微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 2009美国黑帽大会 攻击TrueCrypt的bootkit  

作者:
标题: 2009美国黑帽大会 攻击TrueCrypt的bootkit
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  2009美国黑帽大会 攻击TrueCrypt的bootkit



   
Boot.Stonedbootkit is a virus that infects the master boot record (MBR) on the compromised computer.

2009/7/29: BlackHat USA 2009大会上的一个bootkit ,感染MBR,劫持内核,攻击TrueCrypt,目前入库的不多!样本已发

扫描结果 :   16%的杀软(6/37)报告发现病毒
时间 :   2009/07/31 10:22:24 (CST)
http://www.virscan.org/report/b5 ... 34fcf02501f26e.html


企业安全管理之解析数据处理安全

ZDNET安全频道时间:2009-07-27作者: | 比特网


  到目前为止,市面上已经有很多传输、存储和存档数据的管理工具。在存储工具里,供应商们都推出各种新方式帮助更快更好地传输和获取数据。一些供应商认为应当采取数据管理方式,而另一些供应商则不认同,现在欧洲和美国的大多数企业正在部署各种解决方案来管理这种信息资产。

  本文中我们将讨论数据处理安全方法,同时也将探讨企业如何重新利用发生过泄漏的计算机或者硬盘,以及避免泄漏的对策。

  现在市面上有很多形式的存储介质,以下是集中存储技术的简要列表:

  ·光学介质(CD ROM、DVD、BLURay、WORM等)

  ·USB存储闪存、硬盘驱动器和其他固态存储

  ·软盘和类似介质(如ZIP驱动和Jazz驱动---旧的大容量存储形式)

  ·移动电话、PDA、Ipod、音乐播放器和其他类似设备

  ·服务器和SAN或者NAS上的海量存储介

  ·磁带存储

  ·云存储

  ·远程邮件和服务

  随着存储介质价格降低,存储能力越来越高,更多的数据可以存储在各种介质中。这些技术越来越多地被公众使用,而新的威胁也在滋生。

  旧存储介质威胁

  通常情况下,我们购买一些存储介质、硬盘、计算机和USB闪存等,将这些介质插入电脑并开始使用它们保存我们的个人数据。随着存储数据的增多,很快将需要寻找更大容量更多功能的设备,而我们却很少考虑这些操作的安全性问题,经常将这些设备遗忘在橱柜或者抽屉里。在这种情况下,个人数据很容易发生泄漏而落入未经授权的人手中。

  近日,牛津大学的某位安全专家曾表示,他们时不时地会从网上购买旧的存储介质并试图恢复上面的数据,他们经常会将获取的与某些案件相关非法证据材料交给当局,配合当局追查肇事者。

  笔者发现购买这种旧的硬件非常容易,并且只要从网上下载一些免费软件就可以开始恢复上面的数据。

  Could I find some data?

  为了考查事情的真实性,笔者找出一些废弃的电脑计算机,并取出这些计算机的硬盘,通过从互联网下载的免费工具来进行数据恢复。

  注意:

  这次数据恢复是在可控制环境进行的,相关数据受到相关安全人士的严格保密,在研究结束后被销毁。

  我们能够从这些硬盘中获取下列信息:

  ·有效的本地登录帐户和密码

  ·远程访问证书,包括用户名、密码和IP地址

  ·电脑中缓存的WIFI WPA1/2和WEP密钥

  ·服务器映射驱动器路径和文件位置

  ·一些office文件(如word、excel、PowerPoint和其他)

  ·密码文件

  ·Outlook pst和缓存电子邮件

  ·临时文件和附有证书的Cookies

  ·包含所有网站、应用程序和其他用户登录的安全认证的Single Sign On数据库

  ·还发现银行信息和其他金融信息,以及非常私人的信息

  所有这些信息在不到一天的时间里被提取出来,并且只需要使用免费的网络工具。发现的信息数量是相当惊人的,我相信大部分用户不希望这些信息公诸于众,特别是涉及攻击数据资产时。

  我们使用的一些工具

  Ophcrack http://ophcrack.sourceforge.net

  Nirsoft 工具集 http://www.nirsoft.net/

  - Asterisk Logger 查看asterisk后面的密码

  - PstPassword 获取PST密码

  - WirelessKeyView v1.25 查看存储的无线密码

  - Dialupass – 恢复VPN/RAS/Dialup密码

  那么我们怎样才能更好地保护数据呢?

  当购买设备时,最好选择附有加密功能的设备,现在AES256是目前比较好的加密方式,在移动设备上也可以使用。

  如果你想要保护你的传统设备,可以使用加密工具来加密,TrueCrypt是一款免费的工具,但是不建议用于商业用途,因为密钥不是集中存储的,McAfee的解决方案可以集中存储密钥,另外市面上还有很多其他解决方案,最重要的是你要确保使用合适的加密方式以及管理密钥的方式。

  部署双重验证

  现在密码真的很容易被盗窃,因为不安全的密码造成过无数次泄漏事故,因此建议部署双重验证方式来保证安全性。

  物理处理废弃的存储介质

  绿色环保始终是主题,我们很多时候会希望回收利用,但是重新利用资源绝对不能与安全划上等号,如果存储介质存储过非常重要的数据,物理性粉碎将会是最佳方式。

  现在有很多工具可以销毁硬盘上的数据,这些工具一遍又一遍的向设备写入0000000和11111111。

  但是在某些网络中这样做非常耗费时间,因此这种物理销毁的成本是很昂贵的,企业首席安全观需要权衡风险与回报的平衡以选择适合的安全控制。

  有些偏执的人会采取比较直接的办法,首先他们对硬盘驱动进行消磁,将设备放在强烈磁场中。然后将设备通过物理设备进行粉碎,变成细小的金属块,这个过程通过高分辨率摄像头进行监测,并记录粉碎过程。

  总结

  购买数据存储介质时应该后行,并且废弃的存储设备可能落入坏人的手中,造成不必要的威胁,我们必须采取适当的措施来保护信息资产,对存储介质进行加密,安全清除介质或者直接物理摧毁设备。

[ Last edited by 点饭的百度空间 on 2009-8-4 at 00:38 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-7-31 21:44
查看资料  发送邮件  访问主页  发短消息   编辑帖子
锐行天下
注册用户




积分 161
发帖 157
注册 2009-2-15
#2  

怎么都是英文版的啊》

※ ※ ※ 本文纯属【锐行天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[url]http://www.micropoint.com.cn[/url]
2009-7-31 22:16
查看资料  发送邮件  发短消息   编辑帖子
微点专家
版主

Weizi


积分 11554
发帖 11458
注册 2006-8-27
来自 贵阳
#3  

他中文不好

※ ※ ※ 本文纯属【微点专家】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

做个性的自己
2009-7-31 23:29
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#4  

销毁硬盘上的数据有专业工具,原理是利用磁场,快速高效

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-8-3 08:20
查看资料  发送邮件  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#5  

BOOT.STONEDBOOTKIT.EXE
微点更新命名为Trojan name:Trojan.Win32.bootkit.a

传了好几支样本给微点 反病毒快报怎么不介绍下呢 最近发现官方的病毒快报 看来看去~还是那点东东 发下牢骚o(︶︿︶)o

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-8-4 00:28
查看资料  发送邮件  访问主页  发短消息   编辑帖子
20090218
中级用户




积分 238
发帖 238
注册 2009-2-19
#6  

谁能详细介绍一下黑帽?

※ ※ ※ 本文纯属【20090218】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

学习!交友!顶微点!
2009-8-6 14:50
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号