網站內容來源http://server.it168.com/

針對新型進程注入技術Ctrl-Inject原理分析

2018-05-15 09:45    來源：安全客 　作者: Rotem Kerner　編輯:
0購買

　　概述

在本文中，我們將主要介紹一種新型的進程注入方法，我們稱之為“Ctrl-Inject”，它利用控制台應用程序中處理Ctrl信號的機制實現注入。在研究的過程中，我們在瀏覽MSDN時發現有一條關於Ctrl信號處理的相關評論：“這是一個與SetConsoleCtrlHandler函數( https://docs.microsoft.com/en-us/windows/console/setconsolectrlhandler )一起使用的函數，由應用程序定義。控制台進程使用此函數來處理進程收到的控制信號。當收到信號后，系統會在進程中啟動一個新的線程來執行該函數。”這也就意味着，每次我們觸發一個信號到一個基於控制台的進程時，系統都會調用一個在新線程中調用的處理函數。正因如此，我們可以藉助這一特點，來實現一個不同於以往的進程注入。

　　控制信號處理

當用戶或進程向基於控制台的進程(例如cmd.exe或powershell.exe)發送Ctrl + C(或Break)信號時，系統進程csrss.exe將會在目標進程中創建一個新的線程來調用函數CtrlRoutine。CtrlRoutine函數負責包裝使用SetConsoleCtrlHandler的處理程序。接下來，我們深入研究一下CtrlRoutine，首先注意到了下面這段代碼：

該函數使用名為HandlerList的全局變量來存儲回調函數列表，在該函數中會循環執行，直到其中一個處理程序返回TRUE(通知該信號已被處理)為止。為了使處理程序成功執行，它必須滿足以下條件：1、函數指針必須正確編碼。處理程序列表中的每個指針都使用RtlEncodePointer進行編碼，並在執行之前使用RtlDecodePointer API進行解碼。因此，未經編碼的指針很有可能會導致程序崩潰。2、指向有效的CFG(Control Flow Guard，控制流防護)目標。CFG通過驗證間接調用的目標是否為有效函數，來嘗試對間接調用進行保護。我們來看一下SetConsoleCtrlHandle，看看它如何設置一個Ctrl處理程序，以便我們以後可以模仿其方式。在下圖中，我們可以看到各個指針在添加到HandlerList之前是如何編碼的。

接下來，我們看到了一個名為SetCtrlHandler的內部函數調用。該函數更新了兩個變量：一個是HandlerList，用於添加一個新的指針;另一個全局變量是HandlerListLength，增加了它的長度以適應新的列表大小。

現在，由於HandlerList和HandlerListLength變量駐留在kernelbase.dll模塊中，並且該模塊會映射到所有進程的相同地址，所以我們可以在進程中找到它們的地址，然後使用WriteProcessMemory在遠程進程中更新它們的值。我們的工作還沒有完成，考慮到CFG和指針編碼的存在，我們需要找到一種方法來繞過它們。

　　繞過指針編碼

在Windows 10之前的版本中，我們需要理解指針編碼、解碼的工作原理，從而應對指針編碼保護。接下來，我們一起深入了解一下EncodePointer的工作原理。

開始，存在一個對NtQueryInformationProcess的調用，其定義如下：

NTSTATUS WINAPI NtQueryInformationProcess(

_In_HANDLE ProcessHandle,

_In_PROCESSINFOCLASS ProcessInformationClass,

_Out_ PVOIDProcessInformation,

_In_ULONGProcessInformationLength,

_Out_opt_ PULONG ReturnLength

);

根據上述定義，我們可以做出以下假設：1、ProcessHandle：當傳遞-1的值時，它代表引用調用進程的函數。2、ProcessInformationClass：該參數的值為0x24，這是一個未公開的值，要求內核檢索進程加密Cookie。Cookie本身駐留在EPROCESS結構中。在檢索加密Cookie后，我們可以看到幾個涉及輸入指針和加密Cookie的操作。具體為：

EncodedPointer = (OriginalPointer ^ SecretCookie) >> (SecretCookie & 0x1F)

一種繞過的方法，是使用CreateRemoteThread執行RtlEncodePointer，並將NULL作為參數傳遞給它，如下所示：1) EncodedPointer = (0 ^ SecretCookie) >> (SecretCookie & 0x1F)2) EncodedPointer = SecretCookie >> (SecretCookie & 0x1F)這樣一來，返回值將被Cookie旋轉的值增加到31倍(在64位Windows 10環境上該值為63，即0x3f)。如果我們在目標進程上使用已知的編碼地址，就能夠暴力猜測出原始Cookie值。以下代碼展示了如何對Cookie進行暴力猜測：

在Windows 10及以上版本中，微軟非常慷慨地為我們提供了一組新的API，稱為RtlEncodeRemotePointer和RtlDecodeRemotePointer。顧名思義，我們傳遞一個進程句柄和一個指針，該API將會為目標進程返回一個有效的編碼后指針。此外，還有另一種提取Cookie的技術，請參考： https://github.com/changeofpace/Remote-Process-Cookie-for-Windows-7/blob/master/Remote%20Process%20Cookie%20for%20Windows%207/main.cpp 。

　　繞過CFG

到目前為止，我們已經將我們的代碼注入到目標進程，並修改了HandlerList和HandlerListLength的值。如果我們現在嘗試發送Ctrl+C信號來觸發代碼，該進程會引發異常，最終自行終止。其原因在於，CFG會注意到我們正在嘗試跳轉到一個非有效調用目標的指針。幸運的是，微軟對我們一直非常友善，他們發布了另外一個有用的API，名為SetProcessValidCallTargets。

WINAPI SetProcessValidCallTargets(

_In_HANDLEhProcess,

_In_PVOID VirtualAddress,

_In_SIZE_TRegionSize,

_In_ULONG NumberOfOffsets,

_Inout_ PCFG_CALL_TARGET_INFO OffsetInformation

);

簡而言之，我們傳遞進程句柄和指針后，該API會將其設置為有效的調用目標。此外，如果使用我們此前介紹過的( https://blog.ensilo.com/documenting-the-undocumented-adding-cfg-exceptions )未記錄的API也可以實現這一點。

　　觸發Ctrl+C事件

現在一切準備就緒，我們需要做的就是在目標進程上觸發Ctrl + C，以調用我們的代碼。有幾種方法可以觸發它。在這種情況下，我們可以使用SendInput的組合，來觸發系統範圍的Ctrl鍵按鍵，以及用於發送C鍵的PostMessage。同樣，也適用於隱藏或不可見的控制台窗口。以下是觸發Ctrl-C信號的函數：

　　揭秘底層

從實質上來說，在這個進程注入技術中，我們將代碼注入到目標進程中，但是我們從不直接調用它。也就是說，我們從來沒有自己調用CreateRemoteThread或使用SetThreadContext改變執行流。相反，我們正在讓csrss.exe為我們調用它，這樣一來就顯得是一個正常的行為，不會被懷疑。其原因在於，每次將Ctrl + C信號發送到基於控制台的應用程序時，conhost.exe會調用類似於調用堆棧的內容，如下所示：

其中，CsrClientCallServer會傳遞一個唯一索引標識符(0x30401)，然後將其傳遞給csrss.exe服務。在其中，會從調度表中調用一個名為SrvEndTask的函數。調用鏈具體如下：

在這個調用鏈的最後，我們看到了RtlCreateUserThread，它負責在目標進程上執行我們的線程。注意：儘管Ctrl-Inject技術僅針對於控制台應用程序，但也可能會在很多控制台應用程序上被濫用，最值得注意的就是cmd.exe。

　　總結

現在，我們已經了解了這個新型的進程注入方法，掌握了該方法的工作原理以及其背後到底發生了什麼。在最後，我們可以總結一下Ctrl-Inject技術。這種技術與傳統線程注入技術相比，主要優點是遠程線程是由可信的Windows進程csrss.exe創建，這使得它得隱蔽性更強。但同樣存在缺點，就是這種方法僅適用於控制台應用程序。

要進行這種進程注入技術，所需的步驟如下：1、將OpenProcess附加到控制台進程。2、通過調用VirtualAllocEx，為惡意負載分配一個新的緩衝區。3、使用WriteProcessMemory將數據寫入分配的緩衝區。4、使用目標進程cookie將指針指向指定的緩衝區。通過調用帶有空指針的RtlEncodePointer並手動編碼指針或通過調用RtlEncodeRemotePointer來實現。5、通知遠程進程，新指針是可以使用SetProcessValidCallTargets的有效指針。6、最後，使用PostMessage和SendInput的組合觸發Ctrl + C信號。7、恢復原始處理程序列表。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

針對新型進程注入技術Ctrl-Inject原理分析

網站內容來源http://server.it168.com/

一圖讀懂：新華三安全風險態勢感知系統

2017-12-11 14:38    原創 　作者: 閆志坤　編輯:
0購買

【IT168 技術】IDC與新華三聯合發布的《網絡安全風險態勢感知系統》白皮書研究表明，利用大數據分析及認知系統等相關技術，構建網絡安全風險態勢感知系統，並將主動安全防禦體系中各個組件有機結合在一起，才能使構建智能的主動安全防禦體系得以實現。

 

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

一圖讀懂：新華三安全風險態勢感知系統

網站內容來源http://server.it168.com/

Huntpad:為滲透測試人員設計的Notepad應用

2018-05-21 09:45    來源：FreeBuf.COM 　作者: Alpha_h4ck編譯　編輯:
0購買

今天給大家推薦的是一款名叫Huntpad的Notepad應用程序，Huntpad由Syhunt公司開發，這是一款專為滲透測試人員以及漏洞hunter們提供的實用程序，它自帶了一套常用注入字符串生成器、哈希生成器、編碼器、解碼器以及HTML和文本修改功能等等，而且還支持多種編程語言的代碼高亮。

　　工具下載

Huntpad：

　　工具介紹

Huntpad從Syhunt Sandcat的QuickInject插件中借鑒了很多功能，跟QuickInject類似，Huntpad的核心任務也集中在文件包含漏洞、XSS漏洞和SQL注入漏洞的身上，並且還帶有下列額外的附加功能：

1. 代碼高亮：支持HTML、JavaScript、CSS、XML、PHP、Ruby、SQL、Pascal、Perl、Python和VBScript。

　2. SQL注入功能：

a) 過濾器繞過：特定數據庫字符串轉義(CHAR&CHR)，將字符串轉換為引用字符串，將空格轉義為註釋標籤或換行。

b) 過濾器繞過(MySQL)：字符串拼接，百分號混淆，整形替換。(例如：’26′轉換為’ceil(pi()*pi())*(!!!pi()+true)+ceil(@@version)’)

c) UNION語句生成。

d) 針對MySQL、MSSQL、Oracle及PostgreSQL等多款數據庫實現快速注入。

　　3. 文件包含：

a) 快速Shell代碼上傳及生成。

b) PHP字符串轉義(chr)。

　　4. 跨站腳本XSS功能：

a) 過濾器繞過：JavaScript字符串轉義(String.fromCharCode)，CSS轉義。

b) 提供了各種用於測試XSS漏洞的測試語句(alert語句)。

　　5. 哈希功能：

a) 哈希生成器：MD5, SHA-1, SHA-2 (224, 256, 384 & 512), GOST, HAVAL (various),MD2, MD4, RIPEMD (128, 160, 256 & 320), Salsa10, Salsa20, Snefru (128 &256), Tiger (various) & WHIRLPOOL

　　6. 編碼器/解碼器：

a) URL編碼/解碼。

b) 十六進制編碼/解碼：將字符串或整形值轉換為十六進制(支持多種輸出格式)。

c) Base64編碼/解碼。

d) CharCode轉換：將字符串轉換為charcode(例如’abc’轉換為’97,98,99′)。

e) IP混淆：將IP地址轉換為dword或十六進制值。

f) JavaScript編碼：類似JJEncode。

　　7. HTML功能：

a) HTML轉義。

b) HTML實體編碼/解碼：十進制和十六進制HTML實體編碼/解碼。

c) JavaScript字符串轉義。

　　8. 文本修改功能：大小寫轉換、字符串反向操作、添加/替換斜杠等。

　　9. 基於時間的盲注代碼。

　　10. CRC計算：CRC16, CRC32, CRC32b等等。

　　11. 緩衝區溢出字符串生成。

　　12. 隨機字符串/數組生成功能。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

Huntpad:為滲透測試人員設計的Notepad應用

網站內容來源http://server.it168.com/

聚焦數據庫安全昂楷科技解決最迫切問題開始

2018-05-25 18:07    原創 　作者: 閆志坤　編輯:
0購買

序言：海量數據正以指數級增長，人們通過大數據技術可以實現前所未有的對海量數據的處理和分析能力，而數據庫作為存儲數據的倉庫，經常成為黑客入侵、惡意攻擊的對象，若存儲的重要或敏感信息被竊取、篡改或破壞，則後果不堪設想，因此數據庫安全顯得尤為重要，數據庫安全作為信息安全的一個子集，也是信息安全中最重要的部分之一。

【IT168專訪】“我們認為數據庫安全領域最迫切需要解決的問題是可視和可控，我們所有產品都着眼於此”,昂楷科技董事長兼CTO 劉永波先生在接受IT168記者採訪時說道。

▲劉永波

　　深圳昂楷科技有限公司創始人，OWASP 中國區高級顧問，智慧城市大數據安全標準制定專家。2009 年創立深圳昂楷科技有限公司;1998 年至2009年供職於華為技術有限公司、華為賽門鐵克合資公司，歷任華為接入網產品線研發總監，華賽安全產品線研發VP。曾經帶領團隊成功研發商用綜合接入UA5000 系列產品，該系列產品在2007 年成為英國電信BT 唯一同類採購產品，位列世界同類產品第一名。

【解鎖數據庫三級聯防 捍衛數據安全】

大多數用戶對於傳統IT架構的需求以穩健為主，業務系統運轉正常最為重要，安全性則為次要考慮，同時，由於數據庫在企業IT系統中非常脆弱，因此選擇安全解決方案要非常慎重。劉永波指出，處理數據庫安全問題，一定是要小心又小心，正如“治大國如烹小鮮”一般，數據庫好比是IT系統大國中的小鮮，經不起隨意折騰。

從國家機關、企事業單位的數據安全防護方案建設來講，應該建立終端、外防、內審內控的三級聯動聯防主動積極防禦體系;其次，針對系統漏洞等管理問題，選用安全設備加強安全管控。其中尤其重要的是數據安全態勢感知系統，作為整個防護體系的雷達探測和中樞指揮系統，是核心中的核心;第三，將數據安全態勢感知系統與原有的網絡安全態勢感知系統融為一體，建立全態勢的安全感知和統一指揮調度系統，能夠有效整合終端安全、網絡安全、數據安全、應用安全等各大系統，形成強大的聯動效應。

劉永波解釋道，昂楷科技正是按照這個建設思路，即內審內控的數據安全保護思路，先從最核心的數據庫安全審計監控產品開始研發，解決對數據庫攻擊行為及攻擊者的可視;進而打造數據庫漏洞檢測、數據庫狀態監控、數據庫防火牆、數據庫的安全態勢感知系統，構建針對數據庫的主動防禦一體化解決方案。

截至目前，昂楷產品支持多種關係型數據庫和非關係型數據庫，如常用數據庫類型：Oracle、Mysql、MSSQL、sybase、informix、DB2、PostgreSQL等，新類型的數據庫：后關係型數據庫Caché、工控實時數據庫IP21、Hadoop大數據架構下的Hbase等。

【新興技術之殤 化解數據庫安全難題】

雲計算不斷成熟，公有雲、私有雲乃至混合雲出現，徹底打破傳統IT架構，大量採用雲架構，虛擬交換機鏡像功能很難具備或沒有虛擬交換機，數據庫安全監控面臨很大的挑戰。政企用戶遇到第一個比較痛苦的問題：數據安全的問題怎麼解決?

業界多採用插件式解決方案，即在數據庫服務器安裝插件，但這時候項目負責人需要思考，插件是否會對數據庫系統的性能產生影響?是否安全等問題。

目前，昂楷科技做了很多積極性探索，已經推出了無插件解決方案，並與UCloud、青雲成功應用，同時還積極推動與華為雲、騰訊雲戰略合作，此外，昂楷科技的插件式解決方案已成功對接幾大公有雲，無論是阿里雲，還是品高雲、有孚雲等都完成了對接。劉永波表示，我們作為數據庫安全廠商，一定要跟雲供應商一起探討如何實現雲數據庫的安全監控，最終我們一起給最終用戶提供最佳體驗。

而對於越來越多公有雲平台開始自主研發數據庫，一方面是解決新應用的需要，另一方面是國產化數據庫的需要，包括大數據需要、NoSQL數據庫需要，這恰恰說明數據庫技術也在快速發展和演進，數據庫技術逐漸成為了基礎技術。大數據、智慧城市、物聯網快速發展，對這種基礎技術的要求也越來越高，數據庫的種類越來越多，數據庫安全面臨的挑戰就越來越嚴峻。

劉永波解釋道，因為每種數據庫技術都可能會不同，對外提供的API接口、協議框架越來越多，越來越複雜，數據庫就面臨着更多的潛在風險，而任何一個風險，如果被黑客利用或者被不法分子利用，導致的攻擊破壞都是不可想象。昂楷科技作為數據庫安全領域的專業廠商，我們要構建一個開放的、能夠自我學習、採用人工智能和大數據技術的產品，能快速演進，快速技術研發，能夠能趕得上這些新數據庫或新數據庫的應用接口的發展，能夠提前預防危險，對數據庫安全廠商而言，既是挑戰又是機遇。

【政企行業數據庫安全實施“指南”】

正所謂沒有絕對安全，信息安全保護也沒有底線，無法窮盡。但對於剛剛開始加強數據庫安全的政企用戶，又該如何做好數據庫安全管理?劉永波表示，不同的政企單位要在正常的業務運行和安全投入成本之間取得一個合理的平衡，對數據庫安全或者數據安全問題，要根據政企單位的安全等級來選擇合適的產品。

對於一般的政企單位而言，最基礎性的產品應該是數據庫監控和可視，所有政企單位都需要使用，而數據庫防火牆等新產品，要結合政企單位特點，例如非常高度涉密數據，即使業務停掉也要能夠進行及時攔截，此時可以考慮使用數據庫防火牆。

對於數據庫審計、數據庫監控選型方面建議，第一，既然談到監控，那就是要精細化，就是要嚴格做到不漏審，不誤審，看得准，看得狠基本要素。測試方法很簡單，在業務最繁忙時，將所有應用系統的流量全部鏡像過來，然後在任何一個終端上來進行正常操作，最後看數據庫監控產品能不能準確的識別該操作;第二，綜合性能測試，當監控告警記錄已經達到幾億條到數十億條時，再來進行檢索操作，觀察分析結果準確性和出報錶速度，以及是否跟其它安全設備進行了快速聯動。

在採訪最後，作為昂楷科技董事長兼CTO,談及企業未來規劃，劉永波坦言，昂楷科技定位一個研發性技術型公司，從長遠來看，我們將致力於為廣泛的‘大’數據提供可靠的‘大’安全，大安全的‘大’，可理解為廣泛縱深。我們希望未來成為大數據安全領域的領先性企業，能夠使得我們的產品和服務走出國門，服務於全世界的企業，甚至於個人用戶!

經過這些年發展，昂楷科技以工匠精神打造多款國產數據安全精品，不僅包括了數據庫審計系統、大數據安全審計系統、雲數據庫審計系統、工控數據庫審計系統等產品之外，而且在2018年還將發布數據庫漏洞掃描系統、數據庫狀態監控系統、數據庫脫敏系統、數據庫防火牆、數據庫安全態勢感知系統等新產品。

總結

數據安全無論是對國家還是對政企用戶都至關重要，數據是数字經濟時代社會生產的新主導要素，也是新工業革命的核心內容，數據庫安全擁有巨大藍海市場，非常需要昂楷科技這樣企業去探索、創新，為政企用戶保護數據庫支撐更多創新應用落地，讓越來越多政企客戶認識數據庫安全重要性，中國數據庫安全任重道遠。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

聚焦數據庫安全昂楷科技解決最迫切問題開始

網站內容來源http://server.it168.com/

針對信息竊取惡意軟件AZORult的相關分析

2018-05-29 14:25    來源：安全客 　作者: Gal Bitensky　編輯:
0購買

AZORult是一種信息竊取的惡意軟件，隨着時間的推移已經發展成為一種多層功能的軟件,我們知道達爾文的自然選擇進化理論已有150多年的歷史，但進化也可能由於人工選擇的結果(也稱為選擇性育種)。在我們的信息安全領域，同樣的生物學原理適用於惡意軟件的進化。攻擊者經常檢查他們攻擊性工具的具體特徵與其生存能力的相關性，並通過“基因工程”惡意軟件來改善其功能。在接下來的文章中，我們將介紹一個信息竊取惡意軟件的特性。每一層隱藏的功能的都是其“飼養者”精心挑選的，以提高其在野外生存的可能性。

　　分析攻擊

上周，我們阻止了一個客戶網站的攻擊。這是一個名為“Quotation Request – EP”的經典惡意郵件。它是從一家非洲能源公司的电子郵件帳戶發出的，它含有惡意附件。它是一個包含兩個文件的RAR存檔 – 一個文本文件和一個帶有DDE對象的Microsoft Word文檔。一旦打開，它會從受感染的網站下載一個MSI文件：

該文件是使用名為msi2exe工具從常規可執行文件創建的安裝程序，它將“普通”惡意Windows可執行文件作為安裝程序進行包裝。這隻是眾多隱藏這段惡意代碼手段的第一層。為了獲取和分析可執行文件，我將使用7-Zip提取它，將MSI作為歸檔文件打開:

在我們分析發現，罪魁禍首是名為Binary._D7D112F049BA1A655B5D9A1D0702DEE5的資源，這是一個包含在MSI中的正常Windows可執行文件。在使用PEStudio仔細查看文件時，我們發現情況並非如此：

事實證明，這是一個編譯的AutoIt腳本 – 另一層包裝實際的payload。用Exe2Aut可以將其反編譯可執行文件。但是，反編譯的腳本仍然是混淆的：

結果發現，混淆並不是太複雜，主要依賴於單個字符串混淆函數。我們寫了一個用於反混淆的Python腳本，可以點擊以下鏈接獲取：https://github.com/MinervaLabsResearch/BlogPosts/blob/master/ObfuscatedAutoItDecrypter/AutoIt_dec.py現在可以查看腳本並重命名變量：

看看這個混淆的腳本，現在很清楚看到，在AutoIt中運用了一個經典process hollowing技術：

惡意軟件創建原始進程的第二個暫停實例：

它分配可寫，可執行的內存：

該腳本將它希望執行的payload寫入遠程進程：

在攻擊的下一階段位於遠程進程的內存之後，惡意軟件將主線程的狀態設置為運行注入的代碼並恢復進程的執行：

注入的payload本身使用與字符串相同的例程進行混淆，因此在執行我們的反混淆腳本之後，可以直接觀察它：

第一對字節4D和5A是ASCII字符串MZ – Windows可執行文件開頭的魔術字符串。這是一個強有力的指示，表明注入的緩衝區是另一個payload(!)，並且使用另一個Python腳本轉儲它，事實證明確實如此。儘管頭部分損壞，但仍有可能使用PEstudio仔細查看二進制文件。令人驚訝的是，事實證明，攻擊者並不認為到目前為止使用的所有不同技術都已足夠，所以又用UPX壓縮了文件，使其更加隱藏：

由於PE已損壞，因此無法自行執行，但無需這樣做。即使在UPX壓縮形式下，我們也發現了這樣一個事實的證據，即這是隱藏payload的最後一層，並沒有修復它的結構。使用十六進制編輯器觀察文件显示了多個字符串，表明其目標是竊取存儲在瀏覽器中的密碼:

快速Google搜索驗證了這是用於竊取存儲在Google Chrome中的憑據的常見SQL查詢的一部分：

嗅嗅惡意軟件的網絡活動證明了惡意軟件的功能，因為它首先向C2服務器發出指令，然後接收到竊取密碼的指令並將其發送回去

在更深入的探索之後，研究團隊追蹤了一位創造幾乎相同paylaod的作者。這使我們能夠將注入的payload作為非損壞的二進制文件，驗證我們的分析結論。例如，現在我們能夠觀察到相同的SQL查詢，以提取存儲在Google Chrome中的密碼以及其他類似的技術：

正如我們的友好惡意軟件研究社區指出的那樣，這個payload最終被證明是AZORult——一個眾所周知的竊取信息的惡意軟件，它至少從2016年開始在不同的論壇上出售。

實踐中的人工選擇

這個活動中包裝的AZORult惡意軟件採用了六種技術來逃避檢測，展示了它的創建者如何通過反覆嘗試和錯誤的方式選擇“繁殖”它們：

　　使用RAR歸檔

該文件在發送時作為壓縮文件存檔進行打包，試圖克服對“危險”文件類型附件的靜態掃描和限制。

　　多個圖層

使用多個圖層隱藏最終的信息竊取功能可能會欺騙一些安全產品，使其看起來不夠“deep enough”，而其他安全產品則無法理解每個圖層的上下文。

　使用MSI文件來釋放payload

令人驚訝的是，許多機器學習防病毒解決方案忽略了這種文件類型。但是，有些供應商在後期檢測到該文件，因為二進制payload被保存到臨時文件夾中，但在其他情況下，它可能不那麼簡單並且可能會被忽略。

　　AutoIt

使用非常規腳本語言進行模糊處理和編譯，會生成一個二進制文件，與傳統的C C ++可執行文件明顯不同。在文件中尋找模式的產品本身會發現更難以檢測到惡意軟件。

　　注入代碼

這種惡意軟件會在內存中解密其有效內容，並且僅在使用了幾層迷惑技巧之後。

　　DDE

攻擊者不再依賴舊的VBA宏，而是利用了DDE的“feature” ——允許他們將有效載荷嵌入不太可疑的docx格式，因為宏只能以doc或docm格式使用。

我們能夠追蹤之前的嘗試，從相同的參與者展示他們經過的人工選擇過程，提煉他們最新的最終倖存者。例如，早期的變體選擇了SCR擴展而不是MSI。在另一種情況下，交付機制是不同的，並且依賴於一個鏈接來直接從受損的網站下載受感染的docx文件。

　　IOC

　　URLs

　　hxxp://ipool[.]by/bitrix/css/8/DOC71574662-QUOTATION[.]doc

　　hxxp://ipool[.]by/bitrix/css/8/aksu[.]msi

　　hxxp://www[.]sckm[.]Krakow[.]pl/aksu[.]msi

　　hxxp://aksuperstore[.]com/fh8nzhme/gate[.]php

　　Files (SHA-256)Analyzed DDE docx:

　　ac342e80cbdff7680b5b7790cc799e2f05be60e241c23b95262383fd694f5a7a

　　Analyzed MSI Installer:

　　e7a842f67813a47bece678a1a5848b4722f737498303fafc7786de9a81d53d06

　　Unzipped executable:

　　717db128de25eec80523b36bfaf506f5421b0072795f518177a5e84d1dde2ef7

　　Decompiled obfuscated AutoIt:

　　31f807ddfc479e40d4d646ff859d05ab29848d21dee021fa7b8523d2d9de5edd

　　Deobfuscated AutoIt:

　　b074be8b1078c66106844b6363ff19226a6f94ce0d1d4dd55077cc30dd7819c5

　　Similar DDE document downloaded directly from a compromised website:

　　dc3fac021fae581bf086db6b49f698f0adc80ebe7ca7a28e80c785673065a127

　　The builder (Trojanized):

　　329030c400932d06642f9dbc5be71c59588f02d27d9f3823afa75df93407027b

　　Similar MSI installers:

　　efa6af034648f8e08098ea56445ccab1af67376ca45723735602f9bdd59e5b5d

　　9d7a10fa3e5fd2250e717d359fcff881d9591e0fe17795bab7aac747e8514247

　　dc3fac021fae581bf086db6b49f698f0adc80ebe7ca7a28e80c785673065a127　

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

針對信息竊取惡意軟件AZORult的相關分析

網站內容來源http://server.it168.com/

一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤

2018-05-29 14:45    來源：FreeBuf.COM 　作者: 任子行　編輯:
0購買

　　一.背景

近期蜜網系統監測到一起涉及利用多個殭屍木馬傳播進行DDoS攻擊的安全事件。木馬樣本涉及Windows與Linux兩個平台，通過對樣本的分析，發現這幾個樣本編寫風格都不一樣，但是硬編碼在程序中的C&C均指向同一個IP地址。推測這一系列木馬的傳播者通過購買不同的DDoS木馬進行傳播，從而構建自己的殭屍網絡進行DDoS攻擊牟利。其中有兩個樣本所屬家族為XorDDoS和ChinaZ。最後通過一系列的分析，將該威脅定性為小黑客組建殭屍網絡進行DDoS攻擊事件，同時追蹤到了惡意代碼傳播者的個人信息，包括姓名、QQ號碼、手機號、郵箱、微信等。

　　二.相關樣本分析

2.1樣本一分析：

2.1.1樣本基本信息

2.1.2樣本行為

該樣本首先會執行安裝邏輯，包括拷貝自身到Windows目錄，然後將自身註冊為服務，最後自刪除自己，安裝完成。接着註冊為服務的木馬會開始進入功能邏輯，通過爆破局域網來感染傳播，與C&C建立通訊后，等待C&C下髮指令。

2.1.3樣本詳細分析

(1)整體邏輯

(2)拷貝到Windows目錄

生成6個字符的隨機進程名拷貝到Windows目錄

(3)創建服務

服務名：Abcdef Hijklmno Qrstuvwx Abcd

服務描述：Abcdefgh Jklmnopqr Tuvwxya Cdefghij Lmn

自啟動

(4)自刪除

構建“/c del C:\Users\xxx\Desktop\gy.exe > nul”參數，使用ShellExecuteExA創建刪除自身的進程。

(5)從資源釋放hra33.dll並加載

從資源釋放文件在文件頭加上PE文件頭兩個字節“MZ”。

從釋放的文件更新當前木馬服務中的資源

(6)爆破感染局域網

內置字典

爆破成功後會拷貝自身到admin$\\、C：、D:、E：以及F:等路徑下，並創建計劃任務，2分鐘后執行。

(7)遠控功能部分

與C&C建立通訊

解密出C&C地址為web.liancanmou.xyz:6006

發送上線信息

遠程下載執行

更新

使用iexplorer打開指定網頁

卸載

DDoS攻擊模塊

2.1.4 關聯分析

該IP對應的位置在新鄉電信機房，訪問http://123.160.10.16:3097/gy.exe下載樣本。

通過VT Graph關聯分析該樣本早在2018-05-08已經被發現了，與本次捕獲到的樣本分析結果是一致的。

2.2樣本二分析：

2.2.1樣本基本信息

2.2.2樣本行為

該樣本代碼編寫十分簡單，獲取本地信息回傳CNC上線，等待CNC的DDoS指令。

2.2.3樣本詳細分析

(1)整體邏輯

(2)與C2建立通訊

創建連接套接字

C&C地址為 jch.liancanmou.xyz:52527

木馬通訊協議

(3)DDoS功能

並沒有用到反射放大攻擊，只是一般的flood攻擊。

2.2.4關聯分析

通過VT分析發現該樣本與a.lq4444.com這個域名相關，而該域名曾用於Linux/Elknot這個家族。通過VT显示，a.lq4444.com這個域名與9個樣本相關。

2.3樣本三分析

樣本三與樣本二代碼是一樣的，區別是樣本三被編譯為x86架構，樣本二被編譯為x64架構。

2.4樣本四分析：

2.4.1樣本基本信息

2.4.2樣本行為

(1)該樣本通過SSH爆破被拷貝到/tmp目錄下並開始運行

(2)將自身註冊為服務

(3)拷貝自身到其他目錄

(4)設置定時任務

(5)修改刷新iptables后，嘗試連接到遠程主機。

(6)它會刪除/etc/resolv.conf並保存初始安裝和下載的配置數據(Config.ini)

(7)通過發送用戶名信息連接到C&C，作為一個bot與C&C建立通訊

(8)C&C主要發送帶目標IP地址作為參數的DDoS命令到bot機器進行DDoS攻擊

VT行為分析：

2.4.3樣本詳細分析

寫入腳本到/etc/init.d/%s/與/etc/rc%d.d/S90%s路徑下

設置定時任務

控制網卡接口

以.chinaz為前綴拷貝自身到/tmp/目錄下

安裝完成後會重啟計算機

DDoS相關的一些指紋，其中包含一個QQ號碼：2900570290

　　三.事件分析

3.1事件關聯分析

以liancanmou.xyz這個域名為起點，結合樣本分析與VT Graph關聯分析形成以下關聯圖，可以確定123.160.10.16、180.97.220.35以及123.249.9.157這三個IP是用於作為木馬的CNC地址以及木馬分發地址。在2018年5月24日域名liancanmou.xyz從指向123.249.9.157被換位指向180.97.220.35這個IP。

PassiveDNS相關信息

3.2事件溯源

3.2.1域名註冊信息

3.2.2個人信息

　　四.IoCs

liancanmou.xyz

web.liancanmou.xyz

jch.liancanmou.xyz

wwt.liancanmou.xyz

wwv.liancanmou.xyz

www.liancanmou.xyz

http://180.97.220.35:3066/Linux4.7

http://123.160.10.16:3097/gy.exe

http://180.97.220.35:3066/33

http://180.97.220.35:3066/32

180.97.220.35

123.249.9.157

123.160.10.16

123.249.9.15

123.249.79.250

180.97.220.35

103.248.220.196

892833AB52DAA816918041670519EB6351AE7EC2DB7AF2C97F3AB5EE214DA173

4A2FB58342D549347D32E54C3DA466A19BFD66364825AC7F2257995356F09AFD

74D4776A76AD3BCB578C9757D9F18A6ADFFE8802C43E5E59B14C4E905664733D

DBC7FC7748BD201C54B2A0189396F3101C18127A715E480C8CB808F07137822A

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

一起涉及多個DDoS殭屍網絡樣本攻擊事件追蹤

網站內容來源http://server.it168.com/

黑客是如何利用你的瀏覽器進行挖礦的？

2018-05-30 18:05    來源：FreeBuf.COM 　作者: 千里目安全實驗室　編輯:
0購買

　　0×1 概述

近期，千里目安全實驗室監測到了一大批網站系統被惡意植入了網頁挖礦木馬，只要訪問者通過瀏覽器瀏覽被惡意植入了網頁挖礦木馬站點，瀏覽器會即刻執行挖礦指令，從而淪為殭屍礦機，無償的為網頁挖礦木馬植入者提供算力，間接為其生產虛擬貨幣，這是一種資源盜用攻擊。由於網頁挖礦木馬存在很廣的傳播面和很不錯的經濟效益，因此、廣受黑產團體的追捧，讓我們對它防不勝防!

　0×2 千里百科

區塊：在區塊鏈網絡上承載交易數據的數據包。它會被標記上時間戳和之前一個區塊的獨特標記。區塊頭經過哈希運算後會生成一份工作量證明，從而驗證區塊中的交易。有效的區塊經過全網絡的共識後會被追加到主區塊鏈中。

區塊鏈：狹義來講，是一種按照時間序列將數據區塊以順序相連的方式組合成的一種鏈式數據結構，並以密碼學方式保證的不可篡改和不可偽造的分佈式賬本。

礦機：礦機是挖礦機器的簡稱，就是用於賺取数字貨幣的計算機，這類計算機一般有專業的挖礦芯片，多採用燒顯卡的方式工作，耗電量較大。個人計算機可以通過挖礦軟件來運行特定的算法產生算力(俗稱挖礦)來獲得相應数字貨幣。

礦池：由於單一礦機想挖到一個塊的幾率是非常小的，通過礦機聯合挖礦以提高几率。一個礦池的算力是很多礦機算力的集合，礦池每挖到一個塊，便會根據你礦機的算力占礦池總算力的百分比，發相應的獎勵給到個體，也不會存在不公平的情況。

挖礦：挖礦是反覆嘗試不同的隨機數對未打包交易進行哈希，直到找到一個隨機數可以符合工作證明的條件的隨機數，以構建區塊。如果一個礦工走運併產生一個有效的區塊的話，會被授予的一定數量的幣作為獎勵。

錢包：錢包指保存数字貨幣地址和私鑰的軟件，可以用它來接受、發送、儲存你的数字貨幣。

　　0×3 家族樣本分析

千里目安全實驗室通過持續對全網進行安全監測，發現近期有如下十種家族的網頁挖礦木馬的傳播比較活躍。詳情分析如下所示：

　　1、Coinhive家族網頁挖礦木馬介紹：

Coinhive是一個專門提供挖礦代碼的JS引擎，在被攻擊網站的網頁內嵌一段JS挖礦代碼，只要有人訪問被攻擊的網站，JS挖礦代碼就會通過瀏覽器上執行挖礦請求，佔用大量的系統資源，導致CPU資源利用率突然大幅度提升，甚至100%。在這過程中網站只是第一個受害目標，而網站的訪問者才是最終的受害目標。

1.1、Coinhive家族網頁挖礦木馬代碼，如下所示：

1.2、執行JS挖礦代碼前後的效果，如下圖所示：

1.3、通過快捷鍵(Shift+ESC)來查看瀏覽器的任務管理器，發現正是剛打開的“XMR Mining Page”網站頁面佔用了98.4%的CPU資源，正在瘋狂的挖礦。如下圖所示：

　　2、JSEcoin家族網頁挖礦木馬介紹：

JSEcoin是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。但是與後者不同的是，JSECoin會將CPU使用率限制在15%至25%之間，並且始終显示隱私聲明，為用戶提供退出選項(可選擇不提供運算服務)。

2.1、JSEcoin家族網頁挖礦腳本代碼，如下所示：

2.2、通過對JSEcoin挖礦代碼進行調試，發現執行完挖礦代碼後會持續接收到需要運算的任務，如下圖所示：

2.3、通過進一步跟蹤運算過程，發現其通過WSS協議來獲取區塊的計算任務，然後將結果進行回傳效驗，校驗通過的會显示OK標記。如下圖所示：

　　3、CryptoLoot家族網頁挖礦木馬介紹：

CryptoLoot是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。不過CryptoLoot平台的傭金比Coinhive平台的傭金低很多，這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

3.1、CryptoLoot網頁挖礦腳本代碼，如下所示：

3.2、CryptoLoot網頁挖礦腳本代碼參數介紹，如下所示：

miner.min.js：為JS挖礦腳本。

85e693dfe57edbdf8f53640b4c0b0d257513a504c503：為SiteKey,可以理解為JS挖礦引擎識別站點的唯一標識。

threads(value)：指挖礦運算所啟用的線程數量。這裏的值為3，即表示啟用3個線程進行挖礦運算。

autoThreads(value)：這裏的Value可以設置為true和false，當設置為true時，表示自動檢測用戶計算機上可用的CPU內核數量。

throttle(value)：這裏的value是設置線程閑置時間比例的。如果值為0，即表示不進行節流(即進行CPU滿載運算)。這裏的值為0.2即表示將在20%的時間內保持空閑狀態。

　4、DeepMiner家族網頁挖礦木馬介紹：

DeepMiner是一個開源的JS挖礦項目，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

4.1、DeepMiner網頁挖礦腳本代碼，如下所示：

4.2、DeepMiner網頁挖礦腳本同源分析：

DeepMiner是一個已經被開源了的項目，通過分析，發現上面的挖礦腳本代碼為此開源項目修改而來(開源項目地址為：https://github.com/deepwn/deepMiner)。

　5、Webmine家族網頁挖礦木馬介紹：

Webmine也是一個與Coinhive類似的JS挖礦引擎，在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

5.1、Webmine網頁挖礦腳本代碼，如下所示：

5.2、訪問JS挖礦站點時，發現CPU使用率劇增，隨後退出對JS挖礦站點的訪問，發現CPU的使用率一下子就降下來了。如下圖所示：

6、AuthedMine家族網頁挖礦木馬介紹：

AuthedMine也是一個與Coinhive類似的JS挖礦引擎，在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

　　6.1、AuthedMine網頁挖礦腳本代碼，如下所示：

6.2、 AuthedMine網頁挖礦腳本與之前的幾種相比有比較大的改進，大致如下3點：

設置了線程閑置時間比例，這樣不容易被礦機受害者發現和察覺。

設置了挖礦設備類型，只對非移動設備進行挖礦運算，防止手持終端設備被卡死。

設置了挖礦運算時間，只挖礦4小時，避免長時間CPU過高而遭暴露。

　　7、BrowserMine家族網頁挖礦木馬介紹：

BrowserMine是一個與DeepMiner類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

7.1、BrowserMine網頁挖礦腳本代碼，如下所示：

7.2、 執行JS挖礦代碼前後的效果，如下圖所示：

　　8、Coinimp家族網頁挖礦木馬介紹：

Coinimp是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。稍有不同的是Coinimp的平台費用基本免費，而且JS挖礦腳本可以重置為任意名字存放在本地，偽裝性更高。

8.1、Coinimp網頁挖礦腳本代碼，如下所示：

8.2、Coinimp網頁挖礦腳本代碼與之前的幾個有一個明顯的區別就是SiteKey值變成了64位，同時，JS挖礦代碼可以保存到本地存儲了，訪問參數與JS腳本名稱可以自行定義。

　　9、CryptoWebMiner家族網頁挖礦木馬介紹：

CryptoWebMiner是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。不過CryptoWebMiner平台的傭金比Coinhive平台的傭金低很多，這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

9.1、CryptoWebMiner網頁挖礦腳本代碼，如下所示：

9.2、CryptoWebMiner網頁挖礦腳本代碼結構與Coinhive很類似，但支持的幣種比較多，主要有BTC、ETH、ZEC、ETN、XMR。另外，它支持的平台也很多，分別為手機端挖礦、PC端挖礦、WEB端挖礦，可見傳播面很廣。

　　10、PPoi家族網頁挖礦木馬介紹：

PPoi是與Coinhive類似的JS挖礦引擎，也是在有訪問量的網站中嵌入一段網頁挖礦代碼，利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

10.1、PPoi網頁挖礦腳本代碼，如下所示：

10.2、通過訪問PPoi平台官方地址，發現已經被Google GSB加入黑名單了。如下所示：

0×4 趨勢分析與統計

1、我們通過對分析過的網頁挖礦木馬代碼特徵，使用FOFA對全球所有在線Web應用系統進行統計，發現有60742892個Web應用被惡意掛載了網頁挖礦木馬。如下為全球TOP10地域的網頁挖礦木馬感染量和分佈情況。詳情如下所示：

統計數據來自於FOFA平台

2、進一步通過這些網頁挖礦木馬的代碼特徵來對中國境內所有在線Web應用系統進行分析和統計，發現有4557546個Web應用被惡意掛載了網頁挖礦木馬。如下為中國境內TOP N地域的網頁挖礦木馬感染量和分佈情況。詳情如下所示：

統計數據來自於FOFA平台

0×5 安全建議

ü 定期對服務器中的數據做備份，看到類似以上10種形態的可疑腳本代碼，需提高警惕(這很可能意味着我們的站點和服務被入侵了 )，找專業的安全人員來做分析和處理。

ü 如在服務器中發現存在可疑的後門或惡意代碼，需做全局的排查和清理，然後再做安全加固工作。

ü 定期主動對服務器及服務器中的應用進行安全評估，及時發現潛在的風險，並及時處置和修復。

0×6 IOCs

C2：

https://coinhive.com

https://coin-hive.com

https://webmine.cz

https://webmine.pro

https://munero.me

https://load.jsecoin.com

https://browsermine.com

https://authedmine.com

https://crypto-loot.com

https://cryptaloot.pro

Home

URL：

https://coinhive.com/lib/coinhive.min.js

https://coin-hive.com/lib/coinhive.min.js

https://crypto-loot.com/lib/miner.min.js

https://cryptaloot.pro/lib/miner.min.js

https://authedmine.com/lib/authedmine.min.js

https://ppoi.org/lib/projectpoi.min.js

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

黑客是如何利用你的瀏覽器進行挖礦的？

網站內容來源http://server.it168.com/

跟着大公司學安全之BeyondCorp安全架構

2018-05-30 22:35    來源：Freebuf 　作者: mcvoodoo　編輯:
0購買

過去這些年，技術發生了很大的革命，雲計算改變了業務方式，敏捷改變了開發方式，某寶改變了購物方式。而在內部安全上，零信任則提供了一個新的模式。

過去這些年，各種數據泄漏層出不窮，我懶得去找例子，反正比比皆是，從大公司到小公司，從政府到商業機構。這說明什麼呢?這說明我們過去的方法出了問題，以前基於邊界來劃分可信不可信的辦法行不通了。

傳統的內部安全外圍取決於防火牆、VPN來隔離，但隨着員工用自己的電腦、用自己的手機、再加上雲計算，整個網絡邊界越來越模糊。零信任安全則直接在概念上顛覆了原有概念，內部用戶比外部用戶更不可信!看以往的各種案例，太多由於黑客掌握了密碼，證書之後得手的攻擊。因此，對這些內部用戶零信任，可能是未來減少數據泄漏的主要方法。

　　一、Google實踐

Gartner提出了CARTA方法論，意為持續自適應風險與信任評估，包含了零信任安全的核心元素。當然，更關鍵的是，Google已經在15年就開始付諸實施，這個項目就是大名鼎鼎的BeyondCorp，開始從本質上改變。BeyondCorp完全不信任網絡，而是基於設備、用戶、動態訪問控制和行為感知策略。零信任需要一個強大的身份服務來確保每個用戶的訪問，一旦身份驗證通過，並能證明自己設備的完整性，則賦予適當權限訪問資源。所以這裡有四個元素：驗證用戶、驗證設備、權限控制、自學習和自適應。

　　1. 驗證用戶

驗證用戶最基本的是用戶名和密碼，但怎麼確保這個密碼不是從黑市上買來的?所以就出現了多因素認證來獲得額外的保證，國內一般是短信驗證碼或軟硬件token，當然現在也開始逐漸出現人臉、指紋等。用戶有很多類型，普通用戶、管理員、外包、合作夥伴、客戶，多因素認證都可以適用。

　　2.驗證設備

要實現零信任安全，要把控制擴展到設備級。如果設備未經過驗證，設備就不可信。如果用戶數用常用、可信設備訪問，則有可信度。如果他在網吧用一台電腦來登陸，那這個信任度就低。設備驗證還包括了一些安全准入條件，比如是否安裝殺毒軟件和最新補丁。

　3. 限制訪問權限和特權

限制用戶最小權限的訪問，就可以限制攻擊的橫向移動。其次是對業務應用的授權，業務層包含大量敏感數據，是攻擊的首要目標，因此在應用側限制權限也同樣重要。數據越重要，權限越少，也可以用多因素來進一步驗證。

　　4.自學習和自適應

收集用戶、設備、應用和服務器數據和行為信息，形成日誌數據庫進行機器學習分析，達到異常識別的目的，比如從異常位置訪問資源，則立即觸發強認證。

　　整個方案有幾個好處：

一是重新定義了身份，以前都是根據角色進行的，而零信任模型則更加動態，用時間、屬性、狀態的組合來實時評估。

二是集中控制，所有的流量都通過中央網關來處理認證和授權，這種網關可以攔截所有到資源之間的通信。但中央網關不是只有一個，而是分佈式的，只是邏輯上的集中。BeyondCorp就在每個受保護的資源之前放了一個反向代理服務。

三是主動防範，能夠檢查日誌做審計是一回事，能夠實時攔截主動防範則是另一回事了。

Google的方法很好，值得借鑒，但不一定要完全照搬。每個企業有自己的實際情況，要是上來就干，可能會導致更多的問題。根據Google的幾篇論文，我試着分析一下實現路徑做參考。

　　二、信息收集

整個項目上，第一步要實現的就是數據的收集，收集數據的作用是掌握全局，包括賬號和應用的流向關係、網絡架構、應用協議等。在這個過程中也能清理掉很多沒用的系統和賬號。而數據的收集分為幾種：

　　1、設備信息

因為設備驗證屬於一個重要環節，因此要對設備進行清點。Google要求所有設備都有IT管理，並且保存一個資產庫，但這在國內企業中並不現實，例如有的員工自帶電腦，自帶手機。所以實際上需要在Google的思路上有所拓展，雖然我不知道，但我可以通過設備指紋來建立一個資產庫。每個設備都有的獨一無二的標識，通過標識，把員工常用設備作為可信設備，從而建立自己的資產庫。

　　2、梳理訪問記錄

零信任的目標是完全消除靜態密碼的使用，轉為更加動態的驗證，可以對每個單獨的訪問發布範圍、時間的證書。這是這個架構的好處，也是防範內部風險的最佳答案。所以需要掌握公司內部的訪問記錄，常見是通過SSO訪問日誌來進行。而且定期review內網訪問日誌，也應該是一個常態化工作。梳理這個的目的，是了解賬戶和應用之間的關係。

　　3、系統架構圖

零信任的目標是拋棄掉網絡層的訪問控制，但現實是需要在整個過程中逐步改造，因此需要掌握網絡拓撲，掌握各訪問控制的位置，掌握資源位置。最後才能達到把訪問控制放到應用側來實現。所以這裏的着眼思考點是，如果我把這個資源放到互聯網上，需要怎麼控制。

4、流量日誌

流量是基於網絡拓撲來的，在應用日誌完備的情況下，甚至可以不需要做流量日誌。不過考慮到大家的實際情況，還是加上比較好。另外網絡內跑的協議也很重要，Google在計劃階段發現網內使用了各種協議，因此在新系統中作了嚴格的規定，以HTTPS和SSH為主要協議。

　　二、訪問策略

在Google的論文中，多次提到了他們在形成這個框架時面臨的挑戰，為了有效推進，這個安全措施必須在全公司強制執行，覆蓋廣泛且易於管理。這其實在很多公司是個不容易的事情。而且Google也提到，安全架構不應該影響生產力，在國內就是就是安全不應影響業務。因此把敏感應用放到公網上，需要小心謹慎。零信任要求每個請求都完整驗證身份，授權和加密，這個信任是基於動態用戶和設備決定的，而不再基於網絡單一維度進行判斷。

數據收集以後，接下來要做的事情就是訪問策略框架了。Google整個項目周期是7年(淚奔，7年後我還在不在現在的公司都不好說)，提到的建議是情景決策，換成中國話的意思就是業務場景。例如我是一個運營，要去訪問運營報表系統，那麼我用公司給我的筆記本電腦登錄報表系統，然後通過跳板機登陸到Hadoop上去調整源數據。這些業務場景會告訴你一些信息，運營應該授予報表系統、Hadoop權限，而在這裏的授權元素包括，設備、角色、被訪問資源、時間等。

　　1、數據字段

聽上去比較彆扭，換成中國話的意思，要收集那些數據維度，以用做訪問控制要素。常見的比如組織架構、角色。新增的設備與用戶配對關係，也包括比如操作系統是否更新，殺毒軟件是否安裝這些設備狀態。同時也可以包括更多的要素：時間、位置、多因素等。這些條件組成了驗證規則，但這太容易被猜測出來了，所以在這個基礎上，還可以增加一些新的判斷字段，比如wifi的mac等信息。

　2、規則

接下來制定規則，規則中除了包括上面所說的字段，還應包括行為信息。例如有一個提出離職的員工，進入文檔系統大量下載文檔，這就是一個風險。可能需要的規則是，打通PS系統掌握誰提出了離職，然後限制該員工對文檔系統的大量下載行為。再細分一點規則，主動離職和被動離職對系統的風險是不同的，下載和查看文檔也是不同的。

規則中一個常見錯誤是設置了太多細緻的規則，Google在實踐中遇到了這個問題，最終他們在代理服務的粗粒度，和後端資源的細粒度之間找到了平衡點。在論文中他們提到了兩個例子：

全局規則：粗粒度，影響所有服務和資源。比如“底層設備不允許提交代碼”。特定服務規則：比如G組中的供應商允許訪問web應用A。

如果規則太複雜，或者對資源規定太過具體，那對規則的語言是很有挑戰性的，所以應該用一套任何人都可以理解的策略規則。Google的做法是從粗規則開始，然後再將RBAC和ABAC引入。

　　3、權限

零信任是把信任從外圍改變到端點，目標是在不斷變化的環境中基於動態用戶和設備，做出智能的選擇。BeyondCorp是最小權限原則，通過不斷地處理用戶、設備、行為數據，為這些數據建立信任值，每個資源都有一個信任層，必須滿足才能訪問。比如你的手機版本過低，系統會給你一個低信任評分。當你訪問工資數據的時候，需要你有更高的信任等級。你必須把手機版本升級，否則不能訪問資源。這其實和金融里的信用分一個意思，這些元素的組合形成了分數。

但有一點，就是要明確的告訴用戶，基於什麼原因，你的分數過低，要把補救方法明確的提示出來，不然用戶就陷入了迷思，然後會幹出一些亂七八糟的事情出來。換句話說，可以把規則形成問題，你的補丁打了嗎?殺毒軟件更新了嗎?然後通過驗證這些問題，賦予權限。

　三、訪問控制

策略訂好了以後就是控制措施，這裏也是國內大多數公司和Google做法有分叉的地方，Google當然有能力自己造所有輪子，操作系統都能自己寫，但國內公司很少會這麼干，同時在內部這些應用里，或多或少都會有外購的應用系統。

　　1、微服務

傳統系統已經做了很多訪問控制手段，有的可能就是一個SSO賬號，這種方式是角色、權限是在後面邏輯上處理的，也就是說，你先進入內網門戶，然後通過門戶進入各個子系統。在進入門戶這個環節並不做後面的資源的驗證，把驗證放在了後端應用上處理。這也就是之前烏雲還在的時候，我們看到一旦拿到一個員工賬號，就可以在內部各種橫向漂移。

而在Google，則使用了微服務，把驗證邏輯和資源系統隔離，以實現靈活的驗證。加入你們採購了外部的一個財務系統，那麼財務系統在這裏只看作是一個原始數據的記錄系統。通過微服務方式的解耦，服務之間不再需要關心對方的模型，僅通過事先約定好的接口來進行數據流轉即可。因此策略層改變起來也很容易，這是其中一個關鍵。

　　2、集中處理

零信任中有一個處理所有流量的ACCESS GATEWAY，這是個反向代理服務，集中了身份驗證和授權過程，統一進行處理，也是理想的日誌監控點。代理服務支持PKI證書，所有請求都通過HTTPS提供給網關，用戶和設備的數據在這時候被提取出來進行驗證授權。再接下來則是SSH，RDP或TLS連接，與資源進行安全會話，這就大大限制了攻擊面。

在某個時間點，根據動態數據來配置身份驗證，而不是單純的依靠網絡。這就是零信任系統的能力。但在初期的時候，這個動態，是需要經過磨合的。最簡單的例子是根據大多數人的共同的行為來調整策略，這裏就需要機器學習來輔助，讓機器來了解共同行為是什麼意思。

　　四、資源遷移

最後一步則是資源的遷移。資源遷移有個灰度過程，關鍵系統往後放，先從簡單應用開始，這個應用應該適合粗粒度規則，且數據敏感度比較低，比如內部的wiki這種。為了防止在這個過程中的數據泄漏，Google初期是並聯傳統系統的，然後逐漸割接。Google非常強調他們把所有資源都放到公網上，消滅了網絡分區需求。但實際上，我們大可不必這麼冒險，傳統基於網絡層的控制方法仍然可以使用。

通過這個邏輯，只需要把流量指向訪問結構，就可以保護資源。在所有流量都經過網關的情況下，需要確保和應用的連接是安全的，每個請求必須端到端加密。但只有這麼個安全隧道是不夠的，還需要確保每個請求都被完全驗證授權，方法上可以是對請求證書和關聯數據進行簽名，再配置應用驗證，也可以是對特定IP列入白名單。

　　五、總結

Google在基礎架構安全上付出了巨大的努力。我在看這些paper的時候就在想，為什麼Google公開宣傳內部的安全實踐呢，我以小人之心揣測，可能與Google雲相關，從Google一系列的博客來看，信息保護一直都是重點範圍。但對於我們這些安全從業者來說，這5個paper提供了很多安全的先進點，讓我們一探頂尖互聯網企業的基礎安全架構。整個閱讀理解過程中，有幾句話我覺得是特別值得總結的：

1、“我們不依賴於內部網絡分隔或防火牆作為我們的主要安全機制”

我曾在阿里工作過幾年，早在14年阿里安全就提出“去防火牆”。但當時的“去防火牆”思想，更多的是擺脫傳統盒子硬件防火牆層次，和Google還不一樣。零信任的核心主題是，它是一個無周邊架構，這和Google的員工分佈在全球各地辦公有關係。這並不是說防火牆完蛋了，而是說不作為“主要”安全機制。但是在借鑒過程上，去防火牆不是第一步，而應在各種認證、授權等機制建立后的最後一步。

2、“最終用戶登陸由中央服務器驗證，然後中央服務器向用戶端設備發送憑證，例如cookie或OAuh令牌，從客戶端設備到Google的每個後續請求都需要該憑據”。

零信任基於用戶和設備的狀態做出智能決策，憑證是動態的，也就是可撤銷、可審計、有較短時間期限。這其中說，每個後續都需要該憑據，這就是零信任的精髓了。

3、“實際上，任何發布的服務都使用GFE作為智能反向代理前端，這個代理提供了DNS，拒絕服務保護，TLS終止和公共IP託管”

把內部應用放到公網，可以實現端到端的前向加密，但卻讓系統面臨攻擊，通過反向代理來管理這些流量。現實而言，我們並不需要這麼激進，抗ddos保護對於中小企業來說，還是應該依靠外部力量。

4、“在企業局域網上不是我們授予訪問權限的主要機制。相反，我們使用應用程序級的訪問管理控制，允許我們只在特定用戶來自正確管理的設備以及期望的網絡和地理位置時才將內部應用程序公開。

身份認證是整個流程中的重要部分，但零信任獨特在於：用戶、設備組成一個可以實時進行信任決策的配置文件。舉例來說，我在北京從我的手機上登陸crm應用，那肯定不會在同一時間允許我在上海的pc上登陸。訪問策略上要麼允許，要麼提示你另一個認證因素。

安全性和可用性一直存在互相矛盾，安全部門要在這裏尋找平衡。每個公司也都有自己的風險容忍度，有的公司因為月餅開除員工，有的公司因為雲盤上傳開除員工。每一個處罰，都會引起內部很多爭論，對於零信任來說，決策是動態的，允許更多的自適應，其中機器學習是這裏的重要工具。

5、“我們積極地限制和監督已經被授予基礎設施管理權限的員工的活動，提供能安全和可控的方式完成相同任務的自動化，不斷努力消除特定任務的特權訪問需求。

零信任目的在減少內部威脅，整個架構中學習和適應是重要環節。同時也對自動化很敏感，在這麼大一個全球企業中，人工是不現實的。另外，整個項目對特權的檢查，會比對普通權限的檢查要仔細的多。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

跟着大公司學安全之BeyondCorp安全架構

網站內容來源http://server.it168.com/

10款最佳免費WiFi黑客工具（附傳送門）

2018-05-31 14:59    來源：安全牛 　作者: Jasmine　編輯:
0購買

如今，隨着用戶友好型黑客工具的不斷湧現，黑客攻擊已經不再僅是網絡專家或專業人士所獨具的特殊技能，這種黑客藝術也可以輕鬆地為普通用戶所用。大多數人都想要了解最好的免費WiFi黑客工具，以學習在智能手機和台式機上進行黑客攻擊。

儘管網絡上有許許多多黑客攻擊教程，但黑客攻擊並不是那麼容易學的。它不是一蹴而就的事情，需要深入的研究和奉獻精神才能夠成為專家。

但是，通過一些免費可用的黑客工具來學習如何在Android和桌面上進行攻擊，您可以很好地掌握黑客攻擊基礎知識。以下是適用於Android和桌面的10款WiFi黑客工具，它將幫助您了解一些黑客入侵的基本知識。

使用WiFi黑客應用程序前的準備：

在開始使用這些應用程序之前，了解一些可以在Android設備上完成的基本設置非常重要。因為有了這些技巧，你可以將你的android系統轉化為一個成熟的Linux操作系統：

Root您的android設備;

檢查設備是否運行Android 4.0或更高版本;

設備的WiFi網絡显示WPS可用(說明無線設備支持WPS加密連接)是非常重要的;

目標WiFi網絡的信號強度足夠好。

通過此清單，你將能夠在任何WiFi網絡上破解各種WPS PIN碼。

　　1. WPA WPS Tester

WPA/WPS測試儀是安卓系統上最受歡迎的Wi-Fi黑客工具之一，它是為了掃描Wi-Fi網絡的漏洞而開發的，這個黑客應用程序以其打破安全性的能力而聞名。

該應用程序使用WPS PIN連接的接入點進行測試，使用各種不同的算法(如Blink、Asus、Zhao以及Arris等)執行計算。該應用需要Android 4.0及以上版本才能運行。這不是一個跨平台的應用程序，只能在Android設備上使用。

該應用程序在Google Play商店中可用，它可以幫助您破解任何显示WPA/ WPS可用的WiFi網絡。一旦識別出網絡密鑰，該應用程序就會將其显示在屏幕上，這表明它可以輕鬆地幫助您執行黑客操作。

傳送門：

　　2. aircrack-ng

說到最常用且最著名的WiFi黑客工具，可能就要數Aircrack了。這款使用C語言編寫的WiFi黑客軟件是大量工具的組合，可用於監控、攻擊、滲透測試和破解等任務，使用aircrack-ng

軟件，你可以在捕獲足夠的數據包之後，破解802.11 WEP和WPA-PSK密鑰。

Aircrack首先會捕獲網絡數據包，然後分析數據包以恢復網絡密碼。在執行優化(包括KoreK攻擊和PTW攻擊)以恢復或破解密碼后，該應用程序還可以執行標準的FMS攻擊。

優化攻擊的使用，使整個破解過程比其他WEP密碼黑客工具快得多。不過，您可能會發現，這個控制台界面兼容的工具在開始使用時會略顯複雜，對此，我們建議您在使用之前查看該應用程序的在線教程。

Github入口：

XDA-developers入口：

　　3. Kali Linux Nethunter

缺少Kali Linux Nethunter的推薦列表算不上是完整的列表。有誰不知道Kali Linux Nethunter，因為它是最好的WiFi黑客應用程序之一。該工具是Offensive Security第一款開源的android滲透測試平台，使用這個黑客應用程序，您需要啟動Kali的Wifite工具來執行此過程。

Nethunter的用戶友好型配置界面，可以讓您毫不費力地處理複雜的配置文件，它的定製內核支持所有802.11無線協議。對於Android系統來說，它確實也是一個必備的WiFi黑客工具。

您可以使用Kali Linux執行各種不同的活動，例如網絡映射、網絡控制以及無線注入等，同時它也可用於執行USB HID鍵盤攻擊。

傳送門：

　4. Zanti

Zanti是由Zimperium發布的比較受歡迎的一款黑客應用程序，它允許安全管理員分析網絡中的風險級別。這種易於使用的移動滲透工具包可用於Wi-Fi網絡的評估和滲透。

該應用程序的Wi-Fi掃描器显示已知的默認密鑰配置為綠色的接入點。您也可以使用該應用程序來殺死連接，以防止目標訪問任何網站或服務器。此外，使用Zanti工具，您也可以了解網絡攻擊者所使用的鏡像方法，從而識別網絡中的漏洞並據此實施必要的安全措施。

大家可以將zANTI視為一款能夠將Backtrack強大力量引入自己Android設備的應用。只要登錄至zANTI，它就會映射整套網絡並嗅探其中的cookie以掌握此前曾經訪問過的各個網站——這要歸功於設備當中的ARP緩存。應用當中的多種模塊包括網絡映射、端口發現、嗅探、數據包篡改、DoS以及MITM等等。

傳送門：

　　5. Nmap

適用於安卓系統的Nmap是一個非常有用的應用程序，它可用於竊取Wi-Fi並查看可用的主機、服務、數據包和防火牆等。此外，Nmap對於包含root和不含root的安卓設備都很有用。但是，要記住，無root的用戶無法使用SYN掃描和操作系統指紋等高級功能。這個Wi-Fi黑客應用程序的開發人員已經共享了編譯好的Nmap二進製版本，並支持OpenSSL。 Nmap也可以在Windows，Linux等其他平台上使用。

傳送門：

　6. Kismet(2018年最好的桌面WiFi 黑客應用程序)

Kismet是一款優秀的開源WiFi 802.11 a/b/g/n第2層WiFi嗅探器應用程序，該工具可以用於入侵檢測，同時也非常適用於無線網絡故障排除，並與任何支持rfmon模式的WiFi卡兼容。您也可以在多種桌面平台上使用它，包括windows、BSD、Mac OSX以及Linux等。

Kismet能显示AP詳細信息，包括隱藏的SSID，還能捕獲原始無線數據包，還可以將數據導入 Wireshark、TCPdump等工具進行分析。該應用程序專為客戶端-服務器模塊化結構設計，因此可以輕鬆檢測802.11b, 802.11a, 802.11g, and 802.11n流量。

傳送門：

　　7. Cain & Abel

為了破解台式機上的無線網絡密碼，Cain & Abel是一款為攔截網絡流量而開發的可靠工具。一旦攔截了流量，它就會使用暴力強制攻擊方法來識別密碼。此外，Cain&Abel還可以通過掃描路由協議來識別無線網絡，因此它可以用來破解不同類型的密碼。

當然，它不僅是一款流行的WEP破解工具，而且非常適用於Windows密碼破解。事實上，如果你正在尋找一個專門用於微軟Windows操作系統的密碼破解工具，Cain & Abel可能是最好的選擇。這款以亞當和夏娃的兒子命名的工具，可以使用不同的方法來識別密碼，例如網絡包嗅探，也可以執行暴力算法、字典攻擊以及密碼分析等。

這還不是全部，使用該Windows wifi黑客軟件，你可以記錄VoIP對話，解碼混亂的密碼，獲取緩存數據，並獲得路由協議。這個強大工具的最新功能是ARP支持嗅探交換局域網和中間人(MitM)攻擊。

傳送門：

　　8. Wireshark

Wireshark無疑是最著名的網絡協議分析器，您可以利用該工具來檢查家庭或辦公網絡等不同方面的無線連接。例如，您可以通過檢查微觀層面的數據來捕獲和分析數據包，以識別與Wi-Fi網絡相關的某些事情。

Wireshark工具適用於所有主流平台，包括Windows、Linux、OS X、BSD等，雖然它不會直接幫助您恢復明文密碼，但它可以幫助您以最佳方式嗅探數據包。這款軟件能夠幫您檢查數百個協議，並通過實時捕獲和離線分析獲得最佳結果。

Wireshark不僅可以捕獲無線數據，還可以捕獲藍牙、以太網、USB、令牌環(Token Ring)、FDDI等實時數據。但是，我們建議您在使用Wireshark工具之前，先了解一些有關網絡和協議的基礎知識，不然的話，你可能會發現該工具用起來存在一定困難。

傳送門：

　　9. Fern WiFi Wireless Cracker

Fern WiFi Wireless Cracker工具可以用來實時分析您的網絡主機和流量，以確保最大的安全性。同時，該應用程序還可以用於識別和修復計算機網絡中的漏洞，它同樣適用於所有主流桌面操作系統平台，包括MS Windows，OS X和Linux等。

這個用Python語言編寫的黑客程序，可以在以太網和無線網上運行多種網絡攻擊。它的主要亮點是WEP/WPA/WPA2/WPS破解、會話劫持、中間人攻擊、暴力破解等。為了破解WPA/WPA2，該工具會利用基於WPS的字典攻擊;而對於WEP破解，該工具會利用Hirte、ARP請求重放、Fragmentation、Chop-Chop、Caffe-Latte或WPS攻擊等方式。

該工具目前正在進一步開發中，並且正在進行更新升級，Fern的專業版(Pro)可用，但是功能並沒有該版本高級。

傳送門：

　　10. CoWPAtty

CoWPAtty是一款自動化的字典攻擊工具，用於破解基於WPA-PSK網絡的密碼。它兼容Linux操作系統，新版預置了包含上千個流行SSID的17萬個字典文件，大大提高了破解速度，但是CoWPAtty的命令行界面很平庸。如果在單詞列表中識別了密碼，那麼該工具就可以成功破解它。

其突出缺點就是運行速度太慢，因為它必須掃描成千上萬的密碼，並且還因為它的散列使用帶有SSID seed的SHA q，這就意味着，相同的密碼將具有不同的SSIM。該WiFi黑客工具使用密碼字典和SSID，為字典中的每個單詞生成了一個散列。

目前，運行速度問題已在最新版本的CoWPAtty中得到了解決，因為它使用pre-computer散列文件來防止破解過程中的計算。目前，已經有約17000個字典文件，用於1000個流行的SSID，但是攻擊要成功，你的SSID必須要在列表之中。

傳送門：

　　結束語

上述適用於台式機和Android設備的最佳WiFi黑客應用程序列表，提供了可以免費下載或具有開源許可證的工具。這些工具均能夠破解Wi-Fi網絡密碼，但是具體破解時間可能會因密碼的複雜性和長度而有所差異。

我們建議大家，僅將這些工具用於教育和學習目的。對於道德黑客行為而言，這些都是完美的應用程序，但是萬不可利用這些工具實施非法黑客活動。請謹記，任何未經授權的無線網絡訪問行為都屬於網絡犯罪的範疇。沉迷於此類非法活動只會害人害己，因此，建議您做出明智而安全地選擇。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

10款最佳免費WiFi黑客工具（附傳送門）

網站內容來源http://server.it168.com/

新浪安全中心：Redis 威脅流量監聽實踐

2018-06-26 15:49    來源：新郎安全中心 　作者: 糖果LUA　編輯:
0購買

　　概要

我們在平時的安全運維中，Redis服務對我們來說是一種比較常見的服務，相應的Redis漏洞也比較棘手，網上有很多關於Reids漏洞利用和再現的方法，如果想延伸一下這個課題，我們可以考慮如何主動的防護redis的漏洞，那怕只是監聽redis服務中，可能存在的威脅行為，先解決一部分問題?這個就是本文要給出的一個思路和解決方案。關鍵是，現在有些系統是不提供這種服務的，所以我們嘗試定製開發。

　　背景

我們在再現redis的漏洞時，用tcpdump等工具，抓取了滲透的流量，把威脅流量保存寫到pcap包中，經過分析我們發現redis的協議數據是明文的，經過截取包，我們可以看到其中的內容，所有的這些set、get、dir、config命令一般的流量中我們都可以看到，在redis密碼沒有設置的情況下。我們發現一般的防火牆也並不抓取redis的流量並解析，甚至是報警。基於我們之前的實踐，既然tcpdump能抓到，我們用pcap基礎開發包也可以抓到。

　　防護策略

既然我們可以抓取流量，就可以監聽redis的流量中的內容，先期的預想是，只要我們分析出redis攻擊行為幾個動作序列，採用行為模式匹配的方式，只要有人觸發了比較危險的幾個動作指令，我們就把這次Redis操作列為一個可疑的行為，並對這種形為的IP進行監聽日誌留存，並把威脅攻擊IP相關的屬性信息，和其它設備中的威脅數據做碰撞，這一切基礎前提就是：我們可以抓取訪問者的流量(靠工具)，並識別他的行為動作(靠策略)。下面我們就用工具監聽redis的set、get、config命令為例子，通過這個來展示整個流程的監聽過程。

　　監聽部署

為了測試，我們是把某個機房的某個網段的流量，鏡像集中到另一台服務器上， 我們集中監聽打到這台服務上，其它的Redis的服務的流量匯總，我們通過分析這些Redis服務的操作內容，進行流量監控和行為識別，然後將監聽的威脅行為數據保存到威脅行為庫里。

　　工具實施

這個監聽系統工作模式就這樣，接下來就是我們要用工具實施我們方案，我們選用的工具還是傳統的C語言和Lua的腳本方式，用C讀取監聽6379端口是的流量數據，然後將解析出來的數據推給Lua進行模式匹配。

一般的攻擊行為都有一個大概的請求序列，Redis服務本身就是系統內存的一個服務器監聽程序，一般會Bind本機的IP，監聽默認的6379端口，如果Redis的對外提供服務，需要改變redis.conf的配置，打開配置文件對應把bind xxx.xxx.xxx.xxx的IP改成你本地的網卡IP，這樣在外部使用Redis訪問，才不會出現端口訪問被拒絕的情況。

改變IP后，我們要解決的是密碼設置問題，如果有一天某台Redis的密碼“消失了”。 這時這台機器可能會被威脅利用，這時就滿足了我們要設定場景，重現這種情況就要把redis.conf中的密碼去掉。

這種啟動方式，是不能滲透成功的，我們要用下面的方式進行redis的服務啟動，進入root然後輸入:

如果我們想簡單的用Tcpdump截取Redis數據包，我們可以用下面的命令：

我們可以一邊滲透Redis，一邊記錄這次滲透過程中，攻擊指令的序列數據。 下面就是用我們要用的工具，用於監聽和解析Redis的流量數據的數據：https://github.com/shengnoah/riff

我們下載這個pcap監聽的工具包,我們默認的工作平台是： make linux

因為，這個工具在linux上使用，用C實現，嵌入了Lua腳本插件化的處理，來獲取監聽接口的數據，本文中提的是對6379接口的監聽。我們在完成編譯動作后，需要改一個config.lua的配置。

打開config.lua， 修改return的返回值，告訴C主進程，我們讓Pcap監聽本機的6389端口，以下。

需要注意的是watch.c的代碼，以下

getPacket()這個函數，主體功還是把數據推給lua，基本的邏輯就是這麼簡單，關鍵就是這個有個入口buffer.lua，我們記着這個時序的入口就行，便於以後面的邏輯的理解清楚。 從buffer.lua這個執行序開始后，邏輯都交給lua來處理了，具體lua怎麼處理，要自己根據自己定製的規則情況寫處理邏輯。

Lua代碼一直運行在pcap的循環內，採用的是插件機制，我們加一個處理，就相當於要加一個插件。插件模板的代碼都是類似的，我們看一個其它的就看懂了，其它相關腳手架的代碼不介紹了：

用lua寫代碼，是為了降低策略實現部分的代碼複雜度，最關鍵的函數filter_plugin.action()，這裏的stream.data就是吐到6369上的所有數據，包括Redis相關的執行的get、set、config等請求都會在這個變量里中的所體現。我們先打開redis-cli的客戶端，發送一個set指令看看，看我們的程序是否可能監聽到。

我們啟動這個基於pcap庫的監聽程序，畫紅色圓的地方就是，pcap主循環推給lua腳本的數據。

“set a www.candylab.net”的整個指令的數據內容都在。

　　總結

到此我們完成了整個監控程序的執行周期，通過這個工具，所有經過6379端口的數據我們都可以取得到，至於客官們想針對什麼樣的的reids攻擊，寫出對應的策略，編寫lua插件邏輯就可以了。本身lua的代碼實現就不複雜，提供的數據結構操作類似字符串序列這種數據也很方便，代碼可以到github上直接下載，如何變動，具體就看各自的需求和各自的策略設計了。簡單說，剩下的工作就是用lua寫攻擊模式的甄別。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

新浪安全中心：Redis 威脅流量監聽實踐