微软为 Chrome 和 Firefox 发布了 Windows Defender 扩展

在 Windows 10 Insider Preview Build 18358 的发布公告，微软表明其已经开发并开始测试了一种针对 Chrome 和 Firefox 的 Windows Defender Application Guard 扩展。

微软为了将其容器技术扩展到其它浏览器，并为用户提供全面的解决方案以隔离潜在的基于浏览器的攻击，为 Google Chrome 和 Mozilla Firefox 设计并开发了该扩展。

Windows Defender Application Guard 会自动将不受信任的网页重定向到适用于 Microsoft Edge 的 Windows Defender Application Guard。该扩展依赖于本地应用，以支持浏览器与设备的 Application Guard 设置之间的通信。

当用户导航到站点时，扩展会根据企业管理员定义的受信任站点列表检查 URL，如果确定站点不受信任，则会将用户重定向到隔离的 Microsoft Edge 会话。在隔离的 Microsoft Edge 会话中，用户可以自由地导航到不受信任的任何站点，而不会对系统的其余部分造成任何风险。

也就是说使用的 Chrome 或者 Firefox，并且要用到 Windows Defender Application Guard 功能，那么需要同时借助 Edge 会话。

官方还介绍，即将推出的动态切换功能中，如果用户在隔离的 Microsoft Edge 会话中尝试转到受信任的站点，则会将用户带回默认浏览器。

要使用此功能，必须安装 Windows Defender 配套应用和相应浏览器扩展。由于它仍然处于预览模式，目前只有 Insiders 可以使用。

参考链接：https://www.anquanke.com/post/id/173501

F5 以6.7亿美金收购 NGINX

NGINX 公司以 6.7 亿美金的价格被 F5 Networks收购。

NGINX 为全球超过半数的最繁忙的网站提供服务。如今互联网上的大多数网站以及数十万款应用如 Instagram、Pinterest、Neflix和 Airbnb 都托管在运行 NGINX 的web 服务器上。

NGINX web 服务器是全球第三大使用最广泛的服务器，仅次于微软和 Apache，且比谷歌还要靠前。简言之，如果没有 NGINX，互联网就不会存在。

参考链接：https://www.anquanke.com/post/id/173163

Windows 域环境存在远程代码执行风险预警

近日，360CERT 监测到国外安全研究人员公开了一个对 Windows 域环境造成严重威胁的攻击利用方案，为中间人攻击跟利用资源约束委派攻击的一个组合利用方式。该攻击利用方案不需要受害者主动去访问攻击者建立的服务，从而大大的提高了其可用性。攻击者只需要在控制域内的一台机器便可对同一广播域中的其它机器发起攻击，当受害者机器发起特定的网络请求时便会被攻击者控制。该攻击利用方案对 Windows 域环境构成严重威胁，360CERT 建议使用了 Windows 域环境的用户应尽快采取相应的缓解措施对该攻击利用方案进行防护。

参考链接：https://www.anquanke.com/post/id/172915

一场针对以色列用户的勒索行动因编码失误导致竹篮打水一场空

上周末，以色列数百个主流网站遭到代号为“耶路撒冷”的网络攻击，其目的是利用JCry勒索病毒感染windows用户。庆幸的是，攻击者在代码中的一个失误，使得受害主机仅仅显示一个虚假页面，而不会造成勒索病毒的传播。

为密谋此次行动，攻击者修改了来自nagich.com的一款流行网络插件的DNS记录。当访问者使用此插件访问网站时，将加载一个恶意脚本，而不是合法的插件。

卡巴斯基实验室首席安全研究员Ido Naor解释到，攻击者代码中的错误，致使只会显示虚假页面，而不会传播感染JCry勒索病毒。

“他们替换域名的IP地址后，他们只是将网络流量重定向到一个名为update.html的页面，页面中的脚本搜集受害主机的用户代理（USER-AGENT）。一旦找到，就会将其对应的信息与字符串Windows进行比较。如果不匹配，那么脚本就只显示一个虚假页面；否则，将会向受害主机分发一个虚假的Adobe更新程序。由于程序代码的失误（if语句的比较条件），程序永远不会执行下载操作，因此，此次攻击实际上是一场空。”

参考链接：https://www.anquanke.com/post/id/172320

在被窝就能打卡？虚拟定位“神器”了解一下

上能远程定位打卡，下能微信分享位置防查岗，看来这个“虚拟定位”还是很强大的。那背后的技术操作成本高吗？

我们首先看看正常的定位原理是什么样的：GPS 定位、基站定位、WI-FI定位。

通过系统->定位模块->应用->构造数据->发送网络请求确定位置，而黑产实现修改虚拟定位也是在这几个环节篡改上层代码来操作的。

所谓的“虚拟定位”在安卓系统中主要分为root和未root两种情况，在iOS系统中分为越狱和未越狱。

1.root和已越狱，相当于已经获取系统最高权限，可以直接修改”系统->定位模块”, 或者”定位模块->应用->构造数据->发送网络请求”环节上的代码。

2.免root和免越狱都是在未获取最高权限的情况下, 可以修改”定位模块->应用->构造数据->发送网络请求”这个环节上的数据或者代码, 以创造虚假的位置信息被提交。

简单来说，就是无论什么系统、是否root、越狱，都可以通过一定方式拦截GPS定位、WI-FI、基站进行模拟返回，从而达到偷梁换柱的效果。之后类似打卡软件等第三方应用获取的数据就是模拟位置的定位数据。

参考链接：https://www.anquanke.com/post/id/172136

盗号木马疯狂窃取游戏币，竟还利用搜索引擎打广告？

游戏氪金玩家请注意！近期，360安全大脑监测发现了一款通过搜索引擎广告位进行大量传播的游戏盗号木马，该木马针对“集结号”棋牌游戏的用户群体进行盗号，对用户的“虚拟财产”可能造成难以估计的损失，360对此进行深入的追踪和查杀拦截。

参考链接：https://www.anquanke.com/post/id/171415