今天去开了个会,主要是一些银行介绍了一些网络攻防经验。
先讲个故事:
多年来,围绕针对伊朗核计划的震网(Stuxnet)病毒攻击,有着一个持久的谜团:美国和以色列是如何把震网病毒带入戒备森严的位于纳坦兹(Natanz)的铀浓缩工厂的?
据消息人士透露,将震网病毒通过U盘带入核工厂的,是伊朗核工厂的内部人员。而这个内部人员,是荷兰情报人员在美国中央情报局和以色列情报机构摩萨德的要求下,招募的特工。
美国和以色列不仅得到了荷兰的帮助,还得到了德国和法国的帮助。德国提供了德国西门子公司生产的工业控制系统的技术规范和知识,这些系统在伊朗工厂用于控制旋转离心机,法国提供了类似的情报。
对于最初的震网版本(2007年),特工是通过将USB插入控制系统直接安装恶意代码的;在后来的版本中(2009~2010年),他们通过恶意软件感染了五家伊朗公司的雇员,他们都是在纳坦兹安装工业控制系统的承包商。
后来版本的代码添加了多种传播机制,利用了4个微软0day漏洞,以增加它到达Natanz内部目标系统的可能性,但这导致Stuxnet严重失控,2010年3月,在感染伊朗将近20万台计算机后,持续向全球扩散,感染了数千台计算机,并使得它在2010年6月被公众发现。
具体可见:https://www.freebuf.com/articles/blockchain-articles/213483.html
这里面出现了:社工、0day、情报、工控、供应链,而且发生在10余年前!
听了会议的嘉宾演讲,其中的一星半点,记录一下。
1、攻击队的总体谋略:总部强打地方,地方强打供应链,供应链强打跨网。(ga)
2、WAF还是必要的,虽然拦不住最厉害的前3/10的队伍。(ms)
3、攻击者上传木马,防守方在木马中加一些东西,从而得知攻击者用的是win7+chrome,然后通过chrome的漏洞溯源对方。(360-hongyu)
4、银行为什么难打,对安全来说,架构是最重要的。银行的优势在于,IT架构比较强:数据集中,两网隔离。(nh)
5、今年很多所谓一些0day,都是什么文件上传之类的,技术含量不大。(nh)
6、开源风险还是有的。因为写开源和用开源的人,通常有兴趣发现、解决功能bug和性能问题,但没有兴趣去挖安全漏洞。(nh-heqiao)
7、现在很多社工都是用微信的(邮箱相对少点),以业务联系之名,用微信直接发马(或者骗密码)。一般都会用美女头像。(gh)
8、通过wifi信号增强,可以在1公里之外进行攻击。(gh)
9、通过工牌复制设备,伪造工牌,可以破闸机,可以坐班车。(gh-wangjinxi)
10、蜜网核心目的,吸引攻击者及困缚,二流的队伍才会被干扰。(ms-songkeya)
11、隐蔽攻击:所有的攻击都是去特征的,流量加密的。(ms)
12、有人认为,只有全版本无条件的RCE,才能称得上是0day。(ms)
BTW:纪念一下今天逝去的网络安全牛人John McAfee。
约翰·麦卡菲(John McAfee),于20世纪40年代出生于英国,反病毒软件公司McAfee创始人,有美国“杀毒软件之父”之称。2010年,英特尔以76.8亿美元收购了McAfee。2019年7月6日,约翰·麦卡菲宣布作为自由党竞选人参加2020年美国总统选举。此人多次卷入各种案件,争议极大。
McAfee最近的言论(6.19):In a democracy, power is given not taken,But it is still power. Love, compassion, caring have no use for it. But it is fuel for greed, hostility, jealousy... All power corrupts.Take care which powers you allow a democracy to wield.
文|卫剑钒