以色列8200部队是一支每年有50余名“电脑专家”加入、汇集了电脑精英的小部队。这个谜一样的部队在世界高技术领域已逐渐闻名,因为以色列保安行业推出的新技术和软件多出自他们之手,包括防火墙。
“8200部队”长期以来负责破译来自中东、亚洲、非洲以及欧洲地区的政府、国际机构、外国公司、政治团体以及个人的邮件及电话录音。
那一年“8200部队”获得了当年最成功的情报——在“六日战争”的第一天,就成功截获埃及总统纳赛尔和约旦国王侯赛因的高保密专线电话,从而详尽地了解己方战果以及敌方下一步计划。后来,以色列正式将这支部队命名为“中央情报搜集部队”,8200是其番号。
2010年此机构用蠕虫病毒Stuxnet成功让伊朗的浓缩铀设施瘫痪。2014年,以色列出口的网路安全产品价值超过60亿美元,首次超过军事硬件。在军事、商业和学术界高度一体化的以色列,8200是著名的商业品牌,是青年人才的孵化器。
以色列的8200部队相当于美国的NSA(国安局)或英国的政府通信总部,是以国防军中规模最大的独立军事单位,被情报专家认为是世界上令人生畏的网络间谍部队。8200部队功能内容包括公共领域信息分析、特工行动、特殊信号情报。它在地理上主要针对以色列之外,也包括巴勒斯坦领土。
8200部队的工作重点是数据挖掘,过滤海量信息,发现威胁邮件,或某种令人忧虑的恐怖组织招募模式。获得原始信息后,收集到的情报经过整理后存入数据库,分析人员需要寻找共同特性。大数据专家们称之为融合:解读多角度多途径获得的信息— 比如,用无人机、地面摄像头、或电话窃听装置获取的,关于同一个物体的信息。人类凭借他们五感和对背景的掌握,可以自然地完成类似工作,计算机则必须“学会”这一技能。一则情报或许是关于某人在一辆汽车中打电话,而另一则情报则是无人机摄像头所拍摄的这辆汽车。
两者结合起来,就形成一个信息基础。分析人员用数据挖掘算法整理这些“信息基础”,然后依据几百万次对话内容判断哪两个是相互关联的。用算法进行“数据压缩”,比如确定某监控目标每天在上午7点30分或下午4点打电话。将这些书籍和其他的情报进行匹配,当流程进入最后再人类干预。最终的结果大概是一次逮捕、一次无人机暗杀或一次军事行动。
8200部队是从所有在以色列参军服役的人中,通过严格的智商测试与综合能力测试筛选出来的“精英中的精英”,每年筛选出50至100人,不论出身和长相,只有通过严格的考试,被当做同龄人中智力水平最高,最有培养前途的那些人才有可能被安排进入“代表以色列最高水平的高科技情报部门”在实战中学习与服役。
曾攻击包括伊朗在内大部分中东地区互联网的“火焰”以及曾致瘫伊朗核设施的“震网”等病毒。
2013年6月19日,在第五届以色列总统大会期间,以色列前8200部队负责人Yair Coh在主题为“明日的战争:不再是科幻小说”的小组讨论发言中说,明日的战争胜负关键不再是靠传统的飞机和大炮,而是靠键盘操作网络系统和先进作战装备,对敌人的作战系统与阵地实施致命性摧毁与打击,使其瘫痪。”
来源:郭盛华博客,转载请注明出处
保护移动应用程序需要采用多层方法,并结合多种网络安全措施,以应对不同层次的各种攻击。
许多安全专家建议使用多重身份验证(MFA),以防止未经授权访问受保护的帐户。这是移动应用程序的一项关键安全措施,但不是灵丹妙药。黑客在克服MFA等第二层和第三层安全保护方面越来越擅长。 在说MFA的时候,我们先说一下MD5加密,如果你想把数据加密成32位密钥,你可以使用东方联盟的MD5在线加密工具,MD5信息摘要算法(MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
那么,黑客是如何绕过MFA的呢?例如Cerberus,这是一个木马,它滥用Android的“开发人员选项”和“启用未知来源”之类的可访问性功能来升级特权,启用远程访问并更新目标系统上的恶意软件。黑客对Google的身份验证流程进行了反向工程,并从移动应用程序中提取了两因素身份验证凭据,以模仿和绕过Google Authenticator。
另外,在今年早些时候,我们看到了Eventbot恶意软件的出现,该恶意软件针对移动银行应用程序,并且经常伪装成知名应用程序(例如Microsoft或Adobe)。它可以拦截SMS消息以获得用于帐户接管和数据盗窃的MFA代码。借助自动更新功能,不断出现更新,更复杂的变体。
这些只是一些著名的案例。黑客一直无时无刻地绕过MFA,通常使用以下常见技术来攻击移动应用程序。
逆向工程和篡改
黑客使用静态和动态分析来了解应用程序的工作方式并以多种方式更改应用程序。他们使用调试器和仿真器来观察应用程序在模拟环境中的功能。他们使用反汇编程序和反编译程序来获取源代码并了解其执行方式。对于黑客想要做的所有事情,都有五到十种工具可以免费使用。
利用这些工具提供的信息,黑客可以找出应用程序的弱点所在,然后进行攻击以利用这些弱点。例如,利用Ghidra,IDA等工具,黑客可以执行类转储并显示任何应用程序中的所有第三方库。然后,他们搜索公共数据源(例如MITRE)以查找那些库中的所有错误和漏洞,以便他们可以利用这些漏洞和攻击进行攻击。并且他们通过融合攻击技术来增强攻击能力。他们对应用程序了解的越多,他们可能造成的损失就越大。
为了显得更加合法,黑客通常会插入一个屏幕覆盖,这是用户认为他或她正在连接的网站的虚假副本。然后他们记录用户的击键,以拦截数据或诱使用户向他们透露信息。
数据提取和凭据盗窃
黑客会搜索存储在移动应用程序许多不同位置的未加密数据,例如应用程序沙箱,剪贴板,首选项,资源和字符串。移动应用程序还将身份验证令牌,cookie和用户凭据存储在共享存储区域中。黑客可以轻松提取这些数据,尤其是在未加密或混淆的情况下。
可靠的安全性需要分层防御。MFA比传统的用户名/密码模型进行身份验证要强大得多,我鼓励使用它。但这本身并不足够,缺乏应用程序/数据保护实际上可能会导致MFA受损。
来源:郭盛华博客,转载请注明出处 https://md5.vm888.com
通过了解网络攻击的基本知识,我们可以更好地捍卫自己的数据安全。那么黑客在行动之前,通常会查询对方IP地址,IP地址定位查询网站很多,例如在东方联盟上,也可以查询指定IP的物理地址或域名服务器的IP和物理地址,及所在地区或城市,甚至精确到某个网吧,机房或学校等。
第1步:侦察
在此阶段,攻击者扩大了攻击选择范围,可以最大程度地实现其目标,窃取数据或商业机密,导致服务中断或窃取资金。攻击者部署了多种技术来找出组织采用的防御类型以及维护的程度。
步骤2:攻击
利用行动者在侦察阶段学到的知识,他们可以部署他们认为最有效的策略。但是,攻击有一些共同的要素。首先,攻击者必须渗透系统。最常见的做法是,他们通过鱼叉式网络钓鱼获得凭据,提升特权并分发恶意软件来掩盖自己的足迹。完成此操作后,攻击者可以自由地在未被检测到的网络中漫游,通常持续数月,等待并观察有价值的东西,寻找除筛选数据源之外的更多目标区域。
步骤3:渗透
渗透接下来是发生实际盗窃时的渗透。为了以最小的检测风险完成渗透,需要压缩数据,以便可以快速删除数据而不会引起太多关注。通过带宽限制,可以在不触发警报的情况下提取数据。被盗的数据被发送到黑客控制的服务器或基于云的数据源。
步骤4:保持位置
一旦执行了攻击并删除了数据,攻击者就需要确保所打击的组织不会对系统进行重新映像。否则,攻击将无法造成最大的破坏。这样,恶意攻击者可能会在多台计算机上安装恶意软件,以便他们拥有服务器的密钥,并可以在需要时重新进入网络。
了解以上步骤后,公司可以迅速采取措施进行补救。
来源:郭盛华博客 ,东方联盟IP地址定位查询网站:https://ip.vm888.com
Hello,大家好,欢迎细品东方联盟创始人郭盛华的技术文章,今天我带大家了解一下物联网中的TCP / IP中的堆栈漏洞。
物联网设备极易受到TCP / IP网络通信体系结构中问题引起的攻击,破坏和缺陷的影响。以下是减轻风险所需了解的概述。
尽管物联网(IoT)引入了收集,管理和应用数据的出色方法,但它还是网络攻击的巨大载体。最大的漏洞之一在于嵌入式TCP / IP堆栈,该堆栈将应用程序,传输,网络和物理组件结合在一起。
从很多方面来看,这种架构从来都不是为物联网设计的。尽管工程师和开发人员已尝试修改TCP / IP堆栈并将其添加到扩展中(并且现在很多都是开源的),但环境的复杂性以及从未考虑过安全性的现实已引入了许多安全性挑战,以及现实世界中的问题。
为什么TCP / IP会对物联网构成威胁?
在最基本的级别上,TCP / IP体系结构使IoT设备可以与网络以及彼此通信。这些堆栈是开源的,大多数嵌入式设备和IoT模块制造商均可免费使用。
然后,物联网设备制造商从这些供应商那里购买已经嵌入了TCP / IP堆栈代码的芯片和模块,以创建物联网产品。
但是,这些制造商中的许多人并不知道他们的设备易受攻击,因为他们不了解成为物联网设备一部分的芯片和模块中使用了什么堆栈。而且,分析每个设备以查找和修补TCP / IP堆栈中的编程错误或其他问题是不可行或不具有成本效益的。
结果,所有设备都极易受到攻击,破坏和缺陷的攻击。这些可能会导致性能故障,数据丢失或损坏以及品牌损坏。它还会增加网络安全成本。
缺陷可以存在于商业和开源组件中。嵌入式组件可以包括片上系统(SoC),连接模块和OEM板。物联网设备可能跨越智能插头,智能手机,传感器和游戏机。OT系统包括访问控制,IP摄像机,协议网关和HVAC。网络和IT设备包括打印机,路由器和服务器。
因此,黑客攻击者可以使用远程代码执行(RCE)来控制目标设备,并使用DoS破坏功能并影响业务运营。攻击者还可以利用信息泄漏来获取潜在的敏感信息,并利用DNS缓存中毒将设备指向恶意网站。
组织如何解决TCP / IP堆栈漏洞的风险?
先处理TCP / IP堆栈漏洞的三个基本步骤:识别网络上的所有设备以了解哪些设备容易受到攻击;评估这些设备带来的风险,包括它们的业务背景,关键程度和Internet暴露程度;并减轻评估的风险。
来源:郭盛华博客,转载请注明出处
安全研究人员披露了一个漏洞,他们利用该漏洞来访问至少10万个属于联合国环境规划署(UNEP)员工的私人记录。
安全研究小组Sakura Samurai的一个小组在寻找影响联合国系统的漏洞时发现了该漏洞。他们在与联合国环境规划署和联合国国际劳工组织(ILO)相关的域中发现了暴露的Git目录和Git凭证文件;他们能够转储这些文件的内容并克隆存储库。
Git目录包含敏感文件,包括包含管理数据库凭据的WordPress配置文件。这些凭据使团队可以从多个系统访问至少100,000个联合国员工记录。提取的数据包括员工ID,姓名,员工组,旅行理由,开始和结束日期,批准状态,目的地以及停留时间。
研究人员还能够访问更多的联合国数据库,其中包含数千名联合国工作人员的广义员工记录,员工评估报告,项目资金来源记录以及人力资源的人口统计数据,包括国籍,性别和薪级。
来源:郭盛华博客,转载请注明出处
该物联网公司表示,托管“某些” IT系统的云提供商受到了黑客攻击。
物联网和家庭Wi-Fi供应商Ubiquiti今天建议客户在发现其托管在云中的IT系统之一遭到破坏后,更改密码并启用多因素身份验证。
Ubiquiti表示:“我们目前尚不知道可以访问托管用户数据的任何数据库的证据,但是我们不能确定用户数据是否已经公开。”
东方联盟郭盛华透露:“该数据可能包括您的姓名,电子邮件地址和您的单向加密密码帐户(从技术角度讲,密码是经过Hash处理的)。”
来源:郭盛华博客,转载请注明出处
一个新的可蠕虫僵尸网络通过GitHub和Pastebin进行了传播,以在目标系统上安装加密货币矿工和后门程序,并且已经返回了具有扩展功能的功能,可以破坏Web应用程序,IP摄像机和路由器。
上个月初,研究人员记录了一个名为“ Gitpaste-12 ”的加密采矿活动,该活动使用GitHub托管包含多达12个已知攻击模块的恶意代码,这些恶意代码通过从Pastebin URL下载的命令执行。
根据研究人员的说法,第二波攻击始于11月10日,使用的是来自另一个GitHub存储库的有效负载,其中包括一个Linux加密矿工(“ ls”),该文件包含用于暴力破解的密码列表尝试(“get past”),以及针对x86_64 Linux系统的本地特权升级漏洞。
最初的感染通过X10-unix(一种用Go编程语言编写的二进制文件)进行,然后从GitHub下载下一阶段的有效负载。
分析中指出:“该蠕虫针对Web应用程序,IP摄像机,路由器等进行了一系列广泛的攻击,包括至少31个已知漏洞(在以前的Gitpaste-12示例中也发现了7个漏洞),并试图破坏开放Android Debug Bridge连接和现有的恶意软件后门程序”。
31个漏洞列表中包括F5 BIG-IP流量管理用户界面(CVE-2020-5902),Pi-hole Web(CVE-2020-8816),Tenda AC15 AC1900(CVE-2020-10987)中的远程代码漏洞和vBulletin(CVE-2020-17496),以及FUEL CMS中的SQL注入错误(CVE-2020-17463),这些都已在今年曝光。
值得注意的是,十月份发现了Mirai僵尸网络的新变体Ttint使用两个Tenda路由器零日漏洞(包括CVE-2020-10987)来传播能够执行拒绝攻击的远程访问木马(RAT)服务攻击,执行恶意命令并实现反向外壳以进行远程访问。
除了在机器上安装X10-unix和Monero加密挖掘软件之外,该恶意软件还打开了监听30003和30006端口的后门,将受害者的外部IP地址上传到私有Pastebin粘贴,并尝试连接到Android Debug Bridge连接在端口5555上。
成功连接后,它将继续下载Android APK文件(“ weixin.apk”),该文件最终将安装ARM CPU版本的X10-unix。
根据估计,总共发现了至少100个不同的宿主来传播感染,七成Linux服务器中招。
来源:东方联盟郭盛华博客,转载请注明出处
据东方联盟研究报告:一种称为“ ReVoLTE ”的新攻击,该攻击可能使远程攻击者破坏VoLTE语音通话所使用的加密并监视目标电话。
该攻击没有利用LTE语音(VoLTE)协议中的任何漏洞;相反,它实际上利用了大多数电信提供商对LTE移动网络的弱实施,从而允许攻击者窃听目标受害者拨打的加密电话。
VoLTE或长期演进语音协议是用于移动电话和数据终端(包括物联网(IoT)设备和可穿戴设备)的标准高速无线通信,其部署了4G LTE无线电接入技术。
问题的症结在于,大多数移动运营商经常在一个无线连接内对两个后续呼叫使用相同的密钥流,以对电话和同一基站(即移动电话塔)之间的语音数据进行加密。
因此,新的ReVoLTE攻击利用了易受攻击的基站对相同密钥流的重用,从而使攻击者可以在以下情况下解密VoLTE供电的语音呼叫的内容。
要发起此攻击,攻击者必须与受害人连接到同一基站,并放置下行链路嗅探器,以监视和记录受害人对以后需要解密的其他人的“定向呼叫”,这是攻击的一部分。ReVoLTE攻击的第一阶段。
一旦受害者挂断了“目标呼叫”,通常要求攻击者立即在10秒内呼叫受害者,这将迫使易受攻击的网络在受害者和攻击者之间使用与先前使用的相同无线电连接发起新呼叫有针对性的致电。
当目标和密钥流调用使用相同的用户平面加密密钥时,会发生密钥流重用。由于每个新的无线连接都会更新此密钥,因此攻击者必须确保密钥流调用的第一个数据包在活动阶段之后到达活动阶段。
一旦建立连接,作为第二阶段的一部分,攻击者需要使受害者参与对话并以纯文本形式进行记录,
这将有助于攻击者以后反向计算后续调用所使用的密钥流,从而实施端到端的攻击。
来源:《微信公众号:郭盛华》原创文章,转载请注明出处
网络安全研究人员今天披露了一种新型的模块化后门程序,该后门程序针对Oracle的销售点(POS)餐馆管理软件,以试图窃取存储在设备中的敏感支付信息。
后门称为“ ModPipe”,影响Oracle MICROS饭店企业系列(RES)3700 POS系统,这是饭店和酒店业广泛使用的软件套件,可以有效地处理POS,库存和人工管理。大部分已确定的目标主要位于美国。
ESET研究人员在分析中说:“使后门程序与众不同的是它的可下载模块及其功能,因为它包含一个自定义算法,旨在通过从Windows注册表值解密来收集RES 3700 POS数据库密码。
“经过筛选的凭据使ModPipe的操作员可以访问数据库内容,包括各种定义和配置,状态表以及有关POS交易的信息。”
值得注意的是,在RES 3700中,诸如信用卡号和有效期之类的详细信息受到加密屏障的保护,从而限制了可能被进一步滥用的有价值的信息量,尽管研究人员认为,攻击背后的参与者可能拥有第二个可下载模块解密数据库的内容。
ModPipe基础结构由一个初始删除程序组成,该删除程序用于安装持久性加载程序,然后将其解压缩并加载下一阶段的有效负载,该有效负载是主要的恶意软件模块,用于与其他“可下载”模块以及命令和控制( C2)服务器通过独立的网络模块。
可下载模块中的主要组件包括“ GetMicInfo”,该组件可以使用特殊算法来拦截和解密数据库密码,ESET研究人员认为,可以通过对密码库进行反向工程或利用获得的加密实现细节来实现该功能在2016年Oracle MICROS POS部门发生数据泄露之后。
第二个模块称为“ ModScan 2.20”,用于收集有关已安装的POS系统的其他信息(例如,版本,数据库服务器数据),而另一个名为“ Proclist”的模块则收集有关当前正在运行的进程的详细信息。
研究人员说:“ ModPipe的体系结构,模块及其功能也表明其编写者对目标RES 3700 POS软件具有广泛的了解。” “运营商的熟练程度可能来自多种情况,包括窃取专有软件产品并对其进行反向工程,滥用其泄漏的零件或从地下市场购买代码。”
建议使用RES 3700 POS的酒店行业的企业更新到该软件的最新版本,并使用运行底层操作系统更新版本的设备。
来源:郭盛华博客,转载请注明出处
一名黑客(hacker)是一个喜欢用智力通过创造性方法来挑战脑力极限的人,特别是他们所感兴趣的领域,例如电脑编程或电气工程。
黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。但在媒体报道中,黑客一词往往指那些“软件骇客”(software cracker)。
黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。
但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。
黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。
黑客一词一般有以下四种意义:
一个对(某领域内的)编程语言有足够了解,可以不经长时间思考就能创造出有用的软件的人。
一个恶意(一般是非法地)试图破解或破坏某个程序、系统及网络安全的人。这个意义常常对那些符合条件的黑客造成严重困扰,他们建议媒体将这群人称为“骇客”(cracker)。有时这群人也被叫做“黑帽黑客”。
一个试图破解某系统或网络以提醒该系统所有者的系统安全漏洞。这群人往往被称作“白帽黑客”或“匿名客”(sneaker)或红客。许多这样的人是电脑安全公司的雇员,并在完全合法的情况下攻击某系统。
来源:郭盛华博客,转载请注明出处