研究显示，任何恶意程序的源码在线泄露后，都会引发大量非技术网络犯罪分子对用户发起恶意攻击。近期，新型木马 Nuclear Bot 源码在线泄露，或引发针对银行服务的攻击指数上升。 2016 年 12 月，Nuclear Bot 以 2,500 美元价格首次在网络黑市中出售。该恶意软件不仅可以从 Firefox、Internet Explorer 或 Chrome 打开的网站中窃取信息，还能利用本地代理或隐藏的远程桌面服务。这些是银行木马最常见的特征，攻击者通常试图绕过银行网站的安全检查，以便进行网络欺诈。 IBM 研究人员在过去几个月里一直密切关注着木马 Nuclear Bot 行踪并公开揭露黑客 Gosya 是 Nuclear Bot 木马的创建者。此番做法无疑打破了网络犯罪界的潜在规则，导致该黑客失去原有名望还被打上“骗子”的标签。 IBM 研究人员注意到，该黑客不仅没有向论坛管理员或潜在买家提供软件的测试版本，甚至也未使用同一名称在论坛上传播该恶意软件。如今 Gosya 为恢复网络界的信任选择主动泄漏 Nuclear Bot 源代码。 原作者：Gabriela Vatu， 译者：青楚      本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近期，卡巴斯基应急响应团队 ICS CERT 基于 2016 下半年收集的数据，发布了一份有关工业自动化系统（ ICS ）的威胁形势分析报告。 卡巴斯基在全球范围内部署的安全解决方案已阻止逾 39％ 受保护的工业系统免受各类攻击，其中包括监控和数据采集（ SCADA ）系统、数据存储服务器（ Historian ）、数据网关（ OPC ）、工程师和运营工作站以及人机界面（ HMI ）。卡巴斯基于 2016 下半年检测到每月至少有 20％ 的网络攻击是针对工业计算机进行的，其中互联网（ 22％ ）、可移动媒体（ 11％ ）和电子邮件（ 8％ ）等成为主要互联网攻击媒介。 卡巴斯基指出，网络管理员、开发人员和承包商使用的设备通常自由联网容易遭受攻击，而操作网络（ OT ）上的固定工作站不具备永久在线联网功能则相对安全。 调查表明，黑客组织主要攻击目标包括中国、越南、伊朗、印度等国家工业系统，而美国和西欧国家受到的攻击则少得多。 卡巴斯基由此发出警告，未来黑客组织针对各国工业系统的攻击活动将越来越频繁，攻击手段包括利用恶意软件和定制化威胁等。据悉，卡巴斯基曾检测到一次涉及全球 50 多个国家的 500 多家公司的钓鱼攻击行动，该行动主要针对冶金、电力、建筑等工业公司，依赖于恶意软件感染的企业邮件窃取帐户凭据。直至今日该攻击行动仍未停止。 至于非目标攻击，卡巴斯基在工业系统上的 2000 多个恶意软件家族中发现了约 20,000 个变种。虽然多数威胁来源于木马，但研究人员也发现蠕虫、病毒、漏洞和勒索软件等攻击方法。 卡巴斯基专家在过去几个月中发现 ICS 产品中存在大量漏洞。2016 年，研究人员表示 ICS 产品中存在 75 个漏洞，其中 58 个被标为高危漏洞。截至 2017 年 3 月，只有 30 个漏洞已被修复。 卡巴斯基将在下周在圣马丁举办年度安全分析师会议（ SAS ），并将于下个月的新加坡 ICS 网络安全会议上概述工业行业网络威胁形势。 原作者：Eduard Kovacs， 译者：青楚    本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据香港《南华早报》报道，中国香港选举事务处（Registration and Electoral Office）近日存放在亚洲国际博览馆某封闭房间内的两台笔记本电脑被盗。失窃电脑中存有 1200 位行政长官选举委员的姓名以及 370 万名选民的个人资料，如：身份证号码、地址和联络电话等，堪称香港有史以来最严重的数据泄露事件之一。 由于此次事件涉及大量敏感信息，警方正积极展开调查。目前，还无犯罪嫌疑人落网。选举委员会成员称，电脑数据已作加密处理、暂时安全，但无法保证未来一段时间内不会发生信息泄漏或加密系统遭受破坏事件。究其原因，或由操作流程不规范导致。正常情况下，选民数据应存储在妥善位置，而本次失窃设备于 2016 年议会选举结束后便直接被用于行政长官选举。 数据是否会流入于黑市中出售还有待观察，最终只是时间问题。 原作者：Gabriela Vatu， 译者：青楚     校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国联邦调查局（ FBI ）称，恶意黑客可利用匿名文件传输协议（ FTP ）服务器漏洞入侵小型医疗机构与牙科诊所，获取医疗记录和其他敏感私人信息，并以此进行骚扰、恐吓、勒索甚至欺诈。 相应补救措施是删除服务器中所有个人身份信息（ PII ）与受保护的健康信息（ PHI ），将现有 FTP 替换为更安全的文件传输服务。然而，尽管将敏感数据存储在 FTP 服务器的风险众所周知，小型企业通常并不具备专业升级技术或动机。 匿名 FTP 无需身份验证即可访问服务器文件，建议仅使用此类服务器存储公开文件。匿名 FTP 扩展允许用户使用“ anoymous ”或“ ftp ”等常见用户名在无需提交密码、通用密码或电子邮件地址的情况下通过 FTP 服务器进行身份验证。 《健康保险流通与责任法案》（ HIPAA ）通过对违规者惩处罚金的方式对 PHI 进行保护。此外，《隐私法》与相关条例也通过类似方法对 PII 进行保护。 Globalscape 产品战略和技术联盟副总裁 Peter Merkulov 表示，PII 和 PHI 数据泄露的代价远远超过替换为更安全的文件传输服务和支持（如 SFTP 或 FTPS ）的成本。FTP 是一个早已过时的协议，即使在不匿名的模式下使用也极其危险。虽然现存数量较以往有所减少，但通常部署于多年前且从未进行过升级，甚至被遗忘。这种情况在大型组织机构尤为常见。 尽管如此，FBI 引用的《 2015 年度研究报告》仍显示，超过一百万台 FTP 服务器被配置为允许匿名访问。Merkulov推测 FBI 此举的动机源于实际调查工作中对 FTP 漏洞利用的发现。 摆脱匿名 FTP 服务其实十分简单，仅需花费数分钟更改服务器设置。如果根据访问服务器的客户端软件类型操作，整个过程会更复杂，需要对用户凭据和帐户进行设置。 原作者：Tim Greene，译者：青楚，校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近日，德国高端家电厂商美诺（ Miele ）生产的 Professional PG 8528 设备被曝存在 Web 服务器目录遍历漏洞，允许攻击者未经身份验证即可访问 Web 服务器任何目录，漏洞编号为 CVE-2017-7240 。 美诺 Professional PG 8528 是一款用于消毒实验室与手术器械的医疗设备。这款设备所采用的嵌入式 Web 服务器PST10 WebServer 主要监听 80 端口，容易遭受目录遍历攻击。非法入侵者可利用该漏洞在 Web 服务器上添加并执行恶意代码以访问敏感信息。 据悉，该漏洞由在德国咨询公司 Schneider & Wulf 任职的 Jens Regel 发现并曾于 2016 年 12 月向美诺提交报告。遗憾的是，对于他的此番举动，厂商并未给予任何回应。四个月后，他决定公开披露该漏洞的概念证明（ PoC ），希望引起厂商的足够重视。 Proof of Concept: ================= ~$ telnet 192.168.0.1 80 Trying 192.168.0.1… Connected to 192.168.0.1. Escape character ist ‘^]’. GET /../../../../../../../../../../../../etc/shadow HTTP/1.1 to whatever IP the dishwasher has on the LAN. 原作者：Pierluigi Paganini， 译者：青楚     校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

根据 FireEye 周一最新发布，俄罗斯网络间谍组织 APT29 使用 “ Domain Fronting ” 技术加大目标组织恶意流量识别难度。 Domain Fronting 是一种掩盖连接端点的组网技术，可使恶意流量经伪装后访问主机操作系统。近期，Open Whisper Systems 就曾使用该技术帮助埃及和阿拉伯联合酋长国的 Signal（一款提供全球语音通话免费加密服务的 iPhone 应用程序）用户绕过政府机构审查。 黑客组织 APT29 早在 2015 年初就已使用该技术，并被指认为是干预美国大选与入侵挪威政府机构网络的幕后黑手。该组织使用 Tor 匿名网络和 Tor 流量混淆插件 “Meek”， 创建一个看似通过 TLS 连接至 Google 服务的隐形加密网络隧道，使攻击者得以在伪装合法网站流量的同时使用终端服务（ TS ）、NetBIOS 和服务器消息块（ SMB ）协议远程访问主机操作系统。 攻击者使用 PowerShell 脚本与 .bat 文件在目标系统上安装 Tor 客户端与 Meek 插件，并将合法可执行文件替换成 Windows 命令提示符（ cmd.exe ），生成可执行系统级别权限（包括添加或修改账户在内）命令的 shell 。此外，执行粘滞键漏洞的脚本还创建一个名为“ Google Update ”的 Windows 服务，以确保后门在系统重启后仍然有效。 FireEye 专家称，APT29 启用此项公开技术不仅难追溯源还节省了隐藏恶意流量的研发成本，因为检测此行动需要对 TLS 连接和有效网络信号具有一定程度的了解。 原作者：Eduard Kovacs， 译者：青楚     校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

（原标题：地下市场手机账单信息最贵） IT 时报报道，腾讯安全团队发布了一份黑产公民信息报价单，涉及十三项公民信息种类，报价最低 1 元一条，最高达到 3000 元。报价最高的是手机话费账单（详单），每一份的报价高达 2000 元~ 3000 元。 一位业内人士透露，由于话费账单中可能涉及各类商务往来的关键信息，因此经常流通于私家侦探业务市场以及非法讨债公司之间，甚至会有商业间谍依托查询竞争对手的手机通话信息来获取关键突破信息，牟取暴利。 目前，这一类信息在地下黑市的报价最高。其次是公民银行流水单，每份的报价为 1000 元~ 3000 元，其中最大的买主同样是来自私家侦探业务以及非法讨债公司。这两大逐步形成成熟交易链条的行业是目前地下黑产最为稳定且主流的交易 “伙伴”，而随着国家对地下黑产市场的严打，敏感调查对象的价格正在水涨船高。身份证户籍信息、制作假文凭、假证书、开房记录、手机基站位置等信息在地下黑产的报价相对较低，平均在 10~500 元之间不等。报道声称，黑客主要是通过内部人士以及通过攻击网站获取公民信息。 稿源：solidot 奇客；封面源自网络

近期，黑客组织 El Machete 使用定制恶意软件面向全球知名国际政府机构发起攻击，并通过社工方式传播蔓延。目前，该黑客组织已窃取数据逾 100 GB。 研究人员称，尽管 El Machete 将拉丁美洲锁定为主要攻击目标，但加拿大、英国、德国、韩国、俄罗斯、乌克兰和美国等政府机构也纷纷受其影响。据卡巴斯基实验室研究人员介绍，该黑客组织自 2014 年以来一直处于活跃状态，其最早活动时间可追溯至 2012 年。 Cylance 研究人员表示，El Machete 采用的恶意软件主要依赖于 Windows API（ 应用程序编程接口 ），旨在逃避传统防病毒程序检测。过去几年间，El Machete 开展的网络间谍活动可谓畅通无阻。尽管公开可用的防御系统中包含诸多威胁识别指标，但多数杀毒解决方案的检出率仍非常低。 据悉，El Machete 仍在不断加强自身网络攻防能力，而此举无疑会使相关国家受到威胁。此外，许多国家的内部网络能力尚未获得提升，亦有可能被黑客组织列为攻击目标。 原作者：India Ashok， 译者：青楚     校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基实验室专家称，DDoS 攻击在网络黑市上仍是一个有利可图的业务。针对目标组织的 DDoS 攻击成本低至每小时 7 美元，而针对目标企业的 DDoS 攻击费用可高达数千或数百万美元。 DDos 攻击(分布式拒绝服务攻击)：借助于客户 / 服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DDoS 攻击，从而成倍地提高拒绝服务攻击的威力。（百度百科） 卡巴斯基实验室发布了一份有关 DDoS 攻击成本的有趣报告。安全专家称，利用云僵尸网络中 1000 台计算机进行 DDoS 攻击的成本约为每小时 7 美元，而 DDoS 攻击服务通常每小时 25 美元，这意味着犯罪分子的预期利润大约为每小时 18 美元。 据悉，DDos 攻击组织建立了一个整体，他们为需要的用户提供注册站点，用户选择所需服务进行付费购买，然后将会收到有关攻击报告。专家称，犯罪分子在黑市中轻松支付购买 DDoS 攻击服务，这些服务易于使用且提供高效报告系统。 卡巴斯基的专家称，DDoS 攻击服务价格取决于生成及攻击流量来源。例如，IoT（ 物联网 ）僵尸网络驱动的 DDoS 攻击比服务器僵尸网络服务器支持的 DDoS 攻击便宜。 目标及特征也是影响 DDoS 攻击服务价格的另一个因素。一部分服务甚至可以用来打击资源丰富的网站，例如政府网站。当然，此类服务的要价会贵一些。此外，网络攻击的成本也取决于目标网站的位置，英语网站上的 DDoS 攻击通常比对俄语网站的攻击更为昂贵。 调查表明，犯罪分子为敲诈勒索提供 DDoS 攻击，DDoS 攻击勒索已成为高利润业务，卡巴斯基的专家表示，一次攻击的盈利高达 95 ％，而受害者通常愿意支付赎金阻止进攻。据悉，未来一段时间里 DDoS 攻击的平均成本将持续下降，而频率却会不断增加。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Distil Networks 安全专家称，网络犯罪分子正利用僵尸网络 GiftGhostBot 窃取全球主要零售商提供的礼品卡余额。 GiftGhostBot 是一种专门用于礼品卡诈骗的新型僵尸网络，攻击目标为面向消费者提供礼品卡消费途径的所有网站，如奢侈品零售商、超级市场、咖啡店网站等。 据悉，诈骗分子不仅利用该僵尸网络对全球范围内近 1000 个网站发起攻击，还公然窃取合法消费者礼品卡余额。他们通过暴力攻击每小时测试多达 170 万张礼品卡帐号并查询账号余额。一旦礼品卡帐号与余额匹配正确，诈骗分子无需任何身份验证即可自动登录受害者账号。由于诈骗分子成功获取余额后即迅速潜入黑市转售帐号或直接消费，追踪此类犯罪行为具有较大难度。 Distil Networks 首席执行官 Rami Essaid 称，像其他复杂网络攻击一样，为了逃避检测，GiftGhostBots 僵尸网络正通过全球托管服务提供商、互联网服务提供商和数据中心执行 JavaScript ，模拟常规浏览器。因此，任何提供礼品卡的零售商都可能受到攻击。为防止资源流失，个人和企业必须共同努力将危害范围控制到最小程度。 原作者：Wang Wei， 译者：青楚，校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接