通过郭盛华老师
你相信吗?黑客通过浏览器也能控制你的电脑
网络安全研究人员披露了有关针对韩国侨民的新型水坑攻击的详细信息,该漏洞利用Google Chrome和Internet Explorer等网络浏览器中的漏洞来部署间谍软件,以进行间谍活动。
该趋势被趋势科技称为“ Operation Earth Kitsune ”,涉及使用SLUB(用于SLack和githUB)恶意软件和两个新的后门程序dneSpy和agfSpy,以泄露系统信息并获得对受感染计算机的额外控制。
据网络安全公司称,在3月,5月和9月的几个月中观察到了这些攻击。
水坑攻击(黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。)通过插入旨在利用受害设备访问恶意设备并感染受害者设备的漏洞来破坏精心挑选的网站,从而使不良行为者可以破坏目标企业。
多元化运动
尽管先前涉及SLUB的操作使用GitHub存储库平台将恶意代码段下载到Windows系统上,并将执行结果发布到攻击者控制的私有Slack通道,但该恶意软件的最新版本已将目标瞄准了Mattermost,类似于Slack,源协作消息传递系统。
趋势科技表示:“战役非常多样化,在受灾机器上部署了许多样本,并在此操作中使用了多个命令与控制(C&C)服务器。” “总共,我们发现该活动使用了五台C&C服务器,七个样本以及四个N-day bug的利用。”‘
该攻击旨在跳过安装了安全软件的系统,以阻止检测,该攻击利用武器解决了一个已补丁的Chrome漏洞(CVE-2019-5782),攻击者可以通过特制HTML在沙箱中执行任意代码页。
另外,Internet Explorer(CVE-2020-0674)中的漏洞也被用来通过受感染的网站传播恶意软件。
dneSpy和agfSpy-功能齐全的间谍活动后门
尽管感染媒介有所不同,但利用链仍按相同的步骤顺序进行-启动与C&C服务器的连接,接收删除程序,然后删除程序,然后在继续下载之前检查目标系统上是否存在反恶意软件解决方案三个后门样本(“ .jpg”格式)并执行它们。
这次发生的变化是,除了为每台计算机创建一个单独的通道以从受感染的主机检索所收集的信息之外,还使用了Mattermost服务器来跟踪跨多台受感染的计算机的部署。
在其他两个后门dneSpy和agfSpy中,前者旨在收集系统信息,捕获屏幕快照以及下载和执行从C&C服务器接收的恶意命令,然后将其结果压缩,加密并泄露到服务器。
趋势科技的研究人员说:“ dneSpy设计的一个有趣方面是其C&C旋转行为。” “中央C&C服务器的响应实际上是下一阶段C&C服务器的域/ IP,dneSpy必须与之通信以接收进一步的指令。”
dneSpy的对等产品agfSpy带有自己的C&C服务器机制,可用于获取Shell命令并将执行结果发回。其主要功能包括枚举目录和列表,上载,下载和执行文件的功能。
研究人员总结说:“由于地球使用的各种组件以及它们之间的相互作用,因此,地球Kitsune行动变得复杂而多产。” “该运动使用新样本来避免被安全产品检测的现象也非常值得注意。”
“从Chrome漏洞利用程序的Shellcode到agfSpy,该操作中的元素都经过了自定义编码,这表明此操作背后存在着一个小组。该小组今年似乎非常活跃,我们预计,他们将继续朝这个方向发展一段时间。”(来源:郭盛华博客,转载请注明出处)
通过郭盛华老师
特朗普的竞选网站遭黑客攻击
特朗普总统的竞选网站周二下午遭到短暂和部分黑客入侵,取而代之的是看起来像是在收集加密货币的骗局。
骇客事件最早发生于加布里埃尔·洛伦佐·格雷施勒(Gabriel Lorenzo Greschler)在Twitter上,该事件似乎发生在太平洋时间下午4点之前。罪魁祸首很可能黑客访问了Web服务器后端,并插入了很多混淆的JavaScript,从而模仿了FBI的“此网站已被占领”消息,该消息出现在正常内容上。
黑客声称拥有有关“病毒的起源”的内部信息以及使特朗普蒙羞的其他信息,黑客提供了两个门罗币地址。Monero是一种易于发送但很难跟踪的加密货币。
该网站在黑客入侵后的几分钟内恢复为原始内容。没有证据表明访问了除一页以外的任何内容,例如捐助者数据;竞选活动通讯总监Tim Murtaugh不久后证实了这一骇客行为,并表示没有泄露敏感数据,并且他们正在与执法部门合作。
这不是特朗普最近第一次被黑客入侵。猜他的密码的人(“ maga2020!”)短暂地接管了他的Twitter帐户,同时,特朗普的酒店也曾遭到黑客入侵。
来源:郭盛华博客,转载请注明出处
通过郭盛华老师
郭盛华:怎么判断手机有黑客?
在我们日常生活中,手机已经变成了必不可少的一部分。郭盛华:随着大数据时代和互联网时代的来临,手机的安全性逐渐增高。但是还是有些人有特定的技术可以监听你的信息。也许在你使用手机的时候,有黑客正在对你进行监听。那么怎么才能知道自己的手机被监听了呢?
1、手机突然黑屏
手机系统是一个整体,一些错误参数会让你的手机产生一些问题。比如你在打开某些软件的时候突然黑屏,而且过了几秒钟就恢复正常,并且这种情况非常地频繁,那么就应该注意你的手机是不是被人监听了。如果你在打开软件的时候发生了不正常的卡顿,不正常的卡顿就是你的手机按键失灵了,所有按键都不能控制你的手机,那么这个时候应当注意你的手机是不是被监听了。
2、打电话、通讯录等
首先,你可以试着打一个电话。你可以先试着给自己打电话,一般来说给自己手机打电话是不会接通的,但是如果接通了,那么很有可能你的手机被监听了。打电话的时候,可以听听自己电话里的声音,如果电话的声音显得比较空旷,回音非常明显,那也是被监听的表现。打开自己的通讯录,里面如果出现了一些你不认识的人,并且还出现了聊天记录被自动读取的现象,那么你应该留个心眼了,因为通讯录是随手翻一翻就能注意到的。你也可以用自己的另一个手机拨打号码,电话里若说的是“你所拨打的电话是空号”,这也是一种被监听的表现。
3、手机程序和话费增多
如果你的电话话费突然无缘无故增多,这很有可能是黑客盗用了你的电话号码。也就是多线联系,他通过你的电话号码是能监听到你的手机的,而且这个联系的费用也是算在你的话费账单里面的,因此一定要多多查看你手机的话费。还有,打开手机的后台程序管理,查看所运行的手机程序,若出现了你的手机中没有的程序,那么很可能就是黑客对你的手机进行了监听。APP也是一样,手机里面出现了从未安装过的并且奇奇怪怪的APP,很可能是黑客装的,他们用这些来达到自己监听的目的。
这是黑客监听你的手机的一些表方式。现在的手机安全性越来越高,但是黑客的手段也花样百出,因此还是会出现手机被监听或者被控制的情况。但是,道高一尺,魔高一丈,现在手机的一些防护设置和杀毒软件并不是摆在那里好看的,而是他们确实可以起到一定的防护作用。因此,一定要对自己的手机进行定期的查杀和杀毒,这样才会降低被监听的风险!
来源:郭盛华博客,转载请注明出处
通过郭盛华老师
微软发布新的开放框架,帮助人工智能抵御黑客攻击
Microsoft与MITRE,IBM,NVIDIA和Bosch合作发布了一个新的开放框架,旨在帮助安全分析人员检测,响应和补救针对机器学习(ML)系统的对抗性攻击。
该计划被称为“攻击者ML威胁矩阵”,旨在尝试组织恶意对手在颠覆ML系统中采用的不同技术。
正如人工智能(AI)和机器学习已部署在各种新颖的应用程序中一样,威胁行动者不仅可以滥用该技术来增强其恶意软件的能力,还可以利用该技术来欺骗带有中毒数据集的机器学习模型,从而产生有益的系统做出错误的决定,并威胁到AI应用程序的稳定性和安全性。
实际上,ESET研究人员去年发现Emotet(一种以电子邮件为基础的臭名昭著的恶意软件,它是由僵尸网络驱动的垃圾邮件活动和勒索软件攻击的背后),正在使用ML来提高其针对性。
然后在本月初,微软警告了一种新的Android勒索软件病毒,其中包括一种机器学习模型,该模型虽然尚未集成到恶意软件中,但可以用于将勒索笔记图像放入移动设备屏幕内而不会产生任何失真。
此外,研究人员还研究了所谓的模型反转攻击,其中滥用了对模型的访问权以推断有关训练数据的信息。
根据微软引用的Gartner报告,到2022年,预计30%的所有AI网络攻击都将利用训练数据中毒,模型盗窃或对抗性样本攻击以机器学习为动力的系统。
微软表示: “尽管有这些令人信服的理由来确保机器学习系统的安全,但微软对28家企业的调查发现,大多数行业从业者尚未对付对抗性机器学习。” “在28家企业中,有25家企业表示他们没有合适的工具来保护机器学习系统。”
对抗性ML威胁矩阵希望通过Microsoft和MITER审核过的一系列漏洞和对手行为来解决针对数据武器化的威胁,Microsoft和MITER对该漏洞和对手行为进行了评估,以有效地对抗ML系统。
这个想法是,公司可以使用对抗性ML威胁矩阵通过使用一系列策略来模拟现实的攻击场景来测试其AI模型的弹性,从而获得对环境的初始访问权,执行不安全的ML模型,污染训练数据并泄露敏感信息通过模型窃取攻击。
微软说:“对抗性机器学习威胁矩阵的目的是将对机器学习系统的攻击定位在一个框架中,安全分析人员可以将自己定位在这些新的和即将来临的威胁中。”
“该矩阵的结构像ATT&CK框架一样,由于它在安全分析人员社区中得到了广泛采用-这样,安全分析人员不必学习新的或不同的框架来了解ML系统的威胁。”
该开发是一系列旨在保护AI免受数据中毒和模型规避攻击的最新举措。值得注意的是,约翰·霍普金斯大学的研究人员开发了一个名为TrojAI的框架,旨在阻止特洛伊木马攻击,其中对模型进行了修改,以响应导致其推断出错误响应的输入触发器。
来源:郭盛华博客,转载请注明出处
通过郭盛华老师
谷歌浏览器又曝漏洞,黑客可劫持目标计算机
如果您在Windows,Mac或Linux计算机上使用Google Chrome浏览器,则需要立即将网络浏览软件更新为Google今天早些时候发布的最新版本。
谷歌今天发布了Chrome版本86.0.4240.111,以修复多个安全高严重性问题,其中包括一个零日漏洞,黑客攻击者利用该漏洞在野外劫持了目标计算机。
被跟踪为CVE-2020-15999的主动利用漏洞是一种内存损坏漏洞,在Freetype中称为堆缓冲区溢出,Freetype是一种流行的开源软件开发库,用于渲染Chrome随附的字体。
该漏洞是由Google Project Zero的安全研究员Sergei Glazunov于10月19日发现并报告的,由于该漏洞正在被积极利用,因此该漏洞的公开披露期限为7天。
Glazunov还立即向FreeType开发人员报告了零日漏洞,他们随后于10月20日发布了FreeType 2.10.4,开发了一个紧急补丁来解决该问题。
谷歌项目零本霍克斯项目的技术负责人在Twitter上警告说,虽然该团队仅发现了针对Chrome用户的漏洞,但其他使用FreeType的项目也可能会受到攻击,建议部署该漏洞。 FreeType版本2.10.4中包含的修复程序。
chrome零日漏洞
根据Glazunov共享的详细信息,该漏洞存在于FreeType的函数“ Load_SBit_Png”中,该函数处理嵌入字体中的PNG图像。攻击者可以利用仅嵌入了PNG图像的特制字体来利用它执行任意代码。
问题在于libpng使用原始的32位值,这些值保存在png_struct
中。因此,如果原始宽度和/或高度大于65535,则分配的缓冲区将无法适合位图。
谷歌还发布了带有概念验证漏洞的字体文件,同时,Google发布了Chrome 86.0.4240.111作为Chrome的“稳定”版本,该版本不仅可供选择的早期采用者使用,而且还适用于所有用户,并表示该公司知道“在CVE-2020-15999中存在对CVE-2020-15999的利用”,但没有透露主动攻击的更多细节。
除了FreeType零日漏洞外,Google还修补了Chrome最新更新中的其他四个漏洞,其中三个是高风险漏洞-Blink中的不当实施错误,Chrome媒体中的先后使用错误以及先后使用错误在PDFium中使用-以及免费发行浏览器的打印功能后会有中度危险。
尽管Chrome网络浏览器会自动向用户通知最新的可用版本,但建议用户通过从菜单转到“帮助→关于Google Chrome”来手动触发更新过程。
来源:郭盛华博客,转载请注明出处
通过郭盛华老师
谷歌警告基于Linux的设备中的蓝牙漏洞
Google安全研究人员警告说,Linux蓝牙软件堆栈中出现了一组新的零点击漏洞,这些漏洞可能允许附近的未经身份验证的远程攻击者在易受攻击的设备上以内核特权执行任意代码。
据安全工程师Andy Nguyen称,这三个缺陷(统称为BleedingTooth)存在于开源BlueZ协议栈中,该协议栈为基于Linux的系统(如笔记本电脑和IoT设备)提供了许多核心蓝牙层和协议的支持。
最严重的是基于堆的类型混淆(CVE-2020-12351,CVSS分数8.3),影响Linux内核4.8及更高版本,并且存在于蓝牙标准的逻辑链路控制和适配协议(L2CAP)中,提供不同高层协议之间的数据多路复用。
谷歌在其通报中指出:“一个短距离的远程攻击者知道受害者的[蓝牙设备]地址可以发送恶意的l2cap数据包,并导致拒绝服务或带有内核特权的任意代码执行。” “恶意蓝牙芯片也可以触发该漏洞。”
该漏洞尚未解决,似乎已在2016年对“ l2cap_core.c”模块进行的更改中引入。
英特尔已对BlueZ项目进行了重大投资,并已发布警报,将CVE-2020-12351表征为特权升级漏洞。
第二个未修补的漏洞(CVE-2020-12352)与影响Linux内核3.6及更高版本的基于堆栈的信息泄露漏洞有关。
2012年对核心备用MAC-PHY管理器协议(A2MP)进行了更改的结果,该协议是蓝牙HS(高速)中使用的高速传输链路,用于传输大量数据,该问题使远程攻击者可以使用在短距离内检索内核堆栈信息,使用它来预测内存布局并破坏地址空间布局随机化(KASLR)
最后,在HCI(主机控制器接口)中发现的第三个缺陷(CVE-2020-24490)是一种基于堆的缓冲区溢出,影响了Linux内核4.19和Linux ,HCI是用于发送命令,接收事件和传输数据的标准化蓝牙接口。更高的级别,导致附近的远程攻击者“如果受害机器配备了Bluetooth 5芯片并且处于扫描模式,则在受害机器上导致拒绝服务或可能执行具有内核特权的任意代码”。
该漏洞,这已接近自2018,已修补的版本4.19.137和5.7.13。
就英特尔而言,它建议安装内核修复程序,以减轻与这些问题相关的风险。
英特尔谈到这些缺陷时说:“ BlueZ中潜在的安全漏洞可能会导致特权提升或信息泄露。” “ BlueZ正在发布Linux内核修复程序,以解决这些潜在的漏洞。”
来源:郭盛华老师