Google 正起诉两名俄罗斯人，称他们操纵着一个复杂的僵尸网络发起了多次攻击，该网络已经悄悄地渗透到全球 100 多万台 Windows 机器中。在设备被感染之后，僵尸网络就会窃取用户的证书和数据，秘密挖掘加密货币，并设置代理，通过受感染的机器和路由器输送其他人的互联网流量。 图片来自于 internetsecurity 在一份提交给纽约南区美国地方法院的诉状中，Google 称俄罗斯国民德米特里·斯塔罗维科夫（Dmitry Starovikov）和亚历山大·菲利波夫（Alexander Filippov）是 Glupteba 僵尸网络的两个主要操作者，并列举了据称他们创建的 Gmail 和 Google Workspace 账户来帮助他们运作犯罪企业。 Google 声称，两名被告利用僵尸网络（被描述为“现代的、无边界的有组织犯罪的技术体现”），包括盗窃和未经授权使用 Google 用户的登录和账户信息。它要求 Starovikov 和 Filippov 支付赔偿金，并永久禁止使用 Google 服务。 Google 表示自 2020 年以来一直在追踪 Glupteba 僵尸网络，到目前为止，它已经感染了全球约 100 万台 Windows 机器，并且每天都在以数千台新设备的速度增长。一旦设备被感染，通常是欺骗用户通过第三方“免费下载”网站下载恶意软件–僵尸网络就会窃取用户的证书和数据，秘密挖掘加密货币，并设置代理，通过受感染的机器和路由器输送其他人的互联网流量。 Google在其投诉中补充说：”在任何时候，Glupteba 僵尸网络的力量都可能被用于强大的勒索软件攻击或分布式拒绝服务攻击。除了对所谓的 Glupteba 僵尸网络发起诉讼外，该公司的威胁分析小组（TAG）已经观察到该僵尸网络以美国、印度、巴西、越南和东南亚的受害者为目标。Google 宣布它已经与互联网托管服务提供商合作，破坏了该僵尸网络的关键指挥和控制（C2）基础设施。这意味着其运营商不再控制该僵尸网络，尽管Google警告说，由于Glupteba使用区块链技术作为一种弹性机制，它可能会卷土重来。   （消息及封面来源：cnBeta）

Google发布了一份新的勒索软件报告，以色列是在此期间最大的样本提交者。这家科技巨头委托网络安全公司VirusTotal进行分析，这需要审查来自140个国家的8000万个勒索软件样本。根据该报告，以色列、韩国、越南、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国等国家是根据VirusTotal审查的提交数量确定的10个最受影响的地区。 从2020年开始，勒索软件活动在2020年的前两个季度达到高峰，VirusTotal认为这是因为勒索软件即服务组织GandCrab的活动。 “GandCrab在2020年第一季度有令人担忧的高峰，之后急剧下降，但它仍然活跃，但就新鲜样本的数量而言，处于不同的数量级，”VirusTotal说。 2021年7月还有一个相当大的高峰，是由Babuk勒索软件团伙推动的，这是一个在2021年初发起的勒索软件行动。Babuk的勒索软件攻击通常具有三个不同的阶段。初始访问，网络传播，以及对目标采取行动。 GandCrab是自2020年初以来最活跃的勒索软件团伙，占样本的78.5%。GandCrab之后是Babuk和Cerber，它们分别占样本的7.6%和3.1%。 根据该报告，检测到的95%的勒索软件文件是基于Windows的可执行文件或动态链接库（DLLs），2%是基于Android的。该报告还发现，基于漏洞的勒索软件攻击只占样本的一小部分：5%。 VirusTotal说：”鉴于勒索软件样本通常使用社会工程和/或droppers（旨在安装恶意软件的小程序）来部署，我们认为这是有道理的。就勒索软件的传播而言，除了特权升级和恶意软件在内部网络中传播外，攻击者似乎不需要利用特定的漏洞。” 阅读报告全文： https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf   （消息及封面来源：cnBeta）

Google表示，它将向1万名”高风险”用户提供免费的硬件安全密钥，几天前该公司曾警告数千名Gmail用户，他们是一些受支持的黑客的目标。由Google威胁分析小组（TAG）发出的警告提醒超过14000名Gmail用户，他们已成为APT28（也称为Fancy Bear）国家支持的钓鱼活动的目标，据说该活动由俄罗斯GRU情报机构的特工组成。 Fancy Bear已经活跃了十多年，但它因入侵民主党全国委员会及其在2016年美国总统选举前的虚假信息和影响选举活动而广为人知。 “这些警告表明是针对而不是妥协。如果我们对你发出警告，那么我们阻止他们的可能性非常大，”Google的TAG主管Shane Huntley周四在Twitter上写道。”这个月增加的数字来自于少数目标的活动，这些活动被阻止了。” Huntley补充说，这些警告对活动家、记者和政府官员等个人来说是正常的，因为这就是政府支持的实体的目标。”如果你是活动家/记者/政府官员或在国家安全机构工作，这个警告说实话不应该是一个惊喜。在某些时候，一些受到支持的实体可能会试图向你发送一些东西。”他说。 Google在一篇博文中说，它将在2021年全年发送安全密钥，以鼓励用户加入其高级保护计划（APP），该计划保护那些具有高知名度和敏感信息的用户，他们有可能受到有针对性的在线攻击。安全密钥使网络钓鱼攻击更难奏效，因为安全密钥只能用于解锁合法网站的账户。 此外，Google还宣布与国际选举制度基金会（IFES）、联合国妇女署和非营利组织”捍卫数字运动”（DDC）建立新的和扩大的伙伴关系，以加强其最危险用户的安全。 通过与后者的合作，Google表示，它已经在2020年美国大选季节向180多个符合条件的联邦竞选活动提供了Titan安全密钥，并补充说，它现在正与该组织合作，为州级竞选活动和政党、委员会及相关组织提供进一步的保护，包括关于如何防止网络攻击的研讨会和培训。   （消息及封面来源：cnBeta）

为了应对 Spectre 漏洞，Google 推出了名为“Strict Site Isolation”（严苛网站隔离）的安全功能，主要是防止未经授权的数据被盗。不过近日一支由多所国际大学组成的团队发现了 Spook.js，这种恶意的 JavaScript 代码可以绕过 Google 的这项安全功能从其他标签中获取密码等敏感数据。 目前，安全专家已经证实 Intel 处理器和苹果 M1 芯片受到影响，但 AMD 芯片也被认为存在风险，但是目前并没有得到充分证明。 该团队由乔治亚理工学院、阿德莱德大学、密歇根大学和特拉维夫大学的研究人员组成。他们说，“尽管 Google 试图通过部署严格的网站隔离来缓解 Spectre，但在某些情况下，通过恶意的 JavaScript 代码提取信息仍然是可能的”。 研究人员继续说：“更具体地说，我们表明，攻击者控制的网页可以知道用户当前正在浏览同一网站的哪些其他页面，从这些页面中获取敏感信息，甚至在自动填充时恢复登录凭证（例如，用户名和密码）。我们进一步证明，如果用户安装了一个恶意扩展，攻击者可以从 Chrome 扩展（如凭证管理器）中检索数据”。 安全研究人员分享了几段视频，展示了 Spook.js 的行动。在第一段视频中，该攻击被用来从 Chrome 浏览器的内置凭证管理器中获取 Tumblr 博客的密码。 视频1网址：https://www.bilibili.com/video/BV16U4y1P7Lw 在第二个视频中，一个恶意的浏览器扩展被用来从 LastPass 盗取主密码。 视频2网址：https://www.bilibili.com/video/BV18A411F7DT   （消息及封面来源：cnBeta）

据报道，谷歌正在游说参议院情报委员会成员，准备利用“SolarWinds黑客攻击听证会”向微软施压，询问其产品是否存在网络安全漏洞，并在此次黑客攻击事件中发挥了作用。去年12月，从事网络安全管理软件制作的SolarWinds公司表示，其安全防护软件遭黑客攻击。黑客还借助这款软件的后门，攻击了大量美国公司、政府部门，其中微软公司也受到了攻击。 SolarWinds称，黑客最初是通过微软Office 365服务中的漏洞进入其系统的。而微软则强烈否认了这一点。但微软承认，黑客获取了其部分产品的源代码，并审查了与这些产品相关的代码。 该事件曝光后，在过去的两个月里，微软因其产品在散布黑客网络中所扮演的角色而面临严格审查。 周一，谷歌向议员们提供了一份十多个问题的清单，一名参议院助手表示，这些问题旨在审查微软产品的安全性，如Windows 10、Azure和Office 365。 分析人士称，谷歌的这一举动，也是科技巨头利用政治几乎相互削弱的最新例证。微软自己也使用过这种策略：去年，微软总裁布拉德·史密斯（Brad Smith）曾呼吁各国政府，加强对苹果和谷歌运营应用商店的方式，进行反垄断调查。此外，就在本周，微软还公开支持在欧洲推动谷歌等公司为新闻链接付费。 目前尚不清楚，这个由16名成员组成的小组中的每一位议员是否都收到了谷歌的问题清单。         （消息及封面来源：cnBeta）

谷歌今天发布了由六份博文组成的系列安全报告，详细介绍了在 2020 年初检测到的一个复杂黑客活动，攻击目标是 Android 和 Windows 设备。谷歌表示这些攻击都是两台漏洞服务器通过水坑攻击（watering hole attacks）发起的。 谷歌安全团队 Project Zero 在六篇博文的第一篇中指出：“其中一台服务专门针对 Windows 用户，而另一台则针对 Android 用户”。谷歌表示，这两台漏洞服务器都是利用谷歌Chrome浏览器的漏洞在受害者设备上获得初步的切入点。 一旦从浏览器切入，攻击者就会部署操作系统级别的漏洞，以获得受害者设备的更多控制权。该漏洞链使用了多个 Zero-Day 和 N-Day 漏洞，Zero-Day 漏洞指的是软件制造商不知道的漏洞，N-Day 漏洞指的是已经打过补丁但仍在野外被利用的漏洞。 谷歌表示，虽然他们没有发现任何安卓零日漏洞托管在漏洞服务器上的证据，但其安全研究人员认为，威胁行为人很可能也能获得安卓零日漏洞，但很可能在其研究人员发现时，并没有将其托管在服务器上。 总的来说，谷歌将这些利用链描述为“通过其模块化设计来提高效率与灵活性”。谷歌表示：“它们是精心设计的复杂代码，具有各种新颖的利用方法，成熟的日志记录，复杂和计算的后利用技术，以及大量的反分析和目标检查”。 CVE-2020-6418 – Chrome Vulnerability in TurboFan (fixed February 2020) CVE-2020-0938 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1020 – Font Vulnerability on Windows (fixed April 2020) CVE-2020-1027 – Windows CSRSS Vulnerability (fixed April 2020)         （消息来源：cnBeta；封面源自网络）

Google Chrome 刚刚修复了一个影响浏览器在 Windows 10 操作系统上创建新文件的 Bug 。此前在使用“ImportantFileWriter”输出某些文件时，反病毒软件可能会阻止 Google Chrome 浏览器执行包括新建书签等在内的操作。 据悉，为安全起见，反病毒软件通常会临时锁定系统上新生成的文件，直到对其完成了反病毒扫描、并排除了恶意活动的可能。 谷歌工程师 Bruce Dawson 解释称：“反病毒程序和其它扫描软件可能会暂时锁定新创建的文件，但这可能引发频繁的问题，比如在保存新建的浏览器书签、或其它基于 ImportantFileWriter 执行的操作时”。 好消息是，正如 Windows Latest 在本周早些时候首次报道的那样，即便启用了防病毒工具，Chromium 团队已经引入了一项增强功能，以便 Chrome 浏览器能够在 Windows 10 上平稳运行。 由提交的 Chromium 代码可知，修复程序通过多次重试 ReplaceFile 的方法来规避相关问题。在避免争抢文件访问权限的同时，防病毒程序可控制（并锁定）被 Chrome 同时访问的文件。 庆幸的是，这个 Important_file_writer.cc 的 Bug 仅影响 Windows 操作系统平台（修复如上图第 45 行所示）。 此外本次改进还引入了机器学习方面的新体验，意味着随着使用时间的增长，Chromium 将自动学会如何通过一些细微的操作来避开这种竞争条件（所需的失败尝试次数）。 自 2020 年 12 月 30 日起，该修复程序已合并到 Chromium 的项目代码存储库中，预计可在下一版本的 Google Chrome 浏览器中得到全面修复。 有需要的用户，还请及时留意 Google Chrome 浏览器的后续版本更新。           （消息来源：cnBeta；封面源自网络）

日前，谷歌反馈工具中的存在安全漏洞，可使黑客窃取私人文档。该漏洞于7月9日被安全研究员Sreeram KL发现，他因此项发现获得了$ 3133.70的奖励。 Google的许多产品，包括Google Docs，都带有“发送反馈”或“帮助提升”的选项，用户可发送反馈反映相关问题。但反馈功能部署在Google官方网站（“ www.google.com”）中，并通过iframe元素集成到其他域中，该元素从“反馈”加载.googleusercontent.com弹出式窗口。” 这意味着，每当包含Google文档窗口的屏幕被截图时，图像都需要将每个像素的RGB值传输到父域（www.google.com），然后将这些RGB值重定向到反馈域，最终构造图像并将其以Base64编码格式发送回去。 Sreeram发现了传递到“ feedback.googleusercontent.com”方式中的漏洞，使黑客可以将框架修改为任意外部网站，进而窃取Google Docs屏幕截图。 值得注意的是，该漏洞源于Google Docs域中缺少X-Frame-Options标头，这使得黑客可以更改消息的目标来源并利用页面与其中的框架之间的跨域进行通信。 尽管此类网络攻击需要一定形式的用户交互，但利用程序可以轻松捕获上传的屏幕快照的URL并将其泄漏到恶意站点。这可以通过在恶意网站上的iFrame中嵌入Google Docs文件并劫持反馈弹出框以将内容重定向到黑客选择的域来实现。 在跨域通信期间未能提供目标源会引起安全人员的注意，因为它会公开将数据发送到任意网站。 Mozilla文档警示：“恶意站点可以在用户不知情的情况下更改窗口位置，进而拦截使用postMessage发送的数据。因此当使用postMessage将数据发送到其他窗口时，请始终指定确切的目标来源，而不是* 。”               消息及封面来源：The Hacker News，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

谷歌 “零号项目 “专门用来发现该公司自己软件以及其他公司软件中的漏洞，并私下向供应商报告，在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度，它有时还会以宽限期的形式提供额外的天数。在过去几年中，在厂商无法及时修补后，谷歌 “零号项目 “安全团队已经披露了多个安全漏洞。 访问漏洞细节： https://bugs.chromium.org/p/project-zero/issues/detail?id=2096 这包括高通Adreno GPU驱动、微软Windows、苹果macOS等当中存在的漏洞。现在，它公开披露了Windows中的一个安全漏洞，如果被人利用，会导致权限提升。 谷歌 “零号项目 “安全人员表示，恶意进程可以向splwow64.exe Windows进程发送本地过程调用（LPC）消息，攻击者可以通过它向splwow64内存空间中的任意地址写入任意值。这本质上意味着攻击者控制了这个目标地址和任何被复制到该地址的内容。 这个漏洞并不完全是新的。事实上，卡巴斯基的一位安全研究人员在今年早些时候就报告了这一问题，微软早在6月份就打了补丁。不过，这个补丁现在已经被Google Project Zero的Maddie Stone认定为不完整，他表示，微软的修复只会改变指向偏移量的指针，这意味着攻击者仍然可以使用偏移量值来攻击它。 9月24日，Google Project Zero私下向微软报告了零日的情况，标准的90天期限将于12月24日到期。微软最初计划在11月发布修复程序，但该发布时间段随后滑落到12月。之后，它告诉谷歌，它在测试中发现了新的问题，现在它将在2021年1月发布一个补丁。 12月8日，双方开会讨论了进展和下一步的计划，其中确定不能向微软提供14天的宽限期，因为该公司计划在2021年1月12日的补丁周二发布补丁，比宽限期多出6天。Project Zero团队计划在明年再次重新审视政策，但已经公开披露了该漏洞与概念验证代码。技术报告还不清楚这影响到哪些版本的Windows，但卡巴斯基几个月前的报告显示，攻击者一直在利用它来攻击新版本的Windows10。       （消息来源：cnBeta；封面来源于网络）

谷歌 Project Zero 团队近日披露了存在于高通 Adreno GPU 的“高危”安全漏洞，不过目前高通已经发布补丁完成了修复。这个漏洞和 GPU 共享映射的处理方式有关，有关于该漏洞的详细代码细节可以访问谷歌提供的列表。 根据博文描述，Adreno GPU 驱动程序为每个内核图形支持层（KGSL）描述符链接了一个私有设备结构，而描述符包含上下文切换所需的页表。此结构与 process ID (PID) 相关联，但同一流程中可以被其他 KGSL 描述符重用，可能会提高性能。 当调用进程派生创建一个子进程时，后者也继承了最初为父进程创建的KGSL描述符的私有结构，而不是创建一个新的子进程。本质上，这给子进程（可能是攻击者）提供了对父进程将创建的后续GPU映射的读取访问权，而父进程却不知道。 可以看出，这是一个相当复杂的攻击。Google Project Zero 团队表示，在实际情况下，要想要成功利用该漏洞将要求攻击者循环 PID，然后通过崩溃 BUG 来触发 well-timed 或者系统服务重启。该漏洞可能会尝试回复受感染者 GPU 渲染的内容或者其他 GPU 操作的结果。 该漏洞已经于 9 月 15 日报告给了高通，并提出了修复建议。在 90 天的标准期限（截至 12 月 14 日）之前，高通在 12 月 7 日完成了修复并和 OEM 厂商私下共享了信息。高通表示将会在 2021 年 1 月公开该漏洞的相关细节。         （消息及封面来源：cnBeta）