存档

作者存档

渗透测试中的冷却启动攻击和其他取证技术

2014年1月11日 没有评论

原文:http://www.ethicalhacker.net/features/root/using-cold-boot-attacks-forensic-techniques-penetration-tests?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+eh-net+%28The+Ethical+Hacker+Network+-+Online+Magazine%29

翻译:成明遥

frozen_ram

这是一个星期四的晚上,快乐时光即将开始。你会尽快走出办公室。你整天都忙于准备一份报告,第二天早上还需继续,因此你将电脑锁屏。这足够安全,是吗?因为你使用了高强度密码,并全盘加密,Ophcrack或者可引导的linux发行版例如kali不起作用。你自认为安全了,其实你错了。为了得到重要材料,攻击者越来越无所不用其极,这包括使用取证领域的最新技术。

计算机中存在一个单独的区块:活动内存,任何一个攻击者都愿意把手伸到这个存储有敏感信息完全未加密的区块。系统为了方便调用,在内存中存储了多种有价值信息;全盘加密机制也必须在内存的某个地方存储密钥。同样,Wi-fi密钥也是如此存储的。Windows在内存中存有注册表键值,系统和SAM hive。许多剪贴板内容和应用程序密码也在存储于内存中。即问题在于,内存存储了系统在某时刻需要的大量有价值信息。攻击者要获得它,需要使用一些同样的取证技术。本文有助于向渗透测试工具包中增加这些技术。

[……]

阅读全文

互联网世界的毒瘤——僵尸网络

2013年12月30日 没有评论

原创:裴伟伟(做个好人)

从世界上第一个蠕虫病毒————莫里斯————因其巨大的系统破坏力和传播速度被人们所关注,便意味着在恶意代码斗争的战场上传播速度势必成为新的衍变方式。而互联网自上世纪90年代初期开始迅猛发展更是为这种恶意代码的快速传播提供了新的媒介和渠道,没有人料到另外一种结合病毒、木马、蠕虫技术为一体的新的信息安全威胁方式————僵尸网络————会如此令世界诸多信息安全专家所头疼,以至于直到今天,在针对僵尸网络的行动中,处于正义一方的白帽子们仍然无法信心满满地占得上风。

创造和管理僵尸网络的软件使得僵尸网络的危害程度远远高于以往恶意脚本那一代,它不仅仅是病毒,更是病毒的病毒,它的危害性更集传统的病毒、木马、蠕虫为一体,既可以进行常规的系统驻留、信息窃取、远程操控,也具备蠕虫的网络传播特性。如果将病毒、木马、间谍软件、后门、蠕虫等等形容为《植物大战僵尸》中的各色装备的僵尸,那僵尸网络用“一大波僵尸”来形容再合适不过。

一、僵尸网络的特点

僵尸网络的特点在于:能够在僵尸客户端上执行所设定的操作而无需僵尸牧人(幕后控制者/僵尸网络所有者)直接登陆该客户端;在僵尸牧人很少甚至不插手的情况下,僵尸客户端能够协同合作并针对同一任务或目标行动。事实上,僵尸网络与蠕虫病毒唯一的区别就在于僵尸网络拥有统一[……]

阅读全文

关于口令强度等级的设计

2013年12月25日 没有评论

原创:裴伟伟(做个好人)

近来在笔者所参与的一款产品中涉及到口令安全的功能设计,其中一项功能是有关于口令强度的。在设计该功能过程中势必涉及到口令强度的划分设计,怎样的口令才算是低强度的,怎样的口令才算是高强度的。目前诸多的Web系统注册功能中的口令强度设计及划分也无统一标准,更有甚者是直接根据口令长度来设计的口令强度划分。

如果要评判一则口令是强是弱,就必须先考虑影响口令强度的因素:复杂性和长度,因为我们在输入口令时只有这两种维度的选择:要么多输入一些特殊字符增强复杂性,要么多输入一些混合字符/字母增加口令长度。在不考虑拖库、社工等口令获取方式的前提条件下,通常情况下,破解口令仅有暴力破解的方式可以选择,其中亦包括字典攻击和彩虹表破解。

在纯粹的暴力破解中,攻击者需要逐一长度地尝试口令可能组合的方式,是ATM机般的纯数字组合,还是12306般的纯数字字母组合,亦或是正常电商那般可以混合输入数字、字母和特殊字符。假设一则口令P的长度是L,可选择的组合形式范围的长度是S,那么即便是在“暴力破解”这种残暴字眼的手段中,运气不好的情况下仍然需要最多尝试SL次。口令是否安全的原则取决于攻击者能否在可容忍的时间内破解出真实口令,而是否有耐心进行暴力破解往往决定于攻击者的目的及成效:一名仅为破解电子书小说压缩包的宅男不大可能会浪费一天以上时间等待口令的“出现”。

既然暴力破解需要尝试最多达SL次方能破解出口令,那么破解口令的速度即是破解成效的约束条件。在许多情况下,破解速度取[……]

阅读全文

关于Linkedin-Intro的钓鱼研究

2013年12月11日 没有评论

原文:http://jordan-wright.github.io/blog/2013/10/26/phishing-with-linkedins-intro/

翻译:陈民慧

2013年10月28日,我联系了Linkedin的安全团队,并会在近期发布修复补丁来解决下面的问题。这个修复程序适用于随机生成ID的styling规则,同下面介绍的基于class的styling有所区别。

我并不是CSS专家,所以或许有其他技巧可以绕过这个限制和删除内容(甚至只是隐藏或覆盖它)————如果你知道,请email通知我!我将继续与Linkedin的安全团队合作来修复任何我们能找到的BUG。而用户需要注意的是世上没有完美的解决方案,即便在邮件中你所看到的这些数据也不能明确证明发送人的合法性。

我还要感谢Linkedin的安全团队,他们快速且有效地处理了这些问题。

有关“Intro”

10月23日,Linkedin推出一个名为"Intro"的应用程序。程序的运行条件很简单:允许iPhone用户看到本机Mail App里发件人的详细信息。这跟iPhone Mail App的Rapportive差不多,这两个app在本质上一样(且由相同的人所开发)。

然而,在看Intro最初的介绍中,有一个地方引起了我的注意:

“David说Crosswise很想和你合作。这是垃圾邮[……]

阅读全文

使用C编译器编写shellcode

2013年12月5日 没有评论

原文:http://nickharbour.wordpress.com/2010/07/01/writing-shellcode-with-a-c-compiler/

翻译:徐文博

背景

有时候程序员们需要写一段独立于位置操作的代码,可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为shellcode,在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行,完成它的使命。当然了,该代码仅能靠它自己,作者无法使用现代软件开发的实践来推进shellcode的编写。

汇编常用于编写shellcode,特别是对代码大小挑剔的时候,汇编就是不错的选择。对我个人而言,多数项目都需要一段类似可以注入到其他进程的代码。这时候我就不是特别在意代码大小了,反而是开发效率以及调试能力显得尤为重要。一开始,我用NASM编写独立的汇编程序,把获得的输出文件转换为C数组,然后整合到我的程序中。这正是你在milw0rm这样的网站上所看到的,大多数exploit payload的获取方式。最终我厌倦了这样的方式,虽然很怀念NASM完备的功能,我还是开始使用内联汇编来解决问题。随着经验的积累,我发现了一个完全可用的纯C开发shellcode的方法,仅需2条内联汇编指令。就开发速度和调试shellcode时的上下文而言,真的比单纯使用汇编的方法有很大的改进。运用机器级的比如ollydbg这样的调试器,我毫不含糊,但这相对于用Visual Studio调试器来调试C[……]

阅读全文

信息安全专业孩子的自述

2013年11月13日 4 条评论

原创:陈民慧

前些日子的xdef峰会上,在谈到“企业视角下的信息安全人才培养需求与期待”这个话题时,很多安全相关的企业单位纷纷发言表示对信息安全专业的孩子不感兴趣,认为目前这专业孩子到毕业了却连最基础的安全知识都不扎实!也许这样的表达带有我个人情绪偏差,换句中肯的话,应该是相关的安全企业单位对高校的信息安全人才培养期待较高吧!

作为一名信息安全大四的应届毕业生,此刻也许最能代表信安孩子们说点什么了!信息安全作为国家限制招生专业,录取分比计算机专业高,大一大二的课程却跟计算机专业大同小异,除了多了信安基础数学和信安概论等几门课程。虽然课程内容差不多,但这时的信安孩子还是自信满满的,比计算机专业多上门密码学也能得瑟很久,总认为自己将来会是个酷帅的黑客!

附我所在学校信安专业大一大二专业相关的主要课程:

大一: 计算机科学导论、信息安全数学基础、高级程序设计语言Ⅰ(C)

大二:信息安全理论与技术、高级程序设计语言Ⅱ(C++)、计算机网络、通信原理基础、密码学原理、数据结构与算法、数字逻辑、网络综合实验

大一大二时基本都是学习计算机基础知识,真正涉及信安专业相关的也仅仅是一些理论知识。对信安的孩子来说,最关键的一年是大三,这一年将决定你是龙还是虫,还能继续得瑟下去还是反过来被人嘲笑!大三这学年里全是专业课程,或枯燥,或精彩,因人而异!因为经过前两年对计算机的认知和了解,每个人都开始有了自己的方向和目标。有的同学对安全更发着迷了,有的同学发现自[……]

阅读全文

FBI针对Tor网络的恶意代码分析

2013年11月11日 没有评论

原文:http://ghowen.me/fbi-tor-malware-analysis/

翻译:李秀烈

一、背景

Tor(The Oninon Router)提供一个匿名交流网络平台,它使得用户在浏览网页或访问其它网络服务时不会被跟踪。作为该网络的一部分即所谓的“暗网”(darknet),是指只能通过Tor网络访问的服务器群组,这些服务器提供包括社区论坛、电子邮件等多种服务。虽然提供这些服务都是无恶意的,初衷是用来关注侵犯人权问题,但是由于匿名的原因吸引了很多有犯罪意图的人,比如传播儿童色情。事后执法部门也不能追踪到犯罪者的源IP地址。

2013年,在“暗网”服务器上发现了一款恶意软件,它利用特定Web浏览器上的安全漏洞在用户电脑上执行一段代码。该代码收集一些用户信息,发往弗吉尼亚州的服务器,之后自毁。就恶意软件的特征来讲,它没有明显的恶意意图。初步推断是FBI植入,他们在弗吉尼亚州有办事处,曾经也派专人开发过恶意程序,可能是他们创建了它————现在看来是真的。

二、对Shellcode的逆向分析

1、漏洞利用

漏洞利用代码用javascript编写,利用一个出名的firefox浏览器的特定版本(Tor网络预装的firefox)的漏洞。该漏洞利用代码经过了模糊处理,但通过快速扫描可以看到一长串十六进制字符,这些字符是shellcode的前几个标志性字节,即call操[……]

阅读全文