分类: 黑客事件

研究人员发现了具有僵尸网络功能勒索功能和挖掘加密货币功能的新蠕虫

Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。正如Unit 42所详述的那样,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前知道可以执行勒索软件攻击的威胁行为者,显然已经转向更复杂的攻击媒介。 据观察,Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,与其他勒索软件不同,默认情况下启用了数据销毁功能,没有恢复功能,几乎不可能进行文件恢复。此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB,并要求比特币赎金恢复数据。 另一方面,Xbash的加密货币挖掘和自传播模块旨在使用未修补的Hadoop,Redis和ActiveMQ数据库中的已知漏洞来破坏Windows系统。此外,Xbash具有自我传播的能力,类似于Petya / NoPetya和WannaCry的能力,以及尚未启用的传播功能集合,但可以使其在企业或家庭网络中快速传播。 Xbash还具有由代码编译,代码压缩和转换以及代码加密提供支持的反检测功能,所有这些功能都会模糊其恶意行为,以防止反恶意软件工具检测到它。Unit 42已经发现48个传入到Xbash勒索软件组件中的硬编码钱包总计6000美元,这意味着新的恶意软件系列已经活跃并收集受害者的赎金。   稿源:cnBeta,封面源自网络;

CoinHive 挖矿劫持仍在肆虐 至少 28 万路由器被检出感染

最近几年,区块链领域闹出了许多幺蛾子。比如为了攫取不当的加密货币挖矿收益,某些人制作了能够窃取设备算力的恶意软件,有几个挖矿网络的受害者规模甚至相当庞大。就在过去几天,研究人员发现了另外 3700 台秘密运行恶意的加密货币挖矿软件的路由器。 截止目前,此类受感染设备的总数已经超过了 28 万台 —— 仅在 30 天的时间里,就增加了 8 万。 8 月初的时候,这波攻击就已经登上了媒体的头条。当时黑客利用此前未被发现的漏洞,入侵了巴西的 20 多万台路由器。 攻击者成功地对 MicroTik 路由器实施了“零日攻击”,为其注入了 CoinHive 的修改版本。CoinHive 的一小段代码,支持利用简易的浏览器来挖掘门罗币。 最近的研究表明,该加密货币僵尸网络,每月有超过 25 万美元的产出。不过安全人员指出,挖矿劫持不是 MicroTik 路由器面临的唯一威胁。 一款危险的、名叫 Android Banker 的特洛伊木马病毒,当前正在互联网上传播。继 1 月首次曝光后,已有近 200 个针对性的网银应用受害。 Android Banker 可以绕过双因素认证,来窃取用户名和密码。若不幸受到影响,还请将所有账号的用户名和密码都重置,比如流行的 Bitfinex 和 Blockfolio 。 安全研究人员 Lukas Stefanko 指出,最近持续的威胁很是严重。因其能够动态改变、针对特定的受害者进行定制,所以是一个相当危险的威胁。 由于 Android Banker 主要通过虚假版本的 Adobe Flash Player 分发,因此普通人可以相对简单地避开大部分雷区 —— 确保未知来源的应用程序被阻止且无法运行。 如果你对本文所述的木马和恶意软件的细节感兴趣,并希望知晓如何制定让公司免受网络钓鱼攻击的安全策略,可移步至这里查看(传送门)。     稿源:cnBeta,编译自:TNW,封面源自网络;

黑客利用 Excel 文档来执行 ChainShot 恶意软件攻击

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel 文件包含的微型 Shockwave Flash ActiveX 对象、以及一个所谓的“电影”的 URL 链接,忽悠人们去下载 Flash 应用程序。研究人员攻破了其采用的 512-bit RSA 密钥,从而揭开了它的神秘面纱。 恶意 Shockwave Flash ActiveX 对象属性 研究人员发现,该 Flash 应用程序其实是一个混淆的下载器: 进程会在内存中创建一个随机的 512-bit RSA 密钥对,将私钥保留在内存中、并将公钥发送到攻击者的服务器,以加密 AES 密钥(用于加密有效负载)。 之后将加密的有效负载和现有的私钥发送到下载程序,以解密128位AES密钥和有效负载。Palo Alto Networks Unit 42 的研究人员破解了加密,并分享了他们的破解方法。 尽管私钥仅保留在内存中,但公钥的模数 n 被发送到了攻击者的服务器。 在服务器端,模数与硬编码指数 e 0x10001 一起使用,以加密此前用于加密漏洞和 shellcode 有效载荷的128-bit AES 密钥。 揭秘 shellcode 有效载荷的 HTTP POST 请求(其模数 n 为十六进制) 一旦研究人员解密了 128-bit AES 密钥,就能够解密有效负载。 获得 RWE 权限之后,执行就会传递给 shellcode,然后在内部加载一个名为 FirstStageDropper.dll 的嵌入式 DLL 。 最后,研究人员分享了感染指征(Indicators of Compromise): Adobe Flash Downloader 189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c Adobe Flash Exploit(CVE-2018-5002) 3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497     稿源:cnBeta,封面源自网络;  

美国起诉朝鲜男子发起索尼网络攻击和 WannaCry 勒索软件攻击

据外媒报道,美国司法部日前对朝鲜一名人员发起诉讼,指控其涉嫌参与了2014年索尼影业的黑客攻击以及2017年具有毁灭性的WannaCry勒索软件攻击。早在2014年年底,美国就曾将索尼影业遭遇黑客攻击的事件归咎于朝鲜。据称,这次网络攻击则是对赛斯·罗根和詹姆斯·弗兰科拍摄的影片《刺杀金正恩》的回应。 美国检方称,被控男子Park Jin-hyok是代表朝鲜政府进行广泛、长时间阴谋行动的组织的一份子。据称,该名男子以及其他一些人通过一个幌子组织进入了索尼影业并了WannaCry 2.0勒索软件。该软件一经发布之后就在150个国家破坏了计算机系统。美国官员此前也曾将该网络攻击归咎于朝鲜。 据悉,Park被控合谋进行电脑欺诈和滥用以及合谋进行电信欺诈。美国财政部宣布,在起诉书公布之后他们已经对Park以及幌子公司实施了制裁。 这条消息可以说是在美国和朝鲜关系处于尴尬时刻发布的。在金正恩和特朗普举行了首次峰会之后,无核化谈判似乎陷入僵局。然而今日,在金正恩赞赏了特朗普之后,这位总统也在社交媒体平台上发文赞赏了这位朝鲜领导人–“我们会一起完成的!”   稿源:cnBeta,封面源自网络;

英国航空公司数据被盗 客户面临财务信息泄露风险

周四,英国航空公司(British Airways)表示正在调查导致客户数据被盗一事。虽然修补工作已完成,但若客户在过去几周内进行了预定,那他们的个人和财务信息可能已被窃取。在 8 月 21 日 ~ 9 月 5 号期间有过业务往来的客户,请务必留意。尽管 BA 的网站和 App 都遭到了破坏,但其声称被盗的数据不包括护照和旅行信息。 BA 母公司(国际航空集团 / International Airlines Group)表示,大约有 38 万持卡人受到了影响。BA 将会向他们发去通知,并建议他们与银行和信用卡提供商联系。 BA 首席执行官 Alex Cruz 在一份声明中称:“对本次因犯罪活动导致的中断,我们深表歉意,我司是非常重视客户数据保护的”。 外媒指出,这起泄露时间涉及在特定时间段内通过 BA 预定的客户,与此前影响百思买和阿迪达斯的黑客行为有类似之处。   稿源:cnBeta,编译自:Cnet,封面源自网络;

9 家仿美军招聘网站被FTC查封 以 10-40 美元价格出售给学校

美国联邦贸易委员会(FTC)本周四表示,已经查封了9家模仿美国军事招募网的网站,这些网站通过伪装来收集和销售用户的个人隐私。FTC在阿拉巴马州联邦法院提起的诉讼中表示:诸如Army.com和NavyEnlist.com等网站的运营者伪装成为美军的分支机构,以招募为幌子收集用户信息之后,然后以10-40美元的价格出售给专上教育(post-secondary education)机构。 FTC主席Joe Simons在一份声明中说:“那些正考虑开启军事生涯的人相信这些招聘是合法的,以为他们的个人信息不会被滥用。FTC目前已经威胁用户隐私安全的整个生态系统采取行动,包含买方和卖方。” FTC还表示在这些网站提交信息的人还接到了电话推销人员的后续电话。这些电话推销员会向这些人推销某个特定学校,让人误以为这些学校有美军背景成分。目前已经被FTC监管的网站包括Air-Force.com, AirForceEnlist.com, ArmyReserves.com, CoastGuardEnlist.com, MarinesEnlist.com和NationalGuardEnlist.com。     稿源:cnBeta,封面源自网络;

华住 1.3 亿用户数据泄露 华住:已报警正核实

更新: 华住集团声明 今日,网络上出现大量用户、自媒体传播“出售华住旗下酒店数据”的消息,引起极其恶劣的舆论影响。我集团非常重视,已在内部迅速开展核查,确保客人信息安全;我集团已经第一时间报警,公安机关正在开展调查;我们也聘请了专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。 为正视听,特声明如下: 一、兜售、传播个人信息,违反国家法律,情节严重的将构成犯罪。无论网络上传播、兜售的“相关个人信息”是否属实、是否来源于华住集团,擅自传播、兜售个人信息的行为均构成犯罪,请相关行为人立即停止传播、兜售个人信息的违法犯罪行为并向公安机关投案自首。 二、请相关网络用户、网络平台立即删除并停止传播上述信息。 三、华住集团保留追究相关侵权人法律责任的权利。 特此声明 华住集团 二0一八年八月二十八日 据FreeBuf报道,8月28日早上6点,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,数据标价8个比特币,约等于人民币37万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。而经过媒体报道之后,该发帖人称要减价至1比特币出售。 华住酒店集团旗下拥有“禧玥酒店”、“全季酒店”、“星程酒店”、“汉庭酒店”、“海友酒店”五个品牌,在全国200多个城市开设有1900多家门店。 数据包含汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友。 售卖的酒店数据分为三个部分: 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53 G,大约1.23亿条记录;  酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部ID号,共22.3 G,约1.3亿人身份证信息; 酒店开房记录,包括内部id号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店id号、房间号、消费金额等,共66.2 G,约2.4亿条记录。 紫豹科技风险监控平台情报专家通过技术手段验证了这批数据的真伪。据悉,疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节。 据威胁猎人数据验证结果: 从测试数据结果来看,最低的住客年龄在95年,最近离店时间是8月13日。 从数据交叉验证来看,可以排除是卖家用老数据欺诈买家的情况,数据绝大部分为新泄露数据,而非老数据混杂售卖。 基于此,该份数据的真实性非常高,此次的数据泄露也可能成为近5年内国内最大最严重的个人信息泄露事件。 早在2013年,汉庭等酒店就出现过数据泄露,当时是因为酒店所使用的Wi-Fi管理和认证管理系统存在漏洞,数据传输过程并未加密,导致数据泄漏。此次数据被拖库的原因尚不清楚,华住官方暂无回应。     稿源:网易科技、环球旅讯,封面源自网络;

利用 AI 技术,黑客能用麦克风听出你在屏幕上看什么

网易科技讯 8月25日消息,据《连线》网站报道,你可能认为只有通过观看电脑屏幕才能看到屏幕上的东西。但一个研究团队发现,他们能够通过监听和分析显示器正常发出的超声波,收集到惊人数量的信息,比如显示器上面输入的内容。 这项技术于周二在圣巴巴拉举行的Crypto 2018年大会上进行了演示。它可以让攻击者通过分析在屏幕附近录到的录音——比如来自网络电话或者视频聊天的录音——来发起各种形式的秘密监视。之后,攻击者可以根据泄露的声音提取有关显示器上的内容的信息。虽然距离越远信号越弱,特别是使用低质量的麦克风的时候,但研究人员仍然可以从在30英尺远的地方取得的录音提取显示器发出的声音。 特拉维夫大学和哥伦比亚大学的密码学和系统安全研究员伊兰·特罗默(Eran Tromer)参与了这项研究,他说道,“我想,我们可以从中学习该如何去适应我们的物理环境中的意外情况,以及理解我们使用的这些设备背后的物理机制。”声泄漏是“一种现象,在这个例子中这不是设计师有意而为的,但它确实存在,因此形成了安全漏洞。” 被攻击是有可能的,原因是所谓的“物理侧信道”——数据暴露不是来自软件错误,而是来自于泄露计算机硬件和它处理的数据之间的信息的无意交互。在对显示器的研究过程中,研究团队——还包括密歇根大学的丹尼尔·吉恩金(Daniel Genkin),宾夕法尼亚大学的米希尔·帕塔尼(Mihir Pattani),特拉维夫大学和康奈尔科技学院的罗埃·舒斯特尔(Roei Schuster)——发现,在他们调节电流的时候,很多屏幕的电源板发出高音或者听不见的吱吱声。这种吱吱声是根据屏幕的内容渲染处理器的不同功率需求而改变的。用户数据和物理系统之间的这种连接带来了意想不到的监听机会。 “有一天,我碰巧在浏览一份特别枯燥乏味的法律协议,上面有很多行小字体。”特罗默说道,“那些字实在太小了,于是我将其放大,然后我意识到房间里的环境噪音发生了变化。于是我将字体缩小回来,声音也随之变回来了。过了一会,我意识到是某种图像周期性的东西在影响声音的周期性。” 研究人员测试了几十台不同尺寸的液晶显示器,从中发现它们发出各种各样的声音。他们测试的显示器在2003年至2017年之间出产,涵盖了几乎所有的主流制造商。 所有的电子产品都会发出呼呼声和吱吱声,但显示器会产生一种特定的被证明对攻击者特别有用的声音。“这种声音的特点是频率很高,因此它可以承载多得多的信息。”舒斯特尔指出,“它确实是受到了某种敏感的东西的调节,在这里就是屏幕信息。” 在证实了那些超声波以后,研究人员接着试图基于它们来提取信息。他们开发了一个程序,生成不同的黑白相间的线条或组块,然后在循环显示它们时录制音频。有了一定的数据基础以后,他们就开始在显示器上展示热门网站、谷歌Hangouts和人脸,同时进行测量,看看是否能够透过录音将它们区分开来。 屏幕上显示斑马条纹图案时的屏幕信号频谱图 研究团队将所有的这些信息作为训练数据输入到机器学习算法当中,并开始根据录音中捕捉到的听不见的声音,对屏幕上的内容进行越来越精确的解读。对于一些斑马图案和网站,研究人员有90%至100%的成功率。他们甚至开始注意到,他们的系统有时可以从他们的机器学习模型从未遇到过的屏幕录音中提取有意义的数据。 “即使攻击者不能在特定的显示器型号上进行演练,他们的攻击也还是很有可能会成功。”舒斯特尔称。 随后,研究团队扩大了研究范围,训练该系统破译屏幕上的字母和单词。虽然这是一个更具挑战性的任务——单词不像网站布局那样遵循可靠的视觉模式——但研究人员可以在大字体的单词上产生靠谱的结果。正如吉恩金所指出的,白色屏幕上的黑字在很多方面与斑马纹相似,虽然单词组合有无数种,但系统只需要学习罗马字母表中的26个字母。 研究人员甚至意识到,他们可以检测出人们在智能手机屏幕键盘上输入了些什么,有一定的准确性。通常情况下,数字键盘被认为比机械键盘更加安全,因为机械键盘在用户进行输入时会发出声音,造成输入内容的泄露。研究证明,数字键盘也不能幸免于这些声音侧信道的攻击。 虽然研究人员在一些实验中使用了高质量的专业麦克风,但他们主要是研究消费级的麦克风,比如网络摄像头和智能手机上的麦克风。他们发现,它们完全可以被利用来提取屏幕发出的声音。例如,如果攻击者想监视与她视频聊天的人的屏幕,她只需录下来自他们的麦克风的声音输出即可。 在另一个场景下,比如面试时,攻击者可以把智能手机放在他们旁边的桌子或椅子上,在面试官盯着背对攻击者的屏幕时,利用手机来录下房间里的噪声。研究人员还注意到,智能助手设备中的麦克风可以接收到显示器的声音。因此,如果你把这些设备放在你的显示器附近,智能助手发送到云处理平台的音频片段很可能就来自该显示器。由于来自显示器发出的声音主要是超声波,像喧闹的音乐或者说话这样的听得见的声音不会干扰到麦克风的接收能力。 研究人员说,这凸显了减轻这些攻击的巨大挑战。在大多数的空间全面部署无线电频率来干扰屏幕发出的声音,是不切实际的。制造商可以在显示器内部更好地保护电子元件,但这会增加制造成本。另一种解决方案是,开发专门的反制软件,操控显示器正在处理的信息,使其更难识别。但你需要将这些措施嵌入到每一个应用程序当中,研究人员坦言这可能不现实。不过,至少在浏览器或人们经常使用的视频聊天程序上面,值得考虑那么做。 对于黑客来说,使用这种的声屏障攻击显然比网络钓鱼或用恶意软件感染电脑要复杂得多,也需要耗费更多的精力。但研究人员表示,他们对自己能达到的精确度感到惊讶,而有动机的攻击者可能会进一步完善他们的机器学习技术。鉴于如今有如此之多的屏幕在无意间泄露这些信号,对于技术娴熟且有足够动力去尝试的攻击者来说,这个世界就像是一个游乐场。   稿源:网易科技,封面源自网络;

19 岁黑客用 SIM 卡交换诈骗加密货币 购买迈凯伦跑车

据报道,美国警方逮捕了一位加州利用SIM卡交换技术实施诈骗的诈骗者,19岁男子Xzavyer Clemente Narvaez利用SIM卡交换技术劫持交换了多位手机用户的手机号码,并以此访问受害者的数字加密币账号和社交信息,盗取了大量的比特币及其他种类数字加密货币。 SIM卡交换是指将被攻击目标的电话号码转移到了攻击者所持有的SIM卡上。一旦黑客收到电话号码,他们就可以用来重置受害者的密码并侵入他们的账户,这其中就包括了加密货币交易所的账户。许多在线服务都是用手机号码验证身份,也为黑客开启了后门。 据报道他用获得的非法收入购买了各种奢侈物品,包括20万美元的迈凯伦跑车。损失最多的受害人报道被窃取了等值15万美元的数字加密货币。   稿源:cnBeta,封面源自网络;

微软发现针对美国政治团体的新一轮俄罗斯黑客攻击

在 2018 美国中期选举之前,美方又发现了与俄方有关、针对美国政治团体的新一轮黑客攻击事件。周一晚间发布的报道称,微软发现并禁用了几个虚假网站,其旨在欺骗访问者、使得与俄政府相关的黑客组织得以入侵他们的计算机。其中两个虚假网站模仿了美国的两个保守组织 —— 哈德森研究所(Hudson Institute)、以及国际共和研究所(International Republican Institute)。另外三个域名,则是假冒类似国会参议院的官方网站。 微软指出,与俄罗斯军方有联系的该黑客组织名叫 Strontium,此外它还有着“Fancy Bear”和“APT 28”的绰号。 近年来发生的一系列事件,都与它脱不了干系,尤其是 2016 年入侵民主党全国委员会的计算机网络、并窃取相关电子邮件记录一事。 虽然微软没有证据表明虚假已有成功欺骗的案例,但鉴于此类站点通常会托管恶意软件,旨在自动感染访问者计算机、窃取电子邮件、文档和其它敏感信息。 有鉴于此,微软还是立即申请了法院命令,要求将相关迁移至该公司的服务器,以抵消其所带来的威胁。 本次发现,强调了美国应努力避免 2016 年大选期间的事件重演。当时美方指责俄罗斯利用虚假身份,通过 Facebook 和 Instagram 等社交平台,影响了美国总统大选的结果。 美情报机构警告称,此类行动一直是俄罗斯政策战略的一部分。随着社交媒体影响力的增长,未来的形式依然严峻。 不到一个月前,美检察官罗伯特·穆勒(Robert Mueller)起诉了 12 名涉嫌在 2016 大选期间攻击民主党全国委员会网络的俄罗斯黑客。 今年 2 月份的时候,美司法部亦起诉了一家与俄罗斯情报部门有联系的互联网研究机构,指控其在 2016 年大选期间、通过社交媒体实施了宣传活动。   稿源:cnBeta,封面源自网络;