标签: 趋势科技

Pwn2Own 2018:黑客成功入侵 Safari 浏览器

本周三举行的年度 Pwn2Own 黑客大赛上,趋势科技举办的 Zero Day Initiative(ZDI)活动上,有两起针对苹果 Safari 浏览器的攻击,其中一次取得了成功。根据博客分享的细节,来自 phoenhex 的 Samuel Groß 利用包含 macOS 提权漏洞的三个 BUG 链成功入侵了 Safari。 根据官方新闻稿提供的细节,这个漏洞还能对 MacBook Pro上TouchBar 的文本进行篡改。凭借着这个 BUG 链,Groß 成功的获得了 6.5 万美元,并以 6 分的成绩获得了梦寐以求的“ Master of Pwn ”头衔。 去年 11 月举办的 Mobile Pwn2Own 大会上,曾经利用两个 Safari BUG 绕过 iPhone 7 安全协议的 Richard Zhu 在本次大会上尝试利用 Safari 漏洞发起攻击的。但是遗憾的是,在本届 Pwn2Own大 会上,Zhu 无法在规定的 30 分钟时间内从沙箱中逃脱。 不过,Zhu 成功利用 Windows 内核 EoP 破解了微软 Edge,使用了两个 UAF 漏洞和整数一处漏洞。Groß 的 phoenhex 队友 Niklas Baumstark 成功对 Oracle VirtualBox 发起攻击。 稿源:cnBeta,封面源自网络;

趋势科技电子邮件加密网关曝多项安全漏洞,可获得 root 权限执行任意代码

外媒 2 月 25 日消息,Core Security 发现趋势科技基于 Linux 的电子邮件加密网关的 Web 控制台中存在多个安全漏洞( CVE-2018-6219 ~ CVE-2018-6230),其中一些被评为严重等级的漏洞能够允许未经身份验证的远程攻击者以root权限执行任意命令。目前受影响的软件包是趋势科技电子邮件加密网关 5.5 (Build 1111.00)及更早版本。 在这些漏洞中,最严重的是 CVE-2018-6223,可能会被本地或远程攻击者利用来获得目标设备的 root 权限,以便于执行任意命令。目前来说,该漏洞与设备注册时缺少身份验证有关。 具体细节为:管理员在部署过程中需要通过注册端点配置运行电子邮件加密网关的虚拟设备, 于是攻击者可以利用该漏洞在没有身份验证的情况下访问端点,以设置管理员凭据并对配置进行其他更改,比如管理员用户名和密码等。 据悉,Core Security 还发现了两个严重的跨站脚本攻击(XSS)漏洞,一个可导致命令执行的任意文件写入问题,另一个则导致命令执行的任意日志文件位置以及未验证的软件更新。除此之外,趋势科技的电子邮件加密网关也包括了 SQL 和 XML 外部实体(XXE)注入等漏洞。 目前趋势科技确认,由于实施修复程序的困难,中等严重性 CSRF 问题和低严重性 SQL 注入漏洞尚未得到修补。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

伊朗 APT 组织 CopyKittens 最新网络间谍行动曝光

据外媒 7 月 25 日报道,趋势科技(Trend Micro)与以色列安全公司 ClearSky 研究人员近期联合发布一份详细报告,指出伊朗 APT 组织 CopyKittens 针对以色列、沙特阿拉伯、土耳其、美国、约旦与德国等国家与地区的政府、国防与学术机构展开新一轮大规模网络间谍活动 “ Operation Wilted Tulip ”。 APT 组织 CopyKittens(又名:Rocket Kittens)至少从 2013 年以来就一直处于活跃状态,曾于 2015 年面向中东地区 550 个目标展开攻击。据悉,该报告详细介绍 CopyKittens 在新网络间谍活动中采取的主要攻击手段: 1、水洞攻击:通过植入 JavaScript 至受害网站分发恶意软件,其主要针对新闻媒体与政府机构网站。 2、Web 入侵:利用精心构造的电子邮件诱导受害者连接恶意网站,从而控制目标系统。 3、恶意文件:利用近期发现的漏洞(CVE-2017-0199)传播恶意 Microsoft Office 文档。 4、服务器漏洞利用:利用漏洞扫描程序与 SQLi 工具 Havij、sqlmap 与 Acunetix 有效规避 Web 服务器检测。 5、冒充社交媒体用户:通过与目标系统建立信任传播恶意链接。 趋势科技表示,为成功感染目标系统,CopyKittens 将自定义恶意软件与现有商业工具(如 Red Team 软件 Cobalt Strike、Metasploit、开发代理 Empire、TDTESS 后门与凭证转储工具 Mimikatz)结合,从多个平台向同一受害系统发动持续攻击,成功操控后转移至其他目标设备。 原作者:Mohit Kumar,编译:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新型 “无文件” 勒索软件 Sorebrect 可远程注入恶意代码进行文件加密

据外媒 6 月 16 日报道,安全研究人员近期发现一款新型 “无文件” 勒索软件 Sorebrect,允许黑客将恶意代码隐身注入目标系统中的合法进程(svchost.exe)并终止其二进制代码以规避安全机制检测,还能通过使用 wevtutil 删除受影响系统的事件日志阻碍取证分析。 勒索软件 Sorebrect 可利用 Tor 网络匿名连接至命令与控制(C&C)服务器中。与其他勒索软件不同的是,Sorebrect 专门针对各行(制造、技术与电信)企业系统注入恶意代码,以便在本地系统和共享网络中加密文件。 研究人员注意到,勒索软件 Sorebrect 首先通过暴力攻击等手段入侵管理员账户,然后利用 PsExec 命令控制系统实现文件加密处理。“虽然攻击者可以使用远程桌面协议(RDP)和 PsExec 在受影响的机器中安装 Sorebrect 恶意软件,但与使用 RDP 相比,利用 PsExec 更为简单”。趋势科技表示,PsExec 可使攻击者能够执行远程命令,而非使用交互登录会话或将恶意软件手动传输至远程机器设备。 调查显示,研究人员首次在中东国家 Kuwait 与 Lebanon 地区发现该勒索软件迹象。随后,他们于近期观察到加拿大、中国、俄罗斯与美国等国家系统也纷纷遭受勒索软件 Sorebrect 攻击。趋势科技安全专家建议用户限制 PsExec 权限、主动备份文件,实时更新系统与网络安全机制以防止黑客攻击。 原作者:Pierluigi Paganini,译者:青楚,译审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

趋势科技发布最新数据:近一年恶意软件勒索赎金累计达 10 亿美元

趋势科技最新调查报告显示,网络犯罪分子于 2016 年 1 月至 2017 年 3 月利用恶意软件勒索赎金累计达 10 亿美元,其恶意组织数量与去年相比增长 752% 。目前,黑客早已瞄准全球知名企业与组织机构展开持续性网络攻击活动。 2016 年,黑客针对不同勒索软件变种进行多次修改,新添功能主要包括更新感染例程与加密更多文件类型。迄今为止,“ 勒索软件恐慌 ” 尚无削减之势。 图一:2016 年 1 月至 2017 年 3 月勒索软件威胁区域分布 众所周知,勒索软件 WannaCry 致使全球网络遭受攻击。攻击者不仅利用  Windows SMB漏洞( CVE-2017-0144 )加密系统文件,还可通过扫描 SMB 共享文件扩大蔓延范围。由于加密文件往往涉及企业关键业务(例如,数据库、档案等),因此受害者遇到这种情况时通常别无选择,只能如数缴纳赎金。然而,WannaCry 并非首款勒索软件,Cerber 作为传播范围最广的勒索软件家族曾令受害者屡受重创。勒索软件厂商从去年开始就已在地下论坛采用 RaaS 模式出售恶意软件 Cerber,其开发人员仅单月即可获利 20 万美元。 图二:如何缓解与预防勒索软件攻击活动 不断变化的勒索赎金行为迫使受害者为确保业务的正常运作而付出高额代价。值得注意的是,支付赎金并不意味着就可以恢复数据。而面对此类威胁,与其补救于已然,不如防范于未然。目前,安全专家建议各组织机构采取基本的预防措施以尽量减少网络安全的风险。 原作者: Keith Cortez, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型 IoT 僵尸网络 Persirai 一举攻陷 12 万台 IP 摄像机

据外媒 10 日报道,趋势科技( Trend Micro )安全研究人员发现物联网( IoT )僵尸网络 Persirai 针对 1000 多种 IP 摄像机模型展开攻击。目前至少 120,000 台 IP 摄像机已遭受网络攻击,而多数受害者未能察觉自身设备暴露于互联网之中。 研究人员表示,攻击者利用新型恶意软件通过 TCP 端口 81 可轻松访问 IP 摄像机 Web 界面。一旦攻击者登录受感染设备 Web 界面,即可强制 IP 摄像机连接恶意网站并自行下载执行恶意 shell 脚本。 调查显示,恶意软件将在 IP 摄像机下载执行脚本后自行删除并仅在内存中运行。有趣的是,该恶意软件会阻止 0day 攻击以防御其他黑客再度攻击已被感染的 IP 摄像机。此外,受感染 IP 摄像机还将远程报告给 C&C 服务器、接受命令并自动利用近期公布的零日漏洞攻击其他 IP 摄像机。 趋势科技表示,C&C 服务器被发现使用 .IR 地址代码。据悉,该代码由一家伊朗研究机构管理,且仅限伊朗人使用。此外,代码中还存在一些特殊波斯字符。 原作者:Hyacinth Mascarenhas, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接