标记为“ Adob​​e”的条目

第1页共2页

黑客数字签名的PDF文件

有趣的论文:“影子攻击:隐藏和替换签名的PDF中的内容”:

抽象的:数字签名的PDF用于合同和发票中,以确保其内容的真实性和完整性。打开签名的PDF的用户希望在任何修改时会看到警告。2019年,Mladenov等。在PDF查看器实现中揭示了各种解析漏洞。它们显示出可以修改PDF文档而不会使签名无效的攻击。结果,受影响的PDF观众的供应商实施了对策,以防止所有攻击。

本文介绍了一种新颖的攻击类,我们称之为阴影攻击。阴影攻击规避了所有现有的对策,并打破了数字签名的PDF的完整性保护。与以前的攻击相比阴影攻击不会滥用PDF查看器中的实施问题。相比之下,阴影攻击使用PDF规范提供的巨大灵活性,以使阴影文档保持标准符合性。自从阴影攻击滥用只有合法的功能,很难减轻。

我们的结果表明,已测试的29位PDF观众的16个(包括Adobe Acrobat和Foxit读者)很容易受到伤害阴影攻击。我们介绍我们的工具PDF攻击者可以自动生成阴影攻击。此外,我们实施了PDF检测器阻止阴影应用于签名的PDF后签名或进行前提检测利用的文件。

编辑为添加(3/12):这是写关于上个夏天。

发表于2021年3月8日上午6:10查看评论

俄罗斯黑客工具代号为白色

卡巴斯基实验室裸露来自俄罗斯的一套高度复杂的黑客工具,称为Whitebear。

从2016年2月到2016年9月,白熊活动狭窄地集中在世界各地的使馆和领事行动上。所有这些早期的白熊目标都与使馆和外交/外交组织有关。持续的白熊活动后来转变为与国防相关的组织纳入了2017年6月。与WhiteAtlas感染相比,白熊的部署相对较少,并且与更广泛的船长Turla Target集合在一起。此外,将WhiteAtlas框架与Whitebear组件进行比较表明,恶意软件是单独开发工作的产物。白熊感染似乎之前是凝结的矛式滴管,缺乏Firefox扩展安装程序有效载荷,并包含几个带有新代码签名数字证书的新组件,与WhiteAtlas的事件和模块不同。

我们未知的白色小熊组件的确切交付矢量是我们非常怀疑的人群对目标有恶意的PDF文件的镜头。上面的诱饵PDF文件可能是从目标或合作伙伴中偷走的。而且,尽管在先前针对WhiteAtlas框架的系统的子集上始终识别白色小额组件,并在同一档案中维持组件并可以维持相同的文件名,但我们无法将其牢固地绑在任何特定的WhiteAtlas组件上。怀特贝尔(Whitebear)专注于2016年初全球各地的大使馆和外交实体,无论如何,试图在目标系统上与完整的外交标题和内容一起展示带有完整的外交标题和内容的诱饵PDF。

该工具所做的一件聪明的事情是使用被劫持的卫星连接进行命令和控制,从而通过NSA使用的广泛监视功能来帮助它通过广泛的监视功能来逃避检测。我们已经看到了以前这样做的俄罗斯攻击工具。更多详细信息在Kaspersky博客文章中。

鉴于卡巴斯基(Kaspersky)与俄罗斯的联系而遇到的所有麻烦,因此推测这一披露很有趣。他们要么是独立的,而且燃烧了有价值的俄罗斯黑客工具集。或者俄罗斯人认为该工具集已经被烧毁了 - 也许是国家安全局知道了这一切,并以某种方式绝育了 - 并允许卡巴斯基出版。或者也许是两者之间的东西。这就是这种猜测的问题:没有任何事实,您的理论只是放大了您以前的任何意见。

奇怪的是,对此并不多。我只发现一个故事

编辑为补充:一位同事向我指出,卡巴斯基这样的公告常常被媒体忽略。关于Projectsauron, 例如。

编辑为补充:我最初写的文字说,卡巴斯基发布了攻击工具,例如Shadow Brokers在做什么。他们没有。他们只是暴露了他们的存在。对于这个错误表示歉意 - 这是草率的。

发表于2017年9月1日上午6:39查看评论

通过酒店网络进行了复杂的目标攻击

卡巴斯基实验室是报告(详细报告这里, 技术细节这里)在一个针对世界各地特定个人的精致黑客小组中。“ Darkhotel”是该组及其技术的名称。

这种恰恰通过高级闪光灯零日的利用来有效地逃避了最新的窗户和Adobe防御措施,从而恰恰驱动了其竞选目标,但它们也不可避免地在大量的模糊目标中传播,并具有点对点传播策略。此外,该机组人员最不寻常的特征是,多年来,Darkhotel APT一直保持着使用酒店网络在世界各地旅行时追随并击中选定目标的能力。这些旅行者通常是来自亚太地区业务和外包的各个行业的高管。目标包括首席执行官,高级副总裁,销售和营销主管以及最高研发人员。该酒店网络入侵集为攻击者提供了对高价值目标的精确全球规模访问权限。根据我们的观察,酒店网络上最多的进攻活动始于2010年8月,一直持续到2013年,我们正在调查一些2014年酒店网络活动。

好的文章。这显然显然是一场民族国家的攻击。必威体育登陆网址不过,任何人都猜测哪个国家背后。

长矛中的目标 - 待命攻击包括备受瞩目的高管 - 他们是来自亚洲人的媒体主管以及政府机构,非政府组织和美国高管。但是,主要目标似乎是在朝鲜,日本和印度。劳指出:“亚洲的所有核国家必威体育登陆网址。”“他们的目标是核主题,但他们还针对美国国防工业基础,以及来自世界各地的重要高管与经济发展和投资有关。”最近,针对美国国防工业的攻击激增。

我们通常从目标列表中推断出攻击者。这不是那么有用。巴基斯坦?中国?韩国?我只是在猜。

发表于2014年11月10日下午2:34查看评论

Windows访问控制

我刚刚找到了一篇有趣的论文:“Windows Access Control Demystived,” Sudhakar Govindavajhala和Andrew W. Appel。基本上,他们表明像Adobe,Macromedia等公司在其访问控制程序中遇到错误,可以在Windows XP中打开安全孔。

抽象的

在普林斯顿大学的安全互联网编程实验室中,我们一直在使用逻辑编程来调查网络安全管理。我们开发了一个基于规则的框架,即多阶段,漏洞分析(Mulval),以对端到端,自动分析多主机,多阶段的多阶段攻击在大型网络上,其中主机运行不同的操作系统。该工具找到了攻击路径,在该路径中,对手必须在多个软件中使用一个或多个弱点(缓冲溢出)来攻击网络。Mulval框架已被证明是模块化,灵活,可扩展和有效的[20]。我们应用了这些技术来使用常用软件对单个主机进行安全分析。

我们已经以声明性但可执行的(Datalog)格式构建了Windows XP Access Control的逻辑模型。我们已经构建了一个扫描仪,该扫描仪可以从Windows注册表,文件系统和服务控制管理器数据库中读取访问控制的配置信息,并将原始的配置数据馈送到模型。因此,我们可以推论诸如特权估算攻击的存在之类的事情,实际上,我们发现了几个主要供应商的商业软件的访问控制列表列出的一些用户到管理员漏洞。我们建议使用诸如软件开发人员和系统管理员的工具,以建模和调试Windows下安装的访问控制的复杂交互。

编辑以添加(2/13):Ed Felten对论文有一些很好的评论在他的博客上

发表于2006年2月13日下午12:11查看评论

必威官方开户

Baidu