记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

基于攻击链的威胁感知系统

阅读: 380随着网络威胁形式的多样化和复杂化以及面临APT攻击的挑战,新一代威胁不仅传播速度更快,其利用的攻击面也越来越宽广,可以覆盖移动、桌面、网络、web和各种应用、社交网络等,新常态下仅仅依靠传统NIPS/NIDS设备提供给用户的信息已经不能满足现阶段客户的需要,专业化、系统化、智能化等越来越显得尤为关键;尤其是伴随着互联网的发展,用户体验需求的提升,更需要对网络威胁的行为通过大数据分析的方式,直观的给客户展示出整个动态攻击过程。为了能够满足客户需求,简化客户对设备的操作流程,提高客户对攻击流程的直观感受,适用新常态下威胁感知变化;需要对传统NIPS漏洞规则的划分维度做全新调整,结合完整的解决方案,彻底摆脱传统NIPS设备显示给客户的单一事件单一告警的无状态统计局面。通过对漏洞规则重新按照事件的攻击链

RSA:中国某VPN服务提供商入侵数百台Windows服务器

RSA昨日公布了一份技术分析报告,报告称中国一家VPN服务提供商入侵了数百台Windows服务器,充当其匿名基础网络设施的一部分,为合法用户和攻击者提供国内的翻墙服务。这家被安全研究人员称之为“Terracotta”(兵马俑)的VPN服务商有着不同的品牌名称,并且在它的1500多台VPN服务器中,至少有500台属于合法租借运营。但RSA威胁情报分析人员肯特·贝克曼指出,超过300家机构的服务器被轻易的入侵,并成为Terracotta基础网络设施的一部分。这些被入侵的机构包括财富500强的连锁酒店、工程企业、日本和台湾的大学、法律事务所和医疗诊所等。这些机构的共同点是全部使用Windows服务器,没有安装或打开防火墙,没有重命名administrator管理员账户,并且是弱口令。大多数受害者都类似,在安全防护的基
发布时间:2015-08-05 20:00 | 阅读:154299 | 评论:0 | 标签:动态 APT攻击 Terracotta VPN服务

云海之合:翰海源并入阿里集团

6月11日,阿里巴巴官方正式宣布收购瀚海源,后者并入阿里巴巴基础安全部。翰海源将把自己APT检测和漏洞检测方面的深厚技术基础,在整个安全层面上嵌入阿里云,完成云海之合。实际上,早在几个月前安全圈就传出阿里收购翰海源的消息,此次发布会只是将传闻证实而已。去年牛君曾写过一篇《2015年国内最具成长力的八家安全企业》,翰海源就是其中一家。双方均未公布具体收购金额,但业内比较靠谱的传闻是2亿人民币左右。翰海源是国内最早致力于安全测试和APT攻防对抗的自主创新型企业,自主研发了两款国内最早商业化的专业漏洞挖掘工具。而且早在2012年,很多人还没有听说过APT(高级持续威胁)攻击的时候,翰海源就推出了国内第一款APT防御产品,星云。新闻发布现场,翰海源创始人方兴(flashsky)表示,由于阿里云飞跃式的发展,各种信息资产
发布时间:2015-06-13 00:55 | 阅读:93491 | 评论:0 | 标签:动态 APT攻击 瀚海源 阿里巴巴

卡巴斯基遭遇APT攻击 隐藏数月未被发现

作为全世界领先的安全公司卡巴斯基,经常会披露它发现的各大机构被攻击的安全事件,但现在可以谈谈自己了。尤金·卡巴斯基把这个APT恶意程序称之为Duqu 2.0,因为它与2011年发现的背后有国家支持的恶意软件Duqu有关。Duqu最早出现在2011年9月,是继震网蠕虫后最受关注的恶意程序之一,大多数Duqu出现在工控系统中。在本周二的网络新闻发布会上,卡巴斯基仔细地解释了这个恶意软件。除了攻击卡巴斯基的网络以外,Duqu还攻击了新近P5+1的伊朗核武器谈判。因此,这个恶意软件背后的国家有可能是以色列。Duqu2.0利用了三个微软的零日漏洞,微软在本周二刚刚发布这些漏洞的补丁。“攻击非常之高端复杂,这是一种新一代的很可能为国家支持的恶意软件。如果用好莱坞电影来比喻,它就是一种外星人、终结者和铁血战士的混合体。”Du
发布时间:2015-06-11 19:50 | 阅读:76661 | 评论:0 | 标签:动态 APT攻击 duqu 卡巴斯基

Duqu 2.0:成功攻入卡巴斯基公司内网的绝妙内存APT攻击

这个料很猛啊,知名安全公司卡巴斯基(Kaspersky)通过博客和新闻稿承认,在今年早些时候的安全检查中,一款新的原型反APT系统发现公司内部系统被非常高明的攻击入侵。在详细的技术报告(PDF)与FAQ(PDF)里,卡巴斯基称这一攻击的理念与思路比之前的APT(包括2月份发现的Equation)要领先一代。开发成本估计达到5000万美元。 必须说,人家处理此类事故的公开透明态度还是值得称道和学习的。 卡巴斯基经过大调查,发现这是又一次精心组织、精密实施的APT攻击,只有国家支持的团队才有能力做到,他们明确指认幕后黑手就是2011年名噪一时的Duqu背后组织。因此卡巴斯基将此次攻击命名为Duqu 2.0。 技术分析显示,攻击的目标是卡巴斯基的知识产权(技术、研究和内部流程),而不是其用户数据,也没有盈利企图。Ar
发布时间:2015-06-11 17:20 | 阅读:103503 | 评论:0 | 标签:业界 APT攻击 Duqu 内网 卡巴斯基

这个黑客组织盯着亚太地区的地缘政治情报已多年

黑客组织“Naikon”在过去五年里成功地渗透了围绕南海的一系列主权政治组织,并收集了相关的地缘政治情报。卡巴斯基在上周最新的针对性研究报告中表示,Naikon是一个高级持续性威胁(APT)组织,它在过去五年内大量地、高调地进行地缘政治活动。Naikon的成员可能来自中国,他们在多个国家部署了高级的数据挖掘工具和监视工具,主要目标是菲律宾、马来西亚、柬埔寨、印度尼西亚、越难、新加坡、缅甸、尼泊尔等国的政府高层机构、民间和军事组织。在一次持续多年的网络间谍活动中,Naikon感染了装有远程控制模块的电脑,并破解了员工的工作Email和公司内部资源,包括利用外部服务存储的个人和公司Email信息。受影响的组织包括政府行政部门,比如总统办公室、内阁部长办公室和国家情报协调机构。联邦警察、司法部、军事机关同样遭到了袭击
发布时间:2015-05-19 17:05 | 阅读:88450 | 评论:0 | 标签:动态 APT攻击 naikon 马航370

解构APT:高级持续性威胁的前生今世

就像来自IT、信息、网络安全行业很多缩略词一样,APT(高级持续性威胁)这个术语正变得广为人知。就像新生概念一样,它和它的兄弟词语AET(高级逃逸技术)占据了当今各大媒体的头条。然而,从这两个术语涉及的最基本层面上来看,它们并没有任何创新。新的简写的确概括了当今这个高度信息化的时代遇到的一些真正的威胁,但它们只是在没人注意的时候偷偷重新发明了自己。因此,APT里代表持续性(Persistent)的那个“P”看上去才显得如此恰当(apt本身就是个英文单词,有恰当的、合适的意思)。随着攻击技术的不断发展,历史上的威胁和今天的威胁之间有一个微妙的区别。一些人利用严肃的计划和项目管理技术创造了用于实战的高级逃逸技术,这使得当今的恶意行为如虎添翼。早在1993年,计算机病毒还是当时最新潮的现象。在英国皇家空军的计算机安全
发布时间:2015-03-09 13:05 | 阅读:70252 | 评论:0 | 标签:牛技术 牛观点 APT攻击 高级逃逸技术

APT攻击没想像中的那么高端

高级可持续威胁(APT)的名字听上去的确很了不起,似乎有关它的一切一定很高端,很复杂。但最近的一份分析报告却显示,有些APT攻击其技术含量还不比不上普通的恶意软件。“这有点违反普通人的直觉,大部分人都被好莱坞电影错误的引导了,但我本人并不觉得有什么奇怪的。”这份分析报告的作者,Sophos实验室首席研究员戈伯表示(Gabor Szappanos)。“我每天都会各种恶意软件的样本进行分析,经验告诉我APT攻击的样本比普通的攻击样本更容易分析。虽然这只是主观印象,但我有实际的数据支持。”一个微软办公软件Word漏洞(CVE-2014-1761)被用来分析测试恶意软件。该漏洞去年最后三个月被大肆利用,并成为第三大被利用的基于文档的漏洞。分析发现,所有的攻击者不仅对“攻击工具的理解力有限,修改能力有限”,即使是APT攻
发布时间:2015-03-03 16:20 | 阅读:70346 | 评论:0 | 标签:牛观点 APT攻击 word漏洞

APT扒了谁的裤子

0、序言 在安全行业浑浑噩噩地浪荡多年以后,对这个我耐以生存的行业似乎有了一点清晰地认识,而似乎又只是在荒谬中完成又一次的南柯一梦。梦随心生,心随境升,终日流连于抠脚大叔的茫茫沧海,经历了从人体工学到巧克力键盘的时代变迁,我还能做点啥呢! 如果说当前安全行业最大的对手是谁,毫无悬念,那就是APT的资助者、实施者。APT作为一个最具威胁的对手,它的隐蔽性、对数据的嗜血都可谓达到了一个历史的顶峰。其实APT并不是一种攻击手段,它是一种新的攻击模式,是一种高度团队化、专业化的运作模式,或许我们可以称之为:有组织攻防。 1、我们的对手是什么 APT作为一个商业概念,它掀起的阵阵热潮曾席卷整个星球,高昂的姿态让人看到了征服火星的点点希望。正所谓:那一刻,快感,让人兴奋!但作为一个技术人员,作为一个搞工程的苦B泥瓦匠,我们
发布时间:2014-09-13 01:40 | 阅读:77039 | 评论:0 | 标签:渗透实例 apt攻击 渗透测试 社会工程 网络安全

FireEye:2013年度APT攻击报告

日前,美国Fireeye火眼公司发布报告2013年度APT攻击报告(Advanced Threat Report)。FireEYe在每天分析100个安全攻击事件的基础上,对159个与APT相关的恶意软件家族进行整理,并且在几乎世界上的每个角落都发现过恶意软件的服务器。什么是APT攻击高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。FireEye报告[本文由FreeBuf小编蓝蓝进行采编与翻译] var freebuf
发布时间:2014-03-05 11:10 | 阅读:74621 | 评论:0 | 标签:WEB安全 apt攻击 fireeye 海外安全事件 火眼

FireEye:数字面包屑 – 识别APT攻击来源的7大线索

近期,FireEye发布了一篇题为《Digital Bread Crumbs: Seven Clues To Identifying Who's Behind Advanced Cyber Attacks》的白皮书,同时发布了中文版。内容转载如下:    在现今网路威胁的情势下,找出敌人是任何防御计划的关键要点。保护资料与智慧财產的关键步骤,在於找出谁是攻击者、他们的运作方式,以及他们的目的。    所幸如同任何犯罪现场一样,遭到入侵的电脑系统都会留下线索。若是先进的网路攻击,恶意软体程式码、网路 钓鱼电子邮件、使用的命令与控制(C&C)伺服器,甚至行為,都可能会留下攻击者犯罪的蛛丝马跡。正如指纹科学
发布时间:2013-12-13 03:00 | 阅读:100462 | 评论:0 | 标签:网络安全 apt apt攻击 fireeye

安全科普:浅谈沙盒防御APT攻击

Begin:最近很多中小型甚至是大型企业都遭受到了很多的APT攻击 并导致机密数据泄漏或服务器权限被黑客获取等。我们要把这种无耻的商业竞争掐死在萌芽中。目前市场上APT攻击是新兴起的一种攻击方式,很多企业并没有对APT攻击做很好的防御,那么我们今天就来讨论一下如何利用沙盒去防御APT攻击。那么我们就需要先来了解什么是沙盒什么是APT。沙盒是什么沙盒最先是起源于浏览器领域,浏览器为了防止恶意页面感染系统而把页面和系统隔离开,这样就可以有效的防止恶意代码感染系统,就像把页面放在一个沙盒里一样,是碰不到外边的。但是我们聊得沙盒并不是浏览器沙盒而是对于桌面端恶意软件的沙盒。沙盒在病毒防御与危害测试的领域里也可以叫做安全桌面。安全桌面就相当于创建了一个虚拟的并不实际存在的桌面,并把这个桌面封装了起来防止里
发布时间:2013-12-10 16:30 | 阅读:61066 | 评论:0 | 标签:网络安全 apt攻击 沙盒

RAT终结者在APT中的演变复杂化

Advanced Persistent Threat 简称 APT, 是以攻击企业和组织为目标,类似工业间谍,用户情报的收集和相关信息的获取。而且这种攻击,是一种持久性的攻击方式。APT攻击在最近的网络攻击事件报道中开始层出不穷。高级威胁以控制中心为目标,通过民间收购或者自制0day的方式欺骗受害者,以获得相关信息。比如软件:RAT终结者,这个软件就在最近的2起APT事件中被使用到。在针对台湾地区的APT攻击里,也收集到了相关的实体样本。知名安全公司火眼,分析了其欺骗过程是通过邮件钓鱼的方式来实现。其实现过程如下:通过CVE-2012-0158这个微软Office漏洞,攻击者往受害者发送的email的附件里带有此类word文件。一旦触发,一个名为:DW20.exe的后面程序将被运行。有时候,最简
发布时间:2013-10-31 14:45 | 阅读:99950 | 评论:0 | 标签:WEB安全 系统安全 apt攻击

近期全球APT攻击事件及黑客组织调查报告汇总

<img src="http://pic1.hackdig.com/pictures/month_1310/201310300045101586.jpg" _xhe_src="http://pic1.hackdig.com/pictures/month_1310/201310300045101586.jpg" alt="cyber-war-america-iran" width="640" height="383" class="aligncenter size-full wp-image-15712"/><br/>小编将近期在FreeBuf上发表的AP
发布时间:2013-10-30 00:45 | 阅读:92265 | 评论:0 | 标签:专题 apt攻击 events 攻击事件 黑客组织

[APT专题]中国黑客利用Twitter进行APT攻击

日前,国外安全实验室监测到一例通过Twitter来进行APT攻击攻击的行为,主要是针对西藏政治活动激进分子。并且其中用到了CVE-2013-0634 Adobe Flash SWF exploits,详细分析过程如下:攻击者通过Twitter账户@hahadaxiao在3月27日发布了3条信息,标题非常诱惑,连小编看了都忍不住想点进去看看到底啥内容,如下图:此帐户@的三个用户被打码了,通过分析可知晓一些信息如下1:西藏独立运动的个人帐号2:一位是中国博客的博主3:一位是中国政治活动相关的账户三个人都有共同点,相信各位懂的,所以被列入了APT攻击的目标。发送的链接地址为 hXXp://forum[.]dwnews[.]com/threadshow.php?tid=1034399通过检查发现
发布时间:2013-04-11 15:10 | 阅读:91053 | 评论:1 | 标签:WEB安全 专题 apt攻击

APT攻击样本静态分析工具 – MASTIFF V0.5

APT攻击问题在近几年尤为严重,国外安全研究者Tyler Hudak近日发布了一款针对检测APT攻击中发现的样本进行自动化静态分析的框架,名为MASTIFF,该工具将自动化分析样本,并将得到的信息存储到数据库中。一般静态分析的工艺如下:1:获取样本的HASH值2:分析文件类型3:逆向文件如果子这些步骤都是由人工分析的话,样本一多,工作量也随之增加,也许你有自己的自动化脚本可以替代人工去做分析,但是如果没有的话,建议可以尝试试用下MASTIFF这款静态分析框架。运行方法如下:sudo mas.py filename上述命令针对单个样本,MASTIFF V0.5目前的版本不支持同时运行多个样本分析,官方推荐创建一个python文件,分析一个特定目录中的所有文件, 如下: #!/usr/
发布时间:2013-03-06 10:40 | 阅读:106498 | 评论:0 | 标签:工具 apt分析 apt攻击 apt样本分析

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云