安全资讯报告

研究人员解密Hive勒索软件，恢复高达98%的加密文件

韩国研究人员发布了一种解密受Hive勒索软件影响的文件的方法，他们希望该方法能让受该组织攻击的组织恢复其数据。

研究人员分析了Hive的加密算法并发现了一个漏洞，该漏洞允许从加密文件中部分恢复加密主密钥。根据国民大学金融信息安全系的论文，该团队恢复了95%的主密钥，并用它来解密测试文件中72%到98%的数据。

Kookmin团队故意用Hive感染测试机器，然后使用随机创建的数据集来测试主密钥的恢复率。他们发现，如果文件很小，他们需要分析大量受感染的文件来恢复密钥，但大文件要少得多：需要6,400个平均21KB的文件，而只有200个大约10MB的文件才能恢复大约95%的文件。主密钥–或300个5MB文件来检索99%的密钥。

然后，他们创建了一个包含50,000个文件的数据集，并感染了Hive，以查看其中有多少数据可以恢复。凭借92.65%的主密钥，他们能够恢复72%的文件数据；96.01%导致82%恢复；而96.56%的主密钥可以让他们恢复95%到98%的文件。在大多数情况下，在尝试解密受Hive勒索软件影响的文件时，每个文件的开头和结尾都是不可恢复的。

新闻来源：

717K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1K9r3g2K6N6r3q4U0K9#2)9J5k6i4c8W2j5$3S2F1L8$3I4G2k6%4W2Q4x3V1k6J5k6i4y4W2j5i4u0U0K9r3g2J5M7#2)9J5k6r3c8W2j5%4u0&6M7s2c8Q4x3X3c8Z5K9i4k6W2i4K6u0V1M7X3q4F1M7$3!0E0N6$3q4J5k6g2)9J5k6s2u0W2j5$3!0$3k6i4u0Q4x3X3c8#2M7q4)9J5k6s2c8G2i4K6u0V1z5e0S2Q4x3X3c8G2k6W2)9J5k6r3g2F1j5%4u0&6M7s2c8W2k6q4)9J5k6r3k6A6L8r3g2K6i4K6u0r3

易受攻击的Microsoft SQL Server遭遇Cobalt Strike木马攻击

安全研究人员观察到在易受攻击的Microsoft SQL Server上安装Cobalt Strike信标的新一轮攻击，会导致更深层次的渗透和随后的恶意软件感染。

已部署的SQLServer服务器中许多没有得到足够的保护，通常以弱密码公开暴露在互联网上，根据AhnLab的一份报告，攻击者正在利用这一点。

攻击从扫描开放TCP端口1433的服务器开始，这些服务器可能是面向公众的MS-SQL服务器。然后攻击者执行暴力破解和字典攻击来破解密码。

一旦攻击者获得对管理员帐户的访问权限并登录服务器，研究人员就会看到他们植入了LemonDuck、KingMiner和Vollgar等加密矿工。此外，攻击者会使用CobaltStrike对服务器植入后门，以建立持久性并执行横向移动。

攻击者如此滥用它的原因在于其丰富的功能，其中包括：命令执行、键盘记录、文件操作、SOCKS代理、权限提升、Mimikatz（凭据窃取）、端口扫描。

此外，称为“信标”的Cobalt Strike代理是无文件的shellcode，因此被安全工具检测到的机会降低了，尤其是在管理不善的系统中。

新闻来源：

626K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3N6Y4g2D9L8X3g2J5j5h3u0D9k6g2)9J5k6r3#2A6j5%4u0G2M7$3!0X3N6q4)9J5k6s2y4I4L8q4)9J5k6s2y4W2M7Y4k6W2M7Y4y4Q4x3X3c8@1j5i4u0Y4k6i4c8W2k6q4)9J5k6s2N6A6N6r3S2Q4x3X3c8U0L8$3u0S2L8s2c8Q4x3X3c8K6N6s2u0A6K9$3g2Q4x3V1j5`.

安全漏洞威胁

UpdraftPlus插件中的漏洞暴露了数百万个WordPress站点备份

2月16日，UpdraftPlus WordPress插件的开发人员发布了一个更新以解决CVE-2022-0633（CVSS得分为8.5），这个高危漏洞可以使具有订阅者级别权限的用户也可以访问使用UpdraftPlus创建的任何备份。

该问题与无法确保发送心跳请求的用户具有管理员权限的功能有关。因此，据WordPress安全和性能公司Jetpack称，它允许攻击者制作恶意请求并检索有关最新站点备份的信息。

研究人员说，使用自定义随机数和时间戳安全地识别站点备份，拥有这些的攻击者可以访问各种插件功能。

研究人员还发现，由于该插件没有正确验证用户角色，即使是网站上具有最低权限的帐户也可以下载备份并获得对网站数据库的访问权限。

WordPress安全公司Defiant的Wordfence团队表示，要使攻击成功，攻击者需要在目标系统上拥有一个活动帐户，并且他们还需要欺骗通过电子邮件接收URL的请求，以便出现它来自不同的端点。

该团队还解释说，目前还没有公开可用的针对该漏洞的概念验证(PoC)漏洞利用代码，但警告说黑客可以迅速对该补丁进行逆向工程。

修补漏洞的UpdraftPlus版本1.22.3在问题报告给开发人员一天后发布。由于漏洞的严重性，强制自动更新已被推送，并且大多数插件安装已更新为修补版本。

新闻来源：

77fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2K6k6h3y4#2M7X3W2@1P5i4N6W2k6h3E0Q4x3X3g2U0L8$3#2Q4x3V1k6$3N6h3I4F1k6i4u0S2j5X3W2D9K9i4c8&6i4K6u0V1N6i4m8V1M7X3q4X3N6s2m8D9N6i4y4Q4x3X3c8H3L8s2g2Y4K9h3&6Q4x3X3c8W2P5s2m8G2M7$3g2V1i4K6u0V1L8h3W2D9L8r3W2G2L8Y4y4Q4x3X3c8%4L8%4u0V1M7s2u0W2M7%4y4Q4x3X3c8K6K9i4c8W2i4K6u0V1j5X3q4U0K9%4g2H3M7H3`.`.

Coinbase为“Market-Nuking（市场核攻击）”安全漏洞支付25万美元

加密货币交易所Coinbase支付了有史以来最大的漏洞赏金——25万美元——用于被称为“Market-Nuking（市场核弹）”的安全漏洞，该漏洞可能允许用户出售他们不拥有的比特币。

Coinbase证实，第三方研究人员于2月11日报告了危机级别的安全缺陷，并触发了紧急事件响应，其中包括将平台置于“仅取消模式”，此举禁用了所有新交易。

Coinbase的一份事后报告称，该漏洞的根本原因是零售经纪API端点中缺少逻辑验证检查，这使得用户可以使用不匹配的源账户将交易提交到特定的订单簿。

该公司表示：“如果该漏洞被大规模利用，一些缓解因素将限制该漏洞的影响，”并指出Coinbase交易所拥有自动价格保护断路器和一个贸易监督团队，持续监控其市场的健康和异常交易活动。

Coinbase表示，它在不到六小时的时间内纠正了该漏洞，“对客户资金没有任何影响”。“最终确定它从未被恶意利用。我们还实施了额外的检查，以确保它不会再次发生，”Coinbase说，并指出它的严重性足以保证其有史以来最大的漏洞赏金支出。

新闻来源：

675K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2K6k6h3y4#2M7X3W2@1P5i4N6W2k6h3E0Q4x3X3g2U0L8$3#2Q4x3V1k6U0L8$3W2F1j5X3q4K6k6g2)9J5k6s2m8S2P5i4y4Q4x3X3b7J5y4e0m8C8i4K6u0V1L8h3q4J5K9$3g2@1i4K6u0V1L8Y4g2C8K9h3&6Y4i4K6u0V1M7$3g2U0N6i4u0A6N6s2W2Q4x3X3c8X3L8r3q4%4