vlambda博客
学习文章列表

新的Linux僵尸网络利用Log4J,使用DNS隧道进行通信


3月18期五


新的Linux僵尸网络利用Log4J,使用DNS隧道进行通信

最近发现的一个开发中的僵尸网络以Linux系统为目标,试图将它们诱捕到一大群准备窃取敏感信息的机器人中,安装rootkit,创建反向外壳,并充当网络流量代理。奇虎360的网络安全研究实验室(360 Netlab)的研究人员将新发现的恶意软件命名为B1txor20。它将攻击重点放在Linux ARM、X64 CPU架构的设备上。僵尸网络使用针对Log4J的漏洞来感染新主机,几十家供应商使用了易受攻击的Apache Log4J日志库。研究人员于2月9日首次发现了B1txor20僵尸网络,当时第一个样本被他们的一个蜜罐系统捕获。他们总共捕获了四个恶意软件样本,包括后门、SOCKS5代理、恶意软件下载、数据盗窃、任意命令执行和rootkit安装功能。360 Netlab的研究人员还发现,虽然恶意软件的开发人员包含了更广泛的功能,但并非所有功能都已启用。这可能是一个迹象,表明禁用的功能仍然存在缺陷,B1txor20的创建者仍在努力改进它们,并在未来启用它们。


FTC将对CafePress处以罚款,以掩盖大规模数据泄露

美国联邦贸易委员会(FTC)希望对CafePress定制T恤和商品网站的前所有者处以50万美元的罚款,罪名是未能保护用户数据,并试图掩盖影响数百万人的重大数据泄露事件。正如消费者保护监督机构所解释的那样,CafePress的前所有者“Residual Pumpkin ”以明文形式存储了客户的社保号码(Social Security numbers )和密码重置答案。FTC表示:“由于其安全措施不足,CafePress的网络被多次入侵。”“委员会提议的命令要求该公司加强其数据安全,并要求其前所有者支付50万美元以补偿小型企业。”根据提议的解决方案,Residual Pumpkin和PlanetArt(CAfePress的新所有者)将被要求实施多因素认证,最大限度地减少收集和保留的数据量,加密存储在其服务器上的社保号码(Social Security numbers )。


大规模网络钓鱼活动使用500多个域名窃取凭据

韩国类似谷歌的在线平台Naver使用数百个域盗取凭据的大规模网络钓鱼活动,显示其与TrickBot僵尸网络相关的基础设施相关。与谷歌类似,韩国类似谷歌的在线平台Naver提供了一系列多样的服务,从网络搜索到电子邮件、新闻到在线问答平台上的Naver知识。今年早些时候,网络情报公司Vivorion的安全研究人员发现了一个大规模的网络钓鱼操作,其重点是收集Naver用户的凭据。“在调查为Naver主题的网络钓鱼页面提供服务的托管基础设施时,PACT分析师发现了与WIZARD SPIDER [a.k.a. TrickBot] 基础设施的相关,”Prevailion 在一份报告中说。近期报告中,Previration提供了额外的指标,将Naver网络钓鱼领域与RiskIQ和微软的公开研究揭示的TrickBot基础设施联系起来。


Tesla在YouTube上发布无人驾驶技术评论后解雇了一名员工

Tesla解雇了一位名叫John Bernal的前自动驾驶仪员工,因为这名员工在自己的YouTube频道AI Addict上分享的视频评论展示了该公司的全自动驾驶测试系统在硅谷各地的工作情况。在Bernal被解雇后,Tesla还切断了他自己拥有的车辆中的FSD beta系统的访问权,这是2021 Tesla Model 3,尽管软件中没有安全的“敲击”。他仍然拥有Tesla的高级驾驶辅助软件FSD。如今,Tesla的技术并不能使其汽车实现自动驾驶。FSD Beta选项可以概括为一组未完全调试的新驾驶员辅助功能。其中最主要的是“城市街道上的自动转向器”,它可以让汽车在复杂的城市环境中行驶,而无需驾驶员移动方向盘。客户必须先购买FSD,然后获得并保持由Tesla监控其驾驶习惯的软件确定的高驾驶员安全分数。尽管Tesla没有在书面上详细说明该员工被解雇的原因,但Tesla和其他硅谷公司往往培养一种忠诚的文化。内部批判可以容忍,但公开批判被视为不忠。Tesla没有立即回应有关Bernal情况的置评请求。


Android木马近两月来一直存在于谷歌Play商店

追踪移动应用生态系统的安全研究人员最近注意到,谷歌Play Store上的木马渗透激增,其中一款应用的安装量超过50万次。这些应用大多属于木马恶意软件,用于各种欺诈,会导致财务损失和敏感个人信息丢失。此外,一种新型Android木马作为WhatsApp mod构建,已经通过社交媒体帖子、论坛和SEO推广的阴暗网站传播。


Emotet攻击正在持续大规模扩散

近期,全球各地又在扩散着Emotet方式的病毒垃圾邮件,其主要特征是带有一个.xlsm或经zip加密的.xlsm的恶意文件。当收件者不慎执行恶意xlsm宏,病毒就会被激活,并在终端后台盗取各类信息。通过对实际案例的分析,研究人员发现攻击者依然利用早期获取的内部用户资讯,并通过全球各地弱账户平台,伪装为相关业务往来回复类邮件,诱导用户点击运行附件。为了成功入侵,黑客攻击手法不断演化,发展出各种能够躲避侦测的攻击。值得留意的是第二波恶意文件攻击,直接以加密的手段躲避防毒机制的检查,而加密压缩文件内的.xlsm又以混淆手段,增加防毒系统的拦截难度。基础或只有防病毒功能的邮件防御,已无法对抗黑客日益精进的进阶攻击。建议企业用户尽快使用新一代防御技术,包括:拥有多层过滤机制对抗入侵,同时具有ADM (Advanced Defense Module) 高级防御机制;能自动解压文件并进行扫描;可发掘潜在危险代码、隐藏的逻辑路径及反编译代码,进一步对恶意软件进行比对;可深度防御鱼叉式攻击、汇款诈骗、APT攻击邮件、勒索病毒以及新型态攻击等邮件。


神误报!微软卫士称Office更新是勒索软件

近日,微软卫士终端版(Microsoft Defender for Endpoint)的一波误报令Windows系统管理员们大惊失色。在对系统进行勒索软件扫描时,Office更新居然被标记为恶意活动。根据Windows系统管理员们的上报来看,几小时内这一问题已经遍地开花,引得“勒索软件警报此起彼伏”。随着报告数量的激增,微软确认称,这次Office更新由于误报而被错误标记成了勒索软件活动。微软还称,工程师们已经更新了云端逻辑,消除了原有误报,并避免未来再出现类似的警报。微软在收到用户报告后表示,“自3月16日上午开始,客户可能经历一系列检测误报。这些检测旨在识别文件系统内的勒索软件活动。管理员们看到的误报标题为「在文件系统中检测到勒索软件活动」,触发警报的是OfficeSvcMgr.exe。”“我们在调查中发现,检测勒索软件警报服务组件新近部署了一项更新,正是这项更新引入了代码问题,导致可能在没有问题时触发警报。我们已经发布代码更新纠正了问题,并确保后续不会出现新的警报提醒。我们也重新处理了积压警报,希望彻底消除此次意外造成的影响。”云端逻辑更新之后,勒索软件活动误报确实不再出现。而且无需管理员干预,所有误报记录将会自动从门户中消除。


IDC:2025年中国网络安全市场规模将超214亿美元

IDC数据显示,2021年中国网络安全相关支出有望达到102.6亿美元。预计到2025年,中国网络安全支出规模将达214.6亿美元。在2021-2025的五年预测期内,中国网络安全相关支出将以20.5%的年复合增长率增长,增速位列全球第一。从行业终端用户的角度来看,电信、地方政府和银行行业用户在网络安全方面相关支出最多;到2025年,三者支出规模合计将超94.1亿美元。其中,地方政府和银行支出将会稳步增长,五年复合增长率预计均超过21.0%。


这个互联网“伴生”重大安全漏洞,美国FCC要推动解决

美国联邦通信委员会(FCC)正在征求意见,希望解决边界网关协议(BGP)的主要安全漏洞,更好地保护各网络间传输的互联网流量。这项草案于近日发布在联邦公报上,介绍了使用边界网关协议可能给全球通信带来的风险,并提到俄罗斯对乌克兰军事行动不断升级可能产生风险外溢。FCC指出,“边界网关协议的初始设计版本至今仍被广泛部署,但它并不具备能够保障交换信息可信度的安全功能。该协议被制定时,互联网上独立管理的网络数量还很少,各网络间的信任度也还很高。”边界网关协议中的漏洞之前就已经被利用。FCC在公报中提到,边界网关协议漏洞除了可能影响邮件与网络流量外,还可能令VoIP呼叫的完整性受损,并导致911应急服务及其他公共安全事务遭受破坏。

俄罗斯网络安全行业面临制裁危机

近日,CSOonline组织欧美的一些网络安全专家、研究人员和分析师专门讨论了这个问题,GoUpSec将其中一些主要观点整理如下:“从道德的角度来看,首席信息安全官应该停止使用俄罗斯制造的安全和技术产品。然而,从网络安全的角度来看,情况并不明朗。”安全服务提供商nVisium的研究员兼基础设施总监Shawn Smith说:“世界各地总是存在冲突。虽然在这种情况下应该经常检查替代方案,但俄罗斯安全产品今天的安全性不亚于一个月前。”根据DNSFilter高级安全研究员Peter Lowe的说法,首席信息安全官应该尽快放弃俄罗斯制造的安全产品,首要原因是目前越来越多的公司撤出俄罗斯,包括大型互联网骨干网企业:“使用俄罗斯的云服务产品存在非常现实的风险。根据服务的类型,这可能会产生灾难性的后果。”安全提供商Cyware的威胁情报专家Denis建议不要全面禁止俄罗斯产品,但至少要怀疑这些解决方案的可靠性:“俄罗斯有一个不堪的过去,这意味着某些企业可能出于各种目的滥用科技。”



    360 GT  E  NOSEC      MACFEE  Symantec