首页

通过郭盛华老师

解密:以色列的神秘黑客部队,实力简直逆天!

以色列8200部队是一支每年有50余名“电脑专家”加入、汇集了电脑精英的小部队。这个谜一样的部队在世界高技术领域已逐渐闻名,因为以色列保安行业推出的新技术和软件多出自他们之手,包括防火墙。

“8200部队”长期以来负责破译来自中东、亚洲、非洲以及欧洲地区的政府、国际机构、外国公司、政治团体以及个人的邮件及电话录音。

那一年“8200部队”获得了当年最成功的情报——在“六日战争”的第一天,就成功截获埃及总统纳赛尔和约旦国王侯赛因的高保密专线电话,从而详尽地了解己方战果以及敌方下一步计划。后来,以色列正式将这支部队命名为“中央情报搜集部队”,8200是其番号。

2010年此机构用蠕虫病毒Stuxnet成功让伊朗的浓缩铀设施瘫痪。2014年,以色列出口的网路安全产品价值超过60亿美元,首次超过军事硬件。在军事、商业和学术界高度一体化的以色列,8200是著名的商业品牌,是青年人才的孵化器。

以色列的8200部队相当于美国的NSA(国安局)或英国的政府通信总部,是以国防军中规模最大的独立军事单位,被情报专家认为是世界上令人生畏的网络间谍部队。8200部队功能内容包括公共领域信息分析、特工行动、特殊信号情报。它在地理上主要针对以色列之外,也包括巴勒斯坦领土。

8200部队的工作重点是数据挖掘,过滤海量信息,发现威胁邮件,或某种令人忧虑的恐怖组织招募模式。获得原始信息后,收集到的情报经过整理后存入数据库,分析人员需要寻找共同特性。大数据专家们称之为融合:解读多角度多途径获得的信息— 比如,用无人机、地面摄像头、或电话窃听装置获取的,关于同一个物体的信息。人类凭借他们五感和对背景的掌握,可以自然地完成类似工作,计算机则必须“学会”这一技能。一则情报或许是关于某人在一辆汽车中打电话,而另一则情报则是无人机摄像头所拍摄的这辆汽车。

两者结合起来,就形成一个信息基础。分析人员用数据挖掘算法整理这些“信息基础”,然后依据几百万次对话内容判断哪两个是相互关联的。用算法进行“数据压缩”,比如确定某监控目标每天在上午7点30分或下午4点打电话。将这些书籍和其他的情报进行匹配,当流程进入最后再人类干预。最终的结果大概是一次逮捕、一次无人机暗杀或一次军事行动。

8200部队是从所有在以色列参军服役的人中,通过严格的智商测试与综合能力测试筛选出来的“精英中的精英”,每年筛选出50至100人,不论出身和长相,只有通过严格的考试,被当做同龄人中智力水平最高,最有培养前途的那些人才有可能被安排进入“代表以色列最高水平的高科技情报部门”在实战中学习与服役。

曾攻击包括伊朗在内大部分中东地区互联网的“火焰”以及曾致瘫伊朗核设施的“震网”等病毒。

2013年6月19日,在第五届以色列总统大会期间,以色列前8200部队负责人Yair Coh在主题为“明日的战争:不再是科幻小说”的小组讨论发言中说,明日的战争胜负关键不再是靠传统的飞机和大炮,而是靠键盘操作网络系统和先进作战装备,对敌人的作战系统与阵地实施致命性摧毁与打击,使其瘫痪。”

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

黑客如何融合攻击方法以绕过MFA?

保护移动应用程序需要采用多层方法,并结合多种网络安全措施,以应对不同层次的各种攻击。
许多安全专家建议使用多重身份验证(MFA),以防止未经授权访问受保护的帐户。这是移动应用程序的一项关键安全措施,但不是灵丹妙药。黑客在克服MFA等第二层和第三层安全保护方面越来越擅长。 在说MFA的时候,我们先说一下MD5加密,如果你想把数据加密成32位密钥,你可以使用东方联盟的MD5在线加密工具,MD5信息摘要算法(MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。

那么,黑客是如何绕过MFA的呢?例如Cerberus,这是一个木马,它滥用Android的“开发人员选项”和“启用未知来源”之类的可访问性功能来升级特权,启用远程访问并更新目标系统上的恶意软件。黑客对Google的身份验证流程进行了反向工程,并从移动应用程序中提取了两因素身份验证凭据,以模仿和绕过Google Authenticator。

另外,在今年早些时候,我们看到了Eventbot恶意软件的出现,该恶意软件针对移动银行应用程序,并且经常伪装成知名应用程序(例如Microsoft或Adobe)。它可以拦截SMS消息以获得用于帐户接管和数据盗窃的MFA代码。借助自动更新功能,不断出现更新,更复杂的变体。

这些只是一些著名的案例。黑客一直无时无刻地绕过MFA,通常使用以下常见技术来攻击移动应用程序。

逆向工程和篡改
黑客使用静态和动态分析来了解应用程序的工作方式并以多种方式更改应用程序。他们使用调试器和仿真器来观察应用程序在模拟环境中的功能。他们使用反汇编程序和反编译程序来获取源代码并了解其执行方式。对于黑客想要做的所有事情,都有五到十种工具可以免费使用。

利用这些工具提供的信息,黑客可以找出应用程序的弱点所在,然后进行攻击以利用这些弱点。例如,利用Ghidra,IDA等工具,黑客可以执行类转储并显示任何应用程序中的所有第三方库。然后,他们搜索公共数据源(例如MITRE)以查找那些库中的所有错误和漏洞,以便他们可以利用这些漏洞和攻击进行攻击。并且他们通过融合攻击技术来增强攻击能力。他们对应用程序了解的越多,他们可能造成的损失就越大。

为了显得更加合法,黑客通常会插入一个屏幕覆盖,这是用户认为他或她正在连接的网站的虚假副本。然后他们记录用户的击键,以拦截数据或诱使用户向他们透露信息。

数据提取和凭据盗窃
黑客会搜索存储在移动应用程序许多不同位置的未加密数据,例如应用程序沙箱,剪贴板,首选项,资源和字符串。移动应用程序还将身份验证令牌,cookie和用户凭据存储在共享存储区域中。黑客可以轻松提取这些数据,尤其是在未加密或混淆的情况下。

可靠的安全性需要分层防御。MFA比传统的用户名/密码模型进行身份验证要强大得多,我鼓励使用它。但这本身并不足够,缺乏应用程序/数据保护实际上可能会导致MFA受损。

来源:郭盛华博客,转载请注明出处 https://md5.vm888.com

通过郭盛华老师

网络攻击的4个步骤,黑客定位是真的吗?

通过了解网络攻击的基本知识,我们可以更好地捍卫自己的数据安全。那么黑客在行动之前,通常会查询对方IP地址,IP地址定位查询网站很多,例如在东方联盟上,也可以查询指定IP的物理地址或域名服务器的IP和物理地址,及所在地区或城市,甚至精确到某个网吧,机房或学校等。


第1步:侦察

在此阶段,攻击者扩大了攻击选择范围,可以最大程度地实现其目标,窃取数据或商业机密,导致服务中断或窃取资金。攻击者部署了多种技术来找出组织采用的防御类型以及维护的程度。


步骤2:攻击

利用行动者在侦察阶段学到的知识,他们可以部署他们认为最有效的策略。但是,攻击有一些共同的要素。首先,攻击者必须渗透系统。最常见的做法是,他们通过鱼叉式网络钓鱼获得凭据,提升特权并分发恶意软件来掩盖自己的足迹。完成此操作后,攻击者可以自由地在未被检测到的网络中漫游,通常持续数月,等待并观察有价值的东西,寻找除筛选数据源之外的更多目标区域。


步骤3:渗透

渗透接下来是发生实际盗窃时的渗透。为了以最小的检测风险完成渗透,需要压缩数据,以便可以快速删除数据而不会引起太多关注。通过带宽限制,可以在不触发警报的情况下提取数据。被盗的数据被发送到黑客控制的服务器或基于云的数据源。


步骤4:保持位置

一旦执行了攻击并删除了数据,攻击者就需要确保所打击的组织不会对系统进行重新映像。否则,攻击将无法造成最大的破坏。这样,恶意攻击者可能会在多台计算机上安装恶意软件,以便他们拥有服务器的密钥,并可以在需要时重新进入网络。

了解以上步骤后,公司可以迅速采取措施进行补救。


来源:郭盛华博客 ,东方联盟IP地址定位查询网站:https://ip.vm888.com

通过郭盛华老师

物联网是怎么产生漏洞的?郭盛华告诉你

Hello,大家好,欢迎细品东方联盟创始人郭盛华的技术文章,今天我带大家了解一下物联网中的TCP / IP中的堆栈漏洞。

物联网设备极易受到TCP / IP网络通信体系结构中问题引起的攻击,破坏和缺陷的影响。以下是减轻风险所需了解的概述。

尽管物联网(IoT)引入了收集,管理和应用数据的出色方法,但它还是网络攻击的巨大载体。最大的漏洞之一在于嵌入式TCP / IP堆栈,该堆栈将应用程序,传输,网络和物理组件结合在一起。

从很多方面来看,这种架构从来都不是为物联网设计的。尽管工程师和开发人员已尝试修改TCP / IP堆栈并将其添加到扩展中(并且现在很多都是开源的),但环境的复杂性以及从未考虑过安全性的现实已引入了许多安全性挑战,以及现实世界中的问题。

为什么TCP / IP会对物联网构成威胁?
在最基本的级别上,TCP / IP体系结构使IoT设备可以与网络以及彼此通信。这些堆栈是开源的,大多数嵌入式设备和IoT模块制造商均可免费使用。

然后,物联网设备制造商从这些供应商那里购买已经嵌入了TCP / IP堆栈代码的芯片和模块,以创建物联网产品。

但是,这些制造商中的许多人并不知道他们的设备易受攻击,因为他们不了解成为物联网设备一部分的芯片和模块中使用了什么堆栈。而且,分析每个设备以查找和修补TCP / IP堆栈中的编程错误或其他问题是不可行或不具有成本效益的。

结果,所有设备都极易受到攻击,破坏和缺陷的攻击。这些可能会导致性能故障,数据丢失或损坏以及品牌损坏。它还会增加网络安全成本。

缺陷可以存在于商业和开源组件中。嵌入式组件可以包括片上系统(SoC),连接模块和OEM板。物联网设备可能跨越智能插头,智能手机,传感器和游戏机。OT系统包括访问控制,IP摄像机,协议网关和HVAC。网络和IT设备包括打印机,路由器和服务器。

因此,黑客攻击者可以使用远程代码执行(RCE)来控制目标设备,并使用DoS破坏功能并影响业务运营。攻击者还可以利用信息泄漏来获取潜在的敏感信息,并利用DNS缓存中毒将设备指向恶意网站。

组织如何解决TCP / IP堆栈漏洞的风险?
先处理TCP / IP堆栈漏洞的三个基本步骤:识别网络上的所有设备以了解哪些设备容易受到攻击;评估这些设备带来的风险,包括它们的业务背景,关键程度和Internet暴露程度;并减轻评估的风险。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

联合国安全漏洞暴露10万名员工记录

安全研究人员披露了一个漏洞,他们利用该漏洞来访问至少10万个属于联合国环境规划署(UNEP)员工的私人记录。

安全研究小组Sakura Samurai的一个小组在寻找影响联合国系统的漏洞时发现了该漏洞。他们在与联合国环境规划署和联合国国际劳工组织(ILO)相关的域中发现了暴露的Git目录和Git凭证文件;他们能够转储这些文件的内容并克隆存储库。

Git目录包含敏感文件,包括包含管理数据库凭据的WordPress配置文件。这些凭据使团队可以从多个系统访问至少100,000个联合国员工记录。提取的数据包括员工ID,姓名,员工组,旅行理由,开始和结束日期,批准状态,目的地以及停留时间。

研究人员还能够访问更多的联合国数据库,其中包含数千名联合国工作人员的广义员工记录,员工评估报告,项目资金来源记录以及人力资源的人口统计数据,包括国籍,性别和薪级。 

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

东方联盟郭盛华:坚定站在移动安全的最前沿

智能手机在创纪录的时间内已经从新颖变成了无处不在,现在大多数人都带着口袋里的互联网计算机走来走去,对于网络安全专业人员而言,保持领先的移动安全至关重要。

假如你是东方联盟学员,您将得到所有的学习内容,包括网络安全、渗透测试、软件开发、网站搭建、数据库等等知识。对于渗透测试人员,移动开发人员或热衷于学习移动应用程序和OS安全性,包括PHP+MYSQL都可以选择性学习,该课程都是理想的选择。

郭盛华主讲课程内容涉及各种PC及移动安全问题。黑客是如何隐秘地访问您的Android手机:绕过蓝牙身份验证将向您展示两种绕过蓝牙身份验证并获得配置文件访问权限的新方法。您将了解到新的,尚未公开的零日漏洞BlueRepli,以及了解黑客一种新的获取权限的攻防方法,黑客被盗的SMS验证码以及使用易受攻击的手机发送的虚假短信原理。

关于蓝牙漏洞问题,并查看其如何通过蓝牙扫描周围的Android手机以潜在地攻击它找到的任何Android手机。如果目标Android手机具有BlueRepli漏洞,则用户可以在不通知目标的情况下获取手机的通讯录和SMS消息,或发送伪造的文本消息。如果目标Android手机不受BlueRepli漏洞影响,则该工具可让用户伪装成众所周知的应用程序名称或其他令人困惑的名称,以欺骗目标,获得许可并可能达到相同的效果。

因此,移动安全是我们最前沿的知识,我们必须去了解。

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

郭盛华:物联网供应商Ubiquiti遭受数据泄露

该物联网公司表示,托管“某些” IT系统的云提供商受到了黑客攻击。

物联网和家庭Wi-Fi供应商Ubiquiti今天建议客户在发现其托管在云中的IT系统之一遭到破坏后,更改密码并启用多因素身份验证。

Ubiquiti表示:“我们目前尚不知道可以访问托管用户数据的任何数据库的证据,但是我们不能确定用户数据是否已经公开。”

东方联盟郭盛华透露:“该数据可能包括您的姓名,电子邮件地址和您的单向加密密码帐户(从技术角度讲,密码是经过Hash处理的)。”

来源:郭盛华博客,转载请注明出处

通过郭盛华老师

僵尸网络的危害:主要目标是Linux服务器和物联网设备

一个新的可蠕虫僵尸网络通过GitHub和Pastebin进行了传播,以在目标系统上安装加密货币矿工和后门程序,并且已经返回了具有扩展功能的功能,可以破坏Web应用程序,IP摄像机和路由器。

上个月初,研究人员记录了一个名为“ Gitpaste-12 ”的加密采矿活动,该活动使用GitHub托管包含多达12个已知攻击模块的恶意代码,这些恶意代码通过从Pastebin URL下载的命令执行。

根据研究人员的说法,第二波攻击始于11月10日,使用的是来自另一个GitHub存储库的有效负载,其中包括一个Linux加密矿工(“ ls”),该文件包含用于暴力破解的密码列表尝试(“get past”),以及针对x86_64 Linux系统的本地特权升级漏洞。

最初的感染通过X10-unix(一种用Go编程语言编写的二进制文件)进行,然后从GitHub下载下一阶段的有效负载。

分析中指出:“该蠕虫针对Web应用程序,IP摄像机,路由器等进行了一系列广泛的攻击,包括至少31个已知漏洞(在以前的Gitpaste-12示例中也发现了7个漏洞),并试图破坏开放Android Debug Bridge连接和现有的恶意软件后门程序”。

31个漏洞列表中包括F5 BIG-IP流量管理用户界面(CVE-2020-5902),Pi-hole Web(CVE-2020-8816),Tenda AC15 AC1900(CVE-2020-10987)中的远程代码漏洞和vBulletin(CVE-2020-17496),以及FUEL CMS中的SQL注入错误(CVE-2020-17463),这些都已在今年曝光。

值得注意的是,十月份发现了Mirai僵尸网络的新变体Ttint使用两个Tenda路由器零日漏洞(包括CVE-2020-10987)来传播能够执行拒绝攻击的远程访问木马(RAT)服务攻击,执行恶意命令并实现反向外壳以进行远程访问。

除了在机器上安装X10-unix和Monero加密挖掘软件之外,该恶意软件还打开了监听30003和30006端口的后门,将受害者的外部IP地址上传到私有Pastebin粘贴,并尝试连接到Android Debug Bridge连接在端口5555上。

成功连接后,它将继续下载Android APK文件(“ weixin.apk”),该文件最终将安装ARM CPU版本的X10-unix。

根据估计,总共发现了至少100个不同的宿主来传播感染,七成Linux服务器中招。

来源:东方联盟郭盛华博客,转载请注明出处

通过郭盛华老师

三招解决!电脑密码忘记了怎么办?新手都能学会

三招解决!电脑密码忘记了怎么办?新手都能学会

电脑密码忘记了,怎么重置密码呢?这个问题也许困扰了我们很多朋友。

今天告诉大家一个最简单的方法,新手都能学会,无需重装系统,三招解决!

U盘实战:可以到东方联盟论坛下载专版操作系统+老毛挑,制作好U盘引导,把U盘插入电脑。

所需工具:东方联盟专版操作系统+引导盘

具体方法如下:

第一步:设置U盘或光盘优先引导,我们首先进入BIOS。本人利用虚拟机演习(光盘引导),按F2进入BIOS界面,设置引导顺序先。

我们找到Boot项,进去后,我们会默认看到Hard Drive ,是硬盘引导的意思。把U盘和光盘引导放前面,让它优先读取。

第二步:引导成功后,我们选择08项

进入后,我们再选择01项清除密码

第三步:输入序号02,搜索SAM文件(存放密码的文件)

接下来,会自动搜索出SAM文件的位置,按回车键继续。

回车键后,我们可以看到已经扫描出两个帐号,administrator 是最高权限,我们在下面输入0,按回车键。

最后,按Y键,成功清除了电脑密码。

成功无密码进入系统了。

看完这个课程后,是不是觉得电脑密码太容易清除了?

想学习更多更专业的课程,可以关注我哦。

原创教程,转载请注明:郭盛华老师

通过郭盛华老师

解密:黑客如何监听电话?

据东方联盟研究报告:一种称为“ ReVoLTE ”的新攻击,该攻击可能使远程攻击者破坏VoLTE语音通话所使用的加密并监视目标电话。

该攻击没有利用LTE语音(VoLTE)协议中的任何漏洞;相反,它实际上利用了大多数电信提供商对LTE移动网络的弱实施,从而允许攻击者窃听目标受害者拨打的加密电话。

VoLTE或长期演进语音协议是用于移动电话和数据终端(包括物联网(IoT)设备和可穿戴设备)的标准高速无线通信,其部署了4G LTE无线电接入技术。

问题的症结在于,大多数移动运营商经常在一个无线连接内对两个后续呼叫使用相同的密钥流,以对电话和同一基站(即移动电话塔)之间的语音数据进行加密。

因此,新的ReVoLTE攻击利用了易受攻击的基站对相同密钥流的重用,从而使攻击者可以在以下情况下解密VoLTE供电的语音呼叫的内容。


要发起此攻击,攻击者必须与受害人连接到同一基站,并放置下行链路嗅探器,以监视和记录受害人对以后需要解密的其他人的“定向呼叫”,这是攻击的一部分。ReVoLTE攻击的第一阶段。

一旦受害者挂断了“目标呼叫”,通常要求攻击者立即在10秒内呼叫受害者,这将迫使易受攻击的网络在受害者和攻击者之间使用与先前使用的相同无线电连接发起新呼叫有针对性的致电。

当目标和密钥流调用使用相同的用户平面加密密钥时,会发生密钥流重用。由于每个新的无线连接都会更新此密钥,因此攻击者必须确保密钥流调用的第一个数据包在活动阶段之后到达活动阶段。

一旦建立连接,作为第二阶段的一部分,攻击者需要使受害者参与对话并以纯文本形式进行记录,
这将有助于攻击者以后反向计算后续调用所使用的密钥流,从而实施端到端的攻击。

来源:《微信公众号:郭盛华》原创文章,转载请注明出处