-
暗网上销售的 Google Play 威胁概述
2022年,卡巴斯基检测到1661743个针对移动用户的恶意软件或流氓软件安装程序,虽然这类安装程序最常见的传播方式是通过第三方网站和可疑的应用商店,但它们的开发者偶尔也会设法将其上传到Google Play等官方商店。 这些应用程序通常会受到严格监管,并且在发布前会经过预审核。然而,恶意和流氓软件开发者使用了各种技巧来绕过平台检查。例如,他们可能会上传一个良性的应用程序,然后用恶意或可疑的代码进行更新,以感染新用户和已经安装该应用程序的用户。这些恶意应用程序一被发现就会从Google Play中删除,但它们通常都是在下载多次之后才会被发现。 在收到用户投诉称“Google Play上出现许多恶意和流氓应用程序”之后,卡巴斯基研究人员决定调查一下这些恶意软件在暗网上的供求情况。分析这种威胁是如何产生的尤为重要,因为许多网络犯罪分子经常以团队合作的方式,买卖Google Play账户、恶意软件、广告服务等等。这是一个完整的地下产业链,有自己的规则、市场价格和声誉机构,卡巴斯基在一份报告中进行了概述。 重要发现 能够向Google Play交付恶意或流氓应用程序的加载程序价格通常在2000美元到20000美元之间。 为了尽可能保持匿名,很大一部分攻击者严格通过论坛和聊天工具(例如Telegram)上的私信进行谈判。 隐藏恶意和流氓软件最流行的应用程序类别包括加密货币跟踪器、金融应用程序、二维码扫描仪,甚至约会应用程序。 网络犯罪分子主要接受三种付款方式:一定比例的最终利润、订阅费或租金以及一次性支付。 网络犯罪分子推出谷歌广告,以吸引更多人下载恶意和流氓应用程序。广告的成本取决于目标国家,其中,针对美国和澳大利亚用户的广告费用最高。 暗网上提供的恶意服务类型 与合法的在线市场一样,暗网上也为不同需求和预算的客户提供各种优惠。例如,下面的优惠列表截图就介绍了针对Google Play用户可能需要的不同商品和服务的价格。 【一家暗网服务提供商称这些价格太高,并指出他们以更低的价格出售同样的服务】 攻击者购买的主要产品是开发人员的Google Play帐户,这些帐户可以被网络罪犯入侵或注册,以及帮助买家将其创作上传到Google Play各种工具的源代码中。此外,暗网上还提供VPS(售价300美元)或虚拟专用服务器等服务,攻击者可以使用这些服务来控制受感染的手机或重定向用户流量,以及基于网络的注入。网络注入是一种监控受害者活动的恶意功能,如果受害者打开了攻击者感兴趣的网页,注入器就会将其替换为恶意网页。这种功能的售价为25-80美元/个。 Google Play加载程序 攻击者出售最多的是Google Play加载程序,其目的是将恶意或流氓代码注入Google Play应用程序。然后,该应用程序会在Google Play上更新,受害者可能会将恶意更新下载到他们的手机上。根据注入到应用中的具体内容,用户可能会获得更新的最终有效载荷,或者收到通知,提示他们启用未知应用的安装,并从外部来源安装它。 在后一种情况下,除非用户同意安装额外的应用程序,否则通知不会消失。安装应用程序后,用户会被要求授权访问手机的关键数据,如辅助服务、摄像头、麦克风等权限。受害者可能无法使用原始的合法应用程序,直到他们授予执行恶意活动所需的权限。一旦所有请求的权限都被授予,用户最终能够使用应用程序的合法功能,但与此同时,他们的设备也会受到感染。 为了说服买家购买其开发的加载程序,网络犯罪分子有时会提供视频演示,并向潜在客户发送演示版本。在加载程序功能中,他们的开发者可能会强调用户友好的UI设计、简单易用的控制面板、目标国家过滤器以及对最新Android版本的支持等等。网络犯罪分子还可能在木马程序中添加检测调试器或沙箱环境的功能。如果检测到可疑环境,加载程序可能会停止操作,或通知开发者“它可能已被安全调查人员发现”。 【Google Play加载程序是暗网上最受欢迎的Google Play威胁产品】 加载程序的开发者通常会指定加载程序所用的合法应用程序的类型。恶意软件和流氓软件经常被注入加密货币跟踪器、金融应用程序、二维码扫描仪甚至约会应用程序。网络犯罪分子还会强调目标应用程序合法版本的下载量,这意味着有很多潜在受害者会通过使用恶意或流氓代码更新应用程序而受到感染。最常见的情况是,卖家承诺在下载量达到或超过5000次的应用程序中注入代码。 【网络犯罪分子出售将代码注入加密货币跟踪器的Google Play加载程序】 绑定服务 暗网上另一个常见的服务是绑定服务。从本质上讲,这些程序与Google Play加载程序所做的事情完全相同——在合法应用程序中隐藏恶意或流氓APK文件。然而,与加载程序不同的是,绑定服务会将恶意代码插入到不一定适合官方Android市场的应用程序中。通常情况下,使用绑定服务创建的恶意和流氓应用程序通过钓鱼短信、带有破解游戏和软件的可疑网站等方式传播。 由于绑定服务的成功安装率低于加载程序,因此两者在价格上有很大差异:加载程序的成本约为5000美元,而绑定服务的成本通常为每个文件50 - 100美元。 【卖家对绑定服务的描述】 卖家广告中列出的绑定服务的优势和功能通常与加载程序相似。不过,Binder(一种进程间通信机制)通常缺乏与Google Play相关的功能。 恶意软件混淆服务 恶意软件混淆的目的是通过使恶意代码复杂化来绕过安全系统。在这种情况下,买方要么为处理单个应用程序付费,要么为订阅付费,例如,每月付费一次。服务提供商甚至可能为购买套餐提供折扣。例如,其中一个供应商提供50个文件的混淆服务,售价为440美元。而同一提供商仅处理一个文件的成本约为30美元。 【Google Play威胁混淆服务售价为50美元一个文件】 安装 为了增加恶意应用程序的下载量,许多攻击者通过谷歌广告来增加销路。与其他暗网服务不同,这项服务是完全合法的,并被用于吸引尽可能多的应用程序下载——无论它是仍然合法的应用程序还是已被感染的应用程序。安装成本取决于目标国家。平均价格为0.5美元,具体报价从0.1美元到1美元不等。其中,针对美国和澳大利亚用户的广告成本最高,为0.8美元。 【卖方指定了每个国家的安装价格】 其他服务 暗网卖家还提供为买家发布恶意或流氓应用程序的服务。在这种情况下,买家不会直接与Google Play互动,但可以远程接收应用程序活动的成果,例如,被其窃取的所有受害者数据。 平均价格和常见销售规则 卡巴斯基研究人员分析了暗网广告中提供Google Play相关服务的价格,发现卖家可以接受不同的支付方式。这些服务可以按最终利润分成提供,也可以以一次性价格出租或出售。一些卖家还会举办商品拍卖:由于出售的商品数量有限,买家可能愿意为它们竞价。例如,在研究人员发现的一次拍卖中,Google Play加载程序的起拍价是1500美元,以200美元起增,最终以7000美元成交。 【卖家拍卖一个Google Play加载程序】 当然,7000美元的竞价并非最高记录。研究人员在暗网论坛上观察到的加载程序价格大多在2000美元到20000美元之间,具体取决于恶意软件的复杂性、新颖性和流行性,以及附加功能。加载程序的平均价格是6975美元。 【Google Play加载程序的平均报价示例】 然而,如果网络犯罪分子想要购买加载程序源代码,价格会立即飙升,达到价格范围的上限。 【开发者以20000美元的价格提供Google Play加载程序源代码】 与加载程序不同,Google Play开发者帐户(无论是被黑客入侵的还是由攻击者新创建的)都更为实惠,通常只需60-200美元,具体价格取决于帐户功能,如已发布的应用程序数量、下载数量等。 【用户想购买一个可以访问开发者电子邮件的Google Play帐户】 除此之外,研究人员还在暗网上发现了许多想要以特定价格购买特定产品或服务的信息。 【网络罪犯正在寻找新的Google Play加载程序】 交易过程 暗网上的卖家提供了全套不同的工具和服务。为了保持隐身,很大一部分攻击者会严格通过暗网论坛或社交网络和通讯工具(如Telegram)上的私信进行谈判。 服务提供商似乎可以轻易地欺骗买家,并从他们的应用程序中获利。通常情况也确实如此。然而,在暗网卖家中,维护自己的声誉、承诺担保或在协议条款履行后接受付款也很常见。为了降低交易风险,卖家经常求助于中介机构(如托管服务或中间商)。托管可能是一种特殊服务,由影子平台或对交易结果不感兴趣的第三方支持。然而,请注意,在暗网上,没有什么能100%消除被骗的风险。 结语和建议 从暗网上此类威胁的供求量来推断,未来威胁的数量只会增长,而且会变得更加复杂和先进。 防御建议: 不要启用未知应用程序的安装。如果某个应用程序催促你这样做,它很可能被感染了。如果可能,请卸载该应用程序,并使用防病毒软件扫描设备。 检查使用的应用程序权限,并在授予不需要的权限之前仔细考虑,特别是在涉及高风险权限时。例如,手电筒应用唯一需要的权限就是使用手电筒。 使用可靠的安全解决方案,有助于在恶意应用程序和广告软件在设备上出现不当行为之前发现它们。 只要更新可用,务必及时更新操作系统和重要的应用程序。要确保应用程序更新是良性的,请在安全解决方案中启用自动系统扫描,或在安装更新后立即扫描设备。 对于组织来说,有必要使用强密码和双因素身份验证来保护其开发人员帐户,并监控暗网以尽早检测和缓解凭据泄漏风险。 ...
-
暗网中疯传百万网红雅典娜疑被骗至东南亚,失踪近4个月
近年来,网上不断传有中国人被骗被至东南亚缅北、柬埔寨、菲律宾从事电信网络诈骗,尤其有公民被绑架至缅东妙瓦底的KK园区,令人人心惶惶,不敢去泰国、柬埔寨等地旅游。近日,再次传出有中国百万网红“雅典娜liya”疑遭其闺密出卖,被卖到菲律宾,疑似被强奸,并已失踪近4个月,至今仍生死未卜,引起大批网民在暗网搜索该事件。 东南亚成为人人恐慌的地方? 其实东南亚很多地方都是安全的,不安全的只是缅甸的部分地区。 许多中国公民被骗到缅甸,被迫从事电信网络诈骗。据不少被骗到缅甸等国从事电信诈骗的人员供述,平常工作的地方都有当地民兵或雇佣兵持枪把守,想逃跑是不可能的。如果试图逃跑,很可能会被毒打、扔进水牢,“逃跑被捉到的人会被民兵持枪殴打,在那里被打死都可以的”。 被骗到东南亚的中国女人还可能成为境外淫秽色情犯罪组织的“牟利工具”,被逼接客卖淫或成为淫秽色情直播网络平台的色情主播。 传百万网红雅典娜被卖菲律宾? 中国一名网红“雅典娜liya”在2021年曾获世界小姐澳门区季军,却惊传在菲律宾失踪!综合消息指出,雅典娜原本4月要陪闺密李怡霏到菲律宾游玩,李怡霏也是一名网红。但在出发当天,闺密李怡霏对雅典娜表示家中临时有事无法出国,雅典娜便独自搭上飞机前往菲律宾。但是,雅典娜一到达菲律宾后,即音讯全无,至今已经4个多月仍然失联,手机一直都是关机状况,更传出家属已付了约80万元赎金,但还是找不到雅典娜,甚至有“知情人:活着的希望不大”。 此新闻传出后,随即引发不少网民议论,认为雅典娜的失踪是李怡霏故意安排的,是李怡霏将雅典娜骗到菲律宾的。对此,李怡霏表示她心情不好而约了雅典娜去菲律宾散心。李怡霏强调雅典娜落地后,打电话给她报过平安,还提及自己前往赌场游玩,她自己也没想到后来就再也联系不上雅典娜。 继续疯传:李怡霏的澄清并没有令网民信服,有人起底了李怡霏与其母亲曾做过陪酒老鸨的事情,让人联想到雅典娜会不会是被李怡霏卖去菲律宾。更有知情人士爆料,通过微信得知李怡霏称自己人在香港,但两日后联系李怡霏的爸爸时,对方却表示女儿人在伦敦,父女说词不一,也让人难以相信。 暗网上都在寻找雅典娜的色情视频 暗网一些骗子表示“雅典娜liya”已被骗至缅东妙瓦底的KK园区,并且被拍了性虐待的视频;还有骗子说抖音百万粉丝博主雅典娜Liya被闺蜜骗去菲律宾卖进妓院被强奸,真相令人心痛;也有骗子称百万粉丝网红“雅典娜Liya”被闺蜜骗至菲律宾,两张虐打裸照在网络上疯传。 但以上说法均为经中国官方证实,而且极大可能存在杜撰的可能性,骗子只是为了制造故事在暗网上出售假的视频。 据传“雅典娜liya”出事后,许多好奇的网友在暗网上寻找雅典娜的被强奸视频,但“Kirin博客”认为这些都是假视频,也许是AI换脸,也许就是其他视频拼凑。因为“雅典娜liya”事件大概率是杜撰出来的。 “Kirin博客”分析 “Kirin”分析:“雅典娜liya”事件大概率是杜撰出来的。 原因一:没有一家公安局的官方发布了相关信息,如果家属报案,一定有警方受理跟进的。 原因二:没有一家官方媒体发布新闻报道。 如果大网红失踪了,官方媒体肯定会跟进报道的,但是现在全部是自媒体在散布耸人听闻的消息。 ...
-
高山流水恰恰是什么歌
它的歌名叫《来跳舞》。《来跳舞》是由玉镯儿作词,吉布李宏作曲,海来阿木演唱的歌曲。这首歌发行于2021年5月29日,收录于同名专辑《来跳舞》中。其中“高山流水恰恰,雪山雪莲恰恰,世上的人这么多,恰好是你恰恰”的歌词,表达了轻松、愉快、热闹的情感。SHE有一首歌是英文名 我不知道叫什么 歌词好像是 打开手机按下通话键歌词出自李昕融、李凯稠、樊桐舟的《宝贝宝贝》。《宝贝宝贝》作词:樊桐舟作曲:李凯稠唱:李昕融、李凯稠、樊桐舟歌词:两只老虎爱跳舞,小兔子乖乖拔萝卜我和小鸭子学走路,童年是最美的礼物小螺号呀嘀嘀地吹,我学海鸥展翅飞不怕风雨不怕累,快快把本领都学会。宝贝,星星为你指路哦?宝贝月亮为你祝福,哦!成长是快乐的旅途,勇敢迈开你的脚步宝贝,妈妈怀里安睡妈妈,宝贝爸爸是你椅背,爸爸你是我们的心肝宝贝,爸爸妈妈的爱永相随扩展资料:《宝贝宝贝》是2018年流行的儿童音乐,常作为儿童舞蹈曲目,该曲已上传酷狗音乐平台,并且获得了酷狗TOP500第380名,该曲已收录于专辑《经典儿歌》中。《宝贝宝贝》贝瓦儿歌演唱版本发行于2017年,收录于专辑《3岁儿歌》中,专辑收录了264首歌,该曲已上传酷狗音乐平台。Ring Ring Ring S.H.Es-selinah-hebee-ellashe-合唱e :终於了解等待滋味 是让人这麽抓狂崩溃难道你对我没感觉 给了你号码怎麽还不来电S:RING A RING A RING A RING A RING会不会是你 要响几声才会接心跳的声音 蹦蹦重低音怕铃声会停 赶快按下通话键H:拉长耳朵提高警决 神经细胞全面戒备你的电话决不漏接 RING A RING A RING爱的合弦铃 耶S:管他网外或是网内 月底在考虑通话费H:体温已燃烧到沸点 我不怕熬夜管他黑眼圈 耶 来电 AGAINe :接到你的电话我会大喊 YA听到你的声音我就 OK抱歉忘了矜持到底怎麽演可是兴奋很难收敛s :反覆看手机好几遍 就担心电池突然没电你到底有没有感觉 给了你号码怎麽还不来电h :RING A RING A RING A RING A RING会不会是你 要响几声才会接心跳的声音 蹦蹦重低音怕铃声会停 赶快按下通话键拉长耳朵提高警决 神经细胞全面戒备你的电话决不漏接 RING A RING A RING爱的合弦铃 耶 管他网外或是网内S:月底在考虑通话费H:体温已燃烧到沸点 我不怕熬夜管他黑眼圈 耶 来电 AGAINJIM:(SHE公司的工作人员)RING RING RING爱的和弦铃在进行心跳的声音开始震动我的神经反正你是否在等待我已经在这边期待RING RING RING希望听到你说嗨she:拉长耳朵提高警觉 神经细胞全面戒备你的电话决不漏接 RING A RING A RING 爱的和弦铃 耶H:管他网外或是网内,S:月底再考虑通话费SHE:体温已燃烧到沸点 我不怕熬夜 管他黑眼圈 耶拉长耳朵提高警觉 神经细胞全面戒备你的电话决不漏接 RING A RING A RING 爱的和弦铃 耶管他网外或是网内E:月底再考虑通话费H:体温已燃烧到沸点 我不怕熬夜管他黑眼圈 耶SHE 决不喊累...
-
响尾蛇组织近一年攻击组件汇总分析报告
1 APT组织相关背景介绍 1.1 响尾蛇组织相关背景介绍 响尾蛇组织, 又称Sidewinder、APT-C-17、T-APT-04,是一个来自于南亚地区的境外APT组织。该组织主要针对中国、巴基斯坦、尼泊尔、斯里兰卡等亚洲地区国家进行网络间谍活动,主要针对高校,新闻,金融,媒体,政府和电信公司进行攻击,以窃取敏感信息为主要目标。该组织的相关攻击活动最早可以追溯到2012年,至今还非常活跃,大多数行动是对巴基斯坦进行攻击,窃取机密信息。 1.2 响尾蛇组织攻击过程 该组织将攻击过程分解成多个阶段,有多次网络下载过程,且连接的C2会检查访问IP所属国家,只允许本次的攻击目标所属国家的IP进行访问,另一方面,为了躲避安全软件的查杀,关键的恶意程序只在内存中执行,最终的远控程序落地为加密数据的形式,需要加载器解密后才执行。 另外响尾蛇组织也会使用开源工具进行攻击活动,在C2的网络特征,域名构造方式有很大的关联性,整体攻击过程比较简单,最终用DLL侧加载的方式在内存中解密执行Cobalt Strike的beacon载荷,实现对用户机器的控制。 此外响尾蛇组织还对Android手机用户进行攻击,通过Google Play散发恶意apk安装包,窃取目标手机中的隐私信息和机密文件。 1.3 响尾蛇组织打点技巧 在响尾蛇组织的相关攻击活动中,该组织伪造发件人邮箱,通过伪造正常的“学院通知”、“政府通知文件”、“热点事件”、“新奇事情(如:暗网数据泄露)”等相关邮件,诱导目标点击其投递的恶意链接或恶意附件,或者伪造政府邮箱登录页面,盗取合法邮箱发送钓鱼邮件。 2 涉及组件详细分析 2.1 DocxDownloader钓鱼组件 响尾蛇组织最常用的鱼叉式钓鱼组件,以抓眼的标题和相关单位的官方文件,在用户打开文档后,机器在不知不觉中被入侵。捕获的部分钓鱼文件如下表: 组件md5 名称 URL 首次上传到VT时间 056d1dc3032d04d7638c02056d5146c9 Circular 31082022.docx https://mo***gov.com/5724/1/3268/2/0/0/0/m/files-11e30891/file.rtf 2022-09-15 10:35:46 UTC b7e63b7247be18cdfb36c1f3200c1dba Product.docx https://cst***.dowmload.net/14668/1/1228/2/0/0/0/m/files-403a1120/file.rtf 2023-03-10 05:14:05 UTC 5efddbdcf40ba01f1571140bad72dccb Leakage of Sensitive Data on Dark Web.docx https://mt***south.org/5974/1/8682/2/0/0/0/m/files-b2dff0ca/file.rtf 2023-03-10 05:21:10 UTC 该组件中会包含一个RTF远程模板的链接,在文档打开时,会自动下载并执行该RTF模板。 打开时会闪过正在下载界面。 2.2 RtfDropper释放器组件 在响尾蛇的历史攻击事件中,rtfdropper组件的使用率非常高,通常文件名为file.rtf,做为docx钓鱼文档的第二阶段载荷,该组件利用office的公式编辑器漏洞CVE-2017-11882,执行释放的javascript脚本文件。 描述 详细信息 名称 file.rtf 文件大小 73294 bytes 文件类型 Rtf 文件功能 Downloader 编译时间 / 开发平台及语言 office Pdb / 是否加壳 否 VT首次上传时间 2022-05-26 18:02:22 UTC md5 54b1157ce8045f2e83340dc5d756f412 sha256 8b4259cb1619bcbf3f6760f0982d0a1d3c67aa26738a3d6f6788bf6c2a5410e5 通过rtfdump分析,可以发现该组件中嵌入了一个1.a文件(javascript脚本文件,文件名是响尾蛇组织固定使用的)和一个Equation.3结构(用于触发公式编辑器漏洞)。 该组件被执行后,公式编辑器在解析Equation.3时,在漏洞函数sub_41160F中数据复制时发生栈溢出,从而导致该函数的返回地址被改写,去执行响尾蛇组织的shellcode。 在shellcode中使用GetCommandLine,然后修改其返回指针指向的内容 解密出一段js脚本并覆盖GetCommandLine返回指针指向的内容。 最后加载mshtml和获取RunHTMLApplication的地址,调用RunHTMLApplication。 RunHTMLApplication给予4个0作为参数,触发RunHTMLApplication去调用GetCommandLine。 因为第一次调用GetCommandLine会从peb中复制一个命令行参数字符串存储在另一个空间中,在这之后GetCommandLine管理这个空间,由于第一次调用是修改了内容,覆盖为js脚本,所以在RunHTMLApplication中的GetCommandLine会得到这个脚本,又因为RunHTMLApplication的流程会去解析这个字符串,被“javascript:”引导去执行js脚本,最后调用CHTMLApp::Run执行js。而这一小段js脚本的作用就是执行1.a脚本文件。 2.3 LnkDownloader钓鱼组件 LnkDownloader是响尾蛇组织最常用的鱼叉式钓鱼攻击的组件之一,经过改进,从利用lnk文件属性中的显示bug隐藏实际的mshta调用,最后变为复制系统的mshta重命名为随机字符再去执行下载。 描述 详细信息 名称 BGI-14.pdf.lnk 文件大小 2217 bytes 文件类型 LNK 文件功能 Downloader 编译时间 / 开发平台及语言 / Pdb / 是否加壳 否 VT首次上传时间 2021-01-02 03:07:30 UTC md5 fa10f48243ea40298e0fa07787e4156c sha256 29022eab3963a624ae886a6f17f94834cb3e55377e0d32a4ad365af83bf74d74 当sLinkFilags中的HasExpString为1时,执行LNK文件会去检查EnviromentVariableDataBlock下的TargetUnicode的文件是否存在,不存在就去检查LinkTargetIDList指向的文件是否存在,存在就执行。LinkTargetIDList的最后一个sIDList中的PrimaryName被设置为hsmta.exe是为了维持HasExpString值不变,因为在检查出EnviromentVariableDataBlock中的TargetUnicode指向的文件不存在时被设置为0。 最后的效果是显示为hsmta.exe来误导用户。 描述 详细信息 名称 ***关于11月22日起工作安排调整的通知.docx.lnk 文件大小 1055 bytes 文件类型 LNK 文件功能 Downloader 编译时间 / 开发平台及语言 / Pdb / 是否加壳 否 VT首次上传时间 2022-11-24 16:42:12 UTC md5 5356a1193252b4fb2265fc8ac10327a1 sha256 f946663a780806693ea3fb034215bd6da25971eb07d28fe9c209594c90ec3225 改进后的lnk文件不再利用显示bug,是将mshta.exe复制并重命名为随机字符.exe,然后就下载执行远程HTA脚本文件。 2.4 DonetLoader加载器组件 响尾蛇组织经典的.net程序加载器,是魔改的开源项目CACTUSTORCH,用于在内存中加载后续的.net DLL程序,该组件分别作为rtf释放的1.a javascript脚本和lnk文件下载的hta文件。 组件md5 名称 文件大小 VT首次提交时间 a9dbf0cbc46dfe0202b534c63bd52a4a 1.a 900000 bytes 2019-08-13 13:49:59 UTC da8d3934fa1ddaf713ec32071eeb2987 file.hta 330170 bytes db9562258c4a8518e0c6c43cdc0f0151 1.a 4953600 bytes 2022-01-14 07:30:57 UTC 该组织大致经过1年就会对组件进行升级改造,主要是字符串解密模块的修改。从标准base64编码->异或+自定义base64编码->字符反转+多个key异或。 2019:标准base64编码(相关文件md5:a9dbf0cbc46dfe0202b534c63bd52a4a)。 2020:异或+自定义base64编码(相关文件md5:da8d3934fa1ddaf713ec32071eeb2987)。 2021:字符反转+多个key异或(相关文件md5:db9562258c4a8518e0c6c43cdc0f0151)。 后续的加载过程都保留开源项目CACTUSTORCH的加载过程,解密后在内存加载,获取DLL的类对象“App.Program”,提供4个参数,并调用work方法。 2.5 AppDownloader下载器组件分析 在2022年之后,响尾蛇整合了早期的两个组件,开发了AppDownloader组件,通过Donetloader加载调用work方法,根据提供的参数,完成诱饵文件释放和后续载荷下载,并在内存中执行载荷,其真实文件名为App.dll,所以命名为AppDownloader。 名称 组件加载器 加载器md5 首次上传到VT时间 App.dll 1.a b1e0108df9a12d43fdf78e99d3528707 2022-01-14 07:30:57 UTC 描述 详细信息 名称 App.dll 文件大小 2200 bytes 文件类型 DLL 文件功能 Downloader 编译时间 \ 开发平台及语言 .NET Pdb \ 是否加壳 否 VT首次上传时间 2022-01-14 07:30:57 UTC md5 384CF4940E9B819CE8492FCD16EBEA6D Sha256 B8CAB453F7190514DC9F10FF6E549A715E69A2A53ECACBDC0CF0975B56C4E828 该组件是由donetloader加载并调用work方法和传递参数,当第四个参数不为空,则将该参数作为文件名,第三个参数为文件内容,在%temp%目录下释放诱饵文件,并使用mshta.exe打开该诱饵文件。 下载的数据前32位作为异或密钥解密后续的数据,然后再内存中加载。 2.6 ModuleInstaller下载器组件分析 该组件在不断改进中已经演变为一款比较成熟的恶意软件,会对前面阶段产生的痕迹进行清理,还会对不同的杀毒软件执行不同的操作,也采用了免杀效果不错的进程启动方式,使用其文件名ModuleInstaller做为组件名称。 描述 详细信息 名称 ModuleInstaller.dll 文件大小 46080 bytes 文件类型 exe 文件功能 loader 编译时间 2055-09-29 14:31:33 开发平台及语言 .NET pdb \ 是否加壳 否 VT首次上传时间 \ md5 05C1D2FD7F8E5970406B75C01DC6E949 Sha256 8B21AD911DCC66BBA525C95F1B9F9489E96BD2AADD2B7B0CFD2D53531B51231B 该组件的构造函数接收杀毒软件信息,并检测卡巴斯基、avast、avg、360杀毒这4款杀毒软件的存在。 然后根据配置信息“0100S-ABCD”中的第二或者第三个值是否为“1”,清除前面阶段的文件。 首先是清除%temp%\1.a文件,将文件内容改写为“//FFFF”,该1.a文件为前文所提到的donetloader加载器组件。 通过遍历1-4096已打开的文件句柄,获取文件绝对路径,检测路径中是否有"Microsoft\\Windows\\INetCache\\Content.Word"字符串,该路径下的文件为网络下载过程中的缓存文件,响尾蛇组织利用这个处理方式来消除其网络下载过程中产生的缓存文件。 获取系统信息:用户名、机器名,系统位数等系统基础信息。 将获取到的数据使用标准base64解码后,拼接到url的data参数中,随后使用拼接成的url下载配置数据。 将下载后的数据,使用前32位字节作为异或密钥解密后续数据,以相同的操作解密两次后得到配置数据。配置数据中包含后续载荷文件路径、下阶段载荷url,白+黑侧加载组合(control.exe和propsys.dll)。 根据url下载数据并异或解密后,将数据写入配置文件指定的文件中,将系统中的control.exe复制到相同目录下,最终该目录下存在文件:control.exe、control.exe.config、propsys.dll、[随机字符串].[随机字符串]文件,随着后续远控程序的加载可能会多出一些文件。 遇到卡巴斯基在配置字符的控制下,会使用wmi启动mshta执行js脚本去启动control.exe,以及直接向注册表run目录注册开机启动项,启动control.exe。 检测到360杀毒,直接使用process类启动隐藏窗口的control.exe。并创建快捷方式,放置在开机启动目录下。 检测到avast和avg时,注册两个计划任务,分别是延后2分钟执行control.exe和延后2分钟执行向注册表run目录添加开机启动项。 当没有检测目标杀毒软件时,就使用wmi执行schtask.exe添加计划任务,和直接向注册表RUN目录写入开机启动项。 2.7 DLLloader加载器组件分析 该组件作为白+黑 DLL侧加载利用中的恶意DLL,用来在内存中加载响尾蛇组织的关键载荷SystemAppRAT组件,功能单一,会跟据使用的白+黑利用方式变更文件名。 描述 详细信息 名称 Duser.dll,propsys.dll 文件大小 9728 bytes 文件类型 DLL 文件功能 Loader 编译时间 2021-02-09 18:16:50 开发平台及语言 .NET pdb \ 是否加壳 否 VT首次上传时间 \ md5 E4E2C1259EEA903A2953A1601E49797A Sha256 9B2C9C4FCD0BD591A58BDA2CFB8AF1C2E619FBE402CD2D9ACD0643EBB6E84D09 当DLL被加载后,会先进行Amsi绕过,Amsi可以检测.NET程序中调用的方法名,命名空间等信息来检测恶意的.NET程序,通过修改AmsiScanBuffer的前几个字节使得函数直接返回无可疑操作,达成绕过的效果。 随后读取同目录下使用随机字符命名的文件,使用其前32个字节作为异或密钥解密后续数据,解密后的数据为SystemAppRAT组件,用来进行远程控制,最后在内存中加载该组件。 2.8 SystemAppRAT远控分析 响尾蛇组织最常用的远控组件,以加密数据的形式落地为文件,被DLLloader组件加载后在内存中执行,通过自身的网络传输和机密文件收集功能,来控制被入侵的机器,窃取重要信息。 详细信息 名称 SystemApp.dll 文件大小 637952 bytes 文件类型 DLL 文件功能 RAT 编译时间 2064-02-17 19:06:49 开发平台及语言 .NET pdb \ 是否加壳 否 VT首次上传时间 \ md5 D308484A9EFA669979BD1004F8E5D748 Sha256 5CAD4B71A6A99B34FB2F4D60FA8BB5DB6A6F6DABE5468D9B3341CBC04492AAAB 首先从资源中加载配置信息。 解密后的配置信息如下,加密的方式是二进制文件的前32个字符作为key,循环与后续文件内容进行异或得到结果。配置文件中指定C2通信地址,和窃取的目标文件后缀.doc .docx .xls .xlsx .pdf .ppt .pptx。 解析完配置后,注册定时函数TreeRestoreAccessorInstance,每5秒与C2通信一次,并对C2返回的数据做出响应。 执行的命令如下: 命令 内容 1 收集系统信息,信息保存在.sif文件 2 收集文件信息 3 .docx .doc .xls .xlsx .pdf .ppt .pptx .rar .zip路径保存,信息保存在.fls文件 4 将收集到指定文件的路径保存在配置文件中 5 更新c2地址 6 更新是否上传指定文件参数 7 重置指定文件类型 8 设置文件大小限制 9 上传指定文件 10 保存配置 2.9 HtaDownloader组件 在2023年捕获到响尾蛇组织新的下载器组件,负责下载诱饵文档和恶意DLL,将恶意DLL放置到OneDrive目录下,实现侧加载。 描述 详细信息 名称 something.hta 文件大小 680 bytes 文件类型 HTA 文件功能 Downloader 编译时间 / 开发平台及语言 / 是否加壳 否 VT首次上传时间 / md5 2BCE7A8E34E4751C8E421BAA4C4A0ADA Sha256 F0CB23D26AF39BBFAE450F37BC7642B59D30EE346020485FECC5CD8C33D2190A 下载version.dll放置在本地Onedrive目录(%LOCALAPPDATA%\Microsoft\OneDrive\ ),当本地64位的Onedrive.exe和OneDriveStandaloneUpdater.exe执行时会被劫持以加载恶意version.dll,定时执行OneDriveStandaloneUpdater.exe更新Onedrive的计划任务也会变成响尾蛇组织的常驻项。 另外从巴基斯坦的内阁部门官方网站(cabinet.gov.pk)下载“Advisory No. 16”网络安全咨询16号文件,对应钓鱼文件中提及的内容。 2.10 CSloader组件 该组件为HtaDownloader组件下载的恶意DLL,被同目录下的OneDrive加载。 描述 详细信息 名称 version.dll 文件大小 275456 bytes 文件类型 DLL 文件功能 RAT 编译时间 / 开发平台及语言 / 是否加壳 否 VT首次上传时间 / md5 F2974B8D6B0B2774F49642D53BDEE8A4 Sha256 37E3465D6FCCFAE6E1C29526AA015A766F8FC26CC61ED821F3E0B44D794C99EC 其导出函数GetFileInfoSize和GetFileVersionInfoSizeW指向同一个偏移量,是Onedrive.exe导入DLL后会调用的函数。 GetFileInfoSize和GetFileVersionInfoSizeW函数中会调用函数FUN_180001120解密执行后续的载荷。 函数中先读取系统目录下的ntdll中的.text段替换掉当前进程加载的ntdll中的.text,解除函数挂钩,如果有安全软件通过在ntdll中设置钩子实现对进程行为的监控,那么该恶意文件的操作会让这种类型的监控方式失效。 通过计算硬编码16字节的数据的SHA256值,作为AES-256解密的密钥,解密出shellcode,最后执行。 执行的shellcode会反射加载一个Cobalt Strike的beacon,连接攻击者C2:35.175.135.236,实现远程控制。 2.11 ApkDownloader下载器组件分析 响尾蛇组织针对Android手机开发的恶意程序,最早在2020年由趋势科技披露相关技术细节,主要在Google Play上进行传播,该组件主要功能是下载下阶段载荷,最终在入侵手机中窃取WeChat、Outlook、Twitter、Yahoo Mail、Facebook、Gmail和Chrome等数据。目前以披露的部分恶意安装包如下: 组件md5 名称 文件大小 VT首次提交时间 07b41f9c81915c3adad6b3690ab7a99e 226617.apk 10763432 bytes 2023-03-23 09:34:02 UTC 17ccf24c4e09b1bc7ce5c0eb637a4edd Secure VPN_3.9_apkcombo.com.apk 14744189 bytes 2022-06-02 08:06:59 UTC 3DF009405C2226FA5047DE4CAFF3B927 com.securedata.vpn_v3.2.apk 6072227 bytes 2022-06-02 02:28:33 UTC 描述 详细信息 名称 226617.apk 文件大小 10763432 bytes 文件类型 Apk 文件功能 Downloader 编译时间 开发平台及语言 Android pdb \ 是否加壳 否 VT首次上传时间 2023-03-23 09:34:02 UTC md5 07b41f9c81915c3adad6b3690ab7a99e Sha256 7d237d0c62fb14391d40d8875534135a7a73b8ef47956405f4e600918d583f14 该组件先进行字符串解密,将头部的“zzzza”去除后传入函数。 将字符串使用base64解码后,先读取4字节数据,代表AES密钥长度,随后读取32字节的密钥,最后是AES加密的数据,并且该AES密钥也是网络通信数据的AES解密密钥。 根据分析结果得到AES密钥(7e 51 73 44 54 49 ac a1 fe 99 25 f3 25 29 58 e3 5a 45 7c cd 89 d4 87 78 34 3f b2 df c2 60 2c 21),使用AES-256 ECB模式解密数据后得到下阶段载荷的URL。 随后发送网络请求下载下阶段载荷。 该载荷会落地为文件保存为/data/data/<package_name>/files/fex/permFex/8496eac3cc33769687848de8fa6384c3。 最后通过DexClassLoader类加载该DEX文件,执行恶意代码,根据趋势科技报告中提到的信息,后续载荷是对手机信息的窃取。 最后注册计划任务,每10分钟去触发上文的下载执行下阶段载荷的过程。 注册开机广播,检测到开机事件会启动服务,也就是上文提到的下载下阶段DEX载荷和执行载荷。 该组件有多种获取C2的方式。 方法一:如上文的样本(07b41f9c81915c3adad6b3690ab7a99e)将C2硬编码在程序中。 方法二:在样本(17CCF24C4E09B1BC7CE5C0EB637A4EDD)中使用托管在Google Cloud上的Firebase服务提供C2。 方法三:在样本(3DF009405C2226FA5047DE4CAFF3B927)中使用Google Play的Install Referrer 服务获取数据,解密后得到C2。 3 基础设施分析 该组织会运营大量域名来针对东南亚各个地区进行攻击,并且带有访问控制,钓鱼C2上会检测请求IP所属国家,限制非目标国家IP的访问。 3.1 域名构造特征分析 从收集和整理的响尾蛇历史攻击中使用的域名,可以发现该组织比较偏向于使用攻击目标相关的机构官方域名的关键字符串来构造域名。如“*[mod/mofa]-gov*”,“*navy-gov*”,“mail[navy/mod/mofa]*”以伪装成军队和政府单位相关的域名,还有用字符错位、藏字符等方式构造域名,如“*donwloaded.com”,“*downlod.net”,“*downlod.com”。 3.2 URL特征分析 根据狩猎到的所有响尾蛇样本进行分析发现响尾蛇组织的第二阶段载荷下载URL具有明显的特点:固定的分段字符,特定的字符串“/2/0/0/”和”files-[8个随机字符]“,例如: https://[域名]/3679/1/55554/2/0/0/0/m/files-94c98cfb/hta https://[域名]/5974/1/8682/2/0/0/0/m/files-b2dff0ca/file.rtf https://[域名]/669/1/1970/2/0/0/1764305594/2X1R9Tw7c5eSvLpCCwnl0X7C0zhfHLA6RJzJ0ADS/files-82dfc144/appxed 3.3 C2网络特征分析 目前响尾蛇组织的C2有比较明显的特征是jarm="3fd3fd0003fd3fd21c3fd3fd3fd3fd703dc1bf20eb9604decefea997eabff7"和jarm="40d40d40d00040d1dc40d40d40d40de9ab649921aa9add8c37a8978aa3ea88"。且直接访问响尾蛇组织的C2地址,会直接返回404 Not Found,而且该组织多用“nginx”服务器,返回长度多数为“555”和“153”。 4 总结 响尾蛇组织常使用鱼叉攻击对目标进行打点攻击,攻击频率较高,具有一定的危险性。主要针对政府机构和军事单位等行业进行攻击,窃取该类单位的高新技术研究资料或规划信息等,相关行业及单位需要警惕并加强网络防御。另外该组织也常用DLL侧加载和无文件攻击,将关键代码隐藏在正常进程中秘密执行,安全公司应加强相关技术的检测。 5 ATT&CK模型 战术(Tactic) 技术(Technique) 过程(Procedure) TA0043-目标侦查(Reconnaissance) / / 资源开发(Resource Development) T1587.001(构建自定义恶意软件) 响尾蛇组织自定义开发了下载器、文件窃密组件等 T1588.001(获取恶意软件) 响尾蛇组织使用开源DONET加载器进行攻击。 初始访问(Init Access) T1566.001(鱼叉攻击,恶意附件) 响尾蛇组织向目标投递携带恶意附件的邮件。 代码执行(Execute) T1204.002(用户执行恶意鱼叉附件) 用户直接执行响尾蛇组织投递的恶意文件 T1203(针对客户端执行的攻击) 响尾蛇组织利用CVE-2017-11882 持久化(Persistence) T1547.001(Run注册项/启动文件目录自启动) 响尾蛇组织使用的恶意文件使用注册表自启动项实现持久化 T1053.005(计划任务) 响尾蛇组织使用的恶意文件创建计划任务实现持久化 权限提升(Privilege Escalation) / / 防御规避(Dfense Evasion) T1027.009(混淆文件或信息:嵌入式有效负载) 响尾蛇组织使用多种加载器加载恶意载荷 T1574.002(劫持执行流程:DLL侧加载) 响尾蛇组织使用DLL侧加载,在正常软件中加载远控程序。 T1218.005(系统二进制代理执行:mshta) 响尾蛇组织使用系统白文件执行远程hta脚本文件。 T1036.007(扩展名伪装) 响尾蛇组织使用pdf结合lnk的后缀名将恶意文件伪装成pdf文档文件 凭证访问(Credential Access) / / 发现(Discovery) T1518.001(安全软件发现) 响尾蛇组织使用Windows服务 winmgmts:\.\root\SecurityCenter2 检查已安装的防病毒产品。 横向移动(Lateral Movement) / / 信息收集(Collection) T1074.002(数据阶段:本地数据暂存) 响尾蛇组织将收集到信息保存在.sif、.flc、.fls等文件中。 T1005(本地系统数据) 响尾蛇组织使用组件SystemAppRAT等窃取office文档及txt文件等 命令与控制(Command and Control) T1071.001(使用现有web协议进行命令传输) 响尾蛇组织常使用HTTPS进行通信 T1132.001(数据编码/标准编码) 响尾蛇组织常使用base64对通信数据进行编码 数据渗出(Exfiltration) T1041(通过C2通道) 响尾蛇组织使用C2通道渗出数据 影响(Impact) / / 6 参考链接 https://www.group-ib.com/blog/hunting-sidewinder/ https://www.group-ib.com/blog/sidewinder-antibot/ https://mp.weixin.qq.com/s/LaWE4R24D7og-d7sWvsGyg https://www.trendmicro.com/en_us/research/20/a/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group.html https://mp.weixin.qq.com/s/WzmRtSt20musYWOgAEUT1Q https://mp.weixin.qq.com/s/MZadlpXbpCfQAv41rtVm3A https://mp.weixin.qq.com/s/YOyfe4a0PcKET5YiLObW7g ...
-
支付宝推出全新国际版支付宝
看标题是不是觉得绕口,那也没辙。有件事说下:在2023年支付宝合作伙伴大会上,支付宝宣布推出了全新国际版支付宝了! 这场大会卢松松有幸参加,也见证了国际版支付宝的发布。这个全新国际版支付宝主要解决了日常消费如打车、订酒店、吃饭结账、景点购票的问题。支持主流的国际卡如Visa、Mastercard、Diners Club、Discover、JCB等。而且费率还降低了很多。 从目前解决的问题来看,国际支付宝好像还没走出国外,只是解决了老外在国内消费的问题,跟我们关系不大,不过这也是一个大进步了。 这次全新国际版支付宝升级我觉得主要是政策性产品,是面向老外的。这几年老外来中国旅游的人越来越少,而且逐年下降。我觉得最大的一个原因是:支付不方便,做公交、打电话、埋单、订的酒店啥的欧非常不方便。甚至老外连做个公交车都费劲。因为因为老外在国内消费非常不方便,所以这里并不是老外旅游的首选目的地。 另外,就算是支付方便了,有一些问题也要解决比如信用。 另一件事我觉得也能解决:那就是做跨境的人银行卡经常被冻结的问题。国际版支付宝可以在一定程度上解决银行卡经常被冻结的问题,我们很多正经做跨境电商的人的银行卡经常被封,原因就是因为一些不能说的原因老被封。短则1个月,长则1年,严重的还会面临行政罚款或刑事处罚,严重影响了海外电商人的生意和信心。 部分老外用国际版支付宝了、国内的卖家也开始让用其收款了。那未来和PayPa就差不多了。 如果支付宝在多多公关一下,让一些一些主流的电商网站,如shopee、Amazon、Lazada、eBay等都支持国际版支付宝收款的话,那么支付宝在海外也将迎来春天。只是这几年受一些因素影响太大了,一直走不出去。 ...
-
警方破获非法注册贩卖微信号300余万个新型高科技犯罪团伙;广西一公司泄露22万个人信息,当地公安依据网络安全法罚款20万元
警方破获非法注册贩卖微信号300余万个新型高科技犯罪团伙; 2023年8月13日,据报道,山东淄博一犯罪团伙利用境外通讯软件Telegram联络,非法注册微信号300余万个,非法获利达到1000余万元,该网点已被当地公安查获并彻底打掉。警方介绍,犯罪窝点的客厅内摆放了四个铁架子,上面布满手机,且每台手机均自动输入手机号、密码完成微信账号注册流程。 而这些自动生成的微信号,则通过Telegram与境外团伙完成微信账号买卖交易。经侦查人员清点发现,该犯罪窝点拥有用来注册微信号的手机达3000余台,前后总共注册微信号300余万个,用于电信诈骗、网络赌博等犯罪活动。此前,中央政法委日前召开全体会议指出,当前境外电信网络诈骗集团手段多样、胁迫毒辣、金额庞大、组织严密、分工明确、诈骗手段日趋多样。同时,提出坚持系统治理、依法治理、源头治理,依法从重打击境外电信网络诈骗等违法犯罪活动,依法从重打击境内协同犯罪人员,坚决维护人民群众切身利益。 广西一公司泄露22万个人信息,当地公安依据网络安全法罚款20万元 近日,广西北海公安网安部门在查处一起涉个人信息保护违法案件时发现,北海某网站存在数据泄露问题,网站约22万个人信息数据被挂在境外论坛售卖。经查,涉案公司主要提供网上咨询服务,建设有一网站,在日常工作中收集了个人和企业等大量公民信息,但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作要求落实网络安全保护主体责任。公司网站服务器安全防护措施不足,仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御,网站存在被多个境外IP攻击入侵的情况。此外,公司未采取数据加密等有效的技术保护措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失,且在发现公司发生个人信息泄露的情况下,未及时告知用户和主动向公安机关报告。该公司还存在网站日志只存储30日,网络日志留存不足六个月及相关安全管理制度缺失等问题。 对此,广西北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定,对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。同时,北海网安部门应用网络与信息安全信息通报机制,将该案例通报各党政机关单位,监督指导其落实主体责任,提升网络安全保护能力和水平。下一步,公安机关将继续严格落实《网络安全法》《数据安全法》及《关键信息基础设施安全保护条例》等法律法规要求,全方位加强网络安全监督检查,持续高压严打违法行为,监督指导网络运营者依法履行安全保护责任和义务,做好源头防控,减少违法犯罪发生,坚决维护国家网络安全和数据安全。 ...
-
在互联网如何提高变现能力
互联网上,稍微有点粉的都在变现,比如跨境电商的,有点粉丝的,变现无非几种:卖课、卖圈子(小红圈,知识星球)、做代运营、自己直接带货、赚服务商的钱(各种软件,工具)。 其实我一直都觉得赚钱也没什么,这和你开亚马逊店铺,淘宝店铺,本质上没有任何区别。都是赚钱的一种形态。 因为任何赚钱的背后都是因为满足了需求,没有需求就不会延伸出产品。你不做,照样有人做。并且一旦你变现,总有不好的声音,哪怕你做知识星球99块一年,照样有人说你割韭菜。所以,不要太在意,你做的所有的事,就是对你自己认知的变现。 还有因为有付出,有回报,这才是真实的回馈。人不可能没有回馈的,没有回馈就是不正常的商业形态。 当然有些人也可能为爱发电,那他收获的也是美誉,这都是一种回馈。即便不变现的,其实也收获了影响力,影响力是可以做很多东西的。 比如掌握的信息更多了,再比如和供应商谈判就有优势,比如我做亚马逊,利用影响力,供应商直接都是给我支持100w的货,先卖再说。完全不用钱自己先掏着。所以,如果你有本事你就上,任何在一个领域取得成功的人,都是值得我们学习的。 那些你看起来很简单的事,其实每一点做起来都不容易。 比如:持续内容输出/获客/裂变/投流/交付/迭代/团队管理/内部效率管理 你去做了你就知道,真正做出效果的人,远比那些高谈阔论的人,厉害太多了。所以我不喜欢那些整天看这不爽,看那不爽的人,指点江山的人一点意义都没有。 所有人,我建议直接学习那些有结果人,去剖析他们为什么成功,成功在哪里,有什么是我们可以学习的。这种直接快速的拆解,反复训练,对你帮助最大。 @小北带你飞的微博 ...
-
EoL-Zyxel 路由器五年前的漏洞仍在被利用
Bleeping Computer 网站消息,Gafgyt 恶意软件正积极利用 Zyxel P660HN-T1A 路由器五年前曝出的漏洞,每天发动数千次网络攻击活动。据悉,漏洞被追踪为 CVE-2017-18368,是路由器设备远程系统日志转发功能中存在的严重性未验证命令注入漏洞(CVSS v3:9.8),Zyxel 已于 2017 年修补了该漏洞。 早在 2019 年,Zyxel 就强调当时的新变种 Gafgyt 可能会利用该漏洞发动网络攻击,敦促仍在使用旧固件版本的用户尽快升级到最新版本,以保护其设备免遭接管。然而自 2023 年 7 月初以来,Fortinet 仍能够监测到平均每天 7100 次的攻击活动,且攻击数量持续至今。 Fortinet 发布警报表示截止到 2023 年 8 月 7 日,FortiGuard 实验室持续监测到利用 CVE-2017-18368 漏洞的攻击活动,并在过去一个月中阻止了超过数千个独特 IPS 设备的攻击企图。 试图利用 Zyxel 路由器中的 CVE-2017-18368 漏洞(来源:Fortinet ) Fortinet 指出虽然目前还尚不清楚观察到的攻击活动中有哪一部分成功感染了设备,但自 7 月份以来,攻击活动一直保持稳定。值得一提的是,CISA 近期发布了 CVE-2017-18368 在野外被利用的情况,并将该漏洞添加到其已知利用漏洞目录中,要求联邦机构在 2023 年 8 月 28 日前修补 Zyxel 漏洞。 为应对漏洞利用的爆发,Zyxel 又更新了安全公告,提醒客户 CVE-2017-18363 只影响运行 7.3.15.0 v001/3.40(ULM.0)b31 或更旧固件版本的设备,运行 2017 年为修复漏洞而推出的最新固件版本 3.40(BYF.11) 的 P660HN-T1A 路由器不受影响。 此外,Zyxel 表示 P660HN-T1A 在几年前就已达到报废年限。因此,强烈建议用户将其更换为更新一代的产品,以获得最佳保护。 路由器感染恶意软件常见迹象包括连接不稳定、设备过热、配置突然改变、反应迟钝、非典型网络流量、开放新端口和意外重启,如果怀疑自己的设备受到网络恶意软件的攻击,用户可以执行出厂重置,将设备固件更新到最新版本,更改默认的管理员用户凭据,并禁用远程管理面板,只从内部网络管理设备。 文章来源: https://www.bleepingcomputer.com/news/security/gafgyt-malware-exploits-five-years-old-flaw-in-eol-zyxel-router/#google_vignette ...
-
出于网络安全考虑,印度启用本土操作系统”玛雅“取代Windows
据《印度教徒报》报道,印度将放弃微软系统,选择新的操作系统和端点检测与保护系统。 备受期待的 "玛雅操作系统 "将很快用于印度国防部的数字领域,而新的端点检测和保护系统 "Chakravyuh "也将一起面世。 不过,印度国防部尚未证实此事,也未发布官方消息。 玛雅操作系统与印度国防部 由于微软产品经常出现漏洞,一个拥有 14.86 亿人口的国家不能忽视这些漏洞带来的影响。 虽然大部分国防计算机是不联网的,但仍然有相当数量的计算机是相互连接的,因此很容易受到网络威胁。 众所周知,国家支持的高级持续威胁(ATP)组织以这些系统为目标,旨在提取敏感信息或建立未经授权的网络访问,以开展网络间谍活动。 据报道,为了应对这些不断变化的网络挑战,国防部正考虑在所有连接互联网的计算机上用本土的”玛雅“ 操作系统取代微软操作系统。 ”玛雅“ 操作系统是一个基于 Linux 的发行版,从流行的 Ubuntu 操作系统中汲取灵感。 预计这一过渡将是无缝的,因为与其他 GUI(图形用户界面)操作系统一样,”玛雅“ 操作系统将提供与 Windows 相似的用户界面和功能。 据报道,”玛雅“ 操作系统将在印度独立日(即 8 月 15 日)之前在南区实施。 印度旨在利用”玛雅“ 操作系统提高安全性 印度陆军、海军和空军已经对新操作系统进行了严格评估,海军已经批准。 同时,陆军和空军正在进行全面评估。据 Gizbot 报道,一旦这些评估结束,三个军种都准备将 ”玛雅“ 操作系统集成到其服务网络中。 在向玛雅操作系统过渡的同时,还引入了 "Chakravyuh",这是一种先进的端点恶意软件检测和保护系统。这种双管齐下的方法有望遏制针对国家数字安全的网络攻击的增加。 国防部之所以决定采用这些先进技术,是因为认识到网络威胁的不断升级。 尽管微软 Windows 操作系统广为人知,而且用户界面友好,但一些漏洞和漏洞利用,以及威胁行为者不断将 Windows 机器作为攻击目标的事实,迫使印度在玛雅操作系统和 Chakravyuh 端点安全的帮助下制定新的方针。 印度国防部正准备进行一次重大的技术变革,有可能告别微软 Windows,迎来 "玛雅 "操作系统时代。 在部署先进的 "Chakravyuh "保护系统的同时,此举标志着印度在捍卫国家数字主权方面迈出了大胆的一步。 参考链接:https://thecyberexpress.com/india-maya-operating-system-defense-ministry/ ...
-
对线面试官 &#8211; TCP_IP四层网络模型经典连环问
面试官:TCP、IP四层模型有了解吗?可以简单说说嘛。 不念:主要包括数据链路层、网络层、传输层、应用层。 面试官:可以简单聊聊什么是OSI七层网络模型吗? 不念:可以的,其实它和四层网络模型主要区别是多了表示层、会话层、物理层,依次顺序是应用层``表示层、会话层、传输层、网络层、数据链路层、物理层 面试官:可以简单聊一聊各个层不同的含义,存在的意义吗? 不念:当然:首先来说:从底向上的4层模型: 物理层:所谓的物理层就是指将各个电脑直接通过某种介质(WiFi、网线)连接起来形成一个网络,这就是物理层的含义。物理层负责传输0和1的电路信号。 数据链路层:架构在物理层之上,定义一些协议,将电路信号0和1进行分组。后来统一固定为以太网协议,一组电信号就是一个数据包又叫一个帧,每帧分成两个部分,标头(head)和数据(data),标头会包含一些说明性的东西,比如发送者接收者和数据类型等等。 数据链路层:网络交换机就是工作在该层的。网络交换机是通过MAC地址来寻址和传输数据包的;但是路由器/网关是通过IP地址寻址和传输数据包的。网络交换机主要用在局域网的通信。一般你假设一个局域网,里面的电脑通过数据链路层发送数据包,通过MAC地址来广播的,广播的时候就是通过网络交换机这个设备来吧数据广播到局域网内的其它机器上去的。路由器一般用来让你接入英特网。 这里涉及到了以太网协议,它规定了只要接入网络的设备都必须要有一个网卡,以太网规定了,每个网卡必须包含一个Mac地址,Mac地址是这个网卡的唯一标识,唯一的Mac地址是一个48位的二进制,但是一般为了方便使用12个16进制数据表示,前6个事厂商编号,后6个16进制是网卡流水号。然后通过广播的方式在同一个子网内进行传播。 网络层:上面说通过广播的方式将数据包在同一个子网内传播出去,那么是确定是同一个子网、局域网呢?那这个时候就需要网络层。 在网络层中最重要的就是IP协议,IP协议可以给每个电脑定义一个IP地址(IPV4、IPV6),范围是0.0.0.0~255.255.255.255,这里的IP地址中前24个二进制位(也就是前3组十进制的数据)中表示的是网络,后8位(最后一组十进制)代表了主机。运算公式为:通过将两个IP地址的二进制与子网掩码的二进制进行与运算,并判断前面的3部分二进制是否一样,一样则是一个子网。否则不是一个子网/局域网 传输层:这里有个问题是。一台机器上很多程序使用的都是一个网卡进行通信的。这些软件都是从一个网卡往外面发送数据,完后并从该网卡接收数据。如何区分不同应用软件接收的不同数据呢,此时就需要引入一个端口(范围是0~65536、0~1023被系统占用了)的概念。从上面说的我们可以发现网络层是基于IP协议进行主机间的寻址和通信的,传输层则是建立在主机的某个端口上到另外主机的某个端口上完成连接和通信的这个通信是通过socket来实现的。通过socket就可以基于tcp/ip协议完成上述所说的基于IP地址和MAC地址转换和寻址。以及通过路由进行通信然后建立一个端口到另外一个端口的连接。 TCP/UDP都是传输层的协议,作用就是在数据包里面加入端口号,可以通过端口号进行点对点通信。UDP是不可靠的。TCP是可靠的。 应用层:通过TCP协议可以完成端口对端口的一个通信,但是通信成功后拿到的这个数据应该如何去处理,这里就涉及到了应用层。比如最常见的应用层协议就是http协议(按照什么格式封装的就需要按照什么格式去解析响应。)。进行网络通信。 不念:总结,其实最常见的就是四层网络协议,分别是:数据链路层(以太网协议)、网络层(IP协议)、传输层(TCP协议)、应用层(http协议)所谓的七层就是引入了物理层(网线、光缆)、会话层、表示层、应用层 这三层一个并也就是四层里的应用层了 面试官:不错不错,那你知道如果不在一个子网数据应该如何传播的吗? 不念:当然知道啦,不过这次有点累了,下次吧。 ...
-
对线面试官 &#8211; TCP经典面试题之三次握手
面试官:TCP三次握手和四次挥手的工作流程是什么? 不念:首先说一下TCP三次握手。 第一次握手,客户端发送链接请求报文,此时SYN=1、ACK=0、seq=x,这就是个连接请求此时客户端处于SYN_SENT状态,等待服务器响应。 第二次握手,服务端收到SYN=1的请求报文后需要返回一个确认的报文,ack=x+1,SYN=1,ACK=1,seq=y,发送给客户端,自己处于一个SYN_RECV的状态。 第三次握手,客户端接着又给服务端发送了ack=y+1,ACK=1,seq=x+1 简单总结:其实说白了三次握手就是来回来去的三次请求,每次请求携带上次一堆的TCP报文头,根据报文头是否正确从而建立连接。 面试官:为什么不是五次握手或者两次握手? 不念:假设如果是两次握手的话,第一次客户端握手过去结果卡在某个地方了,没有到达服务端。 可是客户端再次重新又发送了第一次握手过去,服务端收到了并握手返回,接着彼此就建立了连接。 意外的是,之前卡住的第一次握手又死灰复燃发送到了服务端。 服务端直接返回一个第二次握手。这个时候服务器也就开辟了一个资源等待接收客户端的数据。 可是客户端直接就忽略了该回合的第二次握手,因为之前已经通信过了。 如果要是三次握手的话,那个第二次握手发回去之后客户端发现第一次握手已经被丢弃了,就会发送个复位的报文过去,避免了资源的开销。 说白了就是两次握手可能会导致服务端资源的一个浪费。三次握手会有一个复位的报文从而避免这种情况。 不念:既然三次握手都可以保证连接,四次五次握手就有些浪费资源了。 面试官:不错,继续聊一聊为什么是四次挥手。 不念:好的。 第一次挥手,客户端发送报文,FIN=1,seq=u,此时进入FIN-WAIT-1状态。 第二次挥手,服务端就收到报文,这是便进入CLOSE_WAIT状态,返回一个报文,ACK=1,ack=u+1 seq=v。客户端收到这个报文后,直接进入到FIN-WAIT-2状态,此时客户端到服务端的连接断开了。 第三次挥手,服务端发送连接释放的报文,FIN=1,ack=u+1,seq=w服务端进入LAST-ACK状态。 第四次挥手,客户端收到连接释放的报文后,发应答报文,ACK=1,ack=w+1,seq=u+1,进入到TIME_WAIT状态,等待一会客户端进入到CLOSED状态,服务端收到报文之后就进入到CLOSED状态。 ...
-
国家标准《信息安全技术 敏感个人信息处理安全要求》公开征求意见
近日,全国信息安全标准化技术委员会秘书处就《信息安全技术 敏感个人信息处理安全要求》,公开征求意见。 根据国家标准化管理委员会2023年下达的国家标准制修订计划,《信息安全技术 敏感个人信息处理安全要求》由中国电子技术标准化研究院负责承办。本标准由全国信息安全标准化技术委员会归口管理。 本标准适用于规范个人信息处理者的个人信息处理活动,也可为监管部门、第三方评估机构对个人信息处理者开展个人信息处理活动进行监督、管理、评估提供参考。 为落实《个人信息保护法》对敏感个人信息处理规则的要求,本标准对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人信息进行场景化规定,明确数据处理者对这些敏感个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求,重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求。 《敏感个人信息处理安全要求》在各个行业,例如网上购物、网络支付、网络预约汽车、快递物流、网络音视频、即时通信等典型行业领域的推广应用,可以很好地帮助这些行业领域的企业提升自身的个人信息保护能力,有效促进各行业的健康发展。标准将为规范个人信息处理者的行为,保障个人信息权益,促进个人信息合理利用提供支持。目前,国内大部分企业均处理敏感个人信息,标准应用范非常广泛,标准应用将取得良好的效果。 原文链接: https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230809174946&norm_id=20221102151828&recode_id=52543 ...
-
来的真快:微信小程序必须要备案,否则下架
随着上面的一声令下(工信部要求所有APP、小程序进行备案),各大互联网大厂都开始实施具体政策了。来的可真快啊! 首先来的就是微信公众号,它是跟进政策是最快的了。微信公众号要求所有的微信小程序都要备案。9月起小程序必须备案才能上架。 未履行备案手续的,不得从事APP互联网信息服务。 微信要求: 1、若微信小程序未上架,自2023年9月1日起,微信小程序须完成备案后才可上架; 2、若微信小程序已上架,请于2024年3月31日前完成备案,逾期未完成备案,平台将按照备案相关规定于2024年4月1日起进行清退处理。 同时,微信也在建设ICP代备案管理系统了,系统将于9月1日上线,功能大概率会和网站备案一样。 小程序备案周期大约是:1-20个工作日内(具体以实际审核时间为准)完成审核。可以说小程序备案和网站备案的流程一摸一样。 小程序,一般都是依托于各个平台下的网站程序,比如微信生态、支付宝生态、百度生态等等都有自己的小程序。美其名曰小程序,其实就是移动站,唯一不同的是只能在自己平台下访问的小程序。 其实小程序的发布挺麻烦的,比如网页上有个错别字,修改一下,后面都要重新审核才能发布。松松简单看了一下小程序备案的材料,政策备案到是挺简单的,但一些特殊行业是真的麻烦。要求有前置审批材料。比如你小程序做出版的必须要有网络出版服务许可证,你做新闻的必须要有互联网新闻服务许可证。总之,小程序的创业门槛越来越高了。 APP备案还能理解哈,但像微信小程序在正式发布的时候其实已经做过实名认证了,域名也做了备案了。而且微信也验证了企业资质,但有点想不明白,为什么还要单独做备案。但国家一定有自己的考虑,我们只要遵守就好了。 ...
-
服务器存储如何选择使用HDD还是SSD
在选择服务器存储方案时,需要综合考虑多个因素: 性能需求: 如果项目需要高性能、快速的数据访问速度,特别是在虚拟化、数据库等应用中,SSD可能更适合。 存储容量: 如果项目需要大量存储空间,HDD可能是更经济的选择。但是,如果预算允许,也可以考虑使用更大容量的SSD。 可靠性和耐用性: 如果项目需要更高的可靠性和抗冲击性,SSD可能更合适,因为它没有机械部件。 成本预算: HDD通常比SSD更便宜,适用于成本敏感的项目。但是,如果性能要求较高,可能需要权衡性能和成本之间的关系。 未来扩展性: 考虑到项目未来的增长和扩展,可以选择支持更多硬盘的服务器,以便在需要时可以轻松扩展存储容量。 ...
-
什么是SSD(固态驱动器)
SSD采用闪存技术来存储数据,相比HDD具有更快的读写速度和更短的访问时间。 这使得SSD在许多场景下能够提供更高的性能,特别是在需要快速随机访问的应用中,如虚拟化、数据库和Web服务器。 另外,SSD没有机械部件,因此更耐受冲击和振动,具有更高的可靠性。 然而,SSD的主要缺点是价格较高。 相比之下,SSD的价格通常更高,容量较小。 这对于需要大量存储空间的项目可能会成为限制因素。 但随着技术的发展,SSD的价格逐渐下降,容量逐渐增加,逐渐成为越来越受欢迎的选择。 ...
-
搜狗输入法曝加密系统漏洞(已修复),黑客可窃取用户输入的内容
近期,来自加拿大多伦多大学公民实验室的研究人员在国内热门输入法——搜狗输入法的加密系统中发现了漏洞,能允许网络监听者破译用户的输入内容。目前该漏洞已得到修复。 研究人员发现漏洞的软件版本涉及三大主流系统,分别是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本,其内部定制的EncryptWall加密系统在Windows和Android系统中存在CBC 密文填塞(padding oracle)攻击漏洞,能让网络监听者恢复加密网络传输的明文,从而泄露敏感信息。在iOS中虽然发现了漏洞,但并不清楚具体的利用方式。 恢复的数据示例摘录,第 11 行包含键入的文本 EncryptWall加密系统旨在通过纯 HTTP POST 请求中的加密字段,将敏感流量安全地传输到未加密的搜狗 HTTP API 端点。在通过 HTTPS 发出 EncryptWall 请求的情况下,研究人员认为这些请求是安全的,但EncryptWall 请求的底层加密技术中可能存在任何缺陷。 研究人员发现,CBC 密文填塞攻击是一种早在2002年就曾出现的选择密文攻击,信息的明文可以一个字节一个字节地恢复,每个字节最多使用 256 条信息。这种攻击依赖于一种称为填充预言的侧通道的存在,它可以明确地揭示接收到的密文在解密时是否被正确填充。 研究人员于今年5月31日向搜狗报告了次漏洞,最终修复版本于7月20日正式发布(Windows 13.7版本 、Android 11.26版本 和 iOS11.25 版本 ),强烈建议搜狗输入法的用户立刻升级至上述版本。 根据研究人员的报告,搜狗输入法是最受欢迎的中文输入法,占中文输入法用户的70%,每月活跃用户超过4.55 亿。 ...
-
等了10年,工信部的APP备案终于来了
2005年3月,工信部要求所有境内网站都要进行网站备案、公安备案。 2023年8月,工信部要求所有的APP、小程序进行备案。否则…… 这绝对是一个移动互联网创业分水岭,一个划时代的政策,以后的APP一定会越来越规范、越来越正规。独立APP开发的创业之路将会堵掉一部分,下面是官方消息引用: 工信部组织开展APP备案工作:未备案不得从事APP互联网信息服务。为促进互联网行业规范健康发展,进一步做好移动互联网信息服务管理,工业和信息化部近日印发通知,组织开展移动互联网应用程序(以下简称APP)备案工作。要求在中华人民共和国境内从事互联网信息服务的APP主办者,应当依照《中华人民共和国反电信网络诈骗法》《互联网信息服务管理办法》等规定履行备案手续,未履行备案手续的,不得从事APP互联网信息服务。并要求2024年4月至2024年6月底完成巡检工作。 看来只剩十个月(300天)过渡期了,当前苹果App Store上一共有120万APP,扣掉一半不活跃的60万,平均一天要备案2000个APP,这还只是苹果的。算上小米、华为、OPPO等应用商店的APP,这备案的数量难度非常之大,工作量非常巨大。 根据网站备案的经验来看,APP备案的方式应该和网站备案一样,比如去各个IDC备案、人脸识别、公司验证、准备各种备案材料。有了网站备案的经验,APP备案的材料应该不复杂。 另外以后APP备案估计也要分为“个人备案”和“公司备案”,个人备案的APP,只有少部分功能,比如作为个人日记本使用。一旦涉及到交互、商业等行为就必须要你做公司备案。 那公司APP备案限制上少了,这也会导致很多独立开发者要开公司才能做APP,而且还要面对“版权”和“无限责任连带”的风险。 当然,你一定会问小K说:我APP不备案,你能把我怎么样?我就不备案。 我的回答的是:你APP不备案,当然不会把你怎么样。但你休想用国内的服务器、休想上架应用商店。国内的各种服务例如CDN、云存储、数据库、支付结算等等你都有没资格用。创业的门槛稍微加大。 当然上面的假设都是从APP创业者角度思考的,但对国家和普通民众来说绝对是好事。 APP备案相当于加强对App的监管,保障用户的隐私安全,很大程度上防止了电信诈骗。 其实早在10年前(2012年),移动互联网刚刚爆发的时候,工信部就考虑过要求APP备案,不过那时候还不太成熟,也就不了了之了。不过这事耽搁了10年,终于还是来了………… ...
-
网站收录对SEO有什么好处?网站免费收录平台有哪些?
什么是网站免费收录? 网络中的网站免费收录是指搜索引擎或者第三方网站收录平台免费为网站提供收录服务,即搜索引擎或者第三方网站收录平台将网站的内容加入索引中,使得用户可以通过搜索引擎或者第三方网站收录平台找到该网站。这种免费收录的方式对于网站主人来说,可以提高网站的曝光率和流量,为网站的推广和发展提供了便利。 搜索引擎通常会根据网站的质量和相关性对网站进行评估,评估结果越好,网站收录的机会就越大。而第三方网站收录平台为你提供外链支持,也将有利于搜索引擎对你网站的评价和网页的抓取。网站可以通过提高质量和关联性来提高被免费收录的机会,例如优化网站的内容、提高用户体验和提高网站的权威性和可信度等。此外,也可以通过提交网站地图和使用搜索引擎的工具和资源来提高网站收录的机会。 网站免费收录对网站 搜索引擎优化(SEO)有什么好处? 1. 提高网站权威性 当一个网站被搜索引擎或者其他第三方网站免费收录平台免费收录后,相当于搜索引擎或者其他第三方网站免费收录平台认可了该网站的内容质量和价值,在搜索引擎或者其他第三方网站免费收录平台页面上也可以给用户显示该网站的相关信息。这会给用户带来一个更直观的认知,并建立网站在用户心中的权威形象,提高了网站的信誉度。 2. 提高网站的曝光率和流量 搜索引擎或者其他第三方网站免费收录平台页面是大多数用户了解网站的方式之一。当一个网站被搜索引擎或者其他第三方网站免费收录平台免费收录后,就可以在搜索引擎或者其他第三方网站免费收录平台页面上展示,并有更多的机会被用户点击,这可以明显提高网站的曝光率和流量、增长网站的知名度。 3. 可帮助网站提高关联性 搜索引擎通过对网站内容的解析、分析和评估,来确定网站和搜索关键词之间的相关性。当一个网站被搜索引擎免费收录后,说明该网站的相关性较高,这可以在用户搜索相关关键词时提供更多机会让网站第一时间出现在搜索结果页面上,从而提高网站的关联性和排名。 4. 对网站SEO优化有益 在搜索引擎优化(SEO)中,免费收录是一个重要的环节。当网站被搜索引擎或者其他第三方网站免费收录平台免费收录后,它会为我们的网站增加外链、有助于得到搜索引擎官方的认可或者吸引蜘蛛前往抓取,并且有助于网站的权威性提升、页面排名上升和优化流量的增加。因此,网站 SEO 优化过程中,免费收录是非常重要的一步。 以上是网站免费收录对网站 SEO 搜索引擎优化的几个好处,同时网站也可以通过不断优化内容、提升用户体验、提高网站的权威性和可信度等方法来进一步提高自己的搜索排名和流量。 网站免费收录平台有哪些? 中国国内还有一些非搜索平台的第三方网站收录平台,比如: 1. 百万站:百万站是中国最大的网站资源库之一,提供了大量免费的网站提交、网站分类目录、站长平台等服务。 2. 目录网:目录网的特色是提供了众多的行业分类,用户可以根据自己的行业特点进行网站的免费提交和收录。 3. 站酷:站酷是一个专注于设计、创意和视觉艺术领域的综合性平台,提供了免费的创意作品上传和展示、设计师社区、设计资源下载等服务。 4. 天极网站库:天极网站库是天极网旗下的一个收录平台,提供了网站免费收录、网站分类目录、站长工具、网站建设等服务。 5. 网站大全:网站大全是一个聚合中国境内外优秀网站和资源的导航平台,提供了网站分类目录、免费收录等服务。 6、链接交易网和站长交易网。不要以为链接交易网或者站长交易网不属于网站收录平台了,他们提供了网站信息展示和链接直达,实实在在为你提供了外链输入。 7、导航网站:国内的导航网站数量还是不少的,如果每个导航网站你都能成功申请收录,将会给你带来不错的外链数量。 以上是一些非搜索平台的第三方网站免费收录平台,这些平台的服务类型和特点各不相同,用户应根据自身需求选择合适的平台进行网站收录。还有很多类似网站,本文这里就不详细列举了,需要你去费心发现。 ...
-
Bash基础知识:If Else语句详解
如果这样,那就那样,否则就……。还不明白吗?了解了 Bash Shell 脚本中的 if-else 语句后就明白了。 Bash 支持 if-else 语句,以便你可以在 shell 脚本中使用逻辑推理。 通用的 if-else 语法如下: if [ expression ]; then ## 如果条件为真则执行此块,否则转到下一个 elif [ expression ]; then ## 如果条件为真则执行此块,否则转到下一个 else ## 如果以上条件都不成立,则执行此块 fi 正如你所注意到的: elif 用于 “否则如果” 类型的条件。 if-else 条件始终以 fi 结尾。 使用分号 ; 和 then 关键字 在展示 if 和 else-if 的示例之前,我先分享一下常见的比较表达式(也称为测试条件)。 测试条件 以下是可用于数字比较的测试条件运算符: 条件 当满足以下条件时为真 $a -lt $b $a < $b($a 小于 $b) $a -gt $b $a > $b($a 大于 $b) $a -le $b $a <= $b($a 小于等于 $b ) $a -ge $b $a >= $b ($a 大于等于 $b) $a -eq $b $a == $b $a -ne $b $a != $b 如果你要比较字符串,可以使用以下测试条件: 条件 当满足以下条件时为真 "$a" = "$b" $a 与 $b 相同 "$a" == "$b" $a 与 $b 相同 "$a" != "$b" $a 与 $b 不同 -z "$a" $a 为空字符串 文件类型检查也有条件: 条件 当满足以下条件时为真 -f $a $a 是一个文件 -d $a $a 是一个目录 -L $a $a 是一个链接 现在你已经了解了各种比较表达式,让我们在各种示例中看看它们的实际应用。 在 Bash 中使用 if 语句 让我们创建一个脚本来告诉你给定的数字是否为偶数。 这是我的脚本,名为 even.sh: #!/bin/bash read -p "Enter the number: " num mod=$(($num%2)) if [ $mod -eq 0 ]; then echo "Number $num is even" fi 当模数运算(%)整除给定数字(本例中为 2)时,它返回零。 ? 特别注意空格。左括号和右括号与条件之间必须有空格。同样,条件运算符(-le、== 等)前后必须有空格。 这是我运行脚本时显示的内容: 你是否注意到,当数字为偶数时,脚本会告诉你,但当数字为奇数时,脚本不会显示任何内容? 让我们使用 else 来改进这个脚本。 使用 if else 语句 现在我在前面的脚本中添加了一条 else 语句。 这样,当你得到一个非零模数(因为奇数不能除以 2)时,它将进入 else 块。 #!/bin/bash read -p "Enter the number: " num mod=$(($num%2)) if [ $mod -eq 0 ]; then echo "Number $num is even" else echo "Number $num is odd" fi 让我们用相同的数字再次运行它: 正如你所看到的,该脚本更好,因为它还告诉你该数字是否为奇数。 使用 elif(否则如果)语句 这是一个检查给定数字是正数还是负数的脚本。在数学中,0 既不是正数也不是负数。 该脚本也检查了这一事实。 #!/bin/bash read -p "Enter the number: " num if [ $num -lt 0 ]; then echo "Number $num is negative" elif [ $num -gt 0 ]; then echo "Number $num is positive" else echo "Number $num is zero" fi 让我运行它来涵盖这里的所有三种情况: 用逻辑运算符组合多个条件 到目前为止,一切都很好。但是你是否知道通过使用与(&&)、或(||)等逻辑运算符可以在一个条件中包含多个条件? 它使你能够编写复杂的条件。 让我们编写一个脚本来告诉你给定的年份是否是闰年。 你还记得闰年的条件吗? 它应该被 4 整除,但如果它能被 100 整除,那么它就不是闰年。 但是,如果能被 400 整除,则为闰年。 这是我的脚本。 #!/bin/bash read -p "Enter the year: " year if [[ ($(($year%4)) -eq 0 && $(($year%100)) != 0) || ($(($year%400)) -eq 0) ]]; then echo "Year $year is leap year" else echo "Year $year is normal year" fi ? 注意上面双括号 [[ ]] 的使用。如果你使用逻辑运算符,则这是强制性的。 通过使用不同的数据运行脚本来验证脚本: ?️ 练习时间 让我们做一些练习吧 ? 练习 1:编写一个 Bash Shell 脚本,检查作为参数提供给它的字符串的长度。如果未提供参数,它将打印 “empty string”。 练习 2:编写一个 Shell 脚本来检查给定文件是否存在。你可以提供完整的文件路径作为参数或直接在脚本中使用它。 提示:文件使用 -f 选项 练习 3:通过检查给定文件是否是常规文件、目录或链接或者是否不存在来增强之前的脚本。 提示:使用 -f、-d 和 -L ...
-
什么是HDD(硬盘驱动器)
HDD是一种传统的存储设备,其工作原理是利用磁性技术来存储和检索数据。它的主要优势之一是成本效益。 与SSD相比,HDD的价格更低,容量更大,这使得它成为存储大量数据的理想选择。 对于需要存储海量数据、成本敏感的项目,HDD可能是更好的选择。 然而,HDD在性能方面存在一些局限性。 由于其机械性能,HDD的读写速度相对较慢,访问时间较长。 这在需要快速数据检索和高吞吐量的应用中可能导致性能瓶颈。 此外,HDD较易受冲击和振动影响,可能导致损坏或故障。 ...