- 資訊安全:
1.Fareit木马分析与防护 by Freebuf
此次的样本被大多数厂商命名为Fareit木马,主要通过发送垃圾邮件,骗取其他人点击运行exe文件来入侵目标主机,窃取FTP客户端保存的站点信息与用户密码。该木马专攻FTP等信息集散地,将数据传送到http://tekboss.xyz等域名,以期获取更多关键信息。
恶意行为:
文件操作:
样本首先读取FTP客户端软件GHISLER, CuteFTP, FlashFXP, FileZilla, ExpanDrive的安装目录下的一些文件,通过查看这些文件是否存在,来确定目标主机上是否安装有FTP软件。
如果上述FTP软件安装在目标主机上,以CuteFTP为例,样本会读取sm.dat文件,该文件中保存了FTP的站点信息以及用户密码,如果存在这些文件,样本会将这些信息上传到自己的服务器198.105.221.5
网络操作:
样本通过CreateToolhelp32Snapshot, Process32First, Process32Next三个函数,找到explorer.exe进程, 用OpenProcessToken获取进程的Token, 然后ImpersonateLoggedOnUser使当前进程模拟explorer.exe的权限,以administrator为当前进程的登录名。
注册表操作:
遍历HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\目录下的注册表项,用于查看目标主机系统内安装的软件。【用于查看是否有安装FTP软件】
2.物联网设备已沦陷,咖啡机也不能例外 by Freebuf
当联网咖啡机打开时,它就自动打开了一个未加密的热点,可窃听UPNP流量。在客户端,智能手机上安装的app是由咖啡机厂商提供的,它会连接到一个热点并发送UDP请求广播,以搜索UPNP设备。
咖啡机会与app建立一个通信,以交换诸如SSID、无线密码等数据,然而不幸的是,这些交换的数据全是明文的。
3.2016年及之后网络威胁前景趋势一览 by 安全盒子
(1)硬件:尽管市面上的相关设施保护方案不断增加,但面向硬件与固件的攻击活动仍将继续存在。系统固件工具包亦可能会将目标转向虚拟机层面。
(2)勒索软件:勒索软件已经成为一类持续增长的威胁形式,且主要影响匿名支付方案及网络环境。很多经验积累较差的网络犯罪分子将会选择勒索软件即服务等实现手段。
(3)可穿戴设备:大多数可穿戴设备只存储一小部分信息,不过网络犯罪分子可能会利用它们破坏智能手机的管理机制。安全业界将需要对网络以及Wi-Fi软件、操作系统内核、内存、用户界面、存储系统与本地文件、Web应用、虚拟机乃至安全与访问控制软件等潜在攻击面进行保护。
(4)员工系统:攻击者可能会通过内部员工对目标企业发起入侵,具体途径包括突破员工的家庭安全系统等,从而借道访问企业网络。各企业将需要采取新型安全技术、创造有效的管理政策并启用经验丰富的安全保护技术人才,从而以高度警惕的态度应对这些新兴威胁。
(5)云服务:攻击者能够利用存在漏洞的安全管理政策对其保护之下的云服务加以入侵。这些服务可能涉及商业策略、金融信息、资产组合战略、下一代创新、员工数据、收购意向以及资产剥离计划等各类敏感性数据。
(6)车载系统:联网车载系统往往缺少良好的安全保护功能,这也使其成为网络攻击活动的潜在目标。汽车制造商及IT供应商将携手合作,以推出行业标准与解决方案的办法保护各类汽车之内的攻击面,例如动力总成控制单元(简称ECU)、远程钥匙系统、高级驾驶辅助系统ECU、无钥匙进入、USB、OBD II、V2X接收器、智能手机接入以及远程连接型应用等等。
(7)失窃数据仓库:在2016年面向失窃个人身份信息及用户名/密码数据的交易黑市将进一步增多。而大数据仓库技术在与失窃个人身份信息集相结合之后,将为攻击者带来极具价值的宝贵记录。
(8)完整性攻击:针对特定系统与数据的选择性攻击活动已经成为最为可怕的新型攻击手段之一。此类攻击会拦截并修改事务或者数据内容,从而帮助恶意人士获得收益。攻击者能够变更受害者的工资存款数额,并将多余存款直接转存至另一个账户。根据McAfee实验室的预测,网络窃贼在2016年年内将造成高达数百万美元的损失。
(9)共享威胁情报:各企业与安全供应商将进一步实现威胁情报共享。而通过推出相关法案,政府能够与企业方面就威胁情报共享建立更为紧密的联系。这方面的最佳实践将持续增加,从而确保成功指标能够不断增长并用于推动保护效果的改善。另外,不同安全厂商之间的情报共享活动也将有所增加。
此次的样本被大多数厂商命名为Fareit木马,主要通过发送垃圾邮件,骗取其他人点击运行exe文件来入侵目标主机,窃取FTP客户端保存的站点信息与用户密码。该木马专攻FTP等信息集散地,将数据传送到http://tekboss.xyz等域名,以期获取更多关键信息。
恶意行为:
- 窃取目标主机的FTP站点信息与用户密码
- 隐藏自身
- 代码注入
- 恶意网络行为
文件操作:
样本首先读取FTP客户端软件GHISLER, CuteFTP, FlashFXP, FileZilla, ExpanDrive的安装目录下的一些文件,通过查看这些文件是否存在,来确定目标主机上是否安装有FTP软件。
如果上述FTP软件安装在目标主机上,以CuteFTP为例,样本会读取sm.dat文件,该文件中保存了FTP的站点信息以及用户密码,如果存在这些文件,样本会将这些信息上传到自己的服务器198.105.221.5
网络操作:
样本通过CreateToolhelp32Snapshot, Process32First, Process32Next三个函数,找到explorer.exe进程, 用OpenProcessToken获取进程的Token, 然后ImpersonateLoggedOnUser使当前进程模拟explorer.exe的权限,以administrator为当前进程的登录名。
注册表操作:
遍历HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\目录下的注册表项,用于查看目标主机系统内安装的软件。【用于查看是否有安装FTP软件】
2.物联网设备已沦陷,咖啡机也不能例外 by Freebuf
当联网咖啡机打开时,它就自动打开了一个未加密的热点,可窃听UPNP流量。在客户端,智能手机上安装的app是由咖啡机厂商提供的,它会连接到一个热点并发送UDP请求广播,以搜索UPNP设备。
咖啡机会与app建立一个通信,以交换诸如SSID、无线密码等数据,然而不幸的是,这些交换的数据全是明文的。
3.2016年及之后网络威胁前景趋势一览 by 安全盒子
(1)硬件:尽管市面上的相关设施保护方案不断增加,但面向硬件与固件的攻击活动仍将继续存在。系统固件工具包亦可能会将目标转向虚拟机层面。
(2)勒索软件:勒索软件已经成为一类持续增长的威胁形式,且主要影响匿名支付方案及网络环境。很多经验积累较差的网络犯罪分子将会选择勒索软件即服务等实现手段。
(3)可穿戴设备:大多数可穿戴设备只存储一小部分信息,不过网络犯罪分子可能会利用它们破坏智能手机的管理机制。安全业界将需要对网络以及Wi-Fi软件、操作系统内核、内存、用户界面、存储系统与本地文件、Web应用、虚拟机乃至安全与访问控制软件等潜在攻击面进行保护。
(4)员工系统:攻击者可能会通过内部员工对目标企业发起入侵,具体途径包括突破员工的家庭安全系统等,从而借道访问企业网络。各企业将需要采取新型安全技术、创造有效的管理政策并启用经验丰富的安全保护技术人才,从而以高度警惕的态度应对这些新兴威胁。
(5)云服务:攻击者能够利用存在漏洞的安全管理政策对其保护之下的云服务加以入侵。这些服务可能涉及商业策略、金融信息、资产组合战略、下一代创新、员工数据、收购意向以及资产剥离计划等各类敏感性数据。
(6)车载系统:联网车载系统往往缺少良好的安全保护功能,这也使其成为网络攻击活动的潜在目标。汽车制造商及IT供应商将携手合作,以推出行业标准与解决方案的办法保护各类汽车之内的攻击面,例如动力总成控制单元(简称ECU)、远程钥匙系统、高级驾驶辅助系统ECU、无钥匙进入、USB、OBD II、V2X接收器、智能手机接入以及远程连接型应用等等。
(7)失窃数据仓库:在2016年面向失窃个人身份信息及用户名/密码数据的交易黑市将进一步增多。而大数据仓库技术在与失窃个人身份信息集相结合之后,将为攻击者带来极具价值的宝贵记录。
(8)完整性攻击:针对特定系统与数据的选择性攻击活动已经成为最为可怕的新型攻击手段之一。此类攻击会拦截并修改事务或者数据内容,从而帮助恶意人士获得收益。攻击者能够变更受害者的工资存款数额,并将多余存款直接转存至另一个账户。根据McAfee实验室的预测,网络窃贼在2016年年内将造成高达数百万美元的损失。
(9)共享威胁情报:各企业与安全供应商将进一步实现威胁情报共享。而通过推出相关法案,政府能够与企业方面就威胁情报共享建立更为紧密的联系。这方面的最佳实践将持续增加,从而确保成功指标能够不断增长并用于推动保护效果的改善。另外,不同安全厂商之间的情报共享活动也将有所增加。
- 自我成長:
1.怎麼讓團隊變聰明? by Cass Sunstein、Reid Hastie
當大家知道正確的個體決策沒有好處可拿,但是正確的群體決策卻可以雨露均霑,這時模仿效應的發生機率就大為降低。
若個體完整報告自己所見所知的事,是符合個人利益的,這時群體就可以創造出加倍好的結果來。只有當大家都坦率的提供完整的資訊,才最有可能鼓勵成員達到精確地群體決策。
2.就因為「沒時間」,才什麼都能辦到 by 吉田穗波
沒有自由時間、忙到不可開交的當頭,才是充滿「幹勁」能量滿滿的時刻。當這股「幹勁」爆發出來時,就是開始實現理想的最佳時機。有時這股能量甚至能助你開拓出嶄新人生。
「並不是因為某件事情很難,你才不想做;而是因為你不想做,所以變得困難」
3.懂得放手,才能擁有更多 by 小竺
我們要抓緊應該堅持的堅持,但是要放下不該執著的執著。事實上,我們無法說服任何人,也無法改變任何人,我們唯一能控制的只有我們自己。
抓緊應該堅持的堅持,需要的是毅力;放下不該執著的執著,需要的是勇氣;而分辨兩者間的不同,需要的是智慧。
當大家知道正確的個體決策沒有好處可拿,但是正確的群體決策卻可以雨露均霑,這時模仿效應的發生機率就大為降低。
若個體完整報告自己所見所知的事,是符合個人利益的,這時群體就可以創造出加倍好的結果來。只有當大家都坦率的提供完整的資訊,才最有可能鼓勵成員達到精確地群體決策。
2.就因為「沒時間」,才什麼都能辦到 by 吉田穗波
沒有自由時間、忙到不可開交的當頭,才是充滿「幹勁」能量滿滿的時刻。當這股「幹勁」爆發出來時,就是開始實現理想的最佳時機。有時這股能量甚至能助你開拓出嶄新人生。
「並不是因為某件事情很難,你才不想做;而是因為你不想做,所以變得困難」
3.懂得放手,才能擁有更多 by 小竺
我們要抓緊應該堅持的堅持,但是要放下不該執著的執著。事實上,我們無法說服任何人,也無法改變任何人,我們唯一能控制的只有我們自己。
抓緊應該堅持的堅持,需要的是毅力;放下不該執著的執著,需要的是勇氣;而分辨兩者間的不同,需要的是智慧。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言