分类: 恶意软件

安全研究人员发现 Industroyer 与 NotPetya 同属于俄罗斯黑客组织

据外媒 ZDNet 报道,网络安全公司 ESET 的恶意软件分析人员最近发现了实质性证据,证明针对乌克兰电网的网络攻击和 2017 年 6 月爆发的 NotPetya 勒索软件背后是同一组织。 这两者之间并不是直接联系,而是研究人员在今年 4 月一次黑客攻击中通过名叫 Exaramel 的恶意软件发现的。Exaramel 后门是从 Telebots 的服务器基础设施部署的,这也是 NotPetya 勒索软件所依赖的基础设施。 在分析报告中 ESET  称 Exaramel 后门“是后门组件的改进版本”,是针对工业控制系统(ICS)的恶意软件 Industroyer 的一部分,Industroyer 曾在2016年12月引发乌克兰停电。虽然之前已有推测到这种联系,但没有实质性证据,Exaramel 的发现证实了研究人员的想法。 下图是 ESET 研究人员推测 BlackEnergy 集团的演变,该集团在 Industroyer 之前一年,在2015年12月同样袭击了乌克兰的电网。   考虑到从 2017 年 7 月以来多方将 NotPetya 与 BlackEnergy 攻击联系起来的报告,可以说上图所有攻击的幕后推手都属于同一组织。ESET 的发现适时为西方政府最近提出的指控提供了事实和技术证据。 今年2月,Five Eyes 联盟国家的政府都指责俄罗斯策划了 NotPetya 勒索软件的爆发。本月早些时候,英国和澳大利亚发表声明,指责俄罗斯主要情报局(GRU)俄罗斯武装部队的军事情报机构发生多起网络攻击事件。声明称俄罗斯的 GRU 背后是一系列网络间谍组织和黑客行动,所列出的名称包括 Sandworm 和 BlackEnergy,在网络安全行业的众多报告中这两个名称被用作 TeleBot 的替代词。 ESET 的研究对政府报告提供了有力支撑,俄罗斯在2015年和2016年制造恶意软件以瞄准乌克兰的电网,后来部署了针对乌克兰公司的 NotPetya 勒索软件,这是俄罗斯吞并克里米亚和支持乌克兰西部地区的亲俄反叛分子行动的一部分。   消息来源:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

物联网僵尸网络“捉迷藏”新变种发现:Android 设备成新受害者

继今年1月发现首个物联网僵尸网络Hide and Seek(HNS,捉迷藏)之后,近日Bitdefender Labs发布报告称已经发现新型变种。利用Android开发者调试之用的Android Debug Bridge (ADB)功能中所存在的漏洞,该变种通过WiFi网络连接来感染Android设备,使之成为僵尸网络的一员。 虽然并非所有Android都默认启用ADB功能,但部分Android手机厂商会默认自动启用,可以通过5555端口使用WiFi ADB远程连接就能轻松进行攻击。在连接至默认激活ADB的Android系统之后,允许攻击者以root级别获得shell访问,可以在受感染设备上运行和安装任何东西。 图片来自于 Bitdefender Labs Hide and Seek于今年1月24日由Bitdefender首次发现,感染设备数量大约为1.4万台。不过在1月26日感染设备数量迅速扩大,超过3.2万台物联网设备被感染,而且在设备重启之后依然会保留在受感染的设备上。这种物联网恶意软件在某些情况下会将其自身复制到/etc/init.d/,这是一个在基于Linux的操作系统上放置守护程序脚本的文件夹,就像路由器和物联网设备上的守护程序脚本一样。由此,设备的操作系统将在重启后自动启动恶意软件的进程。   稿源:cnBeta,封面源自网络;

ESET 曝光 Lojax:首个被利用的 UEFI rootkit 案例

ESET 安全专家刚刚宣布,他们已经发现了首个在野外被利用的“统一可扩展主机接口”(UEFI)rootkit 案例。这款恶意软件被称作 Lojax,被“高级持续威胁”(APT)的 Sednit 组织(又名 APT28、STRONTIUM、Sofacy、或 Fancy Bear),用于攻击巴尔干和欧洲中东部的政府机构。安全研究人员表示,他们发现该 UEFI rootkit 捆绑了能够“修补”受害者系统固件的工具,以便将 Lojax 恶意软件安装在目标系统的底层深处。 ESET 声称,在将 UEFI 模块写入系统 SPI 闪存时,该 rootkit 曾成功使用过一次。该模块能够在系统启动过程中,于磁盘上执行恶意软件。 研究人员留意到了这种持久的侵入性,因为它可以在重装系统、或更换硬盘之后依然存活 —— 除非你重新刷写,以清理系统的 UEFI 固件。 虽然重刷 UEFI 固件的解决方案很是简单,但并不是每个人都会轻松执行。值得庆幸的是,ESET 指出该 UEFI rootkit 没有正确的签名。 这意味着,借助该恶意软件发起的任何形式的攻击,都可以通过启用安全机制来规避。ESET 建议大家这么做,以便严格验证系统固件加载的每个组件的签名是否正确。 Sednit 曾在多起引人注目的全球攻击中搅过混水,包括 2016 美总统大选前、针对民主党全国委员会(DNC)发起的黑客攻击。 该组织被认为有俄政府的资助背景,且最近被美方发现其对保守团体实施了电子欺骗。   稿源:cnBeta,封面源自网络;

新型僵尸勒索软件 Virobot 肆虐微软 Outlook

根据趋势实验室披露的安全报告,一种全新的僵尸网络勒索软件Virobot正通过微软Outlook进行大肆传播。报告中指出该恶意软件同时兼具僵尸网络和勒索软件的特征,在微软Outlook上以垃圾邮件的方式进行传播。 报告中写道:“Virobot首次发现于2018年9月17日,是对臭名昭著的Locky勒索软件变种分析7天之后发现的。一旦感染Virobot,它就会检查注册表键值(计算机GUID和产品秘钥)来确认系统是否应该加密。然后通过加密随机数生成器(Random Number Generator)来生成加密和解密你要。此外伴随着生成的秘钥,Virobot还会将收集的受害者数据通过POST发送到C&C服务器上。” 趋势科技还表示Virobot还可以记录用户敲击键盘的次数,并共享诸如信用卡信息和密码在内的诸多敏感数据。键盘记录器也会将这些信息发送至C&C服务器上。所以为了预防受到感染,请确保你不要打开非可靠源的附件。   稿源:cnBeta,封面源自网络;

布里斯托尔机场大屏被勒索软件攻占 耗时2天终于恢复

因机场网络内多台电脑受到恶意勒索软件攻击,布里斯托尔机场(Bristol Airport)在经历了长达两天的宕机之后所有航班信息屏终于恢复正常。本次网络袭击事件发生于上周五早晨,显示航班信息的大屏幕上显示需要支付赎金才能解锁。布里斯托尔机场方面并未就此向黑客妥协,拒绝支付赎金,所有受影响的系统全部都被拆除,而且必须由机场的IT管理人员进行手动恢复。 在勒索软件攻击期间,机场的工作人员不得不使用白板以及海报等方式显示到达的航班以及登机信息。布里斯托尔机场官方推文称:“数字屏上的实时航班信息目前已经完成了核心区域的修复,不过目前在我们上仍未完成。航班不受该技术问题影响,对于给您带来的任何不便,我们深表歉意。”   稿源:cnBeta,封面源自网络;

研究人员发现了具有僵尸网络功能勒索功能和挖掘加密货币功能的新蠕虫

Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。正如Unit 42所详述的那样,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前知道可以执行勒索软件攻击的威胁行为者,显然已经转向更复杂的攻击媒介。 据观察,Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,与其他勒索软件不同,默认情况下启用了数据销毁功能,没有恢复功能,几乎不可能进行文件恢复。此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB,并要求比特币赎金恢复数据。 另一方面,Xbash的加密货币挖掘和自传播模块旨在使用未修补的Hadoop,Redis和ActiveMQ数据库中的已知漏洞来破坏Windows系统。此外,Xbash具有自我传播的能力,类似于Petya / NoPetya和WannaCry的能力,以及尚未启用的传播功能集合,但可以使其在企业或家庭网络中快速传播。 Xbash还具有由代码编译,代码压缩和转换以及代码加密提供支持的反检测功能,所有这些功能都会模糊其恶意行为,以防止反恶意软件工具检测到它。Unit 42已经发现48个传入到Xbash勒索软件组件中的硬编码钱包总计6000美元,这意味着新的恶意软件系列已经活跃并收集受害者的赎金。   稿源:cnBeta,封面源自网络;

微软将防病毒软件添加到 Office 应用程序以解决宏恶意软件问题

微软已将所有Office应用程序与防病毒软件集成,以防止出现宏恶意软件攻击。该公司正在使用反恶意软件扫描接口(AMSI)来处理嵌入在文档中的VBA宏。最近,我们报道了黑客如何使用微软Excel文档来执行CHAINSHOT恶意软件攻击。这些类型的攻击越来越普遍,黑客可以轻松访问受害者的计算机。 各种防病毒公司已经添加了新的AMSI接口,以防止通过恶意JavaScript,VBScript和PowerShell进行攻击。当调用潜在的高风险函数或方法时,Office会暂停宏的执行,并通过AMSI接口请求扫描到那时记录的宏行为。 微软未来指出,解决方案可能并不完美,但好过什么话也没有。也就是说,由于微软正在使用ATP和WindowsDefender,因此可以共享结果并阻止新的威胁。默认情况下,在支持VBA宏的所有Office 365应用程序中启用Office AMSI集成,包括Word,Excel,PowerPoint和Outlook。微软将扫描所有宏,除非它们由受信任方签名或者在受信任位置打开。   稿源:cnBeta,封面源自网络;

CoinHive 挖矿劫持仍在肆虐 至少 28 万路由器被检出感染

最近几年,区块链领域闹出了许多幺蛾子。比如为了攫取不当的加密货币挖矿收益,某些人制作了能够窃取设备算力的恶意软件,有几个挖矿网络的受害者规模甚至相当庞大。就在过去几天,研究人员发现了另外 3700 台秘密运行恶意的加密货币挖矿软件的路由器。 截止目前,此类受感染设备的总数已经超过了 28 万台 —— 仅在 30 天的时间里,就增加了 8 万。 8 月初的时候,这波攻击就已经登上了媒体的头条。当时黑客利用此前未被发现的漏洞,入侵了巴西的 20 多万台路由器。 攻击者成功地对 MicroTik 路由器实施了“零日攻击”,为其注入了 CoinHive 的修改版本。CoinHive 的一小段代码,支持利用简易的浏览器来挖掘门罗币。 最近的研究表明,该加密货币僵尸网络,每月有超过 25 万美元的产出。不过安全人员指出,挖矿劫持不是 MicroTik 路由器面临的唯一威胁。 一款危险的、名叫 Android Banker 的特洛伊木马病毒,当前正在互联网上传播。继 1 月首次曝光后,已有近 200 个针对性的网银应用受害。 Android Banker 可以绕过双因素认证,来窃取用户名和密码。若不幸受到影响,还请将所有账号的用户名和密码都重置,比如流行的 Bitfinex 和 Blockfolio 。 安全研究人员 Lukas Stefanko 指出,最近持续的威胁很是严重。因其能够动态改变、针对特定的受害者进行定制,所以是一个相当危险的威胁。 由于 Android Banker 主要通过虚假版本的 Adobe Flash Player 分发,因此普通人可以相对简单地避开大部分雷区 —— 确保未知来源的应用程序被阻止且无法运行。 如果你对本文所述的木马和恶意软件的细节感兴趣,并希望知晓如何制定让公司免受网络钓鱼攻击的安全策略,可移步至这里查看(传送门)。     稿源:cnBeta,编译自:TNW,封面源自网络;

黑客利用 Excel 文档来执行 ChainShot 恶意软件攻击

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel 文件包含的微型 Shockwave Flash ActiveX 对象、以及一个所谓的“电影”的 URL 链接,忽悠人们去下载 Flash 应用程序。研究人员攻破了其采用的 512-bit RSA 密钥,从而揭开了它的神秘面纱。 恶意 Shockwave Flash ActiveX 对象属性 研究人员发现,该 Flash 应用程序其实是一个混淆的下载器: 进程会在内存中创建一个随机的 512-bit RSA 密钥对,将私钥保留在内存中、并将公钥发送到攻击者的服务器,以加密 AES 密钥(用于加密有效负载)。 之后将加密的有效负载和现有的私钥发送到下载程序,以解密128位AES密钥和有效负载。Palo Alto Networks Unit 42 的研究人员破解了加密,并分享了他们的破解方法。 尽管私钥仅保留在内存中,但公钥的模数 n 被发送到了攻击者的服务器。 在服务器端,模数与硬编码指数 e 0x10001 一起使用,以加密此前用于加密漏洞和 shellcode 有效载荷的128-bit AES 密钥。 揭秘 shellcode 有效载荷的 HTTP POST 请求(其模数 n 为十六进制) 一旦研究人员解密了 128-bit AES 密钥,就能够解密有效负载。 获得 RWE 权限之后,执行就会传递给 shellcode,然后在内部加载一个名为 FirstStageDropper.dll 的嵌入式 DLL 。 最后,研究人员分享了感染指征(Indicators of Compromise): Adobe Flash Downloader 189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c Adobe Flash Exploit(CVE-2018-5002) 3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497     稿源:cnBeta,封面源自网络;  

Twitter 清理逾 14.3 万款应用 防止剑桥分析式丑闻

凤凰网科技讯 据《财富》北京时间7月25日报道,Twitter当地时间星期二表示,它在2018年4-6月期间对恶意应用进行了清理,共下架逾14.3万款应用。Twitter曾在一篇博文中称,它“不容忍利用我们的API(应用编程接口)制造垃圾信息、操控会话、借助Twitter侵犯人们的隐私”。 Twitter清理恶意应用正值Facebook的剑桥分析数据泄露丑闻发酵之际。Facebook面临国会议员的激烈批评:没有能阻止一名学术研究人员通过在其平台上开发的一款应用窃取大量用户信息。 与Facebook和谷歌旗下YouTube一样,Twitter也因没有能阻止俄罗斯相关部门在其服务上创建账户,在美国大选期间传播虚假信息受到密切关注。 Twitter没有披露从4月起开始清理其平台上恶意应用的原因,但可能与Facebook的剑桥分析数据泄露丑闻有关。这一丑闻彰显了各大互联网公司平台上第三方应用的普遍性,以及它们对第三方应用开发者如何使用其用户数据漠不关心。 Twitter没有披露被清理的具体应用,但称发送垃圾信息、自动执行恶意操作、监视和侵犯隐私的应用都在被清理之列。 Twitter现在还要求,希望使用“Twitter标准和高级API”的所有开发者都需要完成一个申请过程。 Twitter高管在博文中称,“我们知道,新的过程增加了开发应用所需要的准备步骤和时间。我们的目标是,打造开发者遵守我们相关规则的平台,有利于第三方开发者顺利地开展业务。”   稿源:凤凰网科技,封面源自网络;