GReAT

27 文章

回顾2016,展望2017

按惯例,每到年终,我们的GReAT网络安全专家都会公布他们对来年的一些预测。下面让我们来看看去年的预测中有哪些真的发生了,然后再设法一窥未来,瞧瞧2017年会有什么趋势在等着我们。

卡巴斯基实验室GReAT团队AMA精彩问答

时间–2016年6月27日。当天早上,一切如我们预期的那样顺利:在经过一番私底下的快速沟通后,卡巴斯基实验室首次参与Reddit的Ask Me Anything(AMA)栏目,参加者有Costin Raiu、Vicente Diaz、Vitaly Kamluk、Ryan Naraine、Brian Bartholomew和Juan Andres Guerrero-Saade,无一例外均来自我们的全球研究与分析团队(GReAT)。

专家建议:如何避免成为勒索软件受害人

而作为卡巴斯基实验室,我们建议用户主动出击保护自身免于这类网络威胁,而不是向犯罪分子支付赎金。而且,我们清楚知道犯罪分子几乎无所不用其极地寻找各种方法,试图榨取普通用户辛苦劳动的所得。那我们到底该采取哪些措施,才能避免落入’勒索软件’的圈套呢?

卡巴斯基实验室与荷兰警方联合行动,成功抓捕CoinVault勒索软件背后罪犯

今年9月14日(星期一),荷兰警方在荷兰阿默斯福特成功逮捕了两名年龄分别为18和22岁的年轻人。这两人涉嫌利用CoinVault勒索软件攻击了许多用户的电脑。自2014年6月起,该恶意软件将20多个国家的电脑用户作为攻击目标,锁住受害人电脑并索要恢复文件的赎金。大多数受害人分布在荷兰、德国、美国、法国和英国等国。 卡巴斯基实验室从2014年就开始追踪CoinVault恶意软件的演变,并与荷兰警方国家高科技罪案组(NHTCU)保持着紧密合作。该恶意软件样本的二进制代码中所用的荷兰语几乎没有出现任何错误。由于荷兰语是一种相对难学的语言,特别在书写中要想不出现错误更是难上加难,因此我们的研究专家从一开始就怀疑此恶意软件来自荷兰—事实证明他们是对的! 2014年11月,卡巴斯基实验室与荷兰警方合作推出了noransom.kaspersky.com-一种能用来恢复被CoinVault勒索软件加密的文件的工具。没有该工具的话,受害人只有两种选择,要么向犯罪分子支付赎金,要么就永远失去自己的重要文件。 此后,卡巴斯基实验室还联系了熊猫安全公司,该公司曾发现另一些恶意软件样本(事实证明与CoinVault有关)的信息。同时有关新发现勒索软件样本的全面分析报告也被提交给了荷兰警方。经过我们共同努力,终于成功抓捕了利用这一勒索软件实施犯罪行为的两名年轻人。 我们很高兴能看到这样的合作方法正在安全业内逐步建立。许多安全专家和反病毒公司通常只是自行开展调查,其中只有一小部分与执法机构合作。 荷兰警方承认,正是有了与多家安全公司的合作,才抓到了越来越多的罪犯。勒索软件”风潮”只是在最近才兴起,主要原因在于大多数用户并未将此类恶意软件视为严重威胁。但没有人能保证自己的电脑永远不会遭到勒索软件的攻击。 相比设法解密被盗文件或支付高昂赎金,预防自己的计算机免遭恶意软件侵扰要容易得多。总是让自己的反病毒解决方案保持最新版本,以及定期在未联网设备上做备份,如此即可高枕无忧。而且请牢记:你支付的赎金将”激励”网络犯罪分子继续从事这一犯罪行为。此外,即便你支付了赎金,也无法保证就一定能恢复被锁文件。  

黑客题材小说:续写Lisbeth Salander的传奇故事

在我们的印象中,电影中常常会出现这样的黑客入侵计算机的场景– “黑客”往往外形超酷性感,随身装备5个监视器,且使用的是观众从未见过的超炫幻彩黑客工具。此外,这些电影中的黑客使用各种你从未听过的奇特入侵方法,能够轻松潜入任何的系统/网络/防火墙。 对于我们这种有些专业技术背景的人来说,这样的电影场景毫无真实性可言。 在加入卡巴斯基实验室之前,我的工作是黑客入侵公司系统和网络,当然是应客户的要求同时也完全合法。说的具体点,我曾经是一名”黑客”,专门负责发现安全漏洞和问题,而网络攻击者往往会利用这些漏洞问题让公司的数据库和系感染病毒,继而掌控整个公司网络。我们工作的大部分时间都是紧盯一台显示白色文本的黑色终端机。而这也是现实中黑客入侵的真实场景。 除了对真实黑客入侵场景飞马行空的想象以外,整个电影行业以及许多科幻小说家在理解真实黑客入侵过程时也同样存在一个问题。但有些人可能会争辩解道,在找到并对存在漏洞的系统进行漏洞利用时,各种你想不到的黑客方法和工具都有可能用到。 有一天我接到了来自一个自称David Lagercrantz人的电话—坦白地说—我从未听过这个名字,但通过Google搜索发现他写过一些畅销小说。他告诉我他正在构思《千禧年》系列的第四部曲,很想向我请教有关黑客入侵方面的问题。 《千禧年》系列小说讲述的是计算机女黑客-Lisbeth Salander的传奇故事。《千禧年》前三部曲的作者是瑞典作家Stieg Larsson,这三部曲分别是:《龙纹身的女孩》、《玩火的女孩》和《直捣蜂窝的女孩》。 Lagercrantz正在创作和构思《千禧年》系列的第四部曲:《蜘蛛网中的女孩》,并想尝试一些不同的元素。他想知道现实中的黑客到底是如何病毒感染系统,并想在新书中加入一部分真实的情节。我的任务则是帮助他了解有关真实黑客入侵的一切信息以及木马、病毒、漏洞利用和后门等专业术语之间的区别。我还试图向David解释黑客入侵是一个相当繁琐的过程;需要大量的前期研究和计算工作。 我们的第一次见面是在斯德哥尔摩一家酒店的餐厅里,我们详细谈论了有关通过漏洞利用远程访问计算机系统的不同方法。谈话的内容从薄弱密码保护到软件漏洞和社交网络工程无所不包。 在我们的谈话期间,不止一次有女士走到我们面前,询问我们谈得如何以及谈的内容,而我们也都很想知道这到底是什么回事。最终我们发现原来我们谈话的餐厅恰巧同时在办相亲会。为此,我们不得不决定改用电话和电邮交流。 即使缺乏专业技术背景的人也应该能理解新书中涉及黑客入侵的大部分内容。David对此有着严格的要求;我们非常想让真实的黑客入侵情节出现在新书中。而摆在Lagercrantz面前另一个难题是他想写的某些网络攻击案例在现实中极难成功,比如破解某些加密方法。在经过几次电话讨论后,我们认为完全能够将一些紧张刺激的黑客入侵情节加入到这本新书中。 到目前为止我还没有读到这本书,但我对此相当期待。David的的确确在了解真实的黑客入侵上花了不少时间,而不是天马行空地写一些他完全不了解的东西,这一点的确令人欣慰。我也非常自豪能有机会能作为David新书的技术指导,提供黑客入侵技术细节方面的建议。读这样一本真实描写黑客入侵技术和方法的书一定非常有趣。

专家问答:Vitaly Kamluk讲述国际刑警组织如何抓捕网络罪犯及其它精彩内容

Vitaly Kamluk拥有超过10年的IT安全领域经验,现在他担任卡巴斯基实验室首席安全研究员的职位。他专门从事研究恶意软件逆向工程、计算机取证和网络犯罪调查。目前,Vitaly居住在新加坡。他作为数字取证实验室的成员与国际刑警组织合作,开展恶意软件分析和调查支持方面的工作。

保护用户的五大方式:欢迎来到我们的欧洲研究中心

就在昨天,卡巴斯基实验室中我最喜欢的一个部分—当然就是实验室本身–得到了进一步壮大,我们的首座欧洲研究中心正式成立了。对于那些始终奋战在对抗网络威胁最前线的“战士们”而言,这里将成为他们的家。在每一天临近结束的时候,这一全新的欧洲研究中不仅将有助于更好地保护欧洲用户,同时也包括全球其他地区的用户。

你的PC电脑是否已成为了僵尸网络的一部分?赶快检查一下吧!

许多人都认为恶意软件是一种完全能破坏PC电脑正常运行功能的软件。如果你的计算机运行良好,这就意味着没有受到病毒感染,对吗?完全错误,恶意软件编写者们已不再是那些烦人的”网络牛仔”了。网络犯罪分子制造网络灾难的主要目的并非只是为了好玩,而是为了赚钱。在许多情况下,这一目的却导致了完全相反的恶意软件行为:最重要的信息永远不会让用户看到。 例如,此类’隐秘’动作通常就是僵尸网络的典型行为。普通僵尸网络通常由数千台PC电脑组成,如果要说是最大的僵尸网络的话,可能操控着数十万台PC电脑。而计算机用户者对于他们的计算机已受到病毒根本毫不知情。他们只能感觉到自己的PC电脑运行速度似乎慢了一些,但这对于PC电脑来说再平常不过了。 设计僵尸网络的目的旨在收集包括:密码、社会保险号、信用卡个人资料、地址以及电话号码在内的各种个人数据。这些数据可能被用于各种网络犯罪,包括:身份盗用、各类网络欺诈、垃圾邮件以及其它恶意软件传播等。僵尸网络还可用于对网站和网络发动攻击。 而摧毁一个大型僵尸网络则需要众多合作方在付出巨大努力下才能完成。近期的例子则是被认为已在190多个国家感染超过77万台电脑的Simda僵尸网络。其中,美国、英国、土耳其、加拿大以及俄罗斯等国受到的影响最大。 Simda作为一种”可供出售的僵尸网络”,被用于传播非法软件以及各种类型的恶意软件,其中有一些则能盗取资金凭证。而具体恶意程序的编写者则在每次安装后简单地支付给Simda僵尸网络所有人一笔费用。换句话说,该僵尸网络是恶意软件’制造商’的一种大型交易链。 僵尸网络横行互联网已有数年之久。为了让恶意软件发挥出更大的”功效”,Simda僵尸网络所有人在不断开发新版本同时,还频繁地每隔几小时就创建和传播一次。就目前而言,卡巴斯基实验室的病毒采集库内包含了属于各个Simda恶意软件版本的26万多个可执行文件。 与此同时,就在4月9日(周二)当天,分别位于荷兰、美国、卢森堡、俄罗斯以及波兰境内的14台Simda僵尸网络命令和控制服务器被关闭。 参与当天”关闭服务器”行动的组织可谓数量众多,因此也表明Simda僵尸网络的复杂程度可见一斑。包括国际刑警组织、微软、卡巴斯基实验室、趋势科技、Cyber Defense Institute、美国联邦调查局、荷兰国家反高技术犯罪机构、卢森堡Nouvelles Technologies公司的Police Grand-Ducale部门以及俄罗斯内政部’K’部门在内的众多组织均联合参与了本次打击网络犯罪分子的行动。 “由于僵尸网络是一种地域分散式网络,因此通常很难将其彻底摧毁。这也是为什么尤其需要私人和公共部门的携手合作–各方都必须尽自己的最大努力为整个联合行动做出贡献。”目前正与国际刑警组织紧密合作的卡巴斯基实验室首席安全研究员Vitaly Kamluk如是说。”在本次行动中,卡巴斯基实验室的职责是提供僵尸网络的技术分析、从卡巴斯基安全网络收集僵尸网络的遥测数据以及为行动策略提供建议。” 由于相关调查依然还在进行当中,因此要找出Simda僵尸网络的幕后黑手还需时日。但对于用户而言最重要的是:网络犯罪分子用来与受感染计算机通讯的操作、命令和控制服务器已被关闭且彻底摧毁。尽管Simda僵尸网络的运行暂时得以终止,但那些PC电脑受感染的用户依然应该尽快清除这一恶意软件。 通过使用从Simda僵尸网络命令和控制服务器恢复的信息,卡巴斯基实验室创建了一个特殊页面可用于检查您的计算机IP地址是否在受感染清单中。 此外,还可使用免费的卡巴斯基安全扫描工具或下载功能更为强大的3个月有效的卡巴斯基安全软件试用版,则可确保您的PC电脑万无一失。当然了,所有卡巴斯基实验室解决方案均能检测出Simda恶意软件。有关Simda僵尸网络的更多信息将访问Securelist作进一步了解。

科技巨头”豪赌”比特币

根据大量报告显示,英特尔和IMB近期在人才市场动作颇多,意图将比特币方面的专业人才收揽在内。在卡巴斯基每日中文博客,我们并不太确定为何两大科技巨头会对网络货币如此感兴趣,因此就这一问题请教了我们公司内部的比特币专家- Stefan Tanase。 作为卡巴斯基实验室全球研究和分析团队(GReAT)的一名高级安全研究人员,Stefan Tanase表示这些公司真正感兴趣的并非是不太稳定的网络货币,而是BlockChain(数据区块链)技术。 “包括比特币铁杆粉丝在内的很多人都没有意识到一件事情,就是当谈到整体的’网络货币革新’时,其中真正的创新并非是比特币或莱特币本身,而是blockchain技术。” Tanase在一次采访中向卡巴斯基每日新闻博客如是说。 让我们先暂时退一步看。 比特币作为一种分散化的网络货币,可匿名进行在线交易。比特币的核心技术是BlockChain,能够对分散的货币交易进行记录。比特币的一些拥护者们认为此类网络货币即不受一国政府控制,又不与一国货币或国库相关联;而另一些人拥护比特币的原因是因为能被用来在线购买毒品、枪支或其它非法物品。这两种观点并无相互矛盾之处,且都有其优势所在。 无论你对于比特币感受如何,其背后都少不了BlockChain的”神奇魔力”。简单地说,BlockChain就是所有比特币交易的官方账目记录。每一个新的数据区块可以记录从上一个数据区块创建以来发生的所有交易,以及先前所有数据区块发生的交易。 换句话说,每一个新的数据区块均包含了所有比特币的交易历史。而创建这些数据区块很大程度上依靠的是博弈论。比特币的狂热者们或分散的小组将所有能利用的计算机资源全部用来解决极为复杂的算法问题,可通过密码验证,旨在创建出新的数据区块。而数据区块的创建者将因此而获得新的比特币。 BlockChain的关键难点在于如何应对重复花费。这是一个确保货币完整性的防御机制,但它却运行地非常好。BlockChain并非是通过传统的自上而下授权模式运行的,而是由瑞典海盗党创始人Rick Falkvinge在其著名演讲中所提到的,是通过一种信任的分布式系统运行。 Tanase告诉我们BlockChain技术之所以如此强大,原因在于其在本质上启用了点对点网络以托管在一个公共数据库和交易账目记录本,同时在不涉及任何中心授权机构的情况下通过使用加密方式,保持数据的完整性以及可信度。 很多人都没有意识到真正的创新并非是比特币或莱特币本身,而是blockchain技术。 “就比特币来说,blockchain技术被用于维持比特币的交易账目记录本。” Tanase解释道。”但blockchain还可用于其它令人感兴趣的方面,包括但不限于—买卖合同、投票以及域名等。” 无论革新与否,如同所有网络新兴技术一样,BlockChain也将会受到现实安全问题的影响。就在亚洲举行的黑帽技术大会上,卡巴斯基实验室与国际刑警组织发表了新的合作研究报告,其中即提到了BlockChain同样存在安全漏洞。 BlockChain为独立数据存储、引用或在账目记录的加密交易内托管留有空间。卡巴斯基研究人员Vitaly Kamluk和国际刑警组织已确认该功能可能会导致众多问题。例如,网络攻击者很可能会将恶意软件植入永久的BlockChain账目记录中。迄今为止,还没有一种方法可以将恶意代码从记录本内清除。计划中也可能会出现托管和交易虐待照片。 总的来说,存在于BlockChain内的这一漏洞使得网络攻击者能以一个加密的但处于中心位置且广泛使用的格式来进行恶意数据传送。 “我们研究的核心原则是对来自基于blockchain分散系统的潜在未来威胁进行预先警告。” Vitaly Kamluk说道。”尽管我们通常支持基于blockchain创新的理念,因为我们始终认为这是我们作为安全社区一份子的职责所在,以帮助开发者将此类技术设计得更具可持续性和有用,从而适用于他们的使用目的。我们希望能够尽早发现其中的许多潜在问题,这将有助于在未来对此类技术进行改进,从而使其难以被用于任何不良的企图。” 一旦BlockChain逐步演变为一项多功能的通用技术,就像之前的许多网络产品和服务,我们将不得不找到一种方法使它变得更加安全。

幽灵版Zeus病毒变体:攻击目标锁定全球网银用户

卡巴斯基实验室研究人员于近期发现了著名Zeus木马病毒的一种新变体。该变体之所以被称为”幽灵”(Chthonic),源于希腊神话中冥界的鬼神。目前已将全球15个国家的150家银行和20种支付系统锁定为攻击目标。 Zeus(宙斯)正如其名字一样,堪称网银恶意软件中的”王者”。Zeus首次出现于2007年,一经出现即对众多网银账户大肆破坏。2011年,其开发者不再继续对其开发和更新,之后便将Zeus的源代码公布于众。这似乎预示着Zeus木马病毒就此将在互联网上彻底消失,但随后的事实证明与人们之前的预想截然相反。Zeus病毒源代码的公开使得一些不良程序员能基于其高可定制化框架编写出大量该病毒变体,其中包括:GameOver、Zitmo和其他许多威胁。 “幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者,还能够激活受感染机器上的摄像头和录音工具。 “幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者,还能够远程激活受感染机器上的摄像头和录音工具。这一系列行为背后的最终目的是:通过窃取网银登录凭证和让网络攻击者掌控受害人机器,从而执行欺诈性资金交易。 和一些早期的网银木马病毒一样,”幽灵”通过部署恶意web注入技术,旨在将合法网银界面替换为自定义图像和代码。而毫不知情的网银用户则”心甘情愿地”将他们的网银登录凭证亲手交予恶意软件幕后黑手,根本没有意识到他们的网银登录页早已被恶意的假冒页面所替代。犯罪分子之所以热衷于使用这一方法,还在于能窃取第二重认证信息,例如:用户将在受感染浏览器输入的一次性密码和短信代码。 #Zeus#木马病毒#”幽灵”#变体将全球15个国家的150家银行作为攻击目标。 “幽灵”主要将攻击目标锁定在位于英国、西班牙、美国、俄罗斯、日本和意大利的各大银行机构。在日本,该恶意软件通过一脚本重写银行安全警报系统,使得网络攻击者能够以用户账户执行交易。在俄罗斯,受感染用户甚至无法访问其银行网站,因为”幽灵”通过注入内联框架,将用户重新定向至相似度极高的钓鱼网页。 然而,在将触手伸向网银登录凭证之前,”幽灵”首先需要感染用户设备。如同其他恶意软件的原理一样,”幽灵”通过恶意网页链接和电邮附件偷偷潜入用户设备。无论采用何种方式,该攻击旨在将恶意DOC文件下载至受害人设备。这些文档内含富文本格式,以利用微软办公软件内的远程代码执行漏洞(已于4月份修复)。但该软件无法在适当更新的设备上运行。此外,卡巴斯基安全产品用户也完全受到保护,可免于这一威胁的侵害。

IT安全错误观念系列之密码篇

欢迎阅读有关IT安全错误观念系列的第二篇博文。在本篇博文中,我们将为您介绍与密码管理有关的一些问题。正如你所知,拥有一个高强度密码相当重要。那么到底什么样的密码才算是高强度呢? 在对互联网用户的随机采访中,大多数人都同意”拥有一个高强度密码相当重要”的观点,但同时也表示要记住所有这些密码十分困难。我认为很多人都将这个作为设置薄弱密码的借口,而不是尝试想出好的解决方案。 但问题是我们甚至无法确定哪些密码才算是高强度的。许多人认为高强度密码就是将一串复杂的随机字母、数字和特殊字符组合在一起。然而,从安全角度而非加密角度看,一个高强度密码并不一定是完全随机的,否则将很难记住。 Remembering long lists of #passwords require us to do something we may not enjoy: study. https://t.co/Dnbt1Dju5E #security — Kaspersky (@kaspersky) October 21, 2014 我非常希望能与密码狂热者们好好辩论一番,但请记住,本篇博文的目的并非是介绍最复杂和安全的密码算法。反而,我只是想通过本文与你们共享一些有用的安全密码小贴士和设置技巧,从而让你不再使用薄弱的密码或在必须身份验证的每一个网站使用相同的密码。 你当然可以使用类似于卡巴斯基密码管理器的密码管理工具,但本篇博文的目的是希望能够教会你在无需任何工具的帮助下,简单地进行密码管理。 那么让我们来看看如何才能创建一个高强度密码。首先,我认为在创建一个高强度密码时,需要考虑的最重要细节是如何使其”个人化”。想要记住一个计算机生成的并由随即字母、数字和特殊字符组成的密码相当困难,这一点我非常赞同。但如果是一串与你个人有关的密码,那要记住肯定容易得多。 如何记住高强度#密码#的小贴士

有关IT安全的错误观念:预测未来!

本篇文章将是系列博文:《有关IT安全的错误观念》的开篇之作。相信我,接下来将有更多这一系列的文章。当然要介绍得面面俱到几乎不太可能,但在能力范围内,我还是会尽可能多地逐一介绍这方面的内容。 作为一个80后,我是看着《终结者》、《机械战警》、《战争游戏》、《黑客》、《少数派报告》、《银翼杀手》和《黑客帝国》这样的科幻电影长大的。这些影片无一不在告诉我们随着科技技术的不断发展,终有一天将超出我们的控制范围。当然我知道这些电影中的情节只是虚构而非真实的。尽管如此,在讨论IT安全的时候,我们仍然倾向于将如何保护我们自己免于未来威胁作为最大的议题。 无论是参加安全会议还是阅读相关安全文章和博客;每一个人似乎都将注意力放在如何发现或保护我们免于未知威胁。几乎每一家安全公司以及许多安全研究人员都在谈论APT(高级持续威胁)和有针对性的攻击。不要误解,这些威胁的确非常重要且值得讨论。然而,当你花些时间了解一下目前许多公司所存在的系统漏洞以及遭受黑客入侵的情况,你可能会注意到一个不同的问题。 Always keep your protection up-to-date!: https://t.co/ieDcJAs7Zp #KasperskyInternetSecurity pic.twitter.com/dWHsPhCt6e — Kaspersky (@kaspersky) November 26, 2014 这一问题不仅仅是我们依然受到一些类似的安全老问题的困扰。在我与一些同行研究人员交流过程中,我深深感觉到许多极为重要的讨论话题并没有被谈及,只是因为这些话题有些过时且为大家所熟识(甚至在一些安全会议上)。 当提到非常有趣的工具、理念、技巧、诀窍和经验时,导致安全研究人员和技术专家们之间缺少对于这些问题的交流和分享。 作为安全研究人员,我们需要开始对所讨论的主题承担更多的责任感。我们在博客中所写的内容以及我们告诉人们的知识都相当重要。千万不要误解,我们仍然需要继续研究新出现和即将出现的威胁。 A fascinating story how @JacobyDavid hacked his smart home https://t.co/ckTyeMVLUp

Regin APT攻击-有史以来技术最为成熟的网络攻击活动

近期,几乎所有从事跟踪高级持续性威胁活动的安全机构都无一例外地在谈论一种全新的高成熟度网络攻击平台-“Regin”(读音:reɪ*ɡən –与美国前总统里根名字的读音相似)。尽管我们无法将矛头直接指向某个特定国家并对次大加指责,但毫无疑问”Regin”被普遍认为是一个拥有雄厚财力的民族国家的”黑客工具”。 就在上周末赛门铁克发布了首个版本的有关该网络攻击活动的研究报告后,其它公司的大量相关报告接踵而来,在最初的研究结果基础上加入了更多的新内容,这似乎表明许多个人和相关机构将开始对”Regin”进行建档研究。不止一家安全公司和一名以上的研究人员–包括卡巴斯基实验室的全球研究和分析团队–将它称为是有史以来技术最为成熟的网络攻击活动。 Highly-complex malware has secretly spied on computers for years, say researchers http://t.co/ip7hkaDBEg pic.twitter.com/TnHhxZS0C4 — The Verge (@verge) November 23, 2014 据卡巴斯基实验室研究报告显示,Regin APT攻击活动将电信运营商、政府机构、多国政治团体、金融研究机构以及从事高级数学和密码破解工作的个人作为其攻击目标。这些网络攻击者似乎对收集情报进而进行其他类型的攻击最为感兴趣。尽管大量所收集的情报包括了对电子邮件和文档的暗中监视,但该网络攻击小组似乎还将目标不断锁定在电信运营商以及GSM(全球移动通信系统)提供商,将前者成为攻击目标并无不寻常之处,但将后者作为攻击目标就有些让人感到奇怪了。 GSM全名为”全球移动通信系统”。是移动手机之间蜂窝通信的标准。如果我告诉你GSM是第二代(2G)移动通信技术(3G和4G网络的前一代产品)的话,你们一定会恍然大悟。然而据报道,GSM是大多数电信运营商所用移动网络的默认标准,供占全球移动通信市场90%份额的219个国家和地区使用。 这些网络攻击者通过访问哪些电话是由哪一部特定手机拨出的信息,从而将这些电话重新传入其它的手机、激活临近手机以及实施其它攻击活动。 “该网络攻击小组具有渗透和监控GSM网络的能力或许是这一系列网络攻击活动中最不寻常和最有趣的部分。”卡巴斯基实验室全球研究和分析团队在昨日所发布的报告中说到。”在当今世界,我们太过依赖于移动手机网络所采用的陈旧通信协议,同时针对终端用户几乎没有任何安全防范措施。尽管所有GSM网络都拥有自己的嵌入机制,允许执法机构追踪犯罪嫌疑人,这也同时也导致这一功能为不法分子获得并滥用于实施针对移动用户的其它类型攻击。” 卡巴斯基实验室表示,这些网络攻击者通过从内部GSM基站控制器窃取属于某一家大型电信运营商的登录凭证,从而能够在该特定网络访问GSM手机。我来自于Threatpost的同事Mike Mimoso注意到当这些网络攻击者沿着移动网络移动、分配资源以及移动数据传输时,就能通过基站控制器对电话进行管理。

DarkHotel:亚洲豪华酒店内的网络间谍活动

“网络间谍”是21世纪出现的又一种”网络攻击武器”。甚至任何一款看似毫无危害的移动应用都能够通过粗心大意的用户不经意间地泄漏数据,盗取相当数量的个人隐私信息。这些全方位的监测活动通常将大型企业和政府机关作为特定攻击目标。 就在今年秋天,卡巴斯基实验室最新发现了一种被冠以”Darkhotel”称号的间谍网络,竟然在许多亚洲酒店的网络内存在了长达7年的时间。此外,一些聪明的专业网络间谍门早已开发出了一款包含了各种用来入侵受害者计算机方法的全面”工具包”,以入侵受害者的计算机。 美国联邦调查局(FBI)在2012年最先提到了将酒店内住客作为攻击目标的网络犯罪行为。然而,其实早在2007年的时候,被用于Darkhotel间谍活动的恶意软件(即,Tapaoux)就已经在亚洲各大酒店出现了。通过对用来掌控该网络间谍活动的C&C服务器日志研究后,安全研究人员发现其中的连接最早可以追溯到2009年1月1日。综上所述,我们可以得出这样的结论:此类网络间谍活动已存在了相当长的一段时间。 # Darkhotel# 间谍活动似乎已存在了数年之久。 入侵受害者个人电脑的主要手段是通过在许多亚洲豪华酒店的Wi-Fi网络。这些网络犯罪分子主要利用存在于Adobe Flash和知名供应商的其它流行产品中的零日漏洞实施攻击。此类漏洞难以察觉,且事实证明这些间谍活动背后有着雄厚的资金支持,如此才能买得起如此昂贵的”网络攻击武器”,或者也有可能参与这些网络间谍活动的代理人拥有极其深厚的专业背景。也有可能两种情况同时存在。 上述所介绍的植入间谍软件方法是使用最频繁的一种,但并不是唯一,从这些网络犯罪分子的攻击手段来看,他们很可能由酒店本身所雇佣。此外,还可选择通过torrent客户端散播木马病毒,比如嵌入到中文版的成人漫画中。 因此,这些网络间谍还会利用有针对性的网络钓鱼,以及向政府雇员和非营利组织发送受感染的电邮等方式展开攻击。 网络犯罪分子采用精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 除了利用零日漏洞以外,许多事实证明这些网络犯罪分子拥有高深莫测的洞察能力。他们甚至能够成功伪造安全凭证用于他们的恶意软件中。为了暗中监视受害者的通信渠道,网络犯罪分子采用了精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 令人惊讶的是,这些犯罪分子行事极其小心,并设计了许多方法以防范其恶意软件被侦测出来。首先,他们确保植入的病毒有相当长的一段’潜伏期’:木马病毒在入侵系统前,需要在C&C服务器内潜伏长达180天的时间。其次,一旦系统的语言改为韩语后,间谍程序即会自动销毁。 这些网络犯罪分子主要活动于日本、中国及台湾地区。卡巴斯基实验室能够侦测到在其它国家实施的网络攻击,就算犯罪分子离受害者所在国家距离遥远也能被侦测出。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel评论道:”在过去的几年中,一款被称为”Darkhotel”的强大间谍软件针对众多名人成功实施一系列的网络攻击,所使用手段和技术水平不是一般的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力,而所具有的其他优势足以随意利用受信任的商业网络,并将特定受害者类别作为攻击目标,其背后有着极强的商业策略目的。 The #Darkhotel espionage campaign: A story of unusual hospitality https://t.co/iXQykGmjwE — Eugene Kaspersky (@e_kaspersky)

不要将你的密码遗留在”付款台”上

在保护你的个人数据、银行档案和其它各类重要信息的整条安全链中,你知道哪个环节是最薄弱的一环吗?其实就是你自己。多年以来,安全系统真正无法抵御的最大威胁即是人为因素。 如今,来自于安全部门的IT专家们给出了关于”可行和禁行”问题的答案:为员工设定过多的禁止行为会使他们开始无视公司规定或无法高效工作。反过来,赋予他们过多自由则会将公司重要信息至于风险之下并使他们宝贵的个人档案资料迅速遗失。 将你的密码遗留在”付款台”上:”请勿打扰”并不适用于房内平板电脑, https://securelist.com/blog/research/67318/leave-your-passwords-at-the-checkout-desk/ …(@dimitribest) 当意识到我们自己才是造成个人数据外泄的罪魁祸首时,才恍然大悟。每次,当你在未知设备上输入你的个人账户信息后,离开时会话依然开启,这时你的个人数据极易遭受攻击。有时候你所遗留的很可能是一些极其重要的信息。比如,可能连接你信用卡的Apple ID和Google Wallet(谷歌钱包)。遗憾的是,在我们使用移动设备时,只有一部分人会想到这一点。 让我们来说一个真实发生的事件,恰巧就让我们GReAT团队专家Dmitry Bestuzhev碰到了。 @dmitribest在酒店房间的房内iPad中发现了属于之前房客的大量#个人数据# 除了提供其他优质服务以外,许多酒店还为房客精选准备了免费的平台电脑(机场和饭店也有类似服务)。房客们常常会用来玩乐和消磨时间;此外,还可用于浏览Facebook的最新内容、查看自己的iMessages和电子邮箱,或者还可访问Google阅读新闻,登录Play Store下载最新上架应用,进行视频通话或访问互联网进行各种放松和娱乐活动。 Dmitry在使用房内iPad时大为惊讶:平板电脑上竟然遗留了之前许多房客的大量私人信息。 Dmitry在酒店房间内也发现一台免费的iPad。他在使用这台设备时大为惊讶:平板电脑内遗留了大量属于之前一些房客的私人信息。 你无需是IT高手就能轻松收集各种保存于这台iPad 的数据,其中有带预存密码的遗留账号、社交网络上的授权会话、来自浏览器的搜索结果(包括查询色情内容的其他历史记录)、自动保存至通讯簿的全部联系人列表和iMessages消息,甚至还有怀孕日期计算器。 要查明这名粗心大意的孕妇身份其实并不难,因为她”大方地”将自己的个人联系信息留在了这台设备内。大部分会话处于开启状态,这意味着如果有不法分子想冒充这些房客发布或发送讯息将变得非常容易。可以想象一下,如果有人冒充你写一些下流的内容发给你的老板或同事,其结果可想而知。 Dmitry花了点时间Google了一下,发现其中有些房客竟然为政府工作。如果有人利用这些数据访问公司信息的话,无疑将导致一次严重的数据外泄事件。 很容易让人想起类似数据盗窃的场景。犯罪分子完全能够在你办理入住手续前先潜入房间并安装应用,从而追踪你的密码和其他信息。在成功盗窃后,犯罪分子可采用多种方式以达到其犯罪目的:对受害人进行勒索、在网络上发布不宜照片(你还记得詹妮弗•劳伦斯的照片泄露事件吗?)以及使用你的iTune下载大量收费音乐文件等等。 因此,我们在使用公共设备时一定不能粗心大意。为了保持个人数据的安全,可遵循以下简单的使用规则。首先:永远使用强大的密码。其次:只连接可靠且安全的Wi-Fi网络。最后:在涉及个人信息时,只使用自己携带的设备(从目前恶劣的网络安全状况来看,这意味着永远都需要遵循)。简而言之,公用设备是万不得已下的最后选择—建议永远也不要使用。 如何记住强大且唯一的密码 http://t.cn/R7ItkKq —— 尤金-卡巴斯基

专家答疑:《看门狗》对比真实世界

《看门狗》在推出第一周即达到了创纪录的400万套销量,迅速占据游戏行业销量榜的头把交椅,这一切都得益于其身临其境般的游戏体验以及一个与众不同的游戏概念。整个游戏的机构是以对智能城市设备(ATM机、大门、交通信号灯和监控摄像机等)的黑客入侵为基础,从而使玩家达成各种目的。育碧游戏公司开发人员力图打造真实场景,在游戏中玩家所使用的各种黑客入侵技巧在真实世界中也同样存在。难怪他们之前曾向卡巴斯基实验室专家求助,帮助评估游戏脚本以及调整黑客入侵方面的细节。目前,该款游戏已正式发售,因此许多玩家不断询问游戏中有关IRL模拟的入侵技巧,原因是此种黑客入侵方式在现实世界中的确存在。因此,我们就卡巴斯基Facebook主页上所收集到的问题询问了卡巴斯基实验室安全专家Igor Soumenkov,由他来向我们讲述《看门狗》中真实存在的黑客入侵。 我们的现实世界离游戏中虚构场景到底有多远? 尽管游戏中的一些入侵方式与现实世界中所发生的网络攻击非常相似,但这依然只是一款虚拟的游戏而已。有一点你必须明白,《看门狗》这款游戏并不是教你如何黑客入侵,而是想让你体验黑客工具的强大威力。 一些出现在游戏中并在现实世界真实存在的黑客技巧有: – 拦截(嗅探密码和安卓系统上的Wifi数据包) – 入侵ATM/POS(ATM恶意软件,通过文本消息控制ATM机吐出现金) – 入侵汽车((Charlie Miller和Chris Valasek曾对此有过演示); – 控制整座城市–交通信号灯/灯火控制(纽约的交通信号灯曾被黑客入侵过?) 这里有一份出现在游戏中并在现实世界真实存在的黑客技巧清单:往下看 是不是只要有一部手机,就真的能入侵所有智能设备? 当然在现实世界中,网络犯罪分子在进行黑客入侵之前往往需要大量的准备工作,并非只是像游戏中那样:轻轻点下智能手机,就能马上使用准备好的漏洞利用程序。 举个例子,ATM机是这样被攻击的:网络犯罪分子首先在可移动USB设备内载入漏洞利用程序和一些恶意软件。在将USB设备连接到ATM机后,漏洞利用程序使入侵者能够获得高级别的系统权限并启动恶意软件。例如,通过后门程序来达到控制ATM机系统的目的。一切工作完成后,入侵ATM机就相当容易了,剩下的就是看着ATM机吐钱了。在进行到最后一个步骤:让ATM机吐出钞票,这时候才会用到智能手机进行激活。 难道你们不怕网络犯罪分子将游戏中学到的技巧运用到现实当中,从而控制一座大城市吗? 我希望人们能够借助这个游戏,好好思考一下未来城市运行系统的安全性。在游戏中的背景下,安全性必须是首要考虑的问题。该款游戏是一次有趣的尝试:就是当网络被滥用的话,我们的世界会变成什么样子。 在现实世界中,是否曾发生过非常可怕的安全事件? 你在游戏中所见到的大部分入侵手段都是盗用自动控制系统。自从出现了能够入侵工业控制系统的”震网”蠕虫病毒以后,这一攻击工业控制系统的可怕新趋势在几年前既有了蔓延之势。这又是一个计算机程序如何在现实世界中大肆破坏的例子。事实上,他们入侵的可是实实在在的机械设备。在游戏中,我们也看到了类似的剧情设计,不得不说这些事情离我们的现实生活越来越近了。 网络游戏中受到网络攻击者攻击的可能性有多高? 此类风险的确存在,而严重程度则取决于你所玩游戏的类型,以及你不管在游戏中还是现实生活中表现得是否否足够谨慎。过去十几年,木马病毒已经有能力窃取比如说玩家角色的虚拟财产。如今,木马病毒的灵活性更是超出想象,大量的攻击方式能够将数字生活的方方面面面作为攻击目标:他们可随意决定是否盗窃你的Skype密码;或通过单独设置将攻击目标锁定具体游戏密码。后者则能帮助他们入侵并窃取玩家的游戏账号。 黑客不仅将邪恶的触手伸向游戏玩家,游戏开发者也同样难以幸免。入侵前者的目的是为了盗取虚拟资产,而后者更多的是为了创建非法在线游戏服务器等。 在解密多人在线游戏模式…当不同游戏角色在游戏中离得越近,则解密的速度越快。在现实世界中也同样如此,我曾听说过当数台设备通过无线网络配对时,能够共享处理能力!这是怎么做到的? 你说的没错。在使用共享资源时,计算过程确实能处理得更快。密码攻击正是此类的工作负荷。你可以通过分配工作负荷,实现在不同设备上同时处理。不仅可选择现成的软件,还可自行开发单独应用,由一个无线网络中所发现的大量设备来分担任务。 你认为要在现实世界中实现像《看门狗》中那样真正的”智能城市”,最大的障碍是什么? 技术领域的障碍并非是最难克服的,管理权或者说谁来管理才是问题的关键。《看门狗》这款游戏构建处一座虚拟的芝加哥市,在这座城市中,所有的交通信号灯、煤气管道、ATM机、监控系统甚至吊桥全部连入了一个网络中。这意味着只有一家机构负责控制整座城市的基础设施,并且也只设立了一座数据中心。