adv

adv
solidot新版网站常见问题,请点击这里查看。
安全
pigsrollaroundinthem(39396)
发表于2017年05月24日 19时56分 星期三
来自字幕在看着你
安全公司 Check Point 的研究人员披露了一种新型的攻击手段——字幕攻击。字幕主要被用户使用观看非母语视频,中国有着非常活跃的字幕翻译和制作社区。研究人员称,通过制作恶意的字幕文件,在被受害者的播放软件下载和加载后,可利用流行流媒体平台的漏洞远程执行代码去控制任何设备,包括计算机、电视和移动设备。受影响的软件包括 VLC、Kodi (XBMC)、Popcorn-Time 和 strem.io,使用这些有漏洞软件的用户接近 2 亿。字幕文件是一种文本文件,通常被认为无害。研究人员上传了一个概念验证原型视频,称受影响的播放软件已经释出了修正,建议用户尽快更新,这些更新可能还没有推送给用户,用户可以手动下载。
安全
pigsrollaroundinthem(39396)
发表于2017年05月24日 16时31分 星期三
来自交出社交账号密码
流行的密码管理器 1Password 推出了一项新功能,以应对入境搜查,尤其是美国入境时的无凭证搜查。这项功能叫旅行模式(Travel Mode)。启用之后,除了标记为“safe for travel”的密码,其余密码将会从你的设备上彻底删除。没有旅行模式前,如果用户想要保护设备上的个人数据,他需要从所有设备上退出 1Password 账号,创建一个临时账户保存旅行期间需要使用的密码。整个过程比较繁琐,大多数人可能不愿意花时间去做。有了旅行模式,用户一键就可以完成整个操作。该功能只提供给付费用户。
安全
pigsrollaroundinthem(39396)
发表于2017年05月23日 16时58分 星期二
来自私下黑钱
Google、赛门铁克和卡巴斯基的安全研究人员上周报告了勒索软件 WannaCry 可能与朝鲜黑客组织 Lazarus Group 有关联的证据。现在,赛门铁克通过最新的官方博客报告了更多的证据。在 5 月 12 日WannaCry 全球性爆发前,其早期版本曾在二月、三月和四月份用以执行少量目标性攻击。早期版本的 WannaCry 和 2017 年 5 月的版本基本相同,只是传播方式有所差别,区别是后者整合了 NSA 的代码。攻击者所使用的工具、技术和基础设施与之前 Lazarus 攻击事件有大量共同点:在 WannaCry 于二月份的首次攻击之后,受害者网络上发现了与 Lazarus 有关恶意软件的三个组成部分—— Trojan.Volgmer 和 Backdoor.Destover 的两个变体,后者是索尼影业公司攻击事件中所使用的磁盘数据清除工具;Trojan.Alphanc 用以在三月和四月份中传播 WannaCry,该病毒是 Backdoor.Duuzer 的修正版,而 Backdoor.Duuzer 之前与 Lazarus 有所关联;Trojan.Bravonc 与 Backdoor.Duuzer 和 Backdoor.Destover 使用相同的 IP 地址以进行命令和控制,而后两者均与 Lazarus 有所关联;Backdoor.Bravonc 的代码混淆方法和 WannaCry 与 Infostealer.Fakepude(与 Lazarus 有所关联)相似。
安全
pigsrollaroundinthem(39396)
发表于2017年05月22日 13时21分 星期一
来自86731部队
路透社独家报道,朝鲜情报部门下属的一个网络小组可能主导了该国多起黑客攻击行为。调查显示,这一被称为 Unit 180 的小组目前主要任务是通过网络手段为平壤当局获取外汇。华盛顿的朝鲜问题专家路易斯(James Lewis)表示,朝鲜的这一战略显然比此前的毒品,伪造或者走私更为有效。2004年逃往韩国的朝鲜信息学教授金信宽也发表了类似的看法。他说,Unit 180 会对银行发动攻击,然后从帐号上将钱取走。这位教授称,Unit 180 的黑客一般会从境外发动网络袭击,以避免将线索引向朝鲜。他们一般会以朝鲜驻外公司的职员身份为掩护,其中也包括中朝合资企业或亚洲其他一些国家的企业。
安全
pigsrollaroundinthem(39396)
发表于2017年05月21日 18时38分 星期日
来自僵尸网络更赚钱
勒索软件 WannaCry 在两个 NSA 工具的帮助下利用 Windows SMB 实现漏洞进行传播,现在研究人员发现了一个新的 SMB 蠕虫利用了 7 个泄漏的 NSA 工具,但现阶段该蠕虫没有试图向被感染的系统传播勒索软件或其它恶意程序,而是试图建立一个僵尸网络。研究人员将这个蠕虫命名为 EternalRocks,它远比 WannaCry 更复杂,设计推迟 24 小时完成安装以躲避沙盒环境。它还使用了 WannaCry 相同的文件名以迷惑研究人员,但没有包含类似 WannaCry 的可作为关闭开关的硬编码域名。此外,蠕虫使用 DOUBLEPULSAR 恶意程序的方式允许其他攻击者劫持僵尸网络传递恶意程序。
安全
pigsrollaroundinthem(39396)
发表于2017年05月20日 22时05分 星期六
来自加油站版 XP
根据卡巴斯基实验室通过其 Twitter 账号公布的数据,几乎所有的 WannaCry 受害者运行的是 Windows 7。不同版本的 Windows 7 占到总感染系统的接近 98%, Windows XP 和 Windows 10 比例不到千分之一,其余主要是 Windows 2008 R2 Server。Windows 7 是市场占有率最高的桌面操作系统,但其感染率显然不成比例的高。已经停止支持的 XP 并没有以前认为的那么令人担忧,微软是在勒索软件开始广泛传播之后紧急为 XP 释出了免费修复补丁。
安全
pigsrollaroundinthem(39396)
发表于2017年05月19日 12时50分 星期五
来自 360 也提供了就看你用不用
勒索软件 WannaCry 的受害者中,可能有部分仍然使用已经停止支持的 Windows XP。现在,法国 Quarkslab 的研究员 Adrien Guinet 发布了一个软件,让被感染的 XP 用户无需支付 300 到 600 美元就能恢复被加密的文件。Guinet 称他的软件让他能提取实验室中被感染 XP 机器的解密密钥,但软件并没有经过广泛的测试,他并不保证软件能工作在各种版本的 XP 系统上。软件被称为 Wannakey,用户可通过 Github 下载。解密软件还需要被感染的 XP 电脑在感染之后没有重启。上周爆发的 WannaCry 勒索软件被认为不感染 WinXP。
长城
pigsrollaroundinthem(39396)
发表于2017年05月18日 15时30分 星期四
来自反正有理
勒索软件 WannaCry 上周末席卷全球,其中中国是重灾区。导致这一结果的一个原因被认为是中国对盗版软件的依赖,以及系统没有及时安装更新缺乏安全意识。中国官媒认为,美国应该对勒索软件攻击承担部分责任。中国日报称,解决网络罪犯的共同努力受阻于美国政府的行动,在网络攻击之后,没有确凿证据支持对中国科技公司如华为的禁令。WannaCry 利用了 Shadowbrokers 泄漏的 NSA 漏洞利用代码 EternalBlue,过去几天 EternalBlue 或它的中文名永恒之蓝在中国可能比 WannaCry 这个词更流行。在 WannaCry 流行之际,中国正准备实施受争议的网络安全法。
安全
pigsrollaroundinthem(39396)
发表于2017年05月18日 12时06分 星期四
来自不要盗版看火人
开源视频转码软件 HandBrake 本月初向用户发出警告,它的 Mac 版软件的镜像下载服务器遭到入侵,软件被植入后门,允许攻击者控制受害者的计算机。这起事件的一位不幸受害者是开发 Mac 和 iOS 软件的 Panic 公司(该公司一款大受好评的游戏是《Firewatch(看火人)》)联合创始人 Steven Frank。他恰好在 HandBrake 遭到入侵期间手动更新了软件,忽视了要求管理权限的警告,安装和运行了后门版本的 HandBrake,他的电脑立即被攻击者控制。攻击者窃取了他的 git 凭证,克隆了多个源码库。攻击者随后还发送电子邮件,勒索大量比特币以避免源代码泄漏。Steven 和同事商量之后决定拒绝支付勒索金。他们认为,攻击者可以利用源代码构建破解版的应用,但该公司的应用早就有破解版存在;攻击者可以构建恶意版的应用,这是不可避免的;竞争对手可以利用源代码获得一些竞争优势,但源代码可能含有恶意程序,未必对他们有利。Steven 称,他们没有发现用户信息泄漏的迹象,对可能含有恶意程序的破解版本发出警告,表示正与 FBI 和苹果紧密合作。
安全
pigsrollaroundinthem(39396)
发表于2017年05月17日 17时06分 星期三
来自不怕事大
泄漏 NSA 网络战工具的神秘黑客组织 Shadow Brokers 表示它计划出售新的入侵计算机、软件和手机的代码。Shadow Brokers 第一次拍卖 NSA 网络战工具时因为要价过高而无人问津,为了报复特朗普对叙利亚的轰炸而在今年四月直接披露了这些工具,直接催生了勒索软件 WannaCry 的全球攻击。目前还不清楚 Shadow Brokers 这一次会如何定价。该组织在一份声明中表示将从六月份开始出售黑客工具,允许任何付费用户访问科技世界的最大商业机密。它将提供能入侵浏览器、路由器和手机的软件、Windows 10 的 0day 信息以及从 SWIFT 全球金融通信系统窃取的数据,甚至还有俄罗斯、中国、伊朗、朝鲜核计划和导弹计划的数据。
安全
pigsrollaroundinthem(39396)
发表于2017年05月17日 12时55分 星期三
来自不如打劫银行
勒索软件 WannaCry 被发现与朝鲜的恶意程序共享代码,加上对索尼影业、韩国和孟加拉国等金融机构的成功攻击,朝鲜的网络战能力再次引起了关注。韩国安全官员称,朝鲜核心黑客队伍规模为 1700 人,另有超过 5000 人的支援团队。他们表示,朝鲜近年来实施攻击的技术、范围和频率都提高了。一些美国和中国的网络安全研究人员对朝鲜直接参与其中表示怀疑。他们表示,这款恶意软件的代码并未完全加密,意味着它很容易被识别并失效。此外勒索软件至今只收取到几万美元赎金。NewSky Security 的首席执行长 Scott Wu 称,假如这次网络攻击是朝鲜为了敛财铤而走险,就动机而言不会采取这种方式;对朝鲜来说,这是一种非常低劣的商业模式。
安全
pigsrollaroundinthem(39396)
发表于2017年05月16日 17时00分 星期二
来自等着后人模仿
勒索软件WannaCry 过去的一个周末引起了全球关注,它利用了 NSA 开发的网络战工具进行传播。安全研究人员发现,在 WannaCry 之前就有挖掘数字货币的僵尸网络使用了相同的 NSA 黑客工具。这次攻击不是为了安装勒索软件,而是安装挖矿软件 Adylkuzz。攻击者利用了神秘组织 Shadow Brokers 泄漏的 NSA 工具,包括代号为 EternalBlue 的漏洞利用和名为 DoublePulsar 的后门。这次攻击比 WannaCry 早大约两周时间,最早始于 4 月 24 日,最晚不迟于 5 月 2 日。攻击者首先是扫描 TCP 端口 445,寻找潜在的目标,如果成功被 EternalBlue 利用,机器将会感染 DoublePulsar 后门,然后下载和运行 Adylkuzz,挖掘名为门罗币(Monero)的匿名数字货币。
安全
pigsrollaroundinthem(39396)
发表于2017年05月16日 11时23分 星期二
来自朝鲜缺钱
Google、赛门铁克和卡巴斯基的安全研究人员报告,正在全球传播的勒索软件 WannaCry 可能与朝鲜黑客组织 Lazarus Group 有关联。Google 的 Neel Mehta 发现,2017 年 2 月的 WannaCry 与 2015 年发现的 Lazarus Group 后门程序 Contopee 共享代码。Lazarus Group 此前曾利用伪造的 SWIFT 交易从孟加拉国央行账号窃取了上亿美元。 后门程序 Contopee 被用于控制目标的计算机。研究人员发现,WannaCry 与 Contopee 有两个函数及其引用是相同的,此外还有其它多个相似之处。共享代码并不能确认 WannaCry 就是 Lazarus Group 开发的,还需要更多的证据和对勒索软件的早期版本进行更多的研究。
安全
pigsrollaroundinthem(39396)
发表于2017年05月15日 20时35分 星期一
来自中国的比特币转移不出去
勒索软件 WannaCry 上周末开始在全球扩散,其中中国是重灾区,根据实时地图,中国的感染数量无疑高居第一,一个原因可能是中国仍然有很多人使用早已停止支持的 Windows XP。 奇虎 360 称,29,372 个机构的计算机系统感染了勒索软件,其中包括政府、大学、ATM 机器和医院。奇虎 360 是一家受争议的安全公司。奇虎称勒索软件在高校快速扩散,超过四千所大学和研究机构受到影响。中石油承认,旗下许多加油站的电子支付系统在周末受到攻击的影响,但表示截至周日,80%的加油站运转正常。
安全
pigsrollaroundinthem(39396)
发表于2017年05月15日 19时03分 星期一
来自可以用作 VPN
一项新研究发现(PDF),25% 的物理服务器和 30% 的虚拟服务器都处于不活跃的休眠状态。这些服务器不活跃的时间至少有六个月。这些休眠服务器是一种安全风险,因为它们没有打上补丁和维护。研究人员利用 TSO Logic 收集的数据分析了 10 个数据中心的 1.6 万台服务器,发现 30% 的物理服务器休眠,样本增加后比例减少到 25%。虚拟服务器的休眠比例更高。北德州大学的信息系统教授 Leon Kappelman 认为需要知道服务器空闲的原因,因为有些服务器空闲是因为它们被用于备份。
安全
pigsrollaroundinthem(39396)
发表于2017年05月15日 17时05分 星期一
来自拥抱农企
FSF 之后,电子前哨基金会(EFF) 也对英特尔的 Management Engine 发出了安全警告。从 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 Management Engine(ME),它包含了一个或多个处理器核心,内存,系统时钟,内部总线,保留的受保护内存,有自己的操作系统和程序,能访问系统主内存和网络。ME 能完全访问和控制 PC,能启动和关闭电脑,读取打开的文件,检查所有运行的程序,跟踪按键和鼠标移动,甚至能捕捉屏幕截图。本月早些时候,英特尔释出补丁修复了 Intel Active Management Technology(AMT)的一个远程代码执行漏洞,AMT 是与 Management Engine 配套提供给企业级市场的,它允许系统管理员远程控制计算机。EFF 认为英特尔应该提供有关 Management Engine 工作的最低程度透明度,允许用户控制其计算机中的 Management Engine。如果你使用的是 Linux,你可以通过一个工具检查 AMT 有没有启用。
微软
pigsrollaroundinthem(39396)
发表于2017年05月15日 15时20分 星期一
来自导弹需要发射器
勒索软件 WannaCry 的全球扩散再次引起了一个疑问:如果政府机构在一个流行的计算机系统中发现了漏洞,它应不应该披露呢?漏洞在功防两方面都可用,攻可用于渗透到目标的计算机和网络,防可减少自家系统的漏洞。微软总裁兼首席法务官 Brad Smith 在官方博客就 WannaCry 的扩散抨击了美国政府的做法。Brad Smith 称,这个例子再次凸显了美国政府囤积漏洞是个大问题。通过 WikiLeaks 我们知道 CIA 囤积了漏洞;这次从 NSA 窃取的漏洞则影响到了全世界的客户。同样的事情反复发生着,政府手中的漏洞利用泄露到了公共领域,导致了广泛的破坏。这相当于美国军方手中的传统武器如战斧导弹失窃。他呼吁为保护网民的安全而采取紧急的集体行动。
安全
pigsrollaroundinthem(39396)
发表于2017年05月15日 11时00分 星期一
来自一本万利
安全研究人员报告,上周末在全世界扩散的勒索软件 WannaCry  发现了两种新变种。其中之一仍然包含了一个可作为关闭开关的硬编码域名(ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com),该域名已被注册以阻止勒索软件进一步扩散;另一个变种则不包含关闭开关,该变种尚未流行开来,它只能部分工作,因为勒索软件的存档损坏了。至今为止,WannaCry 共发现了三个变种,其中两个有硬编码域名。通过注册和上线域名虽然可以遏制恶意程序的扩散,但它仍然可以通过其他途径扩散,真正的解决方法仍然是系统需要尽可能快的打上补丁。根据勒索软件的比特币钱包地址,至今为止攻击者只获得了不到 3 万美元的勒索金。
安全
pigsrollaroundinthem(39396)
发表于2017年05月14日 15时50分 星期日
来自随机字符串
勒索软件 WannaCry 从周五开始在全球扩散,大量使用 Windows XP 的中国是重灾区。WannaCry 借用了NSA 的 SMB 漏洞利用代码进行传播。Malwaretech 的安全研究人员在分析恶意程序代码时发现它包含了一个当时没有注册的硬编码域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com),推测是恶意程序作者想要阻止代码被分析,当恶意程序成功查询该域名后,它会认为自己在沙盒环境内,因此会退出防止被进一步分析。该域名可以充当阻止传播的关闭开关,研究人员通过抢注和上线该域名设法阻止了勒索软件的进一步扩散。但安全研究人员很快发现了 WannaCry 有了新变种,不再包含硬编码域名。
安全
pigsrollaroundinthem(39396)
发表于2017年05月13日 19时27分 星期六
来自
名叫 WannaCry 的勒索软件正在全球扩散,这可能是勒索软件至今最大规模的一次爆发(实时感染地图)。神秘黑客组织 Shadowbrokers 于今年 4 月公开了一批 NSA 黑客工具,其中就包括名为 EternalBlue 的漏洞利用代码, WannaCry 利用了 EternalBlue 进行传播。微软在今年 3 月释出了补丁修复了该漏洞,但显然有大量系统并没有及时更新。微软官方发布紧急声明,向已经停止支持的 Windows XP 和 Windows Server 2003 释出漏洞修复补丁。感染 WannaCry 后,它会加密数据,勒索价值 300 美元的比特币,勒索说明甚至包括了中文。此次攻击影响巨大,受攻击的国家包括了中国,据社交网络的消息,中国公安网、中石油加油站以及多所高校都感染了该勒索软件。根据实时地图,中国、欧洲和美国是勒索软件三个主要的爆发地点。