Alex Drozhzhin

40 文章

黑客入侵火车:绝非天方夜谭

生活在数字时代意味着我们日常中的大多数’物件’均由计算机操作和/或控制。从家用电器到汽车,从生产工厂和发电厂到港口和船舶几乎无所不包,铁路和火车也当然不例外。

欧洲法院上的个人数据”历险记”

就在昨天,欧洲法院作出判决,裁定美国公司如能保证为个人隐私提供”充分程度”保护的情况下允许这些公司在美国保存和转移欧洲用户个人数据的《安全港协议》,无效。这对于各方而言,既是好消息又是坏消息。 好消息是,这一裁决表明了人们对于个人隐私问题关注程度的提升,并最终意识到个人数据的宝贵价值。此外,其中一些人正准备向欧洲最高法院提起诉讼,维护他们对于自己个人数据的权利。在”后斯诺登”时代,这样的事件早已不足为奇:各国情报部门不遗余力地侵犯民众隐私,只是现在比以往更明显一些而已。毕竟,目前全球各家IT公司的安全保护程度只能说是’远远不够充分’。 如此说来,欧洲法院的此次裁决并非是有关个人隐私诉讼的结束,而刚刚只是一个开始。爱尔兰当局(由于Facebook的欧洲总部设在都柏林,因此案件在爱尔兰审理)现在必须调查Facebook欧洲用户有关个人隐私遭侵犯的投诉案件,并最终裁决”是否应停止将Facebook欧洲用户的个人数据传输到美国”,原因是Facebook”对用户个人数据保护的程度不够充分。” 同样值得一提的是,欧洲法院此次所做的裁决是最终裁决,因此不能再进行上诉。 此次欧盟所做的有关数据隐私的裁决并非是全球首例。早在今年2月份,俄罗斯联邦就通过了一项法令,要求从2015年9月1日起俄罗斯公民的个人数据必须在俄罗斯本国保存。与欧盟不同的是,当时通过这一项法令无需任何法院裁定,原因是俄罗斯与美国之间不存在任何像《安全港协议》这样的类似协议。 由于俄罗斯往往颁布新法令的速度过快,因此生效截止日期推延到2016年1月,原因是大多数在俄外国公司无法迅速地转移用户数据。包括Facebook在内的一些公司很可能会无视这项新法令,相比在俄罗斯当地建造代价昂贵的数据中心,更倾向于支付罚金(因为金额不大)。 问题的关键在于,人们将数据看成了一种实物。’嗨,伙计,我们车停在那里不太安全,还是停到我们的私人车道上去吧。’但数据就是数据,本质来说就是一种转瞬即逝的信息。数据易于访问,易于传输同样也容易复制。但事实是对跨地区的数据流动的确难以彻底控制,这一点着实让我们感到吃惊。 对像Google、Facebook、维萨和万事达这些在全球各地拥有数十座数据中心的大型公司来说,他们根本毫不在乎,因为他们的所有用户数据事实上都已经被保存了。伙计,这可是互联网,你获取任何想要的信息只需几毫秒时间,还用在乎是在哪个国家吗? 这些公司只需花些时间整理所有的数据,并清楚知道哪些数据该保存在这里,哪些数据该保存在那里。坏消息是,人们正试图以一种过时的方法处理信息,就如同处理物质世界的实物一样。同时他们也正试图在虚拟世界中构筑一堵无形的墙,延绵不断且无边无界。 这最终将走进死胡同。所有人都终将意识到,IT公司将为此花费大量的精力和金钱来应付一个又一个的国家政府。首先是欧盟和俄罗斯。在这之后,将会有更多的国家政府”强赴后继”,不断”折磨”那些跨国IT公司。赶快拿出爆米花,准备看一场好戏。 我们依然将停车打比方。真正的问题不在于车到底停哪里?而是车门锁是否安全?盗窃车辆是否合法?或者你能对窃贼采取怎样的措施?而且最关键的问题可能是:究竟为什么每个人都有我车的钥匙?

俄罗斯网络间谍对卫星实施漏洞利用

Turla APT黑客小组(又称”Snake”和”Uroboros”)被誉为全球最高级的网络威胁者。在8年多的时间里,这一网络间谍小组在互联网上兴风作浪、为所欲为,但直到我们去年出版《Epic Turla research》之后,其黑客活动才为普通大众所知晓。 我们在研究中尤其发现了一些语言痕迹的案例,表明Turla小组的一部分成员来自俄罗斯。这些人采用常用于补充斯拉夫字符的1251代码页,里面像’Zagruzchik’这个词在俄语中表示”引导装在程序”的意思。 Turla黑客小组之所以特别危险且难以抓到的原因不仅仅是因为使用了复杂的黑客工具,而是在最后攻击阶段实施了精密的基于卫星的命令与控制(C&C)机制。 命令与控制服务器是高级网络攻击的基础。同时,这也是恶意基础设施中最薄弱的一环,因此往往会成为数字调查者和执法机构的首要打击目标。 主要有两个原因。首先,这些服务器被用来控制所有的操作。一旦成功将其关闭,就能扰乱甚至完全破坏网络间谍活动。其次,C&C服务器可以用来追踪网络攻击者的实际所在位置。 这也是为什么这些网络威胁者总是不遗余力将自己C&C服务器隐藏得尽可能深。Turla黑客小组也找到了颇为有效的隐藏方法:在空中取消服务器IP。 使用最广泛且最廉价的基于卫星的网络连接类型之一就是只使用下行连接。在这里,来自用户电脑的数据通过常规线路—宽带线或蜂窝网络传送—而所有输入流量则来自卫星。 然而,这一技术也有缺陷性:所有从卫星发送到电脑的下行流量均未加密。简而言之,任何人都可以拦截这些流量。Turla小组利用这一漏洞想出了一个有趣方法:隐藏他们自己的C&C流量。 具体操作步骤如下: 他们监听来自卫星的下行流量以发现活跃的IP地址,而这些地址必须属于此刻在线的基于卫星的网络用户。 随后他们选择一定数量当前活跃的IP地址,在合法用户不知道的情况下隐藏C&C服务器。 被Turla用病毒感染的机器将会按照指令向被挑选的IP地址发送所有数据。数据通过常规线路发送至卫星,并最终从卫星传送到IP被挑选到的用户。 这些数据会被合法用户的电脑当做垃圾清除,而这些网络威胁者则从下行卫星连接获取这些数据。 由于卫星下行覆盖区域极大,因此根本无法准确追踪到这些网络威胁者接收器的实际位置。此外,Turla黑客小组还倾向于对位于中东和非洲国家(例如:刚果、黎巴嫩、利比亚、尼日尔、尼日利亚、索马里或阿联酋)的卫星网络提供商实施漏洞利用,因此要想抓到他们更是难上加难。 由于这些国家运营商所用的卫星通讯信号束无法覆盖欧洲和北美地区,这对大多数安全研究专家研究此类攻击造成极大的困难。 Turla黑客小组实施的一系列网络攻击至今已感染了超过45个国家(包括:哈萨克斯坦、俄罗斯、中国、越南和美国)的数百台计算机。Turla黑客小组无论是对政府机构和大使馆还是军事、教育和研究机构以及制药公司均十分感兴趣。 坏消息就说到这里。对我们用户而言,好消息是卡巴斯基实验室产品成功检测并阻止了Turla网络威胁者所使用的恶意软件。  

黑客入侵化工厂

物理网络安全研究专家Marina Krotofil和Jason Larsen在黑猫大会和DEF CON大会上均展示了他们对如何黑客入侵化工厂的研究–内容着实引人入胜。 黑客入侵化工厂并非是天方夜谭。既然黑客已能成功入侵浓缩铀设施、智能阻击枪或同时入侵数千辆Jeep汽车,那黑客入侵化工厂又有何不可能呢。世界上现在已经没有什么东西不可以入侵的,难道说化工厂就能成为例外吗? 而真正有趣的是:在Krotofil的展示中,她深入地探讨了黑客在成功掌控化工厂的计算机网络后,可以做的以及应该做的事情。这里引出了该项究的第一个结论:黑客入侵导致的后果并不一定是明显的。 黑客可以对已遭入侵和控制的化工厂进行多种方式的漏洞利用。其中只有一种真正容易被发现:就是黑客让工厂的正常生产陷入瘫痪,其后果显而易见。 而更巧妙的入侵方法是:小心翼翼地对化工工艺进行调整,进而让目标工厂利润降低的同时失去市场竞争力。例如,黑客可以通过微调化工工艺来降低产品质量和/或等级。对于化学品而言,最重要的参数无疑是化学纯度。 例如,纯度98%的对乙酰氨基酚成本仅为1欧元/公斤(约合1.11美元)。而纯度达到100%的对乙酰氨基酚,其成本竟高达8000欧元/公斤。显然,黑客完全可以将降低化学品纯度作为首要攻击目标,进而从目标工厂老板的竞争对手那儿获得”丰厚报酬”。 来自Positive Hack Days安全竞赛的”漏洞化工处理框架”工具 而针对物理网络系统的黑客入侵而言,想要进行漏洞利用并非易事,这正是该项研究的第二个结论。由于整个化工厂相当复杂,因此里面的许多物理和化工工艺相互依赖。就算你在这里更改了某个工艺,在其它地方也能产生同样的工艺过程。因此,要想达到自己的目的,你必须了解其中所有工艺的相互关系。 首先,你需要一名化工人员,确切地说是一名化工专家。其次,你需要建造自己的”化工厂”并进行实验。顺便提一下,在Stuxnet作者开发这一著名病毒的过程中,使用了几台真正的铀浓缩离心机。 如果你无法建造”化工厂”,那就需要创建一个软件模型然后在里面进行虚拟实验。此外,你还要明确到底要哪些设备和软件需要处理。令人意想不到的是,想要黑客入侵化工厂,网络黑客最倚靠的工具竟然是互联网,特定情况下还要用到社交网络:化工厂员工通常都会将一些与工作相关的内容发布上去。而他们发布最多的就是包含有用信息的真实屏幕截图。 就算你有真正的化工专家为你工作,并获取了所有必要信息和软件模型,这还是无法确保你一定能控制你想要的化工工艺。问题的关键在于化工厂在设计时考虑了网络安全性;例如,物理网络系统相比纯计算机系统而言,无法使用通用断工具。 这也是为什么你必须借助间接数据对参数进行调整。例如,你无法测量产品本身的纯度,因为工厂根本不需要这样的嵌入式工具,他们通常在产品生产出来以后进行测量。你需要借助温度或压力来估计纯度。因此,黑客入侵化工厂的难度并没有被高估。当然,如果你时间充裕且拥有丰富资源的话,没有什么是做不到的。 简单地说,一方面,黑客入侵复杂的物理网络系统的确很难。另一方面,一切皆有可能。而一旦化工厂不幸遭黑客入侵,其内部的复杂程度对于安全防护恰恰起到了相反的作用—化工厂因此而难以检测到恶意行为。 正如Kim Zetter在《Countdown to Zero Day》一书中谈到Stuxnet时所说的,设计这一蠕虫病毒的真正目的并非是为了破坏铀浓缩离心机,而是降低核燃料的’质量’。如果某个神通广大的人能有足够耐心而且不追求短时效果的话,恶意软件将难以被发现。

手机锁屏图案的设置奥秘

人类的行为通常都有规律可循,因此完全可以预测。尤其当不法分子在破解密码、密文和PIN码时,人类行为的可预测性可轻易被利用。我们中的许多人都会将名字、出生日期和其它容易猜到的个人信息设为密码,更不用提’12345’这样的极简易数字密码仍被广泛使用。那我们每个人在设置自己的锁屏图案时,是否也有据可循且容易预测呢?事实证明—的确如此。 来自一家挪威公司- Itera Consulting的研究专家Marte Løge对此做了一项分析,主要是分析人们分别为购物应用、智能手机锁屏和网银所设置的图案密码。最终的结果着实令人大吃一惊。 首先,应用的类型与图案密码的设置强度有着密切的关系。相比智能手机锁屏,人们更倾向于对网银甚至购物应用使用强度更高的图案密码。 其次,在Løge调查的数千受访者中,许多人(约占10%)使用的都是字母样式图案,其强度与类似’12345’这样的极简易数字密码一样弱不禁风,几乎起不到任何安全防御作用。 数字样式的图案密码完全弱不经且最容易被猜到 第三,尽管图案密码可以有大约39万种组合,但人类行为的特有规律使得这一数量大幅缩减。上述提到的大多数组合都包含了8个或9个点,但不幸的是,实际中使用这些组合的人少之又少。因此人们使用最多的大约有10万种组合。 尽管10万种组合听上去数量庞大,但事实上其中的3/4包括了8点和9点的组合,而这些组合人们通常很少用到 据调查,图案密码的平均长度大约是5点—但这根本不足以保护智能手机或应用程序的安全。5点的图案密码长度只能有约7000种组合,显然这比简单的4位数字PIN码还要羸弱不堪。而人们最常用的图案长度是4点,这只能有大约1600种组合。 4点图案密码长度使用最为广泛 此外,要想进一步将组合的数量减至更少,你完全可以轻松预测出图案密码的起始点。人们通常倾向于将角落设为起始点,而其中大约一半的图案组合更都是将左下角作为起始点。而多达73%的人在设置图案密码时,都同时使用了左下角和右上角。 有趣的是,这与是右撇子还是左撇子以及是单手(小屏幕)还是双手(大屏幕)用智能手机都无太大关系。它们的各自占比都非常接近。 另一个有趣的事实是,女性相比男性更倾向于设置较弱的图案密码。此外,图案密码强度与年龄也有一定关系:年龄越小,越可能使用强度更高的图案密码。因此,知道性别和年龄确实有助于预测使用的图案密码。 我们能从这项研究中学到什么?基本上来说,如果你使用安卓锁屏图案,或为一些敏感应用设置图案密码时,想真正保护自己数据的话, 最好使用与众不同的策略。以下是我们的建议: 千万不要使用人人都能想到的数字样式图案组合。使用这种薄弱图案密码的效果和不使用图案或数字字母密码的效果相差无几。 起始点选择不太常用的位置:最好的选择是右边中间的位置。右下角同样也是相当不错的选择。 图案密码的长度最好设为8点或9点:首先组合数量庞大;其次很少有人使用这一长度。 当然,可以考虑将图案密码改为数字字母密码。因为即使是长且可靠的数字字母密码相比高强度图案密码来说,记起来还是要更容易些。

如何’一键杀人’

安全研究专家Chris Rock最近发现,完全不费吹灰之力就能”杀死一个人”。需要声明的是,我们讨论的内容完全属于法律意义上的范畴,并不会引起道德和法律上的后果。只需要一台能上网的电脑、些许相关知识和基本的网络常识,每个人都能做到。你甚至无需黑客入侵任何网站;你所需的所有服务都是现成的,而且是100%合法。 因为一场意外-澳大利亚的一家医院错发200张死亡通知书,Chris Rock开始着手研究其中的漏洞。他的想法是,既然因为医院的失误操作能造成电子系统出错,那个人也同样可以人为制造”错误”。 人死亡的官方证明被称为’死亡通知书’。而在许多国家,这一证明还可以在线申请。例如,在美国,医院可以使用一项称为’电子死亡登记系统’(EDRS)的网络服务。要想成功申请死亡证明,你只需以医生的身份登录EDRS。 要想注册这项服务,你需要输入能证明你医生身份的几项信息,包括:姓名、执业证书编号以及你医生执照上的地址。即便你不是医生,还可以通过在线服务(至少在加州是如此)找到所有你想要的医生信息。简而言之,你可以随时以加州一名职业医生的身份登录ESDR,且不会产生任何问题。 此外,另一种人同样也能开立死亡证明,那就是丧葬承办人。有趣的是,在某些美国州(和像英国或澳大利亚这样的国家),无需任何特殊培训或资质证书就能成为一名丧葬承办人。提交申请后只需等待有关部门确认—很快,你就能正式成为一名丧葬承办人。 当然,你需要知道如何正确填写死亡证明。但此类系统通常都为医生和丧葬承办人在线准备了相关的填写指南。当然,你也可以通过Google搜索,各种你想要的信息都一目了然。死亡证明申请的基本方法就是这样,可能你还需要做一些遗嘱认证方面的工作。但这同样相当简单。 在这些’死亡服务’网站中,最有意思的是竟然还有一个特殊按钮,用来进行批量死亡登记。这一功能最初设计是用来登记类似于灾难中的死亡人口,但任何人想扮演Bender Rodriguez的角色,都可以用这个特殊按钮来一场虚拟的’集体屠杀’。 当然你也可以反过来做—创造一个虚拟的人—方法也大同小异,但你却无需忍受’怀胎九月的煎熬’。事实上,创造虚拟的人要比让真实的人虚拟死亡来得更容易些。首先,你无需注册为一名丧葬承办人。其次,你可以一名助产护士的身份注册,而无需是医生。而且,有关助产护士的所有必要信息都可以从上述提到的加州网站和其他国家类似的服务项目中找到。 人们’虚拟杀人’或’创造虚拟人’的理由有很多。可能为了欺诈、报复或是故意妨碍他人,各种原因不胜枚举。可能还有一些令人啼笑皆非的理由,但却很难让人察觉到:在创造虚拟的人同时,你所创造的那个他/她也立即成为了完全合法的人,你可以在日后随时用这一身份做任何事情。这就好比将你在社交网站上所展现出的完美的你移植到了现实生活中! 官方对于死亡的认定也十分有趣:要想恢复自己的’法律地位’可谓相当复杂。过去曾发生过这样一个案件:有一个人因为失踪多年而被错误地宣布已死亡。他想要恢复自己的’合法地位’,但法官却说现在已经晚了—因为俄亥俄州法律规定必须在宣告死亡后的三年内提出异议。一旦三年期限过后,就无法再进行更改。抱歉,伙计,我们真的是无能为力。

2015美国黑帽大会:关于黑客入侵Jeep车的详细介绍

近期,我们就时下热门的”黑客入侵Jeep大切吉诺“主题,写不少与此有关的讨论文章。在今年的网络安全盛会-2015美国黑帽大会上,安全研究专家Charlie Miller和Chris Valasek同样就他们是如何黑客入侵Jeep大切吉诺的整个过程进行了详细阐述。 在他们的研究之初,Miller和Valasek试图通过Wi-Fi连接黑客入侵Jeep车的多媒体系统—Jeep的制造商克莱斯勒根据车主意愿选择是否开通这一收费功能。事实证明,黑客入侵这一车载Wi-Fi并非难事,原因在于Wi-Fi密码是基于汽车本身及其多媒体系统(主机)在首次启动时自动生成的。 从理论上讲,考虑到日期/时间的极高精确度,这是一种相当安全的加密方法,因为你可以得出成千上万种可能的组合。但如果你能成功猜到要在Jeep车开动后的一小时内时刻与车载Wi-Fi保持连接。因此,这两名研究专家决定另寻他路。令人吃惊的是,他们竟然真的又找到了一个解决方案:结果证明,克莱斯勒车载Wi-Fi密码是在车上设置实际时间和日期之前就已经生成,即在主机启动时在默认系统起始时间基础上再加上几秒而自动生成。 那辆大切吉诺的默认系统起始时间是2013年1月1日00:00(格林威治标准时间),或更精确地说,是00:00:32(格林威治标准时间)。这样可能的组合范围就相当小了,即使是业余黑客,猜出正确的Wi-Fi密码也完全是小菜一碟。 在成功连上Jeep车的主机后,Miller和Valasek得以找到一种可能的方法来黑客入侵使用Linux操作系统的多媒体计算机。由于软件内的几个问题完全能猜到,因此他们通过利用软件内的漏洞后最终完全掌控了主机系统。 尽管攻击范围有限,但却足以惊世骇人:研究专家们不仅能完全控制音乐播放器,还能将收音机调到任何他们想听的频率并能随意调节音量。完全可以想象,当你以70英里/小时(相当于112公里/小时)在高速公路上急速行驶时,收音机突然自动提高了音量,任何人碰到都会悚然一惊,进而可能引发交通事故。 研究专家们还发现了另一种可能,即通过车载GPS导航系统追踪目标车辆。你甚至无需更改主机软件就能利用这一漏洞,因为该系统在汽车出厂前就已内置。 以上就是如何成功黑客入侵克莱斯勒汽车车载Wi-Fi连接的方法,但前提条件是车主购买了此项功能服务。但就目前而言,许多车主并未购买。而另一方面,克莱斯勒汽车的所有主机均能与Sprint蜂窝网络相连接,就算其车主并未购买任何无线网络服务也同样能成功连接。而这只是针对车载主机类型的一个标准而已。 Miller和Valasek也试图通过这一方法利用漏洞—虽然花费了大量的时间和精力,但他们的努力并没有白费。借助在eBay上购买的’femtocell’(毫微微蜂窝式基站),他们得以进入到Sprint内网,并通过监听某几个电话(他们通过黑客入侵Wi-Fi获得)扫描大量IP地址。 利用这一黑客技巧,你可以找到几乎所有配备有此类主机的克莱斯勒汽车。事实上菲亚特克莱斯勒已召回了100多万辆车存在类安全漏洞的汽车。可能你会觉得菲亚特克莱斯勒已将所有问题车辆都召回了,因此完全可以放心选购一辆安全的Jeep车。但事实上这并非易事,正如研究专家所言,”相比其他品牌汽车而言,所有Jeep品牌的汽车几乎都存在这方面的安全问题。” 黑客完全可以借助GPS追踪器,对任何想要黑客入侵的Jeep车下手。在成功入侵后,黑客可以利用车载多媒体系统为所欲为。但我们的故事还远未结束。 下一步还需要找到接入CAN总线的途径。CAN总线作为汽车的内网能与车上所有最重要的部件—发动机、传动装置和传感器等(几乎囊括了所有车载部件)互联,原因在于目前Jeep品牌车上的每一个部分均采用电子控制方式。 但多媒体系统却并未与CAN总线直接相连。而这正是每当提及网络-物理系统的IT安全时,所有汽车制造商都反复强调的:多媒体系统完全独立于这些系统的联网和物理部分以外。 但事实证明,其安全性也并非万无一失,至少对于克莱斯勒汽车而言确实如此。尽管多媒体系统控制器本身无法与CAN总线直接通讯,但却能和与CAN总线互联的另一个部件-V850控制器通讯。简单地打个比喻,他认识个家伙,那个家伙又了解另一个家伙的状况。 V850控制器的软件采用了相对谨慎的设计方式,因此尽管有可能’听从于’CAN总线,但却无法通过它发送命令。但你也知道,这毕竟是一台计算机。你根本无需拆箱操作,只需简单地对计算机重新编程即可将其添加入内。 通过与多媒体系统的控制器连接,研究专家们发现了可针对其恶意编写版本更改V850控制器固件的漏洞。在无需检查或授权的情况下,固件即可完成’升级’。尽管存在权限问题,但研究专家们在其中发现了数个漏洞,从而实现了对V850控制器的完全掌控。 实际上就是如此简单:在这一步操作完成后,Miller和Valasek即能通过CAN总线成功发送命令,并且对所有汽车部件(千真万确)进行操控。他们能成功操控方向盘、发动机、传动装置和制动系统,更不用提像雨刷、空调和门锁这样更容易控制的汽车部件。而且,他们完全是通过Sprint蜂窝网络远程控制这些汽车部件的。 好消息是:Miller和Valasek花费了数年时间才得出了他们的研究成果。而主要的黑客技巧—具体如何掌控与汽车部件连接的CAN总线—在他们的介绍中依然未解释清楚。此外,也并非每一名黑客都能达到上述两名研究专家的技术水平。坏消息是:此类黑客入侵成功的可能性相当高,且产生的破坏性将难以估量。

2015全球开发者大会:苹果的新安全特性

苹果公司在2015全球开发者大会宣布即将发布上述设备的全新操作系统:Mac的OS X 10.11 ‘El Capitan’、iphone的iOS 9以及可穿戴设备的watchOS 2。这些全新操作系统预计将在今年秋天正式发布,到时各种新的苹果电子设备也将一同登场。目前苹果只有测试版供软件开发者使用(普通用户也同样有机会试用)。

如何清除CoinVault勒索软件并恢复文件

在多数情况下,一旦你不幸成为勒索软件的受害人,对此可以说是完全束手无策。但幸运的是,警察和网络安全公司时常会采取联合行动,关闭勒索软件的命令和控制服务器并从中恢复一些重要信息。这些信息十分有用,因为其有助于编写解密工具并恢复用户的文件。最近,德国网络警察和卡巴斯基实验室联手创建一个解决方案以帮助CoinVault勒索软件受害人恢复文件。 如果你想了解更多有关CoinVault勒索软件的内容,可查阅我们刊登在Securelist网站上的详细报告。如果你也对我们是如何编写该解密解决方案感兴趣的话,在我们的博客文章中有详细的介绍。如果你碰巧正在寻找有关如何清除CoinVault勒索软件并恢复文件的方法的话,请参阅以下操作步骤。 第一步:确定自己的计算机是否真的感染了CoinVault勒索软件。 首先,确定你的文件的确是被CoinVault所盗而非其它勒索软件。确定的方法很简单:如果你的计算机被CoinVault感染的话,你将能看到如下图片: 第二步:获取比特币钱包地址 在CoinVault勒索软件界面的右下角,你将能看到比特币钱包地址(上图中用黑圈标记的地方)。复制并保存这个地址非常重要! 第三步:获取加密文件清单 在该恶意软件窗口的左上角,你将能看到’查看加密文件清单’按钮(上图中用蓝圈标记的地方)。点击这个按钮并保存为一个文件。 第四步:清除CoinVault 前往https://kas.pr/kismd-cvault并下载卡巴斯基安全软件试用版。安装完成后,该试用版软件将能从你的系统中清除CoinVault。确保已保存了所有从第二步和第三步中所恢复的信息。 第五步:访问https://noransom.kaspersky.com检查 访问https://noransom.kaspersky.com 网站输入在第二步中所获取的比特币钱包地址。如果你的比特币钱包地址已知,则IV(初始化向量)和密钥将会出现在屏幕上。请注意可能会出现多个密钥和IV。保存所有在计算机屏幕上出现的密钥和IV,后面你将需要用到。 第六步:下载解密工具 在https://noransom.kaspersky.com网站下载解密工具并在你的计算机上运行。如果你得到的是错误消息(如下图所示),进行第七步操作。如果没有错误消息,则跳过第七步直接进行第八步操作。 第七步:下载并安装另外的libraries(库) 前往http://www.microsoft.com/en-us/download/details.aspx?id=40779并遵照网站的使用说明。随后安装软件。 第八步:打开解密工具 打开该工具后你将能看到以下窗口: 第九步:测试解密程序是否运行正常 在首次运行该工具时,我们强烈建议您对解密程序进行测试。具体操作步序如下: 在”单文件解密”框内点击”选择文件”按钮,并选择你想解密的一个文件; 将来自网页的IV输入到IV框内; 将来自网页的密钥输入到IV框内; 点击”开始”按钮。 验证新创建的文件是否已正确解密。 第十步:解密所有被CoinVault所盗的文件 如果在第九步中操作一切正常的话,则能立即恢复你的所有文件。选择从第三步中所获取的文件清单,输入IV和密钥并点击开始。你完全可以根据自己的需要选择”对带解密内容的加密文件进行重写”选项。 如果你在输入比特币钱包地址的时候收到多个IV和密钥的话,这时候你就要十分小心了。因为我们无法100%确定比特币钱包的多个IV和密钥的正确来源。一旦出现这种情况,我们强烈建议取消勾选”对带解密内容的加密文件进行重写”的选项。如果在解密时出现错误的话,可以尝试不同的IV+密钥组合直到文件被成功解密为止。 如果你根本没有收到IV和密钥的话,应耐心等待并访问https://noransom.kaspersky.com检查。由于相关调查依然在进行中,我们将不断实时添加新的密钥。

你的PC电脑是否已成为了僵尸网络的一部分?赶快检查一下吧!

许多人都认为恶意软件是一种完全能破坏PC电脑正常运行功能的软件。如果你的计算机运行良好,这就意味着没有受到病毒感染,对吗?完全错误,恶意软件编写者们已不再是那些烦人的”网络牛仔”了。网络犯罪分子制造网络灾难的主要目的并非只是为了好玩,而是为了赚钱。在许多情况下,这一目的却导致了完全相反的恶意软件行为:最重要的信息永远不会让用户看到。 例如,此类’隐秘’动作通常就是僵尸网络的典型行为。普通僵尸网络通常由数千台PC电脑组成,如果要说是最大的僵尸网络的话,可能操控着数十万台PC电脑。而计算机用户者对于他们的计算机已受到病毒根本毫不知情。他们只能感觉到自己的PC电脑运行速度似乎慢了一些,但这对于PC电脑来说再平常不过了。 设计僵尸网络的目的旨在收集包括:密码、社会保险号、信用卡个人资料、地址以及电话号码在内的各种个人数据。这些数据可能被用于各种网络犯罪,包括:身份盗用、各类网络欺诈、垃圾邮件以及其它恶意软件传播等。僵尸网络还可用于对网站和网络发动攻击。 而摧毁一个大型僵尸网络则需要众多合作方在付出巨大努力下才能完成。近期的例子则是被认为已在190多个国家感染超过77万台电脑的Simda僵尸网络。其中,美国、英国、土耳其、加拿大以及俄罗斯等国受到的影响最大。 Simda作为一种”可供出售的僵尸网络”,被用于传播非法软件以及各种类型的恶意软件,其中有一些则能盗取资金凭证。而具体恶意程序的编写者则在每次安装后简单地支付给Simda僵尸网络所有人一笔费用。换句话说,该僵尸网络是恶意软件’制造商’的一种大型交易链。 僵尸网络横行互联网已有数年之久。为了让恶意软件发挥出更大的”功效”,Simda僵尸网络所有人在不断开发新版本同时,还频繁地每隔几小时就创建和传播一次。就目前而言,卡巴斯基实验室的病毒采集库内包含了属于各个Simda恶意软件版本的26万多个可执行文件。 与此同时,就在4月9日(周二)当天,分别位于荷兰、美国、卢森堡、俄罗斯以及波兰境内的14台Simda僵尸网络命令和控制服务器被关闭。 参与当天”关闭服务器”行动的组织可谓数量众多,因此也表明Simda僵尸网络的复杂程度可见一斑。包括国际刑警组织、微软、卡巴斯基实验室、趋势科技、Cyber Defense Institute、美国联邦调查局、荷兰国家反高技术犯罪机构、卢森堡Nouvelles Technologies公司的Police Grand-Ducale部门以及俄罗斯内政部’K’部门在内的众多组织均联合参与了本次打击网络犯罪分子的行动。 “由于僵尸网络是一种地域分散式网络,因此通常很难将其彻底摧毁。这也是为什么尤其需要私人和公共部门的携手合作–各方都必须尽自己的最大努力为整个联合行动做出贡献。”目前正与国际刑警组织紧密合作的卡巴斯基实验室首席安全研究员Vitaly Kamluk如是说。”在本次行动中,卡巴斯基实验室的职责是提供僵尸网络的技术分析、从卡巴斯基安全网络收集僵尸网络的遥测数据以及为行动策略提供建议。” 由于相关调查依然还在进行当中,因此要找出Simda僵尸网络的幕后黑手还需时日。但对于用户而言最重要的是:网络犯罪分子用来与受感染计算机通讯的操作、命令和控制服务器已被关闭且彻底摧毁。尽管Simda僵尸网络的运行暂时得以终止,但那些PC电脑受感染的用户依然应该尽快清除这一恶意软件。 通过使用从Simda僵尸网络命令和控制服务器恢复的信息,卡巴斯基实验室创建了一个特殊页面可用于检查您的计算机IP地址是否在受感染清单中。 此外,还可使用免费的卡巴斯基安全扫描工具或下载功能更为强大的3个月有效的卡巴斯基安全软件试用版,则可确保您的PC电脑万无一失。当然了,所有卡巴斯基实验室解决方案均能检测出Simda恶意软件。有关Simda僵尸网络的更多信息将访问Securelist作进一步了解。

使用社交网络账号密码登陆”免费wifi”将带来严重的后果

从理论上讲,人们都普遍认同”天下没有免费的午餐”,但在实际生活中,有些人则选择性地遗忘这句至理名言,更倾向于另一句谚语”搭顺风车”。就目前的情况来看,人们在不遗余力搜寻服务提供商所提供的”搭顺风车”机会的同时,无意中也将自己的私人数据(例如:社交网络登录凭证)与第三方共享。 有大量的现实案例可以证明你不应该受到”免费午餐”的诱惑。在这里我们不得不提到最近在俄罗斯发生的一起事件,有一家总部位于圣彼得堡的俄罗斯公司通过智能Wi-Fi为咖啡馆提供免费WiFi热点。一些有识之士设法录制了客户登入智能Wi-Fi网络方法的视频,并将这些视频放到了YouTube上。 读者们可以从刊登在Siliconrus.com网站上的这篇文章中了解详细内容(用俄语写的,能用在线翻译器翻译),在这里我们将解释一下这一技术:当客户连接到智能Wi-Fi网络时,提示需要通过其社交网络账户配置文件获得授权。在这个案例中,使用的账号来自于俄罗斯最流行的社交网络VKontakte。 然而,用户并非是在vk.com网页上输入账号和密码,而是通过非加密通讯直接在智能Wi-Fi网站上输入,而这却是最不安全的登入网站的方式。 因此用户一旦用自己的VK配置文件登入,vk.com网站的登录密码也将一并提供给智能Wi-Fi提供商,同时隐藏在附近的网络犯罪分子都能通过笔记本电脑窥探到。 就智能Wi-Fi本身而言,有一篇文章 –以及上述所提到的视频–可以证明该服务提供商保存了用户登录凭证,并将其用于两个目的:其一,在VK.com网站的客户网页上发布广告;其二,凭借大量的权限在vk.com网站上的用户配置文件安装应用程序,包括:访问各种个人数据以及代用户发布更新内容。 就第一种情况而言,用户会被警告有广告发布到他们的’墙’上,而第二种情况下就算安装了应用程序也不会有任何提示或警告。要想找到这些被偷偷安装的应用程序,用户不得不查看他们的Vkontakte应用程序列表。不言而喻,几乎很少有用户会定期检查这些内容。 假冒网页模仿社交网络登陆页面或网银工具的情况也时有发生。事实上,这正是广泛存在的网络骗局’网络钓鱼’的基础。该技术将虚假网页乔装打扮成官网,诱使用户输入登录凭证。一旦得手后,即将其运用于各种网络犯罪活动–例如,未经用户允许访问私人数据。 其中真正让人感兴趣的是服务提供商这种极度存在争议的做法。服务提供商在设计这一行动计划时是否故意为之,这一点我们依然无法确定,但即便不是用户仍将处于数据被盗的威胁之下。 与所有传统意义上的网络钓鱼案例类似的是,我们有一个行之有效的解决方案:预防与警惕。我们一如既往地建议用户要注意官网的URL网址,一旦发现URL网址与你原本认为的网址有出入的话,千万不要输入用户登录凭证。还需要注意的是,所有社交网络网站和网银服务都已采用了更加安全的且对通讯进行加密的HTTPS协议,因此我们强烈建议不要在任何网页头上没有”锁”图标的网页上输入密码。 我们应该注意到最新的卡巴斯基安全软件能够检测到此类不安全的WiFi网络,并警告用户不要连接这样的热点。

2015世界移动通信大会:四大前景广阔的IT安全趋势

世界移动通信大会(MWC)总是能让那些关心安全问题的参观者和与会者满意而归。由于是全球移动通信协会(GSMA)举办的大会,因此将安全问题考虑在内是再自然不过的事情了。今年举办的MWC 2015展会也毫不例外,再一次将安全问题作为此次展会的主要主题内容。接下来我将带你们一同领略卡巴斯基实验室在本次展会中所发现的几大安全领域趋势。 趋势1:物联网的安全 在卡巴斯基每日中文博客中,我们会定期写一些有关意想不到的存在漏洞联网设备的文章,原因只是因为有太多的家用电器或电子设备即将被联网:从电冰箱、咖啡机、智能电视机和微波炉到智能健身手环以及其它各种可穿戴设备无所不包,甚至还有遥控飞机。大量的家用电器被联网将造成许多令人意想不到的结果。不幸的是,大多数相关制造商和开发商对物联网安全领域几乎一无所知,缺乏基础的经验。 在反对这一问题的草率态度上,卡巴斯基实验室并非”孤军奋战”:在MWC展会上,许多人也提出了与联网设备保护有关的同样问题。这是一个令人振奋的消息:无论是用户还是开发商越快发现这个问题的严重程度,我们也能越快找到保护联网设备安全的方法。 趋势2:加密手机 在过去的两年里,发生了大量数据外泄事件以及其它”黑客入侵”全球窃听信息的事件,这些事件的幕后黑手包括:政府组织、黑客小组甚至你邻居家的孩子。所有这些新闻让人们对于安全和隐私通讯有了更迫切需求。这也让市场催生出经过严格加密的手机(也许你没有注意到,去年夏天我们曾发布了一篇针对加密手机的详细评论文章)。 在今年的MWC展会上,Silent Circle发布了全新的升级版Blackphone 2和Blackphone Plus —一款以安全为核心功能的平板电脑。两款移动设备均运行PrivatOS操作系统,并配备有不同的安全功能,还加入了一项新的功能:能让用户针对应用程序、数据和账户创建不同独立’空间’的空间虚拟化系统。这就如同一台设备内存放了多台独立智能手机。 巴西公司Sikur也推出了另一款重点考虑安全问题的解决方案,叫做”GranitePhone”。开发者显然走了极端路线:GranitePhone操作系统内没有安装任何浏览器,也无法访问手机摄像头,同时用户也不被允许安装任何其它的应用程序。GranitePhone可以用来发送和接受电邮和短信、打电话以及浏览文档等。 只有在两部GranitePhone之间或与运行公司软件的iOS/安卓移动设备通讯时,才能启用加密通讯。你也可以打电话给其它的手机,但却无法进行加密。正如你所看到的,这并不是一部通用的设备,但却是第二部主要用于处理敏感数据的手机。 还有一款在MWC展会上推出的加密手机叫做”LockPhone”。和另一款LockTab平板电脑一样,都是来自中国香港。采用1024位设备加密保护措施,在打电话、发短信以及发电邮时都能启用加密通讯(但必须是在两部LockPhone之间进行)。我们不清楚为什么开发商将这两部移动设备称为”首款加密的智能手机和平板电脑”,当然这并不是事实。 趋势3:生物识别 作为全球最大的智能手机芯片制造商,高通也在MWC 2015展会上发布了重大生物识别创新技术。其指纹识别技术不再只是基于视觉或电容式传感器。相反,高通采用了一项全新的技术,通过超声波对你的手指表面进行3D图像扫描。 有充分的理由让我们相信这一创新技术的前途将一片光明。首先,它是通过玻璃、铝、不锈钢、蓝宝石和塑料读取你的指纹。从理论上说,制造商完全能够将传感器装到手机或平板电脑的任何位置。 https://instagram.com/p/zuSbwYw5mo/ 其次,高通还承诺新的传感器的工作速度更快且更加精确,几乎不会有读取失败的情况发生。值得注意的是,快速的指纹识别功能使得这一技术能够扫描动态图片并通过检测脉搏来区分手指的真伪。除此之外,就算手指有点干或有些湿的时候,全新的ultrasonic传感器也能正常识别。 就目前而言,还没有任何一款移动设备装备有全新的高通传感器,但毫无疑问我们将能在不久的将来看到。 一些好消息也带给了三星移动设备的疯狂拥护者:公司最终决定做一个全新的指纹传感器。Galaxy S6和Galaxy S6 Edge采用了无需手滑的全新装置。就像iPhone手机一样,只需触摸传感器即可开始使用设备。 趋势4:追踪孩子位置 有许多公司也推出了针对孩子安全的解决方案,其中即包括了一些孩子追踪设备。无论是软件解决方案还是单独的追踪设备均有助于家中监视孩子当前所在位置。 在MWC 2015展会上,卡巴斯基实验室推出了一款beta版的多功能移动应用程序-

2015年世界移动通信大会:最佳移动设备简介

尽管每年少有引人注目的移动新设备在世界移动通信大会上发布,但我们依然能够寻觅到许多即将推出市场的最新高科技移动设备的踪影。在短短的几天时间里,我们在展会上看遍并试玩了各种最新高科技手机、手表和其它令人惊呼的移动设备。下面我们将为您介绍MWC 2015(2015年世界移动通信大会)上最令人感兴趣的几款移动设备。 三星Galaxy S6和S6 Edge 三星最新旗舰手机着实令人眼前一亮,全部采用金属和玻璃材质打造而成,毫无半点塑料成分—是Galaxy S系列诞生以来的第一次!无论是外观还是触感都与以往Galaxy系列截然不同。另外作为三星旗舰机型Galaxy S6的升级版本,Galaxy S6 Edge此次采用了可弯曲屏幕。这一全新加入的设计特色似乎只是为了吸引眼球:实际用途几乎很小,但外观看上去却极具未来风格。 此外,内部硬件也是全新的。多年以来,三星习惯于在其主要机型内安装高通骁龙芯片组。三星Exynos仅集成入该系列手机,专为一些本地市场而生产。现在一切都改变了,Galaxy S6和S6 Edge机型均配备有最新的64位芯片组Exynos,采用最尖端的半导体技术在三星自己的工厂生产而成。 三星总是无法抑制对于升级摄像头的热衷,此次又在这方面大力投入:内置光学图像稳定系统的1600万像素后置摄像头,以及500万像素的前置摄像头,并都采用了f/1.9大光圈。相比于现有其它品牌的智能手机而言,更容易在昏暗光线条件下拍出好的照片。 home键内置全新指纹传感器,因此解屏时无需再用手指滑动屏幕,只需触摸传感器即可—就像iPhone一样。此外,三星还在该系列机型集成入针对免触支付所采用三星支付系统的支持功能。 缺点方面:无论是S6还是S6 edge的电池均无法移除。防水功能不再,也没有了微型SD卡插槽。四倍高清(2560×1440)显示分辨率对于5.1英寸屏幕而言似乎有些大材小用。但无论如何,最新的三星智能手机的确给参观者留下了深刻的印象。 HTC One M9 HTC的旗舰机型- One M8在去年可谓风光无限:时尚的外观、强大的功能再加上高品质显示屏和最出色的内置扬声器。但该机型的主要缺点是其摄像头采用了UltraPixel技术(落后于同一级别的竞争对手)。在设计最新One M9时,这一问题得以解决:该款机型完美搭载了高达2000万像素的后置摄像头。而前置摄像头依然采用了UltraPixel技术,这并没有什么不妥。 采用八核高通骁龙810处理器和高达1920×1080像素的5英寸显示屏,这让所有人都相信这款手机将运行飞快。但至少要等到HTC厂商能解决手机过热问题才能给出更高评价。 由于One 8的外观设计辨识度极高且获得广泛赞誉,因此正在研发中的One 9机型据说只是对外观稍做了一些改动。 HTC Vive耳机

过于泛滥的”物联网”

最近,有关物联网的话题在IT业界火热讨论中。一下子好像所有东西都应该被联网:冰箱、咖啡机、电视机、微波炉、健身智能手环以及无人飞机。但这些东西也仅仅也只是冰山的一角。 物联网是因为在线社区网络的独特性才得以获得如此高的关注度,而一旦有消费性电子产品加入物联网必定会遭到媒体连篇累牍的报道。但在现实生活中,加入物联网的不仅仅只是家用电器。 有大批家用电器可能会被联网–其中有一些 – 联网根本毫无必要。大部分消费者几乎很少能想到一旦智能连接的家用电器遭黑客攻击的话,其危害程度远胜于个人电脑。 在《卡巴斯基每日中文博客》中我们定期会刊登有关一些让人意想不到的存在漏洞连接设备的文章。而David Jacobi在各大信息安全会议上所发表的关于他如何黑客入侵自己智能家庭的风趣演讲,一如既往给现场观众带来欢笑声以及随之而来佩服的掌声。 来自Laconicly公司的Billy Rios也带来了另一个有关黑客入侵洗车场的生动有趣的例子。洗车场。大家都知道,使用巨大刷子和泡沫洗车的地方。如今的洗车场也拥有了联网的智能控制系统,因而易于遭受远程黑客入侵。 一旦成功入侵,黑客就能获得有关洗车场运行各个方面的全方位控制。网络犯罪分子几乎可以为所欲为,包括获得免费服务。其原因在于车主账户有权访问多种工具,其中就包括支付系统。黑客通过获取出入口的控制权从而控制在洗车场内清洗的整辆汽车。此外,这还可能会破坏洗车场或损毁车辆,原因在于洗车设施内装备有大量移动组件和功率强大的发动机。 还有什么别的东西可以黑客入侵的吗?当然,只要你想得到的都可以!例如,在2015年安全分析专家峰会(SAS 2015)上,来自卡巴斯基实验室的安全专家Vasilis Hiuorios就报告了他对于警方监视系统的黑客入侵。而警方原以为定向天线足以确保通讯的安全。 如果说警方也如此粗心大意任由黑客入侵他们的网络和设备的话,那联网器件制造厂商的安全意识更令人担忧。来自卡巴斯基的另一名专家Roman Unuchek也在SAS 2015峰会上展示了如何对一款健身智能手环黑客入侵:在一连串的简单操作后,任何人都可以与健身智能手环相连,并下载有关手环所有者位置跟踪的信息。 总而言之,问题的关键在于那些开发和生产联网家用电器的厂商所面对的是一无所知的全新世界。他们最终发现自己面临的形势就好比是篮球运动员参加象棋比赛,而且对面坐着的对手却是一名名副其实的象棋大师。 而联网设备的实际用户所面临的情况还要更糟。他们根本不会去考虑任何的网络安全问题。对于一名普通的消费者而言,联网的微波炉和普通微波炉并无太大差别。这就好比网络用户从未想到过装备齐全的联网计算机会对我们的物质世界产生如此巨大的影响。 家用电器一窝蜂地进行联网迟早会对广大消费者带来不利影响。考虑到不管是用户还是电器厂商都在物联网世界中面临着艰巨的挑战,因此后者更应该开始考虑如何才能提升自己产品的安全程度。对于用户而言,我们的建议是尽可能不要使用过于”智能化”的联网技术。

世纪最大劫案: 黑客盗用十亿美元

高级持续性威胁(APT)是信息安全专家常常挂在嘴边的话题,这种攻击通常利用最最尖端复杂的黑客工具。但对于普通大众来说,这种威胁似乎与己无关。 对于公众来说,最广为人知的一些攻击类似于间谍小说中的情节。直到最近,APT还不是人们关注的话题,因为绝大多数APT针对的是政府机构,其中所有调查细节高度保密,并且实际造成的经济影响难以估计,原因显而易见。 然而,今时不同往日:APT已将触角伸入商业领域,更准确的说是银行业。结果可想而知:以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 攻击套路 为了渗透到银行内网,黑客利用定向钓鱼邮件来诱导用户打开邮件,借机使用恶意软件感染电脑。一旦成功,黑客就会在用户电脑上安装一扇后门,后门基于Carberp银行恶意软件源码,此项行动也由此得名为Carbanak。 以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 获得对电脑的控制权后,黑客会以此电脑作为入口点,探测银行内网并感染其他电脑,目的是找出能用于访问关键金融系统的电脑。 找到这样的电脑后,黑客将研究银行使用的金融工具,并利用键盘记录软件和隐蔽的截屏功能来查看和记录银行职员屏幕上的一切信息。 随后,为了完成行动,黑客会根据具体情况定义最为便利的方法来盗取资金,他们或者使用电汇转帐,或者建立一个假的银行账户,利用钱骡直接取现,或向ATM机发送远程指令吐钱。 这种银行网络盗窃行为的持续周期平均为两到四个月,从感染电脑的第一天开始算,一直到最终取现为止。 估计损失 黑客以某种方式从入侵的每家银行盗取250万美元到1000万美元,即便分别来看,此金额也相当惊人。假设有数十家,甚至上百家金融机构因APT攻击导致资金被盗,累计总损失很有可能达到10亿美元,令人瞠目结舌。 被ATP攻击导致持续严重损失的国家包括俄罗斯、美国、德国、中国和乌克兰。目前,Carbanak蔓延范围不断扩大,目前马来西亚、尼泊尔、科威特和若干非洲国家都已发现APT攻击。 据卡巴斯基实验室发布的信息,Carbanak所利用恶意软件的首批样本早在2013年8月创建。第一例感染发生在2013年12月。第一次有记录的成功盗取发生在2014年2月到4月间,攻击高峰时间是2014年6月。 很明显,除非被捕,否则黑客绝不会就此罢手。目前,众多国家网络防御中心和多家国际机构,包括欧洲刑警组织(Europol)和国际刑警组织在内(Interpol)都展开了调查行动。卡巴斯基全球研究分析小组(GReAT)也在其中贡献了自己的一份力量。 如何防御这种威胁? 下面要告诉卡巴斯基用户一些好消息: 卡巴斯基实验室的所有企业级产品和解决方案都能检测到已知的Carbanak恶意软件样本:Backdoor.Win32.Carbanak和Backdoor.Win32.CarbanakCmd。 为了确保您的防御等级保持在高水平,我们建议您启用主动防御模块,卡巴斯基的所有产品版本中都含有此模块。 此外,还有一些小贴士,可保护您不受这种及其他安全威胁: 绝不打开任何可疑电子邮件,尤其是带附件的邮件。 定期更新使用的软件。例如,这次攻击行动利用的并不是零日漏洞,而是供应商之前打过补丁的已知漏洞。 启用反病毒软件中的启发式检测:此功能将提高极早检测到恶意软件样本的几率。 若要了解Carbanak行动的更多信息以及卡巴斯基GReAT小组调查的详细信息,请查看Securelist上的相关博文。

DarkHotel:亚洲豪华酒店内的网络间谍活动

“网络间谍”是21世纪出现的又一种”网络攻击武器”。甚至任何一款看似毫无危害的移动应用都能够通过粗心大意的用户不经意间地泄漏数据,盗取相当数量的个人隐私信息。这些全方位的监测活动通常将大型企业和政府机关作为特定攻击目标。 就在今年秋天,卡巴斯基实验室最新发现了一种被冠以”Darkhotel”称号的间谍网络,竟然在许多亚洲酒店的网络内存在了长达7年的时间。此外,一些聪明的专业网络间谍门早已开发出了一款包含了各种用来入侵受害者计算机方法的全面”工具包”,以入侵受害者的计算机。 美国联邦调查局(FBI)在2012年最先提到了将酒店内住客作为攻击目标的网络犯罪行为。然而,其实早在2007年的时候,被用于Darkhotel间谍活动的恶意软件(即,Tapaoux)就已经在亚洲各大酒店出现了。通过对用来掌控该网络间谍活动的C&C服务器日志研究后,安全研究人员发现其中的连接最早可以追溯到2009年1月1日。综上所述,我们可以得出这样的结论:此类网络间谍活动已存在了相当长的一段时间。 # Darkhotel# 间谍活动似乎已存在了数年之久。 入侵受害者个人电脑的主要手段是通过在许多亚洲豪华酒店的Wi-Fi网络。这些网络犯罪分子主要利用存在于Adobe Flash和知名供应商的其它流行产品中的零日漏洞实施攻击。此类漏洞难以察觉,且事实证明这些间谍活动背后有着雄厚的资金支持,如此才能买得起如此昂贵的”网络攻击武器”,或者也有可能参与这些网络间谍活动的代理人拥有极其深厚的专业背景。也有可能两种情况同时存在。 上述所介绍的植入间谍软件方法是使用最频繁的一种,但并不是唯一,从这些网络犯罪分子的攻击手段来看,他们很可能由酒店本身所雇佣。此外,还可选择通过torrent客户端散播木马病毒,比如嵌入到中文版的成人漫画中。 因此,这些网络间谍还会利用有针对性的网络钓鱼,以及向政府雇员和非营利组织发送受感染的电邮等方式展开攻击。 网络犯罪分子采用精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 除了利用零日漏洞以外,许多事实证明这些网络犯罪分子拥有高深莫测的洞察能力。他们甚至能够成功伪造安全凭证用于他们的恶意软件中。为了暗中监视受害者的通信渠道,网络犯罪分子采用了精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 令人惊讶的是,这些犯罪分子行事极其小心,并设计了许多方法以防范其恶意软件被侦测出来。首先,他们确保植入的病毒有相当长的一段’潜伏期’:木马病毒在入侵系统前,需要在C&C服务器内潜伏长达180天的时间。其次,一旦系统的语言改为韩语后,间谍程序即会自动销毁。 这些网络犯罪分子主要活动于日本、中国及台湾地区。卡巴斯基实验室能够侦测到在其它国家实施的网络攻击,就算犯罪分子离受害者所在国家距离遥远也能被侦测出。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel评论道:”在过去的几年中,一款被称为”Darkhotel”的强大间谍软件针对众多名人成功实施一系列的网络攻击,所使用手段和技术水平不是一般的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力,而所具有的其他优势足以随意利用受信任的商业网络,并将特定受害者类别作为攻击目标,其背后有着极强的商业策略目的。 The #Darkhotel espionage campaign: A story of unusual hospitality https://t.co/iXQykGmjwE — Eugene Kaspersky (@e_kaspersky)