据外媒报道，安全研究人员在 Google Play 商店中发现了至少 85 个旨在窃取俄罗斯社交网络 VK.com 用户证书的应用程序，这些应用程序累计已被下载数百万次。即使经过 Google 的不懈努力（如启动漏洞赏金计划、阻止应用程序使用 Android 的辅助功能等），恶意应用程序还是能够以某种方式进入 Google 商店并设法通过恶意软件感染用户。因此研究人员强烈建议用户在下载应用程序时，一定要保持高度警惕。 调查结果显示，这些恶意应用程序中包含一款非常流行的游戏应用程序，其下载量已超过一百万次。 卡巴斯基实验室在周二发布的分析报告中表示，这个应用程序最初在 2017 年 3 月上传时只是一个没有任何恶意代码的游戏应用程序。  然而7个多月之后幕后团队却为其增加了信息窃取功能。 除了这款游戏外， 其他应用程序于 2017 年 10 月被上传到 Play 商店。据统计显示，其中有 7 个应用程序下载安装数量达到 1-10 万次、另有 9 个下载安装量在 1,000 – 1 万次之间，其余应用的下载量则不足 1000 次。 网络犯罪分子如何窃取账户凭证 由于 VK.com 主要在独联体国家的用户中流行，因此恶意应用程序主要针对的是使用俄罗斯、乌克兰、罗马尼亚，白俄罗斯等国语言的用户群体。 分析结果显示，这些应用程序使用 VK.com 的官方 SDK，但会利用恶意 JavaScript 代码稍作修改，从 VK 的标准登录页面中窃取用户凭据，并将其传递回自身应用程序中。这些页面与来自 VK.com 的标准登录页面非常相似，因此普通用户很难发现其中可疑之处，而被盗的证书会在被加密后上传到由网络犯罪分子控制的远程服务器中。 有趣的是，这些恶意软件还使用了 OnPageFinished 方法中的恶意 JS 代码，但这不仅用于提取凭据，而且还被用于数据上传。 研究人员认为，网络犯罪分子使用被盗用户的凭证主要是为了在 VK.com 上 推广各类用户群组、提高一些账户或群组的 “ 知名度 ”，即类似于国内社交媒体中流行的 “ 涨粉 ” 活动。此外，研究人员还指出，他们还在 Google Play 商店中发现了几个由同一网络犯罪分子提交的应用程序，比如以非官方身份通过电子邮件发布假的 Telegram 应用等。 这些伪装成 Telegram 的应用程序实际上是用 Telegram 的开源 SDK 构建的，但几乎和其他的应用程序一样。它们会根据从服务器上收到的列表添加受感染的用户来推广群组/聊天。 如何保护设备免受这些恶意应用程序的侵害 卡巴斯基报告中指出，目前发现的所有恶意程序包括窃取凭证的应用程序（检测为Trojan-PSW.AndroidOS.MyVk.o）和恶意的 Telegram 客户端（检测为非病毒：HEUR：RiskTool.AndroidOS.Hcatam.a ） 等都已经被 Google Play 商店删除，而已经在移动设备上安装了上述应用程序的用户可启用 Google Play Protect 保护功能卸载恶意程序，以保障自身设备安全。 同时，研究人员提醒用户除了尽量选择从官方渠道下载安装应用程序外，最好能够养成下载前核对 APP 开发者、查看下载量和参考其他用户评论、以及确认应用程序权限等良好习惯。 相关阅读： 来自卡巴斯基的分析报告：《Still Stealing》 消息来源： thehackernews ，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，相关安全专家在一些科技巨头和开源项目的软件中发现 TLS 网络安全协议存在一个 19 年之久的漏洞，能够影响全球许多软件（ 如 Facebook 和 PayPal），以至于黑客组织可以窃取机密数据，包括密码、信用卡数据和其他敏感细节等。 安全专家介绍，RSA PKCS＃1 v1.5  加密的缺陷影响了前100个网络域名中的27个服务器，黑客组织可以利用其加密或者解密通信。安全专家把这种缺陷称为 ROBOT 攻击（Bleichenbacher’s Oracle Threat）—— 一种允许使用 TLS 服务器的私钥进行 RSA 解密和签名操作的攻击技术 。 据悉，ROBOT 攻击可以让黑客组织在不恢复服务器私钥的情况下解密 RSA 密文，并且可以反复查询一个易受攻击的 TLS 堆栈实现的服务器 ，从而执行密码分析操作。这些操作可能会解密以前捕获的TLS 远程连接信息。 若想要利用 ROBOT 攻击，黑客组织者必须能够执行以下两项操作：  1、捕获客户端和受影响的 TLS 服务器之间的流量。 2、建立相当数量的 TLS 到易受攻击的服务器的连接。实际的连接数量因实现特定的漏洞而有所不同，大约范围在数十万到数百万。 幸运的是，ROBOT 攻击仅影响排名前一百万网站中的 2.8％ ，这么小的数值是因为受影响的库主要用于昂贵的商业产品，而这些产品常被用于加强对热门网站的安全控制。（ XML Encryption、 PKCS#11 interfaces、 Javascript Object Signing 和 Encryption (JOSE)、 以及 Cryptographic Message Syntax / S/MIME.也存在类似的问题。 ) 资料显示，早在 1998 年，安全专家 Daniel Bleichenbacher 就发现，SSL 服务器给 PKCS＃11.5 填充的错误信息提供了一个能够自主选择的密文攻击，此攻击与 RSA 加密一起使用时会彻底破坏 TLS 的机密性。所以即使现在攻击出现了一些细微变化，但仍然可以用于如今互联网上的许多 HTTPS 主机。其原因主要是因为当时制定的缓解策略不够，许多软件供应商没有提供正确的保护措施。以至于时隔多年，相关研究人员还在研究应对 ROBOT 攻击的有效措施。安全专家称， ROBOT 攻击在当时未得到根本解决的主要原因是由于协议设计者在 1999 年决定使用一种不安全的技术，而不是像 Bleichenbacher 在 1998 年推荐的那样使用安全的技术。 为了进一步确认 ROBOT 攻击 ，安全专家通过使用 facebook.com 的 HTTPS 证书的私钥签名信息息来展示其攻击实际的效果。 根据科技巨头的说法，Facebook 在其易受攻击的服务器上使用 OpenSSL 补丁版本，而这个问题是由公司定制补丁导致的。 幸好 Facebook 在  ROBOT 攻击文件披露之前修补了服务器，否则黑客组织可以访问目标的网络流量，并且利用 KRACK 攻击来获取 Wi-Fi 连接的位置。由此可见，ROBOT 攻击的影响非常严重，黑客组织可以窃取机密的数据（包括密码、信用卡数据和其他敏感细节。） 目前，一些供应商已经修复此缺陷，下面的列表包括已经可用的补丁： F5 BIG-IP SSL vulnerability CVE-2017-6168 Citrix TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway CVE-2017-17382 Radware Security Advisory: Adaptive chosen-ciphertext attack vulnerability CVE-2017-17427 Cisco ACE End-of-Sale and End-of-Life CVE-2017-17428 Bouncy Castle Fix in 1.59 beta 9, Patch / Commit CVE-2017-13098 Erlang OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7 CVE-2017-1000385 WolfSSL Github PR / patch CVE-2017-13099 MatrixSSL Changes in 3.8.3 CVE-2016-6883 Java / JSSE Oracle Critical Patch Update Advisory – October 2012 CVE-2012-5081   据相关人士透露，安全专家已经发布一个 Python工具，用于扫描易受攻击的主机，以便用户可以检查自己的 HTTPS 服务器是否受到 ROBOT 攻击。安全专家表示，对于旧漏洞，现有 TLS 实现的测试还不够充分。随着时间的推移，TLS 标准对 Bleichenbacher 攻击的对策变得越来越复杂。 只要在旧的TLS版本上保留 RSA 加密兼容密码套件，这些攻击仍然是一个问题。所以为了确保 Bleichenbacher 攻击最终得到解决，安全专家建议弃用 TLS 中的 RSA 加密密钥交换和 PKCS＃1 v1.5 标准。 消息来源： SecurityAffairs ，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，美国一家网络情报公司 4iQ 于 12 月 5 日在暗网社区论坛上发现了一个大型汇总数据库，其中包含了 14 亿明文用户名和密码组合，牵涉 LinkedIn，MySpace，Netflix 等多家国际互联网巨头。研究人员表示，这或许是迄今为止在暗网中发现的最大明文数据库集合。 4iQ 研究员称他们在暗网搜寻被窃、泄露数据时从一个超过 41 GB 的文件中发现了这个汇总的交互式数据库。该档案最后一次于 11 月 29 日更新，其中汇总了 252 个之前的数据泄露和凭证列表、包含 14 亿个用户名、电子邮件和密码组合、以及部分比特币和狗狗币（Dogecoin）钱包。 据统计，这 14 亿数据由早期泄露的数据和凭证列表汇总而成，密码部分来自 Anti Public，Exploit.in等凭证列表，多涉及 Anti Public、Exploit.in、LinkedIn、MySpace、Netflix、比特币、Pastebin、FM,Zoosk、YouPorn、Badoo、RedBox 等互联网公司以及类似 Minecraft 和 Runescape 这类游戏公司。 此次发现的数据量几乎是此前最大凭证泄露事件的两倍，光是 Exploit.in  凭证列表就包含 7.97 亿条记录，而最新泄露数据中还增加了 3.85 亿新的凭证组合、3.18 亿用户和 1.47 亿密码。 然而令人担忧的是，这些密码都没有进行加密。研究人员通过随机抽检发现大部分都是真实密码，其中大约有 14％ 的用户名和密码组合以前并未被黑客社区解密，而现在却以明文形式呈现。由于数据库早已按照字母顺序整齐排列并编入索引，因此任何具备基本网络知识的人都能快速搜索密码，例如，仅需简单地搜索就能从数据库中找到 226,631 个使用“ admin ”、“ administrator ”或者 “ root ”的常见密码。据统计，此批数据库中最常用的密码依旧是“ 123456 ”、“ 123456789 ”、“ qwerty ”、“ password ” 和 “ 111111 ”等。 目前尚未知究竟何人将数据库上传至暗网论坛，且不管此人有何目的，显然他们都已将 14 亿用户账号安全置于危险境地。对此研究人员建议，为保护账户安全，互联网用户们谨记在各类在线帐户中设置复杂密码，并且避免多账号使用相同密码。 相关阅读： 来自 4iQ 公司的研究报告：<1.4 Billion Clear Text Credentials Discovered in a Single Database> 消息来源：IBTimes、thehackernews ，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，澳大利亚珀斯国际机场于 2016 年发现一名越南籍黑客 Le Duc Hoang Hai 入侵其内部计算机系统，窃取了机场敏感安全细节和建设计划。机场负责人立即通知了澳大利亚网络安全中心和当地联邦警察，并采取应对措施。随后警方确认该名男子已被逮捕。 通过调查，警方发现该名男子于去年 3 月使用第三方承包商的资质进入珀斯国际机场的计算机系统。根据澳大利亚总理 Malcolm Turnbull 的网络安全顾问 Alastair MacGibbon 表示，Le Duc Hoang Hai 窃取了大量与机场相关的数据，其中包括机场建筑物的原理图和实物安全细节，但该名男子并没有接触到与飞机操作挂钩的系统，因此涉及雷达、飞机运行和乘客旅行的系统不受影响。此外，调查发现 Le Duc Hoang Hai 曾还攻击过越南基础设施和网站，包括银行、电信和在线军事报纸等。 根据当地联邦警方收集的证据，Le Duc Hoang Hai 非法访问计算机系统的目的主要是进行信用卡盗窃 ，并试图盗取支付卡数据。因此警方断定该名男子只是出于经济动机而进行黑客活动。通过安全中心和联邦警察的协助和努力，澳大利亚珀斯国际机场已经成功起诉 Le Duc Hoang Hai 。该名男子最终于 2016  年因非法入侵珀斯国际机场计算机系统被越南军方法院判刑四年。 事件发生后，珀斯国际机场增加了 200 万美元的额外安全措施。同时珀斯国际机场表示，机场及其工作人员、乘客或合作伙伴的安全从未受到任何损害，并且确信被窃取的数据不会对旅游公众造成任何威胁。 消息来源：Security Affairs，编译：榆榆 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 11 日报道，微软意外暴露了一个 Dynamics 365 TLS 证书和私钥，暴露时间至少超过 100 天，这个情况使得沙箱环境被公开，以至于可能导致用户遭受 中间人（MiTM） 攻击。 软件开发人员 Matthias Gliwka 在使用 Microsoft ERP 系统 的云版本时发现了这个问题。据悉，微软于去年开始提供 该 产品。该产品是由 Azure 托管的 SaaS 解决方案，可通过一个全面的控制面板( Life Cycle Services )来访问。 根据 Gliwka 的说法，TLS 证书用于加密用户和服务器之间的 web 通信，若攻击者提取出证书，那么将可以访问任何沙箱环境。相关人员透露，沙箱环境的主机名是customername.sandbox.operations.dynamics.com。 在此次事件中，TLS 证书在用于用户验收测试（也称为“ 沙箱 ”）的 Dynamics 365 沙箱环境中被公开。用户验收的作用是反映生产环境的设置 ，并且提供具有管理功能的 RDP 访问权限。所以通过 RDP 能够访问沙箱环境，从而可以了解微软如何设置一个服务器来承载关键业务应用程序。 据悉，在 Gliwka 向微软反映了这个问题后，微软花了一定时间来解决它。此外，Gliwka 还联系了德国技术自由职业者 Hanno Bock 来获取此次事件的覆盖范围。 据 Gliwka 称， Bock 试图用 Mozilla 的 bug 追踪器提交一个 bug 标签来引发微软的行动。相关人士透露，此次事件已在在 12 月 5 日得到解决。 消息来源：Security Affairs，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 10 日报道， IOActive 的高级安全顾问 Fernando Arnaboldi 于 12 月初在 2017 Black Hat 欧洲安全会议上发表了一篇有趣的研究报告：多数流行的编程语言存在严重的缺陷，可能会攻击其语言开发的任何安全应用程序。 该研究是为了探索安全开发的应用程序受到底层编程语言中未知漏洞的影响。相关人士透露，Arnaboldi 使用 fuzzing 软件测试技术分析了最流行的编程语言( JavaScript、Perl、PHP、Python 和 Ruby )。Fuzzing 或 fuzz 测试是一种自动化的软件测试技术，它包括为计算机应用程序提供无效、意外或随机的数据。获得数据后，研究人员会监视类似崩溃或失败的内置代码断言之类的异常，或者是寻找潜在的内存泄漏。据悉，Google 专家就曾使用这种技术发现了流行软件 OpenSSL 和 Linux 组件中的许多缺陷。 下面是研究人员用 fuzzing 技术测试的编程语言列表。 Arnaboldi 开发了一个定制的 “ 微分fuzzer ”  XDiFF ( 扩展差分 Fuzzing 框架)，专门用于测试编程语言的结构。研究人员将 XDiFF 发布为 GitHub 上的开源项目。此外，研究人员还确定了大部分的基本功能，并使用 XDiFF fuzzer 进行了测试。在执行之前，fuzzer 通过在函数和有效载荷之间进行排列来生成所有可能的测试用例，测试用例将当时编程语言的一个功能与不同的有效载荷结合在一起，以便于暴露编程语言中的漏洞。 Arnaboldi 表示，漏洞的发现完全取决于能否选择正确的输入。在这个测试中，使用了少于30个原始值（比如数字，字母等）与特殊有效载荷相结合，并且定义这些特殊的有效载荷，以便于帮助识别软件何时访问外部资源。 Arnaboldi 用 fuzzer 分析了所有编程语言中的严重漏洞，有以下问题: ○ Python 包含可用于 OS 命令执行的无记录的方法和本地环境变量。 ○ Perl 包含一个可以像 eval（）那样执行代码的类型映射函数。 ○ NodeJS 输出可以泄露部分文件内容的错误消息。 ○ JRuby 加载并执行远程代码的功能不是为远程代码执行而设计的。 ○ PHP 常量的名称可以用于用来执行远程命令。 Arnaboldi 表示，软件开发人员可能在不知情的情况下将代码包含在应用程序中，而这些代码可能以开发者没有预见到的方式使用，以至于对安全开发的应用程序构成了风险。假设这些漏洞并不是恶意造成的，那么可能是因为错误或试图简化软件开发的结果。而这个结果会影响到解释器解析的常规应用程序。因此，研究人员建议，在重要的生产环境中，应该优先排查或修复程序语言解释器的安全隐患。 消息来源： Security Affairs ，编译：榆榆 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，谷歌上周修补了四十多个安全漏洞，其中一个高危漏洞允许黑客绕过签名验证机制向 Android 应用程序注入恶意代码，以便恶意版本能够覆盖智能手机上的合法应用程序。目前，有数以百万计的 Android 设备面临着漏洞造成的严重风险。 这个被称为 Janus 的漏洞由 GuardSquare 公司首席技术官 Eric Lafortune 在今年夏季发现，他于 7 月份向谷歌报告了这个漏洞 ( cve -2017- 13156 )，谷歌 12 月初发布的 Android 安全公告中显示，该漏洞在上周四已被修补。 Android Janus 漏洞工作方式 研究显示，这个漏洞驻留在 Android 系统为一些应用程序处理 APK 安装的方式中，使得开发者可在 APK 文件中添加额外的字节代码而不影响应用程序的签名。通过研究发现，由于缺少文件完整性检查，这种添加额外字节的代码的情况将允许黑客以 DEX 格式编译的恶意代码添加到包含具备有效签名的合法 APK 中，以便在目标设备上执行恶意代码而不被发现，便于欺骗程序安装过程。换句话说，黑客并不需要修改合法应用程序本身的代码(使签名无效)，而是利用这个漏洞向原始应用程序添加一些额外的恶意代码行即可。 当用户下载应用程序的更新时，Android 会在运行时将其签名与原始版本的签名进行比较。如果签名匹配，Android 系统将继续安装更新程序，更新后的应用程序继承原始应用程序的权限。因此，一旦安装了受感染的应用程序，黑客将拥有与原应用程序相同的系统权限。这意味着黑客可能窃取银行证书、读取消息或进一步感染目标设备。 攻击场景 黑客可以使用各种媒介（如垃圾邮件、提供虚假应用程序和更新的第三方应用程序商店、社会工程，甚至是中间人攻击）传播包含恶意代码的“合法的应用程序”。GuardSquare 公司表示，从银行应用程序、游戏到 Google 地图等都可能成为 Janus 漏洞利用者的目标。此外，从第三方应用程序商店下载的 Android APKs，比如社交媒体或者系统应用程序等也可能成为攻击目标。 修补方式 虽然目前谷歌已经修补了 Janus 漏洞，但在设备制造商（OEM）为其发布自定义更新之前，大多数 Android 用户的系统漏洞都将无法获得修复，显然大量智能手机用户还是很容易受到黑客的攻击。 GuardSquare 称，受影响的是运行比 Nougat（7.0）更早的 Android 操作系统版本以及任何支持 APK 签名方案 v1 的   Android 设备。由于此漏洞不会影响支持 APK 签名方案版本 2 的 Android 7（ Nougat ）和最新版本，因此强烈建议运行较旧 Android 版本的用户升级其设备操作系统。但如果你的设备制造商既没有提供安全补丁，也没有最新的  Android 版本，那么你就应该时刻保持警惕，尽量不要在谷歌的 Play Store 之外安装应用程序和更新，以最大限度地降低被黑客攻击的风险。 此外，GuardSquare 还建议，为了安全起见 Android 开发人员需要应用签名方案 v2，以确保他们的应用程序不能被篡改。 消息来源：thehackernews、threatpost，编译：榆榆 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。      

近年来比特币价格呈现爆发式增长，价格已逾黄金 10 倍，估值甚至超过部分国家货币，仅上周时间价格上涨一度超过 60%。如此疯狂的涨幅自然少不了被黑客组织所关注，近日安全研究人员发现，有黑客通过投放关于“ Gunbot 比特币交易机器人”的虚假广告来传播 Orcus 远程访问木马（RAT），其目的就在于窃取用户比特币。同时该木马背后的开发者还部署了一个虚假比特币论坛 bitcointalk[.]org 进行钓鱼活动。 来自 FortiGuards  实验室的研究人员发现了针对热心的比特币投资者的网络钓鱼活动，有黑客组织通过发送广告邮件宣传可为用户提供由 GuntherLab 或  Gunthy 开发的新的合法比特币交易机器人 Gunbot，可帮助监测不同交易平台之间的价格差异。若出现盈利的机会，软件将会根据用户此前的设定在平台之间自动买卖比特币。 研究人员表示，垃圾邮件中所提供的比特币交易机器人 Gunbot 实际上是为恶意软件Orcus RAT服务的，它并不带来相关利润反而会导致投资者遭遇更多损失。 这个带有虚假广告的钓鱼电子邮件实际上带有一个名为 “ sourcode.vbs ” 的 zip 文件附件，其中包含一个简单的 VB 脚本。当用户触发脚本时会下载一个伪装成 JPEG 图像、但实际上是 PE 二进制的文件。 “乍一看，下载的可执行文件似乎是一个良性的库存系统工具，包含很多对 SQL 命令的库存程序的引用。然而，通过进一步的分析，我们发现它是实际一个开源库存系统工具的木马化版本—— TTJ 库存系统”。研究人员表示这些黑客组织可能缺乏相关行业经验，只是使用了在别处购买的网络钓鱼组件，又或者是对方并不在意钓鱼行为被检测到，只要有用户触发了 VB脚本他们便能够得逞。 据脚本的评论表明，网络钓鱼背后的黑客无意隐瞒其行为 自 2016 年以来，恶意软件 Orcus 的开发人员一直在将其作为远程管理工具进行广告宣传，因为它具有 RAT 软件能够提供的所有功能，并且它还加载用户开发的定制插件或者Orcus 仓库中提供的插件。而Orcus 仓库中的某些插件可用于执行分布式拒绝服务（DDoS）攻击。就像其他远程访问木马一样，Orcus还具有密码检索和关键日志功能，可以窃取受害者在其设备上输入的所有内容，并且还可以实时远程执行被感染机器上的任意代码。另外，它还可以在网络摄像头上禁用指示灯，以避免提醒用户他们的网络摄像头处于活动状态，如果用户试图关闭进程则会触发系统蓝屏（BSOD），这也使得用户难以将其从系统中移除。 调查显示，该木马背后的开发商部署了一套虚假比特币论坛 bitcointalk[.]org，通过冒充 Gunbot 工具来下载恶意软件。这一伪造的比特币交易工具包含一个类似的 trojanised “ 库存系统 ” 和一个 VB 脚本。Fortinet 的研究人员猜测这个设置的小变化将会被用在另一个钓鱼活动中。 研究人员指出，该域名似乎已经注册到了 “ Cobainin Enterprises ”，并且还有其他可疑的域名注册。他们怀疑黑客在他们的恶意软件活动之间循环使用这些网站。在对 Orcus RAT 的调查中，研究人员表示 RAT 的行为实际已经超出了无害管理工具的范围，无论开发者如何辩解，这些应用程序被用于网络犯罪活动都已成事实。 相关阅读： 来自 Fortinet 的分析报告《A Peculiar Case of Orcus RAT Targeting Bitcoin Investors》 消息来源：IBTimes，编译：榆榆，审校 ：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

12 月 8 日在 BlackHat 2017 欧洲（伦敦）会场上，来自 Ensilo 的安全研究人员介绍了一种名为 Process Doppelgänging 的新型代码注入技术，能够成功绕过多数杀毒软件和安全软件，从 Windows Vista 到最新版本的 Windows 10，几乎所有 Windows 版本中都可以运行 Process Doppelgänging 技术。 Bypass 多数杀毒软件 研究人员进行的测试结果显示，Process Doppelgänging 技术能够成功 Bypass 多家杀毒软件，如 Windows defender、AVG、卡巴斯基、Avast、360、McAfee 等。同时，研究人员表示使用 Process Doppelgaynging 技术运行著名的密码窃取实用程序 Mimikatz 也都没有被检测出，也说明该技术能够规避大多数防病毒软件的检测。 新型无文件攻击手法 据演讲者介绍，该技术是一种无文件的代码注入方法，利用了一个内置的 Windows 函数和一个未经注册的 Windows 进程加载程序实现攻击。研究显示，Process Doppelgienging 与另一种称为 Process Hollowing 的技术相似，但后者依赖于 Windows NTFS 事务处理机制，攻击者可以借助 Process Hollowing 技术，在内存中使用恶意代码代替合法进程，从而规避安全软件。目前所有的现代安全软件都能够检测到 Process Hollowing 技术的攻击，然而 Process Doppelgienging 利用的是 Windows NTFS 事务处理机制以及一种为 Windows XP 设计的老式 Windows 进程加载器进行攻击，能够成功避开多数防病毒软件检测。 来自 Ensilo 的安全研究人员 Tal Liberman 和 Eugene Kogan在会场上演示了这一过程。他们将 Process Doppelgänging 无文件攻击分为四个步骤： 1、处理 -将一个合法的可执行文件转换为 NTFS 事务，然后用恶意文件覆盖它。 2、加载 -从修改的（恶意）文件中创建一个内存段。 3、回滚-回滚事务（故意使事务失败），从而导致合法可执行程序的所有更改以一种从未存在的方式被删除。 4、推动 – 使用旧的 Windows 进程加载器来创建一个具有先前的内存段的进程（在第 2 步中），这实际上是恶意的，从来没有保存到磁盘，这将使它在大多数记录工具如现代的 EDRs 中不可见。 安全专家表示，该技术旨在允许恶意软件在目标机器上的合法进程中运行任意代码（包括已知的恶意代码），虽然非常类似于 Process Hollowing，但带有新颖的转变。Process Doppelgänging 的挑战是不使用类似 SuspendProcess、NtUnmapViewOfSection 这样的可疑进程和内存操作。 为完成挑战，安全研究人员利用了 NTFS  Transaction，并在事务的上下文中覆盖了一个合法的文件。随之，从修改后的文件（ 事务的上下文 ）中定义了一个部分并从中创建了一个进程。此外，研究人员发现，在事务中扫描文件是他们迄今为止检查的供应商不可能做到的，而且由于回滚事务，活动并没有留下任何痕迹。 NTFS Transaction 是 Windows 的一个特性，用于将事务整合到 NTFS 文件系统中，使应用程序开发人员更容易处理错误并保持数据完整性，还可以管理文件和目录。并且 NTFS Transaction 也是一个独立的空间，允许 Windows 应用程序开发人员编写文件输出例程，而这些例程的结果可以重构为失败或成功的状态。 几乎 “秒杀”  所有 Windows 版本 研究人员Liberman 表示，Process Doppelgienging 技术即使在最新版本的 Windows 10 上也能够运行，除了今年早些时候发布的 Windows 10 Redstone 和 Fall Creators Update 之外，因为在这些后来的版本中，Process Doppelgienging 攻击触发了蓝屏死机（ BSOD ）。幸运的是，由于需要知道关于进程创建时大量无事实证明的细节，所以在处理 Process Doppelgänging 攻击方面具有技术挑战性。然而坏消息是，因为利用了 Windows 系统的基本特性和过程加载机制的核心设计，所以攻击并不能修补。 更多阅读：BlackHat Europe 2017 （ 12 月 6 日– 7 日简报） 消息来源：Security Affairs，编译：榆榆，译审：青楚、FOX，终审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ClearSky 发布的一份最新报告称，美国当局指控一名侵入 HBO（有线电视网络媒体公司）系统的男子与伊朗网络间谍组织 Charming Kitten 有关。 上个月，美国指控伊朗电脑专家 Behzad Mesri 侵入 HBO 系统并窃取《权力游戏》的剧本和剧情摘要。该名男子威胁称如果 HBO 不支付 600 万美元的比特币赎金，他将会泄露所有数据。据美国司法部透露，黑客 Mesri 是伊朗黑客组织 Turk Black Hat 成员，该组织主要针对美国和世界各地的数百个网站的网络攻击，Mesri 也曾代表伊朗军方进行网络攻击，其攻击目标是军事系统、核软件系统和以色列的基础设施。 专家们通过“跟踪” Turk Black Hat 黑客组织中的另一名成员 ArYaIeIrAN 后将黑客 Mesri 和 Charming Kitten 组织关联起来，因为与 Mesri 相关的电子邮件地址被 Charming Kitten 用来注册域名。并且，同样的电子邮件地址也在名为 MahanServer 的伊朗托管公司注册了一个域名，同时托管了 Charming Kitten 的基础设施。 此次事件中还有一个关键人物 Mohammad Rasoul Akbari， 他是伊朗托管公司 MahanServer 唯一的员工，也是 Mesri 的 Facebook 朋友。由此可见， Mesri 和 ArYaIeIrAn 是通过 Mahanserver、 Akbari 为 Charming Kitten 提供基础设施。 相关阅读： clearskysec 发布的关于黑客组织 Charming Kitten 的调查报告 消息来源：Security Affairs，编译：榆榆 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。