APP下载

资安一周第54期:近期有不少可躲避安全侦测的新型恶意程式攻击被揭露,并有多起支付相关的安全事件发生

2019-08-07 18:46

日本7-Eleven的电子支付7Pay,7月刚上路就发生大量用户信用卡遭盗刷,8月初母公司7&i再次宣布最新7pay最新动向,将在9月底终止服务。

0801-0807一定要看的资安新闻

 

#勒索软件 #NAS

安全专家推出eCh0raix解密工具

图片来源/撷取自Bleeping Computer论坛

日前资安业者相继发出警告,名为eCh0raix的勒索软件正锁定威联通科技(QNAP)所生产的NAS设备展开攻击,后续群晖科技(Synology)也发出警告,有用户遭遇勒索软件暴力破解密码后,进行档案加密后并勒索赎金。最近,网络代号为BloodDolly的勒索软件专家,则是透过Bleeping Computer的论坛,在8月2日释出了解密工具eCh0raix Decoder 1.0.2版的资讯,该工具是他以暴力破解了解密金钥,可协助恢复受害者的加密档案。不过,这个版本只支援在7月17日以前感染eCh0raix的用户,目前BloodDolly仍在打造可解密新版eCh0raix的工具。更多内容

 

#电商安全 #3D验证

警方侦破盗刷集团,暴露电商在信用卡交易的验证不足问题

图片来源/刑事警察局

最近国内刑事警察局侦察第一大队破获信用卡盗刷集团,是利用从国外网站购买的信用卡资讯,至国内电商及电信系统商进行盗刷,由于出货后国内信用卡持卡人否认交易,因此信用卡公司拒付款项,或将已支付款项收回,导致业者自行吸收损失。警方表示,这个不法犯罪行为之所以能大肆盗刷信用卡,并购买高单价商品变卖获取暴利,主要是利用部分网络商家的刷卡付款过程,无经过须3D验证(简讯验证)机制,以及部分第三方支付App绑定信用卡却无须验证的漏洞。因此,这也突显一些国内电商在支付方面的身份验证不足的问题,以及信用卡资讯外泄的状况与严重性。由于近来手机结合金融卡的支付型态越来越盛行,警方呼吁民众注意信用卡资料的保护,并养成对账习惯,警方也呼吁商家应该向银行申请3D认证,才可保障信用卡交易安全。更多内容

 

#管理系统存取设定安全 #Jira

众多Jira服务器的错误配置,让员工及专案资讯全曝光

图片来源/Avinash Jain

安全工程师Avinash Jain上周警告,知名的缺陷追踪工具Jira的错误配置情况,让许多知名组织的机密资讯因而曝光,包括NASA、Google、Yahoo及各种-网站。Jira是由澳洲Atlassian所打造的缺陷管理、任务追踪与专案管理软件,去年JetBrains的调查显示,它是最受开发人员青睐的任务追踪工具。根据Jain的描述,此错误配置是界面语意上的误解,因为在Jira上建立过滤器与仪表板时,它的能见度预设值分别是All users及Everyone,管理员可能将它们误以为是与组织内的所有人分享,但它却是个公开分享的选项。关于这样的设定误解问题,今年初Jain曾揭露他存取了NASA的机密资料,近日Jain更是指出他也从Google、Yahoo、HipChat、Zendesk、Western Union、联想,以及许多-网站的Jira服务器上,发现意外曝光的资料。对此现况,Jain也已向不少企业通报,并建议Atlassian应该提供更清楚的说明,避免误导用户并造成资讯的曝光。更多内容

 

#云端数据库配置错误

本田汽车云端数据库未上锁,泄露上亿份全球员工电脑安全资料

图片来源/Justin Paine

日本汽车大厂本田汽车(Honda Motor)的Elasticsearch数据库,内含超过1亿份文件的数据库,被安全研究人员Justin Paine发现,暴露在网络上未设密码。由于该数据库几乎包括所有Honda电脑相关管理资料,像是其中一个表单内容,包含员工电子邮件、部门名称、Honda机器主机名称、MAC位置、内网IP地址、操作系统版本,另一个表单则有员工姓名、部门、员工编号、账号、移动电话及最近登入时间,而且,该公司使用的终端安全软件,哪台机器已安装、哪台机器有更新或未更新,也一目了然。在本田接获研究人员通报后,当日已经修补改问题,并表示经过追查系统存取记录,未发现有任何遭第三方人士下载的迹象,目前也没有资料外泄的证据。更多内容

 

#恶意程式

Proofpoint揭露新的代理恶意程式SystemBC

图片来源/Proofpoint

资安业者Proofpoint揭露了新的代理恶意程式SystemBC,它能在受害者的Windows系统上,建立SOCKS5代理服务器,让代理服务器与命令暨控制服务器(C&C)连线,再以HTTPS加密流量与C&C交流,借此隐藏恶意程式的传递,躲避防火墙的侦测。而在Proofpoint最近发现的案例中,SystemBC通常还会搭配其他的恶意程式,包括勒索软件Maze、金融木马Danabot、间谍程式AZORult或Amadey Loader等,并且被纳入RIG与Fallout等攻击套件中。研究人员警告,SystemBC及主流恶意程式的结合,将为安全防御带来新的挑战,特别是那些仰赖网络边缘侦测,以拦截或减轻安全威胁的企业。更多内容

 

#僵尸恶意程式

新Mirai病毒变种利用Tor网络避免侦查

资安业者趋势科技发现Mirai病毒新变种,会利用Tor网络来隐藏C&C服务器,以防止遭查缉。该公司在7月中发现一只病毒,它会扫描网络上TCP ports 9527 和34567的连网装置,判断其目标主要是网络摄影机、DVR等物联网装置,主要透过曝露的传输埠和预设密码,来感染装置并发动DDoS攻击,特殊的是,骇客将控制的C&C服务器架在Tor网络中,恶意程式内并具有30个写死的IP地址,如果连线失败就试另一台服务器,研究人员认些手法是恶意程式作者为了防止C&C服务器被追踪IP地址并通报网域管理者关闭。趋势科技认为,Mirai变种进化到这种手法,可能带动其他IoT恶意程式家族的演进,对于这股 IoT恶意程式开发的新兴趋势,将是未来必须注意的新网络威胁趋势。更多内容

 

#勒索软件 #行动安全

新勒索软件利用Android 手机简讯传给通讯录友人

图片来源/Welinvesecurity by ESET

安全厂商ESET研究人员Lukas Stefanko,发现名为Android/Filecoder.C新型勒索软件,专找Android用户下手,透过简讯感染手机通讯录中的联络人。他发现骇客在Reddit和Android 开发者论坛XDA Developer上,张贴色情或技术主题的内容,引诱使用者下载这款新型勒索软件。一旦用户下载到Android手机上,Filecoder.C就会加密手机上大部分的用户档案要求赎金,同时将恶意连结以简讯方式,发送给受害者手机内的联络人,以便进一步散布。而且,这些简讯讯息十分逼真,例如其中一则是附上某用户相片加工的相片,在传送讯息给友人时,会选择和装置设定相同的语言,同时还会在信件开头加上联络人姓名,使信件更客制化。更多内容

 

#漏洞揭露 #Google

Project Zero揭露的漏洞,96%可在90天修补完成

Google安全研究团队Project Zero指出,从2014年以来,该团队发现的漏洞中,高达95.8%都能在期限的90天内修补完成。对于设定期限、不论漏洞修补完成与否就公布漏洞的作法,虽然遭批评,但Google认为将让网络整体变得更安全。Project Zero解释,报告中的概念验证攻击往往只是完整攻击串的一部分,任何有意图的攻击者也要花一番工夫和资源,才能转化为真正的攻击行动。而这几年的经验也显示,那些来不及补好的漏洞,通常也是在90天之后几天就补上修补程式了。Google并认为,随着业界更多安全研究人员在其报告中加入揭露期限,将可进一步改善漏洞通报的作法。更多内容

 

#台湾资安产业

台湾资安新创奥义智慧获淡马锡旗下基金565万美元B轮投资

图片来源/iThome

台湾资安新创奥义智慧营运迄今满2年,在创投业者华威创投CID集团的A轮投资250万美元,最近经历新加坡淡马锡旗下的Pavilion基金详细的Due Diligence(D.D.)尽职调查后,获得565万美金的B轮创投资金。

奥义智慧共同创办人兼首席执行官邱铭彰表示,该公司两轮创投资金约为新台币2.5亿元,透过这样的资金挹注,也协助公司可以快速发展,有助于奥义智慧成功进军东南亚市场,并且已经在日本正式成立子公司服务客户。更多内容
 

更多资安动态
上路仅三个月,日本7-Eleven 9月底喊停7Pay
被举报销售有漏洞软件给美-,思科同意赔偿860万美元,吹哨者也拿到160万
广告程式DealPly滥用微软及McAfee服务来躲避侦测
资安研究人员成功绕过Visa感应式卡片支付的刷卡金额限制
有100万张韩国的支付卡资讯在黑市求售
微软:俄国骇客使用IoT装置入侵企业网络
英特尔CPU漏洞再现推测执行漏洞

相关文章

最新资讯

  • 全家科技二号店亮相! 自助结账、5G、智贩机登场
    2019-10-22 18:53
  • 【本土文化】80 后女化妆师驾雪糕车手圆梦 蚀本也坚持:太多童年回忆!
    2019-10-22 18:52
  • 双十一的进化与苏宁的场景零售升维
    2019-10-22 17:56
  • 环保和农业再发力 平安科技AI技术中台助力场景…
    2019-10-22 17:53
  • 维修连锁企业用侵权零件修华为手机:涉案金额3…
    2019-10-22 16:53

手机

  • realme 三款高 CP 值新机登场 颈挂耳机、手机壳同步登台
    2019-10-22 16:50
  • Pixel 4被抱怨影片录制仅支援4K、30fps规格 Google表示画质和储存空间更重要
    2019-10-22 09:49
  • 联手 Yahoo / Verizon Media 中华电信宣示发展 5G 影音娱乐内容
    2019-10-22 07:48
  • Pixel 4都不能免费以原图储存在Google相簿上 为什么 iPhone 竟可以免费?Google表示:是Bug
    2019-10-21 16:48
  • HTC推出平价版 EXODUS 1s区块链手机 价格新台币5,990 元
    2019-10-21 15:47

数码

  • 选购大火力灶看热负荷更要看热效率!安利华帝…
    2019-10-22 17:59
  • 最适合父母的洗碗机!操作难倒老年人? 硬核华…
    2019-10-22 17:59
  • 耳边的AI助理,出门问问发布TicPods 2系列头控…
    2019-10-22 18:02
  • 硬核知识科普:色域究竟是什么东西?
    2019-10-22 18:02
  • 一加7T系列首销战况出炉 斩获双料冠军
    2019-10-22 17:00

科技

  • 车好多集团入围2018年度中国十大独角兽排行榜
    2018-07-23 12:33
  • 史前短面熊有多可怕?站立高度近5米 曾称霸整个美洲地区
    2018-07-23 12:33
  • 罕见的活化石生物 能在陆地呼吸的鱼 恐龙见到它也要叫声爷
    2018-07-23 12:33
  • BCH代币化方案讨论大爆发 你的观点是什么?
    2018-07-23 12:33
  • 口碑重塑商业模式侵袭美团主业
    2018-07-23 13:31