匿名搜索引擎 DuckDuckGo 的搜索量超 100 亿次

人们对自己的隐私权利越来越看重,对谷歌等浏览器的信任度不像以前那般强,因此像 DuckDuckGo 这样的注重个人隐私的匿名浏览器抓住了机会,自 8 年前这款浏览器推出之日起,其搜索量就一直保持惊人的速度增长,2013 年斯诺登首次向公众披露美国政府对民众的监听计划后,DuckDuckGo 的搜索量更是呈爆炸性增长。

DuckDuckGo 浏览器方面称,至今一共提供了超过 100 亿次的搜索服务,其中仅去年一年就有 40 亿次搜索,增长速度是历年来最高的。在 2017 年 1 月 10 日这一天,该浏览器的搜索次数达到了 1400 万次。2016 年,DuckDuckGo 网站还曾向美国 9 家组织捐款 225000 美元,以提高信任网络的管制标准。

22

稿源:cnbeta,有删改,封面来源:百度搜索0day

WebEx 浏览器插件现远程代码执行漏洞,或诱发大规模攻击事件

23 日,Google Project Zero 安全专家 Tavis Ormandy 对外表示,Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞,或可诱发大规模攻击事件。

wechatimg012406

专家发现攻击者可使用包含 magic (魔术)字符串的任意 URL 触发漏洞,从而达到在 WebEx 用户系统上执行任意代码的目的。思科曾试图通过限制 https:// * .webex.com 和 https:// * .webex.com 域来解决这一问题,但并未达到效果。研究员强调,由于 magic 模式内嵌于 <iframe> 标签中,即使没有 XSS 攻击者仍可执行任意代码。

Mozilla 方面对思科的修复方式并不满意,同时指出 webex.com 没有严格遵循 Web安全协议(HSTS)和内容安全策略(CSP)。目前谷歌和 Mozilla 表示已暂时从应用商店中删除了 WebEx 插件,直至 Cisco 发布正确的解决方案为止。考虑到 Google Chrome 的 WebEx 插件至少有 2000 万活跃用户,这一漏洞的爆发恐将造成重大影响。

wechatimg012404

安全专家 Ormandy 已对外发布 PoC 进行漏洞演示,只需用户电脑上装有 WebEx 插件即可成功复现漏洞。演示链接:https://lock.cmpxchg8b.com/ieXohz9t/

稿源:HackerNews.cc?翻译/整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。0day

网络入侵太频繁,欧盟考虑对银行业展开安全测试

据路透社消息,由于越来越多的银行机构遭遇黑客入侵,欧盟正考虑对银行的网络防御能力展开压力测试。最近几年,针对银行机构的网络攻击愈演愈烈,且入侵手段越来越高明。

去年 2 月,孟加拉国央行在美国纽约联邦储备银行开设的账户遭黑客攻击,失窃 8100 万美元。孟加拉国央行怀疑,黑客事先给央行的一台打印机植入木马病毒,造成看似平常的“故障”,导致央行没能及时察觉这起震惊全球金融界的窃案。事件发生后,全球监管部门都加强了对银行的安全需求。虽然如此,复杂的网络攻击仍层出不穷。去年 11 月,英国零售巨擘特易购(Tesco)旗下银行发现,约 9000 个帐户被黑客入侵,总计 250 万英镑被盗领。

对此,欧洲银行管理局(EBA)去年 12 月发布报告称:“黑客未授权访问银行关键系统和数据的威胁与日俱增,而银行却没有足够的能力来应对。”知情人士透露,欧盟监管部门强化安全的下一步行动将是在欧盟范围内展开压力测试,预计于明年年中展开。

欧洲中央银行(ECB)去年曾宣布,将在欧元区 19 个国家之间建立一个专门的数据库来登记网络犯罪事件。但是,这 19 个国家之间的信息交换十分匮乏。欧洲银行管理局一官员对此表示,他们一直都在关注网络安全问题,但针对压力测试问题,目前尚未做出决定。

稿源:cnbeta,有删改,封面来源:百度搜索0day

方程式组织EQUATION DRUG平台解析(提纲) —方程式组织系列分析报告之四

安天安全研究与应急处理中心(Antiy CERT)

报告初稿完成时间:2017年1月13日 16时00分
首次发布时间:2017年1月16日 10时00分
本版本更新时间:2017年1月17日 8时30分

1

1 ?背景


 

对于“方程式组织”,在过去的两年中,安天已经连续发布了三篇分析报告:在《修改硬盘固件的木马——探索方程式(EQUATION)组织的攻击组件》[1] 中,安天对多个模块进行了分析,并对其写入硬盘固件的机理进行了分析验证;在《方程式(EQUATION)部分组件中的加密技巧分析》[2]报告中,对攻击组件中使用的加密方式实现了破解;在《从“方程式”到“方程组”——EQUATION攻击组织高级恶意代码的全平台能力解析》[3]报告中,安天独家提供了方程式Linux和Solaris系统的样本分析,这也是业内首次正式证实这些“恶灵”真实存在的公开分析。

APT的分析成果,与研发反APT产品一样,都要基于充分的基础积累,而不可能“一夜之间建成罗马”,对于方程式这样大至无形的超级攻击组织来说,我们过去所做的具体的分析工作都是盲人摸象的过程,一旦飘忽的线索落入我们已经摸索过的范围之内,就可以迅速发布储备成果,而如果面对的是一个未曾充分探查的区域,则需要更长的时间展开分析工作,因此与安天此前已经发布的3篇方程式的长篇报告相比,本篇报告的当前版本是比较仓促的,因此我们称之为“提纲”,我们旨在能抛砖引玉,邀请更多兄弟团队共同加入分析工作,以便进一步呈现出其全貌。

本篇分析是围绕2017年1月12日,“影子经纪人”放出Equation Group 组件中的61个文件[4] 展开的。经分析,本次放出的61个文件中,其中含有Equation Group 组件和DanderSpritZ(RAT)工具中的一些插件。DanderSpritZ是NSA(National Security Agency)的间谍工具之一,在1月7号“影子经纪人”放出的Windows攻击工具[5]中也包含了大量DanderSpritZ的插件名称。

组件EquationDrug是一个很复杂的模块。其存活时间有近10年,后来被GrayFish升级替代。EquationDrug到GrayFish是攻击平台级别的恶意代码体系,它具有安装与卸载插件功能。本次“影子经纪人”放出的文件中,我们看到了更多的EquationDrug组件中的插件。通过分析比对发现,这些插件比之前安天分析过的插件版本低,但相对更为全面。

至今,安天已经完成了对插件功能列表和部分插件的关联分析,先将此部分的分析工作对外分享,后续会将更多的信息分享。

2 方程式线索曝光和分析成果时间链梳理


 

2013年起,安天从样本分析中,逐步发现存在一个拥有全平台载荷攻击能力的攻击组织,并逐步关联分析了其多个平台的样本。在这个过程中,我们感到一个大至无形的超级攻击组织存在,但我们并未找到其攻击背景。

2015年2月,卡巴斯基实验室曝光了一个名为方程式(Equation Group)[6]的攻击组织,卡巴斯基认为该组织活跃近20年,可能是目前世界上存在的最复杂的APT攻击组织之一,并认为该组织是震网(Stuxnet)和火焰(Flame)病毒幕后的操纵者。经过线索比对,安天发现这正是此前一直跟踪的超级攻击组织,决定通过报告公开其针对硬盘固件作业的原理[1]和所破解的其部分加密算法[2],形成了安天对于方程式系列分析的前两篇报告。,

2015年3月,卡巴斯基实验室发布了基于Equation Drug组件或平台的剖析[7],Equation Drug是“方程式组织”所用的主要间谍组件或平台之一,最早追溯到2001年,并且一直沿用至今。该组件或平台的架构类似于一个具有内核模式和用户模式的微型操作系统,通过自定义接口进行交互,该组件或平台包括驱动程序、平台内核(协调器)和若干插件,其中一些插件配备独特的ID和版本号,用于定义相关功能等。

2016年8月,一个自称“影子经纪人”(The Shadow Brokers)的个人(或组织)声称入侵了网络间谍组织“方程式”(Equation)[8],并以100万比特币(当时约价值5.6亿美元)的价格,公开“拍卖”所掌握的方程式组织的攻击工具。“方程式组织”被认为与NSA存在联系。为证明成功入侵的真实性,影子经纪人于当月13日在开源项目托管平台GitHub加密发布了这些攻击工具,并有意将其中的少量攻击工具以明文形式发布。

2016年8月,卡巴斯基实验室通过对“方程式组织”与“影子经纪人”曝光的数据进行对比验证[9],确认了曝光的数据与“方程式组织”有关。2016年10月,影子经纪人对攻击工具再度发起拍卖[10],并称在GitHub发布的方程式攻击工具只占其掌握的60%。

11月,影子经纪人公开了一份遭受入侵的服务器清单[11],并称攻击方与NSA有关。清单的日期显示,各系统遭受入侵的时间在2000年到2010年之间,受控IP及域名分布在49个国家,主要集中在亚太地区,受影响的国家包括中国、日本、韩国、西班牙、德国、印度等。 安天将这些数据导入到安天态势感知和预警平台,形成了下图的可视化展现。

2

图 1 安天态势感知与监控预警平台:“方程式”组织对全球互联网节点的入侵可视化复现

 

影子经纪人的爆料中,提及相关服务器可能是Linux、FreeBSD和Solaris。而在2016年上半年的两次技术会议中,安天则明确说明,方程式有针对多个系统平台的样本,其中包括Linux和Solaris。安天最终于11月5日公开了方程式组织针对Linux和Solaris的部分样本载荷的分析报告(安天方程式系列报告之三)。

安天分析团队对小组“方程式”上述信息进行了梳理,整理出方程式事件曝光和相关分析的时间链。

3

图 2 方程式事件相关信息曝光和厂商分析的时间链

3 DanderSpritz攻击平台

安天通过对本次泄露的文件以及对以往方程式资料的分析发现,“方程式组织的“EquationDrug”平台与泄露文件中提到的“DanderSpritz”具有一定内在联系:

  1. 本次泄露的msgkd.ex_、msgki.ex_、msgks.ex_、msgku.ex_为GROK插件,是“DanderSpritz”的插件或模块,该插件在“EquationDrug”平台中也曾出现,通过分析发现本次泄露的GROK为低版本GROK插件。
  2. 本次曝光的各类DLL插件中一处数据为插件ID,插件ID都是以0x79开头,如:0x79A4、0x79D8,同样,“EquationDrug”平台的插件也设有内置ID,“EquationDrug”平台的插件ID为0x80开头。且两个平台的插件导出函数参数的数据结构也存在相似之处。

因此,基本可以认为方程式组织使用的“EquationDrug”攻击平台与“DanderSpritz” 使用了相同的架构设计, 两者可能是不同的版本代号,或至少来自同一开发团队,或资源高度共享的团队。

4

图 3 方程式组织的DanderSpritz攻击平台

5

图 4 “影子经纪人”泄露的“DanderSpritz”攻击平台截图

本次“影子经纪人”曝光的文件中多数为“DanderSpritz”平台的攻击插件,从放出的文件列表HASH和截图来看,攻击工具和插件非常丰富且标准化,具体包括远控、漏洞利用、后门、插件等,DanderSpritz_All_Find.txt文件内容多达7千余行,其中插件有数百个之多,我们将泄露出来的61个文件进行梳理,分析出了部分插件的功能,如下表(后续版本会持续更新插件确认结果):

原始文件名 编号ID 说明
DoubleFeatureDll.dll.unfinalized 该模块用于创建线程执行函数,地址由调用者传入。
DuplicateToken_Implant.dll 该模块用于获取Token,并执行操作。
DuplicateToken_Lp.dll 0x79E2 该模块用于获取Token,并执行操作。
DXGHLP16.SYS 该模块用于对网络进行嗅探,监测以太网和VPN的流量,用于Windows 9x系统。
EventLogEdit_Implant.dll 该模块可对事件日志文件进行编辑。
EventLogEdit_Lp.dll 0x79B1 该模块可对事件日志文件进行编辑。
GetAdmin_Implant.dll 该模块用于获取管理员权限,并执行操作。
GetAdmin_Lp.dll 0x79A8 该模块用于获取管理员权限,并执行操作。
kill_Implant.dll 该模块功能是结束进程。
kill_Implant9x.dll 该模块功能是结束进程。
LSADUMP_Implant.dll 该模块可用来读取LSA凭据,根据传入参数的不同执行不同的操作。
LSADUMP_Lp.dll 0x79C9 该模块可用来读取LSA凭据,根据传入参数的不同执行不同的操作。
modifyAudit_Implant.dll 该模块用于修改审核配置。
modifyAudit_Lp.dll 0x79C8 该模块用于修改审核配置。
modifyAuthentication_Implant.dll 该模块用于修改权限认证。
modifyAuthentication_Lp.dll 0x79EF 该模块用于修改权限认证。
ModifyGroup_Implant.dll 该模块用于修改用户组权限。
ModifyGroup_Lp.dll ?0x79ED 该模块用于修改用户组权限。
ModifyPrivilege_Implant.dll 该模块用于修改用户权限。
ModifyPrivilege_Lp.dll 0x7995 该模块用于修改用户权限。
msgkd.ex_ 释放GROK键盘/剪贴板记录器驱动。
msgki.ex_ 释放GROK键盘/剪贴板记录器驱动。
msgks.ex_ 释放GROK键盘/剪贴板记录器驱动。
msgku.ex_ 释放GROK键盘/剪贴板记录器驱动。
mssld.dll 待确认
msslu.dll 待确认
mstcp32.sys 该模块用于对网络进行嗅探监测以太网和VPN的流量 。
nethide_Implant.dll 该模块用于隐藏网络连接。
nethide_Lp.dll 0x79CA 该模块用于隐藏网络连接。
ntevt.sys 该模块是事件日志相关驱动。
ntevtx64.sys 该模块是64位事件日志相关驱动。
ntfltmgr.sys 待确认
PassFreely_Implant.dll 待确认
PassFreely_Lp.dll 0x79DB 待确认
PC_Legacy_dll 待确认
PC_Level3_dll 待确认
PC_Level3_dll_x64 待确认
PC_Level3_flav_dll 待确认
PC_Level3_flav_dll_x64 待确认
PC_Level3_http_dll 待确认
PC_Level3_http_dll_x64 待确认
PC_Level3_http_flav_dll 待确认
PC_Level3_http_flav_dll_x64 待确认
PC_Level4_flav_dll 待确认
PC_Level4_flav_dll_x64 待确认
PC_Level4_flav_exe 待确认
PC_Level4_http_flav_dll 待确认
PC_Level4_http_flav_dll_x64 待确认
PortMap_Implant.dll 该模块用于进行端口映射。
PortMap_Lp.dll 0x79BB 该模块用于进行端口映射。
ProcessHide_Implant.dll 该模块用于进行隐藏进程。
ProcessHide_Lp.dll 0x79AC 该模块用于进行隐藏进程。
processinfo_Implant.dll 该模块可以用来获取进程信息。
processinfo_Implant9x.dll 该模块可以用来获取进程信息,支持Windows 9x。
ProcessOptions_Implant.dll 该模块用于设定进程执行属性。
ProcessOptions_Lp.dll 0x79D8 该模块用于设定进程执行属性。
pwdump_Implant.dll 该模块可用来读取系统中密码。
pwdump_Lp.dll 0x79CD 该模块可用来读取系统中密码。
RunAsChild_Implant.dll 该模块用于创建子进程,并执行操作。
RunAsChild_Lp.dll 0x79A4 该模块用于创建子进程,并执行操作。
tdi6.sys 该模块用于对网络进行嗅探 监测以太网和VPN的流量 。

6

图 5 曝光的“DanderSpritz”平台的攻击插件截图

“DanderSpritz”一词在“棱镜”事件中曾被曝光,文件指出该平台是NSA用于全球监控的网络武器,可被用于多种作业场景,如下图中“FIREWALK”[12]工具用于网络流量采集和注入,其说明中提及到了DNT的“DanderSpritz”,DNT与ANT同属于NSA的网络组织,“方程式”与NSA再一次被联系到一起。

6

图 6 斯诺登曝光的NSA-ANT网络武器FIREWALK

NSA-ANT网络武器最早在2013年从斯诺登事件中曝光,共包含48个攻击武器,随着事件的发酵,不断有媒体和组织对其进行曝光,安天分析工程师根据目前曝光的全部资料尝试初步绘制了相关攻击装备的图谱,其相关映射关联还在进一步的维护中。

7

图 7 NSA-TAO攻击装备体系(完善中)

4 ?部分组件与插件分析(继续完善中)


 

4.1 ? GROK键盘与剪贴版记录器驱动

本次泄露的恶意代码中包含四个功能相似的GROK组件,它们都是PE文件,版本为1.2.0.1,均可以从资源段中解密并释放键盘与剪贴版记录器驱动msrtdv.sys。

4.1.1????????? 样本标签

病毒名 Trojan/Win32.EquationDrug
原始文件名 msrtdv.sys
MD5 6A4461AF87371B89D240A34846A7BC64
处理器架构 X86-32
文件大小 36.3 KB (37,248 字节)
文件格式 BinExecute/Microsoft.SYS[:X86]
时间戳 0x4B7F1480—>2010-02-20 06:45:20

该恶意代码样本是键盘记录器及剪贴版监视工具,在之前友商报告中曾经提到过有相似功能的恶意代码,下面对其相似之处进行对比。

4.1.2 ?版本信息

样本包含版本信息,文件版本为5.1.1364.6430,源文件名为msrtdv.sys,文件描述为MSRTdv interface driver。其中文件版本低于之前已经曝光的版本5.3.1365.2180,源文件名与文件描述的不同在于将两个字母“d”和“v”的位置互换,一个是“mstrdv.sys”,另一个是“msrtvd.sys”。

8

图 8 本次泄露版本与之前曝光版本的版本信息

4.1.3 ? ?主要功能

两个不同版本的样本其主要功能相同,通过给转储程序建立专用的进程来汇集所收集的数据,每隔30分钟,将结果压缩到文件"%TEMP%\tm154o.da"。之前曝光的版本中,包含多个IoControlCode,分别对应不同的功能。

9

图 9 之前曝光版本的主要功能代码

而本次泄露的样本中,IoControlCode虽然只有0x22002C,但一些主要功能仍然存在,可以通过反编译后的代码看出它们的相同之处。

10

图 10 本次泄露版本的主要功能代码

从以上分析比较中可以发现,本次泄露的恶意代码样本应为较低版本,无论从版本信息还是功能上,都要低于之前曝光的版本。在影子经纪人泄露出的文件DanderSpritz_All_Find.txt中,GROK的版本号也清楚的说明了这个问题,影子经纪人所释放出的只是GROK组件的低版本部分文件,高版本仍然被其掌握在手中。

11

图 11 GROK组件的不同版本号

4.2???????? Processinfo插件遍历进程模块

本插件用于实现对指定进程的模块遍历,并调用上层模块预设的回调函数。

4.2.1 样本标签

病毒名 Trojan/Win32.EquationDrug
原始文件名 processinfo_Implant9x.dll
MD5 6042EA9707316784FBC77A8B450E0991
处理器架构 X86-32
文件大小 8 KB (8,192 字节)
文件格式 BinExecute/Microsoft.DLL[:X86]
时间戳 45A40EC7->2007-01-10 05:53:11

,

4.2.2 ?主要功能

本插件提供四个基于序号导出的函数。

序号 功能
1 设置上层模块回调函数,创建互斥体
2 释放资源
3 返回核心功能函数地址
4 获取插件版本信息

12

图 12 1号导出函数 设置上层模块回调函数

13

图 13 3号导出函数 返回核心功能函数地址

14

 

图 14 4号导出函数 获取插件版本信息

15

图 15 遍历指定进程,默认为当前进程

16

图 16 遍历指定进程模块,计算模块对应文件HASH(SHA1)

4.3???????? kill_Implant插件杀进程模块

4.3.1????????? 样本标签

病毒名 Trojan/Win32.EquationDrug
原始文件名 kill_Implant.dll
MD5 BDD2B462E050EF2FA7778526EA4A2A58
处理器架构 X86-32
文件大小 21 KB(21,504 字节)
文件格式 BinExecute/Microsoft.DLL[:X86]
时间戳 45A40616->2007-01-10 05:16:06

 

4.3.2 ?主要功能

模块调用者传递进来进程ID,该模块利用函数OpenProcess获取句柄,再利用函数TerminateProcess结束对应进程。

17

图 17 结束进程

5 ?小结


 

此次“影子经纪人”释放的Equation Group中的61个文件,对于全球网络安全研究者分析厘清EQUATION相关攻击平台的组成和架构有很大帮助,而经过打通分析相关曝光信息,我们看到了该攻击平台的更多的信息,如数百个攻击插件以及“DanderSpritz”攻击平台。

通过对相关文件分析后,安天分析小组可以判断其中部分组件与之前卡巴斯基所曝光的GROK组件为同类样本,而这些组件为早期的低版本。另外,我们的分析结果也表明了“DanderSpritz”与Equation Drug使用相同的组件和架构设计,“DanderSpritz”可能就是方程式组织使用的Equation Drug攻击平台。

由于时间仓促,我们目前只披露了部分文件和泄露信息的相关分析成果,后续我们的分析工作还会继续进行下去。

五年前,在安天展开针对Flame(火焰)蠕虫的马拉松分析中,有专家曾提醒我们不要“只见树叶,不见森林”,这让我们深刻的反思了传统分析工程师“视野从入口点开始”的局限性,而开始尝试建立起从微观见宏观的分析视野。

对安天来说,这四年以来,对方程式组织的持续跟踪分析,对安天是极为难得的了解最高级别攻击者(即我们所谓A2PT,‘高级的APT’)的经历。深入研究这种具有超级成本支撑和先进理念引领的超级攻击者,对于改善安天探海、智甲、追影等高级威胁检测防御产品的防御能力也非常关键。但对于应对A2PT攻击者来说,无论是有效改善防御,还是进行更为全面深入系统的分析,都不是一家安全企业能够独立承载的。此中还需要更多协同,更多的接力式分析,而不是反复重复的发明轮子。正是基于这种共同认知,在不久之前第四届安天网络安全冬训营上,安天和360企业安全等安全企业向部分与会专家介绍了能力型安全厂商分析成果互认的部分尝试。只有中国的机构用户和能力型安全厂商形成一个积极互动的体系,才能更好的防御来自各方面的危险。

我们警惕,但并不恐惧,对于一场防御战来说,除了扎实的架构、防御、分析工作之外,必胜的信念是一个前提。

无形者未必无影, 安天追影,画影图形!

附录一:参考资料


 

[1]????? 安天:修改硬盘固件的木马 探索方程式(EQUATION)组织的攻击组件

http://www.antiy.com/response/EQUATION_ANTIY_REPORT.html

[2]????? 安天:方程式(EQUATION)部分组件中的加密技巧分析

http://www.antiy.com/response/Equation_part_of_the_component_analysis_of_cryptographic_techniques.html

[3]????? 安天:从“方程式”到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析

http://www.antiy.com/response/EQUATIONS/EQUATIONS.html

[4]????? THESHADOWBROKERS CLOSED, GOING DARK

https://onlyzero.net/theshadowbrokers.bit/post/messagefinale/

[5]????? Stolen NSA "Windows Hacking Tools" Now Up For Sale!

http://thehackernews.com/2017/01/nsa-windows-hacking-tools.html

[6]????? Kaspersky:Equation: The Death Star of Malware Galaxy

http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

[7]????? Kaspersky:Inside the EquationDrug Espionage Platform

https://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform/

[8]????? Equation Group Cyber Weapons Auction - Invitation

https://github.com/theshadowbrokers/EQGRP-AUCTION

[9]????? The Equation giveaway

https://securelist.com/blog/incidents/75812/the-equation-giveaway/

[10]?? I just published “TheShadowBrokers Message #3”

https://medium.com/@shadowbrokerss/theshadowbrokers-message-3-af1b181b481

[11]?? Shadow Brokers reveals list of Servers Hacked by the NSA

http://thehackernews.com/2016/10/nsa-shadow-brokers-hacking.html

[12]?? ANTProductData2013

https://search.edwardsnowden.com/docs/ANTProductData2013-12-30nsadocs

[13]?? Kaspersky:A Fanny Equation: "I am your father, Stuxnet"

http://securelist.com/blog/research/68787/a-fanny-equation-i-am-your-father-stuxnet/

[14]?? Kaspersky:Equation Group: from Houston with love

http://securelist.com/blog/research/68877/equation-group-from-houston-with-love/

[15]?? Kaspersky:Equation_group_questions_and_answers

https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

[16]?? Kaspersky:The Equation giveaway

https://securelist.com/blog/incidents/75812/the-equation-giveaway/

【原文:方程式组织EQUATION DRUG平台解析(提纲)—方程式组织系列分析报告之四? ?安全脉搏编辑整理发布】0day

苹果四平台同时更新:修复漏洞和问题 提升性能

苹果今天凌晨放出了 macOS Sierra 10.12.3 的正式版,这是 macOS Sierra 自发布以来的第三次升级,macOS 10.12.3 距离上个版本 10.12.2 发布过去了一个多月的时间。

macOS Sierra 10.12.3 目前已经推送给大部分用户,设备符合条件的朋友可以在 Mac App Store 中下载本次更新。在此前的测试版本当中,用户没有在这个版本中发现新功能的加入,苹果只是表示该版本主要是改进稳定性、兼容性和 Mac 的安全性,那么在正式版中又有什么内容呢?

苹果的官方更新日志写道:

- 提高了 MacBook Pro(15 英寸,2016 年 10 月)上的自动切换图形卡模式

- 解决了在配备 Multi-Touch Bar 的 MacBook Pro(13 英寸和 15 英寸,2016 年 10 月)上编码 Adobe Premiere Pro 项目时,图形卡存在的问题

- 修正了在“预览”中无法搜索已扫描的 PDF 文稿的问题

- 解决了加密 PDF 文稿输出的兼容性问题

- 修正了一些第三方应用无法正确从数码相机导入照片的问题

如果你遇到了上述问题的话,苹果建议你更新到最新版的 macOS Sierra 系统。如果你还在该版本中发现了其它新功能的话,不妨和我们一起分享。

此外,今天苹果公司也发布了 iOS 10.2.1、tvOS 10.1.1 以及 watchOS 3.1.3,更新的具体内容如下:

在 iOS 10.2.1 更新中包括 iPhone 及 iPad 的错误修正及改善安全性。iOS 10.2.1 的发布距离上一个版本 iOS 10.2 相隔超过 1 个月的时间。iOS 设备用户可以通过 OTA 无线升级至 iOS 10.2.1,同时也可以通过 Mac 或 PC 平台上的 iTunes 下载软件升级,完成更新。在测试之中,苹果并没有提到任何新功能。

此前有消息称苹果将在 iOS 10.3 中加入全新的“剧场模式”,但 iOS 10.3 的测试版发布时间还不确定。

tvOS 10.1.1 则是在 tvOS 10.1 发布后 5 个星期才发布,此前苹果仅发布了 tvOS 10.1.1 的两个测试版供开发者进行测试,需要本次更新的用户可以在 Apple TV 的设置应用中找到本次更新。当然如果你已经打开了自动更新功能,那么你的 Apple TV 就会自动进行更新,用户无需任何操作。tvOS 10.1.1 中没有增加什么新的特性,主要还是修复漏洞,优化性能。

今天同步释出的还有 watchOS 3.1.3。去年 12 月份苹果公司发布了 watchOS 3.1.1 更新,但是用户反映安装该更新之后设备变砖,无法恢复,因此苹果撤销了该次更新。

watchOS 3.1.3 更新中应该已经解决了这个问题,你可以在 iPhone 的 Apple Watch 应用中找到这次更新。要安装本次更新,需要确保 Apple Watch 的电池至少为 50%,Apple Watch 必须连接着充电器,而且是在 iPhone 的连接范围之内。支持它进行更新的 iPhone 需运行 iOS 10 及以上版本。

watchOS 3.1.3 中也没有添加什么重大功能或者特性,修复了信息、通知、活动、日历等应用中的漏洞。苹果并没有发布 watchOS 3.1.2 更新,而是直接从 watchOS 3.1.1 跳到了 watchOS 3.1.3。

苹果今天还更新了 iTunes 12.5.5,主要也是修复漏洞,强化性能。0day

Android恶意程序利用虚拟机悄悄安装应用

Android恶意程序HummingWhale利用奇虎手机助手团队开发的插件DroidPlugin实现虚拟机功能悄悄在用户设备上安装应用。HummingWhale的传播方法不是通过第三方应用商店,而是隐身于官方应用商店 Google Play,它的大约20款恶意应用被200万到1200万毫无防备的用户下载。这一事件显示,即使官方商店的应用也不能完全信任。Google在接到安全研究人员的通知后已经将恶意应用移除。HummingWhale主要通过两种方法产生收入:展示广告和自动安装应用。它将应用安装在虚拟机里,创建假的ID获取应用推荐收入。安装在虚拟机里的好处是安装时不需要用户批准权限,此外虚拟机还可以隐藏其恶意活动,让它还可以在被感染设备上安装无限的应用。HummingWhale还被观察到能自动生成好评掩盖差评。0day

Exitmap:Tor出口中继节点扫描器

工具简介

Exitmap是一个基于Python的Tor出口中继节点扫描器,具有快速和模块化的特点。 Exitmap模块执行在所有出口中继节点(的子集)上运行的任务。如果你有函数式编程的知识背景,可以把Exitmap看作是Tor出口中继节点的map()接口。

这些模块可以执行任何基于TCP的网络任务,例如获取网页、上传文件、连接到SSH服务器或加入IRC频道(Internet Relay Chat,互联网中继聊天,它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议)。

Exitmap的实际功能是监测出口中继节点的可靠性。当然很多人会利用Exitmap在Tor项目的检查服务中检查误报情况,并发现恶意的出口中继节点。为Exitmap开发新的模块也非常便捷,只需查看doc或目录中的HACKING文件,或者查看其中一个现有模块即可。

Exitmap使用Stem为所有给定的出口中继节点创建线路,并且一旦tor向Exitmap发出线路已建立的通知,Exitmap就会为新建立的线路调用模块。模块可以是纯Python脚本,也可以是可执行文件。对于可执行文件则需要用到torsocks工具(https://github.com/dgoulet/torsocks/)。

最后请注意Exitmap是一个网络评估工具,对普通的Tor用户没有用。Tor项目正在定期运行该工具,过多的Exitmap扫描只会导致额外的网络负载。Exitmap之所以开源是因为有人可能会对其源代码和结构感兴趣。

安装

Exitmap使用Stem库(Tor的python控制器库)与Tor进行交互。安装Stem的方式很多,最简单的应该是使用pip与现有的requirements.txt文件结合:

$ pip install -r requirements.txt

运行Exitmap

Exitmap所需的唯一参数是模块名称。例如,你可以通过以下方式运行Exitmap的checktest模块:

$ ./bin/exitmap checktest

然后命令行输出将显示如何进行Tor bootstrap,checktest模块输出和扫描摘要。如果你不需要3个hops,倾向于使用在静态的第一个hop之后的两个hops,请运行:

$ ./bin/exitmap --first-hop CCEF02AA454C0AB0FE1AC68304F6D8C4220C1912 checktest

若在德国出口中继节点上运行同样的测试,请执行:

$ ./bin/exitmap --country DE --first-hop CCEF02AA454C0AB0FE1AC68304F6D8C4220C1912 checktest

如果要在线路创建之间暂停五秒钟以减少Tor网络和扫描目标的负载,请运行:

$ ./bin/exitmap --build-delay 5 checktest

注意:

CCEF02AA454C0AB0FE1AC68304F6D8C4220C1912是一个由瑞典卡尔斯塔德大学运行的出口节点,你可以自由使用。但是分配扫描负载时请尽量使用自己的出口中继节点。

若想看到Exitmap的其它选项,请运行:

$ ./bin/exitmap --help

功能

Exitmap包含以下模块:

testfds:测试某出口中继节点是否能够获取简单网页的内容。若不能则说明该出口中继节点可能没有足够可用的文件描述符(打开一个文件需要维护很多数据,不光是权限的问题,内核对每一个打开文件都分配了一个数据结构,而文件描述符则是指向这些数据结构的索引,内核可以通过一个文件描述符查到相应文件的数据)。

checktest:尝试发现Tor项目检查服务中的误报。

dnspoison:尝试解析多个域名,并将接收到的DNS A记录与预期记录进行比较。

dnssec:检测解析器不证实DNSSEC(DNS安全扩展)的出口中继节点。

patchingCheck:检查是否存在文件篡改。

cloudflared:检查网站是否返回CloudFlare的验证码。

rtt:测量从某出口到各个目的地的往返时间。

配置

默认状态下,Exitmap会读取你的主目录中的.exitmaprc文件。该文件能够接受所有命令行选项,但是你必须用下划线代替减号。例如:

[Defaults]

first_hop = CCEF02AA454C0AB0FE1AC68304F6D8C4220C1912

verbosity = debug

build_delay = 1

analysis_dir = /path/to/exitmap_scans

测试

在提交代码合并请求之前,通过运行以下程序来确认所有配置均已通过测试:

$ pip install -r requirements-dev.txt

$ py.test --cov-report term-missing --cov-config .coveragerc --cov=src test

Exitmap下载链接:https://codeload.github.com/NullHypothesis/exitmap/zip/v2016.04.21

若对Exitmap的使用存在任何问题,可联系Philipp Winter [email protected]。0day

2017年Pwn2Own破解大赛剑指Linux、服务器和Web浏览器

Pwn2Own黑客大赛10周年版,奖金超过100万美元,目标范围涵盖虚拟机、服务器、企业应用和Web浏览器。

过去十年,零日计划(ZDI)年度Pwn2Own竞赛,成为了信息安全日历上开年重大活动之一,2017年也不例外。作为Pwn2Own竞赛十周年纪念,如今由趋势科技操办的ZDI,将比之前任何一次都走得更远,目标更多,奖金更高,只要成功执行零日漏洞利用即可获得不菲奖金。

2016年,HPE将其包含有ZDI的TippingPoint部门,以3亿美元的价格,出售给了趋势科技公司。该年的Pwn2own竞赛是两家公司联合举办的。2016年为期2天的竞赛中,成功证明了总共21个零日漏洞的研究人员,分享了46万美元的奖金。

Pwn2own 2017 将与CanSecWest大会一起,于3月15-17日在加拿大温哥华举行。2017大赛将由趋势科技独立赞助,且与去年的大赛不同,不再专注于Web浏览器。

今年的目标中出现了虚拟机,包括VMware和微软Hyper-V系统。研究人员需要从客户虚拟机执行虚拟化管理程序逃逸,以在底层托管操作系统中运行任意代码。成功进行虚拟机逃逸的安全研究员,将获得ZDI提供的10万美元奖励。

趋势科技漏洞研究高级经理布莱恩·戈伦茨说:“我们每年都会考虑新目标。”

Pwn2Own大赛之外,ZDI还是从研究人员那里搜罗安全漏洞的产业,通过其项目主动寻求虚拟机逃逸技术。

Pwn2Own有望提升研究人员的认识,未来可能看到更多此类报告。但尽管虚拟机在本届Pwn2Own目标列表当中,Docker容器却没有。

Linux

过去十年,Pwn2Own针对过基于苹果macOS和微软Windows的技术,但在2017年,开源Linux操作系统终于进驻目标列表。

在两项独立挑战中,研究人员将特别针对 Ubuntu 16.10 Linux操作系统。一项是权限提升,另一项是服务器端Web托管利用。

只要能利用Linux内核漏洞提升权限,研究人员便会得到1.5万美元的奖励。Windows上的提权奖励为3万美元,macOS提权奖励则是2万。

Ubunt系统可通过名为“AppArmor”的额外强制访问控制安全层进行保护,一些情况下可以限制本地用户权限提升漏洞利用的风险。2017年的Pwn2Own竞赛中,ZDI并未设置任何AppArmor。

在服务器端,ZDI对 Ubuntu 16.10 上运行的开源 Apache Web 服务器漏洞利用开出了20万美元的奖励。

Web浏览器

Web浏览器再次成为Pwn2Own主要目标,微软Edge浏览器或谷歌Chrome漏洞利用价值8万美元。苹果的Safari漏洞利用可获5万美元奖金。

2016的竞赛中Mozilla的火狐浏览器未能入选,但今年的目标列表中它强势回归。对火狐浏览器的成功漏洞利用可获3万美元奖励。

Mozilla增强了其安全性,我们完全有理由将其重新包含到竞赛中。

另外,2017 Pwn2Own 竞赛将为每个 Adobe Reader、微软 Office Word、Excel和PowerPoint的成功漏洞利用开出5万美元奖金。总奖金额度超过了以往任何一届Pwn2Own大赛。

戈恩茨说:“最终奖金数额的大部分取决于我们设置的项目数量,肯定会超过100万美元,是迄今为止的最大额度。”

历经十年,Pwn2Own黑客挑战赛很可能继续延续更多个年头。

“虽然生活在完全安全的世界会很美好,但我们知道这是不现实的。Pwn2Own上产生了很多伟大的研究,也激发了很多有价值的研究——最终改善了我们每个人的安全。”
如果此文章侵权,请留言,我们进行删除。0day

三星SmartCam智能摄像头曝高危命令注入漏洞,可被黑客完全控制

三星摄像头.jpg

三星SmartCam是一系列基于云端服务的安全监控摄像头,最初由Samsung Techwin研发。三星于2014年将旗下的这一部门出售给了韩华集团,并随后更名为Hanwha Techwin,但目前该司的SmartCam系列产品依旧以“三星”冠名。该系监控摄像头在智能家居产品中颇受欢迎,用户可通过网络摄像头和手机应用远程监控家庭安全,亦可作为婴儿监视器使用。

由于过去几年间该款产品的多种型号都被爆出过安全漏洞,Hanwha Techwin曾采取措施禁用了Web接口和SSH,只允许用户通过手机APP和My SmartCam云服务来使用这款产品。这次,研究人员又注意到了一个可以启用telnet和本地Web接口服务的方法。该漏洞由Exploiteers(前GTVHacker)首先发现,黑客可以借此执行远程命令注入获得root权限并完全控制此类设备。

Exploiteers研究人员在最近对型号SNH-1011的SmartCam进行测试时,注意到了尽管该设备Web接口已被禁用,但仍留有一个Web服务器以及部分与iWatch(一项网络摄像监控服务)有关的PHP脚本。其中一个脚本允许用户通过上传文件的方式更新iWatch,但由于没有很好地执行文件名检查留下了一个隐患。攻击者可以注入shell命令,由root权限的web服务器执行。

“利用iWatch Install.php的漏洞,攻击者通过构建特定文件名,放在tar命令中传递给system()调用。”研究人员在上周六的博客中解释道,

“由于web服务器以root权限运行,而文件名由用户提供,输入没有受到检查,这样就可以通过注入命令获得root权限执行远程代码。”

有意思的是,利用该漏洞可以启用已被禁用的Web接口,而该接口移除至今一直令众多用户不满。重开Web接口虽然使得用户又能通过本地网络监控摄像头画面而不必使用My SmartCam服务,但此举势必会影响到那些本已平息的陈年漏洞。

一直以来,具有漏洞的的IP摄像头都是黑客打造IoT僵尸网络的理想目标。在2014年第22届DEF CON上,Exploiteers的研究人员展示了SmartCam的部分安全漏洞。这些漏洞可引起执行任意代码,更改产品设置甚至管理员密码等问题。

第22届DEF CON上的漏洞演示部分

就在几个月前,Pen Test Partners也曾提交过关于此类产品的一系列安全问题。当时研究者注意到了型号为SNH-6410BN的IP摄像头仍留有SSH和Web服务器,给黑客提供了可能的后门。尽管这一次的漏洞是在SNH-1011中发现的,研究人员认为SmartCam整个系列的产品都会受此影响。

目前Exploiteers已经发布了此漏洞的POC(点击查看)并提供了手动修复指导方案。

本次漏洞的操作实例

*参考来源:networkworld, 由FB小编cxt编译,转载请注明来自FreeBuf.COM0day

Necurs要回来了,Locky还会远吗

Check Point公司最近发表了有关2016年12月最活跃恶意软件的报告,报告表明Locky垃圾邮件的数量在12月下降了81%。而就在10月份,Locky还占据着全球恶意软件排行榜的首位,到了12月却跌出了前十。如果你以为Locky会就此谢幕,那你就错了。

大家可能知道,Locky勒索软件的主要传播途径是Necurs僵尸网络,Locky能如此肆虐主要得益于Necurs。而圣诞节前到一月中旬的这段时间是网络罪犯们享受圣诞和新年双节的时间,在此期间,Necurs命令和控制服务器处于脱机状态,所以Locky也就只能小打小闹了。

不过思科Talos团队在几天前再次观察到一些垃圾邮件攻击开始传播Locky,只是规模较小。采用的仍是典型的脚本文件手段,但增加了一些新花样。

攻击1——双重压缩Locky

1.png

Locky攻击的电子邮件样本

这是Talos团队几天前观察到的第一个攻击。可以看到,邮件中没什么信息,主题和正文没有内容,只是一封带有附件的空白电子邮件。提取附件后其中有第二个zip文件——71344395.doc.zip,该zip文件使用双扩展名,目的是让用户误以为是doc文件。该zip文件之中是另一个双扩展名文件71344395.doc.jse。这是对应于Locky负载的恶意JavaScript。该攻击中有多个负载。

2.png

这是在终端系统上执行的JSE文件。第一个(红框内)是在网络流量中观察到的实际请求。紧接该GET请求的是看起来几乎相同的负载的两个GET请求。

3.png

恶意文件的GET请求

除上图中的红框部分外,GET请求是相同的。这样会将两个负载传播到系统——Kovter木马和Locky勒索软件。Kovter主要用于点击欺诈攻击,会在用户为解密其文件而支付后继续在系统中运行(不建议支付赎金的其中一个原因)。

攻击2——基于Rar的Locky

4.png

Locky攻击的电子邮件样本

这是Talos团队第二天开始观察到的第二个攻击。该攻击的内容稍多,主题行和正文中有内容。邮件冒充交易失败,这是垃圾邮件攻击中的惯用伎俩。该攻击使用的是rar文件,而非更常用的zip格式。用户提取文件后会发现一个js文件——doc_details.js。

5.png

恶意Javascript文件

这看起来更像我们通常观察到的Locky感染的混淆JavaScript。还有一些与该攻击有关的有意思的细节。

6.png

貌似Dridex的GET请求

其一是Locky实例的实际GET请求。如上所示,该URL结构并不是检索Locky负载通常会看到的结构,而是看起来非常像一个Dridex样本的请求。另一个独特方面与所使用的用户代理(UA)有关。下图中的数据是从网络通信中捕获的,表明使用的是python UA,而非更传统的UA。

7.png

新用户代理示例

这两次攻击的数量相对较低,但可能预示着海量攻击即将到来。

IOC

攻击1

主题:<无>

正文:<无>

哈希值:

20667ee47576765550f9961b87728128c8d9cf88861096c9715c6fce994e347e(JSE文件)

3c476dfbe53259830c458cf8b323cc9aeeb3d63d5f88cc2976716beaf24bd07c(Zip文件)

2d51e764bf37e2e8c845d980a4d324e8a1406d04a791a57e6082682ce04517db(Zip文件)

79ffaa5453500f75abe4ad196100a53dfb5ec5297fc714dd10feb26c4fb086db(Locky)

域名:

bolayde[.]com

tangopostale[.]com

攻击2

主题:交易被阻止。交易编号:<随机数>

哈希值:

0822a63725345e6b8921877367e43ee23696d75f712a9c54d5442dbc0d5f2056(JS文件)

55d092af73e5631982da6c165dfa704854b92f74eef0846e4b1aad57d0215251(Rar文件)

ec9c06a7cf810b07c342033588d2e7f5741e7acbea5f0c8e7009f6cc7087e1f7(Locky)

域名:

unwelcomeaz[.]top

结语

2016年,Locky攻击发送了数百万封恶意邮件,稳坐垃圾邮件头把交椅,它能否在2017年继续横行呢?我们就希望赚的盆满钵满的Necurs和Locky幕后黑客大佬们能继续在海滩多享受几个星期吧!

参考来源:

http://blog.talosintel.com/2017/01/locky-struggles.html

https://www.bleepingcomputer.com/news/security/locky-ransomware-activity-goes-down-by-81-percent/

http://www.informationsecuritybuzz.com/study-research/locky-ransomware-attackers-take-christmas-vacation-shows-check-point-research/

*本文作者:华为未然实验室,转载请注明来自Freebuf.COM0day