安全快讯Top News

研究人员发现 Linux 版本的 Winnti 恶意软件

据外媒报道,Alphabet网络安全部门Chronicle的研究人员,发现了Linux版本的Winnti恶意软件。这是研究人员首次发现Winnti的Linux版本,其与中国APT组织有关。 研究人员认为,在Winnti Umbrella黑客组织的背后,有几个APT组织,包括Winnti,Gref,PlayfullDragon,APT17,ViceDog,Axiom,BARIUM,LEAD,PassCV,Wicked Panda和ShadowPad。 这些组织使用相似的策略、技术和程序(TTP),在某些情况下,甚至共享攻击手段。 研究人员在其VirusTotal平台上搜索Winnti恶意软件的样本时,发现了Linux版本的Winnti恶意软件,其可以追溯到2015年,当时被黑客用于攻击越南一家游戏公司。 根据Chronicle发布的报告,Winnti恶意软件采用模块化结构,使用插件实现不同的功能。通过进一步分析发现,Linux版本的Winnti和Winnti 2.0 Windows版本之间有许多相似之处,Linux版本也使用多种协议处理出站通信,如ICMP,HTTP以及自定义TCP和UDP协议等。Linux版本还允许黑客直接访问受感染系统。 Linux用途的扩展可能暗示了黑客们下一个目标的操作系统要求,但也可能只是尝试利用许多企业的安全盲点,与Penquin Turla和APT28的Linux XAgent变体一样。   消息来源:SecurityAffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

超 4900 万条 Instagram 名人账户数据在线曝光

据TechCrunch网站报道,Instagram的一个大型数据库由于在AWS存储桶上没有受到保护,导致任何人都可以在没有身份验证的情况下访问它。该数据库首先由安全研究人员Anurag Sen发现,并立即报告给了TechCrunch网站。 该数据库拥有超过4900万条记录 ,且按小时数增长。其包含从网红、明星、品牌方等Instagram账户中爬取的公共数据,如个人经历,资料图片,粉丝数量,地理位置,私人联系方式,电子邮件地址以及电话号码等信息。数据库中还包含了所计算的每个账户价值。 据TechCrunch网站调查,该数据库属于社交媒体营销公司Chtrbox,其总部位于印度。它给网红付费使其发布赞助广告。奇怪的是,TechCrucnh网站联系的两个人证实了数据的真实性,却否认与Chtrbox公司有任何关系。 “我们随即在数据库中挑选了几个人进行联系。其中两个人确认在数据库中找到的电子邮件地址和电话号码是用于设置Instagram帐户的。” TechCrucnh网站补充说道:“他们都与Chtrbox公司没有关系。” TechCrunch网站联系了Chtrbox公司,但目前尚不清楚该公司如何获得这些数据。 Facebook宣布正在调查这一事件: “我们正在调查这个问题,以了解包含电子邮件地址及电话号码的数据是否来自Instagram或其他来源。我们也正在询问Chtrbox公司,以查明其数据来源和公开方式。” 2017年,Instagram的一个漏洞允许黑客访问高级用户的信息,包括电话号码和600万名明星的电子邮件地址。   消息来源:SecurityAffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌:大多数黑客雇用服务都是假的

谷歌与加利福尼亚大学圣地亚哥分校的研究人员上周公布的研究显示,大多数网上提供的黑客雇用服务都是诈骗或者无效的。 Hack for Hire: Exploring the Emerging Market for Account Hijacking 研究人员通过伪装成有所需求的买家,直接与 27 个提供黑客服务的买家接触,并要求他们针对所选择的 Gmail 账户进行攻击。 这些受害 Gmail 账户其实是研究人员与谷歌一起协调设计好的蜜罐,用来进行此次研究,账号允许研究人员记录其与受害者的关键互动行为,以及为此次研究创建的角色的其它方面信息,如商业网络服务器、朋友或合作伙伴的电子邮件地址。 研究结果表明,在参与的 27 项黑客服务中,有 10 项从未回复过研究人员的请求,12 项做出了回复,但并没有真正尝试过发动攻击,只有 5 位黑客最终发起了针对测试 Gmail 帐户的攻击。在响应请求但没有发动攻击的 12 人中,有 9 人表示他们不再攻击 Gmail 帐户,而其他三人似乎是诈骗份子。 Hack for Hire: Exploring the Emerging Market for Account Hijacking 研究人员表示,这些黑客攻击服务的收费通常在 100 美元到 500 美元之间,而且没有人使用自动化工具进行攻击,所有攻击都涉及社会工程,黑客使用鱼叉式网络钓鱼来微调针对每个受害者的攻击。在实验中,一些黑客询问了研究人员要攻击的受害者的详细信息,而其它人则不过问,并且选择使用可重复使用的电子邮件网络钓鱼模板。 研究人员的结论是,当前 Email 劫持服务出售尚未成熟到其它犯罪细分市场的水平。可以查看原报告,了解该研究的具体细节: Hack for Hire: Exploring the Emerging Market for Account Hijacking   (稿源:开源中国,封面源自网络。)

Linux 内核曝出 RDS 漏洞 影响 Red Hat , Ubuntu , Debiand 与 SuSE

如果您不习惯使用最新版本的Linux内核,那么现在可能是考虑升级的好时机。基于早于5.0.8的内核版本的系统在通过TCP实现RDS时已经发现一个缺陷。如果没有打补丁,该漏洞可能会使攻击者破坏系统。 Red Hat,Ubuntu,Debian和SUSE都受到了这个漏洞的影响,并且这些发行方均已为其Linux发行版发布了安全建议。值得注意的是,“攻击复杂性”被评为“高”,因此虽然安全漏洞的影响可能很严重,但成功实施攻击的难度较大。 在对该漏洞的分析中,红帽表示:在Linux内核的TCP上RDS实现中发现了一个漏洞。加载了rds_tcp内核模块的系统(通过运行listen()的本地进程通过自动加载或手动加载)可能会导致在释放后使用(UAF),其中攻击者能够操纵网络命名空间的处理套接字状态,从而可能导致内存错误和权限提升。 在对该漏洞的分析中,红帽表示:在Linux内核的TCP上RDS实现中发现了一个漏洞。加载了rds_tcp内核模块的系统(通过运行listen()的本地进程通过自动加载或手动加载)可能会导致在释放后使用(UAF),其中攻击者能够操纵网络命名空间的处理套接字状态,从而可能导致内存错误和权限提升。 无论如何,该问题已在Linux内核的5.0.8版本中进行了修补,因此如果您还没有这样做,请更新它就可以一次性解决问题。   (稿源:cnBeta,封面源自网络。)

超 12,000 个 MongoDB 数据库被 Unrisllar 黑客组织删除

在过去三周内,超过12,000个不安全的MongoDB数据库被删除。黑客组织只留下一条消息:“联系我们以恢复数据”。此前虽然没有达到这种规模,但至少从2017年初开始,这些针对可公开访问的MongoDB数据库的攻击已经发生。 黑客们使用BinaryEdge或Shodan搜索引擎来查找暴露的数据库服务器并删除它们。要想恢复服务,就得支付赎金。虽然攻击针对可远程访问和不受保护的MongoDB数据库,黑客在删除它们之后要求支付勒索赎金以恢复数据,但这一系列举措似乎并未要求特定的赎金数额。提供的电子邮件地址最有可能用来协商恢复数据的条款。安全研究员Sanyam Jain对此提供了一个非常合理的解释,称“黑客可能会根据数据库的敏感度收取加密货币”。 黑客留下的联系方式 研究人员使用BinaryEdge搜索引擎发现了由Unistellar黑客组织删除的12,564个未受保护的MongoDB数据库(Shodan报道的数量较少,为7,656个数据库,可能是因为查询被阻止)。根据Jain所说,目前,BinaryEdge索引了超过63,000台可公开访问的MongoDB服务器,Unistellar黑客组织似乎已经删除了约20%。研究人员于4月24日首次注意到此类攻击,当时他发现了一个被删除的MongoDB数据库。不同于过去经常发现的大量的泄露数据,其只包含以下信息:“想要恢复?联系方式:unistellar@yandex.com。” 使用BinaryEdge找到的被删除的MongoDB数据库 研究人员后来发现,在删除数据库后,黑客留下赎金票据。如果受害者想要恢复数据,向以下两个电子邮件地址之一发送电子邮件:unistellar@hotmail.com 或unistellar@yandex.com。虽然尚不清楚黑客用什么方法来查找并删除如此大量的数据库,但整个过程很可能是完全自动化的。 连接到其中一个未受保护的MongoDB数据库后发现,黑客执行此操作的脚本会不加区别地删除每个不安全的MongoDB数据库,然后添加赎金表。 正如Jain所说,Unistellar黑客组织似乎已经创建了恢复点,以便恢复他们所删除的数据库。遗憾的是,无法追踪受害者是否一直在为要恢复的数据库付费,因为Unistellar只提供电子邮件地址,并不提供加密货币地址。 (各个国家被删除的数据库数量) 保护MongoDB数据库 发生攻击的原因是MongoDB数据库可远程访问且没有得到正确的保护,因此数据库所有者可以通过相当简单的步骤来防止此类攻击。MongoDB提供了有关如何通过实施适当的身份验证、访问控制和加密来保护MongoDB数据库的详细方法,还提供了一个安全检查表供管理员遵循。防止攻击的两个最重要的措施是启用身份验证且不允许远程访问数据库。 消息来源:BleepingComputer, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

报道称谷歌借助 Gmail 追踪用户历史购物记录 还很难把它删除

据 CNBC 报道,谷歌会通过旗下的 Gmail 邮件服务来追踪用户的历史购物记录,而且你很难将相关信息从 Gmail 中批量移除。上周,谷歌首席执行官 Sundar Pichai 在《纽约时报》上的一篇专栏文章中信誓旦旦地写道 ——“隐私不该成为奢侈品”。但是在幕后,这家科技巨头却在用户使用的服务中,收集了大量的个人信息。 资料图(来自:Google,via CNBC) Todd Haselton 指出,在一个“购买”页面中,其被记录了许多(但不是全部)购买过的商品,且最早可以追溯到 7 年以前。 其使用过亚马逊、DoorDash、Seamless 等在线服务或应用程序进行过购买,也去过梅西百货这样的零售门店,但从未直接通过谷歌进行过消费。 问题在于,Todd 选择了将数字购物凭证发送到自己的 Gmail 账户,才让该公司嗅探到了有关其购物习惯的信息列表。 如果你对被谷歌收集追踪的信息感兴趣,可移步至以下链接查看: http://myaccount.google.com/purchases 让人不放心的是,谷歌甚至知道你已经忘记了的事情: 比如在 2015 年 9 月 14 日的记录中,Todd 就在梅西百货商店买过礼服鞋。 2016 年 1 月 14 日,Todd 买过 Cheez Whiz、香蕉辣椒、费城奶酪牛排。 2014 年 11 月,Todd 又一次光顾了星巴克。 2013 年 12 月 18 日,Todd 通过亚马逊购买了新款 Kindle 电子书阅读器。 2018 年 9 月 14 日,Tood 从 iTunes 购买了《Solo:A Star Wars Story》等。 对于此事,谷歌发言人向 CNBC 表示: 为了帮助您轻松地查看和追踪在某个地方的购买、预定和订阅记录,我们创建了一个只有您自己才能看到的页面。 您可以随时删除这些信息。我司不会根据 Gmail 邮件中的任何信息来精准投放广告,其中就包括‘购买’页面上显示的电子邮件收据和订单确认信息。 眼尖的人们发现,谷歌在其隐私说明页面上表示: 订单信息可能与您在其它 Google 服务中的活动被一起保存,你可以在‘我的活动’页面上查看和删除此类信息。 然而当你真的想要清除这些历史记录的时候,就会发现根本没有一种简单的方法可以完成操作。 显然,用户难以作出清空 Gmail 收件箱和存档邮件的决定,毕竟日后保修或退换货的时候,还用得到这些凭证。 但是,如果没有在 Gmail 中删除邮件凭证,就无法从‘购买’页面中清理上述信息,此事点击‘删除’,也只能退回 Gmail 页面。 那么,我们该如何彻底关闭这项追踪服务呢? 谷歌向 CNBC 表示,你必须转到另一个‘搜索偏好设置页面’。然而 CNBC 记者在尝试后发现,那里根本没有彻底关闭追踪的选项。 谷歌表示,他们不会利用 Gmail 信息来展示针对性的广告: 谷歌承诺不会出售隐私信息(包括 Gmail 和 Google 账户信息),并且不会在没有征得用户许可的情况下向广告客户分享。 但是,由于仍然不明确的原因,想要将这些信息从您的 Gmail 追踪选项中移除,还是相当困难的。 对此,谷歌表示其正在考虑简化这方面的设置,以使其更便于控制。   (稿源:cnBeta,封面源自网络。)

俄罗斯黑客又开始行动 这次目标是儿童电视选秀节目

听到俄罗斯黑客时,我们通常会想到他们对美国选举干预行为,但他们确实有其他用途,包括为儿童操纵俄罗斯电视选秀节目。在俄罗斯一次电视选秀节目当中,11岁的米凯拉·阿布拉莫娃在获得56.5%的选票,赢得了3万张选票,荣膺“俄罗斯声音之子”的桂冠。 当人们发现她获得的选票是其他选手的10倍时,人们开始怀疑。网络安全调查组随即开始检查结果,发现其中大约有8000条投票短信是从300个连续的电话号码中发送出来。 网络安全调查组在其报告中表示,经过分析相关流量显示,大量的自动短信为其中一名参赛者投票。 网络安全调查组发现,这些自动投票短信都包含了一段相同的代码,格式为«07 31: 2019-04-26 22:47:31»,其中07是参与者的编号,目前仍不知道幕后操纵者是谁。 尽管如此,这个俄罗斯选秀节目还将按计划拍摄第六季最后一集。不过,在下一季节目开始之前,新的投票系统将到位,有可能会阻止自动投票短信。     (稿源:cnBeta,封面源自网络。)

25000 台 Linksys 路由器可能泄露与之相连的任何设备的大量信息

可能泄露大量数据的自2014年一来就有的严重漏洞被暴露,未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究人员Troy Mursch声称,目前使用的Linksys智能Wi-Fi路由器至少发现有25000个存在缺陷,这意味着黑客可以访问重要数据。在“网络威胁情报”公司的Bad Packets Report中写道,敏感信息正在泄露,尽管制造商正在否认这一点。 Linksys于2013年被Belkin收购 – 而后该公司于2018年又被富士康收购 – 富士康随后表示其员工未能重现Mursch的调查结果。 “我们使用最新的公开固件(默认设置)快速测试了Bad Packets标记的路由器型号,但无法重现[它],” Linksys在一份在线安全公告中表示,“这意味着它不可能让远程攻击者通过这种技术检索敏感信息。” Linksys进一步表示,该漏洞在2014年就得到修复。但是,Mursch并不同意,坚持认为这个安全风险依然存在。 “虽然[这个缺陷]据说是针对这个问题修补的,但我们的调查结果已经表明了其他情况,”Bad Packets说。 “在联系Linksys安全团队后,我们被告知要报告漏洞……在提交我们的调查结果后,审核人员确定问题是“不适用/不会修复”并随后关闭了这一报告。 如果您的路由器是以这种方式泄漏信息的,那么黑客可能获得的详细信息包括现在连接的每个设备的MAC地址。 它还可以包括设备名称,如“William’s iPhone”以及该设备是Mac、PC、iOS以及Android设备。 Mursch声称,MAC地址和Linksys智能Wi-Fi路由器的公共IP地址的组合可能意味着黑客可以对被攻击者的进行地理定位或跟踪。 但是,更容易和立即发现的是路由器的默认管理员密码是否已被更改。这个漏洞和Linksys / Belkin的响应首先由Ars Technica报告,其中指出受影响的路由器的数量似乎正在减少。在25617个初步报告之后,几天后重复测试显示有21401个易受攻击的设备还未与互联网上。 已报告受影响的Linksys路由器型号的完整列表位于Bad Packets站点上。   (稿源:cnBeta,封面源自网络。)

Stack Overflow 安全事件新进展:部分用户私人信息遭窃

Stack Overflow 遭黑客入侵一事仍在调查中,官方博客披露了调查最新进展。 入侵实际发生在5月5日,当时部署到 stackoverflow.com 的开发层的构建包含一个错误,该错误允许攻击者登录到开发层,并在网站的生产版本上升级他们的访问权限。 黑客潜入系统并探索了至少5天都未被发现,直到5月11日,“入侵者对我们的系统进行了更改,以便为自己提供访问特权。这一变化很快被发现,我们撤销了他们在整个网络的访问,开始调查入侵,并采取修复措施。” 调查显示整体用户数据库没有受到损害,攻击者提出的特权 Web 请求已经确定,这些请求返回了约 250 位 Stack Exchange 用户的 IP 地址、名称或电子邮件。受影响用户将很快接到官方的通知。 Stack Overflow 团队表示会针对此次安全事件采取以下措施:  终止对系统的未授权访问  对所有日志和数据库进行广泛而详细的审查  修复导致未经授权访问和升级的原始问题,以及在调查期间发现的任何其他潜在问题载体  主动发表公开声明  聘请第三方取证和事件响应公司协助进行补救  采取预防措施,如重置公司密码、评估系统和安全级别等 此次事件调查仍未结束,官方将持续公布更多信息。   (稿源:开源中国,封面源自网络。)

Stack Overflow 遭遇黑客攻击 目前没有证据表明数据被窃

Stack Overflow是面向编程和开发相关话题的互联网最大IT技术问答网站。在其官网上发布的一则简短公告中表示,有黑客访问了公司的内部网络。Stack Overflow工程副总裁Mary Ferguson表示:“上周末,Stack Overflow遭到了网络攻击。” 图片来自于 Stack Overflow 在公告中写道:“我们已经确认黑客于5月11日获得了一定程度的生产访问。我们在发现入侵之后就立即调查了黑客访问的范围并解决了所有已知的漏洞。”Ferguson表示目前并没有直接证据表明黑客窃取了用户的登陆凭证,但是目前不能百分百排除这种可能。在公告中Ferguson表示在调查结束之后会公布更多的细节。 Stack Overflow是一个程序设计领域的问答网站,隶属Stack Exchange Network。网站允许注册用户提出或回答问题,还可对已有问题或答案加分、扣分或进行修改,条件是用户达到一定的“声望值”。“声望值”就是用户进行网站交互时能获取的分数,例如,用户A回答了一个问题,用户B对用户A的解答给予了“加分”,用户A就会因而获得10点声望值。当声望值达到某个程度,用户的权限就会增加,如声望值超过50点就可以评论答案,另外网站也会根据用户的贡献颁发徽章。用户创建的内容都使用知识共享协议授权。 直至2018年9月,Stack Overflow有超过9,400,000名注册用户和超过16,000,000个问题,其中最常见的主题有JavaScript、Java、C#、PHP、Android、Python、jQuery和HTML。   (稿源:cnBeta,封面源自网络。)