记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

华硕供应链攻击事件:针对ShadowHammer恶意活动第一阶段Payload的分析

一、概述3月,卡巴斯基发布了一份关于“ShadowHammer恶意活动”的供应链攻击报告,该报告中描述了攻击者如何通过ASUS Live Update Utility分发目标恶意软件,从而实现对华硕的攻击。本文主要对本次攻击中所使用的第一阶段Payload进行详细分析。二、事件回放2019年3月25日,卡巴斯基发布了一篇针对华硕供应链攻击的高级别报告。在报告中,卡巴斯基指出:“在2019年1月,我们发现了与ASUS Live Update Utility相关的复杂供应链攻击。该攻击发生在2018年6月至11月之间,根据我们的遥测,此次攻击影响了大量用户。”攻击的目标是一个未知的用户池,这些用户的网络适配器MAC地址已经
发布时间:2019-04-05 12:25 | 阅读:25735 | 评论:0 | 标签:事件 华硕

警惕隐私保护被妖魔化:监听是个伪命题

《圣经新约》中有一句名言:让“上帝的归上帝,恺撒的归恺撒。”但近期,一场猜测互联网平台App可能“监听”用户,并依此进行推送的舆论漩涡中,出现将隐私信息保护妖魔化的言论,以致大家在还没有厘清商品推荐的算法技术前,就集体陷入了没有事实依据的“监听”猜疑逻辑。从3月18日,由IT时报记者发布测试美团和饿了么App录音权限的文章,将“上海孙女士与同事闲聊提起想喝CoCo奶茶,后被外卖平台推荐该奶茶商品链接”等现象,都归结于“隔屏有耳”,指向是App通过“监听”进行的精准推送。到21日,IT时报微信公众号再次发文,强调“监听”猜疑。指出,除外卖App,电商类、资讯类、音乐类等App,也都曾出现过疑似“偷听”的现象,“监听”逻辑
发布时间:2019-04-02 17:25 | 阅读:18617 | 评论:0 | 标签:事件 监听

针对韩国网站的钓鱼和水坑攻击

研究人员发现一起针对韩国网站的钓鱼攻击活动,该攻击活动已成功入侵4家韩国网站,并通过注入伪造的登陆表单来窃取用户凭证。攻击活动使用了水坑攻击来注入恶意JS代码到网站中以加载浏览器漏洞利用或窃取金融信息,这种钓鱼活动很少见。研究人员将该攻击活动标记为Soula,它通过韩国主流搜索引擎的伪造的登陆屏来收集信息。它会发送记录的凭证到攻击者的服务器,因此研究人员认为攻击者仍然在验证和信息收集阶段。攻击链图1. Soula攻击链注入的脚本会对网站访问者进行化学,并在主页顶部加载钓鱼表格。它可以扫描HTTP referer header字符串,并检查其中是否含有与主流搜索引擎和社交媒体站点相关的关键字,来验证访问者是否是真实的。因
发布时间:2019-03-31 12:20 | 阅读:21433 | 评论:0 | 标签:事件 水坑攻击

Cardinal RAT攻击以色列金融科技公司

2017年Unit 42研究人员发现了一个恶意软件家族Cardinal RAT。该恶意软件家族在过去2年间销声匿迹,通过Carp下载器进行传播。研究人员近日发现主要攻击以色列金融科技公司的攻击活动,进一步分析发现了Cardinal RAT和EVILNUM之间的关系。EVILNUM是一个基于JS的恶意软件家族,用来攻击类似的组织。Cardinal RATCardinal RAT使用了一些混淆技术来隐藏自己,本文分析的样本是:最新的Cardinal RAT样本使用了不同的混淆技术来妨碍分析人员对底层代码的分析。混淆的第一层是隐写术,初始样本是用.net编译的,其中含有嵌入的BMP文件。图1.&
发布时间:2019-03-25 12:20 | 阅读:28162 | 评论:0 | 标签:事件 Cardinal RAT

Facebook明文存储近6亿密码 虽未泄漏但仍提醒修改密码

现在,很难用现有的隐私政策、安全策略等借口去掩盖这个事实:在北京时间今天凌晨,根据Krebs on Security报道,Facebook确认了密码管理系统的一个漏洞,这个漏洞可导致数亿的Facebook帐号、Instagram以及Facebook Lite的明文密码泄漏。这意味着数万名Facebook员工可以直接查阅明文的密码。Krebs的文章称这种情况可以追溯到2012年。一般来说,网站的运营者可以通过使用特定的单方加密的方法将密码存储在服务器上。通过这种方法,即时有人获得了这个密码,他们也无法知道这个密码具体是什么,这种已加密的密码也几乎不可能被利用起来。作为一个服务数亿用户的公司,Facebook一定知道他们要
发布时间:2019-03-22 12:20 | 阅读:26918 | 评论:0 | 标签:事件 Facebook 密码泄漏

委内瑞拉大规模停电事件的初步分析与思考启示

说明:2019年3月7日,委内瑞拉发生大规模停电事件。安天科技集团组织研究院、安天CERT等内部力量进行跟踪研判,并于3月9日、3月10日,向国家相关主管、职能部门报送了两期研判简报;广东省电力系统网络安全企业重点实验室积极跟进分析研判,于第一时间向主管部门报送了《委内瑞拉停电事件分析》,并于3月12日发布《“3·7”委内瑞拉大停电事件快报》。为进一步加强分析研判力量,双方决定成立联合分析研判组,继续推动该事件的持续跟进分析。基于双方已调研了解的情况和初步判断整合形成此份初步分析。【事件概述】(一)事件发生及进展2019年3月7日傍晚(当地时间)开始,委内瑞拉国内包括首都加拉加斯在内的大部分地区停电超过24小时[1],
发布时间:2019-03-18 12:20 | 阅读:36646 | 评论:0 | 标签:事件 委内瑞拉

杭州SW科技被曝利用SDK大规模进行数据窃取,获取联系人,QQ信息并跟踪用户

被曝光公司为杭州SW科技,利用该公司的SDK进行信息窃取!由中国IT和服务巨头杭州某科技控制的服务器通过数据窃取组件,来收集电话联系人列表,地理位置和QQ登录信息,该组件存在于第三方商店提供的多达12个Android应用程序中。窃取信息的代码隐藏在集成到看似安全的应用程序中的数据分析软件开发工具包(SDK)中,并在手机重新启动或受感染的应用程序启动时提供详细信息。checkpoint披露了这一起大规模的数据窃取活动,并命名为Operation Sheep.Checkpoint研究人员认为,收集最终用户的联系人列表的行为,开发者是不知道的,因为SDK是该公司提供。大多数相关应用程序都可以从应用程序商店安装,如腾讯应用宝,
发布时间:2019-03-14 17:20 | 阅读:44667 | 评论:0 | 标签:事件 SDK

埃及黑客攻破Joomla邮件服务Jmail

Joomla!是一款主流的CMS平台,被成千上万的企业广泛使用。过去研究人员也发现过Joomla的相关漏洞,比如CVE-2017-7985 Joomla Core序列化XSS过滤权限提升漏洞、CVE-2015-8562 Joomla对象注入远程代码执行漏洞。Check Point研究人员发现最近有攻击者利用Joomla!邮箱服务JMail的漏洞来发起攻击。图 1: Joomla漏洞统计Jmail是Joomla的邮箱服务,允许用户通过该平台来发送邮件。虽然该服务的初衷是发送邮件,但由于缺乏适当的安全机制,攻击者可以滥用该服务用于钓鱼、垃圾邮件活动,甚至可以在平台中应用后门基础设施。其实在HTTP请求的User-Agent
发布时间:2019-03-09 12:20 | 阅读:33592 | 评论:0 | 标签:事件 Joomla!

Sharpshooter攻击活动与朝鲜APT Lazarus有关

McAfee研究人员在分析了Sharpshooter攻击活动的C2服务器代码后发现该攻击活动与朝鲜的APT组织Lazarus有关。据分析,是在政府部门的帮助下进行的,结果表明该攻击活动的范围更加广泛、比研究人员最初认为的更加复杂。与朝鲜的关系为了隐藏真实位置,攻击者使用了ExpressVPN服务,该服务与来自2个伦敦的IP地址的服务器上的web shell (Notice.php)有关。但是该IP地址并不是攻击者的真实来源。与朝鲜APT组织Lazarus的关系是通过分析使用的工具、策略和方法得出的结论。比如,在Sharpshooter之前研究人员就发现Rising Sun与其他Lazarus组织的攻击活动使用相同的策略
发布时间:2019-03-08 12:20 | 阅读:35969 | 评论:0 | 标签:事件 Sharpshooter

TransparentTribe APT组织2019年针对印度政府、军事目标的攻击活动报告

一、 报告背景进入2019年以来,腾讯安全御见威胁情报中心检测到多起针对印度政府部门、军事目标等的攻击活动,诱饵内容包括"印度空袭分裂主义组织(英译汉)"、"联合国军事观察员(英译汉)"等。经过分析关联确认,攻击组织为TransparentTribe APT组织。TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要目标是针对印度政府、军事目标等。该组织的活动最早可以追溯到2012年。该组织的相关活动在2016年3月被proofpoint披露,趋势科技随后也跟进进行了相关活动的披露
发布时间:2019-03-07 00:20 | 阅读:32549 | 评论:0 | 标签:事件 TransparentTribe APT

Docker Control API和社区镜像被用来传播加密货币挖矿恶意软件

研究人员通过搭建容器蜜罐收集的数据进行分析来监控威胁,并且发现了一起利用使用Docker Hub上发布的容器镜像的伪造容器进行非授权的加密货币挖矿的恶意活动。该镜像被用来传播加密货币挖矿恶意软件。对于安全公司和安全研究人员来说,搭建没有任何安全防护措施和没有预装安全软件的蜜罐是常用的收集恶意样本的方式。但docker是有最佳实践和建议来防止这类错误的、不安全的配置的。蜜罐获取的流量和活动是为了获取针对容器平台本身的攻击而不是容器应用的。研究人员发现的这起攻击活动是不依赖于任何漏洞利用,也不依赖于某种docker版本的。发现错误配置和暴露的容器镜像是攻击者感染更多相关主机唯一需要做的。暴露后,Docker API会让用户
发布时间:2019-03-04 12:20 | 阅读:47451 | 评论:0 | 标签:事件 恶意软件 加密

从Instagram上窃取个人资料的土耳其黑客团伙

社交平台的博主们通过营造自身的品牌形象来获取更多粉丝的关注,对于黑客来说,他们苦心经营的形象也能被视为商品对待,通过盗取账号/个人信息来饱其私囊。近日,一名Instagram平台上粉丝超过1.5万名的摄影师就遭遇了此类状况。对该事件的进一步调查显示,黑客是通过网络钓鱼黑进她的账户的。虽然听起来似乎很简单,但我们也发现,针对Instagram上“网红”们的攻击,已经成为了某个土耳其语黑客群体的惯用手法,并且黑客们通过滥用Instagram的账户恢复程序,让受害者们即使按正常的申诉流程也要不回自己的账户。我们在研究时就曾看到过这样的案例:一些在Instagram上粉丝数在1.5万至7万之间的博主们,其个人资料遭到了黑客攻击
发布时间:2019-03-04 12:20 | 阅读:30754 | 评论:0 | 标签:事件 Instagram

LazyCat:针对澳大利亚议会的APT攻击事件分析

近日,澳大利亚主要政党与国会的电脑系统遭到了外国政府的攻击。澳洲总理莫里森当天说,安全机构在调查针对国会议员的网络攻击事件时发现,包括自由党、工党和国家党等几个政党的网络也受到了影响。Cybaze-Yoroi ZLab对该攻击事件进行了技术分析。技术分析所有分析的样本看似都属于后利用阶段,即攻击者用来进行数据窃取和之后的行动。这些模块并不属于开源的后利用框架,而是用C#语言在.NET框架上开发的。LazyCat DLL第一个分析的恶意软件样本是LazyCat,主要来源于著名的Mimikatz渗透测试工具。表1:  LazyCat样本信息静态分析表明使用的库是.NET框架编写的,没有使用高度混淆,因此可以逆向其
发布时间:2019-03-01 12:20 | 阅读:38464 | 评论:0 | 标签:事件 APT攻击事件

响尾蛇(SideWinder)APT组织针对南亚的攻击活动披露

一、 概述从2017年底到2019年初,腾讯安全御见威胁情报中心发现一个疑似来自印度的APT攻击组织持续针对巴基斯坦等南亚国家的军事目标进行了定向攻击。腾讯安全御见威胁情报中心对该组织的攻击活动进行了长期的深入分析,从溯源结果来看,该组织的最早的攻击活动可以追溯到2012年。从腾讯安全御见威胁情报中心的分析结果来判断,该组织的背景跟卡巴斯基在2018年第一季度报告中提到的SideWinder组织非常的相似,虽然卡巴斯基并未发布任何该组织的技术细节和报告。我们继续沿用卡巴斯基的命名,命名该组织为"响尾蛇"(SideWinder、T-APT-04)。腾讯安全御见威胁情报中心曾在2018年5月份
发布时间:2019-02-28 12:20 | 阅读:32228 | 评论:0 | 标签:事件

朝鲜APT组织Lazarus使用KEYMARBLE后门攻击俄罗斯

一、简介在过去的几周里,我们一直在监控针对俄罗斯公司的可疑活动,我们观察到朝鲜对俄罗斯实体开展的一次攻击,这个活动暴露了我们之前从未见过的捕食者-猎物关系。虽然将攻击归因于某个威胁组织或其他组织是有问题的,但下面的分析揭示了其与朝鲜APT组织Lazarus使用的战术、技术和工具的内在联系。这一发现来自我们正在跟踪的为俄罗斯受害者专门设计和制作的多个恶意Office文档。通过仔细检查这些文档,我们能够看出它们属于感染链的早期阶段,此感染链的终端是一个多功能Lazarus后门的更新版本,被US-CERT称为KEYMARBLE 。Lazarus有时也被称为Hidden Cobra,是当今世界上最流行和最活跃的APT
发布时间:2019-02-25 12:20 | 阅读:53176 | 评论:0 | 标签:事件 朝鲜APT 后门

疑似1.59亿LinkedIn领英客户数据库正在以99美元的价格被售卖

不传谣不信谣,题目说了疑似,所以不管怎么着,改密码吧2019年1月30日,一位名叫"Andrew"的未知黑客通过Pastebin网络服务发布了一份在线声明,据称宣布了其拥有属于LinkedIn的1.59亿客户数据库。为了证明真假,黑客已经发布了一份包含100个客户的样本列表及其帐户登录凭据,作为泄露数据的证明。目前,黑客拒绝公开分享整个泄露的数据库,而是愿意以99美元的价格向愿意购买的人出售完整的清单。此外,对于不想直接购买整个数据库的人,黑客也提出以一小笔费用0.012比特币(41美元)的价格来破解你想要的任何人的个人账户。Yes, this means that for .012BTC 
发布时间:2019-01-31 12:20 | 阅读:64318 | 评论:0 | 标签:事件 LinkedIn 泄漏

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词