Aggregator

2016年10月21日知名網路服務 Dyn 遭受殭屍網路發動三波巨大規模 DDoS 攻擊，世界各大網站服務皆因為此攻擊而中斷，包括 Amazon、Twitter、Github、PayPal 等大型網站都因此受到影響。資安人員研究發現，本次 DDoS 攻擊的發起者未明，但多數攻擊流量來自殭屍網路「Mirai」，利用 IPCAM、CCTV、DVR、IoT 裝置等系統進行 DDoS 攻擊。為什麼這些設備會成為攻擊的幫凶呢？我們又該如何自保呢？

一個攻擊事件，一定有背後的原因。攻擊者一定是有所求，才會進行攻擊，可能是求名、求利或求樂趣。因為 DDoS 攻擊會直接影響目標系統的運作，對系統營運造成影響，在黑色產業的循環中通常會利用這種攻擊來勒索錢財。例如針對營運線上遊戲的公司進行 DDoS 攻擊，讓遊戲服務中斷，逼迫企業將主機的連線花錢「贖」回來。但 Dyn 這次的事件各家都沒有收到類似的勒索信，因此資安專家們推測，這可能是一次練兵，或者甚至是 DDoS 攻擊服務的行銷手法。如果我們用黑色產業的角度去思考一個攻擊行為，就會有截然不同的看法。試想，如果這是一次駭客組織的商業行銷行為，目的是展現這個團隊的 DDoS 攻擊火力，這樣的成果是否可以稱作是一個成功案例呢？如果你是服務購買者，是否對這樣的服務有信心呢？

利用 IoT 裝置及網通設備佈建殭屍網路 (botnet) 已經不是新聞。Internet Census 2012 是一次資安圈的大事件，一個稱為 Carna 的 botnet 利用了全世界 42 萬台裝置，掃描全世界整個 IPv4 設備，蒐集 IP 使用狀況、連接埠、服務標頭等資訊，並且提供共計 9TB 資料開放下載研究。而這個 botnet 多數利用路由器 (router) 的漏洞，利用預設密碼、空密碼登入設備，植入後門供攻擊者控制。而後的幾次大型攻擊事件都與 IoT 及嵌入式裝置有關係，讓 IoT 的口號「萬物皆聯網」成為「萬物皆可駭」，也讓資安研究人員對於研究這類型設備趨之若鶩。近年智慧車輛不斷發展，國際間也不少智慧車輛被駭的事件。車輛被駭影響的就不單是資訊系統，更會波及人身安全甚至整個城市的交通，資安考量的影響也遠比以前嚴重。

究竟是怎樣的安全漏洞讓攻擊者這麼輕易利用呢？目前攻擊者及 botnet 多數利用的還是使用預設密碼、或甚至是沒有設定密碼的裝置。網站 Insecam 揭露了全世界數萬支未修改密碼的攝影機，再再顯示不少民眾或公司行號購買了監視器，卻沒有健全的資安意識，讓監視器暴露於全世界之中。更多攝影機、監視器等的資安議題可以參考我們的文章「網路攝影機、DVR、NVR 的資安議題 - 你知道我在看你嗎？」。除了預設密碼之外，設備中的後門也是一個大問題。不少路由器、無線基地台廠商被爆出系統中含有測試用的登入帳號，該帳號無法關閉、無法移除，且容易被攻擊者進行研究取得。除了等待廠商升級韌體來修補該問題之外，沒有其他解法，因此成為攻擊者大量取得控制權的方式之一。

IoT 裝置為什麼會成為攻擊者下手的目標呢？我們可以分成幾點來探討。

第一，嵌入式裝置以往的設計都是不連網，IoT 的風潮興起之後，各廠商也為了搶市場先機，加速推出產品，將原本的產品加上網路功能，甚至 App 控制功能。而求快的結果就是犧牲資安考量，加上廠商可能原本並非網路專長，也沒有足夠的資安人員檢視安全性，導致設計出來的產品資安漏洞層出不窮。產品的設計必須嚴守 Security by Design 的原則，在開發初期的每個環節都納入資安考量，並且遵守 Secure Coding 規範，避免在產品後期疊床架屋，造成要釐清資安問題的根源更難如登天。

第二，產品的更新機制問題。IoT 裝置的更新機制在早期並沒有謹慎考量，需要使用者自行下載韌體更新，甚至有些裝置必須回廠才能進行更新。不少使用者只要產品沒有出問題，並不會主動進行韌體更新，甚至覺得更新只會造成更多問題。在沒有便利更新機制的情況之下，設備的資安問題更難以被妥善處理。近期因為資安事件頻傳，FOTA (Firmware Over-The-Air) 機制才逐漸被重視，但其他資安問題也隨即而來。如何確保韌體的完整性？如何防止攻擊者下載韌體進行研究修改？這些都是廠商需要不斷去反覆思量的。

第三，敵暗我明，也是我們認為最重要的一點。我們認為資安就是攻擊者與防禦者的一場資訊不對稱戰爭，防禦者（廠商）通常只會憑藉著自己的知識跟想像進行防禦，但卻不知道攻擊者的思維跟手法。就像春秋時代公輸般，建造雲梯協助楚國攻擊宋國的城池。唯有了解攻擊者，化解這個不對稱的資訊，才能有效的進行防禦，如同墨子了解雲梯的攻擊方式，模擬各種對應防禦的手法，才成功讓楚王放棄攻擊。不僅是 IoT 廠商，所有企業都必須了解攻擊者的思維、手法，知曉這個黑色產業的運作，甚至針對攻擊的方式進行模擬演練，將每一個防禦的缺口補足，才可以正面迎戰攻擊者。

身為使用者，我們該如何確認自己的設備有沒有被感染呢？若被感染該怎麼有效清除呢？建議先搜尋網路上目前已公開有漏洞的廠牌及型號，若在問題清單之內，先將整台設備備份設定後，回復原廠初始設定，以確保攻擊者放置的惡意程式都被清除。接著更新廠商所釋出的新版韌體，並記得在更新安裝完畢後立即更換密碼以防二度被入侵。若廠商無釋出更新，可能是資安不被重視，也可能是廠商已經結束營運。如果還是選擇要使用這個設備，建議將設備轉放在內部網路，或者是在前面增加防禦設備，避免攻擊者入侵。

至於廠商該怎麼跟上資安的腳步呢？我們認為目前廠商最重要的就是資安意識。這已經是老生常談，以往網路產業逐漸重視資安，但跨入網路的其他資訊產業恐怕還沒意識到資安的嚴重性。凡舉傳統家電轉為智慧家電、車輛轉為智慧車輛、甚至基礎建設也逐漸資訊化的現在，若這些踏入網路的產業沒有相對應的資安意識，恐怕很難在初期就預防風險的發生。企業也必須盤點風險的所在，透過人工滲透測試模擬攻擊者的攻擊思維及路徑，如同軍事演習一般，將入侵的途徑一一封鎖。我們認為 IoT 等嵌入式裝置、智慧家電、甚至網通資安設備本身，未來都會是駭客組織攻擊的對象，利用更新的困難度跟管理者的疏於管理，建置一個個大規模殭屍大軍，成為未來戰爭的棋子。我們期許未來廠商建構產品時，都能優先納入資安考量，不成為黑色產業的幫凶，也讓國際認可台灣產品是資安至上的優良品質。

Yahoo Inc. just revealed its second major breach in a year. Its first disclosure, taking place in September, claimed that...

The post A Billion Users Affected by Latest Yahoo Breach appeared first on McAfee Blog.

Speaking Notes for the Opening Statement to the Intelligence & Security Committee by Andrew Hampton, Director, Government Communications Security Bureau.

2016 has been quite the year. From widespread IoT attacks, to ransomware campaigns that extract millions of dollars, cyberthreats have...

The post From the Cloud to Drones: Threat Predictions for 2017 appeared first on McAfee Blog.

先来看可以导致任意文件删除的地方，在E:/www/zzcms/user/delimg.php中第12行:

这里有一个任意文件删除的操作，也就是从zzcms_main中查询出来的img字段值做了一个删除操作。但是这个地方的$id虽然我们不能注入，但是是我们可控的，所以我们找一个入库的地方看看。

在/user/zssave.php中第107行:

可以看到对应着action的不同，sql语句也不同，第一个是Insert，第二个update。我们看到在两个sql语句中都有img这个字段。并且相对应的的值$img1也是我们可控的：

其次就是对于update语句，我们还能控制update哪一行，因为主键id的值也是我们可控的：

所以结合上面所说，我们能够控制任意zzcms_main表中任意一行img字段的值，所以说我们能够删除任意文件。

漏洞利用：
首先为了防止zzcms_main表中没有任何数据，所以我们首先进行一个增加数据的操作:
payload:

然后我们开始更新第一行的img字段的值，payload：

然后我们再进行删除操作：

POST: action=1&id=1
就能删除掉install.lock文件啦。然后开始重装：

Protecting New Zealand’s digital assets in an interconnected world (29.11.16) by Andrew Hampton, Director GCSB.

　　JEB是Android应用静态分析的de facto standard,除去准确的反编译结果、高容错性之外,JEB提供的API也方便了我们编写插件对源文件进行处理,实施反混淆甚至一些更高级的应用分析来方便后续的人工分析.jeb凭借其牛X的保护措施和高昂的售价，使得诸多普通逆向爱好者望而却步。
　　不过最近国内一些论坛爆出了jeb的2.2.7破解版本。据说jeb从2.2开始就支持动态调试了，在没有这个之前，我一直用的androidstudio+smalidea来进行调试的，比较麻烦。试用了一下jeb的动态调试功能表示很不错。

　　其实很简单，不过其中有几个小细节需要注意，首先打开我们的jeb，将apk拖入jeb，如图：

我们双击一下Bytecode。然后会出来两个窗口，一个是smali代码的窗口，一个是apk的结构，如图：

然后我们双击一个类，就可以调到该类的smali代码，如图，我双击KeyListener这个类：
就会自动跳转，这个时候按一下快捷键q就能反编译成伪代码，如图：
然后我们回到smali代码找个地方按ctrl+B下断点(取消断点也是改快捷方式)，如图：

然后我们开始debug,点击这个按钮：
然后出现选择如图所示，选择设备和进程，带D的就是该apk的进程

注意：此时不要开启ddms，不然会出错的
然后点击attach，不出意外就能成功attach上了。
然后我们触发断点：
像这样，就说明成功触发了：

这个时候我们查看VM/Breakpoints这个窗口，就能看到变量的值了，但是这里有个小问题，可以看到v3这个地方应该是个字符串，但是显示的确实数字:

所以这个时候我们需要自己动手改一下啦，将int改为string，就能够正常显示啦！

可以看到自动显示了我们输入的字符串为balisong

这里比较方便的是，从伪代码也能看到该变量的值。
然后其余的比如F6可以单步步入，从上面菜单可以看到debug的功能。这里就不赘述了。
至于软件的下载方式，大家搜一搜，就能找到的。
好了，就到这里。