2017 年，一个名叫 Shadow Brokers 的神秘黑客团体，在网络上公布了名为“Lost in Translation”的数据转储，其中包含了一系列据称来自美国国家安全局（NSA）的漏洞利用和黑客工具。此后臭名昭著的 WannaCry、NotPetya 和 Bad Rabbit 勒索软件攻击，都基于这里面提到的 EternalBlue 漏洞。现在，卡巴斯基研究人员又发现了另一座冰山，它就是一个名叫 sigs.py 的文件。 （题图 via ZDNet） 据悉，该文件是一个名副其实的情报数据宝库。作为内置的恶意软件扫描程序，黑客利用它来扫描受感染的计算机，以查找是否存在其它高级可持续威胁（APT / 通常指背后能量巨大的黑客团体）。 总 sigs.py 脚本包括了用于检测其它 44 个 APT 的签名，但在 2017 年泄密之初，许多网络安全行业从业者并没有对此展开深入研究，表明 NSA 知晓且有能力检测和追踪许多敌对 APT 的运行。 在上月的一份报告中，卡巴斯基精英黑客手雷部门 GReAT 表示，他们终于设法找到了其中一个神秘的 APT（通过 sigs.py 签名的 #27 展开追踪）。 研究人员称，DarkUniverse 组织从 2009 到 2017 年间一直活跃。但在 ShadowBrokers 泄漏后，他们似乎就变得沉默了。 GReAT 团队称：“这种暂停或许与‘Lost in Translation’泄漏事件的发生有关，或者攻击者决定改用更加现代的方法、开始借助更加广泛的手段”。 该公司称，其已在叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚、苏丹、俄罗斯、白罗斯、以及阿联酋等地，找到了大约 20 名受害者。其中包括了民间和军事组织，如医疗、原子能机构、以及电信企业。 不过，卡巴斯基专家认为，随着时间的推移和对该集团活动的进一步深入了解，实际受害者人数可能会更多。至于 DarkUniverse 恶意软件框架，卡巴斯基表示，其发现代码与 ItaDuke 恶意软件 / APT 重叠。   （稿源：cnBeta，封面源自网络。）

德国网络安全机构BSI就卡巴斯基杀毒软件的安全漏洞发出警告，建议用户尽快安装最新补丁。虽然该建议不包括基于该缺陷可能网络攻击的任何详细信息，但BSI警告说，黑客只需向其目标发送包含特制文件的恶意电子邮件，在某些情况下，甚至不需要打开该文件。 BSI警告的安全漏洞编号为CVE-2019-8285中，事实上是卡巴斯基上个月修复的。这个问题允许在易受攻击的电脑上远程执行任意代码，卡巴斯基说，只有4月4日之前发布的带有防病毒数据库的系统才会受到影响。 目前漏洞补丁已经通过卡巴斯基产品的内置更新系统发布，因此如果启用自动更新，用户设备应该是安全的。卡巴斯基在5月8日发布的一份咨询报告当中表示：“Kaspersky实验室在其产品中修复了一个安全问题CVE-2019-8285，可能允许第三方以系统权限远程执行用户PC上的任意代码。安全修复程序于2019年4月4日通过产品更新部署到卡巴斯基实验室客户端。” 卡巴斯基表示，从技术上讲，所有带有防病毒数据库的卡巴斯基产品都会受到该漏洞的影响。该漏洞与操作系统版本无关，因此所有Windows版本都会受到影响。此问题被归类为基于堆的缓冲区溢出漏洞。 JS文件扫描期间的内存损坏可能导致在用户电脑上执行任意代码。   （稿源：cnBeta，封面源自网络。）

卡巴斯基实验室在安全公告中称，其安全研究人员在 win32k.sys 中又发现了一个新的零日漏洞，代号为 CVE-2019-0859 。2019 年 3 月，卡巴斯基的自动化漏洞利用防护（EP）系统检测到了对微软 Windows 操作系统中的漏洞尝试。但在进一步分析后，他们发现 win32k.sys 中确实存在新的零日漏洞，而且这是实验室最近几月内第五次发现被利用的本地提权漏洞。 Win7 SP1 x64 上的 win32k!xxxFreeWindow+0x1344 弹窗（图自：Kaspersky Lab） 2019 年 3 月 17 日，卡巴斯基实验室向微软提交了漏洞报告，该公司确认了该漏洞，并分配了 CVE-2019-0859 这个编号。 万幸的是，微软已经为该漏洞发布了一个补丁，并通过 Windows Update 进行了推送。 卡巴斯基实验室称，功劳簿上有 Vasiliy Berdnikov 和 Boris Larin 这两位安全研究人员的名字。 至于 CVE-2019-0859 漏洞的技术细节，主要是 CreateWindowEx 函数中隐含的 Use-After-Free 漏洞。 执行期间，CreateWindowEx 会在首次创建时，将 WM_NCCREATE 消息发送到窗口。 借助 SetWindowsHookEx 函数，可在窗口调用过程之前，设置处理 WM_NCCREATE 消息的自定义回调。 然而在 win32k.sys 中，所有窗口都由 tagWND 结构呈现，其具有“fnid”字段（亦称 Function ID）。 该字段用于定义窗口的类，所有窗口分为 ScrollBar、Menu、Desktop 等部分，此前卡巴斯基已经分享过与我们已经写过与 Function ID 相关的 bug 。 在 WM_NCCREATE 回调期间，窗口的 Function ID 被设置为 0，使得我们能够钩子内部为窗口设置额外数据，更重要的是 Hook 后立即执行的窗口过程的地址。 将窗口过程更改为菜单窗口过程，会导致执行 xxxMenuWindowProc，且该函数会将 Function ID 启动到 FNID_MENU（因为当前消息等于 WM_NCCREATE）。 在将 Function ID 设置为 FNID_MENU 之前操作额外数据的能力，可强制 xxxMenuWindowProc 函数停止菜单的初始化、并返回 FALSE 。 因此发送 NCCREATE 消息将被视为失败的操作，CreateWindowEx 函数将通过调用 FreeWindow 来停止执行。 卡巴斯基实验室发现，野外已经有针对 64-bit 版本的 Windows 操作系统的攻击（从 Windows 7 到 Windows 10），其利用了众所周知的 HMValidateHandle 漏洞来绕过 ASLR 。 成功利用后，漏洞会借助 Base64 编码命令来执行 PowerShell，主要目的是从 https // pastebin.com 下载执行二、三阶段的脚本。 其中三阶段脚本的内容很是简洁明了 —— 捷豹 shellcode、分配可执行内存、将 shellcode 复制到已分配的内存、以及调用 CreateThread 来执行 shellcode 。 shellcode 的主要目标，是制作一个简单的 HTTP 反向 shell，以便攻击者完全控制受害者的系统。     （稿源：cnBeta，封面源自网络。）

讯 北京时间4月16日早间消息，据美国科技媒体ZDNet援引卡巴斯基实验室报告称，黑客最喜欢攻击微软Office产品。 在安全分析师峰会（Security Analyst Summit）上，卡巴斯基表示，分析卡巴斯基产品侦测的攻击后发现，2018年四季度有70%利用了Office漏洞。而在2016年四季度，这一比例只有16%。 黑客瞄准的不同平台比例 卡巴斯基还说，利用最多的漏洞没有一个来自Office本身，大多存在于相关组件。例如，CVE-2017-11882和CVE-2018-0802是两个经常被黑客利用的漏洞，它影响了微软数学公式编辑器（Equation Editor）组件。卡巴斯基称：“分析2018年利用最多的漏洞，我们可以确认一点：恶意软件作者偏爱简单、符合逻辑的Bug。” 正因如此，数学公式编辑器中存在的漏洞CVE-2017-11882、CVE-2018-0802才会成为Office利用最多的漏洞，因为它们很可靠，在过去17年发布的所有Word版本中都能用。还有，用这两个漏洞完成开发不需要什么先进技术。 即使漏洞不会影响Office及其组件，也可以通过Office文档完成。例如，CVE-2018-8174是一个存在于Windows VBScript引擎的漏洞，当我们处理Office文档时，Office App会用到Windows VBScript引擎。 还有CVE-2016-0189和CVE-2018-8373漏洞，它们存在于IE脚本引擎，可以通过Office文档调用漏洞，我们要用IE脚本引擎处理Web内容。   （稿源：，稿件以及封面源自网络。）

经过多年的更迭，跟踪软件（stalkerware）已经发展到可以避开防病毒应用程序的严苛审查。本周三，卡巴斯基实验室表示他们已经将跟踪软件标记为恶意程序，并且在手机端上安装跟踪应用的时候会向用户发出提醒。2018年，卡巴斯基实验室在58487台移动设备上检测到了跟踪软件。 跟踪软件也称为“间谍软件”，“消费者监控软件”等，采用应用程序的形式或对设备进行修改，使某人能够远程监控目标的活动。例如，一个名为 PhoneSheriff 的应用程序允许监视者阅读目标设备上的文本并查看照片，并秘密访问其手机的 GPS 位置。 跟踪软件可以安静地安装在用户设备上，然后访问包括GPS位置、短信、照片和麦克风等个人数据。而且使用跟踪软件并不需要很高的技术能力，甚至于每月花费数百美元就能买到。据卡巴斯基实验室称，一些供应商还提供每月68美元的订阅计划。 卡巴斯基实验室表示，在与电子前沿基金会网络安全负责人伊娃•加尔佩林（Eva Galperin）交谈后，公司已经开始行动起来将跟踪应用标记为恶意程序。卡巴斯基实验室的安全研究员Alexey Firsh在一份声明中表示：“因此，我们会对商业间谍软件进行标记，并发出特定的警报，告知用户关注跟踪软件带来的危险。我们相信用户有权知道他们的设备上是否安装了这样的程序。” 图片来自于 卡巴斯基实验室 在接受Wired采访时候，加尔佩林表示卡巴斯基实验室的这项倡议能够得到其他防病毒公司的响应，然后成为行业的标准。未来卡巴斯基实验室的扫描不仅会检测是否存在跟踪软件，而且会为用户提供删除它们的选项。这项保护目前正面向Android设备推广，不过跟踪软件在iOS上并不常见。   （稿源：cnBeta，封面源自网络。）

根据卡巴斯基实验室的一份报告，56％的互联网用户认为现代数字世界中的完全隐私是不可能的。对于许多人来说，他们对数字隐私的担忧可能来自个人经验。卡巴斯基的研究发现，26％的人表示他人在未经他们同意的情况下访问了他们的私人数据，在16至24岁的人群中，这一数字上升到31％。   隐私受到侵害的后果包括经历压力（36％），面临垃圾邮件和广告（25％）以及造成经济损失（21％）。 一个有趣的发现是，一旦人们认为完全隐私是无法实现的，一些消费者愿意出售他们自己的信息，而不是等待别人去利用它。该调查发现，39％的受访者同意收钱让陌生人完全访问其私人数据。此外，如果他们收到免费的回报，18％的人会牺牲自己的隐私并分享他们的数据。 “人们越来越关注他们的隐私，因为他们看到了如果数据落入坏人手中，他们的数据如何被滥用的例子，”北美卡巴斯基实验室消费者销售副总裁Brian Anderson表示。“无论是导致身份盗用的漏洞，针对零售商的网络攻击引起的信用卡欺诈，还是窥探手机的人。当您发现未经您的同意而暴露您的数据时，这会令你感觉非常不好。数据隐私是每个人都可以实现的，并且泄露行为似乎不是不可避免的。强大的数字卫生和更高的隐私最佳实践意识，以及可靠的安全解决方案，可以帮助防止您的数据被任何人查看或滥用。” 您可以在卡巴斯基博客上找到有关该报告的更多信息。     （稿源：cnBeta，封面源自网络。）

讯 12月27日下午消息，据台湾地区科技媒体iThome报道，俄罗斯安全企业卡巴斯基实验室（Kaspersky Lab）上个月公布了针对金融机构的2019年安全预测，指出明年将会出现首起盗用生物识别数据的攻击行动。 卡巴斯基指出，愈来愈多的金融机构开始支持生物识别系统，用来识别和认证用户。而到目前为止，已经发生了多起生物识别数据泄露的意外。这两个因素加在一起，让明年极有可能出现首例利用外泄的生物识别数据进行攻击的事件。 由于电子支付在印度、巴基斯坦、东南亚以及中欧等发展中国家日益普及，但这些国家金融组织的保护机制相对不成熟，因此在这些国家和地区可能会出现新的黑客集团。 而针对金融机构供应链的攻击也将延续到2019年，通常这些供应链上的软件供应链规模较小、安全措施也比较不足，黑客可能会借此渗透到供应链攻击汇款系统、银行及交易中心。 鉴于许多金融机构都缺乏实体的安全性以及对联网装置的控制，黑客只要利用联网装置就能入侵银行的内部网路。 研究人员建议金融卡的用户最好使用芯片金融卡，并设定双重认证，才不会成为黑客的头号目标；企业用的移动金融程序也有很大的机会成为黑客觊觎的对象；金融机构及企业的员工也将持续成为黑客的网络钓鱼目标以便进行诈骗行为。   稿源：，稿件以及封面源自网络；

在影视作品中，经常能见到通过 USB 存储器发起的网路入侵攻击。剧情通常是从目标公司中挑选一位容易下手的雇员，让他在工作场所的某个地方插入。对于有经验的网络犯罪者来说，这显然是一件很容易暴露的事情。但没想到的是，同样的剧情，竟然在现实中上演了。2017~2018 年间，卡巴斯基实验室的专家们，受邀研究了一系列的网络盗窃事件。 它们之间有一个共同点 —— 有一个直连公司本地网络的未知设备。有时它出现在中央办公室、有时出现在位于另一个国家或地区的办事处。 据悉，东欧至少有 8 家银行成为了这种袭击的目标（统称 DarkVishnya），造成了数千万美元的损失。 每次攻击可分为相同的几个阶段：首先，网络犯罪分子以快递员、求职者等为幌子，潜入了组织的大楼、并将设备连接到本地网络（比如某个会议室中）。 在可能的情况下，该装置会被隐藏或混入周围环境，以免引起怀疑。如上图所示的带插座的多媒体桌子，就很适合植入隐蔽的设备。 根据网络犯罪分子的能力和个人喜好，DarkVishnya 攻击中使用的设备也会有所不同。在卡巴斯基实验室研究的案例中，通常有如下三种： ● 上网本或廉价笔记本电脑； ● 树莓派计算机； ● Bash Bunny — 一款用于执行 USB 攻击的特殊工具。 在本地网络内，该设备会显示为“未知计算机、外部闪存驱动器、甚至键盘”。然后再通过内置或 USB 连接的 GPRS / 3G / LTE 调制解调器，远程访问被植入的设备。 结合 Bash Bunny 在外形尺寸上与 USB 闪存盘差不多的事实，这使得安全人员在搜索时，难以决定从何处先下手。 攻击的第二阶段，攻击者远程连接到设备、并扫描本地网络，以访问共享文件夹、Web 服务器、和其它开放式资源。 此举旨在获取有关网络的信息，尤其是业务相关的服务器和工作站。与此同时，攻击者试图暴力破解或嗅探这些机器的登录凭证。 为克服防火墙的限制，它们使用本地 TCP 服务器来植入 shellcode 。 若防火墙阻止其从一个网段跳跃到另一个网段、但允许反向连接，则攻击者会借助其它可被利用的资源，来构建所需的通信隧道。 得逞后，网络犯罪分子会实施第三阶段： 登录目标系统，使用远程访问软件来保留访问权限，接着在受感染的计算机上启用 msfvenom 创建的恶意服务。 因为黑客利用了无文件攻击（Fileless Attacks）和 PowerShell，所以能够绕过白名单技术、或者域策略。 即便遇到了无法绕过的白名单，或者 PowerShell 被目标计算机阻止，网络犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可执行文件，发动远程攻击。 最后，卡巴斯基实验室曝光了如下恶意软件： not-a-virus.RemoteAdmin.Win32.DameWare MEM:Trojan.Win32.Cometer MEM:Trojan.Win32.Metasploit Trojan.Multi.GenAutorunReg HEUR:Trojan.Multi.Powecod HEUR:Trojan.Win32.Betabanker.gen not-a-virus:RemoteAdmin.Win64.WinExe Trojan.Win32.Powershell PDM:Trojan.Win32.CmdServ Trojan.Win32.Agent.smbe HEUR:Trojan.Multi.Powesta.b HEUR:Trojan.Multi.Runner.j not-a-virus.RemoteAdmin.Win32.PsExec Shellcode 监听端口： tcp://0.0.0.0:5190 tcp://0.0.0.0:7900 Shellcode 连结点： tcp://10.**.*.***:4444 tcp://10.**.*.***:4445 tcp://10.**.*.***:31337 Shellcode 管道： \\.\xport \\.\s-pipe   稿源：cnBeta，封面源自网络；

据外媒报道， 卡巴斯基实验室发现针对 Android 设备的路由器 的 DNS 劫持恶意软件 Roaming Mantis 现在已升级到了针对 iOS 设备以及桌面用户。最初该恶意软件被发现在上个月劫持了网络路由器，目的旨在散布窃取用户登录凭证和双重身份验证密码的 Android 银行恶意软件。而目前根据卡巴斯基实验室的安全研究人员的说法，通过增加针对 iOS 设备的钓鱼攻击以及针对 PC 用户的加密货币挖掘脚本，Roaming Mantis 活动背后的犯罪集团已经扩大了他们的目标。此外，尽管最初的袭击旨在针对来自东南亚的用户 ，但目前该新活动已经演变到支持 27 种语言，以扩大在欧洲和中东地区的业务范围。 与之前的版本类似，新的 Roaming Mantis 恶意软件通过 DNS 劫持进行分发，攻击者更改无线路由器的 DNS 设置，将流量重定向到由他们控制的恶意网站。因此，当用户试图通过一个被破坏的路由器访问任何网站时，他们都会被重定向到恶意网站，这些网站可用于：提供 Android 用户虚假银行恶意软件；提供 iOS 用户 钓鱼网站；提供桌面用户使用加密货币挖掘脚本的站点。 为了保护免受此类恶意软件的侵害，安全研究人员给出了以下建议： “建议您确保您的路由器运行最新版本的固件并使用强密码保护； 由于黑客活动使用攻击者控制的 DNS 服务器伪装合法域名，将用户重定向到恶意下载文件，所以建议您在访问站点前确保其启用了 HTTPS； 您还应该禁用路由器的远程管理功能，并将可信的 DNS 服务器硬编码到操作系统网络设置中； 建议 Android 用户从官方商店安装应用程序，并设置禁用安装未知来源的应用程序； 检查您的 Wi-Fi 路由器是否已被入侵，查看您的 DNS 设置并检查 DNS 服务器地址，如果它与您的提供商发布的不符，请将其修正，并立即更改所有帐户密码。” 卡巴斯基实验室分析报告： 《Roaming Mantis dabbles in mining and phishing multilingually》 消息来源：Thehackernews，编译：榆榆，审核：吴烦恼; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日，卡巴斯基分析了受 Energetic Bear APT 损害的服务，并在某种程度上确定该组织是为了利益或接受其外部客户的订单而运作的。卡巴斯基实验室 ICS CERT 报告中提供了有关已识别的服务器的信息，这些服务器已被群体感染和使用。此外，该报告还包括对 2016 年和 2017 年初 Energetic Bear 组织袭击几家网络服务器的分析结果。 至 2010 年以来， Energetic Bear  一直活跃。该组织倾向于攻击不同的公司，主要关注能源和工业部门。根据统计，Energetic Bear 袭击的公司在全球范围内集中度比较明显，一般来说主要分布在欧洲和美国。在 2016-2017 年，土耳其公司遭受 Energetic Bear 袭击的数量也大幅增加。 Energetic Bear 组织的主要策略包括发送带有恶意文件的钓鱼邮件以及感染各种服务器。Energetic Bear 使用一些受感染的服务器作为辅助用途 -— 比如托管工具和日志。其他一些服务器则被故意受到感染，以便在水坑攻击中使用它们以达到该组织的主要目标。 受损服务器的分析结果和攻击者在这些服务器上的活动如下： –   除极少数情况外，该组织可以使用公共可用的实用程序进行攻击，使攻击归因的任务无需任何额外的群组“标记”就变得非常困难； –  潜在地，当攻击者想要建立一个立足点以发展针对目标设施的进一步攻击时，互联网上任何易受攻击的服务器都会引起攻击者的兴趣。 –  在观察到的大多数情况下，该组织通过执行与搜索漏洞有关的任务来获得各种主机持久性以及窃取认证数据。 –  受害者的多样性可能表明攻击者利益的多样性。 –  在某种程度上可以肯定地说，该组织为利益服务或从其外部的客户处获得订单，通过执行初始数据收集、窃取认证数据获得适合攻击资源的持久性发展。 值得注意的是， Energetic Bear 针对美国组织的近期活动在 US-CERT 咨询中进行了讨论，该咨询将其与俄罗斯政府联系起来。 完整分析报告: 《Energetic Bear/Crouching Yeti: attacks on servers》 消息来源：Security Affairs，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。