小白帽 · 2015/12/31 18:23
當你啟程前往伊薩卡,但願你的道路漫長,充滿奇蹟,充滿發現——卡瓦菲斯 希臘以此紀念2015,即將逝去的中國威脅情報元年。
author:threatbook
我們建議企業高管們立即採取以下措施:
連線酒店wifi請慎重,收發敏感資訊可用移動通訊網路。
通過對捕獲的可疑swf檔案進行分析,確認此樣本利用了adobe flash整數溢位漏洞 (即此次adobe修復的cve-2015-8651漏洞)。受攻擊者訪問此swf檔案後,漏洞利用成功會跳轉到下面這段shellcode:
update.exe約1.3mb, 具有完整的檔案屬性,偽裝成ssh金鑰生成工具:
通過逆向分析發現,木馬作者篡改和裁剪了正常的openssl檔案,篡改後的版本只提供乙個引數:-genkeypair
。無論是否傳遞此引數,木馬檔案都會首先釋放乙個公鑰在當前目錄用於干擾判斷,同時進入真正的惡意**部分。此樣本未進行**混淆,但是採用了多種反除錯/反虛擬機器技術及欄位加密,通過檢測各種系統環境來判斷是否有反病毒軟體及沙箱存在,比如:
隨著對此攻擊事件的目標、工具、手法和過程更詳細的分析,我們發現其特點和暗黑客棧(darkhotel)有著非常驚人的一致。
暗黑客棧(darkhotel)apt攻擊團夥的蹤跡最早可以追溯到2023年,其從2023年開始更多的利用企業高管在商業旅行中訪問酒店網路的時機,進行apt攻擊來竊取資訊。因此在2023年卡巴斯基發布針對此團隊的研究報告時,將其命名為「darkhotel」。此團夥攻擊目標集中在亞太地區開展業務和投資的企業高管(如:ceo、svp、高管及高階研發人員),攻擊的行業包括大型電子製造和通訊、投資、國防工業、汽車等。
此團隊使用零日漏洞(特別是flash型別)來進行攻擊,並規避最新的防禦措施,同時也會盜竊合法的數字證書為後門軟體及監聽工具進行簽名。如果有乙個目標已經被有效感染,往往就會從作案點刪除他們的工具,進而隱藏自己的活動蹤跡。從其行動特點看,具有極高的技術能力及充沛的資源。
我們對此次事件和暗黑客棧(darkhotel)的特點進行了對比,認為有充足理由認定其就是始作俑者。
通過此事件,我們再次認識到在萬物互聯的年代,單純基於漏洞的防禦往往是防不勝防。只要有足夠的價值,黑客就有足夠的投入和機會攻陷目標。我們需要及時的調整防禦思路,平衡安全投入,更多的聚焦威脅,以威脅情報驅動安全體系建設,建立防禦、檢測、響應及預防一套完整的安全自適應過程。
2011提高組選擇客棧
麗江河邊有n 家很有特色的客棧,客棧按照其位置順序從 1 到n 編號。每家客棧都按照某一種色調進行裝飾 總共 k 種,用整數 0 k 1 表示 且每家客棧都設有一家咖啡店,每家咖啡店均有各自的最低消費。兩位遊客一起去麗江旅遊,他們喜歡相同的色調,又想嘗試兩個不同的客棧,因此決定分別住在色調相同的兩家...
NOIP2011提高組(選擇客棧)
題目大意 中文題。就不解釋了 題目思路 看了其他巨巨的blog寫的,dp思路 include 時間複雜度o n 空間複雜度o 5n include include include include include include include include include include incl...
NOIP2011 提高組 選擇客棧
今天考了noip11年的一些題,這道題是day2 t1,考試的時候我只想出了o n 2 的演算法,拿了七十分,下午改了兩個多小時,但是還是只寫了乙個o nlogn k 的演算法,但是在機房的老爺機上已經可以過了 鏈結在這裡 我們可以把每一種主題相同的客棧先用二維陣列存下來,同時記錄滿足費用 p的客棧...