标签: DDoS

Verizon 发布《 2018 年数据泄露调查报告》:勒索软件已成为最流行的恶意软件

据外媒报道,美国电信巨头 Verizon 于本周二在其 2018 年数据泄露调查报告 (DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍,成为最流行的恶意软件,这是因为黑客组织想通过锁定关键的业务系统来要求支付赎金,从而获取巨大的利益。 Verizon 执行董事安全专业服务部门的 Bryan Sartin 在一份声明中表示:“勒索软件是目前最流行的恶意软件攻击形式。近年来它的使用量大幅增加,因为现在企业仍然没有投资合适的安全策略来打击勒索软件,这意味着他们在面对勒索攻击时别无选择,只能向网络犯罪分子支付赎金”。 Verizon 在分析了 53,000 多起安全事件(其中包括 2,215 起违规事件)后表示,勒索软件攻击占特定恶意软件事件的 39%。 推动勒索软件攻击的一个趋势是针对关键业务系统(非台式机)的能力,这些系统可能对公司造成更多损害,并且很可能黑客组织试图将其作为勒索目标从中获取更多的利益。目前随着时间的推移,勒索软件事件中的资产类别已经从用户设备走向服务器,Verizon 说这是因为黑客意识到加密文件服务器或数据库比单个用户的设备更具破坏性。 Verizon 表示,横向移动和其他威胁活动经常会卷入其他可用于感染和遮挡的系统中。这些勒索软件攻击对黑客组织来说很有吸引力,因为黑客本身几乎不需要承担任何风险或成本,并且也不需要违反保密条款来实现其目标。 Verizon 在其报告中称,目前许多黑客已将钱财视为其首要任务,根据调查,有 76% 的违规行为都是出于财务动机。 例如 2017 年勒索软件最突出的例子 —  5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统,要求支付 300 美元的赎金才能解密密钥。与此同时,NotPetya 加密了主引导记录,并要求以比特币作为赎金支付的主要形式。 10 月份,另一宗勒索软件活动 BadRabbit 震动了安全行业 ,这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中,攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害,其中乌克兰遭受了关键网络资产和基础设施的最大破坏。 最近,在 2018 年 3 月,亚特兰大市成为勒索软件攻击的目标。该起事件影响了几个部门,并瘫痪了处理付款和传递法院信息的政府网站。随后,亚特兰大市被要求支付 51,000 美元以换取密钥来解密系统。 为减轻勒索软件攻击的可能性,Verizon 在其报告中建议用户应确保有常规备份,并且隔离那些很重要的资产,以及将其放在业务连续性的优先级上。 Verizon 发现,总体而言,黑客、恶意软件和社交攻击(如网络钓鱼)等是过去一年中最多的安全违规事件。 除此之外,分布式拒绝服务(DDoS)攻击是 Verizon 2018 年报告强调的另一个重大威胁。Verizon 表示:“ DDoS 攻击可能会对任何人造成影响,因为它经常会被用作伪装启动或者停止后重新启动,以隐藏正在进行的其他违规行为。 目前来说,大多数网络犯罪分子具有经济动机,因此,他们针对金融、保险和零售行业发起的攻击不足为奇。Corero Network Security 的产品管理总监 Sean Newman 认为对于能够希望实现 100% 正常运行的在线公司而言,实时检测并自动减轻攻击的 DDoS 技术应该是必备的要求。 消息来源:threatpost,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Memcached DDoS 反射攻击创下 1.7Tbps 流量峰值纪录

外媒 3 月 6 日消息,继 Github 在上周遭受了流量速度为 1.3Tbps 的分布式拒绝服务(DDoS)攻击后,网络安全监控公司 Arbor Networks 证实美国一家服务提供商也面临着流量峰值高达 1.7Tbps 的反射/放大攻击。 虽然此次 1.7Tbps 事件与上周 GitHub 发生的 DDoS 攻击类似,但其带宽因使用了英特网上数千台暴露以及错误配置的 Memcached 服务器而被放大了 51,000 多倍。 据悉,在 GitHub 事件发生之后,其客户收到了敲诈邮件,威胁他们购买 50 枚价值超过 15,000 美元的 XMR( Monero )。目前 thehackernews 的文章中并未写明此次事件是否会有勒索赎金的情况出现。 Arbor Networks 表示,虽然反射/放大攻击并不新鲜,然而,最新的攻击媒介已经演变成了数千个错误配置的 Memcached 服务器,其中许多服务器目前仍然暴露在互联网上,可能会被利用来针对其他目标发起大规模的攻击。 Arbor Networks 预计未来几天会出现更多此类攻击事件。因此,为了防止 Memcached 服务器被滥用为反射器,Arbor Networks 敦促用户安装防火墙,并限制只能从本地网络访问 memcached 服务器。此外,管理员还应该考虑避免外部流量通过 memcached 使用的端口(例如默认使用的 11211 端口), 并及时阻止或限制 UDP ,如果非必要的话,最好能够完全禁用 UDP 支持。 消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

开源分布式内存缓存系统 Memcrashed 被利用发起 DDoS 放大攻击,峰值竟达 500 Gbps

外媒 2 月 27 消息,Cloudflare 和 Arbor Networks 公司于周二警告称,恶意攻击者正在滥用 memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。 memcached 是一个高性能的分布式内存对象缓存系统,用于动态 Web 应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。此外,客户端可以通过端口 11211 上的 TCP 或 UDP 与 memcached 服务器进行通信。 在此次(DDoS)放大行动中,攻击者使用与受害者 IP 相匹配的假冒 IP 地址,将请求发送到端口 11211 上的目标服务器。虽然攻击者发送到服务器的请求仅仅只有几个字节,但其响应却比正常的要高出数万倍,这种情况可能会带来严重的攻击行动。 Cloudflare 认为攻击者显然是在滥用已启用 UDP 的无保护的 memcached 服务器。这些服务器来自世界各地,但主要是在北美和欧洲范围内,目前大部分服务器由由 OVH,DigitalOcean 和 Sakura 托管。 目前 Cloudflare 观察到的最大的 memcached DDoS 攻击峰值为 260 Gbps,但 Arbor Networks 称其发现的攻击峰值已达到 500 Gbps,甚至可能还会更高。Arbor Networks 指出,这些攻击中使用的查询类型也可以针对 TCP 端口 11211,但由于 TCP 查询不能真实被欺骗,因此该协议被滥用的可能性并不高。 根据 CDN (内容交付网络)监控的攻击数据来看,目前大约有 5700个与 memcached 服务器相关的 IP 地址,但专家预计未来会发现更大的攻击,因为 Shodan 显示了将近 88,000 个开放式服务器。目前大部分暴露的系统是在美国,其次是中国和法国。 Cloudflare 建议在非必要的情况下禁用 UDP 支持,并提醒系统管理员确保他们的服务器不能从 Web 访问。另外,互联网服务提供商(ISP)也可以通过修复易受攻击的协议和 防止 IP 欺骗来帮助减少这种或者其他类型的放大攻击。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

乌克兰警方成功逮捕 Avalanche (“ 仙女座 ”)僵尸网络组织者

外媒 2 月 26 日报道,乌克兰警方于周一表示,大规模僵尸网络 Avalanche (仙女座)的组织者之一被成功逮捕。 Andromeda (仙女座)是市场上最大的僵尸网络之一,自 2011 年以来一直存在。它为世界各地的恶意软件和 DDoS(分布式拒绝服务)垃圾邮件攻击提供基础架构。乌克兰网络警察在一份声明中说, 国际犯罪平台 Avalanche 的组织者在全球范围内每天感染的设备数量约达 50 万台。 其实早在 2016 年 11 月,来自欧洲刑警组织以及其他地区的检察官和调查人员进行了一场国际执法合作,成功摧毁了国际犯罪基础设施平台 Avalanche ,并逮捕了其高层老板。欧洲刑警组织表示,在当时的行动中,数百台服务器被关闭或扣留,80 万个互联网域名被封锁,成为迄今为止最大的拆除行动之一。 在这次行动中,一位网络警察发言人向法新社证实,被捕的男子是一名乌克兰公民 Gennadiy Kapkanov。警察搜查了该名男子的公寓,并对一台笔记本电脑和存储设备进行了取证。在调查过程中,警方发现,为了隐藏犯罪行为,该名男子使用了不同身份的护照。 不过乌克兰媒体称,Gennadiy Kapkanov 似乎是失踪了。因为虽然 Gennadiy Kapkanov 被拘留在他位于乌克兰中部城市波尔塔瓦的家中,但由于当地法院并没有实行正式逮捕。 于是周一晚些时候,法院将不得不再次决定是否要正式逮捕 Gennadiy Kapkanov 。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全专家发现最新僵尸网络的控制主机也提供游戏私服

近日安全研究公司 Radware 发现了一个新的僵尸网络 “ JenX ”,其设计用途为在全球范围内劫持安全薄弱的物联网设备作为肉鸡,有趣的是安全公司发现 JenX 程序背后指向一支名为 San Calvicie 的黑客团队,而黑客团队用于分布式拒绝攻击 DDoS 的服务器控制主机位于东非的塞舌尔群岛。他们的控制主机除了执行 DDoS 攻击之外,还被用于作为R星经典游戏《侠盗猎车手:圣安地列斯》的私服主机。 僵尸网络主机可追溯到 San Calvicie 组织的官网,研究团队发现这些主机正在为 R 星游戏《侠盗猎车手:圣安地列斯》提供私服主机服务,玩家们可以在中创建 Mod,并要求其他玩家加入私服游戏。同时这些主机还提供防御 DDoS 攻击的服务,售价为每月 16 美元。 而与此同时,这些黑客也提供按需提供分布式拒绝攻击 DDoS 的服务,每次 20 美元。网站上如此宣传这项服务“神怒会砸向你要求攻击的 IP ”。这些组织最早提供 100Gbps 的 DDoS 的攻击服务,而在他们建立好 JenX 僵尸网络后,攻击流量直接升级至 300Gbps 。专家并不确定被劫持的物联网设备数量。 稿源:cnBeta,封面源自网络;

僵尸网络 Smominru 利用 NSA 泄露漏洞感染 52.6 万多设备挖掘门罗币

据媒体 1 月 31 日报道,“ 僵尸网络 ” 恶意软件 Smominru 已经通过泄露的 NSA 漏洞感染了 52.6 万多台电脑。 网络安全公司的软件安全研究人员已经发现了一个名为 Smominru 的新的全球僵尸网络,它也被称为 Ismo ,它使用了国家安全局( NSA )漏洞永恒之蓝来传播门罗币挖矿的恶意软件。 媒体称,这款 “ 永恒之蓝 ” 的漏洞被所谓的 “ 影子经纪人 ” (Shadow Brokers)黑客泄露,据报道,这些黑客还在幕后操纵着 2017 年的 “ WannaCry  蠕虫病毒勒索软件。 据证实,Smominru 僵尸网络自 2017 年 5 月起就开始感染电脑,每天大约会挖掘 24 个门罗币。到目前为止,据报道,“ 僵尸网络 ” 在新闻发布时已经成功挖掘了 8900 个门罗币,约合 210 万美元。研究人员说,在俄罗斯、印度和台湾发现了数量最多的 smominru 感染电脑。 根据证据,网络犯罪分子瞄准的是易受攻击的 Windows 系统,也使用了一种被泄露的 NSA 协议,叫做 EsteemAudit 。 根据 thehackernews.com 网站,专家们还通知 DDoS 保护服务 SharkTech, Smominru 的指挥和控制基础设施已经被检测到,但是他们没有得到回应。 正如 Cointelegraph 在 1 月 28 日报道的那样,通过在线广告进行大规模的门罗币挖掘恶意软件攻击,主要是由于有争议的加密货币挖掘和广告平台 cove,影响了全球范围内的大量用户和在线业务,包括 Youtube。 稿源:九个亿财经,封面源自网络;

新型僵尸网络 HNS 不断增长,已感染逾 2 万物联网设备

外媒 1 月 25 日消息,一个名为 Hide’N Seek( HNS )的新僵尸网络正在世界各地不断增长,对物联网设备造成重大影响(截至目前为止,受感染的物联网设备数量已达 2 万)。据研究人员介绍,HNS 僵尸网络使用定制的点对点通信来诱捕新的物联网设备并构建其基础设施,目前 HNS 主要是针对不安全的物联网设备,尤其是 IP 摄像机。 Bitdefender 的安全研究人员发现 HNS 僵尸网络于 2018 年 1 月 10 日首次出现,和其他与 Mirai 有关的物联网(IoT)僵尸网络并不相同。因为 HNS 有着不同的起源,且不共享其源代码。事实上,Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为 HNS 与 Hajime 僵尸网络更为相似。 Bitdefender 的研究人员在 1 月 24 日发表的博客文章中写道: “ HNS 僵尸网络以复杂并且分散的方式进行通信,使用多种防篡改技术来防止第三方劫持。” 其僵尸程序可以通过与 Reaper 相同的漏洞( CVE-2016-10401 和其他针对网络设备的漏洞),对一系列设备进行 Web 开发。 除此之外,HNS 还可以执行多个命令,包括数据泄露、代码执行和对设备操作的干扰。其僵尸程序具有类似蠕虫的特性,可以随机生成一个 IP 地址列表来获得潜在的目标,随后向列出的每个目标设备发起一个原始的套接字 SYN 连接。 一旦连接成功,僵尸程序将查找设备提供的 “ buildroot login ” 横幅,并尝试使用一组预定义凭据进行登录。如果失败,它会试图通过使用硬编码列表的字典攻击来破解设备的密码。 其次,若用户设备与僵尸程序具有相同的局域网,那么僵尸程序将会设置 TFTP 服务器,以便受害者能够下载样本。但如果是位于互联网上,僵尸程序将尝试一种特定的远程有效载荷传递方法,让用户设备下载并运行恶意软件样本。 一旦设备被感染,僵尸网络背后的黑客就可以使用命令来控制它。目前僵尸网络已经从最初的 12 个受损设备增加到 2 万多个。 但幸运的是,像大多数物联网僵尸网络一样,HNS 僵尸网络不能在受感染的设备上建立持久性。只要通过简单的设备重新启动, 受感染的设备中就可以自动删除恶意软件。 目前 Bitdefender 的研究人员尚未发现 HNS 僵尸网络具有 DDoS 功能,这意味着 HNS 将被部署为一个代理网络。另外,研究人员透露 HNS 僵尸网络仍然不断变化中,可能会被应用于多种攻击场景。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

内鬼作祟:俄罗斯南部加油站设备感染恶意软件 ,黑客非法牟利数亿卢布

外媒 1 月 21 日消息,俄罗斯联邦安全局( FSB )发现黑客组织正在实施一项加油站设备的欺诈计划,旨在利用电子加油机上安装的恶意程序,达到在抽送汽油时每加仑减少 3 % 至 7 % 的目的,从而使顾客支付比实际购买燃料更多的金额。目前 FSB 已逮捕恶意程序的开发作者,并牵涉出参与欺诈的数十名加油站员工。 据俄罗斯多家媒体报道, FSB 于上周六在俄罗斯 Stavropol 逮捕了黑客 Denis Zayev ,指控其开发了多个恶意软件程序,并将这些程序出售给加油站员工用于欺诈消费者。目前这些恶意软件仅在位于俄罗斯南部的加油站中发现。 在提审中,Zayev 承认与加油站员工瓜分了消费者多支付的油钱。此外,据 FSB 猜测,欺诈计划可能已为其带来 “ 数亿卢布 (1 人民币相当于 8.99 俄罗斯卢布)”的收益。 FSB 透露,恶意软件不仅可以在加油机上显示虚假数据,允许加油站员工为顾客抽送汽油时每加仑减少 3% 至 7% ,并且还能够使收银机和后端系统也录入错误数据。更为隐蔽的是,Zayev 的这些恶意软件能够掩盖加油站非法剩余汽油相关的销售数据。因此,远程监视汽油库存的检查人员和石油公司很难检测出欺诈行为。 近年来针对加油站的黑客事件并不少见: 早在 2014 年,纽约州当局就曾指控  13 名男子在 2012 年至 2013 年期间利用启用蓝牙的撇油器窃取了美国南部消费者的 200 多万美元。 2015 年,研究员 Kyle Wilhoit 和 Stephen Hilt 发布的黑帽演示文稿中也强调了美国越来越多的互联网加油机监控系统危险。他们警告称,遭暴露的 SCADA 系统能导致恶意人员针对加油机发动 DDoS 攻击,通过记录不正确的填入数据和操纵加油机提供柴油而非无铅汽油的方式损坏汽车引擎。 消息来源:ThreatPost,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

恶意软件 Zyklon 利用微软 Office 三漏洞收集密码及加密钱包数据

外媒 1 月 17 日消息,FireEye 于近期发现了一种新的攻击手法——利用三个 2017 年披露的 Microsoft Office  漏洞进行恶意软件 Zyklon 的传播活动 。据悉,该活动主要针对电信、保险和金融服务等公司,试图收集其密码和加密货币钱包数据,并为未来可能发生的 DDoS (分布式拒绝服务) 攻击收集目标列表。 功能强大的 Zyklon 恶意软件 Zyklon 是一款 HTTP 僵尸网络恶意软件 ,自 2016  年就开始出现,通过 Tor  匿名网络与其 C&C (命令和控制)服务器进行通信,从而允许攻击者远程窃取密钥和敏感数据,比如存储在 web 浏览器和电子邮件客户端的密码。此外,根据 FireEye 最近发布的报告,Zyklon 还是一个公开的全功能后门,能够进行键盘记录、密码采集、下载和执行额外的插件,包括秘密使用受感染的系统进行 DDoS 攻击和加密货币挖掘。 而在此次攻击活动中,背后的攻击者利用  Microsoft Office 的三个漏洞通过鱼叉式网络钓鱼电子邮件传播 Zyklon 恶意软件,这些邮件通常会附带一个包含恶意 Office 文档的 ZIP 文件。一旦用户打开这些恶意文件就会立即运行一个 PowerShell 脚本,并从 C&C 服务器下载最终 playload。这样一来, 用户的计算机设备就会成功受到感染。 以下为恶意软件利用的三个 Microsoft Office 漏洞: 第一个漏洞:CVE-2017-8759 是 Microsoft 去年十月修补 的 .NET 框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序,处理数据并创建新的特权帐户。 受感染的 DOC 文件包含嵌入的 OLE 对象,该对象在执行时触发从存储的 URL 下载的另外的 DOC 文件。 第二个漏洞:CVE-2017-11882 是在 Microsoft 公式编辑器的 Office 可执行文件中发现的远程代码执行错误,微软已于 2017 年 11 月为其发布了补丁。 该漏洞与以前的漏洞类似,打开特制 DOC 的用户将自动下载包含最终 playload 的 PowerShell 命令的 DOC 文件。 第三个漏洞:在于动态数据交换( DDE ),但微软不承认该漏洞的存在,而是坚称 DDE 只是一个产品功能,是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而,在过去的一年中,攻击者利用 DDE 在恶意活动取得了巨大的成功,比如在无需启用宏或内存损坏情况下在目标设备上执行代码。 FireEye 表示,目前越来越多的攻击者利用恶意软件来执行不同的任务,并且很可能会超出当前攻击目标的范围,因此对于所有行业来说保持高度警惕性变得尤为重要。 消息来源:threatpost,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

因被怀疑为庞氏骗局 Bitconnect 交易平台被迫关闭

据媒体报道,Bitconnect 作为一个长期以来被许多人怀疑是庞氏骗局的借贷和交易平台,现在宣布即将关闭。 Bitconnect 在其网站上发布声明称,平台关闭之所以关闭是因为饱受 “ 持续的负面新闻 ”,并且收到来自德克萨斯州和北卡罗来纳州的证券委员会要求平台停止运营的信件,同时该平台还持续受到 DDoS 攻击。 虽然说该融资平台称它们将以 363.62 美元(代币在过去 15 天的平均价格水平)的价格退回所有贷款,但 Bitconnect 代币目前交易低于 80%,并且价值低于 40 美元。因此,尽管用户可能已经提前赎回所有加密货币,但从美元或比特币(这是他们原始投资)来看,肯定有很多人遭受严重的经济损失。 许多加密货币社区的人公开指责 Bitconnnect 运营一个庞氏骗局,其中就包括以太网站创始人维塔利克·布特林。 Bitconnect 通过发行一种名为 BCC 的加密货币(不要与 BCH 或 Bitcoin Cash 相混淆),由于交易平台已经关闭,它现在基本上是没有任何意义的。最后,该代币的价格从几小时前的 200 多美元跌到了 37 美元,跌幅超过 80% 。 Bitconnect 是一个匿名运行的网站,用户可以将其加密货币借给公司,以换取巨额回报,这取决于贷款的期限。例如,1 万美元贷款 180 天,据说每月会给用户 40% 的回报,每天有 20% 的奖金。 Bitconnect 还有一个蓬勃发展的多层次转诊功能,这也使得它有点类似于一个金字塔结构,成千上万的社交网络用户都试图使用他们的推荐代码来驱动新用户注册。 该平台表示,它使用 Bitconnnect 交易机器人和“波动性交易软件”为用户生成回报,平均每天约为 1%。 当然,从市场波动和反复无常中获利是一种合法的交易策略,有许多对冲基金和机构交易员都在使用。但是Bitconnect 承诺(和支付)的数额,以及保证的回报数额,让许多人相信这是一个庞氏骗局,它们用新抵押贷款支付现有的贷款利息。 下面的图表将决定使用该平台的用户数量。 所有 Bitconnect 贷款都以美元为单位,但必须以 BCC (该平台的原生加密货币)进行交易。因此,贷款用户必须将比特币存入平台,然后以市场利率将比特币兑换成 BCC。贷款利息和本金也只以 BCC 中支付。这意味着在贷款期限结束后,用户将不得不将其转换回比特币(或是美元)。 BCC 参与贷款计划的要求导致了 BCC 的需求(和价格)自然增长。在不到一年的时间里,这个加密货币的价值从低于1美元(以百万计的市值)上升到有史以来最高的 430 美元,市值超过了 2.6 亿美元。 但是现在,由于没有其他用途,其价格可能会继续下跌。该公司确实表示,他们的 Bitconnect X 交易平台的 ICO 仍会继续,而 BCC 加密货币交易将继续在那里进行。 稿源:cnBeta、TechWeb,封面源自网络;