据外媒 15 日报道，维基解密再度曝光两份 Vault7 文档，揭示美国中央情报局（ CIA ）使用恶意软件 AfterMidnight 、 Assassin 后门功能操控与监视 Microsoft Windows 系统设备。 恶意软件 AfterMidnight 允许黑客在目标系统中动态加载与执行恶意 payload。其主要 payload 被伪装成系统自身的动态链接库 ( DLL ) 文件并进行 “ Gremlins ”操作，以便黑客摧毁目标软件、收集信息或为其他 “ Gremlins ” 提供内部服务。此外，恶意软件 AfterMidnight 基于 HTTPS 的 Listening Post（ LP ）服务会检查所有预设计划和执行情况，每次接收新任务后，AfterMidnight 都会下载系统组件并存储于内存之中。 Assassin 则是一个自动化植入软件，为远程运行 Microsoft Windows 操作系统的计算机提供简单的数据收集平台。一旦工具安装在目标系统中，Assassin 将在 Windows 服务过程中运行并定期返回数据。此外，Assassin C2（指挥与控制）和 LP （听力后勤）子系统能够相互配合以便 CIA 通过受感染系统执行特定任务。 原作者： Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 与您一同跟进全球 WanaCrypt 勒索软件影响情况 【国内要闻】 中石油受比特币勒索病毒波及，超8成加油站已重新连网 因全球比特币勒索病毒爆发，全国包括北京、上海、重庆、成都等多个城市的部分中国石油旗下加油站于 5 月 13 日凌晨突然出现断网现象，导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过，加油站加油及销售等基本业务仍可正常运行。 为确保用户数据安全和防止病毒扩散，中国石油紧急中断所有加油站网络端口，并会同有关网络安全专家连夜开展处置工作，全面排查风险，制定技术解决方案。 多地公安部门、高校提醒防范“勒索”，有部分单位疑中招 多地公安部门、高校于 5 月 13 日下午均通过官方微博、微信、网站发布提醒信息：“ 新型 ‘ 蠕 ’ 式勒索病毒爆发，请广大用户升级安装补丁 ”。相关媒体走访部分医院、加油站、公安局与各高校发现，除中国石油旗下加油站与云南各高校外，其他单位网络暂未受到勒索病毒影响。目前，各单位已开始升级系统，以防勒索病毒再度传播。   【国际动态】 勒索病毒迄今已攻击至少 150 个国家，受害者达 20 万 勒索软件攻击事件已造成 150 多个国家的 20 多万人受影响，欧洲刑警组织负责人警告网络攻击威胁升级。英国和俄罗斯目前位于受害程度最严重的国家之列。安全专家警告称，新一波攻击正在临近，并且可能势不可挡。数据显示黑客留下的账户已收到约 2.85 万美元的汇款。欧洲刑警组织正在与美国联邦调查局合作，试图找出此番攻击的幕后黑手，此案涉案人员可能不只一人。 为防止勒索病毒攻击蔓延 法国雷诺部分工厂停产 法国汽车厂商雷诺公司为防止席卷全球勒索病毒攻击其计算机系统，该公司于 5 月 13 日决定暂停多家工厂生产活动以预防勒索病毒网络攻击。调查显示，雷诺是法国首家被勒索病毒影响的企业，目前该病毒已影响近 150 个国家的数万台计算机。 勒索病毒攻击者可能会调整代码并重启攻击 全球网络勒索病毒攻击不仅迫使欧洲汽车制造商停止汽车生产，还导致俄罗斯超过一半的电脑疑似感染勒索病毒。此外，部分中国学校和印尼医院的网络也纷纷受到影响。 欧洲刑警组织（Europol）下设的欧洲网络犯罪中心表示，正与成员国调查机构和私营的安全公司密切合作，打击这一网络威胁并帮助受害者恢复文件访问权限。此外，研究人员表示，攻击者可能会调整代码并重新启动循环。不过，目前还没有任何调整，但他们肯定会发生。 勒索病毒为何偏爱医院：怕耽误病情更新补丁太慢 迅速向全球扩散的勒索病毒网络攻击受害者持续增加，英国国民健康服务局( National Health Service )下属的 16 家机构受到影响，其中包括位于伦敦、英格兰西北部、英格兰中部的医院都呼吁称，处于非紧急状态下的病人最好待在家里，并全力阻止恶意软件扩散。此外，本次勒索病毒袭击活动中，多数大型企业也未能幸免，比如西班牙电信巨头 Telefonica SA 企业和美国 FedEx Corp 公司均遭受勒索病毒攻击。 本文由 HackerNews.cc 整理发布，转载请注明来源。

据外媒 12 日报道，安全研究人员发现僵尸网络 Necurs 正以每小时 500 万封恶意邮件的速度传播新型勒索软件 Jaff，以致感染全球逾 600 万台计算机设备。 勒索软件 Jaff 由开发人员采用 C 语言程序编写，主要用于加密目标计算机文件，从而达到勒索赎金的目的。目前，该勒索软件在僵尸网络 Necurs 的协助下已感染全球数百万台计算机设备。 据悉，僵尸网络 Necurs 发送附带 PDF 文档的电子邮件。倘若用户点击文档，将会打开含有恶意宏脚本的嵌入式 Word 文档以下载并运行勒索软件 Jaff 。 调查显示，勒索软件 Jaff 在不依赖 C&C 服务器的情况下已针对 423 个文件扩展名进行离线加密处理，加密后的文件显示“ . jaff ” 后缀。受影响的计算机桌面将会被攻击者恶意替换且收到关于勒索赎金的具体信件。 研究人员表示，该勒索信中警告受害者文件已被加密，但并未要求用户付款；相反，攻击者敦促受害者通过 Tor 浏览器访问网站支付门户，以便解密重要文件。一旦受害者下载安装 Tor 浏览器并访问该网站，则当即要求支付 1.79 比特币（约 3150 美元）。 研究人员提醒用户，在 Microsoft Office 应用程序中禁用宏且保持良好的备份例程，使其重要文件复制到外部存储设备之中。此外，用户在确保系统运行防毒安全软件的同时，始终使用安全Internet浏览器访问网页。 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 获悉，国内多所高校昨日晚间遭遇勒索软件 （Wana Decrypt0r 2.0） 攻击，实验室设备与学生个人电脑均被加密锁定，需支付 300 美元或 0.2 枚比特币方可解锁。 消息显示，勒索软件或是借助此前 NSA 泄露的 Windows SMB 等漏洞迅速感染校园网络，由于学校与学生个人电脑补丁不够及时，此次攻击事件影响较为广泛。 另据 cnBeta 报道，英国的国家卫生服务部门（NHS）近日亦遭受大规模黑客攻击，英国全国各地医院及卫生部门电脑被加密勒索。 目前恶意软件还在持续扩散，HackerNews.cc 提醒各大高校与学生保持警惕，及时备份重要文件、更新系统修复漏洞。我们将为您持续报道事件最新进展。

据外媒 10 日报道，趋势科技（ Trend Micro ）安全研究人员发现物联网（ IoT ）僵尸网络 Persirai 针对 1000 多种 IP 摄像机模型展开攻击。目前至少 120,000 台 IP 摄像机已遭受网络攻击，而多数受害者未能察觉自身设备暴露于互联网之中。 研究人员表示，攻击者利用新型恶意软件通过 TCP 端口 81 可轻松访问 IP 摄像机 Web 界面。一旦攻击者登录受感染设备 Web 界面，即可强制 IP 摄像机连接恶意网站并自行下载执行恶意 shell 脚本。 调查显示，恶意软件将在 IP 摄像机下载执行脚本后自行删除并仅在内存中运行。有趣的是，该恶意软件会阻止 0day 攻击以防御其他黑客再度攻击已被感染的 IP 摄像机。此外，受感染 IP 摄像机还将远程报告给 C&C 服务器、接受命令并自动利用近期公布的零日漏洞攻击其他 IP 摄像机。 趋势科技表示，C＆C 服务器被发现使用 .IR 地址代码。据悉，该代码由一家伊朗研究机构管理，且仅限伊朗人使用。此外，代码中还存在一些特殊波斯字符。 原作者：Hyacinth Mascarenhas， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 5 月 9 日报道，安全公司 Cylance 防御产品近期检测到一款难以划分类别的新型恶意软件“Infostealer Paipeu”，疑似直接反向连接韩国 IP 地址向目标用户发起攻击。 调查显示，恶意软件可通过 443 端口发送包含特定字符串的 HTTP 头、以及包含特殊数据的 POST 请求，倘若目标系统缺少 “ 有趣 ” 响应，恶意软件将会立即退出并且不会对系统做出显著更改。研究人员表示，一旦恶意软件感染目标系统，便会开始收集并发送信息，主要包括本地计算机 NetBIOS 名称、系统区域设置的语言标识符、可用磁盘空间、指定终端服务器上的活动进程、指定本地组成员列表等。此外，恶意软件还可添加用户账户、分配密码与权限级别。 据悉，Infostealer Paipeu 的亮点在于可使用命名管道并启用 NULL 会话管道直接传输信息，常用于主机上不同恶意软件之间或局域网内受感染系统之间的通信。不仅如此，该恶意软件还可转储哈希密码。样本中嵌有 32 位与 64 位 pwdump dll 文件各一。Cylance 表示，恶意软件 Infostealer Paipeu 刚被编制 2 天就被研究人员检测发现，加之无法将其归类至任何已知恶意软件家族的事实表明，这是一起有针对性的网络攻击事件。 原作者：Gabriela Vatu， 译者：青楚 ，译审：游弋     本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 8 日报道，安全情报公司 Recorded Future 近期发现勒索软件 Fatboy 开始实施动态 RaaS 模式，基于受害者地理位置设置赎金金额。 勒索软件 Fatboy 于 3 月 24 日在俄罗斯知名网络犯罪论坛被发现，其恶意软件开发人员 “ polnowz ” 在通过 Jabber 支持与指导后，以合作伙伴关系在论坛中传播这一勒索软件，另有论坛成员协助进行产品翻译工作。 研究人员表示，该勒索软件由开发人员采用 C++ 程序编写，提供 12 种语言用户界面，适用于 x86 与 x64 架构的所有 Windows 操作系统。据悉，Fatboy 最有趣的特征是基于 《经济学人》提出的“巨无霸指数”  设置支付方案，这意味着受害者将根据各地区的生活成本支付不同赎金金额。 勒索软件 Fatboy 目前已感染超过 5000 种扩展名文件，其中攻击者除使用 AES-256 加密每个文件以外，还会使用 RSA-2048 加密所有密钥。一旦目标系统感染勒索软件，其设备将收到一张勒索赎金票据，警告受害者在特定期限内缴纳赎金，否则将丢失所有系统文件。 调查显示，勒索软件 Fatboy 开发人员自 2017 年 2 月 7 日起已从勒索活动中至少赚取 5,321 美元。此外，攻击者还利用 FatBoy RaaS 模式控制目标系统数据信息，其中包括受害者所处的国家、赎金支付时间及受感染机器详细信息等数据统计。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 6 日报道，研究人员发现新 Bondnet 僵尸网络 “ Bond007.01 ” 目前已感染全球约 15,000 台 Windows 服务器，受感染设备被用于开采各种加密货币（例如：ZCash、RieConin 以及 Monero ）。 研究人员在 2016 年 12 月首次发现了僵尸网络 Bondnet ，据称其恶意软件开发人员可追溯至中国。僵尸网络 Bondnet 主要攻击配置 MySQL 的 Windows 2008 服务器，利用多种目标设备与漏洞感染受害系统。此外，攻击者还对其他 Web 服务器软件（包括 JBoss、Oracle Web 应用程序、MSSQL 与 Apache Tomcat ）开展大规模攻击。 研究显示，一旦 Bondnet 入侵 Windows 系统，它将安装一系列 Visual Basic 程序、DLL 与 Windows 管理程序，以充当远程访问木马（RAT）与加密货币挖掘系统。RAT 可为 Bondnet 控制器提供后门访问，同时利用采矿系统报告结果即可从受害服务器中获取利益。这些由未知用户远程控制的服务器极易被利用来进行 DDoS 网络攻击、传播勒索软件或用于简单的被动监控。 目前，Guardicore 研究人员并未发现 Bondnet 攻击者访问受感染系统中存储的数据信息。相反，他们正集中力度窃取计算机资源进行加密货币采矿操作。研究人员猜测由 Bondnet 加密采矿技术所赚取的金额远超过通过赎金或 DDoS 攻击勒索可获取的金额。 原作者： Charles R. Smith， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，维基解密最新曝光了一份新 Vault 7 文件内容：美国中央情报局（ CIA ）曾使用一款名为 “ Archimedes ” 的 MitM （中间人攻击）工具专门针对局域网展开攻击。 泄露文件显示，CIA 早在 2011 – 2014 年期间就已利用 Archimedes  （原名 Fulcrum）工具展开攻击。当前版本的黑客工具 Archimedes 允许黑客通过受感染设备重定向目标计算机的局域网流量。这一工具应用极其简单，没有任何特殊功能，目前互联网也中存在多种 MitM 工具，任何人均可下载并使用它定位本地网络用户。 信息安全公司 Rendition Infosec 创始人杰克·威廉姆斯（Jake Williams）在分析泄露文件后表示，Archimedes 工具最初并非由 CIA 开发，它似乎是一个重新包装过的 Ettercap 版本的 MitM 开源工具包。此外，用户还可使用该泄露信息查询自身系统是否已被 CIA 攻击。 原作者： Mohit Kumar， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒本月 3 日报道，勒索软件 Cerber 新变种突现，具有多途径传播与文件加密功能，以及包括防沙箱与反杀毒软件技术在内的防御机制。 调查表明，Cerber 攻击事件不仅占 2017 年第一季度勒索软件攻击总量的 87％，还于过去一年内持续攀升至勒索软件排名榜榜首。2017 年 4 月，趋势科技（ TrendMicro ）安全研究人员发现 Cerber 已存有六个版本，加之采用的 RaaS 出售模式可为运营商与开发人员创造数百万美元收入。 TrendMicro 威胁分析师吉尔伯特·西森（Gilbert Sison）指出，Cerber 新变种采用多种方法规避传统安全解决方案检测。而为扩大功能、保持领先地位，Cerber 自 2016 年出现以来就已经展现出勒索软件攻击链的多元化开发特征。 此外，Cerber 使用垃圾邮件作为恶意软件传播方式。Cerber 6 附带社工电子邮件，其中包含恶意 JavaScript 文件压缩附件。用户一旦打开附件，JS 文件就开始下载执行有效载荷、创建计划任务，并在两分钟后运行 Cerber 或运行嵌入式 PowerShell 脚本。TrendMicro 专家指出，在攻击链中添加时间延迟功能可使勒索软件有效规避传统沙箱检测。 研究人员指出，Cerber 6 目前可配置添加 Windows 防火墙规则，阻止系统中安装的防火墙、防病毒与反间谍软件产品的所有可执行二进制文件出站流量，限制其检测与缓解功能。此外，Cerber 进一步恶化分析工具与虚拟环境的自我认知能力（通过自我毁灭实现规避）以及针对静态机器学习的检测规避能力。据悉，Cerber 6 还在其加密环节中避免 RSA 与 RC4 算法的实现，有利于加密应用程序编程接口的维护。 原作者：Gabriela Vatu， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接