存档

文章标签 ‘僵尸网络’

在线攻击的幕后场景:对利用Web漏洞行为的分析

2015年4月28日 没有评论

原文:http://www.internetsociety.org/doc/behind-scenes-online-attacks-analysis-exploitation-behaviors-web

翻译:赵阳

摘要:现如今Web攻击已经成为了互联网安全的一个主要威胁,人们对它进行了很多研究,特别详细地分析了攻击是如何进行,如何传播的。但是,对于当Web被攻陷时的攻击者的典型行为研究却很少。本文描述了一个设计、执行、配置有500个完整功能的蜜罐技术网站,从而可以提供多种不同服务,目的就是要吸引攻击者,采集攻击者在攻击过程中和攻击后的行为信息。在100天的实验过程中,我们的系统自动采集、处理和规整了85000个在大概6000次攻击后留下的文件,并把攻击者的攻击路线标记成了不同类别,以区分它们在每次利用Web应用漏洞过程中的行为。

一、引言

Web攻击是对人们经济和知识财产造成破坏的主要原因之一。去年,这种攻击的数量不断在增长,复杂程度也在增加,并且目标多是政府和高利润的公司,窃取个人信息的同时造成了数百万欧元的经济损失。使用台式机、笔记本和智能手机上网的人数的不断增加,这就有了很吸引人的攻击目标,从而使他们走上了犯罪的道路。

这种趋势也已经成为了学术研究之一。事实上,快速的看下前些年发表的论文,会发现与Web攻击和防守相关的文章很多。这些研究大多数关注于一些普通的与Web应用、Web服务器或是浏览器相关的漏洞,通过这些漏洞来拿下目标。其余的剖析了针对内部构件的特殊攻击活动[5,13,17][……]

阅读全文

俄罗斯网络威胁概览

2014年12月22日 没有评论

原文:《The Cyber Threat Landscape of the Russian Federation》(2010年7月21日)

翻译:lgt945

*译文长达近三万字,故本文仅贴出前两章,应iDefense要求,我们不再提供原版报告下载。由于译者水平有限,译文或有翻译不当之处,欢迎各位指正。

一、摘要

与中国和美国不同,俄罗斯(见图1-1)是世界上发生恶意网络活动和网络犯罪行为最多的国家,而这主要是由于其IT产业爆炸式的增长以及一定程度上俄罗斯政府的主导导致的。基本上每种经济网络犯罪和政治网络攻击都会在俄罗斯发生,本报告对这两种行为进行了详细的描述。

俄罗斯的地理条件、社会经济环境、杂乱的历史和严厉的政策等因素使得这里产生了一个了网络犯罪的平台。优秀的教育环境使得俄罗斯大量有高科技思想的人工作在远低于他们能力的位置上。犯罪文化的流行和人情变得冷漠,甚至年轻的俄罗斯政府的腐败,都导致许多人进入了这个很容易从西方公司和私人个体获取名声和金钱的地下犯罪环境中来。

图1-1

图1-1:俄罗斯地图

在约束网络犯罪方面,俄罗斯的政府领导几乎起不到帮助作用。一直到最近,由于俄罗斯本土的受害者并不多,而且有限的资源迫使官方主要将注意力集中在了反恐方面,使得关心网络犯罪的群体异常稀少。这一情形随着俄罗斯公民受到的网络攻击逐渐增长而开始缓慢的改变。贪污腐败也是一大问题,而且还受到上述资源的限制。私人企业,尤其是大型的网络服务提供商(ISP),开始合作应对网络犯罪[……]

阅读全文

印度网络威胁概览

2014年10月29日 没有评论

原文:iDefense全球威胁调查报告(GTRR)《The Cyber Threat Landscape in India》(2010年1月30日)

翻译:刘盖特

一、摘要

印度是一个充满反差和多样化的国家,其众多的族群、信仰、语言和政治变化构成了如今的文化和社会。印度最近也成为了世界IT产业的主角,印度的高等学校有很多的毕业生成为了程序员、计算机工程师或其他IT专业人士,这其中有许多人工作在在美国、澳大利亚、欧洲和全球其他国家。同时,班加罗尔地区也已经演变为印度的硅谷,那里运营着数量庞大且多样的IT公司。随着这种在信息和通信技术(ICT)方面激增式的发展,一个值得注意且充满IT安全挑战的特色网络已然在印度形成。

印度的IT安全挑战主要集中在来自斯里兰卡、巴基斯坦、马来西亚、印度尼西亚、泰国、中国和俄罗斯等地组织缜密的跨国团伙进行的信用卡和银行卡欺诈方面。这里也有大量的僵尸网络和命令与控制服务器(C&C)以及数量可观的旨在攻击本地和国际商务业务的钓鱼网站。iDefense分析师有充足的证据表明中东地区存在有政治动机的黑客主义(即黑客行为),在印度也是如此;由于其复杂和动态的社会政治性,黑客主义是普遍存在的,但是相对于其他信息安全威胁来说其危险性几乎可以忽略不计。

除了类似僵尸网络、银行欺诈、数据偷窃或网络间谍等纯粹的基于网络的威胁之外,在印度还有更多的基于真实世界的威胁。在这些威胁中可能有也可能没有网络因素,但都存在对国家的商业运营产生显著影响的可能性。这些威胁包括恐怖主义、政治暴力、[……]

阅读全文

瞅一瞅Andromeda僵尸网络

2014年9月1日 1 条评论

原文:http://blog.fortinet.com/post/A-Good-Look-at-the-Andromeda-Botnet

翻译:徐文博

Andromeda是一个模块化的bot。最原始的bot仅包含一个加载器,在其运行期间会从C&C服务器上下载相关模块和更新,它同时也拥有反虚拟机和反调试的功能。它会注入到可信进程中来隐藏自己,然后删除原始的bots。该bot会潜伏很长时间(从几天到几个月不等)才与C&C服务器进行通信。所以,很难获取到感染主机和C&C服务器间的网络流量信息。

最新的官方编译版本是2.06,该版本的bot所发的包中有新增的内容。此外,它也能够分发其他多样的僵尸变种,下载相关模块和更新。

Hex1

图1:GeoIP地图显示的Andromeda的分布

一、打包器

打包器中有大量的冗余代码,所以可以很好的隐藏真实代码。它会调用GetModuleHandlerA API去获取bot的基址,检查MZ标记和PE特征码,然后确认是否有6个段。如果是,则会从第4个段中加载数据,进行解密,然后会校验解密的MZ标记、PE特征码,调用CreateProcessW API来重新加载执行原始的bot,但会把dwCreationFlags值设为CREATE_SUSPENDED。打包器会用解密的第4个段中的代码,来注入到这第二个进程中。稍后,打包器会采用同样的方法,从第5个段中加载另一个PE。

这个强大的打包器能[……]

阅读全文

互联网世界的毒瘤——僵尸网络

2013年12月30日 没有评论

原创:裴伟伟(做个好人)

从世界上第一个蠕虫病毒————莫里斯————因其巨大的系统破坏力和传播速度被人们所关注,便意味着在恶意代码斗争的战场上传播速度势必成为新的衍变方式。而互联网自上世纪90年代初期开始迅猛发展更是为这种恶意代码的快速传播提供了新的媒介和渠道,没有人料到另外一种结合病毒、木马、蠕虫技术为一体的新的信息安全威胁方式————僵尸网络————会如此令世界诸多信息安全专家所头疼,以至于直到今天,在针对僵尸网络的行动中,处于正义一方的白帽子们仍然无法信心满满地占得上风。

创造和管理僵尸网络的软件使得僵尸网络的危害程度远远高于以往恶意脚本那一代,它不仅仅是病毒,更是病毒的病毒,它的危害性更集传统的病毒、木马、蠕虫为一体,既可以进行常规的系统驻留、信息窃取、远程操控,也具备蠕虫的网络传播特性。如果将病毒、木马、间谍软件、后门、蠕虫等等形容为《植物大战僵尸》中的各色装备的僵尸,那僵尸网络用“一大波僵尸”来形容再合适不过。

一、僵尸网络的特点

僵尸网络的特点在于:能够在僵尸客户端上执行所设定的操作而无需僵尸牧人(幕后控制者/僵尸网络所有者)直接登陆该客户端;在僵尸牧人很少甚至不插手的情况下,僵尸客户端能够协同合作并针对同一任务或目标行动。事实上,僵尸网络与蠕虫病毒唯一的区别就在于僵尸网络拥有统一[……]

阅读全文