adv

各位朋友大家好,欢迎您进入solidot新版网站,在使用过程中有任何问题或建议,请与很忙的管理员联系。
安全
pigsrollaroundinthem(39396)
发表于2018年03月20日 18时11分 星期二
来自社会工程
2016 年安全公司 Check Point 披露了被称为 Gooligan 的恶意程序劫持了超过一百万 Google 账号令牌。该恶意程序利用 Kingroot 工具 root 被感染的设备,窃取访问 Google Play、Gmail、Google Photos、Google Docs、G Suite 和 Google Drive 数据的认证令牌。现在,Google 的安全研究员 Elie Bursztein 发表了多篇博文介绍了该恶意程序的内部工作原理及其幕后的攻击者。研究人员在代码中发现了一个罕见的字符串 versea_adjust_read_redis,搜索该字符串找到了一篇讨论负载均衡配置的中文博文,结果发现该博文其实是完整的 Gooligan 后端服务配置文件。研究人员认为攻击者位于中国大陆,伪装成市场营销公司,实际上背后运作了多种骗局。Gooligan 使用的数据中心一个是美国的亚马逊 AWS,还有一个在中国,当该恶意程序遭到 Google 的打击之后,Gooligan 的基础设施迁回到了中国。
Android
pigsrollaroundinthem(39396)
发表于2018年03月20日 16时32分 星期二
来自都是肉鸡
Check Point 的研究人员报告了一个感染五百万 Android 设备的广告软件 RottenSys。研究人员称,有证据显示这种广告程序已渗透进供应链,手机在出售前就预装了该广告程序。RottenSys 利用了托管在 Github 上的 Android 开源组件如 Small 和 MarsDaemon,通过展示广告和静默下载获利。它使用了腾讯和百度的广告平台。研究人员发现,它的一个主要分销渠道商是杭州的天湃,而天湃的手机客户包括了三星、HTC、苹果、小米、中兴、酷派、联想和华为。RottenSys 广告程序主要影响华为和小米手机。Check Point 监视了 RottenSys 的 CC 服务器,发现它在十天之内弹出了 13,250,756 次广告,其中 548,822 次转换成点击,根据每次点击 20 美分和每千次展示 40 美元计算,RottenSys 期间共获利 11.5 万美元。研究人员建议弹出广告的用户查看手机中是否有”每日黄历“、”畅米桌面“和“系统 WIFI 服务”等应用(以及一个服务包 com.system.service.zdsgt),找到后删除。
安全
pigsrollaroundinthem(39396)
发表于2018年03月19日 16时15分 星期一
来自物理接触了什么强密码都没用
Firefox 向用户提供了一个可选的主密码系统保存浏览器记录的网站密码。但专家指出,Firefox 使用的加密方法不安全,很容易被暴力破解。AdBlock Plus 扩展作者 Wladimir Palant 表示他检查了源代码,发现加密功能使用 SHA-1 函数哈希一个由随机盐和主密码组成的字符串,SHA-1 函数只迭代一次,而行业标准是至少迭代一万次。如 LastPass 密码管理器就迭代了 10 万次。弱加密意味着攻击者很容易暴力破解出主密码,随后再破解出数据库里保存的网站密码。这个问题 Mozilla 应该早就知道了,早在九年前就有人在 bugzilla 报告了弱加密问题。
安全
pigsrollaroundinthem(39396)
发表于2018年03月19日 12时56分 星期一
来自留着自己用
年度黑客挑战赛 Pwn2Own 于上周举行,这次挑战赛中国的安全研究人员缺席了。过去几年,来自腾讯的 Keen Labs 和奇虎 360 的 360Vulcan 团队几乎统治了挑战赛,赢得了大部分比赛。但这一次他们因为监管要求被禁止参加。Pwn2Own 经理 Brian Gorenc 称,中国不再允许其研究人员参加。主办方趋势科技证实,今年没有中国安全研究人员出席。此事被认为是一个令人不安的趋势。
微软
pigsrollaroundinthem(39396)
发表于2018年03月18日 22时27分 星期日
来自太少
在 Spectre 和 Meltdown 芯片漏洞披露之后,整个 IT 行业被迫行动起来这两大问题,显然 IT 行业需要更多的眼睛才能避免另一场严重性相似的危机。微软现在向新 Spectre 和 Meltdown 漏洞的发现者提供了最高 25 万美元的赏金。该赏金项目针对的是预测执行漏洞,Spectre 和 Meltdown 的核心问题就是预测执行。要得到 25 万美元的最高赏金,递交 的 bug 必须属于预测执行攻击的新类别,必须是微软或行业合作伙伴都不知情。
安全
pigsrollaroundinthem(39396)
发表于2018年03月16日 14时57分 星期五
来自充分利用闲置资源
供应链攻击越来越常见。BT 应用 Mediaget 的更新服务被入侵,攻击者向其用户推送了植入后门的版本,在潜伏一段时间之后再推送恶意程序,试图利用 40 多万用户的计算机挖矿数字货币。更新中毒大约发生在 2 月 12 日到 2 月 19 日之间,攻击者直到 3 月 1 日才开始传播恶意程序,安装名叫 CoinMiner 的挖矿程序。微软在 3 月 6 日探测到了这次攻击,该公司研究人员报告它的安全程序 Windows Defender 屏蔽了 40 多万实例,感染主要发生在俄罗斯、土耳其和乌克兰。攻击者使用的恶意程序是 Dofoil 的一个变种,使用了合法的证书,微软怀疑其窃取自一家未披露名字的公司。免费软件 CCleaner 的更新服务器去年曾遭到入侵,攻击者释出了一个后门版本。
安全
pigsrollaroundinthem(39396)
发表于2018年03月15日 23时23分 星期四
来自报应
以色列和美国通过 Stuxnet/Olympic Games 破坏了伊朗铀浓缩离心机,现在疑似伊朗的攻击者对美国的盟友及其同地区竞争对手沙特发动了类似的网络攻击。调查人员相信攻击者的目标不只是毁灭沙特石化公司的数据,而是试图通过破坏安全系统诱发爆炸。实现物理破坏的网络攻击过去几年正日益常见,安全专家担心未来此类的事件会更多。攻击发生在去年八月,攻击者被认为拥有大量的时间和资源,因此很有可能得到政府的支持,攻击没有引发爆炸要感谢攻击代码中的一个错误。攻击者入侵了施耐德公司保护设备安全运转的工业控制器 Triconex,该型号的控制器被全世界 1.8 万家工厂使用,其中包括核处理设施。调查人员在工作站计算机中发现了一个设计破坏系统的文件,但代码中的一个 bug 无意中关闭了工厂的生产系统。调查人员不知道恶意程序是如何进入到计算机中,他们不相信是内贼做的。
安全
pigsrollaroundinthem(39396)
发表于2018年03月14日 19时30分 星期三
来自人人都是管理员
Samba 公布了安全公告,披露了一个允许用户修改管理员密码的漏洞,它建议客户尽可能快的打上补丁。漏洞与 LDAP 服务不正确的验证修改密码的授权有关,它允许任何验证过的用户修改任何用户的密码,包括管理者账号和服务账号(如 Domain controllers)。漏洞只影响 AD / LDAP 组件,但该组件是默认启用的,如果用户不使用 LDAP,那么该漏洞可通过关闭 LDAP 服务暂时堵上,用户仍然需要及时打补丁。
安全
pigsrollaroundinthem(39396)
发表于2018年03月13日 19时54分 星期二
来自党国需要
Recorded Future 公司跟踪了中国国家漏洞数据库(国家互联网应急中心的国家信息安全漏洞共享平台)的漏洞发表速度和漏洞发表日期,发现其漏洞发表流程可能受到了情报机构的影响。中国国家漏洞数据库比美国的同类机构披露漏洞的速度更快也更全面,原因是中国从多个来源收集漏洞信息,而美国则是供应商递交漏洞报告。但 Recorded Future 发现,部分高影响漏洞或已知利用的漏洞披露时间推迟了数天甚至数周,反而是美国漏洞数据库披露此类漏洞的速度更快。其中一个漏洞中国在八个月后才公开。研究人员认为可能是中国情报机构考虑将这些漏洞用于攻击。Recorded Future 还发现,中国修改了至少 267 个漏洞的原始发表日期,其中一个 Microsoft Office 漏洞后来被中国 APT 组织利用,另一个例子是一个能被用于国内监视的 Android 固件后门漏洞。研究人员称这种大规模纂改漏洞数据的做法破坏了对中国国家漏洞数据库的信任。
安全
pigsrollaroundinthem(39396)
发表于2018年03月11日 12时45分 星期日
来自警察有时间和技术
美国司法部和欧洲刑警组织去年 7 月中旬宣布关闭两大暗网毒品市场 AlphaBay 和 Hansa Market。其中 Hansa 的服务器早在 6 月 20 日就被荷兰警方扣押,但网站仍然继续运营了一个月。现在《连线》发表了一篇长文介绍了其中的内幕 荷兰警方对 Hansa 市场的调查始于他们从安全公司获得的情报,安全研究人员发现 Hansa 的一个开发用的服务器位于荷兰一家托管公司的数据中心内,Hansa 的网站使用了 Tor 隐藏服务,但它的开发服务器不知何原因暴露了,安全公司因此获得了服务器的 IP 地址。警方迅速联络了托管公司,要求访问数据中心,安装网络监视设备监视进出流量,他们随后在同一数据中心发现了一台 Tor 保护的服务器,在德国的一个数据中心发现了另外两台服务器。警方拷贝了服务器硬盘的数据。在德国的一台服务器上发现了两位创始人的 IRC 聊天日志,日志包含了两人的全名和其中一人的家庭住址。荷兰警方联络了德国警方要求逮捕和引渡两位嫌疑人。他们发现德国警方也在监视这两人,但不是暗网而是他们创办的盗版电子书网站 Lul.to。警方没有打草惊蛇,而是继续监视两位嫌疑人的通信,发现了他们使用的比特币交易服务,向比特币交易服务商发去法令获得了他们的交易记录定位了另外的托管商。6 月 20 日,德国警方突袭了两位嫌疑人的家,扣押了他们没有加密的计算机。两人在狱中交出了他们的账号,而荷兰警方则完全接管了 Hansa 的服务器。为了获得暗网买家卖家的信息,警方重写了网站代码,记录了每一个人的明文密码而不是哈希形式保存的密码,他们还修改了用 PGP 密钥自动加密信息的功能,在加密前悄悄记录了完整的信息明文,获得了买家发送给卖家的地址信息。他们还修改了自动移除产品照片元数据的功能,从而获得了元数据里的地理位置信息。为了获得已上传照片的元数据,警方还人为制造了一个服务器事故,删除了所有照片,迫使卖家重新上传包含元数据的产品照片。警方还诱骗用户下载了一个包含信标的文件,用户打开之后会向警方发送卖家的 IP 地址。警方共接管了 Hansa 27 天,获得了 42 万用户的数据,包括至少一万个人的家庭地址,扣押了约 1200 个比特币,今天的价值约 1200 万美元。
安全
pigsrollaroundinthem(39396)
发表于2018年03月10日 20时22分 星期六
来自后门被发现
思科释出了22 个安全公告,其中之一是允许攻击者完全接管系统的硬编码密码。该漏洞主要影响思科的 Prime Collaboration Provisioning (PCP)软件,只能被本地攻击者利用,但漏洞的危险等级被评为高危,原因是攻击者可以将同一网络中其它设备作为跳板,把其它被感染的设备作为代理将 SSH 连接到存在漏洞的 PCP 实例,从而实现远程的漏洞利用。思科建议 PCP 用户尽可能快的打上补丁,因为不存在其它的权宜之计。
安全
pigsrollaroundinthem(39396)
发表于2018年03月09日 20时53分 星期五
来自独占花园
盗用浏览者 CPU 的挖矿脚本之间也是有竞争的。浏览者的 CPU 被一个挖矿脚本利用(或盗用了),那么显然另一个脚本就没有多少空闲 CPU 资源可以利用了。研究人员发现了一个 PowerShell 攻击脚本,会在安装到用户系统后杀死多种挖矿程序的进程。在感染前,脚本会检查系统是 32 位还是 64 位,然后下载伪装成惠普驱动的程序 hpdriver.exe 或 hpw64,在成功安装之后,它会检查一个名单,杀死上面列出的挖矿程序进程。
安全
pigsrollaroundinthem(39396)
发表于2018年03月09日 16时59分 星期五
来自复活节到了
真正有心的黑客将致力于解决问题而不是搞破坏。梵蒂冈举办了黑客马拉松活动,这一活动从周四开始,得到了教皇方济各、多个梵蒂冈办公室和哈佛及 MIT 学生志愿者的全力支持。组织者强调,这一活动不涉及穿透防火墙或盗版,而是帮助解决教皇关注的紧迫问题,包括如何更好的为移民提供资源,宗教对话中的通迅,团结数字世界。
比特币
pigsrollaroundinthem(39396)
发表于2018年03月08日 20时50分 星期四
来自方便交易
Binance 交易所的用户周三报告,他们帐户里的数字货币未经同意就被自动出售,出售获得的比特币和以太币被用于购买另一种虚拟货币 Viacoin。结果 Viacoin 的币值因为这些异常交易而升值了近 100 倍。公司 CEO Changpeng Zhao 否认交易所遭到入侵,将问题归罪于钓鱼攻击,表示所有资金都安全,异常交易正被识别并将被撤回。目前已知的受害者的账号都启用了 Binance API ,或者API 是被其他访问他们账号的人启用的。Viacoin 开发者否认此事是他们所为,开发者建议用户不要数字货币保存在交易所里。
安全
pigsrollaroundinthem(39396)
发表于2018年03月07日 15时25分 星期三
来自补丁在手不忙
一种鲜为人知但广泛使用的电子邮件程序 Exim 曝出了一个严重的漏洞,编号为 CVE-2018-6789 的缓冲溢出漏洞允许攻击者在服务器上远程执行恶意代码,有多达 40 万服务器受到影响。漏洞位于 base64 解码函数中,影响 Exim v4.90.1 之前的版本。通过向运行 Exim 的服务器发送一个特制的输入,攻击者有可能利用该漏洞远程执行代码。Exim 开发者称,他们并不确定该漏洞的严重程度,他们相信漏洞利用非常困难。开发者通过发布 4.90.1 释出了修正,使用 Exim 的机构需要确保他们运行的是最新版本。
安全
pigsrollaroundinthem(39396)
发表于2018年03月05日 11时48分 星期一
来自从战斗中成长
一台 DNS 服务器遭到了拒绝服务攻击,对恶意流量的抓包分析发现,攻击源自于 IPv6 地址。相比 GitHub 上周遭遇的创纪录 1.35Tbps 攻击,此次攻击的规模并不大,而它被认为是首例 IPv6 拒绝服务攻击。但这次攻击值得注意,运行 IPv6 网络的用户现在需要确保他们拥有与保护 IPv4 相当的网络安全和缓解工具。
安全
pigsrollaroundinthem(39396)
发表于2018年03月02日 16时23分 星期五
来自云防
GitHub 官方博客披露,它在 2018 年 2 月 28 日遭到峰值攻击流量高达 1.35Tbps 的 DDoS 攻击,导致 GitHub.com 在 17:21 到 17:26 UTC 之间无法访问,17:26 到 17:30 UTC 出现间歇性无法访问。攻击者利用了基于 memcached 的超放大攻击,这种方法能将攻击者的流量放大最高 5.1 万倍,相当于一字节能放大到 51KB。GitHub 称,攻击来自一千多不同的自治系统。它使用 ChatOps 改变 BGP 广播的方法抵御了攻击。攻击者发起了两波攻击,第一波的峰值流量 1.35Tbps,第二波 400Gbps,它的服务在 17:30 UTC 之后完全恢复。
安全
pigsrollaroundinthem(39396)
发表于2018年02月28日 15时56分 星期三
来自收割 CPU
越来越多的网站使用挖矿脚本利用浏览者的 CPU 挖掘门罗币。现在,广告网络也参加了这种浏览器挖矿活动。360 的研究人员报告了一家广告网络公司,称该公司从 2017 年 12 月开始植入挖矿代码牟利。该公司为了躲避广告屏蔽从去年 9 月开始利用恶意程序使用的随机域名技术绕过广告屏蔽。被称为 DGA(Domain Generation Algorithm) 的技术通过生成近乎无限数量的独特域名让广告屏蔽工具如 adblock 难以拦截。去年 12 月,该公司被发现利用 DGA 来隐藏挖矿广告。研究人员称,由于 Coinhive 和门罗币的机制,他们无法查到该公司使用的门罗币钱包地址,无法确认去挖矿收益。
安全
pigsrollaroundinthem(39396)
发表于2018年02月27日 17时18分 星期二
来自动机归因
2 月 9 日韩国平昌冬奥会开开幕式期间主办方的计算机系统遭到了黑客攻击。攻击者使用的恶意程序被安全研究人员称为是 Olympic Destroyer。那么 Olympic Destroyer 开发者和攻击发起者究竟是谁?思科的 Talos Labs 认为其使用的多种技术与朝鲜、中国和俄罗斯的黑客团队有关联,而美国情报官员则认为攻击发起者是俄罗斯的军方黑客。Talos Labs 发现,Olympic Destroyer 的部分代码与朝鲜黑客团队 Lazarus Group 有关联,而另一些代码则与中国黑客团队 APT3 和 APT10 有关联,还有一些代码与俄罗斯有关。美国情报官员给出的信息声称,韩国的路由器在奥运会举办前被入侵,入侵者是俄罗斯的对外情报机构。被入侵的路由器可被用于重路由网络流量,监视流量或发动中间人攻击。
安全
pigsrollaroundinthem(39396)
发表于2018年02月26日 09时50分 星期一
来自报复
华盛顿邮报报道,美国情报官员指控俄罗斯军方黑客伪装成朝鲜黑客在 2 月 9 日韩国平昌冬奥会开幕式期间入侵了计算机系统。冬奥会主办方承认遭到了网络攻击,但拒绝证实俄罗斯是否是攻击发起方。美国没有披露更多细节。此次网络攻击破坏了冬奥会的网站、广播系统和会场系统,许多出席者无法打印开幕式的电子票,导致了会场出现了大量空座。俄罗斯因为兴奋剂丑闻被禁止参加冬奥会,但奥委会最终允许俄罗斯的运动员以个人身份参赛。