阿里聚安全一周一讯第28期出炉!本周安全圈子热词:物联网安全事件持续发酵、Android Rowhammer攻击漏洞、Dirty COW提权漏洞修复、2016 GeekPwn极客嘉年华回顾、阿里聚安全参加SFDC安全大会。一起来看下详细的信息介绍吧~
【一、业内安全资讯】
* 真相让你大跌眼镜 Dyn瘫痪竟然是躺枪 而且攻击者还是脚本小子
上周末让美国人民噩梦般的大规模断网事件,攻击者终于浮出水面。与之前所怀疑的、黑客活动组织、恐怖分子或国家黑客攻击无关,这些高级犯罪分子不大可能发动这种漫无目的(没有经济、政治或战略诉求)的攻击。Flashpoint的分析报告认为,这次攻击只是一个会使用DDoS工具的脚本小子攻击索尼游戏网站(PSN)而引发的,Dyn由于提供域名解析服务给PSN而惨遭中枪……(via 安全牛)
* 解读NSA史上最大型泄露事件:50TB数据、5亿页政府文档失窃
两个月前,FBI低调地逮捕了美国国家安全局(NSA)承包商雇员哈罗德·托马斯·马丁三世(Harold Thomas Martin III),罪名为从情报机构盗取大量机密文件。
根据最新提交的法庭文件,FBI从马丁处获取了至少50TB的数据。马丁从政府电脑中窃取了过去20年间的数据。失窃的数据包含至少5亿页的政府档案,涵盖“国防”相关的机密信息。这份文件披露,马丁还偷走了另外一些文件,数量大约“满满6个收纳箱”,其中许多带有“机密”及“最高机密”标记。如果马丁窃取的数据确实为机密数据,那么这将是NSA有史以来最大的失窃案,比斯诺登泄露的多多了。(via FreeBuf)
* 十大计算机恶意软件排行榜发布:Locky勒索软件首次进入前三
互联网安全公司Check Point近日发布了十大计算机恶意软件排行榜,其中Locky勒索软件首次进入前三,成为目前最危险的恶意软件之一。 在过去的几个月中,我们读到过很多关于Necurs僵尸网络活动的新闻,网络骗子利用该网络发送致命的Locky勒索软件。(via cnBeta)
Check Point发布的完整排行榜如下:
1.Conficker2.Sality
3. Locky4. Cutwail
5. Zeus6. Chanitor
7. Tinba8. Cryptowall
9.Blackhole10. Nivdort
http://www.cnbeta.com/articles/551185.htm
【二、Android安全】
* 通杀所有系统的硬件漏洞?聊一聊Drammer,Android上的RowHammer攻击
大家肯定知道前几天刚爆出来一个linux内核(Android也用的linux内核)的dirtycow漏洞。此洞可以说是个神洞,通过dirtycow,一个普通权限的app可以做到root权限的文件任意写,随后还可以转化为android上的通用root。就在大家纷纷埋头研究dirtycow的时候,Drammer横空出世,号称也可以root最新版的Android 6.0.1,同时还放出了CCS论文和POC。(via 聚安全)
* 阿里聚安全扫描器之本地拒绝服务检测详解
阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确全面。本文将讲一下应用漏洞扫描器在针对本地拒绝服务的检测方法。(via 聚安全)
* Android逆向随笔之遇见MultiDex
很多大厂的Android App因为业务量大,引用库多导致其apk包的中的类于方法剧增,这样就有可能出现因为方法数过多导致编译失败的情况。产生这个问题的主因是dex文件格式的限制。为解决这个问题,谷歌推出了Multidex技术,简单来说就是将一个apk中的dex文件拆分成多个分主次先后加载,当然在这之前业界已经开始使用插件化来弱化此类问题。现在市面上也有很多Multidex和插件化两种方案都使用的app。(via Drops知识库)
* Android逃逸技术汇编
传统逃逸技术涉及网络攻防和病毒分析两大领域,网络攻防领域涉及的逃逸技术主要为网络入侵逃逸技术,病毒分析领域涉及到的逃逸技术主要包括针对静态分析、动态分析的木马逃逸技术。本文介绍的Android木马逃逸技术研究了针对用户感知、杀软查杀、沙箱动态养殖和人工分析的各种逃逸技术。(via 360烽火实验室)
http://blogs.360.cn/360mobile/2016/10/24/android_escape/
【三、iOS安全】
* iOS应用泄露的用户数据比Android更多
通过分析受自家安全产品保护的设备的事务处理状况,Zscaler发现iOS应用程序比Android apps泄露了用户更多的隐私信息。人们常以为iOS要比Android更加安全,但根据Zscaler上季度从4500万起事务中检测到的数据,发现其中有大约20万起涉及被app泄露了用户数据,包括PII级别的个人身份信息(比如手机号码和电子邮件地址)、地理位置信息(经纬度坐标)、设备元数据(IMEI码 / MAC地址 / IMSI码 / 网络 / 操作系统 / SIM卡信息 / 制造商)等。(via Softpedia)
http://jaq.alibaba.com/community/art/show?articleid=570
* iOS 发布 10.1 版本,本次更新的补丁公告(via Apple)
https://support.apple.com/en-us/HT207271
【四、安全漏洞】
* 关于物联网设备安全漏洞引发大规模网络攻击事件的通报
近期,互联网上披露了有关“大量物联网设备存在弱口令漏洞”的相关情况。北京时间10月21日19:10左右,美国主要DNS服务提供商Dyn Inc.的服务器遭到大规模DDoS攻击,该攻击大部分流量来自于受恶意代码感染的物联网设备,导致美国东海岸地区的大量网站无法访问,引发全球范围的高度关注。(via cnnvd)
* 苹果修复恶意JPEG利用漏洞及大量安全漏洞
苹果修复恶意JPEG利用漏洞,还修复了包括在macOS Sierra、Safari、Apple Watch和Apple TV上发现的漏洞(via threatpost)
https://threatpost.com/apple-patches-ios-flaw-exploitable-by-malicious-jpeg/121521/
* CentOS 7发布内核修复补丁 修复“Dirty COW”提权漏洞
前日,CentOS维护成员和项目负责人Jojnny Hughes在社区中发布公告称这款面向服务器基于Linux的操作系统--CentOS 7上线重大内核更新。在25日的CentOS Errata and Security Advisory 2016:2098公告中标记为“重要”,并要求现有CentOS 7用户务必尽快升级内核补丁包至kernel-3.10.0-327.36.3.el7.x86_64版本,修复近期非常热门的“Dirty COW”漏洞。(via CentOS)
* Samsung Pay漏洞深度剖析
2016年7月14号,来自美国加利福尼亚州莫德斯托社区学院的Salvador Mendoza发表了一篇题为《Samsung Pay:Tokenized Numbers, Flaws andIssues》的文章,称发现了Samsung Pay Token的安全问题。同年8月4号,其在Black Hat USA大会上对此项攻击进行了宣讲和演示(针对VISA卡片进行)。对此,国内各大媒体纷纷予以跟踪报道,那么Samsung Pay是不是真的这么不堪一击呢?(via 狴犴安全团队)
http://www.freebuf.com/articles/terminal/117145.html
【五、安全工具】
* 物联网安全扫描器,可识别设备是否存在安全风险
最近因为北美断网事件引发不少人关注,同时令人感到惶恐不安的是,自己身边的物联网设备是否安全。2016年6月,英国安全公司BullGuard发布了一款极其有用的工具,用来评估某些物联网设备的安全。这款工具名为“物联网扫描器”。
该工具发布时,几乎人人都知道不安全的物联网设备存在风险,但殊不知能达到大规模互联网瘫痪的程度。该工具获取访客的IP地址并在Shodan(互联网设备搜索引擎)上检查。(via 聚安全)
* Android App常见逆向工具和使用技巧
本文将主要介绍个人在Android App逆向分析时常用到的一些工具和小技巧。说起Android 逆向,就不得不提到常用的逆向分析神器了,IDA,jadx,Android Killer,JEB。(via 安全客)
* 安卓手机的后门控制工具SPADE
SPADE,一款安卓手机的后门控制工具,安全研究人员可以以此了解和研究安卓后门原理。(via Freebuf)
【六、安全活动峰会】
* 阿里聚安全受邀参加SFDC安全大会,分享互联网业务面临问题和安全创新实践
现今,技术引领的商业变革已无缝渗透入我们的日常生活,「技术改变生活」的开发者们被推向了创新浪潮的顶端。201611月19日,SegmentFault 将在北京举办「研发安全」为主题的 Security 大会,邀请到众多具有丰富实战经验的重量级技术嘉宾,分享日常开发中的各类技术安全问题、对应的解决方式,以及行业的探索思考。
本次北京大会,阿里聚安全高级安全专家方超,特受邀作为上午主会场的分享嘉宾,为大家带来《互联网业务面临问题浅谈和安全创新实践》演讲。大会报名地址:http://www.bagevent.com/event/sfdc-2016bj-137228(via 聚安全)
https://jaq.alibaba.com/community/art/show?articleid=577
* 2016 GeekPwn极客嘉年华技术亮点与大赛纪实
别人眼中1%的可能性,是我100%的驱动力;失败,那是想法不够疯狂;别人眼中的禁地,是我必得的圣地。
本次2016 GeekPwn(极棒)嘉年华于10月24日举行,上海站和硅谷站有超过20个PWN的展示、海内外50多位黑客大咖集体亮相,超前沿的黑科技、最新的漏洞利用、超酷炫的皆可嘉年华互动现场。让我们一起来回顾下本次大会的精彩内容吧!(via Freebuf)
http://www.freebuf.com/fevents/117599.html
Geek们上厕所都是要答题的,答不对不准进厕所( T﹏T )
* 更多安全资讯及安全技术,请访问阿里聚安全博客
