เราได้ครอบคลุมค่อนข้างเรื่องราวบางอย่างเกี่ยวกับมัลแวร์ด้อมเข้าไปใน NPN และเก็บ JavaScript อื่น ๆ นี่คือความแตกต่างกันเล็กน้อย เวลานี้เป็นโปรแกรมเมอร์ JS บุกแพคเกจของตัวเอง ก็ไม่ได้มัลแวร์บางทีเราควรจะเรียกมัน protestware? ทั้งสองแพคเกจสีและกุขึ้นมีทั้งที่เป็นที่นิยมกับการดาวน์โหลดประจำสัปดาห์รวมเกือบ 23 ล้าน ผู้เขียนของพวกเขา [Marak] เพิ่มการปรับปรุงทำลายแต่ละของพวกเขา ห้องสมุดเหล่านี้ตอนนี้พิมพ์หัวเสรีภาพ LIBERTY LIBERTY แล้วทั้งตัวอักษรแบบสุ่มหรือศิลปะ ASCII ที่น่าสงสารมาก จะได้รับการยืนยันว่าปัญหานี้ไม่ได้เป็นผู้บุกรุกภายนอก แต่ [Marak] หมดโครงการของตัวเองเกี่ยวกับวัตถุประสงค์ ทำไม?
ดูเหมือนว่าเรื่องนี้จะเริ่มกลับมาในช่วงปลายปี 2020 เมื่อ [Marak] หายไปไม่น้อยในกองไฟและมีการขอเงินบนทวิตเตอร์ แก้ไข: ขอบคุณที่แสดงความคิดเห็น [แจ็ค Dansen] สำหรับการชี้ให้เห็นรายละเอียดที่สำคัญที่ขาดหายไป Marak ถูกตั้งข้อหาประมาทความเสี่ยงและถูกสงสัยว่ามีแรงบันดาลใจสำหรับการก่อการร้ายเป็นไปได้เป็นวัสดุทำระเบิดที่พบในอพาร์ทเม้นเผาออกของเขา สองสัปดาห์ต่อมาเขาได้เริ่มทวีตว่าพันล้านถูกทำออกงานโอเพนซอร์ส devs’ อ้างรั่ว FAANG FAANG คือการอ้างอิงถึงห้าใหญ่ บริษัท เทคโนโลยีอเมริกัน: Facebook, แอปเปิ้ล, Amazon, Netflix, และ Google ในวันเดียวกันเขาเปิดประเด็นบน Github สำหรับ faker.js โยนลงขาด:“ เวลานี้เป็นโอกาสที่จะส่งฉันสัญญารูปหกเป็นประจำทุกปีหรือแยกโครงการและมีคนอื่นทำงานในนั้น”
หากคุณพบว่าตัวเองรู้สึกเสียใจสำหรับ [Marak] มีริ้วรอยทางด้านซ้ายเพื่อเลี้ยว เขามีรหัสไม่ได้มุ่งมั่นที่จะ colors.js ตั้งแต่เดือนกุมภาพันธ์ 2018 พัฒนาอื่น [DABH] ได้รับการทำการบำรุงรักษาตั้งแต่นั้นมาจนถึงป่าเถื่อนที่เกิดขึ้น ทั้งหมดบอกว่ามันเป็นระเบียบ ทั้งสองโครงการใน NPM ได้รับการหวนกลับไปเผยแพร่ไม่ได้รับอันตรายของพวกเขาและมีแนวโน้มที่จะหมุนเพื่อส้อมอย่างเป็นทางการของโครงการ
จำลองเรียบ
ภูมิปัญญาที่พบบ่อยคือว่าในขณะที่มีหลายชุด iOS ของมัลแวร์ที่ผลิตโดยชอบของสำนักงานสถิติแห่งชาติของกลุ่มว่ามัลแวร์จะไม่ได้พ่ายแพ้การบูตที่เชื่อถือได้ของแอปเปิ้ลเพื่อรีบูตโทรศัพท์ก็เพียงพอที่จะ“ถอนการติดตั้ง” มัน ปัญหานี้จะเห็นได้ชัดเมื่อคุณได้ยินมัน: คุณไว้วางใจเป็นอุปกรณ์ที่ถูกบุกรุกจริงดำเนินการรีบูตสะอาด นักวิจัยที่ ZecOps ได้แสดงให้เห็นความสามารถในการขัดขวางกระบวนการเริ่มต้นใหม่ในสิ่งที่พวกเขากำลังเรียก NoReboot รหัสของพวกเขาในการทำงาน hooks ปิดและแทนที่จะฆ่าส่วนติดต่อผู้ใช้ ครั้งหนึ่งปุ่มเพาเวอร์ถูกกดอีกครั้งภาพเคลื่อนไหวบูตแสดงและในที่สุดคำสั่งระบบที่มีประโยชน์เรียบ userspace ชมการสาธิตที่ฝังตัวอยู่ด้านล่าง
ไม่มีปัญหาใช่มั้ย? เพียงแค่ใช้ฟังก์ชั่นการรีสตาร์ทแรงฮาร์ดแวร์ ระดับเสียงขึ้นปริมาณลงแล้วค้างไว้จนกว่าคุณจะได้รับโลโก้แอปเปิ้ล นานแค่ไหนที่คุณถือมันได้หรือไม่ จนกว่าจะมีการแสดงโลโก้ขึ้น – ขวาก็น่ารำคาญปลอมรีบูตบังคับก่อนที่จะเกิดขึ้นจริง ตกลงเพื่อที่จะรู้ว่าคุณได้รับการรีบูตจริงคุณเพียงแค่ดึงแบตเตอรี่ … โอ้
ผ่านบันทึก
ไมโครซอฟท์ Hacks MacOS
MacOS มีคุณสมบัติที่เรียกว่าความโปร่งใสความยินยอมและการควบคุม (TCC) ว่าสิทธิ์จับของแต่ละแอป ระบบนี้จะช่วยป้องกันการประยุกต์ใช้เครื่องคิดเลขจากการเข้าถึงเว็บของระบบตัวอย่างเช่น การตั้งค่าจะถูกเก็บไว้ในฐานข้อมูลที่เก็บไว้ในไดเรกทอรีบ้านที่มีการควบคุมอย่างเข้มงวดป้องกันการปพลิเคชันจากการปรับเปลี่ยนได้โดยตรง ไมโครซอฟท์ได้ประกาศช่องโหว่ Powerdir ซึ่งรวมนิสัยใจคอคู่ที่จะเอาชนะการป้องกัน ใช้ประโยชน์เป็นเรื่องง่าย: สร้างฐานข้อมูลปลอมทีซีซีแล้วเปลี่ยนไดเรกทอรีบ้านของผู้ใช้เพื่อให้ฐานข้อมูลปลอมในขณะนี้คือคนที่ใช้งาน มันเป็นเรื่องเล็ก ๆ น้อย ๆ ที่มีความซับซ้อนมากกว่านั้นเพราะแอปสุ่มมันไม่ควรจะสามารถทำการแมปไดเรกทอรีบ้าน
พวกเขาพบว่าทั้งสองเทคนิคที่จะทำให้การทำงานของ remap แรกคือไบนารีบริการไดเรกทอรี dsexport และ dsimport ขณะที่การเปลี่ยนไดเรกทอรีบ้านต้องเข้าถึงรากโดยตรงเต้นรำการส่งออก / นำเข้านี้สามารถทำได้เป็นผู้ใช้ที่ด้อยโอกาส เทคนิคที่สองคือการให้มัดที่เป็นอันตรายกับไบนารี configd ซึ่งจะโจมตีรหัสฉีด มันน่าสนใจที่จะเห็นไมโครซอฟท์ยังคงทำวิจัยการรักษาความปลอดภัย MacOS กำหนดเป้าหมาย แรงจูงใจของพวกเขาอาจจะน้อยกว่าที่มีเกียรติ แต่จริงๆมันจะช่วยให้อุปกรณ์ทั้งหมดของเราปลอดภัยมากขึ้น
QNAP และ UPnP
เราได้ครอบคลุมค่อนข้างไม่กี่ช่องโหว่ NAS ปีที่ผ่านมาและฉันได้ตั้งข้อสังเกตหลายครั้งว่ามันคือเรื่องจริงไม่ฉลาดที่จะเปิดเผยเครื่องใช้ไฟฟ้าเช่นนี้กับอินเทอร์เน็ต หนึ่งในคำอธิบายปัญหาเป็น UPnP และวันนี้เราได้รับการยืนยันอย่างเป็นทางการว่านี่เป็นส่วนหนึ่งของปัญหา ในการให้คำปรึกษาใหม่อย่างเป็นทางการ QNAP แนะนำให้คุณปิด UPnP ในอุปกรณ์ QNAP ดูเหมือนว่านี้ควรได้รับการแนะนำค่อนข้างบางเวลาหลังหรือดีกว่ายังอุปกรณ์เหล่านี้มาพร้อมกับ UPnP ยกเลิกโดยปริยาย ฉันจะไปขั้นตอนต่อไปและขอแนะนำให้เปลี่ยนคุณลักษณะปิดในเราเตอร์ของคุณมากเกินไปถ้าคุณรู้ว่าคุณจริงจำเป็นต้องใช้สำหรับบางสิ่งบางอย่าง
ถ้าคุณได้รับไดรฟ์ USB ในจดหมาย …
เพื่อเห็นแก่ความดีอย่าเสียบเข้ากับมัน! ดูเหมือนว่าบาง บริษัท ไม่ได้รับบันทึกนั้นเนื่องจากมีการรณรงค์ Ransomware ที่ประสบความสำเร็จโดย FIN7 โดยใช้วิธีการนี้ เคล็ดลับคือพวกเขารวมถึงจดหมายที่ดูเป็นทางการและอาจเป็นบัตรของขวัญดึงดูดผู้รับเพื่อเสียบปลั๊กไดรฟ์ USB เพื่อรับรางวัลความภักดีของพวกเขา แคมเปญ 2020 จากกลุ่มเดียวกันที่มีการปลอมตัวเลือกซื้อที่ดีที่สุดซึ่งคนนี้อ้างว่ามาจาก Amazon หรือ HHS
คุณอาจรวบรวมว่าแฟลชไดรฟ์เหล่านี้เป็นมากกว่าแค่การจัดเก็บแฟลช ในความเป็นจริงพวกเขาดูเหมือนจะเป็นอุปกรณ์ Badusb – ชิปขนาดเล็กที่ลงทะเบียนเป็นอุปกรณ์ HID และส่งการกดแป้นไปยังคอมพิวเตอร์ เมื่อเสียบปลั๊กแล้วพวกเขาเปิด PowerShell และเรียกใช้สคริปต์ที่เป็นอันตรายให้การเข้าถึงผู้โจมตีจากระยะไกล หากคุณได้รับหนึ่งในนั้นหรือการโจมตีที่คล้ายกันให้โทรไปที่ FBI หรือเทียบเท่ากับท้องถิ่นของคุณ รายงานจาก บริษัท และบุคคลเป็นสิ่งที่นำไปสู่การเตือนเช่นนี้
อัปเดตที่น่าสังเกต
การอัปเดตรอบแรกของ Android สำหรับปีนี้ออกไปและมีปัญหาหนึ่งที่โดดเด่นส่งผลกระทบต่ออุปกรณ์มากมายที่เล่นกีฬา Qualcomm Snapdragon CVE-2021-30285 เป็นช่องโหว่ที่จัดอันดับที่สำคัญในซอฟต์แวร์แหล่งที่มาปิด Qualcomm มันเรียกว่า “การตรวจสอบอินพุตที่ไม่เหมาะสมในเคอร์เนล” แต่ดูเหมือนจะเป็นปัญหาการจัดการหน่วยความจำใน Hypervisor Qualcomm มันได้รับการจัดอันดับ 9.3 ในระดับ CVSS แต่ไม่มีรายละเอียดอื่น ๆ ในขณะนี้
ผลิตภัณฑ์เวอร์ชวลไลเซชันของ VMware ได้รับการแก้ไขกับ CVE-2021-22045 ช่องโหว่ของฮีปล้นในรหัสอุปกรณ์ซีดีรอมเสมือนจริงของพวกเขา การเอารัดเอาเปรียบอาจส่งผลให้ VM Escape และรหัสโดยพลการทำงานบน Hypervisor เครื่องสถานการณ์ที่เลวร้ายที่สุดสำหรับผู้ให้บริการ VM ราคาข้อบกพร่อง 7.7 และโชคดีที่จะต้องมีภาพซีดีติดอยู่กับเครื่องดังนั้นวิธีแก้ปัญหาจึงค่อนข้างง่าย – เพียงแค่ถอดไดรฟ์ซีดีหรือรูปภาพ