内容转载

= ̄ω ̄= 内容转载

托管提供商 SmarterASP.NET 承认遭到勒索软件攻击 客户数据被加密

SmarterASP.NET是一家拥有超过44万客户的知名ASP.NET托管提供商。昨日该公司发布公告称,遭到勒索软件的攻击,这也是2019年遭到攻击而下线的第三家大型网络托管公司,黑客不仅破坏了该公司的托管业务而且还对客户服务器上的数据进行了加密。   SmarterASP.NET官方表示正在努力恢复客户数据,但尚不清楚该公司是支付了赎金,还是从备份中进行了恢复。目前该公司并没有回复外媒的评论请求。 根据其官网显示的信息,该公司承认遭到了黑客攻击。该消息说:“您的托管帐户受到攻击,黑客已经加密了您的所有数据。我们现在正在与安全专家合作,尝试解密您的数据,并确保不会再发生这种情况。” 本次网络攻击不仅对客户数据进行了加密,SmarterASP.NET官网也被迫下线。在周六全天下线之后,在周日上午恢复重新上线。服务器恢复工作进展缓慢。许多客户仍然无法访问其帐户和数据,这些被加密的客户数据包括网站文件和后台数据库。   (稿源:cnBeta,封面源自网络。)

微软宣布将“尊重”加州隐私法并将扩展至整个美国

据外媒报道,当地时间周一,微软宣布将尊重加州标志性数据隐私法为加州人提供的“核心权利”并将这一权利扩展到整个美国。微软首席隐私官Julie Brill于周一在一篇博文中表示,就像去年推广《欧洲一般数据保护条例(GDPR)》一样,公司将把《加州消费者隐私法(CCPA)》的主要原则推广到美国各地。 CCPA于2018年6月获得批准,是美国最激烈、最全面的数据隐私法规之一,其有点类似于GDPR。在CCPA的规定下,公司必须向用户披露其收集的个人资料、资料是否会出售及出售对象,并容户选择不出售个人的资料。另外,用户还必须能够访问自己的数据并能要求公司删除它们。 Brill写道:“根据CCPA,公司必须对数据收集和使用透明,并为人们提供防止个人信息被出售的选择。CCPA完成这些目标的具体要求仍在制定中。 Brill继续指出,微软将密切关注政府要求公司在CCPA下执行新透明度和控制要求的任何变化。 据了解,CCPA一直是加州立法机关和国会许多隐私斗争的主题。参议院和众议院都在为他们自己的数据隐私而战,每隔几周就会有新的法案被提出。许多民主党议员认为,任何国家立法都应该以加州为基准,在全国范围内扩大这些保护措施并在必要时增加更多的保护措施。共和党人和行业利益相关者则不同意这一观点,他们普遍认为,CCPA管得太过,并且任何联邦法律都应该废除它、其他任何一个州的法律都应该避免出现隐私法规的“拼凑”现象。 Brill写道:“在美国,CCPA标志着向人们提供对其数据更有力的控制迈出了重要的一步。”“这也表明,即使国会不能或不愿采取行动,我们也可以在国家层面加强隐私保护上取得进展。” 据悉,该法案将于2020年1月1日在加州生效。   (稿源:cnBeta,封面源自网络。)

黑客发现亚马逊和三星产品漏洞 获数十万美元奖金

(原标题:Team of ‘white hat’ hackers found bugs in Amazon Echo and Galaxy S10) 图:阿马特·卡马(Amat Cama,左)和理查德·朱(Richard Zhu)组成的Team Fluoroacetate 网易科技讯 11月11日消息,据外媒报道,今年在日本东京举行的Pwn2Own黑客竞赛中,两名安全研究人员因发现亚马逊智能助手Alexa驱动的智能设备Amazon Echo和三星Galaxy S10中的漏洞,获得“顶级黑客”的殊荣。 阿马特·卡马(Amat Cama)和理查德·朱(Richard Zhu)组成了所谓的Team Fluoroacetate,他们在最新的Amazon Echo Show 5(基于Alexa的智能显示器)发现漏洞,为此获得了6万美元的奖金。 两名研究人员发现,这款设备使用的是谷歌开源浏览器项目Chromium的较旧版本,新发现的漏洞允许他们在设备连接到恶意Wi-Fi热点时“完全控制”该设备。研究人员在射频屏蔽外壳中测试了他们的发现,以防止任何外部干扰。 亚马逊已经表示,该公司正在“调查这项研究”,并将在必要时采取行动进行修复,但亚马逊没有提供修补漏洞的时间表。 与此同时,卡马和理查德还利用Java Script中的一个漏洞获取了三星Galaxy S10上的照片,为此他们赢得了3万美元奖金。在对三星电视和小米笔记本电脑进行漏洞测试后,他们总共获得了19.5万美元奖金。 现在,提供这些设备的公司有90天时间通过软件更新来修复漏洞,然后才会向公众公布细节。 Pwn2Own活动由Zero Day Initiative(零日攻击防御计划)组织主办,主要邀请“白帽”黑客寻找大型科技公司产品中发现以前未知的漏洞,并可以因此获得高额报酬。 Team Fluoroacetate已经连续第三年被授予最高称号,即“Pwn大师”。 今年早些时候,卡马和理查德在特斯拉Model 3软件上发现漏洞,他们为此获得了37.5万美元奖金。特斯拉很快就通过无线升级修复了这个问题。   (稿源:网易科技,封面源自网络。)

JS 框架安全报告:jQuery 下载次数超过 1.2 亿次

尽管 JavaScript 库 jQuery 仍被使用,但它已不再像以前那样流行。根据开源安全平台 Snyk 统计,目前至少十分之六的网站受到 jQuery XSS 漏洞的影响,甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。 Snyk 发布了 2019 年 JavaScript 框架的状态安全报告,该报告主要是对两个领先的 JavaScript 框架(Angular 和 React)进行安全审查,但同时还调查了其他三个前端 JavaScript 生态系统项目的安全漏洞:Vue.js、Bootstrap 和 jQuery 等。 报告显示,在过去 12 个月中,jQuery 的下载次数超过 1.2 亿次,相当于 Vue.js(4000 万次)和 Bootstrap(7900 万次)加起来的下载次数。在报告中,Vue.js 被发现漏洞有四个,但已全部修复;Bootstrap 包含七个跨站点脚本(XSS)漏洞,其中有三个是在 2019 年披露的,目前没有任何安全修复或升级途径来避免;而在 jQuery 中,迄今为止被跟踪影响到所有版本的六个漏洞,其中四个属于中等级别的跨站点脚本漏洞,一个属于中等级别的原型污染漏洞(Prototype Pollution),另一个是低级别的拒绝服务漏洞。 Snyk 报告的结论是,如果你使用 jQuery 3.4.0 以下版本,则容易遭受攻击。 而根据 W3Techs 的数据,使用 jQuery v1.x 的网站占了 84%,这导致它们存在四个中等级别的 XSS 漏洞隐患,使用 jQuery 扩展库(其中 13 个已识别漏洞)会加剧这种情况。 在 Snyk 报告中,jquery.js 是一个恶意包,过去 12 个月中被下载了 5444 次,它的严重程度与其他两个开源社区模块的恶意版本一样高( jquery-airload 322 次下载和 github-jquery-widget 232 次下载)。 报告还列出另外三个扩展库:jquery-mobile、jquery-file-upload 和 jquery-colorbox,虽然其中包含任意代码执行和跨站点脚本安全漏洞,且没有任何升级途径可修补这些漏洞,但它们还是在过去 12 个月中总共下载了 34 万次以上。 近年来有人认为 jQuery 不再流行,而根据报道目前它仍有高下载量,原因可能如下: 目前它还有大量教程、现有网站及软件等都是使用 jQuery 相关的插件非常丰富,很多新出的 js 框架也支持 jQuery 大量的程序员用过 jQuery,熟悉它的语法和功能,后期也会继续使用   (稿源:开源中国,封面源自网络。)

美国基因检测公司 Veritas Genetics 客户数据遭泄露

网易科技讯 11月8日消息,据国外媒体报道,美国DNA检测初创公司Veritas Genetics表示,该公司发生一起数据泄露事件,导致一些客户的信息被盗。 这家总部位于美国马萨诸塞州丹弗市的公司承认,其面向客户的门户网站“最近”遭到了黑客攻击,但没有说明何时遭到攻击。该公司拒绝透露具体哪些信息被盗,只表示该门户网站不包含客户的检测结果或医疗信息,以及仅有少数客户受到了影响。 该公司尚未发表正式的公开声明,也没有在其网站上承认此事。Veritas Genetics的一位发言人没有回复记者的置评请求。 美国彭博社首先报道了这一消息。 Veritas Genetics的竞争对手包括23andMe、Ancestry和MyHeritage。该公司表示,它可以利用个人的一小部分DNA来分析和理解人类基因组,从而让客户更好地了解他们今后生活中可能面临的健康风险,或将该风险遗传给子女的风险。 尽管此次被盗的数据不包括个人健康信息,但这可能会进一步加剧人们的担忧,即健康初创公司,尤其是处理敏感DNA和基因组信息的公司,可能无法保护好用户的数据。 在此之前,美国执法部门曾获得法律授权,要求DNA采集和基因检测公司帮助识别犯罪嫌疑人,从而使隐私成为基因检测领域的一个备受人们关注的问题。就在本周,有报道称,美国佛罗里达州颁发了一份具有“游戏规则改变者”性质的授权令,允许警方搜索本地DNA检测公司GEDmatch的全部数据库。去年,警方曾利用该公司的数据库帮助抓捕臭名昭著的“金州杀手”(Golden State Killer)。 在美国,约有2600万消费者使用了家用遗传检测试剂盒。(刘春)     (稿源:网易科技,封面源自网络。)

谷歌兄弟公司 Chronicle 并入谷歌云 没能颠覆网络安全行业

网易科技讯 11月8日消息,据国外媒体报道,2018年初,谷歌母公司Alphabet宣布新成立的子公司Chronicle,旨在为用户开发数字化“免疫系统”,实现网络安全的革命性突破。但是作为谷歌兄弟公司之一的Chronicle,其初衷使命并未完成,并且已经走向死亡。 Chronicle成立时作出的承诺令人兴奋,声称Chronicle将利用机器学习和Alphabet的安全遥测数据,对恶意软件和互联网基础设施状态进行近乎完全的掌握,并且能够利用Chronicle来帮助公司的安全团队,发现可能威胁公司网络的入侵。更为重要的是,据Chronicle首席执行官斯蒂芬·吉列特(Stephen Gillett)称,Chronicle将与谷歌保持独立。 “我们希望让安全团队工作速度和影响提高10倍,让他们在捕捉和分析安全信号时,能够更容易、更快、更符合成本效益。而在此前,这项工作太难、太昂贵了。”吉列特在宣布Chronicle成立时的博文中表示,“我们知道这项任务需要数年的时间,但我们将致力于完成这项任务。” 当时还不清楚Chronicle会是什么样子。但业内观察人士兴奋地认为,在这个充斥着杀毒和防火墙等相对古老技术的网络安全行业,Chronicle将带来革命性的突破。 然而,Chronicle成立仅一年半之后,Chronicle就被并入谷歌的云部门。一些员工觉得Chronicle被抛弃了,Chronicle最初的愿景被束之高阁。据网站Motherboard报道,Chronicle首席执行官和首席安全官(CSO)已经离开,首席技术官也将于本月晚些时候离开,其他员工也将退出。 “Chronicle已经死了,”Chronicle一位现员工向Motherboard表示,“吉列特和谷歌杀了它。”(天门山)   (稿源:网易科技,封面源自网络。)

美加州下令要求 Facebook 交出涉嫌侵犯用户隐私的相关信息

据外媒报道,当地时间周三,美国加州司法部长Xavier Becerra表示,Facebook拒绝遵守要求其提供更多关于对其涉嫌侵犯用户隐私的调查信息的传票。在当地时间周三下午的新闻发布会上,Becerra谈到了加州对Facebook的诉讼,要求该公司交出任何跟隐私和第三方获取用户数据有关的文件,就像在剑桥分析丑闻中做的那样。 该诉讼是在加州高等法院提起的,希望借此迫使该公司交出通信和文件。 “如果Facebook遵守了我们的合法调查请求,”Becerra说道,“我们今天就不会发布这个声明。” Becerra指出,Facebook“没有完全回应”他办公室提出的信息要求。“今天我们公开这些信息是因为我们别无选择。”   (稿源:cnBeta,封面源自网络。)

小心伪装成用户调研文档的钓鱼邮件攻击

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/PILcMXKLnLLMKd2ikHbG8g   一、背景 腾讯安全御见威胁情报中心捕获到一例伪装成某公司的用户投诉调研文档的钓鱼邮件攻击。黑客在投递的恶意文档中嵌入恶意宏代码,一旦用户在打开文档时选择执行宏,就会在用户电脑上执行一段Powershell,通过多次解码后,执行Poweshell版开源远控木马powerfun。该远控木马采用Powershell实现,可作为控制端段或被控端运行,安装后会搜集系统信息上传,下载安装其他模块,执行任意远程指令。 为了掩盖其行动,黑客精心伪装攻击文档内容,使得其与真实的用户调研文档十分相似。同时其中嵌入的恶意Powershell代码经过多层混淆,采用“无文件”的攻击方式来保证攻击过程不易被发现。 腾讯电脑管家、腾讯御点均可查杀拦截该诱饵文档。 二、详细分析 载荷投递 打开文档时microsoft office程序提示文档中被嵌入的宏被禁用,问询是否启用内容,一旦启用,恶意代码便会执行。 文档标题:HSS Hire Services Complaint form(HSS Hire服务投诉表)。引语:(译文)“我们致力于提供高质量的护理和服务以满足您的需求,我们重视您的反馈,包括投诉。请告诉我们还有哪些地方可以改进我们的服务。“ 根据该文档的导航信息,文档内容包含6个部分,各部分主题分别如下: 第1部分:客户详情。 第2部分:请提供反馈涉及的服务的详细信息。 第3部分:请详细说明你的反馈问题。 第4部分:你对这个问题已经采取了哪些行动? 第5部分:你希望通过提供反馈得到什么样的结果? 第6部分:声明(签字和日期)。 从文档中提取出宏代码,可以看到在AutoOpen()函数中定义了一个字符串变量veqTMFKmz,并在变量中通过拼接的方式赋值Powershell -ec “xxxxx”,最终执行一段经过base64编码的命令。 在Powershell代码执行时,还会通过MsBox()提示一段话,告诉用户文档创建时使用的microsoft office版本过低导致,需要联系作者将文档另存为一个新的格式,以此来掩盖其恶意代码执行过程。用于迷惑用户的提示内容如下: “This application appears to have been made with an older version of the Microsoft Office product suite. Please have the author save this document to a newer and supported format. [Error Code: -219]” base64编码的Powershell命令解码后如下,该命令将核心代码重新进行base64编码,并且以命令 powershell -noexit -e  “xxxxxxx”的格式执行。 核心代码首先通过DllImport引入了四个系统函数: calloc memset VirtualProtect CreateThread 然后利用引入的函数calloc申请内存,memset将二进制代码写入内存,VirtualProtect修改内存为可执行属性,最后CreateThread创建线程指向该片内存执行恶意代码。 而创建线程执行的恶意代码为另一段经过压缩编码的Powershell命令,该段命令解压后为公开的Powershell实现的远控木马powerfun (github地址: https://github.com/rapid7/metasploit-framework/blob/master/data/exploits/powershell/powerfun.ps1)。 远控木马 木马通过参数设置通信类型及方式,“bind” 设置为绑定443端口,作为控制端进行监听连接请求,”reverse”反向连接服务器,作为被控端建立连接。”Sslcon“为是否采用SSL协议连接。此次代码设置的控制端服务器端地址为34.65.251.183:443。 接着获取用户名和机器名上传,根据列表下载模块安装,以及循环读取接受到的Powershell命令执行。 三、安全建议 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、建议升级office系列软件到最新版本,对陌生文件中的宏代码坚决不启用; 3、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs Md5 f3672638b9773c1445e262bfc87e1e1a fda067e9998f3c815c08caca4bc8a19c C&C 34.65.251.183:443

Firefox 被曝安全漏洞:显示虚假通知锁定浏览器使用

Mac和Windows平台的Firefox浏览器近日成为了部分恶意网站攻击的目标,这些网站会显示虚假的警告通知并完全锁定浏览器。黑客利用Firefox中的一个BUG来篡改该浏览器,从而在无需用户交互的情况下达到目的。目前Mozilla并未公布解决方案,不过该问题已经造成严重破坏并给用户带来困扰。 这个BUG是由Malwarebytes的Jérôme Segura向Mozilla报告的,他警告称通过特制的JavaScript能够利用这个漏洞。黑客可以伪装成技术支持网站,警告用户当前正在使用盗版的Windows系统。 如Ars Technica所报告,警告消息为: 请停止并且不要关闭PC。您的计算机的注册表项已锁定。为什么我们阻止您的计算机? Windows注册表项是非法的。 Windows桌面正在使用盗版软件。 Window桌面通过Internet发送病毒。该Windows桌面已被黑客入侵。为了您的安全,我们封锁了这台计算机。 该网站说明: 关闭窗口的唯一方法是使用Windows任务管理器或macOS中的“强制关闭”功能强制关闭整个浏览器。即使那样,Firefox也会重新打开以前打开的选项卡,导致无休止的循环。要解决此问题,用户必须强制关闭Firefox,然后在重新启动Firefox后在加载之前立即关闭虚假网站的选项卡。 Mozilla表示目前正在调查和制作修复补丁,不过目前没有准确的发布时间。   (稿源:cnBeta,封面源自网络。)

卡巴斯基发现了 2017 Shadow Brokers 泄露中提到的神秘 APT

2017 年,一个名叫 Shadow Brokers 的神秘黑客团体,在网络上公布了名为“Lost in Translation”的数据转储,其中包含了一系列据称来自美国国家安全局(NSA)的漏洞利用和黑客工具。此后臭名昭著的 WannaCry、NotPetya 和 Bad Rabbit 勒索软件攻击,都基于这里面提到的 EternalBlue 漏洞。现在,卡巴斯基研究人员又发现了另一座冰山,它就是一个名叫 sigs.py 的文件。 (题图 via ZDNet) 据悉,该文件是一个名副其实的情报数据宝库。作为内置的恶意软件扫描程序,黑客利用它来扫描受感染的计算机,以查找是否存在其它高级可持续威胁(APT / 通常指背后能量巨大的黑客团体)。 总 sigs.py 脚本包括了用于检测其它 44 个 APT 的签名,但在 2017 年泄密之初,许多网络安全行业从业者并没有对此展开深入研究,表明 NSA 知晓且有能力检测和追踪许多敌对 APT 的运行。 在上月的一份报告中,卡巴斯基精英黑客手雷部门 GReAT 表示,他们终于设法找到了其中一个神秘的 APT(通过 sigs.py 签名的 #27 展开追踪)。 研究人员称,DarkUniverse 组织从 2009 到 2017 年间一直活跃。但在 ShadowBrokers 泄漏后,他们似乎就变得沉默了。 GReAT 团队称:“这种暂停或许与‘Lost in Translation’泄漏事件的发生有关,或者攻击者决定改用更加现代的方法、开始借助更加广泛的手段”。 该公司称,其已在叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白罗斯、以及阿联酋等地,找到了大约 20 名受害者。其中包括了民间和军事组织,如医疗、原子能机构、以及电信企业。 不过,卡巴斯基专家认为,随着时间的推移和对该集团活动的进一步深入了解,实际受害者人数可能会更多。至于 DarkUniverse 恶意软件框架,卡巴斯基表示,其发现代码与 ItaDuke 恶意软件 / APT 重叠。   (稿源:cnBeta,封面源自网络。)