记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

从零开始学威胁狩猎:手把手教你用 Jupyter Notebook 分析安全事件(一)

当涉及到威胁检测,有多少次你听到有人说: “答案就在我的头脑中,如果你有任何问题,只问我就够了! ” 或者“只有 TA 或者他们知道怎么做! ” ,像这样的情况有很多次,不是吗? 没有对如何分析数据以检测网络中潜在的入侵的过程作记录、标准化或与人分享的问题要比你想象的更常见,特别是从技术和专业知识的角度来看当团队变得非常多样化的时候。 它不仅会影响你的检测策略,还会影响你的团队的动态。现在,有多少次你想过用一种更有效、更直观或更有创造性的方法来分析你的组织收集的安全事件,但是你会因为只能使用一个语言相关的搜索栏而感到有局限性?这篇文章是本系列文章的一部分,这个系列文章将介绍如何利用 Jupyter Notebook 以
发布时间:2019-10-23 13:10 | 阅读:718 | 评论:0 | 标签:业务安全 系统安全 Jupyter Notebook

浅谈企业 DevSecOps 实践:基本原则

Devops 是一个操作框架,通过自动化来促进软件的一致性和标准化。 通过打破不同开发团队之间的障碍,同时通过优先考虑使软件开发更快更容易的事情,该框架帮助解决了围绕集成、测试、修补和部署的许多噩梦般的开发问题。DevSecOps是将安全团队和安全工具直接集成到软件开发生命周期中,利用 DevOps 的自动化和效率,确保每个构建周期都进行应用程序安全测试。 这促进了安全性、一致性,并确保安全性与其他质量指标或特性同样重要。 自动化的安全性测试,就像自动化的应用程序构建和部署一样,必须与基础设施的其余部分一起组装。但这就是问题所在。 软件开发人员传统上并不支持安全性。 这并不是因为他们不关心安全问题,而是因为他们被激励着
发布时间:2019-10-17 13:10 | 阅读:3797 | 评论:0 | 标签:Web安全 业务安全 安全工具 系统安全 DevSecOps

态势感知之攻击链分析

0x00、前言在公有云部署游戏业务是目前App游戏上线的主要运营模式,因为App游戏运营图的就是快,有价值的App上线一周就能看出未来盈利趋势。竞争对手就会紧盯对方安全问题,最简单最直接的就是DDoS攻击,但是伴随着黑客团队的技术水平的提高,通过入侵的方式干掉竞争对手也是一个不错的选择。但是我们反观一下云租户的现状:手游厂商也不太重视安全投入,以为使用免费的安全解决方案就能解决问题,收费的产品就买一个高防IP就完事,等到出事的时候就后悔莫及。决策者安全意识不强。其次100台vm(4core/16G/4m)+10个RDS(2core/8G/500G)一个月费用:7万多,10%投入:7000,买100点态势感知应该够,租户
发布时间:2019-08-19 13:10 | 阅读:19726 | 评论:0 | 标签:业务安全 公有云

Cobalt恶意组织针对某银行的完整攻击链分析

概述Cobalt恶意组织是一个针对财务发起攻击的网络犯罪组织,自2016年以来一直活跃。该恶意组织主要对银行发动攻击,试图访问银行的内部网络并接管敏感组件,例如ATM控制服务器或银行卡处理系统。尽管欧洲刑警组织在2018年逮捕了Cobalt恶意组织的领导人,但该恶意组织仍然活跃至今。Check Point Research最近发现了Cobalt组织的一次恶意活动,这次恶意活动是以哈萨克斯坦的一家银行为目标,精心制作了一个带有该银行标识的恶意文件,具有较强的迷惑性。不仅如此,该文件本身可以从银行的官方网站下载到,这样就更增加了文件的迷惑性,使潜在受害者不会认为这是一个可疑的文件。在本篇文章中,我们将对此次攻击的完整感染链
发布时间:2019-08-19 13:10 | 阅读:19096 | 评论:0 | 标签:业务安全 Cobalt

对云计算的巨大威胁:Rocke恶意组织调查报告

执行摘要Unit 42团队用了六个月的时间研究了位于中国的网络犯罪集团Rocke,该恶意组织是针对云计算领域最著名的威胁行为者。在我们最近发布的云威胁报告中,发布了对Rocke的调查结果。该研究报告深入分析了我们针对Rocke的调查结果,发现该恶意组织可以在几乎没有干扰和有限检测风险的情况下开展业务。通过对2018年12月至2019年6月16日的NetFlow数据进行分析,我们发现在分析的云环境中,有28.1%至少存在一个完全建立的网络连接,至少有一个已知的Rocke命令和控制(C2)域。其中一些组织,几乎与攻击者保持着每日的通信联系。与此同时,有20%的组织保持每小时的心跳连接,该特征与Rocke的战术、技术和程序(
发布时间:2019-08-15 13:05 | 阅读:24659 | 评论:0 | 标签:业务安全 Rocke

CVE-2019-11229详细分析 –git config可控-RCE

作者:LoRexxar'@知道创宇404实验室2019年4月15号,gitea曾爆出过一个漏洞,恰逢当时对这个漏洞比较好奇就着手去研究了一下,漏洞的描述是这样的:models/repo_mirror.go in Gitea before 1.7.6 and 1.8.x before 1.8-RC3 mishandles mirror repo URL settings, leading to remote code execution.在和朋友@hammer的一同研究下,成功控制了git config的内容,但是在从git config到RCE的过程遇到了困难,就暂时搁置了,在过了几个月之后,偶然得到@Lz1y
发布时间:2019-07-25 17:25 | 阅读:40704 | 评论:0 | 标签:业务安全 git

实战化威胁猎杀,让威胁无处遁形——“美向俄电网植入恶意代码”等有关报道带来的启示

1、背景2019年6月16日,美国《纽约时报》爆料称,美政府官员承认,早在2012年就已在俄罗斯电网中植入病毒程序,可随时发起网络攻击[1]。报道随即引发相关国家的高度关注和国际舆论的广泛猜测。尽管美国总统特朗普第一时间否认了《纽约时报》的报道,但世界仍普遍担忧网络冷战甚至热战距离人类越来越近。俄方对此表示,“美国设想对俄发动网络战”的可能性是存在的。据《纽约时报》报道,美方瞄上俄电力系统,是因为“美国网络司令部研究了俄方在2020年美总统选举期间切断选举关键州供电的可能性,并认为美方需有相应的遏制办法”。俄战略规划与预测研究所所长古谢夫则表示,美方(向俄方电力系统)植入恶意代码与“保护2020年美国总统选举”毫无关系
发布时间:2019-07-19 00:25 | 阅读:37176 | 评论:0 | 标签:业务安全 恶意攻击

你的家庭尽在黑客掌握:Orvibo智能家居设备泄露数十亿用户记录

概述近日,vpnMentor的研究团队发现Orvibo的用户数据库发生了数据泄露。由Noam Rotem和Ran Locar领导的网络安全研究团队发现了一个与Orvibo智能家居产品相关的开放式数据库。该数据库中包含超过20亿条日志,记录了包括用户名、电子邮件地址、密码、精确定位在内的所有内容。只要数据库保持打开状态,每天可用的数据量就会不断增加。Orvibo声称他们拥有大约一百万名用户,其中包括使用Orvibo智能家居设备的家庭、酒店和商业环境。该数据库的泄露,构成了对用户隐私和安全的巨大威胁,具有深远的影响。数据泄露事件将影响来自世界各地的用户,我们在日志中看到了来自中国、日本、泰国、美国、英国、墨西哥、法国、澳大
发布时间:2019-07-03 12:25 | 阅读:32497 | 评论:0 | 标签:业务安全 智能家居

区块链为汽车行业谱写新篇章

区块链技术已经为金融服务和供应链行业带来了翻天覆地的变化,那么对于汽车行业,它又将有何建树呢?时至今日,我想您一定已经阅读过数百篇关于“什么是区块链及其优点”的文章,所以,话不多说,直奔主题,让我们一起探讨一下区块链技术可以为汽车行业带来哪些变革?自汽车问世以来,汽车行业始终走在践行先进技术的前列,但是这种技术变革的步伐实在太快,以致于全球汽车原始设备制造商(OEM)很难与之保持同步。毫无疑问,汽车行业正在发生变化,而区块链一直是所有厂商关注的新生儿。在过去一年左右的时间里,汽车行业的利益相关者一直在研究如何将区块链技术应用于企业业务中,并正在期待正式启动这一重大变革。据Frost & Sullivan称,到2
发布时间:2019-06-13 12:25 | 阅读:34174 | 评论:0 | 标签:业务安全 区块链

深入分析针对医疗健康行业的复杂威胁

前言目前,医疗健康行业越来越受到公众的关注,但不得不指出的是,该行业目前仍然处在一个值得关注的危急状态。尽管有许多医疗保健组织逐渐致力于完善网络安全和隐私保护,并已经取得了一些积极的进展,但从整体来看,仍然由很长的路要走。在2018年,与其他行业相比,医疗健康行业的数据泄漏事件数量最多。该数据是根据BakerHostetler的2019年数据安全事件响应报告得出的,该报告已经连续发布了5年。根据行业内部人士的消息,即使在今天,黑帽黑客也仍然在持续追踪患者的医疗健康数据,因此这类泄漏事件的整体趋势只会加剧。HIPAA期刊是一个致力于报道与HIPAA相关新闻的网站,该媒体在2019年1月至3月期间,至少每天发现了一起泄密事
发布时间:2019-06-03 12:25 | 阅读:39007 | 评论:0 | 标签:业务安全 健康行业

如何利用Slack客户端漏洞窃取Slack用户下载的所有文件

前言在本文中,我们将主要讨论一个值得关注的功能滥用问题,通过该漏洞,攻击者可以窃取甚至控制Slack用户使用Windows环境的Slack桌面应用程序的下载内容。根据我们的协调披露政策,已经通过HackerOne平台向Slack报告了这一漏洞,并且Slack已经在其最新更新v3.4.0中修复了该漏洞。这一漏洞可能允许远程攻击者在Slack频道中提交精心伪造的链接,一旦受害者点击该链接,那么就会将Slack客户端的下载位置更改为攻击者控制的SMB共享。这样一来,受害者此后下载的所有文档可能都会最终上传到攻击者控制的文件服务器上,直到受害者发现这一配置信息被篡改,并手动修改回来为止。在攻击者的服务器上,攻击者不仅可以窃取文
发布时间:2019-05-30 12:25 | 阅读:49235 | 评论:0 | 标签:业务安全 Slack 漏洞

聚焦Trickbot:借助合法的Google重定向URL实现恶意活动

概述近期,我们通过垃圾邮件中的重定向URL,发现了Trickbot银行木马的一个变种(Trend Micro检测为TrojanSpy.Win32.TRICKBOT.THDEAI)。根据我们的监测,该变种利用Google,从URL hxxps://google[.]dm:443/url?q=<trickbot downloader>重定向,其中查询字符串中的URL url?q=<url>是将用户重定向到的恶意URL。重定向URL是一种有效的逃避方法,旨在防止垃圾邮件过滤器阻止包含恶意URL的Trickbot垃圾邮件。详细分析大体看来,垃圾邮件可以通过合法的方式正常传递,甚至可以在其中添加社交媒体图
发布时间:2019-05-23 12:25 | 阅读:53187 | 评论:0 | 标签:业务安全 Trickbot

公有云容器安全

0x00、前言IT技术在不断的进步,从虚拟主机技术出现后,我们可以方便快捷的在公有云上建立自己的生产环境,大大提升生产环境部署效率,记得以前一个做游戏的兄弟说,以前做一款游戏,生产环境部署,从服务器采购到真正上线最短也要1~2个月。而使用公有云虚拟机搭建也许1~2周就搞定。那么容器技术的出现,又进一步提升了开发上线的速度,也许你在公有云上搞定以上事情也就1~2天。在方便快捷的同时容器的使用量也在逐年攀升,经调查,公有云大约有40%用户正在使用容器技术,那么,容器安全你准备好了么?0x01、深入研究在开始讨论容器安全问题之前,我们先要搞清楚:为啥现有的安全解决方案解决不了docker安全问题?先从应急响应的角度上分析,整
发布时间:2019-05-13 12:25 | 阅读:48969 | 评论:0 | 标签:业务安全 公有云

导致数据库凭据泄露:详细分析Jenkins Swarm、Ansible、GitLab插件信息泄露漏洞(CVE-2019-10309/10300/10310)

一、概述Jenkins是一个用Java编写的开源自动化服务器。借助一些插件,可以将Jenkins与其他软件集成,例如GitLab。5月7日,Cisco Talos团队公开了其中三个插件的漏洞,这三个插件分别是Swarm、Ansible和GitLab。这些插件中的漏洞均属于信息泄露类型,攻击者借助这些漏洞,可能欺骗上述插件,将Jenkins数据库中的凭据泄露至攻击者控制的服务器。根据我们的协调漏洞披露政策,Cisco Talos与Jenkins及相关公司进行了合作,以确保这些问题得以彻底解决,并为受影响的客户提供更新。二、Jenkins Swarm插件XXE信息泄露漏洞(CVE-2019-10309)在Jenkins自组
发布时间:2019-05-08 12:25 | 阅读:65591 | 评论:0 | 标签:业务安全 漏洞 Ansible GitLab Jenkins Swarm

最新WebLogic远程代码执行漏洞在野利用分析:传播勒索软件、挖矿和发动DDoS攻击(CVE-2019-2725)

一、概述2019年4月26日,Oracle发布官方公告,修复CVE-2019-2725漏洞。该漏洞属于Oracle WebLogic Server中的反序列化漏洞,可导致远程代码执行。这个漏洞无需进行身份验证即可远程利用,因此攻击者可以在不需要掌握用户名和密码的前提下,通过网络实现对漏洞主机的远程代码执行。4月30日,Cisco Talos团队和Unit 42团队同时发布文章,监测到补丁发布前针对该漏洞的在野0-day漏洞利用。Cisco Talos团队主要发现Sodinokibi勒索软件利用该漏洞实现攻击,而Unit 42团队则发现Muhstik僵尸网络利用该漏洞进行加密货币挖掘和DDoS攻击。由于两份报告存在相似之
发布时间:2019-05-07 12:25 | 阅读:80519 | 评论:0 | 标签:业务安全 漏洞 CVE-2019-2725 ddos

Inpivx服务:让任何人都可以从零开始开发恶意软件

最近网络犯罪分子发布了一个新的服务Inpivx,该服务为客户提供了一个管理面板,通过管理面板,客户可以从零开始开发和管理恶意软件。这项新的服务可以让任何懂点计算机的人都能够轻易的创建勒索软件,加密所有文件,还包括解密器。目前,该服务在Tor暗网上进行推广,此套餐服务售价为500刀。这个管理面板是用C++编写的,支持Windows xp到Windows10。一位Inpivx成员告诉BleepingComputer,勒索软件和管理面板是绑定在一起的,而且客户端能够根据客户需求调节勒索软件代码,同时,他们还提供了自定义勒索软件的教程。这个供应链服务控制面板还包括聊天支持,轻量级和响应式,扁平快速设计。一旦恶意软件在受害者主机
发布时间:2019-04-25 12:25 | 阅读:47730 | 评论:0 | 标签:业务安全 ransomware

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云