随着技术的进步，车载驾驶辅助系统的安全性得到了不断的提升，但其可靠性仍未能让我们感到满意。安全研究人员已经证明，通过被劫持的互联网广告牌，就可诱导特斯拉电动汽车的 Autopilot 等系统采取突然的制动、驻车或转弯等操作。《连线》杂志报道称，位于以色列内盖夫的本·古里安大学的研究人员，一直在对所谓的“鬼影”图像展开试验。 资料图（来自：Tesla） 具体说来是，这些图像可能让自动驾驶 / 驾驶辅助系统感到困惑，其中涉及到营造瞬间的光线投射、让系统“看到”不存在的物体（比如停车指示牌）。 这项技术的早期示例，是将路标和人的影像投射到道路上。即便只显示几毫秒的时间，就足以误导高级驾驶辅助系统（ADAS）。 虽然本文介绍的这项新研究基于类似的方法，但演示中并未使用投影的图像，而是利用了联网的数字广告牌。 在侵入某款数字广告板之后，攻击者可注入一些可能导致汽车发生碰撞的内容，但不会留下明显的痕迹（司机只会感到一头雾水）。 据悉，研究人员针对特斯拉 Autopilot 和 MobileEye 630 系统开展过测试，前者会被出现仅 0.42 秒的鬼影图像所欺骗、后者则是 1/8 秒。 有关这项研究的详情，将在今年 11 月的 ACM 计算机和通信安全会议上作介绍。让人担忧的是，这类数字广告牌鬼影攻击可能波及更多车型和导致大范围的误伤。   （稿源：cnBeta，封面源自网络。）  

COVID-19不仅会对健康、社会和经济造成危害，而且会引发网络安全危机。这一流行病给企业在远程协作和业务连续性领域带来了新的挑战。 随着远程工作越来越多，员工们使用了大量的互联网工具。由于企业和人们开始越来越依赖技术，并忙于与流行病作斗争，攻击者现在比以往任何时候都有更多的选择来攻击他们。 根据PWC的4月报告，印度公司面临的安全威胁在2020年3月翻了一番，更令人担忧的是，从2020年1月17日到20日，安全威胁的数量增加了100%。 印度联邦电子与信息技术国务部长Sanjay Dhotre表示，印度第二季度发生的网络攻击超过35万次，是2020年第一季度记录事件数量的三倍。他还强调，截止到2020年8月，一共发生70万起网络安全事件。 数字网络安全危机 ACRONIS Cyber Readiness 2020年报告显示，全球31%的公司每天至少面临一次网络安全事件。然而，印度每天报告的网络攻击次数是以前的两倍，其中大多数网络攻击包括网络钓鱼、DDoS、视频会议、利用弱服务和恶意软件。 网络钓鱼活动是最令人担忧的攻击，因为它们在这场流行病期间达到了顶峰。尽管恶意软件的数量较少，但在印度，它仍然是一个更为严重的问题——报告的恶意软件问题几乎是全球平均水平的2倍。 此外，在接受调查的组织中，有39％经历了视频会议攻击。其中，印度、加拿大、瑞士和英国是受影响最大的国家。 以冠状病毒为主题的网络钓鱼电子邮件和声称有关COVID-19的有用信息的恶意网站已成为了最大威胁。此外，根据Seqrite的报告，从2020年4月至6月，共发现40万起新的勒索软件攻击。 这些网络攻击大多是通过利用易受攻击的服务获得对远程系统的访问进行的。 为什么印度容易遭受网络攻击？ NITI Aayog报告指出，原因是越来越多地使用互联网和移动技术。印度在全球互联网用户数量排名第三，仅次于美国和中国。随着互联网和手机用户的指数级增长，印度和全球的网络攻击事件数量显著上升。 内部安全威胁被忽略。企业更注重通过无缝操作保证业务连续性，而不是弥合远程基础架构中的缺口。如果敏感数据在不同部门之间流动，而没有适当的监视和记录过程，那么在发生任何攻击时识别漏洞就变得很困难。 外部威胁增加。随着不断增加的外部威胁，只有少数印度公司采取了网络应用防火墙等安全措施来监控外部威胁，并在网络攻击事件发生时及时阻止。 远程工作期间暴露出弱点。远程工作期间暴露的主要弱点包括身份验证技术薄弱、监控不足和暴露的服务器（DNS、VPN、RDP等）。 此外，许多员工通常忽视个人网络安全。在这种“work from anywhere culture”的文化下，员工开始在自己的官方机器上访问自己的个人电子邮件和社交媒体网站。总的来说，随着个人和工作生活的在线融合，网络攻击很容易通过不安全的个人帐户发生。 缺少云技术方面的专业知识也是问题所在。为了确保从任何设备和任何地方访问数据的方便性，许多公司都采用了云技术。然而，他们没有足够的内部资源来管理和保护APIs， SaaS或containers。越来越多的低配置云架构将不可避免地为攻击者打开大门。 保护措施 以下是一些安全提示： 1.对员工进行安全原则培训。 2.对于通过电子邮件收到的附件、链接或文本，尤其是与COVID-19相关的主题行，要谨慎 构建的远程工作策略。 3.仅使用可信来源，如从合法网站获取最新信息。 4.不要在陌生人的电子邮件或电话中透露你的财务或个人信息。 5.鼓励只为公务目的使用办公设备。 6.不要在不同的帐户和应用程序之间重复使用密码。 7.进行数据备份并单独存储。 8.使用多因素身份验证。 9.使用基于云的WAF（如AppTrana）使堆栈现代化，AppTrana是下一代网络安全保护套件，包括漏洞评估、虚拟补丁、零误报、DDoS攻击防范和其他功能。 在网络安全领域，下一代威胁监测工具和预测分析超越了基于规则的系统，可以检测网络风险，从而以安全、快速的方式标记潜在威胁。有了足够的全国性的网络安全意识和强有力的政策，企业才能够在未来有效地应对网络威胁。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌和英特尔警告说，除了最新版本的Linux内核外，其他所有版本的Linux内核都存在高严重性蓝牙漏洞。谷歌的一位研究人员表示，该漏洞允许攻击者在蓝牙范围内无缝执行代码，而英特尔则将该漏洞定性为提供特权升级或信息泄露。 该缺陷存在于BlueZ中，BlueZ是默认实现Linux所有蓝牙核心协议和层的软件栈。除了Linux笔记本电脑，它还被用于许多消费或工业物联网设备。它适用于Linux 2.4.6及以后的版本。 到目前为止，人们对所谓的BleedingTooth漏洞知之甚少，这是谷歌工程师Andy Nguyen给出的名字，他表示将很快发表一篇博客文章。一个Twitte推文和一个YouTube视频提供了最详细的信息，给人的印象是，这个漏洞为附近的攻击者提供了一种可靠的方式，可以在使用BlueZ进行蓝牙的脆弱Linux设备上执行他们选择的恶意代码。 研究人员表示，BleedingTooth是Linux蓝牙子系统中的一组零点击漏洞，可以让未经认证的远程攻击者在短距离内在易受攻击的设备上执行具有内核权限的任意代码。与此同时，英特尔发布了一份公告，将该漏洞归类为特权升级或信息泄露漏洞，并且给这份编号CVE-2020-12351的漏洞分配了8.3分（满分10分）的严重性，该漏洞是构成BleedingTooth的三个不同的漏洞之一。 英特尔表示，BlueZ中的潜在安全漏洞可能允许特权升级或信息泄露，BlueZ正在发布Linux内核修复程序来解决这些潜在的漏洞。英特尔是BlueZ开源项目的主要贡献者，它表示，修补漏洞的最有效方法是更新到Linux内核5.9版本，该版本已于周日发布。无法升级到5.9版本的用户可以安装一系列内核补丁。 但是，抛开细节的缺乏不谈，人们没有太多的理由去担心这样的漏洞。像几乎所有的蓝牙安全漏洞一样，BleedingTooth攻击者需要接近一个脆弱的设备。它还需要高度专业化的知识，并且只对世界上一小部分蓝牙设备有效。这些限制大大减少了能够成功实施攻击的人数。       （稿源：cnBeta，封面源自网络。）

  在十月补丁星期二活动发布的 Windows 10 累积更新中，微软增强了对驱动程序软件的验证，防止恶意程序利用易受攻击的硬件驱动程序来危害 Windows 10 计算机。在本次安全性更新中，微软表示如果 Windows 10 无法验证软件开发商，那么系统将阻止用户安装 OEM 或者制造商的驱动程序。 新的驱动认证模型对于安全至关重要，如果微软无法认证该驱动程序，那么在安装过程中就会导致驱动错误。微软表示在所有支持的 Windows 10 系统上，如果驱动程序认证失败就可能会跳出两个错误消息。 第一个错误消息是“ Windows 无法验证该驱动程序软件的发行者”，第二个错误消息是“主题中没有签名”。这两个错误消息均表示 Windows 在驱动程序验证中发现格式不正确的目录文件，并且驱动程序安装将失败。 如果从 OEM 或驱动程序供应商网站安装驱动程序时遇到以上两个错误，微软表示您需要联系制造商并要求他们上载具有适当修复程序的驱动程序。用户只有在应用旧的驱动程序更新时才可能遇到这些问题。由Intel，AMD或Nvidia发行的较新驱动程序已经与Windows 10的新验证模型兼容。     （文章及封面来源：cnBeta）

Phobos 勒索软件 自2019年初被安全研究人员首先发现后，不断推出新的变型，这些变型不仅进化了攻击方法，还频繁更改过去变型中加密文件的扩展名。 两周前，FortiGuard实验室采集了一个新的威胁样本。这是一个Microsoft Word文档，它带有一个恶意宏，旨在传播Phobos的EKING变型。 …… 更多内容 请至 Seebug Paper 阅读全文：https://paper.seebug.org/1368/       消息及封面来源：Fortinet  译者：小江； 本文由 HackNews.cc 翻译整理； 转载请注明“转自 HackerNews.cc ”并附上原文链接。  

据外媒报道，虽然Nook在很大程度上已经被亚马逊的Kindle抛在脑后，但Barnes & Noble（以下简称B&N）仍是一个拥有相当数量忠实客户的知名品牌。然而这些顾客现在可能有些担心，因为这家书商向他们提供了一些令人不安的消息。报告显示，B&N的公司系统遭到了网络安全攻击，黑客可能已经获得了B&N客户的一些重要信息，其中可能包括他们的住址。 需要明确指出的是，在攻击期间没有任何财务相关信息或付款细节被窃取。B&N表示，这些信息都是被加密和标记了的。然而这并不排除这些加密数据也有被窃取的可能，这些数据仍有可能成为解密尝试的牺牲品。 不过这家公司承认，至少有两条客户信息被曝光。这些包括用户的电子邮件和他们的购买交易信息。后者可能用于建立客户的档案，前者则可能用于网络钓鱼。客户的电子邮件账号本身是否会被攻破将取决于他们的电子邮件的安全强度。 黑客还可能侥幸获得了账单信息，其中包括客户提供的送货地址和电话号码。虽然受影响的人们可能不必担心他们的信用卡被用于未经授权的交易，但他们将不得不警惕诈骗。很显然，如果用户已经收到了来自B&N的警告，那么现在可能是时候更改自己的电子邮件密码并激活双因素认证(2FA)功能了。 在此之前，上周一发生了该公司所称的“系统故障”影响了对Nook内容的访问以及零售店的订单处理。B&N声称，虽然他们在10月10日就得知了这起安全入侵事件，但没有提及两者是否存在任何关联。     （稿源：cnBeta，封面源自网络。）

一个以恶意软件活动而闻名的资金驱动型攻击组织FIN11，已经研究出了专注于勒索软件和勒索的策略。 据FireEye的Mandiant威胁情报团队称，该组织至少自2016年以来就参与了一系列网络犯罪活动，其中包括利用组织网络获取资金，此外还针对金融、零售、餐厅以及制药行业的销售点（POS）部署了恶意软件。 Mandiant说：“最近最常见的FIN11攻击通过分发CLOP勒索软件导致数据被盗、勒索和破坏受害者网络。” 尽管FIN11在过去的活动与诸如FaultedAmyy、FRIENDSPEAK和MIXLABEL等恶意软件有关，但Mandiant指出，TTP与另一个威胁组织TA505有着显著重叠。TA505是Dridex银行木马和Locky勒索软件的幕后黑手，它们通过Necurs僵尸网络进行恶意垃圾邮件攻击。 今年3月早些时候，微软策划了摧毁Necurs僵尸网络的行动，试图阻止攻击者的进一步活动。 大量恶意垃圾邮件活动 除了利用大量恶意电子邮件分发机制外，FIN11还将其目标扩展到本地语言诱饵，再加上伪造的电子邮件发送者信息，如伪造的电子邮件显示名称和电子邮件发送者地址，以使消息看起来更合法。在2020年，他们更倾向于攻击德国的组织。 例如，该组织在2020年1月发起了一场电子邮件活动，邮件主题包括“research report N-[five-digit number]”和“laboratory accident”，随后，他们在3月发起了第二波攻击，主题为“[pharmaceutical company name] 2020 YTD billing spreadsheet.”。 Mandiant威胁情报公司高级技术分析师Andy Moore通过电子邮件向The Hacker News表明：FIN11的高容量电子邮件分发活动在不断演变。 “有大量公开报告表明，2018年的某个时期，FIN11严重依赖Necurs僵尸网络进行恶意软件分发。值得注意的是，观察到的Necurs僵尸网络停机时间与FIN11的活动停滞直接对应。” 事实上，根据Mandiant的研究，从2020年3月中旬到2020年5月下旬，FIN11的活动似乎已经完全停止，但是在6月再次通过包含恶意HTML附件的钓鱼电子邮件来发送恶意Microsoft Office文件。 Office文件则利用宏来获取MINEDOOR dropper和FRIENDSPEAK downloader，然后将MIXLABEL后门发送到受感染的设备上。 向混合勒索转变 然而，近几个月来，FIN11的货币化努力导致一些组织感染了CLOP勒索软件，此外他们还采取了混合勒索攻击——将勒索软件与数据盗窃相结合，以迫使企业支付从几十万美元到百万美元不等的勒索账单。 Moore说：“FIN11通过勒索软件和勒索手段将入侵行为货币化，这在有经济动机的攻击者中呈现出更广泛的趋势。” “历史上比较常见的货币化策略，例如部署销售点恶意软件，限制了攻击者以某些行业的受害者为目标，而勒索软件的分发可以让攻击者入侵几乎任何组织的网络，然后从中获利。” “这种灵活性，再加上越来越多关于赎金不断膨胀的报道，极大地吸引了有经济动机的攻击者”他补充道。 更重要的是，据称FIN11使用了从地下论坛购买的各种工具（例如FORKBEARD, SPOONBEARD和MINEDOOR），因此很难进行归因。 攻击者可能是CIS出身 至于FIN11的根源，Mandiant表示，由于存在俄语文件元数据，避免在CIS国家部署CLOP，因此该组织在CIS国家之外开展业务。而且，1月1日至8日，俄罗斯新年和东正教圣诞节期间的活动急剧减少。 Moore说：“除非对他们的运营造成某种干扰，否则FIN11极有可能继续部署勒索软件，窃取数据用于勒索。” “由于该组织定期更新其TTP，以逃避检测并提高其活动的有效性，这些渐进性的变化也可能继续下去。然而，尽管最近的活动中，FIN11始终依赖于嵌入的Office文档的恶意更改”。 “我们可以通过培训用户识别网络钓鱼电子邮件、禁用Office宏以及为FRIENDSPEAK downloader执行检测，将被FIN11危害的风险降至最低。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在软件开发和使用周期里，错误与漏洞显然是难以避免的。即便如微软这样的软件巨头，也在 Windows 10 操作系统中遇到了一个老对手，它就是可让用户轻松陷入 BSOD 故障的“ping 死”漏洞。安全研究企业 Sophos 指出，微软其实已经在 2013 年修复过该漏洞。然而由于未知的原因，2020 版的 Windows 10 系统竟然又躺枪了。 据悉，该漏洞的核心，是基于 Windows TCP / IP 驱动程序中的一个缺陷。作为负责底层网络通讯的软件，其掌管着计算机在本地和互联网线路上的所有基础通信。 此外该漏洞利用涉及特制的 IPv6 路由广播封包，在让驱动程序的数据处理能力过载的情况下，即可导致缓冲区溢出或蓝屏死机。 庆幸的是，微软已经在 Windows 10 2020 十月更新中修复了这一问题。此外还有临时解决方案，比如完全禁用 IPv6 通讯协议。 虽然该漏洞还可被用于远程代码执行（RCE），但 Sophos 测试表明，其并没有前述的拒绝服务（DoS）攻击那样容易得逞。 最后，该安全机构提到了 2020 十月补丁中修复的另一个有趣 bug，它与 Windows 自身用于验证文件的安全目录功能有关。 恶意软件会利用该漏洞，相对轻松地对 Windows 安全系统进行欺骗。对于普通用户来说，还请记得及时更新 —— 但愿这批补丁不会又引入新的 bug 。       （稿源：cnBeta，封面源自网络。）

微软警告称，一种新型手机勒索软件利用来电通知和安卓的Home按钮锁定设备进行勒索。 这一发现涉及到一个名为“MalLocker.B”的安卓勒索软件家族的变体，该软件现在以新技术重新出现，包括在受感染设备上传递赎金需求的新方法，以及逃避安全解决方案的模糊机制。 在这一事态发展之际，针对关键基础设施的勒索软件攻击激增，过去三个月勒索软件攻击的日均次数比上半年增加了50%，攻击者越来越多地将双重勒索纳入他们的行动计划。 MalLocker被称为恶意网站，它通过伪装成流行应用程序、破解游戏或视频播放器等各种诱饵在在线论坛上传播。 以前的勒索软件利用了安卓的可访问性功能或称为“SYSTEM_ALERT_WINDOW”的权限，在所有其他屏幕上显示一个持久的窗口来显示赎金条，通常伪装成假的警方通告或发现图像的警报。 但就在反恶意软件开始检测到这种行为时，新的安卓勒索软件变种已经进化出了克服这一障碍的策略。MalLocker.B通过一种全新的策略来实现同样的目标。 为此，它利用“呼叫”通知来提醒用户来电，以便显示一个覆盖整个屏幕区域的窗口，然后将其与Home或Recents键组合，以将勒索通知触发到前台，并防止受害者切换到任何其他屏幕。 微软称：“触发勒索软件屏幕的自动弹出无需进行无限重绘或假装成系统窗口。” 安全人员还注意到存在一个尚未集成的机器学习模型，该模型可用于在屏幕内不失真地拟合勒索便条图像，这暗示了恶意软件的下一步的发展。 此外，为了掩盖其真实目的，勒索软件代码被严重混淆，并通过篡改名称和故意使用无意义的变量名和垃圾代码来阻止分析，使其无法阅读。 微软365 Defender研究团队称：“这种新的移动勒索软件变种是一个重要发现，因为这些恶意软件表现出以前从未见过的行为，并可能为其他恶意软件打开大门。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

今年 9 月，本站曾报道 Microsoft Defender 中可通过命令行方式下载恶意文件；而现在，在 Windows Update 中也发现了类似的功能，从而也能被黑客滥用用于执行恶意文件。 援引外媒 Bleeping Computer 报道，MDSec 研究人员 David Middlehurst 发现，攻击者可以通过使用以下命令行选项从任意特制的 DLL 加载 wuauclt，从而在 Windows 10 系统上执行恶意代码：   wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer 该技巧绕过 Windows 用户帐户控制（UAC）或Windows Defender应用程序控制（WDAC），可用于在已经受到威胁的系统上获得持久性。之所以能够发现，是因为他发现已经有黑客利用这个漏洞执行攻击行为。     （稿源：cnBeta，封面源自网络。）