欢迎光临
我们一直在努力

“拔网线”,解决不了安全产品0Day问题

Ysck阅读(9)

 

转载:中国信息安全

我们该如何看待0Day漏洞?0Day漏洞曝出后,企业该如何应对?安全从业者又该如何树立正确的“漏洞观”呢?

日前,一年一度的大型线上攻防对抗大赛已圆满落下帷幕。但今年的演习尤其热闹,乙方安全产品频频被曝出0Day漏洞,各种真假消息满天飞,让甲方企业每天都惴惴不安,开始用看”内鬼“的眼光看待自己的安全防线。为应对安全产品0Day问题,有的甲方企业甚至采用了关机、拔网线、下线安全产品等极端方式,直接让业务系统处于“裸奔”状态。

这种乱象不禁让业界陷入深思。

甲方企业平日几乎不会遇到0Day攻击,但在攻防对抗大赛期间,平日精心构筑的安全体系集中被曝出多个0Day漏洞。这真是巧合?有业内专家推测,这极有可能是攻击方将前期早已积累好的0Day武器库,在这段时间内集中曝出,让防守方措手不及。但这种完全失去了攻防演练初衷的行为真的可取吗?在不知道这些漏洞是否也被其他别有用心的人或组织掌握的情况下,为什么不尽早通知相关企业和厂商进行修复?在今天这种复杂的国际形势下,如果这些0Day漏洞一旦被敌对势力获取,后果将不堪设想。

那么我们该如何看待0Day漏洞?0Day漏洞曝出后,企业该如何应对?安全从业者又该如何树立正确的“漏洞观”呢?

 

不要幻想安全产品没有漏洞

只要有代码,就有漏洞。据公开数据显示,每1000行代码就会有4-6个漏洞,这一规律也同样适用于安全产品。因此,将“天下无洞”的使命,全交给安全产品来承担,不现实也不可能。

0Day漏洞本身就是个永恒的问题,它是对一种未公开漏洞的特殊称呼,本质来说还是一种漏洞,不过这种漏洞还未被公开。IT系统的0Day一直层出不穷,从操作系统、中间件、应用系统、软件以及使用的开发库、插件等都会出现各种0Day,可以说,0Day漏洞就是伴随着各类IT产品的出现而产生。因此,专门有部分安全产品是为了防止0Day攻击而存在的。

但是安全产品自身也无法避免0Day攻击,因为安全产品本质上也是一种代码开发出来的产品,哪怕是国际的一线安全厂商,比如Palo Alto Networks、Trend Micro等在2020年也持续有漏洞曝出。因此,将“安全漏洞”和其它系统缺陷问题区分对待并没有实际意义,因为任何一个缺陷在某种条件下都可能成为一个安全漏洞。绝对完美的产品是不存在的,任何软件和硬件工程下生产的产品都会出现漏洞,只是还没有被发现或还没有被利用,安全隐患始终存在。

 

面对漏洞不可因噎废食

正如Linux的创始人Linus Torvalds说过:我们需要尽量避免漏洞,但不可能完全消除。技术本是中性,安全产品也一定存在漏洞,没有必要因为这次演习期间,被真真假假的漏洞吓到,就因噎废食,开始怀疑安全产品的价值。

没被曝出漏洞的产品,不代表就比已经被曝出漏洞的产品更安全,可能只是漏洞未被发现。安全产品的价值是减少IT链条上的风险和入侵,这一核心价值不会因为漏洞的存在而消失,合理部署安全防护产品仍然是抵御网络攻击的最佳方式。

作为用户,需要正视安全产品本身存在漏洞的现实,但更要认识到,对这些漏洞的处置,也是和常见的操作系统、数据库、网络产品的漏洞一样。面对0Day漏洞,切莫闻“洞”色变,自乱阵脚,大部分都可以通过合理配置、规范操作流程来规避。同时,建立良好的安全意识和运维习惯,就可以做到对常见安全事件“免疫“。

0Day漏洞不是企业攻防常态。正如前文所说,0Day在日常安全工作中并不多见。微软曾在一份安全漏洞报告中称,所谓的0Day漏洞威胁被夸大了,由0Day漏洞引入的病毒小于1%。相反,一些社会工程攻击,如钓鱼行为,占所有恶意程序的传播总量的45%。单纯依靠0Day漏洞攻击成功事件所占比例,远低于包括弱密码、不合规配置、安全意识不够等基础工作不到位引发的安全事件。这就犹如每年因为飞机失事导致死亡的人数,远低于其他交通事故的死亡人数。

当然,这并不是说安全厂商不需要加强自身产品的安全性,相反,安全厂商更需要加大对产品安全性的投入。对于安全从业者而言,需要树立正确的漏洞观念:漏洞不可怕,可怕的是对待安全的态度。既不可幻想“天下无洞”,也不可 “因噎废食”。犹如火的出现推动了社会进步,但人们并不会因为惧怕火灾所造成的伤害,就倒退回原始时代茹毛饮血的生活。

 

建立正确的漏洞披露机制

既然漏洞不可避免,那么建立一个安全有效的漏洞披露和沟通机制就至关重要。目前这种集中曝出安全产品漏洞的行为,不仅将安全产业置于一种被质疑的尴尬境地,也给甲方企业带来了极大的安全风险,更给国家安全带来了安全隐患。不管是一时的炫技,还是有针对性地行为,都绝不是一种负责任的态度。

目前,针对漏洞管理,国家层面有CNNVD、CNVD等国家漏洞库,由国家相关职能部门维护运营,负责统一采集收录安全漏洞和发布漏洞预警公告,有着较为完善的漏洞资源收集、通报以及消控机制。漏洞库收录漏洞后,会通知厂商采取漏洞修补或防范措施后再予以公开,供安全研究人员学习和借鉴,帮助厂商及时查缺补漏,推动我国网络安全行业良性发展。

2019年6月18日,工业和信息化部发布了《公开征求对<网络安全漏洞管理规定(征求意见稿)>的意见》(以下简称《意见》),全文共十二条,系统地规范了网络产品、服务、系统的网络安全漏洞验证、修补、防范、报告和信息发布等行为。

在《意见》中明确规定,第三方组织或个人向社会发布网络安全漏洞信息的要求:必要、真实、客观、有利于防范和应对网络安全风险。

  • 不得在“官宣”前抢先向社会发布。即不得在网络产品或服务提供商和网络运营商向社会或用户发布漏洞补救或防范措施之前发布相关漏洞信息,以免恶意攻击者利用漏洞信息给更多的组织机构造成危害。
  • 不得夸大影响,营造恐慌气氛。即不得刻意夸大漏洞的危害和风险。
  • 不得提供乘人之危的方法、程序和工具。即不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。

网信办2019年11月20日发布的关于《网络安全威胁信息发布管理办法(征求意见稿)》中规定,不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争;发布网络安全威胁信息,应事先征求网络和信息系统运营者书面意见,并必须向主管部门报告。同时,发布网络安全威胁信息不得危害国家安全和社会公共利益,不得侵犯公民、法人和其他组织的合法权益。

 

总结

甲方企业:针对安全产品漏洞,以“拔网线”为代表的过度反应,并不能解决安全产品的0Day问题。甲方企业需要接受漏洞不可避免的现实,用合理的眼光看待安全产品的漏洞,做好漏洞管理消控工作,切不可因噎废食。

安全企业:在当前的安全新形势下,安全行业务必要改变过去“重业务,轻安全”的态度。

很多安全厂商虽然都拥有自己的攻防团队,但是在自家产品的安全性投入上远远不够。打铁还需自身硬,安全厂商需要把安全的第一道防线放在自己产品的源头,强化自身的开发管理,加强产品的安全性,以及做好相关的升级服务。

最后,要充分认识到漏洞披露的重要性。在网络空间博弈日趋激烈的今天,漏洞已经成为一种战略资源,直接关系到国家网络空间安全。不规范的漏洞披露伤害的是用户和产业,甚至危及国家安全。维护网络安全,人人有责。在法律法规或漏洞披露策略的框架下,通过安全合理的漏洞披露渠道和机制,才能够促进安全社区的健康发展和安全技术的进步,推动我国网络安全事业的健康发展,为我国整体网络安全防线贡献应有的力量。

起底数字货币的觊觎者Lazarus长达十三年“环环相扣”风暴狂潮

Ysck阅读(8)

 

【导读】金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分。然而,伴随信息化、数字化迅猛发展,针对这一领域的网络攻击,也从最初的金融诈骗转型到数字货币中。更为值得注意的是,这些年,由国家级力量以APT攻击手法针对金融行业的渗透,越发凸显。这其中,最为突出的代表为朝鲜黑客组织Lazarus(APT-C-26)。近日,360安全大脑就以《数字货币的觊觎者——Lazarus(APT-C-26)针对国内数字货币相关威胁活动综合研判》为议题,展开更深入性的探讨。叱咤金融十三载,这起“黑客大盗”——Lazarus组织如何一步步横扫全球,走向“黑产致富之路”?又如何紧跟百年未有之大变局的时代转型,逐步向数字货币领域渗透?其中又有哪些不为外界所知的攻击手段与内幕?本期,智库将与360政企集团高级威胁研究院研究员刘嘉磊,一同起底这位数字货币的“觊觎者”。

纵观世界近现代史,大国崛起往往离不开金融强有力的支撑。即使被外界戏称“社会发展最为孤立神秘的国度”朝鲜,也深谙此道。

所以,即使身处弹丸之地,常年实施经济封锁,也仍凭借两大杀伤性武器——核与黑客组织,令世界为之颤抖。而其最为“知名”的黑客组织Lazarus (APT-C-26),正与金融密切关联。可以说,Lazarus的存在与行径,是世界金融行业挥之不去的噩梦。

9月27日,360政企集团高级威胁研究院研究员刘嘉磊,登上被业界称为“国内首家网络安全行业B站”ISC平台,就《数字货币的觊觎者——Lazarus(APT-C-26)针对国内数字货币相关威胁活动综合研判》进行了精彩直播,此次演讲,不仅披露了该组织13年来针对全球数字交易所的攻击行径,还以三年三大经典案例——2018年针对上海某交易所定向攻击事件,2019年针对数字货币交易所大规模集中攻击事件,2020年暴风行动-利用MATA框架相关攻击活动,进行了更深入性的分析研讨。

 

长达13年攻击渗透 起底数字货币觊觎者——Lazarus

自2007年起,Lazarus (APT-C-26)组织一直活跃并至今,后续一系列因朝鲜而引发的全球性网络攻击事件均有其身影。然而,与以往APT组织展开的网络战博弈不同,自创立起Lazarus (APT-C-26)组织便打着“牟取经济利益”的旗号在国际范围内四处敛财。在场长达十三的攻击渗透中,Lazarus所涉猎的每一步都备受国际安全界的关注。与此同时,目标领域也随着时局的变化而变化。

1、战场转移:从传统金融战场转移到数字货币等新兴领域

纵观Lazarus组织的十年攻击历程,我们发现:自2014年起,Lazarus的“敛财”攻击达到制高点,美国、孟加拉、俄罗斯、挪威、墨西哥、澳大利亚、印度、波兰、秘鲁等国的金融市场无一幸免,甚至辐射至全球金融业市场。而伴随着比特币和加密数字货币价格的暴涨,作为全球金融机构的首要威胁,Lazarus也将攻击“枪口”由传统金融行业逐步转向数字货币市场,全球加密货币组织及相关机构都成为众矢之的。

2、涉猎扩张:数字货币交易所成“主战场”,中、日、韩等国家首当其冲

据研究院介绍,Lazarus组织从2016年开始转战数字货币领域,从2017年开始相关攻击逐步异常活跃。攻击目标主要为全球范围内数字货币交易所,涉及中、日、韩等亚洲国家。

如下图所示,2017年至2019年期间,全球数字货币交易约6.4亿美元的数字货币被Lazarus组织盗取,其中,youbit在经历两次黑客攻击后,直接申请破产。

(针对全球数字货币交易所)

而针对我国的攻击中,其目标大部分是数字货币交易所人员,也有少量数字货币交易的用户。其中主要涉及:OKEX、多比(Dobitrade)、中币(ZB)、富比特(FUBT)、D网数字(DAEX)等交易所。

(针对国内的攻击影响)

如上不难看出,金融犯罪早已成为朝鲜国家级黑客组织Lazarus(APT-C-26)的“主战场”。那么,“黑客大盗”Lazarus(APT-C-26)是如何一步步完成横扫全球任务,走向黑产“致富之路”的呢?这还要从其最为知名的三大案例谈起。

初露锋芒篇:一部电影“走红”黑客界

2014年,一部电影令Lazarus(APT-C-26)组织意外走红。当时,索尼影业在Youtube上首发电影《刺杀金正恩》预告片,引起了朝鲜人民强烈不满,仅仅10天之后,Lazarus组织就入侵索尼影业窃取11TB的敏感数据,其中包含泄露大量的还未发行的影片资料,以及高管间的秘密邮件和员工的隐私信息,促使索尼公司不得不宣布取消该电影的发行和放映计划。

此次事件,无疑刷新全球安全界对朝鲜黑客的认知,并让朝鲜在世界面前赚足了“脸面”。而尝到了甜头的朝鲜更是野心勃勃,将攻击火力延伸至全世界。

攻击进阶篇:WannaCry全球比特币勒索案

正所谓,木秀于林,树大招风。经历“电影门”事件接连被各大网络安全机构“扒皮”之后,Lazarus组织开始全面进攻金融行业。彼时正是币圈风口,Lazarus自然就将目光转向比特币。至此,席卷全球的WannaCry勒索案爆发。

全球近150个国家被波及,大量政府机构和公共设施被瘫痪,至少30万用户电脑中招,医疗、教育、金融等多个行业全部受到影响,经济损失高达80亿美元……这一事件,再度为Lazarus组织平添了浓墨重彩的一笔。斩获屡屡功勋之下,Lazarus踏足数字货币之路也正式启动……

敛财王者篇:瞄准数字货币四处作案

随着数字世界的发展,斗转星移间数字货币成为金融圈的“弄潮儿”。其中,由于数字货币的去中心化和匿名性特点,众黑客组织皆想在此领域分得一杯羹。至此,Lazarus组织的敛财计划正式全域开启。

在本次360政企集团高级威胁研究院,就独家首次披露了Lazarus组织针对我国数字货币三起重磅攻击案例:

  • 2018年,针对上海某交易遭遇定向攻击。这是360高级威胁研究院截获的首例针对国内相关数字货币机构的APT攻击活动。攻击者通过社会工程学方式进行攻击,前期伪装身份沟通骗取加密货币机构核心人员的信任,随后伪造数字货币问卷调查文档进行攻击。最终通过溯源关联分析,确认此次攻击和Lazarus组织相关,并在进一步研讨中,研究院将其定性为一起经过精心筹划针对国内数字加密货币机构的APT攻击行动。
  • 2019年,针对数字货币交易所大规模集中攻击。去年,在数字加密货币的“Celas Trade Pro”遭遇网络攻击后,360高级威胁应对团队持续跟踪,发现该组织的攻击仍处于活跃状态,并启动新的“Worldbit-bot”等一系列攻击活动,而该攻击行动正与区块链安全团队降维披露的交易所被黑事件存在关联。经360安全大脑进一步追踪溯源,最终确认,这是Lazarus组织针对OKEX等多家知名数字货币交易所发起的攻击行动。
  • 2020年,暴风行动-利用MATA框架攻击事件。今年,卡巴斯基披露了一个多平台恶意软件框架——MATA。360安全大脑对其进行进一步追踪溯源,发现了一类利用MATA框架针对加密货币行业相关人员的攻击活动。不管是攻击目标所属的数字金融业,还是攻击技术手法采取的后门程序攻击,都间接显示MATA框架可能和Lazarus 组织存在关联。

由此看见,暴露于大众视野下的Lazarus组织已然成为黑客界的“致富小能手”,其行径也愈发猖獗。而这就不得不归咎于Lazarus组织手段的“高明”之处。

 

探门理 深究Lazarus组织的“谋财”手段

随着360安全大脑对Lazarus组织的进一步分析窥探,我们发现,Lazarus组织在“谋财”方式上,也颇具手段。面对攻击对象差异性,其攻击招式更是“因地制宜”。

大众化攻击 之 以鱼叉邮件为主的定向攻击

在初始攻击环节,该组织整体以鱼叉邮件为主。然而,在近期相关攻击活动中,360安全大脑发现其利用如微信之类的即时通讯工具的投放也尤为频繁。除此之外,还有通过网盘传播,或者伪装官网的方式进行投放。另外,据相关情报线索反馈,该组织也会采用网站挂马、行业论坛散布后门等方式,不过此方式多用于对他国的攻击,在针对我国的攻击活动中暂未明显体现。

邮件攻击投放流程

即时通讯工具进行传播

然而,无论采用哪种传播途径,最终投放的是捆绑后门的应用软件或漏洞文档,其中以前者居多,而且主要选择仿冒该领域常用的数字货币交易软件

定制化攻击 之 围绕数字货币话题为诱饵社工

围绕数字货币领域相关话题,针对重点目标用户(如交易所管理层人员),Lazarus组织展开相应定制化的诱饵社工。而针对开发、运维等人员,则会选择伪装相应软件进行诱导植入,我们归纳为以下三方面:

1)利用数字货币类定制化资讯

利用比特币数字加密货币调查问卷展开攻击,受害者打开文档后将触发播放远程的flash漏洞文件,执行恶意代码安装木马程序。

调查问卷文档

2)伪装自动化交易软件

Lazarus模仿开源交易软件“Qt Bitcoin Trader”开发了一款名为“Celas Trade Pro”的数字加密货币交易软件,同时又定制了相应的网站和签名。攻击者通过邮件定向推广带有后门的Celas Trader诱使目标币所工作人员下载使用。

精心构造的Celas Trade Pro官网

Celas Trade Pro交易软件(2018)

2019年1月到3月,Lazarus组织根据开源的“Qt Bitcoin Trader”软件修改加入恶意代码,改造成名为“Worldbit-bot”的自动交易软件。然后使用之前注册的域名伪装成正规的数字货币自动交易软件的官方网站,进行了长达半年时间的运营。

“Worldbit-bot”软件和该组织去年实施的“Celas Trade Pro”攻击在主体功能上无太大差异,属于同一个攻击框架。

Worldbit-bot交易软件(2019)

2019年7月到11月,lazarus再次使用相同的套路针对数字货币交易所进行攻击,不过这次更改了模仿对象,模仿的开源软件变为“Blackbird Bitcoin Arbitrage”。攻击的目标仍旧为数字货币交易所,依旧采用社交软件传播。

Union Crypto Trade交易软件(2019)

3、其他定制化软件

监控发现除了伪装数字货币交易软件以外,攻击者也会选择性的伪装成如IT运维类、人事办公类的软件,进一步我们发现这些受影响用户也都是相关交易所的工作人员。

被伪装的开源软件名称 软件功能简述
RemoteDesktopOverNetwork 一款开源的远程桌面软件,主要用于用户的远程桌面协助。
Employee-Management-System 一款开源的员工管理系统软件,用于管理员工详细信息和工资信息。

 

溯本源 研判锁定Lazarus组织

在关联溯源中,我们发现:从2017年开始针对我国数字货币的相关攻击活动中,最终执行的后门木马有Winupdater、Relay、HTTPBackdoor、Macupdater等12个家族及其变种,其中最为典型就是HTTPBackdoor和MATA。

关于MATA组件,这里我们重点提一下。据显示,恶意DLL启动后所执行的rat工具负责部署MATA框架,该工具会在目标机器上执行powershell命令,从远程拉取另外一段powershell脚本执行。powershell的功能比较简单,主要是从远程地址下载映像,执行该映像的导出函数。

MATA部署流程

经过确认该映像就是MATA恶意软件框架中的调度器。攻击者使用powershell加载映像执行的利用方式,可以延长利用链,增加分析难度。

根据对核心样本的研究,360安全大脑最终将上述三起针对我国数字货币攻击行动锁定为Lazarus组织。

其同源性关联分析分析图如下:

具体信息如下:

首先,根据2018年首次针对国内相关行业攻击中使用的后门样本,360安全大脑关联到了Lazarus的其他样本FoggyBrass,它们的功能、协议结构、UA和RC4 KEY完全相同;

同时,这个RC4 key与2018年Applejues行动中的celas交易软件的相关签名中的二进制数据,也存在重叠;

此外,后门样本中的UA与Lazarus的bankshot家族中的UA也十分相似。而celas、worlbit-bot、alticgo三个伪装的交易软件都有相关的官网作为下载站,并且域名都是刚注册不久,从这点来看,手法完全相同;

最后,alticgo与部署MATA的行动中也用了相同的方式加载下载器,rundll32启动下载器中的UpdateCheck。部署mata的rat与18年使用的后门也有相同功能的插件。

可以说,在样本的命令列表功能相似,样本的C&C通信命令结构一致,样本RC4的Key相同,样本的HTTP报文UserAgent相同等相关联之下,360安全大脑最终将其研判锁定Lazarus组织。

智库时评

近几年,以Lazarus组织为代表的境外APT组织持续对金融领域攻击渗透,从聚焦于数字货币监管机构、交易所等人员进行精准定向攻击,到根据不同岗位不同资源目标人群,采取差异化攻击手段,进而达到窃取交易所相关数字资产,甚至更为核心机密资料的目的。可见,其是目标明确,有备而来

早在2017年全国金融工作会议上,习近平总书记就强调,金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分。伴随全球信息化、数字化的发展,针对金融领域以及数字货币行业觊觎与攻击,也成为国家级网络力量博弈的一重要领域。尤其当前,正值我国大力推进数字货币关键时期,相关政策方向、技术突破等都将成为APT组织幕后主导者重点关注所在。

鉴于此,如何应对这类高级威胁;如何加强排查和防范是金融行业风险;尤其面对数字货币这类新兴领域的网络渗透攻击,如何做好安全防护;这都将成为国家发展,国家安全,以及网络安全企业及其工作人员所要面对及解决的艰巨挑战。

各领域网络安全护航之路,都任重而道远,吾辈们仍当慎重应对。

最后,关于360高级威胁研究院:

他是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获多个在野0day攻击,披露多个国家级APT组织,相关研究成果曾多次被外交部引用。

Soda项目智能合约安全漏洞分析

Ysck阅读(6)

 

北京时间9月21日,CertiK安全研究团队发现soda区块链项目中存在智能合约安全漏洞,该漏洞允许任意外部调用者通过调用智能合约函数,无视受害用户债务中的代币数目,强行结算受害用户的债务,并将通过结算操作所得的收益转入到自己的收款地址。

soda项目官方现在已经提交修复补丁来修复这个安全漏洞,但由于soda项目采用了TimeLock来将所有的操作延迟48小时,修复补丁会在延迟事件之后生效,因此截止发稿时,该漏洞已完成修复。

 

漏洞技术分析

图一(参考链接1)

soda项目中的WETHCalculator.sol智能合约中存在逻辑实现错误导致的安全漏洞,图一中WETHCalculator.sol智能合约第193行,maximumLoad的计算公式错误的使用了amount作为基础值。

因此,在196行满足require()判断的检测条件 loanTotal >= maximumLoan可以转换为:

loanInfo[_loanId].amount + interest >= loanInfo[_loanId].amount * maximumLTV / LTV_BASE

由于maximumLTV / LTV_BASE的值是在0.15-0.95区域中变动,并且interest >= 0。因此图一196行的require()判断中的检测条件总是为真。

失去了该require()判断的保护,任何外部调用者可以通过调用以下图二中SodaBank.sol中104行的collectDebt()函数来将任意loadId的贷款清空。在执行该函数的过程中,图一中的collectDebt()函数会在图2第121行被执行,并通过123行和125行代码将该用户锁在soda里面的WETH的其中一部分转移到该外部调用者的地址msg.sender中:

图二(参考链接2)

通过以上漏洞,任何外部调用者都可以通过调用SodaBank.sol中的collectDebt()并传入其他用户的loadId来清空该用户在soda中的代币。

 

官方修复细节

soda官方为修复以上漏洞,设计了新的智能合约WETHCalculatorFixed.sol来替换WETHCalculator.sol。

通过分析可以看到在图三WETHCalculatorFixed.sol智能合约第979行,maximumLoan的计算公式被正确的计算为 loanInfo[_loanId].lockedAmount * maximumLTV / LTV_BASE。因此,图三中第982行require()判断的检测条件变更为:

loanInfo[_loanId].amount + interest >= loanInfo[_loanId].lockedAmount * maximumLTV / LTV_BASE

图三(参考链接3)

该等式的代码实现与soda项目中的逻辑设计相符,该等式的真假与用户的借贷债务数目和被锁本金数目相关。漏洞完成修复。

soda项目中关于该等式的逻辑设计细节可以从下面的链接中进行了解:

https://medium.com/soda-finance/the-soda-revolution-9185fdb99fc1

 

事件分析总结

该漏洞是由于逻辑设计与代码实现不符而造成。当前常用的单元测试等测试方法以及自动化的测试工具均无法有效的查找到该种与逻辑相关的漏洞。

因此,CertiK安全团队有以下安全建议:

当前区块链检测工具对智能合约的检测均无法检测其逻辑上出现的漏洞,其结果也没有可信的数学证明作为支撑。形式化验证是当前唯一被证明可以产生可信数学证明的软件验证方法。采用基于形式化验证方法的区块链检测工具来验证项目中的安全漏洞,应成为每一个项目在上链前的必经步骤。

参考链接:

图一:

https://github.com/soda-finance/soda-contracts/blob/master/contracts/calculators/WETHCalculator.sol#L189

图二:

https://github.com/soda-finance/soda-contracts/blob/master/contracts/components/SodaBank.sol#L104

图三:

https://github.com/soda-finance/soda-contracts/blob/master/contracts/calculators/WETHCalculatorFixed.sol#L275

Windows XP和WindowsServer2003源代码泄漏,影响大吗?

Ysck阅读(6)

多家外媒报道,微软的Windows XP和WindowsServer2003的源代码已经在网上泄露。

这两个操作系统的源代码的Torrent文件本周已经在多个文件共享网站上发布。这是Windows XP的源代码第一次公开泄露,不过泄露的文件声称这些代码已经被私下共享了很多年。

已有外媒证实这些材料合法。微软发言人表示,公司正在“调查此事”

有观点认为,这次的源代码泄漏,不太可能对仍在运行WindowsXP机器的公司造成任何重大威胁,因为微软早在2014年就终止了对Windows XP的支持。

但值得一提的是,微软在2017年用过一个非常不寻常的Windows XP补丁,来应对大规模的WannaCry恶意软件攻击。

虽然这是Windows XP源代码首次公开出现,但微软确实运行了一个特殊的政府安全计划(GSP),允许政府和组织控制对源代码和其他技术内容的访问。

这次Windows XP的源代码泄露事件,其实并不是微软操作系统源代码第一次出现在网上。

2017年6月,至少有1GB的与Windows10相关的源代码被泄露,与微软在Windows10中的USB、存储和Wi-Fi驱动程序有关的文件被发布到Beta Archive。

微软的一位发言人当时表示,“调查结果显示,这些文件实际上是共享源代码计划的一部分,被原始设备制造商和合作伙伴使用,”

有媒体声称,包括未发布的Windows版本在内的32TB数据已被泄露,规模比2004年的windows2000泄漏要大,但也有媒体报道称,大部分数据已经存在数月甚至数年了,windows10的源代码泄漏相对较小。

微软今年甚至面临一系列与Xbox相关的源代码泄露。原装Xbox和Windows NT3.5源代码早在五月就出现在网上,就在Xbox Series X图形源代码被盗并在网上泄露的几周后。

当时泄露Xbox的源代码包含了原始控制台(Windows2000的自定义版本)上操作系统的内核,泄露的Xbox OS被确认为正版。

Xbox OS泄密包括一些构建环境、Xbox开发工具包、用于测试的模拟器和内部文档,但有媒体指出,这个内核和源代码以前曾在爱好者中私下传播过。

当时还有WindowsNT3.5的一个接近最终版本的源代码也出现在了网上,但由于windowsnt3.5支持在2001年12月结束,该操作系统只在世界范围内的少数系统中使用,因此泄漏未造成重大安全问题。

Windows 2000和NT4的部分源代码,早在2004年就泄露了。

微软对当时WindowsNT3.5源代码泄漏事件并未发表太多评论,表示对事件没有任何要分享的。

此次的Windows XP源代码泄露规模如何,目前尚未明确,但一位Windows内部专家已经找到了微软的NetMeeting用户证书根签名密钥。

部分源代码泄漏还引用了微软的WindowsCE操作系统、MS-DOS和其他微软泄露的资料,文件中甚至还提到了比尔·盖茨的阴谋论,很可能是为了散布错误信息。

中国宏阔黑客联盟原创文章,未经授权禁止转载。转载注明中国宏盟

9月26日每日安全热点 – 马里兰男子因黑客入侵前雇主而入狱12个月

Ysck阅读(31)

漏洞 Vulnerability
安全资讯 Security Information
马里兰男子因黑客入侵前雇主而入狱12个月
安全报告 Security Report
行动中的幽灵:幽灵僵尸网络
专项行动的意外收获—— 2020 年 9 月墨子(Mozi)僵尸网络分析报告
具有默认证书的Fortinet VPN使200,000家企业遭受黑客攻击
安全研究 Security Research

9月25日每日安全热点 – 微软云端检测Empire捕获gadolinium组织

Ysck阅读(17)

漏洞 Vulnerability
安全资讯 Security Information
Google 浏览器桌面版更新到 85.0.4183.121,修复了多个高危漏洞
安全工具 Security Tools
gTunnel:一个基于Golang的TCP隧道
安全研究 Security Research
Go二进制文件逆向分析从基础到进阶——itab与strings
fuzz windows 图像解析器(第一部分):颜色配置文件
针对 Tiny Tiny RSS 的漏洞研究
通达OA11.7 后台sql注入到rce漏洞分析
安全报告 Security Report
美国爱因斯坦计划跟踪与解读(2020)
应急分析报告:美网络安全和基础设施安全局(CISA)针对联邦企业被攻击发布的应急分析报告

暗网的好日子到头了?大规模的暗网破产案从179个毒贩手中缉获了650万美元

Ysck阅读(11)

就在前两天,美国司法部对外宣布了有史以来他们所参与帮助实施的最大规模的网络黑产案件。在此次行动中,他们成功地从全球179名被指控的网上经销商手中查获了1100多磅的毒品。除此之外,美国警方还跟欧洲警方展开了联合调查行动,并缴获了价值超过650万美元的现金和虚拟货币。据了解,此次行动成功地在美国、德国、英国、奥地利、荷兰和瑞典逮捕了多名网络犯罪分子。

此次行动的代号为“颠覆者行动”(Operation DisrupTor),是由德国警方、美国执法机构和欧洲刑警组织(Europol)联合领导的,而这一行动代号是根据Tor浏览器(用于访问暗网的私人网络浏览器)的命名而来。在此次行动中,大多数的网络犯罪分子都是在美国地区被逮捕的,总共有121次逮捕行动发生在美国,其次是德国有42次,荷兰8次,英国4次,奥地利3次,瑞典1次。警方表示,针对此次行动的调查仍在进行之中,以便警方查明这些暗网账号幕后的黑手真实身份。

暗网,毫无疑问,这是一个代表着“包罗万象“的名字,暗网跟我们平时访问的互联网不同,它隐藏于其中,我们也无法通过直接的在线搜索来访问暗网服务。对于网络犯罪分子来说,暗网相当于是销售毒品、购买被盗数据和武器等非法商品的市场。在“颠覆者行动”的过程中,洛杉矶联合犯罪暗网打击小组成功收缴了约120磅去氧麻黄碱、15磅二亚甲基双氧苯丙胺和5支枪支。现场拍摄的收缴图片如下所示:

美国司法部副部长杰弗里罗森(Jeffrey Rosen)在一次记者招待会上透露,此次对外公布的“颠覆者行动”是迄今为止美国执法部门针对暗网的规模最大的一次打击行动。此次行动中美国警方还对一个名叫”Pill Cosby“的组织提出了指控,据称,该组织曾在美国俄亥俄州贩卖了超过100万粒芬太尼药片,而且还有一名男子据称购买了佐治亚州一对被谋杀夫妇的资料。根据美国司法部透露的信息,维吉尼亚州的检察官还指控了一名据称试图使用炸弹谋杀竞争对手毒贩的人。

杰弗里罗森表示:”这些暗网市场的人气正在以惊人的速度增长,很多毒贩甚至都已经开始公开宣传这些暗网市场了,并在暗网中接收来自全球各地的非法订单。暗网市场帮助网络犯罪分子撬开了进入我们家里的大门,并且给他们提供了几近无限的非法销售渠道。“

美国联邦调查局局长克里斯托弗•赖伊(Christopher Wray)表示:““颠覆者行动”中的大部分信息都来自于2019年4月份的一次针对暗网市场的打击活动。在那次活动中,警方成功突袭了暗网中的一个主要的市场论坛,即Wall Street Market,它也是当时暗网中规模最大的暗网市场之一。”

调查人员宣称,他们已经在至少35个州和世界上的多个国家追踪到了18000多起针对被指控客户的非法销售活动。克里斯托弗•赖伊也指出,从今年新冠肺炎蔓延至今,跟类鸦片药物服用过量相关的死亡事件增长了非常多,而美国联邦调查局仍将继续对暗网市场中的毒品销售市场进行追踪调查和打击。欧洲刑警组织欧洲网络犯罪中心的领导Edvardas Sileris也在一份声明中称:“这一次的联合打击活动相当于在给欧洲的网络犯罪分子敲响一个警钟,暗网中的网络销售活动已经不再是一个秘密了,全球警方在未来都将通力合作共同打击暗网犯罪行为。”

Windows XP源代码“正式”泄露

Ysck阅读(15)

安全客微信公号回复XP获取完整链接

在Windows 7都已经停止支持的0202年,Windows XP仍占据了不小的市场份额,是装机人手中的“香饽饽”。不过今天,互an联quan网圈再次给了XP沉重一击——疑似Windows XP源码被人发布到了网上。

最开始是推特上看到有人发出这个消息,百万网盘和迅雷大军迅速出动。

我们不生产泄露,我们只是泄露的搬运工

不过最开始流传的网盘资源都是2~3g的所谓Windows XP源码,直到一个种子文件的出现才真正揭露了这次泄露事件的全貌。

 可以看到这次全部的泄露内容远不止Windows XP源码,不过其中重量级的确实当属XP源码。

根据部分国外媒体爆料,此次泄露最初为某黑客在4ch发布,声称这是他收集了两个月的宝贵资料,或许是本着free的互联网精神分享给了大家。其中主要为Windows XP及Windows Server 2003的源码,也包括DOS、NT、2000等部分此前泄露过的源码,可以一定程度印证他所说的资料为网络搜集而来。

同时他也表示,这些资料已经在黑客圈中传了很多很多年,今天只是第一次正式公布而已。

目前已有不少安全人员下载好了源码,正在确认真实性,不过里面的media文件夹貌似还藏了不少私货,比如“震惊!比尔盖茨的惊天阴谋”等等的怪谈。

这次泄露事件算是把XP的棺材板直接钉死,不过考虑到XP的实际情况,此次泄露对于安全性的影响可能较为有限,不过仍可以作为研究Windows的宝贵资料。

安全客微信公号回复XP获取完整链接

德国调查人员将致命的医院袭击归咎于俄罗斯DoppelPaymer团伙

Ysck阅读(9)

据有关消息方透露,德国当局针对近期杜塞尔多夫医院遇袭事件的调查显示,此次攻击活动背后的始作俑者很有可能是俄罗斯黑客。

上个星期,德国当局透露称,德国杜塞尔多夫的一家大型医院杜塞尔多夫大学诊所遭到严重的网络攻击,此次攻击活动导致一名需要紧急入院治疗的妇女不得不被送往另一个城市接受治疗,但是由于网络攻击的原因,针对该妇女的治疗推迟了一个小时,最终导致病人不治身亡。

美联社也对外表示,杜塞尔多夫大学诊所的系统自上周四遭到网络攻击以来,一直处于服务中断状态。而就在这个星期,根据网络研究人员的最新分析调查,袭击德国医院的恶意软件家族就是臭名昭著的Doppelpaymer勒索软件。而且这一个勒索软件家族在过去的几个月里发动了多次网络攻击,同时也包括本月初针对英国研究大学纽卡斯尔大学的网络攻击。

该恶意软件对BitPaymer源代码进行修改以改进勒索软件的功能,通过线程文件加密提高运行速度,更新网络枚举代码,保证仅在提供特定命令行参数后运行。同时使用合法开源管理实用程序ProcessHacker,避免攻击活动终止可干扰文件加密的进程和服务。

DoppelPaymer勒索软件自2019年六月份以来一直活跃至今,并且DoppelPaymer还涉及了一系列恶意勒索活动,其中就包括美国德克萨斯州埃德库奇市和智利的农业部的袭击事件。但DoppelPaymer的早期版本早在2019年4月就已发布,早期版本相比后续版本缺乏很多新功能,因此目前尚不清楚是否只是为了测试而构造的这些版本。实际上,早在去年的十一月份,微软安全响应中心(MSRC)就已经发布公告提醒广大客户DoppelPaymer勒索软件的威胁了,并提供了相关威胁的有用信息。

安全研究专家表示,另一家不愿透露身份的安全公司曾提到过, DoppelPaymer勒索软件运营商的总部就设立在俄罗斯。

调查人员认为,DoppelPaymer勒索软件背后的网络犯罪分子其真正的攻击目标是德国杜塞尔多夫的海因里希•海涅大学,而受到攻击的杜塞尔多夫医院正好隶属于这所大学。

据了解,此次攻击活动直接导致医院内的多个系统发生崩溃并下线,这使得整个医院的手术系统直接瘫痪,很多急诊病人因此而不得不转移到其他医院,或推迟手术时间。根据杜塞尔多夫医院院方透露的信息,目前他们还没有收到具体的数据赎金要求,并且调查后也没有迹象表明数据发生了无法挽回或不可逆的损失。DPA新闻社也在其发表的新闻稿中援引了北莱茵-威斯特伐利亚州司法部长的一份报告,并表示杜塞尔多夫医院遭受了严重的勒索软件攻击,导致医院内部网络系统中的三十多台服务器受到了勒索软件的感染。不过只有其中的一台主机系统内发现了勒索消息,虽然勒索消息文本中留下了攻击者的联系方式细节,但其中并未提及有关赎金金额的内容。

事件发生之后,杜塞尔多夫执法部门便立刻与该勒索软件背后的攻击者取得了联系,并告诉了他们此次针对医院的网络攻击已经严重危及到了大量病人的生命,并且也已经导致了一名病人死亡。随后,该勒索软件的运营商决定取消掉此次的勒索软件攻击活动,并无偿向杜塞尔多夫医院院方提供了一个用于解密数据的数字密钥。而杜塞尔多夫执法部门的报告也证实了上述内容,但现在已经无法联系到该勒索软件的运营商了。

微软6.5TB数据出走,原来走得这么简单

Ysck阅读(19)

第38期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第38期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周营业周二、周四两天。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

微软6.5TB数据出走,原来走得这么简单

有谓成功不可复制,而失误有时也是难以模仿的。不久前,微软出现了一次罕见的网络安全失误,一名 IT员工意外地将Bing(必应)的一个后端服务器暴露在了网络上。

这个被暴露的服务器由网络安全公司WizCase的安全研究员Ata Hakcil发现,根据Hakcil的调查,该服务器已经泄露了超过6.5TB的日志文件,其中包含130亿个来自Bing搜索引擎的记录。

Hakcil说服务器从9月10日到9月16日被在线曝光,当他通知了微软安全响应中心(MSRC)之后,该服务器才重新恢复密码保护状态。资讯网站ZDNet在后续的调查中发现,他们在没有密码的情况下被授予了访问服务器的权限。

根据目前的信息,Bing后端服务器暴露没有对个人用户信息产生影响,该服务器公开的都是一些技术细节,比如搜索查询、用户系统的详细信息、地理位置详细信息以及各种令牌、散列和优惠券代码。

 

英国黑客团伙“黑暗霸王”主心骨移居美国 将在狱中度过5年时光

近日,英国黑客团伙“黑暗霸王”的核心成员内森·弗朗西斯·怀亚特(Nathan Francis Wyatt),因身份盗窃和计算机欺诈罪被美国密苏里州圣路易斯联邦法院判处5年监禁,并被勒令支付约150万美元赔偿金。

Wyatt 于2017年在英国被捕,并于2019年12月被引渡到美国面临指控。根据法庭文件,Wyatt在2016年加入“黑暗霸主”。他曾因涉嫌入侵英国王妃凯特·米德尔顿的姐姐皮帕·米德尔顿的iCloud帐户而受到调查 ,在团伙中主要负责联系受害者并索要赎金。

“黑暗霸主”通过入侵大型公司、窃取敏感数据并索要赎金获利。如果受害者不付款,他们将把被盗的公司数据出售给黑客论坛,或者将该公司的违规行为透露给记者,让他们发布该公司的负面报道。该团伙历史悠久,劣迹斑斑,策划并实施过多起入侵事件,包括:

  1. 入侵了三个医疗机构,并在暗网上出售了651,894份患者记录
  2. 从一家不知名的医疗保险公司窃取 930 多万份病历并出售 ;
  3. 入侵和勒索东印度中心、小红门中心的癌症服务中心 ;
  4. 入侵Netflix ,泄露 《女子监狱》第五季剧集 ;
  5. 入侵美国广播公司,并泄露了《史蒂夫 · 哈维的资金穹顶》电视节目 ;
  6. 入侵 Larson Studios, Inc. 的一个好莱坞音频后期制作工作室,并窃取了大量未发布的电视剧集 ;
  7. 从多家公司窃取并发布数据,如 :Pre-Con 产品、G.S. 聚合物、PcWorks、国际纺织与服装、优衣库 ;
  8. 入侵房地产公司 加勒比岛地产;
  9. 入侵人力资源公司 Prime Staff Inc.

 

被控500k CoD用户账号数据泄露  动视暴雪出面否认

本周有报道称,超过50万动视的账户数据被黑客入侵,这让《使命召唤》的玩家们陷入了困境。

这起事件由推特上的“oRemyy”最先爆出,这一观点随后被其他内容创造者证实,比如TheGamingRevolution、Prototype Warehouse和Okami。他们发推警示玩家,《使命召唤》不少账号的登录信息遭到公开,黑客会改变账户的详细信息,使原始所有者无法恢复。同时也提醒到,用户最好尽快更改自己的账户密码。在黑客每10分钟就能窃取1000个账户的不利局面下,修改密码可能成效不大,但也只能死马当成活马医它一把。

不过,9月21日动视暴雪出面澄清了这一“乌龙”,宣称有关动视公司《使命召唤》账户被盗的报道并不准确,表示他们一直鼓励玩家随时随地采取预防措施保护他们的动视账户。

动视暴雪的账号主要用于登录大量的《使命召唤》游戏,包括《战区》、《现代战争》和《移动电话》,也可以和其他的服务如Battlenet、PSN以及Xbox连结。

不过动视的账户有一个非常重大的漏洞,即其不支持双因素身份认证。这意味着账户一旦被入侵,黑客就可以轻易的更改密码,让玩家找不回来账户。如果玩家是在动视账户上绑定了付款信息的话,那么损失可能会更大。因此动视的玩家最好尽快更改自己的密码,或者解绑上面已关联的服务来规避损失。