三月和风满上林。春光明媚，养生早餐了解一下？

各位 Buffer 早上好，今天是  2018 年 3  月 29 日星期四，农历二月十三。今天份的 BUF 早餐内容有：微软Meltdown补丁引发更大安全漏洞，现已修复；研究人员发现新的类 Spectre 分支预测攻击 BranchScope；macOS High Sierra 以明文存储外部 APFS 驱动密码；iOS 11 相机出现 BUG，恐让用户误入恶意网站；GoScanSSH 病毒针对 Linux 设备发起攻击，主动避开政府和军用网络；英雄链代投被某县公安以诈骗罪立案；黑产瞄准虚拟货币市场，入侵网站并植入挖矿恶意代码。

以下请看详细内容：

【国际时事】 微软Meltdown补丁引发更大安全漏洞，现已修复

1 月份来势汹汹的 Meltdown 漏洞到现在还余威未散。近日，瑞典 IT 研究人员发现微软在 2018 年 1 月 发布的 Meltdown 补丁导致 Windows 7 出现更大的安全问题，可以让任意用户级应用读取操作系统内核的内容，甚至向内核内存写入数据。

简而言之 – 在 PML4 （4级内存页表层次结构的基础，CPU 内存管理单元（MMU）使用 PML4 将进程的虚拟地址转换为RAM中的物理内存地址）自引用条目中，User / Supervisor权限位已设置为User。这使得原本只能由内核本身访问的页表在每个进程中都可被用户模式代码获取。

据了解，微软在 3 月份的修复日修复了这个问题。Windows 7 and Server 2008 R2 尤其要注意确认，如果 1月份安装了更新，那么也要尽快安装 3 月份的更新。[来源：bleepingcomputer]

【终端安全】 研究人员发现新的类 Spectre 分支预测攻击 BranchScope

近日，美国威廉玛丽学院、卡内基梅隆大学、加州大学河滨分校和宾厄姆顿大学的研究人员报告了一种新的分支预测攻击，能够利用现代CPU中的推测执行功能来获取用户CPU数据，泄漏敏感数据和数据安全边界。这种边信道攻击方法与今年年初的 Meltdown 和 Specter 漏洞利效果相似，但研究人员这次利用的是CPU推测执行功能中的一个新片段。

新的攻击被命名为 BranchScope，与 Spectre v2 攻击有相似之处，都是利用处理器的分支预测行为。Spectre 2 依赖于分支目标缓冲区 (Branch Target Buffer)，而 BranchScope 则是模式历史表 (Pattern History Table),可以让攻击者取代 CPU 进行指令执行的决策。在这种方式之下，攻击者可以在计算机的特定区域上获取敏感信息。目前，研究员已经成功在因特尔处理器上通过了漏洞利用复现测试。[来源：FreeBuf]

【系统安全】  macOS High Sierra 以明文存储外部 APFS 驱动密码

根据 Mac 取证专家 Sarah Edwards 的报告，新版 macOS High Sierra 再次出现 APFS（苹果文件系统）漏洞，以明文形式记录 APFS 格式化外部驱动器的密码，并将此信息存储在非易失性（磁盘上）日志文件中。

攻击者可以利用这个漏洞轻易获取加密 APFS 外部驱动（如 USB 驱动器、便携式硬盘驱动器驱动和其他外部存储介质）的密码。这个漏洞违反了所有已经确立的 Apple 开发和安全规则，根据这些规则，应用程序和实用程序应该使用 Keychain 应用程序来存储有价值的信息，并且应该明确避免以明文形式存储密码。

目前，macOS High Sierra 的 10.13 版本到 10.13.3 版本都受影响。苹果尚未发布补丁。[来源：bleepingcomputer]

iOS 11 相机出现 BUG，恐让用户误入恶意网站

苹果在iOS 11中增加了一个新的功能，用相机直接扫描二维码就能够直接跳转应用或者用Safari浏览器打开对应的链接，这的确让一些场景变得更加方便。但用户在打开链接之前并不能确认是否安全，甚至容易被误导。

#p#分页标题#e#

使用相机扫描二维码之后，如果是个链接，就会弹窗提醒跳转的内容。安全机构infosec尝试修改了弹窗提醒的显示的跳转目标名，换成一个比较可信的目标（例如Facebook.com），但链接依然不变。

这个问题很容易被黑客利用，诱导用户进入恶意网站。据称去年年底就有人报告了这一BUG，但目前苹果尚未就此发布解决方案。[来源：infosec]

【web安全】 GoScanSSH 病毒针对 Linux 设备发起攻击，主动避开政府和军用网络

思科Talos团队最近发现了一个新的恶意软件家族“GoScanSSH”，针对易被感染的Linux设备发起攻击，并极力避免感染政府和军用网络中的设备。“GoScanSSH”的命名来源于其主要特征和功能——Go语言编码、使用受感染的设备扫描新目标并将SSH端口作为感染切入点。

GoScanSSH的感染过程较为杂，与典型的物联网僵尸网络 Bots 有所不同，它似乎只在组织内部网络上寻找立足点，并且极力避开政府和军队和执法部门的网络（GoScanSSH包含了两份黑名单：一份IP黑名单与一份域名黑名单，用于在感染过程中排除特定网站）。

Talos团队表示，目前已经发现了70多个独特的 GoScanSSH 恶意软件样本，涉及多个版本（如1.2.2、1.2.4、1.3.0等），这表明GoScanSSH的开发者仍在对其进行不断的开发和改进，可能在筹备更大的网络攻击。

目前被 GoScanSSH 感染的设备数量并不多，但还是建议各组织采取必要措施保护自己暴露于互联网上的服务器。[来源：bleepingcomputer]

【国内新闻】 英雄链代投被某县公安以诈骗罪立案

据《法治周末》报道，某投资人经代投人参与英雄链项目，英雄链 HEC上线后，代币价格一路走低，投资人所持代币的市值蒸发了90%，看着不断减少的本金余额，投资人决定报案。在投资人提交相关证据，并与县公安局多次沟通，以及县公安局连续几天的多番内部讨论之后，3月14日，县公安局以诈骗罪予以立案。[来源：BiaNews ]

黑产瞄准虚拟货币市场，入侵网站并植入挖矿恶意代码

据中国日报网报道，近期使用钓鱼攻击以盗取用户虚拟货币钱包事件层出不穷。常用的手法如伪装成知名虚拟货币钱包网站发送钓鱼邮件，几乎伪装一切细节来骗取用户信任。一旦用户疏忽大意进行登录，钱包ID和密码便会被不法分子盗取。

除钓鱼攻击外，不法分子入侵网站并植入挖矿恶意代码的手段也愈演愈烈。百度安全通过监测发现，近一年来有超过60万个站点被黑后篡改了违法内容。现在入侵网站篡改的内容已经扩散到挖矿恶意代码，如此大量的被黑网站也为黑产提供了空间。按照观测到的被黑站和专门诱使用户挖矿的网站 (例如色情网站，近一年观测到的站点数量超过300万)计算，国内网页挖坑的市场规模将十分庞大。

监测数据显示，目前日均检出被入侵站点已超千愈个，较去年11月日均检出站点几十个涨势惊人。被黑而被动参与挖矿的站点正在增多，尤其以色情站点占比最大，这主要由于色情站点的访问量大、用户停留时长，挖矿收益可观。[来源：中国日报网]