分类: 安全快讯

特朗普总统任职最后一天签署新行政命令以遏制外国网络干预

据外媒报道,当地时间周二,白宫方面表示,即将卸任的特朗普总统签署了一项行政命令,旨在阻止外国利用云计算产品对美国进行恶意网络行动。这是特朗普总统就职的最后一天。 最先由路透社报道的这项命令赋予美国商务部以制定规则来在外国人利用云计算产品或服务进行网络攻击的情况下禁止美国跟他们在该领域进行交易权力的权力。 这项命令还要求该机构在六个月内为Infrastructure as a Service–一种云计算类型–美国供应商制定规则,从而确认他们与之进行业务往来的外国人的身份并并保留特定记录。 一位高级官员披露,美国官员已经为这项指令运作了近两年时间。但它的推出却是在美国科技公司SolarWinds以侵入联邦政府网络为跳板的大规模黑客活动之后。美国高级官员和国会议员指责俄罗斯发动了大规模的黑客攻击,但克里姆林宫否认了这一指控。 民主党当选总统乔·拜登将于周三将宣誓就职,而他可以轻松撤销特朗普总统任期即将结束时发布的行政命令。对此,拜登的过渡团队方面没有立即回应置评请求。           (消息及封面来源:cnBeta)

欧盟药品管理局:黑客窃取并“篡改”了疫苗文件

欧洲药品管理局周五表示,黑客不仅从该机构的服务器上窃取了 COVID-19 疫苗文件,还对泄漏到网络上的文档进行了“篡改”。据悉,作为疫苗审批程度的一部分,该机构不仅负责着欧盟 27 个成员国的药品监管工作,还拥有大量与 COVID-19 有关的机密数据。 然而一项正在进行中的调查显示,黑客从 11 月开始就收到了与实验性冠状病毒疫苗评估相关的电子邮件和文件。总部位于荷兰的欧洲药品管理局写道: 某些函件已在黑客向外界公布前被篡改,从而破坏了人们对于疫苗的信任。我们已经注意到,某些通信并非以完整 / 原始的形式发布,而是被黑客篡改或添油加醋。 虽然 EMA 没有明确提及哪些信息,但网络安全专家指出,这种做法具有假冒政府发起虚假宣传活动的典型特征。 意大利网络安全公司 Yarix 表示,早在 2020 年 12 月 30 日,他们就已经在某个‘众所周知’的地下论坛看到了所谓的爆料。 发布者还拟了个相当耸人听闻的标题 ——《令人惊讶的欺诈!邪恶的片子!假疫苗!》—— 然后此事开始在暗网和其它网站上流传。 网络犯罪分子的意图很是明确,即通过刻意编造的泄露事件,对欧洲药品管理局和辉瑞等疫苗研发企业的声誉造成重大损害。 此外网络安全顾问 Lukasz Olejnik 表示,黑客背后或许还有更多不可告人的秘密: 我担心此类‘爆料’会引发整个欧洲的人们对 EMA 药物审查和疫苗接种流程的极大不信任,虽然尚不清楚谁是幕后主使,但明显有人决定为此事投入大量资源。 这种针对药物审核材料的抹黑攻击操作可谓是前所未见,如果被幕后黑手得逞,最终可能导致对欧洲人的健康产生广泛而负面的影响。 去年 12 月,总部位于阿姆斯特丹的 EMA 还曾遭到德国等欧盟成员国的严厉批评,埋怨其未能更快的批准新冠疫苗的上市。 至于针对最新的黑客攻击事件的调查进展,EMA 表示执法部门正在针对本次黑客攻击事件采取必要的行动。         (消息及封面来源:cnBeta)

FireEye 发布审计 SolarWinds 黑客攻击技术的网络调查工具

在今日发布的一份报告中,网络安全公司 FireEye 详细披露了 SolarWinds 黑客网络攻击事件所使用的相关技术。与此同时,FireEye 还在 GitHub 上分享了一款名为《Azure AD Investigator》的免费工具,以便企业能够确定 SolarWinds 黑客在其网络中部署了哪几道后门。 在今日的报告发布之前,FireEye 已协同微软和 CrowdStrike 对 SolarWinds 的供应链危害展开了全面的调查。 在 2020 年 12 月 13 日初次曝光时,FireEye 和微软首先确认黑客攻入了 IT 管理软件提供商 SolarWinds 的网络,并用恶意软件感染了 Orion 应用程序的封包服务器。 这款名叫 Sunburst(或 Solorigate)的恶意软件,被用于收集受害企业的内部信息。遗憾的是,部署 Orion 应用程序的 1.8 万个 SolarWinds 客户,其中大多数人都忽略了木马的存在。 在初步得逞后,攻击者部署了第二款名叫 Teardrop 的恶意软件,然后利用多种技术手段,将黑手延伸到了企业内网和云端(尤其是 Microsoft 365 基础设施)。 在今日长达 35 页的报告中,FireEye 更详细、深入地介绍了这些后期攻击手段,以及企业能够实施的检测、修复和增强策略。 (1)窃取活跃目录的 AD FS 签名证书,使用该令牌伪造任意用户(Golden SAML),使得攻击者无需密码或多因素身份认证(MFA),即可染指 Microsoft 365 等资源。 (2)在 Azure AD 中修改或添加受信任的域,使得攻击者控制的新身份(IdP),进而伪造任意用户的令牌(又称 Azure AD 后门)。 (3)染指高特权用户账户(比如全局或应用程序管理员的 Microsoft 365 资源),接着同步本地用户账户的登录凭据。 (4)通过添加恶意凭证来劫持现有 Microsoft 365 应用程序,以使用分配给该应用程序的合法权限 —— 比如可绕过 MFA 多因素身份认证来读取电子邮件、以任意用户身份发送电子邮件、以及访问用户的日程等信息。 FireEye 指出,尽管 SolarWinds 黑客(又称 UNC2452)采取了各种复杂的手段来掩饰自己,但相关技术仍可被检测和阻挡在外。 事实上,FireEye 也在自己的内网中检测到了相关技术,然后分析了其它企业的内部漏洞,最终揭开了更广泛的 SolarWinds 黑客攻击事件。           (消息来源:cnBeta;封面源自网络)

报告显示五分之一公司承认对远程员工进行秘密监视

根据一份新的报告,五分之一的老板在员工不知情情况下监控着员工浪费时间的行为。在Metro一份报告中,工会警告说,雇主正在利用新冠疫情限制来秘密监控远程工人。每五家公司中就有一家承认窥探员工或计划在未来这样做。 这份报告表示,许多雇主正在投资于科技,对雇员进行微观管理,并自动决定雇佣谁解雇谁。在工作中使用监控时必须适当地征求员工的意见,并保护他们免受算法的不公平管理。目前的监控方法包括检查员工阅读和回复信息所需的时间。最令人担忧的说法是,一些老板通过网络摄像头偷偷观察员工。除了显而易见的隐私问题外,雇员还可能面临不公平的纪律处分。 YouGov/Skillcast对2009家公司的调查显示,12%的公司表示他们已经引入了远程监控。在大型公司情况下,这一数字跃升至16%,8%的公司考虑采取这一行动。根据TUC的研究,七分之一的员工自从开始在家工作以来,他们被监控的次数就增加了。在英国如果怀疑员工违法,公司可以在员工不知情的情况下对其进行监控。许多科技巨头都从远程工作浪潮中受益,我们已经看到它们挑战隐私界限的例子。例如,微软在外界对侵犯性表示反感后,改变了其生产力评分工具。         (消息来源:cnBeta;封面源自网络)

俄罗斯加密交易所 Livecoin 遭黑客攻击后关闭

在12月底突然停止运营后,俄罗斯加密货币交易所Livecoin宣布关闭。据Livecoin主页显示,由于2020年底其服务器遭到攻击,造成财务和技术损失,该交易所无法继续运营。Livecoin于1月16日在Twitter上宣布关闭,其新域名liveco.newsLivecoin和旧域名Livecoin. net已不可用。 Livecoin表示,公司正在努力“将剩余资金”支付给客户,用户需通过电子邮件与该交易所联系,以完成核实工作,必须在平台上发送他们的用户名和注册日期。交易所承诺将在回件中提供详细指示,2021年3月17日之前均有效。但没有具体说明何时偿还客户资金。 Livecoin还警告用户注意非官方的Livecoin聊天群组可能传播虚假信息,并试图欺骗用户。Livecoin 写道: “参加此类群聊的风险很高,因为我们没有任何官方组织。” Livecoin声称其网站是官方信息的唯一来源。该公司还表示,正在进行调查。 Livecoin在12月24日停止了运营,声称交易所遭受了“精心策划的攻击” ,导致其失去了对所有服务器的控制。黑客们设法接管了Livecoin的基础设施,并将交易所的价格调整到异常高的水平。据报道,Livecoin 的比特币交易价格超过30万美元,而当时的市场价格约为2.4万美元。一些用户随后暗示 Livecoin 的“黑客”可能是一个退出骗局。 一些报道称用户猜测Livecoin的最新声明可能是由黑客发布的,而其他用户正向当地执法部门投诉。一些用户出于隐私考虑拒绝向Livecoin发送个人数据。一位据称是平台用户的人提供了Livecoin报销程序所需的数据清单,包括护照扫描、居住信息、高分辨率自拍、关于交易所第一笔交易的数据等等。           (消息及封面来源:cnBeta)

Windows 10 又现新漏洞

这些年来Windows 10出现了很多的诡异Bug。例如,就在前几天,我们报道过一个可能会破坏硬盘驱动器的错误。现在,一个导致Windows崩溃的bug的细节已经出现,但微软似乎并不急于修复它。 这个错误是由之前发现NTFS缺陷的同一位安全研究员Jonas Lykkegaard发现的。他发现通过访问Chrome浏览器中的某个路径,Windows 10会以BSoD(蓝屏死机)的方式崩溃。尽管Lykkegaard早在几个月前就公开了该漏洞的细节,但微软仍未拿出修复方案。 BSoD漏洞非常容易执行,目前还不知道该漏洞的全部后果。Lykkegaard发现,使用Chrome访问路径\.\globalroot\device\condrv\kernelconnect会导致Windows 10中的BSoD崩溃。 BleepingComputer进行的测试显示,从Windows 10版本1709一直到20H2的每一个版本的Windows 10中都可以发现这个bug,很大可能也影响旧版本。 虽然像这样简单的崩溃可能看起来相当无害,但它是一些可以被攻击者利用以掩盖其他活动,或阻止受害者使用他们的计算机。这个错误甚至可以通过简单地给受害者发送一个指向问题路径的快捷方式文件来触发。 在给BleepingComputer的一份声明中,微软表示。”微软有客户承诺调查报告的安全问题,我们将尽快为受影响的设备提供更新”。尽管有这样的承诺,但没有迹象表明相当何时可能提供修复。           (消息及封面来源:cnBeta)

谷歌发布安全报告:详细介绍去年年初检测到的复杂黑客攻击

谷歌今天发布了由六份博文组成的系列安全报告,详细介绍了在 2020 年初检测到的一个复杂黑客活动,攻击目标是 Android 和 Windows 设备。谷歌表示这些攻击都是两台漏洞服务器通过水坑攻击(watering hole attacks)发起的。 谷歌安全团队 Project Zero 在六篇博文的第一篇中指出:“其中一台服务专门针对 Windows 用户,而另一台则针对 Android 用户”。谷歌表示,这两台漏洞服务器都是利用谷歌Chrome浏览器的漏洞在受害者设备上获得初步的切入点。 一旦从浏览器切入,攻击者就会部署操作系统级别的漏洞,以获得受害者设备的更多控制权。该漏洞链使用了多个 Zero-Day 和 N-Day 漏洞,Zero-Day 漏洞指的是软件制造商不知道的漏洞,N-Day 漏洞指的是已经打过补丁但仍在野外被利用的漏洞。 谷歌表示,虽然他们没有发现任何安卓零日漏洞托管在漏洞服务器上的证据,但其安全研究人员认为,威胁行为人很可能也能获得安卓零日漏洞,但很可能在其研究人员发现时,并没有将其托管在服务器上。 总的来说,谷歌将这些利用链描述为“通过其模块化设计来提高效率与灵活性”。谷歌表示:“它们是精心设计的复杂代码,具有各种新颖的利用方法,成熟的日志记录,复杂和计算的后利用技术,以及大量的反分析和目标检查”。 CVE-2020-6418 – Chrome Vulnerability in TurboFan (fixed February 2020) CVE-2020-0938 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1020 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1027 – Windows CSRSS Vulnerability (fixed April 2020)         (消息来源:cnBeta;封面源自网络)

环境署数据库的一个漏洞暴露联合国雇员数据

据一组独立安全研究人员称,联合国环境规划署(简称“环境署”)所属GitHub库的一个漏洞暴露了超过10万条员工记录,包括个人身份信息、联系方式和其他敏感数据。环境署负责协调联合国的环境活动。一个新的道德黑客组织Sakura Samurai在其报告中指出,这些漏洞源于一个暴露GitHub存储库凭证的终端。 “这些凭证让我们有能力下载GitHub库,识别出大量的用户凭证和个人身份信息。我们总共识别了超过10万条私人员工记录。”该小组的安全研究人员之一John Jackson说。 分析还显示,在联合国拥有的名为ilo.org的网络服务器上有多个.Git目录。Jackson在报告中写道:“这些.Git内容就可以用各种工具(如’git-dumper’)进行外泄。” 据Sakura Samurai报道,在研究人员将他们的发现通知给联合国后,该国际组织修复了该漏洞,GitHub库已无法访问。目前无法立即联系到联合国发言人发表评论。研究人员还指出,虽然没有证据表明有威胁行为者访问了这些数据,但这样做相对容易。 研究人员首先接管了属于联合国国际劳工组织的一个MySQL数据库和一个调查管理平台,开始了他们的行动。然后,该小组分析了MySQL数据库中的域,找到了UNEP的子域,这让他们找到了GitHub的凭证。 “最终,一旦我们发现了GitHub凭证,我们就能够下载很多受密码保护的私人GitHub项目,在这些项目中,我们发现了UNEP生产环境的多套数据库和应用凭证,”Jackson指出。 暴露的数据包括超过102000条联合国员工的记录,包括员工的身份证号码、姓名和其他敏感数据。报告称,还可以访问7000多条员工国籍记录、1000多条普通员工记录、项目和资金数据以及环境署项目的评估记录。 研究人员还指出,他们能够找到更多U.N.GitHub库的凭证,这可能导致更多未经授权的访问多个U.N.数据库。“我们决定停止并报告这个漏洞,一旦我们能够访问通过数据库备份暴露的私人项目中的(个人身份信息),”Jackson写道。 GitHub存储库中暴露的员工数据可能会给联合国带来重大的网络威胁。“对员工数据泄露的主要担忧是,在对员工本身以及与他们互动的任何商业伙伴进行高度针对性的后续社会工程攻击时有用,”安全公司Cerberus Sentinel的解决方案架构副总裁Chris Clements说。 “所披露的管理凭证很可能已经足以损害脆弱的应用程序以及共享相同基础设施或重用相同密码的其他应用程序。拥有这种访问权限的攻击者可以将恶意软件插入生产应用程序中,试图感染用户。” 安全公司KnowBe4的安全意识倡导者Javvad Malik表示,攻击者可能会使用这些暴露的数据。“获得对员工潜在敏感信息的访问权限,可以通过网络钓鱼、密码重置或身份窃取来利用对组织、同事或个人本身的攻击,”Malik说。 其他攻击 随着COVID-19的到来,攻击者一直在欺骗联合国和其他机构,作为他们利用流行病主题的运动的一部分。 2月,安全公司Kaspersky和Sophos报告说,黑客利用设计成美国疾病控制和预防中心和联合国世界卫生组织的域名进行网络钓鱼活动。 根据谷歌威胁分析小组的报告,5月份,在印度活动的”hack-for-hire” 组织发出欺骗世界卫生组织的电子邮件,以窃取世界各地金融服务、咨询和医疗保健公司员工的证书。         (消息来源:cnBeta;封面源自网络)

App 称可随意展示健康码红绿码 研发者被采取刑事强制措施

据杭州市人民政府新闻办公室消息,1月13日,杭州市通报近期查处两起涉疫网络违法案件,其中一起通报案件为41岁的男子擅自研发“健康码演示”APP并上传至应用市场,扰乱社会秩序,已被警方采取刑事强制措施。 据杭州市人民政府新闻办公室通报,经杭州市公安机关查明,安某某(男,40岁)于2021年1月4日未经核实将一个有关“因疫情原因,浙江杭州将于今日18时关闭11个高速路口”的虚假视频信息在微信和抖音上进行转发散布,严重扰乱了社会秩序。目前,安某某已被江干区公安分局处以行政拘留7天的处罚。 在另一起通报的案件中,解某某(男,41岁)于2020年4、5月份擅自研发“健康码演示”APP并上传至应用市场,严重扰乱了社会秩序。目前解某某已被西湖区公安分局采取刑事强制措施,案件在进一步侦办。           (消息来源:cnBeta;封面源自网络)

微软发布新版 Sysmon 可用于恶意软件检测

微软发布了新版本的Windows 10 Sysinternals工具Sysmon,该工具可以用来检测黑客将恶意代码注入合法的Windows进程中,以绕过安全措施。Sysmon 13可以监控Windows 10进程的活动,可以检测到通常在任务管理器中看不到的进程掏空或进程herpaderping技术。 进程掏空是指恶意软件在暂停状态下启动合法进程,并用恶意代码替换进程中的合法代码。然后,这个恶意代码就会被进程执行,无论分配给进程的权限是什么。 进程herpaderping是指恶意软件加载后,修改其在磁盘上的映像,改头换面使其看起来像合法软件。当安全软件扫描磁盘上的文件时,它将看到一个无害的文件,而恶意代码却大摇大摆地在内存中运行而不被发现。 该技术被已知的恶意软件使用,包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor。 要启用进程篡改检测,管理员需要在配置文件中添加’ProcessTampering’配置选项。你可以在这里阅读Sysinternals网站上的文档。 您可以从Sysinternal的官方页面或这个地址直接下载Sysmon。       (消息来源:cnBeta;封面源自网络)