内容转载

= ̄ω ̄= 内容转载

新恶意程序正利用 WSL 隐蔽攻击 Windows 设备

近日,安全专家发现了针对 Windows Subsystem for Linux(WSL)创建的恶意 Linux 安装文件,表明黑客正在尝试用新的方法来破坏 Windows 设备。这一发现强调了威胁者正在探索新的攻击方法,并将注意力集中在 WSL 上以逃避检测。 首批针对 WSL 环境的攻击样本在今年 5 月初被发现,到 8 月 22 日之前持续每 2-3 周出现一次。在今天的一份报告中,Lumen 公司 Black Lotus Labs 的安全研究人员说,这些恶意文件要么嵌入了有效载荷,要么从远程服务器获取。 下一步是利用 Windows API 调用将恶意软件注入一个正在运行的进程,这种技术既不新鲜也不复杂。从发现的少量样本中,只有一个样本带有一个可公开路由的 IP 地址,暗示威胁者正在测试使用 WSL 在 Windows 上安装恶意软件。恶意文件主要依靠 Python 3 来执行其任务,并使用 PyInstaller 将其打包成用于 Debian 的 ELF 可执行文件。 Black Lotus Labs 表示:“正如 VirusTotal 上检测率所表明的那样,大多数为 Windows 系统设计的终端代理并没有建立分析 ELF 文件的签名,尽管它们经常检测到具有类似功能的非 WSL 代理”。不到一个月前,其中一个恶意的Linux文件仅被VirusTotal上的一个反病毒引擎检测到。对另一个样本进行刷新扫描显示,它完全没有被扫描服务中的引擎检测到。 其中一个变种完全用 Python 3 编写,不使用任何 Windows API,似乎是对 WSL 的加载器的首次尝试。它使用标准的 Python 库,这使得它与 Windows 和 Linux 都兼容。 研究人员在一个测试样本中发现了用俄语打印“Hello Sanya”的代码。除了一个与该样本相关的文件外,其他文件都包含本地 IP 地址,而公共IP则指向185.63.90[.]137,当研究人员试图抓取有效载荷时,该IP已经离线。 另一个“ELF到Windows”的加载器变体依靠 PowerShell 来注入和执行 shellcode。其中一个样本使用 Python 调用函数,杀死正在运行的防病毒解决方案,在系统上建立持久性,并每20秒运行一个PowerShell脚本。根据分析几个样本时观察到的不一致之处,研究人员认为,该代码仍在开发中,尽管处于最后阶段。   (消息及封面来源:cnBeta)

Anonymous 曝光域名注册提供商 Epik 180GB 数据

黑客组织 Anonymous 声称从域名注册提供商 Epik 获得了大量数据,后者为各种客户提供域名、托管和 DNS 服务。这些客户包括德克萨斯州共和党、Gab、Parler 和 8chan 等右翼网站。被盗数据已经以种子的形式发布。该黑客组织说,这组数据的大小超过 180GB,包含“该公司十年的数据”。 Anonymous 表示,该数据集是“追踪互联网法西斯方面的实际所有权和管理所需的全部内容,而过去很长时间研究人员、活动家以及几乎所有人都避而不谈”。如果这个信息是正确的,Epik 的客户数据和身份现在可能落入活动家、研究人员和任何好奇的人手中,进行窥视。 Epik 是一家域名注册商和网络服务提供商,以服务右翼客户而闻名,其中一些客户由于客户所托管的令人反感的、有时是非法的内容而被更多的主流 IT 供应商拒绝。 Anonymous 的活动始于该组织本月德克萨斯州 Heartbeat Act 签署成为法律后所称的“Operation Jane”。这项限制性的堕胎法允许私人,而不一定是政府机构或警察,来执行六周的堕胎禁令。根据该法案,任何德克萨斯州的居民都可以对任何进行或帮助促成非法堕胎的人提起民事诉讼,并要求至少 1 万美元的赔偿。 在这组数据中,有各种 SQL 数据库,其中包含与 Epik 托管的每个域名相关的客户记录。外媒 Ars 分析了泄漏数据集的一小部分,包括一个消息来源所说的 Epik 员工的邮箱,其中包含 Epik 首席执行官 Rob Monster 的信件。 Epik 的一位代表告诉 Ars:“我们不知道有任何漏洞。我们对客户的数据安全极为重视,我们正在调查这一指控”。Anonymous 还篡改了Epik的知识库,嘲弄该公司对漏洞的否认。   (消息及封面来源:cnBeta)

研究发现制造业的计算机数据面临过度曝光的风险

数据安全公司Varonis根据对制造业50个组织的40亿个文件的分析发布了一项研究,发现该行业存在着数据过度暴露的巨大问题。每个员工在工作的第一天平均可以访问600万个文件,每10个组织中就有4个向每个员工开放1000多个敏感文件。 此外,44%的公司有超过1000个活跃的”幽灵用户”账户–这些账户的用户已经离开公司或转到另一个角色,但他们的账户仍处于活跃状态。此外,超过一半的公司有超过500个账户的密码从未设定过期日期。 “制造商持有敏感的、令人难以置信的宝贵数据,使他们处于危险之中。正如我们在WannaCry、DarkSide和许多其他攻击中看到的那样,勒索软件可以使生产线停止运转,使企业停滞不前。太多时候,信息被过度暴露,保护不足。”Varonis技术总监Matt Lock说:”为了限制攻击者可能造成的损害,你必须缩小你遇到意外时的’爆炸半径’。公司需要问自己三个问题,以更好地准备应对攻击。你知道你的重要数据存放在哪里吗?你知道只有正确的人可以访问它吗?你知道他们在正确使用数据吗?如果你不知道这三个问题的答案,你将无法识别网络攻击的早期阶段。” 你可以在Varonis博客上阅读更多内容并获得完整的报告: https://www.varonis.com/blog/manufacturing-data-risk-report-reveals-files-open-to-all-employees/ 下面还有一个关于调查结果的信息图表摘要:   (消息及封面来源:cnBeta)

南非司法部遭勒索软件攻击 导致无法使用所有电子服务

据外媒报道,南非司法和宪法发展部正在努力恢复其运作,因为最近的勒索软件攻击加密了其所有系统,导致内部和公众无法使用所有电子服务。作为攻击的后果,司法和宪法发展部表示,儿童抚养费的支付现在被搁置,直到系统重新上线。 该事件发生在9月6日,该部门启动了此类事件的应急计划,以确保该国的一些活动继续进行。 南非司法和宪法发展部发言人Steve Mahlangu表示:“(攻击)导致所有信息系统被加密,内部员工以及公众都无法使用。因此,该部门提供的所有电子服务都受到影响,包括签发授权书、保释服务、电子邮件和部门网站。” 上周,Mahlangu表示,在转为手动模式记录听证会后,法庭开庭继续进行。此外,还采取了手动程序来发布各种法律文件。 然而,勒索软件攻击影响了每月的儿童抚养费支付,这些支付被推迟到系统恢复之前。Steve Mahlangu称:“虽然该部门无法确定所需系统恢复的确切日期,但它将确保所有儿童抚养费的安全,以便在系统重新上线后支付给合法的受益人。” 该部门仍在恢复正常运作的过程中,但不能确定何时活动将再次变得正常。这项工作的一部分是建立一个新的电子邮件系统,一些工作人员已经迁移到该系统。再加上网络恢复需要很长的时间,这表明黑客没有得到报酬。 目前还不清楚谁是这次攻击的幕后黑手。许多勒索软件团伙在加密数据之前也会窃取数据,以迫使受害者在公开泄密的压力下支付赎金。 Mahlangu上周说,该部的IT专家已经发现“没有数据泄露的迹象”。到目前为止,还没有任何一个拥有数据泄露网站的团伙声称对这次攻击负责。   (消息及封面来源:cnBeta)

9 月补丁星期二活动:微软共计修复 66 处系统漏洞和 20 处 Chromium 漏洞

在 9 月的补丁星期二活动日中,微软共计修复了 66 处系统漏洞和 20 处 Microsoft Edge 中的 Chromium 安全漏洞。受影响的产品包括。Azure、Edge(Android、Chromium 和 iOS)、Office、SharePoint Server、Windows、Windows DNS 和 Windows Subsystem for Linux。 在修复的这些漏洞中,其中 3 个被评为“critical”(关键)、1 个被评为“moderate”(中等),其余的被评为“important”(重要)。 其中一个已经公开披露的 CVE 解决了 MSHTML 中的一个关键零日漏洞(CVE-2021-40444),也被称为微软的传统 Trident 渲染引擎。该漏洞可被滥用,以实现任意代码的执行,在承载浏览器渲染引擎的微软 Office 文档中使用恶意的 ActiveX 控件。这是我们在 9 月 7 日了解到的漏洞,并被用于针对 Office 用户的攻击。利用该漏洞的代码已经在网络上和安全研究人员之间流传,所以要打好补丁。 另一项修复更新了 8 月 11 日公开披露的补丁,该补丁解决了上个月的 Print Spooler RCE(CVE-2021-36958)。IT资产管理公司 Ivanti 的产品管理副总裁 Chris Goettl 在发给 The Register 的一份声明中解释说:“这次更新已经删除了以前定义的缓解措施,因为它不再适用,并解决了研究人员在原始修复之外发现的其他问题。该漏洞已被公开披露,而且可以获得功能性的利用代码,因此这使本月的Windows操作系统更新变得更加紧迫”。 Goettl 说之前披露的第三个漏洞(CVE-2021-36968)解决了 Windows DNS 中的一个权限提升漏洞。这个 CVE 适用于传统的 Windows 操作系统。 还有另外两个关键漏洞修复:一个是 Windows WLAN 自动配置服务远程代码执行漏洞(CVE-2021-36965)和一个开放管理基础设施远程代码执行漏洞(CVE-2021-38647)。Zero-Day Initiative 的 Dustin Childs 在一份公告中说,前者允许邻近网络的攻击者,如咖啡店的公共 Wi-Fi,接管一个有漏洞的目标系统。 后者甚至更严重。这是一个严重性(CVSS 9.8)的错误,在Linux和Unix风味的操作系统的开放管理基础设施(OMI)。它可以被利用来获得对网络上有漏洞的机器的管理控制,不需要认证或其他检查。 Childs警告说:“这个漏洞不需要用户互动或权限,所以攻击者只需向受影响的系统发送一个特制的信息,就可以在受影响的系统上运行他们的代码。OMI用户应该迅速测试和部署这个”。   (消息及封面来源:cnBeta)

美国对向阿联酋提供黑客服务的前 NSA 雇员处以罚款处罚

据外媒报道,美司法部对三名前美国家安局(NSA)雇员处以罚款,据悉,这三名雇员在阿联酋一家网络安全公司担任雇佣黑客。49岁的Marc Baier、34岁的Ryan Adams和40岁的Daniel Gericke违反了美国出口管制法律,该法律要求公司和个人在向外国政府提供国防相关服务之前必须从国务院国防贸易控制理事会(DDTC)获得特别许可证。 资料图 根据法庭文件了解到,三名嫌疑人帮助阿联酋公司开发并成功部署了至少两种黑客工具。 这三人今日(当地时间9月14日)跟美司法部达成了一项史无前例的暂缓起诉协议,他们分别同意在三年的刑期内分别支付75万美元、60万美元和33.5万美元以避免入狱。 虽然法庭文件被大量修改,但Baier、Adams和Genicke的故事是众所周知的,他们的行为由一名告密者最先曝光并在2019年1月的一项路透社调查中被记录下来。 根据路透社的报道和美司法部官员的说法,这三人在2016年1月至2019年11月期间为阿联酋公司DarkMatter担任承包商角色。 这些前NSA分析师曾在“乌鸦计划(Project Raven)”中工作,“乌鸦计划”是DarkMatters内部的一个团队,由十几名前美情报人员组成。 在这个项目中,他们三人帮助开发了两个iOS零点击漏洞Karma和Karma 2。 路透社指出,这两个漏洞都是针对iPhone手机设计的,阿联酋官员利用它们监视持不同政见者、记者和政府反对派领导人。 除了罚款,美司法部的协议还包括以下条款: 与相关部门和FBI部门充分合作; 立即放弃任何外国或美国安全许可; 终身禁止未来通过美国安全审查; 未来的就业限制,包括禁止涉及CNE(计算机网络开发)活动或出口国防物品或提供国防服务的就业(如CNE技术); 对某些阿联酋组织的就业限制。 美代理助力总检察长Mark J. Lesko表示:“这项协议是对两种不同类型的犯罪活动进行调查的首个此类决议:提供未经许可的出口控制的国防服务以支持计算机网络开发–以及一家商业公司创建、支持和操作专门用于允许他人未经授权从世界各地(包括美国)的计算机访问数据的系统。” 另外,他还补充道:“雇佣黑客和那些支持此类违反美国法律的活动的人完全有可能因为他们的犯罪行为而被起诉。” “这些人选择无视警告,并利用他们多年的经验来支持和加强外国政府的进攻性网络行动,”FBI华盛顿外勤办公室主管助理局长Steven M. D ‘Antuono指出,“这些指控和相关处罚表明,FBI将继续调查此类违规行为。”   (消息及封面来源:cnBeta)

超 6100 万可穿戴设备用户信息被曝光

随着更多的设备连接到互联网,不断存储和分享信息,数据安全已经成为一个长期关注的问题。网络安全研究员 Jeremiah Fowler 在 WebsitePlanet 上发布报告,表示由于一个集中式数据库并未受到保护,有超过 6100 万可穿戴设备的用户数据在网络上曝光。 Fowler 和他的团队通过扫描分析,发现 GetHealth 的数据库存在暴露风险。这是一个为从数百个可穿戴设备、医疗设备和应用程序访问健康和保健数据的统一解决方案的 API。 进一步的调查显示,这些数据包含潜在的敏感信息,包括人们的姓名、出生日期、体重、身高、性别,甚至地理位置。此外,研究人员发现,这些信息的流向可以追溯到 Fitbit、Microsoft Band、Misfit Wearables、Google Fit 和 Strava等来源,其用户来自世界各地。所有这些信息都是以纯文本形式存储的,而一个 ID 是加密的。 在确认了数据的所有权后,福勒私下联系了GetHealth,该公司对通知的反应很快。该公司在同一天晚些时候对研究人员表示感谢,声称该问题已经解决。不过,目前还不清楚这 16.71GB 的用户数据被暴露了多长时间,甚至也不清楚在此期间谁可能访问了该数据库。   (消息及封面来源:cnBeta)

Mozilla 已经在技术上穿透了微软在 Windows 中的默认浏览器保护措施

最近,Mozilla已经悄悄地使在Windows上切换到Firefox变得更加容易。虽然微软提供了一种在Windows 10上切换默认浏览器的方法,但它比简单的一键切换到Edge的过程更繁琐。这种一键式流程对微软以外的人来说并不可用,而Mozilla似乎已经厌倦了这种情况。 图片网址:https://static.cnbetacdn.com/article/2021/09/67575052607bdd6.gif 在8月10日发布的91版Firefox浏览器中,Mozilla对微软在Windows 10中把Edge设置为默认的方式进行了逆向工程,并使Firefox浏览器能够迅速使自己成为默认设定。在这一变化之前,Firefox浏览器的用户会被送到Windows 10的设置部分,然后你选择Firefox浏览器作为默认浏览器,从而忽略了微软Windows弹出的关于保留Edge默认设定的请求。 Mozilla的逆向工程意味着你现在可以在浏览器内将Firefox浏览器设置为默认浏览器,而且它在后台完成所有工作,没有额外的提示。这规避了微软对自己浏览器的保护措施,该公司在Windows 10中建立了这种保护措施,对外宣称以确保恶意软件无法劫持默认应用程序,而微软在Windows 11中使这一过程更加困难。 “人们应该有能力简单轻松地设置默认值,但他们没有,”Mozilla发言人在一份声明中说。”所有的操作系统都应该提供官方开发者对默认状态的支持,这样人们就可以轻松地将他们的应用程序设置为默认状态。由于这一点在Windows 10和11上没有发生,Firefox浏览器依靠Windows环境的其他方面给人们提供类似于Windows为Edge提供的体验。” 自2015年致微软的公开信以来,Mozilla一直试图说服微软改善Windows中的默认浏览器设置,但很显然微软方面没有对此作出任何回应,反倒让Windows 11切换默认浏览器变得更加困难。这似乎已经超出了Mozilla方面忍耐的极限,因此Mozilla在6月份Windows 11揭幕后不久就开始在Firefox中实施其变化。 到目前为止,Google、Vivaldi、Opera和其他基于Chromium的浏览器都没有跟随Mozilla的步伐,目前还不清楚微软究竟会如何回应。微软确实有一些真正与安全相关的理由来保护反劫持的恶意软件,但通过允许Edge轻松切换默认值,它破坏了竞争对手的浏览器供应商的公平竞争环境。   (消息及封面来源:cnBeta)

苹果公司发布 macOS Big Sur 11.6 包含安全修复措施

苹果公司今天发布了macOS Big Sur 11.6,这是2020年11月首次推出的macOS Big Sur操作系统的第六次更新。macOS Big Sur 11.6是在macOS Big Sur 11.5.2(一个错误修复更新)发布一个月后发布的。 新的macOS Big Sur 11.6更新可以使用系统偏好设置的软件更新部分为所有符合条件的Mac机型下载(在不受支持的机器上非正常手段强制安装的则需要下载安装盘经过技术处理后来升级)。 根据苹果的发布说明,macOS Big Sur提高了macOS的安全性,建议所有用户升级。 苹果还发布了macOS Catalina的安全更新2021-005,这两个更新都解决了一个可能允许恶意制作的PDF执行代码的问题。 苹果公司表示,据目前掌握的情况,有报告说这个错误可能已经被外部黑客积极利用了,因此升级系统以修复问题更是一件需要引起重视的事情。   (消息及封面来源:cnBeta)

Spook.js:可绕过 Google 严苛网站隔离安全功能获取密码等数据

为了应对 Spectre 漏洞,Google 推出了名为“Strict Site Isolation”(严苛网站隔离)的安全功能,主要是防止未经授权的数据被盗。不过近日一支由多所国际大学组成的团队发现了 Spook.js,这种恶意的 JavaScript 代码可以绕过 Google 的这项安全功能从其他标签中获取密码等敏感数据。 目前,安全专家已经证实 Intel 处理器和苹果 M1 芯片受到影响,但 AMD 芯片也被认为存在风险,但是目前并没有得到充分证明。 该团队由乔治亚理工学院、阿德莱德大学、密歇根大学和特拉维夫大学的研究人员组成。他们说,“尽管 Google 试图通过部署严格的网站隔离来缓解 Spectre,但在某些情况下,通过恶意的 JavaScript 代码提取信息仍然是可能的”。 研究人员继续说:“更具体地说,我们表明,攻击者控制的网页可以知道用户当前正在浏览同一网站的哪些其他页面,从这些页面中获取敏感信息,甚至在自动填充时恢复登录凭证(例如,用户名和密码)。我们进一步证明,如果用户安装了一个恶意扩展,攻击者可以从 Chrome 扩展(如凭证管理器)中检索数据”。 安全研究人员分享了几段视频,展示了 Spook.js 的行动。在第一段视频中,该攻击被用来从 Chrome 浏览器的内置凭证管理器中获取 Tumblr 博客的密码。 视频1网址:https://www.bilibili.com/video/BV16U4y1P7Lw 在第二个视频中,一个恶意的浏览器扩展被用来从 LastPass 盗取主密码。 视频2网址:https://www.bilibili.com/video/BV18A411F7DT   (消息及封面来源:cnBeta)