solidot新版网站常见问题,请点击这里查看。
adv
安全
WinterIsComing(31822)
发表于2020年08月05日 17时51分 星期三
来自
在未能勒索到赎金之后,勒索软件 Maze 背后的犯罪组织公开了 50.2 GB 的 LG 内部数据和 25.8 GB 的施乐内部数据。Maze 犯罪组织入侵企业网络后,首先窃取数据然后加密数据,最后索要赎金解密文件。如果受害者拒绝支付赎金解密文件而是使用备份恢复数据,那么 Maze 犯罪组织者将会威胁公开敏感数据,展开第二轮的勒索尝试。如果受害者仍然拒绝,那么它将会公开数据。LG 和施乐显然拒绝了两次勒索企图。犯罪组织公布的文件包含了 LG 多款产品固件的源代码,公开的施乐数据看起来与其客户服务业务相关。
安全
WinterIsComing(31822)
发表于2020年08月05日 14时45分 星期三
来自
伊朗黑客团体 Oilrig 成为已知首个在攻击中加入 DNS-over-HTTPS (DoH) 协议的组织。卡巴斯基的分析师发现从今年 5 月起该组织开始使用名为 DNSExfiltrator 的工具。DNSExfiltrator 是一个开源应用,托管在 GitHub 上。它能通过在非标准协议中传送和隐藏数据创建秘密的通信渠道。如名字所表明的,它能通过 DNS 请求来传输数据,能使用新的 DoH 协议。使用 DoH 的理由是:其一,它是一种新的协议,不是所有安全产品能监视它;其二,它默认加密,而 DNS 则是明文请求。
安全
WinterIsComing(31822)
发表于2020年08月04日 21时38分 星期二
来自
安全公司 McAfee 称,NetWalker 勒索软件背后的犯罪组织自今年三月以来勒索到了超过 2500 万美元。这一金额接近已知最成功的勒索软件犯罪组织,包括 Ryuk、Dharma 和 REvil (Sodinokibi)。因为记录并不完整,安全专家认为实际金额可能更高。NetWalker 最早是在 2019 年 8 月出现的,当时的名字叫 Mailto 后更名为 NetWalker。其背后的犯罪组织运营了一个勒索软件即服务的入口,允许其它黑客组织构建定制版本的勒索软件。至今为止,NetWalker 最知名的受害者是密歇根州立大学。
安全
WinterIsComing(31822)
发表于2020年08月04日 13时01分 星期二
来自
黑莓公司在 Black Hat USA 2020 大会上开源了其逆向工程 PE 文件的工具 PE Tree,源代码采用许可证 Apache License 2.0 发布在 GitHub 上。Portable Executable (PE) 文件常被恶意程序作者隐藏恶意负荷。PE Tree 基于 Python,能用于逆向工程和分析 PE 文件的内部结构。黑莓称,逆向工程是一个极端的耗费时间和劳动密集过程,需要数小时的反汇编,有时候还需要重建软件程序。
安全
WinterIsComing(31822)
发表于2020年08月03日 22时58分 星期一
来自
欧盟因以前对欧洲公民和企业的黑客攻击行动而首次制裁中国、俄罗斯和朝鲜籍的公民和企业。中国的 GAO Qiang 和 ZHANG Shilong 因一系列入侵云计算服务商的黑客攻击 Operation Cloud Hopper;俄罗斯的 Alexey Valeryevich MININ、Aleksei Sergeyvich MORENETS、Evgenii Mikhaylovich SEREBRIAKOV 和 Oleg Mikhaylovich SOTNIKOV 因攻击乌克兰的 NotPetya 勒索软件,以及试图攻击禁止化学武器组织;朝鲜的 Chosun Expo 因 WannaCry 勒索软件。
Twitter
WinterIsComing(31822)
发表于2020年08月03日 21时52分 星期一
来自
对 17 岁 Graham Ivan Clark 而言,恶作剧从年少时就开始了。10 岁时,为了逃避他所谓的“不快乐的家庭生活”他开始玩《我的世界》。他成为了一名脾气暴躁的骗子。15 岁时他加入了一个黑客论坛。16 岁时进入了比特币的世界,偷取了价值 85.6 万美元的数字货币。他的黑客生涯于上周五结束,他在公寓里遭到逮捕,面临 30 项重罪指控,被认为是上个月 Twitter 黑客攻击的主谋。Clark 的父母在他 7 岁时离婚,他与母亲生活在佛罗里达的坦帕市。2016 年他开设了一个 YouTube 频道,靠玩暴力版《我的世界》积累了数千粉丝,但他更为知名是在游戏中欺骗,比如交易虚拟物品别人给钱了他不兑现,交易用户名付钱之后他就将对方拉黑。他后来开始玩《堡垒之夜》玩比特币,使用化名 Graham$ 加入了黑客论坛 OGUsers。但被论坛管理员屏蔽,因为别人打钱了他却没有发送比特币。他学会利用名为 SIM swapping 的攻击方法控制比特币用户的手机窃取比特币。今年 4 月特勤局扣押了他的 100 比特币,因为他未成年而没有逮捕他。这一事件震撼了他,他一度收敛但很快故伎重施,将目标对准了 Twitter。他说服了一名 Twitter 员工相信他是 IT 部门的同事,让该员工提供凭证登陆客户服务入口。他从 OGUsers 上找到同谋试图出售其他人感兴趣的 Twitter 用户名,并再次使用他过去的欺骗方法,也就是付钱之后并不真正兑现。
安全
WinterIsComing(31822)
发表于2020年08月03日 20时56分 星期一
来自
在一部扣押了五年的加密黑莓手机遭到破解之后,澳大利亚和迪拜警方上个月发起了一系列突袭行动,逮捕了五名毒贩集团成员。澳大利亚已经向迪拜递交了引渡请求。澳大利亚逮捕了 36 岁的 Frank Farrugia 和 34 岁的 Deniz Kanmez,57 岁的 Mario Lang;迪拜逮捕了 2015 年后离开澳大利亚的毒枭 Benjamin Neil Pitt 和 Matthew Battah。Battah 的黑莓手机在五年前被扣押,今年四月被警方破解,其中包含的 3000 多条信息提供了毒品调查的关键证据。这是第二部被破解的黑莓手机,第一部是加拿大当局在 2017 年破解的,有四人因此遭到逮捕。
Twitter
WinterIsComing(31822)
发表于2020年08月01日 22时49分 星期六
来自
美国司法部宣布逮捕了三名在 7 月 15 日对 Twitter 发动攻击的青少年,公布了两个人的名字,还有一个因年龄不到 18 岁而没有公布身份,但其身份很快被媒体挖了出来:Mason Sheppard,aka Chaewon,19 岁;Nima Fazeli,aka Rolex,22 岁;以及 Graham Ivan Clark,aka Kirk,17 岁。美司法部的新闻稿称,认为攻击 Twitter 可以匿名进行并且没有后果是不可能的。根据法庭文件,对 Twitter 的攻击始于 5 月 3 日,17 岁的 Kirk 设法进入了 Twitter 的网络。他没有立即发动攻击,而可能是收集了 Twitter 的网络情报,了解到哪些人能访问账号管理工具。掌握这些情报之后他与其同伙才发动了引发瞩目的后续攻击。Kirk 被认为是这次攻击的主谋,他面临多达 30 项重罪指控。
Twitter
WinterIsComing(31822)
发表于2020年07月31日 13时41分 星期五
来自
Twitter 官方博客披露了黑客攻击的更多细节:7 月 15 日,攻击者对少数 Twitter 员工发动手机钓鱼攻击,成功的攻击不仅让攻击者能访问公司内网,还能利用特定员工凭证访问内部支持工具。在利用凭证访问内部系统之后攻击者获得了 Twitter 内部流程的情报(比如谁能访问账号管理工具)。然后利用这些情报攻击者针对了能访问账号管理工具的员工,使用这些员工的凭证攻击者劫持了 130 个账号,使用其中 45 个账号发帖,访问了 36 个账号的 DM 私信,下载了 7 个账号的数据。Twitter 表示它仍然在继续进行调查,与执法机构合作识别攻击者的身份。
安全
WinterIsComing(31822)
发表于2020年07月30日 21时50分 星期四
来自
GRUB2 引导程序曝出名为“BootHole”的漏洞,允许恶意攻击者完全绕过 UEFI Secure Boot。UEFI Secure Boot 是一个验证机制,确保 UEFI 固件运行的代码是可信的,防止在引导阶段就加载和运行恶意代码。GRUB2 引导程序代码中发现了一个严重 bug,它破坏了信任链,通过利用该 bug 将能突破安全环境,在早期引导阶段加载未签名代码。该漏洞由 Eclypsium 的研究人员发现,被命名为 BootHole。修复该问题不能只靠新的 GRUB2 安全程序,而是需要更新 UEFI revocation list 文件,一旦完成更新,之前的 GRUB2 程序将无法再使用。
安全
WinterIsComing(31822)
发表于2020年07月29日 16时56分 星期三
来自
安全公司 Intezer Labs 报告,一种新的恶意程序 Doki 会使用 Dogecoin API 寻找 C&C 服务器地址。研究人员说,Doki 由黑客组织 Ngrok 控制,它使用硬编码的钱包地址去查询 Dogecoin 区块资源管理器 dogechain.info API,对返回的值执行 SHA256,提取前 12 个字符作为子域名使用,将子域名结合 ddns.net 获得完整地址。Doki 是在今年 1 月左右出现的,半年之后大部分安全软件仍然未能将其检测出来。
安全
WinterIsComing(31822)
发表于2020年07月29日 16时02分 星期三
来自
因配置错误,数十家企业的源代码遭到泄露,其中包括了微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科、GE Appliances、任天堂、Roblox、迪士尼和江森自控等等。完整名单发布在 Pastebin 上。逆向工程师 Tillie Kottmann 收集了这些泄露的代码库,并努力确保公开代码不会对相关公司造成直接伤害,比如在发现金融公司的代码库里有硬编码的凭证之后就会迅速移除。到目前为止,只有少数公司发出了 DMCA 删除通知,还有许多公司可能不知情,或者不在意,比如一家公司的开发者只想知道 Kottmann 是如何获得代码的,他们没有要求移除,而是说“玩得开心”。其中任天堂的游戏代码库引发了最多的关注
安全
WinterIsComing(31822)
发表于2020年07月28日 20时23分 星期二
来自
智能手表和可穿戴设备制造商 Garmin 承认它在 7 月 23 日遭到了勒索软件攻击,部分系统被加密,导致多个在线服务受到影响,它强调“目前没有任何迹象显示任何用户数据(包括 Garmin Pay 的付款资料)被非法访问,丢失或被盗用”,而“中国大陆服务器并未受到此次事件的影响”。Sky News 援引消息来源报道,Garmin 支付了赎金获得了解密密钥解密其服务。Garmin 受到的是勒索软件 WastedLocker 的攻击,它被认为是俄罗斯黑客组织 Evil Corp 开发的,该组织去年 12 月被美国财政部纳入了制裁清单,禁止任何美国人与该犯罪组织有任何交易。Garmin 做法违反了美国的禁令。Garmin 是在纳斯达克上市的跨国公司,消息来源称该公司是通过第三方而不是直接向黑客支付赎金的。Garmin 拒绝对这一报道置评。
安全
WinterIsComing(31822)
发表于2020年07月27日 21时04分 星期一
来自
智能手表和可穿戴设备制造商 Garmin 遭到了勒索软件攻击,旗下大部分服务下线。根据其最新的系统状态公告,部分服务正在逐渐恢复。在遭受攻击之后,Garmin 公布的服务器维护声明称,“Garmin 服务器因正在维护,一些关联的特定服务将暂停运作,包含客服中心暂时无法接收Email 和线上咨询,相关应用程序(包含Garmin Connect国际服务器账号服务、Garmin Express、Launcher…等)将暂停数据同步、地图升级及软件更新服务。Garmin Connect 中国大陆服务器没有受到此次维护影响,如果您的账号注册在中国大陆服务器,在此期间可以正常使用并进行数据上传同步等服务。”根据 Garmin 雇员在社交媒体上发表的信息,该公司受到了新版勒索软件 WastedLocker 的攻击。Garmin 尚未公布事故细节。
安全
WinterIsComing(31822)
发表于2020年07月27日 13时38分 星期一
来自
有开发者在社交媒体上反应个人项目使用的数据库神秘删除了。其实并不神秘,有攻击者使用自动脚本扫描开放的不安全的 Elasticsearch 和 MongoDB 数据库,找到之后直接将其删除,不解释,不留下任何通知。至今已经有大约 4000 个数据库遭到删除。攻击者在日志里留下了 $randomstring-meow 的信息,因此这次攻击被称为 Meow 攻击。攻击者使用 Meow 这个术语可能是因为猫喜欢将东西推下桌子。安全研究员猜测有人想要给管理员们上上有关安全的难忘一课。
安全
WinterIsComing(31822)
发表于2020年07月26日 10时01分 星期日
来自
超过 20 所美国、英国和加拿大的大学和非盈利组织证实因其软件供应商遭勒索软件攻击,它们储存在该供应商的数据遭到窃取。Blackbaud 今年 5 月遭到遭勒索软件攻击,向攻击者支付了未披露金额的赎金。这家美国公司是世界上最大的教育管理、筹款和金融管理软件供应商。Blackbaud 在遭受攻击数周之后才警告受害者其数据被窃取了。受影响的机构包括了伯明翰大学、德蒙福特大学、 约克大学、伦敦大学、西弗吉尼亚大学、安布罗斯大学等英美加大学,以及人权观察等非营利组织。被窃取的数据包括了电话号码、捐赠记录等,以及寻求经济支持的学生信息。Blackbaud 声称在支付赎金之后,攻击者毁掉了窃取的数据拷贝。
安全
WinterIsComing(31822)
发表于2020年07月25日 14时53分 星期六
来自
一位身份未知的黑客破坏了最近恢复活动的僵尸网络 Emotet,用不同的 GIF 动画替换了其恶意负荷,事实上防止受害者被感染。Emotet 是最具危险性的恶意程序之一,它能窃取银行账号,安装不同类型的恶意程序。它主要通过钓鱼邮件诱骗用户点击恶意文件进行传播。Emotet 沉寂了 5 个月,上周开始恢复活动。Emotet 背后的攻击者被发现使用了开源脚本并使用相同的密码管理其 web shell。未知黑客就利用这个弱点对 Emotet 僵尸网络进行破坏,用动画替换恶意负荷。当受害者打开恶意文件,他们不会被感染,因为 Emotet 不会被下载并在机器上执行。跟踪显示,四分之一的 Emotet 恶意负荷下载遭到破坏。
安全
WinterIsComing(31822)
发表于2020年07月24日 18时16分 星期五
来自
两家安全公司——法国的 Synacktiv 和美国的 GRIMM 披露,大疆无人机的安卓控制应用收集了大量个人信息,可能会被北京政府利用。几个月来,美国政府官员一直在加大警告力度,称中国政府可能利用科技产品的弱点,迫使企业披露美国用户的信息。据美国官员说,中国企业必须服从政府交出数据的一切要求。安全研究公司发现,这款应用不仅能从手机收集信息,而且大疆还可以不经谷歌审查就对其进行更新,然后将更新推给用户。这可能违反了谷歌的安卓开发者服务条款。 研究人员说,用户很难检查这些变更,而且他们发现,即使该应用看起来是关闭的,但它也在等待远端的指示。大疆表示,其应用程序会强制用户更新,以防止无人机爱好者入侵该应用,规避政府对无人机飞行地点和高度的限制。
安全
WinterIsComing(31822)
发表于2020年07月20日 21时56分 星期一
来自
上月底,安全公司 Trustwave 披露了藏身于航天信息股份有限公司智慧税务软件中的恶意后门 GoldenSpy。在这一报道公布之后,智慧税务软件下载了一个卸载程序,抹掉了所有 GoldenSpy 存在证据。Trustwave 在后续调查中发现了另一个与金税发票软件相关的恶意程序,它也与航天信息有关联。虽然功能上与 GoldenSpy 差别很大,但两者有很多相似之处。研究人员根据其指令控制域名 help.tax-helper.ltd 将其命名为 GoldenHelper。GoldenHelper 活跃时间是在 2018 年 1 月到 2019 年 7 月,位于 GoldenSpy 之前,利用了多种技巧隐藏其恶意行为和逃避检测,包括随机生成文件名,用假的文件扩展如 .gif、.jpg 和.zip 下载可执行文件,随机文件系统位置和时间戳,使用基于 IP 的域名生成算法去改变指令服务器位置,等等。GoldenHelper 使用了浙江诺诺网络科技有限公司的证书签名,该公司是航天信息的子公司。包含 GoldenHelper 的税务软件由百望云开发。百望云和航天信息是金税发票系统的两家官方供应商。Trustwave 猜测,GoldenHelper突然终止活动的原因可能是很多安全软件将其样本识别为恶意程序。
Twitter
ai(3896)
发表于2020年07月18日 13时59分 星期六
来自
Twitter 公布了周三发生的大规模账号劫持事故的初步调查报告。Twitter 称,攻击者利用了社会工程。所谓社会工程就是操纵他人去执行某些动作泄露机密信息。攻击者成功操纵了一小部分 Twitter 雇员,使用雇员的凭证登陆内部系统,访问了只提供给内部支持团队的工具以 130 个账号为目标,对其中 45 个目标,攻击者重置了密码,登录进账号发推。攻击者还使用下载了 8 个账号的信息档案。这 8 个账号都不是认证账号。Twitter 表示它还在继续调查,正在配合执法机构,思考改进系统安全的措施。