记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

恶意软件检测之Deep Learning分类器

0x00、概述本文主要是和大家介绍一下:1.回顾Machine Learning分类器方法。·特征码提取自动化·数据集介绍·n-gram N如何获取·特征选择·算法评估2.Deep Learning分类器·为什么有Machine Learning还需要Deep Learning。·如何实现Deep Learning的方法。·效果验证。0x01、Machine Learning分类器回顾通常适用的两种主要方法恶意软件检测包括:静态分析和动态分析。我们这里先阐述静态分析。前面的几篇文章都已经阐述了目前静态分析主要是反汇编程序的原始操作码序列,使用N-gram提取特征。这种分类器的优势在于是能够直接从原始数据中自动学习特征,
发布时间:2018-09-27 12:20 | 阅读:18981 | 评论:0 | 标签:业务安全 技术

流计算在态势感知中的应用

0x00、概述2018年可以说是态势感知产品爆发性增长的一年,站在安全风口上要飞的节奏。从最开始的网络入侵检测系统, SIEM,SOC,到态势感知,产品的形态和功能有质的飞越,但是目前还面临着很多基础性的问题,例如:原始事件产生原子的告警事件,多个原子的告警事件产生一个攻击链威胁这个过程中,伴随着网络和终端的海量数据传输到大数据后台,带来和很大的传输网络的压力,传统的态势感知产品处理方法有些捉襟见肘(秒级处理)。这时候就要引进流处理的概念,在海量数据还没传输到后端之前要尽可能贴近原始日志产生源快速处理产生有价值的事件后(毫秒级处理),再把事件传输到大数据后台做准实时的关联分析(秒/分钟级)。0x01、实现手段1、流计算
发布时间:2018-09-26 12:20 | 阅读:15483 | 评论:0 | 标签:业务安全 技术 AI 态势感知 机器学习

安天发布针对工控恶意代码TRISIS的技术分析

1、概述2017年8月,安天安全研究与应急处理中心(安天CERT)基于综合情报研判,将针对工业控制系统的恶意代码TRISIS(又名TRITON、HATMAN)列为需要重点分析关注的威胁,并将其命名为“海渊”。该恶意代码在 中东某石油天然气厂的工业控制系统中被国外安全研究人员发现,根据各方信息判断,由于攻击者准备不充分,尚未对人员及财产造成重大损失。“海渊”(TRISIS)的目标为施耐德电气公司的安全仪表系统,通过植入固件更改最终控制元件的逻辑以达到攻击目的。其 通过Tricon安全仪表系统所使用的TriStation通信协议进行攻击,因此运行此协议的所有安全控制器都可能受到影响。“海渊”(TRISIS)所攻击的目标是工
发布时间:2018-09-12 12:20 | 阅读:22957 | 评论:0 | 标签:业务安全

ML&AI如何在云态势感知产品中落地

0x01、云态势感知如何集成针对网络犯罪来说,速度是制胜法宝,在暗网中发布的恶意软件平均9分钟,有企业被发布的恶意程序攻击,平均只需要四个小时窃取其目标的财务信息,敲诈资金或造成广泛的破坏。全球范围内的杀软大厂统计的数据,检测到并阻止的所有恶意软件文件中大约有96%仅在一台计算机上被观察到一次,表明现代攻击的多态性和针对性以及威胁格局的碎片化状态。实时停止新的恶意软件比以往任何时候都更加重要。大量研究已经研究了用于分析和检测恶意软件的方法。传统的态势感知产品中通常依赖于基于签名的方法,该方法需要本地签名数据库来存储专家从恶意软件中提取的模式。但是,这种方法有很大的局限性,因为对恶意软件的特定微小更改可能会改变签名,因此
发布时间:2018-08-16 17:20 | 阅读:29719 | 评论:0 | 标签:业务安全 技术 态势感知

深入解读社会工程攻击

假设你现在身处这样一个情景中:一个端着热咖啡托盘的人站在门前,因为要尽力维持平衡,她似乎无法将她的门卡放在读卡器附近,那么你该不该主动让她进来呢?这确实是一件值得深思的事情。从礼貌上来说,帮助他人是一个非常绅士的行为,但是从安全上来说,开门,即打开了限制。你该让她进来吗?如果她真的只是无法腾出手来取出她的门卡,那么答案显然是肯定的。但是,如果还有其他事情发生怎么办?当某人扮演着一个女人的角色——她的面容和表情让你心生怜爱,并且来寻求你的帮助,你深思熟虑的姿态就会突然变得危险起来。现在,你已经让她更容易进入她本身无法访问或无权访问的受限制设施,而她,会让你变成社会工程的受害者。社会工程是IT专业人士和网络安全专家经常会提
发布时间:2018-08-13 12:20 | 阅读:41292 | 评论:0 | 标签:Web安全 业务安全 数据库安全 系统安全 安全

三大基地停产,78亿损失!制造业安全建设刻不容缓

小安全问题引发大生产事故。制造业安全建设不容忽视!8月3日,台湾一知名芯片代工厂三大核心基地遭遇勒索病毒攻击,导致生产线全线停摆,预估损失78亿元,损失极其惨重,一时间震惊整个制造业!不仅如此,不久前《纽约时报》刚报道了一起重大的制造业数据泄漏事件,100多家厂商的近4.7万件敏感文件泄漏。文件共计157GB,包含装配线和工厂原理图、员工个人隐私信息、保密协议和机器人的配置、规格、演示动画等。为什么近期制造业安全事件频发?一方面,制造业正成为黑客攻击新的重点目标。天下熙熙皆为利来。制造业业务系统承载着极高的价值。攻击者发起网络攻击可以直接影响控制系统的正常运行,例如可以直接对某些工控设备发送指令导致设备关机或参数修改,
发布时间:2018-08-10 00:20 | 阅读:33772 | 评论:0 | 标签:业务安全

供应链攻击可能将成为未来三年内最大的网络威胁之一

虽然在近期调查中近80%的受访者认为软件供应链攻击有可能成为未来三年内最大的网络威胁之一,但很少有机构准备降低风险。企业每年因修复这些类型的攻击而损失数百万美元。CrowdStrike的全球SupplyChain对1300名高级IT决策者进行了调查。调查发现,在过去的12个月中,有三分之二的被调查机构遭遇过软件供应链攻击,如下图所示:更糟糕的是,遭受软件供应链攻击的绝大多数(87%)机构拥有完整的策略,或者在攻击时预先计划了一定程度的响应。而事实证明这是无效的:平均来说,几乎所有接受调查国家的受访者都需要近63个小时来检测和修复攻击:影响很大:90%的受访者确认他们因经历软件供应链攻击而导致财产损失。攻击的平均成本超过
发布时间:2018-07-27 12:21 | 阅读:35741 | 评论:0 | 标签:业务安全 供应链

GPS欺骗攻击:新算法可根据实时路况修改路线

研究人员提出一种实施GPS欺骗攻击的方法,该方法还将公路布局纳入考虑范围中。为了能成功地执行攻击,研究人员开发出一种新的实时算法,对应的便携时GPS欺骗设备的成本约为223美元,可以安装在汽车上,也可以安装在其他汽车上,只要与目标汽车的距离保持在50米以内就可以。GPS欺骗攻击民用GPS易收到欺骗攻击,GPS欺骗攻击有两个关键步骤,一是攻击者会诱使受害者GPS接受器从合法信号转移到欺骗信号,这一阶段可以是暴力破解的,也可以是静默执行的;而是攻击者可以修改GPS接受器的信号到达时间或修改导航信息。静默攻击算法攻击算法可以分为基本攻击算法和迭代攻击算法。在基本攻击中,攻击者只将GPS位置信号从Loca变为Locg。文中,研
发布时间:2018-07-17 12:20 | 阅读:41345 | 评论:0 | 标签:业务安全 GPS

CVE-2018-5002 – 2018年第二波Flash零日漏洞在野攻击分析预警

背景2018年6月1日,360核心安全高级威胁应对团队在全球范围内率先捕获了新的一起使用Flash 零日漏洞的在野攻击,黑客精心构造了一个从远程加载Flash漏洞的Office文档,打开文档后所有的漏洞利用代码和恶意荷载均通过远程的服务器下发,此次攻击主要针对中东地区。该漏洞目前影响Adobe Flash Player 29.0.0.171及其以下版本,是今年出现的第二波Flash零日漏洞在野攻击。相关漏洞文件分析该样本具有比较诱惑性的文件名***salary.xlsx,其内容也与标题符合,为各个时间阶段的工资,语言采用阿拉伯语。***salary.xlsx(MD5: ******517277fb0dbb4bbf724
发布时间:2018-06-08 00:20 | 阅读:67060 | 评论:0 | 标签:业务安全 二进制安全 漏洞 Adobe Flash

EOS节点远程代码执行漏洞 — EOS智能合约WASM函数表数组越界

漏洞报告者Yuki Chen of Qihoo 360 Vulcan TeamZhiniang Peng of Qihoo 360 Core Security漏洞描述我们发现了EOS区块链系统在解析智能合约WASM文件时的一个越界写缓冲区溢出漏洞,并验证了该漏洞的完整攻击链。使用该漏洞,攻击者可以上传恶意的智能合约至节点服务器,在节点服务器解析恶意合约后,攻击者就能够在节点服务器上执行任意代码并完全控制服务器。在控制节点服务器后,攻击者可以将恶意合约打包进新的区块,进而攻击和控制其他新的节点,最终攻击和控制整个EOS网络。漏洞报告时间线2018-5-11         
发布时间:2018-05-30 12:20 | 阅读:60190 | 评论:0 | 标签:业务安全 技术 漏洞 EOS

数据分析与机器学习如何为业务安全赋能?

阅读: 59目前传统的安全检测、防护类设备针对业务应用安全基本上没有防护效果。数据分析与机器学习为业务安全问题提供了一个有效的解决方案。基于业务的历史数据,通过统计分析与机器学习的方法学习出业务的历史特征,结合专家知识形成业务特征的基线。根据基线来检测业务行为是否存在异常。本文给出了几个通过数据分析和机器学习的方法检测业务系统中异常的具体案例:web业务安全、物联网卡业务安全、变电站业务安全。随着高级持续性威胁(APT)攻击的泛滥以及内部人员威胁的增加,针对企业业务系统的安全威胁日益增多。当前,一般企业的安全检测类产品有操作系统(OS)漏扫、Web漏扫、数据库(DB)漏扫等,但这些设备都不能发现客户自开发应用的安全问题、业务逻辑方面的安全问题。同时,目前部署的入侵检测系统(IDS)等检测类设备由于是基于特征库或
发布时间:2018-05-09 15:05 | 阅读:51749 | 评论:0 | 标签:技术前沿 业务安全 数据分析 机器学习

实战公有云威胁情报系统构建

0x00  前言公网威胁情报系统无论是传统的售卖安全设备的厂商还是卖服务的云安全厂商都需自建的一套有价值的系统。归纳总结一下各位安全厂商的威胁情报收集途径·爬虫系统·蜜罐+沙箱·部署的设备在没有更多IDC的资源情况下(cert国际出口等),如何形成自己的情报收集架构体系呢?0x01  威胁情报收集单元详细设计架构拓扑归纳威胁情报单元需要集成的公共安全组件后台分析&发布平台0x02  技术实现1、蜜罐部署·ssh蜜罐cowrie搭建网上很多教程(忽略)。目的是把来至ssh自动化攻击的payload drop sample存储下来,为沙箱分析做准备。·安装logstashrpm&nbs
发布时间:2018-05-03 12:20 | 阅读:71603 | 评论:0 | 标签:业务安全 技术 威胁情报

TrickBot银行木马获取Screenlocker组件

TrickBot木马是目前最为活跃的银行类恶意软件家族,几乎每隔一段时间都会出现新的变种,非常与时俱进,从最初单纯的针对银行的攻击,到去年的窃取加密货币。总之一句话,只要能获利的地方,都有它的身影。最新版本的TrickBot银行木马为了攫取更多利益,通过加入“锁屏(screenlocker)”组件又新增了一个勒索功能。也就是说,TrickBot的攻击目标已不再是针对网络电子银行用户,只要是感染了这个最新版本的TrickBot,那用户的屏幕就会被锁定。这就和勒索软件一样了,如果要想继续使用该设备,就得向攻击者缴纳赎金。锁屏功能的实现过程不过根据研究人员的分析,目前TrickBot新加入的这个“锁屏(screenlocke
发布时间:2018-04-02 12:20 | 阅读:51246 | 评论:0 | 标签:业务安全 银行木马

IoT终端防护: IP摄像头数据流保护方案

近年来,有报道称黑客入侵家用网络中的IP摄像头并传播用户的隐私视频。联网的IP摄像头让用户可以远程地实时接收数据流,监控宠物、孩子以及监测房屋入侵状态等。但是,当用户远程使用IP摄像头时,黑客也可能控制IP摄像头并窃取IP摄像头视频流包,如图1所示。图2是用户通过手机远程查看家中IP摄像头中视频流的详细数据流图。其中,重放服务器是IP摄像头制造商提供的。我们关注的中是图中红色标注的三个问题。首先,因为服务器有IP摄像头的信息,第三方可以通过服务器查看IP摄像头的数据流。第二,IP摄像头的数据流和IP摄像头应用的包是不加密的,所以容易被嗅探。第三,攻击者利用IP摄像头的安全漏洞,可以绕过认证或授权,来查看数据流中的图片。
发布时间:2018-03-21 12:20 | 阅读:47099 | 评论:0 | 标签:业务安全 IoT设备

评估网络犯罪规模的7大关键数据

2018年即将走完第一个季度,说到“一个季度结束”最先出现在你脑海中的关键词是什么呢?没错,一看您就是深得领导欢心的好员工,就是“季度总结报告”没错啦!那么,如果现在领导让您总结评估2018年网络犯罪的规模和水平,您可以参考的专业级安全报告有哪些呢?它们又分别提供了哪些极具价值和参考性的网络安全数据、威胁景观遥测数据以及网络安全行业面临的主要防御问题等信息呢?别急,小编这就为您一一揭晓:1. 整体恶意软件量增加了11倍 根据思科最新发布的《2018年度网络安全报告》指出,去年整体恶意软件量增加了11倍。报告指出:“防御者难以克服与攻击者对抗的混乱局面,并真正地识别和理解威胁环境中发生事情的一个原因是,他们面对
发布时间:2018-03-19 17:20 | 阅读:65266 | 评论:0 | 标签:Web安全 业务安全

如何优化公有云DDoS基础防护算法

目前各个公有云厂商都会在自己的控制台上集成DDoS基础防护产品,根据竞品调研,目前在算法方面做优化最多的是阿里云,今天想和大家聊聊如何根据获取到的攻击数据,来动态分配防御资源。
发布时间:2018-02-15 17:20 | 阅读:147607 | 评论:0 | 标签:业务安全 ddos

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云