安全快讯Top News

远程访问木马 jRAT 瞄准税务人员发起攻击

据外媒 17 日报道,垃圾邮件攻击者正在通过名为 “ IRS Updates.jar ” 与 “ Important_PDF.jar ” 的附件传播基于 Java 的远程访问木马 jRAT,主要攻击目标为税务人员。该木马一旦成功执行,攻击者即可获取被入侵终端访问权限。 互联网安全公司 Zscaler 在跟踪 jRAT 的过程中发现,上个月针对 Android 手机的部分攻击活动可能与木马 Loki 有关。Zscaler 安全研究员 Sameer Patil 表示,该恶意软件继续利用当前漏洞与相关事件引起不知情受害者注意并以此展开攻击。 2017 年 3 月,微软公布了一系列通过税务诈骗传播 Zdowbot 与 Omaneat 银行木马的网络钓鱼活动。4 月 18 日,也就是纳税期限的前一天,相关部门出示警告,为税务诈骗案高发季节再添波澜。 Patil 表示,用户一键点击即可成为 jRAT 木马受害者,使个人或企业网络陷于囹圄。据悉,jRAT 有效载荷能够从 C2 服务器接收命令,在受害者设备中下载与执行任意有效载荷,以悄悄激活相机拍摄照片的方式窥探受害者信息。尽管使用基于 Java 的 RAT 并非仅此一例,这款 RAT 与近期发现的其他 RAT(如利用 EPS 漏洞的 ROKRAT 以及针对 Android 设备的 SpyNote RAT )起到的作用形成对比。 Patil 指出某个 jRAT 样本利用的混淆级别——晦涩难懂、不易反编译。一旦收件人打开恶意 Java 归档( JAR )附件,VBScript 就会在 Windows “ %APPDATA% ”目录中放置一个名为 “ Retrive <Random number>.vbs ”的文件。随后,dropper 为现有防病毒软件或防火墙软件运行检查。研究人员表示,JAR 文件只是 jRAT 主文件的一个 dropper 与 decrypter,基本上包含了加密形式的 jRAT 样本。具体加密通过嵌入式 AES 密钥实现,而该 ASE 密钥则通过 RSA 密钥进行加密。 调查表明,攻击者利用包含机器人通信细节的加密配置文件与 C2 服务器进行通信,经由系统重启时自动启动的注册表项实现主机上的持久功能,通过硬编码 URL(workfromhomeplc[.]ru/dmp/PO%233555460.exe)下载其他恶意可执行文件,但 URL 在分析之时并不处于活跃状态。研究人员指出,URL 也被用于承载 Loki 木马。 上个月,多家手机制造商生产的移动设备供应链被曝发现预先安装恶意软件,其中六台设备被查出感染 Loki 木马。 Loki 木马具有持久性机制,不仅可以通过广告展示产生收益,还可以拦截 Android 设备的通信与渗透数据。 原作者:Tom Spring,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

玩游戏要小心,日本黑客利用手游窃取机密

据彭博社报道,手游的流行让庞大的玩家群体成为黑客攻击的目标。日本出现了黑客伪装游戏促销进行钓鱼攻击的事件,并且黑客的目标并非玩家的帐号密码或个人信息那么简单,而是通过黑进手机进一步窃取玩家雇主企业的机密信息。一位日本科技公司的员工就因贪图便宜而不幸中招。玩家收到一封貌似《龙族拼图》(Puzzle & Dragons)游戏发来的邮件,邮件恭贺该玩家成为该游戏的首批玩家并声称将为前 100 名玩家提供的免费的 300 颗“ 魔法石 ”(游戏货币),点击信中链接即可领取。 安全软件公司 FireEye Inc. 的统计显示,网络犯罪分子开始流行用这种手段潜入企业员工手机,进而打入企业网络窃取机密。虽然确切受影响的企业数量并不清楚,但 FireEye Inc. 称每月有数百家企业受到威胁,并且这个数字还在上升。虽然这种“ 鱼叉式网络钓鱼 ”( spear phishing )攻击手段并不新鲜,但黑客们似乎发现模拟游戏促销的伎俩异常好使。《龙族拼图》已被下载超过 4500 万次。 FireEye 指出,虽然“魔法石”骗局的幕后黑手尚未得到确认,但有迹象显示可能来自中国和朝鲜政府支持的黑客。且攻击目标针对能源、化工和建筑领域的特定企业。 日本于 2014 年 11 月 颁布了《网络安全基本法》,并于次年成立了网络安全策略和事件应对国家中心( NISC ),但并没有法律条文要求公司披露受遭到的攻击,除非涉及到个人资料的丢失。 稿源:cnBeta 内容节选;封面源自网络

新型钓鱼手段预警:你看到的 аррӏе.com 真是苹果官网?

研究人员发现一种“几乎无法检测”的新型钓鱼攻击,就连最细心的网民也难以辨别。黑客可通过利用已知漏洞在 Chrome、Firefox 与 Opera 浏览器中伪造显示合法网站域名(例如:苹果、谷歌或亚马逊等),窃取登录或金融凭证等敏感信息。 说到辨别钓鱼网站的最佳方式,我们最先想到的是检查地址栏并查看网址是否已开启 HTTPS,然而,如果浏览器地址栏显示的是“www.аррӏе.com”,你是不是 100% 确信它是苹果官网呢? △ 网址 www.аррӏе.com 是 Wordfence 安全专家为演示漏洞而创建的欺诈网址,实际为域名“epic.com ”。 Punycode 网络钓鱼攻击 Punycode 是一种供 Web 浏览器将 Unicode 字符转换为支持国际化域名( IDN )系统 ASCII( AZ,0-9 )有限字符集的特殊编码。例如,中文域名 “ 短.co ” 在 Punycode 中表示为“ xn--s7y.co ”。通常情况下,多数 Web 浏览器使用“ Punycode ”编码表示 URL 中的 Unicode 字符以防御 Homograph 网络钓鱼攻击。 研究人员表示,上图演示的漏洞依赖于 Web 浏览器仅将一种语言的 Punycode URL 作为 Unicode 的事实(如仅限中文或仅限日文),而对于域名包含多种语言字符的情况则无效。这一漏洞允许研究人员注册一个在所有存在漏洞的 Web 浏览器(如 Chrome、Firefox 与 Opera )上显示为 “ apple.com ” 的域名 xn—80ak6aa92e.com ,并绕过保护措施。 换句话说,你以为看到的是苹果官网 “apple.com”,实际上它是网站“xn—80ak6aa92e.com”,也就是“epic.com”。不过,经过小编们的大胆尝试发现,这一钓鱼网址在微信上并不管用。 △ 网址一模一样是吧?然而假网址“www.аррӏе.com” 在微信上不会显示蓝色链接 不过,大家可以放心,IE、Microsoft Edge、Safari、Brave 与 Vivaldi 浏览器上面并不存在这个漏洞。 Google 即将推出补丁,Mozilla 还在路上 据悉,研究人员已于今年 1 月向受影响浏览器厂商(包括 Google 与 Mozilla )报告此问题。目前,Mozilla 仍在讨论解决方案,而 Google 已在 Chrome Canary 59 中修复该漏洞并将于本月末伴随 Chrome Stable 58 发布提供该漏洞的永久性修复补丁。 对此,安全专家建议用户在 Web 浏览器中禁用 Punycode 支持,并对网络钓鱼域名加以识别的做法以暂时缓解此类攻击造成的影响。 Firefox 用户缓解措施(不适用于 Chrome 用户) Firefox 用户可按照以下步骤手动申请临时缓解措施: 1. 在地址栏中输入 about:config,然后按Enter键。 2. 在搜索栏中输入 Punycode; 3. 浏览器设置将显示参数 IDN_show_punycode,通过双击或右键单击选择 Toggle 的方式将值从 false 改为 true。 然而,Chrome 或 Opera 不提供手动禁用 Punycode 网址转换的类似设置,因此 Chrome 用户只能再等几周获取官方发布的浏览器最新版本。 知道创宇 404 安全专家表示,倘若攻击者利用这一漏洞结合钓鱼邮件发至重要企事业单位,很有可能导致重要信息外泄。对此,专家们建议广大网民访问重要网站时选择手动输入网址,不要轻易访问未知网站或电子邮件中提及的任何链接,以防中招。 原作者:Mohit Kumar,译者:青楚,译审:游弋、狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Shadow Brokers 最新泄密暴露 NSA 与 Stuxnet 的可能联系

神秘黑客组织 Shadow Brokers 上周公开了一批新的 NSA 黑客工具和漏洞利用代码。安全研究人员在其中发现了 NSA 与 Stuxnet 蠕虫存在联系的证据,虽然证据并非确凿无疑。 Stuxnet 蠕虫被称为是世界上第一种数字武器,它设计破坏伊朗 Natanz 铀浓缩工厂的离心机,增加其故障率,放缓伊朗核武器发展脚步。Stuxnet 被认为由 NSA 和以色列合作开发。 赛门铁克的研究员 Liam O’Murchu 在最新曝光的代码中发现了 Windows MOF 文件的漏洞利用脚本,该脚本最早是在 Stuxnet 中发现的,之后被逆向工程加入到开源黑客工具 Metasploit 中,但 Shadow Brokers 公开的 MOF 文件漏洞利用工具的最后编译日期是 2010 年 9 月 9 日,早在脚本被加入到 Metasploit 之前。 其他安全研究人员也从中发现了 NSA 与 Stuxnet 存在联系的其他证据,如一个 ASCII 艺术图的名字叫 WON THE GOLD MEDAL,Stuxnet 行动的官方代号据称是 Olympic Games。 稿源:Solidot奇客;封面源自网络

外媒:朝鲜导弹发射失败或因美国网络攻击

随着美国总统特朗普 13 日强调了“处理”朝鲜“问题”的意愿,朝美关系紧张程度创下新高,平壤对这次试射寄予厚望。就朝方的意图,有观点认为,朝鲜试射导弹,意在对美国进行“武力示威”。 据法新社 4 月 16 日报道,美军太平洋司令部发言人戴夫·贝纳姆发表声明称:“夏威夷时间 4 月 15 日 11 时 21 分(北京时间 4 月 16 日 5 时 21 分),美军太平洋司令部发现了我们所认为的朝鲜导弹发射并对此保持关注。导弹几乎是一发射就爆炸了。” 对于朝鲜从东海岸发射导弹失败一事,美国总统特朗普非同寻常地保持了沉默。美国国防部长马蒂斯当地时间 15 日在华盛顿发表声明称,特朗普及其军事团队“已获悉朝鲜发射导弹失败一事,总统未就此事进一步评论”。 专家认为,美国可能利用电磁波传播或网络袭击对朝鲜导弹实施了“主动抑制发射”的攻击,其中包括影响导弹上的电子设备,干扰其指挥、控制或瞄准系统。   稿源:据 凤凰资讯 整理,封面源自网络

《速8》剧情成真:博世加密狗漏洞允许远程操纵汽车引擎

据外媒 16 日报道,以色列汽车网络安全公司 Argus 的研究人员发现,博世(Bosch)公司推出的 Drivelog Connector 电子狗与手机 APP 存在安全漏洞,甚至允许黑客远程关闭汽车引擎。      安全人员在模拟驾驶员通过蓝牙连接汽车时发现了这个漏洞。今年  2 月,Argus 就漏洞调查结果进行通报,博世安全响应团队( APIRT )也已联系 Argus 开始解决此类问题。 此次发现的安全漏洞主要有: 1、Drivelog Connector 加密狗与 Drivelog Connect 智能手机 APP 之间身份验证过程存在漏洞,致使 PIN 信息泄露。 2、Drivelog Connector 加密狗中的消息过滤器存在安全漏洞。 APP 和加密狗进行身份验证过程中存在的安全漏洞允许攻击者连接目标设备,研究人员在分析认证过程中发现,攻击者可暴力破解获得 PIN 信息,一旦设备之间建立连接,攻击者即可将恶意代码发送至 CAN 总线甚至不被驾驶员察觉。对黑客而言唯一的挑战是需要在目标车辆的蓝牙范围内进行操作。安全人员强调,同样的攻击可能对(使用这一产品的)绝大多数目标都凑效。 此外,Drivelog Connector 加密狗中的消息过滤器也存在安全漏洞,攻击者可以利用过滤器的 OEM 特定消息对车辆产生物理作用。 博世安全专家表示,目前已采取措施应对这些安全威胁。为进一步提高认证过程的安全性,官方也会尽快发布 APP 与加密狗固件的安全更新。 原作者: Pierluigi Paganini,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

“大型对撞机”攻击下的比特币钱包之困

Large Bitcoin Collider (“大型比特币对撞机”)组织声称已能够通过所谓的暴力攻击(将海量计算能力引至个体钱包的方式)猜测私钥、破解比特币钱包。该项目迄今已经进行数月,依赖类似于比特币本身的分布式计算机网络邀请对钱包破解收益具备潜在分享能力的任何人参与。 Collider(显然指代 Hadron Collider )主页“ 战利品清单 ”显示,该组织已成功破解十几个钱包,尽管其中三个不含任何比特币。目前尚不清楚该组织破解钱包的做法受经济收益还是加密挑战驱使。答案可能同时基于站点页面与外部观察者。 Collider 网站 Q&A 写着:“ 即便从 Internet Archive 等非营利机构抢夺一分一毛也会被视为不折不扣的混蛋。” 但同时也暗示其他钱包破解行为属于公平竞争,收益将在 Collider 参与者之间瓜分。与此同时,还有人认为破解钱包的做法着实可笑,Motherboard 就曾在 Large Bitcoin Collider 上率先发表此类言论。这种观点认为该项目不仅难度重重、收益寥寥,还经常得不偿失(如 Reddit 评论员所述)。但有些人推测该项目存在的意义并非为了抢夺大量钱包,而是从消失已久的早期比特币钱包入手找寻比特币发展脉络。 大约 10% 的比特币创建于 2012 年前,此后再无任何交易发生。如果有人找到早期消失的比特币私钥,就会获得高达十亿美元的巨额收入。根据 Hacker News 网站热帖推测,“ 中本聪 ”(无论真实身份到底是谁)或以此大赚一笔,或已尽数丢失早期比特币私钥。随着时间推移,第二种说法的可能性更大。 破解钱包的过程包含创建私钥(这些私钥长度往往达到几十个字符)以及对现有比特币地址进行尝试的艰巨工作。研究人员向 Motherboard 透露,Collider 目前已创建并校验了 3,000 万亿个私钥。截至目前,所有事件的合法性仍不明了。一方面,法律明确规定不得涉足抢夺钱财的阴谋活动。但从另一方面来看,如该组织网站宣称,“ 搜索私钥碰撞信息属合法行为。” 对于比特币所有者而言,Large Bitcoin Collider 眼下针对私人钱包做手脚的几率甚小。但如果该过程还导致创建比特币通用哈希算法碰撞(长期使用的加密标准 SHA-1 就发生过类似问题,曾于今年被谷歌破解),将会造成不小的麻烦,尽管有读者指出比特币加密算法可进行升级。 原作者:Jeff John Roberts,译者:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

中移动称发现“ 彩信推广 ”病毒,数万用户已中招

17 日,中国移动对外宣布,近日发现数万名安卓手机客户感染了一种“ 彩信推广 ”类手机恶意软件,造成话费损失。据介绍,该软件伪装成手机系统升级链接,诱导客户下载安装,用户下载后,将在手机应用列表增加“ Google 升级设置 ”或其他类似应用文件。 中国移动表示,用户一旦不小心安装该软件,手机就被会不法分子操控,连接恶意控制端地址获取不良内容和目标号码,并使用客户话费发送涉及淘宝代刷、赌博等不良内容的彩信。 中国移动称,中国移动手机恶意软件集中监控系统监测到该软件后,全网共拦截相关垃圾彩信近 10 万条,阻断恶意控制端地址访问次数达 200 万次,及时遏制了该类恶意软件的传播。 中国移动建议,广大客户进一步提高个人信息安全防护意识,不要点击短信中的可疑链接,即便是熟人发送的短信,也要先行确认;不随意接入陌生 WiFi,不轻易提供个人隐私信息;选择可信渠道下载手机应用。 稿源:cnBeta;封面源自网络

全球安全资讯一周速递

HackerNews.cc 与您一同回顾上周精彩内容 [国内要闻] 国家网信办就《个人信息和重要数据出境安全评估办法》征求意见 为保障个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,促进网络信息依法有序自由流动,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,网信办同相关部门起草了《个人信息和重要数据出境安全评估办法(征求意见稿)》,现向社会公开征求意见。有关单位和各界人士可在 2017 年 5 月 11 日前,通过信函或电子邮件方式提出意见。   [国际动态] NSA 机密文档再次泄露引发全球网络安全危机 当地时间 14 日晚,Shadow Brokers (影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,其中含有可远程破解全球绝大多数 Windows 系统的漏洞利用工具,甚至揭露 NSA 黑客曾入侵中东多国 SWIFT 银行系统。 “无文件攻击”威力初显:仅需一夜轻松窃走俄罗斯 ATM 80 万美元 黑客通过新型恶意软件 “ATMitch” 采用“无文件攻击”方式,一夜之间成功劫持俄罗斯 8 台 ATM 机窃走 80 万美元。卡巴斯基 2017 年 2 月就 “ATMitch” 恶意软件发布分析报告表示,黑客曾利用恶意软件 ATMitch 攻击 140 家机构,其中包括银行、电信公司与 40 余家政府单位。由于恶意软件 ATMitch 利用机器现有的合法工具远程发送命令以分配资金,所以只需几秒即可快速运行,致使清空 ATM 机而不留痕迹。 G20 全面加密互联网系统,力推数字化经济发展 国际互联网协会在给二十国集团(G20)经济领导人发表的博客中表示:为确保数字化世界发展、限制攻击者频繁访问执法相关部门,呼吁二十国集团全面加密互联网系统。互联网协会指出,强大的加密功能对于世界经济体的未来至关重要,这也是为什么它可以成为所有在线交易的规范标准。 七国集团(G7)联合发布网络空间安全的国家责任声明 七国集团( G7 )部长会议联合发布了一份关于网络空间安全的国家责任声明,鼓励所有国家在使用信息通信技术( ICT )时遵纪守法、互尊互助和建立相互信任的行为。 七国集团负责人表示这一声明是处于和平时期提出的一个自愿、非约束的规范标准。声明共计 12 个要点,旨在维护网络空间的稳定性与安全性,降低针对国际和平、安全与稳定的风险。 欧盟、北约国家成立新安全组织应对混合网络威胁 当地时间 11 日,部分欧盟国家和北约国家签署了一项在赫尔辛基建立应对网络攻击、政治宣传和虚假信息等情况的研究中心的协议。美国、英国、法国、德国、瑞典、波兰、芬兰、拉脱维亚、立陶宛都签署了这份《谅解备忘录 (Memorandum of Understanding) 》,并将在今年 7 月迎来更多其他成员国。主办国芬兰外交部长 Timo Soini 表示,该中心将以对提高混合网络威胁以及在混合威胁中被利用的网络漏洞的意识为目标。   [数据泄露] 知名搜索引擎 Ask.com 服务器日志意外公开,泄漏 237.9GB 搜索记录 4 月 7 日,知名英文搜索引擎 Ask 被发现因未知原因导致的 Apache 服务器状态面向公众公开,几乎所有人都能看到 Ask.com 上的实时搜索记录 。据统计,被公开的页面显示了服务器重置以来人们搜索的所有细节 —— 440 万条大约 237.9GB 的搜索记录等等。   [漏洞事件] Microsoft Word 爆出 0day 漏洞,已被用于传播间谍软件 FinSpy 研究人员发现 Microsoft Word 的 0day 漏洞(CVE-2017-0199)可在他人系统秘密执行代码并安装恶意软件。漏洞影响所有 Windows 操作系统之上的所有 Office 版本。近日,这一漏洞被发现与乌克兰冲突中的网络间谍活动存在某种联系,攻击者将特制的 Microsoft Word 文档伪装成俄罗斯军事训练手册,受害者一旦打开文档就会传播由 Gamma Group 开发的恶意监控软件 FinSpy 。   [恶意软件] 勒索软件 Cerber 超越 Locky 获得暗网市场最大份额 勒索软件 Cerber 出色的传播能力使 2017 年第一季度最常见的勒索软件 Locky 也黯然失色。Malwarebytes 实验室最新发布的一份网络犯罪报告中指出,勒索软件 Cerber 在暗网中的市场份额从 1 月份的 70% 上升至 3 月份的 87%。   本文由 HackerNews.cc 整理发布,转载请注明来源。

Riddle 漏洞影响 MySQL 客户端软件,MiTM 攻击可致登陆凭证被窃

据外媒 15 日报道,安全专家于 2 月在 Oracle 数据库管理系统( DBMS )MySQL 中发现一个被命名为 Riddle 的编码漏洞,允许攻击者利用 MiTM 攻击窃取用户名与密码。目前,该漏洞仍影响 Oracle MySQL 客户端软件。 MiTM 攻击(Man-in-the-MiddleAttack)是一种“ 间接 ”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“ 中间人 ”。(百度百科) 编号为CVE-2017-3305 的 Riddle 是 Oracle MySQL 5.5 – 5.6 版本客户端中的关键安全漏洞,攻击者可在用户登陆凭证发送至服务器时进行捕获。安全专家表示,MySQL 5.5 – 5.6 客户端目前尚无更新程序可修复这一漏洞,但 5.7 及更高版本或 MariaDB 系统不受漏洞影响。 安全研究员 PaliRohár 表示,他们曾试图利用影响 MySQL 数据库 Backronym 漏洞的修补方法修复 Riddle,但结果以失败告终。Backronym 漏洞允许攻击者执行 MiTM 攻击窃取密码,即使流量已被加密。 PaliRohár 补充解释, MySQL 5.5.49 – 5.6.30 稳定版的安全更新,主要包括验证完成后添加安全参数的验证。因为验证完成后,MiTM 攻击与 SSL 降级攻击可使攻击者窃取登录数据进行身份验证、并登录 MySQL 服务器。可笑的是,当 MySQL 服务器拒绝验证用户时,客户端并不报告任何与 SSL 问题相关的错误,而是报告服务器发送未加密的错误信息。此外,当行 MiTM 攻击处于活跃状态时,错误信息可由攻击者控制。 对此,安全专家建议用户尽快将客户端软件更新至 MySQL 5.7 或 MariaDB 版本,以避免可能遭遇的安全问题。 原作者: Pierluigi Paganini,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。