通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作，安全与技术研究所（IST）正倡导组建全新的勒索软件特别工作组（RTF）。该工作组的创始成员包括了微软、McAfee等诸多科技公司。 RTF的主要工作内容包括：“RTF 将评估现有解决方案在处理勒索软件方面的级别，寻找其中的差距，并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献，RTF将委托专家撰写论文，并让各行业的利益相关者参与进来，围绕经过审核的解决方案进行讨论”。 目前 RTF 工作组的成员包括 Aspen Digital ● Citrix ● The Cyber Threat Alliance ● Cybereason ● The CyberPeace Institute ● The Cybersecurity Coalition ● The Global Cyber Alliance ● McAfee ● Microsoft ● Rapid7 ● Resilience ● SecurityScorecard ● Shadowserver Foundation ● Stratigos Security ● Team Cymru ● Third Way ● UT Austin Stauss Center ● Venable LLP         （消息及封面来源：cnBeta；）

上周曝出的 IT 管理公司 SolarWinds 遭受黑客入侵事件，又陆续揭示了更多的受害者。据说有俄方背景的黑客组织，对包括美国财政部、商务部、能源部、国土安全部等在内的目标发起了攻击，且据信其中两个可能有邮件失窃。由于 SolarWinds 的客户数量众多，外媒猜测有更多大型科技企业遭到了类似的攻击。 （图 via SeekingAlpha） 《华尔街日报》的最新报道称，包括思科、英特尔、英伟达、贝尔金、VMware 等在内的私企网络，也都被发现感染了同样的恶意软件。 此前 SolarWinds 曾表示，有“少于 18000 家”企业受到了影响。尽管已证实的案例相对较少，但今日的新闻还是让许多知名企业从“可能受影响”变成了“确定受影响”。 尽管目前许多大型科技巨头都表示正在对相关事件展开调查，且认为自身尚未受到影响。但正如 2016 年民主党全国委员会的邮件泄密事件那样，后续的打脸可能会来得特别快。 毕竟想要揭开黑客攻击事件的全面影响，可能要花费相当长的时间。此外美联社的早前报道指出，企业或很难判断是否已彻底将恶意软件从其网络中清除。 更糟糕的是，调查发现另一个技术似乎不那么纯熟的黑客团体也在利用类似的漏洞入侵 SolarWinds 。且被称作“超新星”（Supernova）的早期攻击，只是被称作 Sunburst 的主攻击的一部分。 最后，虽然私企对 SolarWinds 系统攻击事件的反应并不强烈，但美国联邦政府已宣布旗下所有机构都立即放弃 SolarWinds 的 IT 管理系统。         （消息来源：cnBeta；封面来源于网络）

远程访问木马（RAT）的防御者不会立即辨别这是来自APT黑客的恶意软件。同样，网络服务（例如电子邮件、Microsoft Autodiscover、SMB、LDAP和SQL）的恶意攻击也是如此。在2020年，APT黑客组织Pawn Storm使用非复杂的攻击方法。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1434/         消息来源：trendmicro，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击者总是在寻找一种方法来执行受害者机器上的文件，并且希望不被发现。一种方法是使用一种脚本语言。如果受害者的操作系统中没有内置的编译器或解释器，那么这种脚本语言就无法执行。Python、AutoIT和AutoHotkey（AHK）就属于这种脚本语言。特别是，AHK是一种面向Windows的开源脚本语言，旨在提供简单的键盘快捷方式或热键、快速的微创建以及软件自动化。AHK还允许用户使用代码创建一个compiled.EXE文件。 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1432/         消息及封面来源：trendmicro，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击，该攻击破坏了机构的数字签名工具包，并在系统上安装了后门。 网络安全公司ESET在本月初发现了这种“ SignSight”攻击，其中涉及修改CA网站（“ ca.gov.vn”）上托管的软件安装程序，插入名为PhantomNet或Smanager的间谍软件工具。 根据ESET的遥测，该网络攻击活动发生在2020年7月23日至8月16日，涉及的两个安装程序：“ gca01-client-v2-x32-8.3.msi”和“ gca01-client-v2-x64-8.3” .msi”（适用于32位和64位Windows系统），已被篡改并安装后门。 在将攻击报告给VGCA之后，该机构确认“他们早已知道此类网络攻击，并通知了下载该木马软件的用户。” ESET的Matthieu Faou说：“对于APT黑客组织来说，认证机构网站的妥协是一个很好的机会，因为访问者对负责签名的国家组织高度信任。” 越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分，政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌（也称为PKI令牌）对文档进行数字签名，通过上述驱动程序进行操作。 用户感染木马病毒的唯一方法是在手动下载并执行了官方网站上托管的受感染软件。病毒软件将启动GCA程序以掩盖该漏洞，伪装成名为“ eToken.exe”的看似无害的文件的PhantomNet后门。后门程序（最近一次编译于4月26日进行）负责收集系统信息，并通过从硬编码的命令和控制服务器（例如“ vgca.homeunix [.] org”和“ office365.blogdns”）检索的插件来部署其他恶意功能。 [.] com”），模仿相关软件的名称。 ESET表示，除越南外，菲律宾也存在受害者，但黑客的交付机制和最终目标仍然未知，对交付后的相关信息也知足甚少。 该事件强有力地说明了为什么供应链攻击正日益成为网络间谍组织中常见的攻击媒介，因为它使黑客可隐秘地同时在多台计算机上部署恶意软件。 ESET在11月披露了在韩国进行的Lazarus攻击活动，该活动使用合法的安全软件和被盗的数字证书在目标系统上分发远程管理工具（RAT）。 在上周，一个被称为Able Desktop的聊天软件被蒙古的430个府机构使用，提供HyperBro后门程序：Korplug RAT和名为Tmanger的木马。 本周发现的针对SolarWinds Orion软件的供应链攻击破坏了美国几家主要的政府机构，包括国土安全部、商务部、财政部和州政府。 Faou总结说：“恶意代码通常隐藏在许多正常代码中，因此供应链攻击通常十分隐蔽且很难被发现。”         消息及封面来源：The Hacker News ；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软宣布将从今天开始，强制屏蔽和隔离已知含有 Solorigate（sunburst）恶意软件的 SolarWinds Orion 应用版本。上周末，多家媒体报道称有俄罗斯政府背景的黑客组织入侵了 SolarWinds，并在网络监控和库存平台 Orion 更迭版本中插入了恶意软件。 在新闻曝光之后 SolarWinds 证实，2020年3月至2020年6月期间发布的 Orion 应用版本 2019.4 至 2020.2.1 版本受到恶意软件的污染。在该公司发表官方声明后，微软是最早确认 SolarWinds 事件的网络安全厂商之一。同一天，该公司为 SolarWinds Orion 应用中包含的 Solorigate 恶意软件添加了检测规则。 不过，这些检测规则只能触发警报，Microsoft Defender 用户可以自行决定如何处理 Orion 应用。然而，在今天的一篇简短的博客中，微软表示现在已经决定从明天开始强行将所有 Orion 应用安装文件进行隔离。 微软在博文中写道 ：“从北京时间12月17日0点开始，Microsoft Defender 软件将开始阻止已知的恶意 SolarWinds 安装文件。即便这些进程正在运行中也会将其进行隔离。需要重点注意的是，这些二进制文件对客户环境构成了重大威胁”。       （消息及封面来源：cnBeta）

由于采用了合法的非恶意软件的外观，木马开源软件隐蔽且有效的攻击很难被发现。但通过仔细调查可发现其可疑行为，从而暴露其恶意意图。 开源软件如何木马化？我们如何检测到它们？为了回答这些问题，让我们看一下最近的相关调查。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1429/       消息来源：trendmicro，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

12月14日，网络安全公司Sophos和ReversingLabs首次联合发布了面向公众的恶意软件研究数据集，旨在建立有效的防御措施，推动全行业在安全检测和响应方面的改进。 “SoReL-20M”是一个数据集，包含2000万个Windows可移植可执行文件（.PE）的元数据、标签和功能，1000万个已解除防护的恶意软件样本，其目标是设计机器学习方法，以获得更好的恶意软件检测能力。 Sophos AI组织表示：“对网络威胁的开放认识和理解也会导致更具预测性的网络安全。他防御者将能够预见攻击者在做什么，并为下一步行动做好更好的准备。” 伴随发布的是一组基于Pythorch和LightGBM的机器学习模型，这些模型以这些数据为基础进行了预先训练。 EMBER（又名Endgame Malware BEnchmark for Research）于2018年发布，是一种开源恶意软件分类器，但其较小的样本量（110万个样本）及其作为单标签数据集（良性/恶意软件）的功能意味着它“限制了可以用它执行的实验范围”。 SoReL-20M旨在用2000万个PE样本来解决这些问题，其中包括1000万个已解除防护的恶意软件样本（无法执行），以及为另外1000万个良性样本提取的特征和元数据。 此外，该方法利用了一个基于深度学习的标记模型来生成人类可解释的语义描述，指定所涉及样本的重要属性。 ReversingLabs的研究人员表示：“在安全领域共享威胁情报并不新鲜，但攻击者近几年来不断创新，因此共享威胁情报十分重要。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

在周四发布的联合安全警报中，美国网络基础设施安全局及联邦调查局表示：针对美国K-12教育的勒索软件网络攻击的数量有所增加，这些网络攻击活动通常会导致数据泄露和远程学习的中断。 警报写道：“截至2020年12月，FBI、CISA和MS-ISAC持续收到来自K-12教育机构的网络攻击报告。” “黑客可能将学校视为攻击目标，预计这类攻击将持续到2020/2021学年。” 勒索软件攻击 CISA和FBI表示：“ 针对K-12教育机构的今年所有网络攻击中，勒索软件一直是最重大的威胁。MS-ISAC数据显示2020学年开始之际，针对K-12教育的勒索软件事件的百分比有所增加。”他们说：“在8月和9月，MS-ISAC已知的勒索软件事件中有57％针对K-12教育，而从1月到7月，针对K12教育的网络攻击占比只有28％。” 该数字与Emsisoft最新报告一致  ，该公司还注意到2020年第三季度针对教育行业的勒索软件攻击激增。 根据两家机构收到的报告，今年针对美国K-12的五个最活跃的勒索软件组织是Ryuk、Maze、Nefilim、AKO和Sodinokibi / REvil。 这五个都是勒索软件操作，它们已知运行“泄漏站点”，通常在这些泄漏站点上从没有付款的受害者中转储数据，这也存在将学生数据在线发布的危险。 商品性恶意软件 但是，勒索软件攻击的增加并不是本学年K-12教育机构面临的唯一问题。CISA和FBI表示，商品性质的恶意软件已在美国网络攻击中流行。 恶意软件的变种是偶然性的，因为它们不仅影响教育机构，还影响其他组织。 在K-12网络攻击上最常见的恶意软件感染中，ZeuS（Zloader）木马（Windows）和Shlayer loader（macOS）在感染排行榜上名列前茅。 我们不应轻视这种恶意软件，因为这些威胁通常演变成更大的网络攻击，需要立即加以解决。 DDOS攻击和视频会议中断 除了恶意软件之外，美国网络基础设施安全局及联邦调查局还警告K-12教育机构要注意其他形式的网络攻击：包括DDoS攻击和实时视频会议中断（也称为“ 缩放轰炸”）。 随着学校IT系统现在需要满负荷工作以保持学校资源正常运行，DDoS攻击已成为最受欢迎的攻击媒介，用于勒索学校以牟取收益或学生逃课。 这两点由卡巴斯基 在今年早些时候指出，针对教育机构的DDoS攻击数量在美国乃至全世界都大量增加。 自2020年3月以来，视频会议中断一直是学校面临的问题。 警报中也包含应对措施，受害组织可以采用这些对策预防今年以来最常见的威胁。       消息及封面来源：zdnet；译者：小江 本文由 HackerNews.cc 翻译整理 转载请注明“转自 HackerNews.cc ”   

研究发现，一种新的勒索软件可以扩大目标范围，躲避安全软件的检测，发动双重勒索攻击。 MountLocker勒索软件在2020年7月开始出现，它在加密前窃取文件，并且要求数百万赎金，这种策略被称为双重勒索。 BlackBerry Research and Intelligence Team的研究人员表示，“MountLocker背后的攻击者显然只是在热身。从7月份开始，他们的勒索要求越来越高。” “与MountLocker相关联的公司效率很高，能够快速过滤敏感文档，在几个小时内对目标进行加密。” MountLocker还加入了其他勒索软件家族，比如Maze（上个月关闭），这些勒索软件在暗网上运营一个网站，羞辱受害者，并提供泄露数据的链接。 到目前为止，这款勒索软件已经有5名受害者，但研究人员怀疑人数可能“多得多”。 MountLocker作为勒索软件即服务（RaaS）提供，它在今年8月初针对瑞典安全公司Gunnebo进行了部署。 尽管该公司表示已成功阻止了勒索软件攻击，但攻击者最终在10月份窃取并在网上发布了18G的敏感文件，这些文件包括客户银行保险库和监控系统的示意图。 现在根据BlackBerry的分析，MountLocker背后的攻击者利用远程桌面（RDP）和泄露的凭证，在受害者的环境中获得初步的立足点（这在Gunnebo的黑客攻击中也有观察到）。然后部署工具执行网络侦察（AdFind），接着部署勒索软件和横向跨网络传播，通过FTP过滤关键数据。 勒索软件本身是轻量级且高效的。执行后，它会终止安全软件，使用ChaCha20密码触发加密，并创建一张勒索便条，其中包含一个Tor.onion URL的链接，通过暗网聊天服务协商解密软件的价格。 它还使用一个嵌入的RSA-2048公钥对加密密钥进行加密，删除卷影副本以阻止加密文件的恢复，并最终将自己从磁盘中删除以隐藏踪迹。 然而，研究人员指出，勒索软件使用一种称为GetTickCount API的加密不安全方法来生成密钥，该方法可能容易受到暴力攻击。 MountLocker的加密目标非常广泛，支持2600多个文件扩展名，包括数据库、文档、档案、图像、会计软件、安全软件、源代码、游戏和备份。 除此之外，我们在11月底发现了MountLocker的一个新变种（称为“版本2”），它删除了加密所需的扩展名列表，转而使用精简的排除列表：.exe、.dll、.sys、.msi、.mui、.inf、.cat、.bat、.cmd、.ps1、.vbs、.ttf、.fon和.lnk。 研究人员总结说：“自从成立以来，MountLocker组织就在扩大和改进其服务。虽然他们目前还不是特别先进，但可能短期内变得更强大。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”