一个人的闲言碎语

dr0v

blog.drov.com.cn
一个人碎碎念。
About Me
A lazy security employee.

2019年1月31日星期四

  • EDR在原始的NtReadVirtualMemory函数内设置了一条跳转指令,将代码执行流重定向到自己的模块中,然后检查是否存在恶意行为。如果没通过检查,则Nt*函数就会返回一个错误代码,永远不会进入内核模式,导致执行失败。
    通过重新打补丁或者hook函数可绕过EDR。
    吐槽:google机翻给了多少人活命的机会啊。
  • 本文介绍了关于无线设备如何工作和启动,Wi-Fi SoC与驱动程序之间的交互以及Marvell Avastar Wi-Fi固件文件的静态动态分析的内容,下一篇文章将会带来关于如何进行fuzz找到漏洞和漏洞利用,攻击面扩大以及其中的一些思考的内容
    吐槽:首先需要对WiFi设备原理足够了解,才能发现其中存在的内存或代码逻辑漏洞。
  • 知道创宇 404 实验室在 2018 年⼀共应急了 135 次,Seebug漏洞平台收录了 664 个漏洞,相⽐于 2017 年,应急的漏洞数量更多、涉及的设备范围更⼴。
    吐槽:IOT的漏洞事件越来越多,也将越来越多且重要。
  • QuestMobile 将2018年中国移动互联网的八大关键词总结为:上市、增长、下沉、裂变、新人类、边界、监管和粉丝经济。中国移动互联网迎来第四次上市潮;城市下沉凸显三四线以下城市的潜力,以拼多多、趣头条为代表的社交裂变增长模式备受关注;Z世代正在成长为互联网和消费市场的主力军;老牌巨头BAT以及新兴巨头字节跳动无一例外都通过投资并购等方式不断扩张其业务边界;监管风暴席卷多个行业,影响深远。
    吐槽:恩,跟安全没啥关系。
  • 近日,360蜜罐捕捉到一列挖矿样本,经分析确认为DDG.Mining.Botnet样本的3016版本。与其上一版本相比,3016版本采用了新的分布式框架Memberlist来构建僵尸网络。基于该框架,DDG僵尸网络可以更稳定的实现C2去中心化,以及更灵活的管理和扩展集群。
    吐槽:僵尸网络作为黑产的基础设施,捕获和搭建的技术越来越完备。
  • 本期报告选取全球20款知名物联网软件进行源代码安全缺陷分析,结合缺陷分析工具和人工审计的结果,评估项目的安全性。从测评结果来看,与往期其他领域开源软件相比,物联网类软件的安全缺陷较多,潜在的安全问题不容忽视。
    吐槽:正如各大SRC的评判标准,对于非关键业务,再高危漏洞,其评分也是低,所以这个报告很难给IOT起到警示作用。
  • 最近“KeyPass”勒索病毒新变种又开始爆发了,该病毒以伪造软件破解工具或恶意捆绑的方式进行传播感染,更可恶的是它会伪装成windows升级更新达到加密目的,用户感染后文档文件会被加密,并添加“.djvu ”、“ .tro ”或“.tfude”等后缀。
    吐槽:争分夺秒进行加密 :p .
  • MuddyWater使用诱惑性的鱼叉文档作为攻击入口,引导用户启用宏,利用宏释放后续后续Pyload进行攻击,在早期报道中,MuddyWater主要使用powershell后门。最近卡巴称已发现有VBS,VBA, PowerShell, VBS, VBA, Python,c#等脚本后门以及RAT木马。
    吐槽:muddywater似乎嫌卡巴将其排名放在后面
  • 关键活动包含如下:
    • 电力供应
    • 结构安全
    • 访问控制
    • 安全审计
    • 身份鉴别
    • 边界完整性检查
    • 入侵防范
    • 恶意代码防范
    • 网络设备防护
    • 软件容错
    • 个人信息保护(2.0)
    • 集中管控(2.0)
    • 可信验证(2.0)
      吐槽:等保更让人具有全局安全视野。安全架构师必备技能。
  • 360企业安全:GandCrab勒索家族的最新的变种,新版本增加了大量花指令,大部分关键功能都是动态获取 API,并且所有关键字符串也都被加密了。文件加密算法采用RSA-2048+ salsa20,并且加密共享目录中的文件, 并使用漏洞进程提权还将系统中指定的文档和文件加密为随机字符后缀,然后对用户进行勒索。
    吐槽:病毒更新版本往往比杀软还勤。
  • 命令注入攻击,除了常规的命令分隔符、命令替换符之外,利用环境自身也能实现。
    具体注入过程可看原文。
    吐槽:花式过’杀软’。
  • 反洗钱三项核心工作:
    1. 客户身份识别
    2. 身份资料和交易信息保存
    3. 大额和可疑交易报告
      传统反洗钱面临的挑战:
    4. 基于规则的可疑交易识别导致了较高的误报率,反洗钱工作成本过高。
    5. 历史交易无法回溯进行计算和识别,影响反洗钱工作的有效性。
    6. 规则引擎无法识别复杂的洗钱交易,特别是狡诈的洗钱犯罪集团。
      人工智能的应用:
    7. 机器学习提升可疑交易甄选效率,有效降低反洗钱人工审核压力
    8. 基于大数据计算的可疑交易识别引擎,可处理海量历史数据。
    9. 基于Risk分析的的半监督机器学习,有效识别复杂洗钱交易和地下钱庄。
      吐槽:理论上是可行的;不过金融体系的风控等确实需要信息化和智能化。
  • 该程序还会搜索该ftp上的所有文件,检索.php. .html. .asp等常见的web文件,嵌入自己的一个iframe标签,实现通过被攻击用户的web服务下载,增加传染率
    吐槽:寻常挖矿木马分析
  • 将物联网威胁情报分为四层,分别是资产情报、脆弱性情报、威胁情报和业务情报,其数量依次越来越少,但是价值越来越高。
    吐槽:情报阶层划分可做参考。
  • 总结了攻击方法、流量峰值、攻击者&受害者地区分布、团伙画像。
    吐槽:简陋且逻辑混乱。
  • 近期360互联网安全中心监测到一款网络劫持木马在众多网吧及大学的机房中大范围传播。该木马在2018年9月开始在国内传播,会利用篡改网络设置、劫持客户端网络数据、监控QQ聊天等方式窃取用户的隐私。至少有60家网吧及9所大学受到影响,被劫持的网站列表超过9000个,同时还会获取用户QQ号及聊天记录文件等信息。木马最终通过劫持网站、跳转导航、游戏退弹等方式来牟取暴利。
    吐槽:网吧就是木马集中营。

2019年1月21日星期一

  • ‘Tor会在localhost(127.0.0.1)的TCP 9150 端口上创建一个SOCKS代理侦听。Tor浏览器会通过该SOCKS代理将其流量加密并转发到Tor网络。这意味着通过嗅探本地主机上的流量,实际上我们可以创建一个固定的取证路径,追踪PC发送到Tor网络和从Tor网络发送的所有流量。’
    吐槽:我分析我自己?
  • 挖矿木马家族提供漏洞武器、战术或者出售僵尸机给其他恶意家族,而其他恶意家族则购买僵尸机或者开发定制木马给挖矿木马家族。
    吐槽:经济不景气时,黑产也开始开源节流,多方向发展。
  • 新型诈骗:诈骗者借助“金融理财”,“网络彩票”等类型软件设置骗局,获取得用户信任,实施诈骗。
    吐槽:提高普通民众安全意识往往比产品更有用。
    1. 使用注释扰乱分块数据包
    2. 畸形的分块数据包绕过ModSecurity
      吐槽:总的来看,过WAF就是规则测试,绕过。跟病毒过杀软是几乎一个道理。
  • 2019年1月9日,360威胁情报中心捕获到多个专门为阿拉伯语使用者设计的诱饵文档。钓鱼文档为携带恶意宏的Office Excel文档,恶意宏代码最终会释放执行一个C#编写的后门程序,该后门程序利用了复杂的DNS隧道技术与C2进行通信并执行指令,且通过GoogleDrive API实现文件的上传下载。
    吐槽:目前APT往往都是通过文档的语言,内容描述来判断其针对性。如果文档或邮件是内部某一位员工呢?
  • Voipo 由于其中一个后端的 ElasticSearch 数据库未受到密码保护,因此任何人都可以查询双向发送的实时呼叫日志和文本消息流。
    吐槽:数百万数据泄露,感觉已成常态。
  • iOS上当前内置的SQLite支持调试选项:如果设置了SQLITE_SQLLOG_DIR环境,则每个数据库在给定目录中都会有一个副本,且sql查询为纯文本形式。
    吐槽:需要解锁并授权可信连接。
  • Ryuk勒索病毒最新于2018年8月由国外某安全公司进行报道,短短两周内净赚超过64万美元的比特币,同时跟踪发现它与HERMES勒索病毒相关联,此外也有消息称HERMES勒索病毒与朝鲜黑客组织Lazarus有关联。Ryuk勒索病毒主要通过垃圾邮件以及漏洞利用工具包进行传播,专门用于自定义攻击,Ryuk的感染和传播过程都是由攻击者手动执行的,被加密的文件以.RYK后缀结尾。
    吐槽:病毒也要有自己的特色,否则难出名。
  • 网站黑帽SEO趋势:注册已经被政府机关抛弃但曾用过的域名用来搭建博彩等暴利网站,大量政府机关含有旧域名链接的网页就成了非法站点的天然外链,可以有效提升其PR值。
    吐槽:一方面,事业单位更应注重网络资产重要性;另一方面,0信任安全架构确实很重要。
  • 2018年,挖矿木马已经成为Windows服务器遭遇的最严重的安全威胁之一。这一年,在挖矿木马攻击趋势由爆发式增长逐渐转为平稳发展的同时,挖矿木马攻击技术提升明显,恶意挖矿产业也趋于成熟,恶意挖矿家族通过相互之间的合作使受害计算机和网络设备的价值被更大程度压榨,合作带来的技术升级也给安全从业者带来更大挑战。2019年,挖矿木马攻击将继续保持平稳,但黑产家族间的合作将更加普遍,“闷声发大财”可能是新一年挖矿木马的主要目标。
    吐槽:挖矿随着矿的价值越来越低,必然走向普通木马之路(对不可控资产价值的依赖,往往不如对已知资产的深度利用——说的就是你,勒索病毒)。
  • 拼多多遭薅羊毛,疑似损失百万——黑产造势损失几个亿,并公开薅羊毛方法,以用’法不责众’避开处罚。
    吐槽:黑产的这波操作简直666.
  • 火绒安全团队发现,病毒团伙正利用”远景”论坛的系统镜像文件传播后门病毒”WenkPico”。该病毒入侵用户电脑后,会劫持导航站、购物网站以及软件安装包流量,牟取暴利。同时该病毒还利用国内某安全厂商的产品功能模块,攻击其它安全软件,让部分安全软件的”云查杀”功能失效,使用户电脑失去安全防护。
    吐槽:杀软和病毒的终端攻防经久不衰。
  • 针对中东地区的APT攻击,这次攻击中使用了新的TTP – 例如Agent_Drable恶意程序利用Django 框架来搭建C2服务器,”Cold River”是一种复杂的威胁,他使用了DNS子域劫持,证书欺骗,隐蔽的C2通信方式,复杂又极具迷惑性的诱饵文档以及定制化的恶意程序。
    吐槽:国内翻译文的质量真心……
  • 通过多种攻击进行爆破。
    吐槽:国内翻译文的质量真心……
  • 主要还是诱导插入U盘并点击伪装的恶意代码。
    吐槽:评论说这个很low,而实际上这确实是非常有效的一种方法——特别是针对行政、财务等非技术人员。
  • 吐槽:总结的一般,勉强可以算科普文。

2019年1月15日星期二


2019年1月8日星期二


  • google play ‘惊现’伪装为正常应用的间谍软件。
    吐槽:正如业内大佬所说,当前Android生态已无恶意代码技术可言。
  • 本文从商业银行数据保护困境入手,阐述了商业银行数据保护的建设思路和步骤——商业银行数据保护是一个系统工程,需要多方面的协调与配合,既涉及到组织架构的调整,也有技术手段的增加,管理策略补充,更需要长期的进行人员教育与培训。
    吐槽:甲方安全建设更注重体系;乙方安全则主打某一点
  • FortiAppMonitor是Fortinet开发和发布的一款免费软件,旨在监控macOS上程序的行为:
    1. 使用命令行参数和进程退出监视进程执行;
    2. 监视所有常见的文件系统事件,包括文件打开,读取,写入,删除和重命名操作;
    3. 监视IPv4和IPv6协议的网络活动,包括UDP,TCP,DNS查询和响应以及ICMP;
    4. 监视.dylib加载事件;
    5. 监控KEXT装载和卸载事件。
      下载地址:FortiAppMonitor_v1.0.0
      吐槽:监控但无法阻断?感觉还是得虚拟机?
  • 年报性质的报告,从IoT的发展现状、IoT攻击的常见设备、IoT攻击的主要地区和IoT恶意软件的传播方式等方面进行介绍,可以看看了解一下数据情况。
    吐槽:软广~ 听风威胁感知平台,做全球蜜罐部署,有钱真好~~
  • 针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
    • 多台机器,不要使用相同的账号和口令
    • 登录口令要有足够的长度和复杂性,并定期更换登录口令
    • 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
    • 定期检测系统和软件中的安全漏洞,及时打上补丁。
    • 定期到服务器检查是否存在异常。查看范围包括:
      • 是否有新增账户
      • Guest是否被启用
      • windows系统日志是否存在异常
      • 杀毒软件是否存在异常拦截情况
      吐槽:勒索病毒很高效的关键在于:破坏的是关键生产环境,相对于生产环境被破坏带来的损失,勒索钱财仅仅九牛一毛。以此反思,安全业务评估标准应该以此为参考,防护效果与生产环境挂钩才好。
  • 探测了一下AMSI(AV软件)的规则,然后开脑洞寻求绕过规则的方法。
    吐槽:分分钟又被杀软给搞死。
  • 本文是基于CVE-2016-1758、CVE-2016-1828来讨论一下macOS下的内核提权技术。
    吐槽:大佬大佬,16年的洞都可以用起来。
  • 从2018年11月中旬开始,NRSMiner挖矿恶意软件的最新版本正在亚洲积极传播,它利用EternalBlue漏洞在本地网络中进行传播。
    文章分析了最新版的更新点和应对方案。
    吐槽:有利益就有投入,更新换代还是很厉害的。
  • 文章有点高屋建瓴的味道,可以看看,引发一下自己的思考。
    纵观十多年,信息安全从默默无闻上升到国家战略,这是整个信息化技术的普及和推动社会进步的必然选择,面对我们所生存的社会越来越多的依赖信息技术,越需要信息安全保护和更多的人参与和贡献。安全防护的工作也要紧跟时代,与时俱进,才能主动适应信息安全防御新常态下的新要求。
    吐槽:从个人到国家,安全均十分重要,而安全的缺失所带来的危害则完全不同。

2019年1月3日星期四

  • 吐槽:’善用Google其实能够满足绝大部分场景’
    1. 至少伪造了98个假的媒体。
    2. 每个媒体都有自己的网站,社交媒体帐户和在全球发布虚假新闻的网页。
    3. 许多虚假媒体还创建了移动应用程序。
      吐槽:看看’国家队’,玩的就是比你好。
  • 安全人员如何用业务说话:
    1. 运营生产率
    2. 客户忠诚度和保留率
    3. 毛利率
    4. 每过程工作时间
    5. 客户流失率
    6. 净推荐值
    7. 客户转化率
      吐槽:各个业务指标中,安全成本占多少、产出占多少也是很难的一个计算过程。
  • 针对日本民众发送虚假的海啸预警邮件,诱骗人们点击下载木马——之前是Smoke Loader,11月底更换为AZORult,均是在俄罗斯地下论坛销售的木马。
    幕后黑手可能正在谋划另一波攻击。
    吐槽:所以已经感知到了为什么不能处置?还是担心处置会带来更大的变化?那么威胁感知能做什么呢?
  • 火绒安全团队发现某商业公司制作的流量劫持病毒”FakeExtent”(产品名为”天馨气象”),正通过”WIN7之家”等下载站中的多款激活工具大范围传播。该病毒入侵电脑后,会释放多个恶意插件,篡改系统配置、劫持流量。
    吐槽:黑产企业化 or 企业黑化 ?
  • 在最近的3篇文章中,主要关注的是如何绕过WAF规则集,最终获得远程命令执行权限。在本文中,分享如何利用PHP绕过过滤器(filter)、输入限制以及WAF规则,最终实现远程代码执行。
    具体的突破、防御策略演进可通读全文,推荐阅读
    吐槽:总的来看就是利用了php的语言特性绕过WAF,惊艳度不如无字符payload。
  • 一款专为安全专家设计的自动化渗透测试框架,可在渗透测试过程中帮助研究人员完成漏洞的枚举和扫描任务
    github地址:Sn1per
    吐槽:好不好用,用了才知道。我不用。
  • 洗钱的目的是将黑钱转化为正常的钱,使得黑钱难以被追回。
    吐槽:所以直播平台、游戏平台、代充平台等,洗钱的嫌疑尤其之重;更早前好像是电影是洗钱平台?
  • 主要还是软广,sentinelone团队可以从一个POC入手,检测到整个攻击流程(不是流量好么?),流程中所用到的工具、代码、资源均可以还原给客户做追踪和防御。
    吐槽:已经无法相信当前的翻译质量了。
  • 近期绿盟伏影实验室威胁被动感知系统再次捕获到利用ADB接口进行传播的具有DDoS功能的僵尸网络。经过样本分析人员研究发现,该僵尸网络家族是Mirai的又一新变种(作者命名为Darks),并且与年初的挖矿样本扫描行为部分具有高度相似性。不同的是年初的样本功能为挖矿,而当前样本功能为DDOS,推测与最近一段时间虚拟货币行业不景气有关。
    吐槽:经济下行,连黑产都不好过了啊。
  • F-Secure(从钓鱼邮件层面)监测到了一波针对法国工控行业的网络钓鱼攻击活动,攻击目标涉及法国的化学制造、航空、汽车、银行、工业软件提供商和IT服务提供商等多个行业专门机构。
    吐槽:一看威胁情报图就是用了vt的graph
  • 详细介绍了当前摄像头安全方方面面的问题:覆盖情况、暴露情况、漏洞情况、产业分析等等。推荐下载阅读。
    吐槽:这种报告才是真正有意义的总结报告。
  • 在密码学中也有类似的三板斧,对于科普读者来说,无论是希望理解HTTPS、暗网,还是比特币等密码学应用,其实只需要理解三个概念:
    • 单向散列(Hash)
    • 对称加密
    • 非对称加密
      吐槽:说当然显得很容易,且市面上运用也很简便,但实质的密码安全却是所知安全届最学术前沿的;好像学术前沿基本都是跟数学挂钩?
  • 360烽火实验室研究团队发现“个人所得税App”被恶意广告木马盯上,12月27号上线一天,就检测到62例伪装木马样本
    吐槽:啥火我’装’啥。
  • 文章介绍了在usb流量中隐藏信息的一种方式——额~~~ 脑洞有点大。
    吐槽:’不就是手工按了 5 0 4 b 0 3 0 4 的按键么?这和隐藏数据有啥关系,就一道脑洞打开的隐写题目而已。’
  • 近期360互联网安全中心监测到一款专门劫持HTTPS的木马再次开始活跃。在2017年,我们就曾曝光过该病毒团伙,在那之后该团伙确实有所收敛,谁知最近他们重出江湖,又开始大肆传播——HTTPS劫匪木马的主控域名之一erhaojie[.]com,在近期的域名请求次数单日峰值已超过190万次。
    吐槽:微博引流;京东推广。
  • 项目地址:iGoat-Swift
    主要就是介绍了如何通过iGoat对Swift应用进行逆向,也可以用来发现一些漏洞啥的。
    吐槽:这个机翻看的真难受。
  • 趨勢科技在Google Play商店上偵測到15個會進行點擊廣告詐騙的桌布應用程式——一些壁纸类应用。
    吐槽:出海发家致富啊
  • 近期的一项安全研究表明,攻击者可以将智能灯泡的灯光作为通信信道,然后利用这条通信信道来窃取被入侵设备中的敏感数据。
    吐槽:实用性较差,想象力充足;另,证明了IOT安全的薄弱。
  • 基于这些重大APT攻击事件的危害程度、攻击频度、攻击技术等,评选出2018年全球十大APT攻击事件:
    1. 韩国平昌冬奥会APT攻击事件
    2. VPNFilter:针对乌克兰IOT设备的恶意代码攻击事件
    3. APT28针对欧洲、北美地区的一系列定向攻击事件
    4. 蓝宝菇APT组织针对中国的一系列定向攻击事件
    5. 海莲花APT组织针对我国和东南亚地区的定向攻击事件
    6. 蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件
    7. APT38针对全球范围金融机构的攻击事件
    8. 疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件
    9. 疑似APT33使用Shamoon V3针对中东地区能源企业的定向攻击事件
    10. Slingshot:一个复杂的网络间谍活动
      吐槽:大数字的总结报告;居然不是从0开始?
  • 总结报告,可以看看。
    吐槽:从行文上就没有数字高端。
  • 深信服安全团队捕获到一个新型垃圾邮件——Neutrino属于Kasidet家族,此次病毒通过伪装成“发票到期”的电子邮件并且带有密码保护的附件进行传播,带有密码保护的电子邮件可能会给人一种安全感。
    吐槽:主要还是别乱点邮件和文档。
  • 本报告是360威胁情报中心基于收集的公开威胁情报和内部产生的威胁情报数据,对2018年全年高级持续性威胁相关研究的总结报告,主要观点有:
    • 网络间谍活动变得更加普遍化,这对高级持续性威胁活动的持续跟踪带来一些挑战。我们需要更加明确的区分和识别高级持续性威胁攻击,以及能够明确来源归属的攻击组织。而对于不能明确归属的APT威胁,需要依赖于持续的威胁跟踪和更多的数据证据佐证。
    • APT威胁的归属问题正在变得更加明显,其原因可能包括攻击者不断变化的攻击武器和使用更加匿名化的控制基础设施,以及引入的false flag或刻意模仿的攻击战术技术,一些成熟而完善的公开渗透工具给攻击者带来了更好的选择。
    • 2018年,360公开披露了两个新的针对中国境内的APT组织,以及多个针对中国境内频繁的APT威胁活动,可以看到随着我国在国际形势中的日益发展,地缘政治、外交形势等立场下高级持续性威胁将变得更加严峻。
    • 2018年多次曝光的在野0 day攻击的发现,展现了APT攻击者的技术能力储备和提升,威胁的攻击和防御变得更加白热化,APT威胁的防御和响应的时效性变得尤为重要。
    • 威胁攻击者也在发掘一些新的攻击方式,也包括使用了部分“陈旧而古老”的技术特性,绕过或逃避威胁检测机制从而实施攻击,结合目标人员的安全意识弱点往往也能够取得不错的攻击效果。