技术文章

48 articles

HID攻击之TEENSY实战

HID攻击之TEENSY实战

/图 天融信阿尔法实验室 冷风

 

概述

 

从传统意义讲,当你在电脑中插入一张CD/DVD光盘,或者插入一个USB设备时,可以通过自动播放来运行一个包含恶意的文件,不过自动播放功能被关闭时,autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY,你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,利用设备中的微处理器,与存储空间,和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。

    1

 [......]

Read more

2014年第22周恶意地址跟踪情况小结

本统计期最显著的特点是恶意地址数量出现一次非常剧烈的上升。全部有效地址数量是2379个,其中海外有效地址数量是1506个,大陆有效地址数量是837个,全部有效地址较上周相比上升64%;这显示着遏制恶意地址的工作是复杂的、曲折的,难以一蹴而就,需要有打持久战的思想准备。参见下图:

 

2014-22

对恶意地址走势的分析,个人认为还是会向下走,继续震荡。

 

 

2014年第21周恶意地址跟踪情况小结

本期最显著的特点是恶意地址数量的继续呈下降走势。全部有效地址数量是1447个,其中海外有效地址数量是942个,大陆有效地址数量是505个,全部有效地址较上周相比下降17.8%;恶意地址数量的继续呈下降走势。参见下图:

2014-21

以下三个结论依然有效:

  1. CNCERT开展的为期近一个月的专项保障工作效果比较明显;
  2. 有关部门对恶意地址的的打击是持续不断的;
  3. 但是需要关注恶意地址向海外迁移的速度也在加快。

 

2014年第20周恶意地址跟踪小结

  • 本统计期最显著的特点是恶意地址数量持续走低—全部有效地址数量为1761个,其中海外有效地址数量是1135个,大陆有效地址数量是626个,全部有效地址较上周相比下降22%;这个数值已经是2014年最低值了。见下图:

2014-20

从这个情况来看,可以得出以下结论:

  1. 从2014年5月13日到6月10日期间,CNCERT开展的为期近一个月的专项保障工作效果比较明显。跟踪的恶意地址数量已经从每周的2500个左右持续下跌到2000个以下;
  2. 这预示着当今对恶意地址的态度从以前那样运动式的一窝蜂到现在进行的持续不断地打击。从3月两会期间到现在,这种打击活动一直处于高压态势,位于大陆的恶[......]

Read more

从恶意地址数量的变化情况来判断“净网”行动的效果

1 恶意域名及对应恶意IP地址简单介绍

什么是恶意地址?一句话,就是地下网络经济的核心IP地址,对应的是地下经济集团的核心服务器,其中包括各种病毒下载器,盗号工具等恶意代码,也就是传播网络病毒的最终的“放马”站点,同时也包括各类钓鱼网站、黄色网站、赌博网站、DDOS控制端、垃圾邮件服务器等。

在互连网上这些恶意地址对应的是地下网络经济的恶意域名或恶意域名组,指在一个挂马网页上出现的多个恶意代码下载链接所对应的所有域名;为了躲避安全设备的url 过滤,地下经济集团会利用一个或几个IP地址来注册有规律变化的域名组;

根据我对这些恶意域名对应的有效恶意地址的变化的长期跟踪和研究,发现以[......]

Read more

以人为本,知己知彼再谈APT攻击与防范

 

图片1

文/图 冷风

为何会有APT?

2013年4月份Verizon发布的《2013年数据破坏调查报告》报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。

在木马病毒泛滥时代的地下经济驱动中,各个国家均是地下经济体系和恶意代码的受害者。而APT出现的最本质原因是国家和政经集团作为“大玩家”直接介入到网络攻防的游戏体系当中,而攻击的对象也变成了他国政府和其他对立的政经体系。

APT得本质是什么?

在这里我们聊一聊APT究竟是什么的问题,有一句俗话这么说,要把问题看透,看透就是说,要找到本质,APT的本质是什么?这里可[......]

Read more

天融信公司2013年关于恶意域名和对应地址跟踪情况报告

1 基本情况

根据天融信公司对anva提供的近三万个恶意域名持续的跟踪和检测,在2013年依旧保活的恶意域名地址对数量是12696个。

这些恶意域名地址对去重后的域名数量是5387个,而去重的IP地址数量是4394个。可以看出这些域名或地址都是多对多的关系,即会出现一个IP地址对应多个域名,或一个域名对应多个不同的IP地址的情况。

对于这些IP地址,我们发现出现了127.0.0.1、0.0.0.0、255.255.255.255、243.185.187.39等特殊地址,这是欲解析的域名已经被域名管理机构识别为恶意而输出的特殊地址。除了这些特殊地址之外,其他地址分别属于大陆或海[......]

Read more