记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

深入分析Windows API – LoadLibrary 的内部实现Part.1

在本文中,我们将讨论Windows系统中最重要的(如果不是最重要的,那么也是最众所周知的)一个 API——LoadLibrary。进行这项研究的动机是来自几周前我正在研究的一个项目,我正在编写一个DLL的反射加载器而我无法使其正常工作(最后发现它和reloc的一些东西有关 ),所以,我认为找到我的错误的最好的方法是搞清楚Windows处理加载库的过程。免责声明!我将重点关注调用LoadLibrary时执行的内核代码。用户层的所有内容我都会进行阐述。另一方面,我不会进入内核中的每个调用/指令,你要明白,内核里有很多很多的代码。我将重点关注我认为最重要的函数和结构。LoadLibrary!为了便于研究,我将使用下面这个代码
发布时间:2019-03-27 12:20 | 阅读:17571 | 评论:0 | 标签:二进制安全 Windows API

复制自KORKERDS的挖矿脚本移除了KORKERDS相关的所有挖矿机和服务

研究人员在进行程序日志检查时发现,蜜罐钟有恶意脚本下载恶意二进制文件。进一步分析之后,研究人员发现该脚本可以删除大量已知的Linux恶意软件、挖矿脚本和其他挖矿服务相关的端口和链接,而且该脚本与Xbash和KORKERDS有相似和关联。该恶意脚本会下载加密货币挖矿恶意软件并植入到系统中,使用crontab来确保系统重启和删除后的驻留问题。图1. 从域名下载的脚本,蜜罐中的日志信息恶意脚本分析该恶意脚本会下载二进制文件,分析之后发现它是KORKERDS的变种,是对2018年11月的KORKERDS收集的样本的修改版本,对该恶意软件做出了适当的添加和删除。与KORKERDS相比,新脚本并不会卸载系统中安装的安全产品,也不会
发布时间:2019-03-19 12:20 | 阅读:23291 | 评论:0 | 标签:二进制安全 恶意脚本

我是如何通过分析后门JXplorer样本发现其背后的恶意组织

一、概述最近,我在使用VirusTotal Intelligence进行一些动态行为查询时,偶然发现了这个奇怪的PE二进制文件(MD5:7fce12d2cc785f7066f86314836c95ec)。该文件声称是JXplorer 3.3.1.2的安装程序,根据其官网提供的信息,JXplorer是一个基于Java的跨平台LDAP浏览器和编辑器。为什么我会说它非常奇怪呢?因为一个流行的LDAP浏览器,其安装程序应该不会创建计划任务,从而从免费动态DnS提供商托管的子域名下载和执行PowerShell代码:我一开始,本来打算写一篇简短的文章,并专注于分析这个可疑的JXplorer二进制文件。然而,在我分析的过程中才发现,
发布时间:2019-03-11 12:20 | 阅读:22853 | 评论:0 | 标签:二进制安全 JXplorer样本 后门

如何在安全研究中使用模糊测试

介绍模糊测试是自动软件测试中最常用的一种方法。通过模糊测试,我们可以根据一组规则来生成大量的输入,然后将这些非预期的输入注入到程序中来观察程序的异常行为。在安全领域,模糊测试是一种发现漏洞的有效方法。市场上现在有很多模糊测试框架,包括开源的框架和商业框架。模糊测试技术主要分为两类:基于演化的模糊测试它们使用遗传算法来增加代码覆盖率。它们会对提供的测试用例进行修改,目的是进一步的分析应用程序。不过坦白说,这需要进行一些代码插桩来给变化引擎提供反馈。基于演化的模糊测试其实就是忽视规定的输入格式,输入各种各样的格式来查看是否有异常并研究这个异常。这种技术在开源社区中有很好的支持和维护。有几个框架非常优秀,比如American
发布时间:2019-02-27 12:20 | 阅读:42055 | 评论:0 | 标签:Web安全 二进制安全 安全工具 模糊测试

Rietspoof恶意软件释放多个恶意有效载荷

自2018年8月以来,我们一直在监控名为Rietspoof的新恶意软件。Rietspoof是一种新的多阶段恶意软件,具有一些非常引人注目的特性和功能。当我们刚开始跟踪Rietspoof时,它每月更新一次。但是,在2019年1月,我们注意到其更新节奏更改为了每日。Rietspoof利用多个阶段,结合各种文件格式,分发更多样化的恶意软件。我们的数据表明,第一阶段是通过即时消息客户端(如Skype或Messenger)分发的。它分发了一个高度混淆的Visual Basic脚本,其中包含一个硬编码和加密的第二阶段——一个CAB文件。CAB文件扩展为可执行文件,该文件大多使用Comodo CA颁发的有效证
发布时间:2019-02-21 12:20 | 阅读:28587 | 评论:0 | 标签:二进制安全 Rietspoof

使用Cobalt Strike和Gargoyle绕过杀软的内存扫描

本文将主要介绍我在Cobalt Strike的Beacon有效载荷和gargoyle内存扫描规避技术绕过杀软的内存扫描方面的研究。并且会提供一个使用gargoyle在计时器上执行Cobalt Strike Beacon有效载荷的概念验证(PoC)。这个PoC背后的假设是使用内存扫描技术来对抗终端检测与响应解决方案(EDR),这些扫描技术以规则的时间间隔发生,并且不会在非可执行内存上发出警报(也可能是因为我们触发的警报淹没在了大量密集的警报中)。通过“跳入”内存和“跳出”内存的方式,实现了避免在扫描器运行时将有效载荷驻留在内存中,然后在安全扫描完成后将其再次重新放入内存中的攻击目标。这篇文章的内容假设读者熟悉 
发布时间:2019-02-20 12:20 | 阅读:27540 | 评论:0 | 标签:二进制安全 扫描

使用马尔科夫链进行Android恶意软件检测

如果你和某人聊天,如果他们给你说了一堆“aslkjeklvm,e,zk3l1”你完全听不懂的词语,显然他们是在胡言乱语。但是,在计算机中,你该如何教电脑识别类似的乱码呢?然而更重要的是,我们为什么要为这个问题烦恼?我见过很多安卓恶意软件,其中有很多包含我们不认识的乱码字符串,无论是代码中的文字,还是签名中的类名,等等。我的想法是,如果你可以对乱码进行“量化”,那这些乱码将会是机器学习模型中的一个很好的特征。我已经测试了我的想法,所以在这篇文章中,我将分享我的成果。什么是马尔可夫链?你可以阅读维基百科上的解释,但不是每个人都有时间阅读完这种篇幅很长的解释。简单的说,你用了很多字符串来训练一个马尔科夫链模型。一旦训练好,你
发布时间:2018-12-11 12:20 | 阅读:79591 | 评论:0 | 标签:二进制安全 移动安全 Android

0 day漏洞CVE-2018-8589的新利用

11月13日,微软发布了安全公告,修补了我们发现的漏洞。我们于2018年10月17日向Microsoft报告了该漏洞。微软确认了该漏洞,其ID为CVE-2018-8589。2018年10月,我们的自动漏洞防护(AEP)系统检测到试图利用Microsoft Windows操作系统中的漏洞。进一步分析显示win32k.sys中存在0 day漏洞。漏洞利用程序由恶意软件安装程序的第一阶段执行,以获取维持受害者系统持久性的必要特权。到目前为止,我们已经检测到利用此漏洞的攻击次数非常有限。受害者位于中东。卡巴斯基实验室产品使用以下技术主动检测到此漏洞利用:· 端点检测引擎和自动漏洞防御技术· 卡巴斯基反目标攻击平台(KATA)的
发布时间:2018-11-21 12:21 | 阅读:62840 | 评论:0 | 标签:二进制安全 技术 0 day漏洞 漏洞

比特币恶意软件分析指南

犯罪分子正在使用比特币和其他加密货币作为销售被盗数据、黑客服务(如DDoS)和勒索软件支付付款渠道。如果你想更多的了解这个黑产,你需要深入了解比特币以及懂得如何分析交易。跟随上犯罪分子使用的技术的脚步是非常重要的,这样你就能更好的了解新的变化和发展趋势。此外,随着越来越多的人在分析比特币和区块链,因此也有更多的机会开发出新的工具和技术来防御犯罪分子。犯罪分子历来是最早使用新技术的人,因为创新的东西往往被人们倾向于首先用在有冲突且有动机的方面。犯罪分子是最早发现汽车(相同时期大多数警察使用的是自行车或马匹)、手机和蜂鸣器的创造性用途的一部分人。现如今,他们已成为攻击互联网、利用洋葱网络、使用加密和现在流行的比特币的先锋人
发布时间:2018-11-20 17:20 | 阅读:38865 | 评论:0 | 标签:二进制安全 比特币

IOT渗透测试一

在本系列文章中,我们将会使用工具进行IOT安全评估的基本步骤。本文是第一篇,你需要一个设备固件的二进制文件才能继续。工具file这款工具能够检测文件类型。file通过检查属性和(对于普通文件)读取文件初始部分来来猜测每个文件参数的类型。file通过命令行将每个文件与系统维护的magic文件进行对比来确定文件类型。详情请参考:https://linux.die.net/man/1/filexddxdd可以执行hexdump或者逆向。xdd会生成给定文件或者标准输入的十六进制格式,也可以将十六进制格式转换回原始的二进制格式。详情请参考:https://linux.die.net/man/1/xxdbinwalk这是一个固件
发布时间:2018-11-19 12:20 | 阅读:49731 | 评论:0 | 标签:二进制安全 IOT工具

针对新型IoT僵尸网络Linux.Omni的分析

一、概述长期以来,我们对网络上活动的Linux和IoT威胁进行分类和分析工作。本文将主要介绍针对Linux.Omni僵尸网络进行分析,我们从部署的蜜罐中检测到该恶意软件。之所以这个僵尸网络引起了我们的注意,是因为它的感染库中包含高达11种不同的漏洞。经过分析,我们最终确定该威胁属于IoTReaper的新版本。二、二进制分析首先,让我们感到惊讶的第一件事就是该恶意软件的分类,也就是OMNI。近几周来,我们检测到了OWARI、TOKYO、SORA、ECCHI等等,所有这些恶意软件都是Gafgyt和Mirai的分支版本。并且,所有这些恶意软件与之前的分析结果相比,没有任何创新。因此,分析该恶意软件的感染方式,我们发现如下说明
发布时间:2018-11-15 12:20 | 阅读:46611 | 评论:0 | 标签:二进制安全 Linux.Omni

FreeBSD上编写x86 Shellcode初学者指南

介绍本教程的目的是帮助你熟悉如何在FreeBSD操作系统上编写shellcode。虽然我会尽力在这里叙述所有有关的内容,但并不打算把本文写成汇编代码编程的入门读物。在反汇编中,你会注意到汇编代码采用AT&T语法,而我更喜欢使用Intel语法(无论是哪一种,nasm的工作原理是一样的)。如果你担心这些差异会带来困扰,请使用谷歌搜索并了解这些差异。请注意我只是一个编写shellcod的初学者,本文并不意味着是编写shellcode的全部内容;相反,本文对于全新的shellcoders来说是一个简单的介绍。换句话说,如果你以及编写过shellcode,本文的内容可能不会让你感兴趣。其中的代码改编自The Shellcoder
发布时间:2018-11-09 12:20 | 阅读:48961 | 评论:0 | 标签:二进制安全

动态二进制插桩的原理和基本实现过程(二)

动态二进制修改对运行性能的影响动态二进制插桩的原理和基本实现过程(一)回顾。现在就来讲讲动态二进制修改会对正在运行的程序的性能产生什么影响,根据我的经验,通常观察到的性能开销,实际上取决于各种实际运行因素。不过一般情况下,用户实现的修改都会造成性能开销的变化。无论如何,使用作为动态二进制插桩时,你首先要做的决定就是确定所需的代码覆盖率,进而在衡量性能开销是否合理。PinPin是由英特尔公司开发的动态二进制插桩框架,它允许我们为Windows,Linux和OSX构建称为Pintools的程序分析工具。我们可以使用这些工具来监控、修改和记录程序运行时的行为。点此链接就可以免费下载和使用Pin,除了文档和二进制文件之外,Pi
发布时间:2018-08-16 12:20 | 阅读:71383 | 评论:0 | 标签:二进制安全 二进制

动态二进制插桩的原理和基本实现过程(一)

前言动态二进制插桩(dynamic binary instrumentation ,DBI)技术是一种通过注入插桩代码,来分析二进制应用程序在运行时的行为的方法。动态二进制插桩技术,可以在不影响程序动态执行结果的前提下,按照用户的分析需求,在程序执行过程中插入特定分析代码,实现对程序动态执行过程的监控与分析。目前,应用广泛的动态二进制分析平台有Pin,DynamoRIO和Frida等。最常用动态二进制插桩框架的平台这篇文章的目的是对动态二进制插桩的原理和基本实现过程进行全面的介绍,其中,我会选择一些最知名和最常用的动态二进制插桩框架进行具体说明,其中包括Pin,DynamoRIO和Frida。而这三个里面,我会主要关注
发布时间:2018-08-15 12:20 | 阅读:74863 | 评论:0 | 标签:二进制安全 二进制

Office漏洞被用于传播FELIXROOT后门

攻击活动详情2017年9月,FireEye的研究人员发现针对乌克兰的工具活动中使用FELIXROOT后门作为payload,该攻击活动中包括恶意的乌克兰银行文档,该文档中含有可以下载FELIXROOT的宏文件。近期,研究人员发现该后门被用于一起新的攻击活动中。这次,声称含有研讨会信息的武器化的诱饵文档利用了Office CVE-2017-0199(WORD/RTF嵌入OLE调用远程文件执行漏洞)和CVE-2017-11882(Office远程代码执行漏洞)两个漏洞在受害者机器上释放和执行后门二进制文件。图1: 攻击概览恶意软件通过用Office漏洞武器化的恶意文档进行传播,如图2所示。恶意文档名称是“Seminar.r
发布时间:2018-08-01 12:20 | 阅读:85937 | 评论:0 | 标签:二进制安全 漏洞 Office漏洞 后门

CVE-2018-5002 – 2018年第二波Flash零日漏洞在野攻击分析预警

背景2018年6月1日,360核心安全高级威胁应对团队在全球范围内率先捕获了新的一起使用Flash 零日漏洞的在野攻击,黑客精心构造了一个从远程加载Flash漏洞的Office文档,打开文档后所有的漏洞利用代码和恶意荷载均通过远程的服务器下发,此次攻击主要针对中东地区。该漏洞目前影响Adobe Flash Player 29.0.0.171及其以下版本,是今年出现的第二波Flash零日漏洞在野攻击。相关漏洞文件分析该样本具有比较诱惑性的文件名***salary.xlsx,其内容也与标题符合,为各个时间阶段的工资,语言采用阿拉伯语。***salary.xlsx(MD5: ******517277fb0dbb4bbf724
发布时间:2018-06-08 00:20 | 阅读:107719 | 评论:0 | 标签:业务安全 二进制安全 漏洞 Adobe Flash

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云