-
-
[资讯](11.9)网络间谍组织 “SowBug” 浮出水面
-
发表于: 2017-11-9 09:59 3277
-
1、网络间谍组织 “SowBug” 浮出水面
此次曝光的网络间谍组织至少在 15 年就开始运作了,他们曾对南美洲和东南亚的许多政府机构进行过一系列针对性的攻击,旨在获取重要的外交情报。
该组织的代号为 “Sowbug”,是由 Symantec 的安全人员揭露的,他们发现这个组织对阿根廷、巴西、厄瓜多尔、秘鲁和马来西亚等国的外交政策机构、政府机构以及其它外交目标进行过秘密攻击。
来自 Symantec 的研究发现,此黑客组织主要借助名为 “Felismus” 的恶意软件发动攻击并借此渗透进目标网络。
Felismus 是在今年 3 月下旬首度被发现的,它是一款复杂且精心编写的远控木马(RAT),其模块化的设计能允许使用者对后门功能进行特殊的定制。
该恶意软件能让攻击者完全控制受感染的目标系统,与大多 RAT 一样,Felismus 允许攻击者进行文件下载、shell 命令执行等操作。
通过对 Felismus 的分析,研究人员发现这些攻击活动与 Sowbug 组织是有关联的,同时还显示该组织至少是在 15 年初甚至更早就开始了活动。
按照 Symantec 的说法,到目前为止 Sowbug 主要针对的是南美和东南亚的政府机构,并已渗透到阿根廷、巴西、厄瓜多尔、秘鲁、文莱和马来西亚。该组织拥有充足的资源,能同时对多个目标展开攻击,渗透时机一般选在非工作时间段内。
虽然目前还不确定 Sowbug 组织是如何渗入目标网络的,但研究人员收集的证据表明,黑客很可能劫持了 Windows 系统或 Adobe Reader 软件的更新包。
研究人员还发现,该组织借助了一个名为 Starloader 的工具在受害者网络上部署更多的恶意软件,如 dump 证书工具、键盘记录工具等。
Symantec 的研究人员已经发现了 Starloader 文件被作为更新软件进行传播的证据,相关的命名分别为 AdobeUpdate.exe,AcrobatUpdate.exe 和 INTELUPDATE.EXE。
可以看到,Sowbug 组织并未对软件本身动手脚,而是选择将黑客工具命名成类似正常软件的名称,并将其置于可能被合法软件误使用的目录下,这个伎俩使得黑客不太可能会引起怀疑。黑客会在非办公时间开展间谍活动,并隐匿于目标网络。该组织就曾在 2016 年 9 月至 2017 年 3 月期间在某目标网络上隐匿了长达六个月之久。
而目前除了清楚 Sowbug 组织是借助 Felismus 恶意软件进行攻击这点外,其它相关信息还不得而知。
原文链接:https://thehackernews.com/2017/11/sowbug-hacking-group.html
本文由看雪翻译小组 BDomne 编译
2、Brother打印机易受到远程拒绝服务攻击
由Brother制造和销售的商业打印机含有一个尚未修复的漏洞,远程攻击者可能利用该漏洞对设备进行拒绝服务攻击。
经多次尝试联系Brother无果后,Trustwave SpiderLabs的研究人员于周一披露了这个问题。一个月后,他们还与一个负责人员就该问题进行了沟通。
Trustwave表示,这个漏洞影响了首次亮相的所有装有嵌入式网络服务器的Brother打印机。只要向打印机发送错误格式的请求,就可以轻而易举地利用这个漏洞。 Trustwave公司的威胁情报经理Karl Sigler表示,距网络前端首次出现该种攻击,可能已经有15年的历史,但只有1.20和以前更早的版本才会受到影响。
Sigler表示,从网络的角度来看,对打印机的攻击就是利用了普通的HTTP流量。Dos攻击就是利用了短时间内大量发起的http请求造成的。攻击者只要确信打印机是联网的就够了。否则,攻击者就需要访问到目标网络(联想到社会工程学的方面)。根据由Trustwave开发的Shodan搜索了解到,网上大概有14,989个受影响的设备,而这只占了Brother打印机的一小部分。
Sigler承认,攻击者在大多数情况下是在同一个网络上,他们通过向打印机发送错误格式的HTTP POST请求来执行攻击。攻击者会收到500服务器错误号,表明服务器无法访问,无法进行打印。
Trustwave在一份声明中说道,尽管多次尝试与Brother联系解决这个问题,但是很不幸,没有修复漏洞的补丁程序。为了减轻危害程度,管理员可以自己动手配置。 关键是配置严格的访问控制权限,使用防火墙或类似的设备来限制网络访问。但是,大部分网络访问权限的配置都很糟糕。
与此同时,这个问题似乎还是没有得到解决。Sigler说,即使Brother发布更新程序,也可能需要人工部署。对于需要连接的设备而言,这是一种非常常见的情况,它们都缺乏可以自动升级,更新功能的机制。就像Mirai等类似的实例中,攻击者们都乐于利用这个漏洞,来进行瘫痪性地分布式拒绝服务攻击。
有些人认为拒绝服务攻击只是一种干扰性的行为,但它们却可以在任何组织中占用资源,降低生产效率。它们也可以用作组织中的现场攻击的一部分。例如,攻击者可以发起类似的拒绝服务攻击,然后在组织中宣称是“技术人员”来解决问题。假冒技术人员将允许攻击者直接物理访问到----那些他们可能永远无法远程访问到的IT资源。
本文由看雪翻译小组fyb波编译
3、Linux USB驱动程序存在大量安全问题
Linux内核中的USB驱动程序充斥着安全漏洞,这些漏洞可以在一定条件下被利用,令恶意攻击者接管用户的计算机。
本周一Google安全专家Andrey Konovalov向Linux社区上报了14个安全漏洞。
“只要攻击者具备物理接触设备的权限,所有这些漏洞都可以通过恶意USB设备来触发”Konovalov说。
Konovalov与79个Linux USB驱动问题
这14个漏洞实际上只是被发现的部分问题。过去几个月中,Konovalov在Linux内核USB驱动程序中发现了一系列问题(共79个)。
这些问题,大多数只会简单的导致的DoS(拒绝服务),会冻结或重启操作系统,但有些则允许攻击者提升权限并执行恶意代码。
Konovalov发现的所有漏洞都是使用syzkaller发现的,这个工具由Google开发,通过fuzzing技术发现安全漏洞。
POTUS项目与Linux USB驱动漏洞
Konovalov在Linux USB驱动中的发现不是一个孤案。
今年早些时候,伦敦大学的安全研究人员展示了POTUS,一款挖掘Linux USB设备驱动程序漏洞的工具。
该工具通过设置虚拟机,通过使用故障注入、并发模糊以及符号执行等技术测试USB驱动程序来寻找漏洞。
研究人员使用POTUS测试USB驱动程序,发现了两个Linux内核漏洞。首先是CVE-2016-5400,USB设备驱动程序中用于与Airspy SDR(Software Define Radio,软件定义无线电)通信的内存泄漏漏洞,而另一个是从2003年就已存在的释放后重用漏洞。
这个团队的论文《POTUS: Probing Off-The-Shelf USB Drivers with Symbolic Fault Injection》,在今年夏季的USENIX WOOT 2017安全会议上获得了最佳论文奖。
大量Linux驱动没有经过充分的审计
POTUS团队的论文指出,由于USB接口的广泛采用,导致Linux不得不支持各种各样的驱动程序,其中大部分的驱动程序未经过全面的测试。
过去有一系列研究[1,2,3,4,5]试图引起对这一问题的广泛关注,但没有成功。
像POTUS和syzkaller这样的工具已经帮助揭露并修复了一些安全漏洞。即使是Linux的创始人-Linus Torvalds,最近也赞扬了通过模糊测试发现的各种安全问题。
就目前来看,Linux内核的USB子系统需加固,从而防御基于USB的“邪恶女佣攻击(Evil Maid USB Attacks)”。尽管这些漏洞需物理接入才能利用,但不幸的是,物理接入几乎是成功利用漏洞的唯一前提,因为即使是极低权限的用户也可以利用这些漏洞。
存在对USB漏洞利用的大量需求。因为这些漏洞可用于入侵“气隙系统”,运行这些系统的计算机与公共互联网或其他内部网络均进行了隔离。数据只能通过USB输入和输出气隙系统。如果这些系统中POTUS和Kovanolov发现的漏洞仍未修复,攻击者可将USB设备插入Linux气隙系统,运行攻击代码,窃取网络中的数据。
原文链接:https://www.bleepingcomputer.com/news/security/linux-has-a-usb-driver-security-problem/
本文由看雪翻译小组ljcnaix编译
4、Twitter惊爆漏洞,黑客可发3万字推文
在这个周末,两名德国twitter用户成功绕过Twitter的发文字数限制,并发送了30396个字的twitter,导致twitter崩溃。
Twitter立刻这两个用户的账号。在这两位用户道歉稍后,即立刻恢复了这两个账号。Twitter官方已经将这个长Twitter删掉了,但是在这里还可以看到。
漏洞如何发生的?
2016年Twitter曾经规定,链接不再算进140个字的限制中。而黑客正式利用这一点。
这个有30396个字的Twitter背后,隐藏了一个带有URL代码的web地址。打开Twitter,搜索 “.cc/”即可看到。
两位白帽黑客还在继续找Twitter的bug。
原文链接:http://securityaffairs.co/wordpress/65262/social-networks/twitter-bug.html
本文由看雪翻译小组哆啦咪编译
*本文由看雪翻译小组翻译,转载请注明来自看雪论坛
*加入我们:
请将你的看雪ID、手机号、邮箱地址、翻译文章链接发至cherie@kanxue.com
注意:说明您的申请理由
欢迎加入我们!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
赞赏
- [话题] 9月10日 教师节到了,说说你记忆深刻的老师 4518
- [原创] 我和程序猿男朋友的爱恨情仇【结帖】 8665
- [推荐]看雪杯AFSRC造洞节,最棒的福利送给看雪的你! 6460
- [注意]某白帽未授权渗透测试政府网站被抓 8526
- [分享] 本周 安全类会议 大汇总 4687