一周海外安全事件回顾(11.17–11.22)

2013-11-25 146476人围观 ,发现 12 个不明物体 头条资讯

面对勒索软件,要么像打飞机一样养成良好的上网习惯,要么像SB一样成为黑产的VIP客户。选择权在你。

CryptoLocker勒索软件。

何为勒索软件呢?可以想象这样一个场景。有一天,你突然发现你的很多文件不能打开了。然后,会看到这样一个倒数计时器,要求支付2比特币(约536英镑)的赎金以获得解密密钥。否则,你的那些文件再也打不开了(http://www.freebuf.com/articles/system/17847.html)。体会一下:

抱歉,你中招了,更直接一点说,你被勒索软件勒索了。

本周英国国家打击犯罪调查局(NCA)发布国家紧急警报,称一场大规模的垃圾邮件勒索事件。这些邮件中包含了一款名为CryptoLocker的勒索程序,把目标瞄准了1千万英国的email用户。该程序会加密用户的文档,然后要求用户提供赎金才恢复用户的正常访问。(http://www.freebuf.com/articles/system/17847.html)

据对大量中招者的调查发现,crytolocker 软件多伪装为快递公司,如UPS或FedEx。软件采用了2048位加密(意味着放弃破解这一暴力的招数吧),黑客自己保留私钥,把公钥发给收到感染的计算机上。隐藏为pdf文件,事实上文件采用了双扩展名(.pdf.exe)(http://readwrite.com/2013/11/08/cryptolocker-prevent-remove-eradicate#awesm=~oo0pSzpD9tKFB8)。文件往往是压缩文件,这意味着用户不仅需要下载这个文件,还要解压缩,还要运行它。

这也验证了不做死就不会死。

如何防范crytolocker 软件呢?这里,我权且像一位资深安全专家一样扯一下淡:

1)安装并及时更新杀毒软件。(其实多半没什么用)

2)提高防范社工的意识。别什么邮件都打开,什么附件都下载,什么文件打开。(这点真的很重要,打飞机都比上网时什么都要点一下更有意义,特别是你的邮件。)

3)平时注意备份一些关键的文档。(嗯,也很重要!这个习惯应该向打飞机一样养成)

当然,你也可以像一个SB一样认栽、掏钱。当然,这样做的结果是——可能你会成为黑客的VIP用户。

 

“行为主义者”的反击

“行为主义者”Anonymous(注:抱歉我不太喜欢用hacktivist或“黑客主义者”来称呼Anons)每周都在奉献着不同的题材。

Anonymous印度尼西亚的组织挂了澳政府警察和央行网站。作为对澳政府监听印尼总统、其妻和部长电话行为的抗议,一个自称“印尼网军”(Indonesian Cyber Army)的组织今天发动攻击,导致澳政府警察部门和央行网站不可访问。当然,类似这样的政治性攻击,其结果往往是适得其反。澳政府被打后说,黑客攻击不会改变澳政策,同时将追究攻击者责任(http://voiceofrussia.com/news/2013_11_21/Anonymous-attack-Australian-police-central-bank-websites-9797/)。

据路透社报道,本周FBI对美国政府发出警告,“匿名者”黑客团体已经秘密侵入美国政府多个机构的电脑中窃取敏感信息,他们的行动已持续了几近一年之久(http://www.freebuf.com/news/17579.html)。

OK,“行为主义者”也可以APT的哦。

 

悲催的网游行业

网络游戏行业也是每周安全事件评论的常客。这也许和笔者非常关注网游,并曾经深度沉迷于《传奇》的原因有关。当然,在安全这个大前提下,网游是一个相当悲催的行业。

沙盒类游戏TUG在Alpha版本测试时遭到DDoS攻击,玩家无法登录游戏(http://massively.joystiq.com/2013/11/15/tug-suffers-from-ddos-attack/)。游戏管理者在描述攻击的时候,采用了“relentless”(凶狠)这个词,可见当时攻击者破坏游戏测试的强烈意图。网络游戏遭受DDoS攻击是非常普遍的事,有玩家报复,也有竞争因素。

《战地4》服务器遭DDoS,玩家无法组队团战。在上周末打算联机组队打《战地4》的玩家一定会非常失望,因为游戏服务器不能提供正常的服务——服务器被DDoS攻击了。DICE官方证实了遭到DDoS攻击的事实,并发表了歉意。http://www.vg247.com/2013/11/18/battlefield-4-pc-servers-hampered-by-ddos-attack-this-weekend/

附图是《战地4》中中国军人的形象,其中女兵名叫韩娜。大家可以体会一下。实话讲,我觉得不怎么地。另外一个背着RPG的中国士兵倒是蛮酷的。


永远的APT,永远的天朝

本周,Fireeye称内存攻击(in-memory attack )呈明显上升势头(http://searchsecurity.techtarget.com/news/2240209511/FireEye-report-points-to-growing-significance-of-in-memory-attacks)。F“友商”称,内存攻击是当前APT的重要手段。当攻击者拿下网站后,利用浏览器的漏洞(IE 0day,微软躺枪)将名为“Hydraq/McRAT”的恶意代码下载到访问者计算机的内存中。下载成功后,这台计算机将成为任由摆布的僵尸,随时听候CC控制台的指令。

由于代码在内存中,要求攻击者的手一定要快,一旦计算机关机就意味着一切都白干了。当然,F“友商”提到了内存驻留攻击(memory-resident attack),即可以把恶意代码转存到目标本地的硬盘中,这样做的目的就像种了一粒种子,接下来。。。你懂得。

接下来吐下槽。如果Fireeye、Mandiant等“友好”厂商(以下简称“友商”)的文章看多,潜意识里会有这样一个公式:

APT = China

不知道是思维定势,还是中了什么魔法,这些“友商“在分析APT的时候,倒着倒着总能倒到天朝。

某S友商发现一个专门利用Ichitaro漏洞的木马(注:Ichitaro是日本非常流行的字处理软件)。安全人员对比利用微IE浏览器内存损坏的0day漏洞(CVE-2013-3893)和利用Ichitaro漏洞的木马,惊奇地发现,两个木马有很大的相似性。更为“震精”的是,木马代码和去年Mandiant公司发现的某APT攻击木马如出一辙。http://www.theregister.co.uk/2013/11/18/new_york_times_hackers_linked_to_japan_ichitaro_attacks/

看到Mandiant了,大家应该明白了——天朝再次躺枪。剩下的就不说了。

(Nov., 23,@blackscreen)

这些评论亮了

  • dealing 回复
    有个问题一直不明白,为啥fireeye一直在调查我大天朝的APT,国内没有发布对他们的调查。
    )9( 亮了
发表评论

已有 12 条评论

取消
Loading...
css.php