内容转载

= ̄ω ̄= 内容转载

谷歌推出专门网站 帮助人们避免网上诈骗

谷歌周四公布了一个网站,旨在教人们如何发现和避免网上诈骗,因为在冠状病毒大流行的情况下,数字骗局达到了高潮。这家名为Scamspotter.org的网站试图向人们展示如何识别虚假的医疗检查、假的疫苗优惠或其他虚假的医疗信息。该网站还强调了某些典型的骗局模式,比如恋爱诈骗者要求目标人物给他们汇款或给他们买礼品卡。 谷歌与致力于帮助网络欺诈受害者的非营利组织“网络犯罪支持网络”(Cybercrime Support Network)合作推出了这一网站。该网站包括一个小测验,通过常见的诈骗场景,比如收到一条关于赢得夏威夷之旅的消息,通过这个小测验来测试用户反欺诈的能力。 谷歌表示,这项工作是在骗子们以 “惊人的速度 “利用了新冠疫情的情况下进行的。美国人因为COVID-19相关的骗局,已经损失了超过4000万美元。联邦贸易委员会预计,今年将因冠状病毒相关或其他方面的诈骗而损失的金额将超过20亿美元。 本月早些时候,美国联邦贸易委员会警告公众关于相关联系人追踪的短信诈骗,这些骗局要求提供个人信息,如社会安全号、银行账户或信用卡号码等。谷歌和苹果公司已经发布了自己的联络人追踪工具。 谷歌表示,该网站特别针对教育老年人,他们因为诈骗而损失的钱比其他年龄段人多得不成比例。该公司敦促年轻人与生活中的老年人分享网站上的防诈骗信息。     (稿源:cnBeta,封面源自网络。)

Clearview AI 因未经授权收集人像数据而遭到起诉

鉴于伊利诺伊州率先在美启用了有关生物特征测定的隐私保护法律,ACLU 已将未经授权收集人像数据的 Clearview AI 公司告上了法庭。据悉,Clearview AI 涉及在几个月的时间里,从互联网上收集了超过 30 亿张人脸照片。根据周四公布的消息,本次诉讼的共同发起者还包括伊利诺伊公共利益研究小组、以及芝加哥的反性剥削联盟。 《纽约时报》在今年 1 月揭开了 Clearview AI 的灰暗面,报道中详细介绍了该公司计划如何使用人脸识别技术,然而其庞大的数据库却来自 Instagram、YouTube、LinkedIn 等社交媒体平台的未经授权收集。 之所以在伊利诺伊州发起诉讼,是因为目前只有该州通过了《生物识别信息隐私法案》,要求企业必须在使用包括面部识别等个人生物特征信息前获得知书面授权。今年 1 月的时候,Facebook 就已经支付过 5.5 亿美元的和解赔偿金。 ACLU 在一份声明中称,Clearview AI 的所作所为,正是立法机构需要应对的隐私威胁,同时呼吁其它州迅速跟进制定类似的法律。 此外 BuzzFeed News 获得的资料显示,警方正在使用 Clearview AI 来识别性工作者,且该公司一直在向美国移民与海关执法局、以及沃尔玛等私营企业提供面部识别工具。 为了提起本次诉讼,ACLU 特地与 Edelson PC 律师事务所达成了合作,后者曾参与今年 1 月落定的针对社交媒体巨头 Facebook 的面部识别诉讼。 目前原告方正寻求伊利诺伊州的法院命令,以迫使 Clearview AI 删除未经同意手机的该州居民的照片、并停止收集新的照片,直到其行为符合《生物识别信息隐私法案》的要求为止。     (稿源:cnBeta,封面源自网络。)

出于安全方面考虑 OpenSSH 宣布放弃对 SHA-1 认证方案的支持

OpenSSH是最受欢迎的连接和管理远程服务器实用工具之一,近日团队宣布计划放弃对SHA-1认证方案的支持。OpenSSH在公告中引用了SHA-1散列算法中存在的安全问题,被业内认为是不安全的。该算法在2017年2月被谷歌密码学专家破解,可利用SHAttered技术将两个不同文件拥有相同的SHA-1文件签名。 不过当时创建一个SHA-1碰撞被认为需要非常昂贵的计算成本,因此谷歌专家认为SHA-1在实际生活中至少还需要等待半年的时间,直到成本进一步下降。随后在在2019年5月和2020年1月发布的研究报告中,详细介绍了一种更新的方法,将SHA-1选择-前缀碰撞攻击的成本分别降低到11万美元和5万美元以下。 对于像国家级别以及高端网络犯罪集团来说,让他们生成一个SSH认证密钥,从而让它们能够远程访问关键服务器而不被检测到,那么5万美元的代价是非常小的。OpenSSH开发者今天表示:“由于这个原因,我们将在不久的未来版本中默认禁用‘ssh-rsa’公钥签名算法。” OpenSSH应用程序使用 “ssh-rsa “模式来生成SSH验证密钥。这些密钥中的一个存储在用户要登录的服务器上,另一个存储在用户的本地OpenSSH客户端中,这样用户就可以在每次登录时不需要输入密码就可以访问服务器,而是以本地验证密钥来代替登录。 在默认情况下,OpenSSH ssh-rsa模式通过使用SHA-1散列功能生成这些密钥,这意味着这些密钥容易受到SHAterred攻击,使威胁行为者能够生成重复的密钥。OpenSSH开发者今天表示:“遗憾的是,尽管存在更好的替代方案,但这种算法仍然被广泛使用,它是原始SSH RFCs规定的唯一剩下的公钥签名算法”。 OpenSSH团队现在要求服务器所有者检查他们的密钥是否已经用默认的ssh-rsa模式生成,并使用不同的模式生成新的密钥。OpenSSH团队表示,推荐的模式是rsa-sha2-256/512(自OpenSSH 7.2以来支持)、ssh-ed25519(自OpenSSH 6.5以来支持)或ecdsa-sha2-nistp256/384/521(自OpenSSH 5.7以来支持)。     (稿源:cnBeta,封面源自网络。)

为防受邮件漏洞影响 德国 BSI 敦促 iPhone 用户尽快安装安全更新

据外媒报道,德国联邦安全局(BSI)敦促iPhone用户尽快安装苹果发布的最新安全更新以解决邮件应用中存在的一个关键漏洞。据悉,这一安全漏洞由网络安全组织ZecOps发现,据信从3.1.3开始的所有版本的iOS操作系统都在受影响范围内。这意味着最新一代的iPhone也很容易受到攻击。 攻击者可以通过该漏洞访问用户邮件应用中的内容。 苹果已经在上周发布的iOS 13.5解决了这一漏洞,现在BSI希望每个人都尽快安装这个新版本。 BSI日前在更新的信息中写道:“苹果已经发布了iOS 12.4.7、iOS 13.5和iPadOS 13.5的安全更新,它们解决了所有受影响iOS版本的漏洞。由于漏洞的严重性,BSI建议立即将相应的安全更新应用于所有受影响的设备。iOS邮件应用在更新后可以再次使用。” 然而重要的是,尽管苹果承认存在这些问题,但这家公司表示,仅凭这些还不足具备访问邮件应用数据的能力。 据悉,想要安装iOS 13.5更新的用户可以前往设置>通用>软件更新,然后在安装完成后重启设备即可。     (稿源:cnBeta,封面源自网络。)

印度开源接触者跟踪应用 Aarogya Setu

印度政府在 Apache v2 许可证下开源了它的接触者跟踪应用 Aarogya Setu,源代码托管在 GitHub 上。印度政府是在四月初发布了 Aarogya Setu,不到两个月时间其安装量超过了 1.14 亿。印度政府首先公开的是 Android 版本的源代码,iOS 和 KaiOS(基于 Firefox OS)版本的源代码将在未来几周内释出。 印度电子和信息技术部部长 Ajay Prakash Sawhney 表示公开源代码允许其他人检查和寻找漏洞,政府将提供最高 1,325 美元的奖励给发现和报告漏洞的人。其它国家也在 GitHub 上释出了官方接触者跟踪应用的源代码,如澳大利亚。     (稿源:solidot,封面源自网络。)

科学家发现 26 个 USB 漏洞:Linux 18个 Windows 4 个

近日多名学术界人士表示,在Linux、macOS、Windows和FreeBSD等操作系统所使用的USB驱动堆栈中发现了26个新的漏洞。这支科研团队由普渡大学的Hui Peng、瑞士联邦理工学院洛桑分校的Mathias Payer带领,所有漏洞都是通过他们创建的新工具USBFuzz发现的。 这类工具被团队成员称之为“模糊器”(fuzzer)。模糊器是多款应用程序的集合,能够帮助安全研究人员将大量无效、意外或者随机数据输入其他应用程序。然后,安全研究人员分析被测试软件的行为方式,以发现新的bug,其中一些可能被恶意利用。 为了测试USB驱动,Peng和Payer共同开发了USBFuzz,这是一种专门用于测试现代操作系统的USB驱动堆栈的新型模糊器。研究人员表示:“其核心部分,USBFuzz使用软件仿真的USB设备来向驱动程序提供随机的设备数据(当他们执行IO操作时)。” 团队表示:“由于仿真的USB设备是在设备层面工作的,因此将其移植到其他平台上是很直接的。”这使得研究团队不仅可以在Linux上测试USBFuzz,还可以在其他操作系统上进行测试。 研究人员表示,他们在以下平台上测试了USBFuzz。 ● Linux内核的9个最新版本:v4.14.81、v4.15、v4.16、v4.17、v4.18.19、v4.19、v4.19、v4.19.1、v4.19.2和v4.20-rc2(评估时的最新版本)。 ● FreeBSD 12 (最新版本) ● MacOS 10.15 Catalina(最新版本) ● Windows(8和10版本,并安装了最新的安全更新) 在测试之后,研究团队表示,在USBFuzz的帮助下,他们一共发现了26个新的bug。 研究人员在FreeBSD中发现了一个bug,在MacOS中发现了三个(两个导致计划外重启,一个导致系统冻结),在Windows 8和Windows 10中发现了四个(导致死亡蓝屏)。 最严重的是针对Linux的,总共有18个。其中16个是针对Linux各个子系统(USB core, USB sound和net-work)的高危内存漏洞,此外还有1个是针对Linux的USB host主控驱动,还有一个是USB摄像头驱动。 Peng和Payer表示,他们向Linux内核团队报告了这些bug,并提出了补丁建议,以减轻 “内核开发人员在修复报告的漏洞时的负担”。 研究团队表示,在这18个Linux漏洞中,有11个自去年首次报告以来,他们收到了补丁。在这11个bug中,有10个还收到了CVE,这是一个被分配给重大安全漏洞的唯一代码。 相关论文《USBFuzz: A Framework for Fuzzing USB Drivers by Device Emulation》,可以访问这里 和 这里。     (稿源:cnBeta,封面源自网络。)

报告显示僵尸网络会利用百度贴吧等常用服务进行管理

有关研究报告显示,双枪恶意程序的僵尸网络利用国内的常用服务进行管理。该僵尸网络的数量超过了 10 万。研究人员观察到双枪恶意程序使用百度贴吧图片来分发配置文件和恶意软件,使用了阿里云存储来托管配置文件,利用百度统计管理感染主机的活跃情况,恶意程序样本中还多次发现了腾讯微云的 URL 地址。 它第一次将 BAT 三大厂商的服务集成到了自己的程序中。百度已经采取行动阻断恶意代码下载链接,以下为报告全文。 概述 近日,我们的域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算,感染规模超过100k。我们通过告警域名关联到一批样本和 C2,分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击,但每次都能死灰复燃高调复出,可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大,导致互联网监测数据异常,触发了netlab的预警系统。本报告中我们通过梳理和这些URL相关的C2发现了一些模式,做了一些推测。 我们观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件,还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性,加大阻拦难度,开发者还利用百度统计这种常见的网络服务来管理感染主机的活跃情况。同时我们在样本中多次发现了腾讯微云的URL地址,有意思的是我们在代码中并没有找到引用这些地址的代码。至此,双枪团伙第一次将BAT三大厂商的服务集成到了自己的程序中,可以预见使用开放服务来管理僵尸网络或将成为流行趋势。有必要澄清的是,这些公开服务本身均为技术中立,此恶意代码中滥用这些公开服务完全是其作者的蓄意行为,各主要互联网公司均在用户许可中明确反对并采取措施抵御这些恶意滥用行为。 5月14日起,我们联系到了百度安全团队,采取了联合行动,对该恶意代码的传播范围做了度量,并采取了抵御措施。截止本文发稿,相关的恶意代码下载链接已经被阻断。百度安全团队对该事件的声明见文末。 IOC关联分析 从告警域名入手,通过DNS解析记录和样本流量分析建立IOC关联,过滤掉孤立和噪音节点,我们找到了一组与此次传播活动有关的关键C2。从下面截取的部分IOC关联图可以看出,几乎所有的域名都和两个关键的ip 地址 125.124.255.20 和 125.124.255.79 有关,围绕这两个ip地址,双枪团伙从19年下半年开始依次启用了一批域名来控制和下发恶意程序。事实上这个团伙长期且稳定的控制了大量 125.124.255.0/24 网段的ip地址,可以看出他们拥有非常丰富的网络资源。 通过样本溯源可以看到,这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端,具体感染方式大体分为两种,下面进行深入分析。 感染方式1 — 启动器内包含恶意代码   阶段1 — 下载并加载cs.dll恶意文件 各类私服入口 点击下载链接跳到私服主页 登录器下载 “蟠龙军衔.zip” 含恶意代码的私服客户端启动器被用户下载并执行,恶意代码访问配置信息服务器,然后根据配置信息从百度贴吧下载并动态加载名为 cs.dll 的最新版本恶意程序。cs.dll 中的敏感字串使用了一种变形的 DES 加密方法,这种加密算法和我们之前捕捉到的双枪样本高度相似。我们从样本主体 exe 文件入手,逐步分析上述恶意行为。 文件结构 “蟠龙军衔.exe” PE Resource 中包含 7 个文件,Widget.dll 是客户端组件,资源文件中的cs.dll 是旧版的恶意程序。4 个 .sys 文件是私服客户端的驱动程序,虽然命名为Game Protect,但我们在代码中发现了劫持流量插入广告的代码。 下载配置信息 启动器创建线程访问加密配置文件 http://mtdlq.oss-cn-beijing.aliyuncs.com/cscsmt.txt 页面包含 8 行 16 进制字串,与密钥 B2 09 BB 55 93 6D 44 47 循环异或即可解密。 解密后是 8 个百度贴吧图片的地址。 下载图片文件切割并重组 cs.dll 文件 直接访问图片地址,图片文内容看起来像是随机生成的。 恶意程序会下载图片文件,每张图片使用 ><>>>< 为标记来分隔图像数据和恶意代码数据。 把所有恶意代码拼接起来我们得到了阶段 2 的恶意程序 cs.dll。 恶意程序通过内存映射的方式加载上述 cs.dll,然后调用导出函数 abcd() 进入阶段 2 ,所以并没有文件落地。 阶段2 — 上报主机信息,释放并加载恶意驱动 cs.dll 会进行一些简单的虚拟机和杀软对抗,利用百度统计服务上报 Bot 信息,释放第 3 阶段 VMP 加壳的驱动程序(包含x86/x64两个版本)。 DES 解密算法 样本中的 DES 解密算法为恶意软件作者自定义实现,加密模式为 CBC,无填充。DES 加密算法的转换表与旧版(“双枪”木马的基础设施更新及相应传播方式的分析)相同 。本次恶意活动涉及的 DES 解密,都涉及 2 层解密,第一层解密,先以 Base64 算法解码字符串 dBvvIEmQW2s= 得到一份二进制数据,再以空密钥 \x00\x00\x00\x00\x00\x00\x00\x00 对上述二进制数据解密,得出字串 helloya\x00,再以此字串作为密钥,用自研 DES 算法解密其他大量密文数据。完整的解密过程如下: 检查虚拟主机环境 VM 和 WM 通过检查注测表项判断是否是 VMWare 主机,如果是 VM 主机代码则直接返回。 创建 Bot ID 使用系统 API 创建主机的 Bot ID,写入注册表 SOFTWARE\\PCID, 利用百度统计服务管理 Bot 恶意软件的开发者借用了百度统计接口的一些标准字段来上报主机敏感信息,利用百度统计这种常见的网络行为来管理感染主机的活跃情况。因为百度统计服务被大量网站使用,从流量上看是一套合规的浏览器网络行为,所以很难将其区分出来,加大了安全厂商打击的难度。 恶意程序首先使用一个名为 DataWork() 的函数伪造浏览器请求,下载 hm.js 脚本。 保存返回信息中的用户 Cookie 信息 HMACCOUNT 到注册表。 通过 http://hm.baidu.com/hm.gif? 接口,恶意程序将提取到的统计脚本的版本信息this.b.v、用户 Cookie 信息、bot_id 和伪造的其它统计信息组包上报,恶意软件开发者使用百度统计的后台可以方便的管理和评估感染用户。 从 Dat 资源解密,创建,安装驱动 检查是否安装了 XxGamesFilter 等私服客户端驱动。 根据安装情况和操作系统版本选择不同的资源 ID,每一个资源对应不同版本的驱动(32 位系统使用 ID 为 111 或 109 资源,64 位系统使用 ID 为 110 或 112 的资源)。 资源是简单加密过的,以解密 32 位驱动为例,首先倒转数据顺序,然后逐字节和系统版本数值 32 异或,得到一个 VMP 加壳的驱动文件。 测是否存在 TeSafe 驱动,如果存在刚中断感染流程。计算 TeSafe+{Computer Name} 的 MD5 值,检测是否存在名为该 MD5 字串的驱动,如果存在说明系统已经被感染过,也会中断感染流程。 //拼接字串 +00   54 65 53 61 66 65 2B 57 49 4E 2D 52 48 39 34 50      TeSafe+WIN-RH94P        +10   42 46 43 37 34 41 00 00 00 00 00 00 00 00 00 00      BFC74A..........        //拼接字串的MD5值  +00   46 34 36 45 41 30 37 45 37 39 30 33 33 36 32 30      F46EA07E79033620        +10   43 45 31 33 44 33 35 44 45 31 39 41 41 43 34 32      CE13D35DE19AAC42 如果系统 EnableCertPaddingCheck 注册表项关闭,则替换文件末尾 16 字节为随机数据。这样每个感染主机上的样本 HASH 值完全不一样,可以对抗基于 HASH 查杀的方案。 将驱动程序释放到 TEMP 目录下,文件名为长度为 7 的随机字符串。例如:"C:\Users\{User Name}\AppData\Local\Temp\iiitubl" 注册驱动文件启动服务并检测安装是否成功。 阶段3 — 劫持系统进程,下载后续恶意程序 驱动运行后会拷贝自己到 Windows/system32/driver/{7个随机字符}.sys ,伪造驱动设备信息为常见的合法驱动,如 fltMgr.sys ,向系统进程 Lassas.exe 和 svchost.exe 注入 DLL 模块。完成整个初始化过程后,就形成了一个驱动和 DLL 模块通过 DeviceIoControl() 通信合作来完成作务的工作模式,这是一个驱动级别的下载器。所有敏感的配置信息都保存在驱动内部,DLL 通过调用驱动来获得配置服务器相关信息,根据下载的配置信息去百度贴吧下载其它恶意代码,进行下一阶段的恶意活动。 驱动运行后用APC注入法向系统进程 Lassas.exe 注入 DLL 模块。 DLL 配合驱动的执行过程。 DLL 首先尝试创建互斥对象 {12F7BB4C-9886-4EC2-B831-FE762D4745DC} ,防止系统创建多个实例。 接着会检查宿住进程是否是 Lsass.exe 或 svchost.exe,确保不是运行在沙箱之类的分析环境中。 尝试创建设备 "\\.\F46EA07E79033620CE13D35DE19AAC42" 句柄,建立和驱动模块的通信。 向驱动发送 0x222084 设备控制码,获得连接服务器的配置信息。和配置服务器的通信使用 HTTPS+DES 的双重加密方式,配置信息包含三个重要的部分: 主机信息上报服务 https://cs.wconf5.com:12709/report.ashx,供 DLL 上报主机基本信息。 bot id,安装时间等基本信息。 是否安装 360 杀毒,是否是虚拟机环境。 是否是无盘工作站。 上报主机信息使用DES加密,密钥为 HQDCKEY1。 访问 https://cs.wconf5.com:12710/123.html 下载配置信息: 配置信息依然是变形 DES 加密,解密密钥为 HQDCKEY1。解密后可以看到配置信息使用自定义的格式,两个百度图片为一组,截取有效数据拼接为一个有效文件: 配置信息 https://share.weiyun.com/5dSpU6a 功能未知: 所有驱动样本返回的配置信息都包含一个腾讯微云地址,直接访问该地址可以看到若干字符和数字组成的无意义字串。我们在收集到的配置信息中发现,每组数据中的配置信息服务器和微云保存的数据存在特定的模式。以上图为例,访问腾讯微云,获取字符串 cs127,其同组数据中的配置文件服务器的子域为 cs.xxxx.com ,端口为127xx。这看起来像是一种动态生成配置文件服务器地址的策略,推测可能是还在开发阶段的功能,所以样本中并未包含对应代码。 完成上述初始化过程后,驱动开始根据配置文件进入真正的功能操作。根据解析的配置文件,dll和驱动模块配合可以完成非常复杂的功能,下面罗列其中一部分功能。 更新驱动文件 程序会使用另一套算法得到DES解密密钥 HelloKey,最后用 DES 算法解出最终数据: 劫持进程ip地址。 向系统中添加证书 下载文件到 TEMP 目录并创建进程。 篡改 DNS配置 PAC 代理劫持 感染方式2 — DLL 劫持 感染方式 2 依然是以私服客户端为载体,但是在技术细节上有较大差异。 登录器下载页面: 下载后的登录器: 多款类似游戏的私服客户端的组件 photobase.dll 被替换成同名的恶意 DLL 文件,恶意 DLL 文件的 PE  Resource 中包含 3 个关键文件: 恶意 photobase.dll 有两个关键动作: 首先会释放相应架构的恶意驱动程序,然后注册系统服务并启动; 然后加载真正的 photobase.dll 文件,并将导出函数转发到真正的 photobase.dll。 后续感染流程同上。 这是一套标准的 DLL 劫持加载方式。 阶段1 — 释放并加载恶意驱动 恶意 photobase.dll 文件会首先为即将释放的恶意驱动文件生成一个随机文件名,文件名为 10 个随机字符,文件后缀为 .dat,并把自身 PE Resource 中相应的驱动文件放到 %windir%\Temp\ 目录下。 然后为落地的恶意驱动文件注册系统服务,并启动服务: 恶意驱动接下来的活动与前面第一种感染方式雷同,即下载、解密并最终加载其他恶意文件。 阶段2 — 加载真 photobase.dll 在恶意 photobase.dll PE Resource 中的真 photobase.dll 文件的前 2 个字节被置空: 恶意 photobase.dll 从 PE Resource 中提取这份文件的时候,会把这前 2 个字节以 MZ(PE 文件头) 填充: 然后,恶意的 photobase.dll 文件会为刚载入的真正的 photobase.dll 文件载入动态链接库、导入相关函数,最后,把真 photobase.dll 中的导出函数转发到自己的导出函数中。部分转发的导出函数如下: 以上面高亮的导出函数 Sqm::AddToStream() 为例,恶意 photobase.dll 中的转发实现如下: 相关安全团队声明 基于海量威胁情报,百度安全反黑产开放平台配合测算出僵尸网络的规模。平台同时启动相关措施,尝试对受僵尸网络控制的用户进行风险提示。在本次联合行动中,通过黑产威胁情报分析、共享、应对等举措,我们对于双枪团伙的作案技术手段、逻辑及规则形成进一步认知。 相关附录:https://www.cnbeta.com/articles/tech/983871.htm     (稿源:solidot,封面源自网络。)

基于域名图谱嵌入的恶意域名挖掘

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/LeK6QYHwd3k3UlyAuSkcZA   一、导语 恶意域名的挖掘检测一直是威胁情报生产的核心内容。在庞大的互联网体量下,以域名为节点的访问、下载、解析等关系够成了一张无比庞大的“图”,黑客的每一次访问、请求或下载,都构成了其中具有独特结构的可疑子图,由此出发,图关系天然适用于挖掘恶意域名。本文主要讲解了图嵌入(GraphEmbedding)相关技术在腾讯安全威胁情报生产中的运用。 二、应用背景 一般的恶意域名检测(Malicious Domains Detection)[1]任务是基于特征工程和机器学习来进行恶意域名的判定,但从网络图谱的角度上来看,域名是整个图中的一个节点,它在网络图谱中,与不同的节点,如IP、md5等有不同的相邻关系,如访问、下载、解析等。如下图是腾讯安图对域名节点的网络关系展示。 对于恶意域名而言,基于其网络图谱关系,能够有效获取实锤线索。而图嵌入技术让网络关系能够进行有效的数值化表达。 三、相关技术 图嵌入往往作为一些图神经网络(GraphNeural Networks,GNN[2])的输入特征,与词嵌入[3]类似,图嵌入基本理念是基于(非)相邻节点关系,将目的节点映射为稠密向量,这样就将图谱上的多边关系和实物节点进行了数值化,以便在下游任务中进行运用[4]。 在获取相应图嵌入后,围绕图嵌入的下游任务主要有四类:节点分类、链路预测、聚类分析和可视化分析。节点分类指对节点的类型进行分类,如判定域名节点是否为恶意;链路预测是为了判定两个节点之间是否有边相连;聚类分析是在无监督学习场景下的节点簇分析;可视化分析通常会对节点进行降维并可视化。 此外,需要注意的是,网络有同构(homogeneous networks)与异构(heterogeneous networks)之分,如用户作为节点构成的社交网络是同构网络,而如网络图谱这样,节点包括域名、IP等多种类型的是异构网络[5]。 基于同构网络进行图嵌入的代表是node2vec[6]。它的嵌入过程主要分两步:二阶随机游走(2ndorder random walk)获得节点序列和基于Skip-gram[3]训练节点嵌入。在二阶随机游走中,算法通过p、q两个超参数来控制游走到不同类型图节点的概率,如下图: 是未归一化概率,其取值由超参数p、q确定,其中代表了出发节点v的下一步节点x跟上一个节点t的三种相邻关系:相邻、不相邻和自身,如下图: 不同的p、q值,实现了对图节点两种相似性的偏好控制:同构性(homophily)和结构对等性(structural equivalence)。通过p、q的值,控制Breadth-first Sampling和Depth-first Sampling,进而将同构性和结构对等性采样到节点序列中。 此后,使用skip-gram对游走的序列结果进行训练,得到关于每个节点的稠密向量。 四、基于图嵌入的恶意域名挖掘 4.1 基于图嵌入的域名情报挖掘架构 腾讯安全威胁情报中心基于海量安全大数据,在知识图谱、图计算等方面有深入的研究。在图神经网络的应用方面,实现了基于多种类型图结构的域名节点的嵌入与判定。 下图是目前在域名情报图嵌入构建的主要架构。首先根据域名与其他实体的关联关系,构建域名的同构关系图,然后基于图嵌入技术训练域名的图嵌入表示,最后根据具体的需求,结合其他维度的数据,实现相应任务。 下面对其中基于样本下载关系的同构域名图嵌入实现进行详述。 4.2 基于样本下载关系的同构域名图嵌入实现 域名图嵌入的其中一部分是从md5与域名的下载关系出发,来构建同构域名图,如下图。其主要构建过程包括: 抽取种子域名 黑白样本md5采样 获取下载边关系 关联域名 构建域名带权无向图 node2vec训练 特征融合与建模 4.2.1 抽取种子域名 为了构建域名下载关系同构图,需要一批种子域名,这批种子域名用以关联下载相同黑白样本md5的其他域名,以构成一张关于域名同构的图。 目前,种子域名主要由域名情报和高危域名组成,记为domains_seed。 4.2.2 黑白样本md5采样 腾讯安全多年黑灰产对抗过程中累积了海量样本的相关信息,包括样本本身的黑白灰属性,为了构建域名下载关系网络,对活跃期内的样本md5进行采样,去除低广和高广的白样本和低广的黑样本。这样可以避免低广高广样本将域名网络连接成一个完全图,让不同类型域名在图上的结构具有更大的差异性,同时,降低同构网络构建过程中的内存压力,这个黑白md5集合分别记为md5_black和md5_white。 4.2.3 获取下载边关系 选取一定时间段内的从域名下载样本md5的关系数据(md5-downloaded-domain),这个数据表明了,在一定时间段内,某md5从哪些域名上下载。同时,移除md5不在md5_black和md5_white中的对应关系数据。 4.2.4 关联域名 种子域名分别与黑白样本md5关联非种子域名。 以黑样本md5为例。在md5-downloaded-domain中抽取域名在domains_seed中,而md5在md5_black中的的md5和域名的下载关系数据,记为md5 -domain-black。从md5 -domain-black获得对应的所有域名作为黑关联域名,记为domain_black_corr。 同理可得domain_white_corr。 4.2.5 构建域名带权无向图 在获得的黑白关联域名和种子域名上,通过md5-downloaded-domain构建带权无向同构域名黑白网络。 以黑关联域名为例。在md5-downloaded-domain上抽取域名为黑关联域名或种子域名、md5为黑的域名md5下载关系,并假定下载相同md5的域名是互连的,这样去掉md5,就得到了仅域名连接的多个无向边。 假设这些无向边的权重为一个基本权重单位,则假定边无向的前提下,相同边的数量作为这条边的权重。由此构建起关于黑md5的域名同构带权无向图。同理可得关于白md5的域名同构带权无向图。 4.2.6  node2vec训练 这里选取node2vec对构建的黑白带权无向图进行域名图嵌入进行训练,node2vec在节点分类上具有明显优势,适用于下游域名相关挖掘任务,如下图。 node2vec在多种评测数据上均获得了最优或近似最优的结果。 通过node2vec,分别训练获得了关于域名下载关系的黑白图嵌入。下图是通过t-SNE降维后,黑白两类域名图嵌入的散点图示。 4.2.7 特征融合与建模 在获得关于域名下载关系的黑白图嵌入后,针对具体下游任务,可以结合域名其他维度特征进行进一步分析。 在恶意域名检测任务中,结合了域名的多种嵌入和其他属性特征,构建前馈神经网络(feedforwardneural network,FNN)进行建模和域名检测。通过对图嵌入的运用,在召回相近的情况下,恶意域名检测的精确率(precise)提升了1.7个百分点,达到了93.1%。 五、总结与展望 基于图嵌入的恶意域名挖掘从域名网络关联的角度,为域名的检测提供了新的线索及其数值化方案,丰富了域名的特征的维度和检测精度。 目前,域名的各种图嵌入的构建主要基于同构网络,接下来,会继续研究异构网络在域名检测上的应用。此外,除了域名,图嵌入技术和图神经网络在IP等情报上,同样具有应用和探索的价值。 六、参考文献 [1] Zhauniarovich Y,Khalil I, Yu T, et al. A survey on malicious domains detection through DNS dataanalysis[J]. ACM Computing Surveys (CSUR), 2018, 51(4): 1-36. [2] Scarselli F,Gori M, Tsoi A C, et al. The graph neural network model[J]. IEEE Transactionson Neural Networks, 2008, 20(1): 61-80. [3] Mikolov T, ChenK, Corrado G, et al. Efficient estimation of word representations in vectorspace[J]. arXiv preprint arXiv:1301.3781, 2013. [4] Goyal P, FerraraE. Graph embedding techniques, applications, and performance: A survey[J].Knowledge-Based Systems, 2018, 151: 78-94. [5] Zhang F, Liu X, Tang J, et al. Oag: Towardlinking large-scale heterogeneous entity graphs[C]//Proceedings of the 25th ACMSIGKDD International Conference on Knowledge Discovery & Data Mining. 2019:2585-2595. [6] Grover A,Leskovec J. node2vec: Scalable feature learning for networks[C]//Proceedings ofthe 22nd ACM SIGKDD international conference on Knowledge discovery and datamining. 2016: 855-864.  

研究人员在 Android 9.0 等低版本系统中检出 StrandHogg 2.0 漏洞

Promon 研究人员刚刚曝光了一个影响 Android 9.0 等低版本系统的 StrandHogg 2.0 特权提升漏洞,若被黑客利用,用户的所有应用程序都将被其所染指。Promon 向 Google 通报了 CVE-2020-0096 安全漏洞,这家搜索巨头已降至标记为“严重”。庆幸的是,该漏洞尚未在野外被广泛利用。不过在今日披露之后,数以千万计的 Android 设备用户将变得更易受到攻击。 Promon 公告指出,该漏洞允许恶意应用在完全隐藏自身的情况下,获得假设合法的身份。 一旦将恶意应用安装在设备上,便可染指用户个人数据,比如短信、照片、登陆凭证、追踪 GPS 运动轨迹、通话记录、以及通过摄像头和麦克风监听用户。 Promon 表示,谷歌已于 2019 年 12 月 4 日收到漏洞披露通告,意味着搜索巨头在漏洞向公众曝光前有五个月的时间对其进行修补。 在面向 Android 生态合作伙伴的 2020 年 4 月安全补丁中,已经包含了 CVE-2020-0096 的漏洞修复(涵盖 Android 8.0 / 8.1 / 9.0)。 视频连接:https://www.cnbeta.com/articles/tech/983745.htm 需要注意的是,StrandHogg 2.0 较初代漏洞更加复杂,使之难以被反病毒和安全扫描程序检测到。 终端用户需注意不要从来历不明的非可信任来源安装 Android 应用,以免受到此类恶意攻击的影响。     (稿源:cnBeta,封面源自网络。)

黑客组织窃取 ESET 杀毒软件日志 观察他们的恶意程序有没有检测出

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年1月,三个目标分别是国家议会和外交部,黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。 ComRAT 的最新版本是 v4,研究人员观察到了 ComRAT v4 的新变种包含了两项新功能:收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。 安全研究人员认为,黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来,他们可以进行调整以躲避检测。     (稿源:solidot,封面源自网络。)