得到相机授权的 iphone APP 可在你不知情的情况下偷偷拍照,获取隐私

近日,来自澳大利亚的谷歌工程师 Felix Krause 发现苹果手机 APP 中存在一个隐私问题,APP 开发者可以利用 APP 控制前后置摄像头偷偷为你拍照。

而用户在这个过程中却不会收到设备上的任何通知。Krause 的博客上可以看到更多的技术细节。

Krause 写道

iOS 用户经常在下载完一个 APP 之后,很快就会给它相机的访问权限(比如,添加头像,发送照片)。对于一些通讯或需要通讯反馈的 APP 来说,它们可以轻松追踪用户行为,用手机前后摄像头秘密拍照,而这一切都不需要用户许可。

据 Krause 所说,这个问题的根本原因是苹果软件对相机的授权机制不完美。今天绝大多数的手机应用,包括 WhatsApp, Facebook, 和 Snapchat,也都遵循这样的授权机制。

所以,这可能并不是一个 bug 或错误,而仅仅是一种特性,苹果特意为之的特性,但 Krause 认为这种特性会让恶意软件有机可乘,利用这种特性悄悄地记录用户隐私。

Krause 表示,一旦用户授权给 APP 相机权限,开发者可以轻松做到以下几点:

获取手机前后摄像头的访问权限

APP 前台运行时的任意时刻都可以对你进行记录

不需要你的许可就可以拍照录像

拍照/摄像后立即上传到服务器

运行实时面部识别程序,来检测你的面部特征和表情

得到相机授权的 iphone APP 可在你不知情的情况下偷偷拍照,获取隐私

而这些应用程序只需要一次授权,就可以完全获得相机的访问权限,而不再需要额外的方式通知用户(LED light 之类的,想想还是挺可怕的。

手机摄像头在记录的过程中没有任何提示,包括 LED或别的什么。

Krause 自己也开发了一个应用程序来验证自己的观点:恶意软件可以悄悄地利用相机权限,每秒拍一张照片,甚至可以视频直播。

该演示程序主要还是为了强调 iOS 应用可能会出现的安全隐私漏洞,而不是别有所图。

以下是 PoC 视频,演示了用户在使用演示程序时,每秒都会被拍照,并且 Krause 开发的演示程序还带有面部识别体统,用来识别用户是否在使用过程中。

Krause 也督促苹果尽快完善授权机制,比如将相机的永久授权改为暂时授权。

而在硬件上,则可要求 APP 在拍照过程中需用某种手段(闪光灯, 机器开关等)告知用户。

其实最重要的是,不要轻易下载恶意软件到手机中,尽量去应用程序的官方商店去下载,并提前阅读一些关于应用的评论和开发者的情况。

在等待苹果完善授权机制的过程中,Krause 给大家的建议就十分简单粗暴了,就是直接把摄像头遮盖起来,虽然看起来并没有技术含量,但Mark Zuckerberg和前 FBI 指挥官 James Comey也都是这么做的。

*参考来源:thehackernewssecurityaffairs,FB小编 Liki 编译,转载请注明来自FreeBuf.COM

快讯 | 俄罗斯浮现新型银行木马 Silence,或与 Carbanak 有关

近日,卡巴斯基实验室的研究人员发现了一种新型木马——Silence,犯罪组织利用它对俄罗斯,马来西亚,亚美利亚的银行进行了网络攻击。

卡巴斯基的 GreAT 调查小组表示:

2017 年 9 月,我们发现了一种专门针对金融机构的网络攻击,受害者大多集中在俄罗斯银行。攻击者使用了一种十分有效的技术来窃取银行资金:长期访问银行内网,监控职员日常工作,了解银行内部的运作过程和日常软件,然后利用这些信息窃取更多的钱。

虽然没有直接线索将该木马和臭名昭著的 Carbanak 组织(该组织专门对银行进行网络攻击)联系在一起,但攻击者的作案手法和 Carbanak 类似。从这点上可以看出,Silence 很可能是 Carbanak 的故技重施,或是别的组织在看了安全公司对 Carbanak 的技术分析后,仿效了这次攻击。

Silence 攻击是如何发生的

研究人员对整个攻击事件进行了还原,发现最初的攻击手段很常见,攻击者首先拿到了银行雇员的电子邮箱账号。(有可能是使用了恶意软件,也有可是使用了以前网上泄露的账号密码。)

Silence 利用银行员工的账户向其他银行同事发送钓鱼软件。目的是为了找出哪些人可以访问银行管理系统。

快讯 | 俄罗斯浮现新型银行木马 Silence,或与 Carbanak 有关

钓鱼邮件

这些邮件包含 CHM 附件(编译后的 HTML 文件)。如果受害者下载并打开了这些附件,CHM 文件就会运行一段 javascript 代码,并下载恶意程序执行第一阶段的 playload。

CHM 格式文件

CHM是英语“Compiled Help Manual”的简写,即“已编译的帮助文件”。CHM是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。

CHM文件格式是微软1998年推出的基于HTML文件特性的帮助文件系统,以替代早先的WinHelp帮助系统,它在Windows 98中把CHM类型文件称作“已编译的HTML帮助文件”。被IE浏览器支持的JavaScript、VBScript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等,CHM同样支持,并可以通过URL与Internet联系在一起。

研究人员表示该恶意程序是一个“dropper”,它是一个 Win32 可执行程序,可以将受害者电脑中的数据发送到攻击者的 C&C 服务器上。

Silence 工作原理:不断截屏,记录受害者电脑工作情况

如果攻击者认为受感染 PC 有利用价值,他们就会发送第二阶段的 playload——Silence 木马,它的主要功能就是不断截屏受害者的电脑桌面

这些截图的拍摄间隔很短,然后会上传到 C&C 服务器上,这样就创建了一个可以监视员工活动的伪视频流。

快讯 | 俄罗斯浮现新型银行木马 Silence,或与 Carbanak 有关

C&C IP

攻击者之所以选择屏幕截图这样的方式,而不录制实际的视频, 好处在于这样可以利用较少的 PC 资源,这样就很难检测到它,这也是 Silence 名字的缘由。

然后攻击者可以查看这些截图,从中寻找他们可以进一步利用的信息,比如银行内网资金管理系统后台网页 URL,可以利用的本地应用程序,或者审视银行内网电脑的大致情况。

研究人员表示,攻击者在整个过程的后半段,利用的是合法的 Windows 管理工具在后台运行,成功隐藏了自己行踪,而这正是 Carbanak 以前使用过的技术

此之后的攻击细节,卡巴斯基没有透露,而涉及哪些银行,偷走了多少钱,也没有透露。

这些银行劫匪越来越有“创意”

Silence 出现标志着犯罪分子已经将攻击目标从普通用户转向了银行,因为对比用户来说,银行能窃取的钱要更多。随着越来越“高级”的银行网络抢劫事件的发生,这种趋势越来越明显,无论银行的安全架构多么完善,攻击者悄悄行事的“作风”还是令人担忧。

针对俄罗斯银行的网络攻击,Silence 已经不是第一次了。早在以前,Trustwave SpiderLabs 就发现了另外一个黑客组织,使用“overdraft” 技术来攻击银行,从几个东欧金融机构窃取了 4000 万美元。

而 Carbanak 以前的活动还使用过 Google 合法服务(Google Apps Script, Google Sheets, 和 Google Forms )部署 C&C 服务器,并诱骗银行技术支持部门员工打开含有恶意软件的文档。而这些员工的电脑在后续的侦测数据和直接攻击中起到了关键作用。

Silence 木马更详细的技术分析,IOCs,可移步卡巴斯基发布的报告

参考链接:

https://www.bleepingcomputer.com/news/security/-silence-trojan-records-pseudo-videos-of-bank-pcs-to-aid-bank-cyber-heists/

http://www.securityweek.com/new-silence-trojan-used-ongoing-bank-attacks

http://securityaffairs.co/wordpress/65061/cyber-crime/silence-group-bank-attacks.html

*本文作者:Liki,转载请注明来自 FreeBuf.COM

前情提要:

精通计算机技术的 Johnston 被判终身监禁,而马里昂的监狱改造计划正办的如火如荼,这给了 Johnston 机会,天花板怎么能藏电脑?利用其他犯人的身份信用卡开户?而这一切又是怎么在监管人员眼皮子底下做到的呢。

verge_prisonhack_lead1_flat_full_sized.0.jpg

时间:2015年

地点:美国俄亥俄州马里昂惩戒所

人物:

Transkiy:路人,监狱老实人,安心改造。

Canterbury:RET3(RET3是马里昂惩教所内部进行的循环改造计划)负责人。

Spriggs:精通编程,入狱前从事过技术性的工作,熟悉数据库和计算机硬件。

Johnston:黑客案主角,因贩毒,谋杀被判终身监禁,但本人酷爱阅读,喜欢科幻小说,特别是《权力的游戏》,爱弹吉他,天文学,哲学,精通计算机技术。

Gallienne:Johnston的母亲

Brady:IT 调查人员

Meyer:黑客案检察长

监狱改造计划:马里昂监狱正在对以前的环境进行改善,包括循环再利用计划,还有教育,水产,新闻和园艺都做了改善。

RET3:监狱改造计划的主要场所(废品回收)

正文:

Transkiy,你知道电脑的事吧,他们已经被发现了

2015 年夏天,Transkiy 被判处 16 年有期徒刑入狱,尽管这段时间很无聊,但他还是能在马里昂把这段时间消耗掉。

马里昂的全称是马里昂惩戒机构,位于俄亥俄州农村,周围都是绿色的农田,在这里,Transkiy 有一个新名字——“垃圾人”,形容虽然不太好听,但还是比较符合的,秃头,大胡子的 Transkiy 在这里有时需要工作 14 个小时,这几年的时间已经处理了成千上万的垃圾,尽管有时 Transkiy 会犯一些小错误,但总的来说,他干的还不错。

马里昂正在对以前的监狱进行改进,视察人员对马里昂“改善环境”的“创新思维”表示赞赏,除了循环再利用计划之外,监狱还在教育,水产,新闻和园艺等方面都进行了改善。这里甚至举办了一场 TEDx 活动,2013年,黑人作家 Piper Kerman ,囚犯,和工作人员一起做了演讲,并在监狱中教授写作课程。

八月的一天,Transkiy 听到对讲机中传来的巨大声响,他们正在找 Randy Canterbury ,他是 RET3(监狱改造计划) 的工作人员,负责监管监狱的改造事宜。

Transkiy 发现身边工作的人都被带走接受调查了,因为当局发现监狱改造计划中有人正在进行非法行为

不久,他自己也被带到办公室,调查人员对他进行了拷问。这个人知道 Canterbury 的电脑密码吗?他了解防火墙的工作原理吗?他能通过测谎仪测试吗?工作人员最后将他关到了 O Block 的隔离房间,九天之后又被带回办公室,一名国家人员感觉他有问题:

Transkiy,你知道电脑的事吧,你应该知道他们已经被发现了。

Transkiy 受到质疑是因为警方发现了一种违禁品。他们发现有人在监狱的天花板上隐藏了翻新的电脑。并以某种手段连接上了监狱网络,可以看到内网活动,查看囚犯信息数据库,进入监狱内部网络的限制区域。电脑还可以连接外网,还有人用监狱里偷来的身份信息办理了信用卡。这还不够,他们的活动范围还延伸到银行。他们所做的一切都是在警察眼皮子地下完成的。当调查人员描述完事情的大概轮廓之后,Transkiy 表示自己不敢相信。“这。。。这。。。这太夸张了,简直让人难以置信。”

犯人比我们的技术人员懂得都多

今年,这项调查结果被公布出来,检查长把这件事与Hogan’s Heroes做了比较,两次都是监狱管理人员失职。

调查资料中,囚犯,调查人员,管理人员的访谈,书面信件,和数千份没有公开的资料都表示这是一次十分复杂的犯罪行为,嫌疑人有相当高超的技术水平。这也看出来监狱需加强安全技术管理。一名调查人员在询问中表示:

囚犯比我们的的技术人员懂得都多,这次我们遇见了大问题。

Transkiy 在循环利用计划中与 Spriggs 和 Johnston 合作,后两人在黎巴嫩共事过,他们的关系不错,Spriggs 说道,自己 18 岁(2000年)的时候,他和 Johnston 就都入狱了,而且罪行相似,都是被指控谋杀。这意味着他俩下辈子都要在监狱里度过了,Transkiy 对他们评价道:他们都对电脑十分感兴趣,Johnston 非常有禅意,因为很少会有事情打扰到他。

Johnston 被指控贩毒,谋杀,但他本身又是一个狂热的阅读爱好者,他喜欢科幻类型的小说,特别是《权力的游戏》,还喜欢弹吉他,并且已经弹了20年的时间,他还热爱天文学和哲学,和母亲 Karen Gallienne 也一直保持联系。

Gallienne 住在一个离监狱两个小时车程的安静街区,她会定期看望他的儿子。到了 2015 年,Johnston 已经被关了 15 年了,但还是会经常打电话回家,Johnston 称 Gallienne “女人”。有次在电话中,Gallienne 说家中有一个鱼缸,里面的鱼想要逃出来,逃出来之后又无奈摔在地板上。

Johnston 和 Spriggs 在黎巴嫩从事过技术性的工作, Spriggs 做过 C 和 C ++ 的培训,他还学习过开发数据库,并为 AFL-CIO 这样的客户进行人工数据录入, AFL-CIO 通过监狱外面的公司和 Spriggs 进行合作。在加密领域,他也有很多成熟的经验,他开发了一个程序用来清理损坏的声音文件,之后,又为 Georgia 警长办公室开发了图像检测系统。

左二为 Transkiy,中间的是 Johnston。

一开始,他俩在狱中从一些简单的例子开始先学习 Visual Basic ,慢慢越学越深, Spriggs 最终成为了监狱部门的服务器管理员,并帮助 IT 部门组装了新的电脑。(这也给了他机会学习计算机硬件知识)

据一名囚犯描述,除了他俩之外还有一个人专门负责销毁和售卖电子游戏和色情片的光盘。(Spriggs 对此表示否认,Johnston 对此没有回复)。不编程的时候,他们会一起锻炼身体。

Spriggs 告诉我们:

如果可以回家,我们什么都愿意学。

他们高超的计算机技术对监狱管理者来说,就比较矛盾了,但是监狱当时也在尝试计算机教育,犯人甚至可以有限制地访问互联网。 2015 年教育部报告表示,近年来的教育模式已经发生了巨大的改变,惩戒部门也知晓,计算机是重要的教育工具,尤其对那些以后回归社会的的改造人员就更重要了。但是监狱当局还是对此留有顾虑。

再说回马里昂的改造计划,里面甚至还包括了园艺和水产养殖项目,而且看起来运作的不错,分工上,Transkiy 负责回收再利用,Johnston 负责财务管理,Spriggs 负责 IT 工作。

前监狱长在 2012 年的 TEDx 活动中表示:

这个监狱并不像你在电视或电影中看到的那样,这里的人也不一样,监狱一年来完成了 50.9 小时的社区服务。

监狱内部与 RET3 进行合作,和犯人一起拆解旧电脑,然后统一收回配件。犯人还在这些旧设备中寻找质量不错的电脑留给监狱自己使用。

Spriggs 和 Transkiy 表示,有时会有一些未授权的电子产品,内存卡里面还装有色情片,这些影片可以偷偷地在任天堂 Wii 上播放。犯人可以浏览这些盗版片子和新发行的电影,并出租它们。监狱管理员还记得,犯人还放映过院线刚刚上映的《速度与激情》。

监狱中这样的活动尽管特别活跃,但并不会出现“黑色经济”。随着调查的深入,调查人员发现,天花板中藏着的电脑要比这些色情片问题严重多了。

“canterburyrl” 账号预警

2015 年 7 月 3 日,安全部门新安装的安保系统发出了预警,“canterburyrl”(RET3的Randy Canterbury 的登录账号)的用户登录数明显超过了人员限制。接下来的几天,事情越来越严重。一名 IT 员工表示:“周五下午,我收到了 7 个“canterburyrl”用户的登录警报和 59 个代理警报,这些黑客访问了文件共享服务近几个小时,并且他们会使用代理来隐藏自己的行踪。”

而对于黑客的确切位置,暂时还是一个谜。此次事件的当事人——Canterbury,却三缄其口,没有表态。这样一来,他的身份就十分令人怀疑了,而且第一次异常登录警报的时候,Canterbury 也没有在工作。接下来的调查就没有什么进展了。但是安全团队还是在登录日志上发现了一个特殊的计算机登录名字——“lab9”。

“象牙塔” lab9,电缆破案

这个名字出现的瞬间,IT 人员 Brady 立马就有了线索,他告诉调查人员:

这样的电脑命名方式,这个监狱中只有一个地方有,就是在三楼的员工 computer labs。但是那里只有六台电脑,而不是九个。

三楼的 lab9 在马里昂十分有声望,有人称它为”象牙塔“,暗示了这个地方很可能一个培训场所,或是一个用于隔离监禁的地方。一名黑人犯人告诉调查人员,”象牙塔”名字源于那里的人,因为那里面的人都很善良,而且都是白人。

但是,Brady 无法定位那台“lab9”的准确位置。最后,调查团队中的 IT人员确认了计算机插入的交换机和端口。为了找到那台“lab9”,Brady 最后还是找到了蛛丝马迹,那就是:电缆

一名被招募进来参与调查的犯人表示:

我们将电缆拉出来,顺着痕迹发现天花板上有异样。

网络中心的电缆走线十分混乱,蓝色,橙色,绿色,几乎没有特意整理过。Brady 顺着一条线找到了一个训练室壁橱上的天花板,他取来梯子,从天花板上取下来一块瓷砖。发现里面有台戴尔电脑,不久又发现了第二台。

Brady 通知了工作人员,一名中尉挤进了这个狭小的空间,拍了了这一切。几名犯人将电脑取了下来,带走了。Brady 后来告诉调查人员,自己并没有意识到这里是个犯罪现场。要是保护好的话,就可以掌握更多的线索了。

工作人员在接下里的几天时间内对缴获的电脑进行了详密的调查,在这些电脑的的标牌上发现了蛛丝马迹,这些电脑一个来自当地学校,一个来自当地的一家公司。

直到 8 月 7 日,监督部门的律师——Stephen Gray 知晓了这件事,他表示:“这很可能是一次非法活动,因为我们不清楚这些囚犯到底在做什么。”

后来,他起草了一份报告,告知州调查人员事情的原委。

州检查总长 Randall J. Meyer 在读到这份报告时惊到:“你一定是在开玩笑。”

Meyer 立马任命了一名取证人员介入调查。

取证人员介入调查这些设施中的硬件设备。这里的网络都遭到了破坏,犯罪现场也很复杂。调查人员从马里昂的这些电脑中找到了数以百计的硬盘。他们在一天的邮件工作日结中写道,午夜之前找到的硬盘数量就已经超过了 50 个。

其中一台被发现的电脑主机

通信软件——Poydirt

与此同时,调查人员花了几个星期的事件来调查与电脑有关联的人,询问犯人和典狱长这些电脑的来路,到底是谁藏的这些电脑。

调查人员虽然考虑到串供的问题,也将有嫌疑的犯人隔离开来,但是 Transkiy 还是和 Johnston 住在一起。随后的调查就没什么眉目了,至少从供词上来说没有什么进展。随后,他们将这片区域全部封锁,告知监狱长这片区域不许人进入。这时,一名管理人员走了进来,他手上的东西可能派的上用场。

天花板藏着的电脑可以做很多事情,加密工具,Tor 浏览器,垃圾邮件工具和密码破解工具,但对取证团队最重要的工具莫过于 paydirt 了——一个电脑端的通信程序。

这个通信程序中还保留着很多黑客的通话信息,这也直接暴露了黑客的真实身份,比如里面的对话内容显示,Gallienne 发给 Johnston 一个地址,Johnston 告诉她这个位置离她家很近。调查团队发现,他们还用 Kyle Patrick (俄亥俄州的一名囚犯)的身份申请了信用卡。

看来 Johnston 和 Gallienne 是脱不了干系了。

调查 Johnston 的母亲——Gallienne

调查人员又去调查 Johnston 和她母亲(Gallienne)之间的电话记录。结合电脑中的对话信息,基本掌握了整个事情的脉络。一次电话,Gallienne 收到了 Chase 信用卡的拒信,因为她没有以往的信用记录。Johnston 告诉她:“好吧,我会想办法。”不久,Gallienne收到了 Kyle Patrick 的信用卡,并且她将卡号告诉了他儿子 Johnston。

转眼时间来到了九月,距离发现电脑事件已经过去了四个月,调查人员来到了 Gallienne 的家,在搜查房子的过程中发现了可疑的电子产品和 Kyle Patrick 的信用卡。然后对 Gallienne 和 Johnston 的兄弟进行了盘问,调查人员问道:“很明显,我们已经掌握了你们关于盗用信用卡的证据,你还有什么想说的吗?”

Gallienne 并没有承认,说 Johnston 只是用这种方式来“帮助我”,他在那里卖东西,他有设备,吉他或别的什么,这张卡只是他送给我的而已,说明不了什么。

“所有的一切都是闹着玩?”调查人员告诉她,“信用卡上是 Kyle Patrick 的名字,他为什么不开一张你名字的卡?”

“因为他说写我名字的话会不太好。”

“为什么?”

Gallienne 停了停。

她解释说,Johnston 并没有交代太多的细节,但她承认她给了 Johnston 一个邻居的名字和地址,这个邻居和整件事没什么关系。当信用卡寄来的时候,她告诉了 Johnston ,Johnston说不用担心,至于传简讯的事情,我应该怎么做?不理他了吗?那可是我的儿子啊。

随着对话的深入,问题开始刁钻起来了,“你做过最糟的事情是什么?”

“什么都没有,”Gallienne 说道,“这不是我的问题。”

“领过超速罚单吗”

“领过,但从 16 岁之后就没有了。”

“你知道道盗窃和欺诈的区别吗?”

“知道。”

“尤其涉及金融调查。”

“是的,我知道,我知道问题的严重性。你是想说这是重罪吗?”

“可能吧。”

“你可能会面临 18 个月的监禁。”

“我吗?不。”

“你多大了?”

“54。”

“54 岁的话,入狱 18 个月还是挺难接受的,你觉得呢?”

调查人员动身去审问 Johnston ,此时他已经被转移到了东北方向两小时车程的 Grafton 惩教所。但是他拒绝交流。他表示,在他开口前,他想保证自己母亲免受刑罚。

为了母亲,Johnston 还是交代了

调查人员表示不行,因为他们所犯的是重罪。当 Johnston 一直在问自己问什么要配合调查的时候,一名调查人员对他说,他辜负了自己的母亲, Johnston 的母亲谈到:

”简直不敢相信,他不会做出牵连我的事情。“

调查人员说道:“很明显他这么做了,他并没有考虑你的处境。”

调查人员还谈到 Johnston 的兄弟,“他确实是个烂人,但他至少不会做出连累自己母亲的事情。”

惩戒部门的 IT 负责人也参与了审讯,他告诉 Johnston,认罪的话对 Gallienne 非常有利。“这就像烤鱼,你知道,你已经吃了很多鱼了,已经饱了,就吃不下别的鱼了,让检察官填饱肚子吧。”(已经捉住主犯 Johnston 这条大鱼了,不会再刻意追责其他从犯了)

Johnston 最终还是坦白了,尽管他的证词不是很完善。当调查人员询问他是否还有同党,并且表示已经掌握了同党的一些信息。Johnston 问调查人员,你们有掌握关于同党的实质性证据没有,调查人员表示没有。Johnston 告诉他们:“我有同党,就在天花板上。”

随后,Johnston 交代了他的作案过程,着实让人叹为观止,他先从 RET3 中偷偷换了一批已经翻新了的电脑(这些电脑是 Sprigg 负责翻新提供给监狱内部使用)。当 Canterbury 离开 P3 的监控区时,Johnston 偷偷将这些电脑带了进来,并将它们藏在天花板中,这样就可以远程控制它们了。Johnston 说,他是在 Canterbury 上网时,使用 shoulder surfed 的方法知晓他的密码的。(Meyer 并不信这套说辞,他认为他俩是同伙,但是没有确凿证据)

shoulder surfed

shoulder surfed 是一种社会工程学技术,并不需要太高超的技术,偷偷站在受害者背后,仔细观察其打字踪迹和周遭环境来窃取密码等。

远程登录

那又是如何做到远程登录的呢,Johnston 可以从附近的办公室(在这里,他可以使用电脑,上文提到过监狱内部有计算机教育课程,这给了他可乘之机)访问监狱内网,在那里没有人能发现他的所作所为。他交代,自己是从监狱内网系统中的 DOTS 中偷到犯人个人信息的。虽然这些信息都被加密了,但是 Johnston 直接在页面上查看代码,得到了原始数据。

上图是整个监狱的平面图,可以看出来 RET3 和 P3 之阿的距离还是很远的,那么 Johnston 又是如何将电脑从 RET3 运到 P3 的呢?

手推车

“手推车”,Johnston 告诉调查人员。

有一次,他需要用小车将一些卫生用品送到回收区(RET3)。而如果他想到达 P3 ,就必须经过”crash gate“(含有金属探测装置)。他将这些电脑和卫生用品混在一起,塞满了一箱子。而负责回收的 Transkiy 完全没有发现,而且竟然骗过了金属探测装置。

调查人员问道,Spriggs 是否是同党,Johnston 回答:”你自己去问他好了“。Spriggs 并没有承认。在最终的调查报告中,Spriggs 被定性为同党,但后来检察长又告诉我,Spriggs 只负责组装电脑,其他什么都不知道,所以也算不上同党。

接下来,Johnston 承认了他使用密码破解软件窃取其他管理员的登录账号(但他表示并没有恶意使用他们),并且伪造了一个新的登录权限,这样就可进入整个监狱的内网了。他表示自己这么做只是为了提高生产力。在调查过程中还发现了有一名犯人手里有装有色情片的 U 盘,Johnston 也承认是自己帮助他下载的,但这都是小事,因为监狱本身对于这些东西的管理就是不是很严格。Johnston 想做的还不止这些,他还伪造了一些假的报税表,这样可以得到一笔钱,他也没想到后来事情会愈演愈烈。

“毕竟我不是专家。”

“不,你很聪明,我们知道你很聪明。”

“我要是真聪明,就不会在这儿和你们说话了。”

尾声

8月,我在哥伦布州立大厦街对面高层的办公室见到了检察长 Meyer,当时是下午到的,办公室几乎没有什么人。

Meyer 的下巴很方,头发很茂密,不爱说话,他把我带到一个窗户前,我们低头看下面的建筑物,在阳光的照射下,房子的屋顶都很亮。Meyer 告诉我,他有时会招待外国访客,当解释他的工作时,他开玩笑说,就是帮助国家做一些”文案监审“工作。他对这份工作一直很新鲜,因为一直有很奇特的案子报过来,但他对 Johnston 的案子还是感到十分惊讶,包括媒体也是。Meyer 认为:

判处极刑的罪犯是否还可以接受一些培训,从而以后可以重返社会?

如果他们最终不能为社会经济做出贡献,那培训的目的又是什么呢?

这次事件带来的影响要比想象的大很多。在最终的调查报告公开之前,就已经有很多的工作人员牵涉其中离职退休了。监狱长也因此事离职。Canterbury 现在该州的一个县回收场所工作。Johnston 和 Gallienne 或会因这份报告受到刑事指控,但惩戒对象还是针对这次事件中管理人员的玩忽职守。但也很难将他们定罪。我采访的两个犯人在 9 月的时候又电邮了我,他们听说马里昂又有人因为使用非法 USB 设备被抓住了,这些设备很可能是黑客留下的工具。(监狱未对此事件进行回复)

Johnston,Spriggs,Transkiy 也都因此离开了马里昂。但是最亏的可能就是 Transkiy 了。

他第一次进监狱时因为贩毒,然而他不想对这件事谈论太多。但有一份报告显示:他谋杀了工作时的雇主。

在监狱服刑十年之后,他被转交给马里昂。在刚来马里昂的时候,没有太多有意思的事情可以做,而空闲时间又很多,这样人就容易无聊,他来信写道,自己没事的时候就会在监狱的走廊里踱步,这段时间持续了近 6 个月。而马里昂的改造计划可以说救了 Transkiy 了,看到当地媒体对监狱改造计划的报道,他还是感到很骄傲。

虽然 Transkiy 自己也感到古怪,但是并不清楚天花板的事情。他自己也通过了测谎仪测试,而且也没有任何证据表明他与整个案件有关联。但不管怎样,他还是逃不了干系,毕竟调查人员发现他违规使用了 Canterbury 的电脑。

而 Transkiy 并不觉得这是什么大事情,他说自己只是偶尔动动鼠标,还总被发现。

确实,在马里昂改造计划之前,没有太多有意思的事做了。

很明显,没有政策和条例可以满足我们的需求,我们关心的事情得不到保障。我想说的重点是, 监狱改造计划进展的太快了,对于安全上的问题考虑的还不是很周到,或者说这整件事情就是服刑人员再教育问题的先例,很不幸,它是一个牺牲品。

教育部研究人员,监狱电子杂志的作者 Michelle Tolbert 告诉我说,发展新鲜事物不总是一帆风顺的

Transkiy 给我看了 Johnston 写给他的一封信,Johnston 在信里面表达了对他的歉意:

我知道我毁了你的生活,对不起,总有一天我会补偿你的。

信中,Johnston 也谈到了以后的事:以后再减刑的时候,不妨来 Grafton 惩教所,这里和马里昂差不多,不那么无聊。

参考链接:

https://www.theverge.com/2017/10/10/16447264/prison-hacker-recycled-computer-fraud-ohio-marion-transkiy

https://youtu.be/V2O-SNK65O8

https://www.edpubs.gov/document/ed005580p.pdf

https://www.clevescene.com/cleveland/comrades-in-crime/Content?oid=1472982

*本文作者:Liki,转载请注明来自 FreeBuf.COM

近日,FireEye 开源了一款密码破解工具 GoCrack,可在多机器上部署破解任务。

GoCrack 是由 FireEye’s Innovation and Custom Engineering (ICE) 团队开发的密码破解工具,它便于使用,基于网页进行后台管理,可实时呈现数据结果。

FireEye高级漏洞工程师表示

你只需在一台机器上(支持GPU / CPU)部署 GoCrack 服务器, GoCrack 会自动在 GPU / CPU 机器上分配任务。

GoCrack 源码现已开源在 GitHub 上。

用户可以直接通过源码安装,或者使用 docker 容器安装必要组件

我们也使用了 Dockerfile 来帮助用户使用 GoCrack ,装有 Docker 的 Linux 服务器也可以安装相应组件。使用 NVIDIA GPU 的用户可以使用 NVIDIA Docker 在容器中完全访问 GPU。

使用 GoCrack

用户只需要一个简单的网页交互界面就可以创建,浏览,管理破解任务。

FireEye在GitHub上开源密码破解工具GoCrack

仪表盘

考虑到密码的敏感性,GoCrack 使用了授权系统,可防止用户(除了创建者或已经得到授权的用户)访问任务数据,而一些敏感操作,如修改任务,查看破解密码,下载任务文件等都可以被记录下来,并供管理员审核。

引擎文件(破解引擎使用的文件),如 Dictionaries,Mangling Rules等,这些都可以以共享的形式上传,其他用户可以在任务中使用它们,但不能下载或编辑,这也保证了敏感数据不会被查看。

在所有的引擎文件上传完之前,GoCrack 任务无法运行。

GoCrack 支持 hashcat v3.6+ ,不需要额外的数据库服务器(纯文件即可)并且支持 LDAP 和基于数据库授权。

GoCrack 计划增加对 MySQL 和PostgreSQL 数据库支持,这样可以实现更大的部署规模,方便在 UI 中管理和编辑文件,任务到期后自动结束和对 hashcat 引擎更高级的配置。

FireEye在GitHub上开源密码破解工具GoCrack

任务列表

FireEye在GitHub上开源密码破解工具GoCrack

任务状态

FireEye在GitHub上开源密码破解工具GoCrack

“破解的密码”选项卡

GoCrack 对测试密码健壮性十分重要

这个工具对于安全测试人员来说很有帮助,他们可以更好地测试密码健壮性,优化密码存储方案,审计当前密码需求,破解 exfil 档案中的密码等。

GoCrack 会记录下任何可疑行为,并且会对未授权的用户隐藏数据内容。

研究人员表示,GoCrack 很可能会成为一些不法分子的专属工具。

*参考来源:helpnetsecuritysecurityaffairs,FB小编 Liki 编译,转载请注明来自FreeBuf.COM

今天,卡巴斯基发布了新的研究报告,他们发现 Bad Rabbit 中有两个明显的漏洞。一些“幸运”的 Bad Rabbit 受害者或许可以利用这些漏洞来绕过赎金。

Bad Rabbit 并没有删除文件备份( shadow volume copies)

卷影拷贝服务是 Windows 系统在使用过程中,自动创建文件副本的一项服务。

勒索软件的工作原理是:首先创建一个文件副本,并加密这个副本,然后再删除原始的文件,而这些创建出来的副本文件都会被 Windows 认为是“in use”,也就是会被自动备份到内存中。这些文件本身不可见,会根据系统内存自动分配到内存空间上,并保留一段时间。

大部分的勒索软件都会删除卷影拷贝,这样可以防止硬盘恢复软件找到被加密的原始文件副本和未被加密的文件。

根据卡巴斯基的报告,Bad Rabbit 勒索软件中并没有专门的进程来删除卷影拷贝。虽然用户不能靠它恢复全部的文件,但也可以恢复一部分了。

解密密码中也存在漏洞,但并不容易破解

卡巴斯基研究员在解密密码上也发现了漏洞。

和其他通过硬盘加密的勒索软件相同,Bad Rabbit 会加密受害人的文件,MFT (Master File Table),并替换掉 MBR (Master Boot Record)来显示勒索信息。

在这个勒索信息中,受害者须付赎金,并将”personal installation key#1″中的代码复制到 Tor 站点中,然后获得解密密码。

而研究人员通过调试模式也可以获得解密密码:

我们发现 dispci.exe 中有一段代码错误,恶意软件生成的密码不会被从内存中删除,所以我们通过调试模式调取了恶意软件生成的密码,并在系统重启后输入这个密码,我们发现密码是有效的,进程也可以继续进行。

不幸的是,这个方法只可以绕过引导程序,用户开机重启之后,文件还是被加密的。因为这些密码已经从内存中删除了。

研究人员在 WannaCry 中也发现了类似的错误,但是这种错误在现实中很少见,通常只在进行研究的特定环境下才会出现。

*参考来源:bleepingcomputersecurityaffairs,FB小编 Liki 编译,转载请注明来自FreeBuf.COM

APT28 又开始活跃了,然而并没有什么用

APT28 看来可以获得今年安全奥斯卡的史诗级失败奖了。因为他们对参加 CyCon 安全大会的专家们使用了鱼叉式钓鱼攻击。

本月初,APT28 对 CyCon的参会人员发动了这次攻击,CyCon 是北约联合防御中心(CCDCOE)和西点军校网络研究所合办的安全会议。

APT28 这次真的太蠢了,对安全圈一点敬意都没有

很显然,参加这次会议的基本都是安全圈的专家,对鱼叉钓鱼,恶意软件和 APT 组织都太了解了。

而 APT28 呢,他们是否使用了还没曝出的 0day漏洞,来让专家措手不及?然而并没有。他们只是进行了简单的鱼叉式钓鱼攻击,邮件中带有宏病毒的 word 文件而已。

而参会的专家对这些伎俩可谓十分清楚了,他们才不会打开这些 word 呢。

但要是有 0day 的话,还是可以起点作用的。可 0day 很贵,而且只能用一次,因为马上就会被修复。对于这些珍贵的 0day ,APT 是怎么使用的呢?今年早些时候,APT28 使用 0day 漏洞对政府人员进行了攻击,但是这些人员本身没有经过特殊的安全培训,安全意识很低。

word 宏病毒这样的小把戏不起作用时才用 0day 好吧。

把宝贵的 0day 用来攻击安全意识很低的政府人员,杀鸡用了牛刀,拿 word 宏病毒这样的小把戏对付老道的安全专家,杀牛又用了鸡刀。

这次 APT28 的活动主事人应该好好反省反省了, APT28 名声还是很大的,毕竟他们成功攻击过 NATO,五角大楼,白宫,DNC和德国议会。用宏病毒对付安全专家这样的点子还是少出为妙。

Seduploader 木马

好,我们假设一下这样的伎俩让安全专家中了招,并且执行了宏病毒(沙盒环境),他们会发现文档会下载并安装 Seduploader ,这也是 APT28 经典的后门木马之一,主要用来侦查监听用户电脑。

APT28 又开始活跃了,然而并没有什么用

这次活动的发现者是 Cisco Talos ,更多细节请在这里查看。Talos 的团队将 APT28 称为 Group 74,他们还有其他的名字,比如 Fancy Bear,Sofacy,Sednit,Tsar Team,Pawn Storm和Strontium。

CyCon 大会的组织者也对此次攻击做出了预警

*参考来源:bleepingcomputer ,FB小编 Liki 编译,转载请注明来自FreeBuf.COM

FreeBuf 先前报道过,分发挖矿 javascript 的网站 CoinHive 被黑了,而且影响范围很广,今天,又有新闻爆出,前端领域经久不衰的老牌第三方库 jQuery 的官方博客也被黑了。

 jQuery

今天早些时候,网名为“n3tr1x” and “str0ng” 的黑客篡改了 jQuery 官方博客(blog.jquery.com)的主页。而 jQuery 的官方博客使用的是 WordPress 后台内容管理系统。我们在截图中可以看到,黑客使用了 Leah Silber (jQuery 核心开发人员 )的账号发了一篇文章。

The Hacker News表示,现在还没有证据表示,存放 jQuery 代码的服务器(code.jquery.com) 也被黑客入侵了。但是,这也不是没有可能的,毕竟用户量达百万的 WordPress 以前曝出过严重的 0day 漏洞

因此,黑客这次有可能不仅仅只是黑了 Silber 的账号,也许还利用了一些开发者不熟知的 WordPress 漏洞。

撰写这篇文章的时候,这个页面已经被 jQuery 官方删除了。但并未给出官方回复。

这已经不是 jQuery 的网站第一次被黑了。早在 2014 年,jQuery 主站(jQuery.com)就遭受过攻击,用户在访问时会被重定向到非法站点。

现在有上百万的网站直接调用 jQuery 站点上存储的 jQuery script,代码受到影响的的话,后果很严重。

CoinHive Hack

CoinHive 是一家为其他网站提供挖矿 JS 脚本的公司,这些脚本可以帮助站长利用网站访客的计算机 CPU进行挖矿,代替广告收入。

上个月,CoinHive 在我们的视野中出现过一次,网上曝出知名种子站海盗湾利用访客 CPU 的计算能力获取 Monero 虚拟货币。

而海盗湾用的就是 CoinHive 提供的挖矿代码,那要如何定义这些挖矿代码呢?它们既不是病毒也不是木马,安全人员认为,在用户不知晓的情况下偷偷利用用户计算机算力进行挖矿是不道德的。

本周一(10月23日),黑客拿到了 CoinHive 的 CloudFlare 账号,改变了网站的 DNS 解析,网站上存放的代码也动了手脚,影响了上千网站

CoinHive 也写了一篇博文对此事做出了回复:

10 月 23 日晚上,我们的 DNS 提供商(Cloudflare)账户已经被黑客入侵,而其中的 coinhive.com 的 DNS 记录也已被修改。coinhive.min.js 也已经重新定向到别的第三方服务器文件。

我们在安全上做的功课还是挺多的,所有的服务都使用了两步验证,所有的密码都是不同的,但我们还是忘记修改两年前的 Cloudflare 账户密码了。

站点使用挖矿代码,我们如何预防

上文中提到的海盗湾,在发现偷偷运行挖矿代码之后,也对此事做出了回应,表示这只是一次24小时的替代广告测试,并不会长久使用。但一个月之后,该站点又被发现偷偷使用挖矿代码,利用用户计算机 CPU 计算能力获取虚拟货币。

后来陆续发现, CBS ShowTime 旗下的两个网站也在使用挖矿代码,知名游戏 Grand Theft Auto V (GTA 5) video game 的一个 Mod 中也发现了挖矿代码。

还有报告表示,黑客在攻击网站的时候,会偷偷在网站代码中嵌入挖矿代码。因此,用户需要对此保存警惕。

谷歌研究人员对此表示,Chrome 或会开发出新的安全功能,默认组织挖矿代码的运行。此外,用户还可以使用 Chrome 插件 minerBlockNo Coin 阻止挖矿程序。

*参考来源:hackreadthehackernews,FB小编 Liki 编译,转载请注明来自FreeBuf.COM

今天是10月27日星期五,今天早餐铺的主要内容有:Bad Rabbit 或与 NotPetya 有关;百慕大法律公司Appleby承认泄露大量信息;Google Play Protect 对安卓病毒的检测能力不佳;“打包党”威胁愈加严重,甚至可以操控用户手机;美国也发现了少部分 Bad Rabbit 受害者;黑客劫持了 CoinHive 的 DNS ,利用上千网站进行挖矿。

landscape-1492181150-delish-breakfast-crunchwrap-supreme-2.jpg

【国际时事】

安全公司表示,这次的 Bad Rabbit 或与 NotPetya 有关

header-image.png

已经有很多安全公司确认,昨日大规模爆发的 Bad Rabbit 和今年六月底的 NotPetya 有很大的关联。

到目前为止,已经有 Bitdefender,思科Talos,ESET,IB组,Intezer实验室,卡巴斯基实验室,Malwarebytes 和安全研究员 Bart Parys 都已经发布相关报告揭示二者之间的联系。

思科的研究人员表示:“Bad Rabbit 和 NotPetya 是有相似之处的,因为它们都是在 Petya 的基础上演进的,但代码的主要部分已经被重写了。”

今年六月,ESET 就将 NotPetya 和去年和前年年底攻克乌克兰电网的TeleBots网络间谍组织联系起来了。其背后的团队从 2007 年以来就一直活跃着,并且使用很多的假名掩盖自己,如Sandworm,BlackEnergy 和最近的 TeleBots ,还有很少人知道的 Electrum,TEMP.Noble 和 Quedagh 。

[bleepingcomputer]

美国也发现了少部分 Bad Rabbit 受害者

昨天,FreeBuf 报道了 Bad Rabbit 在东欧的肆虐情况。它和 NotPetya / Petya 这样的勒索软件类似,会对受害者文件进行加密,对整个系统进行加密。并在电脑开机时显示勒索信息。

今天又有报道指出,病毒蔓延到了一些俄罗斯银行。

尽管黑客这次的主要目标并不是美国和其他西方国家,但根据 Avast 所说,他们已经在美国发现了 Bad Rabbit 感染用户。

以下是勒索软件的分布情况。

国家 受害者比例
俄罗斯 71%
乌克兰 14%
保加利亚 8%
土耳其 2%
美国 1%

[bleepingcomputer]

黑客劫持了 CoinHive 的 DNS ,利用上千网站进行挖矿

coinhive-696x449.jpg

近日,Coinhive 被劫持了。

Coinhive 向别的网站站长提供 JavaScript 脚本,可以使用网站浏览者的 CPU 进行挖矿。

据报道,有黑客入侵了 Coinhive 的 CloudFlare 帐户,修改了网站的 DNS,并将 Coinhive 官方的 javascript 代码替换成恶意版本,分发给上千的网站。

https://coin-hive[.]com/lib/coinhive.min.js

这次的 Coinhive 账户密码是在 2014 年的 Kickstarter 事件泄露出来的。很明显 CoinHive 并没有修改密码, 这也给了黑客可乘之机。

Coinhive 在一篇博文中写道:

10 月 23 日晚上,我们的 DNS 提供商(Cloudflare)账户已经被黑客入侵,而其中的 coinhive.com 的 DNS 记录也已被修改。coinhive.min.js 也已经重新定向到别的第三方服务器文件。

我们在安全上做的功课还是挺多的,所有的服务都使用了两步验证,所有的密码都是不同的,但我们还是忘记修改两年前的 Cloudflare 账户密码了。

[thehackernews]

Appleby,百慕大法律公司,昨日承认可能泄露大量信息

MeetingRoom.jpg

Appleby 是一家百慕大法律公司,专门为富人处理资产上的相关事务。昨天承认了去年发生过安全泄露事件。

公司表示,他们正在准备对外国媒体进行详细说明。

这次泄漏事件的来源是巴拿马的一家律师事务所 Mossack Fonseca。他们与记者分享了超过 2.6TB 的电子邮件 214488 名客户的内部文件,最早的一些文件可以追溯到 70 年代。

此次事件曝光了近一千一百万份资料,记者表示这些文件直至今日还在曝光中,甚至有记者因此失去了生命

Appleby在一份声明中表示:“我们确实发生了信息泄露事件,我们不否认这一点,也已经做了应对措施来处理此事,并向相关部门进行了通报。”该公司还说,媒体对此事的报道是不妥的,也是非常让我们失望的,他们在报道文章中大量使用了通过非法渠道获得的泄露信息。

[bleepingcomputer]

Google Play Protect 对安卓病毒的检测能力不佳

smartmockups0-5.png

上个月,德国软件测试实验室 laboratory AV 测试了20款安卓杀毒产品。近日,在对谷歌进行测试之后,显示的结果并不是很理想。

谷歌的 Play Protect system,可以防御安卓手机中的恶意应用程序,但在这次的测试中并没有比其他厂商好很多。

当使用较新的恶意软件样本进行测试时,谷歌只识别出了 20 个样本中的 6 个,而另外的产品做的就好很多了,检测率高达 99%,谷歌自家的 Play Protect 只有 65.8% 的检测率。

而对于老旧的病毒测试样本,谷歌的表现也不是很好,只识别出了 20 个中的 13 个,而其他产品的检测率是 93%以上,谷歌只有 79.2%。

[theregister]

【国内资讯】

“打包党”威胁愈加严重,甚至可以操控用户手机

13_IP_Services_Package_valeur_ajoutee.jpg

国内媒体根据前从业者透露的消息再次报道了应用打包党。所谓的打包党是指将互联网上热门的应用拆包,插入一些自己想要分发的东西再重新拼装,最后把这些“二次打包” 的软件重新发布,以此牟利。前从业者称,有一些圈内 “大神” 并不会满足捆绑几个 APP,赚应用厂商那点推广费用,更多的是向用户的话费、用户信息甚至支付软件下手。

有一款备忘录 APP,里面捆绑了一个程序,在用户通话的过程中会自动记录下通话录音,并且连同用户的通信记录一同发送给开发者。另外,还有一些伪装的不良社交 APP,在灰产操作下也是野草丛生,实现的功能也和这类似。最终用户信息会被高价售卖,因为里面包含了详细信息有用户名称甚至是常用昵称。”不过,这还不是最恐怖的。还有一种 APP 可以在用户联网的情况下,远程操控用户的手机。

[solidot]

*Liki 编译整理,转载请注明来自FreeBuf.COM 

已经有很多安全公司确认,昨日大规模爆发的 Bad Rabbit 和今年六月底的 NotPetya 有很大的关联。

到目前为止,已经有 Bitdefender, Cisco Talos, ESET, Group IB, Intezer Labs, Kaspersky Lab, Malwarebytes, 和安全研究员 Bart Parys 都已经发布相关报告揭示二者之间的联系。

思科的研究人员表示:

Bad Rabbit 和 NotPetya 是有相似之处的,因为它们都是在 Petya 的基础上演进的,但代码的主要部分已经被重写了。

坏兔子或与 TeleBots 有关

众多安全公司表示,这次的 Bad Rabbit 或与 NotPetya 有关

今年六月,ESET 就将 NotPetya 和去年和前年年底攻克乌克兰电网的TeleBots网络间谍组织联系起来了。

其背后的团队从 2007 年以来就一直活跃着,并且使用很多的假名掩盖自己,如Sandworm,BlackEnergy 和最近的 TeleBots ,还有很少人知道的 Electrum,TEMP.Noble 和 Quedagh 。

最让 TeleBots 出名还是那次对乌克兰的攻击事件,当时许多人都怀疑该组织是在俄罗斯境外运作的,并听命于俄罗斯当局。因为黑客是在俄罗斯吞并克里马亚(克里米亚以前是乌克兰的领土)之后才攻击乌克兰的。

6 月,TeleBots 的攻击节奏也变快了,当时爆发了大规模的 NotPetya 勒索事件,乌克兰用户在总的受害者比例中占了 60% 到 70%。

再说回这次的 Bad Rabbit ,情况就有点不一样了,虽然俄罗斯是这次攻击的重灾区(受害者高达70%),但对比乌克兰来说影响的效果并不大,因为乌克兰的被攻击目标都是一些非常重要的组织,比如机场,地铁系统和政府机构

此次攻击,黑客筹划了几个月

虽然很多研究人员都对 Bad Rabbit 的源码进行了分析,但还是有很多报告关注此次攻击背后的准备工作。

根据RiskIQ and Kaspersky Lab的研究人员所说,在 Bad Rabbit 活跃之前,最初黑客花费了几个月的时间来对网站进行攻击,并将虚假 Flash Player 升级提示代码植入这些网站中。

而只有像 TeleBots 这样的国家级黑客才可能会浪费 3 到 4 个月的时间来做准备工作。

并且 RiskIQ 还表示,有一些网站在去年就已经被攻击了,这也表明这些攻击者可能不只是一个组织。

研究人员表示Bad Rabbit 很可能只是一个烟雾弹

这也可以证明很多研究人员都将 Bad Rabbit 看成一个烟雾弹,它的出现是为了吸引大众视线,从而掩盖其他更危险的攻击。

专家认为,虽然调查人员都在研究这次攻击的技术底层,但是 TeleBots 还可能会悄悄地从这些敏感目标中(机场,地铁,政府机构)窃取到数据。而且他们还可能部署一个新的勒索软件来转移视线,销毁以前未被发现的入侵证据。

使用勒索软件来声东击西还是一个很新的概念,但是已经有现实中的例子了。

*参考来源:bleepingcomputer ,FB小编 Liki 编译,转载请注明来自FreeBuf.COM

近日,一种新型的恶意软件“Bad Rabbit”在东欧国家引起了一阵不小的骚乱,很多政府和商业机构都受到了冲击。撰写本文时,“Bad Rabbit”已经蔓延到了俄罗斯,乌克兰,保加利亚和土耳其已经确认的受害者有:乌克兰的敖德萨机场,基辅的地铁系统和基础设施部门;俄罗斯的两个新闻机构,InterfaxFontanka。乌克兰的 CERT 团队已经对国内企业发出警报,提醒他们注意此次事件。

此次 Bad Rabbit 的蔓延速度和今年五六月份爆发的 WannaCry 和 NotPetya 相近。

Bad Rabbit 通过虚假 Flash 更新进行传播

ESETProofpoint的研究人员表示,Bad Rabbit 最初是通过虚假 Flash 更新传播,但它也可通过网络内部横向蔓延,这也解释了它为什么能在短时间内横跨多个机构。

卡巴斯基发布的一份报告谈到,公司的遥测数据显示:“ Bad Rabbit 是通过网站诱导(drive-by attack)传播的,受害者会从合法的新闻网站重定向到伪造的 Flash 更新下载站点。”

根据 ESETEmsisoftFox-IT 的分析,Bad Rabbit 使用 Mimikatz 从本地计算机内存中提取凭证和硬编码凭证列表,它使用 SMB 和 WebDAV 访问同一网络上的工作站和 WebDAV [1, 2, 3]。

Bad Rabbit 还是一种磁盘编码器,和 Petya 和 NotPetya 类似。 Bad Rabbit 首先加密用户计算机上的文件,然后替换掉 MBR(主引导记录)。

完成以上任务之后,它会重启用户的电脑,而此时,用户电脑的 MBR 也被写入了勒索提示信息。这些信息和今年 6 月出现的 NotPetya 类似。尽管如此,在代码结构上来说,相似度并不是很高,Intezer 表示二者只有13%的代码复用

“Bad Rabbit”闪击东欧(文末附 IOCs)

勒索提示信息上显示,受害者需要使用 Tor 浏览器访问特定站点,支付赎金 0.05比特币(约280美元)。受害者需在 40 小时内支付赎金,否则金额还会上涨。

“Bad Rabbit”闪击东欧(文末附 IOCs)

仔细研究之后发现,Bad Rabbit 可能基于 DiskCryptor,它是一个开源的磁盘加密程序,和 HDDCryptor 类似。(今年早些时候,它攻击了旧金山的运输服务

Bad Rabbit 的源码中还包含了很多《权力的游戏》中的角色名,如 Grayworm。此外,该勒索软件设定的三个任务名就叫 Drogon, Rhaegal, 和 Viserion,这是《权力的游戏》中三条龙的名字。

《权力的游戏》已经不是第一次出现在勒索软件中了,比如上次的加密勒索软件中就看到了它的身影

“Bad Rabbit”闪击东欧(文末附 IOCs)

Drogon scheduled task

Bad Rabbit 的技术信息

完整的技术分析还没出来,以下是我们掌握的相关信息。

正如上文所提到的,Bad Rabbit 这次是将目标对准了俄罗斯和东欧国家,通过虚假 Flash 更新站点诱导受害者下载勒索软件。当用户点击这些文本时,install_flash_player.exe 会自动下载。

当执行完这个程序之后,它会生成一个文件 C:\Windows\infpub.dat,并使用命令行执行 C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat, #1 15

“Bad Rabbit”闪击东欧(文末附 IOCs)

Infpub.dat Executed via Rundll32.exe

一旦执行之后,Infpub.dat 会创建文件 C:\Windows\cscc.dat 和 C:\Windows\dispci.exe。Cscc.dat 就是DiskCryptordcrypt.sys换个名字而已,然后 Infpub.dat 会创建一个 Windows 服务—— Windows Client Side Caching DDriver,用来执行 cscc.dat driver。

当电脑中出现用户记录时,Infpub.dat 还会创建一个 task 来执行 dispci.exe,名为 Rhaegal,也是《权力的游戏》里面的角色。这个 exe 会执行命令: “C:\Windows\dispci.exe” -id [id] && exit

“Bad Rabbit”闪击东欧(文末附 IOCs)

cscc.dat driver 和 dispci.exe 用来加密硬盘和修改 MBR,在受害者打开电脑的时候,就可以看到勒索提示信息了。

“Bad Rabbit”闪击东欧(文末附 IOCs)

Bad Rabbit Boot Lock Screen

Infpub.dat 当然还有别的功能,安装完 DiskCryptor 组件之后,它还会对受害人文件在用户态上进行一次加密。似乎使用的是 AES 加密。

加密文件的 AES key 会用内嵌的 RSA-2048 公钥加密。现在还不知道最终的加密 key 在哪,但很可能是在被加密的文件中。

Bad Rabbit 加密文件时和别的勒索软件不同,它不会在加密文件后面加入新的扩展名。但它会在每个文件末尾插入加密后的标记字符串

“Bad Rabbit”闪击东欧(文末附 IOCs)

Encrypted File Marker

最后,Infpub.dat 还可以将 Bad Rabbit 通过 SMB 传播到其他电脑中。它通过 SMB 访问网络共享来窃取受害者电脑中的凭证和用户名密码。如果可以访问远程网络共享,它还会马上将自己复制,并在其他电脑上运行勒索软件。

这是 SMB 流量情况:

“Bad Rabbit”闪击东欧(文末附 IOCs)

SMB Traffic

最后,Bad Rabbit 还会创建两个新 task 来重启计算机。这些 task也是用《权力的游戏》中的角色命名的——drogon viserion。这些 task 用于关闭并重启计算机,这样就可以在用户登录时执行其他程序,或是 Windows 启动之前锁定屏幕。

如何防范 Bad Rabbit:

建议用户关闭 WMI 服务,这样勒索软件就不会传播到你的网络上。

大多数的恶意软件都是通过钓鱼邮件,网站,app,第三方平台上的恶意广告传播的。所以,对那些来历不明的文件和网站,还是要格外小心。

而且,永远都不要从第三方平台下载 app,在官方平台下载时也要先阅读下面的评价。

对数据也要十分警惕,随时保持备份到存储设备上。

安装有效的杀毒软件,并时常更新。

附录:Bad Rabbit IOCs

Hashes:

install_flash_player.exe: 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
infpub.dat: 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
cscc.dat (dcrypt.sys): 0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
dispci.exe: 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

Files:


C:\Windows\infpub.dat
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
C:\Windows\cscc.dat
C:\Windows\dispci.exe

Registry entries:


HKLM\SYSTEM\CurrentControlSet\services\cscc
HKLM\SYSTEM\CurrentControlSet\services\cscc\Type 1
HKLM\SYSTEM\CurrentControlSet\services\cscc\Start 0
HKLM\SYSTEM\CurrentControlSet\services\cscc\ErrorControl 3
HKLM\SYSTEM\CurrentControlSet\services\cscc\ImagePath cscc.dat
HKLM\SYSTEM\CurrentControlSet\services\cscc\DisplayName Windows Client Side Caching DDriver
HKLM\SYSTEM\CurrentControlSet\services\cscc\Group Filter
HKLM\SYSTEM\CurrentControlSet\services\cscc\DependOnService FltMgr
HKLM\SYSTEM\CurrentControlSet\services\cscc\WOW64 1

Ransom Note:

Oops! Your files have been encrypted.

If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.

We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.

Visit our web service at caforssztxqzf2nm.onion

Your personal installation key#1:

Network Activity:


Local & Remote SMB Traffic on ports 137, 139, 445
caforssztxqzf2nm.onion

Files extensions targeted for encryption:


.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

Embedded RSA-2048 Key:


MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

参考链接:

https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-hits-eastern-europe/

https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html?m=1

http://securityaffairs.co/wordpress/64713/malware/bad-rabbit-ransomware.html

http://www.securityweek.com/bad-rabbit-ransomware-attack-hits-russia-ukraine

https://www.bleepingcomputer.com/news/security/lokibot-android-banking-trojan-turns-into-ransomware-when-you-try-to-remove-it/

*本文作者:Liki,转载请注明来自 FreeBuf.COM