分类: 安全快讯

SQLite 漏洞 Magellan 2.0 允许黑客在Chrome浏览器上远程运行恶意程序

近日腾讯刀锋(Tencent Blade)安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞,允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753,所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0(麦哲伦)是一组存在于SQLite的漏洞。它由Tencent Blade Team发现,并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响十分广泛。经测试,Chrome浏览器也受此漏洞影响,目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文,除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外,苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中,通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan(麦哲伦)”。根据SQLite的官方提交记录,麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞,攻击者可以在用户电脑上远程运行恶意代码,导致程序内存泄露或程序崩溃。 目前,Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时,Tencent Blade Team也提醒用户及时关注系统与软件更新通知,需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium,因此仍会受到影响。 另外,虽然并不支持Web SQL,但Firefox也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议,使用Chromium系产品的团队,请尽快更新至官方稳定版本71.0.3578.80,如果使用产品中涉及SQLite,请更新到3.26.0. 另外,如暂时没有条件采用官方提供的修补方案,也有一些应急建议方案: 关闭SQLite中的fts3功能; 禁用WebSQL:编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范,目前仅有Chrome、Safari支持。 最后,验证方法:重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源:cnBeta,封面源自网络。)

数十个含恶意软件的《星战9》种子资源正出现在多个网站中

每当备受期待的节目或电影上映甚至临近上映时,盗版内容就会开始泛滥。成千上万的人开始寻找免费在线观看最新内容的方法,而一些不良行为者总是很快就可以利用这一趋势。例如去年,恶意软件伪装成《权力的游戏》等剧集,该剧的种子资源病毒泛滥,占比高达17%。 由于剧集非常受欢迎,骗子借此机会将病毒和其他危险软件与伪造甚至真实的视频文件一起传播。 现在,似乎骗子再次利用了这些策略。在迪士尼发行《星球大战:天行者崛起》电影之后,似乎很多互联网用户已经成为“以星球大战为主题的恶意软件攻击的受害者”。据报道,卡巴斯基实验室在2019年发现了285103次这类攻击。 就其本身而言,这是一个惊人的数字,但据报道,最近,该公司在“ 30多个”网站和社交媒体帐户中发现了65个恶意软件“活动”。所有这些活动旨在针对希望免费下载最新《星球大战》电影的个人。对于更精通技术的用户而言,这些“活动”中的大多数显然都是可疑的,并且很容易避免。 但是,对于那些缺乏网络经验的人来说,很容易就可以从表面上获得这些太过真实的提议,这些人似乎经常成为此类陷阱的受害者。 在接下来的几周内,虚假的《星球大战》下载“活动”的数量可能只会增加,因此卡巴斯基建议用户保持警惕,并最好前往影院观看电影。另外,也可以等待其登陆官方流媒体或下载平台,例如Amazon,Disney +或其他平台。   (稿源:cnBeta,封面源自网络。)

美国海军因担忧安全问题而禁止其军事人员使用 TikTok

据报道,由于担心网络安全问题,美国海军已禁止TikTok应用程序工作在由政府配发的移动设备之上。路透社周五报道,美国海军在本周初发布在Facebook页面上的军事人员公告中表示,那些未删除该短视频应用程序的人将被海军内部网络拒绝访问。 海军和TikTok都没有立即回应置评请求,但五角大楼发言人在接受路透社采访时说,该禁令是“解决现有威胁和新兴威胁”举措的一部分。 发言人说,该公告“确认了与使用TikTok应用程序相关的潜在风险,并指导员工采取适当措施以保护其个人信息。”但是,海军不会透露TikTok会带来什么危险的细节。 TikTok由总部位于北京的字节跳动(ByteDance)拥有,美国官员一段时间以来对中国科技公司的产品充满了担忧,称其可能会被用于间谍活动和其他威胁性活动。 路透社指出,在参议员查克·舒默(Chuck Schumer)对使用该应用程序的陆军招募工作表示担忧之后,上个月,美国陆军已先行禁止学员使用TikTok。   (稿源:cnBeta,封面源自网络。)

Android 端 Twitter 应用曝出安全漏洞:信息恐已泄漏 推荐尽快更改密码

今天早些时候,推特(Twitter)面向所有Android端推特用户发送了一封电子邮件,在确认公司已经修复Android端APP存在的严重漏洞之外,有黑客可能通过该漏洞获取了部分用户账户信息。在公司发布的详细博文中,推特表示公司目前并没有发现任何直接证据表明这些数据已经被使用,在暗网或者其他渠道上也没有披露/出售的信息。 但是作为预防措施,推特已经通过电子邮件和移动APP的方式通知用户尽快更改密码,从而确保自己的账户安全。此外该公司还向用户发布了相关说明和APP更新。 在电子邮件中写道: 我们最近修复了存在于Android端Twitter应用中的一个漏洞,该漏洞能够让不良行为者看到非公开帐户信息或控制您的帐户(即发送推文或直接消息)。在修复之前,通过将恶意代码插入Twitter应用程序受限制的存储区域等复杂过程,不良行为者可能已经可以访问来自Twitter应用程序的信息(例如,直接消息,受保护的推文,位置信息)。 我们没有证据表明恶意代码已插入到应用程序中或已利用此漏洞,但是目前我们无法百分百确认,因此我们需要格外的小心。   (稿源:cnBeta,封面源自网络。)

阿联酋社交应用 ToTok 被发现监视其用户 已被下架

与WhatsApp和Skype相似,阿联酋用户消息传递应用程序ToTok对外宣称旨在连接任何人。但是,美国官员却发现该应用程序的目的邪恶。阿拉伯联合酋长国政府一直在利用这款名为ToTok的消息应用跟踪用户。包括但不限于数据挖掘文本对话,通过定位服务收集物理位置以及记录设备使用时的音频。 ToTok能够成为一个流行应用的吸引力在于它在限制了其他更受欢迎的消息服务的国家(如阿拉伯联合酋长国)中运行良好。在中东国家,许多公民无法使用诸如WhatsApp之类的流行消息传递应用程序。 ToTok可用于Android和苹果iOS设备,在中东,欧洲,亚洲,非洲以及最近在北美变得越来越流行。在发现安全隐患后,苹果和谷歌都已从其应用商店中删除了该应用。以前下载ToTok的用户仍然可以使用该应用程序,直到他们从手机上手动将其删除为止。 ToTok的用户群主要位于阿联酋。但是,在其推出的几个月再到从App Store和Google Play移除之前,它也已成为美国下载次数最多的社交应用之一。 据《纽约时报》报道,目前尚不清楚情报官员何时确定ToTok有跟踪用户和挖掘数据的操作。一位知情人士说,美国官员已在内部警告一些盟友有关运行ToTok的危险。   (稿源:cnBeta,封面源自网络。)

以为“订单询价”是财神到了,结果却是一个陷阱……

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/l9FMQq6i1nNopeVrF7X9Sw   一、背景 腾讯安全御见威胁情报中心检测到利用钓鱼邮件传播NetWire RAT变种木马的攻击活跃。攻击者将“订单询价”为主题的邮件发送至受害者邮箱,在附件中提供精心构造的利用Office漏洞(CVE-2017-8570)攻击的文档,存在漏洞的电脑上打开文档,会立刻触发漏洞下载NetWire RAT木马,中毒电脑即被远程控制,最终导致商业机密被盗。 NetWire是一种活跃多年的,公开的远程访问木马(RAT),该木马至少从2012年开始就被犯罪分子和APT组织使用。此次攻击中使用的NetWire变种采用MS Visual Basic编译,并且通过添加大量无关指令隐藏恶意代码。为了对抗分析,NetWire还会以调试模式启动自身为子进程并提取恶意代码注入。 NetWire RAT木马安装到受害系统后,会添加自身到系统启动项,搜集系统信息上传至服务器,然后接受控制端指令完成下载执行、搜集系统信息、搜集登录密码、记录键盘输入以及模拟鼠标键盘操作等行为。攻击者利用的Office漏洞(CVE-2017-8570)影响Office 2007至2016之间的多个版本。 NetWire攻击流程 二、详细分析 以咨询商品报价订单为主题的钓鱼邮件。 邮件附件是一个RTF文档RFQ# 19341005D.doc(默认用Word关联打开),其内容被写入了人物“John Smith”的维基百科查询返回结果。而该文档实际上包含黑客精心构造的CVE-2017-8570漏洞利用代码,该漏洞影响Office2007-Office2016之间的多个版本。存在漏洞的系统上使用Office程序打开攻击文档会触发漏洞攻击,微软已在2017年7月发布该漏洞的安全更新。 打开RTF文档后,会自动释放文档中被插入的Package对象到%temp%目录,Package对象实际上是一个恶意Scriptletfile(.sct)脚本文件。 CVE-2017-8570漏洞触发成功后会直接加载文档释放到%temp%目录下的trbatehtqevyaw.ScT脚本执行,Scriptletfile启动Powershell命令下载 http[:]//www.komstrup.com/pure/zomstag.png或http[:]//www.komstrup.com/pure/zomdost.png,保存为%Temp%\zomstag.exe或%Temp%\zomdost.exe。 zomstag.exe(zomdost.exe)是公开的远程控制木马NetWire的变种,该木马至少从2012年开始就被犯罪分子和APT组织使用,是一款商业木马。 该NetWire变种是使用MS Visual Basic编译的,并且使用了多种反分析技术来对抗分析。 添加大量无关指令隐藏恶意代码。 动态地将恶意代码提取到内存中,然后跳转到目标位置执行。 NetWire添加自身到注册表的自动运行组 <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows之中,使得当受感染的系统启动时可以自动运行。 并且创建注册表<HKCU>\SOFTWARE\NetWire、<HKCU>\SOFTWARE\NetWire\HostId、 <HKCU>\SOFTWARE\NetWire\Install Date,在其中记录受害机器ID和木马安装时间。 NetWire将自己重新启动为子进程时,使用指定的DEBUG_ONLY_THIS_PROCESS标志进行重新启动,这使得父进程充当子进程的调试器,导致其他调试器无法附加到子进程,从而阻止分析员分析恶意代码细节。然后修改子进程其内存和线程的上下文数据,在线程上下文中修改OEP值,提取NetWire的真实恶意代码并覆盖子进程中的现有代码,接着在子进程中执行该代码。 NetWire创建了一个日志文件夹,用于存储从受害者系统收集的信息的日志文件,日志文件夹位于”%AppData%\Updater”。它将记录受害者的所有键盘操作、时间以及受害者所键入内容,记录的数据被编码后保存到日志文件中。 NetWire与C&C地址45.89.175.161:3501通信,搜集计算机基本信息,包括当前登录的用户名,计算机名称,Windows版本信息,当前活动的应用程序标题,计算机的当前时间,计算机的IP地址等信息发送至控制服务器,然后等待服务器返回的指令,进行以下操作: 1、获取受害者持续处于非活动状态的时间。 2、执行下载的可执行文件,或执行现有的本地文件。 3、执行以下操作:退出NetWire进程,关闭C&C服务器的套接字,从系统注册表中的Home键读取值,重置或删除指定的注册表键,删除NetWire可执行文件并重新定位其可执行文件。 4、收集受害者系统的分区和硬盘驱动器信息,获取指定文件夹中的文件信息,通过指定的文件类型获取文件信息,创建指定的目录和文件,将内容写入指定的文件,删除、重定位特定文件,以及其他与文件相关的操作。 5、窃取并收集通过不同软件存储在受害者系统中的凭证。 重点针对以下软件:360Chrome、Opera、Mozilla Firefox、Mozilla SeaMonkey、Google Chrome、Comodo Dragon浏览器、YandexBrowser、Brave-Browser、Mozilla Thunderbird、Microsoft Outlook和Pidgin。 除此之外,还会从历史记录文件夹中读取受害者的浏览器历史记录。 6、操作该文件夹中的日志文件(%AppData%\Updater)包括枚举日志文件、获取指定的日志文件属性、读取和删除指定的日志文件。 7、获取在受害者设备上创建的窗口句柄。 8、收集受害者的计算机基本信息。 9、控制受害者的输入设备,可模拟键盘和鼠标操作。 NetWire RAT控制端界面 三、安全建议 1、及时修复Office漏洞CVE-2017-8570,参考微软官方公告: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570 2、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 3、建议升级Office系列软件到最新版本,对陌生文件中的宏代码坚决不启用;版本过低的Office、Adobe Acrobat、Flash等组件的漏洞一直是黑灰产业重点攻击目标。 4、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.89.175.161 MD5 13613f57db038c20907417c1d4b32d41 750de24fff5cead08836fe36ba921351 ca1e938142b91ca2e8127f0d07958913 fe24be93ce873d53338ccaa870a18684 URL http[:]//www.komstrup.com/pure/zomdost.png http[:]//www.komstrup.com/pure/zomstag.png http[:]//www.komstrup.com/pure/zomebu.png 参考链接: https://www.fortinet.com/blog/threat-research/new-netwire-rat-variant-spread-by-phishing.html

Geerban 勒索病毒正在爆破传播,还用了数十款密码抓取工具

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/PRvcgISEyjek0xh1MW50Qw   一、概述 腾讯安全御见威胁情报中心接受到用户求助,称其公司内服务器文件被全盘加密,被加密文件全部修改为.geer类型。经远程协助查看,攻击者疑似通过RDP弱口令登录成功后投毒,再将系统日志全部清除,并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多,攻击者利用这些工具,对内网其它机器实施攻击,以扩大勒索病毒对该企业网络的破坏数量,勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件,暂无有效的解密工具,我们提醒各政企机构高度警惕,尽快消除危险因素,强化内网安全。 二、分析 该勒索病毒编写极为简洁,仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数,希望借此躲过一些3环的调试下断和部分软件的Hook流程。同时,该病毒加密文件并不做类型区分、地域区分、会尝试加密全盘所有可访问到的文件,整个勒索加密模块更像是为了此次攻击,紧急编写制作而成。 病毒使用RSA+salsa20的方式对文件进行加密,RSA公钥硬编码Base64编码后存放,全局生成的salsa20密钥将被该公钥加密后作为用户ID使用,对每个文件生成salsa20密钥后使用全局密钥加密存放于文件末尾,被加密文件暂时无法解密。 如下图中,文件被加密后添加geer扩展后缀,同时留下名为READ_ME.txt勒索信,要求用户联系指定邮箱geerban@email.tg购买解密工具。 查看用户侧染毒环境可知,攻击者并不满足于只攻陷这一条服务器,还企图在内网中攻击其它机器。根据被加密的残留痕迹信息可知,攻击者在目标机器部署了大量对抗工具,主要有进程对抗工具(processhacker,Pchunter等),内网扫描工具(NS),系统日志清理工具(Loggy cleaner.exe),同时还有大量的本地密码抓取工具(包括mimikztz本地口令抓取,各类浏览器密码抓取,邮箱密码抓取,RDP,VNC登录口令抓取等工具)。 被攻击环境中存在大量残留的密码抓取工具,此时攻击者会尝试利用扫描工具进一步探测内网其它开放风险服务的机器,一旦该部分机器使用了与本机相同被窃取的弱密码,则也会同时成为攻击者加密目标。 联系攻击者可知,其索要0.37比特币的解密赎金,市值约1.7万人民币。 三、安全建议 企业用户: 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 对重要文件和数据(数据库等数据)进行定期非本地备份。 教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码 打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5: b27e50375a815f59a8a8b33fd5d04367

微软建议勒索软件攻击受害者不要向黑客支付赎金

如今,勒索软件攻击变得越来越普遍,但与此同时,同意支付解密密钥费用的受害者人数也在增加。简而言之,勒索软件攻击是加密存储在受感染设备上的文件,并随后锁定系统。要求受害者为解密密钥支付赎金,从技术上讲,这将使他们能够重新获得对设备和文件的访问权限。 虽然无法保证黑客实际上会提供解密密钥,但越来越多的公司同意在设备受到威胁后向网络罪犯付款。最近几天有两个这样的案件。首先,黑客设法闯入新泽西州最大的医院 Hackensack Meridian Health 网络并锁定所有电子设备后,医院已经付钱给黑客以重新获得对系统的控制权。此外,加拿大公司 LifeLabs 同意支付赎金,以换取 1500 万客户的数据。 对此,微软在一篇文章当中表示,微软绝不鼓励勒索软件受害者支付任何形式的勒索要求。支付赎金通常是昂贵,危险的,并且只会加重攻击者继续作战的能力。最重要的是,向网络犯罪分子付费以获得勒索软件解密密钥,并不能保证您的加密数据将被还原。 文章接着详细介绍了公司在勒索软件攻击时的准备方法,重点放在关键系统和文件的备份上。恢复到已知良好状态的能力,是应对任何信息安全事中最关键的策略,尤其是对付勒索软件方面。保持安全的其他方法包括电子邮件过滤,系统补丁和漏洞管理,防病毒保护以及应用程序白名单等等。   (稿源:cnBeta,封面源自网络。)

NextDNS 与 Firefox 合作 帮助增强用户隐私和安全性

Mozilla宣布与NextDNS合作,以帮助提高其用户的隐私和安全性。 NextDNS跟随Cloudflare,成为Firefox的Trusted Recursive Resolver(TRR)计划的成员,该计划旨在增强DNS安全性和隐私性。 域名系统(DNS)会根据您键入的URL来确定将浏览器定向到哪个IP。这种旧技术有一些缺点,例如DNS提供商知道您正在浏览的内容以及中间人可能拦截该IP地址,然后请求并将您的浏览器指向其他位置,许多基于DNS的家长控制功能使用此技术来阻止对相关网站的访问。 作为TRR的一部分,NextDNS必须遵守Mozilla制定的一些规则,包括数据将仅用于操作服务,并且必须在24小时后删除。TRR还声明,不能将数据出售、共享或授权给其他方,以确保用户隐私。DNS反对者对HTTPS(DoH)提出的一个担忧是,它干扰了家长的控制。根据TRR规则,Mozilla要求合作伙伴应该允许用户选择过滤,这样父母就可以在孩子的设备上设置家长控制。 Mozilla表示,它希望吸引更多合作伙伴加入TRR计划,以将DNS系统提升到21世纪的水平,并提供用户期望的隐私和安全保护。   (稿源:cnBeta,封面源自网络。)

谷歌修复 Android 版 Chrome 浏览器中的数据丢失 bug

谷歌于今日发布了面向 Android 用户的 79.0.3945.93 版 Chrome 浏览器更新,修复了困扰用户的若干问题。本周早些时候,许多安装了 Chrome 79 的 Android 用户,汇报其遇到了包括数据丢失在内的一些奇怪问题。谷歌在调查后发现,问题或与 WebView 组件中存在的一个 bug 有关。 (来自:Google Play,via Softpedia) 鉴于该组件被许多 Android 应用程序所使用,难免引发人们的忧虑。不过谷歌澄清道:数据并没有丢失、而是被隐藏,在将 Chrome 升级到最新版本后,即可重新见到。 发行说明中写到 — 修复了 WebView 中的一个问题,或导致某些用户的应用程序数据在这些 App 中不可见。 不过 App 数据实际上并非丢失,且能够在更新后重新显示,详情请参阅 crbug.com/1033655 。 除了修复 bug,面向 Android 的 Chrome 79 还引入了一项新的安全特性 —— 通过在尝试登录网站时,警告用户以前是否因数据泄露而暴露过密码,而带来增强的安全体验。 此外,Android 版 Chrome 79 还支持 WebVR,以及通过书签拖动、或点击书签的选项卡菜单并选择‘向上 / 向下移动’,对其展开重新排序等。 如您此前不幸遭遇数据丢失的问题,还请尽快通过 Play 商店下载 Android 版 Chrome 79 更新。最后,该公司今日同步推出了面向 Windows、Mac、Linux 平台的 Chrome 79.0.3945.88 。   (稿源:cnBeta,封面源自网络。)