数据网络攻击

主办:安天实验室·antiy.
cn2015年7月(总第1期)试行本期4版微信搜索:antiylab对美国电网实施网络攻击可造成万亿美元经济损失【关键词】工控安全网络攻击支付宝9.
0重置密码功能存缺陷【关键词】支付宝密码重置上周披露的一份报告称,美国电网若遭网络攻击导致关停部分服务,将会对美国经济造成高达万亿美元的损失.
这份由剑桥大学风险研究中心发表的报告描绘了一幅造成纽约和华盛顿特区9300万人无电可用的电力中断景象.
报告称,"对美国经济的全部影响估计有2430亿美元,在最极端情况下可增至超过1万亿美元".
报告援引美国能源部数据称,自2000年以来,美国电网疑似遭受了15次网络攻击.
美国工业控制系统网络应急响应小组称,去年其响应的关键基础设施网络安全威胁中,有32%都发生在能源产业.
(http://www.
aqniu.
com/news/8645.
html)支付宝新升级的9.
0版本中取消了用户手势密码的设置,转变为"大数据风控"保护.
如果用户手机不具备指纹解锁功能,那么在其手机上支付宝账户可以直接被访问.
这个修改遭到用户质疑,很多人担心泄露淘宝购买记录和消费记录,或者可以直接使用小额支付功能.
支付宝称,通过多年积攒的大数据对用户的行为分析进行身份认证,当不是本人使用时,支付宝可通过细小的行为习惯来区别判断.
研究人员称,支付宝9.
0的重置密码功能存在逻辑问题,只需要知道用户身份证号便可以重置其登录密码.
(http://bobao.
360.
cn/news/detail/1768.
html)俄罗斯称希拉里有关黑客问题言论"毫无根据"【关键词】俄罗斯克里姆林宫希拉里希拉里7日称,黑客活动对美国的安全及企业构成广泛威胁,俄罗斯等国"直接或间接地支持过"黑客活动.
8日,克里姆林宫发言人佩斯科夫被问及希拉里的言论时对记者称:"这是绝对不恰当的言论,也是毫无根据的指控.
""黑客活动是国际性问题,政府支持此类活动的说法是完全没有根据的指控,"佩斯科夫称.
他还称,在呼吁合作打击网络犯罪的背景下,这样的言论"不具建设性".
(http://www.
myhack58.
com/Article/html/1/4/2015/64488.
htm)据今日俄罗斯电视台7月8日报道,德国"爱国者"导弹防御系统近日疑似遭不明黑客攻击,发送了无厘头的命令.
但是,德国国防部对此表示了否认,并称目前没有迹象表明该防御系统遭到了黑客攻击.
据悉,"爱国者"导弹防御系统系美国制造,由6个发射器和2台雷达组成.
2013年,德国国防军在土耳其边境地区部署了"爱国者"导弹及160名士兵.
(http://news.
xinhuanet.
com/world/2015-07/08/c_127998819.
htm)7月8日,日本防卫省专用酒店或遭黑客袭击住客个人信息可能外泄(http://www.
myhack58.
com/Article/html/1/4/2015/64416.
htm)7月9日,苹果被黑客攻击调查出现线索,被指向Morpho独立黑客组织(http://www.
cnbeta.
com/articles/409445.
htm)7月10日,北约官网遭ISIS涂鸦(http://www.
myhack58.
com/Article/html/1/4/2015/64497.
htm)7月14日,日本5所大学网站遭到攻击,管理账户密码等外泄(http://www.
cnbeta.
com/articles/410933.
htm)7月14日,美国千万公务员信息泄露:受害者尚未接到通知"(http://www.
cnbeta.
com/articles/411065.
htm)德爱国者导弹疑遭黑客攻击发送无厘头命令关键词德国『爱国者』导弹防御系统黑客攻击资讯2015年7月(总第1期试行)邮箱:antiynews@antiy.
cn每周APT(高级持续性威胁)新闻类型内容英文标题21.
5millionSSNsstoleninsecondOPMbreach,alongwithfingerprintsandbackgroundinfo中文标题美国联邦人事管理局被黑客攻击2,150万人资料遭泄露,包含指纹和背景信息数据作者AshleyCarman作者单位SCMagazine中文摘要美国联邦人事管理局遭受攻击泄露的数据中,包括1970万个人背景数据、表格、社会安全编码(SSNs),以及110万指纹数据.
SF-86、SF-85和SF-85P表格数据也遭泄露,其包含背景采访,用户名与密码申请等信息.
OPM表示联邦人员的健康、财务、薪金以及退休记录均未受到影响.
数据泄露的通知已经发送至所有的受害者.
链接地址http://www.
scmagazine.
com/opm-elaborates-on-data-breaches/article/425643/每周新恶意代码信息本周共发现1个移动恶意代码和11个PC恶意代码病毒分类新出现的病毒名称/发现日期病毒特点/信息来源移动恶意代码Trojan_Foreign.
HRN发现日期:2015年7月6日该变种创建病毒子程序,判断自身是否在移动硬盘(如U盘)中启动,如果是,则会执行文件再次感染系统,随后会注册一个移动存储设备的回调函数,当有移动设备插入时,会通知病毒执行感染操作.
大连网安:http://www.
ga.
dl.
gov.
cn/publish/20157684926.
aspPC恶意代码TrojanDownloader:Win32/Dowector.
A发现日期:2015年7月6日此威胁未经用户允许,下载、安装其他程序到用户电脑,包括恶意程序.
Microsoft:http://www.
microsoft.
com/security/portal/threat/encyclopedia/entry.
aspxName=TrojanDownloader:Win32/Dowector.
ATrojanSpy:Win32/Nivdort.
AN发现日期:2015年7月6日此威胁收集用户敏感信息,发送给恶意黑客.
利用代码注入,使得对其难以检测、清除.
Microsoft:http://www.
microsoft.
com/security/portal/threat/encyclopedia/entry.
aspxName=TrojanSpy:Win32/Nivdort.
ANBackdoor:Win32/Zegost.
DT发现日期:2015年7月6日此威胁给予恶意黑客未授权的访问权限,控制用户电脑.
Microsoft:http://www.
microsoft.
com/security/portal/threat/encyclopedia/entry.
aspxName=Backdoor:Win32/Zegost.
DTTrojan.
Infostealer.
Boyapki.
C发现日期:2015年7月6日此威胁能够对所入侵的电脑进行恶意活动.
(威胁等级较低)Symantec:http://www.
symantec.
com/security_response/writeup.
jspdocid=2015-070711-4915-99Trojan.
Crisis发现日期:2015年7月7日此威胁能够打开后门,窃取信息.
(威胁等级较低)Symantec:http://www.
symantec.
com/security_response/writeup.
jspdocid=2015-070914-2954-99Backdoor:Win32/Fynloski.
R发现日期:2015年7月7日此威胁给予恶意黑客未授权的访问权限,控制用户电脑.
Microsoft:http://www.
microsoft.
com/security/portal/threat/encyclopedia/entry.
aspxName=Backdoor:Win32/Fynloski.
RTrojanDownloader:Win32/Nefhop.
A发现日期:2015年7月7日此威胁利用JavaScript漏洞检查用户电脑,寻找电脑信息用于未来的攻击中.
Microsoft:http://www.
microsoft.
com/security/portal/threat/encyclopedia/entry.
aspxName=TrojanDownloader:Win32/Nefhop.
ATrojan.
Downloader.
Crisis发现日期:2015年7月8日此威胁下载潜在的恶意文件到所入侵的计算机.
(威胁等级较低)Symantec:http://www.
symantec.
com/security_response/writeup.
jspdocid=2015-070914-3745-99Exploit:JS/Sevdaq发现日期:2015年7月9日此威胁未经用户允许,下载、安装其他程序到用户电脑,包括恶意程序.
Microsoft:http://www.
microsoft.
com/security/portal/threat/encyclopedia/entry.
aspxName=Exploit:JS/SevdaqTrojanSpy:BAT/Ursnif.
A发现日期:2015年7月10日此威胁能够收集用户敏感信息,发送给恶意黑客.
Microsoft:http://www.
microsoft.
com/security/portal/threat/encyclopedia/entry.
aspxName=TrojanSpy:BAT/Ursnif.
ATrojanDownloader:Win32/Mytonel.
B发现日期:2015年7月10日此威胁未经用户允许,下载、安装其他程序到用户电脑,包括其他恶意程序.
Microsoft:http://www.
microsoft.
com/security/portal/threat/encyclopedia/entry.
aspxName=TrojanDownloader:Win32/Mytonel.
B2译文2015年7月(总第1期试行)邮箱:antiynews@antiy.
cnXpaj.
B是当前最复杂的感染式病毒之一,无论是分析、识别还是修复都十分的困难.
这个两部分的文档将包含对该感染式样本的深入分析.
感染要点Xpaj.
B只感染后缀名是DLL,SYS,EXE和SCR的文件,同时如果文件名的校验和在白名单中也不会对文件进行感染.
如果文件中包含附加数据或文件是系统保护文件或文件的大小不大于0x2800都将不会被感染.
而只有对应cpu型号是interli386的32位pe文件才会被感染.
只有在xp系统下,病毒才会感染系统文件;如果要感染的系统文件导入表中包含校验和为0x36036a24、0xe742ea43、0x4b1ffe8e的动态库名字,且被插入病毒数据的节名称不是"init",也将不会被感染.
如果要感染一个文件,第一步将是选择一个要插入病毒各种数据的数据节.
为了避免重复感染,将监测插入病毒数据的数据节最后一个byte的值是否小于0xfc,否则不再感染.
当找到一个适当的节后,病毒将会从入口点所在的数据节中选取一些子函数,并将其函数代码存放到所选的数据节中;而后用病毒代码替换子函数的代码,被替换的病毒代码包含一个简易的基于堆栈的虚拟机,其主要功能为:获取ZwProtectVirtualMemory函数地址;调用该函数修改包含加密病毒代码的内存;通过虚拟机构造一段解密代码解密被加密的病毒代码;最后构造一段指令跳转到被解密的病毒代码去执行.
随机配置确定被插入的数据节后,病毒将计算要插入数据的大小,用以调整被插入数据节的大小.
病毒将遍历并解析被感染文件所有包含rva地址的结构表,诸如:导出表,资源表,重定位表等.
如果被遍历到的RVA地址大于插入数据节的结尾地址,病毒将会对这些地址进行重定位,即加上插入数据的大小;如果需要,病毒还会对资源和入口点地址进行重定位.
详情参见图1.
图1重定位资源和入口点地址此后病毒将移动插入数据的数据节后面的数据,增加插入数据的数据节的大小,被增加的空间中将包括病毒代码,补丁结构表,虚拟机操作结构数组以及用以存放虚拟机构造的解密代码和跳转代码的空间.
将这些数据写入被扩展的空间之前,病毒会先向其写入随即数据;写入的病毒数据在写入前可能会被变形,插入数据节中的病毒数据的内容分布参见图2.
而补丁结构表,虚拟机操作指令结构数组会在写入病毒代码之后写入;包括病毒体,补丁结构表,虚拟机操作结构数组写入时都将会被加密,至于解密代码和跳转代码是在虚拟机被执行时,构造到该处3W32.
XPAJ.
B感染分析中国赛门铁克yanliang/文(下转第四版)DWORDxorshift(DWORDgiven_dword){DWORDseed;DWORDkey_radix;DWORDkeep_value2;DWORDkeep_value3;DWORDxor_shift_key_array[3];//itwillusesystemtimetoupdatethisarrayseed=given_dword*100;key_radix=(xor_shift_key_array[0]>19)^(keep_value3))^key_radix)^(key_radix>>8));return((xor_shift_key_array[3]+keep_value2)%seed)/(100);}图3异或变换操作原节数据病毒体补丁结构表插入数据虚拟机操作结构数组解密指令和跳转指令空间随机数据长度:xorshitf[0x1000]+0x100随机数据长度:xorshitf[0x1000]+0x100随机数据长度:xorshitf[0x10]+0x2010不定结构表大小随机数据长度:0xe00虚拟机操作结构数组大小图2插入到数据节中的病毒数据的内容分布安天实验室antiy.
cn哈尔滨|北京|上海|武汉|深圳电话:0451-86219018/010-82893723内部资料仅供参考分析报告2015年7月(总第1期试行)邮箱:antiynews@antiy.
cn4文件名22f8adaaa9738665d1534371b2e16075f53f3f28450679594ba8d9aa169277f2文件类型Document/Microsoft.
RTF[:RichTextFormat]大小416KBMD5B8AD4939B4F938475C4E23C9CCF7353D首次发现时间2015-07-1911:50末次发现时间2015-07-1911:50病毒类型高级威胁恶意判定/病毒名称Exploit.
rtf判定依据动态行为下次鉴定时间约2周文件被页面手工提交发现,经由安全云鉴定器、智能学习鉴定器、动态行为(默认环境)鉴定器等鉴定分析.
依据动态行为鉴定器最终将文件判定为高级威胁.
该文件具有以下行为:格式溢出、查找浏览器进程、获取系统版本、连接网络、获取socket本地名称、获取计算机名称、创建特定窗体、获取驱动器类型、获取系统内存、查找特定窗体、独占打开文件、请求加载驱动的权限、获取主机用户名称.
运行环境操作系统Windowsxp5.
1.
2600ServicePack3Build2600内置软件默认,ie6,ffice2003,flash,wps,FoxitReader,adobereader危险行为行为描述格式溢出附加信息ApplicationNameC:\WINDOWS\system32\verclsid.
exeApplicationNameC:\WINDOWS\system32\verclsid.
exeApplicationName(null)ApplicationName(null)危险等级完整报告可点击http://antiy.
pta.
center/_lk/reports.
html下载.
的.
最后病毒将修改pe头中的节信息和映像等信息.
病毒通过变形的异或变换操作计算各短数据在扩展空间中的位置,以达到各段数据地址随机的目的.
详细的异或变换操作参见三版图3.
执行权限获取和数据解密Xpaj.
B和其他简单的感染式病毒不同,并不是当被感染文件执行时劫持控制权来执行病毒;它通过从入口点所在的数据节中选定一定数量的子函数,当子函数的原始代码被复制到选定插入数据的数据节后,子函数地址下将会被覆盖病毒代码.
由于这种方式并不能确保每次被感染文件被执行时都会被执行,病毒同时会随机修改一些其他的无关函数调用call指令地址使其指向病毒代码,以此来提高病毒代码被执行的几率.
为了找到一个可以被改写的子函数,病毒将获取入口点所在数据节的指令和子函数信息.
通过反汇编器获得的这些信息主要用来判断子函数是否可以被改写以及可以改写的字节数.
我分析的变种中,第二个被修改的子函数至少将覆盖0x36个字节,其他子函数覆盖的字节数也不会少于0x24个字节,同时改写的子函数的个数将不超过10个,也不会少于2个.
被改写的子函数代码的总长度会在0x186和0x28之间.
同时病毒将保存被改写的原始数据到被扩大空间的数据节中;为防止文件被损坏被改写代码的重定位信息表也会被写入到这个数据节中.
被改写的子函数和被重定位的函数中的重定位信息都将按照一定结构存储.
需要说明的是,被改写的子函数的原始代码拷贝到扩展的数据节后,将会在扩展节被执行.
为了保证被移动后的代码在新的位置能够正确执行,那些调用了被移动地址数据的指令将会被重定位.
一旦改写函数被找到,一些无关的子函数也会被重定向到改写函数的起始地址,以期提高病毒代码的执行几率,与此同时,病毒也必须为重定位函数记录补丁结构表.
虚拟机要想被成功执行必须从第一个改写的子函数起始地址开始执行,当第一个改写函数或是重定位call指令被调用,虚拟机将开始工作,同时病毒获得执行权限.
为了保证其他改写函数被调用时,虚拟机也能正确执行,除第一个被改写函数外,其他被改写函数的起始代码都是如下格式:pushebppushebp,esppushreg(除esp和ebp外的所有寄存器)call第一个改写子函数的地址虚拟机的指令,将会被写到这些被改写函数的剩余空间中.
而补丁结构表和病毒体代码都将会被加密后存放于扩展数据节中.
基于堆栈的多态虚拟机病毒将会向被改写的子函数空间中写入一个基于堆栈的多态虚拟机.
虚拟机代码具有高度的多态性,具体虚拟机的多态实现,将在下个月的第二部分报告中详细阐述.
参考文献[1]Krysiuk,P.
Xpaj.
B-AnUpperCrustFileInfector.
SymantecSecurityResponseblog.
http://www.
symantec.
com/connect/blogs/w32xpajbupper-crust-file-infector.
(上接第三版)