安全周事记(20190121)

• 1.14 TorPCAP：Tor网络取证分析技术
  ‘Tor会在localhost（127.0.0.1）的TCP 9150 端口上创建一个SOCKS代理侦听。Tor浏览器会通过该SOCKS代理将其流量加密并转发到Tor网络。这意味着通过嗅探本地主机上的流量，实际上我们可以创建一个固定的取证路径，追踪PC发送到Tor网络和从Tor网络发送的所有流量。’

  吐槽：我分析我自己？

• 1.15 年度挖矿木马研究报告： 2018从“蛰伏”到“鼎盛”
  挖矿木马家族提供漏洞武器、战术或者出售僵尸机给其他恶意家族，而其他恶意家族则购买僵尸机或者开发定制木马给挖矿木马家族。

  吐槽：经济不景气时，黑产也开始开源节流，多方向发展。

• 1.15 移动平台新型诈骗解析
  新型诈骗：诈骗者借助“金融理财”，“网络彩票”等类型软件设置骗局，获取得用户信任，实施诈骗。
  

  吐槽：提高普通民众安全意识往往比产品更有用。

• 1.16 利用分块传输吊打所有WAF
  1. 使用注释扰乱分块数据包
  2. 畸形的分块数据包绕过ModSecurity

     吐槽：总的来看，过WAF就是规则测试，绕过。跟病毒过杀软是几乎一个道理。

• 1.16 疑似DarkHydrus APT组织针对中东地区的定向攻击活动分析
  2019年1月9日，360威胁情报中心捕获到多个专门为阿拉伯语使用者设计的诱饵文档。钓鱼文档为携带恶意宏的Office Excel文档，恶意宏代码最终会释放执行一个C#编写的后门程序，该后门程序利用了复杂的DNS隧道技术与C2进行通信并执行指令，且通过GoogleDrive API实现文件的上传下载。

  吐槽：目前APT往往都是通过文档的语言，内容描述来判断其针对性。如果文档或邮件是内部某一位员工呢？

• 1.16 Voipo 发生严重的数据泄露事件：价值数十亿美元的客户资料被曝光
  Voipo 由于其中一个后端的 ElasticSearch 数据库未受到密码保护，因此任何人都可以查询双向发送的实时呼叫日志和文本消息流。

  吐槽：数百万数据泄露，感觉已成常态。

• 1.17 iOS取证技巧：在无损的情况下完整导出SQLite数据库
  iOS上当前内置的SQLite支持调试选项：如果设置了SQLITE_SQLLOG_DIR环境，则每个数据库在给定目录中都会有一个副本，且sql查询为纯文本形式。

  吐槽：需要解锁并授权可信连接。

• 1.17 一款注入型勒索病毒Ryuk，拉开2019年勒索病毒攻击的序幕
  Ryuk勒索病毒最新于2018年8月由国外某安全公司进行报道，短短两周内净赚超过64万美元的比特币，同时跟踪发现它与HERMES勒索病毒相关联，此外也有消息称HERMES勒索病毒与朝鲜黑客组织Lazarus有关联。Ryuk勒索病毒主要通过垃圾邮件以及漏洞利用工具包进行传播，专门用于自定义攻击，Ryuk的感染和传播过程都是由攻击者手动执行的，被加密的文件以.RYK后缀结尾。

  吐槽：病毒也要有自己的特色，否则难出名。

• 1.18 国内网站内容篡改现状调查
  网站黑帽SEO趋势：注册已经被政府机关抛弃但曾用过的域名用来搭建博彩等暴利网站，大量政府机关含有旧域名链接的网页就成了非法站点的天然外链，可以有效提升其PR值。

  吐槽：一方面，事业单位更应注重网络资产重要性；另一方面，0信任安全架构确实很重要。

• 1.19 2018年Windows服务器挖矿木马总结报告
  2018年，挖矿木马已经成为Windows服务器遭遇的最严重的安全威胁之一。这一年，在挖矿木马攻击趋势由爆发式增长逐渐转为平稳发展的同时，挖矿木马攻击技术提升明显，恶意挖矿产业也趋于成熟，恶意挖矿家族通过相互之间的合作使受害计算机和网络设备的价值被更大程度压榨，合作带来的技术升级也给安全从业者带来更大挑战。2019年，挖矿木马攻击将继续保持平稳，但黑产家族间的合作将更加普遍，“闷声发大财”可能是新一年挖矿木马的主要目标。

  吐槽：挖矿随着矿的价值越来越低，必然走向普通木马之路(对不可控资产价值的依赖，往往不如对已知资产的深度利用——说的就是你，勒索病毒)。

• 1.20 黑灰产一出手就是200多亿，这次遭殃的是拼多多
  拼多多遭薅羊毛，疑似损失百万——黑产造势损失几个亿，并公开薅羊毛方法，以用’法不责众’避开处罚。

  吐槽：黑产的这波操作简直666.

  1.21 拼多多：优惠券Bug属网络诈骗 与此前事件存本质差别
• 1.21 病毒利用安全产品模块 劫持流量、攻击其他安全软件
  火绒安全团队发现，病毒团伙正利用”远景”论坛的系统镜像文件传播后门病毒”WenkPico”。该病毒入侵用户电脑后，会劫持导航站、购物网站以及软件安装包流量，牟取暴利。同时该病毒还利用国内某安全厂商的产品功能模块，攻击其它安全软件，让部分安全软件的”云查杀”功能失效，使用户电脑失去安全防护。

  吐槽：杀软和病毒的终端攻防经久不衰。

• 1.21 攻击组织”Cold River”：网络流量与Agent_Drable恶意程序深度分析
  原文地址：https://www.lastline.com/labsblog/threat-actor-cold-river-network-traffic-analysis-and-a-deep-dive-on-agent-drable/
  针对中东地区的APT攻击，这次攻击中使用了新的TTP – 例如Agent_Drable恶意程序利用Django 框架来搭建C2服务器，”Cold River”是一种复杂的威胁，他使用了DNS子域劫持，证书欺骗，隐蔽的C2通信方式，复杂又极具迷惑性的诱饵文档以及定制化的恶意程序。

  吐槽：国内翻译文的质量真心……

• 1.21 技术分享 | 多种测试HTTP身份验证的方法
  原文：https://www.hackingarticles.in/multiple-ways-to-exploiting-http-authentication/
  通过多种攻击进行爆破。

  吐槽：国内翻译文的质量真心……

• 1.21 U盘钓鱼的实现和防范
  主要还是诱导插入U盘并点击伪装的恶意代码。

  吐槽：评论说这个很low，而实际上这确实是非常有效的一种方法——特别是针对行政、财务等非技术人员。

• 1.21 层层监管下玩出花样，34亿赌资是如何进入赌博幕后人口袋的？
  

  吐槽：总结的一般，勉强可以算科普文。

​