介绍  

国内有双11、双12购物节,国外有11月下旬的感恩节、黑色星期五、CyberMonday和12月份的圣诞节等购物狂欢日,这些节日特别是为美国、欧洲、亚太地区零售商们带来了巨额利润。  

那些希望借着购物节的狂欢大赚一笔的品牌厂家开足马力开展市场营销活动尤其是线上营销。  

他们会利用邮件、弹窗广告、短信、社交平台的推送等各种方式轰炸消费者。其中不乏会出现一些让购物更加便捷的一键购买链接。这些爆炸式的推送信息催促着消费者作出快速的决定。但是殊不知,这个过程中隐藏的安全隐患也越来越明显。消费者可能一不小心疏忽大意,就让虎视眈眈的攻击者们有了可趁之机。

由于成功率高,这是黑客、钓鱼者、恶意程序传播者活跃度最高的一个时期。他们的攻击诡计往往善意得让人难以拒绝,例如一个看似需要马上处理的银行账户安全消息,又如信用卡服务的特殊利率折扣。这一切诡计的目的就是诱导你输入个人信息、银行账户和密码。

在过去几年中,卡巴斯基产品检测到的许多恶意通信信息或链接都被伪装成知名品牌、值得信赖的支付卡和银行账户。

研究方法与主要发现

本文信息主要由卡巴斯基的启发式反钓鱼组件收集。每当用户尝试打开尚未添加到卡巴斯基实验室数据库的网络钓鱼链接时,该组件就会被激活,上面会呈现攻击的次数或攻击用户数量。

主要发现

2015年滥用网上支付系统、银行和零售商的金融钓鱼事件有所减少,2016年又再次回升。

在所有的钓鱼攻击中,金融类钓鱼事件占比49.77%,比2015年的34.33%高出很多。

移动设备用户的数量增加是金融网络钓鱼发生的主要驱动因素。移动设备用户思考和检查每一个动作的时间更少,中招率也随之增加。

钓鱼:一种最常见的威胁方式

在早期版本的“黑色星期五”威胁报告中,钓鱼是窃取个人信息最普遍的方式,包括网上银行的账户密码。这个盗窃方案设计起来毫不费力,并且成本低、技能门槛低,主要目的就是让目标对象自愿分享他们的个人财产信息。

一开始钓鱼主要通过邮件,现在传播媒介越来越多,如网站横幅、弹窗、即时消息、SMS、论坛、博客与社交媒体。

1.png

卡巴斯基实验室启发式反钓鱼系统计算机上的用户数占该国卡巴斯基实验室用户总数的比例(感染率)2017年Q1-Q3

网络钓鱼危害遍及全球。卡巴斯基实验室的“未遂”攻击数据显示,2017年,中国、澳大利亚、巴西成为极易受攻击的区域(高达25%甚至28%的用户成为攻击目标)。其次是北美、西欧、俄罗斯、拉丁美洲以及印度等区域(约17%受到影响)。

钓鱼者们新的集中营

在这几个购物节前后,消费者的网络曝光率大大增加。在促销邮件、优惠短信、各类广告的猛烈攻击下,以及人们越来越倾向于通过小屏幕的移动设备完成网购行为,这些因素都有可能分散消费者购物时的注意力。最后使得那些利用社会工程学巧妙伪装的攻击活动趁机得逞。

手机网购行为规模已经从2016年6月的24%增长到了2017年的43%,网上银行使用率从22%涨到35%,网络支付使用率从14%涨到29%。另外,同一时期通过手机收发电子邮件的数量也从44%增加到了59%。

当然,本报告重点研究的是攻击活动,而非恶意链接数量和受害用户。但是移动设备应用范围逐渐扩大的现状为网络犯罪者们疏通了一条新的生财之道。

金融诈骗越来越猖獗

随着越来越多的人喜欢参与网上支付和网络购物活动,网上银行账户信息和密码的盗窃成为网络罪犯的心头之好。过去几年中,以金融数据为重点的钓鱼攻击比例稳步上升,目前占所有钓鱼攻击范围的一半。

2.png

金融诈骗占所有钓鱼攻击类型的比例(2013-2017.Q3)

从上图中我们可以看出截至2017Q3,钓鱼攻击水平相对平稳。

3.png

金融钓鱼在全年和购物节期间的钓鱼数量比例

绿线:金融钓鱼比例; 红线:购物节期间的金融钓鱼占比

显而易见,购物节是金融网络钓鱼的高发期——局部攻击数量上升,手机网购者注意力分散、营销计划的猛攻导致攻击者得逞概率增加。

金融钓鱼类型

我们根据攻击渠道将金融诈骗分为三类:网上银行、网上支付或网络购物。在过去几年中,每种类型的发展趋势均不相同。

2013 全年 Q4
金融钓鱼总比例 31.45% 32.02%
网络购物 6.51% 7.80%
网上银行 22.20% 18.76%
网上支付 2.74% 5.46%
2014 全年 Q4
金融钓鱼总比例 28.73% 38.49%
网络购物 7.32% 12.63%
网上银行 16.27% 17.94%
网上支付 5.14% 7.92%
2015 全年 Q4
金融钓鱼总比例 34.33% 43.38%
网络购物 9.08% 12.29%
网上银行 17.45% 18.90%
网上支付 7.08% 12.19%
2016 全年 Q4
金融钓鱼总比例 47.48% 48.14%
网络购物 10.41% 10.17%
网上银行 25.76% 26.35%
网上支付 11.55% 11.37%
2017 Q1-Q3  
金融钓鱼总比例 49.77%  
网络购物 9.98%  
网上银行 24.47%  
网上支付 15.31%  

 2013-2017年不同类型金融网络钓鱼的比例变化

攻击者对新科技的适应力极强

2017年前三个季度的数据显示,除网上支付外,所有金融网络钓鱼类别比例均略有下降。

下面我们通过几个较受欢迎的支付系统来分析过去几年Q4的攻击活动。显然,攻击者对各种新型支付方式的适应力都很强,但总的来说,某种支付方式被围剿的现象逐渐消失,攻击活动在不同支付媒介之间的分布更加均匀。

4.png

2013-2016年各年第四季度金融网络钓鱼攻击针对在线支付系统的情况变化

多个品牌零售平台仍然是金融钓鱼的首选目标

就零售品牌而言,为攻击者所仿冒的品牌名称几年来都是那几个:亚马逊,阿里巴巴,淘宝,eBay……并且在过去几年第四季度中的使用频率也比较均匀。

5.png

2013-2016年各年第四季度金融网络钓鱼攻击利用品牌零售平台的变化

简而言之,金融钓鱼不再把目光集中在一两个品牌上,攻击者正在拓宽网络攻击面。没有一个品牌产品是绝对安全或更加安全的。 

此外,从黑色星期五前一周的日常攻击情况来看,消费者的防御能力似乎变得越来越脆弱。

“黑五”攻击

下图显示了黑色星期五(2016年的11月25日和2015年的11月27日)等购物节来临时,金融网络钓鱼攻击数量峰值变化。尤其是在2016年,攻击活动在一天之内下降了33%(从770,000下降至510,000个)。

6.png

2015年和2016年黑色星期五购物周期间利用著名零售、银行和支付品牌名称的诈骗活动变化

结论与建议

本报告的主要目的是提高消费者、零售商、金融服务和支付系统在购物节期间的安全和威胁防御意识。犯罪分子越来越善于利于恐惧、欲望等人性的弱点,同时完美地隐藏自己。与这些狡猾攻击者周旋,我们还有很长的路要走。

更多信息请参阅完整报告(click here)。

*参考来源:securlist,FB小编Carrie编译,转载请注明来自FreeBuf.COM

Magniber剖析:一款只以韩国为攻击目标的勒索软件

Magnitude攻击工具包在过去几个月里并没有出什么新的幺蛾子,除了以几个亚洲国家为攻击目标的Cerber勒索软件。奇怪的是,Magnitude EK(攻击工具包)在今年9月下旬突然消失,人们猜测这只是在这个急剧收缩的工具包市场中的又一个阵亡者而已,不足为奇。

但是,就在本月中旬,Magnitude EK带着一个新的payload重现江湖。新的恶意程序又是一个全新的勒索软件,被称为Magniber。

外部IP、软件所用语言等信息都显示着这个新型的勒索软件攻击目标的准确性——韩国。以单个国家为攻击目标已经不同寻常,通过多种检查方式保证攻击的准确性更是勒索软件史上的首创。

已分析样本

9bb96afdce48fcf9ba9d6dda2e23c936c661212e8a74114e7813082841667508 -来自Magnitude EK

8968c1b7a7aa95931fcd9b72cdde8416063da27565d5308c818fdaafddfa3b51 -解压的payload

旧样本

ef70f414106ab23358c6734c434cb7dd -主样本(已压缩)

aa8f077a5feeb9fa9dcffd3c69724c942d5ce173519c1c9df838804c9444bd30 -解压的payload

传播方式

到目前为止,我们只发现了Magnitude EK这一种传播途径:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

行为分析

如果该恶意程序在非韩国的系统上执行,它会进行自我删除,运行ping命令时会带来一定的延迟:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

在沙箱中运行该程序可看到如下界面;

Magniber剖析:一款只以韩国为攻击目标的勒索软件

恶意软件以%TEMP%的身份复制,并通过任务调度程序(task scheduler)完成部署:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

在同一个文件夹中,我们还可以看到赎金说明和另一个文件。其名称与特定用户生成的域名中的部分内容相同,扩展名与加密文件的扩展名相同:

5.png

每个加密文件都被添加了一个包含拉丁文字符的扩展名,每个Magniber样本的扩展名均相同。

Magniber剖析:一款只以韩国为攻击目标的勒索软件

相同的纯文本采用的都是相同的加密文本。也就是说,每个文件加密使用的都是同一个密钥。

下图是样本BMP文件被Magniber加密前后的对比图(上边为加密前,下边为加密后)。

Magniber剖析:一款只以韩国为攻击目标的勒索软件

Magniber剖析:一款只以韩国为攻击目标的勒索软件

在加密文件中看不到任何规律性图像,这表明其中已经使用了一些强大的算法,例如CBC模式的AES。

在每个加密文件的开头,我们发现了一个16位的标识符,每个Magniber的样本也都是相同的:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

在完成所有能找到文件的加密以后,勒索软件会自动打开记事本,显示赎金勒索的界面:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

文档结构非常简单,其中给出了多个支付赎金的页面。

赎金支付

赎金支付页面是全英文的,格式与Cerber类似(这是这些勒索软件唯一的相似之处,内部机制完全不同):

Magniber剖析:一款只以韩国为攻击目标的勒索软件

网络通信

我们发现Magniber连接的是由内部算法生成的域。用于CnC的域随后也被用在受害者的个人网站中(只是调用了不同的参数)。调用URL举例:

http://xat91h3evntk5zb66dr.bankme.date/new1
http://xat91h3evntk5zb66dr.bankme.date/end1

将赎金界面的URL与相应运行进行比较:

http://xat91h3evntk5zb66dr.bankme.date/EP866p5M93wDS513

http://xat91h3evntk5zb66dr.jobsnot.services/EP866p5M93wDS513


http://xat91h3evntk5zb66dr.carefit.agency/EP866p5M93wDS513

http://xat91h3evntk5zb66dr.hotdisk.world/EP866p5M93wDS513

程序执行开始时,ransomware向以new1(或new0)结尾的URL发送一个请求。执行结束时,请求end1(或end0)。这些URL的含义将在本文的下一部分中详细解释。

比较有意思的是,如果该受害者的公共IP属于韩国,则服务器响应。否则,响应文本为空。初始请求与响应的例子如下图(请求是从某个韩国IP发起的):

Magniber剖析:一款只以韩国为攻击目标的勒索软件

从上图可以看到,我们得到了一个16个字符长的随机字符串:ce2KPIak3cl6JKm6。新的随机URL只能被请求一次。如果我们尝试重复请求,则响应文本为空。

另一个请求(结尾)也给出了一个16个字符长的随机字符串。但与第一个不同的是,它会对每个请求都作出响应(每次都有一个不同的随机字符串)。示例如下:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

代码研究

很多时候要想了解恶意攻击事件的本质,我们都要对程序代码进行深入的研究。

Magniber的代码被多个加密器进行了压缩,解压需要通过加密器的功能展开。下面这个视频中可以看到当前样本的解压过程。

youtube视频地址:https://www.youtube.com/watch?v=VGOgZ1BXTRE&feature=youtu.be

解开第一层后可以得到一个PE文件:恶意程序的核心。编程人员仅通过按照单个字符的方式把它们加载到内存中,稍微增加了字符串被找到的难度:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

程序执行流程

仔细观察解压的payload,我们可以清楚地看到为什么它不能在大多数系统上运行。开始时,程序员就编写了一个语言检测的命令(使用API函数GetSystemDefaultUILanguage):

Magniber剖析:一款只以韩国为攻击目标的勒索软件

它唯一接受的UI语言就是韩语(代码1042)。如果检测到其它语言,样本就会执行删除动作,不对系统产生危害。这个语言检测功能只在最近的Magniber样本中出现,早期版本中均没有,例如:aa8f077a5feeb9fa9dcffd3c69724c942d5ce173519c1c9df838804c9444bd30

通过语言检测后,Magniber就开始执行一般勒索软件惯用的步骤。过程如下:

1. 创建互斥量对象(Creates mutex)

2. 如果标记文件已被删除,检查temp(临时)文件夹

3. 将自己%TEMP%形式的副本删除并添加任务

4. 查询生成的子域名来检索AES密钥(如果检索到密钥失败,加载硬编码的密钥)

5. 使用所选的扩展名对文件机型枚举和加密

6. 将任务完成的消息传递至CnC

7. 显示勒索页面

8. 自行删除

什么文件或数据会遭到攻击?

Magniber的攻击文件类型非常多,包括文档、源代码文件等等。完整列表如下:

docx xls xlsx ppt pptx pst ost msg em vsd vsdx csv rtf 123 wks wk1 pdf dwg 
onetoc2 snt docb docm dot dotm dotx xlsm xlsb xlw xlt xlm xlc xltx xltm pptm 
pot pps ppsm ppsx ppam potx potm edb hwp 602 sxi sti sldx sldm vdi vmx gpg 
aes raw cgm nef psd ai svg djvu sh class jar java rb asp php jsp brd sch dch 
dip vb vbs ps1 js asm pas cpp cs suo sln ldf mdf ibd myi myd frm odb dbf db 
mdb accdb sq sqlitedb sqlite3 asc lay6 lay mm sxm otg odg uop std sxd otp 
odp wb2 slk dif stc sxc ots ods 3dm max 3ds uot stw sxw ott odt pem p12 csr 
crt key pfx der 1cd cd arw jpe eq adp odm dbc frx db2 dbs pds pdt dt cf cfu 
mx epf kdbx erf vrp grs geo st pff mft efd rib ma lwo lws m3d mb obj x3d c4d 
fbx dgn 4db 4d 4mp abs adn a3d aft ahd alf ask awdb azz bdb bib bnd bok btr 
cdb ckp clkw cma crd dad daf db3 dbk dbt dbv dbx dcb dct dcx dd df1 dmo dnc 
dp1 dqy dsk dsn dta dtsx dx eco ecx emd fcd fic fid fi fm5 fo fp3 fp4 fp5 
fp7 fpt fzb fzv gdb gwi hdb his ib idc ihx itdb itw jtx kdb lgc maq mdn mdt 
mrg mud mwb s3m ndf ns2 ns3 ns4 nsf nv2 nyf oce oqy ora orx owc owg oyx p96 
p97 pan pdb pdm phm pnz pth pwa qpx qry qvd rctd rdb rpd rsd sbf sdb sdf spq 
sqb stp str tcx tdt te tmd trm udb usr v12 vdb vpd wdb wmdb xdb xld xlgc zdb 
zdc cdr cdr3 abw act aim ans apt ase aty awp awt aww bad bbs bdp bdr bean 
bna boc btd cnm crw cyi dca dgs diz dne docz dsv dvi dx eio eit emlx epp err 
etf etx euc faq fb2 fb fcf fdf fdr fds fdt fdx fdxt fes fft flr fodt gtp frt 
fwdn fxc gdoc gio gpn gsd gthr gv hbk hht hs htc hz idx ii ipf jis joe jp1 jrtf
kes klg knt kon kwd lbt lis lit lnt lp2 lrc lst ltr ltx lue luf lwp lyt lyx man 
map mbox me mel min mnt mwp nfo njx now nzb ocr odo of oft ort p7s pfs pjt prt 
psw pu pvj pvm pwi pwr qd rad rft ris rng rpt rst rt rtd rtx run rzk rzn saf 
sam scc scm sct scw sdm sdoc sdw sgm sig sla sls smf sms ssa sty sub sxg tab 
tdf tex text thp tlb tm tmv tmx tpc tvj u3d u3i unx uof upd utf8 utxt vct vnt 
vw wbk wcf wgz wn wp wp4 wp5 wp6 wp7 wpa wpd wp wps wpt wpw wri wsc wsd wsh wtx
xd xlf xps xwp xy3 xyp xyw ybk ym zabw zw abm afx agif agp aic albm apd apm 
apng aps apx art asw bay bm2 bmx brk brn brt bss bti c4 ca cals can cd5 cdc 
cdg cimg cin cit colz cpc cpd cpg cps cpx cr2 ct dc2 dcr dds dgt dib djv dm3 
dmi vue dpx wire drz dt2 dtw dv ecw eip exr fa fax fpos fpx g3 gcdp gfb gfie 
ggr gih gim spr scad gpd gro grob hdp hdr hpi i3d icn icon icpr iiq info ipx 
itc2 iwi j2c j2k jas jb2 jbig jbmp jbr jfif jia jng jp2 jpg2 jps jpx jtf jw 
jxr kdc kdi kdk kic kpg lbm ljp mac mbm mef mnr mos mpf mpo mrxs my ncr nct 
nlm nrw oc3 oc4 oc5 oci omf oplc af2 af3 asy cdmm cdmt cdmz cdt cmx cnv csy 
cv5 cvg cvi cvs cvx cwt cxf dcs ded dhs dpp drw dxb dxf egc emf ep eps epsf 
fh10 fh11 fh3 fh4 fh5 fh6 fh7 fh8 fif fig fmv ft10 ft11 ft7 ft8 ft9 ftn fxg
 gem glox hpg hpg hp idea igt igx imd ink lmk mgcb mgmf mgmt mt9 mgmx mgtx 
mmat mat ovp ovr pcs pfv plt vrm pobj psid rd scv sk1 sk2 ssk stn svf svgz 
tlc tne ufr vbr vec vm vsdm vstm stm vstx wpg vsm xar ya orf ota oti ozb 
ozj ozt pa pano pap pbm pc1 pc2 pc3 pcd pdd pe4 pef pfi pgf pgm pi1 pi2 pi3 
pic pict pix pjpg pm pmg pni pnm pntg pop pp4 pp5 ppm prw psdx pse psp ptg 
ptx pvr px pxr pz3 pza pzp pzs z3d qmg ras rcu rgb rgf ric riff rix rle rli
 rpf rri rs rsb rsr rw2 rw s2mv sci sep sfc sfw skm sld sob spa spe sph spj 
spp sr2 srw wallet jpeg jpg vmdk arc paq bz2 tbk bak tar tgz gz 7z rar zip 
backup iso vcd bmp png gif tif tiff m4u m3u mid wma flv 3g2 mkv 3gp mp4 mov
avi asf mpeg vob mpg wmv fla swf wav mp3 

该列表在文件加密功能启动前就加载完成了:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

当然,还是会有一些被排除在外的目录:

:\documents and settings\all users\ 
:\documents and settings\default user\ 
:\documents and settings\localservice\ 
:\documents and settings\networkservice\ 
\appdata\local\ 
\appdata\locallow\ 
\appdata\roaming\ 
\local settings\ 
\public\music\sample music\ 
\public\pictures\sample pictures\ 
\public\videos\sample videos\ 
\tor browser\ 
\$recycle.bin 
\$windows.~bt 
\$windows.~ws 
\boot 
\intel 
\msocache 
\perflogs 
\program files (x86) 
\program files 
\programdata 
\recovery 
\recycled 
\recycler 
\system volume information 
\windows.old 
\windows10upgrade 
\windows 
\winnt

Magniber如何实现文件加密?

Magniber利用CBC模式下的AES 128位进行文件加密,需借助Windows Crypto API的帮助。

DGA与受害者ID

通常情况下,恶意软件会尝试通过查询伪随机子域从CnC中检索AES密钥:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

伪随机部分只用于识别受害者,由以下简单算法生成:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

每个字符都按照Tick Count计数,被转换为给定的字符集:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

数字0或1是否添加到URL中取决于样本是否在调试器下运行(根据时间检测)。

下面对四个域进行了密钥查询:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

如果其中任何一个域给出长16个字节的响应内容,那么就表明有效的密钥被复制到缓冲区并进一步使用。否则,它将返回至硬编码密钥。

默认的AES密钥和IV

有意思的是每个样本都带有硬编码的AES密钥。但是这个只作备份用,例如,如果由于某些原因突然无法从CnC下载密钥(如果公共IP不来自韩国也会发生这样的情况)。每个样本密钥都是唯一的。当前分析样本的密钥是:S25943n9Gt099y4K:

如果其中任何一个域给出长16个字节的响应内容,那么就表明有效的密钥被复制到缓冲区并进一步使用。否则,它将返回至硬编码密钥。

Magniber剖析:一款只以韩国为攻击目标的勒索软件

类似地,初始化向量(IV)在样本中始终为硬编码(但未下载)。文件开头也保存了同样16个字符的长字符串。在当前分析的样本中是EP866p5M93wDS513:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

算法

首先,密码初始化。恶意软件利用函数CryptImportKey和CryptSetKeyParam导入密钥和初始化向量:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

文件加密:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

第一个写入完成文件开头16字节长字符串的存储。然后,按区块读取文件,并使用Windows Crypto API完成加密。

总结

Magniber正在取代Cerber,通过同一个工具包发布,具有相同的攻击对象。但从内部机制来看又与Cerber相去甚远,更为简化。它最大的特点就是对攻击对象的挑剔程度,不是韩文系统不攻击。这也算勒索软件历史上的一个奇葩了。

从这个事件也能看出,勒索软件开发者并没有停下脚步,还是在勤勤恳恳地开发着这些邪恶的东西。Freebuf也会持续关注,及时报道。

*参考来源:malwarebytes,FB小编Carrie编译,转载请注明来自FreeBuf.COM

Mac系统的Proton恶意软件:卷!土!重!来!

事件原

Mac恶意软件OSX.Proton强势回归,这次他们的袭击目标是Eliteima官网上发布的Elmedia Player应用程序副本。到目前为止,没有人知道这个APP是什么时候受到感染的。

Proton早在今年3月份就悄悄潜入Apple XProtect中,但当时知道的人不多,大家也没在意。5月份,噩梦来临。主要负责发布十分受欢迎的Handbrake软件的其中一台服务器遭到攻击,一个受Proton感染的Handbrake连续蔓延4天。

时至今日,Eltima软件公司再次遭到了类似的攻击。

上周四上午,ESET的研究人员发现了Elmedia Player中的木马,当天下午Eltima Software的工作人员即作出木马删除的响应。但是,已经有一定未知数量的用户下载了这个恶意程序,受到了Proton的感染。

受感染的Elmedia Player应用程序看起来和真实的没什么不同。因为这个木马程序实际上是一只披着羊皮的狼,用正常的恶意程序作外壳,让用户信服。下面的截图左侧是“干净”的Elmedia Player,右侧则是乔装的恶意程序。

Mac系统的Proton恶意软件:卷!土!重!来!

这一点与之前Handbrake感染事件所用的技术存在差异。Handbrake事件中,由于该软件是开源的,所以黑客实际上能够编译一个Handbrake的恶意副本,携带Proton恶意程序,但其它方面表现均无异样。

但在这个案例中,Elmedia Player并非开源,因此黑客们转变策略,打开了真实程序一个未经修改的副本。为了避免Dock(Mac任务栏)上同时出现两个Elmedia Player的APP,该恶意程序在其Info.plist文件中进行了如下设置:

<key>LSUIElement</key>
<true/>

这就把该恶意程序变成了一个后台进程,实现了表面的隐身,能够暂时避免引起受害者的怀疑。

这次攻击事件中的恶意程序与真实程序唯一的不同点是启动程序时的密码请求。见下图。

Mac系统的Proton恶意软件:卷!土!重!来!

恶意程序研究员@noarfromspace发现Eltima Software的Folx程序也受到了感染。因为之前Eltima Software已经作了系统清理,所以无法追踪还有哪些恶意程序也惨遭毒手。

被恶意修改的Eltima程序使用的是“Clifton Grimm”苹果开发人员证书进行的签名。目前该证书已被撤销,这些恶意程序也就无法使用了。

恶意行为

和Handbrake被黑副本留下来的变体Porton.B一样,这个新的变体(Porton.C)也尝试获取含用户密码及其它敏感信息的钥匙串(苹果公司Mac OS中的密码管理系统)和1Password(苹果设备管理网站登录账户等敏感信息的应用),以及含登录凭据的浏览器信息(依赖浏览器记住登录密码的亲们要着实小心)。

相比之下,Proton.C还会收集其它数据。它能够渗透多种加密货币钱包,从中窃取用户的数字货币。另外还能抓取用户访问某些在线敏感资源的信息。

作为感染过程的一部分,Proton.C还会在sudoers文件中添加一行,获取全部的root访问权限:

Defaults !tty_tickets

通常情况下,如果用户获得了终端root权限,该权限只在单个终端窗口中生效,不会影响其它终端系统。但是如果在sudoers文件末尾添加了上面这个命令行,恶意程序只需进行一次认证,root权限就能在所有终端上生效。

我被感染了吗?

我们到现在还不知道Eltima Software系统是什么时候被入侵的。但如果你最近从Eltima Software下载了软件,就要检查一下自己的系统了。本文发布者Malwarebytes LABS有一款能够免费检测并删除Proton.C的产品:Malwarebytes for Mac

虽说免费,但如果不想以后被强制消费,我们还有一种办法。

在Finder中的“Go(转到)”菜单选择“Go to Folder(转到文件夹)”然后输入以下路径:

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

点击Go按钮。如果Finder显示“The folder can’t be found(找不到文件夹)”,这就说明你没有受到该恶意程序的感染,当然这个结论基于你完全没有输错的情况下。这个方法还是会有人为错误的风险存在。

如果你被感染了,首要动作当然是删除系统中Eltima Software的程序。即使装在你电脑上的反病毒软件没有检测出来,你也应该自己清理干净,以防万一。

我该怎么办?

发现自己被感染后,第一件事当然是清理系统。

完成后,你就要开启信息泄露风险修复的漫漫长路了。我们需要修改所有账户的密码。1Password这样的密码管理器能够很大程度地减轻工作量。另外,千万不要在macOS的钥匙串中存储密码管理器的密码!这个主密码的沦陷会让所有的努力功亏一篑。

如果你有电子钱包,马上冻结!如果你的信用卡或其它银行账户信息存储在钥匙串或1Password中,立即联系银行,冻结账户,进行账户流水的监控或密码更改。

如果该恶意软件感染了涉及公司业务的设备,一定要及时通知IT管理人员。黑客会通过这个程序获取部分或全部公司内部的资源,不但会导致该公司关键信息的泄露,如果刚好是一家做软件的企业,还有可能产生新的变体,随着新软件或新版本的发布,殃及更多无辜群众。

*参考来源:malwarebytes,FB小编Carrie编译,转载请注明来自FreeBuf.COM

2018年美国RSA大会报名已经开始。由于美国RSA会议演讲人员还在招募阶段,官网尚未公布详细日程,因此本文先分享与会议门票购买相关的基本信息和部分知识科普。详细日程敬请关注后续更新。

时间:2018年4月16日—420

地址:旧金山莫斯康会议中心

官网报名地址:https://www.rsaconference.com/events/us18/register

一、门票

1. 门票类型

前期推广价
(17.9.21-18.1.5
折后价
(18.1.6-3.16
标准价
(18.3.17-4.13
现场票价
(18.4.14-4.20
通票
通票 $1,695 $1,995 $2,395 $2,695
学生/教职工通票 $675 $750 $825 $900
单日通票 $995 $1,185 $1,435 $1,620
5人及以上团体通票 $1,595 $1,895 $2,295 $2,595
20人及以上团体通票 $1,495 $1,795 $2,195 $2,495
其它票种
Discover Pass $495 $595 $695 $795
5人及以上团体Discover Pass $495 $595 $695 $795
Expo Pass $100 $125 $150 $175

2.门票权限区别

通票(Full Conference Pass)

所有主题演讲(Keynote sessions)

所有专业论坛(Track sessions)

周一下午的创新沙盒

周一欢迎会

周二CyBEER Ops

周二至周四的Early Stage Expo

周二至周四的沙盒

周四晚上party

自由出入展厅(Expo Halls),包括简报中心(Briefing Center)课程与晚上的Pub Crawl酒会

会议材料

会场Wi-Fi

大会酒店与莫斯康中心的往返班车

不包含培训与辅导(trainings & tutorials)的课程费

学生/教职工通票

须进行现场的学生或教职工身份验证。其它权限与普通通票相同。

单日通票

周三至周五当天的keynote

周一下午创新沙盒

周一欢迎会

周二CyBEER Ops与周四晚上的Bash Party购票入场权限

周三&周四展会(Early Stage Expo)

周三&周四的沙盒

自由出入展厅(Expo Halls),包括周二至周四的简报中心(Briefing Center)课程与周二晚上的Pub Crawl酒会

大会材料

会场Wi-Fi

大会酒店与莫斯康中心的往返班车

不包含证书培训课程费

5人/20人及以上团体通票

使用同一支付方式一次付清5人/20人通票费用则每张门票优惠$100/$200。该优惠不与其它优惠同时使用或与已购买的门票“拼单”。权限与普通通票相同。

Discover Pass(或5人及以上Discover Pass)

周一至周五的精选session

周一下午创新沙盒

周一欢迎会

周二CyBEER Ops可购票入场

周三和周四的Early Stage Expo(展会)

周三和周四的沙盒

周四晚上的Party

自由出入展厅(Expo Halls),包括简报中心(Briefing Center)课程与晚上的Pub Crawl酒会

会场Wi-Fi

大会酒店与莫斯康中心的往返班车

不包含证书培训课程费

Expo Pass

周三至周五的主题演讲

周一至周五的精选session

周一下午的创新沙盒

周一欢迎会

周二CyBEER Ops酒会购票权限

周三&周四Early Stage Expo(展会)

周三&周四沙盒Sandbox

周四晚上Party的购票权限

大会WiFi

大会酒店与莫斯康中心的往返班车

客服联系方式:

免费热线:866-397-5093;国际热线:1-801-523-6530;

邮箱:[email protected]

3. LoyaltyPlus客户忠诚计划

官方称之为“会员圈”。2018年RSA参会人员如果达到客户忠诚计划的要求,能够享有以下特殊待遇和额外福利:

现场购买通票减$200

酒店预定优先权

入住登记贵宾待遇

参加主题演讲(keynote)红毯通道

两个“客户忠诚计划”休息室(莫斯康中心与万豪马奎斯酒店)

PS:休息室中包含小食、酒水、舒适的座位与小型会议桌、充电处、WiFi等福利。

RSAC客户忠诚计划适用于那些总共参加5次及以上RSA大会并且均购买通票(通票、一日通票、学生通票等)的参会者。为了确保您享有归并待遇,办理会议登记手续时请向会议管理人员说明你以前参加过的会议以便核实。更多关于忠诚计划的信息或问题可发送邮件至以下邮箱[email protected]

4. 条款及政策

RSA®2018(“RSA会议”)将于2018年4月16 – 20日在加州旧金山的Moscone中心举行。此注册协议(“协议”)由 RSA Security LLC(“RSA会议主办方”)和注册人共同做出。 

本协议包括并通过引用合并在下面的页脚中公布的隐私政策/使用条款。 若需要任何书面通知和要求,包括对已公布的注册条款和条件以及隐私政策/使用条款的副本的请求,请发送邮件至RSA会议组织者[email protected]或联系RSA会议中心(2831 Mission College Blvd.,Santa Clara,CA 95054)。

取消政策

如果您因突发情况无法参加RSA会议,您可以通过向RSA会议组织者发出书面通知,取消参会权限。RSA会议退款政策如下:

2018年1月5日前取消:门票全额退款,但需收取125美元服务费;

2018年1月6日—2013年3月16日期间取消:退还50%门票费;

2018年3月16日后取消:概不退还任何费用。

Expo Pass以及欢迎酒会和RSAC Bash盛会门票一旦购买概不退还,且不允许换人参加(Substitutions are not allowed)。

如果您取消参会协议,RSA会议主办方应在收到取消通知后三十(30)天内向您退还剩余费用。

请注意,取消参会权限不代表自动取消酒店和旅行安排。取消酒店和其它旅行预订由本人负责。

任何时候均可安排参会人员的替换,但须支付$100的处理费。详情参加以下“替代政策”。若您未参加会议,也没有取消注册,已支付的注册费均不退还。

替代政策

只要原来的参会申请人准备一份书面许可,随时都能替换参会人员。发送替换参会人员的请求邮件至[email protected]。替换的参会人员必须与原申请人来自同一公司。每位原申请人只允许替换1人。请注意,办理替换手续需要额外支付100美元的处理费。

申请签证/邀请函

签证事宜由本人负责。如需入境签证,您必须为签证申请程序预留足够的时间。移民局可能会获知你的参会信息,请知悉。RSA会议不会代表参会者与大使馆或领事馆联系。

在RSA官网购买门票时可以申请获取会议邀请函(编注:根据去年买票经验,应该只有通票才能申请邀请函)。

如果您没有获得签证,可以在2018年3月16日前发送邮件至[email protected],告知签证被拒并提供相关证明,则可以退还门票费(收取125美元手续费)。

年龄限制

所有参加者必须年满18岁才能参加RSA会议和所有相关活动,包括所有晚间活动。除此以外的任何例外请求必须以书面形式提交RSA会议组织者,RSA会议组织者将决定是否批准。

5. FAQ

1)用户名、密码忘记怎么办?

进入注册页面,点击“Forgot Password”。

或发送邮件至[email protected]  找回密码。

2)Moscone中心的地址

Moscone Center 

747 Howard Street

San Francisco, CA 94103

3)支持什么支付方式?

信用卡(American Express美国运通、VISA维萨卡、Discover发现卡、MasterCard万事达)、支票、电汇。下了单不算付款成功。总金额超过$900才支持支票和电汇方式(详情请点击这里)。

4)如何获得正式邀请函申请签证?

购票过程中你会碰到是否需要大会方提供邀请函。选择“是”,并完成支付,主办方会在2-5个工作日内把PDF版本的邀请函以邮件的形式发送至您的邮箱。

5)会议税号是什么?怎样获得W-9表格?

大会税号:27-1492791。发邮件至[email protected]获得W-9表格。

6)票价是否含餐费?

通票配有欧式早餐、上午茶、下午茶,周一晚上欢迎会和周四晚上的Codebreakers Bash上也会提供食物。Moscone中心有很多小卖部和商店,步行可到。

7)参会服装有要求吗?

普通工装即可,无特殊要求。

8)是否能够提供参会人员名单?

为了保护参会人员隐私,不提供名单。但相信还有很多其它方式能够和有名的大咖获得联系。

9)住宿问题应该联系谁?

可在8:00 AM – 5:00 PM (美国中部时间),联系OnPeak  1 (866) 772 4410 (美国 免费电话)或者 +1 (312) 527 7300 。我们网站上也有酒店列表可以参考:

https://www.rsaconference.com/events/us18/hotels-venue/hotels

10)大会提供接送服务吗?Moscone中心是否有停车场?

都有的。详情参见RSA大会2017以下网页:

https://www.rsaconference.com/events/us18/hotels-venue/hotel-shuttles

https://www.rsaconference.com/events/us18/hotels-venue/directions-parking

二、大会活动部分名词解释

1. Birds of a Feather(志同道合环节)

周三及周四早上的会议准备时间(7:00-7:45am),可将早餐带入会议室。有的主题是提前订好的,有的则可以自由发挥,这是一个比较随意的热身阶段,可以制定你感兴趣的日程。注:只对通票人员开放。

2. Briefing Center(简报中心)

对你每天面对的难题提供技术帮助。技术专家将为你提供简短演示,帮助你做好策略规划并为企业作出正确的采购决策。

3. Classroom(教室)

Classroom环节是传统形式,1-2位演讲者以幻灯片(可在RSA官网下载到)的形式进行演讲。演讲包括Q&A环节。

4. Focus-On(聚焦)

Focus-On环节紧跟在Classroom之后,提供更深入、范围更小的小组讨论以及与演讲者的互动。该环节主要是讨论,不会使用新的幻灯片。只有一小部分人能够参与,人数有限。

5. Forum(论坛)

对所有与会人员均开放。主要政府官员以及知名企业高管对信息安全行业热点问题的看法。

6. Learning Labs(学习实验室)

学习实验室提供互动性强的时长2小时的学习体验。所有内容都十分实用,并且以小组为单位进行学习。实验室总参与人数不超过64人,确保参与度最大化。实验室只对通票人员开放,利用Reserve a Seat(预定座位)功能报名参加。由于学习实验室的人数限制,你只能从16个learning lab中选取一个。注意:媒体人员不允许参加learning lab。

7. Panel Discussion(小组辩论会)

小组讨论会也是传统的会议形式,一个主持人和几个代表不同观点的小组成员。最后有观众问答环节。

8. Peer2Peer

P2P环节能够让不超过25人的小组聚集在一起并探讨具体的安全主题,由经验丰富的从业者组织带领。注意:媒体人员不允许参加Peer2Peer环节。

9. RSAC TV

RSAC电视演播室提供多样化的展示与访谈,为以后在rsaconference.com的节目播放提供素材。参会人员可在会场的不同观看地点观看这些节目。

10. 沙盒

2017年的RSA大会沙盒提供实用性极高的物联网、工控系统以及网络安全中威胁与漏洞的处理、讨论与模拟体验。对所有参会人员开放。

11. 研讨会

研讨会活动安排在周一,我们邀请了业界顶尖的安全技术专家。研讨会数量也增加了不少,欢迎前来汲取知识、结交朋友。

12. 培训与辅导

周日与周一为期两天的技术集训。课程主讲人是来自SANS、ISACA与(ISC)²的权威人物。

三、展会

地点:Moscone North Expo and South Expo(莫斯康南北两个展厅)

北展厅布局图

2018年美国 RSA 大会报名超详细攻略

南展厅布局图

2018年美国 RSA 大会报名超详细攻略

展会时间:

周一4.16  5:00 PM – 7:00 PM(欢迎会)

周二4.17  10:00 AM – 6:00 PM

周三4.18  10:00 AM – 6:00 PM

周四4.19  10:00 AM – 3:00 PM

官网公布详细日程与演讲人员信息后Freebuf会继续更新。

*参考来源:RSA,FB小编Carrie编译,转载请注明来自FreeBuf.COM

前言

2017年上半年,勒索软件攻击的复杂程度达到了新的高度。不仅复杂性增加,新的勒索软件代码发布与传播速度也是惊人。今年两大主要的勒索软件安全事件将网络安全彻底暴露在全球网民的视野下,成了人们茶余饭后的谈资之一。无论是企业机构还是普通网民,都开始意识到了网络攻击的巨大杀伤力。

微软于今年3月发布一份安全情报报告,总结了2017年第一季度不同领域的威胁动向,报告中阐述了勒索软件猖獗肆虐的现状。2017年1月至3月,微软的安全产品所检测到的勒索软件受害者比例最高的国家有捷克共和国、韩国及意大利。

本文我们重点介绍已经发生的安全事件带给我们关于未来趋势、发展的启发。

1.gif

2017年1月-6月勒索软件全球影响分布图

勒索软件增长规律

2017年3月,勒索软件受害者数量在历经几个月的跌幅后开始逐渐回升。这种上升趋势主要来自于像Cerber这样已经具有一定规模的勒索软件活动组织,以勒索软件即服务的形式展开全球范围内的强势。

2.png

2016年7月至2017年6月每月勒索软件数量(蓝柱)与中招用户数量(黄线)

这种上升趋势的另一个原因是因为勒索软件家族的不断庞大,数量增长与传播速度之快也令人咋舌。2017年上半年,我们发现了71个新的勒索软件成员。

其中一些勒索软件成员尤为“出类拔萃”,它们的攻击活动形式更为新型复杂。例如,今年第一季度出现的Spora完全抢占了去年Cerber的风头,成为当时传播最为广泛的勒索软件。

3.png

2017年第一季度最流行的几类勒索软件成功率对比图

Spora庞大的危害辐射面产生原因可能有两个:第一,它能够同时通过网络驱动和USB等移动驱动进行传播;第二,其初始版本主要针对的是俄罗斯网民,因此用户界面的语言采用的也是当地语言,但后期攻击目标扩大到全球范围后,它又将系统语言更改为英文。

其它2017年臭名昭著的勒索软件成员还包括Jaffrans、Exmas以及Ergop。尽管这些勒索软件没有达到Spora那样的影响力,但是它们确实体现了勒索软件领域的周期性进步和变本加厉的顽固性。

全球勒索软件警钟拉响

WannaCrypt(又称WannaCry)是今年到目前为止影响范围最大的新型勒索软件之一。五月份出现的这个恶意程序利用了未更新win7系统中的一个补丁漏洞,并迅速传播到欧洲乃至全球(该漏洞不影响Windows 10系统)。这次攻击活动使得大量高科技设施、大型企业机构正常活动遭到严重破坏。

WannaCrypt爆发后几周,一个新的变种Petya卷土重来。Petya采用了WannaCry所使用的一些新技术,但综合了更多网络传播方式。Petya的爆发始于乌克兰,被感染的软件供应链通过一个更新程序开启了Petya的传播之路。短短几小时,Petya就已经蔓延至其它国家。尽管Petya的传播范围不及WannaCry广泛,但是复杂程度却高于WannaCry,对于被感染机构的杀伤力更加大。

WannaCrypt和Petya打破了攻击行为的针对性和本地化特征,是历史上第一次全球范围内大规模的恶意程序攻击。这种趋势形成了地下市场的全球利益链,但是这样的变化对攻击者来说也有弊端,比如,在这些攻击活动中使用的比特币钱包则更容易受到监管人员的密切监视。

WannaCrypt和Petya的出现表明,利用全球范围内普遍漏洞产生的勒索软件攻击活动会给全人类带来灾难性的后果。全球性攻击活动也向人类发出警告:安全响应人员应提高攻击检测、响应能力,控制勒索软件感染疫情;系统或软件的更新发布后应及时安装。

勒索软件复杂性分析

全球勒索软件疫情爆发的原因之一是勒索软件技术的进步。WannaCrypt、Petya、Spora等勒索软件变体所具备的新功能以及他们的传播速度于危害程度都体现了这一点。

利用漏洞进行内网漫游

Spora通过网络驱动和可移动驱动器传播的能力使其成为传播范围最为广泛的勒索软件之一。虽然它不是第一个整合蠕虫状扩散机制的勒索软件,但它能够通过这种功能来感染更多的设备。

带有蠕虫功能的勒索软件攻击活动范围可以从终端安全延伸到整个企业网络。WannaCry就是一个很好的例子,它利用CVE-2017-0144(又名“永恒之蓝”,已修复 MS17-010)这个漏洞感染了未及时更新的设备。

而Petya则又对WannaCrypt的传播机制进行了扩展——利用了两个漏洞对未更新系统进行感染:CVE-2017-0144以及CVE-2017-0145(被称为EternalRomance,已修复)。

这两次攻击事件都说明了及时更新系统或程序的重要性。同时安全人员检测和拦截与漏洞相关恶意行为的及时性也非常关键。

另外,我们还应注意到这两大勒索软件的出现都没有波及Win10系统,也就是说升级到最新版本的系统或平台也会增加安全系数。就算这些漏洞也出现在Win10系统中,该系统也会多种漏洞缓解方案,包括零日漏洞。另外,Windows Defender高级威胁防护程序(Windows Defender ATP)也可以在无需签名更新的情况下检测到漏洞利用的恶意活动。 

Here is the 彩蛋:由朔方翻译的用于分析是否有内网横向移动行为的参考手册《日本CERT内网漫游人工检测分析手册》,可通过链接http://pan.baidu.com/s/1qYNq1uG 密码:u90s 获取。

凭证窃取

Petya还有一个夺眼球的特点是它窃取重要凭证的功能,通过凭证转储工具获取或直接从凭证库中窃取。该功能对于使用本地管理员权限登录并在多台计算机上打开活动会话的用户网络构成了严重的安全威胁。在这种情况下,被盗凭证可以在其它设备上行使同等级别的访问权限。

Petya疫情表明了保护凭证安全的重要性。企业应对特权账户进行不断审查,因为这些账户具有对企业机密和其它关键数据的访问权限,一旦沦陷,后果不堪设想。Win10系统中的Credential Guard使用虚拟安全保护派生域凭证,能够拦截企图侵入特权帐户的恶意行为。

网络扫描

掌握漏洞或凭证信息后,勒索软件就开始通过网络扫描把魔爪伸向网络世界中的角角落落。例如,Petya通过扫描受感染的网络,尝试与其它计算机建立有效连接,然后通过窃取的凭证传输恶意程序副本。Petya同样也扫描了网络共享连接,尝试通过这些共享行为进行传播。

而WannaCrypt则大量扫描IP地址,寻找存在“永恒之蓝”漏洞的计算机,这个功能使得WannaCry能够在不同网络之间的计算机上进行传播。

破坏性行为

绝大多数勒索软件都有一个相同的、明确的动机:受害者必须支付赎金,否则永远拿不到自己电脑上已经被加密的文件。虽然不能保证支付赎金后对方一定会解密文件,但是大多数勒索软件还是通过赎金声明的方式说明他们要钱的意图。WannaCry攻击者于今年8月将所有比特币从比特币钱包领取兑现。而Petya开发者在早早地7月初就开始收网。

前文我们已经提到过,Petya的破坏性更大:它覆盖或损坏主引导记录(MBR)和卷引导记录(VBR),使受感染的计算机彻底瘫痪。这个现象引起了安全界很多专家的思考与讨论:Petya产生的根本目的是为了像WannaCry那样骗取赎金还是像Depriz(也称为Shamoon)那样破坏网络及系统安全?

4.png

Petya攻击链

小编在PS、AI方面是菜鸟,图片汉化就不花时间做了,就在下面附上图片文字内容的翻译,有需要的同志可自行替换。

1.MALICIOUS SOFTWARE DOWNLOAD 恶意程序下载

Initial infection appears to involve a compromised software supply-chain or a watering-hole attack

从感染某个软件或发起一个“水坑式”攻击开始

2. Victim 0 受害设备O

3. If Kaspersky is present, MBR and some disk sectors are destroyed. Otherwise,MBR is replaces with a ransom bootloader (or trash if fail)

如果设备上装有卡巴斯基,MBR和一些磁盘扇区会被损坏。否则,MBR被替换为赎金引导程序(替换失败则当作垃圾处理)

[SEDEBUG]

MBR ACTIVITIES   MBR活动

[take effect post-reboot]   【重启后执行】

TRASH 垃圾    INFECT 感染

4. Muti-threaded execution of malicious code begins in parallel   多线程恶意代码执行同时进行

SMB EXPLOITS   SMB漏洞

INTERNET/LOCAL NETWORK    互联网/本地网络

Org A Org B Org C    机构A 机构B 机构C

Victim 1 受害设备1

etc.     …

CREDENTIAL THEFT 凭证窃取

From LSASS/CredEnumerateW, or steal active tokens   

从LSASS/CredEnumerateW窃取或窃取活动令牌

Creds/tokens 凭证/令牌      SCANNING 扫描

Scanner enumerates targets for lateral movement(adminS)   扫描器列举目标进行内网渗透(adminS)

Machine list 设备列表               FILE ENCRYPTION 文件加密

Local files on the machine are encrpted with AES 设备上的本地文件通过AES加密

Remote execution through PSEXEC or WMIC   通过PSEXEC或WMIC远程执行

LOCAL NETWORK 本地网络

关于Petya目的的讨论,很多专家各执一端。但有一点可以肯定,攻击者可以轻松地把其它payload加入勒索软件代码,形成针对性攻击或其它类型的毁灭性网络攻击。随着勒索软件威胁程度的骤增,无论是各大企业机构还是个人,都需要一个完善的网络安全防护方案,抵御端到端的勒索软件攻击。

结 语

原文接下来的部分讲的就全是微软夸自己的win10系统多么厉害了。这里我就不给微软打广告,有兴趣者也可参见原文:https://blogs.technet.microsoft.com/mmpc/2017/09/06/ransomware-1h-2017-review-global-outbreaks-reinforce-the-value-of-security-hygiene/

微软在网络安全方面的努力与成果的确值得期待,也非常值得国内安全厂商潜心学习。

【完整报告英文版-百度网盘链接:http://pan.baidu.com/s/1qYNq1uG 密码:u90s】

 *本文作者:Carrie_spinfo,经作者授权,转载自微信公众号“赛博朔方”(chinamssp)

什么是“内网漫游”(lateral movement)?

“千里之堤毁于蚁穴”的道理用在黑客攻击上同样成立。攻击者只要挖掉房子的一块砖,他就拥有了整个房子的所有权。虽然这种说法过分简化了黑客攻击的复杂过程,但是的确事实就是这样。下面我就介绍一下内网漫游的整个过程。

1.png

阻止哈希传递攻击

第1步:攻击用户

攻击的切入点是一个没有及时更新的Java插件(是不是不只一次地看到过很多文章、新闻报道都提醒你及时更新程序?你做到了吗?),祸不单行,偏偏这个用户身份是本地管理员。虽然这不是攻击者进行内网漫游的必要条件,但这个权限能够减少一些转储本地管理员用户密码哈希的步骤。

第2步:抓取本地管理员的密码哈希

“本地管理员的密码在同一域下的所有工作站通用”这个定律依然在很多情况下奏效。尽管对操作员来说,这样能够提高工作效率,但同时也给越来越多的攻击者打开了方便之门。由于Windows系统的设计问题,攻击者实际上并不需要通过明文密码在整个网络中“漫游”,而可以通过“哈希传递(PtH,Pass the Hash)”的技术实现。

第3步:找到已登录的域管理员

在这种情况下,管理员以其域管理员帐户的身份登录工作站进行更改活动。攻击者只要找到其中一台登录的设备就可以通过类似mimikatz这样的工具从RAM中转储密码(以明文形式)。有一点更有意思,所有已经登录账户的密码都以明文形式存储在RAM中,因此攻击人员只要通过本地管理账户完成了RAM的转储,他们就不需要再去破解这些hash值。到这一步,可以说整个网络都已经沦陷。接下来攻击人员就可以开始过滤所有数据。

如何预防内网漫游攻击?

纵观整个入侵过程,一开始被攻击者钻了空子的是一个遗漏的修复程序。虽然我们都知道要及时更新修复,但事已至此,目前最要紧的问题是如何规避本地管理员账户中的“哈希传递(PtH,Pass the Hash)”。这也正是微软本地管理员密码解决方案(带下载地址)的生存使命。这个工具功能多样,但是和PtH最相关的是在企业内部所有设备上实现本地管理员密码随机化的功能。这样一来,攻击者就无法通过一个本地管理员的密码哈希实现整个内网的漫游。

安装LAPS(本地管理员密码解决方案)

根据上述的下载地址下载程序后,可选择从管理员工作站执行安装程序。运行安装程序,并确保已经安装了所有管理工具。

2.png

接下来,以域管理员和架构管理员的身份打开PowerShell窗口(只需执行运行任务…)并运行以下命令:

Import-Module AdmPwd.PS
Update-AdmPwdADSchema

3.png

这两个命令为计算机添加了两个附加属性,一个用于密码存储,一个用于密码逾期后的更新。具体如下:

ms-Mcs-AdmPwd
ms-Mcs-AdmPwdExpirationTime

现在需要让计算机对这些属性作出实际的更新,而这项工作可以由OU(把对象组织成逻辑管理组的容器)来完成。So,开始添加包含所有用户工作站的OU吧。

Set-AdmPwdComputerSelfPermission -OrgUnit "UserWorkstations"

4.png

设置密码访问机制

主要设置的内容是谁有权查看和重置密码。首先,在活动目录(Active Directory)中创建LAPS管理员群组。添加到此组的任何用户帐户都能够管理指定OU中的密码。该群组具有用户工作站OU的管理权。

Set-AdmPwdReadPasswordPermission -OrgUnit "UserWorkstations" -AllowedPrincipals LAPSAdmins

5.png

现在,LAPS管理员群组中的所有人都可以查看或重置用户工作站OU中所有设备的本地管理员密码。

创建GPO

GPO:Group Policy Object,组策略对象,一种与域、地址或组织单元相联系的物理策略。

首先,将以下文件从你的管理工作站复制到域控制器的中央存储库中:

C:\Windows\PolicyDefinitions\AdmPwd.ADMX
C:\Windows\PolicyDefinitions\en-US\AdmPwd.ADML

6.png

7.png

接着,打开组策略管理控制台(Group Policy Management Console)并创建一个名为LAPS的新GPO。然后从那里导航至“计算机配置(Computer Configuration)>管理模板(Administrative Templates)> LAPS”并根据你所在机构标准要求进行配置。策略配置包括密码复杂性、逾期时间、需管理的管理员账户名称等。另外还应确保启用本地管理员密码管理( Enable local admin password management)。

8.png

从这里将其链接到你认为合适的OU里。

检查访问权限

确定哪些群组具有相应计算机的密码访问权限很有必要。这一步可以通过下面这个命令实现(其中的<OU>用你的OU替换)

Find-AdmPwdExtendedRights -Identity "<OU>"

理想情况下,这一步的结果应该只有SYSTEM帐户和域管理员(Domain Admins)。

9.png

密码管理

还记得之前我们让LAPSAdmins(管理员)群组管理UserWorkstations(用户工作站)组中计算机的密码吗?现在要对这个功能进行测试。SAVAGE\kyle这个账户是LAPSAdmins(管理员)群组的成员,我们可以通过这个账户打开LAPS的界面并搜索一个计算机名称,例如Win10-1,检索本地管理员密码并查看或更改密码逾期时间。

10.png

总结

希望各位读者能够有所收获,并开始在自己的环境中部署LAPS。

从此与攻击者的内网漫游说再见……

*参考来源:savagesec,FB小编Carrie编译,转载请注明来自FreeBuf.COM

浅谈Windows系统下的网站备份与恢复

之前写了利用命令行工具创建LinuxMac系统下网站备份的文章,但是windows系统无法采用命令行工具进行网站备份,这个时候我们就需要借助第三方工具了。欲知详情,且看下文介绍。

目前仍有很多网站运营商没有做好备份工作,一旦网站突然“罢工”或遭到病毒感染,一切数据、资源、心血都将付诸东流。

前期准备

有的网站托管商会提供备份服务,当然你也可以购买一些附加的备份服务和插件。但本文的写作前提是你的网站托管商不提供备份服务,我们自己通过免费的软件进行网站备份。

首先,准备以下三个工具:

1.Filezilla

这是一个能够访问网站文件的开源FTP客户端。

2.Adminer

一款管理数据库的简便安全的工具。

3.网站的FTP登录凭据 (含获取网站FTP凭据具体攻略)

可以在主机账户中找到

需要一个用户名、密码以及主机名或IP地址

在你自己的电脑上安装Filezilla(与Windows、Linux、Mac系统兼容),从Adminer网站下载PHP文件,确认已经获得FTP主机名、用户名与密码。

注意:虽然Filezilla是一个非常好用的跨系统FTP客户端,但它不会安全地存储用户密码,因此使用时不要选择“记住密码”。的确,每次登录都输一遍密码很麻烦,但是出于安全考虑,这样的捷径还是不要走。

开始备份

你的网站存有大量网站文件以及一个或多个数据库(通常只有一个)。

这些文件包括你的核心CMS(内容管理系统)、扩展名/主题文件以及你上传到该网站的所有照片/媒体。

数据库指的是网站内容(如博客文章)及设置(扩展/主题设置和用户信息)的存储位置。

因此我们完成完整备份的标志就是备份网站文件与数据库。

文件

打开Filezilla。

浅谈Windows系统下的网站备份与恢复

首先在File(文件)菜单中点击Site Manager(网站管理员)按钮。打开后在这里输入你从主机账户抓取的FTP登录凭据:

浅谈Windows系统下的网站备份与恢复

通常情况下,常规的FTP即可。虽然SFTP和TLS相对来说更加安全,而且有时使用的协议需要根据托管服务供应商或具体服务器来确定。

友情提醒:FTP默认使用21号端口,SFTP默认使用22号端口。有时你要把你的FTP登录凭据设置得没有规律性一点才能保证它们正常工作。如果在设置方面存在困难,可以与你的托管商沟通,获得他们的协助。

浅谈Windows系统下的网站备份与恢复

OK,成功登录。

该面板左侧是本地计算机中的文件,右边的则是服务器上的网站文件。基本上我们只需将服务器上的文件拖到本地计算机上即可。可以放心的是,服务器上的文件仍会保留,不会被删除。

首先,找到你网站的public根目录(在这种情况下是public,也有可能是public_html、httpdocs等),点击并将其拖动到你电脑上的某个文件夹。

友情提醒:如果你的网站使用了缓存插件,在备份网站之前清除缓存。这些文件应该是定期删除的,但如果你的缓存文件是从2011年开始的,那么这一步操作能帮你节省很多备份的时间。

这里介绍一个我每周备份的命名小技巧(非常重要):

浅谈Windows系统下的网站备份与恢复

好用的备份命名技巧

现在开始文件传输。这个过程会花一点时间,特别是如果你的网站上有很多照片或插件,又或者你的网站运行在一个速度很慢很low的服务器上。

传输完成后Filezilla一般都会发出自动通知。如果没有,程序底部的文件传输列会显示空白,说明你发出的文件传输指令已经完成。

第一阶段完成!

数据库

现在我们开始备份数据库。首先,把你之前下载的那个adminer.php文件拖到你网站的根目录下,如下图所示:

浅谈Windows系统下的网站备份与恢复

友情提醒:完成这一步后一定要删除服务器上的adminer.php文件。最好不要把这些暂时用不到的工具遗留下来,容易产生安全隐患。

现在请打开浏览器并输入yourwebsite.com/adminer.php,你应该会看到下图的页面:

浅谈Windows系统下的网站备份与恢复

登录数据库。如果你不知道你的数据库登录凭据,可以在Filezilla的服务器上打开网站配置文件:WordPress上的是wpconfig.php、Joomla上的是configuration.php、Drupal上的是settings.php。右击文件并用文本编辑器打开,我们就可以在上面找到登录信息。

浅谈Windows系统下的网站备份与恢复

以WordPress中的 wpconfig.php存储数据库登录凭证为例

将凭据输入Adminer后登录成功并显示如下页面:

浅谈Windows系统下的网站备份与恢复

现在我们要做的是将数据库以单个文件的形式导出,并下载到自己电脑上。点击左侧的“Export”(导出)按钮,页面上会跳出一个数据库的转储面板:

浅谈Windows系统下的网站备份与恢复

选择“Save”并单击底部的“Export”按钮,页面上会出现下载提示。把这个文件保存在与网站文件相同的存储位置。通常情况下这个过程几分钟就可以完成。

但有些网站的数据库庞大,所需的备份时间就会更长。有时还会出现服务器超时的情况,虽然比较少见,但是如果真的发生了,建议从主机账户直接下载数据库副本。

完成到这里就可以说你已经无敌了。不管什么系统都难不倒你。既然学会了备份,那就一定要把备份工作变成你的日常习惯——至少每周一次。

备份安全

下面我们将介绍保护备份安全的重要性。

备份是为了防止意外,但是如果备份的东西没有得到安全保护,那么关键时刻我们还是会功亏一篑。因此必须将备份文件存储在安全的位置,并采取一定的措施防止无关人员访问或被恶意人员利用造成网站被入侵。这些备份中包含着很多重要信息。比如网站配置文件就是数据库的访问入口。

旧的备份中还包含着大量没有更新过的核心文件、主题和扩展名。不再更新的软件往往是网站遭受攻击的罪魁祸首!我发现很多网站都会把他们的备份存储在活动服务器的/old以及/backup目录下。这种做法等于把你的网站拱手让给了那些哪怕是“修为”很低的攻击者。

把备份放在本地计算机、外接硬盘或CD/DVD上都是相对来说更加安全的选择。另外我们也建议对备份数据进行密码保护,防止这些数据被滥用或被无关人员获取访问权限。至于如何加密还是取决于你所使用的操作系统。

如果我的网站被入侵了怎么办?

当用于管理网站的计算机感染恶意软件时,该网站也会受到威胁。键盘记录器、木马和其他恶意软件都可以盗取FTP凭据或访问存储在计算机上的网站备份。无论你使用的是什么操作系统,请务必使用合适的防病毒程序扫描计算机中的恶意软件。

你可能会担心,如果网站被入侵了,并且用自己的电脑来存储备份文件,那么你把恶意软件下载到自己电脑上的可能性就很大了。这个担心是合理的。但是,大多入侵网站的恶意软件都是PHP格式,或者是用其它服务器端的脚本语言编写的,一般与web服务器兼容,而不会在桌面、笔记本、平板等设备上执行。

尽管如此,我们还是需要对网站进行有效的安全监控,及时阻止入侵行为。

如果你下载了受感染的备份文件,一个好的反病毒软件也能救你一命。通过反病毒软件对计算机进行全面彻底的病毒扫描往往能发现系统中的威胁文件,当然也包括受感染的备份文件。

如何恢复备份

假设由于某些更新、配置错误或不兼容的软件,你的网站被黑或出现白屏问题(内部服务器错误),那么我们就需要恢复以前备份的东西。

恢复文件

假设我已经在本地计算机上存储了网站备份文件,文件恢复工作其实也相当简单,就是把我们之前的备份步骤逆向操作一遍。首先,将需要恢复的备份文件拖到网站的public根目录下。

浅谈Windows系统下的网站备份与恢复

这时页面会跳出你希望Filezilla对这些传输文件执行什么操作的提示框。因为我们需要这些本地文件替换服务器上的文件,因此选择“Overwrite(覆盖)”以及“ Always use this Action(始终执行此操作)”、“ Apply to Current Queue Only(应用于当前文件)”。

浅谈Windows系统下的网站备份与恢复

恢复数据库

重新登录Adminer并将adminer.php文件重新上传到服务器(因为之前完成工作后你已经把这个文件删除了对吧)

*本文作者:Carrie_spinfo,转载请注明来自 freeBuf.COM

盘点 | 史上成功率最高的10种渗透技术

能够绕过防御技术的恶意软件是犯罪界中网红般的存在。知己知彼,方能百战百胜。本文为各位读者奉上史上10种成功率最高、最为狡猾的黑客攻击术。

引子  狡猾的攻击者

说到恶意软件,我们确实生存在一个可怕的时代。黑客入侵的戏码几乎每天都在全球各地上演,客户隐私数据不断遭到泄露。公众对某公司千万条数据记录被窃取、某某公司内部邮件被公开等新闻已经习以为常。

而作为安全专家,我们能够7天24小时不间断值守,抵御躲在暗处的敌方。我们的工作职责就是建立防御机制,抵御外部攻击。早期检测往往能够在损失产生之前有效抵御恶意软件攻击。

黑客的狡猾程度超乎你想象,恶意软件检测难度越来越大。以下是十大黑客史上最狡猾的攻击手段。

1. PowerShell恶意软件

盘点 | 史上成功率最高的10种渗透技术

微软开发PowerShell脚本语言的本意是便于Windows及活动目录的远程管理。对于实现日常工作的自动化以及大量电脑的远程管理来说,PowerShell绝对是大救星。

但是,在开发人员考虑之外的是这个功能同时也为恶意黑客打开了方便之门,因为Powershell被检测到的难度非常大。

PowerShell入侵技术早已从研究人员的概念验证阶段走到了不法分子的工具选择阶段,成熟度可见一斑。企业入侵几乎都会用到到PowerShell。恶意分子都会小心谨慎地打乱编码,绕过防御工具的检测。

两大目前最受欢迎的PowerShell工具包:PowerSploit、PowerShell Empire。这两个软件打着合法渗透测试工具的噱头在市场上推广,其实质也就是黑客入侵的工具。防御PowerShell攻击的方法也有一些,比如只允许合法的签名脚本进行访问,但往往很多企业都选择了坐以待毙。

2. 新设备新软件中的恶意程序

盘点 | 史上成功率最高的10种渗透技术

谁都不希望自己的新手机、新电脑或新安装的软件遭受病毒感染,但这样的事件却频发。即使是国际知名公司的产品也难逃厄运。毫不夸张地说,恶意软件可以是苹果、微软等知名公司产品的终结者。

它可以附着于闪存卡、USB key、网络设备及智能手机中。微软曾经发现20%进入中国市场的全新PC含恶意软件。

为什么会出现这样的情况呢?有时是因为生产厂商本身就已经中招,感染了病毒,但生产商毫不知情,这就导致其生产的设备也自带恶意程序。有时候也有可能是某些员工内部捣鬼,故意把恶意程序植入新设备中。当然恶意程序也有可能来自于承包商,即开发过程中涉及的代理商。

无论怎么样,到了用户手里,这台设备就是一个病原体。

3. 无线路由器上的恶意程序

盘点 | 史上成功率最高的10种渗透技术

无线路由器往往也是黑客们热衷的切入点。路由器就像一个迷你电脑,能够通过自定义代码进行自动更新。

对黑客来说,更加乐观的条件是,很多路由器运行的都是非常容易利用的代码,或者只通过默认密码进行保护。路由器上的这些弱点一向都是黑客手里的香饽饽,频繁利用,乐此不疲。

黑客通过入侵路由器窃取通过无线网传输的财务信息,或者为了自己或雇主的目的,抓取路由器的处理能力与机密信息。

这种攻击途径能够完全控制所有与这个安全性极差的网络所连接的设备。Mirai就是这样一个最为著名的物联网恶意程序,黑客通过Mirai对多个家庭网络设备建立大型僵尸网络,发起大面积的DDoS攻击。

4. Task Scheduler恶意程序

盘点 | 史上成功率最高的10种渗透技术

大多数运行在Windows系统上的Task Scheduler(任务调度程序)对很多人来说都是个谜。任何时候都有可能运行几十个合法作业,删除其中一个错误的作业可能会产生很大的问题。但是确定哪些作业有必要、哪些作业没有必要以及哪些作业为恶意作业这项工作非常困难并且耗时。

恶意程序的编写者又在这个系统难题上动起了歪脑筋。

以Task Scheduler作业的形式安装在设备上的恶意软件会获得更高的凭证权限。更恶劣的是,如果你的反恶意软件扫描程序清理了这个恶意软件,它还能够进行重新下载。Task Scheduler一个最为明显的特征就是你再怎么努力清理,这个恶意软件也会和你死磕到底。

如果你在清除恶意程序上面遇到了难题,可以尝试检查Task Scheduler。

5. 受信任数字证书的危害

盘点 | 史上成功率最高的10种渗透技术

黑客最喜欢的就是利用数字证书中的附加信任。而且事实上,很多用户都不太了解数字证书,无法识别恶意的数字证书。因此越来越多的操作系统和浏览器开始增加帮助用户决定该网站是否受信任的功能。

这个方法的确能起到一定作用。但是机器对于人类,仍然处在被动方。黑客还是能够窃取合法的、全球信任的代码签名证书,并用这些证书伪装自己。此时,用户可能就会在毫无意识的情况下安装了这些伪装成合法程序或更新程序的木马。

有时黑客只是复制一个公司的证书,而不直接窃取,就像著名的Flame恶意程序一样。有专家担心这些数字签名攻击会增加对SHA-1加密哈希签名攻击的成功率,这也是他们强烈推广SHA-2的主因。

6. 网络蠕虫

盘点 | 史上成功率最高的10种渗透技术

2003年SQL slammer蠕虫10分钟内感染了10万台以上未打补丁的SQL实例(instance,内存结构和一组后台进程)。这是网络蠕虫快速感染的一个历史性事件。

蠕虫往往需要耗费多年才会完全灭亡,但他们还是能够卷土重来。最近的WannaCry和Petya勒索软件就是最明了的例子。

蠕虫一般把那些含有未打补丁的软件或错误用户配置(如弱口令)的设备作为攻击对象。

WannaCry与Petya就是专门利用那些毫无防备的个人电脑,让那些自以为安全的用户措手不及。

网络蠕虫可以说是最可怕的恶意软件,SQL Slammer所表现出来的传播速度、杀伤力以及全身而退的能力着实让人背脊发凉。在人们还没弄清楚怎么回事之前,它已经产生了巨大的危害。

7. 社交APP

盘点 | 史上成功率最高的10种渗透技术

现代社会中最狡猾的网络危害之一竟来自于你的好友。发生过程如下:你的朋友突然通过社交软件给你推荐了一个好玩的APP或视频,但实际上这是一个伪装的恶意程序。如果你运行了该恶意代码,黑客就能够完全掌控你这个社交平台上的账户,获取你所有朋友的联系方式。

当然,这个恶意程序的传播可能也不是你朋友的本意,而是因为黑客已经掌控了他们的账户。

黑客能够通过一个账户控制多个账户,“占领”的账户数量成倍增长,不断窃取钱财,甚至入侵企业网络。因为很多黑客非常清楚一点,很多人为了图方便,私人账户和公司网络使用的是同一个登录名和密码,因此只要获取其中一个账户密码,他也就拥有了该受害者多个账户的访问权限。

8. 局域网会话劫持

盘点 | 史上成功率最高的10种渗透技术

早上,你像平时一样走进便利店买杯咖啡,连上WiFi查收邮件。一般这种情况下,你肯定不会怀疑这家店里也坐着一名黑客,窃取他人的网站凭证。

Firesheep工具对于实施这种攻击方式是最简单方便的,是很多黑客和渗透测试人员的最爱。这类威胁让无数企业高管头疼不已,不得不更加重视自己的无线和网站安全。

尽管Firesheep的开发者已经不再提供服务支持,但是很多其它类似的工具也不断在网络上涌现——而且都是免费的,坐等同僚们前来下载。

如果我们对无线连接做了正确的配置,那么这种威胁其实是可以避免的。因此我们要做的就是确保自身设备的所有无线连接都受到完美防护。

9. 键盘记录器

盘点 | 史上成功率最高的10种渗透技术

键盘记录器是一种小型硬件设备,一旦安装在电脑的键盘和键盘输入连接器之间,它能够抓取输入该键盘的任何数据。

这种攻击方式不适用于智能手机、笔记本这些没有外接键盘的设备,但是很多酒店、金融机构、企业等还是有很多传统的台式电脑,而且入侵这些机构的电脑油水更大。

攻击者像普通用户一样淡定地坐在电脑前安装这个记录器。安装位置一般都在电脑或主机的隐蔽位置,装好后过几天,黑客再回来取走这个记录器。

这个时候,记录器的价值就翻几番了,上面记录着很多账户密码和机密信息。

10. USB入侵设备

盘点 | 史上成功率最高的10种渗透技术

随着USB存储容量和处理能力的不断提高,黑客入侵的功力似乎也随之增长不少。

几十种黑客工具都与USB key兼容。网上不到100美元就能买到这样一个USB。不法分子只要把这个USB插入受害者电脑上,然后让攻击脚本自动干坏事就行。

最有名的工具要数Hak5公司开发的Bash Bunny了。它包含两种攻击模式,一种适用于Windows系统,另一种适用于Mac系统,配置方法简单。

你要做的只是在目标电脑无人监管的情况下,走到这台电脑面前,插入设备,等几秒钟,然后拔出USB,带着它所窃取到的财富远走高飞吧。当然你也可以把这个工具插在主机后面、不容易被发现的位置,一直遗留在该受害电脑上,然后长时间地控制这台设备。

以上10类黑客攻击方法成功率非常高,希望本次盘点能够再次提高广大网名的信息安全、网络安全防护意识。

*本文投稿作者:Carrie_spinfo,经作者授权,转载自微信公众号“赛博朔方”(chinamssp)

1.png

创建网站备份应该是一个网站管理员最为重要的日常工作之一。但现实情况是,备份这一步往往被很多人忽略,也就是说仍然有很多网管的网站安全意识较低。

所有的Linux/Mac用户都能够零经济成本地通过命令行工具创建网站备份。如果你用的不是Linux/Mac,请关注我们的后续文章——如何在windows上通过软件方式创建备份。

本文的初衷不是为读者提供完整的备份解决方案,而是给那些有时间并且想要学习一些基础的命令行工具进行网站备份的宝宝们一点参考。

必要条件

你的主机必须具备必要的软件及证书。

服务器上的软件:

tar

电脑上的软件:

SSH(用于创建/删除备份文件)

SCP(用于下载备份文件)

Terminal(例如gnome-terminal,用于运行所有命令)

所需信息

服务器IP及SSH证书

数据库证书

网站根目录(以及你想在备份中加入或排除内容的目录)

数据库:MySQL、PostgreSQL或SQLite(如果你的网站使用其中一种)

备份创建的具体步骤

一旦将你的电脑与服务器相连接,你就可以快速地通过命令进行网站备份。

通过SSH连接服务器:

SSH是Secure Shell的简写,通常用于远程命令的执行。

2.gif

打开terminal,键入以下命令,通过SSH协议连入你的服务器:

ssh [email protected]

在terminal中连上服务器后,你键入的每一条命令都在你的服务器上执行。接下来,我们要在服务器上创建一个名为“backup(备份)”的新文件夹。只要不是公开的,你可以把这个文件夹放在任何地方。

如果你的web应用根目录为:/home/username/html,那么我们就能够顺利在 /home/username/中创建“backup(备份)”的文件夹。一旦备份传输到了电脑,就可以删除服务器上的备份记录。

如果你不知道自己的网站根目录,可以在cPanel账户中找到该信息:

3.png

上图中我们可以看到该网站的根目录是:/home/ma658tvk

在Linux/Mac操作系统中,你可以使用mkdir命令创建目录。例如:

mkdir -p /home/username/backup/{db,core,logs,conf}

该命令能够帮你在/home/username/中创建“backup”目录。

在该文件夹中,我们已经创建了4个子目录:dbcorelogs以及conf

注意mkdir命令中的-p符号,该符号表示:在某目录已经存在但仍然按需创建主目录的情况下不会报错。

将整个应用进行备份的工作非常关键,包括数据库转储文件、核心文件、插件以及媒体文件。如果你想更加细节化一些,还可以对服务器配置文件及日志进行备份。在执行取证分析时,备份数据就更是尤为重要了。

导出数据库

我之所以热衷于使用命令行工具是因为在进行数据库备份时都无需再用到其它附加工具。大多数的数据库引擎都具备命令行功能,只需要拿到数据库证书,整个过程简单粗暴高效。

4.gif

下面的命令将导出一个数据库转储文件并将其放在:/home/username/backup/db/

如果你的网站采用的是MySQL,可运行以下命令:

mysqldump -u [database_user] -p [database_name] > [/home/username/backup/db/yourdomain.sql]

若为PostgreSQL,则运行这个命令:

pg_dump -U [database_user] [database_name] > [/home/username/backup/db/yourdomain.sql]

这些命令会用到用户名密码。输入后(你的terminal中看不到这些字符)转储文件将存储在事先准备好的backup文件夹中。

如果网站用的是SQLite,那么你只需要复制该文件即可:

cp [/path/to/your/SQLite.db] [/home/username/backup/db/]

创建网站文件的Tar文件

现在我们要做的是压缩网站核心文件(为了方便起见)。在你的服务器上安装tar程序,并确定核心文件以及其它你想备份或不备份文件的具体位置。

我们再次假设你的网站存储在:/home/username/html。那么使用以下命令创建tar文件:

tar -cf /home/username/backup/core/core.tar /home/username/html

如果你想涵盖/home/username/html中的所有文件,那么上面这个命令就非常好用。但如果你不想包含全部呢?

假设你的网站架构如下:

html
├── cache
├── core
└── www
    ├── index.php
    └── media

如果我们压缩了整个目录,那么缓存(cache)文件夹也会被备份。而缓存文件完全没有必要备份,如果删除这部分内容,可以节省很多时间、节约带宽。但如果使用tar命令,我们可以通过-exclude这一标识将不需要备份的目录排除。下面我们在排除缓存目录的情况下对网站目录进行再次压缩:

tar --exclude='/home/username/html/cache' -cf /home/username/backup/core/core.tar /home/username/html

另外,名为core.tar的voilà – a .tar文件会存储在/home/username/backup/core/中。你也可以一直使用-exclude命令对你不需要备份的内容进行排除。

可选:对配置或日志文件进行备份

就个人经验来说,我已经多次受益于配置和日志文件的备份了。比如,我已经很多次忘记我的“httpd.conf”长啥样了,所以每次我都通过查电脑上的备份来解决这个难题。我是一个很懒的人,但请谅解——这个习惯常常能帮上大忙,日志文件也是。

配置文件和日志文件没有通用位置,但你可以在tar命令中添加多个位置。例如:

tar -cf /home/username/backup/conf/conf.tar \
/full/path/to/first_location \
/full/path/to/second_location \
/full/path/to/third_location

第一行末尾的“\”符号表示按“Enter”键时,terminal不执行命令,而表示该命令含多行的意思。最后一行命令末尾不含“\”字符,表示terminal可以执行命令。这样,你就可以创建一个包含你系统不同文件夹中的配置/日志文件的.tar文件了。

只要你在备份的服务器中安装了正确的软件,恢复配置文件只会让你对配置文件进行复制。如果要在生产服务器中恢复配置文件,但软件不同,恢复过程可能会发生很多错误。务必小心。

最终备份

5.gif

创建最终的tar文件

到这里,我们已经把/home/username/backup/文件夹下所需的文件都准备好了,现在我们只需要创建.tar文件并把它下载到我们自己的电脑上即可。虽然我们也可以在不压缩的情况下下载整个备份文件夹,但是我还是建议以单个压缩文件的方式下载(更加保险、安全)。

tar -cf /home/username/latest.backup.tar /home/username/backup/

该命令将创建一个名为“latest.backup.tar”的文件,包含所有的备份文件。在terminal中输入“exit”就能断开个人电脑与服务器的连接。

通过SCP下载文件

我们需要通过scp命令来下载latest.backup.tar这个文件:

scp [email protected]:/home/username/latest.backup.tar /home/username/backups/domainname/backup_$(date +%Y%m%d_%H%M%S).tar

该命令的作用就是从服务器上抓取该.tar文件,并将它下载到你电脑上“ /home/username/backups/domainname/”的文件夹,然后根据标准日期命令对该文件夹进行重命名(如backup_20170730_142422)。

从服务器中删除备份

现在网站备份已经安全地躺在你的电脑里了,我们也就可以放心地删除服务器上的备份记录了。

首先,通过SSH重新登录服务器,运行以下命令:

rm /home/username/latest.backup.tar
rm -rfi /home/username/backup/

上面第一个命令的作用是删除服务器上最后的tar文件,第二个命令用于帮助你从服务器递归地删除备份文件夹。

警告!务必确保文件和文件夹路径的准确性,因为要想恢复通过命令行删除的东西非常困难,而且恢复难度也会随着时间的增加而增加。一旦某文件被删除,该文件的所有链接均被破坏,操作系统也会随时释放该文件所使用的的区块。再次声明:务必确认使用的路径是正确的。

一旦你删除了备份文件,就可以通过输入exit退出服务器。

结论

整个网站备份过程完美完成!这不是一个完整的解决方案,但我想这是学习信息安全领域中备份技术的一个良好开端。

*参考来源:blog.sucuri.net,FB小编Carrie编译,转载请注明来自FreeBuf.COM

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

工具简介

GRASSMARLIN是一款由美国国家安全局开发的,能够帮助运维工程师在IP网络上发现并编目监控和数据采集系统(SCADA)和工业控制系统(ICS)主机的开源软件工具,也被称为被动网络映射器。

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

其数据源十分多样化,包括PCAP文件、路由器和交换机配置文件、CAM表以及实时网络数据包的捕获。该工具能够自动识别可用网络,生成网络拓扑,实现主机间通信的可视化,还能够展示从主机通信中所提取的元数据。

像nmap、plcscan这些主动映射工具会通过网络发送数据包并进行分析,最终得出一个存在可能性的结论。但GRASSMARLIN并非这样的分析工具,它只是被动地对工业设备进行映射,帮助系统管理员、审计员或其它人员完成深度分析的工作。其功能重点不在于如何从海量数据得出某个结论,而是通过梳理这些数据,帮助工作人员作出正确率更高的决策。

支持系统

GRASSMARLIN适用于以下系统:

Microsoft Windows(64位的Win7、8、10)

Fedora(23)、Ubuntu(14.04、15.10以及SecurityOnion)

Kali2.0

CentOS(6、7)

Debian(8)

当然它也有适用于其它系统的版本,如32位的Windows系统。虽然软件开发人员也在这些环境中进行了测试,但是在没有附加配置的情况下,他们无法保证这个工具能够正常运行。在其它这些平台上运行GRASSMARLIN可能会导致性能下降或造成安装后需重新配置等问题。

工作原理详解

被动检测

因其检测方式被动,GRASSMARLIN不会在网络上产生任何流量。它只和传统的数据包分析器一样,嗅探网络上的流量。这也意味着GRASSMARLIN只能分析实际在其主机上嗅探到的流量。

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

GRASSMARLIN的可视范围

逻辑视图能够在实时流量捕获时获得,或者通过捕获文件(PCAP文件)获取。和逻辑视图类似,物理视图也通过Cisco路由器的日志被动地生成。

逻辑视图

该视图下的网络拓扑图如下:

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

带有两台西门子PLC的逻辑视图

该拓扑是通过使用工业通信协议S7Comm的2个工业设备的数据包捕获而生成。那些PCAP文件可以从https://wiki.wireshark.org/S7comm下载。

上面主图(上图右侧)展示了网络上的设备、设备间的通信、子网、通过IP地址识别的每台设备情况。

另外利用整合的数字签名,GRASSMARLIN能够识别工业设备及设备所使用的协议:

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

GRASSMARLIN提供的逻辑视图详情

上图这种情况下所使用的协议是S7Comm。另外设备作用也较详细:主机(人机界面——HMI,又称用户界面)负责提供命令,从机(可编程逻辑控制器——PLC)负责执行这些命令。ICS管理员还能获知有助于定位设备的厂商名称。如果IP地址是公开的(当然这里我们不讨论这种情况),则可以通过各国国旗确定具体国家。

所有这些信息都是在捕获的数据包和GRASSMARLIN签名之间进行对比后产生的。因此,用户可以根据1至5的信任度属性对现状的可信度作出自己的判断。

GRASSMARLIN也能够隔离与特定设备相关的通信,并进行第一次分析:数据包大小、发包时间、数据包来源(如果使用多个PCAP文件):

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

GRASSMARLIN提供的分析数据

协议签名

GRASSMARLIN还含有签名或指纹功能,可识别逻辑视图中使用的协议。每个签名由两种元素组成:

1. 过滤器元素:描述要检测的元素

2. Payload(有效负载)元素:向用户返回信息

一个签名可以由多个过滤器组成;一个payload(有效负载)对应一个过滤器:

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

MODBUS签名示例

过滤器基本上能够描述OSI模型的第2层到第4层的协议属性。下表是所有可用的过滤器:

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

可用过滤器

有效载荷旨在通过从数据包中提取一些字节等方式向用户提供更多信息。

当前版本的GRASSMARLIN(v3)有54个立即可用的指纹,涵盖大多数工业协议。该工具最近已经开放源代码(01/28/16),随着时间的推移,其签名数量可能会增加,准确性也会提高。

签名是以XML格式进行编辑的,但是GRASSMARLIN提出了一种图形工具——FingerPrint Editor,有助于创建签名:

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

Fingerprint Editor(指纹编辑器):用于编辑签名的图形工具

物理视图

该视图展现的是设备之间存在的物理链路:

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

物理视图

该视图的关注点在于网络方面,展现了工业设备和网络设备之间的物理连接。GRASSMARLIN的V3版本仅支持Cisco路由器,并从3个命令的输出生成物理视图:

“show running-config”

“show ip arp”(OU)“show mac address-table”

“show interfaces”

只要这些命令的输出以简单文本文件的形式保存,GRASSMARLIN就可以生成物理视图。

数据导出

GRASSMARLIN导出的数据包括3种格式:

1. 以PNG格式导出的视图。

2. 以XML格式导出的数据:

保存逻辑视图中所有树状图的数据;

GRASSMARLIN将该数据作为会话数据。

3. 存档数据的导出;包括:XML格式的数据和实时捕获所生成的PCAP文件。

基准测试

我们在Solucom的某个ICS模型上进行了测试,将GRASSMARLIN应用于实际环境中。

测试环境介绍

ICS模型模拟一个railway switch,由以下部分组成:

1台西门子HIM;

1台西门子PLC;

2台施耐德PLC;

1台交换机(switch)。

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

ISC测试模型

安装了GRASSMLARIN的工作站直接连接到交换机上的镜像端口,访问ICS模型上的整个通信过程。由于该模型没有Cisco设备,所以我们只测试了逻辑视图。

测试

经过实时的数据捕获,GRASSMARLIN将生成以下这个视图:

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

测试台的逻辑视图

经过(手动)重组后的视图:

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

重组后的逻辑视图

通讯被拦截后,设备信息会快速显示在图中。上图中可以看出GRASSMARLIN已正确识别所有设备,并正确给出了每台设备所使用的协议。另外,其输出的XML文件也很好地生成了GRASSMARLIN所提取的所有信息,实现未来的重复利用:

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

输出的XML文件

但是在整个过程中,我们也看到了GRASSMARLIN的一些弊端:

1. 签名不一致

若某设备匹配多个签名,GRASSMARLIN只会选择其中一个。这个可能是HMI的问题,因为HMI利用不同的通信协议与多个PLC进行交互。

2. 有些数字签名信息不完整

大多数数字签名在其payload上都有描述字段,用来描述已识别的设备。如果这些字段是空白的或信息不充分的,那么识别工业设备可能也会变得更加复杂。

3. 分析功能有限

GRASSMARLIN仅提供通信分析的第一个元素,如数据包的大小、接收时间。改进此功能的一个可能的方法是添加例如HIM和PLC之间的通信模式识别。

结论

目前市场上已经有很多类似的被动检测式的工具。但是GRASSMARLIN是一个历史上不可多得的专注于工业控制领域的开源工具。

比如说,一款名为NetworkMiner的工具能够利用nmap、p0f和Ettercap等著名工具的签名来获取网络拓扑。但NetworkMiner没有任何可开箱即用的工业签名,因此其准确性也远不如GRASSMARLIN。

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

2个西门子PLC下NetworkMiner的输出

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

其它示例——带有2个西门子PLC的p0f的输出

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

带有2个西门子PLC的GRASSMARLIN的输出

可以仔细观察一下输出结果:没有对比就没有伤害。

界面介绍

载入GRASSMARLIN后会自动打开一个新的不显示任何数据的会话框。GRASSMARLIN会自动加载插件,对GeoIP数据库执行完整性检查,加载指纹并执行其他初始化任务。

NSA开发的ICSSCADA态势感知开源工具Grassmarlin(附下载地址)

窗口右侧的主显示屏中含多个选项卡。每个会话均包含了至少一个逻辑视图(列出所有设备及设备间通信)、物理视图(列出工业设备和网络设备之间的物理链路)和Sniffles(也称为网格图)的一个选项卡。每个选项卡中的内容都实现了可视化。

窗口左侧被分为两部分。下半部分含消息日志,显示有关该应用程序活动的状态更新、警告、错误等信息。上半部分是对当前可视化内容镜像的树状图。截图中显示当前无可视化内容,因此也没有镜像的树状图。更改选项卡就会改变树状图和“可视化”中显示的内容。文末的用户手册文档中详细讨论了不同的可视化内容。

消息日志的下方是内存指示器,由内存使用量(左边数字)、总可用内存(右边数字)以及内存使用所占百分比的进度条构成。

主窗口上方是主菜单和工具栏。工具栏左侧的三个图标从左到右依次为导入、加载会话和保存会话。在工具栏的右侧是一个组合框,用于选择Live PCAP设备以及启动和停止Live PCAP。除了主窗口之外,后台还会打开包含诊断和调试数据的控制台窗口。

文末福利 

工具下载链接:

https://github.com/iadgov/grassmarlin

英文版用户手册:

https://github.com/iadgov/GRASSMARLIN/blob/master/GRASSMARLIN%20User%20Guide.pdf

 *本文投稿作者:Carrie_spinfo,经作者授权,转载自微信公众号“赛博朔方”(chinamssp)