记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

WannaCry引发的企业安全建设思考

勒索软件从CTB-Locker最早出现,到Locky的大规模爆发,再到刚刚发生的WannaCry,至今已经有两年时间了。尤其是此次影响到100多个国家的WannaCry,已经对各行各业造成了不可挽回的经济损失,甚至影响到了国家关键基础设施。值得庆幸的是由于国内外各个信息安全领域的厂商、研究机构及从业人员从未停止过对勒索软件的分析和研究,使得在事件发生之后能在很短时间内发现,并公布防止勒索软件扩散的解决方案。与此同时,各个信息安全厂商结合自身的产品均发布过相应的解决方案,也起到了一定的作用,但始终无法根治。若要从根本上解决勒索软件泛滥的问题,就必须究其根源及传播方式。勒索软件的最终目的就是要植入到PC或移动客户端上,加密终端上的数据,从而索要钱财。其传播方式多为通过群发钓鱼
发布时间:2017-05-16 07:45 | 阅读:103294 | 评论:0 | 标签:安全方案 安全治理

面对SWIFT孟加拉银行劫案怎么破?

2月份孟加拉央行被黑客通过SWIFT系统转走了8100万。前段时间国外的BAE、McAfee、Symantec、趋势科技,国内的360、malwarebenchmark团队、白泽安全团队都对攻击中用到的恶意软件及过程做过很详细的分析了。由于案情没有公开,所以推敲下来很多细节其实还是有令人不解之处。这里根据前人的分析以及收集到的信息,试着就孟加拉银行劫案里出现的问题,从防守方来看还可以做些什么加强。隔离现在银行最开始是如何被攻破的还没有一个明确的公开说法。到底是内鬼?还是有些员工因为钓鱼邮件而导致电脑被植入了恶意软件?但是最被诟病的是孟加拉央行只使用了一个缺少管理功能的交换机把负责转账SWIFT设备房间的网络和银行的其他网络连在一起。实时的分析据说黑客当时第一次提交35笔的
发布时间:2016-08-10 01:00 | 阅读:93816 | 评论:0 | 标签:安全方案

信息安全的四个新趋势

北向峰会(2015-12-22)数据主题论坛所使用的幻灯片。只有三页,却是笔者两年多来观察安全行业变革的总结。即使放到全球来看,近来风头正劲的安全创业公司也大部分落在这三页范畴内。大数据和机器学习不过是手段,真正的安全产品创新还是要深刻理解驱动安全架构改变的原动力。 幻灯片简洁,会上讲解的内容较多,本文未作详细说明。 数字化商业带来的基础设施和业务需求的变革,从根本上改变了信息安全的专注点。拥抱变革带来的机会才有新增长点。产品设计要体现新趋势。 信息安全行业内发生了显而易见的改变,除新兴公司的创新产品外,老产品也纷纷推出大版本升级强调新功能覆盖上述需求,未能跟上潮流的公司将面临被淘汰的风险。此外,以大数据安全分析和自适应为卖点的创业公司,如果不能及时将侧重点转换为提供支
发布时间:2016-01-11 17:50 | 阅读:106459 | 评论:0 | 标签:安全技术 安全方案

如何检测隐藏的Webshell(三) Weevely.img

    这段时间忙于将研究成果转化为实际的东西,想想已半月有余没和大家共享研究成果了,(守望者们都太忙啦)。前几篇文章重点讲了一下国外比较流行的绕IDS Webshell Weevely。主要讲了Weevely的流量特征和后门样本特征,今天讲讲Weevely的另一种模式img模式以及Weevely从流量上如何检测。 Weevely.img模式     Weevely除了可以实时生成一个完全唯一的PHP Webshell之外其实还有另外一种模式就是将生成的代码插入到一个图片文件中,即img模式,但是最新版的Weevely却取消了这个功能,可能是作者觉得img模式太鸡肋吧,需要.htaccess支持确实是硬伤,而且代码插入图片中会导致图片文件特征太过明
发布时间:2015-12-27 01:10 | 阅读:124877 | 评论:0 | 标签:安全方案 安全技术

Webshell系列(5)- webshell之“看见”的能力分析

一 Webshell的典型攻击序列图 下图是一个典型的webshell的攻击序列图,利用web的漏洞,获取web权限,上传小马,安装大马,然后远程调用webshell,执行各种命令,以达到获取数据等恶意目的。 二 从kill chain来分析各阶段“看见”能力 从kill chain来看,靠采集系统自身的流量的技术手段,在前两个阶段Reconnaissance、Weaponise这两个阶段是很难看到行为。(结合威胁情报可以更大范围的看到这两个阶段的信息),基于流量的payload分析技术可以在Delivery、Exploit、Installation、Command &Control (C2)、Action这几个阶段都能看到攻击行为。
发布时间:2015-11-27 13:15 | 阅读:111135 | 评论:0 | 标签:安全威胁情报 安全技术 安全方案

Webshell安全检测篇(4)-基于流量的Webshell分析样例

一 “大马”典型操作     经过前面多篇文章的全面介绍想必大家对如何检测Webshell都有了一定的认识,今天我们一起探讨一下如何从网络流量中去实际的检测和发现Webshell的。 我们知道“大马”的目的就是为了提权以及控制。常见的“大马”一般都是功能较多结构也较为复杂的,“单一文件实现众多功能”是“大马”的设计目的之一,一方面大在功能,另一方面大在体积。在形形色色的“大马”中不难总结其中典型的功能。 文件操作:上传、下载、编辑、删除; 数据库操作:连接数据库、脱库、插入数据; 命令执行:提交自定义命令、“大马”预制命令。    &nbs
发布时间:2015-11-24 09:50 | 阅读:96956 | 评论:0 | 标签:安全威胁情报 安全工具 安全方案

Webshell安全检测篇(2)-深入用户的内心

前篇:http://www.sec-un.org/webshell-security-testing-1-based-traffic-detection.html 一、WEBSHELL是什么?意味着什么?   不同人的视角里,Webshell是什么? 程序员:一个可以执行的web脚本文件。意味着:就是个脚本。 黑客:一个可以拿来控制网站的东西。意味:网站已经搞定,尽量隐藏自己的身份别被发现,同时可以进行后续的破坏行为。 用户(站长): 发现了Webshell,麻烦来了,认真的管理员都会想到很多很多的问题。网站有漏洞,已经被别人攻击了。我该怎么办? 二、Webshell检测工具和产品(系统)的区别在哪? &n
发布时间:2015-11-09 12:30 | 阅读:101720 | 评论:0 | 标签:安全威胁情报 安全技术 安全方案

Webshell安全检测篇(1)-基于流量的检测方式

一、概述 笔者一直在关注webshell的安全分析,最近就这段时间的心得体会和大家做个分享。 webshell一般有三种检测方式: 基于流量模式 基于agent模式(实质是直接分析webshell文件) 基于日志分析模式 Webshell的分类笔者总结如下: 前段时间由于工作的需要完成了一个Webshell检测系统,根据当时的需求写了一篇关于使用基于Agent模型和基于日志分析模型来检测服务器上的文件是否是Webshell的文章, 原文可以参见:http://www.sec-un.org/ideas-like-article-espionage-webshell-method.html
发布时间:2015-11-08 21:20 | 阅读:119285 | 评论:0 | 标签:安全任务 安全方案 攻防技术

安全,是云基础设施的核心竞争力之一

始料不及的是AWS re:Invent 2015居然在朋友圈刷屏,而Gartner Symposium却没什么动静。云计算领域最受瞩目的AWS大会已经是产业标杆,每年会上发布的新服务也是各大厂商竞相模仿和追赶的对象。这种大会都是各看各的热闹和门道,而对于笔者来说,最大的变化是,AWS果然开始做安全了。 我一直认为,安全,继运维之后,会是云基础设施服务商的核心竞争热点。因为基础安全任务具有很明显的运维特征,是云用户的广泛需求,亦能发挥云计算种种节省成本提高效率等等优势。 然而这个观点在国内似乎并不招人喜欢。你一个做基础设施的不安分守己,安全你做得好吗?出了问题你承担得起吗?前阵子国内某某云在帮用户做安全上出了点小问题,一时间口诛笔伐铺天盖地。估计其安全团队必然受到了巨大的来自业务部门的压力
发布时间:2015-10-11 03:45 | 阅读:87683 | 评论:0 | 标签:安全方案 安全治理

提升数据治理水平和风险管控能力

本月为美国国家网络安全意识月,不料1日和2日刚开始两天就已经接连爆出两个严重数据泄漏事例。信用记录和消费者数据提供商Experian于10月1日披露,约1500万曾申请T-Mobile融资服务的消费者数据被泄漏,包括社保号、驾照号、护照号等。10月2日,Scottrade宣布其收到联邦执法机构通知,发现有460万客户信息被盗取。 可以预见的是,这两宗大规模数据泄漏事件,不仅会给公司带来高额罚款以及后续处理成本,信息安全管理者必然需要承担责任,很有可能被迫辞职。Experian将为所有数据泄露的用户提供两年免费的信用监测作为补偿。数据安全事件,已经是导致CISO责任离职的最主要原因。 调查显示,客户数据、知识产权、和经营分析数据是CISO普遍认为风险最高的敏感数据。CISO应立即着手提升数
发布时间:2015-10-08 15:05 | 阅读:113510 | 评论:0 | 标签:安全方案 安全治理 data breach data classification data governance da

国家基础设施安全保护十大原则-下篇

下篇: 0x05 慎重 一. 隐匿式安全 有两种思路: a) 对脆弱性的长期隐藏,指操作系统人员掩盖某些可能会被利用脆弱性的事实,这种方式建议只是短期方案,长期方案还是要更加合理的将脆弱性消除。 b) 对信息的长期抑制。值目标系统操作人员故意抑制系统的常用信息,使敌人、黑客或第三方更加难以发现系统的潜在威胁。 二. 信息侦查 1. 信息侦查包括三个阶段: a) 第一级主要从多种可能渠道进行广泛侦查,可能包括网络搜索、私人接触和商业互动。 b) 第二级侦查涉及有针对性的搜集活动,通常包括自动搜集。主要包括网络扫描等。 c) 第三级侦查主要包括对目标的直接访问,例如入侵进前面搜集的某个带有脆弱性的目标。 侦查阶段如下图所示:
发布时间:2015-10-06 17:35 | 阅读:82420 | 评论:0 | 标签:安全方案

工业控制系统安全标准

0x00 相关标准和组织 1. 国土安全第7号总统令(HSPD-7) 下载地址: http://www.dhs.gov/homeland-security-presidential-directive-7 https://www.whitehouse.gov/sites/default/files/omb/memoranda/fy04/m-04-15.pdf 2. NIST SP 800 53和82 a)NIST SP800 53  下载地址: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf b)NIST SP800 82 http
发布时间:2015-10-06 02:25 | 阅读:126484 | 评论:0 | 标签:安全方案

侃侃“砸盒子”,企业信息安全管理变革进行时!

  貌似今年国内信息安全圈子里流行各种会议秀,而砸场子、踢馆等专业行为也在各种秀上演绎的不亦乐乎,今天I’m Kris干脆狂妄一些,抛出一个话题,争取直接砸它半个传统的安全圈子!   娱记写一篇报道,内容编排的好坏无所谓,成功的关键是这篇报道的题目,题目是否足够吸引眼球、是否能够促使读者快速分泌额外的荷尔蒙?咱不是娱记,没法把纵谈信息安全的文章写的让人分泌荷尔蒙,但我还是找了个“砸盒子”的字眼权当是能够吸引一点点眼球吧!   今年RSA 2015的大会召开后,业界不少专家纷纷写文说到,RSA2015的主题是“Change”,而最大的change就是“砸盒子”,也就是说参展厂商所研发和交付的硬件盒子形态的安
发布时间:2015-08-07 15:10 | 阅读:91992 | 评论:0 | 标签:安全产品 安全即服务 安全方案

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云