solidot新版网站常见问题,请点击这里查看。

安全: 用 Rust 语言开发的勒索软件 ALPHV/BlackCat

去年 12 月研究人员发现了据信是第一种由专业网络犯罪组织用 Rust 语言开发的勒索软件 ALPHV/BlackCat。相比 C 或 C++ 语言 Rust 是一种更安全的编程语言,用 Rust 开发的程序更难找到常见的编程漏洞,如果有更多网络犯罪组织切换到 Rust 语言,将会加大安全公司发现勒索软件漏洞的难度。Krebs on Security 援引消息来源报道,ALPHV/BlackCat 的一名开发者网名叫 Binrs,曾在俄语自我介绍有六年的 Rust 开发经验。

移动: Android 恶意程序 BRATA 能在窃取数据之后抹掉设备所有数据

最新版本的 Android 恶意程序 BRATA 能在窃取数据之后将设备恢复到出厂设置,抹掉设备上的所有数据掩盖其活动痕迹。BRATA 在 2019 年最早被发现时属于一种 Android RAT(远程访问工具),主要针对巴西用户。安全公司 Cleafy 在 2021 年 12 月报告 BRATA 开始在欧洲等地出现,并增加了更多功能,它发展成为窃取电子银行登录凭证的恶意程序。其最新版本针对了英国、波兰、意大利、西班牙、中国和拉美的电子银行用户,每个变种针对了不同的银行,都使用了类似的混淆技术以躲避安全软件的检测。它会寻找设备上安全程序的痕迹,会在执行渗透前删除安全工具。

安全: 新勒索软件 DeadBolt 瞄准 QNAP 设备

新勒索软件 DeadBolt 正在瞄准世界各地的 QNAP NAS 设备。攻击者声称利用了一个 0day 漏洞,承诺如果 QNAP 愿意支付价值 18.5 万美元的 5 比特币,他们将披露 0day 漏洞的细节。如果有人愿意支付价值 185 万美元的 50 比特币他们将披露 0day 漏洞细节并提供能解密所有加密文件的主密钥。受影响的 QNAP 设备会看到所有文件被加密,文件扩展名为 .deadbolt。设备登录页面会显示勒索信息,要求受害者支付价值约 1100 美元的 0.03 比特币。

安全: 熊孩子对学校发动 DDoS 攻击

英国国家犯罪局(NCA)的网络犯罪部门正在着手进行一项旨在教育儿童了解 DDoS 攻击后果的计划。正如 NCA 网站上一篇文章所解释的,最近的一项研究促使他们采取了此项计划,研究表明,年仅 9 岁的孩子在对他们所在学校的网络、网站和其他服务发起 DDoS 攻击。报告称,在疫情期间,此类攻击的数量急剧增加,可能会对在线学习活动造成干扰。

安全: 12 年历史的 Polkit 高危漏洞影响主要 Linux 发行版

安全公司 Qualys 的研究人员在类 Unix 系统权限管理工具 Polkit 中发现了一个 root 提权漏洞,允许非特权用户获得系统的 root 权限。该漏洞被命名为 PwnKit,已存在了 12 年之久。从 2009 年起,Polkit 包含了一个内存破坏(memory-corruption)漏洞,利用漏洞比较简单,甚至部分账号能百分之百实现。已在存有漏洞的系统获得立足点的攻击者可以滥用该漏洞确保恶意负荷或指令能以系统最高权限执行。安全研究人员是在去年 11 月发现该漏洞的,在主要 Linux 发行版修复漏洞之后将其披露。Qualys 没有公布漏洞利用概念验证代码,但发布了一则漏洞利用视频

安全: 黑客声称入侵白俄铁路系统以阻止俄罗斯军事集结

白俄罗斯黑客周一宣布用勒索软件感染国营铁路系统的网络,只有白俄总统卢卡申科(Alexander Lukashenko)在俄罗斯军队对乌克兰发动可能入侵之前停止对其的援助,他们才会提供解密密钥。自称 Cyber Partisans(网络游击队)的组织在 Telegram 上写道:“在恐怖分子卢卡申科的指挥下,BelZhD(白俄罗斯铁路) 这些天允许占领军进入我们的土地。作为‘Peklo’网络行动的一部分,我们加密了 BelZhD 的大部分服务器、数据库和工作站,以减缓和破坏铁路的运行。备份已被破坏。”该组织还在 Twitter 上宣布了这次袭击。

该组织的一位代表在私信中表示,Peklo 网络行动针对特定实体和政府经营的公司,目标是向白俄罗斯政府施压,要求其释放政治犯,并阻止俄罗斯军队进入白俄罗斯,利用该国领土对乌克兰发动袭击。该代表写道:“政府继续压制白俄罗斯人的自由意志,监禁无辜的人,他们继续非法关押着……数千名政治犯。”“主要目标是推翻卢卡申科政权,维护主权,建设一个有法治、独立机构并保护人权的民主国家。”BelZhD 网站上的几项服务确实无法使用。如在线购票功能无法正常工作。该代表表示,除了票务和调度瘫痪之外,此次网络攻击还影响到了货运列车。据报道,俄罗斯一直通过铁路向与乌克兰接壤的白俄罗斯运送军事装备和人员。@belzhd_live 周五表示,在一周之内,超过 33 列满载装备和部队的俄罗斯军用列车抵达白俄罗斯,进行联合战略演习。@belzhd_live 是一个白俄罗斯铁路工人组织,跟踪着该国 5512 公里铁路的状况。该工人团体当时表示,预计在接下来的几天内,将总共有 200 个梯队抵达。

安全: 故意破坏开源库的开发者想要拿回发行权但没人支持

color 和 faker 开发者的 Marak Squires 本月早些时候通过加入无限循环故意破坏了这两个广泛使用的依赖库。在包管理器 NPM 上,colors 的周下载量超过 2000 万次,有近 19000 个项目依赖它;faker 的周下载量超过 280 万次,有超过 2500 个项目依赖它。在事故发生之后,GitHub 平台短暂封禁了其账号,在解封之后其发行权仍然被剥夺。faker 之后出现了社区管理的分支。Marak Squires 想要拿回发行权,他声称自己的邮件没有收到任何回应,而他有一百个包需要维护,“每个人都会不时犯下编程错误,没有人是完美的。”但无心之过和故意破坏显然是两码事,他的请求几乎无人支持,认为他的故意破坏损害了开源生态系统的信任原则。

安全: 针对 WordPress 扩展的供应链攻击

Jetpack 安全研究人员发现了一起利用 WordPress 扩展的供应链攻击。Jetpack 来自 WordPress 母公司 Automattic。如果网站从 AccessPress Themes 网站下载了主题扩展,那么网站有可能遭到了入侵。如果是从 WordPress.org 下载了相同的主题扩展,那么它们应该是安全的。攻击者修改的是 AccessPress Themes 网站上托管的主题扩展,悄悄植入了后门。攻击者在主题目录中加入了一个脚本 initial.php,它充当了下载程序,能从 wp-theme-connect[.]com 下载和安装后门。一旦安装后门下载程序会自毁以隐藏其活动。安全研究人员对攻击起始时间有不同看法,Jetpack 的研究人员认为供应链攻击始于去年 9 月,但另一家安全公司 Sucuri 的研究人员 Ben Martin 认为攻击可以追溯到三年前。

安全: 黑客将恶意程序植入到 UEFI 固件中

卡巴斯基研究人员透露了植入到 UEFI 固件中的恶意程序 MoonBounce。该恶意程序被认为来自于 APT41 aka Winnti 或 Double Dragon。恶意程序修改了主板上名为 SPI flash 的元件,它不在硬盘上,因此格式化硬盘或更换硬盘不会清除恶意程序。修改后的固件镜像允许攻击者拦截引导序列的执行流,引入一个复杂的感染链。研究人员认为,黑客对 UEFI 系统的工作原理有着深刻的理解。感染链只在内存中运行,硬盘上没有留下攻击痕迹。黑客主要对 IT 行业、社交媒体、电信、非营利组织和医疗机构进行攻击。

安全: 红十字会遭到网络攻击

未知身份的黑客入侵了瑞士一家为红十字会提供数据储存服务的承包商,窃取了 Restore Family Links 项目大约 515,000 名用户的个人数据。该项目被用于帮助因战乱、灾难或移民而分离的家庭成员团聚。红十字会发布新闻稿,请求攻击背后的黑客不要公开或出售数据,以免给已遭受苦难的人带来更多伤害。红十字会没有透露更多攻击细节,暂时不清楚攻击是勒索软件黑帮、国家支持黑客还是其他人所为。

安全: 微软修复导致 VPN 连接失败的 bug

微软上周释出的一月例行安全更新被发现引入了 bug,给企业客户制造了麻烦,会导致 VPN 连接失败。根据微软公布的信息,问题主要影响包含供应商 ID 的 IPSEC 连接,以及 L2TP 和IPSEC IKE VPN 连接,受影响操作系统包括 Windows 10、Windows 11,Windows Server v2022、20H2、2019 和 2016。最常见受影响的是 Windows 操作系统内置的 VPN 客户端,其它这些连接的第三方客户端也可能会出错。微软在本周释出补丁修复了这些问题

安全: 字幕站 Opensubtitles 遭到黑客入侵

知名字幕站 Opensubtitles 宣布遭到黑客入侵。事情始于 2021 年 8 月,黑客通过 Telegram 发送消息称能访问网站的用户表下载数据库,黑客勒索 1 BTC 换取不公开漏洞并承诺删除数据。黑客还提供了如何修复漏洞的方法。之后几个月风平浪静,但在 2022 年 1 月 11 日网站管理员再次收到了相同漏洞的勒索要求,可能来自第一位黑客的合作伙伴,漏洞事实上没有修复。1 月 14 日网站数据泄露,在获悉之后网站管理员立即锁定了所有账号并强制要求更改密码,18 日披露了这一安全事故。Opensubtitles 成立于 2006 年,当时对安全还不够重视,用户密码使用的 md5() 储存,没有加盐处理,弱密码会很容易破解。如果用户在其它网站重复使用了密码,网站管理员建议一同修改。

安全: 以色列警方用 Pegasus 间谍软件攻击本国公民

根据以色列商业媒体网站 Calcalist 的调查,以色列警方在未经授权的情况下,使用 NSO 集团备受争议的 Pegasus 间谍软件对包括政治家和活动人士在内的以色列公民进行电话侦听。报道称这些侦听针对的目标包括本地市长、反对前总理内塔尼亚胡(Benjamin Netanyahu)的政治抗议活动领袖以及前政府雇员。监控以色列公民需要法院监督,这些监控是在缺少法院监督的情况下进行的,对于数据如何使用也缺乏监督,以色列警方和一位政府部长明确否认这一说法。以色列日报《国土报(Haaretz)》的另外一则报道称,据报社看到的发票,NSO 集团在 2013 年向以色列警方开具了 270 万谢克尔(86.2万美元)的发票,显然是该计划的基本版本。以色列 NSO 集团设计了 Pegasus并将其出售给外国政府,虽然出现了许多滥用 Pegasus 的报道,但最近的报道标志着情况出现了重大变化,以色列人也成了侦听的目标。《卫报》从熟悉 NSO 授权的消息人士处了解到,虽然 NSO 出售给国外第三方客户的软件不能在国外针对美国和以色列的电话号码,但购买间谍软件的以色列执法机构——例如警方——可以针对以色列的手机号码。虽然报道没有提及消息来源,但它声称使用间谍软件的命令是由高级官员下达的,由警方的电子侦听专家执行。这一说法意义重大,因为它首次反驳了向以色列人做出的保证,即他们不会成为 Pegasus 的目标,对以色列人免于非法入侵的观点提出了质疑。

安全: 被锁定 God Mode 跑步者破解跑步机

NordicTrack 公司的 X32i 跑步机售价高达 4000 美元,配备了 32 英寸的显示屏,客户在锻炼时可以观看各类视频。NordicTrack 一直尝试让客户订阅其母公司 iFit 的锻炼应用,限制观看外部视频。它有一个 God Mode 允许用户安装第三方应用,观看外部视频。从去年 10 月开始,NordicTrack 通过更新阻止客户使用 God Mode,不让客户访问 Netflix、YouTube 等流视频服务。这激怒了消费者。他们投诉指出,NordicTrack 的跑步机非常昂贵,他们本应该能完全掌控设备。NordicTrack 和 iFit 的发言人则回应称限制 God Mode 是出于安全考虑。客户开始寻找各种方法绕过 NordicTrack 的限制,目前最流行的做法是恢复出厂设置,配置路由器屏蔽 NordicTrack 推送自动更新。虽然出厂时安装的软件比较旧,但客户可以完全控制跑步机。

安全: Linux 恶意程序数量去年增长 35%

针对 Linux 设备的恶意程序数量去年增长 35%,这些恶意程序主要通过感染物联网设备组建僵尸网络发动 DDoS 攻击。运行不同 Linux 版本的物联网设备功能有限,但联合起来能发动规模惊人的 DDoS 攻击。除了发动 DDoS 功能,Linux 物联网设备还能用于挖掘加密货币,发送垃圾邮件等等。安全公司 Crowdstrike 的报告称,2021 年针对 Linux 系统的恶意程序数量比 2020 年增加了 35%;其中 XorDDoS、Mirai 和 Mozi 恶意程序家族占到了 22%;其中尤以 Mozi 数量最多,Mozi 恶意程序样本数量同比增长了 10 倍,XorDDoS 同比增长了 123%。

安全: 微软警告乌克兰计算机网络遭破坏性恶意程序攻击

微软从乌克兰政府和私人计算机网络探测到一种高度破坏性的恶意程序,它似乎正在等待被触发。该恶意程序与 2017 年的 NotPetya 有几分相似,攻击目标也主要是针对乌克兰。NotPetya 伪装成勒索软件,但目的是破坏数据而非勒索比特币赎金。新的恶意程序与之类似,伪装成勒索软件要求赎金,但并不存在相关的加密货币地址。研究人员认为其目的旨在破坏而非勒索。恶意程序试图清空硬盘和破坏文件。乌克兰政府表示,已经恢复了大部分受影响的网站,没有个人数据被盗。

安全: 研究人员发现一个杀毒软件无法识别的跨平台后门

安全公司 Intezer 的研究人员发现了一个几乎所有杀毒软件都无法识别的跨平台后门 SysJoker。跨平台恶意程序相当罕见,绝大部分都是为特定平台如 Windows 开发的。SysJoker 是从头开始开发的,使用了 4 个独立的指令控制服务器,显示背后的攻击者投入了大量资源。其 Windows 和  macOS 版本的后缀是 .ts,表明它伪装成 Type script 应用通过 npm JS 库传播。 .ts 扩展名也可能意味着它伪装成视频流内容。研究人员发现,几乎所有的杀毒软件引擎都未能将其识别出来。

安全: Intel第12代处理器停止对SGX支持

HardenedVault 写道 "近期相传已久关于Intel在新处理器中停止对SGX支持的消息得到了确认,第12代处理器将放弃所有SGX特性。Intel官方的解释是处于市场的考虑而最终作出的决定,会有包括蓝光防盗版DRM在内的诸多应用受到影响。Intel SGX(software guard extension)是自从2015年发售的第6代处理器Skylake中支持的,其主要目的是为了更好的解决云计算环境下云厂商和租户信任的问题,这种方案被称为飞地(Enclave),SGX自诞生之日起就引起了众多争议,赛博堡垒的可信/机密计算方案中对于SGX的失败的总结主要有几点:1)过度设计和实现导致复杂性失控。2)错的离谱的威胁模型,SGX的威胁模型中把操作系统和固件都当成不可信,但实际情况是操作系统可以轻松发起侧信道攻击,而CSME的“上帝模式“打破了诸多威胁模型中的假设。3)不可审计性,大部分核心组件都是闭源的所以几乎难以得到完备的审计结果。4)保护的应用的同时也可以用于保护恶意代码,这让恶意代码检测成为摆设。5)第三方证明服务推出的时间太晚。6)SGX内核主线化进程缓慢,2016年提交给Linux内核社区最终到了2021年才合并,而2020年关于SGX会停止支持的消息已经传出。7)市场过度宣传,这个问题在中国地区或许更突出,大厂不断鼓吹SGX可以成为"下一代"银弹级别的方案,实际情况是安全领域的总原则是没有银弹。"

安全: 俄罗斯逮捕 14 名 REvil 勒索软件黑帮成员

俄罗斯联邦安全局周五宣布逮捕 14 名 REvil 勒索软件黑帮成员。执法机构在莫斯科、圣彼得堡、列宁格勒和利佩茨克地区展开了突击搜查行动,扣押了 4.26 亿卢布、60 万美元和 50 万欧元的现金,以及加密货币钱包、计算机和 20 辆豪华汽车。联邦安全局表示是应美国当局要求展开行动的,它向美国通报了行动结果。REvil 是近期最活跃的勒索软件组织之一,最知名的行动是攻击了肉制品巨头 JBS Foods。在美国向俄罗斯施压之后,REvil 在去年 7 月关闭了服务器,但其管理员在 9 月尝试重启业务,随后其暗网网站遭到美国执法机构关闭,之后彻底消失。俄罗斯政府没有披露被捕者的身份,媒体透露了其中两人的身份:Roman Muromsky 和 Andrei Bessonov。Twitter 上的逮捕视频

安全: 用 Raspberry Pi 扫描电磁波检测恶意软件

法国计算机科学与随机系统研究所的一组研究人员使用单板电脑 Raspberry Pi 创建了一个反恶意软件系统,该系统可扫描设备中的电磁波。该安全设备使用示波器(Picoscope 6407)和连接到Raspberry Pi 2B 的 H-Field 传感器检测受到攻击的计算机发出的特定电磁波中的异常情况,研究人员称这种技术已被用于“获得关于恶意软件类型和身份的准确信息。” 检测系统依靠卷积神经网络(CNN)确定收集到的数据是否表明威胁存在。使用这种技术,研究人员声称可以记录 10 万条被真正恶意软件样本感染的物联网设备的测量轨迹,并以高达 99.82% 的准确率预测三种通用恶意软件和一种良性恶意软件。最重要的是,不需要任何软件,你在扫描的设备也不需要以任何方式进行操作。因此用混淆技术隐藏恶意代码,瞒过恶意软件检测软件的尝试不会成功。研究人员在论文中写道:“我们的方法不需要对目标设备进行任何修改。它可以独立于可用资源进行部署,无需任何开销。而且我们的方法的优点在于,恶意软件作者几乎无法探测并规避它。”
上一页31323334353637383940下一页