1. 前述
(1) 俄罗斯APT攻击经常以微软系列软件为利用目标,其中对Office、Windows 和IE浏览器漏洞的使用占比为55%。这种对大量通用软件的漏洞利用,也为国家支持的网络攻击提供了便利条件;
(2)俄罗斯APT的鱼叉式邮件中经常利用微软Office系列漏洞,如APT28就大量使用Excel和Word漏洞文档作为诱饵;
(3) 与俄罗斯军事情报局(GRU)相关的APT28,利用了22个公开漏洞,其中有7个为利用代码未知的漏洞;
(4)与俄罗斯联邦安全局(FSB)相关的APT29,利用了5个与APT28完全不一样的公开漏洞;
(5)俄罗斯APT攻击所利用的漏洞,有73%左右可以在Metasploit、Exploit>
重点涉及以下四个与俄罗斯相关的APT和恶意软件攻击:
(1) APT28又名 Fancy Bear、Operation Pawn Storm、 Strontium、 Sednit、 Sofacy和Tsar Team ,可能与俄罗斯军事情报局GRU相关(ГлавноеРазведывательное Управление)
(2)APT29 又名Cozy Bear、The Dukes 、Office Monkeys,可能与俄罗斯情报机构联邦安全局FSB相关(Федеральная служба безопасности Российской Федерации)
(3)Energetic Bear 又名 Crouching Yeti,Dragonfly、Group 24和 Koala Team,可能与 Havex系列恶意软件攻击相关
(4)Turla又名Epic Turla、Snake、Ouroboros和Carbon,可能与 Agent.BTZ 恶意软件攻击相关
4. 结论
被俄罗斯APT组织经常进行漏洞利用的系列办公软件:
以公司分类:
俄罗斯APT攻击利用的相关漏洞:
5. 对已知漏洞的利用
俄罗斯APT攻击的技术方式与其它APT类似:鱼叉式邮件、虚假域名、网络钓鱼、社会工程、水坑攻击等。其中,对Office和Adobe PDF漏洞的大量利用可能与国家支持的网络攻击相关,不同于勒索软件出于钱财的目的,国家支持的攻击对攻击目标和获取信息的针对性更强。
6. 观点
通过对APT28和APT29利用的漏洞分析,印证了之前很多安全专家的结论:这两个APT攻击可能与GRU和FSB两个俄罗斯独立的情报机构相关。有趣的是,据Crowdstrike分析声称,这两个APT攻击都不约而同地窃取了DNC系统中相同的数据信息。
四个APT攻击中使用的软件漏洞情况:
7. 网络犯罪组织漏洞利用工具包 VS 俄罗斯APT利用的漏洞
俄罗斯APT攻击中利用的漏洞,有46%与网络犯罪组织使用的工具包漏洞相同,这些工具包被大量用于地下暗网买卖和勒索软件活动中。
俄罗斯APT利用漏洞 与 工具包漏洞重叠度分析:(按照不同软件区分)
俄罗斯APT攻击中利用的漏洞,有73%为利用代码已知漏洞,虽然很难确定攻击发生和漏洞利用代码公开的具体时间,但总体来说,有几个方面的原因:
(1)流行软件存在很多漏洞;
(2)利用流行软件漏洞,可以增加渗透入侵的成功率;
(3)流行软件漏洞对迷惑归因调查有帮助
俄罗斯APT漏洞利用代码的公开程度:
8. 影响
国家支持的网络渗透需要成功的定向植入攻击。Windows每天有15亿人次的使用量,另外,有12亿人次安装了Office软件,俄罗斯APT“碰运气”的攻击成功率仍然较大。美国的电脑系统中有85%的用户安装有java和Adobe PDF软件,其大量存在的漏洞可被攻击者利用。
9. 建议
1) 更新本文提到的软件漏洞;
2) 指导企业进行网络和电子邮件安全意识培训;
3) 必要时请使用双因素认证和科学;4) 强制区分用户权限;
5) 在Adobe FlashPlayer中启用“clickto play”功能;
6) 考虑替代的PDF阅读器软件;
7) 警惕不明身份电子邮件地址发送的邮件。
凡是浅尝辄止,终将一事无成。旁观者清,当局者迷。 这两句话用英语如何说?
1.A little of everything,and nothing at all.凡是浅尝辄止,终将一事无成。 ----Montaigne蒙田-by discover blots,which are apt to escape those who are in the game.旁观者清,当局者迷。 ----Joseph Addison约瑟夫.艾迪生
Linux/Ubuntu 怎么设置打开远程桌面登录连接
一、安装XrdpWindows远程桌面使用的是RDP协议,所以ubuntu上就要先安装Xrdp,在ubuntu软件中心搜索xrdp安装。 安装xrdp的同时会自动安装vnc4server,xbase-clients组件或者终端命令行输入安装: sudo apt-get install xrdp vnc4server xbase-clients二、设置开启安装完后在/usr/share/Applications目录下打开”桌面共享”选项,进一步设定桌面共享选项中首先要开启共享,关于是否允许其他用户控制,远程连接时是否需要本机确认,远程连接的密码等项目根据需要自己设定。 如果需要从公网即外部网络访问此ubuntu计算机需要开启”自动配置UPnP路由器开放和转发端口项目”。 一般建议如下图:如果是13.04的话,以上已经完成设置了,但是ubuntu14.04是无法正确连接的,会显示安全等级问题,我们还需要继续配置1、安装dconf-editorsudo apt-get install dconf-editor2、用Dconf-editor调整,并访问如下配置路径org > gnome > desktop > remote-access3、取消钩选 “requlre-encryption”属性。 三、开始连接在windows电脑上打开远程桌面,输入ubuntu电脑的IP地址,会出现如下画面,Module项目选择使用的协议,这里选择vnc-any,输入IP地址,端口不变(5900),设定的密码,即可远程连接到ubuntu 14.04桌面,如下图:
windows系统怎么远程连接linux桌面
步骤:1、先在windows主机上下载TigerVNC软件包。 TigerVNC是一款开源免费的VNC连接软件,可以通过它对带桌面的linux主机进行远程。 这里,从SourceForge网站下载TigerVNC软件包。 2、安装TigerVN,打开下载的可执行文件。 双击进行安装,点击“运行”;3、点击“Next”;勾选“I accept the agreement复选框,点击”Next“;4、选择TigerVNC的安装路径,这里选择”D:\Program Files\TigerVNC“,点击”Next“;点击”Next“;5、保持默认的配置,点击”Next“;点击”Install“;6、点击”Finish“至此,TigerVNC安装完毕。 7、来对linux主机进行配置,linux被远程端需要安装TigerVNC服务。 命令:yum install -y tigervnc tigervnc-server //安装tigervncvncserver //设置vnc登陆密码 vim /etc/sysconfig/vncserver//对该文件最后两行的注释,并修改VNCSERVER=“2:myusername为VNCSERVERS=1:root。 service vncserver restart //重启vncserver服务8、使用TigerVNC远程连接服务器,在TigerVNC安装目录下(D:\Program Files\TigerVNC),打开,然后在VNC server框中填写”服务器IP:1“,输入服务器密码信息,点击”OK“注意事项:注意linux端服务器要把selinux防火墙关闭掉,系统防火墙开的话要把 5900添加到允许里。
发表评论