标记为“恶意软件”的条目

第1页,共47页

司法部捣毁了911 S5僵尸网络

美国司法部已经已拆卸一个巨大的僵尸网络:

根据5月24日公布的起诉书,从2014年到2022年7月,王和其他人被指控制造和传播恶意软件,以危害和聚集全球数百万家用Windows计算机网络。这些设备与1900多万个独特的IP地址关联,其中包括位于美国的613841个IP地址。然后,王通过向网络犯罪分子提供这些受感染IP地址的访问权而获得了数百万美元的收入。

[…]

这次行动是由美国、新加坡、泰国和德国执法部门牵头的多机构协调行动。特工和官员搜查了住宅,查封了价值约3000万美元的资产,并确定了价值约为3000万美元可没收的其他财产。该行动还查封了23个域名和70多台服务器,这些域名和服务器构成了王之前的住宅代理服务以及该服务最近的体现。通过夺取与历史上的911 S5相关的多个域名,以及与重建服务直接相关的几个新域名和服务,政府成功终止了王通过其新成立的服务Clourouter.io进一步伤害个人的努力,并关闭了现有的恶意后门。

僵尸网络的创建者和运营商王云和在新加坡被捕。

三个 新闻 条款.

发布于2024年6月7日上午7:04查看评论

对恶意软件使用合法的GitHub URL

有趣的社会工程攻击向量:

McAfee发布了一份关于新的LUA恶意软件加载程序通过一个看似合法的Microsoft GitHub存储库(用于“Windows、Linux和MacOS的C++Library Manager”,即vcpkg(vcpkg).

攻击者正在利用GitHub的属性:特定repo的注释可以包含文件,这些文件将与URL中的项目相关联。

这意味着有人可以上传恶意软件并将其“附加”到合法且可信的项目。

由于该文件的URL包含创建评论的存储库的名称,并且几乎所有软件公司都使用GitHub,因此该漏洞可以让威胁参与者开发出非常狡猾和可信的诱饵。

例如,威胁参与者可以将可执行的恶意软件上传到NVIDIA的驱动程序安装程序回购这假装是一个新司机在一款流行游戏中解决问题。或者威胁参与者可以在评论中上传一个文件到谷歌Chromium源代码并假装它是web浏览器的新测试版本。

这些URL似乎也属于该公司的存储库,使其更加可信。

发布于2024年4月22日上午11:26查看评论

XZ实用程序中的后门即将发生

上周,互联网躲过了一次重大的民族国家攻击,这将对全球网络安全产生灾难性影响。这是一场没有发生的灾难,所以不会引起太多关注,但应该引起关注。有一个重要的道德袭击的故事及其发现:全球互联网的安全依赖于无数模糊的软件,这些软件由更模糊的无偿、分散注意力、有时甚至脆弱的志愿者编写和维护。这是一种无法维持的情况,而且正被恶意行为者利用。然而,几乎没有采取什么补救措施。

程序员不喜欢做额外的工作。如果他们能找到已经编写好的代码来做他们想做的事情,他们会使用它,而不是重新创建功能。这些代码库(称为库)位于GitHub等站点上。有各种各样的库:以3D显示对象、拼写检查、执行复杂数学、管理电子商务购物车、在Internet上移动文件等。图书馆对现代编程至关重要;它们是复杂软件的构建块。他们提供的模块化使软件项目易于处理。您所使用的一切都包含几十个这样的库:一些是商业的,一些是开源的,并且是免费的。它们对成品软件的功能至关重要。还有它的安全。

你可能从来没有听说过一个名为XZ Utils的开源库,但它在数亿台计算机上。它可能在你的身上。它当然存在于你使用的任何公司或组织网络中。它是一个免费的库,可以进行数据压缩。这很重要,就像数百个其他类似的晦涩难懂的库一样重要。

许多开源库,如XZ Utils,都是由志愿者维护的。在XZ Utils的案例中,只有一个人,名叫Lasse Collin。自2009年撰写以来,他一直负责XZ Utils。而且,至少在2022年,他已经有了一些“长期的心理健康问题。“(要明确的是,他在这个故事中不应受到指责。这是一个系统问题。)

至少从2021年开始,科林个人目标。我们不知道是谁,但我们有帐户名:贾坦、吉加·库马尔、丹尼斯·恩斯。他们不是真名。他们迫使科林转移对XZ Utils的控制权。2023年初,他们成功了。Tan花了一年时间慢慢地将后门整合到XZ Utils中:禁用可能发现其行为的系统,奠定基础,并最终在今年早些时候添加完整的后门。3月25日,Hans Jansen(另一个假名)试图推动各种Unix系统升级到XZ Utils的新版本。

每个人都准备这么做。这是例行更新。在几周内,它将成为Debian和Red Hat Linux的一部分,它们运行在绝大多数Internet上服务器的数量。但3月29日,另一位无偿志愿者安德烈斯·弗雷德(Andres Freund)发现,新版本XZ Utils的处理量有点奇怪,他是一位真正为微软工作的人。这类事情很容易被忽视,甚至更容易被忽视。但不管出于什么原因,弗伦德追查到了这件怪事发现后门。

这是一个杰作它影响SSH远程登录协议,基本上是通过添加需要特定密钥才能启用的隐藏功能。拥有该密钥的人可以使用后门SSH在目标机器上上传和执行任意代码段。SSH以root身份运行,因此代码可以执行任何操作。让你的想象力尽情发挥。

这不是一个黑客所能想到的。这个后门是一年工程努力的结果。代码以源代码形式逃避检测的方式,它是如何处于休眠状态,直到激活时才被检测到,以及它的强大功能和灵活性,都让人们相信了一个普遍持有的假设,即背后是一个主要民族国家。

如果没有被发现,它可能最终会出现在互联网上的每一台计算机和服务器上。虽然还不清楚后门是否会影响Windows和macOS,但它在Linux上会起作用。记得2020年,当俄罗斯种植通往太阳风的后门影响了14000个网络?这看起来很多,但这会造成更大数量级的破坏。再次,灾难之所以得以避免,仅仅是因为一名志愿者偶然发现了这一点。而这一点之所以可能,首先是因为第一位无偿志愿者,一位后来被证明是国家安全单点失败者的人,被一位外国演员以个人为目标并加以利用。

这不是运行关键国家基础设施的方法。然而,我们到了。这是对我们的软件供应链。此攻击破坏了软件依赖关系。SolarWinds攻击的目标是更新过程。其他攻击以系统设计、开发和部署为目标。这种袭击越来越常见和有效,也越来越成为民族国家选择的武器。

无法计算我们的计算机系统中有多少单点故障。而且,无法知道有多少关键软件库的无偿和未经认可的维护者容易受到压力的影响。(再一次,不要责怪他们。责怪那些乐于利用他们的无偿劳动的行业。)或者还有多少人无意中创造了可利用的漏洞。还有多少其他胁迫行为正在进行?十几个?一百?XZ Utils操作似乎不可能是唯一的实例。

解决方案很难。禁止开源是行不通的;正是因为XZ Utils是开源的,工程师才及时发现了这个问题。禁止软件库也行不通;现代软件离不开它们。多年来,安全工程师一直在推动一种叫做“软件BOM表“:各种成分的列表,这样当其中一个软件包被破坏时,网络所有者至少知道自己是否容易受到攻击。行业憎恨这个想法,多年来一直在反对,但也许潮流正在转向.

根本的问题是,科技公司不喜欢花额外的钱,甚至比程序员不喜欢做额外的工作还要多。如果有免费软件,他们会使用它,并且不会做太多内部安全测试。更容易的软件开发等于更低的成本等于更多的利润。市场经济回报了这种不安全感。

我们需要一些可持续的方式来资助那些成为事实上关键基础设施的开源项目。公开羞辱可以在这方面有所帮助。这个开源安全基金会(OSSF)成立于2022年,此前在开源库Log4j中发现了另一个关键漏洞,解决了这个问题.大型科技公司承诺3000万美元在关键的Log4j供应链漏洞之后,他们一直没有交付资金。他们仍然乐于利用所有这些免费的劳动力和资源微软最近的轶事表示。从这些免费提供的图书馆中受益的公司实际上需要加大力度,政府可以强迫他们这样做。

如果公司愿意花钱的话,有很多技术可以用来解决这个问题。负债会有所帮助。网络安全和基础设施安全局(CISA)的“设计安全”倡议将有所帮助,CISA最终与OSSF合作关于这个问题。当然,这些图书馆的安全需要成为任何广泛的政府网络安全倡议的一部分。

这次我们非常幸运,但也许我们可以从没有发生的灾难中吸取教训。与电网、通信网络和运输系统一样,软件供应链关键基础设施是国家安全的一部分,易受外国袭击。美国政府需要认识到这是一个国家安全问题,并开始将其视为国家安全问题。

这篇文章最初出现在法律费用.

发布于2024年4月11日上午7:01查看评论

XZ Utils后门

上周,网络安全世界真的很幸运。XZ Utils是一个开源压缩实用程序,它有意设置了后门意外发现的在它被并入Debian和Red Hat Linux之前,微软的一名工程师对此表示怀疑。发件人ArsTehnia公司:

XZ Utils 5.6.0和5.6.1版中添加的恶意代码修改了软件的工作方式。后门操作了用于进行远程SSH连接的可执行文件sshd。任何拥有预定加密密钥的人都可以将自己选择的任何代码隐藏在SSH登录证书中,上传并在后门设备上执行。没有人真正看到上传的代码,所以不知道攻击者计划运行什么代码。理论上,该代码可以允许任何操作,包括窃取加密密钥或安装恶意软件。

这是一个极其复杂的后门安装它是一个多年的过程,似乎涉及社会的 工程负责公用事业的唯一一名无薪工程师。来自ArsTechnica的更多信息:

2021年,用户名为JiaT75的人第一次已知提交到一个开源项目。回想起来,对libarchive项目的更改是可疑的,因为它用一个长期以来被认为不太安全的变量替换了safe_fprint函数。当时没有人注意到。

第二年,JiaT75在XZ Utils邮件列表上提交了一个修补程序,几乎立刻,一位从未见过的参与者Jigar Kumar加入了讨论,并辩称XZ Uils的长期维护者Lasse Collin没有经常或足够快地更新软件。Kumar在Dennis Ens和其他几位从未出现在名单上的人的支持下,向Collin施压,要求其聘请一名额外的开发商来维护该项目。

还有很多。开发和将其纳入软件项目的过程的复杂性让民族国家的运作惊叹不已。这让人想起太阳风,尽管(1)情况会更糟,(2)我们真的非常幸运。

我根本不相信这是唯一一次试图从后门溜进关键互联网软件的尝试,无论是封闭源代码还是开放源代码。鉴于我们很幸运地发现了这一次,我相信这种手术在过去是成功的。我们必须停止建设我们至关重要的国家基础设施在的顶部由孤独的无偿分散注意力或担忧的个人管理的随机软件库。

发布于2024年4月2日下午2:50查看评论

LLM Prompt Injection蠕虫

研究人员已经论证通过迅速注射传播的蠕虫。细节:

在一个例子中,研究人员充当攻击者,写了一封电子邮件,其中包括对抗性文本提示,该提示使用检索增强生成这是LLM从其系统外部引入额外数据的一种方式。Nassi说,当RAG检索到电子邮件以响应用户查询,并将其发送到GPT-4或Gemini Pro以创建答案时,它会“破解GenAI服务”,最终窃取电子邮件中的数据。Nassi说:“当生成的包含敏感用户数据的响应用于回复发送给新客户端的电子邮件,然后存储在新客户端的数据库中时,它会感染新主机。”。

研究人员说,在第二种方法中,嵌入恶意提示的图像使电子邮件助理将消息转发给其他人。Nassi说:“通过将自我复制提示编码到图像中,任何包含垃圾邮件、滥用材料甚至宣传内容的图像都可以在最初的电子邮件发送后转发给新客户。”。

这是快速注射的自然延伸。但看到它真正起作用还是很好的。

研究论文:“ComPromptMized:释放针对GenAI驱动应用程序的零点击蠕虫.

摘要:在过去的一年里,许多公司将生成人工智能(GenAI)功能纳入了新的和现有的应用程序中,形成了由GenAI服务驱动的半/完全自主代理组成的互联生成人工智能生态系统。虽然正在进行的研究强调了与GenAI代理层相关的风险(例如,对话中毒、成员推断、即时泄漏、越狱),但一个关键问题浮现出来:攻击者能否开发恶意软件来利用代理的GenAI组件并对整个GenAI生态系统发动网络攻击?

本文介绍了莫里斯二世,第一个旨在通过使用对抗性自我复制提示研究表明,攻击者可以将此类提示插入到输入中,当GenAI模型处理这些输入时,会提示模型将输入复制为输出(复制),从而参与恶意活动(有效负载)。此外,这些输入迫使代理通过利用GenAI生态系统内的连接性将其传递(传播)给新代理。我们在两种设置(黑盒和白盒访问)下,使用两种类型的输入数据(文本和图像),在两个用例(垃圾邮件和过滤个人数据)中演示Morris II对GenAI支持的电子邮件助理的应用。针对三种不同的GenAI模型(Gemini Pro、ChatGPT 4.0和LLaVA)对蠕虫进行测试,并评估影响蠕虫性能的各种因素(例如传播速度、复制、恶意活动)。

发布于2024年3月4日上午7:01查看评论

PIN-Stealing Android恶意软件

这是一个古老的恶意软件——变色龙安卓银行木马——现在禁用生物特征认证,以便窃取PIN:

第二个值得注意的新功能是能够中断设备上的生物识别操作,如指纹和面部解锁,通过使用辅助功能服务强制回退到PIN或密码验证。

恶意软件会捕获受害者输入的任何PIN和密码以解锁其设备,然后可以使用它们随意解锁设备,以执行隐藏在视线之外的恶意活动。

发布于2024年1月9日上午7:03查看评论

垃圾漂流器USB蠕虫

A类新蠕虫通过USB记忆棒传播的病毒正在感染乌克兰及其他地区的电脑。

该组织以许多名字而闻名,包括加马雷登(Gamaredon)、原始熊(Primitive Bear)、锕系元素(ACTINIUM)、末日战争(Armageddon)和树虫(Shuckworm),至少自2014年以来一直活跃在俄罗斯,乌克兰安全局(Security Service of Ukraine)将其归为俄罗斯联邦安全局(Federal Security Service)所有。大多数克里姆林宫支持的组织都不遗余力地躲在雷达下;Gamaredon不在乎。它针对大量乌克兰组织的间谍活动很容易被发现,并与俄罗斯政府联系在一起。这些活动通常围绕恶意软件展开,旨在从目标获取尽可能多的信息。

其中一个工具是电脑蠕虫,它通过USB驱动器在电脑之间传播。Check Point Research的研究人员将该恶意软件追踪为LitterDrifter,它是用Visual Basic脚本语言编写的。LitterDrifter有两个用途:从USB驱动器向USB驱动器乱传,并用恶意软件永久感染连接到这些驱动器的设备,这些恶意软件会与Gamared操作的命令和控制服务器进行永久通信。

发布于2023年11月24日上午7:04查看评论

瑞士电子投票系统的安全漏洞

网上投票是不安全的。这并没有阻止组织和政府使用它。(对于低风险的选举,这可能没问题。)。安德鲁·阿佩尔解释为什么这是个坏主意:

去年,我发表了关于瑞士电子投票系统的五部分系列与任何互联网投票系统一样,它也存在固有的安全漏洞:如果有恶意的内部人员,他们可能会破坏计票;如果数千名选民的计算机被恶意软件攻击,恶意软件可以在传输过程中更改投票。瑞士通过正式宣布在网络安全评估中不会考虑这种威胁模型,“解决”了印刷公司内部恶意内幕人士的问题。

但它也有一个有趣的新漏洞:

瑞士邮政电子投票系统旨在保护您的投票不受操纵和干扰。目标是实现这一点,即使您自己的计算机感染了未被检测到的恶意软件,操纵用户投票。这种保护是通过特殊的返回码(Prüfcode)实现的,打印在您通过物理邮件收到的纸张上。你的电脑不知道这些代码,所以即使它感染了恶意软件,只要你遵守协议,它也无法成功欺骗你。

不幸的是,你通过邮件收到的那张纸上没有向你解释协议。只有当你访问电子投票网站时,才会在线向你解释。当然,这也是问题的一部分!如果您的计算机被恶意软件感染,那么它可能已经向您呈现了一个虚假网站,指示您遵循不同的协议,一个可欺骗的协议。为了证明这一点,我构建了一个概念验证演示。

再次上诉:

库斯特的假协议并不是我想象的那样;这样更好。他在他的书中解释了这一切博客帖子基本上,在他的恶意软件操控网站中,网站没有显示验证码供选民与纸面上的内容进行比较,而是要求选民将验证码输入到一个web表单中。由于网站不知道纸面上有什么内容,因此该web表单条目只是为了显示。当然,库斯特并没有利用僵尸网络病毒将他的恶意软件分发给真正的选民!他将其保存在自己的系统中,并在视频中演示。

同样,解决方案是纸张。(我在这里这么说2004年。)不,区块链不会help-it使安全性变得更差。

发布于2023年10月17日上午7:11查看评论

1 2 47

Joe MacInnis拍摄的Bruce Schneier的侧栏照片。