记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

企业安全“新”技术峰会 -智能安全,始于边缘

在地球上一半人类都上网的互联网生态系统中,数字化安全从未变得如此紧迫。无论是企业用户还是端点消费者,数字化体验越来越多地通过联网设备随时随地按需提供。对于信息安全专业人士来说,这个互联的生态系统正在对“边界”这一策略造成严重破坏。    如我们所知,边界不复存在,攻击始终在发生变化,规模和数量不断攀升,且越来越有针对性;您再也不能确保边界的安全,也无法信赖“禁入禁出”的防御模式。您需要一个更加灵活,应对不断变化的安全态势的防御系统,这就是“边缘”安全。本次峰会由安全+和Akamai联合主办,以“企业安全建设、安全趋势、终端安全、黑灰产”为主题,聚焦企业最佳实践,届时约有100位左右来自各行
发布时间:2019-04-17 12:25 | 阅读:17844 | 评论:0 | 标签:活动

RPC漏洞挖掘案例研究(下)

在《RPC漏洞挖掘案例研究(上)》一文中,我们向你展示了如何使用不同的可用工具和在线资源,在Windows RPC服务器中发现潜在的安全风险(微软通用遥测客户端漏洞)。另外,我们还演示了对RPC服务器进行反向汇编所需的一些基本知识。不过,我们坚信RPC服务器中还有其他潜在的安全漏洞。所以,在本篇文章中,我们将继续研究并改进强化Windows RPC服务器的方法,以便发现其他RPC服务器漏洞。前言在本博客系列的第一部分中,我们讨论了我们在FortiGuard实验室中使用的方法,以使用RPCView查找RPC服务器上的逻辑漏洞。因此,我们发现了Microsoft Universal Telemetry服务中的潜在漏洞。如果
发布时间:2019-04-17 12:25 | 阅读:12283 | 评论:0 | 标签:漏洞 RPC漏洞挖掘

CVE-2019-0859:win32k.sys 0 day漏洞

卡巴斯基的automatic Exploit Prevention (EP)系统又发现Windows操作系统中的一个漏洞利用。研究人员进一步分享发现是win32k.sys中的一个0 day漏洞。这是卡巴斯基近期发现的Windows系统中的第5个本地权限提升漏洞,前4个分别是:· CVE-2018-8453· CVE-2018-8589· CVE-2018-8611· CVE-2019-07972019年3月17日,卡巴斯基将漏洞报告给了微软,CVE编号为CVE-2019-0859,目前微软已经发布了该漏洞的补丁。技术细节CVE-2019-0859是一个CreateWindowEx函数中的U
发布时间:2019-04-17 12:25 | 阅读:12655 | 评论:0 | 标签:漏洞 CVE-2019-0859

利用ASLR薄弱点:Chrome沙箱逃逸漏洞分析

概述我们在Chrome中,发现了一系列可能存在的沙箱逃逸漏洞。在此之后,我们认为可以将这些漏洞中的一个与渲染器存在的漏洞共同利用,形成一条完整的漏洞利用链,同时也能够让我们更好地理解现代Chrome漏洞利用所需的机制。考虑到全部可用的漏洞,最有可能被利用的是Issue 1755,这一Use-After-Free漏洞与经典的JavaScript引擎回调漏洞相似。目前看来,这是一个很好的候选者,因为攻击者对free’d对象的生命周期,以及随后使用对象的时间都具有高级别的控制。针对关于Mojo IPC机制如何运作的细节,我们没有详细进行分析,在这里先提前向各位读者表示抱歉。在未来,我们会发表一些博客文章,更加详细地解释当前C
发布时间:2019-04-17 12:25 | 阅读:10513 | 评论:0 | 标签:业务安全 系统安全 Chrome 漏洞

影响国人的挖矿恶意软件新变种已蔓延海外

趋势科技曾在2019年初在中国的大陆、台湾和香港地区发现了一类新的门罗币挖矿恶意软件变种,此恶意软件通过多种传播感染方法在系统和服务器中大肆植入加密货币挖矿机。在我们之前观测的样本中,其感染方式包括弱密码测试,以及使用哈希传递技术、Windows管理工具,和公开可用代码进行暴力攻击。然而近期,我们在日本发现了此恶意软件的新变种,攻击者在其中通过利用“永恒之蓝”漏洞和PowerShell脚本来侵入系统并逃避检测。同时,我们的遥测技术显示,现今除了台湾和香港之外,在澳大利亚、越南、印度等地也出现了这类威胁,由此来看,攻击者正将僵尸网络扩散到其他国家和地区。传播与行为此恶意软件(由趋势科技检测为Trojan.PS1.LUDI
发布时间:2019-04-17 12:25 | 阅读:11427 | 评论:0 | 标签:Web安全 挖矿恶意软件

Red Team从0到1的实践与思考

0x00 前言 近年来Red Team越来越收到国内外企业的关注,恰逢笔者正在一家大型互联网公司从事Red Team相关的工作和实践,故以此文来简单阐述一下笔者对于Red Team从0到1的一些实践和思考。正所谓“一千个人眼中有一千个哈姆雷特”,此文中仅探讨笔者亲历的Red Team建设工作以及体系思考,观点谨代表个人,读者需酌情参考。 0x01 Red Team是什么 Red Team的概念最早来源于20世纪60年代的美国军方,原文定义如下: An independent group that challenges an organization to improve its effectiveness by assuming an adversarial role.
发布时间:2019-04-16 12:35 | 阅读:14171 | 评论:0 | 标签:无

深入分析恶意软件Emotet

研究发现,Emotet恶意软件的攻击活动是分为多个阶段完成的,在本文中,我们首先为读者介绍其攻击活动的第1阶段和第2阶段,并重点讲解与网络钓鱼和在受感染的系统中实现持久性控制的相关内容。实际上Emotet是通过包含恶意链接或附件的网络钓鱼电子邮件进行传播的,钓鱼的对象包括个人、公司和政府部门。第1阶段:恶意电子邮件与恶意文档。攻击的第1阶段始于网络钓鱼电子邮件。通常情况下,攻击者会定期修改钓鱼邮件的主题、布局、附件和链接。在本文中,我们将分析取自VirusTotal网站的恶意软件样本。Emotet的一大特点是会不断变换网络钓鱼电子邮件的内容,包括恶意链接以及相应的附件。在本文中,我们分析的是通过以下链接传播的样本:用户
发布时间:2019-04-16 12:25 | 阅读:16871 | 评论:0 | 标签:Web安全 Emotet

DNScat2工具:通过DNS进行C&C通信

介绍DNS域名系统将URL和IP地址关联起来。有了DNS,我们就可以直接在浏览器中输入比较容易记的单词,而不是一连串的数字,这样人们就能够搜索站点并且发送消息了。当你在浏览器中输入域名访问网站时,它首先会向DNS服务器发送请求来查找域名对应的IP地址。找到IP地址之后,就会通过IP定位到对应的服务器然后获取网站的内容。令人惊讶的是,这整个过程仅仅只需要几毫秒。DNS默认是运行在53端口上。介绍DNScatDNScat堪称神器,因为它可以通过DNS协议创建C&C隧道,让攻击者更加隐蔽。你可以访问任何数据以及上传和下载文件,并且获得一个shell。这个工具也是基于53端口的,所以你不需要对DNS服务器进行权威访问,
发布时间:2019-04-16 12:25 | 阅读:10905 | 评论:0 | 标签:安全工具 dnscat DNS隧道技术

大规模的SIM卡交换诈骗趋势已经形成

SIM卡交换诈骗事件回顾2018年7月12日,美国的加利福尼亚警方逮捕了一名大学生——Joel Ortiz,该学生攻击了数十个手机号码,窃取了总额超过500万美元的加密货币。这是首例被报道的人为涉嫌使用日益流行的SIM卡交换技术或SIM卡劫持窃取比特币、其他加密货币以及社交媒体账户的案件。Ortiz和他的同伙专门针对那些涉足加密货币和区块链的人。紧接着,2018年8月15日,美国投资者Michael Terpin向AT&T提起了一起价值高达2.24亿美元的诉讼。因为他认为这家电信巨头向黑客提供了访问他手机号码的途径,从而导致了一场重大的加密货币盗窃事件的发生。Michael Terpin是一位总部位于波多黎各的
发布时间:2019-04-16 12:25 | 阅读:13626 | 评论:0 | 标签:Web安全 SIM卡

加密、管控与审计,三维智能保护数据安全!

数据作为机构企业的重要资产,却每天都面临着各种泄露危险,据统计2018年公开披露的数据泄露事件达到6500起,涉及50亿条数据记录。这些泄露事件的发生无时无刻不在提醒着我们数据保护的重要性,然而在保护数据时,我们又该如何做到绝对的安全呢? 数据生成之后的存储、传输和使用,任何一个环节受到攻击,都会破坏其他安全措施的有效性。而现在网络应用的增多让窃取机密的途径变得更多,窃取者越来越缜密,窃取机密的方法常常在我们意料之外,想要保护好数据安全,就要确保信息数据的方方面面都在保护之中。 以数据为中心防范安全风险 想要防范这种来自多方面的风险就需要一套以数据为中心的安全保护方案,这个方案可以从数据生命周期(存储-传输-使用)的所有环节保护数据本身,还可以兼顾周围的网络应用以及服务器。 数据存储:保护存储在终端以及服务器中
发布时间:2019-04-15 18:15 | 阅读:16179 | 评论:0 | 标签:安全前沿 企业信息安全 企业防泄密 数据加密 加密

Is there are way to possible block Opera VPN option?

I was successful in disabling the Opera VPN by blocking these 2 domainsapi.surfeasy.com de0.opera-proxy.net api.sec-tunnel.com sitecheck2.opera.com opera-mini.net This GitHub project explains how to utilize the Opera VPN in other apps beyond just the browser, so I was able to take some of the info from there and block them instead.Edit: Added
发布时间:2019-04-15 17:31 | 阅读:14672 | 评论:0 | 标签:无

对最近热销的新型间谍软件Baldr的分析

Malwarebytes安全实验室观察到,在过去几个月的时间里,间谍软件无论是在活动频率上还是出新的数量上都有所增长。间谍软件不像银行木马那样,需要被动等待受害者登录银行网站,它们通常都是“即来即取”模式。也就是说,一旦成功感染目标,它们就能收集所需数据,并立即将其发送给攻击者。而由于间谍软件通常不会在本地留存(没有持久性机制),除非攻击时被发现,否则受害者很难知道他们的信息已经被盗走。这类恶意软件在网络犯罪分子中很流行,使用程度比银行木马更广。间谍软件除了能捕获浏览器历史记录、存储的密码和cookie外,还会寻找可能有价值的文件。我们将在本文中详述Baldr stealer,它于2019年1月首次出现在地下论坛,2月
发布时间:2019-04-15 12:25 | 阅读:17699 | 评论:0 | 标签:Web安全 Baldr

从PHP底层看open_basedir bypass

前言有国外的大佬近日公开了一个php open_basedir bypass的poc,正好最近在看php底层,于是打算分析一下。poc测试首先测试一下:我们用如上源码进行测试,首先设置open_basedir目录为/tmp目录,再尝试用ini_set设置open_basedir则无效果,我们对根目录进行列目录,发现无效,返回bool(false)。我们再尝试一下该国外大佬的poc:发现可以成功列举根目录,bypass open_basedir。那么为什么一系列操作后,就可以重设open_basedir了呢?我们一步一步从头探索。ini_set覆盖问题探索为什么连续使用ini_set不会对open_basedir进行覆盖
发布时间:2019-04-15 12:25 | 阅读:13919 | 评论:0 | 标签:Web安全 PHP

门罗币挖矿+远控木马样本分析

近日,威胁情报小组在对可疑下载类样本进行分析时,发现一起门罗币挖矿+木马的双功能样本。该样本会在执行挖矿的同时,通过C2配置文件,到指定站点下载具有远控功能的样本,获取受害主机信息,并进一步控制受害主机。详细分析过程:样本主体:样本主体文件采用的是360杀软的图标,并且文件描述信息为 “360主动防御服务模块”,诱导用户点击执行。主体在执行时会释放拷贝自身到C:DOCUME~1ADMINI~1LOCALS~1TempSQLAGENTSA.exe,并继续执行。拷贝自身并继续执行SQLAGENTSA.exe 会在本地释放并执行名称为“VBS.vbs”和“AutoRun.vbs”的两个vbs脚本,同时还会联网下载挖
发布时间:2019-04-15 12:25 | 阅读:14527 | 评论:0 | 标签:系统安全

​Stop勒索病毒变种加密机制分析,部分情况下可解密恢复

一、概述近日,腾讯御见威胁情报中心监测到,stop勒索病毒变种(后缀.raldug)在国内有部分感染。分析发现,该版本病毒相比较于18年11月份开始活跃的DATAWAIT版本,在加密算法和病毒模块有了变化,由于该版本的stop勒索病毒在其基础设施工作正常、联网稳定情况下加密后的文件暂无法解密,我们提醒各政企机构注意防范。Stop勒索病毒家族在国内主要通过软件捆绑,垃圾邮件等方式进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档,勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免。Stop勒索病毒还具有以下特性:1. 加密时,禁用任务管
发布时间:2019-04-15 12:25 | 阅读:11647 | 评论:0 | 标签:勒索软件 加密

再度瞄准工控设备基础设施:针对TRITON恶意活动的详细分析

概述FireEye近期确认TRITON恶意活动正在针对一个新的关键基础设施发动攻击,我们目前已经对该恶意行为采取了响应措施。2017年12月,FireEye公开发布了我们针对TRITON攻击的第一次分析,其中恶意攻击者使用TRITON自定义攻击框架,对关键基础设施工厂的工业安全系统发起攻击,并无意中导致生产过程中断。在随后的研究中,我们分析了攻击者是如何获得构建TRITON攻击框架所需的关键组件的访问权限。在我们最近的分析中,我们认为TRITON恶意活动与位于莫斯科的技术研究机构有所关联,这些机构归属俄罗斯政府所有。TRITON的入侵始终笼罩在迷雾之中。安全研究人员已经围绕TRITON框架以及对目标站点的影响进行了一些
发布时间:2019-04-15 12:25 | 阅读:13513 | 评论:0 | 标签:Web安全 TRITON

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩