记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

人弹之外还有网络恐袭?恐怖分子正蓄势待发

“联邦调查局评估针对美国的网络恐怖主义威胁越来越严重,”一名执法官员在国会上表示,“恐怖组织将开发或雇用黑客利用网络攻击进行大型物理攻击。” 这项评估是在15年前做出的。与此同时,一群精通技术的圣战分子利用互联网吸引新兵、分享制造炸弹的专业知识并煽动暴力。然而,到目前为止他们还没有成功地发起过专家长期以来担心的破坏性网络攻击。 为什么没有呢? 2004年至2008年担任中央情报局局长的Michael Hayden说:“我和你们一样困惑,这些人又不是网络白痴。” “圣战分子也使用网络,而且有些事件还表明他们精通网络技术。但是他们还没有利用网络技术来造成数字或物理破坏,其他黑客就发起过类似攻击。”美国官员们从未停止过有关破坏性网络攻击潜力的警告。就在上个月,美国政府警告说,包括俄罗斯和伊朗在内的“外国黑客”可能会
发布时间:2018-11-21 18:45 | 阅读:2709 | 评论:0 | 标签:观点

警方提醒!这类微信群别进,可能正在套取你的个人信息!

警方提醒,来路不明的微信群会给个人信息甚至钱财带来安全隐患。 近日,厦门某小区楼道内、电梯里突然张贴了“加入业主群”的布告通知,通知的标题为“关于加入XX小区业主群的倡议书”,倡议书末尾有群二维码,并要求业主进群后必须修改昵称“X楼+X室+姓名”。 小区最近正好要成立业委会,也有热心的业主在张罗着组建业主微信群。所以,看到这样用词颇具“正规”的倡议书,大家也没多想,陆续通过扫群二维码、互相推荐的方式进群。 但进群后,群里根本没有涉及组建业委会的事宜,而是不断发送各种推销广告等信息,随后小区党支部和物业发布紧急声明,宣布这个所谓的“XX生活交流群”是假冒业主群。 谁建的“李鬼”业主群?图什么? 厦门市反诈骗中心民警分析,不法分子组建该假冒“业主群”,可能有以下三个目的: 1、在群内推销广告:这可比挨家挨户
发布时间:2018-11-21 18:45 | 阅读:2716 | 评论:0 | 标签:观点

内核模式的威胁与防御,Part 1

微软近年来在操作系统的安全性上取得了许多进展,比如PatchGuard,Driver Signature Enforcement和SecureBoot,这些保障机制极大缩减了像TDL4和ZeroAccess等曾广泛存在的内核恶意软件的数量。但现如今,高超的攻击者们又找到了避规这些保护措施的手段,并持续使用着那些领先于当前防御机制的内核恶意软件。内核模式威胁通常意味着可以完全控制受影响的计算机,重写操作系统的规则,并且轻松篡改安全软件。APT组织自然能嗅到这当中所存在的巨大利益,所以才会费尽心机的想要破解层出不穷的防御机制。这篇文章出自我们(ENDGAME)最近关于内核模式威胁的Black Hat演讲的总结,分为两个部分
发布时间:2018-11-21 12:21 | 阅读:4717 | 评论:0 | 标签:系统安全 内核威胁 内核安全

瞄准大型组织进行勒索:详细分析BitPaymer勒索软件

一、概述INDRIK SPIDER是一个复杂的网络犯罪集团,该组织自2014年6月以来就一直在运营Dridex银行木马。在2015年和2016年,Dridex是全世界违法收益最高的银行木马之一。自2014年以来,INDRIK SPIDER已经通过该木马获得数百万美元的非法利润。经过多年的运营,目前Dridex已经进行了多次更新,开发了一些新的模块,同时在恶意软件中添加了新的反分析功能。据报道,2017年8月,一个名为BitPaymer的新型勒索软件变种攻击了英国的国民健康服务(NHS),并勒索高达53比特币(约合20万美元)。由于该勒索软件以组织作为目标,并且提出了高额的赎金要求,因此在当时非常引人注目。尽管BitPa
发布时间:2018-11-21 12:21 | 阅读:4694 | 评论:0 | 标签:技术 BitPaymer

15分钟攻破ATM案例集锦

近日Positive Technologies发布了《ATM逻辑攻击:场景2018》的报告,其中介绍了ATM工作原理,攻击场景等。报告显示大多数攻击可以在15分钟完成,有些漏洞和攻击覆盖的范围为100%。ATM工作原理ATM包含两个主要的部分:cabinet和safe。Cabinet也就是ATM的主体部分包括ATM计算机,这是与网络设备、读卡器、键盘、现金出口等设备相连的。Safe部分是由钢筋做成的,含有吐钞口和钞票入口等模块。计算机一般运行的都是Windows系统,不过是一种专门为ATM所设计的嵌入式版本。只有管理员可能访问Windows系统,其他用户是不能访问的。所以用户看到的应用是运行在kiosk模式下的。这些应
发布时间:2018-11-21 12:21 | 阅读:4604 | 评论:0 | 标签:系统安全 攻破ATM

Oracle数据库勒索病毒自检工具

一、事件背景近日,Oracle数据库勒索病毒又活跃了,其实这并非新病毒,早在2年前,即2016年11月就发现了,深信服一直持续关注此病毒。我们提醒用户,无需过渡恐慌,只要不要乱下载PL/SQL破解版工具就不会中招!不确认是否中招的用户,我们这里率先提供简单!有效!的自检工具,一键运行,无需安装,即可快速判断是否感染了Oracle数据库勒索病毒。话不多说,直接上Oracle勒索病毒自检工具:http://edr.sangfor.com.cn/tool/SfCheckPLSQL.zip中毒截图证明如下:深信服安全团队早在5月28号就接到多起Oracle数据库被勒索的案例,中毒之后数据库显示如下勒索信息:提取到相应的样本之后
发布时间:2018-11-21 12:21 | 阅读:5359 | 评论:0 | 标签:勒索软件

0 day漏洞CVE-2018-8589的新利用

11月13日,微软发布了安全公告,修补了我们发现的漏洞。我们于2018年10月17日向Microsoft报告了该漏洞。微软确认了该漏洞,其ID为CVE-2018-8589。2018年10月,我们的自动漏洞防护(AEP)系统检测到试图利用Microsoft Windows操作系统中的漏洞。进一步分析显示win32k.sys中存在0 day漏洞。漏洞利用程序由恶意软件安装程序的第一阶段执行,以获取维持受害者系统持久性的必要特权。到目前为止,我们已经检测到利用此漏洞的攻击次数非常有限。受害者位于中东。卡巴斯基实验室产品使用以下技术主动检测到此漏洞利用:· 端点检测引擎和自动漏洞防御技术· 卡巴斯基反目标攻击平台(KATA)的
发布时间:2018-11-21 12:21 | 阅读:4999 | 评论:0 | 标签:二进制安全 技术 0 day漏洞 漏洞

LCTF2018 ggbank 薅羊毛实战

11.18号结束的LCTF2018中有一个很有趣的智能合约题目叫做ggbank,题目的原意是考察弱随机数问题,但在题目的设定上挺有意思的,加入了一个对地址的验证,导致弱随机的难度高了许多,反倒是薅羊毛更快乐了,下面就借这个题聊聊关于薅羊毛的实战操作。 分析源代码https://ropsten.etherscan.io/address/0x7caa18d765e5b4c3bf0831137923841fe3e7258a#code 首先我们照例来分析一下源代码 和之前我出的题风格一致,首先是发行了一种token,然后基于token的挑战代码,主要有几个点123modifier authenticate { //修饰器,在authenticate关键字做修饰器时,会执行该函数 require(che
发布时间:2018-11-20 18:27 | 阅读:8626 | 评论:0 | 标签:无

比特币恶意软件分析指南

犯罪分子正在使用比特币和其他加密货币作为销售被盗数据、黑客服务(如DDoS)和勒索软件支付付款渠道。如果你想更多的了解这个黑产,你需要深入了解比特币以及懂得如何分析交易。跟随上犯罪分子使用的技术的脚步是非常重要的,这样你就能更好的了解新的变化和发展趋势。此外,随着越来越多的人在分析比特币和区块链,因此也有更多的机会开发出新的工具和技术来防御犯罪分子。犯罪分子历来是最早使用新技术的人,因为创新的东西往往被人们倾向于首先用在有冲突且有动机的方面。犯罪分子是最早发现汽车(相同时期大多数警察使用的是自行车或马匹)、手机和蜂鸣器的创造性用途的一部分人。现如今,他们已成为攻击互联网、利用洋葱网络、使用加密和现在流行的比特币的先锋人
发布时间:2018-11-20 17:20 | 阅读:8229 | 评论:0 | 标签:二进制安全 比特币

从某电商钓鱼事件探索黑客“一站式服务”

深信服EDR安全团队,整理分析了一起某电商钓鱼事件,通过关联信息,发现背后可能存在一个“产业链齐全”的黑客团伙,研究发现其具备“一站式服务”的黑客攻击手段。黑客攻击手段包括但不限于钓鱼邮件、漏洞利用、挖矿病毒、勒索病毒、无文件攻击、远控木马、键盘记录器、密码破解等,是一次完整而全套的“服务”。最开始,可能仅仅是一封精心构造的邮件触发的,经过信息收集和远程控制,在闲时挖矿榨干主机性能,当窃取到足够机密,又最后“卸磨杀驴”“杀鸡取卵”,执行勒索操作。0x01 定向撒网捞鱼:钓鱼邮件XX公司已经被黑客盯上了,黑客通过社工拿到该公司的各种邮件账号,并给这些账号发送了钓鱼邮件。员工A收到一份邮件,这是一份包含了doc附件(实际上
发布时间:2018-11-20 17:20 | 阅读:8615 | 评论:0 | 标签:Web安全 一站式服务

Firefox Syncde的安全功能介绍

什么是Firefox Sync,为什么要使用它?一直在使用Firefox的用户,其中一个比较重要的原因是习惯了它的书签同步功能,不过在新版的Firefox,有些用户会发现原来习惯的书签同步功能竟然被取消了,这是怎么回事?原来用的火狐通行证即将停止服务,新版本的Firefix更是直接去除了这个功能,取而代之是Firefox Sync服务,而两者之间是没办法直接互通的。所以,首先得在原来的设备上升级新版Firefox,然后断开火狐通行证,登录到新版内置的“同步”,然后在别的设备上再使用同一账号登录到“同步”就可以实现多设备间自动同步书签等信息了。这里特别要注意一点的是,登录到同步时,有“全球服务”和“本地服务”之分,服务器
发布时间:2018-11-20 17:20 | 阅读:6473 | 评论:0 | 标签:Web安全 Firefox Syncde

插入恶意URL到office嵌入视频中

10月底,Cymulate的安全研究人员公布了利用office在线视频特征逻辑漏洞来传播恶意软件的POC。最近,研究人员发现一款利用该漏洞传播URSNIF信息窃取器的在野样本。恶意软件感染链因为这类攻击中使用了刻意伪造的word文档,研究人员假设可以通过其他恶意软件或垃圾邮件中的附件、链接到达用户系统。该漏洞影响Microsoft Word 2013及之后版本。PoC和恶意软件使用了DOCX文件类型,其中可以包含文本、对象、格式、图像等。这些都分别保存在不同的文件中,然后打包为一个ZIP压缩的DOCX文件。图1: PoC(左)和在野样本(右)感染链PoC和在野恶意软件工作原理PoC和在野样本都滥用了office在线视频
发布时间:2018-11-20 17:20 | 阅读:6142 | 评论:0 | 标签:Web安全 恶意软件

攻击者如何借助授权插件,实现macOS持久化凭据窃取

概述攻击者在目标主机上成功实现权限提升后,要做的第一件事往往就是窃取凭据。随着系统完整性保护(SIP)机制的引入,macOS上的凭证窃取似乎变得更加困难。攻击者无法再使用例如从安全进程中提取主密钥、解密目标用户登录密钥链这样的方法。在这里,展示了一个例子。SIP机制可以防止任何用户(甚至包括root用户)修改系统文件、目录和进程。这样一来,攻击者就开始尝试使用其他方法进行凭证窃取,这些方法包括:记录键盘键入、提示用户输入凭据、获取本地文件系统中以纯文本形式保存的凭据。此外,还有一种被称为“授权插件”(Authorization Plugins)的替代方案。授权插件用于扩展授权服务API,从而实现操作系统本身不支持的机制
发布时间:2018-11-20 17:20 | 阅读:5529 | 评论:0 | 标签:系统安全 凭据窃取

SAQL:基于流查询的实时异常行为检测系统

作者:{Fr4nk}@ArkTeam 原文作者:Peng Gao, Xusheng Xiao, Ding Li, Zhichun Li, Kangkook Jee, Zhenyu Wu, Chung Hwan Kim, Sanjeev R. Kulkarni, Prateek Mittal 原文标题:SAQL: A Stream-based Query System for Real-Time Abnormal System Behavior Detection 原文会议: The 27th USENIX Security Symposium 由一系列漏洞和终端主机组合发起的高级网络攻击严重威胁了受到良好保护企业的安全性。为了应对这些挑战,作者提出了一种基于流的实时查询系统,将来自企业中众多主机聚合的
发布时间:2018-11-19 13:15 | 阅读:12261 | 评论:0 | 标签:ArkDemy 论文笔记

揭秘7大最易忽略的攻击面

背景介绍从纸笔办公到物联网时代,你知道哪些攻击面是攻击者最常利用,而我们又最常忽略的吗?现在,在你的办公室中可能还有一些老旧的传真机或是布满灰尘的打印机,在你的眼中,它们或许只是已经无法用来发送邮件或复印文档的过时技术。你可能也会将收发室/信房视为收集未经请求的垃圾信件的地方,而这些垃圾信件很快就会被你丢进垃圾箱。是的,如此寻常的物件,如此寻常的操作,可能每天都在我们的生活和工作中上演。但是,攻击者却能够从中发现一些不同的东西:漏洞,一些通常会被安全部门忽略的漏洞。要记住,非计算机向量上的网络攻击要比你想象的更常见。例如,今年8月,Check Point公司的研究人员就披露了全球数以亿计传真机所使用的通信协议中存在的两
发布时间:2018-11-19 12:20 | 阅读:12461 | 评论:0 | 标签:Web安全 系统安全

黑吃黑:物联网僵尸网络作者在中兴路由器后门上添加了自己的后门

很多脚本小子正在使用武器化的物联网漏洞利用脚本,利用供应商后门帐户攻击中兴路由器。具有讽刺意味的是,这不是脚本中唯一的后门。Scarface,代码的传播者也部署了自定义后门来黑那些使用该脚本的脚本小子。由于IOT(Paras/Nexus/Wicked)中顶级开发者的名字不为人所知,Scarface/Faraday就是脚本小子购买物联网僵尸网络代码以及武器化利用的开发者的总称。虽然Scarface大多具有良好的可信度,但我们观察到他发布了一个带有后门的武器化中兴ZXV10 H108L路由器漏洞利用,它在运行时会感染脚本小子的系统。该漏洞是已知漏洞,在中兴路由器中使用后门帐户进行登录,然后在manager_dev_ping
发布时间:2018-11-19 12:20 | 阅读:9975 | 评论:0 | 标签:Web安全 物联网 后门

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云