安全快讯Top News

Verisign 发布 2017 Q1 安全报告:DDoS 攻击次数下降 23%,峰值提升近 26%

信息安全公司 Verisign 于近期发布 2017 年第一季度分布式拒绝攻击( DDoS )趋势报告。该报告介绍了该公司在今年头几个月内观察到的 DDoS 攻击频率、大小和类型的变化。统计数据显示,今年第一季度,DDoS 攻击次数比上个季度下降了 23%。然而,平均攻击峰值提升近 26%,使得它们在占用网站和关键的在线基础设施方面更有效率。 该报告还指出,攻击本质上是复杂的,并使用几种不同的攻击类型来占用网站资源。其中,43% 的攻击者只使用一个攻击载体、25% 的攻击者使用两个、 6% 的攻击者使用五个。Verisign 的报告还谈到公司在第一季度发现的最大规模 DDoS 攻击:峰值高达 120 Gbps 的多向量攻击、吞吐量为 90 Mpps,其目标受到 60 Gbps 攻击的时间超过 15 个小时。 攻击者极其坚持企图通过每天发送攻击流量超过两个星期来破坏受害者的网络。其攻击主要由 TCP SYN 和不同数据包大小的 TCP RST 组成,并采用与 Mirai 僵尸网络相关的攻击。该次攻击还包括 UDP 洪水和 IP 片段,增加了攻击的数量。 简而言之,攻击者使用了几种不同的攻击类型,他们能够长时间维持攻击。这表明攻击者有资源创建或租用这种大小的僵尸网络,并在两周内维持攻击。DDoS 攻击效能提高的事实并不奇怪,因为攻击者可以很容易地将不安全的物联网设备劫持到到他们的僵尸网络中。 稿源:cnBeta;封面源自网络

看个视频也被黑?流行播放器存安全漏洞,凭字幕文件可成功劫持用户系统

安全研究人员近期发现流行媒体播放器 Kodi 与 VLC 存在安全隐患,允许黑客利用恶意字幕文件 “ 完全控制 ” 用户个人电脑、智能电视与智能手机。目前,数亿用户正面临安全风险。 Check Point 专家表示,网络犯罪分子将 “ 精心制作 ” 的电影与电视节目文本文件传播至世界各地。一旦成功诱导用户下载运行,即可执行远程代码、接管用户设备。 字幕文本一般由写手创建并上传至互联网商店( 如 OpenSubtitles 或 SubDB ),随后系统会根据人气与可用性进行索引与排序。此外,安全研究人员发现黑客可能通过操纵在线存储库排名算法愚弄系统,迫使媒体播放器自动下载恶意字幕并规避所有用户交互行为。 研究人员发现全球最受欢迎的四款媒体播放器 VLC、Kodi( XBMC )、Popcorn Time 与 Stremio 均存在此安全隐患。而其他流媒体播放器也不排除存在类似安全隐患的可能。目前,厂商已修复相关漏洞并发布该应用程序最新版本。安全专家强调,为保护自身设备远离网络攻击风险,用户应将流媒体播放器升级至最新版本。 原作者: Jason Murdock, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Netgear 路由器 NightHawk R7000 新款固件具有远程数据收集功能

据外媒报道,美国知名企业 Netgear 公司于上周更新的 Netgear NightHawk R7000 无线路由器固件具有远程数据收集功能,可收集路由分析数据并发送至厂商服务器。 安全研究人员 AceW0rm 于去年 8 月发现多款 NetGear 路由器存在远程代码漏洞并上报厂商,但 Netgear 公司并未做出任何回应。随后,AceW0rm 于同年 12 月公开披露该漏洞概念验证代码。 调查显示,Netgear NightHawk R7000 路由器新款固件可收集路由器连接设备的总数、IP 地址、MAC 地址、WiFi 信息以及连接WiFi的设备信息等数据。 目前,Netgear 正低调处理该问题并声称新固件数据收集功能属于常规诊断处理范畴,有助于厂商快速了解用户操作习惯与路由器运行方式。Netgear表示,如果用户注重隐私且不希望 Netgear 收集数据信息,可禁用此功能或使用 DD-WRT(一款基于 Linux 的开源固件,旨在加强无线网络路由器的安全与性能)替换该固件。 原作者: Wang Wei, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡塔尔国家通讯社遭入侵,黑客肆意发布虚假政治报道

据路透社消息,卡塔尔周三称其国家通讯社网站被黑客攻击,攻击者在网站发表虚假报道。 攻击者引用卡塔尔国家元首 Sheikh Tamim bin Hamad al-Thani 的发言,就卡塔尔与美国总统唐纳德 · 特朗普( Donald Trump )以及伊朗方面的关系等敏感政治话题展开叙述。 卡塔尔方面称其正在对此事进行调查,并称所有其发布的信息全部是虚假的。 稿源:每日经济新闻,封面源自网络

苹果首获国家安全信函,报告显示请求数据激增

据相关媒体报道,苹果于本周在一份有关政府要求获得用户信息的最新报告中透露,他们于 2016 年首次获得国家安全信函( NSL ),旨在寻求与客户账号有关的信息。虽然说这份信函是 “ 解密 ”的,但关于该请求的相关细节,苹果目前并未披露。 苹果提到,NSL 通常会被认为是调查过程中的第一步,由于相关人员和部门没有获得法院的命令,所以这些请求其实缺乏获得客户数据的合法授权,而且这些命令在范围内也是有限的。苹果表示,如果收到了相关的信息,这些收件人必须要遵守相关的规定,而 2016 年年末的这个 NSL 命令是苹果自 2013 年开始发布透明度报告以来,收到的第一个 NSL 报告。 苹果指出,从 2016 年的 7 月到 12 月这半年时间里,他们收到了国家安全订单的数量激增。半年时间里,他们收到了 5750-5999 个申请,这影响了 4750-4999 个账户。而在 2016 年的上半年,苹果收到的申请数量从 2750 个增加到 2999 个,影响了 2000-2249 个账户。而美国政府也限制苹果只能在 250 家公司发布安全命令,与过去几年一样,苹果没有收到要求获得批量数据的请求。而美国政府机构也希望获得 4254 个用户信息,这其中涉及超过两万部个人设备,苹果提供了其中 3335 部设备的数据。 尽管说希望获得设备数据的请求大幅增加这种现象几乎无法解释,但是苹果也提到,执法机构通常会将这些文件当作是持续存在的欺诈调查的一部分。而相关机构也会代表那些希望能找回丢失或者说被盗的设备的用户们提出请求。此外,美国执法部门希望从苹果那里获得 1219 个个人账户数据,而苹果拒绝提供其中 211 个账户的数据,同时,他们也在 636 个案例中提供了一部分数据,而内容被披露的账户为 372 个,而部分拒绝或者全部拒绝的账户数量为 71 个。 稿源:据 cnBeta、MacX 内容筛选整理,封面源自网络

三星 Galaxy S8 虹膜识别系统遭黑客成功破解

三星 Galaxy S8 引入的虹膜识别系统被混沌计算机俱乐部的黑客成功破解。如果 Galaxy S8 的机主极其珍视手机中的数据,或常用三星整合在手机中的支付系统 Samsung Pay,那么最好不要依赖虹膜登录,而是使用传统的 PIN 码保护更加安全。 相比指纹解锁,虹膜解锁的风险更大,因为发布在互联网上的某些机主高清照片就足以获取到虹膜。这并不要求机主不要上传自拍。获取虹膜的最简单方法是使用夜拍模式或移除红外线过滤器。讽刺的是,混沌计算机俱乐部的成员是利用三星激光打印机获得了最佳的虹膜照片。 稿源:Solidot奇客;封面源自网络

固态硬盘驱动器在设计上存在安全漏洞,易导致数据损毁

近年来,出于对提升系统运行速度的渴求,传统机械硬盘( HDD )的市场正被更高速的固态硬盘驱动器( SSD )蚕食。尽管很多用户仍在采用 SSD 系统盘 + HDD 仓库盘的组合,但后者被淘汰也只是时间问题。然而卡内基梅隆大学的研究人员们,却在 SSD 的设计上找到了一处安全漏洞,使得它极易遭受某种特定类型的攻击,致使其过早失效与数据损毁。 首先,该问题似乎仅影响采用 MLC(多层单元)存储颗粒的 SSD,采用 SLC(单层单元)存储颗粒的 SSD 则不再此列。前者在性价比上更具优势,因此市面上的普及率也很高。此外,尽管这项研究并未涉及采用“三层单元”(TLC)存储颗粒的 SSD,但 ExtremeTech 指出 —— 由于采用了与 MLC SSD 相同类型的编程周期,TLC SSD 也面临着相同的漏洞威胁。 问题源自于 MLC 是如何被编程的。 与 SLC SSD 不同,MLC 驱动器会将数据从一块缓存(而不是主控)中写入闪存单元。通过拦截这一进程,攻击者就可以破坏需要被写入的数据。显然,此举会导致内存中存储的数据损坏,甚至对 SSD 本身造成损害、减少其使用寿命。 稿源:cnBeta;封面源自网络

赛门铁克公布 WannaCry 与朝鲜黑客组织关联的最新证据

Google、赛门铁克和卡巴斯基的安全研究人员上周报告了勒索软件 WannaCry 可能与朝鲜黑客组织 Lazarus Group 有关联的证据。现在,赛门铁克通过最新的官方博客报告了更多的证据。 在 5 月 12 日WannaCry 全球性爆发前,其早期版本曾在二月、三月和四月份用以执行少量目标性攻击。早期版本的 WannaCry 和 2017 年 5 月的版本基本相同,只是传播方式有所差别,区别是后者整合了 NSA 的代码。攻击者所使用的工具、技术和基础设施与之前 Lazarus 攻击事件有大量共同点: 在 WannaCry 于二月份的首次攻击之后,受害者网络上发现了与 Lazarus 有关恶意软件的三个组成部分—— Trojan.Volgmer 和 Backdoor.Destover 的两个变体,后者是索尼影业公司攻击事件中所使用的磁盘数据清除工具; Trojan.Alphanc 用以在三月和四月份中传播 WannaCry,该病毒是 Backdoor.Duuzer 的修正版,而 Backdoor.Duuzer 之前与 Lazarus 有所关联; Trojan.Bravonc 与 Backdoor.Duuzer 和 Backdoor.Destover 使用相同的 IP 地址以进行命令和控制,而后两者均与 Lazarus 有所关联;Backdoor.Bravonc 的代码混淆方法和 WannaCry 与 Infostealer.Fakepude(与 Lazarus 有所关联)相似。 稿源:solidot奇客,封面源自网络

EternalBlue 漏洞早现端倪,勒索病毒 WannaCry 爆发并非偶然

据外媒 22 日报道,网络安全专家发现至少有 3 个黑客组织在勒索软件 WannaCry 爆发数周前就已利用 NSA EternalBlue SMB 漏洞开展大规模黑客活动。 黑客组织 “ Shadow Brokers ”( 影子经纪人 )于今年 4 月披露 SMB 协议漏洞后没多久,多个黑客组织就已利用该漏洞展开大规模网络攻击,例如自 4 月 24 日起就处于活跃状态的僵尸网络 Adylkuzz。 网络安全公司 Cyphort 在蜜罐服务器中检测到某黑客组织曾于 5 月初利用 SMB 漏洞提供远程访问木马(RAT)隐藏服务,尽管后者并未显示出类似于 WannaCry 勒索软件的网络蠕虫功能。但 Cyphort 分析报告指出,一旦该漏洞被成功利用,攻击者将发送加密 payload 感染目标系统、关闭 445 端口以防止其他恶意软件滥用同一漏洞。 此外,该报告还包括一些特殊威胁指标,例如 C&C 服务器可以向恶意软件发送各种命令,其中包括监控屏幕、捕获音频与视频、读取击键记录、传输数据、删除文件、终止进程、下载执行文件等多种操作。 安全公司 Secdo 也表示,黑客组织早在 4 月中旬就已利用基于 EternalBlue 漏洞感染受损网络中的所有机器并渗透登录凭据。当月下旬,Secdo 安全专家还发现另一起利用 EthernalBlue 漏洞的攻击事件,或与利用僵尸网络分发后门的某中国黑客组织有关。此外,Heimdal 安全专家也于近期发现无文件恶意软件 UIWIX 利用 EternalBlue 漏洞在受感染系统的内存中运行。 总而言之,在勒索软件 WannaCry 肆意传播之前,至少有 3 个黑客组织已利用 NSA 黑客工具开展网络攻击活动。这在很大程度上意味着安全社区未能及时监控威胁或共享所观察到的攻击信息。 原作者: Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Terror EK 漏洞开发工具包新添指纹识别功能

据外媒报道,Talos 网络安全团队发现,继 Stegano 漏洞开发工具包( EK )更新版本发布后,Terror EK 于近期也进行了优化完善,不仅可以指纹识别用户设备,还可针对特定漏洞侵入目标系统。 Terror EK 最早出现在 2017 年 1 月的威胁势态中,其安全专家于 4 月观察到黑客利用 Terror EK 开展的攻击活动呈显著上升趋势。由于该工具包与 Sundown EK 存在相似之处,所以 MalwareBytes Labs 专家最初认为是后者的新变种,但调查结果显示,两种工具包实际由不同研究人员开发。 黑客 @666_KingCobra 曾在各地下论坛以不同名称(  Blaze、Neptune 与 Eris)发布 Terror EK 售卖广告。Malwarebytes Labs 专家表示,Terror EK 在恶意软件传播活动中主要利用 IE 浏览器、Flash 与 Silverlight 漏洞传播 Smoke Loader。此外, Terror EK 还参与了另一起攻击活动,即利用不同登录页面传播恶意软件 Andromeda。 调查显示,Terror EK 新版本能够确定受害者 PC 端运行的特定操作系统、浏览器版本、安装的安全补丁与插件。当黑客通过不同浏览器(如 IE11 或 IE8 )访问该网站时,则需使用不同插件。此外,安全研究人员还发现,Terror EK 使用基于 cookie 的身份验证下载漏洞并阻止第三方访问。据称该方法不仅可以防止调查人员了解受害系统如何遭受感染,还可防止其他攻击者窃取这些漏洞。 原作者: Pierluigi Paganini, 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接