作者：k0shl 转载请注明出处：https://whereisk0shl.top

RealPlayer是一款著名的播放器，QCP是一款手机播放的格式文件，在RealPlayer处理经过特殊构造的QCP文件时，在QCP文件中，可以构造特殊的长度，从而引发某处长度检查无效，从而引发后续的一个空指针引用引发拒绝服务漏洞，下面对此漏洞进行详细分析。

软件下载：

PoC:

首先打开RealPlayer，附加Windbg，加载PoC，RealPlayer崩溃，Windbg捕获到崩溃位置。

edx寄存器应该保存的是一处指针，edx+3位置会调用这个指针，由于此时edx值为0，所以可能是由于空指针引用引发的拒绝服务漏洞。看下kb堆栈回溯

这个RealPlayer函数调用相对复杂，这里我省去我回溯跟踪的过程，直接来看一下整个漏洞触发的原因。

首先，问题有两个关键的dll，一个是qcpfformat.dll，另一个是smplfsys.dll，在最内层的函数调用中，我发现会两次命中断点，而第一次则会正常执行，来看一下正常执行的情况。

第一次执行的时候会到达一处if语句，这里第一次判断会通过，但是到了第二次。

可以看到判断不通过进入了另一处跳转，而第二次就是有问题的那次，对比一下两次跳转，主要判断的是ecx，第一次ecx寄存器值为0，第二次为80004005，这个值看了肯定比较熟悉。

0x800040005是一个报错值，很多地方都会调用到这个值，那么问题就是出在这里，重头看起。

外层会有很多层虚函数调用，首先来看一下

这里虚函数会调用到smplfsys.dll中的一个函数，在那个函数中，会读到PoC中最结尾的部分，来看一下。

这个地方会读取74617276，也就是vart，PoC结尾的字符串，随后会将这个字符串和0FFFFFF进行比较，当比较不通过的时候，会进入错误处理，同时会赋值80004005。

push 80004005这个操作就是后续的错误处理操作，随后会调用一个虚函数。

虚函数会调用qcpfformat中的函数，进入这个函数继续跟踪，连续跟踪中会发现，在每次函数调用都会将刚才这个80004005作为第二个参数，也是错误参数直接传递。

来看一下IDA pro的伪代码

连续传递后会到达最接近漏洞崩溃函数的函数位置，里面有一处switch语句

注意一下case9的情况，会调用漏洞函数，传参是v77，向开头看可以看到v77会在开始赋值为0，随后会进行一处if语句判断，这个if语句中会先调用a2，而这个if语句就是在漏洞分析最开始的时候提到的那个if跳转。

所以当这个a2，也就是错误代码产生的时候，if判断不通过，那么v77就一直是0，就是这里没有else语句，所以造成了这个问题。

ebx就是v77，这时候由于if不通过，所以还是0值，直接传入了13d0函数位置，进入之后。

最后edx是由第一个参数，也就是刚才入栈的ebx得到，所以造成了空指针引用，引发拒绝服务漏洞，因此修复中，只需要在if不通过的时候，加一个else处理就可以避免这个空指针引用的漏洞发生。

你有没有用过人生日历？它是从驱动人生里提取出来的一个桌面日历小工具，非常的不错，提供天气预报，公历、农历和干支历三历对应，假日节气查询，放假安排查询等生活功能。功能很实用，操作简单，小巧不占用系统资源。但就在12月14日14时，以人生日历为主的驱动人生系列产品通过其升级组件DTLUpg.exe，开始下发执行木马程序。当晚360安全大脑就向驱动人生通报了相关情况，攻击也停止下发。

感染了本次病毒的用户电脑会变得进程缓慢，卡顿感十足，因为很有可能你的电脑此时正常帮助黑客挖矿门罗币。

截止目前，该木马累计攻击计算机超过6万台。这个数据仅包括通过升级组件受到攻击的情况，不含利用漏洞的二次攻击情况。采用360安全卫士实时防护的用户并不在这6万台数据的包括范围内，因为360安全卫士带有永恒之蓝漏洞免疫功能。

当前利用“永恒之蓝”漏洞攻击执行的远程攻击指令还是下载安装木马病毒，这个木马病毒尚未最终测试完成就被360安全大脑发现了。

不过，当前木马的C&C依然处于活跃状态，所以木马可能会因为服务器指令的变化而出现其他功能上的更新。此事件我们还会进一步的跟进。

由此，360安全大脑建议您及时安装您的杀毒软件的系统补丁。同时，留意您的计算机运行状况，一旦出现异常的卡顿或网络缓慢，可以使用安全软件做安全检查

高阶玩家最好关闭不使用的系统端口，减小被攻击面（例如永恒之蓝漏洞所使用的445端口），当然，最重要的是执行任何操作前都要确保您的安全软件及时升级且正常运行。

雷锋网版权文章，未经授权禁止转载。详情见 转载须知 。

“亲爱的，今天去看演唱会吧。”

“好的。”

“哇，全场统一变换的荧光棒，也太酷了。”

“酷吗，我能控制整场荧光棒颜色你信不信？想换哪个颜色换哪个颜色。”

“真的吗？”

……（以下省略技术男在演唱会现场操控全场荧光棒变色并且不走心告白女主角的玛丽苏剧情）

事情就是这样的，雷锋网 (公众号：雷锋网) 编辑在刚刚结束的 FIT 2019 大会上看到了由360天马安全团队研究员杨芸菲主演一出情景剧――技术男一招操控荧光棒赢得女友的爱，女主角：不重要。

虽然剧本和台词略有土味，但“黑”掉演唱会荧光棒的过程却很有趣。

改变荧光棒颜色，可以吗？

据杨芸菲说，以上场景来源于他真实的个人经历。

喜欢看演唱会的追星女友每次看完五月天演唱会都要向他夸赞现场，并秀一下拿回来的荧光棒，“现场统一控制，特别有排面！”

而他当时的想法是，“有什么了不起，我要找找有没有什么安全漏洞可以控制你的荧光棒。”（永远不要试图理解一个技术男的脑回路）

有了这个想法杨芸菲先去了解了一下群控荧光棒的原理，其实就是中央控制台以RF广播形式发射信号，荧光棒接受信号进行对应颜色变化，以此控制全场荧光棒与舞台灯光、现场音效形成比较好的视觉效果。

五月天演唱会现场

这种控制其实有多种模式，比如群控模式就是让所有荧光棒在同一时间实现整体颜色变化，响应时间可以做到100帧/秒。控制器每个键值对应不同的颜色变幻模式，如固定颜色常亮、关闭、闪烁、顺序变幻等；还有点控模式，可以单独控制每一个荧光棒的颜色变幻，全场荧光棒形成特定字母、图案；另外也有分区控制和声控模式等。

也就是说，荧光棒只是一个接收端，重点还在控制器上。所以怎样才能模拟成控制器发出控制信号呢？

起初杨芸菲和团队伙伴们聊了聊，大家的想法是去演唱会现场采集发射器的信号进行回放，但……票价略贵。原本他打算从网上购买该款荧光棒的控制器，但拆开女友带回来的荧光棒，也找到了荧光棒的厂家，但发现他们根本不对外售卖。

不过还有万能的某宝可以寻找相似设备。

随后，杨芸菲就联系到一个销量较好，甚至已经卖到了某些企业年会、体育馆活动现场，还实现了DMX控制器的卖家（DMX512灯光控制协议和接口，可连接DMX控制台，由灯光师统一控制光棒颜色变化），卖家很贴心的为小型环境特意设计了小型控制器，报价150元，大型控制器1500元。通过套话，杨云菲得知大型控制器也没有发出特殊信号，只是二者功率有所差别，大型控制器可控制万人以上场合，小型只能控制千人。

拿到小型控制器后就可以开启副本模式了。

一场演唱会的灯光效果要预演多久？总归不是一个极短的数字。但要破坏却可能轻而易举，成为“上帝之手”控制演唱会荧光棒也许只需要三步。

第一步，找到控制台的工作频率。

第二步，通过与目标无线系统频率相同的监听设备（如HackRF One），采集原始信号。比如控制器按键转换绿色荧光效果，会发送无线电波，采集此时信号；转换红色荧光效果，会发送另一段不一样的无线电波，采集此时信号。

杨芸菲所用的HackRF One设备

第三步，发送之前采集的信号。

当目标系统没有考虑信号重放的问题，直接截获一段信号重放出来，就能影响目标系统，达到荧光棒变色的效果。

杨芸菲告诉雷锋网(公众号：雷锋网)，他购买设备前就推测这些荧光棒没有考虑重放问题。因为对于厂家来说，如果加上类似滚动码等防护机制，不仅会提升实施难度，而且会造成成本增加，对于一个低成本的设备而言是无法接受的。

除了上面提到的重放攻击形式，杨芸菲还研究了另一种攻击方式――欺骗攻击。采集原始信号后根据波形分析出0101的原始数据，尝试寻找造成颜色变幻的关键码位，然后对症下药，直接修改码位就可以改变颜色。然后再通过GNU Radio软件模拟出来。

相比重放攻击，这种方式需要在一定程度上了解报文的构成，相当于自己敲代码，而重放攻击相当于直接拷贝了程序。

在FIT大会的最后，杨芸菲还另外使用了一个特殊的工具来控制全场的荧光棒HackCube-Special，就是这货，一个长宽高是3cm的小立方体。

HackCube-Special是一款360自研的低成本，便携式，可工作在多个无线射频频段的无线电安全审计平台。

据说做这款产品的初衷是因为做无线安全研究的工作中，技术小哥们常常在户外环境中对一些设备进行安全检测，需要抱着电脑，连接无线设备，蹲着或者坐在地上，总是吸引不少人的眼球，十分尴尬。

所以这款能装进口袋的小玩意儿除了能通过手机或者平板电脑，方便的对设备进行安全审计，更重要的是，酷啊！

杨芸菲偷偷透露，在HackCube-Special社区里有丰富的案例，毕竟使用固定码遥控信号的设备太多了。比如平时停场的的抬杠啊，或者是家庭常的线铃的就是这种芯还有说烟雾报警器或者磁报警器，甚至某个性的线情趣品的也是这种案的……

行吧。

相比起来这些场景都比荧光棒场控被攻击带来的危害大，所以为什么杨芸菲会去研究它？

用他的话说是未雨绸缪，举个例子，几年前他们曾经研究过一个关于“隔空盗刷”的攻击方式，而这种攻击方式已经被黑客团伙用于实际攻击。

一周前j就有媒体曝光警方抓捕了一个犯罪团伙。现在很多银联卡都换成芯片卡的，芯片卡都默认会开通免密支付，也就是闪付功能，小金额的消费不需要输密码或者签名，pos机感应到芯片卡的这个闪付功能，就会自动消费的了。

犯罪团伙将一部设置好的pos机，装进一个比较薄的钱包里面，寻找合适下手对象。找到合适的对象后，就会靠过去感应一下。感应距离大概是5公分。由于免密支付最高限额是1000元，所以每次嫌疑人都是设定999以下，专门选择到人流密集场所逛街，就这样走一圈“收获”也不少。

所以，尽管荧光棒这个攻击很简单，似乎也不涉及利益，但如果有一天演唱会的现场有人能通过简简单单的重放攻击就能影响周围荧光棒的话，门槛如此之低，未来可能真的有人这么做。

毕竟饭圈如战场，比如TF boys王俊凯应援色是蓝色，王源是绿色，易烊千玺是红色。每年的应援色大战也愈演愈烈，甚至有新闻报道出现粉丝因荧光棒颜色大打出手的事件。

“总要有一个人率先站出来想这些还没出现的事情，即使现在可能没有这样的攻击，不代表未来不会出现，走在前面总是好的。”

最后，据说在主办方设计的剧情中还有深情告白和献花，但被杨芸菲pass掉了。

不过如果把对象换成女朋友，这种方式的确是属于技术男的浪漫。

雷锋网宅客频道（微信公众号：letshome），专注先锋技术，讲述黑客背后的故事。欢迎关注雷锋网宅客频道。

雷锋网原创文章，未经授权禁止转载。详情见 转载须知 。

国家网络安全教育计划（NICE）是政府、学术界和私营部门之间的合作，致力于促进强大网络安全教育，培训和人才发展。为了解决网络安全教育和培训的需求，NIST发布SP800-180，该指南介绍了NICE网络安全人才框架（NCWF）。该框架由7个知识领域和32个不同的专业领域组成。

上篇文章介绍了第三类监督和治理OG，本文将介绍保护和防御PD。

识别，分析和减轻对内部信息技术（IT）系统和/或网络的威胁。

许多人认为PD包括整个网络安全领域，因为保护和防御知识领域包含所有确保有效数据传输、网络运营和网络安全的角色。这些角色通常执行经典的网络监控、管理和保护功能，以确保组织可信系统和软件性能。

因此，PD是负责可信的持续运行和网络管理的工作角色。保护和防御中的专业领域负责识别、分析和减轻内部IT系统或网络的所有可识别威胁。PD包括四个专业领域和四个工作角色。

网络安全防御分析（CDA）， 使用从各种网络防御工具（例如，IDS警报，防火墙，网络流量日志）收集的数据来分析在其环境中发生的事件，以减轻威胁。

涉及到的角色有：

网络防御分析人员 PR-CDA-001

使用从各种网络防御工具（例如，IDS警报，防火墙，网络流量日志）收集的数据来分析其环境中发生的事件，以减轻威胁。

看到了没，想成为网络安全分析人员， 需要掌握70个知识（knowledge） 。

再看看能力：

A0010 能够分析恶意软件。

A0015 能够执行漏洞扫描并识别安全系统中的漏洞

A0066 能够准确，完整地获取情报，评估和/或规划产品。

A0123 能够将网络安全和隐私原则应用于组织要求。

A0128 能够应用使用入侵检测技术，检测主机和基于网络的入侵的技术。

A0159 能够掌握网络工具收集的信息（例如Nslookup，Ping和Traceroute）。

测试、实施、部署、维护、审查和管理基础设施硬件和软件，有效管理计算机网络防御服务提供商的网络和资源，监控网络积极修复未经授权的活动。

与上个工作角色的区别，我理解的是，INF是一个关于日常运营的领域，而不是专门针对网络防御的领域。 它主要监视网络操作，以便主动修复可能检测到的任何未经授权的活动。

涉及到的角色有：

网络防御基础设施支持专家 PR-INF-001

测试，实施，部署，维护和管理基础架构硬件和软件。

响应危机或紧急情况，以缓解即时和潜在的威胁。根据需要使用缓解、响应和恢复方法，最大限度地保护人身安全，维护财产和信息安全。

IR是典型的信息安全专业领域，IR是在发生事件时对已发现的事件做出响应。 目标是减轻对系统或其连接网络的任何潜在危害。 直接威胁和潜在威胁都属于该专业领域的责任范围。为每种可预见的威胁准备并完成一组响应和恢复备选方案。

涉及到的角色有：

网络防御事件响应者 PR-CIR-001

调查，分析和响应网络环境或某个区域内的网络事件。

对威胁和漏洞进行评估;进行差距分析，评估风险水平，制定和/或推荐适当的加固措施。

涉及到的角色有：

漏洞评估分析师 PR-VAM-001

国家网络安全教育计划（NICE）是政府、学术界和私营部门之间的合作，致力于促进强大网络安全教育，培训和人才发展。为了解决网络安全教育和培训的需求，NIST发布SP800-180，该指南介绍了NICE网络安全人才框架（NCWF）。

声明：本文来自向日葵生活分享，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。

From the day one of cryptocurrency invention, the entire system often volatiles and diverges into many frames. If you were residing in this industry for a long while you may realize the changes. The invention of cryptocurrency has rolled out a new financial eco-system, which resulted in an unexpected growth of cryptocurrency exchanges. By this way, people get trained to convert their money into digital forms and especially in encrypted form.

This dramatic growth of cryptocurrency trading and exchanges , pulled business freaks to check out what is ? and some business greeks started to utilized this ever-growing decentralized fund transaction assets for their business growth...

To give life to this digital crowdfunding model, ethereum were injected into the cryptocurrency industry with a separate Blockchain mechanism (which was entirely different from the Blockchain technology underlies by bitcoin).

ICO is just similar to IPO. ICO’s are invented to collect fund for startup and Blockchain projects. Here Investors are considered as shareholders, whereas they have been shared with digital tokens, through which they can claim their rewards for what they invest. ICO platforms have restricted the investor with a unique rule,(i.e) anyone who wants to take in part of the token sale has to pay with ethereum alone. This cause the ethereum market to gain gigantic growth, hence it becomes a heavy competition for bitcoin in a very short period. Ethereuem were played two vital roles, one as a “cryptocurrency”, and another one as a “Token”

Notably, the person or the company who launches their ICO has to properly deliver white paper which will completely describe the aim of ICO, and how they will handle after the success of ICO. Many ICO's have fulfilled all these basic norms, and have satisfied their investors with proper distribution of shares. But there were some exceptions!!!.

This exceptional ICO scammers where failed to prove the promise that they have said during the launch of ICO, and have absconded without properly distributing the share value of the tokens purchased by investors.

This continues to grow inside the industry…

And finally, people have miss understand that ICO’s are not a proper way to collect funds. Then ICO were locked into the black box of cryptocurrency industry.

To bring back ICO, there were many R& D processes were done by techies and Blockchain entrepreneurs. Finally, they got a clue. (ie.) Security Tokens

Source: coinspeaker.com

After smart contracts, ethereum, and utility tokens the crown of cryptocurrency now powered with one more star called security tokens

Security tokens are considered to be the best remedy for wounds caused for ICO. What is actually a security token?

Tokens got split up and categorized into two.

1. Utility tokens

2. Security Tokens

Security tokens:

A token that pays share profits, pay dividends and let the investor invest in other tokens are considered to be the security token. This kind of tokens will act as digital shares which are backed with tangible like assets, profits, and revenue of the firm.

In the case of ICO, the entire crowdfunding model runs based on smart contract system, whereas the investor has to sign in an agreement before participating in the ICO. Many ICO’s will not clearly declare whether their tokens are utility tokens or security tokens, and finally, they could tell “ they were not sold security tokens, so you can’t claim this particular entity or profit.” To avoid these ICO’s have to clearly define in their smart contract, that the tokens sell are security tokens and so that the investor can claim for their shares.

As we said above it is just similar to ICO, But this is kind of crowd-funding model provides high-level protection for investors rights and reduce risks of issuers in regulating the token distribution. This is achieved by selling the Security Tokens.

Though the Two crowdfunding models are look alike, there are some significant differences.

This is just achieved by its nature and the token entity which it sods during the crowdfunding. As we already discussed, STO Tokens have more security than ICO Tokens(I.e) The investors don’t have to provide any security, but the issuer must provide security in terms of profit, physical asset or with business shares.

If anything happens negatively for the investor during the crowd sale, Then he can claim it legally. But In the case of ICO, we could not claim anything if any scam occurred. Thus the STO favors solely to the investor's side, It gained more value than ICO among investors.

As far as now, we have discussed STO from an end user (investors) point of view, which have covered the introduction of ICO, utility tokens, Security tokens, What are security tokens offerings, Difference between STO and ICO, and how STO have become top of the market. Right?

The remaining section of this article is gonna discuss Security token offerings from a business (issuer) point of views. The first thing is how to launch STO

1.Deriving the Strategies and Plan For STO

2.Focusing on what to do and what not to do

3.Compromising the regulatory issues

4.Deciding who can participate and who can’t participate

5.Backing up the costs for security placements

6.Token Development

7.Fixing the issues faced by investors immediately

It is not a simple task as you do like in ICO, Launching an STO will involve the gradual implementation of sequential processes. First and foremost, the issuer must know what he/she are going to do, How is going to approach the entire process. The issuer must define the right strategy before launching the STO.

Be nice with me please, that's my first post and I don't have extraordinary English skills so feel free to correct me!:grin:

Nowadays, security has become an essential issue in the world. Whether in the real world or in the virtual world.

Today, we only talk about cyber-crime, cyber-war, data theft, ...

Hacking has become a sad reality from which no one can escape.

Whether it is a person, a small or large company like Facebook or Google.

We are all susceptible to be attacked by a malicious hacker, whether it is to get money, data, for fun, etc...

The demand for IT analysts, ethical hackers, … has exploded.

And that's a good thing because security and privacy take priority over everything else. (and also for me, when I will finally leave school :laughing:)

But what I don't like is the term "Ethical hacker", because it implies that the hacker is unethical by nature.

Once again, we will have to go back to the real definition of the hacker (at least my definition).

For me, a hacker is a person who is curious, a person who instead of just using his toaster will use it, but also open it, understand how it works and finally customize it (for example, add a little voice that wishes us a good day).

A Great idea and very useful, in my opinion :joy:.

A computer hacker, therefore, will follow the same principle.

In this case, there are different types.

There are the:

Black hatswho are motivated by money and the pleasure of entering other people's systems without authorization. ← the real unethical person

grey hatswho sometimes act in an "ethical" way and sometimes not. These are usually the kind of people who enter a system, without authorization again but without damaging it, for the pleasure of doing so or later inform the company that they have just hacked, so that they can fix the flaw.

white hatswho are the "good guys" of the story.

I think the definition of Wikipedia is very good, so I'll put it as it is:

A white hat is a computer security expert who performs intrusion tests and other test methods to ensure the security of an organization's information systems.

So I prefer the terms "IT security expert", "pentester", ...

That's all for today, I hope you enjoyed this little article and you'll fight against the expansion of the The thing that should not be named :joy:.

And of course, don't hesitate to give your opinion on the subject !

Keren Elazari, a world renowned cybersecurity analyst and senior researcher at the Tel Aviv University Interdisciplinary Cyber Research Center, author and speaker spoke earlier this year at Six, about the future of cybersecurity and a range of real world attacks in recent years. She also dived into the consequences as well as possible motivations behind such attacks.

The Six event covers various press conferences and hackathons. The Six event organizes around one billion security events on a daily basis. The cybersecurity events organized by Six has international experts who answer various questions and give insights on various topics.

This article highlights few insights from this year’s Six on Cybersecurity talk by Keren Elazari on The Future of Cybersecurity from a hacker’s perspective .

“What if I told you that in 10 seconds I could take over your computer, generate thousands of dollars worth of cryptocurrencies all while you are drinking your morning coffee? You might think it’s impossible, by this is exactly what happened in Argentina earlier this year.” Keren Elazari

Earlier this year, the Starbucks customers at Argentina experienced a slight delay of 10 seconds after logging into the website for free Wi-Fi. So what exactly happened? A security researcher discovered that the computer was running Coinhive, a type of distributed cryptocurrency mining software for those ten seconds. It was running on all the machines in Argentinian Starbucks that logged in for free Wi-Fi and the software generated a lot of monero, the cryptocurrency (money).

The hacker didn’t even have to code a javascript for this attack as he just had to buy the code from Coinhive. The business model of the company behind Coinhive allows anyone to monetize the user’s CPU. Cyber criminals can earn a lot of money from technologies like Coinhive.

There are actually some news sites in the US that are looking at using such coinhiving solution as an alternative to paying for the news. This is an example of how creative technologies made by cybercriminals can even generate completely new business models.

“According to the Munich security conference report, they are expecting this year double the amount of devices than there are humans on this planet. This is not going to change. We definitely need an immune system for new digital universe because it is expanding without a stop.”

Devices like cameras, CCTVs, webcams etc could be used by potential hackers to spy of users. But even if measures such as blocking its vision with tape is taken, web cams can be hacked, not with an intention to steal pictures but to hack of other devices.

This is what happened 2 years ago, when the massive internet DDoS attack Mirai took place. Over the course of a weekend it took down websites all over the world.

Websites like Amazon, Airbnb, and large news sites etc were down, due to which these companies faced losses. This attack was supercharged by the numerous devices in people’s homes. These devices where for DDoS attack because they were using basic internet protocols such as DNS which can be easily subverted. Even worse, many of the devices used default username password combinations.

It’s important to change the passwords for the newly purchased devices. With shodan , a search engine, one can check the internet connected devices in their organizations or at home. This is helpful as it improves protection for the organizations from getting hacked.

“Hackers have found very creative, very fast automatic ways to identify devices that they can use and they will utilize any resource online. It would just become a part of their digital army. Speaking of which even an aquarium, a fish tank was hacked recently.”

Recently, a smart fish tank in a US Casino was hacked. It had smart sensors that would check the temperature and the feeding schedule of the fish and the salinity of the water. While, hacking a fish tank does not appear to have any monetary incentive to a hacker, its connection to the internet make it a valuable access point.. The hackers, who already had access to the casino network, used the outgoing internet connection of the aquarium to send out 10 gigabytes of data from the casino. As the data was going of this connection, there was no firewall and it got noticed by none. The suspicious activity was flaggedby a self learning algorithm which realized that there was something fishy as the outgoing connection had no relation with the fish tank setup.

“I don’t think we should shame organizations for having to deal with ransomware because it is a little bit like a flu in a sense that these attacks are designed to propagate and infect as many computers as they can.”- Keren Elazari

In May 2017, the WannaCry ransomware attack by the WannaCry ransomware cryptoworm, affected the computers running the Microsoft windows operating system by encrypting data and the criminals demanded ransom payments in the Bitcoin cryptocurrency. This attack affected the UK National Health Service the most as according to NHS, 30% of that national health services were not functioning. 80 out of the 236 trusts got affected in England. As per the UK government, North Korea was behind this attack as they are need of money because they are under sanctions. The Lazarus Group, a cybercrime group from North Korea attacked the Swift infrastructure and also attacked the central bank of Bangladesh last year.

“Whoever was hacking the tax company in the Ukraine wanted to create an effective virus that would destroy the evidence of everything they have been doing for two years in a bunch of Ukrainian companies. It might have been an accident that it infected so many other companies in the world.”

In June, 2017, NotPetya, a wiper attack affected enterprise networks across Europe. The Ukrainian companies got highly affected. This attack appeared like a ransomware attack as it demanded some payment but it actually was a wiper attack. This attack affected the data and wiped off the data stored for two years. Maersk, the world’s largest container shipping company got highly affected by this attack. The company faced a heavy loss of amount $300 million and was a collateral damage. Out-of-life operation systems were most affected by this virus.

The software vulnerability used in both of these attacks, ransomware and wiper was a code named, EternalBlue, a cyber weapon which was discovered and developed by National Security Agency (NSA). The NSA couldn’t keep a track of EternalBlue and the criminals took advantage of this and attacked using using this cyber weapon.

Earlier this year, a cyber attack was made on the German government IT network. This attack affected the defence and interior ministries’ private networks.

■ 国家能源局电力安全监管司司长 童光毅

习近平总书记在全国网络安全和信息化工作会议上强调，要敏锐抓住信息化发展历史机遇，自主创新推进网络强国建设。党的十八大以来，党中央高度重视网络安全，从国家安全战略高度强化网络安全工作，强调能源等领域关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。电力行业作为关系国计民生的重点基础行业，必须抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术，加快推进国产自主可控替代计划，构建更加独立自主的电力行业网络安全环境。

网络安全的独立自主，不能依靠买他人现成技术或与他人合作一蹴而就。长期以来，电力行业高度重视核心技术自主可控，在党中央、国务院的坚强领导下，在行业内企业和科研机构的共同努力下，网络安全自主可控工作久久为功、加速跨越，独立自主的电力行业网络安全环境初见雏形。

一是电力监控系统安全防护体系自主创新。自2000年“二滩事件”以来，电力行业从自身安全防护需要出发，坚持自主创新，历经十八年艰苦努力，形成了包含安全防护技术、应急备用措施、全面安全管理的，持续完善的安全防护体系，基本覆盖各级调度机构、变电站、并网电厂。各电力企业从《电力监控系统安全防护规定》和《电力行业网络与信息安全管理办法》出发，将国家、行业要求与自身特点相结合，独立自主构筑各具特色的网络安全防护体系。

二是优势领域、关键技术取得突破。在通用软硬件国产化替代方面，国产CPU、操作系统、数据库、服务器、中间件和网络安全设备等通用软硬件国产化率不断提高；在芯片技术方面，自主研发的配用电专用安全芯片、专用通信芯片，实现核心技术突破，并已在智能电表、电力通信与安全领域规模化应用；在电力核心应用系统方面，自主研发的智能电网调度控制系统，已具备全面国产化替代基础；在网络安全设备方面，自主研制的电力专用横向单向安全隔离装置、纵向加密认证装置等网络安全防护设备，在电力监控系统中广泛应用。

三是推进面向行业重大需求的战略高技术研究。各电力企业聚焦网络安全新技术发展，积极探索人工智能、可信计算、量子保密通信、拟态防御、区块链等前沿技术研究与应用。自主建设网络安全预警和态势感知系统，通过应用人工智能和大数据技术，实现安全数据、环境数据、情报数据的关联分析，达到攻击事件过程可追溯、攻击链路可监视和攻击范围可预测等效果；将可信计算应用于电力监控系统、移动作业终端、充电桩、车联网等业务领域，实现主动免疫；将量子保密通信应用于电力保电指挥系统；积极跟进拟态防御研究和应用，自主开发面向电网Web应用的拟态防御网关。

四是大力培养造就高水平网络安全人才队伍。组建电力行业信息安全等级保护测评中心，建设网络安全实验室，为网络安全技术研究、系统测评、攻防队伍建设等工作提供有力支撑；积极培养网络安全专业人才，在网络安全技术研究、系统研发、安全检测、安全运维、应急处置等方面的技术力量大幅增强；建立网络安全“红”、“蓝”队，通过“真攻实防”的对抗演练，相互促进、循环提升，人员实战能力不断提高。

电力行业网络安全形势日趋复杂。电力系统生产运行高度依赖网络和信息技术，特高压、新能源等技术的发展使得网络安全在电力生产中的作用日益突出。近年来我国电力系统日均遭受恶意攻击超过2万次，在严峻的网络安全态势下，核心技术受制于人是最大的隐患，在核心芯片、基础软硬件、关键器件和系统等方面发展不足，在标准规范上缺乏话语权，导致基础网络架构受制，网络空间安全形势不容乐观，电力行业也存在同样的问题。

首先，控制系统核心组件依赖进口的情况依然存在。电力监控系统，如电力企业采用的DCS控制系统、PLC控制组件、风力发电监控软件、工业交换机等，尚未全面实现安全可控。

其次，芯片依赖进口的局面没有得到根本性改变。各类自动化系统从主站、通信设备到终端嵌入式系统均大量采用国外处理器、芯片。高端芯片对国外产品的依赖，有较大的政治、经济、社会风险。

再次，基础软件大量使用国外的产品。DCS控制系统多基于windows平台开发，国外实时操作系统在场站设备中应用广泛；基础软件的安全漏洞层出不穷、“后门程序”无法掌控，安全性难以保障；部分采用国外软硬件系统的业务，技术改造和应用推广过程受制于厂商技术壁垒，如国外厂商不配合导致多个电力企业密码升级改造工作无法落实。

“形势逼人，挑战逼人，使命逼人。”电力行业要贯彻落实习近平总书记关于网络强国战略的重要论述，把握大势、抢占先机，直面问题、迎难而上，瞄准核心技术，引领电力行业网络安全科技发展方向，肩负起历史赋予的重任，构建更加独立自主的电力行业网络安全环境。

习近平总书记高度重视网络安全工作，系统提出了关于网络强国战略的重要论述，进行了一系列重要的顶层设计与战略布局。电力行业更要加强对网络安全工作的统一领导，落实党中央系列战略部署，健全党对网络安全工作的领导体制，发挥党的领导政治优势，深化对创新发展规律的认识，抓基础、抓尖端、抓重大，为独立自主网络安全环境的构建提供坚强政治保证。

“创新从来都是九死一生”，要坚持制度创新，为自主创新提供政策、资金保障。一是打造产学研用协同创新发展平台，推进网络安全技术成果的市场化应用；二是构建电力行业网络安全产业联盟，以行业内重点网络安全企业为主导，带动中小企业发展，形成集群式的产业链；三是引导社会资本设立行业网络安全产业发展基金，为创新和产业发展提供足够的资金保障；四是推进网络安全军民融合深度发展，鼓励电力企业、网络安全产业单位加强“军转民”、“民参军”，促进军地协同技术创新；五是实施网络安全审查制度，防范重要信息技术产品和服务网络安全风险。

电力行业网络安全核心技术包括以微处理器为代表的芯片技术、以操作系统为代表的基础软件技术、以电网调度控制系统为代表的有着重大需求的核心应用系统、以电力监控系统安全防护体系为代表的网络安全防护体系、以电力专用安全防护设备为代表的网络安全设备、以通信协议为代表的网络协议技术标准等六个维度，六个维度相互联系、相辅相成、相互促进。要集中力量突破核心技术，并在发、输、变、配、用、调度全业务环节坚持实施国产自主可控替代计划。逐步推进CPU、操作系统、服务器、数据库、中间件等通用软硬件产品的国产化替代，推动电力专用横向单向安全隔离装置、纵向加密认证装置等网络安全防护设备升级换代，加快DCS控制系统、风力发电监控软件、工业交换机等专用系统与装备的国产化替代，持续推进商用密码、北斗导航行业内应用。

推进可信免疫、量子通信、拟态防御等我国原创或主导的前沿技术应用，优化完善行业网络安全防护体系；积极跟踪云计算、大数据、物联网、移动互联、人工智能、区块链等新技术发展，结合实际加强配套网络安全保障研究，有序推进新技术在电力行业的示范应用；加强能源互联网安全防护建设，重点关注能源生产、经营、消费及信息通信技术的安全问题，加强分布式电源、微电网、充电基础设施、车联网、“互联网+”等领域潜在安全风险的分析研究。

技术标准就是话语权，标准化在便利经贸往来、支撑产业发展，促进科技进步中的作用日益凸显。我们在标准规范上缺乏话语权，国际标准化组织、IEEE、万维网联盟等多是发达国家占主导地位，导致基础网络架构受制于人，在计算机芯片、操作系统等底层技术设施上替人打工。习近平总书记在致第三十九届国际标准化组织大会的贺信中指出，“中国将积极实施标准化战略，以标准助力创新发展、协调发展、绿色发展、开放发展、共享发展”，我们要认真贯彻落实这一重要精神，全面实施标准化战略，强化技术标准，建立专利体系，建立自主的网络通信标准，真正掌握网络空间的话语权。

创新驱动的实质是人才驱动，人才是创新的第一资源，要不断改善人才发展环境、激发人才创造活力。集中培育一批高层次、创新型、复合型网络安全领军人才，建立电力行业网络安全人才专家库；要建立健全以创新能力、质量、贡献为导向的人才评价体系，完善网络安全职业通道，完善人才管理制度；要建立产学研联合人才培养基地，加强从业人员技能培训和评价考核。

网络安全技术是世界性的、时代性的。要以全球视野谋划网络安全，深化国际网络安全技术交流与合作，积极利用国际资源，在更高的起点上推进自主创新；要构建网络安全常态化国际交流合作机制，推动电力行业网络安全国际交流，拓展网络安全对话合作平台；要组织开展国际网络空间安全重大问题研究，积极参与有关国际标准、规则制定。

网络安全工作责任重大、任务艰巨、使命光荣。我们要准确把握新时代网络安全工作的历史坐标，全面贯彻落实习近平总书记关于网络强国战略的重要论述，牢固树立正确的网络安全观，坚持“以安全保发展、以发展促安全”，坚持依法治网、依法强网，落实关键信息基础设施防护要求，大力推进核心技术自主创新，构建更加独立自主的电力行业网络安全环境。

（本文刊登于《中国信息安全》杂志2018年第10期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。

这个来自之前做的培训，删减了一些业务相关的，参考了很多资料（参考资料列表），谢谢前辈们，么么哒 :kissing_heart:

Web前端安全方面涵盖的内容较多，也是前端项目开发中必须要关注的一个重要部分。在Web站点开发中，如果没有很好的安全防护措施，不仅可能因为攻击者的恶意行为影响站点页面功能、泄露用户投权隐私，甚至还可能会直接带来用户经济上的损失。

安全当然不只是前端的事情，这里主要介绍和前端相关的一些安全知识。

跨站脚本攻击（Cross Site Script，XSS攻击），通常指黑客通过“HTML注入”篡改了网页，插入了恶意的脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。

XSS的本质是一种“HTML注入”，用户的数据被当成了HTML代码一部分来执行，从而产生了新的语义。

根据攻击脚本引入的位置，XSS可以分为三类：

非持久化，将用户输入的数据反射给浏览器，经过后端，不经过数据库。黑客需要诱使用户“点击”一个恶意链接，才能攻击成功。

持久化，代码储存在数据库中，经过后端，经过数据库。如在个人信息或发表文章等地方，假如代码，如果没有过滤或过滤不严，那么这些代码将储存到数据库中，用户访问该页面的时候触发代码执行。

比如一个表单，输入用户签名，前端直接把签名内容展示在页面上，如果没有进行XSS处理，假设输入：

浏览器显示用户签名的时候，可能就会触发弹框。注意这里的脚本只是演示，在攻击时，脚本可能会执行各种动作，比如获取Cookie或所有本地存储并发送到某处，打开一个非法网址等等。

通过修改页面的DOM节点形成的XSS，不经过后端。

比如前端直接通过获取URL参数渲染页面DOM：

http://localhost:8080/dvwa/vulnerabilities/xss_d/?default=English<script>alert(1)</script>

页面弹窗：

XSS攻击挑战：xss-game.appspot.com

解法： gist.github.com/pbssubhash/…

点击预览

一般使用对HTML字符编码转义来防范XSS，比如：

但是绕过过滤的方式有很多，比如：

data协议执行javascript：

Jsfuck：

深入游戏：prompt.ml/

建议使用成熟的库来防范，比如： github.com/leizongmin/…

保护好用户的Cookie，加上HttpOnly属性，加上了这个属性的Cookie字段，js是无法进行读写的。

前后端一定都要过滤，在界面显示用户输入的内容时要谨慎。

SQL 注入就是指在输入的字符串中注入 SQL 语句，如果应用相信用户的输入而对输入的字符串没进行任何的过滤处理，那么这些注入进去的 SQL 语句就会被数据库误认为是正常的 SQL 语句而被执行。

比如后端代码：

前端输入时，我们将un赋为admin，pw赋为' or '1'='1。则整个 SQL 语句会变为：

就成功绕过了身份验证。

SQL注入太知名，大家比较熟悉，这里不做过多介绍。

CSRF（Cross-site request forgery跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。

例如：

一个银行站点存在一个CSRF漏洞，用户A转账给B用户2000元，执行转账操作后会对银行发送一次请求： www.bank.com/money?use..… ，然后A用户就会把自己的2000元转到B的账户下。在发送这个请求给银行服务器时，服务器首先会验证这个请求是否为一个合法的session，并且用户A确认登陆才可以验证通过。

CSRF一般会用于以下场景：

1、对网站管理员进行攻击：诱骗管理员点击存在漏洞的链接，执行增加删除网站管理账户的操作，从而进行下一步渗透得到网站shell权限。

Discuz! X2.5 / X3 / X3.1 可CSRF删管理员账号

发帖插入 Discuz! 代码，其中修改uidarray可以删除多个指定用户：

2、修改受害网站上的用户账户和数据：对账户密码进行重置，改邮箱绑定，修改个人资料、个人设置，删除用户发布的文章帖子等。

美丽说网CSRF重置任意用户帐号密码(已经拿到商家帐号证明)

3、账户劫持：修改密码处没有验证原有密码，无token验证，发送一个修改密码的链接即可。或者发送一个修改绑定邮箱的链接，再进行密码重置。

微信公众平台CSRF可导致公众账号被劫持

4、传播CSRF蠕虫进行大规模攻击：此类攻击发生的场景一般在SNS站点，批量关注、发微博、改个人资料处。

新浪微博CSRF之点我链接发微博（可蠕虫）

5、利用csrf进行拖库。

Discuz可CSRF脱裤

6、利用其他漏洞进行组合拳攻击。

1、使用验证码：

CSRF攻击一般都是在受害者不知情的情况下进行发起的，使用验证码可以有效的防止攻击，但是每次请求都要输入验证码会影响用户体验，所以通常只在用户登录注册，还有一些特定业务场景下使用，比如银行转账。如何使用验证码要根据业务和场景来决定。

2、验证http Referer：

http头中的referer字段记录了请求来源地址，比如从www.test.com 点击链接到m.test.com 之后，那么referer就是www.test.com 这个地址。攻击者在对受害者进行攻击的时候，是在攻击者自己的服务器上构建自己的恶意脚本，诱骗受害者点击，所以此时的referer值就是攻击者自己的URL地址。通过以上可知，CSRF攻击都是跨域发起的，所以在服务端针对referer字段验证是否属于安全可靠的域名，可在一定程度上有效防御此类攻击。

但是此类方法并非万无一失，在低版本存在漏洞的浏览器中，黑客可以篡改referer值。另一种情况是CSRF结合XSS进行攻击，此时就不需要跨域发起，也可以绕过referer验证。

3、使用token

当用户第一次进行登录的时候，客户端会通过用户名和密码去请求服务器登录，服务端在收到请求后会验证客户端传来的用户名和密码，如果验证通过，服务器就会签发一个token发给客户端，并且将token放到session或者报文中，客户端收到token后存储到本地，以后客户端只要每次请求服务器就要带上token，经过服务器验证通过后才会返回响应数据，否则报错。

CSRF攻击成功的前提条件是攻击者可以完全伪造出受害者的所有请求，而且请求中的验证信息都在cookie中，黑客只要使用用户的cookie通过安全验证就可以完成攻击。了解了这些之后，想要防止CSRF攻击，就要在http请求中放置黑客不可以伪造的信息，而且该信息不可以存在于cookie中，否则就无效。而token令牌最大的特点就是随机性，不可预测，并且不存在于cookie当中。

2018年的100个最烂的密码已经被揭露。连续第五年，“123456”仍位居榜首，“password”位居第二，这无疑是黑客们欢迎的新闻。

本周早些时候，密码管理公司Dashlane整理了今年“最严重的密码泄露”名单，在与唐纳德.特朗普(Donald Trump)的会面中，众非裔美国明星大牌艺人“侃爷”KanyeWest曝光了他的iPhone密码是“000000”。 现在，软件公司SplashData发布了其年度“最烂密码”列表。

SplashData通过分析500多万个被泄露的密码得出了这些案例，其中大部分密码来自北美和西欧用户。它表示，大约10%的人使用过这里列出的25个最常用密码中的至少一个，约3%的人使用过“123456”。

前两个最差密码保持不变，但有一些新条目。“666666”排在第14位，princess排在第11位，“donald”排在第23位。

“对不起，总统先生，但这不是假新闻 - 使用你的名字或任何通用名称作为密码是一个危险的决定，”SplashData首席执行官Morgan Slain说。 “黑客在使用名人姓名，流行文化和体育术语以及简单的键盘模式在网上突破账户方面取得了巨大的成功，因为他们知道很多人都在使用那些容易记忆的组合。”

鉴于人们对大规模数据造成黑客攻击的关注度如此之高，而且密码管理器的数量也如此之多，Slain表示，对于人们为什么继续使用这些糟糕的密码，这是一个“真正令人挠头的问题”。

以下是Splashdata列表中排名前25位的最差密码：

1) 123456

2) password

3) 123456789

4) 12345678

5) 12345

6) 111111

7) 1234567

8) sunshine

9) qwerty

10) iloveyou

11) princess

12) admin

13) welcome

14) 666666

15) abc123

16) football

17) 123123

18) monkey

19) 654321

20) !@#$%^&*

21) charlie

22) aa123456

23) donald

24) password1

25) qwerty123

看看，这些最烂密码中有没有你使用过的，或者你目前正在使用的，有的话，赶快更改吧，而且建议你且在不同平台最好也采用不同的密码。

linux公社的RSS地址 ： https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址： https://www.linuxidc.com/Linux/2018-12/155864.htm

Due to a steady increase in advanced cyberattacks targeting both private companies and government agencies over the past decade, demand for talented and trained cybersecurity professionals has skyrocketed.

These professionals are called upon to secure networks, retaliate against attacks launched by individuals and foreign governments, and install strong security parameters across a wide range of platforms.

The 2018 Cyber Security Bootcamp Bundle will give you the skills you need to join this increasingly important and lucrative field, and the price of the entire bundle has just been dropped from the already discounted cost of $59 to just $39―over 98% off its usual price.

With 75 individual courses, 155 hours of training, and over 875 tutorials, this bundle offers a massive trove of educational materials that will put you ahead of the competition when it comes time to land a position in the field.

You’ll learn how to perform a wide range of ethical hacking functions, implement network security measures, secure complex systems, and much more. You’ll also get the skills you need in order to earn some of the field’s most respected certifications―including the CompTIA’s Network+, Security+, and A+ certifications.

Become an in-demand cybersecurity expert with the 2018 Cyber Security Bootcamp Bundle forjust $39―over 98% off for a limited time.

The 2018 Cyber Security Bootcamp Bundle $39

12月14日下午开始，互联网上出现了一款利用“驱动人生”升级通道，并同时利用永恒系列高危漏洞传播的木马突发事件，存在一定网络安全风险隐患。我中心立即启动应急机制，对此事件开展监测分析工作。

一、 “驱动人生”木马程序基本情况

综合CNCERT和国内网络安全企业（腾讯公司、360公司）已获知的样本情况和分析结果，驱动人生旗下的“人生日历”等软件，通过其升级组件dtlupg.exe，开始下发执行木马程序F79CB9D2893B254CC75DFB7F3E454A69.exe。该木马程序具备远程执行代码功能，启动后会将用户计算机的详细信息发往木马服务器控制端，并接收远程指令执行下一步操作。此外，该木马还携带有永恒之蓝漏洞攻击组件，可利用该漏洞攻击局域网与互联网其他机器，进行传播扩散。

据深圳市驱动人生科技股份有限公司于12月15日发布的声明所述，该公司部分老版本升级组件代码漏洞被恶意攻击，导致了此次木马传播事件的发生。

二、 感染情况

CNCERT持续对“驱动人生”木马程序进行监测，截至12月15日17时，累计发现境内下载该木马程序的主机为9.9万余台，其中广东、江苏、北京等省受影响主机数量较多。木马程序所在的下载端IP有3个，均位于境外。境内主机下载该木马程序的时间段为14日14时16分至15日14时26分，集中爆发于14日18时左右。15日14时26分至17时期间，并未监测到下载情况。目前，该下载端URL链接已失效。

同时，CNCERT对木马程序控制端IP进行分析发现，“驱动人生”木马程序控制端地址为6个，控制端IP地址均位于境外。截至12月15日17时，累计发现境内共有2.1万余台被控主机上线并连接控制端。

三、 处置防范建议

（一）驱动人生老版本用户应手动更新升级版本。

（二）安装并及时更新杀毒安全软件。

（三）做好相关重要数据备份工作。

（四）关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口。

（五）服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解。

（六）可安装腾讯电脑管家或360安全卫士等安全软件进行此类木马程序的查杀。

声明：本文来自国家互联网应急中心CNCERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。

The malware called Zyklon has taken cyber attacks to a new level, engaging intricate exploit-based distribution and a wide range of malicious capabilities.

The evolution of malicious software has spawned strains that exhibit unparalleled stealth and versatile functionality. Zyklon, a sophisticated malware sample that surfaced in early 2016, exemplifies this transition to the fullest. It zeroes in on high-profile targets, with its nefarious activity making itself felt primarily in the financial services, telecom, and insurance sectors of economy.

Whereas selective targeting isn’t a new thing in the cybercrime ecosystem, the mechanisms Zyklon leverages to achieve its goals make it stand out from the crowd. Technically, it is a backdoor whose portfolio spans keystroke logging, password theft, and DDoS attack deployment. Furthermore, it can download and run harmful plugins that siphon off the contaminated host’s CPU power to mine cryptocurrency behind the victim’s back. The infection is also capable of interacting with its Command & Control server over the tamper-proof Tor network.

The current propagation logic of the Zyklon malware boils down to harnessing Microsoft Office vulnerabilities. Security analysts have recently discovered a campaign that takes advantage of three known Office flaws. The starting point of the attack is a phishing email tailored to align accurately with the target’s business model. This approach increases the odds of the recipients opening the message and getting on the hook for further manipulation.

The gist of this attack vector is all about the object attached to the tricky email. It is a ZIP archive with an eye-catching name that contains a booby-trapped DOC file. The latter, when opened by an unsuspecting user, will trigger the infection chain by exploiting one of the notorious Microsoft Office vulnerabilities that will be described further down. This sets in motion a PowerShell script then covertly downloads all the components of Zyklon from the adversaries’ C&C.

Now, let’s take a deeper dive into the specific security flaws utilized by Zyklon. The first one is a .NET framework vulnerability catalogued as CVE-2017-8759. In this scenario, the virus-tainted DOC email attachment arrives with an OLE (Object Linking and Embedding) element on board. Once executed behind the scenes, this entity downloads another contagious file from a predefined URL, which does the rest of the malware depositing job.

One more exploit that plays into Zyklon authors’ hands is known as CVE-2017-11882. It denotes a memory corruption bug in the Microsoft Equation Editor tool. Ironically, this is an 18-year-old flaw that continues to put unpatched systems at risk via stack buffer overflow and an ensuing possibility of remote code execution. Similarly to the above technique, the contamination mechanism involves an extra download of a malicious object from a hard-coded URL.

Finally, the crooks who have masterminded the Zyklon backdoor propagation campaign are employing a vulnerability in Microsoft Office Dynamic Data Exchange (DDE), a technique maintaining interprocess communication. Codenamed KB4053440, this flaw allows the malefactors to run code on targeted machines remotely. This way, they drop and execute a PowerShell script, which props up the attack by downloading another payload, a Base64 encoded file named Pause.ps1. Once decoded, the resulting shellcode requests the final executable from the C&C server, then downloads and launches it on the host.

Notice the multi-layered attack mechanism that engages secondary payloads prior to triggering the main one. This is an obfuscation and AV evasion tactic. Whilst raising no red flags, Zyklon harvests browser, email and FTP passwords, retrieves license keys for popular software, and uploads this data to its central server. It also hijacks the clipboard and substitutes the victim’s previously copied Bitcoin address with one belonging to its operators. To top it off, the pest downloads plugins that surreptitiously mine cryptocurrency.

All in all, Zyklon is a competently crafted piece of malware with some clever distribution tricks up its sleeve. Avoiding the above attack vectors is a matter of proactive security, which comes down to applying software patches as soon as they are rolled out and conducting phishing awareness training of your personnel.

将android apk签名的的方式封装成一个工具，通过SignConfig.json配置文件相关参数签名apk。

golang 实现代码

配置文件

{

"keyAlias": "xxxx.keystore",

"keyPassword": "xxxx",

"storeFile": "~/xxxx.keystore",

"storePassword": "xxx",

"sourceAppName": "./xxxx_sign.apk",

"targetAppName": "./sign.apk"

}

注：

Australia’s“Assistance and Access” bill requires companies to give Australian enforcement agencies (ranging from intelligence agencies to the local police) access to encrypted messages on request and may even require individual coders to secretly build in backdoors into applications.

In a blog post , secure messaging service Signal has refused to accede to demands by the Australian government to assist in their surveillance efforts by building a backdoor into their app.

Signal developer Joshua Lund insisted that it was simply impossible for the foundation to help the government spy on their users.

“By design, Signal does not have a record of your contacts, social graph, conversation list, location, user avatar, user profile name, group memberships, group titles or group avatars. The end-to-end encrypted contents of every message and voice/video call are protected by keys that are entirely inaccessible to us.”

Lund added that Signal is open source, meaning anyone can “verify or examine the code for each release.” “People often use Signal to share secrets with their friends, but we can’t hide secrets in our software,” he wrote. “We can’t include a backdoor in Signal.”

Lund noted that politicians themselves were users of the encrypted messaging service and that users are likely to bypass effort to block the app in stores or on the network.

Despite this, Lund is encouraging Australians to reach out to their representatives and express their opposition to the Assistance and Access Bill.

操作系统内核，往往是每一个知名的漏洞利用链的最终目标。纵观多年来Zero Day Initiative（ZDI）Pwn2Own竞赛中涉及到的漏洞，其实就可以发现这一规律。长期以来，windows内核一直是攻击的主要目标。我个人最喜欢的是针对各种驱动程序的DeviceoControl调用滥用，因为通过该漏洞，可以访问大量厂商编写的许多应用程序，其中有一些驱动程序并没有实现安全编码，或者没有经过完善的测试流程。

多年来，大多数针对Windows内核的渗透攻击，都利用了win32k.sys，这是一个控制Windows图形和窗口管理系统的内核模式设备驱动程序。在20年前，当微软将这个功能从CSRSS中移除并将其加入内核时，就立即使Windows内核的攻击面扩大了1-3倍。从那时开始，这一驱动程序对漏洞研究人员来说就是一个“丰富的宝库”。

在过去十年中，自从WDDM（Wondows显示驱动程序模型）取代了早期的XDDM以来，另一个大范围的攻击面也已经开放。具体而言，是首先通过win32k.sys调用显示系统，随后通过用户进程借助GDIPlus中的入口点直接调用dgxkrnl.sys和其他驱动程序。这种扩大后的攻击面，针对研究人员来说是一个诱人的目标。

在2018年春季，ZDI获得了腾讯湛泸实验室ChenNan和Rancholce发现的5个针对DirectX内核接口的漏洞。其中的4个漏洞，获得了来自微软的CVE编号。本文主要对这些漏洞进行分析，同时提供了PoC概念证明的源代码。

针对其中的一个漏洞（ZDI-18-946/CVE-2018-8405），Rancho和ChenNan在9月份的44CON会议上发表了一次演讲，我强烈建议研究人员首先阅读 此次演讲的幻灯片 。

在深入研究漏洞之前，我们先简单介绍一下DirectX的接口和驱动程序。

DirectX图形内核子系统由3个内核模式驱动程序组成，分别是dxgkrnl.sys、dxgmms1.sys和dxgmms2.sys。这些驱动程序通过win32k.sys和其自身的一组接口与用户进行通信。此外，它们还会与BasicRender.sys、BasicDisplay.sys以及显示驱动程序（Display Miniport Drivers）进行通信。

DirectX定义了许多复杂的内核对象，其中大多数的名称都以DXG开头。用户通过这些复杂的API入口点与DirectX连接，其中许多入口点都以D3DKMT开头，其他的一些入口点以DXGK开头。

我们分析一些重要的入口点：

该入口点完全将用户控制的数据Blob作为输入。由于这一数据Blob可能非常大，所以很有可能会将其保留在用户内存中，而不会在转换到内核处理期间在内核中捕获它。这样的模式会使其调用的内核例程很容易出现检验时间（Time-Of-Check）或使用时间（Time-Of-Use）漏洞。其中的数据没有采用标准化结构，每个驱动程序都有各自不同的定义。

该入口点是实际渲染图形数据的核心。用户地址命令和补丁缓冲区由内核驱动程序来解释，最终传递给显示驱动程序。针对于此，可以使用竞态条件的攻击方式。另外，由于渲染可以生成工作线程，就更加容易产生竞态条件漏洞。

该入口点用来分配内存。由于传递给API调用的不同标志和句柄之间具有复杂的相互作用，可能会出现问题（参见下面的ZDI-18-946）。

从攻击的角度来看，IOActive的Ilja van Sprundel曾在2014年的Black Hat上针对WDDM进行了非常完整的概述，他的演讲题目是“Windows内核图形驱动程序攻击面”。我强烈建议各位读者首先阅读 相关材料 ，其中详细介绍了WDDM内核端的复杂攻击面。

漏洞利用

在这里，可以找到相关漏洞的概念证明（PoC）源代码。如果要复现漏洞，需要在2018年8月之前的Windows版本上实现。将内核调试程序添加到测试使用的计算机上，并在存在漏洞的驱动程序上设置一个特殊池。在实际测试中，我在Windows 10 x64上成功复现了这些漏洞。

在dgxkrnl.sys中的DXGDEVICE::CreateAllocation发现的第一个漏洞，是通过D3DKMTCreateAllocation方法暴露的，并且可能允许本地攻击者将权限提升至SYSTEM级别。针对这个漏洞，我们的建议如下： https://www.zerodayinitiative.com/advisories/ZDI-18-946/ ，微软的官方补丁请参考： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8405 。该漏洞源于缺乏对用户提供的数据的充分验证，可能会导致类型混淆的问题。

要具体查看此情况，需要在运行PoC之前，在dxgkrn.sys上启用 特殊池 。类型混淆是由于在分配过程中不恰当的使用了CrossAdapter标志。在PoC代码中，使用CrossAdapter标志0来进行分配，然后将结果句柄传递第二个分配，在该分配中，它将CrossAdapter的标志设置为1。

下面是对蓝屏的分析：

其中，出现问题的代码位于DXGDEVICE::CreateAllocation中，并且在分配结束时发生典型的类型混淆：

在dxgmms2.sys中，还存在另一个漏洞，并且通过D3DKMTRender暴露。该漏洞还可能允许本地攻击者将权限提升至SYSTEM。针对这个漏洞，我们的建议如下： https://www.zerodayinitiative.com/advisories/ZDI-18-947/ ，微软的官方补丁请参考： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8406 。与第一个漏洞相同，该漏洞会导致类型混淆问题。尽管看起来相似，但这些漏洞有不同的根本原因。

同样，要具体查看此问题，需要在dxgkrnl.sys和dxgmms2.sys上启动特殊池，以查看这些漏洞。当然，还需要将内核调试程序添加到目标计算机。这种类型混淆是由于在两个不同的适配器之间混淆的分配操作造成的。

相关的PoC代码：

PoC的崩溃信息：

漏洞代码：

下一个漏洞也是通过D3DKMTRender例程暴露。该漏洞位于dxgkrnl.sys中的DGXCONTEXT::ResizeUserModeBuffers方法中。针对这个漏洞，我们的建议如下： https://www.zerodayinitiative.com/advisories/ZDI-18-950/ ，微软的官方补丁请参考： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8400 。在这种情况下，该漏洞是由于在将其作为指针解除引用之前，缺乏对用户提供的值的适当验证。产生的指针解除引用，是由于驱动程序信任用户设置的标志。以下是相关PoC的详细信息：

其崩溃结果如下：

调用来自：

漏洞代码：

显然，来自用户的这个标志不应该导致内核中的任意解除引用。

针对这最后一个漏洞，由于漏洞存在于BasicRender驱动程序处理D3DKMTMarkDeviceAsError API和D3DKMTSubmitCommand API中，所以其过程有些复杂。针对这个漏洞，我们的建议如下： https://www.zerodayinitiative.com/advisories/ZDI-18-951/ ，微软的官方补丁请参考： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8401 。在这里，共享资源没有得到适当的保护，从而可能导致内存损害情况。攻击者可以借助这一漏洞，将权限提升到SYSTEM。一旦用户点击了他们不应该点击的内容，恶意软件通常会使用这种类型的权限提升来实现自动安装。微软为这一漏洞分配了CVE编号，其中说明了相同的根本原因。

针对这两种情况，其PoC代码是相关的，但有所不同。

第一个PoC的关键部分：

每次调用SubmitCommand时，都会通过VidSchiWorkerThread产生一个线程。对MakeDeviceError的调用会更改相同对象的状态，并产生竞态条件的问题。

导致的崩溃如下：

竞态条件是在同一位置的两次修改之间发生：

对于ZDI-18-949，尽管有着相同的根本原因，但仍然可以发现PoC代码的差异。该PoC的关键部分如下：

执行这一PoC，会导致Run方法崩溃：

漏洞代码如下：

在存在漏洞的代码中，第二次在Run方法中发生崩溃。

WDDM和DirectX图形内核代码为Windows提供了一个非常强大和灵活的图形系统。他们通过使用许多复杂的对象，以及为用户代码创建许多新的复杂接口来实现这一点。这里给出的概念证明，应该可以让大家了解DirectX中实现的对象的复杂性，以及这一领域中可以继续研究的内容。

腾讯科技讯 据外媒报道，谷歌、Facebook和其他科技巨头正敦促越南取消一项规定，这项规定要求科技巨头将本地用户数据存储在越南。越南全面的信息安全法律还有几天就将生效，而越南政府正加入全球打击美国互联网巨头的行列。

这些公司通过地区游说组织亚洲互联网联盟表示，关于数据存储本地化的要求将扼杀投资，损害经济增长，损害拥有在线业务的外国和越南公司。

全球监管机构正试图遏制市场力量，以及谷歌和Facebook等公司对用户隐私的侵犯。欧盟反垄断官员今年对谷歌处以43亿欧元的罚款，理由是谷歌滥用Android操作系统的市场影响力。澳大利亚本月对谷歌在搜索领域的“近乎垄断”地位提出了质疑。美国和英国的立法者也仔细调查了Facebook对个人数据的处理。

今年6月通过相关法律的越南政府表示，正效仿其他国家监督科技公司的权力，并遏制恶意内容。然而一些权利组织认为，这样的网络防御可能被用来打击言论自由。互联网公司则警告称，这将对企业不利。

本周四，亚洲互联网联盟针对该法案向越南公安部提交了正式的意见文件，表达了自己的担忧。越南公安部是这部法律背后的主要政府机构。

亚洲互联网联盟表示，有关数据本地化的规定是“一个信号，表明数字经济和一般企业将面临相反的政策环境”。

“近年来，信息安全一直是许多国家、国际和地区机构特别感兴趣的问题。”越南外交部在回应时表示，“在当前形势下，制定信息安全法律框架是必要的。”

越南尚未公布，如何实施这项将于1月1日生效的法律。这是在越南提供在线服务的公司最关心的问题。

相关企业在致越南公安部的邮件中表示：“我们促请越南公安部和越南政府考虑这项法律草案的潜在后果，以防止对越南经济造成意外的负面影响。”

除了要求公司在越南存储数据外，这项法律还将允许越南政府在其认为国家安全受威胁的情况下，对用户数据进行检查，或对内容进行审查。

亚洲互联网联盟还表示，这项法律可能违反越南已经签订的贸易协定，包括越南与欧盟的新自由贸易协定。越南政府对此表示否认。

越南的信息安全法律使企业进退两难。这些企业正关注这个亚洲增长最快的经济体之一，但同时也担心这项法律带来的成本和声誉风险。在越南全国9600万人口中，超过6400万人上网。

越南政府本周表示，谷歌正考虑在越南开设办公室，但谷歌表示没有新消息宣布。

根据咨询公司We Are Social的说法，Facebook和谷歌是越南访问量最大的两个网站。在越南，社交媒体是获得新闻和讨论的主要渠道。（腾讯科技审校/陈桦）

新华社天津12月16日电（记者周润健）记者16日从国家互联网应急中心天津分中心和多家互联网安全机构获悉，12月14日下午开始，互联网上出现了一款利用“驱动人生”升级通道，并同时利用永恒系列高危漏洞传播的木马病毒突发事件，存在一定网络安全风险隐患。

国家互联网应急中心天津分中心安全专家介绍，该木马程序利用“驱动人生”“人生日历”等软件传播，具备远程执行代码功能，启动后会将用户计算机的详细信息发往木马服务器控制端，并接收远程指令执行下一步操作。此外，该木马还携带有“永恒之蓝”漏洞攻击组件，可利用该漏洞攻击局域网与互联网其他机器，进行传播扩散。

监测显示，截至12月15日17时，累计发现境内下载该木马程序的主机为9.9万余台。同时，对木马程序控制端IP进行分析发现，“驱动人生”木马程序控制端地址为6个，控制端IP地址均位于境外。截至12月15日17时，累计发现境内共有2.1万余台被控主机上线并连接控制端。

记者了解到，“驱动人生”少部分老版本升级组件代码漏洞被恶意攻击，导致了此次木马传播事件的发生。目前，“驱动人生”已经对新版启用全新升级组件。

针对此次木马的攻击，安全专家提醒广大用户及时采取六种措施进行防范：“驱动人生”老版本用户应手动更新升级版本；安装并及时更新杀毒安全软件；做好相关重要数据备份工作；关闭445等端口（其他关联端口如: 135、137、139）的外部网络访问权限，在服务器上关闭不必要的上述服务端口；服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解；可安装腾讯电脑管家或360安全卫士等安全软件进行此类木马程序的查杀。

(责编：史雅乔、王静)

Brian Krebs ran a story recently about how FICO has a new service for rating the Cybersecurity risk level of various companies. Problem is, in one of their marketing communications about the new offering, they leaked the actual report data for a little company called ExxonMobil.

I find this space both strange and fascinating.

On one hand I like the idea of people looking out for each other by evaluating how risky companies are and then sharing that knowledge with others. This type of thing is basically necessary given how many entities a given company has to do business with. It’s virtually impossible to do risk assessments on all of them yourself. So that’d be nice if there was good data out there, being shared for the benefit of everyone.

Unfortunately, I’ve seen a number of these companies and their reports over the years, and the product seldom matches the packaging. Here are a few of the problems I’ve seen.

What I see from all this is a lot of externalities, which are basically unintended consequences of a well-meaning policy or action. Like, at what point are you liable for damage that results from your ratings? What if you lose business because of an incorrect and low rating? Or what if a low rating puts you on the radar of attackers, and results in a breach that wouldn’t have happened otherwise?

I think once you start making claims about the security of thousands of very important entities, in any way that’s meant to be consumed by others, you take on a huge amount of responsibility.

I’m not willing to damn the entire space, though. The work needs to be done, and this space in the industry seems to be the only one that’s managing a thrust. It reminds me a lot of the conference scene, actually.

Everyone wants more conference speakers, but they also want fewer vendors trying to sell their wares. Yet most of the talks submitted are by people working at companies―-many of which are at the conference paid for by a sales or marketing budget. It’s kind of gross, but the alternative seems to be having conferences with no speakers.

No need to run away, but proceed with caution.

12 月是被年度榜单淹没的一个月，Google 的热搜榜和 Pornhub 的老司机车速榜 已经早早发布了。而美国密码管理应用公司 Splashdata 也在最近 发布「2018 年度最弱密码」榜单 ，带你看过去一年大家是怎么犯蠢的。

Splashdata 分析了 2018 年在互联网上泄漏的 500 多万个用户密码，最后统计出 TOP 100 的结果。啊哈，发现了好多老朋友的身影。

▲「2018 年度最弱密码」榜单 TOP 25， 完整报告可以戳这里看

首先，榜单第一名属于铁打的「123456」。这家伙从 2013 年开始稳稳占住冠军宝座，据 Splashdata 称，大约有 3% 的人在用它做密码。

而今年榜单第二名也没有任何惊喜，就是去年、前年以及大前年都出现过的「PASSWORD」。

官方称有 10% 的人都在用前 25 个最弱密码。 大概掐指一算，这 25 个里就有 9 个是简单的数字排列：要么是顺序排列「123456789」，或是重复排列「666666」。

侃爷 Kayne West 今年就被发现，他的 iPhone 是用「000000」解锁的，真是深得精髓。

这 500 多万个泄漏的密码中，也有网友深知密码需要字母和数字混合搭配。所以前 25 个最弱密码也出现了「ABC123」和「AA123456」。嗯真棒，值得鼓励。

跟「PASSWORD」一样眼熟的，还有「QWERTY」和「ADMIN」。坦白说，这俩听起来真像是 90 年代论坛管理员的 old school 作风。

另外出现在前 25 最弱密码的一些奇怪单词，还有「SUNSHINE」「ILOVEYOU」「PRINCESS」「WELCOME」「FOOTBALL」和「MONKEY」，连起来都能编部先言情再热血最后少年派的小说了。

将你的爱好和中二幻想用来做密码也不是不可以，但想问一下那些用「WELCOME」的哥们：这是隔空在跟黑客 say hello 吗？

今年榜单前列最让美国人一惊一乍的，就是「DONALD」竟然也上榜了，排在第 23 位。不知道美国总统特朗普本人的账户密码，是不是也在那 500 万之中。

▲ Let’s make your password great again!

「年度最弱榜单」都发布这么多年了，人们还在日复一日用着最容易被猜到的密码组合。Splashdata 公司的 CEO Morgan Slain 表示，「这可真真让人头疼啊」。

黑客经常用名人姓名、流行文化、体育术语和简单的键位排列组合来撞库盗号，因为他们深知很多人都在用容易记忆的密码……我们每年发布这份榜单，就是希望人们学会在网上自我保护。

当然，为了让大家在新的一年上点心别再犯蠢，SplashData 也再次建议用户采用长度至少为 12 位的混合密码，最好同时包括大小写字母、数字和符号；在不同网站最好也采用不同密码。

除此之外，SplashData 还建议可以使用密码管理器来帮你记住密码，或是生成安全的随机密码来登录。

全球人民一起努把力，希望在明年把「123456」和「PASSWORD」赶下台。毕竟再这么下去，写稿子的编辑都觉得没新意了。