针对 Linux 设备的恶意程序数量去年增长 35%，这些恶意程序主要通过感染物联网设备组建僵尸网络发动 DDoS 攻击。运行不同 Linux 版本的物联网设备功能有限，但联合起来能发动规模惊人的 DDoS 攻击。除了发动 DDoS 功能，Linux 物联网设备还能用于挖掘加密货币，发送垃圾邮件等等。安全公司 Crowdstrike 的报告称，2021 年针对 Linux 系统的恶意程序数量比 2020 年增加了 35%；其中 XorDDoS、Mirai 和 Mozi 恶意程序家族占到了 22%；其中尤以 Mozi 数量最多，Mozi 恶意程序样本数量同比增长了 10 倍，XorDDoS 同比增长了 123%。

微软从乌克兰政府和私人计算机网络探测到一种高度破坏性的恶意程序，它似乎正在等待被触发。该恶意程序与 2017 年的 NotPetya 有几分相似，攻击目标也主要是针对乌克兰。NotPetya 伪装成勒索软件，但目的是破坏数据而非勒索比特币赎金。新的恶意程序与之类似，伪装成勒索软件要求赎金，但并不存在相关的加密货币地址。研究人员认为其目的旨在破坏而非勒索。恶意程序试图清空硬盘和破坏文件。乌克兰政府表示，已经恢复了大部分受影响的网站，没有个人数据被盗。

安全公司 Intezer 的研究人员发现了一个几乎所有杀毒软件都无法识别的跨平台后门 SysJoker。跨平台恶意程序相当罕见，绝大部分都是为特定平台如 Windows 开发的。SysJoker 是从头开始开发的，使用了 4 个独立的指令控制服务器，显示背后的攻击者投入了大量资源。其 Windows 和  macOS 版本的后缀是 .ts，表明它伪装成 Type script 应用通过 npm JS 库传播。 .ts 扩展名也可能意味着它伪装成视频流内容。研究人员发现，几乎所有的杀毒软件引擎都未能将其识别出来。

HardenedVault 写道 "近期相传已久关于Intel在新处理器中停止对SGX支持的消息得到了确认，第12代处理器将放弃所有SGX特性。Intel官方的解释是处于市场的考虑而最终作出的决定，会有包括蓝光防盗版DRM在内的诸多应用受到影响。Intel SGX（software guard extension）是自从2015年发售的第6代处理器Skylake中支持的，其主要目的是为了更好的解决云计算环境下云厂商和租户信任的问题，这种方案被称为飞地（Enclave），SGX自诞生之日起就引起了众多争议，赛博堡垒的可信/机密计算方案中对于SGX的失败的总结主要有几点：1）过度设计和实现导致复杂性失控。2）错的离谱的威胁模型，SGX的威胁模型中把操作系统和固件都当成不可信，但实际情况是操作系统可以轻松发起侧信道攻击，而CSME的“上帝模式“打破了诸多威胁模型中的假设。3）不可审计性，大部分核心组件都是闭源的所以几乎难以得到完备的审计结果。4）保护的应用的同时也可以用于保护恶意代码，这让恶意代码检测成为摆设。5）第三方证明服务推出的时间太晚。6）SGX内核主线化进程缓慢，2016年提交给Linux内核社区最终到了2021年才合并，而2020年关于SGX会停止支持的消息已经传出。7）市场过度宣传，这个问题在中国地区或许更突出，大厂不断鼓吹SGX可以成为"下一代"银弹级别的方案，实际情况是安全领域的总原则是没有银弹。"

俄罗斯联邦安全局周五宣布逮捕 14 名 REvil 勒索软件黑帮成员。执法机构在莫斯科、圣彼得堡、列宁格勒和利佩茨克地区展开了突击搜查行动，扣押了 4.26 亿卢布、60 万美元和 50 万欧元的现金，以及加密货币钱包、计算机和 20 辆豪华汽车。联邦安全局表示是应美国当局要求展开行动的，它向美国通报了行动结果。REvil 是近期最活跃的勒索软件组织之一，最知名的行动是攻击了肉制品巨头 JBS Foods。在美国向俄罗斯施压之后，REvil 在去年 7 月关闭了服务器，但其管理员在 9 月尝试重启业务，随后其暗网网站遭到美国执法机构关闭，之后彻底消失。俄罗斯政府没有披露被捕者的身份，媒体透露了其中两人的身份：Roman Muromsky 和 Andrei Bessonov。Twitter 上的逮捕视频。

法国计算机科学与随机系统研究所的一组研究人员使用单板电脑 Raspberry Pi 创建了一个反恶意软件系统，该系统可扫描设备中的电磁波。该安全设备使用示波器（Picoscope 6407）和连接到Raspberry Pi 2B 的 H-Field 传感器检测受到攻击的计算机发出的特定电磁波中的异常情况，研究人员称这种技术已被用于“获得关于恶意软件类型和身份的准确信息。” 检测系统依靠卷积神经网络（CNN）确定收集到的数据是否表明威胁存在。使用这种技术，研究人员声称可以记录 10 万条被真正恶意软件样本感染的物联网设备的测量轨迹，并以高达 99.82% 的准确率预测三种通用恶意软件和一种良性恶意软件。最重要的是，不需要任何软件，你在扫描的设备也不需要以任何方式进行操作。因此用混淆技术隐藏恶意代码，瞒过恶意软件检测软件的尝试不会成功。研究人员在论文中写道：“我们的方法不需要对目标设备进行任何修改。它可以独立于可用资源进行部署，无需任何开销。而且我们的方法的优点在于，恶意软件作者几乎无法探测并规避它。”

为防止恶意脚本悄悄在浏览器上执行本地 HTTP 请求，Chrome 将实现名为 Private Network Access (PNA）的 W3C 新规格阻止这一被恶意程序滥用的行为。新功能将在今年上半年推出，PNA 将在 Chrome 中引入一个机制，外部域名在尝试与本地网络设备建立连接前需要征得系统许可，如果本地设备如服务器或路由器没有回应，尝试建立连接的请求将被阻止。

随着崔昂（Ang Cui）为电网注入更多能量，架空电线开始发出亮橙色的光。几秒钟之内，电线就在一阵浓烟中蒸发了，曼哈顿的整个区域都陷入黑暗之中。幸运的是，没有真实的建筑物或人遇到了断电，因为这只是一个模拟——一个曼哈顿的桌面立体模型，配有细小的铜电源线，自由女神像被搬到了简易的中央公园。崔昂在 Red Balloon Security 的同事发布了几行恶意代码，破坏了一台旨在保护电线的计算机。现实世界的后果显而易见：黑客可以瞄准保护系统切断城市部分地区、工业厂房或者体育场的电力供应。Red Balloon 的首席执行官兼创始人崔昂挥舞着双手，试图驱散弥漫在他的四楼办公室周围的烟雾，说：“呼……需要开一下窗。”立体模型中的电线只留下烧焦的塑料杆残骸。

崔昂的团队针对的安全设备是现代电网稳定运行的关键。它们被称为保护继电器，当故障或异常电流可能损坏设备或伤害人员的时候，它们会切断电源。Red Balloon 的研究人员在法国施耐德电气（Schneider Electric SE）制造的名为 Easergy P5 的继电器上发现了漏洞。该公司周二发布了软件修复程序，这款设备尚未在美国销售。施耐德电气的发言人表示，该公司“对网络威胁高度警惕，不断评估和改进产品和研发工作，以更好地保护产品，并保护客户防范它们。”发言人表示：“在得知 Schneider Electric Easergy P5 保护继电器的漏洞后，我们立即着手解决这些问题。”“我们敦促该产品的用户遵从我们将在 1 月 11 日安全通知提供的指导，该通知中包含一个解决直接风险的软件补丁，是我们披露过程的一部分。用户在操作中应该采用一般网络安全最佳实践以保护他们的系统。”

斯堪的纳维亚的一家连锁酒店上个月成为勒索软件攻击的受害者，酒店采取了一种新颖的应对方法——将所有受到影响的系统切换成 Chrome OS。Nordic Choice Hotels 在北欧经营着 200 多家酒店，12 月 2 日，酒店成了勒索软件攻击的受害者，黑客用 Conti 勒索软件对其部分内部系统进行加密。攻击让酒店员工无法访问客人的预订数据，也无法向新到来的客人发放房门卡。但是在刚刚发布的新闻稿中，Nordic Choice 表示，酒店没有联系黑客协商获得解锁受感染设备的解密密钥的赎金，而是选择将其整个 PC 机群从 Windows 迁移到 Chrome OS。

连锁酒店解释称：“在不到 24 小时内，第一家酒店就用上了 Google 的 Chrome OS 生态系统。在接下来的两天里，整个公司的 2000 台计算机都完成了切换，涉及在五个不同国家的 212 家酒店。”Nordic Choice Hotels 的技术副总裁 Kari Anna Fiskvik 表示，在攻击之前，该酒店就已在进行一个试点项目测试该工具，希望通过这种要求不高的操作系统重新使用旧电脑以节省资金。Fiskvik 表示：“因此当我们突然不得不应对网络攻击时，在几秒钟之内就做出了全力以赴加快项目进度的决定。”Nordic Choice 表示，除了在攻击期间迁移的 2,000 台计算机之外，它还计划将另外 2,000 台计算机迁移到 Chrome OS 上。这家连锁酒店表示，让旧电脑改用 Chrome OS 而不是购买新硬件，有望省下 670 万美元。

Patchwork 是 2015 年 12 月起活跃自今的一个印度黑客组织，主要对巴基斯坦的目标发动钓鱼攻击。过去几个月它的攻击目标是分子医学和生物学领域的大学研究人员。安全研究人员对 Patchwork 使用的指令控制服务器进行分析后发现，黑客自己的开发机感染了自己的恶意程序。指令控制服务器包含了恶意程序上传的屏幕截图和记录的按键。Patchwork 成功入侵了巴基斯坦的国防部、Islam Abad 国防大学、巴基斯坦 UVAS 大学生物科学学院等研究机构。安全研究人员从截图中意外发现了测试恶意程序的开发机，显示黑客在运行 VirtualBox 和 VMware 进行测试，测试主机使用的键盘为英语和印度语双键盘布局。黑客还使用 VPN Secure 和 CyberGhost 隐藏 IP 地址。

知名安全产品 Norton 360 上周被发现整合了加密货币挖矿程序。但没有默认激活。另一款流行的安全软件 Avira 也在做同样的事情，与 Norton 类似用户需要选择加入才能激活挖矿。与 Norton 不同的是 Avira 未披露它的分成（Norton 是 15%）。Avira 在 FAQ 中称，挖矿程序 Avira Crypto 允许利用计算机的闲置算力挖掘以太坊，挖矿需要高处理能力，不适合普通计算机，即使计算机配置足够高，用户仅仅靠自己挖掘的回报也很低，因此最佳做法是加入矿池，共享算力和回报。

2020 年 11 月，微软推出了 Pluton，希望用安全处理器阻止最复杂的黑客攻击。AMD 上周表示将把该芯片集成到即将推出的 Ryzen CPU 中，供联想 ThinkPad Z 系列笔记本电脑使用。尽管很多系统已拥有可信平台模块（TPM）或英特尔的 Software Guard Extensions 之类的保护措施保护敏感机密信息，但是这些机密然易受到多种类型的攻击。其中之一是用线缆接入 TPM 和其他设备组件之间的连接，提取在机器之间传递的机密信息。去年 8 月，研究人员披露了一次攻击，只花了 30 分钟就从一台新的联想计算机中获取了 BitLocker 密钥，这台联想计算机预置使用 TPM 进行全盘加密、用密码保护 BIOS 设置并开启了UEFI SecureBoot。黑客通过嗅探 TPM 和 CMOS 芯片之间的连接成功攻击，表明用最新的防御措施锁定笔记本电脑并不见得足够安全。三个月后公布的一次类似的攻击表明，利用英特尔 CPU 中的漏洞（现已修复）破坏各种安全措施，包括 BitLocker、TPM和反复制限制等安全措施。被称为Spectre 和 Meltdown 的攻击再次强调了恶意代码直接从 CPU 中提取机密信息的威胁，即使机密信息被存储在英特尔的 SGX 中。Pluton 设计解决所有这些问题。它被直接集成到 CPU 中，将加密密钥等储存在一个与其它系统组件完全隔离的围墙花园中。微软表示，存储的数据无法被删除，即使攻击者安装了恶意软件或完全控制计算机。

一位开源开发者的故意破坏再次引发了企业依赖靠维护者义务工作的开源库的争议。Marak Squires 的开源库 color 和 faker 被广泛使用，其中不乏企业和商业客户。在包管理器 NPM 上，colors 的周下载量超过 2000 万次，有近 19000 个项目依赖它；faker 的周下载量超过 280 万次，有超过 2500 个项目依赖它。开发者在 color.js 库的 v1.4.44-liberty-2 版本中给新的美国国旗模块加入了无限循环，依赖 color.js 的项目会在控制台看到不停打印的非 ASCII 字符。faker v6.6.6 版本的情况类似，他将这两个搞破坏的版本推送到 GitHub 和 npm。受影响的项目包括亚马逊 AWS 的 Cloud Development Kit。开发者此前曾批评企业没有回馈社区，他在 2020 年 11 月警告说，他将不再用义务工作支持大企业，商业客户应该考虑创建分支，或者用每年六位数的薪水补偿开发者。安全专家批评这种行为不负责任，每一个依赖这些库的项目都受到影响，而不仅仅是大企业。GitHub 平台暂时封禁了 Marak Squires 的账号（已解封），此举也引发了对 GitHub 如何控制开源项目的争议。

美国联邦贸易委员会（FTC）警告，未能保护客户数据免受 Log4Shell 漏洞影响的美国组织可能会面临法律后果。Log4Shell 是广泛使用的 Log4j Java 日志库零日漏洞名称。FTC 警告称，在 12 月首次被发现的严重漏洞正在被越来越多的攻击者利用，对数百万的消费者产品构成“严重风险”。公开信敦促各大组织解决该漏洞，以减少对消费者造成伤害的可能性并避免法律诉讼风险。该机构表示：“当这些漏洞被发现并被利用时，可能会导致个人信息的丢失或泄露，造成经济损失并带来其他不可逆的伤害。”“包括《联邦贸易委员会法案》和《金融服务现代化法案》在内的法律要求采取合理的措施解决已知的软件漏洞问题。依赖 Log4j 的公司及其供应商现在就要采取行动，减少对消费者造成伤害的可能性并避免 FTC 采取法律行动，这一点至关重要。”

HardenedVault 写道 "vault1317是一款为高级威胁防护背景下设计的密码工程通信协议，在OTRv3/v4和Signal协议基础上加强了通信节点的元数据保护，即保护机器的隐私。在此基础上提供加密通信过程的可抵赖性，以保证在通信节点任意一方进行背叛行为（向第三方披露通信内容）和长寿命密钥泄漏的情况下也无法留下加密证据。vault1317的目标并非保护人类隐私，而是通信节点（机器）的隐私。当赛博堡垒设计vault1317第二阶段邦联化特性过程中收到了密码朋克社区的诸多建议，从威胁模型的角度，数字军火商不会放弃任意高度依赖密码工程的领域，更重要的是，邦联化作为去中心化特性的关键要素必须进行架构级审计，vault1317协议的当前邦联化是通过XMPP，经过技术评估赛博堡垒最终选择了基于lurch，lurch是一个实现了XEP 0384（OMEMO）加密协议修订版 的pidgin插件。OMEMO是一个基于axolotl协议的实现，在lurch中 axolotl的实现基于libsignal-protocol-c，axc则是基于libsignal-protocol-c进行了高阶封装的实现。由于lurch上下游的依赖，审计目标除了lurch本身也包括两个支持库axc和libomemo，审计过程中发现的缺陷已经修复。"

恶意软件 RedLine 瞄准了 Chrome、Edge 和 Opera 等流行浏览器，表明为什么将密码存储在浏览器中是个糟糕的主意。这种恶意软件是一种商品化的信息窃取程序，可在网络犯罪论坛上以大约 200 美元买到，不需要太多知识即可轻松部署。AhnLab ASEC 的新报告警告称，贪图方便使用浏览器的自动登录功能正成为影响组织和个人的重大安全隐患。使用浏览器存储登录凭据的做法既诱人又方便，但是即使没有感染恶意软件，此举也有风险。因为这将允许在本地或者远程访问计算机的人在几分钟内窃取所有的密码。最好使用专用的密码管理器将一切存储在加密的保险库并要求使用主密码解锁，以及使用多因素认证。RedLine 针对的是基于 Chromium 浏览器的 Login Data 文件以及用于保存用户名和密码的 SQLite 数据库。

YouTube 主播 Trevor Jacob 在 12 月 24 日上传了发生在 11 月 24 日的单引擎轻型飞机 Taylorcraft 坠毁视频。他声称驾驶飞机前往 Mammoth 去洒掉朋友的骨灰，但途中引擎熄火，他带着 Gopro 相机从飞机上跳下拍摄了整个飞机坠毁的戏剧性过程。此事引发了很多争议，飞机坠毁被认为是计划好的而不是意外。美国航空监管机构 FAA 已经宣布对此展开调查。这则视频到目前为止观看了超过 24 万次。

小米宣布了 MIUI 13，整合了反电信欺骗功能。小米介绍称，新的全链路电诈防护功能能识别和警告欺骗电话，能拦截安装被识别为欺骗 APP 的应用安装（显示“相关法律法规要求，禁止安装”），提供“反电信网络欺骗专用号码”，对向欺骗号码的可疑转账发出警告等。MIUI 13 还提供了新的系统字体 MiSans。

距离 2038 年只剩下 16 年了。所谓的 2038 年问题是指类 Unix 系统的时间表示 time_t 使用的是一个 32 位整数，从1970 年 1 月 1 日开始计算秒数，到 2038 年 1 月 19 日 3 时 14 分 07 秒将超过 32 位长度，导致所有使用这种时间表示法的程序停止工作。在 64 位系统上，time_t 使用的是 64 位整数，Linux kernel 在几年前就切换到了 64 位时间表示，微软的 msvcrt 也早就默认使用 64 位 time_t。然而广泛使用的 GNU libc 库虽然从 v2.34 开始支持 64 位 time_t，但并没有默认使用，而是需要明确要求否则不会使用。这意味着今天使用 glibc 的应用在 16 年后可能会出现问题，而 16 年并不意味着天翻地覆一切都变了，如 Windows XP 在发布 16 年后仍然有很多人使用。

HardenedLinux 写道 "GNU Artanis是一个基于Scheme的Web框架自由软件实现，于2015年正式成为GNU官方项目，经过7年的发展其成为了Scheme语言中最先达到产品级的Web框架，它也是基于delimited continuation实现产品级高并发设计的最佳实践之一，相关论文2016年在ICFP Scheme workshop发表。GNU Artanis作者经过多方面考虑，于2021年12月29日，GNU Artanis正式捐赠给HardenedLinux社区平台并继续由GNU Artanis社区维护，这并不影响其GNU官方项目的性质。HardenedLinux社区致力于基于自由软件/固件/硬件打造安全以及相关工具开发的最佳实践，在GNU/Linux发行版方面，HardenedLinux社区一直以来推进基于Debian GNU/Linux的最佳实践，GNU Artanis的加入无疑成为了一大助力。"