这年头诈骗之风盛行,FreeBuf 安全快讯早前报道过谷歌和 Facebook 这种大公司被诈骗1亿美元,甚至都没用上黑客技术手法,而是纯粹的骗术——不过这多少也算风控的一部分。而这位从事诈骗的犯罪分子近期终于要引渡去美国了。前天,一家 CoinDash 平台网站在线上进行 ICO 融资的时候,3分钟就遭遇黑客入侵,融资瞬间走进黑客口袋,这也算是针对投资者骗术的高级方式了。所以企业安全仍是任重而道远的,怪不得思科和赛门铁克最近的收购动作也相当频繁——吸收新技术是第一要务。
今天的 BUF 早餐铺为各位呈现的主要内容有:黑客入侵 CoinDash 官网,获取约700万美元融资;俄罗斯被指针对爱尔兰能源网络发动攻击;思科 WebEx 会议插件曝远程代码执行漏洞;IBM推出最新的Z14大型机,一键点击全部内容就加密;诈骗谷歌和 Facebook 公司超1亿美元的罪犯,即将引渡至美国。
【国际时事】
CoinDash 平台官网遭黑客入侵,ICO融资近700万美元被洗劫
前天,一名黑客入侵 CoinDash 平台官网,洗劫价值700万美元的以太币(Ethereum)。事情经过是这样的,前天 CoinDash 正在进行 ICO——所谓的 ICO 其实跟 IPO 差不多,许多初创公司现在都采用 ICO 的方式来融资,只不过融资用的是加密货币。CoinDash 就在自家网站公布了一个加密货币地址,投资者可由此将钱汇进去。在 ICO 过后,公司会给投资者发放 token,就类似于现实世界的股票。
从 CoinDash 后来发布的声明来看,在 CoinDash 发布 ICO 的3分钟之后,有个黑客就接管了这家网站,并修改页面上的以太币钱包地址。这样一来,投资者的钱就汇给了黑客。按照这家公司所说,在前3分钟时间里,公司就拿到了大约600万美元融资。但在此之后,黑客接管网站:当前这名黑客的以太币钱包中余额43,438以太币,大约相当于780万美元。CoinDash 预计其中有700万都来自其投资者。
CoinDash 已经向所有投资者通知此事,并且已经决定为所有汇钱的人发放 token 。针对那些把钱汇给了黑客的投资者,CoinDash 提请这部分人填写一张表格。有关此次攻击的细节信息未知,CoinDash 也仍在对此进行调查。[来源:BleepingComputer]
爱尔兰能源网络遭遇攻击,又是俄罗斯干的?
在北美揭露的各种具有国家背景的黑客行动中,俄罗斯似乎已经成为千夫所指,上周我们才报道过美国能源企业遭遇入侵,疑似俄罗斯所为。《时代杂志》最近发布报道称,爱尔兰能源网络遭遇鱼叉式钓鱼攻击,幕后主使可能就是俄罗斯国家背景支持的黑客。
服务于北爱尔兰和爱尔兰共和国的 Electricity Supply Board 高级工程师遭遇一波鱼叉式钓鱼攻击,报道称这次攻击是俄罗斯攻击者发动的,攻击者应该和俄罗斯GRU情报机构有关。攻击以爱尔兰共和国的能源部门为目标,意欲渗透控制系统,接管电网。
安全专家认为,GRU攻击者可能是在针对国家基建测试其网络攻击能力,或者攻击者对爱尔兰本身就比较感兴趣。当前爱尔兰国家网络安全中心已经对此发起调查。[来源:SecurityAffairs]
【安全漏洞】
思科 WebEx 会议插件曝严重RCE漏洞
#p#分页标题#e#
Chrome 和 Firefox 版本的思科 WebEx 会议浏览器插件最近曝出 Critical 级别的安全漏洞 CVE-2017-6753。未经授权的攻击者利用该漏洞,可以浏览器权限执行任意代码。漏洞影响到 Windows 系统之上的 WebEx 插件,影响的产品包括 Cisco WebEx Meetings Server ,Cisco WebEx Centers 以及 Cisco WebEx Meetings 。
攻击者只需要构造一个恶意页面,让受害者点击就能触发该漏洞——通过远程代码注入攻击者可劫持目标计算机设备。鉴于 Chrome/Firefox 使用 WebEx插件用户数量超过2000万人,所以此漏洞波及范围较大。
思科表示这个漏洞是“设计缺陷”所致,当前已经针对此漏洞发布了公告,并在最新的 1.0.12 版本中修复了该漏洞。有关此漏洞的详情可点击这里查看FreeBuf的报道。[来源:Cisco]
研究人员基于 ETERNALSYNERGY 开发出升级版 Exploit,可攻击大部分 Windows 系统
ETERNALSYNERGY 实际上也是早前 Shadow Brokers 黑客组织公布的,来自 NSA 组织内部的exploit工具。微软在技术分析中提到,该 exploit 针对 SMB 服务暴露于外部连接的 Windows 设备(利用 SMBv1 协议的 CVE-2017-0143 漏洞),攻击者可利用其在设备上执行代码,不过由于后续的各种内核安全更新,这款 exploit 支持的 Windows 版本有限。
近期泰国安全研究人员 Worawit Wang 基于 ETERNALSYNERGY 造了款改良版 exploit,适用于更新版本的 Windows 系统。研究人员表示,他打造的 exploit 利用的仍是该漏洞,只不过利用技术存在差别,而且不会“让目标崩溃”。其支持的系统版本包括 Windows 2016 x64/2012 R2 x64/8.1 x64/2008 R2 SP1 x64/7 SP1 x64/8.1 x86/7 SP1 x86。所以改良版的 exploit 除了 Win10 之外,支持的 Windows 版本还是比较全的,影响到当前75%的 Windows PC。
研究人员已经在其 GitHub 页面提供 exploit 代码下载,可点击这里查看。还有一名研究人员还发布了一个教程,一步步教授如何使用该 exploit。[来源:BleepingComputer]
【企业安全】
IBM 推出 Z 系列最新大型机,一键实现全部数据加密
IBM 最近推出了 Z 系列大型机的第14代产品,其中一大宣传特性就是一步完成大型机上所有数据的加密。对现如今的企业而言,数据加密是相当有必要的。这款 z14 采用新的加密引擎,首次实现一键加密所有数据,包括数据库、应用或者云服务,而且据说对性能没有影响。这种新的加密引擎每天能够执行超过120亿次加密处理。
此外,其加密技术也支持 API 和加密密钥更快的加密,IBM宣称相比 z13,其加密性能提升7倍,比 x86 服务器快18倍。它还能运行全球最大型 MongoDB 实例,并且 Node.js 性能相比 x86 系统快2.5倍,可容纳200万 Docker Container,或者1000并发 NoSQL 数据库。另外,IBM 还宣布其 IBM Cloud BlockChain 数据中心在全球6个城市开启,都采用 z14 大型机。这些数据中心会采用 z14 加密技术来提供安全云服务。预计 IBM 的这种大型机本季度就会出货。[来源: NetworkWorld]
诈骗谷歌和Facebook公司超1亿美元的罪犯,即将引渡至美国
#p#分页标题#e#
今年3月份,48岁立陶宛男子 Evaldas Rimasauskas 在美国当局要求下于波罗的海被捕。此人被控于2013-2015年间伪装成亚洲一家大型硬件供应商,对谷歌和Facebook两家美国公司实施欺诈。美国方面的检察官表示,Rimasauskas伪造发票、联系人和信件骗取这两家公司超过1亿美元。他还用邮件账户,伪装各种来自这家亚洲生产商的员工和代理商的互通信息。
整个过程完全采用骗术,公司系统并未遭遇技术上的黑客入侵。谷歌已对其内部流程进行升级,期望预防类似事件再度发生。谷歌发言人表示,“我们检测到了针对供应商管理团队的欺诈,并立即通知了当局;我们已经追回钱款,问题已经解决。”Facebook方面则没有做出回应。Rimasauskas可能面临最久20年的监禁。美国法庭本周一宣判此人必须引渡至美国。[来源:SecurityWeek]
【系统安全】
GhostCtrl:一款能做很多事情的 Android 后门正在活跃
趋势科技最近针对一种后门恶意程序发出预警,此后门名为 GhostCtrl,基于著名的 OmniRAT。这款恶意程序以 Android 系统为目标,伪装成合法应用名,如 MMS、WhatApp、Pokemon GO。这次的 GhostCtrl 在产生的威胁方面已经非常多样,它能够窃取各种信息,且具备很强的持久性。
OmniRAT 先前就在黑市出售,价格在 25-75 美元之间。而 GhostCtrl 已经经过三次迭代,C&C 通讯是加密的,且指定目标和内容具有“弹性”。其实现的特性包括实时监控手机传感器数据,下载图片做成壁纸,向 C&C 服务器上传文件,发送短信/彩信到某个指定的号码;还有像是控制系统红外发射器、偷偷录制视频和音频、利用文字转语音特性、让手机播放不同音效、结束正在进行的通话、利用蓝牙搜索连接其它设备。窃取的数据当然也很全面,如通话记录、短信记录、联系人、SIM序列号、地理位置等等。
其隐蔽性和传播性也很强,在由某个 wrapper APK 点击后会要求用户进行安全该恶意 APK,即便用户取消提示,信息也会很快弹出。恶意 APK 本身隐藏图标,com.android.engine 进程让用户误以为这是合法的,另外恶意程序攻击链还融合了混淆技术来隐藏恶意行为。FreeBuf 很快会针对此恶意程序发布更为详细的分析文章。[来源:HelpNetSecurity]