原标题:资安一周第10期:新恶意程式Xbash锁定Linux及Windows平台。Magecart骇客集团犯案连连,三家大型业者用户资料遭骇
针对Chrome△69,有开发人员发现,只要利用Chrome登入各种Google服务,就会自动登入Chrome浏览器,让Google再遭控诉漠视用户意愿及隐私。(图片来源/Google)
0920-0926一定要看的资安新闻?
#Xbash△#恶意程式新恶意程式Xbash攻击手法多元化,兼具勒索与挖矿能力,专门锁定Linux及Windows平台资安业者Palo△Alto△Networks揭露一个新的恶意程式Xbash,它兼具勒索、挖矿与僵尸网络等功能,且同时锁定Linux及Windows平台。
Xbash攻击不同平台有不同的角色及表现,它针对Linux平台时主要展现勒索软件与僵尸网络能力,先寻找缺乏保护的服务,删除受害者的MySQL、PostgreSQL与MongoDB资料库,再勒索比特币。
然而,研究人员发现,Xbash并未含有复原资料库的能力,也没有证据显示支付赎金的受害者已取回自己的资料库,显示出它是一款伪装成勒索软件的资料破坏程式。即便如此,骇客的加密货币帐号已收到48笔款项,进帐为0.964个比特币,价值约6,000美元。
Xbash在Windows上的作用则是挖矿及自我散布,它利用存在于Hadoop、Redis与ActiveMQ的安全漏洞进行自我散布,或是感染Windows作业系统。例如当Xbash开采Redis漏洞时,会先判断Redis服务是否运作在Windows之上,倘若答案是肯定的,那么它就会传送恶意的JavaScript及VBScript以下载并执行挖矿程式。更多内容
?
#Magecart骇客集团Magecart骇客集团犯案连连,除了英航和Ticketmaster售票网,Newegg也陷灾情,数百万卡号曝险一个月资安业者RiskIQ发现,骇入英国航空(British△Airline)及售票网站Ticketmaster的骇客组织,又骇入电商平台新蛋(Newegg)网站,活动期间长达一个月,可能已成功窃取数百万客户信用卡号码。Newegg也在自家Twitter上坦言遭骇,也对近一个月在该平台购物的客户发出电子邮件通知此事,并提醒他们注意信用卡的异常活动。
RiskIQ是在调查Ticketmaster及英航被骇事件中,揭露名为Magecart的骇客组织。研究人员发现,骇客在英航网站中植入仅22行程式的盗卡号软件(skimmer),就成功将38万名用户的信用卡资讯及用户名称,传送到外部伺服器。虽然这两宗入侵事件已经平息,但Magecart集团并未停手;Newegg则是最新受害者。
Newegg是总部位于加州的3C电商平台,2016年销售金额达到26.5亿美元,研究机构Similarweb估计Newegg网站一个月造访人次超过5,000万。
RiskIQ研究人员发现,Magecart在8月13日注册了一个名为neweggstats.com的网域想冒充Newegg主要网域。后者原指向停车场管理公司,但骇客隔天将之改为指向Magecart的恶意伺服器,可接收Newegg网站用户的信用卡资讯。和英航事件一样,骇客也是取得Comodo签发的凭证以加强网页的合法性。更多内容
?
#Google服务 #Chrome△69多事之秋!登入Google服务就会自动登入Chrome再遭炮轰Google趁着Chrome浏览器迈入十岁之际,在今年9月初释出了大改版的Chrome△69,有开发人员发现,只要利用Chrome登入各种Google服务,就会自动登入Chrome浏览器,让Google再遭控诉漠视用户意愿及隐私。
Chrome△69的用户指出,倘若他们并未登入Chrome,但利用Chrome造访并登入了诸如Gmail或YouTube等Google服务,那么就会自动登入Chrome,而且Google没有秀出任何警告,也没有提供任何选项,只会在Chrome右上方显示登入状态,等于是强迫用户登入。
Google△Chrome工程师Adrienne△Porter△Felt解释,这是为了因应共享装置的使用情境所进行的改变,在共享装置上,假设使用者登出了某个Google服务,但忘了登出Chrome,即有机会遭他人窥探隐私。
Google内部将此一功能称为“浏览器与饼干罐(cookie△jar)之间的一致身份”(Identity△consistency△between△browser△and△cookie△jar),当使用者在Chrome、Gmail或其它Google服务使用同样帐号时,只要登入其中一个Google服务,就会自动登入Chrome,同样地,登出该服务时,也会一并登出Chrome。
于是,Google认为把其它服务及Chrome的登入与登出变成一致就能免除上述问题,同时用户也能在Chrome介面上清楚地看到自己的登入状态。Felt也强调,登入Chrome之后,还需要执行另外的步骤才会展开同步,而不会主动执行同步功能。更多内容
?
#恶意版VirusTotal△#Scan4You经营恶意版VirusTotal服务Scan4You的骇客被判处14年刑期经营恶意版VirusTotal服务Scan4You的骇客Ruslan△Bondars,因疏忽未拉黑回传给趋势科技而让犯行曝光,遭美国法院以助长网络犯罪重判14年徒刑。
Scan4You在技术上类似Google的VirusTotal服务,会扫瞄多家防毒软件的防毒引擎寻找漏洞,但不同于VirusTotal,Scan4You并不会将扫瞄结果告知防毒厂商,而是提供恶意程式作者以便于改良恶意程式、避免安全软件的侦测,因此又被称为“反防毒”或“非公开扫瞄”(no-distribute)服务。更多内容
?
#macOS△Mojave△#隐私漏洞macOS△Mojave正式版问世,马上传出有隐私漏洞近期苹果释出macOS△Mojave(macOS△10.14)正式版,但研究人员Patrick△Wardle在macOS△Mojave发表的当天,便揭露macOS△Mojave含有隐私漏洞,允许无权限的应用程序存取通讯录。
Patrick△Wardle揭通过视频示范他如何利用一个不具备权限的程式,将macOS△Mojave的使用者通讯录储存在桌面上。
Wardle向BleepingComputer说明,这是一个零时差漏洞,存在于苹果替各种隐私资料部署保护机制的方式,允许未取得授权的第三方程式存取macOS△Mojave上的机密资讯,但并非所有的机密资讯都含有风险,且硬件元件并未受到该漏洞的波及。
Wardle只是先以视频展示相关攻击是可行的,打算要到11月举行的Mac△Security安全会议上才会公布漏洞细节。更多内容
?
#恶意软件即服务 #Black△Rose△Lucy新恶意软件即服务Black△Rose△Lucy现身,中国可能是下一个攻击目标现在购买骇客的攻击服务,也像购买云端服务一样方便了,资安业者Check△Point发现一个名为Black△Rose△Lucy的全新恶意软件即服务(MaaS),由The△Lucy△Gang俄国团队所开发,虽然这个MaaS服务还在发展的早期阶段,但是Check△Point认为,只需要一些时间,Black△Rose△Lucy便能发展成网络攻击的瑞士刀。
MaaS乍看之下是一个恶意套件工具包,包含了远端控制仪表板Lucy△Loader,用来控制整个僵尸网络的受骇装置和主机,还可用来部署其他的恶意负载(Payload),另一个工具则是Black△Rose△Dropper,针对Android装置设计来收集装置资料、监听远端命令、控制C△C伺服器,并且安装来自C△C伺服器发送的恶意软件。
目前Black△Rose△Dropper支援英语、土耳其语和俄语使用者介面,且仪表板中显示,模拟的受害者位在法国、以色列和土耳其,Check△Point认为骇客已经在这些地方向有兴趣的买家进行了展示,因此Black△Rose△Lucy目标的范围应该不只俄罗斯,而且由于Black△Rose△Lucy还对小米手机进行特殊逻辑处理,其中的自我保护机制,还特别针对中国安全和系统应用进行特化,因此下一个目标是中国的可能性非常大。更多内容
?
#比特币 #Bitcoin△Core漏洞开发人员修补可破坏比特币生态体系的Bitcoin△Core漏洞全球最普及的比特币客户端程式Bitcoin△Core释出Bitcoin△Core△0.16.3,以修补编号为CVE-2018-17144的阻断服务漏洞,这是个可能破坏整个比特币生态体系的重大漏洞,使得Bitcoin△Core作者Wladimir△van△der△Laan强力呼吁用户尽速修补。
比特币是个P2P网络,安装客户端程式的用户都会成为节点,用以确认每笔比特币交易符合区块链的规范,根据统计,比特币网络现有9,614个节点,当中有9,123个使用Bitcoin△Core,市占率接近95%。
根据Motherboard的报道,比特币的挖矿者通常是日以继夜地努力将一个比特币交易区块加入区块链中,以获得12.5个比特币的奖励,倘若挖矿者建立一个含有重复交易的恶意区块,继之将它传送至比特币网络,即会触发CVE-2018-17144漏洞,收到该恶意区块的Bitcoin△Core并不会将它视为无效而拒绝它,反而会造成软件崩溃。
有鉴于Bitcoin△Core代表了95%的比特币网络节点,使得该漏洞有机会影响整个比特币网络的运作。更多内容
?
#间谍程式Pegasus△#NSO△Group公民实验室指控:间谍程式Pegasus被部署在45国!但开发商NSO△Group否认:没这回事加拿大多伦多大学的公民实验室(Citizen△Lab)发布一项报告,指称由以色列骇客公司NSO△Group所打造的行动间谍程式Pegasus,已被部署在45个国家以进行监控行动,但NSO随即否认此事。
于2010年创立的NSO△Group主要研发网络情报技术,且强调只将相关技术授权给用来打击犯罪及恐怖份子的政府,至于Pegasus则被视为史上最高明的行动间谍程式,它同时支援iOS与Android平台,可悄悄破解行动装置,以监控被骇者的行动,并搜集装置上的各种资讯,涵盖语音通讯、相机、电子邮件、讯息、定位、密码与通讯录等。
公民实验室指出,根据他们从2016年8月到2018年8月的追踪,有36个不同的组织正在45个国家执行监控行动,而且其中有10个组织涉及跨国监控,这些国家包括美国、法国、印度、以色列、墨西哥、南非、新加坡、泰国到埃及等。公民实验室去年便踢爆墨西哥政府利用Pegasus,来监控当地捍卫人权的异议人士。
然而,NSO发表声明,重申只有为了调查犯罪及恐怖份子的合法政府组织才能取得该公司产品的授权,并批评公民实验室的报告有诸多不实之处。更多内容
?
#NSS△Labs△#资安产品测试服务NSS△Labs控告多家防毒业者垄断资安产品的独立评测机构NSS△Labs控告CrowdStrike、Symantec、ESET等防毒软件业者,以及反恶意程式测试标准组织(AMTSO)联手垄断资安产品的测试服务,共谋遮掩防毒软件的缺陷。
NSS△Labs执行长Vikram△Phatak说明,该实验室经常在独立测试中发现资安产品的缺陷,并把结果告知客户,有些资安业者会修补产品问题,但有些则会避免产品遭到测试。如果只有一家资安业者拒绝被测试,可能引来市场的猜忌,但若是有一群资安业者联手抵制某个独立的测试实验室,那么大家都能安然无恙,而这些就是上述被告所做的事。
Phatak指控,资安业者除了集体抵制那些不遵循AMTSO标准的测试机构之外,甚至还阻止这些机构购买与测试他们的产品。
创立于2008年的AMTSO是个非营利组织,主要的任务在于针对安全解决方案发展公平、公开且可靠的测试标准,资安领域中的知名业者几乎都是AMTSO的会员,包括NSS△Labs在内。
NSS△Labs于诉状中透露,当AMTSO进行测试标准的表决时,不只是NSS△Labs,包括AV-Comparatives、AV-Test及SKD△LABS等其它评测机构也都反对该标准,但他们却收到了资安业者的威胁,表示若不同意此一标准就不会使用他们的评测服务。
被告之一的CrowdStrike回应媒体的声明稿中指出,NSS△Labs是家营利且收钱才办事的测试组织,以诈骗手法取得产品,再经由公开且透明的测试来捍卫其商业模式,相信此一诉讼毫无根据。CrowdStrike也强调旗下产品也曾交由AV-Comparatives、SE△Labs与MITRE等独立机构进行测试。更多内容
?
更多资安动态推特以双重保护防止用户遭Silhouette技术线上线下交叉追踪
Cloudflare推出数位签章时间校准服务Roughtime
主打安全自由的开放硬件,59美元Librem△USB安全金钥上市
资料来源:iThome整理,2018年9月
相关:
双11物流旺季即将到来,有快递企业开始涨价,你的双11“剁手”会受到影响吗。记者从中通快递了解到,从今年10月1日起启动快递费用调节机制,调整全国到上海地区的快递费用。快递公司十一开始涨价 与此同时,韵达、圆
资安业者踢爆微软JET Database Engine含有远端程式攻击的零时差漏洞
图片来源: 趋势科技 趋势科技旗下的Zero△Day△Initiative(ZDI)周一(9/24)踢爆了一个隐藏在微软JET△Database△Engine中的越界写入(out△of△bounds△write)漏洞,成功的开采将允许骇客自远端执行任意程式,虽
新恶意软件即服务Black Rose Lucy现身,中国可能是下一个攻击目标
现在购买骇客的攻击服务,也像购买云端服务一样方便了,资安业者Check△Point发现一个名为Black△Rose△Lucy的全新恶意软件即服务(Malware-as-a-Service,MaaS),由The△Lucy△Gang俄国团队所开发,虽然这个MaaS服
经营恶意版VirusTotal服务Scan4You的骇客被判处14年刑期
示意图,与新闻事件无关。 图片来源: 趋势科技 经营恶意版VirusTotal服务Scan4You的骇客上周遭美国法院以助长网络犯罪重判14年徒刑。37岁的拉脱维亚籍Ruslan△Bondars设立的Scan4You在技术上类似Google的VirusTota
消弥ICO乱象!非营利组织GITA要推出ICO资讯透明平台,让ICO业者自主揭露
前政委蔡玉玲(左二)、立委许毓仁(右二)、台湾金融科技协会理事长王可言(右一),协同15家加密货币交易所业者,共同公布虚拟通货交易所行为准则。同时,也首度公开介绍全球ICO资讯透明联盟GITA与ICO资讯透明平台