【安全帮】微信支付勒索病毒制造者已被刑拘：年仅22岁 感染超10万电脑

微信支付勒索病毒制造者已被刑拘：年仅 22 岁 感染超 10 万电脑 根据上级公安机关“净网安网2018”专项行动有关部署，近日，东莞网警在省公安厅网警总队的统筹指挥，以及腾讯和360公司的大力协助下，24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案，抓获病毒研发制作者１名，缴获木马程序和作案 工具 一批。该犯罪嫌疑人涉嫌利用自制病毒木马入侵用户计算机，非法获取淘宝、支付宝、百度网盘、邮箱等各类用户账号、密码数据约5万余条，全网已有超过10万台计算机被感染。该案为国内首宗同类型案件，该案的成功侦破及时阻断了该病毒对全网计算机系统入侵的进一步扩大，有效遏制了病毒进一步传播。

参考来源：

https://www.secrss.com/articles/6939

  Kubernetes 被曝严重安全漏洞 严重性评估高达 9.8 分 近日，Kubernetes 被爆出严重安全漏洞，该漏洞 CVE-2018-1002105（Kubernetes 特权升级漏洞），被确认为严重性 9.8 分（满分 10 分）。具体来说，恶意用户可以使用 Kubernetes API 服务器连接到后端服务器以发送任意请求，并通过 API 服务器的 TLS 凭证进行身份验证。这一安全漏洞的严重性更在于它可以远程执行，攻击并不复杂，不需要用户交互或特殊权限。更糟糕的是，在 Kubernetes 的默认配置中，允许所有用户（经过身份验证和未经身份验证的用户）执行允许此升级的发现 API 调用。也就是说， 任何了解这个漏洞的人都可以掌控你的 Kubernetes 集群 。

参考来源：

https://www.cnbeta.com/articles/tech/795829.htm

快递主题垃圾邮件在意大利传播 Ursnif 恶意软件变种 上周，Ursnif恶意软件的一个新变种被发现通过垃圾电子邮件活动向意大利用户发起了攻击。事实上，Yoroi-Cybaze ZLAB成功捕获了几封恶意电子邮件，附件所包含的内容是一个.js文件，在执行后会通过从互联网下载其他组件来启动整个感染链。感染链第一阶段的dropper是一个经过混淆处理的javascript。一旦运行，它会生成大量有噪网络流量，目的是使得对真实恶意基础设施的检测更加困难。在下图中我们可以看到，该脚本包含了一系列看起来像是随机生成的URL，而该脚本会尝试连接到这些URL，并且均会以失败告终，从而在分析环境中生成大量的网络流量噪声。

参考来源：

https://www.secrss.com/articles/6950

美国特勤局将在白宫周边测试面部识别技术 美国国土安全部公布了一项用于监视白宫周边公共区域的面部识别试点计划后，倡导保护隐私的人士对此表示强烈不满。项目将使用生物识别技术确认各种美国特勤局（USSS）员工的身份，将其与普通公众区别开来。特勤局还表示，白宫周围两个公共场所的选定摄像机的视频流将监控人行道和街道上的个人，然后面部识别机器将筛选出“可疑人员”。这一计划的目标是通过相关实验确定面部识别技术是否可以帮助特勤局尽早发现（危险的）可疑分子以便执法部门尽早发现。

参考来源：

https://www.hackeye.net

谷歌地图 app 不停地弹出垃圾通知消息，中毒了吗？ 谷歌地图 app 被指弹出垃圾消息通知，要求用户共享地理位置信息以获取免费物品。目前无人知晓原因是什么。安卓和 iOS 用户收到的谷歌地图推送通知的主题很多，比如“你已从谷歌获得免费礼品”、“你已获得一份免费奖品”、“恭喜您获得一台 Pixel”等。当用户点击这些通知时被要求分享位置信息。有不少收到通知的用户都选择直接拦截，但也有一些用户表示，认为这些推送通知是附近商店发的广告，因此选择分享了自己的位置信息，但分享后未收到任何其它信息。这就有点让人不安了，到底为什么要分享位置信息呢？这些通知信息到此出自何处？有些人认为犯罪分子正在借这种方式判断用户是否在家，从而决定是否要入室盗窃；其他人认为它是附近服务的一种，或者可能是为了推销产品。

参考来源：

http://codesafe.cn/index.php?r=news/detail&id=4602

BeatStars 在推特直播中披露安全漏洞事件 前日，销售音乐制作伴奏的BeatStars市场披露一起安全漏洞事件。 BeatStars 首席执行官安倍·白德勋（Abe Batshon ）在推特上分享的潜望镜（Periscope ）直播中揭露，该网站周一瘫痪竟是源于其服务器遭到无授权访问 。白德勋在周二（即12月4日）的直播中称，“昨晚我们发现了严重异常行为，有人试图入侵我们的服务器，尝试访问数据库并执行代码。” 其团队仍在调查该事件，且已通知有关部门。他还承诺，将更新黑客访问过的内容。 据BeatStars网站线上公布的截图称，目前，该事件已造成网站的大规模受损。

参考来源：

https://www.easyaq.com/news/2051053590.shtml

一个由 20000 多个 WordPress 站点组成的僵尸网络正攻击并感染其他 WordPress 站点 一个由20000多个WordPress站点组成的僵尸网络正在大肆攻击并感染其他WordPress站点。一旦有新的网站被被攻破，这些网站就也会被添加到僵尸网络中，让它们为攻击者服务。在WordPress安全公司Defiant发布的最新研究中，发现有黑客收集了20000多个WordPress组成一个僵尸网络，黑客让僵尸网络中的机器暴力破解其他的WordPress网站的登入界面。Defiant还表示，通过在它们的Wordfence暴力保护模块和IP黑名单，它们已经阻止了来自大约500多万个暴力破解认证请求。这次暴力攻击的目标是WordPress的xm l-RPC功能，以便暴力遍历用户名和密码组合，直到发现有效的帐户。xm l-RPC功能可以让远程用户通过使用WordPress或其他API将内容远程发布到WordPress站点。该特性主要是由位于WordPress安装根目录的xm lrpc.php文件实现的。

参考来源：

https://nosec.org/home/detail/2041.html

关于安全帮®

安全帮®，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。