安联智库--网络安全新媒体资讯平台 http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Thu, 04 Jun 2020 10:40:18 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Thu, 04 Jun 2020 10:40:18 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Thu, 04 Jun 2020 10:40:18 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Thu, 04 Jun 2020 10:40:18 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
推荐免费的web应用防火墙(云waf) Thu, 04 Jun 2020 10:40:19 +0800 现在很多企业都会有一个对外服务的网站,对于企业的信息安全负责人而言,深深的知道网络攻击是有多么的可怕,常见的CC攻击、DDOS攻击、SQL注入、XSS跨站脚本、页面篡改等,每一个都能让网站瘫痪。对于不熟悉网络攻击的人来说,并不会太了解这些攻击的可怕,比较常见的就是网站页面被篡改,挂上了赌博信息,或者是被SQL注入攻击,信息数据被盗取。对于企业而言,一旦企业的网站被攻破,信息数据被窃取,无论是对于企业经济方面,还是客户信誉方面都会造成极大的损失。


640 (2).png


2020年HTTPS加密已经普及,传统的防火墙检测功能失效,对于企业网站来说,部署一个WEB应用防火墙阻挡攻击十分重要,此时很多企业都会选择部署一套安全厂商的Web应用防护墙(Web Application Firewall,简称WAF),该WAF主要通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,主要用于防御针对网络应用层的攻击,像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。

市面上目前各种各样的WAF产品众多,比如、安恒、深信服等等,这些大企业的WAF产品,普遍价格昂贵,在几万到几十万之间,中小企业大多数难以承受,从而没有额外的资金去购买一套安全厂商的WAF;不过现在市面上也有一些免费WAF,能够满足一些中小企业基本的安全需求,对于经费紧张的中小企业不枉可以选择,现在我们经过搜索,整理出几款免费的WAF供大家参考使用。

1、ModSecurity

ModSecurity最开始是一个Apache的安全模块,后来发展成为开源的、跨平台的WEB应用防火墙。它可以通过检查WEB服务接收到的数据,以及发送出去的数据来对网站进行安全防护。最厉害的是著名安全社区OWASP,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS),几乎覆盖了如SQL注入、XSS跨站攻击脚本、DOS等几十种常见WEB攻击方法。

viewfile.jpg


2、HiHTTPS

HiHTTPS是一款免费的高性能WEB应用 + MQTT物联网防火墙,兼容ModSecurity规则并开源。特点是使用超级简单,就一个约10M的可执行文件,但防护功能一应俱全,包括:漏洞扫描、CC &DDOS、暴力破解、SQL注入、XSS攻击等。

viewfile (1).jpg


3、GOODWAF

GOODWAF是一款国内开发的免费云waf产品,基于云端开发,用户只需要注册添加域名、ip等信息,并解析域名就可以,非常简单好用,并且所有功能都是免费的,本人亲测,具备cc防护、xss跨站攻击防护、webshell防护、SQL注入防护等传统防护功能。同时还具备态势感知3D大屏,随时能监控攻击来源等信息。还创新了主动防护功能,具备网页源代码加密、JS混淆、动态令牌等功能,能有效防护网站安全,也有cdn功能,能加速网站打开。因为是国内开发的,所以会比国外开发的用起来舒服很多,没有付费的地方,推荐大家使用。


viewfile (2).jpg



4、Cloudflare

Cloudflare也是一款比较好用的云waf产品,是一家美国厂商开发的,cloudflare具有防火墙、DDoS 保护、Rate limiting、机器人管理、VPN 等功能。同时cloudflare还具有自动waf更新功能,当发现适用于大部分用户的威胁时,会自动应用 WAF 规则来保护用户的Internet 资产。但是目前免费的功能只有DDOS防护了,waf功能需要付费才能使用。

viewfile (3).jpg


]]>
注意:这两种电话,一个不能接,一个必须接! Thu, 04 Jun 2020 10:40:19 +0800

近日,浙江萧山一姑娘发帖,讲述了自己被诈骗的经历。


5月26日,姑娘接到一个电话,对方自称是天猫公司财务部的,说他们的实习生不小心把姑娘的信息错录成了代理商,如果不取消的话,每个月会从她账户上扣800元,一年就是9600。



听到这,姑娘直接挂了电话,没一会又一通电话打进来,说他们不是店铺,是天猫官方的,姑娘还是没信,又挂了电话,同时还打了天猫官方的消费者服务热线。


在等待客服回拨的期间,电话又打进来了,姑娘以为是天猫的客服回拨电话,就接听了电话,这一接就是一个多小时。


“对方说帮我转接到银行那边去办理一个证明,然后所谓的银行VIP工作人员一开始就和我确认我资金超过800元的银行卡、理财和信用卡、花呗、借呗的余下额度,说是这些超过了800的账户都可能被扣款,要记录,这样如果发生了扣款之后就会尽快返回。


然后就让我把我的钱从支付宝提到我的银行卡里,还想让我把借呗里的钱全部借出来提现但不知道为什么我借呗借不出来。然后突然说我们电话时长超过一个小时了很可能会自动挂掉,而且由于是外接电话,后续也没办法回拨给我,说加我QQ联系,然后一分钟左右我都没有收到QQ添加的消息,同时讲话对方也没有任何回复,我就挂了电话。”


挂断电话,姑娘发现在这一个多小时期间,杭州反诈中心和当地派出所给她打了24通电话!



640.webp (17).jpg


姑娘随后回拨了110的未接电话,被警察叔叔教育了一通。后来姐姐告诉她,110因为联系不上她,还打了她姐姐的电话,让姐姐联系她不要被骗。


这之后,骗子又打来四五个电话,姑娘没再理会。


帖子的最后,姑娘说:事情过去之后发现其实过程中有各种可疑点,只是当时莫名被忽视了。


去年,温州有一女子也遇到过这样的骗局,结果4小时被骗62万多元,大家必须警惕!


640 (1).png





谨记,这种电话不要接





谨记,境外电话号码全部以00或+开头!


境外电话进入我国通信网络时,必须在主叫号码前添加国际长途字冠「00」。


因此,如果你收到的电话号码以00(部分手机会在号码显示时将00翻译为+)开头,说明此电话来自境外。


此类电话,无论对方自称是国内任何部门的工作人员,都不要信。





谨记,这个电话必须接





如果你接到这个电话——来电显示为「公安反诈专号」或「96110」的电话,一定要接听。


96110是公安机关反诈劝阻专线


640.webp (18).jpg


9999.jpg

]]>
研究发现即便是发现账号泄露之后用户也很少换密码 Thu, 04 Jun 2020 10:40:19 +0800        卡内基梅隆大学安全与隐私研究所的研究人员发现,在账号泄露之后只有很少一部分用户会去更换密码。这一结果不是基于调查数据而是真实的用户浏览器流量。这项研究采用了卡内基梅隆大学 Security Behavior Observatory (SBO)项目收集的用户数据,出于学术研究的目的,用户自愿选择分享完整的浏览器流量。

数据是在 2017 年 1 月到 2018 年 12 月之间收集的,除了 Web 流量外还有登陆网站的密码以及储存在浏览器内的密码。

changed-password.png

在数据收集期间,249 名用户中有 63 名用户有账号泄露,而这 63 名用户只有 21 名用户访问了发生账号泄露的网站去修改密码,而这 21 名用户中有 15 名是在发生账号泄露 3 个月内修改的。      

9999.jpg

]]>
勒索不成搞拍卖?REvil公开喊价50000美元 Thu, 04 Jun 2020 10:40:19 +0800 近日,勒索软件运营REvil建立了一个类似eBay的拍卖网站,他们表示,未来将在该网站上出售自己窃取到的企业数据。

众所周知,REvil犯罪团伙是如今最活跃,最激进的软件勒索团队之一。他们的数据盗窃有一个有意思的规矩——从不窃取家庭或个人的信息数据,而主要以各大公司为目标。

一般来说,他们会利用企业网络中存在的漏洞来进行破坏,并以窃取到的加密文件为筹码,向企业索要高额的赎金——据统计,他们的勒索金额高达260,000美元(约合182万人民币)左右。 除此之外,臭名昭著的REvil勒索软件的受害者包括了10x Genomics,Brooks International,Kenneth Cole和国家饮食失调协会。在每起事件中,当目标企业拒绝支付赎金,其被窃取的数据都会在网上公布。不幸中招的外币兑换机构Travelex就曾向REvil支付了230万美元来恢复被盗数据。

然而,该组织最近在其博客中宣布推出一项新的“拍卖”功能。由此,窃取信息就可以直接和经济利益挂钩,以从中获利。

建立拍卖网站出售被盗数据不仅是REvil勒索团体的新创意,即使是在整个软件勒索领域,这种方式也算是别出心裁,“独具一格”的。而作为勒索软件领域的“弄潮儿”,REvil的这次创新或许很快被其他勒索软件运营商模仿。

22.jpg首次拍卖的数据来自加拿大的一家农业公司。上个月,REvil的黑客入侵了该公司的网络系统并窃取了有关文件,而该公司拒绝支付高额赎金。据了解,这次起拍价为50,000美元,并要求买家用门罗币(Monero cryptocurrency)支付——这是一种新的加密货币(REvil团队在今年四月起不再接受比特币付款,以确保该组织的匿名性和隐私安全)。

虽然这家加拿大公司是第一个被窃数据遭拍卖的受害方,但是“拍卖”的想法,始于REvil勒索一家专为纽约名流进行诉讼代理,并保有许多顶级名流的文件档案的律所。

1.jpg上周, REvil团伙曾扬言要拍卖麦当娜的私人法律文件。虽然目前还未实施,但REvil勒索软件运营商表示,他们“记住了麦当娜和其他人的资料”,并暗示其他有关纽约市律师事务的档案也将很快被公开。

其实,自进入网络时代以来,数据的泄露和交易并不少见。比如PII在地下市场的就将个人的信息数据和现行货币进行等价估值,其价格主要取决于它们的可用性。可用性越大,价值越高,反之亦然。通过对地下市场网络犯罪数据的分析和研究,我们得出的被盗数据价值如下所示:


PII数据通常以单条为单位,每条售价1美元;

具有高信用评分的完整信用卡信息资料,每份售价25美元;

全套的扫描文件,包括护照、驾驶执照、水电费账单等,每份扫描文件售价10-35美元;

在暗网中,全球各类银行的登录凭据,单个账户售价为200-500美元;

在美国,各种手机运营商的账户单个售价最高可达14美元;

成熟的PayPal和eBay在线交易网站账户(具有交易历史的账户)单个售价高达 300美元。

9999.jpg

]]>
章鱼扫描器:一种攻击开源供应链的恶意软件 Thu, 04 Jun 2020 10:40:19 +0800 近日,GitHub披露了一起开源软件供应链攻击事件。GitHub上的大量NetBeans代码库被恶意软件章鱼扫描器(Octopus Scanner)感染成为传染点,章鱼扫描器是专门为感染NetBeans项目而设计的后门。

根据Github公布的信息,章鱼扫描器影响了26个开源项目。

章鱼扫描器直接感染了Github上的开发工具,性质要比常见的将GitHub平台作为恶意软件C2服务器严重得多。

危险的章鱼

GitHub于3月9日收到一名独立安全研究人员的漏洞警告,称GitHub托管的一组代码库正在积极提供恶意软件服务。

随后的调查证实,章鱼扫描器恶意软件能够对NetBeans项目文件进行分类,然后将有效恶意负载嵌入GitHub项目文件并创建JAR文件。

受影响的GitHub代码库所有者很可能完全意识不到恶意活动的存在,并且清理恶意软件也是一个挑战,因为仅仅阻止或禁止项目维护(者)并不是一个好选择。

GitHub安全实验室正在研究如何从受感染的存储库中正确删除恶意软件,而不必关闭用户帐户。

GitHub安全专家 Alvaro Muñoz在一篇文章(https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain)中给出了详细技术分析,介绍GitHub安全团队如何克服困难剔除章鱼扫描器。

但是,关于此次攻击的许多问题仍然存在,尤其是为什么恶意软件作者针对NetBeans构建过程(一种相对不流行的Java IDE)进行攻击。

如果恶意软件开发人员花时间专门针对NetBeans实施此恶意软件,则意味着它可能是针对性攻击,或者他们可能也针对诸如Make,MsBuild,Gradle等开发系统实施了该恶意软件。尽管在分析时恶意软件C2服务器似乎并未处于活动状态,但受影响的存储库仍对GitHub用户构成了风险,他们可能会克隆和构建这些项目。

开源软件安全专家Sonatype的CTO Brian Fox评论说,章鱼扫描器如此危险的原因是它感染了开发人员工具,这些工具随后感染了他们正在从事的所有项目,从而影响了他们的团队或开源用户社区。

章鱼扫描器恶意软件证实了分析代码中二进制文件的重要性,而不仅仅依靠清单。章鱼扫描器如此危险的原因在于它具有感染项目中其他JAR文件的能力,因此开发人员最终使用“有毒”代码并将其分发给他们的团队或开放源代码用户社区。我们已经观测到20多次针对开源项目的一次性恶意代码注入尝试,但章鱼扫描器是一种新的攻击形式。这种攻击感染了开发人员工具,这些工具随后感染了他们正在从事的所有项目。

供应链攻击

GitHub Daily Security Lab的负责人Nico Waisman解释说:

章鱼扫描程序的目标是将后门插入NetBeans构建的人工制品中,以便攻击者随后可以将这些资源用作攻击的一部分。命令和控制服务器。

Waisman补充说:

没有证据表明26个开源项目实际上是恶意软件的攻击目标。该恶意软件的主要目标是感染开发人员的计算机并通过NetBeans项目传播。由于开发人员受到感染,他们无意中将后门代码上传到了自己的存储库。

软件依赖关系无处不在,因此使用数百甚至数千个开源依赖关系成为项目的正常现象。Waisman警告说,攻击者正在利用开源软件的这种依赖性进行攻击。

Waisman说:

尽管开源对开发人员来说很容易,但这也意味着对攻击者来说很容易。攻击者正在寻求供应链突破口,因为供应链攻击的影响范围更大。突破一点就能够访问多个目标。

威斯曼总结说,尽管像这样的供应链攻击令人恐惧,但它们仍然很少见。

Waisman指出:

供应链安全的主要问题是未修补的软件。对于攻击者而言,在依赖中利用未修补的已知漏洞要比在代码中插入新漏洞要容易得多。

对于开发人员而言,主要的挑战是了解项目的依赖关系,以及何时需要对其进行修补。在GitHub上,Dependency Graph可帮助您了解项目的依赖关系。

9999.jpg

]]>
台湾省2000万个人数据在暗网泄露 Thu, 04 Jun 2020 10:40:19 +0800 威胁情报机构Cyble声称,经验证属于2000万中国台湾人民的敏感个人数据已出现在暗网市场上。

Cyble在官方博客文章中说,一家泄露数据暗网零售商(在数据的真实性方面“众所周知且享有盛誉”)已将泄漏源命名为“内政部家庭登记部”。

目前中国台湾人口为2380万人,这差不多意味着全体台湾人民的个人数据都遭到了泄露。

据Cyble称,这个3.5GB的数据库包含个人的全名、邮政地址、电话号码、身份ID、性别和出生日期。

该公司表示:

几周前,我们的研究人员在暗网上发现圈内知名卖家“Toogod”放出了一个“台湾全省房屋登记数据库’的数据库,该数据库包含2000万条记录。

Cyble说,到目前为止,它尚无法确定数据泄露的时间。据暗网卖家透露,泄密事件始于2019年。

Cyble博客文章中给出了卖家数据库截图(黄线标注),该数据库现在已从卖方的暗网商店中删除。(编者按:截图中其他泄露数据也值得留意)

但是,Cyble声称它已经获得了数据库,并计划在其数据泄露搜索引擎AmiBreached.com中对数据进行索引。

Cyble6月2日更新了其博客文章,称其已与中国台湾的计算机紧急响应小组(Taiwan CERT)分享了其发现,并仍在调查漏洞。

如果Cyble的观察得到证实,则泄漏将成为有史以来最大规模的公众数据泄露事件之一,另外一次超大规模公众数据泄露发生于2015年,由于一个配置错误,面向公众的数据库中暴露了1.91亿美国选民的类似敏感个人数据。

9999.jpg

]]>
深圳宝安一企业遭黑客入侵,报案反被行政警告处罚,网警这样说 Thu, 04 Jun 2020 10:40:19 +0800 企业遭遇黑客入侵且被勒索,报案后被处行政警告处罚,到底冤不冤?今年4月,位于深圳宝安的两家企业遭遇境外黑客入侵,且被勒索用支付比特币来解密系统,宝安网警侦查发现,涉案公司存在大量的网络漏洞和安全问题,按照“净网2020专项行动”的要求启动“一案双查”,以不履行网络安全义务,违反《网络安全法》给予该两家公司行政警告处罚。

以其中丰顺县培英电声有限公司深圳分公司为例,4月23日下午,宝安公安分局网警大队联合镇南派出所一同到丰顺县培英电声有限公司深圳分公司进行网络安全检查。经检测,发现公司网络服务器存在系统防火墙未开启、远程连接未限制访问IP、域控未配置安全密码策略等多个问题,且该公司还存在违反《中华人民共和国网络安全法》的情况。

南都记者从网警方面了解到,涉事企业虽属被入侵方也是受害者,但侦查过程中发现涉事企业存在大量的网络漏洞和安全问题,比如存储服务器数据的机房安全责任人,只是一名仅懂得计算机基本操作知识的保安员,企业本身的安全防护网络,被第三方技术检测出几十个漏洞……

《网络安全法》第二十一条规定, 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。该规定具体包括五条细则,其中(一)为制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)是采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

实际上,早在2018年8月17日,公安部宣布针对网络乱象,公安机关已实行“一案双查”制度,即在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。该案中,按照“净网2020专项行动”的要求启动“一案双”查,宝安网警以不履行网络安全义务,违反《网络安全法》给予该两家公司行政警告处罚。

宝安网警大队民警翟文强表示,深圳是作为改革开放前沿阵地,先行示范区,互联网企业众多、产业成熟,也不缺网络安全相关的技术和能力,缺的只是对网络安全和自身责任的认识,不少企业往往重视产品端、对网络安全防护等技术后端缺乏足够的重视意识。

翟文强表示,遇到网络安全事件,公安机关不但要侦查破案,作为执法者和监督者,也有义务通过严格执法,督促督导企业合法合规履行网络安全义务,提升企业在网络安全防护方面的意识和水平,对于不履行不重视网络安全义务的企业,有必要依法依规通过行政处罚等手段,来让企业明白网络安全的重要性。

行业人士竞远安全深圳分公司总经理刘礼则认为,对于部分企业遇到的一些网络安全事件,其主要原因在于网络安全意识薄弱,缺乏必要的网络安全专业人员、安全管理制度及网络安全防护措施等。针对此类事件,企业需建立“事前预防-事中控制-事后治理“三位一体的网络安全体系,做到日常防范要到位,培训演练不能少,发现问题及时改,紧急情况先上报。并且在遇到黑客入侵事件后,第一时间按照网络安全应急预案操作等。

刘礼认为,首先建议相关企业应配备专业的网络安全技术人员至少一名,做好专业的防护检测,定期备份企业重要数据,能够及时主动更新补丁修复漏洞。其二,企业应加强其内网权限的管控,及时清除公司内网多余账号,防止黑客从公司内部攻击。其三,建立相关网络安全管理制度,并根据实际情况不断完善及更新其管理制度,做好管理制度的落实工作。其四,应在企业内外网部署相关网络安全防护产品、入侵检测设备,并配备网络安全应急支撑单位。其五,在日常工作中制定网络安全应急预案,通过应急演练、员工培训等方式把网络安全意识落到实处。其六,当企业用户遇到黑客及病毒攻击时,需要第一时间保存好相关日志和入侵记录,同时联系应急支撑单位和公安机关,在其指导下开展工作,不擅自操作。

9999.jpg


]]>
价值10万美金的Apple ID登录漏洞,无需密码完全接管你的账户 Thu, 04 Jun 2020 10:40:19 +0800 苹果用户在使用APP或者登录网站账号时,不可避免地会遇到“使用Apple ID登录”的弹框提示,这种操作可以免去重新注册账号的麻烦。

微信图片_20200602142400.jpg

但是,近日曝出苹果这一“使用Apple ID登录”功能存在高危漏洞,黑客可以利用该漏洞攻击用户设备,甚至进行账号劫持。

原本是为了提高苹果用户账号安全的一项功能,如今却因存在漏洞反被黑客利用?

去年,苹果宣布引入“使用Apple ID登录”功能,作为一种隐私保护工具,旨在提高用户安全性,用户可以直接使用苹果账号登录,而无需透露自己的电子邮件、Twitter、Facebook等其他平台账号。不仅如此,苹果还承诺不会跟踪这一登录情况,仅保留登录所需信息。

对于用户来说,这一便利性功能广受欢迎,所以目前很多应用程序和网站都会采用这一功能,比如Spotify,Dropbox,Airbnb等。

技术是一把双刃剑,使用得好则便捷人们的生活,但是如果不法分子使用得好,则是窃取用户信息的利器。

漏洞允许使用任何其他Apple ID登录

图2.png

4月,全栈研发人员Bhavuk Jain发现了苹果“使用Apple ID登录”功能的这一严重漏洞,该漏洞允许黑客使用任何其他Apple ID进行登录,带来的直接后果就是用户的第三方账户劫持。

随后,Bhavuk Jain向苹果上报了这一严重漏洞,获得了10万美元的漏洞赏金。

在Jain发布的博客中可以看到一些漏洞细节。一般而言,使用苹果服务器生成的JWT(JSON Web Token)身份验证令牌或者代码(可生成JWT)可进行用户验证。

下图显示了JWT创建和验证的工作方式。

图3.png

苹果用户可自行选择是否与第三方应用程序共享Apple电子邮件 ID,如果用户同意共享,并对此进行授权,苹果将创建一个JWT,内含邮件ID,允许第三方应用程序登录账户。

因此,问题来了。攻击者可以将任何电子邮件ID链接到JWT上,伪造JWT来获取用户的访问权,而这一过程中使用的那个邮件ID无法验证是否是用户的真实账号。

因此,攻击者从而达到劫持用户第三方账号的目的。 所幸,目前苹果已经修复了该漏洞,且尚未发现由此引发的用户数据泄露。

Apple ID是苹果设备的安全钥匙,一旦被获取或者被利用则容易导致用户数据泄露或者引发勒索。利用Apple ID进行的诈骗案例也不在少数。比如,利用社会工程学引导用户登录诈骗分子的Apple ID,随后再进行设备锁定,勒索用户缴纳赎金。

因此,注意Apple ID要谨慎使用,比如尽量不要使用不正规的第三方助手,或者开启二步验证或者双重认证来提高安全性。

9999.jpg

]]>
黑客组织"匿名者"放言揭露美警察罪行 攻击明州警局 Thu, 04 Jun 2020 10:40:19 +0800         6月1日消息,据国外媒体报道,当地时间上周六晚些时候,明尼阿波利斯警察局网站自开始有遭到黑客攻击的迹象。几天前,一段据称来自黑客组织“匿名者”(Anonymous)的视频表示,将对乔治·弗洛伊德(George Floyd)在被捕期间遭白人警察 “压颈”后死亡这一事件进行报复。

Anonymous-declares-war-on-Minneapolis-police-force-after-George-Floyd-killing-17-31-05-2020.jpg

上周六美国各地城市的抗议者上街游行,反对警察针对黑人的暴力行为。明尼阿波利斯警察局和明尼阿波利斯市的网站暂时无法访问。

到周日上午,这些页面有时会要求访问者提交“验证码”,以验证它们不是机器人。这种工具被用来减缓黑客对网站的攻击。

明尼阿波利斯警察局和市政府的官员没有立即回复置评请求。

5月28日,黑客组织“匿名者”在Facebook页面上发布了一段针对明尼阿波利斯警方的视频,在其中指责警方有“可怕的暴力和腐败记录”。

演讲者穿着连帽衫,戴着面具,在视频结尾说,“我们不信任你们这种腐败的组织来执行正义,所以我们将向世界揭露你们的许多罪行。”我们是一个团体。请拭目以待。”

上周末,这段视频在Facebook上被浏览了近230万次。在此期间,抗议者与美国警察执法部门以及国民警卫队发生冲突,暴力事件席卷整个美国。

一些示威活动演变成了骚乱。一些城市实行宵禁,警察有时用橡皮子弹和橡胶棒对付活动人士和报道抗议活动的记者。

9999.jpg

]]>
安全周报(05.25-05.31) Thu, 04 Jun 2020 10:40:19 +0800

1


泰国移动运营商泄露83亿互联网记录


研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问,数据库包含大约 83 亿记录,容量约为 4.7 TB,每 24 小时增加 2 亿记录。

AIS 是泰国最大的 GSM 移动运营商,用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制,包括了 DNS 查询日志和 NetFlow 日志,这些数据可用于绘制一个用户的网络活动图。

微信图片_20200601153454.jpg


2


多个国家的在线商店遭黑客入侵,SQL数据库正在出售


黑客正在出售从多个国家的在线商店窃取的SQL数据库。该数据库总共包含1620000行,公开的记录包括了电子邮件地址、名称、哈希密码(例如bcrypt、MD5)、邮政地址、性别、出生日期等。

通过在网上公开的不安全的服务器,黑客入侵网站、窃取数据库并留下了赎金信息:索要 0.06个BTC(按当前价格485美元),如果受害人在10天内不支付赎金,他们就有会面临数据库泄露的风险。

根据观察,几个用来交赎金的黑客钱包已经收到了100多笔交易,总金额是5.8比特币(按当前价格47150美元)。而这些钱包的使用记录最是在2019年9月20日,最近的一次是从5月20日开始的,仅本月就有9个使用记录。可见,该黑客非常活跃。

目前,黑客提供了31个数据库,并提供了一个样本供买方检查数据的真实性。而一些数据库的日期为2016年,但数据始于2020年3月28日。

同时,列出的大多数数据库来自德国的在线商店,其余来自巴西、美国、意大利、印度、西班牙和白俄罗斯。而所有被黑的商店运行着Shopware、JTL-Shop、PrestaShop、OpenCart和CMS电子商务(v2)。


微信图片_20200601153557.jpg

3


可以劫持九成Android设备的漏洞:StrandHogg


挪威应用安全公司Promon的研究人员本周披露了一个严重的Android漏洞,恶意软件可利用该漏洞劫持受害者设备上的几乎所有应用程序。

在2019年12月,Promon曾警告说,一个被称为StrandHogg的Android漏洞正被数十个恶意Android应用程序利用以提升特权。

Promon透露已经发现了另一个类似的Adndroid漏洞,将其命名为StrandHogg 2.0(CVE-2020-0096),并称其为StrandHogg的“邪恶双胞胎”。

与StrandHogg1.0版本漏洞类似,StrandHogg 2.0可以被利用来劫持应用程序,但该公司警告说:“2.0版本可以进行更广泛的攻击,并且更难检测。”

恶意软件利用StrandHogg 2.0不需要任何权限,受害者只需执行恶意应用即可触发利用。如果利用成功,则攻击者可以滥用被劫持的应用程序来获取读取SMS消息,窃取文件,网络钓鱼登录凭据,跟踪设备的位置,拨打或记录电话以及通过电话的麦克风和间谍监视用户所需的特权。相机。

Promon表示尚不知道有任何利用此新漏洞的恶意软件,但它预测黑客会同时利用StrandHogg和StrandHogg 2.0,因为这两个漏洞方法不同,双管齐下可以尽可能扩大目标的攻击面。


原文链接:http://www.seczk.com/?type=newsinfo&S_id=1886

微信图片_20200601153748.jpg

4


高通芯片曝出漏洞,可让黑客窃取Android设备中的敏感数据


据外媒报道,本周,美国安局(NSA)警告公众,俄罗斯军方网络行为者至少已经利用一个版本的电子邮件软件长达数月之久。据悉,这个受影响的邮件系统是用于基于Unix的系统的MTA软件--Exim mail。该软件默认安装在许多Linux发行版中。

虽然这个漏洞的原始补丁早在去年已经发布,但许多计算机在运行Exim时仍没有安装这个补丁。

据了解,漏洞代码为CVE-2019-10149,其允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。

根据NSA发布的文件,利用这一漏洞发起攻击的俄罗斯组织是Sandworm。他们认为这些俄罗斯网络行动者来自GRU特殊技术中心(GTsST) 74455小组。这些俄罗斯行为者被指通过利用该漏洞增加特权用户、禁用网络安全设置、执行额外的脚本来进一步利用网络,可以说几乎能够实现任何攻击者的梦想访问,而他们要利用的就是未打补丁的Exim MTA版本。


微信图片_20200601153813.jpg

5


突发!UEX交易所遭黑客攻击,平台币接近归零


火星财经APP一线报道,UEX交易所发布公告称,在5月27日20:00正式开启交易对后,平台遭遇黑客入侵和攻击,用增发的UEX对盘面进行不计成本砸盘。官方现已关闭充提币,预计需要5天左右修复和核实数据。受该事件影响,平台币UEX一度暴跌近100%。


事实上,早在去年4月,UEX就曾宣布暂停运营。公告称,UEX用户需要在2019年5月10日前完成提币,逾期未提币的用户将被收取一定管理费。

据公开报道,UEX为知名加密资本FBG领投的加密货币交易所,2018年7月宣布完成融资。


微信图片_20200601153832.jpg



]]>
为防受邮件漏洞影响 德国 BSI 敦促 iPhone 用户尽快安装安全更新 Thu, 04 Jun 2020 10:40:19 +0800 据外媒报道,德国联邦安全局(BSI)敦促iPhone用户尽快安装苹果发布的最新安全更新以解决邮件应用中存在的一个关键漏洞。据悉,这一安全漏洞由网络安全组织ZecOps发现,据信从3.1.3开始的所有版本的iOS操作系统都在受影响范围内。这意味着最新一代的iPhone也很容易受到攻击。

640.webp (16).jpg

攻击者可以通过该漏洞访问用户邮件应用中的内容。

苹果已经在上周发布的iOS 13.5解决了这一漏洞,现在BSI希望每个人都尽快安装这个新版本。

BSI日前在更新的信息中写道:“苹果已经发布了iOS 12.4.7、iOS 13.5和iPadOS 13.5的安全更新,它们解决了所有受影响iOS版本的漏洞。由于漏洞的严重性,BSI建议立即将相应的安全更新应用于所有受影响的设备。iOS邮件应用在更新后可以再次使用。”

然而重要的是,尽管苹果承认存在这些问题,但这家公司表示,仅凭这些还不足具备访问邮件应用数据的能力。

据悉,想要安装iOS 13.5更新的用户可以前往设置>通用>软件更新,然后在安装完成后重启设备即可。

9999.jpg

]]>
可以劫持九成Android设备的漏洞:StrandHogg Thu, 04 Jun 2020 10:40:19 +0800 挪威应用安全公司Promon的研究人员本周披露了一个严重的Android漏洞,恶意软件可利用该漏洞劫持受害者设备上的几乎所有应用程序。

在2019年12月,Promon曾警告说,一个被称为StrandHogg的Android漏洞正被数十个恶意Android应用程序利用以提升特权。

StrandHogg是北欧语中的一个古老术语,描述了维京人的战术,其中涉及袭击沿海地区掠夺并扣押人们以勒索赎金,它利用了Android多任务处理系统的弱点。它允许权限受限的恶意应用程序伪装成合法应用程序,以获取更高的特权,从而使攻击者可以监视用户并访问设备上存储的数据。

Promon透露已经发现了另一个类似的Adndroid漏洞,将其命名为StrandHogg 2.0(CVE-2020-0096),并称其为StrandHogg的“邪恶双胞胎”。

与StrandHogg1.0版本漏洞类似,StrandHogg 2.0可以被利用来劫持应用程序,但该公司警告说:“2.0版本可以进行更广泛的攻击,并且更难检测。”

恶意软件利用StrandHogg 2.0不需要任何权限,受害者只需执行恶意应用即可触发利用。如果利用成功,则攻击者可以滥用被劫持的应用程序来获取读取SMS消息,窃取文件,网络钓鱼登录凭据,跟踪设备的位置,拨打或记录电话以及通过电话的麦克风和间谍监视用户所需的特权。相机。

根据Promon的说法,StrandHogg 2.0可以同时定位多个应用程序,并且更难检测。

利用StrandHogg 1.0的攻击者必须在Android Manifest中明确并手动输入他们要感染的目标应用程序,然后这些信息才能在包含许可声明(包括可以执行哪些操作)的XML文件中显示,但StrandHogg 2.0并不需要Google Play的代码声明。

该公司补充说:

由于不需要外部配置即可执行StrandHogg 2.0,它使黑客能够进一步掩盖攻击,因为开发人员和安全团队一般不会怀疑来自Google Play的代码。

Google于2019年12月4日获悉此漏洞(StrandHogg2.0),并通过2020年5月的Android安全更新对其进行了修补。该技术巨头将其分配了漏洞编码CVE-2020-0096,并将其描述为特权提升的关键问题。

对于1.0版本的StrandHogg,Google专注于检测和阻止利用此漏洞的恶意应用程序,而不是发布适用于Android的补丁程序。

Promon表示StrandHogg 2.0不会影响Android 10,但该公司指出,目前大约有90%的Android设备运行的是较早版本的移动操作系统。

Promon表示尚不知道有任何利用此新漏洞的恶意软件,但它预测黑客会同时利用StrandHogg和StrandHogg 2.0,因为这两个漏洞方法不同,双管齐下可以尽可能扩大目标的攻击面。

9999.jpg

]]>
NSA发警告:俄黑客组织Sandworm渗入MTA Exim已有数月时间 Thu, 04 Jun 2020 10:40:19 +0800        据外媒报道,本周,美国安局(NSA)警告公众,俄罗斯军方网络行为者至少已经利用一个版本的电子邮件软件长达数月之久。据悉,这个受影响的邮件系统是用于基于Unix的系统的MTA软件--Exim mail。该软件默认安装在许多Linux发行版中。

3e69e2e42b285dc.jpg

虽然这个漏洞的原始补丁早在去年已经发布,但许多计算机在运行Exim时仍没有安装这个补丁。

据了解,漏洞代码为CVE-2019-10149,其允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。

根据NSA发布的文件,利用这一漏洞发起攻击的俄罗斯组织是Sandworm。他们认为这些俄罗斯网络行动者来自GRU特殊技术中心(GTsST) 74455小组。这些俄罗斯行为者被指通过利用该漏洞增加特权用户、禁用网络安全设置、执行额外的脚本来进一步利用网络,可以说几乎能够实现任何攻击者的梦想访问,而他们要利用的就是未打补丁的Exim MTA版本。

据了解,针对该漏洞的补丁是在几个月前发布的并且当时还有一份来自Exim开发人员的警告。现在,NSA确定他们也已经警告过公众。

随着这些信息的发布,NSA表示,他们将会在未来通过其Twitter账号@NSAcyber公布更多相关的网络安全产品发布和技术指导。

9999.jpg



]]>
出于安全方面考虑 OpenSSH宣布放弃对SHA-1认证方案的支持 Thu, 04 Jun 2020 10:40:19 +0800        OpenSSH是最受欢迎的连接和管理远程服务器实用工具之一,近日团队宣布计划放弃对SHA-1认证方案的支持。OpenSSH在公告中引用了SHA-1散列算法中存在的安全问题,被业内认为是不安全的。该算法在2017年2月被谷歌密码学专家破解,可利用SHAttered技术将两个不同文件拥有相同的SHA-1文件签名。

不过当时创建一个SHA-1碰撞被认为需要非常昂贵的计算成本,因此谷歌专家认为SHA-1在实际生活中至少还需要等待半年的时间,直到成本进一步下降。随后在在2019年5月和2020年1月发布的研究报告中,详细介绍了一种更新的方法,将SHA-1选择-前缀碰撞攻击的成本分别降低到11万美元和5万美元以下。

对于像国家级别以及高端网络犯罪集团来说,让他们生成一个SSH认证密钥,从而让它们能够远程访问关键服务器而不被检测到,那么5万美元的代价是非常小的。OpenSSH开发者今天表示:“由于这个原因,我们将在不久的未来版本中默认禁用‘ssh-rsa’公钥签名算法。”

OpenSSH应用程序使用 "ssh-rsa "模式来生成SSH验证密钥。这些密钥中的一个存储在用户要登录的服务器上,另一个存储在用户的本地OpenSSH客户端中,这样用户就可以在每次登录时不需要输入密码就可以访问服务器,而是以本地验证密钥来代替登录。

在默认情况下,OpenSSH ssh-rsa模式通过使用SHA-1散列功能生成这些密钥,这意味着这些密钥容易受到SHAterred攻击,使威胁行为者能够生成重复的密钥。OpenSSH开发者今天表示:“遗憾的是,尽管存在更好的替代方案,但这种算法仍然被广泛使用,它是原始SSH RFCs规定的唯一剩下的公钥签名算法”。

OpenSSH团队现在要求服务器所有者检查他们的密钥是否已经用默认的ssh-rsa模式生成,并使用不同的模式生成新的密钥。OpenSSH团队表示,推荐的模式是rsa-sha2-256/512(自OpenSSH 7.2以来支持)、ssh-ed25519(自OpenSSH 6.5以来支持)或ecdsa-sha2-nistp256/384/521(自OpenSSH 5.7以来支持)。

9999.jpg

]]>
突发!UEX交易所遭黑客攻击,平台币接近归零 Thu, 04 Jun 2020 10:40:19 +0800 火星财经APP一线报道,UEX交易所发布公告称,在今日20:00正式开启交易对后,平台遭遇黑客入侵和攻击,用增发的UEX对盘面进行不计成本砸盘。官方现已关闭充提币,预计需要5天左右修复和核实数据。受该事件影响,平台币UEX一度暴跌近100%。

UEX

UEX

事实上,早在去年4月,UEX就曾宣布暂停运营。公告称,UEX用户需要在2019年5月10日前完成提币,逾期未提币的用户将被收取一定管理费。

据公开报道,UEX为知名加密资本FBG领投的加密货币交易所,2018年7月宣布完成融资。

9999.jpg

]]>
23%的跨国银行数据库暴露,存在数据泄露风险 Thu, 04 Jun 2020 10:40:19 +0800 根据Reposify最新公布的报告,全球领先跨国银行中,23%都有至少一个配置错误的数据库暴露于互联网,存在数据泄露风险。

报告评估了25家跨国银行及其350多家子公司的暴露敏感资产的普及率,包括暴露数据库、远程登录服务、开发工具和其他资产。

报告中关于全球跨国银行攻击面中的关键资产敞口和漏洞的研究结果如下:

23%的银行至少有一个配置错误的数据库暴露于互联网,从而导致潜在的数据泄漏问题

54%的银行至少有一个RDP暴露于互联网

31%的银行至少有一个远程执行代码漏洞

发现了多个具有匿名身份验证的不安全FTP服务器

攻击者可以利用各种各样的风险,例如RDP,不安全的FTP和配置错误的开发工具,来获得对银行内部网络的未授权访问,并导致数据泄露攻击。发现的暴露数据库使客户和其他敏感数据直接和即将面临暴露风险。

银行业数字化转型面临安全挑战

近年来,银行业经历了大规模的数字化转型,业务竞争力大幅提升,但数字化和连接性的增加也带来了巨大的安全挑战,并使银行业更容易受到网络攻击。

Reposify首席执行官Yaron Tal说:

IT系统的互连性和第三方合作伙伴的增长扩大了外部攻击面和潜在的弱点。

银行的IT生态系统处于不断变化的状态,网络范围已远远超出了防火墙和控制系统。银行的实际攻击面比大多数人想象的要大得多。

面向互联网的资产清单的可见性

银行通常具有完善的安全计划,受到各种机构的严格监管,但是84%的已暴露资产超出了传统资产管理和安全工具的范围。

获得完整的面向互联网的资产清单的可见性至关重要。外部和连续监控使团队可以随时掌握哪些已知或未知设备或服务暴露于互联网中,并采取措施来主动管理和减轻风险。

9999.jpg

]]>
“伪装下的窃密者”:安卓新型提权漏洞利用可伪装成正常APP窃取信息 Thu, 04 Jun 2020 10:40:19 +0800 还记得去年银行卡余额神秘消失事件吗?幕后黑手“安卓系统的维京海盗” Strandhogg漏洞至今还让人心有余悸。

近日,安全研究人员披露了一种新型安卓严重漏洞,该漏洞编号为CVE-2020-0096,因其与Strandhogg漏洞相似,又被称为“StrandHogg2.0”,影响超10亿台安卓设备。在原来的“StrandHogg1.0”之上,可以执行更复杂的提权攻击。

343c-iufmpmm9762805.jpg

“维京海盗”StrandHogg安全漏洞

早在去年12月,来自Promon的安全专家披露了StrandHogg漏洞,该漏洞影响了数十个安卓应用程序。攻击者利用该漏洞可以将恶意软件伪装成合法的APP,且不被用户发现,从而窃取用户敏感信息,进而盗取银行业卡账户余额。

StrandHogg一词取自维京海盗的一种突袭战术,以此命名该漏洞。正如其名,该漏洞也突袭了大多数的安卓应用程序。

StrandHogg是一个存在于安卓多任务系统中的应用漏洞。该漏洞利用则是基于一个名为“taskAffinity”的Android控件设置,允许包括恶意应用在内的任意程序,随意采用多任务处理系统中的任何身份。

一旦安装恶意程序,就能让恶意程序顺利伪装合法应用,获得更高的权限,窃取信息或进行任意恶意操作。简单来说,当用户日常使用设备上的APP时,利用该漏洞可以劫持APP,并向用户显示一个虚假应用界面。

用户在不知情的情况下,会在恶意APP中输入自己的账号密码等敏感信息,而黑客则可以悄无声息地窃取用户信息了,甚至利用这些敏感信息进行犯罪。

StrandHogg-Permission-Harvesting.jpg

这是一种“欺骗”行为,使用StrandHogg漏洞伪装成正常应用程序来欺骗用户,并借此授予黑客控制设备的权限。

攻击者利用该漏洞可以:

通过麦克风监听用户

通过摄像头拍照

读取和发送 SMS 消息

打电话和对电话就行录音

进行登陆凭证钓鱼

获取设备上所有的私有照片和文件

获取位置和 GPS 信息

访问联系人列表

访问手机日志

这些权限基本就是设备中的核心权限了,一旦沦陷,个人隐私只能在黑客面前“裸奔”。

StrandHogg2.0漏洞危害再升级

安全研究人员报告CVE-2020-0096漏洞后,将其命名为“Strandhogg 2.0”。这次的漏洞会影响Android 9.0及其以下的所有版本设备。而目前,并非所有的安卓用户都已经升级了,这意味着80%至85%的安卓用户容易遭到黑客攻击。

此次的Strandhogg 2.0漏洞允许黑客进行提权攻击,可访问设备上几乎所有已安装的应用程序。

StrandHogg 1.0一次只可以攻击一个应用程序,但是StrandHogg 2.0允许攻击者进行“动态攻击”。“只需按一下按钮就可以同时攻击指定设备上的所有应用程序”,而无需为每个目标应用程序进行预先配置。

Promon说:“如果受害者然后在此界面中输入其登录凭据,则这些敏感信息将立即发送给攻击者,然后攻击者可以登录并控制对安全敏感的应用程序。”

和Strandhugg漏洞一样,该漏洞可以通过恶意软甲获取用户个人数据,比如短信、照片、登录凭据、追踪GPS、通话记录、摄像头和麦克风等。

图片2.jpg

该漏洞的独特之处在于:

1、无需root即可利用该漏洞,且无法被用户发现;

2、无法检测到Strandhogg漏洞利用;

3、可进行动态的“同时攻击”。

所幸,在今年5月份,谷歌已经发布安全补丁,安卓用户应尽快更新设备,以免受到恶意攻击的影响。

参考来源:

StrandHogg 2.0 Android漏洞影响超过10亿台设备

9999.jpg

]]>
曝泰国最大移动运营商泄露83亿条用户数据记录 Thu, 04 Jun 2020 10:40:19 +0800 昨日,安全研究人员Justin Paine在一篇文章中表明自己发现了一个公开的ElasticSearch数据库,而该数据背后直指泰国一家移动网络运营商分部AIS。目前AIS已将暴露在网络上的数据库脱机。

此次数据泄露事件波及数百万名用户,数据记录达83亿条,容量约为 4.7 TB,每 24 小时增加 2 亿记录。该数据库无需密码即可访问,包括DNS查询和Netflow数据。

这些数据泄露的后果就是,相关用户的网络行为都可以为他人甚至是不法分子,实时了解。

随后,安全研究人员这个bug报告给了AIS和泰国国家计算机紧急应急小组ThaiCERT,之后AIS关闭数据库,停止其他用户任意访问。

AIS 是泰国最大的GSM移动运营商,用户约有4000万。此次可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制。

“这不是我们用户的个人数据,我们没有一个客户受到影响,没有财务损失。”在这数据泄露事件曝出后,公关负责人Saichon Sapmak-udom发布了这个声明。相关负责人否认这次的用户数据泄露,并表示只是一项改善网络服务的测试。

83亿数据泄露时间长达三周

根据BinaryEdge中的可用数据,该数据库于2020年5月1日首次允许公开访问。2020年5月7日,约六天后,安全研究人员发现了该数据库。

泄露时长.jpg

该数据库无需身份验证即可查看,包含部分三个ElasticSearch节点集群。

数据节点.jpg

在泄露的三周时间内,数据量不断增长,每24小时则添加约2亿行新数据。截至2020年5月21日,数据库中存储了8,336,189,132个文档。此数据包含NetFlow数据和DNS查询日志。

微信图片_20200526145414.jpg

DNS查询流量仅记录了大约8天(2020-04-30 20:00 UTC-2020-05-07 07:00 UTC),捕获了3,376,062,859个DNS查询日志。目前尚不清楚他们为何在这段短暂的时间后停止记录DNS查询。

关键数据点数量
已记录的DNS查询3,376,062,859                                                    每秒2,538
唯一的源IP可以在48小时内记录DNS11,482,414
超过48小时的rrname(DNS查询值)的唯一计数2,216,07

DNS.jpg

其余大约50亿行数据是NetFlow数据,NetFlow数据以每秒大约3200个事件的速度记录。这类信息记录了源IP向特定的目标IP发送了不同类型的流量,以及传输了多少数据。

上图.jpg

在上图中,这是对目标IP地址的HTTPS(TCP端口443)请求。可以在目标IP上进行反向DNS查找,以快速识别此人将使用哪个HTTPS网站。

数据利用的潜在危害

在安全研究人员的博客中可以看到,他选择了一个流量低至中等的单个源IP地址验证DNS查询日志的重要性。对于这个IP地址,数据库包含668个Netflow记录。该数据库还详细列出了从这个IP获取的流量类型,比如DNS流量、HTTP、HTTPS、SMTP等。

验证.jpg

由此可见,仅根据DNS查询,就可以确定相关用户的详细信息:

他们至少有1台Android设备

他们要么拥有Samsung Android设备,要么拥有其他三星设备,例如连接互联网的电视。

他们至少有1台Windows设备

他们至少有1台Apple设备

他们使用Google Chrome浏览器

他们使用Microsoft Office

他们使用ESET防病毒软件

他们访问了以下社交媒体网站:Facebook,Google,YouTube,TikTok,微信

这类数据意外泄露事件时常发生,因此也更值得企业和厂商的关注。

首先,ElasticSearch和Kibana需要有更安全和合理的默认设置,如果企业人员要将数据库公布在网络上,更需要谨慎。如果发现无需任何身份验证即可公开访问,则需要提醒和警告用户。

其次,从用户ISP中获取NetFlow和sFlow数据会泄露个人信息,可以使用DoH或DoT来保护用户的DNS通信在传输过程中的安全,让用户的ISP无法被看到、记录、监视甚至有时出售DNS查询流量。

事件时间线:

2020年5月7日,安全研究人员发现公开的ElasticSearch数据库;

2020年5月13日  ,联系数据库所有者AIS;

2020年5月13日至21日,多次尝试联系未果;

2020年5月21日  ,将该问题提交给ThaiCERT;

2020年5月22日  ,停止数据库访问。

参考链接:

泰国数据库泄漏了83亿条互联网记录

庞大的80亿泰国互联网记录数据库泄漏

9999.jpg

]]>
多个国家的在线商店遭黑客入侵,SQL数据库正在出售 Thu, 04 Jun 2020 10:40:19 +0800 credit-card-hack_financial-breach_stealing-money_traffiking-financial-data_target_by-igphotography-getty-100802991-large.jpg

黑客正在出售从多个国家的在线商店窃取的SQL数据库。该数据库总共包含1620000行,公开的记录包括了电子邮件地址、名称、哈希密码(例如bcrypt、MD5)、邮政地址、性别、出生日期等。

通过在网上公开的不安全的服务器,黑客入侵网站、窃取数据库并留下了赎金信息:索要 0.06个BTC(按当前价格485美元),如果受害人在10天内不支付赎金,他们就有会面临数据库泄露的风险。

赎金.png

根据观察,几个用来交赎金的黑客钱包已经收到了100多笔交易,总金额是5.8比特币(按当前价格47150美元)。而这些钱包的使用记录最是在2019年9月20日,最近的一次是从5月20日开始的,仅本月就有9个使用记录。可见,该黑客非常活跃。

目前,黑客提供了31个数据库,并提供了一个样本供买方检查数据的真实性。而一些数据库的日期为2016年,但数据始于2020年3月28日。

同时,列出的大多数数据库来自德国的在线商店,其余来自巴西、美国、意大利、印度、西班牙和白俄罗斯。而所有被黑的商店运行着Shopware、JTL-Shop、PrestaShop、OpenCart和CMS电子商务(v2)。

这不是攻击者第一次针对未受保护的数据库,专家已经观察到有几起针对未受保护的MongoDB数据库的攻击。

9999.jpg

]]>
保护用户免遭PUA/PUP类型的垃圾软件侵袭 微软将推出针对性的防护策略 Thu, 04 Jun 2020 10:40:19 +0800 PUA是网络安全领域里不太常见的术语缩写 , 当然想必也有用户知道PUA这个缩写在其他方面还有着特殊的含义。

在网络安全领域里PUA和PUP指的都是不需要的软件 , 这里不需要的软件既包括常规的软件也包括潜在恶意软件。

在网络安全业界国外通常将其称作不需要的软件,而在国内这指的其实就是我们非常熟知且经常遇到的捆绑软件。

比如国内不少垃圾下载站提供的高速下载器就是典型案例,这种下载器将不需要的软件与合法软件捆绑静默安装。

保护用户免遭PUA/PUP类型的垃圾软件侵袭 微软将推出针对性的防护策略

微软将开始拦截此类捆绑安装行为:


这种绕过用户许可静默安装不需要软件的行为,向来被许多用户唾弃但奈何有相当多的团队正在公司化进行运作。

所幸多数安全软件都会拦截这种静默捆绑行为,微软其实很多年前也已经开始拦截此类垃圾软件但着实有些粗糙。

而在已经推出的 Windows 10 Version 2004 正式版上,微软已更新防护策略专门添加针对捆绑软件的拦截配置。

具体位置: Windows 安全中心---应用和浏览器控制---基于声誉的保护设置---开启阻止可能不需要的应用程序。

当用户使用 Microsoft Edge 浏览器并安装微软的安全扩展后,通过浏览器下载的带有捆绑的垃圾软件亦会拦截。

保护用户免遭PUA/PUP类型的垃圾软件侵袭 微软将推出针对性的防护策略

国内最为常见的PUA之一

PUA/PUP类软件的危害:


诸如垃圾下载站提供的高速下载器通常会捆绑相当多的垃圾软件,有时候即便用户取消勾选捆绑软件也会被安装。

国内出现的这类垃圾下载器主要也就是马鞍山和北京的某些公司提供,其配置文件会根据用户地区进行处理捆绑。

例如检测到用户在监管情况可能不是特别严的三四五线城市,下载器会强制静默安装垃圾软件无视用户取消勾选。

同时这些下载器还会释放所谓的资讯模块不停地进行弹窗广告,对于用户日常使用电脑来说也会造成极大地干扰。

还有些捆绑软件会释放木马病毒和后门程序并收集用户信息,其背后的运营者会将数据卖给广告公司再推送广告。

更有甚者甚至还会篡改浏览器主页、锁定浏览器、锁定搜索引擎、禁用安全证书及禁用安全软件等多种恶意行为。

保护用户免遭PUA/PUP类型的垃圾软件侵袭 微软将推出针对性的防护策略

某PUA类型的下载器释放所谓的资讯模块 里面掺杂大量擦边球内容

怎么防止自己和家人被PUA/PUP:


要防范这种垃圾软件捆绑行为其实很简单,现在诸如谷歌浏览器和 Microsoft Edge 浏览器会在下载时直接拦截。

即便没有拦截接下来还有安全软件进行扫描拦截,现在主流的国内外安全软件都已经增加对此类捆绑软件的拦截。

所以理论上用户只要使用靠谱的浏览器外加安全软件那就不需要担心,这类垃圾软件通常无法躲过安全软件扫描。

当然如果是Windows 10的话内置Windows Defender也可以拦截,非Windows 10用户建议安装其他安全软件。

9999.jpg

]]>
泰国移动运营商泄露83亿互联网记录 Thu, 04 Jun 2020 10:40:19 +0800        研究人员发现了泰国移动运营商 Advanced Info Service (AIS)子公司控制的一个 ElasticSearch 数据库可公开访问,数据库包含大约 83 亿记录,容量约为 4.7 TB,每 24 小时增加 2 亿记录。

dns_indexes-1.jpgFirstSeen.jpg

AIS 是泰国最大的 GSM 移动运营商,用户约有 4000 万。可公开访问的数据库由其子公司 Advanced Wireless Network (AWN)控制,包括了 DNS 查询日志和 NetFlow 日志,这些数据可用于绘制一个用户的网络活动图。

研究人员尝试联系 AIS 但毫无结果,直到最后联络泰国国家计算机紧急响应小组之后数据库才无法公开访问。 

9999.jpg



]]>
安全周报(05.18-05.24) Thu, 04 Jun 2020 10:40:19 +0800

1


 日本三菱电机造黑客攻击,高超音速导弹机密或已泄露


2020年5月21日,据日本朝日新闻报道,在针对三菱电机公司的大规模网络攻击中,日本防卫省正在研究的最新武器“高速滑翔导弹”的性能信息很可能已被泄露。

报道指出,在针对日本防卫省和军工产业的网络攻击中,能发现有关特定装备的信息泄露实属罕见。日本防卫省正在对此进行调查,以确保是否会对其安全保障产生影响。

报道称,政府相关人士透露,日本防卫装备厅在决定试验品的订单招标之前,向包括三菱电机在内的多家防卫企业借出了(高速滑翔导弹的)“性能要求事项”,所以信息通过黑客攻击遭到泄露的可能性很高。不过招标结果显示,最终接到订单的并非三菱电机而是其他军工企业。

640.webp (11).jpg

2


又见黑产业链!建行员工贩卖客户信息5万多条


近日,江苏淮阴市淮安警方在“净网2019”专项行动中成功破获一起特大侵犯公民个人信息案件。该案涉及9个省份,公安部将此案列为部督专案。淮阴分局共抓获犯罪嫌疑人26名,扣押涉案手机60余部,涉案金额2100余万元,追缴违法所得400余万元,摧毁了6条泄漏、贩卖公民个人信息的黑色产业链。

其中,建设银行员工在黑色链条中发挥重要作用,将相关银行卡使用人的身份信息、电话号码、余额甚至交易记录,售卖给下家,进行谋利。

建设银行这名员工供述,根据双方达成“合作”协议,他每查询1条银行卡相关信息,即可获利80~100元不等的报酬。光凭这一黑色收入,建设银行员工年收入就超过30多万元。上述建设银行员工还称:“只知道售卖个人信息的做法违背银行的规定,不知道这种做法会违法。

“银行员工将个人账户信息泄露出去谋利,因涉及客户的资金安全,已不属于侵犯普通隐私的范畴,情节更加严重、恶劣。”

640.webp (12).jpg

3


多种DNS解析程序被发现漏洞,允许攻击者发动拒绝服务攻击


DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制,它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。

DNS 解析程序不能向“名字”发送域名查询,因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址,之后才能继续查询域名。

NXNSAttack 就是基于这一原理,攻击者发送的委托包含了假的权威服务器名字,指向受害者的 DNS 服务器,迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次,对受害者服务器发动了拒绝服务攻击。

640.png

4


三星手机突发系统崩溃,现黑屏、乱码!


5月23日,网络上有不少三星手机用户投诉,在凌晨开始发现手机系统崩溃,出现黑屏、乱码、无限重启等情况。

有网友表示,这可能是因为5月23日是闰四年的第一天,由于闰年有366天,所以手机系统出现时间BUG。国行手机使用了农历日历才有这种情况。

出现的原因应该是类似千年虫的BUG,三星方面之前没有考虑到闰四月。只要更新了官方的锁屏程序就没事了,而出现问题的机型可能是没有更新锁屏程序但是又更新了系统的。

目前也有网友总结出来解决方法:已经遇到手机系统出现崩溃的手机,可以双击电源键进去到相机拍照界面,然后下拉状态栏,点设置-锁定屏幕,拉到最下面,关于锁定屏幕,点进去更新,更新完之后就正常使用。而如果进不去相机拍照界面,可以让人给机主打电话,接通电话后随后保持屏幕常亮,下拉任务栏,点设置-锁定屏幕,拉到最下面,关于锁定屏幕,点进去更新。

此外,如果还没有出现问题的三星手机,可以先把自动更新关闭,把时间改成6月23日。手机关闭中国日历等软件,跟农历有关系的软件强制停止运行,更改手机日期往后改一天或者一个月,关闭自动日期和时间更新。

640.webp (13).jpg

5


英国易捷航空遭黑客入侵,约900万客户个人信息被窃取


2020年5月20日,英国廉价航空公司易捷航空EasyJet的一份声明称,在一次重大数据泄露事件中,约900万客户个人信息被窃取,其中包括2200名客户的信用卡详细信息也被获取,但护照记录暂未发现泄露。易捷航空没有透露安全事件是何时发生的,也没有说明黑客是如何进入其系统的。

公司表示,已经将泄密事件提交给了英国的数据保护机构信息专员办公室(Information Commission's Office)。根据欧洲数据保护规则,公司有72小时的时间向监管机构通报安全事件。

640.webp (14).jpg


]]>
三星手机突发系统崩溃,现黑屏、乱码!官方回应 Thu, 04 Jun 2020 10:40:19 +0800 今天,三星手机突然冲上热搜。

5月23日,南都记者获悉网络上有不少三星手机用户投诉,在凌晨开始发现手机系统崩溃,出现黑屏、乱码、无限重启等情况。

网友称三星手机出现黑屏、乱码。图据网络

南都记者在微博、三星贴吧发现,有不少网友反馈自己的三星手机系统出现崩溃。有网友声称,半夜时听到手机发出嘟嘟嘟一阵响,手机页面就出现乱码,而且无法关机。

南都记者梳理发现,此次遇到手机系统崩溃的机型大多集中在三星Galaxy S10以及S20,不过也有A60、S8+等机型用户表示也有类似情况,“中招”的手机多为国行。

今天11时许,@三星GALAXY盖乐世 对此事也进行了回应。

有网友表示,这可能是因为5月23日是闰四年的第一天,由于闰年有366天,所以手机系统出现时间BUG。国行手机使用了农历日历才有这种情况。

有业内人士告诉南都记者,凌晨出现的应该是类似千年虫的BUG,三星方面之前没有考虑到闰四月。只要更新了官方的锁屏程序就没事了,而出现问题的机型可能是没有更新锁屏程序但是又更新了系统的。

南都记者注意到,目前也有网友总结出来解决方法:已经遇到手机系统出现崩溃的手机,可以双击电源键进去到相机拍照界面,然后下拉状态栏,点设置-锁定屏幕,拉到最下面,关于锁定屏幕,点进去更新,更新完之后就正常使用。而如果进不去相机拍照界面,可以让人给机主打电话,接通电话后随后保持屏幕常亮,下拉任务栏,点设置-锁定屏幕,拉到最下面,关于锁定屏幕,点进去更新。

此外,如果还没有出现问题的三星手机,可以先把自动更新关闭,把时间改成6月23日。手机关闭中国日历等软件,跟农历有关系的软件强制停止运行,更改手机日期往后改一天或者一个月,关闭自动日期和时间更新。

9999.jpg

]]>
欧洲各国研发新冠新药疫苗的利器让黑客劫持 Thu, 04 Jun 2020 10:40:19 +0800 当你浏览网站时候发现电脑或手机快速发热,而且运行速度变得卡顿,那小编提醒您要当心了,这可能是你的设备已让人植入了木马程序,成为黑客远程控制用来挖矿的“肉鸡”。

640.webp.jpg

欧洲抗疫主力因黑客罢工

就在上周,英国爱丁堡大学宣布ARCHER超级计算机遭到攻击,被迫关闭系统进行调查,同时也发现SSH(安全外壳协议)密码也重置了。

640.webp (1).jpg

英国的ARCHER超级计算机

于此同时,欧洲各国的超级计算机在短短一周内纷纷中招。

西班牙巴塞罗那的一台超级计算机也因安全问题关闭;

德国巴伐利亚科学院下属的莱布尼兹计算中心(LRZ)表示,中心计算集群因安全漏洞从互联网断开连接;

德国朱利希研究中心关闭了JURECA、JUDAC和JUWELS超级计算机;

瑞士科学计算中心也关闭了超级计算机的外部访问权限……

640.webp (2).jpg

欧洲的超级计算机被黑客入侵用以开采加密货币

英国安全公司Cado Security分析,这些超算的登录节点存在安全漏洞,黑客乘虚而入,在超算上部署了门罗币(XMR)挖矿程序,把超算变成了挖矿肉鸡。

目前,欧洲各国的超级计算机,都已将新冠疫情新冠研究列为优先事项。

研发疫苗或新药,都需要超级计算机的算力支持。超级计算机可以模拟人体各器官的工作机理及人体内各种生化反应,也可以模拟实验治疗效果和不良反应。

640.webp (3).jpg

超级计算机的算力,对缩短研发周期,降低研发成本至关重要。

欧洲各国的超算每停一天,都会放慢战胜疫情的脚步。

模拟核爆的超算也曾中招

盯上超级计算机的可不只黑客,还有不少内鬼。

2018年2月,俄罗斯萨罗夫核中心的超算就被人用来挖矿。

萨罗夫核中心,又称全俄实验物理科学研究所,主要研究如何通过计算和理论增强核武器的威力,号称俄罗斯的氢弹库。

640.webp (4).jpg

红圈中为萨罗夫核中心的位置

2011年,萨罗夫核中心投入运行了当时功能最强大的超级计算机,运算能力达到1 petaflops(每秒可进行1千万亿次数学运算),主要用于模拟核爆。

研究所是保密单位,这台超算本不该连到互联网上,但是俄罗斯联邦安全局却发现超算启用后竟尝试连接互联网,随机展开了调查。

640.webp (5).jpg

2018年美国媒体关于此事的报道

结果,研究所内有工程师将超算联网后挖矿,这名工程师也因为“利用办公计算资源开采加密货币”被捕。

研究所新闻发言人塔蒂亚娜说,“听说过其他单位有人挖矿,没想到核中心的超算也有人敢动,这是严重的刑事犯罪。”

640.webp (6).jpg

萨罗夫核武器博物馆中,史上最强氢弹“沙皇炸弹”的复制品

俄罗斯的工程师刚刚被捕一个月,澳大利亚的工程师也撞上了枪口。

2016年,澳大利亚气象局更换了一台Cray XC-40超级计算机,价值7700万澳元,拥有51840个英特尔至强处理器、276TB内存、4.3PB的硬盘,峰值计算能力为1.6 petaflops。

这台超算的独特之处在于,可在顷刻之间计算出澳大利亚任何6平方公里的详细天气预报,并将预报直接发送到人们的智能手机上。

澳大利亚气象局内部

结果,气象局两名工程师也忍不住诱惑,利用这台超级计算机挖起矿来,最后招致警方介入。

业内人士估计,尽管两起事件都没有透露挖了哪类加密货币,但是极有可能都是门罗币。

小编也在最后友情提醒,信息安全、网络公司的运维人员请勿占小便宜,利用工作之便,偷偷打起挖矿赚“外快”的歪主意,往往会得不偿失,引发不必要的后果!

9999.jpg

]]>
反诈骗之旅:诈骗软件又现新变种 Thu, 04 Jun 2020 10:40:19 +0800 近期暗影实验室在日常监测中,发现一批针对中国、越南、马来西亚、美国等国用户的钓鱼软件。该类软件并不是第一次出现,如今出现了新变种。暗影安全实验室在去年11月份发表过一篇报告《反诈骗之旅-仿冒公安政务》中对该诈骗类软件进行了披露。

该恶意软件冒充越南公安、马来西亚银行、美国***、安全防护等相关应用程序名称诱骗用户安装使用。通过仿冒的钓鱼页面,诱骗用户填写相关的个人***、***账户密码等信息以转走用户***资金。除此之外,该类恶意程序还会窃取用户通讯录、通话记录、短信等个人隐私信息,并具有监听用户电话状态、监听用户短信、拨打电话、删除发送短信等功能。

图1-1恶意样本图标

一、钓鱼攻击

1.1针对国内钓鱼攻击

该类APP在国内主要通过冒充“Visa”与“安全防护”应用程序名进行传

VISA又译为维萨,是美国一个***品牌。Visa作为一个全球性的支付平台,覆盖全世界200多个国家和地区。同样在中国Visa也具有大量用户群体。

图2-1 Visa中国官网

该恶意程序主要通过仿冒抽奖、中奖等钓鱼页面,诱骗用户填写姓名、卡号、电话号码等敏感信息。

图2-2“Visa”钓鱼页面

冒充“安全防护”应用程序名称。该恶意程序提供网上***安全认证功能以及文号查询功能,通过网上***安全认证钓鱼页面窃取用户***号、手机号、交易密码等信息。

图2-3“安全防护”钓鱼页面

1.2针对马来西亚钓鱼攻击

冒充马来西亚国家银行应用程序进行钓鱼攻击。马来西亚国家银行是由马来西亚政府设立及拥有,其主要目的不在营利,而是管制与监督全国的银行与金融活动。

图2-4马来西亚国家银行官网

通过钓鱼攻击页面诱导用户填写账户信息。

图2-5钓鱼页面

1.3针对越南钓鱼攻击

冒充越南公安部应用程序进行钓鱼攻击。

图2-6 越南公安部官网

通过钓鱼页面诱导用户填写账户信息。

图2-7 钓鱼页面

二、样本分析

我们监测到的这批恶意程序文件结构及代码基本相同。但每个恶意程序具有不同的服务器地址。

图3-1代码结构

程序启动会加载钓鱼页面并启动恶意服务。

图3-2加载钓鱼页面

2.1窃取隐私数据

应用加载完仿冒页面后便开始收集并上传用户隐私数据。

(1)收集并上传用户收件箱短信信息,包括发送失败和已发送的短信息。

图3-3收集短信收件箱信息

图3-4上传获取的用户短信信息

(2)收集上传用户通话记录信息,并标记通话记录状态。

图3-5收集通话记录信息

图3-6上传的用户通讯录信息

(3)收集并上传用户联系人信息。

图3-7收集用户联系人信息

图3-8上传用户联系人信息

与服务器交互上传获取的用户信息。

图3-9与服务器交互

2.2远程控制

程序的远控部分是通过消息机制实现的。从服务器获取指令并解析,然后通过Message.setData()传递从指令中解析出的数据、设置Message.what来指定消息类型。

服务器地址:http://213.***.36.42:4201/app/input.php。

图3-10解析指令并使用消息机制执行

图3-11服务器下发指令

远控指令:

一级指令二级指令三级指令传递的值功能
testjson3J_PhoneState1J_PhoneNo拨打指定电话号码
2J_PhoneNo挂断电话
actlistJ_PhoneNo
MsgContentTargetMTELOrderNO发送指定内容短信
callcontactsStatus新增SnStatuscontactIDPhoneName向联系人数据库插入数据
修改更新联系人数据库数据
删除删除联系人数据库数据
testjsonshowyn3J_Id删除id为指定值的短信

应用将自身注册为默认短信程序,监听用户接收的短信息。这样能即时获取到用户短信验证码信息。短信验证码作为第二验证因素被广泛用于身份验证中。

图3-12监听用户短信

删除指定短信。应用场景为诈骗犯在转走用户***资金后为了避免用户发现从而删除短信提示信息。

图3-13删除指定短信

三、扩展分析

通过关联分析在恒安嘉新App全景平台态势平台上,我们发现多款该恶意程序应用。这批恶意程序代码结构、包名、签名都相同。说明这批恶意程序出自同一制作者。猜测这可能是某诈骗集团实施诈骗的工具。

图4-1其它样本信息

部分样本信息:

安装名称包名MD5
sgbcom.loan.test1     f61a8f344742f254515459e91642474b
nbmcom.loan.test1    4a6096174b06124b51e1c08723827d65
safecom.loan.test1    ef3619529***7c53bd701a9207b40550
安全防护com.loan.test1    d3e6d96af2a3bbdc053241fd66ed0cf1
vnappcom.loan.test1    baf4a416e531f25b9fb917d3629f157d
Visa Mastercom.loan.test1    5bc922612ef826f95d5cf46697292b82
aeoncom.loan.test1    54e5080dffbfd807eeefb4dfb20fabdc
bnmcom.loan.test1    d653129352a69917808d6b00c3dedaa9
vn84com.loan.test1    806276355682cf281b5a1598e0d1d88b

四、总结

这批恶意程序在去年10月份的时候就已经出现,经过更新迭代重新被投入网络中进行使用。由于这批恶意程序具有相似的文件结构与代码且签名信息相同由同一组织打包而成,所以我们猜测这批恶意程序可能是某黑客组织实施跨国诈骗的工具。用户应提高自身防诈骗意识,多补充网络安全知识。不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用。

9999.jpg

]]>
安全研究人员分析过去几年发生的开源软件供应链攻击 Thu, 04 Jun 2020 10:40:19 +0800        德国和法国的研究人员在预印本网站 arXiv 上发表论文(PDF),分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类:其一是在软件产品中植入恶意代码去感染终端用户,此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击。

攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新,这次攻击造成了数十亿美元的损失,是已知最具破坏性的网络攻击之一。

另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户,它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行,此类的攻击日益常见。

78d2e-ccleaner-malware.png

研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包,他们发现 56% 的软件包在安装时触发恶意行为,41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。

9999.jpg



]]>
多种DNS解析程序被发现漏洞 允许攻击者发动拒绝服务攻击 Thu, 04 Jun 2020 10:40:19 +0800        DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制,它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。

DNS 解析程序不能向“名字”发送域名查询,因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址,之后才能继续查询域名。

NXNSAttack 就是基于这一原理,攻击者发送的委托包含了假的权威服务器名字,指向受害者的 DNS 服务器,迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次,对受害者服务器发动了拒绝服务攻击。

图片.png

众多 DNS 软件都受到影响,其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。                      

 



]]>
日本三菱电机造黑客攻击 高超音速导弹机密或已泄露 Thu, 04 Jun 2020 10:40:19 +0800 2020年5月21日,据日本朝日新闻报道,在针对三菱电机公司的大规模网络攻击中,日本防卫省正在研究的最新武器“高速滑翔导弹”的性能信息很可能已被泄露。

报道指出,在针对日本防卫省和军工产业的网络攻击中,能发现有关特定装备的信息泄露实属罕见。日本防卫省正在对此进行调查,以确保是否会对其安全保障产生影响。

“高速滑翔导弹”可以在复杂的轨道上以超音速长距离滑翔,突破敌人的导弹防御系统,对目标进行精密攻击。中国、俄罗斯、美国等国家正在对其进行研发,日本防卫省也从2018年开始着手向装备化方向进行研究。

640.webp (9).jpg

报道称,政府相关人士透露,日本防卫装备厅在决定试验品的订单招标之前,向包括三菱电机在内的多家防卫企业借出了(高速滑翔导弹的)“性能要求事项”,所以信息通过黑客攻击遭到泄露的可能性很高。不过招标结果显示,最终接到订单的并非三菱电机而是其他军工企业。

据悉,“性能要求事项”文件中记载了包括射程、耐热性、推进力等内容。由于导弹的性能有可能发生变化,因此该信息不属于日本《特定秘密保护法》中指定的“特定秘密”对象。只是,该信息属于“可能妨碍防卫业务执行”的“注意情报”,防卫装备厅也让三菱电机签署了彻底保密的协议。

640.webp (10).jpg

报道称,在对三菱电机的一系列网络攻击中,该公司最初表示,应聘者的个人信息和与营业、技术相关的公司内部信息可能被泄露,但“机密信息没有被泄露”。但是,三菱电机在2月10日突然改变了税法,承认泄露的信息包含防卫省划定的“注意信息”。日本防卫省还认为,其他防卫装备的机密信息也有可能外泄,正在展开调查。

9999.jpg

]]>
LokiBot间谍木马再升级,窃取iOS应用信息 Thu, 04 Jun 2020 10:40:19 +0800 近日亚信安全截获了LokiBot间谍木马最新变种,LokiBot是一款著名的间谍木马,其通过垃圾邮件传播,窃取用户敏感数据,包括浏览器、电子邮箱、ftp、sftp密码及凭证。本次截获的LokiBot变种与之前版本不同的是,其还会窃取Windows上支持的IOS应用信息。亚信安全将其命名为:TSPY_LOKI.SMA。

攻击流程

病毒详细分析

脱壳后,我们发现该病毒是VC++编写:

其代码中存在大量花指令,payload在以下地址中:

病毒首先检查WSA是否启动,为socket做准备:

进入第一个payload,其主要功能是遍历计算机中的所有应用,根据相应的应用程序,到默认指定目录窃取用户的信息。

该病毒不仅识别包含了Windows常用的浏览器,还会窃取IOS应用信息:

识别FTP软件:

识别邮箱应用:

窃取以上应用的相应文件和里面的信息:

(1)窃取浏览器密码,以本机所安装的火狐浏览器为例:

先判断机器中的浏览器版本,定位浏览器的位置,窃取密码:

窃取信息步骤:

读取profiles.ini文件:

读取登录信息:

读取密码的主要步骤是从内部key槽,对slot进行鉴权,随后破译密码:

(2)窃取IOS应用密码,首先会读取plutil.exe文件,该软件用于Windows支持IOS应用,从keychain.plist中窃取用户账号密码,最后转换格式保存在数组或者字典中,等待发送:

(3)针对email所窃取的信息如下图:

窃取数据后,病毒会删除自身,并把自己备份到临时文件目录下,重命名为B3AB29.exe:

建立socket ,外联远程服务器http://noniwire8.beget.tech/Brokenskull/fre.php

该域名为动态域名:

病毒停止系统lsass.exe进程中保护敏感信息的protected_storage服务:

 

读取内存中所有信息,发送数据:

解决方案

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包含的链接;

请到正规网站下载程序;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

打开系统自动更新,并检测更新进行安装;

IOC

SHA-1:C922961134235AAE9DCB06B304951562**602FF2

URL:http://noniwire8.beget.tech/Brokenskull/fre.php

9999.jpg

]]>
多种DNS解析程序被发现漏洞 允许攻击者发动拒绝服务攻击 Thu, 04 Jun 2020 10:40:19 +0800        DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制,它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。

DNS 解析程序不能向“名字”发送域名查询,因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址,之后才能继续查询域名。

NXNSAttack 就是基于这一原理,攻击者发送的委托包含了假的权威服务器名字,指向受害者的 DNS 服务器,迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次,对受害者服务器发动了拒绝服务攻击。

图片.png

众多 DNS 软件都受到影响,其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文

9999.jpg



]]>
又见黑产业链!建行员工贩卖客户信息5万多条 Thu, 04 Jun 2020 10:40:19 +0800 从“内鬼”到销售末端,

一条信息的价格可能翻上数倍。

继中信银行泄露脱口秀演员王越池(艺名“池子”)个人交易明细曝光之后,日前,建设银行员工因参与黑色产业链、售卖客户个人信息被逮捕。

记者从江苏淮阴市淮安警方获悉,近期破获了一起特大贩卖公民个人信息案。

共抓获26名嫌疑人,

涉案金额2000多万元,

涉及公民个人信息50000多条。

其中,建设银行员工在黑色链条中发挥重要作用,将相关银行卡使用人的身份信息、电话号码、余额甚至交易记录,售卖给下家,进行谋利。

“银行员工将个人账户信息泄露出去谋利,因涉及客户的资金安全,已不属于侵犯普通隐私的范畴,情节更加严重、恶劣。一位业内人士对记者表示。

一条个人信息卖80~110元

近日,江苏淮阴市淮安警方在“净网2019”专项行动中成功破获一起特大侵犯公民个人信息案件。该案涉及9个省份,公安部将此案列为部督专案。淮阴分局共抓获犯罪嫌疑人26名,扣押涉案手机60余部,涉案金额2100余万元,追缴违法所得400余万元,摧毁了6条泄漏、贩卖公民个人信息的黑色产业链。

早在2019年6月,有人在网上通过QQ等通讯工具公开出售银行卡相关信息,包括银行卡对应的卡主身份证号码、电话号码、余额甚至交易流水,引起了警方注意。

警方注意到,QQ群内昵称为“建行”、“在野”、“金融”等多个QQ号,长期在各个QQ群内发送广告,声称只要提供银行卡号或者身份证号,就可以查询到相关银行卡使用人的身份信息、电话号码、余额甚至交易记录。民警还发现,群内成员与这些QQ号私下交易,获得的信息又快又准。

一位男子王某称,在一个偶然的机会,他发现与银行卡相关信息售价动辄几百元,且需求量很大,于是他转行当起了“信息贩子”。接下来,他根据客户需要查询的不同银行卡,对应不同的上线查询渠道,并以经济利益诱惑,将建设银行一名员工拉下水。

建设银行这名员工供述,根据双方达成“合作”协议,他每查询1条银行卡相关信息,即可获利80~100元不等的报酬。光凭这一黑色收入,建设银行员工年收入就超过30多万元。

上述建设银行员工还称:“只知道售卖个人信息的做法违背银行的规定,不知道这种做法会违法。”

一般来讲

贩卖信息黑产链的第一环

是建行这名员工

↓↓

他再联系中间商

为了安全起见

银行“内鬼”联系的中间商

一般只有一到两人

↓↓

中间商下面还有各种分销商

层层代理

↓↓

形成一个以银行“内鬼”为源头、大量中间商为中介,通过网络勾结、贩卖银行卡的相关身份证、电话号码、余额、交易记录的网络犯罪团伙。

淮阴分局网安大队大队长朱延亮称

因为层级很多,所以越到产业链的末端,信息的价格越高,从“内鬼”到销售末端,一条信息的价格可能翻上数倍,除了犯罪风险,没有其他成本,利润非常高。

淮阴警方称,目前,26名犯罪嫌疑人已被移交检察机关提起公诉。

拿什么保护公民个人隐私

商业银行等金融机构掌握着大量用户,并且拥有非常关键的资金信息数据,但如果因为保护不善,导致个人信息泄露,将带来财产损失等个人影响,近期多起案件引发公众担忧。

一位银行业人士称,个人信息售卖可以短期、快速获利,当前,银行在个人信息安全保护制度上还有待健全,疏于对员工的管理,再加上员工法律意识淡薄,使得泄漏现象屡禁不止。

北京盈科律师事务所合伙人唐春林对记者称

金融领域与其他领域相比,其业务规则和法律的联系更为紧密。通常,都是在法律有了原则性规定的情形下,金融监管部门和金融机构对具体执行做出细化,违反这些规定,大多数时候就意味着实质上违反了法律的规定,将产生相应的刑事责任、行政责任,甚至赔偿责任。但银行从业人员,很多时候对于这些规定缺乏清楚的认识,而违反法律规定的处罚,并不会因为无知而豁免,这样的教训是深刻的,应当引以为鉴。

唐春林称,银行等金融机构的工作人员,应当加强与自己业务相关的法律知识培训和学习。同时,银行应该将法律知识的学习和业务能力的培训,放在同等重要的位置。一旦触及法律的底线,不但影响业务的开展,更会使民众失去对金融机构的信任,其现实和长远的不利影响都是显而易见的。

“在法律的原则性规定下,监管部门各种细化性的规定会相应出台,不同部门、不同时期都会有指导意见、通知、规定等规范性文件。相关部门,应当做好规范性文件的清理、整理工作,以规范的行为或事件为对象,形成较为统一、系统的规定,以使相关人员查找方便,更易学习和理解。”唐春林建议称。

苏宁金融研究院高级研究员黄大智对记者表示

近年来,央行和银保监会不断加强对消费者的保护,但需要一个持久的过程。2019年12月,央行起草了《中国人民银行金融消费者权益保护实施办法(征求意见稿)》,向社会公开征求意见,正式实施后,规范将升级到部门规章级别上。相信经过最近这一系列事情之后,国家会加速出台对公民信息保护的法律,强制性、有约束性的规范和措施将会出现。

9999.jpg

]]>
可突破物理隔离的恶意软件框架——Ramsay Thu, 04 Jun 2020 10:40:19 +0800

网络安全公司ESET的研究人员今天宣布,他们发现了一个前所未有的恶意软件框架,该框架具有当今很少见的高级功能。
ESET将这个恶意软件框架名为Ramsay,表示该恶意软件工具包被设计用来感染物理隔离的计算机,可以将Word和其他敏感文档藏入一个隐蔽的存储容器中,等待合适的泄露机会。
Ramsay是一个重大发现,因为安全界很少看到能够攻击物理隔离设备的恶意软件,通常来说,物理隔离使公司可以采取的最严格和有效的敏感数据安全保护措施。

什么是物理隔离网络
物理隔离系统是与公司网络的其余部分隔离并与公共互联网断开的计算机或网络。
物理隔离的计算机/网络经常出现在政府机构和大型企业的网络中,它们通常存储着绝密文件或知识产权。
渗透物理隔离网络通常被视为安全漏洞的圣杯,因为破坏或渗透物理隔离系统的难度极大。

RAMSAY可能会“破防”
ESET 在今天发布的一份报告中指出,Ramsay几乎就是专门为破防物理隔离网络而开发的。
根据ESET收集的信息,使用Ramsay工具箱的攻击可以通过以下模式进行:

• 受害者将收到带有RTF文件附件的电子邮件。
• 如果受害者下载并运行文档,则该文件将尝试利用CVE-2017-1188或CVE-2017-0199漏洞让用户感染Ramsay恶意软件。
• Ramsay的“收集器”模块将启动。该模块搜索受害者的整个计算机,并将Word,PDF和ZIP文档收集到一个隐藏的文件夹中。
• Ramsay的“传播器”模块也将启动。此模块将Ramsay恶意软件的副本添加到在可移动驱动器和网络共享上找到的所有PE(便携式可执行文件)文件中。
• 恶意软件会一直等到攻击者部署另一个可以窃取所收集数据的模块。

ESET表示,在研究期间,尚未发现Ramsay的数据提取模块。
尽管如此,ESET表示该恶意软件已被广泛使用。
ESET研究人员Ignacio Sanmillan说:“我们最初在VirusTotal中找到了Ramsay的一个实例。” “该样本是从日本上传的,这使我们发现了该框架的其他组件和版本。”
已经发现了三个RAMSAY版本
ESET表示,他们已经跟踪了三种不同版本的Ramsay恶意软件框架,其中一个版本于2019年9月编译(Ramsay v1),另外两个版本编译于2020年3月上旬至下旬(Ramsay v2.a和v2.b)。
Sanmillan说,ESET发现“大量证据可以得出结论,该框架处于开发阶段”,并且黑客仍在修改代码。
例如,电子邮件的传递方法多种多样,在最近的Ramsay版本中,该恶意软件还在Word文档之外收集了PDF和ZIP文件。
研究人员尚未正式归因于谁可能是Ramsay的幕后推手。但是,Sanmillan表示,该恶意软件包含与Retro一起的大量共享工件,而Retro是由朝鲜黑客组织DarkHotel开发的一种恶意软件。

Ramsay-Retro代码的相似之处

9999.jpg

]]>
蓝牙冒充攻击(BIAS)威胁数十亿设备 Thu, 04 Jun 2020 10:40:19 +0800 Boffins披露了一个被称为BIAS的蓝牙安全漏洞,攻击者可能会利用该漏洞欺骗远程配对的设备。

作为一种广泛应用于数十亿台设备使用的无线通信。蓝牙(BR/EDR)标准包括了传统的身份验证过程和安全的验证过程。两个蓝牙设备如果要建立加密连接,则必须使用链接密钥相互配对。但一旦两个蓝牙设备成功配对连接后,下一次它们能够不经过配对过程而重新连接。

BIAS攻击就利用了这一点,影响数十亿蓝牙设备。

捕获.PNG

A和B是两个曾经建立过连接的正常蓝牙设备。然后,攻击者的攻击目标选为B,这时候,他只需要知道A的蓝牙地址,然后拿出一个设备用来冒充A,我们称之为A’。

当A’出现在B的无线范围内,并且伪装成是一个只支持单边认证的设备A,这时候,漏洞就会启动,A’瞒天过海,和B成功建立连接,并且可能在攻击成功后,利用B设备获取相关权限,传输数据等。

根据报告,此漏洞影响了蓝牙基本速率/增强数据速率,其中,iPhone8及以上版本、2017年版MacBook设备及以上版本、2018年的iPad机型及以上版本同样易受攻击。而专家对多达30个蓝牙设备进行了测试,发现它们也容易受到BIAS攻击。

最后,BIAS是第一个被发现的与蓝牙安全连接建立身份验证、对抗角色切换以及安全连接降级有关的问题,又因为建立蓝牙安全连接不需要用户交互,因此攻击是隐蔽的,危害更大。尽管蓝牙特别兴趣小组(SIG)已经更新了蓝牙核心规范来缓解这一漏洞,但仍需谨慎,后续关注苹果等厂商是否推出固件或软件补丁,配合修复措施。

9999.jpg

]]>
激活工具散播锁首病毒“麻辣香锅“ 诱导用户退出安全软件 Thu, 04 Jun 2020 10:40:19 +0800 近期,有大量用户在火绒论坛反馈首页遭遇劫持。火绒工程师溯源发现,上述用户均是在某激活工具官网(现已被火绒拦截)下载安装了暴风激活、KMS、小马激活等激活工具导致首页被劫持。进一步分析发现,这些激活工具均携带了一款名为“麻辣香锅”的首页锁定病毒,病毒感染用户电脑后会将首页劫持为“http://**?.****111.top”(“?”为任意数字,如下图)。

Image-4.png 

由于上述激活工具使用者较多,导致病毒影响范围较大。火绒用户无须担心,火绒安全软件最新版可拦截该病毒。另外,感染该病毒的用户,可以使用火绒专杀工具清除病毒。下载地址:https://down5.huorong.cn/hrkill-1.0.0.33.exe

Image-5.png

根据火绒工程师分析,该病毒锁定首页后,还会禁止浏览器自行改回原有的首页,并且会破坏安全软件躲避查杀。此外,该病毒还可以通过本地的升级程序不断更新。

更值得一提的是,该病毒还会收集用户本地的蓝屏信息,推测是为了 从中筛查并解决自身驱动导致蓝屏的问题。而如此尽心为用户“服务”的目的,并不是获得口碑,恰恰是为了可以长期“霸占”电脑。

事实上,激活工具等灰色软件捆绑病毒、流氓软件进行传播早已是行业的乱象,火绒也曾多次发布报告进行披露。由于此类工具通常在装机后先于安全软件被安装,会导致携带的病毒先一步到达电脑获得对抗的主动权;此外,即便用户提前部署了安全软件,这些工具也会想尽办法利用自身“灰色”的性质,诱导用户在安装时先卸载安全软件,防止“误杀”。

Image-6.png 

从上述激活工具官网可看到,病毒作者也在诱骗用户安装前退出安全软件。在此,火绒工程师提醒广大用户,切勿轻易卸载安全软件,谨慎使用激活工具等灰色软件,如必须使用,可先用安全软件对其进行扫描查杀,确保安全。

 

 

附【分析报告】:

 

一、详细分析

今年以来,“麻辣香锅”病毒在互联网中大范围传播。“麻辣香锅“病毒由于其早期版本病毒模块所在目录为” Mlxg_km “因此得名,该病毒通过小马激活,暴风激活,KMS激活等激活工具进行传播,用户中毒后首页会被劫持到病毒作者预设的跳转链接(本文中该链接为hxxp://sg?.dhtz111.top,?代表任意数字,且链接可能随着病毒更新而更换,如:hxxp://hl?.gndh111.top)。除此之外,该病毒还具有删除安全软件进程回调、禁止浏览器首页模块加载等功能,并且还可以通过本地的升级程序不断更新。更有意思的是,该病毒为了能够稳定地 “霸占”用户电脑,还会收集用户本地的蓝屏dmp文件,从而发现病毒驱动潜在的蓝屏问题。在病毒下载页面中,页面文字会恶意诱导用户“请务必先退出360、腾讯管家、Win10防护等杀毒软件,再去下载激活”,通过此方式躲避安全软件查杀。被植入病毒的激活工具下载页面,如下图所示:

Image-7.png 

网站相关信息

病毒恶意行为流程图,如下图所示:

Image-8.png 

病毒恶意行为流程图

 

1) KMSAuto Net.exe

“麻辣香锅”的病毒母体为“二次打包“后的KMSAuto Net激活工具安装包程序,当程序运行之后,会根据其安装脚本释放如下病毒模块。病毒文件构成示意图:

Image-9.png 

病毒文件构成

相关代码,如下图所示:

Image-10.png 

安装包脚本代码

2) DvLayout.exe

DvLayout.exe模块的主要功能是将主程序释放出的KMDF_LOOK.sys与KMDF_Protect.sys重命名为随机名,随后将其注册为系统服务并启动。重命名KMDF_LOOK.sys与KMDF_Protect.sys相关代码如下图所示:

Image-11.png 

重命名驱动文件

将两个随机名后的驱动注册为系统服务“LSI_SAS2l”与“iaLPSS1z”并启动,相关代码如下图所示:

Image-12.png 

注册并启动系统服务

随后便运行wrme.exe模块,相关代码如下图所示:

Image-13.png 

运行wrme.exe模块

3) Wrme.exe

wrme.exe模块会启动执行模块wuhost.exe和wdlogin.exe。同时会收集终端用户的MAC地址,CPU, GPU, 系统版本,安装的杀软等信息,加密发送到C&C服务器(du.testjj.com:8083)。相关代码如下图所示:

Image-14.png 

启动执行wuhost和wdlogin模块

Image-15.png 

发送主机信息

Image-16.png 

检测安装的杀软

4) KMDF_Protect.sys

KMDF_Protect.sys模块为驱动保护模块,用来对抗杀软的查杀。该模块会添加文件过滤来阻止对自身组件模块的访问、修改和删除操作。同时也会阻止360和腾讯电脑管家云查杀模块的加载。相关代码如下图所示:

Image-17.png 

注册文件过滤

Image-18.png 

文件过滤回调

Image-19.png 

对自身的模块进行保护

阻止360、腾讯电脑管家的云查杀模块加载。相关代码如下图所示:

Image-20.png 

阻止杀软云查杀模块的加载

该模块会添加注册表回调,对含有"iaLPSS1z"和"LSI_SAS2l"路径的注册表操作进行过滤,拒绝其删除和修改的请求。相关代码如下图所示:

Image-21.png 

注册表保护

该模块会添加关机回调,回写驱动加载的注册表项并将wccenter.exe添加到Runonce注册表项中,从而开机自启。相关代码如下图所示:

Image-22.png 

添加关机回调

Image-23.png 

回写驱动服务注册表

Image-24.png 

添加wccenter开机启动

5) KMDF_LOOK.sys

KMDF_LOOK.sys驱动模块主要用于劫持浏览器首页,与此同时还会删除安全软件相关的进程回调、阻止浏览器加载首页相关的动态库。受该病毒影响的浏览器,如下图所示:

Image-25.png 

受该病毒影响的浏览器

劫持浏览器启动参数相关逻辑,如下图所示:

Image-26.png 

劫持浏览器启动参数

该病毒还会通过文件过滤的方式,阻止浏览器加载首页相关的动态库。相关代码,如下图所示:

Image-27.png 

检测浏览器进程名

被拦截加载的模块文件名,如下图所示:

Image-28.png 

被拦截加载的模块文件名

最后,该病毒会将安全软件(360、腾讯、金山)相关的进程回调全部删除,该操作意图可能是为了提高首页锁定的成功概率。相关代码,如下图所示:

Image-29.png 

删除安全软件进程回调

删除安全软件进程回调相关数据初始化代码,如下图所示:

Image-30.png 

数据初始化代码

6) _J1002.exe

_J1002.exe模块的主要功能是向服务器发送心跳包,它会先将自身复制到同目录下,将其注册为服务后自删除,相关代码如下图所示:

Image-31.png 

注册服务并自删除

发送心跳包相关代码及网络信息如下图所示:

Image-32.png 

发送心跳包

Image-33.png 

心跳包信息

7) Wdlogin.exe

Wdlogin.exe模块的主要功能是寻找C:\Windows\minidump目录下的以dmp结尾的dump文件,并压缩上传到服务器,相关代码及网络信息如下图所示:

Image-34.png 

寻找dump文件

Image-35.png 

上传dump信息

8) Wuhost.exe

Wuhost.exe模块主要用于更新两个驱动模块。更新时会读取%windir%目录下的filt(KMDF_LOOK版本信息)和sytl(KMDF_Protect版本信息)文件内容,之后将两个文件中记录的驱动模块版本信息和其他系统信息(包括:系统平台版本x64/x86,对用驱动模块名、请求时间)发送至C&C服务器(du.testjj.com:8083)。在发送请求后,C&C服务器会返回相应驱动模块的更新下载地址,最后下载驱动模块。相关代码,如下图所示:

Image-36.png 

更新驱动模块

发送加密数据相关代码,如下图所示:

Image-37.png 

发送数据

发送数据内容示例,如下图所示:

Image-38.png 

发送数据内容

最初被下载到本地的驱动模块名分别为kmdf_look_temp和kmdf_protect_temp,在完成更新流程后,驱动文件被重命名为随机名驱动文件(如:EYVKRTAM.sys)。相关代码,如下图所示:

Image-39.png 

重命名驱动模块

9) Wccenter.exe

Wccenter.exe模块的主要功能是创建wrme.exe、wuhost.exe、wdlogin.exe进程,相关代码如下图所示:

Image-40.png 

创建wrme.exe、wuhost.exe、wdlogin.exe进程

 

二、 溯源分析

通过火绒监测发现,此套恶意锁定首页程序主要来自http://windows.shibojiab.cn网站下的三款激活工具(小马激活,暴风激活,KMS激活)。三款激活工具运行之后都存在释放恶意锁定首页模块相关功能,运行对比信息如下图所示:

Image-41.png 

激活工具运行信息

相关ICP备案信息如下图所示:

Image-42.png 

ICP备案信息

 

三、 附录

病毒hash

Image-43.png

9999.jpg

]]>
英国易捷航空遭黑客入侵 约900万客户个人信息被窃取 Thu, 04 Jun 2020 10:40:19 +0800        2020年5月20日,英国廉价航空公司易捷航空EasyJet的一份声明称,在一次重大数据泄露事件中,约900万客户个人信息被窃取,其中包括2200名客户的信用卡详细信息也被获取,但护照记录暂未发现泄露。易捷航空没有透露安全事件是何时发生的,也没有说明黑客是如何进入其系统的。

公司表示,已经将泄密事件提交给了英国的数据保护机构信息专员办公室(Information Commission's Office)。根据欧洲数据保护规则,公司有72小时的时间向监管机构通报安全事件。

640.webp (5).jpg

       和航空业的其他公司一样,这家航空公司也受到了冠状病毒大流行的沉重打击,疫情迫使全球大量人口呆在家里,商务旅行和度假被大量搁置。在COVID-19大流行之前,EasyJet在2019年运送了超过2800万名乘客,EasyJet也是首批向英国政府请求救助以防止财务崩溃的公司之一。

       英国监管机构ICO去年表示,在一次数据泄露暴露了50万客户的预订细节后,打算对英国航空公司(British Airways)处以创纪录的1.83亿英镑(约合2.3亿美元)的罚款,原因是黑客在其网站上安装了Skiming恶意软件后,盗走了数千个客户信用卡号码

9999.jpg

]]>
db8151dd:大规模不可归因的数据泄露事件 Thu, 04 Jun 2020 10:40:19 +0800 最近,一个代号为“ db8151dd”的大规模,不可归属的私人数据泄露事件已经暴露了超过2200万人的数据记录,包括地址,电话号码,用户名,密码,社交媒体链接。

目前,这些数据的来源仍然是个谜,在此漏洞中,90 GB的个人信息被盗。

报道,一位9to5Mac分析师收到了来自“ haveibeenpwned.com”的电子邮件,称“他的个人数据已遭到侵犯,其中包括电子邮件地址,职务,电话号码,地址和社交媒体资料链接”。

澳大利亚安全专家特洛伊·亨特(Troy Hunt)在博客特洛伊·亨特(Troy Hunt)中说:“尽管我在这个主题和能力上有自己的经验,但我自己的信息被盗了,在此文件中可用。甚至我的某些特别机密信息(包括电话号码)也已公开,我一直小心翼翼地加以保护,以使其尽可能机密。”

特洛伊·亨特(Troy Hunt):“ 2月份,Dehashed向我展示了大量数据,这些数据通过可公开访问的Elasticsearch实例访问,总共包含103,150,616行”,而其中的前30行是这样的:

db8151dd:大规模不可归因的数据泄露事件

“以“ db8151dd”开头的全局唯一标识符在这些第一行中具有很大的特征,因此,我给出了这个违规的名称。而且我不得不给它起这个名字,因为坦率地说,我绝对不知道它的来源,也没有其他我从事过此工作的人,”安全专家Troy Hunt说。

db8151dd:大规模不可归因的数据泄露事件


除了这些数据,澳大利亚安全专家Troy Hunt还找到了他过去与之交互过的用户的数据。他还确定了与某些约会或与未来承诺有关的提醒的信息,就好像这些信息直接来自个人议程。

对文件来源的研究没有任何结果,因为Troy Hunt假设很多此类信息直接来自CRM。正如他澄清的那样,即使在与所有知名同事和记者面对面之后,他也无法确定地追溯到过去。


db8151dd:大规模不可归因的数据泄露事件


此外,安全研究员Troy Hunt已将在该文件中找到的超过2000万个电子邮件地址上载到HaveIBeenPwned,只是为了确保您没有盗窃敏感数据。您所要做的只是在该站点上输入电子邮件,它将自动搜索包含迄今为止被盗或发现的数据泄露信息的巨大档案,并告知您是否存在个人信息。

为了更加清楚,特洛伊·亨特(Troy Hunt)还指出:“该数据库仅包含电子邮件地址,而“已被我拥有”不会跟踪其他任何内容。”

如果您已经“拥有”,那么现在可以采取的最佳预防措施是,立即更改每个在线帐户的密码。

转载自:https://www.mgclouds.com/archives/22632

9999.jpg

]]>
Edison Mail爆严重BUG:同步后可全权访问他人帐号内容 Thu, 04 Jun 2020 10:40:19 +0800 Edison Mail是一款在iPhone、iPad和Mac上比较流行的第三方电子邮件应用,不过近日曝光的一个BUG引起了人们对隐私的极大关注。Edison Mail用户报告称,在该应用中开启新的账户同步功能后,他们可以完全访问其他Edison Mail用户的电子邮件账户。

i00wjydm.jpg

Edison Mail在给外媒9to5Mac一份声明中表示这个BUG目前只影响iOS用户:

10小时前,我们向少部分iOS用户推出了一个软件更新。在收到这些更新的部分用户遇到了影响邮件账户的应用漏洞,今天早上我们已经注意到了这个漏洞。我们已经迅速回滚了该更新。我们正在联系受影响的Edison Mail用户(仅限于过去10小时内更新并打开应用的用户子集),通知他们。

目前来看,这似乎是一个BUG,而不是安全漏洞。这个问题似乎源于上周在Edison Mail客户端推出的新同步功能。

Zach Knox是Edison Mail的首批用户之一,他今天早上在Twitter上反馈存在这个问题。

我刚刚更新了@Edisonapps Mail,在启用了一个新的同步功能后,一个不是我的邮件账户出现在应用中,我似乎可以完全访问。这是一个重大的安全问题。在没有凭证的情况下访问他人的电子邮件! 我再也不会相信这个应用程序了。

9999.jpg

]]>
Zoom再出问题 故障中断干扰了英国政府的COVID-19通报会 Thu, 04 Jun 2020 10:40:19 +0800        对于一家年轻的公司来说,Zoom已经迅速成为许多政府的业务活动中不可或缺的一部分。除了之前爆出安全问题的隐忧歪,它的服务稳定性偶尔也会带来一些麻烦,比如今天Zoom出现了长时间的停工,用户无法参加或主持会议。更糟的是,记者们几乎无法参加英国政府关于COVID-19大流行事件的官方简报会,导致他们只能以书面形式提交问题。

m1V7oAHs.pngEYN7wjhWkAE43D2.jpg

今天的故障似乎对英国的影响特别大,但远在美国等地的访问也出现了问题,从而中断了两国的虚拟线上会议服务。

随后,Zoom公司在Twitter上解释了该问题并表达了歉意:"受此问题影响的Zoom用户现在只需要重试一次就应该可以主持、加入和参与Zoom会议并继续他们的视频研讨。我们将继续进行评估和监控,并对可能造成的任何不便表示诚挚的歉意。"

Zoom的远程会议服务是在位于甲骨文的云端托管的,由于安全和稳定性问题缠身,不少企业和政府部门正在评估和观察其是否有足够提供如此广泛使用的视频会议解决方案所需的高要求的服务能力。

图片.png

9999.jpg



]]>
安全周报(05.11-05.17) Thu, 04 Jun 2020 10:40:19 +0800

1


2019 年之前生产的任何 PC 都易受到“Thunderspy”攻击


埃因霍温科技大学的安全研究员 Björn Ruytenberg 透露,由于常用的 Thunderbolt 端口存在缺陷,2019 年之前生产的所有 PC 都可能遭到黑客入侵。即使 PC 处于睡眠模式或处于锁定状态,这一被称为 Thunderbspy 的攻击也可以从用户的 PC 读取和复制所有数据。此外,它还可以从加密驱动器中窃取数据。

Thunderspy 属于 evil-maid 攻击类别,这意味着它需要对设备进行物理访问才能对其进行攻击,因此与可以远程执行的其他攻击相比,它的利用程度较低。但是另一方面,Thunderspy 还是一种隐身攻击,在成功执行入侵之后,犯罪分子几乎不会留下任何利用的痕迹。

事实上,早在 2019 年 2 月,一群安全研究人员就发现了一个与 Thunderspy 类似的相关入侵事件 Thunderclap。同年,英特尔发布了一种可以防止 Thunderspy 攻击的安全机制,称为内核 DMA 保护(Kernel Direct Memory Access Protection)。

不过该机制在较早的配置中未实现,这也就是在 2019 年之前生产的计算机更易受到影响的原因。但有趣的是,当苹果 MacOS 笔记本启动到 Bootcamp 时,所有的 Thunderbolt 安全都会被禁用。

Ruytenberg 指出,所有在 2011-2020 年之间出货的、配备 Thunderbolt 的设备都容易受到攻击。自 2019 年以来已交付的提供内核 DMA 保护的设备,也都在一定程度上易受攻击。

Thunderspy 漏洞无法在软件中修复,会影响到未来的 USB 4 和 Thunderbolt 4 等标准,最终将需要对芯片进行重新设计。

up-cbcf0e6cbb689c370d25ef56d6b8b64f70b.webp.jpg




2


世界最大主权财富基金遭遇网络攻击:被骗走1000万美元


作为全球最大的主权财富基金Norfund基金因网络诈骗,被骗子轻而易举的骗走1000万美元,而骗子是利用了所谓“泄露的付款数据”这一缺陷来作案的。

据报道,挪威主权基金Norfund(也被称为挪威国家基金)的资金来源于著名的北海油田收益,目前市值超过1万亿美元。该基金表示,有黑客操纵了该组织的一笔交易,将一笔原本打算借给柬埔寨一家小额信贷机构的贷款转入受骗子控制的一个账户,结果导致该基金在3月份被骗1亿克朗(约为1000万美元)。该基金表示,这笔钱似乎已经从柬埔寨转移到了墨西哥,由于损失巨大,国际警方已经介入调查此事。

Norfund周三在谈到这起网络攻击诈骗案时表示:“在这段时间里,诈骗者以一种在结构、内容和语言使用上都非常巧妙的方式,操纵和伪造了Norfund与借款机构之间的信息交换。文件和付款明细都是伪造的。”骗子用一些伪造的发票或伪造的电子邮件把钱转移到了其他的账户,说明整个交易过程对票据的把关不过关。

其实这个骗局很简单,但却非常有效。骗子会先欺骗公司里的某个关键人物,然后欺骗公司里的其他人把钱转到一个新账户里,因为这些付款在计划中是合法和得到授权的,所以受害者通常要到最后才反应过来。


640 (1).png

3


欧洲多台超级计算机中毒!沦为挖矿肉鸡


据悉周一英国爱丁堡大学首先公布了ARCHER超级计算机遭到攻击的报告,表示关闭ARCHER的系统进行调查,并且为了防止再次被攻击,重置了SSH(安全外壳协议)密码。


同一天德国超级计算机管理组织bwHPC宣布因为类似的安全问题,旗下5台超级计算机/高性能计算集群bwUniCluster 2.0、ForHLR II、bwForCluster JUSTUS、bwForCluster BinAC、Hawk现起关闭。


本周三安全研究员Felix von Leitner在博客中称,位于西班牙巴塞罗那的一台超级计算机也受到安全问题的影响,因此被关闭。


周四更多被感染的超级计算机浮出水面,巴伐利亚科学院下属的莱布尼兹计算中心当天表示因为安全漏洞,其管理的计算集群断开互联网连接。


目前尚不清楚究竟是什么人或组织实施了这些攻击,但据安全公司分析,黑客是通过窃取SSH凭证获得了超级计算机的访问权限,而大学内部人士因为有权访问这些超级计算机而最有嫌疑。


虽然没有证据证明所有的攻击都是由同一组织实施的,但所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。


s_95f8062352834e558acea1090c054896.png

4


英国电网管理者遭到网络攻击

英国电网重要的管理者埃莱克森(Elexon)确认,该系统已于周四下午受到网络攻击,但用于控制电力市场的关键系统并未受到影响。

该公司在其网站上发布的一条短消息中表示,该事件仅影响其内部IT网络和员工笔记本电脑。

该公司的电子邮件服务器也受到了影响,并已被删除,从而使员工无法进行关键通信。

Elexon认为,管理英国电力运输的系统不受影响。

在当天晚些时候发布的后续消息中,该公司表示已经确定了事件的根本原因,并且正在努力恢复其内部网络和员工笔记本电脑。
该公司没有具体说明网络攻击的性质,但专家认为,这是勒索软件事件,原因是破坏性性质导致员工无法使用笔记本电脑和公司的电子邮件服务器。


640.webp (3).jpg

5


支付宝提醒:千万不要参与“跑分”“一元购”


最近有部经侦剧挺火,里边说到的“洗钱”之类的金融犯罪。

支付宝提醒,大家平时也要留意:不要主动参与赌博,也不要出借、出售自己实名认证的账户、手机号,还有银行卡,因为坏人可能会利用你的身份,用于洗钱或者诈骗。这么做不仅助长犯罪,也会给自己的账号带来风险。

支付宝还曝光了“跑分”“一元购”这种赌博骗局:

跑分:

“公司跑流水申请贷款,收闲置xx账号,200元一个本人配合也可以,收1万返200...”很多“跑分”平台打着做任务的名义,利用用户的支付账号进行赌博、欺诈、洗钱等操作,而用户可能存在个人信息泄露、账号被盗、被冒用贷款等风险,甚至涉嫌犯罪行为。

一元购:

“一元购,简单来说,就是网站上把所有商品都拆分成一元一份。一个号码可以购买多份,最后再由系统公布中奖号码。”这种行为表面上是销售实物商品,实际上销售的是中奖机会,中奖结果由偶然性决定,具有赌博性质,是一种变相赌博行为。对纯粹以一元价格销售获取大奖机会的网络“一元购”,可以认定为赌博。


640.webp (4).jpg




勒索病毒




1


美国最大ATM供应商遭勒索软件攻击


美国最大 ATM 供应商 Diebold Nixdorf 遭勒索软件攻击。该公司表示黑客未能接触 ATM 或客户网络,只影响其企业网络。Diebold 有 3.5 万名员工,其 ATM 机器在全球的市场占有率估计为 35%,它还生产零售商使用的销售终端系统和软件。

攻击发生在 4 月 25 日晚上,安全团队探测到企业网络的异常行为,它立即采取行动隔离网络中的系统,阻止恶意程序扩散。该公司表示勒索软件没有影响到它的客户网络。入侵 Diebold 企业网络的是被称为 ProLock 的勒索软件。Diebold 称它没有向攻击者支付赎金。安全专家表示这么做也许更好,因为当前版本的 ProLock 解密工具会损坏数据库之类的大型文件。


640.png



]]>
英国电网管理者遭到网络攻击 Thu, 04 Jun 2020 10:40:19 +0800 英国电网重要的管理者埃莱克森(Elexon)确认,该系统已于周四下午受到网络攻击,但用于控制电力市场的关键系统并未受到影响。

该公司在其网站上发布的一条短消息中表示,该事件仅影响其内部IT网络和员工笔记本电脑。

该公司的电子邮件服务器也受到了影响,并已被删除,从而使员工无法进行关键通信。

Elexon认为,管理英国电力运输的系统不受影响。

在当天晚些时候发布的后续消息中,该公司表示已经确定了事件的根本原因,并且正在努力恢复其内部网络和员工笔记本电脑。

英国电网管理者遭到网络攻击

怀疑的勒索软件事件

该公司没有具体说明网络攻击的性质,但专家认为,这是勒索软件事件,原因是破坏性性质导致员工无法使用笔记本电脑和公司的电子邮件服务器。

根据威胁情报公司Bad Packets的说法,Elexon一直在运行Pulse的过时版本,Pulse Secure是企业级SSL VPN服务器,它使员工可以通过Internet访问内部网络。

Bad Packets告诉ZDNet,自去年夏天以来,Elexon一直在运行过时的版本,当时披露了影响Pulse Secure VPN的一个重大漏洞,并且Bad Packets开始扫描互联网以跟踪补丁率。

美国英国的网络安全机构已针对此漏洞发送了多个警报(CVE-2019-11510),该漏洞通常被利用来破坏公司网络并安装勒索软件

Bad Packets表示,在2020年3月的最后一次扫描中,Elexon仍在运行过时的Pulse Secure VPN安装。

英国电网管理者遭到网络攻击

英国的电力供应未受影响

Elexon是英国电力市场上的关键角色。该公司管理电力供需,并根据需要在网络中移动电力。

英国国家电网机构在今天的一条推文中说,该事件并未影响英国的电力供应。

我们知道ELEXON内部IT系统受到网络攻击。我们正在调查对我们自己的IT网络的任何潜在影响。电力供应不受影响。我们在IT和运营基础架构中采取了强有力的网络安全措施,以防范网络威胁。https://t.co/7R2NeIB57l

—国家电网ESO(@ng_eso),2020年5月14日

英国报纸《电讯报》今天早些时候首次报道了埃莱森的网络安全事件。

9999.jpg

]]>
微软本周二修复了一个“震网”级别的资深漏洞 Thu, 04 Jun 2020 10:40:19 +0800 每月的“补丁星期二”,微软都会例行发布针对各种漏洞的补丁程序,但是本周二微软发布的一大堆补丁中,其中一些修复了一个“震网”级别的资深漏洞——一个易于利用的Windows打印机后台程序——Windows Print Spooler的漏洞(CVE-2020-1048),安全公司SafeBreach的研究人员发现了这个“新”漏洞,该漏洞已于昨天微软发布补丁后被披露。

该漏洞并不属于“潜伏”在Windows内部的超级复杂的远程代码执行错误,而是一种“谦逊”的提权漏洞,过去没有引起研究人员的过多关注。根据已经披露的信息,该漏洞会影响Windows的许多最新版本,包括Windows Server 2008、2012、2016和2019以及Windows 7、8.1和10。

据微软安全顾问的介绍:

当Windows Print Spooler服务配置错误允许对文件系统的任意写入时,存在特权提升漏洞。成功利用此漏洞的攻击者可以以提升的系统特权运行任意代码。然后,攻击者可能会安装程序,查看、更改或删除数据;或创建具有完全用户权限的新账户。

Windows打印后台处理程序是操作系统中管理打印过程的服务。该服务已经在Windows中存在了很长时间,并且多年来没有太大变化。该程序处理查找和加载打印驱动程序,创建打印作业,然后最终执行打印的后端功能。通常,这种服务类型不会引起研究人员或攻击者的广泛关注,但是大约十年前,至少有一个团队花费了大量时间对其进行深入研究——Stuxnet(震网)团队。

Stuxnet震网蠕虫在2010年袭击了伊朗的几处核设施,后来又利用与本周披露的Windows print spooler服务漏洞类似的漏洞传播到了全球许多网络的Windows电脑中。该漏洞也是Stuxnet首次曝光的四个零日漏洞之一。

Stuxnet是一个史无前例的恶意软件,其中包含针对SCADA、工业控制系统以及Windows的漏洞利用攻击。甚至10年后的今天,Stuxnet仍被认为是有史以来最复杂的恶意软件之一。

Stuxnet利用的打印后台处理程序漏洞(CVE-2010-2729)的描述与Microsoft本周修复的漏洞极为相似,但有一个明显的区别,Stuxnet利用的漏洞可实现Windows XP计算机上的远程代码执行。

据发现漏洞的SafeBreach的研究人员介绍,这个新漏洞也引起了其他研究人员的注意,他们发现该漏洞不仅与Stuxnet错误有关,而且易于利用。根据Windows咨询和培训公司Winsider的Yarden Shafir和Alex Ionescu所做的详细分析,只需一行PowerShell即可利用此漏洞并在易受攻击的系统上安装持久后门。

Shafir和Ionescu说:

具有讽刺意味的是,后台打印程序仍然是最古老的Windows组件之一,自Windows NT 4以来它基本上没有任何变化,但仍受到很多关注,甚至被著名的Stuxnet滥用。

由于它的简单性和年代久远,该打印服务可能是Windows历史上最“受欢迎”的脆弱点之一,至少能排名前五,Stuxnet之后该服务得到了强化,但显然依然不堪一击。

SafeBreach安全研究人员透露,他们还发现并披露了其他一些尚未修复的错误,“因此肯定还有一些巨龙藏在水下。”

9999.jpg

]]>
欧洲多台超级计算机中毒!沦为挖矿肉鸡 Thu, 04 Jun 2020 10:40:19 +0800 本周,欧洲突然曝出多达十数台超级计算机感染恶意挖矿软件,沦为挖矿肉鸡。

据悉周一英国爱丁堡大学首先公布了ARCHER超级计算机遭到攻击的报告,表示关闭ARCHER的系统进行调查,并且为了防止再次被攻击,重置了SSH(安全外壳协议)密码。

同一天德国超级计算机管理组织bwHPC宣布因为类似的安全问题,旗下5台超级计算机/高性能计算集群bwUniCluster 2.0、ForHLR II、bwForCluster JUSTUS、bwForCluster BinAC、Hawk现起关闭。

本周三安全研究员Felix von Leitner在博客中称,位于西班牙巴塞罗那的一台超级计算机也受到安全问题的影响,因此被关闭。

周四更多被感染的超级计算机浮出水面,巴伐利亚科学院下属的莱布尼兹计算中心当天表示因为安全漏洞,其管理的计算集群断开互联网连接。

当天晚些时候,德国朱利希研究中心紧接着表示由于发生“IT安全事件”,必须关闭旗下JURECA,JUDAC和JUWELS超级计算机。

就在昨天瑞士苏黎世的瑞士科学计算中心也表示在直到外部环境安全之前,将持续关闭其超级计算机的外部访问。

目前尚不清楚究竟是什么人或组织实施了这些攻击,但据安全公司分析,黑客是通过窃取SSH凭证获得了超级计算机的访问权限,而大学内部人士因为有权访问这些超级计算机而最有嫌疑。

实际上被劫持的SSH登录名分别属于加拿大、中国和波兰的大学。

而且虽然没有证据证明所有的攻击都是由同一组织实施的,但所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。

欧洲多台超级计算机中毒!沦为挖矿肉鸡

9999.jpg

]]>
支付宝提醒:千万不要参与“跑分”“一元购” Thu, 04 Jun 2020 10:40:19 +0800 最近有部经侦剧挺火,里边说到的“洗钱”之类的金融犯罪。

支付宝提醒,大家平时也要留意:不要主动参与赌博,也不要出借、出售自己实名认证的账户、手机号,还有银行卡,因为坏人可能会利用你的身份,用于洗钱或者诈骗。这么做不仅助长犯罪,也会给自己的账号带来风险。

对于这类的坏人,支付宝一直在严厉打击,上支付宝搜“安全黑板报”可查看治理进展,学习更多安全知识。

此外,如果大家看到可疑情况,也可以打开支付宝,搜“举报中心”,进行反馈。

支付宝提醒:千万不要参与“跑分”“一元购”

支付宝还曝光了“跑分”“一元购”这种赌博骗局:

跑分:

“公司跑流水申请贷款,收闲置xx账号,200元一个本人配合也可以,收1万返200...”很多“跑分”平台打着做任务的名义,利用用户的支付账号进行赌博、欺诈、洗钱等操作,而用户可能存在个人信息泄露、账号被盗、被冒用贷款等风险,甚至涉嫌犯罪行为。

一元购:

“一元购,简单来说,就是网站上把所有商品都拆分成一元一份。一个号码可以购买多份,最后再由系统公布中奖号码。”这种行为表面上是销售实物商品,实际上销售的是中奖机会,中奖结果由偶然性决定,具有赌博性质,是一种变相赌博行为。对纯粹以一元价格销售获取大奖机会的网络“一元购”,可以认定为赌博。

支付宝提醒:千万不要参与“跑分”“一元购”

9999.jpg

]]>
关于Microsoft远程桌面服务存在远程代码执行漏洞的安全公告 Thu, 04 Jun 2020 10:40:19 +0800      2019年5月15日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft远程桌面服务远程代码执行漏洞(CNVD-2019-14264)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞细节虽未公开,但已引起社会高度关注,微软公司已发布官方补丁。

        一、漏洞情况分析

        MicrosoftWindows是美国微软公司发布的视窗操作系统。远程桌面连接是微软从Windows 2000 Server开始提供的组件。

        2019年5月14日,微软发布了本月安全更新补丁,其中修复了远程桌面协议(RDP)远程代码执行漏洞。未经身份验证的攻击者利用该漏洞,向目标Windows主机发送恶意构造请求,可以在目标系统上执行任意代码。由于该漏洞存在于RDP协议的预身份验证阶段,因此漏洞利用无需进行用户交互操作。该漏洞存在被不法分子利用进行蠕虫攻击的可能。

        CNVD对该漏洞的综合评级为“高危”。

        二、漏洞影响范围

        漏洞影响的产品版本包括:

        Windows 7 for 32-bit Systems Service Pack 1

        Windows 7 for x64-based Systems ServicePack 1

        Windows Server 2008 for 32-bit SystemsService Pack 2

        Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)

        Windows Server 2008 for Itanium-BasedSystems Service Pack 2

        Windows Server 2008 for x64-based SystemsService Pack 2

        Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)

        Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1

        Windows Server 2008 R2 for x64-basedSystems Service Pack 1

        Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)

        Windows XP SP3 x86

        Windows XP SP2 x64

        Windows XP Embedded SP3 x86

        Windows Server 2003 SP2 x86

        Windows Server 2003 SP2 x64

        CNVD秘书处组织技术支撑单位对RDP服务在全球范围内的分布情况进行分析,结果显示该服务的全球用户规模约为939.0万,其中位于我国境内的用户规模约为193.0万。

        三、漏洞处置建议

        目前,微软官方已发布补丁修复此漏洞,CNVD建议用户立即升级至最新版本:

        https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

        https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

        另可采取下列临时防护措施:

        1、禁用远程桌面服务。

        2、通过主机防火墙对远程桌面服务端口进行阻断(默认为TCP 3389)。

        3、启用网络级认证(NLA),此方案适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。

 

        附:参考链接:

        https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

        https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

9999.jpg

]]>
人民日报海外版:莫让账号注销成了“闯关难题” Thu, 04 Jun 2020 10:40:19 +0800 假冒注册的账号明目张胆,要注销账号却困难重重。近年来,网络平台账号注册容易但注销难的问题一直备受关注,这究竟是技术所致还是利益使然?业内人士指出,用户信息极具商业价值,网络平台此举意在保持只增不减的用户数量。

       注册容易注销难

近日,某单位发现微博、微信等互联网平台上有多个冒用单位名义注册的账号,有些冒牌账号甚至还经过平台进行了企业官方认证或个人身份认证,该单位想发函统一清理,谁知注销流程极其繁琐。该单位相关负责人说,个人微博用户在填写身份、工作单位、职务等信息时并不需要提供相关证明文件,导致在微博查找到数百名自称在该单位任职的个人账号,又有几十个认证为该单位合作伙伴的企业账号,对单位的品牌形象造成不良影响。该负责人表示,这些微博账号在清理时不能直接关闭,只能删除昵称,将用户名更改为一串数字,这并不是真正的“注销”。

而在微信平台上,只能通过微信公众号进行投诉才能处理冒用账号。有些冒用账号在搜索时就能看到,而有些冒用账号隐藏很深,注册的名称看不出与某企业有任何关系,但公众号在简介或推送文章中会指出与某企业是合作关系,企业往往接到用户投诉电话、了解情况后才知道是冒用账号欺骗了用户。

据多方了解,微信平台对于已经丢失公众号的找回手续更加繁琐,每个账号均需要先填写资料、发送邮件、打款验证、等待验证等才能找回再发起注销申请……有时半个月过去了,也没能顺利注销一个账号。

c92bce1aa7e34cc8a0bf151d83bc19c6.jpg

平台在打“小算盘”

“注册容易注销难”的现象并非个例。

近年来,在微博、微信等平台假冒名人、机构或媒体的名义开通账号的事件时有发生。试想,冒牌的机构账号在单位不知情、没有提供证明材料的情况下通过审核、轻松注册,平台更是加以认证,公众很容易信以为真,不法分子如果假借机构的名义发布虚假信息、损坏机构名誉甚至诈骗钱财等,势必扰乱网络生态秩序,导致不良社会影响,造成严重后果的还可能涉嫌犯罪。

与注册认证的简易程度相反,关于账号的注销难题不绝入耳。“注销难,难于上青天”“注销过程复杂到想哭”“被注销过程弄得心力交瘁”……网友纷纷吐槽许多平台注销入口难寻、注销流程费劲、注销成本太高等问题。业内人士指出,平台账号注销难实则侵犯用户的知情权、自主选择权乃至隐私权。

专家分析称,从根本上看,账号“注册容易注销难”背后,更像是基于互联网平台自身利益的一种“潜规则”所致。用户数据信息是衡量平台价值和市场竞争力的关键指标,平台在打自己的“小算盘”,意在提升用户数量、避免用户流失。北京市法学会电子商务法治研究会会长邱宝昌认为,现在很多平台注册容易,注销很难,因为这些平台需要流量,需要用户数量,可以利用这些去拉投资、吸引广告商。

在利益驱动下,平台想尽办法让用户数“只增不减”。一方面尽可能降低注册难度,审核把关往往形同虚设,导致冒牌账号蒙混过关、遍地横生。另一方面又提高账号注销门槛,设置重重障碍,“千方百计”让用户难以注销,从而维持用户数量、用户规模的稳定,同时继续保持对用户数据信息的占有。北京德和衡(上海)律师事务所孙万松律师表示,用户在平台上的所有痕迹和数据可以视作平台的一种“资产”,只要用户不注销,其“资产”的价值就不会降低。

惩罚来得更严厉些

整治账号乱象迫在眉睫,遏制冒牌账号要从源头抓起。根据国家网信办发布的《互联网用户公众账号信息服务管理规定》《互联网用户账号名称管理规定》,互联网平台应当落实管理主体责任,对使用者提交的账号名称、简介等注册信息进行审核。平台必须扮演好“守门人”的角色,严格把关、认真审核,避免无资质者“挂羊头卖狗肉”,同时筑牢“防火墙”。

而保障账号注销权,重在解决“不让注销怎么办”。工信部在《电信和互联网用户个人信息保护规定》中规定,互联网信息服务提供者在用户终止使用互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。违反上述规定的,将由电信管理机构依据职权责令限期改正,予以警告,可以并处1万元以上3万元以下的罚款。

尽管有明确规定,但相对企业的获利驱动而言,其惩罚力度和威慑力明显不足。专家表示,解决“注销难”的问题,不缺技术缺决心,不妨将适用的惩罚举措“升格”,让惩罚来得更严厉些。监管部门要对网络平台加强监管,对于不顾用户正当权益的运营者,要进行有效的事后惩戒。只有把“注销难”当违法侵权处理,将违法成本提高到能遏制企业逐利冲动的地步,“账号注销难”才能尽早销声匿迹。

总之,账号“注册容易注销难”实不该!一家负责任的互联网企业应该有良好的机制,不以牺牲用户的合法正当权益为代价,否则,即使制造出所谓“光鲜亮丽”的用户数据,也难以让人信服和尊重。

9999.jpg

]]>
世界最大主权财富基金遭遇网络攻击:被骗走1000万美元 Thu, 04 Jun 2020 10:40:19 +0800 北京时间4月29日消息,作为全球最大的主权财富基金Norfund基金因网络诈骗,被骗子轻而易举的骗走1000万美元,而骗子是利用了所谓“泄露的付款数据”这一缺陷来作案的。

[F4ST18NH0%T@`{}KHW9I[G.png

据报道,挪威主权基金Norfund(也被称为挪威国家基金)的资金来源于著名的北海油田收益,目前市值超过1万亿美元。该基金表示,有黑客操纵了该组织的一笔交易,将一笔原本打算借给柬埔寨一家小额信贷机构的贷款转入受骗子控制的一个账户,结果导致该基金在3月份被骗1亿克朗(约为1000万美元)。该基金表示,这笔钱似乎已经从柬埔寨转移到了墨西哥,由于损失巨大,国际警方已经介入调查此事。

Norfund周三在谈到这起网络攻击诈骗案时表示:“在这段时间里,诈骗者以一种在结构、内容和语言使用上都非常巧妙的方式,操纵和伪造了Norfund与借款机构之间的信息交换。文件和付款明细都是伪造的。”骗子用一些伪造的发票或伪造的电子邮件把钱转移到了其他的账户,说明整个交易过程对票据的把关不过关。

其实这个骗局很简单,但却非常有效。骗子会先欺骗公司里的某个关键人物,然后欺骗公司里的其他人把钱转到一个新账户里,因为这些付款在计划中是合法和得到授权的,所以受害者通常要到最后才反应过来。

首席执行官Tellef Thorleifsson承诺,将迅速与国际警方采取行动,将骗子绳之以法,并防止该组织再次被骗。他表示:“这是一起严重的事件。这一网络诈骗行为清楚地表明,我们作为一个国际投资者和发展组织, 在利用数字渠道时很容易受到攻击。发生这种情况的事实表明,我们的系统和管理还不够好。我们必须立即采取严肃的行动来纠正这种情况。”

据悉,除警方介入外,挪威主权基金还表示,它正与挪威外交部及旗下的银行DNB合作,追踪这个骗子并取回赃款。普华永道也被要求对该基金的IT安全设置进行评估。虽然成为此类网络攻击的受害者令人尴尬,但Norfund并不是唯一一家。如果这件事的核心在于互联网交易中的商务邮件欺诈,那么说明这种网络欺诈已形成一个数十亿美元的产业,情况只会变得更糟。

9999.jpg

]]>
一个专门泄露数据库的黑产论坛的数据库被泄露 Thu, 04 Jun 2020 10:40:19 +0800 最近,国外安全研究团队Cyble确定并验证了曾经一度风光无限的WeLeakData论坛的数据库泄漏 。


而该论坛,从名字就可以看出,其是自2019年以来运营最大的数据库泄漏和破解社区之一。 

640.webp.jpg


利字头上一把刀,有利益的地方就有竞争,黑产也一样,尤其是开设交易平台的暗网论坛,下图便是曾经WeLeakData论坛跑到竞争对手论坛上打广告的历史遗迹。


640.webp (1).jpg
刚提到了历史遗迹,没错在今年1月初,该网站因未知原因而下线,公开报道称该网站已被联邦调查局(FBI)接管,但FBI对此没有回应。


该论坛的商业模式非常简单,就是一个黑产论坛,专门研究泄漏数据库的交易,并使用第三方电子商务平台Shoppy进行会员升级,会员存在等级制度。 

640.webp (2).jpg


该论坛一直运营"不错",其管理员和版主与几个黑客组织和数据经纪人有着密切的联系,这激增了他们组织的声誉和成员数量。由于各种原因,比如他们论坛成员拿别人的裤子去他们论坛卖等等,其他黑客论坛的几名成员表示希望入侵WeLeakData,例如:


640.webp (3).jpg


据称当年,该网站被出售给论坛的新成员,然后又重新上线。大约在同一时间,分析人员注意到了一个新的分叉破解站点–leaksmarket.com,该站点明显是同一站点(由其他人运营),所有内容都相同。


640.webp (4).jpg


到那时Cyble分析人员已经很清楚,原始的WeLeakData数据库已被盗用。

2020年4月,Cyble的研究人员设法从一个暗网市场卖家那里获取了WeLeakData.com数据库,并从数据库文件中识别出几个有趣的信息。


640.webp (5).jpg

可以看到,在2020年1月9日dump完毕,时间节点差不多是下线前后。

640.webp (6).jpg

该数据库包含其成员的有趣信息,这些成员主要是研究人员,黑客,网络犯罪分子和破解者。

电子邮件

用户名

密码

私人信息

IP地址

(研究人员潜水都能躺枪,黑鸟希望里面没有你的信息)

以下是一些示例对话:

微信截图_20200513192945.png

可以看到聊天内容,Thank you very much.google mail do you have

640.webp (7).jpg


风水轮流转,终究轮到了自己


网站仍在下线中。

640.webp (8).jpg

9999.jpg

]]>
美国最大ATM供应商遭勒索软件攻击 Thu, 04 Jun 2020 10:40:19 +0800        美国最大 ATM 供应商 Diebold Nixdorf 遭勒索软件攻击。该公司表示黑客未能接触 ATM 或客户网络,只影响其企业网络。Diebold 有 3.5 万名员工,其 ATM 机器在全球的市场占有率估计为 35%,它还生产零售商使用的销售终端系统和软件。

dn.png

攻击发生在 4 月 25 日晚上,安全团队探测到企业网络的异常行为,它立即采取行动隔离网络中的系统,阻止恶意程序扩散。该公司表示勒索软件没有影响到它的客户网络。入侵 Diebold 企业网络的是被称为 ProLock 的勒索软件。Diebold 称它没有向攻击者支付赎金。安全专家表示这么做也许更好,因为当前版本的 ProLock 解密工具会损坏数据库之类的大型文件。

9999.jpg



]]>
知名服务器提供商 DigitalOcean 不慎暴露部分客户的账号信息等数据 Thu, 04 Jun 2020 10:40:19 +0800 DigitalOcean是全球非常知名的服务器提供商 , 该公司主要面向开发者们提供服务器、对象存储和数据库等服务。

不过目前已经有部分开发者收到DigitalOcean的邮件 , 因该公司操作不慎因此将部分客户的账号信息等数据泄露。

尽管该公司尚未发布正式声明但已经有部分用户在推特上分享邮件信息,此次泄露事件只影响该公司的少量用户。

知名服务器提供商 DigitalOcean 不慎暴露部分客户的账号信息等数据

配置错误导致内部文档被访问15次:


在邮件中该公司表示经过排查发现因配置错误导致其内部某个存储用户信息的文档被未经授权的用户访问 15 次。

文档存储的信息主要包括用户名、邮件地址、服务器带宽使用情况、客户服务聊天记录以及 2018 年的支付账单。

基于信任的基础上该公司决定向受影响的用户披露此次安全事故,同时该公司也在加强员工培训等提高安全意识。

事故原因似乎是其工程师在配置内部服务器的某些文档权限时出现问题,这使得外部访问者不需要密码即可访问。

尽管该文档被访问的次数非常低但依然可能造成用户隐私泄露,因此该公司决定向受影响的用户们披露此次事故。

不影响账户安全也无需修改密码:


从上面的信息我们可以看到此次泄露并未牵涉到用户关键信息,同时诸如账号密码这类数据也没有被未授权访问。

DigitalOcean并未透露此次具体有多少用户受到影响 , 不过该公司认为用户无需修改密码也不需要担心此次事故。

此外该公司还强调此次问题也不牵涉到客户存放在服务器上的数据,未授权用户无法访问任何客户的服务器数据。

当然基于安全考虑蓝点网也建议用户配置多因素认证,这样即便是不慎泄露密码或密码被盗也无需担心账户安全。

9999.jpg

]]>
2019 年之前生产的任何 PC 都易受到“Thunderspy”攻击 Thu, 04 Jun 2020 10:40:19 +0800        埃因霍温科技大学的安全研究员 Björn Ruytenberg 透露,由于常用的 Thunderbolt 端口存在缺陷,2019 年之前生产的所有 PC 都可能遭到黑客入侵。即使 PC 处于睡眠模式或处于锁定状态,这一被称为 Thunderbspy 的攻击也可以从用户的 PC 读取和复制所有数据。此外,它还可以从加密驱动器中窃取数据。


Thunderspy 属于 evil-maid 攻击类别,这意味着它需要对设备进行物理访问才能对其进行攻击,因此与可以远程执行的其他攻击相比,它的利用程度较低。但是另一方面,Thunderspy 还是一种隐身攻击,在成功执行入侵之后,犯罪分子几乎不会留下任何利用的痕迹。

事实上,早在 2019 年 2 月,一群安全研究人员就发现了一个与 Thunderspy 类似的相关入侵事件 Thunderclap。同年,英特尔发布了一种可以防止 Thunderspy 攻击的安全机制,称为内核 DMA 保护(Kernel Direct Memory Access Protection)。

不过该机制在较早的配置中未实现,这也就是在 2019 年之前生产的计算机更易受到影响的原因。但有趣的是,当苹果 MacOS 笔记本启动到 Bootcamp 时,所有的 Thunderbolt 安全都会被禁用。

Ruytenberg 指出,所有在 2011-2020 年之间出货的、配备 Thunderbolt 的设备都容易受到攻击。自 2019 年以来已交付的提供内核 DMA 保护的设备,也都在一定程度上易受攻击。

Thunderspy 漏洞无法在软件中修复,会影响到未来的 USB 4 和 Thunderbolt 4 等标准,最终将需要对芯片进行重新设计。

9999.jpg



]]>
最重要的漏洞披露渠道:社交媒体 Thu, 04 Jun 2020 10:40:19 +0800 一提到漏洞披露,人们首先想到的是漏洞赏金平台或者国家漏洞库之类,但事实上,最重要的、最“及时”的漏洞披露渠道,往往是社交媒体。

据美国能源部太平洋西北国家实验室(PNNL)的计算机科学家称,在政府官方漏洞网站披露软件漏洞之前,漏洞信息往往已经在社交媒体上展开讨论,这种做法可能构成国家安全威胁,但也为政府网络安全提供了一个机会,那就是在社交媒体尚更紧密地监视关于软件漏洞的讨论。

PNNL数据科学和分析小组高级研究科学家Svitlana Volkova说:

一些软件漏洞已被攻击者作为目标并加以利用。我们想看看围绕这些漏洞的讨论是如何演变的,社会化网络安全是一个巨大的威胁。政府和企业迫切需要了解、衡量不同类型漏洞如何跨平台传播。

社交媒体(尤其是GitHub)引领漏洞披露潮流

PNNL的研究表明,从2015年到2017年,有四分之一的软件漏洞讨论首先出现在社交媒体网站上,然后才录入国家漏洞数据库(NVD、美国官方漏洞信息存储库)。此外,对于这部分漏洞,社交媒体上开始讨论近90天后才能显示在国家数据库中。(上图)

该研究集中在三个社交平台(GitHub、Twitter和Reddit)上,并评估了关于软件漏洞的讨论如何在每个社交平台上传播。分析表明,GitHub是程序员常用的网络和开发站点,到目前为止,这三个站点中最有可能成为讨论软件漏洞的起点。

研究人员写道,将GitHub作为讨论软件漏洞的起点是有道理的,因为GitHub是面向软件开发的平台。

研究人员发现,将近47%的漏洞信息讨论开始于GitHub,然后向Twitter和Reddit扩散(上图)。大约16%的漏洞在被发布到官方网站之前就已在GitHub上开始讨论。

无处不在的代码库漏洞

研究指出,几乎所有的商业软件代码库都包含开源共享代码,其中将近80%的代码库至少包含一个漏洞。

此外,每个商业软件代码库平均包含64个漏洞。研究称,国家漏洞数据库负责管理和公开发布的漏洞(CVE)“正在急剧增长”,“迄今为止,已经收录超过10万个已知漏洞。”

研究人员在论文中讨论了哪些美国对手可能会注意到这种漏洞。他们提到了俄罗斯、中国和其他国家,并指出在利用软件漏洞时,这些国家/地区使用这三种平台的方式有所不同。

根据研究,2017年与俄罗斯相关的网络攻击涉及200,000多名受害者,影响了300,000多台计算机,并造成了约40亿美元的损失。

研究称:发生这些攻击是因为现代软件中存在各种已知漏洞,而一些高级持续威胁组织有效地利用了这些漏洞来进行网络攻击。

机器人和人类都构成威胁

研究人员还区分了人类产生的社交媒体流量和机器人发出的自动消息。研究人员发现,由人类编写的社交媒体信息比机器生成的信息能更有效地提高人们对软件漏洞的认识,因此对二者的区分非常重要。

研究者通过Botometer这个工具来区分人类信息和机器信息。Botometer能够通过用户、朋友、社交网络、时间和内容等多个维度的分析来区分机器与人类,尤其是在Twitter上,Botometer区分人类和“僵尸粉”的准确性非常高。

总结

大多数CVE信息在Twitter和Reddit之前就在GitHub上开始讨论,甚至在漏洞正式发布之前就开始了,这对于网络分析师而言是至关重要的信息。分析人员以及产品供应商和代码库所有者可以使用社交媒体中的漏洞情报,提高开发人员和普通用户对漏洞和软件补丁的认识。

研究指出,对社交媒体传播软件漏洞信息的能力的认识,为政府、企业和机构给出了一个非常重要的提示:

在预测和确定漏洞优先级方面,社交媒体往往会比官方渠道更及时更有效。

此外,对现社交环境中传播的漏洞和补丁信息进行持续量化分析,应当成为企业网络安全风险管理和威胁情报工作的重要内容。

9999.jpg

]]>
信息泄露频发 为抗疫“交出”的个人信息去哪了 Thu, 04 Jun 2020 10:40:19 +0800 4月19日,青岛公安发布通报称,胶州市民微信群里,出现了当地中心医院出入人员名单。6000余人的姓名、住址、联系方式、身份证号码等个人信息被公之于众。类似的情况在多地出现,引起人们对防疫期间个人信息安全的担忧。记者采访发现,出于防控需要被大量收集的个人信息,还留存在相关App和超市、药店等商家手中,存在泄露隐患。

Y0$D)`[~9HKF~9H73I1S9MX.png

信息泄露频发多为违规操作

家住天津的丁先生,近来频繁接到被标记为“诈骗”“骚扰”“房产中介”的电话。

他有些不安地说:“疫情期间多次登记个人信息,是不是被泄露了?”

丁先生的担忧并非多余。此前各地多次出现返乡及确诊人员信息泄露事件。这大多是一些地方在收集和使用个人信息时,违规操作造成的。

天津市在开展专项治理中发现,“新冠通”等App在收集身份证件、健康信息、详细行踪等个人敏感信息时,未同步向用户说明收集目的;未根据有关法律法规要求,向用户提供删除、更正个人信息的功能。

此外,疫情暴发以来,全国已发生多起因非法传播个人信息,被公安机关处理的案件。

2月初,内蒙古鄂尔多斯某工作人员,将涉疫排查人员名单发送至内部工作群,被群内成员王某擅自转发至社会群众微信群。随后,名单被网民大量转发,致使公民个人信息泄露。后公安机关依法对王某处以行政拘留10日。

在广州,海珠警方接到辖区居民报警,称其所在小区的业主微信群内有人发布多名公民个人信息。警方调查发现,郑某曾将多名曾乘坐某邮轮的游客名单发送给朋友叶某。叶某又将上述游客个人信息转发至其所在小区的业主微信群内。警方随后依法对违法人员郑某、叶某分别处以罚款500元的处罚。

物业竟要求登记收入状况

记者调查发现,通过收集公民个人信息而进行的“大数据抗疫”,对有效控制疫情功不可没。但也有一些地方,在收集和使用个人信息时,存在不规范现象。

——收集信息主体过多。据App违法违规收集使用个人信息专项治理工作组专家何延哲介绍,防疫期间使用的信息收集网络应用程序可能有几千个。“这些收集信息主体,没有统一标准和共享、互认机制,存在重复、过多收集的情况。”

此外,一些线上防疫程序个人信息保护合规水平较低。比如记者曾使用过的一款由街道运营的小程序,它未向用户展示隐私政策,未逐一列出收集使用个人信息的目的、方式、范围,在收集用户详细地址、出行信息时,未同步告知使用目的。

——过度收集。不少群众反映,一些部门、商家在收集个人信息时过度索要。有人吐槽,防疫期间,小区物业上门要求登记的内容,竟然包括收入状况和身高、血型等信息。“我真是搞不懂,一个月挣多少钱与疫情防控有关系吗?”

——信息存储、保护不明确。北京的张先生近来每次去家附近的超市、小吃店,都被要求在入口处登记个人姓名、身份证号和手机号等信息。一个厚厚的大本子,每个进出人员的个人信息都写在上面,下一个人可以很清楚地看到上一个人的具体信息。

“这一本写满姓名、身份证号和手机号的个人信息登记本,商家如何保护?”张先生很担心。工作人员的答复是,他们只管登记,并不清楚后续怎么处理。

个人信息收集应“最少够用”

目前,各种防疫App和超市、药店、小区物业、公交地铁等主体收集了大量个人信息,很多人在“交出”个人信息的时候,都不清楚这些信息最终会被如何使用。

受访专家认为,未来应抓紧对相关App进行专项治理,督促运营者对照政策标准自查整改。对存在问题的,视情况采取通报整改、公开曝光、通知下架、行政处罚、移送司法等措施。

同时,要明确个人信息收集的范围。何延哲说,收集个人信息应该坚持“最少够用”原则,避免过度收集。

“现在个人信息已被大量收集,重要的是对它们进行严格管理,确保数据安全。”南开大学周恩来政府管理学院教授吴晓林说。

他建议,相关部门要对收集到的个人信息增加过程追踪,严格监管相关应用程序和其他纸质材料,最大限度降低泄露、滥用风险。

9999.jpg



]]>
安全周报(05.04-05.10) Thu, 04 Jun 2020 10:40:19 +0800

1


隔10个月委内瑞拉又断电?攻击致使全国大面积停电

委内瑞拉副总统罗德里格斯宣布:5月5日委内瑞拉国家电网干线遭到攻击,造成全国大面积停电。委国家电力公司正组织人力全力抢修,部分地区已经恢复供电。

事实上,这并不是委内瑞拉的第一次断电经历。2019年3月7日,包括加拉加斯在内的委内瑞拉多地开始停电,开始了该国家自 2012 年以来时间最长、影响地区最广的“停电史”。
10个月前的断电波及了委内瑞拉全国23个州中的18个州,而停电原因是古里水电站遭反对派蓄意破坏(委电力供应超过六成来自水力发电,而古里水电站是主要提供电力提供点)。
这次,则是委内瑞拉国家电网的765干线遭到攻击,除首都加拉加斯外,全国11个州府均发生停电。历史重演。可以发现,委内瑞拉2次断电中都出现了该国以外的另一个主角,美国。
去年3月的断电事件中,彼时委内瑞拉议会主席、反对派领导人胡安·瓜伊多自封“临时总统”,获得美国政府承认,此后美国便继而加大对委内瑞拉的制裁力度,并公开表示不排除军事干预。而针对水电基础设施的攻击发生后,委内瑞拉总统马杜罗表示,包括美国、委内瑞拉反对派在内的“国家敌人”使用“高技术武器”再次对该国能源系统发动了更大规模进攻。

15888224421140 (1).jpg




勒索病毒




1


欧洲最大私人医院运营商遭勒索软件攻击

运营欧洲最大私人医院的德国 Fresenius 集团遭勒索软件攻击。Fresenius 称这起事故限制它的部分业务运作,但病人护理正常。Fresenius 总部位于德国,在一百多个国家雇佣了近 30 万人,在福布斯的  Forbes Global 2000 排行榜中排在第 258 位。
本周二,有匿名工作人员披露 Fresenius 的计算机网络遭到了网络攻击,全球业务都受到影响。网络攻击的罪魁祸首是名叫 Snake 的勒索软件。Fresenius 发言人随后证实公司计算机感染了病毒,表示 IT 正在尽可能快的解决这个问题。和其它勒索软件类似,Snake 在加密计算机文件之后会要求限期支付比特币形式的赎金,否则会将公司内部文件发布到网上。

1589105497122739.png

2


物流巨头公司再遭勒索软件攻击!

澳大利亚运输公司Toll Group受Nefilim勒索软件的打击,导致客户遇到延误。这是三个月来的第二次攻击。该公司表示,一种名为Nefilim的较新形式的勒索软件已针对其系统。

日本邮政控股公司的子公司Toll Group是一家货运和送货服务公司,业务遍及50个国家/地区的1,200多个地点。eBay等电子商务巨头通常使用它来运输大宗商品,关键备件和医疗用品。

该公司周一在检测到某些服务器上的异常活动后关闭了某些IT系统,从而导致客户遇到延迟和中断。尽管货运“基本上没有受到影响”,并且包裹交付正在按计划进行,但该公司用于创建货运和预订取件的MyToll门户仍处于离线状态。

Nefilim直到最近才被发现。根据研究人员的说法,它很可能通过远程桌面协议(RDP)传播,类似于其他勒索软件系列,Nemty,  Crysis  和  SamSam。

 Nefilim背后的参与者主要是通过易受攻击的RDP服务器获得访问权限,尽管有未经证实的报道表明它们扩大了攻击范围,” Recorded Future威胁情报分析师Allan Liska告诉Threatpost。“对于新的勒索软件参与者来说,这是一条相当普遍的开发路径:它们始于开放或易受攻击的RDP服务器,然后扩展到其他攻击方法。”

1589010781123965.jpg

3


台湾两大炼油厂遭受勒索软件攻击,加油站混乱

根据taiwannews本周二报道,台湾的两个最大的炼油厂(CPC和FPCC)两天内相继遭遇网络攻击者的袭击,波及整个供应链,甚至影响到在加油站加油的客户。

CPC首先受到攻击,而FPCC在第二天也遭受攻击。

5月4日,对CPC的攻击使其IT和计算机系统关闭,加油站无法访问用于管理收入记录的数字平台。尽管仍接受信用卡和现金,但客户无法在加油站使用VIP支付卡或电子支付应用程序。CPC高管声称,破坏是由勒索软件引起的。

当地媒体报道称,由于CPC的安全事件,FPCC员工处于“高度戒备”状态,5月5日,他们注意到公司自己的公司网络中存在“违规行为”,随即每个部门都立即关闭了IT系统,以调查问题。一个“病毒”被发现并迅速得到处理,但目前尚不清楚是否属于勒索软件。

与CPC不同,FPCC并未遭受广泛破坏。两家公司现在都正常运行。

2-2.jpg

4


美国科罗拉多州医学中心遭到勒索软件攻击 多个关键信息系统瞬间瘫痪

在疫情期间全球多数医院都在满负荷运转积极参与病人救治,不过目前仍然还有黑客集团将其攻击目标瞄准医院。这些黑客集团可能是认为疫情期间医院重要性极高因此支付赎金的概率可能会更大,只有少数黑客放弃攻击医院。
最新攻击案例是黑客袭击美国科罗拉多州普韦布洛医学中心,遭到攻击后该医学中心多个关键信息系统瞬间瘫痪。尽管该医学中心并未透露勒索软件名称和黑客索要的赎金数额,但作为应对该医学中心已临时回归手写方式记录。
普韦布洛医学中心发布信息表示在遭到攻击后该医学中心立即换成手写记录方式,暂时不会影响到病人的救治等。目前该医学中心已经与当地执法部门以及外部安全公司进行合作,及时采取缓解措施尽可能的恢复数据与系统等。

1588746545125553.png

9999.jpg

]]>
因密码太简单,疫情期间国内大量RDP端口暴露 Thu, 04 Jun 2020 10:40:19 +0800 COVID-19使许多公司员工利用RDP远程桌面办公,员工可以远程访问公司内部资源,远程与系统进行通信。为了维持业务连续性,许多组织对安全的要求降低,使攻击者有机可乘。

RDP是运行在3389端口上的Microsoft协议,用户可远程访问内部系统。多数情况下,RDP运行在Windows服务器上,并承载部分服务,例如Web服务、文件服务等,它也可以连接到工业控制系统。RDP端口通常暴露于Internet,非法访问可使攻击者访问整个网络,并用作传播恶意软件的入口。

RDP统计

暴露在Internet的RDP端口数量迅速增长,从2020年1月的大约300万到3月已超过450万。 在Shodan上搜索RDP端口数量结果如下图:

image.pngimage.png

中国和美国暴露在互联网的RDP数量远超其他国家地区。大多数受感染系统都运行Windows Server,也有部分是其他操作系统,例如Windows 7。

image.png

对于攻击者而言,访问远程系统可以进行许多恶意操作,例如:

1、传播垃圾邮件:使用合法系统发送垃圾邮件非常方便。

2、传播恶意软件:利用被攻陷的系统可以轻松传播恶意软件,渗透到内部网络。

3、单独使用受感染的机器:网络犯罪分子使用受感染的系统隐藏自身踪迹,例如在受感染计算机上编译工具。

4、还可以用于其他诈骗行为,例如身份盗用或个人信息收集。

近期针对RDP端口的攻击数量以及暗网在售的RDP凭证数量均在增加。

批注 2020-05-09 130252.png批注 2020-05-09 130252.png中国(占总数的37%)和美国(占总数的37%)的系统数量最多,美国(占4%)的RDP凭证被盗数比其他国家要低得多。 

image.png

攻击者如何攻击远程系统?

弱密码仍然是常见的切入点之一,攻击者可以使用暴力攻击获得访问权限。 下图可看到RDP中20个最常用的密码。 

image.png下图显示了前10位常见密码的数量,大量易受攻击的RDP没有密码。

image.png

RDP协议还存在一些需要修补的漏洞,去年详细说明了BlueKeep漏洞的工作原理,该漏洞允许攻击者远程执行代码。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/

一月初,还修复了远程桌面有关的其他漏洞:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0609

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0610

这两个漏洞类似于BlueKeep漏洞,攻击者可发送特制的请求远程执行代码。

为了RDP协议的安全,需要进行以下操作:

1、不允许通过公开Internet进行RDP连接

2、使用复杂密码以及多因素身份验证

3、锁定用户,阻止登录失败次数过多的IP

4、使用RDP网关

5、限制域管理员帐户访问权限

6、减少本地管理员的数量

7、使用防火墙限制访问

8、启用限制管理员模式

9、启用网络级别身份验证(NLA)

10、确保本地管理员帐户唯一,限制可以使用RDP登录的用户

11、不使用含有组织信息的帐户

总结

网络犯罪分子正在瞄准RDP,它仍然是入侵组织的最常用的媒介之一。 对于攻击者来说,RDP入口可以快速有效的开展恶意活动,例如传播恶意软件,垃圾邮件或进行其他类型的犯罪。

目前,暗网上有整套围绕RDP开展的业务,为了使自身不受到攻击,必须遵循安全原则,例如使用强密码、修补漏洞等。

9999.jpg

]]>
欧洲最大私人医院运营商遭勒索软件攻击 Thu, 04 Jun 2020 10:40:19 +0800        运营欧洲最大私人医院的德国 Fresenius 集团遭勒索软件攻击Fresenius 称这起事故限制它的部分业务运作,但病人护理正常。Fresenius 总部位于德国,在一百多个国家雇佣了近 30 万人,在福布斯的  Forbes Global 2000 排行榜中排在第 258 位。

Screenshot_2020-05-09 Fresenius Helios - Fresenius SE Co KGaA.png

本周二,有匿名工作人员披露 Fresenius 的计算机网络遭到了网络攻击,全球业务都受到影响。网络攻击的罪魁祸首是名叫 Snake 的勒索软件。Fresenius 发言人随后证实公司计算机感染了病毒,表示 IT 正在尽可能快的解决这个问题。和其它勒索软件类似,Snake 在加密计算机文件之后会要求限期支付比特币形式的赎金,否则会将公司内部文件发布到网上。

9999.jpg



]]>
难以置信!2小时被骗走1919万! Thu, 04 Jun 2020 10:40:19 +0800 23岁的林女士从国外留学回长沙不到半年,在财务工作岗位上,短短2个小时,就被骗走1919万元。这也成为湖南迄今为止涉案金额最大的一起电信网络诈骗案。
4月30日,长沙市公安局召开新闻通报会,通报了包括此案在内的10起网络诈骗典型案例及整体发案情况。今年以来,长沙市电信网络诈骗发案量同比上升30%,电信网络诈骗案件占所有刑事案件数量的37%。

640.webp (2).jpg

诈骗人员伪造的最高人民检察院网站。警方供图
案例1
财务遭遇“公检法”2小时被骗1919万元
2019年7月,林女士从国外留学回到长沙,成为湖南某大型企业财务管理人员。2019年12月21日下午,林女士在办公室接到一自称来自福建公安机关的电话,称其涉嫌一桩特大洗钱案,已被公安机关列为通缉对象,并向其出示了一张网络逮捕令。在对方的诱导下,林女士信以为真,便按要求进入其提供的一个“最高人民检察院”的虚假网站,下载了网站中的“资金清算软件”。
林女士随后在该软件页面对应位置输入了公司账户账号和支付密码,并按对方要求将公司对公账户的U盾插入电脑。对方以资金清算需保密为由,要求其关闭电脑屏幕,刘女士照做后,短短两个小时,对方就分45次将公司账上的1919万元全部转走。经查,该犯罪团伙诱导林女士下载的所谓资金清算软件实则是一款名叫Teamviewer的远程控制软件,骗子正是通过这个软件远程操控了刘女士的办公电脑直接实施转账。
2020年3月,经过近四个月的缜密侦查,长沙警方在河北石家庄将6名参与本案的犯罪嫌疑人抓获,目前,案件正在进一步侦办之中。
长沙市公安局反电诈中心负责人介绍,该案是湖南迄今为止涉案金额最大的一起电信网络诈骗案。
警方提醒:公检法机关不会通过电话、短信、网络的方式办案;公安机关不会通过网络发布通缉令、逮捕令、财产冻结令等,不会进行所谓资金清算,也不存在任何所谓“安全账户”。
案例2
婚恋网站交友被“杀猪”74万元
2020年3月,邓女士在百合网上认识了一名自称某公司高管的王姓男子,双方迅速确立恋爱关系。对方一直表示要跟邓女士结婚,但却以前女友在与其视频聊天过程中遭遇车祸身亡为由,一直拒绝与邓女士视频交流,两人的交往仅限于语音和文字。
双方网恋大约一周后,该名王姓男子告诉邓女士自己的表兄弟在一家赌博网站担任技术工程师,无意中发现了网站的漏洞,只要投钱就能获得高额回报,并向邓女士展示了自己账户的盈利情况,蛊惑其趁漏洞还没被发现之前赶紧投资赚钱。邓女士在王姓男子的一再诱导下先后投入74万元(其中42万元来自网贷),当邓女士想提现时才发现,平台显示赚钱但无法提现,这才发现自己被骗。
该案属于典型的“杀猪盘”诈骗,是2019年以来高发的一类电信网络诈骗案件,此类案件持续时间长,涉案金额巨大,且往往伴随着受害人的情感伤害,社会影响极为恶劣。
警方提醒:网上交友务必认真核实对方身份,不要被对方的花言巧语所迷惑。不要轻易相信网友所说的“稳赚不赔”“高回报”之类的赚钱谎言。
案例3
大学生兼职刷单爸妈的钱都“搭进去”
2020年4月20日,吉首大学在校大学生姚女士,在一QQ群看见一条招聘网络兼职的信息。求职心切的姚女士随即添加了对方的QQ号码,对方告诉姚女士兼职的任务就是按照要求进行刷单然后赚取佣金提成,每100元可返利6元。姚女士于是按照对方的要求拍下了一件价值100元的商品,很快收到了106元的返现。
姚女士觉得任务很轻松,来钱也快,于是按照对方的指令继续刷单,在连续刷了5单之后,对方继续要求加码。姚女士一再表示自己银行卡上已经没有钱了,要求对方进行返款,但对方声称不能完成接下来的任务,系统就无法进行返款流程。
为了顺利拿到返利,在对方的诱导下,姚女士先后通过父母的银行卡进行刷单支付共计14.9万元,对方依然要求其再交纳5000元的保证金之后才能返款。姚女士在表示自己实在没有钱之后,便被对方拉黑。
该起案件系典型的刷单诈骗,受害人以在校大学生居多,今年进入疫情防控期以来,此类警情居高不下,且单笔涉案资金增大,4月份以来涉案资金10万元以上的案件就达14起。
警方提醒:刷单本是违法行为,任何要求垫支或充值的兼职都是诈骗。
案例4
淘宝“客服”理赔“支付宝”也是假的
2020年4月16日,刘女士接到一个自称淘宝客服的电话,称其最近购买的婴儿纸尿裤质量检测不合格,对此表示万分抱歉,将以十倍的价格进行赔偿,并请刘女士关注一个名叫“极速理赔1168”的微信公众号办理退款和理赔。
刘女士点击进入公众号后,跳转到了一个支付宝的界面,她按要求填写完自己的支付宝的账户和密码进入后,随即又转到一了填写退款银行和个人信息的页面,刘女士按要求填写完相关信息后,手机便收到了一个短信验证码,便在跳转的页面中填写了短信验证码,但页面提示“验证码超时,请重新获取”,随后刘女士的手机收到了一条扣款44950元的短信。
经查,该微信公众号其实是一个钓鱼网站的链接,所呈现的支付宝页面也是假的,刘女士填写的个人信息和银行卡信息通过钓鱼网站被骗子获取,从而盗刷了刘女士银行卡中的全部余额。目前该公众号已被封停。
该案系近期最新的一类冒充客服诈骗手段,冒充客服诈骗案件受害人以女性居多,且话本话术变化多端。
警方提醒:接听任何自称客服的电话,切勿轻信,建议通过官方客服电话进行核实确认,同时不要随意点击陌生链接或关注不明来路的微信公众号,切勿在陌生网站填写个人隐私信息或银行卡信息。
案例5
二胎妈妈领“补助金”反被骗钱
2020年4月24日下午,王女士接到一自称是其老家某县财务局工作人员的电话,并告知王女士其二孩补助金已通过审批,可以来当地领取。王女士提出路程遥远,可否通过网络转账,对方表示可以办理,但需要通过网络提交申请,于是给其发送了一条短信,上面附带一个短信链接。
王女士点击进入后,发现是一个申领二孩补助金的网站,于是按照要求填写了相关个人信息和银行卡信息,随后对方表示告知其短信验证码就可以立即受理成功,王女士照做后,随即接收到了一条扣款13700元的短信,对方也再无法联系。
此类诈骗是针对热点问题实施的精准诈骗,骗子抓住了群众对新生事物不了解、不熟悉的弱点制作话本话术。
警方提醒:退税补贴请通过官方渠道进行申请。如接到任何领取补贴的电话,请一定要通过官方渠道进行核实确认,不要盲目通过对方提供的链接或网站填写个人身份信息和隐私信息。
案例6
贷款软件上“贷款”反而变成“骗款”
2020年4月6日,市民赵先生接到自称“随心用”贷款应用程序(APP)的客服电话,对方称可以低利息免抵押办理贷款,但是需要下载“随心用”APP进行办理。赵先生下载APP之后,对方告知,要想贷款需要先支付制卡保证金9000元。
赵先生转完钱后,对方称其转账时未备注转账信息,导致操作失败,需要再转账9000元,对方又称赵先生征信有问题,需要转入贷款金额一样的资金才能贷款成功。
贷款心切的赵先生随即按对方要求再次转账40000元,这时对方又称其有贷款逾期记录,需要转账24000元,转账完成之后,对方又称需要购买一份商业保险,需要再次转账24000元,赵先生按对方要求陆续转账106000元之后,对方又称贷款额度与放款金额不符,需要再转50000元才能退还之前已转款项,这时赵某才意识到自己被骗。
警方提醒:不要轻信陌生的来电、短信,不要点击来路不明的贷款链接、广告。办理贷款、信用卡要选择正规渠道,不要轻信所谓的“代办”人员。任何要求先缴纳费用等涉及资金转账的都要提高警惕。
案例7
ETC失效要重新认证?背后就是坑
2020年4月6日,市民赵先生收到一条匿名短信,短信内容称,其ETC认证已失效,未避免影响正常通行,要求其进行认证,并附带了认证链接。正巧赵先生的ETC卡近期出现了问题,他便立马点击了网页链接。进入网页后,赵先生按要求进行在线ETC认证,填写了个人姓名、银行卡卡号、银行卡密码、身份证号码、手机号码,之后赵某陆续收到4条银行卡扣款提醒,共被扣款2万余元。
以ETC为由实施的电信网络诈骗近期呈高发趋势,已有多人上当受骗,波及范围广。
警方提醒:不要点击来路不明的链接,不要泄露自己的银行卡卡号、有效期、信用卡校验码、动态验证码等关键银行卡信息。
案例8
“外籍成功人士”谈恋爱骗走100余万元
2019年12月,刘女士通过网络认识一名外国网友并添加了对方微信,对方自称John,是一名外籍华人,在国外做珠宝生意,两人因为聊天投缘很快发展成恋爱关系。
2020年3月,John称需要寄一批珠宝给刘女士来避税,但是需要刘女士垫付快递费和税费。刘女士同意后,便收到某物流公司发来需要支付25000美元税费的电子邮件,刘女士按照邮件要求转账后,物流公司称税费不足需要再缴纳7850美元,之后对方又称珠宝被海关查扣需要垫付资金,刘女士按对方要求经过多次转账共计汇款人民币100余万元,直到对方称物流原因还需要继续转账时,她才意识到自己被骗。
此类诈骗是针对中年离异妇女实施的精准诈骗,涉案金额巨大。
警方提醒:广大女性不要轻信所谓的“成功人士”和“外国友人”,交友时要尽早多方验证对方的身份信息,如对方以各种各样的理由提出借钱时,要高度警惕,谨防受骗。
案例9
“外汇投资”赚大钱?倒贴大笔钱
2020年3月30日,赵先生通过朋友圈看见有人发布关于外汇投资的动态消息,消息显示投资回报率很高,心动的赵先生便与对方联系,对方称自己有专业技术团队,可以获取外汇平台精准涨跌数据,由程序员老师利用这个数据带客户在平台操作,可以达到百分之百的盈利,但是需要收取相应的手续费。
信以为真的赵先生随后在对方提供的投资软件充值15万元,并很快按对方指令盈利2万余元,之后赵先生陆续充值36余万元,账户显示盈利近300余万元,当赵先生想提现时,被告知必须再充值40万元,赵先生此时才意识到自己被骗。
虚假投资平台诈骗警情近期多发,不少市民甚至倾家荡产,付出惨痛代价。
警方提醒:理财投资必须选择合法正规的平台,不要轻信所谓导师、专家和精英;不要贪图所谓高回报、低风险的投资收益,不能心存侥幸去投资。
案例10
“裸聊”还盗取通讯录要求转账“了难”
2020年4月10日,周先生在某手机APP内收到裸聊私信,里面有对方QQ号码。周先生随即添加了该QQ号,便在对方的指导下安装一个聊天APP,周先生用手机号及邀请码注册登录,双方随即通过视频方式开始裸聊。
几分钟后,对方把视频聊天界面关闭,并向周某发送了他们视频裸聊的截图以及周先生手机内的通讯录截图,声称要将视频发给他亲友,要求周先生向其转账才会删除视频。迫于威胁,周先生通过扫描二维码方式多次向对方转账,但对方一直未将裸聊视频删除,被逼无奈的周先生于是选择了报警。
近期全国多地发生此类裸聊诈骗警情,大多数受害人因为顾及身份、颜面和家庭往往选择隐忍,给了骗子可乘之机。
小编提醒:远离网络不良行为,不轻易下载他人指定的所谓APP,更不要向陌生人泄露身份和家庭等敏感信息。

9999.jpg

]]>
无锡警方成功破获全国首起“暗网”平台案件 Thu, 04 Jun 2020 10:40:19 +0800 在暗网上传播淫秽视频图片、信息……暗网就像互联网一样存在,只不过需要特殊的程序才能进入。由于更具有匿名性及不可追溯性,一些人会利用暗网发布违法信息,交易违法物品。5月7日,现代快报记者从无锡警方举办的新闻通气会上获悉,去年无锡警方重拳出击,成功破获一起暗网平台案件。

640.webp (1).jpg

2019年7月,无锡警方在公安部网安局和江苏省公安厅网安总队的指导下,联合腾讯网御、微步在线等国内知名网络安全公司结成战略合作联盟,充分整合警企技术优势,重拳出击,对一架设在暗网的淫秽色情网站开展了专案侦察。经査,该暗网网站充斥着大量淫秽视频图片,注册会员达6万多名。

无锡警方立即抽调精干力量成立专案组,经两个月的紧张工作,克服技术门槛高,嫌疑人反侦察意识强、“暗网”取证难等诸多难题,查清了该网站的全部情况,并一举锁定网站开办人真实身份情况。随即,专案组转战河北石家庄、北京等地,成功抓获开办该暗网网站的嫌疑人王某。

无锡警方介绍,80后王某在大学里学的是计算机类专业,也曾开办过一些网站,对于互联网十分精通。王某到案后,态度极其恶劣,未有悔罪表现,自恃所使用电子设备是强加密系统,所建暗网网站难以溯源追踪,认为公安机关不可能掌握其犯罪事实,对涉案情节一概否认,抗拒审查。专案组随即抽调多名骨干,不间断进行技术取证,并结合国际执法合作,最终获取嫌疑人租赁境外服务器搭建网站、注册购买域名以及境外账户资金交易等关键证据,形成完整证据链,证实了犯罪嫌疑人的全部犯罪行为。

检法部门认为专案组获取的证据确凿、指向清晰、证据链完备,足以认定犯罪事实,可在“零口供”前提下对王某按涉嫌传播淫秽物品牟利罪予以提捕。在大量的事实与证据面前,王某的心理防线终于崩溃,最终交代了其在暗网上搭建淫秽网站、传播淫秽物品牟利的全部犯罪事实。2020年1月8日,犯罪嫌疑人王某被无锡市锡山区人民法院判处有期徒刑。

无锡警方介绍,涉暗网平台犯罪目前仍然是全球各国警方面临的难题,此前仅有美国破获的“丝绸之路”、德国破获的“华尔街市场”等少数直接打击暗网平台的成功案例。无锡警方在有效打击了利用暗网实施违法活动的嚣张气焰的同时,也为全国公安机关在侦办打击暗网案件中提供新的思路。

9999.jpg

]]>
物流巨头公司再遭勒索软件攻击! Thu, 04 Jun 2020 10:40:19 +0800       澳大利亚运输公司Toll Group受Nefilim勒索软件的打击,导致客户遇到延误。

      澳大利亚运输和物流巨头Toll Group遭受了勒索软件攻击这是三个月来的第二次攻击。该公司表示,一种名为Nefilim的较新形式的勒索软件已针对其系统。
      日本邮政控股公司的子公司Toll Group是一家货运和送货服务公司,业务遍及50个国家/地区的1,200多个地点。eBay等电子商务巨头通常使用它来运输大宗商品,关键备件和医疗用品。
      该公司周一在检测到某些服务器上的异常活动后关闭了某些IT系统,从而导致客户遇到延迟和中断。尽管货运“基本上没有受到影响”,并且包裹交付正在按计划进行,但该公司用于创建货运和预订取件的MyToll门户仍处于离线状态。

640.webp.jpg

      Toll Group网站上的一份声明说: “根据到目前为止的调查结果,我们可以确认该活动是勒索软件攻击的结果。” “这与我们今年早些时候经历的勒索软件事件无关。收费站无意参与任何赎金要求,并且目前没有证据表明任何数据都是从我们的网络中提取的。”

      Nefilim直到最近才被发现。根据研究人员的说法,它很可能通过远程桌面协议(RDP)传播,类似于其他勒索软件系列,Nemty,  Crysis  和  SamSam。          Nefilim背后的参与者主要是通过易受攻击的RDP服务器获得访问权限,尽管有未经证实的报道表明它们扩大了攻击范围,” Recorded Future威胁情报分析师Allan Liska告诉Threatpost。“对于新的勒索软件参与者来说,这是一条相当普遍的开发路径:它们始于开放或易受攻击的RDP服务器,然后扩展到其他攻击方法。”

      研究人员还说,Nefilim的代码与Nemty勒索软件有着惊人的相似之处。但是,两者之间有一些显着差异:与Nemty不同,Nefilim没有勒索软件即服务组件,研究人员说,没有证据表明这两种病毒背后存在相同的威胁因素。

      Liska说:“ Nefilim是一个相对较新的勒索软件变体,与Nemty勒索软件共享很多代码。” “由于Nemty背后的小组中止了公共运营并改用私人模式,因此认为Nefilim是该小组中的某个人,或者是该小组与之共享代码的人。”

      Nefilim勒索软件虽然很新,但本月似乎在各个方面都对公司造成了打击。周一,天空新闻》(  Sky News)的一份报道指出,勒索软件运营商针对一家斯里兰卡服装制造商,该服装制造商为维多利亚的秘密(Victoria's Secret),耐克(Nike)和碧昂斯(Beyonce)的常春藤(Ivy Park)等品牌生产内衣。根据该报告,运营商表示,他们从制造商那里窃取了300 GB的私人文件,并据称在网上发布了一些据称被盗的文件。

      实际上,Liska指出,Nefilim威胁说,如果受害者没有支付赎金,他们会向公众泄露各种数据,该网站位于TOR节点上的一个名为Corporate Leaks的“泄漏”网站上。这是研究人员称为双重勒索的一种新兴的勒索软件策略

      Digital Shadows的安全工程师Charles Ragland对Threatpost表示:“在过去的几个月中,Nefilim 运营商还采用了其他勒索软件组织(如Maze)流行的“名与耻”策略。” “通过威胁释放数据,网络犯罪分子可以试图对组织施加更大的压力,迫使他们支付赎金要求。这实际上构成了勒索软件攻击和数据泄露的混合威胁,并可能在接下来的几个月中继续成为流行的策略。”

勒索软件弹幕

      这是今年Toll Group的第二次勒索软件攻击:该公司于2月3日表示受到勒索软件的攻击,导致客户报告其在澳大利亚,印度和菲律宾的运营受到影响。与最近的事件类似,在2月份的勒索软件攻击中,据报道,包括MyToll门户在内的Toll Group各种面向客户的服务也受到了破坏。

      与上一次勒索软件攻击一样,在第二次勒索软件事件中,客户在Twitter上表示愤慨,抱怨由于MyToll掉线造成的通信问题和包裹追踪中断。

我的送货员没有敲门,而是去了仓库,他们已经关闭了仓库的送货。由于收费下降,我无法将其移到最近的收款点。我甚至不能去得到它。如果您不愿意进入我的收费站,请重新打开仓库取件。

-瑞秋·奥古斯汀(@ Rachaelaugusty1)2020年5月5日

      Acceptto的首席安全架构师Fausto Oliveira对Threatpost说:“这是一个严重的事件,针对的是供应链中非常重要的部分。” “在Covid-19流行期间进行这样的袭击不仅是犯罪,而且显示出愈来愈严重的漠视和对人类生命的漠视。好消息是,我们在前一次事件中看到的收费小组使用的收容措施似乎正在奏效,他们已经进行了尽职调查。”


      实际上,Toll Group强调说,在持续的冠状病毒大流行(包括从中国出发的包机航班)中,它将优先运送包括医疗和保健用品在内的基本物品。

      该公司表示,正在就事件的进展定期与澳大利亚网络安全中心(ACSC)联系。“随着我们继续调查导致我们禁用各种IT系统的勒索软件攻击的细节,我们在重建支撑Toll大部分在线运营的核心系统方面取得了良好进展。” “这包括清理受影响的服务器和系统,以及从备份还原文件。”

9999.jpg

]]>
公安部捣毁57家为贷款类网络诈骗犯罪团伙提供短信群发端口的短信平台 Thu, 04 Jun 2020 10:40:19 +0800 据央视新闻频道报道公安部日前部署全国公安机关开展代号云剑 2020 打击贷款类电信网络诈骗犯罪的集群战役。

全国15个省市区公安机关同步开展集中收网行动 , 据公安部透露此次行动捣毁全国多家违法违规的短信群发平台。

公安部表示违规短信群发平台为贷款类网络诈骗活动提供各类服务 , 涉及此类诈骗案件669起涉案金额1523万元。

公安部捣毁57家为贷款类网络诈骗犯罪团伙提供短信群发端口的短信平台

公安部重拳出击贷款类网络诈骗:


全国公安机关在工作中发现通过伪造贷款应用程序,以缴纳手续费或保证金为由的贷款类诈骗多发高发危害严重。

此类诈骗主要针对有贷款意向群体实施针对性的网络诈骗,此类网络诈骗活动已严重危害到人民群众的财产安全。

为此公安部成立工作组对此类违法犯罪活动开展集群战役实施专项侦查打击,同时还针对灰色产业链接实施打击。

经初步查证部分有资质的 1069 短信群发平台披着合法外衣干着非法勾当,违规将码号资源层层转售和层层代理。

其中部分短信平台为贷款类网络诈骗犯罪团伙提供各类服务并已经成为此类违法犯罪活动中不可或缺的关键环节。

违规群发贷款类诈骗短信诱骗受害人:


这类违规短信平台无视企业资质审查同时不对短信群发内容进行审查,让贷款类网络诈骗团伙下发各类诈骗短信。

例如群发包含无抵押免征信相关字样的贷款短信和贷款诈骗应用下载链接,部分平台甚至为诈骗团伙提供接口等。

这类未经任何审查就被群发到成千上万的用户手机上,部分违规短信平台俨然已成为贷款类网络诈骗团伙的帮凶。

自三月份以来涉及贷款类网络诈骗的案件已有669 起涉案金额达到 1523 万元,严重威胁到人民群众的财产安全。

在此次专项行动中全国公安机关捣毁57家违规短信平台,抓捕犯罪嫌疑人798名并扣押大批手机电脑等作案工具。

9999.jpg

]]>
有黑客从微软私有GitHub库中窃取了63.2GB的源代码 Thu, 04 Jun 2020 10:40:19 +0800 今年3月28日宣布成功入侵印尼公司Tokopedia之后,这位黑客近日又发布重磅消息称从微软的私有GitHub库中窃取了容量超过63.2GB的.dump转储文件。根据文件的目录列表截图显示,转储文件中涵盖了Azure, Office和部分Windows runtimes。

随后这条消息得到了数据泄露监控和防范服务机构Under the Breach推特账户的证实。需要注意的是,尽管此次泄露的源代码规模很大,但不代表黑客会获取到微软的核心商业机密,微软在GitHub仓库中存储的内容一般都是公开的,即便存储在私人仓库中的内容也是如此,而且微软还会严格筛查上传的代码来杜绝泄露的情况。

9999.jpg



]]>
黑客声称从微软GitHub私人数据库当中盗取500GB数据 Thu, 04 Jun 2020 10:40:19 +0800        一名黑客声称从微软GitHub账户上存储的私人仓库中窃取了超过500GB的数据。拥有GitHub的微软公司尚未就该漏洞事件公开发表评论,这似乎并没有影响到该公司任何主要软件产品。

这名名为 "Shiny Hunters "的黑客通过联系新闻网站BleepingComputer披露了这一窃取事件。该行为人称自己拥有从微软的私人GitHub仓库中下载的超过500GB的文件,并称原本打算在网上出售这些源代码。相反,他们现在计划将其免费发布。

Shiny Hunter提供了一个目录列表,其中包含了每个被盗文件的名称、大小和时间戳。这些资源库似乎都不涉及微软的主要产品,如WindowsOfficeXbox等。相反,它们大多是 代码样本、测试项目、电子书和其他通用项目。

事实上,整个漏洞的真实性一直存在争议。微软员工Sam Smith在推特上表示,该公司只将GitHub用于最终成为开源和公开的项目。他最初写道,微软的规则要求所有的GitHub仓库必须在创建后30天内公开,不过这条推文后来已经被删除。

不管真假,目前普遍的共识是,这次违规事件并没有对微软有什么影响。如果是真的,最迫切的关注点将是黑客当初是如何获得访问权限的。其他安全研究人员注意到,GitHub仓库中往往包含有开发者错误添加的私有API密钥和密码,如果被发现并使用,可能会进一步暴露微软的信息。

40890924-4bad5ce0-6732-11e8-9648-192aa71f0830.png

9999.jpg



]]>
台湾两大炼油厂遭受勒索软件攻击,加油站混乱 Thu, 04 Jun 2020 10:40:19 +0800 根据taiwannews本周二报道,台湾的两个最大的炼油厂(CPC和FPCC)两天内相继遭遇网络攻击者的袭击,波及整个供应链,甚至影响到在加油站加油的客户。

据报道,台湾石油,汽油和天然气公司CPC公司及其竞争对手台塑石化公司(FPCC)在过去两天内都受到了网络攻击。

CPC首先受到攻击,而FPCC在第二天也遭受攻击。

5月4日,对CPC的攻击使其IT和计算机系统关闭,加油站无法访问用于管理收入记录的数字平台。

尽管仍接受信用卡和现金,但客户无法在加油站使用VIP支付卡或电子支付应用程序。

CPC高管声称,破坏是由勒索软件引起的。

台湾高雄市的CPC加油站

当地媒体报道称,由于CPC的安全事件,FPCC员工处于“高度戒备”状态,5月5日,他们注意到公司自己的公司网络中存在“违规行为”,随即每个部门都立即关闭了IT系统,以调查问题。一个“病毒”被发现并迅速得到处理,但目前尚不清楚是否属于勒索软件。

与CPC不同,FPCC并未遭受广泛破坏。两家公司现在都正常运行。

CPC 在一份声明中声称:由于台湾所有加油站都已通过国际金融认证,客户无需担心信用卡泄露。

但CPC指出,该事件将作为未来安全改进的“参考”。

(公司)还将加强安全保护,引入更严格的安全检测系统,并保护消费者的权利。

三连击

对CPC,FPCC以及Powertech Technology(台湾一家电路封装和测试公司,周一曾报道过勒索软件爆发)的攻击都相继发生,这可能表明每次攻击之间存在关联。

但是,目前攻击者的身份未知。

Synopsys CyRC首席安全策略师蒂姆·麦基(Tim Mackey)表示:

网络安全的所谓巧合通常意味着攻击者或攻击事件存在关联性。安全调查人员将希望找出攻击或恶意软件中的相似之处。一旦知道了可能的攻击媒介,那么对于安全主管来说,详细说明攻击是如何进行的,以便所有业务领导者都可以调查其防御措施是否足以抵御类似攻击,将是有益的。

9999.jpg

]]>
全球最大域名注册商GoDaddy遭遇数据泄露 Thu, 04 Jun 2020 10:40:19 +0800 域名注册商和网络托管公司GoDaddy已通知其1900万名客户发生数据泄露事件,但并未披露具体泄露数据量。

据悉,该泄露事件于2019年10月19日发生,但直到2020年4月23日才被发现,当时GoDaddy注意到其一部分服务器上发生了可疑活动。

目前可以确认的是,未知数量的客户的Web托管帐户信息已遭泄露。

由于GoDaddy是全球最大的域名注册商,管理着7700万个域名,因此此次数据泄露事件的影响可能会极为深远。

目前,该违规行为已在加利福尼亚州司法部提交的电子邮件中得到确认,  并由GoDaddy CISO和工程副总裁Demetrius Comes发送给客户。根据Comes的说法,未经授权的个人访问了客户用来在其托管帐户上连接到SSH的登录信息。

Comes在发送给受影响客户的消息中,指出该违规行为的已知影响很小,但是他说,对该事件的调查尚未得出结论。

我们没有证据表明您的帐户中添加或修改了任何文件。未经授权的个人已被阻止进入我们的系统,我们将继续调查整个环境的潜在影响。

根据Comes的说法,GoDaddy正在采取动态行动以最大程度地减少安全事件的影响。

我们已主动重置您的托管帐户登录信息,以防止任何潜在的未经授权的访问;您将需要按照以下步骤来重新获得访问权限。出于谨慎考虑,我们建议您对托管进行一次帐户审核。

GoDaddy向客户保证,他们的“主要GoDaddy.com客户帐户以及该客户帐户中存储的信息无法被该威胁参与者访问”。

除了向客户表示诚挚的歉意之外,GoDaddy还采取措施通过“免费提供一年的网站安全豪华版和Express Malware Removal删除”来弥补这一事件的影响。

9999.jpg

]]>
时隔10个月委内瑞拉又断电?攻击致使全国大面积停电 Thu, 04 Jun 2020 10:40:19 +0800 委内瑞拉副总统罗德里格斯宣布:5月5日委内瑞拉国家电网干线遭到攻击,造成全国大面积停电。委国家电力公司正组织人力全力抢修,部分地区已经恢复供电。

事实上,这并不是委内瑞拉的第一次断电经历。

2019年3月7日,包括加拉加斯在内的委内瑞拉多地开始停电,开始了该国家自 2012 年以来时间最长、影响地区最广的“停电史”。

8日19时左右,加拉加斯部分地区陆续恢复供电,但有关部门发现电力系统遭到借助“高科技手段”实施的电磁攻击(未证实)。

到了9日中午,加拉加斯和全国大部分地区再次停电。

9日晚间,电力和通信网络仍未完全恢复。

11日,停电继续,该国继续延长停课和停止商业活动。

13日,委内瑞拉政府才宣布,委全国范围内的供水、供电已基本恢复。

10个月前的断电波及了委内瑞拉全国23个州中的18个州,而停电原因是古里水电站遭反对派蓄意破坏(委电力供应超过六成来自水力发电,而古里水电站是主要提供电力提供点)。

这次,则是委内瑞拉国家电网的765干线遭到攻击,除首都加拉加斯外,全国11个州府均发生停电。

历史重演。

可以发现,委内瑞拉2次断电中都出现了该国以外的另一个主角,美国。

去年3月的断电事件中,彼时委内瑞拉议会主席、反对派领导人胡安·瓜伊多自封“临时总统”,获得美国政府承认,此后美国便继而加大对委内瑞拉的制裁力度,并公开表示不排除军事干预。而针对水电基础设施的攻击发生后,委内瑞拉总统马杜罗表示,包括美国、委内瑞拉反对派在内的“国家敌人”使用“高技术武器”再次对该国能源系统发动了更大规模进攻。

委内瑞拉

有意思的是,此次攻击则发生在委挫败雇佣兵入侵委内瑞拉数小时后。也就是在5月3日,委内瑞拉当局宣布,他们成功打击了一个从哥伦比亚出发,希望在委内瑞拉发动政变从而入侵的雇佣军团伙。根据马杜罗所说,“这些雇佣兵里包括美国公民,他们为现任美国总统的安全部门工作”。而早些时候,也已有17名雇佣军被拘留。不过,哥伦比亚当局认为这是“毫无根据的指控”。

真相如何,目前还没有明确的证据。但地缘政治下的委内瑞拉,该国电力系统已成为最新一轮“网络攻击”的目标这一点已经毋庸置疑。一方面,很多国家包括委内瑞拉的水电等基础设施系统老旧,另一方面黑客在不断挖掘电力系统安全漏洞,开发出更适用于攻击电力系统的恶意软件。面对严峻的安全现状,针对水电基础设施的大型攻防演习迫在眉睫,居安思危方是上上策。

参考链接


https://tass.com/world/1153659

https://tass.com/world/1153195

9999.jpg

]]>
26项网络安全国家标准获批发布 Thu, 04 Jun 2020 10:40:19 +0800 根据2020年4月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第8号),全国信息安全标准化技术委员会归口的GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》等26项国家标准正式发布。具体清单如下:

202005061588752986015090650.jpg

9999.jpg

]]>
估值超过5亿美元的印度在线教育平台Unacademy泄露2200万用户信息 Thu, 04 Jun 2020 10:40:19 +0800 来自印度的在线教育平台Unacademy最近从脸书等公司获得1亿美元融资 ,  此轮融资后该平台估值超过5亿美元。

该平台在印度拥有1.4万名注册教师和数百万个视频课程 , 自2010年创建以来该平台已经获得2200万名注册用户。

不幸的是该公司的服务器似乎被黑客通过某种方式攻破,黑客盗取该平台的所有数据库包含用户的所有详细信息。

估值超过5亿美元的印度在线教育平台Unacademy泄露2200万用户信息

2000万用户数据仅售2000美元:


黑客在地下黑市中以1美元1万名用户数据的价格出售该数据库 ,  当然实际上黑客的数据包包含21909707名用户。

被出售的主要是包含用户数据的数据库,例如用户名、哈希密码、电子邮件、姓名、是学生、教师还是管理员等。

国外安全网站 BleepingCom 与部分用户联系后确认该数据库为真实有效的,这意味着该平台确实遭到黑客拖库。

从数据库最新注册用户是2020年1月26日来看 , 黑客应该就是在这个时间点攻破平台服务器将数据库全部下载的。

黑客:别误会我们不止有用户数据库


值得注意的是安全公司已经通过多种方式与 Unacademy 联系 , 但截止至本文发布时该平台仍然没进行任何回复。

但安全公司与黑客联系倒是非常顺利,黑客表示他们不仅拥有用户数据库,实际上整个平台数据库都已经被下载。

这些数据包括用户信息数据库、管理数据库、课程信息数据库、该平台所属公司的部分信息以及管理员账号信息。

不过现阶段黑客只是将包含用户数据的数据库拿出来公开出售 , 多达 2,200 万名用户信息被盗还是挺让人吃惊的。

尽管这些数据库不包含诸如财务等关键信息,不过欺诈分子仍然可以利用泄露的个人信息群发钓鱼邮件进行诈骗。

此次安全事件估计也会影响该公司的后续融资情况 ,诸如脸书等投资机构估计听到这个消息心里要默念MMP了。

9999.jpg

]]>
Facebook SDK问题导致部分iOS应用崩溃 Spotify、TikTok均受影响 Thu, 04 Jun 2020 10:40:19 +0800        当地时间今天下午,多个iPhone和iPad用户发现他们设备上的iOS应用在运行时出现了崩溃的现象,而这个问题似乎是由应用所使用的Facebook SDK的故障造成的。在一些苹果设备论坛上有多个关于iOS设备上的应用不断出现崩溃的投诉,各种应用似乎都受到了影响,专门用于监测网络服务健康程度的Downdetector仪表盘上更是出现了罕见的全员故障情景。

9STC$H$R}CB$N$F3%`GG@QJ.png

例如,谷歌的Waze应用无法启动,还有包括Pinterest、Spotify、Adobe Spark、Quora、TikTok等在内的各种常用应用的问题报告。

GitHub上的多个开发者将问题归咎于Facebook的软件开发工具包,这一功能通常被用于签到和登录,更奇怪的是,即使用户没有使用包含的Facebook登录选项的功能,仅仅需要应用程序使用过Facebook SDK,就有机会导致App无法打开的情形。

%B3Z3NBQE)6%`0JS1DQP8SF.png

目前还不清楚这个问题何时能修复,但由于有这么多应用受到影响,可能很快就会得到重视和解决,Facebook很可能会通过服务器更新迅速修复这个问题。

9999.jpg



]]>
法国“白帽”黑客:印度政府的定位程序存漏洞 9000万人隐私受威胁 Thu, 04 Jun 2020 10:40:19 +0800        北京时间5月6日消息,一位化名为奥尔德森(Elliot Alderson)的法国黑客日前在Twitter上表示,其发现了印度政府“Aarogya Setu”新型冠状病毒追踪APP的安全问题,这可能会危及9000万印度人的隐私。作为一名有良心的黑客,奥尔德森已经将这个问题“标记”发送至印度计算机应急响应小组(CERT)和隶属于印度电子和信息技术部的国家信息中心(NIC)。

奥尔德森早先还曝光了印度政府“mAadhar”安卓应用程序的问题。

Screenshot_2020-05-06 Ethical hacker Elliot Alderson red flags security issue in ‘Aarogya Setu’ app(1).png

周二,奥尔德森在Twitter上声称,他发现了Aarogya Setu应用程序的一个安全问题,并要求印度政府私下联系他,以便向当局详细披露。印度政府很快联系了这名黑客,了解相关情况。奥尔德森现在正在等待这一问题的解决方案,如果印度政府解决不了,那么按照“白帽”黑客的核心原则,他将公开披露这一问题。

Screenshot_2020-05-06 Ethical hacker Elliot Alderson red flags security issue in ‘Aarogya Setu’ app.png

印度政府确实在昨晚凌晨对黑客的推特做出了详细的回应。但奥尔德森仍在等待政府出手修复,用他的话来说,印度政府的回应基本上是“(这里)没什么问题啊”。换句话说,按照印度政府的说法,Aarogya Setu一切正常。


Aarogya Setu的制作者回应称:“这位黑客没有证明用户的个人信息处于危险之中。我们一直在测试和升级该系统。Aarogya Setu团队向所有人保证,没有发现任何数据或安全漏洞。”

奥尔德森已经在推特上宣布,若这个问题得不到修复,他将于今天公布更多信息。

与此同时,奥尔德森不是唯一一个在隐私方面向Aarogya Setu提出警告的人。位于新德里的软件自由法律中心(Software Freedom Law Centre)声称,这个应用程序会收集如性别和旅行记录等敏感的用户数据。互联网自由基金会(IFF)也宣称Aarogya Setu缺乏透明度。

这类问题特别严重,需要深入研究,因为即使Aarogya Setu看起来是一个“自愿安装”的应用程序,但它每天都在变得越来越“强制”。按照印度警方的最新要求,在诺伊达和大诺伊达这些地方如果没有在手机上安装这个程序,甚至会面临处罚。

印度政府还要求公共和私营部门雇员把它安装在智能手机上。印度内政部最近的一项指令要求:“所有员工都必须使用Aarogya Setu应用程序,包括私人部门和公共部门的员工。各机构负责人有责任确保该应用程序在员工中的覆盖率达到100%。”所以可以说,Aarogya Setu已经是印度中央政府雇员以及居住在隔离区居民的必装软件。

9999.jpg

]]>
涉嫌超范围采集个人隐私!自如、携程等21款App登黑榜 Thu, 04 Jun 2020 10:40:19 +0800 据工信部网站,近期的专项监测发现共有21款App涉及隐私不合规等行为,途牛、同程、携程、自如、我爱我家等知名App登上了黑榜。

79f0f736afc37931f3c7cf970c6b2a4342a91113.jpg

据透露,有关部门在专项行动中通过监测发现,多款民宿、会议类移动应用存在隐私不合规行为,违反网络安全法相关规定,涉嫌超范围采集个人隐私信息。

具体来说,在未向用户明示申请的全部隐私权限的App中,包括了《锦江酒店》《自如》《泊寓》《途牛旅游》《同程旅游》《携程旅行》《去哪儿攻略》《飞书会议》等20款。

而在未说明收集使用个人信息规则的App里,则有《V智会会务版》《巴乐兔租房》《泊寓》《锦江酒店》《自如》等5款。

至于未提供有效的更正、删除个人信息及注销用户账号功能的App,为《泊寓》《好视通云会议》《开会宝视频会议》《联盒会议》等4款。

此外,未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理App,是《同程旅游》《我爱我家》《携程旅行》《V智会会务版》《锦江酒店》等5款。

针对上述情况,有关部门一方面提醒广大手机用户应谨慎下载使用以上违法违规移动应用,避免受到安全威胁;另一方面则建议打开手机中防病毒移动应用的“实时监控”功能,进行主动防御,第一时间监控未知病毒的入侵活动。

9999.jpg

]]>
从“党妹被勒索”事件看NAS系统安全 Thu, 04 Jun 2020 10:40:19 +0800 27号,B站拥有500万粉丝的UP主“党妹”发视频说被勒索病毒攻击了,存储在NAS里的数百G视频素材被加密,造成损失。大家在声讨黑客的同时,也表示对NAS不太熟悉,为什么安装第一天,就被莫名的加密勒索了?

Image-0.png 

 

NAS全称Network Attached Storage,也就是网络存储器。它有两个特点:一是可集中存储照片、影片、音乐及文件等各类数据,相当于一个超大的硬盘;二是可以共享里面的资源。

Image-1.png 

有人会说这不就是服务器嘛。并不是,对比服务器的高运算能力,NAS更专注于存储、备份和共享,且价格也相对便宜,完全满足一些特定需求的小型企业使用,包括像“党妹”这样的视频UP主。

 

那么,这样一个看似“优秀”的共享存储工具为何遭到勒索病毒的黑手了呢?

 

首先需要明确一点,NAS就是万千设备中的一种,它和电脑、服务器等电子设备一样,也会被攻击、感染病毒。

 

2014年,就曾出现过一个专门针对NAS品牌群晖(Synology)的勒索病毒“Synolocker”。黑客通过Synology漏洞攻击用户NAS设备,加密用户在NAS设备上的数据,并索要0.6比特币(约合2166元),有用户被勒索后损失惨重。