XiaoMi-AI文件搜索系统
World File Search System冲突分析
吉尔吉斯斯坦的差距和冲突分析...
国家数字化。根据吉尔吉斯共和国宪法,社会和国家的发展以科学研究、现代技术和创新为基础,总统和议会始终奉行数字经济创新发展政策。2017年,吉尔吉斯共和国电子政务法和电子签名法获得通过,对吉尔吉斯共和国“个人信息法”、“国家和市政服务法”、“国家机关和地方自治机关管辖范围内的信息获取法”进行了修订。2018年,吉尔吉斯共和国政府决定启动“Tunduk”系统,这是电子政务的关键要素之一。在这方面,通过了一系列条例来实施“Tunduk”制度,并确定了其运营者。
俄罗斯-乌克兰-网络冲突分析师笔记-tlpwhite.pdf - HHS.gov
HermeticWiper 以可执行文件的形式出现,该文件由颁发给 Hermetica Digital Ltd 的证书签名。它包含 32 位和 64 位驱动程序文件,这些文件由存储在其资源部分中的 Lempel-Ziv 算法压缩。驱动程序文件由颁发给 EaseUS Partition Master 的证书签名。该恶意软件将根据受感染系统的操作系统 (OS) 版本删除相应的文件。驱动程序文件名是使用 Wiper 的进程 ID 生成的。一旦运行,Wiper 将损坏受感染计算机的主引导记录 (MBR),使其无法运行。除了破坏能力之外,Wiper 似乎没有任何其他功能。它利用签名的驱动程序,该驱动程序用于部署针对 Windows 设备的 Wiper,以导致启动失败的方式操纵主引导记录。数字证书由塞浦路斯公司“Hermetica Digital Ltd”颁发。 (注:如果存在,该公司很可能不存在或无法运营)该证书截至 2021 年 4 月有效,但似乎未用于签署任何文件。HermeticWiper 调整其进程令牌权限并启用 SeBackupPrivilege,这使恶意软件能够读取任何文件的访问控制权,而不管访问控制列表中指定了什么。一个恶意软件样本大小为 114KB,其中大约 70% 由资源组成。它滥用良性分区管理驱动程序 empntdrv.sys。HermeticWiper 多次枚举一系列物理驱动器,从 0 到 100。对于每个物理驱动器,都会调用 \\.\EPMNTDRV\ 设备来获取设备号。EPMNTDrv(EaseUS Partition Master NT Driver)是 EaseUS 的 EaseUs Partition Manager 软件平台的一部分。然后,它会重点破坏每个物理驱动器的前 512 个字节,即主引导记录 (MBR),然后枚举所有可能驱动器的分区。HermeticWiper 区分 FAT(文件分配表)和 NTFS(新技术文件系统)分区。对于 FAT 分区,它会调用 Windows API 来获取加密上下文提供程序并生成随机字节,以破坏分区。对于 NTFS,它会在调用 Windows API 来获取加密上下文提供程序并生成随机字节之前解析主文件表。研究还表明,它会修改几个注册表
俄罗斯/乌克兰冲突分析 | HHS.gov
• 由于进行了一些重大调整,它更加值得注意,其中之一是使用 EternalBlue - 一种 Windows 服务器消息块 (SMB) 漏洞,其中的攻击方法与 WannaCry 如此迅速传播的漏洞相同。它还与基于 Mimikatz 的密码收集工具相结合,这使得 NotPetya 能够以蠕虫的方式在设备之间传播,甚至无需人工交互即可在企业和公司网络中传播。