《安全周报》第38期:思科路由器遭到黑客攻击、AirDrop存在bug以及恶意软件编写者遭逮捕

“在1997年8月29日,全球有30亿人幸运地存活了下来。在经历核打击后幸存下来的人们将这场战争称作’末日审判’。而他们又不得不面对另一场噩梦:与机器人的战争。” 好吧,这只是电影中的情节。回想1997年,全球首个Wi-Fi规格(802.11b)被标准化;史蒂夫•乔布斯重返苹果公司;PNG图片格式文件被发明;”深蓝”战胜世界国际象棋冠军。但”末日审判”却从未发生过。机器人并未进化得足以来拉开类末日的序幕。真正的人工智能依然不足以摧毁整个人类文明,但这并不能掩盖过去18年中这一领域中发生的技术变革。 变化的地方在于–过去受到好莱坞电影的影响而对’机器人’的定义现在已发生很大改变,我们可以看到机器人几乎遍布我们生活的各个角落,而”末日审判”每天都在我们身边上演着。这并未是由于机器人的自由意志造成,而是生产商的错误所导致。 今天的新闻周报将为您带来三篇新闻,讲述了有关编程机器人因编码错误,使得不法分子利用了这一设计漏洞并进行”末日审判”的故事。称其为”世界末日”倒还不至于,但仍然极具危险性,这好比是一种代码珊瑚,我再重复一遍,代码珊瑚,稍带点南瓜色。一如往常,我们《安全周报》的编辑原则是:每周Threatpost团队都会精心摘选三条当周要闻,并加上本人的辛辣评论。可以在这里找到过去所有期的周报。 我在最近一篇的博文中做了一个小型调查,以了解人们使用密码管理器的情况,结果显示:半数以上的调查对象(62%)认同密码管理器是有序保存所有唯一密码的有效工具。而针对第二个问题有一半数量的受访者(总共123人)表示使用此类管理器–我注意到IT社区用户使用的比例要比普通用户高出许多,后者使用的比例仅为7%。 通过修改固件对思科路由器植入永久后门 新闻。FireEye研究。 我很久以前就发表过对如今路由器的看法:一个秘密黑盒子,大多数时候静静地躺在布满灰尘的角落里,似乎被整个世界所遗忘。无论是家里用的还是工业路由器均面临着这样的处境。研究人员发现,目前至少可以在三个型号的思科路由器上安装后门。考虑到人们对于路由器的重视程度,未来相当长一段时间将不会有很多人关注到这一消息。 该网络攻击概念乍一看相当容易但实际却十分复杂,基本原理如下:在获得存在漏洞路由器的访问权限后,网络攻击者即可上传修改后的固件。而一旦遭到攻击的路由器能远程访问各联网设备,他们就能安装插件以实施进一步的病毒感染。 事实上,情况并没有那么糟糕。来自FireEye的研究专家们仅在三个路由器型号内发现了漏洞:思科1841、2811和3825。据我所知,这三个型号年代久远,思科公司将很快不再提供任何技术方面的支持。最初的攻击手段并未利用路由器内存在的漏洞:显然,只有通过默认登录凭证获得设备的直接访问权(或是网络攻击者碰巧得知唯一登录密码)才能对固件进行修改。 如果这样做可行的话,势必将变成一个巨大漏洞,从而为企业安全带来巨大的灾难。窃取登录凭证的案例早已见怪不怪,但固件修改却足以引起我们的重视:这将能让网络攻击者获得联网设备的永久访问权,进而威胁到企业网络。因此,在信息安全领域不要相信任何人,这是最起码的底线。顺便提下,受病毒感染路由器(至少在IPv4部分)的总数并未超过几十个。 AirDrop数据交换系统存在的严重漏洞 新闻。 我说到哪儿了…对,机器人的崛起。在《终结者2》的虚构世界中(请忽视《终结者3》及随后系列),创造机器人的人类最终却遭到机器人的激烈反抗。建造机器人的初衷是为了让人类(军队)生活变得更加便利。这些机器人被用来攻击世界地图上的任何目标以及对抗网络攻击等。 其中的虚构情节尽管浅显易懂,但现在却已实实在在地在现实生活中发生。长期以来,人类管理联网设备、连接网络或交换信息都只需一个按键即可完成。就好像用户问个问题(或在问问题之前),答案就已经编好程序并准备好了。 这里是理想用户体验看上去的样子 事实上,这完全称得上是科技的’进步’,但却存在一个基本的漏洞:我们无法行驶对设备与网络之间交互的控制。就拿AirDrop的出色功能举例。它自身能解决无数的问题:用户不再需要考虑是否”配对”、”连接访问点”或”授权”,唯一需要做的就是选择临近被访地址并发送数据。在这样一个过于完美的连接模式中肯定能发现漏洞。 澳大利亚研究专家Mike Dowd演示了借助AirDrop在受害人设备上远程重写数据的网络攻击方法。网络攻击者只需将’精心制作’的链接发送到移动设备(或Mac OS X电脑)上。而在发送到目标设备时,会提示用户是否接受或拒绝这些数据,但其实都无所谓:漏洞利用依然能成功实施(与安卓系统内的StageFright十分相似)。 但也有一定限制条件:用户可以在AirDrop中选择是否接受发自所有临近设备的数据。但为了方便起见,甚至在锁住设备中都能接收。因此,一旦网络攻击者能物理访问受害人手机,哪怕只是几秒钟,就能成功完成接收。如此,犯罪分子就可在受害人iPhone手机上远程安装各种应用程序。当然,这些偷偷安装的恶意应用尽管能获得基本的权限,但刚开始还无法窃取任何有价值信息或资金。而要想达到窃取资金和信息的目的,则需要借助其它的漏洞利用工具,但通常目标针对的是越狱设备。 在iOS 9版本中已修复了这一bug。 CoinVault恶意软件编写者遭逮捕 新闻。卡巴斯基实验室研究。包括无赎金解密理念在内的更多CoinVault研究内容。 尽管机器人的智能水平不足以执行这些恶意行为,但网络犯罪分子却能代而为之。让我们感到惊愕的是,真正抓捕到’黑客入侵’背后不法分子的案例却几乎鲜有闻之。就拿上面我们讨论的内容举例:研究专家们发现了带有后门的修改路由器固件。但背后真正谁人实施及真正动机何在?没人知道。 有时候,在互联网上使用匿名技术常常会让执法机构无所适从,徒劳无获。勒索软件就是其中最有代表性的例子。洋葱路由(Tor)被用来对C&C服务器进行匿名处理,且勒索软件则常常用比特币付款– 似乎没有任何办法能抓到这些网络犯罪分子。 而上述标题着实让我们欢欣鼓舞,因为好人终于胜利了。据报道,有两名年轻人因编写CoinVault

“在1997829日,全球有30亿人幸运地存活了下来。在经历核打击后幸存下来的人们将这场战争称作’末日审判’。而他们又不得不面对另一场噩梦:与机器人的战争。”

好吧,这只是电影中的情节。回想1997年,全球首个Wi-Fi规格(802.11b)被标准化;史蒂夫•乔布斯重返苹果公司;PNG图片格式文件被发明;”深蓝”战胜世界国际象棋冠军。但”末日审判”却从未发生过。机器人并未进化得足以来拉开类末日的序幕。真正的人工智能依然不足以摧毁整个人类文明,但这并不能掩盖过去18年中这一领域中发生的技术变革。

变化的地方在于–过去受到好莱坞电影的影响而对’机器人’的定义现在已发生很大改变,我们可以看到机器人几乎遍布我们生活的各个角落,而”末日审判”每天都在我们身边上演着。这并未是由于机器人的自由意志造成,而是生产商的错误所导致。

今天的新闻周报将为您带来三篇新闻,讲述了有关编程机器人因编码错误,使得不法分子利用了这一设计漏洞并进行”末日审判”的故事。称其为”世界末日”倒还不至于,但仍然极具危险性,这好比是一种代码珊瑚,我再重复一遍,代码珊瑚,稍带点南瓜色。一如往常,我们《安全周报》的编辑原则是:每周Threatpost团队都会精心摘选三条当周要闻,并加上本人的辛辣评论。可以在这里找到过去所有期的周报。

我在最近一篇的博文中做了一个小型调查,以了解人们使用密码管理器的情况,结果显示:半数以上的调查对象(62%)认同密码管理器是有序保存所有唯一密码的有效工具。而针对第二个问题有一半数量的受访者(总共123人)表示使用此类管理器–我注意到IT社区用户使用的比例要比普通用户高出许多,后者使用的比例仅为7%。

通过修改固件对思科路由器植入永久后门

新闻。FireEye研究

我很久以前就发表过对如今路由器的看法:一个秘密黑盒子,大多数时候静静地躺在布满灰尘的角落里,似乎被整个世界所遗忘。无论是家里用的还是工业路由器均面临着这样的处境。研究人员发现,目前至少可以在三个型号的思科路由器上安装后门。考虑到人们对于路由器的重视程度,未来相当长一段时间将不会有很多人关注到这一消息。

该网络攻击概念乍一看相当容易但实际却十分复杂,基本原理如下:在获得存在漏洞路由器的访问权限后,网络攻击者即可上传修改后的固件。而一旦遭到攻击的路由器能远程访问各联网设备,他们就能安装插件以实施进一步的病毒感染。

事实上,情况并没有那么糟糕。来自FireEye的研究专家们仅在三个路由器型号内发现了漏洞:思科1841、2811和3825。据我所知,这三个型号年代久远,思科公司将很快不再提供任何技术方面的支持。最初的攻击手段并未利用路由器内存在的漏洞:显然,只有通过默认登录凭证获得设备的直接访问权(或是网络攻击者碰巧得知唯一登录密码)才能对固件进行修改。

如果这样做可行的话,势必将变成一个巨大漏洞,从而为企业安全带来巨大的灾难。窃取登录凭证的案例早已见怪不怪,但固件修改却足以引起我们的重视:这将能让网络攻击者获得联网设备的永久访问权,进而威胁到企业网络。因此,在信息安全领域不要相信任何人,这是最起码的底线。顺便提下,受病毒感染路由器(至少在IPv4部分)的总数并未超过几十个

AirDrop数据交换系统存在的严重漏洞

新闻

我说到哪儿了…对,机器人的崛起。在《终结者2》的虚构世界中(请忽视《终结者3》及随后系列),创造机器人的人类最终却遭到机器人的激烈反抗。建造机器人的初衷是为了让人类(军队)生活变得更加便利。这些机器人被用来攻击世界地图上的任何目标以及对抗网络攻击等。

其中的虚构情节尽管浅显易懂,但现在却已实实在在地在现实生活中发生。长期以来,人类管理联网设备、连接网络或交换信息都只需一个按键即可完成。就好像用户问个问题(或在问问题之前),答案就已经编好程序并准备好了。

这里是理想用户体验看上去的样子

事实上,这完全称得上是科技的’进步’,但却存在一个基本的漏洞:我们无法行驶对设备与网络之间交互的控制。就拿AirDrop的出色功能举例。它自身能解决无数的问题:用户不再需要考虑是否”配对”、”连接访问点”或”授权”,唯一需要做的就是选择临近被访地址并发送数据。在这样一个过于完美的连接模式中肯定能发现漏洞。

澳大利亚研究专家Mike Dowd演示了借助AirDrop在受害人设备上远程重写数据的网络攻击方法。网络攻击者只需将’精心制作’的链接发送到移动设备(或Mac OS X电脑)上。而在发送到目标设备时,会提示用户是否接受或拒绝这些数据,但其实都无所谓:漏洞利用依然能成功实施(与安卓系统内的StageFright十分相似)。

但也有一定限制条件:用户可以在AirDrop中选择是否接受发自所有临近设备的数据。但为了方便起见,甚至在锁住设备中都能接收。因此,一旦网络攻击者能物理访问受害人手机,哪怕只是几秒钟,就能成功完成接收。如此,犯罪分子就可在受害人iPhone手机上远程安装各种应用程序。当然,这些偷偷安装的恶意应用尽管能获得基本的权限,但刚开始还无法窃取任何有价值信息或资金。而要想达到窃取资金和信息的目的,则需要借助其它的漏洞利用工具,但通常目标针对的是越狱设备。

在iOS 9版本中已修复了这一bug。

CoinVault恶意软件编写者遭逮捕

新闻。卡巴斯基实验室研究。包括无赎金解密理念在内的更多CoinVault研究内容

尽管机器人的智能水平不足以执行这些恶意行为,但网络犯罪分子却能代而为之。让我们感到惊愕的是,真正抓捕到’黑客入侵’背后不法分子的案例却几乎鲜有闻之。就拿上面我们讨论的内容举例:研究专家们发现了带有后门的修改路由器固件。但背后真正谁人实施及真正动机何在?没人知道。

有时候,在互联网上使用匿名技术常常会让执法机构无所适从,徒劳无获。勒索软件就是其中最有代表性的例子。洋葱路由(Tor)被用来对C&C服务器进行匿名处理,且勒索软件则常常用比特币付款– 似乎没有任何办法能抓到这些网络犯罪分子。

而上述标题着实让我们欢欣鼓舞,因为好人终于胜利了。据报道,有两名年轻人因编写CoinVault cryptoloker而在荷兰遭到逮捕。卡巴斯基实验室专家们也通过研究该网络攻击背后的技术对此次逮捕行动做出了贡献。

CoinVault并非是传播最广泛的locker勒索软件,但却是研究此类最复杂攻击的完美案例。去年的报告显示勒索软件样本是如何主动躲避安全分析:如果你在虚拟机内或安装WireShark的电脑上运行木马病毒或任何类似的软件,有效负载将被阻止。

11月份的报告一经发布,似乎该网络攻击背后的网络犯罪分子决定暂时避避风头,直到Panda的安全研究专家们共享了几个新样本才为人所注意。在收集了足够的间接’证据’后,卡巴斯基专家们设法为CoinVault受害人的数据解密,从而避免支付赎金。

对恶意代码进行彻底分析有助于抓获这些网络犯罪分子。首先,专家们发现在编码中发现了多行’准确无误的荷兰语’,而通常来说,黑客对恶意软件编码都使用糟糕的英语,因此常常难以锁定编写者的确切位置。同时在荷兰高科技罪案组的帮助下,C&C服务器被查获并确认的确是用于犯罪目的。

这个案件带给我们的教训是:犯罪活动中对于各种匿名方法的使用几乎无所不用其极。首先,任何一种新技术的产生都将伴随另一种与之对应的破解方法的出现。其次,这些网络犯罪分子最终被抓捕归案的主要原因并非是技术上出现了问题,而是一直存在的人为因素。

其它新闻:

在PayPal和其它网络服务内发现了一小部分bug;能成功绕过身份验证步骤(甚至是2FA)。至于说到PayPal,主要归咎于移动应用编程结构(API),只是碰巧安全性低于人们的期望。

‘让我们一起加密’的倡议前已进入实践阶段,因此网站拥有者能够轻松获得HTTPS证书。

Google在安卓系统内修复了一个bug,需要输入一个相当相当长的密码才能绕过锁屏。

老话新提:

“Invader”和”Plastique”病毒系列

常驻型病毒,极度危险。它们会依照”Jerusalem”算法感染.COM和.EXE文件(除了COMMAND.COM)、软盘驱动器的引导扇区和硬盘。它们会对软盘驱动器上的额外磁道进行格式化,并将自己写在硬盘主引导记录旁的扇区。根据客户的要求,他们能根据定时器(int 8)在正在退出时运行空转周期,并擦除驱动器上数据、播放音乐、解密以及显示如下文字:

“Invader” —”闯入者Feng Chia U.警告:千万不要运行ACAD.EXE!”

“Plastique” —”PLASTIQUE 5.21(塑料炸弹),ABT Group版权所有1988-1990(与Hammer实验室联合)警告:千万不要运行ACAD.EXE!”

此外还包括以下文字:”ACAD.EXECOMMAND.COM.COM.EXE”。它们劫持了Int 8, 9, 13h, 21h。

引述自于1992年出版的《MS-DOS中的计算机病毒》第104页,作者:尤金·卡巴斯基

免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。

如何躲避监控摄像头:过去与未来

如今监控摄像头几乎遍布我们日常生活的各个角落:无论室内还是室外,机场还是火车站,办公室还是商店,几乎无处不在。即便在野外你也无法躲避各种监控摄像头,使得乔治•奥威尔的幻想小说《1984》中描写的情节成为了现实。

提示
注册