聚焦3.15 | 虚假保健品泛滥，保健品行业安全态势报告 

随着人民生活水平提高，老龄化进程加重，保健品需求也越来越大，使得不少保健品企业野蛮生长，近期，“保健”市场暴露出来的虚假宣传、消费欺诈、制假售假等突出问题，引发广泛关注。2018年底丁香医生揭露权健事件引燃舆论焦点，随后无限极、华林酸碱平等直销企业相继被推到了风口浪尖，关系民生的保健品领域屡屡暴露出安全问题。保健品直销企业虚假宣传占比高达88%，保健品传销企业更达 约250家，保健品销售企业缺乏更加高效的虚假宣传发现和网络舆情感知机制。

而一些“三无”虚假保健品的销售，更是销售形式多样、宣传手段层出不穷。线下线上双管齐下，危言耸听、循循善诱两相结合，每天数千虚假 宣传保健品网站涌现，日影响人次 超千万，如何快而全地发现 这些虚假宣传网站？如何最快地提示给用户？又该如何提取出背后的团伙线索？

参考链接：https://www.freebuf.com/articles/paper/198375.html

挖矿木马为什么会成为病毒木马黑产的中坚力量

根据腾讯御见威胁情报中心监测数据，2018年挖矿木马样本月产生数量在百万级别，且上半年呈现快速增长趋势，下半年上涨趋势有所减缓。由于挖矿的收益可以通过数字加密货币系统结算，使黑色产业变现链条十分方便快捷，少了中间商（洗钱团伙）赚差价。数字加密币交易系统的匿名性，给执法部门的查处工作带来极大难度。 

在过去的2018年，挖矿病毒的流行程度已远超游戏盗号木马、远程控制木马、网络劫持木马、感染型病毒等等传统病毒。以比特币为代表的虚拟加密币经历了过山车行情，许多矿场倒闭，矿机跌落到轮斤卖的地步。但即使币值已大幅下跌，挖矿木马也未见减少。因为控制他人的肉鸡电脑挖矿，成本为零。 

当电脑运行挖矿病毒时，计算机CPU、GPU资源占用会上升，电脑因此变得卡慢，如果是笔记本电脑，会更容易观察到异常：比如电脑发烫、风扇转速增加，电脑噪声因此增加，电脑运行速度也因此变慢。但是也有挖矿木马故意控制挖矿时占用的CPU资源在一定范围内，并且设置为检测到任务管理器时，将自身退出的特性，以此来减少被用户发现的几率。 

参考链接：https://www.freebuf.com/articles/paper/197024.html

环球易购旗下跨境电商网站Gearbest泄露数百万用户信息和订单

据外媒报道，安全研究员Noam Rotem在进行网络扫描时，发现一个没有密码保护的Elasticsearch服务器，可直接访问，每周都会暴露数百万条记录，包括客户数据、订单和付款记录。由于没有密码保护，任何人都可通过这个服务器搜索数据。调查显示，这个数据库来自Gearbest，是中国环球易购（Globalegrow）旗下的自营网站。

Rotem在VPNMentor上发布了调查报告，称其在3月份发现这个不安全的数据库，泄露的记录约有150万条。这些数据并没有什么加密措施，有些甚至完全没有加密。他表示，这些泄露的信息不仅侵犯了客户隐私，还可能危及世界上言论和表达自由受限地区的客户。例如，一些性玩具和其他私密购买的产品，可能会在那些禁止LGBTQ +关系或婚前性行为的国家里引起法律问题。受影响的用户在阿拉伯联合酋长国和巴基斯坦这样出台了相关严格法律的国家中，甚至可能会被判死刑。

此外，Rotem还在同一IP地址上发现了一个单独的基于Web的数据库管理系统，利用这个系统，可以操纵或破坏Gearbest母公司环球易购所运行的数据库。Gearbest总部位于深圳，位列全球250强网站之一，服务于华硕，华为，英特尔和联想等顶级品牌。这个公司在欧洲也拥有大量业务，在西班牙、波兰、捷克共和国和英国设有仓库，而这些国家都适用欧盟数据保护和隐私法。

目前，Rotem已经联系了Gearbest，但是Gearbest既没有关闭数据库保护数据也没有任何回应。这已经是Gearbest近年来发生的第二起安全事故了。2017年12月，Gearbest也曾因为撞库攻击而导致帐号信息泄露。待事件调查清楚后，Gearbest也许将面临GDPR的严重处罚。

参考链接：https://www.t00ls.net/articles-50272.html

FBI 取缔DDoS 服务网站之后 此类攻击规模降低85%

美国联邦调查局（FBI）在去年12月份关闭了15家全球最大的分布式拒绝服务网站，导致全球DDoS网络攻击规模降低了85%。Nexusguard（一家减轻DDoS攻击的网络安全公司）今天发布报告称，在去年12月20日FBI的DDoS专项打击活动中，查处了大量以“压力测试”为幌子出售高带宽互联网攻击服务的网站，有效遏制了这种攻击行为。

这些DDoS-for-hire网站中最出名的就是Lizard Stresser，这是由Lizard Squad（曾在2014年圣诞节对Xbox Live和PlayStation网络发起攻击的黑客组织）提供的犯罪服务。Nexusguard表示，以Stressers为代表的网站允许用户付费购买从而对特定服务发起如海啸般的网络攻击，并使其宕机一段时间。

参考链接：https://www.t00ls.net/articles-50349.html

杀毒软件有坑！三分之二的安卓杀毒软件的“主业”并不是杀毒

据外媒报道，奥地利杀毒测试机构AV-Comparatives发布的一份报告中称，大约三分之二的安卓杀毒软件都不能实现广告中宣传的杀毒功能。

这是该组织今年1月进行的一系列测试后得出的结论。工作人员检测了谷歌Play商店中250款可用的安卓杀毒软件，得出的结果令人啼笑皆非：有些杀毒软件居然检测出自己就是恶意软件。

AV-Comparatives团队表示，在他们测试的250个应用程序中，只有80个在单独的测试中检测到了超过30%的恶意软件。

他们对每个应用程序都做了同样的测试，研究人员将每个杀毒软件安装在单独的设备上（不涉及仿真器），然后打开浏览器，下载恶意应用程序并安装，受测试设备下载了去年在野外发现的2000款常见的安卓恶意软件。一般来说，这些恶意软件应该早已在杀毒软件的病毒库之中了，杀毒软件应该能检测出大部分恶意软件。

然而，结果并不理想。AV-Comparatives的工作人员说，很多杀毒软件并没有扫描用户正在下载或安装的应用程序，只是使用了白名单/黑名单的方法，查看了软件包的名称，而不是代码。

一些杀毒软件在白名单中使用如“com.adobe.*”的通配符。恶意软件只要使用一个名为“com.adobe”的包名就可以躲过杀毒软件的检测。如“com.adobe.[random_text]”的恶意软件就躲过了数十款安卓杀毒产品的扫描。

如果用户手机上安装的应用程序包名没有包含在白名单中，一些杀毒软件就会将其标记为恶意软件。在测试中，出现了有些杀毒软件检测到自己是恶意软件的情况，就是因为杀毒软件开发者没有将杀毒软件包名添加到白名单。

该组织认为，30%的检测标志（零误报）是判断杀毒软件是否安全有效的一个阈值。按照这个标准，在250款安卓杀毒软件中，有170款未能通过该组织最基本的检测测试。

参考链接：https://www.t00ls.net/articles-50320.html

Citrix收FBI警告：6TB至10TB敏感数据被窃

软件制造商Citrix近日承认公司已经沦为数据泄露的新受害者，导致国际黑客窃取了大量的数据。公司表示美国联邦调查局（FBI）已经就此事和公司取得联系，并警告称本次网络攻击行为极有可能是伊朗黑客组织所为，窃取了6TB至10TB的商业文件。

针对本次安全事件，Citrix已经采取积极措施。公司表示：“我们已经全面配合FBI开展调查，并且聘请了一家专业领先的网络安全公司提供协助，巩固我们的内部网络。”随后公司补充道Citrix的任何产品或者服务没有任何迹象表明它们的安全受到了损害，但也承认并不清楚有多少或者哪些文件被访问过。

根据披露的细节显示，黑客使用了一种名为“password spraying”的策略，他们利用弱密码获取有限的访问权限，然后努力绕过其他安全系统。在3月6日被FBI通知之前，网络安全公司Resecurity表示，它已于12月28日联系该公司。Resecurity总裁查尔斯·尤（Charles Yoo）表示，有证据表明黑客大约在10年前首次攻击Citrix的网络，并且此后一直处于等待状态。公司认为在最近的两次袭击中，有6-10TB的数据被盗，重点是与FBI，NASA和航空航天业以及沙特阿拉伯国有石油公司有关的文件。

虽然Citrix表示它正在努力控制这一事件并确保其产品和服务保持安全，但真正的问题是，作为政府承包商，该公司拥有大量敏感数据，现在就怕这些数据已经被访问。

参考链接：https://www.t00ls.net/articles-50243.html