1、Vault 8:维基解密发布CIA恶意软件控制系统源代码

两个月前，维基解密发布了CIA黑客工具项目的23个秘密。今天维基解密再次、发布Vault8系列，称将揭秘CIA黑客的后端开发架构信息及控制端源代码。

维基解密不仅仅只是说说而已，它还公布了Vault8 的第一批秘密——Project Hive的源码和开发日志。Project Hive（蜂巢）是CIA远程控制恶意软件的重要后端工具。

Project Hive是一个高级命令与控制服务器（恶意软件控制系统），是一个多用户一体化系统，用来和恶意软件交互，可让多个CIA特工远程操作多种平台植入任务，并从目标机器中执行命令并窃取数据。

即使植入的恶意软件被发现了，只看恶意软件和网络上其他服务器的交互也很难追溯到CIA。

如下表所示，恶意软件通过商用VPN直接和假网站交互，所以直接通过浏览器打开会什么都看不出来。

然而，认证过后，恶意软件会在后台和web server（负责托管假论坛）交流，再进一步通过VPN把恶意软件相关的流量发送给“隐藏”的CIA服务器“Blot”。

Blot服务器会在把流量导到操作员管理网关，称为“honeycomb”。

为了躲开管理员的检测，恶意软件会使用假的数字证书。

恶意软件的数字证书是由CIA冒充现有的一些实体组织。
例如为了逃避卡巴斯基杀毒公司的签证追杀，恶意软件所使用的数字证书，其签发机构为Thawte Premium Server CA数字证书公司。

现在Prihect Hive的源代码，对所有人开放，且可以下载研究，以便记者和法医展开调查。

VAULT8-Hive 源码下载地址：https://wikileaks.org/vault8/#Hive

维基解密表示其不会放出任何0day或者漏洞，以防被坏人利用。

2、俄黑客组织 “Fancy Bear” 利用 Office DDE 发动攻击

近段时间，各黑客组织都在大肆利用 Office DDE 发动攻击，然而微软却不认为这个新发现的 Office 漏洞属于安全问题，并且已经声明不会为此发布补丁。

早在上个月，我们就报道了黑客如何利用 Office 的内置功能，即动态数据交换（DDE），在目标设备上实现代码执行，此过程既不需要启用宏，也不需要利用内存相关的漏洞。

DDE 协议能允许两个正在运行的应用程序间共享相同的数据。该协议目前被众多的程序所使用，其中就包括 MS Excel、MS Word、Quattro Pro 和 Visual Basic，可用于在程序间实现一次性的数据传输以及后续数据的更新操作。

在 DDE 的攻击细节曝光后不久，就出现了多起滥用此技术进行大规模攻击的黑客事件。而 APT28 则是首个被发现使用 DDE 技术进行攻击的 APT 黑客组织，该组织另一个为人们所熟知的名字叫 “Fancy Bear”，它被认为是由俄罗斯政府提供支持的。

McAfee 研究人员在分析最新的钓鱼攻击活动时发现 “Fancy Bear” 组织自 10 月下旬以来就一直在利用 DDE 漏洞，相关报告已于周二发布。

此次传播的恶意文档内容上涉及纽约最近发生的恐袭事件，主要用来欺骗受害者进行点击，从而达到感染系统的目的。由于 DDE 是系统的合法特性，大多数防毒软件不会进行警告或者阻止文档的打开，因此，任何点击恶意附件的人（文件名如 SabreGuard2017.docx 或 IsisAttackInNewYork.docx）都会在无意中运行了恶意代码，并且没有受到任何的限制或检查。

文档打开后会自动连接 C&C 服务端，并通过 PowerShell 命令在受害者机器上安装名为 Seduploader 的恶意软件，以此完成第一阶段的部署工作。

然后，Seduploader 会将受害者的主机信息发回给攻击者，如果攻击者对系统感兴趣，那么将会在该系统上安装功能更加全面的间谍软件 X-Agent 和 Sedreco。

“APT28 组织拥有丰富的资源，不仅利用了最新的社会事件来欺骗潜在的受害者，而且还可以快速扩充最新的攻击技术，从而增加成功的可能性。” Mcafee 的研究人员总结道。“APT28 组织不再像过去那样借助 VBA 脚本了，而是选择使用较新的 DDE 技术来绕过网络防护。”

当然，这不是第一起滥用 DDE 技术来传播恶意软件的攻击事件。在细节公布之后不久，Cisco Talos 威胁研究小组就侦测到了一次针对多个机构的攻击活动，其中就大量采用这种技术来传播名为 DNSMessenger 的远控木马。

上个月底，研究人员也发现了一起利用 DDE 技术构造的 Word 文档来传播 Locky 勒索软件和 TrickBot 银行木马的攻击事件。

此外，通过对另一组垃圾邮件的分析，研究人员还发现了另一起使用微软 Office DDE 漏洞散播 Hancitor 恶意软件（也称为 Chanitor 或 Tordal）的黑客活动。

原文链接：https://thehackernews.com/2017/11/apt28-office-dde-malware.html

本文由看雪翻译小组 BDomne 编译

3、物理学家认为量子粒学能够解决所有的安全问题

研究人员示早已在实验室中研究出了该系统，而如今量子密码学在商业上展示了可行性，比如来自瑞士日内瓦的公司Quantique。

但整个设备不太符合一般的认知，量子设备并非是用来发送私有的信息。相反，物理学家使用量子装置来发送一次性密钥，用来加密明文。然后通过电信运营商发送密文，并以通常的方式进行解码。这种方法被称为量子密钥分配。

计算机科学家知道使用一次一密方法编码的信息是不连续的，所以安全性在于发送密钥时，隐私性是否能得到保证。这就提出了一个有趣的问题，如果用量子设备发送密钥可以确保安全的话，那么为什么不直接发送明文信息呢？

如今，来自清华大学的张伟和他的几个朋友已经做出了尝试。这种新方法被称为量子安全直接通信，并且这个中国团队已经用5米长的光纤首次实现了通信。

科学家们以往依赖一次性密码来加密的原因很简单，眼下争论的焦点是通信过程是否被偷听。物理学家可以检查这一点，因为窃听会消耗信息所含有的能量，这样就能测量出量子比特位。

因此，当光子被传输时，如果他们到达的状态和发送时的状态一样，侦听器就不能提取出它们所包含的数据。但是，如果它们到达的状态不同于原先时，就表明该数据已经泄露，消息不再安全。
在实践中，只要这种泄漏低于某个阈值，物理学家就可以确保数据是安全的。问题就在于只有状态改变后，你才能知道泄露发生。因此，当科学家发现的时候，窃听设备早已窃听到了数据。

原文链接
本文由看雪翻译小组fyb波编译

[课程]Android-CTF解题方法汇总！