分类: 今日推送

微软否认 Windows Defender 新功能是一个安全风险

据外媒mspoweruser报道,他们两天前曾报道过Windows Defender增加了通过命令行下载文件的功能。比如MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]。然而有安全研究人员表示担心,新功能增加了Windows 10的攻击能力,它可能会被用来下载恶意二进制文件。 对此,微软现在发表声明回应称:“尽管有这些报告,微软Defender杀毒软件和微软Defender ATP将仍然保护客户免受恶意软件。这些程序可以侦测经由防病毒文件下载功能下载到系统的恶意文件。” 另外微软还表示,该功能不能用于特权升级。 虽然微软否认该功能存在的安全风险,但众所周知,攻击越严重系统的安全性越低。一些用户抱怨称,他们无法通过禁用该新功能来锁定自己的电脑。     (稿源:cnBeta,封面源自网络。)

微软将修改 HOSTS 屏蔽 Win10 遥测数据视作一个严重的安全风险

作为完善 Windows 10 开发的一个重要组成部分,微软希望联网用户允许其上传部分遥测用的系统数据。通常情况下,它会包括 CPU、内存等硬件的基础配置信息,并在传输过程中予以完全的加密。基于分析,微软得以确定系统的安全性和可靠性问题,从而为后续的修复奠定基础。 尽管微软不允许用户彻底禁用遥测收集,但你始终可以清理被 Windows 收集的相关诊断数据。 矛盾的是,虽然遥测被视作 Windows 10 开发所必须、且其它企业也在利用相同的方案来改进其软件,但一些批评人士仍将其视作微软的一项“间谍”行为。 近日,微软为 Windows 10 内置的 Windows Defender(又名 Microsoft Defender)安全软件引入了一项更改。 当检测到用户尝试通过编辑 HOSTS 文件来阻止遥测时,该软件就会发出相应的警告。 维基百科上的资料称,HOSTS 文件被用于辅助网络名称解析(即主机名称到 IP 地址的相关映射)。 但在近日的 Windows 10 更新之后,Microsoft Defender 将特别检查用户的 HOSTS 文件是否已经阻止了微软的遥测服务。 如果尝试编辑 HOSTS 文件以阻止遥测,则会触发 Windows Defender 的这一警告,以阻止用户采取这一措施。 你会注意到对 HOSTS 文件的相关编辑操作将被拒绝保存,且被安全中心标记为“SettingsModifier:Win32 / HostsFileHijack”。 除非点击允许放行,否则这项涉及“严重安全风险”的文件编辑操作将无法继续。当然,这项更新也有助于防止系统文件遭遇其它形式的恶意篡改。     (稿源:cnBeta,封面源自网络。)

Evilnum 黑客使用新的基于Python的木马攻击金融公司

至少自2018年以来,一家以金融科技行业为目标的攻击者改变了策略,加入了一种新的基于Python的远程访问特洛伊木马(RAT),该木马可以窃取密码、文档、浏览器cookie、电子邮件凭据和其他敏感信息。 在Cyber eason研究人员昨天发表的一项分析中,Evilnum不仅调整了其感染链,而且还部署了一个名为“ PyVil RAT”的Python RAT,它具有收集信息,截屏,捕获击键数据,打开SSH shell的功能,并且部署了新工具。 网络安全公司表示:“从2018年的第一份报告到今天,该集团的TTP已经随着不同的工具而发展,而集团继续专注于金融科技目标。”。 “这些变化包括感染链和持久性的改变,随着时间的推移正在扩展的新基础设施,以及使用新的Python脚本远程访问木马(RAT)”来监视其受感染的目标。 在过去的两年中,Evilnum与针对英国和欧盟范围内的公司的几次恶意软件攻击活动有关,这些恶意软件攻击活动涉及使用JavaScript和C#编写的后门程序,以及通过从恶意软件服务提供商Golden Chickens购买的工具。 早在7月,APT小组就被定位为使用鱼叉式网络钓鱼电子邮件的公司,这些电子邮件包含指向托管在Google云端硬盘上的ZIP文件的链接,以窃取软件许可证,客户信用卡信息以及投资和交易文件。 虽然他们在受感染系统中获得最初立足点的作案手法保持不变,但感染程序已发生重大变化。 除了使用带有假冒的鱼叉式网络钓鱼电子邮件(KYC)来诱骗金融业员工触发恶意软件外,攻击还从使用具有后门功能的基于JavaScript的特洛伊木马转移到了能够提供隐藏在合法可执行文件的修改版本中的恶意有效载荷,旨在逃避检测。 研究人员说:“JavaScript是这个新感染链的第一步,最终以有效载荷的传递为最终结果,该载荷是用py2exe编译的Python编写的RAT,Nocturnus研究人员称其为PyVil RAT。” 多进程传递过程(“ ddpp.exe”)在执行时,解压缩shellcode以便与攻击者控制的服务器建立通信,并接收第二个加密的可执行文件(“ fplayer.exe”),该文件用作下一阶段的下载程序以进行提取Python RAT。 研究人员指出:“在该小组的先前活动中,Evilnum的工具避免使用域与C2进行通信,而仅使用IP地址。” “虽然C2 IP地址每隔几周更改一次,但与此IP地址关联的域列表却在不断增长。” 随着APT技术的不断发展,企业必须保持警惕,员工要警惕他们的电子邮件是否存在网络钓鱼企图,并在打开来自未知发件人的电子邮件和附件时保持谨慎。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Microsoft Defender 新功能被曝安全漏洞:可下载恶意程序

在不允许通过 Windows 注册表方式禁用之后,Microsoft Defender 再次成为了媒体关注的焦点。近日,微软为 Defender 新增了一项功能,不过安全专家表示黑客可以利用该功能下载恶意程序。 在 4.18.2007.9 或 4.18.2009.9 版本的 Microsoft Defender 应用中,微软增加了通过命令行下载文件的功能。使用方式是 MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file] 虽然该功能本身并没有漏洞,但是该功能运行运行脚本,可以启动命令行从互联网导入更多的文件,使用本地原生的 living-off-the-land(LOLBIN)文件。将该功能添加到Windows Defender中,意味着又多了一个管理员必须关注的应用,也多了一个黑客可以利用的应用。 安全研究人员 Askar 称,这些对 Microsoft Defender 驱动的命令行工具的改变可能会被攻击者滥用。换句话说,黑客可以滥用这些二进制文件,从互联网上下载任何文件,包括恶意软件。 这也意味着,用户将能够使用 Microsoft  Defender 本身从互联网上下载任何文件。这不太可能是一个重大的安全漏洞,因为在你使用命令行工具完成下载后,Windows Defender仍然会对文件进行检查。     (稿源:cnBeta,封面源自网络。)

拖延 7 年之后 法院裁定美国国安局的大规模监视计划是非法的

据外媒报道,一家联邦上诉法院周三裁定,美国国家安全局(NSA)收集美国民众的数十亿次通话和短信记录的计划是非法的,并可能违宪。然而,第九巡回上诉法院的三名法官小组一致表示,所谓的电话元数据计划在针对四名索马里移民的恐怖募捐刑事案件中发挥的作用非常小,以至于它没有破坏他们的定罪。 期待已久的判决是检察官的胜利,但法院意见中的一些措辞可以被视为对官员的某种责备,这些官员通过指出涉及Basaaly Moalin和其他三名男子的案件,2013年被圣地亚哥陪审团认定有罪,指控他们为青年党筹款。 法官Marsha Berzon的意见中包含了参考前NSA承包商和告密者爱德华-斯诺登在披露NSA元数据项目中的作用,得出的结论是,“大量收集”这些数据违反了《外国情报监视法案》(FISA)。 2001年”9·11事件”后,在美国前总统乔治·沃克·布什的领导下,通话跟踪工作在没有法院授权的情况下开始。从2006年开始,一个类似的项目被秘密的FISA法院批准,并多次更新,但第九巡回法院小组说,这些裁决在法律上有缺陷。 上诉法院仅仅停留在说监视计划绝对违宪,但驳回了司法部的论点,即根据40年前的法律先例,收集元数据不等于搜查,因为客户自愿与电话提供商分享这些信息。 “在这里,NSA收集了Moalin(以及其他数百万美国人)的电话元数据,多年来每天都在持续收集,”Berzon写道。“Moalin很可能对他的电话元数据有合理的隐私期望–至少,这是一个接近的问题。” Berzon的意见由前总统奥巴马任命的Jacqueline Nguyen法官和乔治·沃克·布什任命的Jack Zouhary法官共同提出。 第九巡回上诉法院法庭小组基本上认可了总部位于纽约的第二巡回法庭2015年的一项裁决,该裁决认为大规模监视与任何具体调查的联系不够,正如国会似乎要求的那样。Berzon说,被告有权注意到与外国情报有关的监视对案件有贡献,但不一定是具体的细节。但她说,即使Moalin和他的同案被告有明确的通知,也不会帮助他们的辩护。 “基于我们对机密记录的仔细审查,我们确信任何缺乏通知的情况,假设需要这种通知,并没有损害被告的利益,”她写道。“在仔细审查了机密的FISA申请和所有相关的机密信息后,我们确信,根据既定的第四修正案标准,元数据收集,即使违宪,也没有影响政府在审判中提出的证据。” 在关于该计划的公开辩论中–正如意见书中指出的那样,有六七个地方是由斯诺登的披露所引发的–许多官员指出,对Moalin的起诉是该计划有助于美国起诉恐怖主义的具体证据。官员们列举的其他例子主要是在海外。而Moalin一案并不是关于任何在美国的袭击计划,而是在索马里。 新的第九巡回上诉法院法庭意见引用了前FBI官员Sean Joyce的国会证词,称元数据计划给了特工们一个突破口,导致他们重新开始调查Moalin。但Berzon接着表示,Joyce或其他人的公开说法并不准确,因为元数据项目并没有起到关键性的作用。 她写道:“就政府官员的公开声明造成的相反印象而言,这种印象与机密记录的内容不一致。” Joyce几年前从联邦调查局退休,他没有立即回复寻求评论的消息。 在美国国会通过《美国自由法案》后,元数据项目于2015年正式关闭,该法案提供了一个新的机制,手机供应商保留了他们的数据,而不是将其交给政府。改造后的系统似乎已经在2018年或2019年被NSA放弃。 周三发布的59页意见书再次提醒人们,一些第九巡回上诉法院的上诉极其缓慢,特别是那些涉及机密信息或FISA监视的上诉。法院花了近7年时间对Moalin于2013年11月提出的上诉作出法律判决。该案于2016年11月,即特朗普在总统选举中出人意料地获胜两天后进行了辩论。 被判处18年刑期的Moalin和他的一名同案被告仍在狱中。另外两名同案被告已经刑满释放。 而此案可能还没有结束。任何被告或政府都可以向更大的11名法官组成的合议庭申请复审。最高法院的请愿也是可能的。 “我们对这一结果感到失望,特别是最近关于FISA的不当行为的更多披露进一步揭示了整个过程中缺乏透明度如何损害那些被指控犯罪的人,以及那些从未被指控的人的个人权利–包括那些电话元数据被收集和保留的美国人,”Moalin的律师Joshua L. Dratel说。“在本案中,我们认为,缺乏透明度有损于我们挑战FISA监控的能力。” 美国公民自由联盟(ACLU)称赞这一裁决是“我们隐私权的胜利”,不过这个左派组织表示,“令人失望的是,在认定对Moalin先生的监控不合法后,法院拒绝下令压制他案件中非法获得的证据”。ACLU表示,Moalin的辩护团队现在正在 “评估进一步上诉的选择”。 美国司法部发言人没有立即对这一裁决发表评论。国家安全局发言人拒绝发表评论。 最近另一项涉及非法监控指控的第九巡回上诉法院裁决花了大约6年时间才产生意见,也是由Berzon撰写的。司法部周二在一份法庭文件中表示,仍在考虑是否寻求最高法院对该案进行审查。     (稿源:cnBeta,封面源自网络。)

Verizon 透露量子网络试验 该技术将有助于保障网络安全

Verizon正在扩大对量子计算技术的测试,该运营认商为该技术可以帮助保障其网络安全。一个名为量子密钥分发的技术在华盛顿特区的试点项目获得了成功,因此Verizon它现在将在全美范围内进行测试。量子计算可以解决一些传统机器不可能解决的计算问题,最著名的就是能够破解传统的加密技术。但Verizon正在探索一种不同的方式,即使用量子计算保护那些加密的网络连接。 量子密钥分配一种比量子计算更成熟的技术,允许双方共享用于保护通信的加密密钥。这项技术的一个关键因素是能够检测是否有其他人也试图进入。Verizon首席产品创新官尼基•帕尔默(Nicki Palmer)说:“基于量子的技术可以加强当今和未来的数据安全。 Verizon的试验涉及在两个地点之间实时加密和传送视频流。量子密钥是在一个光纤网络上创建和交换的,Verizon表示,这种技术可以立即发现黑客,QKD网络利用光子的量子特性来获得密码密钥,以防止窃听。它还使用量子随机数发生器连续生成加密密钥。       (稿源:cnBeta,封面源自网络。)

Epic Manchego——非典型的 maldoc 交付带来了大量的信息窃取者

前言 2020年7月,NVISO检测到一组恶意Excel文档,也称为“ maldocs”,它们通过VBA激活的电子表格传递恶意软件。尽管我们曾见过恶意的VBA代码和掉落的有效载荷,但创建Excel文档本身的特定方式引起了我们的注意。 恶意Excel文档的创建者使用了一种技术,使他们无需实际使用Microsoft Office即可创建装载宏的Excel工作簿。但是在这种特定工作方式下,这些文档的检测率通常低于标准maldocs。 这篇文章概述了这些恶意文档的产生方式。此外,它简要描述了观察到的有效负载,最后以建议和危害指标结尾,以帮助保护组织免受此类攻击。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1328/ 消息来源:NVISO   ,封面来源:网络,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

KryptoCibule:多任务多货币密码窃取

前言 ESET研究人员发现了迄今未记录的恶意软件家族,我们将其命名为KryptoCibule。对加密货币而言,这种恶意软件具有三重威胁。它利用受害者的资源来挖掘硬币,试图通过替换剪贴板中的钱包地址来劫持交易,并泄漏与加密货币相关的文件,同时部署多种技术来避免检测。KryptoCibule在其通信基础架构中广泛使用了Tor网络和BitTorrent协议。 该恶意软件用C编写,还使用了一些合法软件。有些东西,例如Tor和Transmission torrent客户端,与安装程序捆绑在一起。其他的则在运行时下载,包括Apache httpd和Buru SFTP服务器。图1显示了各种组件及其相互作用的概述。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1326/ 消息与封面来源:welivesecurity   ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

印总理莫迪个人网站 Twitter 账号确认遭入侵:要求捐赠加密货币

北京时间9月3日消息,印度总理莫迪个人网站的Twitter账号在周四稍早时候遭到入侵。莫迪个人网站账号narendramodi_in发布了一系列推文,要求其粉丝通过加密货币的形式向一个救济基金进行捐赠。这些推文随后被撤下。 Twitter证实,narendramodi_in账号遭到入侵,该公司表示已知道该账号的活动,并采取措施来保障被入侵账号的安全。“我们正在积极调查这一情况。目前,我们并未发现其他账号受影响的情况。”Twitter发言人在一份邮件声明中称。 莫迪办公室尚未就narendramodi_in账号发布的推文置评。     (稿源:凤凰网科技,封面源自网络。)

美国工资协会披露信用卡被盗事件

美国工资协会(APA)披露了一个影响会员和客户的数据漏洞,此前攻击者成功地在该组织的网站登录和在线商店结账页面上安装了一个网页浏览器。 APA是一个非营利性专业协会,拥有20,000多个会员和121个APA关联的本地分会,组织培训研讨会和会议,每年有超过36,000名专业人士参加。 该组织还颁发行业认可的证书,并为专业人员提供资源文本库。 登录和财务信息被盗 大约在2020年7月23日,APA发现其网站和在线商店被攻击者攻破,攻击者收集敏感信息并将其过滤到攻击者控制的服务器上。 攻击者根据APA政府高级总监Robert Wagner 发送给受影响个人的数据泄露通知,利用组织内容管理系统(CMS)中的安全漏洞入侵APA的网站和在线商店。 一旦获得对组织站点和商店的访问权,他们就将撇取器部署在网站的登录页面和APA电子商务商店的结帐部分。 据APA的安全团队表示,该恶意活动可以追溯到2020年5月13日,大约是美国东部时间下午7:30。 APA说:“未经授权的个人可以访问登录信息(即用户名和密码)和个人支付卡信息(即信用卡信息及相关数据)。” 此外,在某些情况下,攻击者还能够访问社交媒体用户名和受影响的APA成员和客户的个人资料照片。 数据泄露背后的Magecart攻击 这种类型的攻击称为网络掠夺攻击(也称为Magecart或电子掠夺),通常是攻击者使用CMS漏洞或受感染的管理员帐户在电子商务网站上部署卡片脚本造成的。 在发现攻击后,APA立即为他们的网站和商店的CMS安装了最新的安全更新,以阻止未来的攻击。 在审查了自2020年初以来对这两个站点所做的所有代码更改之后,APA的安全团队还增加了安全补丁程序的频率,并在受影响的服务器上部署了反恶意软件解决方案。 PA还为所有受影响的用户重置了密码,并提供100万美元的身份盗窃保险和通过Equifax进行的一年免费信用监控。     稿件与封面来源:BLEEPINGCOMPUTER,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。