据外媒报道，日前，一名家庭安全技术人员承认，他曾多次闯入他安装的摄像头观看客户做爱及其他亲密行为。据悉，35岁的Telesforo Aviles曾在家庭和小型办公安全公司ADT工作。他表示，在5年的工作时间里，他在9600多次场合下侵入了约200个客户账号的摄像头–所有这些都是没有得到客户的允许或不知情的情况下进行。 Aviles表示，自己会留意那些他觉得有吸引力的女性的家庭，然后观看她们的摄像头以获得性满足。他称，自己看过女性裸体和情侣之间的做爱。 Aviles于当地时间周四在北德克萨斯地区的美国地方法院承认了一项计算机欺诈和一项侵入性视觉记录罪名。他将因此而面临长达5年的监禁。 Aviles告诉检察官，他经常会在用户授权的列表中添加上自己的邮件地址以此来访问客户的ADT Pulse账号，该账号允许用户远程连接到ADT家庭安全系统进行观看。而在某些情况下，他则会告诉客户，他必须暂时将自己的账号添加其中以便测试系统。其他时候，他会在客户不知情的情况下加上自己的邮箱地址。 针对此事，ADT的一位发言人表示，公司在去年4月得知Aviles在未经授权的情况下进入了达拉斯地区220名客户的账号之后将这一非法行为告知检察官。随后，该公司联系了每一位客户来帮助改正这个错误。。 而在发现这一违规行为之后，ADT至少受到了两起拟议的集体诉讼，其中一起代表ADT客户，一起代表未成年人和其他住在使用ADT设备的房子里的人。其中一起诉讼的原告据称在违约发生时还是一名青少年。据诉状显示，ADT告知这位青少年的家人，Aviles曾近对其家庭进行了100次的监视。 诉讼还称，ADT将其摄像系统推销为父母使用智能手机查看孩子和宠物的一种方式。然而ADT没有实施保护措施，这些措施本可以提醒客户入侵。 电子偷窥者的曝光很好地提醒了人们，在家里或其他对隐私有合理期望的地方安装联网摄像头伴随带来的风险。选择接受这些风险的人应该花时间自学如何使用、配置和维护设备。       （消息及封面来源：cnBeta）

安全研究人员近日披露了存在于 Sudo 中的漏洞细节。该漏洞可能会被攻击者利用，从而在众多基于 Linux 的发行版本中获得最高的 root 权限。根据 Qualys 分享的细节，这个安全漏洞被描述为“可能是有史以来最重要的 Sudo 漏洞”。更令人担忧的是，这个堆的缓冲区溢出漏洞已经存在将近 10 年时间了。 这个漏洞称之为 Baron Samedit，追踪编号为 CVE-2021-3156，几乎所有版本的 Sudo 都存在影响。据悉，受影响的 Sudo 漏洞版本包括从 1.8.2 到 1.8.32p2 的经典版本，以及从 1.9.0 到 1.9.5p1 所有稳定版本。Qualys在写到其发现时说，该漏洞“可被任何本地用户利用”，不需要认证的情况下获得最高权限。 该公司还表示：“我们基于这个漏洞延伸出了三个漏洞，并在 Ubuntu 20.04(Sudo 1.8.31)、Debian 10(Sudo 1.8.27)和 Fedora 33(Sudo 1.9.2)上获得了完全的 root 权限。其他操作系统和发行版可能也是可以利用的。” Baron Samedit尚未在国家漏洞数据库中获得严重性评级，但考虑到Sudo的普遍性以及该漏洞容易被利用，一旦分析完成，它很可能是一个高危评级。各个Linux发行版的补丁已经开始出现，如果你使用的是Ubuntu，可以在这里获得更新，而红帽的更新可以在这里找到。         （消息及封面来源：cnBeta）

谷歌的威胁分析小组报告说，政府支持的黑客以朝鲜为基地，通过包括 “新型社会工程方法”在内的多种手段针对个人安全研究人员的设备。据报道，该活动已经持续了几个月，令人担忧的是，它似乎利用了未打补丁的Windows 10和Chrome漏洞。 虽然谷歌没有说明黑客攻击活动的具体目的是什么，但它指出，目标正在进行 “漏洞研究和开发”。这表明攻击者可能试图了解更多关于非公开漏洞的信息，以便在未来的国家支持的攻击中使用。黑客建立了一个网络安全博客和一系列Twitter账户，显然是想在与潜在目标互动的同时，建立和扩大其信任度。 博客的重点是写出已经公开的漏洞。同时，Twitter账户发布了该博客的链接，以及其他所谓的漏洞。据谷歌称，至少有一个所谓的漏洞是伪造的。这家搜索巨头列举了几个研究人员的机器仅仅通过访问黑客的博客就被感染的案例，即使运行最新版本的Windows 10和Chrome浏览器。 这种社会工程学攻击方法会在社交网络上主动联系安全研究人员，并要求他们合作开展工作。然而，一旦他们同意，黑客就会发送一个包含恶意软件的Visual Studio项目，该项目会感染目标电脑并开始联系攻击者的服务器。攻击者使用了一系列不同的平台来寻找目标–包括Telegram、LinkedIn和Discord与潜在目标进行沟通。谷歌在其博客文章中列出了具体的黑客账户，任何与这些账户互动的人都应该扫描他们的系统，看看是否有任何迹象表明他们已经被入侵，并将他们的研究活动与其他日常使用的电脑分开。 这次活动是安全研究人员被黑客盯上的最新事件。去年12月，美国一家大型网络安全公司FireEye披露，它已被国家支持的攻击者入侵。在FireEye的案例中，被黑客攻击的目标是其用于检查客户系统漏洞的内部工具。           （消息来源：cnBeta；封面源自网络）

据外媒报道，当地时间周二上午，PSafe的网络安全实验室dfndr报告称，巴西的一个数据库发生了一起重大泄密事件，数百万人的CPF号码及其他机密信息可能遭到了泄露。据这些使用AI技术识别恶意链接和虚假新闻的专家们披露，泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息，受影响的人员数量可能有2.2亿。 泄露的数据库中包含的信息则覆盖了几乎所有巴西人的姓名、出生日期和CPF–包括当局。在一份新闻稿中，dfndr实验室主任Emilio Simoni指出，最大的风险是这些数据会被用于网络钓鱼诈骗，其将会诱使人们在一个虚假页面上提供更多的个人信息。 据了解，超1.04亿辆汽车的信息会曝光重要的细节如汽车的底盘号、牌照、所在城市、颜色、品牌、型号、生产年份、发动机容量乃至使用的燃料类型。在公司方面，，泄露的信息则包括了CNPJ、企业名称、商号名称、成立日期。 另外，Simoni指出，由于这些信息对市场来说是宝贵的信息，所以它们被认为会被在某些暗网络论坛进行非法交易。此外他还表示，网络犯罪分子会出售最深入的数据如电子邮件、电话、购买力数据和受影响人群的职业等。 在这份声明中，PSafe既没有说明涉案公司的名称也没有说明信息是如何泄露的。根据该国的新《数据保护安全法》规定，对此类违规行为可以处以最高可达5000巴西雷亚尔的罚款处罚。         （消息及封面来源：cnBeta）

根据Motherboard的报道，有人掌握了一个包含大量Facebook用户手机号码的数据库，现在正利用Telegram机器人出售这些数据。发现这个漏洞的安全研究人员Alon Gal表示，运行这个机器人的人声称掌握了5.33亿用户的信息，这些信息来自于Facebook的一个漏洞，该漏洞在2019年被修复。 对于很多数据库来说，要找到任何有用的数据都需要一定的技术能力。而且拥有数据库的人和想要从数据库中获取信息的人之间往往要有互动，因为数据库的 “主人 “不会随便把那些有价值的数据交给别人。然而，制作一个Telegram机器人，就解决了这两个问题。 这个机器人可以让别人做两件事：如果他们有一个人的Facebook用户ID，就可以找到这个人的手机号码；如果他们有一个人的手机号码，就可以找到他们的Facebook用户ID。当然，虽然真正获得人们要找的信息是要花钱的–解锁一个信息，比如手机号码或Facebook ID，需要一个信用点，机器人背后的人以20美元的价格出售。根据Motherboard的报告，还有批量定价，1万个信用点的售价为5000美元。 根据Gal发布的截图，这个机器人至少从2021年1月12日开始运行，但它提供的数据是2019年的。尽管数据是以前的，但人们不会那么频繁地更换手机号码。这对Facebook来说尤其尴尬，因为它历史上收集了包括开启双因素认证的用户在内的人的手机号码。 目前不知道Motherboard或安全研究人员是否已经就此事联系了Telegram。         （消息及封面来源：cnBeta）  

2021 年 1 月 20 日，微软发布了针对 SolarWinds 入侵事件的又一份深度调查报告，并且指出幕后攻击者有着极其高超的黑客技巧和娴熟度。在去年的攻击中，SolarWinds 因 Orion IT 管理软件的封包服务器被恶意软件感染，导致包括微软在内的数以万计的客户，在部署更新后受到了不同程度的影响。 在这篇报告中，微软主要深入探讨了攻击者是如何逃避检测、并通过企业内网进行静默传播的。 “首先，在每台机器上的 Cobalt Strike 动态链接库（DLL）植入都是唯一的，以避免恶意软件自身被筛查到任何重复的痕迹。 其次，攻击者重用了文件、文件夹、导出功能的名称，辅以 C2 域名 / IP、HTTP 请求、时间戳、文件元数据、配置、以及运行子进程。” 如此极端的差异化，同样出现在了不可执行的部分，比如 WMI 过滤查询和持久性过滤器的名称、用于 7-zip 压缩包的文档密码、以及输出日志文件的名称。 想要对每台受感染的计算机执行如此细致筛查，显然是一项让人难以置信的艰苦工作。但攻击者就是通过这样的手段，在很长一段时间内躲过了安全防护系统的检测。 此外攻击者不仅勤奋，还显得相当具有耐心。比如为了避免被检测到，它还会首先枚举目标计算机上运行的远程进程和服务。 接着通过编辑目标计算机的注册表，以禁用特定安全服务进程的自动启动。在切实的攻击发起之前，恶意软件会非常耐心地等待计算机重新启动。 最后，微软指出了 Solorigate 攻击者的其它聪明之处，比如仅在工作时间段内对系统发起攻击，因为此时发生的正常活动会掩盖他们的真实目的。 结合复杂的攻击链和旷日持久的操作，安全防护系统也必须在持续数月的时间里、对攻击者的跨域活动有着全面的了解，辅以历史数据和强大的分析工具，才能尽早地对异常状况展开调查。           （消息来源：cnBeta；封面源自网络）

一、概述 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿，同时下载mysql、Tomcat弱口令爆破工具，Weblogic远程代码执行漏洞（CVE-2020-14882）攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。 Sysrv-hello僵尸网络挖矿前，恶意脚本还会尝试结束占用系统资源较多的进程，以独占系统资源，这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复，属于较新的漏洞攻击工具，因部分企业漏洞修复进度较慢，使得该团伙的攻击成功率较高。 该僵尸网络于2020年12月首次被国内安全研究人员发现，由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力，使用的漏洞攻击工具也较新，仅仅用了一个多月时间，该僵尸网络已具有一定规模，对政企机构危害较大。   自查处置建议 腾讯安全专家建议政企用户尽快修复weblogic远程代码执行漏洞（CVE-2020-14882），修复Nexus Repository Manager 3、mysql、Tomcat服务器存在的弱口令风险，对系统以下条目进行排查： 文件： Linux: /tmp/network01 /tmp/sysrv /tmp/flag.txt   Windows: %USERPROFILE%\appdata\loacal\tmp\network01.exe %USERPROFILE%\appdata\loacal\tmp\sysrv.exe   进程： network01 sysrv   定时任务： 排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项   腾讯安全响应清单 腾讯安全全系列产品支持在各个环节检测、防御Sysrv-hello僵尸网络对云上主机的攻击。   具体响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）Sysrv-hello相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）Sysrv-hello相关联的IOCs已支持识别检测； 2）支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic（CVE_2020_14882）恶意攻击； 3）支持检测mysql爆破攻击。 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 （Cloud  Workload Protection，CWP） 1）云镜已支持Sysrv-hello关联模块的检测告警，查杀清理。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。 关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）支持识别、检测Sysrv-hello相关联的IOCs； 2）支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic（CVE_2020_14882）恶意攻击； 3）支持检测mysql爆破攻击。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持Sysrv-hello关联模块的检测告警和查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html   二、详细分析 腾讯云防火墙检测到Sysrv_hello僵尸网络针对使用Nexus Repository Manager 3默认账户密码资产发起攻击，下图为攻击过程中产生的恶意payload。 恶意payload执行后Nexus将添加名为t的task脚本执行任务，该任务触发执行后（“action”:”coreui_Task”,”method”:”run”…）进一步下拉恶意脚本执行，恶意脚本地址（hxxp://185.239.242.71/ldr.sh） ldr.sh恶意脚本首先会尝试卸载云主机安全软件（aliyun，yunjing），停止部分服务(安全软件，挖矿木马)，同时删除部分docker挖矿镜像。 清理高CPU占用进程达到资源独占目的(对CPU占用达到50%的进程进行清理) 尝试下载矿机命令执行，进程名为network01，矿池，钱包地址如下： Pool.minexmr.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa 下载sysrv蠕虫扩散模块、下载挖矿守护进程功能模块执行 最后将其自身写入计划任务，并删除本地相关对应文件 该木马不仅攻击Linux系统，同时发现针对Windows平台的恶意载荷，攻击Windows系统成功后会植入powershell恶意脚本，脚本会进一步拉取Windows平台的相同模块到tmp目录执行。 Linux系统下sysrv模块通过使用52013端口作为互斥量，端口开启状态判定为已感染环境直接退出，否则打开本地该端口进行占用。 sysrv通过检测进程，判断network01进程（矿机进程）是否正常运行，如果未正常运行，就在tmp目录进一步释放出文件内嵌的elf文件，并命名为network01将其执行。 network01模块为门罗币矿机程序，该团伙通过清理可能的竞品挖矿进程或其他占CPU资料较多的进程实现独占CPU资源挖矿。 sysrv确认挖矿行为正常运行后，会开始进行蠕虫式的攻击传播：进行随机IP的端口扫描与漏洞利用，会尝试对mysql，Tomcat服务进行爆破攻击，尝试对Weblogic服务使用CVE-2020-14882漏洞（该漏洞公告由Oracle官方于2020年10月21日公开）进行远程代码执行攻击，这一横向扩散行为使该团伙控制的肉鸡规模迅速增大。 hello_src_exp爆破，漏洞利用组合攻击 攻击mysql服务使用的弱口令爆破字典 攻击Tomcat服务使用的爆破口令 对Weblogic组件利用CVE-2020-14882 远程代码执行漏洞攻击，该安全漏洞为2020年10月Oracle官方公告修复，属于相对比较新的漏洞攻击武器。 IOCs MD5: 33c78ab9167e0156ff1a01436ae39ca1 6db4f74c02570917e087c06ce32a99f5 750644690e51db9f695b542b463164b9 d708a5394e9448ab38201264df423c0a bc2530a3b8dc90aca460a737a28cf54b 236d7925cfafc1f643babdb8e48966bf URL: hxxp://185.239.242.71/ldr.sh hxxp://185.239.242.71/ldr.ps1 hxxp://185.239.242.71/xmr64 hxxp://185.239.242.71/xmr32 hxxp://185.239.242.71/xmr32.exe hxxp://185.239.242.71/xmr64.exe hxxp://185.239.242.71/sysrv hxxp://185.239.242.71/sysrv.exe IP: 185.239.242.71(ZoomEye搜索结果) 矿池&钱包 pool.minexmr.com xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

据外媒报道，当地时间周二，白宫方面表示，即将卸任的特朗普总统签署了一项行政命令，旨在阻止外国利用云计算产品对美国进行恶意网络行动。这是特朗普总统就职的最后一天。 最先由路透社报道的这项命令赋予美国商务部以制定规则来在外国人利用云计算产品或服务进行网络攻击的情况下禁止美国跟他们在该领域进行交易权力的权力。 这项命令还要求该机构在六个月内为Infrastructure as a Service–一种云计算类型–美国供应商制定规则，从而确认他们与之进行业务往来的外国人的身份并并保留特定记录。 一位高级官员披露，美国官员已经为这项指令运作了近两年时间。但它的推出却是在美国科技公司SolarWinds以侵入联邦政府网络为跳板的大规模黑客活动之后。美国高级官员和国会议员指责俄罗斯发动了大规模的黑客攻击，但克里姆林宫否认了这一指控。 民主党当选总统乔·拜登将于周三将宣誓就职，而他可以轻松撤销特朗普总统任期即将结束时发布的行政命令。对此，拜登的过渡团队方面没有立即回应置评请求。           （消息及封面来源：cnBeta）

美国网络安全企业 Malwarebytes 今日表示，该公司于去年遭受了针对 SolarWinds 的同一黑客组织（UNC2452 / Dark Halo）的入侵。虽然本次入侵无关于 SolarWinds 被恶意软件感染的 IT 管理工具，但黑客还是利用 Azure 活动目录漏洞和恶意的 Office 365 应用程序，对 Malwarebytes 的内部系统造成了破坏。 Malwarebytes 表示，在 2020 年 12 月 15 日接到了微软安全响应中心（MSRC）的通报后，该公司才获悉自家网络被入侵。 当时微软正对其 Office 365 / Azure 基础架构展开搜查，以查找由 SolarWinds 黑客（UNC2452 / Dark Halo）创建的恶意应用程序的蛛丝马迹。 Malwarebytes 联合创始人兼首席执行官 Marcin Kleczynski 表示，在得知此事的第一时间，他们就立即对该漏洞展开了内部调查，以确定被黑客染指了哪些内容。 此前由于 SolarWinds 的应用程序封包服务器被 Sunburst 恶意软件感染，导致 SolarWinds 的数万客户都被感染后的 Orion IT 管理软件所影响。 经过广泛调查，其确定攻击者仅访问了公司内部电子邮件的一部分。此外在对所有产品及源码展开彻底审查后，Malwarebytes 确定旗下产品并未受到影响。 Kleczynski 补充道：“没有任何证据表明我司内部系统有遭受任何本地或生产环境的未经授权访问或损害，Malwarebytes 的软件仍可被安全使用”。 据悉，在 Malwarebytes 之前，FireEye、微软和 CrowdStrike 也都表示遭到了 SolarWinds 入侵事件幕后黑手的网络攻击。             （消息及封面来源：cnBeta）

在今日发布的一份报告中，网络安全公司 FireEye 详细披露了 SolarWinds 黑客网络攻击事件所使用的相关技术。与此同时，FireEye 还在 GitHub 上分享了一款名为《Azure AD Investigator》的免费工具，以便企业能够确定 SolarWinds 黑客在其网络中部署了哪几道后门。 在今日的报告发布之前，FireEye 已协同微软和 CrowdStrike 对 SolarWinds 的供应链危害展开了全面的调查。 在 2020 年 12 月 13 日初次曝光时，FireEye 和微软首先确认黑客攻入了 IT 管理软件提供商 SolarWinds 的网络，并用恶意软件感染了 Orion 应用程序的封包服务器。 这款名叫 Sunburst（或 Solorigate）的恶意软件，被用于收集受害企业的内部信息。遗憾的是，部署 Orion 应用程序的 1.8 万个 SolarWinds 客户，其中大多数人都忽略了木马的存在。 在初步得逞后，攻击者部署了第二款名叫 Teardrop 的恶意软件，然后利用多种技术手段，将黑手延伸到了企业内网和云端（尤其是 Microsoft 365 基础设施）。 在今日长达 35 页的报告中，FireEye 更详细、深入地介绍了这些后期攻击手段，以及企业能够实施的检测、修复和增强策略。 （1）窃取活跃目录的 AD FS 签名证书，使用该令牌伪造任意用户（Golden SAML），使得攻击者无需密码或多因素身份认证（MFA），即可染指 Microsoft 365 等资源。 （2）在 Azure AD 中修改或添加受信任的域，使得攻击者控制的新身份（IdP），进而伪造任意用户的令牌（又称 Azure AD 后门）。 （3）染指高特权用户账户（比如全局或应用程序管理员的 Microsoft 365 资源），接着同步本地用户账户的登录凭据。 （4）通过添加恶意凭证来劫持现有 Microsoft 365 应用程序，以使用分配给该应用程序的合法权限 —— 比如可绕过 MFA 多因素身份认证来读取电子邮件、以任意用户身份发送电子邮件、以及访问用户的日程等信息。 FireEye 指出，尽管 SolarWinds 黑客（又称 UNC2452）采取了各种复杂的手段来掩饰自己，但相关技术仍可被检测和阻挡在外。 事实上，FireEye 也在自己的内网中检测到了相关技术，然后分析了其它企业的内部漏洞，最终揭开了更广泛的 SolarWinds 黑客攻击事件。           （消息来源：cnBeta；封面源自网络）