处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)FAQ

在安天1月4日和1月5日分别就《处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告》之后,有用户就A级漏洞事件影响范围、利用方式和如何检测提出问题,针对此类形成了本FAQ。

更多内容

Meltdown攻击与CPU体系结构的简明FAQ

操作系统的内核数据是受到CPU微结构保护的,用户模式的应用程序无法访问,如果访问是要引发CPU错误异常的。 构造一个分支,先检测读取内存的地址是否合法,合法就读取相应地址内存字节,然后根据内存字节的值,让内存字节的值与映射到不同Cache块的内存块对应起来,再故意读取一下映射到不同Cache块的内存块;如果访问内存的地址非法,例如操作系统内核数据地址,直接不读取。显然,这样的分支,无论读取合法地址还是非法地址都是不会出错的。用大循环执行多次这个分支,前若干次,读取内存地址都是合法的,“训练”CPU的分支预测,让CPU微结构认为下次也应该走向读取内存这一分支。然后,突然执行一次非法的操作系统内核数据地址读取。

更多内容

处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告

该漏洞是一个足以动摇全球云计算基础设施根基的漏洞,其意味着任何虚拟机的租户或者入侵了成功一个虚拟机的攻击者,都可以通过相关攻击机制去获取完整的物理机的CPU缓存数据,而这种攻击对现有虚拟化节点的防御机制是无法感知的。同时由于该漏洞的机理,导致其存在各种操作系统平台的攻击方式因此尽管这一漏洞本身只能读取数据,不能修改数据,但由于其获取的数据中有可能包括口令、证书和其他关键数据,包括能够完整Dump内存镜像,因此这个漏洞比一般性的虚拟机逃逸对云的危害更大。尽管当前全球主要云服务商均在积极应对这一漏洞的影响,但鉴于这些云服务体系的庞大而复杂,以及大面积补丁本身所面临的复杂度和风险,漏洞利用POC已经发布并验证成功,因此这次漏洞修补已经成为一场时间赛跑。在这个过程中,攻击者所获取到的数据,将会沉淀出对于关键数据和隐私泄露、登陆凭证被窃取导致连锁攻击等次生灾害

更多内容

潜伏的象群—来自南亚次大陆的系列网络攻击行动

在过去五年间,中国所遭遇到的“越过世界屋脊”的网络攻击从未停止过。在这些此起彼伏的攻击行动中,安天此前称之为“白象”(White Elephant)的组织最为活跃,从2012年到2013年,安天陆续捕获了该攻击组织的多次载荷投放,并在2014年4月的《中国计算机学会通讯》和9月的中国互联网安全大会对此事件进行了披露,同年8月,安天形成报告《白象的舞步——HangOver攻击事件回顾及部分样本分析》,在后续的分析中将此次攻击命名为“白象一代”。2015年年底,安天发现“白象”组织进一步活跃,并于2016年7月释放了储备报告《白象的舞步——来自南亚次大陆的网络攻击》,披露了“白象”组织的第二波攻击“白象二代”。而此时“白象二代”的主要攻击方向已经由巴基斯坦转向中国,并且相较之前的攻击能力有了大幅提高,其攻击手段和影响范围也远大于“白象一代”。在“白象”组织被广泛曝光后的一段时间内,似乎偃旗息鼓,但到今年下半年,该组织再次活跃,而其相关行动是在经历了数个月准备后实施的。从我们掌握的信息来看,“白象”并不是某国唯一的攻击组织和行动,包括“阿克斯”(Arx)组织、“女神”(Shakti)行动及“苦酒”(BITTER)行动,同样与之有关。这些组织和行动,具有相似的线索和特点,并且其中大部分攻击目标为中国。我们将这一系列网络攻击组织和行动称为——“象群”。

更多内容

安天针对无线网络(WI-FI)保护协议标准WPA2漏洞综合分析报告

KRACK漏洞利用主要针对WPA/WPA2的四次握手过程,没有利用AP接入点,而是针对客户端的攻击。因此,用户的路由器可能不需要更新。对于普通家庭用户,应多关注各终端设备厂商的安全公告,及时更新配置或打补丁,优先更新笔记本电脑和智能手机等客户端。 对该漏洞的利用并没有破坏密码体系本身,而是对实现过程进行了攻击,因此基本可以绕过所有的安全监控设备。利用该漏洞能够在一个良好实现的网络环境中,通过良好实现的WiFi打开攻击面,为后续攻击打开通路。

更多内容

安天应对微软SMB漏洞(CVE-2017-11780)响应手册

近日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft Windows SMB Server远程代码执行漏洞(CNVD-2017-29681,对应CVE-2017-11780)。远程攻击者成功利用漏洞可允许在目标系统上执行任意代码,如果利用失败将导致拒绝服务。CNVD对该漏洞的综合评级为“高危”。综合业内各方研判情况,该漏洞影响版本范围跨度大,一旦漏洞细节披露,将造成极为广泛的攻击威胁,或可诱发APT攻击,安天提醒用户警惕出现“WannaCry”蠕虫翻版,建议根据本手册中“受影响系统版本”和“微软官方补丁编号”及时做好漏洞排查和处置工作。

更多内容

安天基于蓝牙协议漏洞的BlueBorne攻击综合分析报告

使用蓝牙通信协议的设备数量随着物联网时代的开启日益增多。近期,物联安全公司Armis Labs纰漏了一个攻击向量BlueBorne,称攻击者可利用一系列与蓝牙相关的安全漏洞,在一定场景下可实现对具有蓝牙功能的远端设备的控制,进而窃取受害者数据、进行中间人攻击以及在感染一个设备后蠕虫式感染其它设备,且此攻击方式无需向用户申请认证授权,具有较大的危害性。为此,安天微电子与嵌入式安全实验室和安天移动安全公司两部门组成联合分析小组,认真剖析了整个攻击流程并做出威胁总结。

更多内容

安天针对“魔鼬”木马DDOS事件分析

2017年7月30日,安天安全研究与应急处理中心(Antiy CERT)的工程师发现一种具备拒绝服务(DoS)攻击能力的新型木马。经初步分析,安天CERT工程师认为该木马属于一个新家族,并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据,发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。

更多内容

安天针对攻击乌克兰等国的“必加”(PETYA)病毒分析与应对

安天安全研究与应急处理中心(Antiy CERT)于北京时间201762721时许关注到乌克兰银行等相关机构包括、政府首脑计算机遭到计算机病毒攻击的相关信息。综合各方威胁情报后,初步判断受影响最严重的国家是乌克兰(副总理Pavlo Rozenko、国家储蓄银行(Oschadbank)、Privatbank等银行、国家邮政(UkrPoshta)、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司KyivEnergo),其他部分国家均受到不同程度的影响,包括俄罗斯(俄罗斯石油公司(Rosneft))、西班牙、法国、英国、丹麦、印度、美国(律师事务所DLA Piper)等国家。

更多内容

安天蠕虫式勒索软件WannaCry免疫工具FAQ 4

在安天发布蠕虫勒索软件免疫工具(WannaCry)后,有大量用户就专杀工具提出问题,我们选择了其中的高频问题,形成了本FAQ。我们会继续跟进网友的问题。

更多内容