近期,在线平台Zscaler安全专家发布了对Raccoon Stealer恶意软件新变种的分析,据研究,该恶意软件的新变种是用C语言编写的,与以前主要用C++ 编写的版本不同,并且Raccoon Stealer 2.0 具有新的后端和前端,以及更有效地窃取凭据和其他数据的代码。
该恶意软件的新版本也可以在32位和64位系统上运行,无需任何额外的依赖项,而是直接从其C2 服务器 获取8个合法 DLL(而不是依赖 Telegram Bot API)。C2还负责恶意软件的配置,包括目标应用程序、托管dll的URL和用于数据导出的令牌。然后,服务器接收机器指纹数据,并等待包含被盗信息的单个POST请求。
Raccoon Stealer 2.0窃取的数据类型包括系统指纹信息、浏览器密码、cookies、自动填充数据和保存的信用卡、加密货币钱包、位于所有磁盘上的文件、屏幕截图和已安装的应用程序列表。Zscaler还表示,“我们还看到了 Raccoon Stealer v2 通过使用动态解析 API 名称而不是静态加载的机制来隐藏其意图的变化。”
据报道,在俄罗斯入侵乌克兰期间,该恶意软件的一名主要开发人员不幸离世后,Raccoon Stealer 业务于2022年3月曾短暂关闭。不过根据Sekoia安全分析师的分析,该团队随后在暗网论坛上写道,Raccoon Stealer即将回归,并暗示Raccoon Stealer在五月份的时候就已经在开发中了。
Zscaler说,“Raccoon Stealer 作为恶意软件即服务他们在过去几年中变得很流行,并且已经观察到了几起Raccoon Stealer恶意软件的事件。该恶意软件的作者不断为该恶意软件添加新功能。这是该恶意软件在 2019 年首次发布后的第二个主要版本。这表明该恶意软件很可能在不断演变,并继续对组织构成威胁。”
rundll32.exe和nvsvc32.exe是做什么的?
rundll32 - - 进程信息 进程文件: rundll32 或者 进程名称: Microsoft Rundll32 描述: 用于在内存中运行DLL文件,用于需要调用DLLs的程序。 它们会在应用程序中被使用。 这个程序对你系统的正常运行是非常重要的。 注意: 也可能是病毒。 该病毒允许攻击者访问你的计算机,窃取密码和个人数据。 该进程的安全等级是建议立即删除。 出品者: Microsoft Corp. 属于:Microsoft Windows Operating System 系统进程: 是 后台程序: 是 使用网络: 否 硬件相关: 否 常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0 间谍软件: 否 Adware: 否 广告软件: 否 木马: 否(还是要小心木马注入!) nvsvc32 - - 进程信息 进程文件: nvsvc32 或者 进程名称: NVIDIA Driver Helper Service 描述: 是NVIDIA显示卡相关程序。 出品者: NVIDIA Corporation 属于: NVIDIA Driver 系统进程: 否 后台程序: 是 使用网络: 否 硬件相关: 是 常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0 间谍软件: 否 广告软件: 否 广告软件: 否 木马: 否 两个一般正常的文件
Oracle数据库安全性设计?大家给点建议
Oracle数据库安全性设计建议一、 什么是安全的系统安全性建设是一个长期并且卓绝的工作。 作为一个符合标准的企业级系统,我们认为税务系统应该具备以下的安全性特点: 高可用性 对敏感数据的访问控制能力。 监测用户行为的审计能力。 用户帐号管理的有效性和扩充性二、 从哪些方面作安全性检查一个企业级系统的安全性建设并不仅仅局限于软件技术方面的设置和控制,甚至我们可以说,技术仅仅位于一个补充和提高现有安全性的地位上。 通常,应该按照重要性依次进行如下的安全性检查。 物理层面的控制控制物理接触是系统安全性建设的第一步,也是最会有成效,最应该优先执行的一步。 权威安全研究显示,70% 的信息系统数据损失和攻击都是由“内部人”(即具备某种系统及其数据访问权限的用户)造成和发起的。 比如,授权人员才可以进入机房,管理人员的密码不要记录在显眼的地方,离开个人终端锁定屏幕,等等,这些建议看上去似乎比较琐碎。 但是如果缺少了这些意识,即使我们运用了再好的安全性技术,再复杂的数据分离技术,当一个人可以接近需要保护的服务器,当一个人可以通过窃取的密码接近需要保护的数据,那么一切的安全性建设都将是一个摆设。 千里之堤,毁于蚁穴。 一个牢固的堤坝不会因为外界洪水的冲击而倒塌,却会崩坏于隐藏在自身内部的蛀虫。 所以,最佳的方法是不要让蚂蚁靠近堤坝。 安全性流程建设实施安全性建设之后,必须要有一个详细周密而且行之有效的流程控制(Process Control)。 其中行之有效是我们应该注意的。 有时候会听到抱怨,在增强了安全性建设的系统中,维护人员由于分工过细,导致整个系统的应变能力下降,维护成本提高,管理效率降低。 以前一个人可以在10分钟内作好的修改,现在却要途经3,4个人之手,耗时1-2天还不一定能够做完。 过犹不及,建立一个符合企业自身需求的安全性流程是我们应该优先考虑的。 普遍性的安全性措施不仅仅是Oracle数据库系统,作为一个具有领先性的IT系统,都应该包括以下的安全性措施。 1. 只安装需要的软件每个软件都有缺陷,对于Oracle数据库软件来说,自定义安装,只选取需要的组件,少作少错,这一点在安全性方面显得尤为重要,一个具有潜在安全性漏洞的组件,如果它没有被安装。 那它就不会影响整个系统。 2. 锁定或者失效默认用户对于Oracle数据库系统来说,安装的时候会有一系列的默认用户生成,应该在数据库安装完毕之后,经过功能筛选,锁定或者失效这些用户。 3. 修改可用用户的默认密码不能锁定或者失效的用户,必须修改默认密码。 比如具有SYSDBA权限的SYS用户和具有DBA权限的SYSTEM用户,都应该修改默认密码。 至于密码长度和复杂性的有效控制在后面将会谈到。 4. 限制操作系统存取权限Oracle数据库系统是依存在操作系统之上的,如果操作系统被人侵入,那么通过修改配置文件等一系列方法,Oracle数据库的安全性也将荡然无存。 5. 定期更新厂家推出的安全性补丁随着时间的推移,厂家通常会推出一系列的安全性补丁来弥补现有系统的安全隐患。 对于Oracle数据库而言,应该定期查看以下网址来获取Oracle公司最新的安全性警告和解决方案。
病毒的种类有多少?
电脑病毒的种类恶性程序码的类别中,电脑病毒和蠕虫是较具破坏力,因为它们有复制的能力,从而能够感染远方的系统。 电脑病毒一般可以分成下列各类:引导区电脑病毒文件型电脑病毒复合型电脑病毒宏病毒特洛伊/特洛伊木马蠕虫其他电脑病毒/恶性程序码的种类和制作技巧引导区电脑病毒90年代中期,最为流行的电脑病毒是引导区病毒,主要通过软盘在16位元磁盘操作系统(DOS)环境下传播。 引导区病毒会感染软盘内的引导区及硬盘,而且也能够感染用户硬盘内的主引导区(MBR)。 一但电脑中毒,每一个经受感染电脑读取过的软盘都会受到感染。 引导区电脑病毒是如此传播:隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。 这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传播和破坏活动。 那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播,所以这类的电脑病毒已经比较罕见了。 典型例子:Michelangelo是一种引导区病毒。 它会感染引导区内的磁盘及硬盘内的MBR。 当此电脑病毒常驻内存时,便会感染所有读取中及没有写入保护的磁盘。 除此以外,Michelangelo会于3月6日当天删除受感染电脑内的所有文件。 文件型电脑病毒文件型电脑病毒,又称寄生病毒,通常感染执行文件(),但是也有些会感染其它可执行文件,如DLL,SCR等等...每次执行受感染的文件时,电脑病毒便会发作:电脑病毒会将自己复制到其他可执行文件,并且继续执行原有的程序,以免被用户所察觉。 典型例子:CIH会感染Windows95/98的文件,并在每月的26号发作日进行严重破坏。 于每月的26号当日,此电脑病毒会试图把一些随机资料覆写在系统的硬盘,令该硬盘无法读取原有资料。 此外,这病毒又会试图破坏FlashBIOS内的资料。 复合型电脑病毒复合型电脑病毒具有引导区病毒和文件型病毒的双重特点。 宏病毒与其他电脑病毒类型的分别是宏病毒是攻击数据文件而不是程序文件。 宏病毒专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如MicrosoftWord和Excel。 宏病毒采用程序语言撰写,例如VisualBasic或CorelDraw,而这些又是易于掌握的程序语言。 宏病毒最先在1995年被发现,在不久后已成为最普遍的电脑病毒。 典型例子:JulyKiller这个电脑病毒通过VB宏在MSWord97文件中传播。 一但打开染毒文件,这病毒首先感染共用范本(),从而导致其它被打开的文件一一遭到感染。 此电脑病毒的破坏力严重。 如果当月份是7月时,这病毒就会删除c:\的所有文件。 特洛伊/特洛伊木马特洛伊或特洛伊木马是一个看似正当的程序,但事实上当执行时会进行一些恶性及不正当的活动。 特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。 与电脑病毒的分别是特洛伊不会复制自己。 它的传播技俩通常是诱骗电脑用户把特洛伊木马植入电脑内,例如通过电子邮件上的游戏附件等。
发表评论