分类: 网络安全

测试结果表明 Windows Defender 是 2021 年最好的反病毒软件之一

位于德国的IT安全研究机构AV-TEST发布了针对Windows 10家庭用户的2021年10月最佳反病毒程序评估报告。在这份报告中,该组织评测了来自不同公司的21个不同的反恶意软件程序,测试中还包括微软的Windows Defender。 结果,Windows Defender在这次评估中获得了非常高的分数。事实上,它是当今最好的反病毒软件之一,获得了18分的满分。因此,它获得了”AV-TEST顶级产品”认证,总分高于17.5分的产品才能获得这一称号。 然而,它并不是唯一的顶级产品,其他安全程序,如Avira、AVAST、AVG、Bitdefender、ESET等,也获得了这个认证,除了上述产品以外的测试结果都低于17.5分,因此只能获得”AV-TEST认证”的徽章。 测试中的18分满分构成了三个类别,每个类别最多6分。这些类别是:保护能力、运行性能、可用性。 下面的图片显示了21个被测试的反病毒程序在三个类别中的得分情况,并以蓝色的色调加以区分。 你可以在这里找到2021年10月的完整测试报告: https://www.av-test.org/en/antivirus/home-windows/   (消息及封面来源:cnBeta)

提取指纹并不难:新安全实验表明只需少量成本就能解锁你的手机

相比较传统密码,在业内指纹被认为是更安全的数据保护形式。但事实上,指纹欺骗可能要比电影情节中所描述的操作要简单得多。根据 Kraken 安全实验室的说法,你所需要的只是一点木头胶水、一台激光打印机和一张醋酸纤维板。 几天前,这家加密货币交易公司在其官方博客上发表了一份报告,描述了如何进行“指纹破解”攻击。你需要的东西是可以负担得起的,而且步骤简单到几乎任何人都可以完成,只要他们有动力这样做,这是一个相当可怕的想法。 动图地址:https://static.cnbetacdn.com/article/2021/1124/95c1962f37bee0b.webp 那么要如何攻击呢?潜在的黑客需要你的指纹,或者更准确地说,你的指纹照片。他们实际上不需要实际接触你接触过的任何东西,只需要一张留有你指纹的照片,比如说,笔记本屏幕上的污迹或反光的桌面键盘。Kraken还举了一些例子,比如当地图书馆的桌子或健身器材。 在这两种情况下,一旦获得了一张相当清晰的照片,你就需要在Photoshop中制作一张底片–Kraken说其团队能够在大约一个小时内制作出一张“优秀”的底片。 接下来,Kraken用一台标准的激光打印机将底片图像打印到”醋酸纤维板”上。据该公司称,这种墨粉模仿了真实指纹的三维结构。下一步,也是最后一步,是从你当地的五金店拿一些木头胶水,在伪造的指纹上面喷一些,然后让它干。你可以稍后把它剥掉,这样你就有了:一个(希望不是)可以使用的指纹副本。   (消息及封面来源:cnBeta)

微软研究人员发现网络攻击者对长密码进行暴力穷举的手段失去兴趣

根据微软蜜罐服务器网络收集的数据,大多数暴力攻击者主要试图猜测短密码,很少有攻击是针对长密码或包含复杂字符的凭证的。”我分析了超过2500万次针对SSH的暴力攻击所输入的凭证。这大约是微软安全传感网络中30天的数据,”微软的安全研究员罗斯·贝文顿说。 “77%的尝试使用了1到7个字符的密码。超过10个字符的密码只出现在6%的情况下。”他在微软担任欺诈主管,他的任务是创建看起来合法的蜜罐系统,以研究攻击者的趋势。在他分析的样本数据中,只有7%的暴力攻击尝试包括一个特殊字符。此外,39%的人实际上至少有一个数字,而且没有一个暴力尝试使用包括空格的密码。 研究人员的发现表明,包含特殊字符的较长密码很可能在绝大多数暴力攻击中是安全的,只要它们没有被泄露到网上,或者已经成为攻击者暴力攻击字典的一部分。 此外,根据截至今年9月针对微软蜜罐服务器网络尝试的140多亿次暴力攻击的数据,对远程桌面协议(RDP)服务器的攻击与2020年相比增加了两倍,出现了325%的增长。网络打印服务也出现了178%的增长,还有Docker和Kubernetes系统,也出现了110%的增长。 “关于SSH和VNC的统计数字也同样糟糕–它们只是自去年以来没有那么大的变化,”贝文顿说。”默认情况下,像RDP这样的解决方案是关闭的,但如果你决定打开它们,不要把它直接暴露在互联网上。记住,攻击者会对任何强行的远程管理协议进行攻击。如果你必须让你的东西在互联网上访问,请运用各种加固手段,例如强密码,管理身份,MFA,”这位微软经理说。   (消息及封面来源:cnBeta)

UCSD 研究团队介绍 SugarCoat 开源隐私保护工具 助你安全上网冲浪

加州大学圣迭戈分校的一支计算机科学家团队,刚刚携手 Brave Software 开发了一款新工具,旨在加强用户在网上冲浪时的隐私数据保护体验。这款名为 SugarCoat 的工具,将目光瞄向了可能损害用户隐私的脚本内容 —— 比如追踪用户的 Web 浏览历史。另一方面,对于内嵌相关脚本的网站来说,这项功能又是不可或缺的。 关于 SugarCoat 如何通过重写代码以保护数据隐私的说明 有鉴于此,SugarCoat 将这些脚本替换成了具有相同属性的版本,但滤除了可能损害隐私的功能。 对于主打隐私体验的浏览器(如 Brave / Mozilla Firefox)和扩展程序(如 uBlock Origin)来说,开源的 SugarCoat 项目也很容易与之集成, 该校计算机科学与工程系助理教授 Deian Stefan 表示: SugarCoat 是一套相当实用的系统,旨在解决当今以隐私为中心的工具所面临的双重困境。 一方面,阻止有害脚本的同时,现有手段容易对依赖它们的网站的正常运行造成破坏。另一方面,想要兼顾正常的网站体验,又要用户在隐私上做出妥协。 好消息是,SugarCoat 能够很好地权衡这两方面的需求 —— 通过允许脚本运行来保持兼容性,同时有效防止脚本访问用户的隐私数据。 UCSD News 报道指出,研究团队已于 2021 年 11 月 14-19 日在韩国首尔举办的 ACM 计算机与通信安全会议(CCS)上介绍了他们的相关工作。 SugarCoat 项目领队、博士生 Michael Smith 表示:这套方案能够与现有的内容拦截工具(如广告屏蔽器)集成使用,便于用户在不放弃隐私的情况下,继续安心地浏览网页。   (消息及封面来源:cnBeta)

Emotet 垃圾邮件软件在全球范围内攻击邮箱

Hackernews编译,转载请注明出处: Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并使用PowerShell将其加载到内存中。 一旦加载,恶意软件将搜索和窃取电子邮件,用于之后的垃圾邮件攻击,并植入额外的有效载荷,如TrickBot或Qbot,这些载荷通常会使设备遭勒索软件感染。   Emotet垃圾邮件攻击卷土重来 15日晚,网络安全研究人员布拉德·邓肯发表了一篇SANS-Handler日记,解释 Emotet僵尸网络是如何再一次滥发多个电子邮件,用Emotet恶意软件感染设备。 据邓肯说,垃圾邮件攻击使用重播链电子邮件诱使收件人打开附加的恶意Word、Excel文档和密码保护的ZIP文件。 回复链钓鱼电子邮件是指以前被盗的电子邮件线程与伪造的回复一起用于向其他用户分发恶意软件。 在邓肯分享的样本中,我们可以看到Emotet使用的回复链与“丢失的钱包”、网络星期一的促销、取消的会议、政治捐款活动以及牙科保险的终止有关。 这些电子邮件的附件是恶意宏的Excel或Word文档,或包含恶意Word文档的受密码保护的ZIP文件附件,示例如下所示。 目前有两个不同的恶意文件正在新的Emotet垃圾邮件中分发。 第一个是Excel文档模板,该模板说明文档只能在台式机或笔记本电脑上起效,用户需要单击“启用内容”以正确查看内容。 恶意Word附件正在使用“红色黎明””模板,并表示由于文档处于“受保护”模式,用户必须启用内容和编辑功能,才能正确查看。   Emotet附件如何感染设备 打开Emotet附件时,文档模板将声明预览不可用,您需要单击“启用编辑”和“启用内容”以正确查看内容。 但是,单击这些按钮后,将启用恶意宏,启动PowerShell命令,从受损的WordPress站点下载Emotet loader DLL并将其保存到C:\ProgramData文件夹。 下载后,将使用C:\Windows\SysWo64\rundll32.exe启动DLL,它将DLL复制到%LocalAppData%下的随机文件夹中,然后从该文件夹重新运行DLL。 一段时间后,Emotet将在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下配置启动值,以便在Windows启动时启动恶意软件。 Emotet恶意软件现在将在后台静默运行,同时等待从其C&C服务器执行命令。 这些命令可以用于搜索电子邮件以进行窃取邮件并传播到其他计算机,还可以安装其他有效负载,如TrickBot或Qbot特洛伊木马。 目前,BleepingComputer还没有看到Emotet植入的任何额外有效载荷,这也得到了邓肯测试的证实。 邓肯告诉BleepingComputer:“我只在最近感染了Emotet的主机上看到过spambot活动。”。“我认为Emotet本周刚刚重新开始活动。” “也许我们会在未来几周看到一些额外的恶意软件有效载荷,”研究人员补充道。   防御Emotet   恶意软件和僵尸网络监控组织Abuse.ch发布了245个C&C服务器的列表,外围防火墙可以阻止与C&C服务器的通信。 阻止与C2s的通信也将防止Emotet在受损设备上植入更多有效负载。 在2021年1月,一次国际执法行动摧毁了Emotet僵尸网络,十个月以来,该恶意软件一直保持沉寂。 然而,从周日晚上开始,活跃的TrickBot病毒开始在已经感染的设备上植入Emotet加载程序,为垃圾邮件攻击重建僵尸网络。 Emotet的再次活动是所有网络管理员、安全专业人员和Windows管理员必须监控的重大事件,以了解新的动态。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究人员展示了针对 Tor 加密流量的新指纹攻击

一项针对 Tor 网页浏览器的网站指纹攻击的新分析显示,它的竞争对手可以收集受害者经常访问的网站,但只有在攻击者对用户访问的网站的特定子集感兴趣的情况下才有可能。 研究人员乔瓦尼 · 切鲁宾、罗布 · 詹森和卡梅拉 · 特罗索在最新发表的一篇论文中说: “当监控一小组共五个流行网站时,攻击的准确率可以超过95% ,而对25个和100个网站的不加选择(非定向)攻击的准确率分别不超过80% 和60% 。”。 Tor浏览器通过一个覆盖网络向用户提供“不可链接通信”,该网络由6000多个中继组成,目的是把进行网络监视或流量分析的第三方的原始位置和使用情况匿名处理。在将请求转发到目的IP地址之前,它通过构建一个穿过入口、中间和出口中继的电路来实现这一点。 除此之外,每个中继都会对请求进行一次加密,以进一步阻碍分析并避免信息泄漏。虽然Tor客户端本身对其进入中继不是匿名的,因为流量是加密的,请求通过多个跳跃点跳转,但进入中继无法识别客户端的目的地,就像出口节点由于同样的原因无法识别客户端一样。 针对Tor的网站指纹攻击旨在打破这些匿名保护,使竞争对手能够观察到受害者和Tor网络之间的加密流量模式,从而预测受害者访问的网站。学者们设计的威胁模型假设攻击者运行一个出口节点,以捕捉真实用户产生的流量的多样性,然后用这个模型作为收集 Tor 流量跟踪的源,并在收集到的信息之上设计一个基于机器学习的分类模型来推断用户的网站访问。 对手模型包括一个“在线训练阶段,使用从出口中继(或继电器)收集的真实Tor流量的观察数据,随着时间的推移不断更新分类模型,”研究人员解释道,他们在2020年7月使用定制版本的Tor v0.4.3.5运行了一周的出入口中继,以提取相关的出口信息。 为了减轻这项研究引起的道德和隐私方面的担忧,论文的作者强调了安全防范措施,以防止用户通过Tor浏览器访问的敏感网站泄露。 研究人员总结道:“我们在现实世界的评估结果表明,如果敌人的目标是在一个小范围内识别网站,网站指纹攻击只能在自然环境成功。”“换句话说,旨在监控大范围用户网站访问的行为将会失败,但针对特定客户配置和网站的行为可能会成功。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑莓发现初始访问代理链接到3个不同的黑客团体

  一个未知初始访问代理被揭露为三个不同的攻击者提供入口点,攻击活动包括利益驱动的勒索软件攻击和网络钓鱼活动。 黑莓的研究和情报团队将这个实体命名为“Zebra2104”,该组织负责为MountLocker和Phobos等勒索软件集团,以及名为StrongPity(又名Promethium)的高级持续威胁(APT)跟踪提供技术手段。 据我们所知,网络威胁领域越来越多地被一类被称为初始访问代理(IABs)的玩家所控制,他们为其他网络犯罪集团提供服务,包括勒索软件附属公司,通过持续进入受害者网络的后门,在不同地区和行业的众多潜在组织中立足,成功地建立了远程访问的定价模型。 黑莓研究人员在上周发表的一份技术报告中指出:“通常IAB先进入受害者的网络,然后在暗网的地下论坛上把这一访问权限卖给出价最高的买家。”“后来,中标者通常会在受害者的设备里部署勒索软件或其他经济利益相关的恶意软件,这取决于他们活动的目标。” 2021年8月,一份超过1000访问列表的分析文件在暗网地下上论坛上售卖,该文件发现,从2020年7月到2021年6月网络访问的平均费用为5400美元的,其中最有价值的信息可以提供包括企业系统域管理员权限。 这家加拿大网络安全公司的调查始于一个名为“trashborting[.]”的域名,发现时它正在传送Cobalt Strike 信标,用于把更广泛的基础设施与一些恶意垃圾邮件活动联系起来,这会引起勒索软件有效载荷的传输。有一些勒索软件于2020年9月攻击澳大利亚房地产公司和州政府部门。 最重要的是,“supercombination[.com]”,trashborting[.]另一个姐妹域名,被发现与恶意软件MountLocker和病毒Phobos有关,即使域名解析为IP地址“91.92.109[.]174”,在去年4月至11月,它也被用来托管第三个域名“mentiononecommon[.]com”并在2020年6月与StrongPity相关的攻击中作为C2服务器使用。 IAB的反复出现和广泛的攻击目标让研究人员觉得,运营商“要么有大量的人力,要么在互联网上设置了大量“陷阱”,使MountLocker、Phobos和StrongPity能够访问目标网络。 研究人员说:“这项研究中看到的恶意攻击技术和工具联结关系表明,网络犯罪集团在某些情况下的运作方式与跨国组织没有什么不同,这在某种程度上反映了一个合法商业世界。”他们建立伙伴关系和联盟来帮助推进他们的目标。如果有什么不同的话,可以肯定的是,这些威胁组织的‘商业伙伴关系’将在未来变得更加普遍。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国瞄准勒索软件 DarkSide,悬赏1000万美元

美国政府把矛头指向勒索软件Darkside,悬赏高达1000万美元,以获取能够识别或逮捕行动成员的信息。 美国国务院4日宣布,他们现在将悬赏千万美元,用于奖励任何能够提供黑客组织“DarkSide”领导者信息的线人。 此外,警方还悬赏500万美元,用于获取信息,逮捕任何企图参与黑客攻击的人。 国务院宣布:“此外,国务院还提供高达500万美元的悬赏,用于寻找参与“DarkSide”勒索软件攻击的犯罪个人信息。” 可以通过以下方式向FBI提交线索:https://tips.fbi.gov或者通过WhatsApps、Telegram和Signal。 正如公告中所说的“DarkSide变体勒索软件”,这一悬赏也将适用于DarkSide的马甲组织,比如勒索软件团伙BlackMatter。 当勒索软件运营商在攻击高度敏感的组织并受到执法的压力时,他们通常会改名换姓。 在攻击殖民地输油管道并受到国际执法机构的全面监督后,DarkSide更名为BlackMatter。 3号,BleepingComputer报道称,BlackMatter在受到“来自当局的压力”和组织成员失踪后,也关闭了其运营。[详细可点击] 今天国务院针对DarkSide的悬赏案清楚地表明,换一个不同的勒索软件名称并不会阻止执法部门追查他们。 该奖励是国务院跨国有组织犯罪奖励计划(TOCRP)的一部分。 “该计划赋予国务卿法定权力,可支配高达2500万美元的奖励,用于帮助执法,包括在任何国家逮捕和/或定罪任何参与或共谋参与跨国有组织犯罪的个人;扰乱跨国有组织犯罪集团的内部金融机制;以及查明或确定跨国有组织犯罪集团中担任关键领导职务的个人的身份”,该计划的描述如是说。 美国政府还悬赏1000万美元,目标是那些获取国家资助的攻击美国关键基础设施的黑客信息。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Clearview AI 被指违反澳大利亚隐私法 已收集至少 30 亿人面部数据

澳大利亚信息专员发现,Clearview AI 在许多方面违反了澳大利亚的隐私法。在此前的双边调查中发现,该公司的面部识别工具未经同意并以不公平的方式收集澳大利亚人的敏感信息。由澳大利亚信息专员办公室(OAIC)和英国信息专员办公室(ICO)进行的调查发现,Clearview AI 的面部识别工具不加选择地从网络上抓取生物识别信息,并收集了至少 30 亿人的数据。 OAIC 还发现,一些澳大利亚警察机构用户在 Clearview AI 的数据库中搜索并识别了自己的图像,并找到了很多澳大利亚未知相关人员的图像。 综合考虑这些因素,澳大利亚信息专员 Angelene Falk 得出结论,Clearview AI 未经同意和以不公平的手段收集澳大利亚人的敏感信息,违反了澳大利亚的隐私法。在她的裁决中[PDF],Falk 解释说,尽管受影响的澳大利亚人的面部图像已经可以在网上获得,但没有提供同意,因为 Clearview AI 收集这种生物识别数据的意图是模糊的。 信息专员写道:“我认为,将图像上传到社交媒体网站的行为并不明确表示同意由未知的第三方为商业目的收集该图像。如果个人没有被充分告知提供或拒绝同意的影响,也不能默示同意。这包括确保个人被适当和明确地告知他们的个人信息将如何被处理,以便他们能够决定是否给予同意”。 福尔克发现的其他违反澳大利亚隐私法的行为是,Clearview AI 没有采取合理的步骤通知个人收集个人信息或确保其披露的个人信息是准确的。她还抨击该公司没有采取合理的步骤来实施实践、程序和系统,以确保符合澳大利亚隐私原则。   (消息及封面来源:cnBeta)

疫情期间网络犯罪分子加大了攻击力度 首选支付方式是加密货币

利用新冠疫情,网络犯罪分子发起各种攻击而尽可能地牟利。欧盟网络安全机构 Enisa 强调,这类活动导致雇佣黑客在过去 15 个月中成为网络安全的最大威胁。 2020 年 4 月至 2021 年 7 月进行的研究的年度报告中,Enisa 表示 COVID-19 疫情期间观察到网络犯罪分子加大了针对潜在受害者的攻击。 该机构表示:“COVID-19 危机为对手创造了可能性,他们在电子邮件攻击等活动中利用该大流行病作为主导诱饵。货币化似乎是这种活动的主要驱动力”。 一个值得注意的勒索软件攻击是 Colonial Pipeline 事件,黑客组织 DarkSide 暴露了在一个运营商的数字基础设施中发现的安全漏洞。最终,它导致了服务于美国东海岸的燃料供应线关闭。 威胁者关注的其他关键方法包括钓鱼邮件,以及对远程桌面协议(RDP)服务进行暴力攻击,这仍然是两个最常见的感染载体。 不出所料,黑客的首选支付方式是加密货币。根据这项研究,其他正在经历增长的网络威胁领域包括加密劫持,这涉及犯罪分子秘密地利用目标的计算能力来产生加密货币。 随着比特币和其他硬币飙升至历史高点,预计这种特殊的威胁在不久的将来仍然是一个有吸引力的选择。价值52亿美元的比特币交易已经与勒索软件有关。 确定的九大威胁群是:勒索软件、恶意软件、加密劫持、电子邮件相关威胁、针对数据的威胁、针对可用性和完整性的威胁、虚假信息/误导信息、非恶意威胁和供应链攻击。   (消息及封面来源:cnBeta)