安全快讯Top News

RubyMiner 恶意软件入侵过时服务器挖掘加密货币

安全研究人员近期观察到一种在线部署的新型恶意软件 RubyMiner ——这是一种在被遗忘的网络服务器上发现的加密货币矿工 。据 Check Point 和 Certego 发布的研究结果以及研究员从 Ixia 收到的信息表明,攻击事件始于上周 1 月 9 日至 10 日。 攻击 Linux 和 Windows 服务器 Ixia 安全研究员 Stefan Tanase 指出,RubyMiner 的目标是 Windows 和 Linux 系统。恶意软件 RubyMiner 背后的团队使用一个名为 p0f 的 web 服务器指纹工具来扫描和识别运行过时软件的 Linux 和 Windows 服务器。一旦识别到未打补丁的服务器,攻击者就可以将已知的漏洞部署在易受攻击的服务器上,然后用 RubyMiner 来感染他们。 Check Point 和 Ixia 表示,他们已经观察到攻击者在最近的攻击浪潮中部署了以下漏洞: ◍ Ruby on Rails XML处理器 YAML 反序列化代码执行(CVE-2013-0156) ◍ PHP php-cgi 查询字符串参数代码执行(CVE-2012-1823;CVE-2012-2311; CVE-2012-2335;CVE -2012-2336;CVE-2013-4878) ◍ 微软 IIS ASP 脚本的源代码泄露(CVE-2005-2678 ) 攻击者将恶意代码隐藏在 robots.txt 文件中 在上周发布的一份报告中,Check Point 根据从 honeypot 服务器收集的数据,在 Linux 系统上分解了 RubyMiner 的感染例程,并从中认识到攻击者在某些方面的创造力: ▨ 可利用代码包含了一系列 shell 命令 ▨ 攻击者清除了所有的 cron 作业 ▨ 攻击者添加了一个新的计时 cron 作业 ▨ 新的 cron 作业下载了在线托管的脚本 ▨ 该脚本托管在多个域的 robots.txt 文件内 ▨ 脚本下载并安装合法的 XMRig Monero 矿工应用程序修改版本。 Check Point 安全研究员 Lotem Finkelstein 则表示,目前攻击者瞄准了 Windows IIS 服务器,但是并没有获得 RubyMiner 的 Windows 版本副本。此外 ,Check Point 称 2103 年的一起恶意软件活动部署了与 RubyMiner 相同的 Ruby on Rails 漏洞, Check Point 猜测其背后团队很可能正试图扩展 RubyMiner 。 Monero 采矿恶意软件的发展趋势日益明显 总体而言,近几个月来传播加密货币挖掘恶意软件的尝试有所增加,尤其是挖掘 Monero 的恶意软件。 除了密码劫持事件(也是 Monero )之外,2017 年的一些 Monero 挖掘恶意软件家族和僵尸网络还包括 Digmine、针对 WordPress 网站的未知僵尸网络、Hexmen、Loapi、Zealot、aterMiner、 针对 IIS 6.0 服务器的未知僵尸网络、CodeFork 以及 Bondnet 等。而就在 2018 年的前两个星期,已经出现了针对 Linux 服务器的 PyCryptoMiner 和另外一个针对 Oracle WebLogic 服务器的组织。大多数针对 Web 服务器的事件中,研究人员发现攻击者试图使用最近的漏洞攻击,因为会有更多易感染的机器。但奇怪的是,RubyMiner 攻击者却使用非常古老的漏洞,并且大多数安全软件都能检测到这些漏洞。 据研究员 Finkelstein 透露,RubyMiner 攻击者可能是故意寻找被遗弃的机器,比如被遗忘的个人电脑和带有旧操作系统的服务器 ,感染设备后确保在安全雷达下进行长时间的采矿。 RubyMiner 团伙已感染 700 多台服务器 根据 RubyMiner 恶意软件部署的自定义 XMRig 矿工中发现的钱包地址,Check Point 初步统计受到 RubyMiner 感染的服务器数量在 700 个左右,攻击者的收入约为  540  美元。一些专家认为若攻击者开始使用最近的漏洞,其幕后团队可能会赚取更多的钱。例如,一个从 2017 年 10 月开始针对 Oracle WebLogic 服务器的黑客组织就曾获利 226,000 美元 。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Spectre / Meltdown 补丁或严重影响 SolarWinds 的 AWS 基础架构

外媒 1 月 15 日消息,IT 管理软件和监控工具供应商 SolarWinds 通过分析发现,Spectre / Meltdown 补丁使其亚马逊网络服务( AWS )基础设施的性能严重下降。 据悉,SolarWinds 在半虚拟化的 AWS 实例上图形化地表现了“ Python worker service tier ” 的性能。如下图所示,在亚马逊重启 SolarWinds 使用的 PV 实例后,CPU 使用率跃升至 25% 左右。 与此同时,SolarWinds 对其 EC2 HVM 实例的性能也进行了监控,发现在 Amazon 推出 Meltdown  的补丁时性能开始下降,并且不同的服务层的 CPU 颠簸也非常明显。 根据数据显示,结果并不可观,比如 Kafka 集群的数据包速率降低了 40%,而 Cassandra 的 CPU 使用率则猛增了 25%。 不过 SolarWinds 表示,目前 CPU 水平似乎正在返回到 HVM 之前的补丁水平,但并不清楚实例中 CPU 使用率降低是否与额外的补丁有关。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

BlackWallet 遭受黑客攻击 价值 40 万美元虚拟货币 XLM 被盗

1 月 13 日,黑客攻击了 BlackWallet 的服务器,并从中窃取了价值 40 万美元( 29 万英镑)的虚拟货币 Stellar Lumens( XLM )。 根据科技新闻网站 Bleeping Computer 的消息,BlackWallet 曾试图通过论坛向用户发出攻击警告,然而仍然有许多人继续登录后失去了了他们的资金。相关知情人士透露,目前黑客已经将资金转移到了虚拟货币交易所 Bittrex,并且可能会将其转换成另一种虚拟货币来隐藏踪迹。 为了应对该盗窃事件, BlackWallet 已经禁用了托管账户和网站, 此外,一个名为 Orbit84 的开发者也向用户表达了歉意,他表示目前正在与托管服务提供商谈判,以尽可能多地获得有关黑客的信息,并采取相应的措施。同时 ,Orbit84 建议如果用户曾经在 BlackWallet 上输入过密码,最好立刻将资金转移到其他钱包上。 消息来源:每日区块链,封面来自网络;

德国央行主管:监管比特币必须全球联手

媒体 1 月 16 日上午消息,德国中央银行一名主管本周一表示,如果想监管加密货币(比如比特币),必须全球统一行动,因为国家或者区域法规很难在无边界虚拟社区推行。比特币与加密货币交易突然爆发,全球——特别是亚洲——各国的监管机构踩下 “ 刹车 ”,试图遏制交易。 不过德国联邦银行( Bundesbank,即德国的央行)董事会成员约阿希姆·武勒梅林( Joachim Wuermeling )认为,加密货币交易已是全球化现象,想用国家规定来控制可能很难。 武勒梅林说:“只有尽最大可能展开国际合作,才能对虚拟货币进行有效监管,因为国家的监管权力存在局限性。” 中国已经禁止 ICO ,关闭了本国的加密货币交易所,限制比特币采矿,尽管如此,各种活动还是借助其它替代渠道继续进行。在韩国,投机交易仍然盛行,韩国正在制定政策,准备禁止虚拟货币交易。 上个月,欧盟成员国和立法者达成一致,决定加大监管力度,打击洗钱和恐怖主义融资活动,这些活动往往通过交易平台以比特币及其它虚拟货币的形式来进行。 稿源:cnBeta、新浪科技,封面源自网络;

美国一家医院遭到勒索软件攻击后依靠纸和笔运行

另一家美国医院已经成为勒索软件攻击的受害者。上个星期,一个勒索攻击设法感染了印第安纳州汉考克地区医院系统,要求医院支付不确定数量的比特币以提供解锁密钥。袭击发生在 1 月 11 日,影响了医疗中心的电子邮件,电子病历和其他内部操作系统。 医院强调,没有病人记录被从网络中删除,病人护理没有受到重大影响。该机构关闭了一些系统,以防止进一步的感染,并联系了联邦调查局和国家信息技术安全公司。截至周六上午,这些系统还未恢复正常,医院员工并继续使用笔和纸来更新患者的医疗数据。 以前一些勒索软件通过员工打开恶意电子邮件或网站链接进入医院系统,但汉考克健康医院的首席执行官史蒂夫·龙( Steve Long )说,在这种情况下情况并非如此。这家医院发言人表示,我们和其他医院一样,一直都在进行灾难演习,所以这一切都与我们多年来一直在进行的演练有关,当系统故障或系统违规时,如何继续提供世界一流的医疗和护理是我们多年来一直准备的事宜。 去年,堪萨斯心脏病医院和好莱坞长老会医疗中心遭到勒索软件袭击。 稿源:cnBeta,封面源自网络;

黑莓发布无人车网络安全软件 Jarvis 可扫描软件漏洞

媒体 1 月 16 日早间消息,加拿大软件制造商黑莓本周一发布了一个新的网络安全软件,它能够辨识无人驾驶汽车所使用的程序中所含有的漏洞。这个软件名为 Jarvis,除了无人驾驶汽车之外,它还可以被用在医疗健康以及工业自动化领域。黑莓公司希望凭借这个软件完成从手机制造商到软件制造商的转型。 黑莓公司表示,汽车制造商可以使用这个软件在软件开发的各个阶段对软件代码进行扫描,以此来寻找代码中的漏洞。 去年在世界范围内爆发的 WannaCry 勒索软件让黑莓的安全软件业务受到了人们的注意,黑莓的这项业务专注于移动设备上的安全连接。 黑莓表示他们已经与于著名汽车制造商塔塔汽车旗下的捷豹路虎一起对 Jarvis 进行了测试。捷豹路虎 CEO 表示,Jarvis 能够让代码审核所需要的时间从 30 天减少到 7 分钟。 去年 9 月,黑莓还宣布他们将于汽车零部件制造商德尔福一起开发无人驾驶汽车软件操作系统。本月早些时候,黑莓与百度签署了一项协议,双方将联合开发无人驾驶技术。除此之外,黑莓最近还与芯片制造商高通、汽车零部件制造商电装以及福特汽车公司签署了与汽车相关的协议。 稿源:cnBeta、新浪科技,封面源自网络;

Mirai Okiru:首个旨在感染 ARC CPU 的新型 Linux ELF 恶意软件

外媒 1 月 14 日信息,MalwareMustDie 团队首次发现了一种用于感染 ARC CPU 的 Linux ELF 恶意软件—— Mirai Okiru,旨在针对基于 ARC 的系统。据悉,Mirai Okiru 在被发现之前几乎没有任何的反病毒引擎可以检测到,再加上目前 Linux 物联网的威胁形势迅速变化,因此研究人员认为攻击者将会利用 Mirai Okiru 瞄准基于 ARC CPU 的物联网设备,从而导致毁灭性的影响。 ARC (Argonaut RISC Core)嵌入式处理器是一系列由 ARC International 设计的32 位 CPU,其广泛用于存储、家用、移动、汽车和物联网应用的 SoC 器件。 2016 年 8 月,MalwareMustDie 团队的研究员 unixfreaxjp 首先发现了 Mirai 僵尸网络 ,时隔不到两年, unixfreaxjp 又注意到恶意软件社区出现了新的攻击形式——Mirai Okiru,其影响程度极为深远,因为 ARC 嵌入式处理器已经被 200 多个组织授权,并且每年出货量达到 15 亿,这意味着可能暴露的设备数量是非常巨大的。此外,除了攻击 ARC,其他恶意目的也可能存在。 为了更加深入了解 Mirai Okiru ,MalwareDustdie 团队分析了 Okiru 与 Satori 变体(另一种僵尸网络)的不同之处: 1、配置不同,Okiru 变体的配置是以两部分 w/ telnet 攻击密码加密,而 Satori 并不分割这两个部分,也不加密默认密码。并且 Okiru 的远程攻击登录信息稍长一点(最多可以达到 114 个凭证),而 Satori 则拥有不同和更短的数据库。 2、Satori 似乎可以利用 “ TSource Engine Query ”进行分布式反射拒绝服务(DRDoS)功能(通过随机 UDP),而 Okiru 则没有这个功能。 3、在 Okiru 和 Satori 的配置中,感染跟进的命令有点不同,也就说他们没有共享相同的 herding 环境。 4、四种类型的路由器漏洞利用代码只被发现在 Okiru 变体中硬编码,Satori 完全不使用这些漏洞 。 5、Satori (见反编码的 VT 注释部分)是使用小型嵌入式 ELF 木马下载器来下载其他的架构二进制文件,与 Okiru 相比其编码方面存在不同 (请参阅反转代码在 VT 注释中)。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

SCADA-ICS 系统移动应用程序存在编码缺陷,或致关键基础设施沦陷

据外媒 1 月 13 日报道,IOACTIVE 研究人员发出警告称有黑客组织日前正瞄准 SCADA-ICS 系统 ,旨在利用其移动应用程序缺乏安全的编码标准,达到攻击关键基础设施的目的。 SCADA-ICS ( Supervisory Control and Data Acquisition Industrial Control Systems )— 监督控制以及数据采集工业控制系统, 表示在关键基础设施上运行的工业自动化系统,负责清洁水、能源等关键服务的控制和运行。 近期,IOACTIVE 的研究人员发布了一份报告,分析了连接到物联网和移动应用程序的 SCADA-ICS 系统的安全影响。 该报告指出,移动应用存在于许多 ICS(工业控制系统) 领域,具体可分为两类:本地(Wi-Fi,蓝牙)和远程应用(互联网,VPN),目前这两类主要受到三种形式的攻击,如未经授权的物理访问到设备或 “ 虚拟 ” 访问设备数据、通信渠道泄露( MiTM )、应用程序泄露。 考虑到这些攻击,移动 SCADA 应用程序可能直接或者间接地影响工业过程以及工业网络基础设施,并威胁操作员对系统执行有害操作。 据 IOACTIVE 透露,该研究基于 OWASP 2016 进行,分析了 34 家在 Google Play 商店上发布应用程序的供应商。目前已确定有 147 个与安全编码编程相关的问题( 该安全编码可能允许代码被篡改 )。 研究人员发现利用这些问题黑客可以远程控制智能手机,以进一步攻击在硬件和软件上使用的易受攻击的 ICS 应用程序,并且几乎每个应用程序都增加了16 个漏洞,例如一些应用程序中包含不安全的授权,而这些授权并没有经过任何形式的身份验证;由于缺少代码混淆,其他的漏洞也存在逆向工程;再加上不安全的数据存储和意外的数据泄露,使得黑客可以访问与 SCADA 系统相关的应用程序或数据。 由于这些新的漏洞构成了巨大的威胁,甚至超过了 2016 年乌克兰袭击所造成的损害,因此为了减少社会安全受到的威胁性,IOACTIVE 建议应用程序开发人员在开发计划中考虑安全编码。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全公司 Fidus 披露 OnePlus 海外官网被黑客攻破 信用卡资料被窃取

根据 thenextweb 报道,任何使用信用卡从公司官方网站购买新款 OnePlus 手机的人都应该立即联系他们的银行:黑客可能会偷走他们的资金。Thenextweb 报道,网络安全公司 Fidus 针对一群 OnePlus 用户可能发生的信用卡欺诈事件调查之后,发现了一个漏洞,可能允许恶意代理人从 OnePlus 网站上扫描敏感的信用卡数据。 到目前为止,数百名受影响的用户已经到 Reddit 和 OnePlus 官方论坛报告其信用卡上的可疑活动。据不少报道,第一次欺诈的尝试是在用户使用信用卡从OnePlus网站上购买物品一年之内。Fidus表示尽管这些攻击似乎是真实的,但他们的研究显示,并没有以任何方式证实 OnePlus 网站被破坏。相反,它表明攻击可能来自最薄弱的环节 – Magento 电子商务平台。 这位网络安全专家说,以前曾多次遭到黑客入侵的付款整合往往是恶意行为者的攻击目标。通过 OnePlus 网站上的付款流程分析显示,请求客户卡详细信息的支付页面在现场被托管, 这意味着输入的所有付款细节尽管简单,但却可以通过 OnePlus 网站流入,并且可以被攻击者拦截。 虽然支付细节在提交表单时被发送给第三方提供商,但是恶意代码可以利用其中一个窗口能够在数据被加密之前窃取信用卡细节。虽然 OnePlus 尚未发布有关这一事件的官方声明,但在其论坛上的版主对 Fidus 的研究准确性持怀疑态度,认为所提出的攻击载体与证据不一致。 稿源:cnBeta,封面源自网络

美国财政部长:比特币不应该成为瑞士银行账户的货币

据外媒 phys.org 报道,美国财政部长努钦上周五表示:比特币作为数字货币中主导地位的币种,不应该被允许成为瑞士银行账户的货币,以防止这些账户被用来进行地下非法活动。努钦表示,其将承诺与包括 20 国集团在内的世界主要经济体合作,监控数字货币的大规模投资,防止比特币等加密货币成为匿名瑞士银行账户的货币。 他希望确保:坏人不能用这些数字货币做坏事。 美国的法规要求在美国的比特币账户提供客户的个人信息,以防止洗钱等非法活动。 努钦承认包括美联储在内的一些国家的中央银行正在研究发行数字货币代替现钞的可能性,但 “美联储和我们都认为现在没有必要这样做 ”。 当被问及俄罗斯可能将创建自己的虚拟货币规避国际金融制裁时,努钦回答说:“ 我不认为这是一个问题 ”。 相关阅读: 韩国政府澄清:没有下达比特币禁令 以太坊骗局数据库可以帮助用户避免加密货币骗子 稿源:cnBeta、快科技,封面源自网络;