Coinbase 是最受欢迎的加密货币交易平台之一,今天宣布它正在阻止访问与俄罗斯个人和实体相关的 25,000 多个区块链地址。
该公司还与美国政府分享了所有封锁地址,以“进一步支持制裁执法”。
Coinbase 的首席法律官 Paul Grewal 补充说,加密货币交易所正在阻止受制裁的参与者开设新账户,并积极侦查逃避禁令的企图。
该禁令涉及世界各国维护的制裁名单,包括美国、英国、欧盟、联合国、新加坡、加拿大和日本。
“例如,当美国在 2020 年制裁一名俄罗斯国民时,它特别列出了三个相关的区块链地址。通过高级区块链分析,我们主动确定了 1,200 多个可能与受制裁个人相关的额外地址,我们将这些地址添加到我们的内部黑名单中, ”格鲁瓦尔说。
“今天,Coinbase 阻止了超过 25,000 个与我们认为从事非法活动的俄罗斯个人或实体有关的地址,其中许多是我们通过自己的主动调查发现的。”
此前,乌克兰副总理米哈伊洛·费多罗夫(Mykhailo Fedorov)还要求所有主要的加密货币交易所封锁俄罗斯人使用的区块链地址,以增加压力并迫使他们对政府在乌克兰的持续战争采取行动。
“不仅要冻结与俄罗斯和白俄罗斯政客有关的地址,还要冻结普通用户的地址,这一点至关重要,”费多罗夫说。
Coinbase 和包括 Binance 在内的其他加密货币交易所拒绝冻结所有俄罗斯用户的账户,但表示他们将遵守美国和欧盟在俄罗斯武装部队入侵乌克兰后对俄罗斯实施的经济制裁。
Binance 和 Coinbase 的发言人补充说,虽然他们不会封锁其平台上的所有俄罗斯账户,但加密货币交易所将采取措施识别所有制裁实体和个人,并封锁他们的账户和交易。
虽然 Coinbase 引用“世界经济自由”来解释这一决定,但 Binance 表示,这是关于“全球人民获得更大的财务自由”,禁止用户访问他们的加密货币“将违背加密货币存在的原因。”
一个名为“Dirty Pipe”的新 Linux 漏洞允许本地用户通过公开可用的漏洞获取 root 权限。
今天,安全研究员 Max Kellermann 负责任地披露了“脏管道”漏洞,并表示它会影响 Linux Kernel 5.8 及更高版本,甚至在 Android 设备上也是如此。
该漏洞被跟踪为 CVE-2022-0847,允许非特权用户注入和覆盖只读文件中的数据,包括以 root 身份运行的 SUID 进程。
凯勒曼在追踪一个破坏了他的一位客户的 Web 服务器访问日志的错误后发现了这个错误。
Kellerman 表示,该漏洞类似于 2016 年修复的 Dirty COW 漏洞 (CVE-2016-5195)。
作为Dirty Pipe 披露的一部分,Kellerman 发布了一个概念验证 (PoC) 漏洞,允许本地用户将自己的数据注入敏感的只读文件中,消除限制或修改配置以提供比通常更大的访问权限.
例如,安全研究员 Phith0n 说明了他们如何利用该漏洞来修改 /etc/passwd 文件,从而使 root 用户没有密码。进行此更改后,非特权用户只需执行“ su root”命令即可获得对 root 帐户的访问权限。
然而,安全研究人员BLASTY的最新漏洞利用 今天也公开发布,通过修补 /usr/bin/su 命令以在 /tmp/sh 中删除 root shell,然后执行脚本,更容易获得 root 权限。
执行后,用户将获得 root 权限,如下面的 BleepingComputer 所示,在运行 5.13.0-27-generic 内核的 Ubuntu 20.04.3 LTS 中。
从 2022 年 2 月 20 日开始,该漏洞已负责任地向各种 Linux 维护人员披露,包括 Linux 内核安全团队和 Android 安全团队。
虽然该漏洞已在 Linux 内核 5.16.11、5.15.25 和 5.10.102 中得到修复,但许多服务器继续运行过时的内核,这使得该漏洞的发布对服务器管理员来说是一个重大问题。
此外,由于使用这些漏洞很容易获得 root 权限,威胁参与者在进行攻击时开始使用该漏洞只是时间问题。恶意软件以前使用过类似的 Dirty COW 漏洞,尽管它更难利用。
对于提供 Linux shell 访问权限的网络托管服务提供商或通常提供对多用户 Linux 系统的 shell 访问权限的大学来说,此错误尤其重要。
Linux 经历了艰难的 12 个月,披露了许多备受瞩目的特权提升漏洞。
其中包括 Linux iSCSI 子系统中的特权提升漏洞、另一个 内核错误、 扩展伯克利包过滤器 (eBPF) 和 Polkit 的 pkexec 组件。
在 PTC 的 Axeda 代理中发现了一组被统称为 Access:7 的七个漏洞,该解决方案用于远程访问和管理来自 100 多家供应商的 150 多个连接设备。
其中三个安全问题的严重性评分至少为 9.4(严重),可被利用在运行易受攻击版本的 Axeda 代理的设备上远程执行代码。
Axeda 平台由 Parametric Technology Corporation (PTC) 开发,通过本地部署的代理提供来自网络上物联网设备的遥测数据和远程服务选项。
Axeda 代理可以在各种连接系统上运行,医疗保健行业的设备更为普遍,这使得它们成为供应链攻击的有吸引力的目标。
Forescout 的 Vedere Labs 和 CyberMDX(自 2 月 1 日以来是 Forescout 公司)的安全研究人员发现,所有低于 6.9.3 的 Axeda 代理版本都容易受到一组七个安全漏洞的攻击。
被称为 Access:7,这些问题的影响范围从信息泄露和拒绝服务 (DoS) 到远程代码执行。
| CVE-ID | 描述 | 影响 | 严重性评分 |
|---|---|---|---|
| CVE-2022-25249 | Axeda xGate.exe 代理允许通过其 Web 服务器上的目录遍历进行无限制的文件系统读取访问 | 信息披露 | 7.5 |
| CVE-2022-25250 | 未经身份验证的攻击者可以通过未记录的命令远程关闭 Axeda xGate.exe 代理 | 拒绝服务 (DoS) | 7.5 |
| CVE-2022-25251 | Axeda xGate.exe 代理支持一组未经身份验证的命令来检索有关设备的信息并修改代理的配置 | RCE | 9.4 |
| CVE-2022-25246 | AxedaDesktopServer.exe 服务使用硬编码凭据来启用对设备的完全远程控制 | RCE | 9.8 |
| CVE-2022-25248 | ERemoteServer.exe 服务向未经身份验证的攻击者公开实时事件文本日志 | 信息披露 | 5.3 |
| CVE-2022-25247 | ERemoteServer.exe 服务允许完整的文件系统访问和远程代码执行 | RCE | 9.8 |
| CVE-2022-25252 | 所有使用 xBase39.dll 的 Axeda 服务都可能在处理请求时由于缓冲区溢出而崩溃 | 拒绝服务 (DoS) | 7.5 |
Forescout 说, Axeda 平台 为联网设备制造商提供了一个开发套件,让他们“为产品线生成配置的代理安装”。
通过这种方式,制造商可以获得遥测数据,设备可以远程接收服务。一个代理可以代表一个或多个设备,具体取决于它所在的位置:如果放置在网关上,它可以在网关后面为多个产品或资产提供服务。
值得注意的是,PTC 逐步淘汰了 Axeda,转而使用一个不同的、更灵活的平台,称为 ThingWorx。尽管如此,Axeda 仍被各行各业的客户使用。
Forescout 通过其设备云解决方案收集的匿名客户数据显示,超过 2,000 台独特的设备在其网络上运行 Axeda。
在今天的一份报告中,Forescout 解释说,就医疗设备而言,即使是不太严重的 Access:7 漏洞也会产生重大影响。
例如,攻击者通过在成像或实验室设备上利用 CVE-2022-25249 获得读取访问权限(根据 Forescount 数据,Axeda 代理更存在这些设备)可以窃取有关患者的受保护健康信息 (PHI) 或诊断并将其出售如果它是一个高价值的受害者,就可以获利。
同样,利用 CVE-2022-25250 之类的漏洞,攻击者可以在有针对性的攻击中关闭设备上的 Axeda 代理,从而无法进行远程服务。这可能导致医疗保健单位中断治疗或诊断患者。
由于存在 CVE-2022-25246(用于远程访问的硬编码凭据)等严重漏洞,Forescout 强调“VNC 连接的密码在供应商的所有型号或型号系列中都是相同的”。
研究人员强调,VNC 连接还可用于修改医疗信息,这可能对患者造成严重后果(例如虐待)。
或者,攻击者可以利用这一优势植入恶意代码,使他们能够在网络上持久存在以应对未来的攻击。
Forescout 的 Vedere Labs 和 CyberMDX 发现了组安全漏洞,两家公司都参与了负责任的披露。
这是一个漫长的过程,就像涉及大量设备和供应商的供应链漏洞一样。在这种情况下,从初次报告到公开披露经过了 210 天。
PTC 于 8 月 10 日收到了 CyberMDX 的一份报告,然后要求进行概念验证漏洞利用,以表明这些漏洞可以在实际攻击中被利用。
2021 年 11 月,PTC 通知 CISA 进行协调披露。2022 年 1 月,PTC 开始通知下游供应商(仅限活跃客户)。
为将风险降至最低,Forescout 创建了一份来自尽可能多的供应商的当前使用或曾经使用过 Axeda 的设备列表,即使他们是不活跃的 Axeda 客户,并向他们发出漏洞警报。
Axeda 已解决所有漏洞,设备制造商应向客户推出他们的修复程序,因为修补是完全缓解问题的唯一方法。
近日,美国联邦调查局、网络安全和基础设施安全局联合发布了一份告警称,Ragnar Locker勒索组织正大规模攻击美国关键基础设施。截至2022年1月,FBI已经确定,在受攻击的10个关键基础设施中,至少有52个关键基础设施被入侵,涉及关键制造业、能源、金融服务、政府和信息技术领域等领域。
资料显示,RagnarLocker勒索软件首次出现在2019年12月底,2020年4月被FBI发现,并一直活跃至今。勒索软件的代码较小,在删除其自定义加壳程序后仅有48KB,并且使用高级编程语言(C/C++)进行编码。如同所有勒索软件一样,该恶意软件的目标是对可以加密的所有文件进行加密,并提出勒索,要求用户支付赎金以进行解密。
作为一个老牌勒索家族的变种,RagnarLocker勒索软件经常更改混淆技术以避免检测和预防。因此,此次FBI和CISA联合发布警告侧重于提供可用于检测和阻止Ragnar Locker勒索软件攻击的入侵指标 (IOC),包括有关攻击基础设施的信息、用于收集赎金的比特币地址以及该团伙运营商使用的电子邮件地址。
Ragnar Locker勒索组织的终止托管服务提供商 (MSP) 使用的是远程管理软件,包括ConnectWise、Kaseya,以此远程管理那些受感染的企业。而且这还有利于攻击者躲避系统检测,确保程登录的管理员不会干扰或阻止勒索软件部署过程。
FBI要求所有检测到Ragnar Locker勒索软件的企业和政府部门安全管理员或专家,应尽早与本地的FBI Cyber Squad联系并共享攻击的相关信息。此举将有助于识别该勒索软件背后的攻击者真实信息,包括勒索票据副本、勒索要求、恶意活动时间表、有效负载样本等。
同时FBI希望被勒索的企事业单位尽量不要向Ragnar Locker勒索组织支付赎金,因为即便支付了赎金也无法保证数据可以解密,或不被泄露。相反,支付赎金将进一步刺激勒索组织发起更广泛的攻击,并吸引更多的攻击者加入到勒索的队伍中。
当然,FBI也表示Ragnar Locker确实会给企业带来严重的伤害,这可能会迫使企业支付赎金,以此保护股东、客户和员工的权益。在告警中FBI还分享了阻止此类攻击的缓解措施,并强烈督促受害者第一时间向FBI报告该攻击事件。
2022 年 2 月,ThreatFabric 的研究人员发现了一个新的安卓银行木马 Xenomorph。它与另一个臭名昭著的银行木马 Alien 存在明显的联系,公用了部分类名和字符串。
根据遥测数据,Xenomorph 将 56 家不同的欧洲银行作为攻击目标。该恶意软件在 Google Play 上的安装量已经超过 5 万。
Xenomorph 尽管与 Alien 存在关联,但二者的功能则截然不同。可能是 Alien 的开发者转而开发了 Xenomorph 或者是能够接触到 Alien 的代码。当然,这些都是推测。
近来,越来越多的攻击者开始通过 Google Play 进行恶意软件分发。
攻击者冒充应用程序 Fast Cleaner,如下所示:
应用市场
分析确定该应用程序属于 Gymdrop Dropper。Gymdrop 是 2021 年 11 月发现的 Dropper 家族,此前也发现过用于分发 Alien 银行木马。
研究人员发现一批归属于 ExobotCompact.D的恶意软件,在过去的几周内非常活跃。
仿冒程序
这是首次观察到 ExobotCompact.D 与 Alien.A 通过同一个 Dropper 基础设施进行分发,与此同时也发现了全新的恶意软件家族 Xenomorph。
Xenomorph 的功能特性如下所示:
这种技术在安卓银行木马中被广泛使用,主要使用覆盖攻击窃取凭据,结合使用短信和通知拦截记录潜在存在的双因子认证。
该恶意软件的攻击基础设施与 C&C 协议都经过精心设计,可以后续扩展与更新。
int v0 = arg4.getEventType();switch(v0) {case 1: {UtilGlobal.Log("onAccessibilityEvent", "### type: TYPE_VIEW_CLICKED");break;}case 2: {UtilGlobal.Log("onAccessibilityEvent", "### type: TYPE_VIEW_LONG_CLICKED");break;}case 4: {UtilGlobal.Log("onAccessibilityEvent", "### type: TYPE_VIEW_SELECTED");break;}case 8: {UtilGlobal.Log("onAccessibilityEvent", "### type: TYPE_VIEW_FOCUSED");break;}. . .case 0x20: {UtilGlobal.Log("onAccessibilityEvent", "### type: TYPE_WINDOW_STATE_CHANGED");this.windowStateChangedEvent(arg4); // function responsible for injectionsbreak;}case 0x40: {UtilGlobal.Log("onAccessibilityEvent", "### type: TYPE_NOTIFICATION_STATE_CHANGED");this.notificationStateChanged(arg4); // function responsible for logging notificationsbreak;}. . .}
该恶意软件的日志记录功能非常强大,可以收集受害者的应用程序行为数据,即使不在潜在攻击应用程序范围内。
程序内实际上还有很多功能尚未实现,Xenomorph 可能仍然处在起步阶段。但 Xenomorph 在一开始就考虑了模块化设计,便于后续扩展更多功能。
与其他银行木马一样,该恶意软件也以来覆盖攻击机制来欺骗受害者泄露个人信息,然后犯罪分子可以利用这些信息进行诈骗。如果恶意软件在启动时获取了 Accessiblity Services 权限,后续就可以自动赋予自己需要的权限,在设备上静默执行。
屏幕截图
Xenomorph 的攻击手段仍然是经典的 Accessibility Services 权限覆盖攻击。一旦恶意软件执行,后台服务就会在设备上接收可访问事件。打开的应用程序在目标应用程序列表中时,Xenomorph 就会触发覆盖注入目标应用程序的 WebView Activity。
实现功能的部分代码如下所示:
此外,恶意软件能够滥用辅助功能记录设备上的所有活动。截至目前,收集的信息还只是存在本地设备日志上,但后续可能改动回传到攻击者处。
恶意软件会首先回传已安装应用程序列表,根据存在的应用程序下载相应的覆盖注入模块。Xenomorph 针对西班牙、葡萄牙、意大利和比利时的一些目标居多,也包括一些通用应用程序,如电子邮件和加密货币钱包等。
攻击目标
Xenomorph 依赖于开源项目 Retrofit2 实现 C&C 通信。
Retrofit 是 Square 开发的适用于 Android、Java 和 Kotlin 的 REST 客户端。该库提供了一个强大的框架,用于验证和与 API 交互以及使用 OkHttp 发送网络请求。
在获得无障碍服务权限后,Xenomorph 将首先向 C&C 服务器注册并验证:
通信使用不断变化的 AES 密钥以及消息的哈希值进行加密,使用硬编码密钥的第一条信息格式如下:
之后就可以与 C&C 服务器正常通信,恶意软件通常会定期轮询 C&C 命令。响应如下所示:
coms 支持的命令如下所示:
对外接口
Xenomorph 的风格让人想起另一个强大的 Android 银行木马 SOVA,但该恶意软件实际上与另一个已经存在 2 年多的 Android 银行木马 Alien 存在很多相似之处。
Xenomorph 使用的变量命名风格让人联想到 Alien,最有趣的事实是用于存储 Xenomorph 配置的 sharedPreferences 文件的实际名称:ring0.xml。
这可能看起来像随机的字符串,但它恰好与 Alien 恶意软件开发者的名称一致。
相似之处
如果说这是巧合的话,还有许多非常奇特的日志记录字符串和类名,都与 Alien 是相似的。
相似之处
目前来看,Alien 的功能显然比 Xenomorph 要强大的多。但 Xenomorph 毕竟是新兴的恶意软件,后续可能会做出更多更新。
Xenomorph 的出现再次表明,攻击者对 Google Play 的攻击越来越频繁。Xenomorph 目前是一个普通的 Android 银行木马,但仍然非常有潜力快速发展。
64c0f71d9c903f7b22a193a7844ea98a5f9db62b4dcc139f75f6d9698645f369
76e9359cfa98bb326f544577394b007132db63fd19fedde73a76162744b93c6f
2d6f26c16d29d4e68ece44e3ac558cd557d906684ee1a546ea982e7a64ddf0ce
2877b27f1b6c7db466351618dda4f05d6a15e9a26028f3fc064fa144ec3a1850
simpleyo5.tk
simpleyo5.cf
art12sec.ga
kart12sec.gq
homeandofficedeal.com
近日,Mozilla对火狐(Firefox)网络浏览器进行了带外安全更新,其中包含了两个影响很大的安全漏洞。数据显示,这两个漏洞正在被广泛利用。
这两个零日漏洞被追踪为CVE-2022-26485和CVE-2022-26486,被认为属于Use-After-Free 漏洞,其主要影响可扩展样式表语言转换(XSLT)参数处理和WebGPU进程间通信(IPC)框架。
XSLT是一种基于XML的语言,用于将XML文档转换成网页或PDF文档,而WebGPU是一种新兴的web标准,也被认为是当前WebGL JavaScript图形库的继承者。
以下是对这两个缺陷的具体描述:
CVE-2022-26485 - 在处理过程中删除XSLT参数可能会导致可利用的Use-After-Free 漏洞
CVE-2022-26486 - WebGPU IPC框架中一个意料之外的消息可能会导致Use-After-Free漏洞和可利用的sandbox escape
而通过利用Use-After-Free漏洞,这些缺陷可能被用来破坏有效数据,并在受损的系统上执行任意代码。
Mozilla已经承认收到受入侵的报告,且确认了这两个漏洞的武器化,但没有透露任何与入侵有关的技术细节,也没有透露利用这些漏洞的恶意者的身份。
关于本次入侵,外界普遍认为是奇虎360的安全研究人员王刚、刘家磊、杜思航、黄毅和杨康最先发现并报告了这些缺陷。
鉴于这些漏洞正被积极利用,建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。
近日乌克兰局势不断升级,直到今天,发展成为全面的战争行为,除了目前牵动世界神经的战争局势发展态势,还有伴随在战争之下频繁的网络战争。网络攻击一直伴随着本次冲突的发展而不断出现,成为本次战争的先行战场。根据目前的威胁情报信息来看,除了之前针对乌克兰国防部、外交部、教育部、内政部、能源部、武装部队等机构的大规模分布式拒绝服务攻击外,从昨天开始,一款用于攻击乌克兰的数据擦除恶意软件被部署在了乌克兰数百台重要机器上,造成了这些机器无法工作。
但从对战争的影响来看,这些攻击或许只能在战前给对方一定的威慑作用,并不会对战争产生多少影响,但是从11点开始的定点清除行动,需要事先对目标的重要设施和人员有精确的了解,这让我们想到去年追踪到的一系列针对乌克兰边防局和乌克兰国防部网络间谍活动,间谍活动以“COVID-19Vaccine”、“向 ATO 退伍军人付款”、“紧急更新!!!”、“乌克兰总统令 №186_2021”等内容诱饵进行攻击,这一系列网络间谍活动或许也是战前准备所做的重要的一步。报告见我们2021年8月发布的《针对乌克兰边防局和国防部攻击活动深度分析》报告。
本文将根据目前已经监控的攻击情况结合公开的情报对本次冲突下的网络攻击分析梳理和分析,同时进一步的对近日出现的新型数据擦除恶意软件进行深入剖析。
从2022年1月13日开始,就出现了一款针对乌克兰政府和商业实体的新型破坏性恶意软件“ WhisperGate ”,目标指向乌克兰的政府、非营利组织和信息技术实体,此时俄罗斯和乌克兰的地缘政治紧张局势正在酝酿之中,微软将这些攻击归因于代号为“ DEV-0586 ”的新型APT组织。紧接着的1月14日,乌克兰外交部、教育部、内政部、能源部等部门因受到大规模网络攻击而关闭;到2月15日时,乌克兰国防部、武装部队等多个军方网站、以及乌克兰最大银行的两家银行 PrivatBank和Oschadbank网站因受到大规模网络攻击而关闭;2月23日,乌克兰部分国家和银行机构的网站再次受到大规模的DDoS攻击,而此时,俄罗斯已对乌克兰形成大军压境之势。同时,一款名为“ HermeticWiper ”(又名KillDisk.NCV)的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现,最新一轮的破坏型的网络攻击再次启动。
2月14日起,乌克兰重要军事、政府、教育、金融等部门的网络系统多次遭到大规模DDoS攻击,包括乌克兰国家公务员事务局(nads.gov.ua)、乌克兰政府新闻网站(old.kmu.gov.ua)、乌克兰国家储蓄银行(oschadbank.ua)、乌克兰国内最大商业银行(Privatbank.ua)以及乌克兰外交部、安全局等等重要机构均遭到攻击。DDoS攻击通过系统资源消耗的方式造成乌克兰众多关键基础设施和重要网络系统瘫痪,严重影响了乌克兰的社会秩序以及军队的作战指挥和调度,大大削弱了乌克兰的战时行动能力。乌克兰国家特殊通信和信息保护局多次发布网络攻击通告进行警示:
图1:乌克兰国家特殊通信和信息保护局多次发布网络攻击通告
图2:受攻击的乌克兰政府新闻网站(old.kmu.gov.ua)
图3:受攻击的乌克兰国家储蓄银行(oschadbank.ua)
随着俄乌安全局势的不断恶化,近期瞄准乌克兰地区的网络间谍活动显著增多。启明星辰ADLab持续捕获到多起针对乌克兰的网络钓鱼攻击,旨在探测与窃取目标的敏感信息。相关钓鱼文档以军事命令、政府文件等为诱饵实施网络窃密活动,目标主要包括乌克兰的军事、政府、金融等敏感行业。网络窃密攻击在网络战中地位极其重要,通过情报窃取可以及时掌握目标的核心机密情报并对后续的军事战略行动产生重大影响。涉及的部分诱饵文档如下所示:
诱饵文档一:伪装成乌克兰军事机构文件(提示用户检查恶意邮件)
图4:伪装成乌克兰军事机构文件
诱饵文档二:伪装成乌克兰国防部命令文件(包括乌克兰革命部队和乌克兰武装部队间的通信网络建设信息)
这批间谍攻击活动与我们2021年8月发布的《针对乌克兰边防局和国防部攻击活动深度分析》报告中涉及的攻击特征有很高的相似度,判断可能是该组织长期持续的间谍攻击活动。
2月23日起,一款名为“ HermeticWiper ”(又名KillDisk.NCV)的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现,涉及乌克兰的金融和政府承包商,导致相关组织的系统设备数据遭到摧毁。该恶意软件于2021年12月28日编译,并在2月23日首次部署,其中一次入侵涉及直接从Windows域控制器部署恶意软件,这表明攻击者已经控制了目标网络。这已经是本年第二起针对乌克兰重要部门的破坏型攻击事件,早在1月13日,就出现了一款针对乌克兰政府和商业实体的新型破坏性恶意软件“ WhisperGate ”,目标指向乌克兰的政府、非营利组织和信息技术实体,此时俄罗斯和乌克兰的地缘政治紧张局势正在酝酿之中,微软将这些攻击归因于代号为“ DEV-0586 ”的新型APT组织。针对此次新出现的“ HermeticWiper ”恶意软件,启明星辰ADLab迅速展开分析,相关技术分析如下。
恶意软件首先使用权限修改API函数,将自身进程的权限进行特权提升处理。
之后,再利用VerifyVersionInfoW和VerSetConditionMask(以此避免GetVersionEx无法判断Win7以上系统版本)来获取计算机操作系统版本,以及32或64位等信息。
从近期的观察来看,在战争发生之前,乌克兰和俄罗斯局势的升级都会伴随着相应的网络攻击,可以说,网络攻击似乎成为冲突背后用于压制对方的一种重要手段,除了可以破坏对手的网络基础设施外,还能对对手政府起到一定的威慑作用。当然本次战争背后,从最近发现的网络攻击(破坏计算机和DDoS攻击)来看,并不会对战争起到多大的作用,更像是一种心理战术。但我们不能排除其中可能存在隐秘攻击,能够对战争起到重要的作用,比如本次“定点清除攻击”所涉及到的情报工作,这其中有可能部分重要情报是通过网络间谍活动得到的,因为从以往针对乌克兰的间谍活动来看,网络攻击应该扮演过重要的角色,这其中包括我们在2021年8月的《针对乌克兰边防局和国防部攻击活动深度分析》报告中所揭示的一系列针对乌克兰的网络间谍活动。
爱沙尼亚VPS服务器标准A区促销-畅销型
创新的数据中心——关键应用程序和数据的可靠环境
爱沙标准A区 
为客户提供更优质服务的产品
新中心已经准备就绪,房子的内部与我们的技术创新齐头并进:数据中心采用未来主义风格建造 - 它闪亮、洁白、清爽。服务器中心的建设基于 TIER 3 和 ISKE 标准。截至 2018 年,As WaveCom 已实施 ISO 9001:2015 数据中心管理质量管理体系。2019 年夏天,我们的数据中心和服务是否符合 ISO 27001:2013 信息安全和可用性标准。我们将继续实施和认证 PCI DSS 标准。
 |
 |
 |
 |
该中心拥有最先进的 FBI 认证访问系统,您目前在电影中见过这种访问系统:指纹、手指静脉网络和面部识别。
数字、微波和红外传感器覆盖每一个角落,现代系统使用面部检测来确保乘客只能在其周边范围内移动。新设备柜配备生物识别安全锁和各种监控传感器
整个区域都被一个安全的、最先进的自动气体灭火系统覆盖,供人员和服务器使用。服务器中心空间由几个相互建造的房间组成,这些房间有三层墙和防水地板和天花板。数据中心用金属板屏蔽。
服务器中心必须始终像景观一样干净。为防止灰尘进入中心,只能穿着防尘服进入中心。进入后,一台特殊的机器用强力薄膜覆盖鞋子
 |
 |
 |
 |
服务器机房需要大量冷却。在新大楼中,我们引入了一种创新的、多重配音的施耐德系统,该系统循环水进行冷却,而水又由外部温度冷却。爱沙尼亚凉爽的气候至少有一些好处!施耐德 APC 模块化系统中机柜的位置使冷却更加高效。有封闭的冷空气走廊,服务器机柜从中吸入冷空气。热空气从机柜后面排出,以重新冷却热空气走廊,从那里移出房间。
 |
 |
 |
仅由施耐德电气/APC 技术组成的车队在爱沙尼亚是独一无二的,因为这里没有其他类似的数据中心。除了高品质的设备外,施耐德系统还配备了专门的软件控制平台。这使我们的管理更容易。服务器中心甚至可以通过智能手机进行管理。智能监控机器人通过电话报告可能的问题。该软件能够在 3D 地图上可视化数据中心,从而允许使用假设方法模拟中心的运营。
我们通过连接到两个不同变电站的两个电气室来保证能源。一个变电站的故障将自动化切换到另一个变电站。在这两种故障的情况下,虽然这不太可能发生,但发电机将立即启动。电气室提供支持时间为 20 分钟的施耐德UPS
我们数据中心的所有服务器机柜都配备了两个施耐德/APC智能电源条,每个条都由不同的电源供电。在某些机柜中,我们使用电源开关,通过两个输入为单电源设备提供有保证的电源。
作为一种新的解决方案,我们使用锁定在服务器和电源条上的电源线,消除了当您碰到电缆时设备断电的可能性;
我们的自助服务允许服务器托管和私人服务器客户管理自助服务电源并查看他们的功耗。
 |
 |
 |
 |
三种不同的光缆从数据中心连接到爱沙尼亚的重要通信中心,提供 60 Gbit/s 的通信能力。如有必要,我们可以通过添加几个模块来提高速度。我们还允许客户使用来自其他运营商的连接。光缆也由高速无线电链路网络复制。
该数据中心拥有三台 Cisco Nexus 5596UP 数据中心 1.92TB/秒网络交换机。它的 1-10Gbit 扩展模块安装在每个机柜中,并依次连接到 3 x 10 Gbit 网络。最低客户端端口速度为 1 Gbit/s。然而,10Gbit/s 已经被用作我们的云和网络托管服务的基本速度,并且可以以可承受的价格提供给其他服务。
我们的网络流量不会中断,因为客户的网络网关使用 Cisco GLBP 协议。流量同时通过我们的两个路由器,它们位于不同的位置,并且还连接了不同的海底电缆,用于流出爱沙尼亚的流量。如有必要,还可以平衡网络流量。除了 40Gb/s Hurricane Electic 和 Citic Telecom 外部连接外,路由器还通过 2x10Gb 接口连接到 RTIX Internet 连接点,从那里进行国内流量。我们还为客户提供 BGP 会话和路由。
在大多数情况下,在以色列VPS比类似的服务更有优势,但在欧洲 亚洲 这些国家的立法严格遵守租户的数据隐私权。
我们公司在以色列和世界其他国家提供VPS服务,经过多年的活动,我们已经形成了现代化和发达的基础设施。今天,我们有机会为所有客户提供高速服务。我们还保证99.9%的连接稳定性。
以色列的技术和现代:VPS以及云计算服务结合了灵活性和简单性。今天,许多公司和企业使用这种类型的托管。它的工作原理与真实的物理服务器相同,即在处理器性能、RAM和磁盘空间方面具有相同的资源。
在以色列租用VPS可为以色列IP地址提供灵活配置系统和优化资源的能力。租用将是正确的选择,特别是如果任务是保护 1C 数据或任何其他机密信息。
对于许多项目,在以色列租用 VPS将是一个有利可图的解决方案。这种方法将提供更高的信息安全性和启动大型项目的能力。强大而稳定的系统在这个国家运行。这确保了可靠和稳定的信号传输。在以色列选择数据中心时,我们以客户的偏好和愿望为指导:安全性、稳定性、项目速度。所有这些要求都由当前的数据中心定期满足。今天,我们所有的客户都可以使用以色列的VPS。我们的竞争优势之一是以尽可能低的价格提供高质量的服务。
今天,我们对客户的要求和要求有了清晰的了解。我们的优势在于对每个请求和每个应用程序的租用专用服务器的单独方法。我们保证满足每一位客户的需求。
服务的快速处理使快米云在竞争中脱颖而出。在同意订单和付款的详细信息后的10-15分钟内,您将收到所选配置的VPS在以色列的处置。
如果您有没有找到答案的问题,请联系我们的支持团队。我们的专家将帮助您选择适合您项目的配置,告诉您条件、特性并提供其他重要信息。您可以保证获得申报的产能,并将能够专注于主要活动领域。
我们负责处理与您在网络上运行资源相关的所有技术问题。这意味着您无需花费自己的时间来解决各种技术问题。我们保证您的项目将在规定的条件下全天候稳定正常运行。通过快米云在以色列VPS是一项有便利的优势,我们的数百名客户已经利用了这一优势。
意大利物理机:
点击 链接
详细配置可见 平台链接
以下为意大利米兰数据中心详细视频介绍:
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
