Aggregator

HackerNews 编译，转载请注明出处： 一种名为Pumakit的新Linux rootkit恶意软件被发现，它使用隐身和高级权限提升技术来隐藏其在系统上的存在。 该恶意软件是一个多组件集合，包括一个投递器(dropper)、内存驻留可执行文件、内核模块rootkit和一个共享对象(SO)用户空间rootkit。 Elastic Security在VirusTotal上发现了一个可疑的二进制文件(‘cron’)上传，日期为2024年9月4日，并报告说无法看到谁在使用它以及它针对的目标。 通常，这些工具被高级威胁行为者用于针对关键基础设施和企业系统进行间谍活动、财务盗窃和破坏操作。 Pumakit采用多阶段感染过程，起始于一个名为’cron’的投递器，它从内存中完全执行嵌入的有效载荷(‘/memfd:tgt’和’/memfd:wpn’)。 ‘/memfd:wpn’有效载荷在子进程中执行，执行环境检查和内核映像操作，并最终将LKM rootkit模块(‘puma.ko’)部署到系统内核中。 LKM rootkit中嵌入了Kitsune SO (‘lib64/libs.so’)，作为用户空间rootkit，使用’LD_PRELOAD’注入自身到进程中，以拦截用户级别的系统调用。 Pumakit感染链 rootkit遵循条件激活，检查特定的内核符号、安全启动状态和其他先决条件后才加载。 Elastic表示，Puma利用’kallsyms_lookup_name()’函数来操纵系统行为。这表明rootkit旨在仅针对5.7版本之前的Linux内核，因为新版本不再导出该函数，因此不能被其他内核模块使用。 “LKM rootkit操纵系统行为的能力始于其使用系统调用表及其依赖于kallsyms_lookup_name()进行符号解析，”Elastic研究人员Remco Sprooten和Ruben Groenewoud解释说。 “与针对5.7及以上内核版本的现代rootkit不同，该rootkit不使用kprobes，表明它是为旧内核设计的。” Puma使用’ftrace’钩住18个系统调用和多个内核函数，以获得权限提升、命令执行能力以及隐藏进程的能力。 内核函数’prepare_creds’和’commit_creds’被滥用以修改进程凭证，为特定进程授予root权限。 该rootkit可以从内核日志、系统工具和杀毒软件中隐藏自己的存在，并且还可以隐藏目录中的特定文件和进程列表中的对象。 如果钩子被中断，rootkit会重新初始化它们，确保其恶意更改不会被撤销，模块不能被卸载。 用户空间rootkit Kitsune SO与Puma协同工作，将其隐身和控制机制扩展到用户交互。 它拦截用户级别的系统调用，并改变ls、ps、netstat、top、htop和cat等命令的行为，以隐藏与rootkit相关的文件、进程和网络连接。 它还可以根据攻击者定义的标准动态隐藏任何其他文件和目录，并使恶意二进制文件对用户和系统管理员完全隐形。 Kitsune SO还处理与命令和控制(C2)服务器的所有通信，将命令中继到LKM rootkit，并将配置和系统信息传输给操作员。 除了文件哈希之外，Elastic Security还发布了一个YARA规则，以帮助Linux系统管理员检测Pumakit攻击。     消息来源：bleepingcomputer；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

A vulnerability classified as critical was found in Oracle FLEXCUBE Universal Banking up to 11.83.3/12.4/14.3/14.5. This vulnerability affects unknown code of the component Infrastructure. The manipulation leads to improper input validation. This vulnerability was named CVE-2021-44832. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in Oracle Data Integrator 12.2.1.3.0/12.2.1.4.0. Affected by this issue is some unknown functionality of the component Runtime Java agent for ODI. The manipulation leads to improper input validation. This vulnerability is handled as CVE-2021-44832. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, was found in Oracle Identity Management Suite 12.2.1.3.0/12.2.1.4.0. This affects an unknown part of the component Installer. The manipulation leads to improper input validation. This vulnerability is uniquely identified as CVE-2021-44832. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability has been found in Oracle Banking Loans Servicing 2.12.0 and classified as critical. This vulnerability affects unknown code of the component Web UI. The manipulation leads to improper input validation. This vulnerability was named CVE-2021-44832. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Oracle Banking Party Management 2.7.0 and classified as critical. This issue affects some unknown processing of the component Web UI. The manipulation leads to improper input validation. The identification of this vulnerability is CVE-2021-44832. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Oracle Banking Payments 14.5. It has been classified as critical. Affected is an unknown function of the component Infrastructure. The manipulation leads to improper input validation. This vulnerability is traded as CVE-2021-44832. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Oracle Banking Platform 2.6.2/2.7.1/2.12.0. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component SECURITY. The manipulation leads to improper input validation. This vulnerability is known as CVE-2021-44832. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in Oracle Banking Trade Finance 14.5. It has been rated as critical. Affected by this issue is some unknown functionality of the component Infrastructure. The manipulation leads to improper input validation. This vulnerability is handled as CVE-2021-44832. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in Oracle Banking Treasury Management 14.5. This affects an unknown part of the component Infrastructure. The manipulation leads to improper input validation. This vulnerability is uniquely identified as CVE-2021-44832. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in Oracle Banking Deposits and Lines of Credit Servicing 2.12.0. Affected by this issue is some unknown functionality of the component Web UI. The manipulation leads to improper input validation. This vulnerability is handled as CVE-2021-44832. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability, which was classified as critical, was found in Oracle Banking Enterprise Default Management 2.7.1/2.12.0. This affects an unknown part of the component Collections. The manipulation leads to improper input validation. This vulnerability is uniquely identified as CVE-2021-44832. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.

Dec 12, 2024Join us for this segment as we discuss government regulationsand certifications as they

美国网络安全战略专家、新锐网安公司SentinelOne首席安全顾问摩根·莱特（Morgan Wright）日前撰文称，特朗普第二任期政府已表态减少物理战争，网络战将是替代选择，预计针对美军进攻性网络行动的管控政策将进一步宽松，以实现美国的全球优势。以下为全文翻译，安全内参做了少量编辑。 美国网络司令部和国家安全局（NSA）前负责人保罗·仲宗根将军（Paul Nakasone）有一句名言，能最恰如其分地概括下届特朗普政府将面临的网络安全挑战。他曾说：“如果我们发现自己只在内部网络进行防御，我们已经失去了主动权和优势。” 网络空间威胁态势每天都在变化。虽然新的AI技术将在打击对手方面发挥重要作用，但一项更具进攻性的网络政策可能成为美国能够部署的最强大的武器。 特朗普政府即将于明年1月上台，人们不禁要问：在未来的几个月和几年中，我们是否会看到更多进攻性的网络行动？ 对此，摩根·莱特认为答案是肯定的。启动一场传统战争与派出一支网络战队截然不同。传统战争风险高代价大，而网络战则完全相反。 美军进攻性网络行动近年频次暴涨 按照惯例，美国在非战区或未明确敌对状态的情况下展开军事行动，需要得到总统批准。美国法典第10编（武装部队规则）是军事权力的基础。 然而，针对本·拉登的代号为“海神之矛行动”的任务则是根据美国法典第50编（间谍活动与秘密行动规则）进行的。这项由海豹突击队第六分队执行的情报导向行动，尽管取得了成功，但必须先经过总统批准。这是一个漫长且复杂的过程。 与之类似，针对伊朗核设施的代号为“奥林匹克行动”的知名网络破坏任务，在连续两届美国政府中都需要总统授权。这一过程同样繁琐。这些行动虽然本质上是网络作战，但目标均是固定的物理设施。 网络战争需要不同的政策和全新的思维方式。奥巴马政府期间出台总统政策指令（PDD-20）要求，进攻性和防御性网络行动必须经过白宫多次审批。这一规定导致行动速度大幅放缓，不是因为技术能力，而是政策约束。 2018年，特朗普第一任期内的政府开始转向新方法。《第13号国家安全总统备忘录》（NSPM-13）授予国防部长更大的权限，以开展进攻性网络行动。结果是短短几个月内，美国进行的网络空间行动数量超过了过去10年的总和。这一策略被称为“持续交战”。 据美媒C4isrnet 2018年的报告显示，这些更具进攻性的网络活动，帮助美国军方在应对对手方面更加高效。然而，进攻性军事网络行动的性质，决定了它们通常属于机密。美国的机密政策会产生一个问题，人们几乎从未听闻成功案例，失败案例却在国会监督框架下被广泛讨论。 网络威胁态势不断恶化将推动管控政策进一步宽松 美国持续面临来自俄罗斯、朝鲜和伊朗等敌对国家不断演变的众多威胁，以及代理人和跨国网络犯罪组织的持续攻击。值得注意的是，一些新的变化正在发生，而新的应对方法可能对未来的网络空间政策产生重大影响。 2021年5月，拜登总统因太阳风事件（国家支持的网络威胁行动）和Colonial管道事件（跨国网络犯罪组织攻击）发布了网络安全行政命令（EO 14028）。该命令不仅要求实施多因素认证、加密等基础网络安全工具，还对政府传统上采用的应对方法提出质疑，呼吁采用现代化解决方案。 另一起更近期的网络事件，由外国支持的“盐台风”针对美国电信行业的攻击。这引发了更多要求建立独立美国网络部队的讨论。虽然支持与反对的争论仍在继续，但在今年4月，美国的最大网络对手已经成立了专门的网络空间部队。 未能阻止外国实施激进网络间谍活动的代价越来越大。外国黑客持续窃取美国国防等领域的知识产权。朝鲜持续通过远程IT工作者骗局寻找新的方式获取流动资金，以资助其军事与核计划。伊朗也表示，将扩大铀浓缩规模，并积极开展低风险的网络攻击行动。 俄罗斯同样不容低估。即使在乌克兰战争期间，俄罗斯仍然对美国关键基础设施实施攻击。 美国前总统西奥多·罗斯福有一句名言：“说话温和，但手持大棒。”在网络空间，这根“大棒”并不是花哨的AI技术、军事硬件或最新的小工具，而是一项明确的政策，并辅以这些技术工具作为支撑。 真正的成功标准不是对敌人成功攻击的次数，而是敌人对美国的攻击完全不存在。 即将上任的特朗普政府已明确表示，他们更倾向于减少动能战争。如果这一目标真正实现，将更多是因为政策的调整，而非技术上的突破。可以预见，政策将更多地聚焦于第五领域（网络空间）的战争。     转自安全内参，原文链接：https://www.secrss.com/articles/73451 封面来源于网络，如有侵权请联系删除

It’s 3:00 a.m.A biology graduate student in Hanoi stares at her laptop, one hand nursing a cup of i

Author:(1) David Staines.Table of LinksAbstract1 Introduction2 Mathematical Arguments3 Outli

by TortsDecember 12th, 2024Too Long; Didn't ReadThis section provides a visual comparison of how d

Possible Long-Term Attack by Unknown Hackers Thwarted
Hackers exploiting flaws in Cleo Communications software instances had intimate knowledge of their internals and deployed a previously unknown family of malware, security researchers from Huntress said Thursday. Cleo published a patch Wednesday evening.