有关研究报告显示，双枪恶意程序的僵尸网络利用国内的常用服务进行管理。该僵尸网络的数量超过了 10 万。研究人员观察到双枪恶意程序使用百度贴吧图片来分发配置文件和恶意软件，使用了阿里云存储来托管配置文件，利用百度统计管理感染主机的活跃情况，恶意程序样本中还多次发现了腾讯微云的 URL 地址。 它第一次将 BAT 三大厂商的服务集成到了自己的程序中。百度已经采取行动阻断恶意代码下载链接，以下为报告全文。 概述 近日，我们的域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算，感染规模超过100k。我们通过告警域名关联到一批样本和 C2，分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击，但每次都能死灰复燃高调复出，可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大，导致互联网监测数据异常，触发了netlab的预警系统。本报告中我们通过梳理和这些URL相关的C2发现了一些模式，做了一些推测。 我们观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件，还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性，加大阻拦难度，开发者还利用百度统计这种常见的网络服务来管理感染主机的活跃情况。同时我们在样本中多次发现了腾讯微云的URL地址，有意思的是我们在代码中并没有找到引用这些地址的代码。至此，双枪团伙第一次将BAT三大厂商的服务集成到了自己的程序中，可以预见使用开放服务来管理僵尸网络或将成为流行趋势。有必要澄清的是，这些公开服务本身均为技术中立，此恶意代码中滥用这些公开服务完全是其作者的蓄意行为，各主要互联网公司均在用户许可中明确反对并采取措施抵御这些恶意滥用行为。 5月14日起，我们联系到了百度安全团队，采取了联合行动，对该恶意代码的传播范围做了度量，并采取了抵御措施。截止本文发稿，相关的恶意代码下载链接已经被阻断。百度安全团队对该事件的声明见文末。 IOC关联分析 从告警域名入手，通过DNS解析记录和样本流量分析建立IOC关联，过滤掉孤立和噪音节点，我们找到了一组与此次传播活动有关的关键C2。从下面截取的部分IOC关联图可以看出，几乎所有的域名都和两个关键的ip 地址 125.124.255.20 和 125.124.255.79 有关，围绕这两个ip地址，双枪团伙从19年下半年开始依次启用了一批域名来控制和下发恶意程序。事实上这个团伙长期且稳定的控制了大量 125.124.255.0/24 网段的ip地址，可以看出他们拥有非常丰富的网络资源。 通过样本溯源可以看到，这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端，具体感染方式大体分为两种，下面进行深入分析。 感染方式1 — 启动器内包含恶意代码   阶段1 — 下载并加载cs.dll恶意文件 各类私服入口 点击下载链接跳到私服主页 登录器下载 “蟠龙军衔.zip” 含恶意代码的私服客户端启动器被用户下载并执行，恶意代码访问配置信息服务器，然后根据配置信息从百度贴吧下载并动态加载名为 cs.dll 的最新版本恶意程序。cs.dll 中的敏感字串使用了一种变形的 DES 加密方法，这种加密算法和我们之前捕捉到的双枪样本高度相似。我们从样本主体 exe 文件入手，逐步分析上述恶意行为。 文件结构 “蟠龙军衔.exe” PE Resource 中包含 7 个文件，Widget.dll 是客户端组件，资源文件中的cs.dll 是旧版的恶意程序。4 个 .sys 文件是私服客户端的驱动程序，虽然命名为Game Protect，但我们在代码中发现了劫持流量插入广告的代码。 下载配置信息 启动器创建线程访问加密配置文件 http://mtdlq.oss-cn-beijing.aliyuncs.com/cscsmt.txt 页面包含 8 行 16 进制字串，与密钥 B2 09 BB 55 93 6D 44 47 循环异或即可解密。 解密后是 8 个百度贴吧图片的地址。 下载图片文件切割并重组 cs.dll 文件 直接访问图片地址，图片文内容看起来像是随机生成的。 恶意程序会下载图片文件，每张图片使用 ><>>>< 为标记来分隔图像数据和恶意代码数据。 把所有恶意代码拼接起来我们得到了阶段 2 的恶意程序 cs.dll。 恶意程序通过内存映射的方式加载上述 cs.dll，然后调用导出函数 abcd() 进入阶段 2 ，所以并没有文件落地。 阶段2 — 上报主机信息，释放并加载恶意驱动 cs.dll 会进行一些简单的虚拟机和杀软对抗，利用百度统计服务上报 Bot 信息，释放第 3 阶段 VMP 加壳的驱动程序（包含x86/x64两个版本）。 DES 解密算法 样本中的 DES 解密算法为恶意软件作者自定义实现，加密模式为 CBC，无填充。DES 加密算法的转换表与旧版（“双枪”木马的基础设施更新及相应传播方式的分析）相同 。本次恶意活动涉及的 DES 解密，都涉及 2 层解密，第一层解密，先以 Base64 算法解码字符串 dBvvIEmQW2s= 得到一份二进制数据，再以空密钥 \x00\x00\x00\x00\x00\x00\x00\x00 对上述二进制数据解密，得出字串 helloya\x00，再以此字串作为密钥，用自研 DES 算法解密其他大量密文数据。完整的解密过程如下： 检查虚拟主机环境 VM 和 WM 通过检查注测表项判断是否是 VMWare 主机，如果是 VM 主机代码则直接返回。 创建 Bot ID 使用系统 API 创建主机的 Bot ID，写入注册表 SOFTWARE\\PCID， 利用百度统计服务管理 Bot 恶意软件的开发者借用了百度统计接口的一些标准字段来上报主机敏感信息，利用百度统计这种常见的网络行为来管理感染主机的活跃情况。因为百度统计服务被大量网站使用，从流量上看是一套合规的浏览器网络行为，所以很难将其区分出来，加大了安全厂商打击的难度。 恶意程序首先使用一个名为 DataWork() 的函数伪造浏览器请求，下载 hm.js 脚本。 保存返回信息中的用户 Cookie 信息 HMACCOUNT 到注册表。 通过 http://hm.baidu.com/hm.gif? 接口，恶意程序将提取到的统计脚本的版本信息this.b.v、用户 Cookie 信息、bot_id 和伪造的其它统计信息组包上报，恶意软件开发者使用百度统计的后台可以方便的管理和评估感染用户。 从 Dat 资源解密，创建，安装驱动 检查是否安装了 XxGamesFilter 等私服客户端驱动。 根据安装情况和操作系统版本选择不同的资源 ID，每一个资源对应不同版本的驱动（32 位系统使用 ID 为 111 或 109 资源，64 位系统使用 ID 为 110 或 112 的资源）。 资源是简单加密过的，以解密 32 位驱动为例，首先倒转数据顺序，然后逐字节和系统版本数值 32 异或，得到一个 VMP 加壳的驱动文件。 测是否存在 TeSafe 驱动，如果存在刚中断感染流程。计算 TeSafe+{Computer Name} 的 MD5 值，检测是否存在名为该 MD5 字串的驱动，如果存在说明系统已经被感染过，也会中断感染流程。 //拼接字串 +00   54 65 53 61 66 65 2B 57 49 4E 2D 52 48 39 34 50      TeSafe+WIN-RH94P        +10   42 46 43 37 34 41 00 00 00 00 00 00 00 00 00 00      BFC74A..........        //拼接字串的MD5值  +00   46 34 36 45 41 30 37 45 37 39 30 33 33 36 32 30      F46EA07E79033620        +10   43 45 31 33 44 33 35 44 45 31 39 41 41 43 34 32      CE13D35DE19AAC42 如果系统 EnableCertPaddingCheck 注册表项关闭，则替换文件末尾 16 字节为随机数据。这样每个感染主机上的样本 HASH 值完全不一样，可以对抗基于 HASH 查杀的方案。 将驱动程序释放到 TEMP 目录下，文件名为长度为 7 的随机字符串。例如："C:\Users\{User Name}\AppData\Local\Temp\iiitubl" 注册驱动文件启动服务并检测安装是否成功。 阶段3 — 劫持系统进程，下载后续恶意程序 驱动运行后会拷贝自己到 Windows/system32/driver/{7个随机字符}.sys ，伪造驱动设备信息为常见的合法驱动，如 fltMgr.sys ，向系统进程 Lassas.exe 和 svchost.exe 注入 DLL 模块。完成整个初始化过程后，就形成了一个驱动和 DLL 模块通过 DeviceIoControl() 通信合作来完成作务的工作模式，这是一个驱动级别的下载器。所有敏感的配置信息都保存在驱动内部，DLL 通过调用驱动来获得配置服务器相关信息，根据下载的配置信息去百度贴吧下载其它恶意代码，进行下一阶段的恶意活动。 驱动运行后用APC注入法向系统进程 Lassas.exe 注入 DLL 模块。 DLL 配合驱动的执行过程。 DLL 首先尝试创建互斥对象 {12F7BB4C-9886-4EC2-B831-FE762D4745DC} ，防止系统创建多个实例。 接着会检查宿住进程是否是 Lsass.exe 或 svchost.exe，确保不是运行在沙箱之类的分析环境中。 尝试创建设备 "\\.\F46EA07E79033620CE13D35DE19AAC42" 句柄，建立和驱动模块的通信。 向驱动发送 0x222084 设备控制码，获得连接服务器的配置信息。和配置服务器的通信使用 HTTPS+DES 的双重加密方式，配置信息包含三个重要的部分： 主机信息上报服务 https://cs.wconf5.com:12709/report.ashx，供 DLL 上报主机基本信息。 bot id，安装时间等基本信息。 是否安装 360 杀毒，是否是虚拟机环境。 是否是无盘工作站。 上报主机信息使用DES加密，密钥为 HQDCKEY1。 访问 https://cs.wconf5.com:12710/123.html 下载配置信息： 配置信息依然是变形 DES 加密，解密密钥为 HQDCKEY1。解密后可以看到配置信息使用自定义的格式，两个百度图片为一组，截取有效数据拼接为一个有效文件： 配置信息 https://share.weiyun.com/5dSpU6a 功能未知： 所有驱动样本返回的配置信息都包含一个腾讯微云地址，直接访问该地址可以看到若干字符和数字组成的无意义字串。我们在收集到的配置信息中发现，每组数据中的配置信息服务器和微云保存的数据存在特定的模式。以上图为例，访问腾讯微云，获取字符串 cs127，其同组数据中的配置文件服务器的子域为 cs.xxxx.com ，端口为127xx。这看起来像是一种动态生成配置文件服务器地址的策略，推测可能是还在开发阶段的功能，所以样本中并未包含对应代码。 完成上述初始化过程后，驱动开始根据配置文件进入真正的功能操作。根据解析的配置文件，dll和驱动模块配合可以完成非常复杂的功能，下面罗列其中一部分功能。 更新驱动文件 程序会使用另一套算法得到DES解密密钥 HelloKey，最后用 DES 算法解出最终数据： 劫持进程ip地址。 向系统中添加证书 下载文件到 TEMP 目录并创建进程。 篡改 DNS配置 PAC 代理劫持 感染方式2 — DLL 劫持 感染方式 2 依然是以私服客户端为载体，但是在技术细节上有较大差异。 登录器下载页面： 下载后的登录器： 多款类似游戏的私服客户端的组件 photobase.dll 被替换成同名的恶意 DLL 文件，恶意 DLL 文件的 PE  Resource 中包含 3 个关键文件： 恶意 photobase.dll 有两个关键动作： 首先会释放相应架构的恶意驱动程序，然后注册系统服务并启动； 然后加载真正的 photobase.dll 文件，并将导出函数转发到真正的 photobase.dll。 后续感染流程同上。 这是一套标准的 DLL 劫持加载方式。 阶段1 — 释放并加载恶意驱动 恶意 photobase.dll 文件会首先为即将释放的恶意驱动文件生成一个随机文件名，文件名为 10 个随机字符，文件后缀为 .dat，并把自身 PE Resource 中相应的驱动文件放到 %windir%\Temp\ 目录下。 然后为落地的恶意驱动文件注册系统服务，并启动服务： 恶意驱动接下来的活动与前面第一种感染方式雷同，即下载、解密并最终加载其他恶意文件。 阶段2 — 加载真 photobase.dll 在恶意 photobase.dll PE Resource 中的真 photobase.dll 文件的前 2 个字节被置空： 恶意 photobase.dll 从 PE Resource 中提取这份文件的时候，会把这前 2 个字节以 MZ(PE 文件头) 填充： 然后，恶意的 photobase.dll 文件会为刚载入的真正的 photobase.dll 文件载入动态链接库、导入相关函数，最后，把真 photobase.dll 中的导出函数转发到自己的导出函数中。部分转发的导出函数如下： 以上面高亮的导出函数 Sqm::AddToStream() 为例，恶意 photobase.dll 中的转发实现如下： 相关安全团队声明 基于海量威胁情报，百度安全反黑产开放平台配合测算出僵尸网络的规模。平台同时启动相关措施，尝试对受僵尸网络控制的用户进行风险提示。在本次联合行动中，通过黑产威胁情报分析、共享、应对等举措，我们对于双枪团伙的作案技术手段、逻辑及规则形成进一步认知。 相关附录：https://www.cnbeta.com/articles/tech/983871.htm     （稿源：solidot，封面源自网络。）

德国和法国的研究人员在预印本网站 arXiv 上发表论文（PDF），分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类：其一是在软件产品中植入恶意代码去感染终端用户，此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击。 攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新，这次攻击造成了数十亿美元的损失，是已知最具破坏性的网络攻击之一。 另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户，它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行，此类的攻击日益常见。 研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包，他们发现 56% 的软件包在安装时触发恶意行为，41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。     （稿源：solidot，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/GnXrOJ2Ep469c0WUbMplag   一、概述 腾讯安全威胁情报中心检测到一款名为FushenKingdee的勒索病毒正在活跃，已有企业遭受攻击。该病毒系Scarab勒索病毒的变种，会使用RSA+AES的方式对文件进行加密。病毒不仅会加密文件内容，同时还会使用RC4+非标准的Base64对文件名进行加密编码，被攻击后系统内文件将被修改为“固定名的编码数据.cov19”格式。 攻击者留下勒索信，要求联系指定邮箱FushenKingdee@protonmail.com购买解密工具。被该病毒加密破坏的文件，目前暂不能解密恢复，腾讯安全专家提醒用户小心处理不明邮件，政企用户须强化网络安全管理措施，避免受害。 FushenKingdee勒索病毒作者疑似来自俄语地区，病毒加密时会排除俄罗斯、白俄罗斯、乌克兰等地。根据攻击者在受害电脑残留的processhacker（一款安全分析工具），NetworkShare v.2.exe（网络共享扫描）等工具，腾讯安全专家推测攻击者不仅限于加密一台电脑，还有进行网络扫描横向扩散的意图，攻击者可能采用钓鱼邮件、弱口令爆破、或漏洞入侵等方式尝试入侵，再释放勒索病毒。 目前，腾讯电脑管家、腾讯T-Sec终端安全管理系统均可查杀FushenKingdee勒索病毒。 二、安全建议与解决方案 腾讯安全专家建议用户采取必要措施提升网络安全性，避免遭遇勒索病毒攻击。 企业用户 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆； 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问； 3、采用高强度的密码，避免使用弱口令密码，并定期更换。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理； 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器； 5、对重要文件和数据（数据库等数据）定期备份，至少保留一份非本地的备份； 6、建议企业终端用户谨慎处理陌生电子邮件附件，若非必要，应禁止启用Office宏代码； 7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。. 8、建议全网安装腾讯T-Sce终端安全管理系统（腾讯御点，https://s.tencent.com/product/yd/index.html）。 御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户 1、建议启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码； 2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 三、样本分析 FushenKingdee勒索病毒使用了复杂的加密流程，在没有获得私钥的情况下，无法完成解密，因而中招后会损失惨重。 加密部分分析 病毒运行后首先从内存中使用ZLib解压出大量要使用的明文字串信息，其中包含了硬编码的RSA 2048公钥信息。 随后生成本地RSA 512密钥对信息，将其RSA 512 Private Key（N , D）导出后拼接保存待用。 之后再使用解压后配置中硬编码的RSA 2048 Public Key对其RSA 512 Private Key进行加密，加密结果待进一步处理。 RSA 512 Private Key被加密后，再进行以下3个流程处理： 计算RSA 512 Private Key被加密后的内容长度：下图（Offset:0x0，Size: 0x8）； 对RSA 512 Private Key被加密后的内容进行CRC32校验，保存其Hash：下图（Offset:0x8,Size:0x4）； 将其RSA 512 Private Key被加密后的内容进行ZLib-Level 2压缩，去除其压缩前2字节压缩标志，去除尾5字节后保存（Offset:0xC,Size:压缩后大小）。 最后再对其处理后的3部分数据使用修改过的Base64进行编码： 标准Base64-Table为： ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 病毒修改后的Base64-Table为： ABCDEFGHIJKLMNOPQRSTUVWXYZ+=0123456789abcdefghijklmnopqrstuvwxyz 非标准Base64处理后的结果将保存作为用户ID，即勒索信中的personal identifier部分内容。 病毒加密文件前，会使用rdtsc对每个文件单独生成共计0x30（0x10+0x20两部分）字节的随机密钥数据。 其生成大小0x20字节部分会被首先作为Key，并结合使用RC4对其文件名进行加密 随后对RC4加密过的文件名数据进行非标准Base64编码，编码后的字串就是文件加密后的随机文件名，例如下图中文件名cef_100_percent.pak最终将被重命名为iDQbLSy99iHpsRqiT2f7kwmrQhhHKOcKFaq5TnhlZgEX5gLATUo.cov19 文件加密则使用了AES-256 CBC模式，之前生成的0x10字节数据将再次作为IV，0x20字节部分随机数据为作为Key，对文件内容进行加密。 文件内容加密完成后，再把随机生成的0x30字节数据拼接到一起使用本地生成的RSA 512 Public Key进行加密，最后附加到文件末尾，由于RSA 512 Private Key信息被硬编码RSA 2048 Public Key加密后再Zlib压缩Base64编码存放在勒索信中，无法获取其明文，故被加密文件在无私钥情况下无法解密。 其他行为分析 该病毒作者疑似来自俄语系国家，病毒加密会避开以下地域0x7（俄罗斯），0x177（白俄罗斯）,0x17C（乌克兰） 病毒会加密大量扩展后缀文件，几乎包括所有的数据文件类型： 由于病毒会删除系统备份，文件卷影信息，被加密后的文件也无法通过文件恢复的方式找回，系统内大量文件将被加密为”乱码.cov19”形式，且病毒会对文件修改时间进行重设置以防止时间相关的随机生成参数被爆破的可能。 在病毒的实际攻击环境中，同时还发现了攻击者留下的processhacker（一款安全分析工具），NetworkShare v.2.exe（网络共享扫描）等工具，这说明攻击者并不满足于只加密一台机器，攻击者还会尝试扫描攻击局域网内其它机器以扩大战果。 IOCs MD5 aa87be1b17d851905ea3fa5d93223912

DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制，它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。 DNS 解析程序不能向“名字”发送域名查询，因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址，之后才能继续查询域名。 NXNSAttack 就是基于这一原理，攻击者发送的委托包含了假的权威服务器名字，指向受害者的 DNS 服务器，迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次，对受害者服务器发动了拒绝服务攻击。 众多 DNS 软件都受到影响，其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。     （稿源：solidot，封面源自网络。）

近日，来自德国达姆施塔特大学的研究人员检查了 MagicPairing 协议，发现它的三种实现方式 iOS、macOS 和 RTKIT——在它们之间存在十个公开的缺陷，这些缺陷至今尚未得到解决。 苹果蓝牙保护框架：MagicPairing 协议 MagicPairing 是苹果的一种专有协议，它能够提供无缝的配对功能，例如在用户的 Airpods 和他们所有的苹果设备之间是通过通过苹果的云服务 iCloud 同步键来实现的。MagicPair 协议的最终目标是派生一个蓝牙链路密钥 (LK) ，用于单个设备和 Airpods 之间。为每个连接创建一个新的 LK ，这意味着可以有效地缩短此 LK 的生存期。 当一个新的或重置的一对 Airpods 最初与苹果设备属于 iCloud 帐户，安全简单配对(SSP)被使用，所有后续连接到 iCloud 帐户的 Airpod 和设备将使用作为配对机制的 Magicpair 协议。MagicPair 包含多个键和派生函数。它依赖于综合初始化向量( SIV )模式下的高级加密标准( AES )进行认证加密。 Magic Pairing 的一般逻辑是可以集成到任何基于的物联网生态系统中，从而增加对整个安全社区的相关性。 尽管 MagicPairing 协议克服了蓝牙设备配对的两个缺点:即可扩展性差和易崩溃安全模型缺陷。（如果永久密钥 Link Layer 或 Long-Term Key 受陷则会崩溃。） 但研究人员使用名为 ToothPicker 的代码执行无线模糊测试和进程内模糊测试后发现了 8 个 MagicPairing 和 2 个 L2CAP 漏洞，它们可导致崩溃、CPU 过载且配对设备关联取消。据外媒报道，这些信息是在2019 年 10 月 30 日至 2020 年 3 月 13 日期间披露的，目前尚未确定。 “由于 MagicPair 用于配对和加密前，因此它提供了庞大的零点击无线攻击面。我们发现所有的有不同实施都有不同的问题，包括锁定攻击和可导致百分之百 CPU 负载的拒绝服务。我们在开展通用的无线测试和 iOS 进程内模糊测试时发现了这些问题。” 10 个 0day 漏洞一直未修复，苹果未予置评 那么，这些漏洞本身的威胁来自哪里呢？ 首先是蓝牙堆栈本身的安全性。 苹果的每个堆栈都是针对单个设备类型的，并且支持一个特性子集。因此，它们支持的协议有重复的实现。虽然这种情况有助于逆转这些协议，但它增加了苹果公司的维护成本。从安全的角度来看，这会导致在这些堆栈中出现双向安全问题。 例如，RTKit 是一个单独的资源约束嵌入设备框架。用于苹果 AirPods 1、2和 Pro，Siri Remote 2，Apple Pencil 2 和 Smart Keyboard Folio 中，虽然这种分离用来减少功能是有意义的，但 iOS 和 MacOS 也有各自的蓝牙堆栈，由于它们是封闭的，而且只有很少的公开文档。但它在速度上是有限的，不提供覆盖。相比之下，iOS 进程中的模糊处理程序速度更快，不受连接重置的限制，但需要大量的平台专用接口调整。 也就是说，这三个蓝牙堆栈在实际实施中所面临的的攻击和 bug 也会不同。 其次是，零点击无线攻击面大。 Magicpairing 的无线攻击面相当大。首先，它是在配对和加密之前使用的。通过逻辑链路控制和适配协议( L2CAP )提供的 MagicPairing Providesa 连接，用于蓝牙内部的各种数据传输；第二, 通过对 IOS、MacOS、RTKit 的实现，进一步扩大了 MagicPair 攻击面。 最后是代码居然有拼写错误问题。 研究人员发现，苹果在 iOS 和 macOS 中的 MagicPairing 实现的日志信息和 macOS Bluetooth 守护进程 bluetoothd 函数名称中存在大量拼写错误。例如，棘轮和 upload 这两个单词在不同的时间被拼成了 diff。但研究人员认为，由于这些误读随堆栈的不同而不同，每个栈可能是由不同的开发人员实现的。虽然拼写错误和实现中的缺陷之间并不直接相关，但这让人认为代码并未仔细审查，开发工作很可能是外包完成的。 但总的来说，这些漏洞虽然存在，也并未修复，但影响不大。苹果也对此问题未予置评。     （稿源：cnBeta，封面源自网络。）

你的电脑很可能又被黑客盯上了。近日，据外媒报道，一名荷兰研究人员 Ruytenberg 展示了黑客如何通过 Thunderbolt 实施物理访问进而攻击电脑，并指出了 7 类漏洞 ： 固件验证方案不足 弱设备认证方案 未经验证的设备元数据的使用 使用向后兼容性降低攻击级别 未经验证的控制器配置的使用 SPI 闪存接口缺陷 在 Boot 营地没有雷电安全 研究者指出，这些漏洞适用于自 2011年以来所有装有 Thunderbolt 的计算机，并且允许拥有物理访问权限的攻击者从加密的驱动器和内存中快速窃取数据。 更可怕的是，即便你的设备即使处于睡眠模式或锁定的状态、设置安全引导、使用强 BIOS 和操作系统帐户密码以及启用完全磁盘加密，攻击仍然有效，并且这种攻击不会留下任何痕迹，也不需要任何形式的网络钓鱼，还可以从加密驱动器中窃取数据，而完成这一过程只需要 5 分钟。 研究人员将这一漏洞命名为 Thunderspy。值得注意的是，这是个硬件级漏洞，只要几百美元的设备就能攻破该漏洞。 在 Mac 电脑和部分 Windows 电脑上，Thunderbolt 端口能够被用来连接外围设备，比如显示器、高速网络适配器、普通硬盘和容量更大的存储阵列。在笔记本电脑上，一个 Thunderbolt 插接站就可以让你的电脑接入闪存读卡器、电源电缆、HDMI 显示器、以太网以及 USB 鼠标和键盘。 但一直以来，Thunderbolt 有一个让安全研究人员都很担心的问题：因其更快的数据传输速度，并且允许比其他端口更直接地访问计算机内存，所以导致漏洞的风险也更大。 3 个月前，Ruytenberg 向英特尔报告了这一漏洞，经核查，英特尔承认了这一漏洞。 英特尔表示：“虽然潜在的漏洞并不是新出现的，而且在去年的操作系统发布版中就已经解决了，但是研究人员在没有启用这些缓解措施的系统上使用定制的外围设备，演示了新的潜在物理攻击载体。 但他们并没有证明 DMA 攻击能够成功地攻击启用了这些缓解措施的系统。对于所有系统，我们建议遵循标准的安全实践，包括只使用受信任的外围设备和防止未经授权的物理访问计算机。英特尔将继续改进 Thunderbolt 技术的安全性，感谢来自埃因霍芬理工大学的研究人员向我们报告了这一情况。” 不过，Ruytenberg 有不同的看法，因为在实验中，他们没有发现任何一台戴尔电脑安装了上述保护措施，只有部分惠普和联想笔记本安装了。 此外，这些漏洞也无法通过软件更新修复，因为它们本质上与硬件设计有关，即使用户在操作系统中调整了安全设置，也不能完全避免此类攻击，所以只能靠今后重新设计硬件才能完全解决。 也就是说，目前还无法解决这个威胁。黑客如何在无密码解锁的情况下攻入你的电脑的？ 为了进一步证明这个漏洞的影响，Ruytenberg 在 youtub 上传了一段分析视频 详情请见：https://www.youtube.com/watch?v=3byNNUReyvE 在演示视频中，他卸下了电脑的后盖，将 SPI 编程器和主板上的雷电控制器连接起来。 然后在另一台电脑上的雷电接口上插入一个自制破解设备，运行 PCI Leech 软件（一种内核插入和攻击工具），通过改变控制 Thunderbolt 端口的固件，允许任何设备访问，而整个过程只用了 5 分钟。 这样一来，攻击者可以永久禁用 Thunderbolt 安全并阻止所有未来的固件更新。该攻击只需要价值约 400 美元的装备，包括一个 SPI 编码器和价值 200 美元的 Thunderbolt 外设。当然，除了上面要拆开笔记本的方法外，Thunderspy 攻击还有一种无需物理侵入的方法。即通过创建任意的雷电设备身份，克隆用户授权的雷电设备，最后获得 PCIe 连接以执行 DMA 攻击。 这样，无需打开电脑外壳，即可绕过目标设备的锁定屏幕。但是，只有将雷电接口的安全性设置为允许受信任设备的默认设置时，这种无需物理侵入的 Thunderspy 攻击才有效。 目前，英特尔尚未发布任何 Thunderspy 漏洞的 CVE 信息，并且不计划发布针对市场上已有系统的修复程序。苹果则决定不为 Thunderspy 提供修复程序。 所以，对于用户来说，怎样保护电脑不被黑客攻击呢？安全研究人员也给出了一些建议。 通过免费的开源工具 Spycheck，验证是否受到 Thunderspy 的攻击： 验证地址：https://thunderspy.io/ 只连接自己的 Thunderbolt 外设；不要把它们借给任何人； 避免开机时无人值守系统，即使屏幕被锁定； 避免让 Thunderbolt 外设无人看管； 存储系统和任何 Thunderbolt 设备(包括 Thunderbolt 供电的显示器)时，确保适当的物理安全； 避免使用睡眠模式(内存挂起)。   （稿源：雷锋网，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/afn9jkgaDqX2wIoHk4G6JQ 一、概述 腾讯安全威胁情报中心在进行例行高广风险文件排查时，发现一个名为DTCenSvc.exe的文件异常之高，腾讯安全大数据显示已有超2万台电脑中招。经分析该文件运行后会在用户机器内安装一系列的广告弹窗程序、主页篡改程序。 溯源后发现，该病毒运行过程中的部分文件、域名等基础设置与DT下载器家族恶意传播推广资源一致。软件供应链传播病毒国内时有发生，下载器问题尤显突出。腾讯安全专家提醒用户避免从易受污染的软件下载站下载，高风险下载渠道极易感染挖矿木马、勒索软件、广告弹窗、浏览器主页被锁等问题。 二、解决方案 互联网上充斥各种小众软件分发渠道，这些渠道或良莠不齐，或管理混乱，用户通过这些小众渠道搜索下载软件时，极易感染病毒木马，被捆绑安装不需要的其他软件。 腾讯安全专家建议网民尽可能通过相应软件的官方网站下载软件，或者使用安全软件提供的软件管理功能搜索下载相应软件。腾讯电脑管家及腾讯T-Sec终端安全管理系统已升级查杀DT下载器木马，内置的软件管理功能提供高速下载、自动去除插件安装、自动卸载恶意软件、管理软件的自动开机加载及广告弹出等特色功能。 三、病毒样本分析 DTCenSvc.exe运行后会释放执行yDwpSvc.exe模块，并将其设置为服务启动。yDwpSvc则通过地址hxxp://down.hao3603.com/rcsvccfg10.ini获取配置文件，并拉取配置中的文件执行。 目前配置中保存了两个RUL，分别为： hxxp://down.hao3603.com/qd/MiniSetup.exe链接内的MiniSetup安装包文件，hxxp://down.hao3603.com/qd/ObtainSysInfo.exe链接内的ObtainSysInfo包文件。 MiniSetup.exe包运行后会在系统内安装广告弹窗相关模块，包含一个Mini页弹窗，一个窗口右下角弹窗。但由于两个弹窗均无来源标识说明，部分用户也难以对其进行卸载删除，用户看到此类广告后会感到极度反感。 ObtainSysInfo.exe是一个主页修改相关的包程序，该程序运行后会首先检查环境内是否有安全软件相关进程，如果判断当前运行环境处于安全软件保护中。则不执行后续浏览器主页相关配置等修改逻辑。否则进一步通过从云端两次拉取加密包，解密解压缩后内存中执行DLL恶意代码。进而修改感染病毒机器内的主页，收藏等信息。 ObtainSysInfo.exe运行后会首先避开安全软件进程，安全软件进程字串使用循环异或1-5的方式动态解密后再使用 循环异或1-5后解密出如下安全软件进程 随后通过地址hxxp://down.1230578.com/UpdateProfile.7z拉取加密的包文件 通过在内存中对加密后的UpdateProfile.7z进行解密解压缩后得到名为SetVecfun.dll并执行其导出函数plugin_lock SetVecfun.Dll模块其plugin_lock内代码执行后会进一步再次拉取 hxxp://down.1230578.com/SetFunVec.7z地址内的加密包文件，解密解压后内存调用其内的浏览器修改相关接口函数。 再次Dump后可知该Dll提供了各浏览器的修改接口供调用者使用，主要通过修改注册表信息，修改浏览器配置信息，修改浏览器本地数据库信息等方式。进而达到对各浏览器的主页，收藏，启动快捷方式进行修改。 例如通过修改谷歌浏览器配置文件修改主页信息，通过注册表相关位置修改IE浏览器主页等。部分安全软件监控下的敏感位置在进行篡改操作时同样会通过进程进行环境判断从而达到避开安全软件提示的目的。 被劫持的浏览器主页地址信息会被同时保存在注册表以下位置内。 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\llqm_* 同时还会进一步遍历TaskBar目录文件，来修改浏览器快捷方式，在其快捷方式后添加劫持参数，带到从快速启动栏启动浏览器时进入劫持主页地址 同时进一步修改了浏览器收藏文件夹信息，将大量的电商，算命等广告内容植入浏览器收藏夹内。 例如下入中浏览器主页，收藏信息已被篡改 四、病毒溯源分析 经过溯源分析，我们找到了一个同样会传播病毒相关模块的某款下载器的早期版本，该早期版本下载器同样会释放名为DTPageSet.Exe的模块执行。 比对可知，本次传播的病毒ObtainSysInfo.exe模块同下载器释放的DTPageSet.Exe拥有基本一致的代码内容，且本地病毒使用的hxxp://down.1230578.com/SetFunVec.7z恶意代码投递地址与下载器hxxp://down.1230578.com/DTPageSet.exe域名一致。 该下载器同样存在恶意修改浏览器主页信息，静默推装多款应用的行为，会在用户电脑静默安装病毒文件和推广安装用户不需要的多个软件。 附录 IOCs MD5： aa8c5fffd2de7bd7c39f90a9392d8db0 7348a00072d3d45e6006d7945744d962 fbb1a7653d715b8f56e54917adb2450e b6efb80f8c28a9c95fa3353d534c13d8 b1766aad514d1d84d3ed360c35d88f78 Domain: down.hao3603.com down.1230578.com URL: hxxp://down.hao3603.com/qd/MiniSetup.exe hxxp://down.hao3603.com/qd/ObtainSysInfo.exe hxxp://down.1230578.com/SetFunVec.7z hxxp://down.1230578.com/UpdateProfile.7z hxxp://down.1230578.com/DTPageSet.exe

北京时间5月6日消息，一位化名为奥尔德森(Elliot Alderson)的法国黑客日前在Twitter上表示，其发现了印度政府“Aarogya Setu”新型冠状病毒追踪APP的安全问题，这可能会危及9000万印度人的隐私。作为一名有良心的黑客，奥尔德森已经将这个问题“标记”发送至印度计算机应急响应小组(CERT)和隶属于印度电子和信息技术部的国家信息中心(NIC)。 奥尔德森早先还曝光了印度政府“mAadhar”安卓应用程序的问题。 周二，奥尔德森在Twitter上声称，他发现了Aarogya Setu应用程序的一个安全问题，并要求印度政府私下联系他，以便向当局详细披露。印度政府很快联系了这名黑客，了解相关情况。奥尔德森现在正在等待这一问题的解决方案，如果印度政府解决不了，那么按照“白帽”黑客的核心原则，他将公开披露这一问题。 印度政府确实在昨晚凌晨对黑客的推特做出了详细的回应。但奥尔德森仍在等待政府出手修复，用他的话来说，印度政府的回应基本上是“（这里）没什么问题啊”。换句话说，按照印度政府的说法，Aarogya Setu一切正常。 Aarogya Setu的制作者回应称：“这位黑客没有证明用户的个人信息处于危险之中。我们一直在测试和升级该系统。Aarogya Setu团队向所有人保证，没有发现任何数据或安全漏洞。” 奥尔德森已经在推特上宣布，若这个问题得不到修复，他将于今天公布更多信息。 与此同时，奥尔德森不是唯一一个在隐私方面向Aarogya Setu提出警告的人。位于新德里的软件自由法律中心（Software Freedom Law Centre）声称，这个应用程序会收集如性别和旅行记录等敏感的用户数据。互联网自由基金会(IFF)也宣称Aarogya Setu缺乏透明度。 这类问题特别严重，需要深入研究，因为即使Aarogya Setu看起来是一个“自愿安装”的应用程序，但它每天都在变得越来越“强制”。按照印度警方的最新要求，在诺伊达和大诺伊达这些地方如果没有在手机上安装这个程序，甚至会面临处罚。 印度政府还要求公共和私营部门雇员把它安装在智能手机上。印度内政部最近的一项指令要求：“所有员工都必须使用Aarogya Setu应用程序，包括私人部门和公共部门的员工。各机构负责人有责任确保该应用程序在员工中的覆盖率达到100%。”所以可以说，Aarogya Setu已经是印度中央政府雇员以及居住在隔离区居民的必装软件。   （稿源：凤凰网科技，封面源自网络。）

当地时间今天下午，多个iPhone和iPad用户发现他们设备上的iOS应用在运行时出现了崩溃的现象，而这个问题似乎是由应用所使用的Facebook SDK的故障造成的。在一些苹果设备论坛上有多个关于iOS设备上的应用不断出现崩溃的投诉，各种应用似乎都受到了影响，专门用于监测网络服务健康程度的Downdetector仪表盘上更是出现了罕见的全员故障情景。 例如，谷歌的Waze应用无法启动，还有包括Pinterest、Spotify、Adobe Spark、Quora、TikTok等在内的各种常用应用的问题报告。 GitHub上的多个开发者将问题归咎于Facebook的软件开发工具包，这一功能通常被用于签到和登录，更奇怪的是，即使用户没有使用包含的Facebook登录选项的功能，仅仅需要应用程序使用过Facebook SDK，就有机会导致App无法打开的情形。 目前还不清楚这个问题何时能修复，但由于有这么多应用受到影响，可能很快就会得到重视和解决，Facebook很可能会通过服务器更新迅速修复这个问题。   （稿源：cnBeta，封面源自网络。）

Kenna Security 发布了一份新的报告，其中对 Microsoft、Linux 和 Mac 资产的风险状况进行了研究。Cyentia 研究所撰写了《 Prioritization to Prediction: Volume 5: In Search of Assets at Risk》报告，该报告基于 Kenna Security 来自 450 个组织的 900 万资产的数据。 报告指出，微软资产的 70％ 至少具有一个高风险漏洞。在整个研究期间，研究人员共发现了 Microsoft 资产中的 2.15 亿个漏洞，其中已完成修复的漏洞有 1.79 亿个，占比 83％。根据 Kenna Security 的说法，其余未修补的 3600 万个漏洞要高于 Max、Linux 和 Unix 资产的总和。 微软还拥有最高的封闭式高风险漏洞百分比，为 83％。紧随其后的是 Apple OSX，其次是 Linux/unix 和网络设备/IoT 设备。此外，40％ 的 Linux 和 Unix 资产以及 30％ 的网络设备具有已知漏洞。 不过，Kenna Security 也指出，较少的漏洞不一定表示设备更安全。在一个单个高风险漏洞可能造成灾难性后果的世界中，有效的补丁程序优先级和速度是安全性的关键，而与设备或软件类型无关。 尽管 Microsoft 具有比其他漏洞更多的漏洞，但这不一定表示其存在总风险，因为 Microsoft 还可以更快地修复漏洞。该报告发现，基于 Windows 的资产每月平均有 119 个漏洞，并且平均每 36 天修补一次这些漏洞。与此相比，网络设备每月平均只有 3.6 个漏洞，但这些漏洞则大约需要一年的时间才能完成修补。 苹果的补丁率位列第二高，为 79％。Linux、Unix 和其他网络设备的补丁率则为 66％。 Cyentia Institute 的合伙人兼创始人 Wade Baker 表示：“通过自动修补和’Patch Tuesdays’，Microsoft 能够解决其系统上的关键漏洞的速度非常出色，但其仍然存在很多漏洞。 “另一方面，我们看到许多资产，例如 routers 和 printers，它们的高风险漏洞具有更长的保质期。公司需要围绕这些权衡因素调整其风险承受能力，策略和漏洞管理功能。” 报告地址： https://www.kennasecurity.com/resources/prioritization-to-prediction-report-volume-five   （稿源：cnBeta，封面源自网络。）