分类: 恶意软件

波音遭遇勒索软件攻击, WannaCry 成为最大怀疑对象

据西雅图时报报道,波音公司于本周三遭遇了勒索软件攻击(疑似“ WannaCry ”), 其商用飞机制造总工程师 Mike VanderWel 警告称,该勒索软件正在从波音公司南卡罗来纳州北查尔斯顿的工厂扩散出去,并且可能已经导致 777 的翼梁自动装配工具产线瘫痪。VanderWel 担忧 恶意软件可能不仅会感染用于飞机功能测试的设备,也可能扩展到“飞机软件”中。 但随后波音在 Twitter 上发表声明说,媒体的报道与真实情况具有一定差距,因为根据波音网络安全运营中心的检测,恶意软件的入侵仅影响到少数系统,并且安全人员也已经采取了补救措施。 虽然 WannaCry 偶尔还是会被发现试图传播,但大多数情况下,安全研究人员已经能够有效地拦截这个勒索软件。这就是为什么一年之后,所有发布的补丁程序和 AV 软件都能检测到它。 目前,波音公司遭受的勒索软件还没有被 100% 确认为 WannaCry,安全人员猜测它也有可能只是 WannaCry 的模仿版。 消息来源:bleepingcomputer,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

谷歌应用商城存多款安卓二维码恶意应用 下架前下载量超 50 万次

上周安全公司  SophosLabs 报告了在谷歌 Play 官方应用商城有多款安卓二维码恶意应用,下架前这些恶意应用的下载量超过了 50 万次。SophosLabs 的研究人员检测到了 6 款二维码扫码应用和一款智能罗盘应用均包含着利用二维码的恶意代码“ Andr/HiddnAd-AJ ”,利用漏洞向用户发送恶意广告。 ZDNet 网站的 Danny Palmer 披露了相关报告,“在安装后,恶意软件会潜伏六个小时开展恶意活动,提供恶意广告推送服务,向用户推送全屏恶意广告,并在网页中打开相关广告,发送大量包含广告连接的推送通知等。” Sophos 公司的安全人员称这些隐秘的恶意应用在被谷歌下架前,已经被下载了超过 50 万次。谷歌没有立即回应置评请求。 稿源:cnBeta,封面源自网络;

亚特兰大市遭勒索软件网络攻击 机场停用 WiFi

民航资源网 2018 年 3 月 24 日消息:当地时间 3 月 22 日美国亚特兰大市政府遭遇网络攻击,随后亚特兰大国际机场关闭了机场的 WiFi 系统,使得机场 63000 余员工及每天 27.5 万人次的旅客无网可用。 3 月 22 日早上亚特兰大市政府遭到了勒索软件的网络攻击,多个内部系统受到影响。政府建议员工不要使用自己的电脑。 3 月 22 日下午亚特兰大机场通过官方 Twitter 宣布,临时关闭机场 WiFi 系统,机场正在努力解决这一问题。23 日机场方面表示,网络系统仍不能使用,此外安检等待以及航班信息等受到了影响,提醒旅客联系航空公司查询。 亚特兰大机场发言人表示,关于机场何时恢复WiFi尚无时间表。他表示,机场并没有受到网络攻击的直接影响,但出于谨慎考虑,决定将系统下线。 稿源:凤凰网、民航资源网,封面源自网络;

TeleRAT :一种利用 Telegram 秘密窃取数据的新型 Android 木马

近日,Palo Alto Networks 的安全专家发现了一种名为 TeleRAT 的新型 Android 木马,该木马使用 Telegram 的 Bot API 来与命令和控制(C&C)服务器进行通信和窃取数据。目前安全专家猜测 TeleRAT 可能是由伊朗的几位威胁攻击者操作运营。 其实另一个被称为 IRRAT 的 Android 恶意软件与 TeleRAT 有相似之处,因为它也利用了 Telegram 的 bot API 进行 C&C 通信。IRRAT 能够窃取联系人信息、在设备上注册的 Google 帐户列表、短信历史记录,并且还可以使用前置摄像头和后置摄像头拍摄照片。这些被盗的数据存储在手机 SD 卡上的一些文件中,由 IRRAT 将它们发送到上传服务器。IRRAT 将这些行为报告给 Telegram bot 后,将其图标从手机的应用菜单中隐藏起来,在后台运行着等待命令。 而 TeleRAT Android 恶意软件则以不同的方式运行着:它在设备上创建两个文件,其中包含设备信息(即系统引导加载程序版本号,可用内存和大量处理器内核)的 telerat2.txt,以及包含电报通道和一系列命令的 thisapk_slm.txt 。 TeleRAT 一旦被成功安装,恶意代码就会通过电报 Bot API 发送消息来通知攻击者,并且该恶意软件还启动了后台服务,用于监听对剪贴板所做的更改。除此之外,TeleRAT 每 4.6 秒钟从 bot API 中获取更新,以监听用波斯语编写的几条命令。以下为两种获取更新的方式: 1、 getUpdates 方法(公开发送给 bot 的所有命令的历史记录,其中包括命令发起的用户名) 2、Webhook 方法(bot 更新可以被重定向到一个通过 Webhook 指定的HTTPS URL)。  TeleRAT 功能用途极为广泛,如以下: 接收命令来抓取联系人、位置、应用程序列表或剪贴板的内容; 接收收费信息、 获取文件列表或根文件列表; 下载文件、创建联系人、设置壁纸、接收或发送短信; 拍照、接听或拨打电话、将手机静音或大声; 关闭手机屏幕、 删除应用程序、导致手机振动、从画廊获取照片; TeleRAT 还能够使用电报的 sendDocument API 方法上传已窃取的数据,这样就避开了基于网络的检测。 TeleRAT 传播 TeleRAT 恶意软件除了通过看似合法的应用程序分发到第三方 Android 应用程序商店外,也通过合法和恶意的伊朗电报渠道进行分发。根据 Palo Alto Networks 统计,目前共有 2293 名用户明显受到感染,其中大多数(82%)拥有伊朗电话号码。 TeleRAT 被认为是 IRRAT 的升级版本,因为它消除了基于已知上传服务器流量网络检测的可能性,这是由于所有通信(包括上传)都是通过电报 bot API 完成的。 除了一些额外的命令外,TeleRAT 与 IRRAT 的主要区别还在于TeleRAT 使用了电报 sendDocument API 方法上传已窃取的数据 。 Palo Alto Networks 完整分析报告见: 《 TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

恶意广告程序 RottenSys 感染近 500 万台 Android 设备

外媒 3 月 14 日消息,安全公司 Check Point 本周披露了一个名为 RottenSys 的恶意软件家族 —— 通过伪装成系统 Wi-Fi 服务,增加广告收入。根据调查,自 2016 年起,该移动广告软件已感染了近 500 万台 Android 设备,其中受影响较大的包括荣耀、华为以及小米。 Check Point 称最近小米红米手机上的一个不寻常、自称为系统 Wi-Fi 服务的应用程序引起了其研究人员的注意。他们发现该应用程序不会向用户提供任何安全的 Wi-Fi 相关服务,反而会要求许多敏感的 Android 权限,例如与 Wi-Fi 服务无关的易访问性服务权限、用户日历读取权限等等。 根据 Check Point 的调查,恶意团伙利用 RottenSys 谋取暴利,每 10 天的收入能达到 115,000 美元。目前,感染排名靠前的手机品牌有华为荣耀、华为、小米、OPPO、vivo 等。并且需要注意的是,由于 RottenSys 的功能比较广泛,攻击者还可能会利用它来做出一些远比广告更具破坏性的行为。 RottenSys 恶意软件部分细节: 恶意软件实施两种逃避技术:第一种技术包括在设定时间内延迟操作;第二种技术使用不显示任何恶意活动的 dropper。一旦设备处于活动状态且安装了 dropper,与之联系的命令和控制(C&C)服务器将会向其发送活动所需的其他组件列表。 恶意代码依赖于两个开源项目: 1、RottenSys 使用一个名为 Small 的开源 Android 框架(github.com/wequick/small)为其组件创建虚拟化容器。通过这种方法,恶意软件就可以运行并行任务,从而攻破 Android 操作系统的限制。 2、为了避免 Android 系统关闭其操作,RottenSys 使用了另一个名为 MarsDaemon 的开源框架(github.com/Marswin/MarsDaemon)。 不过虽然 MarsDaemon 保持流程活跃,但它也阻碍了设备的性能并且消耗了电池。 Check Point 调查报告: 《 RottenSys: Not a Secure Wi-Fi Service At All 》 消息来源:Security Affairs.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Google 表示 2017 年 60.3% 的恶意 Android 应用程序是通过机器学习检测

Google 今天发布了 Android Security 2017 年度回顾报告,这是该公司第四批试图向公众宣传Android各种安全层面及其缺陷的尝试。报告中最有趣的一个学习是通过机器学习检测到 60.3% 的潜在有害应用(PHA)。该检测是通过名为 Google Play Protect 的服务完成的,该服务在超过 20 亿台设备(运行 Android 4.3 及更高版本)上启用,以不断扫描 Android 应用程序的恶意活动。 Play Protect 使用各种策略来保护用户及其数据的安全,但机器学习在帮助抓住 PHA 方面特别有效。 谷歌今年早些时候分享的数据显示,2017 年因违反应用商店政策(同比增长 70%)而从 Google Play 中移除了超过 70 万个应用,该公司称其实施了机器学习模型和技术来检测应用程序内容和行为的滥用行为,如模仿,不适当的内容或恶意软件。 但该公司并未分享任何细节。现在我们了解到,每10次检测中就有6次是机器学习。Play Protect 每天都会自动审核超过 500 亿个应用 – 去年这些自动审核导致去除了近 3900 万个 PHA。Play Protect 每天至少自动检查 Android 设备上的 PHA 一次。 直到最近,Play 保护所需设备联机才能进行。当 Google 发现当设备处于脱机状态或网络连接丢失时,近 35% 的新 PHA 安装正在进行,它转而开发一项新功能来解决该问题。 2017  年 10 月,Play Protect 获得了离线扫描功能,该功能已经阻止了 1000 万次 PHA 安装。 稿源:cnBeta,封面源自网络;

恶意软件攻击沙特阿拉伯石油工厂,试图引发爆炸

网络攻击可能会导致企业头痛和收入损失。但是,沙特阿拉伯一家石油化工企业于 8 月份在工厂发现的恶意软件旨在破坏设备,并可能导致爆炸,从而摧毁整个工厂。据调查人员表示,攻击失败的唯一原因是由于导致系统关闭的违规代码存在缺陷。如果恶意软件被正确写入,后果将不堪设想。 相信政治动机可能是这种攻击的原因,由于攻击代码的复杂性,相信背后有敌对政府支持。由于整个行业使用相同的工业控制器,因此担心可能会对其他化学加工设施发起相同的攻击。施耐德电气销售了超过 13000 套易于受到攻击的 Triconex 安全控制器系统。 软件分析显示,迄今尚未在任何其他系统上发现使用的代码。为了设计使用的恶意软件,开发人员能够提前访问 Triconex 安全系统组件以进行测试几乎是必不可少的。调查人员表示,所需零件在 eBay 上的价格约为 4 万美元。 美国政府实体和私人安全公司Mandiant仍然在处理这一事件。国家安全局,联邦调查局,国土安全部以及国防高级研究计划局(DARPA)都在努力收集尽可能多的信息。虽然关于攻击实际如何工作的信息很少,但相信恶意代码可以被远程注入,从而使得另一次攻击的威胁很高。 稿源:cnBeta,封面源自网络

攻击者推送后门版 BitTorrent 客户端, 12 小时内感染逾 50 万计算机

外媒 3 月 14 日消息,上周在俄罗斯和欧洲中部地区发生了大规模的恶意软件入侵事件, 几个小时内就有接近 50 万台的计算机受到加密货币挖掘软件的感染。虽然当时微软没有立即说明造成该事件的具体原因,不过却在近日透露这是由于 BitTorrent 客户端的后台版本 MediaGet 引起的。 根据微软方面的说法,攻击者针对 MediaGet BitTorrent 软件的更新机制,将其木马化的版本(mediaget.exe)推送到用户的计算机上。这个新的 mediaget.exe 程序与原始程序具有相同的功能,但是却具有额外的后门功能。 一旦用户更新,具有额外后门功能的恶意 BitTorrent 软件将会随机连接到其分布式 Namecoin 网络基础架构上的一个命令与控制(C&C)服务器(共四个服务器),并监听新的命令。随后,恶意软件立即从 C&C 服务器下载挖矿组件,开始利用受感染用户的计算机挖掘加密货币。除此之外,使用 C&C 服务器,攻击者还可以命令受感染的系统从远程 URL 下载和安装其他的恶意软件。 消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软:加密货币挖矿类恶意软件 已成为一项增长的威胁

微软刚刚刚宣布,加密货币挖矿类恶意软件,已经成为了当下增长的一项威胁。最新研究指出,自比特币价格在 2017 年出现暴涨以来,越来越多的犯罪分子将他们的注意力转向了加密数字货币,从而催生了许多的恶意软件、利用不知情的企业和用户计算资源来为自己非法牟利。微软通过 Windows Defender 收集的遥测数据得出了这项结论。 2017 年 9 月 – 2018 年 1 月间,平均每月都有大约 64.4 万台计算机受到了“加密货币挖矿类木马”的影响。微软猜测,这些挖矿类恶意软件,似乎是从勒索软件转移而来的: 有趣的是,在加密货币挖矿类恶意软件增长的同时、勒索软件的数量却有下降的趋势。 两者之间是否有必然的联系?网络犯罪分子是否已经将注意力转移到了加密货币的挖矿,并将之作为他们的主要收入来源? 虽然他们不大可能在短期内完全放弃随机勒索,但是从加密货币挖矿类木马的增多形势来看,攻击者肯定在探索这种非法赚钱的新方法的可能性。 自去年 9 月以来,微软已经注意到,被拿来挖矿的企业计算机有大量增加的趋势。应用程序的恶意看似不大,但它们多数未经授权;甚至员工可以利用巨大的算力,来赚一笔快钱。 微软指出,只要启用“潜在不需要的应用程序防护”(PUA)功能,企业就能够很好地预防这类情况的发生。仅在今年 1 月,加密货币挖矿就占据了 PUA 拦截量的 6% 。 最后,微软推荐用户和企业使用 Microsoft Edge 浏览器、Windows Defender SmartScreen、以及 Windows Defender 反病毒软件,以减少来自恶意网站的攻击。 稿源:cnBeta,封面源自网络;

恶意活动针对 Windows、Redis 及 Apache 服务器安装加密货币矿工

外媒 3 月 12 日消息,来自 ISC SANS 组织和安全公司 Imperva 的研究人员发现了两个针对 Windows Server、Redis 以及 Apache Solr 服务器的恶意活动 — 攻击者试图针对这些未打补丁的服务器安装加密货币矿工。 第一个活动被称为 RedisWannaMine,主要针对的目标对象是 Redis 和 Windows Server 服务器。研究人员发现攻击者通过大规模的网络扫描来寻找运行过时 Redis 版本的系统,以触发 CVE-2017-9805 漏洞。 研究人员观察到,RedisWannaMine 通过执行脚本来下载一个公共可用的工具 masscan ,在将其存储到 Github 存储库后,编译并安装它。一旦获得访问主机的权限,攻击者将放弃 ReddisWannaMine 恶意软件作为第一阶段 playload,并安装第二阶段的加密货币矿工。 RedisWannaMine 通过 EternalBlue (永恒之蓝)进行传播,并且具有类似蠕虫的行为, 但它在逃避技术和功能方面更为复杂:RedisWannaMine 结合先进的攻击手段来增加感染率,从而获取更大的利益。除此之外,ReddisWannaMine 活动也显示了其自传播蠕虫的经典行为模式。 第二次采矿活动是通过利用 CVE-2017-12629 漏洞攻击 Apache Solr 服务器。根据 ISC SANS 发布的分析报告,在 2 月 28 日至 3 月 8 日这段时间内,这场活动共感染了 1777 个服务器, 其中有 1416个 是 Apache Solr。 研究人员认为这两项活动都只是冰山一角,未来还会出现越来越多针对加密货币行业的攻击事件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。