本周關(guān)鍵詞

▼

Wordpress 漏洞  |  Windows10 藍(lán)屏  

macOS 惡意軟件 | 女黑客被無(wú)故扣污名

有些漏洞，明明已經(jīng)修復(fù)了，卻依然造成不小影響；有的漏洞，明明能造成不小影響，有人卻遲遲不去修復(fù)。

Wordpress內(nèi)容注入漏洞致超67000個(gè)網(wǎng)站遭黑產(chǎn)利用

前不久，雷鋒網(wǎng)報(bào)道過(guò)博客管理系統(tǒng) WordPress 在4.7.1 版本存在一個(gè)嚴(yán)重漏洞，導(dǎo)致攻擊者可以在沒(méi)有密碼登錄的情況下強(qiáng)行修改網(wǎng)站的文章內(nèi)容。在該篇報(bào)道之前，WordPress 團(tuán)隊(duì)已經(jīng)發(fā)布了4.7.2版本，修復(fù)了該漏洞。雷鋒網(wǎng)當(dāng)時(shí)也提醒：有相當(dāng)一部分網(wǎng)站沒(méi)有開啟自動(dòng)更新，考慮到 WordPress 的使用者甚多，受影響的網(wǎng)站數(shù)量依然不容小覷。

果不其然，安全公司 Sucuri 披露：”自上周一該漏洞細(xì)節(jié)公開后，攻擊范圍不斷擴(kuò)大，最近每天趨于3000次。超過(guò)67,000的網(wǎng)站內(nèi)容已經(jīng)被篡改?！?攻擊狀況呈現(xiàn)這樣的趨勢(shì)：

攻擊者精心構(gòu)造一個(gè)向目標(biāo)站點(diǎn)REST API發(fā)起的HTTP請(qǐng)求，可以修改文章的標(biāo)題和內(nèi)容。也就是說(shuō)可以在你的網(wǎng)站上掛上他們的文字和圖片，比如賭博網(wǎng)站的廣告，以及一些羞羞的內(nèi)容。

據(jù)雷鋒網(wǎng)了解，在發(fā)動(dòng)攻擊的團(tuán)伙中有一個(gè)叫“w4l3XzY3”的，因此你通過(guò)Google搜索"by w4l3XzY3"，就可以瀏覽一些被他們攻擊過(guò)的站點(diǎn)。

這是一個(gè)漏洞雖已被修復(fù)，但仍造成大規(guī)模影響的例子。相反的是，最近微軟被爆出來(lái)一個(gè)“人人都可以把電腦玩兒藍(lán)屏”的漏洞，漏洞爆出來(lái)好幾個(gè)月，微軟卻依然不緊不慢，非要按部就班等到2月14號(hào)才發(fā)布補(bǔ)丁。

人人都可以把 Windows 玩藍(lán)屏的漏洞，微軟卻不急著修復(fù)

早在 2016 年 9 月 25 日，安全專家 Laurent Gaffie 就發(fā)現(xiàn)了一個(gè) Windows Server 的嚴(yán)重安全漏洞，但是在其向微軟發(fā)出警告以后，微軟卻遲遲沒(méi)有任何動(dòng)作。這可把 Laurent 惹怒了，于是他在網(wǎng)上大肆公布該漏洞的細(xì)節(jié)，并發(fā)出抗議表示：微軟你看不起本黑客提交的漏洞？

然而微軟真的很淡定地表示：“在我們的安全政策中，對(duì)于低風(fēng)險(xiǎn)的問(wèn)題修復(fù)，將安排在下周二（即2月14日）。” 言外之意就是該漏洞確實(shí)很“低風(fēng)險(xiǎn)”不足為懼。

然而據(jù)外媒報(bào)道，攻擊者可以利用該漏洞遠(yuǎn)程將受害者的 Win10 電腦置于藍(lán)屏，雷鋒網(wǎng)也實(shí)測(cè)成功（演示視頻見于雷鋒網(wǎng)報(bào)道：《人人都可以把 Windows 玩藍(lán)屏的漏洞，微軟為什么不急著修復(fù)？》）。

那么為什么微軟不發(fā)布緊急更新，而要等到2月14號(hào)再發(fā)布呢？雷鋒網(wǎng)與 2016 年微軟 MSRC Top 100 榜單上貢獻(xiàn)度排行第 8 的百度安全實(shí)驗(yàn)室的資深安全工程師黃正取得了聯(lián)系，他表示：

如果是微軟的遠(yuǎn)程代碼執(zhí)行的 0day 漏洞被公開，微軟應(yīng)該會(huì)出緊急補(bǔ)丁，微軟甚至?xí)?Adobe Flash 的 0day 漏洞推送緊急補(bǔ)丁，CVE-2017-0016 這個(gè)漏洞的攻擊效果是遠(yuǎn)程藍(lán)屏，我想微軟評(píng)估危害沒(méi)有那么大，所以不推緊急補(bǔ)丁，這個(gè)漏洞對(duì)普通網(wǎng)民影響是很小的，因?yàn)?45、139端口默認(rèn)是被防火墻保護(hù)起來(lái)的。

也就是說(shuō)，微軟認(rèn)為該漏洞只是造成藍(lán)屏，因此影響不太大，要等到定期發(fā)布更新時(shí)間在一并推出補(bǔ)丁。

上周除了 Windows ，蘋果電腦的macOS 也出現(xiàn)了不大不小“幺蛾子”，值得讀者們警惕。

新款 macOS 惡意軟件耍起了 Windows 平臺(tái)的“老伎倆”

外媒稱，研究人員發(fā)現(xiàn)了兩款新型 macOS 病毒，其利用了 Word 文檔的“宏”（macro）功能來(lái)隱藏和執(zhí)行惡意代碼，一個(gè)不留神，它們就會(huì)在你的筆記本上扎根和竊取數(shù)據(jù)。這些都是曾經(jīng)在 Windows 平臺(tái)上耍過(guò)的“老伎倆”。

攻擊者會(huì)引誘粗心的用戶打開已被感染的 Word 文檔，惡意軟件會(huì)在加載惡意宏文件后被立即執(zhí)行。

萬(wàn)幸的是，識(shí)別這些受感染文件并不困難，因?yàn)樗鼈兊摹按蜷_方式”畫風(fēng)很不一樣 —— 雖然系統(tǒng)會(huì)彈出許可請(qǐng)求，但只要在這一步剎住車，就可以阻止惡意軟件的傳播。

但是萬(wàn)一，你還是“手滑”點(diǎn)擊了“運(yùn)行”，那么接下來(lái)的事情就無(wú)法控制了。攻擊者可以在背后監(jiān)視你、調(diào)取你的瀏覽器歷史記錄、或者啟動(dòng)繼發(fā)感染（下載額外的惡意軟件）。

相較于這個(gè)老伎倆，另一款惡意軟件“更加先進(jìn)”。它并沒(méi)有利用 Word 文檔作為載體，而是偽裝成一款合法的應(yīng)用程序。

該病毒會(huì)提示用戶下載并安裝一個(gè)虛假的軟件更新，然后開始竊取用戶的 Keychain，通過(guò)釣魚手段騙得用戶名和密碼（以及其它憑證），最終將數(shù)據(jù)傳回給攻擊者。

對(duì)于 macOS 用戶來(lái)說(shuō)，避免此類攻擊的最佳方式，就是慎從第三方或不被信任的網(wǎng)站下載軟件，而是直接前往蘋果 App Store、或者應(yīng)用程序制作者的官方網(wǎng)站。否則你就要有一雙能識(shí)破黑客伎倆的慧眼，畢竟“藝高人膽大”嘛。

最近國(guó)內(nèi)一位女黑客火了，倒不是因?yàn)榧夹g(shù)有多高，而是因?yàn)橐荒瓴幌丛?，還倒賣銀行卡被抓，我想這可能是女黑客形象被黑得最慘的一次，而且中間還出現(xiàn)了一個(gè)插曲。

女“黑客”一年不洗澡，真正的女黑客被張冠李戴扣污名

據(jù)南方網(wǎng)報(bào)道，女黑客曾某儀年僅22，卻像40多歲的婦女，她在網(wǎng)上結(jié)識(shí)了一幫盜刷銀行卡的人，于是她開始窩在房間里，每天瘋狂地加QQ群，到處搜索銀行卡信息，再把這些信息賣給專門盜刷銀行卡的人。

落網(wǎng)當(dāng)天，辦案民警發(fā)現(xiàn)她的房間簡(jiǎn)直就是一個(gè)垃圾場(chǎng)，床上堆著臟兮兮衣服；地上是快餐盒、易拉罐。而她的電腦里發(fā)現(xiàn)了包含有“四大件”的銀行卡信息50多萬(wàn)條。

女黑客本人將近1米7的個(gè)子，頭發(fā)一把一把地粘在一起，凌亂地披散著。民警伸手拉她，一拉就是一手死皮。其家人說(shuō)，她已一年沒(méi)出門，一年沒(méi)洗澡，她也不許家人進(jìn)她的房間，平時(shí)吃飯由家人將飯送到房間門口。據(jù)報(bào)道，生活上一塌糊涂的曾某儀，在網(wǎng)上幾乎無(wú)所不能，從技校畢業(yè)后網(wǎng)上自學(xué)成為一個(gè)黑客，除了賣銀行卡信息，還做走私車買賣中介。

就這樣“女黑客一年不洗澡”的新聞刷爆網(wǎng)絡(luò)，戲劇性的一幕出現(xiàn)了：網(wǎng)站在報(bào)道該新聞時(shí)配發(fā)了知名網(wǎng)絡(luò)安全公司啟明星辰ADLab負(fù)責(zé)人孫薇的圖片，導(dǎo)致這位真正的美女黑客被扣污名，一時(shí)間黑客全炸開了鍋。

一位多奇趣的美女，一位會(huì)照顧人的姐姐，一位搞管理的黑客，一位懂技術(shù)的總監(jiān)。一夜之間卻和“一年不洗澡不出門，瘋狂竊取別人信息的女‘黑’客”的人牽扯到一起，這讓了解她的圈內(nèi)朋友都感覺無(wú)法接受和憤慨。

雖然該門戶網(wǎng)很快被下發(fā)了侵權(quán)通知書，然后當(dāng)天下午刪除了相關(guān)照片，但依然對(duì)其形象造成了不小的影響。孫薇對(duì)自己“無(wú)故躺槍”表示有些無(wú)奈，她說(shuō)：“這個(gè)一年不洗澡女黑客新聞事件里的女主角，其實(shí)最多只能算“黑產(chǎn)業(yè)鏈”的一分子，連黑帽都算不上的，而把這樣的人冠以‘黑客’，我個(gè)人覺得不是很貼切?！?/p>

此前采訪過(guò)孫薇，配圖被誤用的媒體“安在”也表示，對(duì)于此次事件將繼續(xù)追溯到底，以還網(wǎng)絡(luò)安全從業(yè)群體之清白。

宅客頻道對(duì)此表示，不要對(duì)安全從業(yè)者、黑客群體有什么不好的刻板印象，其實(shí)很多男黑客都是帥氣逼人又有才華又有錢的高富帥，女黑客也有不少身嬌體柔、溫文爾雅的大美女，不信你去看看雷鋒網(wǎng)宅客頻道的黑客報(bào)道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。