近日多名学术界人士表示，在Linux、macOS、Windows和FreeBSD等操作系统所使用的USB驱动堆栈中发现了26个新的漏洞。这支科研团队由普渡大学的Hui Peng、瑞士联邦理工学院洛桑分校的Mathias Payer带领，所有漏洞都是通过他们创建的新工具USBFuzz发现的。 这类工具被团队成员称之为“模糊器”（fuzzer）。模糊器是多款应用程序的集合，能够帮助安全研究人员将大量无效、意外或者随机数据输入其他应用程序。然后，安全研究人员分析被测试软件的行为方式，以发现新的bug，其中一些可能被恶意利用。 为了测试USB驱动，Peng和Payer共同开发了USBFuzz，这是一种专门用于测试现代操作系统的USB驱动堆栈的新型模糊器。研究人员表示：“其核心部分，USBFuzz使用软件仿真的USB设备来向驱动程序提供随机的设备数据（当他们执行IO操作时）。” 团队表示：“由于仿真的USB设备是在设备层面工作的，因此将其移植到其他平台上是很直接的。”这使得研究团队不仅可以在Linux上测试USBFuzz，还可以在其他操作系统上进行测试。 研究人员表示，他们在以下平台上测试了USBFuzz。 ● Linux内核的9个最新版本：v4.14.81、v4.15、v4.16、v4.17、v4.18.19、v4.19、v4.19、v4.19.1、v4.19.2和v4.20-rc2（评估时的最新版本）。 ● FreeBSD 12 (最新版本) ● MacOS 10.15 Catalina（最新版本） ● Windows（8和10版本，并安装了最新的安全更新） 在测试之后，研究团队表示，在USBFuzz的帮助下，他们一共发现了26个新的bug。 研究人员在FreeBSD中发现了一个bug，在MacOS中发现了三个（两个导致计划外重启，一个导致系统冻结），在Windows 8和Windows 10中发现了四个（导致死亡蓝屏）。 最严重的是针对Linux的，总共有18个。其中16个是针对Linux各个子系统（USB core, USB sound和net-work）的高危内存漏洞，此外还有1个是针对Linux的USB host主控驱动，还有一个是USB摄像头驱动。 Peng和Payer表示，他们向Linux内核团队报告了这些bug，并提出了补丁建议，以减轻 “内核开发人员在修复报告的漏洞时的负担”。 研究团队表示，在这18个Linux漏洞中，有11个自去年首次报告以来，他们收到了补丁。在这11个bug中，有10个还收到了CVE，这是一个被分配给重大安全漏洞的唯一代码。 相关论文《USBFuzz: A Framework for Fuzzing USB Drivers by Device Emulation》，可以访问这里 和 这里。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/zFW8Niekso7uVCyOjoMn2w 一、概述 近期腾讯安全威胁情报中心发现一黑产团伙通过多种自动化扫描爆破工具攻击Windows/Linux服务器，攻击者使用的爆破工具包括ssh/mysql/rdp等多种爆破工具，爆破成功后会在windows/Linux平台植入后门。腾讯安全威胁情报中心在攻击者的HFS服务器上发现3个攻击载荷，包括2个针对Linux系统的DDoS僵尸网络木马billgates及一个针对windows系统的后门窃密木马。 攻击载荷服务器 该黑产团伙的主要特点: 1.针对windows/Linux双平台的攻击载荷都是通过生成器生成，可配置上线地址，自动化、专业化程度高。 2.入侵手段主要是通过多种自动化扫描爆破工具包进行扫描爆破，包括3306/1433端口(mysql/sqlServer默认端口)、3389端口（远程桌面）、SSH爆破等等。 3.通过一键免杀工具进行免杀，通过代理频繁更换服务器IP躲避追踪，频繁更换HFS服务器上的文件，使点击量重新计数等方式躲避追踪查杀。 4.攻击载荷针对Linux系统的是DDoS僵尸网络木马billgates，针对windows系统的为后门窃密类木马。 该黑产团伙从四月份开始活跃，目前已有上千台主机失陷，失陷主机分布在全国各地，排名前三的省份为浙江、江苏、广东。 受该团伙攻击失陷的服务器分布 二、黑客攻击工具包分析 腾讯安全威胁情报中心的检测数据显示，攻击载荷同一台机器上的IP地址每天都会修改更换一个。该黑产团伙为了躲避追踪，用了代理工具频繁修改IP地址，所使用的域名xnsj.f3322.net近期被解析指向的多个IP，实际上也是同一台机器设备: 我们在这台HFS服务器上发现多个黑客工具包，包括3389抓鸡工具包、 红尘网安1433工具包，Linux爆破工具、3306抓鸡、SA弱口令、1433扫描工具、 一键免杀工具、 Linux/win平台生成器、DDoS压力测试工具等等。 部分黑客工具包及说明: 黑客工具包对应的功能 3389抓鸡工具包为远程桌面爆破工具，内置了爆破密码字典: 红尘网安1433工具包及3306工具包主要是针对mysql及sqlsver进行弱密码爆破: DDoS压力测试工具 三、Billgates僵尸网络木马分析 该团伙针对攻陷的Linux服务器会安装Billgate僵尸网络木马，Billgates僵尸网络最早出现在2014年，是最为活跃的僵尸网络家族之一，曾多次被安全厂商披露，在本案例中Billgates bot通过生成器生成，可配置ip/域名及端口。 Billgates bot生成器 持久化配置 Billgates Bot在多个目录创建了自启动脚本及文件。包括在自启动目录init.d创建自启动脚本。 DbSecuritySpt及在rc.d多个目录创建了自启动项 创建的自启动项: DDoS攻击 在函数MainProcess中完成主要的DDoS攻击功能，包括Tcp/Udp/Syn洪水攻击，DNS反射攻击等。 完整的攻击类型如下: MainProcess函数DDoS功能： 四、针对Windows平台的后门分析 该黑产团伙投放的Windows平台后门木马，也是通过生成器生成，可配置C2上线地址，监听端口，及标识码。 此外还可以选择是否加UPX壳及是否添加到开机自启动(默认添加)。 有后门类木马的几乎所有功能，包括键盘记录嗅探，文件下载、上传、执行，执行CMD命令等等。 目前其C2地址为116.207.21.252|xnsj.f3322.net:1999 功能函数: 五、安全建议 1.针对Linux平台的排查：可通过排除相关启动项查看是否中招，如果有包含 /etc/rc.d/init.d/DbSecuritySpt等自启动项则表示已经中招，建议网管及时清除。 2.推荐企业用户使用腾讯T-Sec终端安全管理系统（御点）查杀该团伙安装的Windows系统后门木马；   3.建议网管使用高强度密码，并经常更换，避免遭遇爆破入侵。推荐企业用户部署适当的腾讯安全完整解决方案提升系统安全性。 IOCs: MD5： 488d0393825b9d4aeebd30e236020d78 e133a6078a38e983c1a7a3fb14670c63 fe642d12ef1f884395a3bfd501949ebf b21f8aa2d18cb64b779161d475b68209 7145110d75992a0f0ab2332293fb73ab b4caaea9a5621a595d051da143b40015 935c5a016862605b9d62564c3acdb2aa 544344fb1410184109f85e6343bf0e15 4363993917d8386de4a4d07b4a1f70de 49ec29cab36ccf726c8c25f7aca6875c be89d31b7d876bc6058bd8e64f88c9e1 IP 116.207.21.252 111.176.102.38 116.207.16.45 111.176.101.97 域名: xnsj.f3322.net

近日的反病毒软件测试结果表明，Windows 10 操作系统预装的 Windows Defender，已能够与业内领先的第三方安全供应商相当。尴尬的是，如果你的系统已经打上了三月的补丁，那它很可能漏过对某些文件的扫描。外媒 BornCity 报道称，微软在 3 月的“补丁星期二”那天发布了面向 Windows 和其它产品的安全更新。   用户汇报称，无论是选择快速或完整扫描，Windows Defender 都有可能在期间跳过对某些文件的检查，就像是在配置文件中已经将之列入了排除项一样。 与此同时，行动中心也会在遇到该问题时，向用户推送一条错误消息。其写道：“由于排除或网络扫描设置的原因，扫描期间跳过了某个项目”。 有些人可能觉得这与 Windows Defender 的特定版本有关，且能够通过与 Windows 10 系统拆分的升级措施来避免。 然而现在的情况是，无论你用的是哪个版本的 Windows Defender 反病毒软件客户端，它都会在打上三月补丁后遇到这个问题。 外媒 Softpedia 在运行 Windows 10 1909 的设备上尝试了最新的客户端和病毒定义，结果也在执行快速或完整扫描时重现了这个故障。 尽管没有设置任何排除项，但扫描结束后，还是在 Windows 10 的行动中心里看到了跳过某些文件扫描的错误通知。 截止发稿时，微软似乎尚未意识到这个问题。目前暂不清楚这是个例还是普遍现象，以及到底有多少设备受到了影响。 对于用户来说，或许可以尝试其它方法来确保安全，或等到微软在 4 月 14 日发布下一批安全更新时再修复。   （稿源：cnBeta，封面源自网络。）

微软已经确认，在 Windows 10 操作系统的最新版本中，存在着一个 SMBv3 网络文件共享协议漏洞。该协议允许计算机上的应用程序读取文件，以及向服务器请求服务。然而新曝光的严重漏洞或被攻击者利用，在 SMB 服务器或客户机上执行远程代码。 该公司在昨日的安全公告中解释称：该漏洞影响 1903 / 1909 版本的 Windows 10 和 Windows Server 操作系统。庆幸的是，目前尚无漏洞被利用的报告。 据悉，未经身份验证的攻击者，可将特制数据包发送到目标 SMBv3 服务器。得逞之前，攻击者需配置恶意的 SMBv3 服务器，并诱使用户连接到该服务器。 需要注意的是，在宣布漏洞的同一天，微软并未在“星期二补丁”中修复这一缺陷。有鉴于此，该公司建议 IT 管理人员禁用 SMBv3 压缩功能，以防止攻击者借此发起攻击。 至于更多替代方法，亦可查阅微软门户网站（ADV200005）提供的详细信息。如果一切顺利，其有望在下月的“补丁星期二”那天得到正式修复。 如有需要，还可订阅微软的安全通知服务，以及时知晓后续进展。   （稿源：cnBeta，封面源自网络。）

Windows 7和IE浏览器都已经于上月停止支持，但由于最新曝光的严重IE漏洞微软决定再次为Windows 7系统提供安全补丁。在发现了一个被黑客广泛使用的JavaScript引擎漏洞之后，微软决定为所有IE 9之前的旧版浏览器提供安全更新。 CVE-2020-0674公告中写道： 这个远程代码执行漏洞存在于IE浏览器处理脚本引擎对象的内存中。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。 如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后，攻击者可能会安装程序。查看，更改或删除数据；或创建具有完全用户权限的新帐户。 在网络攻击情境中，攻击者可能会制作专门利用该IE漏洞的特制网站，然后诱使用户查看该网站。攻击者能够访问托管在IE渲染引擎上的应用或者微软Office办公文档中嵌入标记为“初始化安全”的ActiveX控件。攻击者还可能利用受感染的网站，接受或托管用户提供的内容或广告。这些网站可能包含可以利用此漏洞的特制内容。 该漏洞利用可以通过任何可承载HTML的应用程序（例如文档或PDF）来触发，并且在Windows 7、8.1和10上具有“严重”等级，并且目前正被黑客广泛使用。 Microsoft将发布针对所有这些操作系统以及Windows Server 2008、2012和2019的补丁程序。   （稿源：cnBeta，封面源自网络。）

据外媒报道，微软在发现导致安装失败或安装成功出现某些功能崩溃的问题后取消了Windows 10的安全更新。据了解，这个KB4524244原本是为了解决在卡巴斯基救援盘(Rescue Disk)中发现的一个安全漏洞而推出的。该安全漏洞则是在去年4月被公开的。 尽管卡巴斯基自己在8月份解决了这个问题，但为了保护运行旧版本软件的用户微软还是决定开发额外的补丁。 卡巴斯基表示，升级所导致的问题跟他们的软件无关，因为在KB4524244安装在Windows 10上之后他们已经进行了彻底的检查从而确保跟他们的救援盘工具之间不存在兼容性问题。 “微软还没有就更新问题联系卡巴斯基。经过详细的内部分析，我们的专家得出结论，卡巴斯基的产品不是引发这个问题的原因，”卡巴斯基说道。 另外，卡巴斯基表示，如果更新安装正确且没有遇到任何问题，那么用户就不需方采取任何行动。 微软表示，此次更新不会再发布，但针对已经发现的漏洞他们正在修复中。   （稿源：cnBeta，封面源自网络。）

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序，以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一，它包含一个面板，面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本，它是一个用C语言编写的PE可执行文件，只有删除包含后门Powershell脚本的功能。在同样的逻辑下，还发现了另一个PowerShell脚本，它有两个不同的长字符串，包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件，OilRig威胁组织成员还巧妙使用了计俩，将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现，起到欺瞒用户的作用，使用户误认为是应用程序或互联网的接入有问题，而实际上却是在悄悄的将后门安装在系统上。”   消息来源：gbhackers， 译者：dengdeng，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

十月份我们曾报道过，微软向所有Windows 10用户发布了一个Autopilot设备更新补丁，随后在公司意识到自己的错误后撤消了更新。而今天，微软再次重复了同样的错误，他们于12月10日在星期二的补丁更新中向所有用户推出了另一个Windows 10 Autopilot更新“KB4532441”。 访问微软中国官方商城 – Windows 用户在论坛上报告说，此更新已发布到 Windows 10的消费者版本。当用户检查更新时，会立即显示此更新，并且即使成功安装后也会反复提供。 微软已经确认该错误，并且发布撤消了该更新的消息： 此更新可通过Windows Update获得。但是，我们删除了它，因为它的提供方式不正确。当组织为Windows Autopilot部署注册或配置设备时，设备安装程序会自动将Windows Autopilot更新到最新版本。而对正常Windows 10设备提供的Windows Autopilot更新实际上是无效的。如果系统为您提供了此更新并且当前设备并没有部署Autopilot的前提下，则安装此更新不会有影响，换句话说，Windows Autopilot更新不应提供给Windows 10 的消费者版本。 尽管微软表示此更新不会对用户PC产生负面影响，但是您依然可以选择卸载该补丁。 （稿源：cnBeta，封面源自网络。）

微软和谷歌都已经在昨天发布软件更新用于修复部分安全漏洞，这其中就包括某个在野外已遭到利用的零日漏洞。这些零日漏洞由卡巴斯基发现但是高级黑客团体早已利用，黑客借助这些漏洞可以直接在计算机上安装间谍软件。而经过溯源后卡巴斯基指出无法将攻击者归于任何特定攻击者，但攻击者使用的部分代码与拉撒路集团有相似性。 拉撒路集团是知名勒索软件WannaCry的始作俑者，而该集团也被安全公司认为是由北韩资助的国家级黑客团队。 利用漏洞攻击韩语新闻网站加载恶意软件： 卡巴斯基调查后发现最初攻击者利用某韩语新闻网站的漏洞嵌入恶意脚本，当用户浏览该网站时就会加载该脚本。 而这个恶意脚本里有代码是专门针对Google Chrome 的，黑客利用的漏洞是谷歌官方此前并未发现的零日漏洞。 恶意脚本被加载后会再调用Win32K 安全漏洞下载并安装恶意软件，该恶意软件会自动连接远程服务器获取指令。 也就是说主要用户浏览这个韩语网站就会被感染恶意软件，在这期间不需要用户执行任何交互动作即可完成攻击。 #攻击者将恶意脚本伪装成流行的jQuery库 卡巴斯基称这次攻击事件为Operation WizardOpium<script type="text/javascript" scr="hxxp://code.jquery.cdn.behindcorona.com/jquery-validates.js"></script> 潜在攻击者可能是拉撒路集团： 卡巴斯基在经过溯源和分析后表示没有确切证据能够将此次攻击事件与任何已知的高级持续性威胁团体关联起来。 但攻击者使用的相关代码与拉撒路集团有非常弱的相似性，这表明潜在的攻击团体可能是名声在外的拉撒路集团。 拉撒路集团曾发动过多次知名的网络攻击，包括WannaCry勒索软件、孟加拉国家银行失窃案、远东银行失窃案。 而该集团也被证实是北韩资助的国家级黑客组织，这次攻击的载体是韩语新闻网站也就是说主要目标是韩国用户。 因此按常理推测的话此次攻击是拉撒路集团发动的可能性非常大，不过卡巴斯基称暂时没有足够多的确切的证据。 卡巴斯基认为相关攻击代码与拉撒路集团有非常弱的相似性也可能是其他攻击者试图将调查视线转到拉撒路身上。 微软已经在例行更新中修复漏洞： 事实上这次安全漏洞不仅影响Windows 10, 据微软官方说明所有受支持的Windows版本包括服务器版均受影响。 出现安全漏洞的依然是最近非常热门的Win32K 组件，该组件从去年年底到现在已经被发现多个高危的零日漏洞。 微软表示攻击者借助此漏洞可以在内核模式下运行任意代码，包括安装软件、删改数据或新增同权限的用户账户。 受影响的版本包括Windows 7 SP1~Windows 10所有版本、Windows Server 2008 R2 到Server 2019版等等。 当然Windows 7 SP1之前的版本例如XP以及Windows 10已经停止支持的版本比如1803之前的版本也会受影响。 不过这些已经停止支持的版本并没有安全更新用于修复漏洞，所以建议用户们还是尽早升级受支持的版本比较好。 谷歌也已经修复零日漏洞： 这次攻击者同时利用Windows操作系统和Google Chrome漏洞比较罕见，不过现在这个漏洞利用方式已被封堵。 谷歌浏览器开发团队在接到卡巴斯基报告后已经及时修复漏洞，用户只要开启自动更新就可以自动升级到最新版。 目前谷歌浏览器在国内已经部署服务器可以提供更新，用户也可以点击这里访问中国官网下载谷歌浏览器安装包。   （稿源：cnBeta，封面源自网络。）

如果您收到一封声称来自微软的电子邮件，并要求安装所谓的关键更新，那么请立即删除这封邮件。安全公司Trustwave近日发现了新的恶意程序活动踪迹，它们利用电子邮件方式进行传播，伪装成为Windows更新让设备感染Cyborg勒索软件。 这是一种非常典型的攻击方式，首先给潜在目标发送电子邮件，邮件中会包含虚假的Windows更新。该更新似乎使用的是JPG文件扩展名，实际上是一个可执行文件，一旦启动，便从GitHub下载其他有效负载。 rustwave解释称：“根据我们的调查，受感染的设备会从一个名为misterbtc2020的GitHub账号中下载名为bitcoingenerator.exe的文件，该账号在几天前还处于活跃状态，目前已经被删除。该文件包含了btcgenerator存储库。就像附件一样，这是.NET编译的恶意软件，也就是Cyborg勒索软件。” 勒索软件感染设备后，用户文件将被加密并重命名为使用“777”扩展名。此时，用户文件被锁定，勒索软件将文本文档放置在桌面上，以向受害者提供有关如何获取解密密钥的指令。 在勒索消息中写道：“不用担心，你可以赎回所有文件！您可以发送一个加密文件[sic]，我们将免费对其进行解密。您必须按照以下步骤来解密文件：将500美元的比特币发送到钱包[钱包号码]，然后向我们的邮箱发送通知。” Trustwave警告说：“任何拥有该Builder的人都可以创建和分发Cyborg勒索软件。攻击者可以使用其他不同的主题来诱骗用户点击，并以不同的形式来逃避电子邮件网关的审查。攻击者可以使用已知的勒索软件扩展名，来误导受感染的用户识别出这种勒索软件。” 不用说，最简单的安全保护方法是避免打开电子邮件并下载附件。更新安全软件还可以帮助检测受感染的文件，并阻止勒索软件感染您的设备。   （稿源：cnBeta，封面源自网络。）