记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

实战公有云威胁情报系统构建

0x00  前言公网威胁情报系统无论是传统的售卖安全设备的厂商还是卖服务的云安全厂商都需自建的一套有价值的系统。归纳总结一下各位安全厂商的威胁情报收集途径·爬虫系统·蜜罐+沙箱·部署的设备在没有更多IDC的资源情况下(cert国际出口等),如何形成自己的情报收集架构体系呢?0x01  威胁情报收集单元详细设计架构拓扑归纳威胁情报单元需要集成的公共安全组件后台分析&发布平台0x02  技术实现1、蜜罐部署·ssh蜜罐cowrie搭建网上很多教程(忽略)。目的是把来至ssh自动化攻击的payload drop sample存储下来,为沙箱分析做准备。·安装logstashrpm&nbs
发布时间:2018-05-03 12:20 | 阅读:33299 | 评论:0 | 标签:业务安全 技术 威胁情报

【RSA2018】如何在威胁建模中利用机器学习和威胁情报

阅读: 47机器学习 和威胁情报在如今“数据驱动”(Data Driven)的时代依然是极为热门的概念,但是具体如何在威胁建模中采用机器学习,如何有效消费泛滥成灾的 威胁情报,在本届RSA大会中,有不少厂商也提出了自己对应的解决方案,包括:利用机器学习进行脆弱性管理预测,以及多源异构情报管理模型。相关阅读:【视频】TechWorld2017热点回顾 | 机器学习在安全攻防的实践【RSA2018】创新沙盒 | Awake Security基于机器学习的安全分析平台文章目录利用机器学习进行脆弱性管理预测三种安全方式机器学习算法选择小结威胁情报泛滥解决方案多源异构的威胁情报难以管理多源异构情报管理模型小结利用机器学习进行脆弱性管理预测Kenna Security公司的首席数据科学家Michael Roytman在他的
发布时间:2018-04-20 15:05 | 阅读:24322 | 评论:0 | 标签:技术前沿 rsa2018 威胁情报 威胁情报管理模型 机器学习 机器学习 算法

【专题策划】当我们谈论“威胁情报”时我们在谈论什么?

阅读: 13如今,绝大多数IT执行者都已经意识到,情报是针对高级网络攻击的有力武器。无论是安全厂商、企业机构还是主管机关都在谈论着“威胁情报”。那么,威胁情报到底是什么?对于企业安全又有什么深入意义?企业落地威胁情报又需要如何规划与实施呢?文章目录一、威胁情报的定义及使用二、使用STIX规范网络威胁情报信息三、威胁情报如何驱动新一代智能安全防护体系四、企业落地思考:威胁情报的现状、种类和应用五、威胁情报之落地实战——由灰向黑篇一、威胁情报的定义及使用威胁情报指通过各种来源获取环境所面临威胁的相关知识。2013 年5 月,Gartner 分析师Rob McMillan 对威胁情报做出了贴切的解释:关于资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。【公
发布时间:2018-03-21 15:05 | 阅读:25330 | 评论:0 | 标签:安全分享 威胁情报

一黑客开发恶意软件FruitFly监视用户13年

近日,据外媒报道称,一名来自美国俄亥俄州罗亚尔顿的男子遭到美国司法部指控,指控罪名为开发“Fruitfly”恶意软件感染成千上万台计算机,并远程监视和窃听Mac用户的行为十多年。根据法庭文件显示,现年28岁的俄亥俄州男子Philip R. Durachinsky被控涉嫌“计算机欺诈和滥用”、“非法窃听”、“身份盗用”以及“生产儿童色情制品”等罪名。根据美国检察官办公室的说法,早在2003年,年仅15岁的Durachinsky就已经开发出了这款后来被称之为“Fruitfly”的恶意软件,并在全球范围内成功感染了数以万计的IP地址。DurachinskyFruitFly是一款macOS和OS X恶意软件,具有很多隐秘且强大的监控能力。一旦成功感染计算机设备,Durachinsky就可以使用该恶意软件进行截屏、记录按
发布时间:2018-01-15 19:15 | 阅读:48664 | 评论:0 | 标签:威胁情报 FruitFly mac 恶意软件 摄像头

英特尔AMT曝高危漏洞:黑客可在数秒内攻破笔记本电脑

几天前才报道过,AMD、ARM和英特尔微芯片中存在可致“熔断(Meltdown)”和“幽灵(Spectre)”攻击的漏洞。因为这些微芯片广泛应用在几乎全部台式电脑/笔记本电脑、智能手机和平板电脑中,该漏洞的曝光大大冲击了微软、谷歌、Mozilla和亚马逊之类的大型科技公司。安全专家们夜以继日地赶工抛出安全更新,修补该漏洞。但英特尔的问题似乎还远未完结,因为又有一个漏洞被芬兰网络安全公司F-Secure发现了,这次是存在于英特尔硬件中。1月12日的官方声明中,F-Secure宣称,该新发现的硬件漏洞可使黑客远程访问公司企业的笔记本电脑。不过,该公司明确表示,此次发现的漏洞与“熔断”和“幽灵”漏洞没有任何关系。这次的问题出在广泛应用于企业笔记本电脑的英特尔主动管理技术(AMT)上。AMT漏洞可令黑客在数秒内(不超过
发布时间:2018-01-15 19:15 | 阅读:77834 | 评论:0 | 标签:威胁情报 AMT 安全漏洞 英特尔 漏洞

境外APT-C1组织攻击我国某互金平台

今日,绿盟科技发布报告《互金大盗背后的高级威胁组织APT-C1》。报告首次发现并命名了境外APT-C1组织,他们利用“互金大盗”恶意软件攻击我国某互金平台,导致平台数字资产被窃,损失高达150万美元。APT-C1组织攻击我国互金平台在整个攻击事件中,攻击者在战术、技术及过程三个方面(TTP)表现出高级威胁的特征,包括高度目的性、高度隐蔽性、高度危害性、高度复合性、目标实体化及攻击非对称化,在国际网络安全领域通常使用这些特征,来标识及识别高级持续性威胁(APT)攻击,同时由于其攻击主要针对我国互联网金融领域,因此将其命名为APT-C1。进一步分析显示,APT-C1组织开发的“互金大盗”,从2015 年5 月开始,逐步聚焦到互联网金融领域,并不断收集捕获包括比特币、莱特币、以太坊、比特币现金在内的12 种数字资产、
发布时间:2018-01-12 05:50 | 阅读:35006 | 评论:0 | 标签:威胁情报 APT攻击 互金 绿盟

“噩梦公式二代”漏洞来袭 微软今日凌晨发布高危Office漏洞补丁

1月10日凌晨,微软发布新一轮安全更新,修复了由360安全团队率先发现的Office高危漏洞(CVE-2018-0802)。漏洞原理与此前曝光的“噩梦公式”漏洞(CVE-2017-11882)类似,因此被命名为“噩梦公式二代”。该漏洞非常危险,打开恶意文档就会中招,影响所有Office主流版本,且已被不法黑客恶意利用。作为全球率先截获“噩梦公式二代”攻击的安全厂商,360紧急向微软报告漏洞细节,积极助力微软修复该漏洞,同时为网民全面拦截利用该漏洞的攻击。在本月官方公告中,微软对360进行了公开致谢。这是继去年10月,360代表中国安全厂商首次在全球率先捕获未公开0day漏洞的真实攻击后,发现的第二起利用0day漏洞的高级威胁攻击。微软官方致谢新增Office保护措施被突破 打开文档变黑客“肉鸡”据360助理总裁
发布时间:2018-01-10 19:50 | 阅读:55402 | 评论:0 | 标签:威胁情报 360 噩梦公式 安全漏洞 微软Office 漏洞

高危!主流安卓APP遭遇“应用克隆”危机,快速检测修复方案出炉

2018年1月9日, 国家信息安全漏洞共享平台(CNVD)发布关于Android WebView存在跨域访问漏洞(CNVD-2017-36682)的公告。漏洞描述WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现Web页面、解析并执行JavaScript代码的控件,Android应用可以使用WebView空间,灵活的扩展自身的业务功能。市面上大多数使用HTML5技术开发的应用均使用WebView进行HTML5页面的展示。除了从远程服务器加载Web页面,WebView还可以通过修改特定配置,从文件中进行HTML5页面的加载。在未正确配置WebView的情况下,导致WebView同源策略失效,导致HTTP协议、file协议跨源攻击。该漏洞导致WebView能够访问当前应用内部数据,如
发布时间:2018-01-10 19:50 | 阅读:97461 | 评论:0 | 标签:威胁情报 WebView控件 安卓应用 应用克隆 跨域访问漏洞

印度全民个人信息遭泄漏 售价不足6英镑!

近日,根据印度《论坛报》(Tribune)进行的调查显示,超过10亿印度公民的个人资料(包括指纹和虹膜等生物识别信息)正在在线出售,售价不足6英镑。据悉,这些数据是存储在世界上最大的国营生物识别数据库——Aadhaar中,该数据库除了收集印度公民的基本信息(名字、照片等)外,还存有被记录者的指纹、虹膜及其他生物识别信息。此外,《论坛报》还指出,同时在线出售的还有可用于生成虚假Aadhaar卡的软件,该卡片是获得日益增加的政府服务(包括免费用餐等)所需的身份证明文件。然而,运行Aadhar系统的印度唯一身份识别管理局(UIDAI)却表示,《论坛报》只是通过提供给政府官员的搜索功能访问到了有限的细节。UIDAI声称,会对那些出售登录许可的人员进行调查,并对非法使用该系统的人提出指控。但是,该机构却坚称公民的指纹和虹
发布时间:2018-01-07 23:45 | 阅读:38351 | 评论:0 | 标签:威胁情报 Aadhaar数据库 印度 数据泄露 生物识别信息

攻击者试图远程利用CPU内核漏洞:英特尔、AMD和ARM均受影响

1月3日,安全研究人员披露了两个安全漏洞——“Meltdown”(熔断)和“Spectre”(幽灵)的细节信息。据悉,这是两种针对CPU的新型攻击方式。这两个漏洞存在于英特尔、AMD和ARM架构的芯片之中,可以被攻击者用于绕过内存隔离机制、访问敏感数据,包括密码、照片、文档以及电子邮件信息等。安全研究人员认为,用不了多久这两个漏洞就会被恶意行为者用于攻击(如果他们尚未利用这些漏洞实施攻击的话)。据悉,受影响的芯片已经运用于数十亿种产品之中,其中包括个人电脑以及智能手机等。此外,研究人员还指出,攻击者也能够利用这些漏洞针对云环境发起攻击。针对这些攻击的最佳保护措施是使用内核页面隔离(KPTI),此外,受影响的供应商也已经开始发布安全补丁和解决方案来应对该安全问题。研究人员表示,虽然主要的攻击媒介是通过本地访问(例
发布时间:2018-01-07 23:45 | 阅读:62540 | 评论:0 | 标签:威胁情报 CPU漏洞 浏览器 漏洞利用 漏洞

物联网噩梦:GPS跟踪漏洞致数百万IoT产品陷入风险

漏洞通告已数月,但仍仅有4家网站运营商证实修复。这是一场IoT噩梦,本可以被完全避免掉的。两名研究人员曝光GPS服务问题:使用开放API和简单口令(123456)的数百GPS服务可致大量隐私问题,包括直接跟踪。而且,这些脆弱服务中很多都含有开放目录,暴露出登录数据。对有些人而言,这两名研究人员揭露的问题并不是什么新鲜事。早在2015年的Kiwicon大会上,就有人演示了某流行车辆跟踪定位设备中的漏洞。但是,1月2日的披露大大扩宽了早前研究的范围,包含市场上采用 A8 迷你GPS跟踪器和 S8 数据线定位器的数百万设备。就像很多IoT设备一样,这些设备是由大量几乎毫无安全可言的白标转售商售出的。暴露了什么?研究发现,这些不安全的GPS服务会暴露出定位信息、设备模型及类型信息、IMEI码、手机号、自定义名称、音频记
发布时间:2018-01-05 15:10 | 阅读:36784 | 评论:0 | 标签:威胁情报 GPS服务 安全漏洞 脆弱域名 漏洞

苹果系统安全大危机:存在15年的Mac OS零日漏洞

在2017年的最后一夜,一名代号为“Siguza”的安全研究人员在没有通知苹果公司相关漏洞信息并完成漏洞修复的情况下,向公众披露了macOS中一个潜伏长达15年之久的零日漏洞概念证明(POC)代码细节。这个将自身描述成“业余爱好者黑客”的研究人员在一份非常详细的书面报告中写道,“在Mac OS系统中发现的这个零日漏洞——IOHIDeous至少已经潜伏了15年的时间,并且会影响所有Mac操作系统。”目前,Siguza已经通过Github公布了该漏洞利用的细节以及PoC代码(https://github.com/Siguza/IOHIDeous/),并补充道,“这是一个基于IOHIDFamily(为人机界面设备设计的内核扩展,如触摸屏或按钮)零日漏洞的macOS内核漏洞利用。”虽然该漏洞造成的影响范围极广,但是作为
发布时间:2018-01-05 15:10 | 阅读:41470 | 评论:0 | 标签:威胁情报 IOHIDeous macOS root权限 提权漏洞 漏洞

英特尔CPU曝重大设计缺陷:Linux、Windows需修改内核

其他操作系统也需更新,性能受损。程序员们匆忙上马,彻底检查开源Linux内核虚拟内存系统。同时,微软有望在下一个周二更新日为Windows操作系统做出必要的修改:针对11月和12月推出的 Windows Insider Fast-ring 测试版。基本上,Linux和Windows的这次更新都将对英特尔产品的性能产生影响。影响有多大尚有待衡量,但粗略估计会在5%-30%之间——依具体任务和处理器模型而定。更新一些有PCID之类功能的英特尔芯片可以减小性能损失。各用户的情况不一而足。因为缺陷出自英特尔x86-64硬件,且似乎微代码更新无法解决该问题,所以类似的操作系统(如苹果的64位macOS)也需要更新。要么在操作系统级软件修复该问题,要么新买一块不带该设计缺陷的处理器,自己选吧!该漏洞的细节目前尚未披露,大概
发布时间:2018-01-04 22:10 | 阅读:38427 | 评论:0 | 标签:威胁情报 内核漏洞 数据泄露 芯片 英特尔

专门攻击工资支付系统的网络犯罪

工资支付系统因其广泛性、以及普遍较弱的安全性,成为网络犯罪首要目标。取得进入转账系统的权限后,网络罪犯可以将款项转移至自己的银行账户。这一切并不那么难。通过钓鱼攻击,获得具体员工的邮箱,黑客就可以进入公司的工资支付系统。举例来说,一名黑客取得财务人员邮箱权限之后,可以发起更改密码以登录转账系统,取得权限后,罪犯可以变更押金设置,从而转移至自己的账户中。网络罪犯的选择有很多,出纳、老板、员工都可以是攻击目标。举例来说,美国的 Anne Arundel County 公立学校,使用被黑客盗取的用户信息,给36名员工支付支票,均被转移至其他账户,造成5.7万美元的损失。一个相似的例子是亚特兰大公立学校系统在2017年9月发生的事,网络犯罪者获取27名用户信用信息转走了56459美元。另一种变化是,网络犯罪者在Chel
发布时间:2017-12-28 19:45 | 阅读:48015 | 评论:0 | 标签:威胁情报 ATM机 工资支付系统 网络犯罪 网络钓鱼

Wannacry已感染10亿+用户 而且还在增长

Wannacry也许是史上最具影响力的网络攻击,影响了包括医院、银行、工厂在内的数千家机构。Kryptos Logis 的研究员 Marcus Hutchins 表示,他发现并注册了一个病毒软件经常连接的域,能够有效隔离攻击,并向企业提供检测Wannacry病毒潜在威胁的工具。Kryptos Logic监控这个域长达7个月,跟踪其潜在发展,重复感染行为,为的是探测出攻击规模,并分析发动全球性安全危机的容易程度。这篇文章发表之时,killswitch已经ping通近90亿次(尽管很多是由于IP扰动或者重启导致),Kryptos的服务器也遭受了数次报复黑入。这些ping尝试来源多样(使用原始因特网扫描公共程序的大公司,包括古老的Windows图片及部署以及剩余感染和分散的爆发等)ping的比例也越来越大,一个月平均
发布时间:2017-12-28 02:40 | 阅读:40323 | 评论:0 | 标签:威胁情报 wannacry 朝鲜 网络攻击

19年之久的ROBOT漏洞复现 流行网站受害

如果你认为比如Facebook和PayPal之类,受到大众追捧的流行网站就能免受上个世纪的漏洞侵害的话,你就太天真了!研究显示:1998年发现的一个漏洞最近死灰复燃,威胁多种流行网站和在线服务。该漏洞被命名为ROBOT,是丹尼尔·布雷琴巴赫于1998年发现的。ROBOT是个首字母缩写,意思是布雷琴巴赫Oracle威胁重现(Return Of Bleichenbacher’s Oracle Threat)。新版ROBOT是在最近的Facebook漏洞奖励项目中被3名研究人员发现的。12月12日公布了新版ROBOT漏洞细节,但研究人员因此获得的奖金数额并未透露。ROBOT存在于传输层安全(TLS)协议,影响所有主流网站——因为攻击者可解密数据,并用网站的私钥来签名通信。TLS协议用于执行Web加密,而该漏洞就存在于
发布时间:2017-12-19 01:05 | 阅读:46435 | 评论:0 | 标签:威胁情报 HTTPS ROBOT 传输层安全协议 安全漏洞 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云