安全快讯Top News

Firefox 0-day 漏洞被用于攻击 Tor 用户

Tor 项目邮件列表 披露 了一个正被利用执行恶意代码的 Firefox 0-day 漏洞。Mozilla 随后证实正对此开发补丁。漏洞利用代码利用了一个堆溢出 bug 在 Windows 电脑上执行任何代码。独立安全研究人员分析了漏洞利用代码后发现,其执行的恶意负荷与 FBI 用于去匿名访问儿童色情网站的 Tor 用户身份的代码基本相同。受影响的 Firefox 版本从 v41 到最新版的 v50,其中包括 Tor browser 使用的长期支持版 v45 ESR。恶意代码需要使用 JavaScript,继续使用 Firefox 和 Tor 的用户最好关闭 JavaScript。 稿源:solidot节选,封面来源:百度搜索

Windows 10 漏洞:更新时按住 SHIFT + F10 可绕过 BitLocker 加密

硬盘加密是为了防止电脑落在错误的人手中时保护用户的数据。但 Windows 10 系统被发现其 BitLocker 加密可以被绕过。Windows 安全专家 Sami Laiho 称,在 Windows 10 电脑更新时按住 SHIFT + F10组合键,可以打开一个拥有系统权限的命令行界面。该命令行调试界面允许攻击者访问任何硬盘数据,即使存在 BitLocker 加密。一种可能的利用场景是用户在电脑更新时离开了,恶意攻击者可以打开命令行调试界面执行恶意操作。还有一种可能性是警方可以从扣押的 Windows 10 电脑里获取加密硬盘里的数据。 Laiho 已经通知了微软,而微软看来正在开发补丁。 稿源:solidot,封面来源:百度搜索

英国通过最极端监控法案,遭13万人签名反对

据英国媒体报道,被称为“窥秘者宪章”的《 2016 调查权法》得到王室同意,周二在英国议会获得通过成为正式法律,从而扩大了政府的监控范围。同时,在呼吁撤销此法案的请愿书上签名的人超过了 13 万。英国内政大臣安博·路德将《 2016 调查权法》称为“世界领先的法案”,提供了“空前的透明度和大量隐私保护”,但隐私保护运动人士认为,这给全世界威权政权证明他们的侵犯性监控权力的合理性提供了国际标准。新法律要求网络公司和电信公司存储所有人 12 个月的网络浏览历史记录,给警察、安全机构和官方机构空前的数据访问权力。 同时新法律还给了安全机构和警察攻击电脑和手机大量收集通信数据的新权力。新法律要求法官同意警察提出的查看记者通话和网络记录的请求,在英国这种措施被描述为“对新闻调查报道宣判死刑”。英国内政部称,该法案的部分条款需要广泛测试,近期不会立即实施。然而,要求网络和电信公司收集客户通信数据的权力将在 12 月 31 日前生效,届时当前的《 2014 数据保留和调查权法案》将废止。 稿源:cnBeta.com 节选,封面:百度搜索  

德国电信遭黑客攻击:90万路由器下线 大量用户无法访问互联网

德国电信近日遭遇网络攻击,超 90 万路由器无法联网,德国电信方面已经确认了此事。断网事故始于当地时间 11 月 27 日(周日)17:00 左右,持续数个小时。周一上午 08:00 再次出现断网问题。除了联网服务外,德国电信用户还用这些路由器来连接电话和电视服务。 事件影响全国范围内的众多用户,具体影响范围如下图所示: 当地时间周一 12:00,德国电信在 Facebook 上放出通告称,其 2 千万用户已将问题解决,但其用户反映无法联网的问题依旧存在。 实际上德国电信并没有公布这次网络攻击的技术细节,甚至连究竟有哪些路由器受到影响都没提。有专家推测这次的攻击应该是恶意软件阻止了路由器连接到德国电信的网络。 SANS ISC 的安全专家周一早晨发布了一篇报告,其中提到针对 Speedport 路由器的 7547 端口进行 SOAP 远程代码执行漏洞的扫描和利用,近期发生了急剧增长。而 Speedport 路由器正是德国电信用户广泛使用的型号。 通过 Shodan 搜索,可以发现目前约 4100 万个设备开放 7547 端口。代码似乎是来自 Mirai 僵尸网络。目前,从蜜罐服务器的数据来看,针对每个目标IP,每5-10分钟就会收到一个请求。代码中的登录用户名和密码经过了混淆,和 Mirai 所用的算法一致。C&C 服务器也在 timeserver.host 域名下——这也是台 Mirai 服务器。而且连扫描 IP 的伪随机算法,看起来都直接复制了 Mirai 的源码。 稿源:Freebuf 节选,封面来源:百度搜索

科威特选举期间黑客入侵国会网站,揭“傀儡”议员受伊朗支持

科威特在当地时间 11 月 26 日举行国会大选,当天科威特国会网站遭黑客篡改,黑客“ Group_Dmar ”声称对这起入侵事件负责。 黑客在篡改的封面留下一段阿拉伯语信息,指责国会议员 Abdul Hamid Dashti 是伊朗的代理人,声称有 Dashti 与伊朗和叙利亚政府通信时泄露的秘密录音,并敦促其他议员们团结起来反对他。 黑客表示 Dashti 受伊朗支持一直敌势沙特政府,曾多次通过媒体“侮辱”沙特。一言以蔽之:科威特与沙特阿拉伯王国政府有一条不可逾越的红线。 此外,黑客还声援科威特无国籍居民,支持他们享有基本的公民权利,号召国会议员保障科威特无国籍人士的公民权利。按照科威特政府现在的法规,超过 11 万居民住在科威特的无国籍民众只有 3.4 万人有资格获得公民身份,剩下的来自邻国的移民将不被授予公民身份。 稿源:本站翻译整理,封面来源:百度搜索

勒索软件 Cerber 更迭至 5.0.1 使用新 IP 地址范围

安全公司 CheckPoint 发现勒索软件Cerber 在数周内连续更迭推出了 3 个版本的更新。2016 年 11 月 23 日 安全研究员发现新版本 Cerber 4.1.6 ,然而勒索软件没有显着的变化。但是版本发布后不到 24 小时,Cerber 5.0 和 5.0.1 出现了,用于指挥和控制通信的 IP 地址有了显著变化。除了个别 IP ,其余 IP 地址都换成了新的地址范围。 新的IP范围如下: 194.165.17.0/24 194.165.18.0/24 194.165.19.0/24 15.93.12.0/27 63.55.11.0/27 旧的IP范围仍在使用: 194.165.16.0/24 恶意代码通过 UDP 协议发送到所有 IP 地址。 勒索软件 Cerber 依旧通过垃圾邮件和漏洞利用工具 Rig-V Exploit EK 进行传播,加密文件扩展名更新为 4 位随机字母组合,加密目标依然是数据库以及其相关文件。 Cerber 5.0.0 赎金屏幕信息 稿源:本站翻译整理,封面来源:百度搜索

黑客入侵富帝银行系统、敲诈“知名人士”10% 存款否则曝光账户信息

当地时间 11 月 25 日,黑客向富帝银行的“知名人士”发送了一封 勒索邮件。邮件内容表示黑客入侵了富帝银行(列支敦士登分行)的系统,获得了受害人账户的细节信息,受害人需通过比特币帐户向黑客转账自己 10% 的银行存款。如果受害者拒绝遵守“游戏规则”,黑客表示将向媒体和当局曝光账户信息。大部分受害者来自德国的高收入人士、政界人士及演员,以及不少列支敦士登的客户。 富帝银行(列支敦士登分行)股份有限公司是一家位于列支敦士登公国的银行。列支敦士登位于奥地利和瑞士之间,是欧洲中部的内陆袖珍国家。 据新浪财经报道,2016 年 9 月 20 香港冠城钟表珠宝集团收购富帝银行(列支敦士登)股份有限公司约 83.22% 权益。因此,该银行成为冠城钟表珠宝集团的一个子公司。   后续进展 据德国报章《Bild am Sonntag》报道,富帝银行列支敦士登分行对黑客入侵事件作出回应,攻击发生在 2013 年 5 月,银行的核心系统并不受攻击影响,黑客并没有获得任何账户详细信息。目前,银行已通知可能受影响的客户,并告知相关机构对勒索事件展开调查。 勒索欺诈 针对银行和金融机构的网络犯罪越来越频繁,比特币的发展让犯罪分子更容易“洗钱”。当然,不止是银行成为黑客勒索和欺诈的目标,在今年早些时候波兰国防部数据遭窃,黑客组织“ Pravyy Sector ”要求当局通过比特币支付 50000 美元赎金,否则公开从波兰国防部窃取的机密数据。 稿源:本站翻译整理,封面来源:百度搜索

日本防卫省、自卫队“国防网络(DII)”被“国家级”黑客渗透

据外媒报道,日本防务官员正在调查该国高速国防信息基础设施(DII)网络渗透事件。援引彭博网站报道,攻击很可能是由国家支持的黑客发动的,事件发生在 9 月,直到近日才公布出来。DII 网络由日本国防部和自卫队共同使用,黑客或通过网络渗透自卫队系统。此前有 报道 称黑客首先通过日本防卫大学和防卫医科大学的共享网络进入 DII ,并未留下详细线索、破坏程度还有待调查。 DII 包括两个网络,一是连接到外部的互联网,另一个是受保护的内部网络。此次黑客入侵内部专用网络表明,这是一起“国家行为”的黑客行动。这一事件还引发自卫队发布临时禁令:禁止人员使用互联网。 稿源:本站翻译整理,封面来源:百度搜索

欧盟网络与信息安全机构出台医院物联网安全指导方针

欧盟网络和信息安全(ENISA)机构应对围绕物联网技术的智能医院所面临的棘手安全问题,起草了一份 最佳实践指导方针( PDF )。 ENISA 的信息安全官员 分析 了 10 多所欧盟医院面临的各种攻击场景,包括医院IT系统遭勒索软件感染、遭 DDoS 攻击、数据泄露、物联网组件遭网络攻击等。 ENISA 从三个点提出建议 1、医疗机构的物联网组件必须符合特定的 IT 安全要求,采用最先进的安全措施。 2、智能医院在制定政策和措施之前确定资产以及资产间如何相互联系。 3、设备制造商应将安全性纳入现有的质量保证体系。 医疗机构应从一开始就参与设计系统和服务。 稿源:本站翻译整理,封面来源:百度搜索

黑客推出 DDoS 攻击服务出租 Mirai 僵尸网络 40 万感染设备

两个昵称为 Popopret 和 BestBuy 的黑客开始对外出租 40 万感染设备组成的 Mirai 僵尸网络,提供“ DDoS-for-hire ”服务可根据客户要求对指定目标发动 DDoS 攻击。 此前,Mirai 僵尸网络发动了对 Dyn 公司和 主机托管公司 OVH 的 DDoS 攻击,曾导致美国东西部网络“断网”。“功能”强大意味着价格不便宜,黑客要求客户至少租两个星期,50,000 设备组成的僵尸网络攻击 3600 秒(1小时)、冷却时间 5 至 10 分钟,两周的费用在 3 千到 4 千美元。 稿源:本站翻译整理,封面来源:百度搜索