标签: 赛门铁克

赛门铁克安全报告:2016 年全球逾 670 万设备感染恶意软件

HackerNews.cc  9 月 27 日消息,赛门铁克于近期的安全报告中分享了一款最新版本的僵尸网络跟踪器,旨在监控欧洲、中东与非洲等地区受恶意软件感染的情况。调查显示,2016 年全球逾 670 万台设备沦为 “僵尸网络军队”。 赛门铁克表示,感染恶意软件的联网设备已然成为黑客主流工具,因为它们可以被用来启动大规模分布式拒绝服务(DDoS)攻击。相关数据显示,全球逾 670 万台受感染设备中,欧洲占 18.7%。然而,俄罗斯在欧洲所有国家中受感染设备最多(13.6%)。不过,如果根据欧洲地区使用互联网的人口数量计算,俄罗斯的 “ 僵尸密度 ” 相对较低。研究人员表示,这种相对较低的感染率可能在某种程度上受到俄罗斯黑客组织行为守则的影响。此外,英国于 2016 年在欧洲受感染数量排名 11,其中超过 1300 万用户成为受害者。与此同时,虽然罗马教廷是欧洲最小的国家,但受感染设备却在全球范围内覆盖密度最广。 图:英国僵尸网络的统计与分析 研究人员 Candid Wueest 表示,受害设备是攻击者在僵尸网络中使用的关键工具。不过,当前网络犯罪分子不仅仅只使用计算机设备开展攻击活动,他们越来越多的开始利用智能手机与物联网(IoT)设备。事实上,IoT 设备可能成为未来全球传播恶意软件的主流载体。 赛门铁克表示,陷入僵尸网络的受害者们在多数情况中都是在不知情下成为犯罪参与者。然而,如果您的设备在运行时开始大幅度减速、显示神秘信息或无缘无故出现崩溃现象时,可能已经被攻击者利用。目前,研究人员建议用户设备时刻保持最新安全更新状态并且不要随意点击任何可疑链接,以防感染恶意软件。 原作者:Jason Murdock, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Google 公布 Chrome 不信任赛门铁克证书的时间表

因为发现赛门铁克签发了大量有问题的证书,Google 官方博客公布了 Chrome 浏览器不信任赛门铁克证书的时间表: 2017 年 10 月发布的 Chrome 62 将在 DevTools 中加入对即将不受信任的赛门铁克证书的警告; 2017 年 12 月 1 日,DigiCert 将接手赛门铁克的证书签发业务; 2018 年 4 月 17 日发布的 Chrome 66 将不信任 2016 年 6 月 1 日之前签发的证书; 2018 年 10 月 23 日发布的 Chrome 70 将停止信任赛门铁克的旧证书。 受影响的赛门铁克 CA 品牌包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL,几个独立运作密钥不受赛门铁克控制的次级 CA 得到了豁免,其中包括苹果和 Google。Google 建议使用赛门铁克证书的网站及时更新到受信任证书。 稿源:solidot奇客,封面源自网络;

印度与巴基斯坦遭到由国家资助的网络间谍活动攻击

HackerNews.cc  8 月 29 日消息,网络安全公司赛门铁克研究人员于近期发现一起针对印度与巴基斯坦的网络间谍活动,攻击活动疑似有国家资助且最早可追溯至 2016 年 10 月。      路透社透露:“此次攻击活动似乎由多个团体组成,但根据所采用的战略与技术手段表明,这些团体正由  “ 相似的目标或同一赞助者 ” 操控,对方可能是一个国家或是一个民族。 调查显示,攻击者在此次间谍活动中使用的恶意软件与此前早期发现的后门 “ Ehdoor ” 代码极其相似,即均用于定位用户 Android 设备、窃取敏感数据、上传与下载恶意文件、记录按键输入等功能。 Ehdoor 后门是一款恶意木马,最初于 2016 年 9 月首次被研究人员发现。此前,该木马被用于瞄准中东与其他地方政府、军工机构展开网络攻击活动,允许攻击者秘密窃取用户敏感信息并将潜在恶意文件上传至受感染设备。 值得注意的是,由于此次网络间谍活动恰逢印度军方在与中国接壤的边界进行对峙,以及印度与巴基斯坦正处于紧张局势持续升温的状态,因此各国都在积极备战之中。此外,该攻击活动似乎集中威胁了南亚地区的政府、军事等组织机构在网络安全问题上的利益关系。 目前,虽然研究人员尚不了解此次攻击幕后黑手真实身份,也不清楚该恶意软件是否渗透任何关键体系,以及窃取任一重要敏感数据。据悉,该恶意软件还在不断更新中,或是为了进一步实现间谍操作的 “ 附加功能 ”。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

赛门铁克:Android 平台惊现一款无需代码就能定制恶意软件的 APP

据外媒报道,赛门铁克 Dinesh Venkatesan 近期公布一份安全报告,声称 Trojan Development Kit app for Android(即针对 Android 平台开发木马开发套件软件)提供了一个极易使用的界面。目前,它正在中国的社交网络平台上传播,其整个过程不需要用户编写任何代码,而这一切均可在智能手机上就能完成。 该软件可以定制勒索信、解密密匙、图表、代码算术运算以及在主机设备上播放动画类别内容等。当填好所有信息之后,用户就能按下 “ Create(生成)” 这个按钮。赛门铁克的这篇文章指出,虽然目前这款软件的目标是中文用户,但修改界面语言非常简单并且它未来还将有可能出现在其他方言地区。 Venkateswaran 解释称,这些应用不仅能让那些经验不足但却有野心的网络犯罪提供帮助,甚至连老练的恶意软件开发者也发现这些易于使用的工具包是一种有效的替代方式。另外,他还称,随着这些开发工具包的不断普及,未来在移动客户端出现的勒索软件种类将会变得越来越多。 稿源:cnBeta,封面源自网络;

研究人员通过钓鱼方式欺骗赛门铁克吊销合法证书

谷歌研究人员近期仍在调查赛门铁克旗下证书颁发机构在过去几年里错误和违规签发数字证书的问题。不过在这个时候却有其他安全研究人员通过钓鱼的方式发现赛门铁克公司在吊销证书时并未按照规定操作。 该研究人员注册新域名后向赛门铁克和科莫多申请证书,在此过程中两家公司都给签发了数字证书。紧接着这名研究人员伪造对应证书的伪造私钥上传 Pastebin 网站,然后开始向赛门铁克和科莫多申请撤销证书。 正常情况下如果数字证书的私钥泄露了那么应该立刻联系证书颁发机构将对应的数字证书吊销防止出现问题。因此赛门铁克在收到这名研究人员的申请后立刻吊销证书,而科莫多在收到申请后却没有将对应证书吊销。但别忘了本身研究人员发给赛门铁克的就是伪造私钥, 赛门铁克直接吊销了证书说明该公司并没有去验证私钥。 按照既定流程颁发机构只有在验证申请者身份或者其他资料后才可以将对应的数字证书加入到证书吊销列表。但是赛门铁克在未经验证的情况下直接将证书吊销, 这个操作不但不符合要求而且还可能造成极大的危害。例如研究人员直接伪造私钥后向赛门铁克申请吊销搜狗的证书, 赛门铁克就会直接吊销。随后,大家在访问搜狗时就会直接出现拦截提醒, 因为搜狗证书已被作废并不再被任何浏览器信任。 当然如果真的去申请吊销大公司的证书不大可能实现, 但是如果去申请吊销中小网站的搞不好就真的会成功。谷歌和 Mozilla 要求赛门铁克改善基础设施提高安全,同时谷歌也提出需要对赛门铁克执行惩罚性措施。目前,惩罚性措施主要包括缩短赛门铁克签发证书的有效期, 同时还包括暂停信任赛门铁克的 EV 扩展验证证书。 稿源:蓝点网,封面源自网络  

僵尸网络 Hajime 实施新型攻击方式,劫持逾 30 万 IoT 设备

赛门铁克专家近期发现新型物联网( IoT )僵尸网络 Hajime 过去几个月内在巴西、伊朗等国家呈持续增长、迅速蔓延之势。目前,黑客已开始实施新型攻击方式,感染逾 30 万台 IoT 设备。 恶意软件 Hajime 于 2016 年 10 月被首次发现,采用了与僵尸网络 Mirai 相同的传播机制。据悉,该威胁目标主要为使用开放式 Telnet 端口与默认密码的不安全 IoT 设备。研究人员发现,Hajime 与 Mirai 具有几近相同的用户名和密码组合列表,但传播方式并非 C&C 服务器,而是对等网络连接。赛门铁克专家表示,Hajime 无需任何 C&C 服务器地址,仅通过控制器将命令模块推送至对等网络,消息随时间推移传播至所有对等网络。 Hajime 比 Mirai 更加复杂,实现了隐藏其活动与运行进程的更多机制。调查表明,该威胁具有允许运营商快速添加新型功能的模块化结构。分析报告显示,Hajime 并未执行分布式拒绝服务( DDoS )攻击或其他任何攻击代码,而是从控制器中提取语句并每隔 10 分钟在 IoT 终端上显示一次。该邮件采用数字签名,而且蠕虫只接受硬编码密钥签名邮件。故系统一旦感染,蠕虫将阻止访问端口 23、754、5555 与 5358,以防来自其他 IoT 威胁(包括 Mirai 在内)的攻击。 专家认为,Hajime 可能出自某个黑客义警之手,因为他们过去就曾发现类似代码,例如赛门铁克于 2015 年 10 月发现的 Linux.Wifatch。 图:Telnet 默认密码攻击 据悉,Hajime 作者仍在继续更新代码。卡巴斯基研究人员发现此人近期更改了引入 TR-069 协议的攻击模块。目前,该僵尸网络可实现三种不同的攻击方式:TR-069 协议利用、Telnet 默认密码攻击与 Arris 电缆调制解调器密码日常攻击。此外,卡巴斯基专家发现,僵尸网络 Hajime 几乎可以针对互联网上的任何设备发动攻击。 在卡巴斯基研究人员看来,Hajime 最耐人寻味之在于动机。截至目前,攻击模块中引入 TR-069 协议的做法使僵尸网络规模日益扩大,但具体动机仍不为人知。尽管暂未发现僵尸网络 Hajime 被用于任何类型攻击或恶意活动,仍建议 IoT 设备用户将密码更改为难以暴力破解的形式并尽可能更新固件。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Shadow Brokers 最新泄密暴露 NSA 与 Stuxnet 的可能联系

神秘黑客组织 Shadow Brokers 上周公开了一批新的 NSA 黑客工具和漏洞利用代码。安全研究人员在其中发现了 NSA 与 Stuxnet 蠕虫存在联系的证据,虽然证据并非确凿无疑。 Stuxnet 蠕虫被称为是世界上第一种数字武器,它设计破坏伊朗 Natanz 铀浓缩工厂的离心机,增加其故障率,放缓伊朗核武器发展脚步。Stuxnet 被认为由 NSA 和以色列合作开发。 赛门铁克的研究员 Liam O’Murchu 在最新曝光的代码中发现了 Windows MOF 文件的漏洞利用脚本,该脚本最早是在 Stuxnet 中发现的,之后被逆向工程加入到开源黑客工具 Metasploit 中,但 Shadow Brokers 公开的 MOF 文件漏洞利用工具的最后编译日期是 2010 年 9 月 9 日,早在脚本被加入到 Metasploit 之前。 其他安全研究人员也从中发现了 NSA 与 Stuxnet 存在联系的其他证据,如一个 ASCII 艺术图的名字叫 WON THE GOLD MEDAL,Stuxnet 行动的官方代号据称是 Olympic Games。 稿源:Solidot奇客;封面源自网络

赛门铁克称 CIA 的黑客工具应对多起网络攻击负责

据路透社报道,赛门铁克( Symantec )的安全研究人员周一表示,“ 维基解密 ”最近曝光的绝密黑客工具曾与 16 个国家的 40 余次网络攻击有关。 调查表明,这些攻击可能与美国中央情报局( CIA )的特工组织 Longhorn 有关。Longhorn 组织自 2011 年以来一直处于活跃状态,使用木马后门和零日漏洞攻击目标。赛门铁克表示,除了攻击金融、电信、能源、航空航天、信息技术、教育和自然资源部门以外,该组织还渗透政府与国际运营机构,尽管他们没有透露任何信息。此外,除了欧洲,中东、亚洲和非洲也有目标受到攻击。据悉,一台美国电脑被病毒感染,而几个小时后病毒被清除,这看起来可能像是一次意外,但却是因为所有的程序都被用来打开后门、收集和删除文件的副本,而不是摧毁任何东西。 维基解密发布的文件隐约展示了中情局内部对入侵手机、电脑和其它电子设备的各种讨论,以及部分工具编程代码。多位知情人士向路透社透露,这些文件来自中情局或其承包商。目前,中情局并未承认维基解密披露文件的真实性,但中情局发言人霍尼亚克( Heather Fritz Horniak )表示,维基解密的任何披露均旨在打击美国情报组织,不仅危害了美国情报人员及其行动,还让对手获得了伤害他们的工具和信息。 霍尼亚克称:“ 中情局在法律上被禁止对美国国土的个人进行电子监控,其中包括美国人在内,而中情局也不会这样做。” 赛门铁克研究员 Eric Chien 此前表示,维基解密所披露的中情局工具不涉及对普通民众的监控,其所有攻击目标都是政府实体,或者由于其它原因具有合法的国家安全价值。 此外,上周六,一个名为“ 影子经纪人( The Shadow Brokers )”的黑客组织披露了另外一批窃取美国国家安全局( NSA )的黑客工具。该组织同时还发布了一篇博客,批评唐纳德·特朗普总统空袭叙利亚,摆脱保守政治立场。目前,还不清楚,“ 暗影经纪人 ” 背后谁在支持以及他们是如何获取这些文件。 本文由 HackerNews、cnBeta 翻译整理,封面来源于网络。

谷歌曝赛门铁克伪造证书:多个步骤减少信任

Google Chrome 工程师在开发者邮件列表上宣布将逐步减少对赛门铁克( Symantec )证书的信任。Google 发现赛门铁克旗下的 Root CA 在过去几年内未经同意签发了众多域名的数千个证书,其中包括 2015 年在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书。 赛门铁克( Symantec )是世界顶级的安全机构之一,也是世界知名的 ROOT CA 机构,非常多的知名站点均使用赛门铁克颁发的证书。 据外媒报道,12 月 15 日 Google 在其官方博客上宣布将不再信任由赛门铁克旗下 Thawte CA 颁发的 Class 3 Public Primary CA 根证书。Google 称,包括旗下 Google Chrome 浏览器、Android 系统以及其他的 Google 产品都将不再信任 Class 3 Public Primary CA 根证书。Google 还透露赛门铁克似乎并不愿意更换该证书,而 该证书已不能保证用户的安全。 Google Chrome 团队称,他们从 1 月 19 日开始调查赛门铁克的证书有效性,在调查期间发现有问题的证书数量从最初报告的 127 个暴涨到至少 3 万个。开发者称,他们对赛门铁克公司的证书签发政策和实践不再抱有信心,为了用户安全起见,他们决定采取多个步骤减少对赛门铁克所签发证书的信任:对赛门铁克新签发证书接受的有效期减少到 9 个月或更少;通过多个版本的 Chrome 逐步减少对目前信任的赛门铁克证书的信任,鼓励替换现有的证书;移除对赛门铁克所签发证书的 Extended Validatio 状态的认可。Google 工程师称,他们发现赛门铁克公司允许至少四个第三方访问它的基础设施,甚至允许它们签发证书。 稿源:solido、gfan,封面源自网络

黑客恶意利用含 Windows 脚本垃圾邮件传播勒索软件

国际知名安全厂商赛门铁克发现,过去三个月里恶意利用 Windows 脚本文件(WSF)进行邮件攻击数量显著增加,上两周已发布博客称拦截了多项 WSF 文件传播恶意软件 Locky 的邮件 。 Windows 脚本文件是含有可扩展标记语言 (XML) 代码的文本文档,可使用支持 XML 的任意编辑器编辑。文件后缀为 .wsf。 部分电子邮件客户端不会阻止 .wsf 文件的自动运行,常被攻击者利用来转播勒索软件。赛门铁克同时强调利用 .wsf 文件传播恶意软件将会成为趋势。 下图为赛门铁克统计过去几个月中含有此类恶意附件的邮件数量: 稿源:本站翻译整理,封面来源:百度搜索