分类: 恶意软件

CopyCat 病毒感染全球 1400 多万台 Android 设备

网络安全公司 Check Point 研究人员本月 6 日称,恶意软件 CopyCat 新变种已经导致全球范围内的 1400 多万台 Android 设备受到感染。据悉,该病毒可 ROOT 手机和劫持应用,借此已经牟取了数百万美元的欺诈性广告收入。研究人员称,大多数受害人都来自亚洲,但美国也有超过 28 万台 Android 设备受到了这种恶意软件的感染。 谷歌在过去两年中一直都在追踪 CopyCat,并已对其 Play Protect 进行了更新以拦截这种恶意软件,但仍有数以百万计的受害人由于下载第三方应用和遭到钓鱼攻击而受到了损害。Check Point 称,目前并无证据表明 CopyCat 是在谷歌 Google Play 应用商店中传播开来的。 Check Point 估测,已有近 490 万个虚假应用安装到了受感染设备上,显示了最多 1 亿条广告,在短短两个月时间里就帮助黑客赚到了 150 万美元以上。 这种恶意软件还可检测受影响设备是否来自中国,而中国的受害人并未遭到网络攻击。Check Point 研究人员认为,这是因为该病毒背后的网络犯罪分子是中国人,因此试图避开中国警方的调查。大多数受害人都来自印度、巴基斯坦、孟加拉国、印度尼西亚和缅甸,加拿大也有 38.1 万多台设备受到了影响。 稿源:cnBeta,封面源自网络

AV-TEST 安全报告:2016-2017 年恶意软件数量减少,但复杂程度增加

国际知名安全软件评测机构 AV-TEST 近期发布 2016-2017 年安全检测报告,指出虽然 2016 年恶意软件样本数量较 2015 年减少,但恶意程序的复杂程度却有所增加。          AV-TEST 研究人员分别于 2015 与 2016 年检测到约 1.44 亿与 1.27 亿款恶意软件样本,其数量相较减少  14%。此外,研究人员日均检测到逾 35 万款新型恶意软件样本,相当于每秒钟产生 4 款新恶意软件样本。虽然在 Windows 恶意软件中,勒索软件占比不到 1%,但这种威胁造成的危害却极其严重。 与传统病毒相比,勒索软件无需获取高额利润,但涉及“高科技恶意软件”攻击,即在目标商业环境中寻找易受攻击设备。例如,带有勒索软件的电子邮件几乎都在工作日发出。与此同时,勒索软件也适用于大规模传播,例如勒索软件 WannaCry 于今年 5 月利用新型技术避免检测,感染 150 多个国家超过 23 万台 Windows 计算机。报告数据显示,勒索软件攻击数量在 2017 年第一季度达到峰值。 AV-TEST 报告显示,MacOS 恶意软件样本数量较 2015 年大幅增加(+370%),多数恶意软件为木马病毒。2017 年第一季度已确定 4000 多款新型 MacOS 恶意软件样本。然而,同样重要的是要注意恶意软件程序的总数,即 尽管 2015 年共有 819 款 MacOS 恶意软件,但 2016 年,苹果用户必须保护设备免受 3033 种恶意软件攻击。 此外,该报告还指出 Android 恶意软件数量于 2016 年翻一番,高达 400 多万。2016 年 6 月,AV-TEST 发现近 65 万款新型恶意软件样本,达到 Google 操作系统发布以来恶意软件样本数量的高峰值。 附:《 2016-2017 年恶意软件安全检测报告( PDF )》 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击发生后 Petya 勒索病毒创作者首次公开发表声明,要求 25 万美元赎金

上周,全球多个国家遭受名为 Petya 勒索病毒的攻击。据外媒报道,Petya 勒索病毒创作者于 7 月 5 日首次公开发表声明。Motherboard 首先发现了存留在 DeepPaste 的这份声明, 其该声明虽然提供了攻击中使用的私人解密密钥,但同时也表示获取这些解密密钥,需缴纳赎金 100 比特币,相当于约 25 万美元。 至关重要的是,该声明包括了一个签署了 Petya 私人解密密钥的文件,这个强有力的证据表明这份声明是来自 Petya 勒索病毒创作者。更具体地说,它证明任何人留下这些信息的人肯定掌握了解锁被 Petya 病毒感染的个人文件所需的私人密码。因为病毒删除了某些引导文件,所以有可能会完全恢复整个系统,但还不确定是否能恢复个人文件。 此外,该消息还包括指向一个聊天室的链接,恶意软件创作者曾讨论了赎金的金额,尽管自那以后该聊天室一直处于未激活状态。目前为止,还未发现有人向 Petya 病毒创作者支付 100 比特币。在第一轮 Petya 病毒袭击后,黑客共收到了约 10000 美元的赎金。 稿源:cnBeta,封面源自网络

安全措施薄弱:散播 Petya 勒索软件的乌克兰公司面临刑事指控

上周肆虐全球的勒索软件,其实是从一个非常简单的攻击开始的。独立安全分析师 Jonathan Nichols 在乌克兰软件公司 MeDoc 的更新服务器上发现了一个脆弱到惊人的漏洞,使之成为了本轮攻击的中心。研究人员认为,许多初期感染,都是 MeDoc 上的一个“有毒更新”所引发的,即恶意软件将自己伪装成了一个软件更新。 不过根据 Nichols 的研究,由于 MeDoc 的安全措施太过脆弱,想要发出带毒更新的操作变得相当简单。 在扫描了该公司的基础设施之后,Nichols 发现 MeDoc 的中央更新服务运行在老旧的 FTP 软件之上,而当前许多公开提供的软件都可以轻松将它攻破。 这属于一个严重的安全问题,几乎可以让任何人通过该系统传播带毒内容。目前尚不清楚 Petya 攻击者利用了具体哪个漏洞,但这种过时软件的存在,已暗示有多种进入其系统的方法。 Nichols 表示 ——“从可行性上来说,任何人都可以做到,攻击者会对此感到有十足的信心”—— 即便他自己因为害怕犯罪而没有试图利用该漏洞。 由于忽视的这方面的漏洞,MeDoc 已经收到了来自乌克兰当局的刑事指控。乌克兰网警负责人 Serhiy Demydiuk 在接受美联社采访时表示: 该公司早已因为安全措施松懈而遭到多次警告,其知晓这一点,且被多家反病毒企业多次告知…… 对于这样的疏忽,涉及本案的人将面临刑事诉讼。 [ 编译自:TheVerge ] 稿源:cnBeta,封面源自网络

US-CERT 发布 Petya 最新变体预警及应对措施

据外媒 2 日报道,美国国土安全部(DHS)计算机应急响应小组(US-CERT)发布 Petya 勒索软件最新变体预警(TA17-181A), 提醒组织机构尽快对软件进行升级,避免使用不支持的应用与操作系统。 美国国土安全部下属网络安全与通信整合中心(NCCIC)代码分析团队输出一份《恶意软件初步调查报告》(MIFR),对恶意软件进行了深度技术分析。在公私有部门合作伙伴的协助下,NCCIC 还以逗号分隔值形式提供用于信息分享的输入/出控制系统(IOC)”。 此份预警报告的分析范围仅限曝光于 2017 年 6 月 27 日的 Petya 最新变体,此外还涉及初始感染与传播的多种方法,包括如何在 SMB 中进行漏洞利用等。漏洞存在于 SMBv1 服务器对某些请求的处理过程,即远程攻击者可以通过向SMBv1服务器发送特制消息实现代码执行。 US-CERT 专家在分析 Petya 勒索软件最新样本后发现,该变体使用动态生成的 128 位秘钥加密受害者文件并为受害者创建唯一 ID。专家在加密秘钥生成与受害者 ID 之间尚未找到任何联系。 “尽管如此,仍无法证明加密秘钥与受害者 ID 之间存在任何关系,这意味着即便支付赎金也可能无法解密文件”。 “此 Petya 变体通过 MS17-010 SMB 漏洞以及窃取用户 Windows 登录凭据的方式传播。值得注意的是,Petya 变体可用于安装获取用户登录凭据的 Mimikatz 工具。窃取的登录凭据可用于访问网络上的其他系统”。 US-CERT 分析的样本还通过检查被入侵系统的 IP 物理地址映像表尝试识别网络上的其他主机。Petya 变体在 C 盘上写入含有比特币钱包地址与 RSA 秘钥的文本文件。恶意代码对主引导记录(MBR)进行修改,启用主文件表(MFT)与初始 MBR 的加密功能并重启系统、替换 MBR。 “从采用的加密方法来看,即便攻击者收到受害者ID也不大可能恢复文件。” US-CERT建议组织机构遵循 SMB 相关最佳实践,例如: • 禁用 SMBv1 • 使用 UDP 端口 137-138 与 TCP 端口 139 上的所有相关协议阻止 TCP 端口 445,进而阻拦所有边界设备上的所有 SMB 版本。 “ US-CERT 提醒用户与网络管理员禁用 SMB 或阻止 SMB 可能因阻碍共享文件、数据或设备访问产生一系列问题,应将缓解措施具备的优势与潜在问题同时纳入考虑范畴”。 以下是预警报告中提供的防范建议完整列表: • 采用微软于 2015 年 3 月 14 日发布的补丁修复 MS17-010 SMB 漏洞。 • 启用恶意软件过滤器防止网络钓鱼电子邮件抵达终端用户,使用发送方策略框架(SPF)、域消息身份认证报告与一致性(DMARC)、DomainKey 邮件识别(DKIM)等技术防止电子邮件欺骗。 • 通过扫描所有传入/出电子邮件检测威胁,防止可执行文件抵达终端用户。 • 确保杀毒软件与防病毒解决方案设置为自动进行常规扫描。 • 管理特权账户的使用。不得为用户分配管理员权限,除非有绝对需要。具有管理员账户需求的用户仅能在必要时使用。 • 配置具有最少权限的访问控制,包括文件、目录、网络共享权限。如果用户仅需读取具体文件,就不应具备写入这些文件、目录或共享文件的权限。 • 禁用通过电子邮件传输的微软 Office 宏脚本。考虑使用 Office Viewer 软件代替完整的 Office 套件应用程序打开通过电子邮件传输的微软 Office 文件。 • 制定、研究并实施员工培训计划以识别欺诈、恶意链接与社工企图。 • 每年至少对网络运行一次定期渗透测试。在理想情况下,尽可能进行多次测试。 • 利用基于主机的防火墙并阻止工作站间通信。 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密公布 CIA 用于攻击 Linux 系统的恶意软件 OutlawCountry

据外媒 1 日消息,维基解密最新发布了一批秘密文档,详细介绍了 CIA 黑客工具 “OutlawCountry”,可被用于远程监控运行 Linux 操作系统的计算机,能够将目标计算机上的所有出站网络流量重定向到 CIA 控制系统以进行渗透。 消息显示, OutlawCountry 黑客工具由 Linux 2.6 内核模块组成,CIA 黑客可通过 shell 访问目标系统进行加载。这一工具的主要限制在于内核模块只与兼容的 Linux 内核一起工作: (S // NF)目标必须运行兼容的 64 位版本的 CentOS / RHEL 6.x (内核版本2.6.32)。 (S // NF)操作员必须具有对目标的 shell 访问权限。 (S // NF)目标必须有一个 “nat” Netfilter表 该模块允许在目标 Linux 用户上创建一个隐藏名称的隐藏 Netfilter 表。 如下图,CIA 操作员在目标设备(TARG_1)上加载 OutlawCountry,然后他可以添加隐藏的 iptables 规则来修改 WEST 和 EAST 之间的网络流量。例如,本该从 WEST_2 路由到 EAST_3 的数据包可能被重定向到 EAST_4 。 本次泄露内容不包括攻击者在目标 Linux 操作系统中注入内核模块方式的相关信息。网络间谍组织为达到目的很有可能会利用多种黑客工具、漏洞,或其他网络武器库达到破坏目标 Linux 操作系统的目的。 更多详细信息可访问 维基解密 官网。  原作者:Pierluigi Paganini,译者:FOX。封面源自网络。

Petya 勒索软件原作者出现,希望帮助 NotPetya 受害者恢复文件

据 外媒 28 日消息,疑似 Petya 勒索软件原作者现身 Twitter,表示愿意帮助 NotPetya 勒索软件受害者恢复文件。 从 Janus 在 Twitter 信息上看,他可能已经掌握一个主解密秘钥,或适用于新版的 NotPetya 感染文件,能够帮助受害者解密被锁住的文档。 Janus 曾在去年 3月以 勒索软件即服务(RaaS)的方式将 Petya 出售给其他黑客,这意味着任何人都能通过点击按钮启动 Petya 勒索软件攻击,加密任何人的系统并索要赎金。消息显示, Petya 的源代码从未被泄露过,目前一些安全研究员仍在努力通过逆向寻找可能的解决方案。 虽然目前 Janus 表示正在检查新勒索软件 NotPetya 的代码,但也有专家表示即使他的主密钥成功地解密了受害者硬盘驱动器的主文件表(MFT),在研究人员找到修复 MBR 的方法之前,它也不会有太大的帮助,因为系统中被替换的 MBR 文件早已损坏。 稿源:据 thehackernews 报道翻译整理,译者:FOX  

维基解密:CIA 恶意软件定位 Windows 用户

维基解密网站最新报告揭示了 CIA 自 2013 年以来针对 Windows 电脑使用的一种新形式的恶意软件,这一次这种软件不会危及系统,而是在几秒钟内确定用户的位置。该工具被称为 ELSA,它主要是为 Windows 7 开发的,但它可以被用于任何版本的 Windows,包括 Windows 10,尽管在这种情况下,因为微软的安全性改进,需要进行一些额外的调整。 ELSA 做的是感染 Wi-Fi 功能的网络,然后使用无线模块来寻找可用范围内的公共 Wi-Fi 点。恶意软件记录每个网络的 MAC 地址,然后在 Microsoft 和 Google 维护的公共数据库中查找信息。这些数据库主要让用户的许多设备可以访问互联网,但是中情局查找这些数据库的目的显然不同。 一旦确定了公共 Wi-Fi 的位置,恶意软件分析用户信号的强度,然后计算用户的可能坐标。信息被加密并发送到 FBI,存储在服务器上,相关特工可以将其提取并将其保存在特定文件中。 最重要的是,ELSA 要求中情局已经控制目标系统,但这不应该是一个问题,因为该机构据报道有其他形式的恶意软件可以利用 Windows 中的未知漏洞控制目标系统。因此,由于中情局已经完全控制了 Windows 系统,确定位置并不是最糟糕的事情,因为该机构也可以窃取目前电脑上的文件,并且可以作许多其它事情。 就像过去发生的一样,ELSA 有可能在某些时候泄漏,并可供黑客使用,再次让 Windows 用户遭遇额外威胁。我们已经向 Microsoft 了解他们如何计划解决这个漏洞。 稿源:cnBeta,封面源自网络

微软:Petya 勒索软件只影响了约 2 万台电脑

本周早些时候,Petya 勒索软件攻击几乎让每个人都惊奇,全球许多 Windows  电脑瘫痪了,其中大部分是运行 Windows 7 的操作系统。与之前的 WannaCry 勒索软件相比,Petya 勒索软件使用了相同的 SMB 漏洞,并且更复杂一些,但新的证据表明,疫情没有我们想象的那么糟糕。 微软昨天在其Windows安全博客上解释说:Petya 勒索软件是高度复杂的恶意软件,但是我们的遥测结果显示,Petya 勒索软件的受害率远远低于我们的预期,受害电脑数量不到 2 万台电脑。据该公司称,这次袭击事件在乌克兰开始,并且传播到其他国家的电脑上,而且,微软称,受感染的大都是 Windows 7 电脑。微软以前在今年早些时候为这种类型的漏洞发布了一系列补丁。 微软的博客文章还揭示 Petya 勒索软件有趣细节,其中包括 Petya 蠕虫行为的影响受到其设计的限制:首先,Petya 可以传播到其他电脑的执行时间有限。 作为其执行命令的一部分,它仅限与在电脑重新启动系统之前执行传播,此外,微软发现这种蠕虫代码不会在成功重新引导的受感染电脑上再次运行。最后,Petya 会对操作系统的引导代码造成一些损害,但是,在某些具体情况下,仍然有一些启动恢复选项。 总的来说,微软仍然担心这类型的勒索攻击复杂性越来越高,该公司正在敦促消费者和企业将他们的 PC 更新到更安全的 Windows 10。Windows 10 有防御措施可以减轻像 Petya 这样的勒索攻击。本周早些时候,该公司还宣布,下一代安全功能将于今年晚些时候在秋季创作者更新中推出。 稿源:cnBeta,封面源自网络

Shifr RaaS 仅需三步即可创建勒索软件

勒索软件作为一种有利可图的商业模式一直被网络犯罪分子广泛利用。鉴于此,新型勒索软件即服务(RaaS)在网络生态系统中取得长足发展也就不足为奇了。恰好,本周末安全专家发现一款名为 Shifr 的新型 RaaS,仅需三步即可创建一款简单的勒索软件。 据悉,该网站托管在 Dark Web 上,堪称最易使用的 RaaS 网站,消费者可以用比特币支付赎金。Shifr 采用 Go 语言编写,命名源自加密字段扩展名,可能与 Trojan.Encoder.6491(首款用 Go 语言编写的勒索软件)有关。 对于 Shifr 服务而言,勒索软件的创建过程十分简单,犯罪分子仅需提供恶意软件要求的赎金、接收受害者支付赎金的比特币地址并解决 CAPTCHA 问题。 其他 RaaS 门户网站通常需要以收取入门费或验证客户身份确保只有精通一定骗术的网络犯罪分子才能获得勒索软件样本,而此项服务仅需简单几步即可提供完整的武器化样本。有别与其他 RaaS 服务之处在于,Shifr 供应商仅收取 10% 的维护费用,这与 Cerber RaaS 收取的六成份额相比不足挂齿。 目前,我们仍不能排除 Shifr RaaS 是骗局的可能,运营商也不会向经销商支付削减费用。唯一能够确定的是勒索软件不仅不复杂还缺少许多必要功能,或为正在进行项目。此外,研究人员还注意到犯罪分子采用相同的服务器托管支付门户网站与 RaaS 服务,这并不是一种专业的做法。 综上所述,不难预测各类 RaaS 服务将在未来一个月内得到迅速传播。 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。