记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

云上零信任网络:从传统安全范围到软件定义范围

安全边界曾被视为安全分界线内部的区域,该区域将那些在区域外部被认为是不安全或不受信任的因素与内部被认为安全或受信任的因素隔离开。 在物理世界中,安全外围的边缘是由壕沟、栅栏或墙壁所保护的,并且在入口点对进入者身份进行检查。在虚拟网络中,防火墙通常起保护边界的责任,而静态策略则用来验证用户并授予他们访问权限。 其他策略用来保护敏感资源免受恶意入侵者的攻击,这些入侵者根据策略逃避检测。 该策略在静态环境中表现良好,在静态环境中,数据和关键资源通常位于本地。而在一个基于多云的环境中,移动的工作人员希望在任何地方、任何时间、从任何设备对云进行访问,这种模式是不可持续的。 新的现实导致了零信任安全的出现,这是一种为当今基于云的网络设计的架构。 当今最先进的零信任体系结构是软件定义边界(SDP)的体系结构。在SDP中,与以
发布时间:2020-01-22 17:20 | 阅读:1092 | 评论:0 | 标签:无

瑞星2019年中国网络安全报告

一、恶意软件与恶意网址 (一)恶意软件 1. 2019年病毒概述 (1)病毒疫情总体概述 2019年瑞星“云安全”系统共截获病毒样本总量1.03亿个,病毒感染次数4.38亿次,病毒总体数量比2018年同期上涨32.69%。报告期内,新增木马病毒6,557万个,为第一大种类病毒,占到总体数量的63.46%;排名第二的为蠕虫病毒,数量为1,560万个,占总体数量的15.10%;灰色软件、后门、感染型病毒等分别占到总体数量的6.98%、6.31%和5.21%,位列第三、第四和第五,除此以外还包括漏洞攻击和其他类型病毒。 图:2019年病毒类型统计 (2)病毒感染地域分析 报告期内,广东省病毒感染人次为4,452万,位列全国第一,其次为北京市及山东省,分别为3,308万及2,898
发布时间:2020-01-22 17:20 | 阅读:1444 | 评论:0 | 标签:无

僵尸网络新动向

最近发现一些恶意软件活动影响了许多运行Linux的设备,该平台今年刚刚解决了许多问题。对检索到的恶意软件样本的进一步分析显示,这些操作与一个名为Momentum的僵尸网络(根据在其通信通道中找到的图像命名)有关。此外发现了僵尸网络目前用于攻击其他设备和执行DDoS攻击的工具以及技术细节。 Momentum将Linux平台按CPU体系结构划分,如ARM、MIPS、Intel、Motorola 68020等。此恶意软件的主要目的是打开后门并针对给定目标进行各种DoS攻击。该僵尸网络的后门是Mirai、Kaiten和Bashlite变体。此外它还通过各种路由器和web服务上的多个漏洞在目标设备上下载和执行shell脚本进行传播。 Momentum工作方式分析 感染设备后,Momentum试图修改“rc”文件来实现持久
发布时间:2020-01-22 17:20 | 阅读:1471 | 评论:0 | 标签:无

CVE-2020-0601漏洞详细分析

0×00 漏洞描述 2020年1月15日,微软公布了1月份的补丁更新列表,其中存在一个位于CryptoAPI椭圆曲线密码(ECC)证书检测绕过相关的漏洞(CVE-2020-0601),该漏洞为NSA发现并汇报给微软。攻击者可以利用这个漏洞,使用伪造的代码签名证书对恶意的可执行文件进行签名,并以此恶意文件来进行攻击。 0×01 补丁分析 从微软的官方介绍上可知,此漏洞存在于crypt32.dll文件。在官方网站下载了补丁文件升级更新后,新的crypt32.dll与未更新的版本对比如下: 从图中可以看出,CertDllVerifyMicrosoftRootCertificateChainPolicy函数存在改动,查看引用该函数
发布时间:2020-01-22 17:20 | 阅读:1908 | 评论:0 | 标签:漏洞

基于流量的网络入侵检测系统实践若干问题分析与思考

网络入侵检测在发展过程中,主要有两大流派:基于日志的入侵检测和基于流量的入侵检测。但因为基于日志的入侵检测的数据源来自各系统的运行日志,日志格式多种多样,标准化程度低,日志记录内容的详尽程度也千差万别,所以基于日志的入侵检测产品很难实现标准化。因此,各家安全厂商一般都是主打基于流量的入侵检测产品,笔者就针对此类检测产品,聊一聊部署实践中出现的各类问题。 一、流量检测产品选型 经过多年的发展,基于流量的网络安全入侵检测可能是目前安全厂商设备型号最多的安全类产品,各安全厂商的命名方式、归类方式也存在一些差别,导致了基于流量的网络入侵检测设备琳琅满目,让人眼花缭乱。笔者结合甲方企业的具体需求和乙方企业的产品目录,将各类产品大概归类为以下8类:防DDoS检测、IDS/IPS、应用防火墙(WAF)、WebIDS、APT检
发布时间:2020-01-22 12:20 | 阅读:1304 | 评论:0 | 标签:无

Windows身份认证及利用思路

一、Windows身份认证基础 1、认证过程 a、本地用户认证 在进行本地登录认证时操作系统会使用用户输入的密码作为凭证去与系统中的密码进行对比验证。 在系统内部运行流程如下 winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证) 首先用户注销、重启、锁屏后操作系统会让winlogon显示登录界面也就是输入框接收输入后将密码交给lsass进程这个进程会将明文密码加密成NTLM Hash对SAM数据库比较认证。 Windows Logon Process winlogon.exe是 Windows NT 用户登陆程序用于管理用户登录和退出。 lsass 用于微软Windows系统的安全机制。它用于本地安全和登陆策略该程序运行内存中会记录
发布时间:2020-01-22 12:20 | 阅读:1280 | 评论:0 | 标签:无

土耳其图兰军宣称将于今日下午三点攻击中国站点

土耳其图兰军又开始了,1月21日晚23:00左右,他们宣称将于22日下午15:00,集中对中国站点进行ddos攻击,并在网页下方提供了相关的部分攻击工具,以及攻击用服务器。 请大家密切关注自己的网站,提前采取相应的防护措施。 关于图兰军 12月22日,土耳其一本土黑客论坛turkhackteam.org的管理员Yakamoz1319,宣布成立了Turan(图兰)军,并将中国作为第一个攻击目标。 根据各种信息源调查,目前国内被攻陷了多个站点,并被挂上了Hacked-By-TurkHackTeam,以及他们自以为很酷的标志Turan Ordusu。据称站点涉及政府、企业、医疗、教育、研究机构。 部分成员 1、创立者Yakamoz1319 2、Black-Spy 3、SultanATSIZ 4、ZoRRoKi
发布时间:2020-01-22 12:20 | 阅读:1905 | 评论:0 | 标签:无

断网超过150天,克什米尔终于部分恢复互联网

2019年8月4日,印度人民党政府单方面取消了其控制的克什米尔邦的自治权,派遣军队去平息可能的骚乱,并切断了当地的互联网。 没错,克什米尔至今断网已经近5个月,超过150天。这是目前印度持续时间最长的断网事件。 不久前,印度最高法院驳回了政府的理由,裁定断网违反了电信法,并且给了政府一周的时间去修订政策,并要求其在断网命令上更透明。 目前,克什米尔部分恢复了互联网服务,但移动互联网和大部分社交媒体仍然受到限制。主要是提供基础服务的机构如银行和医院,移动只部分恢复了 2G 网络,ISP(互联网服务提供商)预计将被要求安装防火墙只允许访问白名单中的网站。 为什么印度的断网事件在全球遥遥领先? 印度有将近5亿网民,而不管是克什米尔、阿萨姆、梅加拉亚、特里普拉还是西孟加拉得网民都经历过断网事件。任何时候出现骚乱的迹象,
发布时间:2020-01-21 17:20 | 阅读:2631 | 评论:0 | 标签:无

企业进入年度总结,谨防TrickBot木马窃取信息

TrickBot木马最早发现于2016年,早期是一款专门针对银行发动攻击的木马程序,其攻击目标包括400余家知名国际银行。近年来,该木马不断地发展,其攻击范围已经不仅限于银行和金融企业,也拓展到了其他行业,其主要的目的是窃取企业和用户敏感信息。TrickBot木马的很多功能与另外一款银行木马程序Dyreza非常相似,其早期版本,没有任何字符串加密功能,也基本没有采用其他的对抗手段,但目前流行的TrickBot不仅使用了强大的加密功能,还使用了多种安全对抗技术,使得安全人员对其进行代码分析越来越困难。 近期,亚信安全截获通过伪装成 “企业员工年度奖金计划报告”的垃圾邮件传播的TrickBot木马最新变种,用户一旦点击邮件中的链接,病毒母体文件(亚信安全检测为TrojanSpy.Win32.TRIC
发布时间:2020-01-21 17:20 | 阅读:2371 | 评论:0 | 标签:无

挖洞经验 | 用浏览器缓存绕过同源策略(SOP)限制

本文分享的Writeup是作者在做Keybase.io的漏洞众测中发现的SOP(同源策略)绕过漏洞,由于Keybase.io在用的多个API端点都启用了CORS(跨域资源共享)机制,这种缓解同源策略的机制某种程度上克服了同源策略的严格限制,可以让不同域服务器间实现交互请求。而作者在测试中发现了Keybase的CORS策略错误配置,利用这种缺陷,可以操纵浏览器缓存获取用户敏感数据信息。一起来看看。 Keybase 是一个开源的跨平台即时通讯工具,在 PC 设备上支持 macOS、Linux 和 Windows 平台,并提供 Chrome/Firefox 浏览器扩展。此外还提供 iOS 和 Android 版本。和众多 IM 工具相比,Keybase 最吸引人的地方在于免费使用且不
发布时间:2020-01-21 17:20 | 阅读:2283 | 评论:0 | 标签:无

新型冠状病毒肺炎可人传人,请广大Buffer注意预防

临近春节,一场突如其来的新型冠状病毒肺炎打乱了人们的过节计划。昨日晚间,钟南山院士接受央视采访,向公众通报疫情情况,确认新型冠状病毒肺炎呈现人传人特点。 蠕虫和木马我们见的多了,冠状病毒同样不可小觑,请广大Buffer一定要注意预防! 截至2020年1月21日7点30分,我国境内累计确诊新型冠状病毒肺炎病例219例(武汉198例,北京5例,广东14例,上海2例)。日本、泰国、韩国也分别通报了确诊病例。 国家卫健委发布2020年第1号公告:将新型冠状病毒感染的肺炎纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施;将新型冠状病毒感染的肺炎纳入《中华人民共和国卫生检疫法》规定的检疫传染病管理。 一、什么是冠状病毒? 冠状病毒是自然界广泛存在的一类病毒,因该病毒形态在
发布时间:2020-01-21 17:20 | 阅读:2379 | 评论:0 | 标签:无

论单位或个人应急演练的重要性

一、应急演练和攻防演练的区别是什么 把应用系统安全作为比较对象,分析应急演练和攻防演练的区别。 应急演练和攻防演练是为两种不同类型的演练类型,应急演练偏向通过模拟异常情况以发现不足之处; 而攻防演练则偏向于攻击和防守方之间的技能竞技,攻方最终单维度拿下目标、守方尽可能发现/抵御攻击。 以下内容仅针对一个演练对象中的两个应急演练模块进行说明,从而做到以点概面的体现。 二、那么单位为什么要进行应急演练? 网络安全法对应急预案、应急演练相关内容有明确定义,部分内容如下所示: 在遭遇信息系统突发紧急事件(安全性、可用性等事件)时,应立即启动应急预案,并采取相应的补救措施和按照规定向有关主管部门报告。应急预案内容应包括对信息系统各种突发紧急事件的处置流程,以在事件发生期间指导相关人员进行应急处置。
发布时间:2020-01-21 12:25 | 阅读:2613 | 评论:0 | 标签:无

关于Java中的RMI-IIOP

在写完《Java中RMI、JNDI、LADP、JRMP、JMX、JMS那些事儿(上)》的时候,又看到一个包含RMI-IIOP的议题[1],在16年Blackhat JNDI注入议题[2]中也提到了这个协议的利用,当时想着没太看到或听说有多少关于IIOP的漏洞(可能事实真的如此吧,在下面Weblogic RMI-IIOP部分或许能感受到),所以那篇文章写作过程中也没去看之前那个16年议题IIOP相关部分。网上没怎么看到有关于IIOP或RMI-IIOP的分析文章,这篇文章来感受下。 环境说明 文中的测试代码放到了github上 测试代码的JDK版本在文中会具体说明,有的代码会被重复使用,对应的JDK版本需要自己切换 RMI-IIOP 在阅读下面内容之前,可以先阅读下以
发布时间:2020-01-21 12:25 | 阅读:2979 | 评论:0 | 标签:无

云工作负载安全(泛主机安全)2019年度安全报告:探讨广泛用户的IT场景安全

前言 国内云计算技术目前已经较为成熟,进入了高速增长的阶段,利用云计算技术进行信息化建设已成为常态。目前国内多数用户还处于“混合云”场景下,即传统主机环境+内部私有云环境+公有云环境+容器环境(根据业务情况)。这种混合云场景衍生出了安全运营需求升级、所有权和控制权转变等问题,形成了管理机制的变化并引出安全责任共担机制等挑战。 近年来,随着网络攻防向攻击方倾斜,各类高危漏洞(0day、1day、Nday)快速武器化,APT定向攻击泛滥,勒索和挖矿(变种、难于检测发现)病毒肆虐猖獗,还能躲避基于规则式安全设备(软件)检测的新攻击技术手段,以及针对东西向的流量攻击等新增威胁,依靠防病毒手段实现的传统环境下主机安全解决方案已然无法有效应对云环境下面临的新安全挑战和安全威胁。如何进行有效的安全管理成为这些行业用户普遍关注
发布时间:2020-01-21 12:25 | 阅读:2341 | 评论:0 | 标签:无

MySQL客户端任意文件读取

最早遇到这个问题的时候,大概是刚开始做安全的时候,那时候还没意识到利用等实际价值。18年的时候记得有一个CTF题,利用的就是扫描MySQL端口来获取读文件flag。直到今天看到一位大佬的拓展文章,打算实际的去利用实践一下。https://lorexxar.cn/2020/01/14/css-mysql-chainLOAD DATA INFILELOAD DATA INFILE,作用是可以把文件读入到数据库的某个表里,如果在远程连接状态下使用了LOCAL关键字,即LOAD DATE LOCAL INFILE,那么就会从客户端读取一个本地文件,存入服务器端的table里。如果执行load data infile "C:/Windows/win.ini" into table test FIELD
发布时间:2020-01-20 17:10 | 阅读:5558 | 评论:0 | 标签:无

SDL软件安全开发流程总结

前言 现在有很多公司SDL的流程刚刚起步,我想分享一下自己在SDL中的一些经验。由于经验尚浅,无法估量整个 SDL的建设情况,以下只是自己在工作中的理解和拍脑袋的想法,请各位大佬指点。 SDL全称Security Development Lifecycle,又称作安全开发生命周期,包括安全培训、安全需求设计、安全开发、安全检测和安全监控五个阶段。本文会以安全检测为重点展开。 一、安全培训 安全培训的重点是提高全体项目人员的安全意识,包括产品经理的安全意识和研发测试人员的代码安全意识。 项目的中期可开展针对性的培训,例如代码中经常出现的问题、测试过程中多次出现的漏洞等都可以作为培训的重点。 二、安全需求设计 针对系统业务要求实施风险评估工作,根据需求
发布时间:2020-01-20 12:20 | 阅读:3868 | 评论:0 | 标签:无

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云