在第一篇中，我们突出了相关侦察步骤！在本文中，我们深入研究了IDA历险，更好地了解imgdecrypt如何操作，以确保最新路由器型号的固件完整性。 将二进制文件加载到IDA中时，将会出现一个功能列表。我们已经发现二进制代码应该是从调试符号中剥离出来的，使得调试整个代码变得较为困难，但从IDA提供给我们的方式来看，它还是相当不错的。 … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1524/           消息来源：Low-level adventures，译者：小江； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

根据网络安全公司 Intezer 本周发布的一份报告，自 2017 年以来使用 Go 编程语言编写的恶意软件数量呈现爆发式增长，增幅超过 2000%。从报告中可以看到，恶意软件作者已逐渐从 C/C++ 转向 Go，这是一种由谷歌在 2007 年开发并推出的编程语言。 虽然首个基于 Go 语言开发的恶意软件在 2012 才被检测到，但在短短几年时间里该语言已经在恶意软件领域快速流行起来。Intezer 在报告中说：“在 2019 年之前，发现用 Go 编写的恶意软件更多的是一种罕见的现象，而在 2019 年期间，它变成了一种日常现象”。 如今，Golang（Go 的另一种称呼）已经取得了突破性进展，并被广泛采用。有国家背景的黑客组织（比较出名的有 APT）、网络犯罪运营商，甚至安全团队都在使用它，他们经常用它来创建渗透测试工具包。 Golang 之所以会出现这种突然暴涨的现象，主要有三个原因。首先是 Go 支持跨平台编译的简易流程。这使得恶意软件开发者只需编写一次代码，就可以从同一个代码库中编译出多个平台的二进制文件，使他们可以从同一个代码库中针对 Windows、Mac和Linux，这种多功能性是其他许多编程语言通常不具备的。 第二个原因是，基于 Go 的安装文件仍然很难被安全研究人员分析和逆向工程，这使得基于Go的恶意软件的检出率一直很低。第三个原因与 Go 对网络数据包和请求工作的支持有关。 Intezer解释说：“Go有一个非常好写的网络堆栈，很容易使用。Go已经成为云的编程语言之一，很多云原生应用都是用它编写的。例如，Docker、Kubernetes、InfluxDB、Traefik、Terraform、CockroachDB、Prometheus和Consul都是用Go编写的。这很有意义，因为创建Go背后的原因之一是发明一种更好的语言，可以用来取代谷歌内部使用的C++网络服务”。         （消息及封面来源：cnBeta）

在调查发现 SolarWinds 黑客攻击事件对美国企业和联邦政府有着极其深远的影响之后，微软和 FireEye 高管于本周二联合敦促国会采取行动，以制定强制性的安全报告披露规则。微软总裁 Brad Smith 在提交给参议院情报委员会的文书中表示：“我们需要让私营机构承担明确、一致的披露义务，否则企业会在遭受黑客入侵时纷纷保持沉默”。 显然，作为 SolarWinds 入侵事件的余波，安全行业对当下的糟糕状况感到十分无奈，因而 Brad Smith 认为大家是时候做出集体的转变。 我们需要用明确、一致性的义务，来代替这种可怕的沉默。只有这样，私营组织才会在遭受到重大事件影响时及时披露信息。 曾因参与早期调查而受到赞誉的 FireEye 首席执行官 Kevin Mandia 补充道： 企业应该有一种方法来披露可能对国家安全造成重大影响的安全公告，而不必担心因此而受到法律的制裁。 与此同时，美国政府应考虑制定一个联邦层面的披露方案。除了分享威胁情报，还应通报与黑客攻击 / 入侵事件相关的细节。 FireEye 指出，去年 12 月，拥有复杂背景的黑客组织成功利用了 SolarWinds 的软件漏洞，渗透了多达 1.8 万名客户的内部网络，其中就包括 FireEye 和微软。 某位白宫官员在上周表示，在长达数月的行动期间，其已证实有 9 个联邦机构和 100 家私营实体受到了 SolarWinds 黑客事件的影响，且情报官员直指攻击者与俄方有关。 Kevin Mandia 和 Brad Smith 指出：“遗憾的是，按照现行的法律，相关企业并不需要主动公开披露黑客攻击事件”。 “虽然法律上没有提出举报和披露的义务，但我们认为这么做仍然很有必要。 除了保障每位客户的权益，还有助于维护联邦政府的安全。 如果没有这方面的信息披露与共享，那我们就无法确保这个国家的安全。” 据悉，虽然目前全美多州已明确规定要以某种形式披露安全公告，但在经历了多年的拉扯之后，联邦政府仍未能将此事摆上重要的日程。 参议院情报委员会主席 Mark Warner 周二表示：“我们可能等到有意披露的机构，但也可能对黑客攻击事件毫不知情。就算其它大型企业也可能成为受害者，但就是没人选择挺身而出”。 基于此，Mark Warner 认为越来越有必要制定一套强制性的安全公告和信息共享披露制度，并且建议在联邦层级上做出相应的努力。           （消息及封面来源：cnBeta）

加州车辆管理局（DMV）日前警告说，在一个承包商遭遇勒索软件攻击后，可能出现数据泄露。总部位于西雅图的自动资金转移服务（AFTS）表示，自2019年以来，DMV一直用于与国家数据库核实地址变更，本月早些时候受到了一个不明勒索软件的攻击。 DMV在通过电子邮件发送的一份声明中表示，此次攻击可能已经泄露了“过去20个月的加州车辆登记记录，其中包含姓名、地址、车牌号和车辆识别号”。但DMV表示，AFTS无法获取客户的社会安全号码、出生日期、选民登记、移民身份或驾照信息，并没有被泄露。 DMV表示，此后已经停止了所有向AFTS的数据传输，并在此后启动了一项紧急合同，以防止任何宕机。 AFTS在美国各地被用于处理付款、发票和核实地址。已经有几个市镇确认他们受到数据泄露的影响，这表明它可能并不限于加州的DMV。但目前还不知道是什么样的勒索软件袭击了AFTS。勒索软件通常会对公司的文件进行加密，并会解锁以换取赎金。但由于许多公司都有备份，一些勒索软件组织威胁说，除非支付赎金，否则将把被盗文件公布在网上。 AFTS无法立即获得评论。它的网站已经离线，并有一条简短的消息。“AFTS的网站和所有相关的支付处理网站由于技术问题而无法使用. 我们正在努力尽快恢复它们。” “我们正在研究实施更多的措施来加强安全性，以保护车管所和与我们签订合同的公司所持有的信息，”加州DMV局长史蒂夫·戈登说。 据报道，去年加州DMV通过出售司机的个人信息，包括向债券商和私人调查员出售信息，每年赚取超过5000万美元。 加州有超过3500万辆注册车辆。       （消息及封面来源：cnBeta）

安全公司 ESET 近日放出了一则警告，提醒一款被挂有木马的 OpenSSH 软件，或被用于从 HPC 高性能计算集群中窃取 SSH 证书。这款 Linux 恶意软件被称作 Kobalos，安全研究人员称之“小而复杂”且“诡计多端”。即使攻击规模不大，但 Kobalos 后门还是渗透了一些主要目标，包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商（ISP）的系统。 参考希腊神话中一个顽皮的小动物，ESET 研究人员将这款恶意软件命名为 Kobalos 。但除了 Linux、FreeBSD 和 Solaris，安全专家还发现了能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。 通过逆向工程可知，Kobalos 能够在互联网上扫描受害者。而且在大多数情况下，受害者主要集中在大型系统和超级计算机领域（另有涉及部分私有服务器设施），但目前尚未揪出相关事件的幕后黑手。 过去一年，互联网上曝光了多起涉及 HPC 集群的安全事件。比如 EGI CSIRT 调查发现有计算资源被利用于加密货币的挖矿，受害者包括波兰、加拿大等地的受感染服务器。 新闻中还提到过英国的 Archer 超级计算机（其 SSH 证书被盗），但目前尚不清楚黑客利用哪些恶意软件对其发起了怎样的攻击。 ESET 研究人员补充道，尽管 Kobalos 的代码库很是精简，但却包含了用于运行命令和远程服务器控制的代码。 为缓解攻击，安全公司建议用户为 SSH 服务器连接同时启用双因素身份验证。 最后，ESET 将其检测到的这款恶意软件正式命名为 Linux / Kobalos（或 Linux / Agent.IV）。 而用于 SSH 证书窃取的程序，则被称作 Linux / SSHDoor.EV、Linux / SSHDoor.FB、或 Linux / SSHDoor.FC 。           （消息来源：cnBeta；封面源自网络）

根据区块链分析公司 Chainalysis 上周发布的统计报告，被勒索软件攻击的机构和组织在 2020 年至少支付了 3.5 亿美元的赎金。该数字是通过追踪与勒索软件攻击相关的区块链地址的交易来编制的。尽管 Chainalysis 拥有加密货币相关网络犯罪最完整的数据集之一，但该公司表示实际金额会超过这个预估值。 在报告中指出，2020 年勒索软件支付的赎金占加密货币总交易金额的 7% 左右。Chainalysis 表示，与 2019 年相比，这一数字增长了 311%，并将这一突然增加的原因归咎于一些新的勒索软件从受害者那里获取了大量的资金，以及一些已经存在的勒索软件提高了赎金金额。   在勒索黑客组织中，报告指出有Ryuk、Maze(现已解散)、Doppelpaymer、Netwalker(被当局破坏)、Conti 和 REvil(又名Sodinokibi) 等集团。尽管如此，诸如 Snatch、Defray777(RansomExx)和 Dharma，去年也获得了价值数百万美元的赎金。 Chainalysis 表示，它还追踪了犯罪分子如何通过区块链转移赎金。他们的发现与往年没有太大区别，他们指出，犯罪分子通常通过比特币混合服务进行洗钱，然后将资金送到合法和高风险的加密货币交易门户，将资金兑换成现实世界的货币。 但 Chainalysis 团队也证实了Advance Intelligence 上个月发布的一份报告，该报告发现，勒索软件团伙经常使用这些资金来支付其他网络犯罪服务。 Chainalysis表示，它也看到了向防弹托管提供商、漏洞销售商和渗透测试服务（也称为初始访问经纪人）支付的款项，因为勒索软件行动与他们的 “供应商 “打交道。           （消息及封面来源：cnBeta）

据外媒报道，虽然勒索软件仍是一个祸害，但现在也有一些好消息：受害者支付的平均金额在一年多的大幅增长后在Q4出现了下降。为什么呢？–因为越来越少的公司愿意屈服于赎金要求。来自网络安全公司Coveware公布的最新季度勒索软件报告显示，自2018年Q3以来，勒索软件的平均支付额持续上升，但在去年Q4下降34%，降至15.4108万美元。 与此同时，支付勒索软件费用的中位数也下降了55%，降至49,450美元。 一般来说，任何遭到勒索软件攻击的人都不被建议交出任何密码，因为这并不能保证作案者会交出加密密钥。似乎越来越多的公司开始听从这一建议。 该数据下滑的另一个原因则跟勒索软件攻击有关。犯罪分子威胁称，如果他们的要求得不到满足他们就会公布敏感信息。Coveware写道，这类攻击占Q4所有勒索软件攻击的70%，高于前一季度的50%。因为即使支付了赎金数据也会在网上泄露，所以很少有受害者会屈服于勒索。 在涉及数据被盗的案件中，只有60%的公司同意在Q4支付，低于第三季度的75%。 报告写道：“Coveware继续见证了被盗数据在付款后没有被删除或清除的迹象。此外，我们还看到一些组织在没有发生的情况下采取措施伪造数据外泄的样子。” 至于勒索软件的攻击载体，电子邮件钓鱼现在已经超过远程桌面协议(RDP)攻击成为最流行的网络攻击，其在Q4占比超过了50%。不过利用泄露的凭证的RDP仍非常流行，因为员工用户名和密码的勒索价低至50美元。 专业服务则是第二大最常见的勒索软件罪犯的目标行业–占比16.3%，仅次于医疗保健–占比17.9%。长期以来，医院和健康中心一直是犯罪分子认为他们更愿意掏钱的常见目标。随着疫情的蔓延，这些组织已经濒临崩溃的边缘，勒索软件的攻击则可能会造成生命的损失。             （消息及封面来源：cnBeta）

微软发布了新版本的Windows 10 Sysinternals工具Sysmon，该工具可以用来检测黑客将恶意代码注入合法的Windows进程中，以绕过安全措施。Sysmon 13可以监控Windows 10进程的活动，可以检测到通常在任务管理器中看不到的进程掏空或进程herpaderping技术。 进程掏空是指恶意软件在暂停状态下启动合法进程，并用恶意代码替换进程中的合法代码。然后，这个恶意代码就会被进程执行，无论分配给进程的权限是什么。 进程herpaderping是指恶意软件加载后，修改其在磁盘上的映像，改头换面使其看起来像合法软件。当安全软件扫描磁盘上的文件时，它将看到一个无害的文件，而恶意代码却大摇大摆地在内存中运行而不被发现。 该技术被已知的恶意软件使用，包括Mailto/defray777勒索软件、TrickBot和BazarBackdoor。 要启用进程篡改检测，管理员需要在配置文件中添加’ProcessTampering’配置选项。你可以在这里阅读Sysinternals网站上的文档。 您可以从Sysinternal的官方页面或这个地址直接下载Sysmon。       （消息来源：cnBeta；封面源自网络）

Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动，该活动通过发布美国总统唐纳德·特朗普（Donald Trump）的丑闻假视频来传播远程访问木马（RAT）。 电子邮件的主题为“ GOOD LOAN OFFER !!”，附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档（JAR）文件，一旦被下载，该文件会将Qua或Quaverse RAT（QRAT）安装到系统中。 Trustwave高级安全研究员戴安娜·洛帕（Diana Lopera）在文章中说：“我们怀疑，黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。” 最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。 感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始，它们均会检索使用Allatori Java混淆器加扰的JAR文件（“ Spec＃0034.jar”）。 第一阶段下载程序将Node.Js平台设置到系统上，下载并执行称为“ wizard.js”的第二阶段下载程序，该程序负责持久获取并运行Qnode RAT（“ qnode-win32-ia32。 js”）。 QRAT是典型的远程访问木马，具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。 这次恶意活动的变化是包含了一个新的弹出警报，该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着，一旦用户单击“确定”按钮，该样本的恶意行为就会开始显现。 此外，JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。 其他变化包括JAR文件大小的增加以及为更新的恶意软件链而取消了第二阶段的下载程序，更新的恶意软件链可立即获取QRAT有效负载（现称为“ boot.js”）。 就其本身而言，RAT除了通过VBS脚本负责保持在目标系统上的持久性外，还使用了base64编码对代码进行了加密。 Topera总结说：“自我们首次检查以来，该恶意软件的威胁已大大增强。”他敦促管理员在电子邮件安全网关中阻止传入的JAR。         消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

自12月初以来，一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露，这个多平台的恶意软件还具有蠕虫功能，可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。 自首次发现该蠕虫以来，背后的攻击者一直通过其命令和控制（C2）服务器积极更新该蠕虫的功能，这暗示着该蠕虫依然是一个积极维护的恶意软件。 C2服务器用于托管bash或PowerShell滴管脚本（取决于目标平台），一个基于Golang的二进制蠕虫，以及部署的XMRig矿工，以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币（门罗币）。 该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器，就会部署加载器脚本（Linux的ld.sh和Windows的ld.ps1），该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。 如果恶意软件检测到受感染的系统正在监听52013端口，它将自动杀死自己。如果该端口未被使用，蠕虫将打开自己的网络套接字。 要防御这种新的多平台蠕虫发动的蛮力攻击，网络管理员应该限制登录条件，并在所有暴露在互联网上的服务上使用难以猜测的密码，以及尽可能使用双因素认证。       （消息来源：cnBeta；封面来自网络）