安全快讯Top News

Twitter:黑客在上周的入侵中访问了 36 个账户的直接信息

Twitter正在继续调查上周苹果和其他知名人士和公司的Twitter账户被比特币骗子黑客入侵的安全漏洞。当地时间周三这家社交媒体公司证实,黑客访问了36个Twitter账户的直接信息(Direct Messages )。 Twitter此前表示,在此次黑客攻击中没有密码被盗,这是一次针对Twitter员工的 “协调性社会工程攻击”。黑客能够获得员工凭证,利用这些信息访问Twitter的内部系统,包括绕过双因素认证保护。 内部工具被用来攻击130个账户,对于其中的45个账户,黑客启动了密码重置,并完全可以进入该账户发送推文。对于其中的8个Twitter账户,攻击者通过“你的Twitter数据”工具下载了账户信息,该工具提供了Twitter账户的详细信息和活动情况,但以这种方式为目标的8个账户都不是经过验证的账户。 在被入侵的130个账户中,包括特斯拉CEO埃隆·马斯克、美国前总统奥巴马、微软联合创始人比尔·盖茨、亚马逊CEO杰夫·贝佐斯、总统候选人乔·拜登等人的账户,黑客能够看到电子邮件地址和电话号码等个人信息,对于一些被接管的账户,还能获得更多信息。 Twitter没有提供具体细节,说明36个账户中哪些账户的直接信息被入侵,但黑客确实访问了荷兰一名民选官员的直接信息。没有其他前任或现任民选官员的DM被访问。 Twitter正在与受影响的账户持有人直接沟通,并进一步保护其系统安全,以防止未来的攻击。作为阻止类似事情再次发生的努力的一部分,Twitter正在全公司范围内推出额外的培训,以防范社交工程策略。     (稿源:cnBeta,封面源自网络。)

一个安全漏洞暴露了家谱数据库 GEDmatch 中超过 100 万份DNA资料

据外媒BuzzFeed News报道,7月19日,使用GEDmatch网站上传DNA信息、寻找亲属填写家谱的家谱爱好者们得到了一个不愉快的消息。突然间,一直被隐藏起来的100多万份DNA资料,被警察利用该网站找到与犯罪现场DNA部分匹配的资料,供警察搜索。 这个消息破坏了去年12月收购GEDmatch的法医遗传学公司Verogen的努力,使用户相信它将保护他们的隐私,同时追求基于使用遗传谱系帮助解决暴力犯罪的业务。 第二个警报发生在7月21日,总部位于以色列的家谱网站MyHeritage宣布,其部分用户受到钓鱼攻击,以获取他们在该网站的登录信息–显然是针对两天前GEDmatch被攻击时获得的电子邮件地址。 在一份通过电子邮件发给BuzzFeed News并发布在Facebook上的声明中,Verogen解释说,本应对执法部门隐藏的GEDmatch资料突然被揭开,是 “通过现有用户账户对我们的一个服务器进行复杂的攻击而策划的”。 “由于这个漏洞,所有用户的权限被重置,使得所有用户都能看到所有的档案。这种情况大约持续了3个小时,”声明指出。“在此期间,没有选择参加执法匹配的用户可以进行执法匹配,反之,所有执法档案对GEDmatch用户可见。” 2018年4月,随着被指控为金州杀手的Joseph James DeAngelo被捕,调查性遗传系谱爆发了。DeAngelo上个月承认了13起谋杀案,并承认了数十起其他罪行。调查人员在1980年的一起双重谋杀案现场发现的DNA与GEDmatch上属于凶手远亲的资料进行了部分匹配。通过艰苦的研究,他们建立了家族系谱,最终汇聚到了DeAngelo身上。 此后,又有几十名涉嫌谋杀和强奸的人被以类似的方式确认。但这在家谱界引起了很大的分歧。虽然现在一些家谱学家正在与警方合作,但也有人认为,基因隐私已经受到了损害。 在该网站为了让警方调查一起不太严重的暴力袭击事件而影响自己的规则后,GEDmatch的解决方案是用户必须明确选择接受执法部门的搜索。根据Verogen的数据,在黑客攻击之前,145万份资料中大约有28万份资料已经选择加入。周日的漏洞改变了设置,使145万份DNA资料都选择了执法部门的搜索。 这场争论双方的家谱学家告诉BuzzFeed新闻,他们担心新的安全漏洞会阻止人们将他们的DNA档案放在网上–既伤害了在线家谱社区,也伤害了解决冷门案件的努力。“这是一个全新的坏境,”加利福尼亚州利弗莫尔的家谱学家Leah Larkin是一个直言不讳的基因隐私倡导者,他告诉BuzzFeed News。 “从长远来看,如果人们决定他们对GEDmatch的信心减少,并导致更多的个人资料被删除,这不是一件好事,”Parabon NanoLabs公司的首席谱系学家CeCe Moore告诉BuzzFeed新闻,该公司与警方合作解决暴力犯罪。 目前还不清楚是否有任何未经授权的资料被执法部门搜索过。然而,Moore告诉BuzzFeed News,她的团队负责迄今为止通过基因谱系对犯罪嫌疑人进行的大部分鉴定,当时处于离线状态。她表示:“我们没有看到任何不该看到的东西。” 在最初的黑客攻击之后,GEDmatch的正常服务曾短暂恢复,但在7月20日,Moore注意到所有档案的权限又被调换了,这次是阻止了整个数据库中的执法搜索,但却让标记为 “研究 “的档案变得可见,而这些档案本应在所有搜索中被隐藏。 网站很快就被下线了,取而代之的是一条信息。“gedmatch网站已被关闭进行维护, 目前没有ETA。” “我们正在与一家网络安全公司合作,进行全面的取证审查,并帮助我们实施最佳的安全措施。”Verogen在第二次事件发生后发布的声明中说。 这次泄露事件让Verogen很尴尬,7个月前Verogen收购该网站时,用户希望它能为基因隐私带来更专业的方法。在Verogen之前,GEDmatch由两位业余家谱爱好者Curtis Rogers和John Olson创立并运营。不过,该公司的声明还是让用户放心:”没有用户数据被下载或泄露”。 这一结论在7月21日受到质疑,当时家谱网站MyHeritage警告其客户,那些在GEDmatch拥有账户的人被一封钓鱼邮件盯上了,该邮件将他们发送到一个域名为myheritaqe.com的虚假登录页面–该页面将MyHeritage中的 “g “替换为 “q”–以获取他们的用户名和密码。 “由于GEDmatch在两天前遭遇了数据泄露,我们怀疑肇事者就是通过这种方式获得了他们的电子邮件地址和姓名,以进行这种滥用行为,”MyHeritage在一篇博客文章中指出。 “我们发现,其中有16人已经成为该网站的受害者,并在其中输入了密码。到目前为止,这个数字可能更高。我们试图分别联系这些用户,警告他们再次更改密码,并在MyHeritage上设置双因素认证。”该公司表示。 与GEDmatch不同,MyHeritage不允许其数据库被警方使用。但没有证据表明这些黑客是由警察实施的,他们试图颠覆对执法搜索的限制。目前黑客攻击的动机尚不清楚。   (稿源:cnBeta,封面源自网络。)  

Twitter 怕再遭调查 主动向欧盟报备黑客攻击事件

新浪科技讯 北京时间7月22晚间消息,据国外媒体报道,在遭遇公司历史上最严重的安全破坏事件数日后,Twitter主动向欧盟数据保护机构报备该事件。 欧盟数据保护机构“爱尔兰数据保护委员会”(DPC)发言人格雷厄姆·多伊尔(Graham Doyle)今日称,该监管机构已收到关于这一事件的通报。DPC是Twitter和其他美国科技公司在欧盟的主要监管机构,因为这些公司的欧洲总部都设在爱尔兰。 当前,Twitter正在努力应对这一最严重的安全事故。Twitter上周三晚间宣布,黑客通过获得Twitter员工凭证的控制权,劫持了包括民主党总统候选人乔·拜登(Joe Biden)、前总统巴拉克·奥巴马(Barack Obama)、真人秀明星金·卡戴珊(Kim Kardashian)和科技亿万富豪兼特斯拉创始人埃隆·马斯克(Elon Musk)在内的账户。 Twitter随后又表示,黑客此次共锁定130个帐号,通过重置密码控制了其中的45个账号,并通过它们发布了“推文”(Twitter消息)。另外,Twitter还证实,攻击者成功地操纵了一小部分内部员工,并利用他们的凭证访问Twitter的内部系统。 2018年5月,欧盟新的数据隐私法规《通用数据保护条例》(GDPR)正式生效。同年10月,Twitter就在欧洲遭到了有关用户数据跟踪的调查。这也是GDPR生效之后,Twitter首次遭遇调查。(李明)     (稿源:新浪科技,封面源自网络。)

Tellyouthepass 勒索病毒携带永恒之蓝攻击模块袭击内网,已有企业受害

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/DN93VBJprCrugxyIkEEHqg 一、概述 腾讯安全威胁情报中心在例行风险文件排查过程中,发现Tellyouthepass勒索病毒变种活跃。攻击者利用压缩工具打包exe的方式,将ms16-032内核提权漏洞利用模块、永恒之蓝内网扩散模块集成到勒索攻击包中,以实现内网蠕虫式病毒传播。若企业未及时修补漏洞,可能造成严重损失。 众所周知,WannaCry病毒事件就是勒索病毒利用永恒之蓝漏洞进行蠕虫化传播制造的网络灾难。只是幸运的是,永恒之蓝漏洞毕竟已经修补3年多了,未修复该漏洞的Windows系统只占少数。 查看Tellyouthepass勒索病毒用于交易的比特币钱包地址,发现近期已产生多笔交易,钱包当前余额0.69比特币。由于该勒索病毒使用了RSA+AES的方式对文件进行加密,被病毒加密后文件暂无法解密。同时具备蠕虫病毒攻击能力的勒索病毒极易在存在弱点的企业内网广泛传播,我们提醒各政企机构高度警惕。腾讯电脑管家、腾讯T-Sec终端安全管理系统均可查杀Tellyouthepass勒索病毒。 腾讯安全全系列安全产品针对Tellyouthepass勒索病毒的响应清单如下: 应用场景 安全产品 解决方案 威胁 情报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Tellyouthepass勒索病毒相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Tellyouthepass勒索相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Tellyouthepass勒索网络相关联的IOCs已支持识别检测; 2)下发访问控制规则封禁目标端口,主动拦截永恒之蓝漏洞MS17-010相关访问流量。 有关云防火墙的更多信息,可参考:https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持查杀Tellyouthepass相关联的传播利用模块,勒索模块; 2)云镜已支持永恒之蓝漏洞MS17-010的检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯漏洞扫描服务已支持检测全网资产是否受永恒之蓝漏洞MS17-010影响; 2)已集成无损检测POC,企业可以对自身资产进行远程检测。 关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)Tellyouthepass相关联的IOCs已支持识别检测; 2)已支持对利用永恒之蓝漏洞MS17-010协议特征进行识别检测。 关于T-Sec高级威胁检测系统的更多信息,可参考:https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)企业终端管理系统可查杀Tellyouthepass相关联的传播利用模块,勒索模块; 2)企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010入侵相关的网络通信。 3)企业终端管理系统可对系统内高危漏洞进行一键修复 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 完整攻击利用包是一个使用压缩工具打包的exe执行程序,运行后会首先执行其包中的run_update.bat脚本。 run_update.bat脚本则进一步以awindows_privedge.exe作为父进程启动其它两模块 awindows_privedge.exe为ms16-032内核提权漏洞利用程序,攻击者试图以SYSTEM权限执行其它攻击模块,从而达到勒索加密文件覆盖面更广,内网扩散攻击过程更稳定的效果。 Lantools_exp.exe是一个Python打包的exe程序,解包反编译后可知该模块为针对smb进行攻击利用的工具集,其中包含了对smb服务的远程探测,smb登录psexec命令执行,端口扫描,http服务搭建等功能,同时该工具包含了永恒之蓝漏洞高危漏洞(MS17-010)的攻击利用,该模块运行后将进行内网蠕虫扩散debug.exe病毒模块。 病毒使用开源的永恒之蓝漏洞利用攻击相关代码 https://github.com/mez-0/MS17-010-Python/blob/master/zzz_exploit.py https://github.com/pythonone/MS17-010/blob/master/exploits/eternalblue debug.exe文件依然为使用压缩包打包的可执行程序,执行后首先运行debug.bat,脚本随后启动windebug.exe执行。 windebug.exe模块为go语言编写的Tellyouthepass勒索病毒,病毒运行后会首先生成RSA-1024本地密钥对。 随后使用硬编码的RSA-2048-PulbicKey对本地生成的RSA-1024-PrivateKey进行加密,并Base64编码保存作为勒索信中的personid部分内容。 硬编码RSA-2048 PublicKey信息 加密时对每个文件随机生成AES-KEY和IV,共计0x30字节 使用本地RSA-1024-Public-Key将AES-Key和IV加密后保存到文件头,共0x80字节数据。 最终对文件使用AES-CFB128模式进行全部加密 加密完成后文件均被添加.locked扩展后缀,同时留下名为README.html的勒索说明信件,勒索新提示要求使用BTC进行交易,查看其使用的钱包之一地址可知,近期已进行过7次交易,钱包内当前余额0.699比特币。 三、安全建议 根据该勒索病毒的特性,腾讯安全专家建议相关企业和个人用户参考以下建议强化网络抗攻击能力,修复高危漏洞,避免内网遭遇攻击而造成无法挽回的损失: 企业用户: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。 7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 8、建议全网安装腾讯T-Sec终端安全管理系统(御点)(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、使用腾讯电脑管家或Windows Update扫描修复系统漏洞; 3、启用腾讯电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5 0a0d5d2d3c663c54a92cb11f7102eb39 4d087a11abc7ebd998ab1283676f7a97 08b94446162ed7a1a1b078d6ad5907f5 33aa4d88e79595b3a558ce205a331d43 62883c84dc55eb65fd713416957d8524 1992134d3f21def5de107f414b6b2067 cf89542ef0095543a46bb79f0e06fb3a fa3f30b22757cb0ce2148cbd3d1198dd    

Coinbase 称阻止了 1100 余名顾客跟 Twitter 黑客的交易

据外媒报道,加密货币交易公司Coinbase表示,其近日阻止了1100多名客户向Twitter黑客发送比特币。上周,这些黑客劫持了一些知名账户以此来宣传一场比特币骗局。Coinbase首席信息安全官Philip Martin告诉《福布斯》,如果Coinbase不采取这一措施,那么这些客户将总共会向黑客发送30.4比特币(目前价值约合27.8万美元)。 值得注意的是,这个金额是黑客通过受害者收集到的实际金额(12.1万美元)的两倍多。 Martin表示,尽管Coinbase采取了行动,但它的14名客户仍成为了骗局的受害者,在将其地址列入黑名单之前他们向黑客发送了价值约3000美元的比特币。 报告显示,Gemini、Kraken和Binance的用户也尝试过向这些地址发送比特币,但数量没Coinbase的多。所有这些交易所都在骗局曝光后立即采取行动封锁了这些地址。 据悉,这场影响广泛的攻击于美国当地时间周三发生在Twitter上,受到影响的名人包括前美国总统巴拉克·奥巴马、微软联合创始人比尔·盖茨和特斯拉CEO埃隆·马斯克等等。 区块链分析公司称,一些被盗的比特币已经被转移到了一些交易所和像芥末钱包(Wasabi Wallet)等这样的混合比特币商家。 Elliptic联合创始人兼首席科学家Tom Robinson告诉The Block:“我们可以看到非常少量的数据流向已知的、受监管的加密交换系统。”不过出于保密原因,他拒绝透露交易所的名字。但Robinson进一步表示,2.89比特币(占总金额的22%)被送到了芥末钱包中。 另一家区块链分析公司Whitestream告诉The Block,其中一个黑客的地址已经跟至少三个加密货币平台进行过交易。Whitestream联合创始人兼首席执行官Itsik Levy告诉The Block:“我们可以看到,一个地址跟数个数字货币支付处理器(CoinPayments,Coinbase,BitPay)相关的地址进行了联系。” 事实上,BitPay的一位发言人向The Block证实,在2020年5月,它的一个商户从一个Twitter黑客的地址汇出了25美元,而作为BitPay标准流程和程序的一部分,他们正在将可获得的细节信息风险给包括执法部门在内的相关方。 CoinPayments拒绝就此事置评,Coinbase也没有回复置评请求。 另一方面,Blockchain Intelligence Group表示,一些被盗的比特币被送到了Binance。 事实上,Binance的一位发言人向The Block证实–“一小部分比特币(相当于大约10美元)被发送到了Binance核心钱包的地址。看来他们(黑客)的举动是为了迷惑区块链的研究人员。” 此外,根据The Block Research获取的信息,被Kraken和Binance收购的印度加密货币交易所WazirX也收到了部分被盗的比特币。     (稿源:cnBeta,封面源自网络。)

警惕 BasedMiner 挖矿木马爆破SQL弱口令入侵挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/b9Nkl6q4xLoADNosP9jFkw 一、背景 腾讯安全威胁情报中心检测到针对Windows服务器进行攻击的挖矿木马BasedMiner。该挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会下载Gh0st远控木马对系统进行控制,还会利用多个Windows漏洞进行提权攻击获得系统最高权限,植入门罗币挖矿木马进行挖矿,目前已获利8000元。 因其远控模块名为based.dll,腾讯安全中心将其命名为BasedMiner。BasedMiner入侵后在企业服务器植入远控木马,可能导致受害企业机密信息泄露,挖矿时严重消耗服务器资源,会影响正常业务运行。腾讯安全专家建议企业检查纠正使用弱口令登录服务器,修复服务器存在的安全漏洞,避免挖矿团伙入侵。 腾讯安全系列产品应对BasedMiner挖矿木马的响应清单如下,建议企业网管参考检查: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)BasedMiner挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)BasedMiner挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)BasedMiner挖矿木马关联的IOCs已支持识别检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀BasedMiner相关后门程序; 2)已支持 MS SQL弱密码检测 ; 3) 已支持Windows系统提权漏洞CVE-2018-8639检测; 4)已支持Windows系统提权漏洞CVE-2017-0213检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)通过协议检测BasedMiner相关木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 非云企业安全防护 腾讯T-Sec终端安全管理系统(御点) 1)可查杀BasedMiner挖矿木马团伙入侵释放的后门木马程序; 2)腾讯御点可支持终端检查修复Windows提权漏洞(CVE-2018-8639)。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 攻击团伙对MS SQL服务器爆破成功后,会通过shellcode直接下载挖矿模块lsass.txt、提权攻击模块8639.exe、New.exe以及远控模块Test.txt。 远控模块Test.txt被保存至C:\ProgramData\svchost.exe并执行,从资源文件中获取二进制数据“0X64”,写入文件C:\Program Files (x86)\Common Files\based.dll并加载到内存执行。 将based.dll写入注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WcCemsvc_connection\Parameters,安装为服务” WcCemsvc_connection”进行启动。 该DLL为Gh0st远控木马模块,导出函数ServiceMain,首次加载时传入参数“install”进行安装,通过服务启动之后连接C2地址www[.]bjcptj.com:19966,执行各类远控命令。 8639.exe是Windows提权漏洞CVE-2018-8639利用程序,文件属性伪装成搜狗输入法安装程序(注意文件属于并无搜狗公司的数字签名,一看就知道这是伪造的)。 漏洞攻击程序作者为ze0r(https[:]//github.com/ze0r/CVE-2018-8639-exp) New.exe是Windows提权漏洞CVE-2017-0213利用程序。 lsass.txt是开源挖矿程序XMRig编译生成的挖矿木马,挖矿配置文件保存在资源文件“PEIZ”中,挖矿使用矿池pool.supportxmr.com:3333,门罗币钱包: 43TosPcYFbmi7GuQSQZhXHP5XhZ8K2w77XtvnP5m5pMGQGCmhgeq3ZTcBgrm62NZfzgG19fj5nEEZXoypbHHnm6SRJsLpKw BasedMiner目前已挖矿获得17XMR,折合人民币8000元。 IOCs Doamin www[.]bjcptj.com IP 221.212.96.254 Md5 Test.txt 97f35b7658f61380720073e86f2ada59 lsass.txt cfe6457baa60685a2f838e65705c02a1 new.exe f31a4049c6ed9f6f1395bbd5fc7c136f ju.exe c58cdbc08b03c24e6ae3647aeeeb2fe8 tu.exe aaabcbc46344b2e396a0f660c9d68724 8639.exe e8f0591076498c50e78504b4fb2055d3 URL http[:]//221.212.96.254:14563/8639.exe http[:]//221.212.96.254:14563/tu.exe http[:]//221.212.96.254:14563/ju.exe http[:]//221.212.96.254:14563/new.exe http[:]//221.212.96.254:14563/lsass.txt http[:]//221.212.96.254:14563/Test.txt http[:]//bjcptj.com/ju.exe http[:]//bjcptj.com:3215/8639.exe http[:]//bjcptj.com:3215/tu.exe

微软发警告:大规模 Emotet 正卷土重来,这次的目标是银行信息

据外媒报道,日前,微软发出警告,称大规模恶意软件运动正在目标对准终端用户的银行资料。微软指出,作为使用Emoter恶意软件新运动的一部分,大量带有数百个独特附件的电子邮件被发送给用户。据了解,Emotet银行木马最早是在2014年被安全研究人员发现的。 Emotet最初被设计成一个银行恶意软件,它试图潜入用户电脑并窃取其敏感和私人信息。该软件的最新版本则还增加了垃圾邮件和恶意软件发送服务,其中包括其他银行木马。 微软在报告中指出,该网络钓鱼活动已经沉默了数月,但最近却又卷土重来。新的运动则使用了长期的Emotet策略:带有链接的电子邮件或带有高度混淆的恶意宏的文件运行一个PowerShell脚本通过5个下载链接中下载有效负载。下载URL通常指向被攻击的网站,这正是Emotet的特点。 Emotet使用的功能可以帮助软件躲避来自一些反恶意软件产品的检测。Emotet使用类似蠕虫的功能来帮助其传播到其他连接的计算机上,而这有助于恶意软件的传播。这一功能使得美国国土安全部得出结论,Emotet是最昂贵、最具破坏性的恶意软件之一,它会影响到政府、私人部门、个人以及组织,每次清理都要花费超100万美元的费用。     (稿源:cnBeta,封面源自网络。)

英美加称俄罗斯情报机构正试图窃取新冠疫苗研究成果

英国、美国和加拿大政府指控俄罗斯国家情报机关以黑客方式入侵国际制药和学术研究机构,以期赢得研制Covid-19疫苗的竞赛。 目前尚不清楚研究机构是否受损,或疫苗项目是否因黑客行动受阻,但上述国家官员警告说网络攻击仍在进行中。 英国国家网络安全中心(NCSC)周四在一份出人意料的声明中表示,多个国家的疫苗和治疗部门成为攻击目标。但该机构没有列出受此影响的机构名称及数量。 英国指,实施黑客入侵的组织名为APT29,称其“几乎可以肯定”是俄罗斯国家情报部门的组成部分。该小组还被称为Cozy Bear或The Dukes,针对英国、美国和加拿大的疫苗研发组织。 NCSC称,恶意活动一直在进行,主要针对政府、外交、智囊机构、卫生和能源目标,旨在窃取有价值的知识产权。 俄罗斯否认涉及任何针对新冠病毒疫苗的黑客活动。克里姆林宫发言人Dmitry Peskov对彭博说:“我们不知道什么人可能黑入了制药公司和研究中心。我们只能说,俄罗斯与这些企图毫无关联。”     (稿源:新浪财经,封面源自网络。)

Twitter 公布最新调查进展:大约有 130 个账号遭到攻击

针对本周较早时候发生的大规模黑客入侵事件,推特在最新推文中持续更新了调查情况。在推文中表示大约有 130 个账号遭到攻击,而且这些被攻击的账号中有少部分账号被攻击者完全控制,然后通过这些账号发送推文。 推特表示目前正和受影响的账户进行交流的同时,在接下来几天中还将会继续展开本次事件的调查工作。推特将继续评估与这些帐户相关的非公开数据是否遭到破坏,如果确定发生了非公开数据,则会提供更新。 在调查期间,所有账号的下载推特数据选项依然是禁用的。此外推特还采取了多项积极措施来保护推特用户的账号安全。目前推特正在评估可能采取的长期措施,并会尽快分享更多细节。 美国中部时间 2020 年 7 月 15 日 14:00 左右,多个大 V 的推特账户出人意料地发布了有关比特币的消息,此事很快引发了许多网友和 Twitter 官方安全团队的警惕。 这些疑似被劫持的账号不约而同地宣称将以品牌或个人的名义向网友赠送比特币以“回馈社区”,但前提是先让网友将特定数量的比特币发送到给定的钱包地址,然后他们才会“双倍奉还”。 在一段相当混乱的时间内(半小时或更长时间),多个大 V 账号都被卷入了这场突如其来的比特币骗局。美国中部时间 16:45 左右,Twitter 官方支持账号终于对此事给予了回应。     (稿源:cnBeta,封面源自网络。)

Twitter 在黑客攻击前加紧寻找填补最高安全职位的人选

据路透社消息,Twitter公司最近几周加大了寻找首席信息安全官的力度,两位知情人士告诉路透社记者,周三发生的名人账户被入侵事件引起了人们对该平台安全性的警惕。美国联邦调查局旧金山分部正在领导对Twitter黑客事件的调查,它在一份声明中说,更多的华盛顿立法者要求对事件的发生进行说明。 执法机构表示,黑客在夺取了包括乔·拜登、金·卡戴珊、贝拉克·奥巴马和埃隆·马斯克在内的名人和政治人物的Twitter账户控制权后,实施了加密货币欺诈。漏洞发生一天后,虽然Twitter表示没有证据表明攻击者能够获取密码,但尚不清楚黑客是否能够看到账户持有人发送的私人信息。 该公司在一份声明中表示,正在继续锁定过去一个月内更改过密码的账户,但表示 “我们相信这些被锁定的账户中只有一小部分被泄露。” Twitter拒绝对寻找首席信息安全官人选一事发表评论。 为了表明这次攻击事件让美国立法者多么不安,民主党和共和党都表现出罕见的两党共识,即Twitter必须更好地解释安全漏洞是如何发生的,以及它正在采取什么措施来防止未来的攻击。“这次黑客攻击对11月的投票来说是个不祥之兆,”美国民主党参议员Richard Blumenthal在一份声明中说,他斥责Twitter “屡次出现安全漏洞,未能保障账户安全”。 众议院司法委员会的共和党议员Jim Jordan也有类似的看法,他问道,如果Twitter允许类似事件在11月2日,即美国总统大选前一天发生,会发生什么情况。 Jordan说,截至周四下午,他的推特账号仍被锁定。 白宫发言人Kayleigh McEnany表示,美国总统特朗普是一位经常发布推文的Twitter用户,他计划继续发推文,他的账户在攻击期间没有受到危害。她表示,白宫“在过去18小时内一直与Twitter保持联系”,以保证特朗普Twitter账号的安全。 Twitter表示,黑客的目标是能够进入其内部系统的员工,并 “利用这一权限控制了许多备受瞩目的(包括经过验证的)账户”。 其他被黑客攻击的名人账户包括说唱歌手“侃爷”坎耶·韦斯特、亚马逊公司创始人杰夫·贝佐斯、投资人沃伦·巴菲特、微软公司联合创始人比尔·盖茨(Bill Gates),以及Uber和苹果公司的企业账户。 这家自12月以来一直没有安全主管的公司表示,黑客对其员工进行了 “协调的社会工程攻击”。一些从外部研究此次黑客攻击的安全专家认为,可能有多个参与者参与其中。他们的理论是,对员工工具的访问,本应受到更严密的监控,但却在为了炫耀权利或金钱而对声望账户感兴趣的人中传播。它可能会进一步传播。 在调查此次事件的过程中,Twitter采取了一项非常措施,暂时阻止了许多经过验证的账号发布消息。这些被劫持的账户在Twitter上发布消息,告诉用户发送比特币。公开的区块链记录显示,明显的诈骗者收到了价值超过10万美元的加密货币。 截至周四,Twitter仍在继续屏蔽包含骗子所使用的比特币地址的推文。Facebook公司周三似乎在其Messenger服务上临时启用了类似的安全功能,但没有回应关于其是否也成为攻击目标的询问。 Twitter首席执行官杰克·多西周三表示,这对Twitter的每个人来说都是“艰难的一天”,并承诺 “当我们对具体发生的事情有了更全面的了解后,我们将分享一切”。多西的保证并没有缓解华盛顿对社交媒体公司的担忧,这些公司的政策受到了左派和右派批评者的审查。 担任众议院能源和商务委员会主席的民主党人Frank Pallone表示,该公司需要解释黑客事件是如何发生的。而美国众议院情报委员会就黑客事件与Twitter进行了接触。   (稿源:cnBeta,封面源自网络。)