安全快讯Top News

黑客轻松接管 29 个僵尸网络,只因运营商太菜

ZDNet 网站报导,安全专家一次性接管了 29 个僵尸网络,原理十分简单,利用了运营商技术“太菜”的方法。 在采访中,安全专家 Subby 介绍了他接管的这 29 个僵尸网络,他指出其实这些僵尸网络都比较小,最初的机器人数量显示总计将近 40 000,但在删除重复数据后,实际数量仅为 25 000,这样的数据对于一个单独的 IoT 僵尸网络来说都是很小的,更不用说是 29 个的总和了。 同时,因为机器少,所以输出流量也相当低,Subby 说:“我能够获得一个可靠的网络流量图,该图表由所有僵尸网络产生的流量组合而来,它的速度低于 300 gbit/ s” 谈到为什么能一次性轻易黑掉 29 个僵尸网络,Subby 解释一些僵尸网络运营商经常使用比较弱的凭证来保护其 C&C 服务器后端。 Subby 使用了一个用户名词典和一个常用密码列表对这些僵尸网络的 C&C 基础设施进行暴力破解,收获非常多。这其中,有一些设备使用了非常弱的用户与密码组合,如`root:root`、`admin:admin`和`oof:oof`。 为什么会发生这种情况?Subby 解释:“很大一部分僵尸网络运营商只是简单地关注在社区中传播的教程,或者是在 YouTube 上学习以建立他们的僵尸网络”,他说:“在对着这些教程按部就班的过程中,他们不会更改默认凭据。而且就算他们更改了凭据,通常密码也很弱,因此容易受到暴力破解的影响。”   (稿源:开源中国,封面源自网络。)

几大 Git 平台仓库被劫,黑客欲勒索比特币

数百名开发人员的 Git 仓库被黑客删除,取而代之的是赎金要求。 攻击于5月3日开始,包括 GitHub、Bitbucket 和 GitLab在内的代码托管平台都受到了影响。 目前已知的情况是,黑客从受害者的 Git 仓库中删除了所有源代码和最近提交的 Repo,只留下了 0.1 比特币(约 ¥3850)的赎金票据。 黑客声称所有源码都已经下载并存储在他们的一台服务器上,并且给受害者十天时间支付赎金,否则,他们会公开代码。 想要恢复丢失的代码并避免泄露:请将 0.1 比特币(BTC)发送至我们的比特币地址 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并将您的 Git 登录信息和付款证明发送至 admin@gitsbackup.com。如果您不确定我们是否有您的数据,请与我们联系,我们将向您发送证明,您的代码已下载并备份在我们的服务器上。如果我们在接下来的 10 天内没有收到付款,我们将公开代码或以其他方式使用。 在 GitHub 上搜索可发现已有 391 个仓库受影响,这些仓库的代码和提交信息均被一个名为 “gitbackup” 的账号删除。 尽管如此,BitcoinAbuse 平台显示,该比特币地址目前还未收到赎金。 一名用户指出 GitHub 在发现攻击后暂停帐户并进行调查:“GitHub 昨晚在他们调查时暂停了我的帐户,希望今天能听到他们的消息,我可能很幸运。” 据 ZDNet 的报道,好消息是,在深入挖掘受害者的案例后,StackExchange 安全论坛的成员发现黑客实际上没有删除,仅仅是改变了 Git 提交标头,这意味着在某些情况下可以恢复代码提交。 此页面提供了有关如何恢复损坏的 Git 仓库的说明。 最新消息,GitLab 的安全总监 Kathy Wang 告诉 BleepingComputer: 我们根据 Stefan Gabos 昨天提交的赎金票据确定了消息来源,并立即开始调查此问题。我们已确定受影响的用户帐户,并且已通知所有这些用户。根据调查结果,我们有充分证据表明,受损帐户的帐户密码以明文形式存储在相关存储库的部署中。我们强烈建议使用密码管理工具以更安全的方式存储密码,并尽可能启用双因素身份验证,这两种方法都可以防止出现此问题。 目前,平台和用户都在努力解决问题,此处正在持续讨论可能的解决方案。   (稿源:开源中国,封面源自网络。)

黑客掌控数万个 iTrack 和 ProTrack 账号 甚至可远程关闭汽车引擎

援引外媒Motherboard报道,一名黑客成功入侵了两款GPS定位追踪应用,从而允许让他监控数万辆汽车的位置,甚至能够关闭部分汽车的引擎。这名叫做L&M的黑客成功入侵了7000多个iTrack账号以及超过20,000个ProTrack账户,这两款应用被用于监控和管理车队的。该黑客可以跟踪南非,摩洛哥,印度和菲律宾等少数国家的车辆。 根据部分GPS定位追踪设备厂商的设定,如果车辆停靠或者车速低于每小时12英里就可以进行远程关闭汽车引擎,而黑客在成功入侵之后可以操控擅自关闭这些汽车引擎。通过对ProTrack和iTrack的Android应用程序进行逆向工程,L&M表示所有客户在注册时都会获得默认密码123456。 随后他使用应用的API强行调取了数百万用户名称,然后使用定制的脚本使用这些用户名和默认秘密进行登陆。这允许他控制了数万个使用默认密码的账号,并提取了相关信息。 根据L&M提交给Motherboard的用户数据样本来看,黑客从ProTrack和iTrack客户那里搜集了大量信息,包括他们所使用的GPS跟踪设备的名称、型号、设备的唯一ID号(技术上称为IMEI号码);用户名,真实姓名,电话号码,电子邮件地址和物理地址。 L&M表示他的攻击目标是公司,而不是客户。正是这些公司的疏忽导致客户存在安全风险,它们只是想要牟利,而并不想要保护他们的客户。L&M表示:“我绝对可以在全球范围内造成大规模的交通事故。我已经控制了上万辆汽车,只要我点击我就可以关闭他们的汽车引擎。”但是L&M表示从未关闭过汽车引擎,因为他认为这样太危险了。 虽然黑客没有证明他能够关闭汽车引擎,但是Concox(ProTrack GPS和iTrack的GPS设备制造商之一)的发言人向Motherboard确认如果车辆低于每小时20公里(大约每小时12英里),可以远程关闭汽车引擎。根据黑客提供的截图,这些应用程序具有“停止引擎”的功能。   (稿源:cnBeta,封面源自网络。)

Mac 恶意软件威胁在 2019 年一季度上涨超 60% 广告软件涨幅更甚

根据 Malwarebytes 新发布的报告,针对 Mac 用户的恶意软件威胁,已经在短短 3 个月内出现了大幅增长。与 2018 年四季度相比,今年一季度检出的恶意软件威胁增加了 60% 以上。与此同时,广告软件的涨幅,更是飙过了 200% 。Malwarebytes 在新一季的《网络犯罪策略与技术报告》中指出,针对消费者的威胁数量在下降,基于恶意软件的加密和勒索软件的数量也在上一季显著减少,整体恶意软件的检出量也下降。 然而网络犯罪分子们并没有就此收手,而是转移到了针对基础设施和商业用户的攻击上。显然,在它们的眼中,这些大目标比“小鱼小虾”有利可图多了。 最终结果是,与 2018 年四季度相比,Mac 恶意软件的数量在 2019 年一季度增长了 62% 。同时 macOS 广告软件增长了 201%,成为了增长最快的威胁类型。 2019 年一季度最臭名昭著的恶意软件是 PCVARK,它将上季度的前三名 —— MacKeeper、MacBooster、以及 MplayerX —— 分别挤到了第 2、3、7 位。 与此同时,一款名叫 NewTab 的广告软件家族的数量出现了跃升,从 60 名突然窜到了第 4 位。 此外,Mac 也在本季度遭受了新型攻击,包括使用开源代码创建后门、加密恶意软件,甚至在 macOS 桌面上发现了 Windows 可执行文件。 对于猖獗的加密货币挖矿,Mac 平台也未能幸免。此外因为有人利用钱包漏洞打造了一款特殊的带木马的版本,Mac 上比特币和以太坊钱包失窃的总额估计为 230 万美元。 Malwarebytes 指出,恶意软件开发者开始越来越多地使用开源的 Python 来编写恶意和广告软件。 从 2017 年的 Bella 后门开始,采用开源代码的恶意软件数量开始大增。2018 年的时候,我们还见到了 EvilOSX、EggShell、EmPyre、以及反向 shell(Metasploit)等恶意软件。 除了后门,恶意与广告软件开发者也对基于 Python 的 MITMProxy(中间人攻击代理)程序表现出了浓厚的兴趣,希望监测网络流量,从中挖掘出加密的 SSL 和其它数据。 开源的 XMRig 加密货币挖矿软件代码,也不幸成为了 2019 年一季度曝光的恶意挖矿软件的重要一环。 据悉,Malwarebytes 的这份报告,基于 2019 年 1 月 1 日 – 3 月 31 日期间,从其企业和消费者软件产品中提取到的数据。 展望未来,Malwarebytes 预测中小企业将看到大量新攻击,而亚太地区将被迫应对基于 WannaCry 或 Backdoor.Vools 的严重威胁。 预计今年勒索软件的数量会有所增加,但攻击可能仅限于企业。因为黑客为了实现收益的最大化,显然更喜欢向较大的目标发起挑战。   (稿源:cnBeta,封面源自网络。)

FTC 将可能针对隐私丑闻对 Facebook 开出高达 50 亿美元罚单

据外媒报道,在过去一年多的时间里Facebook一直在处理公司与隐私相关的丑闻,而这给这家社交网络公司造成了严重的经济损失。当地时间周三,Facebook公布了2019年第一季度业绩报告。报告中,这家公司披露,美国联邦贸易委员会(FTC)将可能会被处以数十亿美元的罚款。 Facebook预计数额会在30亿-50亿美元之间,很显然对于这家公司来说这将是一个创纪录的罚款数额。 虽然FTC并未就Facebook爆发剑桥分析丑闻后展开调查一事表态,但据《华盛顿邮报》早前的报道指出,FTC正在考虑对Facebook处以创纪录的罚款处罚,理由是这家公司未能保护好用户的数据。 对于一家似乎无法控制隐私问题的公司来说,这无疑将会成为一个巨大的打击,并且FTC的调查绝非唯一一个对这家社交网络巨头进行的重大调查。除此之外,Facebook还面临了来自数个国内外机构的调查,同样它们也将可能给这家公司开出罚单。   (稿源:cnBeta,封面源自网络。)    

FBI 发布 2018 年《互联网犯罪报告》 经济损失增幅巨大

据外媒SlashGear报道,美国联邦调查局(FBI)的互联网犯罪投诉中心(IC3)发布了2018年《互联网犯罪报告》。该文件显示了向FBI报告的犯罪统计数据,以及互联网上犯下的罪行总数。 2018年,这一年的经济损失估计几乎是2017年的两倍,这是追踪这些统计数据开始以来的最大增幅。 根据IC3,2018年因网络犯罪造成的总经济损失约为27亿美元。2017年的总额约为14.2亿美元,而2016年的总额约为14.5亿美元。2015年的损失有史以来首次突破10亿美元大关,而2014年的损失约为8亿美元。 IC3在过去五年的报告中收到的投诉数量似乎相当缓慢 – 但肯定不会下降。虽然损失迅速增加,但报告从2014年的26.9万起增加到2015年的28.8万起。2016年,IC3的投诉约为29.9万起,2017年高达30.2万起,2018年为35.2万起。 许多现代骗局仍然使用电子邮件 “薪资转移”骗局是一个很好的例子,表明受害者很少或根本不知道他们是犯罪的受害者,直到为时已晚。IC3在2018年仅接到100个关于这个特定骗局的电话,但损失估计达到1亿美元。 Payroll Diversion从钓鱼邮件开始,从不知情或容易被欺骗的员工那里获取员工登录信息。诈骗者使用所述登录信息将工资单从一个直接存款位置重定向到另一个直接存款位置,将收入发送到单独的帐户。这种骗局显然最适合教育、医疗保健和商业航空运输业的员工。 如果IC3的估计是正确的,那么2018年的Business Email Compromise损失将超过12亿美元。 年龄排名 无论您的年龄多大,您都可能成为网络犯罪的受害者。根据这份报告,年龄越大的人更有可能成为网络犯罪的受害者。 排名靠前的州   在美国境内,加利福尼亚州是2018年受害人数最多的州。紧随其后的是德克萨斯州和佛罗里达州,其次是纽约州、宾夕法尼亚州、弗吉尼亚州、伊利诺斯州。2018年,科罗拉多州和佐治亚州的受害者人数在4000-9999之间,其他所有州的人数都减少了。 经济损失最多的州依次是加利福尼亚州、德克萨斯州、佛罗里达州、纽约州、北卡罗来纳州、俄亥俄州、伊利诺伊州、密歇根州、新泽西州和马萨诸塞州。该名单上的前5个州中的每一个在2018年的经济损失都超过1亿美元。 请注意北卡罗来纳州的受害者人数并未排在前十位,但是经济损失的金额相当高。 您将在下面看到2018年《互联网犯罪》报告的一系列其他统计数据。这些部分显示了不同的犯罪类型和损失数额等。注意虚拟货币出现多次。       (稿源:cnBeta,封面源自网络。)  

扎克伯格因 Facebook 在隐私问题上所犯的错误而受到抨击

据外媒CNET报道, 美国参议员罗恩·怀登(Ron Wyden)在一封写给美国联邦贸易委员会(FTC)的信中表示,希望让Facebook首席执行官马克·扎克伯格对该社交网络在隐私问题上所犯的错误“承担个人责任” 。 这位民主党立法者写道: “考虑到扎克伯格先生的欺骗性陈述,他对Facebook的个人控制,以及他在批准与共享用户数据相关的关键决策中的作用,FTC可以而且必须让扎克伯格亲自对这些持续的违规行为负责。” 怀登在周二致FTC的一封信中表示。“FTC还必须明确表明,如果发生任何未来的违规行为,将适用于Facebook公司和扎克伯格先生的重大处罚。” 上周五一篇报道指出,FTC正在研究如何让扎克伯格承担责任,包括检查他过去的隐私声明之后。在有消息透露英国政治咨询公司Cambridge Analytica未经许可就收集了多达8700万Facebook用户的数据之后,该机构于去年开始调查Facebook。FTC正在进行的调查重点关注该社交网络是否违反与美国政府的法律协议,以保持Facebook用户的数据私密性。 怀登在给FTC的信函中表示,该机构与Facebook达成的任何和解都应该让扎克伯格承担责任,否则他将“继续”公然反复侵犯美国人的隐私权。这名参议员指的是英国议会发布的文件。据报道,扎克伯格监督了社交网络的数据共享协议。 FTC证实收到了怀登的信,但拒绝进一步置评。 Facebook没有立即回复评论请求。   (稿源:cnBeta,封面源自网络。)

卡巴斯基:除华硕外至少还有6家公司受到“影锤”行动攻击

在深入调查后卡巴斯基表示,华硕并非是影锤(ShadowHammer)攻击行动的唯一受害者,至少还有6家其他组织被攻击者渗透。除了华硕之外,卡巴斯基表示还有来自泰国的游戏发行商Electronics Extreme、网页&IT基础服务公司Innovative Extremist、韩国游戏公司Zepetto,另外还有来自韩国的一家视频游戏开发商、一家综合控股公司和一家制药公司。 影锤(ShadowHammer)攻击行动在最初是在华硕的升级服务中发现的新型供应链攻击方式。华硕电脑一般都默认预装了华硕的Live Update Utility软件,用于更新华硕电脑专用的驱动、软件、BIOS和补丁等,用户在使用该软件更新时可能会安装植入后门程序的软件更新包。黑客疑似入侵控制了华硕的更新服务,篡改使用合法证书签署的安装包,在官方给用户推送的升级软件包中加入了恶意代码。 在随后的深入调查中卡巴斯基的安全专家找到了很多采用类似算法的攻击特征,以及使用有效和合法证书签署的其他恶意程序样本,最终表明华硕并非唯一一家受到影锤(ShadowHammer)攻击,渗透IT基础设施的公司。专家发现了类似于华硕的恶意攻击样本,使用类似的算法来计算API函数的哈希值,并且在所有恶意样本中广泛使用IPHLPAPI.dll文件。 除了华硕之外,卡巴斯基还发现了来自其他三家亚洲游戏公司也是本次攻击的受害者,包括 ●  Electronics Extreme:僵尸生存游戏《感染:幸存者故事》(Infestation: Survivor Stories)的开发商 ●  Innovative Extremist:一家提供Web和IT基础服务的公司,但同时也从事游戏领域的开发 ●  Zepetto:开发视频游戏《特战先锋》(Point Blank)的韩国游戏公司 除了上述三家游戏公司之外,卡巴斯基还表示发现了三家被成功渗透的韩国企业,包括一家视频游戏开发商、一家综合控股公司和一家制药公司。目前卡巴斯基的研究人员仍在警告他们,他们也是ShadowHammer行动背后黑客组织发起的供应链攻击的受害者。 据悉影锤(ShadowHammer)攻击行动分为两个阶段: 第一个阶段是无差别的大规模攻击,黑客针对所有的华硕用户推送恶意升级包,用户安装恶意升级包后都会启动黑客植入的恶意代码,等待进入第二个阶段。 第二个阶段是针对性的定向攻击,只针对数百个目标用户,恶意代码会获取用户机器的MAC地址与数百个MAC地址比对,一旦匹配成功就会连接黑客的服务器激活更多的恶意代码。   在成功入侵受害者系统之后,用作恶意软件删除程序的木马化游戏将首先检查是否有多个流量/处理器监视工具正在运行,或者系统语言是否设置为简体中文或俄语。如果检测到上述任何一项为真,那么后门将会自动停止执行。 如果成功通过了系统审查阶段,那么 恶意软件将开始收集系统信息(网络适配器MAC地址,系统用户名,系统主机名和IP地址,Windows版本,CPU架构,当前主机FQDNm,域名,当前可执行文件名,驱动器C :卷名称和序列号,屏幕分辨率和系统默认语言ID) 在下一个感染阶段,所有信息都通过HTTP通过POST请求发送到C&C服务器,然后后门将发送GET请求以接收命令。 发现了以下命令: DownUrlFile  – 将URL数据下载到文件 DownRunUrlFile  – 将URL数据下载到文件并执行它 RunUrlBinInMem  – 下载URL数据并作为shellcode运行 UnInstall  – 设置注册表标志以防止恶意软件启动 UnInstall命令将注册表值HKCU \ SOFTWARE \ Microsoft \ Windows \ {0753-6681-BD59-8819}设置为1,这可防止恶意软件再次与C2联系。没有文件从磁盘中删除,文件应该可以通过取证分析发现。   (稿源:cnBeta,封面源自网络。)

搜 Wi-Fi 热点 Android 应用数据泄露:涉200多万WiFi密码

一款流行的Android热点(WiFi)搜寻App“WiFi Finder”暴露了200多万个网络的WiFi密码。目前已有数千人下载了这款WiFi Finder应用,它允许用户搜索附近的WiFi网络。但同时,这款应用也允许用户将WiFi密码从自己的设备上传到数据库,供其他人使用。 这个包含了200多万个网络密码的数据库并未受到任何保护,允许任何人访问,并批量下载这些内容。 网络安全研究人员萨亚姆·杰恩(Sanyam Jain)率先发现了这个数据库,并将其发现报告给了TechCrunch。 TechCrunch试图联系开发商,但无济于事。最后,TechCrunch联系上了数据库托管商DigitalOcean,后者在一天内就关闭了该数据库。 据悉,数据库中的每条记录都包含了WiFi网络名称、精确的地理位置、基本服务集标识符(BSSID)和明文存储的网络密码。     (稿源:新浪科技,封面源自网络。)

俄罗斯黑客瞄准了各国驻欧洲大使馆和相关官员

根据CheckPoint Research的一份新报告,俄罗斯黑客最近通过向官员发送伪装成美国国务院官方文件的恶意附件,攻击了欧洲的一些大使馆。黑客攻击的目标是尼泊尔、圭亚那、肯尼亚、意大利、利比里亚、百慕大和黎巴嫩等国的欧洲大使馆。 他们通常通过电子邮件向官员们发送带有恶意宏的微软Excel表格,这些宏看上去似乎来自美国国务院。一旦被打开,黑客就可以通过恶意软件Teamviewer来完全控制被感染的电脑。 很难说这场运动背后是否有地缘政治动机,因为它不是针对某个特定地区,受害者来自世界各地。政府财政官员也受到这些攻击,CheckPoint Research指出,黑客对这些受害者特别感兴趣的,他们似乎都是从几个税务部门精心挑选出来的政府官员。 黑客看起来非常老练,精心策划了攻击,使用针对受害者的利益量身定制的诱饵文件,并针对特定的政府官员。 虽然黑客是俄国人,但这些袭击不太可能是由俄罗斯国家赞助,CheckPoint Research认为他们发动攻击应该是出于经济动机。   (稿源:cnBeta,封面源自网络。)