2009
10.31

我将会在 ISF2009 作个演讲

Category: Random Chatter / Tag:  / 7 comments

对,我突然决定做讲者而非暖席者。

题目是 “A DIY Botnet Tracking System”. 我将会分享一下自己建的殭尸网络监控系统。我将会分享一下自己对于殭尸网络监控系统的心德,有机会会碰上的问题。

如果你打算出席 ISF 2009,一定要来聊聊及饮兩杯!

2009
10.31

2009年第3季 的 殭尸网络

Category: Botnet / Tag:  / Add Comment

分享数篇关于殭尸网络的新闻:

ClickForensics : Botnets Accounted for 42.6 Percent of All Click Fraud in Q3 2009.

Symantec : Botnets Generate 87.9% of Total Spam Messages

DarkReading : Botnet Unleashes Variety Of New Phishing Attacks <– 这个在冒充微软的客户服务.

2009
10.28

OWASP(China)2009 & ISF2009年会

Category: Random Chatter / Tag:  / 2 comments

OWASP简介:

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风 险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。   近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全 提供了明确的指引。作为OWASP中国的第一届年会,OWASP安全专家将为大家带来精彩的演讲

CISRG简介:

CISRG是一个活跃的技术研究团队,团队成员都拥有自己特定的技术研究方向,目前的研究方向主要有:操作系统内核、逆向工程、漏洞挖掘、WEB漏洞挖掘及漏洞利用、渗透测试、信息搜集与社会工程。

议题征集范围(不限于以下范围)

  • 应用程序威胁建模及其防御技术
  • WEB2.0方向的安全技术
  • WEB应用程序漏洞挖掘及分析
  • 数据及数据库安全
  • 浏览器安全(Firefox、IE、Safari、Chrome等)
  • 操作系统研究(Vista、Windows7)
  • 逆向工程
  • 反恶意代码前瞻性技术
  • 漏洞挖掘技术
  • 智能移动设备安全研究
  • 硬件设备安全性研究
  • 取证分析
  • 入侵检测
  • 点对点网络
  • 渗透测试

参会者票价

10月31日前报名:¥300
10月31日后报名:¥500

付款方式

户名:杭州安恒信息技术有限公司
账号:77818100000385
开户行:杭州银行科技支行
交款事项:写明姓名,注明年会

会议时间安排

2009年11月12日
2009年11月13日
全天两日

会议地点

中国 上海
详细地址:待定

联系我们

联系人:刘彦俊(小姐)
联系电话:+86 137 1380 7300
电子邮箱:rip@owasp.org

===

I should be there. Are you coming? =)

2009
10.21

检测 VirtualBox

Category: Testing / Tag:  / Add Comment

早前我就写了关于虚拟环境检测的文章 检测虚拟机和蜜罐方法的概念 。这次就谈实际的。既然我是用 VirtualBox,就略略讲其中比较容易的方法之一:

在注册表:

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\

VideoBiosVersion = VBOX   – 1

SystemBiosVersion = Sun xVM VirtualBox Version 2.1.4_OSE VGA BIOS
Sun xVM VirtualBox Version 2.1.4_OSE VGA BIOS
Sun xVM VirtualBox Version 2.1.4_OSE
Sun xVM VirtualBox Version 2.1.4_OSE
VirtualBox Version 2.1.4_OSE VBE Display Adapter
VirtualBox Version 2.1.4_OSE VBE Display Adapter

以上的存在会暴露 VirtualBox 的存在。当然还有其他:

HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\FADT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARe\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0

Identifier = VBOX HARDDISK

HKEY_LOCAL_MACHINE\HARDWARe\DEVICEMAP\Scsi\Scsi Port 1\Scsi Bus 0\Target Id 0\Logical Unit Id 0

Identifier = VBOX CD-ROM


在装置管理员也写得很清楚。用程式查问不困难。

DVD/CDROM : VBOX CD-ROM
Harddisk : VBOX HARDDISK

这都是其一的方法而已。Peter Ferrie 的研究报告可以看看。

以下是一些网络资源:Peter Ferrie 的 Virtual Machine ThreatsPPT档 ,及 Marshall Fryman 的博文这里这里,以及一个codeproject示范。希望能對大家有用。

===

来个小小的更新。最近这两个月都没有现身,主要是九月整个月都为私人事奔波,而十月则是为了准备新工作而忙碌(我以前是为 Microsoft Office SharePoint Server 伺服器做防毒软件的,中国没有甚麽人用的。)不过,这份新工作并不是关于反罪恶而是云端安全。

云端安全呀!没有人没听过吧?

新的工作是关于在 Windows Azure 上的云端计算。可惜,话题要点到即止了。放心了,我还是很着重对反罪恶的研究。=)

http://onhacks.org/lang/en/2009/08/21/concept-of-virtual-machines-and-honeypots-detection-techniques
2009
09.25

Avert Labs 新研究 – Inside the Password-Stealing Business: the Who and How of Identity Theft

Category: Malware / Tag:  / Add Comment

Avert Labs 出了一篇新研究:“Inside the Password-Stealing Business: the Who and How of Identity Theft.” 。 对地下经济有兴趣的人,应该要去看一看!中文版好像下载不了(http://www.avertlabs.com/research/blog/index.php/2009/09/24/inside-the-password-stealing-business/)。

游戏市场一直都是很有前途的市场,这对于地下市场亦然。即使你是正道的,游戏市场真的可以赚很多钱。另一方面,你应该没有听过别人盗版 “Microsoft High Performance Computing Cluster” ,对吧?但其实他们是卖得挺好的,在中国也是。高效运算都是一个很有潜力的市场呀!

另外就是,现在的病毒好像要你中毒还不够 (Zbot),还想帮你惹官非。大家都知道中了毒的电脑会被拿来做罪犯的踏脚石,所以作为受害者你要证明自己是受害者。Zbot 会把你的电脑的注册表的 HKEY 根删掉,直接废掉电脑。很正常地,你会格式化并重装电脑,那时候甚麽证据都消失了。坐牢呀~

http://www.mcafee.com/us/local_content/reports/6622rpt_password_stealers_0709_en.pdf
2009
09.10

需要 HTTP 殭尸的 PCAP 或 样本

Category: Malware / Tag:  / Add Comment

早前提到,我在写一个全自动化的殭尸追踪功具(希望整理以后公开给大家用)。

我需要大量不同种类的 HTTP 殭尸样本。最近蜜罐收来的都不是很有用的 HTTP 样本。

你有没有一些 HTTP 殭尸的  PCAP 或样本 可以分享给我? 请送去 log0 [ at ] onhacks [dot] org . 谢谢!

2009
09.05

安全教学 SecurityTube

Category: Random Chatter / Tag:  / Add Comment

SecurityTube – 有关安全的影视教学, 有兴趣者去忙一下!

2009
08.31

香港 Honeynet 的蜜罐分析

Category: Honeypot / Tag:  / 1 comment

由 Peter Cheung 和 Roland Cheung 带领的香港区 Honeynet 小队写了两篇关于高互动性蜜罐的研究,一个 Windows 一个 Linux。其实外来不是很多关于这裡的详细指导,所以我才写了那篇。他们就更用心,放了很多图教导如何去分析一个受攻击后的蜜罐。我鼓励有兴趣学习的人不妨去偷师一番。

Windows

http://www.honeybird.hk/project/wp-content/uploads/2009/04/honeypot-study-windows-2008.pdf

Linux

http://www.honeybird.hk/project/wp-content/uploads/2009/02/honeypot-study-linux-2008.pdf

(我真的不懂如何翻译 Forensics… 蜜罐法医学? ) 更新:EvilOctal 的 冰血封情 告知,原来是”取证”! 谢谢. =)

冰血封情
2009
08.27

大型 PCAP 记录

Category: Testing / Tag:  / Add Comment

大型 PCAP 记录, 好东西!

MU Dynamics 从 SHMOO Group 那边得到并公开了一大堆 PCAP 记录,并加上了 index ,共有 15 GB,26.3 百万 封包。据 SHMOO Group 说,(以下是我企图翻译的:)”这堆档裡记录了 DefCon 的 Capture the Flag 的封包。SHMOO Group 公开是为了鼓励更多的安全产品的设计及研究。” 为了研究,大家来点创意用用它吧!

大家不一定知道,SHMOO Group 的 SHMOOCON 有很多高质素和每年都有安全界裡的高人在那裡演说的,即管去看看吧。

http://www.pcapr.net/forensics
2009
08.25

Innovative? Command Control on Twitter

Category: Botnet / Tag:  / Add Comment

I’ve read this earlier but only posted it now… oops… I felt it is worth to share.

Innovative? Take a look :

http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/

Now makes us think of the other forum boards such as Baidu Tieba, Google’s, 2ch? =)

« Previous Entries
Next Entries »