标签: 黑客

伊朗相关黑客利用网络钓鱼攻击活动人士和美国官员

据外媒报道,根据伦敦网络安全竞购Certfa最新公布的一份报告显示,与伊朗政府相关的黑客将实施了制裁的他国官员、活动人士和记者作为其网络钓鱼黑客攻击目标。获悉,目标包括了原子科学家、美国财政部官员以及今年被美国总统特朗普撤销的伊朗核协议的支持者和批评者。 Certfa发现,这场活动是由一个叫做Charming Kitten的黑客组织发起。研究人员在报告中写道:“换句话说,受到伊朗政府支持的黑客根据伊朗政府的政策和国际利益选择攻击目标。” 对此,伊朗政府并未立即置评。 报道称,该黑客行动在很大程序上主要依赖于诱骗邮箱用户交出他们电子邮件的用户名和密码。不过像Yubikey等这样的物理令牌有助于防止此类黑客攻击,因为当登录重要邮箱账号时设备必须在场才行。 Certfa指出,黑客们为了给自己的行动增加合法性会选择在某些情况下指示受害者在输入用户名和密码之前打开其在谷歌页面上的网站。研究人员说,他们已经将这种情况反映给了谷歌,为此谷歌关闭了该公司服务上的黑客页面。 目前还不清楚究竟有多少受害人落入了这个网络钓鱼的全套,而这些黑客之所以被发现看来是因为他们犯了一个基础错误。据称,他们在网上留下了一个不安全的信息,研究人员正是通过这个找到了他们并从中获取了钓鱼活动的细节信息。   稿源:cnBeta,封面源自网络;

卡巴斯基曝光 DarkVishnya 银行内网攻击案件细节

在影视作品中,经常能见到通过 USB 存储器发起的网路入侵攻击。剧情通常是从目标公司中挑选一位容易下手的雇员,让他在工作场所的某个地方插入。对于有经验的网络犯罪者来说,这显然是一件很容易暴露的事情。但没想到的是,同样的剧情,竟然在现实中上演了。2017~2018 年间,卡巴斯基实验室的专家们,受邀研究了一系列的网络盗窃事件。 它们之间有一个共同点 —— 有一个直连公司本地网络的未知设备。有时它出现在中央办公室、有时出现在位于另一个国家或地区的办事处。 据悉,东欧至少有 8 家银行成为了这种袭击的目标(统称 DarkVishnya),造成了数千万美元的损失。 每次攻击可分为相同的几个阶段:首先,网络犯罪分子以快递员、求职者等为幌子,潜入了组织的大楼、并将设备连接到本地网络(比如某个会议室中)。 在可能的情况下,该装置会被隐藏或混入周围环境,以免引起怀疑。如上图所示的带插座的多媒体桌子,就很适合植入隐蔽的设备。 根据网络犯罪分子的能力和个人喜好,DarkVishnya 攻击中使用的设备也会有所不同。在卡巴斯基实验室研究的案例中,通常有如下三种: ● 上网本或廉价笔记本电脑; ● 树莓派计算机; ● Bash Bunny — 一款用于执行 USB 攻击的特殊工具。 在本地网络内,该设备会显示为“未知计算机、外部闪存驱动器、甚至键盘”。然后再通过内置或 USB 连接的 GPRS / 3G / LTE 调制解调器,远程访问被植入的设备。 结合 Bash Bunny 在外形尺寸上与 USB 闪存盘差不多的事实,这使得安全人员在搜索时,难以决定从何处先下手。 攻击的第二阶段,攻击者远程连接到设备、并扫描本地网络,以访问共享文件夹、Web 服务器、和其它开放式资源。 此举旨在获取有关网络的信息,尤其是业务相关的服务器和工作站。与此同时,攻击者试图暴力破解或嗅探这些机器的登录凭证。 为克服防火墙的限制,它们使用本地 TCP 服务器来植入 shellcode 。 若防火墙阻止其从一个网段跳跃到另一个网段、但允许反向连接,则攻击者会借助其它可被利用的资源,来构建所需的通信隧道。 得逞后,网络犯罪分子会实施第三阶段: 登录目标系统,使用远程访问软件来保留访问权限,接着在受感染的计算机上启用 msfvenom 创建的恶意服务。 因为黑客利用了无文件攻击(Fileless Attacks)和 PowerShell,所以能够绕过白名单技术、或者域策略。 即便遇到了无法绕过的白名单,或者 PowerShell 被目标计算机阻止,网络犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可执行文件,发动远程攻击。 最后,卡巴斯基实验室曝光了如下恶意软件: not-a-virus.RemoteAdmin.Win32.DameWare MEM:Trojan.Win32.Cometer MEM:Trojan.Win32.Metasploit Trojan.Multi.GenAutorunReg HEUR:Trojan.Multi.Powecod HEUR:Trojan.Win32.Betabanker.gen not-a-virus:RemoteAdmin.Win64.WinExe Trojan.Win32.Powershell PDM:Trojan.Win32.CmdServ Trojan.Win32.Agent.smbe HEUR:Trojan.Multi.Powesta.b HEUR:Trojan.Multi.Runner.j not-a-virus.RemoteAdmin.Win32.PsExec Shellcode 监听端口: tcp://0.0.0.0:5190 tcp://0.0.0.0:7900 Shellcode 连结点: tcp://10.**.*.***:4444 tcp://10.**.*.***:4445 tcp://10.**.*.***:31337 Shellcode 管道: \\.\xport \\.\s-pipe   稿源:cnBeta,封面源自网络;

黑客向热门 JavaScript 库注入恶意代码 窃取 Copay 钱包的比特币

尽管上周已经发现了恶意代码的存在,但直到今天安全专家才理清这个严重混乱的恶意代码,了解它真正的意图是什么。黑客利用该恶意代码获得(合法)访问热门JavaScript库,通过注射恶意代码从BitPay的Copay钱包应用中窃取比特币和比特币现金。 这个可以加载恶意程序的JavaScrip库叫做Event-Stream,非常受者欢迎,在npm.org存储库上每周下载量超过200万。但在三个月前,由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员Right9ctrl。Event-Stream,是一个用于处理Node.js流数据的JavaScript npm包。 根据Twitter、GitHub和Hacker News上用户反馈,该恶意程序在默认情况下处于休眠状态,不过当Copay启动(由比特币支付平台BitPay开发的桌面端和移动端钱包应用)之后就会自动激活。它将会窃取包括私钥在内的用户钱包信息,并将其发送至copayapi.host的8080端口上。 目前已经确认9月至11月期间,所有版本的Copay钱包都被认为已被感染。今天早些时候,BitPay团队发布了Copay v5.2.2,已经删除Event-Stream和Flatmap-Stream依赖项。恶意的Event-Stream v3.3.6也已从npm.org中删除,但Event-Stream库仍然可用。这是因为Right9ctrl试图删除他的恶意代码,发布了不包含任何恶意代码的后续版本的Event-Stream。 建议使用这两个库的项目维护人员将其依赖树更新为可用的最新版本–Event-Stream版本4.0.1。此链接包含所有3,900+ JavaScript npm软件包的列表,其中Event-Stream作为直接或间接依赖项加载。   稿源:cnBeta,封面源自网络;

黑客在 Windows 安装文件中隐藏加密货币挖掘恶意软件

安全研究人员表示,黑客现在伪装加密货币挖掘恶意软件,并将其作为合法的 Windows 安装包传递出去。研究人员表示,这种恶意软件,通常被称为 Coinminer,使用了一系列混淆方法,使其攻击特别难以检测。 这一发现来自安全公司趋势科技(Trend Micro),它表示,恶意软件作为 Windows Installer MSI 文件到达受害者的计算机上,这是值得注意的,因为 Windows Installer 是用于安装软件的合法应用程序。使用真正的 Windows 组件使其看起来不那么可疑,并可能允许它绕过某些安全过滤器。 黑客的诡计并不止于此。研究人员指出,一旦安装,恶意软件目录包含充当诱饵的各种文件。除此之外,安装程序还附带了一个脚本,可以杀掉在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖掘模块。 研究人员还观察到,恶意软件具有内置的自毁机制,使检测和分析更加困难,它会删除其安装目录下的每个文件,并删除系统中的任何安装痕迹。虽然趋势科技还无法将攻击链接定位到特定国家/地区,但它注意到安装程序使用了西里尔语。平心而论,西里尔语似乎在加密货币罪犯中非常受欢迎。     稿源:cnBeta,封面源自网络;  

接受信息泄露教训:传 Facebook 有意收购网络安全公司

新浪科技讯 北京时间10月22日早间消息,据美国科技媒体The Information援引知情人士消息称,Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触,收购目标尚未最终确定,但交易结果或将在今年年底宣布。 美国科技媒体CNET对此评论称,在经历了历史上最重大的黑客攻击事件之后,Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。 在不到一个月前,Facebook发现了一个安全漏洞,黑客可利用这个漏洞控制用户帐号,这一事件催生了Facebook强化网络安全的最新举措。Facebook最初怀疑有多达5000万的用户帐号受到影响,但现在承认2900万用户的个人信息被泄露,包括电话号码、电子邮件地址和最近的搜索内容。 据《华尔街日报》报道,Facebook已经初步得出结论,假扮成数字营销公司的垃圾邮件制造者是造成大规模安全漏洞的幕后黑手。 Facebook已经表示正在与美国联邦调查局合作,后者要求该公司不要公开讨论谁是袭击的幕后主使,或者是否特别针对任何人。目前还没有理由认为这次黑客袭击与即将举行的美国中期选举有关。 受到袭击的安全漏洞源于Facebook平台“view as”功能中的一个漏洞,攻击者利用了与其相关的代码,窃取“访问令牌”,接管了一些用户的帐号。攻击者还使用了一种技术,从已被控制的帐号的朋友那里窃取访问令牌,从而扩大访问范围。 Facebook发言人拒绝就上述报道置评。   稿源:新浪科技,封面源自网络;

冰岛史上最大网络攻击行动:黑客冒充警方欺诈民众

新浪科技讯 10月15日下午消息,据中国台湾地区媒体报道,安全厂商Cyren揭露,有数千名冰岛民众在上周收到了网络钓鱼邮件,而且黑客是以冰岛警方的名义发送邮件,还建立了可以假乱真的官方网站,企图于使用者电脑上植入恶意程式并侧录受害者所输入的机密资讯。由于冰岛的人口只有35万,因此这一攻击已被视为是冰岛史上最大的网络攻击行动。 这一攻击行动始于今年10月6日,黑客以所入侵的帐号注册了www.logregian.is网域名称,与冰岛警方的官网www.logreglan.is只差了一个字母,并在邮件中威胁使用者若不遵守规定可能会遭到逮捕,继之提供来自伪造网站的连结。 当使用者造访假冒的警察网站时,会被要求输入社会安全码,输入之后,该站竟然能够验证使用者的身分,从而跳出使用者的姓名,还要求使用者输入邮件中所附的验证码以再次验明正身。 至此使用者几乎已不再怀疑,很容易就会听从网页上的指示,下载一个具密码保护的.rar档案,输入网页上所提供的密码,解压缩后则会出现一个Yfirvold.exe执行档,这是个兼具键盘侧录功能的远端存取木马,执行后会开始搜集存放于浏览器中的机密资讯并侧录键盘,再将资料上传至黑客设于德国与荷兰的远端服务器。 Cyren表示,该恶意程式明确锁定了冰岛民众,因为它会检查受害者是否造访冰岛主要的多家网络银行。 冰岛警方已认定这是冰岛迄今所出现的最大的网络攻击行动,也已确认许多收件人都已沦为受害者,并根据电子邮件及网站所使用的文字,以及黑客所拥有的冰岛民众资料,相信它是由内贼所为。   稿源:新浪科技,封面源自网络;

Facebook 发现安全漏洞:黑客可控制 5000 万用户账号

新浪科技讯 北京时间9月29日早间消息,Facebook周五宣布,该公司发现了一个安全漏洞,黑客可利用这个漏洞来获取信息,而这些信息原本可令黑客控制约5000万个用户账号。 Facebook CEO马克·扎克伯格(Mark Zuckerberg)称:“这是个非常严重的安全问题,我们正在非常认真地对待。” 在披露这一消息之前,Facebook股价已经下跌了1.5%左右,消息传出后进一步走低,到收盘时下跌2.59%报164.46美元,盘中一度触及162.56美元的低点。 Facebook发布博文称,该公司的工程团队发现,黑客在Facebook的“View As”功能中找到了一个代码漏洞。Facebook之所以能发现这个漏洞,是因为该公司在9月16日注意到用户活动大增。 View As功能可让用户看到他们自己的个人资料在Facebook平台其他用户眼中是怎样的,而此次发现的漏洞包含了三个不同的bug,黑客可利用这个漏洞获取“访问令牌”(access token),从而控制其他用户的账号。 近5000万个用户账号的“访问令牌”已被黑客获取,但Facebook已对其进行了重置。在过去一年时间里,Facebook还已对另外4000万个使用View As功能的用户账号的“访问令牌”进行了重置,以此作为预防措施。也就是说,Facebook总共已对9000万个用户账号进行了重置,在截至6月30日的22.3亿名Facebook活跃用户总数中所占比例约为4%。 在“访问令牌”被重置后,用户需在登录时重新输入密码,此外还将在“信息流”(News Feed)中收到通知说明。 另外,Facebook还将暂时关闭View As功能,将对其安全性进行审查。Facebook在美国当地时间周四晚上称其已经修复了这个漏洞,并已通知美国联邦调查局(FBI)和爱尔兰数据保护委员会(Irish Data Protection Commission)等执法机关,目的是解决任何有关一般数据保护条例(GDPR)的问题。 Facebook称,用户没必要更改密码。如果有更多账号受到影响,则Facebook将马上对其“访问令牌”进行重置。Facebook重申,该公司将把致力于改进安全性的员工人数从1万人增加至2万人。 扎克伯格表示:“安全问题是场军备竞赛,我们正在继续改善自己的防御能力。”   稿源:新浪科技,封面源自网络;

少年黑客入侵苹果下载 1TB 数据,被判处缓刑 8 个月

网易科技讯 9月28日消息,据国外媒体报道,澳大利亚一名十几岁的少年在几个月时间里反复入侵苹果公司(Apple Inc.)的系统,并下载了相关敏感数据。周四,当法庭得知他对苹果公司非常着迷,并发现其对于访问苹果网络有瘾之后,这名现在已经成年的黑客被法庭判处8个月的缓刑,逃过了牢狱之灾。 一名法官对儿童法庭表示,该黑客在攻击开始时只有16岁,但现在已经成年。被告入侵了苹果的内部系统,复制相关数据和认证密钥。苹果发现系统遭到入侵后联系了联邦调查局,澳大利亚警方随后突击搜查了黑客的家。 “你的罪行很严重,”法官对这名黑客说。根据澳大利亚保护未成年罪犯身份的法律,这名少年的名字不能公开。她说:“这是对一家大型跨国公司安全进行的持续、复杂且成功的攻击。”这名黑客对法庭的两项指控表示认罪,并被判处8个月的缓刑。 这名法官表示,黑客攻击发生在2015年6月至2016年11月以及2017年4月的两个时间段。 苹果的魅力 这名黑客的律师辩称,这一切行为都是出于他对苹果的痴迷和“对信息技术的热爱”。在接受警方问询时,被告表示部分行为的动机只是“假装自己是该公司的一员”,而且访问苹果网络已经上瘾,律师如是指出。 根据澳大利亚法律,为了保护被告的身份,案件中其他当事人的姓名和法院的确切位置不会被披露。 苹果表示,客户的个人数据没有被泄露,苹果员工发现了未经授权的访问,并对其进行了控制,并向执法部门进行报告。“我们警惕地保护着我们的网络,”该公司在一份电子邮件声明中表示。 法官说,这名黑客利用授权人员使用的虚拟私人网络,远程连接到苹果的内部系统。在另一位年轻人的帮助下,他后来向该系统发送了一个计算机脚本,创建了一个安全壳隧道——一种访问系统和绕过防火墙的方法——使自己能够更快地删除数据。法官说,在侵入苹果网络期间,这名少年能够访问内部安全政策,并保存身份验证密钥。 重获访问权限 这名法官表示,在2016年11月攻击行为被发现并被屏蔽后,被告和第二人去年成功重新获得了对苹果系统的访问。 在对这名少年家中进行的搜查中,调查人员找到了两台苹果MacBook笔记本电脑和一个硬盘,其中包含一个名为Hacky Hack Hack Exclude的文件夹,其中包含了12个渗透或绕过苹果安全措施的文件。一名检察官在早些时候的听证会上表示,澳大利亚调查人员发现了大约1TB的数据,这些数据是从苹果系统中复制而来,“从隐私和商业角度来看都很敏感”。 检察官周四对法庭表示,澳大利亚警方正在进行的调查可能会导致其他人接受问询或被起诉。澳大利亚联邦警察在一份电子邮件声明中说,针对另一名青少年的证据已经被送往联邦检察官办公室。 法官指出,本案中的一项指控涉及未经授权和不计后果地修改数据,成年人最高可被判10年监禁,而未经授权访问数据的第二次犯罪最高可被判两年监禁。 她说,法院有权对一项指控判处两年有期徒刑,对另一项指控判处12个月有期徒刑。 法官在法庭上表示,对青少年的判刑主要是为了让他们改过自新,被告已表示悔过,并与当局进行了合作。   稿源:网易科技,封面源自网络;

Facebook 推出新工具来应对竞选期间的黑客行动

据外媒报道,距离中期选举还有两个月不到的时间,Facebook决定推出一套新的工具来保护竞选活动不受黑客攻击。据悉,这是一个全新的网络保护层面,Facebook正在将其作为一个试点项目向美国各州以及联邦政府开放。 根据NBC的一篇报道了解到,根据该计划,选择加入项目的运动以及运动委员会将被指定为潜在的优先级别用户,如果他们发现设计其账号存在的任何异常行为则都能体验到快速排除故障的优势。 Facebook网络安全政策主管Nathaniel Gleicher在公司博客上解释称,页面管理员可以在politics.fb.com/campaignsecurity申请参与这个项目。一旦注册,他们就可以将他们的团队或委员会的其他人加入到项目中。Facebook表示,它将帮助官员采用其最强大的账户安全保护措施比如双重认证,并监控潜在的黑客威胁。 虽然Facebook目前还未提供太多关于这个新安全层的细节。不过这家公司已经表示,他们将在中期选举之前禁掉大量假账户和页面,其中一些行为类似于俄罗斯支持的互联网研究机构在2016年总统大选中引起的轩然大波。 Facebook CEO马克·扎克伯格则曾公开表示,Facebook的工具可能遭到了黑客和相关组织的滥用,这让他们措手不及。现在他们将采取另一种积极主动的行动以确保尽可能地减少为邪恶目的而选择其网络的情况并将这一措施一直持续下去。 至于这项举措是否能够取得预想中的成效则有待时间来考验。   稿源:cnBeta,封面源自网络;

黑客利用 Excel 文档来执行 ChainShot 恶意软件攻击

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel 文件包含的微型 Shockwave Flash ActiveX 对象、以及一个所谓的“电影”的 URL 链接,忽悠人们去下载 Flash 应用程序。研究人员攻破了其采用的 512-bit RSA 密钥,从而揭开了它的神秘面纱。 恶意 Shockwave Flash ActiveX 对象属性 研究人员发现,该 Flash 应用程序其实是一个混淆的下载器: 进程会在内存中创建一个随机的 512-bit RSA 密钥对,将私钥保留在内存中、并将公钥发送到攻击者的服务器,以加密 AES 密钥(用于加密有效负载)。 之后将加密的有效负载和现有的私钥发送到下载程序,以解密128位AES密钥和有效负载。Palo Alto Networks Unit 42 的研究人员破解了加密,并分享了他们的破解方法。 尽管私钥仅保留在内存中,但公钥的模数 n 被发送到了攻击者的服务器。 在服务器端,模数与硬编码指数 e 0x10001 一起使用,以加密此前用于加密漏洞和 shellcode 有效载荷的128-bit AES 密钥。 揭秘 shellcode 有效载荷的 HTTP POST 请求(其模数 n 为十六进制) 一旦研究人员解密了 128-bit AES 密钥,就能够解密有效负载。 获得 RWE 权限之后,执行就会传递给 shellcode,然后在内部加载一个名为 FirstStageDropper.dll 的嵌入式 DLL 。 最后,研究人员分享了感染指征(Indicators of Compromise): Adobe Flash Downloader 189f707cecff924bc2324e91653d68829ea55069bc4590f497e3a34fa15e155c Adobe Flash Exploit(CVE-2018-5002) 3e8cc2b30ece9adc96b0a9f626aefa4a88017b2f6b916146a3bbd0f99ce1e497     稿源:cnBeta,封面源自网络;