每日安全简讯(20190805）

1 研究人员发布L0rdix与C2通信时加密方法分析

Bromium研究人员对L0rdix RAT与C2通信的加密和解密进行了分析。L0rdix的配置包含10个字段，这些字段被加密，并在HTTP POST请求中作为URL查询字符串发送到面板的connect.php页面。通过从面板发送类似的POST请求，可以更新已部署的配置。L0rdix加密其C2通信，首先使用AES以密码块链接(CBC)模式加密明文，使用256位密钥和16字节初始化向量(IV)，然后Base64对密文进行编码，用“~”替换“+”字符，最后URL对密文进行编码。研究人员发现很多的L0rdix样本使用泄露的一个密钥来加密C2通信，该密钥可能为默认密钥。


https://www.bromium.com/decrypting-l0rdix-rats-c2/

---

2 Vigilante黑客利用SMS网关发送垃圾短信

PewDiePie打印机活动的幕后黑客Vigilante正利用SMS网关，向美国移动用户发送垃圾短信。黑客通过编写一个生成1111111到9999999之间每个数字的脚本，生成了一个32GB的潜在电话号码列表，然后将其附加到预先存在的美国区号列表中。该列表用于使用mailx，Unix命令，通过SMS网关向每个生成的潜在号码发送电子邮件。黑客总共向26个不同的电子邮件地址发送信息，这些电子邮件地址是美国主要网络的SMS网关，发送消息速度为每分钟800条。美国要求相关用户自己或通过运营商来禁用手机上的短信网关使用，来防止此攻击。


https://www.wired.co.uk/article/sms-hack-text-twitter-j3ws3r

---

3 NVIDIA修复GPU显示驱动程序严重性漏洞

NVIDIA发布了Windows GPU显示驱动程序安全更新，以修复五个高度和中等严重性漏洞。高度严重性漏洞为CVE-2019-5683、CVE-2019-5684和CVE-2019-5685，中等严重性漏洞为CVE-2019-5686、CVE-2019-5687，这些漏洞可能导致本地代码执行、权限升级以及拒绝服务攻击。建议用户通过应用NVIDIA驱动程序下载页面上可用的安全更新，来更新GeForce、Quadro、NVS和Tesla Windows GPU显示驱动程序。


https://www.bleepingcomputer.com ... gpu-display-driver/

---

4 Visa信用卡漏洞可绕过非接触式的支付限制

Positive Technologies研究人员在Visa卡发现了安全漏洞，允许黑客绕过Visa非接触式信用卡的支付限制。该攻击通过在非接触式支付期间，操纵卡和终端之间交换的两个数据字段来实现。攻击者使用一种可拦截银行卡和支付终端之间通信设备，充当代理，以进行中间人(MITM)攻击，来设置Visa卡在超过支付限制额度后也不需认证，对要求提供对持卡人的额外验证时，通知终端已经通过其他方式进行了验证。研究人员已对五家主要的英国银行对此攻击进行了成功验证，英国以外的信用卡和终端也可遭受该种攻击。


https://www.ptsecurity.com/ww-en ... contactless-limits/

---

5 错误配置的JIRA服务器泄漏用户和项目信息

来自科技行业知名企业的Jira服务器配置错误，暴露了关于内部项目和用户的信息，任何熟练掌握高级搜索运营商的人都可以访问这些信息。Jira是一个由Atlassian团队开发的流行项目管理解决方案，被财富500强公司用来方便地跟踪各种任务和问题的进展，包括谷歌、雅虎、美国宇航局、联想、1Password、Zendesk等组织以及世界各地的管理机构，以上公司都可能会受到影响。


https://www.bleepingcomputer.com ... users-and-projects/

---

6 来自韩国的超100万张支付卡在暗网上销售

研究人员发现，自2019年5月29日以来，已有超过100多万张韩国支付卡在暗网上出售。根据Gemini Advisory数据显示，2019年6月有23万条记录被出售，2019年7月有89万条记录被出售。但是，尚未确定这些支付卡详细信息的来源。由于付款卡记录只包含CP(Card Present)细节，因此自动排除了安装在网上商店的基于web的信息支付卡窃取程序。其他可能的来源包括将恶意软件安装在商店或餐馆的PoS系统上、入侵了银行，支付提供商或PoS公司、卡片收集器设备安装在ATM或PoS终端上。


https://cyware.com/news/over-1-m ... n-dark-web-d1aa744d

---