谷歌的安全团队近日发现存在于Windows 10 May 2019（Version 1903）功能更新中的某个BUG，能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂，主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。 在今天微软发布的安全公告(CVE-2020-0981 | Windows令牌安全特性绕过漏洞)对其进行了最简洁的解释： 当Windows无法正确处理令牌关系时，存在安全功能绕过漏洞。成功利用该漏洞的攻击者可以让具有一定完整性级别的应用程序在不同的完整性级别执行代码，从而导致沙盒逃脱。 谷歌的Project Zero安全团队发现了这个漏洞，如果被黑客利用能够绕过Chromium沙盒，运行任意代码。幸运的是，在本月补丁星期二活动日发布的累积更新（KB4549951）中，已经修复了这个漏洞。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/Gukd2lNr9lE8fluG4bFfSw 一、概述 两年前，腾讯安全威胁情报中心曝光了SYSCON/SANNY木马的活动情况，并且根据关联分析确定跟KONNI为同一组织所为。该组织的攻击对象包括与朝鲜半岛相关的非政府组织、政府部门、贸易公司、新闻媒体等。 SYSCON/SANNY木马是一个非常有特色的远程控制木马，通过ftp协议来进行C&C控制，该后门的主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门，偶尔也会针对东南亚等国进行攻击。该活动自2017年下半年开始活跃，并且对多个目标进行了攻击活动。被曝光后，该组织活动没有任何减弱的迹象。腾讯安全威胁情报中心根据该组织的特点，在2018年12月将其命名为“Hermit（隐士）”。 2020年，“Hermit（隐士）”APT组织依然保持较高的活跃度，攻击方式和木马行为上也有了较大的更新，因此我们对近期的攻击活动做一个整理，并对木马的一些更新情况做一个详细分析汇总。 二、诱饵 使用带有恶意Office宏代码的攻击诱饵依然是SYSCON/SANNY最常用的攻击方式，此外通过修改字体颜色来伪装宏代码的恶意行为也是该组织的特点之一，该特点一直保持至今。而诱饵的主题依然是紧贴时事热点，尤其是全球新冠疫情（COVID-19）热点以及朝鲜半岛相关的局部热点事件。 例如3月份“Hermit（隐士）”组织使用“口罩仅建议用于照顾COVID-19病人的人使用”的文档标题作为攻击诱饵。 “Hermit（隐士）”使用新冠疫情（COVID-19）口罩话题为诱饵 “Hermit（隐士）”组织使用2020年东京残奥会捐助相关的诱饵  “Hermit（隐士）”组织伪装成2020年朝鲜政策相关话题为诱饵  “Hermit（隐士）”组织使用朝鲜Covid-19疫情相关主题为诱饵 三、恶意宏代码分析 携带恶意宏代码的恶意Office文件几乎是该组织的唯一攻击方式，多数诱饵会在未启用宏的情况下在诱饵文件中显示诱导内容，诱导用户启用宏，在未启用宏的情况下字体为几乎无法查看的灰色。 诱导受害者启用恶意宏代码查看文档 多数诱饵的vba宏代码使用密码保护 宏代码中会调整图片大小以及修改字体颜色，用来隐藏真实的恶意行为 最新的攻击宏代码主要恶意行为是释放一个PE文件，并创建进程执行，执行时会将配置的CC信息作为命令行参数传递给恶意进程。 释放PE文件相关宏代码之一 释放PE文件相关宏代码之二 四、downloader&install过程分析 释放出的PE文件是一个downloader木马，其主要功能是从命令行参数中提取URL，并进行一系列的下载、解压和安装行为，以下以最新版本的文件up.exe（a83ca91c55e7af71ac4f712610646fca）作为样本进行详细分析。 up.exe行为 1）首先从参数中取出URL，然后判断操作系统是32位还是64位，如果32位则下载2.dat、64位下载3.dat下载完成后将其解密成temp.cab，随后执行expand命令对cab进行解压释放 downloader主要功能函数 2）cab内容如下，主要包含一个安装bat文件、一个RAT dll文件、一个ini文件 cab压缩包内容 3）检查当前进程权限，不同权限不同处理方式 进程权限检测相关代码 4）如果不是TokenElevationTypeLimited权限，即管理员用于以非管理员权限运行程序，则直接winexec执行install.bat，如果是TokenElevationTypeLimited则判断cmd.exe的版本，根据版本不同执行不同的UAC bypass策略，共内置了三种绕过UAC的方式。 根据cmd版本信息使用不同的UAC bypass方案 5）UAC bypass方式一相关代码 UAC bypass方式一 6）UACbypass方式二相关代码 UAC bypass方式二 7）UAC bypass方式三相关代码 UAC bypass方式三 8）install.bat的功能就是将wprint.dll和wprint.ini复制到system32目录，并创建服务持久化dll install.bat 五、RAT行为详细分析 1，首先判断目录下是否有dll同名的dat文件，如果有则读取并解密出配置信息，如果没有则读取同名的ini文件，即wprint.ini并解密，解密得到URL后进行不断尝试下载dat 解密ini获取url下载dat相关代码 2、wprint.ini解密结果如下：是一个url，使用URLDownloadToFile进行下载后存为wprint.dat 解密后的ini内容 3）读取wprint.dat并解密，得到包括ftpserver、username、password在内的配置信息 从dat从提取配置信息相关代码 4）根据配置信息连接ftpserver，并将server上的htdocs设置为当前目录，在其中创建一个以本地computername加密后的字符串为名称的新目录 连接ftpserver、创建目录相关代码 5）先后执行cmd /c systeminfo > temp.ini、cmd /c tasklist > temp.ini两个命令收集计算机信息和进程列表，加密上传temp.ini文件到ftpserver并以ff mm-dd hh-mm-ss.txt的时间格式命名。 执行命令获取信息相关代码 6）ftp上传文件相关代码，除了.cab、.zip、.rar外的其他扩展名文件均会被压缩成.cab后加密上传 上传信息、文件相关代码 7）依次下载ftpserver上的cc(x)文件到本地解析指令进行命令分发，x为从0开始依次自增的整数 获取控制指令相关代码 获取控制指令相关代码 8）命令文件格式为开头“#”字符与第二个“#”之间的为下发的文件内容，第二个“#”之后的为指令内容 解析控制文件cc相关代码 9）控制指令列表如下：主要完成cmdshell和文件上传下载执行的功能 10）cmd /c指令相关处理代码如下 cmd命令相关代码 11）/user指令相关处理代码如下 user命令相关代码 12）其他指令处理代码如下 其他命令相关处理代码 六、版本变化 SYSCON/SANNY的活动最早可追溯到2017年，使用ftp协议作为RAT控制协议的木马是该组织最早使用也是最长使用的手法，与之前版本的木马相比，近期攻击所使用的木马有以下升级点： 七、安全建议 腾讯安全威胁情报中心建议我国政府机关、重要企业、科研单位对APT攻击保持高度警惕，可参考以下建议提升信息系统的安全性： 1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件，在邮件目的及发件人均未知的情况下，建议不要访问附件。 2、建议企业用户使用腾讯T-Sec终端安全管理系统修补漏洞，及时安装系统补丁，可减少被漏洞攻击的风险。同时注意打开Office文档时，避免启用宏代码。 3、推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。 八、附录 IOCs HASH： guidance.doc： 677e200c602b44dc0a6cc5f685f78413 123.doc： 40e7a1f37950277b115d5944b53eaf3c Keep an eye on North Korean cyber.doc： 1a7232ef1386f78e76052827d8f703ae Kinzler Foundation for 2020 Tokyo Paralympic games.doc: faf6492129eeca2633a68c9b8c2b8156 ce26d4e20d936ebdad92f29f03dfc1d9 7e71d5a0f1899212cea498bbda476ce8 a83ca91c55e7af71ac4f712610646fca 77f46253fd4ce7176df5db8f71585368 62e959528ae9280f39d49ba5c559d8fb C2： phpview.mygamesonline.org firefox-plug.c1.biz win10-ms.c1.biz ftpserver:myview-202001.c1.biz username:3207035 password:1qazXSW@3edc 参考链接 https://mp.weixin.qq.com/s/rh4DoswLUNkS8uiHjrFU9A https://mp.weixin.qq.com/s/CBh2f-lfG5H4wcoj5VSfEw https://mp.weixin.qq.com/s/F2-DLtuHUkV_nCnKwp44_Q

世界卫生组织（WHO）近日报告称，针对组织工作人员的网络攻击以及针对普通公众的电子邮件诈骗数量大幅增加。而针对近期曝光的帐号泄漏事件，世卫组织表示这些泄漏的数据并不是最近才泄漏的，也没有给世卫组织的系统带来风险。 不过世卫组织表示这些泄漏的登录凭证在旧的外联网系统中使用，此前被现任和退休的工作人员以及合作伙伴使用。该卫生机构目前正在将受影响的系统迁移到一个更安全的认证系统。 根据新闻稿，诈骗者还冒充世卫组织，向公众发送电子邮件。诈骗者一直试图欺骗公众向一个虚构的基金捐款，而不是真正的COVID-19声援应对基金，该基金最终将帮助世界各国应对新的疾病。 世卫组织首席信息官贝尔纳多·马里亚诺在评论这一消息时说 确保会员国的健康信息的安全和与我们互动的用户的隐私是世卫组织在任何时候都要优先考虑的问题，尤其是在COVID-19大流行期间。我们感谢会员国和私营部门向我们发出的警报。我们大家都在这场斗争中携手并进。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/yxUTG3Qva169-XiYV0pAyQ   一、背景介绍 伴随新冠疫情在全球范围的爆发，疫情的动态资讯成为我们每天必会定接触到的外界信息，在这种大环境下，我们对疫情主题相关的推送信息警惕性会相对变低。而善于浑水摸鱼，披狼皮装羊的APT组织自然不会放过这种增热点的机会，以“新冠疫情”为主题的APT攻击活动从2月份起就持续不断。 最近，腾讯安全威胁情报中心就捕获到了一起响尾蛇（SideWinder）APT组织以新冠疫情为主题针对巴基斯坦军方的攻击活动。 响尾蛇（SideWinder）是腾讯安全威胁情报中心最早在2018年披露的APT攻击组织，该组织最早的攻击活动可以追溯到 2012 年。该组织主要针对巴基斯坦、中国大陆的政府、军工、军事目标等进行攻击活动。攻击武器库包括PC端、移动端等。 二、技术分析 本次攻击的诱饵为一个名为Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk的快捷方式文件： 该lnk文件的基本属性 诱饵的生成时间和其他属性 可以看到攻击者的诱饵生成时间为2019年的6月19日，在vmware虚拟机生成。 执行快捷方式后，会从http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e下载hta文件并且执行。 下载回来的hta会对受害设备上的.NET进行版本检测，删除除了V2和V4以外的版本，还通过shell指令指定执行的版本，此外，样本之后释放的的rekeywiz.exe.config配置文件目的与之相同，均为防止不同.NET版本之前出现兼容性问题。 除了对受害设备.NET版本进行版本选择之外，HTA文件还会对设备上的杀软进行检测： 之后，会创建一个HTA实例，通过url下载第二个HTA文件并将之执行，同时释放命名为“Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf”的PDF诱饵文档： 释放的诱饵文档为： 可以看到，诱饵内容跟新冠疫情、巴基斯坦军方相关。 第二个HTA文件其数据解密方式，以及总体框架与第一个HTA文件相同，主要功能是在C:\ProgramData\创建了一个fontFiles文件夹（包含释放的四个文件：Duser.dll、rekeywiz.exe、rekeywiz.exe.config、SOHYXY.tmp），利用rekeywiz.exe白文件加载Duser.dll黑文件。该白加黑的手法也是SideWinder惯用伎俩。其中TMP文件的文件名为随机字符： Duser.dll为一个加载器，主要目的是对之前释放的SOHYXY.tmp文件进行简单的异或解密，然后进行加载： 解密后的SystemApp.dll文件，是为最终释放的RAT。 该RAT的功能跟之前的类似，包括信息收集、文件上传等。 如对用户信息、设备信息、网卡信息、已安装杀软的信息、磁盘驱动设备信息、设备已安装进程信息等进行窃取、收集： 文件上传途径有两种，对应RAT在配置模块中的两个等待上传的文件列表，C2通过下发指令修改配置模块，实现对所有文件或指定文件的上传。文件上传： 对C2的下发指令进行分析，可得出以下指令集： RAT会在fontFiles文件夹中新建名为“font”的文件，用于保存C2下发的指令，但指令是经过加密的，经过解密之后，可查看指令明文，而每一次指令下发，原指令数据都会被覆盖，生成新的font文件。 三、关联分析 除了发现的以“新冠疫情”为主题的样本以外，我们还发现了SideWinder（响尾蛇）的多个其他攻击活动。 如Additional_CSD_Rebate.pdf.lnk，以向退役军人发放csd回扣卡为主题的进行钓鱼活动： 诱饵文件除了lnk之外，还有使用office漏洞的攻击，如 但是最终执行的payload都大同小异，就不再赘述。 四、安全建议 1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件，在邮件目的及发件人均未知的情况下，建议不要访问附件。 2、建议企业用户使用腾讯T-Sec终端安全管理系统（御点）修补漏洞，及时安装系统补丁，可减少被漏洞攻击的风险，同时注意打开Office文档时，避免启用宏代码。 3、推荐企业用户部署腾讯T-Sec高级威胁检测系统（御界）对黑客攻击行为进行检测。 腾讯T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接：https://cloud.tencent.com/product/nta 五、附录 1、IOCs 3c9f64763a24278a6f941e8807725369 40fd59323c3883717faca9424b29b9aa 3e0c08851aafbca17dda7ce54ba52cb9 1aa880affbd363401e1a25c07ad1ef1e 95413052d03971654687d8508a6a32e9 7a4f9c2e5a60ec498c66d85d2df351e8 120e3733e167fcabdfd8194b3c49560b 7442b3efecb909cfff4aea4ecaae98d8 bfad291d000b56ddd8a331d7283685b2 fef12d62a3b2fbf1d3be1f0c71ae393e 58363311f04f03c6e9ccd17b780d03b2 9b1d0537d0734f1ddb53c5567f5d7ab5 URL https://cloud-apt.net/202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254 https://www.d01fa.net /202/AEETLbHd0DGh9r86lU6CFOCttbakx5vMmEGfKLTP/16364/11542/9c8ea254 http://www.d01fa.net/plugins/16364/11542/true/true/ http://cloud-apt.net /plugins/16364/11542/true/true/ http://www.d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta http://cloud-apt.net /cgi/8ee4d36866/16364/11542/58a3a04b/file.hta http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e http://www.fdn-en.net/images/0B0D90AD/-1/2418/9ccd0068/9d68236 http://www.nrots.net/images/5328C28B/15936/11348/7c8d64e9/e17e25e http://ap-ms.net/202/M2qIMRE6Wu5W0pgsgYpzoKzlzclgtHbcLzhudKaF/-1/12571/d2d06434 https://www.sd1-bin.net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf https://reawk.net/202/jQcPZ3kx6hGod25WMnTocKStUToZEPRy6WfWkEX3/-1/12571/87854fea 2、参考链接 https://s.tencent.com/research/report/799.html https://s.tencent.com/research/report/659.html https://mp.weixin.qq.com/s/CZrdslzEs4iwlaTzJH7Ubg  

热门短视频应用 TikTok 近日被发现存在一个较大的安全隐患，由于部分资源内容未启用安全的 HTTPS 加密连接，导致其容易被黑客攻击而篡改。开发者 Talal Haj Baktry 和 Tommy Mysk 以近期流行的新冠病毒资讯类视频为例，对 TikTok 默认通过 HTTP 连接的资源进行了拦截追踪和篡改攻击。 月份的时候，专注于研究热门 App 中漏洞的两人，发现了一个能够用于窥探 iOS 用户剪贴板中内容的 bug 。 现在，Baktry 和 Mysk 又揭示了月用户 8 亿的热门短视频应用 TikTok 中的一个安全隐患 —— 即便是最新的版本，其仍在通过未加密的 HTTP 连接，来获取 CDN 上的资源。 这意味着 Android / iOS 客户端的 TikTok 用户的观看历史记录易受拦截，甚至为更隐蔽的中间人攻击（MITM）敞开了大门。 研究人员警告称，攻击者甚至可以通过入侵本地网络，将客户端上的视频替换成任何虚假的信息。 为作概念验证，二人搭建了模仿 TikTok 内容交付网络（CDN）的假服务器，然后顺利地利用 MITM 技术欺骗看 TikTok 客户端，将虚假信息视频呈现在了用户的手机屏幕上。 二人以充满错误信息的有关新冠病毒的编造视频片段，代替了世界卫生组织和红十字会的官方内容。Baktry 和 Mysk 写道： “我们成功拦截了 TikTok 的流量，并欺骗客户端来显示编造后的视频，就像它是经过验证的官方账户所发布的那样。对于那些以误导事实来污染互联网内容的人们来说，这简直是一款完美的工具”。 需要指出的是，这种特定的攻击需要访问确切的路由器配置，意味着它很可能被 Wi-Fi 运营商所利用。 此外，默认以 HTTP 连接来调取 CDN 内容的方式，或导致 TikTok 被恶意的无线网络接入点、虚拟专用网、互联网服务提供商、甚至情报机构所利用。 据悉，TikTok 通过 HTTP 来传说包括视频、个人资料照片和剪辑的预览图像等信息，但视频仍是此类社交媒体平台的最主要功能。 为消除安全等方面的诸多不良影响，大多数线上服务和网站都已经转移到 HTTPS 连接。遗憾的是，尽管苹果和谷歌也向 App 开发者提出了要求，但仍提供了向后兼容的非强制性选项。   （稿源：cnBeta，封面源自网络。）

安全研究员报告，流行的路由器发行版 OpenWRT 容易受到远程代码执行攻击，原因是它的更新是通过未加密渠道传输的，其数字签名验证很容易绕过。OpenWRT 被广泛用于路由器和其它嵌入式系统。 安全研究员 Guido Vranken 发现它的更新和安装文件是通过 HTTP 连接传输的，容易受到中间人攻击，攻击者可以用恶意更新文件去替换合法更新文件。 除此之外，它的数字签名检查和验证也很容易绕过，验证函数 checksum_hex2bin 存在 bug，在输入字符串前加空格可绕过检查，该 bug 是在 2017 年 2 月引入的。 组合这两个弱点攻击者可以向设备发送恶意更新并自动安装。OpenWRT 维护者已经释出了更新部分修复了问题。   （稿源：solidot，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/8pJCK6vyxbXJK08VgBZ6Ng 一、概述 DDG僵尸网络最早出现于2017年， 主要是通过对SSH 服务和 Redis 服务进行扫描暴破入侵LINUX系统挖门罗币获利，腾讯安全威胁情报中心曾多次披露该团伙的挖矿活动。近日，腾讯安全发现DDG僵尸网络频繁更新，在最近最近一个月内总共更新了9个版本，平均每周更新2个版本(DDG/5015-DDG/5023)。 DDG挖矿木马执行后会请求下发配置文件，根据配置文件下载挖矿木马wordpress及病毒脚本i.sh执行，此外最新版的DDG挖矿木马一大变化是会下载脚本uninstall.sh，quartz_uninstall.sh卸载腾讯云云镜，阿里云安骑士等安全防护产品以增强挖矿木马在服务器的存活时间。 病毒的挖矿行为会对服务器性能产生极大影响，腾讯安全专家建议Linux管理员注意避免使用弱密码，及时修补系统漏洞，在企业内网部署腾讯T-Sec高级威胁检测系统及时发现黑客控制服务器挖矿的事件发生。 二、详细分析 1.DDG挖矿木马一月更新九个版本 DDG挖矿木马更新频繁，最近一次更新是在3月31日，目前已更新到DDG/5023版本。从服务器文件变更时间看，最近一个月内(2月27-3月31)，总共更新了9个版本,平均每周更新2个版本(DDG/5015-DDG/5023) DDG挖矿木马最新的服务器下载地址为:hxxp://67.205.168.20:8000/static/xxxx/ddgs.$(uname -m)，其中xxxx为版本号，通过系统命令$(uname -m)获取到具体的系统版本来下载对应的版本。 2.下发配置文件 DDG木马通过向服务器hxxp:[ip]:[port]/slave发送 HTTP POST 请求来获取配置数据，最新的返回的配置数据包括挖矿木马wordpress的md5, ddg最新的更新地址,病毒脚本i.sh下载地址等信息。 3.病毒脚本i.sh 下载i.sh执行，下载地址:hxxp://67.205.168.20:8000/i.sh。主要功能有： (1) 创建定时任务,每15分钟执行一次，定时任务主要内容是下载执行  i.sh (2) 下载更新最新版的DDG病毒，目前已更新到DDG/5023版本 (3) 结束旧版本的木马进程。 4.卸载服务器安防产品 最新版的DDG木马一大变化是会下载脚本uninstall.sh，quartz_uninstall.sh，以卸载腾讯云云镜，阿里云安骑士等安全防护产品以实现在服务器的长时间驻留。 5.改写hosts文件，屏蔽竞争木马的网址 修改hosts文件，将trumpzwlvlyrvlss.onion等竞争木马的网址映射到ip地址0.0.0.0，以实现屏蔽竞争对手木马独占系统资源的目的。修改后的hosts文件如下 6.挖矿木马wordpress 下载门罗币挖矿木马wordpress，该木马由开源挖矿程序XMRig编译，挖矿木马执行后可以发现占用了极大的系统资源。 挖矿时使用矿池： 178.128.108.158:443 103.195.4.139:443 68.183.182.120:443 三、安全建议 腾讯安全专家建议企业采取以下措施防止挖矿木马控制服务器： 1.为Redis添加强密码验证，切勿使用弱口令； 2.定期对服务器进行加固，尽早修复企业服务器相关组件的安全漏洞，并及时进行漏洞修复； 3.推荐企业在终端或服务器上部署腾讯T-Sec终端安全管理系统拦截恶意软件，亦可考虑将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上； 4.推荐企业用户使用腾讯T-Sec高级威胁检测系统（御界）检测黑客攻击和挖矿行为。腾讯T-Sec高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。 IOCs MD5 DDG(5015-5023) e64b247d4cd9f8c58aedc708c822e84b 2c4b9d01d2f244bb6530b48df99d04ae d2a81a0284cdf5280103bee06d5fe928 495dfc4ba85fac2a93e7b3f19d12ea7d 682f839c1097af5fae75e0c5c39fa054 dc87e9c91503cc8f2e8e3249cd0b52d7 c8b416b148d461334ae52aa75c5bfa79 f84a0180ebf1596df4e8e8b8cfcedf63 14fcb1d3a0f6ecea9e18eff2016bc271 挖矿木马: d146612bed765ba32200e0f97d0330c8 i.sh: bceb6cbb2657e9a04b6527161ba931d8 IP: 67.205.168.20 47.94.153.241 61.129.51.79 47.101.35.209 矿池: 178.128.108.158:443 103.195.4.139:443 68.183.182.120:443

近日，Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用，Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出，攻击者可利用聊天模块的漏洞，窃取点击了相关链接的用户的 Windows 登陆凭据。 发送聊天消息时，所有发送的 URL 都将经过转换，以便群内其他成员点击，继而在默认的浏览器中打开网页。 然而安全研究人员 @ _g0dmode 发现，Zoom 客户端竟然还将 Windows 网络 UNC 路径，也转换成了聊天消息中可单击的链接。 如图所示，常规 URL 和 NUC 路径（\\evil.server.com\images\cat.jpg），都被转换成了聊天消息中的可点击链接。 若用户单击 UNC 路径链接，则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点，以打开远程路径中的 cat.jpg 文件。 默认情况下，Windows 将发送用户的登录名和 NTLM 密码哈希值，但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。 安全研究人员 Matthew Hickey（@ HackerFantastic）实测发现，其能够在 Zoom 中顺利注入，并且可以借助当前的民用级 GPU 和 CPU 来快速破解。 除了窃取 Windows 登陆凭据，Hickey 还向 Bleeping Computer 透露，通过点击链接的方式，UNC 注入还适用于启动本地计算机上的程序（比如 CMD 命令提示符）。 庆幸的是，Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞，Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能（屏蔽部分可点击的超链接）。 据悉，Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知，但目前尚不清楚该公司已采取怎样的行动。 注重安全的客户，可在官方补丁发布前，通过组策略来限制向远程服务器传出 NTLM 通信（参考如下操作）： 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全：限制NTLM -> 发送到远程服务器的 NTLM 通信（然后全部配置为拒绝）。 需要注意的是，如果在已经加入相关域的计算机上配置上述组策略时，可能会在尝试访问共享时遇到问题。 如果是无权访问组策略设置 Windows 10 家庭版用户，亦可使用注册表编辑器来完成相关限制操作（dword 配置为 2）： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]”RestrictSendingNTLMTraffic”=dword:00000002 如需正确创建此键值，Windows 用户记得以管理员身份来启动注册表编辑器。 若日后有必要恢复默认发送 NTLM 凭据的 Windows 行为，也只需删除对应的 RestrictSendingNTLMTraffic 键值。   （稿源：cnBeta，封面源自网络。）  

最大的暗网托管商 Daniel’s Hosting 再次被黑，数据库被删除，托管的7600个网站全部下线。它上一次被黑发生在 2018 年 11 月，这一次发生在 3 月 10 日，站长 Daniel Winzen 在一份声明中称，攻击者访问了服务的后端，删除了所有托管相关的数据库。 攻击者随后还删除了 Winzen 的数据库账号，创建了一个新的账号。Winzen 是在第二天发现入侵的，但为时已晚。他的服务设计没有备份——如果有备份的话托管商可能会收到法庭的传票，如果其托管的某个网站遭到调查的话——意味着数据无法恢复。 Winzen 表示他不知道黑客是如何入侵的，表示现在忙其它项目，没时间调查。   （稿源：solidot，封面源自网络。）

路透社报道称，随着新冠病毒引发的 COVID-19 疾病的全球大流行，世界卫生组织也在本月遭受了多倍的网络攻击。WHO 首席信息安全官 Flavio Aggio 表示：“黑客的身份尚不清楚，但他们本次并未得逞”。即便如此，安全专家还是将源头指向了某个被称作 DarHotel 的高级网络间谍黑客。 Flavio 警告称：疫情爆发以来，冠状病毒已在全球范围内导致了 1.5 万多人的死亡，同时针对抗击疫情的世界卫生组织及其合作机构的攻击企图也出现了激增。 网络安全专家兼纽约黑石法律集团律师 Alexander Urbelis 指出，其在 3 月 13 日前后监测到了针对 WHO 的恶意活动。 当时他正在对一群黑客保持持续的关注，结果发现他们激活了一个山寨 WHO 内部电子邮件系统的恶意网站，于是很快意识到了黑客组织的攻击企图。 尽管 Urbelis 表示自己不清楚谁该为此事负责，但据另外两位消息人士透露，其怀疑幕后是一个名叫 DarkHotel 的高级黑客。自 2007 年以来，他就一直在从事网络间谍活动。   （稿源：cnBeta，封面源自网络。）