记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

破解 “.YOUR_LAST_CHANCE” 勒索病毒攻击

勿抱幻想说起勒索病毒,近年来最为人所熟知的要数2017年爆发的WannaCry,其以一己之力引发了席卷全球的大骚乱——波及150多个国家,超30万名用户中招,累计损失逾80亿美金,并在医疗、金融、能源等关系国计民生的重要行业制造了一系列严重危机事件…今天,距离大魔王WannaCry风波平息已过去两年多的时间,但安全仍未占据主动!如果你已经开始忘记勒索病毒曾经秀过的肌肉,安华金和在此严肃认真地给予友情提醒:相关数据显示,我国2018全年共监测到超430万台计算机遭受勒索病毒攻击,平均每天约1.2万台。其中,企业成为勒索病毒最为热衷的攻击对象——在全球十大流行勒索病毒家族中,有九个都涉及企业攻击。仅2019年上
发布时间:2019-11-19 18:25 | 阅读:487 | 评论:0 | 标签:勒索软件

代码分析引擎 CodeQL 初体验

QL是一种查询语言,支持对C++,C#,Java,JavaScript,Python,go等多种语言进行分析,可用于分析代码,查找代码中控制流等信息。之前笔者有简单的研究通过JavaScript语义分析来查找XSS,所以对于这款引擎有浓厚的研究兴趣 。安装1.下载分析程序:https://github.com/github/codeql-cli-binaries/releases/latest/download/codeql.zip分析程序支持主流的操作系统,Windows,Mac,Linux2.下载相关库文件:https://github.com/Semmle/ql库文件是开源的,我们要做的是根据这些库文件来编写QL
发布时间:2019-11-19 18:25 | 阅读:636 | 评论:0 | 标签:安全工具

如何识别并分析反恶意软件扫描接口(AMSI)组件

介绍 AMSI为终端安全供应商提供了丰富的接口以帮助他们更好地对目标组件进行内存缓冲区安全扫描,或选择需要扫描的内容。根据微软提供的信息,AMSI支持的组件有如下几种: 1、用户账户控制(UAC) 2、PowerShell(脚本、交互使用和动态代码计算) 3、Windows脚本主机(wscript.exe和cscript.exe) 4、JavaScript和VBScript 5、Office VBA宏 针对从事安全防御检测的工程师和防御者,以及对成熟规避技术感兴趣的攻击端研究人员,我给大家提出了以下几个问题: 1、AMSI所支持的这些组件跟哪些实际的PE文件有关联? 2、微软提供的信息是否准确,或者说上面的列表缺少了哪些组件? 3、是否可以在不需要注册AMSI程序作为终端安全提供商的情况下,使用AMSI呢?
发布时间:2019-11-19 17:20 | 阅读:628 | 评论:0 | 标签:扫描

美国路易斯安那州政府系统遭勒索软件袭击

昨日,美国路易斯安那州政府受到勒索软件攻击,此次事件波及了车辆管理局、卫生部、运输部等众多州服务部门。 在发生该事件后,政府机构强制关闭了由政府运营的网站、电子邮件和Internet服务。昨日上午11点左右,媒体报道了此次攻击事件。 当地媒体报道说,这次攻击影响了多数州服务机构(包括79个地方车辆管理局)。 “该事件还妨碍了79个地方车辆管理局工作业务的开展。路易斯安那州卫生部(LDH)的一名工作人员说,员工们收到指令被要求断开计算机联网。该州的一些货运公司的卡车被迫堵在路上,因为他们无法访问DOTD网站来申请和打印“超重”许可证之类的东西。” 随后,州长John Bel Edwards在一连串的推文中表示,路易斯安那州的网络安全团队(OTS)开始来调查和协调此次攻击事件。
发布时间:2019-11-19 17:20 | 阅读:354 | 评论:0 | 标签:无

警惕RSA SecurID标题的诱饵文档传播Maze(迷宫)勒索病毒

Maze勒索病毒,又称Chacha勒索病毒,是今年5月份由Malwarebytes安全研究员首次发现,此勒索病毒主要使用各种漏洞利用工具包Fallout、Spelevo,伪装成合法加密货币交换应用程序的假冒站点或挂马网站等方式进行分发传播,近日笔者监控到一例通过标题为RSA SecurID的诱饵文档传播此勒索病毒的最新样本。 捕获到的诱饵文档是一个以RSA SecurID为标题的文档,内容如下所示: 文档里面包含恶意宏代码,诱导受害者双击启动宏代码,恶意宏代码,如下所示: 动态调试恶意宏代码,如下所示: 读取窗体中的数据,然后进行解析,窗体的数据,如下所示: 宏代码解密窗体中的数据,然后从远程服务器hxxp://149.56.245.196/wordupd.tmp下载恶意程序到C:WindowsTempered
发布时间:2019-11-19 17:20 | 阅读:329 | 评论:0 | 标签:无

开源情报(OSINT)侦察指北

社交媒体上的对话; 图片由Ethority提供于2014年慢点,牛仔! 在我们开始讨论红队已经为人所知的爆炸式的“性感时刻”(笑话,笑声)黑客冒险之前,我们还有一些功课要做。 一个专业的渗透测试人员从来不会在没有事先学习或者对他们的目标做“功课”的情况下开始一项工作。 关键的第一步是在操作范围内收集特定目标的信息,这使攻击者能够发现组织防御系统中可能被利用的潜在漏洞和弱点,无论是物理的、社会工程的、逻辑的还是三者的结合。 信息是一种新的交换商品,互联网上几乎可以免费获得的关于任何主题的大量信息。 那么 OSINT 到底是什么意思呢?开源情报(OSINT)是利用公开的资源来收集信息。从包括互联网在内的各种来源收集有关个人
发布时间:2019-11-19 13:25 | 阅读:851 | 评论:0 | 标签:内网渗透 安全工具 系统安全

现代无线侦察技术(一):伪基站攻击基本理论篇

引言在过去的几年里,强制无线设备连接到恶意接入点的“微妙艺术”已经有了一些令人兴奋的发展。 在 Dominic White 和 Ian de Villiers 对 MANA 的研究以及 George Chatzisofroniou 的 Lure10和已知信标攻击中,我们已经看到了 karma 风格的攻击手段的复苏,这些攻击可以用来攻击对 karma 免疫的设备[1][2]。我想更深入地研究这些技术,了解它们在技术层面上是如何工作的,并且尝试试图亲自实现这些技术似乎看起来是一个完美的学习机会。 本文最初的目的是用相对简短的篇幅叙述我如何努力重现这些技术,并将其整合到 EAPHammer(见:https://github.
发布时间:2019-11-19 13:25 | 阅读:834 | 评论:0 | 标签:内网渗透 无线安全 系统安全

屡创佳绩 支付宝光年安全实验室亮剑“天府杯”国际破解大赛

11月16-17号,在美丽的“蓉城”成都举办了“天府杯”2019 国际网络安全大赛暨高峰论坛。“天府杯”国际破解大赛是目前中国最顶级基础软件及设备破解比赛。该大赛以逐步打造属于中国自己的“Pwn2Own”为目标,将设置三个独立并行的比赛项目,原创漏洞演示复现赛、产品破解赛和系统破解赛,所有战队均需使用原创漏洞进行赛题破解,是中国网络安全技术的一场饕餮盛宴。在本届”天府杯” 国际破解大赛中,支付宝光年实验室StackLeader队代表蚂蚁金服首次远程攻破Safari浏览器、Adobe PDF Reader、D-Link路由器。另外支付宝光年实验室另一只队伍CodeLeader队以远程攻破手机项目获得本届比赛原创复现赛最佳
发布时间:2019-11-19 13:25 | 阅读:733 | 评论:0 | 标签:行业

2019 Windows杀毒软件市场份额

OPSWAT连续5年发布了Windows杀毒软件市场份额报告。2019年10月底,OPSWAT发布了最新的Windows杀毒软件市场份额报告。其中Symantec, ESET, McAfee是Windows平台中上使用最多的杀毒软件。市场份额OPSWAT称收集的数据来源于3万多个安装了其免费APP的企业和家用系统用户。根据最新的数据显示,Symantec在Windows系统杀毒软件市场所占的市场份额最高,为13.56%,排名第二的是ESET,市场份额为12.84%,排名第三的是McAfee 12.21%。OPSWAT Windows杀毒软件市场份额,2019年10月其他top 10的厂商和产品分别是Bitdefende
发布时间:2019-11-19 13:25 | 阅读:599 | 评论:0 | 标签:观察 杀毒软件

又到一年报税季,TA2101对德意美三国广撒网钓鱼

概述Proofpoint研究团队近期发现了数起针对当地公司企业的恶意攻击事件,波及德国、意大利和美国三个国家,所有事件均由TA2101所为,其手法是假冒当地的大型公司或政府机构,为目标群体发送钓鱼邮件,并在受害者机器上安装后门恶意软件。他们所选择的攻击对象没有针对特定的垂直行业,但偏重于商业、IT服务、制造业以及医疗保健行业的人群。Case 1:德国2019年10月16日至23日,Proofpoint注意到有数百封冒充德国联邦财政部的钓鱼邮件,其附件带有恶意Microsoft Word文档,内容是要求收件人提交退还税款的申请(使用附件表单),并在三天内进行处理。这些邮件批量小,主要针对IT服务公司。 图1:钓
发布时间:2019-11-19 13:25 | 阅读:692 | 评论:0 | 标签:Web安全 钓鱼攻击

给需要关心安全的技术人员的一些建议

随着网络的发展,特别是移动互联网的发展,网络服务与我们个人生活联系得越来越紧密;办理金融业务,生活缴费,获取资讯等等,都从线下搬到了线上。一个新的时代必将到来或者已经到来,那就是万物互联的时代。与此同时,网络安全事件频发,安全事故的危害越来越大,互联网从业者需要越来越注重安全问题。这里分享一些心得给刚刚接触网络安全的开发者们。 一、“安全”是什么 对于没有接触过安全的开发人员来讲,一个常见的问题是:如何写出安全的代码或做出安全的系统。为了找到答案,我们就必须对安全的定义有所了解。“安全”是一个很宽泛的概念,那这里给出一个很宽泛的定义:被保护的对象不被破坏、篡改、泄漏,系统功能可以正常运行。是不是一头雾水?“安全”定义的关键问题是,什么是需要保护的对象,保护的需求是什么;没有明确的安全的需求,我们就无法谈论安全。
发布时间:2019-11-19 12:20 | 阅读:595 | 评论:0 | 标签:无

不就是个短信登录API嘛

上联:这个需求很简单下联:怎么实现我不管横批:今晚上线 Part 1:暴力破解 早上开完站会,小李领了张新卡,要对登录功能做升级改造,在原来只支持用户名密码登录模式的基础上,新增手机号和短信验证码登录。 业务分析师薇薇早就准备好了故事卡,并且也考虑到这个功能的特殊性,除了平常的业务性验收标准外,还专门添加了一些和安全有关的条目。这张故事卡看上去是这样的: 故事卡:274作为用户,我可以通过手机号和短信验证码登录,以便于我更方便的登录。安全验收标准: 短信验证码有效期5分钟 验证码为4位纯数字 每个手机号60秒内只能发送一次短信验证码 小李看到故事卡中提到,验证码长度只有4位而且还是纯数字,隐约觉得强度有些不够,担心万一黑客来个多线程并发请求,或者拿一个集群来暴力登录,有可能会赶在有效期内破解出合法的验证码。
发布时间:2019-11-19 12:20 | 阅读:835 | 评论:0 | 标签:无

甲方视角:SHIRO-721临时修复方案

0×00 问题简介 14日晚上,发现了一个公开的Shiro的RCE漏洞,作为在甲方工作了挺久的人,一听Shiro立马虎躯一震,来不及分析poc,立马先得确认公司业务是否受到影响。确定了影响后,立马看怎么修复漏洞。结果悲催的时候出现了,这个漏洞官方居然没有升级修复。这让笔者想起差不多半年前给Shiro官方推的一个加固,结果一直没有收到官方回复,直接杳无音讯。 受影响的组件漏洞版本 以下组件的全量版本均收到漏洞影响,当然这个这个漏洞需要可以登录才能利用。 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> &
发布时间:2019-11-19 12:20 | 阅读:649 | 评论:0 | 标签:无

梦想v1.4 CMS平台XSS漏洞分析

一、背景介绍 梦想cms以下简称“lmxcms”,是由“10年”(网名)开发的一套简单实用的网站管理系统(cms)。它是完全免费和开源的。 漏洞类型: 存储型xss注入 漏洞描述: 在Lmxcms 1.4版本(目前最新版本)中,存在一处后台xss漏洞。Lmxcms未对编辑的产品内容进行过滤处理,从而导致漏洞发生。 受影响的系统版本: LMXCMS <=V1.4 二、漏洞分析 通过黑盒测试,我们在后台管理员页面发现了一个存储型xss漏洞。该漏洞存在于admin.php页面的内容管理中的产品信息修改页面中 查看该点 尝试在该点进行xss注入 </textarea><sccript>alert(‘xss’)</script><textarea
发布时间:2019-11-19 12:20 | 阅读:907 | 评论:0 | 标签:xss cms 漏洞

2019金帽子年度盛典|风起于青萍之末,浪成于微澜之间

2019年还有不足50天,在过去的300多天里,我们见到了网络攻击下委内瑞拉电网的大范围瘫痪,Facebook因为用户信息泄漏承担50亿美金的巨额罚款,APT组织“海莲花”的国家级黑客攻击细节被披露,波云诡谲的海面下,小范围的网络安全事件也频频在我们身边发生。与此同时,更多的新兴的网络安全力量也在展露锋芒,这些以网络安全技术做为核心力量的公司聚焦在不同行业、领域,但同时将矛头指向了安全威胁,也正是这些新兴力量的萌发,给这个行业带来源源不断的活力与力量储备。闲话少絮,为大家揭晓2019年嘶吼金帽子年度安全评选参选的新锐安全公司:中企信安中企信安是由国内首批专业从事信息安全服务人员创立,汇聚全国顶尖安全技术专家,团队成员在
发布时间:2019-11-18 18:25 | 阅读:1916 | 评论:0 | 标签:金帽子奖

Attack Surface | 描绘机场信息系统攻击面

航空安全是一个复杂问题,我对航空电子安全的兴趣源于乘机客户的评论,几年前媒体曾报道了美国国土安全部(DHS)测试波音 757 的电子攻击问题,那个时候就有好多人担心受「感染」的飞机可能会对机场造成新的攻击面,形成安全隐患。今天,我们就来简单了解一下机场信息系统存在的一些攻击面。 在地面上,飞机与机场和航空公司的数据通信交换非常多,会涉及到广泛的无线网络和其他射频协议来信息交换,特别是 Gatelink,另外,还有指挥室里简单的机组人员笔记本电脑、平板电脑和电话通信等。 Gatelink(门飞机终端环境链接)是一种在机场停机坪区域或维修点附近,提供高速无线通讯的较新的航空工业规范,有点类似于日常生活中的 WIFI 无线宽带网络,它可以相对低廉的费用提供 1M-11Mbps 相当之
发布时间:2019-11-18 17:20 | 阅读:1980 | 评论:0 | 标签:无

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云