今天,推特上流传着一个VMware虚拟机逃逸漏洞的利用工具。

屏幕快照 2017-07-20 下午5.00.51.png

这个工具已经在GitHub上开源,作者是CTF/PWN相关活动选手@unamer。根据项目介绍,利用工具对VMware WorkStation 12.5.5之前的版本都有效,只需在虚拟机内执行相应PoC,宿主机便弹出了计算器。换句话说,攻击者如果在工具里加入黑客远控木马,是可以直接控制使用者宿主机的

exp.gif

@unamer的测试环境是:

宿主机:Windows 10 x64

编译器:VS2013

虚拟机版本:VMware 12.5.2 build-4638234

嘶吼编辑在VMware 12.5.1上也同样复现了整个过程,环境基本一致,不过不知道是工具不够稳定还是中文系统的原因,宿主机弹计算器后,虚拟机系统里有文件损坏,导致该虚拟机无法打开。

WechatIMG399.jpg

工具作者也提到,目前工具做得不是很精致,由于没有正确地控制堆内存会导致宿主机崩溃。

目前还不清楚该工具利用了哪个漏洞,根据影响版本推测,这可能是今年3月份Pwn2Own 2017上的漏洞。3月份的Pwn2Own 2017有腾讯、360两只团队成功演示了VMware虚拟机逃逸技术(长亭科技也掌握了类似漏洞,很可惜比赛前一天被修复了),后来VMware官方在VMware WorkStation 12.5.5版本将所有演示漏洞修复。

考虑到目前利用代码已经开源,且受影响版本较新,嘶吼建议所有使用VMware相关产品的企业和个人用户近期尽快检查更新,如暂时不能更新,应保持良好的上网和使用习惯,勿随意下载、打开不明来源的文件

又一个超经典的企业机密信息泄露事故。

就在昨天,有网友在GitHub上发现一个锤子科技员工账号上传的个人项目,里边包含许多公司内部日常工作使用的脚本代码。

这个项目里最敏感的是几份6月15日的表格文件,有锤子科技对旗下最新款手机坚果Pro的用户调研统计(result.csv),大约一万多条记录;还有坚果Pro的用户ID、IMEI、详细型号关系表格(odin.csv),共二十万七千多条记录。据网友猜测可能是IMEI激活记录,按锤科“激活不退”原则,基本等同手机当时实际销量。

屏幕快照 2017-07-13 下午4.29.11.png

新产品销量是一家公司的绝密数据,除非是营销需要,否则任何公司都不会主动对外公布。由于锤子科技和创始人本身颇具话题争议,这起很寻常的GitHub泄密事件在知乎微博上被热议,变成了公司的公关噩梦。

GitHub泄露如何防治?

作为专业信息安全新媒体,嘶吼刚看到这个事情时还是比较吃惊的。锤子科技过去几年安全方面投入不少,有做安全的人、也有预算,上过多次安全测试服务,没想到在GitHub上开张栽了跟头。

这里明显有两个问题:

1、不清楚该员工有意还是无意,但锤科内部的员工安全教育和管理应该是有纰漏的

2、锤科安全对GitHub的监控不够到位,从备份项目看这位员工应该是前天上传的项目,如果监控到位可能有补救机会

Snip20170713_2.png

前一点没啥好说的,有机会嘶吼会做一个宣传专题;后一点就是安全团队多上心,把GitHub监控做好。

对于没有经验的安全团队,可以参考现成的开源项目来开发,例如@0xbug的Hawkeye。如果自己暂时没法弄,也可以找安全公司购买相关服务。

687474703a2f2f6f736c6d31707367662e626b742e636c6f7564646e2e636f6d2f4861776b65796553637265656e73686f742e706e67.png

员工GitHub泄密的危害可小可大,锤子科技这个不算什么,某些公司因为员工无意上传敏感信息,用户数据被拖、服务器被控制才难受呢。大家一定要小心谨慎。

AndroidPIT-Android-N-Nougat-2480-810x298_c.jpg

在打击Android恶意勒索软件上,Google最近迈出了一大步,它推出的一项隐藏新功能,让用户在中招后还能保持对设备的控制权。

XDA论坛的开发者发现,Android 7.1新增了一个紧急模式,可以通过连续四次短按后退按钮来触发。当激活紧急模式后,设备会回到桌面界面,关闭所有正在运行的应用程序,不受它们的锁定限制

紧急模式连续短按的最大触发时间是0.3秒,也就是说,一秒内大概要按下四次后退按钮才能触发,这避免了日常操作的误触发。

为什么需要紧急模式?

乍一看,紧急模式感觉没啥用,功能描述和国内各种管家软件的一键清理内存差不多。实则不然,它可比管家们可管用多了。

近几年勒索软件以跃进式的速度迅猛增长,不仅是Windows,macOS、Linux、Android等平台也日益见多。勒索软件加密文件、锁定设备,用户只有缴纳赎金才能解锁。

理论上Google推出的这项新功能可以直接绕过勒索软件的锁定限制。用户连按四次后退键,便能回到桌面,然后删除可能包含恶意软件的应用程序,使用安全软件进行清理。

需要留意的是,紧急模式默认没有启用,需要每个OEM厂商主动在系统内激活才能使用

Google目前没有正式公布这项功能,可能是因为不够完善,也可能是等待Android 8.0大版本更新再说。8.0对勒索软件还有一个极大的安全更新。目前最新的几个Android版本存在权限滥用漏洞,很容易受到勒索软件和银行恶意软件攻击,Google称要等8.0发布才能修复

如何检查紧急模式是否启用?

首先,你手机的系统已经升级到Android 7.1以上版本。

然后找到SystemUI应用,打开里边的config.xml文件,里边有一段参数,1代表开启。

<!-- Control the behavior when the user panic presses the back button.
0 - Nothing
1 - Go to home
-->
<integer name="config_backPanicBehavior">0</integer>

如果你具备ROM动手能力,可以直接在原包上改动参数,这样就能体验了。

众所周知,App Store刷榜在国内是一个很猖獗的产业。

该产业从业者众多,靠研究破解App Store排名算法,给应用刷下载量、评论提高商店排名赚钱。

苹果一直着力打击App Store刷榜,比如频繁修改排名规则、封杀刷榜应用。但很可惜,除了给灰色产业技术做升级外,成效并不大。

56d6ae71f0d44.jpg

最近,嘶吼编辑发现苹果为App Store又新增了一道防护:对可能有刷量行为的应用,开启验证码识别

嘶吼编辑在观察App Store搜索热词时,无意中看到一款名为“云盘合集”的应用,是热门关键词“迅雷”搜索结果的第一名。这款应用为个人开发,界面简陋,但评论数过万,且95%以上都是五星好评,明显有刷好评的嫌疑。

IMG_4071.PNG

试着下载,不是惯常地直接下载,而是弹出提示:“我们需要先进行一个简短的验证”。选择继续,进入一个验证页面,要识别并输入一串数字才能继续下载应用。

IMG_4073.PNG

搜索下,大概在6月底就有国内网友反馈,下载应用时出现验证提示。

屏幕快照 2017-07-10 下午5.22.56.png

但由于苹果服务在国内经常连不上,点击“继续”没有任何反应,过一会提示“验证失败”或“请求超时”。

WechatIMG9.jpeg

这就有点尴尬了

这是苹果在iPhone上首次使用验证码技术来实施业务风控。但坦白讲,用处可能并不大,而且可能会影响正常用户。

此前为遏制App Store疯狂的刷评论行为,苹果要求用户评论需重新输入Apple ID账号密码,导致国内应用评论沦为鸡肋功能——正常用户受限于网络环境和繁琐步骤,绝大多数不再评论,反而刷量的人专门配置网络和脚本后,不会太受影响。

再说到验证码,这方面苹果真应该向前辈们多学习。作为十年前的老技术,字符验证码早就难以抵御机器破解,业内最知名的验证码系统Google reCAPTCHA三年前推出新版,尝试通过行为来识别机器或人,不仅体验更好,而且可以更好的识别刷量行为。

希望苹果对刷量行为的识别能精准一些,否则要是误伤了谁,加上验证码服务一直连不上,那可就尴尬了。

7月3日消息,有读者向嘶吼编辑爆料,称发现一个神奇的网站,可破解腾讯、优酷土豆、爱奇艺等多家视频网站的付费和广告机制,任何人都可以免费观看会员视频。

最重要的是,破解操作非常简单,简直不像破解。只需要将会员视频的链接复制粘贴到网站的输入框,然后点击播放就行了。通过这种方式观看视频还有一个优点,整个过程没有一丁点广告,全程绿色观看。

Snip20170628_6.png

这个网站界面很是朴素

纳尼?!!已经付了年费的小伙伴岂不要哭晕在厕所…… 

16.gif

该网站同时还提供浏览器脚本,安装后,浏览视频网站会出现一个“vip在线解析”按钮,点击按钮便从视频网站跳转到破解网站,去广告、免会员观看。

youku.jpg

刚看到时,嘶吼以为只是单个盗链播放案例,仔细研究一阵子后,才发现事情要比表面看到严重得多。网上有成千上万个雷同的盗播网站,而且有专业团队提供技术支持。这是视频网站和盗链者们之间持续多年争斗的延续,目前来看,视频网站可能还处于下风状态。

会员机制全线破解

暑假临近,黄金档期马上就要来临,各大视频网站都卯足了劲地上热门影视剧集。对于会员视频破解网站来说,这也是扩张的好时候,免费就是互联网上最好的宣传词。

收到上述爆料信息之后,嘶吼编辑抽丝剥茧,终于找到了幕后主谋之一——47影视。

Snip20170627_3.png

线索网站默认用47影视的解析接口(第一个链接)来播放视频

47影视是目前规模最大的会员视频破解技术网站之一,根据搜索引擎不完全统计,至少有两百余家网站使用它的解析接口来架设VIP视频免费观看网站。

47影视不仅为小网站提供技术支持,自己也有一个网站,提供“官方”版本服务。

Snip20170628_9.png

网站显示它支持播放18个视频网站内容

嘶吼编辑体验了下,尝试播放当下各大视频网站主打的热门会员视频,比如:优酷土豆的大军师司马懿之军师联、乐视视频的白鹿原、腾讯视频的拆弹专家、爱奇艺的盲侠大律师、芒果TV的马雅舒带娃记、搜狐视频的无心法师。

如果要观看这些视频,正常情况下需要购买视频网站的会员,大致算了下账:20+19+20+19.8+19.8+15,6个网站的月度会员总计113.6元。但在47影视,任何人都可以免费观看,随时快进快退,而且网站上还没有广告,体验简直“完爆”正版网站。

下面是嘶吼编辑体验的快感,绝对的好东西,分享给大家:

强加广告获利

看到这里,大家可能会觉得47影视是个纯粹为大众谋福利的“好”网站,连广告都没有,不会是做公益吧?

这里其实是个幌子。47影视的电脑端确实没有广告,但它移动端播放器上是有的,一排显眼的悬浮广告,推荐博彩、游戏网站的,特别容易误触,安卓机上一不留神就下载了陌生软件。

WechatIMG180.png

该网站在解析接口上也加了广告,所有使用它解析接口的盗播网站,移动端观看时都会显示悬浮广告。

鉴于47影视的行业地位——Google、百度搜索结果第一页的套用网站几乎全用它的解析接口服务,以及接受投放的不少是灰色产品,费用不低,钱肯定少不了赚的。

在行业QQ群里,也时常有投放方找来,要谈渠道投广告的。

1498628420970738.png

1498628433601567.png

产业链盘根错节

为超过两百个网站提供解析服务的47影视看着很大,但它只能算这个产业里的一小份子。

据嘶吼检索,互联网上有大量雷同的站点,在Google搜索“VIP视频在线解析”,能搜出近百万个结果,翻看前二十页,绝大部分结果都是有效的。百度搜索结果更是夸张,收录了超过千万链接。

Snip20170628_10.png

这个产业里有两类角色,一类有技术实力,自身能够解析出会员视频网址,还对外提供接口服务,比如47影视;一类没有技术实力,找个开源播放器,套用上前者提供的解析接口也能播,就像前文提及的线索网站。

它们之间分工明确,前者专注提供稳定接口,供站长们使用;后者主做SEO推广,吸引更多普通用户关注。

Snip20170627_1.png

某会员视频盗播网站为了稳定播放不同网站的视频,在网页里带了十几个解析接口,使用者可以自己切换使用。这在同类网站上相当常见。

视频网站技术对抗力不从心

尽管视频网站喊了很多年反盗链,但在这件事上,它们确实力有不逮。

一方面技术对抗永无止境,盗链方只要有足够利益,便一定能破解站方限制;另一方面国内法律也很不完善,长期以来一直无法落实惩罚(最近两年开始有判刑案例了)。

过去数年里,视频网站升级过数代防盗链技术,譬如视频内容分段流播、增加各种验证、key加密等。但每次都只是短暂缓解,过段时间就被再度破解。

1498628645821518.png

腾讯视频采用key加密方案,在目前较为先进,但很快被破解了

1498628778986256.png

有人向解析站反馈腾讯视频无法播放,不到二十分钟站长便修复了

法律途径维权是一个可行方法,在这方面较激进的爱奇艺就曾经向一些站长发过律师函,不过类似行为并不多见。或许是因为相对各大视频网站相互盗链的大环境,“会员视频盗链播放”只是其中不起眼的小事情,因此才得以在一年又一年的版权维权行动中一直存活。

不过规模大了,总是要被盯上的。之前AB站、聚合视频软件都是这样,47影视恐怕也快要碰到红线了吧?

WikiLeaks.png

维基解密这两天公布了一份新的CIA泄漏恶意软件文档,它介绍了CIA专为Linux系统打造的持久性控制工具——OutlawCountry

软件文档的日期显示为2015年6月4日,里边详细讲述了OutlawCountry的功能:Linux 2.6内核模块,可以将目标Linux设备上的流量重定向到攻击者指定服务器。

OutlawCountry需要系统root权限和shell访问权限,这说明在部署之前,CIA肯定还有一套可以黑掉Linux系统的方法。

重定向传出的网络流量

OutlawCountry使用Linux系统内置的包过滤工具,比如netfilter或iptable。它怎么工作呢?

运行时,模块会创建一个名字难以辨识的netfilter表,然后使用iptables命令设置特定规则。这组规则比现有规则优先级更高,只有管理员才能看到,而且他得认出来。当攻击者删除模块时,相关表也会被删除。

OutlawCountry 1.0里有一个适用于64位CentOS/RHEL 6.x的内核模块,它只在默认内核下工作,并只支持在PREROUTING链添加隐蔽的DNAT规则。

Linux服务器里的间谍工具

OutlawCountry适用于服务器和桌面Linux系统,不过显而易见,装在服务器里能造成的危害要大得多。它能直接嗅探出服务器上连接的所有用户的流量。

泄漏的OutlawCountry文档里,写着这个内核模块名为nf_table_6_64.ko,哈希值是2CB8954A3E683477AA5A084964D4665D。隐藏的netfilter表默认名字叫dpxvke8h18。

OutlawCountry是维基解密曝光的CIA泄漏黑客军火库的第十三批文档,之前的大家可以看嘶吼过去的报道

The Hacker-Powered Security Report.jpg

HackerOne这周发布了2017年年度报告《黑客驱动的安全众测模式》,对过去四年平台上累积的数据进行分析总结:

超过800个项目

大约5万份漏洞报告

1700余万美元白帽子赏金

报告数据显示,当下白帽子的平均赏金收益为1923美元,比2015年的1624美元上涨了16%。企业支付过的最高单个漏洞赏金有30000美元,是一个很严重的洞。那家支付赏金的公司未公开名字。

在去年,游戏、电商、零售、媒体、娱乐等多个行业都有企业为严重漏洞支付过20000美元的高额赏金,平台上有88个白帽子获得过10000美元以上的单个漏洞赏金。

HackerOne首席执行官Marten Mickos表示,漏洞赏金计划遵循自然规律,越年长的黑客,越有机会赚钱。而随着公司需要修补的漏洞越来越多,攻击面变大,赏金支出也会水涨船高。

Mickos还指出,过去一年里漏洞赏金计划跨过技术领域门槛,迎来了更广泛的接受度。2016年平台上推出的赏金计划,有41%来自政府、媒体、娱乐等非技术行业,和银行、电商等金融服务业。

当国防部公布‘黑进五角大楼计划’后,改变了许多人对信任黑客这件事的看法。它让各种各样的公司找到我们,说‘如果你们黑掉了国防部,希望也能同样把我们黑掉。’

HackerOne平台上报告的漏洞,32%属于高危或严重级别。过去四年里,交通运输行业对这类漏洞最为慷慨,它们为此支付的平均赏金是4491美元,其次是游戏行业(3583美元)、电商和零售业(3471美元)。技术公司排名第五,1923美元。教育行业最低,是317美元。

屏幕快照 2017-06-30 下午2.38.52.png

在2016年,安全问题的平均首次回应时间是7天,2017年变成了6天。电商和零售行业修复漏洞的平均速度最快,为4周。

HackerOne_Vulnerability_Types.png

在HackerOne平台,除金融和银行业之外,其它行业最常被报告的漏洞是跨站脚本攻击(XSS)。里边有低危也有高危,严重的比如早些时候Verizon修复旗下聊天应用里出现的XSS账号劫持漏洞。

金融和银行业最常出现的是授权不当。SQL注射漏洞在整个HackerOne上都很常见,医疗保健行业最多,占比6%。

据HackerOne统计,福布斯全球两千强企业榜单里,高达94%的公司都没有设置过对外接收漏洞的入口。安全众测还需要很长的路要走。

ps:报告的下载地址,The Hacker-Powered Security Report

按照每周一次爆料惯例,维基解密这两天又公布了一批CIA Vault7机密数据。这一次,他们公布的是一款专门追踪Windows电脑地理位置的恶意软件,名为ELSA。

ELSA的原理不难,它通过扫描附近公共WiFi的名字,和全球公共WiFi位置数据库进行匹配,从而获取电脑在现实世界的位置。

elsa-cia-geo-location-malware.png

这个CIA项目包括两大块:处理组件(攻击者使用)、植入目标电脑的恶意组件。

ELSA是如何工作的?

攻击者需要使用CIA漏洞对目标电脑安装恶意软件,保持对方设备的访问权限,才能使用ELSA。

稍后,在已感染电脑上,恶意组件会自动扫描附近的WiFi,并定期记录详细数据,比如ESSID、MAC地址、信号强度等。

收集数据过程中,ELSA不需要目标电脑联网,它只需要设备开启WiFi即可。维基解密称,

目标电脑联网后,ELSA会自动尝试使用Google或微软的公共地理位置数据库和设备进行匹配,并存储经纬度和具体时间。

这些收集的数据,被加密存储在目标电脑上,等待以后需要时调用。

ELSA不会主动传输这些数据,如果攻击者有需要,可以使用CIA控制程序自己下载,他们解密日志数据后便能进行进一步的分析。

ELSA还能针对目标电脑对植入恶意组件进行调整,比如采样间隔、日志文件的最大容纳、持久性控制方法等。

过去的泄漏内容

维基解密上周公布的是一个可以入侵物理隔离环境下电脑的机密项目,叫做野蛮袋鼠(Brutal Kangaroo),它不需要攻击者做任何接触,远程就能操作。

自今年3月份以来,维基解密总共披露了12批CIA Vault7数据,除了上述两个外,还包括:

Weeping Angel:专门破解三星智能电视

Fine Dining:伪造系列恶意软件集合

Grasshopper:Windows恶意木马制造工具

DarkSeaSkies:针对iPhone和Mac的攻击工具

Scribble:Office文档的信标工具

Archimedes:中间人攻击工具

AfterMidnight和Assassin:Windows木马框架

Athena:和美国公司共同开发的木马框架

Pandemic:把原文件替换为木马的工具

Cherry Blossom:可破解数百款路由器品牌的恶意攻击框架

据外媒The Register报道,微软Windows操作系统内部大量组件和核心代码泄漏,正在网络上传播。

DDCvDHPVwAArv1W.jpg

这些泄漏的数据多达32TB,包括微软未公开发行的安装镜像和软件规划蓝图,被人压缩成8TB的包,在本周稍早时候上传至betaarchive.com。据传这些机密数据是今年3月份左右从微软内部泄漏的。

泄漏数据的代码部分叫“Shared Source Kit”,有看过内容的人透露,里边有Windows 10硬件驱动程序和随插随用协议的源码,例如USB、WiFi协议栈,存储驱动、ARM架构下的OneCore内核代码。

任何一个拿到数据的人,都可以利用其中的代码去找漏洞,从而破坏全球范围内数以亿计的Windows设备。这些代码在系统最核心的位置工作,属于高信任级别的组件。

ms_leak_screenshot.jpg

除代码外,泄漏数据里边还有许多官方未对外发布的Windows系统,版本在Windows 10和Windows Server 2016之间。这些据说是微软工程师为内部检查问题、测试流程创建的,含有许多不在公开发行版本里用到的调试代码。

由于大量官方版本的Windows 10 "Redstone"、64位ARM架构Windows泄漏,The Register认为微软目前的安全启动机制已经失效,它无法再锁定用户设备阻止安装其它操作系统了。

泄漏数据里还有“Windows 10 Mobile Adaptation Kit”多版本项目,顾名思义,这是Windows系统在各种不同屏幕、设备上自适应运行的工具。

The Register昨天晚上发现时,betaarchive.com上的泄漏数据仍可继续访问,随便谁都可以。这起事件比2004年的Windows 2000源代码泄漏要大得多。

微软官方发言人称:“我们正在审查核实泄漏数据来源,Shared Source Kit主要是给OEM和合作伙伴使用。”

事件曝光后,betaarchive.com的管理员紧急删除了论坛和FTP服务器里的微软泄漏数据。目前尚不知微软将如何应对,但可以肯定,Windows 10系统最近一两年肯定还会出现一些神级漏洞,大家可要小心了。

更新:BetaArchive论坛管理员Andy写了个帖子,说The Register声称有32TB,但论坛FTP上只发现1.2GB的文件,里边有12个包,每个100MB。他认为这个体积,不太可能放下Windows核心源代码。微软目前还没有发表声明,看来应该还在加班应急。

由于忘记给一个已废弃应用的控制域名续费,三星数百万台旧款智能手机陷入安全风险之中,容易遭受骇客的攻击,甚至可能远程安装恶意软件。

在2014年或之前时候,三星曾在旗下Android智能手机里内置一款名为“S Suggest”的应用,可以根据目前安装应用、搜索和其它因素向用户推荐新应用。这个推荐功能需要联网才能工作,“S Suggest”把数据传至ssuggest.com,然后由ssuggest.com返回推荐结果。

samsung-puts-millions-of-phones-at-risk-after-forgetting-to-renew-domain-516498-2.jpg

三星在2014年砍掉了“S Suggest”项目,应用的控制域名ssuggest.com也不再更新。直到最近,三星忘记给域名续费,让一位安全研究员重新注册,接管了域名的控制权。

Anubis Labs的首席技术官João Gouveia表示,他在星期一接管了域名。他说三星正在把数百万台智能手机的远控域名拱手让人,域名失效后,任何人都可以重新注册,向这数百万台手机推送恶意应用。

报道出来后,三星对Motherboard更正,表示不认同研究员的说法。官方称虽然域名被接管,但域名“无法让攻击者安装恶意软件,也不允许攻击者控制用户的手机”。

注册域名后,短短24小时内,Gouveia看到有大约210万台设备向ssuggest.com发送了6.2亿个检查或连接请求。“S Suggest”有许多权限,包括远程重启手机、安装应用或包。

1497379204221-8I07AgIZ.jpeg

独立Android安全研究员Ben Actis说,如果不是Gouveia,而是一名骇客注册了ssuggest.com,那么对方可能直接就向数百万台设备去推送恶意后门和木马。三星的回应简直fucked up。

好在域名是被Gouveia注册了,使用“S Suggest”的用户暂时不用担心。Gouveia称愿意把域名给三星,“希望他们不会再丢掉了”。

三星尚未发布回应,目前还不清楚他们要怎么解决这个问题。比如联系Gouveia拿到域名,更新系统移除服务等。

而类似“为什么三星内部的项目收尾可以如此随意,以至于让手机高权限服务停止后仍可能被骇客利用”的疑惑,恐怕永远不会得到答案。

前不久还发生过另一个极度尴尬的事,三星自研的Tizen系统爆出四十个漏洞,被研究员吐槽是见过最糟糕的代码。

三星安全的日常是不是已经变成天天听同行吐槽了?