作者归档 郭盛华老师

通过郭盛华老师

警惕!新型恶意软件,攻击者可窃取POS餐馆资料

网络安全研究人员今天披露了一种新型的模块化后门程序,该后门程序针对Oracle的销售点(POS)餐馆管理软件,以试图窃取存储在设备中的敏感支付信息。

后门称为“ ModPipe”,影响Oracle MICROS饭店企业系列(RES)3700 POS系统,这是饭店和酒店业广泛使用的软件套件,可以有效地处理POS,库存和人工管理。大部分已确定的目标主要位于美国。

ESET研究人员在分析中说:“使后门程序与众不同的是它的可下载模块及其功能,因为它包含一个自定义算法,旨在通过从Windows注册表值解密来收集RES 3700 POS数据库密码。

“经过筛选的凭据使ModPipe的操作员可以访问数据库内容,包括各种定义和配置,状态表以及有关POS交易的信息。”

值得注意的是,在RES 3700中,诸如信用卡号和有效期之类的详细信息受到加密屏障的保护,从而限制了可能被进一步滥用的有价值的信息量,尽管研究人员认为,攻击背后的参与者可能拥有第二个可下载模块解密数据库的内容。

ModPipe基础结构由一个初始删除程序组成,该删除程序用于安装持久性加载程序,然后将其解压缩并加载下一阶段的有效负载,该有效负载是主要的恶意软件模块,用于与其他“可下载”模块以及命令和控制( C2)服务器通过独立的网络模块。

可下载模块中的主要组件包括“ GetMicInfo”,该组件可以使用特殊算法来拦截和解密数据库密码,ESET研究人员认为,可以通过对密码库进行反向工程或利用获得的加密实现细节来实现该功能在2016年Oracle MICROS POS部门发生数据泄露之后。

第二个模块称为“ ModScan 2.20”,用于收集有关已安装的POS系统的其他信息(例如,版本,数据库服务器数据),而另一个名为“ Proclist”的模块则收集有关当前正在运行的进程的详细信息。

​研究人员说:“ ModPipe的体系结构,模块及其功能也表明其编写者对目标RES 3700 POS软件具有广泛的了解。” “运营商的熟练程度可能来自多种情况,包括窃取专有软件产品并对其进行反向工程,滥用其泄漏的零件或从地下市场购买代码。”

建议使用RES 3700 POS的酒店行业的企业更新到该软件的最新版本,并使用运行底层操作系统更新版本的设备。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

什么是黑客?郭盛华告诉你

一名黑客(hacker)是一个喜欢用智力通过创造性方法来挑战脑力极限的人,特别是他们所感兴趣的领域,例如电脑编程或电气工程。

黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。但在媒体报道中,黑客一词往往指那些“软件骇客”(software cracker)。

黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。
但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。

黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。

黑客一词一般有以下四种意义:
一个对(某领域内的)编程语言有足够了解,可以不经长时间思考就能创造出有用的软件的人。

一个恶意(一般是非法地)试图破解或破坏某个程序、系统及网络安全的人。这个意义常常对那些符合条件的黑客造成严重困扰,他们建议媒体将这群人称为“骇客”(cracker)。有时这群人也被叫做“黑帽黑客”。

一个试图破解某系统或网络以提醒该系统所有者的系统安全漏洞。这群人往往被称作“白帽黑客”或“匿名客”(sneaker)或红客。许多这样的人是电脑安全公司的雇员,并在完全合法的情况下攻击某系统。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

超过2800家电子商店受到信用卡黑客的打击

最新研究显示,今年9月初,针对运行Magento 1.x电子商务平台的零售商的网络黑客攻击浪潮被归为一个团体。

该小组已经进行了多种多样的Magecart攻击,这些攻击通常是通过供应链攻击(例如Adverline事件)或通过利用利用漏洞来一次入侵大量网站。

黑客攻击目标至少2806个运行Magento的1.x。在购物网站上注入电子窃取程序以窃取信用卡详细信息是Magecart的一种经过实践检验的作案手法,Magecart是针对在线购物车系统的不同黑客团体的联合体。

这些虚拟信用卡撇取者,也称为formjacking攻击,通常是JavaScript代码,操作员通常会在支付页面上偷偷插入到电子商务网站中,以实时捕获客户的卡详细信息并将其传输到远程攻击者控制的服务器。

但是在最近几个月中,Magecart运营商加紧了努力,将偷窃者代码隐藏在图像元数据中,甚至进行了IDN同形异义词攻击,以隐藏在网站的favicon文件中的网络浏览器。

Cardbleed(最初由Sansec记录)是通过使用特定域与Magento管理面板进行交互,然后利用“ Magento Connect”功能来下载并安装一个名为“ mysql.php”的恶意软件,该恶意软件在撇渣器代码已添加到“ prototype.js”。

此外,方案中使用的撇渣器是Ant和Cockroach撇渣器的一种变体,于2019年8月首次发现-以命名为“ ant_cockcroach()”的函数和在代码中找到的变量“ ant_check”命名。

但是,就像在删除已确定的恶意域一样,第12组已经熟练地替换了新的域以继续浏览。

这些攻击再次表明,威胁行为者正在不断创新,以不同的方式进行掠夺,并混淆其代码以逃避检测。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

争夺中国顶级金融科技平台:蚂蚁与腾讯谁会赢?

无可否认,蚂蚁是在中国扩大金融包容性的先驱,在中国,数以百万计的人仍在正规银行体系之外。但是,腾讯在数字金融领域起了追赶作用,并取得了重大进展,尤其是在电子支付领域。

两家公司都通过首先向消费者提供一种数字化支付方式来冒险进入金融科技领域,尽管“支付宝”和“微信支付”这两个品牌未能反映当今平台所吹捧的广泛服务。蚂蚁的旗舰应用程序支付宝现已成为销售蚂蚁内部产品以及无数第三方产品(如小额贷款和保险)的综合市场。像微信支付一样,该应用程序还促进了越来越多的公共服务列表,使用户可以查看自己的税款,支付水电费账单,预定医院就诊等等。

另一方面,腾讯将其金融服务嵌入微信(WeChat Pay)的支付功能以及该巨头的另一个流行的聊天应用QQ中。因此,从历史上很难确定腾讯从金融科技公司获得的收入,这是该巨头未在其收益报告中披露的。这反映了腾讯的“赛马”内部竞争,在竞争中,部门和团队经常相互激烈竞争,而不是积极协作。

因此,我们通过混合使用季度报告和第三方研究,将自己对腾讯金融科技业务的估计汇总在一起,但这引出了一些有趣的问题。腾讯是否会跟随阿里巴巴的脚步,将自己的金融科技业务统统纳入伞下?

支付宝应用程序在6月记录了711个月活跃用户和8000万月度商家。在其10亿的年度用户中,有7.29亿人通过该平台进行了至少一项“金融服务”的交易。就像在PayPal-eBay关系中一样,支付宝通过成为淘宝等阿里巴巴市场的默认付款处理器而受益匪浅。

截至2019年,超过8亿用户和5000万商人使用微信每月付费,这在Messenger的12亿活跃用户群中占很大一部分。目前尚不清楚有多少人尝试过腾讯的其他金融科技产品,尽管该公司确实表示,2019年约有2亿人使用了其财富管理服务。

蚂蚁和腾讯四个主要业务重点:支付,小额贷款,财富管理和保险。

数字支付,截至6月底,支付宝在中国的支付交易额高达118万亿元。这约为17万亿美元。

腾讯没有透露其支付交易量,但来自第三方研究公司的数据暗示了其规模。业界一致认为,这两家公司共同控制着中国90万亿美元的电子支付市场,其中支付宝在其中略占领先。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

量子计算对软件开发可能意味着什么?

关于量子计算的讨论(使用量子力学来创建计算能力)已经进行了一段时间。希望这将允许指数级的更快和复杂的处理超过当前资源。

与IBM合作的量子计算研究和生态系统合作伙伴全球负责人Sebastian Hassinger表示,量子计算与新兴技术领域具有许多共同特征,也是基础研究的活跃领域。他说:“这是一个协作和反复的过程。” “ 工业界和学术界的研究人员共同合作,通常在量子计算的基本方面以非常开放的科学方式进行。” Hassinger说,这是与正在研究量子技术潜在应用的行业研究领导者合作的补充,特别是在传统计算可能无法应对某些关键挑战的领域。

在学术界说,研究小组从理解量子物质中的相关性以及如何预测它们的角度考虑了量子计算。我们希望能够进行非常大的计算,从而告诉我们新的物理学,新现象。

业界还担心,如果量子硬件发生变化或出现更高级的事情,他们在程序上的工作可能会发生什么。学术界和工业界都对访问优质的量子软件有共同的需求,这是可靠的,并且与硬件保持同步。他们想知道自己正在获得最佳性能。

高盛(Goldman Sachs)量子研究负责人Will Zeng表示,总体而言,这仍是量子软件开发的初期,还有新发现。他说,他一直在评估量子计算对核心流程可能产生的影响。“在过去的几年中,我们已经能够证明我们可以将某些量子计算机作为一个行业来构建,” Zeng说。“不是伟大的量子计算机,早期的原型量子计算机。”

他说,利用Quantum开发有价值的应用程序是一大障碍。他的团队从事资源估算工作,该工作所涉及的问题可能与高盛的理论优势有关。曾庆红说,一项关键任务是考虑如果在这个领域有合适的资源可获得的前景和重大优势。他说:“我们将估算出实现这一优势所需的量子计算机的质量。”

Zeng表示,量子软件最终可能会在更高效地工作中发挥作用,但是量子计算在实现其潜力之前还有一段路要走。他说:“目前在量子领域,我们还没有准备好计划生产部署。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

警惕!黑客通过iPhone充电线劫持您的计算机

大多数人对于拿起手机充电线并将其插入都不会三思而后行。但是,黑客也可以通过充电线控制你的手机,今天带你认识下恶意充电电缆危险的知识。

一位经过在线控管MG的黑客拿走了一条看上去无辜的Apple USB Lightning电缆,并用一个小型的支持Wi-Fi的植入物进行了捆绑,将其插入计算机后,附近的黑客就可以像坐在那里一样运行命令在屏幕前面。

被称为O.MG电缆,它的外观和工作原理几乎与iPhone充电电缆没有区别。但是,攻击者所要做的就是将合法电缆换成恶意电缆,然后等到目标将其插入计算机。攻击者可以从附近的设备在Wi-Fi范围内(或连接到附近的Wi-Fi网络),通过预设命令或攻击者自己的代码在计算机上无线传输恶意有效载荷。

插入电源后,攻击者可以远程控制受影响的计算机,以将逼真的网络钓鱼页面发送到受害者的屏幕,或者远程锁定计算机的屏幕以在用户重新登录时收集用户的密码。

MG首次尝试将重点放在苹果上避雷针,但是植入物几乎可以用于任何电缆,并且可以针对大多数目标计算机使用。

这种特殊的Lightning电缆允许跨平台的攻击载荷,而创建的植入物很容易适应其他USB电缆类型。苹果恰好是最难植入的,因此它是功能的很好证明。

安全人员说:“如今,大多数人都知道不插入随机闪存驱动器,但他们并不认为电缆会构成威胁。“

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

美国大选,雇佣黑客到底有多猛?

​​美国情报机构说,总统竞选进程面临黑客威胁。从相关组织到个人都被黑客盯上,动机多样。

国家情报总监办公室发言人布赖恩·黑尔在一份声明中说:“我们发现总统竞选和相关组织及个人成为黑客目标,他们有多种动机,从思想分歧到间谍活动。他们的能力也不同,从外部破坏到侵入。”

当天早些时候,美国国家情报总监詹姆斯·克拉珀在华盛顿的一次网络安全讨论中说,情报机构已掌握一些针对总统竞选的黑客攻击迹象。“随着竞选愈发激烈,我们可能将受到更多(袭击)”。

路透社援引政府消息人士的话说,针对总统竞选的黑客行为被认为非常严重,一些国会委员会已经听取了相关汇报。

一名安全官员说,外国黑客可能寻求的信息包括候选人的外交政策意向和团队,以及竞选阵营的内部运作。

负责保护总统竞选人的美国特工处在一份声明中说,他们正防范和侦查网络安全威胁,并让竞选人意识到隐患。

国土安全部和联邦调查局正着手为共和党和民主党阵营提供相关指导,应对潜在的网络威胁。两党候选人正式获得提名后将开始接受情报方面的汇报,内容“完全一样”。

路透社报道,全球范围内,针对政治竞选人的网络攻击时有发生。例如2008年和2012年的两届美国总统选举中,来自民主党的贝拉克·奥巴马及其共和党竞选对手均遭受网络攻击。

什么是黑客?

黑客是一群晃荡于网络上的技术人员,他们熟悉操作的设计与维护;精于找出使用者的密码,通晓计算机,进入他人计算机操作系统的高手,包括一些人所说的内鬼其实也是指技术人员和电脑高手。

来源:新华社国际专稿

声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。​​​​

通过郭盛华老师

黑客如何绕过防火墙保护?并远程访问用户TCP服务

一项新的研究表明,该技术可使黑客攻击者绕过防火墙保护,并远程访问受害计算机上的任何TCP / UDP服务。

确定数据包边界
网络地址转换(NAT)是一个过程,其中网络设备(例如防火墙)通过在数据包传输过程中修改IP包头中的网络地址信息,将IP地址空间重新映射到另一个IP地址空间。

主要优点是它限制了组织内部网络中使用的公共IP地址的数量,并通过允许在多个系统之间共享单个公共IP地址来提高安全性。

NAT通过利用TCP和IP数据包分段来远程调整数据包边界,并使用它来创建TCP / UDP数据包(从SIP方法(如REGISTER或INVITE)开始)而起作用。

SIP(会话启动协议的缩写)是一种通信协议,用于启动,维护和终止语音,视频和消息传递应用程序的实时多媒体会话。

换句话说,HTTP中的数据包分段和走私SIP请求的混合可用于欺骗NAT ALG打开任意端口以用于到客户端的入站连接。

为此,将发送一个带有ID和隐藏Web表单的大型HTTP POST请求,该请求指向运行运行数据包嗅探器的攻击服务器,该服务器用于捕获MTU大小,数据包大小,TCP和IP标头大小,其他,然后通过单独的POST消息将大小数据发送回受害客户端。

此外,它还滥用TURN(使用围绕NAT的中继的遍历)中的身份验证功能(该协议与NAT结合使用,将媒体从任何对等方中继到网络中的另一客户端),从而导致数据包溢出并导致IP数据包碎片化。

简而言之,该想法是通过填充(带有“ ^”字符)来溢出TCP或UDP数据包,并强制将其拆分为两个,以便SIP数据包位于第二个数据包边界的最开始。

通过数据包更改连接到TCP / UDP
在下一阶段,使用现代浏览器(例如Chrome或Firefox)上的WebRTC ICE提取受害人的内部IP地址,或者通过对常见网关(192.168。*。1、10.0.0.1和本地网络)执行定时攻击来提取受害人的内部IP地址。

“一旦客户端获得了数据包的大小和内部IP地址,它就会构建一个特制的Web表单,该表单填充POST数据,直到我们认为该数据包将变得碎片化为止,这时将附加包含内部IP地址的SIP REGISTER,”注意。“该表格是通过Javascript提交的,未经受害者同意。”

就像数据包到达攻击服务器并且确定未用公共IP地址重写SIP数据包一样,自动消息也会发送回客户端,要求其根据数据将其数据包大小调整为新的边界以前是从嗅探器收集的。

有了正确的数据包边界,NAT被欺骗了,以为“这是合法的SIP注册,并且来自受害者计算机上的SIP客户端”,最终导致NAT在受害者发送的原始数据包中打开端口。

路由器现在会将攻击者选择的任何端口转发回内部受害者,而所有这些端口都只需要浏览到一个网站即可。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

警告:Google公开Windows零日漏洞

谷歌已经披露了Windows操作系统中一个新的零日特权升级漏洞的详细信息,该漏洞黑客正在大量使用中。

特权提升(EoP)漏洞(跟踪为CVE-2020-17087)涉及存在缓冲区溢出问题,因为至少Windows 7的Windows内核密码驱动程序(“ cng.sys”)中的Windows 7可以被利用来进行沙箱转义。

谷歌零号项目研究人员Mateusz Jurczyk和Sergei Glazunov在技术文章中指出:“该错误存在于cng!CfgAdtpFormatPropertyBlock函数中,并且是由16位整数截断问题引起的。”

安全小组在为期7天的披露截止日期后将详细信息公开,原因是有证据表明该细节正在被积极利用。

零项目共享了一个概念验证漏洞(PoC),即使在默认系统配置下,该漏洞也可用于破坏内核数据和使易受攻击的Windows设备崩溃。

值得注意的是,漏洞利用链要求将CVE-2020-17087与Google上周修复的另一个Chrome浏览器零日(CVE-2020-15999)链接。

Chrome的零时差涉及Freetype字体库中的堆缓冲区溢出,以在浏览器中运行恶意代码,但是新近显示的Windows零时差使攻击者有可能突破Chrome的沙盒保护并在Windows上运行代码-也称为沙盒逃生。

零号项目的本·霍克斯(Ben Hawkes)表示,该漏洞利用与“与美国大选相关的目标无关”,他预计该漏洞的补丁将由微软于11月10日发布。

霍克斯还捍卫了在主动利用零日漏洞的一周内披露零日漏洞的做法。他表示:“我们认为共享这些细节具有防御作用,并且从现在到发布补丁使用这些细节的机会主义攻击是相当不可能的(到目前为止,它已被用作漏洞利用链的一部分,并且切入点攻击已得到修复) “ 。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

你相信吗?黑客通过浏览器也能控制你的电脑

网络安全研究人员披露了有关针对韩国侨民的新型水坑攻击的详细信息,该漏洞利用Google Chrome和Internet Explorer等网络浏览器中的漏洞来部署间谍软件,以进行间谍活动。

该趋势被趋势科技称为“ Operation Earth Kitsune ”,涉及使用SLUB(用于SLack和githUB)恶意软件和两个新的后门程序dneSpy和agfSpy,以泄露系统信息并获得对受感染计算机的额外控制。

据网络安全公司称,在3月,5月和9月的几个月中观察到了这些攻击。

水坑攻击(黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。)通过插入旨在利用受害设备访问恶意设备并感染受害者设备的漏洞来破坏精心挑选的网站,从而使不良行为者可以破坏目标企业。

多元化运动

尽管先前涉及SLUB的操作使用GitHub存储库平台将恶意代码段下载到Windows系统上,并将执行结果发布到攻击者控制的私有Slack通道,但该恶意软件的最新版本已将目标瞄准了Mattermost,类似于Slack,源协作消息传递系统。

趋势科技表示:“战役非常多样化,在受灾机器上部署了许多样本,并在此操作中使用了多个命令与控制(C&C)服务器。” “总共,我们发现该活动使用了五台C&C服务器,七个样本以及四个N-day bug的利用。”‘

该攻击旨在跳过安装了安全软件的系统,以阻止检测,该攻击利用武器解决了一个已补丁的Chrome漏洞(CVE-2019-5782),攻击者可以通过特制HTML在沙箱中执行任意代码页。

另外,Internet Explorer(CVE-2020-0674)中的漏洞也被用来通过受感染的网站传播恶意软件。

dneSpy和agfSpy-功能齐全的间谍活动后门

尽管感染媒介有所不同,但利用链仍按相同的步骤顺序进行-启动与C&C服务器的连接,接收删除程序,然后删除程序,然后在继续下载之前检查目标系统上是否存在反恶意软件解决方案三个后门样本(“ .jpg”格式)并执行它们。

这次发生的变化是,除了为每台计算机创建一个单独的通道以从受感染的主机检索所收集的信息之外,还使用了Mattermost服务器来跟踪跨多台受感染的计算机的部署。

在其他两个后门dneSpy和agfSpy中,前者旨在收集系统信息,捕获屏幕快照以及下载和执行从C&C服务器接收的恶意命令,然后将其结果压缩,加密并泄露到服务器。

​趋势科技的研究人员说:“ dneSpy设计的一个有趣方面是其C&C旋转行为。” “中央C&C服务器的响应实际上是下一阶段C&C服务器的域/ IP,dneSpy必须与之通信以接收进一步的指令。”

dneSpy的对等产品agfSpy带有自己的C&C服务器机制,可用于获取Shell命令并将执行结果发回。其主要功能包括枚举目录和列表,上载,下载和执行文件的功能。

研究人员总结说:“由于地球使用的各种组件以及它们之间的相互作用,因此,地球Kitsune行动变得复杂而多产。” “该运动使用新样本来避免被安全产品检测的现象也非常值得注意。”

“从Chrome漏洞利用程序的Shellcode到agfSpy,该操作中的元素都经过了自定义编码,这表明此操作背后存在着一个小组。该小组今年似乎非常活跃,我们预计,他们将继续朝这个方向发展一段时间。”(来源:郭盛华博客,转载请注明出处)​