阿里抵御黑客入侵(阿里巴巴被黑客攻击事件)

　　阿里聚安全一周一讯第36期出炉，一起来看本周的安全热点吧~祝大家元旦快乐！

　　一、安全资讯

　　国外地下市场出售70万中国 apple 账号

　　所周知，在国外的一些地下市场上面充斥着各种各样的商品，其中同时也会包含大量的数据信息。近日，小编在一个地下市场上发现有一位卖家正在售卖中国的apple账号信息，数据量达到70W。账号包含的信息为：bios信息、cpu信息、硬盘序列号信息、硬件识别代码信息、mac 地址信息、密码、email账号、token、唯一设备标识符。卖家在数据样本中给出了信息样本中，手机号码、密码清晰可见。

　　从卖家的信息可以知道这份数据应该是在2016年夏季的时候上传到这个市场上面的，因此这份数据的泄露时间很有可能就在今年。现在苹果手机已经成为街机了，因此一旦苹果发生数据泄露事件，很有可能就直接影响到我们自身。

　　https://jaq.alibaba.com/community/art/show?articleid=696

　　FBI和DHS发布联合报告，奥巴马对俄罗斯涉嫌干预美国大选进行制裁

　　美国联邦调查局（FBI）和国土安全部（DHS）于12月29日发布了一份解密报告，报告中详细分析了俄罗斯如何干预美国大选。报告中分析了两起独立的入侵事件，这两起有俄罗斯背景的黑客事件分别发生在2015年的夏天和2016年的春天。

　　报告发布前，奥巴马驱逐了35名俄罗斯外交官，要求他们在72小时之内离开美国，并关闭了位于马里兰州和纽约的两个俄罗斯领事馆。报告中确定，不同的两家俄罗斯民间和军事情报机构（RIS）“在入侵美国政党中扮演了重要的角色”。虽说报告中并没有特别指出在美国大选期间被入侵的机构和个人，但明确提到了其中有美国民主党全国委员会（DNC）和希拉里的竞选主席John Podesta。白宫表示，这些不是所有的制裁方案，奥巴马还会视时间和地点继续采取行动，有些行动将不会告知公众。不久后，奥巴马政府还会向国会呈交一份俄罗斯黑客干扰大选的详细报告。

　　https://jaq.alibaba.com/community/art/show?articleid=697

　　Mirai新对手：Leet僵尸网络发起650Gbps的DDOS攻击

　　最近有研究人员称记录下了一次650Gbps的DDoS分布式拒绝服务攻击。此次大流量的DDoS攻击依旧是由物联网僵尸网络发动的，其中还涉及到某种新型的恶意软件——Leet僵尸网络。

　　通过研究发现，此次攻击中的恶意流量由常规大小的SYN数据包和不正常的大型SYN数据包生成的。攻击者从成千上万台被入侵的设备系统中提取出了大量文件数据，并利用这些数据生成了攻击所用的payload。这种方法可以算得上是一种十分有效的混淆技术，攻击者可以通过这项技术来生成无限数量的随机payload。攻击者就可以利用这些随机程度非常高的恶意payload来绕过基于签名的安全防护系统，并实施进一步的攻击活动。

　　直到目前为止，2016年所有的大规模DDoS攻击事件都与Mirai恶意软件有关，Leet僵尸网络可以称得上算是Mirai僵尸网络的第一个对手了。但是，它显然不是最后一个，我们的情况正在越变越糟。

　　https://jaq.alibaba.com/community/art/show?articleid=694

　　史上最大型广告欺诈活动Methbot：黑客是如何每天赚到500万美元的

　　根据国外安全专家的最新报告，有一群黑客正在对美国的知名企业和媒体机构进行广告欺诈活动，而这群黑客每天都可以从中赚取三百万到五百万美金。

　　黑客注册了超过6000个不同的域名，并且使用了250267个不同的URL链接来伪装成美国的各大知名企业和热门媒体网站，例如ESPN、Vogue、CBS Sport、Fox News以及Huffington Post等等。这些伪造的网站制作完成之后，他们会将网站中的视频广告位进行出售，然后伪造广告视频的观看量——主要就是欺骗广告市场。他们通过这样的方式让广告市场认为这些内容的观看量很高，并通过技术手段让这些观看IP像是网站正常访问者的。

　　Methbot所生成的这些“机器人”每天可以观看超过三百万个广告视频。对于单个视频，每1000次访问平均可以获益13.04美元。根据WhiteOps的研究表明，其数据中心中大约有800至1000个网络节点，整个系统可以24小时不停地运作。

　　https://jaq.alibaba.com/community/art/show?articleid=695

　　2016年网络安全行业全景图（下半年）

　　安全牛发布的2016年网络安全行业全景图，覆盖基础设施安全、终端安全、云安全、移动安全、数据安全、业务安全等15个领域。

　　https://www.aqniu.com/news-views/21984.html

　　国家网信办发布《国家网络空间安全战略》

　　12月27日，经中央网络安全和信息化领导小组批准，国家互联网信息办公室发布《国家网络空间安全战略》。信息技术广泛应用和网络空间兴起发展，极大促进了经济社会繁荣进步，同时也带来了新的安全风险和挑战。网络空间安全（以下称网络安全）事关人类共同利益，事关世界和平与发展，事关各国国家安全。维护我国网络安全是协调推进全面建成小康社会、全面深化改革、全面依法治国、全面从严治党战略布局的重要举措，是实现“两个一百年”奋斗目标、实现中华民族伟大复兴中国梦的重要保障。为贯彻落实习近平主席关于推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共同体的“五点主张”，阐明中国关于网络空间发展和安全的重大立场，指导中国网络安全工作，维护国家在网络空间的主权、安全、发展利益，制定本战略。

　　https://jaq.alibaba.com/community/art/show?articleid=692

　　国务院关于印发“十三五”国家信息化规划的通知

　　“十三五”时期是全面建成小康社会的决胜阶段，是信息通信技术变革实现新突破的发轫阶段，是数字红利充分释放的扩展阶段。信息化代表新的生产力和新的发展方向，已经成为引领创新和驱动转型的先导力量。围绕贯彻落实“五位一体”总体布局和“四个全面”战略布局，加快信息化发展，直面“后金融危机”时代全球产业链重组，深度参与全球经济治理体系变革；加快信息化发展，适应把握引领经济发展新常态，着力深化供给侧结构性改革，重塑持续转型升级的产业生态；加快信息化发展，构建统一开放的数字市场体系，满足人民生活新需求；加快信息化发展，增强国家文化软实力和国际竞争力，推动社会和谐稳定与文明进步；加快信息化发展，统筹网上网下两个空间，拓展国家治理新领域，让互联网更好造福国家和人民，已成为我国“十三五”时期践行新发展理念、破解发展难题、增强发展动力、厚植发展优势的战略举措和必然选择。

　　本规划旨在贯彻落实“十三五”规划纲要和《国家信息化发展战略纲要》，是“十三五”国家规划体系的重要组成部分，是指导“十三五”期间各地区、各部门信息化工作的行动指南。

　　https://www.gov.cn/zhengce/content/2016-12/27/content_5153411.htm

　　二、技术分享

　　Android

　　新型Android恶意软件：通过智能手机劫持路由器的DNS

　　近日安全研究人员发现了一个行为不端的Android木马。尽管恶意软件针对Android操作系统，早已不是一个新鲜事了，但是我们发现的这个木马相当的独特。因为它并不攻击用户，它的攻击目标是用户连接的Wi-Fi网络，或者，确切地说，攻击目标是为网络服务的无线路由器。这个木马名字是“Trojan.AndroidOS.Switcher”，该木马会针对路由器的Web管理页面，进行密码暴力破解攻击。如果攻击成功，该恶意软件会在路由器设置中更改DNS服务器的地址。从而将用户的所有DNS查询，从被攻击的Wi-Fi网络重定向到攻击者那里(这样的攻击也被称为DNS劫持)。

　　https://bobao.360.cn/learning/detail/3356.html

　　iOS

　　黑云压城城欲摧 - 2016年iOS公开可利用漏洞总结

　　iOS的安全性远比大家的想象中脆弱，除了没有公开的漏洞以外，还有很多已经公开并且可被利用的漏洞，本报告总结了2016年比较严重的iOS漏洞（可用于远程代码执行或越狱），希望能够对大家移动安全方面的工作和研究带来一些帮助。

　　https://jaq.alibaba.com/community/art/show?articleid=687

　　移动App入侵与逆向破解技术－iOS篇

　　如果您有耐心看完这篇文章，您将懂得如何着手进行app的分析、追踪、注入等实用的破解技术，另外，通过“入侵”，将帮助您理解如何规避常见的安全漏洞。

　　https://www.52pojie.cn/thread-566820-1-1.html

　　攻防

　　进攻即是最好的防御！19个练习黑客技术的在线网站

　　进攻即是最好的防御，这句话同样适用于信息安全的世界。这里罗列了19个合法的来练习黑客技术的网站，不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员，通过不断的练习才能让你成为一个优秀安全研究人员。这些网站希望能给各位安全小伙伴带来帮助！

　　https://jaq.alibaba.com/community/art/show?articleid=683

　　使用Hashcat破解外国字符构成的密码的终极指南

　　最近，在与一位新客户的合作过程中，我们在破解密码的哈希值的时候遇到了很大的麻烦。不久之后，我们获悉这些哈希值是从一些员工的工作站上面收集来的，而某些员工安装了外语输入键盘。无论是基于字典或基于规则的攻击，我们都试过了，但是仍然无法破解这些哈希值，所以，我们只好开始研究如何破解外国字符编码的哈希值。这篇文章是利用hashcat破解外国字符散列值的最终指南，希望当你碰到类似的挑战的时候，本文能给你带来帮助

　　https://drops.wiki/index.php/2016/12/21/hashcat/

　　Rootkit技术入门：从syscall到hook！

　　简单地说，rootkit是一种能够隐身的恶意程序，也就是说，当它进行恶意活动的时候，操作系统根本感觉不到它的存在。想象一下，一个程序能够潜入到当前操作系统中，并且能够主动在进程列表中隐藏病毒，或者替换日志文件输出，或者两者兼而有之——那它就能有效地清除自身存在的证据了。此外，它还可以从受保护的内存区域中操纵系统调用，或将接口上的数据包导出到另一个接口。

　　本教程将重点介绍如何通过hooking系统调用来进行这些活动。在本教程的第一部分，我们将打造自己的系统调用，然后打造一个hook到我们创建的系统调用上面的rootkit。在最后一部分，我们将创建一个rootkit来隐藏我们选择的进程。（本教程仅用于安全研究，切勿因其他目的而制作rootkit）

　　https://bobao.360.cn/learning/detail/3337.html

　　三、安全工具

　　安全行业从业人员自研开源扫描器合集

　　Scanners-Box是一个集合github平台上的安全行业从业人员自研开源扫描器的仓库，包括子域名枚举、数据库漏洞扫描、弱口令或信息泄漏扫描、端口扫描、指纹识别以及其他大型扫描器或模块化扫描器；该仓库只收录各位网友自己编写的开源扫描器，类似nmap、w3af、brakeman等知名扫描工具不收录。

　　https://jaq.alibaba.com/community/art/show?articleid=685

　　DefectDojo：安全程序和漏洞管理工具

　　DefectDojo是一个安全程序和漏洞管理工具。DefectDojo允许您管理应用程序安全程序，维护产品和应用程序信息、计划扫描、分类漏洞和将发现推送到漏洞跟踪器。使用DefectDojo将你的发现进行整合。

　　https://github.com/OWASP/django-DefectDojo

　　ioTSeeker：物联网设备默认密码扫描检测工具

　　Rapid7出品，是一款物联网默认密码凭据网络扫描工具，可以针对特定物联网设备进行扫描检测，发现IoT设备是否使用默认或出厂设置密码凭据。

　　https://www.freebuf.com/sectool/123977.html

　　Wycheproof：测试加密方案中的缺陷

　　来自谷歌的安全专家最近开发了一款测试工具Wycheproof，开发者可用它来发现加密方案中存在的缺陷。这款工具中部署了一些比较常见的加密攻击。据说这套测试已经帮助谷歌安全专家发现加密库中超过40个安全BUG，并且他们也已经将问题呈报给了供应商。

　　https://www.freebuf.com/sectool/123679.html

　　四、安全活动

　　FIT2017互联网安全创新大会

　　FreeBuf互联网安全创新大会（FIT）由国内领先的安全新媒体平台FreeBuf.COM主办，是互联网安全领域最具影响力的年度峰会之一，WitAwards年度互联网安全颁奖盛典也将在同期举行。本届大会以“脉动与机遇”为主题 ，聚焦「宏观视角」、「技术变革」、「企业安全」、「产业创新」，并在去年基础上全新设置了「企业安全工坊」以及「FreeBuf Live」分论坛。

　　https://fit.freebuf.com/

　　更多安全热点，请访问阿里聚安全博客