记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

对云计算的巨大威胁:Rocke恶意组织调查报告

执行摘要Unit 42团队用了六个月的时间研究了位于中国的网络犯罪集团Rocke,该恶意组织是针对云计算领域最著名的威胁行为者。在我们最近发布的云威胁报告中,发布了对Rocke的调查结果。该研究报告深入分析了我们针对Rocke的调查结果,发现该恶意组织可以在几乎没有干扰和有限检测风险的情况下开展业务。通过对2018年12月至2019年6月16日的NetFlow数据进行分析,我们发现在分析的云环境中,有28.1%至少存在一个完全建立的网络连接,至少有一个已知的Rocke命令和控制(C2)域。其中一些组织,几乎与攻击者保持着每日的通信联系。与此同时,有20%的组织保持每小时的心跳连接,该特征与Rocke的战术、技术和程序(
发布时间:2019-08-15 13:05 | 阅读:8663 | 评论:0 | 标签:业务安全 Rocke

CVE-2019-11229详细分析 –git config可控-RCE

作者:LoRexxar'@知道创宇404实验室2019年4月15号,gitea曾爆出过一个漏洞,恰逢当时对这个漏洞比较好奇就着手去研究了一下,漏洞的描述是这样的:models/repo_mirror.go in Gitea before 1.7.6 and 1.8.x before 1.8-RC3 mishandles mirror repo URL settings, leading to remote code execution.在和朋友@hammer的一同研究下,成功控制了git config的内容,但是在从git config到RCE的过程遇到了困难,就暂时搁置了,在过了几个月之后,偶然得到@Lz1y
发布时间:2019-07-25 17:25 | 阅读:29876 | 评论:0 | 标签:业务安全 git

实战化威胁猎杀,让威胁无处遁形——“美向俄电网植入恶意代码”等有关报道带来的启示

1、背景2019年6月16日,美国《纽约时报》爆料称,美政府官员承认,早在2012年就已在俄罗斯电网中植入病毒程序,可随时发起网络攻击[1]。报道随即引发相关国家的高度关注和国际舆论的广泛猜测。尽管美国总统特朗普第一时间否认了《纽约时报》的报道,但世界仍普遍担忧网络冷战甚至热战距离人类越来越近。俄方对此表示,“美国设想对俄发动网络战”的可能性是存在的。据《纽约时报》报道,美方瞄上俄电力系统,是因为“美国网络司令部研究了俄方在2020年美总统选举期间切断选举关键州供电的可能性,并认为美方需有相应的遏制办法”。俄战略规划与预测研究所所长古谢夫则表示,美方(向俄方电力系统)植入恶意代码与“保护2020年美国总统选举”毫无关系
发布时间:2019-07-19 00:25 | 阅读:28084 | 评论:0 | 标签:业务安全 恶意攻击

你的家庭尽在黑客掌握:Orvibo智能家居设备泄露数十亿用户记录

概述近日,vpnMentor的研究团队发现Orvibo的用户数据库发生了数据泄露。由Noam Rotem和Ran Locar领导的网络安全研究团队发现了一个与Orvibo智能家居产品相关的开放式数据库。该数据库中包含超过20亿条日志,记录了包括用户名、电子邮件地址、密码、精确定位在内的所有内容。只要数据库保持打开状态,每天可用的数据量就会不断增加。Orvibo声称他们拥有大约一百万名用户,其中包括使用Orvibo智能家居设备的家庭、酒店和商业环境。该数据库的泄露,构成了对用户隐私和安全的巨大威胁,具有深远的影响。数据泄露事件将影响来自世界各地的用户,我们在日志中看到了来自中国、日本、泰国、美国、英国、墨西哥、法国、澳大
发布时间:2019-07-03 12:25 | 阅读:22375 | 评论:0 | 标签:业务安全 智能家居

区块链为汽车行业谱写新篇章

区块链技术已经为金融服务和供应链行业带来了翻天覆地的变化,那么对于汽车行业,它又将有何建树呢?时至今日,我想您一定已经阅读过数百篇关于“什么是区块链及其优点”的文章,所以,话不多说,直奔主题,让我们一起探讨一下区块链技术可以为汽车行业带来哪些变革?自汽车问世以来,汽车行业始终走在践行先进技术的前列,但是这种技术变革的步伐实在太快,以致于全球汽车原始设备制造商(OEM)很难与之保持同步。毫无疑问,汽车行业正在发生变化,而区块链一直是所有厂商关注的新生儿。在过去一年左右的时间里,汽车行业的利益相关者一直在研究如何将区块链技术应用于企业业务中,并正在期待正式启动这一重大变革。据Frost & Sullivan称,到2
发布时间:2019-06-13 12:25 | 阅读:25291 | 评论:0 | 标签:业务安全 区块链

深入分析针对医疗健康行业的复杂威胁

前言目前,医疗健康行业越来越受到公众的关注,但不得不指出的是,该行业目前仍然处在一个值得关注的危急状态。尽管有许多医疗保健组织逐渐致力于完善网络安全和隐私保护,并已经取得了一些积极的进展,但从整体来看,仍然由很长的路要走。在2018年,与其他行业相比,医疗健康行业的数据泄漏事件数量最多。该数据是根据BakerHostetler的2019年数据安全事件响应报告得出的,该报告已经连续发布了5年。根据行业内部人士的消息,即使在今天,黑帽黑客也仍然在持续追踪患者的医疗健康数据,因此这类泄漏事件的整体趋势只会加剧。HIPAA期刊是一个致力于报道与HIPAA相关新闻的网站,该媒体在2019年1月至3月期间,至少每天发现了一起泄密事
发布时间:2019-06-03 12:25 | 阅读:26476 | 评论:0 | 标签:业务安全 健康行业

如何利用Slack客户端漏洞窃取Slack用户下载的所有文件

前言在本文中,我们将主要讨论一个值得关注的功能滥用问题,通过该漏洞,攻击者可以窃取甚至控制Slack用户使用Windows环境的Slack桌面应用程序的下载内容。根据我们的协调披露政策,已经通过HackerOne平台向Slack报告了这一漏洞,并且Slack已经在其最新更新v3.4.0中修复了该漏洞。这一漏洞可能允许远程攻击者在Slack频道中提交精心伪造的链接,一旦受害者点击该链接,那么就会将Slack客户端的下载位置更改为攻击者控制的SMB共享。这样一来,受害者此后下载的所有文档可能都会最终上传到攻击者控制的文件服务器上,直到受害者发现这一配置信息被篡改,并手动修改回来为止。在攻击者的服务器上,攻击者不仅可以窃取文
发布时间:2019-05-30 12:25 | 阅读:41172 | 评论:0 | 标签:业务安全 Slack 漏洞

聚焦Trickbot:借助合法的Google重定向URL实现恶意活动

概述近期,我们通过垃圾邮件中的重定向URL,发现了Trickbot银行木马的一个变种(Trend Micro检测为TrojanSpy.Win32.TRICKBOT.THDEAI)。根据我们的监测,该变种利用Google,从URL hxxps://google[.]dm:443/url?q=<trickbot downloader>重定向,其中查询字符串中的URL url?q=<url>是将用户重定向到的恶意URL。重定向URL是一种有效的逃避方法,旨在防止垃圾邮件过滤器阻止包含恶意URL的Trickbot垃圾邮件。详细分析大体看来,垃圾邮件可以通过合法的方式正常传递,甚至可以在其中添加社交媒体图
发布时间:2019-05-23 12:25 | 阅读:35418 | 评论:0 | 标签:业务安全 Trickbot

公有云容器安全

0x00、前言IT技术在不断的进步,从虚拟主机技术出现后,我们可以方便快捷的在公有云上建立自己的生产环境,大大提升生产环境部署效率,记得以前一个做游戏的兄弟说,以前做一款游戏,生产环境部署,从服务器采购到真正上线最短也要1~2个月。而使用公有云虚拟机搭建也许1~2周就搞定。那么容器技术的出现,又进一步提升了开发上线的速度,也许你在公有云上搞定以上事情也就1~2天。在方便快捷的同时容器的使用量也在逐年攀升,经调查,公有云大约有40%用户正在使用容器技术,那么,容器安全你准备好了么?0x01、深入研究在开始讨论容器安全问题之前,我们先要搞清楚:为啥现有的安全解决方案解决不了docker安全问题?先从应急响应的角度上分析,整
发布时间:2019-05-13 12:25 | 阅读:36954 | 评论:0 | 标签:业务安全 公有云

导致数据库凭据泄露:详细分析Jenkins Swarm、Ansible、GitLab插件信息泄露漏洞(CVE-2019-10309/10300/10310)

一、概述Jenkins是一个用Java编写的开源自动化服务器。借助一些插件,可以将Jenkins与其他软件集成,例如GitLab。5月7日,Cisco Talos团队公开了其中三个插件的漏洞,这三个插件分别是Swarm、Ansible和GitLab。这些插件中的漏洞均属于信息泄露类型,攻击者借助这些漏洞,可能欺骗上述插件,将Jenkins数据库中的凭据泄露至攻击者控制的服务器。根据我们的协调漏洞披露政策,Cisco Talos与Jenkins及相关公司进行了合作,以确保这些问题得以彻底解决,并为受影响的客户提供更新。二、Jenkins Swarm插件XXE信息泄露漏洞(CVE-2019-10309)在Jenkins自组
发布时间:2019-05-08 12:25 | 阅读:54705 | 评论:0 | 标签:业务安全 漏洞 Ansible GitLab Jenkins Swarm

最新WebLogic远程代码执行漏洞在野利用分析:传播勒索软件、挖矿和发动DDoS攻击(CVE-2019-2725)

一、概述2019年4月26日,Oracle发布官方公告,修复CVE-2019-2725漏洞。该漏洞属于Oracle WebLogic Server中的反序列化漏洞,可导致远程代码执行。这个漏洞无需进行身份验证即可远程利用,因此攻击者可以在不需要掌握用户名和密码的前提下,通过网络实现对漏洞主机的远程代码执行。4月30日,Cisco Talos团队和Unit 42团队同时发布文章,监测到补丁发布前针对该漏洞的在野0-day漏洞利用。Cisco Talos团队主要发现Sodinokibi勒索软件利用该漏洞实现攻击,而Unit 42团队则发现Muhstik僵尸网络利用该漏洞进行加密货币挖掘和DDoS攻击。由于两份报告存在相似之
发布时间:2019-05-07 12:25 | 阅读:68760 | 评论:0 | 标签:业务安全 漏洞 CVE-2019-2725 ddos

Inpivx服务:让任何人都可以从零开始开发恶意软件

最近网络犯罪分子发布了一个新的服务Inpivx,该服务为客户提供了一个管理面板,通过管理面板,客户可以从零开始开发和管理恶意软件。这项新的服务可以让任何懂点计算机的人都能够轻易的创建勒索软件,加密所有文件,还包括解密器。目前,该服务在Tor暗网上进行推广,此套餐服务售价为500刀。这个管理面板是用C++编写的,支持Windows xp到Windows10。一位Inpivx成员告诉BleepingComputer,勒索软件和管理面板是绑定在一起的,而且客户端能够根据客户需求调节勒索软件代码,同时,他们还提供了自定义勒索软件的教程。这个供应链服务控制面板还包括聊天支持,轻量级和响应式,扁平快速设计。一旦恶意软件在受害者主机
发布时间:2019-04-25 12:25 | 阅读:38156 | 评论:0 | 标签:业务安全 ransomware

利用ASLR薄弱点:Chrome沙箱逃逸漏洞分析

概述我们在Chrome中,发现了一系列可能存在的沙箱逃逸漏洞。在此之后,我们认为可以将这些漏洞中的一个与渲染器存在的漏洞共同利用,形成一条完整的漏洞利用链,同时也能够让我们更好地理解现代Chrome漏洞利用所需的机制。考虑到全部可用的漏洞,最有可能被利用的是Issue 1755,这一Use-After-Free漏洞与经典的JavaScript引擎回调漏洞相似。目前看来,这是一个很好的候选者,因为攻击者对free’d对象的生命周期,以及随后使用对象的时间都具有高级别的控制。针对关于Mojo IPC机制如何运作的细节,我们没有详细进行分析,在这里先提前向各位读者表示抱歉。在未来,我们会发表一些博客文章,更加详细地解释当前C
发布时间:2019-04-17 12:25 | 阅读:60357 | 评论:0 | 标签:业务安全 系统安全 Chrome 漏洞

你看到的癌症分析结果可能是一份假的分析报告

研究人员发现,恶意软件可以向CT扫描结果中注入假的癌症特征或删除已存在的癌症特征。当前,信息系统已成为医院各部门业务开展的必备工具,是实现医院现代化运营的重要手段。但若信息安全出现问题,小则影响医院业务开展甚至停摆,大则影响社会安定。医院信息安全主要包括设备安全、网络安全、数据安全及行为安全。如中心机房服务器、存储器、交换机等设备安全,医院内部网络及互联网接入安全,各科室终端安全(如开机密码保护、文档资料、USB接入等安全)信息系统中患者病历数据、个人隐私安全等,甚至包括个人的科研成果、项目文档、银行及支付账户安全等。最近,来自以色列本•古里安大学网络安全研究中心的两位研究人员正在展示的一种恶意软件不仅可以改变CT扫描
发布时间:2019-04-11 12:25 | 阅读:41114 | 评论:0 | 标签:业务安全 癌症分析

SOC第三防御阶段–了解企业资产

在第一阶段中,我们讲解了基本的防御机制,建议每个企业和机构都应该做到这一点。在第二阶段中,我们讲解了对所遇到的现代恶意软件行为的理解及其重要性。今天,我们进入第三阶段,我们将讲解理解企业资产的重要性,以提供更好的安全防护。大部分攻击者,都是基于他们在企业资产中找到的漏洞来创建不同的恶意软件和编写脚本工具的。然后,他们针对企业攻击面发起攻击。攻击面是发起攻击的地方,可能是资产,或者路径,或者是连接点。所以,攻击者肯定会研究你的企业资产,然后选择一个最佳攻击路线。同样,SOC团队也必须学习企业资产,知道资产的位置。按理来说,SOC团队必须知道设备的部署位置,连接方式,共有多少网络区域,了解整个网络路由和映射,设备如何进行托
发布时间:2019-03-15 12:20 | 阅读:58525 | 评论:0 | 标签:业务安全 SOC防御 企业资产

聚焦凭据窃取:针对房地产代理商的新型网络钓鱼活动分析

近一段时间,持续有攻击者滥用多个房地产特许经营品牌,针对房地产经纪人发起网络钓鱼活动,旨在获取他们的电子邮件凭据。尽管这并非是首次以房地产行业为目标发动攻击,但本文重点描述了攻击者所使用的深入战术、技术和流程(TTP)。作为防御者,可以使用PDF诱饵和凭据收集网站中使用的TTP和图像作为态势感知的情报,以抵御此类攻击。一、概述针对房地产行业,进行凭据窃取或电子汇款诈骗并不是新的攻击方式,因为在2018年,在FBI的公众服务报告中,强调了此类活动的增长趋势:“根据受害者投诉的数据,目前针对房地产行业的BEC/EAC诈骗案件正在上升。从2015年到2017年,上报的BEC/EAC受害者数量增长1100%,上报的经济损失数量
发布时间:2019-03-14 12:20 | 阅读:59971 | 评论:0 | 标签:业务安全 网络钓鱼

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云