安全快讯Top News

WannaCry 勒索软件 “开关 ”域名正遭受 DDoS 攻击

过去一周,勒索软件 “ WannaCry ” 给全球许多使用旧版 Windows 操作系统的机构和普通用户带来了惨痛的经历。尽管微软早于 2017 年 3 月发布了安全补丁,但仍有许多未及时更新的用户中招。如果不能在限定时间内支付等值 300 美元比特币的赎金,他们只能眼睁睁地看着被加密的资料丢失。万幸的是,一位名叫 Marcus Hutchins 的研究人员,通过某个 “开关” 域名成功阻止了该恶意软件的传播。 其在分析恶意软件代码后发现,被 WannaCry 感染的计算机会尝试与某个 “ 由一长串无意义字符组成的域名 ” 通信。于是在好奇心的驱使下,白帽黑客尝试注册了该域名,结果竟然意外阻断了该恶意软件的传播。不过最新消息是,幕后黑手仍然试图让 WannaCry 死灰复燃,其策略是利用各种可能的手段来攻击上文所述的这个 “ 域名 ”—— 比如分布式拒绝服务(DDoS)攻击。 据有关媒体报道,僵尸网络已经向这个 “ 开关域名 ” 发起了一波又一波的 DDoS 攻击。当前我们暂不知道幕后主使的身份,但有研究人员认为这是一帮以牺牲无辜者的利益来取乐的人。最后,某位法国安全研究人员在几天前找到了一个或许有助于修复被 WannaCry 勒索软件加密文档的方法,并且推出了一款名叫 “ wannakiwi ” 的工具。 稿源:cnBeta,封面源自网络

朝鲜否认与 WannaCry 勒索软件攻击活动有关

朝鲜常驻联合国副代表金仁龙(音)19 日在纽约联合国总部举行的新闻发布会上表示,朝鲜与近期发生的大规模勒索软件攻击事件无关。同时他还表示,朝美两国对话的前提必须是美国停止对朝鲜的敌视政策。 美国媒体 16 日曾报道,情报官员和私企安全专家根据新数字线索表明,近期发生的大规模勒索软件攻击事件的嫌疑人或与朝鲜黑客组织有关,但仍缺乏决定性证据。 赛门铁克安全专家表示,WannaCry 勒索软件早期版本所用的一些工具,曾被用于攻击索尼影业,还曾在去年被用于攻击孟加拉国央行,也在今年 2 月份被用于攻击波兰的一家银行。该公司根据过去曾准确识别美国、以色列以及朝鲜发起的攻击发现,这些攻击活动中存在相似之处,致使所有攻击源头最终指向朝鲜。 不过,单凭这些线索尚不足以得出结论,因为黑客组织常常相互“借用”工具代码、翻新攻击方法。此外,一些有国家支持的黑客组织也会故意在代码中植入混淆信息,以蒙蔽取证调查人员。 稿源:据 观察者 内容整理,封面源自网络

维基解密最新爆料:CIA 间谍软件 “ Athena ” 可远程劫持所有 Windows 系统

据外媒报道,继美国中央情报局( CIA ) 勒索软件工具 AfterMidnight 与 Assassin 在线曝光后,维基解密再度泄露其间谍软件 Athena 文档,旨在揭示  CIA 可感染并远程监控所有 Windows 版本用户系统。 微软于 2015 年 7 月发布 Windows 10 系统,而间谍软件 Athena 最早可追溯至 2015 年 8 月,由开发人员采用 Python 程序编写。 间谍软件 Athena 是 CIA 开发人员与网络安全公司 Siege Technologies 共同合作的结果,具备实时修改目标系统配置并可制定特殊操作的功能。维基解密声称,用户一旦下载安装恶意软件 Athena 后,系统将自动加载执行特定任务的恶意 payloads、传送和检索指定目录的文件内容。 目前,虽然维基解密并未提供有关 CIA 使用间谍软件 Athena 开展监控活动的任何细节,但不难想象 CIA 会如何使用此程序监视目标系统。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

汇丰银行语音识别系统存在漏洞,可通过模仿声音绕过验证、获取账户信息

据 BBC  20 日报道,香港知名企业汇丰银行( HSBC )的一个客户 Dan Simmons 与其孪生兄弟发现银行语音识别系统存在漏洞,可通过模仿目标用户的声音进行身份验证并获取账户信息。 汇丰银行于 2016 年推出语音识别 ID 系统,要求客户设置人体声音为登录凭证,以便使用手机银行时可快速核实身份并授权访问帐户信息。汇丰银行表示,其语音识别系统可在数秒内分析客户声音并检查超过 100 种行为举止与身份特征(包括嘴巴的大小、形状、谈话的速度以及言语的表达),以便匹配客户原始录音并允许使用手机银行登录。 BBC 报道称,Dan Simmons 在设立汇丰语音身份验证帐户后,弟弟 Joe 经过 8 次尝试、成功通过帐户详细信息、出生日期及简单的谈话访问了 Dan 汇丰帐户。虽然 Joe 无法从账户中提取任何资金,但他可获取账户余额、近期交易及转账信息。 汇丰银行表示,已在第一时间对系统进行了审查,并限制客户在被阻止访问之前只可进行三次语音 ID 识别检测。此外,该负责人还表示,就目前而言语音识别系统依旧是认证客户最安全的方法之一,该技术的引入不仅比 PIN 或密码验证安全可靠,还可大大减少电话欺诈行为。 原作者: Hyacinth Mascarenhas, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Synaptics 研发端到端加密的指纹传感器

Synaptics 本周进行了有趣的演示,在短短的几分钟内,用户指纹图像被盗窃并被复制,它被用来访问用户的智能手机和笔记本电脑或任何带有指纹传感器的其他设备。Synaptics 指出,在庞大的设计中,指纹传感器和主机之间的链接并不总是加密。 在本周的演示当中,Synaptics 采用先进的中间人攻击,它捕获了两个可用笔记本上的指纹传感器数据,并将数据无线传输到另一台机器,用于创建用户指纹的物理拷贝。然而,拷贝可以使用配有通用导电油墨的现成喷墨打印机在照片纸上打印出图像用于攻击。 为了详细演示这种攻击,Synaptics 创建了一个小型设备,包括大约 25 美元的组件,可以在线上获得,这些组件位于指纹传感器和几台笔记本电脑的主机之间。该微型设备由微控制器和任何指纹发送器组成,并且对于主机是不可见的。除了捕获和传输初始指纹数据之外,它还允许攻击者通过物理打印出来的指纹导电油墨图像,来访问受害者的个人智能手机。 现在,Synaptics 正在推广其 SentryPoint 技术,该技术为指纹认证提供端到端的安全性。 稿源:cnBeta,封面源自网络

几乎所有的 WannaCry 受害者运行的是 Windows 7

根据卡巴斯基实验室通过其 Twitter 账号公布的数据,几乎所有的 WannaCry 受害者运行的是 Windows 7。 不同版本的 Windows 7 占到总感染系统的接近 98%, Windows XP 和 Windows 10 比例不到千分之一,其余主要是 Windows 2008 R2 Server。 Windows 7 是市场占有率最高的桌面操作系统,但其感染率显然不成比例的高。已经停止支持的 XP 并没有以前认为的那么令人担忧,微软是在勒索软件开始广泛传播之后紧急为 XP 释出了免费修复补丁。 稿源:solidot奇客,封面源自网络

德国政府修正案在线泄露,公正执法与隐私保护孰重孰轻

德国知名博客 Netzpolitik 于本月 17 日在线公布一份经泄露的政府修正法案,其内容指出德国政府允许执法机构在包括 制造假币、洗钱、重大贿赂、性侵、儿童色情图片传播等 27 种不同类型的刑事案件中使用恶意软件 Staatstrojaner 绕过加密机制调查犯罪行为。 德国政府及基督教民主联盟( CDU )、基督教社会联盟( CSU )与德国社会民主党( SPD )长期以来一直致力于刑事司法改革。然而,随着 9 月联邦选举的日益临近,政府似乎不再满足于采用传统的窃听手段,而是选择通过扩大执法机构的黑客力量入侵公民智能手机与电脑展开更多类型的犯罪调查。尽管德国联邦宪法法院早已声明此类调查机制仅用于危及公民生命的极端情况。 德国联邦议院相关人士透露,政府计划于六月底前正式提交修正案,以便在大选来临之前通过该项立法。对此,负责起草法律与修正案的司法部拒绝置评。此类事件并非首次在德国引发热议,Chaos Computer Club 白帽社区早于 2011 年就曾透露德国政府利用恶意软件拦截 VoIP 通信。 原作者:David Meyer ,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

土耳其将建立 “ 网军 ” 应对各项网络安全威胁

据外媒报道,土耳其交通、海事及通信部长 艾哈迈德·阿尔斯兰 于 18 日表示,土耳其将建立一支强大的 “ 网军 ” ,以应对波及全球的勒索病毒及其他网络安全威胁。 阿尔斯兰在接受当地媒体《 自由报 》采访时说,目前土耳其有 1.3 万名网络安全人员在公共部门就职。政府还将加大网络安全投入,建设一支由五个团队组成的强大 “ 网军 ”。此外,他还表示,勒索病毒在全球蔓延以来,土耳其尚未受到较大程度影响。这得益于监管部门及时发出预警,在勒索病毒寻找目标进行文件加密时,所有机构和组织暂时关闭了主数据库。 阿尔斯兰同时提醒,该病毒可能在未来一段时间里以变种的形式造成新一轮的威胁,计算机用户应及时升级防病毒程序。 稿源:cnBeta,封面源自网络

蠕虫病毒 BlueDoom 通过 NSA 多款黑客工具肆意传播

继勒索软件 WannaCry 席卷全球后,一种新型蠕虫病毒 BlueDoom(EternalRocks)再度来袭,可通过利用 EternalBlue 等多款 NSA 黑客工具开展大规模网络攻击活动。 安全公司 HEIMDAL SECURITY 研究人员在分析 BlueDoom 样本后表示,黑客疑似将一系列不同的黑客工具整合成一套数字化武器,用于开展长期网络攻击活动。目前,BlueDoom 似乎正在为未来的网络攻击搭建一座发射台。 蠕虫病毒 BlueDoom 感染用户设备后将陆续进入休眠 24 小时以及连接 TOR 网关两个阶段。调查显示,为确保第一阶段 payload 不会在目标客户端或服务器上多次运行,BlueDoom 将会创建互斥量  BaseNamedObjects \ {8F6F00C4-B901-45fd-08CF-72FDEFF} ,并将 TOR 安装组件作为 C&C 通信信道接受第二阶段 payload。此外,payload 还适用于 32 位与 64 位 的 Windows 系统。 安全研究人员建议用户通过创建具有上述互斥量的进程来防止 BlueDoom 运行;目前,Heimdal PRO 与 Heimdal CORP 已阻止 TOR 网关和 C&C 域名,以防设备下载主要感染组件。 原作者:ANDRA ZAHARIA ,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Adylkuzz :一个将可能比 WannaCry 还要可怕的恶意软件

近期,WannaCry 勒索软件肆虐全球。如果你认为这波网络攻击已经足够猛烈,那么你就错了。据外媒报道,下一波恶意软件 Adylkuzz 网络攻击活动即将来袭。不过,不同于其他勒索软件通过锁住设备牟取利益, Adylkuzz 是通过将各个设备变成僵尸网络军队的奴隶来为自己牟取利益。 Proofpoint 安全研究员指出,成千上万被感染的计算机将被转化成跟比特币类似的虚拟货币– Monero 的挖矿工具,而恶意软件 Adylkuzz 则通过跟 WannaCry 一样的服务器 — EternalBlue 展开传播。一旦该恶意软件进入计算机系统,它能够下载指令、挖矿机器人以及清除工具。据悉,Proofpoint 最早于 4 月 24 日发现此类攻击活动,但由于它于暗处操作,所以直到 WannaCry 席卷全球之后它才慢慢浮出水面,而许多用户目前甚至完全不知道自己所用设备已经遭到该恶意软件的网络攻击。 据了解,当感染 Adylkuzz 之后,电脑的性能就会出现下降的情况。此外,特定的一些 Windows 资源也将无法进行访问。据 Proofpoint 披露,在其中一个攻击中,一名黑客可以利用该恶意软件在感染设备上为自己赚取 2.2 万美元。 安全专家预测,Adylkuzz 的传播范围在未来甚至会比 WannaCry 还要广泛。而跟 WannaCry 一样的是, Adylkuzz 攻击的对象主要也是过时的系统设备。对此,安全研究人员建议用户将电脑的系统升级到微软推送的最新版,并禁用服务器消息块服务–当然前提是不需要它。 稿源:cnBeta,封面源自网络