作者： Saviour

这个APT源污染，需要同步下载大量的源服务器文件，我下完之后大约220多G。

为了测试我们将原版的slurm修改为我们测试之后的版本，用自定义好的测试文件将原版的slurm进行替换；

按照如下命令进行操作，如图：

提示：将生成好的测试文件替换后，执行md5sum slurm计算md5值，将原先的slurm值替换掉，然后再使用dpkg打包deb

这个也是一个非常漫长的过程，需要同步APT源到本地，大约200多G。

进行APT源测试，执行sudo apt-get update，同步本地APT源，看是否正常。

这个阶段将分析APT源软件的安装方式，研究一个完整的APT软件安装过程及过程中调用的文件，并试图将调用的文件内容进行特定修改，看APT是否能再次执行成功。

首先我们执行sudo apt-get install slurm进行原版软件安装，然后分析Apache访问日志，默认网站日志路劲：/etc/apache2/access.log

InRelease文件是一个gpg明文签名文件，里面包含了Packages.xz等md5、sha1、sha256、文件大小等校验值。

Packages.xz等文件（包括其他Packages开头文件），里面包含了其对应pool目录下的deb文件md5、sha1、sha256、文件大小等校验值。

由于默认官方对Release文件进行了签名，那么我们在修改Release文件后必须对他进行重新签名，生成我们自己的Release文件（不然会在APT更新时报错）。

这次实验会用到的gpg命令如下：

gpg命令解析

将我们重打包的slurm deb文件，md5、sha1、sha256、大小等信息收集起来，这里我们需要改两个文件，一个是Packages.xz、一个是InRealse文件，步骤如下：

改完后我们使用刚注册好的gpg key对Release文件进行明文签名，生成Release.asc文件

修改完成后，将生成的Release.asc改名为InRelease，并覆盖原先的InRelease文件，执行sudo apt-get update，看是否更新正常，如果报错请导入证书文件，如果报hash不匹配，有可能是你的Release里面的值或文件大小填写错误，填写正确后重新对Release文件进行签名即可，并进行覆盖，重新执行sudo apt-get update，无误后进行本次的最后一步sudo apt-get install slurm。

导入证书：

APT成功安装了我们自定义的APT源deb文件，这就意味着，此刻如果我安装的是一个被替换过之后的恶意文件，那么我的主机就被成功入侵了，由于有些用户喜欢使用root用户执行的apt命令，那么就导致恶意文件会以最高权限运行，导致服务器彻底沦陷。

1、 APT源是可以篡改的。

2、 警惕不明的第三方源；

3、 官方源也未必完全可信；

此次实验不完全针对APT问题，也不排除YUM源等也存在此问题。

前言：近期“ASICBoost专利门”事件轰动整个币圈，并且影响比特币的未来。整个专利技术涉及比特币打包挖矿的低层，可能较少有人能弄懂。本文在参考大量文献后，尝试以通俗易懂的方式，介绍整个挖矿技术知识。任何支持判断要基于技术进行客观判断，会比基于一些人的主观言论判断要靠谱很多。

为了方便理解，大家可以想一下较熟悉的WinRAR压缩软件，无轮是只有一个原始文件，还是好几个原始文件，都可以压缩成一个RAR文件。当任何一个原始文件有任何变动时，重新压缩生成的这个RAR文件就会发生变动，而不再是之前的文件。

而哈希算法有点类似，但其处理的对象不是文件，而是字串。将任意长度原始字串“压缩”成一个字串即Hash字串。原始字串任何一点点微小的变化都会引起Hash的变化。与RAR的不同之处是，通过Hash结果是不可以“解压”还原成原始字串的。

哈希算法有很多很多种，典型的哈希算法有MD2、MD4、MD5 、 SHA-1、SHA-2、SHA-256、SHA-512、SHA-3、RIPEMD-160和SCRYPT算法（莱特币和狗狗币使用）等等。在比特币中大量采用的是SHA256算法，仅仅在从公钥生成币地址时还另外用过RIPEMD160算法，其它地方用到Hash时一般就是用SHA256算法。其特点如下图所示将任何字串转变生成256位随机的0或1。

其实矿机的底层到底在做什么是较好理解的，就是不断地改变原始数据，来不断地求算SHA256算法下的Hash值 ，当满足一定条件时成功。

看近期的区块461,228的块哈希值实例。

000000000000000001f682adc333ebb751e63b204c8f8aa7b595e11394d5a154

前17个都是零，另外后面的数也要小于一定的数，那么才满足条件。而这些哈希值结果是随机的，能做的这么规律，只能是不断地更换原文内容不断地进行尝试，在大量的随机结果中来筛选满足难度条件的。难度并非固定的，根据全网算力挖块的情况，每挖出来2016个区块（约两周时间2016/6/24=14）就调整一次难度。若挖完2016区块所用的时间短于两周，那就提高难度；而若长于两周，那就降低难度。

并非对整个区块内容取Hash值，而是仅仅只对80字节大小的区块头，进行SHA256算法。这80字节具体分为六个部分。

按目前的BIP9升级规范，版本号是用于投票区块自己支持的分叉升级方案，如若支持SW可版本号为0×20000002具体可看下面这个文章：

9.6Bite酱一比特币区块版本号知识及升级规范BIP9

这是将区块串成区块链的关键，表示这个区块是在哪个区块的基础之上进行挖矿而挖到的。当比特全网出现合法的新区块后，要及时替换上新区块的Hash，否则就算挖出来也可能被孤立。

本应该是所有交易都进行Hash的，但是计算量太大，于是将所有交易用Merkle Root Hash的方法，将所有交易Hash合并成一个32字节的Hash数据。它能代表所有交易，任何交易的任何细小变动都会引起MerkleRoot的变动。这个后面还有更多讨论和图。

最好写当前时间，但不是很严格，允许有一定的时间偏差，但不能偏差太大，偏差太大会被区块孤立的。因为不严格，有时下个区块比它的上个区块的时间戳时间还早，这是有可能的，但真实的诞生时间当然是先有上个区块，才会有下个区块。

由全网算力决定，每2016个区块重新调整，调整算法固定，就是说在调整时，大家都可以根据历史数据自己计算出来，而不是由谁指定。怎么用四个字节表示难度呢？有点类似于天文数字的科学计数法，第一个字节V1代表右移的位数，用剩下三字节V3表示具体的有效数据。

F(nBits)=V3 * 2^(8*(V1-3) )

这个是给矿工挖矿时自己调整用的，以便能找到合适的值让区块头的Hash结果能满足难度需求。这个参数估计中本聪有点失误，设计小了，仅仅4字节，CPU挖矿时代够用，但显卡GPU时代，就有点不够用了，几秒的时间就能全部的Nonce都全试了一次了。不过可以微调上面的时间戳TimeStamp，调一次就可以再挖几秒，勉强够用。然而进入专业矿机矿池时代，Nonce就远远不够用了，由于各字段一般都有较明确有固定含义不能轻易动，于是转向32字节的 交易树根MerkleRoot。

收集比特交易是矿池上完成的，矿池需要运行全节点，而矿工却不需要。如下图蓝线指示，矿池会由待打包的交易生成那些黑点，然后时常发给矿工。另外构造一个基本coinbase交易，也发给矿工。理论上矿池给矿工的coinbase交易内容能维持较长时间不变动。但SW隔离严证实施后，每当有交易顺序或交易内容调整时，都需要变动coinbase。还有就是矿池要提供除了MerklerRoot和Nonce之外的区块头数据。

矿工收到从矿池发过来的信息后， 第一步是计算红点 ，完善coinbase交易一般是加个随机数即可完善好，然后对coinbase交易进行SHA256的Hash计算。 第二步是计算绿点 ，将coinbase的结果，再依次和下图中的黑点逐一合并得出上一层的Hash，最终得到最上面的交易树根MerklerRoot。 第三步是计算区块头Hash ，有了MerklerRoot后，结合矿池提供的区块头数据，再加个随机变动的Nonce就可以形成完整区块头，用其计算Hash。当Nonce完全遍历一遍和足够变动时间戳后，正常一般是回到第一步更换一个随机数来重新完善coinbase交易，进而第二步中MerklerRoot值最终将不一样。而ASICBoost可能是调换交易顺序而更新MerklerRoot。 第四步是提交成功的Share计算结果 ，并非要满足全网的难度般，只要满足矿池设的挖矿难度就可以提交了，一般提交给矿池自己的矿工ID和任务ID，coinbase的随机数和区块头的时间戳TimeStamp及随机数Nonce。矿池在收到后及时进行验证，若满足则记一份功劳贡献，同时看看是否满足全网的难度要求，若满足则广播发布出去，从而挖到新块，且按记录的功劳Share数量分配给各矿工应有的币量。

更多详细内容见： 9.8Bite酱比特币【矿池】的历史、职能和意义 和 《区块链核心技术演进之路 挖矿演进》

具体专利细节还不很清楚。但感谢@拿铁大 的微博，已经给了较好的内容描述。本文引用其中的一部分来进行说明。

根据目前了解，简单说，其就是利用了SHA256算法的内部计算规则，先64字节一组，然后再4个字节一个组。而ASICBoost专利，应该就是用交换交易位置的方式，不必修改coinbase，来快速得到很多相同的末尾4字节的MerklerRoot，从而硬件可加速优化计算区块头两次SHA256的哈希值，即SHA256( SHA256( BlockHeader ))的速度。

在计算这个区块头的SHA256时，我们需要先用固定的填充位补齐为128字节，之后SHA256会64字节一组去处理，可以简单认为是 F ( F（SHA256规范的初始值，前半部分）, 后半部分）。F又需要对这64字节先按4字节一组拆分，进行64轮计算。结合上图，我们不难发现，Merkle Root的前28个字节和后4个字节被分开了，在修改Nonce过程中，前半部分是不变的，而后半部分的前12个字节也是不变的。因此目前几乎所有的芯片都已经做了这两个优化，即前半部分的处理结果（getwork中的midstate）和后半部分的前3轮结果（midstate3）。 这样的优化效果是 (61/64+1)/3 = 65.1%，提升了34.9%

Merkle Root在图上显得很尴尬，如果中本聪设计的时候Version变成第三个字段该多好（就是说把Version放在MerkleRoot的后面）。这样后半段的前4个字节就固定了，如果我们对于时间戳要求不那么高，前12个字节可以完全固定下来了。对于芯片来说可以节省更多的计算，也可以去掉对应的一些电路。ASICBoost将这个脑洞往实践推了一步：我们去构建一组后4个字节相同的Merkle Root。

这样问题就变成能不能高效找到后缀一样的Merkle Root？效率提升有多大？ASICBoost的白皮书提到有很高效的方法，并且给出了一张表：

ASICBoost白皮书的Merkle Root碰撞数量对效率影响ASICBoost白皮书的Merkle Root碰撞数量对效率影响。（表格的意思是若找到五个相同后4字节的Merkle Root那么效率能提升20%）

这里问题的本质是一个32位的哈希碰撞，根据“生日悖论”，找到一组碰撞需要的尝试次数其实并不多，我们只需要77000次就有50%概率找到两个后缀相同的Merkle Root。当然对于一台矿机来说，仅仅2个是远远不够的，如果是矿场的话应该需要配备专门的硬件去产生足够的任务。尝试新的Merkle Root通常有两种方法：

方法一：修改Coinbase交易。这个方法似乎最简单而且隐蔽， 但是白皮书认为不够高效 ；

方法二：交换任意交易的顺序。白皮书只举例了方法2，其他方法并未给出。注意无论是1和2，新的Merkle Root并不需要从下而上全部计算。

隔离验证SW：Segregated Witness是 将签名隔离出来放后面，实现约1.7MB的链上软扩容效果。另外LN闪电网络，侧链技术等很多币技术都在等待SW的激活。为何ASICBoost专利的获利方会阻碍SW呢？

５.１ ASICBoost专利，需要交换交易的顺序

以便能快速产生大量的Merkle Root，并且从中选择出较多的最后４字节相同的Merkle Root，然后发给矿工。这个主要是在矿池的工作，因此仅仅有支持ASICBoost的矿机，若没有矿池配合是不行的。另外矿机收到这些最后４字节相同的Merkle Root需要矿机硬件配合，能进行特殊的硬件存储优化。因此仅仅只有支持ASICBoost的矿池，没有ASICBoost的矿机也不行。并且我觉得并不会在区块链上留下太明细的使用ASICBoost的痕迹，除了交易顺序有点乱，而本来就不整齐，另外有可能空块率，比其它矿池要高点，因为只有coinbase交易时，寻找最后４字节相同的Merkle Root会更快些。

因为将无法再轻易交换任意交易的顺序。因为SW将会有个Witness Merkle Root要写入coinbase交易的OP_return输出。也就是说，交换交易顺序，之前是不影响coinbase，而SW隔离验证实施后，交换交易顺序，那么Witness Merkle Root可能就要跟随变化，进而coinbase变化。最终将还不如直接按上面方法一直接修改coinbase来找最后４字节相同的Merkle Root更方便些。因此SW隔离验证实施，并不能完全阻止ASICBoost专利的实施，但是会降低其效率，进而减少ASICBoost专利实施人的利益。

另外近期最新的提出来的EXTBLK延展区块方案，之所以几乎立刻被其接纳支持。在于EXTBLK延展区块虽然也是写入coinbase交易的OP_return输出。但是EXTBLK中的交易与主链交易较独立，交换主链的交易的顺序，应该是不会影响EXTBLKMerkle Root的。

为自己的利益而反对某种方案，可表示理解，但是应该实话实说，而不是用其它的理由（说SW代码太复杂改动较多不安全，却不支持LTC先SW来帮测试代码），也不能去支持对立的不靠谱的版本（BU那么差短期内数个Bug，且EC涌现共识更复杂却去强力支持，只因为BU不影响ASICBoost）。

呼吁ASICBoost持有者，要多多为整个币圈着想。不能为了一时利益而损坏整个币圈的利益，还有百余个币应用在等待着SW激活呢。并且并不是ASICBoost专利完全失效，仅仅是效率降低而已，通过调节coinbase中的随机数是可以继续使用ASICBoost专利的。以后会变成两步，先是一步是矿池运行的Merkle Root矿机，计算大量后4字节相同的Merkle Root。然后一步是后缀同Merkle Root数据给支持ASICBoost专利的比特矿机。

专利技术内容公开后，也就没有必要偷偷摸摸了。整个矿业可以集体进入下一个阶段。 各大矿池未来不再仅仅只是拼网速和分配手续费比例，更加拼矿池的Merkle Root矿机能力。

相关文章： 9.9Bite酱一呼吁【SW合成分叉】详解比特币隔离验证

继续引用《ASICBoost是什么？》

南京北安门街便衣民警逮着了2个偷手机的小偷。（图/CFP）

《财经》新媒体 王玮 高素英/文

正听着音乐，忽然就没有了声音，一摸口袋手机不见了踪影，回头四望早已是茫茫人海，根本就不知道谁偷走了手机……这样的场景几乎每天都在不同城市里上演。不到一个月的时间，《财经》新媒体记者身边就有四位朋友有过类似的遭遇。然而手机被偷背后，不仅是财产的丢失，更重要的是信息安全，一旦泄露后果不堪设想。

一位办案民警告诉《财经》新媒体记者，目前不法分子已经形成严密的手机盗销黑色产业链，会通过撞库、钓鱼破解等方式获得消费者的密码及个人信息。而记者调查发现，在QQ群和某宝上，几十元至几百元就可破解一部被锁手机，甚至苹果外包客服都参与其中。

随着智能手机的普及，在线支付、实时定位、网络搜索等一系列便捷功能得到应用的同时，背后存在的安全问题却日益严峻。日前，国家质检总局发布智能手机（信息安全）质量安全风险警示称，近半手机存质量安全隐患，可被恶意控制。

有关专家表示，手机黑客攻击离我们并不远，它只是很静默，我们发现不了。从手机安全的角度来说分为四种威胁：通信网络威胁、第三方APP应用的威胁、操作系统层面的威胁，以及数据设备方面的威胁。而手机一旦被偷可能面临着的是通过芯片重组，也就是硬解码技术，把手机恢复到出厂状态，甚至还能够恢复以前的数据，进而带来因数据泄露而引发的系列风险。

那么手机盗销背后的产业链如何？黑客又如何攻击手机用户，信息泄露会带来哪些风险？用户怎么保护手机信息安全？针对一系列问题，《财经》新媒体记者进行了深度调查。

在北京工作的王女士万万没想到，一次出差竟让她近距离接触了手机盗销黑产业链。王女士对《财经》新媒体记者表示，iPhone手机在异地被盗后，她在第一时间报了警，并远程锁定了其手机。警方表示，由于被盗地点监控系统使用效果不理想，外加王女士未能看清小偷的面目特征，使破案难度增加。

“相比价值7988元的256GiPhone7 Plus，我更心疼的是手机里存储的各种合同文件和各种数据。”王女士表示。更令她感到不安的是，警方告诉她，目前，不法分子针对iPhone等高价值的智能机已形成严密的盗销犯罪体系，包括盗窃、收脏、窃取用户个人信息、批量解锁、销赃等。手机一旦被盗，不法分子将通过“钓鱼”等手段诱骗消费者输入密码，个人数据信息、指纹、文件很可能被破解、泄露。

然而令王女士没有想到的是，丢失手机后，来骗密码的套路如此深。“你好，我是Apple客服，您的手机正在被解锁，如非本人操作请登录以下链接。”，“您丢失的iPhone已找到，请及时查看。”手机丢失后的三天中，王女士果然收到了多个来自于“Apple”的短信、邮件甚至电话。

但细心的王女士注意到，这些邮件、短信和电话虽然显示的均为“Apple”，但发件邮箱和电话号码均为私人邮件地址或私人手机号，并非Apple官方客服电话及邮箱。Apple客服也向王女士证实，Apple官方客服不会向消费者发送类似信息及邮件，更不会拨打电话。

对此，手机安全专家表示，这是不法分子正在通过钓鱼解锁的方式骗取消费者账号和密码。“不法分子以苹果公司的名义群发短信，骗取苹果手机失主的注册ID密码，破解并解除绑定后，再由二手手机商销售到社会。失主丢失手机后都会急于找回，从而放松警惕被骗，嫌疑人骗取的成功率能达70%以上。”

警方表示，未解绑的苹果手机，只能卖到1000元以内的价格，多为拆分硬件进行翻新，如果解绑成功，则能卖到3000元以上。而被破解的机主信息、iCloud账号则能分别被卖到50元到500元不等的价格。更加可怕的是，一旦不法分子拥有iCloud账号，则可以远程控制消费者其他绑定该账号的Apple设备，从而进行勒索。

受理案件的派出所警察告诉《财经》新媒体记者，苹果手机盗窃案的破案难度大主因是跨地域作案、销售。“整个产业链可能遍布中国大江南北，从盗窃到销售，每个环节均由不同地区的不同人员负责，很少由一人负责全部流程。”据他介绍，以一台iPhone7为例，小偷的第一手收入在400-800不等，之后每一手的商家大概还有500以上的利润空间，在最源头进行洗白和翻新的商家收入更高。

威客安全技术合伙人、互联网安全专家安琪在接受《财经》新媒体记者采访时表示，手机盗销黑产一直都存在，而且比想象的更加严密和复杂。“黑产分工十分明确，基于不同机型破解难度也不一样。有些手机由于安全性较高，因此需要通过黑客的社工库进行撞库攻击，或者通过钓鱼网站骗取用户的密码，而有些机型可以通过漏洞直接绕过ID锁。”

《财经》新媒体记者调查发现，王女士的经历并非个案。记者在搜索引擎查找关键字时发现，与“盗销”、“破解ID”相关的新闻高达67万条，不少消费者手机被盗后遭遇“钓鱼”，ID被解锁。事实上，手机盗销产业链离消费者并不遥远，破解个人信息的难度对黑客来说似乎也并不高，记者发现，在QQ群和淘宝上，几十元至几百元就可破解一部被锁手机，甚至苹果外包客服都参与其中。

在淘宝上用“ID 解锁”作为关键字共可搜索696件商品，记者浏览后发现，这些商品大多以“解锁、刷机、救砖、抹除定位”为噱头大打擦边球，隐藏卖家协助不法分子获取他人个人信息或不义之财的事实。除可以破解iPhone手机ID、密码，将其还原成新机外，三星、华为等安卓手机也可被破解密码锁，并进行ROOT（即获取最高的权限）或手机刷机。

在这些商品中，销量最高的一款月销量2.3万件，已有4220人收货，累计评价达5895个。

据卖家介绍，手机ID破解共有两种方法，分别是软件破解和硬件破解。软件破解一般可以远程操作，买家通过第三方软件获得iPhone设备串号和手机号码后，告知卖家，由卖家进行“破解”后方可使用。卖家表示，软件破解所需时间一般较长，买家在卖家进行操作中也不能开机或操作，拍下、付款等待卖家通知即可，正常情况下3―5天即可“破解”。不过，也有买家表示，购买后未能成功“破解”，卖家已退款。

硬件破解则需要将手机邮寄给卖家，由卖家进行拆机换件。一位进行硬件破解的卖家告诉《财经》新媒体记者，“软件破解有失败的风险，而硬件破解成功率更高。小店采用硬解ID，就是打套件，打磨掉换上没有ID的套件，套件包括硬盘跟基带，硬解是百分百能解开的，所以不必担心寄过来解不开问题，也无需像软解无限期等待。”

不过，安琪告诉《财经》新媒体记者，硬破解手机故障率高，并且随着更新，ios7以后的手机均无法进行硬解，这种方式已经被淘汰。

而在QQ搜索关键字“ID、解锁”可查找到204位个人用户和近15个QQ群，QQ群中涉及的个人用户则达到7913人。一个QQ群简介显示，该群承接iPhone4-6s/plus的解锁工作，66元每次，另接普查深查，并回收、出售二手手机。

此类店铺和QQ群已成为不法分子解锁手机，进行二次使用甚至销赃的去处。在淘宝评论中，不少买家毫不避讳的在评价处表示手机是捡的或是买的二手货，也有的表示卖家解锁的原理就是“钓鱼”。

对此，有律师表示，淘宝卖家和QQ用户涉嫌以其他方法获取公民个人信息，已触犯法律，“捡”手机的消费者，也以非法占有为目的构成盗窃罪的条件。

此外，安徽阜阳阜南县公安局去年年底通报，部分犯罪嫌疑人与苹果外包客服公司员工内外勾结，通过破解苹果手机用户ID的方式获取用户的个人信息，并将个人信息以2至10元的价格进行贩卖。

《财经》新媒体记者在调查中了解到，不少手机用户认为，手机在丢失的状态下才存在个人数据遭泄露的安全隐患，日常生活中，正常使用的手机是不会“泄密”的。然而，事实真的如此吗？

事实上，手机已成为个人信息泄露的一大安全隐患，智能手机也超过电脑，成为黑客最为“偏爱”的攻击对象。近日，针对智能手机可能存在的信息安全危害，质检总局产品质量监督司近期组织开展了智能手机（信息安全）质量安全风险监测。测试机型共40批次，包括了市场常见的高、中、低端手机，质检总局主要参考国内外智能手机标准要求，对用户数据的操作、操作系统的更新、预置应用软件安全、后端信息系统信息安全漏洞等项目进行了检测。

测试结果显示，40批次手机样品中，有18批次存在安全隐患，主要存在以下四种情况。12批次样品后端信息系统存在信息安全漏洞，包括未限制用户密码复杂度、未限制非法登陆次数、未限制短信验证码错误使用次数、重置密码的短信验证码由本地生成、未对数据包重要访问控制参数进行校验导致可被越权操作；9批次样品中的预置应用软件未向用户明示且未经用户同意，擅自收集用户数据；1批次样品未实现对用户数据的操作权限控制功能；1批次样品操作系统的更新未向用户明示且未经用户同意，擅自自动升级。

也就是说，目前市面上在售的手机中，近半数存在安全隐患，存储在手机中的个人数据将在消费者不知情的状况下泄露给不法分子。业内人士向《财经》新媒体记者介绍，用户隐私数据被泄露后，可能造成智能手机被恶意控制，会成为诈骗短信、诈骗电话、钓鱼网站攻击的目标。

而根据法新社近日发布的消息显示，载有银行数据、信用卡信息和个人地址等数据的智能手机已成为新型网络罪犯的首选攻击目标。

根据腾讯去年发布的手机安全报告资料显示，2016年上半年手机支付病毒以986.14%的增长率直线上升，感染用户数超1670万，成为增长速度最快、危害最严重的“黑暗势力”。然而，当越来越多的用户养成移动支付习惯时，手机支付病毒便有机可乘。报告显示，2016年上半年Android新增手机支付病毒包高达32.33万个，相较于2015年增长了986.14%；感染用户数达1670.33万，增长45.82%，而且在逐年大幅增长。

专家表示，网络罪犯的手段已经从用勒索软件攻击智能手机发展为利用窃取的手机银行用户登录凭据的木马病毒软件。他们利用盗窃得来的凭据就可以远程登录受害人的帐户，进行网络转账。

此前，iPhone也遭遇信任危机，大量消费者Apple ID被盗，手机“变砖”，并被不法分子勒索钱财。

安琪在接受《财经》新媒体记者采访时表示，目前手机的主流操作系统就是google的安卓与苹果的IOS系统，对于操作系统而言，两家公司更多的是在底层提供可靠的安全保障措施。对于中国手机制造商而言，更多是在应用层面上提高手机的安全性。

有关专家表示，手机黑客攻击离我们并不远，它只是很静默，我们发现不了。从手机安全的角度来说分为四种威胁：通信网络威胁、第三方APP应用的威胁、操作系统层面的威胁，以及数据设备方面的威胁。

现在安卓或者以前苹果都可以通过芯片的重组，把手机恢复到出厂的状态，甚至还能够恢复以前的数据，随着手机的丢失数据也会一起丢失。目前市面上通过安全芯片对数据加密的手机并不多见。对于指纹芯片加密的手机而言，即使偷盗者把芯片进行破解，拿到的指纹数据也是不完整信息，没办法再进行重组，被盗的手机也就永远变成砖，偷盗后也无法销售。

金立集团有关人士对《财经》新媒体记者表示，除内置安全加密芯片外，金立M6S Plus还带来指纹加密技术和活体指纹，保护用户的指纹和信息安全。尤其是针对用户最担心的支付风险，新手机有一定的防护措施，会识别什么是诈骗短信，主动拦截。

除了安全的手机外，如何应对其他信息安全威协。安琪表示，针对通信网络，可能会有一些恶意的诈骗短信、钓鱼链接等等，这些风险往往都是一些支付安全的入口，如果被黑客诱导，中了黑客钓鱼的攻击，很可能支付安全会受到威胁。在平时使用的过程中，不要去连接一些免费WIFI，在出门的时候，尽可能关闭WIFI。

针对一些偷跑流量的APP，金立会应用代码的技术，对应用的APP进行一些安全审核机制。日常生活中如果非安全手机，建议尽量在一些比较知名的第三方应用商店去下载，因为黑客经常会把一些APP里面植入一些代码，包括很著名的漏洞，就可以通过这种链接库，加载APP的木马进去，对手机数据进行窃取。这是应用安全和威胁应该注意的地方。

安琪表示，对操作系统来说，要不断修复内核漏洞。截止到目前为止，无论安卓也好，IOS也好都引入了很多安全机制，其实这种漏洞更多是越狱。目前整个安全行业里面来看，安卓和苹果的越狱越来越难，证明系统在不断的完善和不断安全优化之中，所以建议用户如果没有特殊的需求，就不要对手机进行Root和越狱，如果越狱了，实际上所有的安全保障几乎都没有了。

来自于操作系统层面以及日常生活中，尤其应用像微信社交媒体，社交互联网的APP，消费者不要去发布一些过于隐私的数据，比如像身份证、火车票、机票等个人信息，里面可能有姓名、身份证号等个人隐私数据。实际上，当黑客对发起攻击的时候，第一个就是信息采集，这个过程中会对信息进行收集，通过互联网的作用，进行下一步攻击实施，就会埋下风险。

此外，针对数据和设备的安全威胁，主要在于用户存储数据的信息，实际刚才之前的各种威胁，通信网络的威胁，第三方APP的威胁，操作系统的威胁，它最终的目的都是为了造成数据的威胁，所以数据永远都是安全里的核心，如何保证数据的安全，实际上是整个移动安全领域的重中之重。

安琪认为，保证数据安全，除了安全手机，就是安全的防护机制。比如活体指纹的识别技术，指纹加密芯片会对加密存储、保护手机用户所录入的指纹，形成了指纹的双向验证，即便存储在trustzone中的指纹数据被破解，不法分子拿到的也是不完整的指纹信息。因此建议有经济条件或者对安全更加重视的消费者，尽可能采用一些安全性比较高的手机。

最近，威瑞森电信公司（Verizon）又发布了一年一度的《2017年的数据泄露调查报告》，对以往的的安全事件和数据泄露进行了分析。威瑞森是美国著名的通信公司，相当于美国版的“中国移动”，收购雅虎的就是这家公司。 每年他们都会发布一份具有相当高参考意义的数据泄露报告，今年也不例外。

2017 年的数据泄露报告是一份“10周年报”，统计结果主要基于威瑞森公司在过去十年里从65家不同的组织获得的泄露数据。 这份最新报告总共分析了42068个安全事件以及来自84个国家的1935个漏洞。

报告表示，在调查的几万个安全事件中， 内部威胁占25%，75%是外部攻击导致 。在外部攻击中， 51% 的网络攻击涉及到有组织有计划的犯罪集团。18%的外部攻击涉及国家背景。

▲谁在安全事件背后？ 图片截取自报告

在勒索软件方面，和去年的报告数据相比，勒索攻击次数上升了50%，但 Verizon 估测受害者的数量却有所下降。因为随着人们对勒索软件的认识，许多人已经不再被它唬住。

不过勒索软件本身也变得越来越高级，报告中表示：

我们不断发现勒索软件的新品种以及新攻击特性，许多不再是感染之后立即加密数据，而是潜伏在系统中，瞄准高价值的数据。

在数据泄露原因方面，62%的数据泄露与黑客攻击有关；81%的的数据泄露涉及到撞库或弱口令。也就是说，知道2016年，人们使用密码的习惯依然不太好，绝大部分人并没有养成定期修改密码的习惯。

▲导致安全事件因素有些？ 图片截取自报告

在行业分布上，金融行业依然首当其冲， 24%的数据泄露事件和金融机构有关；其次是医疗保健行业15%；再往后是销售行业15%以及公共部门12%。其中医疗行业是勒索的重灾区，真可谓“不给钱就撕票”。

雷锋网注意到一个有趣的变化， 学术界正逐渐“崛起”成为黑客攻击的目标，比如高校的高新科研部门 。这也侧面体现了这些黑客攻击具有国家背景。安全分析师 Hylender 对此表示：

犯罪分子已经意识到很多知识产权和商业机密都是起源于高等院校的学术研究，而且，和入侵政府系统以及成熟的商业系统相比，入侵大学的系统和窃取研究机密更加简单。

此外，雷锋网发现报告还交代了这些情况：

66%的恶意软件是通过钓鱼邮件传播的。

73%的数据泄露事件的动机是出于经济目的，也就是为了钱。

21%的数据泄露涉及到内鬼或者网络间谍，网络间谍活动已经成为一种普遍存在的威胁。

在报告中，Verizon 建议企业关注威胁情报，以缩短威胁响应时间。及时有效地打上安全补丁，定期进行安全渗透测试活动。同时，由于81%的数据泄露都与账号密码被盗用有关，Verizon 建议企业实施多因素认证，并提供员工安全意识培训，以此用较低的成本来提高安全性。

在雷锋网 (公众号：雷锋网) 旗下的公众号【宅客频道】回复： 泄露报告 ，可获得76页完整原版报告下载链接。

雷锋网原创文章，未经授权禁止转载。详情见 转载须知 。

本文作者：谢幺 ，雷锋网网络安全作者。

前不久朝鲜大核搞核试验的消息闹得沸沸扬扬，却没有太多人关注另一则新闻：

2017年4月底韩国媒体称，网络安全公司赛门铁克发布了一个报告， 估测朝鲜网络攻击集团对世界多国银行发动了攻击，窃取资金超过一千亿韩元（折合人民币6.13亿元） 。

除此之外， 已有证据表明，朝鲜网络攻击的目标包括孟加拉国、越南、厄瓜多尔、波兰等国银行，目前已经从这些国家的银行盗窃了至少 9400 万美元。

核武器研发靠“烧钱”来提高震慑力，网络武器却能肆无忌惮地从其他国家抢钱。 这也难怪有媒体报道，金正恩曾说过这样一句话： “网络战能力是与核武器和导弹共同保障我军打击能力的尚方宝剑”。

这让人不免联想到上个月在监狱病逝的，80年代香港三大贼王之一的叶继欢。他生前曾多次手持 AK47 冲锋枪对射警方，搞了一大堆军火，抢了整条街的金店，最后抢到的总值也就 1000 万港元。而 2016 年底发生的孟加拉国央行盗窃案，黑客或许只用了一台电脑一根网线就偷走了 8100 万美元，创造了有史以来最大的银行抢劫案。该案件目前已被多个安全组织认定为朝鲜黑客所为。

▲香港一代“贼王”叶继欢，图片来自网络

据雷锋网了解，孟加拉银行盗窃案中，黑客因为转账时把转账机构的名字中的“foundation”被写成了“fandation” 而被发现，否则他们将盗走10亿美元。10亿美元什么概念？叶继欢拿着 AK-47 当烟花放，天天横扫金店也得连着抢两年，还得全年无休。

关于朝鲜黑客部队的说法其实由来已久，说法不一。今天雷锋网宅客频道就和大家一起扒一扒朝鲜黑客的故事。

朝鲜组建网络战斗部队，第一个对付目标多半是谁？韩国无疑，事实也是如此。

早在十多年前，韩国媒体就开始持续地公开指责来自朝鲜的网络攻击。2010 年之后攻击事件越来越多，仅在 2013 年一年内就发生了多起大型黑客攻击事件，比如：

2013年3月， 韩国爆发历史上最大规模的黑客攻击 ，韩国主要银行、媒体、以及个人计算机均受到影响。大量企业，包括国内主流的银行、电视台计算机都被破坏及瘫痪，导致无法提供服务，大量资料被窃取。

2013年6月，韩国青瓦台总统府在内的16家网站遭攻击，并陷入瘫痪。一些被黑网站首页出现“ 伟大的金正恩领袖 ”等红色词句。

2013年7月，韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站等再次遭到分布式拒绝服务(DDoS)攻击，瘫痪时间长达4小时。

虽然韩国方面坚定不移地认定是朝鲜政府干的，却拿不出确凿的技术性证据。最关键的是，就算证据确凿了，又能怎么办呢？

▲配字：“就喜欢你看不惯我，又干不掉我的样子”

从那之后，这个从外部看来与世隔绝的国家，朝鲜的黑客实力开始得到真正意义上的广泛关注。 人们越来越好奇，这样一个国家的网络作战水平到底怎样，他们又是怎么培养出一流水准黑客的呢？

▲朝鲜官兵在使用电脑，图片来自网络

一位匿名韩国政府官员曾向美国媒体 CNN 透露，朝鲜有一个网络作战部门，隶属于朝鲜军方旗下的间谍机构侦察总局。韩国政府认为，在数次朝鲜针对外国机构的网络攻击中，起核心作用的就是121局。

2014年，一个曾担任过朝鲜政府电脑专家的叛逃者张世烈（ Jang Se-yul） 向媒体透露，朝鲜有一个人数众多的部队，专门从事针对其他国家的网络战，而且水平超出了外界的想象。在他的口中，神秘的“121局”逐渐浮出水面。

张世烈说，121局大约由1800名网络战士组成，大部分黑客都来自平壤自动化大学。

这个学校是什么来历呢？据韩国国防部资料显示，朝鲜军方从 20 世纪 80 年代开始就十分重视电脑和网络人才的培养。在1981年建立了朝鲜第一所专职培养黑客和电子战部队的秘密军事学院 : 美林学校，后来更其名为平壤自动化大学。

▲ 朝鲜黑客 ，图片来自网络

名曰“自动化”，但其实朝鲜人民军内部称其为电子战学校。（宅客： 这种称呼风格有点像中国的二炮部队，小时候我真以为只是普通的炮兵部队，后来才知道是现代化火箭军。）

自动化大学的入学筛选非常严格，一个班只收 100 名学生，申请者却有 5000 人之多。人们趋之若鹜的主要原因是 朝鲜黑客的生活条件比普通朝鲜人好太多 ，既有专门提供的繁华区域住房，又能将家人接来同住，还有机会出国去挣美元。

通常，朝鲜黑客会从娃娃抓起，青少年时期就被选拔出来进行专业的黑客训练。在正式加入 121局之前，要接受接近 9年的严格训练。训练后还会根据攻击国家的不同，被分配到不同的小组，派往相应的国家呆上两年以上，适应当地的语言和文化。

在学校的时候，他们每天上六节课，每节课90分钟，学习各种编程语言和操作系统，除了花费大量的时间分析微软的 windows 操作系统等程序，还要研究如何攻破美国、韩国等敌对国家的电脑信息系统。他们还有一个核心任务，开发属于自己的黑客程序和电脑病毒。在网络作战方面，他们在自主研发的道路上摸索。

张世烈说，朝鲜军方的黑客可以随意上网，完全不受限制，他们很了解外面世界发生的一切，也知道朝鲜是多么的封闭和落后，但是绝大部分依然不愿意离开朝鲜，不愿意背弃自己的国家，哪怕韩国为他们提供工作。

▲朝鲜士兵用韩国防部长当靶子练习射击，图片来自网络

张世烈认为，朝鲜黑客的技术水平不逊于谷歌或者美国中情局的顶级程序员，甚至可能会更好。毕竟 “朝鲜为它准备了 20年。”

一个贫穷、资源匮乏的国家如何下这么大的力气去搞网络战？原因很简单：便宜。

对于朝鲜来说，培养一名网络间谍的收益和培养一名传统士兵的收益完全无法比拟。张世烈说， 朝鲜也许意识到自己在传统战争领域几乎没有打赢的机会，但在数字世界依靠少量资源就可以搅乱大局。

▲金元帅利用现代化设备视察工作

2015年，另一位曾给121局的成员上过电脑课的脱北者 金恒光（Kim Heung-Kwang）教授透露，虽然他教的是基础电脑操作而不是黑客技术，但他发现， 学生们很喜欢黑客人物，对于能成为“金正恩的网络战士”他们感到很自豪。

金教授称，121 局希望仿造 Stuxnet 蠕虫病毒，也就是名震江湖的震网病毒。美国和以色列黑客就曾经成功用它来破坏伊朗的发电站离心机，造成核电站推迟发电。

在 2014 年之前，朝鲜黑客活动消息多来自于韩国媒体，直到金元帅怒了。

2014 年，索尼影业出了一部黑金正恩的电影《The interview》（又名：刺杀金正恩），故事讲的是一个记者借着采访机会去刺杀金正恩的故事。情节不再赘述，我们单来看看他把金正恩黑成什么样？随便举几个例子：

1. 他生活在父亲的阴影之下，时常觉得自己像个废弃物。

2.金正恩最爱看美剧《生活大爆炸》，美国流行女歌手 Katy Perry 的歌把他唱哭了。

3.影片里的金正恩有点 Gay 里 Gay 气的，请通过画面自行体会。

此外，片中的金正恩还把屎拉在裤子里导致采访中止。最后，金正恩乘坐的直升机爆炸了……他死了。

就这样的情节，换在其他国家都指不定会发生什么，更何况朝鲜。该片在公布预告片时，就有朝鲜官方媒体发出警告，称好莱坞上映有关刺杀朝鲜领导人的喜剧电影属于”战争行为"，如果美国政府默认或支持电影上映，我们将采取果断而无情的对策”。

此后，朝鲜当局又多次严厉斥责该电影“令人作呕”，甚至连美国国内也有不少人觉得这电影“不负责任”，会加剧地区局势紧张。这种情况下，索尼公司不依不挠，依然紧锣密鼓准备公映该片。于是他们印证了“什么叫不作死就不会死”。

12月，索尼影业的网络遭遇自称“和平护卫队”的黑客团体的攻击，大量信息被泄露，从员工安全信息到内部高管的邮件，以及大量新片的种子外泄、电影剧本，甚至索尼高管薪酬的详细构成全部流出。

当月16日，黑客发出了最后通牒，警告所有前去看片的观众“别忘了911事件”，威胁要在放映地点发动袭击，吓得美国多家院线纷纷决定撤销放映该电影。 17日，索尼影业也不得不发表声明，决定取消该电影在全球的一切发行计划。

袭击事件发生数月后，影响依然在发酵，电脑故障频发，电邮持续被冻结等等。最终，因为黑客攻击导致大量商业机密泄露以及其他不良影响，索尼影业董事长艾米帕斯卡引咎辞职。那次黑客袭击也成为了史上最严重的十次黑客袭击之一。

因为一部电影，索尼影业大概哭瞎了。

然而，朝鲜官方并不承认这次攻击，也没有直接的技术性证据表明就是他们干的。越是这样，就越让人琢磨不透，令人惴惴不安。一些安全公司和研究者开始专门就这些大型黑客攻击事件展开研究。

2016年 ，孟加拉国、厄瓜多尔、菲律宾以及越南的央行陆续遭遇黑客攻击，2月份，孟加拉国央行被盗走 8100 万美元，多家网络安全公司介入调查，发现大量银行攻击来自同一个神秘的幕后组织――拉撒路（Lazarus），因为这一团伙在攻击银行时所使用的计算机代码类似，攻击手法相同。 最重要的是， 其中一段用于消除攻击证据的底层代码和 2014 年黑客攻击索尼影业时使用的代码完全相同。

2016年12月韩国国防部对外表示，韩国军方内部网络遭受黑客攻击，导致内含军事机密的资料外泄，并明确表示“怀疑此次黑客攻击是朝鲜所为”，因为此次攻击代码与朝鲜黑客常用代码类似，因此朝鲜所为的可能性极高。

据 CNN 报道，卡巴斯基（Kaspersky）、赛门铁克（Symantec ）、火眼（Fireeye) 三家安全公司发布的报告，都把 Lazarus 黑客组织的来源指向了朝鲜。

这些安全机构判定的主要依据有：

重复代码：一般来说黑客会重复利用他们开发出来的代码，在这方面，大量攻击案件具有高度一致性。

密码相同：多次攻击事件都有一个用于保存病毒生成器的加密压缩包，密码是相同的。

韩语元素：Lazarus 的恶意软件样本中，有2/3的网络犯罪可执行文件包含了典型韩语元素。

活动时间：针对 Lazarus 团伙的活动时间调查表明，该团伙的多数人生活在东八区或东九区，也就是中国和朝鲜之间。

▲卡巴斯基对 Lazarus 组织的活动时间进行了分析

根据卡巴斯基实验室公布的报告书，Lazarus 团伙在一次攻击行动中犯了一个错误： 一台欧洲服务器出现了朝鲜政府专用的 IP 登录记录。

一般来说，黑客攻击时都会用代理服务器来隐藏自己真实的 IP 地址，但1月18日被发现有短暂的几秒钟连接了朝鲜的 IP，这是非常罕见的记录。卡巴斯基据此判定，如果没有人故意入侵了朝鲜政府的电脑来嫁祸，这就意味着和朝鲜有直接关系。

雷锋网 (公众号：雷锋网) 也发现一个现象：

Lazarus 在早年间的主要攻击目标是韩国和日本，攻击手段主要为 DDOS（分布式拒绝服务）。近两年他们却无差别地袭击了韩国、印度、马来西亚、波兰、乌拉圭、哥斯达黎加、埃塞俄比亚、加蓬、乌拉圭、台湾等18个金融机构、赌场、加密货币公司等，直接奔着钱去了。

有两位国际安全专家在接受 CNN 采访时怀疑， 这可能是朝鲜为其核弹计划敛财，作为一部分资金支持 。

你以为到此就讲完了吗？ NO

稍稍注意，你会发现上文提到的关于朝鲜的负面信息，绝大多数来自韩国媒体，其次是美国、日本媒体。例如本文最开头那句 “金正恩曾说：网络战能力是与核武器和导弹共同保障我军打击能力的尚方宝剑”，其实就是日本媒体报道的。

在对待朝鲜半岛问题，日本一些媒体不负责任的态度已经被大家习以为常。比如今年1月底份，日本有一家小媒体放话美军可能在2月底突袭朝鲜， 轰炸700个军事据点。日本各大媒体纷纷转引报道，结果最后发现最初的消息源竟然来自于个人博客网站。

中国也曾经历过类似的事件。2009 年 Google 等几十家美国公司受到黑客的攻击后，《纽约时报》就在没有充分证据的情况下，就称该攻击和中国的蓝翔技校有关，之后也不了了之。

很多年前，西方媒体就不断对中国黑客威胁论进行鼓吹。如今又多俄罗斯和朝鲜两大角色。

通过技术认定朝鲜黑客的安全机构也出过一些乌龙事件。

2017年3月，卡巴斯基实验室表示， 过去一年中公司发现的 62 个加密勒索软件家族中，47 个由俄罗斯人或说俄语的人开发。 （详见： 战斗民族的黑客又出来吓人：3/4 的勒索软件都是“说俄语的人”做的！ ）

结果没过多久，另一家安全公司的研究者就发现，许多恶意软件样本中的俄文看起来狗屁不通，看起来像是有人故意用翻译软件将语言翻译成俄文的，企图嫁祸俄罗斯人。（详见： 情节反转！黑客嫁祸俄罗斯被揭穿：连俄文都写错了！ ）

在科幻作家艾萨夫阿西莫夫（Isaac Asimov）的作品中，他设想了一个无处不在的机器人减轻了人类劳动需求的世界。他预测了一套不可改变的三项定律来管理他们的行为，其中第一条是： 「机器人永远不会伤害人类，或坐视人类受伤。」

但在现实生活中，这种机器人的存在似乎只是个美好的设想，至少不是现有的家用和工业机器人所能实现的。而根据新的研究， 它们容易受到黑客的攻击和远程接管，黑客可以轻易地攻破任何安全措施，并导致人员受到伤害甚至死亡 。

研究人员发现，网络安全漏洞的种类广泛且难以预测： 不安全的通信协议，认证问题，弱密码学，弱默认系统配置和易受攻击的开源机器人软件库 都有可能导致黑客的攻击。

根据外媒报道，在今年 5 月末即将举办的 IEEE 安全与隐私会议上，一家名为趋势科技的公司联合意大利米兰政治研究所的研究人员计划提出一个案例研究。他们开发的攻击技术， 能进行微妙的破坏，甚至完全劫持一个 220 磅重的工业机器人手臂 ，能够控制夹爪，焊接工具，甚至激光系统。他们的研究对象是 ABB IRB140 工业机器人，一个能够移动数百磅的机器人手臂，在汽车制造，食品加工，包装和制药等领域都有应用。

趋势科技和意大利米兰政治研究所的研究人员此前花了近一年半的时间来探索联网和互联网连接的工业机器人的风险。在他们的测试中，研究人员在控制器计算机中发现了大量的安全漏洞，这些安全漏洞使得研究团队能够采取一系列的攻击行动，例如：

尽管 ABB 在趋势科技通知发现漏洞后以很快的速度建立了修护补丁，但这并不能减少人们对此的担忧。

除 ABB 之外，研究人员还使用 Shodan 和 ZoomEye 等工具扫描互联网上潜在的可攻击机器人，并在美国、丹麦、瑞典、德国和日本等国家发现了数十种机器人 ，他们认为实际数目可能会更高。

研究人员 Maggi 指出，他们其他扫描出了千上万易受攻击的工业网络路由器，这些安全防护薄弱的路由为黑客提供了一个发起攻击的立足点。

在即将到来的工业 4.0 时代，许多自主机器将通过 互联网连接 ，包括自动驾驶汽车及服务于家庭与办公场景的机器人。

据《纽约时报》报道，美国西雅图的一家计算机安全咨询公司 IOActive 在近日公布了一份调查报告，声称在六家家用和工业机器人的检查中发现了重大的安全漏洞。该报告指出，六家公司中只有四家公司做出了回应，只有两家公司表示计划在通告问题后补丁。

这份报告点名到了许多已经颇负盛名的机器人企业及产品，包括 SoftBank Robotics 旗下的 Pepper 家用机器人，以及 Universal Robots 和 Rethink Robotics 等机器人制造商，这两个机器人手臂制造商主要生产能在组装线应用中与人进行合作的协作机器人。它还识别了由 UBTECH Robotics 制造的小型人形机器人，以及由 Asratec Corp. 开发的机器人软件存在的缺陷。

该报告确定了七种不同类型的安全问题， 从弱加密系统和易受攻击的默认配置到安全专家称之为认证问题 。在某些情况下，他们指出可以在没有认证的情况下控制一些机器人功能。

研究人员描述了他们在报告中发现的漏洞类别，但没有指出具体的缺陷，并表明他们的研究只是对该领域的早期侦察。对此，行业专家警告说，如果机器人制造商不采取安全第一的方法， 这些漏洞可能会成为长期困扰他们的问题，甚至可能带来重大的安全事故 。

不过，报告确定的机器人制造商之一 Rethink Robotics 对调查结果提出了异议，发言人 Gil Haylon 说，研究人员的两个批评实际上只涉及到研究和教育市场的「功能」，而非工业领域。他补充说，其他漏洞将在最新的软件版本中被淘汰。

从咖啡师到比萨厨师，用来组装手机、汽车和飞机的自动化设备正在迅速占领经济的各个领域， 预计到 2021 年将占美国所有职位的 6％。到 2018 年，预计全球工厂工业机器人数量将达 130 万台 。而这些机器人，都可能存在被黑客入侵的风险。

很早以前就有工业机器人伤害甚至杀死工人的新闻， 尽管到目前为止也没有证据证明那是黑客所为，但不证明今后不会发生 。由于工业机器人非常强大，它们可能会导致的伤害要比家用与商用机器人大得多。

至于家用机器人，由于具有更少的体力和速度不会对人体造成直接的严重伤害，但也可能会引发间接的安全隐患。

例如可以通过 麦克风和相机 窥视其所有者，通过篡改 电气设备引起 火灾，甚至通过将有毒物质与食物或饮料混合而将家庭成员或宠物毒害。

由于未来的智能家居自动化系统中可能集成家用机器人作为管家角色，犯罪分子甚至可以通过 网络入侵机器人来解锁门并停用警报 ，使他们成为窃贼的新朋友。即使是不整合的机器人，如果他们可以谈话或允许攻击者通过麦克风进行交谈，也可以告诉 声音助手（如 Siri 或 Alexa） 解锁门并禁止家庭安全。

在未来，随着家用机器人应用场景的拓展，它们会像工业机器人一样具有潜在危险。并且 随着功能及数量的增加，攻击面越大 。尽管机器人带给人们对美好生活的无尽想象，可若机器人厂商不能以安全第一的原则进行设计与生产时，恐怕也不会再有人觉得机器人很酷了。

● ● ●

深圳湾（微信公众号 ID：shenzhenware）长期挖掘物联网、人工智能、机器人、无人机、智能驾驶、智能家居等领域的新锐产品和初创团队，欢迎联系我们。微信私人客服：小炫（ID：warexx）。

近日刷爆朋友圈的《速度与激情8》上映短短十天，票房就突破了20亿美元，《速8》除了延续以往的豪车、硬汉、美女等要素外，还引入了当下在IT圈与汽车圈都备受关注的汽车破解技术。不同于以往竞速电影中人类驾驶汽车追逐、围堵的套路，《速8》中的大反派已经可以在空中操纵众多“僵尸车”在街头统一行驶、并线、冲撞……

一辆辆被“黑”的汽车如同具有了人工智能一般完成复杂的动作。电影的创意和激烈的镜头让观众大呼过瘾。虽然电影中对汽车的大规模控制在目前的技术条件下来看仍然有一段距离，但是也让不少人开始思索未来汽车被黑客破解并引爆大规模交通事件的可能，而这些可能都基于当下的前提――电影中的一切，都已经发生在现实当中。

“速8”电影中僵尸车队场景

近年来随着设备智能化和网联移动化的发展，各大车厂都开始了智能网联汽车的设计开发，国内外相关的车联网系统应运而生。其实现在相当多的汽车也犹如计算机终端一般，拥有网络连接、数据存储、程序运算等众多特性。其中最主要的当数汽车内总线网络Can-Bus。

作为车内主干网，CAN总线承载了重要的车内信息的交互和通讯。发动机、刹车、油门、转向、辅助驾驶模块、安全模块、ESP、ABS、OBD、邮箱、后备箱、车门……等众多电子部件都连接到Can-Bus进行通讯，因此，只要抓住了Can-Bus就相当于是抓住了汽车的中枢神经，就能对汽车进行控制。同时，因为车辆的众多接口链接到Can-Bus的缘故，车联与外部的通讯接口理论上都存在被利用的可能，而这些接口一旦被劫持，对应的控制单元都可能被攻击。而在过去一段时间内，因为车内的电子部件少，并未联网的缘故，这一切安全隐患都未被关注，随着国内外智能网联汽车的大跨步发展，信息安全问题将成为关系到车辆安全的一大难关。

车联网中潜在攻击入口

为了让各位读者对智能网联汽车安全问题有一个更好的了解，笔者将从车联网终端和云端两个维度进行讲解。

十几年前，想要控制一辆汽车，除非偷到钥匙，或者“暴力破解”砸开车窗。但是随着汽车的智能化程度越来越高，许多车辆都已经具备了众多的远程控制、辅助驾驶等功能，但这也为黑客破解带来了便利。黑客如果想要控制一辆车，只需要一个APP就可以。很多主机厂会把APP放到应用商店，用户可以自行下载，因此对于黑客而言拥有一个手机APP非常简单。

2017年2月，杀毒大厂卡巴斯基爆出多款汽车APP存在安全漏洞，而且目前市面上大多数远程控制APP居然连最基础的软件防护和安全保障都不具备。 黑客只需要对那些没有进行保护的APP进行逆向分析挖掘，就可以直接看到TSP（远程服务提供商）的接口、参数等信息。 即便有一些车辆控制APP进行了保护，但由于安全强度不够，只要具备一定的技术功底，仍然可以轻松发现APP内的核心内容，包括存放在APP中的密钥、重要控制接口等。

在这里，笔者建议 智能汽车的终端应当拥有金融级别的安全能力，具备防破解、防篡改、防盗版、防钓鱼欺诈、防内存调试等，能够在恶劣的网络环境下安全地运行自己的APK，保障信息不会被泄露，保障控制会话不会被劫持。 目前金融行业APP安全防护方案已经比较成熟，梆梆安全等安全公司都有着全套完整的解决方案。

全生命周期移动APP防护

TSP（Telematics Service Provider），汽车远程服务提供商，在Telematics产业链居于核心地位，在车联网架构当中起到的是汽车和手机之间通讯的跳板，为汽车和手机提供内容和流量转发服务，是车联网产业链最核心的环节之一。但由于TSP系统繁琐庞杂，车厂一般会把非核心边缘性、劳动密集型业务统统剥离，外包给多个供应商，或打包给一家TSP，由他们来集成各个供应商。

由于TSP在车联网中扮演“承上启下”重要作用，针对TSP过去已经有一定安全防护，但在新的物联网场景下，随着云、大数据等技术兴起，传统安全防护手段已经显得捉襟见肘。据调查显示，目前还有一些整车厂TSP是使用公有云技术、虚拟化技术等，放在云端服务器上。这样 TSP云平台同样面临虚拟化环境自身的可用性和核心数据的安全性问题。

例如在Pwn2Own黑客大赛上就有人使用内存越界访问漏洞，可以让虚拟机突破限制，拿到宿主机权限，并且控制同一宿主机下的其他虚拟机。同样，黑客可以通过虚拟机逃逸到宿主机，再从宿主机到达TSP平台的虚拟机中获取TSP的核心接口，密钥，证书等关键信息控制车辆。

除了需要注意TSP云端安全问题，还需要特别注意应对 OTA（Over-the-air）所可能引发的安全风险问题。 由于这一过程包含了车辆与外界数据传输的整个流程，因此可能存在的风险较大，更需要有一个高安全性的 TSP 后台来进行数据安全的保障。 OTA面临主要风险包括：

1. 升级过程中，篡改升级包控制系统，或者升级包被分析挖出漏洞；

2. 传输过程中，升级包被劫持，实施中间人攻击；

3. 生成过程中，云端服务器被攻击，OTA成为恶意软件源头，另外升级APP存在漏洞，被提权控制系统、root设备。

OTA安全升级，需要兼顾设备端和云端整体情况，一方面，对设备端合法性进行认证，支持失败回滚，如果升级失败了，系统能够自动回滚，以便能够恢复至升级前的状态。另一方面，对云端升级策略可控，加密防护，防止篡改。目前，市场上已经有OTA安全升级整体方案，这里笔者摘取了梆梆安全发布“物联网安全OTA升级平台”，如下图供大家参考。

梆梆安全物联网安全OTA升级平台

智能网联成为趋势，车联网安全问题该如何解决？

随着智能网联成为目前的主流趋势，更多部件在伴随着Can-Bus接入互联网，联网设备复杂化、威胁多样化等使得传统网络安全解决方案形同虚设。总体而言， 智能网联车安全防御需求主要包括三个方面：

1. 从内到外，车内部到外部生态环境安全

2. 从小到大，芯片安全到云安全，对应各点提供保护

3. 从始到终：从安全设计到安全运营

笔者认为， 车联网安全整体框架应该从安全服务、安全产品、应急响应、安全咨询、威胁情报、安全监控等不同维度规划方案，采用“端管云”安全架构，考虑整个生态的安全需求。

为什么说车联网安全将成为热门产业

用这对11美元的无线电即可盗走汽车

作者：叶林华

谈到MongoDB，想必大家都不陌生，这是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。

它是介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的，因此它得以快速发展。

但伴随快速发展，MongoDB的安全问题也慢慢凸显，其中最有名的就是近些年的“MongoDB赎金事件”，简单概括就是黑客侵入数据库，删除原始数据，只留下一个邮箱地址，让你将指定额度的比特币汇入这个邮箱，就会将你的数据复原。

可是真是这样吗？真的能复原吗？鉴于前段时间比特币的突然巨幅涨价，比特币病毒开始流行，我觉得这是一个测试的机会。于是我将一个存有测试数据集的 mongo 数据库裸奔在公网上，等待黑客攻击。在大概半个月后，数据库果然被黑客攻击。包括 admin 在内的所有数据库全部被删除，并留下了一个名为CONTACT ME的数据库，里面的具体内容如下：

当然我是没可能给他汇什么比特币了，而且这种大范围的攻击，真的会有什么备份吗？带着疑问，我查看了mongodb的操作日志，然后就发现如下结果（打阴影部分为目标数据库名）：

根本没有什么备份！就很很粗暴的drop掉了！因此，经过实践告诉大家万一发生这种状况，千万别犯傻汇款！

可是mongo作为一个分布式数据库的“世界名牌”，他真的这么不堪一击吗？它的安全性到底如何？

官方回答是：

简单概括为：

因为被盗数据库基本都有以下特点：

因此，如果项目使用的是mongo数据库（不考虑分片），那么在数据库部署时，一定要多花心思，多多查阅资料！如果这一步没踏稳，后面几本白搭。这里找一篇部署的相关文章，大家可以学习一下：

mongodb安全部署

最重要的是：存放数据库的服务器一定要从公网上下来！（此处重复三次以显示重要性）不然就好像一个花枝招展的大美女在流氓丛中走来走去，这是逼人犯罪！！

全文完！

Security company Proofpoint has discovered a new form of malware that can be purchased for just $7 and which has the potential of going undetected by antivirus software.

In an in-depth analysis of the malware, Proofpoint explains that Ovidiy Stealer is priced at 450-750 Rubles (~$7-13 USD), and the archive includes one build that comes as a precompiled executable.

The company says the file is crypted to “thwart analysis and detection,” and while the infection can be detected by some antivirus solutions, it’s flagged with a generic description that says little about its purpose.

Ovidiy Stealer typically spreads with the help of executable email attachments, compressed executable attachments, and links to keygen websites or hosting pages. In all cases, the included file is an executable that’s infected with the malware, so this is the first thing to look for if you want to remain protected.

The malware targets a number of popular software solutions, including Google Chrome, Opera browser, Filezilla, and Torch browser.

“We have observed versions 1.0.1 through 1.0.5 distributed in the wild. Ovidiy Stealer is written in .NET and most samples are packed with either .NET Reactor or Confuser. Upon execution the malware will remain in the directory in which it was installed, and where it will carry out tasks. Somewhat surprisingly, there is no persistence mechanism built into this malware, so on reboot it will cease to run, but the file will remain on the victim machine,” Proofpoint says.

Once it infects a machine, the malware uses SSL/TLS for communication with a command and control server, and looks for passwords in the applications mentioned above to transmit them to the hackers. It sends information such as processor ID, website with saved credentials, targeted applications, username and password, and registered Ovidiy Stealer username.

Several updated samples of the password stealer have already been spotted online, so updating security software and always checking twice before downloading files coming from untrusted sources are the two best ways to remain protected.

How to become a Professional Hacker? This is one of the most frequently asked queries we came across on a daily basis.

Do you also want to learn real-world hacking techniques but don’t know where to start? This week's THN deal is for you.

Today THN Deal Store has announced a new Super-Sized Ethical Hacking Bundle that let you get started your career in hacking and penetration testing regardless of your experience level.

The goal of this online training course is to help you master an ethical hacking and penetration testing methodology.

This 76 hours of the Super-Sized Ethical Hacking Bundle usually cost $1,080, but you can exclusively get this 9-in-1 online training course for just $43 (after 96% discount) at the THN Deals Store.

The Super-Sized Ethical Hacking Bundle will provide you access to the following nine online courses that would help you secure your network and become a certified pentester:

Hackers breaching a system or network of a company could end up in jail, but legally hacking and responsibly reporting it to the respective company could help you earn a good amount.

Even Google and Facebook paid out $6 Million and $5 Million respectively last year to hackers and bug hunters for discovering and reporting vulnerabilities in their web services as part of their bug bounty programs.

This course will help you explore types of vulnerabilities such as SQL, XSS, and CSRF injection and how you can use them to legally hack major brands like Facebook, Google, and PayPal and get paid.

If you are a beginner and you want to try your hands and make a career in the cyber world, then you need a good certification.

Beginning with basic security fundamentals, threats and vulnerabilities, this course will help you walk through more advanced topics, providing you with the knowledge you need to pass the globally-recognized CompTIA Security+ certification exam in one go.

Kali Linux is always one of the most modern ethical hacking tools and a favourite tool of hackers and cyber security professionals.

This course offers you with the knowledge about Kali Linux one of the popular operating systems that come with over 300 tools for penetration testing, forensics, hacking and reverse engineering and practising different types of attacks using its hacking capabilities.

Since every single day a company is getting hacked and having its website shut down or customers' data compromised, ethical hackers are in demand. If you want to take steps closer to a new career in ethical hacking, this course is for you.

This course will help you learn how to bypass different security layers, break into networks, compromise computers, crack passwords, crash systems, and compromise apps, emails, social media accounts, and then evaluate their security, and propose solutions.

Social engineering has been the primary cause of most high profile cyber-attacks in recent years. The impact of it on an organisation could result in economic loss, loss of Privacy, temporary or permanent Closure, loss of goodwill and Lawsuits and Arbitrations.

This course will help you learn how to hack into all major operating systems, including windows, macOS, and Linux, use social engineering to deliver Trojans to a target, and interact with the compromised systems, as well as protect your company from such attacks.

To protect your websites and infrastructure from getting hacked by hackers, you first need to think like a hacker.

This course will help you learn how to hack websites and applications by carrying out different cyber attacks against it as a black hat hacker but fix those holes that allowed you to hack them like a white hat.

This course will teach you, in real time, each stage of a penetration testing environment so that you can tweak and test your skills.

You will also learn how to use Rapid 7's Metasploit to exploit targets and run post exploitation techniques, utilise PowerShell with Empire, and evade anti-virus software from major vendors.

WiFi hacking is an all time hot topic among hackers as well as penetration testers.

This online Wi-Fi and Network Ethical Hacking course are structured in a way to provide you with an in-depth, hands-on, comprehensive information on Wi-Fi hacking and its security to protect it from any cyber attack.

By the end of this course, regardless of experience, you will be able to break all types of WiFi encryption methods and ready to start pursuing your career in network security.

Internet security has never been as important as it is today with more information than ever being handled digitally around the globe, government conducting mass surveillance, and hackers stealing sensitive data from the ill-equipped networks, websites, and PCs.

This course will walk you through basics of hacking to an understanding of the threat and vulnerability landscape, build a foundation to expand your security knowledge, and protect yourself and others.

All these impressive courses come in a single bundle ― The Super-Sized Ethical Hacking Bundle ― that costs you just $43 (after 96% discount on $1,080) at the THN Deals Store.

So, what you are waiting for? Sign up and grab the exclusive discounted deal NOW!

There are only two types of companies, it is commonly said: those that have been hacked, and those thatjust don't know ityet.

IBM, the computing giant, wants to get rid of both. The company said Monday that it has achieved a breakthrough in security technology that will allow every business from banks to retailers to travel-booking companies toencrypt their customer data on a massive scale ― turning most if not all of their digital information into gibberish that is illegible to thieves with its new mainframe.

"The last generation of mainframes did encryption very well and very fast, but not in bulk," said Ross Mauri, general manager ofIBM's mainframe business, in an interview. Mauri estimates that only 4 percent of data stolen since 2013 was ever encrypted.

As the number of data breaches affecting U.S. entities steadily grows ― resulting in theleakage every year ofmillions ofpeople'spersonal information ― IBM argues that universal encryption could be the answer to what has become an epidemic of hacking.

The key, according toIBM officials, is an update to the computer chipsdriving the powerful mainframe serversthat house corporate or institutional information and process millions of transactions a day worldwide, from ATM withdrawals to credit card payments to flight reservations.

Cryptography,the scienceofturning legibleinformation into coded gobbledygook, is already commonly used among certain email providers and storage services. But because of the enormous computational power needed to quickly encrypt and decrypt information as it passes from one entity to another, many businesses use encryption only selectively if at all. A December report by the security firm Sophos found that while 3 out of 4 organizations routinely encrypt customer data or billing information, far more do not encrypt their intellectual property or HR records. Sixty percent of organizations also leave work files created by employees unencrypted, the study found.

All of these represent opportunities for digital criminals, said Austin Carson, executive director of the technology think tank TechFreedom.

"One of the big problems is that way too much information is stored in clear text," he said. But universal or pervasive encryption, he added, could help ensure that even if hackers successfully broke into a company's network, any information they found there would be impossible to decode. "That would be a huge step forward just in terms of protecting a much larger body of information," Carson said.

But the same technology could frustrate law enforcement, which in recent years has waged a furious battle with Silicon Valley over encryption technology and how extensively it should be used. In ahigh-profile dispute last year with Apple, the Justice Department argued that the companyshould help officials break into an encrypted iPhone used by one of the San Bernardino shooters. Apple refused, saying that developing tools to break encryption would undermine its customers' security, particularly if the tools were to fall into the wrong hands. Apple's concern is not theoretical: This year's WannaCry ransomware attack , which held thousands of PCs hostage, has been linked to a windows vulnerability that was secretly discovered and exploited by the National Security Agency long before it leaked into the wild.

In its push to expand universal encryption, IBM is taking Apple's side in the debate.

"IBM fully supports the need for governments to protect their citizens from evolving threats," the company said in a statement on the issue. "Weakening encryption technology, however, is not the answer. Encryption is simply too prevalent and necessary in modern society."

For IBM, encryption is also a massive business opportunity. Businesses spend over $1 trillion a year making sure that their security meets government standards, according to company officials. One aspect of IBM's new approach to mainframes is the concept of automating that compliance work, using artificial intelligence to check that what's being protected passes regulatory muster in various industries. In doing so, IBM expects to turn a chunk of that annual compliance spending into revenue for itself. And that's on top of the roughly $500,000 it expects to charge new customers for using IBM's newest mainframe technology. Most businesses, said Mauri, will be upgrading from an existing setup so the cost for those clients could be less.

For some small businesses, that may still be too expensive. Still, the history of technology suggests that with time, those prices may fall.

"This is the turning point. The idea here is that you can start to encrypt all data," saidMauri. But even as IBM makes encrypting everything a priority, security experts like Mauri already have their eyes set on the next holy grail: The ability to securely edit and manipulate encrypted files without ever having to decrypt them in the first place.

Hackers tried to access South Carolina 's voter registration system almost 150,000 times on Election Day alone, a new report from the state's Election Commission has revealed.

The report plays into a larger pattern of attempted hacking in the 2016 election, in which the Department of Homeland Security (DHS) says more than 20 US states were targeted. Intelligence officials believe much of the election meddling was carried out by Russian hackers.

The news comes as President Donald Trump's eldest son has been called to testify before a Senate committee on his meeting with a Kremlin-connected lawyer during the 2016 campaign.

In South Carolina, state officials met with the FBI and state law enforcement about the attempted hacking as early as August 2016, according to The Wall Street Journal . In September, the state requested help from the Department of Homeland Security (DHS), and hired its own private cybersecurity firm.

That month, the DHS located 55 different vulnerabilities on devices used by the Election Commission vulnerabilities that could be used to access the voter registration database and the Commission's public-facing website.

The private security firm took more than three weeks to patch the majority of these vulnerabilities, DHS reports reveal. By Election Day, however, all but one vulnerability had been fixed.

According to the Election Commission's report, unidentified “malicious actors” tried 149,832 different times to find that vulnerability on 8 November.

South Carolina officials found no evidence that the voter rolls were actually breached. They believe the attacks were carried out by automated bots, rather than thousands of individual actors.

Still, Chris Whitmire, the State Election Commission’s director of public information and training, said this pattern marked a major departure from years prior.

53% of Americans say it’s realistic that Russian hacking may disrupt future U.S. elections, @bpolitics poll finds https://t.co/09LMDHjTlW pic.twitter.com/oVr94tLAX3

And South Carolina was not alone, officials from the Department of Homeland Security testified last month.

“As of right now, we have evidence of election-related systems in 21 states that were targeted,” Jeanette Manfra, the acting deputy undersecretary for cybersecurity and communications at DHS, told the Senate Intelligence Committee.

Sources told Bloomberg that number could actually be much higher : As many as 39 states were targeted by an attack on poll-worker software, the sources allege. The attack reportedly breached dozens of voter databases, and at least one campaign finance database.

In a Senate testimony last month, former FBI Director James Comey warned that the threat of Russian hacking was far from over.

When trying to protect your business from the threat of having systems hacked into and valuable data compromised or stolen , unprotected mobile devices should cause particular concern. It is vital small business mobile users adequately protect their mobile devices from hackers and cyber criminals.

A recent case of a detrimental hack, which was helped along by unprotected mobile devices is the WannaCry hack. WannaCry impacted more than 200,000 computers around the world, most heavily infecting windows 7 users.

Small Business Trends spoke to Sara Lahav, current CEO and former VP of Customer Relations at SysAid Technologies , an ITSM solution that optimizes IT performance about how to begin setting up protections for your mobile devices.

Here are 10 things Lahav says a small business can do to protect their mobile devices from the next big hacking attempt.

Install any new version that is introduced, advises Lahav. This doesn’t necessarily happen automatically, so if you receive a notification that a new version is available, make sure to go ahead and update.

“Many people tend to ignore these prompts for weeks, or even months, but these updates often have the latest fixes and updates that deal with new security risks, so it’s very important to pay attention to when they’re available and download them as soon as possible,” says Lahav.

Lahav warns that, again, app updates don’t always happen automatically. Though such updates are important, since some of the updates include fixes or updates to security vulnerabilities.

Lahav recommends only installing apps on your phone only if they come from a trusted source.

“Be especially careful of free downloads you receive or find online,” she adds.

Lahav also warns that as it’s far more difficult for hackers to connect to a device when these pathways are closed, it is important small businesses turn off the WiFi and Bluetooth when the connections on their mobile devices aren’t being actively used.

“Delete text messages from unknown senders that ask for your information, and avoid clicking links within messages”, says Lahav, adding:

“Even if you receive a message from a friend, don’t click on suspicious links”.

An example of this would be a receiving a message on a mobile device that reads:

“Hey, here’s a great opportunity to fill a quick survey and win a $100 gift card.”

Often, warns Lahav, this is an indication your friend’s phone was hacked, and the hacker is using this to attack your friend’s contact list.

Rather than using something obvious like 123456, try randomly generating a password for something truly unique and harder to figure out, advises Lahav.

Remote access features will help you locate the phone if it’s stolen and also erase it remotely so the thief can’t access your information, Lehav says.

Lahav also advises setting up an auto daily backup that’s encrypted so if your phone gets stolen, you still have all your data.

Auto logins are convenient, but they are a security breach risk.

“Instead of clicking “save password,” taking the longer step to type in your password every time can help secure your device,” Lahav told Small Business Trends.

Lavah also advises small business mobile users to use secure WiFi only, stating:

“Open WiFi (requires no password and anyone can use it) is one of hackers’ favorite targets.”

Lahav also shared some tell-tale signs that your mobile device may have been hacked or put at risk. Such signs include faster battery drainage, apps opening by themselves, and unusual data charges on you cell phone bill.

A hacker has allegedly just stolen around $7.4 million dollars worth ofether, the cryptocurrency that underpins the app platform ethereum, by tricking victims into sending money to the wrong address during an Initial Coin Offering, or ICO. This is according to a company called Coindash that says its investors were sending their funds to a hacker .

On Monday, Coindash, which offers a trading platform for ether, was slated to launch its Initial Coin Offering. These are essentially crowdfunding drives that allow investors to own a stake in the app by buying digital assets called tokens. Initial Coin Offerings are an incredibly popular method of funding an app on ethereum, and some ICOs have raked in millions of dollars within minutes of going live. Even the silliest apps have been able to raise thousands of dollars in token investments during recent ICOs.

Coindash's ICO, like many others, launched simply by posting a string of text representing an ethereum address for investors to send money to on the app's website. However, mere minutes into what was supposed to be another successful ICO, Coindash warned that its website had been hacked and asked people not to send ethereum to the posted address.

It's still unclear exactly what happened, but it seems like the hack was incredibly simple: The hacker allegedly took control of the Coindash official website and changed the text on the site, publishing their own ether wallet address instead of Coindash's. When people went to "invest" in Coindash, they actually sent their ether to the hacker, not the company.

Even though Coindash noticed the hack and warned investors quickly―just three minutes after the ICO launch―the damage was done.

A screenshot of the official Coindash channel on the chat app Slack.

"WEBSITE HACKED," Emmanuel Gimenez, an employee of Coindash, wrote in the company's official Slack account, which Motherboard obtained access to.

"GUYS WEBSITE IS HACKED! Don't send your ETH!!!," the Coindash account on the popular Bitcointalk forum wrote at roughly 9:06 AM EDT, six minutes after the ICO launch.

"The Token Sale is done, do not send any ETH to any address," Coindash announced on Twitter on Monday morning.

At the time of writing, would-be investors have sent 43,438.45 ether (around $7.4 million USD at the current exchange rate) to the Coindash address t h a tt h ec o m p a n ys a y s b e l o n g s t oah a c k e r . Etherscan, a web tool for tracking ethereum transactions, is warning that "there are reports that the Coindash Crowdsale address has been compromised."

"All we know now is that an outside attacker changed the address right after the sale started," Ram Avissar, the marketing director of Coindash, told Motherboard via Slack. "We have halted the Token Sale contract and trying to understand the best way to compensate those who were affected."

In a statement published in the company's Slack channel, Coindash said that it "suffered a hacking attack" where an "unknown perpetrator" or hacker "maliciously placed" a fraudulent ethereum address on its website.

A screenshot of the official Coindash channel on the chat app Slack.

In response, some users on social media are crying foul. On Reddit , for example, users are speculating that the hack was really an "inside job" that allowed Coindash's creators to run off with millions of dollars while blaming an anonymous hacker who will likely never be found. There's no proof of any foul play on Coindash's part, however, and Occam's Razor may favour Coindash's own explanation: A hacker simply took advantage of the weakest security link in the ICO. That is, the Coindash website itself.

Read more: An Idiot's Guide to Building an Ethereum Mining Rig

Whoever is the culprit, investors are angry at Coindash. "Oh come on i have already sent my eth," wrote a user of Bitcointalk. "I want my money back. It's your website and it's your fault that not do everything for the security." Another person who claimed to have invested wrote on the Bitcointalk forum: "Too late, I already invested!!!! Already 31k ETH send to the address!!! You guys better get my money back." Motherboard could not confirm that these people had actually invested, but Etherscan confirms that large amounts of ether was transferred to the address.

The alleged hack is one of the biggest in ethereum to date. After a token-based ethereum investment fund called the DAO lost more than $50 million in a hack last year, ethereum's developers made the difficult decision to split the currency in two in order to restore the lost funds. However, that move was seen by many asunnecessarily risky (and spawned a rival cryptocurrency ), and is unlikely to happen again.

In the official Coindash Slack channel, the app's developers wrote that all investors, even if they sent funds to the phony address, will receive tokens.

"All CoinDash investors will get their tokens," the developers wrote in Slack. "We are working to solve the situation."

Get six of our favorite Motherboard stories every day by signing up for our newsletter.

A UK cybersecurity authority has issued a warning about hackers targeting the country's energy sector, and says that some industrial control system organizations are likely to have been successfully compromised, according to a copy of the document obtained by Motherboard.

The warning comes at the same time as an anonymously-sourced report from The Times stating that suspected Russian military hackers sent emails designed to trick engineers at an Irish energy organization. At the end of June, the US government warned businesses of hackers targeting nuclear and energy firms as well.

The document was produced by the National Cyber Security Centre (NCSC), part of the UK's intelligence agency GCHQ.

"The NCSC is aware of connections from multiple UK IP addresses to infrastructure associated with advanced state-sponsored hostile threat actors, who are known to target the energy and manufacturing sectors," a section of the warning reads. An industry source provided the report to Motherboard. Motherboard granted the source anonymity to provide information on sensitive investigations.

NCSC believes that due to the use of wide-spread targeting by the attacker, a number of Industrial Control System engineering and services organisations are likely to have been compromised

The activity is also targeting other sectors, with a focus on engineering, industrial control, and water sector companies. This recent wave of activity started around June 8, according to the report.

The document adds that it is likely hackers have managed to break into at least some of the targets' systems.

"NCSC believes that due to the use of wide-spread targeting by the attacker, a number of Industrial Control System engineering and services organisations are likely to have been compromised," another section of the warning reads. The report says that these organizations are part of the supply chain for UK critical national infrastructure, and some are likely to have remote access to critical systems.

The NCSC did not respond to multiple requests for comment emailed over the weekend and on Monday. Motherboard confirmed the authenticity of the document with two other sources who also requested anonymity.

The motivation behind these hacking attempts is unclear. As the report mentions, state-sponsored hackers have previously targeted the energy sector for espionage, or for preparation of conflict. The NCSC report obtained by Motherboard does not mention Russia or any of its intelligence agencies by name.

Specifically with the intrusions reported in the NCSC document, the infrastructure in organizations is connecting to a set of malicious IP addresses using SMB, a data transfer protocol, as well as HTTP. The report suggests that the hackers may be trying to capture victims' passwords, and provides a set of mitigations for victims, such as turning on multi-factor authentication for industrial systems.

The NCSC report points to another, separate, non-public report issued by the FBI and US Department of Homeland Security to US businesses last month, which said the same hackers were using spear phishing emails to deliver malware-laden Word documents. The hackers then stole their victims' credentials and attempted to map out their network drives, according to the US report also obtained by Motherboard. The NCSC document does not explicitly say whether spear phishing was used against UK targets, though The Times report says Russian hackers sent emails designed to trick staff.

These UK intrusions appear to be part of a broader campaign across multiple countries and continents.

"Previous Russian intrusions focused on critical infrastructure have targeted the US and the West simultaneously. We have found evidence that this actor has targeted Turkey and Ireland and suspect that their activity is even broader," said John Hultquist, an analyst at cybersecurity firm FireEye who has not seen the NCSC report but is aware of the hacking campaign, in a Twitter direct message to Motherboard.

According to a report in CyberScoop , 18 US-based energy companies received phishing emails in the recent wave.

Robert M. Lee, founder and chief executive of Dragos, a company that focuses on the security of industrial control systems, told Motherboard in a Twitter message "Targeted intrusions into civilian infrastructure is only increasing and only becoming more worrisome." Lee has also not reviewed the NCSC report.

However, panic over these incidents would likely be premature. Lee pointed to a 2014 hacking campaign that targeted US and European infrastructure, but with specially tailored malware, rather than the other techniques in this case.

"Both are concerning but we are not to the point where tailored activity by the adversary is setting off alarm bells. At this point we must accept the threat is real but there is no real threat to safety," Lee added.

直播平台6000元雇佣黑客攻击“对手”

浙江警方破获网络DDOS攻击案；网上黑客自编软件发展代理商销售；群里发红包就能攻击网站

来源：新京报

“假如饭店A能容纳100位客人，与其存在竞争关系的饭店B老板某天雇佣200个人去饭店A，干坐着又不消费，那肯定影响饭店A的正常经营。”5月11日，温州市苍南县民警这样解释网络DDOS攻击。

DDOS攻击，全称分布式拒绝服务攻击，其最基本的方式就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应，达到类似于上文中饭店A无法正常营业的效果。

近日，温州市苍南县警方成功破获了一起利用黑客软件进行DDOS攻击的犯罪案件，摧毁了一条由国外黑客攻击源网站代付商、攻击程序制作者、维护者、程序代理商和网上需求商等组成的黑色产业链。

目前，8名犯罪嫌疑人被采取刑事强制措施，分别涉嫌破坏计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪，传播淫秽物品牟利罪等，该案还在进一步侦查中。

湖南人杨琛（化名）初中辍学，随父母去广东打工。他白天在工厂的流水线上制作箱包皮具，工作之余喜欢上网闲逛。2015年底，杨琛接触到一个网络安全技术论坛，网友在上面分享的网络技术教程吸引了他。

杨琛开始自学，并按照教程的指引，进入境外某网站，发现可以发起“傻瓜式”的DDOS网络攻击。5月11日，杨琛告诉记者，登录该网站后，需要付费开通会员，之后只需输入目标网站的ip地址，选择攻击类型和攻击秒数，就可以发起DDOS攻击。

杨琛回忆，在该网站购买会员价格较低，普通会员包月只需几十元人民币，高级会员花费在100-150元之间，更高级的也只需七八百元。唯一麻烦的是，需要采用比特币支付，他只好请提供结算服务的代付商李某帮忙。

论坛里有教程讲解，可以编写网络攻击软件，利用该境外网站的流量发起网络攻击，杨琛打起了歪主意。他没有自行编写软件的能力，便雇佣了一位网友王天（化名）帮助编写。

拿到编好的软件后，杨琛迅速“开拓市场”，他创建了一个QQ群，把以前玩游戏、交流编程时认识的朋友都拉进来，并号召他们继续拉人，而杨琛则每天在群里发布该网络攻击软件的销售信息。除了自行销售，杨琛还在群内发展了10余名总代理和50余名分代理。被警方查获时，群内已超过700人。

杨琛告诉记者，利用这种软件，可以很轻易地“击垮”一家小网站。遭到攻击后，这些小网站就会出现卡堵现象，甚至无法打开。

杨琛刚满20岁，而受雇帮他编写攻击软件的王天只有17岁。办案民警表示，当前网络犯罪低龄化、低学历化的趋势很明显。20岁左右的人对网络安全技术很感兴趣，喜欢自学，而网上这方面的学习资料又非常多。这位民警告诉记者，自己以往处理此类案件时，犯罪分子“基本都是30岁以下的”。

5月11日，记者在苍南县看守所见到了王天。他告诉记者，自己从小因为生病的缘故，总是一个人玩。开始接触网络后，遇到了志同道合的网友，先是一起打网络游戏，然后一起研究网络技术。

王天说，自己喜欢软件，他感觉到，代码是死的，但软件是活的，他喜欢创造软件过程中的未知性。王天每天在各大技术论坛中学习网络技术知识，现实生活中也报考了一家软件学校。

去年的一天，杨琛在软件开发QQ群中找到王天，两人一拍即合。由杨琛支付500元，王天负责将境外网站的网页端编写成一个能够发起DDOS攻击的程序。王天只花了一晚上的时间就写好了。

利用这个软件，就像在境外网站的网页上一样，使用者只需输入目标网站的ip地址，选择攻击时间，就可以发起一次DDOS攻击。

在流水线上重复性劳作，杨琛每个月只能收入3000多元，然而通过销售DDOS攻击软件，杨琛却能轻松获利逾万元。

不仅如此，除了销售软件，杨琛还“接单”，替人发起DDOS网络攻击。

去年9月，杨琛受雇对一家金融直播平台发起攻击，雇佣他的，则是另一家金融直播平台的老板王世楠（化名）。王世楠称，从去年7月份开始，自家直播平台不断遭到网络攻击，出现了网站卡顿、延迟等问题，更换服务器后解决了这个问题。可一个月以后，网站再遭攻击，点击网站链接，经常会跳转到另一家网络直播平台上去。

出于报复的心理，王世楠同意了下属提出的“反攻”建议。去年9月份，他们雇佣了杨琛，对一家存在竞争关系的金融直播平台进行攻击，造成对方平台出现无法登录、网站卡顿等情况。

王世楠说，攻击持续了10多天，每次都会选择夜间，因为晚上直播间在线人数多，造成的影响比较明显。

杨琛告诉记者，自己最初“也觉得可能有点问题”，但对方开出的价码太诱人了。攻击了10多次，杨琛共拿到了6000多元人民币。

去年8月，温州市苍南县网安部门接到线索，抓获了苍南县居民唐某。唐某是杨琛的代理商之一，顺藤摸瓜，警方将杨琛抓获，继而抓获制作DDOS攻击程序的王天、为境外黑客攻击源网站提供结算服务的代付商李某等犯罪嫌疑人，后王世楠自首。

办案民警称，本起案件并非孤例，当前网络安全形势很严峻，这种网络攻击在中小网站之间很普遍。黑客组织就像网络黑社会，传统商业社会中的敲诈勒索等行为，在网上演变成通过网络攻击进行的非法商业竞争。例如，传统盗窃是进入公民家中偷东西，而网络攻击则可以直接进入网上银行进行盗窃。传统敲诈则演变成通过攻击你的网站，让网站无法访问进而敲诈钱财。

王天也证实，“这种事情在我们这个圈子很普遍”。他加了很多网络技术的QQ群，每个群里都有几百人，并且每个群里都有人提供攻击网站的服务，有人甚至提出一块钱就能帮忙攻击一天。

王天说，有人有需求了，就去群里发个红包，领了红包的人就帮忙发起攻击。一些小网站很容易被攻陷，大网站就会难一些，费用也更高。此外，办案民警也表示，之所以DDOS攻击屡打不绝，和其攻击成本相对低廉有关。“攻击成本和防护成本相差得非常悬殊。”

公安部表示，将进一步加大侦查打击力度，对相关犯罪进行全链条、各环节严厉打击，进一步铲除相关利益链条。公安机关同时提醒，公众在日常使用计算机的同时，也要加强信息防护和系统防护，不让不法分子有可乘之机。

新京报记者王婧yN浙江温州报道

Every time you search for something on Google, hail an Uber or log into a bank account, your personal data likely flow behind the scenes through a series of separate, freestanding packages of software known as containers. Although invisible to the user, this method has become the dominant way to code apps today. Programmers like it because it allows them to change one feature without breaking their colleagues’ work, and it helps software run more efficiently, saving companies money.

But the process is also giving hackers lots of new ways to steal people’s information. Instead of a user’s data going directly to one place, they can jump between dozens of containers for a single action. Hackers only need to gain access to one. Because of the way most containers are designed, they’re black boxes on a network. Administrators may have no idea what’s happening inside of them.

This threat went largely unnoticed for a while as containers proliferated throughout the software industry. In 2014, it caught the attention of Sameer Bhalotra, the former senior cybersecurity director for President Barack Obama and an ex-Google employee. Bhalotra created StackRox to address new techniques that exploit container technology.

“Enterprises are flying blind,” said Bhalotra, speaking publicly about his startup for the first time. “They often have no idea if a container went down by a design―it was no longer needed as user activity decreased―or due to an IT configuration error or a human error or an attacker.”

StackRox is backed by a Silicon Valley A-list of chief security officers, including Uber Technologies Inc.’s Joe Sullivan, Facebook Inc.’s Alex Stamos and SAP SE’s Justin Somaini. StackRox is in the process of completing a new funding round, according to people familiar with the matter.

A quarter of all large companies now use containers, and corporate spending on the technology is projected to double over the next two years to $2 billion, according to 451 Research. Many companies rely on software from Docker Inc., a startup valued by investors at $1 billion. Jay Lyman, an analyst at the research firm, said there’s a “gold-rush mentality” to adopt the tool without a full appreciation of the risks. “Security is the No. 1 challenge,” he said.

Docker and StackRox have become close partners, but Bhalotra wasn’t the only one to notice an opportunity. Aqua Security Software Ltd., an Israeli firm that secures containers, has attracted funding from local cybersecurity billionaire Shlomo Kramer and Microsoft Ventures. San Francisco-based Twistlock has raised some $30 million from Dell Inc. and other investors.

Uber is a devotee of the container, as is Alphabet Inc.’s Google, which has said every service it offers today runs on the technology. Google uses more than 2 billion containers a week. But these tech giants have highly sophisticated security operations to deal with potential threats. Sullivan, the Uber security chief, said the company created its own software to detect container attacks. “Our security engineering team must be able to blend off-the-shelf security products with a great deal of custom work,” he said.

City National Bank first considered adopting containers last year, but none of its existing security systems could track them. “It’s hard to know if a new container that shows up is really supposed to be there,” said Gene Yoo, head of information security at City National. Then the Los Angeles bank found StackRox and Docker. It’s now moving “aggressively” to containers for its website and payment systems, which is reducing costs. Docker said its technology addresses key security threats that faced apps using earlier approaches without containers.

One feature of containers that hackers are actively exploiting is that they’reephemeral, Bhalotra said. In attacks his company has studied, containers use a kind of suicide switch that controls when they are shut down, and hackers who get inside often install malicious software to flip those switches. The code allows them to erase all evidence showing they were there. “Enterprises with advanced IT infrastructures are moving to containers, but they aren’t sure how to address security,” Stamos, the Facebook security chief and StackRox backer, wrote in an e-mail.

Hackers are eager to take advantage, as StackRox found this spring when it began monitoring a major financial services firm. (Bhalotra asked Bloomberg not to identify certain details about the project to protect the company’s work.) StackRox said it detected more than 500 threats aimed at the finance firm’s container software during a single month.

热点概要：Black Hat USA 2017军火库、看我如何黑掉PayPal的服务器，从任意文件上传到远程代码执行、通过Excel.Application RegisterXLL()方法执行DLL、Cisco WebEx Browser Extension RCE漏洞(CVE-2017-6753)分析、常见恶意软件分析工具介绍、从DNS和sinkhole视角看WannaCry蠕虫、英国牙医（NSA泄露漏洞利用工具之一）Exploit Analysis

资讯类：

报警：尼日利亚钓鱼正威胁全球工业企业

http://mp.weixin.qq.com/s/m5QMzsGYVrU_bn1WmCj2HQ

看我如何黑掉PayPal的服务器，从任意文件上传到远程代码执行

http://blog.pentestbegins.com/2017/07/21/hacking-into-paypal-server-remote-code-execution-2017/

深入了解奇偶校验bug

http://hackingdistributed.com/2017/07/22/deep-dive-parity-bug/

通过Excel.Application RegisterXLL()方法执行DLL

https://gist.github.com/ryhanson/227229866af52e2d963cf941af135a52

Fast-key-erasure随机数生成器

http://blog.cr.yp.to/20170723-random.html

Cisco WebEx Browser Extension RCE漏洞(CVE-2017-6753)分析

http://mp.weixin.qq.com/s/v4oxyVqTA6sgtD3dHkKG7Q

英国牙医（NSA泄露漏洞利用工具之一）Exploit Analysis

https://blogs.technet.microsoft.com/srd/2017/07/20/englishmansdentist-exploit-analysis/

浅析OGNL表达式求值（S2-003/005/009跟踪调试记录）

http://mp.weixin.qq.com/s/VoNbuNE-SkAdMzngRv121Q

从DNS和sinkhole视角看WannaCry蠕虫

http://blog.netlab.360.com/wannacry-from-dns-and-sinkhole-view/

DG在windows 10 S：执行任意代码

https://tyranidslair.blogspot.co.uk/2017/07/dg-on-windows-10-s-executing-arbitrary.html

Inject All the Things - DLL injection

http://blog.deniable.org/blog/2017/07/16/inject-all-the-things/

fuzz monkey – infrastructure fuzzer/fuzzing tools.

http://seclist.us/fuzz-monkey-infrastructure-fuzzerfuzzing-tools.html

Patching SambaCry by exploiting it

https://astr0baby.wordpress.com/2017/07/22/patching-sambacry-by-exploiting-it/

常见恶意软件分析工具介绍

http://www.hackingtutorials.org/malware-analysis-tutorials/basic-malware-analysis-tools/

防止深度包检测的方法

http://blog.codingnow.com/2017/07/antidpi.html

Kayak：CAN bus分析工具

https://n0where.net/can-bus-analysis-tool-kayak/

hacking移动电话嵌入式系统

https://recon.cx/2017/montreal/resources/slides/RECON-MTL-2017-Hacking_Cell_Phone_Embedded_Systems.pdf

NXcrypt：基于python的后门框架

https://n0where.net/python-backdoor-framework-nxcrypt/

Websploit Wifi Jammer

http://www.hackingtutorials.org/metasploit-tutorials/websploit-wifi-jammer/

开发安全的 API 所需要核对的清单

https://github.com/shieldfy/API-Security-Checklist/blob/master/README-zh.md

NagaScan：针对Web应用的分布式被动扫描器

http://www.kitploit.com/2017/07/nagascan-nagascan-is-distributed.html

https://github.com/brianwrf/NagaScan

Black Hat USA 2017军火库

https://medium.com/hack-with-github/black-hat-arsenal-usa-2017-3fb5bd9b5cf2

译者：myswsun

预估稿费：140RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

0x00前言

Valve的Source SDK包含了一个缓冲区溢出漏洞，其导致在客户端和服务器上能执行任意代码。这个漏洞在射杀玩家时触发，其能导致加载特定的布娃娃模型(ragdoll model)。多个Source游戏在2017年6月更新修复了这个漏洞。包括CS:GO,TF2,Hl2:DM,Portal 2,L4D2。我们感谢Valve非常负责，并迅速处理了漏洞。Valve一天内就修复并发布了更新。

0x01缺少边界检查

函数nexttoken用于令牌化一个字符串。我们可以注意到， 只要找不到NULL字符或者分隔符sep，就会导致str这个buffer被复制到token这个buffer中。根本就没有边界检查。

出处链接：

https://github.com/ValveSoftware/source-sdk-2013/blob/f56bb35301836e56582a575a75864392a0177875/mp/src/game/client/cdll_util.cpp#L744-L747

0x02漏洞点

当处理布娃娃模型数据时（如一个玩家被射杀），类CRagdollCollisionRulesPars的方法ParseKeyValue会被调用。这个方法调用nexttoken来令牌化那些待进一步处理的规则。通过构造一个超过256字符的collisionpair规则，缓冲区szToken就会溢出。因szToken存储在栈上，所以ParseKeyValue的返回地址将被覆盖。

出处链接：

https://github.com/ValveSoftware/source-sdk-2013/blob/f56bb35301836e56582a575a75864392a0177875/mp/src/game/shared/ragdoll_shared.cpp#L92-L95

0x03绕过缓解措施

ASLR（Address Space Layout Randomization, 地址空间布局配置随机加载）是针对内存破环漏洞的强有力的缓解措施，它会将可执行文件加载到内存中的地址随机化。这个功能是可选的，并且一个进程内所有加载到内存的可执行文件必须开启这个功能才能使其生效。

动态库steamclient.dll没有开启ASLR。这意味着steamclient.dll加载到内存中的地址是可预测的。这使得能方便地定位并使用可执行文件内存中的指令。

0x04收集ROP gadget

ROP(Return Oriented Programming)是一种允许通过重用程序中已存在的指令来创建shellcode的技术。简言之，你能找到一系列retn指令结尾的指令。你把ROP链的第一条指令的地址插入到栈上，当函数返回地址被pop到指令寄存器时，指令就会被执行。因为x86和x64指令不需要内存对齐，任何地址都能作为指令，于是我们可以把指令指针指向一条指令的中间，这样就可以使用更多的指令。

Immunity Debugger插件Mona提供了查找gadget的工具。但是这个插件无法找到所有有用的gadget，如rep movs。

0x05启动cmd.exe

由于payload的处理方式原因，NULL字符不能使用，并且大写字符需要转化为小写字符。这意味着我们的ROP gadget地址资源有限，我们的payload中其他数据也是。为了绕过这个，可以用一个gadget链来引导shellcode，用来定位内存中未修改的原始缓冲区。然后将未修改的payload通过rep movs gadget复制回栈。

Steamclient.dll导入了LoadLibraryA和GetProcAddressA。这使得我们能加载任意DLL到内存中，并且得到其他的导出函数。我们导入shell32.dll以获得ShellExecuteA函数，这个函数能启动其他程序。

为了第三方有时间更新游戏，PoC会在30天后发布。Source的开发者可以使用下面的补丁。

0x06 提供payload

0x07修复建议

为了防止缓冲区溢出发生，不要在缓冲区中存储它所容纳不了的过多的数据。nexttoken函数应该有一个token长度，来作为参数，这个参数用来进行边界检查。Source游戏的开发者可以使用下面的补丁。为了缓解内存破环漏洞，就要为所有的模块开启ASLR。在构建过程中自动检查确保所有的模块开启了ASLR。可以使用chromium团队开发的checkbins.py工具来完成。另外，Source游戏应该被沙箱化以限制访问资源，并阻止新进程的启动。比如，当利用web浏览器的内存破环漏洞时经常会使用内核利用，因为用户层的浏览器进程是受限的，这就可以作为一个很好的沙箱化的例子。更多信息参考chromium的沙箱实现。

下载补丁：

https://oneupsecuritycdn-8266.kxcdn.com/static/blog/hl2-rce/nexttoken.patch

0x08总结

视频游戏很容易成为漏洞利用的目标，这不仅是从技术上来说，从逻辑上来说也是这样。 因为视频游戏通常出现在员工的家中或者工作环境中，漏洞利用就可以能通过这种场景，进入到公司或者家中的私有网络。另外，在流行的视频游戏中发现一个远程代码执行漏洞可以用来创建僵尸网络或者传播勒索软件。

至于缓解措施嘛，游戏其实就不该安装在用于工作的设备中。游戏机器应该移到不受信的网络中，并且工作设备不应该连接到这个不受信的网络。

对那些Source的玩家而言，需要禁用第三方内容的下载以减少攻击面。通过命令cl_allowdownload 0 和 cl_downloadfilter all就可以实现禁用第三方内容下载。

另外，因为在Source SDK中发现了漏洞，我们可以推测，在其他的第三方模块很可能也是有漏洞的。但是如果我们对所有模块启用ASLR，这样就需要有内存泄漏漏洞才能利用了，从而加大了漏洞利用的难度。

译者：shan66

预估稿费：190RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

上述恶意软件家族是由MalwarHunterTeam于2015年首次发现的，最近这种势头正在呈现蔓延之势。

分析的样本

2a07346045558f49cad9da0d249963f1 - 注入器（JS）

049af19db6ddd998ac94be3147050217 - 可执行文件（C＃）

9c9f9b127becf7667df4ff9726420ccb - 加载器

85d35dd33f898a1f03ffb3b2ec111132 - 最终有效载荷

下载的插件：

e907ebeda7d6fd7f0017a6fb048c4d23 – remotedesktop.dll

d628d2a9726b777961f2d1346f988767 – processmanager.dll

行为分析

JS文件首先将包含的可执行文件放入％TEMP％文件夹中，然后运行它。而可执行文件则利用一个随机的文件名完成自动安装，并在％APPDATA％中创建自己的文件夹。代码的持久性是通过注册表run键来实现的。该恶意软件的另一个副本将被放入启动文件夹中：

在运行期间，可执行文件会在其安装文件夹内创建.tmp文件。这些文件的内容没有进行加密，如果我们仔细观察的话，就会发现它实际上用于记录按键和正在运行的应用程序的相关信息：

我们注意到的另一个有趣的事情是，该恶意软件会下载一些合法的应用程序：Rar.exe、ffmpeg.exe以及相关DLL：DShowNet.dll，DirectX.Capture.dll

此外，我们发现该恶意软件在运行时将关闭并删除某些应用程序。在测试过程中，它从被攻击的机器中删除了ProcessExplorer和baretail。

网络通信

该恶意软件通过TCP的98端口与CnC服务器进行通信。

如果服务器向客户端发送一个命令“idjamel”，那么客户机就会返回收集到的受害机器的基本信息，例如machinename / username、安装的操作系统以及正在运行的进程的列表。之后，服务器会向客户端发送相应的配置信息，即目标银行列表。

该Bot将配置信息保存在注册表中：

之后，CnC发送一组Base64编码的PE文件。每个文件的内容都可以通过文件名的前缀来进行识别：非恶意的二进制文件由关键字“djamelreference”标识，恶意插件则由“djamelplugin”标识。

下载DShowNET.dll：

下载插件 – remotedesktop.dll (e907ebeda7d6fd7f0017a6fb048c4d23):

ffmpeg应用程序从下面的URL地址下载：

打开地址我们可以看到一些页面，这可能是攻击者所控制的。 Facebook的按钮指向“AnonymousBr4zil”帐户：

这个bot会向服务器报告正在运行的应用程序，即通过标题栏发送Base64编码的文本：

例如：

解码后的内容：

解开该恶意软件的神秘面纱

脱壳

该样本是利用CloudProtector加壳的，这一点要特别感谢@MalwareHunterTeam的提示。它使用的加壳软件，与我们之前分析的样本所使用的加壳软件完全相同（之前的分析文字请访问这里）。就像在之前所了解的一样，它使用自定义算法和存放在配置中的密钥来解密有效负载。然后，借助RunPE技术（也称为ProcessHollowing），将解密的可执行文件加载到内存中。

核心代码

解压后的有效载荷，含有所有恶意功能。它不会做进一步的混淆处理，所以我们可以轻松地对其进行反编译（可以使用dnSpy），并读取其代码。

我们可以看到一些类，单看其名称就猜到它们的作用，如ProtectMe、ScreemCapture和SocketClient。

首先，我们可以发现这个恶意软件的用途：监视用户，以及为受感染的机器添加后门。

Form1类是主要模块，负责与CnC沟通和协调行动。它包含了用于恶意软件安装的硬编码数据和CnC服务器的地址：

37.187.92.171:98

受害者机器的名称将从二进制文件复制并保存在注册表项中：

如果bot检测到e-Carte Bleue（一款法国支付卡）的软件，它会将相应的字符串添加到标识符中，并向服务器发送相应的附加信息：

这个软件的每个模块都是独立运行的，所以都会开启一个新线程：

视频录制

我们可以看到负责下载ffmpeg应用程序的代码段：

恶意软件作者的主要目标是窥探用户的银行业务。这就是为什么当受害者打开特定网站，与网上银行相关的时候，录像事件被触发。目标列表由CnC提供，并通过“ve”保存到注册表中，例如：

该软件会定期检查列表中的目标是否已在浏览器中打开。如果检测到，该恶意软件就会开始录像：

函数“VeifyingTime”的作用是将标题栏与提供的字符串进行比较。

然后，在ffmpeg应用程序的帮助下录制视频：

之后，它们被发送到CnC，通过Base64进行编码：

该恶意软件还具有简单截图的功能，并将其保存为JPG格式。图片和捕获的日志由Rar应用程序定期进行压缩处理，然后也将其发送到CnC：

键盘记录器

类名kyl表示键盘记录器：

它还具有枚举已经打开的窗口的功能：

这是负责创建之前提到的.tmp文件的类。

自我保护

这个类负责禁用可能用于监控恶意软件活动的应用程序：

插件

该bot的功能可以通过从CnC下载的附加插件来进一步加以扩展：

根据我们的观察，该bot下载了两个插件，为其提供了典型的RAT功能：

processmanager.dl，写于2015年：

以及remotedesktop.dll，写于2016年：

与主模块和之前提到的插件不同，remotedesk.dll被进行了混淆处理，因此，其类和变量的名称基本就是乱码，猜不出其具体含义：

结束语

很明显，这个恶意软件是由一个“天真”的家伙编写的。 二进制和通信协议都没有进行有强度的混淆处理。此外，使用的加壳软件也是众所周知的，很容易被破解。 然而，该恶意软件得功能却非常丰富，同时也进行了更积极的保护。不过，该恶意软件具有窥探受害者和植入后门的功能，所以不容轻视，因为即使是一个“天真的”的攻击者，也可以在被忽视时造成很大的危害。

该恶意软件被Malwarebytes识别为Backdoor.DuBled。