存档

‘APT相关’ 分类的存档

CTF领域指南

2015年2月15日 没有评论

原文:https://trailofbits.github.io/ctf/

翻译:做个好人

译者声明:本文翻译自美国trailofbits团队发布在Github上的《CTF Field Guide》手册,我们已与对方联系获得翻译授权,由于手册内容尚在更新过程中,故有部分缺失。如有翻译不当之处,请与我们联系更正:@IDF实验室。

“Knowing is not enough; we must apply. Willing is not enough; we must do.” (仅仅知道还不够,我们必须付诸实践。仅有意愿还不够,我们必须付诸行动。)

—— Johann Wolfgang von Goethe

欢迎!

很高兴你能来到这里,我们需要更多的像你这样的人。

如果你想拥有一种能够自我防卫的生活,那就必须像攻击者那样思考。

所以,学学如何在夺旗比赛(CTF)中赢得比赛吧,这种比赛将专业的计算机安全活动规则进行了浓缩,且具有可客观评判的挑战题。CTF比赛趋向关注的主要领域是漏洞挖掘、漏洞利用程序构建、工具箱构建和可实施的谍报技术(tradecraft)。

无论你想赢得CTF比赛,还是想成为一名计算机安全专家,都至少需要擅长这些方面中的其中之一,理想情况下需要擅长所有这些领域。

这就是我们编写此手册的目的。

在这些章节中,你[……]

阅读全文

虎视眈眈的Pitty Tiger

2014年9月17日 1 条评论

原文:Airbus Defence & Space公司2014年发布的《The Eye of the Tiger》

翻译:做个好人、Archer

原作者

Ivan FONTARENSKY    Malware Research

Fabien PERIGAUD    Reverse Engineering

Ronan MOUCHOUX    Threat Intelligence

Cedric PERNET    Threat Intelligence

David BIZEUL    Head of CSIRT

摘要

近些年来,通过网络窃取机密的事情屡见不鲜。各路媒体争相报道以APT为代表的计算机攻击以及其危害。频发于网络的数字攻击已经影响到现实的生产和生活,我们必须从战略上解决这一问题。

AIRBUS Defense & Space不仅可为顾客提高网络安全事故的应急响应服务,而且能够指导顾客拟定完整的解决方案。

今天,我们决定公开一个叫做“Pitty Tigger” 的APT组织的相关信息。这片报道所涉及的资料,均是AIRBUS Defense & Space的Threat Intelligence组织的第一手信息。

我们的资料表明,Pitty Tiger组织在2011年就锋芒毕露。他们攻击过多个领域的各种单位。他们对国防和通讯业的承包商下过手,也对一个(或更多)政府部门发起过攻击。

我们投入了大量精力以追踪这个组织,现在已经能够披露他们的各类信息。我们已经对他们“恶意软件军火[……]

阅读全文

ByeBye Shell——针对巴基斯坦的网络间谍战

2013年10月14日 1 条评论

 原文:http://community.rapid7.com/community/infosec/blog/2013/08/19/byebye-and-the-targeting-of-pakistan

翻译:封畅

亚洲和南亚就像一个黑客表演的舞台,每天都在邻国之间上演着无数的黑客攻击和网络间谍的斗争。最近我又发现了一个例子,一个从今年年初就开始活跃的黑客行动,针对的目标主要是巴基斯坦。

在这篇文章中,我们会分析这次攻击的实质,攻击中用到的后门的功能(这个后门我给它起名叫ByeBye Shell),以及我和幕后黑客短暂的交手过程。

系统感染

在这个行动中并没有利用什么漏洞——攻击者大概仅仅依赖了社会工程学方法,通过精心伪装的邮件传播后门。

这个恶意软件第一次出现在受害者面前时是一个.scr文件。有时攻击者会使用LRO Unicode字符来将.exe文件伪装成其他更可信的文件。(译者注:RLO是微软的中东Unicode字符中的一个,其作用是强制其后的字符变为从右到左的方式显示,例如本來“setup-txt.exe”这样的文件名,在txt前面插入RLO控制字符之后变成“setup-exe.txt”。)

一旦这个文件被执行,它就会在一个%Temp%的子文件夹中释放并执行一个批处理脚本,内容如下:

@ echo off  
@ start "IEXPLORE.E[......]

阅读全文

关于KeyBoy针对越南和印度的攻击分析

2013年9月4日 没有评论

 原文:http://community.rapid7.com/community/infosec/blog/2013/06/07/keyboy-targeted-attacks-against-vietnam-and-india

翻译:王维

在对互联网上恶意代码的持续追踪和揭露过程中,我和马克偶然发现了一个明显针对各类地区不同人群受害者的针对性攻击行为。在这篇文章中,我们将分析两起针对印度和越南的攻击事件,在描述攻击行为中自定义后门功能的同时,为了方便(据我们所知它还没有名字),我们根据其中一个样本中发现的字符串“KeyBoy”来命名这个后门。

我们将展示攻击者是如何操作这些后门,并提供一些能帮助我们深入研究攻击的脚本,这对检测感染或寻找更多样本数据有一定价值。

漏洞利用和植入主体

几天前我们发现了第一个名为"THAM luan- GD- NCKH2.doc"的漏洞利用文件,它利用的是MS12-060补丁所修复的漏洞。当使用有漏洞的Word版本打开此文件时,恶意代码就会开始执行并显示正常的文件(如下):

document

这个用越南语书写的文档看起来是回顾和讨论科学研究和教学话题的最佳实践。我们对于被攻击者的身份一无所知,但我们猜测他可能是越南学术界的一员。这个文件的署名显示其作者叫“NguyenAnh Tuan”。

以下是漏洞利用文件的HASH值:

THAM lua[……]

阅读全文

叙利亚电子军攻击《洋葱报》启示录

2013年5月27日 2 条评论

原创:裴伟伟(做个好人)

以下是叙利亚电子军(Syrian Electronic Army)攻击《洋葱报》的手记,简而言之,就是叙利亚电子军针对《洋葱报》员工Google Apps账户发起的三次钓鱼攻击。

今年5月3号左右,叙利亚电子军(SEA)通过钓鱼邮件对美国《洋葱报》发起了一次攻击。邮件截图如下:

phish1

图中看似来自华盛顿的链接实际上会链接到“http://hackedwordpresssite.com/theonion.php”,而该链接又会重定向至下面的链接:

http://googlecom.comeze.com/a/theonion.com/Service.Login?&passive=1209600&cpbps=1&continue=https://mail.google.com/mail/

这个链接在跳转到Gmail收件箱时会要求用户输入Gmail账户信息。

这封邮件由《洋葱报》之外的陌生邮箱发送给员工,其中有些员工将这封邮件作为垃圾邮件处理而未点击查看,但仍有至少一名员工被成功钓鱼。

攻击者在获取到这名员工的帐号信息后以该员工的邮件发送同样的钓鱼邮件给更多的员工,发送时间大约是5月6日凌晨2点30分。由于收到来自同事的邮件,许多员工点击了邮件中的链接,其中多数人并未输入自己的账户信息。但仍有两名员工点击链接并授权给该链接,其中一名员工的账户甚至有报社所有人的社交账户信息[……]

阅读全文