据外媒报道，黑客继去年利用大量不安全物联网设备发动 DDoS 攻击后开始转向另一种极其流行且安全的设备展开新一轮攻击，即运行 Google Android 系统的智能手机与平板设备。 调查显示，攻击者利用官方应用商店传播的恶意程序创建 Android 僵尸网络发动 DDoS 攻击。据悉，被称为 WireX 的僵尸网络在其高峰时最高控制 100 多个国家逾 12 万 IP 地址。然而，当前各企业很难抵御这种 IP 地址遍布全球的 DDoS 攻击。 研究人员表示，他们已在 Google 官方应用商店中发现 300 余款应用软件与僵尸网络 WireX 有关，其中多数应用主要提供铃声、视频或存储管理器等服务。目前，Google 经证实后紧急下架部分应用以减少目标设备沦为 DDoS 攻击的动力来源。据悉，这些应用程序多数由俄罗斯、中国与其他亚洲国家的用户下载，尽管 WireX 僵尸网络当前仅在小规模攻击活动中处于活跃状态。 幸运的是，在该 Android 僵尸网络膨胀到难以控制前，包括 Cloudflare、Akamai、Flashpoint、Google、Dyn 等在内的科技公司已积极采取行动并对其进行联合打击。此外，如果用户设备运行的是 Android 操作系统的最新版本，那么该系统中包含的 Google Play Protect 功能将会自动移除已下载的恶意 WireX 应用。目前，研究人员建议用户从 Google 官方商店下载应用程序并始终在移动设备上保持全方位杀毒软件，以便在感染设备前阻止恶意程序下载。 本文根据 thehackernews 与 solidot奇客 联合翻译整理，编辑：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，安全研究人员于今年三月发现苹果 iOS 系统的 AVE 驱动模块存在多处安全漏洞，允许攻击者在进行提权并造成闪存损坏后完全控制 iOS 移动设备。调查显示，该漏洞仅适用于所有 64 位 iOS 10.3.1 版本。随后，网络安全公司 Zimperium 研究人员 Adam Donenfeld 于近期在 iOS 10.3.2 中对此漏洞进行修复后在线发布 iOS 核心漏洞概念验证（ PoC ）攻击程序 ziVA。 调查显示，该程序集成并利用 iOS 系统中的七处漏洞展开攻击，最终可以通过漏洞进行提权并直接控制整个设备，其漏洞分别包括： CVE-2017-6979、CVE-2017-6989、CVE-2017-6994、CVE-2017-6995、CVE-2017-6996、CVE-2017-6997、CVE-2017-6998 与 CVE-2017-6999。 概念验证程序的发布仅仅意味着 iOS 越狱开发团队可以借助上述漏洞针对 iOS 10.3.1 及早期版本开发越狱工具。目前，研究人员建议用户尽快升级到 iOS 最新版本以确保设备安全。 ziVA 概念验证程序地址及相关说明：https://blog.zimperium.com/ziva-video-audio-ios-kernel-exploit/ 本文根据 securityaffairs.co 与 蓝点网 内容翻译整理，编辑：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 28 日报道，网络安全公司 ERPScan 研究人员近期发现 SAP POS 支付系统存在一处高危漏洞，允许黑客任意修改 SAP 销售站点的目标产品价格、拦截支付数据以及收集特定时间内使用信用卡的详细信息等。目前，黑客已利用该漏洞更改支付价格并以 1 美元成功购买 MacBook。 调查显示，该漏洞位于 SAP POS 支付系统的 SAP POS Xpress 服务器中，允许攻击者在无需任何身份验证下多次访问系统程序、修改管理权限。 什么是 SAP POS？ SAP POS 是 SAP 零售解决方案组合的其中一部分，自 2000 年以来就已为全球 80％ 零售商提供服务。一般来说，SAP POS 由以下几种元素组成： Ο 客户端应用程序安装在商店的 POS 终端上，用于处理支付交易; Ο 存储服务器组件为商店后台提供连接、操作与管理功能。其中包括 POS Xpress 服务器以及一款存储服务器应用程序。 Ο 总部应用程序主要实现中央管理操作。 攻击场景 攻击者主要利用 SAP POS Xpress 服务器中缺少的授权检查功能远程访问 SAP POS 所在的同一网络环境。如果支付系统处于联网状态，攻击者就可进行远程攻击；但如果该系统尚未联网，攻击者则可通过连接一款成本仅需 25 美元的工具 Raspberry Pi 自动运行恶意命令进行远程访问。一旦进入系统，攻击者就可无限控制 POS 系统的后台与前端，任意上传恶意配置文件。 据悉，ERPScan 于今年四月就已通知 SAP 公司。随后，SAP 在 Security Note 2476601 与 SAP Security Note 2520064 系统中发布补丁程序。目前，研究人员建议客户尽快更新系统以保护公司关键业务资产免遭攻击。 原作者：Bogdan Popa ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

澳大利亚维多利亚州政府于 8 月 25 日正式启动新一项五年网络安全战略，旨在增强国家政府网络防御体系并确保国家信息、服务与关键基础设施安全。不过，该战略目前首要保护公民敏感信息免遭丢失、恶意更改或未经授权使用。 与此同时，由于政府希望国家服务、系统与基础设施在遭受严重网络攻击时能够迅速得以恢复，因此该战略发布后政府不仅对国家基础设施的威胁采取了全方位应对措施，还强调了公共管理部门的网络安全战略需要根据行业实践进行改进，使之保持一致并适合每个组织风险状况。另外，维多利亚州政府还希望国家能够将安全与维护功能纳入公民新数字服务项目，旨在提高政府核心基础设施的安全性与可行性。因此，该战略的发布首先要求私营企业与其共享安全信息。 知情人士透露，维多利亚州政府将于 9 月在总理府内阁任命一名首席信息安全官员并设立新网络安全办事处，负责监督战略推出与跨政府协调行动。目前，由于该战略的启动，政府机构将被要求向维多利亚州秘书委员会以及国家危机与应变委员会提交一份网络安全季度报告，用于进行正常的国家安全检查。 原作者：Asha McLean，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 8 月 27 日消息，网络安全公司 Proofpoint 研究人员近期在受攻击的 C&C 服务器中发现一款新型勒索软件 Defray，允许攻击者通过附带 Microsoft Word 文档的电子邮件发送至教育、医疗机构展开针对性网络钓鱼攻击。 据悉，研究人员于 8 月 15 日及 8 月 22 日分别观察到一起专门针对特定组织展开的网络攻击活动： 8 月 15 日，攻击者瞄准制造业与技术领域以 “ 订单/报价 ” 为主题发送包含嵌入式可执行文件（ OLE 对象包装程序）的 Microsoft Word 文档进行恶意软件肆意传播。此外，该附件还引用英国水族馆标志诱导用户点击下载。 8 月 22 日，攻击者主要针对医疗与教育机构展开攻击活动，攻击操作与此前类似，即通过发送包含嵌入式可执行文件（ OLE 对象包装程序）的 Microsoft Word 文档感染目标系统。另外，攻击者除了伪造医院信息管理与技术总监的身份发送钓鱼邮件外，还在邮件右上方设有英国医院标志作为诱饵，诱导用户点击查看。 研究人员表示，勒索软件 Defray 幕后黑手虽然要求受害用户支付 5000 美元赎金，但该票据包含多个电子邮件地址，或是为提供给受害用户在进行谈判或提问时使用。然而，值得注意的是，Defray 勒索软件主要针对硬编码的文件类型列表，不会更改文件扩展名。在加密完成后，Defray 勒索软件可能会通过禁用恢复功能或删除快照来对系统造成其他破坏。在 Windows 7 上，它则使用 GUI 来监视和关闭正在运行的程序，例如任务管理器和浏览器等。 目前，仅有两起针对性攻击活动已被证实，研究人员推测勒索软件可能作为一种恶意服务被网络犯罪分子私下使用，尽管它可能继续用于有限的针对性攻击，但短时间内也不会被大规模传播。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 26 日报道，美国工控系统网络应急响应团队 ICS-CERT 近期发布安全警报，宣称 Cisco IOS / IOS XE 系统的简单网络管理协议（SNMP）存在多处高危漏洞，允许通过身份验证的远程攻击者在受影响系统上执行任意代码或触发 DDoS 攻击，从而导致该设备出现重新加载系统的现象。目前，全球包括制造业、能源、水资源系统在内的各行关键基础设施普遍遭受影响。 调查显示，研究人员发现知名企业罗克韦尔的工业以太网交换机 Allen-Bradley Stratix 与 ArmorStratix 存在上述漏洞，其受影响版本包括： ○ Allen-Bradley Stratix 5400、5410、5700 与 8000 运行的 15.2（5）EA.fc4 及早期版本； ○ Stratix 5900 运行的 15.6（3）M1 及早期版本； ○ Stratix 8300 运行的 15.2（4）EA 与早期版本； ○ ArmorStratix 5700 运行的 15.2（5）EA.fc4 及更早版本； 然而，由于关键基础架构依赖于 Cisco IOS 系统软件与企业网络的安全集成，因此这意味着该漏洞将会影响罗克韦尔自动化产品。罗克韦尔在发现设备存在漏洞后当即向客户通报，并表示其中九处漏洞影响 SNMP 子系统的 1、2c 与 3 版本。此外，研究人员还发现攻击者可以利用上述漏洞通过 IPv4 或 IPv6 协议向受害系统发送 “ 精美 ” 的 SNMP 数据包，从而到达完全控制受害系统的目的。 据悉，思科（Cisco）于 6 月 29 日公开披露上述漏洞，后续发布了 Stratix 8300 设备运行的 15.2（4a）EA5 版本的修复补丁。目前，罗克韦尔在等待其他设备更新的同时，敦促客户禁用特定管理信息数据库、使用强大的 SNMP 凭证，通过防火墙或其他安全设备阻止未经授权的 SNMP 请求。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 8 月 26 日消息，安全研究人员 Ankit Anubhav 近期在 Twitter 上分享了一条消息，声称逾 1700 台 IoT 设备的有效 Telnet 凭据在线泄漏，疑似成为黑客通过僵尸网络进行 DDoS 攻击的动力来源。 据悉，该列表包含 33,000 个 IP 地址，最初于今年 6 月在 Pastebin 平台出现，早期名单的泄露者与此前发布有效登录凭据转储、散发僵尸网络源代码的黑客是同一人。 统计显示，该列表中的多数 IoT 设备均包含默认登录凭证，其出现频率最多的前五名分别是： root: 出现 782 次 admin: 出现 634 次 root: 出现 320 次 admin: 出现 21次 default: 出现 18 次 GDI 研究人员 Victor Gevers 在分析了上述列表后确认它由 8200 个独特 IP 地址组成，大约每 2.174 个 IP 地址是通过远程登录凭证进行访问的。然而，该列表中的 61％ IP 地址位于中国。 此外，该开发人员还在 Pastebin 平台上公布了包括标题为 “Easy To Root Kit”、“Mirai Bots”、“Mirai-CrossCompiler”、“Apache Struts 2 RCE Auto-Exploiter v2”、“Slowloris DDoS Attack Script” 等在内的恶意脚本，以供其他网络罪犯任意使用。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 ibtimes 报道，俄罗斯国家通讯社 Tass 于 8 月 25 日以 “ 乌克兰或是五角大楼的生物测试基地 ” 为主题发布报导，宣称乌克兰黑客组织 CyberBerkut 已有证据表明美国政府目前在乌克兰“资助”了至少 15 所秘密生物实验室，这极有可能是该国近年来发生一系列疾病事件的罪魁祸首。然而，其他一些媒体透露，他们与 Tass 的报导恰恰相反，即乌克兰疾病现象或与俄罗斯政府秘密传播（生物）恶意病毒有关。 CyberBerkut 研究人员经调查显示，虽然美国政府自 2009 年以来就已在乌克兰 “ 赞助 ” 了至少 15 台生物设施，但当地工作人员尚未完全侵入乌克兰含病毒与细菌的主要储存单位。据悉，该组织在入侵美国前军事医疗官员 Eliot J. Pearlman 个人电子邮件时，发现一项涉及美国国防情报局（DIA）的一起阴谋，即该名官员已在乌克兰成立了一家非政府组织机构–国际艾滋病研究所。 图：CyberBerkut 宣称美国使用乌克兰作为化学武器的测试基地 对此，研究人员推测，乌克兰出现罕见病毒现象可能是美国专家在测试与改进实验病毒时故意释放的结果。黑客团队 CyberBerkut 的结论指出乌克兰显然违背了 国际化学武器公约条款，并表示随着美国的援助，乌克兰当局也正在把该国变成致命武器试验场所，甚至危及整个国家生存安全。 不过，亦有相关人员认为，俄罗斯国家通讯社 Tass 的报导忽视了黑客组织 CyberBerkut 的身份和动机，对于该起事件仍需展开深入调查。 相关链接：俄罗斯国家通讯社 Tass 报道《 Hacker group says US biological labs active in Ukraine  》 原作者：Jason Murdock，译者：青楚，审核&校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  24 日消息，纽约大学计算机科学与工程教授 Nasir Memon 带领的团队于近期推出一款新型触屏技术 IllusionPIN，可混淆网络犯罪分子视觉效果，以防止用户在智能手机或 ATM 机输入密码时被看到或复制。 IllusionPIN 是一款安全防御系统，其主要采用了两种触屏键盘的混合图像技术，从而到达混淆网络犯罪分子的视觉效果，即用户在智能手机或 ATM 屏幕上看到的数字键盘将与网络犯罪分子远程想要监控的数字键盘完全不同。 为使该系统更加安全，用户每次需要输入密码时，该键盘配置都会重新打乱，这使任何人几乎不可能记住此前所使用的密码模式。据悉，研究人员在对智能设备进行 84 次模拟演练后宣称没有人能够成功破解该程序代码，而相比之下，他们在没有使用 IllusionPIN 工具时进行相同测试，发现成功攻击概率接近 100％。 研究人员表示，不起眼的密码曾经是阻止网络犯罪分子窃取用户隐私的唯一途径，但随着科技的发展，现在这种想法看起来相当荒谬。因此，对于使用屏幕而并非键盘的现代机器来说，该种光学错觉技术可提高网络系统防御体系。目前，智能设备制造商也开始通过引入指纹识别或虹膜扫描的生物特征技术加强设备系统安全。 原作者：James Billington，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 24 日报道，卡巴斯基实验室（Kaspersky Lab）研究人员近期发现黑客正利用  Facebook Messenger 进行跨平台攻击活动，即通过社工手段以目标用户好友身份发送特殊视频链接。一旦点击链接，则会根据用户浏览器与操作系统将其重定向至虚假网站并诱导用户下载安装广告软件，从而获取暴利。 例如，当 Windows Mozilla Firefox 用户点击该链接时，将会被其重定向至虚假 Flash 播放器更新网站。如果用户点击更新，则会自动下载一款提供 Windows 可执行文件的广告软件。 然而，Google Chrome 用户则会被重定向至虚假的 YouTube 网站，同时该网站会诱导受害者从 Google 应用商店下载恶意 Chrome 扩展程序，从而自动下载恶意广告软件至受害者设备。 此外，苹果 Mac OS X Safari 用户最终则会被重定向至 Firefox 页面，其中将会出现虚假的 Flash 媒体播放器更新窗口。如果用户点击更新，则会自动下载提供 OSX 可执行文件的广告软件。 调查显示，攻击者实际上并未使用任何银行木马或漏洞感染平台用户，而仅仅是通过恶意广告文件牟取暴利。对此，为保障用户系统安全，研究人员建议用户切勿轻易点击任何非可信来源的图像或视频链接，并始终保持系统杀毒软件更新至最新版本。 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。