记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

BYOB,一把新的双刃剑

介绍 在当今的网络安全领域,进行高质量的攻击所需的专业知识与对实际攻击的理解之间的差距越来越小。因为“即插即用”黑客工具包的普及,曾经只有有资助的APT团队才能利用的技术现在可以被初出茅庐的犯罪分子(即“脚本小子”)轻松利用。 当然,网络安全社区也在不断开发工具和技术,提高了成为攻击者和维护者的门槛。但是这些工具不仅可以用于测试、增强防御能力,它们也可用于攻击性目的。 一个很好的例子是最近(2018年7月)发布的BYOB(Build Your Own Botnet)框架,该框架包含了构建僵尸网络所需的所有构建块。该框架是为了改进网络安全防御而开发的。由BYOB创建的僵尸程序具有先进的APT工具级别的复杂功能。虽然提高了防御能力,但也可以被任何具有恶意意图的“脚本小子”利用来进行攻击。 Perception P
发布时间:2019-01-21 18:45 | 阅读:313 | 评论:0 | 标签:技术控

保时捷&IP-guard,奢华与极致的碰撞!

信息安全可以说是每个行业都要面对的问题,技术信息以及客户信息被不断泄露,不仅企业的经营发展受到严重影响,客户也面对各种没完没了的电话推销以及防不胜防的网络诈骗。 汽车行业这些年也不太平,生产技术、用户信息早已成为他人惦记的对象,为更好保护信息数据安全,保时捷选择了主动出击,应用IP-guard对自身信息安全措施进行升级加固。 保时捷:全球最大、历史最悠久的跑车制造商! 1931年,保时捷成立于斯图加特,以生产高级跑车闻名于世界车坛,主要车型有911、Boxster、Cayman、Panamera、Cayenne、Macan。数十年的经营,保时捷已经是全球最大、历史最悠久的跑车制造商,也是最具盈利能力的汽车制造商。 拥有超凡性能与极致设计的保时捷受到了很多人的喜爱,2018年,保时捷全年累计交付新车达到了2562
发布时间:2019-01-21 18:10 | 阅读:534 | 评论:0 | 标签:成功经验 企业信息泄露 信息安全 终端安全

借助Rekall进行内存实时分析

工作中,使用过Volatility进行内存取证的朋友可能已经注意到了,它有一个缺点:无法进行实时内存分析。那么,如果需要实时内存取证的话,该怎么办呢?别急,这时候Rekall就可以派上用场了。Rekall的下载地址如下所示:https://github.com/google/rekall/releasesRekall支持以下操作系统:· Microsoft Windows XP Service Pack 2和3· Microsoft Windows 7 Service Pack 0和1· Microsoft Windows 8和8.1· Microsoft Windows 10· 
发布时间:2019-01-21 12:20 | 阅读:2345 | 评论:0 | 标签:技术 Rekall

深入分析TP-Link TL-R600VPN远程代码执行漏洞

一、概述TP-Link最近修复了TL-R600VPN千兆宽带VPN路由器中的3个漏洞,固件版本为1.3.0。在与TP-Link合作确保补丁成功发布之后,Cisco Talos公开披露了这些漏洞。目前,已经发布了解决方案,因此我们希望能深入研究这些漏洞的内部工作方式,并展示出我们的概念证明。二、背景TP-Link TL-R600VPN是一款五端口的小型办公室/家庭路由器。该路由器在芯片上集成了Realtek RTL8198集成系统。这个特殊的芯片使用了Lexra开发的MIPS-1架构的分支。除了处理器未对齐加载(Unaligned Load)和存储操作中使用了一些专有指令外,这两个指令集基本相同。在Lexra中未包含的说
发布时间:2019-01-21 12:20 | 阅读:2339 | 评论:0 | 标签:漏洞 TP-Link

Anubis银行木马利用运动传感器来绕过检测

近日,Trend Micro安全研究人员在Google Play中发现两款释放银行木马的恶意应用程序。这两个应用程序伪装为手机常用工具,分别是汇率转化Currency Converter和电池管家BatterySaverMobi。目前,Google已经将这两款APP从应用商店中移除了。电池管家APP在下架前的下载次数已经超过5000次,评分为4.5分,共有73个用户评论。现在看来这些评论可能并不是有效的评论,一些评论是匿名的,还有的评论内容是不合逻辑和缺乏细节的。研究人员分析发现这些APP回释放一个链接到银行恶意软件Anubis的恶意payload。对payload做进一步分析发现,其中的代码与Anubis样本非常相像
发布时间:2019-01-21 12:20 | 阅读:1932 | 评论:0 | 标签:Web安全 Anubis银行木马

使用MS Word文档传播.Net RAT恶意软件

就在几天前,FortiGuard实验室从野外捕获了一个恶意的MS Word文档,其中包含可自动执行的恶意VBA代码,可以在受害者的Windows系统上传播和安装NanoCore RAT软件。NanoCore RAT是在.Net框架中开发的,其最新版本为“1.2.2.0”。它的作者“泰勒·哈德尔斯顿”被联邦调查局抓获并于去年初被送进监狱。我们捕获的样本使用NanoCore在受害者的系统上执行恶意行为。在本博文中,我将展示它如何传播并安装到受害者的系统上。一、恶意Word文档图1.打开的恶意Word文档捕获的Word文档的名为“eml _-_ PO20180921.doc”。当它在MS Word中打开时,我们会看到如图1所
发布时间:2019-01-21 12:20 | 阅读:2373 | 评论:0 | 标签:系统安全 恶意软件

通过被黑的广告供应链开展新的Magecart攻击

1月1日,我们检测到一直在跟踪的web skimmer群体的活动显着增加。在此期间,我们发现他们的恶意skimming代码(由趋势科技检测为JS_OBFUS.C。)加载在277个电子商务网站上,提供票务,旅游和航班预订服务以及来自名牌化妆品、医疗保健和名牌服装的自托管购物网站。趋势科技的机器学习和行为检测技术在发现时主动阻止了恶意代码(检测为Downloader.JS.TRX.XXJSE9EFF010)。这些活动很不寻常,因为该组织以将代码注入一些受到侵害的电子商务网站而闻名,然后在我们的监控过程中保持低调。对这些活动的进一步研究表明,skimming代码并未直接注入电子商务网站,而是直接注入法国在线广告公司Adver
发布时间:2019-01-20 12:20 | 阅读:8509 | 评论:0 | 标签:Web安全 Magecart攻击

通过广告软件传播新.tro变种的Djvu勒索软件

2018年12月,一款名为Djvu的新勒索软件悄悄出现在了公众视野里。Djvu疑似是STOP勒索病毒的一类变种,它主要通过隐藏在捆绑广告软件的各类破解版软件包中进行传播推广。起初,Djvu中加密文件的后缀名为.djvu,但最近检测到其当中的一个变体已经衍生出了.tro的文件后缀。Djvu刚出来那会儿,我们并不知道该软件的运作模式,也找不到主安装程序的示例。后来在与论坛和其他报告感染的众多受害者进行探讨后,我们注意到一个明确的线索:大多数受害者表示,他们是在下载了一个软件的破解版后感染上该病毒的。从受害者的数量上来看,此次攻击行动是成功的,从受害者每天向ID-Ransomware上报的趋势上也能体现这一点。上报数量趋势图
发布时间:2019-01-20 12:20 | 阅读:8928 | 评论:0 | 标签:Web安全 Djvu勒索软件

避免使用AtomArrayBuffers中的竞争条件

在《ArrayBuffers和SharedArrayBuffers的介绍》一文中,我谈到了在使用SharedArrayBuffers时是如何可能导致竞争条件的,这使得大家很难使用SharedArrayBuffers。另外在文章的最后我还提到不希望应用程序开发人员直接使用SharedArrayBuffers。但是,具有其他语言的多线程编程经验的库开发人员可以使用这些新的低级API来创建更高级别的工具。如果是这样,那么应用程序开发人员则可以直接使用这些工具而不用接触SharedArrayBuffers或Atomics。即使你可能用不到SharedArrayBuffers或Atomics,但我认为了解它们是如何工作的,仍然会
发布时间:2019-01-19 12:20 | 阅读:15166 | 评论:0 | 标签:技术

Google Play 甩不掉的麻烦,“死神”Anubis换上新装再出击

趋势科技研究人员最近在Google Play上发现了两个分发银行恶意软件的应用程序,它们伪装成实用工具,分别名为Currency Converter和BatterySaverMobi。谷歌现已将这两款应用程序从应用商店中下架。 这款电池应用程序在下架之前已被下载过5000多次,73位用户给它的评分是4.5分。然而仔细观察这些评论可以发现好评是刷出来的,一些匿名用户的评论没有逻辑而且很宽泛,没有具体细节。 研究人员仔细分析了这一活动,发现这两个应用程序丢弃了一个恶意负载,所以研究人员可以安全地链接到已知的银行恶意软件Anubis(趋势科技检测为ANDROIDOS_ANUBISDROPPER)。在分析有效载荷后,研究人员注意到该代码与已知的Anubis样本非常相似,还发现它链接到域名为aserogeege.spa
发布时间:2019-01-18 18:45 | 阅读:19836 | 评论:0 | 标签:技术控

病毒利用安全产品模块 劫持流量、攻击其他安全软件

一、概述火绒安全团队发现,病毒团伙正利用"远景"论坛的系统镜像文件传播后门病毒"WenkPico"。该病毒入侵用户电脑后,会劫持导航站、购物网站以及软件安装包流量,牟取暴利。同时该病毒还利用国内某安全厂商的产品功能模块,攻击其它安全软件,让部分安全软件的"云查杀"功能失效,使用户电脑失去安全防护。火绒工程师分析发现,病毒团伙将病毒嵌入在系统镜像文件中,当用户从"远景"论坛中下载安装这些系统镜像文件后,就会运行病毒。建议近期下载该系统镜像文件的用户,尽快查看电脑C:windowssystem32drivers目录,如果出现名为EaseFlt.
发布时间:2019-01-18 12:20 | 阅读:20947 | 评论:0 | 标签:系统安全 WenkPico

云上挖矿大数据:黑客最钟爱门罗币

2018年,区块链项目在这一年上演着冰与火之歌,年初火爆的比特币在一年时间内跌去八成。除了巨大的市场波动之外,区块链领域本身的安全问题也逐渐凸显,与之相关的社会化问题不断显现。“勒索”、“盗窃”、“非法挖矿”是区块链项目数字加密货币的三大安全威胁,其中云主机用户面临的首要安全问题是非法挖矿。非法挖矿一般分为基于文件的挖矿和基于浏览器的挖矿。由于云主机用户一般不使用浏览器访问网页,故基于浏览器的挖矿在公有云上并非较大的威胁。反之,云上基于木马文件的入侵挖矿事件层出不穷,黑客通过用户云主机上的通用安全问题入侵并进行挖矿来直接获取利益,使得用户 CPU 等资源被耗尽,正常业务受到影响。这些被黑客利用的通用问题往往是由于用户缺
发布时间:2019-01-18 12:20 | 阅读:20716 | 评论:0 | 标签:Web安全 门罗币

2019 Emotet再度来袭

在这段假期以来,Emotet进入了活动的低谷期。假期过后,Emotet携带新的payload通过恶意垃圾邮件活动再度来袭。垃圾邮件信息会诱使使用多种不同语言的目标用户打开一个含有恶意代码的附件文档,代码运行后会安装恶意软件。一些垃圾邮件中含有到恶意软件的直接链接信息,如下图所示:Emotet进一步发展Emotet恶意软件一直在不断的进化中,该新变种会检查接收者或受害者的IP地址是否在黑名单中,或者是否在Spamhaus, SpamCop, SORBS等服务维护的垃圾邮件列表中。通过检查攻击者就可以绕过垃圾邮件过滤器,向受害者成功发送更多的垃圾邮件。为了能够更成功的绕过垃圾邮件检测,Emotet还可以修改发送的垃圾邮件主
发布时间:2019-01-18 12:20 | 阅读:19389 | 评论:0 | 标签:Web安全 Emotet

在没有execve的情况下如何运行Linux可执行文件

ELF(ExecutableandLinkableFormat,可执行和可链接格式)作为嵌入式系统(如Linux、BSD系统和Solaris系统)中基本的文件格式,被广泛的使用着。按照ELF文件标准,使用ELF格式的文件分为可重定位文件,可执行文件、目标共享文件、核心转储文件。ELF文件用于定义不同文件类型的对象文件内容和格式,可移植性很强。ELF文件有许多技巧,比如我们在*nix Meterpreter实现中使用的那些技巧,但这些技巧需要使用我们的特殊工具链或配置有-static-pie标志的GCC 8编译器构建每个可执行文件。如果碰到特殊情况该怎么办?比如内核不需要磁盘上的文件来加载和运行代码。手工执行技巧对于可执
发布时间:2019-01-18 12:20 | 阅读:18775 | 评论:0 | 标签:技术 linux

The Rise of the Citizen Developer_Assessing the Security Impact of Online App Generators

出处:S&P 2018 作者:Marten Oltrogge, Erik Derr, Christian Stranksy, Michael Backes等 单位:CISPA等 原文链接:https://saschafahl.de/papers/appgens2018.pdf 文章概述 越来越多的App都由在线应用生成器(online application generators, OAGs for short)自动生成、分发、维护,这降低了对开发人员的技术要求,因而吸引了不少业余开发者(citizen developers)。然而,使用这类工具可能导致的安全问题尚未被研究。如果使用这一类工具生成的App存在安全问题,那么将会对整个移动应用生态系统的安全性造成影响。在本文中,作者对OAGs
发布时间:2019-01-18 02:25 | 阅读:20196 | 评论:0 | 标签:无

动态数据解析器(DDR)——IDA插件

执行摘要 IDA中的静态逆向工程通常出问题。某些数值是运行时计算的,这就很难理解某个基本组块正在做什么。但如果你试着通过调试一个恶意软件来执行动态分析,通常会被恶意软件检测到,其表现也会出现偏差。思科Talos采用动态数据解析器(DDR)作为IDA的新插件,旨在让对恶意软件逆向工程更为简单。 特征 代码流跟踪 (用20种不同颜色显示基本组块的执行次数): 可搜索到的API调用日志记录: (包括出现的所有特定指令,如:调用、jxx等,触摸API地址) 可搜索到的字符串记录: 解析动态值和自动评论: 技术细节 架构和使用 DDR具有图5所示的客户端/服务器架构.DDR IDA插件和DDR服务器为Python脚本。DynamoRIO客户端是用C语言编写的DLL文件,由DynamoRIO工具drrun.exe
发布时间:2019-01-17 18:45 | 阅读:23185 | 评论:0 | 标签:技术控

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩