HackerNews.cc 10 月 5 日消息，趋势科技（ Trend Micro ）研究人员近期发现黑客利用 FTP 服务器与目标设备的 C＆C 服务器建立后门 SYSCON 通信连接。调查显示，SYSCON 后门正通过受感染文件传播，其文件内容涉及朝鲜和部分红十字会与世界卫生组织的有关人员。 图：使用自定义的 Base64 编码功能 据悉，用于传播后门的恶意文件使用了自定义 Base64 编码功能，与 2012 年传播恶意软件 Sanny 的攻击手段极其相似且编码密钥相同。因此，研究人员推测此次事件幕后黑手与传播恶意软件 Sanny 的攻击人员是同一黑客组织。此外，值得注意的是，此类攻击手段可以规避安全检测，但同时也极易受到监控。研究人员表示，如果受害者打开该恶意文件时，基于操作系统版本的相应文件将 DLL 注入 taskhost（ex）进程以执行 BAT 操作而不触发 UAC 提示，从而成功感染目标设备的 ％Temp％ 文件。据称，攻击者还使用设备名称作为标识符，通过 SYSCON 后门、利用存储在配置文件中的凭证登录 FTP 服务器。 图：与 C&C 服务器建立连接 研究人员通过对配置文件进行解码时，不仅发现了 FTP 服务提供商的 URL，还检测到攻击者在服务器端将执行命令存储在 .txt 文件中。一旦受感染设备执行命令，恶意代码会在列出当前运行的所有进程后将压缩与编码的数据发送至服务器。 图：输入漏洞–恶意代码出现错误 不过，研究人员在命令循环处理的过程中发现一处输入漏洞，即恶意软件将命令视为宽字符格式的字符串，只要其中一个函数的参数文件名称出现错误时，就可成功阻止进程执行。因此，研究人员提醒 IT 管理员可通过该种方式阻止后门传播，并时刻监控与外部 FTP 服务器的任何连接，因为它们不仅可以导致数据泄露，还可用于 C＆C 服务器的通信连接。 附：趋势科技原文连接《 SYSCON Backdoor Uses FTP as a C&C Channel 》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国联邦调查局（ FBI ）称，恶意黑客可利用匿名文件传输协议（ FTP ）服务器漏洞入侵小型医疗机构与牙科诊所，获取医疗记录和其他敏感私人信息，并以此进行骚扰、恐吓、勒索甚至欺诈。 相应补救措施是删除服务器中所有个人身份信息（ PII ）与受保护的健康信息（ PHI ），将现有 FTP 替换为更安全的文件传输服务。然而，尽管将敏感数据存储在 FTP 服务器的风险众所周知，小型企业通常并不具备专业升级技术或动机。 匿名 FTP 无需身份验证即可访问服务器文件，建议仅使用此类服务器存储公开文件。匿名 FTP 扩展允许用户使用“ anoymous ”或“ ftp ”等常见用户名在无需提交密码、通用密码或电子邮件地址的情况下通过 FTP 服务器进行身份验证。 《健康保险流通与责任法案》（ HIPAA ）通过对违规者惩处罚金的方式对 PHI 进行保护。此外，《隐私法》与相关条例也通过类似方法对 PII 进行保护。 Globalscape 产品战略和技术联盟副总裁 Peter Merkulov 表示，PII 和 PHI 数据泄露的代价远远超过替换为更安全的文件传输服务和支持（如 SFTP 或 FTPS ）的成本。FTP 是一个早已过时的协议，即使在不匿名的模式下使用也极其危险。虽然现存数量较以往有所减少，但通常部署于多年前且从未进行过升级，甚至被遗忘。这种情况在大型组织机构尤为常见。 尽管如此，FBI 引用的《 2015 年度研究报告》仍显示，超过一百万台 FTP 服务器被配置为允许匿名访问。Merkulov推测 FBI 此举的动机源于实际调查工作中对 FTP 漏洞利用的发现。 摆脱匿名 FTP 服务其实十分简单，仅需花费数分钟更改服务器设置。如果根据访问服务器的客户端软件类型操作，整个过程会更复杂，需要对用户凭据和帐户进行设置。 原作者：Tim Greene，译者：青楚，校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Linux 内核官网 kernel.org 宣布 将在今年 3 月 1 日关闭 FTP 服务器 ftp.kernel.org，12 月 1 日关闭mirrors.kernel.org。 kernel.org 解释了关闭 FTP 服务器的理由： FTP 协议是低效的，需要向防火墙和负载均衡守护进程添加复杂的程序； FTP 服务器不支持缓存和加速器，严重影响性能； 绝大数 FTP 协议的软件实现已经陷入停滞，很少更新。 它因此决定在年底前关闭所有 FTP 服务器，但为了最小化潜在干扰而决定将关闭过程分成两个阶段完成。 稿源：solidot奇客；封面：百度搜索

收购了三星的打印业务，惠普在这一领域的话语权愈发高涨。现在，惠普宣布了一项新的决定，停用商用打印产品的远程访问支持，包括FTP、Telnet等。惠普在听了美国国家标准委员会的安全建议后认为，FTP 和 Telnet 极易让黑客入侵。 据悉，惠普这项决定暂时针对准备上市的新品，他们也担心引发上次停用三方墨盒时外界的一片愤怒，表示默认关闭，用户真心需要的话，依然可以激活（预计隐藏很深或者需要专门驱动）。 同时，对于现有产品，惠普也宣布了固件升级，加强了通讯协议的口令密码和安全认证。惠普最后强调，他们正在将无线打印机的易用性扩展，以便替换掉传统的 FTP和 Telnet。 稿源：cnbeta.com 节选，封面：百度搜索