安全快讯Top News

微软称新网络袭击源头是乌克兰一会计软件生产商

微软公司、网络安全分析师和乌克兰警方周三表示,新一轮影响全球的病毒袭击事件的源头,来自一家乌克兰的会计软件生产商 M.E.Doc。乌克兰警方负责网络犯罪部门本周二晚些时候表示,M.E.Doc 的软件升级中包含该病毒。同日,微软在一篇博文中表示,有证据显示用户在对该软件制造商的软件进行更新感染了病毒。 网络安全公司 FireEye 高级经理 John Miller 在一封电子邮件中表示,此次攻击中的所使用的一种病毒载体就是 M.E.Doc 生产的软件。卡巴斯基实验室首席安全专家 Aleks Gostev 同样证实,M.E.Doc似乎是恶意软件的来源。 据彭博社消息,M.E.Doc 并未就相关言论做出回应。在该公司的 Facebook 主页上,M.E.Doc 表示,“行业内主流的反病毒公司”已经对其软件进行了审查,证实了该公司对病毒的传播没有任何责任。该公司表示,像其他受害者一样,公司的服务也受到了此轮袭击的影响,并且正在努力恢复服中。 另据纽约时报报道,根据计算机安全公司赛门铁克的研究人员称,与五月份的 WannaCry 攻击一样,新的这一轮攻击同样使用美国国家安全局( National Security Agency )的黑客工具 Eternal Blue (永恒之蓝),并辅之以其他两种传播方法来加速病毒的传播。美国国家安全局尚未承认其工具被用于 WannaCry 或其他攻击,但计算机安全专家正在要求该机构帮助全世界其他机构和公司创造的可以遏制病毒传播的工具。 周二爆发的新一轮网络袭击首先从乌克兰政府部门的网络系统开始,随后俄罗斯石油公司、英国广告商WPP和切尔诺贝利核电站等机构均报告称遭到袭击。受其影响最深的丹麦航运巨头马士基集团在进行了全面评估后,不得不选择关闭了整个网络系统。 稿源:cnBeta,第一财经;封面源自网络

中央网信办:特别重大网络事件发生后需 24 小时值班

中央网信办 27 日印发了《 国家网络安全事件应急预案 》,其中将网络安全事件分成四级,并提出对应的预警和应急响应。当特别重大网络安全事件发生后,需成立指挥部,履行应急处置工作的统一领导、指挥、协调职责,同时应急办 24 小时值班。 预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。其中,有关信息内容安全事件的应对,另行制定专项预案。 网络安全事件分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。特别重大网络安全事件包括以下几种情况:重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力;国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁;其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。 与之相对应,网络安全事件预警等级从高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。对于特别重大网络安全事件,应及时启动 I 级响应,成立指挥部,履行应急处置工作的统一领导、指挥、协调职责。应急办 24 小时值班。 据介绍,中央网信办统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部,负责特别重大网络安全事件处置的组织指挥和协调。在事件结束后,相关部门要进行调查预评估,对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。同时,中央网信办将协调有关部门定期组织演练,检验和完善预案,提高实战能力。各省区市、各部门每年至少组织一次预案演练。 稿源:中国记协网、北京青年报,封面源自网络

Svpeng 手机木马掀起首季度勒索软件攻击事件高潮

2017 年第一季度,手机勒索软件攻击数量激增,与去年同期相比增长 3.5 倍。犯罪分子试图通过 25 万个安卓手机木马安装包从受害者处勒索钱财,赎金金额从 100 美元到 500 美元不等。 根据卡巴斯基实验室本周一发布的《 2016 – 2017勒索软件报告》,德国首当其冲成为重灾区,美国受害者数量紧随其后。考虑到 2015 – 2016 年攻击数量的整体下降趋势(从 136,532 将至 130,232 ),2017 第一季度手机勒索软件数量的急剧增长情况实属异常。 报告显示,手机勒索软件攻击数量的下降反映了安全解决方案厂商、执法机构与白帽黑客之间的有效协作。2017 年第一季度勒索软件攻击事件高发源于 2016 年 12 月 Svpeng 勒索软件家族兴起。与通过入侵工具包与恶意电子邮件附件下载安装的 PC 端勒索软件不同,手机勒索软件主要通过观看色情内容或下载虚假手机Adobe Flash播放器传播。 报告作者之一、卡巴斯基实验室恶意软件高级分析师 Roman Unuchek 表示,“多数情况下,犯罪分子主要利用受害者的疏忽大意以及未及时更新安卓 OS 版本发动攻击。安卓更新版本具有相对完善的安全功能,对勒索软件起到一定抑制作用。” 报告指出,Svpeng 与 Fusob 两大恶意软件家族占据手机勒索软件市场。Fusob 构成勒索软件攻击事件主体,主要通过伪装成名为 “xxxPlayer” 的多媒体播放器欺骗用户。一旦成功下载,勒索软件就会阻止用户访问设备,除非缴纳 100 美元至 200 美元赎金。 手机木马 Svpeng 最早由卡巴斯基实验室于 2013 年发现,此后经历多番勒索软件功能添加或修改。以往社工活动主要基于短消息欺骗用户下载恶意软件。完成安装后会显示一份冒充 FBI 开具的非法内容下载罚单,要求以缴纳 200 美元罚金为代价解锁设备。 受影响最严重的国家排名为:德国(23%)、加拿大(20%)、英国(16%)、美国(15.5%)。针对移动设备的攻击主要源自少数几类恶意软件并通过附加程序传播。相比之下,PC 勒索软件较去年增长 11.4 %。在勒索软件受害者中,加密勒索受害者的比重从 2015 – 2016 年的 31% 上升至 2016 – 2017 年的 44.6%,增长了 13.6 个百分点。 研究人员还发现有针对性的勒索软件攻击由于“勒索软件即服务”(RaaS)的盛行呈上升趋势。 “勒索软件的复杂度与多样性均有提高,通过不断发展、日益便捷的地下生态系统为那些掌握较少技术、资源或时间的犯罪分子提供现成解决方案。” 卡巴斯基实验室对此持乐观态度,相信能够通过 The No More Ransom Project 等全球计划的良性发展有效保护手机与 PC 用户远离加密勒索软件困扰。 原作者:Tom Spring,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全团队 Project Zero 曝光:微软发布补丁并未完全修复 Windows 漏洞

Google Project Zero 信息安全团队,专门负责寻觅各种软件的安全漏洞,而 Windows 则成为了重点 “ 关照对象 ”。在经历了数次备受争议的漏洞公开事件之后,这支 Google 团队再次披露了 Windows 系统中能够访问内核存储的安全漏洞。该漏洞于今年 3 月份被 Project Zero 团队成员发现,该漏洞同时存在于包括 Google 在内的其他公司软件产品,微软已经于今年六月的补丁星期二活动中进行了修复。 Project Zero 在发现漏洞之后会向软件商报告,并且在 90 天之后完全公布。尽管这次微软在限定时间内对该漏洞进行了修复,但是 Project Zero 团队表示微软并未完全在正确修复。对此,微软承认确实还存在问题。该漏洞允许任何人访问内核存储。在 Windows 系统中 nt!NtNotifyChangeDirectoryFile 子系统中,被报告由于输出机构隐患导致攻击者可以在用户模式下查看和访问未初始化的内存池。 Google 表示这个漏洞能够允许已经获得本地权限的攻击者可以绕过某些漏洞保护措施(Kernel ASLR),并读取内核地址空间的其他分区内容。Google 表示已经提醒微软,Windows 7 到 10 用户依然能够存在这个漏洞。微软有望在下个月的补丁星期二活动中进行修复。截至目前,该漏洞的安全等级已经被标记为 “ 中等 ” (Medium)。 稿源:cnBeta,封面源自网络

英最新航母 “ 伊丽莎白女王号 ”被曝电脑系统早已过时

英国海军最新航空母舰 “ 伊丽莎白女王号 ” (HMS Queen Elizabeth)正式试航。不过,英国媒体发现,这艘造价高达 35 亿英镑的航母,其控制室使用的计算机系统,是微软公司一款已经停止支持的软件 Windows XP。鉴于今年 5 月有黑客发动大规模攻击的目标之一,正是 Windows XP。外界担心航母的 “ 铜皮铁骨 ” 之下,计算机系统会不堪一击。 据报道,伊丽莎白女王号的结构符合美国太空总署订立的标准,而它的计算机系统是在 2001 年建立,但微软早在 2014 年已经停止支持 Windows XP。上月有黑客以勒索软件 WannaCry 入侵世界各地的计算机,引起全球恐慌,专家警告不再更新的软件,受袭的风险会大增,航母的计算机保安工作自然引起关注。伊丽莎白女王号指挥官 Mark Deller 表示,当航母正式服役时,将会采取适当的保安措施。 Deller表示:“我们会避免这艘舰受网络攻击影响,及时更新所有过时系统。他补充:“当你购买一艘船舰时,你不会在今天买,而是20年前已经购得。现实是,我们的设计是预备了足够空间,来加以改善及进步。”前第一海军大臣韦斯特(Alan West)却认为,军方使用 Windows XP 十分令人担心。他指出:“假如是全新的(计算机)系统会较好,我担心他们没有采取最有效的方法,来保护船舰。” 稿源:cnBeta,封面源自网络

欧盟将颁布新隐私法规,B2B 数据分享趋向复杂化

据外媒 26 日报道,开展国际业务的美国公司近来纷纷抱怨即将在 1 年内生效的欧盟新隐私法规过于严苛,应在控制哪些数据可以在线存储方面赋予消费者更多权利。 乔治城大学法律中心教授、国家安全与法律中心研究员 Clare Sullivan在无界网络会议(Borderless Cyber Conference)上表示个人数据 B2B 分享将趋向复杂化。Sullivan 认为,对于威胁情报团体而言,需要在私有部门与美国及国外政府实体之间制定明晰的规则,并且该规则不得与欧盟《全球数据保护法规》(GDPR)相冲突。 “组织机构参与全球 B2B 网络威胁情报分享的合法能力会受到许多因素影响。关注焦点在于 IP 地址能否作为网络威胁情报在组织机构间分享。” 美国公司在全球范围内具有举足轻重的地位,因此需要对欧盟隐私法进行深入了解。乔治城大学网络威胁分享项目调查结果显示,与欧盟存在贸易往来的许多国家也都采用了欧盟隐私条例。 “全球多数国家(除美国外)都遵循欧盟隐私模型并以现有的欧盟规定作为各自数据保护与隐私法规的依托。欧盟全球数据保护法规(GDPR)将于 2018 年 5 月正式生效,届时这些国家都将执行新规。” 全球多国采用欧盟隐私法规的原因在于欧盟始终坚持与其产生贸易往来的国家必须遵守欧盟隐私法规。欧盟模型对个人数据进行了非常宽泛的定义,将能够直接或间接识别个人身份的数据全部纳入考虑范畴。 尽管如此,相关企业需要特别关注欧盟新规《治外法权》(Extraterritoriality)。新规明确规定处理欧盟范畴个人数据的美国企业必须遵守欧盟数据保护法规,可以说是欧盟做出的一项重大改变。 美国曾与欧盟签署《美国-欧盟隐私保护协议》(US-EU Privacy Shield),允许 2,000 多家美国云服务公司传输欧盟公民个人数据至美国而无需承担违反欧盟基本隐私权的风险。今年 1 月,特朗普总统签署了一份行政命令,对上述协议内容进行了修改,避免在对非美国公民监控过程中与欧盟隐私法规产生冲突。此举产生的潜在后果是为在欧盟开展数字业务的美国公司制造了麻烦。据悉,协议年审将于今年 9 月进行。 在处理或收集 IP 地址等看似无害的信息方面,Sullivan 表示,判断 IP 地址是否属于个人信息这一问题存在模糊地带,应根据具体情况分析,但作为一项法规,不应让企业承担相应责任。此类法规不适用于威胁情报分享。 “当然,在网络安全方面,我们不希望将收集 IP 地址等操作告知当事人,但欧盟隐私法规允许以保护公共利益为由的数据收集行为。对此,负责对不透明问题发表非法律意见与裁决的欧盟第 29 条工作组(Article 29 Working Party)在威胁情报团体背景下审视了这一问题。” Sullivan 的研究发现不仅有助于威胁情报团体理解即将面临的国际法律环境,还为全球企业制定政策与流程提供见解,实现及时、有效、合法的网络威胁分享。 原作者:Tom Spring,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯政府威胁屏蔽 Telegram

路透社报道,俄罗斯联邦监管局称加密消息应用 Telegram 违反了俄罗斯法律,它威胁如果 Telegram 运营方不提供信息该应用将会被屏蔽。 此前俄罗斯以同样的理由短暂屏蔽了 微信和  Line 。Telegram 由俄罗斯籍的创业家创办,但总部位于德国柏林。Telegram 创始人 Pavel Durov 称,目前还没有任何国家屏蔽 Telegram,他表示如果俄罗斯屏蔽了 Telegram,那么受益的将是美国的互联网公司,俄罗斯用户将会迁移到 WhatsApp/Viber,数据将通过 Apple iCloud/Google Drive。 稿源:solidot奇客,封面源自网络

威胁预警 | 新型勒索软件 Petwrap 肆虐全球,乌克兰电力、机场及俄石油公司受大规模影响

HackerNews.cc 北京时间 28 日跟进,感染乌克兰境内多家银行、政府、电力公司、邮政、机场设施以及俄罗斯石油公司 (Rosneft)的“未知病毒”被证实为 Petwrap 勒索软件,又称ExPetr 或 NotPetya,尽管其与之前的勒索软件 petya 极其相似,但它仍被认为是一种新型勒索软件。目前就连乌克兰境内切尔诺贝利核电站辐射监测系统也受到勒索软件影响,工场区域的辐射监测已改为手动进行。 勒索软件全球感染范围 目前 Petwrap 主要针对乌克兰,俄罗斯和西欧企业,截止 28日0 时仅卡巴斯基实验室就已检测到 2000 多次攻击: 仅卡巴斯基监测到的各国受 Petwrap 感染统计图(截止 28日0 时) ** 勒索软件 Petwrap 没有所谓的“开关域名”,目前尚无详细统计数据 勒索软件 Petwrap 如何传播 勒索软件 Petwrap 也像 WannaCry 那样通过 SMBv1 EternalBlue (永恒之蓝)漏洞感染未打补丁的 Windows 设备,但并不会对目标系统中的所有文件逐个加密。最重要的是拥有凭据管理器的单一受感染系统能够通过 WMI 或 PSEXEC 感染网络上的其他计算机,对局域网的威胁或比 WannaCry 更大。 国外安全研究员指出,若 Windows 系统中存在文件 “c:\windows\perfc.dat” 可触发本地 kill 开关。(仅在被感染之前起作用,但亦有研究员表示并未起效果) (勒索软件特征、样本分析可阅读卡巴斯基最新报告) 文件解密的可能性 很不幸,对于已感染勒索软件 Petwrap 的受害者而言,目前尚无解密方案。 勒索软件 Petwrap 向受害者索取 300 美元赎金并要求将钱包号码通过邮件发送至 “wowsmith123456@posteo.net” 进行确认,这一方法确实有效然而遗憾的是,目前此邮件账号已被关闭。 我们能做什么?  1、安装强大的反病毒软件对预防勒索软件有一定效果(但不绝对) 2、确保更新 Windows 系统以及第三方软件至最新版本 3、不要打开任何非可信来源的附件、安装包 4、将重要数据定期备份至外部设备并保持脱机状态 HackerNews.cc 提醒广大 Windows 用户及时修复系统漏洞,尤其是安装微软发布的“永恒之蓝”(MS17-010)补丁以防感染恶意软件。此前国内各大安全厂商针对 WannaCry 提出的恶意软件预防方案依旧有效(但不绝对)。   HackerNews.cc  我们将为您持续关注“Petwrap 勒索软件”最新动态。 —— 2017-06-27 23:00 第二次更新 —— 2017-06-28 06:00 第三次更新 —— 2017-06-28 11:30 第四次更新

快讯 | 乌克兰国家银行、电力公司遭受大规模网络攻击

HackerNews.cc 北京时间 27 日 21:00消息,乌克兰境内包括国家储蓄银行(Oschadbank)、Privatbank 银行在内的几家银行机构、 电力公司 KyivEnergo 、国家邮政(UkrPoshta)遭受“未知病毒”大规模网络攻击。 22:00 消息,“未知病毒”已被确认为勒索软件  Petwrap ,系 petya 勒索软件的新变种之一。 可通过 SMBv1 EternalBlue (永恒之蓝)漏洞感染未打补丁的 Windows 设备。 图片来源于 Twitter 乌克兰中央银行证实此次网络攻击由“未知病毒”引起,部分银行业务受到影响。但尚未给出进一步细节。 乌克兰最大的国有贷款机构之一 ——国家储蓄银行 (Oschadbank)表示,一些银行服务受到“黑客攻击”的影响,但客户数据尚且安全。 乌克兰电力公司 (Ukrenergo) 表示,其 IT 系统遭到网络攻击,但对电力供应及其更广泛的业务没有太大影响。   HackerNews.cc 将为您持续关注“乌克兰网络攻击事件”最新动态。

澳大利亚将主导五眼情报联盟会谈,力挫恐怖主义加密梦想

据外媒 26 日报道,澳大利亚将于本周渥太华会议上主导五眼联盟(美、英、澳、加、新西兰)围绕加密技术的会谈,力图通过获取互联网产业支持挫败恐怖主义加密梦想。 澳大利亚总检察长 George Brandis 表示,加密是当局面临的一项持久性挑战。恐怖主义者的网络行为对于情报与执法部门来说都至关重要。此次会议将讨论如何解决这一问题,特别是通过整个产业的参与共同挫败恐怖主义者的加密梦想,即在互联网公司的帮助下实现快速执法响应。 本周五,德国政府通过一项新法律,允许使用恶意软件监听个人设备。众所周知,德国政府使用一种名为 Staatstrojanern 或“国家木马”的黑客工具。在当局看来,加密通信的广泛普及阻碍了传统监听设备的正常使用,需要以直接黑进通信设备的方式绕过加密。 与此同时,澳大利亚总检察院建议有关部门在具体行动受到国家数据保留计划阻碍的情况下,可使用强制力解决。 2015 年,澳大利亚《强制保留元数据法》在两大主要党派支持下获得议会通过时,法案已将有权请求元数据的机构数量降至 21。按照法律规定,执法机构可以毫无顾忌地获取相关通话记录、位置信息、IP 地址、账单信息与电信运营商存储两年的其他数据。农业部作为撤销元数据访问权限的机构之一在 2016 年 3 月的书面函件中透露,总检察院建议该部门尝试通过有别于宣布成为强制机构的其他方式访问元数据。 “根据总检察院建议,本部门考虑了使用立法规定的强制力以及通过澳大利亚联邦警察局(AFP)获得数据的其他方法。” 农业与水力资源部副部长 Lyn O’Connell 在 2016 年 6 月 10 日的一封信函中写道。 “本部门已收到关于使用强制力的初步法律建议,这说明此种做法存在问题,主要由立法构建不完善导致。” “来自AFP的建议说明它无法代表包括该部门在内的其他机构获取元数据,这种方法缺少相应资源、不具备合规性、未考虑风险因素。” 农业部发言人向 ZDNet 透露,该部门目前尚不具备访问元数据的手段,而允许其使用强制力的立法并不在部门职权范围内。 原作者:Chris Duckett ,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。