Log for 網路攻防戰~資安閒聊群組
標題:國際公信力XRY鑑識工具、實體萃取手機內藏資料!
摘要:
適度地利用鑑識工具對智慧型手機進行關鍵證據萃取,一旦發現使用者帳號密碼、Wi-Fi帳號密碼、網頁瀏覽的歷史紀錄、刪除檔案、通訊軟體的對話紀錄等重要資訊,將得以串起所有的片段而還原真相。
XRY 為一款專門作為手機鑑識的商業工具,支援市面上常見的Android、iOS、Windows Mobile、BlackBerry等系統,支援的手機型號更是高達上萬種,但因不同手機製造商對手機的客製化設計,使得XRY對各種不同型號的手機支援程度也有所不同,XRY提供兩種資料萃取的方式,分別為邏輯萃取(Logical Extract)與實體萃取(Physical Extract)。
邏輯萃取方式是針對檔案系統上可以存取的資料進行萃取,亦即將目前已配置的空間(Allocated Space)上的全部檔案萃取出來,以邏輯萃取方式可得到關於使用者的基本資料等,而這種萃取方式僅是從檔案系統中單純複製資料,並無法查看已刪除的檔案,但支援的設備多,可快速提供調查人員基本資訊掌握與使用者互動的社交圈。
在一般情況下,將檔案刪除後,檔案實際資料並不會從磁區上消失,而是刪除其指向實際資料的位址索引,並且將該實際資料存放的空間重新劃分成可用空間,但原先儲存在記憶體中的資料還存在著。
實體萃取方式則是以位元流Bit-by-bit的複製方式將手機或記憶卡等記憶儲存體上所有位置的資料全部萃取出來,利用這種方式可以對被刪掉檔案進行還原,然而在手機上要執行實體萃取,手機必須要先經過ROOT取得最高使用者權限才能執行。
引用來源:
http://www.netadmin.com.tw/article_content.aspx?sn=1705030011
摘要:
適度地利用鑑識工具對智慧型手機進行關鍵證據萃取,一旦發現使用者帳號密碼、Wi-Fi帳號密碼、網頁瀏覽的歷史紀錄、刪除檔案、通訊軟體的對話紀錄等重要資訊,將得以串起所有的片段而還原真相。
XRY 為一款專門作為手機鑑識的商業工具,支援市面上常見的Android、iOS、Windows Mobile、BlackBerry等系統,支援的手機型號更是高達上萬種,但因不同手機製造商對手機的客製化設計,使得XRY對各種不同型號的手機支援程度也有所不同,XRY提供兩種資料萃取的方式,分別為邏輯萃取(Logical Extract)與實體萃取(Physical Extract)。
邏輯萃取方式是針對檔案系統上可以存取的資料進行萃取,亦即將目前已配置的空間(Allocated Space)上的全部檔案萃取出來,以邏輯萃取方式可得到關於使用者的基本資料等,而這種萃取方式僅是從檔案系統中單純複製資料,並無法查看已刪除的檔案,但支援的設備多,可快速提供調查人員基本資訊掌握與使用者互動的社交圈。
在一般情況下,將檔案刪除後,檔案實際資料並不會從磁區上消失,而是刪除其指向實際資料的位址索引,並且將該實際資料存放的空間重新劃分成可用空間,但原先儲存在記憶體中的資料還存在著。
實體萃取方式則是以位元流Bit-by-bit的複製方式將手機或記憶卡等記憶儲存體上所有位置的資料全部萃取出來,利用這種方式可以對被刪掉檔案進行還原,然而在手機上要執行實體萃取,手機必須要先經過ROOT取得最高使用者權限才能執行。
引用來源:
http://www.netadmin.com.tw/article_content.aspx?sn=1705030011
標題:WannaCry災情尚未平息,影子掮客揚言再出售更多攻擊程式
摘要:
影子掮客指出,自6月起將宣佈「影子掮客資料每月一倒」(TheShadowBroker Data Dump of the Month)的訂閱制服務,「客戶」每月可以獲取會員專屬的外洩資料,會員可以自行決定這些資料之後的用途。
該組織揚言出售的攻擊工具涵括種類甚廣,從瀏覽器、路由器到手機攻擊程式與工具、Windows 10最新攻擊程式,到SWIFT國際匯款網路的銀行及中央銀行資料,以及中國、俄羅斯、伊朗與北韓核武及飛彈資料。
引用來源:
http://www.ithome.com.tw/news/114261
摘要:
影子掮客指出,自6月起將宣佈「影子掮客資料每月一倒」(TheShadowBroker Data Dump of the Month)的訂閱制服務,「客戶」每月可以獲取會員專屬的外洩資料,會員可以自行決定這些資料之後的用途。
該組織揚言出售的攻擊工具涵括種類甚廣,從瀏覽器、路由器到手機攻擊程式與工具、Windows 10最新攻擊程式,到SWIFT國際匯款網路的銀行及中央銀行資料,以及中國、俄羅斯、伊朗與北韓核武及飛彈資料。
引用來源:
http://www.ithome.com.tw/news/114261
http://www.appledaily.com.tw/realtimenews/article/new/20170517/1120147/
WannaSister.exe XDDD
WannaSister.exe XDDD
標題:NSA被竊駭客工具不只引發WannaCry,還被用來攻擊數十萬電腦遙控挖礦
摘要:
WannaCry使用的攻擊工具,包括Eternalblue及DoublePulsar,其實都是在4月隨著影子掮客公佈 NSA檔案而公諸於世。其中EternalBlue開採Windows TCP 445通訊埠的Server Message Block (SMB)漏洞,以入侵有漏洞的連網PC。而NSA開發的後門程式DoublePulsar,這次則是被WannaCry用來植入受害電腦中。
不過安全公司Proofpoint發現,其實早自4月24日到5月2日之間還有另一樁攻擊,也是使用Eternalblue和DoublePulsar來植入加密貨幣挖礦工具Adylkuzz。
Adylkuzz開始執行後,就會切斷SMB連線,然後判斷受害者電腦的IP位置,下載挖礦指令、挖礦軟體及清除工具。研究人員相信網路上執行Adylkuzz指令及挖礦二進位程式、挖礦指令的C&C伺服器也超過20台。
引用來源:
http://www.ithome.com.tw/news/114268
摘要:
WannaCry使用的攻擊工具,包括Eternalblue及DoublePulsar,其實都是在4月隨著影子掮客公佈 NSA檔案而公諸於世。其中EternalBlue開採Windows TCP 445通訊埠的Server Message Block (SMB)漏洞,以入侵有漏洞的連網PC。而NSA開發的後門程式DoublePulsar,這次則是被WannaCry用來植入受害電腦中。
不過安全公司Proofpoint發現,其實早自4月24日到5月2日之間還有另一樁攻擊,也是使用Eternalblue和DoublePulsar來植入加密貨幣挖礦工具Adylkuzz。
Adylkuzz開始執行後,就會切斷SMB連線,然後判斷受害者電腦的IP位置,下載挖礦指令、挖礦軟體及清除工具。研究人員相信網路上執行Adylkuzz指令及挖礦二進位程式、挖礦指令的C&C伺服器也超過20台。
引用來源:
http://www.ithome.com.tw/news/114268
標題:蘋果6月中將開始要求iCloud第三方程式採用專屬密碼
摘要:
從今年6月15日起,將強制所有要存取iCloud內容的第三方程式必須採用專屬密碼,涵蓋Microsoft Outlook、Mozilla Thunderbird或其他非源自蘋果的郵件、通訊錄或行事曆服務,屆時這些直接採用iCloud憑證的第三方程式或服務都會被自動登出iCloud。
所謂的專屬密碼是替第三方程式設立一個可存取iCloud內容的專用密碼,以避免那些與iCloud連結的第三方程式取得使用者的iCloud憑證,過去即有專屬密碼機制的存在,但蘋果並未強制實施,仍然允許使用者於第三方程式中輸入iCloud憑證。
不過,為了進一步保障iCloud用戶的安全,蘋果將杜絕所有第三方程式直接取得iCloud用戶的憑證,而是以專屬密碼作為存取iCloud的管道。
引用來源:
http://www.ithome.com.tw/news/114275
摘要:
從今年6月15日起,將強制所有要存取iCloud內容的第三方程式必須採用專屬密碼,涵蓋Microsoft Outlook、Mozilla Thunderbird或其他非源自蘋果的郵件、通訊錄或行事曆服務,屆時這些直接採用iCloud憑證的第三方程式或服務都會被自動登出iCloud。
所謂的專屬密碼是替第三方程式設立一個可存取iCloud內容的專用密碼,以避免那些與iCloud連結的第三方程式取得使用者的iCloud憑證,過去即有專屬密碼機制的存在,但蘋果並未強制實施,仍然允許使用者於第三方程式中輸入iCloud憑證。
不過,為了進一步保障iCloud用戶的安全,蘋果將杜絕所有第三方程式直接取得iCloud用戶的憑證,而是以專屬密碼作為存取iCloud的管道。
引用來源:
http://www.ithome.com.tw/news/114275