安全研究人员近期观察到一种在线部署的新型恶意软件 RubyMiner ——这是一种在被遗忘的网络服务器上发现的加密货币矿工 。据 Check Point 和 Certego 发布的研究结果以及研究员从 Ixia 收到的信息表明，攻击事件始于上周 1 月 9 日至 10 日。 攻击 Linux 和 Windows 服务器 Ixia 安全研究员 Stefan Tanase 指出，RubyMiner 的目标是 Windows 和 Linux 系统。恶意软件 RubyMiner 背后的团队使用一个名为 p0f 的 web 服务器指纹工具来扫描和识别运行过时软件的 Linux 和 Windows 服务器。一旦识别到未打补丁的服务器，攻击者就可以将已知的漏洞部署在易受攻击的服务器上，然后用 RubyMiner 来感染他们。 Check Point 和 Ixia 表示，他们已经观察到攻击者在最近的攻击浪潮中部署了以下漏洞： ◍ Ruby on Rails XML处理器 YAML 反序列化代码执行（CVE-2013-0156） ◍ PHP php-cgi 查询字符串参数代码执行（CVE-2012-1823；CVE-2012-2311； CVE-2012-2335；CVE -2012-2336；CVE-2013-4878） ◍ 微软 IIS ASP 脚本的源代码泄露（CVE-2005-2678 ） 攻击者将恶意代码隐藏在 robots.txt 文件中 在上周发布的一份报告中，Check Point 根据从 honeypot 服务器收集的数据，在 Linux 系统上分解了 RubyMiner 的感染例程，并从中认识到攻击者在某些方面的创造力： ▨ 可利用代码包含了一系列 shell 命令 ▨ 攻击者清除了所有的 cron 作业 ▨ 攻击者添加了一个新的计时 cron 作业 ▨ 新的 cron 作业下载了在线托管的脚本 ▨ 该脚本托管在多个域的 robots.txt 文件内 ▨ 脚本下载并安装合法的 XMRig Monero 矿工应用程序修改版本。 Check Point 安全研究员 Lotem Finkelstein 则表示，目前攻击者瞄准了 Windows IIS 服务器，但是并没有获得 RubyMiner 的 Windows 版本副本。此外 ，Check Point 称 2103 年的一起恶意软件活动部署了与 RubyMiner 相同的 Ruby on Rails 漏洞， Check Point 猜测其背后团队很可能正试图扩展 RubyMiner 。 Monero 采矿恶意软件的发展趋势日益明显 总体而言，近几个月来传播加密货币挖掘恶意软件的尝试有所增加，尤其是挖掘 Monero 的恶意软件。 除了密码劫持事件（也是 Monero ）之外，2017 年的一些 Monero 挖掘恶意软件家族和僵尸网络还包括 Digmine、针对 WordPress 网站的未知僵尸网络、Hexmen、Loapi、Zealot、aterMiner、 针对 IIS 6.0 服务器的未知僵尸网络、CodeFork 以及 Bondnet 等。而就在 2018 年的前两个星期，已经出现了针对 Linux 服务器的 PyCryptoMiner 和另外一个针对 Oracle WebLogic 服务器的组织。大多数针对 Web 服务器的事件中，研究人员发现攻击者试图使用最近的漏洞攻击，因为会有更多易感染的机器。但奇怪的是，RubyMiner 攻击者却使用非常古老的漏洞，并且大多数安全软件都能检测到这些漏洞。 据研究员 Finkelstein 透露，RubyMiner 攻击者可能是故意寻找被遗弃的机器，比如被遗忘的个人电脑和带有旧操作系统的服务器 ，感染设备后确保在安全雷达下进行长时间的采矿。 RubyMiner 团伙已感染 700 多台服务器 根据 RubyMiner 恶意软件部署的自定义 XMRig 矿工中发现的钱包地址，Check Point 初步统计受到 RubyMiner 感染的服务器数量在 700 个左右，攻击者的收入约为  540  美元。一些专家认为若攻击者开始使用最近的漏洞，其幕后团队可能会赚取更多的钱。例如，一个从 2017 年 10 月开始针对 Oracle WebLogic 服务器的黑客组织就曾获利 226,000 美元 。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 15 日消息，IT 管理软件和监控工具供应商 SolarWinds 通过分析发现，Spectre / Meltdown 补丁使其亚马逊网络服务（ AWS ）基础设施的性能严重下降。 据悉，SolarWinds 在半虚拟化的 AWS 实例上图形化地表现了“ Python worker service tier ” 的性能。如下图所示，在亚马逊重启 SolarWinds 使用的 PV 实例后，CPU 使用率跃升至 25％ 左右。 与此同时，SolarWinds 对其 EC2 HVM 实例的性能也进行了监控，发现在 Amazon 推出 Meltdown  的补丁时性能开始下降，并且不同的服务层的 CPU 颠簸也非常明显。 根据数据显示，结果并不可观，比如 Kafka 集群的数据包速率降低了 40％，而 Cassandra 的 CPU 使用率则猛增了 25％。 不过 SolarWinds 表示，目前 CPU 水平似乎正在返回到 HVM 之前的补丁水平，但并不清楚实例中 CPU 使用率降低是否与额外的补丁有关。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 14 日信息，MalwareMustDie 团队首次发现了一种用于感染 ARC CPU 的 Linux ELF 恶意软件—— Mirai Okiru，旨在针对基于 ARC 的系统。据悉，Mirai Okiru 在被发现之前几乎没有任何的反病毒引擎可以检测到，再加上目前 Linux 物联网的威胁形势迅速变化，因此研究人员认为攻击者将会利用 Mirai Okiru 瞄准基于 ARC CPU 的物联网设备，从而导致毁灭性的影响。 ARC （Argonaut RISC Core）嵌入式处理器是一系列由 ARC International 设计的32 位 CPU，其广泛用于存储、家用、移动、汽车和物联网应用的 SoC 器件。 2016 年 8 月，MalwareMustDie 团队的研究员 unixfreaxjp 首先发现了 Mirai 僵尸网络 ，时隔不到两年， unixfreaxjp 又注意到恶意软件社区出现了新的攻击形式——Mirai Okiru，其影响程度极为深远，因为 ARC 嵌入式处理器已经被 200 多个组织授权，并且每年出货量达到 15 亿，这意味着可能暴露的设备数量是非常巨大的。此外，除了攻击 ARC，其他恶意目的也可能存在。 为了更加深入了解 Mirai Okiru ，MalwareDustdie 团队分析了 Okiru 与 Satori 变体（另一种僵尸网络）的不同之处： 1、配置不同，Okiru 变体的配置是以两部分 w/ telnet 攻击密码加密，而 Satori 并不分割这两个部分，也不加密默认密码。并且 Okiru 的远程攻击登录信息稍长一点(最多可以达到 114 个凭证)，而 Satori 则拥有不同和更短的数据库。 2、Satori 似乎可以利用 “ TSource Engine Query ”进行分布式反射拒绝服务(DRDoS)功能（通过随机 UDP），而 Okiru 则没有这个功能。 3、在 Okiru 和 Satori 的配置中，感染跟进的命令有点不同，也就说他们没有共享相同的 herding 环境。 4、四种类型的路由器漏洞利用代码只被发现在 Okiru 变体中硬编码，Satori 完全不使用这些漏洞 。 5、Satori （见反编码的 VT 注释部分）是使用小型嵌入式 ELF 木马下载器来下载其他的架构二进制文件，与 Okiru 相比其编码方面存在不同 （请参阅反转代码在 VT 注释中）。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 1 月 13 日报道，IOACTIVE 研究人员发出警告称有黑客组织日前正瞄准 SCADA-ICS 系统 ，旨在利用其移动应用程序缺乏安全的编码标准，达到攻击关键基础设施的目的。 SCADA-ICS （ Supervisory Control and Data Acquisition Industrial Control Systems ）— 监督控制以及数据采集工业控制系统， 表示在关键基础设施上运行的工业自动化系统，负责清洁水、能源等关键服务的控制和运行。 近期，IOACTIVE 的研究人员发布了一份报告，分析了连接到物联网和移动应用程序的 SCADA-ICS 系统的安全影响。 该报告指出，移动应用存在于许多 ICS（工业控制系统） 领域，具体可分为两类：本地（Wi-Fi，蓝牙）和远程应用（互联网，VPN），目前这两类主要受到三种形式的攻击，如未经授权的物理访问到设备或 “ 虚拟 ” 访问设备数据、通信渠道泄露（ MiTM ）、应用程序泄露。 考虑到这些攻击，移动 SCADA 应用程序可能直接或者间接地影响工业过程以及工业网络基础设施，并威胁操作员对系统执行有害操作。 据 IOACTIVE 透露，该研究基于 OWASP 2016 进行，分析了 34 家在 Google Play 商店上发布应用程序的供应商。目前已确定有 147 个与安全编码编程相关的问题（ 该安全编码可能允许代码被篡改 ）。 研究人员发现利用这些问题黑客可以远程控制智能手机，以进一步攻击在硬件和软件上使用的易受攻击的 ICS 应用程序，并且几乎每个应用程序都增加了16 个漏洞，例如一些应用程序中包含不安全的授权，而这些授权并没有经过任何形式的身份验证；由于缺少代码混淆，其他的漏洞也存在逆向工程；再加上不安全的数据存储和意外的数据泄露，使得黑客可以访问与 SCADA 系统相关的应用程序或数据。 由于这些新的漏洞构成了巨大的威胁，甚至超过了 2016 年乌克兰袭击所造成的损害，因此为了减少社会安全受到的威胁性，IOACTIVE 建议应用程序开发人员在开发计划中考虑安全编码。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，刑事调查局 ( CIB ) 向通过网络安全知识测试的公众奖励了 250 个 U 盘，随后该主办方陆续接到报告称“累计 54 个8GB U 盘中都带有恶意软件”，该测试是去年 12 月 11 日至 15 日期间由台湾总统办公室主办的信息安全活动的一部分。 知情人士表示，一些通过测试的参赛者报告说，U 盘被其设备上的安全软件标记为含有恶意软件之前，U 盘的分发就已于 12 月 12 日停止了。目前 20 个单位已经退回该驱动器，其余的可能还在流通。 该恶意软件被标记为 XtbSeDuA.exe ，能够从 32 位计算机中窃取个人信息。根据 CIB 的说法，若是数据窃取成功该恶意软件会试图将数据传递到一个位于波兰的 IP 地址，随后该 IP 地址将数据转发给身份不明的服务器。研究人员透露该恶意程序被认为是欧洲刑警组织在 2015 年发现的网络诈骗团伙使用的。 CIB 表示，这种感染来源于当地承包商员工所使用的 “ 将操作系统转移到驱动器并测试其存储容量 ” 的工作站，其中有些驱动器是在中国大陆生产的。但警方并不认为这一起间谍活动 ，仅以“意外安全事件”作为处置。 事实上此类安全事件的发生并不在少数，例如 2008 年，澳大利亚电信公司 Telstra 在 AusCERT 安全会议上无意发布了恶意软件。此外，早在 2002 年，IBM 的 U 盘也被发现包含一种罕见的引导扇区病毒。而且去年，该公司又发生了一起涉及闪存驱动器的事故， 该公司将携带木马病毒的 U 盘与其存储系统存储在一起。 2016 年的一项调查发现，当人们遇到有问题的 U 盘时，好奇心往往会驱使他们一探究竟。在这项研究中，300 名大学生中有近一半的人没有回避插入和点击记忆卡中的文件。此外，研究 认为 U 盘的另一个问题是其经常会被误放，正如两年前在伦敦西部发现了一个包含伦敦希思罗机场敏感信息的未加密 U 盘。 Stuxnet 蠕虫病毒（超级工厂病毒）就是潜伏于 U 盘上并且造成严重破坏的重要例子： Stuxnet 蠕虫病毒于 2008 年在伊朗纳坦兹核设施造成重大的离心机损坏，据说它是通过一个 U 盘被引进到该设施的；2013 年，美国有两家未命名的发电厂被含有恶意 U 盘的软件感染；2016 年，德国核电厂使用的电脑和 18 个U 盘也被发现存在恶意软件。 消息来源：welivesecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，美国众议院 11 日以 256 票对 164 票的结果同意《涉外情报监控法修正案》（FISA Amendments Act）第 702 条 的更新授权，延长其有效期至 2024 年。不过该修正案还需美国参议院进行表决，但若表决通过将会意味着美国国家安全局（NSA）能够继续在没有搜查令的情况下监听美国境外的外籍人士，并且收集与外国人员通信的美国公民的相关情报。目前该修正案因缺乏对被监控人群的隐私保护而受到美国某些团体的反对。 自 2001 年 “ 9·11 ” 恐怖袭击事件发生之后，美国政府就开始在收集情报信息方面加大力度。据悉，NSA 存储于数据库的情报是在 AT&T、谷歌、Facebook 以及雅虎等互联网公司的帮助下编制的，而这些公司在未经授权的情况下就将信息交给了美国官员。 然而外国情报监控法的第 702 条将在 1 月 19 日到期，若在该日期前法案仍未获得美国政府通过，那么该条例将不能再保证 NSA 的监听计划。 虽然目前该修正案还需获得参议院的表决，但有政治分析人士猜测该修正案应该会被通过。最重要的一点是，美国总统唐纳德·特朗普（Tonald Trump）今天在 Twitter 上表示支持该修正案。 但也有不少美国隐私团体和公众反对该修正案，他们认为其增强了 NSA 的间谍权力，以至于隐私受到侵犯。 消息来源： Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 9 日消息，趋势科技近期于 Google Play 商店发现了首款使用 Kotlin 语言编写的恶意应用程序 Swift Cleaner。据研究人员介绍，该恶意软件被描述成用于清理和优化 Android 设备的工具，但实际上该软件能够执行远程命令、窃取信息、短信发送、URL 转发和点击欺诈。最重要的一点是，在未经许可的情况下自动为用户订阅收费短信服务。截至研究人员发现时，该恶意应用程序 下载安装数量已达 5000 次。 图1. Swift Cleaner，伪装成 Android 清洁应用程序的恶意应用程序 Google 于 2017 年 5 月称 Kotlin 是编写 Android 应用程序的一流语言。自 Kotlin 发布以来，17％ 的 Android Studio 项目开始使用其编程，例如 Twitter，Pinterest 和 Netflix 都是使用 Kotlin 开发的应用程序。Kotlin 非常简洁，极大程度的减少了样板代码的数量，并且非常安全。 图2. 使用 Kotlin 开发的恶意应用程序的封装结构 恶意软件工作原理 启动 Swift Cleaner 后，恶意软件会将用户的设备信息发送到其远程服务器，并启动后台服务以从其远程 C＆C 服务器获取攻击任务。当设备第一次被感染时，恶意软件会将短信发送到 C＆C 服务器提供的指定号码。 图3.恶意应用程序通过短信收集并发送受害者的设备信息 恶意软件收到 SMS 命令后，远程服务器将执行 URL 转发并点击广告欺诈。 在其点击欺诈例程中，恶意软件会收到执行无线应用协议（WAP）任务的远程命令。 在此之后，将注入恶意的 Javascript 代码替换正则表达式。据悉，这是一系列定义搜索模式的字符，允许恶意行为者在特定的搜索字符串中解析广告的 HTML 代码。随后，恶意软件会秘密打开设备的移动数据，解析图像 base64 代码，破解 CAPTCHA ，并将完成的任务发送至远程服务器。 图4.恶意应用程序上传将用于订阅高级短信订阅服务的令牌 此外，恶意软件还可以将用户服务提供商的信息以及登录信息和验证码图片上传到 C＆C 服务器。一旦上传，C＆C 服务器就会自动处理用户的高级短息服务服务订阅，从而进行流量欺诈。 目前趋势科技称其已向 Google 披露了该恶意软件， Google Play Protect 也设置了保护措施来避免用户收到侵害。 更多详细内容可查看 Trend Micro 分析报告原文： <First Kotlin-Developed Malicious App Signs Users Up for Premium SMS Services> 消息来源：TrendmMicro，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 10 日消息， 以色列网络安全公司 Cyberbit 发现 PoS 端恶意软件 LockPoS 利用新型代码注入技术窃取信用卡数据。据研究人员介绍， 一旦系统受到感染 ， LockPoS 将试图获得访问权限以读取当前使用进程的内存，从而开始搜集信用卡数据并将其发送到命令和控制服务器中。 Cyberbit 的研究人员观察到 LockPoS 使用的新技术与僵尸网络 Flokibot 之前使用的注入技术在源码上多有相似之处。但值得注意的是，LockPoS 使用了不同的技术和例程来解压缩和解密，以便于调用与 Flokibot 相关的 API 。 据悉，LockPoS 使用了三个主要的例程（routines），用于将代码注入到远程进程中：NtCreateSection，NtMapViewOfSection 和 NtCreateThreadEx。而这三个例程均从 ntdll.dll 中导出。研究人员表示， LockPoS 利用的新技术涉及使用 NtCreateSection 在内核中创建一个节对象 ，然后调用 NtMapViewOfSection 将该节的视图映射至另一个进程，之后再将代码复制到该节中并创建一个远程线程来执行映射的代码。但研究人员称 LockPoS 并不会直接从 ntdll 调用例程来注入代码，而是将磁盘上的 ntdll 例程映射到虚拟地址空间。 这样一来，LockPoS 会保留一个干净的 dll 副本，并且可以避免反病毒检测。 目前来说，由于 Windows 10 内核功能无法被监控，改进内存分析可能是唯一有效的检测方法。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 10 日消息，知名钱包开发商 Electrum 近期针对其比特币钱包的 JSONRPC 接口漏洞发布了安全补丁。 据悉，该漏洞允许托管 Electrum 钱包的恶意网站通过 Web 浏览器窃取用户的加密货币，研究人员猜测这可能与 JSONRPC 接口中的密码暴露有关。此外，攻击者还可以利用该漏洞获得私人数据，例如比特币地址、交易标签、地址标签、钱包联系人等信息。目前该漏洞影响了几乎所有平台上的 Electrum 2.6 – 3.0.4 版本。 研究人员介绍了该漏洞的具体细节：当 Electrum 后台程序运行时，在 web 服务器上不同虚拟主机的攻击者可以通过本地的 RPC 端口轻易地访问 electrum 钱包。此外，该漏洞还允许攻击者在运行 Electrum 时修改用户设置。 相关媒体报道称该漏洞早在两年前就已经存在，Electrum 之前也发布过针对该漏洞的安全补丁，不过当时并未起到作用。研究人员建议用户应升级其 Electrum 软件，并停止使用旧版本。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 9 日消息，Wi-Fi 联盟于近期计划发布 WPA2 的增强功能，其中涉及身份验证、加密和配置等问题。此外，该联盟也在本周一宣布推出一个名为 WPA3 的新安全协议（ 作为 WPA2 的后续产品 ）。据悉，Wi-Fi 联盟认为 WPA3 协议的推出将使 Wi-Fi 安全性得到显著改善。 Wi-Fi 联盟计划在今年上半年推出 WPA2 的三项增强功能，用于其产品组合的配置、身份验证和加密增强等方面。以往的 WPA2 协议易受 KRACK 和 DEAUTH 攻击，所以 Wi-Fi 联盟希望能够通过改进关键技术来解决这些问题。 另外，计划推出的 WPA3 新安全协议将以 WPA2 的核心组件为基础，进一步保护确保Wi-Fi网络的安全。 WPA3 将具有以下功能： 第一个功能是在多次失败的登录尝试之后，通过屏蔽 WiFi 身份验证过程来防止暴力攻击。 第二种是将附近支持 wifi 的设备作为其他设备的配置面板。 第三和第四项功能与 WiFi WPA3 中包含的加密功能有关，第三个是 “ 个性化数据加密 ” ，这是一项加密设备与路由器或接入点之间连接的功能。第四种是改进的加密标准，WiFi 联盟将其描述为 “一个 192 位安全套件，与国家安全系统委员会的商业国家安全算法（ CNSA ）套装一致，该套件将进一步保护政府、国防和工业等更高安全要求的 Wi-Fi 网络。” 除了这些通用的描述外，更多的细节预计将在 2018 年晚些时候公布。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。