标签: 后门

英美等五眼联盟(Five Eyes)国家发布声明要求科技企业自愿提供后门

美国、英国、澳大利亚、新西兰和加拿大五眼联盟(Five Eyes)国家政府发布联合备忘录,要求各大科技企业向政府提供其加密产品的后门,以供执法部门有能力获得访问权。如果企业拒绝提供,那么这些政府会寻求技术的、执法的、 立法机构的或者其它手段,进入加密的设备或者服务。 这份声明来自上周召开的五眼联盟(Five Eyes)国家会议,五眼联盟,是指二战后英美多项秘密协议催生的多国监听组织,联盟国之间互相分享敏感情报。在声明中,五国政府向科技企业施压,要求提供加密产品的后门以供在犯罪调查时“合法”访问设备。该声明鼓励企业自愿向政府提供后门,如果科技企业拒绝并且阻挠,政府将采用强制措施集中力量进行加密破解。目前阶段,要求企业提供后门的请求更像是愿望,而非强制命令或威胁。但声明中提到政府和立法者在破解加密遭遇到了更大的反抗运动,则被视为对执法行为的阻挠。未来不排除将要求企业提供加密信息的请求直接升级为法律行动的可能。   稿源:cnBeta,封面源自网络;

垃圾邮件捆绑分发 XTRAT、Loki 多款恶意程序,美日澳等国受灾严重

近日,趋势科技安全专家发表博文称其发现了一起垃圾邮件活动。通过该垃圾邮件,黑客组织能够分发与 Adwind RAT 捆绑在一起的 XTRAT 和 DUNIHI 后门以及 Loki 恶意软件。目前专家们在 1 月 1 日至 4 月17 日期间共检测到 5,535 例 Adwind 感染病例,其中美国、日本、澳大利亚等国家受影响较为严重。 这场垃圾邮件活动主要被用来分发两种广告系列,其中一种是 XTRAT 后门(又称“ XtremeRAT ”, BKDR_XTRAT.SMM)与信息窃取者木马 Loki(TSPY_HPLOKI.SM1)一起提供跨平台远程访问木马 Adwind(由趋势科技检测为JAVA_ADWIND.WIL)。而另一个单独的 Adwind RAT 垃圾邮件活动中,研究人员观察到使用带有被追踪为 DUNIHI 后门的 VBScript 。 研究人员表示,这两个广告系列都滥用合法的免费动态 DNS 服务器hopto [。] org,并且试图通过不同的后门程序来增加系统感染成功率。也就是说当其中一种恶意软件被检测到,其他的恶意软件会继续完成感染工作。Adwind、XTRAT 和 Loki 背后的骗子使用武器化的 RTF 文档触发 CVE-2017-11882 漏洞,以交付 Adwind、XTRAT 和 Loki 软件包。 攻击链 自 2013 年以来,Adwind 就可以在所有主流操作系统(Windows,Linux,MacOSX,Android)上运行,并且以其各种后门功能而闻名,如(但不限于): -信息窃取 -文件和注册表管理 -远程桌面 -远程外壳 -流程管理 -上传,下载和执行文件 XTRAT 与 Adwind 具有类似的功能,例如信息窃取,文件和注册表管理,远程桌面等。它还具有以下功能: -屏幕截图桌面 -通过网络摄像头或麦克风录制 -上传和下载文件 -注册表操作(读取,写入和操作) -进程操作(执行和终止) -服务操作(停止,启动,创建和修改) -执行远程shell并控制受害者的系统 DUNIHI 具有以下后门功能:执行文件、更新本身、卸载自己、下载文件、上传文件、枚举驱动程序、枚举文件和文件夹、枚举过程、执行 Shell 命令、删除文件和文件夹、终止进程、睡眠。 为了处理像 Adwind 这样的跨平台威胁,专家建议采取多层次的安全措施,IT 管理员应定期保持网络和系统的修补和更新,并且由于 Adwind 的两种变体都通过电子邮件发送,所以必须确保电子邮件网关的安全,以减轻滥用电子邮件作为系统和网络入口点的威胁。 趋势科技完整分析: 《 XTRAT and DUNIHI Backdoors Bundled with Adwind in Spam Mails 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全公司发现 OceanLotus APT (海莲花)在近期攻击中使用了新后门

外媒3月14日消息,安全公司 ESET 发布分析报告称 OceanLotus APT 组织(“ 海莲花 ”,也被称为 APT32 和 APT- c -00) 在其最近的攻击活动中使用了新的后门,旨在获得远程访问以及对受感染系统的完全控制权。 OceanLotus 组织自 2013 年起至今一直保持活跃状态,据有关专家介绍,该组织是一个与越南有关的国家资助的黑客组织,其中大部分分布在越南、菲律宾、老挝和柬埔寨。根据调查,OceanLotus 除了针对多个行业的组织之外,也针对外国政府、持不同政见人士和记者。 目前来看,OceanLotus 的攻击分两个阶段进行,第一阶段黑客利用一个通过鱼叉式钓鱼信息传递的 dropper 来获得目标系统的初始据点,第二个阶段是其恶意代码为部署后门做好准备。   △ dropper 部分有以上执行流程 △ 后门有以上执行流程 目前 OceanLotus 会在其攻击活动中不断更新工具集,这显示了该组织通过选择目标保持隐藏的意图。此外,OceanLotus 也限制其恶意软件的分发以及使用多个不同的服务器来避免将注意力吸引到单个域名或 IP 地址。 ESET 分析报告: 《 ESET_OceanLotus.pdf 》 消息来源:Security Affairs.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

俄间谍组织 Turla 利用捆绑后门的 Flash 安装程序针对东欧各国使馆展开攻击活动

ESET 安全团队发现由国家资助的俄罗斯网络间谍组织 Turla 为其网络军械库增添了一款新“武器”,旨在针对 东欧各国使领馆开展攻击活动。据研究人员介绍说,Turla 将其后门与合法的 Flash Player 安装程序捆绑在一起,试图欺骗目标用户安装恶意软件,以便窃取敏感信息。 Turla 组织长期以来一直使用社交工程来引诱目标人群下载和安装伪造的 Adobe Flash Player。但 ESET 近期研究发现,该组织并未局限于以往的攻击工具 ,而是继续开发新型网络攻击武器。 据 ESET 透露 Turla 组织现在不仅将其后门与合法的 Flash Player 安装程序捆绑在一起,而且进一步融合更多可行方式,以确保所使用的 URL 和 IP 地址与 Adobe 的合法基础结构相对应。这样一来,攻击者基本上能够利用 Adobe 诱使用户下载恶意软件,并且使用户相信其下载的软件是来自 Adobe 官方网站(adobe.com)的。 自 2016 年 7 月以来该新工具的攻击活动中有几个与 Turla 组织有关的特征,其中包括该组织创建的后门程序 “ 蚊子”(Mosquito),以及之前与该组织关联使用的IP地址。 除了上述相关特征之外,新工具与 Turla 组织传播的其他恶意软件家族也有相似之处。 攻击媒介 ESET 研究人员提出了几个假设(如下图所示),是关于 Turla 的恶意软件如何应用到用户的计算机上。下图按照图标依次为:① 本地中间人攻击、② 危及网关 、③ ISP 更改流量、④ BGP 劫持、⑤ Adobe 某种威胁,其中 ⑤ 的假想被认为是不太可能成立的。 经过假设以及验证,ESET 研究人员考虑的可能的攻击媒介是: — 受害者组织网络内的一台机器可能被劫持,以便它可以作为本地中间人(MitM)攻击的跳板,这将有效地将目标机器的流量重定向到本地网络上的受感染机器上。 — 攻击者还可能危及组织的网关,使其能够拦截该组织的内部网和互联网之间的所有传入和传出流量。 — 流量拦截也可能发生在互联网服务提供商( ISP )的层面上 。 — 攻击者可能使用边界网关协议(BGP)劫持来将流量重新路由到 Turla 控制的服务器,虽然这种策略可能会相当迅速地启动 Adobe 或 BGP 监视服务的警报。 一旦成功安装并启动假 Flash 程序,前面所使用的几个后门则可能被丢弃,如后门 Mosquito ,它是一个 Win32 恶意软件,通过恶意 JavaScript 文件与 Google Apps 脚本上托管的 Web 应用程序通信,或者是从伪造的和不存在的 Adobe URL 下载的未知文件。 然后,这个阶段将被设定为任务的主要目标——过滤敏感数据,包括受感染计算机的唯一 ID、用户名以及安装在设备上的安全产品列表。而用户名和设备名称则会由 Turla 所使用的后门从在 MacOS 上过滤出来。 在这个过程的最后一部分,伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序要么嵌入到其伪造的对象中,要么从 Google Drive 网址下载。为了在系统上建立持久性,恶意安装程序还会篡改操作系统的注册表,创建一个允许远程访问的管理帐户。 目前,ESET 的研究人员称已经发现了 Turla 后门 Mosquito 的新样本,不过其代码分析更加困难。 相关阅读: <Turla’s watering hole campaign: An updated Firefox extension abusing Instagram> <Carbon Paper: Peering into Turla’s second stage backdoor> 消息来源:welivesecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

西部数据 My Cloud 私有云被曝存在远程访问后门

近年来,消费者们对网络附加存储(NAS)的兴趣日渐浓厚,硬盘厂商们也顺势推出了诸多私有云产品,但却没能在安全性上下足功夫。近日,外媒曝光了西部数据 My Cloud 设备存在一个严重后门漏洞的消息。别有用心的人们,可以借此获得联网设备的无限制根访问。尽管 James Bercegay 早在 2017 年中就向厂商披露了该漏洞,但是半年过去了,西数还是没有进行修复。 据其披露的概念验证的完整细节,最麻烦的事情在于,My Cloud 存有一个无法更改的硬编码后门凭证。 任何人都可以通过 ‘mydlinkBRionyg’ 这个拥有管理员权限的用户名、以及 ‘abc12345cba’ 这组密码来登录西部数据的 My Cloud 服务。登录之后,攻击者有大量的机会去诸如命令,从而取得毫无防备的 shell 访问权限。 有鉴于此,即便切断了外网连接,西数 NAS 设备用户在内网中同样危险: 只需在网站上精心设计一幅 HTML 图像和 iFrame 标记,然后使用可预测的主机名称向本地网络的设备发出请求。除了引诱访问恶意网页之外,全程不需要用户的任何交互。 据悉,受影响的型号极其广泛,包括: My Cloud Gen 2、My Cloud EX2、My Cloud EX2 Ultra、My Cloud PR2100、My Cloud PR4100、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100、以及 My Cloud DL4100 。 爆料人已经公开了一个 Metasploit 模块,因此所有人都可以轻松向 WD NAS 设备发起攻击。最后,我们只能向所有受影响的用户提出彻底断网的建议,直到厂家推送安全补丁。 稿源:cnBeta,封面源自网络;编辑:青楚。

X-Agent 后门大升级,俄罗斯 APT28 间谍活动更为隐蔽

HackerNews.cc 24 日消息,俄罗斯 “ 奇幻熊 ”(Fancy Bear,又名 Sednit、APT28、Sofacy、Pawn Storm 和  Strontium)APT 组织于近期重构后门 X-Agent,通过改进其加密技术,使后门更加隐蔽和难以制止。据悉, X-Agent 后门(也称为 Sofacy )与 “ 奇幻熊 ” 的几次间谍活动都有关系。 安全公司 ESET 发表的报告显示,“ 奇幻熊 ” 目前对 X-Agent 所进行的操作较为复杂。其开发人员对其实施新的功能 ,并且重新设计了恶意软件的体系结构,使 X-Agent 更加难以检测和控制: X-Agent 曾特别设计用于针对 Windows、Linux、iOS 和 Android 操作系统 ,研究人员于今年初发现了 X-Agent 用于破坏 MAC OS 系统的第一个版本。 最新版 X-Agent 后门实现了混淆字符串和所有运行时类型信息的新技术、升级了一些用于 C&C 服务器的代码,并在 WinHttp 通道中添加了一个新的域生成算法 ( DGA ) 功能,用于快速创建回滚 C&C 域。此外,加密算法和 DGA 实现方面也存在重大改进,使得域名接管变得更加困难。ESET 观察到 “ 奇幻熊 ” 还实现了内部改进,包括可以用于隐藏受感染系统的恶意软件配置数据和其他数据的新命令。 虽然 “ 奇幻熊 ” 对 X-Agent 后门进行了诸多改进,但攻击链条基本保持不变。该组织依然依赖于网络钓鱼电子邮件进行网络攻击。 ESET 发表的报告称攻击通常以包含恶意链接或恶意附件的电子邮件开始。过去,Sedkit 漏洞利用工具包是他们首选的攻击媒介,但是自 2016 年年底以来,这类工具已经完全消失。目前 “ 奇幻熊 ” 越来越多地开始使用 DealersChoice 平台,该平台也是此前针对黑山共和国使用过的 Flash 漏洞利用框架(例如:利用 CVE-2017-11292 0-day ),可按需求生成嵌入式 Adobe Flash Player 漏洞文档。 截止目前,黑客组织“ 奇幻熊 ” 主要攻击目标仍然是世界各地的政府部门和使馆。 更多阅读: ESET 发布的关于 APT28 的详细分析报告:<Sednit update: How Fancy Bear Spent the Year> 消息来源:Security Affairs、ESET,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

三大疑惑解读 SMI 慧荣主控 “后门” 事件

近期固态硬盘行业爆出 SMI(慧荣科技)的主控产品疑似存在漏洞,涉及到 SM2246EN、SM2256、SM2258 三种型号正遭有关部门调查,甚至惊动银监会。目前该事件未得到任何部门的证实,尤其是对于银监会的说法。作为当事人,SMI 也第一时间发出声明,强调公司 SSD 固态硬盘主控绝无开后门漏洞的风险。 SMI 已销售超过 1 亿颗的 SSD 主控,尚无任何一件因 SMI 主控而发生的资料安全危机事件。并表示做好每一个主控芯片产品,配合有关单位澄清相关疑虑,但坚决反对引用未证实或无法证实之新闻做市场竞争不实之宣传。作为媒体,在没有确切证据面前也不会妄加菲薄,单单从技术层面来说,SMI 遇到的这次问题是否真的如所谓银监会所说存在。 “后门”问题疑惑一 首先SSD是存储数据的产品,用户对数据的安全性和私密性肯定是非常关注的,这也是为何此次事件发酵如此之快。SSD作为电脑里面的存储器,如果在关机的情况下是无法进行远程操作,这点想必用户也都非常清楚。 正因为是PC的配件,固态硬盘接收的信息都来自于PC的处理器的指令,如果想让SSD私自绕过PC处理器进行对外数据泄密,也没那么容易。毕竟没有经过PC处理器的调用机制,硬盘无法突破南桥等众多中转控制器,所以反向是行不通的。 “后门”问题疑惑二 如果上述说法不成立,那么 SMI 能不能自定义接口协议,让数据可以外泄呢?其实答案也是否定的。 其实自定义接口就像一个快捷键,能够快速实现客户的某种需求。而这种需求大部分存在于工控行业等特殊需求人群,他们需要在 SATA/PCIe 规范的标准指令以外进行自定义指令,以便于做质量监控或者其他服务,所以这种特需的自定义接口基本都是根据不同客户需求应运而生,也就不存在普罗大众的用户担忧。 “后门”问题疑惑三 SMI 主控带写保护功能会不会影响数据安全?首先了解为何要建立一个写入保护机制。如果设备在写保护状态下,则擦除和写入都是被禁止的,这样的技术可以服务一些特殊需求的企业和机构,比如一些国家机构为了对证据的保存,必须防止存储的数据被复写或错误地删除。因此主控厂商也会在其产品内加入此保护机制,确保用户数据的完整。更为直观的理解,目前市面上的SD存储卡都带写入保护开关,用于控制设备是否能从主机(Host)写入 SD 卡,可以说技术非常成熟了。 所以综上所述,从技术层面来说,SMI 为主控添加后门的说法不是非常的靠谱,就像 SMI 所述,目前出货主控芯片已经达到 1 亿颗,如果发生过类似事件相比早已经东窗事发,不过事情没有弄清楚之前还是观望比较好。 稿源:cnBeta、ZOL,封面源自网络;

趋势科技安全报告:黑客利用 FTP 与 C&C 服务器建立后门 SYSCON 连接

HackerNews.cc 10 月 5 日消息,趋势科技( Trend Micro )研究人员近期发现黑客利用 FTP 服务器与目标设备的 C&C 服务器建立后门 SYSCON 通信连接。调查显示,SYSCON 后门正通过受感染文件传播,其文件内容涉及朝鲜和部分红十字会与世界卫生组织的有关人员。 图:使用自定义的 Base64 编码功能 据悉,用于传播后门的恶意文件使用了自定义 Base64 编码功能,与 2012 年传播恶意软件 Sanny 的攻击手段极其相似且编码密钥相同。因此,研究人员推测此次事件幕后黑手与传播恶意软件 Sanny 的攻击人员是同一黑客组织。此外,值得注意的是,此类攻击手段可以规避安全检测,但同时也极易受到监控。研究人员表示,如果受害者打开该恶意文件时,基于操作系统版本的相应文件将 DLL 注入 taskhost(ex)进程以执行 BAT 操作而不触发 UAC 提示,从而成功感染目标设备的 %Temp% 文件。据称,攻击者还使用设备名称作为标识符,通过 SYSCON 后门、利用存储在配置文件中的凭证登录 FTP 服务器。 图:与 C&C 服务器建立连接 研究人员通过对配置文件进行解码时,不仅发现了 FTP 服务提供商的 URL,还检测到攻击者在服务器端将执行命令存储在 .txt 文件中。一旦受感染设备执行命令,恶意代码会在列出当前运行的所有进程后将压缩与编码的数据发送至服务器。 图:输入漏洞–恶意代码出现错误 不过,研究人员在命令循环处理的过程中发现一处输入漏洞,即恶意软件将命令视为宽字符格式的字符串,只要其中一个函数的参数文件名称出现错误时,就可成功阻止进程执行。因此,研究人员提醒 IT 管理员可通过该种方式阻止后门传播,并时刻监控与外部 FTP 服务器的任何连接,因为它们不仅可以导致数据泄露,还可用于 C&C 服务器的通信连接。 附:趋势科技原文连接《 SYSCON Backdoor Uses FTP as a C&C Channel 》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

WordPress 插件出售后被加入后门,影响逾 20 万网站正常使用

据外媒报道,一款名叫 Display Widget 的 WordPress 插件出售后被新拥有者加入后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示,而目前在被 WordPress.org 团队移除时超过 20 万网站使用。 Stephanie Wells 是插件的最早开发者,她在将精力集中到高级版的插件之后,将开源版本出售。插件的新拥有者在 6 月 21 日释出一个新版本,很快这个新版本被发现会从第三方服务器下载 38MB 的代码并收集网站的用户访问数据。不过,好在用户投诉之后,WordPress.org 将其移除。 据悉,拥有者在设法恢复插件并在释出另一新版本 v2.6.1 后,再次被投诉再次被移除。随后,拥有者又再次设法发布新版本 2.6.2,最后一个版本是 9 月 2 日释出的 2.6.3。 稿源:solidot奇客,封面源自网络;

大华科技发布补丁修复摄像头后门漏洞,曾可远程访问用户凭证数据库

世界第二大安全摄像头和 DVR 设备制造商 大华科技 最近发布了一个软件更新,关闭了其产品存在的后门漏洞。该漏洞存在于处理身份验证的方式,并可被任何人利用绕过现有的登录防护措施直接以管理员身份控制系统。 这些设备都被设计为可通过浏览器访问的本地 Web 服务器控制器。一般情况下,用户登录服务器需要输入用户名和密码,但研究员 Bashis 发现他可以强制所有受影响的设备导出一份用户名和哈希值密码的数据库存入 Web 服务器,于是 Bashis 从容的复制用户名和密码登录设备。Bashis 在博客上详细介绍了该漏洞并将在未来一段时间发布 PoC 代码。 1、远程下载完整的用户凭据数据库 2、选择任何一个管理员账户,复制登录名和密码散列 3、使用它们远程登录大华设备 该公司目前正督促用户尽快下载并安装最新的固件更新。 以下是受影响的模型: DH-IPC-HDW23A0RN-ZS DH-IPC-HDBW23A0RN-ZS DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DH-IPC-HDBW13A0SN DH-IPC-HDW13A0SN DH-IPC-HFW13A0SN-W DHI-HCVR51A04HE-S3 DHI-HCVR51A08HE-S3 DHI-HCVR58A32S-S2 原作者:krebsonsecurity,译者:M帅帅 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。