计算机安全组织 Cisco Talos 发现了一个新的漏洞，包括 Windows 11 和 Windows Server 2022 在内的所有 Windows 版本均受影响。该漏洞存在于 Windows 安装程序中，允许攻击者提升自己的权限成为管理员。 在发现该漏洞之后，Cisco Talos 集团升级了自己的 Snort 规则，该规则由检测针对一系列漏洞的攻击的规则组成。更新后的规则清单包括零日特权提升漏洞，以及针对浏览器、操作系统和网络协议等新兴威胁的新规则和修改后的规则。 利用该漏洞，拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本，这表明可能已经有黑客利用该漏洞发起攻击。 此前，微软的安全研究员 Abdelhamid Naceri 向微软报告了这个漏洞，据说在 11 月 9 日用 CVE-2021-41379 修复了该漏洞。然而，这个补丁似乎并不足以解决这个问题，因为这个问题仍然存在，导致Naceri在GitHub上发布了概念证明。 简单地说，这个概念证明显示了黑客如何利用微软Edge提升服务的酌情访问控制列表（DACL）将系统上的任何可执行文件替换为MSI文件。 微软将该漏洞评为”中等严重程度”，基本CVSS（通用漏洞评分系统）评分为5.5，时间评分为4.8。现在有了功能性的概念验证漏洞代码，其他人可以尝试进一步滥用它，可能会增加这些分数。目前，微软还没有发布一个新的更新来缓解这个漏洞。   （消息及封面来源：cnBeta）

相比较传统密码，在业内指纹被认为是更安全的数据保护形式。但事实上，指纹欺骗可能要比电影情节中所描述的操作要简单得多。根据 Kraken 安全实验室的说法，你所需要的只是一点木头胶水、一台激光打印机和一张醋酸纤维板。 几天前，这家加密货币交易公司在其官方博客上发表了一份报告，描述了如何进行“指纹破解”攻击。你需要的东西是可以负担得起的，而且步骤简单到几乎任何人都可以完成，只要他们有动力这样做，这是一个相当可怕的想法。 动图地址：https://static.cnbetacdn.com/article/2021/1124/95c1962f37bee0b.webp 那么要如何攻击呢？潜在的黑客需要你的指纹，或者更准确地说，你的指纹照片。他们实际上不需要实际接触你接触过的任何东西，只需要一张留有你指纹的照片，比如说，笔记本屏幕上的污迹或反光的桌面键盘。Kraken还举了一些例子，比如当地图书馆的桌子或健身器材。 在这两种情况下，一旦获得了一张相当清晰的照片，你就需要在Photoshop中制作一张底片–Kraken说其团队能够在大约一个小时内制作出一张“优秀”的底片。 接下来，Kraken用一台标准的激光打印机将底片图像打印到”醋酸纤维板”上。据该公司称，这种墨粉模仿了真实指纹的三维结构。下一步，也是最后一步，是从你当地的五金店拿一些木头胶水，在伪造的指纹上面喷一些，然后让它干。你可以稍后把它剥掉，这样你就有了：一个（希望不是）可以使用的指纹副本。   （消息及封面来源：cnBeta）

Hackernews编译，转载请注明出处： 研究人员设置了320个蜜罐，以观察攻击者攻击暴露的云服务的速度，发现80%的蜜罐在24小时内受到攻击。 攻击者不断扫描互联网，寻找可以利用于访问内部网络或执行其他恶意活动的公开服务。 为了追踪哪些软件和服务是黑客的目标，研究人员创建了可公开访问的蜜罐。蜜罐是一种服务器，配置成各种软件运行，作为诱饵来监控黑客活动。 在Palo Altos Networks的Unit 42 进行的一项新研究中，研究人员设置了320个蜜罐，发现80%的蜜罐在最初的24小时内受损。 部署的蜜罐包括带有远程桌面协议（RDP）、安全外壳协议（SSH）、服务器消息块（SMB）和Postgres数据库服务的蜜罐，在2021年7月至8月保持活动状态。这些蜜罐部署在世界各地，在北美、亚太和欧洲都有实例。 攻击者行动轨迹 第一次攻击的时间与服务类型被攻击的数量有关。 对于最具针对性的SSH蜜罐，第一次攻击的平均时间为3小时，两次连续攻击之间的平均时间约为2小时。 Unit 42还观察到一个值得注意的案例，即一名黑客在30秒内破坏了实验中80个Postgres蜜罐的96%。 这一发现非常令人担忧，因为在发布新的安全更新时，部署这些更新可能需要几天甚至更长的时间，而攻击者只需要几个小时就可以侵入公开的服务。 最后，关于地理位置是否有任何区别，结果显示，亚太地区受到黑客的最大关注。 防火墙有用吗？ 绝大多数（85%）的攻击者IP是在一天内发现的，这意味着攻击者很少（15%）在随后的攻击中重用相同的IP。 这种持续的IP变化使得“第3层”防火墙规则对大多数威胁参与者无效。 能够更好地缓解攻击的方法是通过从网络扫描项目中提取数据来阻止IP，这些项目每天识别数十万个恶意IP。 然而，Unit 42在48个蜜罐组成的子组上测试了这一方法，发现阻断700000多个IP之后，子组和对照组之间在攻击次数上没有显著差异 为了有效地保护云服务，Unit42 建议管理员执行以下操作： 创建护栏以防止特权端口打开。 创建审核规则以监视所有打开的端口和公开的服务。 创建自动响应和补救规则来自动修复错误。 在应用程序前面部署下一代防火墙（WFA或VM系列）。 最后，始终在最新安全更新可用时安装这些更新，因为黑客在发布新漏洞时会迅速利用这些漏洞。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

加州大学圣迭戈分校的一支计算机科学家团队，刚刚携手 Brave Software 开发了一款新工具，旨在加强用户在网上冲浪时的隐私数据保护体验。这款名为 SugarCoat 的工具，将目光瞄向了可能损害用户隐私的脚本内容 —— 比如追踪用户的 Web 浏览历史。另一方面，对于内嵌相关脚本的网站来说，这项功能又是不可或缺的。 关于 SugarCoat 如何通过重写代码以保护数据隐私的说明 有鉴于此，SugarCoat 将这些脚本替换成了具有相同属性的版本，但滤除了可能损害隐私的功能。 对于主打隐私体验的浏览器（如 Brave / Mozilla Firefox）和扩展程序（如 uBlock Origin）来说，开源的 SugarCoat 项目也很容易与之集成， 该校计算机科学与工程系助理教授 Deian Stefan 表示： SugarCoat 是一套相当实用的系统，旨在解决当今以隐私为中心的工具所面临的双重困境。 一方面，阻止有害脚本的同时，现有手段容易对依赖它们的网站的正常运行造成破坏。另一方面，想要兼顾正常的网站体验，又要用户在隐私上做出妥协。 好消息是，SugarCoat 能够很好地权衡这两方面的需求 —— 通过允许脚本运行来保持兼容性，同时有效防止脚本访问用户的隐私数据。 UCSD News 报道指出，研究团队已于 2021 年 11 月 14-19 日在韩国首尔举办的 ACM 计算机与通信安全会议（CCS）上介绍了他们的相关工作。 SugarCoat 项目领队、博士生 Michael Smith 表示：这套方案能够与现有的内容拦截工具（如广告屏蔽器）集成使用，便于用户在不放弃隐私的情况下，继续安心地浏览网页。   （消息及封面来源：cnBeta）

反病毒软件主要根据各种病毒特征进行预防、隔离等操作，但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal，这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。 UserBenchmark 是一个轻量级的免费软件，可以测试你的 CPU、GPU、内存、存储驱动器（SSD和/或HDD）和 USB 驱动器。该软件最近的一些版本还包括一个“技能工作台”（Skill Bench），基本上也是为用户提供基准测试。 但是，如上所述，目前有近20种反病毒软件，准确地说，有23种，将该软件标记为恶意软件，其中绝大多数将其识别为木马程序（如下图）。这个问题并不完全是新问题，因为像这样的案例是由用户在网上论坛上报告的。 微软也在这个反恶意软件的名单中，将UserBenchmark标记为一个恶意的木马。根据微软安全情报1.353.1394.0版本，UserBenchmark是”危险的，可以执行攻击者的命令”。该应用程序已被标记为”严重”威胁。 从上面的截图来看，由于 UserBenchmark 的 Nullsoft 脚本安装系统（NSIS）性质，它似乎被检测为恶意软件。事实上，NSIS的网站指出，这是一个常见的误报问题，因为许多反病毒程序将 NSIS 文件标记为潜在的恶意软件。但是，这可能确实是一个值得警惕的问题，因为在 NSIS 包内捆绑恶意软件也是可能的。   （消息及封面来源：cnBeta）

Hackernews编译，转载请注明出处： 一个企业网络间谍黑客组织在消失了7个月后重新浮出水面，今年它针对4家公司进行新入侵行动，其中包括俄罗斯最大的批发商店之一，同时对其工具集进行了战术性改进，以试图阻挠分析。 Group-IB 的伊万 · 皮萨列夫说: “在每一次攻击中，攻击者都展示了广泛的红队技能，以及利用自己定制的恶意软件绕过传统防病毒检测的能力。” 至少从2018年11月起，这个讲俄语的黑客组织 RedCurl 开始活跃，至今已经已参与30起攻击，行动是针对14个组织的企业网络间谍和文件盗窃，这些企业涉及建筑、金融、咨询、零售、保险和法律行业，分布在英国、德国、加拿大、挪威、俄罗斯和乌克兰等地区。 攻击者使用一系列成熟的黑客工具潜入目标，窃取内部公司文件，如员工记录、法庭和法律文件，以及企业电子邮件历史。 RedCurl 的运作方式标志着它与其他对手的不同，尤其体现在它不部署后门，也不依赖 CobaltStrike 和 Meterpreter 等开发后工具，这两种工具都被视为远程控制受损设备的典型方法。更重要的是，尽管该组织保持着稳固的访问权限，但没有人发现到该组织实施了以经济利益为动机的攻击，包括加密受害者的基础设施，或者要求对被盗数据进行赎金。 相反，它的重点似乎是尽可能秘密地获取有价值的信息，使用自行开发和公开的程序，利用社会工程手段获得初步访问权，执行侦察，实现持久性，横向移动，以及过滤敏感文件。 研究人员说，“网络空间的间谍活动是国家支持的高级持续性威胁的一个特点。”“在大多数情况下，此类攻击针对的是其它国家或国有企业。企业网络间谍活动仍然相对罕见，而且在许多方面都是独一无二的。然而，该组织的成功可能会诱发网络犯罪的新趋势。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

经历了持续一年多的追踪，网络安全研究人员终于摸清了“中东之眼”新闻网站入侵事件的来龙去脉。由 ESET 周二发布的报告可知，一群黑客入侵了总部位于伦敦的这家热门新闻网站。这家网站着眼于中东地区的新闻报道，而攻击者的最终目标却是网站访客。 伊朗驻阿布扎比大使馆网站的脚本注入 据悉，这轮黑客活动一直从 2020 年 3 月活跃到 2021 年 8 月，期间波及大约 20 个网站，同时导致不少访客中招。 具体说来是，攻击者利用了所谓的“水坑攻击”（watering hole attacks）—— 借道合法网站，来瞄准它们的目标。 换言之，网站本身没有受到太大的破坏，但却让特定的访问者陷入了危险之中。 （图 via TechTarget） ESET 研究员 Matthieu Faou 在接受 Motherboard 电话采访时称，他们一直没能摸清攻击者的最终有效载荷，显得它们在选择攻击目标时非常谨慎。 此外伊朗、叙利亚、也门等多国政府网站、一家位于意大利的航空航天企业、以及南非政府旗下的某国防集团站点 —— 它们都与“中东之眼”攻击事件有千丝万缕的联系。 ESET 推测，黑客可能是来自以色列的间谍软件供应商 Candiru 的一位客户，该公司已于早些时候被美国政府列入了黑名单。 Medica Trade Fair 克隆站点 作为业内最神秘的间谍软件供应商之一，Candiru 并无所谓的官网，且据说已多次变更名称。 不过由以色列《国土报》分享的一份文件可知，该公司“致力于提供渗透 PC 计算机、网络、手机的高端网络情报平台”。 在以色列纸媒于 2019 年首次曝光了 Candiru 的存在之后，包括卡巴斯基、微软、Google、Citizen Lab 在内的多家网络安全公司，纷纷对它的恶意软件展开了持续追踪。 FingerprintJS 主页 当 Motherboard 与“中东之眼”取得联系人，该网站数字开发负责人 Mahmoud Bondok 表示他们刚刚意识到这一切，同时在周二发布的一份新闻中对攻击事件予以谴责。 Matthieu Faou 表示，其计划于华盛顿特区举办的 CYBERWARCON 会议上展示更多发现。遗憾的是，尽管他尝试联系某些受影响的站点，但却迟迟没能收到任何答复。 虽然这些站点看起来都没有收到损害，但目前也不清楚是否相关网站已经逮住了黑客并删除了恶意代码，还是黑客自己动手清理了蛛丝马迹。   （消息及封面来源：cnBeta）

Hackernews编译，转载请注明出处： Emotet恶意软件在中断十个月后，于15日开始运行，该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染，通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件，恶意宏或JavaScript文件，将下载Emotet DLL并使用PowerShell将其加载到内存中。 一旦加载，恶意软件将搜索和窃取电子邮件，用于之后的垃圾邮件攻击，并植入额外的有效载荷，如TrickBot或Qbot，这些载荷通常会使设备遭勒索软件感染。   Emotet垃圾邮件攻击卷土重来 15日晚，网络安全研究人员布拉德·邓肯发表了一篇SANS-Handler日记，解释 Emotet僵尸网络是如何再一次滥发多个电子邮件，用Emotet恶意软件感染设备。 据邓肯说，垃圾邮件攻击使用重播链电子邮件诱使收件人打开附加的恶意Word、Excel文档和密码保护的ZIP文件。 回复链钓鱼电子邮件是指以前被盗的电子邮件线程与伪造的回复一起用于向其他用户分发恶意软件。 在邓肯分享的样本中，我们可以看到Emotet使用的回复链与“丢失的钱包”、网络星期一的促销、取消的会议、政治捐款活动以及牙科保险的终止有关。 这些电子邮件的附件是恶意宏的Excel或Word文档，或包含恶意Word文档的受密码保护的ZIP文件附件，示例如下所示。 目前有两个不同的恶意文件正在新的Emotet垃圾邮件中分发。 第一个是Excel文档模板，该模板说明文档只能在台式机或笔记本电脑上起效，用户需要单击“启用内容”以正确查看内容。 恶意Word附件正在使用“红色黎明””模板，并表示由于文档处于“受保护”模式，用户必须启用内容和编辑功能，才能正确查看。   Emotet附件如何感染设备 打开Emotet附件时，文档模板将声明预览不可用，您需要单击“启用编辑”和“启用内容”以正确查看内容。 但是，单击这些按钮后，将启用恶意宏，启动PowerShell命令，从受损的WordPress站点下载Emotet loader DLL并将其保存到C:\ProgramData文件夹。 下载后，将使用C:\Windows\SysWo64\rundll32.exe启动DLL，它将DLL复制到%LocalAppData%下的随机文件夹中，然后从该文件夹重新运行DLL。 一段时间后，Emotet将在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下配置启动值，以便在Windows启动时启动恶意软件。 Emotet恶意软件现在将在后台静默运行，同时等待从其C&C服务器执行命令。 这些命令可以用于搜索电子邮件以进行窃取邮件并传播到其他计算机，还可以安装其他有效负载，如TrickBot或Qbot特洛伊木马。 目前，BleepingComputer还没有看到Emotet植入的任何额外有效载荷，这也得到了邓肯测试的证实。 邓肯告诉BleepingComputer：“我只在最近感染了Emotet的主机上看到过spambot活动。”。“我认为Emotet本周刚刚重新开始活动。” “也许我们会在未来几周看到一些额外的恶意软件有效载荷，”研究人员补充道。   防御Emotet   恶意软件和僵尸网络监控组织Abuse.ch发布了245个C&C服务器的列表，外围防火墙可以阻止与C&C服务器的通信。 阻止与C2s的通信也将防止Emotet在受损设备上植入更多有效负载。 在2021年1月，一次国际执法行动摧毁了Emotet僵尸网络，十个月以来，该恶意软件一直保持沉寂。 然而，从周日晚上开始，活跃的TrickBot病毒开始在已经感染的设备上植入Emotet加载程序，为垃圾邮件攻击重建僵尸网络。 Emotet的再次活动是所有网络管理员、安全专业人员和Windows管理员必须监控的重大事件，以了解新的动态。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

早在 5 月，微软就认定有俄罗斯背景的 NOBELIUM 黑客组织要对持续数月的 SolarWinds 网络攻击事件负责，并同企业、政府和执法机构达成了合作，以遏制此类网络攻击的负面影响。早些时候，微软更进一步地剖析了 NOBELIUM 使用的一套更加复杂的恶意软件传送方法。可知其用于造成破坏，并获得“HTML Smuggling”系统的访问权。 HTML Smuggling 技术概览（图自：Microsoft Security） 微软表示，HTML Smuggling 是一种利用合法 HTML5 和 JavaScript 功能、以高度规避安全系统检测的恶意软件传送技术。 钓鱼邮件示例 近年来，这项技术已被越来越多地用于部署网银恶意软件、远程访问木马（RAT）、以及其它有针对性的钓鱼邮件活动。 Mekotio 活动中曝光的威胁行为 其实早在今年 5 月，这项技术就已经在 NOBELIUM 发起的钓鱼邮件活动中被观察到，最近的案例包括网银木马 Mekotio、AsyncRAT / NJRAT 和 Trickbot（控制肉鸡并传播勒索软件负载和其它威胁）。 HTML Smuggling 网页代码示例 顾名思义，HTML Smuggling 允许攻击者在特制的 HTML 附件或网页中“夹带私货”。当目标用户在浏览器中打开时，这些恶意编码脚本就会在不知不觉中被解码，进而在受害者的设备上组装出有效负载。 被 JavaScript 加花的 ZIP 文件 换言之，攻击者没有直接通过网络来传递可执行文件，而是绕过了防火墙、再在暗地里重新构建恶意软件。举个例子，攻击者会在电子邮件消息中附上 HTML Smuggling（或重定向）页面链接，然后提示自动下载序列。 钓鱼页面 为帮助用户辨别愈演愈烈的 HTML Smuggling 攻击，微软在文中给出了一些演示实例，告诫银行与个人采取必要的防御措施，同时不忘推销一下自家的 Microsoft 365 安全解决方案。 在浏览器中构造的、带有密码保护下载器的 JavaScript 实例 据悉，Microsoft 使用多层方法来抵御网络威胁，通过与一系列其它终端防御措施协同合作，以阻止在攻击链的更高层执行并减轻来自更复杂攻击的后果。 Trickbot 钓鱼活动的 HTML Smuggling 攻击示例 最后，微软强烈建议广大客户养成良好的习惯，抽空了解各类恶意软件感染案例，同时将非必要的本地 / 管理员权限调到最低。   （消息及封面来源：cnBeta）

一项针对 Tor 网页浏览器的网站指纹攻击的新分析显示,它的竞争对手可以收集受害者经常访问的网站，但只有在攻击者对用户访问的网站的特定子集感兴趣的情况下才有可能。 研究人员乔瓦尼 · 切鲁宾、罗布 · 詹森和卡梅拉 · 特罗索在最新发表的一篇论文中说: “当监控一小组共五个流行网站时，攻击的准确率可以超过95% ，而对25个和100个网站的不加选择(非定向)攻击的准确率分别不超过80% 和60% 。”。 Tor浏览器通过一个覆盖网络向用户提供“不可链接通信”，该网络由6000多个中继组成，目的是把进行网络监视或流量分析的第三方的原始位置和使用情况匿名处理。在将请求转发到目的IP地址之前，它通过构建一个穿过入口、中间和出口中继的电路来实现这一点。 除此之外，每个中继都会对请求进行一次加密，以进一步阻碍分析并避免信息泄漏。虽然Tor客户端本身对其进入中继不是匿名的，因为流量是加密的，请求通过多个跳跃点跳转，但进入中继无法识别客户端的目的地，就像出口节点由于同样的原因无法识别客户端一样。 针对Tor的网站指纹攻击旨在打破这些匿名保护，使竞争对手能够观察到受害者和Tor网络之间的加密流量模式，从而预测受害者访问的网站。学者们设计的威胁模型假设攻击者运行一个出口节点，以捕捉真实用户产生的流量的多样性，然后用这个模型作为收集 Tor 流量跟踪的源，并在收集到的信息之上设计一个基于机器学习的分类模型来推断用户的网站访问。 对手模型包括一个“在线训练阶段，使用从出口中继(或继电器)收集的真实Tor流量的观察数据，随着时间的推移不断更新分类模型，”研究人员解释道，他们在2020年7月使用定制版本的Tor v0.4.3.5运行了一周的出入口中继，以提取相关的出口信息。 为了减轻这项研究引起的道德和隐私方面的担忧，论文的作者强调了安全防范措施，以防止用户通过Tor浏览器访问的敏感网站泄露。 研究人员总结道:“我们在现实世界的评估结果表明，如果敌人的目标是在一个小范围内识别网站，网站指纹攻击只能在自然环境成功。”“换句话说，旨在监控大范围用户网站访问的行为将会失败，但针对特定客户配置和网站的行为可能会成功。”   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接