《安全周报》第37期: bugzilla的 bug信息外泄、Carbanak”卷土重来”以及利用С&C实施网络钓鱼

在我们爆炸性的热门新闻系列”Infosec news”的新一期中,我们将为您带来以下内容: Bugzilla遭黑客攻破给我们敲响了警钟:完全有必要设置高强度和唯一密码。 导致网络攻击者从各大金融组织窃取数百万美元的Carbanak黑客活动在欧洲和美国”卷土重来”。 卡巴斯基实验室研究发现了一种增强网络间谍C&C服务器隐秘级别的方法,可从”非常难以追踪”级别提高至”根本无法追踪”级别。 再次重申我们《安全周报》的编辑原则:每周Threatpost团队都会精心摘选三条当周要闻,并加上本人的辛辣评论。 Bugzilla的bug数据库遭黑客攻破 新闻。有关这一网络攻击的常见问题。 在上一期的《安全周报》中,我提出了所谓“负责任的信息披露”的问题,同时还列举了网络公司对披露所发现bug相关信息的不同意愿。有关Mozilla的bug追踪器遭黑客攻破的新闻可谓是这方面的完美范例:有时候隐藏存在漏洞的信息未尝不是好事。 显然这一问题并未得解决。在8月份,Mozilla发布了针对Firefox的补丁,并成功修复了存在于内置PDF查看器的bug。一名遭受漏洞利用的受害用户发现了这一bug并随即报告了该漏洞。这一网络攻击的切入点是特别设计的横幅广告,使得网络犯罪分子能窃取用户的个人数据。 我始终认为在开发人员编写补丁时,他们就已经意识到了bug。Bugzilla也含有关于该bug的信息,但却保存在系统的私用部分。上周所发生的状况证实了人们对非法访问的怀疑。事实上,Bugzilla并未被”黑客攻破’:只是网络攻击者发现了特权用户并在另一个受感染数据库找到了他的密码–而这各密码恰巧就是访问Bugzilla的密码。 结果是,网络攻击者早在2013年9月就成功访问了隐秘的bug数据库。在该网络攻击的常见问题中详细记载了在这一期间,黑客总共访问了185个bug的相关信息,其中53个bug极度危险。在网络犯罪分子非法访问数据库后,在被盗的bug清单中总共有43个漏洞打上了补丁。 在剩下信息遭泄露的bug中,其中有两个bug的信息在泄露一周内可能被打上了安全补丁;从理论上说,其中5个bug可能已被实施漏洞利用,因为在信息外泄后的一周到一个月内才发布了相关补丁。剩下的漏洞在过了335天后才发布了有针对性的补丁,在这期间总共被漏洞利用了131,157次。这是有关黑客攻击最可怕的新闻;然而,Mozilla开发者并没有’证据表明这些漏洞都已遭到漏洞利用。’在50多个bug中,只有一个曾遭到漏洞利用。 其中的道理很简单,我真的非常想登上高台大声疾呼:”朋友们!兄弟们,姐妹们!女士们,先生们!请务必对每个单独网络服务使用唯一密码!”然而,这并没有表面看上去的那么简单:此类方法肯定还要用到密码管理器。尽管可能你已经有了密码管理器,但你依然需要静下心来准确并彻底更改所有你使用频率较高的网络资源的密码,如果是全部网络资源的话当然更好。而来自我们的统计数据显示只有7%的人使用密码管理器。 全新Carbanak版本”卷土重来”,再次对美国和欧洲实施网络攻击 新闻。卡巴斯基实验室的2月份研究。CSIS更新研究。 我们将引用我们在2月份对’史上最严重数据盗窃’所发表的声明: “网络攻击者有能力将窃取的资金转移到他们自己的银行账户并立即篡改余额报表,这样可以防止该攻击被许多强大的安全系统发现。这一操作的成功是建立在网络犯罪分子对银行内部系统完全掌控的情况下。这也是为什么在成功攻破银行系统后,网络分子使用了大量情报技术以收集有关银行基础设施工作方式(包括:视频捕捉)的必要信息。” 在与执法机构的共同努力下,发现了多家银行因受到复杂且多层的Carbanak攻击而遭受资金损失,总金额达到10亿美元,且总共有超过100多家大型金融机构不幸成为受害者。但上述网络攻击发生在2月份,而在8月末的时候丹麦CSIS研究人员再次发现了Carbanak的全新改进版本。 新旧版本之间的区别并不大:只是将域名替换成了静态IP地址。至于数据盗窃所用的插件,与2月份使用的并无差异。 据CSIS称,新版本的Crabanak将攻击目标锁定为欧洲和美国的大型公司。 Turla APT攻击:如何借助卫星网络隐藏C&C服务器 新闻。另一篇新闻。研究。 包括卡巴斯基实验室研究专家在内的众多infosec研究人员长期对Turla APT网络间谍活动进行研究。去年,我们公布了针对黑客攻破受害人计算机、收集数据并发送至C&C服务器方法的极其详细的研究。 这一复杂的网络间谍活动每个阶段都需要用到许多工具,包括:借助零日漏洞利用受感染文档的’鱼叉式网络钓鱼’;病毒感染网站;根据攻击目标的复杂程度和数据临界性的各种数据挖掘模块(手动挑选);以及相当高级的C&C服务器网络。结果是,截止8月份,该网络间谍活动声称已在45个国家(欧洲和中东地区占了大部分)致使数百名用户不幸成为受害人。 就在本周,卡巴斯基研究人员https://twitter.com/stefant公布了该网络攻击最后一阶段的数据,也就是将盗窃数据发送至C&C服务器的时候。为了能进行数据挖掘,Turla像之前的许多APT黑客小组一样,使用了各种不同方法–比如,滥用防托管。而一旦将盗取数据发送到在特定服务器上托管的特定C&C,那无论网络犯罪分子设置何种代理,都极大可能会遭到执法机构逮捕或被服务提供商阻止。 而这时候就需要用到卫星网络。使用卫星网络的优势在于只要在卫星覆盖范围内,就可以在任何地点建立或移除服务器。但这里还有个问题:租用容量够用的双向卫星信道不仅租金昂贵,而且一旦踪迹被发现将很容易暴露服务器的位置。我们研究专家发现的攻击方法并未使用到租赁模式。 只需对卫星通信终端的软件稍加修改就能进行”卫星钓鱼”,不仅不会拒绝不属于任何特定用户的数据包,同时也会进行收集。结果是,”卫星钓鱼者”可能会收集到其他人的网页、文件和数据。这一方法只有在一种情况下有效:卫星信道并未加密。

在我们爆炸性的热门新闻系列”Infosec news”的新一期中,我们将为您带来以下内容:

  • Bugzilla遭黑客攻破给我们敲响了警钟:完全有必要设置高强度和唯一密码。
  • 导致网络攻击者从各大金融组织窃取数百万美元的Carbanak黑客活动在欧洲和美国”卷土重来”。
  • 卡巴斯基实验室研究发现了一种增强网络间谍C&C服务器隐秘级别的方法,可从”非常难以追踪”级别提高至”根本无法追踪”级别。

再次重申我们《安全周报》的编辑原则:每周Threatpost团队都会精心摘选三条当周要闻,并加上本人的辛辣评论。

Bugzillabug数据库遭黑客攻破

新闻。有关这一网络攻击的常见问题

在上一期的《安全周报》中,我提出了所谓“负责任的信息披露”的问题,同时还列举了网络公司对披露所发现bug相关信息的不同意愿。有关Mozilla的bug追踪器遭黑客攻破的新闻可谓是这方面的完美范例:有时候隐藏存在漏洞的信息未尝不是好事。

显然这一问题并未得解决。在8月份,Mozilla发布了针对Firefox的补丁,并成功修复了存在于内置PDF查看器的bug。一名遭受漏洞利用的受害用户发现了这一bug并随即报告了该漏洞。这一网络攻击的切入点是特别设计的横幅广告,使得网络犯罪分子能窃取用户的个人数据。

我始终认为在开发人员编写补丁时,他们就已经意识到了bug。Bugzilla也含有关于该bug的信息,但却保存在系统的私用部分。上周所发生的状况证实了人们对非法访问的怀疑。事实上,Bugzilla并未被”黑客攻破’:只是网络攻击者发现了特权用户并在另一个受感染数据库找到了他的密码–而这各密码恰巧就是访问Bugzilla的密码。

结果是,网络攻击者早在2013年9月就成功访问了隐秘的bug数据库。在该网络攻击的常见问题中详细记载了在这一期间,黑客总共访问了185个bug的相关信息,其中53个bug极度危险。在网络犯罪分子非法访问数据库后,在被盗的bug清单中总共有43个漏洞打上了补丁。

在剩下信息遭泄露的bug中,其中有两个bug的信息在泄露一周内可能被打上了安全补丁;从理论上说,其中5个bug可能已被实施漏洞利用,因为在信息外泄后的一周到一个月内才发布了相关补丁。剩下的漏洞在过了335天后才发布了有针对性的补丁,在这期间总共被漏洞利用了131,157次。这是有关黑客攻击最可怕的新闻;然而,Mozilla开发者并没有’证据表明这些漏洞都已遭到漏洞利用。’在50多个bug中,只有一个曾遭到漏洞利用。

其中的道理很简单,我真的非常想登上高台大声疾呼:”朋友们!兄弟们,姐妹们!女士们,先生们!请务必对每个单独网络服务使用唯一密码!”然而,这并没有表面看上去的那么简单:此类方法肯定还要用到密码管理器。尽管可能你已经有了密码管理器,但你依然需要静下心来准确并彻底更改所有你使用频率较高的网络资源的密码,如果是全部网络资源的话当然更好。而来自我们的统计数据显示只有7%的人使用密码管理器。

全新Carbanak版本”卷土重来”,再次对美国和欧洲实施网络攻击

新闻。卡巴斯基实验室的2月份研究。CSIS更新研究

我们将引用我们在2月份对’史上最严重数据盗窃’所发表的声明:

“网络攻击者有能力将窃取的资金转移到他们自己的银行账户并立即篡改余额报表,这样可以防止该攻击被许多强大的安全系统发现。这一操作的成功是建立在网络犯罪分子对银行内部系统完全掌控的情况下。这也是为什么在成功攻破银行系统后,网络分子使用了大量情报技术以收集有关银行基础设施工作方式(包括:视频捕捉)的必要信息。”

在与执法机构的共同努力下,发现了多家银行因受到复杂且多层的Carbanak攻击而遭受资金损失,总金额达到10亿美元,且总共有超过100多家大型金融机构不幸成为受害者。但上述网络攻击发生在2月份,而在8月末的时候丹麦CSIS研究人员再次发现了Carbanak的全新改进版本。

新旧版本之间的区别并不大:只是将域名替换成了静态IP地址。至于数据盗窃所用的插件,与2月份使用的并无差异。

据CSIS称,新版本的Crabanak将攻击目标锁定为欧洲和美国的大型公司。

Turla APT攻击:如何借助卫星网络隐藏C&C服务器

新闻。另一篇新闻研究

包括卡巴斯基实验室研究专家在内的众多infosec研究人员长期对Turla APT网络间谍活动进行研究。去年,我们公布了针对黑客攻破受害人计算机、收集数据并发送至C&C服务器方法的极其详细的研究

这一复杂的网络间谍活动每个阶段都需要用到许多工具,包括:借助零日漏洞利用受感染文档的’鱼叉式网络钓鱼’;病毒感染网站;根据攻击目标的复杂程度和数据临界性的各种数据挖掘模块(手动挑选);以及相当高级的C&C服务器网络。结果是,截止8月份,该网络间谍活动声称已在45个国家(欧洲和中东地区占了大部分)致使数百名用户不幸成为受害人。

就在本周,卡巴斯基研究人员https://twitter.com/stefant公布了该网络攻击最后一阶段的数据,也就是将盗窃数据发送至C&C服务器的时候。为了能进行数据挖掘,Turla像之前的许多APT黑客小组一样,使用了各种不同方法–比如,滥用防托管。而一旦将盗取数据发送到在特定服务器上托管的特定C&C,那无论网络犯罪分子设置何种代理,都极大可能会遭到执法机构逮捕或被服务提供商阻止。

而这时候就需要用到卫星网络。使用卫星网络的优势在于只要在卫星覆盖范围内,就可以在任何地点建立或移除服务器。但这里还有个问题:租用容量够用的双向卫星信道不仅租金昂贵,而且一旦踪迹被发现将很容易暴露服务器的位置。我们研究专家发现的攻击方法并未使用到租赁模式。

只需对卫星通信终端的软件稍加修改就能进行”卫星钓鱼”,不仅不会拒绝不属于任何特定用户的数据包,同时也会进行收集。结果是,”卫星钓鱼者”可能会收集到其他人的网页、文件和数据。这一方法只有在一种情况下有效:卫星信道并未加密。

Turla攻击采用了相同的方法,但只对一个地方稍作修改:网络攻击者在探测流量时,不仅需确认受害人IP地址,还需让受病毒感染的设备发送数据至属于合法、好意且未知的卫星通信终端拥有者的IP。

在实施网络攻击期间,黑客使用了特定通信端口,这些端口通常拒绝数据包,且普通系统往往也默认关闭这些端口。但探测流量的网络黑客却可能在不暴露自己位置的情况下劫持这些数据。

顺便提一下,老式的无线电话根本无法对语言流量进行加密,原因在于能在这一频段工作的接收设备价格都十分昂贵。但这已经是过去式了,没过多久各种全频段接收设备如’雨竹春笋般’冒了出来,且价格也相当适中。

这样的比较毫无必要,因为’专为Turla攻击设计’的数据挖掘和处理解决方案成本至少在数千美元。但卫星网络系统本身就存在固有缺陷,且能为网络攻击者所利用。到目前为止还未制定出关闭这一漏洞的行动计划,最终的结果依然不明确。

结果是,Turla的C&C服务器大概位置恰巧在卫星运营商的覆盖范围内:

但这里我们无法追踪到。

其它新闻:

另一种安卓勒索软件被发现,它能通过XMPP(可扩展通讯和表示协议)与C&C服务器通讯。聊天和其他即时通讯工具已被用于各种电脑恶意软件之间的通讯,因此这一新闻也证实了移动恶意软件采用了与电脑恶意软件相同的通讯方式,只是速度更快而已。

针对Google Chrome浏览器严重漏洞的另一系列安全补丁发布(我们建议用户更新浏览器并安装V45版本)。

希捷的无线硬盘被发现含有数个严重bug:通过远程登录即可进行无法加密访问,同时还能对root访问密码进行硬编码。这些bug相当危险,但我们在上周讨论路由器时已涉及了这一主题。警告:任何能生成Wi-Fi网络的设备都应受到严密保护。如今,各种设备均能生成Wi-Fi,即使照相机也不例外。

老话新提:

在运行无害的常驻型病毒时通常会感染后缀为.COM和.EXE的文件。(COMMAND.COM文件会遭到Lehigh病毒算法感染)。此外,该病毒还含有这样一段文字:”Dark Lord, I summon thee! MANOWAR”。(黑暗领主,我召唤了三名!战神。)

而极其危险的非常驻型病毒则通常感染现有目录中后缀是.COM的文件。自1990年8月起,根据时间的不同,该病毒可能会删除硬盘上随机两个扇区,并含有文字:”IRON MAIDEN”(铁娘子)。

 

引述自于1992年出版的《MS-DOS中的计算机病毒》第7075页,该书作者是尤金·卡巴斯基

免责声明:本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符,也可能相反。听天由命吧。

17世纪古老密码成为20世纪”无敌”密码基础的奥秘

无论是历史著作还是小说作品中引用的大多数密码均属于同一种密码—单字母替换密码。为此我们对这一加密方法的主要漏洞进行了深入研究,借助这一漏洞并通过分析符号的频率模式就有可能破译密码。而早在计算机出现以前就曾有人对此进行过评估。 在众多旨在弥补这一漏洞的密码中,维吉尼亚密码可谓是其中几个最著名且最有趣的一种。该密码被认为由17世纪的一名法国外交官发明,但事实上却是由另外两个毫不相干的人发明。有趣的是,布莱瑟•维吉尼亚并非他们(发明人)中的一个,他只是向当时的亨利三世提出了这个密码,而人们在19世纪开始将这一密码命名为”维吉尼亚密码”并沿用至今。 该密码最早见于莱昂•巴蒂斯塔所著的《Tractate on Ciphers》一书中。他因首先提出该密码理论而为人所知,这一理论随后也被运用到绘画中的直线透视图。该密码背后的构思非常简单,但却不仅将密码学推到了一个全新的高度,也催生了之后多字码密码的出现。 在多字码密码中,明文的每一个符号由密文的相应固定的符号替换—就好比在使用另一个字母表。其实无论替换符号是随机还是基于字母表中的特定移位值(比如凯撒密码),是用字母或数字还是任何其它符号,这些都并不重要。 在阿瑟•柯南•道尔爵士所著《跳舞的人》一书中有段关于这一密码的生动描述:”替代符号甚至还能使用象形图,但依然无法弥补该密码普遍存在的漏洞:任何人都可以对密文中所用关键词做一些假设、分析文本中特定符号的使用频率或换个办法进行猜测。 有人曾经尝试过—只是为了好玩—使用这一方法破译一封用替换编码方案写的电邮。事实上破译并不难,甚至无需特殊技能或较强的运算能力。 多字码密码则循环使用大量不同的替换字母表。维吉尼亚密码的编码模式如下:将凯撒密码作为基础,并编译出包含所有可能移位值的表格: 因此我们得出了26个不同替换字母表,现在我们需要决定替换原则。对下一个字母表做简单的改变(用新字母)会让密码变得更复杂些,而一旦采用关键短语的话,要想破解密码几乎变得不可能。 既然本文以古老故事开头,那我们就将”VINTAGE”作为我们的关键词。要想将像”THINK ABOUT”这样的短语译成密码,我们需要重复关键短语直至与明文的长度相匹配: 现在,我们用来替换的原文本各个符号位于:从关键词字母开始的行以及从明文字母开始的列。比如,我们用来替换第一个字母的符号位于T列和V行的交叉点–也就是”O”。 而破译则是完全相反的过程:先找到与关键词对应的行,再找到密码字母,随后写下标记了列的字母,最后得到明文。 神奇的是,阿尔伯蒂的最初构想是预设一个带旋转字母表环的特殊金属盘,而我们前面提到过的表格则是由另一个对该密码编制做出贡献的人提出。而有关这一密码盘的小册子(1446年发行)在美国南北战争期间被南方联邦所采用。 图片来源:维基百科 总而言之,该密码被誉为相当可靠,甚至数学家查尔斯•勒特威奇•道奇森都认为它’难以破译’,而《科学美国人》杂志也对该密码大加赞誉。而更多人知道的则是在这一基础上改进的’Gronsfeld密码’。两者之间的主要区别在于维吉尼亚密码的替换字母表数量限制在10各以内(根据数字的数量),且实际上关键词就是一个数字。 有趣的是,维吉尼亚密码在某些特定条件下容易被密码分析。通过对一些字符进行评估,可以确定密钥的长度,并通过分析用表格中相同行译成密码的字母行,任何人都能采用一种基于语言中特定字母的使用频率的标准方法。 率先在1854年对维吉尼亚密码修改版成功实施攻击的不是别人,正是计算机领域的先驱者查尔斯•巴贝奇,但9个月后另一名研究专家Friedrich Kasiski抢先发表了前者的研究方法。 尽管看上去有些奇怪,它的确有助于增强密码。其中一种方法是使用与文本本身长度相等的关键词,这样能让频率分析”无用武之地”。 然而,这种升级又带来了另一个漏洞:将易理解的文本作为关键短语使用能为密码专家提供一些有关密钥的统计信息,并能作为破译文本的线索使用。 但这也直接催生出此后对密码的改进–将随机序列符号用作关键词。 结果,这一构思被用到了一次性密码本(OTP)理念中。此类密码在变得’牢不可破’后,即被用到了民用和军事密码应用中。改天我们将为您带来这方面的内容。  

提示