首页
社区
课程
招聘
[资讯](11.11)Vault 8:维基解密发布CIA恶意软件控制系统源代码
发表于: 2017-11-11 10:27 4053

[资讯](11.11)Vault 8:维基解密发布CIA恶意软件控制系统源代码

2017-11-11 10:27
4053

1、Vault 8:维基解密发布CIA恶意软件控制系统源代码


两个月前,维基解密发布了CIA黑客工具项目的23个秘密。今天维基解密再次、发布Vault8系列,称将揭秘CIA黑客的后端开发架构信息及控制端源代码。

 

维基解密不仅仅只是说说而已,它还公布了Vault8 的第一批秘密——Project Hive的源码和开发日志。Project Hive(蜂巢)是CIA远程控制恶意软件的重要后端工具。

 

Project Hive是一个高级命令与控制服务器(恶意软件控制系统),是一个多用户一体化系统,用来和恶意软件交互,可让多个CIA特工远程操作多种平台植入任务,并从目标机器中执行命令并窃取数据。

即使植入的恶意软件被发现了,只看恶意软件和网络上其他服务器的交互也很难追溯到CIA。

 

如下表所示,恶意软件通过商用VPN直接和假网站交互,所以直接通过浏览器打开会什么都看不出来。

然而,认证过后,恶意软件会在后台和web server(负责托管假论坛)交流,再进一步通过VPN把恶意软件相关的流量发送给“隐藏”的CIA服务器“Blot”。

 

Blot服务器会在把流量导到操作员管理网关,称为“honeycomb”。

 

为了躲开管理员的检测,恶意软件会使用假的数字证书。

恶意软件的数字证书是由CIA冒充现有的一些实体组织。
例如为了逃避卡巴斯基杀毒公司的签证追杀,恶意软件所使用的数字证书,其签发机构为Thawte Premium Server CA数字证书公司。

 

现在Prihect Hive的源代码,对所有人开放,且可以下载研究,以便记者和法医展开调查。

 

VAULT8-Hive 源码下载地址:https://wikileaks.org/vault8/#Hive

 

维基解密表示其不会放出任何0day或者漏洞,以防被坏人利用。


2、俄黑客组织 “Fancy Bear” 利用 Office DDE 发动攻击

0.JPG

 

近段时间,各黑客组织都在大肆利用 Office DDE 发动攻击,然而微软却不认为这个新发现的 Office 漏洞属于安全问题,并且已经声明不会为此发布补丁。

 

早在上个月,我们就报道了黑客如何利用 Office 的内置功能,即动态数据交换(DDE),在目标设备上实现代码执行,此过程既不需要启用宏,也不需要利用内存相关的漏洞。

 

DDE 协议能允许两个正在运行的应用程序间共享相同的数据。该协议目前被众多的程序所使用,其中就包括 MS Excel、MS Word、Quattro Pro 和 Visual Basic,可用于在程序间实现一次性的数据传输以及后续数据的更新操作。

 

在 DDE 的攻击细节曝光后不久,就出现了多起滥用此技术进行大规模攻击的黑客事件。而 APT28 则是首个被发现使用 DDE 技术进行攻击的 APT 黑客组织,该组织另一个为人们所熟知的名字叫 “Fancy Bear”,它被认为是由俄罗斯政府提供支持的。

 

McAfee 研究人员在分析最新的钓鱼攻击活动时发现 “Fancy Bear” 组织自 10 月下旬以来就一直在利用 DDE 漏洞,相关报告已于周二发布

 

此次传播的恶意文档内容上涉及纽约最近发生的恐袭事件,主要用来欺骗受害者进行点击,从而达到感染系统的目的。由于 DDE 是系统的合法特性,大多数防毒软件不会进行警告或者阻止文档的打开,因此,任何点击恶意附件的人(文件名如 SabreGuard2017.docx 或 IsisAttackInNewYork.docx)都会在无意中运行了恶意代码,并且没有受到任何的限制或检查。

 

文档打开后会自动连接 C&C 服务端,并通过 PowerShell 命令在受害者机器上安装名为 Seduploader 的恶意软件,以此完成第一阶段的部署工作。

 

然后,Seduploader 会将受害者的主机信息发回给攻击者,如果攻击者对系统感兴趣,那么将会在该系统上安装功能更加全面的间谍软件 X-Agent 和 Sedreco。

 

“APT28 组织拥有丰富的资源,不仅利用了最新的社会事件来欺骗潜在的受害者,而且还可以快速扩充最新的攻击技术,从而增加成功的可能性。” Mcafee 的研究人员总结道。“APT28 组织不再像过去那样借助 VBA 脚本了,而是选择使用较新的 DDE 技术来绕过网络防护。”

 

当然,这不是第一起滥用 DDE 技术来传播恶意软件的攻击事件。在细节公布之后不久,Cisco Talos 威胁研究小组就侦测到了一次针对多个机构的攻击活动,其中就大量采用这种技术来传播名为 DNSMessenger 的远控木马。

 

上个月底,研究人员也发现了一起利用 DDE 技术构造的 Word 文档来传播 Locky 勒索软件和 TrickBot 银行木马的攻击事件。

 

此外,通过对另一组垃圾邮件的分析,研究人员还发现了另一起使用微软 Office DDE 漏洞散播 Hancitor 恶意软件(也称为 Chanitor 或 Tordal)的黑客活动。

 

原文链接:https://thehackernews.com/2017/11/apt28-office-dde-malware.html

 

本文由看雪翻译小组 BDomne 编译


3、物理学家认为量子粒学能够解决所有的安全问题


研究人员示早已在实验室中研究出了该系统,而如今量子密码学在商业上展示了可行性,比如来自瑞士日内瓦的公司Quantique。

 

但整个设备不太符合一般的认知,量子设备并非是用来发送私有的信息。相反,物理学家使用量子装置来发送一次性密钥,用来加密明文。然后通过电信运营商发送密文,并以通常的方式进行解码。这种方法被称为量子密钥分配。

 

计算机科学家知道使用一次一密方法编码的信息是不连续的,所以安全性在于发送密钥时,隐私性是否能得到保证。这就提出了一个有趣的问题,如果用量子设备发送密钥可以确保安全的话,那么为什么不直接发送明文信息呢?

 

如今,来自清华大学的张伟和他的几个朋友已经做出了尝试。这种新方法被称为量子安全直接通信,并且这个中国团队已经用5米长的光纤首次实现了通信。

 

科学家们以往依赖一次性密码来加密的原因很简单,眼下争论的焦点是通信过程是否被偷听。物理学家可以检查这一点,因为窃听会消耗信息所含有的能量,这样就能测量出量子比特位。

 

因此,当光子被传输时,如果他们到达的状态和发送时的状态一样,侦听器就不能提取出它们所包含的数据。但是,如果它们到达的状态不同于原先时,就表明该数据已经泄露,消息不再安全。
在实践中,只要这种泄漏低于某个阈值,物理学家就可以确保数据是安全的。问题就在于只有状态改变后,你才能知道泄露发生。因此,当科学家发现的时候,窃听设备早已窃听到了数据。

 

原文链接
本文由看雪翻译小组fyb波编译


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 331
活跃值: (410)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
2

螳螂捕蝉,黄雀在后——IoT漏洞扫描脚本带后门,脚本小子被黑出翔

世上没有免费的午餐。

 

如果你在互联网上搜索免费的黑客工具,那么请小心,因为很多免费的,自称是黑客的瑞士军刀的工具,事实上是一个陷阱。

 

例如,我们之前报道过的Cobian RAT和Facebook Hacking Tool,它们都可以造成真正的攻击时间,只是受害者是使用工具的那些人。

 

最近,一位安全研究员又发现了这样一款工具。这次是一个PHP脚本,在多个地下黑客论坛都可以免费下载到。它通过扫描GoAhead Web服务器的漏洞,帮助使用者发现互联网上存在漏洞的网络视像头。

 

然而,在仔细分析了这个扫描脚本后,Newsky Security研究人员Ankit Anubhav发现该工具还包含一个隐藏的后门。它允许脚本的作者攻击那些使用脚本干坏事的人。Anubhav说:“从攻击者的角度来看,攻击这些脚本的用户(脚本小子,也就是我们所说的工具党)是性价比非常高的”。

 

“举个例子,如果一个脚本小子拥有一万台物联网设备的僵尸网络,如果他被攻击者攻击,整个僵尸网络将属于现在控制了这个脚本小孩系统的攻击者。因此,通过利用一个设备,他可以添加成千上万的僵尸网络到他的军队”。

 

随着物联网僵尸网络的兴起,以及去年出现的最大的基于物联网的恶意软件威胁,鼓励了恶意攻击者创建他们庞大的僵尸网络,来针对他们的目标发起DDoS攻击,或者出租他们赚钱。

 

经过分析,这个脚本主要进行四部分工作:

  • 首先,它会扫描一组IP地址,尝试发现带有GoAhead服务器认证绕过漏洞(CVE-2017-8225)的网络摄像头。
  • 然后,它会在脚本使用者的系统中创建一个后门账号(用户名:VM,密码:Meme123),并给予root权限。
  • 此外,这个脚本还会提取受害者的IP地址,允许脚本作者远程访问受感染的系统
  • 最后,它还在脚本小子的系统中运行另一个有效载荷,最终安装一个被称为Kaiten的著名僵尸网络。

这个脚本是又一个带有后门的黑客工具,如今正在地下黑客社区广泛传播。

 

原文连接:https://thehackernews.com/2017/11/iot-vulnerability-scanner.html
本文由看雪翻译小组ljcnaix编译

2017-11-11 12:25
0
游客
登录 | 注册 方可回帖
返回
//