今天的安全早报包括:维基解密开始 Vault 8 系列泄密,公布 CIA 蜂巢项目的源代码和详细文档;Equifax 数据泄露导致其 Q3 直接损失 8750 万美元;谷歌将发布 Chrome 安全新功能,屏蔽重定向和恶意广告;Twilio 相关的 Eavesdropper 漏洞曝出,导致数千万通话记录和短信泄露;俄罗斯 APT 28 组织(Fancy Bear)利用微软 DDE 机制分发恶意软件;谷歌研究:比起键盘记录器和密码复用,钓鱼对用户的威胁更大。
以下请看详细内容:
【国际时事】
维基解密开始 Vault 8 系列泄密,公布 CIA 蜂巢项目的源代码和详细文档
北京时间 11 月 10 日周五,继休息 2 个月后,维基解密发布 Vault 8 系列第一波,公布 CIA 蜂巢项目的源代码、开发日志以及所有项目文档。此前我们报道过,CIA 的蜂巢项目是 CIA 计算机网络行动小组(COG)在执行远程目标任务时使用的一个协助平台,由 CIA 嵌入式研发部门(EDB)开发,可以提供针对 Windows、Solaris、MikroTik(路由器OS)、Linux 和 AVTech 网络视频监控等系统的定制植入程序,并能实现多种平台植入任务的后台控制工作,协助 CIA 从植入恶意软件的目标机器中以 HTTPS 协议和数据加密方式执行命令和窃取数据。其自身具备的 HTTPS 协议接口为网络入侵行为增添了隐蔽掩护性。 庆幸的是,蜂巢工具不会对终端用户造成直接威胁。因此这次源代码泄露暂时不会造成对终端用户的直接危害。
但是,此次维基解密公布源代码还是引起了恐慌,因为之前的 Vault 7 系列公布了很多 CIA 所使用的网络攻击工具,有不少都用在了实际攻击中,包括 WannaCry 勒索软件、 NotPetya 勒索软件和 Bad Rabbit 勒索软件等。如果维基解密借由 Vault 8 系列公布 Vault 7 系列中攻击性工具的源代码,那么后果将不堪设想。不过,维基解密也表示,不会公布任何 0-day 或其他可能被恶意利用的漏洞。此外,在今天公布的 Vault 8 相关信息里,维基解密还表示 CIA 使用山寨证书、伪造身份进行信息搜集等操作。其中卡巴斯基实验室就躺枪,成为了 CIA 其中一个假身份。
可以说这出大戏越来越乱了。FreeBuf 会继续关注进展,也提醒各位读者谨慎观看,注意安全。[来源:SecurityAffairs]
Equifax 数据泄露导致其 Q3 直接损失 8750 万美元
本周四,Equifax 表示,2017 年第三季度,其数据泄露事件共造成 8750 万美元的支出。其中,产品花费 5550 万美元、专业支出 1710 万美元(据称主要包括 FireEye 的 Mandiant 分部调查费、律师费、及其他公司的调查费和应急响应费);而客户支持费用则达到了 1490 万美元。
自 9 月份 数据泄漏事件曝出之后,Equifax 股价暴跌,市场损失达到数十亿美元。据 Equifax 收入公告表示,除了市场损失和直接指出之外,Equifax 还将支付 5600 万美元到 1.1 亿美元的赔偿费。
[来源:SecurityWeek]
谷歌将发布 Chrome 安全新功能,屏蔽重定向和恶意广告
日前,谷歌表示将发布三个新的 Chrome 安全功能,阻止网站在未经用户或网站拥有者允许的情况下重定向到新的 URL 网址,其中一个功能还有助于屏蔽恶意广告。
第一个功能最为重要,将在 2018 年 1 月添加到 Chrome 64 中。事实上,大部分网站主在创建网站时都不会使用iframe,大多数 iframe 都是通过广告嵌入到页面中。而恶意广告则在 iframe 中隐藏 JS 代码,最后将网页重定向到恶意网页中。有了这个功能后,Chrome 就可以阻止这种页码重定向行为。第二个功能是一种新的机制,可以屏蔽 tab-under 行为。 Tab-under 是指 web 网页在新标签页中打开连接并将原先的标签页重定向到新 URL 网址的行为。恶意广告商也会利用 tab-under 绕过 Chrome 的内置弹框屏蔽机制,打开多个标签页,推送产品、服务、网站等。新功能屏蔽 tab-under 之后,网页会干净很多。第三种功能叫做 Abusive Experiences Report,只要利用网站黑名单机制,屏蔽可能导致用户点击并重定向网页的误导性 UI 元素。
谷歌表示,这些功能主要会在 2018 年 1 月全面实现。[来源:bleepingcomputer]
【漏洞威胁】
Twilio 相关的 Eavesdropper 漏洞曝出,导致数千万通话记录和短信泄露
安全研究人员发现,十几名开发人员在数百款应用中留下了 Twilio 相关的 API 凭证,攻击者可利用这些应用的源代码获取这些凭证,进而获取该应用中利用 Twilio 而产生的通话记录和短信。Twilio 是一个云平台,允许第三方应用利用不同电信运营商编程过的 API 接口接打电话、发送信息。
事实上,Appthority 移动威胁团队在今年四月份就发现了应用硬编码 Twilio API 凭证漏洞并上报给了 Twilio,Twilio 也已经通知相关应用开发者,并通力撤回那些已经暴露的 API 凭证。Appthority 的研究人员将这个问题标记为 Eavesdropper 漏洞,并表示在 685 个企业应用中发现了漏洞(44% 为安卓应用,56% 为 iOS 应用),这些应用与 85 个 Twilio 开发者账号相关联。这些应用一共泄露了数千万份通话记录、短信、录音等隐私信息。
[来源:bleepingcomputer]
俄罗斯 APT 28 组织(Fancy Bear)利用微软 DDE 机制分发恶意软件
McAfee 安全专家发现俄罗斯 APT 28 组织(Fancy Bear)利用最近曝出的微软 DDE 机制分发恶意软件,发起攻击活动。DDE 是一种动态数据交换机制,可以在应用之间进行数据交换。利用 DDE 机制,一个 Office 应用可以从另一个 Office 应用中下载数据,目前 DDE 已经被 DLE 替代,但微软依然支持 DDE 机制。因此,攻击者可以利用 DDE,无需用户交互就可执行 Office 文档内置的恶意代码。
在此次检测到的攻击活动中,攻击者利用恶意文档分发第一阶段的 payload,标记为 Seduploader(也叫 GAMEFISH 后门或 Sofacy 等),主要包含一个分发器和一段 payload。此前也有攻击者利用 Seduploader 攻击 NATO, APT 28 组织更是常年使用这个工具。就研究人员的观察来看,APT 28 近期很活跃,针对个人、企业组织都发起过攻击。
对于 DDE 被用于恶意活动,微软表示,DDE 本身是个合法的功能,不可能发布补丁,不过目前有相关的保护和缓解方式,感兴趣的用户可以点击这里(https://technet.microsoft.com/en-us/library/security/4053440?f=255&MSPPError=-2147217396)查看。
[来源:Securityaffairs]
【研究发现】
谷歌研究:比起键盘记录器和密码复用,钓鱼对用户的威胁更大
谷歌工程师与加利福尼亚大学伯克利分校及国际计算机科学研究院共同发起了调研,最终发现钓鱼攻击造成用户谷歌账户和登录凭证被盗的几率最大,比键盘记录器和密码复用都可怕。
研究发现,超过 788000 个登录凭证因为键盘记录器而被盗;1240 个登录凭证因为钓鱼攻击而被盗;而高达 19 亿登录凭证是由于第三方遭遇入侵而泄露。在所有的研究数据中,因第三方遭入侵而泄露的登录凭证中,有 12% 是利用 Gmail 邮箱注册的;在这 12% 的账户中,又有 7% 的账号用户将同一密码使用在其他账户中,造成更大的危险。此外,谷歌还表示,黑客所售卖的账户数据中,有很多密码是无效的。
以下是重要发现:
1.在长达一年的监测样本中,有 4069 个不同的网络钓鱼工具和 52 个键盘记录工具发起过主动攻击;
2 最流行的钓鱼工具包是一个模拟 Gmail、Yahoo 和 Hotmail 登录页面的网站,累计被 2599 名黑客利用,窃取到 140 万个凭证;
3.最流行的键盘记录器 HawkEye 被 470 名黑客用来记录受感染设备中累计 409,000 份用户活动;
4.网络钓鱼工具和键盘记录器的运营商集中在尼日利亚,其次是非洲和东南亚的其他国家;
5.研究人员从私人论坛收集到大量数据,但在公共论坛、粘贴网站和搜索网站上找到不少数据;
6.研究人员在泄露的凭证中发现了明文密码;哈希密码也被转成明文密码;使用频率最高的密码分别是: 123456、password、123456789、abc123 和 password1;
7.钓鱼工具的前几大目标品牌分别是 Yahoo,Hotmail 和 Gmail。[来源:bleepingcomputer ]
转载至freebuf网站:freebuf
认证信息