Home Page reload Search in this channel... Punch card Raw Text (irssi format) Fork on github switch to admin mode
Jump to...
redirecting...

Log for 網路攻防戰~資安閒聊群組

pm 08:44:02
呂守箴(OpenBlue)
標題:通訊軟體 Slack、Discord、Telegram 易遭駭客濫用,淪為發號施令的C&C伺服器

摘要:
趨勢科技選擇5項通訊軟體Slack、Discord、Telegram、HipChat、Mattermost,以及2種社群媒體Twitter、Facebook,調查其服務的註冊機制、匿名性、API傳輸的即時性、傳輸檔案的大小、儲存限制和雲端託管的能力,來評估成為C&C伺服器的潛在能力,並調查目前該服務API遭駭客濫用的情況。

除此之外,勒索軟體KillDisk的變種是利用Telegram的API,鎖定目標裝置來下達命令,進一步竊取目標裝置的資料。這些命令分別是「Cmd|」,執行shell命令並發送訊息到通訊平臺;「Cmd||」,執行shell命令但不會發送訊息;「Getphoto|| %path%」,從受感染電腦上傳圖片到通訊平臺;「Getdock||%path%」,上傳不超過50MB大小的檔案至通訊平臺;「forcecheckin|| %random%」,蒐集目標Windows(含X64、X86版本)電腦的使用權限;「time|| %seconds%」,更改執行命令的時間間隔;「ss||」,執行截圖功能。

Telegram不僅提供駭客傳送命令,來執行不同的功能,也是駭客確認目標裝置是否保持連接。勒索軟體TeleCrypt使用Telegram的API,回傳受害裝置的名稱、遭加密的資料和其他資訊給攻擊者,來確保雙方傳輸的管道沒有被破壞。

研究人員說明,因為在通訊平臺的環境裡面,很難利用監視流量的方式,辨別出攻擊者與一般使用者不同的使用行為,所以無法完全阻擋駭客在通訊平臺上的惡意行為,除非能夠解決前述的問題,否則難以防護通訊平臺的安全性。

原始資料/研究報告:
How Cybercriminals Can Abuse Chat Platform APIs as C&C Infrastructures
https://documents.trendmicro.com/assets/wp/wp-how-cybercriminals-can-abuse-chat-platform-apis-as-cnc-infrastructures.pdf

引用來源:
http://www.ithome.com.tw/news/114850
pm 09:03:38
呂守箴(OpenBlue)
標題:利用路由器 LED 燈號閃爍頻率來竊取隔離網路環境的電腦資料(含影片示範)

影片示範:
xLED: Covert Data Exfiltrartion via Router LEDs
https://www.youtube.com/watch?v=mSNt4h7EDKo

研究報告:
xLED: Covert Data Exfiltration from Air-Gapped Networks via Router LEDs
http://cyber.bgu.ac.il/advanced-cyber/system/files/xLED-Router-Guri_0.pdf

原始資料:
Air-Gap Research Page
http://cyber.bgu.ac.il/advanced-cyber/airgap

摘要:(以下引用簡體翻譯)
來自以色列本古里安大學網絡安全研究中心的研究人員在本週發布了一篇研究報告,並演示瞭如何通過分析路由器LED燈的閃爍信號來從一台物理隔離計算機中提取或轉移數據。

研究人員表示,攻擊者既可以通過在目標路由器中植入惡意固件來發動攻擊,也可以遠程利用目標路由器中的軟件漏洞來實施攻擊。固件攻擊相對來說難度比較高,因為攻擊者需要通過供應鍊或社工技術事先感染目標路由器,相比之下軟件攻擊就比較容易實現了,因為目前很多設備中都存在可以遠程利用的安全漏洞。

目標路由器或交換機一旦被感染,那麼攻擊者就可以控制設備LED燈的閃爍方式。接下來,攻擊者就能夠使用各種不同的數據調製技術從單個LED或一串LED的閃爍頻率中提取出數據,攻擊者這邊還需要配置一個信號接收裝置,這種裝置可以是一個攝像頭或光傳感器。

比如說,如果一個LED在指定時間間隔處於熄滅狀態,那麼傳輸的數據為“0”bits;如果一個LED在指定時間間隔處於點亮狀態,那麼傳輸的數據則為“1”bits;理論上來說,“0”bits和“1”bits同樣可以通過頻率變化來進行調製。對於那些配備了多種LED燈的設備,攻擊者可以用多個LED的閃爍來代表一系列比特數據,這也是這項技術之所以能夠實現數據高速傳輸的原因。

內文引用來源:
路由器的LED燈將允許攻擊者從物理隔離計算機中竊取數據
http://www.freebuf.com/news/136737.html

相關媒體報導:
Router LEDs Allow Data Theft From Air-Gapped Computers
http://www.securityweek.com/router-leds-allow-data-theft-air-gapped-computers
created by mmis1000 and release under MIT License
GitHub Repo