随着 Emotet 僵尸网络被重新唤醒，其传播方式，有效负载，恶意文档模板和电子邮件模板也在不断发展。 休止活动长达几个月之后，Emotet 在本周一卷土重来。它开始制造垃圾邮件，通过邮件将恶意附件推送给毫无戒心的用户。Emotet 原本是一种窃取银行登录凭据的木马，但它现在被用来分发其他恶意软件。 仅仅几天之后，Emotet 就被分成不同的版本，并采用了新的文档模板，旨在进一步诱骗用户使用恶意 Word 宏。   新的 Emotet 文档模板 Emotet 使用了恶意 Word 文档模板，要求用户通过单击“启用内容”按钮“接受许可协议”。这样做，将启用嵌入在文档中的宏，然后将 Emotet 木马安装在收件人的计算机上。 正如微软和 JamesWT，Joseph Roosen，Brad Duncan，ps66uk 所说，Emotet 已将其恶意文档模板更改为“受保护视图”诱饵。此诱饵告受害人“由于文件在受保护的视图中打开而无法完成操作。某些活动内容已被禁用。单击启用编辑并启用内容”。 与上一个模板一样，如果单击“ 启用编辑”，然后单击“ 启用内容”，嵌入的宏就会运行脚本，然后将Emotet安装到计算机上。   垃圾邮件中包含了恶意下载链接或附件 我们看到的大多数 Emotet 垃圾邮件都包含附件，但有些还包含了用于下载恶意文档的链接。 例如，下面的 Emotet 垃圾邮件就包含了一份恶意 Word 文档附件。 下图的垃圾邮件包含了一个链接，用于下载恶意文档。 这意味着如果要保障用户安全，单独过滤附件是不够的。   利用 WScript 和 PowerShell 安装 payloads 虽然大多数针对 Emotet 的报道都将关注点放在了产生 PowerShell 的恶意附件上，但一些垃圾邮件也会通过 WScript 执行 JScript 脚本来安装恶意负载。 例如，下面是一个 PowerShell 命令的示例，该命令由 Emotet 附件执行。 不幸的是，没有办法禁用 PowerShell 执行的编码命令。但是可以通过以下命令禁用 PowerShell 脚本： Set-ExecutionPolicy -ExecutionPolicy Restricted 凭借其拥有的多种有效载荷，潜在用户以及广泛的传播，Emotet 对于网络安全是一个很大的威胁，需要所有管理员，安全专业人员和用户的密切关注。     消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，2016年12月，俄罗斯黑客在乌克兰国家电网运营商Ukrenergo的网络中植入了一种被称为Industroyer或Crash Override的恶意软件。而在圣诞节前两天的午夜，网络犯罪分子利用已经部署好的恶意软件破坏了乌克兰首都基辅附近一个传输站的所有断路器，从而导致首都大部分地区断电。 虽然这起网络攻击引发了一系列问题，但却没有给出明确的答案：首先，这次网络攻击的真正动机是什么？第二，为什么一个恶意软件能够如此强大，它可以瞬间让整个城市进入黑暗之中，而一个小时后工厂的工人只需要打开断路器就能修复？ 对此，来自工业控制系统网络安全公司Dragos的研究人员近日发布了一篇论文，他们在文中重建了2016年乌克兰断电的时间线，希望能为寻找上述问题的答案获得一些启发。在这篇题为《CRASHOVERRIDE: Reassessing the 2016 Ukraine Electric Power Event as a Protection-Focused Attack》的文章中，研究团队梳理了恶意软件的代码并重新访问了Ukrenergo的网络日志。他们得出的结论是，有证据表明，黑客的意图是造成更大强度的物理破坏，如果没有几个月也会将停电时间延长到数周甚至可能危及到现场工厂工人的生命。如果是这样的话，那么攻击基辅电力供应的恶意软件将只是另外两种恶意代码–Stuxnet和Triton的其中一种，这两种曾分别攻击过伊朗和沙特阿拉伯。 然而问题的实质则在于细节。文章作者、Dragos分析师Joe Slowik表示：“虽然这最终是一个直接的破坏性事件，但部署的工具和使用它们的顺序强烈表明，攻击者想要做的不仅仅是把灯关掉几个小时。他们试图创造条件，对目标传输站造成物理破坏。” 更具体一点说，Joe和Dragos给出的理论暗示了黑客利用Crash Override发送自动脉冲来触发断路器进而利用由西门子生产的Siprotec保护继电器的一个已知漏洞。尽管在2015年发布了一个修复上述漏洞的安全补丁，但乌克兰的许多电网站并没有更新它们的系统，这就位黑客们打开了一扇门，他们只需要发出一个电脉冲就能让安全继电器在休眠状态下失效。 为了搞明白这点，Dragos搜索了Ukrenergo的日志并将它所发现的信息的原始线程联系起来。他们第一次重构了黑客的操作方式，具体如下：首先，黑客部署了Crash Override；然后他们用它来处罚基辅北部一个电网站的每一个断路器进而导致大规模停电；一个小时后，他们发射了一个雨刷组件从而使发射站的电脑无法工作并阻止了对发射站数字系统的监控；死后，黑客破坏了该电站的4个Siprotec保护继电器，从而使电站容易受到危险高频率电力的影响。 事实上，这一事件并没有持续到最后。虽然Dragos无法找到黑客计划失败的原因，但它怀疑黑客的某些网络配置错误或现场工作人员在发现正在休眠的Siprotec继电器时做出的快速反应可能是挽救局面的原因。   （稿源：cnBeta，封面源自网络。）

据外媒TechCrunch报道，在一项罕见的壮举中，法国警方劫持了一个庞大的加密货币挖掘僵尸网络，其控制着近百万台受感染的计算机。臭名昭著的Retadup恶意软件感染计算机，主要被用于挖掘加密货币。 虽然恶意软件被用来赚钱，但恶意软件运营商很容易运行其他恶意代码，如间谍软件或勒索软件。恶意软件还具有可信的属性，允许它从计算机传播到计算机。自首次亮相以来，加密货币挖掘恶意软件已遍布全球，包括美国，俄罗斯以及中南美洲。 安全公司Avast通过一篇博文证实该行动是成功的。 该安全公司在发现恶意软件的命令和控制服务器中存在设计缺陷后参与其中。研究人员表示，如果利用得当，该漏洞将“允许我们从受害者的计算机中删除恶意软件”，而不会将任何代码推送到受害者的计算机上。 该漏洞将拆除该操作，但研究人员缺乏推进的法律授权。由于大多数恶意软件的基础设施位于法国，因此Avast与法国警方联系。在7月份接到检察官的批准后，警方继续进行操作，控制服务器并对远程移除了受影响计算机上的恶意程序。 法国警方称该僵尸网络是“世界上被劫持计算机最大的网络之一”。 该操作通过与其Web主机的协作秘密获取恶意软件的命令和控制服务器的快照而起作用。研究人员表示，他们必须谨慎行事，以免恶意软件运营商注意到这一点，因为他们担心恶意软件运营商可以进行报复。 “这些恶意软件的作者主要分发加密货币矿工，从而获得了非常好的被动收入，”这家安全公司表示。“但如果他们意识到我们即将完全取消Retadup，他们可能会将勒索软件推送到成千上万台计算机，同时试图将其恶意软件用于获取最后的利润。” 随着手中的恶意命令和控制服务器的副本，研究人员构建了自己的副本，远程移除了受害者计算机的恶意软件，而不是导致感染。 “（警察）用准备好的杀毒服务器取代了恶意（命令和控制）服务器，该服务器使连接的Retadup实例自毁，”Avast在博客文章中说。“在其活动的第一秒，有数千个机器人连接到它，以便从服务器获取命令。杀毒服务器回复他们并对他们进行杀毒，滥用协议设计缺陷。“ 通过这样做，该公司能够阻止恶意软件的运行，并将恶意代码从超过85万台受感染的计算机上移除。 法国警方网络部门负责人Jean-Dominique Nollet 表示，恶意软件运营商产生了数百万欧元的加密货币。 远程关闭恶意软件僵尸网络是一项罕见的成就 – 但难以实施。 几年前，美国政府撤销了第41条规则，现在允许法官在其管辖范围之外发布搜查和扣押令。许多人认为此举是联邦调查局努力进行远程黑客行动而不受法官管辖权的地方阻碍。批评人士认为，如果一位友好的法官在单一手令上侵入无数的计算机，那将是一个危险的先例。 从那时起，修订后的规则被用于拆除至少一个主要的恶意软件操作，即所谓的Joanap僵尸网络，这被认为与为朝鲜政府工作的黑客有关。   （稿源：cnBeta，封面源自网络。）

恶意勒索软件近年来已经成为计算机系统的主要威胁，在成功入侵个人电脑，医院、企业、机构和政府部门的系统之后就会进行加密锁定，只有用户交付一定的赎金才能解锁。不过现在安全研究人员发现了单反相机同样存在这项的安全风险。援引安全软件公司Check Point今天发布的一份报告，详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现，黑客可以轻易地在数码相机上植入恶意软件。 他表示标准化的图片传输协议是传递恶意软件的理想途径，因为它是未经身份验证的，可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点，只要单反连接到这些热点之后就能进行攻击，从而进一步感染用户的PC。 在一段视频中，Itkin展示了他如何通过WiFi入侵Canon E0S 80D并加密SD卡上的图像，以便用户无法访问它们。他还指出，相机对于黑客来说可能是一个特别有价值的目标：毕竟相机中可能会存在很大用户不想要删除的影像资料。而且在真正的勒索软件攻击中，黑客设定的赎金往往不会太高，因此很多人会愿意交付赎金来摆脱不便。 Check Point表示它在3月份披露了佳能的漏洞，并且两人于5月份开始工作以开发补丁。上周，佳能发布了安全公告，告诉人们避免使用不安全的WiFi网络，在不使用时关闭网络功能，并在相机上更新并安装新的安全补丁。 Itkin表示目前他们只对佳能设备进行了测试，但是他告诉The Verge：“由于协议的复杂性，我们还认为其他供应商也可能容易受到这种攻击，但这取决于他们各自的实施情况。”   （稿源：cnBeta，封面源自网络。）

研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍，而且受影响的组织中有50％属于制造业。基于近阶段的网络攻击，本周一IBM的X-Force IRIS事件响应团队发布了新的安全研究报告，强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现，诸如Industroyer，NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控，而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。 研究人员表示：“在历史上，像Stuxnet，Shamoon和Dark Seoul这样的破坏性恶意软件通常是被有国家背景的黑客所使用。不过自2018年年末以来，网络攻击份子开始不断将这些破坏型代码整合到自己的攻击中，例如LockerGoga和MegaCortex这样的新型勒索软件。” 而制造业是这些攻击的主要目标，目前曝光的案件中50%以上和工业公司有关。其中石油、天然气和教育领域的组织是重灾区，非常容易受到这种类型的攻击。最常见的初步感染手段就是网络钓鱼电子邮件，然后窃取进入内部网络所需要的电子凭证，注水漏洞攻击，劫持目标连接从而让对方妥协。 在发动恶意攻击之前，一些黑客将潜伏在公司系统中数月。IBM的X-Force IRIS事件响应团队的全球补救负责人Christopher Scott表示：“目前在破坏型恶意软件中存在另种攻击行为，前期保持缓慢发展，直到收集到需要的所有信息才会进行破坏；而另一种则是单纯的入侵然后破坏。” 报告中称当一家企业遭受破坏型恶意软件攻击之后，平均会有12000个工作站受到损坏，并且在攻击事件发生之后可能需要512个小时或者更长时间才能恢复。在一些极端情况下，恢复时间甚至可以延长到1200个小时。而大公司的恢复成本非常高，平均成本高达2.39亿美元。作为对比，Ponemon Institute估计，平均数据泄露将花费392万美元。   （稿源：cnBeta，封面源自网络。）

BitTorrent 客户端 BitLord 被发现捆绑了名叫 PremierOpinion 的间谍软件，该间谍软件会利用中间人攻击的方法捕捉机器的 SSL/TLS 流量。它会安装一个代理在端口 8888、8443 和 8254，安装一个本地系统证书，该证书会被所有应用程序自动信任。 当所有流量都经过它的代理，它会解密所有加密流量，监视用户的在线活动。 PremierOpinion 主要通过捆绑在其它软件进行传播，其中之一是 BitLord。BitLord 最早是基于比特彗星源代码的一个 BitTorrent 客户端，能利用 VLC 串流视频。   （稿源：cnBeta，封面源自网络。）

作为南非最大的城市兼金融中心，约翰内斯堡刚刚遭遇了一起针对 City Power 电力公司的勒索软件攻击，导致一些居民区的电力中断。由 @CityPowerJhb 官方 Twitter 账号公布的信息可知，这家企业负责为当地居民提供预付费电力供应，但恶意软件加密了该公司的数据库、内部网络、Web Apps、以及官方网站。 （截图 via ZDNet） 昨日开始扎根的恶意软件感染事故，现正在阻止顾客购买电力、或将fuyu电力反馈（回售）给 City Power，因为部分居民正在使用光伏面板来发电。 南非商业内幕（Business Insider South Africa）报道称，7 月 25 日也是许多南非人的标准发薪日，通常这天会有许多人领导工资就去充值。 然而过去 12 小时，许多 City Power 用户都在 Twitter 上抱怨市电中断且无法充值。作为该市所属的电力企业，该公司还称，由于无法访问内部应用程序，其中断响应已变得更加困难。 不过在紧急情况下，该公司正在增加备用支持团队的人员数量。至于影响该公司电网的勒索软件的名称，City Power 并未透露。 近年来，针对各大城市基础设施的勒索软件攻击正变得越来越普遍。为了尽快访问缺乏备份的市政文件，一些城市已主动支付过巨额的赎金，比如佛罗里达州的里维埃拉海滩市（60 万美元）和莱克城（50 万美元），以及佐治亚州的杰克逊县（40 万美元）。 此前，亚特兰大和巴尔的摩市经历了大规模的勒索软件感染，摧毁了各式各样的城市服务，最终让其付出了数千万美元的代价，以重建市政 IT 网络。 至于越南内斯堡，其应该庆幸勒索软件尚未突破其关键的 IT 网络。且最近几个月来，市政或电力等基础设施服务，正在成为越来越多的勒索软件团伙的攻击目标。   （稿源：cnBeta，封面源自网络。）

覆盖超过40 万台物联网设备的僵尸网络对一家流媒体应用程序进行了为期 13 天的分布式拒绝服务（DDoS）攻击。 攻击始于 4 月 24 日，黑客针对身份验证组件的攻击最高达到了每秒292,000 次，使其成为了最大的第7层 DDoS 攻击之一。 负责应对此次攻击的 Imperva 公司在攻击期间始终运行该服务，并观察了来自402,000个不同IP地址的请求。 该公司在今天的一份报告中称，大多数攻击设备都位于巴西，并指出这是他们所处理的最大的第7层DDoS攻击。 “为了掩盖他们的攻击，攻击者使用了与此公司的客服应用程序相同的用户代理。” 因为攻击者拥有数量庞大的机器用来发起进攻，蛮力保护在这种情况下不会起作用。当攻击数量达到系统限制时，机器们就会等待一段时间然后再继续攻击。 这种技术被命名为“low and slow”，因为攻击者需要较长时间才能实现其目标，但由于通过模仿合法用户活动进行攻击，此种攻击方式因此也更难以防御。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究人员发现了一些有史以来最先进、功能最全面的移动监视软件。自 2016 年 3 月以来，这种被称作 Monokle 的 Android 应用程序就已经被发现。据说 Monokle 由俄罗斯国防承包商开发，旨在帮助该国情报机构干预 2016 美总统大选。安全研究机构 Lookout 发布的一份报告称，Monokle 使用了几种新式手段，包括修改 Android 可信证书存储区，可通过互联网 TCP 端口、电子邮件、短信或电话通信下达指令和控制网络。 Monokle 将自己伪装为正常应用图标（题图 via ARSTechnica） 更令人意想不到的是，Monokle 提供了离线监控功能，即便在互联网连接不可用的情况下，该软件也能够正常工作。下面是 Lookout 披露的 Monokle 的完整功能： ● 检索日历信息，包括事件名称、时间、地点等描述； ● 针对 HTTPS 流量和其它受 TLS 保护的通信的中间人攻击； ● 收集 WhatsApp、Instagram、VK、Skype、imo 的帐户信息和检索消息； ● 通过短信或指定的控制电话发送关键字（控制短语）和接收外带消息； ● 将短信发送给攻击者指定的号码； ● 重置用户密码； ● 录制环境音频（并可制定高 / 中 / 低音质）； ● 拨打电话； ● 通话录音； ● 检索流行办公应用的文档文本； ● 拍摄照片、视频和截图； ● 记录包括手机解锁 PIN 码在内的密码； ● 检索加密盐，以帮助获取存储在设备上的 PIN 码等密码； ● 接受来自一组指定电话号码的命令； ● 检索联系人、电子邮件、通话记录、浏览历史记录、帐户和相应的密码； ● 获取包括品牌、型号、功率级别、Wi-Fi 或移动数据连接、屏幕开启或关闭等在内的设备信息； ● 若设备已开启 root 权限，Monokle 可以 root 身份执行任意 shell 命令； ● 追踪设备位置； ● 获取附近蜂窝基站信息； ● 获取已安装应用列表； ● 获取附近 Wi-Fi 详情； ● 删除任意文件； ● 下载攻击者指定的文件； ● 重启设备； ● 卸载自身并删除受感染手机中的所有痕迹。 基于对某些 Monokle 样本的分析，Lookout 研究人员猜测还有针对苹果 iOS 设备开发的 Monokle 版本。 开发者可能无意中将某些 iOS 控制代码添加到了 Android 示例中，可针对密钥字符串、iCloud 连接、Apple Watch 加速度计数据、iOS 权限、以及其它 iOS 功能或服务。 之所以将这类恶意软件称作 Monikle，是因为它包含了所谓的 monokle-agent 组件。尽管目前 Lookout 研究人员尚未发现任何 iOS 样本，但其认为它们可能正在开发过程中。 Monokle 恶意软件样本的签名日期排布（图自：Lookout） Lookout 研究人员认为 Monokle 与圣彼得堡的 STC 公司有特殊的联系，时任美国总统奥巴马曾对这家俄罗斯国防承包商施加过制裁，理由是其涉嫌干预 2016 美总统大选。 有线索表明，Monokle 与 STC 的控制服务器有连接，且后者的加密证书被用于该恶意软件的样本签名。此外，Monokle 的复杂性表明，其背后或有政府力量在提供暗中支持。 Lookout 还举了 PegASUS 这个例子，这款由以色列开发的针对 iOS 和 Android 设备的强大间谍应用程序，曾于 2016 年被用于对抗阿联酋的不同政见者、并于今年被再次用于英国律师。 Lookout 安全情报高级经理 Christopher Hebeisen 在接受 ArsTechnica 采访时称，我们又一次见到了有国防承包商来生产一种用于监视移动设备用户的高度复杂的恶意软件。 Lookout 指出，这样的行为，会对移动设备造成极高的被攻击风险。不过研究人员也发现，Monokle 被伪装成了极少数的应用程序，表明该监视工具是专门为攻击有限数量的特定人群而开发的。 根据 App 的名称和图标，Lookout 列出了 Monokle 潜在攻击目标的一些特征 —— 某教信众、居住在东欧高加索和附近地区、对一款名叫 UzbekChat 的消息应用程序感兴趣。 其表示，大多数应用程序都被打包进了合法的功能，以防止用户对这款恶意软件产生怀疑。   （稿源：cnBeta，封面源自网络。）

微软用户正成为新恶意软件活动的目标，其目的是感染设备后通过安插TrickBot木马窃取密码。一个外观看起来非常像微软官方的假Office 365页面提供了一个用于部署恶意软件包的虚假浏览器更新。MalwareHunterTeam的专家发现，该页面经过了精心设计，看上去尽可能相似，以至于它甚至包含指向微软官方域名的链接。 但是，在登录页面几秒钟后，恶意网站将向用户提供适用于其浏览器的警告，并建议下载并安装更新。 Google Chrome和Mozilla Firefox用户可以收到特别为他们定制的，让人疑惑的页面上。最经常看到的提示时“您使用的是较早版本的Chrome浏览器”，使用Google Chrome浏览网页的设备上会显示这一消息。 该警告的名称为Chrome Update Center或Firefox Update Center，具体取决于所使用的浏览器。 用户下载“更新”后，它会部署TrickBot特洛伊木马程序，该马程序专门查找浏览器中存储的密码，浏览历史记录和自动填充数据。它还可以创建已安装程序的列表以及遍历在设备上运行的Windows服务，然后将所有被盗信息传输到服务器，恶意软件通过安装到Windows的svchost.exe进程中来避免检测，这让用户在手动检查恶意进程时更加困难，尽管防病毒解决方案应该能够阻止它。   （稿源：cnBeta，封面源自网络。）