*漏洞已经被修复,本文主要用于学习和讨论。

抖音海外版TikTok作为一款成功冲出国门,走到全球的现象级产品,2019年它在全球APP下载量排名第三,在成功的同时,这也引来了繁华势力的眼红,美国海军、陆军纷纷表示不得安装该应用。美国党派参议员指责TikTok“威胁国家安全”,可能被用来“监视美国公民”。

但TikTok方面表示,其所有的用户数据完全位于中国境外,美国用户数据被储存在美国本土,并在新加坡进行备份。此外,该公司有一个专门的技术团队负责数据隐私和网络安全等问题。

而实际上,美国国防部12月16日发布的、关于“网络敏感性”的通知。其中声称,使用TikTok存在“潜在的安全隐患”,并要求所有国防部雇员“警惕下载的应用程序,检查手机上是否有反常或者来路不明的短信,并立即删除他们,卸载TikTok以避免任何个人信息的泄露”。

配合近日发布的关于TikTok的漏洞报告,也许可以观测到,到底TikTok具有什么安全漏洞。

本报告由以色列网络安全公司Check Point安全研究人员分析撰写。

漏洞介绍视频↓

技术细节

一、短信链接篡改实施诈骗

在TikTok的主要网站:www.tiktok.com上,有一项功能可以让用户向自己发送SMS短信以下载该应用程序,这也就造成了,TikTok可以将SMS短信发送到任何电话号码。

1.png

希望向受害者发送SMS消息的攻击者可以使用代理工具(例如Burp Suite)捕获HTTP请求。该手机参数中,短信将发送到与电话号码DOWNLOAD_URL参数是会出现在SMS短信中的下载链接:

2.png

正常发送的短信:

3.jpg

那么,只要更改download_url参数,那么将导致发送已经伪造后的SMS消息,其中包含攻击者选择插入的恶意链接。

以下屏幕截图演示了包含恶意链接的欺骗性SMS消息。使用以下链接attacker.com进行插入

4.png

包含https://attacker.com链接的诈骗短信,但仍然来自官方的发信号。

二、应用层链接跳转

在Android手机上对TikTok应用程序进行逆向时发现它具有指定URL scheme的功能,可以通过浏览器在TikTok应用程序中调跳转到其他链接。

下图为TikTok APP监听的目标是”https://m.tiktok.com“schema和”musically://”自定义schema:

6.png

关于安卓schema可以看下图,然后就很好理解了。

图片1.png

结合上面第一个SMS链接欺骗漏洞,攻击者可以发送包含上述schema的自定义链接。由于自定义链接将包含“ url ”参数,因此当APP打开一个Web视图(浏览器)窗口,并从APP转到通过该参数编写的网页时候,这时任何请求将与用户的cookie一起发送

例如当点击这个链接后

7.jpg

如代码所示,图中便是触发链接后将开始解析的代码,Tiktok将打开一个Web视图(浏览器)窗口,并转到http://10.10.10.113:8000 ,即由攻击者控制的Web服务器,从而使攻击者有可能代表用户发送请求。

8.jpg

三、使用域正则表达式绕过检测,重定向恶意网站

当受害者发送恶意链接,从而导致将受害者重定向到恶意网站。重定向打开了无需用户同意即可完成跨站点脚本(XSS),跨站点请求伪造(CSRF)和敏感数据暴露攻击的可能性。

当攻击者发送源自Tiktok的域的合法登录链接时,就会发生重定向:

https://login.tiktok.com

登录请求可以包含HTTP GET参数redirect_url,该示例是登录请求的示例,该登录请求将在成功登录尝试后重定向用户-

https://login.tiktok.com/?redirect_url=https://www.tiktok.com

redirection参数将根据以下验证正则表达式将受害者重定向到tiktok的域网页(仅限客户端):

9.png10.png

由于验证正则表达式未正确验证redirect_url参数的值,通过tiktok.com可以重定向到任何内容。

出于演示目的,攻击者可以将用户重定向到http://www.attacker-tiktok.com网站,并如上所述进行进一步的攻击。

11.png

四、跨站脚本(XSS)

图片2.png12.png

攻击者试图将JavaScript代码注入q参数(注入的值是URL编码的)。

为了演示的目的,我们弹出了一个警告窗口,内容为“ xss”:

https://ads.tiktok.com/help/search?q=%22%3Cscript%20src%20%3Djavascript%3Aalert%28%29%3E

13.png

攻击者接管:代表用户执行操作

五、跨站请求伪造(CSRF)

在这一点上,有两个不同的流程,一可以代表单击攻击者发送的链接到任何受害者(如SMS链接欺骗中所述),从而执行JavaScript代码,二,可以通过XSS和开放重定向(将用户重定向到将执行的恶意网站) JavaScript代码并使用受害者的Cookie向Tiktok发送请求)。

从这可以看出checkpoint的研究员是将这几个漏洞结合利用的方法进行了说明。

由于缺乏反跨站点请求伪造机制,因此,无需受害者的同意,就可以执行JavaScript代码并代表受害者执行操作。

六、删除影片

可以通过HTTP GET请求删除视频,网址为

https://api-t.tiktok.com/aweme/v1/aweme/delete/?aweme_id=video_id

使用如上所述的JavaScript执行,可以发送HTTP GET请求以及攻击者希望删除的视频的所需aweme_id(视频ID)。

以下屏幕截图演示了视频ID 6755373615039991045的请求删除:

14.png

网络服务器响应指示视频已成功删除:

15.png

七、在其他人的账户上创建影片

为了在受害者的供稿上创建视频,攻击者首先必须发送一个请求,在其自己的供稿上创建视频。视频创建请求会生成一个新的视频ID。此时,攻击者将复制视频创建请求并将其丢弃。

其次,攻击者使用如上所述的JavaScript执行,发布他复制的视频创建请求,并代表受害者发送HTTP POST请求。

以下屏幕截图演示了在受害者的供稿上创建视频的请求:

16.png

服务器响应指示视频已成功创建:

17.png

八、让受害者关注其他人

希望成为受害者帐户追随者的攻击者向受害者发送请求,并且受害者必须批准该请求。

为了批准跟随者的请求,攻击者使用上述JavaScript执行方法,并代表受害者发送批准请求。

发送批准请求和HTTP POST请求到以下路径:

https://api-m.tiktok.com/aweme/v1/commit/follow/request/approve

POST请求具有一个参数from_user_id,其中包含希望成为关注者的用户ID。

攻击者将from_user_id参数的值更改为自己的ID,并将请求发送到TikToks的服务器:

18.png

就这样,攻击者成为受害者的粉丝:

19.png

九、将私人视频更改为公共视频

为了将视频从私有模式更改为公共模式,攻击者必须检索视频ID。

如上所述,当攻击者是受害者的追随者时,可以检索视频ID。

一旦攻击者获得了私人视频的视频ID,他/她就可以通过代表用户发送HTTP GET请求(使用上述JavaScript执行)来更改视频隐私设置:

https://api-m.tiktok.com/aweme/v1/aweme/modify/visibility/?aweme_id=video_id&type=1&aid=1233&mcc_mnc=42503

请注意,使用“ type = 1 ”时,请求的视频将变为公共模式,而“ type = 2 ”将导致视频变为私有。

以下屏幕截图演示了将视频ID 6755813399445261573从私有模式更改为公共模式的HTTP GET请求:

20.png

服务器响应表明该视频已公开:

21.png

十、敏感数据暴露

随着研究的继续,安全研究员了解到可以使用XSS或提到的其他方法执行JavaScript代码来检索敏感信息。他们在https://api-t.tiktok.com

https://api-m.tiktok.com子域中找到了几个API调用。

向上述API发出请求将揭示有关用户的敏感信息,包括电子邮件地址,付款信息,生日等。

在尝试使用上面编写的JavaScript执行漏洞时,他们遇到了一个问题:跨源资源共享(CORS)机制和同源策略(SOP)安全限制。

看来,API子域将仅允许某些来源发出请求(例如:www.tiktok.com)。例如,以下屏幕截图演示了源自https://cpr.checkpoint.com的API请求:

22.png

由于安全限制,响应被阻止:

23.png

因此必须以某种方式绕过CORS和SOP安全机制,以检索在那里存在的所有敏感信息。

紧接着,他们发现Tiktok实现了一个非常规的JSONP回调,该回调提供了一种从API服务器请求数据的方法,而没有CORS和SOP限制!

绕过那些安全机制,他们可以通过触发JSONP回调的AJAX请求来窃取受害者的所有敏感信息,从而使JavaScript函数包装JSON数据。

下面的屏幕快照演示了一个AJAX请求,以检索与受害者钱包有关的所有敏感信息。该请求包含回调参数,其值是将要执行的JavaScript函数(myCallBackMethod):

24.png

下一个屏幕截图演示了包含从API检索到的所有敏感信息的数据。敏感数据会被渗透,并可以发送到攻击者的服务器:

25.png

26.png

完毕。

此外,研究人员私底下透露称,如果将多个漏洞结合在一起使用,将可以使他们远程执行恶意代码,并在未经受害者同意的情况下代表受害者执行有害的操作。

TikTok既然已经修复漏洞,那自然是好事一桩,希望其能越来越安全,从而让”审查方”无话可说,从而发展越来越快,超越Facebook指日可待。

然而,原本应用程序存在漏洞是一件很正常的事,毕竟代码都是人写的,及时修补没有造成重大损失便是万幸。但是近年来,基于政治原因,很多安全漏洞的问题逐渐上升到了人权、国家对抗等等敏感的层面,无论是西方,还是内部,都开始出现一些相关报道,用漏洞新闻来讽刺对手系统的脆弱性,从而营造出一种,这个系统不安全,他们要监控你的氛围,长期以此,将会是一个恶循环。

曾经安全没有国界,自从有了第一个实施网络战的国家,国界就开始了。

原文链接:

https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/

*本文作者:黑鸟,转载请注明来自FreeBuf.COM

曾经有一本书《怎样打飞机》:

image.png

开创了步枪击落飞机的教育先河,14发子弹击落美军战斗机,堪称牛逼。

而如今,各国都开始使用另一种飞机进行敌情侦察,此时,除了使用此前提到过的↓ 激光干扰或无线信号干扰法之外的针对蓝牙连接的无人机外,

现在问世了一种专门针对Wifi连接的无人机的攻击框架。

废话说到这,下面是正文时间。

正文

安全研究人员正在为无人机黑客量身定制一个类似Metasploit的框架。

image.png

该工具的开发者Alexandre D’Hondt和Yannick Pasquazzo在12月5日在伦敦举行的黑帽欧洲会议Blackhat arsenal阿森纳会议上公开了该框架DroneSploit的进展。

image.png

从PPT来看,他们面向的都是使用Wifi进行连接的无人机,比如手机热点。

image.png

image.png

其中包括一组模块(基于Aircrack-NG),这些模块使用户可以侵入配置错误的无人机。

如下图所示:

image.png

image.png

DroneSploit当前支持C-me和Flitt无人机(Hobbico)的模块。其他品牌和型号(包括Parrot和DJI)的新模块正在开发中,并将在不久后添加,大疆厂商要注意啦。

image.png

而他们的最终目标是在尽可能多的无人机模型上收集尽可能多的攻击模块。

image.png

要知道,在Python中创建用于设计类似Metasploit的框架的工具包的底层无疑是该项目中最费力的工作,但最终导致了Sploitkit的发展。

因此他们是基于Sploitkit进行的开发,也就是python版的Metasploit

image.png

https://github.com/dhondta/sploitkit

研究人员说,有了这个软件包,可以很容易地基于社区的分析和研究人员获得的用于测试的无人机为DroneSploit构建新的命令和模块。

2.png

两位开发人员希望鼓励对编程和无人机黑客感兴趣的其他专家为该项目的进一步发展做出贡献,他们认为,IoT安全研究界非常需要这些

目前市场上最受欢迎的两个无人机品牌DJI和Parrot,虽然有很多开源黑客项目,但它仍然缺乏收集和自动化流程的平台,这也是他们开发这个平台的原因。

两位研究人员还愿意在项目的持续开发中与无人机制造商合作。

“不幸的是,我们在该项目开始时就可以进行 渗透测试的无人机是Flitt和C-me,它们都是由去年破产的Hobicco制造的,” Pasquazzo说。

“互联网上关于这些模型的信息很少,因此我们从零开始,对该产品进行了重新设计,以发现我们的漏洞,因此无法联系Hobicco提出任何安全补丁。”

他补充说他们买了DJI生产的Tello,该社区拥有更大的社区和一些可利用的漏洞。

大疆,打钱!漏洞即将发到你们邮箱了!

3.jpg

开发不易,虽然不认识这两小哥,但黑鸟还是帮他们打了个星星支持了一下,有研究人机或者IOT安全的老哥可以用起来了。

工程下载链接:

https://github.com/dhondta/dronesploit

PPT下载链接,教程方法都写在里面了

https://github.com/dhondta/dronesploit/blob/master/docs/blackhat-eu19-arsenal.pdf

本文作者:黑鸟,转载请注明来自FreeBuf

*本文原创作者:黑鸟,本文属于FreeBuf原创奖励计划,未经许可禁止转载

WordPress主题供应商Pipdig被发现利用客户的服务器对竞争对手的网站发动DDoS攻击。安全研究人员jem分析了他们的代码后,找到了实锤进行了DDoS攻击的证据。

然而Pipdig官方博客居然发表了一份声明称,其并没有发动DDoS攻击,声称代码是用来检查主题的许可密钥。并且它还迅速从其bitbucket库里删除了证据,然而证据已经永世留存,且广大网友和Wordfence公司给出了打脸证据。

图片 1.png

下面为针对本次事件的分析过程。

事前分析

事件起因在于某位用户与安全分析人员Jem进行接触,称她的网站运行了一个她从WordPress主题提供商处购买的主题,表现得很奇怪:网站变得越来越慢。

经过分析人员的研究了pipdig Power Pack插件的源代码后,发现了pipdig以下行为:

1.正在使用其他博主的服务器对竞争对手执行DDoS;

2.正在操纵博主的内容,以更改指向竞争对手WordPress迁移服务的链接,以指向pipdig网站;

3.未经许可从博客网站收集数据,直接违反GDPR的各个部分;

4.正在使用收集的数据,通过更改管理员密码来访问博主的网站;

5.包含一个“kill switch”,它会删除所有数据库表;

6.在未经许可的情况下,故意禁用pipdig认为不必要的其他插件;

7.将管理通知和元框隐藏在WordPress core和仪表板中的其他插件中,这些插件可能包含重要信息。

下面将逐条进行代码分析。

pipdig p3插件对竞争对手执行DDoS攻击

在/p3/inc/cron.php中,我们将以下代码块嵌套在WP Cron每小时运行一次的函数中:

image.png

代码注释告诉我们这是“检查CDN(内容传送网络)缓存”。

然而这是在pipdigz.co.uk上的一个文件(id39dqm3c0_license_h.txt)上执行GET请求,该文件昨天早上在响应正文中返回了“https://kotrynabassdesign.com/wp-admin/admin-ajax.php”。

当响应主体不为空时,即当它包含该URL时,以下代码使用伪造的用户代理向响应中的admin-ajax.php URL发送第二个GET请求:

image.png

所以,每天一个小时,没有任何人工干预,任何运行pipdig插件的博主都会向伪造的用户代理发送请求到’https://kotrynabassdesign.com/wp-admin/admin-ajax.php‘ 并附加一个随机数字符串。

这有效地在kotrynabassdesign.com的服务器上执行小规模DDoS(分布式拒绝服务)。

Kotrynabassdesign是一个和pipdig类似的wordpress主题提供商:

图片 1.png

我和Kotryna谈到了这些要求,以排除与pipdig的某种共同安排,她说:

在分析人员为了和Kotryna联系以排除是否和pipdig有合作之后,负责人说了下面的话:

“我的网络主机实际上遇到了很大麻烦,他们解释说我的admin-ajax.php文件受到了某种攻击[...]我可以确认我从来没有给过pipdig任何向我的服务器发出请求的权限。我也没有与他们建立伙伴关系或任何形式的联系。”

下图为详细对话,其中提及了有大量不同的IP访问了他们的网站。

图片 1.png

请注意她的服务器日志文件中的引号,特别是pipdig插件中记录的确切用户代理字符串(’Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML,如Gecko)Chrome / 60.0.3112.113 Safari /537.36′)和admin-ajax.php的请求,和上面代码中提及的使用请求PHP的随机生成的编号字符串。

这个DDoSing的唯一例外是pipdig自己托管的客户 – 因为每小时cron首先运行此检查:

image.png

大概是为了不减慢pipdig服务器的速度,并防止客户举报。

在Once Daily cron中还有第二个与此相同的请求,尽管目前还没发获取响应正文中的URL

image.png

不知道这个txt指向的又是那家公司呢?

pipdig操纵博客内容的链接,替换竞争对手的网址

在/p3/inc/functions.php中,307行以后:

image.png

在这里,我们有pipdig的插件搜索提及“ blogerize.com ”的字符串,字符串分为两部分并重新加入。

当插件在博客的内容(帖子,页面)中找到指向blogerize.com的链接时,它们会被转换为“pipdig.co/shop/blogger-to-wordpress-migration/”的链接,即pipdig自己的博客迁移服务。

交换这些链接可以提高对pipdig的SEO好处,并且绝大多数博客都不会注意到切换器(特别是如果页面/帖子被编辑,blogerize的链接将像正常一样出现在后端)。

pipdig收集数据和更改管理员密码(留后门)

/p3/inc/cron.php中:

image.png

image.png

这里的代码注释告诉我们这段代码将“检查要添加到导航栏等的新社交渠道”。

然而,此代码会在https://pipdigz.co.uk/p3/socialz.txt上执行GET请求,该请求需要响应中的电子邮件地址。

当在GET请求正文中“收到”电子邮件地址时,该函数会检查Users表中是否存在该电子邮件地址,对其运行自己的“p3_check_social_links”函数,然后使用它来记录站点URL(包含在$ me中)在https://pipdigz.co.uk/p3/socialz.php的一个脚本。

p3_check_social_links()是/p3/inc/functions.php第195行中函数的包装器,它将用户密码更改为’p3_safe_styles’。

简单来说:当cron运行时,它会检查socialz.txt中的电子邮件地址。如果该电子邮件地址存在,它会将密码更改为该帐户,并将您的URL记录在socialz.php中,以允许访问任何有权访问该文件的人。

如果您的管理员电子邮件地址是由socialz.txt返回的,那么您将被从管理员帐户中删除。一位博主认为,这可以用来为pipdig用户提供博客支持。虽然这是可行的情况,但由于以下任何原因,这是一种完全令人讨厌的方式:

1.它是一个可以随时激活的后门(不仅仅是在需要支持时)。

2.我们不知道谁可以访问这些数据:大公司不能保密用户密码,我们为什么要信任pipdig?有一些方法和手段可以支持WordPress用户而无需重置密码。

3.这可能很容易被恶意手段劫持。

4.密码就是明文; 我可以监控socialz.txt文件以获得响应,并通过一些谷歌搜索轻松找到相应的博客到电子邮件地址并使用不安全的密码获取访问权限。

而cron.php种下面有一个函数是用来收集另一个竞争对手lyricalhost.com的客户URL列表:

image.pngimage.png

同样,该网站的域名做了分割处理。

pipdig包含一个擦除博客的kill开关

在/p3/inc/cron.php中有以下内容:

image.png

此代码在“https://pipdigz.co.uk/p3/id39dqm3c0.txt”上执行GET请求。如果它返回与您的博客URL匹配的博客URL,它将查找具有WordPress前缀的所有的表并逐个删除它们。

换句话说,如果您的网站位于他的杀戮名单上,您可以与每个帖子,页面,插件/常规设置,小部件内容,主题自定义,任何表单数据或其他内容亲吻然后说再见。

你最后一次完整备份你的WordPress数据库是什么时候?

pipdig禁用它认为不必要的插件

这里非常粗暴,在插件激活后的/p3/p3.php中,插件会停用一大堆插件而不会询问:

image.png

image.png

再往下,另一堆被停用,但这次是在admin_init上,每次加载后端面板时都会运行,这样就可以在运行pipdig的插件时重新启用它们:

image.png

这已经是涉及基本道德问题了。

若有同学还想再次复现代码分析场景,可以下载下面这个压缩包。

https://www.jemjabella.co.uk/wp-content/uploads/2019/03/p3_v4.7.3.zip

因为pipdig正在使用第三方更新程序而不是通过WordPress分发他的插件/主题,所以他可以在任何时候重新实现已经删除的代码,更糟糕的是,其可以推送更新。

如果您受此影响,即您有一个pipdig主题/插件,特别是如果您运行的是4.7.3或更早版本的p3 power pack,我建议您执行以下步骤:

1.备份您的WordPress文件和数据库;

2.激活备用主题;

3.取消激活并删除p3 power pack插件及其捆绑的任何补充插件;

4.检查您无法识别的任何用户并将其删除;

5.重置您的管理员密码;

6.安装WP Crontrol或类似的cron管理插件,并删除任何名为p3_的cron作业;

7.再次备份WordPress文件和数据库。

事后分析

上述便是涉及的关键恶意代码的分析,下面将是在事件爆发的后续发展。

开头的Pipdig的官方回应(https://www.pipdig.co/blog/sad-times/),在这篇代码分析中来看,简直不堪一击,理由苍白。单一条,你为什么连人网站,你就已经解释不清了。 

图片 1.png

他是这么回应的:

我们现在正在研究为什么这个函数返回这个url。但是,它似乎表明某些“作者URL”已设置为“kotrynabassdesign.com”。我们目前不知道为什么会这样,或者网站所有者是否故意改变了这种情况。

我们不知道,不要怪我,我不清楚,我甩锅给天! 

图片 1.png

然后,看见这些毫无诚意的声明的twitter网友以及wordfence彻底怒了,毕竟使用Pipdig的用户还是很多的,因此开始更进一步的扒皮和打脸,包括什么时候上传,什么时候删库,什么时候修改代码,都一一列举了出来。

由于篇幅原因,感兴趣的同学请直接跳转该网站继续围观,毕竟这文章也一个很好的取证教学。

https://www.wordfence.com/blog/2019/04/pipdig-update-dishonest-denials-erased-evidence-and-ongoing-offenses/ 

图片 1.png

而在这篇文章中还有一个关键证据,这个证据表明了,Pigdig不仅将使用了他们插件pipdig Power Pack的用户用于ddos攻击,而且还将调用了他们的一些Blogger主题的JS代码的网站同样用于ddos攻击,关键证据分析如下。

在调查过程中,还发现了一些与他们的Blogger主题相关的可疑代码。此代码是Pipdig针对其竞争对手的可疑DDoS活动的一部分,并且在Pipdig否认任何此类行为四天之后一直有效,直到4月1日。

Pipdig的一些Blogger主题已被确认为对Pipdig的服务器进行外部JavaScript调用,特别是对脚本 hXXps://pipdigz[.]co[.]uk/js/zeplin1.js 调用:

图片 1.png

上图显示了使用Pipdig的Blogger主题之一在网站的实时源中调用zeplin1.js。

该文件包含两行混淆的JavaScript代码。

图片 1.png

当代码的第二行被反混淆并且可读时,可以得到以下内容:

图片 1.png

从上述代码可以看出,其会设置实际目标地址值:

hXXps://nullrefer[.]com/?hXXps://www.{competitor's domain}[.]com/{random endpoint}

NullRefer是一种服务,用于从请求中去除引用者数据到路径中的第二个链接。这意味着,Pipdig使用NullRefer隐藏请求的实际源页面到竞争对手的网站。这是可以理解的,因为所有这些引用都是运行Pipdig主题的网站。

每当访问者使用此脚本从Pipdig到达运行Blogger主题的任何站点时,他们的浏览器都会向其竞争对手的站点发出额外请求。此请求隐藏它来自的位置,在竞争对手的服务器上命中一个字面上随机的文件,并且对数据不执行任何操作。此行为不仅隐藏在这些网站的访问者中,也隐藏在这些网站的所有者中。

为了隐藏上述证据,Pipdig已经做出了额外的努力来隐藏这种行为的证据” zeplin1.js” 。

4月1日,Pipdig在他们的服务器上删除了该脚本的第二行。幸运的是webarchive上证据都存着。

图片 1.png

这个脚本的编辑在接下来的几周里来了。有时,代码被删除了。而在一些时候,一个不同的竞争对手的域名出现了。

然而,最近报道的竞争对手的域名被添加的最近时间表明Pipdig 即使在被曝光后仍然存在可疑行为 。

3月13日,存在可疑的DDoS代码。

http://web.archive.org/web/20190313140004/https://pipdigz.co.uk/js/zeplin1.js

请注意,此快照的目标与常见报告的竞争对手不同。

3月31日,代码不存在。

http://web.archive.org/web/20190330081856/https://pipdigz.co.uk/js/zeplin1.js

4月1日,代码WAS出现。

http://web.archive.org/web/20190401162700/https://pipdigz.co.uk/js/zeplin1.js

在4月1日的后续快照中,代码已被删除。

http://web.archive.org/web/20190401185426/https://pipdigz.co.uk/js/zeplin1.js

如果Pipdig也取消了这些证据,目前已通过其他受信任的第三方制作了此代码的其他可验证副本。

而在4月2日,在此次更新时,Pipdig仍在托管滥用客户访问者的JavaScript。 

图片 1.png

该文件hXXps://pipdigz[.]co[.]uk/js/jquery.menu.min.js目前正在托管类似的混淆JavaScript,它正在针对他们的另一个竞争对手发出可疑的DDoS攻击。

存档:

https://web.archive.org/web/20190402173508/https://pipdigz.co.uk/js/jquery.menu.min.js

可谓是屡教不改的经典模范了。

总结

所以不管是开源的还是付费的软件,我们都得小心谨慎。流氓到处都有,发现异常请及时排查举报,避免更多人受害。

更多详情请看参考链接:

[1] https://www.jemjabella.co.uk/2019/security-alert-pipdig-insecure-ddosing-competitors/

[2] https://www.jemjabella.co.uk/2019/pipdig-your-questions-answered/

[3] https://www.wordfence.com/blog/2019/03/peculiar-php-present-in-popular-pipdig-power-pack-plugin/

[4] https://www.wordfence.com/blog/2019/04/pipdig-update-dishonest-denials-erased-evidence-and-ongoing-offenses/

[5] https://www.pipdig.co/blog/sad-times/

*本文原创作者:黑鸟,本文属于FreeBuf原创奖励计划,未经许可禁止转载

被曝光公司为杭州SW科技,利用该公司的SDK进行信息窃取!

由中国IT和服务巨头杭州某科技控制的服务器通过数据窃取组件,来收集电话联系人列表,地理位置和QQ登录信息,该组件存在于第三方商店提供的多达12个Android应用程序中

窃取信息的代码隐藏在集成到看似安全的应用程序中的数据分析软件开发工具包(SDK)中,并在手机重新启动或受感染的应用程序启动时提供详细信息

checkpoint披露了这一起大规模的数据窃取活动,并命名为Operation Sheep.

Checkpoint研究人员认为,收集最终用户的联系人列表的行为,开发者是不知道的,因为SDK是该公司提供。

image.png大多数相关应用程序都可以从应用程序商店安装,如腾讯应用宝,豌豆荚,华为和小米的应用商店。

受感染的应用程序已下载至少1.11亿次。一些开发人员似乎与sw科技有关,因为他们的应用程序仅在公司网站上发布。

开发人员涉及

杭州赛众信息技术有限公司

杭州汇茂科技有限公司

杭州浮云网络科技有限公司(已修复)

杭州鸿大网络发展股份有限公司

被这种命名为SWAnalytics的恶意SDK感染的APP

image.png

为保证原文的通读性,直接发放链接,点击原文也可以跳转

https://research.checkpoint.com/operation-sheep-pilfer-analytics-sdk-in-action/

具体代码分析如下(原文)

9月中旬,一款名为“网络速度大师”的应用程序凭借其相当不同寻常的行为模式脱颖而出。在初步分析时,我们观察到频繁访问用户的联系人数据以及当应用程序打开或重新启动移动电话时突然的网络传输激增。作为一个简单地测试网络连接速度的系统实用程序应用程序,它远远超出合理的操作。深深地感兴趣,我们仔细看了一下。

640.png

下面的代码均为该公司的SDK所为,请代入观看

我们从应用程序的Android权限要求开始,这通常表示过多的数据收集。

image.png

尽管令人担忧的是大多数权限都与应用程序的主要功能无关,但现在断定Network Speed Master本身就是一种恶意软件还为时尚早。

虽然许多合法广告SDK依赖于定制权限来分析用户以研究用户偏好并促进个性化广告内容,但当“CoreReceiver”模块出现在应用程序的清单中时,我们变得更加怀疑。该模块可监控各种设备活动,包括应用程序安装/删除/更新,电话重启和电池充电。

image.png

窃取联系人数据模块

在用户联系数据流之后,我们迅速登陆了实际的联系人数据窃取模块。

它确实以名称 – 数字对格式(例如“John Oliver:1234567890”)转储用户的整个联系人列表,将对连接成一个巨大的字符串,然后最终将其发送到远程服务器。

检查用户联系人以了解用户的社交网络是许多广告SDK中发现的流行的营销研究方法。但是,为了保护用户隐私,合法的SDK通常只收集联系人姓名或号码。有些甚至采用加密方法来生成名称 – 数字组合的唯一散列,以便根本不收集实际数据。

然而,大量上传可识别的联系方式是不可接受的,并且在许多国家/地区构成违反数据隐私法规的行为。

只针对新版android 6.0进行的联系人窃取代码image.png

收集QQ登录数据

image.png

扫描QQ登陆详细信息的代码

image.png

每次打开都会远程连接服务器去获取最新的配置,从而进一步加载

image.png

image.png

C2命令对应的功能,极其恶劣,就是个木马

image.png

还进行了加密

image.png

目前已经有12款应用程序被感染了该恶意SDK

公司信息

公司产品:网吧内容管理软件–【网维大师】

image.png

公司简介

image.png

参考文献:

https://research.checkpoint.com/androids-man-in-the-disk/

https://en.wikipedia.org/wiki/Thirty-Six_Stratagems

https://www.buzzfeednews.com/article/craigsilverman/android-apps-cheetah-mobile-kika-kochava-ad-fraud

https://www.prnewswire.com/news-releases/cheetah-mobile-responds-to-kochavas-misleading-statements-300757227.html

在说美国之前,先对本次的安全事件的主角:委内瑞拉,进行一次国家介绍,经济状况和国际关系的普及,再交代断电一事,最后再是美国的历史攻击其他要制裁国家的发电站的事件汇总。

总而言之,国家基础设施 = 国家命脉,网络安全务必落实到位。

背景

地理位置

委内瑞拉玻利瓦尔共和国(西班牙语:República Bolivariana de Venezuela),简称委内瑞拉,是位于南美洲北部的国家,首都加拉加斯。北临加勒比海,西与哥伦比亚相邻,南与巴西交界,东与圭亚那接壤。它被称为“瀑布之乡”,面积912050平方千米。海岸线长2813千米。

000cierre.jpg

经济情况

委内瑞拉可能是当今世界上表现最糟糕的经济体。这个国家拥有着全球最高的180%的通货膨胀,紧随其后的是饱受战争摧残的苏丹和遭遇猛烈制裁的伊朗。

venezuela-economy_wide-9493eb55a4b3c1eb5493b526f057df2460abb653.jpg

恶性的通货膨胀,使委内瑞拉普通纸巾的价格都超过了小面额纸币,一些商家干脆直接用小面额纸币来包裹物品。还有就是可怕的失业率,按照IMF的预测,委内瑞拉2016年和2017年的失业率将分别达到17.4%和20.7%。此外,随着经济的崩溃,治安也着实堪忧,去年委内瑞拉多地就发生哄抢超市事件。

一度生机勃勃的委内瑞拉,陷入目前的经济困境,原因显然是多方面的。从表面看,完全是“成也石油、败也石油”,正是油价的暴跌,导致俄罗斯、尼日利亚等产油国收入锐减、经济衰退,委内瑞拉自然也不例外。

国际关系

美国财政部海外资产控制办公室(OFAC)称,美国正在采取积极措施,通过制裁政策使委内瑞拉政府丧失支持其工作的能力,并最终迫使该国总统尼古拉斯·马杜罗下台。

称“以美国财政部为代表的美国政府非常积极地采取行动,试图让马杜罗政权失去维持其存在所需的资金。制裁是其中一种手段,但目前我们在尽可能迅速而有力地利用它们,让马杜罗政权下台”。

在委内瑞拉出现政治危机的背景下,美国加强了对这个国家的制裁。周一,美国政府将委内瑞拉4个州的州长列入了黑名单,包括前副总统(2008-2010)和国防部长(2009-2010年)拉蒙·卡里萨雷斯,目前是阿普雷州州长。其余三人分别是前国防部长(2004-2005年)和巴加斯州现任州长豪尔赫·卡内罗、卡拉沃沃州州长拉斐尔·拉卡瓦和苏利亚州州长奥马尔·普列托。

今年1月下旬,美国对委内瑞拉国有石油公司PDVSA实施了制裁,并宣布冻结其70亿美元的资产。美国表示,只有在该公司的控制权转移到委内瑞拉反对派领导人胡安·瓜伊多的手中,才会放松制裁。

断电事件

下载.jpeg

5c843395dda4c81d288b45fa.jpg

委内瑞拉总统马杜罗9日在首都加拉加斯表示,委电力系统当天再次遭受攻击,电力供应恢复受到极大影响。

马杜罗当天在出席一场集会时说,9日上午,全国70%的电力供应本已恢复,但随后电力系统再遭攻击,导致再次发生大范围停电。在8日恢复供电过程中,有关部门发现电力系统遭到借助“高科技手段”实施的电磁攻击。

马杜罗说,连日来针对委内瑞拉电力系统的攻击旨在制造政治和社会不稳定。他呼吁民众保持平静,表示政府将竭尽全力确保食品供应、供水和医疗服务。他说,电力系统工作人员正在进行“谨慎、细致”的工作,以确保供电稳定性。

7日17时左右,包括加拉加斯在内委多地开始停电。8日19时左右,加拉加斯部分地区陆续恢复供电。但9日中午左右,加拉加斯和全国大部分地区再次停电。至9日晚间,电力和通信网络仍未完全恢复。

据报道,7日开始的大范围停电影响委全国23个州中的18个州。这是2012年以来,委持续时间最长、影响地区最广的一次停电。委新闻和通信部长豪尔赫·罗德里格斯指出,停电原因是古里水电站遭反对派蓄意破坏。

委内瑞拉电力供应逾六成来自水力发电,其中绝大多数发电量由古里水电站提供。

今年1月23日,委内瑞拉议会主席、反对派领导人胡安·瓜伊多自封“临时总统”,获得美国政府承认。美国继而加大对委内瑞拉的制裁力度,公开表示不排除军事干预。

其中委内瑞拉总统马杜罗针对美国的具体发言总结如下:

委内瑞拉总统尼古拉斯·马杜罗(Nicholas Maduro)表示,该国电力系统已成为最新一轮“网络攻击”的目标。

委内瑞拉政府指责美国“蓄意破坏”,而美国官员则将停电归咎于委内瑞拉国内腐败和管理不善。

马杜罗说,“我们在中午又受到了一次攻击……干扰了重新连接(电力系统)的过程,到中午之前所有的系统都瘫痪了。”

他说:“我们发现他们(美国)对电力系统进行高科技攻击。”

他补充说,此外“一个运行良好的发电设备”也遭到破坏。他指责“国内渗透者从内部攻击电力公司”。

委内瑞拉当局目前正试图“人工”修复这些系统,同时努力“诊断出计算机化的系统为何会出现如此大规模的故障”。

事件分析

以上便为近期委内推拉所发生的事件汇总,可以看出,在石油方面,美国从来对于目标国家从不仁慈,一言不合就制裁,像伊朗,叙利亚,阿富汗,伊拉克等等。

当然,这年头,没啥理由还真不好出兵去大战,那怎么办,先搞你们电力系统。

下面这幅图便是这三天,委内瑞拉发生的三次断电的电力走势图:

D1Oqvq3X4AIWpwR.jpg

国外专家分析本次事故中的网络攻击手段包括三种(未实锤):

其一,利用电力系统的漏洞植入恶意软件。

其二,发动网络攻击干扰控制系统引起停电。

其三,干扰事故后的维修工作。

第一次停电后,委内瑞拉政府表示这是由自动控制系统的网络攻击造成的,但没有提供进一步的细节:

通讯部长豪尔赫罗德里格斯表示,马杜罗政府计划将“美国参与停电”的“证据”提交给即将在未来几天访问该国的联合国人权特使。

640.jpg

昨天和今天的第三次发电机停机可以通过隐藏在整个网络的控制系统内或一些重要的侧面组件中的恶意软件来解释。伊朗政府花了几个月的时间才发现的stuxnet震网恶意软件,一次又一次地撞毁了它的铀离心机,因此简单地重启控制系统不会停止软件运行。

6401.jpg

这是针对此次事件的一个评论,其中对于stuxnet的提及有理有据。

6402.jpg

这个评论提及到,Stuxnet病毒有了新版本,并且仍然用于攻击伊朗政府网络

美国最喜欢攻击用于天然气,水和下水道以及电力等基础设施。

例如针对叙利亚全盘攻击。在南斯拉夫,利比亚和伊拉克轰炸了设施

现在,美国将采取任何措施推翻委内瑞拉,以便他们可以将资源转移到尼加拉瓜和古巴,以充分填补特朗普和博尔顿吹的牛。

一旦有“人道主义援助”的掩护,美国就可以轻易走私武器。今年,美国确实对尼加拉瓜实施制裁,理由是“侵犯人权”,并且特朗普上台后放松了对古巴的禁运,可想而知此后会发生什么事情。

历史事故

现在美国对网络攻击以及对电网的攻击都是众所周知的。以下为一些经典事迹。

1、2012年,其在叙利亚试图安装恶意软件,阻塞叙利亚的中央路由器,从而将叙利亚从互联网上移除。2015年,美国轰炸了叙利亚的发电厂。

2、为准备1973年在智利对阵阿连德的政变,美国也造成了停电。

当时纽约时报 报道:智利圣地亚哥,8月13日 – 由于总统萨尔瓦多·阿连德·戈森斯(Salvador Allende Gossens)正在全国范围内就该国的政治危机发表演讲,因此停电导致全面停电。

3、以色列,与美国一起进行了历史上最复杂的网络攻击,对伊朗的核浓缩计划的Stuxnet蠕虫攻击事件。

这个就不用说了,伊朗震网事件过于出名了。

4、美国以前曾干涉过外国选举,包括20世纪40年代的意大利,以及20世纪50年代和60年代的伊朗和拉丁美洲。

5、美国有一个代号为“Nitro Zeus”的秘密计划,如果这两个国家发现自己陷入伊朗核计划的冲突,它就要求关闭伊朗大部分地区的电网。这种网络武器的使用现在是所有世界主要大国战争规划的关键因素。

6、美国还曾经利用石墨炸弹攻击伊拉克和南联盟电网。

技术能力

从上面的历史攻击案件,从中可以对于美国在网络攻击方面将有一个大概认识。

下面是乌克兰断电事件,虽然是毛子发起的攻击,但可以供参考利用恶意软件进行攻击电力系统是一个什么概念。

2015年12月,乌克兰至少三个区域的电力系统遭到网络攻击,部分变电站的控制系统遭到破坏。入侵者远程访问配电站控制系统,断开了数十个断路器,造成大面积停电,电力中断最长达6小时,约140万人受到影响。此次事故中,乌克兰电力系统感染了名为BlackEnergy的恶意软件。该软件不仅能够关闭电力设施中的关键系统,还能让黑客远程控制目标系统。

下面为美国进行电力系统攻击的一次攻防演练说明,具体如下(强烈建议有关部门也搞一次)

在该次演练中,美国直接搞了一个岛,作为真实环境进行攻击演练:

6403.jpg

梅子岛占地840英亩,与曼哈顿的中央公园差不多大。岛上拥有70个老旧的建筑。并且拥有消防部门、发电厂、水处理厂、安全部门以及废弃的工业基础设施。该岛最大特点是与外界隔绝、无人居住、多风、废弃耕地以及良好的视野。梅子岛虽小,但是完善的设施和复杂的环境使它完全可以作为一座小型城镇来完成此次演练。

此次演练旨在当电网遭受攻击崩溃后,如何迅速应对并恢复供电。

为了让此次演练达到理想的效果,项目规划人员将各种可能出现的场景投入其中,包括持续的网络和物理攻击。甚至引入了数据“擦除器”,模拟勒索软件,如若电网人员操作不当的话电网运营商的全部数据将被删除殆尽。而参与演练的电网工作人员是在电网完全崩溃后从全黑开始恢复,并且“黑客”在电网崩溃后依然持续采取攻击行动。

岛上恶劣的风雨天气也让抢修工作、寻找攻击源以及恢复运作更加艰难。无论演练的结果如何,这都会给他们带来宝贵的数据和经验。

最后

因此,委内瑞拉一事,并不是看戏,而是参考。未来国际局势,势必更加紧张。外部谣言甚多,例如荷兰大胡子此类事件,切勿乱了人心。

*本文作者:黑鸟,转载请注明来自FreeBuf.COM

不传谣不信谣,题目说了疑似,所以不管怎么着,改密码吧

image.png

2019年1月30日,一位名叫"Andrew"的未知黑客通过Pastebin网络服务发布了一份在线声明,据称宣布了其拥有属于LinkedIn的1.59亿客户数据库。

为了证明真假,黑客已经发布了一份包含100个客户的样本列表及其帐户登录凭据,作为泄露数据的证明。

image.png

目前,黑客拒绝公开分享整个泄露的数据库,而是愿意以99美元的价格向愿意购买的人出售完整的清单。

image.png

此外,对于不想直接购买整个数据库的人,黑客也提出以一小笔费用0.012比特币(41美元)的价格来破解你想要的任何人的个人账户。

Yes, this means that for .012BTC  you can hack ANY linkedin user, and if they use the same password on other sites you can hack into there too. Their iCloud with all their personal photos, their email accounts, facebook and instagram are all vulnerable to being hacked once you have this database.

Enjoy and please help keep this leak private by not sharing it after you've purchased. 

google翻译:

是的,这意味着对于.012BTC,您可以破解任何linkedin用户,如果他们在其他网站上使用相同的密码,您也可以入侵。 他们的iCloud及其所有个人照片,他们的电子邮件帐户,Facebook和Instagram都很容易被拥有此数据库后被黑客入侵。

在购买之后,请不要分享,请尽量帮助保密。

image.png

这群黑客看起来也试图在网上出售其他200个网站的黑客数据库– 每件20 至150美元 一件,包括各种著名的和非著名的网站。

emm。。好像看见了某些著名网站。。

image.png

具体参考链接。。拉到文末

当然以前领英也是出过类似的数据泄露大事件的,像2016年的大事件:

1.17亿LinkedIn领英数据正在暗网地下黑市热卖

https://www.freebuf.com/news/104895.html

image.png

反正,不管数据来源真假,大家勤劳改密码才是真道理。(改完随便转发一下嘛!)

如果数据属实,这恐怕是2019年开年以来最大的一起数据泄露事件了。

参考链接:

[1]https://roguemedialabs.com/2019/01/30/hacker-selling-database-of-159-million-clients-leaked-from-linkedin-online/

[2]https://rocketr.net/buy/bfd77635ea0a

[3]https://pastebin.com/x9ECRdis

[4]https://pastebin.com/sXPPyFYk

为了引导民众舆论,通常会采取媒体管控,主流资讯软件管控封禁等方式进行操作。这类手段已经司空见惯了,而近期披露的伊朗组织在这方面的操作却比较与众不同,直接采取的是资讯篡改并伪造的方式,对内对外都正在进行。

网站基本活着,有兴趣可以看看,并且内容还在更新。

image.png这项伊朗组织的大规模的假新闻行动,自2012年一直活跃至今,针对美国,西欧,拉丁美洲、中东等用户,非洲和亚洲也有针对涉及,面向28个国家和地区。(中国也在列表内,针对阿拉伯的最多)       

该行动利用多个社交媒体平台上的不真实新闻网站和相关账户,以促进符合伊朗利益的政治叙述。这些叙述包括反沙特,反以色列和亲巴勒斯坦的主题,以及对有利于伊朗的具体美国政策的支持。

通过完整的行动链条,可以发现有以下几个特点:

1、至少伪造了98个假的媒体

2、每个媒体都有自己的网站,社交媒体帐户和在全球发布虚假新闻的网页。

3、许多虚假媒体还创建了移动应用程序。

主要虚假网站分为以下四组,区域和目的如下,背后的目的真的是丰富多彩,不管是宗教还是政治。

区域 目的
美国和欧洲 传播主要关于当前美国和欧洲政府的虚假信息 – 将其视为失败,堕落和不值得。伊朗政府试图操纵人民的思想,并将其转向反对不支持伊朗或伊朗政权的政府。例如,目前反对POTUS特朗普政权的主要方法是促进与伊朗的合作,无论美国脱离核协议,并支持杰里米科尔宾作为英国的合法领导人。
中东和北非 传播虚假信息主要是关于中东与伊朗或其别名相关的问题。针对伊朗敌人(以色列和沙特阿拉伯)的欺诈媒体发布了威慑信息。这是为了向伊朗提供积极的政治权力,同时将以色列和沙特阿拉伯视为违反全球秩序与和平的国家。
非洲和亚洲的穆斯林国家 传播关于伊朗在伊斯兰世界的积极统治的虚假信息。这一行为是伊朗努力被视为伊斯兰世界领导者的一部分。请注意,该组中的大多数目标都是拥有少数族裔西亚人的国家,如尼日利亚,巴基斯坦和阿富汗。
伊朗盟友(如叙利亚,土耳其和俄罗斯) 传播虚假信息主要是针对伊朗及其政治伙伴的共同反对者。这一行为是伊朗努力将伊朗定位为有价值的政治盟友的一部分。

这些虚假宣传网站背后肯定由一个有组织的团队运营,该团队协调各种运营商,如编辑,作家,平面设计师,网络开发人员,社交媒体专家等。此外,除波斯语之外,许多内容创作者还精通一种或多种语言。

具体伪造手段分析

首先,网站域名中会带有 news 字样,如:aznews24.com  ; aynanewsagency.org。

其次,每个“新闻机构”都有一个与网站名称相匹配的独特设计,徽标和主题,美工很不错。

image.png

网站都会有语言切换选项,如切换成波斯语和阿拉伯语

image.png

下面是观众老爷们最感兴趣的伪造内容时间

针对欧美,中东和北非的新闻如下,均如表格的意图所言。

翻译后标题为:特朗普继续拒绝欧洲联盟

image.png

翻译后标题为:为什么沙特阿拉伯欢迎美国对真主党的制裁?

沙特阿拉伯被伊朗视为敌人,挑起宗教恶意。

image.png

翻译后标题为:白盔,al-Nusra,发动Idleb化学攻击

请注意,照片将带有美国国旗的头盔上的ISIS Flag并置,以将其显示为合作伙伴

image.png

翻译后标题为:弹药专家:美国提供了在也门杀死40名儿童的炸弹

image.png

关于非洲和亚洲的穆斯林国家,内容和视觉元素促使伊朗成为伊斯兰世界的重要和积极的文化和政治力量

image.png

关于伊朗盟友系列,网站提供的内容显示了伊朗与其盟友的合作意图,同时也保留了他们的地缘政治利益

image.png

像下图,就是俄罗斯假新闻网站宣传赞成伊朗议程的文章

image.png

用于宣传的twitter账号,这里记录的是13年的历史假新闻网站

image.png

盗取与复制或替换新闻内容部分

大部分网站的内容都是从合法新闻来源中公然抄袭的,有时他们甚至在文章中保留原始链接。

例子:顶部图片来自一个名为WhatsuPic的网站,该网站面向美国和欧洲。

大多数文章涉及的主题包括美国干涉当地政治(例如也门,提到也门,大家可以看看这篇,干涉内政确实没毛病,木曜日威胁情报:也门互联网争夺战   ),以及美国以色列巴勒斯坦问题等等。

等于伪造了一个别人觉得是正规网站但是内容是涉及美国干涉内政的。

image.png

下图为rt .com网站,该网站是俄罗斯的宣传网站,上面就是从这里抄的

image.png

此外,在许多文章中,操作员逐字复制文章,并且段落和句子的顺序稍有变化。因此,修改了文章的原始叙述。

比如最近在以色列媒体“以色列Hayom”(今天的以色列)上发表的一篇文章,该文章经过复制和修改,以更加好战的方式呈现发言人的讲话(这招真损)

image.png

为了提高网站的可信度,运营商还增加了非政治内容。下图还存在拼写错误。

image.png

社交网络部分

每个网站都有各种社交媒体平台上的个人资料和帐户,主要是Facebook,Twitter,Instagram和Telegram。如果网站有多种语言,则还会有相关的社交媒体帐户。

通常有两种类型的帐户:

声称是虚假媒体官方网页的帐户和页面。这些页面使用相同的网站。

从网站所针对的国家,来进行真人冒充(通常是有魅力的女性)的帐户。这些帐户可以联系到成千上万的人,并通过他们的Feed传播网站的文章。这好比我国曾经某大V

从下面的图片中可以看出,假冒巴基斯坦网站sachtimes.com与其社交媒体资料跟踪器之间的各种链接,由RiskIQ 抓取

https://community.riskiq.com/search/sachtimes.com

image.png

冒充账户,twitter&facebook

image.png

image.png

火眼的文章里对于社交网络的账户情况比较多,clearsky针对的网站信息比较多。

image.png

关联分析

通过一个IP,即 5.9.29.230 , 可以定位到大部分假新闻网站,查一下解析域名即可,还有一个ip,78.46.102.123同样也与部分网站存在历史关联性。

最活跃的网站是  awdnews.com ,现在还活的好好的。

image.png

截至2018年11月底,一些网站仍然拥有独特的whois记录。一些细节指向伊朗,尽管人们会期望它们在新闻媒体所声称代表的国家注册。

例如,土耳其网站7soz.net由Ebrahim Erfani从德黑兰注册。这个演员注册了另一个域名imamiaturbiat.org。应该注意的是,目前这个域名是出售,但最初由Ebrahim Erfani和Kaveh Khaleghi注册。Khaleghi本人是该基础设施中几个站点的注册人,如下所示:

image.png

除了新闻外,网站上还挂着移动APP下载入口,不含恶意代码,所以没法查杀,以前法**会干

image.png

根据与假俄罗斯网站Realnienovosti相关的应用程序证书,其开发人员是来自Qom(伊朗西北部)的 Mohammad Javad Ghadir :

image.png

领英账号,自称安卓开发人员

image.png

值得注意的是,有的合法伊朗网站也会传播这类APP。

*本文作者:黑鸟,转载请注明来自FreeBuf.COM

最近Petya勒索事件在安全圈传的沸沸扬扬,底下信息是前几天发的,然后现在认真看了看样本,并用两个虚拟机做了一下实验,发现了样本以下特征。

首先样本先进行全网扫描,边扫描边加密,如下图所示(所有扫描都是局域网内)

1.png

枚举这堆ip的函数如下

7.png

然后当扫到可以ping通的机子后或者可以法松SMB包的机子后,就会记录下来,然后发一堆记录信息哔哩吧啦

2.png

然后接着就等把所有网段都扫描完毕后,再会将之前记录下来的ip开始进行内网渗透攻击,可能是我的靶机没有设密码的原因,样本默认用漏洞进行攻击了吧,然后就如下面静态分析所说的用rundll32加载自身样本dll一样,样本就这样传到了靶机上,报文里面有记载着漏洞攻击包,和永恒之蓝的攻击包相似,在此就不发截图了,靶机内被攻击图如下

3.png

上图为传过去的样本创建临时文件截图

目前有报道称,这个样本有两个漏洞,永恒之蓝是针对win7,永恒浪漫是针对xp,之后我会将靶机换成xp来试试会不会触发永恒浪漫,明天再改改吧,话说我攻击机是xp,靶机是win7,明天换一下姿势,好像有点邪恶,233

总而言之,这样本要是有无聊的人在内网测试了一下,肯定会造成全网爆炸,相信我,这样本加密快,扫描块,还同时进行,威力真的大,就是周期长了点,要一个来小时才关机,定时函数如下

5.png

终于加密完了

8.png

11.jpg

下面是前几天发的。

首先是对于从前几晚国外开始报道的CVE-2017-0199漏洞,也就是那个RTF的Office文档那个漏洞,所该勒索软件是通过这个邮件进行传播的,这点从本人对样本进行分析后发现,该样本只会通过局域网进行传播,而根本不会通过公网进行传播,样本通过DhcpEnumSubnets获取当前DHCP服务器已经分配的IP地址集,该样本在扫描139和445端口之前会通过DhcpEnumSubnets()枚举所有DHCP子网上的主机,在进行扫描。

可以见下图所示

6.png

其传播也是通过WMI的方式进行内网传播,或者利用永恒之蓝传播

引用一下:该样本会扫描本地网络中admin$共享,通过admin$将自身拷贝到远程机器。样本首先试图通过用户名和密码来获取远程主机的Token,然后将自身文件拷贝到远程主机上,并且利用Windows 管理规范命令行 (WMIC) 在远程机器上直接执行。

10.jpg

永恒之蓝传播跟Wanacry方式一样

11.png


因此可以判断,该勒索病毒的起源点应该是通过人为操作进行的传播,用u盘什么的,所以这是不存在什么邮件漏洞的,这又让我想起了前几天的某漏洞,所以说这其实是shadowbroker对于微软的报复么。。

而且微步在线也发文章有称

4.png

在这还得提一下微步在线没有跟风报道,而是脚踏实地的分析源头,这点做得真的很棒。

对于卡巴斯基的文章称本次的Petya变种不是它的变种,只是选取了其中一部分功能。我认为既然你都说选取了一部分了,说是变种其实也不为过吧

还有一点就是,我跑样本测试了一下,发现要过差不多1个来小时然后才会重启,而这点时间会用来进行内网传播,然后重启电脑之后,样本就不会进行传播了,而这点时间,由于我没注意,知道的是先篡改的MBR,然后就不知道是先进行传播了一小时然后重启再加密,还是边传播边加密一小时,这个问题欢迎小伙伴留言回答我一下,我只是来打个酱油。

下面是防护方案

每种防护方案为了让用户觉得使用的舒服都会做一些响应的解释

1、安装Windows操作系统MS17-010补丁

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

你说为什么要安装这个补丁呢,那你还是看看我之前发的WannaCry文章吧!

2、停止WMI服务(Windows Management Instrumentation管理规范)

点击开始—运行—输入services.msc并回车,进入服务。或者打开控制面板中的管理工具栏下的服务图标,点击进入服务。—找到Windows Management Instrumentation服务并右键点击属性—在启动类型一栏选择已禁用并点击确定。

为什么要停止这个服务呢?

因为样本会构造下面这条命令

C:\Windows\Wbem\wmic.exe /node:<NodeName> /user:<UserName> /password:<Password> process call create “C:\Windows\System32\rundll32.exe C:\windows\<SelfName> #1

12.jpg

然后用之前释放的Mimikatz尝试成功的口令远程对名为NodeName的主机执行命令,该命令使用rundll32加载自身dll,而这一套东西都是基于WMI来进行的,WMI是啥呢,”是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机”。

这里要提一下的是有一段代码一直返回都是空,不知道psexec的那条命令的有没有执行成功,但估计看到这里的人都没几个,看到了解答一下我的疑问可好

13.jpg

3、构建perfc.dat文件

直接在C盘底下的Windows目录下构建这个文件

因为这个样本的开关就是这个,freebuf上面也有人发了,可以去看传送门

9.png

4、给电脑加口令

没密码或弱密钥不就是活靶子么?

5、修改注册表防止Minikit工具提取主机密码

点击开始—运行—输入regedit并回车,进入注册表编辑器。

找到下面的值HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurityProviders/WDigest/UseLogonCredential,将其对应的值修改为0

原理应该就是这个键值就是能让Minikit抓取Windows明文密码的开关吧

4.png

win10没有这玩意的情况下我直接加了个上去不知道有没有用就这样搁着吧。。

顺便发一下微软的报告吧,权威报告一出,通杀所有报告!

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

微软.png

微软报告hash:

  • 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

  • 9717cfdc2d023812dbc84a941674eb23a2a8ef06

  • 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf

  • 56c03d8e43f50568741704aee482704a4f5005ad

升级链接:

Next-generation ransomware protection with Windows 10 Creators Update:

https://blogs.technet.microsoft.com/mmpc/2017/06/08/windows-10-creators-update-hardens-security-with-next-gen-defense/

Download English language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Download localized language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

MS17-010 Security Update:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

General information on ransomware:

https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx


微信号:黑鸟    关注并回复”样本“可以获得本次的样本的下载链接,心动不如行动赶紧来吧!

公众号图片.jpg

QQ群:566327591


今天Petya勒索事件在安全圈传的沸沸扬扬,看了一天下来,并看了多家的报告,最后也敢来发一下这个事件的最确切的版本了,如有得罪,请见谅。

首先是对于从昨晚国外开始报道的CVE-2017-0199漏洞,也就是那个RTF的Office文档那个漏洞,所该勒索软件是通过这个邮件进行传播的,这点从本人对样本进行分析后发现,该样本只会通过局域网进行传播,而根本不会通过公网进行传播,样本通过DhcpEnumSubnets获取当前DHCP服务器已经分配的IP地址集,该样本在扫描139和445端口之前会通过DhcpEnumSubnets()枚举所有DHCP子网上的主机,在进行扫描。

可以见下图所示

1.png

其传播也是通过WMI的方式进行内网传播,或者利用永恒之蓝传播

引用一下:该样本会扫描本地网络中admin$共享,通过admin$将自身拷贝到远程机器。样本首先试图通过用户名和密码来获取远程主机的Token,然后将自身文件拷贝到远程主机上,并且利用Windows 管理规范命令行 (WMIC) 在远程机器上直接执行。

2.png

永恒之蓝传播跟Wanacry方式一样

3.png

因此可以判断,该勒索病毒的起源点应该是通过人为操作进行的传播,用u盘什么的,所以这是不存在什么邮件漏洞的,这又让我想起了前几天的某漏洞,所以说这其实是shadowbroker对于微软的报复么。。

而且微步在线也发文章有称

4.png

在这还得提一下微步在线没有跟风报道,而是脚踏实地的分析源头,这点做得真的很棒。

对于卡巴斯基的文章称本次的Petya变种不是它的变种,只是选取了其中一部分功能。我认为既然你都说选取了一部分了,说是变种其实也不为过吧

还有一点就是,我跑样本测试了一下,发现要过差不多1个来小时然后才会重启,而这点时间会用来进行内网传播,然后重启电脑之后,样本就不会进行传播了,而这点时间,由于我没注意,知道的是先篡改的MBR,然后就不知道是先进行传播了一小时然后重启再加密,还是边传播边加密一小时,这个问题欢迎小伙伴留言回答我一下,我只是来打个酱油。

下面是防护方案

每种防护方案为了让用户觉得使用的舒服都会做一些响应的解释

1、安装Windows操作系统MS17-010补丁

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

你说为什么要安装这个补丁呢,那你还是看看我之前发的WannaCry文章吧!

2、停止WMI服务(Windows Management Instrumentation管理规范)

点击开始—运行—输入services.msc并回车,进入服务。或者打开控制面板中的管理工具栏下的服务图标,点击进入服务。—找到Windows Management Instrumentation服务并右键点击属性—在启动类型一栏选择已禁用并点击确定。

为什么要停止这个服务呢?

0?wx_fmt=png

因为样本会构造下面这条命令

C:\Windows\Wbem\wmic.exe /node:<NodeName> /user:<UserName> /password:<Password> process call create “C:\Windows\System32\rundll32.exe C:\windows\<SelfName> #1

然后用之前释放的Mimikatz尝试成功的口令远程对名为NodeName的主机执行命令,该命令使用rundll32加载自身dll,而这一套东西都是基于WMI来进行的,WMI是啥呢,”是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机”。

0?wx_fmt=png

3、构建perfc.dat文件

直接在C盘底下的Windows目录下构建这个文件

因为这个样本的开关就是这个,freebuf上面也有人发了,可以去看传送门

4、给电脑加口令或者改高强度密码

没密码或弱密钥不就是活靶子么?

5、修改注册表防止Minikit工具提取主机密码

点击开始—运行—输入regedit并回车,进入注册表编辑器。

找到下面的值HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurityProviders/WDigest/UseLogonCredential,将其对应的值修改为0

原理应该就是这个键值就是能让Minikit抓取Windows明文密码的开关吧

win10没有这玩意的情况下我直接加了个上去不知道有没有用就这样搁着吧。。

顺便发一下微软的报告吧,权威报告一出,通杀所有报告!

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

微软.png

Scheduled Reboot Task:  Petya schedules a reboot for a random time between 10 and 60 minutes from the current time

  • schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST <time>

  • cmd.exe /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST <time>

Lateral Movement (Remote WMI)

  • “process call create \”C:\\Windows\\System32\\rundll32.exe \\\”C:\\Windows\\perfc.dat\\\” #1”

  • Workstations scanning ports tcp/139 and tcp/445 on their own local (/24) network scope

  • Servers (in particular, domain controllers) scanning ports tcp/139 and tcp/445 across multiple /24 scopes

File Indicators

  • 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

  • 9717cfdc2d023812dbc84a941674eb23a2a8ef06

  • 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf

  • 56c03d8e43f50568741704aee482704a4f5005ad

升级链接:

Next-generation ransomware protection with Windows 10 Creators Update: https://blogs.technet.microsoft.com/mmpc/2017/06/08/windows-10-creators-update-hardens-security-with-next-gen-defense/

Download English language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Download localized language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

MS17-010 Security Update: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

General information on ransomware: https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

微信号:黑鸟    关注并回复样本可以获得本次的样本的下载链接,心动不如行动赶紧来吧!

公众号图片.jpg

QQ群:566327591


根据目前情况,勒索事件跟风报到,各种分析,各种炒作,各种p图的现状,现在专门整理一个较为权威的列表供大家阅读一番,真假是非自己来判断,目前已知360的版本是最全的,列表会放在后面。

下面再对一些网上热评进行解答

对于样本具有反沙箱问题,有很多人分析后说没有,我想说明一下,这还是具有的,不然开关的设置是为了干啥

一般沙箱都会设置欺骗DNS的响应,就是发出去一个请求然后回一个请求过来,而此时在沙箱内访问开关生效了,那么样本就不执行加密措施了,也就成功反沙箱了

今天还看见qz情报分享了国外的一个报告也是别有新意,如下

还有就是关闭开关的英国小伙子发推特称,他取回的开关正在被中国的某人进行域名申诉,设法取回,话说这事情表明了什么= =

images

images

还有一方面就是关于“WannaCry 2.0”版本有无争议方面,大家可以看下面这一段话

该病毒确实有两个版本,其1.0版本最早于3月29日,其并无主动传播模块,也不受开关域名的约束,而此时NSA“永恒之蓝”相关漏洞也尚未泄露。其2.0版本就是在2017年5月12日大规模爆发并被各安全厂商所分析的版本。病毒分成传播框架和释放出来的加密模块。其中传播框架受到开关域名的约束,而其加密模块与此前的1.0版本基本逻辑一致,自身不具备主动传播的属性,其内部均未设置开关域名条件
。卡巴斯基Costin Raiu在推特上发出错误消息(已经于13日中午删除),认为存在所谓“WannaCry 2.0”版本,是这一乌龙事件的起源。现在,卡巴斯基已经在推特发布澄清消息。

然后安全加已经发布了一篇关于两个版本的区别,大概就是

1、连接域名相差两个字符

2、WinMain函数的某处跳转更改

3、资源段的部分内容修改

基本大内容跟此前版本相差无二,所以防御方案还是老措施即可

还有网上关于勒索文件恢复的问题,八方各路的恢复工具雨后春笋般出现在网络上,但实际上该类都是数据恢复工具,如果不是中勒索的第一时间中,都会被硬盘给自动清理掉,也就是说出事的时候越早使用效果越好,因此想完全解密的话还是等作者放出来私钥吧,现在已经有公司做出解密工具,就等放出私钥了

还有就是要加yara规则的自取一下吧

https://github.com/Neo23x0/signature-base/blob/master/yara/crime_wannacry.yar

下面是详细分析的列表以及一些处置方案

360 的

http://bobao.360.cn/learning/detail/3853.html  

comae的

https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58 

腾讯电脑管家的

http://www.freebuf.com/articles/system/134578.html  

瑞星的

http://www.freebuf.com/articles/paper/134637.html   

Endgage的

https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis   

PeerLyst的

https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi    

CNNVD的

http://www.freebuf.com/news/134624.html

漏洞盒子的处置方案

https://www.vulbox.com/knowledge/detail/?id=10

微步在线的

http://www.freebuf.com/articles/system/134658.html

微信公众号:黑鸟   伊克斯安全交流群: 566327591  网站:http://www.blovb.com