分类: 恶意软件

维基解密在线曝光 CIA 间谍软件新工具“野蛮袋鼠”

据外媒 6 月 22 日报道,维基解密( Wikileaks )近期再度曝光一批新 Vault7 文档,旨在揭示美国中央情报局( CIA )使用勒索软件工具 “野蛮袋鼠” (Brutal Kangaroo )监控 Microsoft Windows 操作系统、远程访问处于安全隔离状态的网络设备。 Brutal Kangaroo 是一款用于监控 Windows 系统的工具组件,其主要通过使用闪存盘的 Air-Gapped 侵入封闭网络。此外,Brutal Kangaroo 组件在封闭目标网络中将会创建一个自定义私密网络空间,并提供执行调查、目录列表与任意可执行文件的功能。而 Air-Gapped 主要是在高安全性的环境与关键基础设施中实现网络隔离。 据悉,维基解密在线发布了 2012 年 Brutal Kangaroo v1.2.1 版本文档。调查显示,旧版本的 Brutal Kangaroo 代号为 EZCheese。目前,它正利用 2015 年 3 月发现的漏洞展开攻击活动。 分析显示,CIA 可利用该工具组件渗透组织或企业内部的封闭网络,即无需直接访问,就可开始感染组织内的联网机器。当用户将 U 盘插入受感染机器时,闪存盘本身会感染一种单独的恶意软件 Drifting Deadline,并允许在封闭网络内肆意传播至其他受害设备中。如果该储存装置用于封闭网络或 LAN / WAN 之间复制数据,用户迟早会将拔下的 USB 插入封闭网络上的计算机中。随后,通过使用 Windows 资源管理器浏览 USB 驱动器的网络隔离计算机设备,终将会感染该恶意软件。 此外,当恶意软件在封闭网络中传播时,多台受感染计算机将处于 CIA 的操控下,组成 一个可协调攻击者活动与数据交换的私密网络。尽管该份文档中并未明确说明具体细节,但这种破坏封闭网络的方法与黑客组织 Stuxnet 的攻击方式极其相似。 Brutal Kangaroo 工具组件由以下几部分组成: Drifting Deadline:用于感染闪存盘的恶意工具 Shattered Assurance:一款处理闪存盘自动感染的服务器工具 Broken Promise:Brutal Kangaroo 后置处理器,用于分析收集到的信息 Shadow:主要存留机制(第二阶段工具,分布在封闭网络中,充当隐蔽指挥控制网络;一旦安装多个 Shadow 并共享驱动器、任务与负载将可以来回互相发送信息)   原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

银行木马 TrickBot 升级后针对支付处理器与 CRM 提供商设备展开攻击活动

据外媒 6 月 20 日报道,安全研究人员发现银行恶意软件 TrickBot 在升级后开始针对银行支付处理器(PayPal 贝宝)与客户关系管理( CRM )供应商的系统设备展开攻击活动。 恶意软件 TrickBot 最初于去年 9 月由安全公司 Fidelis Cybersecurity 研究人员发现。据悉,TrickBot 首款样本仅实施单一数据窃取功能。数周后,研究人员在捕获另一批新样本后发现疑似处于测试阶段的 web 注入样例。 调查显示,TrickBot 曾于 2016 年底针对英国与澳大利亚银行,以及亚洲金融机构进行多次攻击。此外,研究人员表示,TrickBot 与 Dyre 存在多数相似之处,虽然新银行木马程序的代码似乎已用不同编码风格进行了重写,但还是存留了大量相似功能。 今年 5 月,TrickBot 已被用于瞄准 20 家私人银行展开攻击活动,其中包括 8 家英国建筑协会、2 家瑞士银行、1 家德国私人银行与 4 家美国投资银行。后续研究人员分析了截止至 5 月份处于活跃状态的 26 款 TrickBot 配置,发现其中涉及两家支付处理与 CRM SaaS 供应商的系统设备。 近期,Fidelis Cybersecurity 研究人员又针对两起影响较为严重的攻击活动进行了检测。结果显示,这两起攻击活动主要针对同一美国支付处理器,但仅有第二起活动是针对 CRM 供应商的系统设备进行攻击。以下是研究人员针对这两起攻击活动的分析结果: 第一起攻击活动: 1、目标银行网址占 83%,其中英国银行占 18% 2、PayPal (归属美国的支付处理器),其中被入侵的 PayPal URL 有 35 个 第二起攻击活动: 1、英国目标银行占 47% 2、英国新增受感染 PayPal URL 3、CRMs Salesforce.com 与 Reynolds&Reynolds 在美国汽车行业出售 CRM 目前,研究人员已证实欧洲网络托管提供商的 6 个 C&C 服务器 IP 地址中,有 3 个托管在亚洲运营。此外,所有 IP 地址均使用 443/HTTPS 端口与受感染主机进行通信,以规避安全软件的检测。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

本田工厂遭勒索病毒 WannaCry 攻击致停产一天

6 月 21 日,本田汽车证实日本一家生产工厂于本周一停产一天,因为本田发现 WannaCry 勒索病毒出现在公司计算机网络上。 周一时,本田 Sayama 工厂停产,该工厂位于东京西北部,生产的车型包括雅阁轿车、奥德赛面包车、Step Wagon 多用途汽车,日产量约为 1000 辆。本田表示,病毒已经感染了日本、北美、欧洲、中国及其它地区网络。5 月中旬本田曾强化安全措施,确保系统安全,但当时病毒在全球扩散,导致许多工厂、医院、商店遭到破坏,不料本田还是受到影响。本田新闻发言人表示,公司其它工厂没有受到影响,周二 Sayama 工厂已经恢复运营。 上个月,雷诺 SA 与日产汽车也受到了病毒的影响,当时雷诺 -日产位于日本、巴西、法国、罗马尼亚、印度的工厂曾暂停运营。 稿源:新浪科技;封面源自网络

恶意软件 Rufus 针对印度 ATM 机中过时的 XP 系统展开攻击

据外媒报道,印度政府近期发现黑客利用恶意软件 Rufus 针对使用过时 Windows XP 系统的 ATM 机展开攻击活动。目前,印度西孟加拉邦、古吉拉特邦、奥里萨邦与比哈尔邦等多地 ATM 机纷纷遭殃,导致大量资金被盗。 调查显示,网络犯罪分子于夜间瞄准无人值守的 ATM 机,使用已感染的驱动器插入 ATM 机上 USB 端口以感染目标系统。一旦恶意软件成功感染 ATM 机,它将重新启动系统、中断与服务提供商服务器的连接。此外,恶意软件 Rufus 在感染系统后将生成特定代码并回传,攻击者将代码译成密码后便利用 ATM 机自动 “ 吐钱 ” ,整个过程无需破坏硬件或窃取用户信用卡数据。知情人士透露,由于该恶意软件绕过 ATM 服务器,因此黑客在窃取资金时设备不会发出警报。 安全专家表示,此类问题系由 ATM 机本身缺乏必要的安全措施导致,预计印度政府将迫使 ATM 制造商升级系统设备。不过,ATM 供应商否认了其设备“存在任何安全漏洞并已被攻击者利用”这一说法。印度储备银行正与国家支付企业紧密合作,旨在提高金融设备安全性。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型银行恶意软件 Pinkslipbot 利用受感染设备作为 “HTTPS 控制服务器”通信

据外媒 6 月 19 日报道,McAfee Labs 安全研究人员发现一款新型银行恶意软件 Pinkslipbot(又名:QakBot / QBot)可使用复杂多级代理通过 “HTTPS 控制服务器”通信。 Pinkslipbot 最初于 2009 年被赛门铁克检测曝光,是首款利用受感染机器作为 HTTPS 控制服务器的恶意软件。此外,Pinkslipbot 还是一款具有后门功能的爬虫,可在采集登录凭证的僵尸网络中聚集受感染设备。近期,Pinkslipbot 变种新增了高级规避检测功能。 安全专家注意到,Pinkslipbot 使用通用即插即用(UPnP)功能为目标设备提供路径,以感染恶意软件 IP 地址列表中提供的 HTTPS 服务器。这些设备充当 HTTP 代理并将路径传输至另一层 HTTPS 代理,能够允许对真实的 C&C 服务器 IP 地址进行伪装。 据悉,该恶意软件只能使用美国 IP 地址利用 Comcast Internet 测速仪检测目标设备是否连接。如果目标通过速度测试,恶意软件将点击 UPnP 端口检查可用服务。目前,研究人员尚未分析清楚攻击者如何判定“受感染设备有资格成为控制服务器代理”的确切程序。 研究人员认为,评价结果或将取决于受感染机器是否满足三个条件,即 IP 地址位于北美、高速上网以及使用 UPnP 打开 Internet 网关设备端口的能力。一旦检测到可用端口,恶意软件将感染防火墙后的目标设备并通过建立永久端口映射路由流量,旨在起到 C&C 代理的作用。 目前,受感染机器从新 Pinkslipbot 感染源接收到控制服务器请求后,立即通过使用 libcurl URL 传输库的附加代理将所有流量路由传输至真实控制服务器中。为防止设备感染该恶意软件,用户应保留本地端口传输规则,并仅在必要时打开 UPnP。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基安全报告:物联网恶意软件攻击数量较 2016 年翻一番

卡巴斯基近期发布一份安全报告,指出今年物联网( IoT )新增恶意软件攻击数量较 2016 年翻一番。 卡巴斯基研究人员利用若干台运行 Linux 联网设备的蜜罐于 5 月采集了超过 7,200 款不同恶意软件样本,即此类恶意软件均通过 Telnet 与 SSH 端口感染连接设备。与此同时,蜜罐捕获的多数攻击行为均来自 DVR 或 IP 摄像机(63%),远远超过网络设备与其他无法识别设备。 调查显示,攻击卡巴斯基蜜罐的 IP 地址来自不同地理位置,其中主要集中在中国、越南、俄罗斯、巴西与土耳其。目前,研究人员已从逾 11,000 个 IP 地址(多数在越南、台湾与巴西)检测到超过 200 万次攻击尝试。 研究人员表示,尽管卡巴斯基指出运行不安全 IoT 设备可能导致的其他风险(例如黑客利用家庭网络进行非法活动),但多数受感染设备还是被迫接入了僵尸网络。目前,针对 IoT 设备与相关安全事件的恶意软件数量与日俱增,充分说明了智能设备安全隐患的严重程度。 据悉,在数百万联网设备中,除了暴露的 Telnet 与 SSH 端口外,薄弱或默认的登录凭据问题也将加倍恶化。这主要是因为许多此类设备的存在将制造商置于弱势状态,尽管固件更新可用,但极少设备具有自动更新的机制。 卡巴斯基表示,部分设备确实以一种不安全的方式实现了 TR-069 协议的远程管理功能;但该协议基于 SOAP 设计,仅供操作人员远程管理设备使用。此外,研究人员还利用安全级别较低的管理员默认密码进行检测。在许多情况下,这些密码不仅适用于特定型号设备,而且与多家厂商产品线也极其相似。 附:卡巴斯基分析报告:《 Honeypots and the Internet of Things 》 原作者:Michael Mimoso, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型 PHP rootkit 问世,危险系数再攀新高

据外媒 6 月 17 日报道,荷兰开发人员 Luke Paris 创建了一款隐藏在 PHP 服务器模块中的新型 rootkit 程序,允许攻击者托管 Web 服务器并可有效规避检测。 众所周知,传统 rootkit 可在操作系统最低级别拦截内核操作、执行恶意活动。Paris 近期成功创建一款与 PHP 解释器交互的 rootkit 程序,从而取代了更为复杂的操作系统内核功能。Paris 表示,将 rootkit 写成 PHP 模块的原因显而易见,具体如下: 操作简单:将 rootkit 写成 PHP 模块要比学习编写内核模块容易得多,因为代码库本身体积更小、文档更完善,操作更简单。即使没有良好的文档或教程,任何一个开发新手在学习 PHP 模块编写基础知识后均可做到。 更加稳定:对于运行在内核的传统 rootkit 而言,编写不当可导致整个系统崩溃。而对于 PHP rootkit 而言,最糟糕的情况莫过于导致分段错误、中断当前请求(注:多数 Web 服务器在错误日志中均上报此类恶意操作)。 有效规避检测检测:由于系统缺乏对 PHP 模块的检测机制,PHP rootkit 可有效规避检测。而传统 rootkit 要求对每个进程进行系统调用,大大降低用户设备运行速度,更易引发怀疑。 易便携:PHP rootkit 具有跨平台功能,因为 PHP 模块多数情况下与平台相独立。 Paris 在社交平台 GitHub 上发布 PHP rootkit 概念证明。据悉,该开源项目代码连接至 PHP 服务器的 “ 哈希 ” 与 “ sha1 ” 函数,并仅由 80 行代码组成,因此极易隐藏在合法 PHP 模块中。 安全专家建议,管理员在安装 PHP 后应保留模块哈希列表。此外,还可使用定时功能尝试对扩展目录中的所有文件进行散列排序并将其与当前散列对比。目前,Paris 已发布 Python 脚本,用于检查用户设备 PHP 模块 SHA1 哈希值。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

恶意软件 Kasperagent 伪造巴勒斯坦绝密文件展开新一轮网络间谍活动

据外媒 6 月 18 日报道,安全研究人员在跟踪黑客组织 APT-C-23 与 Two-Tailed Scorpion 后发现一起新网络间谍活动,涉及伪造巴勒斯坦绝密文件传播恶意软件 Kasperagent。 调查显示,黑客组织通过利用 Windows 恶意软件“Kasperagent” 和 “Micropsia” 以及安卓恶意软件 “SecureUpdate” 和“Vamp” 针对巴勒斯坦选举展开网络攻击行动,美国、以色列、埃及等国也纷纷受其影响。 今年 4、5月份,威胁情报机构 ThreatConnect 的安全专家在分析巴勒斯坦中东领土机构的伪造文件中发现数十个恶意软件 Kasperagent 样本,攻击者将恶意软件植入合法文件中并发布在众多新闻网站和社交媒体上。此外,攻击者为了诱导受害者打开文件,还利用政治敏感内容(诸如:暗-杀哈马斯军事指挥官马赞·福卡哈等重要领导人、禁止加沙地区巴勒斯坦政党法塔赫通行 之类)的虚假信息诱导受害者打开文件,从而自动下载恶意软件 Kasperagent。 分析显示,攻击者还能利用恶意软件 Kasperagent 作为侦察工具和下载器。安全专家从最近的恶意软件样本中还检测到部分额外功能,如从浏览器中窃取用户密码、截取屏幕信息与记录击键数据等。早期恶意软件 Kasperagent 变体使用 “ Chrome ” 作为用户代理,但近期则改用 “ Opaera ” ——可能由于拼写 “ Opera ” 浏览器错误导致。 调查显示,该起网络间谍活动的发起时间恰逢加沙地区政治局势日益紧张。ThreatConnect 观察到,黑客组织于近期使用的恶意软件托管在 IP 地址 195 [.]154 [.]110 [.] 237 上。该地址关联了四个域名,其中两个(upfile2box [.] com 与 7aga [.]net)由加沙地区的网络开发人员注册。目前研究人员尚未了解攻击者的真正意图,但他们推测此次网络间谍活动很有可能针对哈马斯、以色列或法塔赫党,而且巴勒斯坦地区也已成为黑客组织主要攻击目标。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国服装零售商 Buckle 商店支付系统感染恶意软件

据外媒 6 月 17 日报道,美国纳百川旗下服装零售商 Buckle 公司发布官方声明,证实其商店支付系统感染恶意软件。 网络安全专家 Brian Krebs 16 日上午收到金融界知情人士关于 Buckle 商店信用卡支付违规消息后,当即向该公司反馈信用卡数据或被泄露的情况。随后Buckle 公司立即展开深入调查,并聘请全球领先安全专家审查公司支付系统设备。 调查显示,网络犯罪分子在使用恶意软件捕获磁条数据、复制用户信用卡信息后,还迅速删除了入侵记录。虽然恶意软件于 2016 年 10 月 28 日至 2017 年 4 月 14 日期间就已存在窃取用户信用卡数据的迹象,但攻击者并未获取到用户社会保障号码、电子邮件地址或实际地址,buckle.com 网站在线销售业务和客户也暂未受到影响。 Buckle 公司表示,旗下所有零售店均配备了 EMV 智能卡终端系统,使用芯片卡支付的用户不会受到信用卡违规影响。目前,公司正积极配合专家进行取证调查,Buckle 公司表示,他们极其重视对用户信用卡数据的保护工作,任何可能受影响的个人都将收到银行提醒通知。此外,Buckle 公司建议用户密切留意个人信用卡账单,以防犯罪分子窃取资金。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新型 “无文件” 勒索软件 Sorebrect 可远程注入恶意代码进行文件加密

据外媒 6 月 16 日报道,安全研究人员近期发现一款新型 “无文件” 勒索软件 Sorebrect,允许黑客将恶意代码隐身注入目标系统中的合法进程(svchost.exe)并终止其二进制代码以规避安全机制检测,还能通过使用 wevtutil 删除受影响系统的事件日志阻碍取证分析。 勒索软件 Sorebrect 可利用 Tor 网络匿名连接至命令与控制(C&C)服务器中。与其他勒索软件不同的是,Sorebrect 专门针对各行(制造、技术与电信)企业系统注入恶意代码,以便在本地系统和共享网络中加密文件。 研究人员注意到,勒索软件 Sorebrect 首先通过暴力攻击等手段入侵管理员账户,然后利用 PsExec 命令控制系统实现文件加密处理。“虽然攻击者可以使用远程桌面协议(RDP)和 PsExec 在受影响的机器中安装 Sorebrect 恶意软件,但与使用 RDP 相比,利用 PsExec 更为简单”。趋势科技表示,PsExec 可使攻击者能够执行远程命令,而非使用交互登录会话或将恶意软件手动传输至远程机器设备。 调查显示,研究人员首次在中东国家 Kuwait 与 Lebanon 地区发现该勒索软件迹象。随后,他们于近期观察到加拿大、中国、俄罗斯与美国等国家系统也纷纷遭受勒索软件 Sorebrect 攻击。趋势科技安全专家建议用户限制 PsExec 权限、主动备份文件,实时更新系统与网络安全机制以防止黑客攻击。 原作者:Pierluigi Paganini,译者:青楚,译审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。