安全快讯Top News

黑客因对 Daybreak Game 服务器发起 DDoS 攻击而被判入狱两年

据外媒MSPoweruser报道,曾于2013年年底和2014年年初对游戏开发商Daybreak Game Company(前索尼在线娱乐公司)发起DDoS攻击的Austin Thompson被判入狱两年,此外他需要向该公司支付至少95000美元的赔偿金。 23岁 Thompson于2018年11月对攻击事件认罪。他承认自己是黑客组织DerpTrolling的一员,并被指控造成“受保护计算机受损,触犯了美国联邦法律18USC§1030(a)(5)(A)”。 官方新闻发布称Thompson“通常使用Twitter帐户@DerpTrolling宣布即将发起攻击,然后发布”scalps“(截图或其他照片显示受害者的服务器已经被攻击)”。 虽然汤普森目前保释在外,但他已被命令于8月23日向当局投降,以便开始服刑。该最新最高可判处十年监禁和25万美元的罚款。 Polygon报告称,美国和芬兰的检察官也成功地确认了Lizard Squad的两名成员的定罪,Lizard Squad也在2014年对Daybreak Game Company进行了DDoS攻击。   (稿源:cnBeta,封面源自网络。)

美众议员正式要求 Facebook 搁置 Libra 加密货币项目

因担心 Facebook 新推出的 Libra 加密货币会被别有用心者利用和掩盖,美众议院民主党人、金融服务委员会主席 Maxine Waters 在该项目于上月宣布后不久,就已经提出了暂时搁置的要求,直到国会与监管机构有时间检查其可能对全球金融系统带来的潜在风险。今天,Maxine Waters 正式致信 Facebook 首席执行官 Mark Zuckerberg、首席运营官 Sheryl Sandberg、以及 Calibra CEO David Marcus 。 Libra 或构成危及美国与全球金融系统稳定的风险(via TheVerge) 除了 Maxine Waters,除了沃特斯之外,众议院财政小组委员会领导人也在这封信上署了名。其表示: 与其它加密货币、钱包、交易所一样,若类似的产品和服务不能得到适当的监管、漏洞被别有用心者利用和掩盖,或危及美国和全球金融系统的稳定。 除了参议院的民主党人,银行业主席 Mike Crapo 也计划于 7 月 16 日邀 Marcus 举行一场听证会,理由是担心加密货币及其带来的数据隐私风险。 对此,Facebook 发言人在周二表示,其期待与议员们合作推动新事物向前发展,包括在即将举行的众议院金融服务委员会听证会上回答他们的问题。 Waters 指出:由于 Facebook 用户数已达全球 1/4 的人口,因此 Facebook 及其合作伙伴必须立即停止实施计划,直到监管机构和国会有机会审查这些风险、并采取相应的行动。   (稿源:cnBeta,封面源自网络。)

抖音国际版正遭英国调查,或因违反 GDPR 被罚款 2260 万美元

7月3日消息,据国外媒体报道,就其如何处理年轻用户的安全和隐私问题,抖音短视频应用国际版TikTok正在英国接受调查。调查如果认定TikTok有问题,该短视频应用可能会遭遇2260万美元的罚款处罚。 据英国《卫报》(The Guardian)报道,英国信息专员伊丽莎白·德纳姆(Elizabeth Denham)当地时间周二向一个议会委员会表示,这款受欢迎的短视频应用可能违反了欧盟的《通用数据保护条例》(GDPR)规定:科技公司必须对儿童有不同的规定和保护。在美国联邦贸易委员会(FTC)以违反儿童隐私为由对TikTok作出罚款处罚后不久,英国于2月份开始也以侵犯儿童隐私为由对TikTok展开了调查。 德纳姆列出的问题之一是TikTok的开放消息平台,该平台允许成年人用户与儿童用户进行自由交流。“我们在关注用于儿童的透明化工具,”德纳姆对该议会委员会表示,“我们正在注意这种完全开放的短消息系统,关注儿童在网络上收集和分享的这些视频。我们现正在对TikTok开展积极的调查,以便弄清楚这一空间。” TikTok是字节跳动旗下公司,其核心用户大多数为青少年群体。但是,关于在将核心用户安全问题放在优先位置方面,TikTok正受到全球各地的批评。 来自英国慈善机构Barnardo的一份报告显示,犯罪者针对着只有8岁的目标用户,并且向其传递明确的性信息。尽管该短视频应用要求用户在13岁或13岁以上才能发布内容,但大多数年轻用户可以轻松绕过这一年龄门槛。在印度和印尼,这款短视频应用曾被短暂禁止,原因是担心它无法保护年轻用户群体免受掠夺者和施虐者的侵害。 据美国的新闻聚合网站Buzzfeed的一项调查显示,TikTok未能在自己的平台上推出针对性掠食者的应对策略,这导致用户自行采取了行动。他们制作呼叫视频,并蜂拥而至其他平台,向其他用户发出关于施虐者的提醒信息。 如果英国认为TikTok有问题,该短视频可能将面临高达营收4%的罚款处罚,也即高达1790万英镑(约合2260万美元)的罚款。(天门山)   (稿源:网易科技,封面源自网络。)

FTC 诉讼后 D-Link 同意加强智能家居产品的安全性

针对智能家用安防摄像头和无线路由器存在的安全风险,美国联邦贸易委员会(FTC)刚刚了结了与 D-Link 的诉讼。该机构周二表示,该公司已同意在产品发布前做好规划,完成应有的威胁建模、漏洞测试、以及软件安全计划。这场诉讼始于 2017 年,起因是 D-Link 路由器和 IP 摄像头存在安全漏洞,或导致用户私密信息(实时音视频)被黑客攻击或别有用心的第三方窥探。 (图自:D-Link,via Cnet) FTC 指出,D-Link 未能保障最基本的软件安全,例如测试和修复“众所周知且可预防的安全漏洞”—— 包括硬编码登录凭证、用 Guest 作为登录用户名、以及在设备和 App 上明文保存密码。 此外,D-Link 需要对安全漏洞展开持续监测、发布固件更新、并接受独立安全研究人员的漏洞报告。 根据 FTC 向美国加州地方法院提交的拟议和解协议,未来 10 年,D-Link 都需要获得由独立的第三方给出的双年度软件安全项目报告。   (稿源:cnBeta,封面源自网络。)

SQL 爆破、提权攻击成惯用伎俩,逾 500台 服务器被黑客控制

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/z3FWK4vqUBGsHwavNOGYIw   一、背景 腾讯安全御见威胁情报中心近期监测到黑产团伙针对MS SQL服务器进行弱口令爆破攻击,攻击成功后再利用多个提权工具进行提权,随后,攻击者会植入门罗币挖矿木马及anydesk远程控制软件长期占有该服务器。 该团伙攻击手法与今年4月曝光的“贪吃蛇”挖矿木马团伙比较类似,病毒挖矿的同时会封堵系统的135,139,445端口,防止已被自己攻占的系统再被其他黑产团伙入侵控制。该病毒团伙尚不能确定归属于“贪吃蛇”挖矿木马团伙,腾讯安全御见威胁情报中心将其命名为“贪吃蛇2号”。 “贪吃蛇2号”木马团伙主要危害MS SQL系统管理员使用弱密码的企业网络,一旦爆破入侵成功,会利用多个提权工具采取进一步的行动。我们的监测数据表明,“贪吃蛇2号”木马团伙已控制超过500台服务器。 腾讯安全专家建议企业网管尽快为服务器安装补丁,并停止使用弱口令,数据库服务器被黑客暴力破解再完全控制会导致企业计算资源被恶意挖矿、企业关键业务信息泄露,入侵者还可能通过这些被控制的服务器继续在内网攻击传播。受害企业可使用腾讯御点终端安全防护系统或腾讯电脑管家拦截清除此类病毒。 二、详细分析 黑客通过MS SQL爆破入侵服务器,入侵成功后第一个步骤就是提权,提权工具被放置在TQ.exe的资源中,共6个提权工具,分别用了2015年-2018年的典型提权漏洞,涵盖Windows Vista至Windows 10系统及Windows Server系统。 提权工具:MS15.exe WIN8.1提权漏洞,该漏洞是2014年9月30号google报给微软的,漏洞发生在chcache.sys驱动NtApphelpCacheControl函数,2015年1月公开POC。 提权工具:MS16_32.exe 2016年的提权工具,利用漏洞编号CVE-2016-0099 受影响系统 Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1 Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1 Windows 10 Gold 提权工具:MS17.exe 利用COM组件权限许可和访问控制漏洞,漏洞公布时间为2017年5月17日,漏洞编号CVE-2017-0213 受影响系统: Microsoft Windows Server 2016 0 Microsoft Windows Server 2012 R2 0 Microsoft Windows Server 2012 0 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows RT 8.1 Microsoft Windows 8.1 for x64-based Systems 0 Microsoft Windows 8.1 for 32-bit Systems 0 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 10 version 1703 for x64-based Systems 0 Microsoft Windows 10 version 1703 for 32-bit Systems 0 Microsoft Windows 10 Version 1607 for x64-based Systems 0 Microsoft Windows 10 Version 1607 for 32-bit Systems 0 Microsoft Windows 10 version 1511 for x64-based Systems 0 Microsoft Windows 10 version 1511 for 32-bit Systems 0 Microsoft Windows 10 for x64-based Systems 0 提权工具:MS18_32.exe 2018年的内核提权漏洞,部分Windows系统win32k.sys组件的NtUserSetImeInfoEx系统函数内部未验证内核对象中的空指针对象,普通应用程序可利用该空指针漏洞以内核权限执行任意代码。 受影响系统: Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for Itanium-Based Systems ServicePack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 R2 for Itanium-Based Systems ServicePack 1 Windows Server 2008 R2 for x64-based Systems ServicePack 1 提权工具:JuicyPotato TQ失败后,则会下载新的提权工具JuicyPotato,JuicyPotato是windows平台上的一个综合提权包,主要通过拦截加载COM组件加载前后的NTLM认证数据包进行攻击。 黑客启用的HFS服务器: EW.exe是著名的内网穿透工具Earthworm,主要做内网上线用,Lcx是内网端口转发工具,scan是一个端口扫描工具,配合Earthworm使用。 2019-5.exe是一个自解压文件,包含远控工具,进程管理,挖矿组件等,解压密码bing,目录列表: Kill.exe及PH64.Exe是进程管理工具,两者都属于内核级的进程管理工具,用以结束一些反病毒工具的进程,待结束的进程列表: 挖矿组件: 1_64N中包含了挖矿组件,使用了NSSM服务模块启动挖矿程序 服务名Networks 钱包: 438uqHTH7gqPfSBJhxpELTFqgafi4y48FJroP7MQ5r9DdvJqyMXnqWGa9YqtDiHueo3HnpRygtfEsc4EqQdrS1Y1EJpKBS9.AAA 矿池(私有矿池) p1.local.xmrrr.com:80 2_crontab.exe负责写入计划任务 计划任务名为“Windows Update“,名字具有较强迷惑性,正常的Windows Update不是以计划任务形式启动的,而是以服务形式启动。 木马入侵成功后会尝试关闭掉本机一些不必要的端口,防止已被自己攻占的系统再被其他黑产团伙入侵控制。 最终会在本机安装anydesk远控工具,并接收黑客的远程控制。 三、安全建议 1、加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。 2、修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。 3、企业用户可在服务器部署腾讯御点终端及时对服务器打补丁,防止这类木马利用windows提权漏洞,从而防范此类攻击。 对于已经中毒的企业和个人用户,除了使用杀毒软件清理此病毒外,还可做以下操作手动删除: 删除文件 c:\windows\fonts\system32\taskhsot.exe c:\windows\fonts\system32\svchost.exe c:\windows\fonts\system32\jbeta.bat c:\windows\fonts\system32\cmd.bat C:\windows\fonts\system.bat C:\\Windows\\reg\\smss.exe 删除注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe 删除计划任务 Windows Update IOCs url hxxp://220.125.217.130:1231/ 钱包 438uqHTH7gqPfSBJhxpELTFqgafi4y48FJroP7MQ5r9DdvJqyMXnqWGa9YqtDiHueo3HnpRygtfEsc4EqQdrS1Y1EJpKBS9.AAA MD5 aa6e101b549aa8f96b180142bef8700b d350bb49096e00c4e6de567614fdc590 d76e1525c8998795867a17ed33573552 89909ce04d28fa31ed9095116e4635c5 6afe1d47d90f1687a3053ebeaf06e8b8 8ccf1623d36136e51b2f282f0ee0ba1b 036f82700b985d8a50b2f60c98ab9d77 5b4fa0e875703efdba091706321951eb c5cb6e274c71243c084556b24eab9241 参考链接 https://mp.weixin.qq.com/s/3J84msMXXH8PPc-J0w8FPA

网络攻击事件发生后 美国海关与边境保护局已暂停与分包商合作

今年 5 月,美国海关与边境保护局(CBP)的分包商遭遇了一起“恶意网络攻击”,导致出入境旅客的照片信息泄露。本周二,《华盛顿邮报》报道称,该机构现已暂停了为其制作车牌扫描仪和其它监控设备的 Perceptics 联邦政府合同。6 月 12 日,CBP 证实该分包商违反政策,将收集到的车牌和出入境旅客照片副本转移到了企业网络中。 (via Cnet) 后来这家分包商的企业网络遭受了黑客攻击,导致 10 万名在 1.5 个月时间里驾车出入美国某个陆地边界特定车道的人们受到影响。联邦纪录指出,CBP 官员怒斥该分包商的行为缺乏商业诚信。 尽管出入境旅客的护照和旅行证件照片未在网络攻击中曝光,但 6 月晚些时候,黑客窃取了 Perceptics 敏感的 CBP 数据,包括与政府机构签订的合同、预算电子表格、甚至 Powerpoint 演示文稿。 (GSA 记录) 该机构一直努力在美国多个机场的登机口处扩大使用被称作生物识别出口的面部匹配系统,但 ACLU 高级立法法律顾问 Neema Singh Guliani 在一份声明中称: CBP 一直希望扩大人脸识别设备的部署,从旅行者那里收集敏感的信息(包括车牌和社交媒体 ID),但这一违规事件无疑打击了各方面的信心。而避免个人信息泄露的最佳方法,就是不采集、不保存。 此外,参议员 Rick Scott 要求代理国土安全部部长 Kevin McAleenan 回答究竟发生了什么:“美国人民有权利知道他们的个人信息是如何被使用的,做不到完全透明,是绝对不可接受的”。   (稿源:cnBeta,封面源自网络。)

Cloudflare 再次爆发故障 DownDetector 网站亦受到影响

受互联网基础设施服务提供商 Cloudflare 故障影响,目前已有许多网站遭遇了宕机,最明显的就是在访问时提示 502 网关错误。此前,Cloudflare 已经汇报 Discord、OKCupid、Peloten、Feedly 和 CoinDesk 等网站服务离线。但最讽刺的,莫过于通常用于检查 Web 服务中断的 DownDetector 站点也受到了影响。 (截图 via TheVerge) Cloudflare 首席执行官 Matthew Prince 在某条推特底下表示,本轮宕机事件并非黑客攻击所引发,而是服务器超载了。他写到:“由于 CPU 使用量激增,导致主系统和备份系统出现了崩溃”。 受本轮宕机事件影响,加密货币交易所 CoinDesk 显示了不正确的报价,错误地将比特币价格压低到了 26 美元(BTC 在今年 6 月份飙到了 10000 美元以上)。 Prince 后来在 Cloudflare 博客文章中解释称,CPU 峰值使用率超载是由于软件部署的不良导致的。该公司预计网站受影响的时间在 30 分钟左右,但在执行回滚操作后已陆续重新上线。 不过,与 6 月 24 日发生的宕机事件不同,那一次 Prince 声称是 Verizon 的网络问题才导致了故障的发生。   (稿源:cnBeta,封面源自网络。)

行业组织称苹果 ID 登陆第三方有漏洞,必须加以修复

网易科技讯 7月2日消息,据国外媒体报道,一行业组织声称,苹果最新的登录功能Sign in with Apple允许用户使用Apple ID登录网站和应用程序,这一功能存在严重的隐私和安全漏洞,必须加以修复。 OpenID基金会是一个非营利组织,其成员包括谷歌、PayPal和微软。该组织运行跨网站验证个人身份的行业标准OpenID Connect,和苹果登录功能相似,可以使用同一密码进行身份验证。 据该组织称,Sign in with Apple功能与OpenID Connect有一些相似之处,但并不完全符合行业标准。OpenID基金会发给苹果公司负责工程的高级副总裁克雷格·费德里吉(Craig Federighi)的一封信中说,这个问题可能会让人们面临“更大的安全和隐私风险”。 OpenID基金会主席Nat Sakimura在信中表示:“目前OpenID Connect和Sign in with Apple之间的一系列差异缩小了用户使用Sign in with Apple的范围,并使他们面临更大的安全和隐私风险。” Sakimura表示,苹果尚未推出的这种单点登录功能,也给开发者带来了“不必要的负担”。他们必须使用OpenID Connect标准,并了解苹果登录功能的不同之处。 OpenID基金会要求苹果加入该组织,并遵守行业标准。一份描述行业标准与苹果产品之间差异的文件详细列出了一系列必要的代码更改,以“解决这些差异”。 网络安全公司Mimecast威胁情报主管弗朗西斯·加夫尼(Francis Gaffney)表示,OpenID表明了人们对潜在安全风险的切实担忧。 加夫尼表示:“鉴于黑客对潜在漏洞的查找力度加大,发现并利用这些’差异’只是时间问题。” 苹果没有立即回应置评请求。该公司正在大力宣传Sign in with Apple,将其作为隐私意识强的用户登录所喜爱网站的一种方式。苹果表示不会与应用程序开发商分享不必要的数据。 Sign in with Apple还没有公开发布,然而任何一个iPhone用户都将会在自己最感兴趣的应用中看到这一功能选项。因为苹果要求提供其他单点登录功能的应用开发者也必须支持Sign in with Apple。   (稿源:网易科技,封面源自网络。)

工信部:网易考拉、小红书、饿了么等未经用户同意收集个人信息

7月1日,工业和信息化部(以下简称工信部)网站发布《工业和信息化部关于电信服务质量的通告(2019年第2号)》,对100家互联网企业106项互联网服务进行抽查,发现18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题(详见附件1),已责令相关企业整改。 其中,小红书、猎豹浏览器、饿了么、网易考拉、神州租车等多个App及网站存在未经用户同意收集个人信息的问题。 具体名单如下:   (稿源:工信部网站,封面源自网络。)

2019 年 7 月 Android 安全补丁发布:共计修复 33 处安全漏洞

面向所有尚处于支持状态的Pixel设备,谷歌于今天发布了2019年7月的Android安全补丁,在修复近期曝光的诸多安全问题之外还添加了各种功能改进。本次安全补丁共有2019-07-01和2019-07-05两种安全级别,共计修复了33处安全漏洞,涉及Android系统、框架、库、媒体框架以及包括闭源部分的高通组件等。 在安全公告中写道:“本月修复的安全漏洞中最严重的问题就是媒体框架中的一个关键安全漏洞,它能够让远程攻击者使用特制的文件来执行包含特权进程的任意代码。对该漏洞的严重性评估是基于该漏洞对设备的影响程度而划定的。” 除了安全更新之外,2019年7月的Android安全补丁还修复了Pixel设备上报告的诸多BUG。例如,改善了Pixel 2、Pixel 2 XL、Pixel 3、Pixel 3 XL、Pixel 3a、Pixel 3a XL上的“OK Google”热词和音乐检测功能,并且修复了Pixel 3和Pixel 3 XL上的开机卡死问题。 此外,谷歌还修复了Pixel 3,Pixel 3,XL,Pixel 3a和Pixel 3a XL在EDL模式卡死在黑屏上的问题;在Pixel,Pixel XL,Pixel 2,Pixel 2 XL上改进了对Unicode日语支持;在Pixel 3,Pixel 3 XL,Pixel 3a和Pixel 3a XL设备上改进了Titan M模组的性能。 2019年7月的Android安全更新现面向所有支持的Pixel设备推送,包括Pixel 2,Pixel 2 XL,Pixel 3,Pixel 3 XL,Pixel 3a和Pixel 3a XL。此外Essential、索尼等其他主要手机厂商也会在近期内为用户提供。 访问:https://source.android.com/security/bulletin/2019-07-01.html   (稿源:cnBeta,封面源自网络。)