- 資訊安全:
1.躲避杀软小能手:隐藏于图片中的恶意程序Stegoloader by FreeBuf
Stegoloader攻击首先会以一个部署模块开始,然后再在受感染的设备上下载、发布程序的主模块。
躲避方法1:
在部署其他的模块之前,该恶意程序会检查它不是处在(杀毒软件的)调试环境中。例如,部署一个模块监视鼠标光标的移动情况,如果鼠标不停的变换位置或者永远不变换位置,就说明当前环境有“猫腻”,恶意程序会立即终止所有恶意行为。
躲避方法2:
部署模块会列出系统当前运行的进程,一旦发现某些安全工具的硬编码字符,如Wireshark、Fiddler,它就不会在该系统上运行。如果没有发现任何的安全威胁,它才会与C&C服务器连接,加密通信,下载含有恶意程序的PNG文件。
无论是PNG图片还是解密后的代码均不会存储在磁盘上,这样的话传统基于磁盘的分析工具就很难发现该恶意程序。
一旦主模块成功在内存中占据了一席之地,那情况就大不相同了。部署模块就会终止,恶意程序开始与C&C服务器通信,接受一些指令,比如显示系统详细信息、列出被感染系统上安装的程序、发送火狐、chrome、IE浏览器的历史记录、执行shell代码、停止执行程序、休眠等。
如果Stegoloader搜集到的信息和某些条件匹配的话,网络犯罪者就会进一步的配置其他的模块,以执行不同的任务,如窃取IDA文件、访问最近打开的文件、显示主机的地理位置、释放Pony密码窃取程序等。
2.卡巴斯基:Duqu 2.0病毒使用的数字证书窃取自富士康 by FreeBuf
卡巴斯基实验室近日公开承认其公司网络遭APT攻击,而且被入侵长达数月未发现,经卡巴斯基实验室研究人员进一步的研究发现,入侵卡巴斯基和入侵伊朗核问题“六方”会谈(P5+1)承办酒店电脑的都是超级计算机病毒Duqu 2.0,而且其所使用的合法数字证书竟然盗自富士康公司。
数字证书是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,也是电子商务和大规模网上自动化交易的基础。它会在浏览器和电脑操作系统上标记哪些软件是可信的,所以,如果攻击者想在目标电脑上安装恶意软件而不被发现的话,就需要得到合法数字证书的签名。
近年来盗窃数字证书的案例愈发频繁,网络间谍们会利用盗来的数字证书将恶意软件伪装成来自合法电脑的安全软件,然后实施间谍活动。
驱动是成功入侵卡巴斯基的关键。因为Duqu2.0工具大多存储在卡巴斯基系统的内存里,一旦受害者的系统重新启动了,那恶意软件就会随之消失,磁盘上也不会留下任何的文件。为了解决这一问题,攻击者就需要将驱动放到同一网络下其他的机器上,这样如果一台机器重启了,驱动就会在另一台未被感染的机器上重新启动。
3.三星Galaxy手机输入法曝高危漏洞,攻击者可监控用户摄像头、短信以及安装恶意程序 by FreeBuf
三星Galaxy手机近日曝高危漏洞,黑客可暗中监控用户的摄像头和麦克风,读取输入和传出的短信以及安装恶意应用程序。该漏洞存在于三星定制版SwiftKey输入法的更新机制中,运用于三星Galaxy S6,S5,以及其他几个Galaxy系列手机中。
当下载更新软件时,三星设备并不会对该可执行文件进行加密处理,这就使得攻击者有机会修改其上行流量(如位于同一个Wi-Fi网络的),用恶意攻击载荷来替代合法的文件。
手机预装的三星输入法,为三星定制版SwiftKey,其会定期查询授权服务器对于键盘APP以及其他附加的语言包是否有效可用。攻击者在中间人的位置可以冒充服务器并发送一个包含恶意有效载荷的响应,使其注入到一个语言包更新程序中。因为三星手机为更新程序提供了特殊的提升权限,因此恶意有效载荷就能够有效避开保护系统,进入谷歌的Android操作系统。
Stegoloader攻击首先会以一个部署模块开始,然后再在受感染的设备上下载、发布程序的主模块。
躲避方法1:
在部署其他的模块之前,该恶意程序会检查它不是处在(杀毒软件的)调试环境中。例如,部署一个模块监视鼠标光标的移动情况,如果鼠标不停的变换位置或者永远不变换位置,就说明当前环境有“猫腻”,恶意程序会立即终止所有恶意行为。
躲避方法2:
部署模块会列出系统当前运行的进程,一旦发现某些安全工具的硬编码字符,如Wireshark、Fiddler,它就不会在该系统上运行。如果没有发现任何的安全威胁,它才会与C&C服务器连接,加密通信,下载含有恶意程序的PNG文件。
无论是PNG图片还是解密后的代码均不会存储在磁盘上,这样的话传统基于磁盘的分析工具就很难发现该恶意程序。
一旦主模块成功在内存中占据了一席之地,那情况就大不相同了。部署模块就会终止,恶意程序开始与C&C服务器通信,接受一些指令,比如显示系统详细信息、列出被感染系统上安装的程序、发送火狐、chrome、IE浏览器的历史记录、执行shell代码、停止执行程序、休眠等。
如果Stegoloader搜集到的信息和某些条件匹配的话,网络犯罪者就会进一步的配置其他的模块,以执行不同的任务,如窃取IDA文件、访问最近打开的文件、显示主机的地理位置、释放Pony密码窃取程序等。
2.卡巴斯基:Duqu 2.0病毒使用的数字证书窃取自富士康 by FreeBuf
卡巴斯基实验室近日公开承认其公司网络遭APT攻击,而且被入侵长达数月未发现,经卡巴斯基实验室研究人员进一步的研究发现,入侵卡巴斯基和入侵伊朗核问题“六方”会谈(P5+1)承办酒店电脑的都是超级计算机病毒Duqu 2.0,而且其所使用的合法数字证书竟然盗自富士康公司。
数字证书是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,也是电子商务和大规模网上自动化交易的基础。它会在浏览器和电脑操作系统上标记哪些软件是可信的,所以,如果攻击者想在目标电脑上安装恶意软件而不被发现的话,就需要得到合法数字证书的签名。
近年来盗窃数字证书的案例愈发频繁,网络间谍们会利用盗来的数字证书将恶意软件伪装成来自合法电脑的安全软件,然后实施间谍活动。
驱动是成功入侵卡巴斯基的关键。因为Duqu2.0工具大多存储在卡巴斯基系统的内存里,一旦受害者的系统重新启动了,那恶意软件就会随之消失,磁盘上也不会留下任何的文件。为了解决这一问题,攻击者就需要将驱动放到同一网络下其他的机器上,这样如果一台机器重启了,驱动就会在另一台未被感染的机器上重新启动。
3.三星Galaxy手机输入法曝高危漏洞,攻击者可监控用户摄像头、短信以及安装恶意程序 by FreeBuf
三星Galaxy手机近日曝高危漏洞,黑客可暗中监控用户的摄像头和麦克风,读取输入和传出的短信以及安装恶意应用程序。该漏洞存在于三星定制版SwiftKey输入法的更新机制中,运用于三星Galaxy S6,S5,以及其他几个Galaxy系列手机中。
当下载更新软件时,三星设备并不会对该可执行文件进行加密处理,这就使得攻击者有机会修改其上行流量(如位于同一个Wi-Fi网络的),用恶意攻击载荷来替代合法的文件。
手机预装的三星输入法,为三星定制版SwiftKey,其会定期查询授权服务器对于键盘APP以及其他附加的语言包是否有效可用。攻击者在中间人的位置可以冒充服务器并发送一个包含恶意有效载荷的响应,使其注入到一个语言包更新程序中。因为三星手机为更新程序提供了特殊的提升权限,因此恶意有效载荷就能够有效避开保护系统,进入谷歌的Android操作系统。
- 企業管理:
1.销售停滞不前?六个方法改善 by ERIC HOLTZCLAW
(1)收集正确的情报
(2)利用自动化
(3)扩大规模
(4)提供可见性
(5)提高效能
(6)实施问责制
2.用脑科学指导公司变革 by Jeffrey Schwartz、Pablo Gaito、Doug Lennick
(1)认识到变革的必要性
(2)重新标识你的反应
(3)反思你的期望和价值观
(4)重新聚焦你的行为
(5)反复回应
(6)即时强化你的选择
3.让你脑洞大开的学习方式 by 商业评论网
(1)欢笑能强化脑功能
(2)个性比智力对学习成绩的影响更大
(3)多次短时训练可增强记忆力
(4)选择复杂的职业能在今后保护你的大脑
(5)散步可以提高创造力
(6)先天还是后天重要完全取决于你的信念
(7)天才般的创意需要苦干而不是天赋
(8)预期分享知识有助于增强学习效果
(1)收集正确的情报
(2)利用自动化
(3)扩大规模
(4)提供可见性
(5)提高效能
(6)实施问责制
2.用脑科学指导公司变革 by Jeffrey Schwartz、Pablo Gaito、Doug Lennick
(1)认识到变革的必要性
(2)重新标识你的反应
(3)反思你的期望和价值观
(4)重新聚焦你的行为
(5)反复回应
(6)即时强化你的选择
3.让你脑洞大开的学习方式 by 商业评论网
(1)欢笑能强化脑功能
(2)个性比智力对学习成绩的影响更大
(3)多次短时训练可增强记忆力
(4)选择复杂的职业能在今后保护你的大脑
(5)散步可以提高创造力
(6)先天还是后天重要完全取决于你的信念
(7)天才般的创意需要苦干而不是天赋
(8)预期分享知识有助于增强学习效果
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言