标签: 网络攻击

Zoom 客户端爆出安全漏洞 可向攻击者泄露 Windows 登陆凭据

近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 Windows 登陆凭据。 发送聊天消息时,所有发送的 URL 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。 然而安全研究人员 @ _g0dmode 发现,Zoom 客户端竟然还将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。 如图所示,常规 URL 和 NUC 路径(\\evil.server.com\images\cat.jpg),都被转换成了聊天消息中的可点击链接。 若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。 默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。 安全研究人员 Matthew Hickey(@ HackerFantastic)实测发现,其能够在 Zoom 中顺利注入,并且可以借助当前的民用级 GPU 和 CPU 来快速破解。 除了窃取 Windows 登陆凭据,Hickey 还向 Bleeping Computer 透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。 庆幸的是,Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能(屏蔽部分可点击的超链接)。 据悉,Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。 注重安全的客户,可在官方补丁发布前,通过组策略来限制向远程服务器传出 NTLM 通信(参考如下操作): 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全:限制NTLM -> 发送到远程服务器的 NTLM 通信(然后全部配置为拒绝)。 需要注意的是,如果在已经加入相关域的计算机上配置上述组策略时,可能会在尝试访问共享时遇到问题。 如果是无权访问组策略设置 Windows 10 家庭版用户,亦可使用注册表编辑器来完成相关限制操作(dword 配置为 2): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]”RestrictSendingNTLMTraffic”=dword:00000002 如需正确创建此键值,Windows 用户记得以管理员身份来启动注册表编辑器。 若日后有必要恢复默认发送 NTLM 凭据的 Windows 行为,也只需删除对应的 RestrictSendingNTLMTraffic 键值。   (稿源:cnBeta,封面源自网络。)  

暗网托管商 Daniel’s Hosting 再次被黑 7600 个网站全部下线

最大的暗网托管商 Daniel’s Hosting 再次被黑,数据库被删除,托管的7600个网站全部下线。它上一次被黑发生在 2018 年 11 月,这一次发生在 3 月 10 日,站长 Daniel Winzen 在一份声明中称,攻击者访问了服务的后端,删除了所有托管相关的数据库。 攻击者随后还删除了 Winzen 的数据库账号,创建了一个新的账号。Winzen 是在第二天发现入侵的,但为时已晚。他的服务设计没有备份——如果有备份的话托管商可能会收到法庭的传票,如果其托管的某个网站遭到调查的话——意味着数据无法恢复。 Winzen 表示他不知道黑客是如何入侵的,表示现在忙其它项目,没时间调查。   (稿源:solidot,封面源自网络。)

疫情期间 世界卫生组织网站遭受了两倍多的网络攻击

路透社报道称,随着新冠病毒引发的 COVID-19 疾病的全球大流行,世界卫生组织也在本月遭受了多倍的网络攻击。WHO 首席信息安全官 Flavio Aggio 表示:“黑客的身份尚不清楚,但他们本次并未得逞”。即便如此,安全专家还是将源头指向了某个被称作 DarHotel 的高级网络间谍黑客。 Flavio 警告称:疫情爆发以来,冠状病毒已在全球范围内导致了 1.5 万多人的死亡,同时针对抗击疫情的世界卫生组织及其合作机构的攻击企图也出现了激增。 网络安全专家兼纽约黑石法律集团律师 Alexander Urbelis 指出,其在 3 月 13 日前后监测到了针对 WHO 的恶意活动。 当时他正在对一群黑客保持持续的关注,结果发现他们激活了一个山寨 WHO 内部电子邮件系统的恶意网站,于是很快意识到了黑客组织的攻击企图。 尽管 Urbelis 表示自己不清楚谁该为此事负责,但据另外两位消息人士透露,其怀疑幕后是一个名叫 DarkHotel 的高级黑客。自 2007 年以来,他就一直在从事网络间谍活动。   (稿源:cnBeta,封面源自网络。)

俄罗斯联邦安全局被爆雇佣外包商启动物联网 DDoS 攻击项目 Fronton

俄罗斯黑客组织“数字革命”(Digital Revolution)近日宣布,成功入侵了一家俄罗斯联邦安全局 (FSB) 的外包商,并发现了后者关于入侵物联网设备的项目计划。本周该组织公布了12份有关于“Fronton”项目的技术文档、图表和代码片段。本周早些时候ZDNet和BBC Russia获取并详细阅读了这些文档,并邀请安全专家对这些报告截图进行了分析,基本上确认FSB外包商建设Fronton项目的可行性。 根据目前披露的12份Fronton技术文档,是由FSB内部部门No. 64829(也称之为FSB信息安全中心)采购的。而外包商则是InformInvestGroup CJSC,这家公司和俄罗斯政府内部建立着紧密的合作,并创建了物联网入侵工具。 根据BBC的报道,InformInvestGroup似乎已将该项目分包给了总部位于莫斯科的软件公司ODT(Oday)LLC,而后者在2019年4月遭到黑客组织Digital Revolution的入侵。 根据文件时间戳,该项目已经在2017年至2018年实施。该文档大量参考并从Mirai(一种物联网病毒,在2016年年底用于构建大型物联网僵尸网络)中汲取了灵感,用于向从ISP到核心互联网服务提供商的广泛目标发起毁灭性DDoS攻击。 这些文件建议建立一个类似的物联网僵尸网络,供FSB使用。根据规范,Fronton僵尸网络将能够对仍使用出厂默认登录名和常用用户名-密码组合的IoT设备进行密码字典攻击。密码攻击成功后,该设备将在僵尸网络中被奴役。   (稿源:cnBeta,封面源自网络。)

FireEye:多数勒索软件会选择在 IT 人员不上班时发动攻击

根据网络安全公司 FireEye 发布的最新报告:为了最大程度地提高攻击效率,绝大多数勒索软件都会选择在正常上班时间之外采取行动,以避免被 IT 人员发现并扫除。在 FireEye 调查的案例中,76% 的勒索软件是在周末、或者上午 8 点 ~ 下午 6 点之外的时间段完成部署的。 FireEye 表示:通常情况下,IT 人员不会在上述时间段内上班,因此响应效率会变得更慢。在某些情况下,比如传统节假日或周末,一些企业根本不会安排任何 IT 人员值班。 数据还显示,在大约 75% 的事件中,从恶意活动到勒索软件的部署,至少会间隔三天左右的时间。这意味着,若是 IT 部门的响应足够迅速,就有很大的可能性避免感染。 不过这家网络安全公司预计,未来勒索软件感染的数量将继续增加。更糟糕的是,威胁行为发起者会不断升级赎金要求,甚至将勒索软件攻击与其它策略结合起来,比如针对关键业务系统和窃取数据。 如上文所示,破局的关键,是能否在恶意软件的部署和破坏之间介入。若信息技术专家能够及时发现并消除威胁(或让系统具有防止受到威胁的能力),便可转移大部分与勒索软件相关的应对成本。   (稿源:cnBeta,封面源自网络。)

研究发现重新打包的恶意软件被用来攻击其他黑客

Cybereason 的 Amit Serper 在一轮新的恶意软件活动中发现,通过重新打包被感染的恶意软件,黑客本身也成为了其他黑客的攻击目标。此前多年,黑客普遍在利用现有的工具来实施网络犯罪行动,比如从数据库中窃取数据、通过破解 / 注册码生成器来解锁试用软件的完整版等。 然而功能强大的远程工具本身,也成为了某些别有用心者的目标。通过注入木马,制作者可在工具打开后获得对目标计算机的完全访问权限。 Amit Serper 表示,攻击者倾向于在黑客论坛上发布经其重新打包的工具来‘诱骗’其他黑客,甚至为已经遭到恶意软件破坏的系统进一步打开后门。 如果黑客利用这些木马工具对某企业发动了网络攻击(包括从事安全研究工作的白帽),那重新打包攻击工具的那个人,也能够访问到受害者的敏感数据。 据悉,这些迄今未知的攻击者,正在使用功能强大的 njRat 木马来注入代码并重新打包黑客工具,攻击者可完全访问目标桌面、文件、木马、甚至网络摄像头和麦克风。 该木马至少可追溯到 2013 年,当时它经常被用于对付中东地区的目标,多通过网络钓鱼电子邮件和受感染的闪存驱动器来传播。 然而最近,黑客已将恶意软件注入到休眠或不安全的网站中,以逃避检测。以最近的攻击为例,可知幕后黑手正在使用相同的黑客技术来托管 njRat 。 Amit Serper 指出,攻击者破坏了不知谁拥有的几个网站,以托管数百个 njRat 恶意软件样本、以及攻击者用于控制的基础结构。 更糟的是,这种将 njRat 木马注入黑客工具的过程几乎每天都在发生,意味着它可能是在无人直接干预的情况下自动完成的。 至于幕后主使者和发起攻击的确切原因,目前暂不得而知。   (稿源:cnBeta,封面源自网络。)

微软:99.9% 被入侵的帐户未启用多因素身份验证

在上周举行的 RSA 安全会议上,微软工程师讲到,他们每月追踪到的 99.9% 受感染帐户都没有启用多因素身份验证(MFA),而该解决方案可以阻止大多数自动帐户攻击。根据微软的数据,他们每天跟踪超过 300 亿次登录和超过 10 亿的月活用户。平均每个月约有 0.5% 的账户被盗,在 2020 年 1 月,这一数字具体约为 120 万。 当企业账户被攻击时,情况将会更糟。微软表示,截至 2020 年 1 月,在这些高度敏感的帐户中,只有 11% 启用了多因素身份验证(MFA)解决方案。 多数 Microsoft 帐户被黑客入侵的主要来源是密码喷洒(password spraying),攻击者通常会选择比较容易猜测的密码,挨个账户进行破解尝试,然后使用第二个密码依次尝试攻击,以此类推。 第二种主要的攻击方式是密码重放(password replays),也就是使用一套被泄露的数据,在另外一个平台尝试登入,如果用户在不同平台重复使用相同的账号密码就会中招。 微软身份和安全架构师 Lee Walker 指出,60% 的用户会重复使用密码,最好不要这样混淆,企业和非企业环境中的账户也应区分开来。 述两类攻击基本都是针对较旧的身份验证协议进行的,例如 SMTP、IMAP、POP 等,主要原因是这些旧式身份验证协议不支持 MFA 解决方案,于是非常容易被黑客利用。 Walker 提醒那些使用旧式身份验证协议的组织,应当立即将其禁用。微软的数据显示,禁用了旧协议的租户,账户被入侵率下降了 67%。 此外,微软建议,每个组织都应优先考虑为用户帐户启用 MFA 解决方案,“这样可以阻止 99.9% 的帐户被黑客入侵。”   (稿源:开源中国,封面源自网络。)

警惕 Linux 挖矿木马 SystemMiner 通过 SSH 爆破入侵攻击

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/yNiGdnLDbKE9lm_iZVOxPA   一、概述 近日某企业Linux服务器出现卡慢,CPU占用高等现象,向腾讯安全威胁情报中心求助。工程师征得客户同意对该企业网络运行情况进行安全审计。通过对故障服务器进行安全检查,发现该服务器遭遇SSH弱密码爆破入侵。入侵者植入定时任务实现持久化,定时任务下载执行病毒母体INT, INT内置了多个bash命令,会进一步下载执行Linux挖矿木马SystemMiner。 此外入侵者还会利用运维工具ansible、knife等执行命令批量攻击感染内网其他机器,会尝试下载脚本卸载腾讯云云镜、阿里云安骑士等安防产品以实现自保护,入侵者还会修改hosts文件屏蔽其他挖矿网址以独占挖矿资源。 二、病毒分析 1.    入侵阶段 腾讯安全运维专家通过查看失陷主机相关日志,发现入侵者尝试数短时间内爆破SSH接近三千次,爆破入侵成功后会创建执行定时任务kpccv.sh。 2.    持久化 通过创建定时任务实现持久化,定时任务为sh脚本,脚本内容经过base64编码加密。定时任务执行周期为59分钟以内的一个随机数值。 Kpccv.sh经过bash64加密,其主要功能是下载病毒母体INT执行。为了避免下载地址失效,内置了多个下载地址。tencentxjy5kpccv.拼接tor2web.io,tor2web.in等得到完整的下载链接。 Kpccv.sh解密后的内容如下: 3.    病毒母体INT分析 INT为ELF格式可执行文件,运行后创建一子进程执行,内置了多个bash命令,经base64编码加密,每个bash脚本命令都对应着完整的功能模块,下文依次分析每个bash命令实现的具体功能。 3.1 本地持久化 该bash模块主要功能是实现本地持久化,创建定时任务0kpccv,定时任务执行周期为59分钟以内的一个随机数值。定时任务执行kpccv.sh脚本,写入脚本的内容经过了base64编码,其主要功能是下载执行病毒母体INT。 Base64解码后的bash脚本: 3.2 内网渗透&自保护 利用运维工具ansible、knife、salt执行命令实现对内网机器批量感染,执行命令经过base64编码,解码后其功能为下载执行病毒母体INT 下载脚本尝试卸载腾讯云云镜、阿里云安骑士等安全防护产品以实现自保护。 下载可执行文件bot,trc模块执行,目前下载链接已失效。 3.3  清理其他挖矿木马&屏蔽矿池网址 该模块主要功能是清理机器上的挖矿木马,并且修改hosts文件,将常见的挖矿网址systemten.org、pm.cpuminerpool.com等映射到ip地址0.0.0.0,以实现屏蔽其他挖矿网址实现独占系统资源。 3.4 下载执行挖矿木马 执行最核心的功能,下载执行挖矿木马。下载链接通过拼接而成,tencentxjy5kpccv.拼接tor2web.io等,挖矿模块cpu为ELF格式可执行文件。 执行门罗币挖矿,矿池配置如下: 三、安全建议 腾讯安全专家建议各企业对Linux服务器做以下加固处理: 1.采用高强度的密码,避免使用弱口令,并建议定期更换密码。建议服务器密码使用高强度无规律密码,并强制要求每个服务器使用不同密码管理; 2.排查相关Linux服务器是否有kpccv等相关定时任务,有则结束相关进程,清理相关木马文件; 3.在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。 4.推荐企业部署腾讯T-Sec高级威胁检测系统(腾讯御界)及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) IOCs: MD5: 177e3be14adcc6630122f9ee1133b5d3 e5f8c201b1256b617974f9c1a517d662 b72557f4b94d500c0cd7612b17befb70 域名: tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.io tencentxjy5kpccv.t.tor2web.to tencentxjy5kpccv.t.tor2web.in tencentxjy5kpccv.t.onion.to tencentxjy5kpccv.t.onion.in.net tencentxjy5kpccv.t.civiclink.network tencentxjy5kpccv.t.onion.nz tencentxjy5kpccv.t.onion.pet tencentxjy5kpccv.t.onion.ws tencentxjy5kpccv.t.onion.ly 矿池: 136.243.90.99:8080

“Higaisa(黑格莎)”组织近期攻击活动报告

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/895.html   一、背景概述 腾讯安全威胁情报中心检测到“higaisa(黑格莎)”APT组织在被披露后经过改头换面再次发动新一轮的攻击,在这轮攻击中,该组织舍弃了使用多年的dropper,完全重写了攻击诱饵dropper,此外还引入了dll侧加载(白加黑)技术对抗安全软件的检测和查杀。 “Higaisa(黑格莎)”组织是腾讯安全2019年披露的一个来自朝鲜半岛的专业APT组织,因为其常用higaisa作为加密密码而得名。该组织具有政府背景,其活动至少可以追溯到2016年,且一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。被攻击的对象包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等,受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。 二、基础信息   文件名 MD5 功能/属性 Happy-new-year-2020.scr 2173b589b30ba2b0242c82c9bcb698b2 dropper Rekeywiz.exe 082ed4a73761682f897ea1d7f4529f69 白文件,用于+加黑 Duser.dll 5de5917dcadb2ecacd7ffd69ea27f986 Downloader cspwizres.exe 54c0e4f8e59d1bd4c1e0d5884b173c42 窃密木马 2020-New-Year-Wishes-For-You.scr 37093D3918B0CC2CA9805F8225CCCD75 dropper Duser.dll 01B90259A9771D470582073C61773F30 Downloader 390366d02abce50f5bb1df94aa50e928 390366d02abce50f5bb1df94aa50e928 Gh0st trojan bbf9822a903ef7b9f33544bc36197594 bbf9822a903ef7b9f33544bc36197594 Gh0st trojan 0a15979a72f4f11ee0cc392b6b8807fb 0a15979a72f4f11ee0cc392b6b8807fb Gh0st trojan 739a40f8c839756a5e6e3c89b2742f8e 739a40f8c839756a5e6e3c89b2742f8e Gh0st trojan 三、鱼叉攻击 与以往的攻击手段类似,“higaisa(黑格莎)”依然以节假日祝福为主题诱饵进行鱼叉钓鱼攻击,最近抓获的攻击邮件主题为“Happy new year 2020”、“2020 New Year Wishes For You”等,欺骗用户下载并打开附件。 附件解压后得到木马诱饵名为Happy-new-year-2020.scr、2020-New-Year-Wishes-For-You.scr,运行后释放并打开与主体相对应的图片欺骗受害者。 四、木马行为分析 1.Dropper 1)2020-New-Year-Wishes-For-You.scr与Happy-new-year-2020.scr功能类似 可能由于被曝光的原因,该组织对dropper进行了重写,舍弃了原来将payload存放在资源及使用“higaisa”作为密钥进行rc4解密的方式,直接从数据段中解密(XOR 0x1A)释放恶意文件到指定目录并执行。释放的恶意文件如下: %ALLUSERSPROFILE%\CommonDatas\Rekeywiz.exe(白) %ALLUSERSPROFILE%\CommonDatas\Duser.dll(黑) %TEMP%\Happy-new-year-2020.jpg(正常的伪装图片) 2)使用com创建EfsRekeyWizard.lnk到启动目录,指向Rekeywiz.exe实现持久化。 2. Downloader 1)Rekeywiz.exe文件为操作系统白文件,运行时会加载edsadu.dll,该文件也是系统自带文件,edsadu.dll加载过程中会加载Duser.dll,实现白加黑攻击: 2)Duser.dll的InitGadgets接口函数中实现了恶意功能,创建恶意线程: 3)使用RC4解密出C2,然后获取磁盘序列号的CRC32值作为tn参数,获取随机字母为ved参数,向C2发送请求,C2为:hxxp[:]//petuity.shopbopstar.top/research/index.php 及 hxxp[:]//adobeinfo.shopbopstar.top/notice/index.php 4)C2返回的数据也是经过RC4加密的数据,解密后为PE文件,释放到temp目录后执行: 5)其中文件名也来自于C2的返回数据,取数据从后往前第一个’&’之后的字符作为文件名: 6)C2返回的数据实例,与之前的攻击类似:最终下载了infostealer+gh0st RAT 3.Infostealer cspwizres.exe(54c0e4f8e59d1bd4c1e0d5884b173c42)文件主要行为是获取计算机信息,并发送到C2。 1)解密出要执行的命令结果如下:主要用于收集系统信息、网络信息、进程信息、文件信息等systeminfo&ipconfig -all&tasklist&net view&dir c:\&dir c:\users\&dir d:\&dir e:\: 2)创建cmd执行以上命令,并通过管道获取执行结果 3)解密出C2,C2地址与之前的攻击活动相似 4)将获取的信息上传到C2中185.247.230.252: 4. RAT 持续监控中发现,后期攻击者会对不同的受害者下载gh0st改版木马驻留受害者系统,我们目前共在受害机发现3个不同版本的gh0st木马。 版本1: 该木马为gh0st RAT,含有文件管理、进程管理、CMDshell等功能,C2: x1.billbord.net:6539。 版本2: 该木马为gh0st RAT,含有文件管理、进程管理、CMDshell等功能, C2: www.phpvlan.com:8080 版本3: 该木马为gh0st远控改版,只保留插件管理功能,所有功能需插件实现,C2: console.hangro.net:1449。 5. TTP/武器更新 1)Dropper 本轮攻击利用“白+黑”的方式加载Downloader模块:rekeywiz.exe+ Duser.dll 2)Downloader 自腾讯安全御见威胁情报中心公布该组织攻击报告后(https://s.tencent.com/research/report/836.html),该组织对其Downloader进行改版,新一批downloader下载功能均基于老版本的curl开源代码实现: 五、MITRE ATT&CK   Tactic ID Name Initial Access T1193 Spearphishing Attachment Execution T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1085 Rundll32 T1035 Service Execution T1204 User Execution T1175 Component Object Model and Distributed COM T1072 Third-party Software Persistence T1179 Hooking T1137 Office Application Startup T1038 DLL Search Order Hijacking T1060 Registry Run Keys / Startup Folder Defense Evasion T1140 Deobfuscate/Decode Files or Information T1107 File Deletion T1036 Masquerading T1112 Modify Registry T1027 Obfuscated Files or Information T1085 Rundll32 T1099 Timestomp Credential Access T1179 Hooking T1056 Input Capture Discovery T1083 File and Directory Discovery T1046 Network Service Scanning T1135 Network Share Discovery T1057 Process Discovery T1082 System Information Discovery T1007 System Service Discovery Lateral Movement T1534 Internal Spearphishing Collection T1123 Audio Capture T1005 Data from Local System T1114 Email Collection T1056 Input Capture T1113 Screen Capture Command and Control T1043 Commonly Used Port T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1001 Data Obfuscation T1065 Uncommonly Used Port 六、安全建议 我们建议外贸企业及重要机构参考以下几点加强防御: 1、 通过官方渠道或者正规的软件分发渠道下载相关软件; 2、 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 3、 提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码; 4、 及时安装操作系统补丁和Office等重要软件的补丁; 5、 使用杀毒软件防御可能的病毒木马攻击,对于企业用户,推荐使用腾讯T-Sec终端安全管理系统(腾讯御点)。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险; 6、 推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 七、附录 IOCs 185.247.230.252                        infostealer petuity.shopbopstar.top            downloader adobeinfo.shopbopstar.top    downloader console.hangro.net:1449         gh0st plug www.phpvlan.com:8080          gh0st x1.billbord.net:6539                  gh0st MD5 2173b589b30ba2b0242c82c9bcb698b2 082ed4a73761682f897ea1d7f4529f69 54c0e4f8e59d1bd4c1e0d5884b173c42 4d937035747b4eb7a78083afa06022d3 5de5917dcadb2ecacd7ffd69ea27f986 37093d3918b0cc2ca9805f8225cccd75 01b90259a9771d470582073c61773f30 25c80f37ad9ad235bea1a6ae68279d2e 739a40f8c839756a5e6e3c89b2742f8e 6a0fab5b99b6153b829e4ff3be2d48cd 0a15979a72f4f11ee0cc392b6b8807fb 390366d02abce50f5bb1df94aa50e928 bbf9822a903ef7b9f33544bc36197594 4ff9196bac6bf3c27421af411c57ba52 参考资料 警惕来自节假日的祝福:APT攻击组织”黑格莎(Higaisa)”攻击活动披露 https://mp.weixin.qq.com/s/W87E6_v9YCnsmQWDd7NOHw

Let’s Encrypt 倡议新证书策略 提高抗网络攻击能力

Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施,从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域认证(multi-perspective domain validation),可帮助证书颁发机构(CA)证明申请人对他们想要获得证书的域具有掌控权。 域验证并不是什么新问题,但在验证过程中还存在很多的漏洞,这意味着网络攻击者可以诱使CA机构错误的颁发证书。而通过多角度域认证,网络攻击者需要同时破坏三个不同的网络路径,这不仅大大提高了安全系数,而且在互联网拓扑社区中也能更快发现网络攻击行为。 在新闻稿中,Let’s Encrypt特别感谢了普林斯顿大学的几位研究人员在多角度域验证方面的帮助,并表示将继续与研究人员合作,以改善设计和实施的有效性。   (稿源:cnBeta,封面源自网络。)