以CV500视角看安天每日安全简讯
2017.5.4
今日安全简讯中提到的安全公司中,位列CV500的有5家:Arbor Networks(94)、Cisco(13)、Palo Alto Networks(21)、IBM Security(12)和 Recorded Future(214)。
今天的第一条简讯别看文章不长,但是采用了几个专用名字:比如Shamoon,Greenbug,Ismdoor,Wekby等等。试图摘列如下:
Shamoon 是一个蠕虫的名字,具有破坏性。2012年就有活动迹象,但是随后沉寂多时,直到2016年11月份又开始活动。主要针对沙特石油组织展开了2次重要攻击:第1次发生在2016年11月;另外1次发生在2017年1月。
Greenbug 是一个APT组织的名字。据说就是这个Greenbug组织发起了2016年11月份针对沙特石油组织的APT攻击;而2017年1月份发起攻击的APT组织被称为Timberworm。
Ismdoor 是一个后门的名字,它被Greenbug组织利用,假借Shamoon的名义来盗取用户的登录凭证。这个后门就是这条简讯的主角。不过与Shamoon不同的是,Ismdoor“创新”采用了DNS协议来作为C2。思科公司的研究人员称呼这种攻击为DNSMessenger attacks;而Palo Alto Networks的研究人员称呼其为DNS tunneling attacks。其实指的都是一回事。
Wekby 是一个APT组织的名字,但是它只是Palo Alto Networks公司称呼(相对而言,Greenbug这个APT组织的名字为Kaspersky、Symantec等不同公司所采用)。
DNSMessenger attacks 一种Ismdoor后门采用的DNS协议攻击的方法,是Cisco的技术人员的命名。
DNS tunneling attacks 一种Ismdoor后门采用的DNS协议攻击的方法,是Palo Alto Networks的技术人员的命名。
另外,今天的简讯还报道了IBM公司的存储产品Storwize带毒出厂的问题:该系列三个V开头的产品(V3500,V3700和V5000,其中V代表虚拟化)出厂时其USB介质的初始化工具就携带了恶意代码!该恶意代码既能感染Linux系统,也能感染Windows系统。这可是个大事件:说明了巨头IBM的品控流程出现了问题。今天的报道没有说明究竟该恶意代码是如何通过IBM的层层检测关卡,而到达用户手中的。也没有说明该恶意代码的具体危害:只是说其没有执行能力。感觉可惜了这个好的存储产品名字Storwize
“前方有摄像头”公司 Recorded Future与著名搜索引擎Shodan合作,从网络上发现C2服务器,并起了一个名:Malware Hunter。该攻击集成到了Shodan搜索引擎中。其最显著的特点是不依赖发现的病毒样本,而直接通过Shodan引擎的支持,在网络上根据一些服务器的应答,来定位哪些是恶意的僵尸网络。利用该工具对追根溯源有很大的帮助。
相关链接:
a Arbor Networks 、Cisco 、Palo Alto Networks https://threatpost.com/shamoon-c ... cation-tool/125383/
b IBM Security http://news.softpedia.com/news/i ... sticks-515362.shtml
c Recorded Future https://www.bleepingcomputer.com ... trol-candc-servers/
附件0:2016年安天移动安全年报 参见[20170414]
附件1:2016年安天威胁年报 参见 [20170413]
附件2:CV500 参见 [20170411] |
发表于 2017-5-3 21:47
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2017-5-5 21:39