恶意文档分析工具

日期: 2010/09/02 分类: 技术杂文 标签: , 1 个回复

作者:cmdhz

1、Offvis

Offvis – 显示微软office文件的原始内容和结构, 并能鉴别一些常见的exploit。

微软MSRC小组开发的可视化扫描工具,结合OLESS格式和office文档格式做了详细分析,

可以清楚地看清Office文档的结构,并能识别一些常见的漏洞文档。

阅读全文

微软全系统建立隐藏账户漏洞

日期: 2010/09/01 分类: 技术杂文 标签: , 1 个回复

漏洞概要

缺陷编号: WooYun-2010-00388

漏洞标题: 微软全系统建立隐藏账户漏洞

相关厂商: 微软

漏洞作者: only_guest

提交时间: 2010-08-31

公开时间: 2010-08-31

漏洞类型: 设计错误

危害等级: 低

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org

漏洞详情

简要描述:

可以通过特殊字符建立隐藏账户.命令行界面下不显示,用户管理面板中显示为空.非$..

详细说明:

可以通过智能ABC输入法中V9里的空白字符建立隐藏帐号,命令行下无法建立,可以先写个批处理,如下:
net user 123 /add
net localgroup administrators /add
注意其中的空白字符.非空格.
建立后命令行下用net user命令查看账户显示为空白,在用户界面中同样显示空白.
建立此帐号后无法在mstsc中直接输入登陆,需要在远程桌面的选项面板的常规选项卡中的用户名一栏里用智能ABC的V9输入特殊字符后再次连接.

漏洞证明:

新建一个批处理,内容如下.
net user 123 /add
net localgroup administrators /add
执行后查看用户管理界面,看看是否有个空白帐号.

修复方案:

过滤这些特殊字符吧.

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

Sagan

日期: 2010/08/23 分类: 技术杂文 标签: , 添加回复

Sagan is a multi-threaded, real time system and event log monitoring system,but with a twist. Sagan uses a“Snort” like rule set for detecting bad thingshappening on your network and/or computer systems. If Sagan detects a “badthing” happening, that event can be stored to a Snort database(MySQL/PostgreSQL) and Sagan will attempt to correlate the event with your Snort Intrusion Detection/Intrusion Prevention (IDS/IPS) system.

借助日志审计保护网络安全

日期: 2010/08/23 分类: 技术杂文 标签: , , 添加回复

From:benny

这里有两篇文章介绍了日志审计的重要性以及作用。现转载如下:
[注]这应该是一个比较早(2006或2007)的文章了,因为Anton Chuvakin在08年就去了LogLogic,而现在他已经自己开咨询公司了。呵呵。不过此文作为SIEM/LM的普及文还是写的不错的。

日志数据可以是有价值的信息宝库,也可以是毫无价值的数据泥潭。要保护和提高你的网络安全,由各种操作系统、应用程序、设备和安全产品的日志数据能够帮助你提前发现和避开灾难,并且找到安全事件的根本原因。

当然,日志数据对于实现网络安全的价值有多大取决于两个因素:第一,你的系统和设备必须进行合适的设置以便记录你需要的数据。第二,你必须有合适的工具、培训和可用的资源来分析收集到的数据。

阅读全文

为什么需要专业的日志审计与分析工具

日期: 2010/08/21 分类: 技术杂文 标签: , 2 个回复

当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。
为 了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM,等等,这些复杂的IT资源及其安全防御设施、包 括网络设备、系统及应用在运行过程中不断产生大量的日志和事件。这些日志对于网络的正常运营非常重要,它记录了系统每天发生各种各样的事情,你可以通过它 来检查错误发生的原因,监控用户的使用行为,发现异常情况或者受到攻击时攻击者留下的痕迹。
尽管审查日志可以帮助管理人员发现很多安全入侵和违规行为,但是由于这项工作对于管理人员的专业技术水平较高,往往很难普及,大多数情况下只能作为专业安全服务公司提供的一项服务。

阅读全文

SANS:2010年度日志管理调查报告

日期: 2010/08/21 分类: 技术杂文 标签: , 添加回复

From:benny

在4月份,SANS进行了一年一度的日志管理(Log Management,LM)调查,并发布了相关的调查报告。这次除了基本的调查报告,还有一份专门针对中小企业运用LM的调查报告。
根据基本调查报告显示,89%的受访者建立了日志管理设施。企业和组织越来越重视日志管理,并且不断发掘出日志管理的新价值。人们对于日志管理技术的关注,已经从原来的如何采集日志变成了如何搜索和分析日志。海量日志搜索已经成为了关键性问题。

阅读全文

教您怎样审查遭受入侵系统的日志

日期: 2010/08/21 分类: 技术杂文 标签: , , 添加回复

审查遭受入侵系统的日志

在UNIX系统遭受入侵后,确定损失及入侵者的攻击源地址相当重要。虽然在大多数入侵者懂得使用曾被攻陷的计算机作为跳板来攻击你的服务器,但是他们发动正式攻击前所做的目标信息收集工作(试探性扫描)常常是从他们的工作计算机开始的,下面介绍如何从遭受入侵的系统的日志中分析出入侵者的IP并加以确定的。

1. messages

/var/adm是UNIX的日志目录(Linux下则是/var/log)。其中有相当多ASCII格式的日志文件,当然 ,让我们把焦点首先集中在messages个文件上,这一般也是入侵者所关注的文件,它记录了来自系统级别的信息。下面是显示版权或者硬件信息的记录信息:

Apr 29 19:06:47 www login[28845]: FAILED LOGIN 1 FROM xxx.xxx.xxx.xxx ,User not known to the underlying authentication module

阅读全文