精华内容
下载资源
问答
  • 聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队六个月内,从最初作为其它威胁的加载器到信息窃取恶意软件,Valak正在通过微软Exchange服务器窃取企业数据。Va...

     聚焦源代码安全,网罗国内外最新资讯!

    编译:奇安信代码卫士团队

    六个月内,从最初作为其它威胁的加载器到信息窃取恶意软件,Valak 正在通过微软 Exchange 服务器窃取企业数据。

    Valak 恶意软件被指主要攻击位于美国和德国的实体,此前它曾和 Ursnif IcedID 银行木马 payload 捆绑使用。

    Valak 首次现身于2019年晚些时候,曾被网络安全研究员列为恶意软件加载工具。Cybereason公司 Nocturnus 团队认为它“复杂高深”,在过去6个月内经历了剧烈变化,发布超过20个版本,从加载工具摇身变为独立威胁。

    上周四,Nocturnus 团队表示 Valak已成为“针对个人和企业的信息窃取器”。通过使用包含恶意宏的微软 Word 文档发动钓鱼攻击登录机器后,会下载名为 “U.tmp” .DLL 文件并保存到一个临时文件夹中。之后调用 WinExec API并下载 JavaScript 代码,从而创建和C2服务器的连接。之后会下载其它文件,通过 Base64 XOR 解密器解密,随后部署主 payload

    设置注册表键和值并创建计划任务以维护 Valak在受感染机器上的持久性。之后,Valak 下载并执行其它模块用于侦察和窃取数据。

    两个主要 payloadproject.aspx a.aspx执行不同功能。Project.aspx 管理注册表键、恶意活动的任务调度以及持久性,而a.aspx (在内部被称为 PluginHost.exe)是一个可执行文件,用于管理其它组件。

    Valak “ManagedPlugin” 模块尤其耐人寻味。函数包含一个用于收集本地和域数据的系统信息采集器;”Exchgrabber” 函数旨在通过窃取凭据和域证书、地理位置验证程序、屏幕截图和 “Netrecon”(网络侦察工具)渗透微软 Exchange 服务器。

    另外,Valak 还会擦除受感染机器上的已有反病毒产品。

    Valak 的最新变体已出现在针对微软 Exchange 服务器的攻击活动中,这些攻击活动被指专门针对企业。

    研究人员表示,“提取这种敏感数据导致攻击者能够访问内部域名用户,获取企业的内部邮箱服务以及访问企业的域名证书。通过系统信息,攻击者可以识别出域名管理员的用户身份。这可导致敏感数据泄露以及大规模的网络监控或信息窃取的双重危险后果。同时它表明Valak 最重要的意向目标是企业。”

    目前,Valak 已更新至版本24。虽然 ValakUrsnif IcedID 之间的关联本质尚不清楚,但研究人员认为可能其中涉及“个人连接”和“相互信任”关系,而它的代码表明它可能和讲俄语的地下社区有关。


    推荐阅读

    CVE-2020-0688 Exchange 远程代码执行分析

    Turla 后门针对微软 Exchange 邮件服务器并瞄准全球目标

    原文链接

    https://www.zdnet.com/article/valak-targets-microsoft-exchange-servers-to-steal-enterprise-data-in-active-campaigns/

    题图:Pixabay License

    本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

    奇安信代码卫士 (codesafe)

    国内首个专注于软件开发安全的

    产品线。

        点个 “在看” ,加油鸭~

    展开全文
  • 尽管现在入侵服务器已经成为一件非常困难的事情,但是从虚拟服务器当中成功窃取数据也并不会令人感到惊讶。 尽管虚拟化环境存在单点故障和安全漏洞等可能性,但是从另一方面来说其缩小了需要保护的设备范围。借助于...

    虚拟服务器并不具有物理服务器内置的诸多安全保障机制。尽管现在入侵服务器已经成为一件非常困难的事情,但是从虚拟服务器当中成功窃取数据也并不会令人感到惊讶。

    虚拟服务器安全挑战:数据窃取和破坏

    尽管虚拟化环境存在单点故障和安全漏洞等可能性,但是从另一方面来说其缩小了需要保护的设备范围。借助于虚拟化技术提供的整合特性,企业的硬件设备规模不断缩小,这种趋势可以帮助减少一些和网络及电力供应相关的高可用性需求。

    虚拟化技术使用更加小型化的不间断电源线路和发电机以保证电力的持续供应,减少物理网络接口数量能够降低网络受到攻击的风险,你甚至可以在处于活动状态的端口上增加监控。尽管这种方式能够减少和硬件相关的安全问题,但是不幸的是,其会对软件资源造成很大的威胁。用户能够轻松创建并部署虚拟服务器和网络,在某些情况当中甚至不需要得到提前批准。

    当然,如果认为仅仅依靠一台恶意服务器或者虚拟交换机就能够造成整个基础架构全部瘫痪,这种想法是十分牵强的。然而,如果一个未经注册的系统进入到受控制的基础架构之后,它的存在对于基础架构的稳定性来说确实造成了威胁。恶意系统将会成为数据中心防护铠甲上的一道裂纹,这种情况正在变得越来越普遍,因为在虚拟化环境当中部署新系统并不会面临物理硬件开销等种种限制。过去,在项目开始之前需要提前申请资金购买物理服务器, 最后这个过程居然成为一种防御恶意部署的安全保障措施。

    然而对于虚拟化环境来说,只需要简单点击几次鼠标就可以创建大量的虚拟服务器,之前成本方面的限制不复存在。保护基础架构需要首先了解其中包含哪些组件,但是完成这项工作正在变得越来越困难。每台新增加的虚拟机都有可能成为数据中心盔甲上的一个可能裂纹。限制虚拟环境用户权限以及制定审计报告是防止部署恶意系统的最佳方式。

    伴随虚拟化技术所产生的、传统硬件环境并不会遇到的另外一种安全问题就是数据窃取。过去,数据窃贼在尝试获取服务器的敏感数据之前都需要花费一段时间来破解操作系统的安全防护机制。这是因为通常窃贼并没有其他可用方式:他们只能通过物理方式访问硬件或者复制数据,而硬件通常被放置在封闭的环境当中,使用摄像头和保安进行监控,而数据和软件由操作系统进行加密和保护。登陆操作系统之后窃取数据是一种更加具有挑战性的方式,如果有人想要访问这些受保护的数据,还有可能触发监控告警,并且其访问信息也将会被记录下来。当然,这并不意味着窃取数据的行为以后不会再次发生,但是实现难度已经大大提升。

    而当虚拟化技术出现之后,服务器不再是硬件设备,而是位于存储设备当中的一系列文件集合。和任何其他类型文件一样,我们可以复制操作系统当中的任何数据,并且不会影响原始服务器的正常运行。这种特性不是bug,而是用来帮助部署虚拟机的全新特性。将虚拟机的所有文件复制之后,可以对其进行重命名之后再次开机,或者转移到其他站点用于灾难恢复。不幸的是,这种可移植性带来了新的隐患。尽管服务器文件的体积非常庞大并且不容易移动或者复制,但也并非完全不能实现的。

    由于复制的数据并不是处在活动状态,因此可以轻松下载并复制到可插拔的USB设备当中,之后使用这些文件构建新的虚拟机。尽管窃贼需要使用额外权限才能够访问虚拟化环境,但是并不需要全部的管理员权限。虚拟化技术使得窃取整台服务器甚至整个数据中心变为可能。窃贼不再需要物理访问权限就能够窃取服务器或者破坏现有的安全防护机制。

    数据破坏

    正如之前所说,虚拟机是一系列文件的集合,这意味着除了复制这些文件之外,某些用户还可以删除它们。不论是故意的——比如员工恶意报复;或者是异常的应用程序进程——比如失控的快照,在这些操作面前你的虚拟机都是十分脆弱的。VMware和其他厂商都拥有多种机制来保护和恢复数据,但是本质上,你的虚拟机仍然是一些可以被轻易删除的文件集合。

    数据窃取和破坏等情况可能出现在多种IT系统当中,不论是基于硬件还是软件的。然而,如果服务器位于硬件环境当中,就存在一种受制于虚拟机数量和蔓延的天然防护机制,为数据提供安全保障。而对于虚拟化环境来说, 这些防护机制当中的大多数都不复存在。事实上,我们错误利用的很多工具和特性都有可能导致数据 窃取和数据丢失事件的发生。虚拟化技术并不会在短时间内消失,因此要求IT部门从不同的角度来重新思考系统的冗余性、可用性和安全性。


    作者:Brian Kirsch 


    来源:51CTO


    展开全文
  • 《纽约时报》一份新报道称,“棱镜门”泄密者爱德华·斯诺登(Edward Snowden)利用一个“完全自动化”的工具,从美国国家安全局(NSA)的服务器下载了至少20万分绝密文件。 据《纽约时报》报道,NSA一位高级官员表示...
    《纽约时报》一份新报道称,“棱镜门”泄密者爱德华·斯诺登(Edward Snowden)利用一个“完全自动化”的工具,从美国国家安全局(NSA)的服务器下载了至少20万分绝密文件。
    据《纽约时报》报道,NSA一位高级官员表示,斯诺登任职期间,通过一个专为搜索、索引和网页拷贝而设计的“网络蜘蛛”软件,“从我们的系统中搜刮数据”。这位官员称,“我们认为,在一台机器中利用一个单独设置依次下载如此多数量的文件,是不可能的。”他表示,这个过程是“完全自动化的”。
    报道称,斯诺登势必为搜索程序设置了参数,以此在NSA内部网络和美情报机关内部系统中获取文件和材料。该系统相当于美情报部门内部的“维基百科”,让其情报分析人员能够获取来自全球的信息。
    关于网络蜘蛛,目前最出名的就是谷歌(微博)的网页抓取漫游器Googlebot。该爬虫系统会自动从数十亿网页上收集文档,下载内容,以此为谷歌搜索引擎建立可搜索的索引,让用户能够更快的获取搜索结果。虽然斯诺登所使用的网络蜘蛛工具并不如谷歌的先进,但该高级官员表示,斯诺登的网络蜘蛛工具与谷歌的大同小异。
    若在NSA内部网络系统使用类似工具,便会引起NSA总部的注意。不过,美政府并未在斯诺登前往夏威夷工作处之前,未能及时地为那里的电脑安装一款最新型“防泄密”软件。
    虽然斯诺登的行为遭到部分质疑,但是他似乎能够挡开美政府机构的进一步质询。《纽约时报》称,斯诺登接受质询时就自己的行为,作出了听上去十分合理的解释,即,作为一名系统管理人员,他有责任对网络系统进行日常维护,而这其中就包括复制电脑系统,并将信息转移至本地服务器。
    棱镜门曝出后,斯诺登前往俄罗斯,目前仍受到俄政府的临时庇护。而《纽约时报》此次披露的消息,无疑又一次让那些美调查人员的脸上无光。
    另外,《华尔街日报》日前也曾报道称,那些负责调查斯诺登背景的联邦雇员彻底搞砸了自己的调查工作。该报道称,关于斯诺登的背景信息,因为斯诺登表示自己的工作是“机密”,所以美国调查服务公司(US Investigations Services LLC)就仅向斯诺登的目前和他当时的女友进行了谈话,并未对斯诺登当时在美国中央情报局(CIA)的工作记录进行检查。
    展开全文
  • 在取得安保人员信任之后,借故以受领导之托去公司机房办事为由,利用安保人员的门禁卡进入网心公司机房,试图将5块1T的硬盘插入网心公司服务器,盗取公司数据和源码。 后因拷贝时间较长,到门口抽烟被发现后潜逃,...

    迅雷前CEO陈磊涉嫌非法侵占公司财务被立案侦查,这一事件闹得沸沸扬扬,从4月份被罢免职务到现在,相关非法行为被爆出,最新消息是:陈磊被免职当天前司机进入公司机房盗取数据未遂!这是怎么回事?

    5.jpg

    4月2号,也就是陈磊被免职的当天,他的司机姚某借机邀请了迅雷全资子公司网心科技的个别安保人员吃饭,在取得安保人员信任之后,借故以受领导之托去公司机房办事为由,利用安保人员的门禁卡进入网心公司机房,试图将5块1T的硬盘插入网心公司服务器,盗取公司数据和源码。

    后因拷贝时间较长,到门口抽烟被发现后潜逃,这样的猪队友,估计陈磊被气得够呛!据悉,陈磊的前司机姚某是陈磊母亲董鳕的表弟,这个关系不简单呀!

    12.3.jpg

    盗取公司数据侵害公司权益本身就是违法行为,这次姚某没有得逞,但也给众多公司管理者一次敲打,公司数据要如何保护才能不被有心之人惦记?更何况大部分的小公司压根就没有机房也没有这么多的安保人员,防不胜防!

    云宝贝结合云盒子企业云盘给出两点建议:

    1、给服务器上锁

    很多企业为了更安全地存储公司数据,选择在本地部署私有云,将数据统一存储在云盘上。但大部分公司是没有专业的机房的,服务器基本是摆放在集体办公室或者老板办公室。为了安全起见建议大家购买带锁的服务器,或者自行上锁,能够防止无关人员随意操作服务器。

    云盒子在推出云盘一体机时也考虑到这个问题,特地选择了自带锁头的服务器样式,守住数据泄露第一道防线。

    2、服务器加密

    服务器加密过后所有的数据文件均是密文形式,直接作用于数据本身,在确保即使数据文件被窃取的情况下,加密依旧起到防护作用,保证数据的隐秘性。

    云盒子除了给服务器加密,同时也给传输通道、本地缓存进行加密,三重保障防止恶意拷贝。

    4.jpg

    迅雷前CEO陈磊联合空壳公司和一众亲友非法侵占公司大量财务,已进入立案调查程序,而陈磊为逃避调查,4月份已出境。

    但对于自己被立案侦查,陈磊也在第一时间给出了回应:“迅雷是一家美股上市公司,审计机构(普华永道)查到了一些问题,他们想把这些问题(的脏水)全部都泼到我身上,但是审计机构不认可,他们便说陈磊涉嫌职务侵占,已经被公安机关立案了。审计机构则称,需要立案通知书才能做审计。”

    事情尚未得出结论,孰是孰非仍要看后续发展,但是迅雷股价也因此事影响,下跌7.87%。

    而且偷数据这个事情已是板上钉钉,所幸姚某在拷贝服务器数据没能得手,挽回了部分损失。

    各位看官,吃瓜也要善于总结哟!企业数据重于一切,要及时做好数据安全防护,杜绝隐患。

    展开全文
  • 在最新的版本中,Valak已变成了针对个人和企业的信息窃取器。通过使用包含恶意宏的微软Word文档发动钓鱼攻击登录目标设备后,会下载名为“U.tmp”的.DLL文件并保存到一个临时文件夹中。之后调用WinExec API并下载J.....
  • 4月9日,据科技博客网站TechCrunch...64KB数据量并不大,但黑客可以重复利用该漏洞,多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。 更糟糕的是,即使修正了这一漏洞,但用户并不清楚自己的服务器此前...
  • PacketWhisper-使用DNS查询和基于文本的隐写术来隐密地传输数据并破坏归因,而无需攻击者控制的名称服务器或域; 避开DLP / MLS设备; 击败数据和DNS名称服务器白名单控制。 将任何文件类型(例如可执行文件,Office...
  • 客户端主机和MySQL服务器之间的文件传输交互中的设计缺陷允许运行恶意MySQL服务器的***者访问连接的客户端具有读取访问权限的任何数据。不法分子可以利用此问题从配置不当的web服务器(允许连接到不受信任的服务器)或...
  • 本周的七个关键词: 新型 Android 木马丨 TLS 1.3 丨 阿里安全图灵实验室 丨 漏洞感染 Linux 服务器 丨 CPU曝极危漏洞 丨 ... :一种利用 Telegram 秘密窃取数据的新型 Android 木马 来源:hackern
  • 本周的七个关键词:新型 Android 木马丨TLS 1.3丨阿里安全图灵实验室丨漏洞感染 Linux 服务器丨CPU曝极危漏洞...-1-【Android】TeleRAT :一种利用 Telegram 秘密窃取数据的新型 Android 木马 来源:hackernews.cc ...
  • 最近领导提出一个问题,既如何通过技术手段避免(或监控文件复制等行为)企业网管员(或CIO)窃取企业存放在服务器上的数据(数据库文件),以在该企业数据丢失时证明自己的清白。 苦思无果,只好来求助CSDNer们...
  • 黑客正在利用SambaCry 漏洞,攻击较早版本的 samba 文件共享服务器,并安装木马程序。根据来自趋势科技的专家, 大多数攻击都针对网络连接存储 (nas) 设备,这样的设备不少是用Samba服务进行文件共享的。 通过 ...
  • 如果拥有访问虚拟化工作环境管理员权限,就可以轻松地进入该虚拟化工作环境,并且窃取所有的数据,而又不会留下任何痕迹。从数据中心偷走一个物理服务器是非常困难的,并且也很容易被人发现。但是无论在任何位置都...
  • 据国外媒体报道,英特尔和一组安全研究人员在该公司处理器中新发现的一个安全漏洞,允许攻击者窃取处理器最近访问过的任何数据,甚至在云服务器上也是如此,这可能允许攻击者窃取在同...
  • 因为研发人员掌握公司机密,为了避免在流量传输时被窃取,所以采用***通道来保证一定的安全性2.禁止其他员工访问服务器,需要用到acl来限制流量 名词解析 ***:(Virtual Private Network,虚拟专用网)使用...
  • 网站是企业对外开放的门户,因此会成为黑客利用获取数据的主要手段,黑客窃取企业重要数据,用来攻击企业网站或勒索企业,给企业带来经济损失。. 2.网页篡改 企业网页被篡改,不仅会降低网站浏览用户的体验感,还会...
  • 实验目的:使研发小组可以通过VPN访问公司服务器,但不能访问Internet 基本配置: R1配置: [Huawei]sysname R1 [R1-GigabitEthernet0/0/0]ip address 172.16.10.254 24 [R1-GigabitEthernet0/0/1]ip address 100.0....
  • 目前一套被思科、F5、IBM以及甲骨文等企业所...根据Pearson VUE(主营计算机测试方案开发与交付)发布的一项公告,某恶意软件已经藏身于该管理系统的服务器当中,允许黑客人士对保存在该系统当中的敏感数据进行访问。...
  • 越来越多的企业和开发者正在将网站 / 应用迁移到云...部分站长不愿将业务数据上传到云服务器,因为肉眼无法切实地看到数据,安全感缺失,万一网站被黑客攻击,数据遭到窃取或撰改,后果就严重了。甚至很多。甚至很多企
  • 我们在无数的好莱坞影片中看到过商业间谍为了窃取企业的机密数据而斗智斗勇,绞尽脑汁的精彩镜头,但我们有没有想到过,如果这一幕就发生在我们身边,我们该如何加以防范呢?微软公司的RMS(Rights Management ...
  • 我们在无数的好莱坞影片中看到过商业间谍为了窃取企业的机密数据而斗智斗勇,绞尽脑汁的精彩镜头,但我们有没有想到过,如果这一幕就发生在我们身边,我们该如何加以防范呢?微软公司的RMS(Rights Management ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 783
精华内容 313
关键字:

服务器窃取数据