据外媒报道，Windows 10 引入的 Subsystem for Linux（WSL）功能，允许用户 在 Bash 终端运行 Linux 可执行文件。安全公司 Check Point Research 研究人员近期报告了黑客利用 WSL 的新攻击方法，他们称之为 Bashware 攻击。 研究人员表示，现有的安全产品还没有适应去监视运行在 Windows 操作系统上的 Linux 可执行程序的进程，从而为网络犯罪分子打开了新的攻击大门，即利用 WSL 提供的功能躲避检测、运行恶意代码。目前，研究人员已在现有的杀毒软件和安全产品上测试了 Bashware 攻击，发现它能够躲避所有安全产品的检测。 稿源：solidot奇客，封面源自网络；

2016 年的时候，安全研究人员就已披露一款显示 “ 您的计算机已被禁用 ” 的恶意软件。据悉，它会锁住计算机屏幕，并在上面显示几行消息，声称 “ 该 PC 因违反使用条款而被禁用 ”，而且还大言不惭地称此举是为 “ 保护 Windows 服务及其成员 ”、还假借微软之口称其 “ 不会提供有关特定 PC 被禁用的细节 ”。但实际上，它们只是借此向受害者勒索一笔“解锁”费用，否则扬言删除所有信息、并让这台计算机无法再工作。 为了锁住系统，该恶意软件会忽悠受害者联系所谓的来自微软的技术人员，以购买一个解锁屏幕的代码、以及一份新的 Windows 许可证。万幸的是，ID Ransomware 制作人 Michael Gillespie 发现了一串能够免费解锁受感染计算机的神奇数字（只需输入 “ 6666666666666666 ”）和一组代码（XP8BF-F8HPF-PY6BX-K24PJ-RAA00）。 不过，没想到的是，过了一年时间，同类型的软件竟又卷土重来。只是这次，它表现得更加赤裸裸，直接在锁屏界面向受害者索取 50 比特币的系统解锁费用。在该恶意软件 ‘ 锁屏界面 ’ 的 ‘ 错误信息 ’ 一栏中，勒索者给出了两种选择 —— 要么花钱消灾，要么删你文件、毁你系统。当然，这是一种老式而典型的恐吓策略。如果你仔细检查拼写和语法错误，就会发现这很可能是一个骗局。然而，为了避免沾染这种恶意软件，大家最好不要轻易打开可疑的文件、或者点击奇怪的链接。此外你还需要部署一款及时更新的全面型反恶意软件应用程序。 稿源：cnBeta，封面源自网络；

Windows 内核的一个编程 Bug 会阻止安全软件识别恶意程序。据悉，该 Bug 影响 PsSetLoadImageNotifyRoutine，它是部分安全软件在代码加载到内核或用户空间时对其进行识别的底层机制之一。攻击者能够利用该 Bug 让 PsSetLoadImageNotifyRoutine 返回无效模块名，并将恶意程序伪装成合法操作。 安全研究员称，该 bug 影响 Windows 2000 之后的所有版本，包括最近发布的 Windows 10。研究人员称，微软不认为这是一个安全问题。 稿源：cnBeta、solidot奇客，封面源自网络；

据外媒 8 月 14 日报道，网络安全公司 Rapid7 专家近期通过分析远程桌面协议（ RDP ）端点的数据时发现 RDP 在线暴露逾了 410 万台 Windows 终端。 Rapid7 曾于今年 5 月发表一份研究报告，揭示数百万设备因 SMB、Telnet、RDP 与其他类型的配置错误遭受网络攻击。相关数据显示， 今年第一季度的 RDP 开放终端与 2016 年初（ 1080 万台 ）相比 “ 减少 ” 360 万台。 安全专家指出，即使用户在 Windows 上默认禁用 RDP 协议，它通常也会允许管理人员在内部网络中运行与维护。据悉，微软自 2002 年以来就已处理过数十处 RDP 漏洞，其中包括影子经纪人曾在线曝光的安全漏洞 EsteemAudit（CVE-2017-0176），旨在攻击远程桌面协议服务（ 端口 3389 ）。远程桌面协议攻击是恶意软件分发的特权攻击载体。目前，多数恶意软件已使用远程桌面协议（CrySiS、 Dharma 与 SamSam）作为攻击来源系统。 Rapid7 研究报告显示，多数暴露的远程桌面协议端点（28.8％，或超过 110万）位于美国，其次是中国（17.7％，约 73 万）、德国（4.3％，约 177,000）、巴西（3.3％，约 137,000）与韩国（3.0％，约 123,000）。然而，专家注意到，与暴露的 RDP 端点相关联的 IP 地址组织，多数属于亚马逊（7.73％），其次是阿里巴巴（6.8％）、微软（4.96％）、中国电信（4.32％）等。 Rapid7 报告显示，目前超过 83％ 的远程桌面协议终端愿意继续使用 CredSSP 作为安全协议验证与保护 RDP 会话，而逾 15％ 的终端因极易遭受中间人攻击不再继续支持 SSL / TLS 协议。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 11 日报道，网络安全公司 SophosLabs 研究人员近期发现银行木马 Emotet 使用频率显著增加，旨在感染目标企业 Windows 操作系统窃取客户银行凭证。 Emotet 是一款银行木马，首次于 2014 年被趋势科技（ Trend Micro ）研究人员发现，其主要以 “ 嗅探 ” 网络活动窃取用户敏感信息闻名。 调查显示，银行木马 Emotet 在此次攻击活动中主要通过垃圾邮件进行肆意传播。据悉，该木马通常夹杂在一个恶意 Microsoft Word 文件中。一旦用户打开，就会自动从承载该软件的多个互联网域名中下载 Emotet。此外，黑客还通过创建存储恶意软件的新 URL 规避安全软件检测。 目前，研究人员尚不清楚在最近的感染事例中，哪些国家的 Windows 操作系统是其主要目标，也并未提及具体受害者人数的统计数据。总而言之，这意味着用户在使用 Windows 操作系统时要以往更加小心恶意软件 Emotet。因此，研究人员提醒用户及时更新软件至最新版本、不要轻易打开未知名电子邮件、关闭网络文件共享功能并确保用户没有默认使用管理员权限。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 26 日报道，卡巴斯基实验室研究人员近期发现新 Windows 后门 CowerSnail 与 Linux SambaCry 恶意软件 SHELLBIND 密切相关。 SHELLBIND 利用 SambaCry 漏洞感染多数网络附加存储（NAS）设备后，将共享文件传输至 Samba 公共文件夹并通过服务器加载，允许攻击者远程执行任意代码。 调查显示，由于 SHELLBIND 与 Backdoor.Win32 CowerSnail 共享一台命令与控制（C＆C）服务器（cl.ezreal.space:20480），因此极有可能由同一组织创建。 CowerSnail 后门设计基于跨平台开发框架 Qt 编写，允许攻击者将 Unix 平台开发的恶意代码快速迁移至 Windows 环境。另外，该框架还提供了不同操作系统之间的跨平台功能与源代码转移，从而使平台传输代码变得更加容易。然而，在便捷传输的同时也增加了生成文件大小，导致用户代码仅占 3MB 文件的很小比例。 CowerSnail 在升级进程/当前线程优先级后通过 IRC 协议与 C＆C 服务器通信,实现经典后门功能，包括收集受感染系统信息（例如：恶意软件编译时间戳、已安装操作系统类型、操作系统主机名称、网络接口信息、物理内存 ABI 核心处理器架构）、执行命令、自动安装或卸载、接收更新等。 目前，安全专家推测，如果同一黑客组织开发两款特定木马且每款均具备特殊功能时，那么想必这一组织在未来将会设计更多恶意软件。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密网站最新报告揭示了 CIA 自 2013 年以来针对 Windows 电脑使用的一种新形式的恶意软件，这一次这种软件不会危及系统，而是在几秒钟内确定用户的位置。该工具被称为 ELSA，它主要是为 Windows 7 开发的，但它可以被用于任何版本的 Windows，包括 Windows 10，尽管在这种情况下，因为微软的安全性改进，需要进行一些额外的调整。 ELSA 做的是感染 Wi-Fi 功能的网络，然后使用无线模块来寻找可用范围内的公共 Wi-Fi 点。恶意软件记录每个网络的 MAC 地址，然后在 Microsoft 和 Google 维护的公共数据库中查找信息。这些数据库主要让用户的许多设备可以访问互联网，但是中情局查找这些数据库的目的显然不同。 一旦确定了公共 Wi-Fi 的位置，恶意软件分析用户信号的强度，然后计算用户的可能坐标。信息被加密并发送到 FBI，存储在服务器上，相关特工可以将其提取并将其保存在特定文件中。 最重要的是，ELSA 要求中情局已经控制目标系统，但这不应该是一个问题，因为该机构据报道有其他形式的恶意软件可以利用 Windows 中的未知漏洞控制目标系统。因此，由于中情局已经完全控制了 Windows 系统，确定位置并不是最糟糕的事情，因为该机构也可以窃取目前电脑上的文件，并且可以作许多其它事情。 就像过去发生的一样，ELSA 有可能在某些时候泄漏，并可供黑客使用，再次让 Windows 用户遭遇额外威胁。我们已经向 Microsoft 了解他们如何计划解决这个漏洞。 稿源：cnBeta，封面源自网络

据外媒报道，Sophos 网络安全研究人员 Paul Ducklin 于 6 月 7 日在 Infosecurity Europe 2017 会议上发表主题演讲，旨在分析苹果设备并非免受恶意软件与病毒攻击。 据悉，Ducklin 除了在现场利用恶意软件 Eleanor 入侵已知 Mac 漏洞外，还向公众透露黑客如何使用恶意软件运行命令、渗透核心系统与截取屏幕信息。 安全公司 Malwarebytes 今年的一份报告中就曾透露，2017 年第一季度出现的针对 Mac 的恶意软件就已达到 2016 全年数量，其多数威胁源自不同功能与复杂程度的后门攻击。那么，为什么多数苹果 Mac 用户的表现仍像是自身系统免受恶意软件感染一样呢？因为攻击 Mac 的恶意软件数量极少。 Ducklin 表示，虽然针对 Mac 展开攻击的恶意软件在数量上与 Windows 相比较少，但质量与复杂程度却大同小异。无论在 Windows 上做了什么，此类恶意软件均可根据 Mac 重新编写。研究人员透露，或许网络犯罪分子并未了解如何在 Mac 上利用恶意软件勒索比特币，又或许他们根本不需要那么做，因为从 Windows 上就已经可以赚取大量比特币资金。 网络安全公司 Trend Micro 研究人员 Ferguson 表示，多数情况下，网络犯罪分子针对苹果设备的漏洞最大兴趣源自购买与出售 OSX/iOS 操作系统。目前，研究人员一致认为，苹果用户并未被黑客与网络罪犯分子攻击，在很大程度上是一个奇迹。当然，其他网络犯罪技术也均与设备系统无关。例如，网络钓鱼仍是黑客常用的攻击手段之一，无论操作系统是什么，它均会发生。 原作者：Jason Murdock，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 6 月 1 日报道，知名网络安全公司 Check Point 发现一个疑似由中国企业 Rafotech 支持的恶意软件 Fireball ，允许黑客操控受害者浏览器、更改搜索引擎并窃取用户私人数据。目前，该恶意软件已感染 2.5 亿台电脑，或将引发全球网络安全危机。 恶意软件 Fireball 远离合法服务器，具有运行代码、下载文件、安装插件、更改计算机配置与监视用户等功能，甚至还可作为一款高效的恶意软件释放器。 调查显示，印度 2530 万台设备（ 10.1％ ）、巴西 2410 万台设备（ 9.6％ ）、墨西哥 1610 万台设备（ 6.4％ ）、印度尼西亚 1310 万台设备（ 5.2% ）与美国 550 万台设备（ 2.2% ）均遭受恶意软件感染，影响范围波及全球 20% 企业网络。 Check Point 表示，该恶意软件与一家声称为 3 亿客户提供数字营销与游戏应用的中国企业 Rafotech 存有潜在联系。恶意软件 Fireball 可通过 “ 浏览器劫持 ” 将自身捆绑至看似合法的软件上进行传播，致使用户无法更改受感染设备上的浏览器主页、默认搜索引擎。 调查显示，恶意软件利用 Rafotech  “ Deal WiFi ” 、“ Mustang Browser ” 、“ Soso Desktop ” 与 “ FVP Imageviewer ” 等产品软件进行附带传播。此外，Rafotech 还可利用虚假域名、垃圾邮件、甚至从黑客手中购买插件等方法传播该恶意软件。对此，Rafotech 目前尚未发表任何评论。 安全专家表示，用户可以使用一些简单的方法检查设备是否感染恶意软件 Fireball。首先，打开浏览器检查是否能将其更改为另一款搜索引擎，如 Chrome、Firefox 或 Explorer ；其次，检查默认搜索引擎是否也可进行更改。最后，扫描所有浏览器扩展程序。倘若无法修改上述选项，则表示该设备已感染恶意软件 Fireball。 目前，安全专家建议受影响用户从 Windows 控制面板中的程序与功能卸载恶意软件或使用 Apple 设备 “ 应用程序 ” 文件夹中的 Finder 功能从 PC 端删除该恶意软件。此外，受影响用户应将浏览器恢复为默认设置。 原作者：Jason Murdock，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

WPS Office 是一款免费不开源办公套件，目前已经在 Windows、macOS、Android、iOS 和 Linux 设备上线。由于在界面和功能上模仿了微软 Office 的部分特性，对于那些轻量办公的用户来说已经能够完全驾驭大部分需求。尽管其他平台的 WPS Office 能够定时获得更新、修复和优化，但 Linux 平台似乎已经被团队所忽略。 WPS Office for Linux 最近一次更新是在一年前，目前最新的 Linux 版本号为 WPS Office v1.0.5672 Alpha 版本。为此近日，有用户在社交媒体 Twitter 上咨询团队是否依然致力于 Linux 版本的开发工作，而得到的回应是 Linux 版本目前已经处于悬停状态，并表示需要社区版本。 对于那些开源应用来说，社区版本意味着更容易创建和维护版本，但遗憾的是 WPS Office 并非是开源应用。对于 Linux 用户来说这条新闻或许并不会产生太大的影响，由于更新的问题导致使用 WPS Office 的用户并不是很多。 稿源：cnBeta；封面源自网络