记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

微软商店中伪装成Google相册的恶意广告点击器

微软商店中今天发现了一款名为“Album by Google Photos”的恶意应用程序。此应用程序伪装成Google相册的一部分,但实际上是一个广告点击器,可在Windows 10中反复打开隐藏的广告。 这款免费软件声称是由Google LLC创建的,其中包含一条描述说明:“最后,一款与您一样聪明的照片应用”。下图是其在微软商店中的下载页面。 微软商店截图 由于这一应用实际上是一款广告点击器,因此该应用的评价不是很好,其中一条评论称其为“假应用程序”,另一条则称“假的,千万别安装。” 评论截图 下面我们将深入了解该广告点击器的工作原理及其显示的广告类型。 广告点击器成伪装Google相册专辑 这款Google相册专辑是一款PWA应用(渐进式网络应用),可作为Google相册的前端,但附带捆绑式广告点击器
发布时间:2018-10-15 18:45 | 阅读:3611 | 评论:0 | 标签:技术控

威胁猎人与安全分析师:相辅相成的安全二重奏

孙子兵法:知己知彼,百战不殆。在安全领域,尤其是商业领域,如果能知道攻击者是谁、在什么时候、以何种方式、攻击自己的哪项业务,对企业而言,防御能力将事半功倍。因此,获取威胁情报的能力在企业的网络安全对抗中尤为重要。 以间谍对抗间谍活动,威胁猎人给企业安全团队带来了网络侦察、修复的主动意识,以保护企业的重要数据资产。 市场对威胁猎手求贤若渴 如果您有空的话,不妨去看看LinkedIn、Indeed等其他知名求职网站的职位列表,就会发现数百个威胁猎人的职位空缺,这是几年前是无法想象的。其中许多招聘方为大型银行、国际通信企业和国防承包商,这些大型企业机构的数据安全性至关重要,而其他中小型企业机构也同样如此。 2017年,美国SANS研究所的一份报告显示,越来越多的组织正在展开威胁搜寻计划,但大部分增长仅限于垂直市场,
发布时间:2018-10-15 18:45 | 阅读:3912 | 评论:0 | 标签:技术控 观点

安卓应用程序渗透测试(十一)

移动平台提供了很多服务,从身份验证到安全数据存储再到安全网络通信。但是,如果平台的某些功能使用不当,可能会导致数据泄露,允许不信任主机连接等问题。本文我们总结了一些安卓的checklist。M1–平台使用不当移动平台(iOS,Android,Windows phone)为我们提供了文档结构良好且通俗易懂的特性和功能,而这类风险的特征就是app没有使用这种功能或者使用不当。另请阅读:完整的移动应用渗透测试指南导致这种风险的行为有如下几种:违反发布的指南所有平台都会开发安全指南。如果某个app不遵守安全指南,违反开发者提供的最佳做法,就会存在该风险。违反条款或惯例开发者编写的指南并不会包含所有的最佳做法,在某些
发布时间:2018-10-15 12:20 | 阅读:5492 | 评论:0 | 标签:移动安全 Android checklist 渗透测试

如何构建iBoot?

2018年2月,有一个名为“Dark-Liberty Team”的团队将苹果iBoot源代放在了GitHub中,以MediaFire下载链接的方式公开,资料标题是”iBoot源代码 – 重新上传”。 谁都知道iBoot是iOS系统的关键源码之一,它确保了操作系统的可信任启动,相当于是Windows电脑的BIOS系统。长期以来,尽管苹果部分开源了macOS和iOS,但iBoot源码一直被其谨慎保密。其实早在几个月前,iBoot源码就被泄露在Reddit社交平台上。对此,苹果公司表示:泄露到GitHub上的代码确实是iBoot源代码,但对iPhone安全没有影响。因为苹果的安全性除了依赖源代码的安全性外,产品内部还有许多硬
发布时间:2018-10-15 12:20 | 阅读:5244 | 评论:0 | 标签:技术 iBoot

详细分析Apache Struts RCE漏洞及攻击事件(CVE-2018-11776)

概述2018年8月底,Apache Struts团队发布了Apache Struts 2开源开发框架的安全更新,其中修复了一个高危的远程代码执行漏洞(RCE)。这一漏洞的编号为CVE-2018-11776,受漏洞影响的版本范围是2.3-2.3.34、2.5-2.5.16以及不再提供更新支持的早期版本。在Struts 2.3.35和2.5.17版本中修复了这一漏洞。Struts开发团队还发布了一个临时修复方法,但他们建议用户不要选择这一方案,而是应该尽快安装更新。在Apache发布的安全公告中,是这样描述这一漏洞的:“当使用没有命名空间的结果时,如果其上层动作没有或具有通配符命名空间,可能会导致远程代码执行。同样,当使用
发布时间:2018-10-15 12:20 | 阅读:5400 | 评论:0 | 标签:漏洞 CVE-2018-11776

基于DOM的XSS漏洞使Vinder,Shopify,Western Union和Imgur的6.85亿用户面临风险

来自VPNMentor的安全研究人员检测到多个客户端漏洞,允许黑客访问用户的个人资料和详细信息。基于DOM的XSS也称为0型XSS,此漏洞允许攻击者制作恶意URL,如果其他用户访问了URL,则javascript将在用户的浏览器中执行。它允许攻击者窃取受害者的会话令牌,登录凭据,执行任意操作以及捕获键盘记录。VPNMentor通过其负责任的披露计划向Tinder通报了漏洞。通过进一步分析,VPNMentor研究人员了解到存在漏洞端点并非由Tinder拥有,而是由branch.io拥有,该分支平台是全球许多大公司使用的归属平台。他们还发现,Shopify,Yelp,Western Union和Imgur等许多大型网站都使
发布时间:2018-10-15 12:20 | 阅读:5217 | 评论:0 | 标签:漏洞 XSS漏洞 xss

利用虚假浏览器更新来入侵MikroTik路由器的活动分析

MikroTik是拉脱维亚一家从事路由器和无线ISP系统开发的企业,在过去几个月中处理了许多影响其产品操作系统的漏洞。2018年4月,研究人员发现RouterOS的一个关键漏洞,然后攻击就开始了,而新发现的CVE-2018-14847漏洞利用使这种情况变得更加严重。另一个问题是虽然厂商提供了安全补丁,但仍有大量的MikroTik路由器没有进行安全更新,易受到自动化攻击的威胁。网络犯罪分子正利用POC代码来入侵成千上万的设备。去年研究人员发现最大的恶意Coinhive活动就是通过被入侵的MikroTik设备实现的。在最新的攻击活动中,攻击者利用虚假的浏览器更新页面来入侵路由器。当运行恶意更新时,研究人员会解包代码到计算机
发布时间:2018-10-15 12:20 | 阅读:5363 | 评论:0 | 标签:Web安全 MikroTik

JD-HITB安全峰会将举办HITB史上规模最大的‘攻防’竞赛

HITB安全峰会(HITBSecConf)作为国际公认的深度安全知识盛会,将邀请多位顶级国际演讲嘉宾在其首次中国峰会上发言,而且还将举行HITB史上规模最大的攻防(CTF)竞赛。预计将有多达30支国际参赛队参加该比赛,争夺高达10000美元的奖金。此次与京东安全联手的JD-HITBSecConf2018将在北京凯宾斯基酒店举行,其中动手实践培训时间为10月 29、30和31日,深度知识大会则在11 月1日和2日举行。CTF竞赛将于11月1日和2日举行。在此期间,大赛还将设立免费向公众开放的CommSec展览和技术展示区。CTF竞赛是一场实时的现场极客竞赛,本次CTF竞赛由XCTF联盟和HITB联合主办。在JD-HITB
发布时间:2018-10-15 12:20 | 阅读:4827 | 评论:0 | 标签:活动 HITB

渗透基础——端口转发与代理

0x00 前言在渗透测试中,经常会使用到端口转发和代理。端口转发是转发一个网络端口从一个网络节点到另一个网络节点的行为。实际应用中需要考虑两种情况:· Client->Transit server->Server:Client能够正向连接Transit server。Transit server直接转发即可· Client<-Transit server->Server:Client无法正向连接Transit server,但Transit server能够反向连接Client。如果Client要对Server的多个端口进行扫描(或是多个Server的多个端口),逐个配置转发规则很不现
发布时间:2018-10-14 12:20 | 阅读:9787 | 评论:0 | 标签:技术 渗透基础

利用虚假的Flash更新来传播加密货币挖矿机

最近出现一些具备伪装性的恶意可执行文件、基于脚本的下载器被用来安装加密货币挖矿机、信息窃取器、勒索软件等恶意软件。如果受害者在有漏洞的Windows主机上运行这种恶意软件,那么受害者很难发现恶意软件的任何可见的活动。Unit42研究人员最近发现一起使用欺骗技术的假Flash更新。2018年8月,一些样本模仿Flash更新通过弹窗通知从官方Adobe下载。假的Flash更新会在用户机器上安装XMRig加密货币挖矿机这类用户并不想要的软件,不过,恶意软件同时也会将受害者的Flash Player更新到最新版本。因为确实Flash已经更新成功,所以一些潜在受害者可能并不会注意到其恶意活动。然而,XMRig加密货币挖矿机或其他
发布时间:2018-10-14 12:20 | 阅读:9775 | 评论:0 | 标签:Web安全 恶意软件 加密

serviceFu——远程收集服务帐户凭据工具

在最近的安全评估中,securifera团队发现自己新开发的远程收集服务帐户凭据工具——serviceFu可以获取客户网络的初始访问权限。他们发现,这些网络都是企业投入了大量的时间和精力来维护的,企业安全客户域中的大多数用户需要智能卡身份验证,禁用凭据缓存(没有Mimikatz的sekurlsa::logonPasswords),并且存在重要的基于主机的日志记录(Powershell,Sysmon,HIPS)。出于研究的目的,研究人员选择了高价值目标服务器进行了研究。经过研究,他们发现,因为网络上的高权限管理员使用这些服务器执行了管理任务,研究人员在服务器上发现了一个鲜为人知的Nday漏洞,并编写了一个获得系统特权的本
发布时间:2018-10-13 12:20 | 阅读:13698 | 评论:0 | 标签:安全工具 serviceFu

HEAPHOPPER: Bringing Bounded Model Checking to Heap Implementation Security

原文:https://seclab.cs.ucsb.edu/media/uploads/papers/sec2018-heap-hopper.pdf 作者:Moritz Eckert , Antonio Bianchi, Ruoyu Wang, Yan Shoshitaishvili , Christopher Kruegel , and Giovanni Vigna 单位:University of California, Santa Barbara, The University of Iowa, Arizona State University 作者通过使用符号执行技术,自动化分析堆分配器,根据配置文件定义的情况可以自动生成不同exploitation primitive 的POC 背景 当
发布时间:2018-10-12 19:25 | 阅读:17893 | 评论:0 | 标签:无

来自太平洋彼岸的敌意,美国何苦对中国念念不忘?

尽管连日来彭博社热炒中国“间谍芯片”事件惨遭同行打脸,太平洋彼岸的美利坚帝国似乎仍对中国紧追不舍。本周三,美国司法部宣布从比利时引渡了一位中国的高级情报官员,并以经济间谍的罪名将其起诉,指控其试图从几家美国航空和航天公司窃取商业机密。美国信息安全行业的高级官员认为,此次逮捕可能会引发中方的报复,未来几个月中国网络攻击事件极有可能增加。 犯罪嫌疑人徐言军(音)是中国江苏省国家安全厅的一名副处长。《华盛顿邮报》报道称,从2013年开始,一直到今年4月被捕为止,徐某锁定几家美国航空公司,获取“高度敏感”的技术信息。这些航空公司包括通用电气下的通用航空,还有虽未具名但被描述为“世界上最大的航空航天公司”,商用喷气飞机与国防、太空和安全系统的主要制造商,以及无人驾驶飞行器技术的领导者。 联邦调查局(FBI)助理局长Bi
发布时间:2018-10-12 18:45 | 阅读:16663 | 评论:0 | 标签:观点

公共云中的网络钓鱼

Netskope Threat Protection最近在Google云端硬盘中发现了一个有趣的PDF。该PDF附件被伪装成丹佛的一家律师事务所的文件。PDF链接到Azure blob存储中托管的Office 365网络钓鱼页面。由于网络钓鱼诱饵托管在Azure blob存储中,因此它具有Microsoft的域名和SSL证书。Microsoft域名,证书和内容的组合使这个诱饵特别有说服力,人们很难将其识别为网络钓鱼。在这篇文章中,我们详细分析了PDF诱饵和网络钓鱼站点。还总结了一些建议,以帮助保护您和您的组织免受类似网络钓鱼活动的攻击。 传统上,PDF诱饵以电子邮件附件的形式发送给受害者。它们精心制作,内容合法,来源合法。一般情况下,附件会保存到云端存储服务器上,例如Google云端硬盘。与其他用户共享这些文档
发布时间:2018-10-12 18:45 | 阅读:16940 | 评论:0 | 标签:技术控

FitMetrix暴露了数百万客户详细信息

安全研究人员发现,大量的FitMetrix用户的数据通过一组ElasticSearch服务器暴露在互联网上。登录该服务器不需要密码,且其允许任何知道其IP地址的人访问大量信息,其中一些信息包含FitMetrix用户的个人数据。 FitMetrix是一家为健身房、工作室、企业健康计划和医疗保健专业人士提供心率监测软件的公司。该公司成立于2013年,今年早些时候被Mindbody收购,Mindbody是一家为健康服务行业提供大量云业务管理软件的公司。 FitMetrix已经暴露了数百万客户的记录,因为他们的云服务器完全开放。在公共访问被关闭之前,网络犯罪分子就访问了数据库。研究人员表示无法确定ElasticSearch服务器中公开的用户详细信息的确切数量,但该数据库大概包含119GB数据和两个不同的索引:platf
发布时间:2018-10-12 18:45 | 阅读:15928 | 评论:0 | 标签:技术控

信息泄露引发业务风险,企业该如何应对?

估计很多企业都没想到,数据泄露问题已经开始成为影响企业业务经营的一大障碍。早前雅虎就因为数据泄露问题让收并购价格大幅缩水,今年年初Facebook的数据泄露问题让Facebook大受打击,这个月Facebook又发生了疑似5000万数据泄露,并将面临16亿巨额罚款。 去年令全球企业业务被影响的勒索病毒今年又开始出动,国内已有部分政府机构被入侵以致正常政务被中断,还有致使企业生产线全数停摆的。可以说,数据泄露、勒索软件以及网络攻击,已经给全球各地的企业造成了不可估量的损害。 信息安全问题会给企业带来哪些业务风险? 01 政策风险 现在国内外关于信息保护的法律法规已经趋于完善,国内已经颁布实行的《网络安全法》《个人信息安全规范》等法规就要求企业对收集的用户信息数据进行严格保护,未尽到保护责任的将承担相应法律责任,情
发布时间:2018-10-12 18:10 | 阅读:15589 | 评论:0 | 标签:安全前沿 企业信息安全 企业信息泄露

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩