今年 9 月，本站曾报道 Microsoft Defender 中可通过命令行方式下载恶意文件；而现在，在 Windows Update 中也发现了类似的功能，从而也能被黑客滥用用于执行恶意文件。 援引外媒 Bleeping Computer 报道，MDSec 研究人员 David Middlehurst 发现，攻击者可以通过使用以下命令行选项从任意特制的 DLL 加载 wuauclt，从而在 Windows 10 系统上执行恶意代码：   wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer 该技巧绕过 Windows 用户帐户控制（UAC）或Windows Defender应用程序控制（WDAC），可用于在已经受到威胁的系统上获得持久性。之所以能够发现，是因为他发现已经有黑客利用这个漏洞执行攻击行为。     （稿源：cnBeta，封面源自网络。）

微软今天宣布，它破坏了Trickbot僵尸网络，这是世界上最臭名昭著的传播勒索软件的僵尸网络之一。自2016年底以来，Trickbot已经感染了超过100万台设备。微软与世界各地的网络运营商合作，拿下了Trickbot的关键基础设施，这样恶意软件运营者将无法再利用这个基础设施来分发恶意软件或勒索软件。 Trickbot不是一个简单的恶意软件，任何免费的反病毒软件都可以检测到，它在受影响的设备中不断进化。 Trickbot是一个多阶段的恶意软件，通常由一个外壳、一个加载器和一个主恶意软件模块组成。外壳使用多个不断变化的模板，旨在通过产生独特的样本来逃避检测，即使主要的恶意软件代码保持不变。 希望了解更多有关勒索软件与僵尸网络的内幕，您可以在微软的相关博客中获取更多资料： https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/     （稿源：cnBeta，封面源自网络。）

据外媒报道，美司法部于当地时间上周三宣布，FBI查获了92个遭伊朗伊斯兰革命卫队（Islamic Revolutionary Guard Corps，以下简称IRGC）非法使用的域名，这些域名被用于在全球制造虚假信息。据悉，其中四个域名自称是真正的新闻媒体，但实际上它们由IRGC控制并以美国为目标传播亲伊朗讯息以此来影响美国的内政和外交政策。 这些行为则违反了该国的《Foreign Agents Registration Act（以下简称FARA）》。另外，扣押文件还显示，其余的域名还将这些宣传传播到世界其他地方。 FARA要求那些代表外国政府进行游说的机构在美国司法部注册。 根据《国际紧急经济权力法(IEEPA)》，禁止未经授权由美国或美国人直接或间接向伊朗出口货物、技术或服务。据悉，扣押文件提供了所有92个域名是如何被使用的相关信息。 美国负责国家安全事务的助理司法部长John Demers表示，它们将继续使用其所有的工具来阻止伊朗政府滥用美国公司和社交媒体平台展开秘密宣传活动进而试图秘密影响美国公众并制造不和，“假新闻机构已经成为威权国家传播虚假信息的新渠道，他们仍在继续试图破坏我们的民主。今日的行动表明，我们可以利用各种法律来维护透明度的价值。” FBI特别探员John Bennett披露称：“我们从谷歌那里收到情报，这次调查是由FBI和社交媒体公司谷歌、Facebook和Twitter合作发起。” 根据美司法部的说法，其中四个域名–newsstand7.com、usjournal.net、usjournal.us和twtoday.net–则是依据FARA被查获。其余88个域名的目标受众则包括了西欧、中东和东南亚。     （稿源：cnBeta，封面源自网络。）

Bitdefender的安全研究人员发现了一种新的Golang编写的RAT，它利用CVE-2019-2725（Oracle WebLogic RCE）漏洞攻击设备。与其他利用此漏洞的攻击不同，它不会（至少目前还没有）尝试安装cryptominer或部署其他恶意软件。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1357/       消息与封面来源：Labs  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒TechCrunch报道，由于担心新冠病毒的传播，美国大部分监狱仍暂不允许家人和律师探视服刑人员。探访者无法看到他们正在服刑的亲人，迫使朋友和家人使用昂贵的视频探视服务，但这些服务往往不起作用。但现在这些系统的安全和隐私受到审查后，一个基于圣路易斯的监狱视频探视供应商被发现存在一个安全漏洞，暴露了数千名囚犯和他们的家人之间的电话，但也有他们与律师的通话，这些应该是由律师 – 客户特权保护的电话。 HomeWAV为全美十几所监狱提供服务，它的一个数据库在没有密码的情况下暴露在互联网上，允许任何人阅读、浏览和搜索囚犯与其朋友和家人之间的通话记录和转录。抄本还显示了打电话者的电话号码、哪个犯人以及通话时间。 安全研究员Bob Diachenko发现了这个安全漏洞，他说，这个数据库至少从4月份开始就已经公开了。TechCrunch向HomeWAV报告了这个问题，HomeWAV在几个小时后关闭了系统。 在一封电子邮件中，HomeWAV首席执行官John Best证实了该安全漏洞。他告诉TechCrunch：“我们的一个第三方供应商已经证实，他们意外地取下了密码，从而允许访问服务器。”Best没有点名第三方供应商的名字，他表示，公司将把这一事件通知囚犯、家属和律师。 ACLU刑法改革项目的高级职员律师Somil Trivedi告诉TechCrunch：“我们一次又一次看到的是，当系统失败时，被监禁者的权利是第一个被践踏的–因为它总是这样。” “我们的司法系统只有对最弱势者的保护才是好的。一如既往，有色人种、请不起律师的人和残疾人将为这个错误付出最高的代价。”Trivedi说：”技术不能解决刑事法律制度的根本性缺陷–如果我们不慎重和谨慎，它将加剧这些缺陷。” 美国几乎所有的监狱都会记录囚犯的电话和视频通话–即使在每次通话开始时没有披露。据悉，检察官和调查人员会回听录音，以防囚犯在通话中自证其罪。然而，由于律师与当事人的特权，囚犯与其律师之间的通话不应该被监控，这一规则保护律师与其当事人之间的通信不被用于法庭。 尽管如此，已知有美国检察官使用律师与被监禁客户之间的通话录音的案例。去年，美国肯塔基州路易斯维尔市的检察官据称监听了一名谋杀嫌疑人与其律师之间的数十次通话。而且，今年早些时候，缅因州的辩护律师表示，他们经常被几个县级监狱录音，他们在律师客户特权保护下的电话至少在四个案件中被移交给检察官。 HomeWAV的网站上说：“除非来访者之前已经登记为神职人员，或者是犯人有权与之进行特权交流的法律代表，否则会告知来访者，访问可能会被记录，并且可以被监控。” 但当被问及时，HomeWAV的Best不愿透露该公司为何要记录和抄录受律师-当事人特权保护的对话。TechCrunch审查的几份记录显示，律师明确宣布他们的通话受律师-当事人特权保护，有效地告诉任何听进去的人，通话是禁区。 TechCrunch与两位律师进行了交谈，他们与监狱中的客户在过去六个月的通信被HomeWAV记录并转录，但要求不要说出他们或他们的客户的名字，因为这样做可能会损害他们客户的法律辩护。两人都对自己的通话被录音表示震惊。其中一位律师表示，他们在通话中口头主张律师与当事人的特权，而另一位律师也认为他们的通话受到律师与当事人特权的保护，但拒绝进一步评论，直到他们与当事人通话。 另一位辩护律师Daniel Repka告诉TechCrunch证实，他9月份与监狱中的一位客户的一次通话被记录、转录，随后被曝光，但他表示这次通话并不敏感。“我们没有转达任何被认为是受律师-客户特权保护的信息，”Repka说。“任何时候，我都有一个客户从监狱给我打电话，我非常意识到并意识到不仅有可能出现安全漏洞，而且还有可能被县检察官办公室访问这些电话。” Repka称：“这确实是我们能够确保律师能够以最有效和最热心的方式代表他们的客户的唯一方法。”他说道：“律师的最佳做法是，总是亲自去监狱探望你的客户，在那里，你在一个房间里，你有更多的隐私，而不是通过电话线，你知道已经被指定为录音设备。” 但疫情带来的挑战使得亲自探视变得困难，或者在一些州不可能。关注美国刑事司法的无党派组织 “马歇尔计划 “说，由于冠状病毒带来的威胁，几个州已经暂停了亲自探视，包括合法探视。甚至在大流行之前，一些监狱就结束了亲自探视，改用视频通话。 视频探视技术现在是一个价值数十亿美元的产业，像Securus这样的公司每年通过向呼叫者收取高昂的费用来呼叫他们被监禁的亲人而赚取数百万美元。 HomeWAV并不是唯一一家面临安全问题的视频探视服务。2015年，Securus的一个明显的漏洞导致约7000万个囚犯电话被匿名黑客泄露，并与The Intercept分享。据该出版物报道，缓存中的许多录音还包含受律师-当事人特权保护的指定电话。 8月，Diachenko报告说，另一家监狱探视服务机构TelMate也出现了类似的安全漏洞，由于无密码数据库，数百万条囚犯信息被泄露。     （稿源：cnBeta，封面源自网络。）

Ryuk在29小时内将一封电子邮件发送到了整个域的勒索软件，要求我们以超过600万美元的价格来解锁系统。在勒索过程中，他们使用了Cobalt Strike、AdFind、WMI、vsftpd、PowerShell、PowerView和Rubeus等工具。 在过去的几年里，Ryuk一直是最熟练的勒索团伙之一。FBI声称，截至2020年2月，已经向该团伙支付了6100万美元。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1355/       消息与封面来源：THE DFIR REPORT  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本周早些时候的一篇报道称，勒索软件攻击已在去年出现了急剧增加的趋势，并且安全研究行业已将之视为一个日益严重的问题。为帮助大家更好地了解勒索软件问题的严重性，Lumu 特地制作了一幅信息图。预计今年，勒索软件能够以单次超 400 万美元的攻击成本，将全球应对代价推升至 200 亿美元。 令人担忧的是，有 36% 的受害者向恶意攻击者支付了赎金。可即便如此，这批受害者中的 17% 还是没能挽回他们的数据。 从区域来看，北美地区有 69% 的企业报告称其受到了勒索软件的影响，欧洲地区的这一数字则是 57% 。 从行业类型来看，北美地区的政府组织受灾影响最大，其次是制造和建筑业。 不过从 Gartner 的分析结果来看，其实超过 90% 以上的勒索软件攻击，原本都是可以做到“防患于未然”的。 作为应对，Lumu 建议企业负责人花几分钟来了解和评估相关信息，以作出防止损失扩大化的明智决策。 感兴趣的朋友，可移步至官网（Lumu.io）了解详情。     （稿源：cnBeta，封面源自网络。）

Juniper Threat Labs发现了几个依赖于pastebin-like服务的恶意软件活动。有问题的domain是paste.nrecom.net。 这些攻击通常以网络钓鱼电子邮件开始，当用户被诱骗执行恶意软件时，它会在不写入磁盘的情况下，从paste.nrecom.net将其加载到内存中。为恶意软件基础设施使用合法的web服务并不是什么新鲜事，正如我们看到的APT group FIN6使用pastebin来托管感染链的一部分，rock使用它来进行命令和控制。虽然使用合法的web服务并不新奇，但这是我们第一次看到攻击者使用paste.nrecom.net。我们发现的恶意软件包括Agentsela、LimeRAT、Ransomware和Redline Stealer。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1354/       消息与封面来源：juniper  ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

随着企业越来越多地迁移到云中，保护基础架构变得前所未有的重要。 根据最新研究，Microsoft Azure应用服务中的两个安全漏洞可能使攻击者能够进行服务器端请求伪造（SSRF）攻击或执行任意代码并接管服务器。 网络安全公司Intezer在今天发布并与《The Hacker News》共享的一份报告中说：“这使攻击者能够悄悄接管App Service的git服务器，或植入可通过Azure门户访问的恶意网络钓鱼页面，以锁定目标系统管理员。” 在Intezer Labs的Paul Litvak发现后，该漏洞已于6月份报告给微软，之后微软对该漏洞进行了解决。 Azure App Service是基于云计算的平台，用作构建Web应用程序和移动后端的托管Web服务。 通过Azure创建应用服务时，将创建一个新的Docker环境，其中包含两个容器节点（管理器节点和应用程序节点），并注册指向应用程序HTTP web服务器和应用程序服务管理页面的两个域，它反过来利用Kudu从源代码管理提供者（如GitHub或bitback）连续部署应用程序。 视频链接：https://www.youtube.com/watch?v=uI0_6OWNbnQ&feature=emb_title 同样，Linux环境中的Azure部署由一个名为KuduLite的服务管理，该服务提供有关系统的诊断信息，并由一个web接口组成，该接口将SSH连接到应用程序节点（称为“websh”）。 第一个漏洞是权限提升漏洞，允许通过硬编码凭据接管KuduLite (“root:Docker!”)这使得SSH能够进入实例并以root用户身份登录，从而允许攻击者完全控制SCM（又名软件配置管理）web服务器。 研究人员认为，这可以使对手“侦听用户对SCM网页的HTTP请求，添加我们自己的页面，并将恶意Javascript注入用户的网页”。 第二个安全漏洞涉及应用程序节点向KuduLite API发送请求的方式，可能允许具有SSRF漏洞的Web应用程序访问节点的文件系统并窃取源代码和其他敏感资产。 研究人员说：“设法伪造POST请求的攻击者可以通过命令API在应用程序节点上实现远程代码执行。” 而且，成功利用第二个漏洞意味着攻击者可以将两个问题联系在一起，以利用SSRF漏洞并提升他们的特权来接管KuduLite Web服务器实例。 就其本身而言，微软一直在努力改善云和物联网（IoT）空间中的安全性。在今年早些时候提供其以安全性为重点的物联网平台Azure Sphere之后，它还向研究人员开放了该服务，以使其能够“识别黑客之前的高影响力漏洞”进入服务。 Intezer说：“云使开发人员能够快速，灵活地构建和部署应用程序，但是，基础架构经常容易受到其控制之外的漏洞的影响。” “对于App Services，应用程序与其他管理容器共同托管，并且其他组件可能带来其他威胁。 “运行时云安全是重要的最后一道防线，也是降低风险的首要措施之一，因为它可以检测恶意代码注入和其他内存中的威胁，这些威胁是在攻击者利用漏洞后发生的。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员发现了一种罕见的具有潜在危险性的恶意软件，它针对计算机的启动过程来删除持续存在的恶意软件。 该活动涉及使用一个包含恶意植入物的受损UEFI（或统一可扩展固件接口），这是第二个已知的公开案例，其中UEFI Rootkit已被广泛使用。 根据卡巴斯基的说法，这些恶意UEFI固件映像被修改为包含几个恶意模块，然后这些模块被用来在受害者计算机上投放恶意软件，这些模块针对来自非洲、亚洲和欧洲的外交官和非政府组织成员发动了一系列有针对性的网络攻击。 卡巴斯基的研究人员Mark Lechtik，Igor Kuznetsov和Yury Parshin称该恶意软件框架为“ MosaicRegressor ”，一项遥测分析显示，2017年至2019年间有数十名受害者，他们都与朝鲜有一些关系。 UEFI是固件接口，是BIOS的替代品，可提高安全性，确保没有恶意软件篡改引导过程。因为UEFI有助于加载操作系统本身，所以这种感染可以抵抗OS重新安装或更换硬盘驱动器。卡巴斯基说：“ UEFI固件为持久的恶意软件存储提供了一种完美的机制。” “老练的攻击者可以修改固件，以使其部署将在加载操作系统后运行的恶意代码。” 虽然目前还不清楚用于覆盖原始固件的确切感染媒介，但泄露的手册显示，恶意软件可能是通过物理访问受害者的机器进行部署的。 新的UEFI恶意软件是Hacking Team的VectorEDK引导程序的自定义版本，该引导程序于2015年泄露，此后已在线提供。它用于植入第二个有效负载，称为MosaicRegressor——间谍活动和数据收集的多阶段模块化框架，其中包含其他下载程序，以获取并执行辅助组件。 下载者又联系命令和控制（C2）服务器以获取下一级DLL，以执行特定命令，这些命令的结果被导出回C2服务器或转发到“反馈”邮件地址。攻击者可以从中收集聚集的数据。 有效载荷以多种方式传输，包括通过来自硬编码在恶意软件二进制文件中的邮箱的电子邮件（“ mail.ru”）进行传输。 但是，在某些情况下，该恶意软件是通过带有网络钓鱼邮件的电子邮件发送给某些受害者的，这些电子邮件带有嵌入式诱饵文件（“ 0612.doc”），该诱饵文件用俄语编写，旨在讨论与朝鲜有关的事件。 最后，卡巴斯基在MosaicRegressor的一种变体中找到了一个C2地址，这种变体是在与中国黑客团体（通常被称为Winnti，又名APT41）相关的情况下观察到的。 “通常情况下，UEFI固件遭到破坏非常罕见，这通常是由于对固件攻击的可见性低，将其部署在目标的SPI闪存芯片上所需的高级措施以及在敏感工具集或资产烧毁时的高风险这样做。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。