關於網絡安全防禦，每个中小企業應該知道的5件事

2019-05-31 16:24    原創 　作者: 高博編譯　編輯:
0購買

根據美國商業促進局(BBB)的數據显示，你可能會驚訝地發現，小型企業佔北美所有企業的97%以上。根據這個統計数字，我認為好消息是，在所有網絡攻擊中，針對小企業的攻擊不到一半。壞消息是，當中小企業受到攻擊時，大多數企業將無法生存，但事實可能並非如此。接下來讓我們一起來看一下，關於網絡安全防禦，中小企業的高管們都應該知道哪些事。

1. 中小企業是有吸引力的目標：根據SCORE的數據显示，有43%的網絡攻擊是針對小企業的，而2018年Verizon數據泄露調查報告發現，58%的小企業遭遇過網絡攻擊，成功率很高。除了可以直接從中小企業竊取信息外，黑客還可以將中小企業作為更大規模攻擊的啟動平台，並滲透到更大的組織中。他們持續發動攻擊，企圖獲得最大的回報，這意味着中小企業將繼續留在他們的視野之內。

2. 攻擊的影響可能是毀滅性的：根據活動的性質和範圍，對這些企業來說，從網絡攻擊中恢復過來可能是困難的，而且代價高昂，甚至是不可能的。中小型企業擁有多個分支或業務部門的可能性較小，而且它們的核心繫統通常相互聯繫更加緊密。當這些組織遭遇網絡攻擊時，威脅可以快速且容易地從網絡傳播到其他系統，造成毀滅性的影響。BBB詢問北美的小企業高管：“如果您永久失去對基本數據的訪問權限，您的企業能持續盈利多久?”只有約三分之一的企業表示，它們的盈利能力能夠維持3個月以上。超過一半的企業表示，它們將在不到一個月的時間里無利可圖。

3.在思科對26個國家1816家中小企業的調查中，我們發現中小企業最關心的是這些網絡威脅：

•針對員工的針對性攻擊——想想精心策劃的網絡釣魚活動

•高級持續威脅——世界上從未見過的高級惡意軟件

•勒索軟件——這可能尤其有害，因為中小企業更傾向於支付贖金，因為它們根本負擔不起停機時間和無法訪問關鍵數據所帶來的損失。

4.不要忘記這些其他的威脅：儘管人們對勒索軟件感到擔憂，但隨着越來越多的對手將注意力轉向加密——竊取計算能力，以開採加密貨幣並創造收入，這種威脅正在減弱。當加密軟件進入一個環境時，它會降低系統性能，具有監管方面的影響，並表明SMB更容易受到其他類型的威脅。

此外內部威脅也在上升，沒有任何組織能倖免。但這並不意味着每家公司都有員工惡意地將公司置於風險之下。粗心大意的員工或承包商通常是根本原因。

5、這些建議可以幫助加強防禦。有許多方法——跨越人員、流程和工具，來推動網絡安全方面的改進。以下是一些建議：

•正確看待外包和雲：與規模更大的企業一樣，中小企業也面臨網絡安全人才短缺的問題，因此許多企業希望通過外包和雲計算來幫助加強防禦。兩者都是幫助企業充分利用有限資源的有效手段。然而，如果企業認為外包供應商或雲合作夥伴可以提供它們內部缺乏的所有功能，那麼它們可能會遇到麻煩。中小企業應該了解，外包安全提供商提供的分析和監視服務的範圍，以及雲提供商提供的安全控制的類型和影響。

•加強安全流程：對安全實踐的全面審查有助於組織確定其防禦中的弱點。這些流程在中小型企業中並不常見，可能是由於缺乏人員配備，但最終它們可以在很大程度上減輕員工的負擔。通過回顧安全實踐，中小企業可能發現他們需要加強或添加以下內容:一致的訪問權限管理和職責隔離、網絡分段、密碼管理、備份關鍵數據並確認這些備份不會受到損害，以及正在進行的員工安全意識培訓。

•尋找集成的工具：中小企業考慮使用新工具時，要避免增加要管理的供應商數量。選擇一個開放平台，在共享數據和威脅情報方面簡化與工具的集成，而不是與單個產品進行鬥爭，每個產品都生成自己的一組警報，使識別那些構成最大風險的威脅變得困難。這樣的平台還可以提供自動化功能，從不同的安全產品中提取數據，並將它們聚合到一個易於閱讀的窗格中，從而節省大量的時間和挫折，同時提供更好的可視性和控制。

即使中小企業沒有資源進行全面的安全性評估和全面檢查，但增量更改也比沒有好。同樣重要的是要記住，隨着威脅形式和攻擊面的不斷演變，安全措施措施必須在此基礎上不斷進行審查和修訂。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

關於網絡安全防禦，每个中小企業應該知道的5件事

密碼設置需避開哪些雷區?

2019-06-04 10:53    原創 　作者: Olli Jarva　編輯:
0購買

當今互聯網給人們的生活帶來便利的同時，也讓網絡安全、信息安全成為當下熱議的話題。比如，數據泄露問題或者密碼泄露問題都給大眾帶來了極大的擔憂。就密碼管理而言，如今許多公司都會制定密碼管理策略，但是在制定密碼管理策略時，會有哪些常見的問題也需要引起高度關注。

雖然現在身份驗證技術已經更加成熟，但是密碼仍然是保護我們最敏感信息的主要途徑。密碼是防禦潛在入侵者試圖模仿另一個用戶的第一道防線，但這樣的防護往往比較弱。用戶通常想創建易於記憶的密碼，使用出生日期或紀念日，甚至寫下來。開發人員則想盡可能少地投入密碼管理策略中。畢竟，研發新功能比密碼管理和存儲更令人興奮、更有趣。

許多密碼本身安全性非常弱，很容易猜得到，攻擊者就會有機可乘。最糟糕的是，我們信任的密碼存儲系統和其它關鍵信息的系統也面臨着許多安全挑戰。黑客會反覆嘗試密碼數據庫進行盜竊，攻擊者同夥經常會破壞那些保護數據的模式。

我們探討一下公司在密碼管理策略方面做出的一些常見錯誤。讓在下面的討論中，我們將提到“在線攻擊”和“離線攻擊”。在線攻擊是對應用程序登錄頁面的攻擊，攻擊者試圖猜測用戶的密碼;離線攻擊是攻擊者獲取密碼數據庫副本，並嘗試計算存儲在其中的用戶密碼的攻擊。

　　您已限制用戶可以使用的字符數量或種類

　推理：安全人員反覆告訴開發人員驗證所有輸入以防止各種攻擊(例如，注入攻擊)。因此，根據某些規則來制定驗證密碼的規則必然是一個好主意，對吧?

攻擊：限制密碼中字符數量或種類的問題是減少了可能的密碼總數。這使得在線和離線攻擊更容易。如果我知道只允許在密碼中使用特殊字符!和@，那也就是我知道用戶密碼都沒有包含#，$，%，<和>等字符。此外，如果我知道只允許長度為8到12個字符的密碼，我也就知道所有用戶都沒有使用13個字符或更長的密碼。如果我想猜測用戶的密碼，這些規則可以讓我的工作變得更輕鬆。

但是SQL注入、跨站點腳本，命令注入和其它形式的注入攻擊呢?如果遵循密碼存儲最佳做法，您將在收到密碼后立即計算密碼的哈希值。然後，您將只處理哈希密碼，不必擔心注入攻擊。

　　防禦：允許用戶選擇包含任意字符的密碼。指定最小密碼長度為8個字符，但在可行的情況下允許任意長度的密碼(例如，將它們限製為256個字符)。

　　您在使用密碼組合規則

　　推理：大多數用戶選擇容易猜到的密碼。我們可以通過讓用戶選擇包含幾種不同類型字符的密碼，以強制用戶選擇難以猜測的密碼。

　　攻擊：安全專業人員曾經認為，讓用戶選擇包含各種字符類型的密碼會增強密碼的安全性。不幸的是，研究表明這通常沒有幫助。 “Password1!”和“P @ ssw0rd”可能遵循了許多密碼組合規則，但這些密碼並不比“password”更強。密碼組合規則只會讓用戶難以記住密碼;它們不會讓攻擊者的工作變得更加困難。

　防禦：擺脫密碼組成規則。在應用程序中添加密碼複雜性檢查功能，告訴用戶他們的密碼選擇是否明顯強度偏弱。但是，不要強制用戶在其密碼中添加数字、特殊字符等。稍後，我們將討論如何使應用程序更安全，以防止安全性弱的用戶密碼。

　　您沒有安全地存儲密碼

　　推理：加密哈希函數是單向函數。因此，存儲哈希密碼應該可以防止攻擊者計算出它們。

　　攻擊：與前面討論過的兩個問題不同，這個問題通常只與離線攻擊有關。許多企業和組織的密碼數據庫都被盜了。當掌握了被盜密碼庫和強大的計算能力，攻擊者通常可以計算出許多用戶的密碼。

存儲密碼的常用方法是使用加密哈希函數，對密碼進行哈希處理。如果最終用戶選擇完全隨機的20+字符密碼，這種方法將是完美的。例如密碼設成：/K`x}x4%(_.C5S^7gMw)。不幸的是，人們很難記住這些密碼。如果簡單地對密碼進行哈希處理，則使用彩虹表攻擊就很容易猜到用戶選擇的典型密碼。

阻止彩虹表攻擊通常需要在對每個密碼進行散列之前添加隨機“鹽”。“鹽”可以與密碼一起存儲在清除中。不幸的是，加鹽的哈希並沒有多大幫助。 GPU非常擅長快速計算加鹽哈希值。能夠訪問大量加鹽哈希和GPU的攻擊者將能夠使用暴力破解和字典攻擊等攻擊合理且快速地猜測到密碼。

有太多不安全的密碼存儲機制，值得專門寫篇文章去探討。不過，我們先來看看您應該如何存儲密碼。

防禦：有兩種主要機制可以防止攻擊者：一種是使哈希計算更加昂貴，另一種是向哈希添加一些不可估測的東西。

為了使哈希計算更加昂貴，請使用自適應哈希函數或單向密鑰派生函數，而不是密碼哈希函數來進行密碼存儲。加密哈希函數的一個特性是它們可以被計算出來;這個屬性導致它們不適合用於密碼存儲。攻擊者可以簡單地猜測密碼並快速散列以查看生成的哈希值是否與密碼數據庫中的任何內容匹配。

另一方面，自適應哈希函數和單向密鑰導出函數具有可配置的參數，這些參數可用於使哈希計算更加資源密集。如果使用得當，它們可以有助於充分減緩離線攻擊，以確保您有時間對正在受到攻擊的密碼數據庫做出反應。

這種方法的問題在於，每次要對用戶進行身份驗證時，都必須自己計算這些哈希值。這會給服務器帶來額外負擔，並可能使應用程序更容易受到DoS(拒絕服務)攻擊。

或者，您可以添加一些不可猜測的密碼哈希值。例如，如果要生成一個長隨機密鑰，將其添加到密碼哈希值以及唯一的隨機鹽，並且穩妥地保護密鑰，那麼被盜密碼數據庫對攻擊者來說將毫無用處。攻擊者需要竊取密碼數據庫以及能夠使用離線攻擊計算出用戶密碼的密鑰。當然，這也產生了一個需要解決的非常重要的密鑰管理問題。

　　您完全依賴密碼

　　推理：密碼必須是驗證用戶身份的好方法。其他人都在使用它們!

　　攻擊：即使用戶執行上述所有操作，以使在線和離線攻擊更加困難，也無法阻止其它應用程序/網站執行不恰當的操作。用戶經常在許多站點上重複使用相同的密碼。攻擊者經常會在某平台嘗試從其它平台盜取密碼。

此外，用戶成為網絡釣魚攻擊的受害者，因為一些用戶無論密碼要求如何都會選擇安全性弱的密碼，等等。

　　防禦：要求用戶使用多因素身份驗證登錄。請記住多因素身份驗證的含義：使用至少兩種不同因素進行身份驗證(典型因素是您知道的事情、擁有的物品、以及生物識別等等)。使用兩種不同的密碼(例如，密碼+安全問題的答案)不是多因素身份驗證。同時使用密碼和動態口令屬於多因素驗證的一種。此外，請記住，某些多因素身份驗證機制比其它多因素身份驗證機制更安全(例如，加密設備比基於SMS的一次性密碼更安全)。無論如何，使用某種形式的多因素身份驗證總是比僅依靠密碼更安全。

如果必須僅使用密碼進行身份驗證，用戶則還必須採取某種類型的設備身份驗證。這可能涉及設備/瀏覽器指紋識別，檢測用戶是否從不尋常的IP地址登錄，或類似的方式。

　結論

如您所見，處理用戶密碼時需要考慮很多事項。我們還沒有談到密碼輪換策略、帳戶鎖定、帳戶恢復、速率限制，防止反向暴力攻擊等等。

有一個很重要的問題需要考慮：您是否可以將用戶身份驗證轉給其他人?如果你是一家金融機構，答案可能是否定的;如果您要把最新的貓咪寵物視頻給別人看，在此之前需要驗證，那這種情況下答案應該是可以的;如果您正在開發面向企業員工內部使用的應用程序，請考慮基於SAML的身份驗證或LDAP集成;如果您正在開發面向公眾的應用程序，請考慮使用社交登錄(即使用Google，Facebook等登錄)。許多社交網站已經投入大量精力來保護其身份驗證機制，併為用戶提供各種身份驗證選項。您不需要全盤重來。

在不必要的情況下實施用戶身份驗證會給企業和用戶都帶來麻煩，甚至有潛在危險。創建安全的用戶驗證機制困難且耗時。可您是真的想要處理被盜用的密碼數據庫，還是攻擊者在身份驗證機制中發現漏洞?而且用戶有更重要的事情要做，而不是記住另一個密碼!

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

密碼設置需避開哪些雷區?

梆梆安全：做以結果為導向的安全服務商

2019-05-24 15:56    原創 　作者: 李雪薇　編輯:
0購買

【IT168評論】作為國內領先的安全服務提供商，梆梆安全不談概念，始終從基本出發，致力於解決客戶的根本性問題。通過運用領先技術提供專業可靠的服務，為全球政府、企業、開發者和消費者打造安全、穩固、可信的安全生態環境，其用戶遍及金融、政府、企業、運營商等各大行業，覆蓋亞洲、歐洲及北美等市場。

憑藉在移動應用安全領域多年的技術耕耘和積累，梆梆安全已然是當之無愧的龍頭企業。從最早的工具化技術服務到如今的整體移動安全平台化服務，包括移動安全服務平台、移動威脅感知平台、移動應用測評平台等綜合性安全產品，梆梆安全為用戶提供了全方位的移動安全保障。

　　▲梆梆安全首席安全官付傑

　　現如今，梆梆安全不再只專註於移動應用安全單一領域，而是找准程序安全這根主線，向程序安全廠商轉型。付傑表示，“梆梆安全是技術人員出身，我們明白什麼是最根本最有價值的問題。市場給予我們很多信心，讓我們備受鼓舞。未來三年，我們會堅持這條路線不變，然後做橫向和縱向的拓展。”

　八年見證梆梆安全的成長

回顧梆梆安全八年的技術路線，大體處於波動式上升、漸進式增長的趨勢。從2010年到2012年，梆梆安全經歷了一段迷茫。從2012到2015年，梆梆安全用了三年的時間，來專註App保護。付傑指出，“在前五年，梆梆安全主要做最基礎的安全產品，身上真正的信息安全屬性並不是很強。”

從2016年到2017年，梆梆安全更加關注PPDR體系下的程序安全，以及更加寬泛的程序安全，包含移動、雲、物聯網、AI等。2018年是梆梆安全歷史上不平凡的一年，公司通過明確的市場定位，從App安全廠商開始向程序安全廠商轉型。

付傑表示，“梆梆安全轉型主要體現在兩個方面，在程序保護對象方面，從App變成一個泛程序對象。在安全保護技術方面，從單點的加固混淆加密技術到基於PPDR安全架構的全方位解決方案，包含預測、保護、檢測、響應安全能力。”

2019年到未來三年，梆梆安全將要構建泛程序安全技術體系，打造可信的程序，為萬物互聯的時代構建信息基石。這意味着，未來梆梆安全將會圍繞程序安全為用戶在技術層面上提供泛程序安全的產品和方案，在服務層面上提供泛安全服務，真正成為可以託付信賴的安全服務供應商。

　　▲用計算機科學的基礎技術來解決信息安全問題

　　付傑認為，“安全行業不是一個獨立存在，是生長在基礎計算機科學技術上的一個分支，編譯器、SCA、操作系統、芯片體系架構上的技術，都應該被信息安全行業所用。”

堅持做一家特立獨行的安全公司

梆梆安全讓程序更加安全、更加可信，讓程序員開發的軟件代碼，成為業務發展可以信賴依靠的基礎設施。付傑表示，“我們很像一個安全行業的苦行僧，做基礎工作很苦，也很難獲得商業價值，但我們始終堅持最基礎的目標：代碼安全可信、執行過程可信、執行環境可信。”

安全需要更加系統性、以結果為導向、關注投入產出比。一個層面的產品或技術，不會解決等保2.0的合規。程序安全是基石，但是客戶想要的是以問題及結果為導向：大型客戶期望更加體系化的安全方案，高数字資產中小客戶期望一站式解決某個專項問題。

安全更加要求系統性，安全問題從來不會獨立存在，總是依附於實體(組織架構和業務)，以企業SDLC安全為例，實施一個SDLC安全需要：組織架構上設立獨立的安全部門、制定安全基線及審核標準、建立SDLC安全開發制度流程、培訓員工相關知識與意識、支撐SDLC過程安全的一系列安全工具等。

安全更加註重問題導向，客戶和供應商的對話內容正在變成：“我要你解決這個問題”，而不是“我要買一個什麼”。客戶希望供應商為某個結果負責，而不是僅僅在過程中提供幫助。作為一家信息安全公司，梆梆安全認為，客戶是否從我們這裏獲得“安全感”，是對於我們產品服務的更高要求。

安全更加註重效能，客戶更加註重控制手段投入和風險損失的衡量，對於任何安全項目的實施，耗費的不僅僅是客戶的金錢，還有人力、時間及機會。每個信息安全企業都應該把投入產品比最大化作為服務客戶的重要價值取向，提供適合客戶的安全服務。在程序安全領域，客戶需要能夠提供更大範疇可信服務的供應商。

　　▲支撐可信安全服務的產品技術體系

　　為了應對這種需求變革，梆梆安全開始從產品技術供應商轉型為安全服務供應商。“我們雖然還沒有成年，但應該像成年人一樣，為客戶的結果負責。這就要求我們提供的東西不僅是簡單的產品和技術，應該是以結果為導向的整個服務解決方案，包含產品、技術、服務、知識庫，甚至駐場人員的一個完整的體系。”

記者了解到，目前梆梆安全的安全服務主要有三個方向，一個是軟件安全服務，裡面包含了諮詢、評估、滲透、培訓等軟件生命周期的安全體系。第二個是隱私合規安全服務，其中涉及諮詢、服務、產品、整改，還有法務等方面的工作。第三個是等保合規安全服務。

除此之外，付傑還說道，“我們還拓展了很多新的服務，特別是數據安全服務、數據安全治理服務。我們依託的是對核心技術的理解、核心產品，以及外部有益的補充，最終負責客戶某一層面的問題。六個月後，我們會成立獨立的安全諮詢公司，然後完成徹底的去移動化，最終成為全球安全服務的領跑者。”

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

梆梆安全：做以結果為導向的安全服務商

網站內容來源http://server.it168.com/

針對新型進程注入技術Ctrl-Inject原理分析

2018-05-15 09:45    來源：安全客 　作者: Rotem Kerner　編輯:
0購買

　　概述

在本文中，我們將主要介紹一種新型的進程注入方法，我們稱之為“Ctrl-Inject”，它利用控制台應用程序中處理Ctrl信號的機制實現注入。在研究的過程中，我們在瀏覽MSDN時發現有一條關於Ctrl信號處理的相關評論：“這是一個與SetConsoleCtrlHandler函數( https://docs.microsoft.com/en-us/windows/console/setconsolectrlhandler )一起使用的函數，由應用程序定義。控制台進程使用此函數來處理進程收到的控制信號。當收到信號后，系統會在進程中啟動一個新的線程來執行該函數。”這也就意味着，每次我們觸發一個信號到一個基於控制台的進程時，系統都會調用一個在新線程中調用的處理函數。正因如此，我們可以藉助這一特點，來實現一個不同於以往的進程注入。

　　控制信號處理

當用戶或進程向基於控制台的進程(例如cmd.exe或powershell.exe)發送Ctrl + C(或Break)信號時，系統進程csrss.exe將會在目標進程中創建一個新的線程來調用函數CtrlRoutine。CtrlRoutine函數負責包裝使用SetConsoleCtrlHandler的處理程序。接下來，我們深入研究一下CtrlRoutine，首先注意到了下面這段代碼：

該函數使用名為HandlerList的全局變量來存儲回調函數列表，在該函數中會循環執行，直到其中一個處理程序返回TRUE(通知該信號已被處理)為止。為了使處理程序成功執行，它必須滿足以下條件：1、函數指針必須正確編碼。處理程序列表中的每個指針都使用RtlEncodePointer進行編碼，並在執行之前使用RtlDecodePointer API進行解碼。因此，未經編碼的指針很有可能會導致程序崩潰。2、指向有效的CFG(Control Flow Guard，控制流防護)目標。CFG通過驗證間接調用的目標是否為有效函數，來嘗試對間接調用進行保護。我們來看一下SetConsoleCtrlHandle，看看它如何設置一個Ctrl處理程序，以便我們以後可以模仿其方式。在下圖中，我們可以看到各個指針在添加到HandlerList之前是如何編碼的。

接下來，我們看到了一個名為SetCtrlHandler的內部函數調用。該函數更新了兩個變量：一個是HandlerList，用於添加一個新的指針;另一個全局變量是HandlerListLength，增加了它的長度以適應新的列表大小。

現在，由於HandlerList和HandlerListLength變量駐留在kernelbase.dll模塊中，並且該模塊會映射到所有進程的相同地址，所以我們可以在進程中找到它們的地址，然後使用WriteProcessMemory在遠程進程中更新它們的值。我們的工作還沒有完成，考慮到CFG和指針編碼的存在，我們需要找到一種方法來繞過它們。

　　繞過指針編碼

在Windows 10之前的版本中，我們需要理解指針編碼、解碼的工作原理，從而應對指針編碼保護。接下來，我們一起深入了解一下EncodePointer的工作原理。

開始，存在一個對NtQueryInformationProcess的調用，其定義如下：

NTSTATUS WINAPI NtQueryInformationProcess(

_In_HANDLE ProcessHandle,

_In_PROCESSINFOCLASS ProcessInformationClass,

_Out_ PVOIDProcessInformation,

_In_ULONGProcessInformationLength,

_Out_opt_ PULONG ReturnLength

);

根據上述定義，我們可以做出以下假設：1、ProcessHandle：當傳遞-1的值時，它代表引用調用進程的函數。2、ProcessInformationClass：該參數的值為0x24，這是一個未公開的值，要求內核檢索進程加密Cookie。Cookie本身駐留在EPROCESS結構中。在檢索加密Cookie后，我們可以看到幾個涉及輸入指針和加密Cookie的操作。具體為：

EncodedPointer = (OriginalPointer ^ SecretCookie) >> (SecretCookie & 0x1F)

一種繞過的方法，是使用CreateRemoteThread執行RtlEncodePointer，並將NULL作為參數傳遞給它，如下所示：1) EncodedPointer = (0 ^ SecretCookie) >> (SecretCookie & 0x1F)2) EncodedPointer = SecretCookie >> (SecretCookie & 0x1F)這樣一來，返回值將被Cookie旋轉的值增加到31倍(在64位Windows 10環境上該值為63，即0x3f)。如果我們在目標進程上使用已知的編碼地址，就能夠暴力猜測出原始Cookie值。以下代碼展示了如何對Cookie進行暴力猜測：

在Windows 10及以上版本中，微軟非常慷慨地為我們提供了一組新的API，稱為RtlEncodeRemotePointer和RtlDecodeRemotePointer。顧名思義，我們傳遞一個進程句柄和一個指針，該API將會為目標進程返回一個有效的編碼后指針。此外，還有另一種提取Cookie的技術，請參考： https://github.com/changeofpace/Remote-Process-Cookie-for-Windows-7/blob/master/Remote%20Process%20Cookie%20for%20Windows%207/main.cpp 。

　　繞過CFG

到目前為止，我們已經將我們的代碼注入到目標進程，並修改了HandlerList和HandlerListLength的值。如果我們現在嘗試發送Ctrl+C信號來觸發代碼，該進程會引發異常，最終自行終止。其原因在於，CFG會注意到我們正在嘗試跳轉到一個非有效調用目標的指針。幸運的是，微軟對我們一直非常友善，他們發布了另外一個有用的API，名為SetProcessValidCallTargets。

WINAPI SetProcessValidCallTargets(

_In_HANDLEhProcess,

_In_PVOID VirtualAddress,

_In_SIZE_TRegionSize,

_In_ULONG NumberOfOffsets,

_Inout_ PCFG_CALL_TARGET_INFO OffsetInformation

);

簡而言之，我們傳遞進程句柄和指針后，該API會將其設置為有效的調用目標。此外，如果使用我們此前介紹過的( https://blog.ensilo.com/documenting-the-undocumented-adding-cfg-exceptions )未記錄的API也可以實現這一點。

　　觸發Ctrl+C事件

現在一切準備就緒，我們需要做的就是在目標進程上觸發Ctrl + C，以調用我們的代碼。有幾種方法可以觸發它。在這種情況下，我們可以使用SendInput的組合，來觸發系統範圍的Ctrl鍵按鍵，以及用於發送C鍵的PostMessage。同樣，也適用於隱藏或不可見的控制台窗口。以下是觸發Ctrl-C信號的函數：

　　揭秘底層

從實質上來說，在這個進程注入技術中，我們將代碼注入到目標進程中，但是我們從不直接調用它。也就是說，我們從來沒有自己調用CreateRemoteThread或使用SetThreadContext改變執行流。相反，我們正在讓csrss.exe為我們調用它，這樣一來就顯得是一個正常的行為，不會被懷疑。其原因在於，每次將Ctrl + C信號發送到基於控制台的應用程序時，conhost.exe會調用類似於調用堆棧的內容，如下所示：

其中，CsrClientCallServer會傳遞一個唯一索引標識符(0x30401)，然後將其傳遞給csrss.exe服務。在其中，會從調度表中調用一個名為SrvEndTask的函數。調用鏈具體如下：

在這個調用鏈的最後，我們看到了RtlCreateUserThread，它負責在目標進程上執行我們的線程。注意：儘管Ctrl-Inject技術僅針對於控制台應用程序，但也可能會在很多控制台應用程序上被濫用，最值得注意的就是cmd.exe。

　　總結

現在，我們已經了解了這個新型的進程注入方法，掌握了該方法的工作原理以及其背後到底發生了什麼。在最後，我們可以總結一下Ctrl-Inject技術。這種技術與傳統線程注入技術相比，主要優點是遠程線程是由可信的Windows進程csrss.exe創建，這使得它得隱蔽性更強。但同樣存在缺點，就是這種方法僅適用於控制台應用程序。

要進行這種進程注入技術，所需的步驟如下：1、將OpenProcess附加到控制台進程。2、通過調用VirtualAllocEx，為惡意負載分配一個新的緩衝區。3、使用WriteProcessMemory將數據寫入分配的緩衝區。4、使用目標進程cookie將指針指向指定的緩衝區。通過調用帶有空指針的RtlEncodePointer並手動編碼指針或通過調用RtlEncodeRemotePointer來實現。5、通知遠程進程，新指針是可以使用SetProcessValidCallTargets的有效指針。6、最後，使用PostMessage和SendInput的組合觸發Ctrl + C信號。7、恢復原始處理程序列表。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

針對新型進程注入技術Ctrl-Inject原理分析

網站內容來源http://server.it168.com/

一圖讀懂：新華三安全風險態勢感知系統

2017-12-11 14:38    原創 　作者: 閆志坤　編輯:
0購買

【IT168 技術】IDC與新華三聯合發布的《網絡安全風險態勢感知系統》白皮書研究表明，利用大數據分析及認知系統等相關技術，構建網絡安全風險態勢感知系統，並將主動安全防禦體系中各個組件有機結合在一起，才能使構建智能的主動安全防禦體系得以實現。

 

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

一圖讀懂：新華三安全風險態勢感知系統

網站內容來源http://server.it168.com/

Huntpad:為滲透測試人員設計的Notepad應用

2018-05-21 09:45    來源：FreeBuf.COM 　作者: Alpha_h4ck編譯　編輯:
0購買

今天給大家推薦的是一款名叫Huntpad的Notepad應用程序，Huntpad由Syhunt公司開發，這是一款專為滲透測試人員以及漏洞hunter們提供的實用程序，它自帶了一套常用注入字符串生成器、哈希生成器、編碼器、解碼器以及HTML和文本修改功能等等，而且還支持多種編程語言的代碼高亮。

　　工具下載

Huntpad：

　　工具介紹

Huntpad從Syhunt Sandcat的QuickInject插件中借鑒了很多功能，跟QuickInject類似，Huntpad的核心任務也集中在文件包含漏洞、XSS漏洞和SQL注入漏洞的身上，並且還帶有下列額外的附加功能：

1. 代碼高亮：支持HTML、JavaScript、CSS、XML、PHP、Ruby、SQL、Pascal、Perl、Python和VBScript。

　2. SQL注入功能：

a) 過濾器繞過：特定數據庫字符串轉義(CHAR&CHR)，將字符串轉換為引用字符串，將空格轉義為註釋標籤或換行。

b) 過濾器繞過(MySQL)：字符串拼接，百分號混淆，整形替換。(例如：’26′轉換為’ceil(pi()*pi())*(!!!pi()+true)+ceil(@@version)’)

c) UNION語句生成。

d) 針對MySQL、MSSQL、Oracle及PostgreSQL等多款數據庫實現快速注入。

　　3. 文件包含：

a) 快速Shell代碼上傳及生成。

b) PHP字符串轉義(chr)。

　　4. 跨站腳本XSS功能：

a) 過濾器繞過：JavaScript字符串轉義(String.fromCharCode)，CSS轉義。

b) 提供了各種用於測試XSS漏洞的測試語句(alert語句)。

　　5. 哈希功能：

a) 哈希生成器：MD5, SHA-1, SHA-2 (224, 256, 384 & 512), GOST, HAVAL (various),MD2, MD4, RIPEMD (128, 160, 256 & 320), Salsa10, Salsa20, Snefru (128 &256), Tiger (various) & WHIRLPOOL

　　6. 編碼器/解碼器：

a) URL編碼/解碼。

b) 十六進制編碼/解碼：將字符串或整形值轉換為十六進制(支持多種輸出格式)。

c) Base64編碼/解碼。

d) CharCode轉換：將字符串轉換為charcode(例如’abc’轉換為’97,98,99′)。

e) IP混淆：將IP地址轉換為dword或十六進制值。

f) JavaScript編碼：類似JJEncode。

　　7. HTML功能：

a) HTML轉義。

b) HTML實體編碼/解碼：十進制和十六進制HTML實體編碼/解碼。

c) JavaScript字符串轉義。

　　8. 文本修改功能：大小寫轉換、字符串反向操作、添加/替換斜杠等。

　　9. 基於時間的盲注代碼。

　　10. CRC計算：CRC16, CRC32, CRC32b等等。

　　11. 緩衝區溢出字符串生成。

　　12. 隨機字符串/數組生成功能。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

Huntpad:為滲透測試人員設計的Notepad應用

網站內容來源http://server.it168.com/

聚焦數據庫安全昂楷科技解決最迫切問題開始

2018-05-25 18:07    原創 　作者: 閆志坤　編輯:
0購買

序言：海量數據正以指數級增長，人們通過大數據技術可以實現前所未有的對海量數據的處理和分析能力，而數據庫作為存儲數據的倉庫，經常成為黑客入侵、惡意攻擊的對象，若存儲的重要或敏感信息被竊取、篡改或破壞，則後果不堪設想，因此數據庫安全顯得尤為重要，數據庫安全作為信息安全的一個子集，也是信息安全中最重要的部分之一。

【IT168專訪】“我們認為數據庫安全領域最迫切需要解決的問題是可視和可控，我們所有產品都着眼於此”,昂楷科技董事長兼CTO 劉永波先生在接受IT168記者採訪時說道。

▲劉永波

　　深圳昂楷科技有限公司創始人，OWASP 中國區高級顧問，智慧城市大數據安全標準制定專家。2009 年創立深圳昂楷科技有限公司;1998 年至2009年供職於華為技術有限公司、華為賽門鐵克合資公司，歷任華為接入網產品線研發總監，華賽安全產品線研發VP。曾經帶領團隊成功研發商用綜合接入UA5000 系列產品，該系列產品在2007 年成為英國電信BT 唯一同類採購產品，位列世界同類產品第一名。

【解鎖數據庫三級聯防 捍衛數據安全】

大多數用戶對於傳統IT架構的需求以穩健為主，業務系統運轉正常最為重要，安全性則為次要考慮，同時，由於數據庫在企業IT系統中非常脆弱，因此選擇安全解決方案要非常慎重。劉永波指出，處理數據庫安全問題，一定是要小心又小心，正如“治大國如烹小鮮”一般，數據庫好比是IT系統大國中的小鮮，經不起隨意折騰。

從國家機關、企事業單位的數據安全防護方案建設來講，應該建立終端、外防、內審內控的三級聯動聯防主動積極防禦體系;其次，針對系統漏洞等管理問題，選用安全設備加強安全管控。其中尤其重要的是數據安全態勢感知系統，作為整個防護體系的雷達探測和中樞指揮系統，是核心中的核心;第三，將數據安全態勢感知系統與原有的網絡安全態勢感知系統融為一體，建立全態勢的安全感知和統一指揮調度系統，能夠有效整合終端安全、網絡安全、數據安全、應用安全等各大系統，形成強大的聯動效應。

劉永波解釋道，昂楷科技正是按照這個建設思路，即內審內控的數據安全保護思路，先從最核心的數據庫安全審計監控產品開始研發，解決對數據庫攻擊行為及攻擊者的可視;進而打造數據庫漏洞檢測、數據庫狀態監控、數據庫防火牆、數據庫的安全態勢感知系統，構建針對數據庫的主動防禦一體化解決方案。

截至目前，昂楷產品支持多種關係型數據庫和非關係型數據庫，如常用數據庫類型：Oracle、Mysql、MSSQL、sybase、informix、DB2、PostgreSQL等，新類型的數據庫：后關係型數據庫Caché、工控實時數據庫IP21、Hadoop大數據架構下的Hbase等。

【新興技術之殤 化解數據庫安全難題】

雲計算不斷成熟，公有雲、私有雲乃至混合雲出現，徹底打破傳統IT架構，大量採用雲架構，虛擬交換機鏡像功能很難具備或沒有虛擬交換機，數據庫安全監控面臨很大的挑戰。政企用戶遇到第一個比較痛苦的問題：數據安全的問題怎麼解決?

業界多採用插件式解決方案，即在數據庫服務器安裝插件，但這時候項目負責人需要思考，插件是否會對數據庫系統的性能產生影響?是否安全等問題。

目前，昂楷科技做了很多積極性探索，已經推出了無插件解決方案，並與UCloud、青雲成功應用，同時還積極推動與華為雲、騰訊雲戰略合作，此外，昂楷科技的插件式解決方案已成功對接幾大公有雲，無論是阿里雲，還是品高雲、有孚雲等都完成了對接。劉永波表示，我們作為數據庫安全廠商，一定要跟雲供應商一起探討如何實現雲數據庫的安全監控，最終我們一起給最終用戶提供最佳體驗。

而對於越來越多公有雲平台開始自主研發數據庫，一方面是解決新應用的需要，另一方面是國產化數據庫的需要，包括大數據需要、NoSQL數據庫需要，這恰恰說明數據庫技術也在快速發展和演進，數據庫技術逐漸成為了基礎技術。大數據、智慧城市、物聯網快速發展，對這種基礎技術的要求也越來越高，數據庫的種類越來越多，數據庫安全面臨的挑戰就越來越嚴峻。

劉永波解釋道，因為每種數據庫技術都可能會不同，對外提供的API接口、協議框架越來越多，越來越複雜，數據庫就面臨着更多的潛在風險，而任何一個風險，如果被黑客利用或者被不法分子利用，導致的攻擊破壞都是不可想象。昂楷科技作為數據庫安全領域的專業廠商，我們要構建一個開放的、能夠自我學習、採用人工智能和大數據技術的產品，能快速演進，快速技術研發，能夠能趕得上這些新數據庫或新數據庫的應用接口的發展，能夠提前預防危險，對數據庫安全廠商而言，既是挑戰又是機遇。

【政企行業數據庫安全實施“指南”】

正所謂沒有絕對安全，信息安全保護也沒有底線，無法窮盡。但對於剛剛開始加強數據庫安全的政企用戶，又該如何做好數據庫安全管理?劉永波表示，不同的政企單位要在正常的業務運行和安全投入成本之間取得一個合理的平衡，對數據庫安全或者數據安全問題，要根據政企單位的安全等級來選擇合適的產品。

對於一般的政企單位而言，最基礎性的產品應該是數據庫監控和可視，所有政企單位都需要使用，而數據庫防火牆等新產品，要結合政企單位特點，例如非常高度涉密數據，即使業務停掉也要能夠進行及時攔截，此時可以考慮使用數據庫防火牆。

對於數據庫審計、數據庫監控選型方面建議，第一，既然談到監控，那就是要精細化，就是要嚴格做到不漏審，不誤審，看得准，看得狠基本要素。測試方法很簡單，在業務最繁忙時，將所有應用系統的流量全部鏡像過來，然後在任何一個終端上來進行正常操作，最後看數據庫監控產品能不能準確的識別該操作;第二，綜合性能測試，當監控告警記錄已經達到幾億條到數十億條時，再來進行檢索操作，觀察分析結果準確性和出報錶速度，以及是否跟其它安全設備進行了快速聯動。

在採訪最後，作為昂楷科技董事長兼CTO,談及企業未來規劃，劉永波坦言，昂楷科技定位一個研發性技術型公司，從長遠來看，我們將致力於為廣泛的‘大’數據提供可靠的‘大’安全，大安全的‘大’，可理解為廣泛縱深。我們希望未來成為大數據安全領域的領先性企業，能夠使得我們的產品和服務走出國門，服務於全世界的企業，甚至於個人用戶!

經過這些年發展，昂楷科技以工匠精神打造多款國產數據安全精品，不僅包括了數據庫審計系統、大數據安全審計系統、雲數據庫審計系統、工控數據庫審計系統等產品之外，而且在2018年還將發布數據庫漏洞掃描系統、數據庫狀態監控系統、數據庫脫敏系統、數據庫防火牆、數據庫安全態勢感知系統等新產品。

總結

數據安全無論是對國家還是對政企用戶都至關重要，數據是数字經濟時代社會生產的新主導要素，也是新工業革命的核心內容，數據庫安全擁有巨大藍海市場，非常需要昂楷科技這樣企業去探索、創新，為政企用戶保護數據庫支撐更多創新應用落地，讓越來越多政企客戶認識數據庫安全重要性，中國數據庫安全任重道遠。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

聚焦數據庫安全昂楷科技解決最迫切問題開始

網站內容來源http://server.it168.com/

針對信息竊取惡意軟件AZORult的相關分析

2018-05-29 14:25    來源：安全客 　作者: Gal Bitensky　編輯:
0購買

AZORult是一種信息竊取的惡意軟件，隨着時間的推移已經發展成為一種多層功能的軟件,我們知道達爾文的自然選擇進化理論已有150多年的歷史，但進化也可能由於人工選擇的結果(也稱為選擇性育種)。在我們的信息安全領域，同樣的生物學原理適用於惡意軟件的進化。攻擊者經常檢查他們攻擊性工具的具體特徵與其生存能力的相關性，並通過“基因工程”惡意軟件來改善其功能。在接下來的文章中，我們將介紹一個信息竊取惡意軟件的特性。每一層隱藏的功能的都是其“飼養者”精心挑選的，以提高其在野外生存的可能性。

　　分析攻擊

上周，我們阻止了一個客戶網站的攻擊。這是一個名為“Quotation Request – EP”的經典惡意郵件。它是從一家非洲能源公司的电子郵件帳戶發出的，它含有惡意附件。它是一個包含兩個文件的RAR存檔 – 一個文本文件和一個帶有DDE對象的Microsoft Word文檔。一旦打開，它會從受感染的網站下載一個MSI文件：

該文件是使用名為msi2exe工具從常規可執行文件創建的安裝程序，它將“普通”惡意Windows可執行文件作為安裝程序進行包裝。這隻是眾多隱藏這段惡意代碼手段的第一層。為了獲取和分析可執行文件，我將使用7-Zip提取它，將MSI作為歸檔文件打開:

在我們分析發現，罪魁禍首是名為Binary._D7D112F049BA1A655B5D9A1D0702DEE5的資源，這是一個包含在MSI中的正常Windows可執行文件。在使用PEStudio仔細查看文件時，我們發現情況並非如此：

事實證明，這是一個編譯的AutoIt腳本 – 另一層包裝實際的payload。用Exe2Aut可以將其反編譯可執行文件。但是，反編譯的腳本仍然是混淆的：

結果發現，混淆並不是太複雜，主要依賴於單個字符串混淆函數。我們寫了一個用於反混淆的Python腳本，可以點擊以下鏈接獲取：https://github.com/MinervaLabsResearch/BlogPosts/blob/master/ObfuscatedAutoItDecrypter/AutoIt_dec.py現在可以查看腳本並重命名變量：

看看這個混淆的腳本，現在很清楚看到，在AutoIt中運用了一個經典process hollowing技術：

惡意軟件創建原始進程的第二個暫停實例：

它分配可寫，可執行的內存：

該腳本將它希望執行的payload寫入遠程進程：

在攻擊的下一階段位於遠程進程的內存之後，惡意軟件將主線程的狀態設置為運行注入的代碼並恢復進程的執行：

注入的payload本身使用與字符串相同的例程進行混淆，因此在執行我們的反混淆腳本之後，可以直接觀察它：

第一對字節4D和5A是ASCII字符串MZ – Windows可執行文件開頭的魔術字符串。這是一個強有力的指示，表明注入的緩衝區是另一個payload(!)，並且使用另一個Python腳本轉儲它，事實證明確實如此。儘管頭部分損壞，但仍有可能使用PEstudio仔細查看二進制文件。令人驚訝的是，事實證明，攻擊者並不認為到目前為止使用的所有不同技術都已足夠，所以又用UPX壓縮了文件，使其更加隱藏：

由於PE已損壞，因此無法自行執行，但無需這樣做。即使在UPX壓縮形式下，我們也發現了這樣一個事實的證據，即這是隱藏payload的最後一層，並沒有修復它的結構。使用十六進制編輯器觀察文件显示了多個字符串，表明其目標是竊取存儲在瀏覽器中的密碼:

快速Google搜索驗證了這是用於竊取存儲在Google Chrome中的憑據的常見SQL查詢的一部分：

嗅嗅惡意軟件的網絡活動證明了惡意軟件的功能，因為它首先向C2服務器發出指令，然後接收到竊取密碼的指令並將其發送回去

在更深入的探索之後，研究團隊追蹤了一位創造幾乎相同paylaod的作者。這使我們能夠將注入的payload作為非損壞的二進制文件，驗證我們的分析結論。例如，現在我們能夠觀察到相同的SQL查詢，以提取存儲在Google Chrome中的密碼以及其他類似的技術：

正如我們的友好惡意軟件研究社區指出的那樣，這個payload最終被證明是AZORult——一個眾所周知的竊取信息的惡意軟件，它至少從2016年開始在不同的論壇上出售。

實踐中的人工選擇

這個活動中包裝的AZORult惡意軟件採用了六種技術來逃避檢測，展示了它的創建者如何通過反覆嘗試和錯誤的方式選擇“繁殖”它們：

　　使用RAR歸檔

該文件在發送時作為壓縮文件存檔進行打包，試圖克服對“危險”文件類型附件的靜態掃描和限制。

　　多個圖層

使用多個圖層隱藏最終的信息竊取功能可能會欺騙一些安全產品，使其看起來不夠“deep enough”，而其他安全產品則無法理解每個圖層的上下文。

　使用MSI文件來釋放payload

令人驚訝的是，許多機器學習防病毒解決方案忽略了這種文件類型。但是，有些供應商在後期檢測到該文件，因為二進制payload被保存到臨時文件夾中，但在其他情況下，它可能不那麼簡單並且可能會被忽略。

　　AutoIt

使用非常規腳本語言進行模糊處理和編譯，會生成一個二進制文件，與傳統的C C ++可執行文件明顯不同。在文件中尋找模式的產品本身會發現更難以檢測到惡意軟件。

　　注入代碼

這種惡意軟件會在內存中解密其有效內容，並且僅在使用了幾層迷惑技巧之後。

　　DDE

攻擊者不再依賴舊的VBA宏，而是利用了DDE的“feature” ——允許他們將有效載荷嵌入不太可疑的docx格式，因為宏只能以doc或docm格式使用。

我們能夠追蹤之前的嘗試，從相同的參與者展示他們經過的人工選擇過程，提煉他們最新的最終倖存者。例如，早期的變體選擇了SCR擴展而不是MSI。在另一種情況下，交付機制是不同的，並且依賴於一個鏈接來直接從受損的網站下載受感染的docx文件。

　　IOC

　　URLs

　　hxxp://ipool[.]by/bitrix/css/8/DOC71574662-QUOTATION[.]doc

　　hxxp://ipool[.]by/bitrix/css/8/aksu[.]msi

　　hxxp://www[.]sckm[.]Krakow[.]pl/aksu[.]msi

　　hxxp://aksuperstore[.]com/fh8nzhme/gate[.]php

　　Files (SHA-256)Analyzed DDE docx:

　　ac342e80cbdff7680b5b7790cc799e2f05be60e241c23b95262383fd694f5a7a

　　Analyzed MSI Installer:

　　e7a842f67813a47bece678a1a5848b4722f737498303fafc7786de9a81d53d06

　　Unzipped executable:

　　717db128de25eec80523b36bfaf506f5421b0072795f518177a5e84d1dde2ef7

　　Decompiled obfuscated AutoIt:

　　31f807ddfc479e40d4d646ff859d05ab29848d21dee021fa7b8523d2d9de5edd

　　Deobfuscated AutoIt:

　　b074be8b1078c66106844b6363ff19226a6f94ce0d1d4dd55077cc30dd7819c5

　　Similar DDE document downloaded directly from a compromised website:

　　dc3fac021fae581bf086db6b49f698f0adc80ebe7ca7a28e80c785673065a127

　　The builder (Trojanized):

　　329030c400932d06642f9dbc5be71c59588f02d27d9f3823afa75df93407027b

　　Similar MSI installers:

　　efa6af034648f8e08098ea56445ccab1af67376ca45723735602f9bdd59e5b5d

　　9d7a10fa3e5fd2250e717d359fcff881d9591e0fe17795bab7aac747e8514247

　　dc3fac021fae581bf086db6b49f698f0adc80ebe7ca7a28e80c785673065a127　

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

針對信息竊取惡意軟件AZORult的相關分析

網站內容來源http://server.it168.com/

一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤

2018-05-29 14:45    來源：FreeBuf.COM 　作者: 任子行　編輯:
0購買

　　一.背景

近期蜜網系統監測到一起涉及利用多個殭屍木馬傳播進行DDoS攻擊的安全事件。木馬樣本涉及Windows與Linux兩個平台，通過對樣本的分析，發現這幾個樣本編寫風格都不一樣，但是硬編碼在程序中的C&C均指向同一個IP地址。推測這一系列木馬的傳播者通過購買不同的DDoS木馬進行傳播，從而構建自己的殭屍網絡進行DDoS攻擊牟利。其中有兩個樣本所屬家族為XorDDoS和ChinaZ。最後通過一系列的分析，將該威脅定性為小黑客組建殭屍網絡進行DDoS攻擊事件，同時追蹤到了惡意代碼傳播者的個人信息，包括姓名、QQ號碼、手機號、郵箱、微信等。

　　二.相關樣本分析

2.1樣本一分析：

2.1.1樣本基本信息

2.1.2樣本行為

該樣本首先會執行安裝邏輯，包括拷貝自身到Windows目錄，然後將自身註冊為服務，最後自刪除自己，安裝完成。接着註冊為服務的木馬會開始進入功能邏輯，通過爆破局域網來感染傳播，與C&C建立通訊后，等待C&C下髮指令。

2.1.3樣本詳細分析

(1)整體邏輯

(2)拷貝到Windows目錄

生成6個字符的隨機進程名拷貝到Windows目錄

(3)創建服務

服務名：Abcdef Hijklmno Qrstuvwx Abcd

服務描述：Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn

自啟動

(4)自刪除

構建“/c del C:\Users\xxx\Desktop\gy.exe > nul”參數，使用ShellExecuteExA創建刪除自身的進程。

(5)從資源釋放hra33.dll並加載

從資源釋放文件在文件頭加上PE文件頭兩個字節“MZ”。

從釋放的文件更新當前木馬服務中的資源

(6)爆破感染局域網

內置字典

爆破成功後會拷貝自身到admin$\\、C：、D:、E：以及F:等路徑下，並創建計劃任務，2分鐘后執行。

(7)遠控功能部分

與C&C建立通訊

解密出C&C地址為web.liancanmou.xyz:6006

發送上線信息

遠程下載執行

更新

使用iexplorer打開指定網頁

卸載

DDoS攻擊模塊

2.1.4 關聯分析

該IP對應的位置在新鄉電信機房，訪問http://123.160.10.16:3097/gy.exe下載樣本。

通過VT Graph關聯分析該樣本早在2018-05-08已經被發現了，與本次捕獲到的樣本分析結果是一致的。

2.2樣本二分析：

2.2.1樣本基本信息

2.2.2樣本行為

該樣本代碼編寫十分簡單，獲取本地信息回傳CNC上線，等待CNC的DDoS指令。

2.2.3樣本詳細分析

(1)整體邏輯

(2)與C2建立通訊

創建連接套接字

C&C地址為 jch.liancanmou.xyz:52527

木馬通訊協議

(3)DDoS功能

並沒有用到反射放大攻擊，只是一般的flood攻擊。

2.2.4關聯分析

通過VT分析發現該樣本與a.lq4444.com這個域名相關，而該域名曾用於Linux/Elknot這個家族。通過VT显示，a.lq4444.com這個域名與9個樣本相關。

2.3樣本三分析

樣本三與樣本二代碼是一樣的，區別是樣本三被編譯為x86架構，樣本二被編譯為x64架構。

2.4樣本四分析：

2.4.1樣本基本信息

2.4.2樣本行為

(1)該樣本通過SSH爆破被拷貝到/tmp目錄下並開始運行

(2)將自身註冊為服務

(3)拷貝自身到其他目錄

(4)設置定時任務

(5)修改刷新iptables后，嘗試連接到遠程主機。

(6)它會刪除/etc/resolv.conf並保存初始安裝和下載的配置數據(Config.ini)

(7)通過發送用戶名信息連接到C&C，作為一個bot與C&C建立通訊

(8)C&C主要發送帶目標IP地址作為參數的DDoS命令到bot機器進行DDoS攻擊

VT行為分析：

2.4.3樣本詳細分析

寫入腳本到/etc/init.d/%s/與/etc/rc%d.d/S90%s路徑下

設置定時任務

控制網卡接口

以.chinaz為前綴拷貝自身到/tmp/目錄下

安裝完成後會重啟計算機

DDoS相關的一些指紋，其中包含一個QQ號碼：2900570290

　　三.事件分析

3.1事件關聯分析

以liancanmou.xyz這個域名為起點，結合樣本分析與VT Graph關聯分析形成以下關聯圖，可以確定123.160.10.16、180.97.220.35以及123.249.9.157這三個IP是用於作為木馬的CNC地址以及木馬分發地址。在2018年5月24日域名liancanmou.xyz從指向123.249.9.157被換位指向180.97.220.35這個IP。

PassiveDNS相關信息

3.2事件溯源

3.2.1域名註冊信息

3.2.2個人信息

　　四.IoCs

liancanmou.xyz

web.liancanmou.xyz

jch.liancanmou.xyz

wwt.liancanmou.xyz

wwv.liancanmou.xyz

www.liancanmou.xyz

http://180.97.220.35:3066/Linux4.7

http://123.160.10.16:3097/gy.exe

http://180.97.220.35:3066/33

http://180.97.220.35:3066/32

180.97.220.35

123.249.9.157

123.160.10.16

123.249.9.15

123.249.79.250

180.97.220.35

103.248.220.196

892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173

4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD

74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D

DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤

網站內容來源http://server.it168.com/

黑客是如何利用你的瀏覽器進行挖礦的？

2018-05-30 18:05    來源：FreeBuf.COM 　作者: 千里目安全實驗室　編輯:
0購買

　　0×1 概述

近期，千里目安全實驗室監測到了一大批網站系統被惡意植入了網頁挖礦木馬，只要訪問者通過瀏覽器瀏覽被惡意植入了網頁挖礦木馬站點，瀏覽器會即刻執行挖礦指令，從而淪為殭屍礦機，無償的為網頁挖礦木馬植入者提供算力，間接為其生產虛擬貨幣，這是一種資源盜用攻擊。由於網頁挖礦木馬存在很廣的傳播面和很不錯的經濟效益，因此、廣受黑產團體的追捧，讓我們對它防不勝防!

　0×2 千里百科

區塊：在區塊鏈網絡上承載交易數據的數據包。它會被標記上時間戳和之前一個區塊的獨特標記。區塊頭經過哈希運算後會生成一份工作量證明，從而驗證區塊中的交易。有效的區塊經過全網絡的共識後會被追加到主區塊鏈中。

區塊鏈：狹義來講，是一種按照時間序列將數據區塊以順序相連的方式組合成的一種鏈式數據結構，並以密碼學方式保證的不可篡改和不可偽造的分佈式賬本。

礦機：礦機是挖礦機器的簡稱，就是用於賺取数字貨幣的計算機，這類計算機一般有專業的挖礦芯片，多採用燒顯卡的方式工作，耗電量較大。個人計算機可以通過挖礦軟件來運行特定的算法產生算力(俗稱挖礦)來獲得相應数字貨幣。

礦池：由於單一礦機想挖到一個塊的幾率是非常小的，通過礦機聯合挖礦以提高几率。一個礦池的算力是很多礦機算力的集合，礦池每挖到一個塊，便會根據你礦機的算力占礦池總算力的百分比，發相應的獎勵給到個體，也不會存在不公平的情況。

挖礦：挖礦是反覆嘗試不同的隨機數對未打包交易進行哈希，直到找到一個隨機數可以符合工作證明的條件的隨機數，以構建區塊。如果一個礦工走運併產生一個有效的區塊的話，會被授予的一定數量的幣作為獎勵。

錢包：錢包指保存数字貨幣地址和私鑰的軟件，可以用它來接受、發送、儲存你的数字貨幣。

　　0×3 家族樣本分析

千里目安全實驗室通過持續對全網進行安全監測，發現近期有如下十種家族的網頁挖礦木馬的傳播比較活躍。詳情分析如下所示：

　　1、Coinhive家族網頁挖礦木馬介紹：

Coinhive是一個專門提供挖礦代碼的JS引擎，在被攻擊網站的網頁內嵌一段JS挖礦代碼，只要有人訪問被攻擊的網站，JS挖礦代碼就會通過瀏覽器上執行挖礦請求，佔用大量的系統資源，導致CPU資源利用率突然大幅度提升，甚至100%。在這過程中網站只是第一個受害目標，而網站的訪問者才是最終的受害目標。

1.1、Coinhive家族網頁挖礦木馬代碼，如下所示：

1.2、執行JS挖礦代碼前後的效果，如下圖所示：

1.3、通過快捷鍵(Shift+ESC)來查看瀏覽器的任務管理器，發現正是剛打開的“XMR Mining Page”網站頁面佔用了98.4%的CPU資源，正在瘋狂的挖礦。如下圖所示：

　　2、JSEcoin家族網頁挖礦木馬介紹：

JSEcoin是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。但是與後者不同的是，JSECoin會將CPU使用率限制在15%至25%之間，並且始終显示隱私聲明，為用戶提供退出選項(可選擇不提供運算服務)。

2.1、JSEcoin家族網頁挖礦腳本代碼，如下所示：

2.2、通過對JSEcoin挖礦代碼進行調試，發現執行完挖礦代碼後會持續接收到需要運算的任務，如下圖所示：

2.3、通過進一步跟蹤運算過程，發現其通過WSS協議來獲取區塊的計算任務，然後將結果進行回傳效驗，校驗通過的會显示OK標記。如下圖所示：

　　3、CryptoLoot家族網頁挖礦木馬介紹：

CryptoLoot是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。不過CryptoLoot平台的傭金比Coinhive平台的傭金低很多，這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

3.1、CryptoLoot網頁挖礦腳本代碼，如下所示：

3.2、CryptoLoot網頁挖礦腳本代碼參數介紹，如下所示：

miner.min.js：為JS挖礦腳本。

85e693dfe57edbdf8f53640b4c0b0d257513a504c503：為SiteKey,可以理解為JS挖礦引擎識別站點的唯一標識。

threads(value)：指挖礦運算所啟用的線程數量。這裏的值為3，即表示啟用3個線程進行挖礦運算。

autoThreads(value)：這裏的Value可以設置為true和false，當設置為true時，表示自動檢測用戶計算機上可用的CPU內核數量。

throttle(value)：這裏的value是設置線程閑置時間比例的。如果值為0，即表示不進行節流(即進行CPU滿載運算)。這裏的值為0.2即表示將在20%的時間內保持空閑狀態。

　4、DeepMiner家族網頁挖礦木馬介紹：

DeepMiner是一個開源的JS挖礦項目，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

4.1、DeepMiner網頁挖礦腳本代碼，如下所示：

4.2、DeepMiner網頁挖礦腳本同源分析：

DeepMiner是一個已經被開源了的項目，通過分析，發現上面的挖礦腳本代碼為此開源項目修改而來(開源項目地址為：https://github.com/deepwn/deepMiner)。

　5、Webmine家族網頁挖礦木馬介紹：

Webmine也是一個與Coinhive類似的JS挖礦引擎，在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

5.1、Webmine網頁挖礦腳本代碼，如下所示：

5.2、訪問JS挖礦站點時，發現CPU使用率劇增，隨後退出對JS挖礦站點的訪問，發現CPU的使用率一下子就降下來了。如下圖所示：

6、AuthedMine家族網頁挖礦木馬介紹：

AuthedMine也是一個與Coinhive類似的JS挖礦引擎，在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

　　6.1、AuthedMine網頁挖礦腳本代碼，如下所示：

6.2、 AuthedMine網頁挖礦腳本與之前的幾種相比有比較大的改進，大致如下3點：

設置了線程閑置時間比例，這樣不容易被礦機受害者發現和察覺。

設置了挖礦設備類型，只對非移動設備進行挖礦運算，防止手持終端設備被卡死。

設置了挖礦運算時間，只挖礦4小時，避免長時間CPU過高而遭暴露。

　　7、BrowserMine家族網頁挖礦木馬介紹：

BrowserMine是一個與DeepMiner類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

7.1、BrowserMine網頁挖礦腳本代碼，如下所示：

7.2、 執行JS挖礦代碼前後的效果，如下圖所示：

　　8、Coinimp家族網頁挖礦木馬介紹：

Coinimp是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。稍有不同的是Coinimp的平台費用基本免費，而且JS挖礦腳本可以重置為任意名字存放在本地，偽裝性更高。

8.1、Coinimp網頁挖礦腳本代碼，如下所示：

8.2、Coinimp網頁挖礦腳本代碼與之前的幾個有一個明顯的區別就是SiteKey值變成了64位，同時，JS挖礦代碼可以保存到本地存儲了，訪問參數與JS腳本名稱可以自行定義。

　　9、CryptoWebMiner家族網頁挖礦木馬介紹：

CryptoWebMiner是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。不過CryptoWebMiner平台的傭金比Coinhive平台的傭金低很多，這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

9.1、CryptoWebMiner網頁挖礦腳本代碼，如下所示：

9.2、CryptoWebMiner網頁挖礦腳本代碼結構與Coinhive很類似，但支持的幣種比較多，主要有BTC、ETH、ZEC、ETN、XMR。另外，它支持的平台也很多，分別為手機端挖礦、PC端挖礦、WEB端挖礦，可見傳播面很廣。

　　10、PPoi家族網頁挖礦木馬介紹：

PPoi是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

10.1、PPoi網頁挖礦腳本代碼，如下所示：

10.2、通過訪問PPoi平台官方地址，發現已經被Google GSB加入黑名單了。如下所示：

0×4 趨勢分析與統計

1、我們通過對分析過的網頁挖礦木馬代碼特徵，使用FOFA對全球所有在線Web應用系統進行統計，發現有60742892個Web應用被惡意掛載了網頁挖礦木馬。如下為全球TOP10地域的網頁挖礦木馬感染量和分佈情況。詳情如下所示：

統計數據來自於FOFA平台

2、進一步通過這些網頁挖礦木馬的代碼特徵來對中國境內所有在線Web應用系統進行分析和統計，發現有4557546個Web應用被惡意掛載了網頁挖礦木馬。如下為中國境內TOP N地域的網頁挖礦木馬感染量和分佈情況。詳情如下所示：

統計數據來自於FOFA平台

0×5 安全建議

ü 定期對服務器中的數據做備份，看到類似以上10種形態的可疑腳本代碼，需提高警惕(這很可能意味着我們的站點和服務被入侵了 )，找專業的安全人員來做分析和處理。

ü 如在服務器中發現存在可疑的後門或惡意代碼，需做全局的排查和清理，然後再做安全加固工作。

ü 定期主動對服務器及服務器中的應用進行安全評估，及時發現潛在的風險，並及時處置和修復。

0×6 IOCs

C2：

https://coinhive.com

https://coin-hive.com

https://webmine.cz

https://webmine.pro

https://munero.me

https://load.jsecoin.com

https://browsermine.com

https://authedmine.com

https://crypto-loot.com

https://cryptaloot.pro

https://ppoi.org

URL：

https://coinhive.com/lib/coinhive.min.js

https://coin-hive.com/lib/coinhive.min.js

https://crypto-loot.com/lib/miner.min.js

https://cryptaloot.pro/lib/miner.min.js

https://authedmine.com/lib/authedmine.min.js

https://ppoi.org/lib/projectpoi.min.js

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

黑客是如何利用你的瀏覽器進行挖礦的？