Fortinet 推出集成化SD-WAN解決方案 構建下一代企業網

Fortinet 推出集成化SD-WAN解決方案 構建下一代企業網

2019-05-31 10:55    原創  作者: 高博 編輯:
0購買

  由於能夠幫助用戶降低廣域網(WAN)的開支,並提高網絡連接的靈活性和擴展能力,軟件定義廣域網網絡(SD-WAN)獲得了企業客戶的普遍歡迎,SD-WAN 的市場“藍海”迅速在向“紅海”進行轉變。在擁擠不堪的 SD-WAN 市場中,Fortinet認為,用戶不僅需要滿足體驗質量、網絡性能、擴展性等方面的需求,還需要應對嚴苛的安全挑戰。基於此理念,Fortinet實現了專業 SD-WAN 設備與下一代防火牆 (NGFW) 的融合集成,為不同網絡規模的應用場景提供了高性能、強安全性、高擴展性、應用感知的 SD-WAN 能力。

  集成化的 SD-WAN 方案成為大勢所趨

  與傳統網絡體系相比,SD-WAN 建立於透明、可控、可預測的白盒體系,可以定義與虛擬化出需要的網絡資源,具備靈活組網、快速開通、快速入雲、集中管控、增值服務等諸多優勢,可以有效應對複雜的網絡業務,並成為當前網絡演進的重要方向。據Gartner預測,到2019年底,30%的企業將在其分支機構中部署SD-WAN,5年內出現規模化商用。CBInsight的研究報告也显示,SD-WAN已經成為2019年企業最優先選擇採用的IT技術。

  由於 SD-WAN 與傳統網絡架構存在着很大的差異,網絡入口變得更多、應用環境更加靈活,這也對於其安全性、性能等方面帶來了額外的挑戰。Fortinet中國區總經理李宏凱指出:“SD-WAN是一種跨界技術,傳統網絡廠商在這個領域優勢並不明顯,而用戶在網絡基礎上對應用識別、安全、體驗質量、性能等多方面的需求,給予了Fortinet巨大的機會。而且在傳統的網絡架構中,安全和大網絡設計是分開的,而SD-WAN把WAN變成了LAN,安全問題一下會暴露出來,Fortinet直接將安全融入到基礎網絡架構中,使用戶不用再單獨思考安全的建設,這樣一體化的設計,對企業網絡安全建設的有效性會起到極大的促進作用。”

  目前,集成化的 SD-WAN 解決方案已經成為網絡行業演進的一個顯著趨勢。通過集成化 SD-WAN 解決方案的部署,用戶不僅能夠獲得安全性、擴展性、性能、成本等方面的能力,還可以獲得網絡能力的一站式交付,同時實現統一運維與管理,促進網絡運維的持續簡化。

  “SD-WAN + NGFW” Fortinet推出集成化 SD-WAN 解決方案

  基於集成化的理念,Fortinet推出了Secure SD-WAN 解決方案,該方案包括同類最佳的下一代防火牆(NGFW)、SD-WAN、高級路由和WAN優化功能,在統一產品中提供了由安全驅動的廣域網絡邊緣轉換。在安全層面,Fortinet擁有可覆蓋整個攻擊平面的安全能力,而且支持多種安全SD-WAN架構,在NSS實驗室為軟件定義廣域網進行的首次測試中,獲得了“推薦”評級;在性能、成本等方面,Fortinet的SD-WAN 專業芯片可帶來相較傳統設備高達10倍的性能提升,同時在VoIP和視頻流量的體驗質量、互聯性能和性價比方面均名列前茅。

  Fortinet中國區技術總監張略指出:“Fortinet Secure SD-WAN 解決方案的突出優勢在於,其擺脫了當前 SD-WAN 市場各類型解決方案各自孤立的現狀,在整合的平台中提供了優秀的安全性、擴展性、高性能與統一管理的能力。對於用戶來說,其無需在 SD-WAN 的整合方面耗費時間與精力,就能夠得到經過驗證與優化的 SD-WAN 解決方案。”

Fortinet Secure SD-WAN解決方案概覽

  要部署 SD-WAN,不同網絡應用場景下有着不同的需求,針對小規模網絡應用場景與大企業分支互聯應用場景,Fortinet提供了對應的解決方案:

  在零售、物流、小型金融分支機構、連鎖門店等單體規模較小的應用場景,Fortinet基於 SD-WAN 與備受好評的“安全接入(Secure Access Architecture)”解決方案 的融合,發布了全新的SD-Branch(軟件定義分支機構)解決方案,可幫助分支辦公室建立基礎網絡,並支持在單一的管理控制台上管理整個廣域網絡,使用FortiGate作為SD-WAN CPE設備、NGFW和有線無線一體化管理器,實現 SD-WAN 的敏捷、安全、低成本部署與運維。

  在大企業分支互聯場景,Fortinet一貫的性能體驗,能夠滿足大分支,甚至是大數據中心之間的SD-WAN互聯需求,並對應用可見性、基於策略的流量控制、加密數據包檢測和VPN可擴展性進行了全方位的提升。

  目前,Fortinet正在將 SD-WAN 能力融入到更為廣泛的產品與解決方案之中,在Fortinet新推出的操作系統 FortiOS 6.2版本中,顯著提升了SD-WAN 功能,為SaaS、VoIP和其他商業關鍵應用程序的粒度控制提供應用程序優先級。

網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師"嚨底家"!!

如何有效應對無文件攻擊?

如何有效應對無文件攻擊?

2019-05-31 14:53    原創  作者: 高博 編輯:
0購買

  近年來,一種被稱為無文件攻擊的滲透形式與日俱增,逐漸引起人們重視。這類攻擊從2016年初的3%上升到了2018年11月的13%, 並且還在持續增長,知名安全公司Carbon Black對超過1000名用戶(擁有超過250萬個包括服務器和PC在內的主機)進行分析后發現,幾乎每個組織都遭到了無文件攻擊。平均每3個感染中就有1個是無文件攻擊造成的。早在2017年4月,黑客通過新型惡意軟件 “ATMitch”,以“無文件攻擊”方式,一夜劫持俄羅斯8台ATM機,竊走80萬美元。在今年年初,全球40個國家的140多家包括銀行、電信和政府機構等組織遭到 “ATMitch”無文件攻擊,感染機構遍布美國、法國、厄瓜多爾、肯尼亞、英國和俄羅斯等國家。在全球經濟和網絡一體化的時代,中國用戶同樣不能倖免。據悉,國內54%的公司經歷過1次或多次破壞了數據或基礎設施的成功攻擊,其中77%的攻擊利用了漏洞或無文件攻擊。

  無文件攻擊並非沒有文件

  以無文件攻擊中最常見的一類(無文件挖礦攻擊)舉例:如果用戶在點開文檔之後,電腦瞬間被卡,反應速度緩慢,不能工作。關機重啟之後,電腦卻照樣沒反應,散熱風扇山響,CPU資源佔用了100%……殺毒軟件查不到任何異常……一旦出現以上情況,用戶電腦十有八九是遭到無文件挖礦攻擊。

  無文件挖礦攻擊並非沒有文件基礎,只是因為在此類攻擊中,系統變得相對乾淨,傳統的防毒產品識別不出,更談不上及時通知技術人員進行防禦了,這就造成了這種攻擊好像沒有文件基礎的假象。這種無文件惡意攻擊主要是靠網絡的方法,在內存里存上一串惡意代碼,沒有落地文件,這樣一來,殺毒軟件就很難發現其蹤跡了。

  對付無文件攻擊,傳統安全手段失靈

  任何惡意代碼,只要重啟電腦,內存就清除。可是重啟對無文件攻擊沒有作用。無文件攻擊通常採用powershell.exe,cscript.exe,cmd.exe和mshta.exe運行遠程腳本,該腳本不落地到本機內,同時將該任務設置為計劃任務或者開機啟動,重啟無效。這些程序都是系統的合法程序,殺毒軟件自然無可奈何。無文件攻擊在成功潛入內存並安定下來后,便可以為所欲為,或進行挖礦、加密文件進行勒索、連接遠程C&C下載更多病毒文件等。一切操作都是披着合法外衣悄悄進行,不僅獲得了權限,是合法的,而且也不大,所以幾乎不會被殺毒軟件發現。

  無文件攻擊的傳播迅猛

  無文件攻擊的傳播極快。以今年4月,傑思安全的某重要用戶網內大面積爆發無文件挖礦攻擊為例。這次攻擊的所有模塊功能均加載到內存中執行,沒有本地落地文件,攻擊內置兩種橫向傳染機制,分別為Mimikatz+WMIExec自動化爆破和MS17-010“永恆之藍”漏洞攻擊,堪稱火力全開,極易在內網迅猛擴散。從下圖,我們可以感受無文件無文件攻擊是有多麼兇猛。

  攻擊順序如下:

  1.首先,挖礦模塊啟動,持續進行挖礦。

  2.其次,Minikatz模塊對目的主機進行SMB爆破,獲取NTLMv2數據。

  3.然後,WMIExec使用NTLMv2繞過哈希認證,進行遠程執行操作,攻擊成功則執行shellcode使病原體再複製一份到目的主機並使之運行起來,流程結束。

  對付無文件攻擊,主機防護是關鍵

  截止4月25日,傑思獵鷹主機安全響應系統在該用戶已部署安全探針的1426台主機上,共阻止端口掃描行為24813次,發現端口掃描攻擊源IP共36個;共阻止暴力破解行為2021585次,發現暴力破解源IP共28個。有圖為證:

  (為了保護用戶安全,打碼處理)

  不得不說,該用戶的內網主機經歷了一場有驚無險的圍攻,最終化險為夷,安然無恙。該用戶的員工在使用中並沒有太多異樣感覺,殊不知他們在正常工作的時候,傑思獵鷹主機安全響應系統一直在默默地保駕護航。

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

關於網絡安全防禦,每个中小企業應該知道的5件事

關於網絡安全防禦,每个中小企業應該知道的5件事

2019-05-31 16:24    原創  作者: 高博編譯 編輯:
0購買

  根據美國商業促進局(BBB)的數據显示,你可能會驚訝地發現,小型企業佔北美所有企業的97%以上。根據這個統計数字,我認為好消息是,在所有網絡攻擊中,針對小企業的攻擊不到一半。壞消息是,當中小企業受到攻擊時,大多數企業將無法生存,但事實可能並非如此。接下來讓我們一起來看一下,關於網絡安全防禦,中小企業的高管們都應該知道哪些事。

  1. 中小企業是有吸引力的目標:根據SCORE的數據显示,有43%的網絡攻擊是針對小企業的,而2018年Verizon數據泄露調查報告發現,58%的小企業遭遇過網絡攻擊,成功率很高。除了可以直接從中小企業竊取信息外,黑客還可以將中小企業作為更大規模攻擊的啟動平台,並滲透到更大的組織中。他們持續發動攻擊,企圖獲得最大的回報,這意味着中小企業將繼續留在他們的視野之內。

  2. 攻擊的影響可能是毀滅性的:根據活動的性質和範圍,對這些企業來說,從網絡攻擊中恢復過來可能是困難的,而且代價高昂,甚至是不可能的。中小型企業擁有多個分支或業務部門的可能性較小,而且它們的核心繫統通常相互聯繫更加緊密。當這些組織遭遇網絡攻擊時,威脅可以快速且容易地從網絡傳播到其他系統,造成毀滅性的影響。BBB詢問北美的小企業高管:“如果您永久失去對基本數據的訪問權限,您的企業能持續盈利多久?”只有約三分之一的企業表示,它們的盈利能力能夠維持3個月以上。超過一半的企業表示,它們將在不到一個月的時間里無利可圖。

  3.在思科對26個國家1816家中小企業的調查中,我們發現中小企業最關心的是這些網絡威脅:

  •針對員工的針對性攻擊——想想精心策劃的網絡釣魚活動

  •高級持續威脅——世界上從未見過的高級惡意軟件

  •勒索軟件——這可能尤其有害,因為中小企業更傾向於支付贖金,因為它們根本負擔不起停機時間和無法訪問關鍵數據所帶來的損失。

  4.不要忘記這些其他的威脅:儘管人們對勒索軟件感到擔憂,但隨着越來越多的對手將注意力轉向加密——竊取計算能力,以開採加密貨幣並創造收入,這種威脅正在減弱。當加密軟件進入一個環境時,它會降低系統性能,具有監管方面的影響,並表明SMB更容易受到其他類型的威脅。

  此外內部威脅也在上升,沒有任何組織能倖免。但這並不意味着每家公司都有員工惡意地將公司置於風險之下。粗心大意的員工或承包商通常是根本原因。

  5、這些建議可以幫助加強防禦。有許多方法——跨越人員、流程和工具,來推動網絡安全方面的改進。以下是一些建議:

  •正確看待外包和雲:與規模更大的企業一樣,中小企業也面臨網絡安全人才短缺的問題,因此許多企業希望通過外包和雲計算來幫助加強防禦。兩者都是幫助企業充分利用有限資源的有效手段。然而,如果企業認為外包供應商或雲合作夥伴可以提供它們內部缺乏的所有功能,那麼它們可能會遇到麻煩。中小企業應該了解,外包安全提供商提供的分析和監視服務的範圍,以及雲提供商提供的安全控制的類型和影響。

  •加強安全流程:對安全實踐的全面審查有助於組織確定其防禦中的弱點。這些流程在中小型企業中並不常見,可能是由於缺乏人員配備,但最終它們可以在很大程度上減輕員工的負擔。通過回顧安全實踐,中小企業可能發現他們需要加強或添加以下內容:一致的訪問權限管理和職責隔離、網絡分段、密碼管理、備份關鍵數據並確認這些備份不會受到損害,以及正在進行的員工安全意識培訓。

  •尋找集成的工具:中小企業考慮使用新工具時,要避免增加要管理的供應商數量。選擇一個開放平台,在共享數據和威脅情報方面簡化與工具的集成,而不是與單個產品進行鬥爭,每個產品都生成自己的一組警報,使識別那些構成最大風險的威脅變得困難。這樣的平台還可以提供自動化功能,從不同的安全產品中提取數據,並將它們聚合到一個易於閱讀的窗格中,從而節省大量的時間和挫折,同時提供更好的可視性和控制。

  即使中小企業沒有資源進行全面的安全性評估和全面檢查,但增量更改也比沒有好。同樣重要的是要記住,隨着威脅形式和攻擊面的不斷演變,安全措施措施必須在此基礎上不斷進行審查和修訂。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

360瀏覽器批准Google六項入根申請,推進行業根證書計劃合作

360瀏覽器批准Google六項入根申請,推進行業根證書計劃合作

2019-05-31 22:29    原創  作者: 高博 編輯:
0購買

  日前,Google向360瀏覽器申請的6個根證書資質以及合法性檢查均已通過驗證,360將正式信任Google請求預置的6個證書,並安排入根,隨360瀏覽器正式版本發布。自2018年360瀏覽器宣布推出自有根證書計劃后,即致力呼籲行業根證書計劃合作,形成行業統一標準,推動CA認證技術改造,增強對證書問題的應對能力,進一步保障用戶上網安全。

  360瀏覽器信任的根證書列表如下:

  目前360瀏覽器根信任庫的吸引的頭部CA公司,佔據互聯網流量90%以上。

  2017年1月,Google宣布推出自有CA根證書,擺脫對由第三方簽發的中級證書頒發機構的依賴。

  2018年12月,360瀏覽器宣布創建自有根證書計劃,全面提升用戶上網的安全性,成為國內首家創建自有根證書的瀏覽器廠商。360瀏覽器根證書計劃默認信任操作系統信任的根證書,同時也會配置自己的根信任庫作為系統根信任庫的補充。CA公司申請加入360瀏覽器根證書計劃,360不會收取任何費用。

  目前360瀏覽器在國內擁有超過4億的活躍用戶,市場滲透率達到82%,是國內市場佔有率第一的瀏覽器產品。其不可撼動的市場地位及10餘年沉澱下來的技術實力,以及開放、公開、透明的入根原則,吸引了諸多全球頭部CA公司主動入根,此次Google向360瀏覽器申請6個根證書資質已是最直接的證明。

  此外,360安全瀏覽器已全面支持中標麒麟、銀河麒麟、中科方德、深度等安全可靠操作系統,龍芯、兆芯、飛騰、海光等CPU,完美兼容超過10個操作系統,5種CPU。對進入360信任根的数字證書公司而言,等同於在Windows XP 到Windows 10 , Linux , Mac , 中標麒麟、銀河麒麟、深度、中科方德等操作系統獲得数字證書的信任。

  未來,360安全瀏覽器也將推出雙證書方案,即一個網站可以部署兩種證書,並優先支持國密算法,保證安全性的同時推動國密根證書發展。

  作為國內首家也是唯一一家創建自有根證書的瀏覽器廠商,360呼籲其他瀏覽器加入根證書計劃,形成國內統一的證書報備和入根標準,方便對信任的根及時管理並做出緊急預案。同時期望有關部門針對根證書計劃頒布具體規則,實施統一規範,360將第一時間全力支持。

網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師"嚨底家"!!

密碼設置需避開哪些雷區?

密碼設置需避開哪些雷區?

2019-06-04 10:53    原創  作者: Olli Jarva 編輯:
0購買

  當今互聯網給人們的生活帶來便利的同時,也讓網絡安全、信息安全成為當下熱議的話題。比如,數據泄露問題或者密碼泄露問題都給大眾帶來了極大的擔憂。就密碼管理而言,如今許多公司都會制定密碼管理策略,但是在制定密碼管理策略時,會有哪些常見的問題也需要引起高度關注。

  雖然現在身份驗證技術已經更加成熟,但是密碼仍然是保護我們最敏感信息的主要途徑。密碼是防禦潛在入侵者試圖模仿另一個用戶的第一道防線,但這樣的防護往往比較弱。用戶通常想創建易於記憶的密碼,使用出生日期或紀念日,甚至寫下來。開發人員則想盡可能少地投入密碼管理策略中。畢竟,研發新功能比密碼管理和存儲更令人興奮、更有趣。

  許多密碼本身安全性非常弱,很容易猜得到,攻擊者就會有機可乘。最糟糕的是,我們信任的密碼存儲系統和其它關鍵信息的系統也面臨着許多安全挑戰。黑客會反覆嘗試密碼數據庫進行盜竊,攻擊者同夥經常會破壞那些保護數據的模式。

  我們探討一下公司在密碼管理策略方面做出的一些常見錯誤。讓在下面的討論中,我們將提到“在線攻擊”和“離線攻擊”。在線攻擊是對應用程序登錄頁面的攻擊,攻擊者試圖猜測用戶的密碼;離線攻擊是攻擊者獲取密碼數據庫副本,並嘗試計算存儲在其中的用戶密碼的攻擊。

  您已限制用戶可以使用的字符數量或種類

  推理:安全人員反覆告訴開發人員驗證所有輸入以防止各種攻擊(例如,注入攻擊)。因此,根據某些規則來制定驗證密碼的規則必然是一個好主意,對吧?

  攻擊:限制密碼中字符數量或種類的問題是減少了可能的密碼總數。這使得在線和離線攻擊更容易。如果我知道只允許在密碼中使用特殊字符!和@,那也就是我知道用戶密碼都沒有包含#,$,%,<和>等字符。此外,如果我知道只允許長度為8到12個字符的密碼,我也就知道所有用戶都沒有使用13個字符或更長的密碼。如果我想猜測用戶的密碼,這些規則可以讓我的工作變得更輕鬆。

  但是SQL注入、跨站點腳本,命令注入和其它形式的注入攻擊呢?如果遵循密碼存儲最佳做法,您將在收到密碼后立即計算密碼的哈希值。然後,您將只處理哈希密碼,不必擔心注入攻擊。

  防禦:允許用戶選擇包含任意字符的密碼。指定最小密碼長度為8個字符,但在可行的情況下允許任意長度的密碼(例如,將它們限製為256個字符)。

  您在使用密碼組合規則

  推理:大多數用戶選擇容易猜到的密碼。我們可以通過讓用戶選擇包含幾種不同類型字符的密碼,以強制用戶選擇難以猜測的密碼。

  攻擊:安全專業人員曾經認為,讓用戶選擇包含各種字符類型的密碼會增強密碼的安全性。不幸的是,研究表明這通常沒有幫助。 “Password1!”和“P @ ssw0rd”可能遵循了許多密碼組合規則,但這些密碼並不比“password”更強。密碼組合規則只會讓用戶難以記住密碼;它們不會讓攻擊者的工作變得更加困難。

  防禦:擺脫密碼組成規則。在應用程序中添加密碼複雜性檢查功能,告訴用戶他們的密碼選擇是否明顯強度偏弱。但是,不要強制用戶在其密碼中添加数字、特殊字符等。稍後,我們將討論如何使應用程序更安全,以防止安全性弱的用戶密碼。

  您沒有安全地存儲密碼

  推理:加密哈希函數是單向函數。因此,存儲哈希密碼應該可以防止攻擊者計算出它們。

  攻擊:與前面討論過的兩個問題不同,這個問題通常只與離線攻擊有關。許多企業和組織的密碼數據庫都被盜了。當掌握了被盜密碼庫和強大的計算能力,攻擊者通常可以計算出許多用戶的密碼。

  存儲密碼的常用方法是使用加密哈希函數,對密碼進行哈希處理。如果最終用戶選擇完全隨機的20+字符密碼,這種方法將是完美的。例如密碼設成:/K`x}x4%(_.C5S^7gMw)。不幸的是,人們很難記住這些密碼。如果簡單地對密碼進行哈希處理,則使用彩虹表攻擊就很容易猜到用戶選擇的典型密碼。

  阻止彩虹表攻擊通常需要在對每個密碼進行散列之前添加隨機“鹽”。“鹽”可以與密碼一起存儲在清除中。不幸的是,加鹽的哈希並沒有多大幫助。 GPU非常擅長快速計算加鹽哈希值。能夠訪問大量加鹽哈希和GPU的攻擊者將能夠使用暴力破解和字典攻擊等攻擊合理且快速地猜測到密碼。

  有太多不安全的密碼存儲機制,值得專門寫篇文章去探討。不過,我們先來看看您應該如何存儲密碼。

  防禦:有兩種主要機制可以防止攻擊者:一種是使哈希計算更加昂貴,另一種是向哈希添加一些不可估測的東西。

  為了使哈希計算更加昂貴,請使用自適應哈希函數或單向密鑰派生函數,而不是密碼哈希函數來進行密碼存儲。加密哈希函數的一個特性是它們可以被計算出來;這個屬性導致它們不適合用於密碼存儲。攻擊者可以簡單地猜測密碼並快速散列以查看生成的哈希值是否與密碼數據庫中的任何內容匹配。

  另一方面,自適應哈希函數和單向密鑰導出函數具有可配置的參數,這些參數可用於使哈希計算更加資源密集。如果使用得當,它們可以有助於充分減緩離線攻擊,以確保您有時間對正在受到攻擊的密碼數據庫做出反應。

  這種方法的問題在於,每次要對用戶進行身份驗證時,都必須自己計算這些哈希值。這會給服務器帶來額外負擔,並可能使應用程序更容易受到DoS(拒絕服務)攻擊。

  或者,您可以添加一些不可猜測的密碼哈希值。例如,如果要生成一個長隨機密鑰,將其添加到密碼哈希值以及唯一的隨機鹽,並且穩妥地保護密鑰,那麼被盜密碼數據庫對攻擊者來說將毫無用處。攻擊者需要竊取密碼數據庫以及能夠使用離線攻擊計算出用戶密碼的密鑰。當然,這也產生了一個需要解決的非常重要的密鑰管理問題。

  您完全依賴密碼

  推理:密碼必須是驗證用戶身份的好方法。其他人都在使用它們!

  攻擊:即使用戶執行上述所有操作,以使在線和離線攻擊更加困難,也無法阻止其它應用程序/網站執行不恰當的操作。用戶經常在許多站點上重複使用相同的密碼。攻擊者經常會在某平台嘗試從其它平台盜取密碼。

  此外,用戶成為網絡釣魚攻擊的受害者,因為一些用戶無論密碼要求如何都會選擇安全性弱的密碼,等等。

  防禦:要求用戶使用多因素身份驗證登錄。請記住多因素身份驗證的含義:使用至少兩種不同因素進行身份驗證(典型因素是您知道的事情、擁有的物品、以及生物識別等等)。使用兩種不同的密碼(例如,密碼+安全問題的答案)不是多因素身份驗證。同時使用密碼和動態口令屬於多因素驗證的一種。此外,請記住,某些多因素身份驗證機制比其它多因素身份驗證機制更安全(例如,加密設備比基於SMS的一次性密碼更安全)。無論如何,使用某種形式的多因素身份驗證總是比僅依靠密碼更安全。

  如果必須僅使用密碼進行身份驗證,用戶則還必須採取某種類型的設備身份驗證。這可能涉及設備/瀏覽器指紋識別,檢測用戶是否從不尋常的IP地址登錄,或類似的方式。

  結論

  如您所見,處理用戶密碼時需要考慮很多事項。我們還沒有談到密碼輪換策略、帳戶鎖定、帳戶恢復、速率限制,防止反向暴力攻擊等等。

  有一個很重要的問題需要考慮:您是否可以將用戶身份驗證轉給其他人?如果你是一家金融機構,答案可能是否定的;如果您要把最新的貓咪寵物視頻給別人看,在此之前需要驗證,那這種情況下答案應該是可以的;如果您正在開發面向企業員工內部使用的應用程序,請考慮基於SAML的身份驗證或LDAP集成;如果您正在開發面向公眾的應用程序,請考慮使用社交登錄(即使用Google,Facebook等登錄)。許多社交網站已經投入大量精力來保護其身份驗證機制,併為用戶提供各種身份驗證選項。您不需要全盤重來。

  在不必要的情況下實施用戶身份驗證會給企業和用戶都帶來麻煩,甚至有潛在危險。創建安全的用戶驗證機制困難且耗時。可您是真的想要處理被盜用的密碼數據庫,還是攻擊者在身份驗證機制中發現漏洞?而且用戶有更重要的事情要做,而不是記住另一個密碼!

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

梆梆安全:做以結果為導向的安全服務商

梆梆安全:做以結果為導向的安全服務商

2019-05-24 15:56    原創  作者: 李雪薇 編輯:
0購買

  【IT168評論】作為國內領先的安全服務提供商,梆梆安全不談概念,始終從基本出發,致力於解決客戶的根本性問題。通過運用領先技術提供專業可靠的服務,為全球政府、企業、開發者和消費者打造安全、穩固、可信的安全生態環境,其用戶遍及金融、政府、企業、運營商等各大行業,覆蓋亞洲、歐洲及北美等市場。

  憑藉在移動應用安全領域多年的技術耕耘和積累,梆梆安全已然是當之無愧的龍頭企業。從最早的工具化技術服務到如今的整體移動安全平台化服務,包括移動安全服務平台、移動威脅感知平台、移動應用測評平台等綜合性安全產品,梆梆安全為用戶提供了全方位的移動安全保障。

  ▲梆梆安全首席安全官付傑

  現如今,梆梆安全不再只專註於移動應用安全單一領域,而是找准程序安全這根主線,向程序安全廠商轉型。付傑表示,“梆梆安全是技術人員出身,我們明白什麼是最根本最有價值的問題。市場給予我們很多信心,讓我們備受鼓舞。未來三年,我們會堅持這條路線不變,然後做橫向和縱向的拓展。”

  八年見證梆梆安全的成長

  回顧梆梆安全八年的技術路線,大體處於波動式上升、漸進式增長的趨勢。從2010年到2012年,梆梆安全經歷了一段迷茫。從2012到2015年,梆梆安全用了三年的時間,來專註App保護。付傑指出,“在前五年,梆梆安全主要做最基礎的安全產品,身上真正的信息安全屬性並不是很強。”

  從2016年到2017年,梆梆安全更加關注PPDR體系下的程序安全,以及更加寬泛的程序安全,包含移動、雲、物聯網、AI等。2018年是梆梆安全歷史上不平凡的一年,公司通過明確的市場定位,從App安全廠商開始向程序安全廠商轉型。

  付傑表示,“梆梆安全轉型主要體現在兩個方面,在程序保護對象方面,從App變成一個泛程序對象。在安全保護技術方面,從單點的加固混淆加密技術到基於PPDR安全架構的全方位解決方案,包含預測、保護、檢測、響應安全能力。”

  2019年到未來三年,梆梆安全將要構建泛程序安全技術體系,打造可信的程序,為萬物互聯的時代構建信息基石。這意味着,未來梆梆安全將會圍繞程序安全為用戶在技術層面上提供泛程序安全的產品和方案,在服務層面上提供泛安全服務,真正成為可以託付信賴的安全服務供應商。

  ▲用計算機科學的基礎技術來解決信息安全問題

  付傑認為,“安全行業不是一個獨立存在,是生長在基礎計算機科學技術上的一個分支,編譯器、SCA、操作系統、芯片體系架構上的技術,都應該被信息安全行業所用。”

  堅持做一家特立獨行的安全公司

  梆梆安全讓程序更加安全、更加可信,讓程序員開發的軟件代碼,成為業務發展可以信賴依靠的基礎設施。付傑表示,“我們很像一個安全行業的苦行僧,做基礎工作很苦,也很難獲得商業價值,但我們始終堅持最基礎的目標:代碼安全可信、執行過程可信、執行環境可信。”

  安全需要更加系統性、以結果為導向、關注投入產出比。一個層面的產品或技術,不會解決等保2.0的合規。程序安全是基石,但是客戶想要的是以問題及結果為導向:大型客戶期望更加體系化的安全方案,高数字資產中小客戶期望一站式解決某個專項問題。

  安全更加要求系統性,安全問題從來不會獨立存在,總是依附於實體(組織架構和業務),以企業SDLC安全為例,實施一個SDLC安全需要:組織架構上設立獨立的安全部門、制定安全基線及審核標準、建立SDLC安全開發制度流程、培訓員工相關知識與意識、支撐SDLC過程安全的一系列安全工具等。

  安全更加註重問題導向,客戶和供應商的對話內容正在變成:“我要你解決這個問題”,而不是“我要買一個什麼”。客戶希望供應商為某個結果負責,而不是僅僅在過程中提供幫助。作為一家信息安全公司,梆梆安全認為,客戶是否從我們這裏獲得“安全感”,是對於我們產品服務的更高要求。

  安全更加註重效能,客戶更加註重控制手段投入和風險損失的衡量,對於任何安全項目的實施,耗費的不僅僅是客戶的金錢,還有人力、時間及機會。每個信息安全企業都應該把投入產品比最大化作為服務客戶的重要價值取向,提供適合客戶的安全服務。在程序安全領域,客戶需要能夠提供更大範疇可信服務的供應商。

  ▲支撐可信安全服務的產品技術體系

  為了應對這種需求變革,梆梆安全開始從產品技術供應商轉型為安全服務供應商。“我們雖然還沒有成年,但應該像成年人一樣,為客戶的結果負責。這就要求我們提供的東西不僅是簡單的產品和技術,應該是以結果為導向的整個服務解決方案,包含產品、技術、服務、知識庫,甚至駐場人員的一個完整的體系。”

  記者了解到,目前梆梆安全的安全服務主要有三個方向,一個是軟件安全服務,裡面包含了諮詢、評估、滲透、培訓等軟件生命周期的安全體系。第二個是隱私合規安全服務,其中涉及諮詢、服務、產品、整改,還有法務等方面的工作。第三個是等保合規安全服務。

  除此之外,付傑還說道,“我們還拓展了很多新的服務,特別是數據安全服務、數據安全治理服務。我們依託的是對核心技術的理解、核心產品,以及外部有益的補充,最終負責客戶某一層面的問題。六個月後,我們會成立獨立的安全諮詢公司,然後完成徹底的去移動化,最終成為全球安全服務的領跑者。”

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

持續保護:深信服等保2.0解決方案解讀

持續保護:深信服等保2.0解決方案解讀

2019-05-31 13:44    原創  作者: 高博 編輯:
0購買

  今年5月13日,國家市場監督管理總局召開新聞發布會,網絡安全等級保護制度2.0國家標準(下稱“等保2.0”)正式發布!並將於2019年12月1日正式實施。

  說到等保2.0我們不得不談到等保1.0。等保1.0主要包括《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》,分別於2007年和2008年頒布實施。

  而本次發布的等保2.0主要包括《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》以及《信息安全技術 網絡安全等級保護安全設計技術要求》三部分。對於企業來講,等保2.0的發布將加強對網絡運營者的要求規範,也對新技術和新應用的等級保護規範進行了相關完善。

  不做等保就是違法!

  網絡安全等級保護制度是國家網絡安全領域的基本國策、基本制度和基本方法。隨着信息技術的發展和網絡安全形勢的變化,等保2.0在等保1.0的基礎上,注重全方位主動防禦、動態防禦、整體防控和精準防護,實現了對雲計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象全覆蓋,以及除個人及家庭自建網絡之外的領域全覆蓋。等保2.0的發布,對加強我國網絡安全保障工作,提升網絡安全保護能力具有重要意義。

  除此之外,對於企業來講,等保2.0的發布又有怎樣的意義?總結起來主要包含以下三方面:

  ●滿足合法合規要求,清晰化責任和工作方法,讓安全貫穿全生命周期;

  ●明確組織整體目標,改變以往單點防禦方式,讓安全建設更加體系化;

  ●提高人員安全意識,樹立等級化防護思想,合理分配網絡安全投資。

  此外,隨着等保的發布實施,等級保護也由之前的基本制度、基本國策,上升為法律。根據《網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列全保護義務:保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。直白點說,不做等保就是違法!

  從1.0到2,0:等級保護五大變化

  大家可能會問,相較於等保1.0來講,等保2.0有哪些變化?解答這個問題前我們不妨一起來了解下等級保護的發展歷程,從等保1.0到等保2.0主要包括以下幾個階段:

  為了對傳統的安全思維進行拓展轉變並適應新型的系統形態和網絡架構,等保2.0對現有等保體系進行了完善升級,推出了全新的等級保護安全框架:

  深信服安全專家表示,相對於等保1.0來講,等保2.0的變化主要體現在以下五個層面:

  ●名稱變化:等保2.0將先前《信息安全技術 信息系統安全等級保護基本要求》修改為《信息安全技術 網絡安全等級保護基本要求》,將等級保護上升到了網絡空間安全層面。

  ●定級對象變化:在等保1.0的定級對象(信息系統)基礎上,加入了基礎信息網絡、雲計算平台、大數據平台、物聯網系統、工業控制系統、採用移動互聯技術的網絡等多個定級對象。

  ●安全要求變化:由先前的安全要求轉變為安全通用要求與安全擴展要求(包括雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求以及工業控制系統安全擴展要求)。

  ●控制措施分類結構變化:和等保1.0一樣,等保2.0依舊包含技術和管理兩個維度。但在技術層面,從先前物理、網絡、主機、應用以及數據方面的安全,變為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境以及安全管理中心幾部分。管理要求層面將先前安全管理制度、安全管理機構、人員安全管理、系統建設管理以及系統運維管理轉變為安全管理制度、安全管理機構、安全管理人員、安全建設管理以及安全運維管理。

  ●內容變化:內容層面在等保1.0的五個規定動作(定級、備案、建設整改、等級測評以及監督檢查)的基礎上加入了新的安全要求(風險評估、安全監測、通報預警、態勢感知等)。

  深信服等保2.0解決方案:持續保護

  由此可見,等保2.0的發布對企業提出了很多新的要求,對企業網絡安全合規性提出了新的挑戰。面對新的等保要求,很多企業對此叫苦不迭,僅僅依靠自身力量恐無法滿足等保2.0的各項要求。

  作為安全領域的佼佼者,深信服深知用戶痛點問題和實際需求,為了幫助用戶滿足等保2.0的合規要求,深信服推出了全新的等保2.0解決方案。

  在等保2.0方面,深信服有着自身獨特的價值主張,即持續保護,其解決方案主要包含以下幾點特性:

  安全可視:採用可視化設計,提供多維度安全報表為安全決策提供數據支撐,提升組織安全管理效率。

  協同防禦:參照預測、防禦、檢測、響應的安全模型,加強了雲防護、威脅情報的聯動,構建本地協同、雲端聯動的動態保護體系。

  持續檢測:對企業核心資產、各類威脅與違規行為,網絡東西向、南北向流量進行持續檢測分析,提升網絡整體安全保護能力。

  目前,深信服等保2.0解決方案已完美應用到政府、教育、醫療、企業等行業。通過該方案的部署,幫助用戶完全滿足了等級保2.0提出的各項合規性要求,規避了合規性風險。

  深信服安全專家表示,深信服推出的等保2.0解決方案踐行了最新的安全理念,提倡“持續保護”的核心價值。以可視化方式看清資產、理清業務關係,看懂威脅、識別安全風險;對網絡中各類風險進行持續檢測,將安全運營工作化繁為簡;通過深信服雲安全平台構建本地協同、雲端聯動的動態保護體系,讓客戶真正能夠通過等級保護來提升安全保護能力的實際價值。

網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師"嚨底家"!!

針對新型進程注入技術Ctrl-Inject原理分析

網站內容來源http://server.it168.com/

針對新型進程注入技術Ctrl-Inject原理分析

2018-05-15 09:45    來源:安全客  作者: Rotem Kerner 編輯:
0購買

  概述

  在本文中,我們將主要介紹一種新型的進程注入方法,我們稱之為“Ctrl-Inject”,它利用控制台應用程序中處理Ctrl信號的機制實現注入。在研究的過程中,我們在瀏覽MSDN時發現有一條關於Ctrl信號處理的相關評論:“這是一個與SetConsoleCtrlHandler函數( https://docs.microsoft.com/en-us/windows/console/setconsolectrlhandler )一起使用的函數,由應用程序定義。控制台進程使用此函數來處理進程收到的控制信號。當收到信號后,系統會在進程中啟動一個新的線程來執行該函數。”這也就意味着,每次我們觸發一個信號到一個基於控制台的進程時,系統都會調用一個在新線程中調用的處理函數。正因如此,我們可以藉助這一特點,來實現一個不同於以往的進程注入。

  控制信號處理

  當用戶或進程向基於控制台的進程(例如cmd.exe或powershell.exe)發送Ctrl + C(或Break)信號時,系統進程csrss.exe將會在目標進程中創建一個新的線程來調用函數CtrlRoutine。CtrlRoutine函數負責包裝使用SetConsoleCtrlHandler的處理程序。接下來,我們深入研究一下CtrlRoutine,首先注意到了下面這段代碼:

  該函數使用名為HandlerList的全局變量來存儲回調函數列表,在該函數中會循環執行,直到其中一個處理程序返回TRUE(通知該信號已被處理)為止。為了使處理程序成功執行,它必須滿足以下條件:1、函數指針必須正確編碼。處理程序列表中的每個指針都使用RtlEncodePointer進行編碼,並在執行之前使用RtlDecodePointer API進行解碼。因此,未經編碼的指針很有可能會導致程序崩潰。2、指向有效的CFG(Control Flow Guard,控制流防護)目標。CFG通過驗證間接調用的目標是否為有效函數,來嘗試對間接調用進行保護。我們來看一下SetConsoleCtrlHandle,看看它如何設置一個Ctrl處理程序,以便我們以後可以模仿其方式。在下圖中,我們可以看到各個指針在添加到HandlerList之前是如何編碼的。

  接下來,我們看到了一個名為SetCtrlHandler的內部函數調用。該函數更新了兩個變量:一個是HandlerList,用於添加一個新的指針;另一個全局變量是HandlerListLength,增加了它的長度以適應新的列表大小。

  現在,由於HandlerList和HandlerListLength變量駐留在kernelbase.dll模塊中,並且該模塊會映射到所有進程的相同地址,所以我們可以在進程中找到它們的地址,然後使用WriteProcessMemory在遠程進程中更新它們的值。我們的工作還沒有完成,考慮到CFG和指針編碼的存在,我們需要找到一種方法來繞過它們。

  繞過指針編碼

  在Windows 10之前的版本中,我們需要理解指針編碼、解碼的工作原理,從而應對指針編碼保護。接下來,我們一起深入了解一下EncodePointer的工作原理。

  開始,存在一個對NtQueryInformationProcess的調用,其定義如下:

  NTSTATUS WINAPI NtQueryInformationProcess(

  _In_HANDLE ProcessHandle,

  _In_PROCESSINFOCLASS ProcessInformationClass,

  _Out_ PVOIDProcessInformation,

  _In_ULONGProcessInformationLength,

  _Out_opt_ PULONG ReturnLength

  );

  根據上述定義,我們可以做出以下假設:1、ProcessHandle:當傳遞-1的值時,它代表引用調用進程的函數。2、ProcessInformationClass:該參數的值為0x24,這是一個未公開的值,要求內核檢索進程加密Cookie。Cookie本身駐留在EPROCESS結構中。在檢索加密Cookie后,我們可以看到幾個涉及輸入指針和加密Cookie的操作。具體為:

  EncodedPointer = (OriginalPointer ^ SecretCookie) >> (SecretCookie & 0x1F)

  一種繞過的方法,是使用CreateRemoteThread執行RtlEncodePointer,並將NULL作為參數傳遞給它,如下所示:1) EncodedPointer = (0 ^ SecretCookie) >> (SecretCookie & 0x1F)2) EncodedPointer = SecretCookie >> (SecretCookie & 0x1F)這樣一來,返回值將被Cookie旋轉的值增加到31倍(在64位Windows 10環境上該值為63,即0x3f)。如果我們在目標進程上使用已知的編碼地址,就能夠暴力猜測出原始Cookie值。以下代碼展示了如何對Cookie進行暴力猜測:

  在Windows 10及以上版本中,微軟非常慷慨地為我們提供了一組新的API,稱為RtlEncodeRemotePointer和RtlDecodeRemotePointer。顧名思義,我們傳遞一個進程句柄和一個指針,該API將會為目標進程返回一個有效的編碼后指針。此外,還有另一種提取Cookie的技術,請參考: https://github.com/changeofpace/Remote-Process-Cookie-for-Windows-7/blob/master/Remote%20Process%20Cookie%20for%20Windows%207/main.cpp 。

  繞過CFG

  到目前為止,我們已經將我們的代碼注入到目標進程,並修改了HandlerList和HandlerListLength的值。如果我們現在嘗試發送Ctrl+C信號來觸發代碼,該進程會引發異常,最終自行終止。其原因在於,CFG會注意到我們正在嘗試跳轉到一個非有效調用目標的指針。幸運的是,微軟對我們一直非常友善,他們發布了另外一個有用的API,名為SetProcessValidCallTargets。

  WINAPI SetProcessValidCallTargets(

  _In_HANDLEhProcess,

  _In_PVOID VirtualAddress,

  _In_SIZE_TRegionSize,

  _In_ULONG NumberOfOffsets,

  _Inout_ PCFG_CALL_TARGET_INFO OffsetInformation

  );

  簡而言之,我們傳遞進程句柄和指針后,該API會將其設置為有效的調用目標。此外,如果使用我們此前介紹過的( https://blog.ensilo.com/documenting-the-undocumented-adding-cfg-exceptions )未記錄的API也可以實現這一點。

  觸發Ctrl+C事件

  現在一切準備就緒,我們需要做的就是在目標進程上觸發Ctrl + C,以調用我們的代碼。有幾種方法可以觸發它。在這種情況下,我們可以使用SendInput的組合,來觸發系統範圍的Ctrl鍵按鍵,以及用於發送C鍵的PostMessage。同樣,也適用於隱藏或不可見的控制台窗口。以下是觸發Ctrl-C信號的函數:

  揭秘底層

  從實質上來說,在這個進程注入技術中,我們將代碼注入到目標進程中,但是我們從不直接調用它。也就是說,我們從來沒有自己調用CreateRemoteThread或使用SetThreadContext改變執行流。相反,我們正在讓csrss.exe為我們調用它,這樣一來就顯得是一個正常的行為,不會被懷疑。其原因在於,每次將Ctrl + C信號發送到基於控制台的應用程序時,conhost.exe會調用類似於調用堆棧的內容,如下所示:

  其中,CsrClientCallServer會傳遞一個唯一索引標識符(0x30401),然後將其傳遞給csrss.exe服務。在其中,會從調度表中調用一個名為SrvEndTask的函數。調用鏈具體如下:

  在這個調用鏈的最後,我們看到了RtlCreateUserThread,它負責在目標進程上執行我們的線程。注意:儘管Ctrl-Inject技術僅針對於控制台應用程序,但也可能會在很多控制台應用程序上被濫用,最值得注意的就是cmd.exe。

  總結

  現在,我們已經了解了這個新型的進程注入方法,掌握了該方法的工作原理以及其背後到底發生了什麼。在最後,我們可以總結一下Ctrl-Inject技術。這種技術與傳統線程注入技術相比,主要優點是遠程線程是由可信的Windows進程csrss.exe創建,這使得它得隱蔽性更強。但同樣存在缺點,就是這種方法僅適用於控制台應用程序。

  要進行這種進程注入技術,所需的步驟如下:1、將OpenProcess附加到控制台進程。2、通過調用VirtualAllocEx,為惡意負載分配一個新的緩衝區。3、使用WriteProcessMemory將數據寫入分配的緩衝區。4、使用目標進程cookie將指針指向指定的緩衝區。通過調用帶有空指針的RtlEncodePointer並手動編碼指針或通過調用RtlEncodeRemotePointer來實現。5、通知遠程進程,新指針是可以使用SetProcessValidCallTargets的有效指針。6、最後,使用PostMessage和SendInput的組合觸發Ctrl + C信號。7、恢復原始處理程序列表。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

一圖讀懂:新華三安全風險態勢感知系統

網站內容來源http://server.it168.com/

一圖讀懂:新華三安全風險態勢感知系統

2017-12-11 14:38    原創  作者: 閆志坤 編輯:
0購買

    【IT168 技術】IDC與新華三聯合發布的《網絡安全風險態勢感知系統》白皮書研究表明,利用大數據分析及認知系統等相關技術,構建網絡安全風險態勢感知系統,並將主動安全防禦體系中各個組件有機結合在一起,才能使構建智能的主動安全防禦體系得以實現。

,
網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

0day漏洞組合拳:詳細分析一款惡意PDF樣本

網站內容來源http://server.it168.com/

0day漏洞組合拳:詳細分析一款惡意PDF樣本

2018-05-21 09:32    來源:安全客  作者: Anton Cherepanov 編輯:
0購買

  一、前言

  2018年3月末,ESET研究人員發現了一款非常有趣的惡意PDF樣本。經過仔細研究后,我們發現該樣本利用了之前未知的兩個漏洞:Adobe Reader中的一個遠程命令執行漏洞以及Microsoft Windows中的一個權限提升漏洞。

  這兩個漏洞組合起來威力巨大,攻擊者可以通過這種方式在存在漏洞的目標上以盡可能高的權限來運行任意代碼,並且整個過程很少需要用戶交互。APT組織通常會使用這種組合拳來發起攻擊,比如去年的Sednit攻擊活動就是非常好的一個例子。

  在發現這款PDF樣本后,ESET第一時間聯繫了微軟安全響應中心(MSRC)、Windows Defender ATP研究團隊以及Adobe Product安全事件響應團隊,並與這些單位一起協作,直至漏洞被成功修復。

  Adobe以及微軟也提供了相應補丁及安全公告,分別如下:

  APSB18-09

  CVE-2018-8120

  受影響的相關產品版本信息如下:

  Acrobat DC (2018.011.20038及更早版本)

  Acrobat Reader DC (2018.011.20038及更早版本)

  Acrobat 2017 (011.30079及更早版本)

  Acrobat Reader DC 2017 (2017.011.30079及更早版本)

  Acrobat DC (Classic 2015) (2015.006.30417及更早版本)

  Acrobat Reader DC (Classic 2015) (2015.006.30417及更早版本)

  Windows 7 for 32-bit Systems Service Pack 1

  Windows 7 for x64-based Systems Service Pack 1

  Windows Server 2008 for 32-bit Systems Service Pack 2

  Windows Server 2008 for Itanium-Based Systems Service Pack 2

  Windows Server 2008 for x64-based Systems Service Pack 2

  Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

  Windows Server 2008 R2 for x64-based Systems Service Pack 1

  本文介紹了這款惡意樣本以及所利用漏洞的技術細節。

  二、簡介

  PDF(Portable Document Format)是一種电子文檔文件格式,與其他常見文檔格式一樣,攻擊者可以利用該類型文件將惡意軟件傳播至受害者主機。為了執行惡意代碼,攻擊者需要尋找並利用PDF閱讀器軟件中的漏洞。現在有多款PDF閱讀器,其中最常用的就是Adobe Reader。

  Adobe Reader軟件中有一個安全功能:沙箱(sandbox),也稱為保護模式(Protected Mode)。Adobe在官方博客上分四部分(Part 1、Part 2、Part 3、Part 4)詳細介紹了沙箱的具體實現。沙箱使漏洞利用過程更加困難:即使攻擊者可以執行代碼,還是必須繞過沙箱的保護機制才能突破運行Adobe Reader的計算機。通常情況下,攻擊者需要藉助操作系統本身的漏洞來繞過沙箱保護機制。

  當然攻擊者可以同時找到Adobe Reader軟件以及目標操作系統中的漏洞並編寫利用程序,不過這種情況非常罕見。

  三、CVE-2018-4990:Adobe Reader的RCE漏洞

  惡意PDF樣本中嵌入了一段JavaScript代碼,用來控制整個漏洞利用過程。一旦PDF文件被打開,JavaScript代碼就會被執行。

  在漏洞利用開頭階段,JavaScript代碼開始操控Button1對象,該對象包含一個精心構造的JPEG2000圖像,該圖像會觸發Adobe Reader中的雙重釋放(double-free)漏洞。


圖1. 操控Button1對象的JavaScript代碼

  JavaScript代碼中用到了堆噴射(heap-spray)技術以破壞內部數據結構。在這些操作都完成后,攻擊者就實現了他們的主要目標:從JavaScript代碼中實現內存的讀取及寫入。


圖2. 用來讀取及寫入內存JavaScript代碼

  利用這兩種方法,攻擊者成功定位EScript.api插件的內存地址,而該插件正是Adobe JavaScript的引擎。利用該模塊的彙編指令(ROP gadgets),惡意JavaScript成功構造了一條ROP鏈,可以執行本地shellcode。


圖3. 惡意JavaScript成功構造ROP鏈

  最後一步,shellcode會初始化PDF中內嵌的一個PE文件,將執行權遞交給該文件。

  四、CVE-2018-8120:Windows權限提升漏洞

  成功利用Adobe Reader漏洞后,攻擊者必須打破沙箱保護機制,而這正是我們即將討論的第二個利用代碼的目的所在。

  這個未知漏洞的源頭在於win32k Windows內核組件中的NtUserSetImeInfoEx函數。更具體一些,就是NtUserSetImeInfoEx的SetImeInfoEx子例程沒有驗證數據指針的有效性,允許某個NULL指針被解除引用(dereference)。


圖4. 反彙編后的SetImeInfoEx例程代碼

  如圖4所示,SetImeInfoEx函數的第一個參數為指向經過初始化的WINDOWSTATION對象的指針。如果攻擊者創建了一個新的window station對象,並將其分配給用戶模式下的當前進程,那麼spklList就會等於0。因此,映射NULL頁面並將指針設置為偏移量0x2C后,攻擊者就可以利用這個漏洞寫入內核空間中的任一地址。需要注意的是,從Windows 8開始,用戶進程不能再映射NULL頁面。

  既然攻擊者具備任意寫入權限,他們就可以使用各種方法實施攻擊,不過在我們分析的這個例子中,攻擊者選擇使用Ivanlef0u以及Mateusz “j00ru” Jurczyk和Gynvael Coldwin介紹的一種技術。攻擊者重寫了全局描述符表(GDT,Global Descriptor Table)來創建Ring 0的一個call gate)(調用門)。為了完成這個任務,攻擊者使用SGDT彙編指令獲取了原始的GDT信息,構造自己的表然後使用前面提到的漏洞重寫了原始的表。

  隨後,漏洞利用程序使用CALL FAR指令執行了跨權限級別的調用。


圖5. 反彙編后的CALL FAR指令

  一旦代碼在內核模式執行,漏洞利用程序就會使用system token(令牌)替換掉當前進程的token。

  五、總結

  當PDF樣本提交到公共惡意樣本庫時,ESET研究人員就發現了這款樣本。彼時樣本並不包含最終的攻擊載荷,這表明當時樣本很有可能處於早期研發階段。雖然當時樣本並不包含真正的惡意載荷,仍有可能處於早期研發階段,但這也告訴我們樣本的作者在漏洞發現及漏洞利用方面具備較高的水平。

  六、IoC

  ESET檢測標識:

  JS/Exploit.Pdfka.QNV trojan

  Win32/Exploit.CVE-2018-8120.A trojan

  樣本SHA-1哈希: 

  C82CFEAD292EECA601D3CF82C8C5340CB579D1C6

  0D3F335CCCA4575593054446F5F219EBA6CD93FE

, ,
網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師"嚨底家"!!