记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

开启TRIM功能后,如何使用工厂访问模式镜像固态硬盘驱动器(下)

我们紧接上一篇文章继续讲解。贮存池和过载区域固态硬盘的物理容量始终高于开发商所宣传的可用存储量,这是因为大多数现代固态硬盘驱动器占用了其存储容量的5%到10%,但某些型号的硬盘驱动器所占的百分比明显还要高。例如,Crucial(英睿达)释放了具有480 GB存储空间的入门级BX系列固态硬盘驱动器,而其价格较高的MX系列则提供500 GB的容量。两种型号都可能使用了512 GB内部容量(不包括ECC代码和标记,否则物理容量会更高),由于如今的NAND芯片的大小可以任意制定,不一定是2的倍数,所以芯片的实际大小可以是8.7 GB,而不是8 GB。这种差异就是由所谓的保留区的大小造成的,这也就是所谓的过载区域。这些额外的块会
发布时间:2019-02-12 12:20 | 阅读:14894 | 评论:0 | 标签:技术 固态硬盘

新一波Ursnif来袭

Ursnif是一个非常活跃的银行木马,也叫做GOZI,事实上是2014年泄露的Gozi-ISFB银行木马的一个副本。在该变种中,Ursnif使用含有VBA宏代码的武器化的office文档,其中宏代码作为释放器和多阶段混淆Powershell脚本来隐藏真实的payload。除此之外,Ursnif还使用隐写术来隐藏恶意代码并尝试绕过AV的检测。该变种使用QueueUserAPC进程注入技术来注入explorer.exe,因为在目标进程中没有创建远程线程。技术分析初始感染向量是一个excel文件,要求用户启用宏执行来合理查看伪造文档的内容,伪造的一般是发票、订单等等。图1. Ursnif宏文档研究人员对宏代码进行分析,发现恶
发布时间:2019-02-12 12:20 | 阅读:18478 | 评论:0 | 标签:Web安全 银行木马

一个可以在Mac上运行,下载信息窃取软件和广告软件的Windows应用程序

EXE是用于Windows的官方可执行文件格式,仅在Windows平台上运行。默认情况下,试图在Mac或Linux操作系统上运行EXE文件都是不可行的。然而近日,trendmicro在野外发现了一种EXE文件,其恶意payload能够绕过Mac的内置保护机制(比如Gatekeeper),原因是Gatekeeper仅检查本机Mac文件而不会检查EXE文件,因此该EXE文件能轻易绕过编码签名检查和验证的步骤。当前并没有观察达到具体的攻击模式,但我们的遥测数据显示,在英国、澳大利亚、亚美尼亚、卢森堡、南非和美国等国家,感染已经有蔓延开的趋势。表现我们检查的样本是Mac和Windows上流行的防火墙应用程序Little Sni
发布时间:2019-02-12 12:20 | 阅读:14983 | 评论:0 | 标签:Web安全 Mac安全

Google Play中的韩国公交车应用释放恶意软件

迈克菲移动研究团队最近发现一种新的恶意Android应用程序,伪装成由韩国开发人员开发的交通应用程序系列的插件。该系列App为韩国各个地区提供了一连串信息,例如巴士站位置、巴士抵达时间等。该系列共有四个应用程序,其中三个应用程序自2013年起可从Google Play获得,另一个应用发布于2017年左右。目前,四个应用程序都已从Google Play中移除,而伪装插件本身并未上传到商店。在分析伪插件之时,我们也在寻找初始下载器和其他有效载荷 – 我们发现系列中的每个应用程序的一个特定版本(在同一天上传)将恶意软件释放到安装它们的设备上,这也解释了经过5年的发展它们最终被Google Play移除。
发布时间:2019-02-12 00:20 | 阅读:17566 | 评论:0 | 标签:Web安全 恶意软件

在拥有本地服务器权限情况下的组策略安全研究

组策略介绍组策略(Group Policy)是微软Windows NT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。在安全性方面组策略设置是由目标应用程序自愿实施的。在许多情况下,这只是禁止访问特定功能的用户接口。另外,恶意用户可以修改或干扰应用程序,使其不能成功读取组策略设置,从而实行更低或者默认的安全设置。对此,微软发布了一个称之为“高级组策略管理”(Advanced Group Policy Management,AGPM)的工具来更改组策略。此工具可供任何微软桌面优化包授权的组织使用。此高级工具允许服务器检查/签出组策略对
发布时间:2019-02-11 12:20 | 阅读:13199 | 评论:0 | 标签:Web安全 安全研究

GreyEnergy与Zebrocy活动存在交叉

2018年10月,ESET发布了关于GreyEnergy恶意软件的一系列活动分析,认为GreyEnergy是BlackEnergy组织的继任者。BlackEnergy就是乌克兰电厂攻击的背后力量,与BlackEnergy类似,GreyEnergy的攻击目标也主要在乌克兰的工业和ICS目标。Kaspersky Lab ICS CERT研究人员日前发现了GreyEnergy和Sofacy子集“Zebrocy”存在交叉。Zebrocy的目标主要是在中东、欧洲和亚洲地区,主要目标是政府相关的组织。研究人员发现这两个恶意软件活动同时使用了相同的服务器,并且攻击了相同的组织。具体分析如下:详情服务器2018年6月的分析报告显示,Z
发布时间:2019-02-11 12:20 | 阅读:13544 | 评论:0 | 标签:Web安全 GreyEnergy Zebrocy

开启TRIM功能后,如何使用工厂访问模式镜像固态硬盘驱动器(上)

固态硬盘非常奇怪,因为它们在编写数据的方式上很奇怪,甚至在删除信息的方式上更奇怪。在使用条带化磁体技术进行信息记录的硬盘中,人们在删除文件后,里面的内容其实仍然是存在的,直到被覆盖,但固态硬盘却不是这样。它们在处理删除的数据方面和过去的技术有所不同,只要是进行了删除操作,被删除的内容就不会再被恢复。只需开启固态硬盘,它就会启动后台垃圾收集,即使你写入只读隔离程序,它也会删除开启具有trim功能的数据块。Trim的作用在原理对的机械硬盘上,写入数据时,Windows会通知硬盘先将以前的删除,再将新的数据写入到磁盘中。而在删除数据时,Windows只会在此处做个标记,说明这里应该是没有东西了,等到真正要写入数据时再来真正删
发布时间:2019-02-07 12:20 | 阅读:30667 | 评论:0 | 标签:技术 固态硬盘

攻击Tomcat的多种姿势

大家好,本文我想分享一下我的经验,如果你的Tomcat应用设置的是默认登陆凭证时(Tomcat:Tomcat)如何进行利用?当我在打CTF时,很多次我都发现目标主机上的Tomcat应用都是配置的默认登陆凭证,这有助于我们拿到主机的远程shell。因此,我感觉应该记录一下所有攻击Tomcat应用并获取远程主机webshell的方法。目录· Tomcat经过身份验证的上传代码执行· 生成.war格式的后门· Tomcat war部署脚本· 生成JSP webshell首先使用nmap进行扫描,看看8080端口是否运行着Tomcat服务nmap -sV -p8080 192.168.1.101从
发布时间:2019-02-05 12:20 | 阅读:44913 | 评论:0 | 标签:Web安全 系统安全 Tomcat攻击

Jaff勒索软件分析

Jaff勒索软件最初于2017年春季出现,但它在很大程度上被忽视了,因为当时WannaCry是全球新闻机构的头条。从那时起,Jaff勒索软件潜伏在黑暗中,感染全世界的机器。在FortiGuard Labs这篇分析文章中,我们将研究该恶意软件使用的一些常见技术,以及作为勒索软件它是如何感染的。一、入口点与许多勒索软件一样,Jaff勒索软件通常作为pdf附件发送。打开附件后,它会显示一行文档以及一条弹出消息,询问是否要打开嵌入式文件(参见图1)。图1如果选择打开文件,有趣的事情就开始了。之后,它会启动一个嵌入式文档,其中包含有关如何从文档中移除宏保护的说明(参见图2)。文档顶部的黄色条带包含“启用内容”按钮,可以执行文档中
发布时间:2019-02-05 12:20 | 阅读:36531 | 评论:0 | 标签:勒索软件 Jaff

传播GandCrab和Ursnif的攻击活动分析

概要Carbon Black ThreatSight团队研究人员发现一起攻击活动,如果攻击成功,可以同时感染Ursnif恶意软件和GandCrab勒索软件。整个攻击活动使用多种不同的方法,其中包括红队、大量网络犯罪分子常用的技术。攻击活动最开始通过含有word附件的钓鱼邮件,word附件中嵌入了宏文件,研究人员一共发现了180个变种。宏可以调用编码的PowerShell脚本,然后使用一系列技术来下载和执行Ursnif和GandCrab变种。整个攻击活动的攻击链如图1所示:图1: 攻击概览技术分析承载文件攻击活动中攻击者用.doc格式的word文档进行初始阶段传递。研究人员一共发现大约180个word变种,这些文档最大的
发布时间:2019-02-05 12:20 | 阅读:37691 | 评论:0 | 标签:勒索软件 GandCrab Ursnif

谈一谈如何建设体系化的安全运营中心(SOC)

0x00 前言 本文主要是谈谈笔者对于如何建设体系化的安全运营中心(SOC)的一点经验和思考,观点仅代表个人,仅供参考,不具普遍意义。 0x01 什么是SOC SOC, 即Security Operations Center,我们一般称之为安全运营中心,主要是负责企业的入侵检测,应急响应,以及安全监控等,通常我们会笼统地概括成两个方面即Blue Team (Defensive Security)和Red Team (Offensive Security),详见《甲方安全建设的一些思路和思考》,这里不再赘述了。 那么什么样的企业需要SOC呢?笔者认为凡是有安全团队的企业都需要这样的一个团队。唯一的区别在于,企业规模的大小和业务的复杂性决定了SOC的职责范围和其运作方式。举个例子,对于规
发布时间:2019-02-03 17:30 | 阅读:48523 | 评论:0 | 标签:无

享受共享生活是否就一定要打开蓝牙?

在共享单车数量较多的城市,很多人似乎已经习惯了把它们作为出行必备的交通工具,不过在享受便利生活的同时,我们也应注意网络的安全因素。最近,很多小朋友是不是发现了某共享单车的显示图标中,出现了蓝牙标识。这些用蓝牙标记的自行车,就代表只有你必须打开蓝牙。小编我就因为要不要打开蓝牙这件事,而纠结了很久。作为一面网络安全的从业者,我深知蓝牙的安全性是无法保障的,为此,我有时即使选择步行,也不会开蓝牙。不过这也不是个办法,为此,我觉地有必要仔细的弄清楚蓝牙的工作原理和攻击途径。了解蓝牙安全的历史蓝牙是1989年发明的,但是真正开始广泛使用要等到2000年以后。一开始,蓝牙是没有安全协议的,只是把不同的协议简单地拼凑在一起而已,且管
发布时间:2019-02-03 12:20 | 阅读:50708 | 评论:0 | 标签:Web安全 蓝牙

深入了解Emotet多层操作机制

在短短5年的时间里,Emotet已成功演变成目前最臭名昭著的网络威胁之一。据US-CERT称,Emotet的每次现身,都伴随着平均高达100万美元的修复费用。在最近一篇分析Emotet的文章中,我们介绍了Emotet的活动及其两个基础设施的设置,以及在对其跟踪后发现的一些信息:Emotet在去年6月至9月间全球共有721个C&C服务器、8258个独立的URL、5849个文件Dropper和571个可执行样本;并阐述了对Emotet研究的三个主要发现,包括多层操作机制、至少两个平行运作的构架,和Emotet的所在地的大致时区;而这篇后续文章主要关注Emotet的多层操作机制,这也是该恶意软件最值得注意的特性之一。
发布时间:2019-02-03 12:20 | 阅读:50313 | 评论:0 | 标签:Web安全 Emotet

分析用Golang编写的新窃取程序

Golang (Go)是一种相对较新的编程语言,发现其编写的恶意软件并不常见。 然而,用Go编写的新变种正在慢慢出现,这给恶意软件分析人员带来了挑战。 使用这种语言编写的应用程序体积庞大,在调试器下看起来与使用其他语言(如C / C ++)编译的应用程序有很大不同。最近,我们观察到一种新的Zebocry恶意软件变种,用Go编写(详细分析可在此处here获得)。我们在实验室中捕获了另一个用Go编写的恶意软件。这一次,Malwarebytes将Trojan.CryptoStealer.Go视为一个非常简单的窃取程序。本文将详细介绍其功能,同时展示可用于分析Go编写的其他恶意软件的方法和工具。一、分析的样本Malwareby
发布时间:2019-02-03 12:20 | 阅读:45392 | 评论:0 | 标签:技术 Golang

TheMoon僵尸网络最新发展分析

过去一年时间,CenturyLink安全研究人员一直在追踪一个名为TheMoon的IoT僵尸网络。该僵尸网络主要利用网络中路由器的漏洞。从2014年初开始,该僵尸网络不断发展并利用公布的漏洞利用来攻击大量的设备。这些漏洞利用包括Linksys, ASUS, MikroTik, D-Link等厂商生产的大量设备。TheMoon僵尸网络的威胁性在于在感染后可以传播不同功能的恶意模块。研究人员有充足证据相信攻击者出售代理僵尸网络给其他恶意软件攻击者,并用它进行凭证暴力破解、视频广告欺诈、通用流量混淆。TheMoon最早进入人们视野是研究人员发现许多设备在多个主流网站上进行凭证暴力破解攻击。根据被感染设备的IP地址,研究人员发
发布时间:2019-02-03 12:20 | 阅读:43004 | 评论:0 | 标签:Web安全 僵尸网络

如何从PowerShell内存转储中提取执行的脚本内容

前言在我们分析了如何从PowerShell进程转储中提取活动历史记录后,又产生了一个有意思的后续问题:“是否可以提取已经执行的脚本内容(来自磁盘),即使这些文件未被捕获?”答案是肯定的,但这一过程也非常复杂。为了详细讲解这一方法,我们将从侦查开始起步。在我们的研究过程中,很多地方都需要WinDbg协助完成自动化操作,因此我们的第一步就是安装WinDbg模块。要部署我们的实验环境,我们编写了这个简单的脚本,并将其保存在类似于C:temp的位置:打开PowerShell会话,运行脚本,然后创建转储文件。现在,使用WinDbg模块连接到转储文件:Connect-DbgSession -ArgumentList&nb
发布时间:2019-02-01 17:20 | 阅读:55065 | 评论:0 | 标签:技术 Powershell

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

友情链接

微信扫一扫,快速掌握黑客技术⇩