据外媒 6 月 24 日报道，Fox-IT 安全专家近期证实，数十秒可利用廉价设备通过侧向通道攻击一米（ 3.3 英尺）内的无线系统并窃取 AES-256 加密密钥。 据悉，研究人员使用价值 224 美元的现成电子元件监测计算机电磁辐射，并在空中搜索密钥的整个过程虽然需要五分钟，但专家注意到，缩小距离至 30 厘米的同时即可缩短时间至 50 秒内提取密钥。随后，专家们组建了一台监测设备，即由一个简单回路天线连接至外部放大器与带通滤波器后，插入一款无线 USB 存储数据。该组件极其精巧，可隐藏在夹克或笔记本电脑的外壳中。专家表示，他们设计的系统能够记录由 ARM Cortex-M3 供电芯片运行产生的 SmartFusion2 无线电信号。 通过测量 Cortex 处理器与 AHB 总线之间的漏洞，可将其消耗与加密过程相互关联，以便提取加密密钥。研究人员表示，他们通过在测试台上运行不同的加密过程，绘制与单个字节信息相关的功耗分析。为提取密钥，研究人员使用不同输入算法观察各款加密模块，并尝试对设备泄漏的数据进行建模分析。结果显示，专家通过该技术能够推测出单个字节存在 256 个可能值。 专家强调，该技术在目标系统附近操作更为有效，因为电磁信号辐射随距离的递增迅速下降。此外，该技术还可通过高昂设备进行改进。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 22 日报道，CyberArk 安全研究人员发现可通过英特尔处理器 Processor Trace（Intel PT）新功能绕过基于跟踪处理器的 Windows 10 PatchGuard 破坏目标系统设备。 这种绕过方式被称为 GhostHook，能允许攻击者入侵受损设备并在内核中运行恶意代码，以致完全破坏目标系统。微软表示，虽然目前修复该漏洞极其困难，但他们会尽可能在未来版本的 Windows 中解决这个问题，CyberArk 也证实最快的修复途径或来自 PatchGuard 安全厂商的支持。 微软发表声明，指出他们鼓励客户在线应用计算机设备时保持良好的操作习惯，包括点击网页链接、打开未知文件或接受文件传输。Intel PT 于 PatchGuard 之后发布，它使安全供应商能够监视 CPU 中执行的命令堆栈，以便恶意软件入侵操作系统之前识别攻击活动。 网络研究高级总监 Kobi Ben Naim 表示：“ 我们可以在内核中执行代码，并且不会被微软产生的任何安全功能所忽视 ”。获悉，多数安全厂商依靠 PatchGuard 与 DeviceGuard 以获取可靠信息，并分析其是否遭恶意攻击。研究人员表示，该漏洞可绕过安全产品的检测（包括反恶意软件、防火墙、基于主机的入侵检测等）。 Naim 透露，该攻击活动主要由国家领域内知名的黑客组织展开。就像黑客组织 Flame 与 Shamoon 曾利用 64 位恶意软件在机器设备与网络上建立立足点那样，倘若该恶意代码被公开或被用于勒索攻击，那么将会导致严重后果。 CyberArk 认为，微软的弱点在于 Intel PT ，特别是当 Intel PT 与操作系统进行通话时。此外，Intel PT 是一个硬件级的调试跟踪接口，内核代码能够要求从 CPU 接收与读取信息。其微软实现 API 的方式是研究人员发现的问题所在，这使黑客不仅可以读取信息，还可以将代码植入内核中的安全位置。因此，攻击者在安全应用层进行交互时可以运行任意代码，而不会被安全软件侦测。目前，CyberArk 虽然并未发现此类攻击活动，但相信部分国家已在利用该漏洞展开攻击。 原作者：Michael Mimoso， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 24 日报道，俄罗斯要求审查西方科技巨头思科、IBM、德国 SAP 与 McAfee 各种安全产品源代码，旨在避免代码被复制或篡改，确保无任何 “ 后门 ” 可用于间谍活动。然安全专家担心此举或为俄罗斯当局在产品源码中发现新漏洞提供便利。 自 2014 年以来，俄罗斯当局于市场出售安全产品源代码之前，就已要求审查西方多家科技公司的产品来源是否规范。俄罗斯联邦安全局（ FSB ）要求审查防火墙、防病毒应用程序与其他包含加密软件的产品源代码，以确保无任何 “ 后门 ” 可用于间谍活动。 据美国贸易律师与官员透露，那些拒绝 FSB 请求的公司可能会延迟或被拒绝出售其安全产品。不过官员与安全专家表示，这些审查可能会让俄罗斯发现产品源代码中的安全漏洞。调查显示，该审查由俄罗斯多家科技公司代表俄罗斯政府进行。路透社指出，其中多数公司目前或之前均与俄罗斯执法政府或俄罗斯军队有关。 目前，虽然多数科技公司同意对其产品源代码进行审查，以便获取俄罗斯对其 IT 行业 184 亿美元的支持，但赛门铁克表示，考虑到安全问题他们将不再与 FSB 合作。此外，知情人士透露，IBM、思科、惠普、迈克菲与德国 SAP 已经允许俄罗斯在安全设施中审查其产品源代码、严格遵守程序以避免其代码被复制或篡改。 据悉，审查源代码的请求并非俄罗斯专有。全球安全产品在进入中国市场之前，中国也要求过进行产品源代码的审查工作。 原作者：Hyacinth Mascarenhas， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据《 纽约时报 》23 日报道，俄罗斯黑客近期在暗网中出售数千名英国首席政治家、高级官员与外交官的登录凭证，其中包含电子邮件地址与登录密码等重要信息。尽管该数据已过时，但它仍存有潜在安全风险。 获悉，英国记者根据两张被盗数据清单发现 1000 名英国国会议员与议会工作人员、7000 名警察雇员以及 1000 余名境外政府官员的私人登录凭证。数据显示，英国内阁大臣、大使与高级警官的密码信息已遭黑客于暗网中进行私密交易。 安全专家推测，该清单疑似由过时数据库 LinkedIn 与 MySpace 组成，其主要风险可能与受害者使用相同凭证访问敏感系统与网络有关。有趣的是，尽管官方建议政府官员使用复杂密码进行设置，但数据分析显示，多数政治家的密码设置都极其简单，极易破解。 一旦登录凭据遭黑客窃取，网络犯罪分子就可实施高度针对性的网络钓鱼攻击活动，致使机密数据存在被盗风险。安全专家强烈建议重要官员更改登录密码，以防黑客再度窃取私密信息。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 22 日报道，维基解密（ Wikileaks ）近期再度曝光一批新 Vault7 文档，旨在揭示美国中央情报局（ CIA ）使用勒索软件工具 “野蛮袋鼠” （Brutal Kangaroo ）监控 Microsoft Windows 操作系统、远程访问处于安全隔离状态的网络设备。 Brutal Kangaroo 是一款用于监控 Windows 系统的工具组件，其主要通过使用闪存盘的 Air-Gapped 侵入封闭网络。此外，Brutal Kangaroo 组件在封闭目标网络中将会创建一个自定义私密网络空间，并提供执行调查、目录列表与任意可执行文件的功能。而 Air-Gapped 主要是在高安全性的环境与关键基础设施中实现网络隔离。 据悉，维基解密在线发布了 2012 年 Brutal Kangaroo v1.2.1 版本文档。调查显示，旧版本的 Brutal Kangaroo 代号为 EZCheese。目前，它正利用 2015 年 3 月发现的漏洞展开攻击活动。 分析显示，CIA 可利用该工具组件渗透组织或企业内部的封闭网络，即无需直接访问，就可开始感染组织内的联网机器。当用户将 U 盘插入受感染机器时，闪存盘本身会感染一种单独的恶意软件 Drifting Deadline，并允许在封闭网络内肆意传播至其他受害设备中。如果该储存装置用于封闭网络或 LAN / WAN 之间复制数据，用户迟早会将拔下的 USB 插入封闭网络上的计算机中。随后，通过使用 Windows 资源管理器浏览 USB 驱动器的网络隔离计算机设备，终将会感染该恶意软件。 此外，当恶意软件在封闭网络中传播时，多台受感染计算机将处于 CIA 的操控下，组成 一个可协调攻击者活动与数据交换的私密网络。尽管该份文档中并未明确说明具体细节，但这种破坏封闭网络的方法与黑客组织 Stuxnet 的攻击方式极其相似。 Brutal Kangaroo 工具组件由以下几部分组成： Drifting Deadline：用于感染闪存盘的恶意工具 Shattered Assurance：一款处理闪存盘自动感染的服务器工具 Broken Promise：Brutal Kangaroo 后置处理器，用于分析收集到的信息 Shadow：主要存留机制（第二阶段工具，分布在封闭网络中，充当隐蔽指挥控制网络;一旦安装多个 Shadow 并共享驱动器、任务与负载将可以来回互相发送信息）   原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 21 日报道，百名安全研究人员与计算机科学专家近期共同签署一份声明，旨在警示美国国会在确保国家与联邦选举公正性的同时，及时采取行动、加强网络安全标准。 获悉，安全专家还提出若干项建议，旨在形成强大、可执行与明智的联邦基础标准，以恢复选民对美国选举的必要信心。此外，该声明中还指出美国国会在未来选举中理应确保任何电子选举机器可通过选民验证的纸质投票确定真实记录，以表选民选举意图。 知情人士透露，该声明信中还引用了一份 NSA 机密报告，披露了美国知道总统选举之前俄罗斯黑客对针数十个国家投票系统进行了攻击活动。不久之后，彭博社报道，奥巴马政府使用一款 “ 红色电话 ”，专门用于与克里姆林宫就网络事件进行沟通，以警示俄罗斯不要再试图影响美国大选。 目前，随着 2018 年的下一次选举与同期若干地方的选举，安全专家们强烈要求国会议员提供资金、升级国家系统技术并取代无纸投票电子系统，以保障公民真实选举意识。 原作者：Zack Whittaker， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 20 日报道，安全研究人员发现银行恶意软件 TrickBot 在升级后开始针对银行支付处理器（PayPal 贝宝）与客户关系管理（ CRM ）供应商的系统设备展开攻击活动。 恶意软件 TrickBot 最初于去年 9 月由安全公司 Fidelis Cybersecurity 研究人员发现。据悉，TrickBot 首款样本仅实施单一数据窃取功能。数周后，研究人员在捕获另一批新样本后发现疑似处于测试阶段的 web 注入样例。 调查显示，TrickBot 曾于 2016 年底针对英国与澳大利亚银行，以及亚洲金融机构进行多次攻击。此外，研究人员表示，TrickBot 与 Dyre 存在多数相似之处，虽然新银行木马程序的代码似乎已用不同编码风格进行了重写，但还是存留了大量相似功能。 今年 5 月，TrickBot 已被用于瞄准 20 家私人银行展开攻击活动，其中包括 8 家英国建筑协会、2 家瑞士银行、1 家德国私人银行与 4 家美国投资银行。后续研究人员分析了截止至 5 月份处于活跃状态的 26 款 TrickBot 配置，发现其中涉及两家支付处理与 CRM SaaS 供应商的系统设备。 近期，Fidelis Cybersecurity 研究人员又针对两起影响较为严重的攻击活动进行了检测。结果显示，这两起攻击活动主要针对同一美国支付处理器，但仅有第二起活动是针对 CRM 供应商的系统设备进行攻击。以下是研究人员针对这两起攻击活动的分析结果： 第一起攻击活动： 1、目标银行网址占 83％，其中英国银行占 18% 2、PayPal （归属美国的支付处理器），其中被入侵的 PayPal URL 有 35 个 第二起攻击活动： 1、英国目标银行占 47％ 2、英国新增受感染 PayPal URL 3、CRMs Salesforce.com 与 Reynolds＆Reynolds 在美国汽车行业出售 CRM 目前，研究人员已证实欧洲网络托管提供商的 6 个 C&C 服务器 IP 地址中，有 3 个托管在亚洲运营。此外，所有 IP 地址均使用 443/HTTPS 端口与受感染主机进行通信，以规避安全软件的检测。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

ProtonMail 技术公司于 6 月 20 日正式公开推出新加密电子邮件服务 ProtonMail VPN 技术，旨在保障公民隐私权益、反击政府监督与在线间谍攻击活动。 研究人员表示，新 VPN 的技术开发耗时一年完成，实现了 CERN 与麻省理工学院科学家们创建新加密电子邮件服务的梦想。ProtonVPN 将与多数企业 VPN 一样要求用户注册付费订阅服务，同时也提供免费试用服务，但会限制数据或在线流量活动范围。 Proton 公司表示，希望未来可以保护公民隐私权益，创建安全合法的互联网空间，而不是像 Google 或 Facebook 那样“滥用用户隐私数据开展广告业务”。 原作者：Charlie Osborne， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，印度政府近期发现黑客利用恶意软件 Rufus 针对使用过时 Windows XP 系统的 ATM 机展开攻击活动。目前，印度西孟加拉邦、古吉拉特邦、奥里萨邦与比哈尔邦等多地 ATM 机纷纷遭殃，导致大量资金被盗。 调查显示，网络犯罪分子于夜间瞄准无人值守的 ATM 机，使用已感染的驱动器插入 ATM 机上 USB 端口以感染目标系统。一旦恶意软件成功感染 ATM 机，它将重新启动系统、中断与服务提供商服务器的连接。此外，恶意软件 Rufus 在感染系统后将生成特定代码并回传，攻击者将代码译成密码后便利用 ATM 机自动 “ 吐钱 ” ，整个过程无需破坏硬件或窃取用户信用卡数据。知情人士透露，由于该恶意软件绕过 ATM 服务器，因此黑客在窃取资金时设备不会发出警报。 安全专家表示，此类问题系由 ATM 机本身缺乏必要的安全措施导致，预计印度政府将迫使 ATM 制造商升级系统设备。不过，ATM 供应商否认了其设备“存在任何安全漏洞并已被攻击者利用”这一说法。印度储备银行正与国家支付企业紧密合作，旨在提高金融设备安全性。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 19 日报道，McAfee Labs 安全研究人员发现一款新型银行恶意软件 Pinkslipbot（又名：QakBot / QBot）可使用复杂多级代理通过 “HTTPS 控制服务器”通信。 Pinkslipbot 最初于 2009 年被赛门铁克检测曝光，是首款利用受感染机器作为 HTTPS 控制服务器的恶意软件。此外，Pinkslipbot 还是一款具有后门功能的爬虫，可在采集登录凭证的僵尸网络中聚集受感染设备。近期，Pinkslipbot 变种新增了高级规避检测功能。 安全专家注意到，Pinkslipbot 使用通用即插即用（UPnP）功能为目标设备提供路径，以感染恶意软件 IP 地址列表中提供的 HTTPS 服务器。这些设备充当 HTTP 代理并将路径传输至另一层 HTTPS 代理，能够允许对真实的 C＆C 服务器 IP 地址进行伪装。 据悉，该恶意软件只能使用美国 IP 地址利用 Comcast Internet 测速仪检测目标设备是否连接。如果目标通过速度测试，恶意软件将点击 UPnP 端口检查可用服务。目前，研究人员尚未分析清楚攻击者如何判定“受感染设备有资格成为控制服务器代理”的确切程序。 研究人员认为，评价结果或将取决于受感染机器是否满足三个条件，即 IP 地址位于北美、高速上网以及使用 UPnP 打开 Internet 网关设备端口的能力。一旦检测到可用端口，恶意软件将感染防火墙后的目标设备并通过建立永久端口映射路由流量，旨在起到 C&C 代理的作用。 目前，受感染机器从新 Pinkslipbot 感染源接收到控制服务器请求后，立即通过使用 libcurl URL 传输库的附加代理将所有流量路由传输至真实控制服务器中。为防止设备感染该恶意软件，用户应保留本地端口传输规则，并仅在必要时打开 UPnP。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接