽快更改密码,从而确保自己的账户安全。此外该公司还向用户发布了相关说明和APP更新。 在电子邮件中写道: 我们最近修复了存在于Android端Twitter应用中的一个漏洞,该漏洞能够让不良行为者看到非公开帐户信息或控制您的帐户(即发送推文或直接消息)。在修复之前,通过将恶意代码插入Twitter应用程序受限制的存储区域等复杂过程,不良行为者可能已经可以访问来自Twitter应用程序的信息(例如,直接消息,受保护的推文,位置信息)。 我们没有证据表明恶意代码已插入到应用程序中或已利用此漏洞,但是目前我们无法百分百确认,因此我们需要格外的小心。   (稿源:cnBeta,封面源自网络。)

FBI 全新 IDLE 项目通过“虚假数据”帮助公司欺骗黑客

据外媒SlashGear报道,导致大量数据丢失的网络攻击已变得越来越普遍。黑客将目标锁定在从商店到大型医院和社交媒体平台的所有方面,使人们面临身份盗窃,财务欺诈等风险。FBI的IDLE程序旨在帮助解决该问题,该程序专注于使用诱饵数据使恶意黑客难于处理。 FBI网络参与和情报部门代理助理部门主管Long T. Chu 最近在接受Ars Technica的采访时表示,该机构正在采取更“整体”的方法来应对日益严重的网络攻击问题。FBI现在不仅向大型公司发出警报,并且在发生安全隐患后对其做出反应。此外还通过采取掩盖数据的方式,帮助企业采取积极措施来阻止这些数据盗窃企图。 该工作正在名为“ IDLE”的项目下完成,该项目代表非法数据丢失利用,其被描述为通过使用诱饵数据进行混淆的尝试。接受Ars Technica采访的消息人士称,IDLE并非是诱捕或经典的“蜜罐”,而是类似于将一堆假的拼图块混入装满正确拼图块的盒子中。 黑客将不得不非常努力地将虚假数据与真实数据区分开,从而使破坏这些公司的总体思路变得不那么有吸引力。这个想法不是通过发布诱人的(但是假的)信息来吸引攻击者。相反,这是为了帮助保护黑客已经在寻找的数据。 FBI出于明显的原因没有在谈论这个项目的复杂性,但是它没有将IDLE分类。据悉,该项目下创建的虚假数据旨在与公司用于其合法数据的格式相匹配。假数据混入批次中,但不会对公司本身造成负面影响。FBI没有透露这种混合方式是如何发生的,以避免提供可能使攻击者受益的信息。   (稿源:cnBeta,封面源自网络。)

阿联酋社交应用 ToTok 被发现监视其用户 已被下架

与WhatsApp和Skype相似,阿联酋用户消息传递应用程序ToTok对外宣称旨在连接任何人。但是,美国官员却发现该应用程序的目的邪恶。阿拉伯联合酋长国政府一直在利用这款名为ToTok的消息应用跟踪用户。包括但不限于数据挖掘文本对话,通过定位服务收集物理位置以及记录设备使用时的音频。 ToTok能够成为一个流行应用的吸引力在于它在限制了其他更受欢迎的消息服务的国家(如阿拉伯联合酋长国)中运行良好。在中东国家,许多公民无法使用诸如WhatsApp之类的流行消息传递应用程序。 ToTok可用于Android和苹果iOS设备,在中东,欧洲,亚洲,非洲以及最近在北美变得越来越流行。在发现安全隐患后,苹果和谷歌都已从其应用商店中删除了该应用。以前下载ToTok的用户仍然可以使用该应用程序,直到他们从手机上手动将其删除为止。 ToTok的用户群主要位于阿联酋。但是,在其推出的几个月再到从App Store和Google Play移除之前,它也已成为美国下载次数最多的社交应用之一。 据《纽约时报》报道,目前尚不清楚情报官员何时确定ToTok有跟踪用户和挖掘数据的操作。一位知情人士说,美国官员已在内部警告一些盟友有关运行ToTok的危险。   (稿源:cnBeta,封面源自网络。)

外媒警告地理位置数据可被轻易用于身份识别和个人追踪

《纽约时报》获得的一份文件指出,在 2016~2017 年的几个月里,有超过 1200 万部智能机被精确定位。尽管相关数据在技术上是匿名的,但报告详细说明了关联特定数据的难易程度。比如结合家庭住址之类的公开信息,就能够轻松地识别和追踪某个特定的用户。对于注重隐私和机密的执法人员、律师、技术人员来说,需要特别提高警惕。 (题图 via MacRumors) 其中一个案例,可指出某位微软工程师的日常活动发生了变化。在某个星期二的下午,其拜访了微软竞争对手亚马逊在西雅图的主园区。 次月,这位工程师就跳槽到了亚马逊,并开始了新的工作。经过几分钟的信息筛查与汇总,最终可认定他就是现任 Amazon Prime Air 无人机交付服务经理 Ben Broili 。 报告解释称:信息来自集成了可收集位置数据的第三方智能机应用程序,比如 Gimbal、NinthDecimal、Reveal Mobile、Skyhook、PlaceIQ 等 App 的 SDK 。 更让人感到不安的是,这些都是能够在美国合法收集和出售的。作为应对,苹果倒是一直在努力增强用户隐私的保护。 比如在 iOS 13 中,当第三方 App 请求访问用户位置信息时,将不再有‘始终允许’的选项。 若用户想授予持续性的位置数据访问权限,必须移步至‘设置 -> 隐私 -> 位置服务’中进行。 此外,苹果还要求 App 向用户提供使用位置数据的详细说明。 注重隐私的 iPhone 用户,可移步至“设置 -> 隐私 -> 位置服务”,将非必要的那些 App 的位置信息获取权限都及时禁用掉,或者在使用前详细查看特定 App 的隐私政策。   (稿源:cnBeta,封面源自网络。)

以为“订单询价”是财神到了,结果却是一个陷阱……

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/l9FMQq6i1nNopeVrF7X9Sw   一、背景 腾讯安全御见威胁情报中心检测到利用钓鱼邮件传播NetWire RAT变种木马的攻击活跃。攻击者将“订单询价”为主题的邮件发送至受害者邮箱,在附件中提供精心构造的利用Office漏洞(CVE-2017-8570)攻击的文档,存在漏洞的电脑上打开文档,会立刻触发漏洞下载NetWire RAT木马,中毒电脑即被远程控制,最终导致商业机密被盗。 NetWire是一种活跃多年的,公开的远程访问木马(RAT),该木马至少从2012年开始就被犯罪分子和APT组织使用。此次攻击中使用的NetWire变种采用MS Visual Basic编译,并且通过添加大量无关指令隐藏恶意代码。为了对抗分析,NetWire还会以调试模式启动自身为子进程并提取恶意代码注入。 NetWire RAT木马安装到受害系统后,会添加自身到系统启动项,搜集系统信息上传至服务器,然后接受控制端指令完成下载执行、搜集系统信息、搜集登录密码、记录键盘输入以及模拟鼠标键盘操作等行为。攻击者利用的Office漏洞(CVE-2017-8570)影响Office 2007至2016之间的多个版本。 NetWire攻击流程 二、详细分析 以咨询商品报价订单为主题的钓鱼邮件。 邮件附件是一个RTF文档RFQ# 19341005D.doc(默认用Word关联打开),其内容被写入了人物“John Smith”的维基百科查询返回结果。而该文档实际上包含黑客精心构造的CVE-2017-8570漏洞利用代码,该漏洞影响Office2007-Office2016之间的多个版本。存在漏洞的系统上使用Office程序打开攻击文档会触发漏洞攻击,微软已在2017年7月发布该漏洞的安全更新。 打开RTF文档后,会自动释放文档中被插入的Package对象到%temp%目录,Package对象实际上是一个恶意Scriptletfile(.sct)脚本文件。 CVE-2017-8570漏洞触发成功后会直接加载文档释放到%temp%目录下的trbatehtqevyaw.ScT脚本执行,Scriptletfile启动Powershell命令下载 http[:]//www.komstrup.com/pure/zomstag.png或http[:]//www.komstrup.com/pure/zomdost.png,保存为%Temp%\zomstag.exe或%Temp%\zomdost.exe。 zomstag.exe(zomdost.exe)是公开的远程控制木马NetWire的变种,该木马至少从2012年开始就被犯罪分子和APT组织使用,是一款商业木马。 该NetWire变种是使用MS Visual Basic编译的,并且使用了多种反分析技术来对抗分析。 添加大量无关指令隐藏恶意代码。 动态地将恶意代码提取到内存中,然后跳转到目标位置执行。 NetWire添加自身到注册表的自动运行组 <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows之中,使得当受感染的系统启动时可以自动运行。 并且创建注册表<HKCU>\SOFTWARE\NetWire、<HKCU>\SOFTWARE\NetWire\HostId、 <HKCU>\SOFTWARE\NetWire\Install Date,在其中记录受害机器ID和木马安装时间。 NetWire将自己重新启动为子进程时,使用指定的DEBUG_ONLY_THIS_PROCESS标志进行重新启动,这使得父进程充当子进程的调试器,导致其他调试器无法附加到子进程,从而阻止分析员分析恶意代码细节。然后修改子进程其内存和线程的上下文数据,在线程上下文中修改OEP值,提取NetWire的真实恶意代码并覆盖子进程中的现有代码,接着在子进程中执行该代码。 NetWire创建了一个日志文件夹,用于存储从受害者系统收集的信息的日志文件,日志文件夹位于”%AppData%\Updater”。它将记录受害者的所有键盘操作、时间以及受害者所键入内容,记录的数据被编码后保存到日志文件中。 NetWire与C&C地址45.89.175.161:3501通信,搜集计算机基本信息,包括当前登录的用户名,计算机名称,Windows版本信息,当前活动的应用程序标题,计算机的当前时间,计算机的IP地址等信息发送至控制服务器,然后等待服务器返回的指令,进行以下操作: 1、获取受害者持续处于非活动状态的时间。 2、执行下载的可执行文件,或执行现有的本地文件。 3、执行以下操作:退出NetWire进程,关闭C&C服务器的套接字,从系统注册表中的Home键读取值,重置或删除指定的注册表键,删除NetWire可执行文件并重新定位其可执行文件。 4、收集受害者系统的分区和硬盘驱动器信息,获取指定文件夹中的文件信息,通过指定的文件类型获取文件信息,创建指定的目录和文件,将内容写入指定的文件,删除、重定位特定文件,以及其他与文件相关的操作。 5、窃取并收集通过不同软件存储在受害者系统中的凭证。 重点针对以下软件:360Chrome、Opera、Mozilla Firefox、Mozilla SeaMonkey、Google Chrome、Comodo Dragon浏览器、YandexBrowser、Brave-Browser、Mozilla Thunderbird、Microsoft Outlook和Pidgin。 除此之外,还会从历史记录文件夹中读取受害者的浏览器历史记录。 6、操作该文件夹中的日志文件(%AppData%\Updater)包括枚举日志文件、获取指定的日志文件属性、读取和删除指定的日志文件。 7、获取在受害者设备上创建的窗口句柄。 8、收集受害者的计算机基本信息。 9、控制受害者的输入设备,可模拟键盘和鼠标操作。 NetWire RAT控制端界面 三、安全建议 1、及时修复Office漏洞CVE-2017-8570,参考微软官方公告: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570 2、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 3、建议升级Office系列软件到最新版本,对陌生文件中的宏代码坚决不启用;版本过低的Office、Adobe Acrobat、Flash等组件的漏洞一直是黑灰产业重点攻击目标。 4、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.89.175.161 MD5 13613f57db038c20907417c1d4b32d41 750de24fff5cead08836fe36ba921351 ca1e938142b91ca2e8127f0d07958913 fe24be93ce873d53338ccaa870a18684 URL http[:]//www.komstrup.com/pure/zomdost.png http[:]//www.komstrup.com/pure/zomstag.png http[:]//www.komstrup.com/pure/zomebu.png 参考链接: https://www.fortinet.com/blog/threat-research/new-netwire-rat-variant-spread-by-phishing.html

安全研究人员称 2.67 亿个 Facebook 用户的数据遭泄露

据外媒CNET报道,近日安全研究人员发现了一个不安全的数据库,其中泄露了超过2.67亿个Facebook用户的电话号码、姓名和用户ID,任何人都可以在线访问该数据库。这可能成为继续困扰着世界上最大的社交网络的又一起隐私和安全事故。 安全研究员Bob Diachenko于12月14日发现了这批Facebook用户数据。该数据库(目前已被关闭)并未受到密码或任何其他保护措施的保护。尽管该数据库现已无法访问,但是在安全研究人员发现时,这些信息已经被公开了将近两个星期。根据  Comparitech的说法,有人已经在一个黑客论坛上获得了可供下载的数据。 Facebook最新的隐私事故引发了有关该公司是否在保护其数十亿用户数据方面所做的足够的质疑。这也再次提醒用户,用户应警惕他们在社交网络上公开的信息。这不是安全研究人员首次发现一个包含大量Facebook用户数据的数据库。此前英国政治咨询公司剑桥分析公司被曝光未经其许可就收集了多达8700万Facebook用户的数据。 Facebook 还面临其他隐私问题,例如以纯文本格式存储数亿个密码。 Comparitech表示,公开的Facebook数据使用户面临垃圾邮件和网络钓鱼活动的风险。Facebook用户ID包含唯一数字,可用于找出某人的Facebook用户名和其他个人资料信息。 Diachenko认为越南的犯罪分子通过两种可能的方式获得了用户记录。他们本可以利用Facebook的应用程序编程接口或API,使开发人员可以访问其朋友列表,照片和群组等数据。由于可能存在安全漏洞,这可能是在Facebook在2018年或之后限制访问用户电话号码之前发生的。犯罪分子还可以使用自动化技术从公开的Facebook个人资料中获得信息。 Diachenko在一封电子邮件中表示,链接到数据库的欢迎页面包括越南语邀请,要求输入登录名和密码。他表示,该数据库似乎被错误地设置为公开数据库,因为“没有充分的理由公开此数据。” 一位Facebook发言人在一份声明中说,该公司正在调查该问题,但认为该数据可能是在进行更改以更好地保护用户信息(例如限制访问电话号码)之前收集的。安全研究人员指出,用户可以更改隐私设置,以使Facebook之外的搜索引擎无法链接到他们的个人资料。用户还可以停用或删除他们的Facebook帐户。 不受保护的公共数据库一直是Facebook的问题。4月,来自UpGuard的安全研究人员在亚马逊云服务器上的公共数据库中发现了超过5.4亿个Facebook用户记录,包括评论和点赞。9月,TechCrunch报告称一个服务器包含多个数据库,其中包括来自美国、英国和越南用户的超过4.19亿个Facebook记录。不过,Facebook表示,该服务器包含大约2.2亿条记录。Diachenko称,最新遭泄露的公开数据库包含相似的Facebook用户数据,但并不相同。 9月,另一位安全研究人员发现了一个类似的数据库,其中包含Facebook用户数据。目前尚不清楚是否是同一个人或团体在网上发布Facebook用户信息。   (稿源:cnBeta,封面源自网络。)

Geerban 勒索病毒正在爆破传播,还用了数十款密码抓取工具

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/PRvcgISEyjek0xh1MW50Qw   一、概述 腾讯安全御见威胁情报中心接受到用户求助,称其公司内服务器文件被全盘加密,被加密文件全部修改为.geer类型。经远程协助查看,攻击者疑似通过RDP弱口令登录成功后投毒,再将系统日志全部清除,并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多,攻击者利用这些工具,对内网其它机器实施攻击,以扩大勒索病毒对该企业网络的破坏数量,勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件,暂无有效的解密工具,我们提醒各政企机构高度警惕,尽快消除危险因素,强化内网安全。 二、分析 该勒索病毒编写极为简洁,仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数,希望借此躲过一些3环的调试下断和部分软件的Hook流程。同时,该病毒加密文件并不做类型区分、地域区分、会尝试加密全盘所有可访问到的文件,整个勒索加密模块更像是为了此次攻击,紧急编写制作而成。 病毒使用RSA+salsa20的方式对文件进行加密,RSA公钥硬编码Base64编码后存放,全局生成的salsa20密钥将被该公钥加密后作为用户ID使用,对每个文件生成salsa20密钥后使用全局密钥加密存放于文件末尾,被加密文件暂时无法解密。 如下图中,文件被加密后添加geer扩展后缀,同时留下名为READ_ME.txt勒索信,要求用户联系指定邮箱geerban@email.tg购买解密工具。 查看用户侧染毒环境可知,攻击者并不满足于只攻陷这一条服务器,还企图在内网中攻击其它机器。根据被加密的残留痕迹信息可知,攻击者在目标机器部署了大量对抗工具,主要有进程对抗工具(processhacker,Pchunter等),内网扫描工具(NS),系统日志清理工具(Loggy cleaner.exe),同时还有大量的本地密码抓取工具(包括mimikztz本地口令抓取,各类浏览器密码抓取,邮箱密码抓取,RDP,VNC登录口令抓取等工具)。 被攻击环境中存在大量残留的密码抓取工具,此时攻击者会尝试利用扫描工具进一步探测内网其它开放风险服务的机器,一旦该部分机器使用了与本机相同被窃取的弱密码,则也会同时成为攻击者加密目标。 联系攻击者可知,其索要0.37比特币的解密赎金,市值约1.7万人民币。 三、安全建议 企业用户: 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 对重要文件和数据(数据库等数据)进行定期非本地备份。 教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码 打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5: b27e50375a815f59a8a8b33fd5d04367

微软建议勒索软件攻击受害者不要向黑客支付赎金

如今,勒索软件攻击变得越来越普遍,但与此同时,同意支付解密密钥费用的受害者人数也在增加。简而言之,勒索软件攻击是加密存储在受感染设备上的文件,并随后锁定系统。要求受害者为解密密钥支付赎金,从技术上讲,这将使他们能够重新获得对设备和文件的访问权限。 虽然无法保证黑客实际上会提供解密密钥,但越来越多的公司同意在设备受到威胁后向网络罪犯付款。最近几天有两个这样的案件。首先,黑客设法闯入新泽西州最大的医院 Hackensack Meridian Health 网络并锁定所有电子设备后,医院已经付钱给黑客以重新获得对系统的控制权。此外,加拿大公司 LifeLabs 同意支付赎金,以换取 1500 万客户的数据。 对此,微软在一篇文章当中表示,微软绝不鼓励勒索软件受害者支付任何形式的勒索要求。支付赎金通常是昂贵,危险的,并且只会加重攻击者继续作战的能力。最重要的是,向网络犯罪分子付费以获得勒索软件解密密钥,并不能保证您的加密数据将被还原。 文章接着详细介绍了公司在勒索软件攻击时的准备方法,重点放在关键系统和文件的备份上。恢复到已知良好状态的能力,是应对任何信息安全事中最关键的策略,尤其是对付勒索软件方面。保持安全的其他方法包括电子邮件过滤,系统补丁和漏洞管理,防病毒保护以及应用程序白名单等等。   (稿源:cnBeta,封面源自网络。)

NextDNS 与 Firefox 合作 帮助增强用户隐私和安全性

Mozilla宣布与NextDNS合作,以帮助提高其用户的隐私和安全性。 NextDNS跟随Cloudflare,成为Firefox的Trusted Recursive Resolver(TRR)计划的成员,该计划旨在增强DNS安全性和隐私性。 域名系统(DNS)会根据您键入的URL来确定将浏览器定向到哪个IP。这种旧技术有一些缺点,例如DNS提供商知道您正在浏览的内容以及中间人可能拦截该IP地址,然后请求并将您的浏览器指向其他位置,许多基于DNS的家长控制功能使用此技术来阻止对相关网站的访问。 作为TRR的一部分,NextDNS必须遵守Mozilla制定的一些规则,包括数据将仅用于操作服务,并且必须在24小时后删除。TRR还声明,不能将数据出售、共享或授权给其他方,以确保用户隐私。DNS反对者对HTTPS(DoH)提出的一个担忧是,它干扰了家长的控制。根据TRR规则,Mozilla要求合作伙伴应该允许用户选择过滤,这样父母就可以在孩子的设备上设置家长控制。 Mozilla表示,它希望吸引更多合作伙伴加入TRR计划,以将DNS系统提升到21世纪的水平,并提供用户期望的隐私和安全保护。   (稿源:cnBeta,封面源自网络。)

加拿大医疗实验室 LifeLabs 被黑客攻击 现决定支付赎金换回用户数据

LifeLabs是一家位于加拿大、业内领先的医疗诊断和测试服务提供商。今天该公司宣布向黑客支付赎金,以赎回上月安全泄露事件中被窃取的数据和资料。在新闻稿中写道:“通过熟悉网络攻击和谈判的网络专家,我们和这些网络犯罪分子进行交易。” 目前尚不清楚公司为恢复这些数据支付了多少费用。外媒ZDNet通过电话联系LifeLabs发言人时,表示不会立即对此事发表评论。LifeLabs此前表示本次泄露事件覆盖加拿大将近半数人口,超过1500万人的资料可能已经泄露。 多数受影响客户在安大略省(Ontario)和卑诗省(British Columbia)。LifeLabs 指出,安全专家经过调查,包括监视暗网和其他网络地址,并未看到任何客户资料遭公开披露。 安大略省、卑诗省的资安专员毕米希(Brian Beamish)和麦克沃伊(Michael McEvoy)表示,他们在11 月1 日已被告知这起事件,现正联合进行调查,称攻击规模“非常令人担忧”。     (稿源:cnBeta,封面源自网络。)