分类: 热点

Sysrv-hello 僵尸网络集木马、后门、蠕虫于一身,攻击 Linux、Windows 主机挖矿

一、概述 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。 Sysrv-hello僵尸网络挖矿前,恶意脚本还会尝试结束占用系统资源较多的进程,以独占系统资源,这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复,属于较新的漏洞攻击工具,因部分企业漏洞修复进度较慢,使得该团伙的攻击成功率较高。 该僵尸网络于2020年12月首次被国内安全研究人员发现,由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力,使用的漏洞攻击工具也较新,仅仅用了一个多月时间,该僵尸网络已具有一定规模,对政企机构危害较大。   自查处置建议 腾讯安全专家建议政企用户尽快修复weblogic远程代码执行漏洞(CVE-2020-14882),修复Nexus Repository Manager 3、mysql、Tomcat服务器存在的弱口令风险,对系统以下条目进行排查: 文件: Linux: /tmp/network01 /tmp/sysrv /tmp/flag.txt   Windows: %USERPROFILE%\appdata\loacal\tmp\network01.exe %USERPROFILE%\appdata\loacal\tmp\sysrv.exe   进程: network01 sysrv   定时任务: 排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项   腾讯安全响应清单 腾讯安全全系列产品支持在各个环节检测、防御Sysrv-hello僵尸网络对云上主机的攻击。   具体响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Sysrv-hello相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud  Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)Sysrv-hello相关联的IOCs已支持识别检测; 2)支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic(CVE_2020_14882)恶意攻击; 3)支持检测mysql爆破攻击。 有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 (Cloud  Workload Protection,CWP) 1)云镜已支持Sysrv-hello关联模块的检测告警,查杀清理。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。 关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)支持识别、检测Sysrv-hello相关联的IOCs; 2)支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic(CVE_2020_14882)恶意攻击; 3)支持检测mysql爆破攻击。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 (iOA) 1)已支持Sysrv-hello关联模块的检测告警和查杀清理。 零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html   二、详细分析 腾讯云防火墙检测到Sysrv_hello僵尸网络针对使用Nexus Repository Manager 3默认账户密码资产发起攻击,下图为攻击过程中产生的恶意payload。 恶意payload执行后Nexus将添加名为t的task脚本执行任务,该任务触发执行后(“action”:”coreui_Task”,”method”:”run”…)进一步下拉恶意脚本执行,恶意脚本地址(hxxp://185.239.242.71/ldr.sh) ldr.sh恶意脚本首先会尝试卸载云主机安全软件(aliyun,yunjing),停止部分服务(安全软件,挖矿木马),同时删除部分docker挖矿镜像。 清理高CPU占用进程达到资源独占目的(对CPU占用达到50%的进程进行清理) 尝试下载矿机命令执行,进程名为network01,矿池,钱包地址如下: Pool.minexmr.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa 下载sysrv蠕虫扩散模块、下载挖矿守护进程功能模块执行 最后将其自身写入计划任务,并删除本地相关对应文件 该木马不仅攻击Linux系统,同时发现针对Windows平台的恶意载荷,攻击Windows系统成功后会植入powershell恶意脚本,脚本会进一步拉取Windows平台的相同模块到tmp目录执行。 Linux系统下sysrv模块通过使用52013端口作为互斥量,端口开启状态判定为已感染环境直接退出,否则打开本地该端口进行占用。 sysrv通过检测进程,判断network01进程(矿机进程)是否正常运行,如果未正常运行,就在tmp目录进一步释放出文件内嵌的elf文件,并命名为network01将其执行。 network01模块为门罗币矿机程序,该团伙通过清理可能的竞品挖矿进程或其他占CPU资料较多的进程实现独占CPU资源挖矿。 sysrv确认挖矿行为正常运行后,会开始进行蠕虫式的攻击传播:进行随机IP的端口扫描与漏洞利用,会尝试对mysql,Tomcat服务进行爆破攻击,尝试对Weblogic服务使用CVE-2020-14882漏洞(该漏洞公告由Oracle官方于2020年10月21日公开)进行远程代码执行攻击,这一横向扩散行为使该团伙控制的肉鸡规模迅速增大。 hello_src_exp爆破,漏洞利用组合攻击 攻击mysql服务使用的弱口令爆破字典 攻击Tomcat服务使用的爆破口令 对Weblogic组件利用CVE-2020-14882 远程代码执行漏洞攻击,该安全漏洞为2020年10月Oracle官方公告修复,属于相对比较新的漏洞攻击武器。 IOCs MD5: 33c78ab9167e0156ff1a01436ae39ca1 6db4f74c02570917e087c06ce32a99f5 750644690e51db9f695b542b463164b9 d708a5394e9448ab38201264df423c0a bc2530a3b8dc90aca460a737a28cf54b 236d7925cfafc1f643babdb8e48966bf URL: hxxp://185.239.242.71/ldr.sh hxxp://185.239.242.71/ldr.ps1 hxxp://185.239.242.71/xmr64 hxxp://185.239.242.71/xmr32 hxxp://185.239.242.71/xmr32.exe hxxp://185.239.242.71/xmr64.exe hxxp://185.239.242.71/sysrv hxxp://185.239.242.71/sysrv.exe IP: 185.239.242.71(ZoomEye搜索结果) 矿池&钱包 pool.minexmr.com xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

美调查机构发联合声明:SolarWinds 网络攻击可能源自俄罗斯

据外媒报道,美FBI、NSA、网络安全与基础设施安全局(CISA)和国家情报总监办公室(ODNI)于当地时间周二发表联合声明称,SolarWinds的黑客行为“可能来自俄罗斯”。这是这四家机构首次将网络攻击归咎于俄罗斯。 声明称:“这项研究表明,一个高级持续性威胁(APT)行为者可能来自俄罗斯,其对最近发现的大部分或全部政府和非政府网络正在进行的网络攻击负有责任。目前,我们认为,这是一项情报收集工作,而且将继续如此。” 美国务卿迈克·蓬佩奥上月曾在接受新闻采访时表示,SolarWinds袭击很可能来自俄罗斯,但直到现在都还没有做出正式声明。 最新的这份联合声明则补充称,在1.8万家受影响的公司和机构中迄今发现只有10家美国政府机构受到系统后续活动的影响。 由FBI、NSA、CISA、ODNI组成的网络统一协调小组仍在继续调查这起始于2020年的黑客入侵事件,当时黑客侵入了总部位于德克萨斯州奥斯汀的SolarWinds的IT管理软件。 据报道,此次入侵包括美国财政部高层使用的电子邮件系统。       (消息及封面来源:cnBeta)

CISA 敦促美国政府机构更新 SolarWinds 版本

美国网络安全和基础设施安全局(CISA)已官方发布声明,督促美国联邦机构在年底之前更新SolarWinds 版本。 CISA发布的《紧急指令21-01补充指南》表示,所有运行SolarWinds Orion应用程序的美国政府机构都必须在年底之前将其更新为2020.2.1HF2最新版本。 SolarWinds在12月15日发布了2020.2.1HF2版本,以确保其安装安全并从其系统中删除与Sunburst相关的代码。《紧急指令21-01补充指南》于在发现SolarWinds供应链攻击后的12月18日发布。 美国CERT协调中心详细介绍了Orion API中的身份验证绕过漏洞,跟踪该漏洞为CVE-2020-10148,这使得黑客可以在Orion安装上执行远程代码。 黑客利用此漏洞在与SolarWinds供应链黑客无关的攻击中安装了后门。 基于此,CISA敦促相关联邦政府机构将SolarWinds Orion更新至2020.2.1HF2版本,以修复包括CVE-2020-10148在内的漏洞。 受影响的版本列表如下: Orion Platform 2019.4 HF5 版本2019.4.5200.9083 Orion Platform 2020.2 RC1 版本2020.2.100.12219 Orion Platform 2020.2 RC2 版本2020.2.5200.12394 Orion Platform 2020.2、2020.2 HF1版本2020.2.5300.12432             消息来源:Security Affairs,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c  

5G 网络新漏洞使黑客可跟踪用户位置并窃取数据

随着5G网络的逐渐推广,许多潜在缺陷可被黑客利用以进行一系列网络攻击活动,包括使用户无法访问网络并拦截数据的DoS攻击等。 这些发现成为了伦敦网络安全公司Positive Technologies于6月发布的“ 2020年LTE和5G网络漏洞报告”中的“ 5G独立核心安全研究”的基础素材。 该公司表示:“网络安全的关键要素包括设备的正确配置以及网络要素的认证和授权。在缺少这些元素的情况下,黑客便很容易利用PFCP中的漏洞进行网络攻击,并在用户不知情的情况下利用用户身份进行网络犯罪。” 5G的安全优势 5G的主要安全优势之一是可防止被监视和加密国际移动用户身份(IMSI)号码,IMSI是SIM卡附带的唯一标识符,用于识别蜂窝网络的用户。 5G核心(5GC)还使用传输控制协议(TCP)代替流控制传输协议(SCTP)来更新IT协议栈,HTTP / 2替代了Diameter协议以实现应用层安全,用于网络功能之间的加密通信。 5G移动网络根据4G演进核心(EPC)技术以独立或非独立模式进行部署,该框架由多达九个网络功能(NF)组成,负责注册用户、管理会话和存储用户数据,并通过基站(gNB)使用户(UE或用户设备)连接到Internet。 研究人员认为,这一系列技术潜在地为用户和运营商网络的攻击打开了大门,使黑客得以进行DoS攻击。 DoS和MitM攻击 系统体系结构的一个问题是通过分组转发控制协议(PFCP)以专用于会话管理的接口(会话管理功能或SMF )。 黑客可能会选择删除会话或修改PFCP数据包,导致互联网访问中断(CVSS得分6.1)甚至拦截网络流量(CVSS得分8.3)。 安全人员还发现管理网络存储库功能(NRF)的部分5G标准存在问题,该功能允许在控制平面中注册NF,并在存储库中添加现有网络功能,通过控制下的NF访问用户数据(CVSS评分8.2)。通过删除关键组件的相应NF配置文件,滥用NRF中缺少授权的权限,从而导致用户的服务损失。 暗中监视用户的位置 用户身份验证漏洞可公开分配给每个订阅永久标识符(SUPI),并通过欺骗基站泄漏的身份验证信息为最终用户提供服务。 另外,管理用户配置文件数据的用户数据管理(UDM)模块中的设计问题可以允许具有“访问相关接口的对手直接连接到UDM或通过模拟网络服务提取包括位置数据(CVSS评分7.4)的必要信息。” 研究人员说:“访问此类数据将严重危害安全性:它使黑客可在用户不知情的情况下监视用户。” 黑客还可以使用用户标识信息模拟隐形会话,从而模拟负责用户注册(CVSS评分8.2)的计费访问和移动性管理功能(AMF)模块。 评估、监测和保护的需求 毫无疑问,5G在安全方面取得了一定进步,但随着5G网络用户的数量持续增长,相关审查也变得日益重要。 研究人员总结:“操作员在设备配置中的失误对5G安全性影响深远,设备供应商负责所有架构网络保护功能的技术实施,因此其地位十分重要。为防止黑客攻击,运营商必须采取及时的保护措施,如正确配置设备、使用防火墙并进行安全监视等”       消息及封面来源:The Hacker News ;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Facebook 将让英国用户接受加州用户协议 以摆脱欧洲隐私法规的影响

据路透社报道,Facebook公司将让其在英国的所有用户接受加州的用户协议,使他们脱离目前与Facebook爱尔兰部门的关系,并摆脱欧洲隐私法的影响。这一变化在明年生效,此前谷歌在2月份也在此宣布了类似的举措。对于这些公司和其他欧洲总部在都柏林的公司来说,英国脱欧将改变其与仍在欧盟的爱尔兰的法律关系。 最初,知情人士向路透社透露了这一举措。Facebook随后证实了这一点。 “与其他公司一样,Facebook也不得不做出改变以应对英国脱欧,将把英国用户的法律责任和义务从Facebook爱尔兰转移到Facebook公司。”该公司英国部门表示,“Facebook向英国人民提供的隐私控制和服务将不会有任何变化。” Facebook的英国用户仍将受到英国隐私法的约束,目前,英国隐私法目前根据欧盟的《通用数据保护条例》(GDPR)制定。据熟悉该该公司的人士透露,Facebook之所以做出改变,部分原因是欧盟的隐私制度是世界上最严格的制度之一。欧盟的规则给予用户对其相关数据的精细控制权。 此外,2018年通过的美国《澄清境外数据合法使用法案》(CLOUDAct)为英美两国更方便地交换云计算用户的数据设定了途径。隐私倡导者担心,英国可能会转向更宽松的数据隐私制度,尤其是在英国寻求与美国达成贸易协议时,美国提供的保护措施要少得多。一些人还担心,英国Facebook用户可能更容易受到美国情报机构的监控或执法部门的数据请求。 “公司规模越大,持有的个人数据越多,就越有可能受到监视职责或要求将数据交给美国政府,”英国非营利组织Open Rights Group执行董事吉姆-基洛克说。美国法院认为,针对不合理搜查的宪法保护不适用于海外非公民。 英国信息产业监管机构表示,随着英国脱欧的临近,他们已经与Facebook以及保留欧洲总部的公司进行了接触。“我们知道Facebook的计划,并将在新的一年里继续与该公司接触,”信息专员办公室的一位发言人说。 Twitter发言人表示,其英国用户将继续由该公司的都柏林办事处处理。Facebook发言人表示,该公司将在未来6个月内通知用户这一转变,让用户可以选择停止使用这个全球最大的社交网络及其Instagram和WhatsApp服务。 Facebook的决定是在英国正在升级禁止强加密的努力之际做出的,Facebook正着手在其所有产品上实施强加密。英国和欧盟一样,也在其他一些方面向Facebook施压,包括仇恨言论和恐怖主义政策。 美国也可能会在隐私和社交媒体内容方面推行新的法律,联邦和州检察官最近对Facebook和谷歌都发起了反垄断诉讼。不过,科技游说人士预计,美国的科技法规仍将比英国的法规更有利于行业发展。         (消息及封面来源:cnBeta)

​荷兰警方接受安全研究人员称曾“入侵”特朗普 Twitter 账号的说法

据英国广播公司(BBC)报道,荷兰检察官发现,一名黑客确实通过猜测美国唐纳德·特朗普的密码–“MAGA2020!”,成功登录了他的Twitter账号。但荷兰检察官表示不会惩罚黑客Victor Gevers,因他的行为是“道德”的。 Gevers在10月22日美国总统大选的最后阶段分享了他所说的特朗普先生账户内部的截图。但当时,白宫否认特朗普的Twitter账号被黑客攻击,而Twitter也表示没有证据。 在提到最新进展时,Twitter表示:“我们没有看到任何证据来证实这一说法,包括从今天荷兰发表的文章中。我们主动对美国指定的一批高知名度、与选举相关的Twitter账号实施了账号安全措施,其中包括联邦政府部门。” 白宫没有回应进一步评论的请求。 Gevers则表示,他对这个结果非常满意。他说:“这不仅仅是关于我的工作,而是关于所有寻找互联网漏洞的志愿者。”这位受人尊敬的网络安全研究人员说,他在10月16日对美国大选高知名度候选人的Twitter账号进行了安全测试,当时他猜中了特朗普总统的密码。 荷兰警方表示:“黑客自己发布了登录名。他后来向警方表示,他调查了密码的强度,因为如果这个Twitter账号能在总统大选前这么短的时间内被接管,涉及到重大利益。”他们补充说,他们已将调查结果发给美国当局。 Gevers曾告诉官员,他拥有实质上更多的“入侵”证据。理论上,他本来可以看到总统的所有数据,包括: 私人照片和信息 私人收藏的推文 他屏蔽了多少人 这位拥有8900万粉丝的总统账户现在是安全的。但Twitter拒绝回答BBC新闻的直接问题,包括该账户是否有额外的安全或日志,会显示未知的登录。 今年早些时候,Gevers还声称,他和其他安全研究人员在2016年使用一个密码–“yourefired”–登录了特朗普的Twitter账户,该密码在之前的数据泄露事件中与他的另一个社交网络账户相连。       (消息及封面来源:cnBeta)

Twitter 现已支持启用了硬件安全密钥的账户在移动设备上登陆

早在 2018 年,这家社交媒体巨头就已经提供了对于硬件安全密钥的支持,以代替另外两种双因素身份认证选项(短信 / 验证器 App)。尽管硬件密钥小巧得可以轻松挂在钥匙圈上,但仅限于 Web 登录的功能,也给移动设备用户造成了巨大的不便。好消息是,Twitter 周三表示,基于硬件安全密钥保护的账户,现在也可从 iPhone / Android 设备上登录。 硬件双因素认证需要用户在登录时插入密钥,即便被攻击者知晓了用户名和密码,这套方案也能够努力避免账户被黑客入侵。 然而此前的技术限制,意味着这类账户使用者只能从计算机端登录,而无法使用更加便捷的移动设备。 当时一些苦恼的 Twitter 用户,更是直接发推吐槽官方,甚至迫使许多人都默认关闭了登录验证。 去年的时候,Twitter 通过切换至 WebAuthn 协议解决了部分让人感到头疼的麻烦,同时也为将硬件保护方案引入更多设备和浏览器而铺平了道路。 现在,只需支持硬件密钥,任何在 Twitter 账户安全设置中启用了该功能的用户,都可以顺利地在移动设备端登录。 值得一提的是,除了 YubiKeys、Google Titan 等可在不同设备上工作的安全密钥,Twitter 还在今年早些时候向自家员工推出了硬件安全密钥,以防再次遭遇 7 月份的网络攻击事件。 当时黑客侵入了 Twitter 内网,滥用“管理员”工具劫持了多个高知名度的账户,然后大肆用于加密货币骗局的传播。 事件发生后,Twitter 聘请了 Rinki Sethi 接替首席信息安全官,并招募了知名黑客 Peiter“Mudge”Zatko 作为企业安全负责人。       (消息来源:cnBeta;封面来自网络)

微软推出 Pluton 安全处理器 携手 AMD 、英特尔、高通构建统一体系

提升计算机和网络安全性的一个主要原则,就是尽可能减少系统中可被攻击入侵的位面。此外在虚拟化的处理上,也需要结合软硬件的附加安全层,辅以全面的检测与保护特性。为了打造一个更加统一的体系,微软想到了为 Windows 搭配 Pluton 安全处理器,并且向 AMD、英特尔和高通伸出了橄榄枝。 据悉,在 Xbox 主机和 Azure Sphere 生态系统中率先得到应用的 Pluton 安全处理器,可实现类似于可信平台模块(TPM)的全栈芯片到云安全特性。 过去十多年时间里,TPM 一直是服务器安全性的一个重要组成部分,为安全密钥和其它验证系统完整性的元数据提供了物理存储空间。 此外在移动市场,内置 TPM 方案允许展开其它形式的安全验证,比如 Windows Hello 生物识别和 Bitlocker 加密。 然而微软指出,随着时间的推移,这些系统中的物理 TPM 模块已成为现代安全设计的薄弱环节。 具体说来是,在获得了对系统的物理访问权限之后,TPM 模块将变得毫无用处,导致传输中的数据被劫持(或发动中间人攻击)。 更糟糕的是,由于 TPM 是大多数服务器环境中的一个可选组件,因此物理模块到 CPU 的数据路径,也成为了一个重要的攻击位面。 有鉴于此,微软希望能够与 AMD、英特尔、高通之类的芯片制造商共同推进 Pluton 安全处理器项目,以将与 TPM 等效的产品直接纳入未来每台 Windows PC 的芯片中。 推广初期,Pluton 架构将模拟成一个 TPM 模块,以兼容现有的安全协议套件。但由于其已内置于芯片之中,则可大幅降低任何潜在的物理攻击位面。 之后 Pluton 体系架构还有望启用 TPM 功能的超集,且微软强调了独特的 SHACK 安全硬件密码技术(使安全密钥永远不会暴露在硬件环境之外)。 最终通过与社区之间的广泛合作(比如 Open Cute / Cerberus 项目)来启用基于根信任的固件身份验证。 据悉,上述三家芯片制造商均已将 Pluton 作为首个安全保护层,不过芯片厂家自家的技术可以更沉底一些(比如 AMD 的 PSP 方案)。 鉴于目前 AMD 已经同微软合作开发了面向主机平台的 Pluton 产品,它与其它技术(比如安全加密虚拟化)一起出现在 AMD 的消费 / 企业级芯片中,应该也不是一件难事。 至于英特尔,其表示与微软保持着长期的合作伙伴关系,这有助于 Pluton 安全处理器技术的顺利整合,但拒绝披露可能的时间表。 最后,从某种意义上来说,高通的加入是有些出乎意料的。但 Pluton 与苹果公司的 T2 安全芯片,显然存在着许多相似之处。早前发布的 Apple Silicon Mac,就已在 M1 处理器中集成了相关功能。       (消息来源:cnBeta;封面来自网络)

Microsoft Defender 网络保护功能即将登陆 macOS 平台

Microsoft Defender Advanced Threat Protection 是微软提供的终端安全平台,可以帮助企业预防、检测、调查和应对高级威胁。微软近日确认,将把网络保护功能带到 MacOS 上(适用于 macOS ver 10.15.4 及更高版本)。 网络保护(Network Protection)有助于减少设备受到网络攻击事件的影响,它可以防止员工使用任何应用程序访问危险的域,这些域可能承载着互联网上的钓鱼诈骗、漏洞和其他恶意内容。网络保护扩大了 Microsoft Defender SmartScreen 的范围,可以阻止所有试图连接到低声誉来源(基于域或主机名)的出站HTTP(s)流量。 网络保护功能将于2020年12月登陆 macOS 平台。       (消息及封面来源:cnBeta)

Twitter 任命著名黑客“Mudge”为安全主管

据路透社消息,在监管威胁加剧和严重安全漏洞的困扰下,社交媒体巨头Twitter正在任命世界上最知名的黑客之一来解决从工程失误到错误信息的一切问题。该公司周一任命Peiter Zatko(因其黑客账号Mudge而广为人知)担任新的安全主管一职,赋予他广泛的授权,对结构和做法提出改革建议。Zatko向Twitter首席执行官杰克·多西负责,预计在经过45到60天的审查后,他将接管关键安全职能的管理。 Zatko在接受专访时表示,他将审查 “信息安全、网站完整性、物理安全、平台完整性–开始触及平台的滥用和操纵–以及工程”。 Zatko最近在电子支付独角兽Stripe负责安全工作。在此之前,他曾在谷歌从事特殊项目的工作,并在五角大楼著名的国防高级研究与计划局(DARPA)监督发放网络安全项目的拨款。Zatko多姿多彩的职业生涯始于20世纪90年代,当时他同时为一家政府承包商进行机密工作,并且是Cult of the Dead Cow(一个因发布Windows黑客工具而臭名昭著的黑客组织)的领导人之一,以激励微软改善安全状况。 “我不知道是否有人能解决Twitter的安全问题,但他会是我的首选。”Dan Kaufman说,他曾在DARPA监督Zatko,现在是谷歌高级产品组的负责人。 Twitter面临众多安全挑战。一年前,美国政府指控两名男子多年前在Twitter工作时为沙特从事间谍活动,称他们传递了有关沙特王国批评者的私人信息。 7月,一群年轻的黑客欺骗了员工,并赢得了对内部工具的访问权,这让他们改变了账户设置,然后从当时的总统候选人乔·拜登,微软创始人比尔·盖茨和特斯拉首席执行官埃隆·马斯克的账户中发推文。 “今年夏天的数据泄露事件是一个重要的提醒,提醒人们在建立一些必要的基本安全功能方面,Twitter需要走多远,以运行一个被对手瞄准的服务,比因该事件被捕的青少年更熟练,”前Facebook首席安全官、现任斯坦福大学研究员Alex Stamos说,他曾帮助领导打击选举虚假信息的努力。 曾经在Zatko的安全咨询公司工作过的Stamos称,对于一家缺乏Facebook和谷歌财力的公司来说,他是一个非常合适的人选。“他们将不得不为这些问题找到创造性的解决方案,如果说Mudge在安全领域有什么出名的地方,那就是有创造性。” Zatko表示,他致力于改善Twitter上的公共对话。他称赞了最近的一项举措,即通过提示用户发表评论而不是简单的转发来增加“摩擦力”;他说,下一步可能是强迫人们在参与长对话之前理解对话内容。 Zatko说,他赞赏Twitter对非常规安全方法的开放态度,比如他提出的通过操纵从Twitter收到的关于人们如何与他们的帖子进行互动的数据来迷惑坏人。“他们愿意承担一些风险,”Zatko谈到他的新雇主时说。“在算法和算法偏差的挑战下,他们不会袖手旁观,等待别人解决这个问题。”       (消息及封面来源:cnBeta)