从一篇AMA揭幕单慢雾安全技术
Posted FeelTouch Labs
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了从一篇AMA揭幕单慢雾安全技术相关的知识,希望对你有一定的参考价值。
一、对区块链项目进行安全审计时,需要做哪些事情,是一个怎样的流程?
首先我们会调研项目方的背景,保证项目方是正规的团队,并且项目遵守各项法规。接着会对代码进行评估审计的工作量,然后开始代码上的审计工作,根据审计项来发掘代码上的漏洞风险,并给出相关的修复方案,最后联系项目方修复对应的风险后再次经过检查,来给出最终的审计报告,大致是这么一个流程。
二、慢雾与行业内其他安全审计团队相比,有哪些独特的优势?
首先,慢雾安全团队拥有丰富的链上+链下安全经验,关注的是目标项目的整体安全架构(不仅仅是智能合约安全)及安全生命周期(这包括项目从安全设计到研发、运维、新版本迭代、威胁情报、应急响应、追踪溯源等,简而言之就是从威胁的发现到威胁防御,是慢雾安全的技术闭环做法)
另外,慢雾不仅关注技术安全,也很关注合规安全及生态安全,合规安全是确保目标项目能更安全合规运营(比如FATF及各国监管有关的反洗钱要求),生态安全是希望联合行业优质伙伴及社区一起(比如慢雾有慢雾区,一个白帽黑客安全社区)共同建设安全联防工作。
三、MistTrack 链上追踪服务,它是以什么方式展开的链上追踪行为?
MistTrack链上追踪分析主要分为资金转移分析和黑客痕迹分析两大部分
然后其他分析(例如受害者画像分析等)视情况而定
首先说说资金转移分析,大家也知道我们最近推出了反洗钱追踪平台 MistTrack,这也是目前我们比较常用的链上分析工具
这是一个很强大的工具,数据集成有数量众多的标签地址和恶意地址,最大程度的链上链下信息关联。
最近还在免费试用阶段,感兴趣可以自己做一次链上福尔摩斯试试看。网址是这个:MistTrack - A Crypto Tracking and Compliance Platform for Everyone
那既然右手拿工具,左手拿方法论,MistTrack内部成体系的方法论也是分析过程中至关重要的一环,例如黑客ETH链洗钱常用的Tornado.Cash如何分析转出,黑客BTC链洗钱常用的ChipMixer如何分析转出等等
非公开事件分析过程不好多说,那针对已公开的事件,刚好我们最近发布了《2022 上半年区块链安全与反洗钱分析报告》,
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
四、针对 APT(Advanced Persistent Threat:高级持续性威胁)攻击,可否简单描述一下这个攻击手段?
APT 其实并不是特指某一种攻击手段,而是指一种高级、持续性的攻击模式。通过先进的攻击手段对特定目标进行长期持续性的网络攻击。相对于普通网络攻击,更像是一种蓄谋已久的“网络间谍”行为。
然后APT攻击主要有几个特点:首先目的性极强,专门是对于窃取商业或国家机密、勒索、破坏重要基础设施等展开的,其次,该攻击行为隐蔽性极强,通常攻击周期长达几个月,以此来做到毫无痕迹的达成攻击目的,最后,其攻击手法多样且先进,常见使用的手法为社工、钓鱼、未公开补丁的未知漏洞等,攻击技术先进且高效。
APT 组织针对区块链行业主要采用的手法也是类似,通过社工或钓鱼骗取开发人员的信任或取得开发人员的相关权限账号后,对项目开发人员发放恶意木马病毒进行攻击。
那慢雾这边建议行业从业人员随时关注国内外各大安全威胁平台的安全情报,最好自我排查。开发人员在运行第三方的软件或文档时要做好必要的安全检查,开启防病毒程序并随时更新。
五、在区块链行业,资金被盗后有找回的可能性吗?是否可以列举一下,慢雾安全团队协助区块链项目方或其它团队找回被盗资金的案例。
如果你要按公开或非公开的加起来那还挺多的,那只说公开的事件,比如 SIL.Finance、Poly Network 等等都是我们协助追回。那涉及到非公开或者说是个人被盗,我自己也处理过好几起,还是有找回的案例,只是说这个比例不算高。
然后我就这边重点说一下被盗了应该怎么办?首先肯定要及时止损,及时转移剩余财产,有条件的话可以联系交易所或者其他平台先冻结账户,那接着就准备写一份被盗事件的文档,不需要很详细,地址资金被盗情况就够,最后可以联系我们这样的安全公司做一些链上追踪,去协助执法单位等等。
当然,你也可以使用刚刚说过的 MistTrack自己先进行一些追踪分析,看看有没有到交易所或者钱包使用痕迹的情况
六、能否从专业的角度讲一下,普通用户该如何防范?以及如何养成更好的链上交互习惯?
普通用户参与链上生态的项目的时候最好需要自己判断与调研项目的背景,以及查看该项目是否有正规安全公司的审计报告。
然后,在点击各种链接时需警惕钓鱼网站的风险,判断链接是否是官方的,最好是从官方媒体平台进去到官网。对于授权、签名等操作需要敏感,细心观察钱包弹出的提示消息。
最后就是做好隔离,分散管理资金,不要把资金都放在同一个钱包里。可以专门建一个钱包,放很少的资金,去玩你想玩的项目。
说到钱包安全,那我这里就要推荐下慢雾出品的区块链黑暗森林自救手册,大部分针对用户的资产安全都有涉及到。非常推荐大家阅读。
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
七、MistTrack有办法追踪Monero、Tornado、Zcash这些隐私币吗?
从一篇防范钓鱼邮件的通知说起
文章目录
1. 网络防骗无小事
网络冲浪一时爽,
网上翻车遭大殃。
网络安全无小事,
时时刻刻记心上。
当今社会,互联网把偌大的地球变成了一个地球村。人们在享受网络带来的便利同时,也要时时刻刻提防着网络诈骗,钓鱼网站,电脑病毒的攻击。
个人电脑只能通过安装各种杀毒软件来进行防护,但是对于一些钓鱼邮件,钓鱼网站还是需要电脑使用者自己小心甄别,一不小心就有可能会掉进骗子的圈套。网上随便一搜,就是各种误入钓鱼网站被骗钱的案例。
这几天在网上冲浪的时候,偶然从西北大学的官网上看到一则 关于防范钓鱼邮件的通知
从这则通知中我们可以知道,该校有部分老师收到题目为“通知”,附件为“工资补贴”的邮件。经查看,该邮件为钓鱼邮件。该钓鱼邮件会盗取用户的银行卡信息,从而盗取账户款项。通知中提到的解决办法也仅仅只是让老师们提高防骗意识,删除钓鱼邮件,将密码更改为更加复杂的密码。这种方式往往只能治标不能治本。下次还是有可能会出现类似的钓鱼情况。
公司电脑只能依赖在员工电脑上安装VPN,在局域网上办公进行防火,但是这种防护也是脆弱并且耗时耗力的。经常会出现这样或者那样的问题,比如:
- 总有员工的电脑被安装上一些莫名其妙的应用程序,拖慢电脑速度,影响办公效率;
- 电脑桌面上总是会不定是出现一些广告弹框,让人不胜其烦。
- 还有人总是在上班期间打卡公司明令禁止访问的网站,比如网页游戏,赌博网站等;
- 公司服务器半夜总是莫名奇妙重启,怀疑被"恶意挖矿",但又找不到具体被感染的文件。
- 公司员工遭遇工资补助的诈骗等等
总而言之,网络安全无小事,轻则中毒电脑不能使用,重大机密数据丢失,公司被迫倒闭。
但是,网络安全的防护又是一件谈何容易的小事。以医疗行业为例,就存在着如下诸多痛点:
- 医疗机构网络结构复杂,网络安全边界日渐模糊;
- 医疗信息泄漏事件频发,网络安全形势严峻;
- 内网承载医院的核心业务系统,APT、勒索病毒和钓鱼攻击盛行;
- 私有终端难以统一管理与处理,增大内网感染风险 ;
- 安全建设起步晚,人员和管理资源不足,难以应对现有威胁。
2. 安全需求很多,怎么办?
如上个章节介绍的医疗行业在网络安全建设上存在着诸多的痛点问题,这些痛点问题也产生了诸多的网络安全需求。
- 亟需针对APT、勒索病毒、钓鱼等新型高级威胁的全面检测与防护能力。
医疗机构包含着HIS、PACS、EMR等核心系统,信息外网也包含着移动支付、挂号系统等,这些系统承载着医疗机构很多核心的业务,极易受到勒索病毒和钓鱼攻击。在传统安全设备的基础上,需要引入新型的安全技术,能够准确识别并发现勒索病毒、钓鱼邮件和APT攻击、远程木马、后门程序等新型、复杂的未知威胁,并实时地告警通知安全运营人员。
传统的杀毒软件只能扫描本机的病毒,木马,对于远程木马,后门程序基本上就是找不到,杀不掉。而且对于一些比较新的勒索病毒,往往需要紧急打补丁才能够弥补,如果补丁打的不及时就及有可能被感染。医疗机构有大量的核心系统,有海量的终端,每个终端都是安全杀毒软件,单机防护,显然是一件不现实的操作。 - 亟需威胁事件自动化阻断的新型安全防护手段。
在恶意程序感染终端的早起阶段就实现自动化阻断动作,避免在内网进行大量传播或者成为调班攻击内部系统或剽窃重要资产,且为告警的精准排查定位重置预留大量的时间。
现在的主要问题是终端被盖然之后,往往不会被及时的跟网络上的其他主机进行隔离,从而造成大面积的感染。所以,在恶意程序感染初期就能够实现自动化阻断动作显得尤为必要。 - 亟需失险主机精准定位与专业查杀能力。
医疗行业安全建设投入不足,人员和专业资源相对匮乏,因此亟需一种集检测、阻断、定位、处置于一体的解决方案,完成处理闭环、帮助安全运营人员快速提示威胁发现效率和处置能力。
医疗机构本质上还是一个医疗系统,是救死扶伤的地方,所以,在安全建设上往往就显得力不从心,没有足够的人力,没有足够的资源。医疗行业就需要一整套安全方案。 - 亟需"轻部署、易使用、便运营"的安全防护解决方案。
医疗机构的网络建设基本成型,产品的部署实施不易对现有网络进行改动,产品的接入部署、易用性和日常运维都应充分考虑人员成本问题,通过智能化分析降低安全人员使用门槛,做到零门槛、零分析、零运维。 - 亟需统一接入各类大量终端的安全防护方式。
在不对终端安装任何软件的基础上,通过轻量简单的配置方式,完成对医疗机构职工、患者、家属各种各样的大量终端访问互联网的安全防护。
需求很多很多,但是医疗机构的主业还是救死扶伤,难以投入大量的人力物力去自行维护网络安全,怎么办呢?
3. 方案还是有的
现在市面上还是有很多网络安全方案的。有诸如华x云的网络安全方案,有奇x信的网络安全方案。但是这些方案普遍都是存在价格昂贵,部署复杂的情况。而且针对特定行业的解决方案支持不足。
面对内外网隔离边界模糊,互联网安全防护薄弱,勒索、数据窃取及各类恶意程序在网络内盛行,加之医疗机构自身针对威胁攻击事件应急响应处置能力不足等问题,微步在线提供了基于DNS解析与新型威胁防护的OneDNS互联网安全接入方案。
各类终端访问互联网时,OneDNS会对其域名进行全面解析,通过与威胁情报的碰撞,识别并阻断勒索软件、钓鱼网站、APT攻击、后门木马等恶意程序、以及访问的不安全、不合规内容、防止终端感染恶意程序后进一步感染医疗内网,提供精准检测、阻断、定位、处置一站式服务。
整体架构图如下所示:
从上架构图可以看出:
按照业务功能划分为:互联网业务区,外连医联体区,核心系统区,终端接入区。每个业务区都有自己的防火墙以及DNS服务器。
OneDNS作为统一的对外出口,对各类系统的各类请求进行监控。
这样做有如下好处。
- 全面威胁防护:基于微步在线专业威胁情报数据,OneDNS可识别全球所有的恶意软件远控地址、钓鱼地址和矿池地址,并识别关联的恶意软件、攻击团伙、严重级别等信息,实时从微步在线云端同步威胁情报数据,提供高精准检测和实时拦截能力,为医疗机构网络边界做好最后一层防护。
- 实时自动拦截:OneDNS云端情报库实时碰撞域名,稳定快速响应安全域名的解析服务,高精准检测和自动拦截恶意请求,医疗机构内部一旦有对应的恶意软件运行,OneDNS将会阻断这些恶意软件与远控端的通信,有效降低恶意软件的风险。
- 威胁主机定位:OneDNS拦截恶意软件的通信后,安全团队如需进一步定位内部机器并进行分析、溯源和清理工作,可使用内部威胁主机定位工具来实现失陷机器的定位。
- 轻量部署全量接入:只需将医疗机构内部的DNS递归解析指向云端OneDNS,无需在终端安装任何软件,医疗机构职工、患者、家属各种各样的大量终端即可全面覆盖,统一接入互联网安全防护体系。
- 统一上网行为管理:基于微步在线安全云的大数据捕获能力与域名分类能力,可准确捕获全球任意一个新增域名,并准确识别其对应网站分类,目前识别超过80种分类,包括但不限于色情暴力、违法内容、赌博、文件共享、游戏、广告等敏感分类,医疗机构可自主选择是否拦截这些类别的站点。
4. 不仅仅只是好用
传统DNS服务只是简单的将域名和IP地址做了一个简单的互相映射,仅仅提供根据主机名称(域名)查找对应的IP地址以及根据IP地址查找对应的主机域名两个基础的解析服务。这就导致传统DNS服务针对钓鱼网站,钓鱼邮件则无能为力。
OneDNS不仅仅提供了基础的域名解析功能,更提供了全面精准识别新型威胁,检测、阻断、定位、处置一站式服务。简单的说就是可以识别新型威胁,自动检测并阻断木马病毒。还可以拦截恶意软件,并实现追踪溯源。
OneDNS现在提供了永久免费的公益版,公益版不仅免费,近期也会有重大更新,比如:
- 在全国范围内对OneDNS节点进行扩容,以更高的性能提供更优质的解析服务,尤其是北上广三地的服务节点数量增加了一倍以上;
- 全面支持IPv6,并对动态线路支持DDNS识别,让OneDNS公益版具备更加全面的网络接入能力,服务更广大的企业用户群体;
- 更轻更安静的Agent。OneDNS优化了Agent,支持静默安装、静默运行,让企业更方便地管理远程办公终端,同时又不争夺终端资源,不影响终端用户体验;
- 让公益版与企业版的切换更加丝滑,为企业办公网络安全提供更灵活的选择。
令人欣喜的是OneDSN不仅仅提供了永久免费的公益版,企业版申请更是可以免费使用30天 。相较于公益版,企业版的功能更加全面也更加强大。企业版的亮点功能很多很多,下面就简单罗列几个:
- 威胁拦截功能:基于微步在线海量高价值威胁情报,能够以99.9%的准确性识别并阻止链接恶意软件远控地址、钓鱼地址、矿池地址。
- 职场与策略管理:为多职场用户提供便捷的管理能力,可实现各职场管理员分权管理,总部管理员统一管控,集团安全运营高效协同、轻量无忧。
- 内部威胁主机定位:能够在接入DNS日志、DNS流量的情况下精准定位内网失陷主机。搭配取证终端后可以直接抓取终端恶意进程。
- 本地态势感知平台对接 API:平台具备多种API,能够提供给用户态势感知平台进行调用,可以进行威胁防护数据拉取,地址列表配置等操作。
小伙伴们是不是跃跃欲试呀!!!!那就快来体验一下吧!
以上是关于从一篇AMA揭幕单慢雾安全技术的主要内容,如果未能解决你的问题,请参考以下文章