在今日发布的一份报告中，网络安全公司 FireEye 详细披露了 SolarWinds 黑客网络攻击事件所使用的相关技术。与此同时，FireEye 还在 GitHub 上分享了一款名为《Azure AD Investigator》的免费工具，以便企业能够确定 SolarWinds 黑客在其网络中部署了哪几道后门。 在今日的报告发布之前，FireEye 已协同微软和 CrowdStrike 对 SolarWinds 的供应链危害展开了全面的调查。 在 2020 年 12 月 13 日初次曝光时，FireEye 和微软首先确认黑客攻入了 IT 管理软件提供商 SolarWinds 的网络，并用恶意软件感染了 Orion 应用程序的封包服务器。 这款名叫 Sunburst（或 Solorigate）的恶意软件，被用于收集受害企业的内部信息。遗憾的是，部署 Orion 应用程序的 1.8 万个 SolarWinds 客户，其中大多数人都忽略了木马的存在。 在初步得逞后，攻击者部署了第二款名叫 Teardrop 的恶意软件，然后利用多种技术手段，将黑手延伸到了企业内网和云端（尤其是 Microsoft 365 基础设施）。 在今日长达 35 页的报告中，FireEye 更详细、深入地介绍了这些后期攻击手段，以及企业能够实施的检测、修复和增强策略。 （1）窃取活跃目录的 AD FS 签名证书，使用该令牌伪造任意用户（Golden SAML），使得攻击者无需密码或多因素身份认证（MFA），即可染指 Microsoft 365 等资源。 （2）在 Azure AD 中修改或添加受信任的域，使得攻击者控制的新身份（IdP），进而伪造任意用户的令牌（又称 Azure AD 后门）。 （3）染指高特权用户账户（比如全局或应用程序管理员的 Microsoft 365 资源），接着同步本地用户账户的登录凭据。 （4）通过添加恶意凭证来劫持现有 Microsoft 365 应用程序，以使用分配给该应用程序的合法权限 —— 比如可绕过 MFA 多因素身份认证来读取电子邮件、以任意用户身份发送电子邮件、以及访问用户的日程等信息。 FireEye 指出，尽管 SolarWinds 黑客（又称 UNC2452）采取了各种复杂的手段来掩饰自己，但相关技术仍可被检测和阻挡在外。 事实上，FireEye 也在自己的内网中检测到了相关技术，然后分析了其它企业的内部漏洞，最终揭开了更广泛的 SolarWinds 黑客攻击事件。           （消息来源：cnBeta；封面源自网络）

根据一份新的报告，五分之一的老板在员工不知情情况下监控着员工浪费时间的行为。在Metro一份报告中，工会警告说，雇主正在利用新冠疫情限制来秘密监控远程工人。每五家公司中就有一家承认窥探员工或计划在未来这样做。 这份报告表示，许多雇主正在投资于科技，对雇员进行微观管理，并自动决定雇佣谁解雇谁。在工作中使用监控时必须适当地征求员工的意见，并保护他们免受算法的不公平管理。目前的监控方法包括检查员工阅读和回复信息所需的时间。最令人担忧的说法是，一些老板通过网络摄像头偷偷观察员工。除了显而易见的隐私问题外，雇员还可能面临不公平的纪律处分。 YouGov/Skillcast对2009家公司的调查显示，12%的公司表示他们已经引入了远程监控。在大型公司情况下，这一数字跃升至16%，8%的公司考虑采取这一行动。根据TUC的研究，七分之一的员工自从开始在家工作以来，他们被监控的次数就增加了。在英国如果怀疑员工违法，公司可以在员工不知情的情况下对其进行监控。许多科技巨头都从远程工作浪潮中受益，我们已经看到它们挑战隐私界限的例子。例如，微软在外界对侵犯性表示反感后，改变了其生产力评分工具。         （消息来源：cnBeta；封面源自网络）

在12月底突然停止运营后，俄罗斯加密货币交易所Livecoin宣布关闭。据Livecoin主页显示，由于2020年底其服务器遭到攻击，造成财务和技术损失，该交易所无法继续运营。Livecoin于1月16日在Twitter上宣布关闭，其新域名liveco.newsLivecoin和旧域名Livecoin. net已不可用。 Livecoin表示，公司正在努力“将剩余资金”支付给客户，用户需通过电子邮件与该交易所联系，以完成核实工作，必须在平台上发送他们的用户名和注册日期。交易所承诺将在回件中提供详细指示，2021年3月17日之前均有效。但没有具体说明何时偿还客户资金。 Livecoin还警告用户注意非官方的Livecoin聊天群组可能传播虚假信息，并试图欺骗用户。Livecoin 写道: “参加此类群聊的风险很高，因为我们没有任何官方组织。” Livecoin声称其网站是官方信息的唯一来源。该公司还表示，正在进行调查。 Livecoin在12月24日停止了运营，声称交易所遭受了“精心策划的攻击” ，导致其失去了对所有服务器的控制。黑客们设法接管了Livecoin的基础设施，并将交易所的价格调整到异常高的水平。据报道，Livecoin 的比特币交易价格超过30万美元，而当时的市场价格约为2.4万美元。一些用户随后暗示 Livecoin 的“黑客”可能是一个退出骗局。 一些报道称用户猜测Livecoin的最新声明可能是由黑客发布的，而其他用户正向当地执法部门投诉。一些用户出于隐私考虑拒绝向Livecoin发送个人数据。一位据称是平台用户的人提供了Livecoin报销程序所需的数据清单，包括护照扫描、居住信息、高分辨率自拍、关于交易所第一笔交易的数据等等。           （消息及封面来源：cnBeta）

这些年来Windows 10出现了很多的诡异Bug。例如，就在前几天，我们报道过一个可能会破坏硬盘驱动器的错误。现在，一个导致Windows崩溃的bug的细节已经出现，但微软似乎并不急于修复它。 这个错误是由之前发现NTFS缺陷的同一位安全研究员Jonas Lykkegaard发现的。他发现通过访问Chrome浏览器中的某个路径，Windows 10会以BSoD（蓝屏死机）的方式崩溃。尽管Lykkegaard早在几个月前就公开了该漏洞的细节，但微软仍未拿出修复方案。 BSoD漏洞非常容易执行，目前还不知道该漏洞的全部后果。Lykkegaard发现，使用Chrome访问路径\.\globalroot\device\condrv\kernelconnect会导致Windows 10中的BSoD崩溃。 BleepingComputer进行的测试显示，从Windows 10版本1709一直到20H2的每一个版本的Windows 10中都可以发现这个bug，很大可能也影响旧版本。 虽然像这样简单的崩溃可能看起来相当无害，但它是一些可以被攻击者利用以掩盖其他活动，或阻止受害者使用他们的计算机。这个错误甚至可以通过简单地给受害者发送一个指向问题路径的快捷方式文件来触发。 在给BleepingComputer的一份声明中，微软表示。”微软有客户承诺调查报告的安全问题，我们将尽快为受影响的设备提供更新”。尽管有这样的承诺，但没有迹象表明相当何时可能提供修复。           （消息及封面来源：cnBeta）

谷歌今天发布了由六份博文组成的系列安全报告，详细介绍了在 2020 年初检测到的一个复杂黑客活动，攻击目标是 Android 和 Windows 设备。谷歌表示这些攻击都是两台漏洞服务器通过水坑攻击（watering hole attacks）发起的。 谷歌安全团队 Project Zero 在六篇博文的第一篇中指出：“其中一台服务专门针对 Windows 用户，而另一台则针对 Android 用户”。谷歌表示，这两台漏洞服务器都是利用谷歌Chrome浏览器的漏洞在受害者设备上获得初步的切入点。 一旦从浏览器切入，攻击者就会部署操作系统级别的漏洞，以获得受害者设备的更多控制权。该漏洞链使用了多个 Zero-Day 和 N-Day 漏洞，Zero-Day 漏洞指的是软件制造商不知道的漏洞，N-Day 漏洞指的是已经打过补丁但仍在野外被利用的漏洞。 谷歌表示，虽然他们没有发现任何安卓零日漏洞托管在漏洞服务器上的证据，但其安全研究人员认为，威胁行为人很可能也能获得安卓零日漏洞，但很可能在其研究人员发现时，并没有将其托管在服务器上。 总的来说，谷歌将这些利用链描述为“通过其模块化设计来提高效率与灵活性”。谷歌表示：“它们是精心设计的复杂代码，具有各种新颖的利用方法，成熟的日志记录，复杂和计算的后利用技术，以及大量的反分析和目标检查”。 CVE-2020-6418 – Chrome Vulnerability in TurboFan (fixed February 2020) CVE-2020-0938 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1020 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1027 – Windows CSRSS Vulnerability (fixed April 2020)         （消息来源：cnBeta；封面源自网络）

据一组独立安全研究人员称，联合国环境规划署（简称“环境署”）所属GitHub库的一个漏洞暴露了超过10万条员工记录，包括个人身份信息、联系方式和其他敏感数据。环境署负责协调联合国的环境活动。一个新的道德黑客组织Sakura Samurai在其报告中指出，这些漏洞源于一个暴露GitHub存储库凭证的终端。 “这些凭证让我们有能力下载GitHub库，识别出大量的用户凭证和个人身份信息。我们总共识别了超过10万条私人员工记录。”该小组的安全研究人员之一John Jackson说。 分析还显示，在联合国拥有的名为ilo.org的网络服务器上有多个.Git目录。Jackson在报告中写道：“这些.Git内容就可以用各种工具（如’git-dumper’）进行外泄。” 据Sakura Samurai报道，在研究人员将他们的发现通知给联合国后，该国际组织修复了该漏洞，GitHub库已无法访问。目前无法立即联系到联合国发言人发表评论。研究人员还指出，虽然没有证据表明有威胁行为者访问了这些数据，但这样做相对容易。 研究人员首先接管了属于联合国国际劳工组织的一个MySQL数据库和一个调查管理平台，开始了他们的行动。然后，该小组分析了MySQL数据库中的域，找到了UNEP的子域，这让他们找到了GitHub的凭证。 “最终，一旦我们发现了GitHub凭证，我们就能够下载很多受密码保护的私人GitHub项目，在这些项目中，我们发现了UNEP生产环境的多套数据库和应用凭证，”Jackson指出。 暴露的数据包括超过102000条联合国员工的记录，包括员工的身份证号码、姓名和其他敏感数据。报告称，还可以访问7000多条员工国籍记录、1000多条普通员工记录、项目和资金数据以及环境署项目的评估记录。 研究人员还指出，他们能够找到更多U.N.GitHub库的凭证，这可能导致更多未经授权的访问多个U.N.数据库。“我们决定停止并报告这个漏洞，一旦我们能够访问通过数据库备份暴露的私人项目中的（个人身份信息），”Jackson写道。 GitHub存储库中暴露的员工数据可能会给联合国带来重大的网络威胁。“对员工数据泄露的主要担忧是，在对员工本身以及与他们互动的任何商业伙伴进行高度针对性的后续社会工程攻击时有用，”安全公司Cerberus Sentinel的解决方案架构副总裁Chris Clements说。 “所披露的管理凭证很可能已经足以损害脆弱的应用程序以及共享相同基础设施或重用相同密码的其他应用程序。拥有这种访问权限的攻击者可以将恶意软件插入生产应用程序中，试图感染用户。” 安全公司KnowBe4的安全意识倡导者Javvad Malik表示，攻击者可能会使用这些暴露的数据。“获得对员工潜在敏感信息的访问权限，可以通过网络钓鱼、密码重置或身份窃取来利用对组织、同事或个人本身的攻击，”Malik说。 其他攻击 随着COVID-19的到来，攻击者一直在欺骗联合国和其他机构，作为他们利用流行病主题的运动的一部分。 2月，安全公司Kaspersky和Sophos报告说，黑客利用设计成美国疾病控制和预防中心和联合国世界卫生组织的域名进行网络钓鱼活动。 根据谷歌威胁分析小组的报告，5月份，在印度活动的”hack-for-hire” 组织发出欺骗世界卫生组织的电子邮件，以窃取世界各地金融服务、咨询和医疗保健公司员工的证书。         （消息来源：cnBeta；封面源自网络）

据杭州市人民政府新闻办公室消息，1月13日，杭州市通报近期查处两起涉疫网络违法案件，其中一起通报案件为41岁的男子擅自研发“健康码演示”APP并上传至应用市场，扰乱社会秩序，已被警方采取刑事强制措施。 据杭州市人民政府新闻办公室通报，经杭州市公安机关查明，安某某（男，40岁）于2021年1月4日未经核实将一个有关“因疫情原因，浙江杭州将于今日18时关闭11个高速路口”的虚假视频信息在微信和抖音上进行转发散布，严重扰乱了社会秩序。目前，安某某已被江干区公安分局处以行政拘留7天的处罚。 在另一起通报的案件中，解某某（男，41岁）于2020年4、5月份擅自研发“健康码演示”APP并上传至应用市场，严重扰乱了社会秩序。目前解某某已被西湖区公安分局采取刑事强制措施，案件在进一步侦办。           （消息来源：cnBeta；封面源自网络）

微软发布了新版本的Windows 10 Sysinternals工具Sysmon，该工具可以用来检测黑客将恶意代码注入合法的Windows进程中，以绕过安全措施。Sysmon 13可以监控Windows 10进程的活动，可以检测到通常在任务管理器中看不到的进程掏空或进程herpaderping技术。 进程掏空是指恶意软件在暂停状态下启动合法进程，并用恶意代码替换进程中的合法代码。然后，这个恶意代码就会被进程执行，无论分配给进程的权限是什么。 进程herpaderping是指恶意软件加载后，修改其在磁盘上的映像，改头换面使其看起来像合法软件。当安全软件扫描磁盘上的文件时，它将看到一个无害的文件，而恶意代码却大摇大摆地在内存中运行而不被发现。 该技术被已知的恶意软件使用，包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor。 要启用进程篡改检测，管理员需要在配置文件中添加’ProcessTampering’配置选项。你可以在这里阅读Sysinternals网站上的文档。 您可以从Sysinternal的官方页面或这个地址直接下载Sysmon。       （消息来源：cnBeta；封面源自网络）

据外媒报道，在美国国会大厦遭特朗普总统支持者暴力袭击之后，一位独立研究员开始对Parler上的用户帖子进行编录。Parler一开始是为保守用户提供发表“自由言论”的避风港的平台，然而最终却沦为了极右阴谋论、无节制种族主义和针对杰出政客死亡威胁的温床。 这名要求用Twitter账号@donk_enby来介绍她的研究员一开始的目标是将1月6日国会大厦暴乱那天起的所有帖子存档，这被她称之为是一组显示有罪的证据。而根据大西洋理事会的数字法医研究实验室和其他消息来源，Parler是叛乱分子用来协调他们破坏国会大厦的几个应用之一，他们计划推翻2020年的选举结果从而让唐纳德·特朗普继续掌权。 @donk_enby希望创建一个持久的公共记录以供未来的研究人员筛选，于是她从暴乱发生当天开始将帖子存档起来。 在睡眠很少的情况下，@donk_enby开始存档Parler的所有帖子并最终获取了约99%的内容。周日早些时候，@donk_enby在Twitter上发文称，她正在爬取110万个Parler视频url。“这些是上传到Parler的原始、未处理的原始文件以及所有相关的元数据，”她写道。@donk_enby确认原始视频文件包含GPS元数据，其提供了拍摄视频的确切位置，现在该数据容量已经超过了56TB。 @donk_enby随后分享了一个截图，其显示了特定视频的GPS位置以及经纬度坐标。 这对隐私的影响是显而易见的，但大量的数据也可能成为执法部门的肥沃狩猎场。据悉，美国联邦政府和地方政府最近几天已经逮捕了数十名被控参与国会大厦暴乱的嫌疑人。在国会大厦骚乱中，一位名叫Brian Sicknick的警官头部因被灭火器击中而身受致命伤。 @donk_enby称自己是黑客，用欧洲最大的黑客协会Chaos Computer Club的定义来解释，她是一个对技术有创造性但又持怀疑态度的人。“我希望这是对那些说黑客行为不应该带有政治色彩的人的一大竖中指。”@donk_enby说道。实际上，@donk_enby的工作确实帮助到其他研究人员，包括纽约大学网络安全中心的一名研究人员。 @donk_enby的工作记录被储存在ArchiveTeam.org网站上，据其介绍，说这些数据最终将由互联网档案馆托管。 @donk_enby告诉Gizmodo，在Parler否认了黑客活动人士Kirtner发现的邮件泄露事件后，她开始调这家公司。Kirtner被认为是黑客组织“匿名者(Anonymous)”的创始人。@donk_enby表示，她当时能独立找到同样的材料。 目前看起来Parler不太可能迅速反弹–如果有可能反弹的话。正像Duckbill Group的Corey Quinn最近在Twitter上解释的那样，从AWS上迁移一个大型产品可能需要几个月的准备时间，并且执行起来可能需要几年时间。Quinn指出，整合AWS大量服务的应用无法轻松地转移到另一个不同的托管平台。       （消息及封面来源：cnBeta）

在 WhatsApp 近日更新的隐私政策条款中，用户被告知他们的数据将会和 Facebook 以及其他公司共享。虽然用户现在可以选择退出，但在 2 月 8 日之后将会变成强制性要求。现在，微软的社交媒体团队也调侃了本次事件，并建议用户迁移到 Skype。 在 Skype 官方发布的推文中写道：“Skype 尊重你的隐私，我们我们致力于保护你的个人数据隐私，不会向第三方出售”。此外，该网址还指向微软的隐私政策声明，其中概述了该公司从用户那里收集什么样的数据以及如何使用这些数据。这是一个冗长的页面，大多数人都会忽略，但如果你确实因为隐私问题而考虑从WhatsApp迁移，建议你去看一看。     （消息来源：cnBeta；封面来自网络）