分类: 安全快讯

专家推测执法机构是如何破解 iPhone 强大的加密并提取数据的

近日,有密码学专家提出了一个有关苹果 iPhone 智能机的一套理论。首先,即便有着定期推送的 iOS 补丁和增强保护措施,但执法机构仍可轻易闯入用户设备。其次,苹果公司日渐强大的加密技术,所能保护的数据量却少于以往。作为对 ACLU 诉请 FBI 揭示有关 iPhone 破解方式的回应,约翰·霍普金斯信息安全研究所助理教授 Matthew Green 于本周三通过 Twitter 发表了他的最新观点。 据悉,该理论基于 Matthew Green 带领的两名学生 Maximilian Zinkus 和 Tushar M. Jois 的相关研究。即执法机构无需攻破 iPhone 上最强大的加密算法,因为并非所有用户数据都受到这方面的保护。 Matthew Green 补充道,取证工具开发公司不再需要攻破苹果的安全加密区芯片(Secure Enclave Processor),毕竟这么做的难度非常高。 后来他和学生们想到了一个可行的方案,并且推测出了政府与执法机构是如何从锁定的 iPhone 中提取数据的。(详细的文章会在假日后公布) 据悉,iPhone 可处于首次解锁前的 BFU 模式、以及解锁后的 AFU 模式。最初打开设备电源并输入密码时,设备可进入 AFU 状态。 随着用户输入 Passcode,iPhone 也将同步导出保留在内存中、并用于加密文件的不同密钥集。当用户再次锁定其设备时,它也不会转入 BFU 模式、而是维持在 AFU 状态。 Matthew Green 指出,在用户再次解锁其设备前,只有一组加密密钥被从 iPhone 的内存中清除。 被清除的密钥集,正好属于解密特定保护级别的 iPhone 文件子集。而保留在内存中的其它密钥集,则可用于解密其它所有文件。 基于此,执法机构只需利用已知的软件漏洞来绕过 iOS 的锁屏保护措施,即可在后续解密大多数文件。加上以普通权限运行的代码,取证工具还可像合法应用程序那样访问数据。 尴尬的是,由苹果官方文档可知,最强的加密保护等级,似乎仅适用于邮件和应用启动数据。这样即便与 2012 年的同类情况进行比较,苹果在用户数据的安全保护上反而还倒退了。 最后,除了 iOS,Matthew Green 还指出了 Android 移动设备上存在的类似情况。这位密码学教授表示:“手机加密无法从根本上拦截别有用心的攻击者”。       (消息来源:cnBeta;封面来自网络)

黑客免费公布 27 万加密货币钱包 Ledger 用户信息

近日,一名网络攻击者在黑客论坛发帖,免费公布了从 Ledger 窃取的电子邮件和邮寄地址。Ledger 是一家硬件加密货币钱包,用于存储、管理和销售加密货币。这些钱包中的资金使用 24 个字的恢复短语以及一个可选的秘密口令来保护所有者。 在今年 6 月 Ledger 网站被爆出现数据泄漏事件,利用安全漏洞允许攻击者访问用户的联系人信息。今天,一位威胁攻击者分享了一个存档,其中包括“All Emails (Subscription).txt” 和 “Ledger Orders (Buyers) only.txt”两个文本,包含数据泄漏期间被盗取的数据。 All Emails (Subscription).txt 包含了 1,075,382 名订阅 Ledger 通讯的人的电子邮件地址;而 Ledger Orders (Buyers) only.txt 包含了 272,853 名购买 Ledger 设备的人的姓名、邮寄地址和电话号码。 网络安全情报公司 Cyble 已经与 BleepingComputer 分享了这份泄露的文件,外媒随后已经与 Ledger 的所有者确认,数据是准确的。Ledger 在推特中进一步确认,这次数据转储很可能来自2020年6月的数据泄露事件。         (消息及封面来源:cnBeta)

报道称第二个黑客组织已经瞄准了 SolarWinds

据外媒ZDNet报道,随着SolarWinds供应链攻击事件后的取证证据慢慢被发掘出来,安全研究人员发现了第二个威胁行为体,它利用SolarWinds软件在企业和政府网络上植入恶意软件。关于这第二个威胁行为体的细节仍然很少,但安全研究人员认为这第二个实体与疑似俄罗斯政府支持的入侵SolarWinds的黑客组织没有关系,后者在Orion应用内植入恶意软件。 原始攻击中使用的恶意软件代号为Sunburst(或Solorigate),作为Orion应用的“booby-trapped”(诡雷代码)更新交付给SolarWinds客户。在受感染的网络上,恶意软件会ping其创建者,然后下载名为Teardrop的第二个阶段性后门木马,允许攻击者开始动手操作键盘会话,也就是所谓的人为操作攻击。 但在SolarWinds黑客事件公开披露后的头几天,最初的报告提到了两个第二阶段的有效载荷。来自Guidepoint、赛门铁克和Palo Alto Networks的报告详细介绍了攻击者如何同时植入一个名为Supernova的.NET web shell。 安全研究人员认为攻击者是利用Supernova webshell来下载、编译和执行一个恶意Powershell脚本(有人将其命名为CosmicGale)。 然而,在微软安全团队的后续分析中,现在已经澄清Supernova网页壳并不是原始攻击链的一部分。他们发现Supernova安装在SolarWinds上的公司需要将此次事件作为一个单独的攻击事件来处理。 根据微软安全分析师Nick Carr在GitHub上的一篇文章,Supernova webshell似乎被种植在SolarWinds Orion安装上,这些安装已经暴露在网上,并被利用类似于追踪为CVE-2019-8917的漏洞。 Supernova与Sunburst+Teardrop攻击链有关的困惑来自于,和Sunburst一样,Supernova也被伪装成了猎户座应用的DLL–Sunburst隐藏在SolarWinds.Orion.Core.BusinessLayer.dll文件内,Supernova则隐藏在App_Web_logoimagehandler.ashx.b6031896.dll内。 但在12月18日周五晚些时候发布的分析报告中,微软表示,与Sunburst DLL不同,Supernova DLL并没有使用合法的SolarWinds数字证书进行签名。 Supernova没有被签名这一事实被认为是攻击者极不正常的行为,在此之前,攻击者在操作上表现出了非常高的复杂性和对细节的关注。 这包括花几个月时间在SolarWinds的内部网络中不被发现,提前在Orion应用中添加虚拟缓冲区代码以掩饰日后添加恶意代码,并将他们的恶意代码伪装成SolarWinds开发人员自己编写的样子。 这些似乎都是太明显的错误,最初的攻击者不会这么做,因此,微软认为这个恶意软件与最初的SolarWinds供应链攻击无关。       (消息来源:cnBeta;封面来自网络)

黑客组织 Pawn Storm 的非复杂性攻击策略

远程访问木马(RAT)的防御者不会立即辨别这是来自APT黑客的恶意软件。同样,网络服务(例如电子邮件、Microsoft Autodiscover、SMB、LDAP和SQL)的恶意攻击也是如此。在2020年,APT黑客组织Pawn Storm使用非复杂的攻击方法。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1434/         消息来源:trendmicro,封面来自网络,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

特朗普淡化美近期遭遇的网络攻击影响:被指跟俄有关

据外媒报道,当地时间周六,特朗普总统在Twitter上回应了针对美国政府部门、机构和私营公司的大规模网络攻击,其称“假新闻媒体(Fake News Media)”夸大了这一网络攻击的程度。此前,特朗普一直对此次攻击保持沉默。 网络安全专家、网络官员和政策制定者一致认为,此次黑客攻击是俄罗斯网络运营商Cozy Bear的一个部门所为,据信该部门得到了俄罗斯总统普京的情报部门的支持。 人们普遍担心,它们仍存在于美国政府和企业的计算机系统中而没有被发现。 据悉,这可能是美国历史上影响最大的黑客攻击事件,它已经促使两党议员呼吁做出坚决回应。 然而特朗普拒绝承认其自己的情报和国家安全专家的这一说法。“假新闻媒体的网络攻击远比实际情况严重。我得到了全面通报,一切都在良好的控制之下。” 在国家安全这个紧急问题上,特朗普和他的国务卿之间的分歧正在不断扩大。蓬佩奥在未来几天将要面临一个选择–继续讲述黑客攻击的真相并开始承认选举的现实。 在特朗普的国家安全官员在收集有关乌兰过攻击证据的同时,其却花费越来越多的时间来跟包括律师Sidney Powell在内的盟友讨论阴谋论。这位现总统的推文就是他广泛捍卫俄罗斯的一种延续。 特朗普在执政期间一直为俄罗斯辩护,包括其干预美国2016年大选以及其付钱给塔利班杀害驻阿富汗美军等。 另外,他还在继续传播虚假的选举声明,即在没有证据的情况下暗示黑客影响了2020年总统大选的结果。 美国网络安全和基础设施安全局表示,此次黑客袭击对联邦政府、州、地方、部落和领土政府以及关键基础设施实体和其他私营部门组织都构成了严重风险。 当选总统拜登则于当地时间周四表示,此次黑客袭击令人高度关注,另外他还承诺要让那些应对此次袭击负责的人付出“巨大代价”。 微软总裁布拉德·史密斯也对此发表了意见,他认为就相当于对美国及其政府和包括安全公司在内的其他关键机构发起了网络攻击。 据悉,黑客攻击的对象了包括了美国防部、国务院、国土安全部、财政部、商务部、能源部、国家核安全局、美国家卫生研究院及多家跨国公司。         (消息及封面来源:cnBeta)

针对越南政府组织 VGCA 的软件供应链攻击

网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击,该攻击破坏了机构的数字签名工具包,并在系统上安装了后门。 网络安全公司ESET在本月初发现了这种“ SignSight”攻击,其中涉及修改CA网站(“ ca.gov.vn”)上托管的软件安装程序,插入名为PhantomNet或Smanager的间谍软件工具。 根据ESET的遥测,该网络攻击活动发生在2020年7月23日至8月16日,涉及的两个安装程序:“ gca01-client-v2-x32-8.3.msi”和“ gca01-client-v2-x64-8.3” .msi”(适用于32位和64位Windows系统),已被篡改并安装后门。 在将攻击报告给VGCA之后,该机构确认“他们早已知道此类网络攻击,并通知了下载该木马软件的用户。” ESET的Matthieu Faou说:“对于APT黑客组织来说,认证机构网站的妥协是一个很好的机会,因为访问者对负责签名的国家组织高度信任。” 越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分,政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌(也称为PKI令牌)对文档进行数字签名,通过上述驱动程序进行操作。 用户感染木马病毒的唯一方法是在手动下载并执行了官方网站上托管的受感染软件。病毒软件将启动GCA程序以掩盖该漏洞,伪装成名为“ eToken.exe”的看似无害的文件的PhantomNet后门。后门程序(最近一次编译于4月26日进行)负责收集系统信息,并通过从硬编码的命令和控制服务器(例如“ vgca.homeunix [.] org”和“ office365.blogdns”)检索的插件来部署其他恶意功能。 [.] com”),模仿相关软件的名称。 ESET表示,除越南外,菲律宾也存在受害者,但黑客的交付机制和最终目标仍然未知,对交付后的相关信息也知足甚少。 该事件强有力地说明了为什么供应链攻击正日益成为网络间谍组织中常见的攻击媒介,因为它使黑客可隐秘地同时在多台计算机上部署恶意软件。 ESET在11月披露了在韩国进行的Lazarus攻击活动,该活动使用合法的安全软件和被盗的数字证书在目标系统上分发远程管理工具(RAT)。 在上周,一个被称为Able Desktop的聊天软件被蒙古的430个府机构使用,提供HyperBro后门程序:Korplug RAT和名为Tmanger的木马。 本周发现的针对SolarWinds Orion软件的供应链攻击破坏了美国几家主要的政府机构,包括国土安全部、商务部、财政部和州政府。 Faou总结说:“恶意代码通常隐藏在许多正常代码中,因此供应链攻击通常十分隐蔽且很难被发现。”         消息及封面来源:The Hacker News ;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软总裁示警 SolarWinds 黑客攻击 确定 40 多个新受害目标

微软总裁布拉德·史密斯(Brad Smith)近日警告说,SolarWinds 的 IT 软件 Orion 产生的大范围黑客攻击事件“仍在发酵”,表明这次攻击的范围、复杂程度和影响情况都是非常深远的。该漏洞主要针对美国政府机构,因此不少人猜测是有俄罗斯政府支持黑客组织实施的。 史密斯将本次黑客攻击定性为“清算的时刻”(a moment of reckoning),并阐述了微软认为这次黑客攻击的规模和危险性。史密斯认为,它 “代表了一种鲁莽的行为,给美国和世界造成了严重的技术漏洞”。 他认为这不仅仅只是对特定目标的攻击,而是对世界关键基础设施的信任和可靠性的攻击,以推动一个国家情报机构的发展。虽然帖子没有明确指责俄罗斯,但暗示的意思非常明显。史密斯称,“未来几周将提供越来越多的,我们相信关于最近这些攻击的来源的无可争议的证据”。 为了说明本次攻击的影响情况,史密斯分享了一张地图,使用 Microsoft Defender 反病毒软件中获取的遥测数据显示已经安装了带有恶意软件的 Orion 版本的设备 。 据史密斯透露,微软本周还一直在努力通知 40 多个客户,攻击者更精确地瞄准了这些客户,并通过额外和复杂的措施进行破坏。这些客户中约有 80% 位于美国,但微软还确认了加拿大、墨西哥、比利时、西班牙、英国、以色列和阿联酋的受害者。史密斯说:“可以肯定的是,受害者的数量和地点会不断增加”。 对此次黑客事件的调查还在进行中。联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和国家情报总监办公室(ODNI)周三发表联合声明称,他们正在协调 “整个政府对这一重大网络事件的反应”。而史密斯警告说,”我们都应该为公共部门和其他企业和组织中更多受害者做好准备”。       (消息及封面来源:cnBeta)

5G 网络新漏洞使黑客可跟踪用户位置并窃取数据

随着5G网络的逐渐推广,许多潜在缺陷可被黑客利用以进行一系列网络攻击活动,包括使用户无法访问网络并拦截数据的DoS攻击等。 这些发现成为了伦敦网络安全公司Positive Technologies于6月发布的“ 2020年LTE和5G网络漏洞报告”中的“ 5G独立核心安全研究”的基础素材。 该公司表示:“网络安全的关键要素包括设备的正确配置以及网络要素的认证和授权。在缺少这些元素的情况下,黑客便很容易利用PFCP中的漏洞进行网络攻击,并在用户不知情的情况下利用用户身份进行网络犯罪。” 5G的安全优势 5G的主要安全优势之一是可防止被监视和加密国际移动用户身份(IMSI)号码,IMSI是SIM卡附带的唯一标识符,用于识别蜂窝网络的用户。 5G核心(5GC)还使用传输控制协议(TCP)代替流控制传输协议(SCTP)来更新IT协议栈,HTTP / 2替代了Diameter协议以实现应用层安全,用于网络功能之间的加密通信。 5G移动网络根据4G演进核心(EPC)技术以独立或非独立模式进行部署,该框架由多达九个网络功能(NF)组成,负责注册用户、管理会话和存储用户数据,并通过基站(gNB)使用户(UE或用户设备)连接到Internet。 研究人员认为,这一系列技术潜在地为用户和运营商网络的攻击打开了大门,使黑客得以进行DoS攻击。 DoS和MitM攻击 系统体系结构的一个问题是通过分组转发控制协议(PFCP)以专用于会话管理的接口(会话管理功能或SMF )。 黑客可能会选择删除会话或修改PFCP数据包,导致互联网访问中断(CVSS得分6.1)甚至拦截网络流量(CVSS得分8.3)。 安全人员还发现管理网络存储库功能(NRF)的部分5G标准存在问题,该功能允许在控制平面中注册NF,并在存储库中添加现有网络功能,通过控制下的NF访问用户数据(CVSS评分8.2)。通过删除关键组件的相应NF配置文件,滥用NRF中缺少授权的权限,从而导致用户的服务损失。 暗中监视用户的位置 用户身份验证漏洞可公开分配给每个订阅永久标识符(SUPI),并通过欺骗基站泄漏的身份验证信息为最终用户提供服务。 另外,管理用户配置文件数据的用户数据管理(UDM)模块中的设计问题可以允许具有“访问相关接口的对手直接连接到UDM或通过模拟网络服务提取包括位置数据(CVSS评分7.4)的必要信息。” 研究人员说:“访问此类数据将严重危害安全性:它使黑客可在用户不知情的情况下监视用户。” 黑客还可以使用用户标识信息模拟隐形会话,从而模拟负责用户注册(CVSS评分8.2)的计费访问和移动性管理功能(AMF)模块。 评估、监测和保护的需求 毫无疑问,5G在安全方面取得了一定进步,但随着5G网络用户的数量持续增长,相关审查也变得日益重要。 研究人员总结:“操作员在设备配置中的失误对5G安全性影响深远,设备供应商负责所有架构网络保护功能的技术实施,因此其地位十分重要。为防止黑客攻击,运营商必须采取及时的保护措施,如正确配置设备、使用防火墙并进行安全监视等”       消息及封面来源:The Hacker News ;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软承认在 Solarwind 攻击中也被黑客入侵 影响面还在持续发酵

今天路透社报道称,微软在被黑客入侵之后,其资产被操纵从而参与了针对Solarwinds的攻击,有超过1.8万家公司和政府机构被感染了一个后门,这个后门将允许黑客(很可能是来自俄罗斯的黑客)自由访问他们的网络。 微软表示,他们已经在公司内部检测到了SolarWinds软件的恶意版本,但同时也表示,到目前为止,其调查没有显示出黑客利用微软系统攻击客户的证据。 官方声明称:“和其他SolarWinds客户一样,我们一直在积极寻找这个行为者的特征,并可以确认我们在环境中检测到了恶意的SolarWinds二进制文件,我们现在已经对其进行了隔离和删除,但没有发现访问生产服务或客户数据的证据。我们的调查正在进行中,重申绝对没有发现任何迹象表明我们的系统被用来攻击他人。” 微软一直在参与开发针对恶意软件Sunburst的专杀工具,但FireEye警告说,黑客可能已经利用该恶意软件在网络上植入效力更持久的恶意软件,这可能更难检测和消除。         (消息来源:cnBeta;封面来自网络)

Facebook 将让英国用户接受加州用户协议 以摆脱欧洲隐私法规的影响

据路透社报道,Facebook公司将让其在英国的所有用户接受加州的用户协议,使他们脱离目前与Facebook爱尔兰部门的关系,并摆脱欧洲隐私法的影响。这一变化在明年生效,此前谷歌在2月份也在此宣布了类似的举措。对于这些公司和其他欧洲总部在都柏林的公司来说,英国脱欧将改变其与仍在欧盟的爱尔兰的法律关系。 最初,知情人士向路透社透露了这一举措。Facebook随后证实了这一点。 “与其他公司一样,Facebook也不得不做出改变以应对英国脱欧,将把英国用户的法律责任和义务从Facebook爱尔兰转移到Facebook公司。”该公司英国部门表示,“Facebook向英国人民提供的隐私控制和服务将不会有任何变化。” Facebook的英国用户仍将受到英国隐私法的约束,目前,英国隐私法目前根据欧盟的《通用数据保护条例》(GDPR)制定。据熟悉该该公司的人士透露,Facebook之所以做出改变,部分原因是欧盟的隐私制度是世界上最严格的制度之一。欧盟的规则给予用户对其相关数据的精细控制权。 此外,2018年通过的美国《澄清境外数据合法使用法案》(CLOUDAct)为英美两国更方便地交换云计算用户的数据设定了途径。隐私倡导者担心,英国可能会转向更宽松的数据隐私制度,尤其是在英国寻求与美国达成贸易协议时,美国提供的保护措施要少得多。一些人还担心,英国Facebook用户可能更容易受到美国情报机构的监控或执法部门的数据请求。 “公司规模越大,持有的个人数据越多,就越有可能受到监视职责或要求将数据交给美国政府,”英国非营利组织Open Rights Group执行董事吉姆-基洛克说。美国法院认为,针对不合理搜查的宪法保护不适用于海外非公民。 英国信息产业监管机构表示,随着英国脱欧的临近,他们已经与Facebook以及保留欧洲总部的公司进行了接触。“我们知道Facebook的计划,并将在新的一年里继续与该公司接触,”信息专员办公室的一位发言人说。 Twitter发言人表示,其英国用户将继续由该公司的都柏林办事处处理。Facebook发言人表示,该公司将在未来6个月内通知用户这一转变,让用户可以选择停止使用这个全球最大的社交网络及其Instagram和WhatsApp服务。 Facebook的决定是在英国正在升级禁止强加密的努力之际做出的,Facebook正着手在其所有产品上实施强加密。英国和欧盟一样,也在其他一些方面向Facebook施压,包括仇恨言论和恐怖主义政策。 美国也可能会在隐私和社交媒体内容方面推行新的法律,联邦和州检察官最近对Facebook和谷歌都发起了反垄断诉讼。不过,科技游说人士预计,美国的科技法规仍将比英国的法规更有利于行业发展。         (消息及封面来源:cnBeta)