分类: 安全快讯

Malwarebytes 报告:2019 Mac 威胁检测呈上升趋势

根据 Malwarebytes 发布的 2019 威胁检测报告,今年针对 Mac 平台的威胁有上升的趋势。在排名前 25 的威胁检测中,有六种针对 Mac 平台,占总量的 16% 。尽管看似并不严重,但鉴于 Mac 用户基数只占 PC 用户群体的 1 / 12,这项发现还是不由地让我们提高了警惕。 Mac 广告软件(图自:Malwarebytes,via MacRumors) 回顾 2019 年,Mac 恶意软件首次闯入了前五,并在其中占据了两席(位列第二和第五)。 首先是被称作 NewTab 的 Mac 广告软件,其占据了跨平台检测总数的 4% 。 作为一款基于浏览器扩展程序来修改网页内容的 Adware,其可在 Chrome 浏览器中找到。 因苹果修改了扩展程序的政策,因此其无法再安装到 Safari 浏览器中。 其次是占总检测量 3% 的 PUP.PCVARK: PUP 指代‘可能不需要的程序’,是用户无意间安装的 Mac 程序的集合。 (Windows / Mac 双平台单机检测量对比) Malwarebytes 指出:2019 年,每台 Mac 检测了 9.8 次,而 Windows PC 仅为 4.2 次。 问题在于,长期以来,许多 Mac 用户以为自己并不需要防病毒软件。若悲观猜测,这些 Mac 可能已经受到了某种可疑的感染。 当然,数据仅采集自已经安装了 Malwarebytes 的设备。在现实生活中,所有 Mac 的总体威胁检测率,可能不如样本数据中那样高。   (稿源:cnBeta,封面源自网络。)

新奥尔良市政厅遭遇网络攻击 政府宣布关闭网站

据外媒报道,当地时间周五,美国新奥尔良市官员试图遏制针对其网络的网络攻击。据悉,该攻击导致电脑离线、办公室关闭、市政府网站关闭。不过该市目前还没有发现任何密码被破解或数据在攻击中丢失的迹象,但大量涌入的电子邮件意味着该市的系统暂时关闭。 到下午晚些时候,该市还没有发现任何密码被破解或数据在攻击中丢失的迹象,不过大量涌入的可疑电子邮件意味着该市的系统将要暂时处于离线状态。 目前还不清楚该城市系统将要离线多长时间。路易斯安那州警方、国民警卫队、FBI 和特勤局的专家都加入了调查工作中。与此同时,官员们表示,重要的公共安全服务仍会继续运行,市政厅办公室将依靠纸笔继续开展业务。 对于此次攻击的确切性质和范围还不清楚,但似乎是在当地时间12月14日上午5点左右开始。当时,市政府官员首次注意到他们的网络上存在可疑活动。8点左右,员工上班时接到可疑活动的报告。随后,官员们决定上午11点以后关闭政府系统。   (稿源:cnBeta,封面源自网络。)

Npm 团队针对新的“二进制植入”错误发出警告

Npm 团队近日发布了安全警报,建议所有用户更新到最新版本(6.13.4),以防止“二进制植入”(binary planting)攻击。Npm 开发人员表示,npm 命令行界面(CLI)客户端受到了安全漏洞的影响,同时包括文件遍历和任意文件(覆盖)写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。 仅在通过 npm CLI 安装受感染的的 npm 软件包期间,才能利用此漏洞。 目前,Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包,暂未发现任何可疑案例。他们认为这并不能保证该 bug 已经被使用过,还是得提高警惕。该团队表示将继续进行监视, “但是,我们不能扫描所有可能的 npm 软件包来源(私有注册表、镜像、git 仓库等),因此尽快更新非常重要。” 相比较之下,该问题对 npm 用户的影响比对 yarn 的影响更大。 因为 npm 不仅是最大的 JavaScript 软件包管理应用,而且还是所有编程语言的最大软件包存储库,拥有超过 350,000 个库。从浏览器到金融应用程序,从台式机到服务器,JavaScript 如今无处不在。因为 npm 在 JavaScript 生态系统中具有如此重要的作用,所以它经常被滥用。 黑客的最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序,这些应用程序以后可用于从它的用户那里窃取数据。过去有很多这样的案例。曾在 2017 年 8 月,npm 团队删除了 38 个 JavaScript npm 程序包,这些程序包是从其他项目中窃取环境变量而捕获的,旨在收集项目敏感信息,例如密码或 API 密钥。 最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的,他的博客上有更深入的技术报告。最后,再次提醒用户们升级到最新版本,以免遭受攻击。   (稿源:开源中国,封面源自网络。)

微软警告 GALLIUM 黑客组织瞄准全球电信供应商

微软专家指出:GALLIUM黑客组织利用未修补的漏洞运行/JBoss应用服务器系统。 “目前微软威胁情报中心(MSTIC)在对GALLIUM黑客组织行为逐步了解中发现,其目标是电信供应商,为了破坏其目标网络,GALLIUM利用WildFly/JBoss中的公开漏洞对未修复的网络服务进行攻击。” GALLIUM 的行为表现活跃,尤其是2018年至2019年间格外明显。而攻击者一旦破坏了目标网络,他们将会使用常见的科技手段如Mimikatz来窃取可用的凭证。 专家指出,目前GALLIUM 正在使用一些版本常见的软件以及公开化的一些工具,这工具只需稍作改动,就可以逃避检测。运营商利用低成本和易于替换的基础设施,使用动态DNS域和定期重用的跃点。 MSTIC分析指出:使用动态DNS提供商而不是符合条件的注册域名,GALLIUM的低成本、低投入成为运营趋势。 在中国大陆、中国香港和中国台湾的基础设施中,且已观察到GALLIUM基础设施建设。 威胁行为很大程度上依赖于网络shell,通过此shell获得持久网络稳定,然后进行恶意软件传输。在这个阶段中,恶意软件的有效负载将会被舍弃,且不会通过稳定网络进行程序安装。 除了标准的 China Chopper外,该公司还为微软IIS服务器运行使用了一个名为blackmold的原生web shell。Blackmold能够找到出本地驱动器,并进行基本的文件操作如查找、读取、写入、删除和复制,设置文件属性,渗透文件,并使用参数运行cmd.exe。 该黑客组织还会提供个性化的Gh0st RAT和Poison Ivy服务版本,这两个版本都会修改软件使用通信方法。黑客还将QuarkBandit作为第二级恶意软件,专家称该软件具有修改配置选项和加密的Gh0st RAT变体。日前,研究人员还通过观察发现 GALLIUM使用VPN来进行网络持久的访问。 针对此问题,微软在报告中还公布了一份IOC指标列表。   消息来源:SecurityAffairs, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FBI 建议人们慎重连接公共 Wi-Fi 并注意线上购物安全

作为“技术星期二”的一部分,美国联邦调查局(FBI)刚刚向大家发出了一条建议 —— 在连接公共 Wi-Fi 网络的时候,请慎重决定是否网购。历史数据表明,每年的假日期间,针对这类人群的欺诈事件都有高发态势。同时,FBI 建议大家始终保持联网设备已处于最新状态,无论是计算机还是智能手机。 设备制造商和操作系统开发团队会定期发布软件更新,以修复新老漏洞。只要做到这一点,就能够将绝大多数野外漏洞利用挡在门外。 然而随着人们对移动生活的日渐依赖,公共 Wi-Fi 也开始被越来越多的不法分子给盯上。所以在连接公共 Wi-Fi 网络的时候,还请注意谨慎暴露任何私密信息。 如果不得已使用公共 Wi-Fi 网络,需提防被黑客嗅探网络流量、甚至拦截在线支付所需的敏感信息。作为加强,FBI 建议网民为在线账户设置更加复杂的密码。 在选择商家的时候,也尽量选择那些长期坚持良好信誉的卖家,并尽可能使用信用卡(而不是借记卡)来支付,以获得额外的保护。购买虚拟物品(数字礼物)的时候,也最好挑选那些经过大平台认证的卖家。 当然,定期更换难以破解的密码,也是保护账号的一个优先事项。如果常用的软件或服务太多,亦可挑选一款靠谱的密码管理器来保护数据和提供跨设备同步服务。 最后,FBI 告诫大家务必定期认真仔细地查看银行账单,以及时上报并撤回未经授权的交易。 (稿源:cnBeta,封面源自网络。)

卡巴斯基透露有黑客同时利用 Windows 10 和 Chrome 零日漏洞发动攻击

微软和谷歌都已经在昨天发布软件更新用于修复部分安全漏洞,这其中就包括某个在野外已遭到利用的零日漏洞。这些零日漏洞由卡巴斯基发现但是高级黑客团体早已利用,黑客借助这些漏洞可以直接在计算机上安装间谍软件。而经过溯源后卡巴斯基指出无法将攻击者归于任何特定攻击者,但攻击者使用的部分代码与拉撒路集团有相似性。 拉撒路集团是知名勒索软件WannaCry的始作俑者,而该集团也被安全公司认为是由北韩资助的国家级黑客团队。 利用漏洞攻击韩语新闻网站加载恶意软件: 卡巴斯基调查后发现最初攻击者利用某韩语新闻网站的漏洞嵌入恶意脚本,当用户浏览该网站时就会加载该脚本。 而这个恶意脚本里有代码是专门针对Google Chrome 的,黑客利用的漏洞是谷歌官方此前并未发现的零日漏洞。 恶意脚本被加载后会再调用Win32K 安全漏洞下载并安装恶意软件,该恶意软件会自动连接远程服务器获取指令。 也就是说主要用户浏览这个韩语网站就会被感染恶意软件,在这期间不需要用户执行任何交互动作即可完成攻击。 #攻击者将恶意脚本伪装成流行的jQuery库 卡巴斯基称这次攻击事件为Operation WizardOpium<script type="text/javascript" scr="hxxp://code.jquery.cdn.behindcorona.com/jquery-validates.js"></script> 潜在攻击者可能是拉撒路集团: 卡巴斯基在经过溯源和分析后表示没有确切证据能够将此次攻击事件与任何已知的高级持续性威胁团体关联起来。 但攻击者使用的相关代码与拉撒路集团有非常弱的相似性,这表明潜在的攻击团体可能是名声在外的拉撒路集团。 拉撒路集团曾发动过多次知名的网络攻击,包括WannaCry勒索软件、孟加拉国家银行失窃案、远东银行失窃案。 而该集团也被证实是北韩资助的国家级黑客组织,这次攻击的载体是韩语新闻网站也就是说主要目标是韩国用户。 因此按常理推测的话此次攻击是拉撒路集团发动的可能性非常大,不过卡巴斯基称暂时没有足够多的确切的证据。 卡巴斯基认为相关攻击代码与拉撒路集团有非常弱的相似性也可能是其他攻击者试图将调查视线转到拉撒路身上。 微软已经在例行更新中修复漏洞: 事实上这次安全漏洞不仅影响Windows 10, 据微软官方说明所有受支持的Windows版本包括服务器版均受影响。 出现安全漏洞的依然是最近非常热门的Win32K 组件,该组件从去年年底到现在已经被发现多个高危的零日漏洞。 微软表示攻击者借助此漏洞可以在内核模式下运行任意代码,包括安装软件、删改数据或新增同权限的用户账户。 受影响的版本包括Windows 7 SP1~Windows 10所有版本、Windows Server 2008 R2 到Server 2019版等等。 当然Windows 7 SP1之前的版本例如XP以及Windows 10已经停止支持的版本比如1803之前的版本也会受影响。 不过这些已经停止支持的版本并没有安全更新用于修复漏洞,所以建议用户们还是尽早升级受支持的版本比较好。 谷歌也已经修复零日漏洞: 这次攻击者同时利用Windows操作系统和Google Chrome漏洞比较罕见,不过现在这个漏洞利用方式已被封堵。 谷歌浏览器开发团队在接到卡巴斯基报告后已经及时修复漏洞,用户只要开启自动更新就可以自动升级到最新版。 目前谷歌浏览器在国内已经部署服务器可以提供更新,用户也可以点击这里访问中国官网下载谷歌浏览器安装包。   (稿源:cnBeta,封面源自网络。)

有史以来复制最多的 StackOverflow 代码段存在缺陷

对于开发者而言,Stack Overflow 和 GitHub 是最为熟悉不过的两大平台,这些平台充斥着大量开源项目信息和解决各类问题的代码片段。而就在近日,Palantir的 Java 开发人员,也是 StackQflow(与编程相关的问题的问答网站)中排名最高的参与者之一  Andreas Lundblad 却承认,一段自己十年前写的代码,也是 Stack Overflow 上复制次数最多、传播范围最广的代码段均包含一个错误。 据悉,2018年发表的一篇学术论文[PDF]确定了在网站上发布的代码片段 Lundblad 是从 StackOverflow 提取的复制最多的 Java 代码,然后在开源项目中重复使用。 该代码段以人类可读格式(例如 123.5 MB)打印了字节数(123,456,789 字节)。学者发现,此代码已被复制并嵌入到 6,000 多个 GitHub Java 项目中,比其他任何 StackOverflow Java 代码段都多。 而在上周发布的博客文章中,Lundblad 则承认,该代码存在缺陷,并且错误地将字节数转换为人类可读的格式。他表示,在学习了学术论文及其结果之后,已重新审视了代码。同时再次查看了该代码,并在其博客上发布了更正的版本。 STACKOVERFLOW 代码有时包含安全性错误 据了解,尽管 Lundblad 的代码段是存在一个琐碎的转换错误,仅导致文件大小估计稍有不准确,但情况或许可能会更糟。例如,该代码可能包含安全漏洞。如果这样做的话,那么修复所有易受攻击的应用程序将花费数月甚至数年,使用户容易受到攻击。 事实上,即使普遍认为从 StackOverflow 复制粘贴代码是一个坏主意,但开发人员还是一直这样做。 2018 年的研究论文显示了这种做法在 Java 生态系统中的普及程度,并揭示了复制流行的 StackOverflow 答案的绝大多数开发人员甚至都没有理会其来源。 从 StackOverflow 复制代码但没有署名的软件开发人员,实际上对其他编码人员隐藏了他们已经在项目内部引入未经审查的代码的情况。 这听起来像是一个过于警惕的声明,但在 2019 年 10 月发表的另一项学术研究项目[PDF]显示,StackOverflow 代码段确实包含漏洞。该研究论文在过去十年中在 StackOverflow 上发布的 69 种最流行的 C ++ 代码片段中发现了主要的安全漏洞。 研究人员透露,他们在总共 2859 个 GitHub 项目中发现了这 69 个易受攻击的代码片段,显示了一个错误的 StackOverflow 答案如何对整个开源应用生态系统造成破坏。     (稿源:cnBeta,封面源自网络。)  

SQL 爆破攻击近期多见,中招系统遭遇流氓软件推装

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/858.html 腾讯安全御见威胁情报中心检测到有黑产团伙通过SQL爆破投放多个病毒木马事件,用于投放的木马均伪装为图片格式后缀(jpg,png),其中包括“紫狐”木马、多个用于系统提权漏洞(CVE-2018-8120, CVE-2015-1701,ms16-032)攻击,及powershell脚本木马。紫狐木马安装后通过流氓推装软件刷量获利。 一、概述 腾讯安全御见威胁情报中心检测到有黑产团伙通过SQL爆破投放多个病毒木马事件,用于投放的木马均伪装为图片格式后缀(jpg,png),其中包括“紫狐”木马、多个用于系统提权漏洞(CVE-2018-8120, CVE-2015-1701,ms16-032)攻击,及powershell脚本木马。紫狐木马安装后通过流氓推装软件刷量获利。 紫狐木马家族最先出现在2018年,通过下载器进行传播,一直活跃至今,之后还多次通过刷量软件进行传播(详见:御见威胁情报中心在9月份披露的刷量软件“流量宝流量版”通过挂马攻击传播“紫狐”病毒事件),如今紫狐木马又通过SQL爆破入侵植入。 根据腾讯安全御见威胁情报中心监测数据显示,最新的病毒域名es.ldbdhm.xyz在11月初开始活跃至今。 该团伙攻击影响全国大部分省区,受害最严重的为广东、河北、四川等地。腾讯安全御见威胁情报中心近期先后披露了多个团伙在使用SQL爆破攻击企业网络。 二、详细分析 御见威胁情报中心近期监测到的攻击行动,是通过sql爆破入侵后会下载执行多个病毒文件,包括紫狐木马MSI安装包,提权漏洞,powershell脚本木马等等,入侵执行流程如下: 入侵阶段 通过sql爆破入侵,爆破成功后会执行多个脚本命令, 部分脚本命令如下: 执行的脚本的功能主要是下载执行,下载执行多个jpg, png,图片格式文件,这些文件用图片格式来伪装,实际上是powershell脚本病毒,MSI紫狐木马安装文件,EXE提权漏洞等, 下载文件及对应功能模块如下: Windows 权限提升 下载执行多个提权漏洞,包括CVE-2018-8120, CVE-2015-1701,ms16-032等多个提权漏洞进行提权,从而提升当前进程执行权限,以便于将病毒的MSI安装文件成功安装到计算机中及进行更多需要高权限操作的恶意行为。 ms16-032下载地址: hxxp://es.ldbdhm.xyz/sqlexec/1603232.jpg ms16-032提权漏洞利用代码: VE-2018-8120模块下载地址: hxxp://es.ldbdhm.xyz/sqlexec/1808164.jpg hxxp://es.ldbdhm.xyz/sqlexec/1808132.jpg CVE-2018-8120提权代码: 安装紫狐木马 下载的SMB1.jpg, SMB3.jpg,Sps.jpg等多个图片格式的文件实际上是MSI安装包,下载地址为hxxp://Es.ldbdhm.xyz/sqlexec/xxx.jpg 和历史版本的紫狐木马套路一致,MSI安装包内有三个PE文件:sysupdate.log, winupda32.log,winupda64.log,木马安装后会通过PendingFileRenameOperations实现开机启动。 MSI安装文件: 紫狐木马母体功能特点如下: winupda32.log,winupda64.log分别为x86, x64不同系统环境下DLL文件,加了VMP壳 通过系统PendingFileRenameOperations机制替换系统文件实现开机启动; 解密出DLL文件C:\Windows\SysWOW64\MsxxxxxxApp.dll并创建服务启动; 释放驱动模块隐藏自身行为并在后台推广安装各类软件,病毒通过在受害者电脑恶意推广安装这些软件获利。 三、安全建议 及时修复系统高危漏洞,推荐使用腾讯电脑管家或腾讯御点的漏洞修复功能检测并修复漏洞,包括:CVE-2018-8120, CVE-2015-1701,ms16-032等。 推荐使用腾讯电脑管家/腾讯御点拦截此类病毒的攻击,如有中招也可使用电脑管家/腾讯御点对“紫狐”病毒进行清理。 推荐企业用户使用腾讯御界高级威胁检测系统检测各种可疑攻击行为,包括各种漏洞利用行为的检测。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 建议企业网管尽快检测SQL服务器是否存在弱密码风险,近期针对SQL服务器的弱口令爆破攻击非常多见,攻击者一旦爆破成功,可能给企业造成信息泄露,同时多种攻击方式可能导致勒索病毒、挖矿木马,甚至流氓软件在内网扩散传播,引发更大的损失。 IOCs: MD5: 364ac68062168fc334f478a2997c6298 4facb81f57e515a508040270849bcd35 3fe38271b009298b4cb0b01ef57edbf3 de5de649e0821b0dd3dadfa8235416ea be0384e85412a2668008f76dc3b3ccea f5df39c5ed4eb90c169216ace51ed833 5bab2f1dd53b3ae08dab8a1a2d7c145c 4658ddc4e03f0003f590666ab73261e3 2c62e2fbef311731ebbc26c785d10f2b 14018f47163809b0166591f87d1bb046 6467874d952a5ffc1edfd7f05b1cc86d beac6592dbd3a479a64789e43ec20f27 b43442df320d1f89defd772991b6335c ae3e7304122469f2de3ecbd920a768d1 URL: hxxp://es.ldbdhm.xyz/SMB3.jpg hxxp://es.ldbdhm.xyz/sqlexec/1808164.jpg hxxp://es.ldbdhm.xyz/sqlexec/1808132.jpg hxxp://es.ldbdhm.xyz/sqlexec/pe.jpg hxxp://es.ldbdhm.xyz/sqlexec/sps.jpg hxxp://es.ldbdhm.xyz/smb3p.jpg hxxp://es.ldbdhm.xyz/SMB1.jpg hxxp://es.ldbdhm.xyz/SMB2.jpg hxxp://es.ldbdhm.xyz/SMB2P.jpg hxxp://es.ldbdhm.xyz/smb1p.jpg hxxp://es.ldbdhm.xyz/sqlexec/1505164.jpg hxxp://es.ldbdhm.xyz/sqlexec/1603232.jpg hxxp://es.ldbdhm.xyz/sqlexec/1505132.jpg hxxp://es.ldbdhm.xyz/sqlexec/1603264.jpg

Twitter 推隐私中心:专解释公司如何处理用户数据

据外媒报道,Twitter于当地时间周一推出了一个隐私中心,以此来表明其在保护用户隐私方面还有改进的空间。Twitter隐私中心计划更清楚地说明这家社交媒体巨头正在做什么来保护用户共享给其网站的信息。Twitter还在一系列推文中指出,它正在更新条款和隐私政策,新内容将于明年1月1日开始生效。 该公司在最新发布的博客文章表示:“我们认为,公司应该对信任他们并提供个人信息的人负责,并且不仅要负责保护这些信息还要向他们解释是如何做到的。” 据悉,隐私中心被视为一个用于存放跟隐私相关的活动、公告、新隐私产品、安全事件通信等信息的家庭基地。   (稿源:cnBeta,封面源自网络。)

俄勒冈 FBI 警告:智能电视易被黑客入侵 危及用户隐私

随着假日购物季的到来,许多消费者可能正在考虑为自家升级一些智能设备,比如 Google Nest Home、Amazon Alexa 等智能扬声器,或者集成了语音助理的智能电视。然而美国俄勒冈州联邦调查局办公室指出,随着智能电视扮演着越来越多的娱乐和控制中心角色,网络犯罪分子已经将黑手伸向了这一领域,或对用户隐私造成严重的侵害。 FBI 的这一警告,本身是一种相当常识性的建议,资深网民早已对此见怪不怪。问题在于,除了麦克风之外,还有越来越多的智能电视集成了摄像头组件。 传统麦克风仅用于识别语音命令,而相机则能够用于用户识别和视频聊天。一些厂商或基于此,提供个性化的内容推荐。 然而在连上互联网之后,设备的隐私安全就被提上了重要的议程,因为有无数看不见的黑手向沾染用户的终端设备。 尽管带有这类功能的智能电视的普及率还较低,但黑客攻击事件确实存在、且并不罕见。显然,FBI 希望在引发大事件之前,尽早地培育消费者的忧患意识。 目前目前最常见的隐私风险,就是数据收集。在注册每一款网络服务的时候,几乎都逃不开这个话题。 遗憾的是,无论在智能电视、或其它物联网产品上,人们几乎没有仔细阅读相关提示的习惯。   (稿源:cnBeta,封面源自网络)