安全資訊報告

使用電磁輻射可獲取惡意軟體資訊

研究人員開發了一種獨特的策略，該策略使用來自物聯網(IoT)裝置的電磁場發射作為旁路，以獲取有關針對嵌入式系統的多種型別惡意軟體的準確資訊，即使使用混淆策略來阻止分析也是如此。

使用旁道資料檢測與先前已知模式不同的發射異常，並在檢測到類似於惡意軟體的可疑行為時觸發警報，與系統的通常情況相反。這不僅不需要對目標裝置進行任何更改，而且研究中開發的框架還允許檢測和分類隱蔽惡意軟體，例如核心級rootkit、勒索軟體和分散式拒絕服務(DDoS)殭屍網路，如Mirai，以及以前未見過的變體。

側通道方法涉及在執行30個不同的惡意軟體二進位制檔案以及執行良性影片、音樂、圖片和相機相關活動時測量電磁輻射，以訓練卷積神經網路(CNN)模型，用於對真實世界的惡意軟體樣本進行分類三個階段。特別是，該框架接受可執行檔案作為輸入，並僅基於側通道資料生成惡意軟體標籤。

研究人員使用Raspberry Pi 2B作為目標裝置，其具有900MHz四核ARM CortexA7處理器和1GB記憶體，使用示波器和PA 303 BNC前置放大器的組合採集和放大電磁訊號，有效預測在實驗設定中，這三種惡意軟體型別及其相關家族的準確率分別為99.82%和99.61%。

新聞來源：

https://thedigitalhacker.com/using-electromagnetic-emanations-to-spot-evasive-malware-on-iot-devices/

不要從網頁複製貼上命令——你可能會被黑

程式設計師、系統管理員、安全研究人員和技術愛好者將網頁中的命令複製貼上到控制檯或終端中，他們被警告說他們的系統可能會受到威脅。

技術專家演示了一個簡單的技巧，可以讓您在從網頁複製和貼上文字之前三思而後行。

安全意識培訓平臺Wizer的創始人加布裡埃爾·弗裡德蘭德(Gabriel Friedlander)展示了一個明顯但令人驚訝的hack，它會讓您對從網頁複製貼上命令持謹慎態度。

但弗裡德蘭德警告說，網頁可能會暗中替換剪貼簿上的內容，而最終複製到剪貼簿上的內容與您打算複製的內容大不相同。

更糟糕的是，如果沒有必要的盡職調查，開發人員可能只有在貼上文字後才意識到他們的錯誤，此時可能為時已晚。

一位Reddit使用者還展示了一個不需要JavaScript的技巧的替代示例：當您複製文字的可見部分時，使用HTML和CSS樣式製作的不可見文字會被複制到剪貼簿上。

問題不僅在於網站可以使用JavaScript更改您的剪貼簿內容。它還可以隱藏HTML中人眼不可見的命令，但會被計算機複製。

新聞來源：

https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/

謹防假Telegram Messenger應用程式使用Purple Fox惡意軟體入侵PC

Telegram訊息傳遞應用程式的木馬安裝程式被用於在受感染系統上分發基於Windows的Purple Fox後門。透過將攻擊分成幾個小檔案，這個攻擊者能夠將大部分攻擊逃避安全檢測，其中大部分檔案的[防病毒]引擎檢測率非常低，最後階段導致紫狐rootkit感染。

PurpleFox於2018年首次被發現，它具有rootkit功能，允許將惡意軟體植入安全解決方案無法觸及的範圍並逃避檢測。Guardicore2021年3月的一份報告詳細介紹了其蠕蟲狀傳播功能，使後門能夠更快地傳播。2021年10月，趨勢科技研究人員發現了一個名為FoxSocket的.NET植入物，它與Purple Fox一起部署，它利用WebSockets聯絡其命令和控制(C2)伺服器，以建立更安全的通訊方式。

2021年12月，趨勢科技還揭示了紫狐感染鏈的後期階段，透過插入惡意SQL公共語言執行時(CLR)模組來瞄準SQL資料庫，以實現持久和隱蔽的執行並最終利用SQL伺服器挖礦。

研究人員發現大量惡意安裝程式使用相同的攻擊鏈提供相同的Purple Fox rootkit版本，”Zargarov說。“似乎有些是透過電子郵件傳送的，而我們認為有些是從網路釣魚網站下載的。這種攻擊的美妙之處在於，每個階段都被分離到一個不同的檔案中，如果沒有整個檔案集，這些檔案就毫無用處。

新聞來源：

https://thehackernews.com/2022/01/beware-of-fake-telegram-messenger-app.html

安全漏洞威脅

微軟警告稱，Log4j漏洞攻擊水平仍然很高

在觀察到國家資助的網路犯罪攻擊者在12月之前探測系統中的Log4j“Log4Shell”缺陷後，微軟已警告Windows和Azure客戶保持警惕。

Apache軟體基金會於12月9日披露，Log4Shell可能需要數年時間才能修復，因為錯誤日誌軟體元件在應用程式和服務中的使用範圍非常廣泛。

Microsoft警告說，客戶可能不知道Log4j問題在他們的環境中有多普遍。CISA官員認為，數以億計的裝置受到Log4j的影響。與此同時，思科和VMware等主要技術供應商繼續為受影響的產品釋出補丁。

新聞來源：

https://www.zdnet.com/article/log4j-flaw-attacks-are-causing-lots-of-problems-microsoft-warns

CrowdStrike使用英特爾CPU遙測加強漏洞檢測

CrowdStrike表示，CPU遙測技術正在為其Falcon平臺提供新的硬體增強型漏洞利用檢測功能，並將有助於檢測複雜的攻擊技術，這些技術在缺乏現代反漏洞利用緩解措施的舊PC上很難識別和擴充套件記憶體安全保護。

新的檢測技術已安裝到CrowdStrike的Falcon感測器6.27版中，可用於配備英特爾CPU（第六代或更新版本）、執行Windows 10 RS4或更高版本的系統。

根據CrowdStike安全工程師的一份說明，這項新技術使用英特爾處理器跟蹤 (Intel PT)，這是一種CPU功能，可提供廣泛的遙測技術，可用於檢測和預防程式碼重用漏洞。 

英特爾PT記錄處理器上的程式碼執行情況，通常用於效能診斷和分析，但CrowdStrike已經找到了一種利用遙測技術來發現以前無法檢測到的惡意活動跡象的方法。

“英特爾PT允許CPU不斷地將有關當前執行程式碼的資訊寫入記憶體緩衝區，這可用於重建精確的控制流。主要使用場景是在執行時跟蹤可執行檔案，將跟蹤儲存在磁碟上，然後對其進行分析以重現已執行的確切指令序列。此功能提供的程式行為可見性使其也可用於安全漏洞檢測和調查，”CrowdStrike解釋說。

CrowdStrike表示，在啟用和支援英特爾處理器跟蹤的機器上，其Falcon感測器將為選定的一組程式啟用執行跟蹤。“每當程式執行關鍵系統服務（例如建立新程式）時，感測器都會分析捕獲的跟蹤以查詢可疑操作。

CrowdStrike表示，新方法已經證明是有價值的，並且已經檢測到幾個基於返回的程式設計（ROP）漏洞利用鏈。

CrowdStrike表示，透過捕獲應用程式的執行跟蹤，執行在核心中的安全軟體現在可以透過解析捕獲的跟蹤資料包以及應用程式地址空間中執行的指令來尋找程式碼重用攻擊。 

新聞來源：

https://www.securityweek.com/crowdstrike-beefs-exploit-detection-intel-cpu-telemetry