分类: 安全快讯

数十亿设备面临 BLESA 低功耗蓝牙重连欺骗攻击的安全威胁

研究人员刚刚曝光了低功耗蓝牙协议存在的一个严重安全漏洞,其全名为低功耗蓝牙欺骗攻击(简称 BLESA),预计有数十亿计的智能手机、平板 / 笔记本电脑、物联网设备首次影响。与此前普遍涉及配对操作的常见漏洞不同,新型 BLESA 攻击是在易被忽略的蓝牙重新连接过程之后发生的。作为经典蓝牙标准的瘦版本,其旨在节省电能和保障续航。 得益于省电节能的特性,低功耗蓝牙(BLE)已在过去十年里被广泛采用,但相关安全漏洞也不断被研究人员曝光。近日,普渡大学的 7 名学者,就在一项新研究中曝光了 BLE 的重连欺骗漏洞。 配对操作期间,两台 BLE 设备(客户 / 服务端)已经过相互认证,并沟通好了彼此的加密密钥。在将蓝牙设备移出范围,下次又返回时,即可对其进行自动重连。 然而研究团队指出,BLE 的官方规范,并未使用足够强的语言来描述重连过程。结果导致在软件供应链的下游,两套系统之间被引入了一个现实的安全隐患。 因为设备重连期间的身份验证是“可选”项,而不是强制性的。若用户设备无法强制 IoT 设备对通信的数据进行身份验证,便很有可能被其绕过。 若被附近攻击者绕过了重连验证,便为 BLESA 攻击敞开了大门。具体说来是,攻击者可将带有错误信息的欺骗数据发送到 BLE 设备,并诱使用户或自动化流程作出错误的决定。 目前已知的是,基于 Linux 的 BlueZ IoT 设备、基于 Android 的 Fluoride、以及 iOS 的 BLE 堆栈都易受到 BLESA 攻击,而 Windows 平台上的 BLE 堆栈则相对安全。 在上月发布的论文中,可知截止 2020 年 6 月,苹果已将 CVE-2020-9770 分配给该漏洞,并作出了修复。然而运行 Android 10 的 Google Pixel XL,仍未采取更加切实有效的防护措施。 好消息是,BlueZ 开发团队表示将弃用易受 BLESA 攻击的部分代码,并换成可适当实现 BLE 重连的修补代码。 不过就像此前的所有蓝牙漏洞一样,对所有易受攻击的设备进行修补,将是系统管理员的一个噩梦(数十亿计的设备)。 如需了解更多有关 BLESA 攻击的详情,还请查阅 8 月在 USENINX WOOT 2020 会议上发表的这篇论文,原标题为《BLESA:针对低功耗蓝牙的重连欺骗攻击》。     (稿源:cnBeta,封面源自网络。)

微软否认 Windows Defender 新功能是一个安全风险

据外媒mspoweruser报道,他们两天前曾报道过Windows Defender增加了通过命令行下载文件的功能。比如MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]。然而有安全研究人员表示担心,新功能增加了Windows 10的攻击能力,它可能会被用来下载恶意二进制文件。 对此,微软现在发表声明回应称:“尽管有这些报告,微软Defender杀毒软件和微软Defender ATP将仍然保护客户免受恶意软件。这些程序可以侦测经由防病毒文件下载功能下载到系统的恶意文件。” 另外微软还表示,该功能不能用于特权升级。 虽然微软否认该功能存在的安全风险,但众所周知,攻击越严重系统的安全性越低。一些用户抱怨称,他们无法通过禁用该新功能来锁定自己的电脑。     (稿源:cnBeta,封面源自网络。)

微软将修改 HOSTS 屏蔽 Win10 遥测数据视作一个严重的安全风险

作为完善 Windows 10 开发的一个重要组成部分,微软希望联网用户允许其上传部分遥测用的系统数据。通常情况下,它会包括 CPU、内存等硬件的基础配置信息,并在传输过程中予以完全的加密。基于分析,微软得以确定系统的安全性和可靠性问题,从而为后续的修复奠定基础。 尽管微软不允许用户彻底禁用遥测收集,但你始终可以清理被 Windows 收集的相关诊断数据。 矛盾的是,虽然遥测被视作 Windows 10 开发所必须、且其它企业也在利用相同的方案来改进其软件,但一些批评人士仍将其视作微软的一项“间谍”行为。 近日,微软为 Windows 10 内置的 Windows Defender(又名 Microsoft Defender)安全软件引入了一项更改。 当检测到用户尝试通过编辑 HOSTS 文件来阻止遥测时,该软件就会发出相应的警告。 维基百科上的资料称,HOSTS 文件被用于辅助网络名称解析(即主机名称到 IP 地址的相关映射)。 但在近日的 Windows 10 更新之后,Microsoft Defender 将特别检查用户的 HOSTS 文件是否已经阻止了微软的遥测服务。 如果尝试编辑 HOSTS 文件以阻止遥测,则会触发 Windows Defender 的这一警告,以阻止用户采取这一措施。 你会注意到对 HOSTS 文件的相关编辑操作将被拒绝保存,且被安全中心标记为“SettingsModifier:Win32 / HostsFileHijack”。 除非点击允许放行,否则这项涉及“严重安全风险”的文件编辑操作将无法继续。当然,这项更新也有助于防止系统文件遭遇其它形式的恶意篡改。     (稿源:cnBeta,封面源自网络。)

安全研究人员警告 Windows 10 定制主题可被用于窃取用户凭证

Bleeping Computer 援引安全研究员 Jimmy Bayne 的 Twitter 爆料称:Windows 10 的主题设置存在漏洞,恶意行为者可创建特定的主题来实施“哈希传递”(Pass-the-Hash)攻击,从而窃取用户的凭证。具体说来是,可安装与其它来源分离的主题功能,使得攻击者能够创建恶意主题文件,从而在文件打开时将用户重定向至需要输入其凭据的页面。 据悉,只需在桌面右键点击,即可引导至“个性化 -> 主题”设置页面。用户可接着点击“保存要分享的主题”,从而创建一个名为“.deskthemepack”的文件。 该方式创建的自定义主题,可通过电子邮件等渠道进行分享、下载和安装。攻击者亦可创建一个类似的“.theme”主题文件,但其中默认的壁纸设置可指向需要身份验证的网站。 当粗心的用户不慎输入其凭据时,包含详细信息的 NTLM 哈希值将被发送到站点进行身份验证,而后攻击者就能够通过特殊的逆运算软件来暴力破解非复杂的密码。 作为应对,Bleeping Computer 想到了通过组策略进行一些限制,以阻止将 NTLM 哈希凭证发送到远程主机。只是对于企业用户来说,这么做可能会干扰到正常的身份验证。 Bayne 补充道,其已将这些发现披露给微软安全响应中心(MSRC)。可惜由于这是一项“设计特性”,该 bug 并未得到修复。 至于软件巨头是否会在后续正式修复、或调整主题文件结构以防止不良利用行为,目前暂不得而知。     (稿源:cnBeta,封面源自网络。)  

美国政府曝光新型 BLINDINGCAN 恶意程序

美国政府机构今天发布了一份恶意软件分析报告,披露了朝鲜黑客在针对美国政府承包商的攻击中远程访问木马(RAT)恶意软件的相关信息。该恶意软件称之为“BLINDINGCAN”,已经得到了网络安全和基础设施安全局(CISA)和联邦调查局(FBI)的确认。 这两个机构表示,该木马背后的黑客组织有朝鲜政府的资助,追踪到的黑客组织为HIDDEN COBRA(又名Lazarus Group 和 APT38)。根据各机构分析,该 RAT 自带 “用于远程操作的内置功能,可在受害者的系统上实现各种功能”。 在警告中写道:“CISA 共收到 4 个 Microsoft Word Open Extensible Markup Language (XML)文档(.docx),两个动态链接库(DLL)”。此外写道:“.docx 文档尝试连接到外部域中进行下载,提交的 32 位/ 64 位 DLL 分别安装名为 ‘iconcache.db’的 32 位/ 64 位 DLL。DLL ‘iconcache.db’会解压并执行 Hidden Cobra RAT 的功能”。 根据CISA和FBI的恶意软件分析结果,BLINDINGCAN恶意软件还可以从被入侵的系统中删除自己,并清理其痕迹以避免被检测等功能。     (稿源:cnBeta,封面源自网络)

谷歌将尝试在 Chrome 86 中隐藏部分网址 以更好地阻止网络钓鱼

随着浏览器地址栏争夺战的推进,谷歌宣布将在 Chrome 86 中开展一项实验,以隐藏部分 URL 路径。该公司称,此举不仅可以帮助用户分辨其当前正在访问哪个网站,还可识别潜在的恶意网站。与此同时,这种让网址变得不太明显的处理方式,或可促使更多人去依赖该公司的搜索服务。 (来自:Chromium Blog) 测试期间,谷歌将面向测试用户去随机开启这项功能。如需查看完整的网址路径,你可以选择将鼠标悬停在 URL 上以展开。或右键点击,并在上下文菜单中选择“始终显示完整 URL”。 不过为了便于在工作场所提供技术支持,以及更好地为同时提供协助,谷歌暂未打算向企业环境的 Chrome 浏览器用户推广这项实验。 感兴趣的朋友,可下载 Chrome Canary 或 Chrome Dev,转至 chrome://flags 并启用以下标志,然后重新启动浏览器: ● #omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover ● #omnibox-ui-sometimes-elide-to-registrable-domain ● #omnibox-ui-hide-steady-state-url-path-query-and-ref-on-interaction(可选操作,在网页加载时显示完整的 URL,直到用户与网页进行了交互)     (稿源:cnBeta,封面源自网络。)

PyPI 官方仓库遭 request 恶意包投毒,腾讯安全提供全面解决方案

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/NVm1jLRy8on0IdnK0ZOwwQ     腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request 钓鱼包,攻击者通过钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。腾讯安全威胁情报中心回溯本次软件供应链攻击事件,发现已有部分用户中招。 一、概述 8月5日,腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request 钓鱼包,攻击者通过钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。腾讯安全威胁情报中心回溯本次软件供应链攻击事件,发现已有部分用户中招。 当用户在安装requests包时,容易将名字打错为 request,结果会使用pip安装成request恶意包。由于requests库非常流行,下载量大,已有部分用户因错误输入包名而被感染。 由于国内开源镜像站均同步于PyPI官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响更大范围。腾讯安全应急响应中心(TSRC)建议各开源镜像站以及对开源镜像站有依赖的公司尽快自查处理,确保清除恶意库,保障用户系统安全。 腾讯安全威胁情报中心已针对本次软件供应链攻击展开应急响应,腾讯安全系列产品均已上线对request恶意包的检测和拦截,具体响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)request恶意包相关IOCs已入库。 腾讯安全威胁情报相关产品均可检测此风险,更多产品信息,可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)request恶意包相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)request恶意包相关联的IOCs已支持识别检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)腾讯主机安全系统已支持查杀利用request恶意包感染的恶意后门程序。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全、腾讯安全漏洞扫描服务等产品的数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用request恶意包相关联的IOCs已支持识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 二、事件分析  (报告来源:腾讯安全应急响应中心) 7月31号,攻击者在PyPI官方仓库上传了request 恶意包,该恶意包通过伪造著名python库requests包名来进行钓鱼,攻击者可对受感染的主机进行入侵,并实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列活动。 恶意包感染过程: 用户安装 根据用户习惯,在安装requests包,容易将名字打错为 request,结果是使用pip安装成恶意包。 pip install requests –>  pip install request 由于requests库非常流行,下载量大,已有部分开发人员因错误输入包名而被感染。 远程下载恶意代码 在pip安装request包的机制中,会主动执行包中的setup.py文件,在setup.py文件中包含攻击者远程下载并执行恶意代码的逻辑,同时对C2域名进行编码混淆,解密后的C2地址为:https://dexy.top/request/check.so 释放远控木马并持久化 request包安装过程中远程加载的恶意代码包括两部分功能: 释放远控木马到当前用户 HOME 目录的 .uds 文件夹内,木马名称为_err.log(例如 /root/.uds/_err.log)。_err.log远控木马脚本内容经过base64编码和压缩,缩小了体积,同时增强了对抗性。   将远控木马脚本解密后,部分代码内容如下:   远控木马功能齐全,包括命令执行,文件上传下载,python代码执行,信息收集,文件搜索等功能。   在 .bashrc 植入恶意后门命令实现持久化 下发窃密指令 相关IoC:攻击者通过远控木马下发python窃密指令,盗取敏感信息(coinbase帐密)。进程监控如下:   将窃密指令解密后,功能为请求C2 服务:http://dexy.top/x.pyx ,远程加载窃密木马。   远程加载的窃密木马部分功能如下所示,用于窃取浏览器中的cookie,虚拟货币(coinbase)账号与密码等。 三、腾讯安全解决方案: 1.腾讯安全专家建议各开源镜像站以及对开源镜像站有依赖的公司尽快自查处理,确保清除request恶意库; 使用”pip show –file request”进行查看(python3使用”pip3 show –file request”),如果结果为”WARNING: Package(s) not found: request”不存在风险。 如果已经安装,请使用”pip uninstall request”进行卸载,建议Linux系统管理员参考以上详细分析报告指引手动完成已安装后门程序的清除。 2.腾讯安全全系列产品已针对本次供应链攻击展开应急响应: 1)    腾讯安全威胁情报已支持request恶意包相关IOCs的检测; 2)    腾讯T-Sec主机安全(云镜)支持检测清除request恶意包: 3)    腾讯T-Sec高级威胁检测系统(腾讯御界)支持检测request恶意包投毒攻击 IOCs 域名: dexy.top who.dexy.top:3500 ip: 199.247.5.158 url:  hxxp://dexy.top/request/check.so hxxp://dexy.top/x.pyx 参考链接: 【安全通知】PyPI 官方仓库遭遇request恶意包投毒 https://mp.weixin.qq.com/s/dkPdXfGfSK097GI6Ln92lA

Linux 基金会联合厂商成立开源安全基金会 OpenSSF

Linux 基金会宣布与多家硬件和软件厂商合作,共同成立了开源安全基金会(OpenSSF),这是一项跨行业的合作,通过建立具有针对性的计划和最佳实践的更广泛的社区,并将领导者聚集在一起,以提升开源软件安全性。 OpenSSF 的成员来自核心基础设施联盟(Core Infrastructure Initiative)、GitHub 开源安全联盟和和其他创始董事会成员,例如 GitHub、Google、IBM、摩根大通、微软、NCC 集团、OWASP 基金会 和 Red Hat。其他创始成员还包括 ElevenPaths, GitLab, HackerOne, Intel, Okta, Purdue, SAFECode, StackHawk, Trail of Bits, Uber 和 VMware。 按照 OpenSSF 官网的介绍,基金会的治理、技术社区及其决策将是透明的,开发的任何规范和项目都将与供应商无关。OpenSSF 致力于与上游社区以及与现有社区的协作和合作,以提升开源安全性。也就是说他们旨在成为一个透明的组织,借此促进厂商之间的合作并提升安全性。 组织的正式成立包括设立一个理事会(Governing Board),一个技术咨询委员会(Technical Advisory Council),并对每个工作组和项目进行单独的监督。OpenSSF 打算举办多项开源技术计划,以支持世界上最关键的开源软件的安全性,所有这些都将在 GitHub 上公开进行。 最初的 OpenSSF 技术咨询委员会得到了来自 GitHub、谷歌、摩根大通、IBM、红帽、微软和 NCC 集团等利益相关者的支持。他们将致力于增强安全工具性能和安全最佳实践、提升识别威胁能力、确保关键项目安全、改进开发者身份验证机制以及类似的举措。 详情查看 OpenSSF.org。 相关链接 Linux 的详细介绍:点击查看 Linux 的下载地址:点击下载     (稿源:开源中国,封面源自网络。)

黑莓开源逆向工程工具 PE Tree,降低逆向复杂度

黑莓方面宣布推出一个新的开源工具“PE Tree”,旨在减少逆向工程恶意软件所需的时间和精力。该公司表示,PE Tree 使得逆向工程师可以使用 pefile 和 PyQt5 在树状视图中查看可移植可执行(Portable Executable,PE)文件,从而降低了从内存中转储和重建恶意软件的门槛,同时提供了社区可以建立的开源 PE 查看器代码库。 PE Tree 还与 HexRays 的IDA Pro 反编译器集成在一起,从而可以轻松导航 PE 结构,以及转储内存中的 PE 文件并执行导入重建, 在识别和阻止各种恶意软件方面至关重要。 该工具采用 Python 开发的,并支持Windows、Linux 和 Mac 操作系统。它可以作为独立应用程序或 IDAPython 插件安装和运行,从而使用户可以检查任何可执行的 Windows 文件并查看其组成。 图 1 独立应用程序 图 2 IDAPython 插件 使用 Ero Carrera 的 pefile 模块分析 PE 文件,然后再映射到树视图中。在那里,用户可以查看 headers 的摘要,包括 MZ header、DOS stub、Rich headers、数据目录等。 此外,左侧的“rainbow view”提供了 PE 文件结构的高级概述,并传达了每个区域的 offset/size/ratio。用户可以单击每个区域以跳至树状视图,或者单击鼠标右键以保存到文件或导出到 CyberChef。 黑莓研究运营副总裁埃里克·米拉姆(Eric Milam)称:“随着网络犯罪分子不断发展,网络安全社区需要在其武器库中使用新工具来捍卫和保护组织和人员。现在市场上已有超过 10 亿个恶意软件,而且这个数字还在以每年 1 亿个以上的数量持续增长。因此我们创建了此解决方案,以帮助网络安全社区进行这场斗争。” 更多详细内容可查看官方博客:https://blogs.blackberry.com/en/2020/08/blackberry-open-source-pe-tree-tool-for-malware-reverse-engineers 相关链接 PE Tree 的详细介绍:点击查看 PE Tree 的下载地址:点击下载   (稿源:开源中国,封面源自网络。)  

报告称美国地方选举官员的电子邮件可能受到网络钓鱼攻击的影响

根据《华尔街日报》的一份新报告,美国各地的许多选举官员正在使用的电子邮件系统可能使他们更容易受到网络钓鱼攻击的影响。Area 1 Security发现,在美国1万个州和地方选举管理机构中,只有不到20%的机构具备先进的反钓鱼控制措施,其中约666名选举官员依靠个人电子邮件地址处理选举相关事务。 据报道,几个州的司法机构正在使用一个版本的免费Exim软件,而俄罗斯GRU情报部门从2019年开始针对该软件进行在线攻击。不过,安全专家称,电子邮件安全薄弱不太可能导致选票被黑客攻击,因为电子邮件系统并没有连接到计票的系统。 但这引发了人们的担忧,即地方选举官员可能对电子邮件系统可能遭到的入侵准备不足。2016年,GRU被指控窃取和泄露希拉里-克林顿总统竞选团队的电子邮件;2018年,GRU曾注册了似乎是伪造政府网址的网络域名,表面上是为了钓鱼的目的。微软在官方认为造成任何损失之前就查封了这些域名。 而据报道,今年已经有外国黑客瞄准了为民主党推定候选人乔-拜登和特朗普总统的竞选活动工作的工作人员的个人电子邮件账户。例如据称伊朗黑客将目标对准了特朗普竞选团队工作人员的电子邮件。报告这些企图的谷歌上个月表示,没有看到这些攻击成功的证据。     (稿源:cnBeta,封面源自网络。)