Security Week 网站披露，美国能源部近期即将举办一项网络安全竞赛，帮助小型电力公司获得资金和技术援助，以期改善其网络安全状况。 该项名为 “先进网络安全技术（ACT）1 “的竞赛是拜登政府”农村和市政公用事业网络安全（RMUC）计划 “的一部分。据悉，RMUC 计划在五年内拨款 2.5 亿美元，用于加强市政和小型投资者拥有的电力公用事业的网络安全。 ACT 1 比赛是一系列竞赛中的第一场，总预算为 896 万美元的现金和技术援助，比赛共分为三个阶段：承诺、规划和实施。 项目第一阶段的截止日期为 2023 年 11 月 29 日，能源部指出在承诺阶段获胜的公用事业公司将根据其承诺获得现金奖励和技术援助，以通过投资网络安全技术、员工培训和改进治理流程来改善其公用事业公司的网络安全态势。 规划阶段，公用事业部门将进行系统评估，确定培训领域，了解潜在风险和解决方案，并起草实施路线图。最后阶段，参赛者将努力实施路线图。 值得一提的是，第二和第三阶段，电力公司将根据其在相应阶段完成的工作获得现金奖励和技术援助。 美国政府逐渐加大对网络安全的资源投入 近些年，美国逐渐在加大对网络安全方面的资金投入。上个月，美国国土安全部（DHS）宣布鉴于最近几个月的勒索软件不断攻击州和地方政府，将向这些政府提供近 3.75 亿美元（约合人民币 27.1 亿元）的资金，以帮助这些机构增强网络安全防御能力。 不仅仅是资金投入方面，美国近些年也逐步加强在演练防御上的资金投入。例如，上个月美国网络司令部举行“网络旗帜23-2”演习，旨在增强网络部队的战备状态和作战能力，参演团队在活动中开展了“红蓝对抗”，其中红队尝试入侵网络，而蓝队则负责识别并阻止网络攻击活动。 美国通过加大对网络安全方面的资金投入和增加网路安全攻防演习的频次，增强美国地方政府和军队人员的整体网络战备状态和能力，逐渐加强美国政府网络安全防御以及进攻能力。     转自Freebuf，原文链接:https://www.freebuf.com/news/376822.html 封面来源于网络，如有侵权请联系删除

与应用安全相比，产品安全的“全域安全”方法变得越来越受欢迎。 无论是所谓的“安全左移”、“内生安全”还是“设计安全”，当今最具前瞻性思维的企业都明白，需要站在业务和产品的整个生命周期的高度考虑安全性问题，而不是仅仅局限于单个应用程序。为此，越来越多的企业正在通过产品安全团队和首席产品安全官（CPSO）来推动这一变革。 产品安全远远超出应用安全以软件测试为主的范畴，扩展到安全意识宣传、业务团队协作、设计思维、威胁建模、架构规划甚至企业风险管理领域。Appdome首席产品官ChrisRoeckl指出：“通过积极参与产品开发的每个阶段，产品安全团队能将安全要素嵌入到软件的设计、架构、编码、测试以及生产环境发布；这种主动方法是一种良性循环，可以最大限度地降低漏洞风险，并确保网络安全成为企业产品不可或缺的重要元素。” 如果方法得当，产品安全将成为CISO兑现DevSecOps倡导者多年来所作承诺的重要杠杆。 应用安全和产品安全有何不同？ 虽然应用安全和产品安全都有一个共同的目标——帮助企业发布和维护安全的软件，但二者在实现这一目标中所扮演的角色是不同的。应用安全真正关注的是测试、验证和工具链，而产品安全则涵盖整个SDLC的业务规则，包括软件开发中薄弱的“人的因素”。 此外，虽然应用安全团队会深入研究并强化每个应用程序，但产品安全能从全局、端到端角度审视有助于确保产品的“全域安全”。换而言之，产品安全是应用安全的延伸。应用安全专注于保护单个软件应用程序的代码和功能，而产品安全则对产品进行整体审视，考虑的维度和场景（环境）更多，包括各组件之间的通信可能存在的潜在攻击媒介。 简而言之，产品安全需要考虑的环境要素包括大量应用程序、硬件组件和相关服务，以及所有这些要素部署在一起时的安全状况。 对于有些企业来说，产品安全可能更多关注的是外部客户，但也有企业认为后端财务或人力资源等内部系统和项目也属于产品安全保护的范围。无论哪种方式，产品安全的前景都更加广阔和全面，软件开发公司EPAMSystems的首席信息安全官SamRehman认为：“产品安全的范围更广，包括运营和技术控制、整体环境、客户身份以及检测和响应服务中潜在问题的机制。” 黑莓产品安全副总裁ChristineGadsby用一个形象的比喻来帮助理解应用安全和产品安全的区别：如果将应用程序比喻为蛋糕，那么应用安全就是在将一块蛋糕提供给某人之前的俺安全检查，以确保蛋糕看起来安全并且没有污染物。产品安全则是指改进面包店制作蛋糕的方式及其使用的工具，以确保每个蛋糕都是安全且味道鲜美的。“产品安全更多的是一种‘全局’方法——从原料到成品的整个烘焙过程的每一步都采取正确的行动和流程，以确保蛋糕的成分稳定，风味能够满足客户的要求。 产品安全正在迅速崛起 产品安全（人员）进入企业组织结构图的事实并不是对传统应用安全测试的否定。事实上，越来越多的企业技术负责人认识到应用程序并非在真空中运行，在应用安全之外，企业还需要一个产品安全团队来帮助观察各应用程序之间安全差距。产品安全团队的成员还充当安全宣贯者，帮助将安全基础知识灌输到开发流程和“软件工厂”中。 API安全测试公司StackHawk的联合创始人兼首席安全官ScottGerlach表示，产品安全的出现类似于DevOps运动早期引入的站点可靠性工程：“随着软件交付速度越来越快，从开始到交付的整个过程中都需要将可靠性融入到产品中。如今，应用安全团队在开发过程中与软件的交互通常很少，而产品安全团队则能参与到整个产品生命周期中，从产品启动到发布进行整合，可以实现更快、更安全的产品交付周期，让安全尽早融入产品。” 产品安全也不是应用安全的替代品。EPAM的Rehman认为，在协调良好的产品安全框架内，应用安全在保护软件安全方面将继续发挥重要作用：“产品安全依赖应用安全来减少和修复应用程序中的漏洞，以此为基础，其他产品安全措施才能确保高标准的产品安全。” 产品安全可以促进安全文化 产品安全在实施安全设计原则中发挥着关键作用。Rehman表示，产品安全团队全面参与产品或服务的设计阶段，这种参与延伸到产品策略和控制，而这些策略和控制会深入根植到到产品的架构和功能中。 帮助定义产品策略只是开始，因为产品安全是工程和开发、业务利益相关者和安全领导之间协作的催化剂。企业经常让产品安全团队充当变革推动者，在企业范围推动难以捉摸但又至关重要的安全文化。 黑莓产品安全副总裁ChristineGadsby表示：“产品安全团队可以帮助企业创建一种安全意识文化，让每个人都了解并通过定期交流最新安全知识、成功经验和挑战来提高员工日常工作中的安全意识。产品安全团队可以制定明确的指导方针和标准，提供资源来教育员工最佳安全实践，并与开发团队合作将安全性集成到软件开发生命周期中。” 虽然产品安全做了相当多的宣传和政策制订工作，但优秀的产品安全团队不满足于提（安全）要求，SynopsysIntegrityGroup副首席安全顾问JamieBoote表示，产品安全团队还应该帮助减少（安全与业务的）摩擦。 一种可能阻碍企业安全文化的摩擦是认知摩擦，即理解和解决安全问题所需的脑力劳动，产品安全团队可以通过提供培训、可重用的解决方案以及其他团队可以轻松适应和使用的安全设计组件来减少开发人员、架构师、工程师和其他利益相关者所经历的认知摩擦。” 谁来负责产品安全？ 企业需要在产品安全团队中安排合适的人选并建立相应的汇报机制来推动变革。优秀的产品安全专业人员需要同时具备熟练的技术和软技能，以便推动其他团队的协作，不善言辞的技术大咖显然并非理想人选。同样，产品安全团队还需要一位对业务和工程都有深刻理解的负责人。Rehman表示：“为了推动有效的产品安全，企业必须任命一位同时具备扎实的产品知识和深厚的安全专业知识的人员。” 根据不同的企业需求和文化，产品安全团队的汇报对象会有很大差异。如果产品安全团队是围绕产品开发搭建的，那么他们可能会嵌入到工程或产品部门中。产品安全团队最常见的直接汇报渠道通常是CISO、CTO、CIO、副总裁或安全总监。但也有一些团队可能会根据监管或法律风险向法律或合规部门报告。 Rehman表示，“如果安全安全团队技术能出色且稳健，建议直接向CISO报告，确保产品安全工作与公司安全战略保持一致，并确保在所有产品和服务中始终如一地实施安全措施。”     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/-VcNPQgZgO1FXJKHZfOCXA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据IT安全公司ReliaQuest的威胁研究人员研究，QakBot、SocGholish和Raspberry Robin这三种恶意软件加载程序在80%的攻击事件中造成了严重破坏。 恶意软件加载程序被用作交付和执行其他形式的恶意软件的载体，例如勒索软件、病毒、特洛伊木马或蠕虫。它们是攻击者在初始网络攻击阶段投放有效载荷（payloads）的最常见工具之一。 ReliaQuest的研究人员观察了消费者环境中最常见的变种，发现自今年年初以来，仅三个恶意软件加载程序就占了大部分事件的份额。 恶意软件加载器对网络安全团队来说很棘手，因为即使加载的恶意软件相同，对一个加载器的防御可能对另一个加载器不起作用。 “仅检测到恶意软件加载程序，并不意味着目标网络受到了损害。我们观察到的大多数情况下，恶意软件加载程序在杀伤链的早期都会被检测到并停止，但加载器引起的任何系统瘫痪威胁都不容忽视，尤其是三种最受欢迎的加载器。”研究人员写道。然而，我们对主要罪犯QakBot (QBot, QuackBot, Pinkslipbot)、SocGholish和Raspberry Robin真的了解吗? QakBot瞬息万变 QakBot与Black Basta勒索软件组织有关，最初是作为银行木马设计的，升级了新的功能后便成为了一种通用的恶意软件。 QakBot不仅用于对目标网络的初始访问，还提供远程访问有效载荷、窃取敏感数据，并帮助黑客进行横向移动和远程代码执行。 通常，QakBot是通过网络钓鱼电子邮件发送的。这些电子邮件为收件人提供量身定制的诱饵，如工作订单、紧急请求、发票、文件附件、超链接等。有效载荷以PDF、HTML或OneNote文件的形式下载。 研究人员解释说:“QakBot会使用WSF、JavaScript、Batch、HTA或LNK文件，通过此类文件在执行计划任务或注册表运行键从而建立持久性。” QakBot的经营者足智多谋，能够迅速做出反应或改变他们的部署策略。这种恶意软件是一种不断发展和持续的威胁，可以灵活的针对任何行业或地区。 通过SocGholish，一个用户得以影响整个系统 SocGholish，也被称为FakeUpdates，是一种伪装成合法的软件更新的程序。这个JavaScript恶意软件加载程序的目标是基于微软Windows环境的系统，并通过驱动式妥协(下载无需用户交互)交付。 ReliaQuest写道:“访问受感染网站的访问者被诱骗下载‘更新’，他们通常是通过过时浏览器的提示或其他针对Microsoft Teams和Adobe Flash的诱饵看到更新提示的。” SocGholish与总部位于俄罗斯、以经济驱动的网络犯罪集团“Evil Corp”有关。他们典型的主要目标是位于美国的住宿和食品服务商、零售贸易和法律服务行业。 该软件还与初始访问代理公司Exotic Lily有联系。Exotic Lily公司通过高度复杂的网络钓鱼活动获得初始访问权限，并将权限出售给勒索软件组织或其他攻击者。 SocGholish运营商会使用令人信服的社会工程策略，让人们放下戒备心。 “它庞大的恶意软件分发网络会运行在受感染的网站和社会工程上，”研究人员警告说:“仅仅四次用户点击就能在几天内影响整个领域或计算机系统网络。” Raspberry Robin是个多面手 树莓罗宾(Raspberry Robin)是一种非常难以捉摸的蠕虫加载程序，针对微软Windows环境，与各种能力很强的恶意组织(包括Evil Corp和Silence (Whisper Spider))有联系。 它的传播能力异常强大，恶意USB设备完成初始感染后，cmd.exe便会在受感染的USB上运行并执行LNK文件。LNK文件包含触发本地Windows进程的命令，例如msiexec.exe，以启动一个出站连接来下载Raspberry Robin DLL。 除了Cobalt Strike工具外，Raspberry Robin还被用于传递多种勒索软件和其他恶意软件变体，如“Cl0p”“LockBit”“TrueBot”和“Flawed Grace”。 2023年，Raspberry Robin运营商的目标是金融机构、电信、政府和制造组织。 研究人员解释说:“Raspberry Robin是黑客武器库中非常有用的补充，有助于开辟一个初始网络立足点，并提供多种形式的有效载荷。” 如何防御恶意软件加载程序? 有几个步骤可以帮助最小化来自恶意软件加载程序的威胁。以下是ReliaQuest的建议: 配置GPO(组策略对象)以将JS文件的默认执行引擎从Wscript更改为Notepad，以及您认为合适的任何其他脚本文件。这将阻止这些文件在主机上执行。 阻止具有通常用于恶意软件传递的文件扩展名的入站电子邮件。 通过防火墙或代理配置，限制公司资产与互联网的任意连接，以最大限度地减少恶意软件和C2活动。 限制远程访问软件的使用（除非个人工作绝对需要）或者加强监控以发现误用。网络犯罪分子—尤其是IAB和勒索软件运营商——喜欢使用这种软件来获取和维持对网络的访问权限。 禁用ISO挂载。ISO是一种越来越可靠的绕过防病毒或端点检测工具的方式。 实现USB访问控制和 GPO，以防止自动运行命令执行。如果业务条件允许，请考虑禁用任何可移动媒体访问。 培训员工识别网络上使用的社会工程策略，并为他们提供适当的渠道来报告可疑的电子邮件或其他活动。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

一项新的研究发现，组织允许员工在使用软件即服务（SaaS）应用程序（如Google Workspace和Microsoft 365）时使用的许多浏览器扩展可以访问高级别的内容，并存在数据盗窃和合规性问题等风险。 Spin.AI的研究人员最近对企业环境中使用的约 300,000个浏览器扩展和第三方OAuth应用程序进行了风险评估。重点是跨多种浏览器（例如Google Chrome和Microsoft Edge）的基于Chromium的浏览器扩展。 研究显示，所有已安装的扩展中有51%具有高风险，有可能对使用它们的组织造成广泛损害。这些扩展程序都能够从企业应用程序捕获敏感数据，运行恶意JavaScript，并秘密向外部各方发送包括银行详细信息和登录凭据在内的受保护数据。Spin评估的大多数扩展（53%）都是与生产力相关的扩展。但最糟糕的——至少从安全和隐私的角度来看——是云软件开发环境中使用的浏览器扩展，Spin评估其中56%为高安全风险。 本周发布的一份报告表示：“这些扩展虽然提供了各种功能来增强用户体验和生产力，但可能会对存储在Chrome和Edge等浏览器中的数据或存储在Google Workspace和Microsoft 365等平台中的SaaS数据构成严重威胁。” 一个例子是最近的一起事件，其中黑客上传了一个浏览器扩展程序，该扩展程序声称是合法的 ChatGPT 浏览器插件，但实际上是劫持 Facebook 帐户的特洛伊木马。成千上万的用户安装了该扩展程序，并立即被盗了他们的Facebook帐户凭据。受感染的帐户包括数千个企业帐户。 Spin的分析显示，拥有2000多名员工的组织平均安装了1454个分机。其中最常见的是与生产力相关的扩展、帮助开发人员的工具以及能够实现更好可访问性的扩展。超过三分之一（35%）的此类延期存在高风险，而在员工少于2000人的组织中，这一比例为27%。 Spin的报告得出的一个惊人结论是，匿名作者的浏览器扩展数量相对较高，为42938个，组织似乎可以自由使用这些扩展，而不考虑任何潜在的安全隐患。考虑到任何有恶意的人都很容易发布扩展，这一统计数据尤其令人担忧。 更糟糕的是，在某些情况下，组织使用的浏览器扩展来自官方市场之外。公司有时也会为内部使用构建自己的扩展并上传，这可能会带来额外的风险，因为这些来源的扩展可能不会像官方商店中的扩展一样经过同等程度的审查和安全检查。 Spin还发现，浏览器有时还会通过自动更新获得恶意品质。当攻击者渗透到组织的供应链并在合法更新中插入恶意代码时，就会发生这种情况。开发人员还可以将他们的扩展出售给其他第三方，然后第三方可能会使用恶意功能对其进行更新。因此，对于组织和企业来说，建立和执行基于第三方风险管理框架的政策很重要，他们需要评估运营的扩展和应用程序。     转自E安全，原文链接:https://mp.weixin.qq.com/s/iroFqYWp2EcR6Q0AeURlGQ 封面来源于网络，如有侵权请联系删除

来自意大利和英国的研究人员在 TP-Link Tapo L530E 智能灯泡和 TP-Link Tapo 应用程序中发现了4个漏洞，攻击者可以利用这些漏洞窃取目标的 WiFi 密码。 TP-Link  Tapo L530E 是包括亚马逊在内的多个市场上最畅销的智能灯泡。TP-link Tapo是一款智能设备管理应用程序，在Google Play上拥有1000万安装量 。 智能灯泡缺陷 第一个漏洞涉及 Tapo L503E 上的不正确身份验证，允许攻击者在会话密钥交换步骤中冒充设备。此高严重性漏洞（CVSS v3.1 评分：8.8）允许相邻攻击者检索 Tapo 用户密码并操纵 Tapo 设备。 第二个漏洞也是一个高严重性漏洞（CVSS v3.1 得分：7.6），由硬编码的短校验和共享密钥引起，攻击者可以通过暴力破解或反编译 Tapo 应用程序来获取该密钥。 第三个漏洞是一个中等严重性缺陷，涉及对称加密过程中缺乏随机性，使得加密方案可预测。 第四个漏洞源于缺乏对接收消息的新鲜度的检查，保持会话密钥在 24 小时内有效，并允许攻击者在此期间重放消息。 攻击场景 研究发现，最令人担忧的攻击场景是利用上述的第一个和第二个漏洞进行灯泡冒充和检索 Tapo 用户帐户详细信息，然后通过访问 Tapo 应用程序，攻击者可以提取受害者的 WiFi SSID 和密码，并获得连接到该网络的所有其他设备的访问权限。 设备需要处于设置模式才能使攻击起作用。然而，攻击者可以取消灯泡的认证，迫使用户重新设置以恢复其功能。 灯泡模拟图 而未配置的 Tapo 设备也可能受到 MITM 攻击，方法是再次利用第一个漏洞，在设置过程中连接到 WiFi、桥接两个网络并路由发现信息，最终以易于破译的 base64 编码形式检索 Tapo 密码、SSID 和 WiFi 密码。 MITM 攻击图 最后，第四个漏洞允许攻击者发起重放攻击，复制之前嗅探到的消息以实现设备的功能更改。 披露和修复 研究人员在发现这些漏洞后向 TP-Link 进行了披露，对方承认了这些问题的存在，并告知将很快对应用程序和灯泡固件进行修复。在这之前，研究人员建议用户将这些类型的设备与关键网络隔离，使用最新的可用固件更新和配套应用程序版本，并使用 MFA 和强密码保护帐户。   转自Freebuf，原文链接:https://www.freebuf.com/news/375669.html 封面来源于网络，如有侵权请联系删除

近日，谷歌正在测试 Chrome 浏览器的一项新功能。该功能可在已安装的扩展程序从 Chrome 网上商城删除时向用户发出恶意软件提示警告。 在Chrome 应用商店里一直有人源源不断的发布浏览器扩展程序，有很多都会通过弹出式广告和重定向广告进行推广。 这些扩展程序是由诈骗公司和威胁行为者制作的，他们利用这些扩展程序注入广告、跟踪用户的搜索历史、并将用户重定向到联盟网页，或者在更严重的情况下窃取用户的 Gmail 电子邮件和 Facebook 账户。 问题是，这些扩展程序推出得很快，就在谷歌从 Chrome 浏览器网络商店删除旧扩展程序的同时，开发者又发布了新的扩展程序。 不幸的是，如果你安装了这些扩展，即使谷歌检测到它们是恶意软件并将它们从商店中删除，它们仍然会安装在你的浏览器中。 有鉴于此，谷歌正在为浏览器扩展程序提供安全检查功能，当某个扩展程序被检测为恶意软件或从商店中删除时，谷歌就会向 Chrome 浏览器用户发出警告，提醒他们从浏览器中卸载这些扩展程序。 该功能将在 Chrome 浏览器 117 中启用，但现在可以在 Chrome 浏览器 116 中通过启用浏览器的试验性 “安全检查扩展模块 “功能来测试该功能。 要启用该功能，只需将 Chrome 浏览器 URL “chrome://flags/#safety-check-extensions “复制到地址栏并按回车键。你将进入 Chrome 浏览器标志页面，并突出显示 “安全检查中的扩展模块 “功能。 现在将其设置为已启用，然后按提示重启浏览器以启用该功能。 谷歌浏览器扩展安全检查 启用后，”隐私和安全 “设置页面下将出现一个新选项，提示您查看从 Chrome 网上商城删除的任何扩展，如下图所示。 Chrome扩展的安全检查 来源：谷歌 单击此链接将进入扩展页面，其中列出已删除的扩展以及删除的原因，并提示您卸载它们。 从 Chrome 浏览器网络商店移除潜在恶意扩展程序  图源：Google 谷歌 谷歌表示，这些扩展程序从Chrome 浏览器网络商店中移除的原因是它们不是由开发者发布的、且违反政策，或直接被检测为恶意软件。 谷歌方面建议用户立即删除那些被检测为恶意软件的扩展程序，这样不仅能更好的保护自己的数据，还能防止电脑遭遇外部攻击。 另外，还有一些因其他原因被移除的扩展软件，谷歌也建议用户移除。这些软件从严格意义来说虽然不算恶意软件，但可能违反了其他政策。 谷歌有一个专门的 Chrome 浏览器网络商店政策页面，详细说明了哪些内容或行为可能导致扩展从商店中删除。   转自Freebuf，原文链接:https://www.freebuf.com/news/375515.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 两名安全研究人员针对网络罪犯建立了一个蜜罐，对网络攻击进行了三年的追踪，得到了超过2万次的会话。他们描述了黑客的5个主要类别。 蜜罐揭示了黑客如何安装恶意软件、挖掘加密货币、滥用服务器进行DDoS攻击以及实施欺诈活动。 根据GoSecure发布的报告，两名研究人员、一名工程师和一名犯罪数据科学家收集了超过1.9亿次事件、100小时的视频片段和470个攻击者使用的文件，所有这些都来自20,000个远程桌面协议(RDP)连接捕获。以上种种都是在三年观察期内发生的。 RDP是网络罪犯(包括勒索软件组织)使用的关键攻击媒介。 为了研究网络攻击，研究人员创建了一个开源的RDP拦截工具。这个名为PyRDP的工具具有“无与伦比的屏幕、键盘、鼠标、剪贴板和文件收集功能”。 他们利用收集到的数据将机会主义攻击者分成不同的组。描述不同类型的攻击者可以让我们集中注意，了解最流行的操作方式和更复杂的威胁。 “报告展示了RDP的巨大能力，不仅有利于研究，也有利于执法部门和蓝队的作业。执法部门可以合法地拦截勒索软件组织使用的RDP环境，并在记录会话中收集情报，以供调查使用。”研究人员写道。 另一方面，网络安全防御团队可以使用妥协指标(表明潜在安全漏洞或恶意活动的证据)来进一步保护他们的组织。蜜罐不仅提供了对各种攻击者的间谍技术的看法，也可能放慢他们的脚步，吓唬他们改变策略。这将影响对其行为的成本效益分析，从而使每个人都受益。 研究人员承诺:“在接下来的几个月里，我们将在攻击者的武器博客系列文章中详细介绍不同黑客使用的工具。” 为了描述五种类型的攻击者，他们使用了流行游戏《龙与地下城》中的类别: 骑兵：探索所有计算机文件夹、检查网络和主机性能特征，并通过单击或程序/脚本来运行侦察。游骑兵不采取其他有意义的行动。研究人员写道:“我们的假设是，他们正在评估他们所攻击的系统，以便攻击者的另一个配置文件稍后返回运行。” 盗贼：将获得的RDP通道货币化。在控制计算机之后，他们更改凭据并执行不同的活动来实施访问权。为了获得一些有价值的东西，盗贼们使用诸如traffmonetizer(代理软件)、货币化浏览器(参与付费冲浪计划)、加密矿工，Android模拟器(移动欺诈)等工具。 野蛮人：使用大量的工具来暴力入侵更多的计算机。对他们来说，一个被破坏的系统是破坏其他系统的工具。它们处理IP地址、用户名和密码的列表。 巫师：这类攻击者关心他们的操作安全。巫师使用RDP访问作为门户，连接到以类似方式受损的另一台计算机。他们跳过被入侵的主机来隐藏自己的身份。“为了做到这一点，他们会小心翼翼地生活在系统中，展示了高水平的技能。监控和洞悉这些攻击者的行动对于威胁情报收集至关重要。这使得防御者和研究人员能够深入到受损的基础设施中。” 游吟诗人：缺乏明显的黑客技能并不能阻止那些想成为黑客的人。游吟诗人利用受损系统来完成一些基本的任务，比如通过简单的谷歌搜索寻找病毒或观看色情内容。 “证据显示，他们可能从破坏系统的人那里购买了RDP访问权限，也就是初始访问代理(IABs)。”     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

为了从根本上缓解伪基站攻击风险，更好地保护用户移动数据和通信，谷歌近日宣布即将推出的Android14将增加两大新的蜂窝网络安全功能，预计将于本月晚些时候推出。 Android14的两大新安全功能分别是： 允许消费者和企业关闭其设备或托管设备群上对2G移动网络的支持 在调制解调器级别禁用对空密码（未加密）蜂窝连接的支持。 谷歌的声明中写道：“Android是第一个为消费者和企业引入先进的蜂窝安全缓解措施的移动操作系统。” “Android14引入了对IT管理员的支持，以在其托管设备群中禁用2G支持，并且还引入了禁用对空加密蜂窝连接的功能。” 禁用2G移动网络，以防范伪基站 谷歌在声明中强调了伪基站和“黄貂鱼”攻击的风险，因为这些攻击可以通过窃听网络流量来拦截用户的数据、语音和短信。 黄貂鱼攻击使用一种蜂窝基站模拟器（伪基站），可以模仿手机基站来欺骗信号范围内的设备与其连接，从而拦截敏感的个人数据，例如呼叫元数据、短信和语音呼叫内容、数据使用和浏览历史记录以及设备IMSI。 黄貂鱼攻击在4G网络中已得到很大程度的缓解。然而，由于用户的手机网络连接仍有可能被降级到2G，因此攻击者依然可以借助伪基站发动中间人攻击。 谷歌此前在Android12上提供了关闭2G连接的选项，方法是“设置→网络和互联网→SIM卡→允许2G”。 在Android13中，该选项位于“设置→网络和互联网→SIM→[选择SIM]→允许2G”。 从Android14开始，管理设备群的人员（例如政府机构、企业实体或其他组织）可以限制其控制下的所有Android设备上的2G连接降级。 关闭2G网络的选项将添加在AndroidEnterprise的200多个控件中，其功能包括禁用WiFi、蓝牙和USB数据信号传输。 在过去的几年里，黄貂鱼攻击变得越来越普遍，执法和监控公司纷纷利用黄貂鱼攻击来监视手机，因此Android14新增的蜂窝网络安全功能受到很多企业安全人员的欢迎。 阻止未加密的蜂窝网络 虽然Android上所有基于IP的用户流量都是端到端加密的，可确保任何拦截都不会导致数据泄露，但谷歌警告称，某些通信类型（例如电路交换语音呼叫和SMS消息）仍可能暴露在蜂窝网络上。 暴露的数据通常受到蜂窝链路层密码的保护，但用户无法控制或查看该密码，因此其强度和可靠性值得怀疑。 此外，最新报告显示，空密码（无加密）在商业移动网络中并不少见，用户通信数据会以明文和易于阅读的形式暴露给能够拦截数据的人。 为了缓解空密码蜂窝网络的风险，Android14引入了一项新功能，允许用户在采用最新无线电硬件抽象层(HAL)的设备上，从调制解调器级别关闭空密码连接。 与禁用2G移动网络的功能一样，用户的紧急呼叫仍然可以降级为空密码连接，以避免危及用户的安全。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/aQwquYZsIwxgNae7LvVNJA 封面来源于网络，如有侵权请联系删除

据《印度教徒报》报道，印度将放弃微软系统，选择新的操作系统和端点检测与保护系统。 备受期待的 “玛雅操作系统 “将很快用于印度国防部的数字领域，而新的端点检测和保护系统 “Chakravyuh “也将一起面世。 不过，印度国防部尚未证实此事，也未发布官方消息。 玛雅操作系统与印度国防部 由于微软产品经常出现漏洞，一个拥有 14.86 亿人口的国家不能忽视这些漏洞带来的影响。 虽然大部分国防计算机是不联网的，但仍然有相当数量的计算机是相互连接的，因此很容易受到网络威胁。 众所周知，国家支持的高级持续威胁（ATP）组织以这些系统为目标，旨在提取敏感信息或建立未经授权的网络访问，以开展网络间谍活动。 据报道，为了应对这些不断变化的网络挑战，国防部正考虑在所有连接互联网的计算机上用本土的”玛雅“ 操作系统取代微软操作系统。 ”玛雅“ 操作系统是一个基于 Linux 的发行版，从流行的 Ubuntu 操作系统中汲取灵感。 预计这一过渡将是无缝的，因为与其他 GUI（图形用户界面）操作系统一样，”玛雅“ 操作系统将提供与 Windows 相似的用户界面和功能。 据报道，”玛雅“ 操作系统将在印度独立日（即 8 月 15 日）之前在南区实施。 印度旨在利用”玛雅“ 操作系统提高安全性 印度陆军、海军和空军已经对新操作系统进行了严格评估，海军已经批准。 同时，陆军和空军正在进行全面评估。据 Gizbot 报道，一旦这些评估结束，三个军种都准备将 ”玛雅“ 操作系统集成到其服务网络中。 在向玛雅操作系统过渡的同时，还引入了 “Chakravyuh”，这是一种先进的端点恶意软件检测和保护系统。这种双管齐下的方法有望遏制针对国家数字安全的网络攻击的增加。 国防部之所以决定采用这些先进技术，是因为认识到网络威胁的不断升级。 尽管微软 Windows 操作系统广为人知，而且用户界面友好，但一些漏洞和漏洞利用，以及威胁行为者不断将 Windows 机器作为攻击目标的事实，迫使印度在玛雅操作系统和 Chakravyuh 端点安全的帮助下制定新的方针。 印度国防部正准备进行一次重大的技术变革，有可能告别微软 Windows，迎来 “玛雅 “操作系统时代。 在部署先进的 “Chakravyuh “保护系统的同时，此举标志着印度在捍卫国家数字主权方面迈出了大胆的一步。     转自Freebuf，原文链接:https://www.freebuf.com/articles/374535.html 封面来源于网络，如有侵权请联系删除

Google今天宣布，将通过改进 RCS（富通信服务）使其”Google信息”（Messages by Google）应用程序更加安全。RCS 是一种旨在取代短信的协议，其功能更接近苹果 iMessage 的高级功能。该公司表示，现在将把 RCS 作为”信息”应用新用户和现有用户的默认设置。此外，群组聊天的端到端加密现在已全面推广到所有 RCS 用户。 后者在今年经过早期测试后推出了开放测试版，但直到现在才全面推出。Google表示，通过这次更新，用户在信息中的所有对话，无论是一对一还是群聊，现在都将保持私密。 自2019年向美国Android用户推出RCS以来，Google一直在努力向苹果施压，希望苹果在自己的信息服务iMessage中采用这项技术。去年，Google甚至推出了一个网站，解释为什么 RCS 能让消费者受益，并指出：”这与气泡的颜色无关。而是模糊的视频、中断的群聊、丢失的已读收据和打字指示器、无法通过 Wi-Fi 发短信等等”。 Google接着指责苹果拒绝采用现代短信标准，损害了自己客户的体验，希望将消费者拉入自己的斗争中。 然而，苹果并不像Google所说的那样，只是在采用现代技术方面落后了。它知道，iMessage 是生态系统锁定的最大来源之一。对于苹果用户，尤其是年轻人来说，绿色气泡并不受欢迎。此外，正如该公司在法庭文件中表示的那样，它对制作 Android 版 iMessage 没有兴趣，因为它认为这对公司的伤害大于帮助。 苹果公司首席执行官蒂姆-库克（Tim Cook）甚至曾在一次会议上被问及，苹果公司是否会采用 RCS，以便用户的母亲能更好地看到他发送给她的视频。对此，他回答说：”给你妈妈买一部 iPhone吧。” 无论如何，Google在推进 RCS 方面的努力仍在继续。 Google表示，现在所有用户都将默认启用该功能，除非他们之前在设置中关闭了 RCS。帮助文档显示，在今天推出之后，用户还可以通过在”设置”中关闭 RCS 来继续选择退出。 启用 RCS 后，用户可以利用更高级的信息功能，如共享高清照片和视频；查看打字提示；获取已读回执；通过移动数据和 Wi-Fi 发送信息；重命名、编辑和从群聊中删除自己；以及使用端到端加密–iMessage 用户多年来一直拥有这些功能。     转自cnBeta，原文链接:https://www.toutiao.com/article/7265121635337028115/?log_from=8b299067c4643_1691576179020 封面来源于网络，如有侵权请联系删除