印度杀毒软件eScan长期使用HTTP协议 被黑客用来发起中间人攻击

印度杀毒软件eScan长期使用HTTP协议 被黑客用来发起中间人攻击 时间回到 2023 年 7 月：捷克杀毒软件开发商 AVAST 的研究人员注意到一款被其他研究人员称为 GuptiMiner 的恶意软件，该恶意软件背后有着极其复杂的攻击链路，并且还盯上了 eScan 的 HTTP 明文协议。当 eScan 发起更新时复杂的攻击链路就开始了，黑客首先执行中间人攻击从而拦截 eScan 发往服务器发送的请求数据包，接着再通过伪造的服务器返回恶意数据包，返回的数据包也是 eScan 提供的更新，只不过里面已经被插入了 GuptiMiner 恶意软件。当 eScan 接到返回的数据包并执行更新时，恶意软件也被悄悄释放并执行，显然除了使用 HTTP 明文协议外，eScan 可能还没有对数据包进行签名或哈希校验 (也可能是返回的数据包里已经对哈希进行了修改)。而这家杀毒软件至少从 2019 年开始就一直使用 HTTP 明文协议提供更新，虽然无法证明黑客是什么时候利用起来的，但劫持更新来感染设备应该持续好几年了。恶意软件的目的：比较搞笑的是这款恶意软件使用复杂的攻击链发起攻击，但最终目的可能是挖矿，至少 AVAST 注意到 GuptiMiner 除了安装多个后门程序外 (这属于常规操作)，还释放了 XMrig，这是一款 XMR 门罗币开源挖矿程序，可以使用 CPU 执行挖矿。至于其他恶意目的都属于比较常规的，例如如果被感染的设备位于大型企业内网中，则会尝试横向传播感染更多设备。如何实现劫持的：这个问题 AVAST 似乎也没搞清楚，研究人员怀疑黑客通过某种手段破坏了目标网络，从而将流量路由到恶意服务器。AVAST 研究发现黑客去年放弃了使用 DNS 技术，使用一种名为 IP 掩码的混淆技术取而代之，并且还会在被感染设备上安装自定义的 ROOT TLS 证书，这样就可以签发任意证书实现各种连接都可以劫持。AVAST 向印度 CERT 和 eScan 披露漏洞后，后者在 2023 年 7 月 31 日修复了漏洞，也就是换成了 HTTPS 加密协议。 ... PC版： 手机版：

曾刚上市就下架的绿联NAS又曝安全缺陷 官方回应称不影响正式用户

曾刚上市就下架的绿联NAS又曝安全缺陷 官方回应称不影响正式用户 对此绿联官方作出回应，称此问题仅存在于UGOS PRO体验账号中，并未在正式用户的设备上使用。绿脸表示，已定位到该问题属于体验账号，正式用户设备上没有这个证书，也不会用到这个证书和私钥，对正式用户不会有任何影响。同时已经吊销该体验账号的证书，并称绿联 NAS 私有云团队非常重视并以力求保障用户数据安全，感谢对绿联 NAS 私有云的支持。此前，绿联科技在5月推出了NAS私有云DXP系列九款新品，并带来了全新自研NAS系统UGOS Pro。然而，新系统首发并未达到预期，存在部分Bug，例如CPU温度显示异常、负载过高以及用户账号注册异常等问题。 ... PC版： 手机版：

CDK称遭黑客攻击后"基本恢复了"所有汽车经销商的业务

CDK称遭黑客攻击后"基本恢复了"所有汽车经销商的业务 CDK 遭受了两次网络攻击，其系统被迫离线数日，导致美国和加拿大汽车经销商从排班和服务维修到零部件交付和汽车购买的所有业务均放缓。CDK 的核心产品是一套被称为经销商管理系统的软件工具，几乎支撑着汽车零售商日常业务的每一个环节。因此，这次故障阻碍了整个行业的销售，中断了维修工作，而该行业去年在美国的销售额高达 1.2 万亿美元。这些中断发生在季度末的销售旺季。预计 6 月份汽车销量将从去年同期的 1610 万辆放缓至年化 1580 万辆左右。据安全公司 Recorded Future Inc. 的威胁分析师 Allan Liska 称，一个名为 BlackSuit 的黑客组织是 CDK Global 遭受网络攻击的幕后黑手，该攻击导致全美汽车销售陷入瘫痪。据彭博新闻社此前报道，该团伙要求数千万美元的赎金以结束瘫痪，而 CDK 已计划支付这笔赎金。目前尚不清楚 CDK 是否支付了赎金。北美一些最大的汽车经销商警告说，这次袭击可能会对他们的财务状况造成"重大"影响，他们说这主要取决于停电时间的长短。Sonic 汽车公司、Penske 汽车集团公司、Group 1 汽车公司、AutoNation 汽车公司、Lithia 汽车公司和Asbury 汽车集团公司都已向美国证券交易委员会提交了披露文件。受经济利益驱动的网络犯罪分子对全球 IT 供应链中的关键环节发起攻击，导致整个行业随之垮台，这一事件是日益普遍的现象的一部分。 ... PC版： 手机版：