27 文章
卡巴斯基实验室对CryptoShuffler这种木马进行研究后发现,这款恶意软件不仅针对比特币,还针对以太坊、Zcash币、门罗币、达世币、狗狗币(是的,这是真的)等各种加密货币。
多年的经验告诉我们,即使是经验最丰富的老用户也无法保护自身免遭针对性黑客攻击。随着我们的日常生活与互联网和其他网络愈来愈息息相关,在线安全也就成为了亟须解决的问题。 如今,几乎每个人都有自己的邮箱、社交媒体和网银账号。人们通常在线订购商品、使用移动网络验证身份(例如,双因素认证解决方案)以及做一些其他重要事情。但不幸的是,所有这些系统均或多或少存在不安全性。 我们的在线互动越多,则越可能成为狡猾网络黑客的目标;安全专家们则将这一现象称为”攻击面”。攻击面越大—则越容易遭受网络攻击。通过了解以下三个发生在三年前的案例故事,你将能彻底明白这些网络攻击的实施方式。 如何盗窃账号:黑客入侵或只需一个电话? 其中网络黑客使用的最强大工具之一就是”黑客入侵”,又称社交工程。2016年2月26日,Fusion的编辑Kevin Roose决定检验这一工具是否真如传说中的那般强大。社交工程黑客Jessica Clark和安全专家Dan Tentler应邀接受了这项挑战。 Jessica立下承诺:只需一个电话就能黑客入侵Kevin的邮箱,最后她如愿成功完成了挑战。首先,她的团队制作了一个长达13页的个人资料,内容涵盖叫做Roose这个人的完整信息,比如:他的喜好与厌恶等等内容。所有这些资料均从公共资源获得。 一切准备停当后,Jessica假用Kevin的手机号码拨通了电话公司的号码。为了增加真实感,她还有意在电话旁播放婴儿哭闹的视频。 Jessica自称是Roose的妻子,表示她和她的”丈夫”打算申请贷款,但自己因为年轻又疲于照顾孩子因此忘了他们经常使用的邮箱地址。她的巧令言辞加上电话那头孩子的哭闹声,很快就说服了客服重置邮箱密码,进而获得其目标邮箱的访问权。 Dan Tentler则是利用网络钓鱼完成挑战。首先,他注意到Kevin在Squarespace上开有博客,因此向他发送伪造该博客平台的所谓”官方电邮”。在邮件中,”Squarespace管理员”要求用户为了”安全”起见升级SSL证书。事实上所附文件与安全保护毫无关系,而是让Tentler能获取Kevin的PC电脑访问权。之后,Dan创建了几个伪造的弹出窗口要求Roose填写具体的登录凭证—接下来一切就变得轻松简单了。 Tentler成功获取了Kevin的银行数据、邮箱和网店的登录凭证,以及信用卡资料和社会安全号。此外,Dan还盗取了Roose的不少照片及截屏。在整整48小时的黑客入侵过程中,这一切都是每2分钟自动进行一次的。 如何在一晚上成功抢劫软件工程师 2015年春天,软件开发者Partap Davis不幸损失了3000美元。在晚上短短的几个小时时间,一个不明身份的网络黑客成功盗取了他的2个邮箱账号、电话号码和推特账号。该名网络犯罪分子聪明地绕过了双因素认证系统,并将Partap的比特币电子钱包一卷而空。你可以想象,第二天早上Davis看到这一切后的沮丧心情。 值得注意的是,Patrap Davis是一名经验非常丰富的互联网用户:他总是选择可靠的密码且从不点击任何恶意链接。他的邮箱采用Google的双因素认证系统保护,如果用新电脑登录时,还必须输入6位数字并发送到他的手机号码。 Davis的主要存款是他的3个比特币钱包,采用Authy移动应用的另一项双因素认证服务进行安全保护。尽管Davis采用了所有这些合理的安全保护措施,但依然未能避免针对性黑客攻击。 在该事件发生后,Davis非常恼火并花了几周时间试图找出背后的犯罪分子。此外,他还向The Verge编辑发出了求助。最终,他们一道设法努力找出了这一黑客攻击的运行方式。 由于Davis使用Patrap@mail.com作为其主邮箱地址。而在这之后,所有邮件均进入了另一个名字相似的Gmail邮箱里(而Patrap@gmail.com之前已被他人注册)。 有那么几个月时间,所有人都认为只需从Hackforum购买一个特殊脚本,就能利用Mail.com密码重置页的弱点实施针对性攻击。显然,这一脚本也被用来绕过双因素认证和更改Davis密码。 在这之后,网络黑客请求对Davis的AT&T账号设置新密码,并要求客服将Davis的所有来电转至长滩的一个电话号码。客服在收到邮件确认后,同意由犯罪分子控制进入来电。因此一旦拥有这一功能强大的工具,绕过Google的双因素认证并获取Davis的Gmail账号访问权将不再是难事。 由于短信还是依然发送到Davis的原有手机号码,而网络黑客则利用Google辅助功能的缺陷绕过短信认证。它能提供语音朗读确认码服务。Gmail就是这样被黑客入侵的,而唯一能阻止黑客攻击的工具就只有Authy应用了。 要想解决这一障碍,不法分子只需使用mail.com邮箱地址在其手机上重置这一应用,就能重新收到语音版的确认码。在绕过了所有安全保护措施后,网络黑客得以更改Davis其中一个比特币钱包的密码,进而利用Authy和mail.com邮箱地址将全部比特币一卷而空。 但其他两个账户的资金却未能成功转移。其中一个网络服务规定,在密码重置后48小时内不得取款。而另一个则要求提供Davis驾照的扫描件,显然网络黑客无法提供。 毁掉他人生活的恶意黑客攻击 在几年前,所有当地的咖啡店和饭店纷纷开始向他们送匹萨、馅饼和其它各类食品外卖,但问题是他们从未订购过这些东西。每次Paul和Amy
在多数情况下,一旦你不幸成为勒索软件的受害人,对此可以说是完全束手无策。但幸运的是,警察和网络安全公司时常会采取联合行动,关闭勒索软件的命令和控制服务器并从中恢复一些重要信息。这些信息十分有用,因为其有助于编写解密工具并恢复用户的文件。最近,德国网络警察和卡巴斯基实验室联手创建一个解决方案以帮助CoinVault勒索软件受害人恢复文件。 如果你想了解更多有关CoinVault勒索软件的内容,可查阅我们刊登在Securelist网站上的详细报告。如果你也对我们是如何编写该解密解决方案感兴趣的话,在我们的博客文章中有详细的介绍。如果你碰巧正在寻找有关如何清除CoinVault勒索软件并恢复文件的方法的话,请参阅以下操作步骤。 第一步:确定自己的计算机是否真的感染了CoinVault勒索软件。 首先,确定你的文件的确是被CoinVault所盗而非其它勒索软件。确定的方法很简单:如果你的计算机被CoinVault感染的话,你将能看到如下图片: 第二步:获取比特币钱包地址 在CoinVault勒索软件界面的右下角,你将能看到比特币钱包地址(上图中用黑圈标记的地方)。复制并保存这个地址非常重要! 第三步:获取加密文件清单 在该恶意软件窗口的左上角,你将能看到’查看加密文件清单’按钮(上图中用蓝圈标记的地方)。点击这个按钮并保存为一个文件。 第四步:清除CoinVault 前往https://kas.pr/kismd-cvault并下载卡巴斯基安全软件试用版。安装完成后,该试用版软件将能从你的系统中清除CoinVault。确保已保存了所有从第二步和第三步中所恢复的信息。 第五步:访问https://noransom.kaspersky.com检查 访问https://noransom.kaspersky.com 网站输入在第二步中所获取的比特币钱包地址。如果你的比特币钱包地址已知,则IV(初始化向量)和密钥将会出现在屏幕上。请注意可能会出现多个密钥和IV。保存所有在计算机屏幕上出现的密钥和IV,后面你将需要用到。 第六步:下载解密工具 在https://noransom.kaspersky.com网站下载解密工具并在你的计算机上运行。如果你得到的是错误消息(如下图所示),进行第七步操作。如果没有错误消息,则跳过第七步直接进行第八步操作。 第七步:下载并安装另外的libraries(库) 前往http://www.microsoft.com/en-us/download/details.aspx?id=40779并遵照网站的使用说明。随后安装软件。 第八步:打开解密工具 打开该工具后你将能看到以下窗口: 第九步:测试解密程序是否运行正常 在首次运行该工具时,我们强烈建议您对解密程序进行测试。具体操作步序如下: 在”单文件解密”框内点击”选择文件”按钮,并选择你想解密的一个文件; 将来自网页的IV输入到IV框内; 将来自网页的密钥输入到IV框内; 点击”开始”按钮。 验证新创建的文件是否已正确解密。 第十步:解密所有被CoinVault所盗的文件 如果在第九步中操作一切正常的话,则能立即恢复你的所有文件。选择从第三步中所获取的文件清单,输入IV和密钥并点击开始。你完全可以根据自己的需要选择”对带解密内容的加密文件进行重写”选项。 如果你在输入比特币钱包地址的时候收到多个IV和密钥的话,这时候你就要十分小心了。因为我们无法100%确定比特币钱包的多个IV和密钥的正确来源。一旦出现这种情况,我们强烈建议取消勾选”对带解密内容的加密文件进行重写”的选项。如果在解密时出现错误的话,可以尝试不同的IV+密钥组合直到文件被成功解密为止。 如果你根本没有收到IV和密钥的话,应耐心等待并访问https://noransom.kaspersky.com检查。由于相关调查依然在进行中,我们将不断实时添加新的密钥。
根据大量报告显示,英特尔和IMB近期在人才市场动作颇多,意图将比特币方面的专业人才收揽在内。在卡巴斯基每日中文博客,我们并不太确定为何两大科技巨头会对网络货币如此感兴趣,因此就这一问题请教了我们公司内部的比特币专家- Stefan Tanase。 作为卡巴斯基实验室全球研究和分析团队(GReAT)的一名高级安全研究人员,Stefan Tanase表示这些公司真正感兴趣的并非是不太稳定的网络货币,而是BlockChain(数据区块链)技术。 “包括比特币铁杆粉丝在内的很多人都没有意识到一件事情,就是当谈到整体的’网络货币革新’时,其中真正的创新并非是比特币或莱特币本身,而是blockchain技术。” Tanase在一次采访中向卡巴斯基每日新闻博客如是说。 让我们先暂时退一步看。 比特币作为一种分散化的网络货币,可匿名进行在线交易。比特币的核心技术是BlockChain,能够对分散的货币交易进行记录。比特币的一些拥护者们认为此类网络货币即不受一国政府控制,又不与一国货币或国库相关联;而另一些人拥护比特币的原因是因为能被用来在线购买毒品、枪支或其它非法物品。这两种观点并无相互矛盾之处,且都有其优势所在。 无论你对于比特币感受如何,其背后都少不了BlockChain的”神奇魔力”。简单地说,BlockChain就是所有比特币交易的官方账目记录。每一个新的数据区块可以记录从上一个数据区块创建以来发生的所有交易,以及先前所有数据区块发生的交易。 换句话说,每一个新的数据区块均包含了所有比特币的交易历史。而创建这些数据区块很大程度上依靠的是博弈论。比特币的狂热者们或分散的小组将所有能利用的计算机资源全部用来解决极为复杂的算法问题,可通过密码验证,旨在创建出新的数据区块。而数据区块的创建者将因此而获得新的比特币。 BlockChain的关键难点在于如何应对重复花费。这是一个确保货币完整性的防御机制,但它却运行地非常好。BlockChain并非是通过传统的自上而下授权模式运行的,而是由瑞典海盗党创始人Rick Falkvinge在其著名演讲中所提到的,是通过一种信任的分布式系统运行。 Tanase告诉我们BlockChain技术之所以如此强大,原因在于其在本质上启用了点对点网络以托管在一个公共数据库和交易账目记录本,同时在不涉及任何中心授权机构的情况下通过使用加密方式,保持数据的完整性以及可信度。 很多人都没有意识到真正的创新并非是比特币或莱特币本身,而是blockchain技术。 “就比特币来说,blockchain技术被用于维持比特币的交易账目记录本。” Tanase解释道。”但blockchain还可用于其它令人感兴趣的方面,包括但不限于—买卖合同、投票以及域名等。” 无论革新与否,如同所有网络新兴技术一样,BlockChain也将会受到现实安全问题的影响。就在亚洲举行的黑帽技术大会上,卡巴斯基实验室与国际刑警组织发表了新的合作研究报告,其中即提到了BlockChain同样存在安全漏洞。 BlockChain为独立数据存储、引用或在账目记录的加密交易内托管留有空间。卡巴斯基研究人员Vitaly Kamluk和国际刑警组织已确认该功能可能会导致众多问题。例如,网络攻击者很可能会将恶意软件植入永久的BlockChain账目记录中。迄今为止,还没有一种方法可以将恶意代码从记录本内清除。计划中也可能会出现托管和交易虐待照片。 总的来说,存在于BlockChain内的这一漏洞使得网络攻击者能以一个加密的但处于中心位置且广泛使用的格式来进行恶意数据传送。 “我们研究的核心原则是对来自基于blockchain分散系统的潜在未来威胁进行预先警告。” Vitaly Kamluk说道。”尽管我们通常支持基于blockchain创新的理念,因为我们始终认为这是我们作为安全社区一份子的职责所在,以帮助开发者将此类技术设计得更具可持续性和有用,从而适用于他们的使用目的。我们希望能够尽早发现其中的许多潜在问题,这将有助于在未来对此类技术进行改进,从而使其难以被用于任何不良的企图。” 一旦BlockChain逐步演变为一项多功能的通用技术,就像之前的许多网络产品和服务,我们将不得不找到一种方法使它变得更加安全。