卡巴斯基近期发布一份安全报告，指出今年物联网（ IoT ）新增恶意软件攻击数量较 2016 年翻一番。 卡巴斯基研究人员利用若干台运行 Linux 联网设备的蜜罐于 5 月采集了超过 7,200 款不同恶意软件样本，即此类恶意软件均通过 Telnet 与 SSH 端口感染连接设备。与此同时，蜜罐捕获的多数攻击行为均来自 DVR 或 IP 摄像机（63％），远远超过网络设备与其他无法识别设备。 调查显示，攻击卡巴斯基蜜罐的 IP 地址来自不同地理位置，其中主要集中在中国、越南、俄罗斯、巴西与土耳其。目前，研究人员已从逾 11,000 个 IP 地址（多数在越南、台湾与巴西）检测到超过 200 万次攻击尝试。 研究人员表示，尽管卡巴斯基指出运行不安全 IoT 设备可能导致的其他风险（例如黑客利用家庭网络进行非法活动），但多数受感染设备还是被迫接入了僵尸网络。目前，针对 IoT 设备与相关安全事件的恶意软件数量与日俱增，充分说明了智能设备安全隐患的严重程度。 据悉，在数百万联网设备中，除了暴露的 Telnet 与 SSH 端口外，薄弱或默认的登录凭据问题也将加倍恶化。这主要是因为许多此类设备的存在将制造商置于弱势状态，尽管固件更新可用，但极少设备具有自动更新的机制。 卡巴斯基表示，部分设备确实以一种不安全的方式实现了 TR-069 协议的远程管理功能；但该协议基于 SOAP 设计，仅供操作人员远程管理设备使用。此外，研究人员还利用安全级别较低的管理员默认密码进行检测。在许多情况下，这些密码不仅适用于特定型号设备，而且与多家厂商产品线也极其相似。 附：卡巴斯基分析报告：《 Honeypots and the Internet of Things 》 原作者：Michael Mimoso， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 17 日报道，荷兰开发人员 Luke Paris 创建了一款隐藏在 PHP 服务器模块中的新型 rootkit 程序，允许攻击者托管 Web 服务器并可有效规避检测。 众所周知，传统 rootkit 可在操作系统最低级别拦截内核操作、执行恶意活动。Paris 近期成功创建一款与 PHP 解释器交互的 rootkit 程序，从而取代了更为复杂的操作系统内核功能。Paris 表示，将 rootkit 写成 PHP 模块的原因显而易见，具体如下： 操作简单：将 rootkit 写成 PHP 模块要比学习编写内核模块容易得多，因为代码库本身体积更小、文档更完善，操作更简单。即使没有良好的文档或教程，任何一个开发新手在学习 PHP 模块编写基础知识后均可做到。 更加稳定：对于运行在内核的传统 rootkit 而言，编写不当可导致整个系统崩溃。而对于 PHP rootkit 而言，最糟糕的情况莫过于导致分段错误、中断当前请求（注：多数 Web 服务器在错误日志中均上报此类恶意操作）。 有效规避检测检测：由于系统缺乏对 PHP 模块的检测机制，PHP rootkit 可有效规避检测。而传统 rootkit 要求对每个进程进行系统调用，大大降低用户设备运行速度，更易引发怀疑。 易便携：PHP rootkit 具有跨平台功能，因为 PHP 模块多数情况下与平台相独立。 Paris 在社交平台 GitHub 上发布 PHP rootkit 概念证明。据悉，该开源项目代码连接至 PHP 服务器的 “ 哈希 ” 与 “ sha1 ” 函数，并仅由 80 行代码组成，因此极易隐藏在合法 PHP 模块中。 安全专家建议，管理员在安装 PHP 后应保留模块哈希列表。此外，还可使用定时功能尝试对扩展目录中的所有文件进行散列排序并将其与当前散列对比。目前，Paris 已发布 Python 脚本，用于检查用户设备 PHP 模块 SHA1 哈希值。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

2017 年 6 月 13 日，美国计算机安全应急响应团队（ US-CERT ）发布一份名为 “ Hidden Cobra （ 隐身眼镜蛇 ）” 的联合技术预警（TA17-164A），旨在声明朝鲜黑客组织 Lazarus 针对全球基础设施开展 DDoS 僵尸网络攻击活动。 该报告结合了美国国土安全部（ DHS ）与联邦调查局（ FBI ）联合调查的结果，其中还包括一份与恶意软件 DeltaCharlie 感染系统相关的 IP 地址列表。DeltaCharlie 最初被 Novetta 联盟发现并宣称是黑客组织 Lazarus 武器库的 DDoS 工具。此外，该报告还称 Lazarus 为 Hidden Cobra，并将该组织活动与朝鲜政府关联。 目前，尚不清楚该报告列出的 IP 地址到底是命令与控制基础设施的一部分，还是 DeltaCharlie 反射器/放大器设备，亦或二者兼有。为了解所列 IP 地址是否与 DDoS 攻击存有直接关系，研究人员将其与 Arbor ATLAS 基础设施所观察到的攻击信息相互关联。Arbor ATLAS 收集来自近 400 家全球分布式服务提供商的匿名 DDoS 攻击数据，旨在执行 Arbor 智能 DDoS 解决方案（ IDMS ）。以下数据来自 Arbor ATLAS 基础设施 01MAR17 与 13JUN17 之间监控的 DDoS 攻击数据： 值得注意的是，ATLAS 检测数据包括约 1/3 互联网流量，因此某些攻击活动可能无法在数据记录中体现。此外，与 ATLAS 共享的多数攻击数据采用匿名形式，以便隐藏信息源或目标 IP 地址。所以，使用 TA17-164A 提供 IP 地址主机实际占比可能高于 ATLAS 观察到的 3.8％。 众所周知，僵尸网络 DeltaCharlie 支持的 DDoS 攻击方法主要有 DNS 反射/放大、ntp 反射/放大攻击与 chargen 反射/放大攻击，即可以使用 Arbor TMS 与 Arbor APS 等智能 DDoS 缓解系统（IDMS）。此外，考虑到 DeltaCharlie 不支持 LDAP 反射/放大攻击，即不可使用 Arbor TMS 或 Arbor APS 等 IDMS 缓解操作。 令人困惑的是，如果该报告中的 IP 地址包括启动反射/放大攻击的机器设备，那么受害者将永远不会看到那些 IP 地址，其只会观察到被机器设备滥用的开放式反射器产生的攻击流量。这就增加了一种可能性，即 TA17-164A 仅列出了那些被 DeltaCharlie 滥用的 “ 无辜 ” 受害者，因为 DeltaCharlie 并不支持 LDAP 反射/放大。 TA17-164A 报告显示了近期受攻击活动影响的 24 个 IP 地址。虽然这些 IP 地址主要集中在俄罗斯伏尔加格勒，但 ATLAS 观察到其中被用来发动 DDoS 攻击的 IP 地址最大集中于沙特阿拉伯，其次是阿联酋。此外，美国、英国、澳大利亚、法国、新加坡等国也纷纷受到影响。下图描述了 DDoS 每日攻击数量，即 TA17-164A 警报中至少有一个 IP 地址被视为参与攻击的源地址： 鉴于 DDoS 攻击活动常与地缘政治活动有关，研究人员注意到 4 月 5 日攻击活动就发生在朝鲜向日本海发射导弹的第二天。但二者之间是否存在关联也仅限于猜测。目前，由于研究人员尚未确定 IP 地址来源，因此他们难以采取行动。倘若盲目对其安全系统进行操作，可能引发更多危害。 原作者：Kirk Soluk，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 月 18 日报道，安全研究人员在跟踪黑客组织 APT-C-23 与 Two-Tailed Scorpion 后发现一起新网络间谍活动，涉及伪造巴勒斯坦绝密文件传播恶意软件 Kasperagent。 调查显示，黑客组织通过利用 Windows 恶意软件“Kasperagent” 和 “Micropsia” 以及安卓恶意软件 “SecureUpdate” 和“Vamp” 针对巴勒斯坦选举展开网络攻击行动，美国、以色列、埃及等国也纷纷受其影响。 今年 4、5月份，威胁情报机构 ThreatConnect 的安全专家在分析巴勒斯坦中东领土机构的伪造文件中发现数十个恶意软件 Kasperagent 样本，攻击者将恶意软件植入合法文件中并发布在众多新闻网站和社交媒体上。此外，攻击者为了诱导受害者打开文件，还利用政治敏感内容（诸如：暗-杀哈马斯军事指挥官马赞·福卡哈等重要领导人、禁止加沙地区巴勒斯坦政党法塔赫通行 之类）的虚假信息诱导受害者打开文件，从而自动下载恶意软件 Kasperagent。 分析显示，攻击者还能利用恶意软件 Kasperagent 作为侦察工具和下载器。安全专家从最近的恶意软件样本中还检测到部分额外功能，如从浏览器中窃取用户密码、截取屏幕信息与记录击键数据等。早期恶意软件 Kasperagent 变体使用 “ Chrome ” 作为用户代理，但近期则改用 “ Opaera ” ——可能由于拼写 “ Opera ” 浏览器错误导致。 调查显示，该起网络间谍活动的发起时间恰逢加沙地区政治局势日益紧张。ThreatConnect 观察到，黑客组织于近期使用的恶意软件托管在 IP 地址 195 [.]154 [.]110 [.] 237 上。该地址关联了四个域名，其中两个（upfile2box [.] com 与 7aga [.]net）由加沙地区的网络开发人员注册。目前研究人员尚未了解攻击者的真正意图，但他们推测此次网络间谍活动很有可能针对哈马斯、以色列或法塔赫党，而且巴勒斯坦地区也已成为黑客组织主要攻击目标。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 17 日报道，美国纳百川旗下服装零售商 Buckle 公司发布官方声明，证实其商店支付系统感染恶意软件。 网络安全专家 Brian Krebs 16 日上午收到金融界知情人士关于 Buckle 商店信用卡支付违规消息后，当即向该公司反馈信用卡数据或被泄露的情况。随后Buckle 公司立即展开深入调查，并聘请全球领先安全专家审查公司支付系统设备。 调查显示，网络犯罪分子在使用恶意软件捕获磁条数据、复制用户信用卡信息后，还迅速删除了入侵记录。虽然恶意软件于 2016 年 10 月 28 日至 2017 年 4 月 14 日期间就已存在窃取用户信用卡数据的迹象，但攻击者并未获取到用户社会保障号码、电子邮件地址或实际地址，buckle.com 网站在线销售业务和客户也暂未受到影响。 Buckle 公司表示，旗下所有零售店均配备了 EMV 智能卡终端系统，使用芯片卡支付的用户不会受到信用卡违规影响。目前，公司正积极配合专家进行取证调查，Buckle 公司表示，他们极其重视对用户信用卡数据的保护工作，任何可能受影响的个人都将收到银行提醒通知。此外，Buckle 公司建议用户密切留意个人信用卡账单，以防犯罪分子窃取资金。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 17 日报道，25 岁的英国黑客肖恩 · 卡弗里（ Sean Caffrey ）于近期在 Birmingham Crown 法院认罪，承认窃取美国国防部（ DoD ）军事卫星资料。 调查显示，Caffrey 于 2014 年 6 月 15 日曾侵入美国国防部系统，访问超过 800 名卫星通信系统用户账号与电子邮件地址，以及窃取了 3 万多个卫星电话相关信息。国家通信协会（ NCA ）网络犯罪部门与西中部地区警察随后展开调查，并于 2015 年 3 月将其逮捕，NCA 专家亦在 Caffrey 电脑硬盘上发现了被盗数据。 据国防部透露，他们为解决此次黑客入侵造成的损失共计花费约 62.8 万美元。NCA 调查负责人 Janey Young 表示，NCA 正努力创建合法安全网络空间，加强打击网络犯罪分子攻击活动。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 16 日报道，安全研究人员近期发现一款新型 “无文件” 勒索软件 Sorebrect，允许黑客将恶意代码隐身注入目标系统中的合法进程（svchost.exe）并终止其二进制代码以规避安全机制检测，还能通过使用 wevtutil 删除受影响系统的事件日志阻碍取证分析。 勒索软件 Sorebrect 可利用 Tor 网络匿名连接至命令与控制（C＆C）服务器中。与其他勒索软件不同的是，Sorebrect 专门针对各行（制造、技术与电信）企业系统注入恶意代码，以便在本地系统和共享网络中加密文件。 研究人员注意到，勒索软件 Sorebrect 首先通过暴力攻击等手段入侵管理员账户，然后利用 PsExec 命令控制系统实现文件加密处理。“虽然攻击者可以使用远程桌面协议（RDP）和 PsExec 在受影响的机器中安装 Sorebrect 恶意软件，但与使用 RDP 相比，利用 PsExec 更为简单”。趋势科技表示，PsExec 可使攻击者能够执行远程命令，而非使用交互登录会话或将恶意软件手动传输至远程机器设备。 调查显示，研究人员首次在中东国家 Kuwait 与 Lebanon 地区发现该勒索软件迹象。随后，他们于近期观察到加拿大、中国、俄罗斯与美国等国家系统也纷纷遭受勒索软件 Sorebrect 攻击。趋势科技安全专家建议用户限制 PsExec 权限、主动备份文件，实时更新系统与网络安全机制以防止黑客攻击。 原作者：Pierluigi Paganini，译者：青楚，译审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 15 日报道，安全研究人员于近期发现格鲁吉亚国会选举（ 6 月 20 日）的投票管理设备存在安全漏洞，已致使国家 670 万选民记录与其他敏感文件在线泄露。 调查显示，这一漏洞或导致选举期间投票系统被种植恶意软件，而敏感文件的泄露或被利用于制造投票混乱。据悉，目前的格鲁吉亚投票管理设备极易遭受攻击，因为该国家的投票结果均依赖于过时的触屏投票机，即该投票机无法提供硬拷贝投票记录，因此几乎不能判断是否有人操纵投票结果。 知名媒体 Politico 于 13 日首次报道该事件并表示，受影响的选举系统中心已将所有问题转交至负责机构肯尼索州立大学，但目前该机构拒绝透露任何信息。 研究人员 Logan Lamb 表示，他于去年 8 月在搜索肯尼索州选举系统网站时就已发现该安全漏洞是由服务器配置错误引发。当时，他在该网站中发现一个在线公开的目录，其中除了包含选民数据库外，还包含投票工作人员在选举日使用的中央服务器指令与密码。此外，该文件目录还被 Google 编入索引，这意味着任何人均可通过正确搜索找寻目录。Lamb 随后通知该系统网站负责机构。 Lamb 接受采访时表示，他并未当即公开披露该漏洞，主要因为他于去年 11 月 8 日大选之前 “不想进行不必要的升级 ”，但 Lamb 于 3 月对该漏洞进行深入研究后发现只有部分漏洞已被修复。目前，虽然尚未掌握任何非法入境的证据，但联邦调查局也已开展调查。 稿源：Associated Press，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 14 日跟进报道，美国国会众议院军事委员会于近期提出一项新监督法案，要求五角大楼发动网络攻击与防御行动前 48 小时内通知国会，以致挫败持续或迫在眉睫的网络威胁，加强国会对敏感军事网络行动与网络武器监督、提高国防机密要素的透明度与问责制。 据悉，该法律草案允许两个例外，即网络行动发生于训练期间或采取秘密行动授权时，可在秘密完成行动前无需提前透露。其秘密网络行动授权法则如下： ○ 美国总统不得授权政府部门、机构或实体采取秘密网络行动，除非是总统决定采取此类行动支持美国外交政策以保障美国国家安全。此外，除非美国需要立即采取行动，否则该行动调查材料需以书面形式详细叙述所有细节并在行动 48 小时前提交至总统审批； ○ 所有网络行动前需要向国会情报委员会提出申请报告; ○ 报告提交后，国会将调查报告内容真实性。如果总统认为有必要限制访问调查结果，以保障国家重大利益情况下，可以只向国会情报委员会主席与少数民族成员上报调查结果； ○ 总统应确保国会情报委员会以书面形式下发通知时，其内容与先前审批的行动报告相同且不存在重大变更； ○ 禁止发动针对美国政治进程的任何秘密网络行动； ○ 对于秘密行动的每一个部分进行的每一种活动，总统应建立计划，以回应未经授权公开披露的攻击活动。 众议院军控委员会主席麦克·雷纳里（ Mac Thornerry ）在一份声明中表示，虽然部分行动必须保持加密，保障国家安全，但国会仍有责任进行适当监督，保护公民基本安全与自由。 原作者：Zack Whittaker，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 12 日报道，杀毒软件公司 ESET 研究人员发现一款新型恶意软件 Industroyer，旨在破坏工控系统（ ICS ）工作流程（ 特别是变电站 ICS ）。近期，研究人员发表详细报告并推测该恶意软件与发生在 2016 年 12 月的乌克兰变电站攻击事件有关。 Industroyer 是一款集成了后门、发射器、数据擦除工具，以及至少四个负载组件的复杂、模块化恶意软件。Industroyer 后门允许黑客在目标系统上执行各种命令。当 C＆C 服务器隐藏在 Tor 网络时，黑客可通过编程将其设定为指定时间内处于活跃状态，并有效规避安全软件检测。此外，该后门除了安装用于启动数据擦除器与负载的发射器组件外，还将第二个后门伪装成恶意版本的 Windows 记事本应用程序。 数据擦除器组件用于攻击活动的最后阶段，以隐藏踪迹并使目标系统难以恢复。负载允许恶意软件控制断路器，实现工业通信协议。因此，ESET 研究人员认为恶意软件开发者对电网运营与工业网络通信有着深入了解。研究人员集中分析 Industroyer 核心组件负载（例如：IEC 60870-5-101、IEC 60870-5-104、IEC 61850与过程控制数据访问 OPCDA）后发现黑客可在发动攻击时控制目标系统断路器。 根据工控安全公司 Dragos 提供的理论攻击描述，黑客使用恶意软件 Industroyer 在 HMI 中将断路器开启命令设置为无限循环操作，导致目标系统变电站频繁出现断电现象。此外，目标设备操作人员无法通过操控 HMI 关闭断路器。为恢复正常通信，操作人员必须先用变电站扰乱通信后手动修复该问题。另外，黑客还可通过开启无限循环使断路器不断开关，触发保护机制、致使变电站关闭。 目前，ESET 与 Dragos 收集的证据均已证实，Industroyer 与 2016 年俄罗斯黑客组织 ELECTRUM 攻击乌克兰基辅地区电网事件有关。ELECTRUM 与 Sandworm APT 组织之间存在直接联系。ESET 强调，虽然这两家黑客组织在 2015 年与 2016 年乌克兰攻击活动中使用的恶意软件并无相似之处，但部分组件概念却极其相同。 详细报告请戳 →《 WIN32/INDUSTROYER：A new threat for industrial control systems 》 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。