扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
面对勒索软件,要么养成良好的上网习惯,要么成为黑产的VIP客户。选择权在你。
CryptoLocker勒索软件。
何为勒索软件呢?可以想象这样一个场景。有一天,你突然发现你的很多文件不能打开了。然后,会看到这样一个倒数计时器,要求支付2比特币(约536 英镑)的赎金以获得解密密钥。否则,你的那些文件再也打不开了(http://www.freebuf.com/articles/system /17847.html)。体会一下:
抱歉,你中招了,更直接一点说,你被勒索软件勒索了。
本周英国国家打击犯罪调查局(NCA)发布国家紧急警报,称一场大规模的垃圾邮件勒索事件。这些邮件中包含了一款名为CryptoLocker的勒 索程序,把目标瞄准了1千万英国的email用户。该程序会加密用户的文档,然后要求用户提供赎金才恢复用户的正常访问。 (http://www.freebuf.com/articles/system/17847.html)
据对大量中招者的调查发现,crytolocker 软件多伪装为快递公司,如UPS或FedEx。软件采用了2048位加密(意味着放弃破解这一暴力的招数吧),黑客自己保留私钥,把公钥发给收到感染的计 算机上。隐藏为pdf文件,事实上文件采用了双扩展名(.pdf.exe)(http://readwrite.com/2013/11/08 /cryptolocker-prevent-remove-eradicate#awesm=~oo0pSzpD9tKFB8)。文件往往是压缩文件, 这意味着用户不仅需要下载这个文件,还要解压缩,还要运行它。
这也验证了不做死就不会死。
如何防范crytolocker 软件呢?这里,我权且像一位资深安全专家一样扯一下淡:
1)安装并及时更新杀毒软件。(其实多半没什么用)
2)提高防范社工的意识。别什么邮件都打开,什么附件都下载,什么文件打开。(这点真的很重要,打飞机都比上网时什么都要点一下更有意义,特别是你的邮件。)
3)平时注意备份一些关键的文档。(嗯,也很重要!这个习惯应该像打飞机一样养成)
当然,你也可以像一个SB一样认栽、掏钱。当然,这样做的结果是——可能你会成为黑客的VIP用户。
“行为主义者”的反击
“行为主义者”Anonymous(注:抱歉我不太喜欢用hacktivist或“黑客主义者”来称呼Anons)每周都在奉献着不同的题材。
Anonymous印度尼西亚的组织挂了澳政府警察和央行网站。作为对澳政府监听印尼总统、其妻和部长电话行为的抗议,一个自称“印尼网军” (Indonesian Cyber Army)的组织今天发动攻击,导致澳政府警察部门和央行网站不可访问。当然,类似这样的政治性攻击,其结果往往是适得其反。澳政府被打后说,黑客攻击不 会改变澳政策,同时将追究攻击者责任(http://voiceofrussia.com/news/2013_11_21/Anonymous- attack-Australian-police-central-bank-websites-9797/)。
据路透社报道,本周FBI对美国政府发出警告,“匿名者”黑客团体已经秘密侵入美国政府多个机构的电脑中窃取敏感信息,他们的行动已持续了几近一年之久(http://www.freebuf.com/news/17579.html)。
OK,“行为主义者”也可以APT的哦。
悲催的网游行业
网络游戏行业也是每周安全事件评论的常客。这也许和笔者非常关注网游,并曾经深度沉迷于《传奇》的原因有关。当然,在安全这个大前提下,网游是一个相当悲催的行业。
沙盒类游戏TUG在Alpha版本测试时遭到DDoS攻击,玩家无法登录游戏(http://massively.joystiq.com /2013/11/15/tug-suffers-from-ddos-attack/)。游戏管理者在描述攻击的时候,采用了“relentless” (凶狠)这个词,可见当时攻击者破坏游戏测试的强烈意图。网络游戏遭受DDoS攻击是非常普遍的事,有玩家报复,也有竞争因素。
《战地4》服务器遭DDoS,玩家无法组队团战。在上周末打算联机组队打《战地4》的玩家一定会非常失望,因为游戏服务器不能提供正常的服务——服 务器被DDoS攻击了。DICE官方证实了遭到DDoS攻击的事实,并发表了歉意。http://www.vg247.com/2013/11/18 /battlefield-4-pc-servers-hampered-by-ddos-attack-this-weekend/。
附图是《战地4》中中国军人的形象,其中女兵名叫韩娜。大家可以体会一下。实话讲,我觉得不怎么地。另外一个背着RPG的中国士兵倒是蛮酷的。
永远的APT,永远的天朝
本周,Fireeye称内存攻击(in-memory attack )呈明显上升势头(http://searchsecurity.techtarget.com/news/2240209511/FireEye- report-points-to-growing-significance-of-in-memory-attacks)。F“友商”称,内存攻击是 当前APT的重要手段。当攻击者拿下网站后,利用浏览器的漏洞(IE 0day,微软躺枪)将名为“Hydraq/McRAT”的恶意代码下载到访问者计算机的内存中。下载成功后,这台计算机将成为任由摆布的僵尸,随时听候 CC控制台的指令。
由于代码在内存中,要求攻击者的手一定要快,一旦计算机关机就意味着一切都白干了。当然,F“友商”提到了内存驻留攻击(memory-resident attack),即可以把恶意代码转存到目标本地的硬盘中,这样做的目的就像种了一粒种子,接下来。。。你懂得。
接下来吐下槽。如果Fireeye、Mandiant等“友好”厂商(以下简称“友商”)的文章看多,潜意识里会有这样一个公式:
APT = China
不知道是思维定势,还是中了什么魔法,这些“友商“在分析APT的时候,倒着倒着总能倒到天朝。
某S友商发现一个专门利用Ichitaro漏洞的木马(注:Ichitaro是日本非常流行的字处理软件)。安全人员对比利用微IE浏览器内存损坏 的0day漏洞(CVE-2013-3893)和利用Ichitaro漏洞的木马,惊奇地发现,两个木马有很大的相似性。更为“震精”的是,木马代码和去 年Mandiant公司发现的某APT攻击木马如出一辙。http://www.theregister.co.uk/2013/11/18 /new_york_times_hackers_linked_to_japan_ichitaro_attacks/。
看到Mandiant了,大家应该明白了——天朝再次躺枪。剩下的就不说了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者