安全快讯Top News

俄罗斯通过法律禁止使用 VPN 与代理服务器

据外媒报道,俄罗斯议会于 7 月 21 日投票表决通过一项新法律,旨在以传播极端主义内容为由禁止使用 VPN 或其它代理服务器并要求 ISP 屏蔽提供 VPN 服务网站。 此项法案指示俄罗斯电信监管机构 Roskomnadzor 编制匿名服务清单,并要求任何网站遵守俄罗斯发行禁令。不过,多数俄罗斯公民正利用 VPN 服务访问政府屏蔽的网站。 据悉,此法案有助于屏蔽互联网极端主义内容传播且它将在总统签署后正式生效。目前,俄罗斯多家互联网组织谴责法案模糊并存在限制。此外,下议院议员杜马要求任何使用在线留言服务的公民需要通过电话号码识别身份。尽管俄罗斯反对派团体严重依赖互联网进入主流媒体,但由于安全问题,俄罗斯当局已开始加强在线服务管制。 本文根据 securityweek 与 Solidot奇客翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Google 更新 Android 版 Samba 客户端:禁用 SMBv1、支持 SMBv3

当 Google 于两周前突然发布 Android 版 Samba 客户端的时候,并没有引发太多人的关注。借助它,用户可以方便地挂载 Windows 共享和移动文件。然而由于仅支持 SMBv1 协议,使得它难以成为一个理想的解决方案 —— 早在今年早些时候,Shadow Brokers 就爆料 NSA 已经发现了该协议中的漏洞,后续它又被 WannaCry、Petya、NotePetya 等勒索/恶意软件所滥用。 好消息是,Google 终于在今天放出了新版 Samba 客户端,禁用掉了 SMBv1 协议、并且启用了对 SMBv2 和 SMBv3 的支持。新版协议提供了额外的安全性,且不包含 SMBv1 中相同的漏洞。 考虑到这是一款在 GitHub 上开源的客户端,其实大家早在一周前就已经采取了行动,只是 Google 刚刚将它搬到 Play Store (传送门)。 [编译自:Neowin , via:GitHub] 稿源:cnBeta, 封面源自网络

微软以全新方式对付俄罗斯黑客 Fancy Bear

微软已经采取措施削弱俄罗斯联邦格鲁吉亚黑客团伙 Fancy Bear 能力。Fancy Bear 有时与俄罗斯秘密军事情报机构联系在一起,被认为是去年黑掉美国民主党电子邮件账户的主要力量。自 2007 年以来,Fancy Bear 一直在进行网络间谍活动,入侵过北约、奥巴马白宫、法国电视台、世界反兴奋剂机构和无数非政府组织以及欧洲、中亚和高加索地区的军事和民间机构。 美国情报调查结果显示,Fancy Bear 在去年针对民主党全国委员会和希拉里克林顿电子邮件账户的行动,是莫斯科帮助唐纳德 · 特朗普赢得白宫努力的一部分。然而,微软并未利用反黑客人员通过命令提示符代码与黑客进行斗争。其微软一直在慢慢地通过起诉案件,将 Fancy Bear 带入法庭,没收属于 Fancy Bear 的几十个域名。 目前,微软已经设法获得了 70 个原本属于 Fancy Bear 的域名,这些域名曾经用来制造恶意行为,例如在电脑上注入恶意软件,并将虚假信息扩散到社交媒体网站。此外,被微软控制的域名,允许微软在其上设置拦截点,因为 Fancy Bear 的服务器网络将信息中继到现在微软控制的域名和网站,现在微软成为中间人,使其能够在观察外国攻击或黑客攻击的各种计划和行为。 稿源:cnBeta;封面源自网络

思科最新发布《 2017 年中网络安全报告 》

据外媒 7 月 20 日报道,思科( Cisco )根据长期积累的研究成果最新发布《 2017 年中网络安全报告 》,指出全球行业安全状况有所改善,网络威胁变化与复杂程度有增无减。据称,其改善主要体现在检测时间。2015 年 11 月检测时间长达 39 小时,2016 年 11 月至 2017 年 5 月检测时间已缩短至 3.5 小时。 从另一个角度看,科技发展创造了一个日益增长、亟待维护的威胁局面,但 IT 动态环境可见度的缺乏、影子 IT 带来的风险、安全警报此起彼伏、IT 安全环境的复杂程度致使资源匮乏的安全团队不得不与当下强劲多变的网络威胁奋力搏杀。 该报告不仅分析了现有威胁,还针对不断演变的攻击手段进行点评,对愈发冷酷无情的敌对势力做出两种令人堪忧的预测。第一种预测是针对 IoT 设备开展的大规模 DDoS 攻击的滞后行为不容乐观。物联网僵尸网络活动表明,部分操作人员正为大范围、高冲击力的攻击活动做着准备,此举可能危及互联网自身。第二种预测是采取锁定系统、销毁部分数据行径的勒索软件正逐步演变为 “ 破坏服务 ”( DeOS )威胁。 思科指出,对于攻击者的经济价值来说,勒索软件的杀伤力远低于针对企业电子邮件入侵( BEC )。BEC 的诈骗目标主要为可能已采取成熟威胁防御与防诈措施的大型组织机构。然而,BEC 邮件不包含恶意软件或可疑链接,可以绕过最为复杂的威胁防御工具展开攻击活动,因此成功率较高。目前,思科还强调了恶意软件发展的五大趋势。 第一种趋势:攻击者正通过需要用户采取某种积极行动的分发系统展开攻击,例如受密码保护的恶意文档(电子邮件正文提供密码)在沙箱环境不显示任何恶意证据,正常转发至其他用户群体。 第二种趋势:勒索软件开发人员通过利用开放源代码库(如 Hidden Tear 与 EDA2 )以教育目的为由快速、便捷、廉价地公开发布勒索软件源代码。 第三种趋势:Satan 等勒索软件即服务( RaaS )平台的持续增长为那些期待无需写代码即可发动攻击的懒人提供便利。 第四种趋势:无文件或内存驻留恶意软件日益盛行。这种做法完全依赖 PowerShell 或 WMI 在内存中运行恶意软件,无需在文件系统或注册表中写入任何代码,除非攻击者想要将持久机制放置于适当位置。由于硬盘上没有恶意软件,因此可以有效规避检测。 第五种趋势:攻击者更多地依赖匿名与中心化基础设施为命令与控制造成混淆,例如 Tor2web。 另外,使用漏洞工具包传送恶意软件的情况正在减少,垃圾邮件数量攀升,尤其是包含宏负载恶意文件的垃圾邮件,因为此类垃圾邮件需要用户交互才能感染系统并提供有效负载。 原作者:Kevin Townsend,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Tor 项目发布漏洞赏金计划,每篇 PoC 最高悬赏 4000 美元

Tor 项目与美国知名漏洞众测平台 HackerOne 于 7 月 20 日联手推出一项 “ 漏洞赏金 ” 计划,旨在找寻反监控网络漏洞。据悉,研究人员根据漏洞严重程度,每篇 PoC 最高可获 4000 美元赏金。 Tor 网络是一种用于屏蔽在线活动的节点与中继系统、未被普通网络搜索引擎索引的互联网访问区域,作为一款隐私保护工具备受激进分子、隐私维护者及新闻工作者青睐,虽然时而会牵涉暗网不良资产非法交易。 此项计划主要针对 Tor 网络后台驻留程序与 Tor 浏览器安全漏洞,以下领域提交报告将予以优先考虑:远程代码执行漏洞、本地提权漏洞、非授权访问漏洞、导致中继节点或客户端加密信息泄露的攻击方法。Tor 网络并非百分之百安全,必须防微杜渐、积极修复任何薄弱环节。 长久以来,网络犯罪分子与政府机构出于监控目的从未停止过找寻 Tor 系统漏洞。今年年初,FBI 就曾利用 Tor 网络 “ 未公开 ” 漏洞调查儿童色情案件嫌疑人,但因当局拒绝透露具体技术细节而半途中止。 原作者:Charlie Osborne,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

苹果 iOS 曝 8 处底层漏洞:安全神话进一步破碎

据 ZDNet 报道,以色列移动安全公司 Zimperium 研究员 Adam Donenfeld 近日公布了苹果 iOS 存在 8 处安全漏洞,允许攻击者完全控制 iOS 设备,从而获得该设备的 GPS 数据、照片和联系方式等用户信息或进行 DoS 攻击。 调查显示,其中一处漏洞编号 CVE-2017-6979 是在 IOSurface 内核扩展中找到的。这一 “ 竞争条件 ” 漏洞可允许攻击者绕过 IOSurface 对象创建安全性检查。如果遭到利用,这一安全漏洞将允许本地特权提升或拒绝服务。 剩下的 7 个漏洞则是在 AppleAVEDriver.kext 驱动中找到的。其中漏洞编号 CVE-2017-6989 和 CVE-2017-6995 可用于删除内核中任意 IOSurface 对象的引用计数或发送被内核当做指向有效 IOSurface 对象的任意内核指针。两个漏洞中,任意一个都可以被攻击者利用来进行特权升级。 另外 5 个漏洞编号 CVE-2017-6994、CVE-2017-6996、CVE-2017-6997、CVE-2017-6998 以及 CVE-2017-6999 也均在 AppleAVEDriver.kext 驱动中找到。所有这些安全漏洞都会导致特权提升、拒绝服务或信息泄露。 稿源:新浪科技、快科技;封面源自网络

复苏有望:黑莓可向美联邦政府出售加密消息工具

据路透社报道,黑莓于本周四( 7 月 20 日)表示,该公司已赢得向美国联邦政府出售加密语音通话与消息工具的权利,而这些工具也获得了美国国家安全局(NSA)的认可。 黑莓表示,该公司已经获得了美国国家安全局下属国家信息安全保障合作组织(以下简称 “ NIAP ” )的认可,该组织对商用科技产品进行审核,以确定它们是否能满足供政府使用的增强版安全标准。 NIAP 还曾向黑莓竞争对手开发的工具颁发过相关认证,比如苹果和三星电子,这些竞争对手在消费类智能手机的较量中曾经击败过黑莓。近年来,有关对不法分子正在窃听政府通信的担忧急剧上升,比如在 2014 年初,一位美国国务院高级官员和美国驻乌克兰大使之间的未加密手机通话就遭到窃听,谈话内容被发布到网上。 可供美国联邦政府使用的黑莓工具是基于 Secusmart 技术打造,Secusmart 是德国的一家创业公司,在 2014 年被黑莓收购。在一位美国情报机构前承包商宣称德国总理安吉拉·默克尔(Angela Merkel)的手机遭到美国国家安全局的窃听后,Secusmart 赢得一项政府合同,专门向默克尔提供手机产品。 德国检察官在 2015 年放弃了对有关默克尔手机遭窃听说法的调查,称他们并未发现足够的证据以继续推进这项调查。黑莓表示,欧洲、拉美、东南亚和非洲等地区的 20 个国家的政府机构都在使用该公司的加密语音与消息产品。德国也是黑莓公司最大的政府客户。 稿源:cnBeta、网易科技;封面源自网络

前 CIA 专家揭露:社交媒体成为情报机构当前面临的巨大挑战

在数字时代背景下,社交媒体的出现为情报机构窃取机密信息增加了难度。脸部扫描、生物识别、大数据分析等先进技术在为人类提供极大便利的同时也埋下严重隐患。互联网技术的发展改写数字时代游戏规则已成为不争事实。美国中央情报局( CIA )、英国军情六处( MI6 )或英国秘密情报局( SIS )等情报机构官员均已意识到该问题的严重程度。 前 CIA 局长丹尼尔·霍夫曼(Daniel Hoffman)表示:“ 国家情报机构社交媒体账户已成为敌对势力的重点关注对象。一旦某个情报人员或普通公民被怀疑为有价值的追踪目标,那么该用户的所有社交媒体账户都将被剖析得体无完肤。” 前 CIA 国家秘密行动处副主任马克·凯尔顿(Mark Kelton)感慨:“ Facebook、Twitter、LinkedIn 等社交媒体平台使涉外人员的工作变得愈加复杂。情报人员的社交媒体活动必须与外界报道保持一致。有些情报机构可能正在为未来 10 年即将加入情报机构的官员建立社交媒体档案。无论是谁,只要被怀疑为间谍,都将受到反间谍组织严密监控,相应社交渠道也将受到密切关注。例如,全球反情报官员将通过扫描每个公民的 LinkedIn 等在线资料与某时间段内发生的既成事实进行核对、利用面部识别软件收集嫌疑人在机场出入境安检口提供的身份信息等。任一场网络攻击活动通常始于简单的操作失误,例如监控记录的留存。情报人员需要将各因素考虑周全。” 英国情报机构官员近期就人脸识别、社交网络等先进技术的利弊之争发表评论,指出现代计算机系统加剧了乔装出行的难度。MI6 处长 Alex Younger 于 2016 年 9 月 21 日在华盛顿特区举办的一场安全会议上对美国国家安全局( NSA )工作予以肯定的同时表示:“ 信息革命从根本上改变了我们的作战环境。在未来五年内,世界将会出现两类情报机构。第一类:了解这一事实、成功存活的情报机构;第二类:不了解这一事实、被时代淘汰的情报机构。我断定 MI6 属于前者。” 原作者:Jason Murdock,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密:CIA 任命雷神黑鸟科技公司为远程开发部门提供情报

据外媒报道,维基解密( Wikileaks )近期最新曝光一批 Vault7 文档,旨在揭露美国中央情报局( CIA )任命雷神黑鸟( Raytheon Blackbird )科技公司为远程开发部门( RDB )提供情报,即分析黑客所使用的高级恶意软件与 TTP 通信协议等机密信息。 维基解密泄露文件显示,在 2014 年 11 月至 2015 年 9 月期间,雷声黑鸟科技公司向 CIA 共计提交至少 5 份报告,作为 CIA UMBRAGE Component Library( UCL )项目的其中一部分。UMBRAGE 项目主要包含恶意软件功能模块(例如:键盘记录仪、密码收集器、销毁数据仪、控制权限,以及反杀毒软件等),其目的是为隐藏攻击手段,规避安全软件检测。 2017 年 7 月 19 日,维基解密在线公布雷神黑鸟科技公司为 CIA UCL 项目提供的情报文件,其文件多数包含恶意软件攻击载体的概念验证 PoC 与评估,部分成果基于安全研究人员与计算机安全领域的私营企业公开发布的文档。据悉,雷神黑鸟科技公司作为 CIA 远程开发部门的 “ 技术侦察员 ” 分析黑客使用的恶意软件并提出进一步调查与 PoC 开发建议,用于研发更为高级的恶意软件项目。以下是雷神黑鸟科技公司提供的报告信息。 报告 1:HTTPBrowser 远程访问工具新变种 雷神黑鸟科技公司研究人员详细介绍了一款由 APT 组织 Emissary Panda 使用的 HTTPBrowser 远程访问工具新变种。据悉,这一新变种于 2015 年 3 月建立,并通过未知初始攻击载体进行部署。 报告 2:NfLog 远程访问工具新变种 报告详细介绍了 NfLog 远程访问工具新变种,也被称为 “ IsSpace ”,由 APT 组织 SAMURAI PANDA 用于网络间谍活动。此外,报告不仅指出 IsSpace 利用 Hacking Team 开发的 Adobe Flash 漏洞( CVE-2015-5122 )开展攻击活动,还表明该变体通过 Google App Engine (GAE)托管并与 C2 服务器进行代理通信。 报告3:Regin 间谍工具 这份报告是对 2014 年首次发现的间谍工具 Regin 进行高级分析。据称,Regin 网络间谍工具由美国国家安全局情报机构开发,是一款极其复杂的恶意软件样本。迹象表明,该恶意软件早在 2008 年就已开始使用,但多数人认为,当前的 Regin 迭代可追溯到 2013 年。Regin 似乎专注于目标监视与数据收集。其模块化体系结构提供了高度灵活性的攻击能力。而隐蔽性则是 Regin 另一个令人印象深刻的特性,能够规避检测。 报告 4:HammerToss 恶意软件 这份报告详细描述了 2015 年初发现的恶意软件 HammerToss。研究人员表示,这是俄罗斯黑客开发的恶意代码,自 2014 年底以来一直运行。HammerToss 还是一款极其有趣的恶意软件,因为它的架构可以利用 Twitter 账户、GitHub 账户、受攻击的网站与云存储攻击指挥与控制(C2)服务器。 报告 5:Gamker 木马 这个文档详细描述了自编码的注入与 API 连接方法,以致窃取敏感信息。2015 年 8 月,Virus Bulletin 发布三页报告,其中包含 Gamker 木马技术详细信息。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新型恶意软件 SHELLBIND 利用 SambaCry 漏洞攻击物联网设备

据外媒 7 月 18 日报道,趋势科技( Trend Micro )研究人员近期发现一款新型恶意软件 SHELLBIND 利用 SambaCry 漏洞攻击中小型企业使用的网络附加存储( NAS )设备。 两个月前,研究人员在 Samba 文件共享服务器中发现一处存在 7 年之久的远程代码执行高危漏洞 SambaCry (CVE-2017-7494),允许黑客远程控制存在该漏洞的 Linux 与 Unix 设备。尽管漏洞补丁已于 5 月下旬公布,但目前新型恶意软件正利用该漏洞攻击物联网设备,尤其是 NAS 设备。 调查显示,SHELLBIND 是一款简单的木马程序,应用于 MIPS、ARM 与 PowerPC 等系统架构。此外,它还作为共享对象( .SO )文件传输至 Samba 公共文件夹并通过 SambaCry 漏洞加载。一旦部署至目标设备,恶意软件就会与位于东非的命令与控制( C&C )服务器建立连接、修改本地防火墙规则。如果成功建立连接,恶意软件将允许攻击者访问受感染设备并提供开源命令行 shell,通过发送任意数量与类型的系统命令实现对设备的完全控制。 目前,尚不清楚攻击者将如何利用受感染设备以及此举背后的真正意图,但研究人员已在 Samba 4.6.4/4.5.10/4.4.14 版本中修复漏洞并敦促用户及时进行系统升级。 原作者: Mohit Kumar,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。