如同蜂蝶追花逐蜜一样,网络不法分子总是青睐最新的漏洞利用,企图以最小的付出快速赚到大钱。勒索软件和挖矿劫持猖獗的时代已经过去,现在是Formjacking的天下。

在赛门铁克《互联网安全威胁报告》中,对全球威胁活动、网络犯罪趋势和攻击者动机进行了深入剖析,提出了自己的最新见解。其中,分析数据来自全球最大的民用威胁情报网络,即赛门铁克全球情报网络。该网络覆盖全球1.23亿个攻击传感器,日均拦截威胁数量达1.42亿个,有效跟踪全球157多个国家/地区的威胁活动。

FORMJACKING

formjackingcibercriminalessymantec.jpg

Formjacking正成为网络犯罪分子快速致富的利器

Formjacking攻击方法简单且有利可图:网络犯罪分子将恶意代码植入零售商网站以窃取购物者的信用卡详细信息。平均每个月就有4800多个独立网站遭到攻击。

无论是知名大企业(例如特玛捷票务和英国航空公司)还是中小型企业都未能幸免。犯罪分子去年一年即从中获利数千万美元。

他们仅需在每个受感染的网站盗取10张信用卡信息,即可获得最高为220万美元/月的收益,因为在地下销售论坛每张信用卡最高可卖到45美元。仅英国航空公司在攻击中就有超过38万张信用卡信息被盗,给犯罪分子送去 1700 多万美元的净收益。

RANSOMWARE(勒索软件)&CRYPTOJACKING(挖矿劫持)

12-160420163J0X5.png

活动有所减缓,但从未停止

勒索软件和挖矿劫持曾是网络犯罪分子首选的赚钱法宝。但随着2018年的收益锐减,其活动频率有所减缓。

勒索软件攻击数量自2013年以来首次出现20%的总体下滑,但针对企业的攻击数量则上升了12%。

由于加密货币价值暴跌90%,挖矿劫持的攻击数量在2018年也随之下降了52%。尽管如此,由于门槛低且开销小,挖矿劫持仍然深受犯罪分子青睐;2018年,赛门铁克拦截的挖矿劫持攻击数量达到上一年度的四倍。

TARGET ATTACKS(目标性攻击)

While-not-seen-in-many-headlines-currently-targeted-attacks-continue-to-pose-a-threat-to-todays-enterprises-and-its-imperative-that-those-in-charge-of_459_40162903_0_14135970_500.jpg

目标性攻击者具有疯狂的破坏欲

供应链攻击和离地攻击现已成为网络犯罪的主流:2018年供应链攻击增加了78%。

离地攻击技术会将攻击者隐藏在合法流程中。例如,去年恶意PowerShell脚本使用量暴涨1000%。

赛门铁克每个月阻止的恶意PowerShell脚本多达11.5万个,但这个数字在PowerShell总体使用量中却只占不到百分之一。如果全面阻止所有PowerShell活动,势必会干扰到正常业务。这进一步揭示了为何众多目标攻击团伙将离地攻击技术作为首选,就是因为它的活动隐秘性。

攻击者还愈加频繁地使用鱼叉式网络钓鱼等屡试不爽的方法,对企业进行渗透攻击。尽管攻击者的首要动机是收集情报,但部分团伙同时也专注破坏。目前,近十分之一的目标性攻击团伙借助恶意软件来破坏和干扰业务运营,这一数字比上一年上升了25%。

一个明显的例子就是Shamoon,它在沉寂两年之后重新归来,广泛部署数据擦除恶意软件,删除目标企业计算机上的文件,在中东地区造成了恶劣影响。

CLOUD(云)

雲端不安全-服務條款要注意.jpg

云挑战:云端存储,安全至上

一个配置不当的云端工作负载或存储实例可为企业造成数百万美元损失或重大合规问题。2018年,因S3存储桶配置不当而导致信息泄露或失窃的记录超过7000万条。网络上有众多工具可让攻击者识别出配置有误的云资源。

硬件芯片漏洞(包括Meltdown、Spectre和Foreshadow)允许入侵者访问同一物理服务器中所托管云服务上的受保护内存空间。如果这一漏洞被成功利用,攻击者就可以堂而皇之地访问通常被禁止的存储位置。

这样会对云服务造成很大困扰,因为云实例虽然各有其自身的虚拟处理器,但却共享内存池,这就意味着对单个物理系统的成功攻击极可能导致多个云实例的数据泄漏。

IoT(物联网)

qita-zhizhi4.jpg

常用的物联网设备是攻击者的最佳目标

尽管路由器和联网摄像机占到受感染设备的90%,但几乎每一种物联网设备,从智能灯泡语音助理,都很容易遭受攻击。

目标性攻击团伙对物联网的兴趣与日俱增,将其作为入侵点用来销毁或擦除设备、窃取凭据、数据和拦截SCADA通信。

而工业IT发展成了潜在的网络战场,诸如ThripTriton等威胁团伙即隐藏在具有感染性的操作和工业控制系统中。

*参考来源:symantec,Karunesh91整理,转载请注明来自FreeBuf.COM

2019年2月Check Point恶意软件调查榜单出炉。尽管Coinhive已经在2019年3月8日关闭,但是在Check Point的全球威胁指数调查中,它的威胁仍旧居高不下。

money-skull.jpg

GandCrab勒索软件

恶意软件中的新贵。在过去两个月中,研究人员在一系列针对日本、德国、加拿大和澳大利亚的恶意行为中多次发现了GandCrab的活动迹象。Check Point研究人员发现,最近的一次活动中该恶意软件出现了新的变种版本。 

更新之后的GandCrab 5.2,其功能没有发生明显的变化,但采用了新的加密方式,导致之前针对该软件的解密工具成为了摆设。

Cryptominers(恶意挖矿软件)

2月份最常见的恶意软件仍旧是加密系列。其中,Coinhive仍然是全球范围内影响力最大的恶意软件,百足之虫,死而不僵。其对世界上10%的组织机构仍旧存在影响。当然,一直以来Coinhive的影响力也在不断下降,从2018年10月的18%降至2019年1月的12%再到现在的10%。下降的具体原因则是由于采矿成本的上升和门罗币价值的下降。 

Cryptoloot则在2月取代了XMRig上升至第二位,紧随其后的是Emotet:一种先进的、可自我传播的模块化木马软件,超过了曾经Jsecion的位置排在第三位。 

Check Point威胁情报和研究总监Maya Horowitz表示,恶意软件的威胁行为在不断的利用新的方式进行传播,同时也在不断研究现有恶意软件的新变种。GandCrab新版本的出现再次证明了,恶意软件的威胁不是一成不变的,而是在不断的发展以规避现有的安全检测技术。为了解决这个问题,安全研究人员也需要根据恶意软件家族的DNA来对其进行不断的追踪,也就代表着,各个安全组织必须时刻保持其安全解决方案的更新速率。

2019年2月恶意软件“通缉令” 

1.Coinhive 

臭名昭著的挖矿软件。通过植入JS脚本,在用户访问网页的过程中即可执行门罗币在线挖掘,无需用户知情或同意。在其挖矿过程中会占用非常多的系统资源,并可能导致系统崩溃。 

2.Cryptoloot 

还是挖矿软件。该软件可使用用户的CPU或GPU及系统现有资源进行加密货币挖掘-向区块链添加交易并释放新货币的过程。作为Coinhive的竞争对手,该软件企图通过低收入高数量的方式在对标中取得胜利。 

3.Emotet 

高级的、具备自我传播能力和模块化的木马软件。Emotet曾被用作银行木马,最近一段时间开始在恶意软件和恶意广告中出现,同时也在网络钓鱼和包含恶意附件的邮件中大肆传播。该软件具备多种规避技术来避免检测功能使其成为热门“选手”。 

2019年2月移动端恶意软件前三甲 

1.Lotoor 

Lotoor成为了移动端最流行的恶意软件,取代了曾经的领头羊Hiddad。这是一款可以利用安卓系统上的漏洞感染并获取移动设备root权限的黑客工具。 

2.Hiddad 

安卓端恶意软件。其功能是将合法的应用程序重新打包,并将其发布到第三方应用商店。主要是通过显示广告对系统进行感染,使得攻击者能够访问其系统的关键位置以及获取用户数据。 

3.Triada 

安卓系统模块化后门软件。为用户下载的恶意软件赋予超级用户的权限,并将其嵌入到系统进程中。该软件也被用于欺骗浏览器加载的URL。 

2019年2月热门漏洞 

1.Microsoft IIS WebDAV ScStoragePathFromUrl缓冲区溢出漏洞(CVE-2017-7269) 

通过Microsoft Internet Information Services 6.0将攻击者设计的网络通过请求发送到Microsoft Windows Server 2003 R2中,随后远程攻击者便可通过该漏洞执行任意代码或拒绝目标服务器上的任何服务请求。该漏洞出现的主要原因是由HTTP请求中对长报头的不正确验证而导致。 

2.OpenSSL TLS DTLS心脏滴血漏洞(CVE-2014-0160,CVE-2014-0346) 

OpenSSL中存在信息泄漏漏洞。该漏洞是由于处理TLS/DTLS的包时出错,从而导致攻击者可利用漏洞连接客户端并访问用户内存。 

3.PHPMyAdmin代码注入漏洞 

该漏洞是由于PHPMyAdmin配置错误造成。远程攻击者可通过该漏洞直接向目标用户发送特定的HTTP请求进行攻击操作。

正如安全研究人员所说,现在的网络世界,技术不断革新带来的不仅仅是安全防护水平的提升,黑客水平也在不断进步,为了应对可能存在的任意威胁,作为网络安全从业者也必须时刻保持警惕。

*参考来源:helpnetsecurity,Karunesh91编译,转载请注明来自FreeBuf.COM

各位Buffer早上好,今天是2019年3月11日星期二。今天的早餐铺内容主要有:刚说想吃“日料”马上首位推荐 外卖App在“偷听”你说话吗?一家健康科技公司正在泄露大量医疗记录和处方;18岁日本少年被控窃取13万美元数字货币;以色列总理候选人遭伊朗网络间谍攻击,个人数据泄露;Play Store发现SimBad恶意软件,1.5亿Android用户成受害者。

20170614113739_54608.jpg

刚说想吃“日料”马上首位推荐 外卖App在“偷听”你说话吗?

2018年11月,有用户投诉称,怀疑外卖App在“偷听”自己说话,并根据偷听到的内容推荐店家。为此《IT时报》记者陆续用了3个多月的时间,对两款主流外卖App饿了么和美团外卖做了测试,在苹果手机、安卓手机、iPad等三种设备上,重新下载App,并在没有任何搜索记录的前提下,当着设备随意说出自己想吃的菜系,从结果来看,在随后数分钟到数小时的时间里,出现相关推荐的概率高达60%-70%。

对此,饿了么相关人士表示,饿了么既没有做类似的产品设置,也不具备相关技术条件,饿了么严格保护用户隐私,任何必要的信息采集都会在取得用户事先同意的前提下进行,在合法合规的范围内使用。美团人士则回应称,有关“根据麦克风收录的语音关键词为点外卖的用户做推荐”的行为并不存在,美团外卖只会在获得用户语音使用授权,且用户主动发起美团外卖App内的语音输入行为时,才会使用麦克风。此外,美团外卖仅会在用户表达了明确需求信息、进行主动查询后,才会进行相关推荐输出。

目前,最新iOS版美团外卖、饿了么,都不再索取麦克风权限,不过安卓版里的录音权限依然存在。[it-times]

一家健康科技公司正在泄露大量医疗记录和处方

外媒TechCrunch报道,一家健康科技公司在安全证书失效导致服务器没有密码后,每天泄漏数千张医生药方、医疗记录和处方。这家名不见经传的软件公司来自加利福尼亚州的Meditab,自称是医院、医生办公室和药房领先的电子医疗记录软件制造商之一。该公司为医疗保健提供商处理电子传真,仍然是将患者文件共享给其他提供商和药房的主要方法。

据发现数据的安全公司称,该传真服务器没有得到妥善保护。自2018年3月创建以来,公开的传真服务器运行的Elasticsearch拥有超过600万条记录。由于服务器没有密码,任何人都可以实时读取传输的传真,包括其内容。

根据对数据的简要回顾,传真包含大量个人身份信息和健康信息,包括医疗记录、医生药方、处方数量和数量,以及疾病信息等。传真还包括姓名、地址、出生日期,在某些情况下还包括社会安全号码和健康保险信息以及支付数据。传真还包括有关儿童的个人数据和健康信息。没有数据被加密。[cnbeta]

18岁日本少年被控窃取13万美元数字货币

一名18岁日本少年被控窃取了价值13万美元的数字货币。日本警方称这是第一次有人因为数字货币相关的黑客案件面临刑事指控。

去年8月14日到9月1日期间,这名少年利用礼品卡功能漏洞重复给自己充值,从萌奈币钱包服务Monappy的7735用户账号窃取了93078.7316个萌奈币。他使用了智能手机和Tor尝试隐藏身份,但未能成功,警方通过分析Monappy提供的服务器日志识别了他的身份。他声称就好象玩电玩发现了一个没人知道的技巧。[bleepingcomputer]

以色列总理候选人遭伊朗网络间谍攻击,个人数据泄露

以色列辛贝特国家安全局(Shin Bet internalsecurity service)称,伊朗网络间谍侵入了总理候选人Benny Gantz的手机,暴露了他的个人数据。伊朗黑客干扰了以色列前军事部长Benny Gantz的竞选活动,Benny Gantz是以色列总理Netanyahu下届选举中的主要竞争者。

据以色列情报部门称,网络间谍侵入了Gantz的移动设备,将他的个人信息和地址交到了对手手中。Gantz的发言人称,黑客在以色列4月9日大选前几周泄露窃取的数据,目的是破坏Gantz的政治竞选活动。

微软的安全专家曾警告,与伊朗有关的黑客组织正试图渗透全球的系统、企业和政府。会造成一系列经济损失。据微软称,在过去两年中,伊朗黑客已窃取了200家公司的秘密数据,并从其计算机网络中删除信息,造成了数亿美元的损失。[secrss]

Play Store发现SimBad恶意软件,1.5亿Android用户成受害者

Check Point的IT安全研究人员发现了一个复杂的恶意软件攻击行动,该行动通过谷歌Play Store在全球范围内针对Android用户进行攻击。到目前为止,已有超过1.5亿用户成为该软件的受害者。

研究人员称:“这是一个名为SimBad的恶意软件其感染的应用程序全部都是模拟器游戏。SimBad的恶意软件伪装成广告以避免引起怀疑。深入研究发现,该恶意程序代码隐藏在用于推销和盈利目的的软件开发工具包(SDK)后面,很难被发现。感染SimBad恶意软件后,除了显示恶意广告,SimBad还可以将受害者重定向到受攻击的网站,并从Play Store或远程服务器下载更多恶意应用程序来实施钓鱼攻击。

Check Point的研究人员Elena Root和Andrey Polkovnichenko在他们发表的博客文章中说:“这个恶意的SDK很容易骗过开发者,他们甚至不知道自己创造的内容导致了这次攻击行动。由此可见,此次攻击并非针对特定地区发起,恶意程序也不是由同一个开发者开发。”[leiphone]

社交软件几乎我们每个人都会接触,朋友日常交流、同事工作沟通、甚至还会成为新闻信息获取渠道。在我们跟这些平台“打得火热”的同时,却已经有人开始通过它们“赚钱”了。不久前,根据萨里大学犯罪学高级讲师Mike McGuire博士进行的为期六个月的学术研究成果证明,当下时间,社交媒体网络犯罪每年在全球范围内创造的收入至少达到了325亿美元。

主要结论

Cyber theft.png

*五分之一的组织机构感染了通过社交媒体传播的恶意软件;

*2015-2017年间,通过社交媒体的犯罪相关报道在美国地区数量增长了300多倍,在英国则是在2013-2018年间增长了两倍有余;

*过去五年内,超过13亿社交媒体用户深受数据泄露的危害,2017-2018年间,非法交易的数据中约有45-50%可能与社交媒体遭到攻击数据被泄露有关,全球五大托管加密代码的网站中有四个是社交媒体平台;

*2017-2018年,受密码类恶意软件感染的企业数量翻了一倍;

*社交媒体平台中包含的内容有20%的比例可将恶意软件传递给用户,例如广告、股票、插件、电子商务、数字媒体或企业网站等;

*自2016年以来,社交媒体的存在帮助人才招募数量提升了36%,但自2017以来犯罪分子在欺诈方面的收入增加了60%。

Bromium首席执行官Gregory Webb认为,当今时代,社交媒体几乎无处不在,多数企业员工在工作时间也会使用社交媒体,这种行为会将他们的企业信息、地方政府以及个人数据置于非常危险的境地。黑客正在利用社交媒体作为入口,将员工作为“突破点”,去攻克那些他们认定的企业高价值资产。当然,增加对这方面的了解是预防的第一步,但从企业的角度来讲,必须对社交媒体的使用做出一些改变。

四处横行的挖矿和数字货币诈骗

2017年以来,全球范围内已检测到的加密恶意软件数量增加了400%至600%,其中绝大多数都是在社交媒体平台上发现的。在发现主机挖矿软件的全球前20的网站中,其中有11个是社交媒体平台。应用程序、广告和外部链接一直以来都是加密软件在社交平台上的主要利用机制。本次研究检测到的大多数恶意软件采用的都是门罗币(80%)和比特币(10%),此二者每年可以为网络犯罪分子赚取2.5亿美元。

McGuire博士认为,Facebook Messenger在传播类似Digmine这样的加密软件的过程中发挥了重要作用。同时他们还在YouTube上发现了另一个例子:用户在点击广告的同时便感染了加密恶意软件,而在感染之后,加密软件就会占据80%以上的CPU资源来进行挖矿服务。对于个人来说,这会在用户使用电脑的时候带来糟糕的体验;对于企业而言,这种类型的恶意软件所带来的防护成本非常高,并且不断加剧的网络态势下企业仍需不断提升IT资源,因此可能造成的危害也会持续加大。

此外,社交平台对于涉及诈骗性质的加密货币投资和数字货币诈骗的业务也越来越重要。McGuire博士表示,社交媒体的一个趋势是黑客会去劫持经过他们验证存在价值的帐户,例如此前盗用英国零售商马塔兰的twitter帐户并将其改为马斯克的信息进行欺诈活动。

社交媒体成为完美载体

Crimeware.png

研究发现,现在多数互联网犯罪软件、工具或服务都在通过社交媒体平台来进行传播。其中,有一种类似“黑客租赁”的模式,在所有受检社交媒体网站中出现比例高达40%,黑客可帮助用户进行攻击服务、提供黑客工具、教程等,并且还会出售泄露、被盗的数据,如信用卡信息之类,该服务每年可为网络犯罪分子“创收”6.3亿美元。

“社交平台和暗网中的一些物品区别正逐渐变得模糊,工具、数据甚至服务都是可以公开提供的,这比在暗网上的营销更加便捷”,McGuire博士说。YouTube、Facebook、Twitter以及Instagram上都出现了僵尸网络租用的证据,价格从每月10美元(一个带有教程和技术支持的全套服务)到25美元的终身订购(比亚马逊Prime还便宜)。对于企业而言,这又是一个非常危险的信号,即网络犯罪工具和服务随时随地都有可能发生。

社交媒体平台已成为恶意软件传递的主要来源。研究发现,社交媒体上高达40%的恶意软件感染来自恶意广告,至少有30%来自插件和应用程序,其基本都是通过”额外提供“的功能来吸引用户。一旦用户点击,恶意软件便会执行。黑客能够窃取用户数据,安装键盘记录程序,提供勒索软件等。恶意软件的大肆传播也多得益于不同社交媒体网站会跨平台共享用户配置文件,也就是所谓的”大数据“。无形之间,数据共享反而为犯罪分子提供了便利。

传统犯罪在社交媒体中重获新生

社交媒体平台为传统犯罪活动提供了繁荣丰富的犯罪生态系统,给予犯罪分子提供了大量用于洗钱或是短时间内赚取大量资金的机会。NcGuire博士表示,不仅仅是网络犯罪,传统犯罪也能通过社交媒体平台来实现。非法销售处方药每年可以给犯罪分子提供约19亿美元的收入。同时,大量药物如GHB、甚至大麻,都已经被人们发现在Twitter、Facebook、snapchat等平台出售。社交媒体正逐渐汇聚各种各样的金融或在线犯罪行为。本次调查中所有社交媒体的发布内容中约有0.2%涉及金融欺诈,这也可以给犯罪分子带来每年约2.9亿美元的收入。

当今时代,随着网络技术的高速发展,犯罪分子已经迅速了解并学会了如何利用社交媒体来带动他们的”犯罪产业“。作为互联网、社交媒体的日常用户来说,规范自身使用习惯、区分工作以及日常生活,增强对不安全内容的甄别能力,便是当下最简单、也是最有效的方式了。

*参考来源:bleepingcomputer,Karunesh91编译,转载请注明来自FreeBuf.COM

各位Buffer早上好,今天是2019年3月12日星期二。今天的早餐铺内容主要有:携程疑再现“大数据杀熟” ,机票重搜贵了近1500元;Citrix收FBI警告:6TB至10TB敏感数据被窃;利用恶意插件收集用户数据,​Facebook起诉两名开发者;日本警方指控分享无限循环弹出窗代码的13岁女孩;职业病?网络安全专家居然在航班上“玩坏了”机载娱乐系统。

timg.jpg

携程疑再现“大数据杀熟” ,机票重搜贵了近1500元

据微博网友爆料,携程疑似再次出现“大数据杀熟”现象。用户“陈利人”表示,日前在携程购买了一张机票,总价格17548元,下单时间为10:47;他支付前尝试修改订单,退回去之后再去支付,就被告知没有票了,让回去重新选择,重新搜索时,价格变成了18987元。随后他在海航官方查看发现,同样的行程,不但有票,而且价格比携程便宜不少。时间是12:24,价格是16890元。携程的牌坊再一次在用户心中崩塌。[sina]

Citrix收FBI警告:6TB至10TB敏感数据被窃

软件制造商Citrix近日承认公司已经沦为数据泄露的新受害者,导致国际黑客窃取了大量的数据。公司表示美国联邦调查局(FBI)已经就此事和公司取得联系,并警告称本次网络攻击行为极有可能是伊朗黑客组织所为,窃取了6TB至10TB的商业文件。

针对本次安全事件,Citrix已经采取积极措施。公司表示:“我们已经全面配合FBI开展调查,并且聘请了一家专业领先的网络安全公司提供协助,巩固我们的内部网络。”随后公司补充道Citrix的任何产品或者服务没有任何迹象表明它们的安全受到了损害,但也承认并不清楚有多少或者哪些文件被访问过。

根据披露的细节显示,黑客使用了一种名为“password spraying”的策略,他们利用弱密码获取有限的访问权限,然后努力绕过其他安全系统。在3月6日被FBI通知之前,网络安全公司Resecurity表示,它已于12月28日联系该公司。公司认为在最近的两次袭击中,有6-10TB的数据被盗,重点是与FBI,NASA和航空航天业以及沙特阿拉伯国有石油公司有关的文件。[citrix]

利用恶意插件收集用户数据,​Facebook起诉两名开发者

当地时间星期五,Facebook起诉两名乌克兰人利用测试应用收集用户的私密数据,在用户的消息流中插入广告。

在2017年至2018年期间,两名被告诱使Facebook用户安装自称与星座、性格测试有关的恶意浏览器插件,受影响的用户达到约6.3万人,其中主要是俄罗斯和乌克兰用户。被告的应用利用了Facebook的登录功能,承诺只收集有限的信息。应用会诱导用户安装浏览器插件,从而使他们能获得用户Facebook(和其他社交网络)账户的访问权限。

起诉书称,除自行发布广告外,被告还收集了用户的公开档案信息和不公开的好友列表。他们还可能与去年出售8.1万名用户私密信息的事件有关。Facebook在起诉书中表示,被告“给Facebook的声誉造成不可挽回的损害”,并且Facebook不是唯一受到影响的社交网络,但没有提及具体的其他社交网络。[ifeng]

日本警方指控分享无限循环弹出窗代码的13岁女孩

日本一名13岁女孩在网上遭遇Javascript无限弹窗然后觉得好玩而将代码在论坛上进行分享,结果遭到了刈谷警方的询问和指控。

此事引发了广泛争议,以至于日本程序员Kimikazu Kato在GitHub上发起了快来逮捕我的抗议活动,呼吁大家一起分享JS无限弹窗代码,让日本警方来逮捕他们或者去警局自首。

这段无限循环代码主要影响桌面版Chrome和移动浏览器,而Edge和Firefox浏览器则不受影响,可以正常关闭窗口。代码是在2014年写的,已经被很多人分享过,而这名女孩不是唯一一位受到调查的,还有另外两人受到调查。[solidot]

职业病?网络安全专家居然在航班上“玩坏了”机载娱乐系统

最近,西苏格兰大学助理教授Hector Marco在越洋航班上发现了飞行娱乐系统屏幕上的拒绝服务攻击 Bug(CVE-2019-9109),他的发现可能会让大量搭载Thales设备的航班头大。

Marco在YouTube上发了视频,解释自己是怎么在娱乐系统屏幕上操作鼠标的。他“不厌其烦”的在屏幕上复制粘贴一长串字符,其中还有像“fdkfdkfdkfdkfdhhhhhhhh”这样的文字。不久之后,这个应用就卡住了。好在,这并没有影响这架波音飞机上其它乘客面前的屏幕。

不断在输入区域复制粘贴长传文本是一种渗透测试技术。这样操作会引发软件缓冲区溢出,内存保护机制就无法起效了(比如ASLR)。几年前,Marco和另一个研究人员就发现,只要连敲退格键28次,就能绕过Linux bootloader Grub2的启动认证。

虽然搞瘫痪了面前的娱乐系统,但Marco也承认,他并不清楚自己在这次越洋航班上到底发现了什么。他只是表示:“这个问题更像缓冲区溢出,但也不能排除内存不足或类似原因。既然它被分类为未知类型的漏洞,我们就该寻找真正原因并作出修正。”[cnbeta]

近两年,着实成了数据泄露的大年,尽管GDPR颁布,但数据泄露事件却有愈演愈烈的趋势。

1月30日上午,一位名叫“Andrev”的黑客通过Pastebin发布了一则消息,声称其攻击了LinkedIn服务器,并窃取了约1.59亿的用户信息。为证实其行为,他发布了一个包含100个用户的信息名单,名单中包括帐户信息、登陆密码等。据称,泄露的用户中包含一些国际知名企业CEO。

目前,该黑客拒绝公布泄露数据的内容,并且打算将整个数据库信息打包出售,标价99美元。另外,对于无购买意向的人,黑客也表示可以收费提供个体攻击服务(任何想要攻击的人,你出钱,我办事),费用为0.012比特币(约41美元)。

已有媒体根据黑客放出的数据,对其中的部分用户邮箱尝试取得联系,但目前尚未得到任何回应。无论如何,所有LinkedIn的用户请尽快修改密码,以避免不必要的损失。

针对此次泄漏事件,该黑客发布声明称:

“没错,仅仅需要0.012个比特币,你就可以入侵任意一个LinkedIn帐户,获得他们的全部信息。如果你运气好,他们在其他网站也使用相同的密码,那么你还会有额外的收获。一旦你拥有了这个数据库,那么这些人的个人信息、iCloud、Facebook、Instagram等帐户都会被你掌握在手中。”

PS:尊重原创,购买后请勿分享。

附黑客放出的数据截图:

微信图片_20190131104520.png微信图片_20190131104547.png

*参考来源:roguemedialabs,Karunesh91编译整理,转载请注明来自FreeBuf.COM

各位Buffer早上好,今天是2019年1月25日星期五。今天的早餐铺内容有:运营商人士透露必应搜索预计今明陆续恢复正常;新型勒索软件Anatova开始爆发,手段比Ryuk更加老道;美国多家大银行泄露大量贷款文件:数量有2400多万份;津巴布韦切断互联网访问后 “匿名者”对其政府网站发起DDoS攻击;法国国防部长:网络战争已经开始,先下手为强。

timg.jpg

运营商人士透露必应搜索预计今明陆续恢复正常

微软必应搜索自昨天下午开始出现大面积故障导致用户无法访问,目前故障仍在持续多数地区依然无法访问。微软中国给出的消息是服务器出现异常导致无法访问, 不过经测试实际是部分地区DNS无法正确解析服务器。今天晚间时候有运营商人士透露已着手开始恢复解析, 按DNS服务器刷新速度预计在明天白天基本都可恢复。

仍然无法打开的用户可尝试:打开命令提示符CMD,然后输入以下命令并按回车,该命令可以手动清除DNS服务器缓存更快的恢复加载等。

ipconfig /flushdns

如果之前尝试修改DNS服务器或者是修改Hosts文件恢复必应访问的,这个时候就可以改回之前的状态。主要原因是使用部分国外的DNS服务器可能会出现加载较慢的情况, 恢复原本使用的服务器可改善加载速度。恢复Hosts文件主要是考虑如果微软后续调整服务器IP地址, 不删除Hosts文件中添加的内容可能会影响加载。[landiannews]

新型勒索软件Anatova开始爆发,手段比Ryuk更加老道

迈克菲实验室(McAfee Labs)发现了一款远胜于Ryuk的加密货币勒索软件,它就是将自身隐藏在看似无害的图标文件中的Anatova 。

通常情况下,它会将自己伪装成一款流行的游戏或应用程序,以欺骗用户下载恶意软件。运行后,它会自动请求管理员权限,以便尽早对受害者的文件进行快速加密,然后索取一笔不菲的赎金(以加密货币的形式交付)。

目前,恶意攻击者选择了以DASH这款加密货币作为付款方式(实时报价在 700 美元左右)。分析师称,他们已经在美国检出了100多个Anatova实例,此外比利时、德国、法国也有不少中招者。研究人员认为,Ryuk源于在地下市场销售的源代码,而Anatova则是由具备专业的编程技能的黑客设计的。[cnbeta]

美国多家大银行泄露大量贷款文件:数量有2400多万份

因为服务器出现安全漏洞,美国多家大银行泄露2400多万份金融及银行资料,涉及大量贷款和抵押贷款信息。

受影响的服务器上运行Elasticsearch数据库,里面包含了10多年的历史数据,比如贷款和抵押贷款协议、还款计划、敏感财务及税务文档。这些文件没有受到密码的保护,任何人都可以查阅。研究人员相信,数据库只被暴露了2周,1月15日又被保护起来。

泄露似乎可以追溯到德克萨斯州金融数据及分析公司Ascension,它提供数据分析、投资组合估值分析服务。在服务过程中,Ascension将纸制文档、手写文本转化为计算机可以阅读的文件。

Ascension母公司Rocktop Partners的高管证实,服务器出现漏洞,不过系统没有受到影响。1月15日,供应商在配置服务器时出现错误,导致一些与抵押贷款有关的文档泄露。不过供应商很快关闭了问题服务器,Rocktop Partners正在与第三方专家合作展开调查。出现问题的供应商叫作OpticsML。TechCrunch尝试联系该公司,不过它的网站已经下线,电话也无法接通。[sina]

津巴布韦切断互联网访问后 “匿名者”对其政府网站发起DDoS攻击

从2019年1月14日开始的几天里,津巴布韦人一直无法上网。当地政府为了阻止示威者继续举行有关油价飙升和上涨生活成本的抗议活动,命令该国所有4个通信运营商完全切断互联网。随后“匿名者”宣布对津巴布韦政府发起DDoS攻击。

一位匿名成员在一个论坛上发布消息称:“问候津巴布韦,我们是匿名者。我们以前见过无辜的人在津巴布韦遇害。我们看到了压迫和暴政。我们看到人们为争取自由而受到压迫。我们不能容忍这一点。正如我们对苏丹政府所做的那样,我们成功地使津巴布韦政府网站宕机超过72个小时。[cnbeta]

法国国防部长:网络战争已经开始,先下手为强

法国国防部长 Florence Parly 1月22日宣称:网络战已经开始。她声称,欧洲国家的军队将使用网络武器进行攻击与响应,就像使用其他所有常规武器一样,并将设立军方漏洞奖励项目。除了宣告将使用网络武器,Parl还呼吁加强欧盟成员国间的协作,因为网络威胁无国界。

Parly同时披露,法国国防部已设立不止一个军方漏洞奖励项目,表示:说到信任,他们已在军队网络司令部和初创公司之间建立了合作伙伴关系,名为‘ Yes We Hack’。[secrss]