• Windows任务计划零日漏洞及PoC
  • Windows零日漏洞就在那里,CERT确知尚无实际解决方案,微软周二补丁雷打不动。

    上周,推特用户“SandboxEscaper(沙箱逃逸者)”因厌烦IT安全工作,愤而披露本地提权漏洞及其概念验证代码(PoC),并称:

    微软是个蠢货,我等不及卖出他们软件里的漏洞了。

    该漏洞是微软Windows任务计划所用“高级本地程序调用(ALPC)”接口中的本地提权漏洞。在推特上披露该漏洞并链向GitHub上的PoC之后,SandboxEscaper宣称自己将消失一段时间。

    分析师证实Windows零日漏洞利用

    美国计算机应急响应小组(CERT/CC)漏洞分析师 Will Dormann 测试了该漏洞利用程序,并确认对打全补丁的64位 Windows 10 系统有效。

    Dormann随即在CERT发布了漏洞说明:“微软Windows任务计划在高级本地程序调用(ALPC)接口中含有一个本地提权漏洞,可致本地用户获取系统(SYSTEM)权限。”

    微软Windows任务计划在ALPC的处理上存在漏洞,能令本地用户获得系统(SYSTEM)权限。我们已经证实该公开漏洞利用代码对64位 Windows 10 和 Windows Server 2016 系统有效。该公开可用的漏洞利用程序源代码经修改后也可能适用于其他Windows版本。

    从该漏洞说明来看,CERT目前并未发现实际解决方案。

    安全研究员 Kevin Beaumont 在DoublePulsar上解释了该漏洞利用程序的局限性,并描述了利用该漏洞的其他方法。他还在GitHub上贴出了漏洞代码以方便分析。

    如何在自身系统上检测该漏洞利用

    如果使用微软Sysmon工具,查找spoolsv.exe产出异常进程的情况,这是该漏洞利用(或另一个Spooler漏洞利用)正在执行的确切迹象。同样是用Sysmon,查找connhost.exe(任务计划)产生异常进程(例如后台打印程序)的情况。

    切实修复应出自微软。微软发言人已表示“将尽快主动更新受影响系统。”PoC代码就在网上挂着,而下一次周二补丁日还有两周才到来,攻击者有相当长的窗口期可以对目标的Windows主机下手。

    随着这一最新Windows操作系统漏洞的披露,IT人员需特别注意其网络用户的行为。SandboxEscaper“研究员”在推特上发布的PoC,给了恶意攻击者入侵公司企业盗取有价值信息的有利条件。

    应持续应用网络流量分析来检测进出网络的异常流量,并标记用户异于往常的行为表现。此类异常行为就是有人正利用该漏洞提升自身权限的显著指标。我们不得不等待微软的响应,但如果直到既定的9月11号周二补丁日之前都没有任何缓解措施发布,黑客将有2周之久的窗口期可供利用该漏洞。

    漏洞的利用方法原文链接:

    https://doublepulsar.com/task-scheduler-alpc-exploit-high-level-analysis-ff08cda6ad4f


  • 2018-9-12查看详情>>
  • DDoS二十年:Arbor Networks 发布DDoS攻击简史
  • 20年来,分布式拒绝服务攻击从好奇之作,演变成讨厌之物,再最终成为网站、在线服务和应用的严重威胁。到了今天,廉价易用的工具令任何居心不良且能上网的人,都可以轻易地发动这种攻击。DDoS已经十分普遍并前所未有的危险,而且没有任何消退的迹象。

    6

    1996年

    9月19日,CERT/CC发布公告,使用源IP地址欺骗的 TCP SYN 洪水攻击处于增长趋势。

    9月19日至21日,互联网服务提供商PANIX一连三天遭到持续的DDoS攻击,影响到大量使用PANIX作电子服务平台的用户。

    1997年

    早期的DDoS工具从地下浮现,Trinoo、Tribe Flood、TFN2K、Shaft等工具进入人们的视野。当时使用的攻击资源为IRC、Eggdrop或是中了Sub7木马的肉鸡。

    1998年

    1月,通过反欺骗防护DDoS攻击的工具 RFC 2267 发布,并很快成为众多网络厂商采用的最佳实践。

    2月7日至20日,名为“黑手党男孩”的黑客对多个电子商务网站发动持续性DDoS攻击,据加拿大皇家警察和美国FBI的调查,黑手党男孩通过IRC吹嘘他的“战绩”。2001年,黑手党男孩被判处8个月的“公开监禁”,一年的假释期,限制使用互联网,并处于少量罚金。

    4

    8月15日,Smurf Amplifier Registry 发布,帮助发现和禁用在DDoS中被滥用的“Smurf Amplifier”。这种攻击使用假冒的广播地址发送ICMP,让受害者接收反馈的流量。到2012年,超过19.3万个网络得到修复。

    5

    2002年

    10月19日至21日,大规模Smurf攻击根DNS服务器,并造成一些网站的瘫痪。最终攻击被击退,当时的攻击总流量达到900Mbps。

    2003年

    9月,美国国会推动网络安全立法,要求私人企业及上市公司上报他们的网络安全工作。

    2007年

    4月7日至5月10日,爱沙尼亚由于与俄罗斯的政治紧张关系,遭受了持续一个多月的DDoS攻击。

    3

    2008年

    1月21日,匿名者首次高调发动DDoS攻击,反动教会逼迫网站删除汤姆·克鲁斯的采访视频。

    2010年

    12月3日至5日,由于阻止了维基解密的支付功能,在线支付及金融服务公司的网站被攻击。

    2011年

    4月20日至26日,索尼遭受DDoS攻击,目的是为了掩盖盗取索尼PS的用户数据。

    6月9日,美国中央情报局局长 Leon Panetta 表示:“下一次珍珠港事件,很可能是网络攻击致使美国的电网、安全和金融系统的瘫痪。”

    2012年

    3月24日,加拿大新民主党的竞选投票系统被攻击,投票时间和投票人数均受影响。

    9月4日,匿名者为抗议对阿桑奇的行为,攻击了美国和两国政府的网站,包括英国情报机构M15和M16。

    9月18日,伊斯兰教组织 Izz Ad-Din 为抗议美国博客写手发布的穆斯林视频,攻击美国网站,该行动命名为“Ababil”。

    2013年

    3月16日,国际反垃圾邮件组织(Spamhaus)因为其列出了网络犯罪者托管企业的阻断名单,而遭到了垃圾信息和僵尸网络高达300Gbps的攻击。

    5月13日,FBI表示,和银行展开更多的合作是探测网络攻击的关键。

    2014年

    7月28日,急剧下降的DDoS攻击与以色列和伊斯兰抵抗运动(Hamas)之间最终未达成停火协商相关。

    11月24日,在一名仅持有BB弹仿真手枪的12岁小男孩,Tamir Rice,在克利夫兰公园被当地警员击毙后,匿名者封闭了其在克利夫兰市的网站并上传了一段视频。

    12月25日,黑客组织“蜥蜴部队”(Lizard Squad)宣布对其在SONY的PlayStation Network和微软的Xbox live上发动的DDoS攻击负责。

    2

    2015年

    12月15日,在土耳其发生击落俄罗斯军用飞机事件之后,土耳其遭到大规模DDoS攻击。

    2016年

    3月15日,匿名者宣布发动 #OpTrump 行动。

    1

    8月,里约奥运官方网站遭受大规模、复杂的DDoS网络攻击,攻击峰会流量达到500Gbps。


  • 2018-9-12查看详情>>
  • 网络安全工具普及——Web 漏洞扫描类
  • 1. Burp Suite (免费)

    Burp Suite 其实是一个平台,包含不同类型的工具,相互间有许多接口,连接便利,能加快渗透应用程序的进程。不同的工具共享相同的框架,用于显示和处理 HTTP 消息、身份验证、耐久性、日志记录、警报、代理和可扩展性。

    Burp Suite 需要付费,但也有免费试用版可以使用,适用于 Linux、MAC OS X 和 Windows 操作系统。

    网络安全工具普及——Web 漏洞扫描类

    2. Nikto (免费)

    Nikto 是一个开放源代码的 Web 服务器扫描程序,可以在 Web 服务器上执行超过 6700 个潜在危险文件和程序的测试。也可在超过 2700 台服务器上检查 1250 多个旧服务器的版本和特定的版本问题。此外,Nikto 还可检查服务器配置项目(如多个索引文件、HTTP 服务器选项等),还能尝试识别已安装的软件和 Web 服务器。其插件和扫描项目经常可以自动更新。

    其具体功能包括 SSL 支持;完整的 HTTP 代理支持;检查过时的服务器组件;以XML、HTML、CSV 或 NBE 等各种格式保存报告;通过使用模板引擎轻松自定义报告;通过输入文件在服务器或多服务器上扫描多个端口;识别通过头文件、文件和图标识别安装的软件;使用 NTLM 和 Basic 进行主机验证;检查常见的“parking”站点;在特定时间自动暂停等等。

    网络安全工具普及——Web 漏洞扫描类

    虽然 Nikto 并不可隐藏踪迹,却可以在尽可能快的时间内测试网络服务器,还能支持 LibWhisker 的反 IDS方法。

    其实,并非所有的检查都是为了查找安全问题。但是安全工程师和网站管理员有时不知道他们的服务器上存在“仅检查信息”类型的检查。而通过使用 Nikto,这些“信息类型”的检查会在打印出的信息中标记出来,还能扫描到另一些针对日志文件中未知项目的检查。

    Nikto 可免费使用。由于 Nikto 基于 perl,因此只在大多数安装了 Perl 翻译器的系统上运行。

    3. Acunetix Web Vulnerability Scanner(简称AWVS)

    是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,如交叉站点脚本,sql 注入等。在被黑客攻击前扫描购物车,表格、安全区域和其他Web应用程序。75% 的互联网攻击目标是基于Web的应用程序。因为他们时常接触机密数据并且被放置在防火墙之前。

    WVS如何工作

    WVS拥有大量的自动化特性和手动工具,总体而言,它以下面的方式工作:

    1.它将会扫描整个网站,它通过跟踪站点上的所有链接和robots.txt(如果有的话)而实现扫描。然后WVS就会映射出站点的结构并显示每个文件的细节信息。

    2.在上述的发现阶段或扫描过程之后,WVS就会自动地对所发现的每一个页面发动一系列的漏洞攻击,这实质上是模拟一个黑客的攻击过程。WVS分析每一个页面中可以输入数据的地方,进而尝试所有的输入组合。这是一个自动扫描阶段。

    3.在它发现漏洞之后,WVS就会在“Alerts Node(警告节点)”中报告这些漏洞。每一个警告都包含着漏洞信息和如何修复漏洞的建议。

    4.在一次扫描完成之后,它会将结果保存为文件以备日后分析以及与以前的扫描相比较。使用报告工具,就可以创建一个专业的报告来总结这次扫描。

    网络安全工具普及——Web 漏洞扫描类


  • 2018-9-12查看详情>>
  • 超强剧透!2018年国家网络安全宣传周9月17日开幕!
  • 开幕式规模最大、博览会展区面积最广、高峰论坛体量最大!

    1场开幕式,6项重大活动,6个专项主题日活动展示全球网络安全尖端成果。

    2018年国家安全宣传周活动来了!

    9月17日-23日,我们在成都高新区等你。

    超强“剧透”抢先GET!

    举办网络安全博览会

    2018年网络安全博览会将于9月17日至21日在成都市世纪城新国际会展中心1、2号馆举行。

    与往年相比,今年的博览会融合了网络安全人才培养、技术创新、产业发展等多项内容。博览会设置了一流网络安全学院建设示范项目成果展区,对西安电子科技大学、东南大学等七所示范高校一年来的建设进展和阶段性成果进行集中展示;设置了优秀网络安全解决方案和网络安全创新产品展,展示网络安全领域新技术新理念新方案;设置了成都专题展区,展示成都市网络安全和信息化建设成果。

    此外,博览会还配置了智能语音导览,设有现场答题闯关、知识大讲堂等系列环节,让广大观众在参观博览会过程中更好地了解网络安全、参与网络安全。届时,将有近百家企业机构将参展。

    举办网络安全技术高峰论坛

    论坛将邀请国内知名院士专家、大型互联网和网络安全企业的高管,及来自俄罗斯、英国、德国等国家的企业高管和专家,围绕关键信息基础设施保护、大数据安全、个人信息保护、网络安全标准、网络安全技术产业发展、网络安全人才培养等热点问题展开讨论。

    论坛包括一场主论坛和“大数据安全和个人信息保护分论坛”、“网民网络素养教育分论坛”等9场分论坛。

    举办主题日活动

    9月18日至23日,教育部、工信部、公安部、人民银行、共青团中央、全国总工会将分别组织开展校园日、电信日、法治日、金融日、青少年日、个人信息保护日等主题日活动。

    表彰网络安全先进典型

    为加快网络安全人才培养,中央网信办、教育部指导中国互联网发展基金会网络安全专项基金组织开展了网络安全优秀人才、优秀教师等评选活动。经过相关部门和院士推荐、专家评审、公示等环节,评选出网络安全优秀人才10名,网络安全优秀教师10名。获奖名单将在宣传周开幕式上宣布。

    四大创新亮点

    顶级企业和国内外专家汇聚蓉城,展示全球网络安全的尖端成果。本次活动将邀请国内外顶尖的网络安全研究机构和组织、行业权威专家以及知名网络企业代表齐聚蓉城,参加人数预计创历届新高。本次网络安全博览会的举办规模为历届之最。

    “巅峰极客”赛事永久落户,打造吸纳顶级网络安全人才集聚地。首次打造网络安全大赛活动——“巅峰极客”网络安全技能挑战赛,推出国内首个城市网络安全仿真靶场,为顶级人才提供自由交流平台。大赛作为独立IP,将永久落户成都。

    地方特色活动丰富,凸显网络安全重镇地位。2018年网络安全博览会特别设置成都主题展区,展区共计2000平米,分成都形象展区、成都网络安全展区、互动区三大部分,充分展示成都作为国家中心城市和全国网络安全重镇,带头落实和坚定服务国家战略的担当和成果。

    更加突出开放互动,激发维护网络安全的群众力量。网络安全微课活动覆盖全国,分为线上征集、线上投票和线下颁奖。线上征集已于7月20日面向全社会公开征集,作品形式涵盖动画、短视频、音乐、脱口秀、漫画、短篇小说、诗歌、游戏、VR、AR等类型;线上投票将于9月3日开始,对由专家评选出的百部精品作品开启投票通道;线下颁奖将于9月22日上午在成都市广播电视台演播厅举行,并进行网络视频直播,根据网络投票前三名评选出最终的金银铜三奖。

    参展企业

    国内外知名企业:阿里巴巴、腾讯、百度、奇虎360、浪潮、思科、中国电科集团、国家电网、航天科技集团公司等

    研究机构:第五研究院、国家工业信息安全发展研究中心等

    网络安全公司:卡巴斯基、启明星辰、安恒等

    电信运营商:中国移动、中国联通、中国电信等

    金融机构:中国银联、中国建设银行、中国邮政储蓄银行等

    据悉,国家网络安全宣传周已经连续举办4届,通过论坛、讲座、宣传片、互动等丰富多样的形式,“网络安全”观念越来越被广大网民所接受和认可,网民的防护技能也在逐步提升。“网络安全为人民,网络安全靠人民”,这场全民参与的网络安全盛会,已经让网络安全意识成为了一种文化。


  • 2018-9-12查看详情>>
  • Apache Struts 2 远程代码执行漏洞(cve-2018-1
  • 一.  漏洞概述

    北京时间8月22日,Struts官方公开了漏洞S2-057(CVE-2018-11776)。该漏洞可能在两种情况下被触发,第一,当没有为底层xml配置中定义的结果设置namespace值,并且其上部操作配置没有namespace或通配namespace时,可能构成RCE攻击。第二,当使用没有value和action集的url标签时,并且其上层操作配置没有或通配namespace时,也可能构成RCE攻击。


    参考链接:

    https://cwiki.apache.org/confluence/display/WW/S2-057



    二.  影响范围


    受影响版本

    l Struts2.3 – 2.3.34

    l Struts2.5 – 2.5.16


    不受影响版本

    l Struts 2.3.35

    l Struts 2.5.17



    三.  漏洞排查


    3.1  版本检测

    3.1.1  通过配置文件检测 

    此漏洞产生于低版本的Struts组件,当应用系统引入相关组件时,将存在被攻击者远程攻击的风险。建议由应用开发人员排查引入组件的版本是否处于受影响范围之内。

    查看Maven配置文件pom.xml中关于组件的版本。如:


    <dependency>

        <groupId>org.apache.struts</groupId>

        <artifactId>struts2-core</artifactId>

        <version>2.5.13</version>

    </dependency>


    3.1.2  通过组件名检测

    若红字所示版本在受影响范围内,则请用户尽快升级Struts2至最新版本,以保证长期有效的防护。

    Linux系统下可使用以下命令查找当前使用的struts2-core包,通过查看其文件名,判断当前版本。


    find / -name struts2-core-*.jar



    若红框处版本号在受影响范围内,则请用户尽快升级至最新版本。



    四.  漏洞防护


    4.1  官方升级

    官方已在最新版本中修复了此漏洞,请用户尽快将Struts升级至官方修复版本,2.3.*的用户需升级至2.3.35;2.5.*的用户需升级至2.5.17。开发人员可通过配置Maven或Gradle的方式对应用升级并编译发布,也可手动下载最新Struts框架进行替换。

    Maven配置


    <!-- https://mvnrepository.com/artifact/org.apache.struts/struts2-core -->

    <dependency>

        <groupId>org.apache.struts</groupId>

        <artifactId>struts2-core</artifactId>

        <version>2.5.17</version>

    </dependency>


    Gradle配置

    // https://mvnrepository.com/artifact/org.apache.struts/struts2-core

    compile group: 'org.apache.struts' name: 'struts2-core' version:'2.5.17'





    官方下载链接:


    Struts2.3.35

    http://mirrors.hust.edu.cn/apache/struts/2.3.35/struts-2.3.35-all.zip

    Struts2.5.17

    http://mirrors.hust.edu.cn/apache/struts/2.5.17/struts-2.5.17-all.zip



    4.2  临时解决建议

    排查所有Struts 2的配置文件,如struts.xml,为没有定义namespace命名空间的package节点添加命名空间配置,示例如下:


    <package name="user" namespace="/user" extends="struts-default">

        <action name="login">

        </action>

    </package>





    声明


    本安全公告仅用来描述可能存在的安全问题,神狐互联不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,神狐互联以及安全公告作者不为此承担任何责任。


  • 2018-8-25查看详情>>
  • 在线 DDoS 平台剧增,中国已经黑客化?
  • 在过去几个月中,思科 Talos 团队观察到提供在线 DDoS 服务的中国网站数量在激增,而且其中许多网站的站内布局和设计都一模一样,比如都提供了一个用户选择目标主机,端口,攻击方法和攻击持续时间的简单界面。此外,大多数网站都是在过去六个月内注册的。但是,这些网站是以不同的组名运营的,并且注册人也不同,Talo 还观察到这些网站的管理员竟然还相互发动攻击。  

    在本文中,Talos 团队试图找到中国的 DDoS 行业兴起的原因,并对未来的发展趋势做个估计。Talos 团队将会对最近创建的 DDoS 平台类型进行统计和监测,并分析它们的相似之处和差异。最后,再对几乎相同的 DDoS 网站的源代码进行深入研究。

    DDoS 即服务在中国

    目前,DDoS 工具和服务仍然是中国地下黑市中最受欢迎的产品之一。根据 Talos 团队的统计,目前<a href="http://iphone.myzaker.com/zaker/l.php?u=http%3A%2F%2Fwww.dute360.com%2F&target=_new" textvalue="" 独特="" "="" 社区="" target="_blank" style="background-image: initial; background-position: 0px 0px; background-size: initial; background-repeat: initial; background-attachment: initial; background-origin: initial; background-clip: initial; text-decoration-line: none;">" 独特 " 社区是中国最受欢迎的黑客论坛及交易平台之一,该平台会介绍各种 DDoS 相关工具,包括实际的攻击工具,以及相关的工具,例如用于不同攻击向量(包括 SSH 和 RDP)的暴力破解器。

    另外,中国的社交媒体应用如 WeChat,QQ 等都有数百个 DDoS 群聊组,专门用于介绍和销售各种相关的工具、恶意软件和攻击目标。这些群聊组的人可以分为三大类:黑客群体、意向购买客户以及各种攻击工具的代理商和广告商。

    以前,群聊中的主要产品都是一些让用户进行下载并安装的工具,否则无法进行操,比如,天罚 DDOS 压力测试系统

    这些工具管理和提供有关客户所需的僵尸网络的信息,然后允许用户自定义攻击事件,选择目标并选择攻击方法。用户可以购买该工具,下载副本,并使用自己的服务器和僵尸网络。偶尔,黑客团体还会为客户捆绑一些服务器或一定数量的木马或包括强制性的工具来帮助用户增长自己的僵尸网络,但工具的维护最终还是得靠用户自己。

    在线 DDoS 平台在中国的兴起

    最近,Talos 已经注意到小组聊天中正在逐渐发生变化。在线 DDoS 平台的广告已经开始出现且出现的频率较高,下图就是 " 杀神 " 在线 DDoS 网站的宣传广告:

    在监控了其中几个网站后,Talos 注意到许多网站具有相同的登录和注册页面,同样的背景图片:

    此外,Talos 还观察到,这些网站中有许多网站设计和布局几乎相同,显示了在线活动用户和服务器的数量以及已执行的攻击总数(尽管这些数字在不同组之间有所不同)。此外,这些站点还包含组管理员关于该工具的最新更新,比如功能或使用限制的通知。用户只需要注册一个帐户,购买激活码即可开始发起攻击,然后通过网站上设置的界面或通过相同的命令行调用来攻击目标,方法如下:

    http://website_name/api.php?username=&password=&host=&port=&time=&method=

    从以上两幅图可以看出," 杀神 " 在线 DDoS 网站和王者 DDoS 的网站布局几乎一模一样。除了设计和功能方面的惊人相似之外,大多数网站在其域名中都有 "ddos",即 "shashenddos.club" 或 "87ddos.cc"。由于这些网站都是最近才注册的,除了通过智能搜索在中国社交媒体来发现这些 ddos 域名外,Talos 团队通过使用 Cisco Umbrella 对新注册网站但还未公开的网站进行了检测,检测方法是通过包含有 "ddos" 字串的正则表达式对最近注册的域名进行搜索。使用这些搜索方法,Talos 已经识别了 32 个几乎完全相同的中文在线 DDoS 网站(可能还有更多的网站),因为并不是所有的域名都有 "ddos" 字串。

    由于页面的相似之处,以及一些个人为同一个群体注册了许多站点,Talos 团队最初怀疑所有网站都是由一位开发者运营的,只不过用的域名不一样而已。为了验证这个猜测,Talos 团队在每个站点注册了一个帐户,并且还使用 Cisco Umbrella 的调查工具来检查每个站点的注册信息。

    不过事实推翻了研究人员的最初猜测,在各个网站注册账号后,研究人员注意到有许多用户可以通过不同的第三方中文支付网站购买激活码(价格从 20 元左右到 400 元左右)。此外,这些网站页面上的公告也显示了不同的工具功能(一些工具的攻击强度为 30-80gbps,而有一些则高达 300gbps),以及不同的联系人信息,包括用于客户服务的各种 QQ 帐户以及客服联系方式。另外,还有一个网站的页面 www.dk.ps88.Org,它列出了 44538 位用户,而另外一个网站的页面 www.pc4.Tw 则列出了 13 个用户发起的 24 次攻击。

    此外,网站的注册信息也揭示了其中最主要的差异。大多数网站有不同的注册人姓名和电子邮件,以及不同的注册商。但也有一些相似之处,几乎所有人都是中国注册商,其中大多数是在过去 3 个月内注册的,且几乎全部都是在过去一年里登记的。另外,一半以上的注册商都是在 Cloudflare IP 上托管的。

    所以经过各方面对比,Talos 团队最后确认,这些相似的网站背后的运营者是不同的,当研究人员在监视王者在线 DDoS 平台的 QQ 群聊聊天时,观察到一个小组成员要求对抗竞争对手的在线 DDoS 组—— 87 DDoS。

    Talos 研究人员也加入了一些与在线 DDoS 平台相关的群聊,并发现有多个运营者正在讨论着对对手发起 DDoS 攻击的计划。事实上,看看这些在线 DDoS 网站的一些流量,就表明他们可能经历了 DDoS 攻击,下图显示了 2017 年 7 月 1 日,有 87 个 DDoS 网站流量大幅上升

    未来发展的趋势分析

    有很强的迹象表明,多个运行商正在建立几乎一模一样的在线 DDoS 平台,但至于为什么这些网站的布局相同,且都是最近才开始出现的,还有待进一步研究。

    于是 Talos 团队开始深入了解这些问题的背后原因,下图是一位中国黑客组织的团队运营者所提供的一张在线 DDoS 平台管理页面的屏幕截图:

    上图显示了一个设置页面,其中开发者可以选择站点的名称,编写描述,并提供服务条款和 URL 的链接。

    首先,研究人员在右上角注意到 " 双子座 " 一词。

    其次,研究人员注意到 "/yolo/admin/settings" 的唯一 URL。

    最后,研究人员注意到屏幕底部有一个按钮,管理员可以选择 "Cloudflare 模式 ",这就意味着有很多网站被托管到相同的云端 IP。

    查找和分析源代码

    可以肯定,这些几乎同时兴起的类似网站,肯定具有某种共享的源代码,这可能是由中国地下黑客论坛和市场提供的。于是,研究人员去了几个论坛,并搜索屏幕截图中显示的 "/yolo /admin/settings"URL。调查发现,有几个论坛都有一个在线 DDoS 平台销售源代码的帖子,且都是已被翻译成中文的外国 DDoS 平台。

    许多帖子是在 2017 年初或 2016 年底完成的,这与 DDoS 平台兴起的时间正好呼应,广告中的图片看起来就是实际看到的网站:

    以上是 DDoS 平台源代码的广告示例,不过要注意的是,这是一个国外的 DDoS 平台源代码,不过已经被汉化了,该设计和设置面板和一个 QQ 频道差不多,并在右上角包括 " 双子座 " 的字眼。

    Talos 获得了该 DDoS 网站源代码的副本并进行了分析。很明显,观察到的所有 DDoS 网站使用的就是这套源代码,例如文件夹中包含的 PHP 文件以及相同的网站图标。此外,这些网站中大多数使用的背景也可以在图像文件夹中找到:

    源代码显示,该平台依赖于 Bootstrap 前端设计和 ajax 来加载内容。在 CSS 文件中,研究人员发现一个名为 Pixelcave 的开发者。通过对 Pixelcave 的研究,我们发现他们提供了基于 Bootstrap 的网站设计,看起来类似于检测过的在线中文 DDoS 网站。我们还注意到,Pixelcave 的标志存在于发现的许多 DDoS 网站的右上角,并且还作为图标包含在源代码中。

    根据源代码的分析,该平台具有从 mysql 数据库提取信息并根据用户的支付来评估用户的身份(即攻击次数,攻击持续时间,以及允许用户的并发攻击次数)的功能。然后,它允许用户输入主机,选择攻击方法(即 NTP,L7)和持续时间。如果该方法由开发者支持,并且目标未被列入黑名单,则会调用服务器开始执行攻击。

    有趣的是,源代码为不能受到攻击的站点提供了所谓的 " 黑名单 ",比如包含 ".gov" 和 ".edu" 站点。此外,源代码还附带了一个预先加载的中文服务条款,这样可以免除网站管理员对 " 非法 " 行为的任何牵连责任,并声称其服务仅用于测试目的。

    该代码还允许管理员监控付款是否成功,登录和攻击的总数,以及有关攻击的详细信息,如主机,攻击持续时间以及哪个服务器正在执行攻击。此外,管理员还可以设置激活码系统。

    很明显,这些源代码最初都是用英文写的,但是被汉化了。源代码还为管理员提供了通过 PayPal 和 Bitcoin 设置支付系统的选项。不过,中国的运营商很可能已将其转换成了中国支付系统,如第三方支付网站或支付宝等。因为,调查人员发现一个图像文件夹中的 Paypal 图标被更改为类似于支付宝的图标。

    关于原始源代码,本文并不做具体分析。但是,有几个提供在线 DDoS 服务的英文网站,例如 DataBooter。这些网站与中国 DDoS 平台有一些相似之处。例如,它们都具有基于引导的设计,托管在 Cloudflare 上,并具有类似的显示攻击次数,用户数和服务器数量的提示。

    上图就是 databooter [ . ] com 的布局,布局与中国在线 DDoS 网站有些相似。过去几年中,Talos 已经观察到在黑客论坛上已经有人在销售英文版的 DDoS 平台源代码。中国的开发者可能就是通过这个渠道获得的源代码(目前还没有找到直接的证据),并将其进行了汉化。

    总结

    近期中国在线 DDoS 平台的兴起似乎与中国黑客论坛的出售代码相关,而这些代码似乎都是都是由英文汉化过的。

    在线 DDoS 平台由于易于使用的界面,并且已经为用户提前提供了所有必要的基础操作功能,因此不需要用户再去构建僵尸网络或购买额外的服务。用户只要通过支付购买激活码,然后简单地输入其目标就可以发动攻击了,这样即使是没有任何经验的攻击者也能够发起强大的攻击。

    Talos 将继续监控中国黑客论坛和相关的群聊,为新建的在线中文 DDoS 平台以及中国 DDoS 行业带来更多趋势分析。


  • 2018-8-22查看详情>>
  • 2018网络安全生态峰会召开 政府企业共建网络防线
  •  2018网络安全生态峰会今天在北京举行。主题是“共建网络防线,共治安全环境,共享安全生态”。

      网络安全正受到各方面的重视,而这也注定是一项系统工程。正如工业和信息化部网络安全管理局副局长梁斌在会上所说:“网络安全生态覆盖政府部门、制造厂商、网络运营者、用户等各主体,涉及设备、网络、平台、数据等各环节,构建良好网络生态环境,需要各方共同努力。”

      据其介绍,工信部作为工业电信和互联网行业的主管部门,深入开展了网络安全环境治理,开展典型病毒、木马、漏洞等网络安全治理,强化网络数据安全,围绕数据安全和个人信息保护,对电信和互联网企业业务系统持续深入开展监测,针对大规模用户个人信息泄露等安全事件开展执法检查,依法处置违法违规行为,为数字化生态提供有力保障。推动发展网络安全产业,大力培育网络安全产业发展,引导企业加大网络安全核心技术研发和应用。

      “我关心如何更好地支持和促进互联网企业,如何更好保护个人信息,这里涉及对黑色产业链、内鬼的打击。”公安部网络安全保卫局副局长钟忠介绍说,2018年公安部组织的净网专项行动,打击了一批典型的案例,其中涉及打击黑卡案、打击网络色情图片案、打击传播淫秽物品案等典型案例。

      “公安机关将在净网行动中进一步加大治理,支持企业更好地承担起主体责任;严打网络犯罪,惩治法律黑产;加大对个人信息的保护,坚决打击侵犯公民个人信息的犯罪。”钟忠说。

      企业在网络安全中的作用不可小觑。阿里巴巴集团首席风险官郑俊芳在会议上提到一个案例:阿里安全刚用技术手段协助浙江绍兴越城区警方破获“史上最大规模数据盗窃案”。

      北京一个新三板挂牌公司,从十余省市多家运营商处窃取96家互联网公司近30亿条用户数据。你的账号莫名关注了一堆陌生营销账号,抖音、微博“自动”成为某网红的“粉丝”,可能就是这类网络黑灰产团伙所为。

      “这个案例告诉我们,所有的人、所有互联网公司,包括运营商在内的网络基础设施建设者、参与者,如果不联合铲除这些网络黑灰产,让它们恣意运作在互联网中,我们都可能是受害者。”郑俊芳说。


  • 2018-8-22查看详情>>
  • 深入了解DDoS攻击类型,有助于我们更好地部署防御
  • 目前,DDOS攻击已经不在网络安全界的新客,但作为老客的它已经变的越来越复杂。黑客不断提出新的攻击方案以便于绕过安全部门所制定的防御计划,进而对企业造成利益的损害。但安全提供商在防御技术上的研究也并没有就此停止脚步,反而更加积极的推出新的解决方案来组织黑客攻击。

    为了能够确保防御最新和最强的DDOS攻击,企业必须确定其安全提供商可以提供应对威胁的最新技术和最佳工具。因此,企业应该对这三大与之相关的攻击有深入的了解:

    1. 应用层ddos攻击

    应该层的ddos攻击已经尝过了网络层的攻击,成为了最广泛的攻击矢量。据相关的报告,有64%的企业都在面临着应用层攻击,相比之下,面临网络层攻击的企业仅为51%。但其实爱所有的攻击类型当中,HTTP洪水是排名第一的攻击矢量。此外,SSL、DNS和SMTP攻击也是常见的应用层攻击类型。

    所以现在的网络安全服务商已经开始渐渐的通过WAF实现L7层ddos防护,但这还需要在拥有ddos攻击防护机制的基础上在附加昂贵的WAF服务。这也就意味着现在能够提供ddos攻击防护的网络安全平台不仅仅具有网络层攻击的防御能力,还得具备可防御应用层攻击的能力。

    2. SSL ddos洪水攻击

    目前,加密流量占了互联网流量的一大部分,正是因为这越来越多的流量都是经过加密的,SSL ddos洪水成为了黑客越来越常用的攻击矢量。根据相关的报告显示,在过去的一年中,30%的企业都声称遭受了SSL的攻击。

    鉴于基于SSL的ddos攻击的威力,对希望得到充分保护的企业而言,可以防御SSL ddos洪水的高水平防护措施是必不可少的。

    3. 零日攻击

    攻击者在一直不断寻找新的方法,绕过传统的安全机制,并利用前所未见的攻击方法攻击企业。即使对攻击特征码做一些微小修改,黑客也能创造出手动特征码无法识别的攻击。这类攻击通常被称为“零日”攻击。

    零日攻击分为两种,一种事脉冲式ddos攻击,一种是放大攻击。这两种有很大的不同,第一种会结合许多不同矢量,依赖需要手动优化的传统安全解决方案的企业在面对在这些打了就跑的战术时往往会陷入困境。而第二种是直接将目标击垮。

    据相关报告显示,42%的企业都遭受了脉冲式攻击,40%的企业声称遭受了放大ddos攻击。这些趋势说明了零日攻击防护功能在现代ddos防护机制中的必要性。

    上述的三攻击类型都与ddos攻击有着千丝万缕的联系,或者说可能都是由ddos攻击逐渐演变而来,对它们的深入了解有助于我们更好的部署防御措施。


  • 2018-8-20查看详情>>
  • 2018年上半年中国网络安全报告
  • 近日,瑞星安全团队发布了《2018年上半年中国网络安全报告》,报告中为大家介绍了2018年上半年病毒情况、网络安全事件、移动互联网安全和互联网安全等内容。

    网络安全报告

    前言

    2018年上半年中国网络安全报告新鲜出炉,瑞星安全团队为您解读~

    一、恶意软件与恶意网址

    A. 恶意软件

    1. 2018年上半年病毒概述

    (1) 病毒疫情总体概述

    2018年上半年瑞星“云安全”系统共截获病毒样本总量2,587万个,病毒感染次数7.82亿次。新增木马病毒占总体数量的62.83%,依然是第一大种类病毒。灰色软件病毒(垃圾软件、广告软件、黑客工具、恶意软件)为第二大种类病毒,占总体数量的17.72%,第三大种类病毒为病毒释放器,占总体数量的9.55%。

    2018年上半年病毒概述

    报告期内,CVE-2018-4878漏洞利用占比52.85%,位列第一位。该漏洞影响Flash Player所有版本,攻击者可以诱导用户打开包含恶意Flash代码文件的Microsoft Office文档、网页、垃圾电子邮件等。

    2018年上半年病毒概述

    (2) 病毒感染地域分析

    报告期内,北京市病毒感染1.93亿人次,位列全国第一,其次为广东省0.57亿人次及山东省0.44亿人次。

    2. 2018年上半年病毒Top10

    根据病毒感染人数、变种数量和代表性进行综合评估,瑞星评选出了2018年上半年1至6月病毒Top10:

    3. 2018年上半年中国勒索软件感染现状

    报告期内,瑞星“云安全”系统共截获勒索软件样本31.44万个,感染共计456万次,其中广东省感染116万次,位列全国第一,其次为上海市62万次,北京市34万次及江苏省22万次。

    2018年上半年中国勒索软件感染现状

    2018年上半年中国勒索软件感染现状

    通过对瑞星捕获的勒索样本按家族分析发现,LockScreen家族占比43%,位列第一,其次为WannaCrypt占比27%,以及GandCrab占比20%。

    2018年上半年中国勒索软件感染现状

    B. 恶意网址

    1. 2018年上半年全球恶意网址总体概述

    2018年上半年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量4,785万个,其中挂马网站2,900万个,诈骗网站1,885万个。美国恶意URL总量为1,643万个,位列全球第一,其次是中国226万个,德国72万个,分别为二、三位。

    2018年上半年全球恶意网址总体概述

    2. 2018年上半年中国恶意网址总体概述

    报告期内,甘肃省恶意网址(URL)总量为72万个,位列全国第一,其次是浙江省36万个,以及香港29万个,分别为二、三位。

    注:上述恶意URL地址为恶意URL服务器的物理地址。

    2018年上半年中国恶意网址总体概述

    3. 2018年上半年中国诈骗网站概述

    2018年上半年瑞星“云安全”系统共拦截诈骗网站攻击182万余次,广东受诈骗网站攻击32万次,位列第一位,其次是北京市受诈骗网站攻击30万次,第三名是上海市受诈骗网站攻击13万次。

    2018年上半年中国诈骗网站概述

    报告期内,情色类诈骗网站占39%,位列第一位,其次是广告联盟类诈骗网站占33%,赌博类诈骗网站占12%,分别为二、三位。

    2018年上半年中国诈骗网站概述

    4. 2018年上半年中国主要省市访问诈骗网站类型

    报告期内,北京、辽宁、浙江等地区访问的诈骗网站类型以情色网站为主,广东、山东、广西等地区则以在线赌博为主,其余地区访问恶意推广诈骗网站居多。

    2018年上半年中国主要省市访问诈骗网站类型

    5. 诈骗网站趋势分析

    2018年上半年情色、赌博类诈骗网站占比较多,这些恶意网站大多通过非法手段进行传播,赌博类诈骗网站利用高利润的方式吸引用户,前期平台方会在后台操作让用户少输多赢,当用户产生一定的兴趣后,再进行后台操作赢取用户钱财。诈骗网站的传播途径:

    • 利用微信朋友圈以软文方式进行诱导传播。

    • 利用QQ群发方式进行范围传播。

    • 利用短信群发平台以中奖方式进行传播。

    • 利用游戏辅助软件进行传播。

    • 利用大型互联网平台发布信息进行传播。

    6. 2018年上半年中国挂马网站概述

    2018年上半年瑞星“云安全”系统共拦截挂马网站攻击38万余次,北京市受挂马攻击12万次,位列第一位,其次是浙江省受挂马攻击10万次。

     2018年上半年中国挂马网站概述

    7. 挂马网站趋势分析

    2018年上半年挂马攻击相对减少,攻击者一般自建一些导航类或色情类网站,吸引用户主动访问。有些网站会锁定用户浏览器主页,当用户访问会自动跳转到指定的恶意网站,大部分恶意网站会挂载木马程序诱导用户下载,进而窃取用户的账户信息,非法分子利用窃取的信息进行诈骗或资金盗刷。挂马防护手段主要为:

    更新到最新的浏览器版本。 禁止浏览陌生邮件或手机短信发送的链接网址。 禁止浏览不正规或非法网站。 禁止在非正规网站下载软件程序。 安装杀毒防护软件。

    二、移动互联网安全

    A. 手机安全

    1. 2018年上半年手机病毒概述

    2018年上半年瑞星“云安全”系统共截获手机病毒样本345万个,新增病毒类型以信息窃取、资费消耗四类为主,其中信息窃取类病毒占比28%,位居第一。其次是资费消耗类病毒占比27%,第三名是流氓行为类病毒,占比17%。

    2018年上半年手机病毒概述

    2. 2018年上半年手机病毒Top5

    2018年上半年手机病毒Top5

    3. 2018年上半年Android手机漏洞Top5

    2018年上半年Android手机漏洞Top5

    B. 2018年上半年移动安全事件

    1. “旅行青蛙”游戏外挂藏风险

    2018年1月,一款名为“旅行青蛙”的手游在朋友圈中刷屏。因为操作简单、节奏缓慢,这款游戏也被网友戏称为“佛系养蛙”。部分商家瞅准商机,针对iOS手机用户,推出“花费20元即可购买21亿无限三叶草”服务,通过“外挂”操作,让玩家轻易获得大量三叶草。记者调查发现,购买“无限三叶草”服务后,需要在电脑上按照教程操作或允许商家远程操作,但其间存在不少风险,或会造成手机中数据丢失,甚至泄露个人隐私。

    “旅行青蛙”游戏外挂藏风险

    2. 恶意软件伪装“系统Wi-Fi服务”感染近五百万台安卓手机

    2018年3月,安全研究人员发现一个大规模持续增长的恶意软件活动,已经感染了全球近500万台移动设备。一款名为“Rottensys”的恶意软件伪装成“系统Wi-Fi服务”,该程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对用户手机进行root,从而频繁推送广告并进行应用分发,消耗用户流量资费,影响用户体验。受影响的品牌包括荣耀、华为、小米、OPPO、Vivo、三星和金力等。

    3. 二手手机信息泄露乱象:10元可买通讯录,几十元可恢复已经删除的数据

    2018年6月,有记者调查发现,网上有收售二手手机、电脑的贩子以一毛钱一条的价格打包出售机主信息。而在二手手机交易和手机维修市场中,很多维修商称只需花几十元就能恢复手机通讯录、照片、微信聊天记录等,哪怕手机被恢复到出厂设置,也可以将删除的信息复原。专家表示,要想手机信息不被泄露,通常需要从硬件安全和软件安全两方面去解决。“硬件安全就是外界所说的用水泡或者将手机砸烂。但这种方式无论从环保性还是经济性而言,成本太高。”软件安全,则是用户为了规避隐私风险,在出售手机前可以通过第三方粉碎软件将所有个人信息删除粉碎,同时需要解除手机上涉及网络支付的所有软件绑定。

    三、互联网安全

    A. 2018年上半年全球网络安全事件解读

    1. 英特尔处理器曝“Meltdown”和“Spectre漏洞”

    2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。

    2. 湖北某医院内网遭到挖矿病毒疯狂攻击

    2018年3月,湖北某医院内网遭到挖矿病毒疯狂攻击,导致该医院大量的自助挂号、缴费、报告查询打印等设备无法正常工作。由于这些终端为自助设备,只提供特定的功能,安全性没有得到重视,系统中没有安装防病毒产品,系统补丁没有及时更新,同时该医院中各个科室的网段没有很好的隔离,导致挖矿病毒集中爆发。

    3. 中国某军工企业被美、俄两国黑客攻击

    2018年3月,安全研究人员表示,中国某军工企业被美、俄两国黑客攻击。美国黑客和俄罗斯黑客在2017年冬天入侵了中国一家航空航天军事企业的服务器,并且留下了网络间谍工具。研究人员认为这种情况比较罕见,以前从未发现俄罗斯黑客组织 APT28 与美国 CIA 的黑客组织 Lamberts (又被称为“长角牛”Longhorn)攻击同一个系统。

    4. Facebook用户数据泄露

    2018年3月,Facebook八千七百多万用户数据泄露,这些数据被“剑桥分析”公司非法利用以发送政治广告。此次事件被视为 Facebook 有史以来遭遇的最大型数据泄露事件。剑桥分析公司与Facebook进行了合作。前者开发了一个让用户进行“个性人格测试”的 Facebook App(类似国内微信的小程序),每个用户做完这个测试,就可以得到5美元。剑桥分析公司不仅收集了用户的测试结果,顺便收集了用户在Facebook上的个人信息。剑桥分析公司以此访问并获得了8700万活跃用户数据,然后建立起用户画像,依靠算法,根据每个用户的日常喜好、性格特点、行为特征,预测他们的政治倾向,然后定向向用户推送新闻,借助Facebook的广告投放系统,影响用户的投票行为。

    5. GitHub遭受有史以来最严重DDoS攻击

    2018年3月,知名代码托管网站GitHub遭遇了有史以来最严重的DDoS网络攻击,峰值流量达到了1.35Tbps。尽管此类攻击的特点就是利用如潮水般的流量同时涌入网站,不过本次攻击不同之处在于采用了更先进的放大技术,目的是针对主机服务器产生更严重的影响。这项新技术并非依赖于传统的僵尸网络,而是使用了memcached服务器。该服务器的设计初衷是提升内部网络的访问速度,而且应该是不暴露在互联网中的。不过根据DDoS防御服务提供商Akamai的调查,至少有超过5万台此类服务器连接到互联网上,因此非常容易受到攻击。

    6. A站受黑客攻击 近千万条用户数据外泄

    2018年6月,弹幕视频网AcFun公告称,因网站受黑客攻击,已有近千万条用户数据外泄,目前已报警处理,希望用户及时修改密码。公告称,用户数据泄露的数量达近千万条,原因是遭到黑客攻击。泄露的数据主要包括用户ID、昵称、加密储存的密码等。A站表示,本次事件的根本原因在于公司没有把AcFun做得足够安全,为此,官方向用户道歉,并将马上提升用户数据安全保障能力。目前,A站已联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。此后,公司将对AcFun服务做全面系统加固,实现技术架构和安全体系的升级。

    B. 2018年上半年流行病毒分析

    1. MsraMiner挖矿病毒

    2018年最大的变化是病毒制造者将目标投向了挖矿领域,大量的挖矿病毒层出不穷,其中影响最大的是一个构造精密被称为 “MsraMiner”的挖矿僵尸网络。此病毒利用永恒之蓝漏洞攻击局域网中的机器,中毒机器会继续使用永恒之蓝漏洞攻击其它机器,并作为web服务器供其它机器下载,导致大量局域网主机被植入挖矿病毒,同时病毒持续升级对抗查杀。导致此病毒爆发的主要原因是:

    • 企业存在大量机器没有安装永恒之蓝漏洞补丁。

    • 企业内外网混用,并没有做到真正的隔离,连接互联网的一台机器中毒后,导致公司内网机器大量中毒。

    • 企业没有安装杀毒软件,没有及时更新病毒库,为病毒传播制造了有利条件。

    2. 蠕虫化的勒索病毒

    从WannaCry勒索病毒爆发以来,勒索病毒层出不穷,并且勒索病毒蠕虫化变得更加流行起来。2018年2月份,两家省级医院感染勒索病毒,导致服务中断。感染原因被怀疑是系统存在漏洞和弱口令,导致攻击者植入勒索病毒,并快速传播。

    其中影响较大的Satan勒索病毒,不仅使用了永恒之蓝漏洞传播,还内置了多种web漏洞的攻击功能。相比传统的勒索病毒传播速度更快。虽然已经被解密,但是此病毒利用的传播手法却非常危险。

    3. VPNFilter物联网病毒

    VPNFilter恶意软件是一个多阶段、模块化的平台,具有多种功能,可支持情报收集和破坏性网络攻击操作,可感染71款甚至更多物联网设备,这些设备包括路由器、摄像头、机顶盒等。物联网设备中毒后较难发现,漏洞难以及时修补,甚至有的设备已经找不到生产厂商。这些感染物联网病毒的僵尸设备,会对全球网络安全造成很大的隐患。

    4. 网页挖矿病毒新变化

    全球将近5万家网站被攻击者植入挖矿脚本,其中很大一部分是Coinhive 脚本。Coinhive专门提供一个用来挖矿的JS引擎,当用户访问含有Coinhive代码的网页时,Coinhive的JS代码库就会在用户的浏览器上运行,挖矿程序就会开始工作,挖掘门罗币,消耗用户计算机的CPU资源。使用Coinhive默认的方式挖矿,已经很容易被发现。2018年上半年,网页挖矿病毒又出现新变化,出现了两种新的攻击方式,一种是做一个中转再访问Coinhive挖矿脚本的链接,另一种是自建平台不使用Coinhive,这种方式更加隐蔽,并且避免了Coinhive平台的手续费。

    四、趋势展望

    A. 犯罪团伙转向挖矿与勒索

    近年来,挖矿和勒索病毒持续上升,传统DDOS和刷流量的病毒仍然存在,但有一定的下降,一方面DDOS和刷流量的病毒过于显眼,另一方面相关部门加大了打击力度。虚拟货币的钱包地址比较隐蔽,一般情况下很难通过钱包地址定位到攻击者的身份。无论是加密货币挖矿的钱包地址,还是勒索病毒索要赎金的钱包地址都是虚拟货币钱包,因此催生了加密货币挖矿病毒和勒索病毒的爆发。

    B. 漏洞利用越来越广泛

    以前漏洞大部分都是APT团伙在使用,但随着经济利益的驱使,挖矿和勒索病毒也开始使用漏洞,而且使用漏洞的种类开始增加,这就导致很多受害者,并没有下载运行可疑程序也有可能中毒。尤其是服务器,运行了很多web服务、数据库服务、开源CMS等服务,这些服务经常会出现漏洞,如果服务器没有及时更新补丁,就会被攻击者通过漏洞植入病毒,而且很多公司的外网服务器和内网是连通的,一旦服务器中毒,就可能导致局域网很多机器中毒。

    C. 物联网病毒更加精密

    物联网病毒最知名的是“Mirai”,它被用来发动DDOS攻击,后续基于“Mirai”修改而来的变种大多也是为了DDOS攻击。然而随着物联网设备的增多,物联网病毒也会有更多的功能,比如路由器中了病毒,就可能导致网络通信中的帐号密码等隐私信息被窃取。如果摄像头中了病毒,就可能导致一举一动都在攻击者的监控之中。如果中病毒的是工控设备,就可能导致工厂停产、城市停电等严重问题。

    未来一段时间,利用漏洞攻击的挖矿和勒索病毒仍会持续增加,物联网病毒的数量和功能仍将持续增长。因此用户需要及时更新补丁,升级系统固件,安装防病毒产品,降低中毒的风险。



  • 2018-8-20查看详情>>
  • 113.113.92.x 神狐令云堤清洗
  • 单机100-350G防御,电信上层封UDP协议。无视UDP,无视CC
    云堤清洗段,超高防御,为您的业务保驾护航
    我们正在寻找饱受攻击的你,如果你的业务经常被攻击,请联系我们。
    省口防御,无视CC,高防DDOS。
    傲盾+金盾+绿盟,三层防火墙保证业务稳定。
    多种配置,超大带宽,机房入口2T带宽。
    任意机型,免费测试!
    绝地求生,DNF,CF,棋牌,博 彩,时 时 彩,私服,专用机器。
    www.2011721.com
    欲知详情,请咨询销售
    可选IP:
    113.113.92.1-113.113.92.255

  • 2018-4-20查看详情>>
  • 183.57.149.111 【神狐令】单线段
  • 单机100-350G防御,电信上层封UDP协议。无视UDP,无视CC
    我们正在寻找饱受攻击的你,如果你的业务经常被攻击,请联系我们。
    省口防御,无视CC,高防DDOS。
    傲盾+金盾+绿盟,三层防火墙保证业务稳定。
    多种配置,超大带宽,机房入口2T带宽。
    任意机型,免费测试!
    绝地求生,DNF,CF,棋牌,博 彩,时 时 彩,私服,专用机器。
    www.2011721.com
    欲知详情,请咨询--神狐云联  
    可选IP:
    183.57.149.1-183.57.149.255

  • 2018-4-20查看详情>>
12 条 首页 上一页 下一页 尾页 页次:1/1页  20条/页 转到: