2014年11月25日 星期二

[電子郵件詐騙]查gmail登入記錄

在gmail信件內,拉到最後,有一個「詳細資料」的功能

點擊後,即可查看近期的登入記錄(若有異常的登入IP,即有可能被入侵的IP)



2014年11月24日 星期一

[電子郵件詐騙]查email來源

當收到1封電子郵件時,怎麼確認該信件來源是正常的?還是駭客偽冒的?

現今APT的攻擊,大多是利用mail來進行傳送的,利用mail來傳送惡意程式、詐騙郵件的例子,屢見不鮮。因此,若學會查看mail來源的方式(不隨便點擊附件),不妨是個自保不會掉入駭客的陷阱的的方法之一。

除了從信件的mail來源仔細查看是否有變造外,還有其他方式可以確認...

例如:檢查整封信件的原始檔來查看就可以大部分瞭解該信件的寄件過程

本文將介紹怎麼查看email信件原始檔

以gmail為例,從信件的來源「顯示原始郵件」來查看信件的內容

將信件的原始檔內容,整個複製


貼到下列網址「http://whatismyipaddress.com/trace-email」,利用trace-email的方式,來簡化查看mail原始檔的複雜程度

最後可以分析出信件的來源,以及表格化信件原始檔內容

若真的要了解信件的原始內容,應該從下圖開始看,從A0的寄信來源,一直到A5的終點站,所有的記錄內容。
同時也可查A4是哪寄出來的,追出上一層的寄件來源較快的方式

[EC-council]CEH考古題網站

CEH版本:exam-312-50v8-certified-ethical-hacker-v8
網址:http://www.aiotestking.com/ec-council/category/exam-312-50v8-certified-ethical-hacker-v8/


2014年11月4日 星期二

[電子郵件詐騙]中華電信hinet mail入侵

前言
常發生電子郵件遭詐騙案,其對象主要都是台灣中小企業和跨國企業之間的貿易,詐騙特色如下:

1.雙方都是用mail來進行往來(包括金錢匯款)
2.都是用英文溝通
3.至少利用此方式有5年以上了
4.使用本土電信業者的電子服務(mail)
5.突然跟你說換mail了,以後用新mail聯絡,同理,匯款也是新戶頭

中華電信mail不安全之處如下:

1.使用者異常登入會有警示信件,不過會放在垃圾信件匣(一般使用者根本不會看)

2.同理,信件被多次異常登入,警告信都被歸類在垃圾信件匣(一般使用者根本不會看*2)

3.從網頁郵件的功能,可以看到近期7日被登入的記錄(時間太短),且操作不方便。

台灣被駭(害)民眾,大多使用中華電信的服務來對外進行聯繫交易事項,但是使用的服務大多是免費的電子郵件,加上利用POP3的方式,用OUTLOOK將郵件下載回本機查看。因此對WEB MAIL的基本操作根本不熟悉。

若被駭時,根本無從查起,加上登入記錄保留時間短警示信歸類於垃圾信匣

相較於線上知名的MAIL服務,中華電信MAIL資安實在不足(極不推薦)

若有在使用該服務的商家,除了在交易匯款時能再三的確認(電話、傳真),使用資安防護好的郵件服務也是一個選擇....

2014年10月13日 星期一

[免費滲透平台]適合demo用的平台

http://testhtml5.vulnweb.com/#/popular


login
帳號:admin
密碼:隨意輸入

http://testfire.net/default.aspx

login
帳號:admin
密碼:sql injection進入


[log parser lizard教學]IP次數統計

學習目標

  • 利用log parser lizard計算Web Log的IP次數

介紹
當網站遭受異常流量存取或來源IP存取時,此時網站管理人員想要從日誌檔內查出這些來源IP是否有異常存取的情況(或是特定的時間內來源IP的存取情形),此時可從日誌檔內的來源IP位址進行次數的統計,以了解IP的存取情況,進而判斷IP的行為模式。

舉例來說,某公司曾發生某特定時間流量均會有異常的情況,因此調閱該時段的日誌檔後,進行次數的流計分析,經使用log parser lizard的SQL語法統計後,發現第1筆來源IP X.X.175.10的存取次數高達7萬多次,遠高於其他存取IP的數量。因而找出該IP的整體行為模式後,進一步了解該IP的意圖(以下圖為例)。



SQL語法(次數統計)

SELECT [RemoteHostName], count(RemoteHostName)
FROM '路徑'
GROUP BY [RemoteHostName]

2014年9月16日 星期二

[wireshark]封包檔pcapng轉pcap

在wireshark的功能中,用editcap功能,提供將封包檔案pcapng轉pcap的功能,操作過程如下

主要的轉檔指令為:

editcap -F libpcap -T ether file.pcapng file.pcap

使用dos指令切換至windows的wireshark目錄

指令
黃色部分:待轉檔的pcapng檔路徑
紅色部分:轉完檔後pcap檔放置位置


2014年7月19日 星期六

[日誌分析]event log和web log時間紀錄方式

在windows伺服器中,日誌的紀錄方式可分為2種樣式
1.事件檢視器的event log
2.網站紀錄檔的web log

在event log上,主要紀錄伺服器的安全、登入事件、更新等情況,其中最重要的時間點紀錄方式,為抓取伺服器的時間,若伺服器的時間設定為何,則event log紀錄的時間則是伺服器設定的時間

EVENT LOG時間

在web log上,主要是紀錄網站瀏覽的行為或網站的任何事件。其紀錄檔案放置在iis的設定路徑下,時間紀錄的格式為GMT。若要還原為台灣時間,則需+8小時,變成GMT+8

WEB LOG時間

2014年5月21日 星期三

[惡意簡訊詐騙]惡意簡訊詐騙已逐漸變型

最近的簡訊惡意程式,已經開始變型,如果不是使用手機點擊惡意程式的話,發現將跳轉至正常的網站。因此降低被發現的風險

鑑於此,基本分析如下:

惡意簡訊詐騙

google輸入短網址測試(發現使用電腦測試的話,會自動轉到正常的黑貓官方網站)

利用短網址還原服務測試(發現有網址轉址的功能)
推測若非android的手機,則直接跳轉至其他網站,以規避被發現的風險

還原正常惡意程式下載的過程

whois的ip查詢(國家為南韓 Korea)

測試中繼站ip開啟的服務內容(port 80、port3306、port 3389)
中繼站遠端登入畫面

結論:

目前惡意簡訊的中繼站確開始篩選使用者的來源,會分辨使用者的使用裝置,若非手機系統的話,則會跳轉至正常官方網站,降低被發現的可能。

中繼站多架設於國外,不易追查

2014年5月13日 星期二

[釣魚網站分析]LINE的釣魚網站分析

LINE的釣魚網站分析

利用line貼圖的特性,誘拐民眾點擊釣魚網站後,輸入相關帳號密碼,以竊取相關個資。

釣魚網站:


釣魚頁面與主機位址

主機國家

開啟的相關服務(port21、port80、port445、port3306)
因此,該中繼站系統內含有資料庫,有民眾的詐騙個資在裡面



2014年4月15日 星期二

[line盜用]line被盜用線上回報機制


若發現line被盜用,處理方式:

1.可依序填入相關資訊,將回報給line公司進行後續處理問題



回報網址:
https://line.naver.jp/cs/

2.帳號遭入導致侵權損害涉欲提告個資法與刑法妨害電腦用罪者,可檢具相關具體資料(如電子郵件或網頁等資料),至各地警察機關完成報案手續。


2014年4月8日 星期二

[資安新聞事件]鐵路警察局與刑事警察局破獲惡意訂票集團

鐵路警察局與刑事警察局今天破獲惡意訂票集團,從去年11 月5日至今年1月6日間,總計發送465萬2029筆訂票訊號,惡意攻擊台鐵訂票系統,成功訂購了3萬2002張台北花蓮間車票。另外查獲一名累犯,利用51組身分證號大量訂購車票,訂購的車票數待查。


由台鐵、鐵路警察局與刑事警察局偵四大隊合組的淨網專案小組,昨天與今天總共抓到以潘姓嫌犯為首的犯罪集團。這個集團利用惡意訂票程式,大量訂購火車票。另外還抓到一名林姓嫌犯,之前就曾因為不法訂票被移送,如今又重操舊業,利用51組身分證號,以非法的程式大量搶購車票。

台鐵表示,專案小組追查發現,在去年11月初至今年1月初間,台鐵訂票系統出現不正常的訂票,疑似遭到惡意程式攻擊,昨天、今天分別前往潘姓嫌犯等6人的住處搜索,將集團6人逮捕到案。潘姓主嫌坦承,使用惡意訂票程式,可以在短時間內大量訂購團體票,總計已經成功訂走3萬多張。

林姓嫌犯是使用假造的51組身分證號,搭配非法程式在台鐵網站訂票,嚴重的占用訂票系統頻寬,造成其他民眾無法順利訂票,甚至將整個系統癱瘓。台鐵表示,林姓嫌犯已經嚴重危害其他民眾訂票權益。

台鐵緊急針對犯罪集團使用的惡意訂票程式進行分析,已修改台鐵訂票系統,避免再度被相同程式攻擊。

資料來源:
http://udn.com/NEWS/SOCIETY/SOC7/8585175.shtml

http://www.appledaily.com.tw/appledaily/article/headline/20140402/35740174/黃牛掃3萬張車票台鐵逮6嫌

http://udn.com/NEWS/BREAKINGNEWS/BREAKINGNEWS2/8585367.shtml

2014年1月23日 星期四

[linux]遠通電收被目錄存取攻擊(Directory traversal)

2014年1月最火紅的新聞事件,無非就是遠通電收第一個app遭駭案(程式寫不好的烏龍案)、官網目錄設置不好。

何謂跨目錄存取弱點(Directory traversal)?
簡單來說,當系統目錄安全性未設定足夠的安全性,導致有心人士可以利用特殊的語法,例:../進行跳脫正常的網頁路徑,直接看到下一層級的內容。

上述的圖,便足夠說明,在第1行的路徑,主要是呈現是在哪一個目錄下秀出其機密文件。

在linux伺服器的環境中,比較要注意的是password和shadow這二種檔案,其內容記載著系統登入的帳號與密碼。最重要的更是shadow檔!!

二者之間的架構如下:

/etc/passwd 檔案結構

帳號名稱:密碼:UID:GID:使用者資訊說明欄:家目錄:Shell


/etc/shadow 檔案結構

帳號名稱:密碼:最近更動密碼的日期:密碼不可被更動的天數:密碼需要重新變更的天數:密碼需要變更期限前的警告天數:密碼過期後的帳號寬限時間(密碼失效日):帳號失效日期:保留

shadow內的密碼欄位才是真正的密碼,不過是經過hash加密後的密碼。

只要有shadow檔的話,就可以比照出完整的密碼內容。

因此,從圖中來看,這次的網站內容只公告password,並沒有公告shadow出來。