安全快讯Top News

北京检方发布《网络安全刑事司法保护白皮书》

近年来,随着信息技术的发展,我国已成为全球网民数量第一的互联网大国,互联网在极大促进社会发展的同时,也带来网络安全及数据安全案件的高发。 北京市海淀区人民检察院6月7日发布《网络安全刑事司法保护白皮书》,白皮书显示,网络犯罪主体呈现低龄、低学历化特征,犯罪行为产业化特征明显,日渐形成完整、闭合的产业链条。 据了解,2016年9月以来,海淀检察院共受理网络犯罪案件450件1076人,其中审查逮捕245件588人,审查起诉205件488人,涉及27个罪名。以审查逮捕案件为例,涉案人数较多的罪名包括诈骗罪、扰乱无线电通讯管理秩序罪、侵犯公民个人信息罪、盗窃罪等。 白皮书披露,网络犯罪普遍呈现低龄化,该类案件中“90后”占比近38%,“80后”占比约48%。犯罪行为人普遍学历较低,本科及以上学历人数仅占21%,初中、中专、小学等教育主体占比超过60%。该类犯罪突破了传统地域空间限制,跨地域作案特征明显。被害人分布于各个省份,与犯罪分子相隔万里;共同犯罪的犯罪主体之间,帮助行为主体与实行行为主体往往并不认识,仅通过网络论坛、QQ群、微信群进行联络就能实施犯罪。 此外,网络犯罪的产业化链条特征明显,其上中下游犯罪分工明确。上游负责获取用户电脑中的信息或者直接将用户的电脑予以控制;中游或通过这些信息来盗取财产,或直接将其转卖获利;下游则以盗窃、诈骗等形式将获取的数据变现。在网络犯罪涉及的侵犯财产权案件中,针对不特定公众的诈骗数额虽小,但其影响范围广,受害人数多,因而总体犯罪数额较大。如郭某某电信诈骗案中,行为人先后冒充检察官、警察,以被害人涉嫌刑事犯罪为由骗取其人民币1800余万元。在欧某某非法吸收公众存款案中,行为人以微信公众号的形式宣传其理财产品,向百余名民众吸收存款5000余万元。 基于社会实践和打击的需要,白皮书将网络犯罪分为网络黑产犯罪和网络化的传统犯罪两种基本类型。其中,网络黑产犯罪以计算机数据、程序、系统或者软件等作为犯罪对象,形成了一条封闭的产业链,上游提供工具和平台,中游获取信息、清洗数据,下游精准诈骗、盗窃财产。在实践中,此类案件主要以破坏计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪为主。 随着互联网应用场景和互联网技术的普及,传统犯罪与网络平台、网络技术相结合,开始出现赌博、贩毒、色情等传统犯罪向网络社会延伸和扩张的现象,衍生出网络赌博、网络色情、贩卖毒品、互联网金融诈骗等犯罪,并出现从PC端向移动互联端蔓延的趋势。 针对上述问题,海淀检察院将持续创新专业化办案机制,精准高效办理网络犯罪案件,并积极发挥提前介入优势,引导侦查取证有力。同时积极参与社会治理创新,深化与行政监管机关、行业协会协作,推动风险防治共建,切实推动网络安全保护,进一步延伸职能,推进检企联络,服务区域科技创新发展。   稿源:法制网,法制网记者:黄洁,法制网见习记者:张雪泓,封面源自网络;

韩国一交易所遭黑客攻击:比特币创近三个月最大跌幅

上周日,韩国加密货币交易所Coinrail称系统遭遇“网络入侵”,致使比特币连续三天下跌。彭博社援引Bitstamp数据显示,截止到下午4点,纽约市场比特币价格已跌至6840美元,创出自3月14日以来的最大跌幅,将比特币今年的亏损幅度扩大到52%。 同属加密货币的以太坊和瑞波币的交易价格分别下跌10%和11%。   6月10日,比特币期货(XBT)与美元交叉汇率   Coinrail官网上的一份声明证实,该交易所一些数字货币似乎已被黑客窃取,但未提及具体金额。Coinrail只是说,正在与调查机构及其它交易所合作,以便追捕肇事者并挽回损失。 数字货币的核心安全问题是,货币本身通常只代表一个独特的数字代码,这意味着一旦数据被盗,其所有者信息就会被抹去。 Coinrail表示,为防止黑客攻击,该公司正在审查系统。该交易所说,已经成功冻结了所有面临被盗风险的NPX、NPER和ATX等数字币种,其它加密货币现在被保存在一个“冷钱包”(cold wallet)里。 根据Coinmarketcap.com的数据统计,Coinrail交易所涵盖超过50种不同的加密货币,交易规模在全球同类市场中排名第98位,24小时的交易量约为265万美元。   稿源:新浪科技,封面源自网络;

谷歌 CEO 公布 AI 七原则 但继续与美国军方合作

针对此前不断发酵的与美国军方合作IAI技术应用事件,今天,谷歌CEO桑达尔•皮查伊(Sundar Pichai) 发表了题为《AI at Google: our principles》的署名文章,列出谷歌发展AI的七项原则,阐述了谷歌在研发和使用AI时将遵循的目标。Pichai 还明确列出了谷歌“不会追求的AI应用”,包括可能造成危害的技术、武器等。但是,谷歌并不会终止与美军的合作。 去年秋天,谷歌与美国国防部接洽,并开始秘密合作Project Maven项目,根据双方协议,谷歌会为美国军方的无人机提供AI技术。 据悉,五角大楼项目「Project Maven」主要应用深度学习计算机视觉技术,旨在帮助国防部门从图像和视频中提取值得注意的对象。该项目是在2017 年4 月由时任副国防部长Bob Work 在一份备忘录中首次披露的。 一贯以“不作恶”为原则的谷歌,在有侵犯隐私、违背伦理的风险下,是否应该接下巨额合同?此事引发了谷歌几千名员工联名上书桑达尔•皮查伊,集体抵制谷歌参与一个旨在提高无人机打击能力的项目。联名信中写到,“我们认为谷歌不应该卷入战争”,并要求谷歌宣布永远不会“发展战争技术”。 此事发酵了很长时间,直到上周五,谷歌云CEO Diane Greene 在上周五谷歌员工早会上宣布,Project Maven合同将于2019年到期,此后不再续签。 今天,桑达尔•皮查伊通过官方渠道发布了名为《AI at Google: our principles》的文章,列出了谷歌发展AI的7项原则,阐述了日后产品研发过程中的直到思想,和原则对业务决策的影响。   以下为桑达尔•皮查伊署名的原文(翻译): AI的核心是可以学习和适应的编程计算。它不能解决所有的问题,但是在提升我们生活质量上有很大潜力、意义深远。在谷歌,我们利用AI使产品更有用,从在邮箱中防止垃圾邮件刷屏,到可以自然对话的语音助手,再到能能突出有趣的部分让你体验更好的照片应用。 在产品之外,我们利用AI帮助人们解决紧急的问题。一对高中生做出了AI驱动的传感器以预测野外火灾;农民利用AI检测牧群的健康;医生开始利用AI检测癌症、预防失明。这些显而易见的益处就是谷歌在AI领域大力研发的初衷,人们通过我们的工具和开源代码广泛地使用AI技术。 我们意识到,这样有力的技术在应用中引发了同等强烈的讨论。AI的发展与应用将在未来多年对我们的社会产生重大的影响。作为AI领域的领导者,我们深感责任在肩。所以今天,我们宣布7项原则来指导我们今后的工作。这里没有理论概念,都是会主导我们的产品研发和影响商业决策的,实实在在的标准。 我们深知AI领域是不断变化和发展的,无论对内对外,我们都会在工作中保持谦逊,并愿意随着时间推移调整我们的策略。 AI应用的目标 我们将根据以下的目标来评估AI技术的应用,我们相信AI应该: 1、对社会有益 新技术对社会的渗透日渐深远,AI的爆发会对所有的领域引发影响,包括健康、安防、能源、运输、制造和娱乐在内的诸多产业。对于AI的潜在发展和应用,我们会考虑各种社会和经济因素,并在实质性的益处大于可预见的风险的前提下保持前行。 AI也提升了我们的理解能力,我们将继续努力,利用AI提供高质量、准确的信息,在尊重文化、社会、法律道德的框架下运营。同时,我们也将评估何时在非商业场景应用我们的技术。 2、避免制造或加强不公平的偏见 AI算法和数据集可以反映、加强或减少不公平的偏见。我们认识到区分公平与不公平的偏见并不容易,它因文化与社会环境而异。我们力求避免对人们造成不公平的影响,尤其是与种族、民族、性别、国际、收入、性取向、能力、政治或宗教信仰等敏感特征有关的人们。 3、为安全而建立并经受考验 我们会继续发展和应用强有力的安防措施,以避免造成有危害的意外结果。我们会小心地设计我们的AI系统,并寻求AI安防研究领域的最佳实践。适当的情况下,我们会在受限的环境下测试我们的AI系统并在部署后监控运行。 4、对用户负责 我们会设计提供反馈、请求和解释的AI系统,我们的AI技术也会接受适当的人类调控。 5、纳入隐私设计原则 在发展和应用AI技术的时候我们会纳入隐私原则,我们将提供通知和同意,鼓励具有隐私保护措施的架构,并对数据的使用提供适当的透明度和控制。 6、鼓励科技美德的高标准 技术创新根植于科学的方法、开放式的调研、严谨的学术、正直的品格和通力的合作。AI工具有潜力开拓科学研究和重大领域的新领域,包括生物、滑雪、医药和环境科学。在AI发展过程中我们渴望科学美德的高标准。 我们将在AI领域与很多相关者合作,以科学严谨和多学科的方式来全面引领领域发展。我们将通过推出教育材料,最佳实践案例和研究,负责任地分享人工智能知识,使更多人能够开发有用的人工智能应用。 7、适用这些原则的应用 很多技术都有很多的应用。我们将努力限制技术的有害应用或滥用。随着我们开发和部署AI技术,我们将根据以下因素评估用途。 初衷与用途:技术的应用,也包括了其解决方案与被滥用可能的相关性 性质与独特性:我们是提供独特的技术还是更普遍的技术 规模:该技术的使用是否会产生重大影响 谷歌的参与:我们是提供通用工具,为客户集成工具,还是开发自定义解决方案 哪些AI应用我们不追求 除了上述目标,我们不会在以下应用领域设计或部署AI: 造成或可能造成伤害的技术:在有风险隐患的前提下,我们只会在我们认为益处远远大于风险的时候继续,并将纳入适当的安全限制。 武器或其他技术:即主要目的或实施是造成或直接促进对人们的伤害的技术。 收集或使用信息进行监视的技术:即违反国际公认的规范的技术。 违反普遍接受的国际法和人权原则的技术。 我们要明确的是,我们没有开发用于武器的AI,但我们将继续与其他许多领域的政府和军方合作。其中包括网络安全、培训、征兵、退伍军人医疗、搜索和救援。这些合作很重要,我们将积极寻找更多的方法来加强这些组织的关键工作,并确保服务人员和平民的安全。 长期的人工智能 虽然这是我们选择与AI打交道的方式,但我们理解很多其他的观点。随着人工智能技术的发展,我们将与一系列利益相关方合作,在这一领域推广有思想的领导力,采用科学严谨、多学科的方法。我们将继续分享我们在改进人工智能技术和实践方面的经验。 我们相信这些原则是我们公司和AI未来发展的正确基础。这种做法与2004年我们最初的《创始人的信》中提出的价值观是一致的。信中我们明确表示过,打算从长远的角度出发,即使这意味着要做出短期的权衡。这一理念我们当时说过,现在我们更加相信。   原文地址:https://www.blog.google/topics/ai/ai-principles/ 稿源:环球网,封面源自网络;

由于软件漏洞 1400 万 Facebook 用户的私密帖子被公开

新浪科技讯 北京时间6月8日凌晨消息,本周四,Facebook向约1400万用户发出通知,称发现了一个软件漏洞,导致用户发表的认为只有朋友可见的私密帖子实际上所有人都看得到。 一般来说,一个Facebook用户发布的帖子都是预先设置好可见范围的,并不是所有用户都能看到。然而,今年5月18日到5月27日间出现的一个软件漏洞导致这些用户发布的帖子都默认对所有用户可见。 虽然在发布时这些帖子都明确带有“公开”标记,但习惯了自己预设置的帖子可见范围的用户可能并没有注意到这个变化。 Facebook表示已经对受影响的帖子进行了修复,即把可见范围从“公开”变回用户的默认可见设置。目前为止,该项修复工作已经完成了。另外,Facebook还通知了约1400万受此软件漏洞影响的用户,给他们都发送了一个警示通知。 Facebook首席隐私官艾琳·伊根(Erin Egan)在一份声明中说:“从今天开始我们向所有受影响的用户发送通知,要求他们再次查看在受影响期间发布的帖子的可见范围是否都改回了自己预先设置的。” 伊根说:“我们为该过失道歉。” 对于导致该问题的原因,Facebook解释称是因为一个允许用户在其个人信息,如发表的图片上添加标签的功能。这个被添加了标签的图片被系统默认设置为公开可见,由于软件漏洞,导致一段时间内用户发表的帖子都应用了此设置。   稿源:新浪科技,封面源自网络;

美参议员要求FB、谷歌出席听证会 回答平台安全问题

新浪科技讯 北京时间6月8日早间消息,美国参议院情报委员会的高级成员希望Facebook、谷歌和Twitter的CEO能出席公开听证会,回答关于平台安全性的问题,包括这些公司与中国手机厂商的关系。 美国和全球其他地区的立法者正在密切审视大型科技公司,尤其是这些公司如何大规模收集并使用用户的个人数据。最近几天,Facebook披露该公司与中国4家消费设备制造商存在数据共享合作,随后遭到部分美国国会议员的批评。 弗吉尼亚州民主党参议员、参议院情报委员会副主席马克·华纳(Mark Warner)周四致信谷歌,想要了解该公司与华为和小米的关系,包括用户数据是存储在手机上还是中国公司的服务器上,以及数据存储协议如何得到监督和执行。他还向Twitter发出了类似邮件。 谷歌并未承诺出席作证,但公司发言人表示,谷歌期待“回答这些问题”。 华纳还询问了谷歌与腾讯之间的合作关系。今年1月,谷歌和腾讯签署了专利共享协议,同意合作开发未来的技术。 谷歌发言人科林·史密斯(Colin Smith)表示,谷歌“与数十家国际设备制造商达成了协议”。“在协议中,我们不会提供对谷歌用户数据的特殊访问权限。我们的协议包括了用户数据隐私和信息安全保护。” 华纳周四表示,他很高兴此前没有参加Facebook CEO马克·扎克伯格(Mark Zuckerberg)的听证会,当时许多参议员的提问表明,他们对社交媒体没有太多了解,也不清楚科技公司如何收集和保存隐私数据。 《华尔街日报》早些时候报道称,美国国会议员已开始调查谷歌Android操作系统与中国手机制造商合作的部分内容。   稿源:新浪科技,封面源自网络;

Talos:FBI重启路由器的建议失效 僵尸网络感染了更多设备

还记得两周前,联邦调查局(FBI)要求所有人重启路由器,以帮助“摧毁”僵尸网络吗?遗憾的是,根据思科 Talos 安全部门周三发布的报告,这款名叫“虚拟专用网过滤器”的恶意软件不仅没被干掉,反而可能拥有了更多的功能、并且正在利用比以往更多的设备!Talos 指出,他们发现了一个可被黑客用来拦截受感染设备或路由器流量的“ssler”模块(读作 Esler)。 简而言之,即便 FBI 寻求公众的帮助来摧毁该僵尸网络,这款名为“虚拟专用网过滤器”的恶意软件却依然存活,导致人们仍易受到它的威胁。 Talos 资深技术领导人 Craig Williams 在接受 ARS Technica 采访时表示: 我们担心 FBI 给公众营造了一种虚假的安全感,该恶意软件仍在运行,且感染了比我们最初认为更多的设备。它的能力远远超出了我们最初的想象,人们需要从这个僵尸网络中摆脱出来。 至于 FBI 此前的建议到底多有效,该机构未立即置评。此前受影响的设备包括 Linksys、MikroTik、NetGear、以及 TP-Link 。 然而Talos 指出,他们在更多的路由器上发现了该恶意软件的身影,涉及华硕、D-Link、华为、Ubiquiti、UPVEL、中兴等厂家。   稿源:cnBeta,封面源自网络;

Facebook 与华为共享数据引发担忧 本周将结束合作

TechWeb报道 6月6日消息,据《纽约时报》报道, Facebook最近披露与一些设备制造商有数据共享关系,现在证实这其中包括中国企业华为、联想、Oppo和TCL。 Facebook与华为共享数据引发担忧 本周将结束合作 据《纽约时报》报道,这一情况于上周末首次披露,考虑到美国政府长期以来出于对国家安全担忧,Facebook与这些公司最新披露的数据协议在国会引起了一些人的质疑。 “Facebook向华为和TCL等中国设备制造商提供了访问Facebook API的特权,这一消息引发的担忧是合理的,我期待着更多地了解Facebook如何确保他们的用户信息不会被发送出去。” 当天早些时候,美国参议院商业委员会就与这些制造商关系更广泛的问题致信Facebook,并质疑Facebook的断言,即共享数据没有被滥用。 Facebook否认这些关系是隐私丑闻,并强调公司对这类设备集成实施了严格的限制。 Facebook表示,这些集成与市面上的API非常不同——它们的目标是在这些设备上重新创建类似Facebook的体验,并且它们受到严格控制。 Facebook对《纽约时报》表示,尽管两家公司的合作关系已经持续多年,但Facebook将在本周结束之前结束与华为的关系。   稿源:TechWeb,封面源自网络;

库克谈隐私问题:大多数人对隐私泄露一无所知

新浪科技讯 北京时间6月6日早间消息,苹果首席执行官蒂姆·库克于当地时间周一表示,对科技公司采取监管行为是“公平的”——尽管他可能不甚同意这种说法——因为用户隐私问题“已经完全失控”。 库克在接受美国有线电视新闻网(CNN)采访时说:“总体而言,对我来说,我不太喜欢(外界)监管。因为我认为自我监管是最好的。但当自我监管不起作用——在某些情况下不起作用时——你必须问问自己,还有什么样的监管形式才可能是好的。我认为,在当下这个时候,很多人能提出这样一个问题是非常公平合理的。” 他补充说:“我认为隐私问题已经完全失控。我认为大多数人都不知道到底是谁在跟踪他们,他们被跟踪了多少,以及有多少关于他们的详细数据被泄露了出去。” 就在库克发表评论之际,Facebook正因其处理用户数据的方式而受到抨击。这个社交网络巨头在4月份透露,其8700万用户的数据可能被共享给饱受争议的政治数据分析公司剑桥分析公司(Cambridge Analytica)。大西洋两岸的政界人士都呼吁Facebook能对这一丑闻作出回应,一些人还呼吁政府监管机构应对科技行业进行更多监管,以防止未来发生此类事件。 另外,苹果公司在最近的全球开发者大会(WWDC)上发布了其最新产品和全新功能。该公司于当地时间周一在大会上公布了最新版操作系统iOS 12的细节。苹果的市值在当天飙升,超过了之前的9400亿美元,创下历史新高——许多投资者预计,苹果公司的市值很快就会达到1万亿美元。   稿源:新浪科技,封面源自网络;

黑客利用病毒挖门罗币 已获利 60 余万

火绒安全团队截获一批蠕虫病毒。这些病毒通过U盘、移动硬盘等移动介质及网络驱动器传播,入侵电脑后,会远程下载各类病毒模块,以牟取利益。这些被下载的有盗号木马、挖矿病毒等,并且已经获得约645个门罗币(合60余万人民币)。   一、 概述 该病毒早在2014年就已出现,并在国内外不断流窜,国外传播量远超于国内。据”火绒威胁情报系统”监测显示,从2018年开始,该病毒在国内呈现出迅速爆发的威胁态势,并且近期还在不断传播。 火绒工程师发现,该病毒通过可移动存储设备(U盘、移动硬盘等)和网络驱动器等方式进行传播。被该蠕虫病毒感染后,病毒会将移动设备、网络驱动器内的原有文件隐藏起来,并创建了一个与磁盘名称、图标完全相同的快捷方式,诱导用户点击。用户一旦点击,病毒会立即运行。 病毒运行后,首先会通过C&C远程返回的控制命令,将其感染的电脑进行分组,再针对性的获取相应的病毒模块,执行盗号、挖矿等破坏行为。 病毒作者十分谨慎,将蠕虫病毒及其下载的全部病毒模块,都使用了混淆器,很难被安全软件查杀。同时,其下载的挖矿病毒只会在用户电脑空闲时进行挖矿,并且占用CPU资源很低,隐蔽性非常强。 不仅如此,该病毒还会删除被感染设备或网络驱动器根目录中的可疑文件,以保证只有自身会进入用户电脑。由此可见,该病毒以长期占据用户电脑来牟利为目的,日后不排除会远程派发其他恶性病毒(如勒索病毒)的可能。 “火绒安全软件”无需升级即可拦截并查杀该病毒。 二、 样本分析 近期,火绒截获到一批蠕虫病毒样本,该病毒主要通过网络驱动器和可移动存储设备进行传播。该病毒在2014年前后首次出现,起初病毒在海外传播量较大,在国内的感染量十分有限,在进入2018年之后国内感染量迅速上升,逐渐呈现出迅速爆发的威胁态势。该病毒代码执行后,会根据远程C&C服务器返回的控制命令执行指定恶意逻辑,甚至可以直接派发其他病毒代码到本地计算机中进行执行。现阶段,我们发现的被派发的病毒程序包括:挖矿病毒、盗号木马等。病毒恶意代码运行与传播流程图,如下图所示: 病毒恶意代码运行与传播流程图 该病毒所使用的C&C服务器地址众多,且至今仍然在随着样本不断进行更新,我们仅以部分C&C服务器地址为例。如下图所示: C&C服务器地址 该病毒会将自身拷贝到可移动存储设备和网络驱动器中,病毒程序及脚本分别名为DeviceConfigManager.exe和DeviceConfigManager.vbs。被该病毒感染后的目录,如下图所示: 被该病毒感染后的目录(上为可移动存储设备,下为网络驱动器) 火绒截获的蠕虫病毒样本既其下载的其他病毒程序全部均使用了相同的混淆器,此处对其所使用的混淆器进行统一分析,下文中不再赘述。其所使用的混淆器会使用大量无意义字符串或数据调用不同的系统函数,使用此方法达到其混淆目的。混淆器相关代码,如下图所示: 混淆代码 混淆器中使用了大量与上图中类似的垃圾代码,而用于还原加载原始PE镜像数据的关键逻辑代码也被穿插在这些垃圾代码中。还原加载原始PE数据的相关代码,如下图所示: 还原加载原始PE镜像数据的相关代码 上述代码运行完成后,会调用加载原始PE镜像数据的相关的代码逻辑。加载原始PE镜像数据的代码,首先会获取LoadLibrary、GetProcAddress函数地址及当前进程模块基址,之后借此获取其他关键函数地址。解密后的相关代码,如下图所示: 解密后的加载代码 原始PE镜像数据被使用LZO算法(Lempel-Ziv-Oberhumer)进行压缩,经过解压,再对原始PE镜像进行虚拟映射、修复导入表及重定位数据后,即会执行原始恶意代码逻辑。相关代码,如下图所示: 调用解压缩及虚拟映射相关代码 蠕虫病毒 该病毒整体逻辑分为两个部分,分别为传播和后门逻辑。该病毒的传播只针对可移动存储设备和网络驱动器,被感染后的可移动存储设备或网络驱动器根目录中会被释放一组病毒文件,并通过诱导用户点击或利用系统自动播放功能进行启动。蠕虫病毒通过遍历磁盘进行传播的相关逻辑代码,如下图所示: 遍历磁盘传播 被释放的病毒文件及文件描述,如下图所示: 被释放的病毒文件及文件描述 蠕虫病毒会通过在病毒vbs脚本中随机插入垃圾代码方式对抗安全软件查杀,被释放的vbs脚本首先会关闭当前资源管理器窗口,之后打开磁盘根目录下的”_”文件夹,最后执行病毒程序DeviceConfigManager.exe。释放病毒vbs脚本相关逻辑,如下图所示: 释放病毒vbs脚本相关逻辑 除了释放病毒文件外,病毒还会根据扩展名删除磁盘根目录中的可疑文件(删除时会将自身释放的病毒文件排除)。被删除的文件后缀名,如下图所示: 被删除的文件后缀名 病毒在释放文件的同时,还会将根目录下的所有文件全部移动至病毒创建的”_”目录中。除了病毒释放的快捷方式外,其他病毒文件属性均被设置为隐藏,在用户打开被感染的磁盘后,只能看到与磁盘名称、图标完全相同的快捷方式,从而诱骗用户点击。快捷方式指向的文件为DeviceConfigManager.vbs,vbs脚本功能如前文所述。通过这些手段可以使病毒代码执行的同时,尽可能不让用户有所察觉。 被释放的病毒文件列表 蠕虫病毒释放的快捷方式,如下图所示: 蠕虫病毒释放的快捷方式 该病毒的后门逻辑会通过与C&C服务器进行IRC通讯的方式进行,恶意代码会根据当前系统环境将当前受控终端加入到不同的分组中,再通过分组通讯对属于不同分组的终端分别进行控制。病毒用来进行分组的信息包括:语言区域信息、当前系统平台版本为x86或x64、当前用户权限等。后门代码中最主要的恶意功能为下载执行远程恶意代码,再借助病毒创建的自启动项,使该病毒可以常驻于用户计算机,且可以向受控终端推送的任意恶意代码进行执行。病毒首先会使用用户的语言区域信息和随机数生成用户ID,之后向C&C服务器发送NICK和USER通讯命令,随机的用户ID会被注册为NICK通讯命令中的名字,该操作用于受控终端上线。相关代码,如下图所示: 受控终端上线相关代码 通过上图我们可以看到,病毒所使用的C&C服务器列表中和IP地址众多,其中很大一部分都为无效域名和地址,主要用于迷惑安全研究人员。在受控端上线后,就会从C&C服务器获取控制指令进行执行。病毒可以根据不同的系统环境将当前受控终端进行分组,分组依据包括:语言区域信息、当前用户权限、系统平台版本信息(x86/x64)。除此之外,病毒还可以利用控制命令通过访问IP查询(http://api.wipmania.com)严格限制下发恶意代码的传播范围。主要控制命令及命令功能描述,如下图所示: 主要控制命令及命令功能描述 主要后门控制相关代码,如下图所示: 后门控制代码 病毒会将远程请求到的恶意代码释放至%temp%目录下进行执行,文件名随机。相关代码,如下图所示: 下载执行远程恶意代码 挖矿病毒 病毒下发的恶意代码众多,我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后,会在电脑运算资源闲置时挖取门罗币,对于普通用户来说其挖矿行为很难被察觉。 在本次火绒所截获到的样本中,我们发现,病毒下发的所有恶意代码都使用了与蠕虫病毒相同的混淆器。以混淆器还原加载原始PE数据代码为例进行对比,如下图所示: 混淆器代码对比图(左为被下发到终端的挖矿病毒、右为蠕虫病毒) 挖矿病毒原始恶意代码运行后,会将病毒自身复制到C:\Users\用户名\AppData\Roaming\svchostx64.exe位置,并创建计划任务每分钟执行一次。病毒会创建互斥量,通过检测互斥量,可以保证系统中的病毒进程实例唯一。之后,病毒会使用挖矿参数启动自身程序,再将挖矿程序(XMRig)PE镜像数据注入到新启动的进程中执行挖矿逻辑。在火绒行为沙盒中挖矿病毒行为,如下图所示: 挖矿病毒行为 如上图所示,挖矿参数中限制挖矿程序CPU占用率为3%,并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高,如果过高则会重新启动挖矿进程。通过遍历进程检测任务管理器进程(Taskmgr.exe)是否存在,如果存在则会停止挖矿,待任务管理进程退出后继续执行挖矿逻辑。病毒通过上述方法提高了病毒自身的隐蔽性,保证病毒可以尽可能的长时间驻留于被感染的计算机中。相关代码,如下图所示: 挖矿逻辑控制代码 虽然病毒严格控制了挖矿效率,但是由于该病毒感染量较大,总共挖取门罗币约645个,以门罗币当前价格计算,合人民币60余万元。病毒使用的门罗币钱包账户交易信息,如下图所示: 病毒使用的门罗币钱包账户交易信息 三、 附录 文中涉及样本SHA256:   稿源:cnBeta,封面源自网络;

DNA 检测公司 MyHeritage 遭黑客入侵:9200 万账户泄露

新浪科技讯 北京时间6月6日早间消息,消费级家谱网站MyHeritage宣布,与该公司的9200万个帐户相关的电子邮件地址和密码信息被黑客窃取。 MyHeritage表示,该公司的安全管理员收到一位研究人员发送的消息,后者在该公司外部的一个私有服务器上发现了一份名为《myheritage》的文件,里面包含了9228万个MyHeritage帐号的电子邮件地址和加密密码。 “没有证据表明文件中的数据被犯罪者利用。”该公司周一晚些时候在声明中说。 MyHeritage允许用户制作家谱、搜索历史记录并寻找潜在的亲人。该公司2003年创办于以色列,2016年推出了MyHeritage DNA,用户只要发送一份唾液样本即可进行基因检测。该网站目前拥有9600万用户,其中有140万曾经接受过基因检测。 据Heritage介绍,该漏洞发生在2017年10月26日,受影响的用户都是在那一天之前注册的。该公司还表示,他们并没有存储用户的密码,所有密码都经过所谓的单项散列方式进行加密,不同用户的数据需要使用不同的密钥才能访问。 但在之前的黑客事件中,这类机制曾经遭到破解,从而转换出密码。倘若如此,黑客便可获在登录用户帐号后获取其个人信息,包括家庭成员的身份。但即使黑客能够进入用户帐号,也不太可能轻易获取原始基因信息,因为想要下载这些内容,需要通过电子邮件进行确认。 该公司在声明中强调,DNA数据存储在“隔离的系统上,与保存电子邮件的系统相互分离,其中包含额外的安全层。” MyHeritage已经组建了全天候支持团队,为受影响的用户提供帮助。该公司还计划聘请独立网络安全公司调查此事,并有可能加强安全措施。与此同时,他们也建议用户更改密码。 随着消费级DNA测试发展成为一个9900万美元的行业,关于用户私密数据的安全性问题也引发越来越多的关注。在调查者通过某家谱网站追踪到“金州杀手案”嫌疑人后,关于DNA数据的隐私担忧也大幅提升。   稿源:新浪科技,封面源自网络;