引言 SIEM(安全信息与事件管理)在SOC操作中心中扮演着十分重要的角色,可以说它是SOC的心脏,能够收集事件并按照配置好的规则进行事件分析,同时向安全分析师发出系统入侵等异常行为的告警,并执行SOC程序。 本文旨在帮助企业评估并采购合适的SIEM产品,搭建他们自己的SOC操作中心。以下整理的内容会对SIEM的POC(概念证明,可理解为产品测试,证实产品的各项优异性能)产生一定帮助。 文章主要介绍购买SIEM产品的基本思路,帮助客户获得最符合企业安全需求的SIEM技术。当然提供SIEM服务(SaaS)的安全公司也…
最近在海外异常火爆的中国国民修图手机软件“美图秀秀”遇到了点麻烦。有外媒称,“美图秀秀”存在可疑代码,可能窃取用户隐私,并将相关数据回传到中国。依靠收集的数据,美图还可能对用户的通讯情况进行监听。对此,美图公司22日对《环球时报》记者回应说,美图一直严格遵守各大平台安全条款,严格保护用户隐私,没有窃取用户信息用于任何非法用途。 美图前后效果差别很大 美国有线电视新闻网(CNN)20日称,美图APP正在收集用户信息用作商业目的。在苹果手机中,美图APP可以跟踪监测用户的位置、机上携带信息及IP地址,并生成一个独一无二…
Android用户想要减少中招几率,常规建议是只通过Google Play商城下载和安装应用程序,尽量减少或者不使用其他第三方下载途径。去年爆发的HummingBad,让我们知道Play商城也不能完全杜绝恶意程序。这款恶意程序每个月能够产生30万美元的营收,感染用户数量已经超过8500万台,在Check Point公布的“全球最流行恶意软件”排行中位居第四。现在,这款恶意软件卷土重来,在Google Play商城上已经找到新变种--HummingWhale。 援引Check Point报道,目前已经有多款应用被Hu…
E安全1月24日讯 位于美国弗吉尼亚州阿灵顿的网络安全公司Endgame发布了一款新的软件产品,将为安全操作人员提供私人虚拟助手。 这款工具名为“Artemis”,将会用于Endgame大型端点检测和响应平台EDR。美国空军目前就在使用该平台。访问EDR平台的任何人将可以使用Artemis。 Artemis将为分析师提供安全通知、情境入侵警报和其它可操作的功能反入侵。Artemis助手持续扫描Endgame端点代理收集的综合数据集。Endgame端点代理用于评估客户端计算机网络上实时发生的数百万个事件的信息。 该产…
我们才刚刚踏入2017年不久,就已经有一些工业控制系统(ICS)相关的安全事件被曝光。媒体通常报道这些事件,并大肆宣传以引起全世界更加重视网络攻击对工业和关键物理基础设施带来的威胁。2017年,ICS安全将成为主流媒体的话题,原因如下: 1. ICS恶意软件的威胁不断增加 针对ICS技术的新恶意软件将在不久的将来出现,并将针对专有工程协议改变PLC和其它工业控制器的工作方式。如果发布这类恶意软件而不受控制,可能会影响各种工业和关键基础设施,因为这些基础设施使用的设备均来自为数不多的几个供应商。目前已具备创建这类恶意…
0x00 前言 针对Windows的所有的与位置无关代码(PIC)的核心功能的基础就是实时解析API函数的地址。它是一个非常重要的任务。在这里我介绍两种流行的方法,使用导入地址表(IAT)和导出地址表(EAT)是目前为止最稳定的方法。 自从2007年Windows Vista发布以来,地址空间布局随机化(ASLR)在可执行文件和动态链接库中启用,这些开启ASLR的库用来缓解漏洞利用。 但是在ASLR出现之前,20年前的病毒开发者同样遇到一个相似的问题,kernel32.dll基址的无意的“随机化”。 第一个Wind…
前言 最近,一些经常劫持并删除数据的网络罪犯盯上了不安全的Hadoop和CouchDB应用。安全研究人员在上周表示,在针对未设防的开源数据管理平台的新一波攻击中,共有28000项MongoDB及Elasticsearch应用遭到入侵。 Hadoop和Couchdb成为新一波数据库攻击的目标 本周五,负责监视MongoDB和Hadoop数据库受攻击情况的安全研究人员Victor Gevers表示,截至目前为止,126 个Hadoop应用和452个CouchDB应用已被入侵。和攻击MongoDB 及Elasticsea…
问题背景 Android程序代码混淆是Android开发者经常用来防止app被反编译之后迅速被分析的常见手法。在没有混淆的代码中,被反编译的Android程序极其容易被分析与逆向,分析利器JEB就是一个很好的工具。但是加了混淆之后,函数、变量的名称将被毫无意义的字母替代,这将大大提高分析的难度。有的甚至会增加一些冗余代码,比如下面的例子: 1 2 3 4 5 6 7 8 9 10 11 12 13 public void doBadStuff() { int x; int y; x = In…
据外媒报道,日前隶属于 BBC 的一个 Twitter 账号被盗并发布了一条令人震惊的消息:“突发新闻:特朗普总统手臂遭枪击受伤#就职典礼。”不过很快这条消息就被移除,BBC 方面表示这一假新闻出自黑客之手。 “我们正在调查并将采取措施确保类似事件不再发生。”就在该账号发布特朗普受伤消息没多久,美国黑客组织 OurMine 控制了这一账号并发布了一条披露该起网络攻击的消息。 不过据 BBC 方面披露,OurMine 并不是该起网络攻击的幕后黑手。黑客组织则对此这样回应:“第一次攻击并不是由我们发起。由于我们在这个账…
安全公司 Doctor Web 警告称,Android 银行木马的源代码及其使用方法已经在黑客论坛上公开。在短期内,Android 设备用户将迎来一系列的攻击。 安全公司发现一个月前公开在黑客论坛上的源代码已被犯罪分子利用起来,犯罪分子创建了一个新恶意软件 Android.BankBot.149.origin 。当其安装成功后,木马会尝试诱骗用户授予其管理权限,并删除桌面图标隐藏起来。木马 Android.BankBot.149.origin 将连接到命令与控制(C&C)服务器,并可以执行以下操作: 发送短信; 拦…
摘要:据外媒报道,日前,隶属于BBC的一个Twitter账号被盗并且还公布了一条令人震惊的消息--“突发新闻:特朗普总统手臂遭枪击受伤#就职典礼。”不过很快这条消息就被移除,BBC方面表示这一假新闻出自黑客之手。“我们正在调查并将采取措施确保类似事件不再发生。”就在该账号发布特朗普受伤消息没多久,美国黑客组织OurMine控制了这一账号并发布了一条披露该起网络攻击的消息。 不过据BBC方面披露,OurMine并不是该起网络攻击的幕后黑手。黑客组织则对此这样回应:“第一次攻击并不是由我们发起。由于我们在这个账号上发现…
Adobe在上周放出了新版Acrobat Reader DC软件,作为当前一款非常流行的PDF文档阅读器,立刻吸引到众多网友纷纷下载使用。不过,来自Google信息安全团队Project Zero的研究人员发现,在下载新版Acrobat Reader DC软件的同时,其会在未清楚告知使用者情况下,自动在Chrome浏览器上安装Acrobat的扩展插件。 Acrobat Chrome浏览器插件曝出XSS漏洞 原本是提供用户浏览PDF等文件使用的阅读器Acrobat Reader DC,过去都是独立存在的,但在此前推出…
早在去年11月底,FreeBuf曾报道过,美国国防部和HackerOne共同发布的一项漏洞赏金计划,名为Hack the Army,针对成功入侵美国陆军的白帽子予以奖励——采用邀请参与者的方式尝试渗透其在线资产和数据库。类似这样的政府赏金计划在美国也是第二个,先前还有Hack the Pentagon(针对五角大楼的)。而这次的Hack the Army计划寻找500名想要证明其黑客技能的人,来入侵美国陆军计算机系统。昨天,Hack the Army众测竞赛结果已经出炉。 美国陆军部长Eric Fanning展示给…
根据Tor官方的统计,阿联酋Tor连接用户数在短短数天内从1万左右增加到了30万以上。这一增长规模难以置信,因此一种可能的解释是阿联酋政府部署了基于DPI的屏蔽技术,导致连接失败率大幅增长,从而产生了统计异常。类似的现象以前也发生过,在土耳其屏蔽VPN和Tor之后,土耳其的Tor用户数也在统计中出现了大幅增长。Tor中国用户数保持平稳,不到一千。 如果此文章侵权,请留言,我们进行删除。0day
2011 年微软进行的一项调查显示,有 94% 的用户认为基于地理位置的服务具有价值。但是调查中也显示,52% 的人也关注与使用地理位置数据有关的隐私问题。我们在生活中使用 GPS、IP 地址及 Wi-Fi 获取基于位置的服务,实现实时导航、本地天气、地理定位的功能,但在无形之中,它也泄露了我们的隐私。 此前数据科学家 Anthony Tockar 在西北大学读研究生时,就采用可公开获取的位置数据,通过交叉参考公共新闻与照片,跟踪位于纽约市的名人。 隐私问题已经成为了研究界所关注的焦点,南洋理工大学的萧小奎表示,「…
2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”分析。 众所周知的https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台,那么我们分析下2016年度web漏洞情况。 打开https://www.exploit-db.com/webapps后发现Web Application Exploits是一行行的漏洞列表。 每个漏洞都占有一行,…
工具简介 Exitmap是一个基于Python的Tor出口中继节点扫描器,具有快速和模块化的特点。 Exitmap模块执行在所有出口中继节点(的子集)上运行的任务。如果你有函数式编程的知识背景,可以把Exitmap看作是Tor出口中继节点的map()接口。 这些模块可以执行任何基于TCP的网络任务,例如获取网页、上传文件、连接到SSH服务器或加入IRC频道(Internet Relay Chat,互联网中继聊天,它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议)。 Exitmap的实际…
E安全1月22日讯 即将于今年2月召开的RSA 2017信息安全大会将带来众多热门议题,其中包括机器学习、物联网安全、云安全以及其它众多核心议题将成为本届创新沙盒大赛的重要竞逐单元。而每年的入选企业会成为本年度安全创新技术风向标,往往在下一轮的收购热潮中,这些入选企业也会成为大企业争相抢购的目标。目前共有87家企业申请参与此次创新沙盒大赛。 我们就此通过Wordcloud生成器查询了RSA大会官方新闻公告当中提供的企业描述信息,而生成的图形结果显示这些初创企业需要保护的核心要素正是“数据”这一宝贵的资产。最令我们意…
路透社今日援引欧盟官员和其他知情人士的消息称,由于越来越多的银行机构遭遇黑客入侵,欧盟正考虑对银行的网络防御能力展开压力测试。最近几年,针对银行机构的网络攻击愈演愈烈,且入侵手段越来越高明。去年2月,孟加拉国中央银行在美国纽约联邦储备银行开设的账户遭黑客攻击,失窃8100万美元。 孟加拉国央行怀疑,黑客事先给央行的一台打印机植入木马病毒,造成看似平常的“故障”,导致央行没能及时察觉这起震惊全球金融界的窃案。该事件发生后,全球监管部门都加强了对银行的安全需求。 虽然如此,复杂的网络攻击仍层出不穷。去年11月,英国零售…
人们对自己的隐私权利越来越看重,对谷歌等浏览器的信任度不像以前那般强,因此像DuckDuckGo这样的注重个人隐私的匿名浏览器抓住了机会,自8年前这款浏览器推出之日起,其搜索量就一直保持惊人的速度增长,2013年斯诺登首次向公众披露美国政府对民众的监听计划后,DuckDuckGo的搜索量更是呈爆炸性增长。 DuckDuckGo浏览器方面称,至今一共提供了超过100亿次的搜索服务,其中仅去年一年就有40亿次搜索,增长速度是历年来最高的。在2017年1月10日这一天,该浏览器的搜索次数达到了1400万次。2016年,D…
0x00 前言 今天一个名为Spora的新勒索软件家族浮出水面,其在俄语中是孢子的意思。这款勒索软件最值得注意的是强健的加密机制,离线工作能力和一个非常完善的赎金支付网站。而这个赎金支付网站是我们目前看到的最复杂成熟的一个。 Spora勒索软件首次发现是在Bleeping Computer和卡巴斯基论坛。接下来的分析由Bleeping Computer的Lawrence Abrams提供,以及MalwareHunterTeam和Emsisoft的Fabian Wosar。 0x01 Spora通过钓鱼邮件传播 目前…
JSONP注入是一种鲜为人知却又相当普遍和危险的漏洞。JSONP是随着最近几年JSON、Web API的迅速崛起和对跨域通信的迫切需要而应运而生的。 什么是JSONP? 这里我们假设大家都已经了解JSON了,所以下面直接开始讨论JSONP。JSONP(JSON with Padding)是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。 让我们举个例子。 我们的网上银行应用程序,http://verysecurebank.ro,已实现一个API调用,可以用来返回当前用户的交易数据。 这样,通过…
前言 SOP(同源策略)可以说是Web安全的最核心的安全机制,一旦被绕过,就可能导致重大的安全漏洞。 SOP原理 正如我们所知道的,所有的浏览器在试图访问来自不同来源的资源时都会施加一些限制。 当然,我们可以播放音乐和渲染图像来自不同的域,但是由于同源策略的限制,我们将无法读取这些资源的内容。 例如,我们可以在canvas上绘制图像,但除非同源,否则我们无法使用getimagedata读取图片像素信息。同样的规则适用于脚本。我们可以自由加载外部脚本在不同的域,但如果有一个错误,我们将无法获得任何细节,因为错误本身可…
去年安全加报道过, 黑进陆军 美国军方启动了一个漏洞奖励计划 请求白帽子帮忙扫清漏洞 ,这项计划向注册的、受邀的参与者公布开放,攻击目标包括一系列陆军网站和数据库。对于在计划内,能够在军方面向公众的网站上发现漏洞的黑客,美国陆军将提供现金奖励。昨天,Hack the Army竞赛结果已经出炉。 美国陆军部长Eric Fanning展示给白帽子的奖励金币 Hack the Army计划 317人参与 收到416份漏洞报告 Hack the Army计划就是要让美国陆军“把钱放进我们嘴里”,“向美军红队和DDS团队及其…
无独有偶, 绿盟科技金融事业部的2017年1月刊中 也弄了2016年金融安全大事件盘点,这篇文章通过分析整理2016年金融行业安全事件和热点事件,从8个方面来总结金融行业面临的行业现状、监管要求、安全风险等,也给金融行业的2017年信息安全建设给出可落地的参考建议。 监管文件抢头条 移动终端是热点 信息泄露成常态 钓鱼欺诈手段多 内网问题隐藏深 里应外合要警惕 外网防线待加强 应急机制需落地 2016年金融行业的信息科技继续蓬勃发展,技术创新层出不穷,大数据、云计算、区块链和移动互联等方方面面的技术摸索和尝…