记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

模拟可信目录的利用技巧扩展

0x00 前言在上篇文章《通过模拟可信目录绕过UAC的利用分析》对通过模拟可信目录绕过UAC的方法进行了分析,本文将结合自己的经验,继续介绍模拟可信目录的另外三种利用技巧,最后给出防御建议。0x01 简介本文将要介绍以下内容:· 利用模拟可信目录绕过Autoruns· 利用模拟可信目录欺骗ShimCache· 利用模拟可信目录伪造正常的UAC弹框0x02 利用模拟可信目录绕过Autoruns绕过原理:Autoruns默认不显示带有微软签名的文件,如果文件包含微软签名,默认不会显示在Autoruns面板。在Windows系统的启动位置写入模拟可信目录下的文件,由于被识别为正常带有微软签名的文件,默认将
发布时间:2019-03-20 00:20 | 阅读:2034 | 评论:0 | 标签:技术 模拟可信目录

便携式移动网络的快速搭建方法

在用户高峰时段,常用的移动网络很容易堵塞,不堪重负。所以,关键时刻能够建立安全可靠的通信,是非常重要的。在本案例中,我用的移动通信系统是GSM协议,为了能够将GSM协议广播出去,我使用了BladeRF。需要的设备1.树莓派,本文使用的是树莓派3;2.Micro SD卡,本文使用的是32 GB的;3.Nuand BladeRF,本文使用的是BladeRF x40;4.在树莓派上启用SSH,为了便于使用,终端也可以正常运行;5.一部兼容GSM和SIM卡的手机;6.SIM卡(sysmoSIM-GR2);7.一根网线;树莓派的设置译者注:BladeRF是由树莓派使用YateBTS控制的,YateBTS是实现手机访问网络和GSM
发布时间:2019-03-19 12:20 | 阅读:6166 | 评论:0 | 标签:移动安全 移动网络 移动

复制自KORKERDS的挖矿脚本移除了KORKERDS相关的所有挖矿机和服务

研究人员在进行程序日志检查时发现,蜜罐钟有恶意脚本下载恶意二进制文件。进一步分析之后,研究人员发现该脚本可以删除大量已知的Linux恶意软件、挖矿脚本和其他挖矿服务相关的端口和链接,而且该脚本与Xbash和KORKERDS有相似和关联。该恶意脚本会下载加密货币挖矿恶意软件并植入到系统中,使用crontab来确保系统重启和删除后的驻留问题。图1. 从域名下载的脚本,蜜罐中的日志信息恶意脚本分析该恶意脚本会下载二进制文件,分析之后发现它是KORKERDS的变种,是对2018年11月的KORKERDS收集的样本的修改版本,对该恶意软件做出了适当的添加和删除。与KORKERDS相比,新脚本并不会卸载系统中安装的安全产品,也不会
发布时间:2019-03-19 12:20 | 阅读:5272 | 评论:0 | 标签:二进制安全 恶意脚本

剖析NETWIRE网络钓鱼行动中对Process Hollowing的运用

介绍无文件攻击是当前较为常见的一种攻击手段,恶意软件通过其payload来逃避检测,而无需在磁盘上编写可执行文件。无文件执行最常见的技术之一是代码注入——攻击者不需要直接执行恶意软件,而是将恶意软件代码注入另一个进程的内存中去执行。PowerShell在所有Windows 7及以上的版本中都含有,而且支持的特性非常多,因此PowerShell已经成为攻击者最常利用的工具之一。FireEye曾经在多个报告中提及过PowerShell用于恶意软件初始传递期间或后漏洞利用阶段的事迹。利用PowerShell,攻击者能方便地与其他Windows组件进行交互,进而隐秘快速地执行他们的活动。本篇文章探讨的是在2019年2月观察到的
发布时间:2019-03-19 12:20 | 阅读:5269 | 评论:0 | 标签:Web安全 NETWIRE网络钓鱼

云安全进化论

0x00、前言经过2018年的各大传统安全厂商、云安全厂商、以及甲方安全研发的排兵布阵,中国的安全市场态势有了很大的改变。这些变化主要体现在安全产品的云化(CDN+云安全解决方案)、云厂商开始侵蚀传统安全市场(例如:政务云、城市云)、客户方面甲方更安全投入更大更专业。安全建设由主要从第三方购买安全解决方案到部分购买核心数据+自研产品的思路上。安全厂商产品体现安全产品的价值空间在不断的压缩。那么,2019年安全产品将何去何从,如何向用户提供价值导向?如何引导用户是亟待解决的问题。还有一个更重要的情况,2019年经济形势非常不好,客户都在勒紧裤腰带过日子。对于烧钱撑起来的安全产品和服务将无法长时间维系。对于产品线单一的安全
发布时间:2019-03-18 17:20 | 阅读:9728 | 评论:0 | 标签:观察 云安全

如何通过监视器像素颜色值传输数据

假设要将数据从一台计算机传输到另一台计算机。如果使用公共电子邮件服务、FTP或任何其他协议,很容易被诸如DLP(数据丢失防护)之类的软件捕获。因此,可以通过监视器像素颜色值(监视器屏幕作为转换通道)对数据进行传输。数据传输场景:攻击者拥有一台位于印度的Windows 10计算机以及另一台位于美国的运行VMware控制台或VNC的Windows 10计算机。现在假设印度希望向美国发送数据。显示协议(如RDP)被阻止,因此无法传输文件。我们可以使用屏幕接口作为通道进行数据传输。在这(HERE)下载PTP RAT。PTP-RAT是一个概念验证工具,用于在屏幕界面上传输数据,它使用像素颜色值对数据进行编码,并闪烁远程屏幕以发送
发布时间:2019-03-18 12:20 | 阅读:11591 | 评论:0 | 标签:技术

通过Web缓存欺骗攻击实现用户信息泄漏

概述几天前,通过Web缓存欺骗攻击,我发现了一些用户信息泄漏的漏洞。在我们深入研究PoC之前,我想首先解释一下这些攻击方法及其影响。Web缓存欺骗攻击是一种攻击方式,原因在于Web应用程序在使用缓存的过程中没有正确验证,从而允许攻击者实现缓存泄漏攻击。在这样的场景中,后台的Web应用程序通常倾向于使用代理、CDN和其他服务来使用缓存功能。借助于这样的功能,可以减少服务器的响应时间,或者减少延迟,但在这一功能中并没有进行正确的验证。我们假设有一个类似于www.example.com/home.php的网站,攻击者在这个URL的末尾尝试了一个额外的扩展,例如www.example.com/home.php/a.jpg。如果
发布时间:2019-03-18 12:20 | 阅读:11576 | 评论:0 | 标签:Web安全 web

针对亚洲游戏行业的新型供应链攻击分析

犯罪团伙攻击游戏行业也不是什么新鲜事了,其惯用手法是在游戏的构建环境中插入后门,然后将恶意软件作为合法软件分发出去。卡巴斯基实验室就曾报道过某款在2011年很受欢迎的游戏被Winnti组织植入了后门的事件。最近,ESET的研究人员注意到了一起针对游戏行业的新型供应链攻击,此次攻击行动涉及两款游戏和一个游戏平台应用程序。考虑到攻击主要针对亚洲地区和游戏行业这两个特性,我们有理由推测此次攻击仍有可能是Winnti组织所为。三起案例,相同后门在我们观察到的三起案例中,攻击者分别就不同的对象采取了不同配置的恶意软件,但其包含后门代码是相同的,并且使用了相同的启动机制。当前,三款产品中有两款已不再包含后门,但还有一款产品的开发商
发布时间:2019-03-18 12:20 | 阅读:10670 | 评论:0 | 标签:Web安全 供应链攻击

委内瑞拉大规模停电事件的初步分析与思考启示

说明:2019年3月7日,委内瑞拉发生大规模停电事件。安天科技集团组织研究院、安天CERT等内部力量进行跟踪研判,并于3月9日、3月10日,向国家相关主管、职能部门报送了两期研判简报;广东省电力系统网络安全企业重点实验室积极跟进分析研判,于第一时间向主管部门报送了《委内瑞拉停电事件分析》,并于3月12日发布《“3·7”委内瑞拉大停电事件快报》。为进一步加强分析研判力量,双方决定成立联合分析研判组,继续推动该事件的持续跟进分析。基于双方已调研了解的情况和初步判断整合形成此份初步分析。【事件概述】(一)事件发生及进展2019年3月7日傍晚(当地时间)开始,委内瑞拉国内包括首都加拉加斯在内的大部分地区停电超过24小时[1],
发布时间:2019-03-18 12:20 | 阅读:10625 | 评论:0 | 标签:事件 委内瑞拉

CVE-2019-7238: Sonatype Nexus Repository Manager 3远程代码执行漏洞

近日,研究人员发现了通用软件包仓库管理服务Nexus Repository Manager 3存在访问控制缺失及远程代码执行漏洞,漏洞编号为CVE-2019-7238。研究人员在Sonatype Nexus Repository Manager (NXRM) 3中发现一个远程代码执行漏洞。Sonatype Nexus Repository Manager (NXRM) 3是一个允许开发者管理软件开发、应用实现、自动硬件提供所必须的软件组件的开源项目。漏洞影响的NXRM 3目前安装量已经超过15万,该漏洞是腾讯安全云鼎实验室安全研究员Rico和长亭科技安全研究员voidfyoo发现的。研究人员通过分析发现利用该安全漏洞并
发布时间:2019-03-18 12:20 | 阅读:10651 | 评论:0 | 标签:漏洞 CVE-2019-7238

Web缓存控制策略详解

Cache-Control管理Web缓存的最常用和最有效的方法之一是通过Cache-Control HTTP标头,由于此标头适用于Web页面的缓存,这意味着我们页面上的所有内容都可以具有非常精细化的缓存策略。通过各种自定义策略,我们控制的策略就可以变得非常复杂和强大。Cache-Control标头可能如下所示:Cache-Control: public, max-age=31536000Cache-Control是标头,public和max-age=31536000都是指令。 Cache-Control标头可以接受一个或多个指令,我想在本文中讨论的就是这些指令,比如它们的真正含义以及它们的最佳用例。
发布时间:2019-03-18 12:20 | 阅读:8922 | 评论:0 | 标签:Web安全 web

SLUB后门使用Slack等进行通信

研究人员近期发现一个非常有意思的恶意软件。首先,该恶意软件通过水坑攻击进行传播,水坑攻击是指攻击者进入入侵用户要访问的网站,并加入恶意代码,然后用户访问该网站时就会被重定向到受感染的代码。在该攻击活动中,每个访问用户只会重定向一次。感染过程利用了CVE-2018-8174漏洞,该漏洞是VB脚本引擎漏洞,微软已于2018年5月修复了该漏洞。究人员发现很多AV产品仍然无法成功检测该后门。最后,研究人员还发现该恶意软件会连接到Slack平台。Slack是一款与IRC其次,该恶意软件使用多阶段感染的方案。在利用了漏洞之后,会下载一个DLL并在PowerShell中运行。该文件实际上是一个下载器,会下载和执行含有后门的可执行文件
发布时间:2019-03-17 12:20 | 阅读:14101 | 评论:0 | 标签:Web安全 恶意软件 后门

模糊测试与漏洞利用实战:MikroTik无需认证的远程代码执行漏洞(CVE-2018–7445)(上)

一、总览1. CVE-2018-7445是SMB服务二进制文件中存在的栈缓冲区溢出漏洞,存在于MikroTik RouterOS 6.41.3/6.42rc27之前的所有版本和体系结构中。2. 该漏洞使用Cisco Talos的Mutiny模糊测试工具通过Dumb Fuzzing的方式发现,并在大约1年前报告和修复。3. 易受攻击的二进制文件没有使用栈金丝雀保护(Stack Canaries)实现编译。4. 在漏洞利用中,使用ROP将堆标记为可执行文件,并跳转到堆中的固定位置。堆基址不是随机的。5. 在2018年,使用Dumb Fuzzing测试方法,发现了目标中的漏洞,但我确定在2019年已经不存在此类漏洞。6. 本
发布时间:2019-03-17 12:20 | 阅读:14001 | 评论:0 | 标签:漏洞 CVE-2018–7445

SimBad: Google Play中的广告恶意攻击活动分析

本文介绍Check Point研究人员在Google Play中发现的一起广告恶意软件攻击活动。Check Point研究人员近期在Google Play应用商店中发现一起新的广告恶意软件攻击活动。研究人员发现攻击活动中共有206个应用程序,总下载量达1.5亿次。目前,Google已经从Google Play应用商店中移除了受感染的应用程序。SDK恶意软件位于RXDrioder的SDK中,这是addroider[.]com提供的,但是实际上是一个广告相关的SDK。研究人员相信恶意开发者想诱骗用户和开发者使用恶意SDK,而不管其内容,因此该活动并不是攻击某个特定的国家。因为大多数受感染的应用的都是模拟器游戏,因此该恶意软
发布时间:2019-03-16 12:20 | 阅读:20858 | 评论:0 | 标签:Web安全 Google Play

BloodHound工具的攻防使用拉锯战

对于企业内部负责网络安全部分的人来说,能够将新出现的攻击的捕获周期降到最低,才是他们的最终目的,这样不但能降低损害程度,而且补救成本也很低。他们经常希望的最理想的安全方式就是通过尝试入侵来进行测试,可见渗透测试对网站安全的重要性。BloodHound就是一个强大的内网域渗透提权分析工具,BloodHound用图与线的形式,将内网域内的用户、计算机、组、会话控制、访问控制列表以及所有相关用户、组、计算机、登陆信息、访问控制策略之间的关系更直观的展现在分析人员面前,方便大家分析。BloodHound最令人兴奋的功能是能够识别攻击路径。对于这个概念,这种方法在Active Directory域权限提升方面有着令人难以置信的作
发布时间:2019-03-16 12:20 | 阅读:15844 | 评论:0 | 标签:观察 BloodHound

SOC第三防御阶段–了解企业资产

在第一阶段中,我们讲解了基本的防御机制,建议每个企业和机构都应该做到这一点。在第二阶段中,我们讲解了对所遇到的现代恶意软件行为的理解及其重要性。今天,我们进入第三阶段,我们将讲解理解企业资产的重要性,以提供更好的安全防护。大部分攻击者,都是基于他们在企业资产中找到的漏洞来创建不同的恶意软件和编写脚本工具的。然后,他们针对企业攻击面发起攻击。攻击面是发起攻击的地方,可能是资产,或者路径,或者是连接点。所以,攻击者肯定会研究你的企业资产,然后选择一个最佳攻击路线。同样,SOC团队也必须学习企业资产,知道资产的位置。按理来说,SOC团队必须知道设备的部署位置,连接方式,共有多少网络区域,了解整个网络路由和映射,设备如何进行托
发布时间:2019-03-15 12:20 | 阅读:22548 | 评论:0 | 标签:业务安全 SOC防御 企业资产

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩