多回報ClamAV

今天收到一封來自ClamAV的信：

Dear ClamAV user,

The following submissions have been processed and published:
- 4210487 Trojan.Magania-5465
- 4210405 Trojan.Magania-5423
- 4210415 Trojan.Spy-51753

See http://cvdpedia.clamav.net/daily/8269

--
Best regards,
The ClamAV team

事情是這樣，上個月陸續收到朋友Yahoo帳號寄來的木馬，4個zip檔案中ClamAV只掃到一個，NOD32原本掃到兩個，後來掃到三個，Sophas全都掃得到。經過鳥毅回報，經過半個多月終於加到ClamAV的病毒資料庫，現在全都掃得到！

雖然不一定會加進病毒資料庫，但有空仍要盡可能回報，台灣和國外的木馬畢竟不太相同，多回報多保佑呀...

我也接到詐騙電話

今天也接到傳說中 "接起來說打給我後馬上掛掉" 的詐騙電話，號碼是 0982642363，現在怎麼這麼小氣呀？記得四年前有個自稱是酒店小姐的打給我，講了20幾分鐘耶....人家有誠意多了:P

P.S. 請不要無聊和他們聊太久或得罪詐騙集團，不然每天半夜被叫起來尿尿別說我沒警告喲...

Man-in-the-middle attack

看了阿碼老板Yayne寫的美國駭客年會 Black Hat 2008 觀察--第一天我才第一次看到man in the middle的名詞（遜...）。

原本就有聽過這次DNS攻擊的手法，看到Man-in-the-middle attack才明白，這有中文解釋。

詳細手法請看：An Illustrated Guide to the Kaminsky DNS Vulnerability

木馬多，請自己小心

早上才貼完釣魚手法，馬上就有一位朋友透過msn向我求助；他msn還沒下線，hotmail的密碼就被改了。
雖然無法判斷他是怎麼被盜，但是以往都不會修改使用者密碼，不知道這個破壞行情的人/集團會不會被同業抵制XD

Anyway，請自己多加小心，若環境允許，請換Mac/Linux吧。

釣魚手法

下圖是今天收到要求加入msn好友，怪了，我不是已經設定不讓其他人看到？很明顯是色情或釣魚，不過遠比不上同事前陣子加入那位要找老公的俄國金絲貓XD

以下是一封Spam，手法很粗糙，相信過一陣子會有讓人難以分辨的Spam。

如果是我發的Phishing Spam，就會長得像微軟MSDN Flash 程式開發人員快訊：

Open Source的UTM

在這看到Untangle 。

Untangle的功能95%是免費，但若要訂閱更新或某些商業模組則要錢。 此外，在這可看到仍有些小問題（5.3版已無語系問題）。

由於原貼已經介紹得很清楚，在下就不多做功能介紹。撇開小bug不談，做為監控使用應該還不錯，但若要當做IPS則有待考驗，以150人的企業而言，訂閱費用每月$150不算便宜也不算貴。若它要能和市面上的龍頭競爭，除了亞洲環境得多測試，Policy的更新也必須跟得上駭客的動作。

至於效能問題，我反而不擔心，UTM本來就很操，若要跑得順，弄一台Core 2 Duo E8400或Core 2 Quad Q6600以上，配上4GB RAM和高效能的硬碟（用Raid 0+1?），幾百個client應該沒有問題。啥？幾千個client？貴公司也太省了吧，考慮花錢請鳥毅當顧問替貴公司規劃一下改成有load balance的UTM，哈哈。

新釣魚手法？

有位同事轉寄一封email通知信給我，看起來很像真的Spam通知信，馬賽克的部份是他的email，但我們公司不是買這間的產品呀！猜測可能是新的釣魚手法，嗯，下次或許就會收到和我們內部使用完全一樣的通知信了:P

HiNet IPS 有效

在HiNet IPS，有效嗎？提到完全不知道怎麼看，後來終於找到Hinet企業資安服務，看到報表。 似乎是Hinet設定太慢，這麼多天以來只有一筆，不過至少有找到，所以算是有效啦！（有效果不代表全部都可以攔截，請不要貿然去申請然後怪我XD）...

HiNet IPS，有效嗎？

公司最近將上網的ADSL升級為FTTB，因為搭上Hinet優惠，所以得到免費HiNet IPS。剛想到就去大炮開講找最新的受害網站，決定拿國立教育廣播電台電子賀卡中心網站被植入惡意連結當做測試範例，用IE7連上國立教育廣播電台電子賀卡中心，沒想到Google和Firefox都會警告，IE7和HiNet IPS卻都沒警告。

本來以為HiNet IPS完全沒效果，但是直接連 http://www.lokriet.com/ngg.js 卻無法下載（此為後門，勿隨便測試），看來還是有防護效果。還是我弄錯了？有人能告訴我嗎？

參加2008 SyScan 前瞻資安技術年會（下）

現場參加的駭客不少人用Ubuntu，也有用Mac，著實令在下羨慕。
第二天的議程都是中文，因此心情放鬆，也比較好睡:P

邱大炮介紹的活逮惡意程式，在工具出來前有些麻煩，所以一般公司的MIS大概也還是用重灌大絕招。

TrendMicro的Sean介紹嵌入式script攻擊，他以程式分析的方式來看，幾乎都在介紹機器碼和組合語言；鳥毅只玩過6502組合語言（早忘光了，想學的人找lukhnos吧），所以中間小睡了幾次，實在抱歉XD 不過還是學到不少東西啦！

鳥人的演講功力愈來愈好，他似乎有看到敝小站的文章，感謝他替鳥毅廣告XD
至於工具痕因我對Windows實在不夠瞭解，只能希望他的工具盡快做出來，造福人群。不過敝公司不管他的工具做出來否，還是要靠重灌解決user中毒XD

PK處理記憶體保存的功力實在太強，讓我想disable Notebook的1394 :P 很慶幸自己不是駭客呀！

Kuon長得比我想像中更像駭客呀！只是我對Python不甚瞭解，唯一知道的是新版Python沒有decompiler XD

Nanika對PocketPC 5上的rootkit展示也頗驚人，很慶幸自己沒有Win手機XD

這兩天聽完的結論：網路實在是太不安全，世界變成非常不安全，凡事自己要多小心呀！

今天上班一堆事情等著鳥毅，忙到不行，所以等到現在才寫完。SyScan官方Blog快點補上正妹照吧！

參加2008 SyScan 前瞻資安技術年會（上）

昨天很晚才回家，非常地累，所以今天睡到八點才起床。
起來後打開電腦確定到台大醫院國際會議中心，決定坐捷運淡水線到台大醫院站，所以看一下diggirl再出門。

下車後走了一段到才到，走上二樓嚇我一跳，人非常多，而且接待的外國人中文都說的不錯，是阿碼科技的員工嗎？重點是居然還有正妹，猜測是大公司的資安工程師，敝公司只有鳥毅一個人要負責網管+防毒+防駭+伺服器管理+幫MIS寫爹不疼娘不愛的系統，唉～ 若不是現場禁止照相，鳥毅很想偷拍正妹貼上來，這件事可能要拜托Kuon幫忙:P 坐在鳥毅後面一排似乎是電信警察，都以學長學弟相稱，只是有人把鳥人與鳥哥弄混，他們年紀差了快一輪吧XD

課程內容倒是不令人意外，Wayne幾乎都在官方Blog預告，對了，Wayne的開場講得很好。

Adam Laurie打開飯店保險箱，看來只是短路而已吧？有點在唬外行人。至於他可以覆寫RFID的廠商ID當然就是技術囉～這真的很猛，可惜Adam沒有demo解MIFARE卡。

Fyodor Yarochkin果然有俄國駭客之風，口音很重，一開始不習慣有些單字聽不太懂，結果後來有人以中文發問時，他居然以中文回答，唉，早點用中文說就好嘛！鳥毅聽慣美式英文，Richard Smith的英國口音也聽不慣，對台灣人來說Fyodor的中文比英文還好:P 大家似乎都對他以Lisp寫KM的rule太過有興趣，重點不在這呀！鳥毅十幾年前學AutoCAD時玩過一點Lisp，所以知道很多Expert System都用Lisp語法，讓Knowledge Base與資料合一，這是沒玩過Expert System的朋友比較不瞭解的部份。用不用SQL不重要，重點是在他的botnet system呀！目前的惡意程式大都以P2P（Peer to Peer）的方式形成Botnet，但遇到防火牆則很難主動聯絡，只能由Client向Server讀取命令，因此大部份會有一個中控網址可追踪；Fyodor設計即時通訊模式，則只需要有一個可聯絡的Google talk即時通訊帳號即可。

Petr Matousek其實講得很好，但是他機器人式的平淡語音，讓全場睡倒不少人。Wayne要不要教他中文，請他下次用中文講？ XD

Richard Smith的攻擊手法真的是未來式...相信短期內不會有利用firmware攻擊。

（待續）

今天收到的病毒信

今天收到海洋大學博士寄來的病毒信，看來他的yahoo帳號被盜:P
這隻病毒ClamAV、小紅傘與卡巴斯基、NOD32都掃不到，明顯是"經前三大掃毒軟體驗證合格"，於是丟到VirusTotal掃看看：

VirusTotal 是一款可疑檔案分析服務, 通過各種知名反病毒引擎, 對您所上傳的檔案進行偵測, 以判斷檔案是否被病毒, 蠕蟲, 木馬, 以及各類惡意軟體感染.

反病毒引擎	版本	最後更新	掃瞄結果
AhnLab-V3	2008.6.27.1	2008.06.30	-
AntiVir	7.8.0.59	2008.06.30	-
Authentium	5.1.0.4	2008.06.29	W32/Onlinegames.gen
Avast	4.8.1195.0	2008.06.28	Win32:Lmir-RH
AVG	7.5.0.516	2008.06.29	PSW.OnlineGames.BR
BitDefender	7.2	2008.06.30	-
CAT-QuickHeal	9.50	2008.06.28	-
ClamAV	0.93.1	2008.06.30	-
DrWeb	4.44.0.09170	2008.06.30	modification of Trojan.Nsanti.Packed
eSafe	7.0.17.0	2008.06.29	Suspicious File
eTrust-Vet	31.6.5911	2008.06.27	-
Ewido	4.0	2008.06.27	-
F-Prot	4.4.4.56	2008.06.29	W32/Onlinegames.gen
F-Secure	7.60.13501.0	2008.06.26	-
Fortinet	3.14.0.0	2008.06.30	-
GData	2.0.7306.1023	2008.06.30	Win32:Lmir-RH
Ikarus	T3.1.1.26.0	2008.06.30	Packer.Malware.NSAnti.AL
Kaspersky	7.0.0.125	2008.06.30	-
McAfee	5327	2008.06.27	PWS-OnlineGames.bd
Microsoft	1.3704	2008.06.30	TrojanSpy:Win32/OnLineGames.ZDR
NOD32v2	3225	2008.06.29	-
Norman	5.80.02	2008.06.27	-
Panda	9.0.0.4	2008.06.29	Suspicious file
Prevx1	V2	2008.06.30	-
Rising	20.51.00.00	2008.06.30	-
Sophos	4.30.0	2008.06.30	Mal/EncPk-CE
Sunbelt	3.0.1176.1	2008.06.26	-
Symantec	10	2008.06.30	-
TheHacker	6.2.96.364	2008.06.28	Trojan/Agent.adv
TrendMicro	8.700.0.1004	2008.06.30	TROJ_DROPPER.IWP
VBA32	3.12.6.8	2008.06.29	-
VirusBuster	4.5.11.0	2008.06.30	Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway	6.6.2	2008.06.30	Win32.Malware.gen (suspicious)

附加訊息
File size: 328936 bytes
MD5...: 04fa9fb5956ee6b88ad49d94a65d49ae
SHA1..: f6ec10e2f1538e8182528676acc498234cf51e4e
SHA256: 51522b6a7a23c2b64eb31066e2108d0276b341e092767bb183a227b73d750a10
SHA512: 1f1de25888a4060b05c724e7c1825fef723943b2ba42522d21ab63a195b219d8 bb5b5a6a345cfc04a2b1f61db812467f6c4608ca3ae683b7ae6ec41ae4639b36
PEiD..: -
PEInfo: -
packers (Kaspersky): PE_Patch
packers (Authentium): RAR
packers (F-Prot): RAR

報名2008前瞻資安技術年會

這幾天向公司主管爭取，終於以公費報名2008前瞻資安技術年會，有機會見到kuon的廬山真面目了。要小小向kuon"弟"請教一下，你們的報名確認函都cc給wayne、jack和jason，不用bcc的原因是email早就充斥spam了嗎XD

不願面對的真相：Firefox的漏洞

好消息：八百萬人裝了Firefox 3，壞消息：八百萬人有了漏洞
其實這件事，鳥毅的留美優秀同學早在Firefox 3.0 beta時就遇到，當時他只有開Firefox瀏覽對岸的駭客網頁，頓時小紅傘就發出警告。他的第一反應馬上就關機重灌，後來倒是沒再遇到。

各位請小心上網呀...

MSN Gateway

同事發現有連到65.55.15.125這台機器，查了一下似乎是MSN的Server。他為了確認，就下了traceroute 65.55.15.125的命令（XP是tracert 65.55.15.125）。

中間看到一台 MSN-gw.peer.router.hinet.net (202.39.82.10)，Hinet真是貼心，還特別替大家做一個MSN的gateway呀！這台很適合調查局放AIM Sniff或msniff呀XD

國內最大防毒公司被駭

剛才同時間好幾位老大的twitter傳的tinyurl都導到同一個網址，害我以為tinyurl壞了，原來：
http://www.trendmicro.com.tw/pc-cillin/promotion/2008/04_14_Tax_Survey/survey/SurveyEnd.asp

Flash零時差攻擊

iThome的消息：駭客收割SQL Injection成果　發動Flash零時差攻擊
Flash的漏洞，還真的是跨平台的木馬攻擊咧～
幸好鳥毅的公司還沒中標，今天晚上可以好好睡一覺了。（謎之音：流量那麼低，中標又如何XD）

該不該現場直播呢

中視賑災洩個資 拍錯馬腿觀眾批

現場直播是很大的資安問題，就像我在網路問題多提過的，網站內容應該經過審核再播出，電視亦同呀！

個人認為至少保留個1分鐘再播，如果分秒不差播出，又有人打電話罵偉大的馬總統，那不是很尷尬嗎？

這幾天的資安事件

最近幾天有兩件重要的資安新聞，照時間排好了。

誰要看你的程式碼？
雖然不算是太嚴重的問題（個人覺得啦），卻突顯了code review的重要性，這點Debian應該向OpenBSD多學學。

趨勢：10萬中文網頁遭入侵 鎖定公益網站、駭客借四川大地震搞鬼 受影響之網站超過十萬個
中國人不只發國難財，還駭國難站。主要還是SQL injection，陳年老code還是得拿出來review/refactoring呀！

Update：數位之牆也被駭了：數位之牆的十一年浩劫，SQL Injection逃不掉的啦。

Google封鎖有問題的來源

今天相關企業上Google搜尋都會跳出一個確認畫面，應該是他們公司內有人中木馬。而且不止一線被封，看來不少人中標了:P


好樣的Google，真有你的！