adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
pigsrollaroundinthem(39396)
发表于2017年05月22日 13时21分 星期一
来自86731部队
路透社独家报道,朝鲜情报部门下属的一个网络小组可能主导了该国多起黑客攻击行为。调查显示,这一被称为 Unit 180 的小组目前主要任务是通过网络手段为平壤当局获取外汇。华盛顿的朝鲜问题专家路易斯(James Lewis)表示,朝鲜的这一战略显然比此前的毒品,伪造或者走私更为有效。2004年逃往韩国的朝鲜信息学教授金信宽也发表了类似的看法。他说,Unit 180 会对银行发动攻击,然后从帐号上将钱取走。这位教授称,Unit 180 的黑客一般会从境外发动网络袭击,以避免将线索引向朝鲜。他们一般会以朝鲜驻外公司的职员身份为掩护,其中也包括中朝合资企业或亚洲其他一些国家的企业。
安全
pigsrollaroundinthem(39396)
发表于2017年05月21日 18时38分 星期日
来自僵尸网络更赚钱
勒索软件 WannaCry 在两个 NSA 工具的帮助下利用 Windows SMB 实现漏洞进行传播,现在研究人员发现了一个新的 SMB 蠕虫利用了 7 个泄漏的 NSA 工具,但现阶段该蠕虫没有试图向被感染的系统传播勒索软件或其它恶意程序,而是试图建立一个僵尸网络。研究人员将这个蠕虫命名为 EternalRocks,它远比 WannaCry 更复杂,设计推迟 24 小时完成安装以躲避沙盒环境。它还使用了 WannaCry 相同的文件名以迷惑研究人员,但没有包含类似 WannaCry 的可作为关闭开关的硬编码域名。此外,蠕虫使用 DOUBLEPULSAR 恶意程序的方式允许其他攻击者劫持僵尸网络传递恶意程序。
安全
pigsrollaroundinthem(39396)
发表于2017年05月20日 22时05分 星期六
来自加油站版 XP
根据卡巴斯基实验室通过其 Twitter 账号公布的数据,几乎所有的 WannaCry 受害者运行的是 Windows 7。不同版本的 Windows 7 占到总感染系统的接近 98%, Windows XP 和 Windows 10 比例不到千分之一,其余主要是 Windows 2008 R2 Server。Windows 7 是市场占有率最高的桌面操作系统,但其感染率显然不成比例的高。已经停止支持的 XP 并没有以前认为的那么令人担忧,微软是在勒索软件开始广泛传播之后紧急为 XP 释出了免费修复补丁。
安全
pigsrollaroundinthem(39396)
发表于2017年05月19日 12时50分 星期五
来自 360 也提供了就看你用不用
勒索软件 WannaCry 的受害者中,可能有部分仍然使用已经停止支持的 Windows XP。现在,法国 Quarkslab 的研究员 Adrien Guinet 发布了一个软件,让被感染的 XP 用户无需支付 300 到 600 美元就能恢复被加密的文件。Guinet 称他的软件让他能提取实验室中被感染 XP 机器的解密密钥,但软件并没有经过广泛的测试,他并不保证软件能工作在各种版本的 XP 系统上。软件被称为 Wannakey,用户可通过 Github 下载。解密软件还需要被感染的 XP 电脑在感染之后没有重启。上周爆发的 WannaCry 勒索软件被认为不感染 WinXP。
长城
pigsrollaroundinthem(39396)
发表于2017年05月18日 15时30分 星期四
来自反正有理
勒索软件 WannaCry 上周末席卷全球,其中中国是重灾区。导致这一结果的一个原因被认为是中国对盗版软件的依赖,以及系统没有及时安装更新缺乏安全意识。中国官媒认为,美国应该对勒索软件攻击承担部分责任。中国日报称,解决网络罪犯的共同努力受阻于美国政府的行动,在网络攻击之后,没有确凿证据支持对中国科技公司如华为的禁令。WannaCry 利用了 Shadowbrokers 泄漏的 NSA 漏洞利用代码 EternalBlue,过去几天 EternalBlue 或它的中文名永恒之蓝在中国可能比 WannaCry 这个词更流行。在 WannaCry 流行之际,中国正准备实施受争议的网络安全法。
安全
pigsrollaroundinthem(39396)
发表于2017年05月18日 12时06分 星期四
来自不要盗版看火人
开源视频转码软件 HandBrake 本月初向用户发出警告,它的 Mac 版软件的镜像下载服务器遭到入侵,软件被植入后门,允许攻击者控制受害者的计算机。这起事件的一位不幸受害者是开发 Mac 和 iOS 软件的 Panic 公司(该公司一款大受好评的游戏是《Firewatch(看火人)》)联合创始人 Steven Frank。他恰好在 HandBrake 遭到入侵期间手动更新了软件,忽视了要求管理权限的警告,安装和运行了后门版本的 HandBrake,他的电脑立即被攻击者控制。攻击者窃取了他的 git 凭证,克隆了多个源码库。攻击者随后还发送电子邮件,勒索大量比特币以避免源代码泄漏。Steven 和同事商量之后决定拒绝支付勒索金。他们认为,攻击者可以利用源代码构建破解版的应用,但该公司的应用早就有破解版存在;攻击者可以构建恶意版的应用,这是不可避免的;竞争对手可以利用源代码获得一些竞争优势,但源代码可能含有恶意程序,未必对他们有利。Steven 称,他们没有发现用户信息泄漏的迹象,对可能含有恶意程序的破解版本发出警告,表示正与 FBI 和苹果紧密合作。
安全
pigsrollaroundinthem(39396)
发表于2017年05月17日 17时06分 星期三
来自不怕事大
泄漏 NSA 网络战工具的神秘黑客组织 Shadow Brokers 表示它计划出售新的入侵计算机、软件和手机的代码。Shadow Brokers 第一次拍卖 NSA 网络战工具时因为要价过高而无人问津,为了报复特朗普对叙利亚的轰炸而在今年四月直接披露了这些工具,直接催生了勒索软件 WannaCry 的全球攻击。目前还不清楚 Shadow Brokers 这一次会如何定价。该组织在一份声明中表示将从六月份开始出售黑客工具,允许任何付费用户访问科技世界的最大商业机密。它将提供能入侵浏览器、路由器和手机的软件、Windows 10 的 0day 信息以及从 SWIFT 全球金融通信系统窃取的数据,甚至还有俄罗斯、中国、伊朗、朝鲜核计划和导弹计划的数据。
安全
pigsrollaroundinthem(39396)
发表于2017年05月17日 12时55分 星期三
来自不如打劫银行
勒索软件 WannaCry 被发现与朝鲜的恶意程序共享代码,加上对索尼影业、韩国和孟加拉国等金融机构的成功攻击,朝鲜的网络战能力再次引起了关注。韩国安全官员称,朝鲜核心黑客队伍规模为 1700 人,另有超过 5000 人的支援团队。他们表示,朝鲜近年来实施攻击的技术、范围和频率都提高了。一些美国和中国的网络安全研究人员对朝鲜直接参与其中表示怀疑。他们表示,这款恶意软件的代码并未完全加密,意味着它很容易被识别并失效。此外勒索软件至今只收取到几万美元赎金。NewSky Security 的首席执行长 Scott Wu 称,假如这次网络攻击是朝鲜为了敛财铤而走险,就动机而言不会采取这种方式;对朝鲜来说,这是一种非常低劣的商业模式。
安全
pigsrollaroundinthem(39396)
发表于2017年05月16日 17时00分 星期二
来自等着后人模仿
勒索软件WannaCry 过去的一个周末引起了全球关注,它利用了 NSA 开发的网络战工具进行传播。安全研究人员发现,在 WannaCry 之前就有挖掘数字货币的僵尸网络使用了相同的 NSA 黑客工具。这次攻击不是为了安装勒索软件,而是安装挖矿软件 Adylkuzz。攻击者利用了神秘组织 Shadow Brokers 泄漏的 NSA 工具,包括代号为 EternalBlue 的漏洞利用和名为 DoublePulsar 的后门。这次攻击比 WannaCry 早大约两周时间,最早始于 4 月 24 日,最晚不迟于 5 月 2 日。攻击者首先是扫描 TCP 端口 445,寻找潜在的目标,如果成功被 EternalBlue 利用,机器将会感染 DoublePulsar 后门,然后下载和运行 Adylkuzz,挖掘名为门罗币(Monero)的匿名数字货币。
安全
pigsrollaroundinthem(39396)
发表于2017年05月16日 11时23分 星期二
来自朝鲜缺钱
Google、赛门铁克和卡巴斯基的安全研究人员报告,正在全球传播的勒索软件 WannaCry 可能与朝鲜黑客组织 Lazarus Group 有关联。Google 的 Neel Mehta 发现,2017 年 2 月的 WannaCry 与 2015 年发现的 Lazarus Group 后门程序 Contopee 共享代码。Lazarus Group 此前曾利用伪造的 SWIFT 交易从孟加拉国央行账号窃取了上亿美元。 后门程序 Contopee 被用于控制目标的计算机。研究人员发现,WannaCry 与 Contopee 有两个函数及其引用是相同的,此外还有其它多个相似之处。共享代码并不能确认 WannaCry 就是 Lazarus Group 开发的,还需要更多的证据和对勒索软件的早期版本进行更多的研究。
安全
pigsrollaroundinthem(39396)
发表于2017年05月15日 20时35分 星期一
来自中国的比特币转移不出去
勒索软件 WannaCry 上周末开始在全球扩散,其中中国是重灾区,根据实时地图,中国的感染数量无疑高居第一,一个原因可能是中国仍然有很多人使用早已停止支持的 Windows XP。 奇虎 360 称,29,372 个机构的计算机系统感染了勒索软件,其中包括政府、大学、ATM 机器和医院。奇虎 360 是一家受争议的安全公司。奇虎称勒索软件在高校快速扩散,超过四千所大学和研究机构受到影响。中石油承认,旗下许多加油站的电子支付系统在周末受到攻击的影响,但表示截至周日,80%的加油站运转正常。
安全
pigsrollaroundinthem(39396)
发表于2017年05月15日 19时03分 星期一
来自可以用作 VPN
一项新研究发现(PDF),25% 的物理服务器和 30% 的虚拟服务器都处于不活跃的休眠状态。这些服务器不活跃的时间至少有六个月。这些休眠服务器是一种安全风险,因为它们没有打上补丁和维护。研究人员利用 TSO Logic 收集的数据分析了 10 个数据中心的 1.6 万台服务器,发现 30% 的物理服务器休眠,样本增加后比例减少到 25%。虚拟服务器的休眠比例更高。北德州大学的信息系统教授 Leon Kappelman 认为需要知道服务器空闲的原因,因为有些服务器空闲是因为它们被用于备份。
安全
pigsrollaroundinthem(39396)
发表于2017年05月15日 17时05分 星期一
来自拥抱农企
FSF 之后,电子前哨基金会(EFF) 也对英特尔的 Management Engine 发出了安全警告。从 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 Management Engine(ME),它包含了一个或多个处理器核心,内存,系统时钟,内部总线,保留的受保护内存,有自己的操作系统和程序,能访问系统主内存和网络。ME 能完全访问和控制 PC,能启动和关闭电脑,读取打开的文件,检查所有运行的程序,跟踪按键和鼠标移动,甚至能捕捉屏幕截图。本月早些时候,英特尔释出补丁修复了 Intel Active Management Technology(AMT)的一个远程代码执行漏洞,AMT 是与 Management Engine 配套提供给企业级市场的,它允许系统管理员远程控制计算机。EFF 认为英特尔应该提供有关 Management Engine 工作的最低程度透明度,允许用户控制其计算机中的 Management Engine。如果你使用的是 Linux,你可以通过一个工具检查 AMT 有没有启用。
微软
pigsrollaroundinthem(39396)
发表于2017年05月15日 15时20分 星期一
来自导弹需要发射器
勒索软件 WannaCry 的全球扩散再次引起了一个疑问:如果政府机构在一个流行的计算机系统中发现了漏洞,它应不应该披露呢?漏洞在功防两方面都可用,攻可用于渗透到目标的计算机和网络,防可减少自家系统的漏洞。微软总裁兼首席法务官 Brad Smith 在官方博客就 WannaCry 的扩散抨击了美国政府的做法。Brad Smith 称,这个例子再次凸显了美国政府囤积漏洞是个大问题。通过 WikiLeaks 我们知道 CIA 囤积了漏洞;这次从 NSA 窃取的漏洞则影响到了全世界的客户。同样的事情反复发生着,政府手中的漏洞利用泄露到了公共领域,导致了广泛的破坏。这相当于美国军方手中的传统武器如战斧导弹失窃。他呼吁为保护网民的安全而采取紧急的集体行动。
安全
pigsrollaroundinthem(39396)
发表于2017年05月15日 11时00分 星期一
来自一本万利
安全研究人员报告,上周末在全世界扩散的勒索软件 WannaCry  发现了两种新变种。其中之一仍然包含了一个可作为关闭开关的硬编码域名(ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com),该域名已被注册以阻止勒索软件进一步扩散;另一个变种则不包含关闭开关,该变种尚未流行开来,它只能部分工作,因为勒索软件的存档损坏了。至今为止,WannaCry 共发现了三个变种,其中两个有硬编码域名。通过注册和上线域名虽然可以遏制恶意程序的扩散,但它仍然可以通过其他途径扩散,真正的解决方法仍然是系统需要尽可能快的打上补丁。根据勒索软件的比特币钱包地址,至今为止攻击者只获得了不到 3 万美元的勒索金。
安全
pigsrollaroundinthem(39396)
发表于2017年05月14日 15时50分 星期日
来自随机字符串
勒索软件 WannaCry 从周五开始在全球扩散,大量使用 Windows XP 的中国是重灾区。WannaCry 借用了NSA 的 SMB 漏洞利用代码进行传播。Malwaretech 的安全研究人员在分析恶意程序代码时发现它包含了一个当时没有注册的硬编码域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com),推测是恶意程序作者想要阻止代码被分析,当恶意程序成功查询该域名后,它会认为自己在沙盒环境内,因此会退出防止被进一步分析。该域名可以充当阻止传播的关闭开关,研究人员通过抢注和上线该域名设法阻止了勒索软件的进一步扩散。但安全研究人员很快发现了 WannaCry 有了新变种,不再包含硬编码域名。
安全
pigsrollaroundinthem(39396)
发表于2017年05月13日 19时27分 星期六
来自
名叫 WannaCry 的勒索软件正在全球扩散,这可能是勒索软件至今最大规模的一次爆发(实时感染地图)。神秘黑客组织 Shadowbrokers 于今年 4 月公开了一批 NSA 黑客工具,其中就包括名为 EternalBlue 的漏洞利用代码, WannaCry 利用了 EternalBlue 进行传播。微软在今年 3 月释出了补丁修复了该漏洞,但显然有大量系统并没有及时更新。微软官方发布紧急声明,向已经停止支持的 Windows XP 和 Windows Server 2003 释出漏洞修复补丁。感染 WannaCry 后,它会加密数据,勒索价值 300 美元的比特币,勒索说明甚至包括了中文。此次攻击影响巨大,受攻击的国家包括了中国,据社交网络的消息,中国公安网、中石油加油站以及多所高校都感染了该勒索软件。根据实时地图,中国、欧洲和美国是勒索软件三个主要的爆发地点。
安全
pigsrollaroundinthem(39396)
发表于2017年05月12日 20时06分 星期五
来自密码管理
美国国家标准与技术局(NIST)数字身份指南的新版草案取得了供应商的认可。新版指南修改了密码安全建议,不再要求定期修改密码。原因是多项研究显示,频繁的更改密码没有预想的效果,事与愿违,达不到保护密码安全的目的。NIST 的最新推荐是在用户想要修改的时候去修改密码,或者是有入侵的迹象时应立即修改密码。NIST 也不再要求密码混合大写字母、字符和数字,因为研究显示此类的要求并不能带来强密码。NIST 认为,如果用户想要使用绘文字作为密码,那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。
安全
pigsrollaroundinthem(39396)
发表于2017年05月12日 12时40分 星期五
来自开源的好处
惠普部分型号笔记本电脑预装的音频驱动内发现含有按键记录器的功能,记录了用户所有的按键,信息保存在一个本地文件内,任何人或任何第三方软件或恶意程序都可以访问。发现按键记录器的瑞士安全公司 modzero 发表安全公告,称该功能位于 Conexant HD Audio Driver Package version 1.0.0.46 或更早版本中,文件名是 MicTray64.exe,它的功能是监视用户所有的按键,对麦克风静音键或快捷键做出反应,此类功能许多应用程序都存在,问题在于它还把所有的按键记录在一个本地文件内(C:\users\public\MicTray.log),可以被第三方程序访问。研究人员发现 28 个型号的惠普笔记本预装了 Conexant HD Audio Driver Package,其它安装该驱动的电脑可能也会受到影响。
安全
pigsrollaroundinthem(39396)
发表于2017年05月11日 15时59分 星期四
来自大帝很生气
在法国总统大选期间,中间派候选人 Emmanuel Macron 的竞选团队遭到了源自俄罗斯的黑客攻击。NSA 注意到了这次攻击,而 Macron 的技术团队对此也早有准备。NSA 局长 Michael S. Rogers 将军本周称他们联络了 Macron 的团队,询问是否需要帮助。Macron 的团队并不需要 NSA 告诉他们自己正成为攻击目标。Macron 的数字总监 Mounir Mahjoubi 透露,他们从去年 12 月就开始收到钓鱼邮件,邮件质量相当高, 包含了竞选团队成员的真实名字。Mahjoubi 说,他们知道自己无法 100% 的抵御攻击,因此采用了反制网络攻击的经典方法:创建假的蜜罐账号,其中充斥大量假的文件,迫使攻击者花费时间去识别真正的账号和文件。Macron 的技术团队只有 18 个人,许多人必须将时间花在制作竞选材料上,他们没有足够的精力和人力花在抵御黑客攻击上。拖延是他们采用的最佳战术。这次攻击被认为是俄罗斯黑客组织 Fancy Bear 发起的。