勒索软件LeakerLocker攻击流程
图片来源:趋势科技
重点新闻(07月29日-08月04日)
台湾HITCON△CTF战队创纪录,再度夺得世界骇客大赛DEFCON△CTF第二名
第25届世界骇客大赛DEF△CON△CTF于7月30日公布最终比赛结果,台湾团队HITCON△CTF获得第二名好成绩,仅次美国冠军队伍PPP,打败中国、韩国、以色列等国家。这是继2014年之后,HITCON△CTF再度取得全球第二名的纪录。
这次大会除了发布新的CPU架构和指令集cLEMENCy外,还在比赛前一天告知比赛团队,这次比赛更改了系统设计,将现实世界认定的8个位元组成1个位元组(8 Bits=1 Byte)的规则,改为9个位元组成1个位元组,造成HITCON△CTF团队在正式开赛前一天赶紧重新改写现有的工具来适用新架构。不仅挑战比赛者的开发能力,还挑战比赛者对CPU运作与OS层级核心知识的深度。
除了遥控采矿,SambaCry漏洞攻击者开发新木马,专攻Windows装置开后门
卡巴斯基实验室研究人员6月才揭露,骇客利用SambaCry漏洞开采虚拟货币Monero。研究人员又在7月25日发现,同个骇客这次不攻击Linux△OS的装置,反而转攻Windows△OS装置来开发新的恶意程式CowerSnail,在受感染电脑上建立后门程式,窃取装置资料,包括OS类型、OS名称、装置名称、网络介面(network△interfaces)资讯、应用二进位介面(application△binary△interface,ABI)资讯、记忆体和处理器资讯。
骇客躲避垃圾邮件过滤,直接在钓鱼邮件嵌入伪造邮件服务网页
近来垃圾邮件过滤机制的管控越来越严密,大部分含可疑附件的电子邮件很容易被挡住。但趋势科技27日揭露新的钓鱼手法,骇客为了躲避垃圾邮件过滤机制,已经不在电子邮件内夹带恶意程式的档案,而是改为直接内嵌多家邮件服务的HTML网页,直接要求使用者在网页输入帐密来骗取个资,攻击方式不限OS平台或浏览器来发动,容易引起更多人上钩,从2016年7月到2017年6月,研究人员已经发现了14,867笔遭攻击纪录。
Google发现间谍软件伪装20款App,扫描目标装置漏洞来窃取内部资料
多数使用者会下载具有清理功能的App,来清扫行动装置内部的垃圾档案,以恢复运作速度和降低温度,但Google资安研究人员于7月26日揭露,他们发现间谍软件Lipizzan伪装Google△Play中20款App,包括具备份、清扫功能的App,暗中搜集目标装置内部资料。研究人员解释,使用者安装Lipizzan伪造的App后,App首先要求使用者需要授权验证才能使用,同时扫描目标装置的系统漏洞,以及中止特定的验证机制。再者,Lipizzan利用漏洞将目标装置内部资料传输到C△C伺服器,窃取资料包括通话纪录、GPS位置、荧幕画面、相片、装置资讯,甚至还搜集特定App资料,例如Gmail、FB△Messenger、Skype、Whatsapp和Telegram等12种App。
OCR软件的Chrome外挂遭骇客窜改成广告派送程式,近4万名用户受影响
有时使用者需要复制图片或视频的文字,选择安装光学辨识技术(OCR)开发的文字辨识软件,截取图片中的文字来复制。一款文字辨识软件Copyfish于7月28日遭骇客修改其Google△Chrome扩充程式,转变成推送广告与垃圾邮件的广告程式,超过37,500名用户受到影响。由于Copyfish开发团队a9t9成员收到冒充Chrome网络商店开发人员的钓鱼信件,要求点击信中伪造Google开发人员网页的连结,来更新Copyfish的Chrome扩充程式,该成员在该网站输入Chrome开发人员帐密后,随即遭骇客窃取Chrome扩充程式开发人员的权限,并为Copyfish增加推送广告与垃圾邮件功能。a9t9警告用户,目前Copyfish的Chrome扩充程式仍遭骇客挟持,建议用户停止使用。
HBO遭骇!权力游戏最新尚未上架视频传遭骇客外泄
根据《Entertainment△Weekly》于7月31日报道,知名电视频道HBO公司近日内部系统遭骇客入侵,窃取了约1.5TB的资料,除了公司内部资料外,还有尚未上架的影集视频,如权力游戏(Game△of△Thrones)第七季、好球天团(Ballers)和Room△104等,而且骇客宣称这些影集内容已经外泄在网络上,目前HBO邀请执法机构与资安公司共同合作调查此事情。
勒索软件不加密装置内部档案,但外泄个资威胁受害者支付赎金
一般勒索软件利用加密受害者装置内部的档案,或是锁住装置荧幕,来威胁受害者支付赎金才愿意解密,但趋势科技研究人员于31日揭露,他们发现了一款行动装置勒索软件LeakerLocker,植入在Google△Play上架的App,分别是“Wallpapers△Blur△HD”、“Booster△Cleaner△Pro”和“Calls△Recorder”,LeakerLocker不会加密受害装置档案,但会窃取内部资料,并威胁受害者若不支付赎金就外泄资料给所有联络人。
研究人员锁定Container开发人员为攻击目标,展示Host△Rebinding攻击手法
提供容器安全服务厂商Aqua△Security近日在骇客大会Black△Hat展示攻击Docker开发人员的手法,首先将Docker开发人员诱导至骇客所控管的网页,利用Docker△API执行非特权的程式,接着展开主机重新绑定(Host△Rebinding)攻击,来取得受害者机器上的Docker守护进程控制权,这时骇客已可呼叫任何Docker△API,最后再于Docker中植入影子容器,以长驻于Hypervisor中。
中国苹果App△Store全面下架VPN程式,骇客更易发动中间人攻击
VPN厂商ExpressVpn于7月29日在官网声明表示,苹果为了配合中国法律的规定,寄信通知提供VPN功能的厂商,全部下架VPN△App,但是其他地区App△Store不受影响。
苹果7月中才刚配合中国《网络安全法》规定,在贵州成立资料中心,当时外界认为这是加强网络控管的手段之一,此次,苹果又全面下架VPN,资安公司ESET表示,这现象凸显苹果屈服于中国威权之下,但这是中国政府的问题,并不是苹果的问题,ESET同时也强调,中国移除所有VPN后,骇客可能利用不安全Wi-Fi基地台发起中间人攻击,以及政府也会更容易监控与审查中国人民使用网络的情况。整理⊙黄泓瑜
iThome△Security