近日CheckPoint發布最新研究報告,發現已有3年活動歷史但一直沒被偵測到的中國駭客組織,並命名為SharpPanda,他們的這次攻擊是透過魚叉式釣魚郵件,並利用早年的OfficeWord漏洞來入侵。在分析結果中,指出該組織使用了中國駭客常用的攻擊工具RoyalRoad RTF,並且中國五一連假期間停止作業
「後門程式偵測」的推薦目錄:
後門程式偵測 在 iThome Security Facebook 的最讚貼文
Proofpoint發現近期一批釣魚信件,散布名為BazaLoader的後門程式,值得注意的是,最新假借名義是偽裝成BravoMovies,並要用戶透過郵件所附電話聯繫假客服,透過語音溝通的互動方式,取信不懂的使用者去下載包含惡意巨集的Excel檔
後門程式偵測 在 iThome Security Facebook 的最佳貼文
資安業者ESET揭露北韓駭客組織Lazarus新的攻擊工具Vyveva,他們看到一家南非貨運公司的伺服器遭到相關攻擊,進而解析這個工具的特性,並相信駭客在2018年底就開始運用Vyveva。但為何這麼久才被發現?ESET認為,很有可能因為跟採用洋蔥網路(Tor)與C2伺服器連線,以及具備竄改檔案時戳(Timestomping)等躲避偵測的機制有關。
https://www.ithome.com.tw/news/143751
-----
◤ 最具指標年度盛事.CYBERSEC 2021 臺灣資安大會 ◢
2,300+ 家企業指定造訪、臺灣唯一超規格資安展會
掌握趨勢、諮詢專家,尋求資安解方的第一首選!
🔴 馬上報名 https://r.itho.me/register
🟢 邀請好友抽 AirPods Pro https://r.itho.me/share
★ 全方位主題論壇 200+ 場專業演說 👑
★ 破 200+ 品牌參展 歷年最大資安展覽 ⛹
★ 佳評如潮 CyberLAB 實機攻防演練 🏆
★ 獨門 CYBERSEC Playground 資安體驗區 🃏
★ 臺灣資安館 看見 MIT 自主研發實力 👊
★ CyberTalent Connect 資安新鮮人才專區 🙋
★ 票選最受歡迎 Tech Demo Award 拿大獎 📣
… and more!
🔵 鎖定大會動態 https://r.itho.me/CYBERSEC_2021
🔴 免費參加 https://r.itho.me/signup
________________________________
CYBERSEC 2021 臺灣資安大會
時間:5 月 4 - 6 日
地點:臺北南港展覽二館
#TRUST_redefined #信任重構
#CYBERSEC2021 #2021臺灣資安大會
#CYBERSECEXPO #臺灣資安大展 #資安 #iThomeSecurity
後門程式偵測 在 會"暫時停止呼吸"的後門程式ackdoor.Pfinet - Facebook 的推薦與評價
看過殭屍片的都知道,只要暫時停止呼吸就可以讓殭屍無法發覺,但現在的木馬也會來這招,當發現使用者在使用偵測工具時便會自動的暫時停止網路活動,使得安全軟體難以發現它 ... ... <看更多>
後門程式偵測 在 簡易示範:利用Kali+網路常見軟體,製作後門測試(入侵電腦 ... 的推薦與評價
說明:利用網路上可以抓取的工具 程式 或檔案,進行編碼後,值入 後門 (可規避防毒 偵測 ),使用者啟動後就會開啟 後門 連線模擬 測試 1.左邊WIN7 64位元電腦上網 ... ... <看更多>
後門程式偵測 在 [其他] 轉貼病毒的一種類-後門程式Backdoor - 精華區AntiVirus 的推薦與評價
https://www.cert.org.tw/document/column/show.php?key=22
MS Windows 平台的後門程式探討
--------------------
一、前言
MS Windows 是大多數個人平台所使用的作業系統,雖然 Windows 系統
出現安全漏洞,多半也只會立即影響到個人,但是也可能會因此而影響
到別人(例如 DDoS 分散式阻絕攻擊、病毒等等)。
在本文中,我們要談談一些日漸盛行的後門程式,這些程式多半只影響
個人,但是對於個人隱私卻有相當大的影響。
二、後門簡介
後門程式的起源有兩種,一種是不懷善意的後門程式,另一種是遠端管
理程式。雖然遠端管理程式一開始的立意是為了方便遠端管理,但是如
果以不正當的手法、或是不懷好意的心態來使用的話,就變成了後門程
式。比方說像Back Orifice 或是國人自產的 BirdSpy 也都是為了遠端
管理而開發的,但是卻有太多人拿來當後門程式使用。
目前 Windows 上的後門程式約有三十幾種,多半是真的後門程式,而
少部分(一開始)是遠端管理程式,例如比較常見的 Netbus、Bo2k、
Netspy、Netbuster、BirdSpy、Sub 7...等等。這些後門程式最基本的
可以偷偷你的密碼或個人資料,幫你開、關機,增、刪你的檔案,比較
強大的(遠端管理程式)還可以監看你的螢幕,記錄你的 key stroke
,幫你執行程式,幫你打打字等等,就好像遙控者坐在你的電腦前面一
樣。
遙控者可以利用後門程式的 client,透過預先定義好的 port 來控制
受害者的機器,甚至有的後門程式會透過電子郵件、IRC 或其他方式來
散佈受害者的上網 IP,以避免撥接者 IP 動態改變的問題。
三、散播途徑
這些後門程式大多數是藉由類似病毒感染的方式傳遞,例如夾帶在電子
郵件中,夾帶在軟體中,當你享受朋友分享的軟體或電子郵件的同時,
後門程式就悄悄的進駐了。也有些人在幫人家裝電腦或是修電腦的時候
,就會附贈後門程式,以提供更完善的「服務」,尤其是幫女生裝的電
腦。(曾有人在網路上提到,用 portscan 工具往女舍一掃,超過 60%
的女生電腦有裝 bo 之類的後門)
四、防制之道(一)
有些後門程式已經被病毒檢查軟體列為病毒來偵測,因此安裝防毒程式
並每月更新病毒定義碼是一個防制方式。此外,有些後門程式使用固定
的 port 來做通訊之用,有些通訊檢查軟體(例如 LockDown)可以做
一點基本的防護。
但是....
1. 由於後門程式的原始程式碼大多數是公開的,只要有心人拿來改
一改,就可以換到不同的 port 以避開 LockDown,或是變換程式
碼以避開防毒軟體。
2. 防毒程式只能針對已知的程式碼進行篩檢,而 LockDown 這種軟
體也只能偵測已知的 port(但不會偵測通訊內容,只要相關的
port 遭到連線就會發出笨笨的警告)。
五、防制之道(二)
由於後門程式通常會使用(bind、listen)某些 port,所以你可以自
己來檢查看看你有哪些 port 正在使用中。
首先,我們開啟一個 DOS Command 視窗,並且輸入:
C:\> netstat -a | more
你會看到類似以下的畫面:(最前面的行號不算)
1. TCP me:4950 ME:0 LISTENING
2. TCP me:nbsession ME:0 LISTENING
3. TCP me:1061 www.cert.org.tw:970 ESTABLISHED
4. TCP me:9780 11.22.33.44:40964 ESTABLISHED
5. TCP me:137 ME:0 LISTENING
6. TCP me:138 ME:0 LISTENING
7. TCP me:4576 152.163.243.114:5190 ESTABLISHED
8. UDP me:nbname *:*
9. UDP me:nbdatagram *:*
1. 以第 1 行來說,有一個程式正在 port 4950 等待連線(listen)
2. 以第 3 行來說,有一個連線從我的電腦 port 1061 連到 www.cert.
org.tw 的 port 970,這是一個 SNP telnet 的連線。
3. 以第 2、5、6、8、9 行來說,這是 Windows 資源分享的 ports。
4. 你可能會看到一大堆不知道是什麼東西的 port,沒關係,再往下
看。
請關掉「所有的連線」,例如 Netterm、Outlook、MSIE、ICQ 等等,
然後再執行一次 netstat -a,看看是否還有 ESTABLISHED 的連線,如
果有的話,表示尚有不明的連線正在進行中,你可以請教比較瞭解的人
這些 ESTABLISHED port 是做什麼用的。如果你有 UNIX 或是相關的
nslookup、dig 工具,可以看看對方的 IP 對應到什麼 hostname,如
果是莫名其妙的機器就要小心了。
解決了 ESTABLISHED 之後,我們再來看看 LISTENING 的 port,這些
正在等待連線中的 port 就很有可能是後門程式的 port,你可以把它
們記下來問比較清楚的人,或是到 security 版上發問。
PS. 這裡有一份常見的後門程式 port 列表:
https://www.simovits.com/nyheter9902.html
六、結語
目前對於 Windows 後門程式並無絕對有效的防制之道,端看使用者本
身的習慣是否良好,例如不隨便使用來路不明的軟體,不隨便開啟來路
不明的信件。此外,要看使用者的人緣,會不會受到朋友的「特別照顧
」,幫你裝了一些有的沒有的後門。
雖然如此,有裝防毒軟體或是網路通訊檢查軟體還是略有小用,可以擋
掉一些無謂的小騷擾,正所謂沒有魚、蝦也好。
當然對於一個躲在設定良好防火牆後面的 Windows 主機來說,這些後
門程式大多無用武之地,但畢竟在一般的情形之下,大多數的 Windows
機器都是單獨暴露在 Internet 之上,所以在此提到防火牆就有多此一
舉之嫌了。
--
PCZONE 防駭/防毒版 (論壇中有kaspersky派人解答)
https://www.pczone.com.tw/vbb3/forumdisplay.php?f=45
卡巴斯基台灣官網 https://www.kaspersky.com.tw/
強力推薦[卡巴斯基]和[F-Secure]比諾頓和PC-cillin還強的防毒軟體
小弟自製卡巴斯基
網站https://home.anet.net.tw/liucc/或https://home.kimo.com.tw/liukh0412/
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 163.22.18.105
... <看更多>