当恶意软件来自内部时
下面没有音频播放器? 听 直接 在 Soundcloud 上。
与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 Wi-Fi 黑客攻击、世界备份日和供应链失误。
所有这些,以及更多,都在 Naked Security 播客上。
[音乐调制解调器]
欢迎大家收听播客。
我是 Doug Aamoth,他是 Paul Ducklin。
保罗,你好吗?
鸭。 道格,期待今晚的满月之旅!
道格。 我们喜欢开始我们的节目 科技史上的本周,我们有很多主题可供选择。
我们将转动轮子。
今天的主题包括: 1966 年第一艘绕月飞行的航天器; 第一个手机电话,1973 年; 微软成立,1975 年; 1994 年 Netscape 诞生; SATAN(网络扫描仪,不是那个人),1995 年……我想那个人在那之前就来了。
以及 3.1 年发布的 Windows 1992。
我会在这里转动方向盘,保罗……
[FX:命运之轮旋转]
鸭。 来吧,月亮——来吧,月亮……
..来吧,绕月物体!
[效果:车轮减速并停止]
道格。 我们得到了撒旦。
[效果:喇叭声]
好的…
鸭。 路西弗,呃?
具有讽刺意味的是,“光明使者”。
道格。 [笑] 本周,即 05 年 1995 月 XNUMX 日,世界被介绍给 SATAN:用于分析网络的安全管理员工具,这是一个用于扫描潜在易受攻击网络的免费工具。
当然,这并非没有争议。
许多人指出,向公众提供此类工具可能会导致不良行为。
而且,保罗,我希望你能了解自从早期使用这样的扫描工具以来我们已经走了多远……
鸭。 好吧,我想他们在很多方面仍然存在争议,道格,不是吗?
如果你想到人们现在已经习惯使用的工具,比如 NMap(网络映射器),你可以在其中跨过网络并尝试找出……
……那里有什么服务器?
他们在监听什么端口?
甚至可以拿一根织针插进去说,“他们在那个港口做了什么? 它真的是一个网络端口,还是他们秘密地用它来转移另一种流量?”
等等。
我想我们刚刚开始意识到大多数安全工具都有好的一面和不好的一面,更多的是关于你如何和何时使用它们以及你是否有权力——道德、法律和技术——这样做,或不。
道格。 好的,非常好。
让我们谈谈这个大的供应链问题。
我犹豫要不要说,“改天,又一个供应链问题”,但感觉我们经常谈论供应链问题。
这次是 电话公司 3CX.
那么这里发生了什么?
鸭。 好吧,我认为你是对的,道格。
这是一种“我们又来了”的故事。
最初的恶意软件似乎是由 3CX 公司自己构建、签署或认可的。
换句话说,这不仅仅是一个问题,“嘿,这是一个看起来像真正交易的应用程序,但它来自一些完全虚假的网站,来自一些你从未听说过的替代供应商。”
看起来骗子能够以某种方式渗透到 3CX 使用的源代码存储库的某些部分——显然,他们存储了一个名为 Electron 的东西的代码的部分,这是一个非常流行的巨大编程框架.
它被 Zoom 和 Visual Studio Code 等产品使用……如果你想知道为什么这些产品有数百兆字节,那是因为很多用户界面、视觉交互和 Web 渲染的东西都是由这个电子底层。
所以,通常这只是你吸收的东西,然后你在它上面添加你自己的专有代码。
似乎 3CX 存放他们的 Electron 版本的地方已经中毒了。
现在,我猜骗子们认为,“如果我们毒害 3CX 自己的专有代码,他们每天都在处理的东西,代码审查人员更有可能注意到。 它是专有的; 他们对此感到专有。 但是,如果我们只是在这个巨大的代码海洋中放入一些狡猾的东西,他们每次都会吸进去并且基本上相信......也许我们会侥幸逃脱。”
看起来这正是发生的事情。
似乎被感染的人要么下载了 3CX 电话应用程序并在它被感染的窗口期间重新安装它,要么他们从以前的版本正式更新,然后他们得到了恶意软件。
主应用程序加载了一个 DLL,我相信那个 DLL 去了 GitHub,它下载了一个看起来像无辜图标文件的东西,但事实并非如此。
它实际上是一个命令和控制服务器列表,然后它转到其中一个命令和控制服务器,它下载了骗子想要部署的*真实*恶意软件,并将其直接注入内存。
所以那永远不会作为文件出现。
可能混合使用了不同的工具; 你能做到的那个 阅读 news.sophos.com 上是一个信息窃取者。
换句话说,厨师们正在从你的电脑中吸取信息。
道格。 好的,所以检查一下。
正如保罗所说, 裸体安全 和 新闻.sophos.com 有两篇不同的文章,包含您需要的一切。
好吧,从供应链攻击开始,坏人在一开始就注入了所有肮脏的东西……
…到 WiFi 黑客,他们试图在最后提取信息。
让我们谈谈如何绕过 Wi-Fi 加密,哪怕只是一小会儿。
鸭。 是的,这是一篇引人入胜的论文,由来自比利时和美国的一群研究人员发表。
我相信这是一篇将在 USENIX 2023 会议上发表的论文的预印本。
他们确实想出了一个时髦的名字……他们称之为 取景框,如所谓的无线帧或无线数据包。
但我认为副标题、标语更有意义,它说:“通过操纵传输队列绕过 Wi-Fi 加密。”
简单地说,Doug,当您的客户端软件或硬件暂时停止运行时,它与多少或大多数接入点的行为有关,以便为您提供更高质量的服务(如果您愿意)。
“为什么我们不保存任何剩余的流量,如果它们再次出现,我们可以无缝地让它们从停止的地方继续下去,每个人都会开心吗?”
正如您想象的那样,当您为以后保存东西时,可能会出现很多问题……
……而这正是这些研究人员发现的。
道格。 好吧,看起来有两种不同的方法可以执行此操作。
一个完全断开连接,一个进入睡眠模式。
因此,让我们先谈谈“睡眠模式”版本。
鸭。 似乎如果你的 WiFi 卡决定,“嘿,我要进入省电模式”,它可以在一个特殊的框架中告诉接入点(因此攻击名称 取景框)……“哎,我要睡会儿了。 所以你决定你想如何处理我可能会醒来并马上回到网上的事实。”
而且,就像我说的,很多接入点都会排队等待剩余的流量。
显然,如果您的计算机处于睡眠状态,则不会有任何需要回复的新请求。
但是你可能正在下载一个网页,它还没有完全下载完,所以当你退出省电模式时,网页刚刚传输完最后几个不是很好吗?数据包?
毕竟,它们应该是加密的(如果你打开了 Wi-Fi 加密),不仅是在要求用户首先对网络进行身份验证的网络密钥下,而且在为你那次会议的笔记本电脑。
但事实证明有一个问题,道格。
攻击者可以发送“嘿,我要睡觉了”的帧,假装它来自您的硬件,并且根本不需要通过网络身份验证就可以这样做。
所以它不仅不需要知道你的会话密钥,甚至不需要知道网络密钥。
它基本上可以说,“我是道格拉斯,我现在要小睡一下。”
道格。 [笑]我想小睡一下!
鸭。 [大笑] 接入点似乎不会缓冲*加密*数据包,以便稍后在 Doug 醒来时传送给 Doug。
他们*在数据包被解密*后缓冲数据包,因为当您的计算机重新联机时,它可能会决定协商一个全新的会话密钥,在这种情况下,它们需要在新的会话密钥下重新加密.
显然,在您的计算机没有休眠但接入点认为休眠的间隙,骗子可以跳进来说,“哦,顺便说一下,我已经复活了。 取消我的加密连接。 我现在想要一个未加密的连接,非常感谢。”
所以接入点会说,“哦,Doug 醒了; 他不想再加密了。 让我在没有任何加密的情况下耗尽他最后看到的东西留下的最后几个数据包。”
于是攻击者可以嗅出它们!
而且,很明显,这不应该真的发生,尽管显然它似乎在规格范围内。
因此,接入点以这种方式工作是合法的,至少有些接入点是这样做的。
道格。 有趣!
好的。 第二种方法确实涉及看起来像密钥交换的东西......
鸭。 是的,这是一种类似的攻击,但以不同的方式精心策划。
这围绕着这样一个事实,即如果您四处走动,比如在办公室,您的计算机可能偶尔会断开与一个接入点的关联并重新关联到另一个接入点。
现在,就像睡眠模式一样,解除关联(或将计算机踢出网络)……这可以由某人再次充当冒名顶替者来完成。
所以它类似于睡眠模式攻击,但显然在这种情况下,他们所做的是与网络重新关联。
这意味着他们确实需要知道网络密钥,但对于许多网络来说,这几乎是一个公开记录的问题。
骗子可以跳回来,说,“嘿,我想用我现在控制的密钥来加密。”
然后,当回复返回时,他们就会看到它。
所以这是可能泄露的一点点信息……
......这不是世界末日,但它不应该发生,因此必须将其视为不正确且具有潜在危险。
道格。 我们对此有一些评论和问题。
在这里,在美国电视上,我们看到越来越多的 VPN 服务广告说,[戏剧性的声音]“在任何情况下,你都不能连接——你不敢! – 在不使用 VPN 的情况下连接到公共 Wi-Fi 网络。”
就电视上那些广告的性质而言,这让我觉得它可能有点夸大其词。
那么您对将 VPN 用于公共热点有何看法?
鸭。 好吧,显然这会回避这个问题,因为 VPN 的想法本质上是在您的计算机内部有一个虚拟的、基于软件的网卡,它会扰乱所有流量,然后通过接入点将其吐出到另一个点网络,流量在这里被解密并放到互联网上。
因此,这意味着即使有人使用这些 Framing Frames 攻击来泄露偶尔的数据包,这些数据包不仅可能被加密(比如,因为您正在访问 HTTPS 站点),甚至数据包的元数据,如服务器IP地址等也会被加密。
因此,从这个意义上说,VPN 是一个好主意,因为这意味着实际上没有热点可以看到您的流量内容。
因此,VPN……它解决了*这个*问题,但您需要确保它不会让您面临*其他*问题,即现在其他人可能正在窥探您的*所有*流量,而不仅仅是个别回复末尾偶尔出现的、遗留的、排队的帧。
道格。 现在让我们谈谈世界备份日,也就是 31 年 2023 月 XNUMX 日。
不要以为你必须等到明年 31 月 XNUMX 日......你现在仍然可以参加!
我们有五个提示,从我最喜欢的开始: 不要拖延,今天就做,保罗。
鸭。 非常简单地说,您唯一会后悔的备份是您没有制作的备份。
道格。 还有一个很棒的: 少即是多。
换句话说,不要成为囤积者。
鸭。 这对某些人来说很难。
道格。 确实是。
鸭。 如果这就是你的数字生活的方式,那么它就会充满你几乎肯定不会再看的东西......
…那么为什么不花一些时间,独立于你想要做备份时的匆忙,*摆脱你不需要的东西*。
在家里,它会整理您的数字生活。
在工作中,这意味着您不会保留不需要的数据,而且,如果数据遭到破坏,您可能会因 GDPR 等规则而陷入更大的麻烦,因为您无法证明或记住为什么你首先收集它。
而且,作为副作用,它还意味着您的备份将进行得更快并且占用更少的空间。
道格。 当然!
我可以保证不是每个人都在想,也可能从未想过。
第三个是: 飞行中加密; 静态加密。
这是什么意思,保罗?
鸭。 每个人都知道加密您的硬盘是个好主意……您的 BitLocker 或您的文件库密码才能进入。
许多人也习惯于,如果可以的话,加密他们在可移动驱动器上所做的备份,这样他们就可以把它们放在家里的橱柜里,但是如果他们发生盗窃并且有人偷了驱动器,该人不能随便去读取数据,因为它受密码保护。
这也很有意义,虽然您在存储数据时会遇到加密数据的麻烦,但如果您正在做,例如云备份*在它离开*您的计算机之前,请确保它是加密的,或者因为它离开你的电脑。
这意味着如果云服务遭到破坏,它无法泄露您的数据。
即使根据法院命令,它也无法恢复您的数据。
道格。 好吧,下一个听起来很简单,但并不那么简单: 保持安全。
鸭。 是的,我们看到,在许多勒索软件攻击中,受害者认为他们无需轻松付款就可以恢复,因为他们有实时备份,例如卷影复制或每隔几分钟自动同步的云服务。
所以他们认为,“我绝不会损失超过 XNUMX 分钟的工作时间。 如果我中了勒索软件,我会登录到云端,我的所有数据都会回来。 我不需要付钱给骗子!”
然后他们去看一看,意识到,“哦,见鬼,骗子先进来了; 他们找到了我保存这些备份的地方; 他们要么用垃圾填满它们,要么将数据重定向到其他地方。”
所以现在他们已经窃取了您的数据而您却没有,或者在他们进行攻击之前以其他方式弄乱了您的备份。
因此,离线和断开连接的备份……这是个好主意。
它不太方便,但如果骗子进入,它确实可以使您的备份免受伤害。
这确实意味着,在勒索软件攻击中,如果你的实时备份被骗子故意破坏,因为他们在释放勒索软件之前就找到了它们,你就有第二次机会去恢复这些东西。
当然,如果可以的话,将离线备份保存在异地的某个地方。
这意味着如果您被锁在营业场所之外,例如由于火灾、煤气泄漏或其他灾难……
…您实际上仍然可以开始备份。
道格。 最后但绝对肯定的是,当然并非最不重要: 还原是备份的一部分。
鸭。 有时您需要备份的原因不仅仅是为了避免向骗子支付勒索软件的钱。
例如,可能是恢复一个丢失的文件,这在现在很重要,但到了明天,就太晚了。
当您尝试恢复您宝贵的备份时,您最不想发生的事情是您被迫偷工减料、猜测或冒不必要的风险。
所以:练习恢复单个文件,即使您有大量备份。
看看您可以多快可靠地为*一个* 用户获取*一个* 文件,因为有时这将是您恢复的关键。
当您需要进行大量修复时,还要确保您的语言流畅流畅。
例如,当您需要恢复属于特定用户的 *所有* 文件时,因为他们的计算机被勒索软件损坏、被盗、或掉落在悉尼港,或遭遇任何命运。
道格。 [笑] 很好。
而且,当我们当天的节目太阳开始落山时,是时候听取我们的读者对世界备份日文章的看法了。
理查德写道, “真的应该有两个世界后备日吗?”
鸭。 你在那里看到了我的回应。
我放了 [:drum emoji:] [:cymbal emoji:]。
道格。 [笑] 是的,先生!
鸭。 我一这样做,我就想,你知道吗?
道格。 应该有!
鸭。 这真的不是开玩笑。
它概括了这个深刻而重要的真理……[笑]
正如我们在那篇关于 Naked Security 的文章结尾所说的那样,“记住:世界备份日并不是每年您实际进行备份的那一天。 就在这一天,你要为你的数字生活方式制定一个备份计划。”
道格。 优秀。
好的,非常感谢你把它寄来,理查德。
你让很多人都笑了,包括我自己!
鸭。 这很棒。
道格。 真的很好
鸭。 我现在又在笑了……这和评论刚出现时一样让我感到好笑。
道格。 完美。
好的,如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@NakedSecurity。
这就是我们今天的节目; 非常感谢您的聆听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒您下次……
两个都。 保持安全!
[音乐调制解调器]
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/04/06/s3-ep129-when-spyware-arrives-from-someone-you-trust/
- :是
- $UP
- 1
- 1994
- 2023
- a
- Able
- 关于
- 关于它
- 绝对
- ACCESS
- 横过
- 通
- 地址
- 后
- 加拿大航空
- 所有类型
- 好的
- 替代
- 尽管
- 美国人
- 量
- 分析
- 和
- 另一个
- 分析数据
- 应用
- 出现
- Apple
- 四月
- 保健
- 围绕
- 抵达
- 刊文
- 刊文
- AS
- At
- 攻击
- 攻击
- 音频
- 认证
- 认证
- 作者
- 权威
- 自动
- 可使用
- 背部
- 备份工具
- 备份
- 坏
- 基本上
- BE
- 因为
- before
- 开始
- 作为
- 比利时
- 相信
- 如下。
- 大
- 大
- 位
- 品牌
- 新品牌
- 简要地
- 缓冲
- 建立
- 建
- 束
- 商业
- by
- 呼叫
- 被称为
- CAN
- 可以得到
- 不能
- 卡
- 携带
- 进行
- 案件
- 当然
- 链
- 机会
- 查
- 要求
- 明确地
- 客户
- 云端技术
- 云服务
- 码
- 代码审查
- COM的
- 如何
- 未来
- 评论
- 注释
- 广告
- 公司
- 完全
- 一台
- 研讨会 首页
- 分享链接
- 地都
- 考虑
- Contents
- 控制
- 争议
- 便捷
- 角落
- 可以
- 情侣
- 套餐
- 法庭
- 切
- 危险的
- 黑暗
- data
- 天
- 一年中的
- 处理
- 决定
- 深
- 延迟
- 交付
- 部署
- DID
- 不同
- 难
- 数字
- 直接
- 不会
- 做
- 别
- 显着
- 驾驶
- 下降
- 下降
- 滴
- ,我们将参加
- 早
- 容易
- 效果
- 或
- 邮箱地址
- 加密
- 加密
- 本质上
- 甚至
- EVER
- 所有的
- 每天
- 每个人
- 一切
- 究竟
- 例子
- 优秀
- 提取
- 迷人
- 快
- 少数
- 想通
- 文件
- 档
- 满
- 找到最适合您的地方
- 大火
- (名字)
- 飞行
- 流体
- 针对
- 运气
- 向前
- 发现
- 公司成立
- FRAME
- 骨架
- 自由的
- 新鲜
- 止
- ,
- FX
- 差距
- 天然气
- 《通用数据保护条例》(GDPR)
- 其他咨询
- 普通市民
- 得到
- 巨人
- GitHub上
- 给
- 特定
- Go
- GOES
- 去
- 非常好
- 谷歌
- 大
- 保证
- 家伙
- 破解
- 黑客
- 发生
- 发生
- 快乐
- 硬
- 硬件
- 有
- 听
- 听说
- 相关信息
- 更高
- 击中
- 保持
- 主页
- 希望
- 热点
- 创新中心
- How To
- HTTPS
- 巨大
- 数百
- i
- 生病
- ICON
- 主意
- 重要
- in
- 其他
- 包括
- 独立地
- 个人
- 信息
- 初始
- 安装
- 相互作用
- 有趣
- 接口
- 网络
- 介绍
- 涉及
- IP
- IP地址
- 讽刺地
- 问题
- 问题
- IT
- 本身
- 跳
- 保持
- 键
- 类
- 知道
- 笔记本电脑
- 在很大程度上
- (姓氏)
- 晚了
- 铅
- 泄漏
- 法律咨询
- 生活
- 生活方式
- 喜欢
- 容易
- 清单
- 听力
- 小
- 生活
- 锁定
- 看
- 看着
- 寻找
- LOOKS
- 失去
- 占地
- 爱
- 制成
- 主要
- 使
- 制作
- 制作
- 恶意软件
- 操纵
- 许多
- 很多人
- 三月
- 问题
- 有意义的
- 手段
- 内存
- 元数据
- 方法
- 微软
- 中间
- 可能
- 分钟
- 时尚
- 时刻
- 钱
- Moon
- 更多
- 最先进的
- 移动
- 音乐
- 音乐
- 裸体安全
- 裸播安全播客
- 姓名
- 亦即
- 自然
- 需求
- 网络
- 网络
- 全新
- 消息
- 下页
- 通常
- 对象
- 偶然
- of
- 办公
- 正式
- 这一点在线下监测数字化产品的影响方面尤为明显。
- on
- 一
- 在线
- 打开
- 痴迷
- 精心策划
- 秩序
- 其他名称
- 除此以外
- 夸大
- 己
- 包
- 页
- 纸类
- 部分
- 参加
- 特别
- 密码
- 保罗
- 付款
- 员工
- 人
- 地方
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放机
- 播客
- 播客
- 点
- 点
- 毒药
- 戳
- 热门
- 帖子
- 可能
- 功率
- 珍贵
- 呈现
- 以前
- 大概
- 市场问题
- 问题
- 核心产品
- 代码编程
- 所有权
- 国家
- 出版
- 目的
- 放
- 认沽期权
- 质量
- 题
- 有疑问吗?
- 很快
- 勒索
- 勒索软件攻击
- 勒索软件攻击
- 阅读
- 读者
- 真实
- 真实的交易
- 原因
- 记录
- 恢复
- 遗憾
- 发布
- 纪念
- 翻译
- 一个回复
- 知识库
- 要求
- 需要
- 研究人员
- 响应
- REST的
- 恢复
- 恢复
- 揭示
- 检讨
- 理查德
- 摆脱
- 骑
- 风险
- RSS
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- 赶
- 安全
- 说
- 保存
- 保存
- 说
- 扫描
- SEA
- 无缝
- 其次
- 保安
- 看到
- 似乎
- 看到
- 发送
- 感
- 服务器
- 服务
- 特色服务
- 会议
- 集
- 阴影
- 应该
- 显示
- 侧
- 签
- 类似
- 只是
- 自
- 网站
- 尺寸
- 睡觉
- 减慢
- 窥探
- So
- 社会
- 软件
- 解决
- 一些
- 有人
- 东西
- 某处
- 来源
- 源代码
- 太空
- 特别
- 规格
- 纺
- 自旋
- Spotify
- 间谍
- 开始
- 开始
- 藏
- 留
- 抢断
- 仍
- 被盗
- 车站
- 存储
- 故事
- 简单的
- 工作室
- 提交
- 这样
- 周日
- 供应
- 供应链
- 应该
- 悉尼
- 采取
- 谈论
- 说
- 科技
- 文案
- 电视
- 十
- 谢谢
- 这
- 世界
- 其
- 他们
- 那里。
- 因此
- 博曼
- 事
- 事
- 思维
- 想
- 本星期
- 思想
- 三
- 通过
- 次
- 秘诀
- 至
- 今晚
- 明天
- 也有
- 工具
- 工具
- 最佳
- Topics
- 交通
- 发送
- 麻烦
- 信任
- 转身
- tv
- 下
- 更新
- 网址
- us
- 使用
- 用户
- 用户界面
- 用户
- 拱顶
- 版本
- 受害者
- 在线会议
- 音色
- 体积
- VPN
- VPN的
- 脆弱
- 等待
- 唤醒
- 醒来
- 通缉
- 方法..
- 方法
- 卷筒纸
- 周
- 井
- 什么是
- 轮
- 是否
- 这
- 而
- WHO
- 批发
- 无线网络连接
- 无线上网
- 将
- 窗户
- 无线
- 中
- 也完全不需要
- 话
- 工作
- 世界
- 将
- 错误
- 年
- 完全
- 您一站式解决方案
- 和风网
- 放大