印度网络威胁概览

2014年10月29日 没有评论 4,463次浏览    

原文:iDefense全球威胁调查报告(GTRR)《The Cyber Threat Landscape in India》(2010年1月30日)

翻译:刘盖特

一、摘要

印度是一个充满反差和多样化的国家,其众多的族群、信仰、语言和政治变化构成了如今的文化和社会。印度最近也成为了世界IT产业的主角,印度的高等学校有很多的毕业生成为了程序员、计算机工程师或其他IT专业人士,这其中有许多人工作在在美国、澳大利亚、欧洲和全球其他国家。同时,班加罗尔地区也已经演变为印度的硅谷,那里运营着数量庞大且多样的IT公司。随着这种在信息和通信技术(ICT)方面激增式的发展,一个值得注意且充满IT安全挑战的特色网络已然在印度形成。

印度的IT安全挑战主要集中在来自斯里兰卡、巴基斯坦、马来西亚、印度尼西亚、泰国、中国和俄罗斯等地组织缜密的跨国团伙进行的信用卡和银行卡欺诈方面。这里也有大量的僵尸网络和命令与控制服务器(C&C)以及数量可观的旨在攻击本地和国际商务业务的钓鱼网站。iDefense分析师有充足的证据表明中东地区存在有政治动机的黑客主义(即黑客行为),在印度也是如此;由于其复杂和动态的社会政治性,黑客主义是普遍存在的,但是相对于其他信息安全威胁来说其危险性几乎可以忽略不计。

除了类似僵尸网络、银行欺诈、数据偷窃或网络间谍等纯粹的基于网络的威胁之外,在印度还有更多的基于真实世界的威胁。在这些威胁中可能有也可能没有网络因素,但都存在对国家的商业运营产生显著影响的可能性。这些威胁包括恐怖主义、政治暴力、[……]

阅读全文

虎视眈眈的Pitty Tiger

2014年9月17日 1 条评论 7,787次浏览    

原文:Airbus Defence & Space公司2014年发布的《The Eye of the Tiger》

翻译:做个好人、Archer

原作者

Ivan FONTARENSKY    Malware Research

Fabien PERIGAUD    Reverse Engineering

Ronan MOUCHOUX    Threat Intelligence

Cedric PERNET    Threat Intelligence

David BIZEUL    Head of CSIRT

摘要

近些年来,通过网络窃取机密的事情屡见不鲜。各路媒体争相报道以APT为代表的计算机攻击以及其危害。频发于网络的数字攻击已经影响到现实的生产和生活,我们必须从战略上解决这一问题。

AIRBUS Defense & Space不仅可为顾客提高网络安全事故的应急响应服务,而且能够指导顾客拟定完整的解决方案。

今天,我们决定公开一个叫做“Pitty Tigger” 的APT组织的相关信息。这片报道所涉及的资料,均是AIRBUS Defense & Space的Threat Intelligence组织的第一手信息。

我们的资料表明,Pitty Tiger组织在2011年就锋芒毕露。他们攻击过多个领域的各种单位。他们对国防和通讯业的承包商下过手,也对一个(或更多)政府部门发起过攻击。

我们投入了大量精力以追踪这个组织,现在已经能够披露他们的各类信息。我们已经对他们“恶意软件军火[……]

阅读全文

瞅一瞅Andromeda僵尸网络

2014年9月1日 1 条评论 3,195次浏览    

原文:http://blog.fortinet.com/post/A-Good-Look-at-the-Andromeda-Botnet

翻译:徐文博

Andromeda是一个模块化的bot。最原始的bot仅包含一个加载器,在其运行期间会从C&C服务器上下载相关模块和更新,它同时也拥有反虚拟机和反调试的功能。它会注入到可信进程中来隐藏自己,然后删除原始的bots。该bot会潜伏很长时间(从几天到几个月不等)才与C&C服务器进行通信。所以,很难获取到感染主机和C&C服务器间的网络流量信息。

最新的官方编译版本是2.06,该版本的bot所发的包中有新增的内容。此外,它也能够分发其他多样的僵尸变种,下载相关模块和更新。

Hex1

图1:GeoIP地图显示的Andromeda的分布

一、打包器

打包器中有大量的冗余代码,所以可以很好的隐藏真实代码。它会调用GetModuleHandlerA API去获取bot的基址,检查MZ标记和PE特征码,然后确认是否有6个段。如果是,则会从第4个段中加载数据,进行解密,然后会校验解密的MZ标记、PE特征码,调用CreateProcessW API来重新加载执行原始的bot,但会把dwCreationFlags值设为CREATE_SUSPENDED。打包器会用解密的第4个段中的代码,来注入到这第二个进程中。稍后,打包器会采用同样的方法,从第5个段中加载另一个PE。

这个强大的打包器能[……]

阅读全文

如何阻止下一次心脏出血漏洞

2014年7月15日 没有评论 5,662次浏览    

原文:How to Prevent the next Heartbleed.docx

翻译:赵阳

一、引言

基于OpenSSL的心脏出血漏洞被认为是CVE-2014-0160的严重问题,OpenSSL被广泛的应用于SSL和TLS插件上。本文用对心脏出血漏洞的解释来说明这个漏洞是怎么被利用的。

本文中研究了抗心脏出血漏洞及其相似漏洞的专用工具和技术。我首先通过简单的测试来分析为什么很多的工具和技术不能发现这些漏洞,这样可以使我们更能了解到为什么之前的技术不能发现这些漏洞。我还要概括总结要点来减少这些的问题。本文不介绍如何编写安全软件,你可以从我的书《Secure Programming for Linux and Unix HOWTO》或是其他的著作中学习到这点,本文中认为您能开发软件。

我的目的是为了帮助防止类似漏洞的出现,从而提高安全软件的开发能力。正如Orson Scott Card’s Ender’s Game中的虚幻人物Mazer Rackham所说的“这里没有老师,只有敌人…只有在敌人那里你才能了解到自己的弱点。”让我们来了解这些漏洞,然后可以避免相似的漏洞再次出现。

二、为什么这个漏洞不能更早的被发现?

这个OpenSSL漏洞是由一个很熟悉的问题引起的,这个关键的问题就是缓冲区读溢[……]

阅读全文

如何开始CTF比赛之旅

2014年6月20日 没有评论 15,277次浏览    

原文:http://www.endgame.com/blog/how-to-get-started-in-ctf.html

翻译:赵阳

在过去的两个星期里,我已经在DEFCON 22 CTF里检测出了两个不同的问题:“shitsco”和“nonameyet”。感谢所有的意见和评论,我遇到的最常见的问题是:“我怎么才能在CTFs里开始?”在不久前我问过自己一样的问题,所以我想要给出些对你追求CTFs的建议和资源。最简单的方法就是注册一个介绍CTF的帐号,如CSAWPico CTFMicrocorruption或是其他的。通过实践、耐心和奉献精神,你的技能会随着时间而提高。

如果你对CTF竞争环境之外的问题有兴趣,这里有一些CTF比赛问题的集锦。挑战往往也是有多种不同的难度级别,注意解决最简单的问题。难易程度是根据你的个人技能的程度决定的,如果你的长处是取证,但是你对加密不在行,取证问题将会成为得分点而相比之下加密问题就会拖后腿。CTF组织者对此有同样的感知,这是为什么对于CTF比赛的评价是很大的挑战性。

如果你已经亲自尝试过几个基础问题且仍然苦恼,现在有很多自学的机会!CTF比赛主要表现以下几个技能上:逆向工程、密码学、ACM编程、web漏洞、二进制练习、网络和取证。可以从中选择并关注一个你已经上手的技能方向。

1、逆向工程。我强烈建议你得到一个IDA Pr[……]

阅读全文

验证Windows内核漏洞的框架

2014年6月6日 没有评论 4,295次浏览    

原文:http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Verifying-Windows-Kernel-Vulnerabilities/ba-p/6252649#.UyZi2T-Sy0f

翻译:徐文博

Pwn2Own大赛之后,HP的0day防御计划(Zero Day Initiative, ZDI) 并不要求研究者给我们提供相关攻击利用。ZDI的分析师对每个提交的案例进行评估,可能也会挑选一些进行全面的攻击利用。

在内核级的漏洞(操作系统本身或者硬件驱动)中,有一项就是我们常说的’任意写(write-what-where)’[1]。 为便于分析, 很有必要写个基本的框架,对给定的’任意写(write-what-where)’漏洞进行封装,并验证其对操作系统的利用。

要把任意的写操作转换为攻击利用,需要三个基本的步骤, 我们将来逐一介绍。

禁用Windows访问权限检查的负载

Windows访问控制系统的核心是nt!SeAccessCheck函数。它决定着我们是否有权访问操作系统中的对象(文件,进程等等)。

我们将采用的手法,于1992年由Greg Hoglund[2]首次提及, 2006年由John Heasman改进使用[3]。 这里将采用后者作为我们的起点。[……]

阅读全文

电子取证之Linux PCI分析

2014年5月28日 没有评论 3,380次浏览    

原创:4ll3n

上篇文章为大家讲解了在Linux ext4分区下如何恢复误删除文件的整个过程,每次坐在电脑前,把手机和电脑通过USB接口进行连接,为手机充电。总在想一个问题:“手机和电脑连接后,系统又做了点什么?”这就是整篇文章开始的源泉。

现在让我们走进系统,看看它的运行原理:

linux pci 01

终端命令lsusb,分别列举了挂载设备的Bus、Device、ID、Name,什么是ID呢?设备的ID由Vendor、ProdID组成。

linux pci 02

设备每次的挂在ID值在主机上是个唯一的指纹,这组数据在Command下如何获取呢?可以使用usb-devices获取所有在主机上以USB接口为主的所有参数。

Command给出的参数列表来自于:

linux pci 03

图中给出了大量文本文件和对应的目录名,来验证下,数据是否正确:

linux pci 04

看到图片有五个编号以1-8开头,以1.x结尾的文件目录,它们对应的是什么呢?

linux pci 05

1-8:1.0对应这If#=0,依此类推,而如何获取图片中的Name?

linux pci 06

进入目录后,可以发现其中有个名为:interface,对进行cat,就能得到上图中的接口名。

 

讲到这里,我们还有没结束,继续往深处挖掘,看看它们其他的关联文件。

linux pci 07

在/run/udev/links下,找到了系[……]

阅读全文