据外媒报道，从历史上看，勒索软件依赖于加密数据，然后借此索要赎金。但F-Secure的一份新报告显示，2020年，偷窃数据的勒索软件有所增加，这让攻击者对受害者有了更大的影响力。如果组织首先拒绝支付赎金来解密他们的数据，那么攻击者就会威胁泄漏被盗的信息并增加受害者的压力。 2019年，只有一个勒索软件组被观察到使用这种类型的勒索–被称为Ransomware 2.0，但到2020年底，已有15个不同的勒索软件家族采用了这种方法。此外，截止到去年年底，在2020年发现的近40%的勒索软件家庭及一些年龄更大的家族都曾窃取过受害者的数据。 报告还显示了其他一些网络安全趋势，包括攻击者使用Excel公式（一种无法被阻止的默认功能）来混淆恶意代码，但到2020年下半年，恶意代码的数量将增加两倍。 据悉，Outlook是最受钓鱼邮件欺骗的品牌，其次是Facebook和Office365。2020年，电子邮件占所有恶意软件感染尝试的一半以上，从而使其成为网络攻击中传播恶意软件最常见的方法。 在过去10年的显著供应链攻击中，报告强调，超一半的攻击目标是公用事业或应用软件。报告作者们表示，希望去年的SolarWinds黑客事件将引起人们对这些攻击可能产生的影响的更多关注。 “在安全方面，我们非常重视组织通过拥有强大的安全防线、快速识别漏洞的检测机制以及遏制入侵的响应计划和能力来保护自己。然而，跨越行业和边界的实体也需要共同努力，从而应对供应链上游的安全挑战。高级持续性威胁组织显然已经准备好并愿意通过这种方式危及数百个组织，我们应该共同努力对抗他们，”F Secure战术防御部门经理Calvin Gan说道。           （消息及封面来源：cnBeta）

分析公司Canalys警告说，未能在网络安全上投入更多资金的企业将面临 “大量倒闭”。因为研究人员发现过去的12个月里，被入侵的数据比过去15年的总和还要多。勒索软件攻击数量激增，在全球性卫生事件的背景下，医院又成为特殊的目标。由于社交距离和线上工作逐步成为常态，许多企业以牺牲网络安全为代价实施业务连续性措施，进一步加剧了网络安全问题。 Canalys首席分析师Matthew Ball在评论这份全新的有关网络安全的报告时表示： “网络安全必须成为数字计划的前沿和中心，否则将出现大规模的企业组织灭绝，这将威胁到COVID-19大流行后的经济复苏。对网络安全关注的失误已经产生了重大影响，导致当前数据泄露危机的升级和勒索软件攻击的加速。” 虽然Canalys表示，在网络安全支出方面还需要做更多的工作，但它也表示，去年网络安全投资已经明显高于IT行业的其他领域。网络安全支出增长到530亿美元，大增10%，但并非增长最快领域，表现优于网络安全的领域是业务连续性和劳动力生产力，其中云基础设施服务增长33%，云软件增长20%。 从单个公司来看，Zoom的远程沟通方案令其营收猛增300%，微软Office 365办公环境带来的业绩保持了两位数的增长，硬件方面，笔记本电脑的出货量也创下了历史新高，罗技的网络摄像头销量也在蓬勃发展，甚至连Wi-Fi路由器的销量也随着人们转向在家办公而增长了40%。 虽然这些事情都很重要，但Canalys最终还是希望企业增加在网络安全方面的支出，因为不这样做最终可能会因为恢复成本过高而导致企业破产。           （消息及封面来源：cnBeta）

许多企业内部的Exchange服务器正在忙着打补丁，但微软警告说，调查发现，在已经被入侵的系统上潜伏着多种威胁。攻击者惯常使用Web Shell脚本来获得服务器上的持久权限，或者攻击者在早期的攻击中就已经窃取了凭证。微软在3月2日发布了Exchange内部系统的补丁。四个Exchange错误已经受到了一个名为Hafnium的国家支持的黑客组织的攻击。 微软本周早些时候表示，已经检测到92%的脆弱的Exchange服务器已经打了补丁或采取了缓解措施。然而，网络安全公司F-Secure表示，已经有 “数万台”Exchange服务器被入侵。 在一篇新的博客文章中，微软重申了它的警告，即 “给系统打补丁并不一定能消除攻击者的访问”。”许多被入侵的系统还没有收到二次行动，例如人为操作的勒索软件攻击或数据外流，这表明攻击者可能正在建立和保留他们的访问权限，以便以后的潜在行动，”微软365 Defender威胁情报团队指出。 在系统被入侵的地方，微软敦促管理员实践最小特权原则，减轻网络上的横向移动。最低权限将有助于解决常见的做法，即Exchange服务或计划任务已被配置为具有高级权限的帐户来执行备份等任务。”由于服务账户凭证不会经常改变，这可以为攻击者提供很大的优势，即使他们由于防病毒检测而失去了最初的Web Shell访问，因为该账户可以用于以后提升权限，”微软指出。 以DoejoCrypt勒索软件（又名DearCry）为例，微软指出，该病毒株使用的web shell会将一个批处理文件写入C:\Windows\Temp\xx.bat。这在所有被DoejoCrypt击中的系统中都被发现，并且可能为攻击者提供了一条重新获得访问的途径，在那里感染已经被检测和删除。 “这个批处理文件会执行安全账户管理器（SAM）数据库以及系统和安全注册表蜂巢的备份，允许攻击者稍后访问系统上本地用户的密码，更关键的是，在注册表的LSA[本地安全]部分，那里存储着服务和计划任务的密码，”微软指出。 即使在受害者没有被勒索的情况下，攻击者使用特殊设计后的xx.bat批处理文件也可以通过当初投放该文件的Web Shell设法继续访问。在下载勒索软件载荷和加密文件之前，Web Shell还会协助下载Cobalt Strike渗透测试套件。换句话说，受害者今天可能没有被勒索，但攻击者已经在网络上留下了明天动手的工具。 Exchange服务器面临的另一个网络犯罪威胁来自于恶意加密货币矿工。据观察，Lemon Duck加密货币僵尸网络就在利用脆弱的Exchange服务器。有趣的是，Lemon Duck的操作者用xx.bat文件和一个Web Shell清理了一台之前已经被黑过的Exchange服务器，使其独占Exchange服务器的权限。微软还发现，服务器被用来安装其他恶意软件，而不仅仅是挖掘加密货币。 微软同时公布了大量的泄密指标，系统管理员可以利用这些指标来搜索这些威胁的存在和凭证被盗的迹象。           （消息及封面来源：cnBeta）

最近，我们发现了一些无法解压的D-Link路由器的固件样本。通过分析类似的更旧、更便宜的设备（DIR882），我们可以找到一种破解固件加密的方法，以防止篡改和静态分析。本系列文章重点介绍了编写自定义解密例程的结果和必要步骤，该例程也可用于其他模型，后续会对此进行更多介绍。 … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1523/           消息来源：Low-level adventures，译者：小江； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

早在 2018 年，安全研究人员就已经发现了后被命名为 Purple Fox 的 Rootkit 恶意软件，起初攻击者主要利用网络钓鱼电子邮件和漏洞利用工具包进行传播。然而 Guardicore 安全研究人员 Amit Serper 和 Ophir harpaz 在一篇博客文章中指出：在利用了一种全新的感染技术之后，该恶意软件已能够在 Windows 设备间更迅速地传播，且僵尸网络的规模也在不断增长。 研究人员指出，该恶意软件正在对使用弱密码和面向互联网的 Windows 计算机发起新一轮攻击。此外通过利用新的感染技术，其传播速度也得到了极大的增强。 具体说来是，该恶意软件通过针对服务器信息块（简称 SMB）来猜测 Windows 用户帐户的弱密码，进而使 Windows 与其它设备（例如打印机和文件服务器）进行通信和达成传播感染的目的。 一旦获得了易受攻击的计算机的访问权，Purple Fox 就会从将近 2000 台较旧且受感染的 Windows Web 服务器网络中，提取恶意负载并悄悄安装 Rootkit、让恶意软件持久锚定在计算机上，同时更加难以被发现、检测和删除。 研究人员指出，一旦被感染，该恶意软件就会关闭最初用于感染计算机的防火墙端口，这或许可阻止重复感染、或避免被其它攻击者入侵并劫持受害者的计算机。 之后，该恶意软件会生成一份 Internet 地址列表，扫描网络上具有弱密码的易受攻击的设备，以进一步感染和创建一个不断扩大的僵尸网络。 通常情况下，黑客会利用僵尸网络来发起 DDoS 攻击，但也可以用于散播恶意软件和垃圾邮件、或在受感染的计算机上部署加密劫持用户文件的勒索软件。 Guardicore 北美安全研究副总裁 Amit Serper 表示，由于自身传播的能力较强，蠕虫僵尸网络对受害者造成的风险也更大。相较于此前的网络钓鱼和漏洞利用工具包，蠕虫感染技术的“运营成本”也更低。 作为一种“机会主义”的攻击形式，它会不断扫描互联网并寻找更易受攻击的机器，意味着攻击者可以一劳永逸。 根据 Guardicore 的互联网传感器监测数据，自 2020 年 5 月以来，Purple Fox 的感染率已飙升 600%，且实际数量可能会更高（过去一年总计超狗 90000 感染）。             （消息及封面来源：cnBeta）

Kek Security （Keksec）是一个极为活跃的黑客组织，Checkpoint和Netlab360的报告都对其进行了详细分析。Keksec利用多个漏洞，使用多态工具(包括Linux和Windows有效负载)自定义python恶意软件以攻击多个架构。目前该黑客组织正在积极构建IRC僵尸网络，用于DDoS攻击和勒索活动。本文详细介绍了Keksec利用的工具和使用的策略，以及相关黑客的信息。 … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1520/     消息来源：Lacework， 译者：小江； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近日，NHS Horizons官员的推特帐户被黑客入侵后被用来宣传PS5。据BBC报道称，NHS Horizons高官Helen Bevan发现她的两个推特帐户遭到了黑客的攻击，黑客在黑入后把头像改成了PS5的标识。 由于Bevan没有开启双重身份验证，帐号在经历了几天后才被找回。找回后Bevan发现在私信中有不少人向她询问关于PS5的具体情况。 在随后的推文中，Bevan表示，她希望其他人引以为戒，在推特账户上开启双重身份验证来避免类似的情况。           （消息及封面来源：cnBeta）

网络检测和响应公司Vectra AI的最新研究显示，由于COVID-19，88%的公司已经加快了云和数字化转型项目。但它还发现，71%的Office 365用户遭遇恶意账户接管。 令人担忧的是，只有三分之一的安全专业人员认为他们可以立即识别和阻止账户接管攻击，大多数人预计需要几天甚至几周的时间来拦截这种违规行为。Vectra公司CTO团队技术总监Tim Wade说：”我们经常看到基于身份的攻击被用来绕过传统外围防御，如多因素认证（MFA）。帐户接管正在取代网络钓鱼成为最常见的攻击载体，而MFA防御系统现在已经变成减速带，而无法阻止攻击。组织需要认真对待这一点，并计划在业务发生实质性中断之前检测和控制账户泄露。恶意访问，即使是短时间的，也会造成巨大的损失。” 安全团队对自己公司安全措施有效性有很高的信心。近五分之四的人声称对绕过防火墙等外围防御的攻击有良好或非常好的可视性。然而，管理层受访者和SOC分析师等从业人员之间的意见存在有趣的对比，管理人员对自己的防御能力表现出更大的信心。总的来说，微软Office365客户提到的最主要的安全问题是云端保存的数据被泄露的风险、账户被接管的风险以及黑客隐藏行踪的能力。 经理们明显比那些在工作场所进行具体工作的人更有信心，这里有一定程度的自欺欺人，也许是因为与高级管理层分享的指标往往更多关注的是被阻止的攻击量，而不是攻击的严重性或达成确定结论的调查数量。不管是什么原因，重要的是不要自满，要对新类型的攻击保持持续的警惕。           （消息及封面来源：cnBeta）

Apple Insider 报道称，在拜登政府概述了加强政府网络安全的计划之后，微软也决定在内部开展调查，以明确日益严重的 Exchange 服务器攻击是否源于潜在的漏洞。《华尔街日报》 周一报道指出，这家科技巨头发起了一项专门的调查，以检查“敏感信息”是否经由该公司的某些安全合作伙伴渠道而泄露。 具体说来是，微软正调查是否有人有意或无意地泄露了该公司私下发送给 MAPP 项目成员的概念验证代码。 据悉，MAPP 全称为 Microsoft Active Protections Program，目前已有大约 80 个组织成员。 3 月初的时候，微软发布了针对 Exchange 邮件服务器、正在被积极利用的四个零日漏洞的紧急补丁。 早在今年 1 月，微软就已经发现了这方面的问题。且在补丁发布前的 2 月 23 日，至少与少数几位 MAPP 合作伙伴探讨过概念验证用途的攻击代码。 结果表明，Exchange 攻击中使用的某些工具，与其私有代码具有一定程度的相似性。相关攻击波及全美至少 3 万个机构，其中包括了许多知名企业。 3 月 11 日，一名安全研究人员简要发布了微软的 GitHub 概念验证代码。但在首波攻击发起之后，相关漏洞也很快被其它网络犯罪组织所利用。 尽管该代码很快被移除，但仅一天之后，安全研究人员和联邦机构就开始发出警告，称相关漏洞已被用于在受感染机器上部署勒索软件。   【背景资料】 在 Exchange 邮件服务器漏洞攻击事件爆发之前，微软也曾于 2020 年遭到 SolarWinds 黑客入侵事件的影响。 3 月 12 日，白宫方面分享了新闻界人士和某位政府高级官员之间的谈话内容简报，概述了美国应积极制定相应计划，以应对日益严峻的网络安全事件。 这位高级官员称，拜登政府希望企业在软件构建和采购等方面优先考虑安全性。同时在网络安全的响应上，也应将重点放在与私营企业的更机密合作上。         （消息来源：cnBeta；封面源自网络）

通常情况下，基于 Linux 的发行版本要比 Windows 更加安全，但这并不是说就没有漏洞了。近日，网络安全公司 GRIMM 的安全研究人员在 Linux 内核中发现了不少于 3 个漏洞，可以利用这些漏洞可以获得系统的 root 权限。更重要的是，这些漏洞已经存在长达 15 年之久。 这些漏洞（被追踪为 CVE-2021-27363、CVE-2021-27364 和 CVE-2021-27365）存在于内核的 iSCSI 模块中。虽然在默认情况下该模块是没有被加载的，但是 Linux 内核对模块按需加载的支持意味着它可以很容易地被调用到行动中。安全专家在 Red Hat 所有已测试版本和其他发行版本中均存在这些漏洞。 在 GRIMM 博客上，安全研究员 Adam Nichols 表示：“我们在 Linux mainline 内核的一个被遗忘的角落里发现了 3 个BUG，这些 BUG 已经有 15 年的历史了。与我们发现的大多数积满灰尘的东西不同，这些 BUG 依然存在影响，其中一个原来可以作为本地权限升级（LPE）在多个 Linux 环境中使用”。 这些漏洞存在于无法远程访问的代码中，所以无法被黑客远程利用。但这并不意味着它的破坏力不强。Nichols 警告说黑客可以利用这些漏洞发起任何现有的网络威胁，甚至于会让事情变得更加糟糕。可以想象在你的系统中有不信任的用户以 root 权限访问，这是多么的可怕。 在详细介绍这三个漏洞的博文中，Nichols 解释了受影响的系统类型：”为了让这些漏洞暴露在用户区，scsi_transport_iscsi 内核模块必须被加载。当执行创建 NETLINK_ISCSI 套接字的调用时，这个模块会被自动加载。此外，至少有一个 iSCSI 传输必须在 iSCSI 子系统中注册。在某些配置中，当无权限的用户创建 NETLINK_RDMA 套接字时，ib_iser 传输模块将被自动加载。” 正如 SC Media 所解释的那样，这些漏洞已经在以下内核版本中得到修复：5.11.4、5.10.21、5.4.103、4.19.179、4.14.224、4.9.260 和 4.4.260。而其他已经停止支持的内核将不会收到本次安全修复。             （消息及封面来源：cnBeta）