現在,微軟發(fā)布警告稱,有一種高風險蠕蟲正在感染數百個 Windows 企業(yè)網絡。
這個惡意軟件被稱為“樹莓羅賓”(Raspberry Robin),它主要是通過被感染的 USB 設備進行傳播。
被感染的 USB 設備中包含一個.lnk 文件,只要用戶點擊這個文件,“樹莓羅賓”就會自動創(chuàng)建一個 msiexec.exe 進程,并啟動另一個惡意文件。然后,它將會通過一個短 URL 與命令和控制服務器通信。如果成功連接到服務器,它會下載并安裝一堆其他惡意 .dll,然后這些 .dll 會試圖與 TOR 節(jié)點進行連接。
IT之家了解到,“樹莓羅賓”并不是一種新的惡意軟件。該病毒早在 2021 年就曾被多名安全專家發(fā)現,微軟甚至在 2019 年就看到了使用該病毒的證據。
根據 Bleeping Computer 的消息,微軟現在正在私下通知 Defender for Endpoint 訂閱者有關 Raspberry Robin 的危險。微軟還指出,已經在多個部門的數百個 Windows 網絡中發(fā)現了該蠕蟲。
也就是說,雖然它背后的攻擊者成功通過這一病毒感染了大量機器,但他并未做出任何威脅使用者或是利用該漏洞獲取敏感信息、部署勒索軟件的行為。
因此,目前還不清楚是這些蠕蟲病毒究竟是哪個黑客組織的行為,也不清楚他們的最終目的是什么。然而,考慮到這種蠕蟲存在“進化”的的可能性,而且它目前傳播得相當快實,微軟已經將其標記為目前的高風險活動。
▲ Raspberry Robin 感染流程 (Red Canary)
近一段時間,蘋果頻頻爆發(fā)“安全門”事件,先是iCloud漏洞使數百名歐美女明星的艷照被泄漏,緊接著又有俄羅斯信息安全公司曝光全球已經有1.7萬Mac電腦感染一種名為iWorm的蠕蟲病毒,以安全性著稱的蘋果被狠狠地打了兩巴掌。
根據俄羅斯信息安全研究公司Dr. Web最新的消息,目前網絡上出現了一種名為iWorm的惡意軟件,這種軟件是專門針對蘋果的OS X系統(tǒng),已經感染了全球1.7萬臺蘋果Mac電腦,而且這個數字還在不斷攀升之中。
iWorm是一種復雜的后門軟件,曾使用Reddit網站作為傳播媒介,一旦感染用戶電腦,就能夠竊取用戶數據,同時觸發(fā)多種危險操作,執(zhí)行Lua腳本,遠程操作用戶電腦等等。最可怕的是,這種病毒軟件能夠調用Reddit網站的搜索服務,獲得僵尸網絡的服務器列表,進而感染更多的Mac電腦。
其實早在2年前,蘋果的Mac就遭到過一次病毒的大范圍入侵,而那一次有超過60萬臺Mac遭到感染,那種病毒就是臭名昭著的Flashback蠕蟲病毒。盡管蘋果在后來及時推出更新,控制了事態(tài)的發(fā)展,但是這已經證明蘋果的Mac已經不能算是十分安全的電腦了。
盡管目前iWorm沒有表現出任何的攻擊意向,但是這已經足以讓安全人員警惕了,Reddit目前已經封殺了這一惡意軟件發(fā)送的請求,而俄羅斯信息安全研究公司Dr. Web也在病毒庫中將這一惡意軟件標記為“Mac.BackDoor.iWorm”,進行嚴密的監(jiān)視。
對于iWorm,用戶其實很容易檢查。因為該惡意承程序會被解壓至OS X的一個文件夾。用戶只需點擊OS X的Finder菜單中的“Go -> Go to Folder”選項,隨后輸入路徑“/Library/Application Support/JavaW”即可。如果OS X找不到這一文件夾,那么Mac電腦就是安全的。如果能找到這一文件夾,那么用戶需要安裝反病毒軟件,從硬盤中清理iWorm。
1 月 6 日晨,根據國外著名媒體網站 MacRumors公布的資料得知,中國地區(qū)很多 Mac、iOS 用戶遭遇名為 WireLurker 的惡意軟件(惡意代碼)侵擾,再經過消息源頭Paloalto Networks的具體分析,獲悉得知,這些惡意行為幾乎都來自國內一個叫「麥芽地」的果粉論壇,而該網站的一篇文章則表示了委屈和強烈的不滿(詳見此文)。對于這次事件,我的個人觀點無法做到客觀、公正,但至少我可以獨立地評價一下:呵呵。
既然事情已經發(fā)生(其實可以追溯到 6 個月前),倒不如以解決問題為首要目標,妥善了結并預防此類現象的再度發(fā)生。如果你從來沒接觸過,且電腦確實未曾安裝過盜版、非法客戶端,那么自然而然不必產生擔心;反之,筆者建議你使用少數派昨天介紹的 檢測教程來探測電腦是否受到感染?
若命令最后的顯示內容為「Your OS X system isn't infected by the WireLurker」,那么你的電腦暫且相安無事,我能提供的建議就是:
作為一家歷史悠久的 IT 巨頭公司,Apple 經歷過的每款操作系統(tǒng),都免不了「第三者」的插足,這里指借系統(tǒng)漏洞實施非法行為的操作。正是在這些問題的「洗禮」下,如今的 OS X 操作系統(tǒng)已經擁有了相當可觀的安全性,并伴隨著此次事件的發(fā)生,其可靠程度將會再一次得到提升。
接下來我們不妨以 WireLurker 為首,并在之后按照由前至后的時間順序,一步步了解那些蘋果電腦遇到過的「風塵」往事,感興趣的讀者千萬別錯過了!
(聲明:以下部分內容翻譯 & 摘取自 nakedsecurity、welivesecurity及網易科技)
2014 年,WireLurker 出現在源頭為「麥芽地」網站封裝的盜版 App 中,在 6 個月的時間內,這些被感染對象的總下載量超過了 35,000 次,受眾者大多為中國地區(qū)用戶。除了私自上傳用戶數據外,WireLurker 還可以通過 USB 端口,間接感染 iOS 設備,甚至對未越獄的設備也同樣奏效。雖然影響到的設備數量較多,但由于其本身的傳播途徑受限,因此現在預防還來得及。
1987 年,nVIR 病毒通過軟盤廣泛傳播,受影響的系統(tǒng)版本為 4.1 ~ 8.0 等。由于病毒的源代碼被公布,故導致了多個變種版本的誕生,嚴重危害到 Apple 電腦的安全性。有趣的是,類似的現象還發(fā)生在 MS-DOS 平臺,且同樣由軟盤傳遞病毒。根據現象和時間可得出結論,nVIR 或許是多種病毒的最初體。
1995 年,又一種同時影響到 PC/Mac 的病毒誕生:Concept。只要啟動被感染的 CD 或打開被感染的文檔,病毒就會被立即激活。主要現象為:通過對 Word 通用模版 NORMAL.DOT 的掃描判斷執(zhí)行條件,如果其中已存在宏「Payload」或「FileSaveAs」,病毒就會停止執(zhí)行;否則,病毒就會拷貝宏文件并顯示一個對話框。雖說它不會帶來非常嚴重的后果,但卻為這樣的行為作了一個「很好的榜樣」。
1998 年,一種綽號為 AutoStart 9805 的蠕蟲病毒在香港被發(fā)現,它通過拷貝隱藏病毒至各磁盤分區(qū),進而大范圍地影響磁盤(甚至包括關聯(lián)的外接設備),改寫并隨機注入未知數據,使得操作系統(tǒng)停止工作。受影響的對象為:運行 Mac OS 的 PowerPC 設備,并同時安裝有 QuickTime 2.0 版本。
2004 年,基于腳本語言開發(fā)的蠕蟲病毒 Renepo(又稱 Opener)肆虐 OS X 平臺,被感染設備的防火墻會被完全關閉,接著自動下載 Hacker 制作的破解工具,并間接獲得系統(tǒng)的 Admin 最高權限,最終被遠程控制。
2007 年,又一處嚴重的 OS X 系統(tǒng)漏洞被發(fā)現。當用戶在非法成人站點上點擊圖片準備瀏覽視頻時,站點會顯示一條消息,告知用戶 QuickTime Player 播放器需要更新。這時木馬就會根據用戶的電腦配置,自動完成下載和安裝。最后,木馬程序會以 root 權限(最高權限)安裝,而不必受用戶設置的賬戶密碼的限制,從而通過改變系統(tǒng)的 DNS 服務器配置將用戶牽引至釣魚網站上。
2014 年,心臟出血漏洞,也簡稱為心血漏洞,是一個出現在開源加密庫 OpenSSL 的程序錯誤。該漏洞通過讀取網絡服務器內存,訪問敏感數據,從而危及服務器及用戶的安全。這是近年來影響范圍最廣的一次全球互聯(lián)網安全事件,受害者包括 Amazon, Ars Technica, Github, Mojang, SoundCloud, Tumblr, Wunderlist 等知名站點。
2014 年,瑞典研究人員埃米爾·科瓦漢馬爾(Emil Kvarnhammar)稱,他發(fā)現蘋果最新的 OS X 操作系統(tǒng) Yosemite 存在一個新的重大漏洞,他將其稱作 Rootpipe。這個漏洞可讓攻擊者獲得受害者電腦的 root 權限,進而竊取個人信息、運行他們發(fā)布的自有程序。
事實上到目前為止,還沒有證據顯示該漏洞實際上有被利用過,因為用戶一般都能發(fā)現相關的安全提醒。無論消息可靠與否,蘋果目前在針對 Rootpipe 漏洞制作補丁,相信不久后就能得到彌補。
如果把「正版應用」作為對象寫一首打油詩,送給讀者,那我會這么編詞:
不會裝說明你菜,不會用說明你弱,買不起說明你窮,養(yǎng)不起說明你虛;
會安裝說明你棒,會使用說明你智,買得起說明你壕,養(yǎng)得起說明你富。
如果你愿意成為哪部分人群,我沒有資格說服與勸解,但至少應該積極向上一些,不是嘛?