BUF早餐铺 | 新安卓恶意挖矿软件正迅速传播;CSS 代码可能被用来收集敏感用户数据;微博“高仿号”冒充海外好友实施诈骗

2018-02-08 92202人围观 ,发现 1 个不明物体 资讯

腊月今知晦,流年此夕除。拾樵供岁火,帖牖作春书。

各位  Buffer 早上好,今天是 2018 年 2 月 8 日星期四,农历腊月二十三(北方小年,宜祭灶、扫除)。今天份的早餐内容主要有:新安卓恶意挖矿软件 ADB.Miner 正迅速传播;调查显示勒索攻击者平均每年遭受两次攻击;语法拼写检查程序 Grammarly 出现严重漏洞,可被攻击者利用窃取用户数据;CSS 代码可能被用来收集敏感用户数据;新技术利用 X.509 数字证书建立隐蔽数据交换通道,秘密传输数据;微博“高仿号”冒充海外好友实施诈骗;深圳网警发博展示打击东南亚黑客团伙全过程。

早餐.jpg

以下请看详细报道:

【国际时事】

新安卓恶意挖矿软件 ADB.Miner 正迅速传播

2018 年,“挖矿”成了网络安全的关键词。由于虚拟货币价格水涨船高,攻击者们如蝗虫一般,针对 IoT、安卓、Windows 等各种平台发起攻击,安装恶意挖矿软件,利用被入侵设备的 CPU 挖矿。

近日,国内奇虎 360 Netlab 的安全研究员发现了新的蠕虫类安卓恶意程序 ADB.Miner。ADB.Miner 是首个安卓蠕虫,重新利用了 Mirai 中编写的扫描代码,利用端口 5555 上可公开访问的 ADB 调试端口界面,扫描并感染各种安卓设备(智能手机、智能电视、电视盒子等),传播门罗币挖矿软件。

安卓恶意挖矿软件.png

需要注意的是,默认情况下,几乎所有的 Android 设备都禁用了 ADB 端口,因此 ADB.Miner 只会定位那些手动启用了端口 5555 的设备。

除了挖掘门罗币之外,安装在受感染设备上的 ADB.Miner 还会尝试在 Internet 上扫描更多目标,进行自我传播。

截至上周日,研究人员检测到该挖矿代码相关的 7400 个 IP 地址,这意味着 24 小时内有 5000 多业台设备受感染。根据 IP 分析,有 40% 来自中国,31% 来自韩国。[来源:TheHackerNews]

调查显示勒索攻击者平均每年遭受两次攻击

近期,有研究机构对全球 2700 名 IT 专业人员展开调查,结果显示 2017 年有 54% 的组织遭受了勒索软件攻击,大多数组织遭到两次以上的攻击,平均每起攻击用到两款勒索软件。

每次勒索攻击给企业造成的损失平均为 13.3 万美元。5% 的受访者表示,他们处理勒索软件的花费在 130 万美元到 660 万美元之间。这些费用不仅包括赎金,还包括工作时间、设备停机时间、设备与网络成本,以及商业机会的损失。

勒索软件.png

其中,医疗领域遭遇的勒索攻击最多,占 76%;其次是能源石油天然气等基础设施领域(65%)、服务业(59%)、零售发行运输(58%)、IT技术与通信(55%)。

值得注意是,攻击者在发起攻击时,并不会在意公司规模大小。所以,不管是大公司还是小公司,都要警惕。[来源:bleepingcomputer]

【漏洞攻击】

语法拼写检查程序 Grammarly 出现严重漏洞,可被攻击者利用窃取用户数据

Chrome 和 Firefox 的一款语法检查扩展程序 Grammarly 出现严重漏洞,远程攻击者可以利用这个漏洞获取 2200 万用户的帐户信息(包括个人文档和记录)。

Google Project Zero 研究员 Tavis Ormandy 在 2 月 2 日发现了这个漏洞,他表示 Grammarly 暴露了所有网站的认证 token,远程攻击者可以利用仅仅 4 行长的 JavaScript 代码就抓取到这些 token,并进一步展开攻击。

Grammarly.png

换句话说,Grammarly 用户访问的任何网站都可以窃取到该用户的认证 token,有了这个认证 token 就可以登录到用户的帐户,并且在未经许可的情况下访问所有“文档、历史记录、日志等数据”。

这个漏洞是在周五曝出的,在本周一已经修复。目前,Chrome 和 Firefox 浏览器的相关扩展程序也已经升级,可自动更新补丁。[来源:TheHackerNews]

CSS 代码可能被用来收集敏感用户数据

CSS不仅在网页展现时强大,在追踪用户时也能发挥作用。它能够追踪网站用户,从网页中提取和窃取数据,收集表单域中输入的数据(包括密码),甚至让暗网用户暴露身份。在过去的一个月里,三个有趣的研究项目都把CSS作为攻击媒介,显示了这种看似无害的语言也能被用来针对用户。

研究人员发现:使用 CSS 可以跟踪页面上的用户、窃取 CSRF token,甚至还能使用 CSS 属性选择器来猜测留在 HTML 标签内的敏感内容。

CSS.png

防范CSS Exfil攻击可以分为两个层面。首先,网站和网络应用程序作者可以实施内容安全策略(CSP),防止攻击者从外部加载CSS代码。其次,访客还可以安装Gualtieri的Firefox或Chrome扩展程序,它可以检测Gualtieri在他的研究中记录的所有类型的CSS Exfil攻击,并在执行之前重写恶意代码。[来源:bleepingComputer]

新技术利用 X.509 数字证书建立隐蔽数据交换通道,秘密传输数据

2017 年 7 月的 Bsides 大会上,来自 Fidelis Cybersecurity 公司的安全研究员 Jason Reaves 演示了利用 X.509 数字证书秘密传输数据的过程,并在近期发布了相关的 POC 代码

x.509-certificates-embedded-mimikatz.jpg

X.509 是一项标准,用于定义常用网络协议(TLS/SS)公钥证书的格式。例如,TLS 在建立加密会话的握手过程中使用 X.509 进行证书交换。Reaves 正是利用这一点,设计了隐蔽通道,使用 X.509 扩展中的字段来传输数据。攻击者可以利用这个秘密通道窃取目标组织的数据,并逃避检测。

一般来说,隐藏在 X.509 元数据中的数据无法被检测到,Reaves 发布的 PoC 代码在 TLS 协议中传输了 Mimikatz 后期利用工具。Reaves 认为,可能有效的应对方法是,禁用自签名的证书,并检查证书中的可执行文件。[来源:SecurityAffairs]

【国内新闻】

微博“高仿号”冒充海外好友实施诈骗

久未谋面的旧友,突然在微博上私信你,让你帮忙转账购买高价机票……谁能想到这是一个骗局。近日,网友吴韵(化名)就遭遇了这样的事。吴韵告诉北京青年报记者:有人高仿自己朋友的微博账号,然后通过私信联系她,谎称转账出现问题,让吴韵帮忙垫付机票钱。最终,机警的吴韵识破骗局,避免了财产损失。

据了解遭遇微博高仿号诈骗的人不在少数。去年曾有媒体报道称,仅在一个受害者群里,百余名受害者已被骗取170多万元,且警方曾表示,这类骗局,追回受骗资金的概率较小。

新浪微博.jpg

对此,新浪微博社区管理官方账号近期发布消息称,微博平台有不法分子冒充真实用户注册了高仿账号(头像、简介一致,昵称稍做修改),通过私信以代付机票款或托运费等理由实施诈骗。如遇上述情况,切勿轻易转账汇款。特别是以身在国外为借口,发来所谓汇款截图,要求提前垫付机票款、托运费的情况,要提高警惕,谨防被骗。

此外,微博平台提醒,如果用户发现自己的账号被人冒用,可进入冒充账号主页,点击右侧下拉菜单,“点击‘举报他’”、“选中‘冒充我’”,提交申请,以保护自己的账号安全。[来源:新浪新闻]

深圳网警发博:打击东南亚黑客团伙全过程

今日,深圳网警在新浪微博发布短视频,展示打击黑客团伙的过程。博文如下:

2017年我支队“321”专案组对藏匿于东南亚国家对我境内网站实施黑客攻击的团伙展开追查,此团伙乃为全国最大的黑客团伙,对境内网络安全有着巨大的冲击,在公安部、省公安厅和深圳市局党委的领导下,果断出击,历时数月,将这一团伙一举拿下。

网警.jpg

近年来,我国一直在加强网络监管,打击网络犯罪,各地取得了的一定的成效。而深圳网警此举,则是首例打击黑客全链条犯罪的案例。[来源:@深圳网警]

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM

发表评论

已有 1 条评论

取消
Loading...
css.php