据报道，Muslim Pro应用程序在全球范围内下载量超过9850万，据称已向美国军方出售了“粒度位置数据”，但这一指控被否认，目前正由新加坡个人数据保护委员会进行调查。 数据保护委员会（PDPC）确认正在对指控进行投入，并向Pros开发商Bitsmedia寻求更多信息。监管机构告诉当地媒体：“我们提醒用户要注意他们的权限和个人数据以及使用方法。如有疑问，用户不应下载或使用任何应用程序。” 成立于2009年，总部位于新加坡的Bitsmedia在马来西亚和印度尼西亚设有办事处，并已通过在200个国家的用户下载审核。 据报道，该应用程序已将位置数据出售给X-Mode，这是美国第三方数据聚合商，向其客户出售服务，其中包括美国国防承包商。美国-加拿大新闻媒体Vice Media在报告中爆料说，穆斯林Pro是向美国军方出售数据的移动应用程序之一，包括时间戳、电话型号详细信息和Wi-Fi网络的连接位置。 Bitsmedia否认了这些指控，并在星期二和星期四发表了两份声明，认为该报告“不正确且不真实”。 Bitsmedia注意到它符合诸如欧盟的GDPR（通用数据保护法规）和加利福尼亚消费者隐私法案（CCPA）之类的全球数据隐私法律和法规，称其“收集、处理和使用其用户提供的信息”开发人员在访问其应用程序以“改善我们的服务”并促进其应用程序的“研究与开发”（R＆D）工作时访问开发者。 这可能包括分析数据以更好地了解用户行为，从而可以“改善其服务的整体功能”。位置数据用于祈祷时间的计算，并有助于规划和设计功能，以及改善整体用户体验。应用程序开发人员还坚持认为，它不会共享任何敏感的个人信息，例如姓名、电话号码和电子邮件。“与合作伙伴共享的任何数据都是匿名的，这意味着我们的数据不会归因于任何特定的个人。”“我们采用行业标准的安全措施和保护措施，并选择领先的技术合作伙伴，以确保我们的数据在我们的云基础架构上的安全。我们对收集、存储和处理的个人信息也保持公开和透明。” 虽然它驳斥了Vice Media的主张，但Bitsmedia表示已经终止了与数据合作伙伴包括X-Mode的所有关系，该关系“立即生效”。 它与“选定的技术合作伙伴”合作，以改善其应用程序的质量，并与合作伙伴共享数据，以实现“广告等常见目的”，这是它的主要收入来源。这样做是“完全遵守”所有相关法律的，并实施了“严格的数据治理政策”以保护其用户数据。 根据应用程序开发商的说法，它与社交媒体网络和数据分析公司等第三方合作，并在其用户同意下共享数据。它还指出，除了“社区”部分外，穆斯林Pro中提供的功能都可以使用，而无需用户登录该应用程序。“这有助于我们收集和处理的数据的匿名性。” 如果它被发现违反了新加坡的个人数据保护法（PDPA），Bitsmedia可能面临 严重的经济处罚。 新加坡本月刚刚更新了数据保护法规，以允许本地企业未经事先同意就出于某些目的（例如业务改进和研究）使用消费者数据。修正案还允许对数据泄露处以更严厉的罚款，超过先前100万新加坡元上限。 新加坡通信和信息部长伊斯瓦兰（S. Iswaran）在 讨论修正案的讲话中说，数据是数字经济中的关键经济资产，因为它提供了有价值的见识，可为企业提供信息并提高效率。 Iswaran说，它还将增强创新能力并增强产品，并成为具有变革潜力的新兴技术（如人工智能（AI））的重要资源 。 PDPA的主要变化之一是“同意的例外”要求，该要求现在允许企业出于“合法目的”，业务改进和更广泛的研发范围使用、收集和披露数据。除了用于调查和应对紧急情况外，还包括打击欺诈、增强产品和服务以及开展市场研究以了解潜在客户群的工作。 此外，PDPA“视为同意”下定义的进一步修订现在将允许组织与外部承包商共享数据，以履行客户合同。这迎合了“现代商业安排”和包括安全在内的基本目的。 企业还可以在未经同意的情况下使用数据来促进可能尚未标记为产品化的研发。除“视为”和“例外”之外，所有其他目的（例如直接营销信息）仍然需要获得消费者的事先同意。 PDPC去年调查了185起涉及数据泄露的案件，并发布了58项决定。它命令39个组织支付170万新加坡元的罚款，其中最高罚款分别为75万新加坡元和25万 新加坡元，分别由综合健康信息系统和新加坡卫生服务处处置。       消息及封面来源：zdnet；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”   

谷歌的Project Zero团队致力于寻找公司自身软件以及其他公司开发的软件中的安全漏洞。其方法是私下向供应商报告缺陷，并在公开披露前给他们90天的时间来修复。根据情况的严重程度，这一期限可能会根据该集团的标准准则被延长或拉近。 11月初，谷歌公开披露了GitHub中的一个 “高”严重性安全问题，此前后者无法在104天内修复–超过了标准时限。不过，GitHub用户现在会很高兴地知道，这个安全漏洞终于被填补了。 该安全漏洞源自GitHub Actions中的工作流命令，它作为执行动作和Action Runner之间的通信渠道极易受到注入攻击。谷歌Project Zero的Felix Wilhelm最初报告了这个安全漏洞，他表示工作流命令的实现方式 “从根本上来说是不安全的”。短期的解决方案是废止命令语法，而长期的修复方法是将工作流命令转移到一些外链通道，但这也很棘手，因为这会破坏依赖性代码。在GitHub未能在规定的104天内修复该问题后，谷歌于11月2日公开披露了该问题。 显然，这给该公司带来了一定的压力，目前该漏洞已经被修复。补丁说明显示，该修复方法与Wilhelm提出的短期解决方案一致。 停用add-path和set-env runner命令(#779) 更新了dotnet安装脚本(#779) 几天前，GitHub已经修复了这个问题，但现在已经被谷歌Project Zero团队验证，并在问题库中标记。这样一来，安全团队报告的公开问题清单就减少到了9个。其中包括微软、高通和苹果等众多厂商开发的软件。唯一存在于谷歌自家软件中的开放问题与Android上的指针泄露有关，但这一 “中等”严重性缺陷的状态自2016年9月以来一直处于开放状态。         （消息及封面来源：cnBeta）

实时自动化（RTA）499ES EtherNet/IP（ENIP）堆栈中存在一个严重漏洞，该漏洞可能会使工业控制系统受到远程攻击。 RTA的ENIP堆栈是广泛使用的工业自动化设备之一，被誉为“北美工厂I/O应用的标准”。 美国网络安全与基础设施局（CISA）在一份咨询报告中表示：“成功利用此漏洞可能造成拒绝服务，缓冲区溢出可能允许远程代码执行。” 到目前为止，尚未发现针对此漏洞的已知公开攻击。然而，“根据互联网连接设备的公共搜索引擎，目前有超过8000台与ENIP兼容的互联网设备。” 该漏洞编号为CVE-2020-25159，CVSS评分为9.8（满分10分），影响2.28之前版本的EtherNet/IP Adapter Source Code Stack。 安全公司Claroty的研究员Sharon Brizinov上个月向CISA披露了这个堆栈溢出漏洞。 RTA似乎早在2012年就从软件中删除了可攻击代码，但许多供应商可能在2012年更新之前就购买了该堆栈的易受攻击版本，并将其集成到自己的固件，从而使多台设备处于危险之中。 研究人员表示：“在六家供应商的产品中，有11种设备运行了RTA的ENIP堆栈。” 该漏洞本身涉及对通用工业协议（CIP）中使用的路径解析机制的不正确检查（CIP是一种用于组织和共享工业设备中的数据的通信协议），使得攻击者能够打开具有较大连接路径大小（大于32）的CIP请求，并导致解析器写入内存地址超出固定长度缓冲区，从而可能会导致任意代码执行。 RTA在披露中表示：“RTA设备中的旧代码试图通过限制EtherNet / IP转发打开请求中使用的特定缓冲区的大小来减少RAM的使用。” “通过限制RAM，攻击者有可能试图使缓冲区溢出，并利用它来控制设备。” Claroty的研究人员扫描了290个与ENIP兼容模块，其中来自6个不同供应商的11个设备被发现使用了RTA的ENIP堆栈。 Brizinov在分析中指出：“与先前的披露类似（例如Ripple20或Urgent / 11），这是另一个易受攻击的第三方核心库使工业控制系统供应商的产品面临风险的案例。” 我们建议用户更新到ENIP堆栈的当前版本，以减轻该漏洞带来的影响。CISA还建议用户最大程度地减少所有控制系统设备的网络暴露，确保不能从网络访问这些设备。 CISA表示： “将控制系统网络和远程设备放在防火墙后面，并将它们与业务网络隔离开。当需要远程访问时，使用安全方法，例如虚拟专用网（VPN）。但是VPN可能存在漏洞，应将其更新为可用的最新版本。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

vpnMentor研究人员发现了一个在线公开的ElasticSearch数据库，其中包含超过100.000个受感染Facebook帐户的信息。这些信息被恶意分子用作针对社交网络用户的全球黑客活动的一部分。 黑客使用被盗的登录凭据访问Facebook帐户并在帖子中分享垃圾邮件，链接到伪造的比特币交易平台，该平台曾欺诈至少250欧元的“存款”。 研究人员说：“通过提供虚假新闻网站的链接，黑客希望绕过并混淆Facebook检测工具。” “如果被黑客入侵的帐户一遍又一遍地发布与比特币骗局相同的链接，那么它们很快就会被禁止。” 黑客通过提供一种假装泄露谁在访问其个人资料的工具，诱使Facebook用户提供其帐户登录凭据。 档案包括电子邮件、姓名和电话号码等个人身份信息（PII）数据，专家们还发现了该欺诈活动中被雇用的数十个域。该档案还包括有关网络犯罪分子如何自动执行流程的技术信息。目前尚不清楚其他第三方是否访问或泄漏了公开的数据。档案大小超过5.5 GB，在今年6月至9月间保持打开状态。据专家称，至少有10万名Facebook用户数据被泄露。 vpnMentor指出Facebook帐户未遭到黑客攻击，该公开数据库属于第三方，使用该数据库处理通过一组针对Facebook用户的欺诈网站非法获取的帐户登录凭据。研究人员将情况发布至社交网络，并确认该数据库的真实性。 发现数据库的第二天，它很可能受到Meow攻击的攻击擦除了其数据，使数据库脱机。自7月以来，专家观察到数十个不安全的Elasticsearch和MongoDB实例在网上公开，它们被黑客莫名其妙地擦除。 “Facebook用户受害者，请立即更改您的登录凭据。”  “此外，如果您在其他任何帐户上重复使用了Facebook密码，请立即更改密码以防止黑客入侵。我们建议使用密码生成器创建唯一的强密码，并定期进行更改。”       消息来源：securityaffairs，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

视频会议软件厂商 Zoom 今天推出了一项新的功能，如果在线视频中可能因为 Zoombombing 攻击而存在被破坏风险，那么该功能就会向会议组织者发出提醒。这项功能名为“At-Risk Meeting Notifier”，在 Zoom 的后端服务器上运行，通过连续扫描社交媒体和其他公共站点上的公开帖子以查找和确认 Zoom 会议链接是否被泄漏。 如果 At-Risk Meeting Notifier 找到 Zoom 会议 URL 链接，那么就会自动向会议组织者发送电子邮件，并警告其他人可能会进入其会议室并可能打乱会议。这些中断类型称为 Zoombombing 或 Zoom raid，是指在没有收到邀请的情况下，擅自进入到某个 Zoom 会议中，并通过侮辱，播放色情内容或威胁其他参与者来破坏会议。 Zoombombing 事件通常是在一名参与者在社交媒体，Discord 频道或 Reddit 帖子上共享一个Zoom会议的链接（有时是其密码），要求其他人中断会议后发生的。       （消息来源：cnBeta；封面来自网络）  

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/RSKXqrIjesBr6qcIOXT5OA   一、概述 腾讯主机安全（云镜）捕获一个新的挖矿木马LoggerMiner，该木马在云上主机中攻击传播，会利用当前主机上的ssh账号信息对其他主机发起攻击，以控制更多系统。并且，LoggerMiner还会尝试对当前主机上的docker容器进行感染。 该木马代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等。腾讯安全团队据此将其命名为“LoggerMiner”挖矿木马。该木马存在多个模块具备以下恶意行为： 利用ssh爆破感染其他云主机、修改ssh配置，关闭安全设置，留置后门，方便攻击者远程登录；向docker容器发送恶意命令，进行感染；木马的部分攻击代码尚未完工。 木马还会尝试卸载云服务器安全软件、结束竞品挖矿木马进程、停止系统日志、修改系统安全设置，删除其他竞品挖矿木马创建的帐户、添加自己的新帐号，安装定时任务实现持久化等功能。 腾讯安全系列产品应对LoggerMiner挖矿木马的响应清单如下： 应用 场景 安全产品 解决方案 威胁 情报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）LoggerMiner挖矿木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）LoggerMiner挖矿木马相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud Firewall，CFW） 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload  Protection，CWP） 已支持检测： LoggerMiner挖矿木马相关文件查杀 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 （腾讯御知） 1）关于腾讯T-Sec网络资产风险监测系统的更多信息，可参考：https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统（御点） 1）可查杀LoggerMiner挖矿木马相关文件； 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html 更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/   二、详细分析 该木马的代码中大量使用了logger字符串作为系统账号名、文件路径、通信域名等，腾讯安全团队据此将其命名为“LoggerMiner“。 LoggerMiner挖矿木马感染主机后会通过cron定时任务实现持久化，从定时任务里可以看到，LoggerMiner挖矿木马会执行3个恶意脚本，我们把这3个脚本定义为3个模块：xanthe、xesa、fczyo，然后逐个分析。 xanthe模块 首先看下xanthe模块，该模块有14个函数，大体功能如下： 具体函数执行步骤如下：   总结起来，xanthe模块大体执行流程如下： xanthe模块首先会检查感染标识文件/tmp/.firstrun-update_ivan1.pid是否存在，如果不存在则进行感染，下载并执行xesa和fczyo模块； 尝试下载挖矿程序java_c、进程隐藏模块libprocesshider.so、以及配置文件config.json并启动java_c挖矿程序； 尝试重新挂载/var/tmp、/tmp目录； 修改ssh配置文件，启用22和33768端口进行连接，允许root账号通过密码登录，允许密钥登录，关闭GSSAPI 认证等； 重启ssh服务； 尝试搜索当前主机的known_hosts、bash_history等配置文件，从里面获取用户名、主机地址、ssh密码/密钥信息，然后利用ssh执行感染模块xanthe。 部分功能代码片段如下： 1.感染判断： 2.利用当前主机上保存的ssh账号信息尝试感染其他机器：   除了以上功能外，该模块代码里有几个函数正在编写中，在此并未启用，从代码上看，该代码功能如下： 尝试搜索当前主机上的known_hosts文件，利用里面保存的ssh登录信息尝试登录并执行恶意代码； 安装masscan后，尝试扫描当前主机上开启2375端口的docker容器，然后利用命令行向容器内部发送恶意命令，实现docker容器感染； 还会尝试下载zgrab扫描器，下载后并未有其他动作，应该是代码没有完成。   相关代码片段如下： 1.利用当前主机上保存的ssh账号信息进行横向感染： 2.利用masscan扫描docker容器，并尝试感染docker容器： 3.下载zgrab扫描器 xesa模块 接下来分析xesa模块，该模块的8个函数功能大致如下： 从以上函数功能可以看出，xesa模块主要负责安全对抗，大致功能总结如下： 卸载阿里云等安全监控服务； 停止系统常用的日志监控服务syslog等； 结束其他挖矿木马进程； 修改系统安全设置等。 部分功能代码片段如下： fczyo模块 最后我们分析下fczyo模块，该模块函数功能大致如下： 从上面函数功能可以看到，该模块功能主要集中在持久化安装方面，大致功能如下： 通过cron安装定时任务，实现恶意代码执行； 通过/etc/rc.d/rc.local 实现开机自启动，实现恶意代码执行； 修改防火墙策略； 修改ssh配置文件，添加ssh密钥，实现免密码登录：         /opt/autoupdater/.ssh/authorized_keys         /opt/system/.ssh/authorized_keys         /opt/logger/.ssh/authorized_keys 添加后门账号，删除其他挖矿木马的后门账号： 添加的账号列表：sysall、system、logger、autoupdater；  删除的账号列表：darmok、cokkokotre1、akay、o、phishl00t、opsecx12   部分功能代码片段如下： 1.修改防火墙配置 2.ssh配置文件修改 3.系统账号添加及修改 IOCs URL hxxp://34.92.166.158:8080/files/xanthe hxxp://34.92.166.158:8080/files/fczyo hxxp://34.92.166.158:8080/files/xesa.txt hxxp://34.92.166.158:8080/files/java_c hxxp://34.92.166.158:8080/files/config.json hxxp://34.92.166.158:8080/files/libprocesshider.so hxxp://139.162.124.27:8080/files/xanthe hxxp://139.162.124.27:8080/files/fczyo hxxp://139.162.124.27:8080/files/xesa.txt hxxp://139.162.124.27:8080/files/java_c hxxp://139.162.124.27:8080/files/config.json hxxp://139.162.124.27:8080/files/libprocesshider.so hxxps://iplogger.org/11sxm hxxps://iplogger.org/17Cph7   Domain iplogger.org   IP 34.92.166.158 139.162.124.27   MD5 776227b07b2f1b82ffcc3aa38c3fae09 70b3ad8f1ce58203c18b322b1d00dd9a 7309b0f891a0487b4762d67fe44be94a 7633912d6e1b62292189b756e895cdae 025685efeb19a7ad403f15126e7ffb5a 83acf5a32d84330bbb0103f2169e10bb   钱包地址 47TmDBB14HuY7xw55RqU27EfYyzfQGp6qKmfg6f445eihemFMn3xPhs8e1qM726pVj6XKtyQ1zqC24kqtv8fXkPZ7bvgSPU   47E4c2oGb92V2pzMZAivmNT2MJXVBj4TCJHad4QFs2KRjFhQ44Q81DPAjPCVc1KwoKQEp1YHdRMjGLUe6YdHPx5WEvAha1u   ssh密钥 AAAAB3NzaC1yc2EAAAADAQABAAABAQDLVZNrAJ1uzR7d2bm1iUQPAgjuBlyLQQNaEHVmACWtGwwiOKMPiFBfBjuNJIyZFnGkkF gJP5fi8v1eqliaBgqERUDDtW/RZDDIz8DovDrA4/MGlxpCHLeViN+F62W/jgeufiQ7NiPTlPB3Fuh7E7QXXpXqQ6EmVlV0iWdzqRvSiDIB3 cIL6E2CrK47pY6Rp6rY2YKYzUhiZRqAMHViMR+2MARL2jERfF3CsG6ZXo/7UVVx+tqoKQDHPmz21mrulOF6RW5hh04dE2q1+/w6xm X8AxUSGmPdpwQa8GuV7NHHZmYO26ndTVi2ES472tJdkXVHmLX8B9Un42JLNVXwPU/Hlinux@linux.com

网络安全研究人员揭秘了韩国一场新型供应链攻击，该攻击滥用合法安全软件和窃取的数字证书，在目标系统上分发远程管理工具（RAT）。 Slovak网络安全公司ESET将此次行动归咎于Lazarus集团，该集团也被称为“Hidden Cobra”。ESET表示，黑客利用了该国的强制要求，即互联网用户必须安装额外的安全软件。 虽然攻击范围有限，但它利用了WIZVERA VeraPort，该程序被宣传为“旨在整合和管理与互联网银行相关的安装程序的程序”，比如银行向个人和企业发放的数字证书，以确保所有交易和处理支付的安全。 这是韩国长期以来针对受害者的间谍攻击的最新进展，包括Operation Troy、2011年的DDoS攻击，以及过去十年针对银行机构和加密货币交易所的攻击。 除了使用上述安装安全软件的技术从合法但受到损害的网站传递恶意软件外，攻击者还使用非法获得的代码签名证书来签署恶意软件样本，其中一份发给了韩国一家名为Dream Security USA的安全公司在美国的分公司。 ESET研究人员PeterKálnai表示：“攻击者将Lazarus恶意软件样本伪装成合法软件。这些样本具有与韩国合法软件相似的文件名，图标和资源。”“被攻击的网站结合了WIZVERA VeraPort支持和特定的VeraPort配置选项，使得攻击者能够执行这种攻击。” ESET的研究人员指出，攻击者的目标是那些使用VeraPort的网站，这些网站还附带了一个base64编码的XML配置文件，其中包含要安装的软件列表及其相关下载URL。ESET的研究人员表示，攻击者通过损害一个合法的网站，然后用非法获得的代码签名证书签署交付有效载荷。 研究人员指出：“WIZVERA VeraPort配置包含一个选项，可以在执行之前对下载的二进制文件进行数字签名验证，并且在大多数情况下，这个选项是默认启用的。”“但是，VeraPort只验证数字签名是有效的，而不检查它属于谁。” 然后，二进制文件继续下载一个恶意软件卸载程序，该程序提取另外两个组件——加载器和下载器，后者被加载器注入到一个Windows进程中（“svchost.exe”）。下载器获取的最后阶段有效载荷采用RAT的形式，它带有允许恶意软件在受害者的文件系统上执行操作的命令，并从攻击者的武器库中下载和执行辅助工具。 更重要的是，此次行动似乎是另一场名为“Operation BookCodes”的攻击的延续，今年4月初韩国互联网与安全局（Korea Internet & Security Agency）详细描述了这一攻击，该攻击在TTPs和命令与控制（C2）基础设施上存在明显重叠。 研究人员表示，“攻击者对供应链攻击特别感兴趣，因为他们可以在同一时间秘密地在许多电脑上部署恶意软件。” “支持VeraPort的网站的所有者可以通过启用特定选项（例如在VeraPort配置中指定二进制文件的哈希值）来降低此类攻击的可能性，如果网站已经受到了攻击也可以采用这种方法。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

来自加利福尼亚大学和清华大学的一群学者发现了一系列严重的安全漏洞，这些漏洞可能导致DNS缓存中毒攻击死灰复燃。 这种技术被称为“SAD DNS攻击”（Side-channel AttackeD DNS的缩写），该技术使攻击者可以进行路径外攻击，将最初发往特定域的所有流量重新路由到其控制下的服务器，从而允许他们窃听和篡改通信。 研究人员表示：“这是一个重要的里程碑，这是第一个可武器化的网络侧通道攻击，具有严重的安全影响。”“这使攻击者可以将恶意DNS记录注入DNS缓存中。” 这一发现被追踪为CVE-2020-25705。该漏洞影响操作系统Linux 3.18-5.10，Windows Server 2019（版本1809）和更高版本，macOS 10.15和更高版本以及FreeBSD 12.1.0和更高版本。   DNS转发器成为新的攻击面 DNS解析器通常将对IP地址查询的响应缓存特定时间段，以提高网络中响应性能。但可以利用这种机制来毒化缓存，方法是为给定网站模拟IP地址DNS条目，并将尝试访问该网站的用户重定向到攻击者选择的其他站点。 但是，此类攻击的有效性受到了一定程度的影响，因为诸如DNSSEC（域名系统安全扩展）之类的协议通过在现有DNS记录中添加加密签名和允许DNS的基于随机化的防御来创建安全的域名系统解析程序为每个查询使用不同的源端口和事务ID（TxID）。   一种新颖的Side-Channel攻击 研究人员指出，由于“激励和兼容性”的原因，这两种缓解措施还远未得到广泛应用，因此他们设计了一种Side-Channel攻击，可以成功地用于最流行的DNS软件堆栈。所以，像Cloudflare的1.1.1.1和Google的8.8.8.8这样的公共DNS解析程序易受攻击。 SAD DNS攻击的工作原理是利用任何网络中的一台受损机器，该网络能够触发DNS转发器或解析器的请求，例如咖啡馆、购物中心或机场中由无线路由器管理的公共无线网络。 然后，它利用网络协议栈中的一个侧信道来扫描并发现哪些源端口用于启动DNS查询，随后通过暴力强制TxIDs注入大量伪造的DNS应答。 更具体地说，研究人员使用域名请求中使用的一个通道，通过向受害者服务器发送每个具有不同IP地址的伪造UDP数据包来缩小确切的源端口号，并根据收到的ICMP响应（或没有响应）来推断是否已命中正确的源端口。 这种端口扫描方法达到每秒1000个端口的扫描速度，累计需要60秒多一点的时间来枚举由65536个端口组成的整个端口范围。然后，攻击者所要做的就是插入一个恶意IP地址来重定向网站流量，并成功地完成DNS缓存中毒攻击。   减轻SAD DNS攻击 除了演示如何扩展攻击窗口（允许攻击者扫描更多端口并注入额外的恶意录来攻击DNS缓存）外，该研究还发现，互联网上超过34%的开放解析程序易受攻击，其中85%由流行的DNS服务（如Google和Cloudflare）组成。 为了应对SAD DNS，研究人员建议禁用传出的ICMP响应，并更积极地设置DNS查询的超时。 研究人员还提供了一种工具来检查容易受到此攻击的DNS服务器。此外，该小组与Linux内核安全团队合作开发了一个补丁，该补丁随机化ICMP全局速率限制，从而将噪声引入旁通道。 研究人员得出结论：“这项研究提出了一种基于全球ICMP速率限制的侧通道，所有现代操作系统都普遍采用这种限制。”“这可以有效扫描DNS查询中的UDP源端口。结合扩展攻击窗口的技术，可以导致DNS缓存中毒攻击死灰复燃。”       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

最新研究显示，今年9月初，针对运行Magento 1.x电子商务平台零售商的网络攻击是由一个攻击组织发起的。 RiskIQ在11月11日发表的一份报告中说：“这个组织实施了大量不同种类的Magecart攻击，这些攻击通常通过供应链攻击（如Adverline事件）或利用漏洞（如9月Magento 1事件）危害大量网站。” 这些攻击被统称为CardBleude，针对至少2806多家Magento 1.x的在线商店，这些商店在2020年6月30日已经停止使用。 Magecart是针对在线购物系统的不同黑客团体的联合体，在购物网站上注入电子窃取程序以窃取信用卡详细信息是Magecart已实践过的作案手法。 其攻击被称为formjacking攻击，攻击者通常会在支付页面上偷偷将JavaScript代码插入到电子商务网站中，以实时捕获客户卡的详细信息并将其传输到远程攻击者控制的服务器。 但在最近几个月中，Magecart组织加大了攻击，他们将代码隐藏在图像元数据中，甚至进行了IDN同形攻击，以隐藏在网站的favicon文件中的网络浏览器。 Cardbleed（最初由Sansec记录）通过使用特定域与Magento管理面板进行交互，然后利用“Magento Connect”功能下载并安装一个名为“mysql.php”的恶意软件。在skimmer代码被添加到“prototype.js”后，它会自动删除。 现在，根据RiskIQ的说法，这些攻击具有Magecart group 12组织的所有特征。 此外，刚刚提到的skimmer是Ant和Cockroach在2019年8月首次观测到的skimmer的变体。 有趣的是，研究人员观察到的其中一个域名（myicons[.]net）也与5月份的另一个活动有关，在那个活动中，一个Magento favicon文件被用来把skimmer隐藏在支付页面上，并加载一个假的支付表单来窃取捕获的信息。 但就在恶意域名被识别时，Magecart group 12已经熟练地换入了新的域名，以继续进行攻击。 RiskIQ的研究人员表示:“自从Cardbleed行动被公开以来，攻击者已经重组了他们的基础设施。”“他们开始从ajaxcloudflare[.]com装载skimmer，并将渗透转移到最近注册的域console..in中。” RiskIQ威胁研究人员Jordan Herman表示，“升级到Magento 2是一种特别的缓解措施，尽管升级的成本可能会让较小的供应商望而却步。” 他补充说，“还有一家名为Mage One的公司也在继续支持和修补Magento 1。他们发布了一个补丁来缓解攻击者在10月底利用的特殊漏洞。所以，防止这类攻击的最好方法是让电子商店在其网站上运行完整的代码清单，这样他们就可以识别出软件的弃用版本，以及任何其他可能引发Magecart攻击的漏洞”。       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

11月12日，网络安全研究人员披露了一种新型的模块化后门，该后门针对Oracle的销售点（POS）餐馆管理软件，以试图窃取存储在设备中的敏感支付信息。 这个被称为“ModPipe”的后门影响了Oracle MICROS餐厅企业系列（RES）3700 POS系统，这是一个在餐厅和酒店业中广泛使用的软件套件，可以有效地处理POS、库存和人工管理。大多数已经确定的目标主要位于美国。 ESET的研究人员在报告中说：“后门的与众不同之处在于它的可下载模块及其功能，因为它包含一个自定义算法，该算法通过从Windows注册表值中解密来收集RES 3700 POS数据库密码。” “经过筛选的凭据使ModPipe的操作者可以访问数据库内容，包括各种定义和配置，状态表以及有关POS交易的信息。” 值得注意的是，在RES 3700中，诸如信用卡号和有效期之类的详细信息受到加密屏障的保护，从而限制了可能被进一步滥用的有价值的信息量，尽管研究人员认为，攻击者可能拥有第二个可下载模块解密数据库的内容。 ModPipe基础结构由一个初始删除程序组成，该删除程序用于安装持久性加载程序，然后将其解压缩并加载下一阶段的有效负载，该有效负载是主要的恶意软件模块，用于与其他“downloadable”模块以及命令和控制（ C2）服务器建立通信。 可下载模块中的主要组件包括“GetMicInfo”，该组件可以使用特殊算法来拦截和解密数据库密码，ESET研究人员认为，可以通过对密码库进行反向工程或利用所获得的加密实现细节来实现该功能。 第二个模块为“ModScan 2.20”，用于收集有关已安装POS系统的额外信息（如版本、数据库服务器数据），而另一个模块名为“Proclist”，收集当前运行进程的详细信息。 研究人员表示:“ModPipe的架构、模块及其功能也表明，它的作者对目标RES 3700pos软件有广泛的了解。”“运营商的熟练可能源于多种情况，包括窃取和逆向工程专有软件产品，滥用泄露的部件，或从地下市场购买代码。” 建议使用RES 3700 POS的酒店企业升级到软件的最新版本，并使用运行底层操作系统更新版本的设备。     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。