微软安全研究人员发现macOS漏洞 可让恶意软件绕过安全检查

微软安全研究人员发现macOS漏洞可让恶意软件绕过安全检查Gatekeeper是一个macOS安全功能，它自动检查所有从互联网上下载的应用程序是否经过公证和开发者签名（经苹果公司批准），在启动前要求用户确认，或发出应用程序不可信的警告。这是通过检查一个名为com.apple.quarantine的扩展属性来实现的，该属性由网络浏览器分配给所有下载文件，类似于Windows中的MarkoftheWeb。该缺陷允许特别制作的载荷滥用逻辑问题，设置限制性的访问控制列表（ACL）权限，阻止网络浏览器和互联网下载器为下载的ZIP文件存档的有效载荷设置com.apple.quarantine属性。结果是存档的恶意载荷中包含的恶意应用程序在目标系统上启动，而不是被Gatekeeper阻挡，使攻击者能够下载和部署恶意软件。微软周一表示，"苹果在macOSVentura中引入的锁定模式，是针对可能被复杂网络攻击盯上的高风险用户的可选保护功能，旨在阻止零点击远程代码执行漏洞，因此不能防御Achilles"。微软安全威胁情报团队补充说："无论他们的锁定模式状态如何，终端用户都应该应用苹果发布的已修复版本"。这只是过去几年发现的多个Gatekeeper旁路之一，其中许多被攻击者在外部滥用，以规避macOS安全机制，如Gatekeeper、文件隔离和系统完整性保护（SIP）在完全打过补丁的Mac上。例如，BarOr在2021年报告了一个被称为Shrootless的安全漏洞，可以让威胁者绕过系统完整性保护（SIP），在被攻击的Mac上进行任意操作，将权限提升到root，甚至在脆弱的设备上安装rootkit。该研究人员还发现了powerdir，这是一个允许攻击者绕过透明、同意和控制（TCC）技术来访问用户受保护数据的漏洞。他还发布了一个macOS漏洞（CVE-2022-26706）的利用代码，可以帮助攻击者绕过沙盒限制，在系统上运行代码。最后但并非最不重要的是，苹果在2021年4月修复了一个零日macOS漏洞，使臭名昭著的Shlayer恶意软件背后的威胁者能够规避苹果的文件隔离、Gatekeeper和证书安全检查，并在受感染的Mac上下载更多的恶意软件。Shlayer的创造者还设法让他们的有效载荷通过苹果的自动证书程序，并使用多年的技术来提升权限和禁用macOS的Gatekeeper，以运行未签署的载荷。了解更多：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42821...PC版：https://www.cnbeta.com.tw/articles/soft/1335733.htm手机版：https://m.cnbeta.com.tw/view/1335733.htm

窃取密码的Linux恶意软件在3年内悄然传播，无人察觉

窃取密码的Linux恶意软件在3年内悄然传播，无人察觉一个下载网站freedownloadmanager[.]org在过去三年中秘密地向Linux用户提供了恶意软件，窃取了他们的密码和敏感信息，直到最近停止传播。该恶意软件通过重定向用户到恶意域名deb.fdmpkg[.]org来传播。恶意软件会在用户设备上设置后门，允许攻击者远程控制被感染设备。被窃取的数据包括系统信息、浏览历史、密码、加密货币钱包文件以及云服务凭据。研究人员怀疑这是一次供应链攻击，使用了FreeDownloadManager的良性版本作为传播途径。虽然恶意重定向已停止，但这个事件揭示了Linux机器上隐蔽的网络攻击，并提醒用户保持警惕防范恶意软件。参考：来源：ViaDaneelGod投稿：@ZaiHuaBot频道：@TestFlightCN

研究人员发现一个新的 Linux 内核提权漏洞

研究人员发现一个新的Linux内核提权漏洞Linux内核中的一个容易被利用的漏洞（CVE-2022-0847）可以被本地无权用户利用，通过利用已经公开的漏洞在脆弱的系统上获得root权限。由安全研究员MaxKellermann发现的这个缺陷--他称之为DirtyPipe，因为它与DirtyCow缺陷相似--已经在Linux内核和Android内核中打了补丁。受影响的Linux发行版正在推送带有该补丁的安全更新。...Kellerman写的关于他如何发现该漏洞的文章是安全研究人员的一个重要信息来源，包括他的PoC漏洞。其他研究人员也想出了一些变化。这个漏洞显然很容易被利用，尽管它不能被远程利用--攻击者需要事先访问一个有漏洞的主机来部署利用程序。尽管如此，如果DirtyCow缺陷被攻击者在实际利用，你可以肯定他们也会利用DirtyPipe。——

伪装成挖矿工具的强大恶意软件感染超过 100 万台 Windows、Linux PC

伪装成挖矿工具的强大恶意软件感染超过100万台Windows、LinuxPC据卡巴斯基的一份称，五年多来，一种强大的恶意软件一直将自己伪装成一个普通的加密货币挖矿程序，以帮助其逃避检测。自2016年以来，这种命名为的“StripedFly”恶意软件已感染全球超过100万台Windows和Linux计算机。StripedFly融入了EternalBlue的一个版本，这是NSA制造的臭名昭著的漏洞，后来被泄露并用于2017年的WannaCry勒索软件攻击。为了逃避检测，StripedFly的创建者采用了一种新颖的方法，即添加加密货币挖掘模块，以防止防病毒系统发现恶意软件的全部功能。参考：来源：ViaDaneelGod投稿：@ZaiHuaBot频道：@TestFlightCN

安全研究人员诱导ChatGPT编写出危险的数据窃取恶意软件

安全研究人员诱导ChatGPT编写出危险的数据窃取恶意软件一位网络安全研究人员声称，他利用ChatGPT开发了一个零日漏洞攻击程序，可以从被攻击的设备中窃取数据。令人震惊的是，该恶意软件甚至逃避了VirusTotal上所有供应商的检测。Forcepoint的AaronMulgrew说，他在恶意软件创建过程的早期就决定不自己编写任何代码，只使用先进的技术，这些技术通常是由像部分国家支持的复杂威胁行为者采用的。Mulgrew将自己描述为恶意软件开发的"新手"，他使用的是Go执行语言，不仅因为它易于开发，而且还因为他可以在需要时手动调试代码。他还使用了隐写术，将秘密数据隐藏在普通文件或信息中，以避免被发现。Mulgrew一开始直接要求ChatGPT开发恶意软件，但这让聊天机器人的护栏开始发挥作用，它以道德理由直截了当地拒绝执行这项任务。然后，他决定发挥创意，要求人工智能工具在手动将整个可执行程序放在一起之前生成小段的辅助代码。这一次，他的努力获得了成功，ChatGPT创造了包含入侵能力的代码，并且还绕过了VirusTotal上所有反恶意软件的检测。然而，要求编写混淆代码以避免检测被证明是棘手的，因为ChatGPT认识到这种要求是不道德的，并拒绝遵守它们。尽管如此，Mulgrew在只做了几次尝试后就能做到这一点。该恶意软件第一次被上传到VirusTotal时，有五个供应商将其标记为恶意软件。经过几次调整，代码被成功混淆，没有一个供应商将其识别为恶意软件。Mulgrew说整个过程"只花了几个小时"。如果没有这个聊天机器人，他相信一个由5-10名开发人员组成的团队会花上几周时间来制作这个恶意软件，并确保它能躲避安全应用程序的检测。虽然Mulgrew创建恶意软件是为了研究目的，但他说，使用这种工具的理论上的零日攻击可以针对高价值的个人，渗透并发回计算机里的重要文件。...PC版：https://www.cnbeta.com.tw/articles/soft/1353193.htm手机版：https://m.cnbeta.com.tw/view/1353193.htm

连你家电器的算力都不放过，新发现 Linux 恶意软件用 IoT 设备挖矿，大小仅 376 字节

连你家电器的算力都不放过，新发现Linux恶意软件用IoT设备挖矿，大小仅376字节继电脑和手机后，挖矿病毒也盯上了IoT设备。无论是智能冰箱、彩电还是洗衣机，但凡有点算力的（物联网和端侧）设备都可能被这种病毒感染，用于挖掘加密货币等。AT&TAlienLabs新发现的Linux恶意软件Shikitega就是一例。相比之前的一些IoT设备，Shikitega更加隐蔽，总共只有376字节，其中代码占了300字节。那么，这个新型恶意软件究竟是如何感染设备的？...来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot