存档

‘网络犯罪’ 分类的存档

在线攻击的幕后场景:对利用Web漏洞行为的分析

2015年4月28日 没有评论

原文:http://www.internetsociety.org/doc/behind-scenes-online-attacks-analysis-exploitation-behaviors-web

翻译:赵阳

摘要:现如今Web攻击已经成为了互联网安全的一个主要威胁,人们对它进行了很多研究,特别详细地分析了攻击是如何进行,如何传播的。但是,对于当Web被攻陷时的攻击者的典型行为研究却很少。本文描述了一个设计、执行、配置有500个完整功能的蜜罐技术网站,从而可以提供多种不同服务,目的就是要吸引攻击者,采集攻击者在攻击过程中和攻击后的行为信息。在100天的实验过程中,我们的系统自动采集、处理和规整了85000个在大概6000次攻击后留下的文件,并把攻击者的攻击路线标记成了不同类别,以区分它们在每次利用Web应用漏洞过程中的行为。

一、引言

Web攻击是对人们经济和知识财产造成破坏的主要原因之一。去年,这种攻击的数量不断在增长,复杂程度也在增加,并且目标多是政府和高利润的公司,窃取个人信息的同时造成了数百万欧元的经济损失。使用台式机、笔记本和智能手机上网的人数的不断增加,这就有了很吸引人的攻击目标,从而使他们走上了犯罪的道路。

这种趋势也已经成为了学术研究之一。事实上,快速的看下前些年发表的论文,会发现与Web攻击和防守相关的文章很多。这些研究大多数关注于一些普通的与Web应用、Web服务器或是浏览器相关的漏洞,通过这些漏洞来拿下目标。其余的剖析了针对内部构件的特殊攻击活动[5,13,17][……]

阅读全文

俄罗斯网络威胁概览

2014年12月22日 没有评论

原文:《The Cyber Threat Landscape of the Russian Federation》(2010年7月21日)

翻译:lgt945

*译文长达近三万字,故本文仅贴出前两章,应iDefense要求,我们不再提供原版报告下载。由于译者水平有限,译文或有翻译不当之处,欢迎各位指正。

一、摘要

与中国和美国不同,俄罗斯(见图1-1)是世界上发生恶意网络活动和网络犯罪行为最多的国家,而这主要是由于其IT产业爆炸式的增长以及一定程度上俄罗斯政府的主导导致的。基本上每种经济网络犯罪和政治网络攻击都会在俄罗斯发生,本报告对这两种行为进行了详细的描述。

俄罗斯的地理条件、社会经济环境、杂乱的历史和严厉的政策等因素使得这里产生了一个了网络犯罪的平台。优秀的教育环境使得俄罗斯大量有高科技思想的人工作在远低于他们能力的位置上。犯罪文化的流行和人情变得冷漠,甚至年轻的俄罗斯政府的腐败,都导致许多人进入了这个很容易从西方公司和私人个体获取名声和金钱的地下犯罪环境中来。

图1-1

图1-1:俄罗斯地图

在约束网络犯罪方面,俄罗斯的政府领导几乎起不到帮助作用。一直到最近,由于俄罗斯本土的受害者并不多,而且有限的资源迫使官方主要将注意力集中在了反恐方面,使得关心网络犯罪的群体异常稀少。这一情形随着俄罗斯公民受到的网络攻击逐渐增长而开始缓慢的改变。贪污腐败也是一大问题,而且还受到上述资源的限制。私人企业,尤其是大型的网络服务提供商(ISP),开始合作应对网络犯罪[……]

阅读全文

印度网络威胁概览

2014年10月29日 没有评论

原文:iDefense全球威胁调查报告(GTRR)《The Cyber Threat Landscape in India》(2010年1月30日)

翻译:刘盖特

一、摘要

印度是一个充满反差和多样化的国家,其众多的族群、信仰、语言和政治变化构成了如今的文化和社会。印度最近也成为了世界IT产业的主角,印度的高等学校有很多的毕业生成为了程序员、计算机工程师或其他IT专业人士,这其中有许多人工作在在美国、澳大利亚、欧洲和全球其他国家。同时,班加罗尔地区也已经演变为印度的硅谷,那里运营着数量庞大且多样的IT公司。随着这种在信息和通信技术(ICT)方面激增式的发展,一个值得注意且充满IT安全挑战的特色网络已然在印度形成。

印度的IT安全挑战主要集中在来自斯里兰卡、巴基斯坦、马来西亚、印度尼西亚、泰国、中国和俄罗斯等地组织缜密的跨国团伙进行的信用卡和银行卡欺诈方面。这里也有大量的僵尸网络和命令与控制服务器(C&C)以及数量可观的旨在攻击本地和国际商务业务的钓鱼网站。iDefense分析师有充足的证据表明中东地区存在有政治动机的黑客主义(即黑客行为),在印度也是如此;由于其复杂和动态的社会政治性,黑客主义是普遍存在的,但是相对于其他信息安全威胁来说其危险性几乎可以忽略不计。

除了类似僵尸网络、银行欺诈、数据偷窃或网络间谍等纯粹的基于网络的威胁之外,在印度还有更多的基于真实世界的威胁。在这些威胁中可能有也可能没有网络因素,但都存在对国家的商业运营产生显著影响的可能性。这些威胁包括恐怖主义、政治暴力、[……]

阅读全文

虎视眈眈的Pitty Tiger

2014年9月17日 1 条评论

原文:Airbus Defence & Space公司2014年发布的《The Eye of the Tiger》

翻译:做个好人、Archer

原作者

Ivan FONTARENSKY    Malware Research

Fabien PERIGAUD    Reverse Engineering

Ronan MOUCHOUX    Threat Intelligence

Cedric PERNET    Threat Intelligence

David BIZEUL    Head of CSIRT

摘要

近些年来,通过网络窃取机密的事情屡见不鲜。各路媒体争相报道以APT为代表的计算机攻击以及其危害。频发于网络的数字攻击已经影响到现实的生产和生活,我们必须从战略上解决这一问题。

AIRBUS Defense & Space不仅可为顾客提高网络安全事故的应急响应服务,而且能够指导顾客拟定完整的解决方案。

今天,我们决定公开一个叫做“Pitty Tigger” 的APT组织的相关信息。这片报道所涉及的资料,均是AIRBUS Defense & Space的Threat Intelligence组织的第一手信息。

我们的资料表明,Pitty Tiger组织在2011年就锋芒毕露。他们攻击过多个领域的各种单位。他们对国防和通讯业的承包商下过手,也对一个(或更多)政府部门发起过攻击。

我们投入了大量精力以追踪这个组织,现在已经能够披露他们的各类信息。我们已经对他们“恶意软件军火[……]

阅读全文

网络犯罪和网络间谍对经济的影响

2014年3月5日 没有评论

原文:The economic impact of cybercrime and cyber espionage

翻译:李天星(Leo)

一、简介

网络犯罪,网络间谍和其他恶意网络活动被一些人称作是“人类历史上最伟大的财富转移”,还有其他人称之为“14万亿美元的经济舍入误差?”。

大致估算现有的损失————从十几亿美元到几千亿美元————就已经反映了一些问题。有的公司隐瞒了它们的损失而有一些公司还不清楚自己的损失,因为知识产权是很难去衡量其价值的。有些估算是基于其调查结果,但是除非能够细致的构建评估体系,否则最后的估算会很不准确。网络安全调查的一个常见问题就是,有一些精心准备答案回答问题的人,他们的回应将会影响最终结果的准确性。由于数据收集的问题,损失评估都是基于一定的规模和影响力假设,而改变这种(前提)假设,你就会得到不一样的结果,而这些问题让很多评估受到质疑。

恶意网络活动结构

在这个先期报告中,我们从什么应该算作网络犯罪和网络间谍带来的损失开始。我们可以将恶意网络事件分为以下的6个部分:

  • 知识产权和商业机密损失

  • 网络犯罪,每年消耗世界数百万美元

  • 敏感商业信息的泄露,其中包括可能被操纵的股市

  • [……]

阅读全文

互联网世界的毒瘤——僵尸网络

2013年12月30日 没有评论

原创:裴伟伟(做个好人)

从世界上第一个蠕虫病毒————莫里斯————因其巨大的系统破坏力和传播速度被人们所关注,便意味着在恶意代码斗争的战场上传播速度势必成为新的衍变方式。而互联网自上世纪90年代初期开始迅猛发展更是为这种恶意代码的快速传播提供了新的媒介和渠道,没有人料到另外一种结合病毒、木马、蠕虫技术为一体的新的信息安全威胁方式————僵尸网络————会如此令世界诸多信息安全专家所头疼,以至于直到今天,在针对僵尸网络的行动中,处于正义一方的白帽子们仍然无法信心满满地占得上风。

创造和管理僵尸网络的软件使得僵尸网络的危害程度远远高于以往恶意脚本那一代,它不仅仅是病毒,更是病毒的病毒,它的危害性更集传统的病毒、木马、蠕虫为一体,既可以进行常规的系统驻留、信息窃取、远程操控,也具备蠕虫的网络传播特性。如果将病毒、木马、间谍软件、后门、蠕虫等等形容为《植物大战僵尸》中的各色装备的僵尸,那僵尸网络用“一大波僵尸”来形容再合适不过。

一、僵尸网络的特点

僵尸网络的特点在于:能够在僵尸客户端上执行所设定的操作而无需僵尸牧人(幕后控制者/僵尸网络所有者)直接登陆该客户端;在僵尸牧人很少甚至不插手的情况下,僵尸客户端能够协同合作并针对同一任务或目标行动。事实上,僵尸网络与蠕虫病毒唯一的区别就在于僵尸网络拥有统一[……]

阅读全文

FBI针对Tor网络的恶意代码分析

2013年11月11日 没有评论

原文:http://ghowen.me/fbi-tor-malware-analysis/

翻译:李秀烈

一、背景

Tor(The Oninon Router)提供一个匿名交流网络平台,它使得用户在浏览网页或访问其它网络服务时不会被跟踪。作为该网络的一部分即所谓的“暗网”(darknet),是指只能通过Tor网络访问的服务器群组,这些服务器提供包括社区论坛、电子邮件等多种服务。虽然提供这些服务都是无恶意的,初衷是用来关注侵犯人权问题,但是由于匿名的原因吸引了很多有犯罪意图的人,比如传播儿童色情。事后执法部门也不能追踪到犯罪者的源IP地址。

2013年,在“暗网”服务器上发现了一款恶意软件,它利用特定Web浏览器上的安全漏洞在用户电脑上执行一段代码。该代码收集一些用户信息,发往弗吉尼亚州的服务器,之后自毁。就恶意软件的特征来讲,它没有明显的恶意意图。初步推断是FBI植入,他们在弗吉尼亚州有办事处,曾经也派专人开发过恶意程序,可能是他们创建了它————现在看来是真的。

二、对Shellcode的逆向分析

1、漏洞利用

漏洞利用代码用javascript编写,利用一个出名的firefox浏览器的特定版本(Tor网络预装的firefox)的漏洞。该漏洞利用代码经过了模糊处理,但通过快速扫描可以看到一长串十六进制字符,这些字符是shellcode的前几个标志性字节,即call操[……]

阅读全文