安全快讯Top News

黑客组织窃取 ESET 杀毒软件日志 观察他们的恶意程序有没有检测出

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年1月,三个目标分别是国家议会和外交部,黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。 ComRAT 的最新版本是 v4,研究人员观察到了 ComRAT v4 的新变种包含了两项新功能:收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。 安全研究人员认为,黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来,他们可以进行调整以躲避检测。     (稿源:solidot,封面源自网络。)

Sarwent 恶意软件更新命令功能持续发展

Sarwent很少受到研究人员的关注,但是该后门恶意软件仍在积极开发中,在持续更新命令并专注于RDP的研发。 Sarwent恶意软件的更新表明,人们对后门功能(例如执行PowerShell命令)的兴趣不断增强; 其更新还显示了使用RDP的偏好; Sarwent被发现至少使用一个与TrickBot运算符相同的二进制签名器。 自2018年以来,Sarwent的使用率在不断提高,但相关的研究报告却很少。 过去,Sarwent功能一直围绕着如何成为装载程序而展开,另外它的AV(防病毒)检查功能在持续更新。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1216/     消息来源:sentinelone, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接    

如何在不丢失 App 数据的情况下修复 iOS 家庭共享 Bug

据外媒AppleInsider报道,最近,一个来自iOS和iPadOS的家庭共享功能的bug导致用户无法在设备上运行他们已经拥有的应用程序。以下是苹果尚未推出补丁时如何修复这个问题的方法。上周五,一个bug影响了大量的苹果用户,主要是那些将iPhone或iPad更新到刚刚发布的iOS 13.5和iPadOS 13.5的用户。该bug在屏幕上显示提示,声称该应用“不再与用户共享”,并建议用户从App Store购买该应用继续使用。 由于提示中提到了共享,因此这个bug似乎与苹果账户系统中的家庭共享功能有关,该功能允许少数人之间共享应用和其他内容。理论上来说,这可以为一个家庭省下一笔钱,因为App不需要多次购买。尽管主要用于付费应用,但家庭共享bug似乎也会影响到存储在设备上的其他免费购买的应用。包括YouTube、Facebook和Discord在内的热门应用也能被这个bug屏蔽。 鉴于关于该bug的投诉数量较多,苹果很可能正在研究某种形式的补丁,在未来的操作系统更新中修复它,虽然这可能需要时间。苹果似乎也尝试过以重新发布应用更新的形式进行临时修复,虽然这不一定会对每个受该问题影响的应用都有效,也不一定对所有用户都有效。 解决这个问题的方法从根本上来说,就是将应用从设备上删除,然后重新安装。虽然用户可以简单地手动删除应用,然后从应用商店中重新获取,但这可能会导致应用数据丢失,或者至少需要重新认证应用本身。 有一种方法可以在保留App数据的同时完成同样的事情,这就涉及到卸载App。卸载应用程序将从设备上删除应用程序,但保留任何用户特定的数据,包括应用程序创建的文件,因此,一旦应用程序回到设备上,它将从最后一次使用时的状态开始运行。 应用程序卸载可以被设置为自动运行,这也是保存iPhone或iPad存储容量的一个很好的方法,但这里的解决方案需要走手动路线。 手动卸载 一旦你知道有一个应用程序受到该bug的影响,请前往 “设置 “应用程序,然后进入 “通用”,然后进入 “iPhone储存空间 “或 “iPad储存空间”。在页面上向下滚动找到有问题的应用,然后选择它。 在 “设置 “应用中找到要暂时卸载的应用。 在新的屏幕上,会显示出该应用的大小和文档及数据大小,选择卸载应用。这时会出现一个确认对话框,需要你再次选择卸载App。 选择后,该应用将被删除。卸载和重新安装需要轻点几下,但与正常删除不同的是,会保持你的数据不被删除。 停留在同一页面上,选择新的重新安装应用选项,在之前卸载应用的位置选择重新安装应用。这将重新下载应用程序到设备上。 进一步的注意事项 鉴于可能受影响的应用程序数量较多,建议在使用Wi-Fi时进行这一过程,而不是使用蜂窝数据连接。     (稿源:cnBeta,封面源自网络。)

泰国移动运营商泄露 83 亿互联网记录

研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问,数据库包含大约 83 亿记录,容量约为 4.7 TB,每 24 小时增加 2 亿记录。 AIS 是泰国最大的 GSM 移动运营商,用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制,包括了 DNS 查询日志和 NetFlow 日志,这些数据可用于绘制一个用户的网络活动图。 研究人员尝试联系 AIS 但毫无结果,直到最后联络泰国国家计算机紧急响应小组之后数据库才无法公开访问。     (稿源:solidot,封面源自网络。)

Souleman 矿工利用永恒之蓝漏洞攻击企业,获利超 27万元

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/6mTvjKUesPS0MrpoIW5_5Q 一、概述 腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现,攻击时利用永恒之蓝漏洞在内网攻击传播,攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时,会结束其他挖矿木马进程以独占资源。 对SoulemanMiner使用的下载服务器上的样本进行分析,还发现了在攻击时传播的窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber。AZORult会从浏览器、邮件和各类客户端软件中获取登录密码并上传至远程服务器,Bitcoin-Grabber或将剪切板中的比特币、以太坊币、莱特币、门罗币等多个类型的数字钱包地址进行替换,企图在用户进行交易时盗取相应的数字货币。 通过公开的钱包地址查询交易历史记录,发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。 二、安全建议与解决方案 腾讯安全专家建议企业用户尽快修复永恒之蓝相关安全漏洞,避免挖矿木马利用漏洞在局域网内扩散;网管可以关闭内网暂时非必要的端口(如135、139、445、3389等),减少网络攻击面;使用腾讯T-Sec终端安全管理系统及腾讯电脑管家均已支持对SoulemanMiner的查杀。企业用户还可使用腾讯安全系列产品对网络流量进行检测,及时发现内网挖矿行为。 三、样本分析 SoulemanMiner在失陷机器解压new3.exe释放 “双脉冲星”、“永恒之蓝”漏洞攻击工具,以及1×64.dll、1×86.dll、2×64.dll、2×86.dll、3×64.dll、3×86.dll共6个Payload文件。 攻击包安装完成后,启动rundll.exe开始攻击。该文件采用Pyinstaller打包生成,我们利用开源工具pyinstxtractor.py解压文件,然后利用Easy Python Decompiler对解压出的pyc文件进行反编译得到rundll.py。 rundll.py获取本机IP地址。 针对本机IP的同A、B网段(遍历C、D网段)地址进行445端口扫描,保存结果至Result.txt。 使用“双脉冲星”、“永恒之蓝”漏洞攻击工具进行攻击。 漏洞攻击成功后,针对三组不同的IP地址,植入不同的Payload文件。 1.挖矿 Payload在目标系统执行后,分别下载x.rar、y.rar、z.rar,保存至c:\programdata\lsass4.exe 并运行。下载地址如下: http[:]//178.32.53.209/x.rar http[:]//178.32.53.209/y.rar http[:]//178.32.53.209/z.rar x.rar、y.rar、z.rar是利用NSIS生成的可执行文件,通过解压可以看到 Parameters.ini里面是配置信息: Processlist.txt是检测运行环境是否存在监控进程: taskmgr.exe ProcessHacker.exe perfmon.exe procexp.exe procexp64.exe procexp32.exe resmon.exe autoruns.exe procmon.exe aida64.exe rpexplorer.exe anvir.exe AutoCloseExe.txt是需要杀死的竞品挖矿进程名单,包括WannaMiner等: C:\Windows\System32\SearchIndexer.exe C:\Windows\System32\WUDFHost.exe C:\Windows\Fonts\runhost.exe C:\Windows\debug\winlogond.exe C:\Windows\System32\dllhost.exe C:\Windows\System32\msdtc.exe C:\Windows\System32\ctfmon.exe C:\Windows\System32\TrustedHostex.exe C:\Windows\System32\SearchProtocolHost.exe C:\Windows\System32\wuauclt.exe C:\Windows\YZebx\Xs.exe C:\Windows\odeZP\dW.exe C:\Windows\dwVSF\TW.exe C:\Windows\AppDiagnostics\wininit.exe C:\Windows\AppDiagnostics\svchost.exe C:\Windows\SysWOW64\InstallShield\setup.exe C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64\csrss.exe C:\Windows\Fonts\Mysql\svchost.exe C:\ProgramData\clr_optimization_v4.0.30318_64\svchost.exe C:\Windows\svchost.exe C:\Windows\SysWOW64\svchost.exe C:\Windows\Fonts\Mysql\puls.exe C:\Windows\System32\WUDFHostex.exe C:\Program Files\Microsoft Security Client\MpCmdRun.exe C:\Windows\Fonts\d1lhots.exe C:\Windows\kkOqZ\wM.exe C:\Windows\SysWOW64\Application.exe C:\Windows\XIPNL\EM.exe C:\Windows\MicrosoftUpdateLink.exe C:\Windows\System32\dllhostex.exe 从NSIS脚本中可以看到,样本执行后会释放conhost.exe等文件到C:\Windows\System32\drivers\目录下,然后将conhost.exe安装为服务“WinsockSvc”启动。 conhost.exe会检测是否存在Processlist.txt的监控进程,杀死AutoCloseExe.txt中的竞品挖矿进程,然后从Parameters.ini配置的服务器地址下载挖矿木马http[:]//178.32.53.209/xm64.zip。 下载得到由开源挖矿程序XMRig编译而成的挖矿木马。 2.窃密 分析发现,SoulemanMiner使用的服务器185.228.83.153还传播除挖矿外的其他木马http[:]//185.228.83.153/st.exe,st.exe通过自解压释放自身到全局启动目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\。 st.exe是采用Delphi编写的窃密木马AZORult,运行后会窃取以下信息加密后发送至C2服务器:http[:]//soulemanivsusa.xyz/32/index.php 窃取保存在浏览器中的各类密码; 窃取数字加密货币钱包; 窃取浏览器历史记录; 盗取网站cookie; 窃取电子邮件登陆账号密码; 窃取Telegram、Steam密码; Skype密码和聊天记录; 获取中招机器屏幕截图; 执行自定义命令 3.盗取数字货币 通过服务器下载的另一样本http[:]//185.228.83.153/777.exe,自解压得到svhosts.exe,同样安装到全局启动目录下。svhosts.exe是采样C#编写的数字货币盗取程序(也称剪切板劫持木马)Bitcoin-Grabber。 Bitcoin-Grabber实时监测获取电脑剪切板内容,通过正则匹配发现其中的数字加密货币地址,并将匹配到的不同类型钱包地址替换成木马的钱包地址,以便在用户进行转账时盗取数字货币。 盗取数字货币用的钱包地址如下: 通过公开的矿池、交易历史可查到的信息,该木马的部分钱包通过盗取和挖矿已获利超过27万元人民币。 IOCs IP 116.203.240.6 178.32.53.209 185.228.83.153 Domain klicoverof.world handler1.soulemanifight.club 3.soulemanifight.club 2.soulemanifight.club 1.soulemanifight.club 1.blackhohol.online 2.blackhohol.online km1.maxvarlamoff.club km2.maxvarlamoff.club km1.koronavirusfuck.xyz km2.koronavirusfuck.xyz km2.dancingblack.online 1.novichok.xyz 2.novichok.xy 1.soulemanivsusa.xyz 2.soulemanivsusa.xyz soulemanivsusa.xyz Md5 2662452d7f77c434b185040575c87932 fdae88d3a3e21ab29f0e4390f960543c fb59c96176c1453cd2a05eadb8368026 a8f757a0a871b2aaca3535f16f0c8b66 b9ae13778f36534ddfeccf7329f4f62e 04d04cbd71f45ad36a03fd9a3a761055 1ed7e0fdd1e072cb92b8115579aac391 8c50dabe5dd305d1f6d28f5164075ff7 0f38c4b35c4f830ba14d9237bf82af56 6fa76c8b29b4da063766d2e6df001ed6 04ac52778d6871d24a5dc957a41d84fd 4cf0ff9887c3e7de5d4c0ed9674d2903 67a7c1c24de0026b9d367fc5f0048a0e 6fa76c8b29b4da063766d2e6df001ed6 8ab5c496b795f12526e7ae0bf26365fb URL http[:]//178.32.53.209/x.rar http[:]//178.32.53.209/y.rar http[:]//178.32.53.209/z.rar http[:]//185.228.83.153/new3.exe http[:]//3.soulemanifight.club/z.rar http[:]//185.228.83.153/xm32.zip http[:]//178.32.53.209/777.exe http[:]//185.228.83.153/777.exe C2 http[:]//soulemanivsusa.xyz/32/index.php

因社交平台隐私问题 Twitter 和 WhatsApp 或面临欧洲制裁

Twitter以及Facebook旗下的WhatsApp又成了欧洲的攻击对象,围绕数据保护问题,欧洲很快就有可能会对美国科技巨头发起制裁。爱尔兰数据保护委员会称,针对Twitter数据泄露问题,5月22日确定一份草案,委员会呼吁欧盟其它国家在草案上签字同意。 委员会还说,在调查WhatsApp数据分享透明度时完成这份决定草案。按照要求,针对任何提出的制裁,Facebook服务必须发表评论,然后方便欧盟各国进行评估。 2018年5月,《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效,之后爱尔兰当局加大调查力度,但并没有给出最终决定。一些美国大型科技公司成为调查对象,包括Twitter、Facebook、谷歌、苹果,爱尔兰数据保护委员会是调查的主要倡导者。 如果发现企业严重违规,《通用数据保护条例》允许监管者处以年营收最高4%的罚款。法国监管机构之前曾向谷歌开出5000万欧元罚单,这是至今为止最大的数据保护罚单。 爱尔兰数据保护委员会还说,其它一些案件也取得进展,比如针对Facebook当地部门的尽职调查,委员会想知道Facebook是否为个人数据处理确立法律基础。     (稿源:新浪科技,封面源自网络。)

苹果正在更新大量 iOS 应用:很可能跟近期出现的一个漏洞有关

据外媒报道,在过去的几个小时时间里,一些MacRumors的读者报告称,他们的iOS设备的App Store出现了几十个甚至上百个正在更新的应用,其中包括用户最近更新的应用。对此,苹果并非提供任何关于会出现这种情况的原因,但一些用户怀疑可能跟最近的“此应用不再与你共享”漏洞有关。 据悉,该漏洞将阻止一些用户启动某些程序,除非他们卸载或删除之后再重新安装才行。 这有可能是过期证书或其他与应用共享的相关证书出现了问题,为了修复这个问题,苹果不得不重新发布这些更新从而使得每个受影响的应用中都能有一个有效的证书。     (稿源:cnBeta,封面源自网络。)

谷歌工程师:七成 Chrome 安全漏洞是内存安全问题,Rust 又成备选语言

近日,有谷歌工程师分析了自 2015 年以来在 Chrome 稳定版分支中修复的 912 个安全错误。并发现,在这些被标记为“高”或“严重”等级的所有安全漏洞中,大约 70% 是内存管理和安全问题。 这其中又有一半是 use-after-free 漏洞。这种安全问题是由对内存指针(地址)的错误管理引起的,为攻击者打开了攻击 Chrome 内部组件的大门。 这一数据恰巧与微软此前的研究结果相同:微软安全响应中心(MSRC)对自 2004 年以来所有报告过的微软安全漏洞进行了分类,所有微软年度补丁中约有 70% 是针对内存安全漏洞的修复程序。 微软安全响应中心曾给出解释,这是因为他们大多数产品使用 C 和 C++ 编写,而这两种编程语言属于“内存不安全”(memory-unsafe)的范畴。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误。 谷歌也面临着相似的境地。仅仅从 2019 年 3 月到现在,等级为“严重”的 130 个 Chrome 漏洞中,有 125 个与内存损坏相关,可见内存管理仍然是一个很大的问题。 为此,谷歌工程师必须遵循 “2 的规则”(The Rule of 2)。即每当工程师编写新的 Chrome 特性时,其代码不得破坏以下两个以上的条件: 该代码处理不可信的输入 代码在没有沙箱的情况下运行 代码使用不安全的编程语言(C/C ++)编写 迄今为止,谷歌一直在 Chrome 中尝试使用沙箱方法。他们将数十个进程隔离到自己的沙箱中,最近还推出了“站点隔离”功能,该功能将每个站点的资源也放入自己的沙箱进程中。但谷歌工程师表示,考虑到性能问题,他们使用沙盒化 Chrome 组件的方法已达到最大收益,现在必须寻求新的方法。 因此,谷歌计划研究开发自定义 C++ 库,以与 Chrome 的代码库一起使用,这些库可以更好地保护与内存相关的错误。 与此同时,谷歌还在探索 MiraclePtr 项目,该项目旨在将“use-after-free bug 转变为具有可接受的性能、内存、二进制大小和最小的稳定性影响的非安全崩溃”。 最后,值得注意的一点是,谷歌表示计划在可能的情况下使用“安全”语言进行探索。候选对象包括 Rust、Swift、JavaScript、Kotlin 和 Java。   (稿源:ZDNet,封面源自网络。)

任天堂泄露事件愈演愈烈 3DS 操作系统源代码泄露

任天堂泄露事件愈演愈烈,据Resetera网友爆料,目前3DS操作系统的完整源代码已经流传到了网上。这次的泄露虽然没有包含设计文档,不过包含了许多有趣的开发文件。比方说根据Log文件中的引用,NVIDIA看起来在2006年时就曾参与到了3DS的开发中,其他泄露的文件目录可以参见此处。 考虑到3DS目前仍未淘汰,同时NS操作系统也是基于3DS操作系统,此次泄露的影响恐怕更为严重。 除此之外,《宝可梦:珍珠/钻石》的源代码也泄露到了网上,不过此次泄露中没有出现新的宝可梦原型。     (稿源:GamerSky游民星空,封面源自网络。)

安全研究人员分析过去几年发生的开源软件供应链攻击

德国和法国的研究人员在预印本网站 arXiv 上发表论文(PDF),分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类:其一是在软件产品中植入恶意代码去感染终端用户,此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击。 攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新,这次攻击造成了数十亿美元的损失,是已知最具破坏性的网络攻击之一。 另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户,它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行,此类的攻击日益常见。 研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包,他们发现 56% 的软件包在安装时触发恶意行为,41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。     (稿源:solidot,封面源自网络。)