威尼斯手机平台-电子正规官网登录首页

热门关键词: 威尼斯手机平台,威尼斯登录首页,威尼斯正规官网
导入中毒版证书会破坏存在缺陷的 OpenPGP,所以我们通常使用公钥的指纹或哈希值来标记密钥
分类:威尼斯电子平台

OpenPGP 项目的两位知名开发者 Robert J. Hansen (rjh) 和 Daniel Kahn Gillmor(dkg)过去一周成为证书中毒攻击的受害者。未知攻击者利用 OpenPGP 协议本身的缺陷给 rjh 和 dkg 的 OpenPGP 证书下毒。导入中毒版证书会破坏存在缺陷的 OpenPGP。中毒证书已经存在于 SKS Keyserver Network 中,没有理由认为攻击者在对两个证书下毒后就停止攻击。dkg 称 Tor 项目的多个证书也遭到攻击。这一攻击无法在短期内被 SKS keyserver 或 OpenPGP Working Group 减轻影响,未来发布的 OpenPGP 将会包含一些削弱攻击的方法,但目前没有时间表。权宜之计是不要从 SKS Keyserver Network 提取数据。Keyserver 使用的软件是一名研究员使用 OCaml 语言为自己的博士论文开发的,社区缺乏理解其算法或该语言的人才。软件没人维护,也没有人有资格去修改代码。

F5 Networks在上周三发文称,他们自2017年7月以来一直在追踪利用Apache Struts 2远程代码执行(RCE)漏洞CVE-2017-5638发起的恶意活动。在最初的活动中,攻击者主要利用这个漏洞来感染运行在Linux操作系统上的Struts框架,以挖掘以太币Electroneum (ETN)加密货币。

via Solidot

威尼斯电子平台 1

随着时间的推移,攻击者似乎决定将他们的采矿业务扩大到新的目标。在最新的活动中,F5 Networks的研究人员发现利用CVE-2017-5638的挖矿活动仍在进行,虽然其最终目标仍然是挖掘以太币,但攻击范围已经扩大到了Windows系统,而不仅仅是Linux系统。

针对开发人员的碰撞攻击让我们发现Pretty Good Privacy(PGP)短ID的漏洞,该漏洞允许攻击者创建假ID密钥,这会给收件人解密或验证邮件制造问题。那么,这个漏洞的工作原理是什么,以及为什么短密钥ID会成为问题?

新的目标针对了Windows系统

Michael Cobb:当为电子邮件、文档或文件创建哈希值或者消息摘要时,需要通过使用密码散列函数来生成内容的短数字指纹,这种数学算法会将任意大小的数据映射到短的固定长度值作为其唯一标识。哈希值被广泛用于安全的很多方面,例如数字签名和数据完整性检查,人们通常会精心选择散列函数以确保它们有较强的抗碰撞性--即两个不同的输入无法创建相同的散列值,因为攻击者的碰撞攻击会试图寻找具有相同散列值的两组不同数据片段。

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。

而PGP是对消息或文件进行加密和数字签名的加密工具,PGP的用户会有公钥和私钥,公钥通常在密钥服务器发布。由于这些密钥都非常长(通常为1024至8096位),所以我们通常使用公钥的指纹或哈希值来标记密钥,让某些密钥管理工作更容易和更快速,例如验证属于其他用户的密钥或者验证证书颁发机构。然而,当转换为十六进制数字时指纹为40位,这对于人类来说仍然太长而难以使用,因此人们和很多应用仅使用指纹的最后八位数。这被称为短密钥ID--长ID是指指纹的最后16位数字。下面是例子:

漏洞CVE-2017-5638则是一个在2017年3月份被公开披露漏洞 ,影响Struts 2.3.5到Struts 2.3.31以及Struts 2.5到Struts 2.5.10的所有版本,在基于Jakarta Multipart解析器执行文件上传时,攻击者通过恶意的Content-Type值,可导致远程代码执行。

指纹: 0D29 F56F 12BD BA07 7B37 15AB 851F 799A B4FF 1057

在最初的活动中,攻击者主要通过使用Linux系统内置的“ wget ”和“ curl ”工具注入Linux shell有效载荷,以下载挖矿恶意软件,并将其添加为持久性的“cron”任务。

长ID: 851F 799A B4FF 1057

威尼斯电子平台 2

短ID: B4FF 1057

在2018年3月中旬,F5 Networks的研究人员观察到最近进行的活动发生了变化,其中注入的有效荷载改为了针对基于Windows系统的Struts服务器。

虽然现代密钥散列函数几乎不存在具有相同哈希值的两个输入,但两个哈希值最后八位数相同的几率还是很高。事实上,我们已经发现很多具有相同短密钥ID的欺骗性PGP密钥。

威尼斯电子平台 3

多年来,大家已经知道这种碰撞攻击成功的可能性。在2011年,软件工程师Asheesh Laroia有效证明了这种攻击的可行性,这个问题在“RFC 4880:OpenPGP Message Format”3.3章节中也有提及--“不应该假定密钥ID为唯一标识”。尽管如此,使用短密钥ID仍然是常见做法,并构成真正威胁,特别是当涉及文件下载的完整性时,例如Linux内核。

使用Windows certutil工具下载恶意软件

尽管PGP本身没有缺陷或漏洞,但使用短密钥ID基本上是不安全的糟糕做法。用户不应该信任比公共PGP密钥完整指纹更短的ID用于验证;密钥ID的目的是帮助搜索密钥,而不是验证它。用户和软件都需要开始显示和检查完整指纹,或者至少使用长ID。长密钥ID也可能存在碰撞,但可能性较小。软件开发人员应该明确编写或重新编写代码以包含整个指纹,毕竟云计算使得攻击者可为长密钥ID生成碰撞攻击。现在那些将PGP密钥短ID印在名片背面的PGP支持者们可能会想要增加指纹的前两位来帮助他人验证其密钥。

由于Windows系统并不像Linux系统那样配备有内置命令行HTTP客户端工具(如“curl”和“wget”),常见的选择是编写Visual Basic或PowerShell脚本或使用Windows BITSAdmin工具(该工具通常被用于下载和上传)。

【编辑推荐】

不过,在F5 Networks观察到的活动中,攻击者并没有使用这些方法或工具,而是使用了名为“certutil”的命令行工具来下载用于安装挖矿恶意软件的安装脚本文件。

certutil是Windows操作系统内置的一个命令行工具,能够使用“ urlcache ”标志从远程主机获取和缓存证书文件以及使用base64编码证书格式提供简单的规避功能。

在脚本文件被下载后,攻击者利用certutil对其进行了base64解码,保存为update.exe并执行。该文件的元数据表明,它很可能是在2018年1月30日被创建的。

安装程序几乎与所有版本的Windows系统兼容,并包含有三个负责执行不同功能的DLL文件:

威尼斯电子平台 4

检测是否安装ESET防病毒软件

在安装程序执行时,它将休眠16秒钟并检查受感染设备上是否安装有ESET防病毒软件。如果有,安装程序将使用nsisdl.dll下载名为nod.lock的文件并停止安装过程。

威尼斯电子平台,如果受感染设备没有安装ESET防病毒软件,安装程序将使用system.dll插件检查操作系统体系结构,并相应地下载“msi32.zip”或“msi64.zip”。

文件被下载到%appdata%/ MSSearchIndexer文件夹中,并使用ZipDLL.dll进行解压,然后将zip文件从受感染设备中删除。

威尼斯电子平台 5

挖矿程序(mssearch.exe)就包含在解压后的文件中,这是挖矿工具CPUMiner-Multi的一个分支版本,用于挖掘以太币。

活动极具隐蔽性 但并不赚钱

我们知道,由于挖矿进程会占用大量的CPU资源,因此受感染用户通常会通过打开Windows任务管理器来查看CPU和内存性能,以此来确定其计算机运行速度变慢的原因。

作为加密货币挖矿恶意软件的开发者而言,他们自然也知道这一点。因此,像其他一些加密矿工一样,当受害者打开任务管理器时,mssearch.exe会自动终止其自身进程。而一旦受害者关闭任务管理器,mssearch.exe又会重新自行启动。

这种机制使得挖矿活动能够很好地保持隐蔽性,不过根据F5 Networks的说法,他们最近发现的这场挖矿活动证实,Windows操作系统似乎并不是那么有利可图。

F5 Networks表示,这场活动至少已经持续了好几天的时间,但从开采的以太币数量来看,攻击者仅赚到了20美元左右。

威尼斯电子平台 6

F5 Networks认为,加密货币挖矿活动因为有利可图现在正在变得越来越流行,虽然从目前看来,这起挖矿活动的组织者在决策方面似乎存在重大失误。但还是证实了,针对已公开披露的漏洞安装安全补丁是何等重要。为例避免自己成为他人的赚钱工具,修补Apache Struts 2漏洞并部署防火墙策略会是当前所应该尽快完成的事情。

本文由威尼斯手机平台发布于威尼斯电子平台,转载请注明出处:导入中毒版证书会破坏存在缺陷的 OpenPGP,所以我们通常使用公钥的指纹或哈希值来标记密钥

上一篇:大约一半的 Azure 虚拟机是 Linux 的,微软还在其Azure云上完全支持Linux 下一篇:没有了
猜你喜欢
热门排行
精彩图文