记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

利用“驱动人生”升级程序的恶意程序预警

0x00 概述2018年12月14日下午,360互联网安全中心监控到一批通过“人生日历”升级程序下发的下载器木马,其具备远程执行代码功能,启动后会将用户计算机的详细信息发往木马服务器,并接收远程指令执行下一步操作。同时该木马还携带有永恒之蓝漏洞攻击组件,可通过永恒之蓝漏洞攻击局域网与互联网中其它机器。360安全卫士已在第一时间对该木马进行了拦截查杀,并提交厂商处理。360CERT在此发出预警,请用户及时做好安全防护与病毒查杀工作。0x01 技术细节分析2018年12月14日14时,驱动人生旗下的“人生日历”产品,通过其升级组件DTLUpg.exe,开始下发执行木马程序f79cb9d2893b254cc75dfb7f3e
发布时间:2018-12-16 00:20 | 阅读:1251 | 评论:0 | 标签:技术 驱动人生

目前市场上的网络安全产品都是如何进行内测的?

在20世纪90年代的中后期,对网络安全的产品测试需求几乎与第一个防病毒程序的开发同时出现,最开始,是一些计算机安全方面的杂志,利用自制的方法来对一些要报道的安全解决方案的有效性进行验证,往后慢慢地,就出现了一个个专业的安全测试公司来使用全面的测试方法来进行各种相关的检测。最开始的测试方法就是,从各个计算机上提取一些所谓的恶意文件进行扫描测试,但是由于这种测试的样本和测试结果都非常的不可靠,所以一直被网络安全的解决商所批评,很少有人相信这种方法所测试出来的结果。20多年过去了。虽然网络安全保护的解决方案在经历了很大的发展,但是网络威胁的威力也越来越大了。反过来,这也加快了相应的测试方法的改进。让那些公司不断的设计出最安全
发布时间:2018-12-15 12:20 | 阅读:4105 | 评论:0 | 标签:观察 测试方法

安卓木马绕过PayPal双因子认证从用户账户窃取资金

ESET最早于2018年11月检测到了该木马,该木马融合了远程控制木马和安卓accessibility服务的功能,来攻击是安卓PayPal APP。目前,该恶意软件在伪装成电池优化工具通过第三方应用商店来进行传播。图1 – 恶意软件伪装成电池运作原理恶意应用启动后会在不提供任何功能的情况后终止并隐藏图标。之后的功能可以分为2个部分,如下所示:攻击PayPal的恶意Accessibility服务恶意软件的第一个功能需要激活恶意Accessibility服务,然后从受害者的PayPal账户中窃取资金。如图2所示,展现给用户的请求是“Enable statistics”服务。图2 –恶意软件假装开启“Enable stati
发布时间:2018-12-15 12:20 | 阅读:4277 | 评论:0 | 标签:Web安全 安卓木马

揭秘勒索界海王如何横扫中国

一、谁是勒索界当之无愧的海王?2018年是一个勒索病毒高发的年度,可谓百(can)花(bu)争(ren)艳(du),勒索家族变种、传播方式层出不穷,所谓你方唱罢我登台,直接把CHINA当作了屠宰场,年初宰到了年尾,明年估计形势会更不乐观。但大家是否会好奇,勒索病毒这么多,到底哪一家“强”呢?深信服EDR安全团队,综合了2018年一整年的数据(感染案例,实际数据会更多),得出这位最终的勒索届年度海王为:GandCrab勒索病毒,中文外号咸水国巨蟹。下图,是这只巨蟹横行过的区域,包括新疆、广东、安徽、青海、江西、福建、浙江、山西、吉林、贵州、天津、北京、上海、河北、山东、辽宁、江苏、四川等,基本覆盖大半个中国,以东部沿海最
发布时间:2018-12-15 00:20 | 阅读:7426 | 评论:0 | 标签:勒索软件 GandCrab

通过电力线“搞定”物理隔离计算机

什么是电力线攻击技术? 电力线攻击技术是近些年出现的一种新型跨网络攻击技术。相比于传统的基于声、光、电磁、热等媒介的跨网络攻击技术,这种技术构建了一种新型的电(电流)隐蔽通道,攻击者可以通过交流电源线获取物理隔离网络中的信息,其隐蔽性更强,危害更大。在标准计算机上运行恶意软件,通过调节CPU工作负载在电力线上直接生成寄生信号,然后利用接收器等设备对电力线中的电流进行感知、还原等工作,完成信息窃取。 图 1 电力线攻击技术 这种攻击有什么独到之处? 电力线攻击技术主要有以下几个特点: ①隐蔽性强:恶意软件通过调节CPU工作负载线程在电力线上生成寄生信号,由于很多合法进程使用影响处理器工作负载的CPU密集型计算,因此这种攻击将传输线程注入这些合法进程中,从而绕过安全检测; ②攻击距离远:在目标计算机所处的主配电网
发布时间:2018-12-14 18:45 | 阅读:8454 | 评论:0 | 标签:技术控

越简单越好?深入研究巴西金融网络犯罪中使用的恶意软件

远程overlay恶意软件非常多产和通用,它时不时就会出现,但在巴西通常很少发现特殊或复杂的金融恶意软件。而巴西金融网络犯罪分子使用的流行远程覆盖特洛伊木马这个特殊的变体有什么特别之处呢?首先,它使用了并不常见的动态链接库(DLL)劫持技术。更有意思的是,恶意软件的运营商不再只关注银行,他们现在也有兴趣窃取用户的加密货币交换账户,这与金融网络犯罪对加密货币的兴趣日益增长有关。一、通过远程会话感染巴西用户IBM X-Force研究持续跟踪巴西的威胁形势。在最近的分析中,我们的团队观察到远程overlay系列恶意软件的新变种感染了该地区的用户。远程overlay特洛伊木马在针对巴西用户的欺诈中很常见。我们分析的最新变体使用
发布时间:2018-12-14 12:20 | 阅读:10411 | 评论:0 | 标签:Web安全 恶意软件

卡巴斯基:2018年APT攻击年度回顾

在这一年之中,APT攻击最值得注意的发展是什么?我们可以从中学到什么?要回答这个问题并不容易,我们每个人都只能看到其中的一个局部,并且可能永远无法真正理解某些攻击的动机或其背后的发展。尽管如此,在攻击发生之后,我们可以从不同的角度来解决问题,从而更好的理解所发生的事情。一、大型恶意组织在安全领域,有一些“经典”的恶意组织是众所周知的,并且在过去几年中被很多人广泛追踪。2018年,这些恶意组织一如既往地进行其恶意活动,其中有一些组织稍显低调。实际上,这些恶意组织的技术水平和运营手段,决定了他们在得知自己已经进入公众视野之后所作出的反应。有些恶意组织会直接放弃他们的恶意活动,并进入到清理痕迹的阶段,而其他一些恶意组织会照常
发布时间:2018-12-14 12:20 | 阅读:10191 | 评论:0 | 标签:观察 APT攻击

通过.NET实现Gargoyle(一种内存扫描的对抗技术)

Gargoyle是一种帮助恶意软件逃脱内存扫描的技术,由Josh Lospinoso于2017年对外公布,不过只是作为概念验证发布的,它的强项在于确保注入的代码在大多数情况下是不可执行(隐藏)的,从而使内存扫描技术难以识别出恶意代码。客观的说,这是一项很棒的技术,因为研究人员曾经使用 Cobalt Strike (一款非常优秀的后渗透平台)进行过测试,除此之外还用WinDBG( 查看和调试windows内核的一些东西难免需要用到WinDbg)和Volatility插件(Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。)来进行过
发布时间:2018-12-14 12:20 | 阅读:8500 | 评论:0 | 标签:技术 Gargoyle 扫描

如何安全的给.net程序签名

“TestLib,Version = 1.0.0.0,Culture = neutral,PublicKeyToken = 769a8f10a7f072b4”如果你能看懂上面这行的意思,那你很可能是一个.NET开发人员,同时你也可能知道结束处的十六进制字符串表示的是一个公钥标记。不错,上面的字符串就是一组.net程序集强名称签名。但你知道如何计算这个令牌吗?你知道强名称签名的结构吗?在这篇文章中,我们将详细介绍强名称的工作原理及其优缺点。强名称是由程序集的标记加上公钥和数字签名组成的。其中,程序集的标记包括简单文本名称、版本号和区域性信息(如果提供的话)。也就
发布时间:2018-12-14 12:20 | 阅读:10132 | 评论:0 | 标签:Web安全 .NET

Novidade利用套件攻击家用和Soho路由器

Trendmicro研究人员发现一个通过跨域伪造攻击CSRF来修改DNS设置,以攻击家用和小型办公室用路由器的新利用套件Novidade。Novidade可以通过经过认证的web应用来攻击受害者的移动设备或桌面应用。一旦DNS设置被修改为恶意服务器,那么攻击者就可以执行域欺骗攻击(pharming attack),重定向所有链接相同路由器的设备流量。研究人员最早是2017年8月发现了Novidade样本,之后还识别出2个变种。其中一个变种出现在GhostDNS攻击活动中的DNSChanger系统中。因此,研究人员认为Novidade并不只是一个单一的攻击活动,该利用套件可能被应用于不同的攻击活动中。其中一个可能性就是该
发布时间:2018-12-14 12:20 | 阅读:9106 | 评论:0 | 标签:Web安全 Soho路由器

网赚APP产业链调研报告

一、产业链概况网赚行业指的就是利用电脑、手机、服务器等设备,足不出户、通过Internet(因特网)从网络上获利的赚钱方式。伴随移动互联网高速发展、成熟,移动端涌现大量网赚平台,各大网赚平台构建推广渠道,通过现金激励等手段汇集大量用户,鼓励用户观看、点击广告、试玩游戏、电商购物等,为广告主带来大量新用户,实现三方互赢;网赚群体也大量涌入各大网赚平台,网赚给流量广告、产品销售等带来便利的同时,大量网赚群体通过使用脚本、群控设备等刷量工具进行薅羊毛,赚取更多的推广费用,同时这些刷量行为也会导致网赚平台推广渠道质量下降。1.1网赚APP发展进程根据腾讯安全反诈骗实验室监控数据,网赚APP最早出现时间是在2011年;2012年
发布时间:2018-12-14 12:20 | 阅读:9246 | 评论:0 | 标签:观察 网赚APP

Drupal web服务器从脏牛到持续后门

本文,我们将讲解一种简短有效而且十分严重的攻击,攻击对象是基于Linux的系统。在这次攻击中,攻击者使用了一系列的漏洞,包括臭名昭著的Drupalgeddon2和脏牛漏洞,还有系统配置错误,对存在漏洞的drupal web服务器进行持久化的攻击,并最终控制用户主机。在以前,对web服务器的远程代码执行(RCE)攻击通常都是一次性的安全事件——攻击者运行恶意代码,服务器执行代码,这样就完了。如果管理员检测到进程并且终止了进程,或者重启了web服务器,这样的攻击也就结束了。而现在,越来越多的攻击者开始进行持续性攻击。持续性意味着如果攻击进程被终止或者服务器重启之后,他们有方法非常轻易的就重新感染web服务器,或者是执行额外
发布时间:2018-12-14 12:20 | 阅读:8064 | 评论:0 | 标签:Web安全 SSH 后门 脏牛

美国又要甩“经济间谍”这口锅?

中美技术、贸易和网络安全紧张局势之际,美国周三举行了国会听证会。助理总检察长约翰·德姆尔斯在证词上又甩锅中国涉嫌盗窃美国知识产权,说2011至2018年来,美司法部受理的多达90%的经济间谍案涉及中国,他对领域范围进行了描述,又概述了其在应对此类“威胁”所作的努力(果然是政客本客)。此外还大言不惭地说“中国的剧本就是抢夺、复制和替换”,通过窃取美国Know-How技术打造技术密集型企业。 美国官员指责中国违反了2015年不实施“网络化”窃取知识产权的协议,宣布要对中国人刑事指控加压。今年十月,美国官员起诉了10名所谓的中国“情报官员和黑客”,罪名是涉嫌从美国企业窃取航空技术和其他机密信息。联邦检察官据说正准备宣布对与中国政府有关联、针对技术供应商的黑客进行指控。据《华尔街日报》上周报道,司法部正在对闯入了IT
发布时间:2018-12-13 18:45 | 阅读:11087 | 评论:0 | 标签:观点

SNDBOX:应用AI进行恶意软件分析

在2018欧洲黑帽(Blackhat Europe)大会上,一款使用人工智能和加固的虚拟环境对恶意软件样本进行分析的恶意软件分析服务SNDBOX(www.sndbox.com)出现了,SNDBOX可以对恶意软件进行静态、动态分析以及网络流量等分析。SNDBOX目前是一款在线的免费服务,网址www.sndbox.com。用户可以在网站上提交恶意软件样本进行分析。当提交了样本后,用户可以配置不同的选项,以及样本是否对其他用户公开等等。Bleepingcomputer研究人员测试上传了一个恶意软件样本。提交文件给SNDBOX提交文件后,SNDBOX会执行并对恶意软件样本进行静态和动态分析。之后,会提供给用户一个关于恶意软件分
发布时间:2018-12-13 12:20 | 阅读:10479 | 评论:0 | 标签:安全工具 SNDBOX

在Microsoft Edge中实现DOM树

前言DOM是Web平台编程模型的基础,其设计和性能直接影响着浏览器管道(Pipeline)的模型,然而,DOM的历史演化却远不是一个简单的事情。在过去三年中,微软的安全专家们早已经开始在Microsoft Edge上对DOM进行了重构,这次重构的主要目标就是要搭建一个更加先进的架构,提供更好的实际操作性能和更加简洁的操作。在这篇文章中,微软的安全专家们将引导我们来了解Internet Explorer和Microsoft Edge中DOM的历史演变过程,以及他们在这几年对DOM树先进化演变的影响。现在我们已经能看到新的DOM架构对Windows 10 Creators Update性能大幅提升的帮助:安全专家们认为真正
发布时间:2018-12-13 12:20 | 阅读:10858 | 评论:0 | 标签:Web安全 Microsoft Edge

剖析MuddyWater感染链

一、简介11月的最后几天,部分中东国家成为伊朗APT组织“MuddyWater”新一轮攻击的目标。他们的第一次行动是在2017年观察到的,而最近的Unit42研究人员报告了在中东地区中的攻击。在这段时间内,MuddyWater的TTP固定不变:继续使用包含模糊文档的鱼叉式网络钓鱼电子邮件,诱导目标启用VB宏代码执行,以使用POWERSTAT恶意软件感染主机。图1.恶意文档根据ClearSky Research Team和TrendMicro 研究人员的分析,11月底MuddyWater小组在攻击土耳其后不久袭击了黎巴嫩和阿曼。攻击向量和最终有效载荷是相同的:常见的宏嵌入文档和POWERSTAT后门。然而,中间
发布时间:2018-12-13 12:20 | 阅读:9657 | 评论:0 | 标签:Web安全 MuddyWater

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩