一个人的闲言碎语

dr0v

blog.drov.com.cn
一个人碎碎念。
About Me
A lazy security employee.

2019年2月25日星期一


  • 网络犯罪分子正在利用一个在2018年12月被发现和已修补的ThinkPHP漏洞传播Yowai(Mirai变种)和Hakai(Gafgyt变种)两种僵尸网络病毒。
    网络犯罪分子利用字典攻击破坏使用PHP框架创建网站的Web服务器,并获得这些路由器的控制,以实现分布式拒绝服务攻击(DDoS)。
    吐槽:Yowai还会清除竞争对手的后门程序。黑产的世界才是血腥和残酷的。
  • 由于商店应用初始更新检查使用HTTP,攻击者在控制网络流量(例如,在网络上实施中间人攻击)的前提下,可以更改用于负载平衡的URL并修改对镜像的请求至用户所控制的域名。这将允许攻击者欺骗Galaxy Apps使用任意带有有效SSL证书的主机名,并模拟应用商店API来修改设备上的现有应用。(最重要的是)攻击者可以在三星设备上利用此漏洞实现远程代码执行。
    吐槽:MITM攻击真的随处可见。
  • google开放自己的零信任框架后,各大安全公司开始推崇“零信任”安全架构成为网络安全流行框架之一。
    吐槽:国内安全公司大多还是跟风为主。
  • 话不多说,看图:
    吐槽:毛熊之厉害,可见一斑。
  • 印度国有天然气公司(Indane)面向经销商和渠道商的网站上,尽管只能通过有效的用户名和密码进行访问,但部分内容已经被谷歌搜索引擎编入索引。
    吐槽:据说爆料者担心受Indane报复~
  • 木马模块只是接管了官方游戏的登录流程,从而达到偷偷盗取用户账号密码的目的。
    吐槽:主要骚操作就是买SEO广告。
  • 对于安全狗杀形,d 盾杀参的思路来绕过。生僻的回调函数, 特殊的加密方式, 以及关键词的后传入都是不错的选择。
    对于关键词的后传入对免杀安全狗,d 盾,河马 等等都是不错的,后期对于菜刀的轮子,也要走向高度的自定义化
    用户可以对传出的 post 数据进行自定义脚本加密,再由 webshell 进行解密获取参数,那么以现在的软 WAF 查杀能力几乎为 0,安全软件也需要与时俱进了。
    吐槽:不明觉厉系列。
  • 信息安全五大时期:
    1. 通信安全时期
    2. 计算机安全时期
    3. 网络安全时期
    4. 信息安全时期
    5. 数据安全时期
      吐槽:数据亦是信息的一部分,只不过当前互联网蓬勃发展,数据积累为大数据,所以安全也跟风谈着重谈数据安全。七本质依旧是保障信息安全。
  • 通过各种贴吧、论坛等信息逐步追溯,过程中一些关键点:QQ、支付宝名字认证等;然后最关键的,还是对人的社工。
    吐槽:所以说,黑产从业者的赚钱门路真的五花八门。
  • 吐槽:科普贴
  • 本次的漏洞是出现在ndex.class.php中的likejob_action()和saveresumeson_action()函数,由于这两个函数对用户的输入没有进行严格的显示,同时利用mysql的特点能够绕过waf。
    吐槽:有源码的注入只需要耐心;前提是挖洞的脑洞有。
  • 主要实战了如何用wireshark做流量分析,信息提取。
    吐槽:恩,跟分析木马差不多的原理咯。都不用分析泄露了什么数据?
  • Justniffer是一款功能强大的网络协议分析工具,它可以捕捉网络流量并以定制化的方式生成日志文件。除此之外,它还可以模拟Apache Web服务器日志文件,跟踪响应事件并从HTTP流量中提取出所有截获到的文件。
    Justniffer项目官网:【传送门
    吐槽:还是wireshark分析器好点吧。
  • FireEye的Mandiant应急响应和情报团队识别出了一波DNS劫持攻击,这波攻击影响了大量域名,其中包括中东、北非、欧洲和南美地区的政府机构、通信部门以及互联网基础设施。研究人员目前还无法识别此次活动背后的攻击者身份,但初步研究表明,攻击者与伊朗有关。
    吐槽:跨国DNS劫持,所以在国家机器面前,个人信息安全如何保障?
  • 近期绿盟科技应急响应团队检测到多家政府、教育、企事业单位网站被黑客植入恶意链接,访问链接后会跳转到指定色情网站。攻击者利用第三方的编辑器的未授权访问及上传漏洞,上传相关恶意HTML页面。结合SEO技术,提升恶意站点在搜索引擎的收录和权重。
    吐槽:事业单位网站、app外包的危害将一直持续下去。
  • 暴力破解还可用于发现Web应用程序中的隐藏页面和内容,在你成功之前,这种破解基本上是“破解一次尝试一次”。
    吐槽:当然,暴力破解更多用于密码爆破;虽然也有爆破漏洞啥的(fuzzing),但其目的往往仅是发现问题(crash)。
  • 2018年,勒索病毒攻击整体态势以服务器定向攻击为主,辅以撒网式无差别攻击手段。
    政企单位防范勒索病毒建议从七个方面着手,即及时更新最新的补丁库、杜绝弱口令、重要资料定期隔离备份、提高网络安全基线、保持软件使用的可信、选择正确的反病毒软件、建立高级威胁深度分析与对抗能力。
    吐槽:勒索变现-新纪元。
  • 最为严重的就是Torpedo,它利用了蜂窝寻呼协议(paging protocol,运营商用于来电或者短信之前通知手机)的弱点,在短时间内拨打和取消手机通话可以在通知目标设备来电的情况下触发寻呼协议,从而让攻击者追踪受害者的位置。研究人员说,知道受害者的寻呼时机还可以让攻击者劫持寻呼通道,并通过欺骗消息(如Amber警报)或完全阻止消息来插入或拒绝寻呼消息。
    吐槽:又一核武器埋下。

2019年2月19日星期二


  • 安全研究员在USB上嵌入了WiFi芯片,使其可以通过WiFi进行远程通信,然后利用BadUSB技术进行物理入侵。
    吐槽:想到Bad充电宝了。
  • 在对“驱动人生”劫持事件下载木马的域名dl.haqo.net进行关联分析时,我们注意到其中一个子域名js.haqo.net,在360威胁情报中心的ALPHA平台中被打上Mykings的标签,该域名解析到IP:81.177.135.35 。
    两者IP有关联,时间线有一定关联,URL、端口相似,但代码风格不同。360更倾向于认为是栽赃。
    吐槽:APT的关联分析真的是,纯靠想。
  • 攻击组织的兴趣点在于中东地区能源行业。其攻击手法似乎包含网络渗透和鱼叉钓鱼,具备反追查意识,使用新款木马后门,具有一定技术实力背景和多人员分工协作构成犯罪组织特征。
    吐槽:目前来看APT分析里比较中肯和线索清晰的。
  • 沙特政府推出的一款可监控女性出境的APP——Absher帮助男性监控甚至决定女性(妻女)出境状态。
    吐槽:政府支持视女性为男性所属品,应用商店也没办法的。
  • 此次行动针对的是金融行业,尤其是是俄罗斯联邦和白俄罗斯共和国金融行业的工作人员。此次行动背后的行为者是Silence团伙,这是一个相对较新的威胁团伙,自2016年中期以来一直在运营。到目前为止,我们已确定的被攻击的企业包括:
    • NBD Bank Russia:提供零售和商业服务的俄罗斯银行。
    • Zapsibkombank(Zapadno-Sibirskiy Kommercheskiy Bank):西西伯利亚商业银行(WSCB),位于俄罗斯。
    • FPB(Finprombank):同样位于俄罗斯。
    • MSP银行(МСПБанк):专注于为中小企业提供融资的俄罗斯联邦国家银行。
    • MT Bank(МТБанк):Meridian trade Bank,也是唯一一家位于白俄罗斯的实体银行。
      吐槽:有受害主体的APT(虽然是猜测)则显得有料一些。
  • 本文介绍了macOS上利用Chrome扩展实现的一种载荷投递机制,介绍了自动更新功能在攻击过程中的应用,也介绍了使用Apfell的一个实际攻击样例,最后提出了一些基本但实际可操作的检测指南。
    吐槽:所以,扩展程序就应该只拥有chrome的访问权限啊。
  • Mojave仅为少数应用程序(如Finder)提供对此文件夹的特殊访问权限。但是,安全人员发现了一种在Mojave中绕过这些保护的方法,允许应用程序在~/Library/Safari没有获得系统或用户的任何许可的情况下查看内部,并且不会弹出权限对话框。通过这种方式,恶意软件应用程序可以通过检查他们的网络浏览历史秘密地侵犯用户的隐私。
    吐槽:细节未暴露,还在苹果处理中。
  • 论坛、外卖等容易暴露自身信息,特别是单身租房的妹子尤其需要注意。
    依然是可以当故事看的文章。
    吐槽:当然,变态也没那么多就是了。
  • 通过溯源分析,金山毒霸发现本次“暗流Ⅱ”家族通过多玩公司旗下的“游戏盒子”客户端升级渠道进行传播感染,其启动宿主进程的数字签名为“广州玩盒科技有限公司”。“游戏盒子”作为该公司旗下知名的游戏辅助软件,包含“英雄联盟盒子”、“DNF盒子”、“坦克世界盒子”等多款辅助客户端,从监控数据看无一幸免,所有产品升级渠道均被植入“暗流Ⅱ”木马家族。除升级渠道和数字签名等强关联证据外,暂时未发现“暗流Ⅱ”木马家族与“多玩游戏”存在直接操纵和利益关联的线索,本次病毒传播事件究竟是厂商内部操作还是外部黑产攻击尚无法给出定论,因此我们将本次安全事件暂定性为“疑似软件供应链攻击”。
    吐槽:从黑产对抗经验来看,极有可能是内部的锅。
  • 目录结构:
    • 第一章,总体介绍了为什么智能设备的安全需要引起我们的注意并投入精力去研究,以及以智能设备系统架构为导向的研究方法。
    • 第二章,主要介绍硬件安全分析,包括 PCB 安全隐患和加固建议、侧信道攻击和中间人攻击的基本原理及加固方案。
    • 第三章,固件安全部分,提供固件获取的几种思路及相应加固办法,固件解包工具介绍演示。
    • 第四章,从分析环境、模拟运行、设备调试三方面介绍智能设备的调试技术。
    • 第五章,关注通讯协议,包括载波分析、两种无线协议 ZigBee 和蓝牙的测试方法。
    • 第六章,移动终端 APP 安全分析,分别介绍在 Android 和 IOS 平台上的分析技术。
    • 第七章,本章节通过命令注入、未授权访问、XSS 的案例提供一些智能设备中 WEB 安全测试的思路。
    • 第八章,包括口令破解的方法,二进制漏洞静态分析、模糊测试的简单介绍。
    • 第九章,介绍业务逻辑中可能出现的两种漏洞。
      吐槽:作为学习文档是可以下载一看的。
  • Check Point的安全研究员发现了一种能针对Linux和Mac设备的新后门木马“SpeakUp”,该恶意软件存储了大量之前的攻击案例,能够优先识别安全漏洞并有效地躲避杀毒软件的查杀。SpeakUp以其命令和控制(C&C)域名SpeakUpOmaha[dot]com命名,后者因后端运行C&C代码而受到攻击。SpeakUp还有一个内置的Python脚本,该脚本可以让恶意软件在本地网络上传播。Python脚本会使用预先定义的登录凭据列表自动扫描本地网络以定位打开的端口并识别最近区域的系统漏洞。
    吐槽:python天下第一。

2019年2月17日星期日


近期碰到亲友有数据恢复的需求,所以帮忙找了一下相关工具,发现以前免费的一些软件都开始收费了。就连金山和QQ提供的数据恢复软件都在收费?!

DataRecovery-市场情况

从了解到的信息来看,当前市面上做的比较好的数据恢复软件有以下一些:
  • EasyRecovery(Ontrack)
  • EasyRecovery(互盾数据恢复软件)
  • 万能数据恢复大师
  • DiskGenius
  • 金山数据恢复
  • 电脑管家文件恢复工具
  • Wise Data Recovery
同时,大厂(尤其是安全产品大厂)也提供了数据恢复功能,所以也可以加入进来。
上述所列产品中,仅 Wise Data Recovery 提供免费版,全数据恢复能力。
几乎所有数据恢复软件的主要功能交互逻辑均为:选择待恢复磁盘——>扫描磁盘——>展示可恢复文件列表(一般提供预览功能)——>用户选择需要恢复的文件——>点击恢复——>引导至付费界面——>恢复相关文件至另一磁盘。
功能做的较好的,如EasyRecovery还支持按文件类型——照片、视频、文档等分类,以及按文件名进行筛选扫描(扫描磁盘时按文件名等进行过滤扫描,更精准。)

EasyRecovery

Easy Recovery是一款世界知名的 Ontrack 公司出品的数据恢复软件,在中国知名度比较高。不但有数据恢复的功能,还有囊括了磁盘诊断和文件修复等各种数据文件修复和磁盘诊断方案。
早期因为免费、轻便在国内打下诺大市场,商业化后,仅支持免费恢复1G数据。
  • 特点:功能全,认可度、知名度高。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、数码相机、手机等不同设备。
  • 平台:windows/MacOS
  • 不足:免费版有限制;对APFS文件系统需付费才可扫描

EasyRecovery(互盾数据恢复软件)

Easy Recovery由Ontrack打响名声后,疑似被国内互盾’劫持’了流量。目前搜索easyRecovery,百度排名第一为互盾数据恢复软件,Google搜索结果中互盾也排到了第三。
EasyRecovery®是由互盾数据恢复工作室出品的一款专注于数据恢复软件;支持恢复不同存储介质数据:硬盘、光盘、U盘/移动硬盘、数码相机、手机等,能恢复包括文档、表格、图片、音视频等各种数据文件;操作简单方便。
  • 特点:功能全,认可度、知名度高。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、数码相机、手机等不同设备。
  • 平台:windows/MacOS
  • 不足:苹果系统仅恢复iOS数据且恢复能力待鉴别;非免费

万能数据恢复大师

万能数据恢复大师是一款强大、界面简洁、操作简单的数据恢复工具。软件具备文件恢复、支持多种设备、常见文件预览、分区格式化后恢复功能。该软件支持从电脑硬盘、U盘、内存卡、CF卡、SD卡、TF卡、相机、记忆棒等介质中恢复文件,支持 FAT12,FAT16,FAT32,NTFS,EXT2 文件系统,并免费预览丢失的文件。
  • 特点:功能全面,覆盖系统广。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、数码相机、手机等不同设备。
  • 平台:windows/MacOS
  • 不足:收费较高;微信数据恢复能力持疑

DiskGenius

DiskGenius 是一款国产老牌的「专业级」数据恢复及硬盘分区管理软件。它支持多种情况下的文件丢失、分区丢失恢复;支持文件预览;支持扇区编辑、RAID 恢复等高级数据恢复功能。此外还有分区备份、分区还原、分区复制、磁盘复制等功能。
  • 特点:专业度高,功能丰富全面,包含磁盘分区、备份功能。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、数码相机、手机等不同设备。
  • 平台:windows
  • 不足:仅支持windows

金山数据恢复

金山数据恢复大师是金山软件推出的一个功能强大的数据恢复软件,它能帮你找回各种误操作而丢失的文件,支持多种恢复方式,使用简单,恢复快速。
相对来说比较老牌的安全公司出品,用户较多,功能较为全面且稳定。
  • 特点:功能全,认可度、知名度高。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、手机等不同设备。
  • 平台:windows
  • 不足:仅支持windows,收费较高


电脑管家文件恢复工具

电脑管家文件恢复工具是一款由腾讯电脑管家官方推出的一款文件修复工具,使用该软件用户可以轻松的恢复误删及恶意删除文件,支持u盘和手机文件恢复功能
知名度不高,绑定腾讯电脑管家使用,收费较为便宜,支持仅购买7天使用权。
  • 特点:功能较全,价格合适。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、手机等不同设备。
  • 平台:windows
  • 不足:知名度不高,寻找路径复杂。

Wise Data Recovery

Wise Data Recovery 是一款免费、轻巧的数据恢复工具。它兼容U盘、移动硬盘、存储卡甚至是一些MP3播放器的设备的数据恢复。即使是不小心删除的文件,也能很快恢复回来。小巧简单,满足普通需求是足够了,反正一般的文件肯定是能恢复出来的。
  • 特点:轻巧简洁,操作简单,免费。
  • 适用范围:适用于硬盘、光盘、U盘/移动硬盘、mp3、手机等不同设备。
  • 平台:windows
  • 不足:功能一般,仅适用windows平台

Categories:

2019年2月13日星期三


  • 本文旨在研究智能语音应用的潜在威胁和防御机制,为人工智能算法测试与修复提供思路。主要基于语音识别原理,挖掘深度学习算法漏洞,自动化地将语音命令嵌入到任意歌曲中生成对抗样本,这种被称为CommanderSong的“恶魔音乐”可以在人们无法觉察的情况下大范围地实际物理攻击智能语音识别系统。此外,这种攻击还可以通过网络或者收音机信号进行广泛传播,进而在人们日常生活中误导商业化应用产品(如科大讯飞)。
  • 为解决该问题,我们利用侧信道推测技术,设计并实现了一个可以通过分析加密无线流量来监控应用行为的系统,称为 HoMonit。通过对比从应用的源代码或 UI 交互界面提取的预期行为和从加密流量中推测的实际行为,HoMonit 系统可以实现对应用异常行为的检测。为了评估 HoMonit 系统的有效性,我们分析了 181 个官方提供的应用,并对基于此开发的 60 个恶意应用进行了评估检测。这些应用对智能设备存在越权访问或事件欺骗攻击的行为。实验结果表明,HoMonit 系统可以有效验证智能家居应用的工作逻辑,并且在检测应用异常行为方面具有较高的准确度。
  • 公共域名解析服务器由于其良好的安全性与稳定性被一些互联网用户所信任。 我们发现,这层信任关系会轻易地被域名解析路径劫持所破坏。网络中的旁路设备伪装成公共域名解析服务器的IP地址,进而劫持用户的域名解析流量,并转发到第三方域名服务器。通过全球范围内大规模的网络测量,我们发现全球两百余个自治域内存在这种现象;而在中国,近三成谷歌公共DNS的域名解析流量被劫持。这一现象给用户带来了多种安全隐患。这项研究工作发表于国际网络安全顶级会议USENIX Security (’18)(CCF A 类会议)。
  • 挖矿行为的识别可以通过很多方面进行判断,终端层面监控硬件资源的使用率,及相关进程分析;流量层面通过识别挖矿行为的流量特征,从流量中识别出挖矿行为。
    详细分析了挖矿木马的流量特征,然后形成监控规则。
    吐槽:恶意流量检测与病毒检测的共通之处。
  • Android users could be remotely hacked simply by viewing a legitimate-looking PNG image, Google has warned in its latest security update.
    吐槽:文档/文件解析器导致的漏洞,以flash最为严重。
  • 现在诞生了一个职业,他们混迹淘宝高仿店,利用淘宝打假去申请退款,还有人利用淘宝漏洞去恶意退款良心商家,一些商家害怕不良记录只能忍气吞声,淘宝打假人混的好的一个月收入能有两万以上。
    吐槽:当故事看就好。
  • 总结一下,国内篇:
    1. 驱动人生供应链事件
    2. 数据泄漏事件 —— 酒店开房数据、facebook用户数据等
    3. 勒索病毒继续在内网肆虐
    4. 虚拟货币交易所被攻击等事件
    5. Weblogic组件多个远程命令执行漏洞
    6. “应用克隆”攻击
    7. ZipperDown通用漏洞
    8. 智能门锁安全需要被重视
    9. WEB应用程序0day攻击事件
    10. xiongmai摄像头漏洞影响数百万摄像头
      国际篇:
    11. Memcache DDoS攻击
    12. Cisco路由器被攻击事件
    13. 供应链攻击——NodeJS库被第三方恶意公司接管
    14. GPON远程命令执行漏洞
    15. Java反序列化漏洞
    16. Drupal远程代码执行漏洞(Drupalgeddon2)
    17. 数据泄漏事件
    18. EOS平台远程命令执行漏洞
    19. 多个区块链项目RPC接口安全问题
    20. 区块链智能合约相关漏洞
      吐槽:都是一些大事件了,不过总结还是有点不给力。
  • 黑客似乎已经找到了这个问题(尤其是攻破 Gatekeeper)的解决办法 —— 将 EXE 文件打包在 DMG 文件中(后者是 Mac 上的应用程序封装格式)。
    吐槽:mac安全的春天来了?不解决安全软件的权限问题,永远没有出头之日。
  • 几个常用的搜索引擎: