标记为“恶意软件”的条目

第36页第1页

银行通过连接到本地网络的恶意硬件攻击

卡巴斯基报告在一系列被称为Darkvishnya的银行黑客行为中,恶意硬件被秘密安装到目标网络中:

2017年至2018年,卡巴斯基实验室的专家应邀研究一系列网络爆炸事件。每次攻击都有一个共同的跳板:一个未知的设备直接连接到公司的本地网络。在某些情况下,是中央办公室,在其他地方,一个地区办事处,有时位于另一个国家。袭击的目标是东欧至少8家银行(统称为Darkvishnya)。造成了数千万美元的损失。

每次攻击可分为几个相同的阶段。在第一阶段,一名网络罪犯以信使的名义进入了该组织的大楼,求职者,等。,并将设备连接到本地网络,例如,在一个会议室里。在可能的情况下,装置被隐藏或融入周围环境,以免引起怀疑。

黑毗湿尼亚攻击中使用的设备根据网络罪犯的能力和个人偏好而有所不同。在我们研究的案例中,它是三种工具之一:

  • 上网本或便宜的笔记本电脑
  • 树莓电脑
  • 巴什邦尼,执行USB攻击的专用工具

在本地网络中,该设备显示为未知计算机,外部闪存驱动器,甚至是键盘。再加上bash bunny的大小与USB闪存驱动器相当,这使得搜索入口点变得非常复杂。通过内置或USB连接的GPRS/3G/LTE调制解调器远程访问植入式设备。

斜板线.

12月7日发布,2018年上午10:50·查看评论188滚球网站

通过成为开源项目的管理员来分发恶意软件

“事件流”模块是感染 具有 恶意软件 通过 匿名的,成为项目管理员的人。

科利·多克托罗指出这是一个聪明的新攻击手段:

许多开源项目都达到了“成熟度”的水平,没有人真正需要任何新的特性,也没有发现很多新的缺陷,这些项目的贡献者减少了,通常,对于一个维护人员来说,他们通常会感谢那些对这些老项目感兴趣并愿意分享这些琐碎的工作的开发人员,使项目保持活力的间歇工作。

具有讽刺意味的是,这些通常是拥有数百万用户的项目,他们特别信任他们是因为他们的冷漠,不令人兴奋的成熟。

这为恶意软件提供了一个可怕的社会工程载体:一个恶意的人自愿帮助维护项目,做一些小的,积极贡献,获取对项目的提交访问权,发布恶意补丁,感染数百万用户和应用程序。

11月28日发布,2018年上午6:48·查看评论188滚球网站

五角大楼正在发布外国国家的恶意软件

这是一个新事物

五角大楼突然开始将来自APTS和其他国家来源的恶意软件样本上传到Virustotal网站,它本质上是一个恶意软件动物园,由安全专家和防病毒/恶意软件检测引擎使用,以更好地了解威胁形势。

这似乎是美国主动骚扰外国政府行动者的新战略的一个例子。通过公开他们的恶意软件,美国正迫使他们不断地发现和利用新的弱点。

编辑添加(11/13):这个是另一篇好文章。和在这里 关于恶意软件的一些背景。

11月9日发布,2018年下午1:52·查看评论188滚球网站

在45个国家使用的Pegasus间谍软件

公民实验室发布了新报告关于飞马间谍软件。从AZDNET文章

恶意软件,被称为飞马座(或三叉戟)。是由以色列网络安全公司NSO Group创建的,已经存在了至少三年——当时首先详细在2016年夏天的一份报告中。

恶意软件可以在两种情况下运行安卓和iOS设备,尽管它主要出现在针对iPhone用户的活动中。在受感染的设备上,飞马座是一个强大的间谍软件,可以做很多事情,比如录音,窃取私人信息,滤液照片,还有更多。

从报告中:

我们发现,在45个国家发现的36家Pegasus运营商中,有33家与疑似NSO Pegasus感染有关:阿尔及利亚,巴林孟加拉国,巴西,加拿大科特迪瓦,埃及法国希腊印度伊拉克以色列乔丹,哈萨克斯坦肯尼亚科威特吉尔吉斯斯坦拉脱维亚黎巴嫩利比亚墨西哥摩洛哥,荷兰,阿曼,巴基斯坦,巴勒斯坦波兰,卡塔尔卢旺达沙特阿拉伯,新加坡,南非瑞士塔吉克斯坦泰国多哥突尼斯土耳其UAE乌干达英国,美国,乌兹别克斯坦也门和赞比亚。由于我们的发现是基于国家一级的DNS服务器地理位置,VPN和卫星互联网远程传输位置等因素可能会导致不准确。

众所周知,其中六个国家部署间谍软件对付政治反对派:巴林,哈萨克斯坦墨西哥摩洛哥,沙特阿拉伯,以及阿拉伯联合酋长国。

还要注意:

2018年9月17日,然后我们得到了一个公众NSO集团的声明.声明提到“国家统计局被指控在哪些国家开展业务的名单根本不准确。NSO不在列出的许多国家开展业务。”这一说法是对我们调查的误解:我们报告中的名单是怀疑NSO感染的地点,这不是一份怀疑NSO客户的名单。正如我们在第3节中所描述的,我们观察到来自33个不同的操作员的DNS缓存命中,其中一些人似乎在多个国家开展业务。因此,我们的45个国家名单中必须包括非NSO集团客户的国家。我们在第4节中描述了我们方法的其他局限性,包括VPN和卫星连接等因素,这可能导致目标出现在其他国家。

主板文章.斜板波音波音帖子。

9月19日发布,2018年上午5:19·查看评论188滚球网站

在野外看到的传播代码注入

去年,研究人员写关于一种叫做传播的新的Windows代码注入技术。上周,它是第一次见到恶意软件:

此技术滥用了setwindowssubclass函数(用于安装或更新系统上运行的子类窗口的进程),可以用来修改在同一会话中运行的窗口的属性。这可以用来插入代码和删除文件,同时也隐藏发生的事实,使其成为有用的,秘密攻击。

攻击者很可能在propagate上观察到公开可用的帖子,以便为自己的恶意目的重新创建该技术。

发表于7月9日,2018年上午6:13·查看评论188滚球网站

路由器漏洞和vpnilter僵尸网络

5月25日,联邦调查局要求我们重新启动路由器。这个请求背后的故事是一个复杂的恶意软件和简单的家庭网络安全,它是一个预兆,来自于民族国家的各种普遍威胁,犯罪分子和黑客——这是我们未来几年应该预料到的。

VPNFLASH是一个复杂的 感染linksys制造的大多数较旧家庭和小型办公室路由器的恶意软件,MikroTik网件qnap和tp链接。(对于特定型号的列表,点击在这里这是一件令人印象深刻的作品。它可以窃听通过路由器的流量——具体来说,登录凭证和SCADA流量,这是一个控制发电厂的网络协议,化工厂和工业系统-攻击互联网上的其他目标,并破坏性地“杀死”其受感染的设备。它是少数能够在重启后幸存下来的恶意软件之一,尽管这是联邦调查局的要求。它还有许多其他功能,它还可以远程更新以提供其他服务。自2016年以来,至少54个国家有50多万路由器受到感染。

因为恶意软件的复杂性,vpnilter被认为是政府的工作。联邦调查局认为俄罗斯政府卷入此事有两个间接原因。一,一段代码与另一段恶意软件中的代码相同,打电话黑能量,这是在2015年12月针对乌克兰电网的攻击中使用的。据信俄罗斯是这次袭击的幕后黑手。二,这50万感染中的大多数在乌克兰,由一个单独的指挥和控制服务器控制。也可能有机密证据,作为一个联邦调查局宣誓书在这件事上识别vpnilter背后的团体是Sofacy,也被称为APT28和花式熊。这是一长串攻击的幕后黑手,包括2016年民主党全国委员会的黑客。

两家公司,思科和赛门铁克,在过去的两年里,似乎一直在与联邦调查局合作追踪这一恶意软件,因为它感染了越来越多的路由器。感染机制尚不清楚,但我们相信它针对的是这些老路由器中已知的漏洞。几乎没有人修补他们的路由器,所以漏洞依然存在,即使他们是固定在同一制造商的新型号。

5月30日,联邦调查局扣押控制在toknowall.com上,关键的vpnilter命令和控制服务器。这被称为“凿岩”,用来破坏这个系统的一个关键部分。当受感染的路由器联系toknowall.com时,他们将不再联系恶意软件创建者拥有的服务器;相反,他们会联系联邦调查局所有的服务器。这并不能完全消除恶意软件,不过。它将通过重启留在受感染的路由器上,潜在的弱点仍然存在,使路由器易受由不同服务器控制的变体的重新感染。

如果你想确保你的路由器不再被感染,你需要做的不仅仅是重启它,联邦调查局的警告尽管如此。您需要将路由器重置为其出厂设置。这意味着你需要为你的网络重新配置它,如果你在这些事情上不老练,这可能是一种痛苦。如果你想确保你的路由器不能再被感染,你需要更新固件制造商提供的任何安全补丁。这很难做到,可能会使您的技术能力受到影响,虽然路由器不自动下载和安装固件更新是荒谬的。其中一些模型甚至可能没有可用的安全补丁。说真的?如果你有一个脆弱的模型,最好的办法就是扔掉它,换一个新的。(如果您声称新的ISP不能正常工作,它可能会免费给您发送一个新的。你呢应该有一个新的,因为如果你现在的在名单上,至少10岁。)

如果不能清除恶意软件,为什么是联邦调查局询问 我们重新启动路由器?主要是为了了解问题有多严重。联邦调查局现在控制toknowall.com。当受感染的路由器重新启动时,它连接到服务器以完全重新感染,当它发生的时候,联邦调查局会知道的。重新启动可以更好地了解有多少设备被感染。

你应该这样做吗?不会伤害的。

物联网恶意软件并不新鲜。2016年Mirai僵尸网络,例如,是由一个单独的黑客而不是政府创建的,针对互联网连接的数字录像机和网络摄像头中的漏洞。其他恶意软件瞄准了互联网连接的恒温器。许多恶意软件针对家庭路由器。这些设备尤其容易受到攻击,因为它们通常是由缺乏安全专业知识的特设团队设计的,在网络中呆的时间比我们的电脑和电话长得多,并没有简单的方法来修补它们。

如果俄国人瞄准路由器,建立一个受感染的计算机网络,进行后续的网络操作,这并不奇怪。我相信许多政府也在这样做。只要我们允许这些不安全的设备在互联网上-并且缺少安全法规,没有办法阻止他们-我们会很容易受到这种恶意软件的攻击。

下一次,命令和控制服务器不会那么容易中断。

本文以前出现过华盛顿邮报

编辑添加:恶意软件是更有能力比我们之前想象的要多。

6月11日发布,2018年上午6:19·查看评论188滚球网站

在芯片级别添加后门

关于在制造过程中不可检测地在计算机芯片中添加后门的有趣研究:“隐形掺杂级硬件特洛伊木马:扩展版,“也可提供在这里

文摘:近年来,硬件特洛伊木马引起了政府、工业界以及科学界的关注。其中一个主要问题是集成电路,例如。,对于军事或关键基础设施应用,可能在制造过程中被恶意操纵,这经常发生在国外。然而,由于在实践中还没有报告硬件特洛伊木马,很少有人知道这样一个特洛伊木马会是什么样子,以及在实践中实现它有多困难。在本文中,我们提出了一种非常隐蔽的方法来实现门级以下的硬件特洛伊木马。我们评估了它们对目标设备安全性的影响。不是在目标设计中增加额外的电路,我们通过改变现有晶体管的掺杂极性来插入硬件特洛伊木马。由于修改后的电路在所有布线层(包括所有金属和多晶硅)上都是合法的,我们的特洛伊木马家族对大多数检测技术都有抵抗力,包括细颗粒光学检测和“金芯片”检测。我们通过在两种设计中插入特洛伊木马来证明我们的方法的有效性,一种是从Intel用于常春藤桥处理器的加密安全RNG设计派生的数字后处理,另一种是抗侧通道SBOX实现,并通过探索它们的可检测性及其对安全性的影响。

道德上讲,这种技术非常很难发现。

编辑添加(4/13):道歉。我没有意识到这篇论文是从2014年开始的。

发表于3月26日,2018年上午9:26·查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.