威胁

就在昨天，卡巴斯基实验室中我最喜欢的一个部分—当然就是实验室本身–得到了进一步壮大，我们的首座欧洲研究中心正式成立了。对于那些始终奋战在对抗网络威胁最前线的“战士们”而言，这里将成为他们的家。在每一天临近结束的时候，这一全新的欧洲研究中不仅将有助于更好地保护欧洲用户，同时也包括全球其他地区的用户。

我们习惯于将IT安全概念分为两个不平等的类别进行讨论：硬件和受到高度重视的软件。硬件通常被认为相对安全和干净—而与之相反的是，软件常常遭受bug和恶意软件的危害。 这一评估体系已存在很长一段时间，但最近却显示出改变的迹象。负责管理各独立硬件部件的特定固件也变得愈加复杂起来，因此其漏洞更容易被利用。最糟糕的是，很多情况下现有威胁检测系统根本形同虚设。 为了进一步了解这一危险趋势，下面我们将介绍在如今PC电脑内近期所发现的5个最危险硬件漏洞。 #1. RAM 如果要列一个硬件威胁排行榜，毫无疑问DDR DRAM安全问题将排在首位，而且这个问题无法通过任何软件补丁予以解决。这个漏洞被冠以”Rowhammer”之名，但令人意想不到的是，该漏洞是由硅产业进步所造成的。 由于集成电路的几何结构不断变小，焊接在芯片上的临近硬件元件之间的距离也越来越近，竟然开始互相干扰。在如今的存储芯片内，一旦从临近的单元随机发出电脉冲，可能会导致记忆单元之间的自发性转换。 直到最近，这一现象无法适用于任何现实中通过PoC（概念验证）来利用漏洞（可能有助于网络攻击者获取对受影响PC电脑的控制）的观点才被广泛认可。然而，一支研究人员团队通过使用PoC，设法在总共29台笔记本电脑中的15台提高了系统权限。 这正是PoC的工作方式：为确保安全，只有指定程序或操作系统进程被允许更改RAM内的某个数据区块。简单地说，一些重要的处理功能被允许在”一座受到良好保护的建筑”内进行，而其它非信任的程序则全部被挡在”前门”的外面。 然而，事实证明如果有人门前重重地跺脚（即快速且高频地更改存储单元的内容），则这扇门的锁肯定会损坏。”门锁”如此不可靠的事实也只是最近才了解到的… 而基于更新标准的DDR4以及启用奇偶校验的RAM模块（成本更为昂贵）可抵御此类攻击。这是好消息。但坏消息是，很大一部分的现代PC电脑dom盘在上述提到的黑客攻击下极易受遭受黑客入侵，且没有任何解决方法。唯一可行的解决方案是更换所有RAM模块。 #2. 硬盘 既然我们谈到了RAM，那就不得不再提到硬盘的问题。正巧近期卡巴斯基受委托对Equation网络犯罪小组进行调查研究，我们才能得知硬盘内控制器固件可能含有大量有趣的”古董技术”。 例如，这些包含恶意软件模块的固件会夺取受感染PC电脑和运行的控制权，基本上都在’上帝模式’下进行。一旦遭受此类黑客攻击后，硬盘将遭受无法修复的损失：受到恶意代码感染的控制器固件会隐藏含有恶意软件的扇区，并阻止任何修复固件的尝试。即使格式化也无济于事：清除恶意软件的最可靠方法就是彻底销毁受黑客入侵的硬盘。 好消息是此类网络攻击不仅需要耗费很长时间，也需要支出不菲的成本。因此，绝大多数用户完全可以高枕无忧，无须担心自己的硬盘被黑客入侵。除了那些储存有宝贵数据的硬盘，但过高的攻击成本也让黑客们不得不三思而行。 #3. USB接口 占据我们排名榜第三位的是影响USB接口的漏洞（尽管有点过时但影响依然巨大）。但最近的新闻显示这一长久以来存在的bug似乎已得到修复。如你所知，最新的苹果MacBook和Google Pixel笔记本电脑均配备有万能USB端口，除了传输数据以外还可用于充电。 乍一看下并没有什么问题，最新的USB修正版是一种出色的接口统一方法。然而，通过USB连接任何设备都有可能存在一定的危险性。我们之前曾介绍过BadUSB，是于去年夏天发现的一个重要漏洞。 这一bug能让不法分子将恶意代码植入USB设备控制器（无论是拇指驱动器、键盘还是其它）。任何一款反病毒软件（包括功能最强大的产品）均无法检测出来。那些高度重视数据安全的用户应该听从itsec专家的建议：为了降低风险而不再使用USB端口。而对于最新的MacBook笔记本而言，这一建议毫无用处：因为不管怎么样，笔记本都是需要充电！ 怀疑论者可能会指出通过充电器植入恶意代码根本不可能（因为没有数据存储空间）。但这一’问题’可通过对充电器进行’强化’得以解决（早在两年前，就曾演示过通过充电器将恶意代码植入iPhone手机方法的PoC）。 在将恶意软件植入充电器后，黑客攻击者需要将”含有木马病毒”的充电器放置在公共区域；或在锁定攻击目标后，将原有充电器换成”含有木马病毒”的充电器。 #4. Thunderbolt接口 排名第4的是另一个接口漏洞，将Thunderbolt接口作为攻击目标。不幸的是，通过Thunderbolt连接设备也可能会产生危险。将Mac OS X产品作为攻击目标的单独PoC是于去年年末由安全研究人员Tremmel

卡巴斯基实验室在2014年3、4季度可谓顺风顺水：我们的解决方案在总共11个独立测试中荣获”最佳”称号（包括长期进行的几项独立测试）。 欧洲最畅销的计算机杂志-德国的《Сomputer Bild》杂志将2015年最佳安全套件的称号授予卡巴斯基安全软件2015。该杂志还特别列举了我们解决方案的几个主要优势：最佳的反病毒和网络保护，加上保护性能的最佳组合，以及最佳的易用性和占用资源最小。顺便说一下，卡巴斯基实验室产品已多年占据《Сomputer Bild》杂志测评的头把交椅。 没有产生误报的在线保护 在由AV Comparatives开展的为期4个月的动态测试期间，卡巴斯基安全软件检测出了99.4%的威胁，且没有发生一次误报。 这一测试主要对各种威胁的防范能力（用户尝试安装携带木马病毒的应用程序或在恶意网站上输入个人数据）以及误报数量（反病毒软件阻止与恶意软件十分相似的合法应用程序）进行测评。 在AV Comparatives的文件检测测试中，KIS（卡巴斯基安全软件）成功阻止了99.7%的威胁。当然，KIS在这两项测试中均获得了高分，也使得该产品获得了很高的评级。 在由丹尼斯技术实验室（Dennis Technology Labs）进行类似测试中，我们的许多解决方案均获得了最高分。我们的所有三款产品—卡巴斯基安全软件、和Kaspersky Endpoint Security for Business —均获得了AAA评级，并分别在家庭用户、小型企业以及企业领域荣获”最有效安全解决方案”的称号。 高性能 许多电脑游戏玩家担心反病毒软件会拖慢系统性能，尽管早在2013年的独立测试结果已经证明了大可不必担忧。而在2014年AV Comparatives进行的性能测试中，这一事实再一次得到验证。研究人员对电脑安装和不安装安全解决方案的各种情况均进行了测试。最终结果是，只安装卡巴斯基安全软件的电脑获得了97.7分的高分（满分100分）。 此外，在AV-test research lab于2014年进行的各项测试中，卡巴斯基实验室产品均得到了最高分，因此被授予“2014年最佳性能奖”。 在线交易保护 由MRG Effitas专家们进行的测试，主要测评对于专业金融威胁的防范能力，包括：广泛传播的能窃取网银登录凭证或阻挠在线支付服务兑换信息过程的恶意软件，以及现代僵尸网络测试等等。基于测试的结果，MRG Effitas证明卡巴斯基安全软件的安全解决方案能够针对在线交易提供有效保护。总共参与测评的17个安全解决方案中，仅有4个被证明有能力保护用户免于所有针对网银的威胁。 移动设备保护 在PC

随着游戏厂商不断推出各种MMORPG（多人在线角色扮演游戏）和网络游戏平台，吸引了大量网络犯罪分子蜂拥而入，都想凭借各自恶意攻击手段通过寻找新的赚取不法利益的途径。卡巴斯基实验室目前已知的针对网游恶意软件数量已超过460万种。的确相当”热门”，不是吗？ 你是否有想过这样一个问题，为什么很多人在日常生活中能够保持警觉，而一旦玩上游戏却完全失去自我控制并忽视安全准则？这一行为似乎有些奇怪，但却有其科学的解释。 “一旦进入’游戏模式’，我们的行为即会发生改变。’玩电脑游戏会影响人的情绪和认知系统。尽管我们对玩不同游戏的反应各不相同，但这些游戏都会影响着我们的体验以及现实生活中的行为。”维尔茨堡大学媒体心理学教授Frank Schwab解释道。 “玩家在现实中通常都能通过在游戏中的胜利体验到成功的愉悦—或许还有无所不能的感觉。这可能会导致危险的在线行为，比如玩家会从非法网站搜寻作弊工具。” Frank Schwab教授补充道。 许多玩家选择关闭反病毒解决方案的原因是：耗费游戏资源，同时玩家不惜一切代价要享受最高画质，其中就包括牺牲安全性。这正是为什么越来越多的网游玩家会成为网络犯罪分子所实施恶意软件和网络钓鱼攻击下的牺牲者。 黑客们常常通过一些秘密论坛出售受害人游戏账号，其中就有popular portal和marketplace Steam网站。你升级游戏角色所花费时间越长—对黑客们则吸引力越大。例如，一款流行RPG网游的高等级角色售价可达1万美元。 我们很容易就会失去宝贵的游戏角色。比如，从其他未知玩家那儿下载免费屏保就足以造成角色被盗。但如果你想将被盗账号追回却并不那么容易。可能在等待了数天甚至数周后，所追回的只有角色本身，所有道具装备都消失得一干二净。 此外另一个领域也存在危险：与用户账号绑定的信用卡。像诱惑玩家即将推出大型游戏的电邮（比如在圣诞节促销期间）很可能就是网络钓鱼，旨在窃取网银登录凭证和其它有价值信息。这些网络钓鱼邮件通常宣称提供大幅折扣或价格低廉的游戏道具。 有关索尼影业黑客入侵事件的风波还未散去。考虑到这并非是索尼首次遭受重大黑客入侵（还记得吗，在2011年的时候，整个索尼PS网络陷入瘫痪长达数月之久？）。既然一些大型企业都会遭受这样的重大损失，那对于我们普通用户更何谈安全保障。 与常规PC电脑安全准则几乎一样，同样有三条针对网游的基本安全准则： 谨防网络钓鱼并对不熟悉的玩家保持警惕。仔细检查通过所接受电邮内链接重定向的网站，以及即将打开文件的扩展名。 使用高强度和唯一密码。去年许多账号之所以被黑客入侵都是因为密码管理薄弱所致。当然，你也可以使用密码管理器。 不得关闭反病毒软件！如果还没有的话，安装一款出色的解决方案。对所有卡巴斯基用户还有一个特别提醒：这里你可以找到一份关于如何打开网游配置文件选项的操作指南，将能优化所有反病毒软件组件的设置。 请务必遵循这些基本安全准则并在玩网游时时刻保持安全！

本篇文章将是系列博文：《有关IT安全的错误观念》的开篇之作。相信我，接下来将有更多这一系列的文章。当然要介绍得面面俱到几乎不太可能，但在能力范围内，我还是会尽可能多地逐一介绍这方面的内容。 作为一个80后，我是看着《终结者》、《机械战警》、《战争游戏》、《黑客》、《少数派报告》、《银翼杀手》和《黑客帝国》这样的科幻电影长大的。这些影片无一不在告诉我们随着科技技术的不断发展，终有一天将超出我们的控制范围。当然我知道这些电影中的情节只是虚构而非真实的。尽管如此，在讨论IT安全的时候，我们仍然倾向于将如何保护我们自己免于未来威胁作为最大的议题。 无论是参加安全会议还是阅读相关安全文章和博客；每一个人似乎都将注意力放在如何发现或保护我们免于未知威胁。几乎每一家安全公司以及许多安全研究人员都在谈论APT（高级持续威胁）和有针对性的攻击。不要误解，这些威胁的确非常重要且值得讨论。然而，当你花些时间了解一下目前许多公司所存在的系统漏洞以及遭受黑客入侵的情况，你可能会注意到一个不同的问题。 Always keep your protection up-to-date!: https://t.co/ieDcJAs7Zp #KasperskyInternetSecurity pic.twitter.com/dWHsPhCt6e — Kaspersky Lab (@kaspersky) November 26, 2014 这一问题不仅仅是我们依然受到一些类似的安全老问题的困扰。在我与一些同行研究人员交流过程中，我深深感觉到许多极为重要的讨论话题并没有被谈及，只是因为这些话题有些过时且为大家所熟识（甚至在一些安全会议上）。 当提到非常有趣的工具、理念、技巧、诀窍和经验时，导致安全研究人员和技术专家们之间缺少对于这些问题的交流和分享。 作为安全研究人员，我们需要开始对所讨论的主题承担更多的责任感。我们在博客中所写的内容以及我们告诉人们的知识都相当重要。千万不要误解，我们仍然需要继续研究新出现和即将出现的威胁。 A fascinating story how @JacobyDavid hacked his smart home

昨天，一款名为WireLurker的全新系列恶意软件突然出现，让人猝不及防。该恶意软件能够感染运行苹果移动iOS平台的设备以及台式机的Mac OS X操作系统。网络安全公司Palo Alto Networks发现了这一威胁，并认为WireLurker可能会将与日俱增的苹果恶意软件带向一个全新领域。 近年来，专家不断警告人们要小心针对苹果系统的恶意软件潮即将来临，而狂热的果粉们则以同样夸张的方式回应称，苹果设备对恶意软件完全免疫。但和其他事物一样，现实情况总是介于两种极端说法之间：苹果恶意软件确实介于两者之间，但散播范围远不如Windows和安卓系统恶意软件如此之广。 “WireLurker被用于在麦芽地苹果商店中的467个OS X应用中植入木马病毒。麦芽地是中国地区的一家第三方Mac应用商店。”Palo Alto Networks的研究人员Claud Xiao说。”最近6个月，有467款受感染的应用被下载了356,104次，受影响用户可能达到数十万。” 卡巴斯基实验室的产品可以检测到这一威胁，并当作木马病毒Downloader.OSX.WireLurker.a予以拦截，所以您若使用的是卡巴斯基，则可完全安枕无忧。 须明确的一点是：虽然此威胁只感染了中国一个流行应用商店中的用户，但这并不意味着不会再散布到其他地方。 但有意思的是，WireLurker与之前大多数iOS威胁不同，它甚至能感染没有越狱的设备。这也是为什么Palo Alto Networks认为WireLurker很可能会成为苹果恶意软件发展过程中的分水岭的原因。但这只是五大原因中的其中一个原因。 其他四个原因分别是：WireLurker的传播规模相当之大，之前的苹果恶意软件系列与之相比可谓小巫见大巫；这是第二个能够通过USB攻击iOS设备的已知威胁（如通过USB接口插入Mac的iOS设备）；它能自动生成恶意应用；也是已知恶意软件中，第一个能感染出厂安装的iOS应用的病毒。 #WireLurker苹果#恶意软件感染#OSX设备，然后通过USB接口将自身复制到#iOS设备 WireLurker的工作方式如下：借助标准感染载体先感染Mac设备，然后等待用户通过Mac设备的USB端口连接iOS设备。一旦连接后，WireLurker即会在iOS设备上自动安装恶意程序。尤其是会搜寻三种常用应用 — eBay中国版、PayPal和一种流行的照片编辑器。恶意应用安装后，WireLurker会卸载这些应用的合法版本，而用恶意版本取而代之。 研究人员称，WireLurker还处于积极开发阶段，因此很可能会变化，目前还没法确定它的目的是什么。就在本文发布前不久，Palo Alto Networks告诉Threatpost说，苹果公司已迅速采取行动，撤销了WireLurkers的恶意证书，并且此病毒的作者们已经收手，不再继续恶意软件开发行动。 Palo Alto Networks提供了各种有关如何避免网络感染WireLurker的提示。其中大多数建议是针对企业的，但其中有些内容我们想再次强调，以保护您的设备： 1.运行反病毒软件并实时更新。 2.检查OS X操作系统的”系统偏好设置”>”安全性与隐私”，在”允许从以下位置下载的应用程序”中，选中”App

本月新闻综述：8月，全球顶级安全会议Black Hat和DEF CON大会在万众瞩目下隆重开幕；更加高级的持续性威胁在中国和世界其他地方出现；恶意软件正在利用webmail通信；索尼PS游戏机网络发生令人诡异的短暂中断事件。来自Threatpost和Brian Donohue和Chris Brook将在2014年8月版的卡巴斯基每日播客上与我们一道回顾本月所发生的精彩新闻事件。 补充阅读材料 随着Black Hat安全大会逐渐从仅针对企业层面的会议转变为与消费者息息相关的会议，因此您能在卡巴斯基每日新闻中读到更多与此有关的内容。如需了解相关背景，可阅读新闻事件回顾。Threatpost的编辑Dennis Fisher和Mike Mimoso以及我本人也记录了一些有关Black Hat安全大会前两日播客新闻的主要内容，将带您一同更深入了解本年度”安全夏令营”的详细情况。 在”斯诺登棱镜门事件”发生后，这几个月甚至一整年似乎正在形成一种趋势：那就是越来越多的互联网得到了加密。就在本月，这一趋势再次应验，雅虎承诺将在今年年底对所有邮件端对端进行加密的同时，Google也宣布将给予那些使用安全SSL连接的网站优先搜索权。本月放出了大量补丁，但其中最引人关注的要数微软修补fiasco的补丁。微软本次所发布的标准”周二补丁”对大量用户机器造成了破坏，不得不最终在本周早些时候又发布了一份最新通知。正如我在播客中提到但并未详细说明，Google发布了针对Chrome浏览器的两项更新，你可以在这里和这里读到。此外，苹果在本月也同样发布了一些补丁。 您可以在Threatpost更深入地了解本月有关APT（高级持续威胁）的调查结果，其中包括Turla间谍软件以及非法入侵Community Health Systems的中国黑客小组。除了有关Community Health Systems黑客入侵的文章以外，我们还在卡巴斯基每日新闻上对其破坏性以及这一事件对我们的影响进行了分析。 在恶意软件最前沿，你可以读到所有关于新恶意软件如何利用雅虎邮箱作为通信中心以及一种全新的主要基于网页的流氓反病恶意软件的新闻。您可查看Chris Brook有关Verizon坚信可使用二维码作为身份认证机制的报道，此外还为您带来了有关上周因DDoS攻击造成PS游戏机网络短暂中断事件背后的真相。 播客：@TheBrianDonohue和@BrokenFuses对2014年8月的安全与隐私新闻进行了回顾

金融诈骗仍是恶意软件感染计算机后可能会执行的最危险的一类活动。所谓的“网银木马“能够注入到用户与网银之间的通信，借此操纵用户资金，并使用户付款重定向到犯罪分子的银行帐户。为了应对这一威胁，大多数银行利用了一种叫”双重认证“的方法，此认证通常借助SMS来完成：用户试图在线转帐时，必须使用密码来核准交易，此外还有一个一次性密码（移动交易验证码）会以文本消息形式发送到用户的智能手机。而犯罪分子开发出了一种方案，能够感染用户的计算机和智能手机，同时窃取密码和交易验证码。这种方案最初由Zeus/ZitMo恶意软件duo引入，事实证明实施起来非常有效。最近针对安卓系统的恶意软件Faketoken运用了同样的概念。很不幸，此软件也能成功造成感染。在卡巴斯基实验室最近发布的《2014年一季度IT威胁发展状况》报告中指出，Faketoken在20大移动设备威胁排名（按流行程度）中位列13，占到所有感染事件的4.5%。 Faketoken的感染机制实际上非常令人感兴趣。犯罪分子利用社交工程来感染智能手机。在网银会话中，基于计算机的木马病毒利用网络注入把请求种子植入被感染网页中，在此网页中可下载据称是执行安全交易所必需的安卓应用，但实际上链接会转至Faketoken。移动威胁一旦搭载上用户的智能手机，犯罪分子就能利用基于计算机的木马来访问受害者的银行帐户，Faketoken支持木马收集交易验证码，并将受害者的资金转入自己的帐户。 Faketoken网银恶意软件攻击的手机遍及55个国家，包括德国、英国和美国。#卡巴斯基#报告 根据报告，大多数手机银行威胁都是在俄罗斯设计并最初应用的。在此之后，网络犯罪分子可能会在其他国家进行传播。Faketoken就是这样的一种程序。在2014年第一季度，卡巴斯基实验室检测到的攻击中涉及此威胁的就有55个国家，包括德国、瑞典、法国、意大利、英国和美国。要避免此危险，用户必须利用卡巴斯基安全软件多设备版进行保护，也就是说电脑和安卓智能手机上都要使用专用安全解决方案。

在四月一日愚人节这天遇到虚假网站的机率特别高。除了主流媒体开玩笑的头条外，还会遇到指向专门网站的链接，这些网站中不仅满是讽刺性新闻，甚至还有针对性的恶作剧。但是，有些网站建立的目的并不是为了开玩笑，而是为了盗用钱财。 讽刺性新闻 官方的讽刺类新闻已经有150年的历史了。其中首开先河的就是大名鼎鼎的马克•吐温。互联网的出现，为这类新闻注入了新的活力；现在，有许多网站只专注于主流媒体恶搞。此类讽刺性新闻网站很容易和正规网站混淆，因为他们外观都设计得很得体，严格遵循普通新闻网站的所有原则。 访问新闻网站时请检查地址栏。不要相信陌生网站的新闻文章。 全球最著名的讽刺新闻网站包括The Onion、The Spoof、The Borowitz report、World Daily News report和Private Eye。最后三个网站尤其”危险”，因为它们的名称并不会让人联想到内容是杜撰的；您必须依靠常理来判断到底是假新闻还是真新闻。The Borowitz report甚至就活跃在《纽约客》杂志的网站上。 许多网民是根据外表来判断假新闻的。别被愚弄了 – 在陌生网站上遇到的任何讽刺新闻或假新闻文章（取决于查看的内容）都会把你搞得精疲力竭，直到你去Google上核查过新闻真伪。 人物类新闻 这种恶作剧在21世纪的今天变得流行，也一直存在专门针对特定人物制造假新闻的制造机。制造机通常允许用户提供受害者姓名以及其他一些数据，从而创建出一条貌似可信的新闻，像”吃汉堡包餐增重100磅”、”向公共图书馆捐赠20 TB的黄色书刊”等等。 如果读到关于自己的新闻，那么几乎可以肯定是恶作剧。是不是恶作剧很容易判断 – 选择浏览器地址栏，删除”新闻”站点地址中的其他所有内容，只留下域名。此时最可能出现的情况是浏览器会转至一个输入表单，你可在其中输入内容来生成有关自己的假新闻。 资金类新闻 从更严重的方面来看，这类虚假网站是一年365天一天24小时不间断运行，危险程度极高。在此我说的是虚假网银、支付系统和金融机构。访问这些网站可能一开始会收到一封令人大吃一惊或报警电子邮件，内容类似于您所贷款已被批准；你的帐户中有可疑交易；你已收到一笔款项，你的卡已被冻结等。通常这封信里不会包含任何细节信息。要了解更多信息，你必须点击链接，在网银站点上输入你的姓名、密码，或许还要输入卡号。但有一些极小但非常重要的细节可供甄别真伪。链接会将页面转至虚假网站，而不是转向真正的网站。虽然页面看上去一模一样，但你输入的所有信息都会发给网络犯罪分子，而不是发给银行。这是目前横行的一种骗局，被称为网络钓鱼。行骗者还会假冒大型网上商店、预定网站、大型互联网公司（Facebook、Gmail、iCloud等）。 要确定钓鱼邮件和网站十分简单，只是要注意一些特定的细节： 网络钓鱼邮件中通常在你的姓名中不会包含正确的称呼语。 邮件不会含有帐户、卡号等任何具体信息。 邮件总是会含有一个链接，需要你点击来了解更多信息或解决问题。通常还会有一个威胁，表明如果不立即行动会有麻烦。