标记为“rootkits”的条目

第1页共3页

广告拦截的进展

广告拦截器代表最大的消费者抵制在人类历史上。他们也是阻滞剂和阻滞剂之间的军备竞赛。这篇文章讨论了一种新的广告拦截技术,它代表了这场军备竞赛的另一个进步。我不认为这会“结束广告拦截军备竞赛”。正如标题所宣称的,但这肯定会让拦网者占上风。

软件,由Arvind Narayanan设计,迪伦·雷斯曼,乔纳森·迈尔,格兰特·斯托里,小说有两个主要方面:第一,它认为广告和广告拦截程序之间的斗争从根本上来说是一个安全问题,可以像反病毒程序试图阻止恶意软件那样进行斗争,使用从rootkit借鉴的技术以及内置的网页浏览器可定制性,可以在不被检测到的情况下隐藏阻止广告。第二个,研究小组注意到,书中有一些法规和法律,它们给消费者带来了根本优势,而这些优势不易改变,打开长期广告屏蔽解决方案的大门。

现在,如果我们也能阻止数据收集。

4月25日发布,2017年12:07 PM查看评论

BIOS黑客攻击

我们了解了很多国家安全局的能力对计算机的BIOS进行黑客攻击在重新安装操作系统后仍然存在.现在我们有一个关于它的研究报告。

有线以下内容:

BIOS引导计算机并帮助加载操作系统。通过感染这个核心软件,它在防病毒和其他安全产品下面运行,因此通常不会被它们扫描,间谍可以植入仍然存在的、未被发现的恶意软件,即使计算机的操作系统被清除并重新安装。

[…]

尽管大多数BIOS都有保护措施来防止未经授权的修改,研究人员能够绕过这些漏洞,重新刷新BIOS并植入恶意代码。

[…]

因为许多BIOS共享一些相同的代码,他们能够发现80%被检查的个人电脑中的漏洞,包括戴尔的,联想和惠普。漏洞,他们称之为入侵漏洞,很容易发现,他们写了一个脚本来自动执行这个过程,并最终停止计算它发现的秃鹫,因为有太多。

螺纹柱以下内容:

Kallenberg说,攻击者需要远程访问一台受损的计算机,以便执行植入操作并通过硬件提升计算机的权限。它们的漏洞会关闭现有的保护以防止固件重新闪烁,使植入物能够被插入和执行。

他们利用的狡猾之处在于他们找到了一种方法,将他们的代理插入到系统管理模式中,它由固件使用并与操作系统分开运行,管理各种硬件控制。系统管理模式也可以访问内存,这使得原本安全的操作系统,如尾巴,进入了植入物的火线。

来自注册以下内容:

“因为几乎没有人修补他们的生物,几乎所有野生生物都受到至少一个漏洞的影响,可能会被感染,科帕瓦说。

“跨UEFI bios的大量代码重用意味着bios感染可以是自动和可靠的。

“重点不在于供应商如何不解决问题,以及供应商的修复程序如何被用户取消应用的更多信息,公司,还有政府。”

福布斯以下内容:

尽管如此“巫毒”黑客攻击很可能仍然是情报机构和军事机构的武器,越来越容易了,卡尔伦伯格和科瓦相信。这部分是由于UEFI的广泛采用,一个框架,使生产链上的供应商更容易添加模块和修补代码。这对好人很有用,但也使研究人员更容易检查生物信息系统,发现漏洞并创建发现问题的工具,允许Kallenberg和Kovah在不同的PC上展示其漏洞。在福布斯的演示中,一台惠普电脑被用来攻击华硕的机器。科瓦赫声称,在不同PC的测试中,他能够在80%的访问过的计算机上找到并利用BIOS漏洞,并且可以在剩余的10%中找到缺陷。

“有一些保护措施可以防止您刷新BIOS,我们基本上已经自动化了在这个过程中查找漏洞的方法,允许我们绕过它们。事实证明,绕过保护也很容易。卡尔伦伯格补充道。

国家安全局有一个术语来形容它认为是其独有的弱点:诺布斯,“除了我们没有人”。原来诺布斯是一个有缺陷的概念。作为我继续说下去:“今天的绝密课程将成为明天的博士论文和第二天的黑客工具。”由继续利用这些漏洞不是修复它们,国家安全局让我们都很脆弱。

斜线点螺纹.黑客新闻线.Reddit公司线.

编辑添加(3/31):幻灯片来自CanSecWest演示文稿。归根结底,有一些非常巨大的BIOS不安全。作为一个社区和行业,我们需要弄清楚如何定期修补我们的生物。

发表于3月23日,2015年上午7:07查看评论

朝鲜真的攻击索尼吗?

我对联邦调查局的公告上周五,朝鲜落后于上个月索尼黑客.该机构的证据很薄弱,我很难相信。但我也很难相信,如果官员不相信,美国政府会正式提出这一指控。

黑客攻击代码中的线索似乎同时指向各个方向。联邦调查局积分为了重复使用以前与朝鲜有关的攻击的代码,以及用于发起攻击的网络的相似性。代码中的韩语也暗示了韩语的起源,虽然不一定是朝鲜人,因为朝鲜人使用独特的方言.不管你怎么读,这某种证据最好是间接的。很容易伪造,更容易误解。一般来说,这是一种迅速转变为讲故事的情况,分析人员从中挑选零碎的“证据”为了符合他们的叙述,他们已经在头脑中想出了办法。

实际上,有几种可能性可以考虑:

  • 这是朝鲜官方的军事行动。我们知道朝鲜广泛的网络攻击能力.

  • 这是独立的朝鲜国民的工作。过去许多出于政治动机的黑客事件都没有受到政府控制。这种黑客行为没有什么特别或复杂的地方可以说明政府的行动。事实上,重用旧的攻击代码是一个更传统的黑客背后的信号。

  • 这是黑客们的工作,他们在媒体上看到索尼之前不知道它与朝鲜有联系。索尼,毕竟,是黑客拥有的公司爱恨十年来。这种情况最有力的证据是,朝鲜与朝鲜的明确联系——对电影的威胁采访--只是黑客制造的之后媒体注意到电影发行和网络攻击之间可能存在的联系。黑客们仍然很有可能在里面只是为了安静,请而这个国际地缘政治的角度只会让整个事情变得更有趣。

  • 可能是一个内幕消息--索尼的斯诺登——他策划了这次突破。我怀疑这个理论,因为内部人员不需要所有使用的黑客工具。我也看到过这样的猜测:罪犯是不满前雇员.有可能,但该雇员或前雇员也必须具备必要的黑客技能,这似乎不太可能。

  • 最初的袭击不是朝鲜政府的行动,但被政府增选了。没有理由相信最初从索尼窃取信息的黑客和在电影中威胁公司的黑客是一样的。可能有几个攻击者独立工作。可能独立的朝鲜黑客在工作太大而无法处理时,将他们的工作移交给了政府。可能是朝鲜黑客入侵了。

我肯定还有其他的可能性我没想到,如果真正发生的事情不在我的名单上,我也不会感到惊讶。朝鲜提出协助调查一点都不清楚。

很明显,FBI的新闻稿说该局的结论只是“部分”基于根据这些线索。这使得政府有可能有机密证据表明朝鲜是这次袭击的幕后黑手。自朝鲜战争以来,国安局一直试图窃听朝鲜政府的通讯,我们可以合理地假设,它的分析师们处于相当深的深度。该机构可能有关于黑客计划过程的情报。可能,说,打电话讨论这个项目,每周PowerPoint状态报告,甚至是金正恩在计划上的签字。

另一方面,也许不是。在2003年入侵伊拉克之前,我本可以写下同样的关于伊拉克大规模杀伤性武器计划的内容,我们都知道政府在这方面是多么错误。

艾伦·弗里德曼,乔治华盛顿大学网络安全政策研究所的研究科学家,告诉我,从外交角度来看,对于美国来说,过于自信地将责任归咎于网络攻击是一个明智的策略。除了这次袭击的政治因素,美国的长期利益是阻止其他国家采取类似的行为。如果朝鲜政府继续否认其参与,不管真相是什么,真正的袭击者已经潜入地下,那么,美国宣称无所不能的归属权的决定,就向其他人发出了警告,如果他们这样做,就会被抓住。

索尼也对黑客行为有既得利益,因为黑客行为是朝鲜的工作。这家公司将在12家或更多家公司的接收端。诉讼--来自员工,前雇员,投资者,合作伙伴,等等。哈佛大学法学教授乔纳森·齐特林有观点的这次袭击的特点是恐怖主义或战争,或者外国势力的工作,可能为公司赢得一定程度的豁免权。

我担心这个案子与“我们有证据——相信我们”相呼应。布什政府在伊拉克入侵前夕所讲的故事。识别网络攻击的起源是非常困难的,当它可能,归属责任的过程可能需要几个月。当我确信没有美国军事报复因为这个,我认为最好的回应是冷静并对清楚的解释持怀疑态度,直到知道更多。

这篇文章最初出现大西洋.

更多怀疑者。Ed Felten已经也写了关于索尼的违约。

编辑添加(12/24):尼古拉斯·韦弗分析国家安全局如何确定朝鲜是否支持索尼的黑客行为。还有杰克·戈德史密斯讨论美国政府对袭击事件的法律和政策混乱。

编辑添加:Slashdot线.黑客新闻线.

编辑添加(1/14):有趣文章由Defcon的安全运营总监负责。

12月24日发布,2014年上午6:27查看评论

执法监督系统存在漏洞

SEC Consult发布了咨询的警告人们不要使用政府窃听的产品,称为录制快车,由以色列尼斯系统公司出售。基本上,攻击者可以完全破坏系统。在这方面有好故事克雷布斯丹·古丁.

发表于5月29日,2014年下午2:12查看评论

交换:国家安全局利用当时的优势

今天来自NSA定制访问操作(TAO)组的项目植入物目录以下内容:

互换

(ts//si//rel)swap通过利用主板BIOS和硬盘驱动器的主机保护区域来提供软件应用程序持久性,以便在加载操作系统之前获得定期执行。

(ts//si//rel)此技术支持运行Windows的单处理器或多处理器系统,Linux,自由空间,或具有以下文件系统的Solaris:fat32,NTFS,外部2,外部3,或UFS1.0。

(ts//si//rel)通过远程访问或禁止,arkstream用于刷新bios和twistedkilt,以便在目标计算机上的硬盘驱动器上写入主机保护区,以便植入交换及其有效负载(植入安装程序)。一旦植入,交换的执行频率(丢弃播放负载)是可配置的,并且将在目标机器通电时发生。

状态:已发布/已部署。准备立即交付

单位成本:0美元

第页,有了图形,是在这里.关于道和目录的一般信息是在这里.

在评论中,自由讨论如何利用资源,我们如何检测到它,自2008年目录输入以来,它可能得到了怎样的改进,等等。

2月6日发布,2014年下午2:07查看评论

索姆博克纳夫:国家安全局对今天的利用

今天来自NSA定制访问操作(TAO)组的项目植入物目录以下内容:

索姆伯克纳夫

(ts//si//rel)Somberknave是Windows XP无线软件植入,为孤立目标提供隐蔽的互联网连接。

(ts//si//rel)sombeknave是一种软件植入,它通过未使用的嵌入式802.11网络设备秘密地将TCP流量从指定进程路由到辅助网络。如果存在互联网连接的无线接入点,Somberknave可用于允许奥林巴斯或验证器“呼叫总部”通过802.11从空隙目标计算机。如果目标正在使用802.11接口,Somberknave不会尝试传输。

(ts//si//rel)在操作上,验证程序启动呼叫总部。SomborkNave从命名事件触发并尝试与访问点关联。如果连接成功,数据通过802.11发送到ROC。验证程序收到指令,下载奥林巴斯,然后解除关联并放弃对802.11硬件的控制。然后,奥林巴斯将能够通过索姆伯克纳夫与中华民国进行沟通,只要有可用的接入点。

状态:可用——2008年秋季

单位成本:5万美元

第页,有了图形,是在这里.关于道和目录的一般信息是在这里.

在评论中,自由讨论如何利用资源,我们如何检测到它,自2008年目录输入以来,它可能得到了怎样的改进,等等。

编辑添加(2/6):像这样的植入物说明了为什么我相信世界上主要的情报机构拥有整个斯诺登档案馆的副本。虽然我不相信他们能解密斯诺登档案馆,请他们当然可以跳过记者设置的空隙。

2月5日发布,2014年下午2:04查看评论

伊拉特蒙克:美国国家安全局利用这一天

今天来自NSA定制访问操作(TAO)组的项目植入物目录以下内容:

伊拉特蒙克

(ts//si//rel)iratemonk通过在硬盘固件中植入,通过主引导记录(MBR)替换获得执行,在台式机和笔记本电脑上提供软件应用程序持久性。

(ts//si//rel)此技术支持没有从各种西方数字设备引导的RAID硬件的系统,希捷,麦克斯特,三星硬盘。支持的文件系统是:FAT,NTFS,ext3和ufs。

(ts//si//rel)通过远程访问或禁止,联合制动,或者strattbazzare与slickervicar一起使用,将硬盘固件上传到目标机器上,以植入iratemonk及其有效载荷(植入安装程序)。iratemonk的执行频率(丢弃有效负载)是可配置的,并且将在目标机器通电时发生。

状态:已发布/已部署。准备立即交付

单位成本:0美元

第页,有了图形,是在这里.关于道和目录的一般信息是在这里.

在评论中,自由讨论如何利用资源,我们如何检测到它,自2008年目录输入以来,它可能得到了怎样的改进,等等。

1月31日发布,2014年下午2:17查看评论

金苏:美国国家安全局利用这一天

今天来自NSA定制访问操作(TAO)组的项目植入物目录以下内容:

金苏

(ts//si//rel)Ginsu为CNE植入提供软件应用程序持久性,康古尔,在带有PCI总线硬件植入的目标系统上,推土机。

(ts//si//rel)此技术支持包含至少一个PCI连接器(用于推土机安装)和Microsoft Windows 9x的任何台式PC系统,2000年,2000年3月,极限压力,或者Vista。

(ts//si//rel)通过遮断,推土机作为PCI总线硬件植入安装在目标系统中。野战结束后,如果由于操作系统升级或重新安装而从系统中删除kongur,可以将ginsu设置为在下次重新启动系统时触发以恢复软件植入。

单位成本:0美元

状态:已发布/已部署。准备立即交付

第页,有了图形,是在这里.关于道和目录的一般信息是在这里.

在评论中,自由讨论如何利用资源,我们如何检测到它,自2008年目录输入以来,它可能得到了怎样的改进,等等。

发表于1月29日,2014年下午2:28查看评论

反病毒公司如何处理国家资助的恶意软件

自从我们得知国家安全局暗中削弱了互联网安全,因此更容易窃听,我们一直在想它是否对防病毒产品有任何作用。考虑到它参与了攻击性的网络攻击——并发射了类似stuxnet和flame的网络武器——有理由假设它要求反病毒公司忽略它的恶意软件。(我们知道反病毒公司以前已经为公司恶意软件做过这项工作。)

我猜国家安全局没有这么做,也没有任何其他的政府情报机构或执法机构。我的理由是杀毒是一个非常国际化的行业,虽然政府可能会让自己的公司参与其中,它将无法影响国际公司。因此,尽管美国国家安全局肯定会对McAfee或赛门铁克(两家硅谷公司)施压,要求其忽略美国国家安全局的恶意软件,同样,它也不能给卡巴斯基实验室(俄罗斯)施加压力,F-Secure(芬兰语)或avast(捷克语)。俄罗斯政府,芬兰,捷克共和国也会有类似的问题。

即便如此,我加入了一个安全专家小组如果反病毒公司在政府的要求下无视恶意软件,他们会明确表示。了解到这些公司肯定会撒谎,目前的反应是:没有人承认这样做。

直到现在,只有少数供应商回复了eset,F-安全,诺曼鲨鱼,卡巴斯基,熊猫和趋势微。所有响应公司都已确认检测到国家赞助的恶意软件,例如r2d2和finfisher。此外,他们声称从未收到不检测恶意软件的请求。如果将来有政府要求他们这样做,他们说他们不会遵守。所有上述公司都认为没有无害的恶意软件。

12月2日发布,2013年上午6:05查看评论

坏生物

好故事巴德比奥,一个非常讨厌的恶意软件。最奇怪的是它是如何使用超声波跳跃空气间隙。

Ruiu说,他是在观察到加密数据包从一台受感染的计算机发送到另一台受感染的计算机,而这台计算机与另一台受感染的计算机之间没有明显的网络连接,但与之非常接近之后,得出了关于Badbios的高频网络能力的理论。即使其中一台机器移除了Wi-Fi和蓝牙卡,数据包也会被传输。瑞乌还断开了机器的电源线,排除了通过电气连接接收信号的可能性。即使那样,法医工具显示,这些包裹继续流过有气隙的机器。然后,当锐欧拆下与气隙机相连的内部扬声器和麦克风时,包裹突然停止了。

扬声器和麦克风完好无损,鲁说:当他拆除恶意软件所依赖的软件组件时,被隔离的计算机似乎正在使用高频连接来维护Badbios感染的完整性。

“有气隙的机器就像连接到互联网一样。”他说。“我们遇到的大多数问题是,我们略微禁用了系统组件的某些部分。它不会让我们破坏某些东西。一旦我们试图打破它们,事情就会自动得到解决。很奇怪。”

我不知道该怎么办。当我第一次读它的时候,我以为这是个骗局。但有足够多的人认真对待它,我认为这是一个真实的故事。我不知道事实是否真实,我还没有看到任何关于这个恶意软件实际上做了什么。

其他讨论.

编辑添加:更多讨论.

编辑添加(11/14):声明去毛刺

11月4日发布,2013年上午6:15查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。