记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

网络安全状况分析报告-2019年5月

一、网络安全状况概述2019年5月,互联网网络安全状况整体指标相对平稳,但出现了一些影响较大的安全事件。臭名远扬的勒索软件GandCrab背后的运营团队宣称“赚够了退休的钱,将停止GandCrab的更新”,其作恶价值观影响极其恶劣。同时从深信服捕获的攻击事件来看,勒索病毒仍是主要危害,且勒索攻击者的针对性较强,主要结合社会工程、RDP远程爆破等手段投放病毒,制造行业和医疗行业在5月受灾较为严重。微软在5月曝出多个安全漏洞,其中最为严重的是RDP(Remote Desktop Protocol,远程桌面服务)远程代码执行漏洞,编号CVE-2019-0708。由于该漏洞影响力和破坏力着实巨大,一旦被黑客利用该漏洞攻破,将会
发布时间:2019-06-17 12:25 | 阅读:12582 | 评论:0 | 标签:观察 分析报告

飞机零部件企业ASCO遭遇勒索病毒 工业互联网成网络攻击重灾区

易到用车遭勒索病毒没过多久,飞机零件供应商又被坑了。背后的黑客团伙们会心一笑:天上飞的,地上跑的,一个也逃不掉。据外媒报道,最近,世界上最大的飞机零部件供应商之一ASCO遭遇勒索病毒,已造成四个国家的工厂停产。ASCO隶属于世界500强之一的美国艾默生集团,是世界上最重要的飞机零部件设计供应商之一。你可能不熟悉这家公司的名字,但空中客车、波音商用客机、F-35战斗机等都有用到ASCO制造的零件。6月7日,勒索软件最先袭击了比利时公司的Zaventem工厂,由于被勒索软件感染导致IT系统瘫痪,该公司目前已有1000名工人休假。另外,ASCO也关闭了德国、加拿大和美国的工厂。位于法国和巴西的非生产办事处未受影响。针对工业互
发布时间:2019-06-15 00:25 | 阅读:16529 | 评论:0 | 标签:行业 观察 工业互联网

【反欺诈场景剖析】虚假账号的产生和流转

【反欺诈场景剖析】是威胁猎人黑灰产报告的一个系列,我们希望通过对反欺诈实际场景的剖析出发,帮助企业发现业务风控过程重的核心关键点。此篇主要介绍反欺诈场景中虚假账号的产生和流转规模化的背后,以及如何对黑灰产做恶的关键节点的监控来实现对企业自身虚假账号风险的管控。根据威胁猎人鬼谷实验室统计,全网恶意注册发起的攻击每日就可达8327380次。虚假账号平均每日活跃量可达1389107次,平均每张黑卡每日进行6次攻击。恶意注册是业务风险的起点,也是企业风控的核心关键点。 当今黑产以恶意注册为代表的各类攻击资源已经高度的模块化和市场化,产业链不同层级的团伙专注于不同的任务而又配合严密,而究其根本,是强自动化使得攻击变得可复制,进而
发布时间:2019-05-30 00:25 | 阅读:22050 | 评论:0 | 标签:观察 虚假账号

2019年4月网络安全状况分析报告

一、网络安全状况概述2019年4月,互联网网络安全状况整体指标平稳,但各类安全事件依然时有发生。从深信服安全云脑捕获的攻击事件来看,病毒攻击手段多种多样,包括绕过杀毒软件无文件木马攻击,还有伪装国家机关发送钓鱼邮件进行攻击等,隐蔽性更强,入侵后会上传多种僵尸网络木马及挖矿程序,难以彻底清除。信息泄露事件在4月频发,包括某平台超过1亿用户个人数据被暴露在互联网,公职人员泄露公民信息获利,三分之二的酒店网站泄露客人预订信息给第三方等,给用户人身安全、财产安全带来了隐患。此外,监测数据显示,网站攻击数量在4月小幅上升,并且CSRF跨站请求伪造、点击劫持等问题也较为严重。4月,深信服安全云脑累计发现:· 恶意攻击19.6亿次,
发布时间:2019-05-21 12:25 | 阅读:16179 | 评论:0 | 标签:观察 网络安全报告

卡巴斯基实验室:2019Q1钓鱼及垃圾邮件报告

一、本季度重点关注1.1 情人节相关钓鱼活动在每年的第一季度,都有一些网络钓鱼活动与情人节主题相结合,其目标在于窃取用户有价值的机密信息,例如银行卡的详细信息。网络犯罪分子通常会利用在线花店和交友网站作为诱饵,开展网络钓鱼活动。最常见的网络钓鱼方式是投放广告,邀请用户为亲人订购礼物,或者邀请用户购买一些药物。一旦用户受到诱导,点击此类邮件中的链接,则他们的详细付款信息将会被发送给网络犯罪分子。1.2 新推出的Apple产品在3月下旬,Apple推出了最新款产品,网络诈骗组织也随之伺机而动,迅速投身于此类诈骗活动之中。诈骗者往往会首先创建一个与官方Apple服务高度相似的虚假网站,然后将用户重定向该网站。根据我们的统计,
发布时间:2019-05-20 17:25 | 阅读:24121 | 评论:0 | 标签:观察 垃圾邮件

FIN7 2.0归来:“借尸还魂”的可疑组织们

2018年8月1日,美国司法部宣布逮捕了几名涉嫌与FIN7网络犯罪组织相关的嫌疑人。 FIN7从2015年起开始运营,曾针对数百家公司开展过入侵行动,FIN7的幕后策划者还通过开办假公司,雇佣远程测试人员、开发人员和翻译人员参与他们的恶意业务。其恶意活动的主要目的是窃取公司的金融资产(如借记卡),或取得财务部门的电脑权限和金融数据,进而盗取公司资金。在2018年至2019年期间,卡巴斯基实验室分析了以往与FIN7相同TTPs(战术、技术和过程)的各类行动,得出的结论让研究人员确信:虽然FIN7的相关行为人已被逮捕,但并不意味着FIN7活动的终结。此外,在调查过程中,我们发现了某(些)恶意组织似乎复制了FIN7的套路。最
发布时间:2019-05-14 12:25 | 阅读:32734 | 评论:0 | 标签:Web安全 观察 FIN7

银行恶意软件ATMitch再次出现

简介4月第一天,yoroi安全实验室检测到了一个新的恶意软件样本。初步鉴定结果显示,它可能与两年前俄罗斯某家银行遭黑客袭击事件相关,卡巴斯基实验室曾对此做过记录,此次事件的幕后黑手是某一APT组织,攻击者利用了一种名为ATMitch的特定恶意软件工具,在大范围的企业网络入侵后,手动安装在目标银行的ATM机上,进而操纵ATM机的取款过程。该恶意软件可能自2017年起便一直活跃在野外。技术分析可执行样本是名为“tester.exe”的PE32 x86文件。它似乎是用于加载恶意payload的自定义加载器,payload能够控制目标机器。表1:关于ATMitch的Dropper / Loader的信息静态数据显示,该样本是2
发布时间:2019-05-12 12:25 | 阅读:24347 | 评论:0 | 标签:观察 ATMitch

APT34原型: Glimpse project

APT34 Glimpse project可能是截止目前研究人员最了解的的APT 34项目了。研究人员观察到基于文件的C2结构、VBS启动器、PowerShell Payload和dns引擎之上的秘密信道。背景从2014年开始,伊朗黑客组织APT34开始活跃,该组织执行了一系列针对伊朗的攻击活动。重要攻击目标位于中东地区,主要攻击金融、政府、能源、化工、电信和其他行业。下面主要介绍Glimpse project,研究人员认为这可以认为是APT 34的原型。Glimpse Project该package中有一个名为Read me.txt的README文件。文件的内容是教授如何设置nodejs服务器和运行standalon
发布时间:2019-05-08 12:25 | 阅读:28271 | 评论:0 | 标签:观察 APT34

一份来源未知的数据,揭秘了OilRig组织的全部信息(上)

黑客组织OilRig,也被称作APT34或Helix Kitten,于2016年5月首次出现在公众视野中,自那时起便得到了业内人士的广泛研究。OilRig组织在攻击手段上并不是特别复杂,但在追求其任务目标方面极其执着,而且与其他一些从事间谍活动的APT组织不同,他们更愿意偏离现有的攻击方法,使用新技术来达成自己的目标。在对其长时间地跟踪研究后,我们已经熟知他们攻击执行的具体细节、使用工具,甚至能通过他们对VirusTotal的使用痕迹来推测他们的开发周期。不过,由于能访问的数据有限,我们的分析更多地是从被攻击对象的角度出发,也就往往会被限制在表层。最近,一份据称与OilRig活动有关的数据转储数据被不知名人士公开,内容
发布时间:2019-05-08 12:25 | 阅读:36538 | 评论:0 | 标签:Web安全 观察 OilRig

卡巴斯基实验室:2019Q1高级持续威胁(APT)趋势报告

概述在短短两年时间内,卡巴斯基实验室的全球研究与分析团队(GReAT)一直在发布高级持续威胁(APT)活动的季度摘要。这些摘要基于我们的威胁情报研究,并提供了我们在具体的APT研究中具有代表性的典型案例。我们团队的目标是,突出体现应该提醒大家注意的重大事项和发现。本报告是我们最新发布的一期,重点介绍我们在2019年第一季度观察到的活动。重点发现近年来,攻击者针对供应链的攻击已经取得一定的成功,ShadowPad、CCleaner和ExPetr就是很好的例子。在我们对2019年的威胁预测中,我们将其标记为可能持续的攻击向量,并且不需要等待很长时间,就看到这一预测成为了现实。2019年1月,我们发现了一个复杂的供应链攻击活
发布时间:2019-05-06 12:25 | 阅读:42662 | 评论:0 | 标签:观察 APT

Beapy Cryptojacking蠕虫正在袭击中国企业

自2019年1月以来,赛门铁克研究团队首次发现了一种名为Beapy的Cryptojacking攻击行动。Cryptojacking是一种网络攻击方式,黑客通过在网站中加入恶意代码的方式将挖矿程序植入用户的电脑,非法调用用户的硬件资源进行“挖矿”。Beapy通过利用“永恒之蓝”漏洞和窃取硬编码凭证在网络上快速传播。此次攻击行动主要针对中国的企业,自今年3月初以来一直呈现增长势头。Beapy (W32.Beapy)是一种基于文件的coinminer,它使用电子邮件作为初始感染载体。在2018年初,Cryptojacking的出现频率曾到达了顶峰,之后就逐渐在走下坡路,但对一些威胁行为者来说,Cryptojacking仍然是
发布时间:2019-04-29 12:25 | 阅读:41481 | 评论:0 | 标签:Web安全 观察 Beapy Cryptojacking

网络安全状况月度报告-2019年3月

一、网络安全状况概述2019年3月,互联网网络安全状况整体指标平稳,但有几个特征值得关注。一方面,是勒索病毒依然猖獗,深信服安全云脑监测到Globelmposter、GandCrab、Crysis等病毒活跃热度居高不下,变种层出不穷,近期出现Globelmposter 4.0、GandCrab 5.2等勒索变种。用户一旦遭受勒索病毒攻击,绝大多数文件将被加密,且大多暂时无法解密,造成无法估量的损失;另一方面,APT(高级持续性威胁)活跃程度在3月有所增加,针对性攻击更加明显,各厂商也在密切关注,攻防博弈战激烈上演。此外,监测数据显示,网站攻击数量在3月持续放缓,但网站漏洞问题依然严峻。3月,深信服安全云脑累计发现:·
发布时间:2019-04-24 17:25 | 阅读:34639 | 评论:0 | 标签:观察 网络安全

2018年DDoS攻击全态势:战胜第一波攻击成“抗D” 关键

概述 经过有关部门以及企业的联合整治,相比2017年DDoS攻击次数降低了约22%。虽然DDoS攻击在数量上有减缓的态势,但经过数据分析发现,DDoS的攻击手法更加多样,针对同一用户DDoS攻击的平均次数有所增加。 2018年针对企业用户的DDoS攻击中,单一攻击流量的DDoS攻击比例减少10%,应用层的攻击比例增加了30%。更多的DDoS攻击使用混合流量,表明攻击者企图通过组合攻击的方式找到防护方的弱点,任意一种流量的漏过都可能导致防护层后面的服务瘫痪。同时,攻击者增加应用层的攻击流量,这要求应用层流量分析必须准确且自动化的产出清洗策略,这给流量清洗服务带来更大的挑战。DDoS攻击手法的变化,对流
发布时间:2019-03-29 17:20 | 阅读:58481 | 评论:0 | 标签:观察 DDoS ddos

一家公司的战略部署是如何轻易被泄露的:API测试所导致的信息泄漏问题

在小编我看来,要获取一家公司的战略机密,那得是很困难才是。不过最近小编看了一篇文章,对我的启发可谓是真的很大。想不到如此重要的战略部署可以在产品的体验测试变量中,被分析的明明白白。大家都知道,A/B测试是为Web或App界面或流程制作两个(A/B)或多个(A/B/n)版本,在同一时间维度,分别让组成成分相同(相似)的访客群组(目标人群)随机的访问这些版本,收集各群组的用户体验数据和业务数据,最后分析、评估出最好版本,正式采用。对于许多大中型公司来说,用户体验永远是他们最关心的事情之一,但随意改动已经完善的落地页是一件很冒险的事情,因此很多卖家会通过A/B测试进行决策。常见的是在保证其他条件一致的情况下,针对某一单一的元
发布时间:2019-03-27 12:20 | 阅读:43660 | 评论:0 | 标签:观察 战略部署

云安全进化论

0x00、前言经过2018年的各大传统安全厂商、云安全厂商、以及甲方安全研发的排兵布阵,中国的安全市场态势有了很大的改变。这些变化主要体现在安全产品的云化(CDN+云安全解决方案)、云厂商开始侵蚀传统安全市场(例如:政务云、城市云)、客户方面甲方更安全投入更大更专业。安全建设由主要从第三方购买安全解决方案到部分购买核心数据+自研产品的思路上。安全厂商产品体现安全产品的价值空间在不断的压缩。那么,2019年安全产品将何去何从,如何向用户提供价值导向?如何引导用户是亟待解决的问题。还有一个更重要的情况,2019年经济形势非常不好,客户都在勒紧裤腰带过日子。对于烧钱撑起来的安全产品和服务将无法长时间维系。对于产品线单一的安全
发布时间:2019-03-18 17:20 | 阅读:48945 | 评论:0 | 标签:观察 云安全

BloodHound工具的攻防使用拉锯战

对于企业内部负责网络安全部分的人来说,能够将新出现的攻击的捕获周期降到最低,才是他们的最终目的,这样不但能降低损害程度,而且补救成本也很低。他们经常希望的最理想的安全方式就是通过尝试入侵来进行测试,可见渗透测试对网站安全的重要性。BloodHound就是一个强大的内网域渗透提权分析工具,BloodHound用图与线的形式,将内网域内的用户、计算机、组、会话控制、访问控制列表以及所有相关用户、组、计算机、登陆信息、访问控制策略之间的关系更直观的展现在分析人员面前,方便大家分析。BloodHound最令人兴奋的功能是能够识别攻击路径。对于这个概念,这种方法在Active Directory域权限提升方面有着令人难以置信的作
发布时间:2019-03-16 12:20 | 阅读:53674 | 评论:0 | 标签:观察 BloodHound

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云