今天路透社报道称，微软在被黑客入侵之后，其资产被操纵从而参与了针对Solarwinds的攻击，有超过1.8万家公司和政府机构被感染了一个后门，这个后门将允许黑客（很可能是来自俄罗斯的黑客）自由访问他们的网络。 微软表示，他们已经在公司内部检测到了SolarWinds软件的恶意版本，但同时也表示，到目前为止，其调查没有显示出黑客利用微软系统攻击客户的证据。 官方声明称：“和其他SolarWinds客户一样，我们一直在积极寻找这个行为者的特征，并可以确认我们在环境中检测到了恶意的SolarWinds二进制文件，我们现在已经对其进行了隔离和删除，但没有发现访问生产服务或客户数据的证据。我们的调查正在进行中，重申绝对没有发现任何迹象表明我们的系统被用来攻击他人。” 微软一直在参与开发针对恶意软件Sunburst的专杀工具，但FireEye警告说，黑客可能已经利用该恶意软件在网络上植入效力更持久的恶意软件，这可能更难检测和消除。         （消息来源：cnBeta；封面来自网络）

最新研究显示，越来越多的网络犯罪分子利用商品恶意软件和攻击工具，将部署勒索软件的任务外包给其附属机构。 Sophos发布的一项新分析表示，Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。 分支机构通常是负责在目标网络中获得初始立足点的攻击者。 Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说：“SystemBC是最近勒索软件攻击者工具中的常规部分。” “后门可以与其他脚本和恶意软件结合使用，以自动方式跨多个目标执行发现、过滤和横向移动。这些SystemBC功能最初是为大规模利用而设计的，但现在已被整合到针对性攻击的工具包——包括勒索软件。” 2019年8月，Proofpoint首次记录了SystemBC。它是一种代理恶意软件，它利用SOCKS5互联网协议屏蔽命令和控制（C2）服务器的流量并下载DanaBot银行木马。 此后，SystemBC RAT利用新特性扩展了工具集的范围，允许它使用Tor连接来加密和隐藏C2通信的目的地，从而为攻击者提供一个持久的后门来发起其他攻击。 研究人员指出，SystemBC已被用于许多勒索软件攻击中，通常与其他后攻击工具（如cobaltstake）一起使用，以利用其Tor代理和远程访问功能来解析和执行恶意shell命令、VBS脚本，以及服务器通过匿名连接发送的其他DLL blob。 另外，SystemBC似乎只是众多商品工具中的一个，这些工具最初是由于网络钓鱼邮件而被部署的。这些邮件会传递诸如Buer Loader、Zloader和Qbot之类的恶意软件加载程序，这使得研究人员怀疑这些攻击可能是由勒索软件攻击者的分支机构发起的，或者勒索软件攻击者本身通过多个恶意软件即服务发起的。 研究人员表示：“这些功能使攻击者能够使用打包的脚本和可执行文件进行发现、过滤和横向移动，而无需动用键盘。” 商品恶意软件的兴起也表明了一种新的趋势，即勒索软件作为服务提供给附属公司，就像MountLocker那样，攻击者向附属公司提供双重勒索能力，以便以最小的代价分发勒索软件。 Gallagher表示：“在勒索软件即服务攻击中使用多种工具会产生越来越多样化的攻击模式，IT安全团队更难预测和应对。深入防御、员工培训和以人为基础的威胁搜索对于检测和阻止此类攻击至关重要。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

一种新的蠕虫僵尸网络通过GitHub和Pastebin传播，在目标系统上安装加密货币矿工和后门，并扩展了攻击web应用程序、IP摄像机和路由器的能力。 上个月初，Juniper威胁实验室的研究人员记录了一个名为“Gitpaste-12”的加密挖掘活动，该活动使用GitHub来托管包含多达12个已知攻击模块的恶意代码，这些代码通过从Pastebin URL下载的命令执行。 这些攻击发生在2020年10月15日开始的12天中，而Pastebin URL和存储库于2020年10月30日被关闭。 现在，根据Juniper的说法，第二波攻击始于11月10日，使用的是来自不同GitHub存储库的有效负载，其中包括一个Linux加密矿工（ls）、一个包含暴力尝试密码列表的文件（pass），以及一个针对x86_64 Linux系统的本地权限提升漏洞。 最初的感染是通过X10-unix（一种用Go编程语言编写的二进制文件），然后从GitHub下载下一阶段的有效负载。 Juniper的研究员Asher Langton指出，“该蠕虫针对web应用程序、IP摄像头、路由器等进行了一系列广泛的攻击，涉及至少31个已知漏洞（其中7个漏洞在之前的Gitspaste-12示例中也出现过），试图破坏开放的Android Debug Bridge连接和现有恶意软件后门。” 31个漏洞中包括F5 BIG-IP流量管理用户界面（CVE-2020-5902）、Pi-hole Web（CVE-2020-8816）、Tenda AC15 AC1900（CVE-2020-10987）、vBulletin（CVE-2020-17496），以及FUEL CMS（CVE-2020-17463），这些漏洞都是今年曝光的。 值得注意的是，今年10月，人们观察到Mirai僵尸网络的新变种Ttint利用包括CVE-2020-10987在内的两个Tenda路由器零日漏洞，传播能够执行拒绝服务攻击、执行恶意命令、实现远程访问的反向shell的远程访问木马（RAT）。 除了在机器上安装X10-unix和Monero加密挖掘软件外，该恶意软件还打开了监听端口30004和30006的后门，将受害者的外部IP地址上传到私有的Pastebin，并试图连接到5555端口上的Android Debug Bridge连接。 连接成功后，它继续下载Android APK文件（“weixin.apk”），最终安装了一个ARM CPU版本的X10-unix。 据Juniper估计，总共至少有100个不同的宿主被发现传播这种感染。 完整的恶意二进制文件和其他与活动相关的危害指标（IOC）可以在这里访问。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

一伙为不法分子提供攻击工具的黑客找到了一种非常巧妙的方法，能够绕过目标网络的多因素身份验证（MFA）系统。根据安全公司 Volexity 本周一发布的博文，他们在 2019 年年末和 2020 年年初发现了这些攻击者的踪迹，并不少于 3 次利用该方法潜入某些机构内部。 在一次入侵期间，Volexity 的研究人员注意到黑客使用一种新颖技术绕过了 Duo 提供的 MFA 保护。在受感染的网络上获得管理员特权后，黑客使用这些不受束缚的权限从运行 Outlook Web App 的服务器上窃取了名为 akey （企业为各种网络服务提供帐号身份验证）的 Duo 机密。 然后，黑客使用 akey 生成 cookies。因此，当拥有正确用户名和密码的用户登录之后，黑客就能通过 cookies 接管账户。Volexity 认为该方法是由黑客集团  Dark Halo 提供的。研究人员 Damien Cash，Matthew Meltzer，Sean Koessel，Steven Adair 和 Thomas Lancaster 写道： “在 Volexity 对 Dark Halo 的第二次调查进入尾声的时候，研究人员观察到黑客通过 Outlook Web App 访问了用户的电子邮件账户。出于某些原因，这是完全意外的，最重要的原因是目标邮箱是受到 MFA 保护的。 来自Exchange服务器的日志显示，攻击者提供的用户名和密码身份验证正常，但没有通过Duo受到第二方面的挑战。来自Duo身份验证服务器的日志进一步表明，未尝试登录到该帐户。 Volexity能够确认不涉及会话劫持，并且通过OWA服务器的内存转储，还可以确认攻击者提供了与名为duo-sid的Duo MFA会话绑定的cookie。 Volexity对这一事件的调查确定，攻击者已从OWA服务器访问了Duo集成密钥（akey）。然后，该密钥使攻击者可以得出在duo-sid cookie中设置的预先计算的值。成功进行密码身份验证后，服务器评估了duo-sid cookie并确定其有效。 这使攻击者知道用户帐户和密码，然后完全绕过帐户上设置的MFA。此事件强调了确保与密钥集成关联的所有机密（例如与MFA提供者的机密）在发生泄露后应进行更改的必要性。此外，重要的是，不仅要在违规后更改密码，而且不要将密码设置为与以前的密码类似的内容（例如，Summer2020！vs Spring2020！或SillyGoo $ e3 vs SillyGoo $ e2）。”         （消息及封面来源：cnBeta）

这篇文章包含近期国家网络攻击背后攻击者的技术细节。以下是攻击者常使用的工具及技术： 通过SolarWinds Orion产品中的恶意代码入侵。这导致攻击者在网络中获得立足点，从而获得更高的凭据。详请参阅SolarWinds安全咨询。 一旦进入网络，攻击者就会使用通过本地泄露获得的管理权限来访问组织的全局管理员帐户/可信的SAML令牌签名证书。这使得攻击者能够伪造SAML令牌，以模拟任何现有用户和帐户，包括高权限帐户。 然后，可以针对任何本地资源（无论身份系统或供应商如何）以及任何云环境（无论供应商如何）使用由受损令牌签名证书创建的SAML令牌进行异常登录。因为SAML令牌是用它们自己的可信证书签名的，所以组织可能会忽略异常。 使用全局管理员帐户/可信证书来模拟高权限帐户，攻击者可以向现有应用程序或服务主体添加自己的凭据，使它们能够使用分配给该应用程序的权限调用API。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1427/         消息及封面来源：Microsoft，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

援引路透社报道，黑客滥用微软的 Microsoft 365 平台对美国财政部进行了长达数月的监控。作为回应，微软今天发布了 IT 管理员指南，帮助他们寻找和缓解潜在的恶意活动。 不过，微软否认云服务遭到入侵。在声明中表示：“我们还想要向所有客户澄清，在这些调查中我们并没有在微软任意产品和云服务中发现漏洞。”不过微软强调正在开展针对政府、私营企业的大规模调查活动，并警告安全人员注意以下迹象： ● 通过 SolarWinds Orion 产品中的恶意代码入侵 这导致攻击者获得了网络中的立足点，攻击者可以使用该立足点来获得更高的凭据。 Microsoft Defender 现在可以检测到这些文件。另请参见 SolarWinds 安全公告。 ● 伪造 SAML 令牌 入侵者使用通过本地折衷获得的管理权限来访问组织的受信任的SAML令牌签名证书。这样一来，他们就可以伪造SAML令牌，以模拟组织的任何现有用户和帐户，包括特权较高的帐户。 使用由受损的令牌签名证书创建的SAML令牌进行的异常登录，由于已对其进行了配置，因此可以将其用于任何本地资源（无论身份系统或供应商如何）以及任何云环境（无论供应商如何）信任证书。由于SAML令牌是使用其自己的受信任证书签名的，因此组织可能会遗漏异常。 ● 获取高权限账户 使用通过上述技术或其他方式获得的高特权帐户，攻击者可以将自己的凭据添加到现有的应用程序服务主体，从而使他们能够使用分配给该应用程序的权限来调用API。     （消息及封面来源：cnBeta）

外媒报道称，欧洲药品管理局（EMA）刚刚经历了一次网络攻击事件，黑客或许已经窃取了与 COVID-19 疫苗认证相关的文件。生物技术公司 BioNTech 在周三的一份声明中称，攻击者“非法获取”了该公司及其合作伙伴（辉瑞）提请的与候选新冠病毒疫苗有关的监管文件。 负责审查疫苗有效性的欧洲药品管理局（EMA）在官方声明中证实了本次攻击，目前相关调查仍在进行中，因此不方便披露更多细节。庆幸的是，EMA 表示黑客入侵并不会影响相关疫苗的审核与上市安排。 BioNTech 补充道，该公司的服务器并未受到本次攻击事件的影响，目前也没有发现 4.35 万例测试者中有任何人的数据被盗。 目前尚不清楚幕后黑手的真实意图和身份，但一些人猜测可能与正在研发 COVID-19 疫苗的其它制药公司有关。 与此同时，英国已在本周二开启了大规模的疫苗接种计划。其计划使用在临床试验中具有高达 95% 有效率的 BioNTech 和辉瑞疫苗，预计可在 12 月底覆盖 400 万人。           （消息及封面来源：cnBeta）

根据 Risk Based Security 公布的最新报告[PDF]，虽然在今年第一季度披露的漏洞数量同比有所下降，但全年漏洞数量达到甚至超过 2019 年的水平。虽然第一季度已披露的漏洞数量同比下降了 19.2%，不过根据 Risk Based Security 的 VulnDB 团队对今年前三季度的统计，累计披露漏洞数量为 17129 个，和去年同期相比仅差 4.6%。 Risk Based Security 漏洞情报副总裁 Brian Martin 表示：“在今年第一季度末，漏洞数量比 2019 年同期锐减 19.2%。从统计学角度来说，这是非常巨大的变化。但随着 2020 年的推移，我们可以看到新冠疫情对漏洞的影响有多大”。 该报告还指出，仍有600个漏洞处于CVE保留状态，这意味着依赖CVE数据库的组织和安全产品无法找到它们的详细信息。微软在第三季度的漏洞数量增加了39％，跃升至前十名中的第九名，跃升至其他供应商。补丁星期二活动修复的漏洞数量也有所增加。 Martin 表示：“补丁星期二活动已经成为一项非常严肃的工作，可能会对 IT 团队造成难以置信的负担，这些团队的补救工作可以持续数周时间。毋庸置疑，随着星期二补丁程序工作量的增加，补救所需的时间也会随之而来。仍仅依靠 CVE / NVD 的组织，他们可能会发现，由于 MITER ‘遗漏’的漏洞数量保持一致，他们的时间表可能会进一步延长”。         （消息及封面来源：cnBeta）

网络安全公司难道也不安全了吗？全球最大的网安公司之一、总部位于美国加州的火眼（FireEye）8日证实，该公司用于测试客户防御能力的软件工具遭到一次高度复杂的国家级别网络攻击。据美国《华尔街日报》9日报道，火眼表示，此次被黑客攻击的工具名为“红队”，此类工具可以用于检查火眼公司客户的防御系统，找出可能被攻击的漏洞。 此外，黑客还侵入了一些内部系统，主要寻求有关政府客户的信息。火眼透露，目前为止，还没有任何证据表明，存储客户数据的主系统有数据外泄。火眼公司在全球拥有大量客户，包括索尼等跨国企业，也包括美国国土安全部等美国联邦和地方政府部门。 火眼首席执行官、前空军军官凯文·曼迪亚在8日发表的一篇博客文章中说，“我的结论是，我们正在见证一场拥有顶级进攻能力的国家发动的袭击。袭击者专门针对火眼打造了世界级的攻击能力。”火眼表示，正在与美国联邦调查局（FBI）和包括微软在内的行业伙伴合作，继续调查此事。FBI网络部门助理主管马特·戈汉姆在一份书面声明中表示，“FBI正在调查这起事件，初步迹象显示，实施者的老练程度达到了国家级别。” 报道援引了解调查情况人士的话称，黑客训练有素，罕见地使用了多种攻击工具的组合，其中一些工具显然以前没有在任何已知网络攻击中使用过，老练程度非同一般，同时也展示了不寻常的意志决心，而且这些工具是专门用于破坏火眼的。这些黑客据称还采用了先进的手段来隐藏自己的活动与身份。目前还不清楚此次攻击是在何时发生的，也不清楚火眼发现被攻击的确切时间，了解调查情况的人士称，该公司并不确定攻击者是如何入侵自身系统的。 国内一名不具名的网络安全专家9日接受《环球时报》记者采访时表示，虽然火眼是全球最大的网络安全公司之一，但“没有黑不了的系统，就算再专业的安全公司也不能保证百分百安全”。这名网络安全专家表示，火眼之所以成为攻击目标，可能是由于拥有专业的网络攻击武器库，并掌握一些行业内尚未发现的漏洞，这些漏洞具有较高的价值。这并非是火眼公司首次遭到黑客攻击。2017年，火眼旗下的Mandiant公司的内网也曾被黑客入侵，导致大量内部资料泄露。 上述网络安全专家表示，由于此次攻击手段主要是APT攻击，防御难度较大。所谓APT攻击是指高级可持续威胁攻击，不仅会采用传统的网络攻击技术，也会结合一些社会工程学手段，通过人的弱点结合漏洞进行尝试攻击。 《华尔街日报》称，火眼不愿就该公司认为谁是侵入自己黑客工具的幕后黑手置评，但一位知情人士表示，包括美国情报部门在内的调查机构目前认为，俄罗斯是最有可能的罪魁祸首，但调查还在继续。该知情人士称，据信此次事件是俄罗斯对外情报局（SVR）所为。         （消息及封面来源：cnBeta）

德国e2e加密电子邮件提供商Tutanota被一家地区法院命令开发一种功能，使其能够监控个人账户。这家加密电子邮件服务提供商一直在其本国与一些此类命令作斗争。德国媒体上月末报道的这一裁决与汉诺威法院早些时候的裁决相矛盾，该法院认为Tutanota是一家基于网络的电子邮件提供商，但不是电信服务。 科隆法院的这一命令是根据德国的一项法律（称为 “TKG”）做出的，该法律要求电信服务提供商在收到合法的拦截请求时，必须向执法/情报机构披露数据。科隆法院的裁决也与欧洲最高法院CJEU在2019年的一项裁决相悖，该裁决认为另一个基于网络的电子邮件服务Gmail不是欧盟法律中定义的 “电子通信服务”–这意味着它不能受制于电信公司的欧盟共同规则。 Tutanota的联合创始人Matthias Pfau将科隆的裁决描述为 “荒谬”–并证实其正在上诉。原告方认为Tutanota虽然不是电信服务的提供商，但实质上参与提供了电信服务，因此仍然必须实现电信和流量数据收集。但法院既没有说明他们参与的是什么电信服务，也没有说出电信服务的实际提供商。”电信服务不可能是电子邮件，因为我们完全是自己提供的。而如果我们要参与，就必须与实际提供商有业务关系。” 尽管地区法院将电子邮件提供商视为ISP的做法很荒唐–这显然与CJEU早先的指导意见相矛盾，但Tutanota还是被要求遵守该命令，并为特定的收件箱开发监控功能。Tutanota的一位发言人证实，公司已经告诉法院，他们将在今年年底前开发该功能–而她表示，其上诉过程很可能需要 “几个月”才能完成。 科隆法院的命令是对一个曾被用于敲诈企图的Tutanota账户实施监控功能。Tutanota发言人表示，监控功能只适用于这个账户今后收到的电子邮件–它不会影响以前收到的电子邮件。但实际上，相关账户似乎已经不再使用。 上个月，欧盟理事会的一份决议草案引发了实质性的关注，作为反恐安全推进计划的一部分，欧盟立法者正在考虑禁止e2e加密。然而该文件草案只讨论了 “合法和有针对性的访问”–同时表示支持 “强加密”。 回到Tutanote监控令，只能使其适用于链接到特定账户的未加密电子邮件。这是因为电子邮件服务提供商对自己用户的内容应用了e2e加密–这意味着它并不持有解密密钥，因此无法解密数据–尽管它也允许用户从没有应用e2e加密的电子邮件服务中接收电子邮件（因此可以强制它提供该数据的纯文本）。 然而，如果欧盟立法强制e2e加密服务提供商提供解密数据，以回应合法的拦截请求，那么它将实际上取缔e2e加密的使用。这是最令人担忧的情况–虽然目前还没有任何欧盟机构提出这样的法律。而且很可能会在欧洲议会以及更广泛的学术界、民间社会、消费者保护以及隐私和数字权利团体等方面面临激烈的反对。       （消息及封面来源：cnBeta）