标签: Check Point

新型 IOT 僵尸网络神秘来袭,全球百万企业已遭感染

HackerNews.cc 10 月 20 日消息,网络安全公司 Check Point 研究人员近期发现一波新型物联网(IOT)僵尸网络神秘来袭,全球百万企业已被感染,其中美国、澳大利亚等地区受影响情况最为严重且感染数量仍在持续增加。据称,它与此前影响全球的僵尸网络 Mirai 有多数相似之处。 调查显示,该僵尸网络于今年 9 月出现,且可能要比想象的更加复杂。黑客试图利用各种 IP 摄像机模型中的已知漏洞展开攻击,其受影响设备包括 GoAhead、D-Link、TP-Link、AVTECH、NETGEAR、MikroTik、Linksys 与 Synology。研究人员推测,一旦目标设备感染恶意软件,其自身就会进行扩展传播。 据悉,研究人员在调查受影响的 GoAhead 设备时发现,攻击者主要通过触发漏洞 CVE-2017-8225 侵入目标设备的 System.ini 文件,并依赖恶意软件感染分发。值得注意的是,攻击者不仅通过系统文件窃取用户凭据,还利用设备 “Netcat” 命令打开设备 IP 、反向 shell。 Check Point 研究人员指出,此次攻击来自不同国家的不同类型设备,其约 60% 的 Check Point ThreatCloud 企业网络遭受感染。目前,他们已在线公布易受攻击的物联网设备列表。虽然尚不了解幕后黑手真正意图,但他们根据证据推测攻击者极有可能发动大规模 DDoS 攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Check Point 公布 2017 年 7 月全球十大最受 “ 欢迎 ” 恶意软件

安全公司 Check Point 于 8 月 21 日发布最新报告《 全球恶意软件威胁影响指数 》,指出 7 月十大最受 “ 欢迎 ” 的恶意软件。其中,广告恶意软件 RoughTed 影响全球组织的比率虽然由 28% 下降至 18%,但目前仍名列榜首。以下是全球十大最受 “ 欢迎 ” 恶意软件列表(箭头代表与上个月相比的改变): 1、↔广告恶意软件 RoughTed:大规模传播网络诈骗、广告软件、漏洞工具包与勒索软件相关恶意网站与负载链接,不仅可以攻击任意类型的平台与操作系统,还可绕过广告拦截器与指纹识别功能,提高了黑客攻击的成功率。 2、↑HackerDefender Rootkit:用于隐藏 Windows 用户设备文件、进程与注册表项,还可作为后门与重定向器通过现有服务打开 TCP 端口。在这种情况下,无法采用传统手段找到隐藏后门。 3、↓浏览器劫持软件 Fireball:是一款功能齐全的恶意软件下载程序,允许攻击者在受害者设备上执行任意代码、进行登录凭据窃取、恶意软件安装等广泛操作。 图一:浏览器劫持软件 Fireball 4、↑多用途机器人 Nivdort:又名 Bayrob,用于收集密码、修改系统设置、下载其他恶意软件,通常利用垃圾邮件进行大规模传播,收件人地址以二进制编码确保唯一性。 5、↑Conficker 蠕虫:允许攻击者远程操作、下载恶意软件。僵尸网络控制受感染设备并联系 C&C 服务器接收指令。 6、↓勒索软件 Cryptowall:最初是一款加密软件,经过扩展后成为当下最知名的勒索软件之一,主要特色是 AES 加密与 To r匿名网络 C&C 通信,其通过入侵工具包、恶意广告软件与网络钓鱼活动传播。 7、↑银行木马 Zeus:通过捕获浏览器中间人(Man-in-the-Browser,MitB)按键记录与样式窃取银行账户信息。 图二:宙斯 Zeus 8、↑Pykspa 蠕虫:通过从设备中提取个人用户信息,并使用域名生成算法(DGA)与远程服务器进行通信。 9、↑木马 Pushdo:除了可以感染系统、下载 Cutwail 垃圾邮件模块外,还可用于安装其他第三方恶意软件。 10、↑恶意软件 Hancitor:允许攻击者在目标机器上安装银行木马或恶意软件下载器。通常,Hancitor 也被称为 Chanitor,因为攻击者可以通过发送附带恶意软件的邮件、传真或发票感染收件人网络系统。 此外,Check Point 专家还在该报告中指出 7 月份全球三大最受 “ 欢迎 ” 的手机恶意软件: 1、间谍软件 TheTruthSpy:允许攻击者隐匿安装并跟踪与记录设备数据。 2、黑客工具 Lotoor:允许攻击者通过 Android 操作系统漏洞在受攻击的移动设备上获得 root 权限。 3、恶意软件 Triada:适用于 Android 模块化后门程序,可利用管理员权限下载恶意软件并将其嵌入至移动设备系统进程。 调查显示,虽然来自具有高度传染性恶意软件变种影响各组织的几率在不断减少是件令人鼓舞的事情,但这并不意味着他们可以放松警惕。尽管恶意软件 RoughTed 影响规模有所下降,但在七月仍有近五分之一的组织受到感染。一旦关闭攻击者通道,网络犯罪分子仍会迅速设计出新恶意软件形式,使每个行业的组织都必须采用多层次方式保障自身网络系统安全。 稿源:Check Point,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Check Point 安全报告:LinkedIn Messenger 存在多处高危漏洞,允许肆意传播恶意文件

流行的商业社交网络 LinkedIn 已在全球 200 多个国家拥有超过 5 亿会员。无论您是一名经理想要扩大团队力量还是一名毕业实习生寻找求职机会,LinkedIn 都是扩展职业关系的首选之地。其中该网站最常被使用的平台 Messenger 允许用户轻松发送简历、传递学术研究并在线分享职位描述。 据外媒 8 月 18 日报道,Check Point 研究人员发现 LinkedIn Messenger 平台存在多处高危漏洞,能够允许攻击者肆意传播恶意软件。目前,为保护用户信息安全,LinkedIn 只允许用户通过 Messenger 平台发送的文件类型有: 文件:csv、xls、xlsx、doc、docx、ppt、pptx、pdf、txt; 图片:gif、jpeg、jpg、png; Check Point 研究人员在一次试验中发现,攻击者可以绕过 LinkedIn 安全防御限制,并将恶意软件附加至 Messenger 服务模块,以感染收件人的系统网络。最终 Check Point 确定四处安全漏洞并于今年 6 月 14 日通知 LinkedIn,LinkedIn 安全团队经检测研究后在 6 月 24 日提供了修复补丁。 ○ 漏洞 1:编写恶意 PowerShell 脚本 攻击者编写了一份恶意 Power Shell 脚本,并将其保存为 .pdf 格式后上传至 LinkedIn 的 CDN 服务器: 然后攻击者继续发送 .pdf 文件。与此同时,攻击者在此阶段控制文件名称(Name 参数)、文件格式(MediaType 参数)与文件扩展名。当受害者下载并打开文件时,将会当即执行 Payload 、感染受害者设备。 ○ 漏洞 2:更改注册表文件数据 REG 是可以在 Windows 注册表数据库中进行更改的文件类型。简而言之,注册表包含重要数据,如程序参数、动态窗口模块、安装/卸载程序列表等。REG 文件类型主要为高级用户设计,以便他们更容易地执行所有更改而不是手动应用。然而,攻击者就是通过制作一个包含恶意 PowerShell 脚本的 REG 文件,并将其伪装成 .pdf 格式后通过 LinkedIn 平台发送给目标受害者。当受害者打开文件并触发恶意软件后,攻击者即可控制用户设备。 ○ 漏洞 3:注入宏病毒代码 攻击者编写了一份嵌入宏病毒的恶意 XLSM 文件,允许绕过杀毒软件检查后成功上传至 LinkedIn 的 CDN 服务器并发送给受害者。当受害者打开恶意 XLSM文 件时,受害者设备将当即遭受感染。 ○ 漏洞 4:编写包含 OLE 的恶意文件(CVE 2017-0199) 攻击者通过编写包含外部对象的恶意文件 DOCX 后,上传至 LinkedIn 的 CDN 服务器并绕过杀毒软件发送给受害者。当受害者打开恶意 DOCX 文件时,WINWORD 会通过目标对象链接自动下载并运行 HTA 文件。一旦成功执行 HTA 文件,受害者设备将当即遭受恶意软件感染。(观看演示效果可点击此处) 原作者:Check Point,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Check Point 安全报告:尼日利亚黑客掀起能源、矿产与基础设施行业的攻击浪潮

据外媒 8 月 15 日报道,Check Point 研究人员近期发布安全报告,指出一名尼日利亚黑客利用网络钓鱼邮件在过去 4 个月内针对全球超过 4000 家组织展开网络攻击活动,旨在感染企业网络系统、窃取银行数据并进行诱导欺诈,其中涉及多家关于石油、天然气、银行与建筑等行业的国际知名公司。 研究人员经调查后发现,黑客伪造来自世界第二大石油生产厂商沙特阿拉伯国有石油公司(Saudi Aramco)的银行密件抄送给众多目标企业的内部财务人员邮箱,以诱导他们披露更多公司财务信息,或点击下载感染恶意软件 NetWire 及 Hawkeye 附件。其中,受影响公司主要包括克罗地亚海洋能源解决方案公司、阿布扎比运输公司、埃及矿业公司、迪拜建筑公司、科威特石油与天然气公司与德国建筑机构。 恶意软件 NetWire 是一种远程访问木马程序,可以完全控制受感染机器,而 Hawkeye 是一种键盘记录程序,允许黑客获取敏感信息。 知情人士透露,黑客在此次攻击活动中成功感染 14 家企业并赚取数千美元。值得注意的是,虽然该名黑客技术水平较低且使用的恶意软件普遍简单,但该攻击操作仍然有效,这意味着商业电子邮件攻击(BEC)的危害极其严重。 研究人员表示,除网络攻击造成的经济损失外,该黑客使用的恶意软件可以从受感染设备中收集各种信息,这些信息的价值远超过欺诈所获得的数千美元。令人震惊的是,攻击者还设法破坏多家大型组织的防御体系,并在雷达监控下分发恶意软件。对此,研究人员强烈建议所有企业机构增强系统安全性能,防止发生网络钓鱼与企业电子邮件泄漏,并提醒企业雇员谨慎打开未经安全软件检测的电子邮件。目前,Check Point 研究团队已联合尼日利亚国际执法部门展开深入调查。 稿源:Check Point,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Check Point 公布 2017 年 6 月全球十大最受 “ 欢迎 ” 恶意软件

安全公司 Check Point 最新报告《 全球恶意软件威胁影响指数 》在线公布 6 月十大最受 “ 欢迎 ” 的恶意软件。广告恶意软件 RoughTed 因影响全球 28% 组织机构名列榜首。以下是全球十大最受“欢迎”恶意软件列表: 1、广告恶意软件 RoughTed:大规模传播网络诈骗、广告软件、漏洞工具包与勒索软件相关恶意网站与负载链接,不仅可以攻击任意类型的平台与操作系统,还可绕过广告拦截器与指纹识别功能,提高了黑客攻击的成功率。 图一:RoughTed 受攻击地区分布 2、浏览器劫持软件 Fireball:是一款功能齐全的恶意软件下载程序,允许攻击者在受害者设备上执行任意代码、进行登录凭据窃取、恶意软件安装等广泛操作。 3、内存驻留蠕虫 Slammer:主要针对 Microsoft SQL 2000 通过快速传播实现拒绝服务攻击。 4、勒索软件 Cryptowall:最初是一款加密软件,经过扩展后成为当下最知名的勒索软件之一,主要特色是 AES 加密与 To r匿名网络 C&C 通信,其通过入侵工具包、恶意广告软件与网络钓鱼活动传播。 5、HackerDefender Rootkit:用于隐藏 Windows 用户设备文件、进程与注册表项,还可作为后门与重定向器通过现有服务打开 TCP 端口。在这种情况下,无法采用传统手段找到隐藏后门。 图二:全球威胁风险指数(绿色:低风险;红色:高风险风险;白色:数据不足) 6、勒索软件 Jaff:自 2017 年 5 月开始由 Necrus 僵尸网络传播。 7、Conficker 蠕虫:允许攻击者远程操作、下载恶意软件。僵尸网络控制受感染设备并联系 C&C 服务器接收指令。 8、多用途机器人 Nivdort:又名 Bayrob,用于收集密码、修改系统设置、下载其他恶意软件,通常利用垃圾邮件进行大规模传播,收件人地址以二进制编码确保唯一性。 9、银行木马 Zeus:通过捕获浏览器中间人(Man-in-the-Browser,MitB)按键记录与样式窃取银行账户信息。 10、漏洞工具包 Rig ek:于 2014 年首次推出,提供 Flash、Java、Silverlight 与 Internet Explorer 漏洞,致使感染链重定向至目标登录页面。 调查显示,Fireball 恶意软件 5、6 月全球影响范围从 20% 下降至 5%;Slammer 则影响全球 4% 组织机构;而 RoughTed 体现了网络犯罪分子采用广泛攻击媒介与目标,影响感染链各个阶段。与 RoughTed 相反,Fireball 接管目标浏览器并使之成为僵尸网络,用于安装其他恶意软件、窃取有价值证书等各种操作;Slammer 则是一款可导致拒绝服务攻击的内存驻留蠕虫。 据悉,各大组织于今年 5、6 月的重点防御对象是 WannaCry、Petya 等勒索软件。然而,本月影响指数则反映了攻击媒介呈广泛分布趋势。在此,安全专家提醒各组织机构加强安全基础架构建设,充分掌握网络犯罪分子可能使用的所有策略与手段,并采用多层次网络安全防御方法有效规避零日恶意软件新变种。 稿源:Check Point,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

CopyCat 病毒感染全球 1400 多万台 Android 设备

网络安全公司 Check Point 研究人员本月 6 日称,恶意软件 CopyCat 新变种已经导致全球范围内的 1400 多万台 Android 设备受到感染。据悉,该病毒可 ROOT 手机和劫持应用,借此已经牟取了数百万美元的欺诈性广告收入。研究人员称,大多数受害人都来自亚洲,但美国也有超过 28 万台 Android 设备受到了这种恶意软件的感染。 谷歌在过去两年中一直都在追踪 CopyCat,并已对其 Play Protect 进行了更新以拦截这种恶意软件,但仍有数以百万计的受害人由于下载第三方应用和遭到钓鱼攻击而受到了损害。Check Point 称,目前并无证据表明 CopyCat 是在谷歌 Google Play 应用商店中传播开来的。 Check Point 估测,已有近 490 万个虚假应用安装到了受感染设备上,显示了最多 1 亿条广告,在短短两个月时间里就帮助黑客赚到了 150 万美元以上。 这种恶意软件还可检测受影响设备是否来自中国,而中国的受害人并未遭到网络攻击。Check Point 研究人员认为,这是因为该病毒背后的网络犯罪分子是中国人,因此试图避开中国警方的调查。大多数受害人都来自印度、巴基斯坦、孟加拉国、印度尼西亚和缅甸,加拿大也有 38.1 万多台设备受到了影响。 稿源:cnBeta,封面源自网络

微软 2015 年以来一直追踪 Fireball 恶意软件,但是影响可能被夸大

本月早些时候,Check Point 安全中心发布了威胁分析报告,其中谈到了名为 “ 火球 ”(Fireball)的网络威胁。Check Point 分析师将 Fireball 描述为来自中国的威胁行动,全球感染了超过 2.5 亿台电脑和 20% 的企业网络。但微软今天表示,自 2015 年以来它一直在监测这一威胁,而且威胁是真实存在,但是受害程度可能被夸大。 微软和 Check Point 都同意 Fireball 套件用于感染系统的传递机制,即 Fireball 充当浏览器劫持者,可以将其变成一个功能齐全的恶意软件下载器。 Fireball 能够在受害者机器上执行任何代码,进行窃取凭据到删除其他恶意软件的各种操作。Fireball 主要通过捆绑传播,安装通常未经用户同意。 微软表示,在近三年的时间里,微软跟踪了这组威胁和它们安装的其他恶意软件,微软观察到它的组件在受感染的机器上持续存在,通过广告获利,或者劫持浏览器搜索和主页设置。Fireball 套件中最流行的系列是 BrowserModifier:Win32 / SupTab 和 BrowserModifier:Win32 / Sasquor。 然而,微软和 Check Point 对 Fireball 实际影响和评估不同。Check Point 表示,其分析发现,印度电脑中有 10% 以上受到感染,印度企业网络中 43% 的企业也受到这款恶意软件影响。在印度尼西亚,企业网络感染率据说甚至更高,达到了 60%,甚至在美国也有接近 11% 的感染率。 微软的分析显示,美国的感染率远低于 Check Point 指出的数字。微软的数据还表明,拉丁美洲和非洲许多国家的感染率都比 Check Point 的数字更低。微软表示,Check Point 根据访问搜索页面的次数估算出 Fireball 恶意软件感染率大小,而不是通过收集端点设备数据。 稿源:cnBeta,封面源自网络。