solidot新版网站常见问题,请点击这里查看。
安全
WinterIsComing(31822)
发表于2022年03月09日 18时44分 星期三
来自时间的地图
研究人员警告,网络犯罪分子正在利用一种新方法将 DDoS 攻击流量放大 40 亿倍。DDoS 放大攻击非常受网络罪犯的欢迎,它可以大幅减少发动攻击所需的计算资源。最早的放大攻击是利用错误配置的 DNS 服务器,能将攻击流量放大 54 倍,较新的放大攻击方法包括利用 Network Time Protocol 服务器(放大约 556 倍)、Plex 媒体服务器( 5 倍)、Microsoft RDP (86 倍)、Connectionless Lightweight Directory Access Protocol ( 50 倍)等。此前最大的 DDoS 放大攻击是 memcached,能将流量放大最高 5.1 万倍。最新的攻击利用的是错误配置的 Mitel,它能放大 40 亿倍的原因之一是大幅延长攻击时间。一个欺骗性的数据包可以诱发持续时间长达 14 小时的 DDoS 攻击,数据包放大率达到了创纪录的 4,294,967,296:1。
安全
WinterIsComing(31822)
发表于2022年03月09日 15时44分 星期三
来自探寻者
360 集团创始人周鸿祎表示,在万物互联时代,中小微企业是供应链攻击的“跳板”,极有可能成为国家数字安全的缺口。周鸿祎说,中小微企业是国家经济的“毛细血管”,既是税收和就业的“半壁江山”,也是产业供应链体系的重要一环。然而,中小微企业数字安全基础薄弱、重视不足,如果在数字化的同时没有补足安全短板,黑客组织就能以中小微企业为跳板,针对大型企业、政府和关键信息基础设施发起供应链攻击,造成重大安全事件。温州一家超市今年年初就受到勒索病毒攻击——黑客向其索要 0.042 枚比特币(总价值约 12000 元)作为赎金,且支付赎金后黑客并未恢复超市数据,严重影响正常运转。
安全
WinterIsComing(31822)
发表于2022年03月08日 23时33分 星期二
来自白鸟异传
Web 托管公司 IONOS 的 Max Kellermann 在多次收到客户投诉日志服务器上的日志文件损坏之后展开了调查,发现 Linux 内核存在一个高危漏洞,与数年前曝出的 DirtyCow 提权漏洞类似,但更容易利用。他将该漏洞命名为 dirty pipe。dirty pipe 存在于 Linux 5.8 之后的版本中,是未初始化变量导致的,它允许任何人向任意文件写入数据,即使文件是 O_RDONLY 或不可改变。它能被用于向任意进程注入代码。Linux 5.16.11、5.15.25 和 5.10.102 修复了该漏洞。
安全
WinterIsComing(31822)
发表于2022年03月08日 18时21分 星期二
来自挽救计划
Google 官方博客介绍了乌克兰相关的网络战。Google 称它的安全团队 Threat Analysis Group (TAG)过去十二个月向乌克兰用户发出了数百次政府支持黑客攻击警告,通知用户他们成为政府黑客的攻击目标。过去两周 TAG 监测到了已知黑客组织发起的钓鱼和间谍活动。与俄罗斯情报总局有关联的黑客组织 FancyBear/APT28 对乌克兰媒体 ukr.net 的用户发起了钓鱼攻击;白俄黑客组织 Ghostwriter/UNC1151 对波兰乌克兰的政府和军方组织发起了钓鱼攻击;Mustang Panda/Temp.Hex 对欧洲组织发起钓鱼攻击,攻击者发送的附件使用了 Situation at the EU borders with Ukraine.zip 之类的名字;乌克兰政府网站和 Liveuamap 等遭到 DDoS 攻击。
安全
WinterIsComing(31822)
发表于2022年03月07日 20时46分 星期一
来自奥泊城的珍宝
英国皇家霍洛威大学和意大利卡利亚里大学的研究人员发现可利用亚马逊智能音箱 Amazon Echo 自己的扬声器发出语音命令,迫使其打开门,拨打电话和进行未经授权的购买,以及控制其它智能电器。研究人员发现,在唤醒词之后紧跟着一个可执行的命令,Amazon Echo 就会执行它,执行敏感命令需要口头确认,但只要在发出命令 6 秒后加上 yes 就能绕过。这一攻击被研究人员称为 Alexa vs. Alexa(或 AvA)。研究报告发表在预印本网站 arxiv 上。亚马逊已经释出了补丁修复了漏洞。
安全
WinterIsComing(31822)
发表于2022年03月07日 13时27分 星期一
来自电波骑士
微软 Windows 操作系统自带的安全软件 Windows Defender 对绝大部分人而言在安全保障方面已经足够强了。安全软件不存在完美的解决方案,无论安装了免费的还是付费的杀毒软件,用户的计算机仍然会感染病毒。人是安全防御中最薄弱的一环,无论多安全多昂贵的系统人这一关突破了那么整个系统也就畅通无阻了。Windows Defender 虽然简单,但只要加固一下它能比得上任何安全软件。加固的方法包括创建本地组策略设置、启用微软的加强版实时保护 Microsoft Advanced Protection Service (MAPS)等等。
安全
WinterIsComing(31822)
发表于2022年03月06日 19时51分 星期日
来自世界主宰
Mozilla 释出紧急更新 Firefox 97.0.2,修复了两个正被利用的 0day 漏洞,Firefox 用户应尽可能快的升级。其中一个漏洞是 CVE-2022-26485,为 XSLT 参数处理中的释放后使用(Use-after-free)漏洞,正被攻击者用于远程代码执行;第二个漏洞是 CVE-2022-26486,为 WebGPU IPC 框架中的释放后使用漏洞,被用于沙盒逃逸。释放后使用漏洞是指一个应用程序本应释出其占用的内存供其它应用程序使用,但因为 bug 导致该应用程序仍然继续使用或占用内存。
安全
WinterIsComing(31822)
发表于2022年03月04日 15时45分 星期五
来自泰山和蚁人
HardenedVault 写道 "美国政府发出最高级呼吁人们注意固件供应链中的主要弱点,并警告说,操作系统下方的这一层会带来毁灭性风险,美国国土安全部(DHS)和商务部领导层发布的一份新的联合草案报告称,固件为恶意攻击者颠覆现代计算的核心提供了一个庞大且不断扩大的攻击面固件层保护经常被忽视,但它是设备中的单点故障,是攻击者可以大规模破坏设备的最隐蔽的方法之一。“攻击者可以破坏操作系统和虚拟机管理程序的可见性,绕过大多数安全系统,于攻击时在网络和设备中长时间隐藏和持久化,并造成不可挽回的损害。”这两个机构在对美国部署的关键IT基础设施的供应链进行了为期一年的评估后表示固件也可以成为一个有利可图的目标,攻击成本相对较低。在过去几年中,黑客越来越多地针对固件发起毁灭性攻击。这份长达87页的报告(PDF)是为支持拜登关于保护美国供应链的行政命令而发布的,该报告警告说,固件在计算堆栈中的特权地位为隐形攻击者提供了主要优势。尽管它在电子设备中发挥着至关重要的作用,但这些机构坚持认为,固件安全“传统上并不是制造商或用户的高度优先事项,并不总是得到很好的保护。”在评估过程中,这些机构发现网卡,Wi-Fi适配器和USB集线器等项目上的固件通常没有使用公钥或私钥正确签名。平台级系统安全是一个异常复杂的体系,既要保证每个层级在设计和实现过程中考虑安全和其他因素(比如性能,兼容性)的平衡,又必须尽可能的探索出所有的攻击路径并且给出最极端场景下的威胁模型,在这场与复杂性长期博弈涉足多个技术层面和产业生态层面,赛博堡垒的白皮书中对技术层面有一些基本描述,要完整的防护一个单一计算节点,需要从Linux主机加固,Linux内核安全防护固件安全,芯片安全特性开箱,可信计算/机密计算等多方面组合才能完成,即使在此基础上,把高级威胁防护的计算节点通过分布式邦联化/去中心化的方式扩展到整个网络还需要密码学的支撑。只有在以上前提满足的情况下,才能应对来自操作系统以下层级的已知和未知的威胁。"
安全
WinterIsComing(31822)
发表于2022年03月03日 15时26分 星期四
来自精灵王之女
去年五月曝光的一种恶意应用被发现重新进入了 Google Play 官方应用市场。被称为 TeaBot 和 Anatsa 的恶意应用是一种远程访问木马,允许攻击者远程浏览被感染设备的屏幕,与设备执行操作,它主要设计窃取数十种银行类应用的敏感数据。安全公司 Cleafy 本周报告,TeaBot 重返 Google Play 市场,通过二维码扫描应用 QR Code & Barcode Scanner 传播,在下架前恶意应用的下载量超过了一万此。研究人员称,新版本的 TeaBot 增加了对保险、加密钱包和加密货币交易所等应用的攻击,它针对的应用数量从此前的 60 款增加到了 400 多款,它支持的语言加入了俄语、斯洛伐克语和汉语。
安全
WinterIsComing(31822)
发表于2022年03月01日 22时57分 星期二
来自终极游戏Ⅰ:使命召唤
HardenedVault 写道 "Alexander Popov 于2021年发表了一篇文章 Four Bytes of Power: Exploiting CVE-2021-26708 在 Linux 内核中使用四字节覆盖漏洞来执行权限提升,这篇文章详细的分析和记录了提升root权限的漏洞利用全过程,根据公开信息可以看出,如果创建了多个特权进程,并且同时释放了cred指针(或者特权进程的创建时间比释放的cred指针晚一点),那么其中一个进程的cred可以位于释放的地址,这使得权限提升成为可能,sshd 则是可以满足需要的特权进程,赛博堡垒借助sshd简化了整个漏洞利用的过程,可以轻松绕过现有Linux内核主线的防御机制,报告中也谈到了防御特性的优先级问题,虽然已经2022年,但Linux主线内核在数据污染攻击的面前依然非常脆弱,PaX/GRsecurity和VED都可以轻松防护此类攻击并且让攻击者难以绕过防护机制,根据赛博堡垒客户的反馈,平台安全级别的诸多威胁中,大多数带有花哨名称安全产品(例如:EDR/ XDR,HIDS等)的可绕过级别只能保持"L1:I can win",安全产品容易被攻陷对于生产环境来说并不是一件值得骄傲的事情,不是吗?"
安全
WinterIsComing(31822)
发表于2022年03月01日 22时56分 星期二
来自父子双雄
赛门铁克研究人员发表报告《Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks》,他们发现了一种复杂先进的后门工具 Daxin,至少有十年历史。Daxin 设计作为一种 Windows 内核驱动,实现了先进的通信功能,具有高度的保密性,在感染计算机后它允许攻击者读写任意文件。它能监视特定模式的传入 TCP 流量,当特定模式检测到后,Daxin 能切断合法的接收方接管连接。除了劫持合法 TCP/IP 连接外,Daxin 能在被感染计算机上部署额外的恶意组件,能在多台被感染的计算机上创建加密通信通道。它最早发现的样本创建时间是 2013 年,已具有了最近变种的所有先进功能,这意味着该工具在 2013 年已经发展成熟。
安全
wanwan(42055)
发表于2022年03月01日 18时23分 星期二
来自诺比的微型反重力装置
在俄罗斯入侵乌克兰之后,Conti 勒索软件组织的领导人在其官网上发布了一条激进的亲俄信息,之后一名据信来自乌克兰的成员泄露了内部聊天记录。亲俄声明似乎以错误的方式影响了 Conti 的乌克兰成员,其中一人侵入了内部的 Jabber/XMPP 服务器。多名记者和安全研究人员收到了以电子邮件发来的内部日志。Recorded Future 的威胁情报分析师 Dmitry Smilyanets 过去曾与 Conti 组织有过交流,他证实了泄露的对话的真实性。泄露的数据包含 339 个 JSON 文件,每个文件包含一整天的日志。2021 年 1 月 29 日至 2022 年 2 月 27 日的对话已被泄露,可在此处在线阅读,这些信息由安全公司 IntelligenceX 提供。
安全
WinterIsComing(31822)
发表于2022年03月01日 13时49分 星期二
来自泰山归林
备份不再能有效阻止勒索软件攻击,因为勒索软件组织日益采用两种甚至三种以上的勒索手段。对 IT 安全决策者的调查发现,83% 的成功勒索攻击使用了替代勒索方法:使用窃取的数据勒索客户(38%),向暗网泄露数据(35%),通知客户他们的数据被入侵了(32%),只有 17% 的攻击只要求赎金以换取解密密钥。备份能最小化数据被加密带来的影响,但无法阻止勒索软件组织使用窃取的数据进行二次甚至三次勒索。但问题是即使支付了赎金,遭到窃取的数据仍然可能会泄露。调查发现 18% 的受害者在支付赎金之后数据仍然泄露,这一比例甚至高于拒绝支付赎金的受害者(16%)。
安全
WinterIsComing(31822)
发表于2022年03月01日 13时18分 星期二
来自泰山和蚁人
英伟达上周遭到网络攻击,攻击者据报道为勒索软件组织 LAPSUS$。该组织声称它潜入英伟达网络长达一周,窃取了 1TB 的数据。LAPSUS$ 称在此期间它获得了英伟达许多系统的管理级别访问权限,它获得的数据包括驱动程序、电路图和固件。英伟达据报道对该组织发起了反击,用勒索软件感染了攻击者的系统,加密了被盗数据。但 LAPSUS$ 表示它有备份,开始出售窃取的数据,其中包括 GA102 / GA104 GPU 的 LHR V2 bypass(LHR 代表 lite hash rate,是英伟达降低显卡挖矿能力的技术)。LAPSUS$ 要求英伟达支付赎金否则将公开数据,首批公开的数据是英伟达所有员工的哈希密码,它要求该公司移除对 GeForce RTX 30 系列显卡的挖矿限制
安全
WinterIsComing(31822)
发表于2022年03月01日 11时37分 星期二
来自风之影
在零部件供应商遭到网络攻击,管理零部件供应的系统受到影响之后,丰田日本国内工厂(14 家工厂 28 条生产线)周二全部停工。这是丰田第一次因为供应商的系统故障而让所有工厂停工。日本国内所有工厂停工一天会影响约 1.3 万辆汽车的生产,相当于丰田日本国内月产能的 4~5%。受到网络攻击的是丰田的一家主要供应商——生产树脂零部件的小岛冲压工业。关于网络攻击的发起方、病毒种类及受害情况,小岛冲压工业表示“正在调查”。据相关人员表示,目前“丰田的负责人及网络安全专家已进入小岛冲压工业公司内部,正在调查原因和恢复方法”。
安全
WinterIsComing(31822)
发表于2022年02月26日 14时49分 星期六
来自异形:痛苦之河
美国市值最高的芯片公司英伟达据报道遭到网络攻击, 电邮系统和开发工具下线,其它业务受影响情况未知。英伟达发言人证实了网络攻击但没有提供更多细节,表示正展开调查。攻击者的身份,有没有从服务器上窃取数据,造成的破坏规模有多大等等目前都未知。因为最近的俄罗斯乌克兰冲突,有报道将此次攻击与俄罗斯联系起来。报道称,为了防止入侵扩大,英伟达不得不将多个内部系统下线。
安全
WinterIsComing(31822)
发表于2022年02月25日 14时55分 星期五
来自灵魂骑士
俄罗斯精英黑客使用一种以前未见的新僵尸网络恶意程序感染 WatchGuard 制造的网络设备窃取机密。被称为 Cyclops Blink 的恶意程序感染了百分之一的 WatchGuard 网络防火墙。Cyclops Blink 存在了大约三年时间,用于取代 2018 年发现的 VPNFilter 恶意程序。VPNFilter 被认为来自 APT 28 (aka Fancy Bear),在全世界感染了 50 万路由器,它的一个攻击模块甚至能尝试将 HTTPS 连接降级为明文 HTTP 连接。在 VPNFilter 曝光之后,黑客开发了新的恶意程序。Cyclops Blink 被发现能修改 WatchGuard 设备的固件,篡改用于验证固件镜像合法的 HMAC 值,让包含恶意功能的固件能合法运行。修改后的固件包含了一个硬编码的 RSA 公钥用于 C2 通信。
安全
WinterIsComing(31822)
发表于2022年02月24日 14时26分 星期四
来自洋槐树下
北京奇安盘古实验室发布报告(PDF),披露了 NSA 的黑客行动。报告称,2013 年盘古实验室研究员在针对某国内要害部门主机的调查过程中,提取了一个经过复杂加密的 Linux 平台后门,其使用的基于 SYN 包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见。在不能完全解密的情况下,进一步发现这个后门程序需要与主机绑定的校验码才能正常运行,随后研究人员又破解了校验码,并成功运行了这个后门程序,从部分行为功能上断定这是一个顶级 APT 后门程序,但是进一步调查需要攻击者的非对称加密私钥才能激活远控功能,至此研究人员的调查受阻。基于样本中最常见的字符串“Bvp”和加密算法中使用数值 0x47,命名为“Bvp47”。2016 年 The Shadow Brokers 宣称成功黑进了“方程式组织”,并于 2016 年和 2017 年先后公布了大量黑客工具和数据。盘古实验室成员从其公布的文件中,发现了一组疑似包含私钥的文件,恰好正是唯一可以激活 Bvp47 顶级后门的非对称加密私钥,可直接远程激活并控制 Bvp47 顶级后门。可以断定,Bvp47 是属于“方程式组织”的黑客工具。方程式组织隶属于 NSA,即 Bvp47 是 NSA 的顶级后门。盘古实验室为多起 Bvp47 同源样本事件起了一个代号“电幕行动”。电幕(Telescreen)是英国作家乔治·奥威尔在小说《1984》中想象的一个设备,可以用来远程监控部署了电幕的人或组织,“思想警察”可以任意监视任意电幕的信息和行为。
安全
WinterIsComing(31822)
发表于2022年02月20日 21时02分 星期日
来自人性分解
Google Project Zero 的安全研究人员称,Linux 开发者修复安全漏洞的速度最快,比 Google 快多了。研究人员调查了 2019 年 1 月到 12 月之间所报告 bug 的修复时间。开源程序员修复 Linux 问题的平均时间为 25 天,而 Linux 开发者修复安全漏洞的时间从 2019 年的 32 天减少到了 2021 年的 15 天。相比之下,苹果需要 69 天,Google 需要 44 天,Mozilla 46 天,微软 83 天,甲骨文 109 天,开源组织和企业如 Apache、Canonical、Github 和 Kubernetes 所需时间为 44 天。总体上修复安全漏洞的平均时间为 52 天,比三年前的 80 天是巨大进步。
安全
1
WinterIsComing(31822)
发表于2022年02月19日 19时51分 星期六
来自地下航线
沙特女权活动人士 Loujain al-Hathloul 帮助领导发起了结束对女司机禁令的运动,她以危害国家安全的理由被沙特关押了三年,2021 年 2 月释放,被禁止离境。在释放后不久她收到了 Google 的警告,称其 Gmail 邮箱成为国家支持黑客的渗透目标。她担心自己的 iPhone 也被入侵了,因此联络了加拿大多伦多大学的公民实验室(Citizen Lab)请研究人员帮忙寻找证据。在六个月的挖掘之后,实验室的研究员 Bill Marczak 获得了惊人的发现:植入到手机的间谍软件的 bug 导致它留下了恶意图像文件的副本,间谍软件没有在窃取目标信息之后删除文件。这一发现是苹果去年 11 月对以色列公司 NSO 提起诉讼的基础。NSO 的间谍软件不需要用户点击,此类零点击恶意程序通常会在感染目标之后删除自己,因此研究人员找不到恶意程序样本进行调查。但 Marczak 和他的团队发现间谍软件出现了故障,留下了可以研究的样本。研究人员发现间谍软件通过不可见的短信向目标发送图像文件,图像文件诱骗 iPhone 允许它访问完整的内存,绕过安全防御,允许它安装间谍软件窃取用户信息。除了 NSO 外,安全研究人员还发现第二家以色列公司 QuaDream 也利用了相同 iPhone 漏洞。