Browsing: 安全客安全资讯平台

  背景介绍 2019年10月25号,360Netlab未知威胁检测系统发现一个可疑的ELF文件(80c0efb9e129f7f9b05a783df6959812)。一开始,我们以为这是在我们发现的Unknown Botnet中比较平凡的一个,并且在那时候VirusTotal上有2款杀毒引擎能够识别。当我们关联分析它的相关样本特征和IoC时,我们发现这个案例跟Lazarus Group有关,并决定深入分析它。 目前,业界也从未公开过关于Lazarus Group针对Linux平台的攻击样本和案例。通过详细的分析,我们确定这是一款功能完善,行为隐蔽并适用于Windows和Linux平台的RAT程序,并且其幕后攻击者疑似Lazarus Group。 事实上,这款远程控制软件相关样本早在2019年5月份就已经出现,目前在VirusTotal上显示被26款杀毒软件厂商识别为泛型的恶意软件,但它还是不为人所知,我们也没有找到相关分析报告。所以,我们会详细披露它的一些技术特征,并根据它的文件名和硬编码字符串特征将它命名为Dacls。   Dacls 概览 Dacls是一款新型的远程控制软件,包括Windows和Linux版本并共用C2协议,我们将它们分别命名为Win32.Dacls和Linux.Dacls。它的功能模块化,C2协议使用TLS和RC4双层加密,配置文件使用AES加密并支持C2指令动态更新。其中Win32.Dacls的插件模块是通过远程URL动态加载,而Linux版本的插件是直接编译在Bot程序里。我们已经确认在Linux.Dacls中包含6个插件模块:执行命令,文件管理,进程管理,测试网络访问,C2连接代理,网络扫描。 如何关联上 Lazarus Group ⾸先,我们通过样本80c0efb9e129f7f9b05a783df6959812中的硬编码字符串特征 c_2910.cls和k_3872.cls,在VirusTotal上找到了5个样本,我们从这些样本代码和相同的C2指令码上可以确认它们是同⼀套RAT程序,并且分别适⽤于Windows和Linux平台。 其中⼀个Win32.Dacls样本6de65fc57a4428ad7e262e980a7f6cc7,它的下载地址为https://thevagabondsatchel.com/wp-content/uploads/2019/03/wm64.avi,在VirusTotal社区⽤户@raeezabdulla留⾔中将它标记为Lazarus Group,并引⽤了⼀篇报告《CES Themed…

2019年12月13至14日,第八届全国网络与信息安全防护峰会(XDef2019)在湖北武汉隆重举行。全国网络与信息安全防护峰会以“对话、交流、合作”为宗旨,以“前沿、实用、人才”为特色。本届峰会的主题为“突破核心,网络强国”,将聚焦探讨网络与信息安全防护热点问题,展现大学生优秀信息安全作品及企业优秀安全产品、发现和聚集优秀信息安全人才,增强交流,以促进国内信息安全力量的密切合作,有效推动我国的网络与信息安全防护工作。 本届峰会由公安部网络安全保卫局、国家计算机网络应急技术处理协调中心、教育部高等学校网络空间安全专业教学指导委员会指导,由武汉大学国家网络安全学院和信息保障技术重点实验室联合承办,武汉大学计算机学院协办。 12月13日,第八届全国网络与信息安全防护峰会(xdef2019)开幕式在武汉光谷金盾大酒店举行,大会主席武汉大学张焕国教授致开幕辞,教育部高等学校信息安全专业教学指导委员会秘书长封化民教授致辞。出席开幕式的嘉宾有:公安部网络安全保卫局处长盘冠员、北京邮电大学教授 周琳娜、清华大学微电子学研究所长聘教授/博导 刘雷波、武汉大学国家网络安全学院院长助理杜瑞颖、武汉大学国家网络安全学院教授 彭国军、360Vulcan团队负责人陈雪斌(古河)及其他安全企业代表。 360公司作为武汉大学多年的合作伙伴,共同举办了本届全国网络与信息安全防护峰会。360 Vulcan团队负责人陈雪斌(古河)、360攻防产品事业部总经理张锦章、360网络安全大学总经理姜思红、360网络安全大学校企合作部总监吕沐阳参与本次峰会。 在13日特邀报告上, 360 Vulcan团队负责人陈雪斌(古河)以《“漏洞、赏金和竞赛”–职业漏洞研究团队甘苦谈》为主题进行演讲,基于Vulcan团队实际经验,介绍了在漏洞挖掘研究、漏洞赏金项目、漏洞赛事等方面的一些经验和成果,其中涉及浏览器、操作系统、移动平台、区块链、虚拟化等方向的相关漏洞和案例介绍,希望能够借此一窥0day漏洞攻防领域的趋势和方向。 古河谈到,漏洞是网络攻击的重要资源,0day漏洞就是威胁最大的资源,捕获0day漏洞攻击的能力是今天网络防护的关键点。看不见的攻击才是最可怕的。0day漏洞攻击不可预知、极难防御,是威胁网络安全的“隐形杀手”。在网络安全领域,360是最有实力实现“看见”的公司,基于360安全大脑和强大的智能决策响应能力能及时有效捕获0day/Nday漏洞攻击,防范网络攻击于未然。作为360公司旗下一支专门从事安全漏洞研究的团队,360Vulcan从创立之日起就专注于最先端的0day漏洞安全研究。团队这些年来发现了大量的0day漏洞,并多次参与了各类使用0day的pwn类型比赛,以及各大厂商自己的漏洞赏金项目。 我国国内的网络安全制度建设、标准体系建设、技术保障体系建设步伐加快,网络安全人才作为基础支撑,在各行业的人才招聘市场上愈显“紧俏”。内部业务的数字化、外部监管合规压力倍增,都催生国内政企机构对网络安全人才的需求持续增长。 网络安全体系的建设离不开完善的网络安全人才培养体系,而网络安全人才培养究竟如何落实未来如何全面实现?这一热门问题也成为网络安全人才培养论坛探讨的重点。 在12月14日的网络空间安全人才培养论坛上,360网络安全大学校企合作部总监吕沐阳就深入打造体系化网络安全产业人才培养模式发表主题演讲时指出,在网络安全体系建设的大环境下,人才是最薄弱的环节,网络安全人才的培养必须将理论与实际相结合,360网络安全大学依托公司在网络安全技术领域十余年深耕以及网安人才选拔与培养方面的丰富经验,打造出一整套与行业需求相匹配的人才培养及认证体系。 构建全年龄段的终身教育体系,建立青少年网络安全科普基地,打造以技能培养、技能认证以及后期就业的综合人才培养闭环。同时积极推进校企合作,促进高校和企业的资源整合,共建网络安全实训环境与网络安全人才基地、与各高校共建网络空间安全专业和网络安全学院。目前已与包括清华大学、北京大学、中国科学院在内的近百所国内知名高校达成合作。 今年360公司举办了2019年度360杯网络安全职业技能大赛(3CTF2019),覆盖872所高校、504家企业参与,上万选手参赛,为我国网络安全人才培养提供推动力。同时360网络安全大学积极推进360网络安全职业技能认证,今年第一届360网络安全职业认证考试,报名近万人,已超千人在360网络安全技能认证体系中获益,而360自主研发的360网络空间安全攻防演练创新实训平台与安全攻防竞赛平台将继续为人才培养助力,360公司还结合行业内百家公司为网络安全人才提供实习岗位和就业机会。 12月14日,在主题为网络靶场建设与网安人才培养的研讨会中,360攻防产品事业部总经理张锦章就网络靶场建设与网安人才培养提出了看法,针对网络靶场360目前有2个方向,一方面是针对人才培养和能力提升的,包括网络安全实训平台和竞赛平台,可以帮助高校来提升学生在网络安全方面的能力;另一方面是针对我国关键基础设施防护的能力的提升,包括实网攻防靶场和虚拟网络靶场。 人才培养不仅要基于理论知识的学习,还要在真实场景中做反复的历练和实践,而网络靶场则成为培养、检验人才的“最佳实践”。360网络空间安全攻防演练实训平台以虚拟化技术为基础,以仿真实训教学为核心,塑造专业化的岗位实践技能,着力为网络安全人才培养提供高效、便捷的教学实践环境。 没有强大的网络安全产业,国家网络安全就缺乏有效的支撑。360网络安全大学会积极营造有利于网络安全产业和网络安全企业发展的政策环境、人才培养体系和产学研基地,助力网络强国建设,坚决捍卫祖国的网络安全防线。…

  编译:奇安信代码卫士团队 TP-Link 修复了影响 Archer 路由器的某些严重漏洞 CVE-2019-7405,可导致潜在攻击者绕过管理员密码并远程控制经由 Telnet 连接控制的设备。 IBM X-Force Red 团队的研究员 Grzegorz Wypych 表示,“该服务器漏洞如遭利用可导致远程攻击者控制通过局域网 Telnet 连接的路由器配置,并通过局域网或广域网连接到文件传输协议 (FTP)。” 要利用该漏洞,攻击者发送的 HTTP 请求中的字符类型的字符串长度大于所允许的字节数,结果会导致用户密码完全失效并被空值取代。 尽管存在内置验证,但结果依然如此,因为内置验证仅会检查引用的 HTTP 标头,导致攻击者通过使用硬编码的 tplinkwifi.net值诱骗路由器的 httpd 服务认为请求是合法的。   完全接管 由于这些路由器上的唯一用户类型是具有完整 root 权限的 admin,因此一旦威胁人员绕过认证进程,就会自动获取对路由器的管理员权限。之后,“所有在该权限级别下运行的进程就会导致攻击者以管理员权限运行并接管设备。” Wypych 表示,“攻击者不仅能够获得访问特权,合法用户也可被锁定并无法通过用户接口登录到 web 服务,因为该页面无法接受任何密码(用户毫无察觉)。在这种情况下,受害者将丢掉控制台的访问权限甚至是 shell,因此无法重新输入新密码。” 更糟糕的是,即使路由器所有人将设置新密码,攻击者也可通过 LAN/WAN/CGI 请求使其无效,导致和内置 FTP 服务器的 USB 连接成为唯一的访问方法。 另外,RSA 密钥也将自动失败,因为它无法针对空密码起作用。 Wypych 解释称,“该缺陷为严重级别,因为它可授予未授权第三方访问路由器的管理员权限,而且这种权限默认适用于所有用户而无需正确的认证。” 他指出,“它对企业造成的风险更大。企业中的这类路由器可被用于启用 guest WiFi。如果被放置到企业网络,遭攻陷的路由器可成为攻击者的入口点以及成为侦察和横向移动技巧的跳转点。” 具体技术细节见:https://securityintelligence.com/posts/tp-link-archer-router-vulnerability-voids-admin-password-can-allow-remote-takeover/  …