-
-
[分享][9.30]Cerberus:微软云计算开放硬件安全方案 | 9月安全资讯
-
发表于: 2018-9-19 09:18
-
2018.9.30周末
1、Cerberus:微软云计算开放硬件安全方案
微软作为OCP(开放计算节点基金会)的白金会员,此前贡献了名为Olympus的微软下一代数据中心的机架项目给OCP,其中服务器规格是基于x86/arm64处理器的1U/2U机型,而Olympus有一个衍生的开放硬件安全项目:Cerberus。
Cerberus使用一个安全处理器对SPI总线和主板硬件设备之间进行拦截,作为信任根对固件(UEFI,OptionROMs,BMC,Intel ME/SPS以及其他外设的固件)的签名合法性和完整性进行检查,这一过程对于主CPU是无感知的。
Cerberus目标是满足NIST SP 800-193固件合规指南的要求,随着NIST SP 800-193于2018年5月定稿,未来像Cerberus,OpenTITAN这类开放可审计的方案会更受欢迎。
来源:solidot.org
2、Facebook 开源 Skip 面向对象+函数式编程语言
近日,Facebook 开源了全新语言 Skip,这是 Facebook 内部开发的一个实验性质编程语言,Facebook 表示,Skip 项目于 2018 年完成,今后将不再积极开发。Skip 的官方一句话介绍是“跳过那些你已经做过计算的”(skip the things you have already computed),这也就是它作为一个研究项目的主要目标,它要探索编程语言和运行时可以怎样去支持准确、高效的基于记忆的缓存和缓存失效。
而通过静态类型系统追踪可变性,Skip 完成了这个目标,同时它也支持现代编程语言特征,例如 trait、泛型与子类型。
Skip 是一种通用编程语言,它跟踪副作用,提供反应失效的缓存、ergonomics 和安全的并行化以及高效的 GC。Skip 是静态类型的,它使用 LLVM 提前编译,生成高度优化的可执行文件。具体特点如下:
- 反应失效的缓存
Skip 主要的新特性是精准跟踪副作用,包括值的可变性和非确定性数据源与能够提供反应失效的数据源之间的区别。Skip 的类型系统能够证明给定函数边界没有副作用,这样开发人员可以选择安全地记忆该计算,并在运行时确保底层数据发生变化时,之前缓存的值是无效的。
Skip 支持两种互补的并发编程,由于它跟踪副作用,这两种编程都避免了常见的线程安全问题。首先,Skip 支持使用 async/await 语法进行 ergonomic 异步计算。由于 Skip 跟踪副作用,异步计算不能引用可变状态,因此可以安全地并行执行。其次,Skip 有可用于直接并行计算的 API,同样利用其追踪副作用的特型来避免线程安全问题,如共享对可变状态的访问。
- 高效和可预测的 GC
Skip 使用一种新方法进行内存管理,结合了典型的垃圾回收特性和更直接的线性分配模式。由于 Skip 追踪副作用,垃圾回收器仅需要扫描从底层计算处可访问的内存,在实践中这意味着开发者能够使用可预测 GC 写代码。
- 混合函数式与面向对象语言的特点
Skip 的一大特点是混合了函数式与面向对象编程语言的特点,将两者有机整合成了一种紧密结合的语言。与函数式语言类似,Skip 表达能力强,支持抽象的数据类型、模式匹配、简单的 lambda 和高阶函数等;另一方面,与命令式面向对象的语言相似,Skip 支持可继承的类、可变对象、循环和提前返回。Skip 还结合了“系统”语言的思想,以支持低开销抽象、通过值类的紧凑内存布局,以及确保利用静态方法分派实现代码特例化的模式。
具体细节请查阅官方:http://www.skiplang.com/
Skip 由经验丰富的团队设计,包括 ActionScript、C#、Flow、Hack、HHVM、Prettier、React Native 和 Relay 的高级贡献者,从 2015 年到 2018 年,Facebook 花了 3 年在这个项目上,该语言的主要设计者是 Facebook 语言团队负责人 Julien Verlaguet,他维护了该语言、编译器与库。如今 Facebook 宣布不再积极开发,但是通过开源的方式,希望让 Skip 继续保持活力,让编程语言研究社区在语言设计与实现、编译器和库的基础上进行研究和构建。
GitHub:https://github.com/skiplang/skip
来源:开源中国
3、非法获取并出售上亿条公民信息,深圳一程序员被刑拘
IT之家9月29日消息 据新华社报道,日前深圳一程序员因非法获取并出售上亿条公民信息,目前已经被深圳公安刑拘。
据报道,9月18日,深圳警方收到了“有人在网上非法售卖公民信息数据”的举报,随后警方锁定了犯罪嫌疑人肖某轩,肖某轩在网上非法获取到了公民的身份信息、酒店入住信息、互联网公司用户注册信息等,并在境外网络论坛上出售。
据了解,肖某轩是一个精通网络技术的程序员,警方在其电脑上发现了上百GB的信息文档,数量达到了上亿条。
来源:IT之家
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
更多阅读:
4、[原创]逆向及修复最新iOS版少数派客户端的闪退 bug
2018.9.29周六
1、白帽黑客扬言直播 周末删掉扎克伯格Facebook账号
2、最新Windows 10杀软PK:Defender并列第二、“裸奔”堪用
权威杀软评测机构AV-TEST发布了2018年7~8月份的杀软测试“龙虎榜”,基于Windows 10桌面平台。评分维度没有变化,依然是防护力、性能和易用程度三项,每项满分6分,总计18分。最终,Avira Pro(小红伞)、Bitdefender、卡巴斯基、McAfee和VIRPE(蝰蛇)五款产品拿下18分满分。
值得注意的是,Win10自带的Defender安全中心获评17.5分,仅仅在性能方面丢失0.5分,获得了TOP评级。
至于Comdo、F-Secure、G Data、Microworld、Trend Micro等则尴尬地位列Defender之下。此次评比中,有着20年杀毒史的PC Pitstop仅仅拿到12.5分,深深垫底。
这样来看的话,Windows 10的用户如果选择“裸奔”的话,已经是比较稳妥的行为了,你觉得呢?
来源:快科技
3、ESET曝光Lojax:首个被利用的UEFI rootkit案例
ESET 声称,在将 UEFI 模块写入系统 SPI 闪存时,该 rootkit 曾成功使用过一次。该模块能够在系统启动过程中,于磁盘上执行恶意软件。
研究人员留意到了这种持久的侵入性,因为它可以在重装系统、或更换硬盘之后依然存活 —— 除非你重新刷写,以清理系统的 UEFI 固件。
虽然重刷 UEFI 固件的解决方案很是简单,但并不是每个人都会轻松执行。值得庆幸的是,ESET 指出该 UEFI rootkit 没有正确的签名。
这意味着,借助该恶意软件发起的任何形式的攻击,都可以通过启用安全机制来规避。ESET 建议大家这么做,以便严格验证系统固件加载的每个组件的签名是否正确。
Sednit 曾在多起引人注目的全球攻击中搅过混水,包括 2016 美总统大选前、针对民主党全国委员会(DNC)发起的黑客攻击。
该组织被认为有俄政府的资助背景,且最近被美方发现其对保守团体实施了电子欺骗。
来源:cnBeta.COM
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
2018.9.28周五
1、乌克兰军队被曝使用默认账号密码“admin”和“123456”
在网络上,账号密码基本上是最流行也是最广泛的保密手段,无论是上QQ,挂VPN,登录局域网,都有机会用到一个账号与密码。一般而言,有些账户系统会直接提供一个默认账户密码以供用户直接使用,比如路由器就是如此,它的默认账号密码就贴在它的机器上,而且很多人都不会更改这个账号密码。
不过如果一个国家军队的安全系统也用的默认账号密码会怎么样呢?
还真有这种事儿,近日,乌克兰记者亚历山大·杜宾斯基就发现乌克兰军队的“第聂伯罗”自动化控制系统的用户名和密码分别是“admin”和“123456”。
该记者是通过网关系统轻松发现密码的,而且四年来没有改过!通过这组简单的账号密码,任何人都可以自由访问乌克兰军队的交换机、路由器、工作站、服务器、网管、打印机、扫描仪等设备。
换句话说,只要知道了这组账号密码,乌克兰军队的信息系统几乎就是透明的,说不定俄罗斯就正在这么干。
还好乌克兰军队在该记者的督促下已经改正了这个问题,乌克兰国防部颁布了一项政策,禁用了军队的弱口令,并定期检查所有的计算机、网络设备的账号密码。
2、VPNFilter 是俄罗斯黑客的瑞士军刀
3、Mozilla 推出 Firefox Accounts 账号的恢复密钥
Mozilla 开始向用户提供 Firefox Accounts 账号的恢复密钥选项。利用该功能,用户可以为他们的账号生成一次性的密钥,允许他们在忘记密码之后仍然能恢复访问账号。Firefox Accounts 是同步功能的一部分,可用于在不同设备上同步 Firefox 的浏览历史,密码、书签、打开的标签和安装的扩展。
浏览器的本地数据首先会在本地加密之后再上传到 Mozilla 服务器,没有用户的密码 Mozilla 工程师也无法访问用户的浏览历史。
4、[原创]Computer.Systems.A.Programmer.s.Perspective.2nd.个人笔记版
5、[翻译]腾达AC15路由器上的远程代码(CVE-2018-5767)执行演练
1、[原创]微软轻量级系统监控工具sysmon原理与实现完全分析(上篇)
2、[原创]【很有时间系列】讲讲怎么枚举MmMapViewInSystemSpace分配的内存
3、[原创]死磕python字节码-手工还原python源码
2018.9.27周四
1、青果摄像头被曝直播用户日常:女主人怀孕到哺乳遭全程围观
如今很多家庭都安装了监控摄像头,但部分设备隐私控制极其不到位,竟然将用户的日常生活给直播了出去,让万千网友围观。据媒体报道,青果摄像头用户最近反映,自己在家里的生活被推到网上同步直播,而调查发现,通过青果直播确实能看到许多用户家中青果摄像头监控范围内的一举一动,有人在家里衣着暴露时还被网友截图。
其中一个恐怖的实例,从2017年起,上海一位家庭女主人从怀孕到哺乳,都被青果摄像头全程直播,不少网友还对正在哺乳的女主人截图并评头论足,而被围观者毫不知情,让人不寒而栗。
根据官方信息,青果是基于青果摄像机的直播互动平台,用户只要安装摄像头并绑定手机,就能看到被监控的实时画面,也可在平台实时直播,而观众注册账号后即可查看直播内容,并评论、收藏和推荐。
有中招的用户表示,安装摄像头后绑定手机时曾进行设置,点击过“完全开放”,但并不清楚这就等于完全公开直播。
目前,青果直播平台运营商易信公司已经暂时关闭了所有个人用户直播的页面,并下架个人直播内容,仅保留与青果合作的项目直播,同时清扫公共数据,删除评论。
至于用户私密场景被直播的原因,易信称仍在进一步进行排查。
来源:快科技
2、法国监管部门:欧盟隐私新规生效后 相关投诉增约64%
法国的数据保护机构——国家信息与自由委员会(CNIL)报告说,自欧盟颁布的《通用数据保护条例》(General Data Protection Regulation,GDPR)5月25日生效后,与数据和隐私相关的投诉数量急剧上升,已收到3767宗投诉,高于去年同期的2294宗,数量增加了约64%。CNIL指出,今年是相关投诉创纪录的一年。
报告还披露,自GDPR生效之日起,有24500个组织已经遵照规定,任命了数据保护官员。但CNIL仍收到600多份数据泄露相关通知,总计涉及约1500万人。
CNIL表示,投诉增加表明欧盟公民“有力地掌握了GDPR的要义”,他们将公众参与度提高归因于媒体对新法规及“剑桥分析”数据泄露丑闻事件的关注。而且,除了从个人那里收到创纪录数量的隐私投诉外,有两家组织还代表消费者提交了投诉(这就是GDPR中所介绍的“集体补救”能力,至少在欧盟国家,国家政府有权选择这种处理方式)。
在法国代表消费者提出投诉的两个组织分别是奥地利隐私活动家麦克斯·斯雷姆斯(Max Schrems)旗下的非政府组织noyb,该组织最先依据GDPR的“强制内容”规则,在法国对谷歌提出抗议;还有法国数字权利组织La Quadrature du Ne,他们对谷歌、亚马逊、Facebook、LinkedIn和苹果提出投诉。
在GDPR发布以来的四个月更新报告中,监管者还指出,欧洲数据保护部门目前正在处理和合作调查200多起跨境投诉。
报告指出,“这些投诉引起了普遍共鸣,尤其是在未成年人的问题上。”
更多与隐私相关的事态发展似乎也在酝酿之中,正如CNIL所说,将提供一些新的监管工具,包括生物识别标准法规,自9月3日以来这一议题一直在磋商中,目的是“建立一个严格的、受保护的环境”。
监管部门说,他们正在研究一些行为准则,以涵盖特定的技术领域,如医学研究和云基础设施。
欧盟GDPR于5月25日生效,它更新了区域数据保护规则,并对侵犯隐私的行为实施了更高程度的惩罚。
上个月英国信息专员办公室的数据曾显示,自新规定生效以来,隐私投诉大幅增加,在5月25日至7月3日期间,共有6281份被提交,比去年同期的2417份投诉增加了一倍多。
7月底,《爱尔兰时报》的一份报告也显示出爱尔兰存在类似增长。据报道,在GDPR生效两个月后,爱尔兰数据保护委员会(DPC)收到了1184份数据缺失报告,与2017年每月230份相比显著上升。DPC还记录了GPDR公布两个月内的投诉量为743份,其中267个案例可适用于GDPR规则。
来源:新浪科技
3、新的安全漏洞正影响 CentOS 和 Red Hat Linux 发行版
Qualys 研究实验室的安全团队公开了一个新的有关 Linux 内核漏洞的详细信息和概念验证(PoC)代码,该漏洞名为“Mutagen Astronomy”,追踪编号 CVE-2018-14634,目前仅影响 CentOS 和 Red Hat Enterprise Linux(RHEL)发行版。
根据 Qualys 研究人员的说法,实际的 bug 存在于 Linux kernel 的 create_elf_tables()函数中,可能会导致缓冲区溢出,从而以 root 权限执行恶意代码。
该漏洞出现在2007年7月19日(kernel commit: b6a2fea39318)和2017年7月7日(kernel commit:da029c11e6b1)之间的 Linux kernel 中。
研究人员表示:“这个问题可以通过一个已经发布一年多的补丁来缓解,但是,红帽企业 Linux 和 CentOS 没有向后推送这个补丁,因此容易受到攻击。”
在今天发布的一份声明中,红帽团队确认了这个问题:此漏洞会影响R ed Hat Enterprise Linux 6、7 和 Red Hat Enterprise MRG 2 附带的内核包,将尽快更新解决此问题。在此之前,可通过安全建议缓解问题。”
来源:开源中国
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
看雪阅读推荐:
1、[分享]一张表格看懂:市面上最为常见的 Android 安装包(APK)五代加固技术发展历程及优缺点比较!
4、[原创]Computer.Systems.A.Programmer.s.Perspective.2nd.个人笔记版
5、[翻译]腾达AC15路由器上的远程代码(CVE-2018-5767)执行演练
2018.9.26周三
1、刚发布就出问题 新macOS零日漏洞或导致用户数据泄露
在今年6月举行的全球开发者大会上,苹果推出了一组增强版macOS安全功能,要求用户向其他人使用选定的应用和硬件提供明确许可。具体来说,用户需要就Mac摄像头、麦克风、邮件历史、消息、Safari等信息的访问提供授权。
瓦德里向Twitter上传了一段短视频,演示了如何绕过其中的至少一个保护机制。他先是利用终端尝试访问和复制联系人,结果失败,这是在苹果安全机制防护下的一个预料之中的结果。接着,瓦德里又运行了一个无特殊权限的应用,名称为“入侵Mojave”(breakMojave),寻找和访问Mac的通讯录。
在成功访问后,瓦德里能够运行一个目录命令,查看私人文件夹里的所有文件,包括元数据和图片。瓦德里在接受采访时称,这次演示并不是绕过增强后权限的“通用方法”,但是可以用于在用户登录macOS后获取受保护的数据。就其本身而言,它不大可能对多数用户造成重大问题,但是可能会在特定情况下引发麻烦。
他并未公布这个漏洞的细节以保护公众,但表示他演示这一漏洞为了吸引苹果的注意,因为该公司并没有为Mac设立漏洞奖励机制。
苹果在2016年推出了iOS漏洞奖励计划,对安全启动固件部分相关的漏洞最高奖励20万美元。不过,苹果并未为Mac设立一个类似的奖励机制。随着这一漏洞的公开,苹果肯定会询问漏洞细节,并在下一个更新中打上补丁。
来源:凤凰网科技
2、腾讯安全工程师利用酒店 WiFi 漏洞访问内部服务器被罚 5000 美元
腾讯的一位安全工程师在出席新加坡举行的网络安全会议期间将入侵酒店 WiFi 系统作为消遣,他还写了一篇博客介绍了入侵经过。通过搜索 Google 他发现酒店管理系统使用的默认账号密码 console / admin 和 ftponly / antlab 没有被禁用。
使用默认账号他找到了系统的更多信息,并搜索到了数据库密码,登录数据库后找到了管理员密码,他把这些信息都公布在了个人博客上。
他的博客引起了新加坡网络安全局的注意,新加坡检方称公开这些信息意味着酒店的 WiFi 系统可能会被其他人用于恶意目的。
这名工程师承认了罪名,由于他是出于好奇而且没有造成有形的伤害,他免于刑期只被罚了 5000 美元。
来源:solidot.org
3、Cloudflare 支持加密 SNI
来源:solidot.org
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
看雪阅读推荐:
1、[原创]微软轻量级系统监控工具sysmon原理与实现完全分析(上篇)
2、[原创]【很有时间系列】讲讲怎么枚举MmMapViewInSystemSpace分配的内存
3、[原创]死磕python字节码-手工还原python源码
5、[原创] 《软件调试》分页机制windbg例子分析(各种填坑)
2018.9.25周二
1、僵尸勒索软件Virobot肆虐微软Outlook
根据趋势实验室披露的安全报告,一种全新的僵尸网络勒索软件Virobot正通过微软Outlook进行大肆传播。报告中指出该恶意软件同时兼具僵尸网络和勒索软件的特征,在微软Outlook上以垃圾邮件的方式进行传播。
报告中写道:“Virobot首次发现于2018年9月17日,是对臭名昭著的Locky勒索软件变种分析7天之后发现的。一旦感染Virobot,它就会检查注册表键值(计算机GUID和产品秘钥)来确认系统是否应该加密。然后通过加密随机数生成器(Random
Number
Generator)来生成加密和解密你要。此外伴随着生成的秘钥,Virobot还会将收集的受害者数据通过POST发送到C&C服务器上。”
趋势科技还表示Virobot还可以记录用户敲击键盘的次数,并共享诸如信用卡信息和密码在内的诸多敏感数据。键盘记录器也会将这些信息发送至C&C服务器上。所以为了预防受到感染,请确保你不要打开非可靠源的附件。
来源:cnBeta.COM
2、Windows任务计划程序被曝存在0 day漏洞
研究人员表示,这个0 day漏洞位于微软的Windows任务计划程序中,该漏洞将允许攻击者在目标主机上实现提权。
该漏洞存在于Windows 10和Windows Server 2016 64位操作系统任务计划程序的高级本地程序调用(ALPC)接口之中,这两个版本的操作系统中ALPC的API函数没有对请求权限进行正确的验证,因此任何本地攻击者都将可以对请求数据进行修改。
根据CERT发布的安全公告:“研究人员已经确认,公开的漏洞利用代码可以在64位的Windows 10和WindowsServer 2016操作系统上正常运行。除此之外,在对现有的公开漏洞利用代码进行修改之后,也有可能适用于其他版本的Windows操作系统。”
漏洞利用代码及PoC获取地址:
漏洞利用代码分析
研究人员Kevin Beaumont表示,这份漏洞利用代码利用了SchRpcSetSecurity来修改API权限,并允许攻击者创建硬链接,然后使用XPS printer来调用打印任务(从Windows XP SP2起自带该功能),最后通过Spooler进程以SYSTEM权限调用劫持的恶意DLL。
计划任务是微软Windows操作系统的一个功能,该功能允许用户设定程序的启动时间。该功能的ALPC接口实际上是Windows操作系统组件用于实现消息传输时所使用的一个进程通信功能。在这个接口中,SchRpcSetSecurity是开放访问的,因此任何人都可以不受限制地访问控制列表,这也就意味着他们可以随意设置本地文件权限。
不过该漏洞的成功利用也有一定的限制,为了实现提权,攻击者需要是本地用户,并且需要拿到代码执行的高优先级。除此之外,如果想要将这份漏洞利用代码应用到32位操作系统上的话,还需要对代码进行一定的修改。而且该漏洞利用代码还硬编码了prnms003驱动,而类似Windows 7之类的其他版本操作系统使用的却是prnms001。
研究人员Will Dormann还表示,根据他的测试结果来看,这份漏洞利用代码还适用于最新版本的64位Windows 10操作系统。
CVSS测评系统将该漏洞的威胁评分设定为6.4至6.8分,因此该漏洞属于一个“中危漏洞”。
在本文发稿之时,该漏洞仍未修复。
* 参考来源:threatpost,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
3、隐私提醒:Chrome 69登录Gmail会上传浏览器访问历史
Chrome 69稳定版在UI上融入了很多Material
Design设计语言,在性能上大幅提升的同时也引入了诸多实用的新功能。然而某些变化对于那些注重个人隐私的用户来说,并不是什么好事。通过Chrome
69登录任意谷歌服务(例如Gmail和YouTube),那么浏览器本身也会自动登录。
来源:cnBeta.COM
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
看雪阅读推荐:
1、[原创]微软轻量级系统监控工具sysmon原理与实现完全分析(上篇)
4、[翻译]StaDynA:解决Android APP安全分析中的动态代码更新问题
5、[原创]新手——win32程序的半生(CreateProcess)
2018.9.21周五
1、Mirai 僵尸网络作者与 FBI 合作而避免刑期
美国司法部发表新闻稿,宣布三名创造 Mirai 僵尸网络的男子 Paras Jha 、Josiah White 和 Dalton Norman 因在其他复杂网络犯罪调查中向 FBI 提供实质性帮助而避免刑期。三人是在 2017 年底承认了罪行。
Mirai 恶意程序利用联网设备的已知漏洞入侵和控制设备,然后发动规模惊人的 DDoS,2016 年曾导致许多知名网站和网络服务短暂下线。
罗格斯大学计算机科学学生 Paras Jha 是安全调查记者 Brian Krebs 通过跟踪其网络痕迹识别出来的。Paras Jha 使用化名 Anna Senpai 开源了 Mirai 的代码,此举是为了以防万一 Jha 或其同谋控制的计算机被发现 Mirai 代码后可以进行推诿。
美国司法部称,三人被判处五年缓刑,2500 小时社区服务和 12.7 万美元罚款。
来源:solidot.org
2、Canonical公布Ubuntu 14.04 LTS的扩展安全维护项目
对于家庭用户来说,升级操作系统无疑是非常简单的事情,无论是Windows、Mac还是GNU/Linux发行版本,只要妥善保存好数据就能进行升级。然而对于企业来说就没有那么简单了,而企业往往会抱着“使用没有故障,就不会修复”的态度消极对待系统升级,更不希望停机来影响公司盈利。
Ubuntu 14.04即将于走到生命尽头,Canonical于今天正式宣布扩展安全维护(ESM)计划。Canonical说道:“ESM项目随UBuntu 12.04 LTS中引入,在系统停止支持之后继续付费更新关键和重要的安全补丁。使用ESM的企业在获得全面支持来升级至更新版本的过程中能够解决安全问题。”
Ubuntu 14.04将于2019年4月30日停止,如果你的企业仍在运行Trusty Tahr,那么你大概有半年的时间来制定升级计划。
来源:cnBeta.COM
3、服务器遭黑客潜伏一个多月,这家公司原本打算赴美上市的
上市前遭遇大负面,想必这是所有公司最不想看到的。而一周前放出消息准备赴美上市的新蛋网,却被曝出服务器被注入恶意代码已经长达一个月,很可能已经影响数百万付费用户的信用卡信息。
新蛋网也是一家电商网站,可能更多的是海淘党比较熟悉。2001年新蛋网在美国洛杉矶成立,同年进入中国市场。这家曾经的美国第二大电商网站在2016年被中国联络互动公司收购,此后成为“双向”跨境电商平台,由此受到国内众多海淘党追捧。
一次精心策划的潜伏、
最先发现服务器中恶意代码的是 Volexity 与 RiskIQ 两家公司,并及时告知新蛋网,从这次事件的报告中可以了解到黑客的潜伏过程。
首先黑客在8月13日通过 Namecheap 注册了 neweggstats.com,域名跟新蛋官网的地址(newegg.com)很接近,很容易让人以为是新蛋官方的某个数据站点。很快黑客便将该域名指向了自己事先准备好的服务器(217.23.4.11),用于接受窃取的信用卡信息。
在8月14日,攻击者开始将恶意代码放到新蛋服务器中。
当用户在新蛋网上购买商品,需要经历以下三个步骤:
1.将商品放入购物车
2.输入收货地址等信息
3.当地址验证有效,才会进入最后的付款阶段:输入信用卡信息
值得注意的是,恶意代码本身放在付款处理的页面上,而不是脚本中,除非付款页面被点击,否则就不会显示。在新蛋网结帐过程中,Volexity 能够验证恶意 JavaScript 代码的存在,这些代码仅限于secure.newegg.com上的一页。当用户在结帐时移到付款信息页面时,恶意代码就会出现一次。这个页面位于URL https://secure.newegg.com/globalshopps/checkoutstep2.aspx,它将收集表单数据,通过域neweggstats.com将其通过ssl/tls将其传输给攻击者。
该恶意代码第一次活动在8月14日左右,而在9月18日确认已经被删除,这意味着黑客已经在新蛋网页面潜伏长达一个月的时间。安全人员推测此次黑客正是前段时间攻击英国航空公司的是同一个团伙 MageCart,两次行动采用相同的基本代码,只是根据不同环境做了变化。而且,新蛋网潜伏的恶意代码更加精简,从22行精简到了15行,隐藏地更好。
目前,新蛋网已经拥有3600万注册用户、1400万邮件订阅用户以及1700万月独立访客,覆盖全球50多个国家。而在这一个月的时间了,究竟有多少用户的信用卡信息被窃取依然无法查证。
黑客入侵事件或导致新蛋网推迟上市计划
在得知该事件之后,新蛋在Twitter发出通知表示:服务器被注入恶意软件,我们正在确定黑客究竟获取了哪些信息,同时发送邮件通知客户潜在的影响。
在这个时间点曝出这种负面新闻,估计新蛋网以及联络互动都会措手不及。因为在一周前,联络互动发布公告称,公司临时股东大会审议通过《关于公司所属企业到境外上市方案的议案》,拟分拆旗下企业新蛋赴美上市。
根据公开的年报显示,2016年和2017年新蛋的营收分别为人民币152.16亿元和145.71亿元,亏损分别为人民币9200万元和6400万元。而这次黑客入侵事件,虽然还没公布最终影响范围,可以预估受影响的用户不在少数,势必给新蛋赴美上市又一重击。很可能新蛋会就此继续后延上市计划,至少等这次危机淡去之后。
*本文作者:Andy.i,转载请注明来自FreeBuf.COM
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
看雪阅读推荐:
1、[原创]《0day安全...(第二版)》第3章第4节开发通用的shellcode在win10系统下测试的问题
2、[原创]一个拼凑起来的CVE-2018-8373的EXP
3、[原创]Xposed________监听微信登录帐号和密码
4、[原创]对照Java源码学习smali语法,根据smali代码反推java代码
2018.9.20周四
1、研究人员发现可公开访问的包含1100万条记录的MongoDB数据库
9月17日,安全研究员Bob Diachenko发现了一个可公开访问的MongoDB数据库,其中包含43.5 GB的数据和10.999.535的Yahoo电子邮件地址。除其他细节外,数据库中包含的每条记录都包括电子邮件地址,全名和性别,以及其他敏感的个人数据,如城市和邮政编码,以及实际地址。
更重要的是,除了电子邮件地址之外,数据库还有关于邮件服务器在联系时发送状态的信息,详细说明邮件是否已发送或服务器是否拒绝了电子邮件。正如Diachenko所发现的那样,自从9月13日互联网设备搜索引擎将其编入索引时,该数据库处于在线状态并被曝光,其中包含“受损”标签和0.4 BTC赎金票据。
奇怪的是,尽管被成功破坏并且不良行为者要求数据库所有者索要赎金,但当研究人员访问数据库时,数据库未加密。暴露的数据库没有提供关于谁拥有泄露数据的任何暗示,但Diachenko发现线索,记录器本可以用作SaverSpy运营的电子营销活动的一部分,SaverSpy是一个以处理来自Coupons.com的优惠而闻名的网站。
Diachenko联系了两家被发现与暴露的电子营销数据库相关的组织,尽管没有收到任何人的回答,但数据库在他的联系尝试后很快就离线了。尽管Diachenko没有找到任何支付卡数据或电话号码,但是对于诈骗者,网络钓鱼者和垃圾邮件发送者来说,1100万个泄露记录中的每一个的电子邮件地址和电子邮件状态字段都是无价之宝。
来源:cnBeta.COM
2、GovPayNet凭证系统存在漏洞 1400万交易记录被曝光
GovPayNet是总部位于美国印第安納波利斯市(Indianapolis)的私营企业,为美国35个州的2300多个美国政府机构提供在线支付服务。根据最新信息,自2012年以来大概有1400万条包含收据信息的记录被泄露。据安全研究员Brian Krebs报道,公司网站GovPayNow.com允许任意人访问收据数据,其中包括法院下达的罚款、保释金以及交通罚款等等。
美国用户在完成付款处理之后,GovPayNow.com网站就会发出确认收款的数字收据,而用户可以通过修改不同的ID来轻松访问其他用户的收据信息。Krebs实际演示中,通过简单地修改收据URL中的ID数字,就能轻松访问GovPayNet支付系统中的任意凭证,包括收据所有者的全名、居住地址、手机号码以及交易所使用行用卡的后四位数字。
在发现安全问题后,研究人员向GovPayNet发出了关于该问题的警报,并在两天后收到答复,确认他发现的“潜在问题”已得到解决。“目前没有迹象表明有黑客利用任何不正当访问的信息来伤害任何客户,收据中不包含可用于启动金融交易的信息。”
来源:cnBeta.COM
3、研究显示45%的恶意软件有效负载通过微软Office宏发送
在分析恶意软件在2018年8月期间使用的传递机制时,Cofense Intelligence发现45%的恶意软件有效负载通过微软Office宏发送。恶意软件和攻击倾向于使用微软Office宏作为感染链的第一阶段,并且在大约45%的安全事件中作为传递恶意程序的主要方式。
Office宏是攻击者用来传递恶意软件的最佳工具之一,因为在大多数运行微软Office的电脑上默认启用Office宏功能,而在具有更严格安全策略且禁用该功能的组织中,最终用户可以使用鼠标单击。
Office宏已被用于提供从无关紧要的机器人到非常危险的勒索软件有效载荷的任何东西,借助于特制的Visual Basic脚本,可以轻松地在恶意工具中转换Office宏,这些脚本允许被黑电脑从远程服务器下载或运行有效负载。
尽管使用宏作为电子邮件附件来感染电脑可能看起来只是低级威胁可能会使用的方式,但是Cofense Intelligence发现它们也被用来提供复杂且非常危险的,例如Geodo,Chanitor,AZORult和GandCrab 。根据Cofense Intelligence的报告,已检测到Office宏从简单的机器人到高度危险的勒索软件有效载荷,这可能会削弱整个企业网络。
作为缓解措施,反网络钓鱼解决方案提供商建议在企业环境中禁用宏,方法是将员工可以使用宏接收Office文档的源列入白名单,或者使用能够检测和阻止恶意宏组件的反恶意软件软件。
来源:cnBeta.COM
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
看雪阅读推荐:
1、[原创]微软轻量级系统监控工具sysmon原理与实现完全分析(上篇)
2、[原创]【很有时间系列】讲讲怎么枚举MmMapViewInSystemSpace分配的内存
3、[原创]死磕python字节码-手工还原python源码
5、[原创] 《软件调试》分页机制windbg例子分析(各种填坑)
2018.9.19周三
1、研究人员发现了具有僵尸网络功能勒索功能和挖掘加密货币功能的新蠕虫
Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。正如Unit 42所详述的那样,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前知道可以执行勒索软件攻击的威胁行为者,显然已经转向更复杂的攻击媒介。
据观察,Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,与其他勒索软件不同,默认情况下启用了数据销毁功能,没有恢复功能,几乎不可能进行文件恢复。此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB数据库,并要求比特币赎金恢复数据。
另一方面,Xbash的加密货币挖掘和自传播模块旨在使用未修补的Hadoop,Redis和ActiveMQ数据库中的已知漏洞来破坏Windows系统。此外,Xbash具有自我传播的能力,类似于Petya / NoPetya和WannaCry的能力,以及尚未启用的传播功能集合,但可以使其在企业或家庭网络中快速传播。
Xbash还具有由代码编译,代码压缩和转换以及代码加密提供支持的反检测功能,所有这些功能都会模糊其恶意行为,以防止反恶意软件工具检测到它。Unit 42已经发现48个传入到Xbash勒索软件组件中的硬编码钱包总计6000美元,这意味着新的恶意软件系列已经活跃并收集受害者的赎金
来源:cnBeta.COM
2、视频监控出现新漏洞:黑客可以让监控摄像头失灵
安全公司Tenable的研究人员近日披露了一项涉及安全摄像头和监控设备的“零日漏洞”,编号为CVE-2018-1149,代号“Peekaboo”。攻击者可以利用这个漏洞,通过远程方式在视频监控系统软件上执行代码。
具体来说,攻击者可以利用这个漏洞浏览、篡改视频监控记录等信息,还可以窃取机密数据,比如凭证、IP地址、端口使用情况、监控设备的型号。攻击者甚至可以让摄像头等监控设备完全失灵。
这些漏洞的主要原因在于一款名为“Nuuo”的视频监控管理软件上。这款软件为客户提供视频监控系统,很多机场、银行、政府机构、居民区都在使用。因此漏洞的影响范围极广。
Tenable已经将漏洞报告给Nuuo软件公司,公司正在制作补丁。Tenable目前推出一个插件,机构可以利用插件检测设备是否会受到Peekaboo的影响。
来源:新浪科技
3、俄罗斯特工被发现尝试入侵测试神经毒剂的瑞士实验室
荷兰官员透露该国在今年早些时候逮捕和驱逐了两名俄罗斯特工,他们被发现尝试入侵瑞士国家实验室 Spiez Laboratory。Spiez 正代表禁止化学武器组织测试两组俄罗斯政府感兴趣的样本:用于攻击前俄罗斯特工 Sergei Skripal 及其女儿的神经毒剂 Novichok 和来自叙利亚的毒气攻击样本。
禁止化学武器组织总部位于荷兰海牙,这可能解释为什么特工在这里尝试入侵实验室。Spiez 实验室证实其计算机网络造成黑客攻击。这不是俄罗斯特工第一次被控入侵国际实验室。国际奥委会和反兴奋剂组织机构在 2016 年成为钓鱼攻击的目标。
来源:solidot.org
声明:本网站所提供的信息仅供参考之用,并不代表本网站赞同其观点,也不代表本网站对其真实性负责。
看雪阅读推荐:
3、[原创]看雪.京东 2018CTF 第十五题 智能设备 Writeup
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
