分類
CISSP

數位簽章(digital signature)

https://ithelp.ithome.com.tw/upload/images/20211217/20132160H4mVybcNFs.jpg
-數位簽章
使用您的私鑰加密代碼的指紋或對代碼進行散列並使用您的私鑰加密結果是生成數字簽名的 改寫 。
. 使用 SHA 生成合約的消息驗證碼,確保數據來源的真實性。
. Bob 的公鑰加密的合約摘要不是 Alice 的數字簽名。
. 使用 Diffie-Hellman 同意的密鑰生成合同摘要的密文是一種干擾。Diffie-Hellman 用於密鑰協商/交換而不是加密。
數位簽章可確保不可否認性、數據完整性和真實性。從技術上講,數位簽章只不過是由主體的私鑰簽章的對象的哈希值。
https://ithelp.ithome.com.tw/upload/images/20211217/20132160lJfSz9ompu.jpg
-FISMA的完整性
https://ithelp.ithome.com.tw/upload/images/20211217/20132160iuJgYdCA35.jpg
-FISMA CIA

FIPS 186-4 批准了三種技術:DSA、RSA DSA 和 ECDSA,如下圖所示:
https://ithelp.ithome.com.tw/upload/images/20211217/20132160RLQDNtKKAj.jpg

不可否認性(Non-repudiation)
https://ithelp.ithome.com.tw/upload/images/20211217/20132160Ltsrq2Yzr8.jpg
. 不可否認性具有技術和法律意義。 技術不可否認 可以通過數位簽章實現,而 法律不可否認 是具有法律約束力的。
. 具有法律約束力的數位簽章是電子簽章的一種形式。但是,並非所有數位簽章都具有法律約束力。

參考
不可否認性
CISSP 實踐問題 – 20210320
CISSP 實踐問題 – 20210705

資料來源: Wentz Wu QOTD-20210917

分類
Information Security

Windows/Linux入侵手工排查

本文內容來自於公眾號“FreeBuf”、“Bypass”和其他一些分散內容,著重對幾家內容進行了整合,對這個主題做一個按圖索驥的備查,以防到現場時腦中一片空白。總結得很全面,應該能應付現場的場景了。

一、Windows排查

01、檢查系統賬號

(1)檢查遠程管理端口是否對公網開放,服務器是否存在弱口令。

  • 檢查方法:檢查防火牆映射規則,獲取服務器賬號登錄,也可據實際情況諮詢相關管理員。

(2)查看服務器是否存在可疑賬號、新增賬號。

  • 檢查方法:打開cmd 窗口,輸入lusrmgr.msc命令,查看是否有新增/可疑的賬號,如有管理員群組的(Administrators)裡的新增賬戶,根據實際應用情況,保留或刪除。

(3)查看服務器是否存在隱藏賬號、克隆賬號。

  • 檢查隱藏賬號方法:CMD命令行使用”net user”,看不到”test$”這個賬號,但在控制面板和本地用戶和組是可以顯示此用戶的。
  • 檢查克隆賬號方法:打開註冊表,查看管理員對應鍵值。
  • 使用D盾_web查殺工具,集成了對克隆賬號檢測的功能。
圖片

(4)結合Windows安全日誌,查看管理員登錄時間、用戶名是否存在異常。

  • 檢查方法:Win+R打開運行,輸入“eventvwr.msc”,回車運行,打開“事件查看器”。或者我們可以導出Windows日誌—安全,利用Log Parser進行分析。

02、檢查異常端口

(1)檢查端口連接情況

  • 檢查方法:a、netstat -ano 查看目前的網絡連接,定位可疑的ESTABLISHEDb、根據netstat 定位出的pid,再通過tasklist命令進行進程定位tasklist | findstr “PID”
图片
  • 檢查方法檢查是否存在可疑的網絡連接,如發現異常,可使用Wireshark網絡抓包輔助分析。

03、檢查異常進程

(1)檢查是否存在可疑的進程

  • 檢查方法:a、開始—運行—輸入msinfo32,依次點擊“軟件環境→正在運行任務”就可以查看到進程的詳細信息,比如進程路徑、進程ID、文件創建日期、啟動時間等。b、打開D盾_web查殺工具,進程查看,關注沒有簽名信息的進程。c、通過微軟官方提供的Process Explorer 等工具進行排查。d、查看可疑的進程及其子進程。可以通過觀察以下內容:
    没有签名验证信息的进程没有描述信息的进程进程的属主进程的路径是否合法      CPU或内存资源占用长时间过高的进程

(2)如何找到進程對應的程序位置

        任務管理器—選擇對應進程—右鍵打開文件位置

        運行輸入wmic,cmd界面輸入process

04、檢查啟動項

(1)檢查服務器是否有異常的啟動項。

  • 檢查方法:a、登錄服務器,單擊【開始】>【所有程序】>【啟動】,默認情況下此目錄在是一個空目錄,確認是否有非業務程序在該目錄下。b、單擊開始菜單>【運行】,輸入msconfig,查看是否存在命名異常的啟動項目,是則取消勾選命名異常的啟動項目,並到命令中顯示的路徑刪除文件。c、單擊【開始】>【運行】,輸入regedit,打開註冊表,查看開機啟動項是否正常,特別注意如下三個註冊表項:
    HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce檢查右側是否有啟動異常的項目,如有請刪除,並建議安裝殺毒軟件進行病毒查殺,清除殘留病毒或木馬。d、利用安全軟件查看啟動項、開機時間管理等。e、組策略,運行gpedit.msc。

05、檢查計劃任務

(1)檢查計劃任務裡是否有可疑的腳本執行

  • 檢查方法:a、單擊【開始】>【設置】>【控制面板】>【任務計劃】,查看計劃任務屬性,便可以發現木馬文件的路徑。b、單擊【開始】>【運行】;輸入cmd,然後輸入at,檢查計算機與網絡上的其它計算機之間的會話或計劃任務,如有,則確認是否為正常連接。
图片

06、檢查服務

(1)檢查系統服務名稱、描述和路徑,確認是否異常

  • 檢查方法:單擊【開始】>【運行】,輸入services.msc,注意服務狀態和啟動類型,檢查是否有異常服務。
图片

07、檢查可疑文件

(1)檢查新建文件、最近訪問文件和相關下載目錄等

  • 檢查方法:a、 查看用戶目錄,新建賬號會在這個目錄生成一個用戶目錄,查看是否有新建用戶目錄。
    Window 2003 C:\Documents and SettingsWindow 2008R2 C:\Users\b、單擊【開始】>【運行】,輸入%UserProfile%\Recent,分析最近打開分析可疑文件。c、在服務器各個目錄,可根據文件夾內文件列表時間進行排序,查找可疑文件。d、回收站、瀏覽器下載目錄、瀏覽器歷史記錄e、修改時間在創建時間之前的為可疑文件

(2)發現一個WEBSHELL或遠控木馬的創建時間,如何找出同一時間範圍內創建的文件?

  • 檢查方法:a、利用Registry Workshop 註冊表編輯器的搜索功能,可以找到最後寫入時間區間的文件。b、利用計算機自帶文件搜索功能,指定修改時間進行搜索。

08、檢查系統日誌

(1)檢查系統安全日誌

一般來說,可以通過檢查Windows安全日誌來獲悉賬號登錄情況,比如成功/失敗的次數。

LogParser.exe  -i:EVT –o:DATAGRID "SELECT  EXTRACT_TOKEN(Strings,10,'|')  as EventType, EXTRACT_TOKEN(Strings,5,'|')  as user, count(EXTRACT_TOKEN(Strings,19,'|')) as Times,EXTRACT_TOKEN(Strings,19,'|')  as LoginIp FROM F:\security.evtx where EventID=4625 GROUP BY Strings"图片

(2)歷史命令記錄

高版本Powershell會記錄PowerShell的命令,所有的PowerShell命令將會保存在固定位置:

%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

查看PowerShell歷史記錄:

Get-Content (Get-PSReadlineOption).HistorySavePath

默認Powershell v5支持,Powershell v3和Powershell v4,需要安裝Get-PSReadlineOption後才可以使用。

二、Linux入侵排查

01、檢查系統賬號

從攻擊者的角度來說,入侵者在入侵成功後,往往會留下後門以便再次訪問被入侵的系統,而創建系統賬號是一種比較常見的後門方式。在做入侵排查的時候,用戶配置文件/etc/passwd和密碼配置文件/etc/shadow是需要去重點關注的地方。

(1)查詢特權用戶特權用戶(uid 為0)

awk -F: '$3==0{print $1}' /etc/passwd

(2)查詢可以遠程登錄的帳號信息

awk '/\$1|\$6/{print $1}' /etc/shadow

(3)除root帳號外,其他帳號是否存在sudo權限。如非管理需要,普通帳號應刪除sudo權限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

(4)禁用或刪除多餘及可疑的帳號

usermod -L user    禁用帐号,帐号无法登录,/etc/shadow第二栏为!开头userdel user       删除user用户userdel -r user    将删除user用户,并且将/home目录下的user目录一并删除

(5)當前登錄當前系統的用戶信息

who     查看当前登录用户(tty本地登陆  pts远程登录)w       查看系统信息,想知道某一时刻用户的行为uptime  查看登陆多久、多少用户,负载

02、檢查異常端口

(1)使用netstat 網絡連接命令,分析可疑端口、IP、PID等信息。

netstat -antlp|more

(2)如發現異常的網絡連接需要持續觀察,可抓包分析

tcpdump -c 10 -q   //精简模式显示 10个包

03、檢查可疑進程

(1)使用ps命令列出系統中當前運行的那些進程,分析異常的進程名、PID,可疑的命令行等。

ps aux / ps -ef

(2)通過top命令顯示系統中各個進程的資源佔用狀況,如發現資源佔用過高

top

(3)如發現異常,可使用一下命令進一步排查:

查看该进程启动的完整命令行: ps eho command -p $PID查看该进程启动时候所在的目录: readlink /proc/$PID/cwd查看下pid所对应的进程文件路径:ls -l /proc/$PID/exe查看该进程启动时的完整环境变量: strings -f /proc/1461/environ | cut -f2 -d ''列出该进程所打开的所有文件: lsof -p $PID

04、檢查系統服務

Linux系統服務管理,CentOS7使用systemd控制 CentOS6之前使用chkconfig控制。

(1)對於systemd服務管理器來說,可以通過下述方式查看開機自啟的服務:

systemctl list-unit-files --type=service | grep "enabled"

(2)chkconfig就是CentOS6以前用來控制系統服務的工具,查看服務自啟動狀態:

chkconfig  --list  chkconfig --list | grep "3:on\|5:on"

05、檢查開機啟動項

(1)檢查啟動項腳本

more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/

(2)例子:當我們需要開機啟動自己的腳本時,只需要將可執行腳本丟在/etc/init.d目錄下,然後在/etc/rc.d/rc*.d中建立軟鏈接即可

ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此處sshd是具體服務的腳本文件,S100ssh是其軟鏈接,S開頭代表加載時自啟動;如果是K開頭的腳本文件,代表運行級別加載時需要關閉的。

06、檢查計劃任務

利用計劃任務進行權限維持,可作為一種持久性機制被入侵者利用。檢查異常的計劃任務,需要重點關注以下目錄中是否存在惡意腳本。

/var/spool/cron/* /etc/crontab/etc/cron.d/*/etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/*

07、檢查異常文件

1、查看敏感目錄,如/tmp目錄下的文件,同時注意隱藏文件夾,以“..”為名的文件夾具有隱藏屬性

2、得到發現WEBSHELL、遠控木馬的創建時間,如何找出同一時間範圍內創建的文件?

可以使用find命令来查找,如 find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件

3、針對可疑文件可以使用stat進行創建修改時間。

4、可能會被替換的命令為:ps、netstat、lsof、ss等常用命令,這些命令一般會被黑客放在/usr/bin/dpkg目錄下。如果我們發現存在此目錄,基本上可以斷定係統被入侵了。

08、檢查歷史命令

一般而言,入侵者獲取shell之後,會執行一些系統命令從而在主機上留下痕跡,我們可以通過history命令查詢shell命令的執行歷史。

(1)查詢某個用戶在系統上執行了什麼命令

使用root用户登录系统,检查/home目录下的用户主目录的.bash_history文件

(2)默認情況下,系統可以保存1000條的歷史命令,並不記錄命令執行的時間,根據需要進行安全加固。

a)保存1万条命令sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profileb)在/etc/profile的文件尾部添加如下行数配置信息:######jiagu history xianshi#########USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]thenUSER_IP=`hostname`fiexport HISTTIMEFORMAT="%F %T $USER_IP `whoami` "shopt -s histappendexport PROMPT_COMMAND="history -a"######### jiagu history xianshi ##########c)source /etc/profile让配置生效

09、檢查系統日誌

在Linux上一般跟系統相關的日誌默認都會放到/var/log下面,若是一旦出現問題,用戶就可以通過查看日誌來迅速定位,及時解決問題。常用日誌文件如下:

/var/log/btmp:记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看。/var/log/lastlog:记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看。/var/log/wtmp:永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看。/var/log/utmp:记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询。/var/log/secure:记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中

一般,我們需要重點去關注secure安全日誌,檢查系統錯誤登陸日誌,統計IP重試次數,成功登錄的時間、用戶名和ip,確認賬號是否存在暴力破解或異常登錄的情況。

1、定位有多少IP在爆破主机的root帐号:grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用户名字典是什么? grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
2、登录成功的IP有哪些:grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登录成功的日期、用户名、IP:grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3、增加一个用户kali日志:Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali, shell=/bin/bashJul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali#grep "useradd" /var/log/secure
4、删除用户kali日志:Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'# grep "userdel" /var/log/secure
5、su切换用户:Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)sudo授权执行:sudo -lJul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

三、常見Webshell查殺工具

D盾:

http://www.d99net.net

百度WEBDIR+

https://scanner.baidu.com

河馬

https://www.shellpub.com

Web Shell Detector

http://www.shelldetector.com

CloudWalker(牧雲)

https://webshellchop.chaitin.cn
深度学习模型检测PHP Webshell
http://webshell.cdxy.me

PHP Malware Finder

https://github.com/jvoisin/php-malware-finder

findWebshell

https://github.com/he1m4n6a/findWebshell

在線Webshell查殺工具

http://tools.bugscaner.com/killwebshell

四、如何發現隱藏的Webshell後門

那麼多代碼裡不可能我們一點點去找後門,另外,即使最好的Webshell查殺軟件也不可能完全檢測出來所有的後門,這個時候我們可以通過檢測文件的完整性來尋找代碼中隱藏的後門。

文件MD5校驗

絕大部分軟件,我們下載時都會有MD5文件,這個文件就是軟件開發者通過md5算法計算出該如軟件的“特徵值”,下載下來後,我們可以對比md5的值,如果一樣則表明這個軟件是安全的,如果不一樣則反之。

Linux中有一個命令:md5sum可以查看文件的md5值,同理,Windows也有命令或者工具可以查看文件的md5值

图片

Diff命令

Linux中的命令,可以查看两个文本文件的差异

文件對比工具

Beyond Compare
WinMerge

五、勒索病毒

勒索病毒搜索引擎

360:http://lesuobingdu.360.cn
腾讯:https://guanjia.qq.com/pr/ls
启明:https://lesuo.venuseye.com.cn
奇安信:https://lesuobingdu.qianxin.com
深信服:https://edr.sangfor.com.cn/#/information/ransom_search

勒索軟件解密工具集

腾讯哈勃:https://habo.qq.com/tool
金山毒霸:http://www.duba.net/dbt/wannacry.html
火绒:http://bbs.huorong.cn/forum-55-1.html
瑞星:http://it.rising.com.cn/fanglesuo/index.html
Nomoreransom:https://www.nomoreransom.org/zh/index.html
MalwareHunterTeam:https://id-ransomware.malwarehunterteam.com
卡巴斯基:https://noransom.kaspersky.com
Avast:https://www.avast.com/zh-cn/ransomware-decryption-tools
Emsisoft:https://www.emsisoft.com/ransomware-decryption-tools/free-download
Github勒索病毒解密工具收集汇总:https://github.com/jiansiting/Decryption-Tools

六、公眾號內以往介紹的文章工具

1、《工具:Windows安全檢查SeatBelt

2、《工具:Linux安全檢查GScan

資料來源:https://mp.weixin.qq.com/s/7zleF-HWBmN5IHFOsn8HWA

分類
CISSP

確保資訊安全的有效性,並達到符合性(合規性)要求,應優先遵循組織政策

https://ithelp.ithome.com.tw/upload/images/20211214/201321607KbYpA4FuQ.jpg
-政策框架
組織應當遵守法律法規。管理團隊應盡職盡責制定或審查政策以滿足法律和監管要求。
組織政策與法律或法規不一致並不一定意味著違規。組織政策可能會制定比法律或法規更高的標準。如果是這樣,員工只需要遵守政策。
相反,組織政策可能違反法律或法規。在這種情況下,管理團隊應修改政策,以便員工遵守。如果員工發現政策與法律法規相抵觸,應向管理層溝通或報告,並遵守新修訂的政策。
員工無視組織政策而直接遵守法律法規是不恰當的。如果違反法律或法規的政策被報告給管理層而被忽視,員工可能會遵循舉報程序。
毫無疑問,每個人都應遵守法律法規。組織應遵守政策,以確保員工遵守政策不會違反法律或法規。

資料來源: Wentz Wu QOTD-20210916

分類
Information Security

Log4j

Fadi分享這張圖很棒!log4j這次遇到injection攻擊,圖示展示注入LDAP語法。主要是在user-agent這個HTTP header注入語法,實在太簡單,又太厲害了!

分類
CISA

資訊科技服務管理

資訊科技服務管理(英語:IT Service Management,簡稱為IT services,縮寫為ITSM)也被稱為IT服務管理,是一種為了資訊科技管理所提供的訓練服務。很多ITSM系統的實現都是以IT 基礎設施庫(ITIL)為基礎來做的。

ITSM模組[編輯]

資料來源:https://zh.wikipedia.org/wiki/%E8%B3%87%E8%A8%8A%E7%A7%91%E6%8A%80%E6%9C%8D%E5%8B%99%E7%AE%A1%E7%90%86

分類
CISSP

安全功能(security function)

https://ithelp.ithome.com.tw/upload/images/20211213/20132160JmnTS9IiUS.png
-治理結構
https://ithelp.ithome.com.tw/upload/images/20211213/20132160kftUnOFGDT.jpg
-波特的價值鏈
職能通過開展將輸入轉化為有用結果的活動來產生價值。一個組織通常由直線職能和員工組成,以支持運營和交付價值。
組織級別的安全功能可由任何級別的員工執行,具體取決於相關組織的規模、規模和安全意識。大公司可以設立由CISO或經理領導的專門部門負責資訊安全,而資源較少的小公司可以簡單地指派一名IT工程師或任何員工來處理資訊安全事務。
審計職能通常由董事會下屬的審計委員會指導。它是一個獨立的組織單位,可確保合規性並提供保障。審計功能不包括或管理安全功能以保持其獨立性和客觀性。
安全職能應確保資訊安全的有效性,遵守法律、法規、行業標準、合同、組織政策、道德規範等要求;它通常與審計職能分開。

參考
工作人員和線路
直線和員工組織
正式組織 – 直線組織
行組織:含義、類型、優點和缺點
內部審計職能
構建未來的內部審計職能
AS 2605:考慮內部審計職能
審計部
什麼是安全功能
安全功能
資訊安全職能和職責

資料來源: Wentz Wu QOTD-20210911

分類
CISSP

Common Attacks

  1. Brute force:蠻力攻擊(英語:Brute-force attack),又稱為窮舉攻擊(英語:Exhaustive attack)或暴力破解,是一種密碼分析的方法,即將密碼進行逐個推算直到找出真正的密碼為止。
  2. Advanced Persistent Threat (APT):高級長期威脅(英語:advanced persistent threat,縮寫:APT),又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出於商業或政治動機,針對特定組織或國家,並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取數據。威脅則指人為參與策劃的攻擊。
  3. Multi-vector, polymorphic attacks
  4. Buffer Overflows:緩衝區溢位(buffer overflow),在電腦學上是指標對程式設計缺陷,向程式輸入緩衝區寫入使之溢位的內容(通常是超過緩衝區能儲存的最巨量資料量的資料),從而破壞程式執行、趁著中斷之際並取得程式乃至系統的控制權。
  5. Mobile Code: ActiveX, JavaApplet, Flash, JavaScript
  6. Malicious Software (Malware)
  7. Drive-by download attacks:路過式下載,網頁掛馬攻擊 (Drive-by Downloads)
  8. Spyware
  9. Trojan Horse
  10. Keyloggers
  11. Password Crackers
  12. Spoofing欺騙
  13. Masquerading,偽裝
  14. Sniffers,竊聽
  15. Eavesdropping,竊聽(隔牆有耳)
  16. Tapping,竊聽
  17. Emanations 流出 and TEMPESTSpontaneous emission of electromagnetic radiation” (EMR) subject to TEMPEST eavesdropping受 TEMPEST 竊聽的自發“電磁輻射發射”(EMR)
  18. Shoulder Surfing靠肩竊聽
  19. Tailgating尾隨
  20. Piggybacking熟人夾帶
  21. Object Reuse物件重用
  22. Data Remanence資料殘留
  23. Unauthorized Targeted Data Mining未經授權的有針對性的數據挖掘
  24. Dumpster Diving垃圾搜尋
  25. Backdoor後門
  26. Trapdoor暗門
  27. Maintenance Hook維修門
  28. Logic bombs邏輯炸彈
  29. Social Engineering社交工程
  30. Phishing社交工程
  31. PharmingA cyber attack intended to redirect a website’s traffic to another, fake site.網址嫁接(Pharming)是1種重新導向(Re-dircert)的詐騙技巧,由網路釣魚(Phishing)衍生而來,藉由入侵使用者電腦、植入木馬程式(Trojan),或者是利用域名伺服器(Domain Name Server;DNS Server)的漏洞,將使用者錯誤地引導到偽造的網站中,並伺機竊取重要資料。竄改 DNS 造成 DNS Poisoning。
  32. Covert ChannelUnauthorized channel for data transportation
  33. IP Spoofing:IP詐騙IP Spoofing is malicious, while Masquerading is a specific form of Network Address Translation (NAT) and can be valid.
  34. IP Masquerading:IP偽裝
  35. Elevation of privilege:特權提升
  36. Privilege escalation:特權提升
  37. Tampering:篡改
  38. Sabotage:破壞
  39. SQL injection
  40. Cross-Site Scripting (XSS)
  41. Session Hijacking and Man-in-the-Middle Attacks
    1. 傳輸層安全 (TLS) 提供最有效的會話劫持防禦,因為它加密客戶端和服務器之間的所有流量,防止攻擊者竊取會話憑據。
  42. Zero-day exploitA zero-day exploit hits after a network vulnerability is announced or discovered but before a patch or solution is implemented.
  43. Race condition競爭危害(race hazard)又名競態條件競爭條件(race condition),它旨在描述一個系統或者進程的輸出依賴於不受控制的事件出現順序或者出現時機。此詞源自於兩個訊號試著彼此競爭,來影響誰先輸出。舉例來說,如果電腦中的兩個行程同時試圖修改一個共享記憶體的內容,在沒有並行控制的情況下,最後的結果依賴於兩個行程的執行順序與時機。而且如果發生了並行存取衝突,則最後的結果是不正確的。
  44. TOC/TOU:檢查時間/使用時間(TOC / TOU)。這是一個類型的異步攻擊時出現一些控制信息發生變化之間的一次系統的安全功能檢查內容的變量和時間變量實際操作過程中使用
  45. 推論(Inference):從已知信息派生新信息。推論問題是指這樣的事實,即可以在不清除用戶的級別上對導出的信息進行分類。推斷問題是用戶從他們獲取的合法信息中推斷出未經授權的信息。
  46. 聚合(Aggregation):處理敏感信息時,組合或合併不同數據單元的結果。以一個敏感度級別聚合數據可能會導致以較高敏感度級別指定總數據。
  47. 多重實例化(Polyinstantiation):多重實例化允許一個關係包含具有相同主鍵的多個行;多個實例通過其安全級別進行區分。
  48. Data diddling:數據欺騙是一種網絡犯罪,在這種網絡犯罪中,數據在輸入計算機系統時被更改,最常見的是數據輸入員或計算機病毒。對更改後的數據進行計算機處理會導致欺詐性收益。
  49. Salami attack:通常是指一系列許多小動作,通常是通過秘密手段進行的,因為累積的整體會產生更大的動作或結果,這些動作或結果難以立即執行。
  50. Frequency analysis (against classical ciphers):頻率分析 (Frequency analysis)
  51. Man-in-the-Middle (MITM)
  52. Meet-in-the-Middle:中間相遇攻擊使用已知的明文消息,並以蠻力方式同時使用明文加密和密文解密來識別加密密鑰,時間大約是對基本的蠻力攻擊的兩倍。 DES 算法
  53. Birthday attack
  54. ARP poisoning
  55. DNS cache poisoning/spoofing
  56. XSS:惡意用戶通過使用第三方站點誘使受害者的 Web 瀏覽器執行腳本的攻擊稱為跨站點腳本 (XSS) 攻擊。跨網站指令碼(Cross-site scripting,XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端腳本語言。
  57. CSRF:跨站請求偽造(Cross-site request forgery, CSRF / XSRF),也被稱為one-click attack 或者session riding, 是一種挾制用戶在當前已登錄的Web應用程式上執行非本意的操作的攻擊方法。跟跨網站指令碼(XSS)相比,XSS 利用的是用戶對指定網站的信任,CSRF 利用的是網站對用戶網頁瀏覽器的信任。
  58. XST:跨站點跟踪 (XST) 利用 HTTP TRACE 或 TRACK 方法,可用於通過跨站點腳本 (XSS) 竊取用戶的 cookie。
  59. POODLE(或 Padding Oracle On Downgraded Legacy Encryption)攻擊有助於迫使從 SSL 3.0 遷移到 TLS,因為它允許攻擊者輕鬆訪問 SSL 加密消息。
  60. ping Flood : ICMP echo request
  61. Nikto、Burp Suite 和 Wapiti 都是 Web 應用程序漏洞掃描器
  62. Nessus、OpenVAS、EU-U.S. Privacy Shield scanner and manager以及 SAINT 都是漏洞掃描工具
  63. zzuf 是一種模糊測試工具
  64. Watermarks:水印用於對數據進行數字標記,並可用於指示所有權。水印改變數字對象,以可見或隱藏形式嵌入有關來源的信息
  65. Metadata:元數據用於標記數據,可能有助於數據丟失防護系統在數據離開您的組織之前對其進行標記。
  66. SYN floods:SYN 泛洪依賴於機器和網絡設備上的 TCP 實現來導致拒絕服務條件。
  67. Callback :回撥會在遠程用戶初始連接後斷開其連接,然後通過預先授權的號碼回撥他們。
  68. Metasploit:Metasploit 提供了一個可擴展的框架,允許滲透測試人員在工具內置的漏洞之外創建自己的漏洞。但滲透測試只能覆蓋進行時的時間點。在進行滲透測試時,由於脆弱的服務而導致拒絕服務的可能性始終存在,但它可以通過驗證這些流程和政策如何工作的社會工程和運營測試來測試流程和政策。
  69. fragmented TCP packets ,發送碎片化 TCP 數據包的拒絕服務 (DoS) 攻擊。
  70. 密文攻擊:在網路上聽封包得來的…一堆亂碼…很難成功.
  71. 已知明文攻擊:已經知道有部分密文, 而這密文也有對應的明文ex: 明文:Bruce  加密後密文: Veyxw,主要是來發現金鑰, 可以逆推回去, 生日攻擊這一類的.
  72. ﹝選擇﹞明文攻擊:A攻擊者放出一條OOO的明文出去, 再去偷聽OOO被B擷取的封包,傳送給C的過程 逆向篹出加密運算
  73. ﹝選擇﹞密文攻擊:A攻擊者放出一條XXX的加密出去, 再去偷聽XXX被B擷取的封包,解密後再加密傳送給C的過程, 驗證對方的演算法是否被破解
  74. 密碼猜測攻擊(password‐cracking attack):通關密碼破解工具很容易取得,它們大概都採用兩種方法,一是使用工具在中間監看,一是提供密碼檔案(password file)進行字典攻擊(dictionary attack)。
  75. 後門攻擊(backdoor attack):後門的產生有兩種途徑,一種是軟體開發者原先設計的維護用後門(maintenance hook),另一種是侵入者留下的後門以便重新進入。
  76. 中間人攻擊(man‐in‐the‐middle attack):中間人攻擊是指在伺服器與使用者之間放置一個軟體,讓雙方都無法察覺。這個軟體攔截一方的資料,備份或篡改之後若無其事地傳送給另外一方。
  77. 重放攻擊(replay attack):重放(replay) 攻擊是指攻擊者攔截使用者登入資料,在稍後的時間再正式登入伺服器。重放攻擊對Kerberos之類的登入系統是有效的。
  78. 欺騙攻擊(spoofing attack):欺騙攻擊(spoofing) 是攻擊者偽裝成一個熟悉並且可信任的的伺服器或網站,藉以騙取登入資料或其他秘密資訊,如:網路釣魚(phishing)。
  79. Multipartite:File and MBR
    1. Multipartite virus多方病毒使用多種傳播機制在系統之間傳播。這提高了他們成功感染系統的可能性,因為它提供了替代感染機制,這些機制可能會成功對抗不易受主要感染機制影響的系統。
    2. 這類型病毒同時以數個方式攻擊電腦,例如感染boot sector,感染可執行檔,又去摧毀文字檔案。由於受害者不能同時修補所有的攻擊,它就有繼續寄生的機會。
  80. Stealth:Operating System
    1. 此類型病毒設計上具有隱藏的能力,可以避開一些防毒軟體的偵測。例如把自己隱身在硬碟的boot sector,或當病毒掃描時在不同的檔案間移動。
  81. Polymorphic:Self-modification
    1. 為了躲避掃毒工具的偵測,這類型病毒會利用變形的機制,在感染每一個檔案時產生不同資料內容。他使用的方法通常是利用加密編碼或是壓縮。
  82. Encrypted
    1. 加密病毒也會因感染而變異,但這樣做是通過在每個設備上使用不同的密鑰對自身進行加密來實現的
  83. 電容運動檢測器監控受監控區域的電磁場,感應與運動相對應的干擾。
  84. 安全內容自動化協議 (SCAP) 是一套用於處理漏洞和安全配置信息的規範
  85. Kerberos、KryptoKnight 和 SESAME 都是單點登錄或 SSO 系統
  86. LAND:在大地攻擊中,攻擊者發送具有相同源 IP 地址和目標 IP 地址的數據包,試圖使無法處理這種超出規範的流量的系統崩潰。
  87. 安全冠軍是軟體安全主題專家,他們在 OWASP 軟體保障成熟度模型 (SAMM) 中組織和文化的成熟度級別 1 中發揮著關鍵作用。提名一名成員,例如軟體開發人員、測試人員或產品經理,作為安全擁護者,有助於將安全嵌入到開發組織中。
  88. 在AES-128的基礎上, 質因數分解(RSA)的算法, 金鑰必須到3072, 而ECC只要256就可以達到相對於AES-128的強度了
  89. ping Flood 攻擊向目標系統發送迴聲請求。
  90. 死亡之Ping,(英文:ping of death, POD),是一種向目標電腦發送錯誤封包的或惡意的ping指令的攻擊方式。通常,一次ping大小為32位元組(若考慮IP標頭則為84位元組)。在當時,大部分電腦無法處理大於IPv4最大封包大小(65,535位元組)的ping封包。因此發送這樣大小的ping可以令目標電腦崩潰。
  91. 任何支持單點登錄SSO 的系統都會受到散列傳遞攻擊的影響憑據重用:在保存憑據的系統上使用已保存憑據。憑據盜竊:將保存的憑據帶到另一個系統並從那裡使用它,並允許攻擊者在網絡上傳播。

Cryptanalysis(密碼分析)破密金鑰被猜到密文解密,被還原出任何有意義的資料

  1. Key Cluster金鑰叢集:不同金鑰產出同一密文
  2. Ciphertext Only
  3. Know Plaintext(weaker codes)
  4. Chosen Plaintext,中途島
  5. Chosen Ciphertext(Key)
  6. Analytic Attack(Algorithm)
  7. Statistical Attack(Cryptosystem)
  8. Implementation Attack(Software)
  9. Brute Force暴力攻擊
  10. Key Space:所有組合的可能性
  11. Birthday Attack(Hash)
  12. “Meet” in the Middle(2DES)
  13. Frequency Analysis頻率分析

Wifi攻擊

  1. War Driving
    1. 開車繞一圈蒐集有多少基地台
      1. 基地台使用哪種協定
      2. 是否使用預設密碼
  2. War Chalking
    1. 將蒐集來的做記號(Ex.阿里巴巴做記號)
  3. Evil Twin (完全模仿你,訊號強就會連結過來)
    1. 如公共基地台 (用相同的 SSID 與相同金鑰)
      1. 將筆電模擬成 AP

藍芽攻擊

  1. 訊號側錄(中間人攻擊)
  2. Bluesnarfing使攻擊者能夠利用較舊的(大約在2003年)設備中的固件漏洞來訪問支持Bluetooth的設備。這種攻擊會強制與藍牙設備建立連接,從而允許訪問存儲在設備上的數據,包括該設備的國際移動設備身份(IMED)。IMEI是每個設備的唯一標識符,攻擊者可能會將其用於將所有傳入呼叫從用戶設備路由到攻擊者設備。
    1. 利用較舊設備中的硬體漏洞
  3. 藍牙劫持 (Bluejacking):藍牙劫持是在支援藍牙的行動裝置(如手機)上進行的攻擊。攻擊者通過向啟用藍牙的設備的使用者發送未經請求的消息來發起劫持。實際消息不會對使用者的設備造成傷害,但可能會誘使用戶以某種方式做出回應或將新聯繫人添加到設備的通訊簿中。此郵件發送攻擊類似於針對電子郵件用戶進行的垃圾郵件和網路釣魚攻擊。當用戶啟動對出於有害意圖發送的藍牙劫持消息的回應時,劫持可能會造成傷害。
    1. 向藍芽裝置發送未經請求的信件(垃圾郵件)
  4. Bluebugging:Bluebugging利用某些較舊(大約在2004年)藍牙設備的固件中的安全漏洞來訪問該設備及其命令。此攻擊在不通知用戶的情況下使用設備的命令,從而使攻擊者可以訪問數據,撥打電話,竊聽電話,發送消息以及利用設備提供的其他服務或功能。
    1. 藍芽臭蟲,利用較舊設備中的安全漏洞
  5. Car Whisperer:Car Whisperer是由歐洲安全研究人員開發的一種軟件工具,該工具利用了汽車中安裝的免提藍牙汽車套件中標準(非隨機)密碼的使用。Car Whisperer軟件允許攻擊者向車載套件發送音頻或從車載套件接收音頻。攻擊者可以將音頻傳輸到汽車的揚聲器或從汽車中的麥克風接收音頻(竊聽)。
  6. 拒絕服務 (Denial of Service):與其他無線技術一樣,藍牙容易受到DoS攻擊。影響包括使設備的藍牙接口無法使用以及耗盡設備的電池。這些類型的攻擊並不重要,並且由於使用藍牙所需的接近性,通常只需移開範圍即可輕鬆避免。
  7. 模糊攻擊(Fuzzing Attacks):藍牙模糊攻擊包括將格式錯誤或其他非標準數據發送到設備的藍牙無線電,並觀察設備的反應。如果設備的運行因這些攻擊而減慢或停止,則協議棧中可能存在嚴重的漏洞。
  8. 配對竊聽的(Pairing Eavesd ropping):PIN /舊式配對(藍牙2.0及更早版本)和低能耗的舊式配對容易受到竊聽攻擊。收集所有配對幀的成功竊聽者可以在給定足夠的時間的情況下確定一個或多個秘密密鑰,從而允許可信設備模擬和主動/被動數據解密。
  9. 安全的簡單配對攻擊(Secure Simple Pair ing Attacks):有多種技術可以迫使遠程設備使用Just Works SSP,然後利用其缺乏MITM保護的功能(例如,攻擊設備聲稱它沒有輸入/輸出功能)。此外,固定的密鑰也可以使攻擊者也可以執行MITM攻擊。

Side-channel Attacks

  1. Power  Consumption
    1. Timing information
    2. Electromagnetic emissions
    3. Acoustic(Sound)emissions
  2. Control Zone against TEMPEST
    1. Faraday cage
    2. White noise
  3. 側通道(side-channel)攻擊是針對硬體的攻擊, 常見的是時序分析及錯誤分析(故意製造錯誤).
    1. 基於從電腦所產生的物理設計中獲取的資訊(聲音、功率、光學等),並使用這些資訊來反向工程電腦正在執行的操作。

干擾

  1. 延遲是數據包從源到目的地的傳輸延遲。
  2. 抖動是不同數據包延遲的變化。
  3. 數據包丟失是傳輸過程中需要重新傳輸的數據包的消失。
  4. 干擾是電噪聲或其他破壞數據包內容的中斷。

Data-link layer attack

  • ARP Attacks
  • MAC Spoofing
  • DHCP Spoofing
  • Virtual LAN Hopping
  • CAM Table Overflows
  • Spanning Tree Protocol Attacks
  • CDP/LLDP Reconnaissance

Network layer attack

  • Teardrop Attack 淚珠攻擊:利用IP封包重組的漏洞進行攻擊。發送一堆經特別設計過的封包片段到目標電腦,這 一堆封包片段包含了重疊的位移值,這使得這堆封 包重組成原來的IP 封包時,導致網路服務主機誤判 封包大小,造成系統當機現象。
  • Smurf attack藍色小精靈:偽造來源,Ping各方。
    • 大量產生假造的ICMP echo Request封包 – 將假造的封包送至廣播位址,然後廣播位址會 傳回大量的ICMP echo reply封包給目標電腦。
  • LAND Attack:攻擊者利用 IP 偽裝的技術修改即將送出的封 包,將其來源與目的 IP 位址均改成是目標機 器的 IP 位址,以及將來源與目標連接埠也改 為一樣。來源與目的的IP位止相同 來源與目的的連接埠相同。
  • TCP SYN (SYN flood):
    • 針對攻擊目標送出一連串具有假的來源位址的SYN 封包。
    • 受攻擊的系統會將尚未收到ACK回應的SYN封包暫 存於佇列中,直到收到對方的ACK回應或超過逾期 時間才移除。
    • 系統會因為收不到ACK回應,而使得佇列中充滿著 暫存的SYN封包而無法再處理其它使用者的請求。
  • Ping of Death:經由發送過大的 ping 請求 (ICMP echo request) ,以造成緩衝區溢位 (Overflow),繼而導致無法正常運作或當機。

併購中的網絡安全評估網絡安全審計已成為併購盡職調查過程中必不可少的一步,這凸顯了保持強大安全態勢的重要性。(ISC)2 研究的結果清楚地表明,組織網絡安全計劃的健康狀況直接影響潛在交易的價值。公司的網絡安全歷史很重要。以前未公開的違規行為可能會破壞交易,薄弱的安全措施可能會被視為一種責任。忽視網絡安全重要性的公司並沒有最大限度地發揮其價值。網絡安全實力是影響底線的真正考慮因素。對於買家來說,密切關注目標公司的網絡安全歷史是必須的。雖然公司最終可能會決定繼續進行交易,但即使過去發生過違規行為,網絡安全審計也至關重要。忽視審計揭示的令人不安的跡象可能會帶來影響,可能會在收購或合併後使公司貶值。因此,在進行交易之前,買家有責任驗證目標公司是否具備所有必要的安全控制措施。

Mitre attack
Mitre Shield

資料來源:https://blog.angelz13.com/2021/12/common-attacks.html

分類
CISSP

滲透測試-列舉可用的服務和資源

https://ithelp.ithome.com.tw/upload/images/20211206/20132160n80a1W6HiT.jpg
-滲透測試方法
使用 CVE 進行漏洞掃描通常遵循識別和枚舉端口、服務和資源的情況。進行滲透測試並不是一個絕對的順序,而是一種常見的做法。

參考
CEH 黑客方法

資料來源: Wentz Wu QOTD-20210911

分類
CISSP

實施零信任架構以防止橫向移動,XACML最不可能進行身份驗證

https://ithelp.ithome.com.tw/upload/images/20211201/20132160Y2ag06gT1I.jpg
-示例 XACML 實現
XACML 旨在支持授權,而不是身份驗證。
XACML 代表“可擴展訪問控制標記語言”。該標准定義了一種聲明性細粒度、基於屬性的訪問控制策略語言、架構和處理模型,描述瞭如何根據策略中定義的規則評估訪問請求。
-資料來源:維基百科

縮寫 學期 描述
PAP 政策管理點 管理訪問授權策略的點
PDP 政策決策點 在發布訪問決定之前根據授權策略評估訪問請求的點
PEP 政策執行點 攔截用戶對資源的訪問請求,向PDP發出決策請求以獲得訪問決策
(即對資源的訪問被批准或拒絕),並根據收到的決策採取行動的點
PIP 政策信息點 充當屬性值來源的系統實體(即資源、主題、環境)
PRP 策略檢索點 XACML 訪問授權策略的存儲點,通常是數據庫或文件系統。
-資料來源:維基百科

端口敲門和單包授權 (Port Knocking and Single Packet Authorization
:SPA)

802.1X是為認證而設計的,用於網絡訪問控制,而端口敲門是傳輸層的一種認證機制。連接嘗試的正確順序可以被視為身份驗證的秘密。只有當端口敲門序列正確時,防火牆才會動態地允許連接。
在 計算機聯網, 端口碰撞 是從外部打開方法 的端口 上的 防火牆 通過產生一組預先指定關閉的端口的連接嘗試。一旦接收到正確的連接嘗試序列,防火牆規則就會動態修改以允許發送連接嘗試的主機通過特定端口進行連接。存在一種稱為單包授權 (SPA) 的變體 ,其中只需要一次“敲門”,由加密 包組成 。
資料來源:維基百科

PKI 和 802.1X
公鑰基礎設施 (PKI) 和 802.1X 通常用於在 VPN、LAN 或無線網絡環境中進行身份驗證。
https://ithelp.ithome.com.tw/upload/images/20211201/201321607or5cYGhuB.jpg
-VPN 和 EAP

參考
敲端口

資料來源: Wentz Wu QOTD-20210910