分类: 安全快讯

黑莓开源逆向工程工具 PE Tree,降低逆向复杂度

黑莓方面宣布推出一个新的开源工具“PE Tree”,旨在减少逆向工程恶意软件所需的时间和精力。该公司表示,PE Tree 使得逆向工程师可以使用 pefile 和 PyQt5 在树状视图中查看可移植可执行(Portable Executable,PE)文件,从而降低了从内存中转储和重建恶意软件的门槛,同时提供了社区可以建立的开源 PE 查看器代码库。 PE Tree 还与 HexRays 的IDA Pro 反编译器集成在一起,从而可以轻松导航 PE 结构,以及转储内存中的 PE 文件并执行导入重建, 在识别和阻止各种恶意软件方面至关重要。 该工具采用 Python 开发的,并支持Windows、Linux 和 Mac 操作系统。它可以作为独立应用程序或 IDAPython 插件安装和运行,从而使用户可以检查任何可执行的 Windows 文件并查看其组成。 图 1 独立应用程序 图 2 IDAPython 插件 使用 Ero Carrera 的 pefile 模块分析 PE 文件,然后再映射到树视图中。在那里,用户可以查看 headers 的摘要,包括 MZ header、DOS stub、Rich headers、数据目录等。 此外,左侧的“rainbow view”提供了 PE 文件结构的高级概述,并传达了每个区域的 offset/size/ratio。用户可以单击每个区域以跳至树状视图,或者单击鼠标右键以保存到文件或导出到 CyberChef。 黑莓研究运营副总裁埃里克·米拉姆(Eric Milam)称:“随着网络犯罪分子不断发展,网络安全社区需要在其武器库中使用新工具来捍卫和保护组织和人员。现在市场上已有超过 10 亿个恶意软件,而且这个数字还在以每年 1 亿个以上的数量持续增长。因此我们创建了此解决方案,以帮助网络安全社区进行这场斗争。” 更多详细内容可查看官方博客:https://blogs.blackberry.com/en/2020/08/blackberry-open-source-pe-tree-tool-for-malware-reverse-engineers 相关链接 PE Tree 的详细介绍:点击查看 PE Tree 的下载地址:点击下载   (稿源:开源中国,封面源自网络。)  

报告称美国地方选举官员的电子邮件可能受到网络钓鱼攻击的影响

根据《华尔街日报》的一份新报告,美国各地的许多选举官员正在使用的电子邮件系统可能使他们更容易受到网络钓鱼攻击的影响。Area 1 Security发现,在美国1万个州和地方选举管理机构中,只有不到20%的机构具备先进的反钓鱼控制措施,其中约666名选举官员依靠个人电子邮件地址处理选举相关事务。 据报道,几个州的司法机构正在使用一个版本的免费Exim软件,而俄罗斯GRU情报部门从2019年开始针对该软件进行在线攻击。不过,安全专家称,电子邮件安全薄弱不太可能导致选票被黑客攻击,因为电子邮件系统并没有连接到计票的系统。 但这引发了人们的担忧,即地方选举官员可能对电子邮件系统可能遭到的入侵准备不足。2016年,GRU被指控窃取和泄露希拉里-克林顿总统竞选团队的电子邮件;2018年,GRU曾注册了似乎是伪造政府网址的网络域名,表面上是为了钓鱼的目的。微软在官方认为造成任何损失之前就查封了这些域名。 而据报道,今年已经有外国黑客瞄准了为民主党推定候选人乔-拜登和特朗普总统的竞选活动工作的工作人员的个人电子邮件账户。例如据称伊朗黑客将目标对准了特朗普竞选团队工作人员的电子邮件。报告这些企图的谷歌上个月表示,没有看到这些攻击成功的证据。     (稿源:cnBeta,封面源自网络。)

Zoom 爆出一个只影响 Windows 7 及以下版本的远程代码执行漏洞

安全研究人员在Windows的Zoom客户端中发现了一个远程代码执行漏洞,从目前来看,只有安装了Windows 7的系统才会真正暴露在风险之下。在Zoom实际解决该漏洞之前,安全公司0patch先行发布了针对该漏洞的微补丁,该公司解释说,这一漏洞的危险性较高,远程攻击者只需说服用户执行一个简单的动作,比如打开一个文件,就可以利用该漏洞。 一旦恶意文件被加载,攻击者就可以发起RCE攻击,而受害者的电脑上不会显示任何警告。虽然该漏洞存在于所有Windows版本的Zoom客户端中,但只有Windows 7电脑会受到威胁。 “这个漏洞只在Windows 7和更早的Windows版本上可以利用。它很可能在Windows Server 2008 R2和更早的版本上也可以利用,尽管我们没有测试;但是无论是哪个系统,我们的微补丁都会保护你,无论你在哪里使用Zoom Client,”0patch指出。 随后,Zoom在其Windows客户端的5.1.3版本中修补了这个错误。之前安装了0patch发布的微补丁的用户在应用Zoom官方修复版时不需要做任何事情,因为微补丁本身会自动失效。 这个漏洞表明,始终运行受到支持的Windows版本是多么重要。Windows 7的官方支持在今年1月结束,这意味着这款来自2009年的操作系统不再能够从微软获得任何新的更新和安全补丁。额外的修复程序是通过定制的安全更新(收费提供)或使用0patch等第三方产品来运送的。     (稿源:cnBeta,封面源自网络。)

警方正在购买黑客窃取数据的访问权 以从中搜集调查线索

Motherboard网站报道,一些公司正在向政府机构出售从网站上窃取数据的访问权限,希望它能产生调查线索,数据包括密码、电子邮件地址、IP地址等。一家名为SpyCloud的公司向潜在客户展示的幻灯片显示,该公司声称授权世界各地执法机构和企业调查人员更快速有效地将恶意行为者绳之以法。 该幻灯片是由一位担心执法机构购买黑客数据访问权的消息人士分享的。SpyCloud向Motherboard证实了这些幻灯片的真实性。SpyCloud的联合创始人兼首席产品官Dave Endler在电话中告诉Motherboard :”我们正在将犯罪分子数据与他们对立起来,我们正在赋予执法部门这样做的权力。” 曝光的幻灯片突出了被泄露数据的一种新用途,并表明通常与商业部门相关的数据也可以被执法部门重新利用。但这也引发了执法机构是否应该利用原本被黑客窃取信息的问题。通过购买SpyCloud的产品,执法部门也将获得与任何犯罪无关人的黑客数据,绝大多数受数据泄露影响的人都不是罪犯。令人不安的是,执法部门可以简单地买到大量的账户信息,甚至是密码,而无需获得任何法律程序。       (稿源:cnBeta,封面源自网络。)

TikTok 欧洲用户隐私保护工作将于7月29日移交给爱尔兰和英国分公司

根据字节跳动本周一发布的新闻稿,为欧洲 TikTok 用户提供隐私保护的责任将转移到爱尔兰和英国的分公司中。在调整后,EEA-Swiss 地区用户的服务提供商将更改为 TikTok Ireland,英国地区也会进行相同调整。 在今天发布的声明中,TikTok 负责欧洲、中东、非洲地区信任和安全的主管 Cormac Keenan,以及负责 EMEA 地区的企业事务总监 Madeline Moncrieff 表示这项调整将于7月29日生效。 在声明中写道: 自 TikTok 推向欧洲以来,我们已经投资于当地人才,创建了一个区域高级领导团队,并在该地区设立了必要的业务职能,因为我们相信这是支持我们在这里不断增长的TikTok社区的最佳方式。 从7月29日起,TikTok的爱尔兰和英国分公司将接替我们的美国 TikTok Inc,为欧洲的用户提供 TikTok,并管理和保护他们的个人数据。 TikTok在欧洲拥有1000多名员工,其中800名员工在英国和爱尔兰工作。伦敦仍然是该公司的主要办事处,是其第二大办事处,在都柏林的信托和安全中心由 Keenan 先生领导。今年1月,该公司表示将在都柏林建立一个新的欧洲基地,雇佣100名员工。 在声明中写道:“随着我们在整个地区的扩张,TikTok爱尔兰已经负责维护用户在欧洲的隐私和安全。我们在都柏林的信任和安全中心使我们能够专注于加强政策、技术和节制策略,以保证我们的社区安全,而我们新的数据隐私团队将专注于维护数据保护的最高标准。这项工作由数据保护官办公室监督,以推动问责制并鼓励隐私意识和合规文化。”   (稿源:cnBeta,封面源自网络。)

德法院裁定 Facebook 需遵守监管命令:限制其收集用户数据

德国联邦法院周二裁定,Facebook必须遵守德国反垄断监管机构颁布的一项限制收集用户数据的命令,这对该公司来说是个挫败。联邦法院发布了一项暂缓执行令,暂停了下级法院的一项裁决,支持联邦卡特尔办公室(Federal Cartel Office)最初的观点,即Facebook滥用其市场主导地位,在未经许可的情况下收集用户信息。 “我对这项裁决感到高兴。”联邦卡特尔办公室主席安德烈亚斯·蒙特(Andreas Mundt)表示,原因是其表明“如果数据被非法收集和利用,应有可能采取反垄断行动以防市场力量被滥用”。 Facebook表示,这项最新的裁决与仍在继续的上诉程序之间没有直接关系。该公司表示:“我们将继续捍卫自己的立场,即我们并未从事反垄断的滥用行为。对于使用我们产品和服务的德国个人或企业来说,不会马上有什么变化。” 德国一直站在全球抵制Facebook的前沿,该公司面临着越来越多的批评,称其平台被用来传播政治虚假信息。 德国联邦法院在裁决中称其不反对卡特尔办公室的结论,即Facebook滥用其市场主导地位,而且该公司使用数据的行为并未得到用户的充分许可。   (稿源:新浪科技,封面源自网络。)

Red Hat 报告了一个安全问题,可导致 DoS

Red Hat 近日报告了一个内核中的安全问题,根据描述,Red Hat 内核在“关联数据的身份验证加密”(AEAD,Authenticated Encryption with Associated Data)中存在缺陷,这是一种加密技术。具体是在 IPsec 加密算法模块 authenc 的 crypto/authenc.c 中的 crypto_authenc_extractkeys 中发现了缓冲区超读漏洞。当有效载荷大于 4 字节且未遵循 4 字节对齐边界准则时,它将导致缓冲区超读威胁,从而导致系统崩溃。此漏洞使具有用户特权的本地攻击者可以执行拒绝服务。 目前该漏洞已录入 CVE-2020-10769。 不过该问题在 17 个月前也就是 19 年 1 月的 Linux LTS 内核上游中已经修复过了,详情见 https://lkml.org/lkml/2019/1/21/675。 并且在 14 个月前,该问题的回归测试也已经提交到了 LTP(Linux Test Project,Linux 测试项目),此次发现这一特定下游问题,应当是 LTP 测试未通过导致的。因此报告安全的邮件中提醒:“大多数 Linux 内核已经修复了这一错误,而没有在 LTP 中添加回归测试,这意味着挑选特定内核补丁来修复 LTP 问题不如合并所有 LTS 内核修复程序来得稳妥。”   (稿源:开源中国,封面源自网络。)

亚马逊云服务在二月中旬挡下了 2.3 Tbps的 DDoS 攻击

亚马逊表示,其 AWS Shield 防火墙曾于今年 2 月中旬挡下了迄今为止最猛烈的分布式拒绝服务(DDoS)攻击。该公司在近日发布的《威胁纵览》(AWS Shield Threat Landscape)报告中进行了披露。与 2018 年 3 月记录的 1.7 Tbps 峰值相比,本次攻击的规模达到了创纪录的 2.3 Tbps 。 虽然没有提及客户的名称,但亚马逊透露本次攻击利用了被劫持的 CLDAP Web 服务器,该公司 AWS Shield 部门员工花了三天时间来应对威胁的升级。 CLDAP 全称为“无连接轻量级目录访问协议”,作为较早的 LDAP 协议的替代,其主要被用于连接、搜索和修改互联网上的共享目录。 自 2016 年底以来,该协议已被广泛应用于分布式拒绝服务攻击,因为 CLDAP 服务器会将 DDoS 流量放大到初始的 56~70 倍。 2018 年 3 月的时候,Netscout Arbor 挡下了当时创纪录的 1.7 Tbps DDoS 攻击,一个月前袭击 GitHub 的攻击流量也达到了 1.3 Tbps 。 这两起事件主要涉及互联网上暴露的 Memcached 服务器的滥用,当时这种攻击形式算是相当新颖,但很快被许多黑客和兜售 DDoS 服务的组织所盯上。 好消息是,得益于互联网服务提供商(ISP)、内容交付网络(CDN)和其它互联网基础设施企业的共同努力,现下的大规模 DDoS 攻击已变得相当罕见。 Link 11 在其 2020 年 1 季度报告中指出,其缓解的最大一次 DDoS 攻击的流量为 406 Gbps 。如果取平均值的话,今年 1 季度的单次 DDoS 攻击规模仅在 5 Gbps 左右。 同期 Cloudflare 应付的 DDoS 攻击峰值略超 550 Gbps,Akamai 今早公布的 2020 年 6 月首周的那起 DDoS 攻击,挡下的流量也才 1.44 Tbps 。 CloudFlare 表示,今年 1 季度的 DDoS 攻击中,有 92% 的流量低于 10 Gbps,其中 47% 甚至不到 500 Mbps 。     (稿源:cnBeta,封面源自网络。)

美国电信网络疑似遭遇 DDoS 攻击,几乎全国网络瘫痪

外媒9To5Mac报道,主要的移动运营商(T-Mobile、Metro、Verizon、AT&T、Sprint等均遭遇大规模DDos攻击。 这些攻击的潜在源头仍然不得而知。人气颇高的“匿名者”Twitter帐户@YourAnonCentral推测它“源头可能是。” 大量用户前往运营商官网及其他社交平台发帖催促维修,大量美国用户投诉无法正常通讯,例如无法正常拨打电话和接听电话。网络连接更是非常不稳定,他们因此而耽误了不少的工作。 此次美国运营商网络瘫痪覆盖地区主要为迈阿密、亚特兰大、休斯顿、芝加哥、纽约市布鲁克林区、洛杉矶等地。 T-Mobile 技术总裁 Neville Ray对昨日突发的通讯故障进行解释: 尽管语音和短信业务的投诉遍布四大运营商(包括 AT&T、Verizon、甚至 Sprint),但事实证明只有 T-Mobile 真正遭遇了技术问题。其他运营商客户发现自己无法拨通 T-Mobile 用户的号码,结果误以为自己所在的网络线路也不通。 虽然 T-Mobile 承认遇到故障,但它并没有深入解释到底是如何波及竞争对手的网络客户的。 奇怪的是,T-Mobile 的数据服务没有受到影响,人们依然可以通过即时消息(IM)或视频聊天进行沟通。 经过紧张的修复,太平洋标准时晚 10:03,T-Mobile 报告称所有服务均已恢复正常。 现在,T-Mobile 技术总裁 Neville Ray 试图解释故障背后的基础细节。他表示,尽管该公司设置了冗余,但某家租用光纤供应商的线路遇到了问题,结果导致备份失效和系统超载。 在此期间,用于语音呼叫(尤其是 VoLTE 业务)的核心网络遭遇了容量瓶颈。Neville Ray 对实际业务未能达到预期的卓越水准而向遭受不便的客户深表歉意。 按照T-Mobile的解释,是光纤中断造成系统超载,影响了四大运营商的语音业务,这恰巧也解释了流量突发的原因不是DDos攻击。     (稿源:网易科技,封面源自网络。)

部分 Microsoft Edge 开机自动启动,微软确认是 bug

本月初微软通过 Windows Update 将新版 Microsoft Edge 推送给用户,并自动取代旧版 Edge。当然,如果系统原本默认的浏览器不是 Microsoft Edge,那么升级到新版后也不会改变这一设置。 不过部分用户最近反馈的一个情况却会让人误以为微软正在另辟蹊径让他们将 Microsoft Edge 作为默认浏览器。根据用户的反馈,无论在 edge://settings/onStartup 中进行了哪种设置,无论何时启动 PC 并登录 Windows,部分 Microsoft Edge 都会随系统启动而启动。也就是说,开机并进入桌面后,Microsoft Edge 便会自动启动。 微软收到反馈的消息后,很快就确认了这是一个 bug。不过工程师目前也不能确认此错误的发生是否伴随了系统其他的行为更改。 上文提到的 edge://settings/onStartup 设置影响的是打开浏览器后的行为,与操作系统的设置并没有直接关系。 由于用户提供的信息有限,因此工程师无法定位导致 bug 产生的原因。不过根据外国科技媒体 Softpedia 的报道,这种情况发生在通过 Windows Update 自动下载安装更新的设备上。 如果你也受到此问题的影响,并且希望帮忙解决问题,可查看博客文章以获取详细信息。在博客文章中,微软提供了有关如何通过浏览器内置反馈工具共享诊断数据的完整说明。     (稿源:开源中国,封面源自网络。)