分类: 今日推送

ZLAB 发布有关勒索软件即服务平台的恶意软件分析报告

近日,CSE CybSec ZLab 恶意软件实验室的安全专家对暗网上主要 RANSOMWARE-AS-A-SERVICE(勒索软件即服务)平台进行了有趣的分析,其中包括 RaaSberry、Ranion、EarthRansomware、Redfox、Createyourownransomware、DataKeeper 等勒索软件。 多年来,暗网的传播创造了新的非法商业模式。除了毒品和支付卡数据等典型的非法商品外,地下黑客还出现了其他服务,例如黑客服务和恶意软件开发。新的平台允许没有任何技术技能的不法人士创建自己的勒索软件并将其传播。 勒索软件是感染受害者的机器并阻止或加密他们的文件的恶意代码,黑客通过其来要求受害用户支付赎金。当勒索软件安装在受害者机器上时,它会搜索并定位敏感文件和数据,包括财务数据,数据库和个人文件。开发勒索软件的目的是为了让受害者的机器无法使用。用户只有两种选择:一是在没有获取原始文件的保证的情况下支付赎金,二是将 PC 从互联网断开。 由此,RaaS 商业模式的兴起使得恶意行为者无需任何技术专业知识就可以毫不费力地发起网络敲诈活动,这也正是导致新的勒索软件市场泛滥的原因。 勒索软件即服务是恶意软件销售商及其客户的盈利模式,使用这种方法的恶意软件销售商可以获取新的感染媒介,并有可能通过传统方法(如电子邮件垃圾邮件或受损网站)接触到他们无法达到的新受害者。RaaS 客户可以通过 Ransomware-as-a-Service 门户轻松获取勒索软件,只需配置一些功能并将恶意软件分发给不知情的受害者即可。 当然,RaaS 平台不能在 Clearnet 上找到,因此它们隐藏在互联网暗网中。但通过非传统搜索引擎浏览黑网页,可以找到几个提供 RaaS 的网站。在该网站上,每个人为勒索软件提供不同的功能,允许用户选择加密阶段考虑的文件扩展名; 向受害者要求的赎金以及恶意软件将实施的其他技术功能。 此外,除了使用勒索软件即服务平台之外,购买定制恶意软件还可以通过犯罪论坛或网站进行,其中可以雇佣黑客来创建个人恶意软件。从历史上看,这种商业一直存在,但它专门用于网络攻击,如间谍活动、账户黑客攻击和网站篡改。一般情况下,只有当黑客了解到它可以盈利时,他们才开始提供这种特定的服务。 ZLAB 完整分析报告: 《ZLAB MALWARE ANALYSIS REPORT: RANSOMWARE-AS-A-SERVICE PLATFORMS》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

继俄罗斯后,伊朗也发出将禁掉 Telegram 的信号

据外媒报道,伊朗政府似乎也打算在本国禁掉 Telegram,而就在几日前,俄罗斯颁布了 Telegram 禁令。实际上在今年早些时候,伊朗曾暂时禁过 Telegram 和 Instagram。Telegram 是一款加密的即时通讯应用程序,它还能为新闻机构乃至政府机构使用。 据悉,这款应用在伊朗拥有 4000 万名用户,而该国上网的用户大概也只有 5000 万,可见 Telegram 在这个国家的普及性。 当地时间周三,伊朗最高领袖哈梅内伊( Ayatollah Khamenei )表示,为了遏制 Telegram 的“垄断”,各政府机构将不能再使用 Telegram。哈梅内伊则是在个人 Telegram 频道上发布了这条消息,如此看来 Telegram 在该国拥有绝对的垄断地位。 《卫报》报道称,除了遏制 Telegram,伊朗政府此举还有一个目的–支持本国的社交媒体应用。尽管哈梅内伊的这条消息暗示了即将到来的 Telegram 禁令,但牛津互联网研究所博士生 Mahsa Alimardani 表示,至于伊朗政府未来真的要关闭 Telegram 现还不能确定,但显然比其他任何时候都更有可能。 Alimardani 指出,一直以来,伊朗政府在对待通信这个问题上尤为直言不讳,今年一月它就曾经暂时禁掉了 Telegram。 目前,伊朗政府至少已经开始尝试让本国用户转移到 iGap、Soroush、Gap 等本土通信平台上。 据了解,俄罗斯方面在实行 Telegram 禁令时采取了屏蔽属于美国谷歌和亚马逊云端服务的 IP,而这致使上百万个 Telegram 的 IP 地址受到了影响。现在还不清楚伊朗是否也会采取类似的手段。 稿源:cnBeta,封面源自网络

LG 网络存储设备存在严重 RCE 漏洞

安全公司 VPN Mentor 的专家发现了一个影响大多数 LG NAS 设备的预认证 RCE(远程代码注入)漏洞,攻击者可利用该漏洞获取设备的最高权限。 LG 尚未针对该漏洞发布安全更新,如果你是 LG NAS 设备的用户,应避免在公网上暴露设备,并尽快使用仅允许来自授权 IP 连接的防火墙进行保护。此外,VPN Mentor 的专家还建议,用户应定期检查设备上的所有注册用户,加强排查可疑活动。 稿源:freebuf,封面源自网络;

Avast:去年9月份问题 CCleaner 下载量为 227 万次

去年9月份,来自 Cisco Talos 和 Morphisec 的安全专家发布了堪称噩梦般的披露:知名计算机清理工具 CCleaner 曾被黑客入侵长达一个多月了。从 CCleaner 母公司 Avast(本身也是一家安全公司)服务器下载软件更新会植入恶意软件的后门。根据初步预估,大约数百万台计算机被称之为数字供应链的攻击方式感染。本周二在旧金山举行的 RSA 安全大会上,Avast 执行副总裁兼首席技术官 Ondrej Vlcek 表示根据事后的调查分析,本次有问题 CCleaner 的版本下载量达到了 227 万次。 去年 3 月 11 日,攻击者成功入侵了 Piriform 公司(创建了 CCleaner )的系统;同年 6 月份,Avast 收购了 Piriform;同年 9 月份,就爆发了重大的安全危机。Vlcek 表示在事件发生之后采取了快速反应,而且经过这次事件之后 Avast 吸取教训也知道如何更好的保护用户。 据悉,黑客入侵后在 CCleaner v5.33.6162、CCleaner Cloud v1.07.3191 两个版本的软件中植入了远程管理工具,会在用户后台偷偷连接未授权网页,下载其他软件。由于整个恶意字符串盗用了 CCleaner 的正版数字签名,这一下载行为不会引起任何异常报警,用户也毫无察觉。 另外,黑客还会尝试窃取用户本机隐私信息。Avast 直到 9 月 12 日才发现异常,当天就发布了干净的 CCleaner v5.34 ,三天后又升级了CCleaner Cloud ,建议使用这款软件的用户赶紧升级最新版本。 稿源:cnBeta,封面源自网络

英特尔发布新技术,利用内置 GPU 扫描恶意程序

英特尔昨天在 RSA 2018 安全会议上发布了几项新技术,其中一项功能是把病毒扫描嵌入了一些英特尔 CPU 的集成图形处理器上。这项新技术的名称是英特尔加速内存扫描( Intel Accelerated Memory Scanning )。英特尔表示,这项新功能让杀毒引擎减少 CPU 利用率,为其他应用程序腾出资源,同时,使用嵌入式 GPU 还会节省电池寿命。 给杀软跑分 目前,所有安全软件都使用计算机的 CPU 来扫描本地文件系统中的恶意软件,但往往对系统资源消耗极大。 “英特尔测试系统跑分显示,CPU 利用率从 20% 下降到仅 2% ,”英特尔副总裁 Rick Echevarria 在新闻稿中提到。 Windows Defender 的商业版本 Microsoft Windows Defender Advanced Threat Protection (ATP),已经使用该功能。 其他英特尔安全功能 除了加速内存扫描外,英特尔还在昨天的 RSA 活动上推出了另外两项新技术。 一是英特尔高级平台遥测技术,这是一种将平台遥测与机器学习相结合的工具,可加快威胁检测。思科表示思科 Tetration 平台将部署这项新技术,该平台为全球数据中心提供安全保护。 二是 Intel Security Essentials,它是一系列可信根硬件安全功能的集合,部署在英特尔的 Core,Xeon 和 Atom 处理器系列中。 “这些功能是用于安全启动、硬件保护(用于数据,密钥和其他数字资产)、加速加密和开辟可信执行区的平台完整性技术,以在运行时保护应用程序,”Echevarria 说。 尽管没有透露任何其他细节,英特尔表示,Security Essentials 功能都是基于硬件的硅级安全功能,旨在让应用程序开发人员构建专注于安全的应用程序,以安全方式处理敏感数据。 稿源:freebuf,封面源自网络;

五万 Minecraft 用户感染了格式化硬盘的恶意程序

安全公司 Avast 报告,近五万 Minecraft 账号感染了设计格式化应硬盘和删除备份及系统程序的恶意程序。恶意代码本身并不多么复杂,被认为是拷贝了已有代码,但它的隐藏在修改的游戏皮肤中,上传到了 Minecraft 官方网站,因为托管在官方域名,当安全软件弹出警告后可能会被用户认为是误报。 Minecraft 是最受欢迎的沙盒游戏之一,截至 2018 年 1 月全世界有 7400 万玩家,但只有一下部分上传修改的皮肤,绝大部分使用默认皮肤,所以只有一小部分人被感染。 稿源:cnBeta、solidot,封面源自网络;

Roaming Mantis 通过 DNS 劫持攻击亚洲的智能手机

卡巴斯基实验室的研究人员发现一种最新的通过域名系统( DNS )劫持技术传播的安卓恶意软件,其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为 Roaming Mantis,目前仍然非常活跃,其攻击目的是窃取包括凭证在内的用户信息,从而让攻击者可以完全控制被感染的安卓设备。2018 年 2 月至 4 月期间,研究人员在超过 150 个用户网络中检测到这种恶意软件,主要受害者位于韩国、孟加拉国和日本,而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织,其目的应该是为了获利。 卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监 Vitaly Kamluk 表示:“日本的一家媒体最近报道了这次攻击事件,但是在我们稍微进行了一些研究后发现,这种威胁并非起源自日本。事实上,我们发现了多个线索,表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此,大多数受害者也不在日本。Roaming Mantis 似乎主要针对韩国的用户,日本受害者似乎是某种附带危害。 卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击,通过一种非常简单却有效的劫持受感染路由器 DNS 设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦 DNS 被成功劫持,用户访问任何网站的行为都会指向一个看上去真实的 URL 地址,其中的内容是伪造的,并且来自攻击者的服务器。这些地址会要求用户“为了获得更好的浏览体验,请升级到最新版 Chrome。”点击链接会启动被植入木马的应用被安装,这些被感染的应用通常被命名为“ facebook.apk ”或“ chrome.apk ”,其中包含攻击者的安卓后门程序。 Roaming Mantis 恶意软件会检查设备是否被 root,并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据,包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序 ID。综合起来,这些迹象表明这次攻击行动的目的可能是为了获得经济利益。 卡巴斯基实验室的检测数据发现了约 150 个被攻击目标,进一步分析还发现平均每天有数千个对攻击者命令和控制( C2 )服务器的连接,表明攻击的规模应该更大。 Roaming Mantis 恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外,它支持四种语言,分别为韩语、简体中文、日语和英语。但是,我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。 卡巴斯基实验室日本安全研究员 Suguru Ishimaru 说:“ Roaming Mantis 是一个活跃并且迅速变化的威胁。所以我们现在就发表了相关发现,而没有等到找到所有答案后再发布。这次的攻击似乎有相当大的动机,我们需要提高用户的防范意识,让人们和企业能够更好地识别这种威胁。这次攻击使用了受感染的路由器以及劫持 DNS 的手段,表明采用强大的设备保护和安全连接的必要性” 卡巴斯基实验室产品将这种威胁检测为“ Trojan-Banker.AndroidOS.Wroba ”。 为了保护您的互联网连接不受感染,卡巴斯基实验室建议采取以下措施: ● 请参阅您的路由器的使用说明,确保您的 DNS 设置没有被更改,或者联系您的互联网服务提供商(ISP)寻求支持。 ● 更改路由器管理界面的默认登录名和密码。 ● 不要从第三方来源安装路由器固件。不要为您的安卓设备使用第三方软件来源。 ● 定期从路由器的官方升级您的路由器固件。 稿源:比特网,封面源自网络;

安卓手机爆发“寄生推”病毒 2000 万用户遭遇恶意推广

如“ 寄生虫 ”一般的恶意推广手段正在严重影响上千万手机用户的使用体验。近日,腾讯 TRP-AI 反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,通过预留的“后门”云控开启恶意功能,进行恶意广告行为和应用推广,以实现牟取灰色收益。目前已有 300 多款知名应用受“寄生推 ”SDK 感染,潜在影响用户超 2000 万。 超 300 多款知名应用遭“寄生推”病毒“绑架” 潜在影响超 2000 万用户 大量用户已经受到了“寄生推”推送 SDK 的影响。根据腾讯安全联合实验室反诈骗实验室大数据显示,已有数十万用户设备 ROM 内被植入相关的恶意子包,受到影响的设备会不断弹出广告和地下推广应用。此外,这些恶意子包可以绕过大多应用市场的安装包检测,导致受感染的应用混入应用市场,给用户和应用开发者带来重大损失。 更值得关注的是,感染“寄生推” SDK 的知名应用中,不仅类型丰富,更是不乏用户超过千万的巨量级软件,“我们估测超过 2000 万用户都受此威胁”,腾讯安全联合实验室反诈骗实验室技术工程师雷经纬表示。 (图:“寄生推”推送 SDK 恶意子包影响范围广) 传播过程酷似“寄生虫”:强隐蔽性+强对抗性 “寄生推”不仅影响范围广,在传播路径上更是“煞费苦心”。据雷经纬介绍,该信息推送 SDK 的恶意传播过程非常隐蔽,从云端控制 SDK 中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力,与“寄生虫”非常类似,故将其命名为“寄生推”。 具体表现为,首先,其开发者通过使用代码分离和动态代码加载技术,完全掌握了下发代码包的控制权;随后,通过云端配置任意下发包含不同功能的代码包,实现恶意代码包和非恶意代码包之间的随时切换;最后在软件后台自动开启恶意功能,包括植入恶意应用到用户设备系统目录,进行恶意广告行为和应用推广等,最终实现牟取灰色收益。 如何远离手机中的“寄生虫”?安全专家三大建议 为了帮助用户避免“寄生推”推送 SDK 的危害,腾讯手机管家安全专家杨启波提出以下三点建议:其一,SDK 开发者应尽可能的避免使用云控、热补丁等动态代码加载技术,要谨慎接入具有动态更新能力的 SDK,防止恶意 SDK 影响自身应用的口碑;其二,用户在下载手机软件时,应通过应用宝等正规应用市场进行,避免直接在网页上点击安装不明软件。 (图:腾讯手机管家查杀“寄生推”病毒) 最后,用户应养成良好的安全使用手机的习惯,借助腾讯手机管家等第三方安全软件对手机进行安全检测,移除存在安全风险的应用。作为用户手机安全的第一道防线,腾讯手机管家借助腾讯 TRP-AI 反病毒引擎的检测及分析能力,进一步增强整体防御能力。据了解,腾讯 TRP-AI 反病毒引擎,首次引入基于 APP 行为特征的动态检测,并结合AI深度学习,对新病毒和变种病毒有更强的泛化检测能力,能够及时发现未知病毒,变异病毒,和及时发现病毒恶意代码云控加载,更为智能的保护用户手机安全。 稿源:凤凰网,封面源自网络;

漏洞聚焦:Moxa EDR-810 工业安全路由器存在多个严重漏洞

思科 Talos 的安全研究专家发现工业路由器 Moxa EDR-810 中存在 17 个安全漏洞,其中包括许多影响 Web 服务器功能的严重命令注入漏洞和导致服务器崩溃的拒绝服务 (DOS )漏洞。目前发现的漏洞已在 Moxa EDR-810 V4.1 build 17030317 中得到确认,但其早期版本的产品也可能受到了影响。 (CVE-2017-12120)Moxa EDR-810 Web 服务器 ping 命令注入漏洞 CVE-2017-12120 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的命令注入漏洞,允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上访问 root shell 。攻击者可以将操作系统命令注入到 “/ goform / net_WebPingGetValue”uri 中的 ifs = parm 中,以触发此漏洞并控制目标设备。 (CVE-2017-12121)Moxa EDR-810 Web RSA 密钥生成命令注入漏洞 该漏洞与 CVE-2017-12120 类似,也允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上访问 root shell 。 (CVE-2017-14435至14437)Moxa EDR-810 Web 服务器 strcmp 多个拒绝服务漏洞 CVE-2017-14435 至 14437 描述了 Moxa EDR-810 的 Web 服务器功能中存在的三种单独的可利用的拒绝服务漏洞。通过利用特制的 HTTP URI 造成空指针取消引用,从而导致拒绝服务。攻击者可以发送 GET 请求到“/MOXA_LOG.ini,/MOXA_CFG.ini或/MOXA_CFG2.ini”,而不是使用 cookie 头来触发此漏洞。 (CVE-2017-12123)Moxa EDR-810 明文传输密码漏洞 CVE-2017-12123 是一种可利用的明文传输密码漏洞,它存在于 Moxa EDR-810 的 web 服务器和 telnet 功能中。攻击者可以检查网络流量以检索设备的管理密码,然后,使用凭据登录设备 web 管理控制台作为设备管理员。 (CVE-2017-12124)Moxa EDR-810 Web 服务器 URI 拒绝服务漏洞 CVE-2017-12124 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的拒绝服务漏洞。访问特制的 HTTP URI 会造成空指针取消引用,从而导致 Web 服务器崩溃。攻击者可以发送制作的 URI 来触发此漏洞。 (CVE-2017-12125)Moxa EDR-810 Web 服务器证书签名请求命令注入漏洞 CVE-2017-12125 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的命令注入漏洞,允许攻击者通过发送特定的 HTTP POST 请求来升级特权,从而在目标 Moxa EDR-810 设备上获得 root shell 。攻击者可以将 OS 命令注入“/ goform / net_WebCSRGen”uri 中的 CN = parm 以触发此漏洞。 (CVE-2017-12126)Moxa EDR-810 Web 服务器跨站点请求伪造漏洞 CVE-2017-12126 是 Moxa EDR-810 的 Web 服务器功能中存在的可利用的跨站点请求伪造(CSRF)漏洞。利用特制的 HTTP 请求可能会触发 CSFR 漏洞,从而允许攻击者更改设备配置。攻击者可以创建恶意 HTML 代码来触发此漏洞,并诱使用户执行恶意代码。 (CVE-2017-12127)Moxa EDR-810 明文密码存储漏洞 CVE-2017-12127 是 Moxa EDR-810 的操作系统功能中存在的密码存储漏洞。设备以明文形式将凭据存储在 /magicP/cfg4.0/cfg_file/USER_ACCOUNT.CFG 中。该文件镜像 / etc / shadow 的内容,但所有密码均以明文形式存储。 (CVE-2017-12128)Moxa EDR-810 服务器代理信息泄露漏洞 CVE-2017-12128 是 Moxa EDR-810 的服务器代理功能中存在的可利用信息泄露漏洞。攻击者可以通过发送特制的 TCP 数据包来触发此漏洞,从而导致设备泄漏数据。 (CVE-2017-12129)Moxa EDR-810 Web 服务器对密码漏洞进行弱加密 CVE-2017-12129 是 Moxa EDR-810 的 Web 服务器功能中存在的可用于密码漏洞的弱加密技术。初次登录后,每个经过身份验证的请求都会发送一个带有密码 MD5 散列的 HTTP 数据包,这个散列能够被破解,显示设备的密码。 (CVE-2017-14432 至 14434)Moxa EDR-810 Web 服务器 OpenVPN 配置多个命令注入漏洞 CVE-2017-14432 至 14434 描述了 Moxa EDR-810 的 Web 服务器功能中存在的多个可利用的命令注入漏洞。一个特制的 HTTP POST 请求可能会导致特权升级,从而导致攻击者有权访问 root shell。攻击者可以将 OS 命令注入到“/ goform / net_Web_get_value”uri 中的各种参数中以触发此漏洞。 (CVE-2017-14438和14439)Moxa EDR-810 服务代理多次拒绝服务 CVE-2017-14438 和 14439 描述了 Moxa EDR-810 的 Service Agent 功能中存在的两个可利用的拒绝服务漏洞,通过利用一个特制的数据包可能会导致拒绝服务。攻击者可以发送一个大数据包到 tcp 端口 4000 或 4001 来触发此漏洞。 消息来源:Talos,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

加密货币交易所 Kraken 退出日本市场

据彭博社报道,世界上运营时间最长的加密货币交易所之一——Kraken 将结束其为日本居民提供的交易服务。这家总部位于旧金山的公司指出在日本的运营成本上升导致其作出这项决定,尽管该公司表示未来可能会重新进入该国。 Kraken 在一份电子邮件声明中表示,暂时计划在 6 月底之前停止其在日本市场提供的所有服务。该公司于 2014 年 10 月开始进入日本。该公司在声明中表示,“暂停日本居民的服务将使我们能够更好地关注我们的资源,以改善其他地区的情况。这是一种局部暂停服务,只影响日本居民,不影响日本以外的企业的服务。” 根据 Coinmarketcap.com 的数据,Kraken 在过去 24 小时内的交易量在全球排名第 10,交易额达 1.9 亿美元。该公司被允许在日本无证经营。 长期以来,日本政府对数字货币实行较为宽松的监管政策。今年早些时候,日本加密货币交易所 Coincheck 表示,在被黑客攻击后该公司损失了价值 5 亿多美元的数字货币。这导致日本政府决定全面检查数字货币交易所,但不是彻底禁止它们。本月早些时候,日本宣布计划将 ICO 合法化。 稿源:cnBeta,封面源自网络;