跳至主要内容

博文

新的“特洛伊木马源”技术让黑客可以隐藏源代码中的漏洞

  黑客 可以利用一类新的漏洞,以语义上允许的方式注入具有视觉欺骗性的恶意软件,但会改变源代码定义的逻辑,从而有效地为更多的第一方和供应链风险打开大门。   剑桥大学研究人员在一篇新发表的论文中说 : “ 这种被称为“特洛伊木马源 攻击 ”的技术“利用了 Unicode 等文本编码标准的微妙之处来生成源代码,其令牌的逻辑编码顺序与其显示顺序不同,从而导致无法直接感知的漏洞由人类代码审查员 。 ”   这些漏洞 会 影响所有流行编程语言的编译器,例如 C 、 C++ 、 C# 、 JavaScript 、 Java 、 Rust 、 Go 和 Python 。   该问题的核心是 Unicode 的双向(或 Bidi )算法,该算法支持从左到右(例如,英语)和从右到左(例如,阿拉伯语或希伯来语)语言,并且还具有所谓的双向性覆盖以允许在从右到左的句子中写入从左到右的单词,反之亦然,从而可以将不同阅读方向的文本嵌入大文本块中。   虽然期望编译器的输出正确实现提供给它的源代码,但通过将 Unicode Bidi 覆盖字符插入注释和字符串而产生的差异可能会产生一种产生语法有效的源代码的场景,其中字符的显示顺序呈现不同的逻辑从实际逻辑来看。 换句话说,攻击通过针对源代码文件的编码来制造有针对性的漏洞,而不是故意引入逻辑错误,以便在视觉上重新排序源代码中的令牌,虽然以完全可接受的方式呈现,但会欺骗编译器进行处理以不同的方式编写代码并彻底改变程序流程——例如,使注释看起来好像它是代码。 “实际上,我们将程序 A 转换为程序 B , ” 研究人员推测道。 “ 如果逻辑上的变化足够微妙以至于在后续测试中未被发现,那么攻击者可能会在不被发现的情况下引入有针对性的漏洞。 ” 研究人员警告说,当注入开源软件的隐形软件漏洞进入下游时,这种对抗性编码会对供应链产生严重影响,可能会影响软件的所有用户。更糟糕的是,如果攻击者使用同形文字重新定义上游包中预先存在的函数并从受害者程序中调用它们,则木马源攻击可能会变得更加严重。 通过用来自其他 Unicode 系列集的相似字符替换拉丁字母(例如,将 “H” 更改为西里尔字母 “Н” ),威胁行为者可以创建一个看似与原始函数相似但实际上包含恶意代码的同形文字函数,然后被添加到开源项目中而不
最新博文

黑客成立假公司让 IT 专家发起勒索软件攻击

  出于经济动机的 FIN7 网络犯罪团伙伪装成另一家名为 “Bastion Secure” 的虚构网络安全公司,以渗透测试为幌子招募不知情的软件工程师,可能是勒索软件计划的前奏。   Recorded Future 的 Gemini 咨询部门在一份报告中说: “ 借助 FIN7 最新的假公司,犯罪集团利用来自各种合法网络安全公司的真实、公开可用的信息,为 Bastion Secure 创造了一层薄薄的合法性面纱。 ” “FIN7 正在采用虚假信息策略,以便如果潜在雇员或感兴趣的一方要对 Bastion Secure 进行事实检查,那么在谷歌上粗略搜索就会返回与 FIN7 的 Bastion Secure 名称或行业相似的公司的 ‘ 真实 ’ 信息。 ”   FIN7 ,也被称为 Carbanak ,碳蜘蛛和 Anunak ,有一个跟踪记录引人注目的餐厅,赌博和酒店业在美国感染点的销售终端( POS )系统的恶意软件旨在收获信用卡和借记卡号码然后在地下市场上使用或出售以获取利润。最新发展表明该集团已扩展到高利润的勒索软件领域。   设立虚假前台公司是 FIN7 的一个久经考验的公式,该公司之前曾与另一家名为 Combi Security 的虚假网络安全公司有关,该公司声称向客户提供渗透测试服务。从这个角度来看, Bastion Secure 是这种策略的延续。   新网站不仅包含从其他合法网络安全公司(主要是 Convergent Network Solutions )编译的窃取内容,运营商还在流行的招聘公告板上为 C++ 、 PHP 和 Python 程序员、系统管理员和逆向工程师宣传了看似真正的招聘机会,提供他们是面试过程中练习作业的几种工具。   对这些工具进行了分析,发现它们是后开发工具包 Carbanak 和 Lizar /Tirion 的组件,这两个工具包之前都属于该组织,可用于破坏 POS 系统和部署勒索软件。   然而,在招聘过程的下一阶段, Bastion Secure 参与犯罪活动变得明显,公司代表提供所谓的客户公司网络的访问权限,并要求潜在候选人收集有关域管理员、文件系统的信息和备份,表明强烈倾向于进行勒索软件攻击。   研究人员说:“ Bastion Sec

恶意软件设法关闭UEFI安全开机功能,被用于间谍攻击

  透过计算机开机的统一可扩展固件接口( UEFI )的攻击手法,最近几年 被 资安人员 发现数个恶意软件,且攻击极为隐蔽而难以察觉、因应。例如,资安业者于 10 月 5 日揭露新的恶意软件 ESPecter ,它藉由 EFI 系统扇区( EFI System Partition , ESP ),而能持续在受害计算机运作,让攻击者得以绕过 Windows 的驱动程序强制签章机制( DSE ),进而加载未签章的驱动程序,以便进行其他攻击行动。 针对这样的攻击手法 ,研究人员呼吁,使用者要严加防范:计算机要使用最新版本的韧体,并确定安全开机( Secure Boot )功能开启,再者,使用者也要留意特殊权限的管理,避免高权限账号遭到攻击者滥用。   1. 这样的工具会被如何? 攻击者在受害计算机植入 ESPecter 之后,这个启动工具会窜改 Windows 启动管理器,而能在操作系统完全加载之前的早期启动阶段,执行没有签章的驱动程序,并绕过 Windows 驱动程序的强制签章要求。而这个没有签章的驱动程序,攻击者再以其他用户模块的组件注入,并启动 ESPecter 和 C2 中继站服务器的联机,使得攻击者能掌控受害计算机,执行 C2 命令,或是下载、执行其他的恶意软件。 而受这种攻击手法影响的范围,包含执行 Windows 7 至 Windows 10 的计算机。其中,研究人员指出,当中窜改 Windows 启动器档案( bootmgfw.efi )的手法,必须关闭 UEFI 安全开机才能达成。但究竟攻击者如何关闭受害计算机的安全开机功能?研究人员表示并不清楚,但推断有可能攻击者实际接触到受害计算机,或者是利用 UEFI 漏洞而能够达成。   2. 锁定 UEFI 韧体出现新手法 过往针对 UEFI 韧体攻击的恶意软件,主要是滥用 SPI 闪存,包含 ESET 在 2018 年揭露的 LoJax ,以及卡巴斯基于 2019 年发现的 MosaicRegressor 。 而这次他们发现的 ESPecter ,与卡巴斯基甫于今年 9 月底揭露的 FinSpy (亦称为 FinFisher ),则是锁定 EFI 系统扇区下手。在此之前,这种攻击 EFI 系统扇区的手法,只有出现在概念性验证( PoC )的攻击程序,并未于实际的攻击行动

新的 Android 恶意软件从 378 个银行和钱包应用程序中窃取财务数据

  根据最新研究, BlackRock 移动恶意软件背后的运营商已经通过名为 ERMAC 的新 Android 银行木马重新浮出水面,该木马针对波兰,其根源在于臭名昭著的 Cerberus 恶意软件。   2021 年 8 月起,攻击范围扩大到包括银行、媒体播放器、交付服务、政府应用程序和 McAfee 等 防病毒解决方案 等一系列应用程序。 几乎完全基于臭名昭著的银行木马 Cerberus ,这家荷兰网络安全公司的调查结果来自上个月一位名叫 DukeEugene 的演员在 8 月 17 日发布的论坛帖子,邀请潜在客户 “ 向一小群人租用一个具有广泛功能的新安卓僵尸网络 ” “ 每月 3,000 美元。   DukeEugene 也被称为 2020 年 7 月曝光的 BlackRock 活动的幕后演员。该信息窃取程序和键盘记录程序具有一系列数据窃取功能,起源于另一种名为 Xerxes 的银行变种 —— 它本身就是 LokiBot Android 银行木马的变种 - 恶意软件的源代码由其作者于 2019 年 5 月左右公开。 Cerberus 于 2020 年 9 月在地下黑客论坛上以免费的远程访问木马 (RAT) 形式发布了自己的源代码,此前拍卖失败,为开发人员寻求 100,000 美元。 ThreatFabric 还强调了自 ERMAC 出现以来停止使用贝莱德新鲜样本,这增加了 “ 杜克尤金在其运营中从使用贝莱德转向使用 ERMAC” 的可能性。除了与 Cerberus 有相似之处外,新发现的毒株还以其使用混淆技术和 Blowfish 加密方案与命令和控制服务器进行通信而着称。 ERMAC 与其前身和其他银行恶意软件一样,旨在窃取联系信息、短信、打开任意应用程序,并触发针对众多金融应用程序的覆盖攻击以刷入登录凭据。此外,它还开发了新功能,允许恶意软件清除特定应用程序的缓存并窃取存储在设备上的帐户。   研究人员说:“ ERMAC 的故事再次表明,恶意软件源代码泄漏不仅会导致恶意软件家族的蒸发速度减慢,而且还会为威胁领域带来新的威胁 / 参与者。 ” “ 虽然它缺乏一些像 RAT 这样强大的功能,但它仍然对全世界的移动银行用户和金融机构构成威胁。 ” Myasiacloud 亚洲云海

泰国政府一个含有逾1亿笔旅客个人信息的数据库被曝光

  这是最新一起 国家级数据库安全事件 。 一个包含旅泰人士个人资料的数据库未做好防范,使超过 1.06 亿笔数据,包括十年内造访该国人士的姓名、护照号码等被公开于网络上。不过泰国政府表示数据库尚未遭到不法存取。 安全研究人员于 8 月底,发现了一个包含 200GB 的 ElasticSearch 数据库,分析后分析隶于泰国某政府机关。 该数据库内最重要的是一个包含超过 1.06 亿笔资料,显然是集结访泰旅客的个人信息资料。其中每一笔数据都包含旅客全名、性别、护照号码、签证类别、入境日期及入境卡号等。根据分析,这些资料可能包含近十年内造访泰国的所有外国观光客或商务人士的数据。所幸公开的数据库未包含银行帐户或联络信息。 研究人员立即通知泰国政府,后者很快响应并加入防护。这个数据库已被移往别处,原有 IP 端点则被链接诱捕系统,以搜捕动作太慢的不法人士。 这个数据库在 8 月 20 日由搜索引擎 Censys 索引过, 2 天后才被研究人员发现。至于被索引前这个数据库挂在网络上多久则不得而知。研究人员指出,该公司的诱捕系统实验证实,攻击者可以在几小时内找到并存取这个数据库。 泰国当局声称这些资料并未遭到任何未授权存取。   Myasiacloud 亚洲云海 网络安全防御专家 免备案 CDN 解决方案 亚太高防资源 无上限防御 DDoS/CC 攻击 !! 全球优质节点 中国大陆全境加速 海外加速 详情访问 https://www.myasiacloud.com/clouddf 商务联络 TG:@myasiacloud66

金融木马ZLoader攻击德国、澳洲银行机构

  最近黑客发动 ZLoader 金融木马程序攻击 ,开始运用多种回避机制,手法更为隐晦、间接,以就地取材( Living Off The Land Binaries and Scripts , LOLBAS )的方式侧载执行,目标锁定德国、澳洲的银行机构。   过往攻击者散布金融木马的管道,多半是 利用内有恶意宏的 Office 档案 ,作为钓鱼邮件进行攻击。但今年出现了较为复杂的新手法,例如,在金融木马 ZLoader (也称为 Terdot )近期的新攻击行动中,黑客透过合法的 MSI 档案来散布,并具备停用 Windows 内建防病毒软件的模块。   ZLoader 是典型的金融木马 , 最早在 2016 年出现,是由另一款恶名昭彰的木马程序 Zeus 发展而来,原本主要是透过网页注入( Web Injection )的方式,来窃取 Cookies 、密码,以及上网用户的敏感信息,攻击目标是全球各地金融机构的使用者,黑客也运用 ZLoader 来传送 Egregor 、 Ryuk 等勒索软件,或是其他的恶意软件。但如今,攻击者执行 ZLoader 的方式,比起以往更加复杂。   1. 以 Google 关键词广告来引诱受害者上钩 攻击者先是透过投放 Google 广告,锁定使用「 Team viewer download 」作为关键词的用户,一旦用户点选了攻击者购买的广告,就会被引导到冒牌 TeamViewer 的网站,下载 MSI 安装档案,但实际上,若是使用者执行这个档案,将会在受害计算机植入 ZLoader 。   值得留意的是,有别于许多冒名 TeamViewer 的恶意软件,这次攻击者提供的档案具有合法签章,除了假冒 TeamViewer 的安装程序( Team-Viewer.msi ),研究人员发现,攻击者还利用上述的合法凭证,签署冒牌的 Java 插件( JavaPlug-in.msi )、 Zoom ( Zoom.msi ),以及 Discord ( discord.msi )等安装软件,这 4 个冒牌安装程序皆无法透过 VirusTotal 识别为有害。   2. 运用计算机操作系统内建工具侧载恶意软件 在使用者不疑有他执行这些冒牌安装程序之后,它们会先随机产生一些合法的档案,再透过 Powe

Linux 30岁了!

  芬兰软件工程师 Linus Torvalds 在 1991 年的 8 月 25 日,于新闻组中发表了他所撰写的 Linux ,当时 Torvalds 才 22 岁,谦虚地说这只是他的兴趣,操作系统并不强大也没有很专业,不过,刚度过 30 岁生日的 Linux 现已是全球最受欢迎的开源平台,且同时受到大型企业、超级计算机制造商与开发者的喜爱。 Linux 衍生自 Unix 操作系统, Torvalds 在 30 年前发表的是 Linux 核心( Linux Kernel ),后来成为许多 Linux 版本的基础,涵盖 Debian 、 Fedora 、 Ubuntu 、 Red Hat Enterprise Linux 与 SUSE Linux Enterprise Server 等。 开源社群把 Torvalds 于新闻组中发表 Linux 的日期当作它的生日,不过, Torvalds 正式对外释出首个 Linux Kernel 版本的时间,是同年的 9 月 17 日。 根据 Linux 基金会在 2020 年的统计,全世界的超级计算机通通都使用 Linux ,也有 6 成的汽车采用 Linux ,并有 69% 的嵌入式装置使用 Linux 。 虽然在今年 6 月发布的全球前五百大超级计算机中,只有 52.8% 使用最原始的 Linux 平台,但其它超级计算机所采用的操作系统也是各种 Linux 版本,像是 CentOS 、 Cray Linux Environment 、 Red Hat Enterprise Linux 、 CentOS Linux 或 Ubuntu 。 StatCounter 今年 7 月的全球操作系统市占调查显示,奠基于 Linux 的 Android 平台已是全球最热门的操作系统,市占率为 41.56% ,微软的 Windows 则以 30.2% 位居第二。 另一方面,不少大型 网站 都是以 Linux 建置,从 Google 、 YouTube 、天猫、 QQ 到百度等,还有 9 成的云端基础设施是在 Linux 上运作。 Canonical 产品经理 Rob Gibbon 表示,对于许多使用者来说, Linux 平台所带来的能力与弹性,足以媲美甚至超过私有解决方案,此外,许多操作系统的灵感,也都应归功于