据外媒 7 月 11 日报道，趋势科技（ Trend Micro ）安全专家发现远程访问木马 Adwind 卷土重来，威胁瑞士、奥地利、乌克兰、美国等国航空航天工控系统。 Adwind 是一款采用 Java 编写的跨平台远程访问木马，曝光于 2012 年初，能够使受感染的 Windows、Mac、Linux 与 Android 等主流操作系统设备沦为肉鸡，用于 DDoS、暴力攻击在内的非法活动。 研究人员于 2017 年 6 月观察到 Adwind 感染数量持续上升，较上月增长 107％。此次攻击目标主要为航空航天企业，瑞士、乌克兰、奥地利与美国堪称重灾区。 调查显示，Adwind 可实现包括登录凭据、键盘记录与截屏窃取以及数据采集、渗透在内的多种功能。此次攻击活动分为两个阶段： 第一阶段（ 6 月 7 日），攻击者通过链接使受害者跳转至采用 .NET 编写、具有监控功能的间谍软件； 第二阶段（ 6 月 14 日），黑客使用不同域名托管恶意软件与 C＆C 服务器。 两起攻击均冒充地中海游艇经纪人协会（MYBA）宪章委员会主席发送垃圾邮件。一旦用户设备遭受感染，恶意代码将收集受害者相关信息，包括已安装的防病毒与防火墙应用程序列表。 考虑到 Adwind 主要攻击向量源自垃圾邮件，用户必须仔细验证邮件来源，谨慎检查包含文档或链接的陌生邮件，及时更新系统与防病毒产品版本。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

在计算机安全建议列表中，用户系统 “ 软件更新 ” 的重要性仅次于 “ 不使用 ‘ password ’ 作密码 ”。不久前，Petya 事件致使全球成千上万的网络系统瘫痪，甚至威胁到银行、企业、交通运输与电力公司基础设施。事实证明，软件自动更新本身就是这一病原载体。网络安全分析师警示，Petya 并非黑客通过劫持软件自身免疫系统传播病毒的唯一或最后一起事件。 安全公司 ESET 与思科 Talos 研究人员上周发表了一份关于黑客入侵乌克兰小型软件公司 MeDoc 网络系统的详细分析报告，指出 80% 的乌克兰企业都在使用该公司出售的一款财务软件。据悉，黑客早在今年 4 月就已开始向软件更新注入恶意代码，传播 MeDoc 软件后门版本。6 月下旬，黑客向软件更新注入 Petya 并从初始 MeDoc 网络入口肆意传播，中断制药巨头 Merck、航运公司 Maersk、乌克兰电力公司 Kyivenergo 与 Ukrenergo 等网络系统。 后门乘法 令人感到不安的不仅包括以数字瘟疫为表征的持续威胁，还包括那些在不自知情况下传播恶意软件的更新。迪拜 Comae Technologies 创始人 Matt Suiche 表示：“ 我想知道是否有类似软件公司遭受攻击，它们极有可能是类似攻击事件的根源。” ESET 还指出，除了 MeDoc 软件，黑客还采用其他手段感染大量乌克兰计算机。调查显示，他们先攻击一家不知名的软件公司并利用其 VPN 连接将勒索软件植入少数目标，随后再将 MeDoc 作为恶意软件传递工具。 约翰霍普金斯大学（John Hopkins University）教授马修·格林（Matthew Green）表示，黑客将软件更新转化为系统漏洞的主要原因可能是 “ 白名单 ” 作为安全措施的现象日益频繁，严格限制了计算机上的安装程序，促使黑客从自行安装恶意软件转为对白名单程序进行劫持。随着企业薄弱环节遭受勒索软件攻击而中止服务，供应商不幸成为后续攻击目标。然而，现有防御措施却极为有限。 目前，开发人员为防止软件更新遭受破坏普遍采取的一项基本安全措施是代码签名，要求使用不可伪造的加密密钥对添加到应用程序的任何新代码进行签名。而 MeDoc 公司系统并未实施代码签名，这将允许任何可拦截软件更新的黑客充当 “ 中间人 ” 并将其改为后门。但即便实施签名，也不意味万无一失，因为有些黑客已深入公司网络，即有机会窃取密钥并针对恶意更新进行签名，或直接将后门添加至可执行程序源代码。 虚假疫苗 据悉，研究人员应阻止用户更新、修补软件或禁用自动更新软件，因为像 Google 与微软这样的大公司面临产品多样化的趋势。此外，通过劫持更新方式传播恶意软件的另一潜在威胁可能就是各企业的过度反应。前 ACLU 技术专家 Chris Soghoian 表示：“ 让消费者质疑安全更新的后果可能更为严重。” 代码签名无疑会使软件更新复杂化。为了破坏代码，黑客需要对目标公司具有更深层的访问权限。这意味着从 Google Play Store 或 Apple App Store 下载或更新的签名软件相对更加安全，但这并不等于 App Store 不存在安全隐患。在高度敏感的网络环境中，即使是 “ 可信 ” 应用程序也不应完全信任。即系统管理员需要对网络系统进行详细划分，限制被列入白名单的软件权限并对文件进行及时备份，积极应对任何勒索软件爆发事件。 原作者：Andy Greenberg，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全公司 Palo Alto Networks 研究人员报告指出一种主要流行针对中国用户的恶意 Android 木马 SpyDealer，该恶意程序设计窃取 40 余款流行应用的数据。目前，虽然研究人员已通知 Google ，但该恶意程序并非通过 Google Play 商店传播。 研究人员表示，有证据显示 SpyDealer 能通过被入侵的无线网络感染中国 Android 用户。一旦感染，它会利用商业 root 工具 Baidu Easy Root 获取设备的 root 权限，滥用  Android Accessibility Service 功能从应用且其敏感信息，大量收集用户信息，包括 IMEI、IMSI、SMS、MMS、联系人、账号、呼叫历史、位置、连接的 Wi-Fi 信息。 此外，SpyDealer 能自动响应特定号码，通过  UDP、TCP 和 SMS 渠道远程控制设备，用麦克风和摄像头记录附近视频、音频、拍照和屏幕截图。还能从 40 多款流行应用中提取个人信息，这些应用包括微信、Facebook、WhatsApp、飞信、人人等社交软件。SpyDealer 最早版本现身于 2015 年，目前仍然在活跃更新，最新版本于五月释出。 稿源：Solidot奇客，封面源自网络

据外媒 7 月 7 日报道，早期版本的 Petya 勒索软件开发人员 Janus 在线免费发布了解密密钥，旨在关闭 Petya 项目、恢复受害者已被感染的加密文件。 调查显示，Janus 并未参与针对乌克兰的最新攻击，此次勒索软件系由未知黑客盗版并加以传播利用的。安全公司 MalwareByte 发布声明，指出由于勒索软件 Petya 肆意传播，Janus 决定关闭 Petya 项目，并在线发布该勒索软件解密密钥，允许以前遭受 Petya 攻击的所有受害者恢复文件。 卡巴斯基（KasperskyLab）研究人员证实，Janus 发布的解密密钥可恢复被早期版本的 Petya 勒索软件 与 GoldenEye 勒索软件感染的加密文件。GoldenEye 是 Janus 于 2016 年创建的一款基于 Petya 代码的勒索软件，由某未知名黑客于 2017 年盗取编译应用程序并进行修改与传播。 研究人员推测，早期版本的 Petya 源代码从未在线公开泄漏过，若黑客能够重新进行编译，或间接证明 Janus 以某种方式与当前爆发的攻击活动相关（这是他的工作或他已将代码出售给另一名攻击者）。目前专家证实，黑客在大规模的 NotPetya 攻击中使用了基于 GoldenEye 代码的被盗版本勒索赎金。但不同于以前的版本，NotPetya 变体未实现解密文件功能。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 6 日报道，维基解密（ Wikileaks ）最新曝光一批 Vault7 文档，揭露了美国中央情报局（ CIA ）恶意植入工具 BothanSpy 与 Gyrfalcon 如何通过多种攻击向量窃取 Windows 和 Linux 操作系统 SSH 凭据。 两款恶意植入均可窃取所有活跃 SSH 会话登录凭据并发送回 CIA 网络间谍系统，但区别在于： 第一款恶意植入工具 BothanSpy 主要针对 Microsoft Windows Xshell 客户端。而作为目标机器上的 Shellterm 3.x 扩展安装，只有当 Xshell 以有效活跃会话运行在目标机器的情况下才会起到作用。此外，为了将 BothanSpy 用于运行 x64 版本的 Windows 目标系统，加载程序必须支持 Wow64 注入。与此同时，Xshell 只能作为 x86 二进制文件，因此 BothanSpy 仅被编译为 x86 版本。 Xshell 是支持 SSH、SFTP、TELNET、RLOGIN 与 SERIAL 的终端仿真器，用于提供业界领先功能，包括标签环境、动态端口转发、自定义键映射、用户定义按钮、VB 脚本以及用于显示 2 个字符与国际语言支持的 UNICODE 终端。 第二款恶意植入工具 Gyrfalcon 针对包括 CentOS、Debian、RHEL（Red Hat）、openSUSE 与 Ubuntu 在内各种 Linux 版本的 OpenSSH 客户端。一旦成功植入 Linux 系统（ 32 或 64 位内核 ），CIA 黑客即可使用自定义恶意软件 JQC / KitV rootkit 进行持久访问。Gyrfalcon 收集完整或部分 OpenSSH 会话流量，并将被盗信息存储至本地加密文件用于后续渗透。 Gyrfalcon 还是一款 SSH 会话 “共享” 工具，可在运行目标主机的出站 OpenSSH 会话中进行操控，以记录 SSH 会话（包括登录凭据）并代表远程主机合法用户执行命令。获悉，该工具以自动化方式运行，需提前配置。一段时间后，黑客会返回并要求 Gyrfalcon 将所收集的全部信息复制到磁盘中，以便日后对数据进行检索、解密与分析。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全公司 Check Point 研究人员本月 6 日称，恶意软件 CopyCat 新变种已经导致全球范围内的 1400 多万台 Android 设备受到感染。据悉，该病毒可 ROOT 手机和劫持应用，借此已经牟取了数百万美元的欺诈性广告收入。研究人员称，大多数受害人都来自亚洲，但美国也有超过 28 万台 Android 设备受到了这种恶意软件的感染。 谷歌在过去两年中一直都在追踪 CopyCat，并已对其 Play Protect 进行了更新以拦截这种恶意软件，但仍有数以百万计的受害人由于下载第三方应用和遭到钓鱼攻击而受到了损害。Check Point 称，目前并无证据表明 CopyCat 是在谷歌 Google Play 应用商店中传播开来的。 Check Point 估测，已有近 490 万个虚假应用安装到了受感染设备上，显示了最多 1 亿条广告，在短短两个月时间里就帮助黑客赚到了 150 万美元以上。 这种恶意软件还可检测受影响设备是否来自中国，而中国的受害人并未遭到网络攻击。Check Point 研究人员认为，这是因为该病毒背后的网络犯罪分子是中国人，因此试图避开中国警方的调查。大多数受害人都来自印度、巴基斯坦、孟加拉国、印度尼西亚和缅甸，加拿大也有 38.1 万多台设备受到了影响。 稿源：cnBeta，封面源自网络

国际知名安全软件评测机构 AV-TEST 近期发布 2016-2017 年安全检测报告，指出虽然 2016 年恶意软件样本数量较 2015 年减少，但恶意程序的复杂程度却有所增加。          AV-TEST 研究人员分别于 2015 与 2016 年检测到约 1.44 亿与 1.27 亿款恶意软件样本，其数量相较减少  14％。此外，研究人员日均检测到逾 35 万款新型恶意软件样本，相当于每秒钟产生 4 款新恶意软件样本。虽然在 Windows 恶意软件中，勒索软件占比不到 1%，但这种威胁造成的危害却极其严重。 与传统病毒相比，勒索软件无需获取高额利润，但涉及“高科技恶意软件”攻击，即在目标商业环境中寻找易受攻击设备。例如，带有勒索软件的电子邮件几乎都在工作日发出。与此同时，勒索软件也适用于大规模传播，例如勒索软件 WannaCry 于今年 5 月利用新型技术避免检测，感染 150 多个国家超过 23 万台 Windows 计算机。报告数据显示，勒索软件攻击数量在 2017 年第一季度达到峰值。 AV-TEST 报告显示，MacOS 恶意软件样本数量较 2015 年大幅增加（+370％），多数恶意软件为木马病毒。2017 年第一季度已确定 4000 多款新型 MacOS 恶意软件样本。然而，同样重要的是要注意恶意软件程序的总数，即 尽管 2015 年共有 819 款 MacOS 恶意软件，但 2016 年，苹果用户必须保护设备免受 3033 种恶意软件攻击。 此外，该报告还指出 Android 恶意软件数量于 2016 年翻一番，高达 400 多万。2016 年 6 月，AV-TEST 发现近 65 万款新型恶意软件样本，达到 Google 操作系统发布以来恶意软件样本数量的高峰值。 附：《 2016-2017 年恶意软件安全检测报告（ PDF ）》 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

上周，全球多个国家遭受名为 Petya 勒索病毒的攻击。据外媒报道，Petya 勒索病毒创作者于 7 月 5 日首次公开发表声明。Motherboard 首先发现了存留在 DeepPaste 的这份声明， 其该声明虽然提供了攻击中使用的私人解密密钥，但同时也表示获取这些解密密钥，需缴纳赎金 100 比特币，相当于约 25 万美元。 至关重要的是，该声明包括了一个签署了 Petya 私人解密密钥的文件，这个强有力的证据表明这份声明是来自 Petya 勒索病毒创作者。更具体地说，它证明任何人留下这些信息的人肯定掌握了解锁被 Petya 病毒感染的个人文件所需的私人密码。因为病毒删除了某些引导文件，所以有可能会完全恢复整个系统，但还不确定是否能恢复个人文件。 此外，该消息还包括指向一个聊天室的链接，恶意软件创作者曾讨论了赎金的金额，尽管自那以后该聊天室一直处于未激活状态。目前为止，还未发现有人向 Petya 病毒创作者支付 100 比特币。在第一轮 Petya 病毒袭击后，黑客共收到了约 10000 美元的赎金。 稿源：cnBeta，封面源自网络

上周肆虐全球的勒索软件，其实是从一个非常简单的攻击开始的。独立安全分析师 Jonathan Nichols 在乌克兰软件公司 MeDoc 的更新服务器上发现了一个脆弱到惊人的漏洞，使之成为了本轮攻击的中心。研究人员认为，许多初期感染，都是 MeDoc 上的一个“有毒更新”所引发的，即恶意软件将自己伪装成了一个软件更新。 不过根据 Nichols 的研究，由于 MeDoc 的安全措施太过脆弱，想要发出带毒更新的操作变得相当简单。 在扫描了该公司的基础设施之后，Nichols 发现 MeDoc 的中央更新服务运行在老旧的 FTP 软件之上，而当前许多公开提供的软件都可以轻松将它攻破。 这属于一个严重的安全问题，几乎可以让任何人通过该系统传播带毒内容。目前尚不清楚 Petya 攻击者利用了具体哪个漏洞，但这种过时软件的存在，已暗示有多种进入其系统的方法。 Nichols 表示 ——“从可行性上来说，任何人都可以做到，攻击者会对此感到有十足的信心”—— 即便他自己因为害怕犯罪而没有试图利用该漏洞。 由于忽视的这方面的漏洞，MeDoc 已经收到了来自乌克兰当局的刑事指控。乌克兰网警负责人 Serhiy Demydiuk 在接受美联社采访时表示： 该公司早已因为安全措施松懈而遭到多次警告，其知晓这一点，且被多家反病毒企业多次告知…… 对于这样的疏忽，涉及本案的人将面临刑事诉讼。 [ 编译自：TheVerge ] 稿源：cnBeta，封面源自网络

据外媒 2 日报道，美国国土安全部（DHS）计算机应急响应小组（US-CERT）发布 Petya 勒索软件最新变体预警（TA17-181A）, 提醒组织机构尽快对软件进行升级，避免使用不支持的应用与操作系统。 美国国土安全部下属网络安全与通信整合中心（NCCIC）代码分析团队输出一份《恶意软件初步调查报告》（MIFR），对恶意软件进行了深度技术分析。在公私有部门合作伙伴的协助下，NCCIC 还以逗号分隔值形式提供用于信息分享的输入/出控制系统（IOC）”。 此份预警报告的分析范围仅限曝光于 2017 年 6 月 27 日的 Petya 最新变体，此外还涉及初始感染与传播的多种方法，包括如何在 SMB 中进行漏洞利用等。漏洞存在于 SMBv1 服务器对某些请求的处理过程，即远程攻击者可以通过向SMBv1服务器发送特制消息实现代码执行。 US-CERT 专家在分析 Petya 勒索软件最新样本后发现，该变体使用动态生成的 128 位秘钥加密受害者文件并为受害者创建唯一 ID。专家在加密秘钥生成与受害者 ID 之间尚未找到任何联系。 “尽管如此，仍无法证明加密秘钥与受害者 ID 之间存在任何关系，这意味着即便支付赎金也可能无法解密文件”。 “此 Petya 变体通过 MS17-010 SMB 漏洞以及窃取用户 Windows 登录凭据的方式传播。值得注意的是，Petya 变体可用于安装获取用户登录凭据的 Mimikatz 工具。窃取的登录凭据可用于访问网络上的其他系统”。 US-CERT 分析的样本还通过检查被入侵系统的 IP 物理地址映像表尝试识别网络上的其他主机。Petya 变体在 C 盘上写入含有比特币钱包地址与 RSA 秘钥的文本文件。恶意代码对主引导记录（MBR）进行修改，启用主文件表（MFT）与初始 MBR 的加密功能并重启系统、替换 MBR。 “从采用的加密方法来看，即便攻击者收到受害者ID也不大可能恢复文件。” US-CERT建议组织机构遵循 SMB 相关最佳实践，例如： • 禁用 SMBv1 • 使用 UDP 端口 137-138 与 TCP 端口 139 上的所有相关协议阻止 TCP 端口 445，进而阻拦所有边界设备上的所有 SMB 版本。 “ US-CERT 提醒用户与网络管理员禁用 SMB 或阻止 SMB 可能因阻碍共享文件、数据或设备访问产生一系列问题，应将缓解措施具备的优势与潜在问题同时纳入考虑范畴”。 以下是预警报告中提供的防范建议完整列表： • 采用微软于 2015 年 3 月 14 日发布的补丁修复 MS17-010 SMB 漏洞。 • 启用恶意软件过滤器防止网络钓鱼电子邮件抵达终端用户，使用发送方策略框架（SPF）、域消息身份认证报告与一致性（DMARC）、DomainKey 邮件识别（DKIM）等技术防止电子邮件欺骗。 • 通过扫描所有传入/出电子邮件检测威胁，防止可执行文件抵达终端用户。 • 确保杀毒软件与防病毒解决方案设置为自动进行常规扫描。 • 管理特权账户的使用。不得为用户分配管理员权限，除非有绝对需要。具有管理员账户需求的用户仅能在必要时使用。 • 配置具有最少权限的访问控制，包括文件、目录、网络共享权限。如果用户仅需读取具体文件，就不应具备写入这些文件、目录或共享文件的权限。 • 禁用通过电子邮件传输的微软 Office 宏脚本。考虑使用 Office Viewer 软件代替完整的 Office 套件应用程序打开通过电子邮件传输的微软 Office 文件。 • 制定、研究并实施员工培训计划以识别欺诈、恶意链接与社工企图。 • 每年至少对网络运行一次定期渗透测试。在理想情况下，尽可能进行多次测试。 • 利用基于主机的防火墙并阻止工作站间通信。 原作者：Pierluigi Paganini，译者：游弋，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。