据外媒报道，本周初发生在本田的网络攻击迫使这家日本汽车制造商关闭了其位于美国俄亥俄州和土耳其的一些汽车厂以及印度和南美的一些摩托车工厂。此次攻击发生在北美工厂重新开放不到一个月后，这些工厂此前因新冠疫情而已将工作地点改为在家办公。 现在，本田公司发言人宣布，受到攻击的工厂已经恢复生产。巴西和印度的工厂已于周三恢复生产。但发言人指出，公司的一些北美在线金融服务和呼叫中心将继续停止服务。但在俄亥俄州的主要工厂的汽车产量工作已于周四恢复正常。 据悉，周一的网络攻击是本田全球网络遭遇到的第二次攻击，第一次则是在三年前席卷全球的WannaCry网络攻击。 值得庆幸的是，在这次攻击中，客户的个人信息没有被泄露，本田发言人对此作出了 澄清，然而遗憾的是他并未对因产量下降而造成的损失发表任何评论。     （稿源：cnBeta，封面源自网络。）

OmniBallot是美国几十个司法管辖区都在使用的选举软件。除了递送选票和帮助选民标记选票外，它还包括一个在线投票的选项。至少有三个州，西弗吉尼亚州、特拉华州和新泽西州已经或计划在即将举行的选举中使用该技术。俄勒冈州和华盛顿州的四个地方司法管辖区也使用在线投票功能。但麻省理工学院的迈克尔-斯佩克特和密歇根大学的亚历克斯-哈尔德曼这对计算机科学家的新研究发现，该软件安全保护措施不足，对选举的完整性造成了严重的风险。 OmniBallot背后的公司Democracy Live在给Ars Technica的邮件回复中为其软件辩护。Democracy Live首席执行官Bryan Finney写道：”报告没有发现OmniBallot的任何技术漏洞”。从某种意义上来说，这是真的，研究人员并没有在OmniBallot代码中发现任何重大漏洞。但这也忽略了他们分析的重点。软件的安全性不仅取决于软件本身，还取决于系统运行环境的安全性。例如，如果投票软件运行在被恶意软件感染的电脑上，就不可能保证投票软件的安全。而在美国，有数百万台电脑被恶意软件感染。 这个问题现在特别紧迫，因为正在进行的COVID-19大流行迫使选举官员对选举程序作出重大改变。目前，大多数使用OmniBallot软件的司法管辖区都没有使用其 “电子选票传递 “功能。但启用该功能只需更改配置即可。选举官员有可能在远程投票更容易的压力下，决定在今年11月大选中启用该软件的在线投票功能。 Specter和Halderman取得了OmniBallot软件的副本，对其进行了逆向工程，然后创建了模仿真实服务器行为的新服务器软件。这使他们能够在不冒干扰真实选举的情况下对软件进行实验。他们发现，OmniBallot提供了一些不同的功能，州选举官员可以选择向选民提供。最基本的是空白选票交付功能，可向选民提供可打印出来并寄回投票站的PDF选票。各地也可提供选票标记功能，在选票打印出来之前，代选民标记。这可以让失明选民独立填写选票。它还可以防止多投，并警告选民没有投票。 但是Specter和Halderman认为这种能力会带来一些额外的风险。恶意软件可以被编程成在很短的时间内切换投票。理论上，选民应该在投递选票前检查选票是否正确，但研究表明，选民对此并不严格。霍尔德曼和其他人的一项研究发现，在一次现实的模拟选举中，只有6.6%的选民向选举监督人报告了投票的变化。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/sRE5CyyEutzs_Z9BDdyGnA 一、概述 腾讯安全团队检测到Phorpiex僵尸网络病毒在国内近期较为活跃，该病毒的新版本增加了对感染32位PE文件（一种可执行文件）的能力，被感染的可执行文件被添加.zero恶意后门节代码，同时该病毒移除了检测虚拟机环境的相关代码。当已被感染的32位PE文件（通常是EXE可执行程序文件）在正常无毒的电脑中运行时，将会下载执行Phorpiex病毒主模块，实现病毒在不同电脑之间的感染传播。腾讯安全还检测到Avaddon勒索病毒使用Phorpiex僵尸网络的基础设施分发投递。 PE感染特性将导致Phorpiex僵尸网络病毒增加更多传播途径，如：已被感染的PE可执行文件可能通过移动设备的交换传播；带毒程序如果感染网站服务器，访客电脑可能通过网站下载被感染。 我们知道，感染型病毒曾经在WinXp之前的时代比较多见，现在已很少见，网民对这类病毒变得比较陌生，会有利于Phorpiex僵尸网络病毒通过网络或移动存储介质交换感染扩散。 Phorpiex僵尸网络传播途径较多，总结一下，主要有以下几种： 通过被感染的U盘、移动硬盘传播； 通过网站Web服务目录下被替换的文件下载传播； 通过被感染的压缩包文件传播； 通过VNC爆破传播； 通过感染32位PE可执行程序文件传播（新增） Phorpiex僵尸网络病毒主要通过投递、分发其它恶意病毒木马来获利。包括：挖矿木马、盗窃虚拟币的木马、群发诈骗邮件敲诈虚拟币、为其他勒索病毒提供分发渠道等等。腾讯T-Sec终端管理系统（御点）及腾讯电脑管家均可查杀Phorpiex僵尸网络病毒。 二、样本分析 被感染文件： 观察被感染后的文件可知新增了.zero节数据，运行被感染的可执行文件将会首先执行新增的恶意代码部分，再跳转到OEP处执行程序的原始功能，从而实现新的感染。 新增节内感染代码首先判断%appdata%\winsvcs.txt文件是否存在，文件属性是否隐藏。winsvcs.txt名的隐藏文件为Phorpiex病毒攻击成功后的标记文件，病毒通过检测该文件的属性来避免对已中毒主机的反复感染。 当感染代码判断该主机未被感染过，则从C2地址：88.218.16.27处拉取pe.exe模块到tmp目录执行，该文件后分析为Phorpiex病毒主文件。 拉取执行PE.exe病毒主文件完毕后，感染代码最终通过 PEB->ldr->InLoadOrderModuleList获取到当前模块基址后计算出原始未感染前入口代码地址跳转执行，以确保感染病毒后的可执行程序能正常运行。 Phorpiex僵尸网络主病毒文件： 88.218.16.27处拉取的pe.exe模块同样为加壳程序文件，内存Dump后可知，该模块为Phorpiex僵尸网络主传播模块。 该版本的Phorpiex主模块相比较老版本，在入口处的环境检测中相关代码中，将反虚拟机功能取消，只保留了反调试功能，这也意味着虚拟机环境下Phorpiex病毒也会从C2服务器下载恶意代码运行。 该版本的Phorpiex除作为downloader推广其它恶意程序外，自身主要创建4个功能线程： 线程1（老功能） 线程2（老功能） 线程3：（老功能） 线程4（新增） 感染文件过程过程是在%systemdrive%系统盘内展开的 感染目标为后缀.exe的PE类型文件，同时如果系统目录内文件绝对路径包含以下关键字符，不对其进行感染。以免感染到系统文件导致程序运行出错，从而避免被用户过早发现。 病毒感染时会排除含以下关键词的目录：windows，sys，$recycle.，service，intel，micro，boot，driver，recovery，update，drv。 文件名感染排除关键词：.exe.，win，sys，drv，driver，$，drivemgr.exe等。 感染过程采取文件映射方式，根据其感染代码可知，病毒对PE-64进行了排除，只感染32位文件。虽然如此，但由于当前Windows平台下多数软件为了兼容性未提供x64版本，故病毒依旧能够感染到大量的文件。病毒感染完成后会将内置的zero_code代码作为附加节数据添加到被感染文件中，zero_code中硬编码了一个0xCCCCCCCC常量，该常量在zero_code节代码拷贝完成后进行动态查找然后修改为原始程序OEP。 Avaddon勒索病毒与Phorpiex僵尸网络的关联 腾讯安全还捕获到通过邮件附件传播的伪装成图片的恶意样本。 附件包内图片扩展名的隐藏文件，实际为js脚本文件，只需要在文件夹选项中打开查看已知文件的扩展名。 脚本文件将会使用Poweshell或者Bitadmin尝试从217.8.117.63地址下载名为jpr.exe的文件执行，该投递方式疑为Phorpiex僵尸网络的手法。 通过腾讯安图大数据威胁情报管理可知，IP：217.8.117.63，确实为Phorpiex僵尸网络基础设施。 下载的jpr.exe经鉴定为新型Avaddon勒索病毒。 IOCs MD5: e28c6a5e9f89694a0237fe4966a6c32c 04deb3031bd87b24d32584f73775a0a8 4c7b7ce130e2daee190fc88de954292d c9ec0d9ff44f445ce5614cc87398b38d IP: 88.218.16.27 217.8.117.63 Domain: tldrbox.top tldrbox.ws URL: hxxp://88.218.16.27/1 hxxp://88.218.16.27/2 hxxp://88.218.16.27/3 hxxp://88.218.16.27/4 hxxp://88.218.16.27/5 hxxp://88.218.16.27/v hxxp://tldrbox.top/1 hxxp://tldrbox.top/2 hxxp://tldrbox.top/3 hxxp://tldrbox.top/4 hxxp://tldrbox.top/5 hxxp://tldrbox.top/v hxxp://tldrbox.ws/1 hxxp://tldrbox.ws/2 hxxp://tldrbox.ws/3 hxxp://tldrbox.ws/4 hxxp://tldrbox.ws/5 hxxp://tldrbox.ws/v hxxp://217.8.117.63/jpr.exe 参考链接 https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q https://mp.weixin.qq.com/s/3kyLkoBd9K-5_VSk5Nnb6A            

  根据麻省理工学院和密歇根大学的计算机科学家周日发表的一篇研究论文，一种名为OmniBallot的在线选票传递和投票服务在几个层面上存在安全漏洞。《纽约时报》首次报道的这篇论文称，软件制造商Democracy Live让选票容易被操纵，收集敏感的选民信息，并且在选票在互联网上传播时无法控制标记的选票。因此，该文件总结道该公司无法证实中途是否被操纵。 调查结果不包括具体的软件漏洞，而是得出结论，交付选票和接收回票的过程可能太容易被操纵。一个漏洞来源来自于该软件对第三方软件和服务的依赖，包括亚马逊、谷歌和Cloudflare等公司的软件和服务，而Democracy Live并不控制这些软件和服务。 “我们发现，OmniBallot使用了一种简单化的互联网投票方式，很容易被选民设备上的恶意软件以及内部人员或其他攻击者操纵投票，这些攻击者可以入侵Democracy Live、亚马逊、谷歌或Cloudflare，”研究人员在论文中说。 此外，研究人员并没有找到隐私政策，解释Democracy Live如何保护用户的身份、选票和可以在线识别用户身份的技术数据。 针对该报告，Democracy Live告诉CNET，其计划在其投票门户上提供隐私政策，供选民查看。Democracy Live还将在其系统未来的所有部署中提供投票验证工具。该公司还表示，虽然研究人员表示，不应该让选民选择以电子方式返回已标记的选票，但大多数州都要求像Democracy Live这样的供应商提供这一选项。该公司表示，OmniBallot电子退票系统比使用电子邮件附件或传真系统退票更安全，这些都是选民获得的其他选择。 最后，Democracy Live强调，其技术是为残障人士设计的，对他们来说，持有、阅读和标记纸质邮寄选票可能不是一个选择。“没有任何技术是‘防弹的’，”Democracy Live首席执行官Bryan Finney告诉《纽约时报》。“但我们需要能够让被剥夺权利的人获得选举权。” 这项研究凸显了围绕网络投票的问题，网络安全专家和美国国土安全部表示，网络投票存在着被黑客攻击和操纵的高风险。该研究结果也是在对邮寄投票以及处理选举的最佳方式，同时最大限度地减少COVID-19的传播进行激烈辩论的时候出现的。 最近美国有三个州表示将使用OmniBallot。研究人员能够在7个州和另外11个州内的98个较小的地方找到投票服务的网址，其中包括华盛顿州的一个县级保护区，此前有报道称他们使用了在线投票系统来提高选民投票率。 研究人员发现，OmniBallot在选民的网络浏览器上工作。选民验证身份后，会收到一份PDF格式的选票。根据他们的位置，选民可以打印空白选票，以电子方式标记选票，然后打印出来传真或邮寄，或者标记选票，然后在线提交。     （稿源：cnBeta，封面源自网络。）

5月29日，我们发现了一起网络攻击事件，我们认为这该事件是由一名叫做Higaisa的渗透攻击黑客发起的。有关信息显示：Higaisa APT与朝鲜半岛有关，并于2019年初被腾讯安全威胁情报中心进行了首次披露。 该小组的活动可以追溯到2016年，活动内容包括使用特洛伊木马（例如Gh0st和PlugX）以及移动恶意软件，活动目标包括政府官员、人权组织以及与朝鲜有关的其他实体企业。 在近期的攻击活动中，Higaisa使用了一个恶意快捷文件，该文件最终导致了一个包含恶意脚本、有效载荷和欺诈PDF文档内容的多阶段攻击行为。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1235/     消息来源：malwarebytes， 译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

现代加密技术令人们可以在传输和存储过程中保护敏感数据，但在数据处理时，却几乎无法对其进行保护。而完全同态加密（Fully Homomorphic Encryption，FHE）技术能够解决这一难题，它允许在保持加密状态的情况下对数据进行操作，最大程度上降低了数据暴露的风险。 起初，允许对加密数据进行处理的密码方案仅限于部分同态方案，该方案只能支持一种基本操作，即加法或乘法，无法同时支持两者。2009 年，IBM 在这方面取得了重大进展，并发明了完全同态加密，它同时支持两种基本操作，因此可以在不访问数据的情况下进行数据处理。结合其他技术，FHE 还可以有选择地限制解密功能，人们只能看到他们有权访问的文件部分。近年来，由于算法的发展，完全同态加密已达到拐点，其性能正在变得更加实用。 FHE 在许多用例中都具有重大前景，包括但不限于：从私人数据中提取价值（例如分析用户数据）、数据集交集、基因组学分析、不显示意图的查询和安全的外包。IBM 指出，FHE 特别适合金融和医疗保健等行业，因为该技术可以广泛共享财务信息或患者健康记录，同时限制了对除必要数据以外的所有数据的访问。 但 FHE 的要求会使开发者所习惯的编程范例发生变化，将它集成到应用程序中不是一件易事。因此，IBM 开发并开源了一套工具包，帮助开发人员简单、快速地启用这项技术。 目前，适用于 MacOS 和 iOS 的新 FHE 工具包已发布，Linux 和 Android 的将于数周之内提供。根据 IBM 的介绍，每个工具包都基于 HELib（世界上最成熟、功能最全的加密库），其中包含一些示例程序，可简化基于 FHE 的代码的编写。iOS 工具包还提供了对加密数据库的隐私保护搜索的简单演示。 IBM 表示，希望尽快将这项技术推出去，交付给早期采用者；希望在建立用户和用例社区时，这些概念变得不那么抽象，更具体。     （稿源：开源中国，封面源自网络。）

DDoS 租用服务 vDOS 目前已经停止运行，在过去四年中帮助付费客户发起了超过 200 万次分布式拒绝服务（DDoS）攻击，让无数互联网用户和网站陷入离线状态。近日该服务的联合创始人 Yarden Bidani 和 Itay Huri 被以色列法院判处六个月的社区服务。 在 FBI 对 vDOS 服务深入调查之后，锁定了犯罪嫌疑人 Yarden Bidani 和 Itay Huri，两人均为以色列公民，在 2016 年被捕的时候年仅 18 岁。 在 2016 年服务关闭之前，vDOS 是业内最可靠、最强大的 DDoS 租用或者“booter”服务，即使是完全不熟练的互联网用户也能付费发起击垮大多数网站的瘫痪攻击。 在广告宣传中，vDOS 宣称能够以每秒50千兆比特的数据（Gbps）发起攻击。对于那些没有使用昂贵的反DDoS保护服务网站，这足以使其瘫痪。 在这份以希伯来语撰写的量刑备忘录（PDF）中，尽管已经对两名被告使用了化名，但依然能从文件的诸多线索中确定被告的身份。例如，两名被告在运营 vDOS 服务期间非法所得超过60万美元。     （稿源：cnBeta，封面源自网络。）

今天苹果发布了 iOS/iPadOS 13.5.1 以及 watchOS 6.2.6系统更新，对两周前发布的 iOS/iPadOS 13.5进行了安全修复。在安全更新日志中明确提及了 unc0ver 越狱使用的漏洞，因此想要越狱的用户尽量不要升级。 iOS/iPadOS 13.5.1本次更新的安装包容量为77.5MB，主要还是安全方面的改进，不过引入的新功能之一就是Apple Pay支持中国香港地区的八达通了。 此外watchOS 6.2.6更新容量为54.4MB，同样是重要的安全性更新，推荐用户尽快安装升级。从iOS 13.5.1、iPadOS 13.5.1和watchOS 6.3.6更新的补丁说明中可以看出，内容主要由安全更新组成。从版本号的增量也可以看出，它们的更新范围不大，功能和特性变化的可能性不大。     （稿源：cnBeta，封面源自网络。）

加密消息应用 Signal 备受英国保守党议员的欢迎。Signal 的一个受欢迎的功能是它可用设定在消息阅读五秒钟或一周之后自动在接受者设备上删除。端对端加密的性质意味着自动删除的消息将会永久消失，即使有法官的命令也无法恢复。 这就引发了有关《信息自由法案（FOIA）》的争议。在递交信息披露申请之后手动删除信息是违法的，但如果记录已经删除，或者在信息披露申请之后自动删除，那么这并没有违反法律。 未来的历史学家如何想调查英国政府如何应对疫情，他们可能会看到一个标记为 Signal 的空盒子。     （稿源：solidot，封面源自网络。）

OpenSSH是最受欢迎的连接和管理远程服务器实用工具之一，近日团队宣布计划放弃对SHA-1认证方案的支持。OpenSSH在公告中引用了SHA-1散列算法中存在的安全问题，被业内认为是不安全的。该算法在2017年2月被谷歌密码学专家破解，可利用SHAttered技术将两个不同文件拥有相同的SHA-1文件签名。 不过当时创建一个SHA-1碰撞被认为需要非常昂贵的计算成本，因此谷歌专家认为SHA-1在实际生活中至少还需要等待半年的时间，直到成本进一步下降。随后在在2019年5月和2020年1月发布的研究报告中，详细介绍了一种更新的方法，将SHA-1选择-前缀碰撞攻击的成本分别降低到11万美元和5万美元以下。 对于像国家级别以及高端网络犯罪集团来说，让他们生成一个SSH认证密钥，从而让它们能够远程访问关键服务器而不被检测到，那么5万美元的代价是非常小的。OpenSSH开发者今天表示：“由于这个原因，我们将在不久的未来版本中默认禁用‘ssh-rsa’公钥签名算法。” OpenSSH应用程序使用 “ssh-rsa “模式来生成SSH验证密钥。这些密钥中的一个存储在用户要登录的服务器上，另一个存储在用户的本地OpenSSH客户端中，这样用户就可以在每次登录时不需要输入密码就可以访问服务器，而是以本地验证密钥来代替登录。 在默认情况下，OpenSSH ssh-rsa模式通过使用SHA-1散列功能生成这些密钥，这意味着这些密钥容易受到SHAterred攻击，使威胁行为者能够生成重复的密钥。OpenSSH开发者今天表示：“遗憾的是，尽管存在更好的替代方案，但这种算法仍然被广泛使用，它是原始SSH RFCs规定的唯一剩下的公钥签名算法”。 OpenSSH团队现在要求服务器所有者检查他们的密钥是否已经用默认的ssh-rsa模式生成，并使用不同的模式生成新的密钥。OpenSSH团队表示，推荐的模式是rsa-sha2-256/512（自OpenSSH 7.2以来支持）、ssh-ed25519（自OpenSSH 6.5以来支持）或ecdsa-sha2-nistp256/384/521（自OpenSSH 5.7以来支持）。     （稿源：cnBeta，封面源自网络。）