记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

逃避手段再开花——从一个能逃避AppLocker和AMSI检测的Office文档讲起

介绍几天前,Cybaze-Yoroi ZLAB团队遇到了一个十分“异类”的Office文档,它当中包含的一些特性引起了研究人员的兴趣。文档中携带的payload能绕过Microsoft现今一些高级别的安全机制,如AppLocker(应用程序控制策略),或是较新版本的防恶意软件扫描接口AMSI——这是一个与供应商无关的安全接口,可以对运行的脚本、宏代码甚至内存块进行反病毒控制,旨在解决混淆和无文件威胁。因此,Cybaze-Yoroi ZLAB决定对检测样本进行更进一步的分析。技术分析表1.样本信息初始文档界面如下图所示,表面上是提示用户启用宏以显示文档的实际内容,实际上感染链已在后台悄悄启动。图1.初始文档界面几秒钟后,
发布时间:2019-03-22 12:20 | 阅读:5040 | 评论:0 | 标签:系统安全 AMSI AppLocker

便携式移动网络的快速搭建方法

在用户高峰时段,常用的移动网络很容易堵塞,不堪重负。所以,关键时刻能够建立安全可靠的通信,是非常重要的。在本案例中,我用的移动通信系统是GSM协议,为了能够将GSM协议广播出去,我使用了BladeRF。需要的设备1.树莓派,本文使用的是树莓派3;2.Micro SD卡,本文使用的是32 GB的;3.Nuand BladeRF,本文使用的是BladeRF x40;4.在树莓派上启用SSH,为了便于使用,终端也可以正常运行;5.一部兼容GSM和SIM卡的手机;6.SIM卡(sysmoSIM-GR2);7.一根网线;树莓派的设置译者注:BladeRF是由树莓派使用YateBTS控制的,YateBTS是实现手机访问网络和GSM
发布时间:2019-03-19 12:20 | 阅读:14634 | 评论:0 | 标签:移动安全 移动网络 移动

Kaspersky发布2018年移动端恶意软件发展趋势报告

前言与2017年的报告相比,本次报告的统计数据来自卡巴斯基实验室的所有移动安全解决方案,而不仅仅是卡巴斯基Android版手机杀毒软件。这意味着,本次报告相比过去会有很多新的观察点。由于各种卡巴斯基实验室产品的普及率已经很大了,所以分析范围及其广泛,这使得统计基础的样本几乎遍布世界各地,对趋势的判断也愈加准确。本次报告的统计数据1、检测到恶意安装包5321142个;2、151359个新的移动银行木马被检测到;3、60176个新的移动勒索软件被检测到;攻击趋势分析2018年,移动设备用户面临有史以来最严重的网络攻击。在过去的一年里,分析人员观察到了许多新的移动设备攻击技术(例如DNS劫持)和使传播方案(例如SMS spa
发布时间:2019-03-13 12:20 | 阅读:13953 | 评论:0 | 标签:观察 发展趋势 移动

不能说的公开秘密:“dev-fused”版iPhone被曝光,它是一款仅供苹果公司内部使用的特制手机

“dev-fused”版iPhone是个什么东东?“dev-fused”版iPhone到底有多神奇?一句话,黑客和安全专家可以使用它绕过绕过苹果最严苛的安全策略和诸多安全功能,发现iPhone漏洞和其他敏感信息,甚至直接用它来研究苹果设备中最敏感的源代码。我相信目前除了安全专家和黑客外,很少有人听说过“dev-fused”版iPhone,目前在黑市上它可以被卖出数千美元。除了它能用于查找影响iPhone现有版本的漏洞外,还因为它们仅限于在苹果公司内部使用,不准外流。目前,“dev-fused”版iPhone可以说是世界上最好的iOS黑客工具之一。安全研究员Mathew Solnik非常擅长于发现iPhone的漏洞,早在
发布时间:2019-03-08 17:20 | 阅读:28933 | 评论:0 | 标签:移动安全 iPhone phone

恶意移动软件攻击在2018年翻了一番

根据卡巴斯基实验室的一份报告,2018年遭受恶意软件攻击的移动用户数量是2017年的两倍,从2017年的6640万增加到去年的1.165亿次。 尽管恶意移动软件攻击数量大幅增加,但全年仅发现5,321,142个包含恶意软件样本的安装包,与2017年的数据相比减少了409,774个。 虽然针对移动用户的攻击者一直在使用传统的攻击方法,如垃圾短信、邮件,但他们也在尝试用以前仅用于攻击桌面的DNS劫持等技术来攻击移动用户。 根据卡巴斯基实验室的报告,最常见的工具和攻击技术是: Droppers (Trojan-Dropper),旨在规避检测 通过移动设备攻击银行账户 RiskTool 恶意广告应用程序 阻止的攻击次数 除此之外,卡巴斯基实验室还检测到了三个由APT小组发起的恶意活动,它们监视受害者,窥探其在社交网
发布时间:2019-03-06 18:45 | 阅读:23652 | 评论:0 | 标签:安全报告 移动

谈谈手机验证码的安全漏洞与利用

一、背景手机验证码往往是面对用户的重点业务,那么本期就关于手机验证码所出现的安全问题,做个小小总结,文章如有不完善之处,欢迎各位同学共同交流讨论。二、短信轰炸网上之前会曝出一些关于“短信轰炸机”的新闻。举两个生活中的小场景:1. 你在淘宝上给了别人差评,随后几天遭到若干天的短信轰炸。2. 你 工作/上学 时,跟某些人闹了矛盾,事后半夜你遭到各种电话轰炸。原理解析:下面我们以一个例子来更方便的讲解该漏洞。(以下所有漏洞已经通报厂商,并已修复,读者切勿尝试)这是某央企商超业务的公众号,让我在公众号绑卡。我们点击  【我的账户】==》获取验证码:这里我们可以通过burpsuit抓个包。返回了Un
发布时间:2019-03-05 12:20 | 阅读:28967 | 评论:0 | 标签:Web安全 移动安全 验证码 漏洞

如何使用rootless越狱对iOS 12设备的物理提取和文件系统映像

对于运行iOS 12的iPhone和iPad来说,针对它们的越狱方法和工具已经出现。rootless越狱是一种新型的越狱,它根本没有root的读写权限。rootless为取证专家提供了与传统越狱相同的低级文件系统访问权限,我们一直在密切关注rootless的发展,并为运行iOS 12.0到12.1.2的Apple设备寻找出了完整的物理提取支持(包括钥匙串解密)。目前,我们已经了解如何安装rootless以及如何使用Elcomsoft iOS Forensic Toolkit执行物理提取。越狱和文件系统提取的关系我们已经发布了大量关于iOS越狱及其与物理提取关系的文章。 Elcomsoft iOS Forensic To
发布时间:2019-02-28 12:20 | 阅读:50215 | 评论:0 | 标签:移动安全 IOS 12 iOS

BadBluetooth: Breaking Android Security Mechanisms via Malicious Bluetooth Peripherals

出处: NDSS 2019 作者: Fenghao Xu; Wenrui Diao; Zhou Li; Jiongyi Chen and Kehuan Zhang 单位: The Chinese University of Hong Kong 原文: https://staff.ie.cuhk.edu.hk/~khzhang/my-papers/2019-ndss-bluetooth.pdf 演示: https://sites.google.com/view/bluetoothvul 这篇论文针对Android蓝牙协议栈实现的粗粒度权限管理策略提出了一种新型的攻击方式BadBluetooth,攻击者通过将蓝牙设备伪装为键盘,网络接入点和耳机,同时配合Android发起静默配对,最终实现控制手机截
发布时间:2019-02-27 19:25 | 阅读:57580 | 评论:0 | 标签:Android

对一款窃取Android短信的恶意软件的详细分析

窃取Android短信的恶意软件本文将要分析的恶意Android应用程序,样本可以在Virusbay上找到,也可以使用这个本地镜像。黑客窃取短信可以有各种各样的原因,有的攻击者会探知某个用户的隐私信息(定位信息、上网爱好甚至健康数据),从而找到攻击或诈骗的突破口;而有的攻击者干脆直接从受害者的手机上截获双因素身份验证(2FA)令牌,以假冒用户访问许多隐私帐户。请注意,在当前上下文中给出的代码摘录的名称是可读的。如果可以直接从变量的类型或上下文派生变量的名称,则要对其进行重命名。下面是本文要使用的样本的信息:MD5: a1b5c184d447eaac1ed47bc5a0db4725SHA-1: 98b
发布时间:2019-02-27 12:20 | 阅读:58218 | 评论:0 | 标签:技术 Android

如何以管理员身份绕过AppLocker

我认为,如果你是启用了AppLocker(“应用程序控制策略”,是Windows 7系统中新增加的一项安全功能)的主机上的管理员,那么目前有两种不同技术可以用来绕过AppLocker。其中,使用GUI的第一种技术在我原先发布的一条推文中曾简单讨论过。这篇文章的目标是详细讨论这个曾经提到的技术,同时也为你提供另一种以前没有人提到过的绕过技术。需要注意的是,在这些绕过技术示例中,集中定义的AppLocker可执行如下规则(默认规则,没有管理规则)。其余的规则,则使用默认的AppLocker规则定义(* under Windows 以及 * under ProgramFiles)。使用GUI方式
发布时间:2019-02-25 12:20 | 阅读:78318 | 评论:0 | 标签:Web安全 AppLocker

Open Doors for Bob and Mallory: Open Port Usage in Android Apps and Security Implications

作者:Yunhan Jack Jia, Qi Alfred Chen, Yikai Lin, Chao Kong, Z. Morley Mao 单位:University of Michigan 出处:IEEE European Symposium on S&P 资料:PDF, Github Abstract 本文中,作者对移动平台上的开放端口使用及其安全影响进行了较为系统的研究。作者设计并实现了一种静态分析工具OPAnalyzer,可以有效分析Android应用程序中易受攻击的开放端口使用情况。作者使用OPAnalyzer,对具有超过100K Android应用程序的数据集进行了漏洞分析。 在作者随后的分析中,近一半的开放端口使用是不受保护的,可以直接远程利用。从已识别的易受攻击的用法
发布时间:2019-02-18 14:25 | 阅读:234843 | 评论:0 | 标签:Android

如何在iOS 11.4和iOS 11.4.1上实现iPhone物理采集

iOS11.4~iOS11.4.1系统终于可以越狱啦!等了那么久,终于等到了。目前为止,Electra和Unc0ver已经支持iOS11.0~11.4.1系统版本,支持设备有:A9/A9X/A10/A10X/A11。Reddit的Jalbrick社区中有人分别用Unc0ver/Electra越狱做电量使用测试,在完全相同环境下做电池续航性能测试,完全相同设备、完全相同的设置和下载完全相同插件工具,并自然的分别使用一天,测试结果显示越狱电量续航、发热明显改善。那Unc0ver和Electra具体该怎么选择呢?我们的意见是,如果现在想越狱的话,就选Unc0ver。如果你手机之前用的Electra但是喜欢折腾的话,可以先平刷
发布时间:2019-02-15 12:20 | 阅读:244124 | 评论:0 | 标签:技术 iOS phone

如何在Windows AppCotainer中创建进程

概述AppContainer是通常用于UWP进程(也称为Metro、Store、Modern)的沙箱。AppContainer中的进程以低完整性级别(Intergrity Level)运行,这实际上意味着它几乎无法访问所有内容,因为对象(例如:文件)的默认完整性级别为中。这意味着,在AppContainer内运行的代码由于缺乏访问权限,而无法对系统产生任何重大的损害。此外,从对象管理器的角度来看,AppContainer创建的命名对象基于称为AppContainer SID的标识符,存储在其自身的对象管理器目录下。这意味着,一个AppContainer不能干扰另一个对象。例如,如果不在AppContainer中的进程,
发布时间:2019-02-13 17:20 | 阅读:234690 | 评论:0 | 标签:系统安全 windows

安天移动安全反病毒技术发展报告——安天移动恶意代码对抗的8年之路

一、前言  2010-2018年,八年来移动互联网产业发生着巨大的变化。而在这八年间,黑产势力也乘着移动互联网高速发展的东风,持续扩大产业和恶意攻击规模。Android作为拥有最大市场的移动智能设备平台,其移动恶意代码无疑是近年来最主流的移动安全威胁之一。  本文通过移动恶意代码对抗视角,回顾移动恶意代码技术发展路径,并介绍安天移动安全自2010年成立至今所始终坚持的移动恶意代码对抗的八年之路以及对未来移动恶意代码对抗趋势的理解,分享八年来安天移动安全对移动恶意代码对抗的所见、所思与所为。此外,我们还将在2019年3月发布2018年移动安全威胁年报,分享更深度的移动安全威胁和技术透视。  需要说明的是,本文中围绕的移动恶意代码对抗主要基于Android平台。一方面是因为Android平台是多年来移动恶意代码对抗
发布时间:2019-02-01 11:10 | 阅读:265820 | 评论:0 | 标签:病毒播报 移动

iOS渗透测试工具,第1篇:bfinject与class-dump

本文是介绍如何设置和使用某些最重要的IOS应用渗透测试工具的系列课程中的第一篇。对于这个系列文章来说,我们会假设用户使用Electra进行越狱。我具体使用的是iOS11.1.2,但是本系列中的大多数工具都可以在任何版本的iOS11上使用。实现手机越狱虽然我们可以在非越狱设备上进行某些渗透测试,不过,只有越狱之后,才能使用所有可用的工具实现全方位的测试。其实,越狱过程非常简单——您可以从这里下载11.0-11.1.2版本的Electra,或者这里下载11.2-11.3.1版本的Electra。该软件的安装说明可参阅这里。使用SSH连接设备在安装Electra时,会顺便安装OpenSSH,这意味着我们可以通过ssh连接至设
发布时间:2019-01-30 12:20 | 阅读:258370 | 评论:0 | 标签:技术 iOS渗透 iOS

“Cobalt”黑客在最近的攻击中使用Google App Engine

Netskope威胁研究实验室在42个客户实例中发现了几个针对性的主题攻击,主要针对银行和金融行业。参与这些攻击的威胁行为者利用App Engine谷歌云计算平台(GCP)通过PDF诱饵传播恶意软件。经过进一步研究,我们确认了针对全球政府和金融公司的这些攻击的证据。几个诱饵可能与名为“Cobalt Strike”的臭名昭著的威胁攻击组织有关。攻击是通过滥用PDF诱饵中的GCP URL重定向来执行的,重定向到托管恶意负载的恶意URL。此针对性攻击比传统攻击更具说服力,因为托管恶意软件的URL将主机URL指向Google App Engine,从而使受害者相信该文件是从Google等受信任的来源传递的。在本文中,我们发现和
发布时间:2019-01-29 12:20 | 阅读:254154 | 评论:0 | 标签:Web安全 Cobalt

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云