记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

使用 IDA 处理 U-Boot 二进制流文件

作者:Hcamael@知道创宇404实验室时间:2019年11月29日 最近在研究IoT设备的过程中遇到一种情况。一个IoT设备,官方不提供固件包,网上也搜不到相关的固件包,所以我从flash中直接读取。因为系统是VxWorks,能看到flash布局,所以能很容易把uboot/firmware从flash中分解出来。对于firmware的部分前一半左右是通过lzma压缩,后面的一半,是相隔一定的区间有一部分有lzma压缩数据。而固件的符号信息就在这后半部分。因为不知道后半部分是通过什么格式和前半部分代码段一起放入内存的,所以对于我逆向产生了一定的阻碍。
发布时间:2020-02-09 22:03 | 阅读:33435 | 评论:0 | 标签:安全研究 IDA U-Boot 二进制安全

移动设备数字取证过程概述(上)

 使用 WinHex 分析黑莓手机现在是二十一世纪,手机已经无处不在。 居住在第一世界发达国家的大多数公民都可以相对便宜地获得手机技术和价格计划。 像苹果、微软、谷歌和三星这样的科技公司统治着蓬勃发展的手机市场,并且几乎每年都在开发新的产品。 这种做法使得普通的美国中产阶级几乎不可能赶上众所周知的“邻居” ,比如,拥有最新的 iPhone 或三星 Galaxy 手机。 开发人员对纳米技术和纳米存储器进行了改进,现代智能手机功能强大得令人难以置信,几乎可以做到台式机或笔记本电脑所能做到的一切。 大型计算机占用整个仓库执行复杂计算任务的日子早已一去不复返了。
发布时间:2019-12-02 13:26 | 阅读:40102 | 评论:0 | 标签:二进制安全 系统安全 移动设备取证 移动

你不知道的威胁狩猎技巧:Windows API 与 Sysmon 事件的映射

“就像我们知道的那样,有一些事情我们是知道的。有一些事情我们知道我们知道,也有些我们不知道我们知道。也就是说我们知道有些事情我们不知道,但是也有些事情是我们不知道我们不知道。” ——唐纳德 · 拉姆斯菲尔德简介从防御的角度来看,我们应用于安全的最危险的事情之一就是假设。 假设是造成不确定性的盲点。 通过在检测过程中枚举和消除尽可能多的假设,我们限制了攻击面和敌人可以逃避我们检测努力的区域。 虽然总会有盲点,但是知道盲点总比不知道盲点好。 如果我们意识到我们的盲点,我们就可以在我们的检测努力中更有准备和更有效率。问题: 我们如何限制盲点和假设的数量?答: 发现攻击面并理解环境中的攻击向量。
发布时间:2019-11-11 13:10 | 阅读:50907 | 评论:0 | 标签:二进制安全 恶意软件 系统安全 威胁狩猎

Windows 安全描述符审计方法探究:审查事件日志安全性

在获得对系统的访问权限后,对于尚未提升特权的攻击者,系统会授予什么级别的访问权限呢?与其在主机上进行试验,最终被系统提示拒绝访问,并在测试过程中会产生嘈杂的日志,不如选择一个更好的策略,那就是首先了解 Windows 授予非特权用户的权限。在 Windows 中,几乎所有的访问权限都由安全描述符控制。 本文的目标就是建立一种审计方法,用于暴露由安全描述符错误配置的潜在风险。
发布时间:2019-11-08 13:10 | 阅读:62191 | 评论:0 | 标签:二进制安全 技术 系统安全 windows

一文读懂进程重镜像技术(附检测方案)

背景大约三个月前,一种新的攻击技术出现在安全社区,名为「进程重镜像」。 这项技术是由 McAfee 安全团队在一篇标题为“进程重镜像和终端安全解决方案绕过”的博文中发布的,在这种攻击技术发布的几天后,我的一个同事也是朋友—— Dwight ——拿出了概念验证代码(PoC),演示了这种技术,可以在他的 GitHub 上找到。 虽然这项技术还没有映射到 MITRE ATT&CK 中,但我相信它属于防御躲避战术。尽管我写这篇博客文章的目的是展示用于检测这种攻击的方法,但是它假设你已经读过 McAfee 安全团队发布的博客文章并且看过 Dwight 的概念验证代码。
发布时间:2019-11-07 13:10 | 阅读:44500 | 评论:0 | 标签:二进制安全 系统安全 进程重镜像技术

反恶意软件扫描接口检测分析方法论: 用于 WMI 的 AMSI 识别与分析

简介及目标AMSI 为终端安全服务提供商提供了一个非常棒的接口,能够让提供商从他们所选择的内容扫描的组件中深入了解内存缓冲区。 微软提供了以
发布时间:2019-10-18 13:10 | 阅读:47790 | 评论:0 | 标签:二进制安全 安全工具 系统安全 AMSI WMI 扫描

看我如何一步步将基于堆的 AMSI 绕过做到接近完美

这篇博文描述了如何在 Excel 中实现使用 VBA (Visual Basic for Applications) 绕过微软的AMSI (Antimalware Scan Interface)。 与其他的绕过思路不同的是,这种方法不使用硬编码的偏移量或操作码,而是识别堆上的关键数据并对其进行修改。 其他研究人员以前也提到过基于堆的绕过,但在撰写本文时,还没有可用的公共 PoC。 这篇博文将为读者提供关于 AMSI 实现的一些见解,以及一种绕过它的通用方法。引言自从微软推出 AMSI 实现以来,已经发布了许多关于绕过其实现机制的文章。
发布时间:2019-10-04 13:10 | 阅读:61261 | 评论:0 | 标签:二进制安全 恶意软件 系统安全

使用恶意SQLite数据库获取代码执行

前言SQLite是世界上部署最多的软件之一。但是,从安全角度来看,它只是通过WebSQL和浏览器开发的视角进行了安全检查。在研究人员的长期研究中,曾尝试在SQLite中利用内存损坏漏洞,而不依赖于SQL语言之外的任何环境。使用研究人员的查询劫持和面向查询编程的创新技术,就可以地利用SQLite引擎中的内存损坏漏洞。鉴于SQLite几乎内置于每个主要的操作系统、桌面或移动设备,研究人员希望通过发布研究人员的安全研究和方法,来避免大规模攻击事件的发生。此外,本文介绍的许多原语并不是SQLite独有的,可以拷贝到其他SQL引擎。
发布时间:2019-09-15 13:10 | 阅读:49242 | 评论:0 | 标签:二进制安全 SQLite

深入分析Windows API – LoadLibrary 的内部实现Part.1

在本文中,我们将讨论Windows系统中最重要的(如果不是最重要的,那么也是最众所周知的)一个 API——LoadLibrary。进行这项研究的动机是来自几周前我正在研究的一个项目,我正在编写一个DLL的反射加载器而我无法使其正常工作(最后发现它和reloc的一些东西有关 ),所以,我认为找到我的错误的最好的方法是搞清楚Windows处理加载库的过程。免责声明!我将重点关注调用LoadLibrary时执行的内核代码。用户层的所有内容我都会进行阐述。另一方面,我不会进入内核中的每个调用/指令,你要明白,内核里有很多很多的代码。我将重点关注我认为最重要的函数和结构。
发布时间:2019-03-27 12:20 | 阅读:67522 | 评论:0 | 标签:二进制安全 Windows API

复制自KORKERDS的挖矿脚本移除了KORKERDS相关的所有挖矿机和服务

研究人员在进行程序日志检查时发现,蜜罐钟有恶意脚本下载恶意二进制文件。进一步分析之后,研究人员发现该脚本可以删除大量已知的Linux恶意软件、挖矿脚本和其他挖矿服务相关的端口和链接,而且该脚本与Xbash和KORKERDS有相似和关联。该恶意脚本会下载加密货币挖矿恶意软件并植入到系统中,使用crontab来确保系统重启和删除后的驻留问题。图1. 从域名下载的脚本,蜜罐中的日志信息恶意脚本分析该恶意脚本会下载二进制文件,分析之后发现它是KORKERDS的变种,是对2018年11月的KORKERDS收集的样本的修改版本,对该恶意软件做出了适当的添加和删除。
发布时间:2019-03-19 12:20 | 阅读:82589 | 评论:0 | 标签:二进制安全 恶意脚本

我是如何通过分析后门JXplorer样本发现其背后的恶意组织

一、概述最近,我在使用VirusTotal Intelligence进行一些动态行为查询时,偶然发现了这个奇怪的PE二进制文件(MD5:7fce12d2cc785f7066f86314836c95ec)。该文件声称是JXplorer 3.3.1.2的安装程序,根据其官网提供的信息,JXplorer是一个基于Java的跨平台LDAP浏览器和编辑器。为什么我会说它非常奇怪呢?因为一个流行的LDAP浏览器,其安装程序应该不会创建计划任务,从而从免费动态DnS提供商托管的子域名下载和执行PowerShell代码:我一开始,本来打算写一篇简短的文章,并专注于分析这个可疑的JXplorer二进制文件。
发布时间:2019-03-11 12:20 | 阅读:136396 | 评论:0 | 标签:二进制安全 JXplorer样本 后门

如何在安全研究中使用模糊测试

介绍模糊测试是自动软件测试中最常用的一种方法。通过模糊测试,我们可以根据一组规则来生成大量的输入,然后将这些非预期的输入注入到程序中来观察程序的异常行为。在安全领域,模糊测试是一种发现漏洞的有效方法。市场上现在有很多模糊测试框架,包括开源的框架和商业框架。模糊测试技术主要分为两类:基于演化的模糊测试它们使用遗传算法来增加代码覆盖率。它们会对提供的测试用例进行修改,目的是进一步的分析应用程序。不过坦白说,这需要进行一些代码插桩来给变化引擎提供反馈。基于演化的模糊测试其实就是忽视规定的输入格式,输入各种各样的格式来查看是否有异常并研究这个异常。这种技术在开源社区中有很好的支持和维护。
发布时间:2019-02-27 12:20 | 阅读:125038 | 评论:0 | 标签:Web安全 二进制安全 安全工具 模糊测试

Rietspoof恶意软件释放多个恶意有效载荷

自2018年8月以来,我们一直在监控名为Rietspoof的新恶意软件。Rietspoof是一种新的多阶段恶意软件,具有一些非常引人注目的特性和功能。当我们刚开始跟踪Rietspoof时,它每月更新一次。但是,在2019年1月,我们注意到其更新节奏更改为了每日。Rietspoof利用多个阶段,结合各种文件格式,分发更多样化的恶意软件。我们的数据表明,第一阶段是通过即时消息客户端(如Skype或Messenger)分发的。它分发了一个高度混淆的Visual Basic脚本,其中包含一个硬编码和加密的第二阶段——一个CAB文件。
发布时间:2019-02-21 12:20 | 阅读:83892 | 评论:0 | 标签:二进制安全 Rietspoof

使用Cobalt Strike和Gargoyle绕过杀软的内存扫描

本文将主要介绍我在Cobalt Strike的Beacon有效载荷和gargoyle内存扫描规避技术绕过杀软的内存扫描方面的研究。并且会提供一个使用gargoyle在计时器上执行Cobalt Strike Beacon有效载荷的概念验证(PoC)。这个PoC背后的假设是使用内存扫描技术来对抗终端检测与响应解决方案(EDR),这些扫描技术以规则的时间间隔发生,并且不会在非可执行内存上发出警报(也可能是因为我们触发的警报淹没在了大量密集的警报中)。通过“跳入”内存和“跳出”内存的方式,实现了避免在扫描器运行时将有效载荷驻留在内存中,然后在安全扫描完成后将其再次重新放入内存中的攻击目标。
发布时间:2019-02-20 12:20 | 阅读:108533 | 评论:0 | 标签:二进制安全 扫描

使用马尔科夫链进行Android恶意软件检测

如果你和某人聊天,如果他们给你说了一堆“aslkjeklvm,e,zk3l1”你完全听不懂的词语,显然他们是在胡言乱语。但是,在计算机中,你该如何教电脑识别类似的乱码呢?然而更重要的是,我们为什么要为这个问题烦恼?我见过很多安卓恶意软件,其中有很多包含我们不认识的乱码字符串,无论是代码中的文字,还是签名中的类名,等等。我的想法是,如果你可以对乱码进行“量化”,那这些乱码将会是机器学习模型中的一个很好的特征。我已经测试了我的想法,所以在这篇文章中,我将分享我的成果。什么是马尔可夫链?你可以阅读维基百科上的解释,但不是每个人都有时间阅读完这种篇幅很长的解释。
发布时间:2018-12-11 12:20 | 阅读:170297 | 评论:0 | 标签:二进制安全 移动安全 Android

0 day漏洞CVE-2018-8589的新利用

11月13日,微软发布了安全公告,修补了我们发现的漏洞。我们于2018年10月17日向Microsoft报告了该漏洞。微软确认了该漏洞,其ID为CVE-2018-8589。2018年10月,我们的自动漏洞防护(AEP)系统检测到试图利用Microsoft Windows操作系统中的漏洞。进一步分析显示win32k.sys中存在0 day漏洞。漏洞利用程序由恶意软件安装程序的第一阶段执行,以获取维持受害者系统持久性的必要特权。到目前为止,我们已经检测到利用此漏洞的攻击次数非常有限。受害者位于中东。
发布时间:2018-11-21 12:21 | 阅读:132614 | 评论:0 | 标签:二进制安全 技术 0 day漏洞 漏洞

比特币恶意软件分析指南

犯罪分子正在使用比特币和其他加密货币作为销售被盗数据、黑客服务(如DDoS)和勒索软件支付付款渠道。如果你想更多的了解这个黑产,你需要深入了解比特币以及懂得如何分析交易。跟随上犯罪分子使用的技术的脚步是非常重要的,这样你就能更好的了解新的变化和发展趋势。此外,随着越来越多的人在分析比特币和区块链,因此也有更多的机会开发出新的工具和技术来防御犯罪分子。犯罪分子历来是最早使用新技术的人,因为创新的东西往往被人们倾向于首先用在有冲突且有动机的方面。犯罪分子是最早发现汽车(相同时期大多数警察使用的是自行车或马匹)、手机和蜂鸣器的创造性用途的一部分人。
发布时间:2018-11-20 17:20 | 阅读:105422 | 评论:0 | 标签:二进制安全 比特币

IOT渗透测试一

在本系列文章中,我们将会使用工具进行IOT安全评估的基本步骤。本文是第一篇,你需要一个设备固件的二进制文件才能继续。工具file这款工具能够检测文件类型。file通过检查属性和(对于普通文件)读取文件初始部分来来猜测每个文件参数的类型。file通过命令行将每个文件与系统维护的magic文件进行对比来确定文件类型。详情请参考:https://linux.die.net/man/1/filexddxdd可以执行hexdump或者逆向。xdd会生成给定文件或者标准输入的十六进制格式,也可以将十六进制格式转换回原始的二进制格式。
发布时间:2018-11-19 12:20 | 阅读:124294 | 评论:0 | 标签:二进制安全 IOT工具

针对新型IoT僵尸网络Linux.Omni的分析

一、概述长期以来,我们对网络上活动的Linux和IoT威胁进行分类和分析工作。本文将主要介绍针对Linux.Omni僵尸网络进行分析,我们从部署的蜜罐中检测到该恶意软件。之所以这个僵尸网络引起了我们的注意,是因为它的感染库中包含高达11种不同的漏洞。经过分析,我们最终确定该威胁属于IoTReaper的新版本。二、二进制分析首先,让我们感到惊讶的第一件事就是该恶意软件的分类,也就是OMNI。近几周来,我们检测到了OWARI、TOKYO、SORA、ECCHI等等,所有这些恶意软件都是Gafgyt和Mirai的分支版本。并且,所有这些恶意软件与之前的分析结果相比,没有任何创新。
发布时间:2018-11-15 12:20 | 阅读:118003 | 评论:0 | 标签:二进制安全 Linux.Omni

FreeBSD上编写x86 Shellcode初学者指南

介绍本教程的目的是帮助你熟悉如何在FreeBSD操作系统上编写shellcode。虽然我会尽力在这里叙述所有有关的内容,但并不打算把本文写成汇编代码编程的入门读物。在反汇编中,你会注意到汇编代码采用AT&T语法,而我更喜欢使用Intel语法(无论是哪一种,nasm的工作原理是一样的)。如果你担心这些差异会带来困扰,请使用谷歌搜索并了解这些差异。请注意我只是一个编写shellcod的初学者,本文并不意味着是编写shellcode的全部内容;相反,本文对于全新的shellcoders来说是一个简单的介绍。换句话说,如果你以及编写过shellcode,本文的内容可能不会让你感兴趣。
发布时间:2018-11-09 12:20 | 阅读:99857 | 评论:0 | 标签:二进制安全

动态二进制插桩的原理和基本实现过程(二)

动态二进制修改对运行性能的影响动态二进制插桩的原理和基本实现过程(一)回顾。现在就来讲讲动态二进制修改会对正在运行的程序的性能产生什么影响,根据我的经验,通常观察到的性能开销,实际上取决于各种实际运行因素。不过一般情况下,用户实现的修改都会造成性能开销的变化。无论如何,使用作为动态二进制插桩时,你首先要做的决定就是确定所需的代码覆盖率,进而在衡量性能开销是否合理。PinPin是由英特尔公司开发的动态二进制插桩框架,它允许我们为Windows,Linux和OSX构建称为Pintools的程序分析工具。我们可以使用这些工具来监控、修改和记录程序运行时的行为。
发布时间:2018-08-16 12:20 | 阅读:164337 | 评论:0 | 标签:二进制安全 二进制

动态二进制插桩的原理和基本实现过程(一)

前言动态二进制插桩(dynamic binary instrumentation ,DBI)技术是一种通过注入插桩代码,来分析二进制应用程序在运行时的行为的方法。动态二进制插桩技术,可以在不影响程序动态执行结果的前提下,按照用户的分析需求,在程序执行过程中插入特定分析代码,实现对程序动态执行过程的监控与分析。目前,应用广泛的动态二进制分析平台有Pin,DynamoRIO和Frida等。最常用动态二进制插桩框架的平台这篇文章的目的是对动态二进制插桩的原理和基本实现过程进行全面的介绍,其中,我会选择一些最知名和最常用的动态二进制插桩框架进行具体说明,其中包括Pin,DynamoRIO和Frida。
发布时间:2018-08-15 12:20 | 阅读:150697 | 评论:0 | 标签:二进制安全 二进制

Office漏洞被用于传播FELIXROOT后门

攻击活动详情2017年9月,FireEye的研究人员发现针对乌克兰的工具活动中使用FELIXROOT后门作为payload,该攻击活动中包括恶意的乌克兰银行文档,该文档中含有可以下载FELIXROOT的宏文件。近期,研究人员发现该后门被用于一起新的攻击活动中。这次,声称含有研讨会信息的武器化的诱饵文档利用了Office CVE-2017-0199(WORD/RTF嵌入OLE调用远程文件执行漏洞)和CVE-2017-11882(Office远程代码执行漏洞)两个漏洞在受害者机器上释放和执行后门二进制文件。图1: 攻击概览恶意软件通过用Office漏洞武器化的恶意文档进行传播,如图2所示。
发布时间:2018-08-01 12:20 | 阅读:149779 | 评论:0 | 标签:二进制安全 漏洞 Office漏洞 后门

CVE-2018-5002 – 2018年第二波Flash零日漏洞在野攻击分析预警

背景2018年6月1日,360核心安全高级威胁应对团队在全球范围内率先捕获了新的一起使用Flash 零日漏洞的在野攻击,黑客精心构造了一个从远程加载Flash漏洞的Office文档,打开文档后所有的漏洞利用代码和恶意荷载均通过远程的服务器下发,此次攻击主要针对中东地区。该漏洞目前影响Adobe Flash Player 29.0.0.171及其以下版本,是今年出现的第二波Flash零日漏洞在野攻击。相关漏洞文件分析该样本具有比较诱惑性的文件名***salary.xlsx,其内容也与标题符合,为各个时间阶段的工资,语言采用阿拉伯语。
发布时间:2018-06-08 00:20 | 阅读:163143 | 评论:0 | 标签:业务安全 二进制安全 漏洞 Adobe Flash

通过Nvidia签名的二进制文件执行系统命令

前段时间,在PowerMemory上工作时,我在其中一台电脑上发现了一个由Nvidia配置的隐藏帐户(https://twitter.com/pabraeken/status/651369704746020864)。然后,当我看到Hexacorn文章(http://www.hexacorn.com/blog/2017/11/10/reusigned-binaries-living-off-the-signed -land /)时,我非常开心。我开始寻找Nvidia其他类似的可执行系统命令,以及Nvidia的合法性。我发现这一个:运行它,之后看他的参数很有希望执行命令。
发布时间:2018-05-24 12:20 | 阅读:128437 | 评论:0 | 标签:技术 二进制安全

利用CMSTP绕过AppLocker并执行代码

CMSTP是与Microsoft连接管理器配置文件安装程序关联的二进制文件。它接受INF文件,这些文件可以通过恶意命令武器化,以脚本(SCT)和DLL的形式执行任意代码。它是位于以下两个Windows目录中的受信任的Microsoft二进制文件。· C:WindowsSystem32cmstp.exe· C:WindowsSysWOW64cmstp.exeAppLocker默认规则允许在这些文件夹中执行二进制文件,因此它可以用作绕过方法。
发布时间:2018-05-23 12:20 | 阅读:213197 | 评论:0 | 标签:二进制安全 技术 CMSTP cms

Windows 10 RS3中的EMET ASR功能优劣分析

介绍使用EMET 5中的攻击面减少(ASR)功能的人可能会很喜欢这个功能,因为它能够轻易的阻止在指定的进程中加载特定的DLL。例如,作为针对Casey Smith的regsvr32.exe脚本攻击的缓解措施,NSA IAD发布了一个很好的EMET ASR规则集,来阻止在regsvr32.exe上下文中加载scrobj.dll。从Windows 10 1709开始,EMET 不再受支持,因为它已被Windows Defender Exploit Guard(WDEG)所取代。
发布时间:2018-03-05 12:20 | 阅读:175306 | 评论:0 | 标签:二进制安全 系统安全 安全工具

Adobe Flash 漏洞利用分析:从CVE-2015-5119 到 CVE-2018-4878(上)

据报道,上周有一个漏洞被用来传播ROKRAT恶意软件。这个事情有趣的地方是,在一个似乎很久没有出现热点的时期之后,Flash正在被APT组使用。我们不禁想知道这其中发生了些什么变化,以及这种最新的漏洞是如何工作的。
发布时间:2018-02-13 12:20 | 阅读:278182 | 评论:0 | 标签:二进制安全 技术 漏洞

FireEye FLARE CTF题目分析和工具分享

夺旗(CTF)比赛的一个非常有趣的方面是经常需要拾取新知识,学习和应用各种逆向工程和二进制分析工具来解决比较难突破的挑战。最近我完成了FireEye FLARE-On 2017的挑战,我在我的二进制分析虚拟机中添加了一些工具。
发布时间:2017-12-07 14:00 | 阅读:142883 | 评论:0 | 标签:二进制安全 技术

Android BlueBorne (CVE-2017-0781)漏洞分析和利用

几天前,Armis公司发布了一个通过蓝牙攻击Android系统的远程代码执行安全漏洞(CVE-2017-0781)的PoC,这个漏洞也叫做BlueBorne。尽管BlueBorne是一组8个漏洞的集合,但是这个PoC只用了其中的2个来实现攻击目的。
发布时间:2017-11-18 22:24 | 阅读:300730 | 评论:0 | 标签:二进制安全 移动安全 漏洞 Android

ADS

标签云