分类: 黑客事件

Pwn2Own 2018:黑客成功入侵 Safari 浏览器

本周三举行的年度 Pwn2Own 黑客大赛上,趋势科技举办的 Zero Day Initiative(ZDI)活动上,有两起针对苹果 Safari 浏览器的攻击,其中一次取得了成功。根据博客分享的细节,来自 phoenhex 的 Samuel Groß 利用包含 macOS 提权漏洞的三个 BUG 链成功入侵了 Safari。 根据官方新闻稿提供的细节,这个漏洞还能对 MacBook Pro上TouchBar 的文本进行篡改。凭借着这个 BUG 链,Groß 成功的获得了 6.5 万美元,并以 6 分的成绩获得了梦寐以求的“ Master of Pwn ”头衔。 去年 11 月举办的 Mobile Pwn2Own 大会上,曾经利用两个 Safari BUG 绕过 iPhone 7 安全协议的 Richard Zhu 在本次大会上尝试利用 Safari 漏洞发起攻击的。但是遗憾的是,在本届 Pwn2Own大 会上,Zhu 无法在规定的 30 分钟时间内从沙箱中逃脱。 不过,Zhu 成功利用 Windows 内核 EoP 破解了微软 Edge,使用了两个 UAF 漏洞和整数一处漏洞。Groß 的 phoenhex 队友 Niklas Baumstark 成功对 Oracle VirtualBox 发起攻击。 稿源:cnBeta,封面源自网络;

币安网发全球通缉令,25 万美元等值赏金追缉黑客

2018 年 3 月 7 日深夜,币安网发生的黑客攻击事件,想必大家都历历在目。大量账户比特币被换成垃圾币,神秘 VIA 币价格暴涨,而比特币等主流货币一夜之间均大幅下跌(虽不一定这件事为主因),这场蓄谋已久的黑客行动引发了不少人的担忧。 于是,2018 年 3 月 11 日晚,币安网正式下发通缉令,25 万美元等值赏金全球追缉黑客。、 币安网黑客通缉令全文如下: 为确保建立一个安全稳定的数字货币社区,除了建立严格的风控系统外,我们还需要积极的预防任何黑客事件的发生,并在事件发生后进行追查。在 3 月 7 日的事件中虽然黑客对 Binance 的攻击并没有成功,但很明显这是一次大规模并且有组织的行动。 如果您能将 2018 年 3 月 7 日企图攻击 Binance 的黑客绳之以法,并提供对应的法律证据,我们将奖励 25 万美元的等值赏金作为感谢。 1. 第一个报警并让黑客在任何国家被合法逮捕的重要信息的人经确认后,将获得 25 万美元等值的 BNB,汇率按转账时市场价。 2.请您将详细信息和证据提交到 bounty@binance.com 及您当地的执法机构(警察部门),黑客被逮捕后,我们将尽快为您转入赏金,如果您当地的法律允许,您可以使用匿名。 3. 如果黑客最终的法律制裁源于多方信息,则赏金将会被平分;Binance 将对赏金的分配保留所有权,分配方式由平台综合判断决定。 此外,Binance 决定拿出 1000 万美元等值的数字货币作为未来的悬赏储备金,抵制对B inance 的任何非法黑客攻击。我们也邀请了其他数字货币交易平台和公司加入我们的联盟。 保护您的资金安全是我们的最重要的任务! 值得关注的是,除了针对此次黑客攻击事件,币安网拿出地 25 万美元等值币安币赏金之外,还有 1000 万美元等值数字货币作为未来的悬赏储备金。 经历这次事件之后,币安网以及其他数字货币交易所显然会更加注重安全建设,同时也针对黑客采取一定的威胁震慑手段。 币安黑客事件历史报道: 比特币遭遇跳崖式暴跌,来看黑客导演的这场烧脑大片 稿源:freebuf,封面源自网络;

知名杀毒巨头迈克菲:朝鲜加密货币黑客攻击范围蔓延到传统金融系统,土耳其首当其冲

近日,杀毒巨头迈克菲(McAfee)发布了一份报告,其中发现土耳其金融行业最近遭受的网络攻击可能和朝鲜黑客有关,不仅如此,迈克菲安全威胁高级研究小组还发现,本次企图破坏土耳其政府支持的金融机构的非法组织,可能是朝鲜加密货币黑客集团 Hidden Cobra (又名 Lazarus)。 虽然迈克菲没有给出明确指出黑客名称,但他们在报告中提到,本次攻击土耳其金融机构的黑客代码与朝鲜加密货币黑客手中的代码非常相似。 据悉,黑客使用的是一个被称为“ Bankshot ”的修改版恶意软件,利用了最近 Adobe Flash 软件中发现的漏洞,攻击者尝试使用一个感染了病毒的 “ Agreement.docx ”微软Word 文件,然后包含在一封钓鱼电子邮件中引诱受害者。 Bankshot 恶意软件代码所来自的域名,和加密货币借贷平台 Falcon Coin 很相似,不过恶意网站域名 falcancoin.io 是在 2017 年 12 月 27 日窗帘的,因此从法律角度上,其实和原平台没有关联。 截至目前,本次攻击还没有被披露有任何资金损失。不过迈克菲安全威胁高级研究小组认为,这次黑客袭击的主要目的是为了远程访问政府控制的金融机构内部系统,但他们也没有对外披露哪些政府机构受到本次攻击的影响。 不仅如此,迈克菲安全威胁高级研究小组在恶意软件中还发现了两份用韩语编写的文件,虽然攻击的目标不一样,但或许能够从中看出是同一黑客所做。 回到 2017 年 12 月,美国政府在那时就已经针对 Bankshot 恶意软件发布了风险经过,而且指出该恶意软件和黑客组织 Hidden Cobra 有关。当时,美国政府表示该黑客组织是为朝鲜政府工作的。韩国曾多次指责朝鲜黑客攻击该国的加密货币交易所,目前针对朝鲜的国际制裁也已经超过了一年时间。 稿源:转载自 36Kr,原文翻译自 coindesk.com,译者:36cup。封面源自网络。

俄罗斯 Group-IB 联合多家安全公司协助乌克兰警方取缔 DDoS 犯罪团伙

外媒 3 月 8 日消息,网络安全公司 Group-IB 联合其他企业共同协助乌克兰警方取缔一个在全球发起众多勒索事件的 DDoS 犯罪团伙。据悉,该团伙参与 DDoS 攻击和勒索的时间长达两年之久。 Group-IB 的调查行动从 2015 年 9 月开始,其安全人员在调查中发现该犯罪团伙曾对国际在线交友服务网站 AnastasiaDate 发起了 DDoS 攻击,造成 AnastasiaDate 的网站被迫关闭了几个小时,随后犯罪人员以停止攻击为条件威胁该网站支付 1 万美元的赎金 。除此此外,该团伙还针对一些在线商店、支付系统以及提供博彩、彩票和博彩服务的网站发起 DDoS 攻击。例如乌克兰欺诈案的受害者(包括美国公司租赁数据中心和托管设施 Stafford Associated、以及 PayOnline 在线支付服务)。 目前 Group-IB 的网络安全专家已经确定了该犯罪团伙并将其与两名乌克兰人 Gayk Grishkyan 和 Inna Yatsenko 联系起来。据悉,两名 DDoS 犯罪团伙成员对其罪行供认不讳,将会被判处有期徒刑 5 年。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Memcached DDoS 反射攻击创下 1.7Tbps 流量峰值纪录

外媒 3 月 6 日消息,继 Github 在上周遭受了流量速度为 1.3Tbps 的分布式拒绝服务(DDoS)攻击后,网络安全监控公司 Arbor Networks 证实美国一家服务提供商也面临着流量峰值高达 1.7Tbps 的反射/放大攻击。 虽然此次 1.7Tbps 事件与上周 GitHub 发生的 DDoS 攻击类似,但其带宽因使用了英特网上数千台暴露以及错误配置的 Memcached 服务器而被放大了 51,000 多倍。 据悉,在 GitHub 事件发生之后,其客户收到了敲诈邮件,威胁他们购买 50 枚价值超过 15,000 美元的 XMR( Monero )。目前 thehackernews 的文章中并未写明此次事件是否会有勒索赎金的情况出现。 Arbor Networks 表示,虽然反射/放大攻击并不新鲜,然而,最新的攻击媒介已经演变成了数千个错误配置的 Memcached 服务器,其中许多服务器目前仍然暴露在互联网上,可能会被利用来针对其他目标发起大规模的攻击。 Arbor Networks 预计未来几天会出现更多此类攻击事件。因此,为了防止 Memcached 服务器被滥用为反射器,Arbor Networks 敦促用户安装防火墙,并限制只能从本地网络访问 memcached 服务器。此外,管理员还应该考虑避免外部流量通过 memcached 使用的端口(例如默认使用的 11211 端口), 并及时阻止或限制 UDP ,如果非必要的话,最好能够完全禁用 UDP 支持。 消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

开源分布式内存缓存系统 Memcrashed 被利用发起 DDoS 放大攻击,峰值竟达 500 Gbps

外媒 2 月 27 消息,Cloudflare 和 Arbor Networks 公司于周二警告称,恶意攻击者正在滥用 memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。 memcached 是一个高性能的分布式内存对象缓存系统,用于动态 Web 应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。此外,客户端可以通过端口 11211 上的 TCP 或 UDP 与 memcached 服务器进行通信。 在此次(DDoS)放大行动中,攻击者使用与受害者 IP 相匹配的假冒 IP 地址,将请求发送到端口 11211 上的目标服务器。虽然攻击者发送到服务器的请求仅仅只有几个字节,但其响应却比正常的要高出数万倍,这种情况可能会带来严重的攻击行动。 Cloudflare 认为攻击者显然是在滥用已启用 UDP 的无保护的 memcached 服务器。这些服务器来自世界各地,但主要是在北美和欧洲范围内,目前大部分服务器由由 OVH,DigitalOcean 和 Sakura 托管。 目前 Cloudflare 观察到的最大的 memcached DDoS 攻击峰值为 260 Gbps,但 Arbor Networks 称其发现的攻击峰值已达到 500 Gbps,甚至可能还会更高。Arbor Networks 指出,这些攻击中使用的查询类型也可以针对 TCP 端口 11211,但由于 TCP 查询不能真实被欺骗,因此该协议被滥用的可能性并不高。 根据 CDN (内容交付网络)监控的攻击数据来看,目前大约有 5700个与 memcached 服务器相关的 IP 地址,但专家预计未来会发现更大的攻击,因为 Shodan 显示了将近 88,000 个开放式服务器。目前大部分暴露的系统是在美国,其次是中国和法国。 Cloudflare 建议在非必要的情况下禁用 UDP 支持,并提醒系统管理员确保他们的服务器不能从 Web 访问。另外,互联网服务提供商(ISP)也可以通过修复易受攻击的协议和 防止 IP 欺骗来帮助减少这种或者其他类型的放大攻击。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客突然归还 20000 以太币给 Coindash 到底是怎么回事?

上周五( 2 月 23 日),Coindash 通过其官方博客宣布,在格林威治时间凌晨 12 点 41 分(北京时间 8 点 41 分),该公司的钱包收到 2 万个黑客退回的以太币。去年 7 月,黑客篡改了 Coindash 的存储地址,然后从 ICO 的投资者那里盗取了大约 3.7 万个以太币,当时的价值约为 1000 万美元。目前返回 Coindash 的 2 万以太币代币价值约 1700 万美元。 该交易是黑客第二次将资金退还给 Coindash。在 2017 年 9 月 19 日,1 万个以太币代币被退回到 Coindash 的以太坊钱包,价值等同于约 300 万美元。 具有讽刺意味的是,去年 Coindash 遭受的黑客攻击,当时被形容为 “ 对我们的贡献者和我们的公司造成了破坏性的事件 ”,现在看来,对该公司在资本价值上的大幅增长具有促进作用。在最近的一次交易之后,黑客两次归还的 3 万个以太币的价值总和相当于大约 2000 万美元——或者是其被盗时的资产价值的两倍。 Coindash 的首席执行官 Alon Muroch 发表了一份声明,称“与黑客本身类似,黑客的行动不会阻止我们实现我们的愿景,Coindash 产品的发布将于下周如期进行。” Coindash 的产品发布会定于 2 月 27 日举行。 Coindash 的博客指出,该公司就黑客的退还行为“ 通知了以色列的反网络恐怖组织 ”,并说“ 黑客的以太坊地址将继续被跟踪和监控,以应对任何可疑的活动。” 稿源:外汇网,封面源自网络;

黑客组织对 Linux 系统发起 SSH 暴力攻击以部署 Chaos 后门

外媒 2 月 23 日消息,研究人员发现黑客组织正在对使用弱密码保护的 Linux 系统发起 SSH 暴力攻击,以部署一个名为 Chaos 的后门。据悉,该后门可能会被野外攻击者用于全球范围内 Linux 服务器。 根据 GoSecure 专家的说法,Chaos 后门其实是 “ sebd ” Linux rootkit 的组件之一,该组件早在2013 年就已被使用。 由于 Chaos 后门不依赖于任何漏洞攻击,所以 GoSecure 的研究人员认为它并不复杂。而且该后门也并不先进,因为只是管理员无法为其服务器设置强密码而已。但 Chaos 后门存在一个巧妙的优势,它在端口 8338 上打开了一个原始套接字,并在其上侦听命令。 GoSecure 的专家表示: “ 比较好的防火墙都会阻止传入的数据包进入任何未被明确开放的端口。但是,使用原始套接字的 Chaos 却可以在运行现有合法服务的端口上被触发。” 那么要如何检查用户系统是否受到感染呢?相关专家建议以 root 身份运行 netstat –lwp 来检测。此外,由于 Chaos 不是单独出现,而是至少有一个具有远程代码执行能力的 IRC Bot,因此 GoSecure  建议受感染的主机从一个可靠的备份中重新安装,并提供一组新的凭据。 详细分析报告: 《 Chaos:被盗后门再次崛起 》 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客正在销售合法的代码签名证书

安全研究人员报告,黑客正在销售合法的代码签名证书去签名恶意代码绕过恶意程序检测。流行的操作系统如 Mac 默认只允许运行使用有效签名的应用。黑客或恶意程序作者为了绕过恶意程序检测通常会利用窃取的企业证书签名代码。 然而研究人员发现黑客销售的证书来自知名的 CA 如 Comodo、 Symantec 和 Thawte,甚至还有苹果,普通证书售价 299 美元,EV 证书售价 1599 美元。 研究人员称,黑客在六个月内售出了 60 多个证书,但随着更廉价的混淆技术的流行销量出现了下滑。 稿源:cnBeta、solidot,封面源自网络;

黑客组织释出任天堂 Switch 主机运行完整 Linux 系统视频

黑客组织 fail0verflow 此前发布了推文及图片,利用漏洞黑客组织成功在任天堂 Switch 上运行了 Linux GUI 系统。并且声称,任天堂不能通过未来的固件补丁来修复该漏洞。在本周早些时候 Twitter 上发布的一篇文章中,fail0verflow 表示,任天堂 Switch 出现了一个 bug ,无法通过固件更新修复,这利用了 NvidiaTegra X1 芯片上系统的启动 ROM 漏洞。 现在,黑客组织又放出了一段视频演示利用此漏洞,Switch 能够完整地加载运行 Linux GUI 桌面,加载 KDE Plasma 环境等,而在视频中包括多点触摸手势(缩放)、Wi-Fi 网络加载等硬件驱动功能似乎都能良好地运行在 Linux 桌面中,并且运行了一段 60 帧率的 OpenGL 演示,不过蓝牙和 JoyCon 支持功能并未透露是否支持。 稿源:cnBeta,封面源自网络;