流行的商业社交网络 LinkedIn 已在全球 200 多个国家拥有超过 5 亿会员。无论您是一名经理想要扩大团队力量还是一名毕业实习生寻找求职机会，LinkedIn 都是扩展职业关系的首选之地。其中该网站最常被使用的平台 Messenger 允许用户轻松发送简历、传递学术研究并在线分享职位描述。 据外媒 8 月 18 日报道，Check Point 研究人员发现 LinkedIn Messenger 平台存在多处高危漏洞，能够允许攻击者肆意传播恶意软件。目前，为保护用户信息安全，LinkedIn 只允许用户通过 Messenger 平台发送的文件类型有： 文件：csv、xls、xlsx、doc、docx、ppt、pptx、pdf、txt； 图片：gif、jpeg、jpg、png； Check Point 研究人员在一次试验中发现，攻击者可以绕过 LinkedIn 安全防御限制，并将恶意软件附加至 Messenger 服务模块，以感染收件人的系统网络。最终 Check Point 确定四处安全漏洞并于今年 6 月 14 日通知 LinkedIn，LinkedIn 安全团队经检测研究后在 6 月 24 日提供了修复补丁。 ○ 漏洞 1：编写恶意 PowerShell 脚本 攻击者编写了一份恶意 Power Shell 脚本，并将其保存为 .pdf 格式后上传至 LinkedIn 的 CDN 服务器： 然后攻击者继续发送 .pdf 文件。与此同时，攻击者在此阶段控制文件名称（Name 参数）、文件格式（MediaType 参数）与文件扩展名。当受害者下载并打开文件时，将会当即执行 Payload 、感染受害者设备。 ○ 漏洞 2：更改注册表文件数据 REG 是可以在 Windows 注册表数据库中进行更改的文件类型。简而言之，注册表包含重要数据，如程序参数、动态窗口模块、安装/卸载程序列表等。REG 文件类型主要为高级用户设计，以便他们更容易地执行所有更改而不是手动应用。然而，攻击者就是通过制作一个包含恶意 PowerShell 脚本的 REG 文件，并将其伪装成 .pdf 格式后通过 LinkedIn 平台发送给目标受害者。当受害者打开文件并触发恶意软件后，攻击者即可控制用户设备。 ○ 漏洞 3：注入宏病毒代码 攻击者编写了一份嵌入宏病毒的恶意 XLSM 文件，允许绕过杀毒软件检查后成功上传至 LinkedIn 的 CDN 服务器并发送给受害者。当受害者打开恶意 XLSM文 件时，受害者设备将当即遭受感染。 ○ 漏洞 4：编写包含 OLE 的恶意文件（CVE 2017-0199） 攻击者通过编写包含外部对象的恶意文件 DOCX 后，上传至 LinkedIn 的 CDN 服务器并绕过杀毒软件发送给受害者。当受害者打开恶意 DOCX 文件时，WINWORD 会通过目标对象链接自动下载并运行 HTA 文件。一旦成功执行 HTA 文件，受害者设备将当即遭受恶意软件感染。（观看演示效果可点击此处） 原作者：Check Point，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 18 日报道，美国国家标准技术研究所（NIST）近期提出新 IT 安全措施草案，其首次将隐私权纳入国家核心文本，并将安全领域扩大至物联网与智能家居技术。 该草案中的 “ 信息系统与组织的安全和隐私控制 ” 将成为美国执法的标准与指导方针，并作为更广泛行业的基准。因此，它可能对美国技术的使用与实施产生巨大影响。 据悉，该草案的前言参考今年早些时候发布的网络防御任务评估，即所有新设备与系统均对国家关键基础设施存在安全隐患的一说。报告还指出，针对美国关键基础设施的网络攻击超过安全漏洞威胁，美国在未来的十年中必须积极主动的采取系统性的网络防御措施。目前，NIST 试图做到这一点，并主动推出系统性方法。 现今，数百万用户掌握着强大的计算机设备，导致 NIST 的审查不得不考虑到公民隐私安全问题，因此隐私已成为该报告核心内容。报告指出，NIST 最终目标是使国家信息系统能够轻松抵御威胁，减少攻击破坏并使系统迅速恢复。值得注意的是，该报告部分内容此前仅影响美国联邦机构，但现今 NIST 已开始积极将其投放至私营企业并希望建立一个更完整的弹性网络。 除此之外，NIST 还提出一个特定的隐私计划和以隐私为重点的单独培训，其中包括两个广泛的附录，这些附录可以追踪文件中所有不同名称与编号的控件隐私要求和注意事项。 NIST 呼吁各组织机构： ○ 建立和维护一个全面的隐私计划 ○ 确保符合隐私要求并管理隐私风险 ○ 监督联邦法律、法规和变更政策 ○ 指派一名高级机构官员监督项目进程 ○ 确保隐私计划与其他项目之间的协调 总体而言，虽然文档篇幅较长且密集但它是网络规则的关键文档，将适用于成千上万不同 IT 系统、囊括对隐私与传统服务器设备的多项考虑。据悉，该草案的征求意见截止于 9 月 12 日，NIST 希望能在 10 月份发布最终草案并在年底之前正式推出。 原作者：Kieren McCarthy，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，安全专家近期发现黑客伪造美国合法加密货币交易平台 Bittrex，旨在窃取用户登录凭据与账户资金。 美国加密货币交易网站 Bittrex 于 2015 年正式推出，支持包括比特币在内的数百款加密货币交换。不过，它仅支持英文且尚无任何联盟计划。Bittrex 由专业人士操作，主要目标是赢得客户信赖，确保货币交易更加安全快速。 据悉，一名在线用户于 8 月 15 日首次发现自身 Bittrex 帐号遭黑客入侵，且被盗约 2000 美元。研究人员随后经调查发现，黑客模仿合法网站 Bittrex 创建虚假交易平台，甚至连登录页面都极其相似，以诱导受害者泄露自身登录凭据。不过，伪造的 Bittrex 网站存在微小差异。例如，该虚假网站域名为 Blttrex.com，它使用字母 “ l ” 取代 “ i ”。 一家提供 IP 地址信息的知名平台 who.is 向媒体透露，虚假的 Bittrex 网站由俄罗斯公民 Sergey Valerievich Kireev 注册，其网站收集的所有地址、电话号码、城市与邮政编码均可在 who.is 平台使用。另外，虽然该网站已处于离线状态，但尚不清楚是否被托管公司强制下线。目前，Bittrex 尚未对此进行回应。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，乌克兰中央银行于 8 月 18 日发表声明，警示乌克兰国有与私人银行再度遭受新勒索软件攻击，其类型与 6 月袭击全球各企业网络系统的勒索软件 NotPetya 相似。 6 月下旬，NotPetya 勒索软件网络攻击首次袭击乌克兰与俄罗斯公司，旨在加密电脑私人数据并要求受害用户缴纳 300 美元赎金。调查显示，此次攻击活动通过一款广泛使用的会计软件 MeDoc 感染恶意代码并于全球范围内肆意传播，而 TNT 快递、美国默克等知名企业在网络系统运营中普遍使用该款软件。 据悉，安全专家于 8 月 11 日发现新型勒索软件攻击后当即通过邮件迅速向各银行机构通报其恶意代码、特性指标，以及预防措施。经安全专家深入调查后发现，新型勒索软件通过网络钓鱼邮件附带的恶意办公文档进行肆意传播。目前，乌克兰央行正与国家 CERT 及地方当局密切合作，旨在提高其关键基础设施的网络系统防御能力（特别是乌克兰各大银行）。 安全专家表示 ，此勒索软件可能再次导致乌克兰各企业的网络系统面临严重危机，因该恶意代码具备规避杀毒软件功能。另外，由于 8 月 24 日是乌克兰庆祝国家脱离苏联独立的第 26 周年。因此，当局推测黑客极有可能在活动当天针对乌克兰基础设施展开大规模网络攻击。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，美国国防部非机密电子邮件系统于 8 月 18 日凌晨两点出现中断宕机现象。随后，美国国务院发言人 Heather Nauert 在当天新闻发布会上表示：“ 此次宕机属于内部技术故障，并非外部网络攻击干扰。目前，我们正尽快恢复该项服务，以确保用户信息安全。另外，其他通讯系统仍可继续使用 ”。目前系统已恢复正常。 与国防部非机密邮件系统中断发生的同一天，特朗普总统宣布升级美军网络司令部计划，旨在加强国家网络安全防御体系。据悉，特朗普宣布将美军网络司令部升级为美军第十个联合作战司令部，使其具备更多作战独立性并与其他主要军事指挥机构保持同步，有助简化网络空间运作，增强国家网络安全防御能力。 美国空军于 2009 年成立美军网络司令部，并于 2010 年 5 月 18 日正式启动，其总部设在华盛顿附近的马里兰州米德堡军事基地，曾隶属于美军战略司令部。该司令部主要统管全军网络安全与作战指挥，其司令由国家安全局局长兼任。 特朗普在一份声明中表示：“这个新联合作战司令部将加强美国网络空间运作，并创造更多机会提升国家防御水平。另外，美军网络司令部的升级显示了我们应对网络空间威胁的决心，有助于安抚我们的盟友与合作伙伴，并阻止敌对势力的网络攻击活动。” 美国负责国土防御与全球安全事务的助理国防部部长肯尼斯·拉普阿诺（Kenneth Rapuano）表示，美军网络司令部的升级是必要决定以应对日益危险与频繁出现的网络威胁。该决定是美军网络司令部不断努力提高网络能力的重要一步，使其网络命令能够提供真正有意义战略。与此同时，这也彰显了美国国防部在各个领域与冲突阶段加强美军作战能力的决心。 原文作者：Hyacinth Mascarenhas， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道， Drupal 研究人员于 8 月 16 日发布安全报告，宣称已修复 Drupal 8 多处漏洞并在线更新安全补丁。研究显示这些漏洞影响 Drupal 8 多个系统组件，包括实体访问系统、REST API 与部分视图组件。 ○ CVE-2017-6925 研究人员发现 Drupal 8.3.7 中存在一处高危漏洞（CVE-2017-6925），影响实体访问系统，允许攻击者查看、创建、删除或更新实体。不过，该漏洞仅影响不具备 UUID 实体，以及对同一实体不同版本有多种访问限制的实体系统。 ○ CVE-2017-6924 在 Drupal 8 中存在另一绕过访问权限的关键漏洞（CVE-2017-6924），即当无访问权限的任何用户驻留在 REST API 时，允许通过 REST 发布评论。目前，此漏洞已被评估为高危漏洞，因为它影响具有 RESTful Web 服务模块与启用注释实体 REST 资源的站点。 ○ CVE-2017-6923 在 Drupal 8 中还存在另一关键漏洞（CVE-2017-6923）影响视图组件。当用户创建视图时，可以选择使用 Ajax 通过过滤器参数更新数据。不过，视图子模块仅对配置为 Ajax 的视图进行访问。如果用户对视图具有访问限制，那么可以减轻系统损失，即使用户正使用另一模块显示。 目前，安全研究人员建议用户尽快全盘检测系统并将 Drupal 升级至最新版本。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，全球最大的集装箱航运公司马士基（AP Moller-Maersk）于 8 月 15 日在线公布《 2017 第二季度财务业绩报告 》，证实公司于 6 月遭受勒索软件 NotPetya 袭击后损失数亿美元。 调查显示，公司收入损失源自重大业务中断，因被迫暂时关闭感染恶意软件的关键系统 Damco 与 APM 终端作为防御措施。据悉，由于该恶意软件只影响马士基集装箱相关业务，因此包括所有能源企业在内的九家公司中六家能够正常运营。此外，马士基还于攻击期间对所有船只进行全面检测，以确保所有员工运输安全。 据统计，马士基只是数百家受害企业之一，此前乌克兰中央银行、俄罗斯石油巨头 Rosneft、广告企业 WPP、TNT 快递与律师事务所 DLA Piper 等机构也纷纷受其影响。马士基高管表示，此次网络攻击活动由以往不常见的恶意软件影响，其更新 Windows 系统与防病毒软件的措施并非最有效方案。目前，马士基正进一步加强系统保护方案。 关联阅读：美国制药巨头默克证实：NotPetya 网络攻击活动严重危及全球多领域业务 稿源：Mike_Mimoso， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，韩国 LG 电子服务中心于 8 月 14 日疑遭 WannaCry 勒索软件攻击。当局透露，虽然黑客在此次攻击活动期间使用的恶意代码与 WannaCry 极其相似，但安全专家还需更多调查确定真实原因。 5 月中旬，勒索软件 WannaCry 影响全球 150 多个国家/地区逾 30 万台电脑，其中英国国家卫生服务机构 （ NHS ）、日本本田汽车集团、美国医疗机构等知名企业普遍遭受影响。本月早期，WannaCry 黑客清理比特币赎金帐户，以便转移资金至匿名加密货币 Monero 以隐藏踪迹。 LG 当即向韩国互联网安全局（KISA）报告后发表声明：“ 此攻击活动由勒索软件引发，我们在检测后当即关闭服务中心网络。目前，虽然尚不清楚攻击过程如何发生，以及所使用的勒索软件是否包含原 WannaCry 代码或其不同变体，但当前并未发生数据加密或索要赎金等实质危害。安全专家表示，尽管微软已推出补丁解决中小企业安全系统漏洞事件，但并非所有机构均能立即更新系统，这意味着仍有多数企业极易遭受此类攻击。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在新加坡 Hack in the Box 大会前，一名参与者披露 iPhone 5s “安全区域” 已被攻破且解密密钥也已被放出，但目前 iPhone 用户没有立即担心的必要。8 月 16 日，Redmond Pie 率先爆料此事，因为某位名叫 “@xerub” 的 Twitter 用户晒出一款针对 Secure Enclave 固件的提取工具。如果经验不够老道，一般人也玩不转这款工具，因其输出为二进制的内核、以及管理 Touch ID 指纹传感器和 Secure Enclave 通信相关的软件。 需要指出的是，该过程并不涉及 Touch ID 指纹传感器 / Secure Enclave 在过去和当下传输的任何信息。然而，提取一部 iPhone 5s 上的加密密钥，也并不意味着该设备就此变得不安全。只是说在面对‘钓鱼’利用的时候，大家需要比以往多长个心眼，最好是认真检查下设备的 Secure Enclave 固件有没有问题。目前暂未听说有利用该工具来收集数据的报告，也不清楚攻击者将如何在目标设备上操作或安装。即便有基于此开发的工具，也都只是针对 iPhone 5s 而已，且需要物理接触到设备并加载定制固件。 苹果 A7 及后续处理器上的 Secure Enclave 安全区，均针对 iOS 设备上的数据存储操作进行了全加密保护。该工具需要借助自身的‘安全启动’，且可通过个性化的软件更新过程（与应用程序处理器隔离），因此需要对每一部设备都单独安装一次。Secure Enclave 负责处理来自 Touch ID 传感器的指纹数据，判断其是否与当前已注册的指纹相匹配，以允许机主的访问。每套配对的 Touch ID 分享了它们的加密密钥，然后用一个随机数来生成该会话的完整加密密钥。 稿源：cnBeta，封面源自网络；

据外媒 8 月 16 日报道，安全公司 Cybereason 研究人员 Uri Sternfield 近期发现勒索软件 Cerber 出现新型变种，可加密 Canary 文件、规避杀毒软件检测。        Canary 文件是一种安全防御手段，用于早期检测勒索软件威胁。研究人员表示，该文件位于系统特定位置，其附带的杀毒软件可监控任何恶意程序更改文件。如果发现恶意程序存在加密意图，那么它将当即提供必要防御方案。 调查显示，Cerber 新功能允许搜索包括 .png、.bmp、.tiff、.jpg 等在内的所有图像文件并检查是否有效。一旦发现图像格式正确，Cerber 将会对其进行加密并规避杀毒软件检测；如果图像格式不正确，Cerber 将跳过文件所在的整个目录。 研究员 Sternfield 表示，虽然该功能允许 Cerber 规避杀毒软件检测，但同时也会削弱自身价值。对此，研究人员建议用户可通过创建无效图像文件误导 Cerber 加密任何非重要目录。此外，Cybereason 还研发出一款免费应用程序 RansomFree，可保护用户免受恶意软件加密并自动在有价值的文件夹里生成 Canary 文件，然而，该做法极易创建非正常 Canary 文件。例如，将图像文件重命名为 .jpeg。因此，此操作并非永久防御措施，用户需要加强自身系统防御体系，以减少恶意软件攻击。 稿源：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接