记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Trickbot的新功能——远程窃取应用程序凭证

2018年11月,研究人员曾发现一款Trickbot变种,它附带了一个密码获取模块,能够从众多应用程序中窃取凭据。在2019年1月,我们再次发现Trickbot(被检测为TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD),在其本就已经广泛的功能基础上又添加了新的功能。在最新发现的Trickbot变种中,研究人员发现了pwgrab模块的更新版本,可以远程窃取应用程序凭据。 Trickbot恶意软件 TrickBot于2016年首次被发现,据信它基于Dyreza银行木马。它能够使用webinjects模块定位和感染各种各样的国际银行,在目标Web浏览器中呈现之前将JavaScript和HTML代码注入网站。 TrickBot攻击主要目的是盗取钱财,如银行账号、
发布时间:2019-02-15 18:45 | 阅读:7347 | 评论:0 | 标签:技术控

如何在iOS 11.4和iOS 11.4.1上实现iPhone物理采集

iOS11.4~iOS11.4.1系统终于可以越狱啦!等了那么久,终于等到了。目前为止,Electra和Unc0ver已经支持iOS11.0~11.4.1系统版本,支持设备有:A9/A9X/A10/A10X/A11。Reddit的Jalbrick社区中有人分别用Unc0ver/Electra越狱做电量使用测试,在完全相同环境下做电池续航性能测试,完全相同设备、完全相同的设置和下载完全相同插件工具,并自然的分别使用一天,测试结果显示越狱电量续航、发热明显改善。那Unc0ver和Electra具体该怎么选择呢?我们的意见是,如果现在想越狱的话,就选Unc0ver。如果你手机之前用的Electra但是喜欢折腾的话,可以先平刷
发布时间:2019-02-15 12:20 | 阅读:9471 | 评论:0 | 标签:技术 iOS phone

Revenge RAT恶意软件升级版来袭

一、摘要Revenge RAT恶意软件变得越来越隐蔽,归因于其异常先进的分发技术和基础设施。最近,Cofense IntelligenceTM观察到此广泛使用的远程访问木马进行了升级,这有助于它访问网络摄像头、麦克风和其他实用程序,因为Revenge RAT进行了重新调整并试图在目标计算机上获得立足点。当它成功时,RAT可以大大增加威胁行为者的破坏力,其中包括通过键盘记录器或其他间谍软件监控用户行为、窃取个人信息以及分发其他恶意软件。由于冗余的命令和控制基础架构被标记为合法内容,威胁行为者可以在不将文件保留在磁盘上的情况下分发Revenge RAT样本。Revenge RAT使用带有Office宏的Microsoft
发布时间:2019-02-15 12:20 | 阅读:9690 | 评论:0 | 标签:Web安全 Revenge RAT

CVE-2018-16858:开源office套件远程代码执行漏洞

研究人员在攻击活动中发现多种利用office文档来传播恶意软件的攻击技术。近年来,有很多攻击者开发出文档利用套件构造器来利用office的漏洞。与不需要用户交互的drive-by下载相比,基于文档的攻击经常使用不同种类的社会工程组件。在基于文档的攻击中,用户会被诱使打开要求启用宏的附件,攻击者会使用不同的主题和鱼叉式钓鱼技术来感染受害者。Office在得到攻击者注意的同时,其他类office套件也出现过被利用的情况。近日研究人员Alex Inführ发现一款免费和开源的office套件LibreOffice和OpenOffice (Apache OpenOffice)存在漏洞。该漏洞CVE编号为CVE-2018-168
发布时间:2019-02-15 12:20 | 阅读:9290 | 评论:0 | 标签:漏洞 CVE-2018-16858

【漏洞预警】Ubuntu Linux权限升级漏洞PoC(CVE-2019-7304)

在2019年1月,国外安全人员在Ubuntu Linux的默认安装中发现了一个权限提升漏洞。这是由于snapd API中的一个错误,这是一个默认服务。任何本地用户都可以利用此漏洞获取对系统的直接root访问权限,CVE编号CVE-2019-7304。 为了简化Linux系统上的打包应用程序,各种新的竞争标准正在出现。Canonical,Ubuntu Linux的制造商,正在推广他们的“Snap”软件包。这是一种将所有应用程序依赖项转换为单个二进制文件的方法 – 类似于Windows应用程序。Snap生态系统包括一个“应用程序商店”,开发人员可以在其中贡献和维护随时可用的软件包。管理本地安装的Sna
发布时间:2019-02-14 17:20 | 阅读:14236 | 评论:0 | 标签:漏洞 Ubuntu

影响大量云服务厂商的严重漏洞:runC容器逃逸漏洞分析(CVE-2019-5736)

一、概述以下漏洞研究的灵感来源于35C3 CTF的namespaces任务,由_tsuro创建。在进行这一挑战的过程中,我们发现,从安全角度来看,要创建基于命名空间的沙箱并通过外部进程加入是一项非常具有挑战性的任务。我们在CTF比赛结束后,发现Docker具有“docker exec”功能(实际上是由opencontainers的runc实现的)具有类似的模型,于是我们决定挑战这种漏洞实现。二、目标及结果我们的目标是在默认配置或加固后配置下的Docker容器内部攻陷宿主机环境(例如:获得有限的功能和系统调用可用性)。我们考虑了以下两个攻击维度:1、恶意Docker镜像;2、容器内的恶意进程(例如:攻陷以root身份运行
发布时间:2019-02-14 12:20 | 阅读:14779 | 评论:0 | 标签:漏洞 CVE-2019-5736

反向RDP攻击:RDP客户端上的代码执行

一、概述远程桌面协议(RDP)被全球数以千计的IT专业人员和安全研究人员使用,它通常被认为是连接到远程计算机的安全可靠的应用程序。无论是用于帮助远程工作人员还是在安全的VM环境中工作,RDP客户端都是非常宝贵的工具。但是,Check Point Research最近在常用的远程桌面协议(RDP)中发现了多个严重漏洞,这些漏洞允许恶意行为者反向通常的通信方向并感染IT专业人员或安全研究的计算机。 这种感染可能会导致整个IT网络的入侵。我们总共发现了16个严重漏洞和25个安全漏洞。 完整列表可在附录A和B中找到。二、介绍远程桌面协议(RDP),在Microsoft内置RDP客户端之后也称为“mstsc”,技术用户和IT人员
发布时间:2019-02-14 12:20 | 阅读:15474 | 评论:0 | 标签:技术 RDP

​HTTP/3来啦,你还在等什么?赶紧了解一下(下)

上篇文章主要介绍互联网协议标准化过程中的重要意义和流程,接下来我会讲到HTTP/3的出现过程。Cloudflare的运行代码Cloudflare是一家美国的跨国科技企业,总部位于旧金山,在英国伦敦亦设有办事处。Cloudflare以向客户提供网站安全管理、性能优化及相关的技术支持为主要业务。通过基于反向代理的内容分发网络(CDN, Content Delivery Network)、任播(Anycast)技术 、基于nginx+lua架构的Web应用防火墙(WAF, Web Application Firewall) 及分布式域名解析服务(Distributed Domain Name Server)等技术,Cloud
发布时间:2019-02-14 12:20 | 阅读:14541 | 评论:0 | 标签:技术 HTTP/3

YouTube的两处漏洞及用户勒索详情披露

YouTube Studio官方应用可以让其用户可以随时随地、更轻松快捷的管理自己的YouTube频道。你可以查看最新统计信息、回复评论、创建及更新视频缩略图和帐号个人资料照片,以及接收通知,从而随时随地掌握最新动态。主要功能如下:1.通过简单易用的分析工具监控频道和视频效果;2.回复和管理评论;3.在有与频道相关的重要事件发生时及时得到通知;4.更新视频详细信息,包括说明、标题、自定义缩略图和获利设置;5.管理播放列表;6.创建并更新帐号个人资料照片;7.通过语音搜索帮助内容;8.一次更新所有视频,这个功能叫做批量更新;这么好用的工具,当然是YouTube用户的必备神器。不过,有一天当我在清理桌面文件夹的时候,偶然发
发布时间:2019-02-14 12:20 | 阅读:15203 | 评论:0 | 标签:漏洞 YouTube

攻防技术:如何在Azure VMs中大规模运行PowerShell

概述假如有这样一个场景:你正在进行渗透测试,而Azure基础结构也在渗透的授权范围之内(理应如此),并且你可以访问针对Azure订阅具有Contributor(管理)权限的域帐户。Contributor权限通常难以通过渗透测试获得,但是这一权限通常会授予开发人员。如果幸运的话,管理员可能会添加域用户组作为订阅的Contributor。或者,我们干脆假设,我们能够获得较低权限的用户,并可以实现权限提升,提升到Contributor帐户。在这时,我们可以尝试收集可用的凭据,转储配置数据,并尝试进一步访问订阅中的其他帐户(Owners拥有者 / Domain Admins域名管理员)。在本文的场景中,我们假设已经尝试了所有的
发布时间:2019-02-14 12:20 | 阅读:13815 | 评论:0 | 标签:技术 Azure VMs

HTTP/3来啦,你还在等什么?赶紧了解一下(上)

曾长期被称作 HTTP-over-QUIC 的协议现在更名啦,它将正式更名为 HTTP/3 协议,互联网工程任务组(IETF)官员透露,HTTP-over-QUIC实验协议将重命名为HTTP/3,并有望成为HTTP协议的第三个正式版本,这一决定最初由 Mark Nottingham 提议。IETF 中的 QUIC 工作组致力于创建 QUIC 传输协议。 QUIC 是基于 UDP 实现的协议,是用来替换 TCP 的。QUIC 协议最初是由Google发起的项目,后面慢慢成为了 HTTP/2-encrypted-over-UDP 协议。当 IETF 开始进行协议标准化工作时,协议被分为两层:传输部分和 HTTP 部分。这个
发布时间:2019-02-13 17:20 | 阅读:13360 | 评论:0 | 标签:技术 HTTP/3

IcedID使用ATSEngine注入面板攻击电子商务网站

作为针对金融服务和电子商务用户的网络犯罪工具的持续研究的一部分,IBM X-Force分析了有组织恶意软件团伙的策略,技术和程序(TTP),暴露他们的内部工作,帮助将可靠的威胁情报传播到安全社区。在最近对IcedID Trojan攻击的分析中,我们的团队调查了IcedID运营商如何针对美国的电子商务供应商,这是该组织的典型攻击。威胁策略是两步注入攻击,旨在窃取受害者的访问凭据和支付卡数据。鉴于攻击是单独运行的,IcedID背后的人要么正在研究不同的货币化方案,要么将僵尸网络租给其他犯罪分子,将其转变为网络犯罪即服务,类似于Gozi Trojan’s的商业模式。一、起源IBM Security于2017年9月发现Iced
发布时间:2019-02-13 17:20 | 阅读:12894 | 评论:0 | 标签:Web安全 恶意软件 注入

如何在Windows AppCotainer中创建进程

概述AppContainer是通常用于UWP进程(也称为Metro、Store、Modern)的沙箱。AppContainer中的进程以低完整性级别(Intergrity Level)运行,这实际上意味着它几乎无法访问所有内容,因为对象(例如:文件)的默认完整性级别为中。这意味着,在AppContainer内运行的代码由于缺乏访问权限,而无法对系统产生任何重大的损害。此外,从对象管理器的角度来看,AppContainer创建的命名对象基于称为AppContainer SID的标识符,存储在其自身的对象管理器目录下。这意味着,一个AppContainer不能干扰另一个对象。例如,如果不在AppContainer中的进程,
发布时间:2019-02-13 17:20 | 阅读:12758 | 评论:0 | 标签:系统安全 windows

Geodo/Emotet僵尸网络的两项新变化

摘要在过去的几天里,Cofense检测到了Geodo / Emotet恶意软件近期活动的两个特征,一是Geodo僵尸网络正在通过网络钓鱼行为直接散播非Geodo恶意软件,比如Qakbot银行木马;二是Geodo已经定位了更为精准的攻击目标——美国州级政府机构的员工。Cofense之前已经已经多次报道过Geodo / Emotet的相关内容,Geodo的最近一次现身是在假期结束后的一月份,而此次观测到的活动又出现了新的迹象,Geodo背后的威胁行为者通过在其产品中添加交付服务,可以散播其他恶意payload。过程详述Cofense Intelligence注意到Geodo僵尸网络中发生了某种行为变化,截至1月28日,Co
发布时间:2019-02-13 17:20 | 阅读:13392 | 评论:0 | 标签:Web安全 Geodo

一次神秘的测试——通过打印机找到父域控制器

最近,我参与了一个安全测试项目,在这个项目中,测试方要求我们在不触发他们的SOC(Security Operations Center)的情况下,窃取企业的内部数据。在测试期间,我被要求只允许进入一间会议室。至于如何进行入侵测试,这就是我的事情了,不过一切的测试都被限制在这间会议室,这意味着我只能通过这个会议室里的电脑或其他设备来攻击了。注:本次攻击测试进行了4天,所有IP地址和系统名称均经过修改,不反映真实的客户端地址和系统名称。测试期间,我在会议室安装了思科VOIP系统即网络电话,以允许我使用网线。第1天的攻击测试情况早上8:30我就开始了测试,主要目的是在不被企业的网络安全中心发现的情况下,窃取一些关键数据。当我
发布时间:2019-02-12 12:20 | 阅读:18118 | 评论:0 | 标签:Web安全 打印机

通过RDP隧道绕过网络限制

远程桌面服务是Microsoft Windows的一个组件,各个公司都使用它来为系统管理员、工程师和远程员工提供便利。另一方面,远程桌面服务,特别是远程桌面协议(RDP),在目标系统感染期间为远程威胁行为者提供了同样的便利。 当先进的威胁行为者建立立足点并获得充足的登录凭据时,他们可能会从后门切换到使用直接RDP会话进行远程访问。 当恶意软件从目标机中移除时,入侵变得越来越难以检测。一、RDP可避开规则与非图形后门相比,威胁行为者更喜欢RDP的稳定性和功能性优势,但这可能会在系统上留下不必要的痕迹。由此,FireEye观察到使用本机Windows RDP程序的威胁行为者在受感染环境中跨系统进行横向连接。从历史上看,受防
发布时间:2019-02-12 12:20 | 阅读:16505 | 评论:0 | 标签:系统安全 RDP

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩