记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

攻击者如何使用常见的MDM功能对iOS设备发起攻击

思科Talos团队曾经发过两篇文章(1,2),都是关于恶意移动设备管理(mobile device management,MDM)平台如何将伪装的应用程序加载到智能手机上的,我们对攻击者的方法有了更深入的了解。在这样的攻击者中,攻击者将iOS设备注册到MDM中,并使用这些设备来控制受害者的设备,他们会将通过伪装的WhatsApp,Telegram和Imo,以及Web浏览器Safari来完成攻击。在读了这篇文章后,我们就会清楚的知道攻击者如何利用常见的MDM功能,并使用iOS配置文件隐藏和禁用应用程序的合法版本,以伪装的恶意版本替换合法的版本。经过进一步研究后,研究人员还发现了攻击者会在注册设备上部署配置文件时,滥用iO
发布时间:2018-09-21 12:20 | 阅读:10495 | 评论:0 | 标签:Web安全 MDM iOS

肚脑虫组织(APT-C-35)移动端攻击活动揭露

传统的APT攻击主要是针对PC端进行,而随着智能手机和移动网络在世界范围内的普及发展,越来越多黑客组织的攻击目标也迅速蔓延到移动端,甚至出现出和PC端结合的趋势。近几年被国内外安全厂商陆续披露的Fancy Bear、Lazarus、Operation Manul、摩诃草、黄金鼠等多个攻击组织无疑印证了这点。近期,360烽火实验室发现肚脑虫组织(APT-C-35)最新的攻击已把移动端也加入到其攻击目标中。 肚脑虫组织(APT-C-35, 后文统称肚脑虫组织),又称Donot,是一个针对克什米尔地区相关国家的政府机构等领域进行网络间谍活动,以窃取敏感信息为主的攻击组织。该组织于2017年3月由360追日团队首次曝光,随后有数个国内外安全团队持续追踪并披露该组织的最新攻击活动。被曝光的的攻击活动都是针对PC端进行,攻
发布时间:2018-09-20 18:45 | 阅读:13099 | 评论:0 | 标签:安全报告 技术控 移动

多个疑似“摩诃草”团伙来源定向攻击的关联分析

背景 Cisco Talos研究团队在近期披露了一例针对印度iOS用户的定向攻击活动[1],但原文并没有明确攻击组织相关背景。360威胁情报中心结合内部威胁情报数据和该公开报告中披露的IOC信息,关联到多份公开情报,并发现该事件的攻击组织极有可能就是“摩诃草”组织(又常称为Hangover,Patchwork,Dropping Elephant),并且分析了该事件与Bellingcat披露的Bahamut[2]和趋势科技披露的Confucius[3]间的联系。本报告是对相关线索和背景推测的分析说明。 截至我们分析和文档完成时,Cisco Talos研究团队披露了后续分析进展,并同样提及了和Bahamut的关联性[6]。 关联样本分析 360威胁情报中心结合内部的威胁情报数据关联到相关的针对Windows平台和A
发布时间:2018-09-20 18:45 | 阅读:11005 | 评论:0 | 标签:安全报告

APT-C-35组织(肚脑虫)的最新攻击活动分析

背景 2017年3月,360追日团队发现了一类定向攻击的样本,确认是之前所未知的APT组织的攻击行动样本,目前可以追溯到的该组织至少在2016年4月便开始活动。追日团队将该攻击组织编号为APT-C-35。2017年6月,360威胁情报中心又发现该组织新的攻击活动,确认并曝光了该团伙针对巴基斯坦的定向攻击活动,并详细分析了该组织使用的独有的EHDevel恶意代码框架(见参考[1])。 2018年3月,国外安全团队ASERT继续披露了该组织新的恶意代码框架yty,并根据PDB路径中的机器用户名将该组织命名为Donot。鉴于该组织的活动是由360独立发现,并在全球率先披露的,符合360威胁情报中心对APT组织进行独立命名的条件。故,参考国外已有命名及360威胁情报中心对APT组织的命名规则,我们将APT-C-35组织
发布时间:2018-09-20 18:45 | 阅读:9829 | 评论:0 | 标签:安全报告

蓝宝菇(APT-C-12)最新攻击样本及C&C机制分析

背景 继360公司披露了蓝宝菇(APT-C-12)攻击组织的相关背景以及更多针对性攻击技术细节后,360威胁情报中心近期又监测到该组织实施的新的攻击活动,本文章是对其相关技术细节的详细分析。 样本分析 诱饵文件 在APT-C-12组织近期的攻击活动中,其使用了伪装成”中国轻工业联合会投资现况与合作意向简介”的诱导文件,结合该组织过去的攻击手法,该诱饵文件会随鱼叉邮件进行投递。 如下图所示该诱饵文件伪装成文件夹的图标,执行后会打开包含有诱饵文档和图片的文件夹,而此时实际的恶意载荷已经在后台执行。 当该诱饵文件运行时,其会解密释放4个文件,其中两个为上述的诱导文档和图片,另外为两个恶意的tmp文件。 释放的恶意tmp文件路径为: %temp%unicode32.tmp %appdata%
发布时间:2018-09-20 18:45 | 阅读:9238 | 评论:0 | 标签:安全报告

蓝宝菇(APT-C-12)针对性攻击技术细节揭秘

背景 360公司在2018年7月5日首次对外公开了一个从2011年开始持续近8年针对我国政府、军工、科研、金融等重点单位和部门进行网络间谍活动的高级攻击组织-蓝宝菇(APT-C-12),该组织的活动在近几个月内呈现非常活跃的状态。本文作为前期组织揭露报告的补充,详述蓝宝菇组织在近期攻击活动的技术细节,希望安全业界了解其攻击手法共同完善拼图,输出防御方案联合起来对抗这个国家级的威胁。 鱼叉邮件 2018年4月以来,360安全监测与响应中心和360威胁情报中心在企业机构的协同下发现了一批针对性的鱼叉攻击,攻击者通过诱导攻击对象打开鱼叉邮件云附件中的LNK文件来执行恶意PowerShell脚本收集上传用户电脑中的敏感文件,并安装持久化后门程序长期监控用户计算机。该攻击过程涉及一些新颖的LNK利用方式,使用了AWS S
发布时间:2018-09-20 18:45 | 阅读:8715 | 评论:0 | 标签:安全报告

敛财百万的挖矿蠕虫HSMiner活动分析

背景 永恒之蓝漏洞自从2017年4月NSA黑客工具公布之后,越来越多被用于非法网络活动。从勒索病毒WannaCry、NotPetya,到挖矿病毒Powershell Miner、NrsMiner无不利用这一工具大肆活动。 而在近日,360企业安全天擎团队监测到一种新的利用NSA黑客工具进行传播的挖矿病毒(挖取XMR/门罗币),该病毒家族在最近两个月内进行了疯狂传播,数月时间就通过挖矿获利近百万人民币。因其挖矿安装模块名称为hs.exe,我们将其命名为HSMiner,该病毒主要利用永恒之蓝、永恒浪漫漏洞进行传播,除具有挖矿功能外,还具备远控木马功能: 样本分析 360企业安全天擎团队对该样本进行了详细分析,样本功能主要分为传播、挖矿和远控三大模块。病毒会通过判断运行时的本地互联网出口IP所在地区来获取攻击者事先
发布时间:2018-09-20 18:45 | 阅读:8238 | 评论:0 | 标签:安全报告

捆绑了多个最新Office漏洞利用的虚拟币钱包木马分析

背景 近日,360威胁情报中心捕获了一批功能强大的远控木马,其不仅能盗取用户的邮箱、即时通讯软件、浏览器等等的相关隐私信息,更重要的是木马还会主动盗取用户的虚拟货币钱包文件,以窃取用户的数字货币资产。 并且该木马样本同时利用了多个Office最新的漏洞进行捆绑投递(CVE-2017-8570、CVE-2017-11882、CVE-2018-0802),以提升漏洞利用成功的几率,并通过极具诱惑性的文档进行伪装,主要是数字货币相关的介绍文档。很显然,这批远控木马正是为了用户的比特币钱包而来。 360威胁情报中心通过溯源关联分析,发现这批样本都是使用一款较新的,名为ThreadKit的文件漏洞利用工具包所生成,具有较强的针对性。 样本分析 被捕获的用于盗取虚拟货币的样本执行流程如下: 恶意文档分析 360威胁情报中
发布时间:2018-09-20 18:45 | 阅读:10050 | 评论:0 | 标签:安全报告 漏洞

WannaMine蠕虫病毒进一步侵食着大公司的系统

虽然WannaCry和其他一些的病毒软件的运作机制早已被曝光,但门罗币挖掘蠕虫却能使用与之相同的机制持续对企业系统造成损害。Wannacry是一种基于文件加密的勒索软件,美国将此病毒软件的根源归咎于朝鲜。在2017年5月,Wannacry的爆发让众人明白了修补Windows操作系统漏洞的重要性和紧迫性,这些漏洞当时也已被美国国家安全局所披露,Wannacry使用了一种名为“永恒之蓝”的漏洞,利用Windows的服务器信息块(SMB)网络文件共享协议在网络中移动,快速传播的同时能对网络造成严重破坏。紧接着,WannaCry使用的核心漏洞被其他恶意软件创造者所利用,这些恶意软件包括一个月后影响全世界公司的NotPetya,
发布时间:2018-09-20 12:20 | 阅读:7892 | 评论:0 | 标签:勒索软件 Windows漏洞

安卓应用程序渗透测试(二)

在上一篇文章中(安卓应用程序渗透测试一),我们讲解了安卓设备的基本架构。本篇文章,我们来讲解一些安卓应用渗透测试工具并且为正式攻击进行一些基础设置。安卓渗透测试工具有很多,但每个工具各有所长,哪些工具有什么功能,能实现什么目的,我们能从中提取什么细节才是最重要的。我们也可以使用一些框架中内置的工具集,下面这些框架都是开源的:Appuse,Appie,Santoku,Pentestbox,MobSF等等。先从APPuse开始APPuse是由AppSec Labs开发的VM虚拟机。它是安卓环境中移动应用安全测试的独特平台,包括AppSec Labs开发的独家定制工具。APPuse专业版官网地址在这里,https://app
发布时间:2018-09-20 12:20 | 阅读:10316 | 评论:0 | 标签:移动安全 Android App 渗透测试

通过普通用户访问Azure AD管理门户泄露的活动目录信息

为了应对日益复杂的安全问题,微软采用了各种技术、服务、集成、应用程序和配置。虽然这样做的效果很好,但与此同时,却产生了另外一个问题,即管理越来越复杂和精细,而管理上稍有不慎,就有可能发生各种连锁后果。虽然将所有内容都转移到云端,可以在可扩展性、功能性甚至效率方面降低这种管理的复杂性,但却可能出现其他的问题。为此,在过去的一年里,有研究者就以微软作为他们的云提供商,来测试其中可能出现的漏洞。事实上,测试者读的关于微软产品和服务的说明书越多,测试者就越觉得失落。虽然在过去的一年里,测试者能够灵活运用这些技术,预防各种攻击,但其中的一些概念却还是令他们感到疑惑。比如,默认配置是什么?是默认提供的吗?这种配置是同步的吗?当测试
发布时间:2018-09-20 12:20 | 阅读:10850 | 评论:0 | 标签:Web安全 Azure AD

通过拆分请求来实现的SSRF攻击

Firefox Accounts API服务器对unicode字符的一些错误处理可能允许攻击者向其后端数据存储发出任意请求。这就会引起一个漏洞:HTTP请求路径中的unicode字符损坏。漏洞的发现过程此漏洞还是在我调试一个不相关的unicode处理问题时发现的,该漏洞最终导致了Node.js`http`模块的错误。当使用含有 '/café
发布时间:2018-09-20 12:20 | 阅读:6144 | 评论:0 | 标签:漏洞 SSRF

从某恶意软件Dropper样本,探寻分析.NET恶意软件的方法

概述作为安全专家,我们更喜欢对新型恶意软件进行分析。每当有安全团队发布新型攻击分析报告时,我们都会第一时间阅读。从这些报告中,我们发现了一个规律,即使是能力最强的攻击者,也会倾向于使用各种OS工具来执行攻击,而不会倾向选择使用某个API。针对攻击者,他们不一定需要掌握太多的开发技术,也不一定需要亲自编写恶意软件才能实现恶意的目的。一个比较恰当的例子就是Fauxpersky恶意软件,该恶意软件是用AutoHotKey编写而成的,这是一个用于自动执行任务的合法工具,攻击者利用了该工具的特点,将其改装成了一个能够有效窃取用户凭据的恶意软件。可能与大多数人的认知相反,安全研究人员并没有将大量的事件投入到复杂的APT(高级持续威
发布时间:2018-09-20 12:20 | 阅读:7812 | 评论:0 | 标签:技术 .NET恶意软件

威胁情报那些事儿

前言 前两年大热的电视剧《伪装者》中,提到了一份“死间计划”,这一幕在战场曾真实发生过。二战中,盟军依靠计算机之父图灵破解了德国的密码,得知德国马上要对考文垂进行轰炸。但是为了争取更大的决定性胜利,盟军选择不让德国人知道己方已经破译了其密码。因此盟军方面没有对考文垂进行有针对性的的防御措施。于是德国人相信其密码依然是安全的,从而一步步走进了盟军的圈套。 在威胁情报中,安全公司同样运用类似的方法和黑客斗法。例如:穿梭于各大安全论坛,装作黑客的样子,开心地与之讨论最近哪种攻击方式最流行,有哪些漏洞可以利用。然后回家修补漏洞。 一.威胁情报 21世纪已经步入科技时代、互联网时代,在这个时代,我们获得了太多的便利。借助互联网,似乎只有我们想不到的,没有搜不到的。互联网时代下的网络,集合了各类数据,为当下的生产生活提供
发布时间:2018-09-20 01:45 | 阅读:7330 | 评论:0 | 标签:安全报告 观点

Pegasus间谍软件肆虐,NSO表示“不背锅”

加拿大公民实验室(Citizen Lab)是一个由蒙克全球事务学院在多伦多大学设立的一个跨学科实验室,该实验室发布的一份最新报告显示,Pegasus间谍软件的攻击范围涵盖了全球45个国家。 这款臭名昭著的间谍软件,由以色列NSO集团开发。这家集团是以色列数十家数字间谍工具开发公司之一,它们的产品可追踪iPhone和Android智能手机上的任何活动,主要为世界各国政府和执法机构提供服务。 Pegasus间谍软件 手机间谍软件是指通过外在硬件设备或者内在的软件对手机的一种监控行为,还有一种说法是指一些编程高手,编制出隐藏在手机里面的远程控件,从而实现他们的阴谋、目的。 Pegasus间谍软件是NSO集团最“得意”的产品,该软件可以实施远程攻击iPhone、Android和其他移动设备,攻击者能访问目标受害者设备
发布时间:2018-09-19 18:45 | 阅读:8678 | 评论:0 | 标签:安全报告 技术控

针对Ryuk勒索软件的分析调查Part2

上一篇,我介绍了Ryuk的一些一本架构,本文我会接着介绍Ryuk和Hermes的其他技术相似之处(注入方法、加密方案),并对幕后团队的销赃行为进行分析。注入方法Ryuk使用的注入技术非常简单,首先使用OpenProcess获取目标进程的句柄,然后使用VirtualAllocEx在其地址空间中分配缓冲区。分配的缓冲区大小有恶意软件映像那么大,并且需要和恶意软件映像位于相同的基址。然后,恶意软件会将其当前的虚拟映像内容写入其中,并创建一个执行某些操作的线程。请注意,Ryuk通过将虚拟映像写入具有预定义分配基础的请求缓冲区后,由于缺少正确的代码重定位过程,就有可能发生所请求的地址不可用于分配的风险,从而导致代码注入执行失败。
发布时间:2018-09-19 12:20 | 阅读:10575 | 评论:0 | 标签:勒索软件 Ryuk

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩