陈彬QQ - PDF 免费下载

本期提要一本期信息安全资讯... 1 1. 习近平出席第二届世界互联网大会开幕式并发表主旨演讲. 1 2. 问题严峻!2015 年网络安全威胁事件大盘点... 4 二本期行业安全动态... 10 1. 2015 年 1/3 企业电脑暴露在网络攻击之下... 10 2. 安全威胁持续升级端点安全机制仍不够成熟... 12 三最新病毒及安全漏洞... 18 1. 新型 ios 木马 TinyV 出现 : 攻击越狱设备... 18 2. 极具破坏性的 Kerberos 协议漏洞, 可导致系统完全被控制... 22 四前沿安全技术领域分享... 25 1. 应对海量 DDoS 攻击在云端清洗更有效... 25 2. 微信被盗怎么办? 官方教程奉上... 27 3

一本期信息安全资讯 1. 习近平出席第二届世界互联网大会开幕式并发表主旨演讲 12 月 16 日, 第二届世界互联网大会 16 日上午在浙江省乌镇开幕国家主席习近平出席开幕式并发表主旨演讲, 强调互联网是人类的共同家园, 各国应该共同构建网络空间命运共同体, 推动网络空间互联互通共享共治, 为开创人类发展更加美好的未来助力习近平指出, 以互联网为代表的信息技术日新月异, 引领了社会生产新变革, 创造了人类生活新空间, 拓展了国家治理新领域, 极大提高了人类认识世界改造世界的能力中国正处在信息化快速发展的历史进程之中十三五时期, 中国将大力实施网络强国战略, 让互联网发展成果惠及 13 亿多中国人民, 更好造福各国人民 1

习近平指出, 当前, 互联网领域发展不平衡规则不健全秩序不合理等问题日益凸显国际社会应该在相互尊重相互信任的基础上, 加强对话合作, 推动互联网全球治理体系变革, 共同构建和平安全开放合作的网络空间, 建立多边民主透明的全球互联网治理体系我们应该坚持尊重网络主权, 尊重各国自主选择网络发展道路网络管理模式互联网公共政策和平等参与国际网络空间治理的权利我们应该坚持维护和平安全, 网络空间不应成为各国角力的战场, 更不能成为违法犯罪的温床, 维护网络安全不应有双重标准我们应该坚持促进开放合作, 创造更多利益契合点合作增长点共赢新亮点, 推动彼此在网络空间优势互补共同发展, 让更多国家和人民搭乘信息时代的快车共享互联网发展成果我们应该坚持构建良好秩序, 依法治网依法办网依法上网, 同时要加强网络伦理网络文明建设, 发挥道德教化引导作用习近平强调, 网络空间是人类共同的活动空间, 网络空间前途命运应由世界各国共同掌握各国应该加强沟通扩大共识深化合作, 共同构建网络空间命运共同体习近平就此提出 5 点主张第一, 加快全球网络基础设施建设, 促进互联互通, 让更多发展中国家和人民共享互联网带来的发展机遇第二, 打造网上文化交流共享平台, 促进交流互鉴, 推动世界优秀文化交流互鉴, 推动各国人民情感交流心灵沟通第三, 推动网络经济创新发展, 促进共同繁荣, 促进世界范围内投资和贸易发展, 推动全球数字经济发展第四, 保障网络安全, 促进有序发展, 推动制定各方普遍接受的网络空间国际规则, 共 2

同维护网络空间和平安全第五, 构建互联网治理体系, 促进公平正义, 应该坚持多边参与多方参与, 更加平衡地反映大多数国家意愿和利益习近平最后表示, 互联网是人类的共同家园举办世界互联网大会, 就是希望搭建全球互联网共享共治的一个平台, 共同推动互联网健康发展让我们携起手来, 共同推动网络空间互联互通共享共治, 为开创人类发展更加美好的未来助力巴基斯坦总统侯赛因俄罗斯总理梅德韦杰夫哈萨克斯坦总理马西莫夫吉尔吉斯斯坦总理萨里耶夫塔吉克斯坦总理拉苏尔佐达乌兹别克斯坦第一副总理阿齐莫夫国际电信联盟秘书长赵厚麟世界经济论坛创始人兼执行主席施瓦布分别致辞, 联合国副秘书长吴红波宣读了联合国秘书长潘基文的致辞他们表示, 支持中国主办世界互联网大会互联网影响日益扩大, 数字经济已成为全球经济重要组成部分推动互联网健康发展, 符合各国人民共同利益维护网络安全打击网络犯罪消除数字鸿沟是各国共同面临的挑战互联网领域全球治理必须遵循相互尊重相互信任原则, 各国要共同努力, 建立持久安全的网络命运共同体, 给各国人民带来更大福祉刘云山在主持开幕式时说, 习近平主席出席大会并发表主旨演讲, 充分体现了中国政府对这次大会的高度重视构建网络空间命运共同体, 是国际社会的共同责任希望各位嘉宾深入研讨加强互鉴凝聚共识, 为共同构建和平安全开放合作的网络空间, 建立多边民主透明的全球互联网治理体系, 贡献智慧和力量 3

开幕式前, 习近平同与会嘉宾集体合影王沪宁栗战书杨洁篪王钦敏等参加上述活动第二届世界互联网大会 12 月 16 日至 18 日举行, 主题为互联互通共享共治构建网络空间命运共同体来自五大洲 120 多个国家和地区的政府代表国际组织负责人互联网企业领军人物著名企业家专家学者大学生代表等共 2000 多名嘉宾参加 2. 问题严峻!2015 年网络安全威胁事件大盘点近日, 以互联互通共享共治构建网络空间命运共同体为主题的第二届世界互联网大会 16 日上午在浙江乌镇拉开序幕, 习近平主席首次出席会议并发表讲话在致辞中习主席提到一点 : 保障网络安全, 促进有序发展, 安全和发展是一体之两翼驱动之双轮安全是发展的保障, 发展是安全的目的, 深得业内人士的赞许 4

如今, 互联网的发展可以用日新月异来形容, 正如习主席所说 : 互联网给人们的生产生活带来巨大变化, 对很多领域的创新发展起到很强带动作用但同时, 因为网络具有开放性隐蔽性跨地域性等特性, 存在很多安全问题亟待解决 2015 年国际上就发生过很多网络安全事件, 如美国人事管理局 OPM 数据泄露, 规模达 2570 万, 直接导致主管引咎辞职 ; 英宽带运营商 TalkTalk 被反复攻击,400 余万用户隐私数据终泄露 ; 摩根士丹利 35 万客户信息涉嫌被员工盗取 ; 日养老金系统遭网络攻击, 上百万份个人信息泄露等但别以为网络安全问题离我们很遥远中国有 6.7 亿网民 413 万多家网站现如今, 互联网技术已经深度融入到我们生活的方方面面, 衣食住行支付理财通讯等全都与互联网离不开关系而在我们的日常生活中, 网络安全事件也时常发生一移动支付安全堪忧随着互联网的发展, 支付方式也发生的天翻地覆的变化出门只用带个手机, 就可以解决所有的消费交易和支付行为 2015 年上半年, 中国第三方移动支付市场规模达就已经达到 40261.1 亿元, 环比增速 24.8% 如此庞大的数据, 可以彰显出该行业的蓬勃前景但网络安全问题却一直是让移动支付巨头困扰的问题 1 支付宝大面积瘫痪无法进行操作 2015 年 5 月, 拥有将近 3 亿活跃用户的支付宝出现了大面积瘫痪, 全国多省市支付宝用户出现电脑端和移动端均无法进行转账付 5

款出现余额错误等问题而今年十一长假之后, 则有资深支付宝用户爆料称在登录支付宝官网后无意间发现, 自己的实名认证信息下多出了 5 个未知账户, 而这些账号都没有经过他本人的认证 2 财付通用户账号遭冻结余额不翼而飞 2015 年 8 月 10 日, 腾讯一用户财付通账号无故被冻结, 财付通客服解释为账户异常, 但并未给出具体解释从 11 日开始, 该用户反复提交材料并与客服要求解冻未果直至 26 日, 账户终于解冻, 但发现账户余额内 2000 余元不翼而飞随后, 该用户申请冻结账户, 账户在 27 日下午被冻结后又在 28 日自动解冻而客服解释是之前申请过冻结账户等于我丢了 2000 元, 他们却不知道 3 翼支付频遭盗刷系统疑存隐患从 4 月份起至今, 翼支付绑定银行卡被盗刷事件就已经出现过 7 次, 盗刷金额从几百到几万不定多位银行卡被盗刷受害者表示, 在持卡人不知情的情况下, 银行卡中的资金通过翼支付被盗刷, 且翼支付无法查询到被盗刷资金去向没有开通翼支付的银行卡也被盗刷, 并且被盗刷期间没有收到任何消费和支付的短信提醒, 这让受害者百思不得其解二理财平台频遭黑客攻击近年来, 随着人们的投资意识的增强和理财渠道的简便性, 越来越多的人热衷于把自己的钱放在理财平台进行投资理财平台的数量日益增长, 但黑客攻击黑客勒索等事件在互联网金融行业也频频发生 2014 年春节前夕, 人人贷拍拍贷好贷网等多家平台就受到 6

了黑客恶意攻击, 规模越大的平台遭受的攻击次数越多 1 金海贷遭黑客攻击被索要 700 元 2014 年 8 月 9 日, 深圳 P2P 平台金海贷发布公告称, 因为遭遇黑客攻击, 网站不能正常运营金海贷运营总监肖海涛表示,8 月 9 日 15 点 55 分左右, 金海贷客服收到来自黑客的消息, 要求公司给 400( 元 ), 否则将会封闭网站, 并且提供了一个支付宝账号此后, 金海贷网站开始受到攻击而打不开此后, 又有人通过 qq 两次联系金海贷客服, 索要的金额从 400 涨到了 600, 再到 700 元 2 多家 P2P 平台同时遭流量攻击网站访问受影响 2015 年 6 月 15 日 11 时 04 分至 16 日 9 时, 信融财富官网遭受到恶意流量攻击, 造成网站无法访问的情况深圳 P2P 平台信融财富发布公告称, 其官网遭到了黑客大规模 DDOS 恶意流量攻击, 使平台网站访问受到影响, 平台已于第一时间启动应急防御措施几乎与此同时, 另外两家平台宝点网和立业贷也均遭到了大规模黑客攻击根据乌云漏洞收集平台的数据显示,2014 年以来, 平台收到的有关 P2P 行业漏洞总数为 402 个, 其中, 高危漏洞占 56.2%, 中危漏洞占 23.4%, 低危漏洞占 12.3%,8.1% 被厂商忽略自 P2P 平台频繁遭受黑客攻击后, 网贷平台的技术性安全问题也越来越为投资人所关注业内人士同时建议, 风控对互联网金融企业的意义不言而喻, 监管层在设定 P2P 平台门槛时应提出明确的技术标准, 从而更好地规范网贷行业发展另外,P2P 监管细则有望在明年出台并落地, 相信随 7

着监管细则的出台,P2P 平台的发展也会越来越规范, 而风控也会有更高的标准三信息漏洞时常发生 2015 年以来, 各种安全漏洞被曝光, 这其中就包括酒店客户信息政府相关敏感机构数据等, 信息泄露无一幸免 1 数千万社保用户信息泄露 2015 年 4 月 22 日, 从补天漏洞响应平台获得的数据显示, 围绕社保系统户籍查询系统疾控中心医院等大量爆出高危漏洞的省市就已经超过 30 个, 仅社保参保信息财务薪酬房屋等敏感信息这些信息一旦泄露, 造成的危害不仅的个人隐私全无, 还会被犯罪分子利用, 例如复制身份证盗用信用卡盗刷信用卡等一系列刑事犯罪和经济犯罪 2 7 大酒店被曝泄露数千万条开房信息 2015 年 2 月漏洞盒子平台的安全报告指出, 知名连锁酒店桔子锦江之星速八布丁 ; 高端酒店万豪酒店集团喜达屋集团洲际酒店集团存在严重安全漏洞, 房客的订单一览无余, 包括住户的姓名家庭地址电话邮箱乃至信用卡后四位等敏感信息, 同时还可对酒店订单进行修改和取消 3 国家旅游局漏洞致 6 套系统沦陷涉及全国 6000 万客户该漏洞于国庆长假前夕被补天漏洞响应平台披露, 涉及全国 6000 万客户 6W+ 旅行社账号密码百万导游信息 ; 并且攻击者可利用该漏洞进行审核拒签等操作通过该漏洞, 安全工作者获取了一则长长 8

的名单, 能够直接观看到每位用户的详细行程及个人信息 9

二本期行业安全动态 1. 2015 年 1/3 企业电脑暴露在网络攻击之下今天互联网应用日益深化, 而全球的网络环境却每况愈下, 根据信息安全公司公布的最新报告显示,2015 年企业网络被攻击的次数在持续上升,58% 的企业今年至少被一个恶意软件攻击过, 与 2014 年相比, 同比增长了 55% 2015 年 1/3 企业电脑暴露在网络攻击之下据统计, 在针对企业网络攻击当中, 有三分之一的攻击是通过互联网发动的, 而 41% 的企业电脑都面临着来自本地网络或受感染的移动存储设备发动的攻击从图片上可以看出, 俄罗斯区域无疑成为送攻击的重灾区, 而中国企业用户遭受攻击的范围也达到 20%-30% 之间, 不容忽视 10

各国企业用户电脑遭受攻击的占比情况安全专家表示, 用于攻击目标企业的工具和用于攻击普通用户的工具有非常大的不同, 网络犯罪分子往往选择采用数字证书, 将他们的恶意软件打扮成合法的程序去感染企业电脑, 这种招数较少使用在普通家庭用户身上不过由于办公软件一直是主要的感染源, 因此攻击者常常使用办公相关的软件来攻击企业电脑, 攻击次数则达到普通最终用户的 3 倍不仅如此, 针对于企业电脑的勒索攻击在 2015 年也增长迅速, 翻了一倍多从报告中了解到, 全球企业电脑在 2014 年发生超过 24000 宗勒索感染, 这个数字在 2015 年则达到了 51000 余宗并且有从企业电脑向移动设备蔓延的趋势,2015 年针对 Android 设备的恶意攻击次数也上升了 7%, 这对移动设备也造成了严重威胁 11

2015 年针对企业电脑的勒索攻击翻了一倍然而, 鉴于企业支付赎金的数额和速度远高于普通家庭用户, 所以目前针对企业电脑的勒索攻击仍占主导地位因此, 企业用户有必要进一步提升自身网络内部电脑的安全防护, 加强抵御网络攻击的能力, 来降低未来可能遭受攻击时的各种损失 2. 安全威胁持续升级端点安全机制仍不够成熟如今的端点安全解决方案仍然缺少对显著缺陷安全漏洞以及由安全事故引发之恐惧情绪的应对能力, 端点安全与合规方案供应商 Promisec 公司指出 12

根据 Promisec 公司公布的数据,89% 的副总裁与高管层 IT 领导者受访者表示其对于可能在未来一年内出现的安全事故感到恐惧, 而只有 32% 的受访者表示其已经拥有部署到位的高级端点安全方案事实上,73% 的受访者认为端点已经成为目前最易受到攻击活动影响的薄弱环节需求已经如此明显, 而分析师对端点安全方案的市场前景做出的乐观评价也从侧面证明了这一点根据 MarketsandMarkets 发布的报告, 这部分市场总值将由今年的 116.2 亿美元增长至 2020 年的 173.8 亿美元分析企业 TechNavio 公司则指出, 这部分市场在 2014 年至 2019 年之间的年均复合增长率将达到 10.4% 通过以上数字, 我们可以看到企业确实需要在端点保护与缓解相关恐惧情绪方面获取指导意见而这也将成为 CSO 们迫在眉睫的重要任务安全漏洞的来源 13

Promisec 公司产品管理负责人 Steve Lowing 指出, 端点安全领域的一部分缺陷与漏洞主要源自软件更新补丁与应用屏蔽机制缺失以及影子 IT 的持续存在企业在某些风险程度极高的系统当中根本无法获得能够解决问题的充足安全补丁, 其中包括多种端点系统, Lowing 表示目前的重要挑战在于, 一系列新型元素与场景开始持续涌现, 特别是 BYOD 所引发的个人设备在企业环境内的大量介入这些资产在企业网络环境中的存在时间还不太长, 因此不足以保证 IT 部门为其提供特定的管理窗口以执行理想的安全性保障标准,Lowing 解释称而作为应对举措, 企业可以使用 NAC 等工具以避免端点对企业网络进行访问直到杀毒以及反恶意软件更新等基于设备的安全应用部署到位, 从而对设备进行全面扫描及清理不过必须强调的是, 安全软件还仅仅是必要保护体系的其中一层我们发现即使确保各类杀毒软件处于最新更新状态, 其仍然不足以对端点进行可靠的安全保护 Lowing 指出物联网设备的处理能力不足以支持传统端点安全解决方案这意味着我们很难在有限的处理能力存储容量与内存水平之下实现基于主机的入侵检测及预防能力 Trend Micro 公司网络安全战略副总裁 Ed Cabrera 表示应用程序屏蔽机制的普及工作正在推进当中, 但目前此类解决方案的部署方式仍然存在缺陷影子 IT 在当前这股愈演愈烈的未认证 BYOx( 即自带一切趋势, 包括 BYOA 自带应用以及 BYOC 自带云 ) 潮流的 14

推动之下已经成为安全漏洞的重要根源具体来讲, 由于 IT 部门未提供必要的支持甚至根本没有意识到需求的存在, 企业员工开始引入或者使用自己喜好的第三方生产力方案另外, 端点保护工作中的缺陷与漏洞绝不单纯局限于员工设备范畴物联网已经成为端点保护工作当中的最新薄弱环节, 这主要是因为相关设备的资源非常有限物联网设备的处理能力不足以支持传统端点安全解决方案这意味着我们很难在有限的处理能力存储容量与内存水平之下实现基于主机的入侵检测及预防能力, Trend Micro 公司网络安全战略副总裁 Ed Cabrera 指出而这也将成为缩小物联网设备攻击面工作当中的关键性挑战保护端点, 缓解恐惧企业应当采取最佳实践以推动补丁更新, 而这就要求我们对任意系统提供测试环境并将其纳入补丁管理工作当中企业应该利用管理政策实现面向设备的自动化已测试补丁发布, 而且最终发布时间最好控制在测试完成后的一周之内另外, 上述补丁测试与向生产环境普及的执行工作应该尽可能覆盖更多系统, 至少要包含各类主流浏览器应用程序以及操作系统目前提供端点补丁管理解决方案的厂商包括 Lumension IBM 以及赛门铁克 Ninite 等简便工具能够帮助用户根据应用程序的实际需求进行端点更新, Lowing 指出他的观点应该比较可靠, 因为 Ninite 并非 Promisec 公司的产品实现对应用程序的更好控制对于任何一款安全工具, 我们都很 15

难指望这类应用控制产品能够切实契合现有端点环境的真实需要管理员必须要学习并配置此类软件并调整相关设置, 从而保证其能够与每个端点相对接单纯采购产品并将其接入网络根本无法起到理想的效果为了对设备资产中的应用控制机制加以调整, 我们需要利用黑名单 / 白名单工具以逐步了解每个端点的独特需求并决定在默认情况下拒绝哪些应用的接入请求企业应当主动验证环境中的一切变化因素 ( 包括文件注册表以及驱动程序 ) 以加强应用控制能力, 并根据最新威胁情报服务制定必要的转变方针,Lowing 解释称通过维护一套原始备份镜像, 包括设备操作系统应用程序设备管理策略以及所需控制机制, 企业能够拥有用于识别变更情况的基准点应用程序控制与屏蔽机制足以抵御任何检测到的未经授权的变化情况, 而其基础就是将现场端点情况与镜像内容加以对比企业应该更为积极地更新这一镜像基准方案, 从而利用新补丁实现最优控制并缩小攻击面另外, 应用屏蔽机制有助于解决影子 IT 问题, 包括各类 BYOx 状况如果物联网设备未来具备了足够的处理能力及其它资源以支持基础性端点安全保护技术, 特别是 IDS/IPS, 那么我们应当确保将其安装在每一台物联网设备当中网络 IDS/IPS 配合成熟的威胁情报解决方案将能够及时揪出攻击者对受控物联网设备的入侵尝试举例来说, 一套高级威胁情报解决方案能够利用沙箱机制检查网络流量, 并通过检测引擎发现病毒恶意软件指挥与控制服务器及传输手段, 16

外加任何其它威胁迹象,Cabrera 表示未来展望尽管端点属于一类新兴攻击面, 但其中潜藏的可观利润与收益包括物联网与移动技术的便利性与生产力提升效果将使其进一步普及, 并因此带来更为巨大的安全风险企业必须拓展自身能力以确保对现有安全措施加以充分利用, 同时保证具体利用方式能够切实带来理想效果另外, 企业还需要进一步敦促产品供应商打造更加先进的特定端点安全选项, 从而在未来的发展过程中拥有更为可靠的保护工具 17

三最新病毒及安全漏洞 1. 新型 ios 木马 TinyV 出现 : 攻击越狱设备 ios 设备的安全一直为业界所重视, 日前企业安全领域领导者 Palo Alto Networks 撰文分析了最近几个月所发现的新木马 TinyV 在今年的 10 月份,Palo Alto 发现了一个恶意的负载文件瞄准了 ios 的越狱设备, 经过调查后发现,Palo Alto 认为该文件属于一个名为 TinyV 的新型 ios 木马家族在 12 月, 有中国用户指出他们的设备受到了这个恶意软件的影响经过进一步的深入研究后,Palo Alto 发现该恶意文件已经被重新打包并植入到一些 ios 应用中, 而这些 ios 应用往往可以通过多个渠道进行下载 ( 非 App Store 渠道 ) 在接下来的篇幅里, 我们将会讨论 TinyV 是如何工作以及如何传播的重新打包和传播 TinyV 被重新打包进一些为越狱设备而准备的应用中, 受影响的 ios 应用不少经过重新打包后, 这些应用被上传到网络并提供用户下载用户有可能通过 xx 助手下载到这些受感染的应用, 在一些应用的官网上供下载的应用, 也不见得是十分安全我们往往在 ios 设备上访问这些网站的下载链接的时候会被跳转到描述文件页面并让用户安装, 这些被标榜为企业级应用的应用往往需要用户手动开启验证, 才可以在设备上使用该应用 18

用户有可能通过 xx 助手下载受感染的应用需要指出的是, TinyV 重新打包的方式和之前的 ios 或者 OSX 恶意应用不太一样 ( 和之前著名的 WireLurker 也不一样 ) 例如在某个受感染的播放器应用的 ios 安装文件 com. 某某.ipa 中, 往往存在着两个执行文件一个是主要的执行文件 Mach-O, 而另一个则是名为 xg.png 的 Mach-O 动态库文件在主要执行文件的导入表中, 最后的导入入口是 @executable_path/xg.png 这意味着在应用被执行后, xg.png 的文件将会被加载而在其它受感染的应用中, 除了主要的 Mach-O 执行文件外, 也会出现一些额外的 Mach-O 动态库文件 : dj.png, macro_off@2x.png 和 zippo_on@2x.png TinyV 的作者修改了原来的应用文件, 并增加这些动态库文件到导入表中被加载的 xg.png 文件将会通过调用方法来连接到 C2 服务器并取得配置信息被 C2 提供的配置将会指向一个 ZIP 文件的 URL, 并被指定为一个带有 zipinstall 值的 shname 19

指向一个 ZIP 文件的 URL 在这个被感染的应用中, macro_off@2x.png 将会访问同一个 C2 服务器的另一个页面来获取其配置这次 deburl 值使用 XOR 算法加密尽管代码混淆, 但使用关键的 0xaf 加密, 却依然可以显示相同的 URL 恶意行为从 C2 服务器获得配置后, TinyV 将会从授予的 deburl 值中下载 ZIP 文件这里调查的 ZI P 文件被托管在另一个 C2 服务器 apt[.]appstt.com 上, 目前该 URL 地址出现 404 错误不过据说在 10 月底开始调查的时候, 这个 URL 是可以访问的, 并且 deb.zip 文件也可以下载在这个 deb.zip 文件中, 包含了 4 个文件 safemode.deb(saurik 官方提供的 MobileSafety 插件 ) freedeamo/usr/bin/locka( 实施恶意行为的 Mach-O 执行文件 ) freedeamo/library/launchdaemons/com.locka.plist( 一个 PLIST 文件, 用于在 ios 作为一个守护进程配置 locka ) freedeamo/zipinstall( 命令进程文件 ) 下载和解压这个 ZIP 文件后,xg.png 将会执行 zipinstall 脚 20

本来安装 locka 和 com.locka.plist locka 文件主要执行的 TinyV 恶意行为包括 : 连接 C2 服务器来获得远程指令在后台安装指定的 IPA 文件或 DEB 文件在后台卸载指定的 IPA 应用或 DEB 包改变 /etc/hosts 文件值得一提的是, 研究人员还发现了一个名为 ClassStaticFunctionHook 的函数, 目前该函数只被用于钩住广告的 SDK 代码然而它有可能在被感染的应用中产生更危险的后果影响在 12 月 12 日, TinyV 开始通过一个名为 XZ Helper 的插 21

件来进行传播, 许多用户都发现了 XY Helper 插件出现在他们的 ios 设备中由于 TinyV 的代码执行和大量的 C2 服务器指令, 即使删除了该插件还是会被重新安装不少用户在威锋论坛里指出了这个问题, 目前受该恶意程序影响的设备似乎只出现在中国最后,Palo Alto 建议用户如果没有必要的话切勿轻易越狱, 又或者是不要安装任何来自未知来源的企业级应用 2. 极具破坏性的 Kerberos 协议漏洞, 可导致系统完全被控制 Kerberos 协议 Kerberos 是一种网络认证协议, 其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务该认证过程的实现不依赖于主机操作系统的认证, 无需基于主机地址的信任, 不要求网络上所有主机的物理安全, 并假定网络上传送的数据包可以被任意地读取修改和插入数据在以上情况下, Kerberos 作为一种可信任的第三方认证服务, 是通过传统的密码技术 ( 如 : 共享密钥 ) 执行认证服务的漏洞原理 22

图一典型的身份验证过程通过对 Kerberos 的分析发现以下几点问题 : 1 密钥来源于用户密码; 2 密钥存储在内存中; 3 使用 RC4 加密算法的密钥没有进行加盐处理,NTLM 哈希值即为 RC4 密钥 ; 4 KDC( 密钥分配中心 ) 使用的密钥来源于 krbtgt 用户密码, 尽管该账户已被禁用, 并且从未被使用 ; 5 krbtgt 用户密码很少更改 ( 只有当域功能级别改变时才有可能会更改 ), 且更改后的旧密码仍然可用 ; 6 TGT 票据使用 krbtgt 密钥进行加密,PAC 数据使用 krbtgt 密钥进行进行签名, 并且系统很少会验证 PAC 数据 ; 7 Kerberos 在用户登录 20 分钟后才会验证用户账户基于以上原因, 攻击者可借助 krbtgt 密码绕过身份验证系统, 23

获取管理员访问权限, 进而执行一系列管理员操作 ( 如创建用户, 下载文件等 ), 还可以根据密码为用户创建响应的密钥缓解据悉, 该漏洞不能修复, 因为这些都只是 Kerberos 的工作方式, 唯一的解决方法是使用微软的 Credential Guard 程序阻止证书存储在内存中为了防止 Windows 由于 Kerberos 遭到攻击, 用户需要随时关注并保护特权帐户, 因为其中很可能存在攻击者创建的账户 24

四前沿安全技术领域分享 1. 应对海量 DDoS 攻击在云端清洗更有效现在全球范围内的分布式拒绝服务 (DDoS) 攻击愈演愈烈, 据统计, 在 2015 年第三季度的 DDoS 攻击环比增长了 23%, 再次创下历史新高就目前来看 DDoS 攻击仍然是不法黑客们最喜欢使用, 并且又十分廉价有效的一种网络攻击形式 DDoS 攻击在全球范围内愈演愈烈一般 DDoS 攻击主要针对经济收益较高政治敏感的领域, 攻击方多抱有炫技恶性竞争政治因素等目的然而在过去的几年里, 用户一般选择硬件抗 DDoS 产品, 通过旁路或串联部署, 进行核心汇聚清洗或在用户驻地 (CP) 端清洗不过有专家表示, 虽然此种方式产品成熟度高市场接受度好, CP 端占有率高, 但也面临着成本高扩展性差运维管理复杂攻 25

击样本数据有限及无法应对突发大规模攻击的限制等问题因此, 基于云的 Anti-DDoS 方案则将成为未来抗 DDoS 的发展趋势采用云 DDoS 清洗方式, 可以为企业用户带来诸多好处其表现在不仅可以提升综合防护能力, 用户能够按需付费, 可弹性扩展, 而且还能够基于大数据来分析预测攻击, 同时能够免费升级对于企业用户来说, 则可实现零运维零改造在云端抵御 DDoS 攻击现在的云安全 Anti-DDoS 技术方案一般分为两种, 一种是 BGP Anycast, 针对各类应用均可防护, 国外广泛使用, 国内尚无商用 ; 另一种则是 Secure CDN, 可适用于中国的网络环境, 仅针对 WEB 应用有效, 目前国内如网宿等对此法已经拥有了较为成熟的解决方案 26

2. 微信被盗怎么办? 官方教程奉上根据腾讯官方披露的数据, 目前微信和 WeChat 合并月活跃用户量达到 6.5 亿, 今年年底有望突破 7 亿, 所以微信如今几乎已是国民级应用不过, 由于微信账号可能涉及手机号银行卡账号等诸多个人重要信息, 所以其安全性也颇受用户关心那么问题来了, 微信帐号什么情况下可能被盗? 如果被盗怎么快速发现与解除风险? 微信安全中心进行了详细的解答, 大家不妨看一下一什么原因可能导致微信被盗? 1 微信密码设置过于简单, 被坏人猜中 2 微信密码设置成与其他产品密码一样当其他地方出现泄密, 微信可能连带被盗 27

3 转发登录短信可能导致微信帐号被坏人登录 4 手机被安装木马导致隐私泄漏 5 手机安装了非法客户端, 导致隐私泄漏二怎样规避盗号风险? 1 微信密码不要设置过于简单并且不要设置成与其他产品相同的密码 2 微信登录与微信支付不要设置相同密码这样即使发生盗号也可降低财产损失几率 3 手机上不要安装非官方微信客户端, 或非法插件否则可能导致隐私数据泄漏 4 不要随意点开广告链接避免手机被植入木马 5 iphone 手机尽量不要越狱, 安卓手机尽量不要 root 机 6 微信绑定的邮箱货其他绑定关系一旦出现泄密, 请尽快修改绑定关系的密码避免微信连带被盗三如果微信被盗, 怎现及时发现? 一般情况下, 当你收到以下这两种提示, 那么你的微信号可能已经被盗登 : 四. 微信被盗了, 怎样快速解除风险? 用户收到上面两类系统提示, 又不是自己操作请根据以下指引操作第一时间尝试登录微信 1 尝试通过微信密码短信验证码 QQ 号 +QQ 密码中任一种方 28

式尽快登上微信 2 登上微信后, 进入设置 - 帐号与安全 - 修改微信密码保险起见, 如果微信绑定了 QQ, 访问 QQ 安全中心修改 QQ 密码 3 完成密码修改后, 进入设置 - 帐号与安全 - 打开帐号保护如果已经不能成功登录微信, 请马上访问 weixin110.qq.com, 进行帐号冻结 1 冻结后, 对手机病毒泄漏密码原因进行排查并用电话短信等方式通知亲友, 微信号被盗以免坏人向亲友行骗 2 确认当前手机环境安全后访问 weixin110.qq.com 进行帐号解冻 3 重新登录微信后及时修改微信密码, 并打开帐号保护 29