BUF早餐铺 | 美国征信巨头Equifax泄露事件详情揭露;克林姆林宫回应美政府机构禁止使用卡巴斯基;开发者使用SDK时不小心嵌入恶意程序

2017-09-18 279597人围观 ,发现 1 个不明物体 资讯

今天是9月18日星期一,今天早餐铺的主要内容有:美国征信巨头Equifax 大规模数据泄露事件详情揭露;克林姆林宫回应美国政府机构禁止使用卡巴斯基;macOS High Sierra的SKEL防护可被绕过,以及国内比特币的新动态~

BUF早餐铺 | 美国征信巨头Equifax 大规模数据泄露事件详情揭露;克林姆林宫回应美国政府机构禁止使用卡巴斯基;macOS High Sierra的SKEL防护可被绕过

【国际时事】

美国征信巨头Equifax 大规模数据泄露事件详情揭露

BUF早餐铺 | 美国征信巨头Equifax 大规模数据泄露事件详情揭露;克林姆林宫回应美国政府机构禁止使用卡巴斯基;macOS High Sierra的SKEL防护可被绕过

美国征信巨头 Equifax 日前确认,黑客利用其系统中未修复的 Apache Struts 漏洞( CVE-2017-5638,3 月 6 日曝光)发起攻击,导致了最近影响恶劣的大规模数据泄漏事件。Equifax 是美国三大老牌征信机构之一,拥有大量美国公民敏感数据,收益一直在 10 亿级别。其原本提供免费信用监控和身份窃取保护服务,还声称可以安全地冻结对敏感信息的访问。此次大规模数据泄露对其而言无疑是一场灾难。

黑客在 5 月中旬至 7 月下旬一直秘密入侵 Equifax 系统,获取 1.43 亿用户信用记录,包括名称、社会保障号、出生日期、地址,以及一些驾驶执照号码等。

除了 Apache 的漏洞,黑客还使用了一些其他手段绕过WAF。 最难的是找到服务器本身并加以利用。某位研究员曾尝试深入调查,结果发现有些管理面板居然位于 Shodan 搜索引擎上。相关黑客透露的消息称,没有一个面板是相同的;且数据泄露曝光后,Equifax 已经关闭了一些面板,其中一个面板是因为 Brian Krebs 的博文而关闭的。

在进一步调查中,研究人员发现,这个黑客团伙入侵了大量功能各不相同的 Equifax 管理面板。一些面板负责信用报告,一些则用作分析。更令人震惊的是,这些面板都指向了 equifax.com下的子域名,也就是说控制面板的代码很相似,这导致他们很容易受到相似的攻击。因此,只要有一个漏洞可以利用,就能轻易获取这些面板中的内容。

[FreeBuf报道]

克林姆林宫回应美国政府机构禁止使用卡巴斯基

BUF早餐铺 | 美国征信巨头Equifax 大规模数据泄露事件详情揭露;克林姆林宫回应美国政府机构禁止使用卡巴斯基;macOS High Sierra的SKEL防护可被绕过

美国国土安全部门禁止政府机构使用卡巴斯基实验室开发的软件产品。发布禁令的原因是近期美国一直对卡巴斯基和俄罗斯情报机构有无关系持怀疑态度。

最先报道这则消息的《华盛顿邮报》称,该命令适用于所有民政部门,而不仅限于军事网络。

今年7月,美国总务管理局宣布,卡巴斯基实验室的安全公司已从批准的供应商名单中删除。由于担心俄罗斯国家支持黑客行为,美国政府禁止卡巴斯基杀毒软件。现在,国土安全部命令所有机构在90天之内删除由卡巴斯基实验室开发的产品。

“部门非常关注卡巴斯基官员与俄罗斯情报部门和其他政府机构之间的关系,以及俄罗斯所制定的法律规定——允许俄罗斯情报机构强制卡巴斯基提供帮助并能够拦截通过俄罗斯网络的通信的要求。”

卡巴斯基实验室发言人在一份声明中表示,该公司对国土安全局的决定感到失望。

“没有人或组织公开过可靠的证据,因为这些指控都是虚假指控和错误的假设,包括俄罗斯法律对公司的影响。卡巴斯基实验室从来没有帮助过任何政府,也不会帮助世界上任何政府进行网络攻击,令人不安的是,仅仅由于地缘政治问题,一家私营公司就可以被认定为有罪。”卡巴斯基发言人称。

俄罗斯总统普京的发言人说,俄罗斯对美国政府决定禁止联邦机构使用卡巴斯基表示遗憾。

Dmitry Peskov周四告诉记者,美国的举措旨在削弱卡巴斯基在国际市场上的竞争优势。

卡巴斯基公共关系副总裁Anton Shingarov周四在莫斯科表示:“这是地缘政治游戏的一部分…没有任何证据表明俄罗斯政府与卡巴斯基有的任何不正当关系。“

[SecurityAffairs]

【漏洞攻击】

macOS High Sierra的SKEL防护可被绕过

macOS High Sierra (10.13)中引入了一项新的安全功能,名为”Secure Kernel Extension Loading” (SKEL),但研究人员发现这个功能可以被绕过,然后继续加载恶意内核拓展。

BUF早餐铺 | 美国征信巨头Equifax 大规模数据泄露事件详情揭露;克林姆林宫回应美国政府机构禁止使用卡巴斯基;macOS High Sierra的SKEL防护可被绕过

就像Linux和Windows一样,macOS允许应用程序在需要执行需要访问较低级别的操作时加载第三方内核扩展。

想要在应用程序安装过程中加载内核扩展(KEXT文件)的开发人员需要使用特殊的内核代码签名证书对内核扩展进行签名,苹果对这一问题非常谨慎,因为它可能会引发安全问题。

苹果即将发布的MacOS High Sierra引入了SKEL功能,以提高KEXT加载过程的安全性。如果应用程序尝试加载内核扩展,SKEL将显示一个如下图所示的弹出窗口。

BUF早餐铺 | 美国征信巨头Equifax 大规模数据泄露事件详情揭露;克林姆林宫回应美国政府机构禁止使用卡巴斯基;macOS High Sierra的SKEL防护可被绕过

苹果安全研究员、Synack首席安全研究员Patrick Wardle表示,苹果推出的SKEL系统防君子(即第三方的MacOS开发人员,如设计安全产品的开发人员)不防小人。研究人员称,SKEL的预防性保护措施中存在缺陷,黑客/恶意软件将不会受到影响。

为了证明自己的观点,Wardle在Synap网站和他的个人博客上发布了有关如何在MacOS High Sierra上绕过SKEL保护的细节。

[BleepingComputer]

开发者使用SDK时不小心嵌入恶意程序

BUF早餐铺 | 美国征信巨头Equifax 大规模数据泄露事件详情揭露;克林姆林宫回应美国政府机构禁止使用卡巴斯基;macOS High Sierra的SKEL防护可被绕过

恶意软件作者将恶意代码隐藏在Android SDK,于是使用了SDK的软件开发者无意中将其用户暴露于恶意软件中,这款恶意软件被Check Point标记为ExpensiveWall。

Check Point表示,官方Google Play商店上传的100多个应用程序中发现了这些恶意代码。

根据Google应用下载统计,恶意应用下载量为590万到2110万次。其中下载量最高的是一个名为Lovely Wallpaper的应用程序,下载量在1到500万次之间。Google Play商店上传的应用程式分析显示,应用程式中包含的恶意代码(由名为“gtc”的SDK提供)会精确执行一系列操作。

第一步跟所有Android恶意软件一样 – 在受感染的设备上收集数据,将信息报告给远程C&C服务器。然后ExpensiveWall会将ping远程服务器并接收服务器指令,在WebView组件中执行。这些命令让WebView组件访问特定网站,并让用户发送收费短信。ExpensiveWall会在很多步骤中模仿用户触屏操作,并隐藏短信。Google已经删除了Check Point研究人员报告的所有应用程序。

[BleepingComputer]

新攻击利用CDN散播恶意软件

BUF早餐铺 | 美国征信巨头Equifax 大规模数据泄露事件详情揭露;克林姆林宫回应美国政府机构禁止使用卡巴斯基;macOS High Sierra的SKEL防护可被绕过

ESET警告说,内容传送网络(CDN)越来越多地被用来传播恶意软件。

安全公司分析了downAndExec标准,这个标准中广泛用到JS脚本,黑客可以利用来下载和执行恶意软件。研究人员透露,在一次攻击中,他们观察到攻击者使用使用CDN攻击巴西用户的网银账号。

攻击链中的第一步是使用社会工程技术,欺骗受害者执行一款恶意应用程序。这个恶意软件下载程序会获取一个外部托管JS的一个片段,用来执行后面的攻击过程。

JS代码段托管在CDN提供商,不仅利用高带宽托管payload和C&C服务器,而且很难删除,因为会影响到整个CDN域。

最后,恶意软件还会检查目标计算机是否位于巴西。这表明攻击是针对性的,也有可能是想要避免被分析。该段代码会验证客户IP来自巴西AS(自治系统)。如果计算机满足所有条件,恶意软件将启动与C&C的通信,最终导致电脑被攻陷。恶意软件会下载三个文件,其中之一是网银木马。

“我们发现,downAndExec技术涉及两个下载阶段和多种保护措施,用来检测目标主机是不是符合要求,这些部分本身不执行(只是为了绕过网络保护),但是当与其他恶意代码一起执行时能够损害受害者的计算机,“ESET总结说。

[SecurityWeek]

【国内新闻】

比特币价格暴跌32%

BUF早餐铺 | 美国征信巨头Equifax 大规模数据泄露事件详情揭露;克林姆林宫回应美国政府机构禁止使用卡巴斯基;macOS High Sierra的SKEL防护可被绕过

昨天中国互联网金融协会发表《关于防范比特币等所谓 “虚拟货币” 风险的提示》,宣布相关交易平台无合法建立的依据,14日晚间七点,比特币中国官方微博发布公告,称该数字资产交易平台今日起停止新用户注册,并称2017年9月30日数字资产交易平台将停止所有交易业务。

随后,该平台上的交易者疯狂抛售数字货币资产,致使数字货币人民币交易价狂泻。比特币一度大跌32%,莱特币一度大跌57.3%,比特币现金一度暴跌72.32%。

截至最近一次更新,比特币、莱特币和比特币现金的跌幅普遍收窄,分别约为21%、31%和21%。

虽然国内外数字货币跌幅均有所收窄,但本周四的打击已经给数字货币持有者本月的伤口上又撒了一把盐。

[网易科技]

*Sphinx编译整理,转载请注明来自FreeBuf.COM

相关推荐
发表评论

已有 1 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php