交流中心

据外媒BleepingComputer报道，他们确认了Garmin已经收到解密密钥以此来恢复他们在WastedLocker勒索软件攻击中加密的文件。当地时间2020年7月23日，Garmin遭受了全球范围的中断，客户无法访问他们的连接服务，包括Garmin Connect、flyGarmin、Strava、inReach解决方案。 在员工们分享了加密工作站的照片后，BleepingComputer是第一个证实他们受到了WastedLocker勒索软件运营商网络攻击的公司。 http://hackernews.cc/wp-content/uploads/2020/08/0a7dc2defff5d65.jpg 之后，职工告诉BleepingComputer，勒索赎金要1000万美元。 Garmin则在服务中断了四天之后突然宣布他们开始恢复服务，这让人们怀疑他们是否通过支付赎金来获得一个解密器。 然而，Garmin拒绝就此做进一步评论。 确认：Garmin收到了一个WastedLocker的解密密钥 今日，BleepingComputer获得了一个由Garmin IT部门创建的可执行文件以解密工作站然后在机器上安装各种安全软件。 据了解，WastedLocker是一款针对企业的勒索软件，其加密算法没有已知的弱点。 为了获得能工作的解密密钥，Garmin必须向攻击者支付赎金。目前还不清楚支付了多少赎金，但正如之前所述，一名员工告诉BleepingComputer，最初的赎金要求是1000万美元。 当将该文件解压后可以…

据外媒ZDNet报道，在过去的一年里，“超大型”数据泄露事件的平均成本呈天文数字增长，受到此类安全事件影响的企业预计将支付高达3.92亿美元的费用。现在，数据泄露已经屡见不鲜，针对公司发起的网络攻击催生了一个新的网络保险行业，出现了针对未能保护数据的公司的监管和集体诉讼，以及新的法律–比如欧盟的GDPR–可以用来对安全性松懈的数据控制者进行重罚。http://hackernews.cc/wp-content/uploads/2020/08/f8833f113cd3d94.png 然而，数据泄露事件不断发生，其中一些导致消费者记录被盗，在地下论坛上出售，身份被盗风险增加。为了应对数据泄露的后果，企业可能需要花费资金修复系统和升级架构，可能需要投资新的网络安全服务和网络取证，还可能面临法律诉讼或监管部门的处罚–如果涉及客户PII，成本还在逐年增加。 周三，IBM发布了年度《数据泄露成本报告》，报告称，现在平均数据泄露成本为386万美元。虽然这一平均值与2019年相比下降了1.5%，但当涉及超过5000万条消费者记录时，这些 “超大型 “数据泄露事件的补救成本可能高达3.92亿美元，高于2019年的3.88亿美元。 如果一个组织担任4000万至5000万条记录的数据控制者，平均成本为3.64亿美元，组织可能会面临每条涉及数据被盗或泄露的消费者记录高达175美元的成本。这项研究由Ponemon研究所进行，包括对在过去一年中经历过数据泄露的公司工作的3200多名安全专业人士的采访。 正如最近的Twitter黑客事件所强调的那样，被泄露的…

黑莓方面宣布推出一个新的开源工具“PE Tree”，旨在减少逆向工程恶意软件所需的时间和精力。该公司表示，PE Tree 使得逆向工程师可以使用 pefile 和 PyQt5 在树状视图中查看可移植可执行（Portable Executable，PE）文件，从而降低了从内存中转储和重建恶意软件的门槛，同时提供了社区可以建立的开源 PE 查看器代码库。 PE Tree 还与 HexRays 的IDA Pro 反编译器集成在一起，从而可以轻松导航 PE 结构，以及转储内存中的 PE 文件并执行导入重建， 在识别和阻止各种恶意软件方面至关重要。 该工具采用 Python 开发的，并支持Windows、Linux 和 Mac 操作系统。它可以作为独立应用程序或 IDAPython 插件安装和运行，从而使用户可以检查任何可执行的 Windows 文件并查看其组成。 图 1 独立应用程序 图 2 IDAPython 插件 使用 Ero Carrera 的 pefile 模块分析 PE 文件，然后再映射到树视图中。在那里，用户可以查看 headers 的摘要，包括 MZ header、DOS stub、Rich headers、数据目录等。 此外，左侧的“rainbow view”提供了 PE 文件结构的高级概述，并传达了每个区域的 offset/size/ratio。用户可以单击每个区域以跳至树状视图，或者单击鼠标右键以保存到文件或导出到 CyberChef。 黑莓研究运营副总裁埃里克·米拉姆（Eric Milam）称：“随…

苹果今年早些时候修复了iOS和macOS中的一个安全漏洞，该漏洞可能允许攻击者未经授权访问用户的iCloud帐户。 IT安全公司Computest的安全专家Thijs Alkemade于2月发现了该漏洞，该漏洞存在于Apple实施的TouchID（或FaceID）生物识别功能上，该功能对用户进行了身份验证以登录Safari上的网站，特别是那些使用Apple ID登录的网站。 该漏洞通过披露程序将问题报告给Apple后，iPhone制造商在服务器端更新中解决了该漏洞。 认证缺陷 漏洞的核心主要是：当用户尝试登录需要Apple ID的网站时，将提示以使用Touch ID对登录进行身份验证。这样做会跳过两因素身份验证步骤，因为它已经利用了多种因素进行标识，例如设备和生物特征信息。 在登录到Apple域（例如“ icloud.com”）时，通常会使用ID和密码进行对比，其中网站嵌入了指向Apple登录验证服务器（“ https://idmsa.apple.com”）的iframe，来处理身份验证过程。 http://hackernews.cc/wp-content/uploads/2020/08/截屏2020-08-06下午1.48.40.png URL还包含其他两个参数-标识服务（例如iCloud）的“ client_id”和具有成功验证后要重定向到的URL的“ redirect_uri”。 但是，在使用TouchID验证用户的情况下，iframe的处理方式有所不同，因为它与AuthKit守护程序（akd）通信以处理生物识别身份验证，并…

一项新的研究确定了四种针对HTTP请求走私攻击的新变种，它们可以针对各种商用现成的Web服务器和HTTP代理服务器。 SafeBreach安全研究副总裁Amit Klein在8月5日的Black Hat安全会议上介绍了调查结果，他说，这种攻击突显了Web服务器和HTTP代理服务器仍然易受HTTP请求走私的影响（即使自首次记录以来已有15年）。 什么是HTTP请求走私？ HTTP请求走私（或HTTP异步）是一种用于干扰网站处理从一个或多个用户接收的HTTP请求序列的方式的技术。 当前端服务器（负载平衡器或代理）和后端服务器以不同的方式解释HTTP请求的边界时，通常会出现与HTTP请求走私有关的漏洞，从而使不良行为者发送（或“走私”）模糊请求，此优先于下一个合法用户请求。 请求的这种不同步可以被用来劫持凭据，向用户注入响应，甚至从受害者的请求中窃取数据，并将信息泄露给攻击者控制的服务器。 该技术首次展示于2005年一组来自Watchfire的研究人员，其中包括Klein，Chaim Linhart，Ronen Heled和Steve Orrin。但是在过去的五年中，已经设计了许多改进，在攻击面上进行了扩展，以将请求拼接成其他请求，并“获得对内部API的最大权限访问”，污染Web缓存，并破坏流行应用程序的登录页面。 新的威胁 Klein公开的新变体涉及使用各种代理服务器组合，包括在Web服务器模式下的Aprelium的Abyss，Microsoft IIS，Apache和Tomcat，以及在HTTP代理模式下的Nginx，Squid，H…

Linux 基金会宣布与多家硬件和软件厂商合作，共同成立了开源安全基金会(OpenSSF)，这是一项跨行业的合作，通过建立具有针对性的计划和最佳实践的更广泛的社区，并将领导者聚集在一起，以提升开源软件安全性。 OpenSSF 的成员来自核心基础设施联盟(Core Infrastructure Initiative)、GitHub 开源安全联盟和和其他创始董事会成员，例如 GitHub、Google、IBM、摩根大通、微软、NCC 集团、OWASP 基金会 和 Red Hat。其他创始成员还包括 ElevenPaths, GitLab, HackerOne, Intel, Okta, Purdue, SAFECode, StackHawk, Trail of Bits, Uber 和 VMware。 按照 OpenSSF 官网的介绍，基金会的治理、技术社区及其决策将是透明的，开发的任何规范和项目都将与供应商无关。OpenSSF 致力于与上游社区以及与现有社区的协作和合作，以提升开源安全性。也就是说他们旨在成为一个透明的组织，借此促进厂商之间的合作并提升安全性。 组织的正式成立包括设立一个理事会(Governing Board)，一个技术咨询委员会(Technical Advisory Council)，并对每个工作组和项目进行单独的监督。OpenSSF 打算举办多项开源技术计划，以支持世界上最关键的开源软件的安全性，所有这些都将在 GitHub 上公开进行。 最初的 OpenSSF 技术咨询委员会得到了来自 GitHub、谷歌、…

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/IkPC_bmZPclVM1Cs2PmyXw 腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。 一、概述 腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。不同以往的单一家族勒索攻击案例，经溯源后我们发现该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。两款病毒均无法解密，重复加密更是增加了解密难度。腾讯安全专家提醒企业注意防范，腾讯T-Sec终端安全管理系统与腾讯电脑管家均可查杀拦截此病毒。 攻击者同时携带了内网共享资源探测工具和进程对抗工具，在加密完成之后，还会清空系统日志，以隐藏入侵痕迹。系统中招后的勒索信息均要求受害者联系邮箱[email protected]购买解密工具。 在勒索病毒攻击加密范围不断扩大，加密方式越发变态的勒索攻击现状下，攻击者携带两款勒索模块可避免单一病毒易被安全策略拦截的风险。同时，攻击者存在重复使用2款勒索病毒对受害者文件进行重复加密的情况，进一步增加了文件解密…

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/NVm1jLRy8on0IdnK0ZOwwQ 腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request 钓鱼包，攻击者通过钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。腾讯安全威胁情报中心回溯本次软件供应链攻击事件，发现已有部分用户中招。 一、概述 8月5日，腾讯洋葱反入侵系统检测发现PyPI官方仓库被恶意上传了request 钓鱼包，攻击者通过钓鱼包实施窃取用户敏感信息及数字货币密钥、种植持久化后门、远程控制等一系列攻击活动。腾讯安全威胁情报中心回溯本次软件供应链攻击事件，发现已有部分用户中招。 当用户在安装requests包时，容易将名字打错为 request，结果会使用pip安装成request恶意包。由于requests库非常流行，下载量大，已有部分用户因错误输入包名而被感染。 由于国内开源镜像站均同步于PyPI官方仓库，所以该问题不仅会通过官方仓库，还可能通过各个开源镜像站影响更大范围。腾讯安全应急响应中心（TSRC）建议各开源镜像站以及对开源镜像站有依赖的公司尽快自查处理，确保清除恶意库，保障用户系统安全。 腾讯安全威胁情报中心已针对本次软件供应链攻击展开应急响应，腾讯安全系列产品均已上线对request恶意包的检测和拦截，具体响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）r…

北京时间8月4日早间消息，美国联邦贸易委员会（Federal Trade Commission）目前正在对Twitter公司进行调查，原因是该公司使用用户上传的电话号码，以投放广告。 Twitter周一在一份监管文件中称，上周收到了来自联邦贸易委员会的投诉草案，指控该社交媒体公司违反了2011年达成的一份和解协议。根据该协议，Twitter同意采取措施，更好地保护用户的个人数据。 这家总部位于旧金山的公司在监管文件中说，这项调查可能给公司带来1.5~2.5亿美元的损失。 Twitter在文件中说：“这件事仍未解决，目前还无法确定何时解决以及如何解决。” “在我们公布第二季度财报后，我们收到了联邦贸易委员会的投诉草案，指控我们违反了2011年的和解协议，”Twitter发言人说。 联邦贸易委员会发言人拒绝对此发表评论。 2011年，Twitter与联邦贸易委员会达成一项和解协议。根据该协议，在20年内，针对非公开型的消费者个人信息，Twitter被禁止“在这些信息的安全、隐私和保密程度方面误导消费者。” 用户经常会出于安全目的向Twitter提供其电话号码。Twitter在2019年证实，它正在使用这些电话号码，向用户投放广告。当时，Twitter表示，这些数字是“无意中”使用的，并补充说，它不知道有多少用户受到了影响。 监管文件显示，联邦贸易委员会指控该公司在“2013年至2019年期间”滥用用户电话号码或电子邮件，从而违反了和解协议条款。(樵风) （稿源：新浪科技，封面源自网络。）

广告拦截解决方案公司 AdGuard 指出，其于近期发现了 295 款 Chrome 恶意扩展程序。其特点是劫持谷歌和必应的搜索结果，并在其中插入广告。据悉，AdGuard 员工在研究一系列可从谷歌官方 Chrome 网上应用店中找到假冒广告拦截扩展的方法，同时也发现了一些冒充天气预报小部件或屏幕截图工具的恶意扩展。 http://hackernews.cc/wp-content/uploads/2020/08/截屏2020-08-07上午10.21.02.png 在 AdGuard 发现的恶意扩展中（245 / 295），大多数都是相当简单的实用工具。除了为 Chrome 的“新建标签页”应用自定义背景，并没有其它附加的用途。 不过在向 ZDNet 分享的技术分析中，AdGuard 表示其从所有这批恶意扩展程序中都发现了来自 fly-analytics.com 域加载的恶意代码，后续就是在谷歌和必应的搜索结果中偷偷注入广告。 http://hackernews.cc/wp-content/uploads/2020/08/9aac65524e690c9.png 在调查初期，AdGuard 列表中的 295 款恶意扩展，几乎都可以在 Chrome 网上应用店中看到，总计安装量已经超过了 8000 万。 庆幸的是，在 AdGuard 发布了一篇详细的博客文章、并与谷歌 Chrome 网上应用店团队取得联系之后，这批恶意扩展已经很快被下架。 http://hackernews.cc/wp-content/uploads/202…

为消除任何形式的信息泄露和安全风险，美国国家安全局（NSA）已将向雇员发出了“不应在其移动设备和其它小工具上启用位置数据”的提示。《华尔街日报》指出，NSA 希望雇员不要打开移动设备的定位服务，因其或被用于移动追踪和提供对敏感数据的访问。该机构甚至希望雇员关闭追踪已丢失设备的查找服务，同时必须禁用已安装应用的位置数据和广告权限，且不建议在网上浏览和分享位置信息。 http://hackernews.cc/wp-content/uploads/2020/08/截屏2020-08-07上午10.18.26.png NSA 内部指南写道：使用移动设备 —— 甚至仅仅是打开设备的电源 —— 都有暴露位置数据的风险。 移动设备对蜂窝网络和通讯服务提供商有着天生的依赖，并且会在每次连接网络时报送实时位置信息，这意味着服务提供商可以对用户展开大范围的追踪。 在某些情况下，比如 911 通话，此功能或许可以帮助挽救生命。但对位置信息敏感的人员来说，如果攻击者以某种方式影响或控制服务提供商，反而会招致不必要的风险。 除了智能手机，NSA 还警告对任何可提供位置数据的设备严加审视，比如智能手表。因为在任何地方发送和接收的无线信号，都会产生与移动设备类似的位置泄露风险。 当然，这并不是 NSA 首次对现代设备的定位技术产生日益增加的风险顾虑。过去两年，美国国防部就禁止员工使用任何具有位置追踪功能的设备，包括智能手机、智能手表、以及健身手环等。 有鉴于此，NAA 给出了最佳的安全风险控制建议 —— 在不使用设备的时候，最好将它们切换到飞行模式。…

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/ExBUifhDQTQEbU3sz7WNVA 腾讯安全威胁情报中心检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。攻击者通过SSH（22端口）爆破登陆服务器，然后执行恶意命令下载Muhstik僵尸网络木马，组建僵尸网络并控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程指令发起DDoS攻击。 一、概述 腾讯安全威胁情报中心检测到大量源自境外IP及部分国内IP针对国内云服务器租户的攻击。攻击者通过SSH（22端口）爆破登陆服务器，然后执行恶意命令下载Muhstik僵尸网络木马，组建僵尸网络并控制失陷服务器执行SSH横向移动、下载门罗币挖矿木马和接受远程指令发起DDoS攻击。 腾讯安全威胁情报中心经过用户授权，对此次攻击进行溯源分析，发现国内多家知名企业的云服务器均受到该僵尸网络攻击，目前已有上千台服务器沦陷受害。腾讯安全专家建议相关企业采取必要措施，拦截入侵者，恢复已失陷的系统。 腾讯安全系列产品已针对Muhstik僵尸网络采取应急响应措施，执行清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）Muhstik僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 …

在7月的第一周首次披露了两个F5 BIG-IP漏洞之后，我们继续监视和分析这些漏洞以及其他相关活动，以进一步了解其严重性。根据针对CVE-2020-5902发布的变通办法，我们找到了一个物联网（IoT）Mirai僵尸网络下载程序（由趋势科技检测为Trojan.SH.MIRAI.BOI），可以将其添加到新的恶意软件变体中进行扫描以暴露Big-IP盒。 本次发现的样本还尝试利用最新披露的未修补漏洞。建议系统管理员和使用相关设备的个人立即修补其各自的工具。 常规 如先前所报道，此安全漏洞涉及BIG-IP管理界面中的远程代码执行（RCE）漏洞，即交通管理用户界面（TMUI）。在分析了已发布的信息之后，我们从Apache httpd的缓解规则中注意到，利用此漏洞的一种方法是在URI中包含一个包含分号字符的HTTP GET请求。在Linux命令行中，分号向解释器发送命令行已完成的信号，这是漏洞需要触发的一个字符。 … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1286/ 消息来源：TrendMicro，译者：叶绿体。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在充满变化和不确定的世界里，有些事情总是年复一年地进行着。这已经是第15份数据泄露成本报告了，由Ponemon研究所进行研究，IBM Security机构发布。通过提供安全事件可能对组织造成的财务影响的详细视图、历史数据揭示了数据泄露的原因和未来趋势。 今年的研究分析了2019年8月至2020年4月之间524个数据泄露事件，涉及17个地区和17个行业的各种规模的组织机构。2020年数据泄露成本报告似乎和以前一样，没有很大的起伏，包括全球数据泄露总成本，2020年平均为386万美元，比2019年研究下降约1.5％，但基本与往年持平。2020年研究中发现并修复数据泄露的平均时间为280天，几乎与2019年的平均279天相同。 然而，2020年也是不平凡的一年。许多组织因为新冠疫情已转向远程工作模式。根据《 2020年数据泄露成本报告》中的调查结果，组织转移到远程工作的受访者中有76％希望在家工作可能会增加数据泄露发现和修复的时间。此外，70％的受访者预计远程工作可能会增加数据泄露的成本。 这项报告真正的价值不仅仅是提供一个成本数据，更多的是了解影响成本的因素，这对于企业来说，是更有参考价值的，企业可以根据这些做出调整。 每年Ponemon 研究所都要求参与组织估算数百种影响数据泄露的成本，这些因素从业务损失到检测和响应活动，再到通知活动等等。为了适应不断变化的业务需求、新技术和新威胁，今年这份报告探讨了以前尚未涉及的因素，包括各种类型的威胁、组织因素和安全措施。 今年，该研究增加了对漏洞测试和红队测试的成本影响的分析，该分析…

TeamViewer官方发布消息说最近修复了一个漏洞，该漏洞可能使攻击者悄悄地建立与您计算机的连接并进一步利用该系统。漏洞编号: CVE-2020-13699，该漏洞影响TeamViewer版本：8,9,10,11,12,13,14,15。 国家信息安全漏洞库地址: http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1701 http://hackernews.cc/wp-content/uploads/2020/08/39f5de3c2028050.png 风险等级: 8.8 高危 典型的本地权限提升漏洞 攻击者只需要构造一个特定的连接隐藏在恶意网页里.安装了Teamviewer的电脑浏览到该网页即可触发漏洞. http://hackernews.cc/wp-content/uploads/2020/08/3d5a0379ea4e237.png 上图为CVE-2020-13699 PoC演示，在网页里使用一段不可见的iframe代码会启动TeamViewer Windows桌面客户端并迫使其打开远程SMB共享，也就是说攻击者无需知道TeamViewer的密码，该漏洞将自动把受害机的系统会话权限自动通过身份验证并获得权限. Windows在打开SMB共享时将执行NTLM身份验证，并且可以转发该请求（使用诸如响应程序之类的工具）以执行代码（或捕获该请求以进行哈希破解）。 漏洞覆盖版本: teamviewer10 teamviewer8…

高通和联发科生产制造的Wi-Fi芯片被曝受漏洞影响，这一漏洞似乎是今年2月披露的Kr00k高危漏洞变体。 今年2月，ESET安全研究专家曝光新型Wi-Fi高危漏洞Kr00k，漏洞编号为CVE-2019-15126，影响了博通和赛普拉斯制造的Wi-Fi芯片，影响了全球数十亿台设备。 攻击者利用该漏洞进行远程攻击操作，当用户利用受感染的设备隔空传输数据时，攻击者可以拦截并解密用户的无线网络数据包。甚至攻击者无需连接目标用户的无线网络，只要利用该漏洞即可入侵用户设备。用户使用WPA2个人版、WPA2企业版和AES-CCMP加密的设备，这些容易为黑客所利用。 专家指出这一漏洞不是存在于Wi-Fi加密协议中，相反，主要还是在一些芯片实施加密的方式上出了问题，而且利用该漏洞攻击TLS保护的通信，会造成其无法恢复的后果。 然而，这一漏洞不会影响使用WPA3协议的设备。博通和赛普拉斯都发布了针对这一漏洞的安全补丁。其中，受该漏洞的产品包含亚马逊、苹果、华硕、华为、谷歌三星和小米的设备。 高通、雷凌、Realtek和联发科的Wi-Fi芯片不受Kr00k问题的影响，但是ESET专家发现它们似乎受到了Kr00k变体的影响。 影响高通的Wi-Fi芯片的漏洞编号为CVE-2020-3702，攻击者攻击者可以通过伪造管理帧来触发disassociation状态进而窃取数据。和Kr00k攻击不同的是攻击者无法访问加密数据，因为这一过程没有使用单个零密钥进行加密。 当客户端设备与AP建立连接时，初始阶段叫做association。Associati…

Barracuda Networks称，越来越多网络犯罪分子，利用在Gmail和AOL等合法平台上注册的帐户来进行BEC攻击。 BEC攻击影响了成千上万个组织 Barracuda的研究人员在最新的报告中发现：6170个使用Gmail，AOL和其他电子邮件服务的恶意帐户，造成了100,000多次BEC攻击。这些攻击影响了近6,600个组织。 而且，自4月1日以来的“恶意帐户” 攻击量，是检测到的BEC攻击总量的45％。 通常，网络罪犯使用恶意帐户来假冒员工或可信赖的合作伙伴，并发送与被冒充者本人非常相似的消息来诱骗其他员工泄漏敏感信息或转账。 Gmail是网络犯罪分子的首选方式 Gmail是这些恶意帐户首选的电子邮件服务，该方式的使用率占网络犯罪分子所有电子邮件使用中的59％。雅虎是第二受欢迎的方式，占比6％。 研究人员还观察到，有29％的恶意帐户的使用时间少于24小时。这有可能是网络犯罪分子为了避免电子邮件平台的检测，他们通常是经过长时间休息后又重新使用电子邮件地址进行攻击。 如何避免此类攻击 Barracuda的研究人员通过对6,600个组织的攻击事件进行分析发现，在许多情况下，网络犯罪分子使用相同的电子邮件地址来攻击不同的组织。每个恶意帐户攻击的组织数量范围，从一个到256个不等。一个恶意帐户发送的电子邮件攻击的数量在1到600多封电子邮件之间，平均仅为19。 事实上，免费设置Gmail之类的电子邮件服务可以让任何人建立潜在的BEC攻击恶意帐户。为了使自己免受这种威胁的侵害，各组织需要自己进行防御保护，如：在电子邮…

高通公司已经证实在他们的智能手机芯片组中发现了一个巨大的缺陷，使手机完全暴露在黑客面前。该漏洞由Check Point安全公司发现，大量Android手机中的Snapdragon DSP的缺陷会让黑客窃取数据，安装难以被发现的隐藏间谍软件，甚至可以彻底将手机损坏而无法使用。 了解更多漏洞细节： https://www.defcon.org/html/defcon-safemode/dc-safemode-speakers.html#Makkaveev https://blog.checkpoint.com/2020/08/06/achilles-small-chip-big-peril/ Check Point在Pwn2Own上公开披露了这一缺陷，揭示了内置高通骁龙处理器手机中的DSP的安全性设定被轻易绕过，并在代码中发现了400处可利用的缺陷。 出于安全考虑，cDSP被授权给OEM厂商和有限的第三方软件供应商进行编程。运行在DSP上的代码由高通公司签署。安全机构成功演示了Android应用程序如何绕过高通公司的签名并在DSP上执行特权代码，以及这会导致哪些进一步的安全问题。 http://hackernews.cc/wp-content/uploads/2020/08/89140616b11aae2.png Hexagon SDK是官方为厂商准备DSP相关代码的方式，其SDK存在严重的bug，导致高通自有和厂商的代码存在上百个隐性漏洞。事实上，几乎所有基于高通的智能手机所嵌入的DSP可执行库都会因为Hexagon SD…

Threat Post 报道称：基于 Chromium 内核的浏览器被曝存在一个可被绕过的内容安全策略（简称 CSP）漏洞，导致数十亿用户易被攻击者窃取数据和执行恶意代码。PerimeterX 网络安全研究人员 Gal Weizman 指出，该漏洞（CVE-2020-6519）可在 Windows、Mac 和 Android 版 Chrome 浏览器，以及 Opera 和 Edge 中找到。 http://hackernews.cc/wp-content/uploads/2020/08/073c3e7c55a07d5.png （来自：PerimeterX） 如果你仍在使用 2019 年 3 月发布的 Chrome 73、以及 2020 年 7 月前的 Chrome 83，还请尽快更新至已修复 CVE-2020-6519 漏洞的 Chrome 84 。 据悉，作为一项 Web 标准，内容安全策略（CSP）旨在阻止某些类型的攻击，比如跨站脚本（XSS）和数据注入（data-injection）。 CSP 允许 Web 管理员指定浏览器可执行脚本的有效源范围，以便兼容该标准的浏览器仅执行可信来源的脚本加载操作。 http://hackernews.cc/wp-content/uploads/2020/08/e100973e48952b6.png 浏览器易受攻击，但网站并不这样。 Weizman 在周一发布的研究报告中指出：“CSP 是网站所有者用于执行数据安全策略、以防止在其网站上执行恶意影子代码的主要方法，因而当其绕过浏览…

网络安全服务提供商Char49的安全研究员Pedro Umbelino，在三星的“查找我的手机”功能中发现了多个漏洞，这些漏洞可能被集中利用在三星Galaxy Phone上执行各种恶意活动。 “查找我的手机”软件包中存在多个漏洞，最终可能导致智能手机用户完全丢失数据（恢复出厂设置），包括实时位置跟踪，电话和短信检索，电话锁定，电话解锁等。用户在设备的Web应用程序上执行的所有操作，都可能被恶意应用程序滥用。执行这些操作的代码路径涉及多个链接起来的漏洞。 “查找我的手机”功能可以支持三星硬件设备的所有者找到丢失的手机，还可以远程锁定设备，阻止他人访问三星支付并彻底格式化设备内容。不过，该功能中有四个漏洞，这些漏洞可以可能被安装在设备上的，仅需访问SD卡的恶意应用所利用。 通过访问设备的SD卡，应用程序可以触发攻击链中的第一个漏洞，然后创建一个文件，攻击者可使用该文件来拦截与后端服务器的通信。 成功利用此漏洞，黑客可以让恶意应用执行“查找我的手机”功能所支持的相同操作，包括强制恢复出厂设置，擦除数据，定位设备，访问电话和消息以及锁定和解锁电话等。此漏洞很容易被利用，从而对用户造成严重影响，并可能造成灾难性影响：通过电话锁定永久拒绝服务，通过出厂重置彻底丢失数据（包括SD卡），通过IMEI和位置跟踪以及呼叫和SMS日志访问。 专家解释说，漏洞利用链可在未安装补丁的三星Galaxy S7，S8和S9 +设备上运行。 有观点认为，“查找我的手机”应用程序不应该有公开可用且处于导出状态的任意组件。如果其他软件包调用了这些组件，则应使用…