记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

新的SLUB后门通过Slack进行通信

趋势科技研究人员最近发现了一个新的恶意软件并对其非常感兴趣。首先,研究人员发现它是通过水坑攻击传播的,这种攻击方法要求攻击者在添加代码之前感染网站,访问者会被重定向到感染代码。在这种情况下,每个访问者只被重定向一次。感染是利用CVE-2018-8174完成的,CVE-2018-8174是一个VBScript引擎漏洞, Microsoft在2018年5月修补了该漏洞。 其次,它使用多阶段感染方案。在利用上述漏洞后,它会下载DLL并在PowerShell(PS)中运行它。然后下载并运行包含后门的第二个可执行文件。在第一阶段,下载程序还会检查是否存在不同类型的防病毒软件,然后有则不再运行。被发现时,防病毒软件并未检测出该后门。 除此之外,研究人员还发现恶意软件连接到了Slack平台,Slack平台是一个协作消息系统,
发布时间:2019-03-08 18:45 | 阅读:99044 | 评论:1 | 标签:技术控 后门

使用Seq2Seq自动编码器检测Web攻击

攻击检测一直是信息安全的一部分。已知的首个入侵检测系统(IDS)可追溯到20世纪80年代初,而如今其存在于整个攻击检测行业。 检测产品有许多类型,如IDS、IPS、WAF和防火墙等,其中大多数都提供基于规则的攻击检测。使用统计异常检测在生产中识别攻击的想法已然不够现实,但这个假设是否合理? Web应用异常检测 20世纪90年代初,市场上出现了第一批用于检测Web应用程序攻击的防火墙。从那时起,攻击技术和保护机制都发生了巨大演变,而攻击者总是力争领先一步。 当前大多数Web应用程序防火墙(WAF)都试图以在反向代理中嵌入在某种基于规则的引擎或类似方式来检测攻击,典型的例子如2002年创建的Apache Web服务器的WAF模块“mod_security”。基于规则的检测有一些劣势:无法检测到新型攻击(0day)
发布时间:2019-03-05 18:45 | 阅读:76303 | 评论:0 | 标签:技术控

卡巴斯基杀软与谷歌Chromecast证书冲突

自1月底以来,卡巴斯基反病毒软件的用户在打开Chrome时会显示卡巴斯基多个警报,称“签名证书存在问题,无法保证建立加密连接的域的真实性”,这其实是因为该软件与其网络上的Chromecast设备发生冲突而致。 卡巴斯基的引擎显示这些错误,允许其扫描加密SSL流量以查找恶意内容。 在新Chromium错误报告中,一位Google员工表示,Windows用户的Chromecast发现问题有所增加,且似乎与防病毒软件有关。“设备发现报告突然增加,” bug报告称。“查看这些报告表明它在Windows平台上很常见。对日志的审查显示了投射通道身份验证错误的共性,这通常可归因于反病毒/安全软件。”进一步调查时,他指出卡巴斯基用户自1月底以来一直在抱怨这些问题,这与Chromecast发现报告开始增加的时期相同。谷歌表示
发布时间:2019-03-01 18:45 | 阅读:111894 | 评论:0 | 标签:技术控

动作频繁!Rietspoof携带多种恶意负载

自2018年8月以来,安全研究人员一直在监控名为Rietspoof的新恶意软件家族。Rietspoof是一种新的多阶段恶意软件,具有一些与众不同的特性和功能。当最初开始跟踪Rietspoof时,它会每个月更新一次。但是,在2019年1月,研究人员注意到更新频率变为每日一次。也许,可以认为是该恶意软件开始活跃的迹象。 Rietspoof在多个阶段,结合各种文件格式,提供更多样化的恶意软件。研究数据表明,其第一阶段是通过即时消息客户端(如Skype或Live Messenger)分发的。它提供了一个高度混淆的Visual Basic脚本,其中包含一个硬编码和加密的第二阶段——一个CAB文件。CAB文件扩展为可执行文件,该文件使用有效签名进行数字签名,主要使用Comodo CA。最后, .exe文件在第四阶段安装一
发布时间:2019-02-20 18:45 | 阅读:64966 | 评论:0 | 标签:技术控

Trickbot的新功能——远程窃取应用程序凭证

2018年11月,研究人员曾发现一款Trickbot变种,它附带了一个密码获取模块,能够从众多应用程序中窃取凭据。在2019年1月,我们再次发现Trickbot(被检测为TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD),在其本就已经广泛的功能基础上又添加了新的功能。在最新发现的Trickbot变种中,研究人员发现了pwgrab模块的更新版本,可以远程窃取应用程序凭据。 Trickbot恶意软件 TrickBot于2016年首次被发现,据信它基于Dyreza银行木马。它能够使用webinjects模块定位和感染各种各样的国际银行,在目标Web浏览器中呈现之前将JavaScript和HTML代码注入网站。 TrickBot攻击主要目的是盗取钱财,如银行账号、
发布时间:2019-02-15 18:45 | 阅读:100326 | 评论:0 | 标签:技术控

如何将SSH密钥身份验证集成到KeePassXC

管理员需要登录远程服务器时可能会用到Secure Shell(SSH),SSH身份验证的最佳方法是通过SSH密钥,但更安全的方法是使用密码管理器,如KeePassXC。 本文将介绍一个有效的安全认证工具。 KeePassXC现在可以存储SSH密钥(及其相关密码)并将它们添加到ssh代理工具中,让SSH密钥身份验证变得更为轻松。KeePassXC还可在关闭应用程序、退出计算机或关闭笔记本电脑的非活动时段自动卸载SSH密钥。 准备工作 需要安装最新版本的KeePassXC和一个能生成SSH密钥的帐户。此KeePassXC功能适用于应用程序支持的平台(Linux、Windows、macOS)。本文中将在Elementary OS上进行展示。 生成SSH密钥对 首先,需要生成一个密钥对。在用于登录远程服务器的计算机上
发布时间:2019-01-25 13:45 | 阅读:94583 | 评论:0 | 标签:技术控

如何使用Fedora模块化存储库

Fedora Linux是较具知名度的Linux发行包之一,由Fedora项目社群开发、红帽公司赞助,目标是创建一套新颖、多功能并且自由(开放源代码)的操作系统。使用该系统的人都认为Fedora桌面或服务器在发行上比较困难。对于偏爱这种发行、又想控制进度的人来说,可以进行模块化。通过DNF命令访问一系列流行软件版本模块。与其他软件集不同的是,模块化方法不会并行安装多个版本的软件,系统上只会安装一个版本。话不多说,下面开始展示如何使用模块化存储库在Fedora29上安装MongoDB数据库管理系统。 准备事项 只需在桌面上运行安装Fedora服务器以及一个带sudo特权的账号。 陈列模块 首先要列出可用模块,找出可安装的软件版本。通过以下方法:登录到服务器(或打开种端窗口)、发起命令: dnf module li
发布时间:2019-01-23 18:45 | 阅读:93233 | 评论:0 | 标签:技术控

BYOB,一把新的双刃剑

介绍 在当今的网络安全领域,进行高质量的攻击所需的专业知识与对实际攻击的理解之间的差距越来越小。因为“即插即用”黑客工具包的普及,曾经只有有资助的APT团队才能利用的技术现在可以被初出茅庐的犯罪分子(即“脚本小子”)轻松利用。 当然,网络安全社区也在不断开发工具和技术,提高了成为攻击者和维护者的门槛。但是这些工具不仅可以用于测试、增强防御能力,它们也可用于攻击性目的。 一个很好的例子是最近(2018年7月)发布的BYOB(Build Your Own Botnet)框架,该框架包含了构建僵尸网络所需的所有构建块。该框架是为了改进网络安全防御而开发的。由BYOB创建的僵尸程序具有先进的APT工具级别的复杂功能。虽然提高了防御能力,但也可以被任何具有恶意意图的“脚本小子”利用来进行攻击。 Perception P
发布时间:2019-01-21 18:45 | 阅读:101706 | 评论:0 | 标签:技术控

Google Play 甩不掉的麻烦,“死神”Anubis换上新装再出击

趋势科技研究人员最近在Google Play上发现了两个分发银行恶意软件的应用程序,它们伪装成实用工具,分别名为Currency Converter和BatterySaverMobi。谷歌现已将这两款应用程序从应用商店中下架。 这款电池应用程序在下架之前已被下载过5000多次,73位用户给它的评分是4.5分。然而仔细观察这些评论可以发现好评是刷出来的,一些匿名用户的评论没有逻辑而且很宽泛,没有具体细节。 研究人员仔细分析了这一活动,发现这两个应用程序丢弃了一个恶意负载,所以研究人员可以安全地链接到已知的银行恶意软件Anubis(趋势科技检测为ANDROIDOS_ANUBISDROPPER)。在分析有效载荷后,研究人员注意到该代码与已知的Anubis样本非常相似,还发现它链接到域名为aserogeege.spa
发布时间:2019-01-18 18:45 | 阅读:111572 | 评论:0 | 标签:技术控

动态数据解析器(DDR)——IDA插件

执行摘要 IDA中的静态逆向工程通常出问题。某些数值是运行时计算的,这就很难理解某个基本组块正在做什么。但如果你试着通过调试一个恶意软件来执行动态分析,通常会被恶意软件检测到,其表现也会出现偏差。思科Talos采用动态数据解析器(DDR)作为IDA的新插件,旨在让对恶意软件逆向工程更为简单。 特征 代码流跟踪 (用20种不同颜色显示基本组块的执行次数): 可搜索到的API调用日志记录: (包括出现的所有特定指令,如:调用、jxx等,触摸API地址) 可搜索到的字符串记录: 解析动态值和自动评论: 技术细节 架构和使用 DDR具有图5所示的客户端/服务器架构.DDR IDA插件和DDR服务器为Python脚本。DynamoRIO客户端是用C语言编写的DLL文件,由DynamoRIO工具drrun.exe
发布时间:2019-01-17 18:45 | 阅读:131681 | 评论:0 | 标签:技术控

恶意软件NanoCore利用MS Word传播

就在前几天,Fortinet FortiGuard实验室在野捕获了一个恶意MS Word文档,其中包含可自动执行的恶意VBA代码,可以在受害者的Windows系统上传播和安装NanoCore RAT软件。NanoCore RAT是在.Net框架中开发的,最新版本是“1.2.2.0”。2018年年初,其作者“Taylor Huddleston”被联邦调查局抓获,现于监狱服刑。研究人员捕获的样本使用NanoCore在受害者的系统上执行恶意行为。 恶意Word文档 打开恶意Word文档 捕获的恶意Word文档的名称是“eml _-_ PO20180921.doc”。当它在MS Word中打开时,我们会看到如上图所示的内容,窗口顶部有一条黄色警告消息。 一旦受害者点击黄色按钮“启用内容”,恶意VBA代码就会在后台运行
发布时间:2019-01-17 18:45 | 阅读:103899 | 评论:0 | 标签:技术控

Z—WSP漏洞,网络钓鱼绕过Office 365保护

据云安全公司Avanan的研究发现,最近一些网络钓鱼活动中利用了Office 365的一个漏洞,允许他们使用零宽度空格(Z-WSP)绕过钓鱼保护并向收件人发送恶意邮件。该漏洞与电子邮件原始HTML中的恶意URL中使用的零宽度空格有关。黑客通过分割URL的方法,使得防御系统不能检测到恶意信息。在收到报告后,直到上周微软公司才修复了这一漏洞。 什么是零宽度空格? 零宽度空格,顾名思义即,具有空格的功能,但宽度为零。举个例子来说,我们在word里面按一个空格,然后选中、缩放、调间距,然后就变成了零宽度空格。有五种零宽度空格形式,分别是: ​(Zero-Width Space) ‌(Zero-Width Non-Joiner) ‍(Zero-Width Jo
发布时间:2019-01-14 18:45 | 阅读:109883 | 评论:0 | 标签:技术控 漏洞

Microsoft Windows JET引擎Msrd3x代码执行漏洞

2018年9月,Fortinet FortiGuard实验室的研究人员发现了Windows JET引擎Msrd3x40的代码执行漏洞,根据Fortinet的披露流程研究人员将此漏洞报告给了微软。2019年1月,微软发布了安全公告,修复了该漏洞并将其标识为CVE-2019-0538。 易受攻击的DLL msrd3x40是支持从Windows 7到Windows 10所有Windows版本的组件。研究人员报告的漏洞可以使用精心设计的mdb文件触发。解析mdb PoC文件时,由于释放无效的堆地址而发生堆损坏,这可能导致代码执行漏洞。 分析 有两种方法可以重现此漏洞。 方法1: 通过使用下面的参数用Excel oledb外部数据源加载PoC文件, Excel就会崩溃。该PoC文件可以位于任何本地或smb共享中。 输
发布时间:2019-01-14 18:45 | 阅读:88076 | 评论:0 | 标签:技术控 漏洞

Google Play上的间谍软件分析

趋势科技研究人员发现了一种间谍软件(检测为ANDROIDOS_MOBSTSPY),它伪装成合法的Android应用程序来收集用户的信息。2018年这些应用程序可在Google Play上下载,其中一些应用程序下载次数已经超过100,000次。 研究人员最初研究的应用之一是游戏Flappy Birr Dog,如下图所示。其他应用程序包括FlashLight、HZPermis Pro Arabe、Win7imulator、Win7Launcher和Flappy Bird。自2018年2月以来,其中六分之五的应用程序已从Google Play上下架。截至撰写时,Google已经从Google Play中删除了所有这些应用程序。 Flappy Birr Dog下载页面 信息窃取 MobSTSPY能够窃取用户位置、短信
发布时间:2019-01-04 18:45 | 阅读:112679 | 评论:0 | 标签:技术控

好看有什么用,壁纸App涉嫌广告点击欺诈

趋势科技研究人员在Google Play商店中检测到15个壁纸应用存在广告欺诈行为。在撰写本文时,这些应用程序在Google Play商店中总下载次数高达222,200多次,研究人员的遥测显示感染率最高的是意大利、台湾、美国、德国和印度尼西亚。Google已确认删除所有被发现的应用。 这些应用程序设计有诱人的图标,承诺给用户提供美丽的手机壁纸。这些应用程序下载量很高且好评如潮,但研究人员高度怀疑这些评论是假的,创建这些假评论的目的就是为了提高可信度。 Wild Cats HD Wallpaper App下载量已超10,000次,评分高达4.8分 下载后,应用程序会解码配置的命令和控制(C&C)服务地址。 解码并运行C&C服务地址 为了不被用户发现,整个过程都是静音的。一旦启动应用程序,就会给C&C发送HT
发布时间:2018-12-22 01:45 | 阅读:115158 | 评论:0 | 标签:技术控

LCG工具包:恶意Microsoft Office文档构建器

概观 Proofpoint研究人员在2018年3月发现了LCG Kit——一种武器化文档构建服务。自从研究人员开始跟踪LCG工具包以来,研究人员使用各种形式的Microsoft公式编辑器漏洞CVE-2017-11882进行了观察。最近,它的开发者集成了一个VB Script漏洞,CVE-2018-8174,该漏洞用于电子邮件活动。最后,在11月底,LCG Kit具备了使用Microsoft Word宏的功能。 LCG工具包有点不同寻常,因为其代码使用多态shellcode和线性同余生成器(LCG)(一种生成伪随机数序列的算法)进行高度混淆,以加密最后阶段的代码,包括有效负载位置。由于这一独特功能,研究人员将该工具包命名为LCG。 由于在许多电子邮件活动中都发现了LCG工具包的身影,研究人员认为它可能已在地下论
发布时间:2018-12-19 13:45 | 阅读:123543 | 评论:0 | 标签:技术控

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

勒索软件InsaneCrypt 或 Everbe 1.0是基于开源项目的勒索软件感染种类。这类勒索软件可能的分发方式是通过垃圾邮件或黑客入侵远程桌面服务,但还不能完全确定。 好在这类勒索软件变种形式可使用 Michael Gillespie and Maxime Meignan所创建的解码器进行解密。为使用解密器,感染者需要一份加密文件和一份相同的、未经加密的文件,可通过Windows样本图片做到。 当前支持加密文件的变种是将以下扩展名附加到加密文件名称的变种。 但这个解密器不会解密Everbe 2.0变种,因为还没发现这种版本的弱点。 如何解密InsaneCrypt 和Everbe 1.0 C勒索软件 InsaneCrypt或Everbe 1.0的受害者可通过将文件加密、重命名为“.insane”、“.D
发布时间:2018-12-18 13:45 | 阅读:115076 | 评论:0 | 标签:技术控

通过电力线“搞定”物理隔离计算机

什么是电力线攻击技术? 电力线攻击技术是近些年出现的一种新型跨网络攻击技术。相比于传统的基于声、光、电磁、热等媒介的跨网络攻击技术,这种技术构建了一种新型的电(电流)隐蔽通道,攻击者可以通过交流电源线获取物理隔离网络中的信息,其隐蔽性更强,危害更大。在标准计算机上运行恶意软件,通过调节CPU工作负载在电力线上直接生成寄生信号,然后利用接收器等设备对电力线中的电流进行感知、还原等工作,完成信息窃取。 图 1 电力线攻击技术 这种攻击有什么独到之处? 电力线攻击技术主要有以下几个特点: ①隐蔽性强:恶意软件通过调节CPU工作负载线程在电力线上生成寄生信号,由于很多合法进程使用影响处理器工作负载的CPU密集型计算,因此这种攻击将传输线程注入这些合法进程中,从而绕过安全检测; ②攻击距离远:在目标计算机所处的主配电网
发布时间:2018-12-14 18:45 | 阅读:126854 | 评论:0 | 标签:技术控

不仅仅是银行木马,DanaBot添加新功能

DanaBot似乎已经超出了银行木马的类别。根据ESET的研究,其开发者最近一直在试验电子邮件地址收集和垃圾邮件发送功能,能够滥用现有受害者的网络邮件帐户进行进一步的恶意软件分发。 除了这些新功能之外,研究人员还发现DanaBot开发者与GootKitkaif开发者合作,GootKit是另一种功能强大的特洛伊木马——非典型的独立运营组织。 从受害者的邮箱发送垃圾邮件 在分析用于定位几个意大利网络邮件服务用户的webinjects时,之前未报告的功能引起了研究人员的注意,这是在2018年9月在欧洲发现的DanaBot新功能的一部分。 根据研究,注入目标网络邮件服务页面的JavaScript可以分为两个主要特征: 1.DanaBot从现有受害者的邮箱中收集电子邮件地址。这种功能是通过在受害者登录后将恶意脚本注入目
发布时间:2018-12-10 18:45 | 阅读:99884 | 评论:0 | 标签:技术控

SplitSpectre:一种新型CPU攻击

由三位来自Northeastern University的学者和三位来自IBM的研究人员组成安全团队发现了一个新的基于CPU的漏洞。这个被称为SplitSpectre的漏洞是Spectre CPU漏洞的变种,可通过基于浏览器的代码执行攻击。 根据研究团队发表的论文这个新漏洞也可以归因于现代处理器微体系结构中的设计缺陷,类似于去年发现的Spectre v1漏洞。SplitSpectre是Spectre v1漏洞的一个新变种,对攻击者来说更容易执行,并且依赖于相同的处理器设计缺陷。 Spectre漏洞可以允许用户操作系统上的其他程序访问其程序电脑存储器空间中任意位置。它不是单个易于修复的漏洞,而是一类潜在漏洞的总和。它们都利用了一种现代微处理器为降低内存延迟、加快执行速度的常用方法“预测执行”的副作用。具体而言,
发布时间:2018-12-06 18:45 | 阅读:112538 | 评论:0 | 标签:技术控

“毒针”行动 – 针对“俄罗斯总统办所属医疗机构”发起的0day攻击

概述 近年来,乌克兰和俄罗斯两国之间围绕领土问题的争执不断,发生了克里米亚半岛问题、天然气争端、乌克兰东部危机等事件。伴随着两国危机事件愈演愈烈之时,在网络空间中发生的安全事件可能比现实更加激烈。2015年圣诞节期间乌克兰国家电力部门受到了APT组织的猛烈攻击,使乌克兰西部的 140 万名居民在严寒中遭遇了大停电的煎熬,城市陷入恐慌损失惨重,而相应的俄罗斯所遭受的APT攻击,外界却极少有披露。 2018年11月25日,乌俄两国又突发了“刻赤海峡”事件,乌克兰的数艘海军军舰在向刻赤海峡航行期间,与俄罗斯海军发生了激烈冲突,引发了全世界的高度关注。在2018年11月29日,“刻赤海峡”事件后稍晚时间,360高级威胁应对团队就在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是此次攻击相关样本来
发布时间:2018-12-06 18:45 | 阅读:230334 | 评论:0 | 标签:技术控 漏洞分析 0day

请注意:扬声器、耳机也能窃密了!——Mosquito攻击技术

你所不知道的Mosquito攻击技术 一种名为“蚊子”(Mosquito)的新型攻击技术,在没有网络和移动存储设备时,它可利用扬声器、头戴式耳机或耳塞来窃取物理隔离电脑里的数据。Mosquito攻击方式是通过高频声波进行隐蔽的通信,将不与网络连接的目标电脑中的数据窃取到相邻的另外一台电脑中。在没有任何网络通讯的情况下,利用人耳听不到的超声波完成了数据交换。这种新型的攻击技术可以在人毫无察觉的情况下窃取数据,其已成为黑客窃取文件和信息的利器。 图1 Mosquito攻击技术 与众不同的Mosquito攻击 1) 能抵抗电磁干扰: 由于声波是纵波,电磁波是横波,因此声信道的传输特性与电磁通信不同,不会出现相同的频段内几种通信相互干扰的情况。 2
发布时间:2018-12-05 18:45 | 阅读:105472 | 评论:0 | 标签:技术控

计算机电磁泄漏的那些事儿

摘  要 麦克斯韦在150年前告诉我们“时变电流产生的电磁波可被隔空感应”。美国在60年前关注密码设备电磁泄漏现象,实施了TEMPEST(一系列的构成信息安全保密领域的总称)计划。荷兰学者范埃克30年前发表论文并用改装黑白电视机远距离接收计算机显示器内容,首次公开计算机电磁泄漏原理。Inslaw丑闻和斯诺登事件证实美国利用电磁泄漏主动攻击窃密由来已久。世界各国学者电磁泄漏研究方兴未艾。本文告诉你计算机电磁泄漏的那些事儿。 麦克斯韦方程组揭示电磁泄漏原理 150多年前,英国科学家麦克斯韦提出了麦克斯韦方程组,创立了经典电动力学,预言了电磁波的存在。 英国爱丁堡圣安德鲁广场麦克斯韦和他的狗的塑像,塑像下面
发布时间:2018-12-05 18:45 | 阅读:116014 | 评论:0 | 标签:技术控 文章

工控系统安全—PLC攻击路径研究

摘    要 PLC(Programmable Logic Controller,可编程逻辑器件)是关键基础设施中的基础控制设备,其安全性涉及到整个控制系统的稳定运行。但是,随着两化融合的不断加深以及工业4.0的推进,工业控制系统在提高信息化水平的同时,其信息安全问题也日益突出。PLC遭受黑客攻击的途径也日益翻新,各种木马和病毒变体数量不断攀升,威胁工业控制系统的安全稳定运行和人员生命财产安全。本文通过介绍常见的几种PCL遭受攻击的途径,为工业控制系统安全敲响警钟。 随着技术的不断进步,PLC在向着智能化的方向发展,接口数量和类型越来越多,功能也日益丰富。目前的PLC一般都是基于裁剪后的嵌入式系统,同时将原来位于串行链路上的通信协议转移到TCP/IP之上
发布时间:2018-12-05 18:45 | 阅读:98823 | 评论:0 | 标签:技术控

你了解牛气冲天的SLAM技术吗?

SLAM概述 SLAM:Simultaneous Localization and Mapping,即时定位与地图构建技术。它指的是:机器人从未知环境的未知地点出发,在运动过程中通过重复观测到的环境特征定位自身位置和姿态,再根据自身位置构建周围环境的增量式地图,从而达到同时定位和地图构建的目的。 SLAM技术的发展推动了定位(Localization)、跟踪(Tracking)以及路径规划(Path Planning)技术的发展,进而对无人机、无人驾驶、机器人等热门研究领域产生重大影响。 我们来看看SLAM技术都在哪些领域发挥作用吧。 图1 SLAM应用领域 VR/AR 方面:辅助增强视觉效果。SLAM技术能够构建视觉效果更为真实的地图,从而针对当前视角渲染虚
发布时间:2018-12-05 18:45 | 阅读:82642 | 评论:0 | 标签:技术控

工控系统安全2——PLC攻击种类研究

PLC(Programmable Logic Controller,可编程逻辑控制器)是关键基础设施中的基础控制设备,其安全性涉及到整个控制系统的稳定运行。但是,随着两化融合的不断加深以及工业4.0的推进,工业控制系统在提高信息化水平的同时,其信息安全问题也日益突出。PLC遭受黑客攻击的途径也日益翻新,各种木马和病毒变体数量不断攀升,威胁工业控制系统的安全稳定运行和人员生命财产安全。上篇我们介绍了常见的几种PCL遭受的攻击路径,本篇再给大家介绍PCL遭受攻击的3个种类,进一步警醒大家:工业控制系统安全防护任重道远。 PLC遭受攻击的种类 PLC遭受攻击的种类按照攻击难易程度可以分为干扰性攻击、组态攻击和固件攻击。 三类攻击的描述如下表所示:
发布时间:2018-12-05 18:45 | 阅读:76055 | 评论:0 | 标签:技术控

打印机信息安全风险与防范措施

打印机作为常用的信息设备之一,在给我们工作和生活带来诸多便利的同时,由打印所产生的信息泄露等信息安全问题也日趋严峻。本文通过对打印机硬件、软件、通信和耗材等可能涉及信息泄露的风险点进行深入讲解,总结了打印机的安全隐患,并提出了相应的防范措施。 打印机安全风险分析 打印机通常由硬件电路、光学成像结构,固件、驱动程序、审计管理系统和机械结构等部件组成。在打印机工作过程中,任何一个环节都可能存在信息泄露的风险。 1. 打印数据传输泄密风险 用户启动打印作业后,打印数据通过传输介质从用户端下发到打印机,过程如下图所示。在这一过程中存在以下3个泄密风险点。 第一,通信接口泄密。现代打印机为满足多样化的用户需求,一般会配备丰富的通信接口,这些接口可分为两类,一类是有线通信
发布时间:2018-11-22 18:45 | 阅读:114073 | 评论:0 | 标签:技术控 观点

Blind Return Oriented Programming (BROP) Attack – 攻击原理

0x00 写在前面 第一次在WooYun发文章,不知道是否符合众客官口味,望轻拍。 这篇文章翻译至我的这篇博客,主要介绍了一种叫做BROP的攻击,该文章主要介绍原理部分,对该攻击的重现可以参看我的另外一篇博客。 BROP攻击基于一篇发表在Oakland 2014的论文Hacking Blind,作者是来自Standford的Andrea Bittau,以下是相关paper和slide的链接: paper slide。 以及BROP的原网站地址: Blind Return Oriented Programming (BROP) Website 可以说这篇论文是今年看过的最让我感到兴奋的论文(没有之一),如果要用一个词来形容它的话,那就只有“不能更帅”才能表达我对它的喜爱程度了! 这篇文章假设读者已经了解Retu
发布时间:2018-11-17 01:45 | 阅读:111698 | 评论:0 | 标签:技术控

研究者发现TESLA S存在潜在的安全问题

Charlie Miller 和 Chris Valasek 曾经花了几个月拆开丰田Prius ,看看内部有什么漏洞,结果他们找到了很多。现在,另一位研究员已经发现并确定了一些TESLA S的安全问题,包括一个很脆弱的因素身份认证系统的依赖,可以远程打开车门。 Tesla S是一个高端的,全电动汽车,其中包括了一些有趣的功能,包括控制汽车多个系统的中控台触摸屏。还有一个iPhone应用程序,允许用户控制一些汽车的功能,包括锁门,悬挂和制动系统和控制天窗。 Nitesh Dhanjani发现,当新用户注册一个特斯拉网站上的帐号时,他们必须建立一个六个字符的密码。这个密码将被用来登陆到iPhone应用程序。 Dhanjani发现,特斯拉的网站并没有来限制针对某一个用户的登录错误次数,因此攻击者可能会尝试暴力破解用
发布时间:2018-11-13 18:45 | 阅读:90049 | 评论:0 | 标签:技术控

通过伪造乌克兰相关文件进行传播的恶意软件MiniDuke

一年之前,安全研究人员从杀毒厂商卡巴斯基发现了一个复杂的恶意软件,他们称为 MiniDuke,专门收集和窃取战略信息和受到高度保护的政治信息。 现在,MiniDuke病毒再次通过一个与乌克兰相关的PDF文件在传播。 “考虑到当前该地区的危机,这是件很有趣的事情”安全研究公司F-Secure公司的首席技术官Mikko Hypponen在周二写到。 Hacker News一年前报道了该exp利用的CVE-2013-0640。 MiniDuke恶意软件是用汇编编写的,非常小只有20KB,可以劫持Twitter账户。 该恶意软件由三个部分组成: PDF文件, MiniDuke程序和payload。 打开PDF溢出之后,会移除payload,PDF的内容设计人权,乌克兰的外交政策,加入北约计划。 受感染的计算机会通过T
发布时间:2018-11-13 18:45 | 阅读:80913 | 评论:0 | 标签:技术控

ADS

标签云

本页关键词