让信息安全
变得简单

研究发现Microsoft Edge具有侵犯隐私的遥测技术

阅读(38)

尽管Microsoft Edge与流行的Chrome浏览器共享相同的源代码,但它为用户提供了更好的隐私控制。不过,新的研究表明,与其他浏览器相比,它可能具有更多的侵犯隐私的遥测技术。

根据Microsoft的说法,遥测是指由遥测组件或浏览器的内置服务上载的系统数据。遥测功能并不是Microsoft的新增功能,该公司一直在使用Windows 10中的遥测数据来识别问题,分析和修复问题。

爱尔兰三一学院的计算机系统主席Douglas J Leith教授  测试了六个Web浏览器,以确定它们共享的数据。在他的研究中,他对基于Chromium的Microsoft Edge,Google Chrome,Brave,俄罗斯的Yandex,Firefox和Apple Safari进行了分析。

不幸的是,Microsoft Edge在各种隐私测试中表现不佳。

Microsoft Edge中的遥测太多

在测试Edge浏览器时,Leith看到输入到Edge中的每个URL都将发送回Microsoft网站。

例如,在地址栏中键入的每个URL均与Bing和其他Microsoft服务(例如SmartScreen)共享。这是由BleepingComputer确认的,他使用Fiddler来查看发送到Microsoft的JSON数据。

未隐藏的URL被发送到SmartScreen
未隐藏的URL被发送到SmartScreen

可以使用类似于Google的“安全浏览”实施的技术来解决此问题,该技术可以下载已知恶意网站的列表并将其保存在本地。该列表由浏览器检查,如果需要将任何数据发送到Google的服务器,则只会发送可用于跟踪浏览行为的哈希的部分URL指纹。

浏览器还将唯一的硬件标识符发送给Microsoft,这是一个“坚固而持久的标识符”,不能轻易更改或删除。

正在发送用户跟踪信息
正在发送用户跟踪信息

俄罗斯网络浏览器Yandex也从事类似的反隐私活动:

From a privacy perspective Microsoft Edge and Yandex are qualitatively different from the other browsers studied. Both send persistent identifiers than can be used to link requests (and associated IP address/location) to back end servers. Edge also sends the hardware UUID of the device to Microsoft and Yandex similarly transmits a hashed hardware identifier to back end servers. As far as we can tell this behaviour cannot be disabled by users. In addition to the search autocomplete functionality that shares details of web pages visited, both transmit web page information to servers that appear unrelated to search autocomplete.

请务必注意,Microsoft Edge for Enterprise在部署中为管理员提供了很多控制权,以禁用所有这些跟踪器,但是默认情况下,所有Edge安装中都启用了跟踪器。

尽管Microsoft Edge在测试中表现不佳,但研究人员还质疑了 Chrome和其他浏览器的行为。

用户以前已经注意到,Chrome浏览器会扫描整个计算机,并将可执行程序的哈希报告给Google,以构建Chrome的安全浏览平台。

Chrome,Firefox和Safari通过其服务共享您访问的每个网页的详细信息。所有这些浏览器都使用自动完成功能将网址实时发送到其服务。

Firefox的 遥测传输(默认情况下是默默启用的)可能会随着时间的推移而用于链接它们。据研究人员称,在Firefox中,还有一个用于推送通知的开放式WebSocket,它链接到一个唯一的标识符,该标识符可用于跟踪。

 

*编译:Domino

*来自:Bleeping

为什么政府如此容易受到勒索软件攻击?

阅读(48)

勒索软件是威胁格局的不变特征,尽管它可能造成破坏和破坏,但政府仍无法防范这种形式的恶意软件。 

Emisoft估计,在2019年,勒索软件攻击至少影响了948个政府机构,教育机构和医疗保健提供者。Recorded Future进行的分析表明,全年对美国政府机构进行了81次成功的勒索软件攻击,这些事件通常会产生连锁反应,影响当地的大量城镇。 

佛罗里达州县路易斯安那州新奥尔良和德克萨斯州只是少数几个勒索软件引起严重破坏的地区。如果勒索软件渗透到政府网络中,可能会导致关机或失去对核心政府系统的访问,从而影响本地社区服务。

IBM研究已经表明,许多美国地方和州政府机构对恶意软件和网络安全事件的态度“ 过分自信 ”,现在,德勤进一步暗示各国政府干得不够。 

周三,德勤发布了一份报告,“勒索政府:州和地方政府可以采取哪些措施摆脱勒索软件的攻击”,探讨了这些攻击是如何发生的,以及政府官员应采取何种措施来应对勒索软件。挑战。 

根据研究人员的说法,随着地方和州政府通过数字网点提供更多服务,这种攻击面增加了-加上容易获得现成的恶意软件,勒索软件即服务(RaaS)和选件使用加密货币进行勒索付款-开拓了新的利用途径。 

报告指出:“几十年前,当地学区或警察局的中央办公室可能有几台计算机,但是今天每辆小班车都有一台计算机,每个教室可能都有几台。” “这些计算机中的每台计算机都是恶意软件的潜在访问点,结果是政府机构必须保护的潜在攻击面已经大大增加,而没有相应地投资于网络安全。”

在政府平台上造成不必要的弱点的另一个问题是使用旧的,过时的,不足的系统和软件。无法管理补丁程序周期,接近或已超过支持终止日期的旧操作系统,以及无法实现现代化的紧缩预算,都助长了勒索软件的感染率。 

“即使是当前标准的,更新的网络也需要不断努力来维护安全补丁和配置,即使是人员最齐全,训练有素的网络安全人员也可能会遇到困难,”德勤说。“对于使用较旧的旧系统运行的州和地方政府,使这些系统保持最新可能是艰巨的战斗。”

但是,研究表明,与过时的系统一样,挑战也是最大的挑战,人与人之间的联系对于政府实体而言是最大的问题-而且缺乏熟练的员工和全面的网络安全意识,威胁行为者可能利用漏洞,网络钓鱼和社交网络危害网络的工程设计增加了。  

NASCIO和德勤(Deloitte)进行的一项调查发现,自2010年以来,预算不足一直是州政府CISO的头等大事,平均IT预算中只有1-2%用于网络安全。 

州和地方政府通常会采取最合乎逻辑的行动,而不是尝试通过备份来还原系统(如果可能的话),或者面临数周或数周依赖纸笔记录的可能性。网络保险可能会支付一部分付款,但不幸的是,有时不付钱可能会造成更高的成本。 

该研究中引用的一个例子是巴尔的摩市,该市拒绝屈服于76,000美元的赎金需求,却损失了超过1800万美元的恢复成本和收入损失。 

勒索软件不会很快消失,那么州和地方政府如何应对这个问题? 

德勤建议,关键考虑因素应为: 

  • 更加智能的系统架构: IT现代化只能推迟这么长时间,并且鉴于勒索软件可能造成的财务损失,因此必须尽快考虑改造旧系统以防止这些攻击。 
  • 员工培训:培训和挽留是关键,公共和私营部门合作伙伴关系也是如此,以扩大可用的人才库。 
  • 补丁程序管理,漏洞: Deloitte建议应实施适当的补丁程序管理实践,并应同时考虑数据隔离和用于备份的空白网络。 
  • 网络保险:尽管网络保险可以支付勒索软件攻击的费用,但应谨慎考虑使用它。这些政策可以起到激励威胁行为者推动大笔支出的连锁效应。 

德勤首席和网络风险服务主管Deborah Golden说:“互联设备,数字系统和集成数据意味着政府有机会以前所未有的方式为人民和社区提供服务。” “这还意味着网络犯罪分子有很大的攻击面,可以攻击地方政府并把敏感的公民数据扣为人质。如果政府官员的系统和数据突然消失或变得无用,政府官员就必须了解所涉及的风险。”

 

*翻译:Domino

*来自:ZDNET

不给钱就撕票!论现代勒索软件的野蛮进化史

阅读(136)

攻击定向化

在之前发表的文章《披露:导致一个自动化设备生产商全球的系统宕机一周的罪魁祸首》中,我们提到了BitPaymer,一个专门针对金融、农业、科技和工控行业发起攻击的勒索软件,在十一月份时又攻击了西班牙最大的托管服务商之一Everis和西班牙最大的广播电视台Cadena SER;其并行的变种DoppelPaymer又陆续攻击了智利农业部、墨西哥国有石油公司PEMEX,后者被索要高达490万美元的赎金。下图为DoppelPaymer为PEMEX公司量身定制的勒索信页面。

无独有偶,今年早些时候,全球最大的铝业公司之一Norsk Hydro,同时也是挪威最大的工业公司受到了LockerGoga勒索软件的攻击,170家工厂中的生产线被迫停止,影响了40个国家/地区近35000名员工,勒索了数千台服务器和PC工作站,估计损失了近7100万美元。

几个月过去了,相关细节也被公开,除了勒索软件在VT上0查杀之外,进入方式也与以往不同。据悉,起因是一位员工不知不觉中打开了一封来自受信任客户的电子邮件,导致了后门程序的执行,后续经过横向移动和域渗透等APT攻击手法成功控制了数千台主机,最后植入LockerGoga勒索软件。在以往的勒索软件发起的钓鱼邮件攻击中从来没有出现过来自受信任客户的恶意邮件,而这种攻击手法在APT攻击中普遍使用。

今年一月初该勒索家族在野外被发现,其后续相继攻击了法国工程公司Altran、俄亥俄州的Hexion工业公司和纽约市Momentive公司等工业和制造公司,均造成了不可估计的影响,我们可以得到其经过定制化的勒索信,对不同的目标选择对应语言编写勒索信。

通过Intezer Analyze分析确认了其最新变种就是大名鼎鼎的MegaCortex,会修改受害者机器上的Windows密码并威胁要发布受害者的数据,这就引入了勒索软件第二大趋势。

窃取文件

如果“加密”是勒索软件的本职的话,那么“窃密”对于勒索软件分发商来说应该是一次重大的进化,2019年下半年,以MAZE(迷宫)勒索为首的各大勒索家族掀起了一股“窃密”潮,以往受害者只需要担心如何恢复被加密后的文件,而当文件被窃取后,受害者们还要担心被窃取文件是否泄露给了公众,这种心里犹如催化剂,加快了受害者支付赎金的时间。

Maze由2019年五月份在野外被发现,根据十月份Proofpoint发布的报告,其使用的电子邮件伪装成美国、德国、意大利的政府机构其中包括美国邮政局、德国联邦财政部和意大利税务局,收件人重点位于商业、IT服务、制造和医疗行业。

在十一月时成功入侵了美国弗洛里达州彭萨科拉市,为了索要赎金Maze Team还专门搞了一个论坛形式的网站,用于“羞辱”那些不交赎金的受害者,并将窃取的部分资料公布在帖子中。

我们找到了彭萨科拉市相关的帖子:

Proofs为窃取的部分文件,任何人均可下载,出于好奇心,我们下载了这些文件,发现为雇员时间表:

值得注意的是,Maze Team还在帖子中公布了被入侵主机的IP地址、地区、主机名和脱库文件大小,可谓极其猖狂。

在FRATELLI BERETTA公司的相关帖子中,我们发现了一些敏感的文件被公布了出来。

Maze Team威胁道:如果不缴纳赎金则会把数据全部公布到WikiLeaks上面,也就是公之于众:

一旦这些企业的内部文件被公开,那么其他犯罪团伙甚至APT组织会利用这些文件发起下一轮的打击,危害极大!

效仿?

目前在地下论坛中GrandCrab的“继任者”Sodinokibi勒索软件的分发商对Maze勒索这一做法表示欣赏

MegaCortex、Snatch等家族的勒索软件均有向Maze看齐的趋势。

结论

正如奇安信集团董事长齐向东提出的“三三又三三”中的三个转变那样:网络攻击技术从简单粗暴向复杂精细转变;网络攻击形式从通用性向APT攻击转变。勒索软件的攻击手法越来越精细化、APT化。这个危险的趋势国内尤为注意,一旦国内的勒索软件分发商和黑产渗透大牛结合到一起那么事情将会朝着不可控的方向发展,到时候无论再怎么掩饰,数据在那里,公道自在人心。

奇安信病毒响应中心在2020年将会对这一趋势进行持续的跟踪和关注。

安全建议

奇安信天擎建议广大政企单位从以下角度提升自身的勒索病毒防范能力:

1.及时修复系统漏洞,做好日常安全运维。

2.采用高强度密码,杜绝弱口令,增加勒索病毒入侵难度。

3.定期备份重要资料,建议使用单独的文件服务器对备份文件进行隔离存储。

4.加强安全配置提高安全基线,例如关闭不必要的文件共享,关闭3389、445、139、135等不用的高危端口等。

5.提高员工安全意识,不要点击来源不明的邮件,不要从不明网站下载软件。

6.选择技术能力强的杀毒软件,以便在勒索病毒攻击愈演愈烈的情况下免受伤害。

参考链接

[1]https://news.microsoft.com/transform/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/

[2]https://www.bleepingcomputer.com/news/security/another-ransomware-will-now-publish-victims-data-if-not-paid/

[3]https://threatpost.com/megacortex-ransomware-mass-distribution/146933/

[4]https://www.scmagazineuk.com/name-claim-data-exposure-website-used-threat-tactic-ransomware-gang/article/1669111

[5]https://www.vice.com/en_us/article/5dmzzd/cybercriminals-found-a-scary-new-way-of-making-hacked-companies-pay-ransom

 

*来自:FreeBuf.COM

*本文作者:奇安信威胁情报中心

2019弱密码TOP 200,12345登顶

阅读(176)

密码在互联网交易上非常重要,也是互联网时代身份的基础。但仍然有很多人选择使用12345、123456、1234567890这样简单易记的密码,然而这样的密码并不安全。

匿名的独立研究人员对2019年泄露的密码库进行了分析,泄露的数据库中共有超过5亿密码,研究人员找出了200个使用最多的弱密码与大家进行分析。

2019年有许多的数据泄露事件,影响了数十亿互联网用户。Collections #1-5就含有30亿账号。数据泄露事件越来越频繁,互联网用户也就需要加强网络安全意识,并使用强密码。

运动、女人名字和食物

最常用的弱密码中有简单易记的数字的组合,比如12345,111111,123321;常见的女性姓名,如Nicole, Jessica, Hannah;QWERTY键盘的横或竖的字符串,如asdfghjkl, qazwsx, 1qaz2wsx。令研究人员惊奇的是password这个密码仍然有超过83万人使用。Top10的弱密码中4个是纯数字,top3的弱密码全部是纯数字,而且是123……这种。12345这个不足5位的弱密码有超过281万人仍在使用,123456有超过248万人在使用。

完整top 20的弱口令列表如下所示:

一年又一年,123456这样的弱口令每年都能看到,那为什么人们还在使用呢?第一个原因就是好记,因为长的复杂的密码很容易忘记,而弱密码一般都很好记。而一般一个弱密码会在许多个账号上使用。第二个原因就是用户认为没有什么好隐藏的,比如大号一般不会用弱口令,但是小号就会用简单易记的弱口令。

建议

研究人员给出了一些建议:

  • 检查所有账户,并删除那些不再使用的账户。
  • 更新使用的所有密码,使用唯一的、复杂的密码来保护你的账户。
  • 如果可以,请使用2FA双因子认证。
  • 设置一个密码管理器。
  • 定期检查所有的账户以确定是否有可疑活动。

数据的价值越来越高,像微软、雅虎、Facebook这样的公司都陆续发生了数据泄露事件,因此用户需要自己去保护自己的数据。第一步就是把密码修改成一个复杂的密码。

附完整top 200弱密码榜单:


文章来源 嘶吼

2019年勒索软件:针对市政部门的全面攻击

阅读(144)

勒索软件多年来一直以私营部门为目标。

人们对安全措施的必要性的整体意识正在增强,网络犯罪分子正在提高其在目标防御系统中定位存在安全漏洞的受害者的精确性。回顾过去三年,以勒索软件为目标的用户在检测到的恶意软件总数中所占的比例已从2.8%上升到3.5%。尽管这似乎是一个很小的数目,但勒索软件却能够在受影响的系统和网络中造成广泛的破坏,这意味着这一威胁永远不可忽视。勒索软件目标在受到恶意软件攻击的所有用户中的比例一直在波动,但似乎正在下降,2019年上半年的数字显示为2.94%,而两年前为3.53%。

受勒索软件攻击的用户所占份额与受到恶意软件攻击的所有用户所占份额

每年受到攻击的用户总数已更改。卡巴斯基专家通常每六个月观察大约90万至近120万受勒索软件攻击的用户。

2017年上半年至2019年上半年受到勒索软件攻击的用户数量

尽管有许多极其复杂的加密样本,但是它们如何工作的机制却非常简单:将受害者计算机上的文件转换为加密数据,并要求赎金用于解密密钥。这些密钥是由威胁参与者创建的,用于解密文件并将其转换回原始数据。没有钥匙,就不可能操作被感染的设备。恶意软件可以由威胁的创建者分发,出售给其他参与者或创建者的合作伙伴网络-“外包”的分发者,他们与技术持有者分享了成功勒索软件攻击的收益。

2019年,这一瘟疫正积极地朝着新目标-市政当局转移。可以说,最著名,讨论最广泛的事件是在巴尔的摩,它遭受了大规模的勒索软件活动,导致大量城市服务瘫痪,并需要数千万美元来恢复该城市的IT网络。

根据卡巴斯基专家监控的公开统计数据和公告,2019年至少有174个市政组织受到了勒索软件的攻击。与一年前报告遭受攻击的受害者的城镇数量相比,增加了大约60%。尽管并非所有人都证实了勒索资金的数额以及是否已支付赎金,但赎金的平均需求在5,000美元至5,000,000美元之间,平均约为1,032,460美元。但是,数字差异很大,例如,从小城镇学区勒索的资金有时比从大城市市政厅勒索的资金小20倍。

但是,根据独立分析师的估计,袭击造成的实际损失通常与犯罪分子要求的数额有所不同。首先,为一些市政机构和供应商提供了针对网络事件的保险,这可以以一种或另一种方式补偿成本。其次,通常可以通过及时的事件响应来消除攻击。最后但并非最不重要的一点是,并非所有城市都支付了赎金:在巴尔的摩加密案中,官员拒绝支付赎金,该城市最终落成花费1800万美元来恢复其IT基础架构。虽然这笔钱似乎比犯罪分子要求的最初的114,000美元要多得多,但支付赎金是一种短期解决方案,鼓励威胁行为者继续其恶意行为。您需要记住,一旦城市的IT基础架构遭到破坏,就需要进行审核和彻底的事件调查,以防止再次发生类似的事件,此外,还需要实施强大的安全解决方案,从而需要支付额外的费用。

攻击场景各不相同。例如,攻击可能是不受保护的远程访问的结果。但是,总的来说,有两个切入点可用来攻击市政当局:社会工程和未更新软件的破坏。卡巴斯基专家每季度观察到一个生动的例证说明后一个问题:几乎在用户设备上最经常被阻止的勒索软件排名的历史最高者是WannaCry。尽管微软为其Windows操作系统发布了一个补丁程序,该补丁程序在攻击开始前几个月就已关闭了相关漏洞,但WannaCry仍然影响了全球数十万台设备。更令人吃惊的是它仍然存在并繁荣发展。的最新统计数据卡巴斯基(Kaspersky)在2019年第三季度收集的数据表明,WannaCry流行结束了两年半之后,加密货币所针对的所有用户中有五分之一受到了WannaCry的攻击。此外,2017年至2019年中的统计数据表明,WannaCry一直是最受欢迎的恶意软件样本之一,占该时期内勒索软件攻击的所有用户的27%。

另一种情况是,犯罪分子利用人为因素:这可以说是最被低估的攻击手段,因为对员工进行安全卫生方面的培训远未达到应有的普遍水平。许多行业由于员工失误而损失了巨额资金(在某些行业中,这种情况占所有事件的一半),包含危险恶意软件安装程序的网络钓鱼和垃圾邮件仍在网上流传并到达受害者手中。有时,这些受害者可能正在管理公司的帐户和财务,甚至不怀疑打开诈骗邮件并在其计算机上下载似乎是PDF文件的文件可能会导致网络受到损害。

在整个2019年遭受攻击的众多类型的市政组织中,有些组织受到的攻击要多于其他组织。

最具针对性的实体无疑是教育组织,例如学区,约占所有攻击的61%:2019年,针对105多个学区的行动受到打击,有530所学校成为目标。这个部门受到了沉重的打击,但是却表现出一定的弹性:尽管一些大学不得不取消课程,但尽管缺乏技术支持,许多教育机构还是采取了继续学习的立场,声称计算机只是最近才成为教育过程的一部分,并且教职员完全有能力教没有他们的学生。

市政厅和市政中心同时,约占案件总数的29%。威胁行动者通常将目标对准流程的核心,如果这些流程停止,将导致绝大多数公民和地方组织的重要流程中断极具问题。不幸的是,由于工作流程(尤其是在没有先进基础设施的安静小镇或乡村中)不需要高计算能力,因此这类机构仍然经常配备薄弱的基础设施和不可靠的安全解决方案。结果,当地人通常不必费心更新旧计算机,因为它们看起来仍然运行良好。这可能与一个常见错误有关,在该错误中,安全更新与软件中引入的设计更改或技术开发相关联,

另一个受欢迎的目标是医院,占所有攻击的7%。尽管一些黑帽黑客和网络犯罪集团声称拥有行为准则,但在大多数情况下,攻击者纯粹是出于经济利益的前景,而去寻求不能忍受长时间中断的重要服务,例如医疗中心。

此外,遭受攻击的所有机构中约有2%是市政公用事业服务或其分包商。造成这种情况的原因可能是这样的服务提供商经常被用作整个设备和组织网络的入口点,因为它们负责在多个地点和家庭的计费方面进行通信。在威胁参与者成功攻击服务提供商的情况下,他们可能还会损害特定供应商或机构服务的每个地点。此外,公用事业服务的中断可能会导致重要的常规运营中断,例如为城镇或城市的居民提供在线支付服务以支付月度账单–这增加了受害者的压力,并迫使他们向短期但看似有效的解决方案–支付赎金。

让我们仔细看看在市政当局的攻击中一直活跃使用的恶意软件。

谁在动

Ryuk

尽管并非所有组织都公开了有关遭受攻击的勒索软件的技术细节,但Ryuk勒索软件(检测名称:Trojan-Ransom.Win32.Hermez)经常被引为市政当局事件的原因。众所周知,它攻击大型组织以及政府和市政网络。该恶意软件首次出现在2018年下半年,并且在整个2019年一直在变异和积极传播。

地理

前10个国家

国家 %*
1 德国 8.60
2 中国 7.99
3 阿尔及利亚 6.76
4 印度 5.84
5 俄罗斯联邦 5.22
6 伊朗 5.07
7 美国 4.15
8 哈萨克斯坦 3.38
9 阿拉伯联合酋长国 3.23
10 巴西 3.07

*相对于该恶意软件在全球范围内攻击的所有用户,Ryuk在每个国家/地区攻击的用户所占的百分比

尽管有些国家受到的影响大于其他国家,但在世界各地都可以看到Ryuk。根据卡巴斯基安全网络的统计数据,在尝试攻击德国目标的案件中,有8.6%的事件是中国(8%)和阿尔及利亚(6.8%)。

传播
Ryuk背后的威胁行为者采用了多阶段计划,以将这种勒索软件交付给受害者。

初始阶段涉及通过Emotet bot(检测名称:Trojan-Banker.Win32.Emotet)感染大量计算机。通常,这是通过发送包含带有恶意宏的文档的垃圾邮件来实现的,如果受害者允许执行宏,则该恶意宏将下载机器人。

附有恶意文件的垃圾邮件

恶意文件

在感染的第二阶段,Emotet将收到来自其服务器的命令,以下载并安装另一种恶意软件Trickbot(判定为Trojan.Win32.Trickster)到受感染的系统中。这种恶意软件将使威胁参与者能够在受感染的网络中进行侦察。

如果犯罪分子发现他们已渗透到一个知名的受害者,例如大型市政网络或公司,则他们很可能会继续进行感染的第三阶段,并将Ryuk勒索软件部署到受影响网络中的许多节点。

技术简介

Ryuk自创建以来一直在发展,现有ITW的众多样本之间存在一定的差异。其中一些被构建为32位二进制文​​件,另一些则被构建为64位。一些变体包含将以代码注入为目标的进程的硬编码列表,其他变体将多个进程列入白名单,并将尝试注入所有其他进程;加密方案有时也因样本不同而不同。

我们将描述在2019年10月下旬发现的最新修改之一(MD5:fe8f2f9ad6789c6dba3d1aa2d3a8e404)。

文件加密
Ryuk的此修改使用混合加密方案,该方案采用AES算法对受害者文件的内容进行加密,并采用RSA算法对AES密钥进行加密。Ryuk使用Microsoft CryptoAPI提供的加密例程的标准实现。

该木马样本包含威胁参与者的嵌入式2048位RSA密钥。如果支付了赎金,则私密对方不会暴露,并且可能被犯罪分子用来解密。Ryuk将为每个受害文件生成一个新的唯一256位AES密钥,该密钥将用于加密文件内容。AES密钥由RSA加密,并保存在加密文件的末尾。

Ryuk加密本地驱动器和网络共享。加密的文件将获得一个附加扩展名(.RYK),包含罪犯电子邮件的赎金记录将被保存在附近。

赎金票据

附加功能
为了对网络造成更大的损害,此Ryuk变种使用了我们之前在其他勒索软件系列中未曾发现过的技巧。Trojan尝试唤醒处于睡眠状态但已配置为使用LAN唤醒的其他计算机。

Ryuk这样做是为了最大程度地扩大攻击范围:位于睡眠PC上的网络共享上的文件不可访问,但如果Trojan设法唤醒它们,它也可以对这些文件进行加密。为此,Ryuk从受感染系统的本地ARP缓存中检索附近机器的MAC地址,并将以魔术值{0xff,0xff,0xff,0xff,0xff,0xff}开头的广播UDP数据包发送到端口7,该端口将唤醒目标计算机。

实现局域网唤醒数据包广播的程序片段

Ryuk算法在勒索软件系列中较为传统的其他功能包括:将代码注入合法进程中以避免检测;尝试终止与业务应用程序相关的过程,以使这些程序使用的文件可用于修改;试图停止与业务应用程序和安全解决方案相关的各种服务。

Purga

这个勒索软件系列出现在2016年中期,并且仍在积极地开发和分布于世界各地。已针对城市进行了记录。该恶意软件的特征之一是,它攻击常规用户以及大型公司甚至政府组织。我们的产品将该恶意软件检测为Trojan-Ransom.Win32.Purga。Trojan家族也被称为Globe,失忆症或Scarab勒索软件。

地理

前10个国家

国家 %*
1 俄罗斯联邦 85.59
2 白俄罗斯 1.37
3 火鸡 0.85
4 印度 0.80
5 哈萨克斯坦 0.74
6 德国 0.62
7 乌克兰 0.54
8 中国 0.46
9 阿尔及利亚 0.40
10 阿拉伯联合酋长国 0.40

* Purga在每个国家/地区攻击的用户所占百分比,相对于该恶意软件在全球范围内攻击的所有用户而言

传播
在这个家庭的整个生存过程中,其背后的罪犯都使用了各种类型的感染媒介。主要的攻击媒介是垃圾邮件运动和RDP暴力攻击。

根据我们的信息,这是当前最常见的攻击情形:

  1. 犯罪分子扫描网络以查找开放的RDP端口
  2. 他们尝试暴力破解凭据以登录到目标计算机
  3. 成功登录后,犯罪分子会尝试使用各种漏洞利用来提升特权
  4. 犯罪分子启动勒索软件

简短的技术说明
Purga勒索软件是高度密集开发的勒索软件的一个示例。在过去的两年中,犯罪分子改变了几种加密算法,密钥生成功能,密码方案等。

在这里,我们将简要介绍最新的修改。

命名方案:
Purga的每次修改都会为每个文件使用不同的扩展名,并使用不同的电子邮件地址进行联系。尽管对加密文件使用了各种扩展名,但该木马仅使用两种命名方案,具体取决于其配置:

    1. [原始文件名]。[原始扩展名]。[新扩展名]

    1. [加密文件名]。[新扩展名]

文件加密
加密期间,特洛伊木马使用结合了对称和非对称算法的标准方案。使用随机生成的对称密钥对每个文件进行加密,然后使用非对称密钥对该对称密钥进行加密,并将结果存储在专门构建的结构中。

Stop

臭名昭著的Stop勒索软件(也称为Djvu STOP)于2018年底首次遇到。我们对该家族的检测名称是Trojan-Ransom.Win32.Stop,根据我们的统计数据,仅在2019年,Stop的各种修改勒索软件攻击了全球2万多名受害者。毫不奇怪,根据我们2019年第三季度的KSN报告,Stop勒索软件在最常见的勒索软件中排名第七。

地理

前10个国家

国家 %*
1 越南 10.28
2 印度 10.10
3 巴西 7.90
4 阿尔及利亚 5.31
5 埃及 4.89
6 印度尼西亚 4.59
7 火鸡 4.30
8 摩洛哥 2.42
9 孟加拉国 2.25
10 墨西哥 2.09

*相对于此恶意软件在全球范围内攻击的所有用户,Stop在每个国家/地区攻击的唯一身份用户所占百分比

传播
作者选择主要通过软件安装程序来分发其恶意软件。当用户尝试从不受信任的站点下载特定软件或尝试使用软件破解程序时,他们的计算机受到勒索软件的感染而不是期望的结果。

简要技术说明
对于文件加密,Stop勒索软件使用随机生成的Salsa20密钥,然后使用公共RSA密钥对其进行加密。

文件加密例程中的代码片段

根据C&C服务器的可用性,Stop勒索软件会使用在线或离线RSA密钥。离线公共RSA密钥可以在每个恶意样本的配置中找到。

恶意软件的转储片段

结论与建议

2019年是对市政当局进行勒索软件攻击的一年,并且这一趋势很可能在2020年继续。针对市政当局的攻击次数不断增加的原因有多种。

首先,市政当局的网络安全预算通常更侧重于保险和应急响应,而不是主动防御措施。在这种情况下,唯一可能的解决办法就是支付罪犯并促进其活动。
其次,市政部门通常具有由多个组织组成的众多网络,因此,对它们的打击会同时在多个层次上造成中断,从而使整个地区的流程都陷入停顿。

此外,市政网络中存储的数据通常对于日常流程的运行至关重要,因为它直接关系到公民和地方组织的福利。通过打击这样的目标,网络犯罪分子将受到打击。

但是,简单的预防措施可以帮助对抗这种流行病:

  • 必须尽快安装所有安全更新。大多数网络攻击利用已报告和解决的漏洞,因此安装最新的安全更新可降低受到攻击的可能性。
  • 通过VPN保护对公司网络的远程访问,并为域帐户使用安全密码。
  • 始终更新您的操作系统以消除最近的漏洞,并对更新的数据库使用可靠的安全解决方案。
  • 始终保留文件的新备份副本,以便在丢失(例如,由于恶意软件或损坏的设备而丢失)时可以对其进行替换,并将它们不仅存储在物理介质上,而且还存储在云中,以提高可靠性。
  • 请记住,勒索软件是刑事犯罪。你不应该支付赎金。如果您成为受害者,请向当地的执法机构报告。尝试先在互联网上找到解密器-其中一些可在此处免费获得:https//noransom.kaspersky.com
  • 首先要对员工进行网络安全卫生教育,以防止攻击发生。卡巴斯基交互式保护模拟游戏提供了一种特殊的方案,重点关注与本地公共管理相关的威胁。
  • 为组织使用安全解决方案,以保护企业数据免受勒索软件的侵害。Kaspersky Endpoint Security for Business具有行为检测,异常控制和利用防御功能,可检测已知和未知威胁并防止恶意活动。还可以使用免费的卡巴斯基反勒索软件工具来增强首选的第三方安全解决方案。

 

*编译:Domino

*来源:securelist

Gafgyt家族物联网僵尸网络家族分析

阅读(397)

背景

随着IOT(物联网)设备被越来越多的使用,互联网上针对IOT设备的攻击也在日益增加。相对于对传统终端安全性的重视程度,如各种杀软,终端检测,防火墙的使用,个人及企业用户对IOT设备的安全性重视仍然不够。加之IOT设备固件更新缓慢,被攻击后发现周期长的特性,使得攻击者可以以更低成本获得一台有更长控制权限的设备。这些被攻陷的IOT设备通常被用于发动DDoS攻击。著名僵尸网络家族mirai曾在2016年,利用数十万台IOT设备对域名解析商Dyn发起DDoS攻击,导致几乎整个美国东海岸的网络陷入瘫痪。Gafgyt是与Mirai类似的知名僵尸网络家族,本文将对其从多个角度进行详细分析。

简介

Gafgyt(又称BASHLITE,Qbot,Lizkebab,LizardStresser)是一款基于IRC协议的物联网僵尸网络程序,主要用于发起DDoS攻击。它可以利用内置的用户名、密码字典进行telnet爆破和对IOT设备RCE(远程命令执行)漏洞利用进行自我传播。于2015年泄露源码并被上传至github,此后衍生出多个变种,次年对互联网上的IOT设备的总感染数达到100W。Gafgyt家族曾发起过峰值400Gbps的DDoS攻击。截至2019年底,Gafgyt家族仍是除Mirai家族外的最大活跃物联网僵尸网络家族。

样本来源

本文分析的样本均来自于互联网。

目标

地域:不限

目标设备:IOT

目标行业:不限

In The Wild IP热力图

源码分析

Client端

注释

使用图形化的注释,将整个文件分为15个部分,分别为defines,includes,Config,Functions,Globals,FPRNG,utils,IP Utils,TelnetScanner lel,UDP Flood,TCP Flood,JUNK Flood,Hold Flood,Send Email,IRC Main。

C2服务器列表

Globals,全局变量声明,包含爆破用的用户名/密码对

控制端下发命令格式: !command arg

PING

测试对方是否存活

客户端

服务端

GETLOCALIP

使用getsockname获取本机ip并返回给服务器

SCANNER

分为SCANNERON/OFF两个命令,分别为开始/结束telnet扫描线程。整个扫描过程由state和complete两个标记位进行控制

下面对telnet扫描过程进行详细分析:

telnet扫描共分为10步:

1 生成随机IP,并尝试对IP的23端口进行socket连接。如果连接成功,state置为1,进行下一步;否则state仍为0,重复当前步骤。

2 使用select函数判断上一步建立的socket连接是否可用,如果不可用将state置为0,返回第一步;如果可用继续用getsockopt函数获取socket的选项,获取成功state置为2,否则置为0。

3尝试从socket返回的数据中查找”ogin”(推测为telnet的登陆标记login,为什么少了一位不清楚),如果能读取到state置为3

4尝试发送用户名列表中的用户名和回车标记,如果发送成功state置为4

5读取服务器端返回,如果上一步的用户名输入成功,服务器应该会进一步响应password并等待客户端输入密码,因此该步尝试从socket中查找“assword”标记,若找到state置为5,否则认为不需要密码可直接登录,state置为100;若找到的标记为“ncorrect”(推测为incorrect,用户名错误时服务器的响应内容),state置为0。

6尝试发送密码和回车,发送成功标记state置为6

7尝试查找服务器返回的字符串中是否由”ncorrect”标记,如果找到,state置为0,否则查找一系列登陆成功后的命令行标记(:>%$#\0),如果找到,state置为7

8发送“sh/r/n”标记,尝试调用sh,发送成功state置为8,否则置为0

9发送以下内容(在控制台中打印gafgyt),成功则state置为9

/bin/busybox;echo -e‘\\147\\141\\171\\146\\147\\164’\r\n

10检查返回值,打印结果:目标ip,登陆成功的用户名和密码

EMAIL

向指定邮件服务器发送请求,尝试向指定邮箱发送指定内容。在当前版本的源码中该方法被注释

JUNK

TCP 泛洪攻击,向指定IP指定端口发送指定时间的随机字符串,使用命令

        JUNK <ip><port> <time>

发送的过程与telnet扫描类似,建立socket连接

判断连接是否可用

检查连接选项

最后生成1024长度的随机字符串并写入socket

随机字符串生成规则为任意大写字母

UDP

UDP泛洪攻击,向指定IP和端口发送指定时间长度的任意字符串,且具有源IP地址欺骗功能。使用命令:

UDP<target> <port (0 for random)> <time> <netmask (32 for nonspoofed)> <packet size (1 to 65500)> (time poll interval, default 10)

不开启源地址欺骗过程比较简单,建立连接,循环发送字符串

开启源地址欺骗需要先构造IP包,写入随机IP地址,并填充随机字符串,最后计算校验和并循环发送

TCP

TCP泛洪攻击,除TCP flags设置之外,其余与UDP基本一致。使用命令:

TCP<target> <port (0 for random)> <time> <netmask (32 for nonspoofed)> <flags (syn, ack, psh, rst, fin, all) comma seperated>(packet size, usually 0) (time poll interval, default 10)

攻击者可自定义tcp报文的flags位,可选项syn/rst/fin/ack/psh,且可任意选择一种或全部使用

HOLD

在指定时间内,持续尝试与指定IP和端口建立TCP连接,但是不发送任何数据

KILLATTK

通过Kill掉除主进程外的所有子进程来停止DoS攻击

LOLNOGTFO

C2通过IP地址判断,同一个肉鸡多次发送上线包时,即肉鸡多次执行恶意elf的情况,C2会下发该命令强制退出当前启动的进程。

流量分析

PING/PONG指令

GETLOCALIP指令

SCANNER ON指令

JUNK指令

TCP伪造源IP,flags设置为all

UDP伪造源IP,包长度设置为1000

HOLD命令

单条session

DoS攻击小结

攻击者在利用控制的僵尸主机发起DoS攻击时,出于隐藏攻击源IP的目的,会重新构造IP层报文以重设源IP;而TCP和UDP报文都是基于IP头的,当使用自建IP头时,TCP/UDP报文也需要重建。这种隐藏攻击源IP的方式常见于不需要建立三次握手的DoS攻击中,如TCP flood和UDP flood,需要建立三次握手的JUNK flood则会因为第二次握手包返回到伪造的IP而导致连接建立失败,无法通过TCP连接发送垃圾数据报文。而IP packet中的部分字段是有“上下文的“而非固定的,这就导致攻击者需要使用一些值去填充这些字段。

在Gafgyt家族客户端中,对IP头的重构部分源代码如下

可以看到IP头的id字段被填充为随机字符串。根据RFC定义,IP层包的头结构如下:

其中id应该是对应identification字段。操作系统中的IP构造方法会维持一个计数器,每产生一个IP报文该值会+1。攻击者在构造报文时无法读取上一个identification值,自然只能用随机或固定数值去填充。虽然IP协议是无连接协议,使得这个值不能作为序列号使用,但是identification值的自增特性决定了它一定程度上可以作为一种弱判断标记。

再来看TCP头的构造代码:

TCP头共有3个字段被填充为随机值,1个值被填充为0。TCP头结构如下:

代码中的source字段应该对应source port,可以忽略;seq字段对应sequence number,ack_seq字段对应acknowledgement number,这两者为TCP可靠传输的保证。sequence number为当前包中payload第一个字节的序号,acknowledgement number代表已接收数据的序号,这两者都是有状态的,如果能在性能允许的情况下维护一个TCP报文的序号表,那么使用这个表是可以进行这种类型的DoS防御的。即新来的报文既没有SYN标记,它的seq和ack序号又不能在序号表中找到对应项,那么该报文一定是可以直接丢弃的。

Window字段即滑动窗口值,该值用于接收端告诉发送端当前能够接收的最大数据字节数。该值会随接收方主机链路情况发生变化,不适用于DoS报文检测。

UDP包头中只有源端口被填充为随机值,在此不再分析。

主机特征

开放端口,生成进程/子进程。

关联分析

基于在一定时间内使用同一基础设施(如C2/ITW)的样本属于同一团伙的假设,对2019年捕获到的所有Gafgyt家族样本进行C2/ITW 信息提取并进行关联,关联结果如下:

其中红色点代表ITW地址,绿色点代表C2地址,每一条边代表所连接的两个点的地址曾出现在同一样本中(或从一个点对应地址下载的样本会以另一点对应地址为C2)。其中独立的点代表其ITW和ip为同一地址。

可以比较明显的看到关联超过5个点的类有三个,按照从下至上的顺序将其命名为家族1、家族2和家族3。

家族分析

家族1

家族1中包含1个C2地址和6个ITW地址。

从蜜罐获取样本的时间来看,该家族的活跃时间为2019年4月26日至今。4月26日第一次出现的样本,被存储在89.46.223.195服务器上,共涵盖9种架构,大多数为静态链接并剥离了调试信息,只有一个样本为静态编译未剥离调试信息。

从样本中方法调用情况来看,该样本并不完整,疑似攻击者正在对样本进行测试而未正式使用。与原始样本相比,该样本有如下变化:

1.增加了20+种控制命令,包含给客户端增加nickname,修改客户端内置C2地址,通讯流量加密以及远程下载文件并执行的方法,显著增强了样本功能(部分命令未实现)

2.添加自启动功能,避免设备重启后失去控制权

3.进行telnet扫描时使用如下payload,而原始样本仅进行弱口令扫描。

从脚本可以看出在进行传播时,脚本先通过wget获取样本托管服务器上的sh脚本保存到本地并重命名,再通过执行sh脚本进一步下载真正的恶意样本。sh脚本会下载所有架构的样本并依次执行,以保证在不同架构的设备上都能够使对应的样本运行起来。

4.新增多种DoS攻击方式,且为可伪造源IP的DoS攻击编写了专门的包头构造方法

且字符串窗口中存在大量user-agent信息,疑似为实现HTTP Flood攻击做准备:

5.增加对8种应用/设备的RCE漏洞扫描和利用

6.还有一段似乎是对某安全研究人员的嘲讽

攻击者于4月27日对样本进行了第一次更新,样本命名方式改为abe.+样本架构,仍然包括9种架构的样本,投递服务器为89.46.223[.]199。

对比发现内部仅有扫描Payload中的恶意脚本下载地址和编译器生成的部分内容发生改变,脚本下载地址由89.46.223[.]199修改为89.46.223[.]195。

此次更新后,89.46.223[.]195和89.46.223[.]199同时托管恶意样本且内置脚本下载链接均为对方IP。直到5月2日,新的恶意样本托管服务器89.46.223[.]180加入,托管样本与之前的两个IP托管的样本一致,样本内置扫描payload种的下载链接为89.46.223[.]195。

5月8日,新的恶意样本托管服务器89.46.223[.]81加入,且前述3个样本托管服务器均停止使用。89.46.223[.]81上托管的样本,内置扫描Payload中的downloader脚本为自身。

6月12日,新的样本托管服务器89.32.41[.]15上线,托管的样本仅有7种架构且均为剥离调试信息。对样本进行静态分析发现样本内容仍没有改动。内置扫描Payload中的恶意样本下载地址为89.46.223[.]81。

此后该家族停止恶意活动,直至10月22日重新开始恶意活动,此时恶意样本托管服务器ip为151.80.197[.]109,托管的样本仍然覆盖9种架构CPU,仍然只有64位MIPS架构样本未剥离调试信息。但是此时样本大小发生了明显变化,由之前的520KB变为720KB。

通过静态分析,本次样本更新主要新增了以下几种用于自我传播的RCE漏洞和用于CC攻击的User-Agent内容。新增漏洞payload如下:

小结

活跃时间线:

2019年4月26日,样本托管服务器89.46.223[.]195上线,样本内嵌下载ip:89.46.223[.]195

2019年4月27日,样本托管服务器89.46.223[.]199上线,样本内嵌下载ip: 89.46.223[.]195

2019年5月2日,样本托管服务器89.46.223[.]180上线,样本内嵌下载ip: 89.46.223[.]199

2019年5月8日,样本托管服务器89.46.223[.]81上线,样本内嵌下载ip: 89.46.223.81/89.46.223[.]195

2019年6月12日,样本托管服务器89.32.41[.]15上线,样本内嵌下载ip: 89.46.223.81/89.46.223[.]195

2019年10月22日,样本托管服务器151.80.197[.]109上线,样本内嵌下载ip: 151.80.197[.]109/89.46.223[.]81。样本新增漏洞利用Payload和User-Agent。

扩散手法:telnet弱口令扫描,RCE漏洞利用

目标地域:随机IP

目标设备:IOT

目标CPU架构:ARM,ARM(GNU/Linux),Intel 80386,MIPS64,MIPS-I,Motoroal68020,PowerPC,Renesas SH,x86-64

样本编译情况:静态链接,stripped

漏洞列表:

序号 CVE 名称
1 CVE-2019-3929 Optoma远程命令注入漏洞
2 CVE-2018-10561 Dasan GPON远程命令执行漏洞
3 CVE-2018-14847 MicroTik远程命令执行漏洞
4 CVE-2018-20841 HooToo路由器远程命令执行漏洞
5 CVE-2017-17215 HUAWEI HG532远程命令执行漏洞
6 CVE-2016-6277 NETGEAR命令注入漏洞
7 CVE-2014-8361 Miniigd UPnP SOAP命令执行漏洞
8 CCTV-DVR远程命令执行漏洞
9 DLink Router远程命令注入漏洞
10 UPnP SOAP命令执行漏洞
11 Eir D1000远程命令注入漏洞
12 ZyXEL路由器远程命令注入漏洞
13 ThinkPHP5远程命令执行漏洞
14 NETGEAR DGN1000远程命令执行漏洞
15 DLink DSL命令注入漏洞
16 VACRON CCTV远程命令执行漏洞

IOC:

序号 IP country
1 151.80.197[.]109 United Kingdom
2 89.46.223[.]81 United Kingdom
3 89.46.223[.]195 United Kingdom
4 89.46.223[.]180 Romania
5 89.32.41[.]15 United Kingdom
6 89.46.223[.]199 France
7 54.36.212[.]123 United Kingdom

(涉及样本较多,不在此列出)

家族2

家族2活跃支持的架构较少,在活跃时间范围内仅有4个样本。

序号 哈希 架构
1 30a0c139fd384484d723e73a34547a25 MIPS-I,statically linked, stripped
2 624d47eda16cfc7ff1b97496fd42243a Intel 80386, statically linked, stripped
3 eda730498b3d0a97066807a2d98909f3 ARM, version 1, statically linked, stripped
4 b9d461d7157eb8b726ef9eecebb6cb9a MIPS-I, statically linked, stripped

如上表所示,样本均为静态编译且剥离了调试信息。

与原始样本相比,该家族样本主要变化如下:

通过将自身加入到系统初始化目录中实现自启动

入侵IOT设备成功后,通过修改配置文件、iptables禁用端口的方式关闭管理/控制端口,已以控制时间:

厂商一光猫:

厂商二光猫

利用10种RCE漏洞进行自我传播:

小结

活跃时间线:

2019年10月30日,样本托管服务器115.51.203[.]137上线,投递样本eda

2019年10月31日,样本托管服务器115.51.203[.]137新投递样本30a,624

2019年11月1日,样本托管服务器118.249.40[.]35和220.135.22[.]121上线,分别投递样本30a和eda;

2019年11月2日,样本托管服务器101.65.118[.]108和182.113.234[.]110上线,投递样本eda和b9d

2019年11月5日,样本托管服务器220.134.139[.]113上线,投递样本eda

2019年11月6日,样本托管服务器218.35.45[.]116上线,投递样本eda

2019年11月7日,样本托管服务器183.196.233[.]193上线,投递样本eda

2019年11月8日,样本托管服务器182.127.92[.]221和39.77.124[.]251上线,投递样本30a,624,eda

2019年11月10日,样本托管服务器42.225.182[.]239上线,投递样本30a和eda

2019年11月13日,样本托管服务器101.65.118[.]108上线,投递样本eda

2019年11月15日,样本托管服务器221.223.37[.]152和42.231.94[.]209上线,分别投递样本eda和30a

2019年11月16日,样本托管服务器114.240.90[.]197和221.223.37[.]152上线,分别投递样本30a、eda和30a、624

扩散手法:telnet弱口令扫描,RCE漏洞利用

目标地域:随机IP

目标设备:IOT

目标CPU架构:ARM, Intel 80386,MIPS-I

样本编译情况:静态链接,stripped

漏洞列表:

序号 CVE 名称
1 CVE-2016-6277 NETGEAR命令注入漏洞
2 CVE-2017-17215 HUAWEI HG532远程命令执行漏洞
3 CVE-2018-10561 Dasan GPON远程命令执行漏洞
4 CVE-2014-8361 Miniigd UPnP SOAP命令执行漏洞
5 ZyXEL路由器远程命令注入漏洞
6 DLink Router远程命令注入漏洞
7 UPnP SOAP命令执行漏洞
8 CCTV-DVR远程命令执行漏洞
9 NETGEAR DGN1000远程命令执行漏洞
10 VACRON CCTV远程命令执行漏洞

IOC:

IP列表

序号 IP country
1 87.98.162[.]88 Franc
2 101.65.117[.]115 China
3 101.65.118[.]108 China
4 101.65.119[.]23 China
5 114.240.90[.]197 China
6 115.51.203[.]137 China
7 118.249.40[.]35 China
8 182.113.229[.]250 China
9 182.113.234[.]110 China
10 182.127.92[.]221 China
11 183.196.233[.]193 China
12 218.35.45[.]116 China
13 220.134.139[.]113 China
14 220.135.22[.]121 China
15 221.223.37[.]152 China
16 39.77.124[.]251 China
17 42.225.182[.]239 China
18 42.231.94[.]209 China

样本列表

序号 哈希 架构
1 30a0c139fd384484d723e73a34547a25 MIPS-Istatically linked, stripped
2 624d47eda16cfc7ff1b97496fd42243a Intel 80386, statically linked, stripped
3 eda730498b3d0a97066807a2d98909f3 ARM, version 1, statically linked, stripped
4 b9d461d7157eb8b726ef9eecebb6cb9a MIPS-I, statically linked, stripped

用户名列表

序号 用户名
1 root
2 admin
3 super
4 telnetadmin
5 !!Huawei
6 keomeo
7 support
8 e8telnet
9 e8ehome1
10 e8ehome
11 user
12 mother
13 Administrator
14 service
15 supervisor
16 guest
17 admin1
18 666666
19 888888
20 ubnt
21 tech

密码列表

序号 用户名
1 root
2 admin
3 xc3511
4 vizxv
5 888888
6 gpon
7 Zte521
8 hg2x0
9 epicrouter
10 conexant
11 xJ4pCYeW
12 v2mprt
13 PhrQjGzk
14 h@32LuyD
15 gw1admin
16 adminpass
17 xmhdipc
18 default
19 juantech
20 telnetadmin
21 @HuaweiHgw
22 adminHW
23 2010vesta
24 2011vesta
25 keomeo
26 plumeria0077
27 cat1029
28 123456
29 54321
30 support
31 e8telnet
32 e8ehome1
33 e8ehome
34 hi3518
35 password
36 12345
37 user
38 fucker
39 pass
40 admin1234
41 1111
42 smcadmin
43 666666
44 1234
45 klv123
46 service
47 supervisor
48 guest
49 ubnt
50 klv1234
51 zte
52 jvbzd
53 anko
54 zlxx
55 7ujMko0vizxv
56 7ujMko0admin
57 system
58 ikwb
59 dreambox
60 realtek
61 1111111
62 123456
63 meinsm
64 tech

家族3

家族3中包含1个C2和40个ITW IP.

该家族至少从2019年1月2日开始活动(只筛选了2019年以后的样本)至2019年9月28日。2019年样本第一出现是部署在31.214.157[.]71服务器上。

与家族1和2一致,该家族同样是先通过下载shell脚本再运行的方式下载真正的恶意二进制样本并运行,以适应不同架构设备环境。

这个shell脚本中使用了一个小技巧,即使用“||”符号来分隔cd directory命令。这样当/tmp目录不存在时,系统会提示“No such file or directory”,但仍会继续执行第二个cd directory命令。这样既能满足在不常用目录存储恶意样本不被发现的需求,又能在不常用目录不存在时使得恶意样本能正常保存下来。

与家族1和家族2相比,家族3的样本并没有刻意剥离调试信息;样本命名方式简单粗暴,直接采用架构简称作为样本名称:

对其中的x86架构样本进行简单静态分析,与原始代码区别如下:

首先对自身进程重命名为/usr/sbin/dropbear

调用table_init函数,初始化一系列加密后的数据

然后调用函数进行解密。从攻击者没有剥离调试信息看,进行加密的主要目的是防止直接从静态字符串中看到这些信息。

解密算法如下:

要获得解密后的信息有两种方式:

(1)调试。使用ida pro远程调试样本,打开ida pro安装目录下的dbgsrv目录,根据样本架构选择linux_server64,与待调试样本一起放到一台linux主机的某一目录下,修改linux_server64的权限并运行,得到调试端口23946。简单分析代码逻辑,回到ida中在长度比较和结果返回两处位置下断

调试器选项中选择Remote Linux debugger,点击开始调试,输入linux主机IP和端口,断下来后观察异或操作时修改的位置,循环两次后发现程序对堆上的0x23e8050地址进行修改。取消第一个断点,运行发现字符串已经解密,内容为:

并不是想象中的恶意服务器地址信息。

(2)当目标样本难以进行调试时,可以对解密逻辑进行分析,并使用Python代码实现逻辑完成解密。该样本进行了初始化和解密两个步骤,所以先需要分析初始化逻辑,将数据布置在内存中之后再进行解密。

初始化逻辑比较简单,直接将字符串部署在table列表的指定位置

解密函数的输入参数为待解密字符串在table种的索引,解密算法为从低到高依次取table_key的一位与加密字符串进行异或计算,异或后的结果继续与table_key取出的下一位进行异或,四次异或后即为解密结果。

使用Python实现以上逻辑:

依次对加密字符串进行解密,结果如下:

利用CVE-2017-17215远程命令执行漏洞进行传播

利用Realtek SDK -Miniigd UPnP SOAP远程命令执行漏洞进行传播

然后开始循环调用processCmd函数,监听来自服务端的信息,并进行对应处理。与原始样本相比,发生变化的命令变动如下:

新增“HTTP”命令,用于对目标地址发起CC攻击

新增“STD”命令,用于发起udp STD flood攻击

新增“CRASH”命令,用于发起RTCP flood攻击

新增“CRUSH”命令,用于发起TCP flood和STD flood。

新增“SMITE”命令,用于发起针对Valve Source Engine的泛洪攻击。

新增“CNC命令”,用于切换客户端连接的CNC端

然后直到2019年2月5日,攻击者在104.168.143[.]19上部署新样本。通过对比发现,仅有利用漏洞传播时payload中的下载链接发生变化

2019年2月20日,攻击者在104.168.169[.]89上部署新样本,样本功能仍未发生改变,利用漏洞传播时payload中的下载地址为31.214.157[.]71

2019年2月22日,攻击者在176.31.78[.]52上部署新样本,新增对4种RCE漏洞的利用。漏洞已包含在家族1中,在此不再详细分析。

2019年3月19日,攻击者在68.183.121[.]242上部署新样本,样本中增加了大量的User-Agent字符串

接下来一段时间内,攻击者一直在新的服务器上部署样本,但是样本功能基本未发生变化。知道2019年7月28日,攻击者在165.22.187[.]56上部署新样本,downloader脚本和样本命名方式均未改变,样本大小由141KB变化为245KB。但是经分析发现,攻击者只是在样本尾部添加了部分字符串,并未对样本结构产生影响,IDA也未解析这部分数据。

2019年8月7日,攻击者在185.244.25[.]75上部署新样本。样本命名方式变为样本md5作为样本名,样本内容未发生变化。

小结

活跃时间线:

2019年01月02日,样本托管服务器31.214.157[.]71上线,样本内嵌下载ip:31.214.157[.]71

2019年02月05日,样本托管服务器104.168.143[.]19上线,样本内嵌下载ip:104.168.143[.]19

2019年02月20日,样本托管服务器104.168.169[.]89上线,样本内嵌下载ip:31.214.157[.]71

2019年02月22日,样本托管服务器176.31.78[.]52上线,样本内嵌下载ip:176.31.78[.]52

2019年02月28日,样本托管服务器142.93.11[.]223上线,样本内嵌下载ip:142.93.11[.]223

2019年03月15日,样本托管服务器35.246.45[.]191上线,样本内嵌下载ip:35.246.45[.]191

2019年03月19日,样本托管服务器68.183.121[.]242上线,样本内嵌下载ip:68.183.121[.]242

2019年03月20日,样本托管服务器188.166.116[.]249上线,样本内嵌下载ip:188.166.116[.]249

2019年03月26日,样本托管服务器157.230.92[.]69上线,样本内嵌下载ip:157.230.92[.]69

2019年03月27日,样本托管服务器68.183.148[.]125上线,样本内嵌下载ip:68.183.148[.]125

2019年03月28日,样本托管服务器46.36.35[.]127上线,样本内嵌下载ip:46.36.35[.]127

2019年03月31日,样本托管服务器185.244.25[.]117上线,样本内嵌下载ip:185.244.25[.]117

2019年03月31日,样本托管服务器68.183.24[.]85上线,样本内嵌下载ip:68.183.24[.]85

2019年04月03日,样本托管服务器185.244.25[.]114上线,样本内嵌下载ip:185.244.25[.]114

2019年04月06日,样本托管服务器194.135.92[.]252上线,样本内嵌下载ip:194.135.92[.]252

2019年04月09日,样本托管服务器104.248.28[.]163上线,样本内嵌下载ip:104.248.28[.]163

2019年04月11日,样本托管服务器134.209.8[.]154上线,样本内嵌下载ip:134.209.8[.]154

2019年04月11日,样本托管服务器188.166.63[.]234上线,样本内嵌下载ip:188.166.63[.]234

2019年04月21日,样本托管服务器157.230.4[.]62上线,样本内嵌下载ip:157.230.4[.]62

2019年04月30日,样本托管服务器185.172.110[.]226上线,样本内嵌下载ip:185.172.110[.]226

2019年05月10日,样本托管服务器37.49.225[.]230上线,样本内嵌下载ip:37.49.225[.]230

2019年05月14日,样本托管服务器188.166.14[.]76上线,样本内嵌下载ip:188.166.14[.]76

2019年05月16日,样本托管服务器198.12.97[.]73上线,样本内嵌下载ip:198.12.97[.]73

2019年05月17日,样本托管服务器174.138.52[.]74上线,样本内嵌下载ip:174.138.52[.]74

2019年05月24日,样本托管服务器107.173.57[.]152上线,样本内嵌下载ip:107.173.57[.]152

2019年06月03日,样本托管服务器185.172.110[.]214上线,样本内嵌下载ip:185.172.110.214

2019年06月10日,样本托管服务器204.48.18[.]12上线,样本内嵌下载ip:204.48.18[.]12

2019年06月13日,样本托管服务器139.99.137[.]154上线,样本内嵌下载ip:139.99.137[.]154

2019年06月14日,样本托管服务器185.172.110[.]238上线,样本内嵌下载ip:185.181.11[.]144

2019年06月17日,样本托管服务器159.89.177[.]184上线,样本内嵌下载ip:159.89.177[.]184

2019年06月20日,样本托管服务器195.231.8[.]82上线,样本内嵌下载ip:195.231.8[.]82

2019年06月20日,样本托管服务器198.175.125[.]100上线,样本内嵌下载ip:104.248.167[.]251

2019年06月22日,样本托管服务器54.39.7[.]243上线,样本内嵌下载ip: 195.231.8[.]82

2019年07月02日,样本托管服务器198.199.76[.]237上线,样本内嵌下载ip:198.199.76[.]237

2019年07月07日,样本托管服务器178.128.245[.]57上线,样本内嵌下载ip:178.128.245[.]57

2019年07月09日,样本托管服务器134.209.80[.]188上线,样本内嵌下载ip:134.209.80[.]188

2019年07月26日,样本托管服务器167.114.115[.]119上线,样本内嵌下载ip:167.114.115[.]119

2019年07月28日,样本托管服务器165.22.187[.]56上线,样本内嵌下载ip:165.22.187[.]56

2019年08月06日,样本托管服务器185.244.25[.]75上线,样本内嵌下载ip:185.244.25[.]75

2019年09月28日,样本托管服务器174.128.226[.]101上线,样本内嵌下载ip:174.128.226[.]101

扩散手法:telnet弱口令扫描,RCE漏洞利用

目标地域:随机IP

目标设备:IOT

目标CPU架构:ARM,ARM(SYSV),Intel 80386,MIPS-I,Motoroal 68020,PowerPC,Renesas SH,x86-64,SPARC

样本编译情况:静态链接,not stripped

漏洞列表:

序号 CVE 名称
1 CVE-2018-10561 Dasan GPON远程命令执行漏洞
2 CVE-2017-17215 HUAWEI HG532远程命令执行漏洞
3 CVE-2014-8361 Miniigd UPnP SOAP命令执行漏洞
4 DLink DSL命令注入漏洞
5 ZyXEL路由器远程命令注入漏洞
6 ThinkPHP5远程命令执行漏洞

IOC:

IP列表

序号 IP country
1 206.189.136[.]239 India
2 104.168.143[.]19 United States
3 104.168.169[.]89 United States
4 104.248.28[.]163 Germany
5 107.173.57[.]152 United States
6 134.209.8[.]154 United States
7 134.209.80[.]188 Netherlands
8 139.99.137[.]154 Australia
9 142.93.11[.]223 United States
10 157.230.4[.]62 United States
11 157.230.92[.]69 United States
12 159.89.177[.]184 United States
13 165.22.187[.]56 United States
14 167.114.115[.]119 Canada
15 174.128.226[.]101 United States
16 174.138.52[.]74 United States
17 176.31.78[.]52 France
18 178.128.245[.]57 Netherlands
19 185.172.110[.]214 Netherlands
20 185.172.110[.]226 Netherlands
21 185.172.110[.]238 Netherlands
22 185.244.25[.]114 Netherlands
23 185.244.25[.]117 Netherlands
24 185.244.25[.]75 Netherlands
25 188.166.116[.]249 Netherlands
26 188.166.14[.]76 Netherlands
27 188.166.63[.]234 Netherlands
28 194.135.92[.]252 Lithuania
29 195.231.8[.]82 Italy
30 198.12.97[.]73 United States
31 198.175.125[.]100 United States
32 198.199.76[.]237 United States
33 204.48.18[.]12 United States
34 31.214.157[.]71 Netherlands
35 35.246.45[.]191 United Kingdom
36 37.49.225[.]230 Netherlands
37 46.36.35[.]127 Czech
38 54.39.7[.]243 Canada
39 68.183.121[.]242 United States
40 68.183.148[.]125 United States
41 68.183.24[.]85 United States

(涉及样本哈希较多,不在此列出)

由于行文仓促加之个人水平有限,难免会有分析错误或描述不清之处,欢迎多多批评指正。

 

*本文作者:未然实验室_威胁信息分析团队

*来源:FreeBuf.COM

网络安全:这项窃取密码的黑客活动针对的是世界各地的政府

阅读(177)

一项神秘的新的网络钓鱼活动正在针对全球政府部门和相关业务服务进行网络攻击,旨在从受害者那里窃取登录凭据。

总体而言,网络钓鱼攻击已针对美国,加拿大,中国,澳大利亚,瑞典等国家中的至少22个潜在的受害者组织。所有这些攻击都涉及声称与目标政府机构有关的电子邮件,它们都试图诱骗受害者单击电子邮件链接,要求其用户名和密码。

任何将其登录凭据输入到欺骗性政府机构网站的人都将使网络罪犯能够访问其帐户。

该活动已由Anomali的网络安全研究人员发现并进行了详细说明;但是尽管研究人员称其为“持续性”运动很明显,但仍有很多工作要做,但尚不清楚攻击背后是谁还是其最终动机是什么,这可能是进行公司间谍活动的一种努力。

Anomali网络威胁情报分析师Sara Moore说:“可能是对手试图与潜在竞标者接触,以削弱竞争或损害政府供应商的长期利益。”

大多数攻击针对政府部门本身,但一小部分攻击也针对与目标有关的采购和物流公司。

发生这些攻击最多的国家是美国,其中有美国能源部,美国商务部,美国退伍军人事务部。

攻击者一直在谨慎地使用包含诱饵文件的网络钓鱼电子邮件,诱骗每个目标的独特诱饵,诱饵文件据称与部门的招标和采购活动有关。在每种情况下,网络钓鱼电子邮件均以目标部门所在国家/地区的母语编写。

例如,针对美国商务部的网络钓鱼电子邮件声称包含与商业产品和服务竞标有关的信息,并鼓励目标用户打开诱饵文件。该文档包含一个嵌入式链接,鼓励目标用户单击该链接–正是该链接导致了一个钓鱼网站。

像电子邮件和文档诱饵一样,网络钓鱼网站的设计看起来像是目标代理商或公司所使用的真实网站。这些网站使用目标使用的合法名称,信息和文件,以使其看起来更加真实并避免用户怀疑。

尽管不知道是哪种欺骗性网站和相关的网络钓鱼活动背后的网络犯罪活动,但域名托管在土耳其和罗马尼亚。但是,尽管并没有透露谁可能成为攻击的幕后黑手,因为攻击者可以在世界上任何一个县建立网络钓鱼站点,并且可以使用任何国家来托管这些域。在Anomali的调查过程中,总共发现了62个域和122个网络钓鱼网站。

请参阅:  如何发现网络钓鱼电子邮件  [CNET]

研究人员已经通知了相关的CERT(计算机紧急响应小组),向他们通报了有关攻击的信息-尽管目前尚不清楚攻击者是否设法消除了所有被盗的凭据。

但是,各行各业的组织可以做些事情,以保护自己免受此运动或任何其他网络钓鱼攻击的侵害。

“组织应确保能够访问威胁情报和研究,以提供有关这些类型攻击的详细信息。它们应具有将情报和研究整合到其安全基础结构中的能力,以实现检测,阻止和响应。”摩尔(Moore)说道。

她补充说:“向员工传授如何发现和报告可疑的网络钓鱼电子邮件的安全意识培训也至关重要。”

有关该运动的《异常研究》详细介绍了已知目标的完整列表以及“妥协指标” 。

 

*编译整理:Domino

*参考来源:ZDNET

微信支付勒索病毒愈演愈烈,边勒索边窃取支付宝密码

阅读(549)

一、概述

12月1日爆发的”微信支付”勒索病毒正在快速传播,感染的电脑数量越来越多。病毒团伙入侵并利用豆瓣的C&C服务器,除了锁死受害者文件勒索赎金(支付通道已经关闭),还大肆偷窃支付宝等密码。

首先,该病毒巧妙地利用”供应链污染”的方式进行传播,目前已经感染数万台电脑,而且感染范围还在扩大;其次,该病毒还窃取用户的各类账户密码,包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。 火绒团队强烈建议被感染用户,除了杀毒和解密被锁死的文件外,尽快修改上述平台密码。

234133j31kss3z7592skik.jpg

图:日均感染量图,最高13134台(从病毒服务器获取的数据)

据火绒安全团队分析,病毒作者首先攻击软件开发者的电脑,感染其用以编程的”易语言”中的一个模块,导致开发者所有使用”易语言”编程的软件均携带该勒索病毒。广大用户下载这些”带毒”软件后,就会感染该勒索病毒。整过传播过程很简单,但污染”易语言”后再感染软件的方式却比较罕见。截止到12月3日,已有超过两万用户感染该病毒,并且被感染电脑数量还在增长。

此外,火绒安全团队发现病毒制作者利用豆瓣等平台当作下发指令的C&C服务器,火绒安全团队通过解密下发的指令后,获取其中一个病毒后台服务器,发现病毒作者已秘密收取数万条淘宝、天猫等账号信息。

二、样本分析

近期,火绒追踪到使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt在12月1日前后大范围传播,感染用户数量在短时间内迅速激增。通过火绒溯源分析发现,该病毒之所以可以在短时间内进行大范围传播,是因为该病毒传播是利用供应链污染的方式进行传播,病毒运行后会感染易语言核心静态库和精易模块,导致在病毒感染后编译出的所有易语言程序都会带有病毒代码。供应链污染流程图,如下图所示:

234200f0y2jfvvyfqq0lkq.jpg

供应链污染流程图

编译环境被感染后插入的恶意代码,在易语言精易模块中被插入的易语言恶意代码,如下图所示:

234216q111wq9psb5mop52.jpg

精易模块中的恶意代码

在被感染的编译环境中编译出的易语言程序会被加入病毒下载代码,首先会通过HTTP请求获取到一组加密的下载配置,之后根据解密出的网址下载病毒文件到本地执行。如上图红框所示,被下载执行的是一组”白加黑”恶意程序,其中svchost为前期报告中所提到的白文件,svchost运行后会加载执行libcef.dll中所存放的恶意代码。下载执行病毒相关代码,如下图所示:

下载病毒文件相关代码

病毒代码中请求网址包含一个豆瓣链接和一个github链接,两者内容相同,仅以豆瓣链接为例。如下图所示:

234229ixa7zj8s8pffy9tl.jpg

请求到的网页内容

上述数据经过解密后,可以得到一组下载配置。如下图所示:

234931i3gglswewjw3xgrg.jpg

被解密的下载配置

解密相关代码,如下图所示:

234950brtqh050z68kqtez.jpg

解密代码

通过配置中的下载地址,我们可以下载到数据文件,数据文件分为两个部分:一个JPG格式图片文件和病毒Payload数据。数据文件,如下图所示:

235001wisv8soanswv88fl.jpg

数据文件

libcef.dll

libcef.dll中的恶意代码被执行后,首先会请求一个豆瓣网址链接(https://www.douban.com/note/69*56/)。与被感染的易语言编译环境中的病毒插入的病毒代码逻辑相同,恶意代码可以通过豆瓣链接存放的数据,该数据可以解密出一组下载配置。解密后的下载配置,如下图所示:

235012efkfwpk00p3bvuuv.jpg

下载配置

下载代码,如下图所示:

235022lyjcpcpjzykp0bpj.jpg

下载代码

下载截取后的有效恶意代码数据中,包含有用于感染易语言编译环境的易语言核心静态库和精易模块。除此之外,下载的Payload文件中还包含有一个Zip压缩包,配合在病毒代码中所包含的通用下载逻辑,此处的Zip压缩包可能被替换为任意病毒程序。因为病毒作者使用供应链污染的传播方式,导致相关病毒感染量呈指数级增长。相关代码,如下图所示:

235031kq24hh56ff352q7o.jpg

定位Payload压缩包位置回写文件

通过筛查豆瓣链接中存放的加密下载配置数据,我们发现在另外一个豆瓣链接(https://www.douban.com/note/69*26/)中存放有本次通过供应链传播的勒索病毒Bcrypt。下载配置,如下图所示:

235041nl64vdiv6a9w6gc7.jpg

下载配置

我们在病毒模块JPG扩展名后,用”_”分割标注出了勒索病毒被释放时的实际文件名。最终被下载的勒索病毒压缩包目录情况,如下图所示:

235051tgv4qxv41zmeqtpy.jpg

勒索病毒压缩包目录情况

三、病毒相关数据分析

火绒通过病毒作者存放在众多网址中的加密数据,解密出了病毒作者使用的两台MySQL服务器的登录口令。我们成功登录上了其中一台服务器,通过访问数据库,我们发现通过该供应链传播下载的病毒功能模块:至少包含有勒索病毒、盗号木马、色情播放软件等。
我们还在服务器中发现被盗号木马上传的键盘记录信息,其中包括:淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号等共计两万余条。
我们还在服务器中发现了Bcrypt病毒上传的勒索感染数据,通过仅对一台服务器数据的分析,我们统计到的病毒感染量共计23081台(数据截至到12月3日下午)。
日均感染量,如下图所示:

235102iqmavl6qcmozfgst.jpg

日均感染量

感染总量统计图,如下图所示:

235112vikfkmlkaqflvlyv.jpg

感染总量

现火绒已经可以查杀此类被感染的易语言库文件,请装有易语言编译环境的开发人员下载安装火绒安全软件后全盘扫描查杀。

四、附录

样本SHA256:

235134oshz2bzqmtcnmhop.jpg

又想骗我搞安全?它说信息安全专业工资、竞争力都是No.1

阅读(520)

每年这个时候,都会有一大波人陷入纠结状态。校招一波接一波,应届生似乎要做一个前所未有的重大决定,没毕业的也已经开始观望了:哪个行业最赚钱?哪个行业最有前景?这确实是一个决定我未来租房还是买房、开BBA还是开五菱神车的大事……

终于,好像有人来告诉我答案了——信息安全,你值得选择…………吗?

Boss直聘:信息安全专业薪资第一、竞争力第一

国内主流招聘平台Boss 直聘最近发布了一份调查报告《应届生专业就业竞争力30强》,通过对平台上人才供求、热门事件、市场趋势等大量数据进行分析总结,也算是各位指了一条路,至于“明不明”,你说了算。

首先在2018年就业竞争力三十强专业排行榜中,高居第一的是信息安全专业。不过你有没有发现,排行前十的除了外交学、金融学两个听起来就很高大上的专业,其它都是与计算机、互联网相关。整个榜单中也几乎是计算机、电子相关专业强势霸榜。

而大家基本都知道的事,计算机相关的专业毕业后就业工资普遍会相对较高。在第二份“2018年毕业生TOP15高薪专业”榜单中,计算、电子相关的专业不出意外的再度霸榜,而排名第一的还是——信息安全。

根据Boss 直聘调查的数据,一般计算机类、电子类专业的应届生,28% 期望月薪高于10000元,7.5%期望月薪高于15000万元。

低头一回想,刚毕业那会儿每个月到手4000,坐标广州……

看了这份报告之后,各位安全圈的大牛、小牛们,特别想知道你们是怎么想。所以我事先发到微博,征集了一波评论,貌似意见不太一致。

最后,我想说点正经的……

信息安全已经逐渐提升到国家战略层面上,连习大大呼吁“没有网络安全就没有国家安全”,全球勒索病毒、信息泄露、网络攻击频繁发生。这个行业确实需要更多、更强大的力量注入,而且在未来无论是物联网、人工智能等新兴领域,安全产业也是举足轻重的地位。

timg (2).jpeg

所以,要说信息安全行业有几十万、上百万的人才缺口,我是信的;信息安全行业工资待遇好,我也是信的。但有一点也要清晰地认识到,信息安全行业的门槛也是比较高,扎实的基础、逻辑思维、正确的安全观、价值观等等方面都会成为决定你是否能在这个行业发展的更好的关键因素。

信息安全行业需要更加全面的人才。

所以对于毕业生以及在校学生来说,加强编程语言基础是最基本的技能,这里Boss直聘给出了一些参考:

1.2018年,随着大数据、人工智能等热点兴起,Hadoop、Java、Golang、Swift、Ruby等语言需求明显增加;

2.越来越多企业要求应届生至少掌握一项数据处理技能,即“代码+数据处理”的复合型技能要求。要求最多的五种技能分别是——SQL、Hive、Python、R语言、C++。

一句老话:360行,行行出状元。无论进入哪个行业,能不能实现自己的价值,达到期望的目标,都是靠自己,而选择所谓的什么热门行业,并不意味着你就能走上人生巅峰,有可能你的巅峰在另一个山头。