1、Vault 8:维基解密发布CIA恶意软件控制系统源代码
两个月前,维基解密发布了CIA黑客工具项目的23个秘密。今天维基解密再次、发布Vault8系列,称将揭秘CIA黑客的后端开发架构信息及控制端源代码。
维基解密不仅仅只是说说而已,它还公布了Vault8 的第一批秘密——Project Hive的源码和开发日志。Project Hive(蜂巢)是CIA远程控制恶意软件的重要后端工具。
Project Hive是一个高级命令与控制服务器(恶意软件控制系统),是一个多用户一体化系统,用来和恶意软件交互,可让多个CIA特工远程操作多种平台植入任务,并从目标机器中执行命令并窃取数据。
即使植入的恶意软件被发现了,只看恶意软件和网络上其他服务器的交互也很难追溯到CIA。
如下表所示,恶意软件通过商用VPN直接和假网站交互,所以直接通过浏览器打开会什么都看不出来。
然而,认证过后,恶意软件会在后台和web server(负责托管假论坛)交流,再进一步通过VPN把恶意软件相关的流量发送给“隐藏”的CIA服务器“Blot”。
Blot服务器会在把流量导到操作员管理网关,称为“honeycomb”。
为了躲开管理员的检测,恶意软件会使用假的数字证书。
恶意软件的数字证书是由CIA冒充现有的一些实体组织。
例如为了逃避卡巴斯基杀毒公司的签证追杀,恶意软件所使用的数字证书,其签发机构为Thawte Premium Server CA数字证书公司。
现在Prihect Hive的源代码,对所有人开放,且可以下载研究,以便记者和法医展开调查。
VAULT8-Hive 源码下载地址:https://wikileaks.org/vault8/#Hive
维基解密表示其不会放出任何0day或者漏洞,以防被坏人利用。
2、俄黑客组织 “Fancy Bear” 利用 Office DDE 发动攻击
近段时间,各黑客组织都在大肆利用 Office DDE 发动攻击,然而微软却不认为这个新发现的 Office 漏洞属于安全问题,并且已经声明不会为此发布补丁。
早在上个月,我们就报道了黑客如何利用 Office 的内置功能,即动态数据交换(DDE),在目标设备上实现代码执行,此过程既不需要启用宏,也不需要利用内存相关的漏洞。
DDE 协议能允许两个正在运行的应用程序间共享相同的数据。该协议目前被众多的程序所使用,其中就包括 MS Excel、MS Word、Quattro Pro 和 Visual Basic,可用于在程序间实现一次性的数据传输以及后续数据的更新操作。
在 DDE 的攻击细节曝光后不久,就出现了多起滥用此技术进行大规模攻击的黑客事件。而 APT28 则是首个被发现使用 DDE 技术进行攻击的 APT 黑客组织,该组织另一个为人们所熟知的名字叫 “Fancy Bear”,它被认为是由俄罗斯政府提供支持的。
McAfee 研究人员在分析最新的钓鱼攻击活动时发现 “Fancy Bear” 组织自 10 月下旬以来就一直在利用 DDE 漏洞,相关报告已于周二发布。
此次传播的恶意文档内容上涉及纽约最近发生的恐袭事件,主要用来欺骗受害者进行点击,从而达到感染系统的目的。由于 DDE 是系统的合法特性,大多数防毒软件不会进行警告或者阻止文档的打开,因此,任何点击恶意附件的人(文件名如 SabreGuard2017.docx 或 IsisAttackInNewYork.docx)都会在无意中运行了恶意代码,并且没有受到任何的限制或检查。
文档打开后会自动连接 C&C 服务端,并通过 PowerShell 命令在受害者机器上安装名为 Seduploader 的恶意软件,以此完成第一阶段的部署工作。
然后,Seduploader 会将受害者的主机信息发回给攻击者,如果攻击者对系统感兴趣,那么将会在该系统上安装功能更加全面的间谍软件 X-Agent 和 Sedreco。
“APT28 组织拥有丰富的资源,不仅利用了最新的社会事件来欺骗潜在的受害者,而且还可以快速扩充最新的攻击技术,从而增加成功的可能性。” Mcafee 的研究人员总结道。“APT28 组织不再像过去那样借助 VBA 脚本了,而是选择使用较新的 DDE 技术来绕过网络防护。”
当然,这不是第一起滥用 DDE 技术来传播恶意软件的攻击事件。在细节公布之后不久,Cisco Talos 威胁研究小组就侦测到了一次针对多个机构的攻击活动,其中就大量采用这种技术来传播名为 DNSMessenger 的远控木马。
上个月底,研究人员也发现了一起利用 DDE 技术构造的 Word 文档来传播 Locky 勒索软件和 TrickBot 银行木马的攻击事件。
此外,通过对另一组垃圾邮件的分析,研究人员还发现了另一起使用微软 Office DDE 漏洞散播 Hancitor 恶意软件(也称为 Chanitor 或 Tordal)的黑客活动。
原文链接:https://thehackernews.com/2017/11/apt28-office-dde-malware.html
本文由看雪翻译小组 BDomne 编译
3、物理学家认为量子粒学能够解决所有的安全问题
研究人员示早已在实验室中研究出了该系统,而如今量子密码学在商业上展示了可行性,比如来自瑞士日内瓦的公司Quantique。
但整个设备不太符合一般的认知,量子设备并非是用来发送私有的信息。相反,物理学家使用量子装置来发送一次性密钥,用来加密明文。然后通过电信运营商发送密文,并以通常的方式进行解码。这种方法被称为量子密钥分配。
计算机科学家知道使用一次一密方法编码的信息是不连续的,所以安全性在于发送密钥时,隐私性是否能得到保证。这就提出了一个有趣的问题,如果用量子设备发送密钥可以确保安全的话,那么为什么不直接发送明文信息呢?
如今,来自清华大学的张伟和他的几个朋友已经做出了尝试。这种新方法被称为量子安全直接通信,并且这个中国团队已经用5米长的光纤首次实现了通信。
科学家们以往依赖一次性密码来加密的原因很简单,眼下争论的焦点是通信过程是否被偷听。物理学家可以检查这一点,因为窃听会消耗信息所含有的能量,这样就能测量出量子比特位。
因此,当光子被传输时,如果他们到达的状态和发送时的状态一样,侦听器就不能提取出它们所包含的数据。但是,如果它们到达的状态不同于原先时,就表明该数据已经泄露,消息不再安全。
在实践中,只要这种泄漏低于某个阈值,物理学家就可以确保数据是安全的。问题就在于只有状态改变后,你才能知道泄露发生。因此,当科学家发现的时候,窃听设备早已窃听到了数据。
原文链接
本文由看雪翻译小组fyb波编译
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课