分类: 漏洞事件

“Zealot”行动揭秘:黑客组织利用 NSA 漏洞入侵 Windows 、Linux 服务器挖掘门罗币

据外媒 12 月 16 日报道,美国网络安全公司 F5 Networks  发现了一项利用 NSA 漏洞大量入侵 Linux 和 Windows 服务器同时植入恶意软件 “ Zealot ”来挖掘 Monero 加密货币的攻击行动。 黑客组织同时利用 NSA 漏洞入侵目标服务器 根据 F5 Networks 安全研究人员的说法,黑客组织使用两个漏洞扫描互联网上的特定服务器: 一个是用于 Apache Struts(CVE-2017-5638 — RCE 远程代码执行漏洞),另一个则是用于DotNetNuke ASP.NET CMS ( CVE-2017-9822 — DotNetNuke 任意代码执行漏洞)。  其中 Apache Struts (CVE-2017-5638)漏洞也是今年早些时候黑客组织利用来攻击美国金融巨头 Equifax  的同一个漏洞。 此外,亦有其他犯罪集团在今年 4 月份使用同一漏洞并将勒索软件安装在了使用 Struts  2 框架的服务器上,初步统计当时他们从中获利超过 10万美元。 在研究人员表示,若目标是 Windows 服务器,攻击者将会在服务器上部署 EternalBlue (永恒之蓝)和 EternalSynergy(永恒协作),这是今年早些时候由 Shadow Broker  “ 影子经纪人 ” 泄露的两个 NSA 漏洞,可利用于在用户本地网络中横向扩散、感染更多系统。随后,黑客组织使用 PowerShell 下载并安装最后一阶段的恶意软件,该恶意软件在攻击行动中充当 Monero 矿工的角色。而在 Linux 上,黑客组织则通过从 EmpireProject 后期开发框架中获取的 Python 脚本感染系统,并且也会安装同一个 Monero 矿工。 挖掘 Monero(门罗币)至少赚了 8500 美元 从收集到的 Monero 地址来看,黑客组织至少从此次攻击中获得了8500 美元。考虑到黑客组织很可能还使用了其他 Monero 钱包,这意味着他们获利金额会更高。有趣的是通过对恶意代码的分析,研究员们发现该黑客组织成员似乎是 StarCraft (星际争霸)游戏的忠实粉丝,因为行动中使用的许多术语和文件名都来自游戏,比如狂热者(Zealot)、观察者(Observer)、霸王(Overlord)、乌鸦(Raven)等。 不过 F5 专家们警告称, Zealot 的攻击活动运用了多级感染链、定制先进恶意软件 , 通过 NSA 漏洞进行横向扩散已经造成了巨大危害。而且黑客组织随时都有可能将最后阶段的 playload 更改为任何他们想要的东西,比如安装勒索软件而不是挖矿工具。 消息来源: BleepingComputer,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Google 研究人员在预装的 Windows 10 密码管理器中发现漏洞

谷歌安全研究员 Tavis Ormandy 之前报告并披露了 Windows 及其功能中的几个主要漏洞。近期他发现了一个影响微软用户的新安全漏洞。这一次,他发现预装在 Windows 10 的某些版本中的 Keeper 密码管理器中存在一些缺陷,这类似于他在2016年8月发现的漏洞。 Ormandy 在 12 月 14 日解释说:“我记得前一阵子提交了一个关于如何在页面中注入特权 UI的bug。我检查了一下,他们又用这个版本再次做同样的事情。虽然这不是 Windows 或者其他微软产品的安全漏洞,但是它确实暴露了 Windows 用户的细节,因为攻击者可以依靠 Keeper 窃取他们的密码。” Ormandy 也发布了一个盗取 Twitter 密码的工作 demo 来演示这个漏洞,并解释说:“这是一个完全妥协的守门员安全,允许任何网站窃取任何密码。微软表示在 Ormandy 的帖子后不久就知道这个问题,并解释说应用程序的更新正在进行中。一位公司发言人说:我们知道这个第三方应用程序的报告,而开发者正在提供更新以保护客户。 Keeper 密码管理器的开发公司已经认识到这个漏洞,并且发布了对版本 11.4.4 的更新来解决它。该公司表示,这个漏洞只能通过将用户引导到利用该缺陷的特制网站来利用,因此,在修补应用程序之前,远离可能对用户电脑构成威胁的链接是一种保持安全的简单方法。 该公司解释说:“这个潜在的漏洞要求 Keeper 用户在登录到浏览器扩展中时被诱骗到恶意网站,然后通过使用 “clickjacking” 技术来欺骗用户输入,以在浏览器扩展中执行特权代码。尽管 Windows 操作系统本身并不存在这个缺陷,但它再一次提出了微软将软件推向用户的策略,这个策略可能暴露出他们的数据。目前尚不清楚谁是 Keeper 预先安装的捆绑交易一部分,但好的一面是,用户可以卸载禁用这款软件。 稿源:cnBeta,封面源网络;编辑:青楚

SSL VPN 客户端程序 FortiClient 访问控制缺陷暴露用户加密证书

据外媒报道,美国证券交易委员会安全实验室(SEC Consult))近期发现用于登录 Linux、Mac OSX 和 Windows 的客户端程序 FortiClient 由于将加密的 VPN 身份验证证书存储在不安全的位置,导致已获得登录权限的攻击者能够通过存有登录凭据的同一服务器获取到其他员工的加密证书,造成严重安全问题。SEC Consult 将这一问题评为 “高危漏洞 ”,而 Fortinet 官方则将其风险评级定为 4 / 5。 FortiClient 是一个基于客户端的软件解决方案,为台式机和笔记本电脑提供了一系列的安全功能。当与 FortiGate 设备连接时,FortiClient 提供 IPsec 和 SSL 加密、广域网优化、终端合规和双因子认证。(编者注) 以下是关于 FortiClient 产品两个漏洞的简单描述: 第一个问题与 VPN 凭证存储在( Unix、Linux 或 Mac OSX 上的)配置文件或( Windows 上的)注册表中,这意味着攻击者可以轻松访问配置文件。 第二个问题与应用程序对证书的解密密钥进行硬编码有关,几乎所有的Fortinet安装都是一样的,这也导致攻击者能够轻易找到解密方式。 SEC 解释称: 虽然 VPN 身份验证证书是经过加密的,但仍然可以恢复。因为解密密钥在程序中是硬编码的, 且在所有安装中都相同。最重要的是,前面所提及的存储是可读的,这实际上为证书的恢复奠定了基础。 这些漏洞非常隐蔽,特别是在企业环境中,具有有效域证书的内部人员可以收集所有其他 VPN 用户的证书并获得对其域用户帐户的访问权限。 目前,SEC 已经开发完成并计划在近期发布概念验证( PoC )工具,以帮助用户恢复密码。根据 Fortinet 官方的说法,该漏洞能够影响的版本包括: 1、Windows 和 Mac系统上的 FortiClient 5.6.0 及早期版本 2、Linux 系统上的 FortiClient 4.4.2334 及早期版本 Fortinet 产品的 Android 和 iOS 应用程序暂未受到漏洞影响。Fortinet 官方已为 FortiClient 提供了安全更新以便修复这一严重漏洞。Windows 和 Mac 上的 5.6.1 版本、Linux 上的 4.4.2335 版本可以更新至最新的 FortiOS 5.4.7 版本解决问题。 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“ROBOT”攻击:RSA TLS 加密攻击影响 Facebook、PayPal 等数以百计的顶级域名

据外媒报道,相关安全专家在一些科技巨头和开源项目的软件中发现 TLS 网络安全协议存在一个 19 年之久的漏洞,能够影响全球许多软件( 如 Facebook 和 PayPal),以至于黑客组织可以窃取机密数据,包括密码、信用卡数据和其他敏感细节等。 安全专家介绍,RSA PKCS#1 v1.5  加密的缺陷影响了前100个网络域名中的27个服务器,黑客组织可以利用其加密或者解密通信。安全专家把这种缺陷称为 ROBOT 攻击(Bleichenbacher’s Oracle Threat)—— 一种允许使用 TLS 服务器的私钥进行 RSA 解密和签名操作的攻击技术 。 据悉,ROBOT 攻击可以让黑客组织在不恢复服务器私钥的情况下解密 RSA 密文,并且可以反复查询一个易受攻击的 TLS 堆栈实现的服务器 ,从而执行密码分析操作。这些操作可能会解密以前捕获的TLS 远程连接信息。 若想要利用 ROBOT 攻击,黑客组织者必须能够执行以下两项操作:  1、捕获客户端和受影响的 TLS 服务器之间的流量。 2、建立相当数量的 TLS 到易受攻击的服务器的连接。实际的连接数量因实现特定的漏洞而有所不同,大约范围在数十万到数百万。 幸运的是,ROBOT 攻击仅影响排名前一百万网站中的 2.8% ,这么小的数值是因为受影响的库主要用于昂贵的商业产品,而这些产品常被用于加强对热门网站的安全控制。( XML Encryption、 PKCS#11 interfaces、 Javascript Object Signing 和 Encryption (JOSE)、 以及 Cryptographic Message Syntax / S/MIME.也存在类似的问题。 ) 资料显示,早在 1998 年,安全专家 Daniel Bleichenbacher 就发现,SSL 服务器给 PKCS#11.5 填充的错误信息提供了一个能够自主选择的密文攻击,此攻击与 RSA 加密一起使用时会彻底破坏 TLS 的机密性。所以即使现在攻击出现了一些细微变化,但仍然可以用于如今互联网上的许多 HTTPS 主机。其原因主要是因为当时制定的缓解策略不够,许多软件供应商没有提供正确的保护措施。以至于时隔多年,相关研究人员还在研究应对 ROBOT 攻击的有效措施。安全专家称, ROBOT 攻击在当时未得到根本解决的主要原因是由于协议设计者在 1999 年决定使用一种不安全的技术,而不是像 Bleichenbacher 在 1998 年推荐的那样使用安全的技术。 为了进一步确认 ROBOT 攻击 ,安全专家通过使用 facebook.com 的 HTTPS 证书的私钥签名信息息来展示其攻击实际的效果。 根据科技巨头的说法,Facebook 在其易受攻击的服务器上使用 OpenSSL 补丁版本,而这个问题是由公司定制补丁导致的。 幸好 Facebook 在  ROBOT 攻击文件披露之前修补了服务器,否则黑客组织可以访问目标的网络流量,并且利用 KRACK 攻击来获取 Wi-Fi 连接的位置。由此可见,ROBOT 攻击的影响非常严重,黑客组织可以窃取机密的数据(包括密码、信用卡数据和其他敏感细节。) 目前,一些供应商已经修复此缺陷,下面的列表包括已经可用的补丁: F5 BIG-IP SSL vulnerability CVE-2017-6168 Citrix TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway CVE-2017-17382 Radware Security Advisory: Adaptive chosen-ciphertext attack vulnerability CVE-2017-17427 Cisco ACE End-of-Sale and End-of-Life CVE-2017-17428 Bouncy Castle Fix in 1.59 beta 9, Patch / Commit CVE-2017-13098 Erlang OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7 CVE-2017-1000385 WolfSSL Github PR / patch CVE-2017-13099 MatrixSSL Changes in 3.8.3 CVE-2016-6883 Java / JSSE Oracle Critical Patch Update Advisory – October 2012 CVE-2012-5081   据相关人士透露,安全专家已经发布一个 Python工具,用于扫描易受攻击的主机,以便用户可以检查自己的 HTTPS 服务器是否受到 ROBOT 攻击。安全专家表示,对于旧漏洞,现有 TLS 实现的测试还不够充分。随着时间的推移,TLS 标准对 Bleichenbacher 攻击的对策变得越来越复杂。 只要在旧的TLS版本上保留 RSA 加密兼容密码套件,这些攻击仍然是一个问题。所以为了确保 Bleichenbacher 攻击最终得到解决,安全专家建议弃用 TLS 中的 RSA 加密密钥交换和 PKCS#1 v1.5 标准。 消息来源: SecurityAffairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基反病毒引擎导致 Windows 10 秋季创意者更新蓝屏死机

尽管遭到了美国和英国的大量批评,但卡巴斯基反病毒软件在全球市场的地位依然不可动摇。但是对于 Windows 10 用户来说,最新的 “ 秋季创意者更新 ” 却与卡巴斯基的反病毒引擎有些 “ 水火不容 ”。据外媒报道,自本月初以来,一些 Windows 10 用户遇到了蓝屏死机的问题,而肇事者被认定为《卡巴斯基互联网安全套件》(KIS 2018 版本)。 BornCity 指出,早期问题报告指其与 Windows 10 build 16299.98 有冲突,而这也是当时最新的 OS 版本(打上了 KB4051963 增量更新包)。 尽管此前有不少因为增量更新闹出的幺蛾子,但这个 Windows 10 增量更新包,显然不该为本次蓝屏死机事件负责(据说 Windows 7 也遇到了类似的问题)。 通过进一步调查,本次 BSOD 可以锁定是 “ classpnp.sys ” 和 “ klbackupdisk.sys ”(卡巴斯基实验室卷过滤驱动)这两个系统文件导致。 虽然没有特定的模式和清晰的理由,但据说在运行 Mozilla Fire 和 Google Chrome 之类的浏览器的时候,随机触发该 BSOD 错误的概率很高。 当前微软和卡巴斯基方面均未表态,万幸的是已经有一个 beta 版的修复补丁可以暂时顶上,而 18.0.0.405(e) 则是首个已包含该补丁的版本。 有需要的人们可以手动尝试安装,或者暂时换用其它安全软件,直到卡巴斯基在不久的将来正式解决该问题。 稿源:cnBeta,封面源自网络;

多数编程语言存在安全漏洞:或攻击其语言开发的应用程序

据外媒 12 月 10 日报道, IOActive 的高级安全顾问 Fernando Arnaboldi 于 12 月初在 2017 Black Hat 欧洲安全会议上发表了一篇有趣的研究报告:多数流行的编程语言存在严重的缺陷,可能会攻击其语言开发的任何安全应用程序。 该研究是为了探索安全开发的应用程序受到底层编程语言中未知漏洞的影响。相关人士透露,Arnaboldi 使用 fuzzing 软件测试技术分析了最流行的编程语言( JavaScript、Perl、PHP、Python 和 Ruby )。Fuzzing 或 fuzz 测试是一种自动化的软件测试技术,它包括为计算机应用程序提供无效、意外或随机的数据。获得数据后,研究人员会监视类似崩溃或失败的内置代码断言之类的异常,或者是寻找潜在的内存泄漏。据悉,Google 专家就曾使用这种技术发现了流行软件 OpenSSL 和 Linux 组件中的许多缺陷。 下面是研究人员用 fuzzing 技术测试的编程语言列表。 Arnaboldi 开发了一个定制的 “ 微分fuzzer ”  XDiFF ( 扩展差分 Fuzzing 框架),专门用于测试编程语言的结构。研究人员将 XDiFF 发布为 GitHub 上的开源项目。此外,研究人员还确定了大部分的基本功能,并使用 XDiFF fuzzer 进行了测试。在执行之前,fuzzer 通过在函数和有效载荷之间进行排列来生成所有可能的测试用例,测试用例将当时编程语言的一个功能与不同的有效载荷结合在一起,以便于暴露编程语言中的漏洞。 Arnaboldi 表示,漏洞的发现完全取决于能否选择正确的输入。在这个测试中,使用了少于30个原始值(比如数字,字母等)与特殊有效载荷相结合,并且定义这些特殊的有效载荷,以便于帮助识别软件何时访问外部资源。 Arnaboldi 用 fuzzer 分析了所有编程语言中的严重漏洞,有以下问题: ○ Python 包含可用于 OS 命令执行的无记录的方法和本地环境变量。 ○ Perl 包含一个可以像 eval()那样执行代码的类型映射函数。 ○ NodeJS 输出可以泄露部分文件内容的错误消息。 ○ JRuby 加载并执行远程代码的功能不是为远程代码执行而设计的。 ○ PHP 常量的名称可以用于用来执行远程命令。 Arnaboldi 表示,软件开发人员可能在不知情的情况下将代码包含在应用程序中,而这些代码可能以开发者没有预见到的方式使用,以至于对安全开发的应用程序构成了风险。假设这些漏洞并不是恶意造成的,那么可能是因为错误或试图简化软件开发的结果。而这个结果会影响到解释器解析的常规应用程序。因此,研究人员建议,在重要的生产环境中,应该优先排查或修复程序语言解释器的安全隐患。 消息来源: Security Affairs ,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

预警 | Android 高危漏洞可被绕过签名验证机制、注入恶意代码替换合法 APP

据外媒报道,谷歌上周修补了四十多个安全漏洞,其中一个高危漏洞允许黑客绕过签名验证机制向 Android 应用程序注入恶意代码,以便恶意版本能够覆盖智能手机上的合法应用程序。目前,有数以百万计的 Android 设备面临着漏洞造成的严重风险。 这个被称为 Janus 的漏洞由 GuardSquare 公司首席技术官 Eric Lafortune 在今年夏季发现,他于 7 月份向谷歌报告了这个漏洞 ( cve -2017- 13156 ),谷歌 12 月初发布的 Android 安全公告中显示,该漏洞在上周四已被修补。 Android Janus 漏洞工作方式 研究显示,这个漏洞驻留在 Android 系统为一些应用程序处理 APK 安装的方式中,使得开发者可在 APK 文件中添加额外的字节代码而不影响应用程序的签名。通过研究发现,由于缺少文件完整性检查,这种添加额外字节的代码的情况将允许黑客以 DEX 格式编译的恶意代码添加到包含具备有效签名的合法 APK 中,以便在目标设备上执行恶意代码而不被发现,便于欺骗程序安装过程。换句话说,黑客并不需要修改合法应用程序本身的代码(使签名无效),而是利用这个漏洞向原始应用程序添加一些额外的恶意代码行即可。 当用户下载应用程序的更新时,Android 会在运行时将其签名与原始版本的签名进行比较。如果签名匹配,Android 系统将继续安装更新程序,更新后的应用程序继承原始应用程序的权限。因此,一旦安装了受感染的应用程序,黑客将拥有与原应用程序相同的系统权限。这意味着黑客可能窃取银行证书、读取消息或进一步感染目标设备。 攻击场景 黑客可以使用各种媒介(如垃圾邮件、提供虚假应用程序和更新的第三方应用程序商店、社会工程,甚至是中间人攻击)传播包含恶意代码的“合法的应用程序”。GuardSquare 公司表示,从银行应用程序、游戏到 Google 地图等都可能成为 Janus 漏洞利用者的目标。此外,从第三方应用程序商店下载的 Android APKs,比如社交媒体或者系统应用程序等也可能成为攻击目标。 修补方式 虽然目前谷歌已经修补了 Janus 漏洞,但在设备制造商(OEM)为其发布自定义更新之前,大多数 Android 用户的系统漏洞都将无法获得修复,显然大量智能手机用户还是很容易受到黑客的攻击。 GuardSquare 称,受影响的是运行比 Nougat(7.0)更早的 Android 操作系统版本以及任何支持 APK 签名方案 v1 的   Android 设备。由于此漏洞不会影响支持 APK 签名方案版本 2 的 Android 7( Nougat )和最新版本,因此强烈建议运行较旧 Android 版本的用户升级其设备操作系统。但如果你的设备制造商既没有提供安全补丁,也没有最新的  Android 版本,那么你就应该时刻保持警惕,尽量不要在谷歌的 Play Store 之外安装应用程序和更新,以最大限度地降低被黑客攻击的风险。 此外,GuardSquare 还建议,为了安全起见 Android 开发人员需要应用签名方案 v2,以确保他们的应用程序不能被篡改。 消息来源:thehackernews、threatpost,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。      

汇丰等知名银行 APP 存在关键漏洞,或致数百万用户易遭黑客中间人(MitM)攻击

HackerNews.cc 12 月 7 日消息,英国伯明翰大学的安全研究人员 Chris McMahon Stone、Tom Chothia 和 Flavio Garcia 近期在佛罗里达州奥兰多举行的 2017 计算机安全应用会议 上发表了一篇学术论文,宣称他们通过测试数百款 iOS 与 Android 设备的不同银行应用程序中发现多家知名银行的主要移动应用程序均存在一处关键漏洞,可导致数百万用户的银行凭证易遭黑客中间人(MitM)攻击,其中受影响的银行包括爱尔兰联合银行、Co-op、汇丰银行、NatWest 和桑坦德银行等。 调查显示,即使该移动银行应用程序使用了 SSL pinning 功能,黑客也可通过该漏洞连接至与受害用户同一网络后拦截 SSL 连接,并检索用户银行凭证(例如:用户名与密码等)。 SSL pinning 提供了一种额外的防止中间人攻击的保护措施,通过证书锁定达到有效规避黑客使用不可信证书查看并操控用户网络流量的行为。然而,一旦认证机构(CA)错误签发不信任证书,就有可能允许攻击者在其目标应用程序中进行中间人攻击。此外,由于缺少针对主机名的验证导致多数银行应用程序面临黑客攻击的风险,因为它们无法检查银行应用程序连接 URL 的主机名与服务器公开的数字证书的主机名是否匹配。 知情人士透露,研究人员特意开发了一款新型自动化检测工具 Spinner,能够在数百款银行应用程序中快速检测漏洞,而无需购买证书。 Spinner 工具主要通过 Censys IoT 搜索引擎在证书中查找不同备用主机证书链后,将来自应用程序的流量重定向至具有相同 CA 证书签名的网站。如果连接失败,那么就会知道应用程序检测到错误的主机名;而如果连接成功建立并且客户机在连接失败之前传输了加密的应用程序数据,则应用程序已接受主机名并极易遭受攻击。 目前,研究人员已经与国家网络安全中心(NCSC)合作,通知所有受影响银行尽快解决问题,以避免造成客户信息与财产的损失。 消息来源:Security Affairs,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Process Doppelgänging 新型攻击技术 Bypass 多款主流杀软

12 月 8 日在 BlackHat 2017 欧洲(伦敦)会场上,来自 Ensilo 的安全研究人员介绍了一种名为 Process Doppelgänging 的新型代码注入技术,能够成功绕过多数杀毒软件和安全软件,从 Windows Vista 到最新版本的 Windows 10,几乎所有 Windows 版本中都可以运行 Process Doppelgänging 技术。 Bypass 多数杀毒软件 研究人员进行的测试结果显示,Process Doppelgänging 技术能够成功 Bypass 多家杀毒软件,如 Windows defender、AVG、卡巴斯基、Avast、360、McAfee 等。同时,研究人员表示使用 Process Doppelgaynging 技术运行著名的密码窃取实用程序 Mimikatz 也都没有被检测出,也说明该技术能够规避大多数防病毒软件的检测。 新型无文件攻击手法 据演讲者介绍,该技术是一种无文件的代码注入方法,利用了一个内置的 Windows 函数和一个未经注册的 Windows 进程加载程序实现攻击。研究显示,Process Doppelgienging 与另一种称为 Process Hollowing 的技术相似,但后者依赖于 Windows NTFS 事务处理机制,攻击者可以借助 Process Hollowing 技术,在内存中使用恶意代码代替合法进程,从而规避安全软件。目前所有的现代安全软件都能够检测到 Process Hollowing 技术的攻击,然而 Process Doppelgienging 利用的是 Windows NTFS 事务处理机制以及一种为 Windows XP 设计的老式 Windows 进程加载器进行攻击,能够成功避开多数防病毒软件检测。 来自 Ensilo 的安全研究人员 Tal Liberman 和 Eugene Kogan在会场上演示了这一过程。他们将 Process Doppelgänging 无文件攻击分为四个步骤: 1、处理 -将一个合法的可执行文件转换为 NTFS 事务,然后用恶意文件覆盖它。 2、加载 -从修改的(恶意)文件中创建一个内存段。 3、回滚-回滚事务(故意使事务失败),从而导致合法可执行程序的所有更改以一种从未存在的方式被删除。 4、推动 – 使用旧的 Windows 进程加载器来创建一个具有先前的内存段的进程(在第 2 步中),这实际上是恶意的,从来没有保存到磁盘,这将使它在大多数记录工具如现代的 EDRs 中不可见。 安全专家表示,该技术旨在允许恶意软件在目标机器上的合法进程中运行任意代码(包括已知的恶意代码),虽然非常类似于 Process Hollowing,但带有新颖的转变。Process Doppelgänging 的挑战是不使用类似 SuspendProcess、NtUnmapViewOfSection 这样的可疑进程和内存操作。 为完成挑战,安全研究人员利用了 NTFS  Transaction,并在事务的上下文中覆盖了一个合法的文件。随之,从修改后的文件( 事务的上下文 )中定义了一个部分并从中创建了一个进程。此外,研究人员发现,在事务中扫描文件是他们迄今为止检查的供应商不可能做到的,而且由于回滚事务,活动并没有留下任何痕迹。 NTFS Transaction 是 Windows 的一个特性,用于将事务整合到 NTFS 文件系统中,使应用程序开发人员更容易处理错误并保持数据完整性,还可以管理文件和目录。并且 NTFS Transaction 也是一个独立的空间,允许 Windows 应用程序开发人员编写文件输出例程,而这些例程的结果可以重构为失败或成功的状态。 几乎 “秒杀”  所有 Windows 版本 研究人员Liberman 表示,Process Doppelgienging 技术即使在最新版本的 Windows 10 上也能够运行,除了今年早些时候发布的 Windows 10 Redstone 和 Fall Creators Update 之外,因为在这些后来的版本中,Process Doppelgienging 攻击触发了蓝屏死机( BSOD )。幸运的是,由于需要知道关于进程创建时大量无事实证明的细节,所以在处理 Process Doppelgänging 攻击方面具有技术挑战性。然而坏消息是,因为利用了 Windows 系统的基本特性和过程加载机制的核心设计,所以攻击并不能修补。 更多阅读:BlackHat Europe 2017 ( 12 月 6 日– 7 日简报) 消息来源:Security Affairs,编译:榆榆,译审:青楚、FOX,终审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

邮件地址解析存在 MailSploit 漏洞,影响 33 个邮件客户端

近日,德国安全研究员 Sabri Haddouche 发现了存在于 33 个邮件客户端中的多个漏洞,可以让任意用户伪造身份发送欺诈邮件并绕过反欺诈保护机制(如 DMARC 等)和多种垃圾邮件过滤器。Sabri 把这些漏洞统称为 MailSploit 漏洞,主要影响 Apple Mail(macOS、iOS、watchOS)、Mozilla Thunderbird、 部分 Microsoft 客户端、Yahoo Mail、ProtonMail 等。 通过 MailSploit 漏洞,黑客可以利用邮件客户端和 web 交互页面对“ From ”头的字符编码方式进行恶意攻击。大量邮件客户端会采用 RFC-1342 编码字符串,并解码为非 ASCII 字符,但随后不会清洁检查是否存在恶意代码。 DMARC 并没有遭受直接攻击,而是利用客户端展示邮件发送人的名称被绕过了。服务器仍然会正确验证原始域名而非欺骗性域名的 DKIM 签名。这就导致在目前情况下欺骗性邮件实际上是无法阻止的。此外,利用 MailSploit, 攻击者甚至还能在计算机上执行代码。 稿源:BUF早餐铺、TheHackerNews,封面源自网络;