记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Black Hat USA 2018:10款最酷的网络和端点安全产品即将登场亮相

如果将网络比作人的神经系统,那么端点就是其神经末梢。端点包括PC、笔记本电脑、手持设备及其它的特定设备。关于端点安全的重要性,我们可以先通过一组数据进行直观的了解:根据Promisec公司公布的数据显示,89%的副总裁与高管层IT领导者受访者表示,其对于可能在未来一年内出现的安全事故感到恐惧,而只有32%的受访者表示其已经拥有部署到位的高级端点安全方案。事实上,73%的受访者认为端点已经成为目前最易受到攻击活动影响的薄弱环节。需求已经如此明显,而分析师对端点安全方案的市场前景做出的乐观评价也从侧面证明了这一点。根据MarketsandMarkets发布的报告,这部分市场总值将由今年的116.2亿美元增长至2020年的1
发布时间:2018-08-15 12:20 | 阅读:1286 | 评论:0 | 标签:安全工具 安全产品

可信执行环境介绍——ARM的TrustZone

近年来,互联设备日益普及,迫使设备制造商们更加认真严肃的对待设备出现的安全问题。为了解决这些问题,专家们制定了一个新的规范,并且定义了一种方法来确保执行了该方法的设备上运行数据的完整性和机密性。可信执行环境可信执行环境(TEE)是主处理器内的安全区域。它运行在一个独立的环境中且与操作系统并行运行。它确保TEE中加载的代码和数据的机密性和完整性都得到保护。通过同时使用硬件和软件来保护数据和代码,这个并行系统比传统系统(即REE,也就是富执行环境)更加安全。在TEE中运行的受信任应用程序可以访问设备主处理器和内存的全部功能,而硬件隔离保护这些组件不受主操作系统中运行的用户安装应用程序的影响。TEE中的软件和加密隔离相互保护
发布时间:2018-08-15 12:20 | 阅读:1474 | 评论:0 | 标签:系统安全 TrustZone

动态二进制插桩的原理和基本实现过程(一)

前言动态二进制插桩(dynamic binary instrumentation ,DBI)技术是一种通过注入插桩代码,来分析二进制应用程序在运行时的行为的方法。动态二进制插桩技术,可以在不影响程序动态执行结果的前提下,按照用户的分析需求,在程序执行过程中插入特定分析代码,实现对程序动态执行过程的监控与分析。目前,应用广泛的动态二进制分析平台有Pin,DynamoRIO和Frida等。最常用动态二进制插桩框架的平台这篇文章的目的是对动态二进制插桩的原理和基本实现过程进行全面的介绍,其中,我会选择一些最知名和最常用的动态二进制插桩框架进行具体说明,其中包括Pin,DynamoRIO和Frida。而这三个里面,我会主要关注
发布时间:2018-08-15 12:20 | 阅读:1519 | 评论:0 | 标签:二进制安全 二进制

利用蜜罐从恶意网站中找出检测绕过代码

越来越多的恶意网站开始使用复杂的避免被传统的安全技术检测到。攻击者的目标包括恶意软件传播、数据泄露、修改和比特币挖矿。NTT研究人员使用两种类型的诱饵系统(蜜罐客户端)发现了5种新型的绕过技术,利用JS应用过程中的差异来避免被安全软件检测到。 图1: 恶意站点通过有漏洞的浏览器发起的攻击NTT使用结合高交互和低交互的蜜罐客户端来检测和监控一些站点。高交互的蜜罐客户端是一个真实的浏览器,可以准确检测浏览器中的漏洞利用和恶意软件下载情况。低交互的蜜罐客户端是一个浏览器模拟器,用来模拟不同的客户端配置文件、追踪复杂的重定向、hook代码执行等。这两种方法是互相补充来改善整体的分析效果的。研究人员通过分析恶意网站来确认恶意性,
发布时间:2018-08-15 12:20 | 阅读:1392 | 评论:0 | 标签:技术 蜜罐

深入了解云威胁以及保护措施(下)

在上一篇文章中,我们介绍了什么是云安全风险以及云的6种威胁。本篇文章中将为大家详细讲述如何保护云。如何保护云根据市场研究公司VansonBourne的调查,并由网络监控解决方案提供商Gigamon的赞助,73%的受访者预计他们的大部分应用程序工作负载都在公共云或私有云中。然而,35%的受访者希望以与他们的内部部署操作“完全相同的方式”处理网络安全。其余的人虽然不愿意改变,但他们也别无选择,只能改变他们的云安全策略。当然,并不是每家公司都想要将敏感或关键数据迁移到云端。但是,大多数公司正在迁移关键性和专有的公司信息(56%)或营销资产(53%)。47%的受访者希望在云中拥有个人身份信息,这可能是受到新的隐私法规(如欧盟的
发布时间:2018-08-14 12:20 | 阅读:7500 | 评论:0 | 标签:其他 云安全

DEFCON 议题解读 | 利用回调函数突破iOS11沙盒

本文作者:蒸米,白小龙 @ 阿里安全0x01 沙盒简介苹果公司在macOS 10.5中把沙盒作为“SeatBelt”引入,它提供了MACF策略的第一个全面实现。在macOS上成功试用后,苹果公司又将沙盒机制应用于iOS 6中。随着新的系统的发布或新的威胁出现,沙盒的钩子数量一直在稳步的增长。如下是iOS/macOS每个版本中钩子的数量:一开始,苹果的沙盒使用黑名单方式,这意味着苹果将已知的危险API整合在一起,并阻止它们,默认情况下允许所有其他人使用。随着苹果沙盒的发展,它采用了一种白名单的方式,拒绝所有的API,只允许苹果信任的安全接口。在MacOS中,配置文件可见并存储在/System/Library/Sandbo
发布时间:2018-08-14 12:20 | 阅读:7889 | 评论:0 | 标签:技术 移动安全 iOS 沙盒 苹果

Osiris dropper使用process doppelgänging技术

Process Doppelgänging是一种模拟进程的技术。近期,勒索软件SynAck把该技术用作恶意用途,但该技术的应用还是很少的。研究任意发现Osiris(Kronos变种)银行木马dropper使用了该技术。关于process doppelgänging的其他情况请参考:http://www.4hou.com/system/9183.html关于Osiris的其他情况请参考:http://www.4hou.com/web/12776.htmlDropper的开发者非常娴熟,使用了很多的技巧,本文分析加载器的实现过程。分析的样本:· 5e6764534b3a1e4d3abacc4810b6985d – orig
发布时间:2018-08-14 12:20 | 阅读:7210 | 评论:0 | 标签:技术 Osiris

深入解读社会工程攻击

假设你现在身处这样一个情景中:一个端着热咖啡托盘的人站在门前,因为要尽力维持平衡,她似乎无法将她的门卡放在读卡器附近,那么你该不该主动让她进来呢?这确实是一件值得深思的事情。从礼貌上来说,帮助他人是一个非常绅士的行为,但是从安全上来说,开门,即打开了限制。你该让她进来吗?如果她真的只是无法腾出手来取出她的门卡,那么答案显然是肯定的。但是,如果还有其他事情发生怎么办?当某人扮演着一个女人的角色——她的面容和表情让你心生怜爱,并且来寻求你的帮助,你深思熟虑的姿态就会突然变得危险起来。现在,你已经让她更容易进入她本身无法访问或无权访问的受限制设施,而她,会让你变成社会工程的受害者。社会工程是IT专业人士和网络安全专家经常会提
发布时间:2018-08-13 12:20 | 阅读:12517 | 评论:0 | 标签:Web安全 业务安全 数据库安全 系统安全 安全

深入了解云威胁以及保护措施(上)

据有关报告显示,公共云、私有云和混合云的风险差异很大。在向云数据和服务迈进的过程中,许多公司都在重新思考他们的网络安全方法。他们需要云安全策略吗?云安全策略有什么不同?而最近的一些调查揭示了安全战略是如何变化的,更重要的一点是,它们应该如何改变。本文将讲述有关执行成功的云安全策略所需的工具、信息和组织结构的建议。在云中放置更多IT基础架构在某些方面更安全一些。例如,您可以合理的确定系统正在运行补丁的最新版本。云服务提供商也在构建新的功能,例如使用机器语言进行异常检测。但是同时,它也带来了新的风险,其中一些是误解如何管理云安全的结果。重要的是要了解公司的云IT战略——无论是混合型、私有托管型还是公共型,都影响其网络安全战
发布时间:2018-08-13 12:20 | 阅读:12230 | 评论:0 | 标签:其他 云安全

SGX的外部组件概述(一)

此前,我曾讲过SGX的内部组件,从今天开始,我将继续讲解SGX的外部组件。在这篇文章中,我首先会快速解释一下应用程序如何与其enclave的相互作用过程,然后详细介绍SDK和PSW中包含的软件,最后,总结SGX技术可能遭受的攻击方式。相互作用方式从理论上讲,SGX enclave可以看作是一个能够执行任意算法的黑匣子。这个黑匣子可以使用下面介绍的三种不同方式与外界进行通信。Enclave调用(ECALL)应用程序可以在enclave内部调用预定义的函数,将进入参数和指针传递给应用程序内的共享内存,应用程序对enclave的调用便称为ECALL。外部调用(OCALL)当enclave执行时,它可以对应用程序中的预定义函数
发布时间:2018-08-13 12:20 | 阅读:13016 | 评论:0 | 标签:Web安全 SGX

朝鲜恶意软件家族关系一览

研究人员分析发现来自Lazarus、Silent Chollima、Group 123、Hidden Cobra、DarkSeoul、Blockbuster、Operation Troy、10 Days of Rain的攻击都来自朝鲜。那么这些攻击组织之间有没有什么关系呢?这些攻击组织与WannaCry又有什么关系呢?McAfee和Intezer研究人员通过代码重用分析了朝鲜恶意软件家族、攻击活动和攻击组织之间的关系。代码重用研究人员在调查网络威胁时发现朝鲜发起了多个网络攻击活动。在朝鲜,黑客的技能决定了为哪个网络攻击组织工作。研究人员发现朝鲜活动的两个关注点是挣钱和达到国家目的。第一批攻击者会为国家收集金钱,甚至黑进
发布时间:2018-08-13 12:20 | 阅读:12663 | 评论:0 | 标签:Web安全 恶意软件家族

nodejs反序列化漏洞利用getshell

node.js是一个服务器端的运行环境,封装了Google V8引擎,V8引擎执行JavaScript速度非常快,性能非常好。Node.js进行了一些优化并提供替代API,这使得Google V8引擎能够在非浏览器环境下更有效的运行。但是node.js的序列化过程中依然存在远程代码执行漏洞。更直白的说,其实是node.js的node-serialize库存在漏洞。通过传输JavaScript IIFE(立即执行函数表达式),攻击者可以利用恶意代码(不受信任的数据),在反序列化过程中远程执行任意代码。漏洞演示环境靶机:hackthebox节点服务器攻击机:Kali Linux安装工具:nodejs,npm,nodejs
发布时间:2018-08-13 12:20 | 阅读:12033 | 评论:0 | 标签:Web安全 getshell NodeJs unserialize 漏洞

Burp Extractor扩展工具介绍

Token和扫描问题Burp的cookie jar是一个非常趁手的工具,在很多情况下让渗透测试变得更加容易。有了这个工具,不同的用户在repeater中重放请求或者扫描上一个会话中发出的请求就不再那么麻烦。但是如果你需要修改的不仅仅是cookie该怎么办呢?因为有时候应用程序要求一个防御CSRF的token,或是更新到期时间,也有可能在认证头中跟踪的是session而不是cookie。通常都会使用Burp,可能会用到匹配或替换,想想就让人头大,还有一种方式是设置宏,也值得一试。不过这两种方法都需要大量的人工操作。Burp Extractor出场Burp extractor扩展就是专门来解决这些令人头疼的问题的。该模块允
发布时间:2018-08-12 12:20 | 阅读:17887 | 评论:0 | 标签:安全工具 Burp extractor token

SGX的内部组件概述(二)

上一篇,我介绍了SGX内部组件的一些基本架构,今天我接着介绍。Enclave的进入或退出指令介绍EENTER:该指令将控制从应用程序转移到Enclave内的预定确定的位置,它会检查TCS是否空闲并清除TLB条目,然后它将处理器置于Enclave模式并保存RSP/RBP和XCR0寄存器。最后,它禁用基于事件的精确抽样(PEBS),使enclave执行看起来像一个复杂的指令。EEXIT:该指令将进程恢复为原始模式,并清除位于Enclave内的地址的TLB条目。控件被转移到应用程序中的指定地址,该地址会在RBX寄存器中指定,并释放TCS结构。enclave需要在退出之前清除其寄存器,以防止数据泄漏。Enclave的进入过程1
发布时间:2018-08-11 12:20 | 阅读:23031 | 评论:0 | 标签:Web安全 SGX

利用WhatsApp漏洞传播垃圾邮件和假消息

WhatsApp拥有用户15亿,有超过10亿个群组,每天发送消息超过650亿。因为WhatsApp广泛应用于企业、政府机构和个人用户,所以攻击者也将其视为潜在的垃圾邮件发送方式之一。在大量的用户和消息规模下,出现垃圾邮件、谣言、虚假消息的概率也很大。近日,Check Point研究人员发现WhatsApp存在漏洞,攻击者利用漏洞可以拦截和修改群组和私聊消息。漏洞会导致三种可能的攻击形式: · 在群组聊天中修改发送者身份,伪造回复消息来模仿另一个群组人员,即使发送者不是群组成员;· 攻击者能以其他人的口吻发送消息以达到修改聊天的目的。这样,就可以模仿他人或完成欺骗交易。· 可以修改群组中的特
发布时间:2018-08-11 12:20 | 阅读:19402 | 评论:0 | 标签:漏洞 Whatsapp漏洞

防范重要文档被删除及勒索,IP-guard文档云备份有妙招

重要文档被损毁、丢失,对于企业来说是再糟心不过的事情了,然而在我们周围却有不少风险正在威胁着文档的安全与完整性。 1、计算机硬盘损坏,电脑丢失,很容易导致文档丢失或者机密文档被他人查看。 2、员工离职时恶意删除计算机上的文件或者把硬盘格式化,企业最后不得不花费大量精力,然而也不一定能完整恢复被删除的文档。 3、终端计算机感染勒索病毒或其他病毒,文档遭到破坏,无法还原。 4、重装操作系统时不小心格式化数据盘,计算机磁盘损坏,导致无法恢复文件。 以上这些问题并不少见,不管是有意为之还是无意引发,都会给企业带来严重的损失,像一些重要文档被损毁删除后无法恢复,就会严重影响企业正常业务的开展。对于企业来说,在防范文档泄露的同时也要确保企业中的文档完整无损。 防范文档损毁、丢失有妙招! 大部分人在日常使用Word、Exce
发布时间:2018-08-10 13:10 | 阅读:23206 | 评论:0 | 标签:安全前沿 文档备份 防泄密软件

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩