记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

关于多租户容器间安全隔离的思考

顾名思义,多租户就是很多人来租用容器平台的资源来实现自己的应用托管运维需求。有了资源,那么谁来管理运维分配使用这些资源?多租户很重要的一点是资源的安全隔离。即便是专用容器,也需要考虑相应的安全和业务隔离需求。从多租户的角度考虑,租户租用容器云平台的资源来托管、开发、部署运维自己的应用、服务。容器云平台需要提供、维护保障租户能正常使用这些资源,同时给租户托管的应用提供服务注册、服务发现、服务配置、日志、监控、预警告警、弹性伸缩、负载均衡、安全等能力。我们要明白的是租户只是租用这些能力,他们并不负责维护。那么谁来管理运维分配使用这些资源?那么容器云中什么是资源?资源该由谁来管理?如何分配?谁来运维这些资源?谁来使用这些资源
发布时间:2019-03-22 12:20 | 阅读:5428 | 评论:0 | 标签:Web安全 多租户容器

‘DMSniff’POS恶意软件针对中小型企业

之前仅私下销售的销售点恶意软件已被用于攻击中小型餐饮和娱乐行业。此恶意软件称为DMSniff,它还使用域名生成算法(DGA)来动态创建命令和控制域列表。该技术对攻击者很有价值,因为如果域名被执法部门,技术公司或托管服务提供商屏蔽,恶意软件仍然可以通信和接收命令或共享被盗数据。Flashpoint的研究人员认为,在POS恶意软件领域很少见到使用DGA。POS软件继续困扰着食品服务和酒店等行业,其中老旧和不受支持的系统仍然普遍存在,特别是在中小型公司中。在这些以卡片交易为主的环境中,犯罪分子一直在瞄准这些易受攻击的设备。去年Verizon Data Breach调查报告中的数据显示,销售点终端是数据库服务器背后受攻击次数最
发布时间:2019-03-22 12:20 | 阅读:5999 | 评论:0 | 标签:Web安全 恶意软件

Advantech WebAccess访问控制权限配置不严导致的本地提权漏洞披露

2018年11月1日,趋势科技的Zero Day Initiative向研华科技(Advantech)报告了关于Advantech WebAccess8.3.3版本中的配置漏洞(ZDI-19-257)。截至2019年3月7日,研华尚未解决此漏洞,因此在本文中,Zero Day Initiative根据披露政策向公众披露了此漏洞。WebAccess漏洞的背景知识中国台湾的研华WebAccess软件是研华物联网应用平台解决方案的核心,为用户提供一个基于HTML5技术用户界面,实现跨平台、跨浏览器的数据访问体验。使用WebAccess后,用户可以建立一个信息管理平台,同步提高垂直市场管理发展的效率。研华WebAccess提供
发布时间:2019-03-22 12:20 | 阅读:4954 | 评论:0 | 标签:漏洞 Advantech WebAccess 提权

“天堂”竟然伸出恶魔之手?Paradise勒索病毒再度席卷

警惕!Paradise(天堂)勒索病毒再度来袭。一、样本简介近日,深信服安全团队接到客户反馈,主机被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为Paradise勒索病毒的变种版本,并对此勒索病毒样本进行深入的分析。Paradise(天堂)勒索病毒最早出现在2018年七月份左右,感染多家企业。此次的变种借用了CrySiS家族的勒索信息,代码结构也跟早期版本有了很大的区别。勒索信息弹窗: 勒索信息文件:加密后的文件名:[原文件名]_[随机字符串]_{[email protected]}.p3rf0rm4二、详细分析1. 勒索病毒母体样本,使用UPX加壳,如下所示:2.获取函数Creat
发布时间:2019-03-22 12:20 | 阅读:5039 | 评论:0 | 标签:系统安全 Paradise

集后门、挖矿机和勒索软件的攻击活动分析

研究人员收到一封邮件,其中有一个链接,点击后就下载了一个pik.zip文件。该zip文件的名字很给奇怪руппа Компаний ПИК подробности заказа,翻译过来就是PIK Group of Companies order details(PIK公司订单详情)。也就是说是伪造的PIK公司的文件,PIK是俄罗斯的一家房地产公司,有超过14000名员工。研究人员分析脚本发现,该脚本使用多种混淆技术进行混淆。在Stage 0阶段有2个主要的混淆流:· 第一个是引入了伪造了静态fork,比如if和cases;· 第二个是从动态构建或分成多个关联步骤的嵌套字符串中动态构建函数区块。Javascr
发布时间:2019-03-22 12:20 | 阅读:4987 | 评论:0 | 标签:勒索软件 攻击活动 后门

Facebook明文存储近6亿密码 虽未泄漏但仍提醒修改密码

现在,很难用现有的隐私政策、安全策略等借口去掩盖这个事实:在北京时间今天凌晨,根据Krebs on Security报道,Facebook确认了密码管理系统的一个漏洞,这个漏洞可导致数亿的Facebook帐号、Instagram以及Facebook Lite的明文密码泄漏。这意味着数万名Facebook员工可以直接查阅明文的密码。Krebs的文章称这种情况可以追溯到2012年。一般来说,网站的运营者可以通过使用特定的单方加密的方法将密码存储在服务器上。通过这种方法,即时有人获得了这个密码,他们也无法知道这个密码具体是什么,这种已加密的密码也几乎不可能被利用起来。作为一个服务数亿用户的公司,Facebook一定知道他们要
发布时间:2019-03-22 12:20 | 阅读:4466 | 评论:0 | 标签:事件 Facebook 密码泄漏

我们在南京等你——DEF CON GROUP 86025线下极客安全会议

极客安全会议时间:2019.03.23地址:南京信息职业技术学院活动简介          3.23「极客安全会议」如果机器注定要与我们协作相生如果它注定成为我们参与世界的力量你 能做什么?这里是DEFCON GROUP 86025 —— 本次会议的方向为web安全、高级渗透、APT攻击防范与研究、漏洞挖掘与修复、IoT智能设备研究、锁具安全研究,与优秀的人作伴,启程世界的探索吧。关于我们DEFCON GROUP 86025DEFCON 是世界顶级安全会议,每年在拉斯维加斯举行,2018年5月第一次来到中国举办。DC86025是DEFCON授权认证的官方GRP
发布时间:2019-03-21 12:20 | 阅读:10634 | 评论:0 | 标签:活动 DEF CON GROUP

利用凭证转储、网络钓鱼和遗留邮件协议绕过MFA入侵云账户的攻击分析

概述在最近对主要云服务租户进行的为期六个月的研究中,Proofpoint研究人员观察到利用遗留协议和凭证转储的大规模攻击,可以提高大规模暴力破解程序的速度和效率。使用IMAP对Office 365和G Suite云账户的攻击很难通过多因素身份验证来防范,其中服务账户和共享邮箱特别容易受到攻击。与此同时,有针对性的智能化暴力攻击为传统的密码喷射带来了一种新方法,即采用大型凭据转储中暴露的用户名和密码的常见变体来破坏账户。此外,复杂的网络钓鱼活动可以欺骗收件人披露身份验证凭据,为攻击者提供进入企业账户的额外途径。Proofpoint在数百万个受监控的云用户账户中分析了超过10万次未经授权的登录,发现:· 72%的租户至少被
发布时间:2019-03-21 12:20 | 阅读:11048 | 评论:0 | 标签:Web安全 云安全

恶意软件如何绕过AMSI检测以逃避检测

前言在本文中,我将详细介绍一种禁用反恶意软件扫描接口(AMSI)的技术。这是在Microsoft Windows中的一个内部功能,用于使用系统上安装的反恶意软件对数据进行扫描。我们举例说明,该特性允许应用程序在将数据写入文件之前,请求扫描下载的数据。如果一个恶意软件可以禁用此接口,那么它就可以逃避反病毒检测。在本文中,我们将对从客户那里拿到的一个恶意样本进行详细分析,并看看样本是如何绕过AMSI的。恶意软件概述在RTF格式的Excel文档中,都包含经过模糊后的宏:通过阅读这个混淆后的代码,我们发现它以混淆后的形式,运行一个位于单元格G135内的命令:经过这些多层次的混淆后,Excel文档宏最终会启动PowerShell
发布时间:2019-03-21 12:20 | 阅读:10036 | 评论:0 | 标签:系统安全 恶意软件

Google白帽发现Windows bug

Google Project Zero白帽研究员James Forshaw发现位于Windows kernel模式驱动中的漏洞,利用该漏洞可以进行权限提升。该漏洞是由于处理特定请求时缺乏必要检查导致的。Windows使用PreviousMode域来设置UserMode或KernelMode,然后确定调用的参数是否来源于可信源。该机制也用于文件创建和打开,kernel模式代码可以从不同的API函数中选择,包括到I/O管理器内部函数IopCreateFile的函数。在这种情况下,PreviousMode会被分配一个特定的变量来确定是否检查有效的参数和缓存。操作系统使用该变量进行设备对象的检查,即是否是UserMode。Io
发布时间:2019-03-21 12:20 | 阅读:7486 | 评论:0 | 标签:漏洞 windows

解密在Emotet、Qbot和Dridex中使用的加密器

加密器是一类软件,可以加密、混淆和操纵恶意软件,使其更难以被安全程序检测到。Zscaler ThreatLabZ研究小组发现,Emotet、Qbot和Dridex在近期活动中都使用了一种常见的加密器,该加密器也同样能在一些Ursnif和BitPaymer的活动中检测到。Emotet和Dridex能够存活如此之久的原因之一,就是它们会通过使用各式各样的加密器来逃避检测,加密器会将原始二进制文件封装在内部,使对其的检测和分析变得更为复杂。Emotet是一种模块化恶意软件,主要功能是作为银行木马的下载器或dropper。在过去的四年里Emotet一直很活跃,它也是去年最流行的恶意软件系列之一。Dridex是一种源自Zeus
发布时间:2019-03-21 12:20 | 阅读:8478 | 评论:0 | 标签:技术 Emotet加密器 加密

议题征集 | 2019看雪安全开发者峰会

安全开发者峰会(SDC)是由拥有19年悠久历史的老牌安全技术社区——看雪学院主办,中国最大的IT社区和服务平台CSDN协办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。作为开发与安全领域内,最具影响力的互联网安全合作交流盛会之一,SDC始终致力于建立一个多领域、多维度的高端安全交流平台,推动互联网安全行业的快速成长与广泛合作。自2017年7月份开始举办第一届峰会以来,会议始终秉承着技术与干货的原则,议题内容覆盖物联网、智能设备、区块链、机器学习、WEB安全、逆向、安卓、iOS等前沿领域,吸引了业内众多顶尖的开发者和技术专家。看雪2019安全开发者峰会,现竭诚邀请安全技术专家投稿参加,与
发布时间:2019-03-20 17:20 | 阅读:11434 | 评论:0 | 标签:活动 看雪安全开发者大会

数据应用复杂化,数据保护如何去繁为简?

今年的两会中,基本上每个行业的代表们都在呼吁加强数据管理以及完善法律监管,代表们的一致发声也正是因为数据泄露问题已经渗入到生产经营的每一面了,企业只有做好数据保护才能更好保障自身的利益,才能对客户的隐私安全负责。 当前数据存在的形式与使用方式与过去有很大区别,数据分散在各个终端以及数据库中,业务复杂化也让数据的保护变得更困难。企业在实施数据保护时,首先需要做的是对当前数据的应用进行全面了解。 1、业务环节复杂,应用多变 企业的业务环节是数据保护的重要部分,一件产品的生产到销售,中间要经过开发人员、测试人员、销售、代理商、支付平台、物流等等,甚至更多,还有为销售产品开展的各种活动、支持业务的应用等,在这个“数据链”中,每个环节都有可能出现问题,一旦出现问题就会影响自身的客户和业务,严重的还要承担相应的法律责任。
发布时间:2019-03-20 13:10 | 阅读:12343 | 评论:0 | 标签:安全前沿 客户隐私安全 数据泄露 防泄密

API渗透测试基础

API渗透测试概述API渗透测试是一种常见的攻击面,攻击者可以通过它来进一步获取应用程序或者服务器的访问权限。本篇文章中,我会讲到API渗透测试的一些基础知识。本文分为下面三部分:1. API渗透测试是什么?2. API请求和响应的结构?3. 渗透测试的方法,工具和案例?API渗透测试详情API渗透测试与web应用程序渗透测试方法相同。虽然测试方法类似,但是在攻击上还是有一些变化的,因此,我们要找出API的一些标准漏洞,就跟Web中的Owasp Top10一样,包括:注入,访问控制,信息泄露,IROR(不安全的对象直接引用),XSS等。API安全认证基础API认证和会话管理当我们开始查看A
发布时间:2019-03-20 12:20 | 阅读:11959 | 评论:0 | 标签:Web安全 API渗透测试基础

域名管理工具——Shepherd(牧羊人)

本系列的第1部分(Part 1)介绍了红队用于管理域名的解决方案,主要讨论了数据收集方面,此外还介绍了DomainCheck工具。正如该文所述,SpecterOps团队继续研究和开发一个将DomainCheck的数据收集与团队管理功能相结合的解决方案。Shepherd就是第一个从这项工作中产生的产品。Shepherd旨在供运营团队使用。它会跟踪域名和每个域名的当前DNS设置、分类、历史记录和状态。跟踪状态包括哪些域名:准备好使用,销毁/退役或正在使用,以及哪个团队成员签出了活动域名。Shepherd是GhostManager系列的最新成员。参看这里:GhostManager/ShepherdA Django appli
发布时间:2019-03-20 12:20 | 阅读:11396 | 评论:0 | 标签:安全工具 Shepherd

模拟可信目录的利用技巧扩展

0x00 前言在上篇文章《通过模拟可信目录绕过UAC的利用分析》对通过模拟可信目录绕过UAC的方法进行了分析,本文将结合自己的经验,继续介绍模拟可信目录的另外三种利用技巧,最后给出防御建议。0x01 简介本文将要介绍以下内容:· 利用模拟可信目录绕过Autoruns· 利用模拟可信目录欺骗ShimCache· 利用模拟可信目录伪造正常的UAC弹框0x02 利用模拟可信目录绕过Autoruns绕过原理:Autoruns默认不显示带有微软签名的文件,如果文件包含微软签名,默认不会显示在Autoruns面板。在Windows系统的启动位置写入模拟可信目录下的文件,由于被识别为正常带有微软签名的文件,默认将
发布时间:2019-03-20 00:20 | 阅读:14767 | 评论:0 | 标签:技术 模拟可信目录

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云