Shadow Brokers在数周前就曾宣布将公布更多0-day Exploit,并就此发表了一篇声明。几周之前闹得沸沸扬扬的WannaCry恶意软件利用的正是Shadow Brokers从NSA窃取的“永恒之蓝”。如今六月将至,Shadow Brokers也兑现了自己的“承诺”,团队在最新的公告中表示,每个月将以订阅的方式出售数据,费用为100Zcash(根据5月31日汇率情况约为23,000美元,折合人民币约1,759,000)每月。

什么是ZEC(Zcash)?

Zcash是一较比特币匿名性更强的加密货币,也就是说交易双方的信息和交易金额都将被隐藏。不过Shadow Brokers的成员似乎对于利用Zcash和洋葱网络仍然感到不够放心。

他们在声明中写到:“Zcash与美国政府(美国国防高级研究计划局DARPA, 美国国防部DOD, John Hopkins)和以色列有关。美国政府“赞助”这种加密版的比特币的理由不得而知。从防御性角度而言,Tor洋葱网络的设计初衷也是防追踪。但是我们同样无法完全相信Tor。”

basic-txn-types_v2.png

现在就加入“月享俱乐部”

简单来说,感兴趣的用户可以首先将100Zcash发送至指定地址,并在“加密备忘栏”(encrypted memo field)中“预留邮箱地址”(delivery email address)。Shadow Brokers在收到付款后会向用户预留的邮箱发送确认邮件。

根据声明,该团体将从2017年6月开始在不同平台上发布新的0-day漏洞和利用工具。团队成员此次公布了更多的“漏洞订阅”细节。想要成为Shadow Brokers “Wine of Month Club”(月享俱乐部)的会员?请参照以下指示

欢迎来到TheShadowBrokers每月订阅服务——2017年6月

问:我应该如何进行订阅,获得theshadowbrokers下阶段的数据(2017年6月)?

#1-在2017年6月1日至2017年6月30期间将100ZEC(Zcash)转入以下地址:

zcaWeZ9j4DdBfZXQgHpBkyauHBtYKF7LnZvaYc4p86G7jGnVUq14KSxsnGmUp7Kh1Pgivcew1qZ64iEe

G6vobt8wV2siJiq

#2-转账需在“加密备忘栏”中附上“收件email地址”

#3-完成#1和#2后,你提供的“收件email地址”将收到一封确认邮件

#4-2017年7月1日至2017年7月17日期间,所有认证用户(完成#1,#2,#3)的“收件email

地址”都将收到一封”群发邮件”

#5-这封“群发邮件”将包含2017年六月数据的链接和密码

kaspersky-says-shadow-brokers-leaked-malware-is-authentic-507366-2.jpg

会员能拿到何种“福利”?

Shadow Brokers每月的数据包括:

web浏览器、路由器、手机的利用及工具

操作系统的利用(包括windows 10)

从SWIFT供应商和各央行盗取的网络数据

关于俄罗斯、中国、伊朗或朝鲜核武器及导弹计划的网络数据

攻击者的开价可以说已经很低了,情报机构和黑社会仅需23,000美元就可以获得宝贵的数据。但Shadow Brokers目前尚未决定2017年六月这批数据的具体内容。

Shadow Brokers表示,他们明白20,000美元并不是谁都付得起的价格,因此他们指出这项服务的对象主要是安全公司,各国政府,OEM厂商,黑客和“不差钱”的人。团队成员声称,Zcash交易同样存在一些风险,他们也无法保证其安全性和可靠性。

Shadow Brokers 此前试图通过拍卖,众筹或直接售卖的方式出售“方程式组织”的漏洞利用,但没有一种方式最终奏效。但这次,他们成功的希望就大得多,因为每月100Zcash的价格相较之前上千比特币的售价要“平易近人”得多。安全公司Hacker House的联合创始人Matthew Hickey就提议在KickStarter发起了众筹(似乎链接已失效),在获得这些漏洞信息后,对其进行分析然后告知受影响的厂商。

安全专家认为,The Shadow Brokes会在未来发布经过认证的,有效的漏洞,因为他们先前就发布过窃取的数据。因此该组织的此项声明应该得到严肃对待,至少目前是这样。我们知道WannaCry和其他恶意软件利用的就是Shadow Brokers上月泄露的NSA后门,全球都因此一片混乱。如果Shadow Brokers兑现声明,那么全世界都要做好准备,抵御一场WannaCry式的大规模攻击。

* 参考来源:securityaffairs, thehackernewsSecurityWeek,本文作者sun,转载请注明来自FreeBuf.COM

意大利安全专家Vincenzo C. Aka发现Uber平台存在身份认证漏洞,任意账户都可以利用该漏洞重置密码,这一发现于昨日正式公布。实际上,引发此次“身份认证危机”的漏洞是在七个月前发现的,Vincenzo C. Aka当时通过HackerOne的Bug Bounty项目将漏洞上报给了Uber(他在HackerOne平台的账号为procode701)。

该漏洞发展的时间线如下:

2016年10月2日—将漏洞上报Uber

2016年10月4日—漏洞分级

2016年10月6日—修复漏洞

2016年10月18日—研究者获10,000美元奖励

1462151098-hero.png

旧有漏洞如何重新利用?

“只需一个Uber有效账户的电子邮箱地址,任何人都可以接管该账户。在响应密码重置HTTP请求时,响应token就会暴露。也就是说,攻击者可以重发起重置请求,快速接收重置token。”

Uber对此回应称:“保护用户的数据安全是重中之重,因此我们对这项报告很感兴趣。另外,我们很乐意跟procode701合作,希望他将来可以上报更多漏洞。”

这位意大利专家发现,这一过程可以被利用生成认证token“inAuthSessionID”,这个token可以更改任意账户的密码。

为了获得更多细节,securityaffairs网站联系了Vincenzo C. Aka。Vincenzo C. Aka表示,只需使用任意一个Uber账号的有效电子邮件地址,发送重置密码的请求,就会收到包含“inAuthSessionID”session token的回应。只要用户发送重置密码的请求邮件,Uber平台每次都会生成一个特定的session token。

password.png

一旦获取session令牌“inAuthSessionID”,攻击者就可以通过正常的链接,进入重置密码界面更改密码。

2.png

1、https://auth.uber.com/login/stage/PASTE SESSION ID <—通过更改电子邮箱密码生成 inAuthSessionID /af9b9d0c-bb98-41de-876c-4cb911c79bd1 <– tokenID没有过期时间 

POST /login/handleanswer HTTP/1.1 
Host: auth.uber.com 
{ "init": false, 
   "answer": { 
      "type": "PASSWORD_RESET_WITH_EMAIL", 
      "userIdentifier": { 
          "email": "[email protected]" 
      } 
   } 
}
Reply
HTTP/1.1 200 OK 

{ 
     "inAuthSessionID": "cdc1a741-0a8b-4356-8995-8388ab4bbf28", 
     "stage": { 
         "question": { 
                       "signinToken": "", 
                       "type": "VERIFY_PASSWORD_RESET", 
                        "tripChallenges": [] 
                     }, 
                     "alternatives": [] 
      } 
}

这是一个高危漏洞,攻击者可以由此进入任意账户,获取任意用户的数据(例如,身份信息,银行数据,驾驶证信息),其中包括金融数据。

这不是Uber第一次陷入漏洞危机了,更多了解可参考FreeBuf此前报道:

美国流行打车APP Uber被曝收集用户隐私

Uber数据库遭入侵,50000名司机信息泄露

Uber修复三个漏洞,白帽子获数千美金奖励(含漏洞分析)

*参考来源securityaffairs,本文作者sun,转载请注明来自FreeBuf.COM

2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,仅仅几个小时内,该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招,且攻击仍在蔓延。

据报道,勒索攻击导致16家英国医院业务瘫痪,西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织,11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。国内也有大量教学系统瘫痪,包括校园一卡通系统。

瑞星的研究人员对勒索软件进行详细的分析,并且给出多种解决方案,包括“永恒之蓝”病毒免疫工具。

一、背景介绍

WannaCry勒索病毒 通过windows操作系统漏洞EternalBlue永恒之蓝 发起攻击。3月14 微软已经发布补丁,由于很多受害者没有及时安装补丁,导致被病毒攻击,计算机中的文件被加密。

二、详细分析

病毒分为漏洞利用模块,加密器,解密器 

攻击逻辑如下:

攻击者发起攻击,被攻击机器由于存在漏洞,导致自身中毒。中毒之后漏洞利用模块启动,

漏洞利用模块运行之后,释放加密器和解密器,启动攻击线程,随机生成ip地址,攻击全球。

加密器启动之后,加密指定类型的文件。文件全部加密之后,启动解密器

解密器启动之后,设置桌面背景显示勒索信息,弹出窗口 显示付款账号和勒索信。威胁用户指定时间内不付款文件无法恢复。

漏洞利用模块分析

1、启动之后判断命令行参数,是否已经释放文件。如果没有释放文件则释放文件,启动释放的加密器,把自身设置为服务。

12.png

图-创建服务

病毒主程序 伪装为微软安全中心

13.png

图-伪装为服务

从资源中解密文件

14.png

图-从资源中释放出加密器

拼凑路径

15.png

图-拼凑加密器释放的路径

释放加密器

16.png

图-释放加密器

启动加密器

17.png

图-启动加密器程序

2、如果服务创建成功,则启动服务进入服务函数,创建线程 执行相应功能

18.png

图-随机生成攻击IP

19.png

图-利用漏洞攻击生成的ip

攻击线程中构造exploit 发送漏洞利用程序数据包

复制shellcode

20.png

图-构造漏洞利用数据包

发送数据包 利用漏洞攻击攻击生成的ip

21.png

图-收发数据包

22.png

图-发送漏洞利用数据包

随机生成IP 攻击全球主机

23.png

图-被攻击ip

加密器分析

加密器启动之后复制自身到C:\ProgramData\dhoodadzaskflip373(不同的系统会复制到不同的目录)目录下

24.png

图-复制自身并启动

创建服务 使用cmd命令启动自身 防止被结束进程 

创建服务

25.png

图-创建服务 防止被结束

各参数信息

26.png

图-服务信息

创建互斥体 防止运行多个实例

MsWinZonesCacheCounterMutexA

创建注册表键值

27.png

图-创建注册表键值

从资源中解密出相关文件

包括提权模块taskse.exe 、 清空回收站模块taskdl.exe、解密器程序@[email protected]

还有一些 语言资源文件和 配置文件

28.png

图-加密器释放的文件

然后随机从三个比特币钱包中选取一个 作为勒索显示信息

lou1.png

图-比特币钱包地址

把释放的文件夹 所有文件 设置为隐藏属性

lou2.png

图-释放的文件设置为隐藏

遍历查找文件

31.png

图-遍历文件

判断是否是不感染的路径

32.png

图-判断路径

判断是否是要加密的文件类型

agnranernjainleixin.png

图-判断文件类型

读取文件并加密

34.png

图-读取文件

删除原来的文件 只保留加密后的文件

35.png

图-删除原文件

病毒会加密指定类型的文件 

以下是病毒加密的文件类型

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

图-加密的文件类型

加密后的文件添加后缀 .WNCRYT

40.png

图-被加密的文件后缀

加密完成之后运行解密器 弹出勒索窗口

解密器分析

解密器运行之后会删除windows自动备份 无法还原被加密的文件

41.png

图-删除备份

修改桌面背景 显示勒索信息

42.png

图-勒索信息

弹出勒索窗口,显示比特币钱包地址和付款金额 

43.png

图-勒索弹窗

解决方案:

1、打补丁

由于此次勒索病毒大范围传播是由于很多机器没有打补丁,被攻击之后导致中毒。

没有中毒的机器,尽快打补丁可以避免中毒。

更新微软MS17-010漏洞补丁,对应不同系统的补丁号对照表:

50.png

2、关闭端口

由于此漏洞需要利用445端口传播,关闭端口 漏洞就无法利用

关闭端口详细方法见附录

3、创建互斥体

由于加密器,启动之后会检测是否已经有加密器程序存在,防止互相之间干扰,所以会创建互斥体MsWinZonesCacheCounterMutexA。只要检测到互斥体存在就会关闭程序。安全软件可以利用这一点 让病毒运行之后自动退出,无法加密文件。

4、瑞星安全研究院为了使广大用户更方便、更高效的防御此病毒,率先发布了“永恒之蓝”病毒免疫工具,用户下载并运行此工具便可防御此病毒。

下载地址:

瑞星“永恒之蓝”免疫工具

http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

瑞星“永恒之蓝”免疫工具+杀软

http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe

44.png

以上多个步骤,用户可以根据实际情况选择合适的方式进行选择一个或多个,然后使用“一键搞定”即可,后台即会自动按照选择的免疫方式执行。

1. 安装瑞星安全云终端

瑞星全线产品最新版本都能查杀“永恒之蓝”病毒,考虑到有些用户没有安装杀毒软件或者使用了不能查杀该病毒的产品,能够快速安装安全云终端产品,方便对病毒进行查杀。

2. 关闭SMBv1

该病毒网络传播本身是利用了SMBv1协议的漏洞,所以通过关闭SMBv1协议已达到阻止病毒传播的途径效果,使用该方法,需要重启后方才生效。

3. 增加系统防火墙规则

有些用户环境不允许计算机重启,所以另一种方式就是开启系统防火墙并增加阻止病毒传播利用的端口,达到免疫目的。

4. 打系统补丁

病毒毕竟是利用了微软的漏洞,所以打补丁理论上是最好的方式,免疫工具里特别针对本次MS17-010漏洞进行扫描识别,并自动通过互联网去下载需要的补丁进行安装修复。

5、瑞星不同产品均已做出反馈并给出解决方案,包括安全终端解决方案、云安全解决方案以及网关安全解决方案,只要瑞星用户将产品更新到最新版本,均可抵御此勒索病毒

详细的解决方案参见这里:http://www.rising.com.cn/2017/eb/

计算机取证在案件调查中的地位不言而喻,可以帮助调查人员捕获案件进程中的诸多细节。而商业软件在计算机取证中的作用也不容忽视,让我们来看一些具体的分析和案例。

员工离职时,公司领导为了防止员工带走客户资源、商业数据,通常会邀请计算机取证专家检查员工的网上活动情况,看看是否存在“可疑点”。

askill-100257058-primary.idge.jpg

Alfred Demirjian是计算机取证公司TechFusion的主席兼CEO,他表示,员工通过攻击前东家电子邮箱账户搞破坏之类的事情屡见不鲜。而商业软件可以帮助公司深入挖掘员工在社交网站发布的信息和聊天记录,如果员工有公司的智能手机,还可以通过GPS 对他们进行追踪。

客户会给TechFusion一个数据监测范围,他们就在这一范围内过滤公司的所有电子邮件,查看员工和客户之间的交集。

Demirjian表示:“计算机取证在揭露恶意行为举措方面的作用越来越重要。随着相关技术愈发先进,人们将更难隐瞒自己的错误行为,更加需要为自己的所作所为负责。”他同时补充道,软件运行的能力和兼容性都将不断上升“使用商业软件辅助取证的速度将更快,费用也将变低,取证工程师可以因此完成更多任务。”

TechFusion的“军功章”也不少,最近的一起案例就是臭名昭著的Tom Brady“泄气门”事件(美国超级碗四分卫球员Tom Brady所在的New England Patriots球队在一场比赛中故意使用充气不足的橄榄球,获取不公优势,而Tom Brady事先对此知情)。当NFL(美国橄榄球国家联盟)要求检查Tom Brady的手机信息时,他声称自己已经不用手机了。但那些信息之后被找到了。TechFusion在另一起案件中同样功不可没,橄榄球星Aaron Hernandez此前涉嫌谋杀Odin Lloyd,TechFusion在案件调查过程中协助从谋杀当晚的监控录像中寻找线索。

计算机取证是电子取证科学的一个分支,涉及电脑和数字储存媒介中的数据搜寻。电脑取证的目标是从取证学的角度,严格地筛查电子媒介,试图找出,保存,修复,分析和重现事实。其中不仅包括一些与数据还原相似的技术和准则,而且还有一些额外的标准,令计算机取证符合法定的审计跟踪流程。

     ——Alfred Demirjian, CEO, TechFusion 

DA-Evidence-Image2.png

Tanium的首席安全架构师Ryan Kazanciyan表示,取证就是重构和分析一台设备或一个系统先前使用数字信息的方式。从最基础的层面而言,所谓的数字证据来源于以下几方面:端点中心化数据(例如硬件内容或储存内容),网络中心化数据(例如,通过一个特定的设备或网站的所有网络流量),应用中心化数据(例如,相关程序或服务使用的日志或其他记录)。

一名取证调查人员在取证过程中可能需要解决一些问题,而这些特定的问题很大程度上成为了他们工作的驱动力。以下列举了一些通常会使用取证的用例:

一位执法人员逮捕了一名涉嫌国内恐怖主义的相关人员,希望得到他所有的通讯记录、网络活动情况、以及所有有关其现有犯罪或有计划犯罪的记录。

一起入侵调查的案件表明,外部入侵者进入了公司的一台服务器,这台服务器存放着公司敏感的知识产权信息。分析师都希望可以找出入侵的最初目的,数据是否流出或遭遇失窃,系统是否遭受了恶意攻击活动(例如植入恶意软件)。

introduction-to-computer-forensics.jpg

计算机取证适用于何种情况,它的运作原理又是什么?

Kazanciyan认为,传统的计算机取证需要使用特定的软件,制作出主体系统(subject system)硬盘和物理储存的镜像,然后自动转换成人类可以识别的表格。调查人员可以由此检测搜寻特定类型的文件或是应用数据(例如电子邮件或是网页浏览记录),即时数据(例如,证据获取时正在运行的进程或打开的网络连接),以及一些历史活动的残存部分(例如,删除掉的文件或是近期的活动)。

Kazanciyan称,删除的数据或历史活动是否可以恢复取决于一些因素,但是总体而言和时间有关,也和系统的运行量有关。

这种计算机取证的方法对专注的,小规模的调查尚且适用,但是对于企业级的任务来说就未必如此了,因为时间和取证源头的密集度都过高,例如横跨企业环境中的上千个系统进行搜索,超出了它的承受范围。

“因此,在过去十年间,那些可以在实时系统中帮助提升研究和证据分析进度的技术开始繁荣起来,并由此形成了EDR(端点检测与响应)市场”他说道。最典型的EDR产品通常会兼具以下特性:

持续记录关键端点追踪(比如执行过程或网络连接),以此立即提供某一系统的活动时间线。这跟飞机上的黑匣子记录仪较为相似。有了这种追踪技术,通过系统的原始数据来源重建历史事件就变得不那么必要了。但在入侵已经发生的环境内部署调查技术就可能不那么有效了。

分析和调查系统的原始取证源——比如,在正常的系统操作过程中,操作系统自己保存的东西。以规模化的方式针对文件,进程,日志项以及其他可能的证据进行快速和目标化搜索的能力。它可以充当一个持续事件记录仪,也可以拓宽调查的范围,找到一些用其他方式很可能无法保存的信息。

告警于检测。EDR产品可以主动收集和分析上文中提到的数据的源,并将其和结构化的威胁情报威胁(例如IoC),规则和其他检测恶意行为的启发式方案进行比较。

从individual hosts of interest收集证据。在调查人员指定需要进一步检测的系统后,他们会跨越整个主体系统的历史追踪(如果得以记录和保留的话),硬盘中的文件和内存,收集分析“深入”的证据。他说,相比综合的取证成像,大部分组织更偏爱对实时系统进行远程应急分析,不受地点限制。

他说:“取证领域大部分的创新都集中在简化和自动化这些进程,确保它们在最大和最复杂的网络中也可以运行,将其运用于主动攻击检测和有效的事件响应中。”

training1.jpg

取证技术对事件响应十分重要

Syncurity的主席兼CEO John Jolly表示,取证技术在事件响应流程中十分重要,有利于企业做出正确和及时的响应。例如,如果一家公司正在处理一起钓鱼攻击事件,取证过程就可以帮助确定一些信息,比如谁点击了钓鱼链接,谁落入了攻击者的圈套,有哪些信息泄露了或遭到了窃取。

他说,这些可以帮助安全团队策划合适的响应机制,评估上报需求。Jolly说:“例如取证的过程很可能会帮助你发现有10个用户点击了钓鱼链接,但是钓鱼行为没有成功因为恶意域名已经被封锁了。

倘若公司的IP地址遭到窃取,无论是内部攻击者还是外部攻击者所为,取证技术可以帮助建立事件发生的时间线,执法机构可以以此为依据,调查或起诉攻击者。Jolly说:“在这种情况下,去取证流程符合并保存了拘留所需的证据链是十分重要的。”

Jolly说,这起钓鱼事件的一个关键因素是,公司提前做好了钓鱼攻击的响应机制和取证过程,并且将它们在一个事件响应平台上实例化,这样它们就变得可复制,可预测,可测量。

slideshow31-940x435.png

他说,不同情况下的流程规模也有所不同,不同情况取决于攻击对象,成功窃取或未成功窃取信息的价值,以及是否遵守互联网政策和内部管理要求。

“分析师和安全团队随后简单地遵循了已有的剧本,给出了他们的分析,并且在完成响应进程后同步建立了取证记录,”Jolly补充道。“公司需要可预测和可重复的响应机制,因为这样可以节省时间和金钱,通过尽快停止不可避免的攻击行为减小攻击的影响。”

他说,建立一个可审计的进程同样可以让公司从中受益——他们得以检查流程并且不断提升这一进程,还可以向内部利益相关人员和外部的监管机构证明,他们采用了合理的标准且有最佳实践。

当说到计算机取证未来会是什么样的,Demirjian称,它会永脱离它现有的形式。“它会更加专注于防护。它将跟着数据恢复的进化方式一起进化。一旦人们开始弄丢数据,他们就会开始使用远程备份来防止数据丢失。使用计算机取证也会发生同样的事情。公司会确切落实计算机取证以防有事发生,这样他们就有数据和方法可以追踪出到底发生了什么。他们不再需要维护硬件了。”

他说企业们会使用一个服务器,可以记录所有操作和功能,可以简单请求回顾日志。所有信息都都以取证的方式进行储存,以确保可靠无误。

computer-forensics.jpg

取证技术的一个案例

在Tanium提供的一个案例中,企业的网络检测设备会发出警告,表明工作站“Alice”和攻击者“Eve”的IP地址发生了交互。

一名调查人员首先需要调查Alice为什么会和Eve的IP地址发生交流。主机是否遭遇了恶意软件的攻击吗?如果答案是肯定的,那这种恶意程序是如何进入系统的,怎么做去找到相似的受影响系统?Alice曾经是否进入过其他系统或源,这起攻击事件是否只跟一台主机有关?Eve的终极攻击目标是什么?

如果Alice已经装有EDR产品,可以获得连续的记录,那么调查人员很可能首先会检查它的追踪源,搜索Eve的IP地址(10.10.10.135)。这样就可以确定每一个连接事件中的一些上下文信息(时间,关联过程/恶意软件,关联用户账号)。

forensics-1-100719586-large.jpg

分析人员通过Tanium Trace在AlphaPC上进行了一次“深入追踪”演示,来调查Eve所属的IP地址。

下一步,分析人员可以根据这些发现以时间为逻辑进行分析,找出在恶意软件进入主机之前,以及相关恶意活动发生之前(可能是由Eve人为操控的,也可能是自动进行的)发生的事件。例如,调查可能会发现,恶意软件附着在文档内,通过电子邮件进入主机。在主机遭遇感染后,追踪过程可能已经记录下:Eve通过恶意软件窃取用户身份认证,从侧面进入Alice企业环境中的其他系统。

forensics-2-100719587-large.jpg

该恶意Excel文档释放了一个Z4U8K1S8.exe恶意程序。攻击者随后通过C&C会话与系统进行交互。Tanium Trace记录了这一由攻击者发起的过程和活动。

如果Alice的系统没有运行EDR“飞行记录仪”,研究人员仍然可以按时间顺序采用系统原始的证据源。然而,这会耗费更多的精力,而且很可能会遗漏其中的时间点。

forensics-3-100719588-large.jpg

分析人员之后将根据调查中获得的信息创建一个IOC

当Alice的系统将此攻击时间设置为应急类型后,调查人员可能有大量的操作残留记录或描述Eve恶意行为的IOC——例如,她的攻击工具,策略和进程。这些可以用来搜索整个公司的取证证据和telemetry,找出受攻击者影响的其他系统。在此基础之上可以就新发现的主机,进一步进行深入的取证分析。这一过程将不断重复,直到调查人员认为他们已经全面地了解了这起事件,了解攻击的根源及其影响,并做好了修复的准备。

*参考来源networkworld,FreeBuf小编sun编译,未经许可禁止转载

image.png

要点综述

据报道称,全球多家组织遭到了一次严重的勒索软件攻击,西班牙的Telefonica、英国的国民保健署、以及美国的FedEx等组织纷纷中招。发起这一攻击的恶意软件是一种名为“WannaCry”的勒索软件变种。

该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。

此外,Talos还注意到WannaCry样本使用了DOUBLEPULSAR,这是一个由来已久的后门程序,通常被用于在以前被感染的系统上访问和执行代码。这一后门程序允许在系统上安装和激活恶意软件等其他软件。它通常在恶意软件成功利用SMB漏洞后被植入,后者已在Microsoft安全公告MS17-010中被修复。在Shadow Brokers近期向公众开放的工具包中,一种攻击性漏洞利用框架可利用此后门程序。自这一框架被开放以来,安全行业以及众多地下黑客论坛已对其进行了广泛的分析和研究。

WannaCry似乎并不仅仅是利用与这一攻击框架相关的ETERNALBLUE(永恒之蓝)模块,它还会扫描可访问的服务器,检测是否存在DOUBLEPULSAR后门程序。如果发现有主机被植入了这一后门程序,它会利用现有的后门程序功能,并使用它来通过WannaCry感染系统。如果系统此前未被感染和植入DOUBLEPULSAR,该恶意软件将使用ETERNALBLUE尝试利用SMB漏洞。这就造成了近期在互联网上观察到的大规模类似蠕虫病毒的活动。

组织应确保运行Windows操作系统的设备均安装了全部补丁,并在部署时遵循了最佳实践。此外,组织还应确保关闭所有外部可访问的主机上的SMB端口(139和445)。

请注意,针对这一威胁我们当前还处于调查阶段,随着我们获知更多信息,或者攻击者根据我们的行动作出响应,实际情况将可能发生变化。Talos将继续积极监控和分析这一情况,以发现新的进展并相应采取行动。因此,我们可能会制定出新的规避办法,或在稍后调整和/或修改现有的规避办法。有关最新信息,请参阅您的Firepower Management Center或Snort.org。

攻击详细信息

我们注意到从东部标准时间早上5点(世界标准时间上午9点)前开始,网络中针对联网主机的扫描开始急速攀升。

image.png

基础设施分析

Cisco Umbrella研究人员在UTC时间07:24,观察到来自WannaCry的killswitch域名(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com)的第一个请求,此后在短短10小时后,就上升到1,400的峰值水平。

image.png

该域名组成看起来就像是人为输入而成,大多数字符均位于键盘的上排和中间排。

鉴于此域名在整个恶意软件执行中的角色,与其进行的通信可能被归类为kill switch域名:

image.png

以上子程序会尝试对此域名执行HTTP GET操作,如果失败,它会继续进行感染操作。然而,如果成功,该子程序将会结束。该域名被注册到一个已知的sinkhole,能够有效使这一样本结束其恶意活动。

image.png

原始注册信息有力证明了这一点,其注册日期为2017年5月12日:

image.png

恶意软件分析

初始文件mssecsvc.exe会释放并执行tasksche.exe文件,然后检查kill switch域名。之后它会创建mssecsvc2.0服务。该服务会使用与初次执行不同的入口点执行mssecsvc.exe文件。第二次执行会检查被感染电脑的IP地址,并尝试联接到相同子网内每个IP地址的TCP 445端口。当恶意软件成功联接到一台电脑时,将会建立联接并传输数据。我们认为这一网络流量是一种利用程序载荷。已有广泛报道指出,这一攻击正在利用最近被泄露的漏洞。Microsoft已在MS17-010公告中修复了此漏洞。我们当前尚未完全了解SMB流量,也未完全掌握这一攻击会在哪些条件下使用此方法进行传播。

tasksche.exe文件会检查硬盘,包括映射了盘符的网络共享文件夹和可移动存储设备,如“C:/”和“D:/”等。该恶意软件之后会检查具有附录中所列后缀名的文件,然后使用2048位RSA加密算法对其进行加密。在加密文件的过程中,该恶意软件会生成一个新的文件目录“Tor/”,在其中释放tor.exe和九个供tor.exe使用的dll文件。此外,它还会释放两个额外的文件:taskdl.exe和taskse.exe。前者会删除临时文件,后者会启动@[email protected],在桌面上向最终用户显示勒索声明。@[email protected]并不包含在勒索软件内,其自身也并非勒索软件,而仅仅是用来显示勒索声明。加密由tasksche.exe在后台完成。

@[email protected]会执行tor.exe文件。这一新执行的进程将会启动到Tor节点的网络联接,让WannaCry能够通过Tor网络代理发送其流量,从而保持匿名。

与其他勒索软件变种类似,该恶意软件也会删除受害人电脑上的任意卷影副本,以增加恢复难度。它通过使用WMIC.exe、vssadmin.exe和cmd.exe完成此操作。

image.png

WannaCry使用多种方法辅助其执行,它使用attrib.exe来修改+h标记(hide),同时使用icacls.exe来赋予所有用户完全访问权限(“icacls ./grant Everyone:F /T /C /Q”)。

该恶意软件被设计成一种模块化服务。我们注意到与该勒索软件相关的可执行文件由不同的攻击者编写,而非开发服务模块的人员编写。这意味着该恶意软件的结构可能被用于提供和运行不同的恶意载荷。

加密完成后,该恶意软件会显示以下勒索声明。这一勒索软件非常有趣的一点是,其勒索屏幕是一个可执行文件,而非图像、HTA文件或文本文件。

image.png

组织应该意识到,犯罪分子在收到勒索赎金后,并无义务提供解密秘钥。Talos强烈呼吁所有被攻击的人员尽可能避免支付赎金,因为支付赎金的举动无疑就是在直接资助这些恶意活动的壮大。

规避与预防

希望避免被攻击的组织应遵循以下建议:

• 确保所有Windows系统均安装了全部补丁。至少应确保安装了Microsoft公告MS17-010。

• 根据已知的最佳实践,具有可通过互联网公开访问的SMB(139和445端口)的任意组织应立即阻止入站流量。

此外,我们强烈建议组织考虑阻止到TOR节点的联接,并阻止网络上的TOR流量。ASA Firepower设备的安全情报源中列出了已知的TOR出口节点。将这些节点加入到黑名单将能够避免与TOR网络进行出站通信。

除了以上的规避措施外,Talos强烈鼓励组织采取以下行业标准建议的最佳实践,以预防此类及其他类似的攻击活动。

• 确保您的组织运行享有支持的操作系统,以便能够获取安全更新。

• 建立有效的补丁管理办法,及时为终端及基础设施内的其他关键组件部署安全更新。

• 在系统上运行防恶意软件,确保定期接收恶意软件签名更新。

• 实施灾难恢复计划,包括将数据备份到脱机保存的设备,并从中进行恢复。攻击者会经常瞄准备份机制,限制用户在未支付赎金的情况下恢复其文件的能力。

规避办法

Snort规则:42329-42332、42340、41978

下方列出了客户可以检测并阻止此威胁的其他办法。

image.png

高级恶意软件防护(AMP)能够有效避免执行这些攻击者使用的恶意软件。

CWS WSA网络扫描能够阻止访问恶意网站,并发现这些攻击中使用的恶意软件。

Email Security可以阻止攻击者在其攻击活动中发送的恶意电子邮件。

IPS NGFW的网络安全防护功能可以提供最新的签名,用来检测攻击者发起的恶意网络活动。

AMP Threat Grid能够帮助发现恶意软件二进制文件,并在所有思科安全产品中建立防护措施。

Umbrella能够阻止对与恶意活动相关的域名进行DNS解析。

Talos团队介绍

Talos团队由业界领先的网络安全专家组成,他们分析评估黑客活动,入侵企图,恶意软件以及漏洞的最新趋势。包括ClamAV团队和一些标准的安全工具书的作者中最知名的安全专家,都是 Talos的成员。这个团队同时得到了SnortClamAV Senderbase.orgSpamcop.net社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队。也为思科的安全研究和安全产品服务提供了强大的后盾支持。

*本文作者:Martin Lee、Warren Mercer、Paul Rascagneres、Craig [email protected]思科Talos团队,转载请注明来自FreeBuf.COM

研究人员在上周的IEEE欧洲议会上表示,他们在近期的一项研究中发现了234种安卓应用会向用户发出“允许使用麦克风”的请求,以此通过超声波信号追踪用户信息。基于超声波跨设备追踪技术(Ultrasonic Cross-Device Tracking,uXDT)是许多市场和广告公司的“宠儿”。

超声波音频信标可以植入电视广告或网页广告,而装有接收器的移动APP则可以收集这些信标。由此,广告商可以通过此项技术跨设备追踪用户信息,创建用户的个性化档案,通过分析设备收集的数据了解用户的兴趣所在,从而为每位用户推荐他们感兴趣的广告。

越来越多的APP开始使用uXDT技术

在这项研究中,研究人员针对VirusTotal服务的数百万Android应用进行了分析,他们发现一小部分应用采用名为Shopkick和Lisnr的超声波音频技术。还有不少应用则采用了SilverPush SDK,这是个可让开发者对用户进行跨设备追踪的SDK。SilverPush、Lisnr和Shopkick都是为开发者准备的SDK,这三款SDK都采用超声波信标给移动设备发送信息。

开发者可以通过SilverPush跨多个设备追踪用户信息,而 Lisnr 和Shopkick 则用于对用户进行位置追踪。研究人员在分析了大量Android应用之后发现,使用 Lisnr和Shopkick SDK的厂商并不多,但是使用SilverPush SDK的却大有人在。这份报告还提到,在研究人员走访的35家德国零售商店中,就有4家店内存在超声波信标。

D5798F29-EA3B-4D38-A77B-C58114E588FC.png

早在2015年,就有一份研究显示,样本中有6-7个APP使用了SilverPush SDK,该企业由此监视了大约1800万台智能手机,但这一数量正在不断上升。

在2016年的BlackHat黑客大会上就有研究人员对uXDT技术进行了展示,并指出这种技术可以通过反匿名暴露Tor用户的真实信息。(例如,在正常情况下,用户通过比特币进行交易不会留下真实的身份信息,但一家恶意网站可以追踪出用户的真实身份,或揭露出通过匿名网络,如Tor洋葱网络,浏览网页的用户身份。)

隐私安全将何去何从?

虽然uXDT技术的应用目前尚未“误入歧途”,但它仍然引发了许多对隐私的担忧——app只需通过麦克风接收超声波就可进行追踪活动,而无需任何移动网络或无线网络。该研究报告提到:

“SilverPush的存在实际上缩小了监控和合法追踪之间的距离。SilverPush和Lisnr采用相似的通讯协议和信号处理方式。即便用户指导Lisnr会进行地理位置追踪,SilverPush也不会公开采用这种追踪功能的应用名称。”

2014年斯诺登事件曝光后,泄露文档提到美国情报机构如何获取国外旅客在不同城市间的动向:机场会收集这些人所用设备的MAC地址,而全国各地咖啡厅、餐厅和零售店的WiFi热点也会进行MAC地址识别,情报机构再对两者进行比对。国外媒体认为,超声波技术对于夸设备追踪用户动向甚至会有更好的效果。

EE95854A-0D2D-443A-860F-B76564A2A098.png

如何进行自我保护?

既然我们无法阻止超声波信号在自己周围传输,那么为了减少智能手机被监听的风险,最好的方法就是严格限制通过APP对设备发起的“请求”。

换而言之,这里我们只需运用自己的常识。例如,如果Skype请求“使用麦克风”,显然十分合理的,因为在Skype中将用到这一功能。但倘若美妆或服饰APP发送这一请求,结果又将如何?作为用户,应该严格拒绝请求。

为了取消这些不需要的APP请求,一些Android手机厂商,例如一加为用户提供了一种叫做“隐私指南”(Privacy Guard)的功能,用户可以通过这一功能禁止一些与APP基本功能无关的请求。 Android 7和iOS 10用户同样可以通过设置实现这一操作。

点击这里阅读完整报告

*参考来源:thehackernewshelpnetsecurity,FB小编sun编译,转载请注明来自Freebuf.COM

利用宏规则散布恶意程序已成为众所周知的途径,因此许多人都通过禁用宏规来保护信息安全。但如今,“宏”似乎变成了一个可以绕过的障碍。此前的Word 0-day漏洞就无需启用宏,只需打开文档便可植入恶意程序。而此次,Sensepost发现了一种利用Outlook Forms,成功绕过宏规则,获取目标shell的方法,有可能被攻击者恶意利用。但微软似乎并不认为这是一个程序漏洞。

Image_OutlookClientTab_750x442.png

Outlook Forms缘何得以“重用”?

一批白帽子研究人员另辟蹊径,找到了一种新的方法——利用Outlook Forms绕过宏规则,获取受害者的shell。

Sensepost表示微软在2016版的Outlook中修补了一些原有的漏洞,因此他们自己开发的“Ruler”工具已经无法发动攻击。同时,越来越多的机构都开始”禁用宏“,因此Sensepost试图寻找其他的攻击方式。

但来自Sensepost的Etienne Stalmans还是发现了Outlook一些有趣的功能,其中就包括Outlook Forms。Outlook Forms可以运行VB脚本内容,与此同时,表单的脚本引擎与VM 宏的脚本引擎是相互分离的,这就意味着,攻击者可以在不启用宏的情况下发动攻击。

如何利用Outlook Forms 获取用户shell?

Outlook Forms的说明文档还是2008年编写的——因此很明显表单功能在将近十年内都没有发生变化。

Sensepost官方博客中的文章提到,通过Outlook Forms,”我们有足够的VB脚本引擎”,演示的方法依旧是打开一个计算器Calc.exe:

Function Item_Open()

     CreateObject("Wscript.Shell").Run "calc.exe", 0, False

End Function

要找到表单储存的位置还是花了不少功夫的(需要知道表单是如何通过MAPI获得储存的),这部分内容并没有记录到说明文档中。

“例如,将‘PidTagSendOutlookRecallReport’设置为true之后,表单就会从用户界面上消失。这就意味着,在自定义表单下设的新项目菜单中,不会出现新的表单。为了找到这个新的表单,用户需要在Outlook中前往高级选项卡,指向表单,选中收件箱,浏览表单列表(这是不现实的)。”

309091.jpg

Stalmans列出了如下的表单模板,看起来会更为明确

Function P()

>>MAGIC<<

End Function

Function Item_Open()

Call P()

End Function

Function Item_Reply(ByVal Response)

Call P()

End Function

Function Item_Forward(ByVal ForwardItem)

Call P()

End Function

Function Item_Read(ByVal Response)

Call P()

End Function

正如前文所说,攻击者在此有很多可以利用的地方,Sensepost表示,只要用户进行一些最基本的操作(例如回看信息,阅读信息,打开信息,回复信息或转发信息)就可以触发payload。Stalmans在文中提到:

“你需要一小部分的社工技巧,吸引用户打开消息或对其进行转发。其优势就在于,即便用户把邮件转发给应急响应团队,payload依然可以触发。”

微软:这不是什么漏洞

但微软不认为这是程序漏洞,微软在一份声明中表示:

“博客中提到的这项技术并非软件漏洞,而且其利用需要用到已经被入侵的帐号。我们鼓励用户采用强度更高的密码,不要在多个服务之间采用相同的密码,并启用类似多重身份认证等安全功能保证账户安全。”

有兴趣的可以点击这里查看完整的攻击方式。

*参考来源:theregistersensepost,FB小编sun编译,转载请注明来自Freebuf.COM

第一条 为提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。

第二条 关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。

第三条 坚持企业承诺与社会监督相结合,第三方评价与政府持续监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其供应链进行网络安全审查。

第四条 网络安全审查重点审查网络产品和服务的安全性、可控性,主要包括:

 (一)产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;

 (二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;

 (三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;

 (四)产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;

 (五)其他可能危害国家安全的风险。

第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。 

网络安全审查办公室具体组织实施网络安全审查。

第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

第七条 国家依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。

第八条 网络安全审查办公室按照国家有关要求、根据全国性行业协会建议和用户反映等,按程序确定审查对象,组织第三方机构、专家委员会对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。

第九条 金融、电信、能源、交通等重点行业和领域主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。

第十条 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。

第十一条 承担网络安全审查的第三方机构,应当坚持客观、公正、公平的原则,按照国家有关规定,参照有关标准,重点从产品和服务及其供应链的安全性、可控性,安全机制和技术的透明性等方面进行评价,并对评价结果负责。

第十二条 网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。

第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。

第十三条 网络安全审查办公室不定期发布网络产品和服务安全评估报告。

第十四条 网络产品和服务提供者认为第三方机构等相关单位和人员有失客观公正,或未能对审查工作中获悉的信息承担安全保密义务的,可以向网络安全审查办公室或者有关部门举报。

第十五条 违反本办法规定的,依照有关法律法规予以处理。

第十六条 本办法自2017年6月1日起实施。

中共中央网络安全和信息化领导小组办公室

中华人民共和国国家互联网信息办公室 © 版权所有

Hajime这个名字或许没那么为人熟知,但提及Mirai,很多人都想起了去年十月那次著名的DDOS攻击。Hajime和Mirai一样,同样参与了那场互联网攻击。自研究人员发现Hajime之日起,这个恶意程序虽然控制了大量IoT设备,但未发动过任何DDOS攻击,因此攻击者发起劫持的目的始终不得而知。前两天还有国外媒体将之说成是危害程度已经超越Mirai。

但就在这两天,事件仿佛出现了转折,Hajime由“黑”转“白”。研究人员认为,Hajime设计的初衷很可能是充当一顶“白帽子”,为人们敲响安全的警钟,而非发动大规模DDOS攻击。

事件回顾

2016年9月30日,一款针对IoT设备的恶意程序Mirai在一家在线网站上公布了他的源代码,攻击者于当年十月利用源代码对IoT设备发动攻击。Freebuf就曾经报导过,一场由Mirai引起的网络攻击导致美国半个互联网瘫痪。与此同时还有一种恶意程序也出现了,可能是因为Mirai风头正劲所以这款恶意程序并不为人所熟悉——即Hajime。当时Rapidity Neteorks的安全研究人员正在寻找Mirai的活动踪迹,却意外发现了与之相似的恶意软件Hajime。

botnet bots

Hajime为何更加“高级”?

Hajime与Mirai一样,旨在攻击那些防护薄弱的IoT设备。但二者有个关键的区别——受Mirai影响的设备采用C&C通讯方式来接收命令,而Hajime则通过P2P网络进行沟通,由此形成的僵尸网络不那么集中,并且更难制止。他们之间另一主要的区别在于受Hajime影响的是小部分使用ARM芯片结构的IoT设备,而受Mirai影响的则是使用ARM, MIPS, x86和其他六个平台芯片的设备。也就是说,这两种恶意软件的攻击对象并非完全重合,但Hajime在某种程度上对Mirai的传播进行了遏制。

但影响规模堪比Mirai的Hajime虽然劫持了大量IoT设备,却始终没有发起任何攻击,他的真正目的为何不得而知。但本周事情发生了转折。安全公司Symantec于当地时间本周二,在其官方博客发布文章称,Hajime蠕虫看上去是顶“白帽子”,旨在保护IoT设备免遭Mirai和其它恶意软件的“毒手”。

hajime 1.png

受Hajime 影响国家Top10(图片来源:Symantec.com)

Hajime的“洗白”之路

Hajime的某些有趣特性尤为值得一提。线索一,Hajime携带了开发者注入的信息,并将其显示在劫持的终端上,大约每十分钟一次这些信息。目前显示的信息如下:

Just a white hat, securing some systems. (只是个白帽子,保护某些系统)

Important messages will be signed like this! (重要的信息都会像这样显示)

Hajime Author. (Hajime作者)

Contact CLOSED 

Stay sharp!

上述信息是加密签名的,且该恶意程序仅接收某个硬编码key的消息,因此这条信息毫无疑问来自恶意程序作者。

线索二,先前针对Hajime程序的报告中提到了Hajime存在的漏洞,以及可检测Hajime的签名。作者似乎仔细研究了这份报告,其中提到的所有漏洞都已得到修复,报告中提到的签名也已经失效。

而且事实上,“Hajime”这个名字并不是程序作者起的——但上述信息中却用上了Hajime这个名字。这个名字是发现恶意程序的研究人员起的,因为与Mirai的相似性,研究人员当时想要以日文对其命名(Mirai就是日文,“Hajime”在日语中的意思是“开始”)。这意味着程序作者看到了研究者的报告,并且似乎很喜欢这个名字。

实际上,在Hajime安装到设备上之后的确有提升设备安全性的动作,它会关闭23、7547、5555和5358端口——这些是许多IoT设备可被利用进行攻击的端口,比如Mirai就针对其中的某些端口。

神秘的“作者”真的值得信赖吗?

实际上,这并非首例用来保护IoT设备的设计——早在2014/2015年,Linux.Wifatch恶意程序与现如今的Hajime就比较相似。不过这类恶意程序普遍有个短板,就是其安全效果是比较临时的——因为这些“善意程序”针对IoT系统做出的改变提升安全性仅在RAM中。设备重启后又会重回不安全状态。

不过以上面这些证据就说Hajime作者是白帽子未免武断。如果真的是个白帽子,理应保护系统而不是在系统上安装后门。而且Hajime的模块化设计也意味着,如果作者某一天改变意图,也的确可以利用感染Hajime的设备发动大规模攻击。同时,thehackernews对此表示,以攻击他人的方式提醒他人进行防守并不是一件好事。Hajiem的作者是否会对那些遭受劫持的设备进行恶意攻击也难以保证。

*参考来源:networkworldsymantecthehackernews,,FB小编sun编译,转载请注明来自FreeBuf.COM