破坏坏处|2022年5月25日

122.在威胁演员的工作室内


以下是我们讨论的每篇文章中的一些亮点:

都是善意

  • 司法部今天宣布修订有关违反《计算机欺诈和滥用法》(CFAA)的政策的修订(CFAA)
  • 在它的司法部的分析几天前改变,电子边界基金会的安德鲁·克罗克(Andrew Crocker)准确地将CFAA描述为“臭名昭著的含糊不清的反黑客法”
    • CFAA本身指出,谁在没有或超过授权的情况下有意访问计算机并获得信息,造成损害或支持受保护计算机的欺诈行为违反法规
    • 虽然有一些资格赛,但它以令人难以置信的大门方式撰写和起诉,这使政府和私人机构都能够像大型俱乐部一样挥舞着它,以击败任何人选择的人
    • 在过去的几年中,法律的范围受到限制,但是在此之前,使用合法访问获得信息或违反某事的服务条款可能会使您违反CFAA
  • 该政策对DOJ所说的“善意测试,调查和/或对安全缺陷或脆弱性进行更正”的保护措施以最小化的伤害,促进基础设备的安全性,服务,服务,服务的安全性,或用户
    • 它还采用了《数字千年版权法》的“真诚”定义,这是另一项立法,不一定会导致安全社区中温暖的模糊感
    • 司法部的政策在某些特定情况下列出,如果他们将情况解释为简单的违反服务条款或违反被视为“授权网络访问”的情况,他们将不会起诉,而在工作和浏览社交媒体时,则不会起诉。
    • 应当指出的是,司法部规定的大多数场景在案例法律方面已经缩小,很少与安全研究有关
    • 我们看到的特定开放是指出破坏服务条款不违反CFAA;这尤其赋予了我们为我们刮擦和分析公共网站的能力,并从中生成数据和情报
    • 它可以追溯到Craigslist,LinkedIn和其他公司等公司威胁或起诉其他公司的案件,以寻求他们不喜欢的做法;有些是掠夺性的,有些是合法的研究形式
  • 该消息并不意味着任何人都可以声称自己是“进行安全研究”,并将其作为“诚意”传递。
    • 司法部礼物的场景非常狭窄,“诚信”的定义取决于DMCA的定义,EFF注释既狭窄又含糊。特别是,它禁止规避技术保护措施的方法
  • 文章指出,司法部(DOJ)从来没有“有兴趣起诉善意计算机研究作为犯罪”,尽管这取决于您的观点
    • 在一些相当值得注意的案例中,许多人认为CFAA起诉过于广泛,恶意或其他不良的决定
      • 其中最杰出的可能是亚伦·斯瓦茨(Aaron Swartz),他本身就是互联网先驱,他被指控违反CFAA违反CFAA,以通过麻省理工学院通过MIT进行大规模减少JSTOR文章,其中包括一些解决方法,以免遇到麻省理工学院,以避免陷入困境的麻省理工学院。
      • 许多人和许多专家都认为起诉是有害和不必要的,甚至在斯沃茨自杀后甚至是莫雷索,这导致案件被驳回
      • 还有索尼对乔治·霍茨(George Hotz) - Geohot因在CFAA下被起诉,以越狱PlayStation 3;双方都在法庭上解决
        • Geohot的案例尤其强调了有关安全研究和商业设备的威胁
    • CFAA起诉受到了多次威胁的公司,这些公司考虑了安全研究或其他形式的分析,以违反他们认为对产品,服务或网站的“授权使用”
    • There are also rumblings in the data journalism world, where website-scraping or other techniques have elicited hostile threats, including a very public case recently in which an entire state apparatus mobilized to try and prosecute a journalist that used a web browser’s “view source” function, though no prosecution resulted
  • 这种司法部政策的改变在很大程度上使司法部与CFAA判例法融为一体,例如3TAPS,PMSI,LinkedIn,Barr和Van Buren,并减少(但不会删除)有关仅违反网站服务条款的威胁
    • 我们还有很长的路要走,CFAA仍然有很大的空间被政府和公司滥用,但这是朝着正确方向迈出的一步
    • 为了深入研究,我们建议人们审查EFF(上面共享的链接),并联系您自己的法律专业人员

    欺骗在布丁

    • 伪装的欺诈性域名作为Microsoft的Windows 11下载门户网站试图欺骗用户部署Trojanized安装文件以使用Vidar信息窃取器Malware Malware感染系统
    • 对于那些可能不熟悉Vidar恶意软件的人:
      • 它是在2018年首次确定的,能够从受害者的PC中窃取敏感数据
        • 这包括银行信息,保存的密码,IP地址,浏览器历史记录,登录凭据和加密货币,然后可以将其转移到威胁参与者的命令和控制(C&C)基础架构中
    • 威胁性通过监视网络流量通过恶意域进行了发现
      • 这就是为什么每个人都应该至少对域名进行一些级别的网络流量分析
      • 您可以在DNS解析器日志中找到这些域名,在Web代理日志,SMTP日志,有时以及其他位置,例如Smart Firewalls或IDS或EDR Records中的其他位置
      • 他们发现了这些域名,名字具有MS-WIN11 [。] COM,MS-WIN11.MIDLANDSCANCER [。] com,win11-Serv4 [。] com,win11-serv [。] com,com,等。
        • 对于随意的观察者,在其浏览器窗口中看到这些域,甚至是随意的安全管理员,看到了日志中的名字,他们可能不会引起怀疑
        • 但是它们肯定是不好的,而且威胁性的发现是这些域的​​设计看起来像真正的Windows 11 Updater站点,但实际上它们正在淘汰包含Vidar的ISO
        • 基本上有一个很大的“获取Windows 11”溅出屏幕,还有一个“立即下载”按钮,无法下载用户认为下载的内容
    • In terms of preventing this type of attack - other than noting that the URL is not an official Microsoft one—and many users might not be familiar with whether all the domains Microsoft uses are within the global umbrella of microsoft.com—there’s not a lot to see here
      • 它下载的二进制文件约为300 MB,其中仅为3.3 MB是实际的Vidar文件,其余的就是填充
        • 该填充使一些内联扫描产品更难扫描(它们通常具有文件尺寸限制),并且可能使用户看起来更现实,因为您希望OS更新很大
    • 这也不是该小组目前正在锻炼的唯一攻击
      • 他们还在欺骗Adobe Photoshop和MS团队以提供相同的恶意软件
      • 我们没有看到任何域名指标专门模仿Adobe,但确实看到了一个叫做MS-Team-App [。] Net的指标
      • 对于Adobe One,Thrantlabz确定了一个攻击者控制的GitHub存储库,该存储库托管应用程序Adobe Photoshop Creative Cloud的背dored版本,它们将其归因于同一威胁行为者
    • 还值得注意的是,该广告系列中的某些工具使用合法领域
      • 该广告系列中涉及的所有二进制文件从Telegram和Mastodon网络上从攻击者注册的社交媒体帐户中获取C2服务器的IP地址
      • 我们已经看到了多年的发展 - 这是发现的较棘手的流量之一。并非所有流量分析都是平等的,不幸的是
    • 我们目前不知道这次袭击中造成的损害程度
      • 好消息是,几乎所有的虚假下载域都被封锁在著名的行业块列表中
      • 但是我们不知道该演员可能会控制什么其他基础设施
        • 时间隔离,我们可能会开放虹膜检测,以查看是否可以更全面地绘制广告系列
        • 快速看,攻击者从域基础架构的角度覆盖了他们的曲目
      • 如果您是最终用户,请对您获得软件更新的位置非常谨慎
      • 如果您是后卫,请有识别网络上粗略域的方法
        • 对于许多人来说,如果他们具有这种能力,仍然有意义
        • The likelihood of legitimate business traffic needing to get to a brand-new domain is low enough that it may be worth it for many organizations to take the hit of the occasional service desk call when someone can’t get to a legitimate and brand-new domain

      两个真理和一个谎言

      介绍我们有关破坏坏处的最新部分。我们将玩一个游戏,您都可能熟悉称为两个真相和谎言,并带有有趣的转折。每周,我们都准备好三个文章标题,其中两个是真实的,一个是一个谎言。

      您必须收听才能找出答案!

      当前记分牌


      破坏了两个真理和谎言

      本周的连帽衫/糖果秤


      都是善意

      [ian]:6/10好东西
      [蒂姆]:6/10好东西

      欺骗在布丁

      [ian]:6/10帽衫
      [蒂姆]:4/10帽衫


      这就是我们本周所拥有的一切,您可以在Twitter上找到我们@Domaintools,我们播客中提到的所有文章将始终包含在我们的播客回顾中。当我们发布下一个播客和博客时,太平洋时间上午9点在星期三赶上我们。

      *特别感谢约翰·罗德里克(John Roderick)令人难以置信的播客音乐!