德国利用黑洞行动阻断 30,000 台设备上的 BADBOX 恶意软件
奇安信德国联邦信息安全办公室(BSI)近期针对 BADBOX 恶意软件展开了积极行动,以保护网络安全和消费者权益。
BADBOX 恶意软件被发现预装在至少 30,000 台在德国销售的联网设备上,这些设备种类繁多,涵盖数码相框、媒体播放器、流媒体设备,甚至可能包括手机和平板电脑。其共性为安卓版本陈旧且预装了恶意软件。该恶意软件最早由 HUMAN 的研究团队于 2023 年 10 月记录,被描述为一个复杂的威胁计划,通过利用供应链漏洞,在低成本非品牌安卓设备上部署 Triada 安卓恶意软件,一旦联网,它便开始收集包括验证码等各类数据,并安装其他恶意程序。
此外,此恶意软件操作还涉及一个源自中国的广告欺诈僵尸网络 PEACHPIT,它通过感染设备伪造热门安卓和 iOS 应用程序的流量,并将虚假流量印象通过程序化广告出售以获利。同时,受 BADBOX 感染的设备还可充当住宅代理服务,为其他威胁行为者提供流量路由并躲避检测,甚至被用于创建 Gmail 和 WhatsApp 等在线账户。
面对这一严峻情况,德国采取了果断措施。BSI 通过对相关域名进行黑洞处理,成功切断了受感染设备与命令和控制(C2)服务器之间的通信。此外,BSI 还指示国内所有用户超过 10 万的互联网服务提供商将流量重定向到黑洞,同时呼吁消费者立即断开受影响设备的网络连接,以防止恶意软件进一步作恶,减少潜在的数据泄露和网络欺诈风险,保护用户的个人信息和网络安全,维护正常的网络秩序。这一事件也再次提醒消费者要警惕购买来源不明或价格过低的电子设备,同时也为全球范围内应对类似恶意软件威胁提供了参考范例。
Curl 漏洞:攻击者可获取敏感信息及应对措施总结
近期,在广受欢迎的数据传输工具 Curl 中发现了一个严重的安全漏洞(CVE-2024 - 11053),该漏洞影响了 6.5 至 8.11.0 版本,可能致使攻击者获取敏感信息,尤其是用户密码可能被泄露给未经授权方。
此安全问题的产生需满足特定条件:当 Curl 被配置为使用.netrc 文件存储凭据且允许 HTTP 重定向时,若.netrc 文件中包含与重定向目标主机名匹配的条目,且该条目未填写密码或同时缺失登录名和密码,就可能发生密码泄露。例如,若 Curl 向 a.tld 的传输重定向至 b.tld,而.netrc 文件中有 b.tld 的条目但无密码,Curl 会错误地将 a.tld 的密码传递给 b.tld。
该漏洞被 Curl 项目归类为 CWE - 200:敏感信息暴露给未经授权方。尽管存在密码泄露风险,但此漏洞严重程度被评为低。不过,由于 Curl 命令行工具在众多应用中广泛使用,其影响范围不容小觑,不仅涉及 libcurl 库,也影响到相关应用。
为应对此漏洞,Curl 项目于 2024 年 12 月 11 日发布了 8.11.1 版本,用户可采取以下措施进行修复:
升级版本:最推荐的方式是将 Curl 和 libcurl 升级到 8.11.1 版本。
应用补丁:对当前版本应用补丁后重新构建。
调整配置:避免同时使用.netrc 文件和重定向功能。
该漏洞于 2024 年 11 月 8 日被报告给 Curl 项目,经过深入调查和开发修复,Curl 团队于 12 月 3 日联系了相关分发渠道。最终于 12 月 11 日协调发布了 8.11.1 版本及安全公告。用户和管理员务必检查 Curl 配置并及时更新至最新版本,以降低因该漏洞带来的安全风险,保护数据安全和隐私。
德国 3 万设备预装 “BadBox” 恶意软件情况及应对举措
德国联邦信息安全办公室(BSI)近期针对一种名为 “BadBox” 的恶意软件采取了有力行动。据悉,多达 30,000 台德国境内的联网设备,像数码相框、媒体播放器等,被发现预装了这款恶意软件,罪魁祸首往往是设备安卓版本太过陈旧。
“BadBox” 恶意软件给用户带来了诸多严重风险。一方面,它能悄无声息地为电子邮件、通讯软件创建账户,这很可能成为假新闻传播的温床,扰乱正常的信息传播秩序,误导大众。另一方面,它会在后台偷偷访问网站,暗中执行广告欺诈行为,让广告投放变得混乱无序,损害商家及平台的利益。更可怕的是,它可以充当住宅代理,使得不明身份的第三方能够借助受害者的网络连接去实施网络攻击以及各类非法活动,这无疑将用户的 IP 地址置于和犯罪行为相关联的危险境地,用户可能在毫不知情的情况下就卷入网络违法事件当中。而且,它还具备下载更多恶意软件的能力,就像滚雪球一样,不断扩大其破坏范围,对用户设备及整个网络环境的安全构成极大威胁。
面对这一严峻态势,BSI 积极应对,依据 BSI 法案(BSIG)第 7c 条实施了 “黑洞” 措施,也就是把受感染设备与攻击者服务器之间的通信进行重定向,目前这一措施已经对用户超过 10 万的服务提供商产生影响,只要 “黑洞” 持续发挥作用,就能暂时确保用户不会立刻面临风险。
与此同时,BSI 也对消费者给出了建议,鉴于受影响的设备种类可能还涉及智能手机、平板电脑等,消费者一旦收到电信提供商基于 IP 地址监测发出的潜在感染通知,就要严肃对待,要么断开可能被感染设备的网络连接,要么干脆停止使用。而且,在购买设备时,要仔细核实其安全功能,优先选择来自信誉良好的制造商且运行着最新操作系统版本的产品,BSI 网站 “智能家居 —— 安全联网你的生活空间” 板块还提供了更多保障智能设备安全的相关资源可供参考。
总之,这一事件凸显了网络安全问题不容小觑,无论是制造商、零售商还是消费者,都需要提高网络安全意识,共同努力来守护个人设备与网络的安全,抵御恶意软件带来的侵害。
任意文件上传漏洞的攻防讲解
一、定义
任意文件上传漏洞是指攻击者能够绕过网站的安全机制,上传任意类型的文件到服务器。这些文件可能是恶意脚本(如 PHP、ASPX、JSP 等脚本文件),一旦上传成功,攻击者就可以在服务器上执行恶意操作。
二、危害
1. 代码执行
攻击者上传恶意脚本文件后,可以在服务器上执行任意代码。例如,上传一个 PHP 脚本,通过访问这个脚本文件,就可以在服务器上执行诸如查看、修改或删除服务器文件等操作。
这种代码执行可能导致服务器被完全控制,敏感数据泄露,甚至整个网站被篡改。
2.恶意软件传播
攻击者可以上传包含恶意软件的文件,如病毒、木马等。当合法用户访问或下载这些被上传的文件时,就会感染恶意软件。
这不仅会影响服务器的安全,还会对访问该网站的用户造成危害,例如窃取用户的个人信息、账号密码等。
3. 网站篡改
通过上传恶意文件,攻击者可以修改网站的页面内容,替换合法的网页文件,导致网站展示出攻击者想要的内容。
这对于企业形象和网站的信誉会造成极大的损害。
三、常见攻击方式
1.绕过文件类型检查
(1)修改文件扩展名
许多网站在文件上传时会检查文件的扩展名。攻击者可能会将恶意文件的扩展名修改为看似合法的扩展名。例如,将一个.php 文件重命名为.php.jpg,然后上传。如果服务器端只检查文件扩展名的最后一部分,就可能被绕过。
(2)利用文件头信息
有些服务器会检查文件头信息来确定文件类型。攻击者可以伪造文件头信息,使恶意文件看起来像是合法文件。例如,在一个恶意的 PHP 脚本文件前面添加 JPEG 文件头信息,欺骗服务器认为这是一个图片文件。
2.利用文件上传路径漏洞
如果服务器端的文件上传路径存在漏洞,攻击者可以通过构造特殊的上传路径,将文件上传到可执行的目录下。例如,服务器的上传目录配置错误,允许将文件上传到网站的根目录或者脚本执行目录,攻击者就可以直接执行上传的恶意文件。
3.利用中间件漏洞
某些中间件(如 Apache、IIS 等)存在文件解析漏洞。攻击者可以利用这些漏洞,使服务器错误地解析上传的文件。例如,在 Apache 的某些版本中,存在对.php.rar 文件的解析漏洞,攻击者可以上传这种文件,服务器会将其作为 PHP 文件执行。
四、防范措施
1.文件类型检查
(1)白名单机制
使用白名单机制来检查允许上传的文件类型,只允许特定的、合法的文件类型上传,而不是通过黑名单机制去禁止某些文件类型。例如,只允许上传.jpg、.png、.pdf 等已知的安全文件类型。
(2)多重检查
不仅检查文件扩展名,还要检查文件头信息和文件内容特征。例如,对于图片文件,可以检查其文件头是否符合 JPEG、PNG 等格式的标准,并且检查文件内容是否存在恶意脚本代码。
2.文件上传路径安全
确保文件上传目录不具有脚本执行权限,并且将上传目录与网站根目录和可执行目录隔离开。例如,将上传的文件存储在一个专门的、没有脚本执行权限的目录下,防止上传的文件被直接执行。
3.安全配置和更新
确保服务器和中间件的安全配置,及时更新服务器软件和中间件补丁,防止已知的文件上传漏洞被利用。例如,及时更新 Apache、IIS 等中间件的版本,修复可能存在的文件解析漏洞。
4.用户输入验证
对用户上传的文件名称、文件路径等输入信息进行严格的验证和过滤,防止攻击者通过构造特殊的文件名或路径进行攻击。例如,禁止使用特殊字符和路径遍历字符(如../)来防止路径篡改。
知识大陆:
关注东方隐侠安全团队 一起打造网安江湖
东方隐侠安全团队,一支专业的网络安全团队,将持续为您分享红蓝对抗、病毒研究、安全运营、应急响应等网络安全知识,提供一流网络安全服务,敬请关注!
公众号|东方隐侠安全团队
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...