一个人的闲言碎语

2019年3月4日星期一

安全周事记(20190304)


  • 浏览器漏洞导致黑客可以在用户关闭网页(浏览器进程保留)时依然留下后门。
    吐槽:开发者原意是为了方便其他(正常)开发者,可是黑客的钻研精神往往更厉害。
  • 漏洞攻击者利用四个winrar的漏洞,通过诱使用户使用WinRAR打开恶意构造的压缩包文件,将恶意代码写入系统启动目录或者写入恶意dll劫持其他软件进行执行,实现对用户主机的任意代码执行攻击。
    github上公开了该漏洞的poc,acefile - WinRAR 解压代码执行漏洞 POC:
    https://github.com/Ridter/acefile
    吐槽:还好我不用winrar,感谢winrar的中国代理。
  • 从 2017 年底到 2019 年初,腾讯御见威胁情报中心发现一个疑似来自印度的 APT 攻击组织持续针对巴基斯坦等南亚国家的军事目标进行了定向攻击。腾讯御见威胁情报中心对该组织的攻击活动进行了长期的深入分析,从溯源结果来看,该组织的最早的攻击活动可以追溯到 2012 年。
    响尾蛇(SideWinder)组织是一个成熟的 APT 攻击组织,该组织擅长使用 office 漏洞、hta 脚本、白加黑、VB 木马等技术来实施攻击,并且攻击手法还在不断的进化中。目前该组织的攻击目标主要在巴基斯坦,但是由于地缘关系,也不排除针对中国境内的目标发起攻击,因此相关部门、单位和企业切不可掉以轻心。
    吐槽:大家的精力都用在了取名字上了。
  • 该木马还教会了作者关闭其他可能存在的挖矿及DDoS木马。
    吐槽:堡垒都是从内部攻破的。
  • 从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰(APT-C-36)针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台主要为Windows,攻击目标锁定为哥伦比亚政企机构,截止目前360威胁情报中心一共捕获了29个针对性的诱饵文档,Windows平台木马样本62个,以及多个相关的恶意域名。
    吐槽:取名上面的竞争越来越激烈了。
  • 360威胁情报中心截获了多个使用WinRAR漏洞传播恶意程序的样本,并且我们还观察到了多个利用此漏洞进行的APT攻击活动。可以明显的看到,攻击者针对该漏洞利用做了更精心的准备,比如利用WinRAR压缩包内图片列表不可预览来诱导目标极大概率解压恶意文件、将恶意ACE文件加密后投递、释放“无文件”后门等。
    吐槽:winrar有望取代flash,成为新一代的突破口。
  • 漏洞的根源在于this.submitForm()这个PDF Javascript API。像this.submitForm(‘http://google.com/test‘)这样一个简单的调用就会导致Chrome把个人信息发送到google.com。 可能被泄露的信息包括:
    1. 用户的公共IP地址。
    2. 操作系统,Chrome版本等(在HTTP POST header中)。
    3. 用户计算机上PDF文件的完整路径(在HTTP POST payload中)。
      漏洞利用:3.1 Google Chrome 被发现零日漏洞 可让黑客获取用户数据 黑客通过此种方式可以获得的数据包括设备的IP地址、操作系统和Google Chrome版本,以及本地驱动器上PDF文件的路径等等。
      吐槽:最好还是不要给予内部纯文档阅读器联网权限。
  • 如果返回的国家代码为意大利(代码39),恶意宏将会使用Shell函数来执行下一条攻击指令。
    吐槽:通过地区代码进行恶意代码行为限制的病毒不多见了。
  • 详细介绍了逆向过程。可以看看。
    吐槽:目前大部分微信防撤回软件应该都解决了这个问题。
  • 前员工遗留的一个后门。
    吐槽:机翻拯救失业。
  • 过期域名,尤其是过期事业单位的域名被恶意利用。监管和内审都应该关注一下。
    吐槽:还是事业单位资产管理的问题。
  • Check Point安全研究人员近日在调查多个恶意文档时发现了朝鲜APT组织Lazarus疑似针对俄罗斯的攻击活动。研究人员分析发现这些文件是感染链的一部分,目的是删除与Lazarus组织相关的后门KEYMARBLE的更新变种。
    吐槽:机翻看着真难受。
  • 提出新一代智能恶意邮件监测与溯源的系统框架,将多元行为分析、威胁情报溯源、动态沙箱检测、深度样本意图分析等智能化威胁感知和邮件监测技术应用在恶意邮件监测与溯源系统中。通过人工智能技术将几百种基于知识工程的邮件安全元素与威胁、业务模型关联建模,使系统具备更智能的威胁感知能力和更准确的恶意邮件检测率。同时,通过邮件样本溯源技术,系统可以进一步溯源恶意邮件的来源和相关的黑客组织。
    吐槽:啥流行就把啥扯上去,貌似就是学术论文的关键。
  • RapidScan在漏洞扫描器和网站审计软件的自动化部署上做的非常出色。它支持很多效果不错的工具,使用这些工具可以容易地探测常见的网站漏洞。再加上UserLAnd这样的App,我们可以把一部不显眼的Android手机武装成一个功能齐全的黑客设备。
    地址:rapidscan
  • 这个逻辑是存在ut值的时候会对当前用户的手机号进行验证,然而在没有ut值的时候无法获取当前用户信息,也就无法进行手机号验证,同时也未对手机验证码以及旧密码进行验证导致密码修改成功。
    吐槽:业务逻辑漏洞需要不断尝试才可挖掘出来并利用。
  • PFLD算法,目前主流数据集上达到最高精度、ARM安卓机140fps,模型大小仅2.1M!
    吐槽:简直牛批了。
  • 文章被删,不记得具体内容了,参考:http://webscan.360.cn/vul/view/vulid/1020
    吐槽:删的莫名其妙。
  • 2018 年全年,360 互联网安全中心共截获移动端新增恶意程序样本约 434.2 万个,平均每天新增约 1.2 万。全年相比 2017 年(757.3 万)下降了约 42.7%。自 2015 年起,恶意程序新增样本量呈逐年下降趋势。
    病毒新增减少,但诈骗案例增多。
    吐槽:电信诈骗越来越严重,危害也越来越大。
  • 2019年1月24日,攻击者通过云控指令对该木马(通过驱动人生升级通道下发传播的木马)又进行了新的更新,更新文件下载URL:http[:]//dl.haqo.net/updater.exe,下载到本地保存的路径为:C:\Windows\temp\updater.exe,该恶意代码执行后便会将自身移动到系统关键目录并释放多个文件执行,上传主机的相关信息并从指定的恶意域名查询指令,根据云端指令执行恶意行为,当前云端的指令仅仅是控制感染主机进行挖矿操作,后续攻击者可以根据需要改变云端指令,从而控制感染主机执行更加危险的操作。
    吐槽:僵尸网络,名不虚传。
  • CTF中流量分析题目的案例分析,值得看看。
    吐槽:确实CTF有点越来越像应试教育了。为了难而难?

2019年2月25日星期一

安全周事记(20190225)


  • 网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。
    网络犯罪分子利用字典攻击破坏使用PHP框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。
    吐槽:Yowai还会清除竞争对手的后门程序。黑产的世界才是血腥和残酷的。
  • 由于商店应用初始更新检查使用HTTP,攻击者在控制网络流量(例如,在网络上实施中间人攻击)的前提下,可以更改用于负载平衡的URL并修改对镜像的请求至用户所控制的域名。这将允许攻击者欺骗Galaxy Apps使用任意带有有效SSL证书的主机名,并模拟应用商店API来修改设备上的现有应用。(最重要的是)攻击者可以在三星设备上利用此漏洞实现远程代码执行。
    吐槽:MITM攻击真的随处可见。
  • google开放自己的零信任框架后,各大安全公司开始推崇“零信任”安全架构成为网络安全流行框架之一。
    吐槽:国内安全公司大多还是跟风为主。
  • 话不多说,看图:
    吐槽:毛熊之厉害,可见一斑。
  • 印度国有天然气公司(Indane)面向经销商和渠道商的网站上,尽管只能通过有效的用户名和密码进行访问,但部分内容已经被谷歌搜索引擎编入索引。
    吐槽:据说爆料者担心受Indane报复~
  • 木马模块只是接管了官方游戏的登录流程,从而达到偷偷盗取用户账号密码的目的。
    吐槽:主要骚操作就是买SEO广告。
  • 对于安全狗杀形,d 盾杀参的思路来绕过。生僻的回调函数, 特殊的加密方式, 以及关键词的后传入都是不错的选择。
    对于关键词的后传入对免杀安全狗,d 盾,河马 等等都是不错的,后期对于菜刀的轮子,也要走向高度的自定义化
    用户可以对传出的 post 数据进行自定义脚本加密,再由 webshell 进行解密获取参数,那么以现在的软 WAF 查杀能力几乎为 0,安全软件也需要与时俱进了。
    吐槽:不明觉厉系列。
  • 信息安全五大时期:
    1. 通信安全时期
    2. 计算机安全时期
    3. 网络安全时期
    4. 信息安全时期
    5. 数据安全时期
      吐槽:数据亦是信息的一部分,只不过当前互联网蓬勃发展,数据积累为大数据,所以安全也跟风谈着重谈数据安全。七本质依旧是保障信息安全。
  • 通过各种贴吧、论坛等信息逐步追溯,过程中一些关键点:QQ、支付宝名字认证等;然后最关键的,还是对人的社工。
    吐槽:所以说,黑产从业者的赚钱门路真的五花八门。
  • 吐槽:科普贴
  • 本次的漏洞是出现在ndex.class.php中的likejob_action()和saveresumeson_action()函数,由于这两个函数对用户的输入没有进行严格的显示,同时利用mysql的特点能够绕过waf。
    吐槽:有源码的注入只需要耐心;前提是挖洞的脑洞有。
  • 主要实战了如何用wireshark做流量分析,信息提取。
    吐槽:恩,跟分析木马差不多的原理咯。都不用分析泄露了什么数据?
  • Justniffer是一款功能强大的网络协议分析工具,它可以捕捉网络流量并以定制化的方式生成日志文件。除此之外,它还可以模拟Apache Web服务器日志文件,跟踪响应事件并从HTTP流量中提取出所有截获到的文件。
    Justniffer项目官网:【传送门
    吐槽:还是wireshark分析器好点吧。
  • FireEye的Mandiant应急响应和情报团队识别出了一波DNS劫持攻击,这波攻击影响了大量域名,其中包括中东、北非、欧洲和南美地区的政府机构、通信部门以及互联网基础设施。研究人员目前还无法识别此次活动背后的攻击者身份,但初步研究表明,攻击者与伊朗有关。
    吐槽:跨国DNS劫持,所以在国家机器面前,个人信息安全如何保障?
  • 近期绿盟科技应急响应团队检测到多家政府、教育、企事业单位网站被黑客植入恶意链接,访问链接后会跳转到指定色情网站。攻击者利用第三方的编辑器的未授权访问及上传漏洞,上传相关恶意HTML页面。结合SEO技术,提升恶意站点在搜索引擎的收录和权重。
    吐槽:事业单位网站、app外包的危害将一直持续下去。
  • 暴力破解还可用于发现Web应用程序中的隐藏页面和内容,在你成功之前,这种破解基本上是“破解一次尝试一次”。
    吐槽:当然,暴力破解更多用于密码爆破;虽然也有爆破漏洞啥的(fuzzing),但其目的往往仅是发现问题(crash)。
  • 2018年,勒索病毒攻击整体态势以服务器定向攻击为主,辅以撒网式无差别攻击手段。
    政企单位防范勒索病毒建议从七个方面着手,即及时更新最新的补丁库、杜绝弱口令、重要资料定期隔离备份、提高网络安全基线、保持软件使用的可信、选择正确的反病毒软件、建立高级威胁深度分析与对抗能力。
    吐槽:勒索变现-新纪元。
  • 最为严重的就是Torpedo,它利用了蜂窝寻呼协议(paging protocol,运营商用于来电或者短信之前通知手机)的弱点,在短时间内拨打和取消手机通话可以在通知目标设备来电的情况下触发寻呼协议,从而让攻击者追踪受害者的位置。研究人员说,知道受害者的寻呼时机还可以让攻击者劫持寻呼通道,并通过欺骗消息(如Amber警报)或完全阻止消息来插入或拒绝寻呼消息。
    吐槽:又一核武器埋下。

2019年2月19日星期二

安全周事记(20190219)


  • 安全研究员在USB上嵌入了WiFi芯片,使其可以通过WiFi进行远程通信,然后利用BadUSB技术进行物理入侵。
    吐槽:想到Bad充电宝了。
  • 在对“驱动人生”劫持事件下载木马的域名dl.haqo.net进行关联分析时,我们注意到其中一个子域名js.haqo.net,在360威胁情报中心的ALPHA平台中被打上Mykings的标签,该域名解析到IP:81.177.135.35 。
    两者IP有关联,时间线有一定关联,URL、端口相似,但代码风格不同。360更倾向于认为是栽赃。
    吐槽:APT的关联分析真的是,纯靠想。
  • 攻击组织的兴趣点在于中东地区能源行业。其攻击手法似乎包含网络渗透和鱼叉钓鱼,具备反追查意识,使用新款木马后门,具有一定技术实力背景和多人员分工协作构成犯罪组织特征。
    吐槽:目前来看APT分析里比较中肯和线索清晰的。
  • 沙特政府推出的一款可监控女性出境的APP——Absher帮助男性监控甚至决定女性(妻女)出境状态。
    吐槽:政府支持视女性为男性所属品,应用商店也没办法的。
  • 此次行动针对的是金融行业,尤其是是俄罗斯联邦和白俄罗斯共和国金融行业的工作人员。此次行动背后的行为者是Silence团伙,这是一个相对较新的威胁团伙,自2016年中期以来一直在运营。到目前为止,我们已确定的被攻击的企业包括:
    • NBD Bank Russia:提供零售和商业服务的俄罗斯银行。
    • Zapsibkombank(Zapadno-Sibirskiy Kommercheskiy Bank):西西伯利亚商业银行(WSCB),位于俄罗斯。
    • FPB(Finprombank):同样位于俄罗斯。
    • MSP银行(МСПБанк):专注于为中小企业提供融资的俄罗斯联邦国家银行。
    • MT Bank(МТБанк):Meridian trade Bank,也是唯一一家位于白俄罗斯的实体银行。
      吐槽:有受害主体的APT(虽然是猜测)则显得有料一些。
  • 本文介绍了macOS上利用Chrome扩展实现的一种载荷投递机制,介绍了自动更新功能在攻击过程中的应用,也介绍了使用Apfell的一个实际攻击样例,最后提出了一些基本但实际可操作的检测指南。
    吐槽:所以,扩展程序就应该只拥有chrome的访问权限啊。
  • Mojave仅为少数应用程序(如Finder)提供对此文件夹的特殊访问权限。但是,安全人员发现了一种在Mojave中绕过这些保护的方法,允许应用程序在~/Library/Safari没有获得系统或用户的任何许可的情况下查看内部,并且不会弹出权限对话框。通过这种方式,恶意软件应用程序可以通过检查他们的网络浏览历史秘密地侵犯用户的隐私。
    吐槽:细节未暴露,还在苹果处理中。
  • 论坛、外卖等容易暴露自身信息,特别是单身租房的妹子尤其需要注意。
    依然是可以当故事看的文章。
    吐槽:当然,变态也没那么多就是了。
  • 通过溯源分析,金山毒霸发现本次“暗流Ⅱ”家族通过多玩公司旗下的“游戏盒子”客户端升级渠道进行传播感染,其启动宿主进程的数字签名为“广州玩盒科技有限公司”。“游戏盒子”作为该公司旗下知名的游戏辅助软件,包含“英雄联盟盒子”、“DNF盒子”、“坦克世界盒子”等多款辅助客户端,从监控数据看无一幸免,所有产品升级渠道均被植入“暗流Ⅱ”木马家族。除升级渠道和数字签名等强关联证据外,暂时未发现“暗流Ⅱ”木马家族与“多玩游戏”存在直接操纵和利益关联的线索,本次病毒传播事件究竟是厂商内部操作还是外部黑产攻击尚无法给出定论,因此我们将本次安全事件暂定性为“疑似软件供应链攻击”。
    吐槽:从黑产对抗经验来看,极有可能是内部的锅。
  • 目录结构:
    • 第一章,总体介绍了为什么智能设备的安全需要引起我们的注意并投入精力去研究,以及以智能设备系统架构为导向的研究方法。
    • 第二章,主要介绍硬件安全分析,包括 PCB 安全隐患和加固建议、侧信道攻击和中间人攻击的基本原理及加固方案。
    • 第三章,固件安全部分,提供固件获取的几种思路及相应加固办法,固件解包工具介绍演示。
    • 第四章,从分析环境、模拟运行、设备调试三方面介绍智能设备的调试技术。
    • 第五章,关注通讯协议,包括载波分析、两种无线协议 ZigBee 和蓝牙的测试方法。
    • 第六章,移动终端 APP 安全分析,分别介绍在 Android 和 IOS 平台上的分析技术。
    • 第七章,本章节通过命令注入、未授权访问、XSS 的案例提供一些智能设备中 WEB 安全测试的思路。
    • 第八章,包括口令破解的方法,二进制漏洞静态分析、模糊测试的简单介绍。
    • 第九章,介绍业务逻辑中可能出现的两种漏洞。
      吐槽:作为学习文档是可以下载一看的。
  • Check Point的安全研究员发现了一种能针对Linux和Mac设备的新后门木马“SpeakUp”,该恶意软件存储了大量之前的攻击案例,能够优先识别安全漏洞并有效地躲避杀毒软件的查杀。SpeakUp以其命令和控制(C&C)域名SpeakUpOmaha[dot]com命名,后者因后端运行C&C代码而受到攻击。SpeakUp还有一个内置的Python脚本,该脚本可以让恶意软件在本地网络上传播。Python脚本会使用预先定义的登录凭据列表自动扫描本地网络以定位打开的端口并识别最近区域的系统漏洞。
    吐槽:python天下第一。

2019年2月17日星期日

DataRecovery-市场情况

二月 17, 2019 Posted by drovliu No comments

近期碰到亲友有数据恢复的需求,所以帮忙找了一下相关工具,发现以前免费的一些软件都开始收费了。就连金山和QQ提供的数据恢复软件都在收费?!

DataRecovery-市场情况

从了解到的信息来看,当前市面上做的比较好的数据恢复软件有以下一些:
  • EasyRecovery(Ontrack)
  • EasyRecovery(互盾数据恢复软件)
  • 万能数据恢复大师
  • DiskGenius
  • 金山数据恢复
  • 电脑管家文件恢复工具
  • Wise Data Recovery
同时,大厂(尤其是安全产品大厂)也提供了数据恢复功能,所以也可以加入进来。
上述所列产品中,仅 Wise Data Recovery 提供免费版,全数据恢复能力。
几乎所有数据恢复软件的主要功能交互逻辑均为:选择待恢复磁盘——>扫描磁盘——>展示可恢复文件列表(一般提供预览功能)——>用户选择需要恢复的文件——>点击恢复——>引导至付费界面——>恢复相关文件至另一磁盘。
功能做的较好的,如EasyRecovery还支持按文件类型——照片、视频、文档等分类,以及按文件名进行筛选扫描(扫描磁盘时按文件名等进行过滤扫描,更精准。)

EasyRecovery

Easy Recovery是一款世界知名的 Ontrack 公司出品的数据恢复软件,在中国知名度比较高。不但有数据恢复的功能,还有囊括了磁盘诊断和文件修复等各种数据文件修复和磁盘诊断方案。
早期因为免费、轻便在国内打下诺大市场,商业化后,仅支持免费恢复1G数据。
  • 特点:功能全,认可度、知名度高。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、数码相机、手机等不同设备。
  • 平台:windows/MacOS
  • 不足:免费版有限制;对APFS文件系统需付费才可扫描

EasyRecovery(互盾数据恢复软件)

Easy Recovery由Ontrack打响名声后,疑似被国内互盾’劫持’了流量。目前搜索easyRecovery,百度排名第一为互盾数据恢复软件,Google搜索结果中互盾也排到了第三。
EasyRecovery®是由互盾数据恢复工作室出品的一款专注于数据恢复软件;支持恢复不同存储介质数据:硬盘、光盘、U盘/移动硬盘、数码相机、手机等,能恢复包括文档、表格、图片、音视频等各种数据文件;操作简单方便。
  • 特点:功能全,认可度、知名度高。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、数码相机、手机等不同设备。
  • 平台:windows/MacOS
  • 不足:苹果系统仅恢复iOS数据且恢复能力待鉴别;非免费

万能数据恢复大师

万能数据恢复大师是一款强大、界面简洁、操作简单的数据恢复工具。软件具备文件恢复、支持多种设备、常见文件预览、分区格式化后恢复功能。该软件支持从电脑硬盘、U盘、内存卡、CF卡、SD卡、TF卡、相机、记忆棒等介质中恢复文件,支持 FAT12,FAT16,FAT32,NTFS,EXT2 文件系统,并免费预览丢失的文件。
  • 特点:功能全面,覆盖系统广。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、数码相机、手机等不同设备。
  • 平台:windows/MacOS
  • 不足:收费较高;微信数据恢复能力持疑

DiskGenius

DiskGenius 是一款国产老牌的「专业级」数据恢复及硬盘分区管理软件。它支持多种情况下的文件丢失、分区丢失恢复;支持文件预览;支持扇区编辑、RAID 恢复等高级数据恢复功能。此外还有分区备份、分区还原、分区复制、磁盘复制等功能。
  • 特点:专业度高,功能丰富全面,包含磁盘分区、备份功能。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、数码相机、手机等不同设备。
  • 平台:windows
  • 不足:仅支持windows

金山数据恢复

金山数据恢复大师是金山软件推出的一个功能强大的数据恢复软件,它能帮你找回各种误操作而丢失的文件,支持多种恢复方式,使用简单,恢复快速。
相对来说比较老牌的安全公司出品,用户较多,功能较为全面且稳定。
  • 特点:功能全,认可度、知名度高。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、手机等不同设备。
  • 平台:windows
  • 不足:仅支持windows,收费较高


电脑管家文件恢复工具

电脑管家文件恢复工具是一款由腾讯电脑管家官方推出的一款文件修复工具,使用该软件用户可以轻松的恢复误删及恶意删除文件,支持u盘和手机文件恢复功能
知名度不高,绑定腾讯电脑管家使用,收费较为便宜,支持仅购买7天使用权。
  • 特点:功能较全,价格合适。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、手机等不同设备。
  • 平台:windows
  • 不足:知名度不高,寻找路径复杂。

Wise Data Recovery

Wise Data Recovery 是一款免费、轻巧的数据恢复工具。它兼容U盘、移动硬盘、存储卡甚至是一些MP3播放器的设备的数据恢复。即使是不小心删除的文件,也能很快恢复回来。小巧简单,满足普通需求是足够了,反正一般的文件肯定是能恢复出来的。
  • 特点:轻巧简洁,操作简单,免费。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、mp3、手机等不同设备。
  • 平台:windows
  • 不足:功能一般,仅适用windows平台