记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

安全事件背后,三分之一与安全管理疏忽或员工安全意识薄弱有关

绿盟科技应急响应团队深入整理与分析了2019年处理的安全事件,并综合国内外重要安全事件,编制《绿盟科技2019安全事件响应观察报告》,希望从安全事件的角度分析2019年的安全现状,与安全行业从业者交流发展趋势,共同探讨网络安全建设的发展方向。No.1国家级安全演练效果明显,2019下半年安全事件数量同比2018年下降39%安全演练不仅能增强演练组织单位、参与单位和人员等对应急流程的熟悉程度,提高应急处置能力;还能检查各个单位对突发事件所需应急队伍、物资、装备、技术等方面的准备情况,发现应急预案中存在的问题。这也是对日常安全运维工作中的安全保障成果的一种检验,为后续单位、企业安全建设提供新的思路与方向。No.2关键基础设施成为网络安全的核心战场2019年安全事件当中,金融、运营商、政府、能源、教育、卫生、交通行业
发布时间:2020-03-16 19:19 | 阅读:21419 | 评论:0 | 标签:厂商供稿 安全报告 绿盟科技

2019全球高级持续性威胁(APT)研究报告

一、前言 高级可持续性攻击,又称APT攻击,通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马(俗称特马),实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动,具有强烈的政治、经济目的。 整个2019年,虽然没有太过于轰动的攻击事件,但是攻击的事件却有增无减。腾讯安全威胁情报中心根据团队自己的研究以及搜集的国内外同行的攻击报告,编写了该份2019年APT攻击研究报告。根据研究结果,我们认为主要的结论如下: 1、 中国依然是APT攻击的主要受害国,受到来自于东亚、东南亚、南亚、欧美等各个区域的网络威胁; 2、网络攻击形势跟地域政治局势有相当密切的关联,地域安全形势复杂的地区,往往是APT攻击最为严重和复杂的地区; 3、多平台的
发布时间:2020-03-08 14:19 | 阅读:43576 | 评论:0 | 标签:安全报告 2019 apt 木马

《2019年云上挖矿僵尸网络趋势报告》首发:挖矿木马全面蠕虫化

​​挖矿木马是一类利用漏洞入侵计算机,并植入挖矿软件挖掘加密数字货币牟利的木马,被植入挖矿木马的计算机会出现CPU使用率飙升、系统卡顿、业务服务无法正常使用等情况。挖矿木马为了能够长期在服务器中驻留,会采用多种安全对抗技术,如修改计划任务、防火墙配置、系统动态链接库等,这些技术手段严重时可能造成服务器业务中断。 挖矿木马最早出现于2012年,加密数字货币价格自2017年开始暴涨,门罗币等匿名币的出现,其不可追踪、抗Asic矿机的特性使得服务器的计算资源变得有利可图。自2018年以来挖矿木马已成为互联网中存在的主要安全威胁。阿里云安全团队长期跟踪和研究挖矿木马,在2019年我们监测到多起挖矿木马的爆发,发现了一些挖矿木马新的发展趋势。本文将依据我们长期的监测数据,对2019年的挖矿木马发展趋势进行分析总结。 核心
发布时间:2020-02-10 12:15 | 阅读:30652 | 评论:0 | 标签:安全报告 《2019年云上挖矿僵尸网络趋势报告》 挖矿木马

暗网调查中的执法分析

执法机构始终面临着增强对所调查群体的了解的问题。根据所涉及的行动类型,需要了解的程度也不尽相同。在某些情况下,某个地区的调查人员可能需要世界各地的执法机构提供帮助。 目前,当局认为很难处理的关键领域就是暗网调查。调查暗网非常复杂,因为它需要数周、数月乃至数年的时间来追查关键嫌疑人,然后才能逮捕罪魁祸首。另一点就是,对于更大、更复杂的暗网操作,安全机构需要寻求其同仁的帮助。 2017年7月,世界各地的执法机构共同摧毁了当时最大的两个暗网市场——AlphaBay和Hansa,这一过程就是很明显的例子。 执法机构相互合作对于行动成功至关重要,因为市场的买家、买家和管理员都处在不同的司法管辖区。因此,如果没有其它国家执法机构的参与,就不会有这次活动的成功。 差不多两年过去了,摧毁AlphaBay和Hansa的执法行动
发布时间:2019-03-07 18:45 | 阅读:115014 | 评论:0 | 标签:安全报告

恶意移动软件攻击在2018年翻了一番

根据卡巴斯基实验室的一份报告,2018年遭受恶意软件攻击的移动用户数量是2017年的两倍,从2017年的6640万增加到去年的1.165亿次。 尽管恶意移动软件攻击数量大幅增加,但全年仅发现5,321,142个包含恶意软件样本的安装包,与2017年的数据相比减少了409,774个。 虽然针对移动用户的攻击者一直在使用传统的攻击方法,如垃圾短信、邮件,但他们也在尝试用以前仅用于攻击桌面的DNS劫持等技术来攻击移动用户。 根据卡巴斯基实验室的报告,最常见的工具和攻击技术是: Droppers (Trojan-Dropper),旨在规避检测 通过移动设备攻击银行账户 RiskTool 恶意广告应用程序 阻止的攻击次数 除此之外,卡巴斯基实验室还检测到了三个由APT小组发起的恶意活动,它们监视受害者,窥探其在社交网
发布时间:2019-03-06 18:45 | 阅读:624777 | 评论:0 | 标签:安全报告 移动

安全措施越好,网络犯罪分子攻击技术越高

越来越多的安全措施以及人们越来越好的安全意识正在推动网络犯罪分子改进他们的技术,以寻求更好的投资回报(ROI)。 记录的漏洞总数同比增长 因此,根据2019年IBM X-Force威胁情报指数,为了提高投资回报率,犯罪分子增加了对其他网络犯罪技术的使用,因此攻击方式发生了重大转变,包括减少对恶意软件的依赖和勒索软件的减少。 IBM X-Force还观察到,加密攻击的数量——在组织或个人不知情的情况下非法使用其计算能力来挖掘加密货币—-几乎是2018年勒索软件攻击的两倍。 随着比特币等加密货币的价格在2018年达到近20,000美元的高位,悄悄使用受害者计算能力的降低风险/低成本的攻击正在上升。事实上,IBM垃圾邮件研究人员在2018年从世界上最大的恶意软件垃圾邮件分发僵尸网络Necurs中仅追踪到
发布时间:2019-02-28 18:45 | 阅读:106909 | 评论:0 | 标签:安全报告

物联网攻击增加?!是时候了解一下了

如今物联网行业正以极快的速度发展,几乎所有我们能想到的小工具都能连接到互联网。虽然这在某种程度上极大的便利了我们的生活,但也大大扩大了攻击面。现在,每隔几天看见对物联网设备新攻击的新闻并不是什么新鲜事。在发现此类漏洞后,并非所有供应商都能迅速发布补丁,这使得最终用户容易受到攻击者的攻击。 Mirai僵尸网络攻击 Mirai是一种自我传播的僵尸网络病毒。Mirai僵尸网络代码通过利用telnet来发现那些还在使用默认用户名和密码的网络设备,从而感染安全性不高的网络设备。Mirai的成功之处在于它能够感染大量安全性不高的设备并让它们对受害者进行DDOS攻击。 Mirai用简单但却有效的方法利用这些易受攻击的物联网设备,它检查每台设备的Telnet插槽,而非使用复杂的技术来监控物联网设备然后尝试用61个随机用户名/
发布时间:2019-01-23 18:45 | 阅读:108010 | 评论:0 | 标签:安全报告

深渊探秘:暗网价值利用之威胁情报

一.概览 近些年来,关于暗网(Dark Web)的传说有很多:小到枪支毒品、色情交易,大到人口贩卖、买凶杀人,这样一个暗黑版的“淘宝市场”无疑成为了网络犯罪分子聚集的“虎狼之穴”。 暗网可以大致分为三个等级: 浅层网:通过特定浏览器(最常使用的是Tor浏览器)就能进入,这里的内容一般为黄赌毒和一些重口味的信息。著名的丝绸之路就位于浅层网。 中层网:这里就不是普通用户可以进入的了,一般只有通过特定的方式或被邀请才能进入,其间活跃的多为邪恶势力,如恐怖分子、黑客组织。 深层网:极少有人能够进入探索过,据说隐藏了一些见不得光的政府机密文件。 无论是哪一层暗网,都需要一定的技术手段才能访问,显然并不像浏览日常的明网那样方便。 暗网中存在成千上万个网站以及海量的信息,这些都符合“大数据”的概念。这些数据通常是完全加密
发布时间:2019-01-14 18:45 | 阅读:149363 | 评论:0 | 标签:安全报告 观点

McAfee2018年12月威胁报告(下)

利用工具包为漏洞、勒索软件加码 漏洞工具包是很多网络犯罪活动的传送工具,有些还存在于市面,而另外一些已经被执法部门取缔。其研究人员第三季度发现了两种新的漏洞工具。八月份发现的Fallout工具包利用的是Adobe Flash播放器和微软Windows漏洞,可让攻击者将恶意软件下载到受害者计算机上,这一点跟Nuclear工具包很相似。虽然并未针对特别地区,但Fallout是在一些日本机构的调查中发现。CVE-2018-4878和CVE-2018-8174 是该工具包中仅有的两个漏洞,其后面被用于传播GandCrab版本5。 下表基于McAfee全球威胁情报遥测得出,显示了9月末和10月初四个 GandCrab版本5的分发样本,但这些样本不太像Fallout利用工具包所传播。该表展示的是典型的工具包感染率:起初命中
发布时间:2019-01-07 18:45 | 阅读:121762 | 评论:0 | 标签:安全报告

McAfee2018年12月威胁报告(中)

挖矿依然猖獗 通过恶意软件对恶意软件挖矿2018年稀松平常。过去一年,“挖矿机”恶意软件增长了多达4000%。 安全研究人员Remco Verhoef发现了一种Mac OS威胁,之后被命名为OSX.Dummy,在加密货币挖矿群里分发。该利用很简单,需要受害者在OSX种端执行一行命令,下载和执行载荷。 实施者在Slack、Telegram和Discord上编写信息,提示用户下载软件对加密货币问题进行修复。假软件通过一行Bash进行执行,用户便在自己的设备上受到了感染。执行时,OSX.Dummy在恶意服务器上开启了逆向shell,攻击者便能访问到受感染系统。 挖矿者会利用一切可信场景。一些安全研究人员发现了开源媒体播放器Kodi的非正式存储库也被修改成可传送恶意软件的附加组件,而该活动从2017年便已经开始。 另
发布时间:2019-01-04 18:45 | 阅读:134282 | 评论:0 | 标签:安全报告

2018年12月勒索病毒疫情分析

近年来勒索病毒的快速兴起,给企业和个人带来了严重的威胁,360互联网安全中心针对勒索病毒进行了多方位的监控与防御。从本月数据来看,针对个人电脑进行传播的勒索病毒有所下降,针对服务器的勒索病毒又一次上涨。勒索病毒正在威胁广大网民的上网安全。 感染数据分析 通过对今年勒索病毒的感染数据进行分析统计,12月的感染量相对于11月的感染量有小幅度的下降。造成11月和12月感染趋势有所波动的原因主要有以下三个方面: 1. 11月20日到11月27日通过U盘蠕虫传播的GandCrab勒索病毒持续上涨,并达到一个高峰期。虽然目前传播GandCrab勒索病毒的U盘蠕虫查杀量依然很高,但整体的最终感染量下降。 2. 11月30日到12月2日这段时间UNNAMED1989 (网称”微信支付勒索病毒”)勒索病毒大规模传播,虽然杀毒软件
发布时间:2019-01-04 13:45 | 阅读:161591 | 评论:0 | 标签:安全报告

Donot(APT-C-35)组织对在华巴基斯坦商务人士的定向攻击活动分析

背景 近期,360威胁情报中心协助用户处理了多起非常有针对性的邮件钓鱼攻击事件,被攻击目标包括中国境内的巴基斯坦重要商务人士,该轮攻击活动最早发生在2018年5月,攻击者对目标机器进行了长时间的控制。360威胁情报中心在本文中对本次的钓鱼攻击活动的过程与技术细节进行揭露,希望相关组织和个人能够引起足够重视并采取必要的应对措施。 2017年,360公司发现并披露了主要针对巴基斯坦等南亚地区国家进行网络间谍活动的组织[1],内部跟踪代号为APT-C-35,其后网络安全厂商Arbor公开了该组织的活动并命名为Donot[2]。此APT组织主要针对政府机构等领域进行攻击,以窃取敏感信息为主要目的。从2017年至今,该组织针对巴基斯坦至少发动了4波攻击行动,攻击过程主要是以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意
发布时间:2018-12-17 18:45 | 阅读:132874 | 评论:0 | 标签:安全报告

TrickBot银行木马最新版本分析报告

一、概述 TrickBot是一款专门针对银行发动攻击的木马程序,攻击目标除了包括300余家知名国际银行外,还包括binance.com等多家虚拟货币交易平台。 TrickBot木马最早被发现于2016年,其很多功能与另外一款针对银行的木马Dyreza非常相似。TrickBot木马的早期版本,没有任何字符串加密功能,也基本没有采用其他的对抗手段,但目前流行TrickBot使用了很强的加密功能,也使用用多种安全对抗技术,使得安全人员对其进行代码分析越来越困难。 我们总结了最新版本的TrickBot如下特点: 1.高强度的反分析能力: 1)木马所用到的字符串全部采用自定义base64编码进行加。 2)代码进行了大量混淆对抗静态分析。 3)对抗动态调试。 4)对抗沙盒检测。 5)对抗dump分析。 6)运用了大量加密手
发布时间:2018-12-17 18:45 | 阅读:196945 | 评论:0 | 标签:安全报告

国内企业遭遇勒索软件攻击事件及相关样本分析

事件背景 日前,国内某制造企业遭受勒索病毒攻击,造成核心生产网络、业务办公网络被勒索病毒加密,直接导致生产停工,中招主机被要求支付0.1个比特币的赎金。360企业安全接到用户应急求助后,第一时间赶赴现场,对该事件进行分析和溯源,现场快速定位、及时恢复数据,帮助用户降低损失。 分析显示攻击者采用了人工渗透定向攻击并推送多个恶意模块进行勒索,不排除攻击者对更多已经控制的内网系统下手,在此提醒用户对网络和终端进行安全排查,发现入侵迹象及时采取措施。以下为360威胁情报中心对现场所获取的勒索病毒的技术分析及防护处置建议,供不幸中招的用户参考,如需协助也可以联系360企业安全应急响应中心。 现场取证与事件分析 360企业安全应急响应安全专家通过对现场终端进行初步排查,发现客户终端主机被植入勒索病毒,导致无法进入操作系统。
发布时间:2018-12-17 18:45 | 阅读:118517 | 评论:0 | 标签:安全报告

11月成“勒索病毒集中月”?看看360这份报告怎么说

11月对于网络安全界来说,可以说非常热闹了:国产“微信支付”勒索病毒迅速蹿红社交网络,Satan勒索病毒更新升级一刻不闲着,其他家族的勒索病毒也都虎视眈眈。 最近,360互联网安全中心基于对勒索病毒的多方位监控与防御数据,发布了《11月国内勒索病毒疫情分析》,从报告中可看出,针对个人电脑进行传播的勒索病毒广泛传播,受害者众多,勒索病毒正在威胁着普通网民的上网安全。 攻击者企图“薄利多收” 个人用户成攻击重点目标  报告通过对今年勒索病毒的感染数据进行统计分析,可看出11月的感染量整体在大幅度剧增:主要由于GandCrab勒索病毒和一款名为UNNAMED1989的国产勒索病毒(网称“微信支付勒索病毒”)的广泛传播导致。 而关于11月勒索病毒家族占比方面,报告显示,在本月GandCrab勒索病毒仍居首位,主要由
发布时间:2018-12-12 13:45 | 阅读:123343 | 评论:0 | 标签:安全报告

Docker安全风险,原来有这么多

引言 Docker是一种开源的基于 LXC 的应用容器引擎,因其轻量、弹性伸缩、快速部署、可移植等优势,在大型互联网企业中被广泛应用。随着Docker技术的发展与普及,其带来安全问题不容忽视。本文通过介绍Docker实现原理,对Docker所引入的安全脆弱性问题分析总结,对使用者在容器安全问题方面提供指导性建议。 简  介 Docker的设计理念是“Build,Ship and Run Any App,Anywhere”,可实现对应用的封装、部署、运行等生命周期管理。应用通过镜像的方式部署于任何环境中,可避免各团队之间因沟通不畅产生的协作问题,Docker现已成为企业实现DevOps目标
发布时间:2018-12-05 18:45 | 阅读:135617 | 评论:0 | 标签:安全报告

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云