记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

你不知道的威胁狩猎技巧:Windows API 与 Sysmon 事件的映射

“就像我们知道的那样,有一些事情我们是知道的。有一些事情我们知道我们知道,也有些我们不知道我们知道。也就是说我们知道有些事情我们不知道,但是也有些事情是我们不知道我们不知道。” ——唐纳德 · 拉姆斯菲尔德简介从防御的角度来看,我们应用于安全的最危险的事情之一就是假设。 假设是造成不确定性的盲点。 通过在检测过程中枚举和消除尽可能多的假设,我们限制了攻击面和敌人可以逃避我们检测努力的区域。 虽然总会有盲点,但是知道盲点总比不知道盲点好。 如果我们意识到我们的盲点,我们就可以在我们的检测努力中更有准备和更有效率。问题: 我们如何限制盲点和假设的数量?答: 发现攻击面并理解环境中的攻击向量。 有了这样的认识,我们就可以发现
发布时间:2019-11-11 13:10 | 阅读:4334 | 评论:0 | 标签:二进制安全 恶意软件 系统安全 威胁狩猎

Windows 安全描述符审计方法探究:审查事件日志安全性

在获得对系统的访问权限后,对于尚未提升特权的攻击者,系统会授予什么级别的访问权限呢?与其在主机上进行试验,最终被系统提示拒绝访问,并在测试过程中会产生嘈杂的日志,不如选择一个更好的策略,那就是首先了解 Windows 授予非特权用户的权限。在 Windows 中,几乎所有的访问权限都由安全描述符控制。 本文的目标就是建立一种审计方法,用于暴露由安全描述符错误配置的潜在风险。 在建立方法之后,我们将把它应用到一个实际的用例中: 在Windows 事件日志中,哪些潜在的可滥用访问权限被授予给了无特权组? 为了回答这些问题,我们应该定义如下两点:· 什么是错误配置?· 什么是“可滥用的”访问权限?在回答这
发布时间:2019-11-08 13:10 | 阅读:5380 | 评论:0 | 标签:二进制安全 技术 系统安全 windows

一文读懂进程重镜像技术(附检测方案)

背景大约三个月前,一种新的攻击技术出现在安全社区,名为「进程重镜像」。 这项技术是由 McAfee 安全团队在一篇标题为“进程重镜像和终端安全解决方案绕过”的博文中发布的,在这种攻击技术发布的几天后,我的一个同事也是朋友—— Dwight ——拿出了概念验证代码(PoC),演示了这种技术,可以在他的 GitHub 上找到。 虽然这项技术还没有映射到 MITRE ATT&CK 中,但我相信它属于防御躲避战术。尽管我写这篇博客文章的目的是展示用于检测这种攻击的方法,但是它假设你已经读过 McAfee 安全团队发布的博客文章并且看过 Dwight 的概念验证代码。 这次攻击的简要概要如下:进程重镜像是一种攻击技术,它
发布时间:2019-11-07 13:10 | 阅读:5211 | 评论:0 | 标签:二进制安全 系统安全 进程重镜像技术

反恶意软件扫描接口检测分析方法论: 用于 WMI 的 AMSI 识别与分析

简介及目标AMSI 为终端安全服务提供商提供了一个非常棒的接口,能够让提供商从他们所选择的内容扫描的组件中深入了解内存缓冲区。 微软提供了以下组件列表,这些组件选择使用 AMSI:· 用户帐户控制或 UAC (EXE、 COM、 MSI 或 ActiveX 安装时的权限提升)· Powershell (脚本、交互式使用和动态代码权限提升)· Windows Script Host (wscript.exe and cscript.exe)· JavaScript 和 VBScript· Office VBA 宏作为一名从事侦查工程的防御者和一名对成熟
发布时间:2019-10-18 13:10 | 阅读:9889 | 评论:0 | 标签:二进制安全 安全工具 系统安全 AMSI WMI 扫描

看我如何一步步将基于堆的 AMSI 绕过做到接近完美

这篇博文描述了如何在 Excel 中实现使用 VBA (Visual Basic for Applications) 绕过微软的AMSI (Antimalware Scan Interface)。 与其他的绕过思路不同的是,这种方法不使用硬编码的偏移量或操作码,而是识别堆上的关键数据并对其进行修改。 其他研究人员以前也提到过基于堆的绕过,但在撰写本文时,还没有可用的公共 PoC。 这篇博文将为读者提供关于 AMSI 实现的一些见解,以及一种绕过它的通用方法。引言自从微软推出 AMSI 实现以来,已经发布了许多关于绕过其实现机制的文章。 白色代码(Code White)安全团队实施红队的使用场景,其中网络钓鱼扮演了重要角
发布时间:2019-10-04 13:10 | 阅读:12903 | 评论:0 | 标签:二进制安全 恶意软件 系统安全

使用恶意SQLite数据库获取代码执行

前言SQLite是世界上部署最多的软件之一。但是,从安全角度来看,它只是通过WebSQL和浏览器开发的视角进行了安全检查。在研究人员的长期研究中,曾尝试在SQLite中利用内存损坏漏洞,而不依赖于SQL语言之外的任何环境。使用研究人员的查询劫持和面向查询编程的创新技术,就可以地利用SQLite引擎中的内存损坏漏洞。鉴于SQLite几乎内置于每个主要的操作系统、桌面或移动设备,研究人员希望通过发布研究人员的安全研究和方法,来避免大规模攻击事件的发生。此外,本文介绍的许多原语并不是SQLite独有的,可以拷贝到其他SQL引擎。SQLite的攻击面下面的代码片段是密码窃取器后端的一个相当常见的示例:由于研究人员控制了数据库及
发布时间:2019-09-15 13:10 | 阅读:16113 | 评论:0 | 标签:二进制安全 SQLite

深入分析Windows API – LoadLibrary 的内部实现Part.1

在本文中,我们将讨论Windows系统中最重要的(如果不是最重要的,那么也是最众所周知的)一个 API——LoadLibrary。进行这项研究的动机是来自几周前我正在研究的一个项目,我正在编写一个DLL的反射加载器而我无法使其正常工作(最后发现它和reloc的一些东西有关 ),所以,我认为找到我的错误的最好的方法是搞清楚Windows处理加载库的过程。免责声明!我将重点关注调用LoadLibrary时执行的内核代码。用户层的所有内容我都会进行阐述。另一方面,我不会进入内核中的每个调用/指令,你要明白,内核里有很多很多的代码。我将重点关注我认为最重要的函数和结构。LoadLibrary!为了便于研究,我将使用下面这个代码
发布时间:2019-03-27 12:20 | 阅读:40791 | 评论:0 | 标签:二进制安全 Windows API

复制自KORKERDS的挖矿脚本移除了KORKERDS相关的所有挖矿机和服务

研究人员在进行程序日志检查时发现,蜜罐钟有恶意脚本下载恶意二进制文件。进一步分析之后,研究人员发现该脚本可以删除大量已知的Linux恶意软件、挖矿脚本和其他挖矿服务相关的端口和链接,而且该脚本与Xbash和KORKERDS有相似和关联。该恶意脚本会下载加密货币挖矿恶意软件并植入到系统中,使用crontab来确保系统重启和删除后的驻留问题。图1. 从域名下载的脚本,蜜罐中的日志信息恶意脚本分析该恶意脚本会下载二进制文件,分析之后发现它是KORKERDS的变种,是对2018年11月的KORKERDS收集的样本的修改版本,对该恶意软件做出了适当的添加和删除。与KORKERDS相比,新脚本并不会卸载系统中安装的安全产品,也不会
发布时间:2019-03-19 12:20 | 阅读:52549 | 评论:0 | 标签:二进制安全 恶意脚本

我是如何通过分析后门JXplorer样本发现其背后的恶意组织

一、概述最近,我在使用VirusTotal Intelligence进行一些动态行为查询时,偶然发现了这个奇怪的PE二进制文件(MD5:7fce12d2cc785f7066f86314836c95ec)。该文件声称是JXplorer 3.3.1.2的安装程序,根据其官网提供的信息,JXplorer是一个基于Java的跨平台LDAP浏览器和编辑器。为什么我会说它非常奇怪呢?因为一个流行的LDAP浏览器,其安装程序应该不会创建计划任务,从而从免费动态DnS提供商托管的子域名下载和执行PowerShell代码:我一开始,本来打算写一篇简短的文章,并专注于分析这个可疑的JXplorer二进制文件。然而,在我分析的过程中才发现,
发布时间:2019-03-11 12:20 | 阅读:83171 | 评论:0 | 标签:二进制安全 JXplorer样本 后门

如何在安全研究中使用模糊测试

介绍模糊测试是自动软件测试中最常用的一种方法。通过模糊测试,我们可以根据一组规则来生成大量的输入,然后将这些非预期的输入注入到程序中来观察程序的异常行为。在安全领域,模糊测试是一种发现漏洞的有效方法。市场上现在有很多模糊测试框架,包括开源的框架和商业框架。模糊测试技术主要分为两类:基于演化的模糊测试它们使用遗传算法来增加代码覆盖率。它们会对提供的测试用例进行修改,目的是进一步的分析应用程序。不过坦白说,这需要进行一些代码插桩来给变化引擎提供反馈。基于演化的模糊测试其实就是忽视规定的输入格式,输入各种各样的格式来查看是否有异常并研究这个异常。这种技术在开源社区中有很好的支持和维护。有几个框架非常优秀,比如American
发布时间:2019-02-27 12:20 | 阅读:89897 | 评论:0 | 标签:Web安全 二进制安全 安全工具 模糊测试

Rietspoof恶意软件释放多个恶意有效载荷

自2018年8月以来,我们一直在监控名为Rietspoof的新恶意软件。Rietspoof是一种新的多阶段恶意软件,具有一些非常引人注目的特性和功能。当我们刚开始跟踪Rietspoof时,它每月更新一次。但是,在2019年1月,我们注意到其更新节奏更改为了每日。Rietspoof利用多个阶段,结合各种文件格式,分发更多样化的恶意软件。我们的数据表明,第一阶段是通过即时消息客户端(如Skype或Messenger)分发的。它分发了一个高度混淆的Visual Basic脚本,其中包含一个硬编码和加密的第二阶段——一个CAB文件。CAB文件扩展为可执行文件,该文件大多使用Comodo CA颁发的有效证
发布时间:2019-02-21 12:20 | 阅读:54184 | 评论:0 | 标签:二进制安全 Rietspoof

使用Cobalt Strike和Gargoyle绕过杀软的内存扫描

本文将主要介绍我在Cobalt Strike的Beacon有效载荷和gargoyle内存扫描规避技术绕过杀软的内存扫描方面的研究。并且会提供一个使用gargoyle在计时器上执行Cobalt Strike Beacon有效载荷的概念验证(PoC)。这个PoC背后的假设是使用内存扫描技术来对抗终端检测与响应解决方案(EDR),这些扫描技术以规则的时间间隔发生,并且不会在非可执行内存上发出警报(也可能是因为我们触发的警报淹没在了大量密集的警报中)。通过“跳入”内存和“跳出”内存的方式,实现了避免在扫描器运行时将有效载荷驻留在内存中,然后在安全扫描完成后将其再次重新放入内存中的攻击目标。这篇文章的内容假设读者熟悉 
发布时间:2019-02-20 12:20 | 阅读:65146 | 评论:0 | 标签:二进制安全 扫描

使用马尔科夫链进行Android恶意软件检测

如果你和某人聊天,如果他们给你说了一堆“aslkjeklvm,e,zk3l1”你完全听不懂的词语,显然他们是在胡言乱语。但是,在计算机中,你该如何教电脑识别类似的乱码呢?然而更重要的是,我们为什么要为这个问题烦恼?我见过很多安卓恶意软件,其中有很多包含我们不认识的乱码字符串,无论是代码中的文字,还是签名中的类名,等等。我的想法是,如果你可以对乱码进行“量化”,那这些乱码将会是机器学习模型中的一个很好的特征。我已经测试了我的想法,所以在这篇文章中,我将分享我的成果。什么是马尔可夫链?你可以阅读维基百科上的解释,但不是每个人都有时间阅读完这种篇幅很长的解释。简单的说,你用了很多字符串来训练一个马尔科夫链模型。一旦训练好,你
发布时间:2018-12-11 12:20 | 阅读:124926 | 评论:0 | 标签:二进制安全 移动安全 Android

0 day漏洞CVE-2018-8589的新利用

11月13日,微软发布了安全公告,修补了我们发现的漏洞。我们于2018年10月17日向Microsoft报告了该漏洞。微软确认了该漏洞,其ID为CVE-2018-8589。2018年10月,我们的自动漏洞防护(AEP)系统检测到试图利用Microsoft Windows操作系统中的漏洞。进一步分析显示win32k.sys中存在0 day漏洞。漏洞利用程序由恶意软件安装程序的第一阶段执行,以获取维持受害者系统持久性的必要特权。到目前为止,我们已经检测到利用此漏洞的攻击次数非常有限。受害者位于中东。卡巴斯基实验室产品使用以下技术主动检测到此漏洞利用:· 端点检测引擎和自动漏洞防御技术· 卡巴斯基反目标攻击平台(KATA)的
发布时间:2018-11-21 12:21 | 阅读:96074 | 评论:0 | 标签:二进制安全 技术 0 day漏洞 漏洞

比特币恶意软件分析指南

犯罪分子正在使用比特币和其他加密货币作为销售被盗数据、黑客服务(如DDoS)和勒索软件支付付款渠道。如果你想更多的了解这个黑产,你需要深入了解比特币以及懂得如何分析交易。跟随上犯罪分子使用的技术的脚步是非常重要的,这样你就能更好的了解新的变化和发展趋势。此外,随着越来越多的人在分析比特币和区块链,因此也有更多的机会开发出新的工具和技术来防御犯罪分子。犯罪分子历来是最早使用新技术的人,因为创新的东西往往被人们倾向于首先用在有冲突且有动机的方面。犯罪分子是最早发现汽车(相同时期大多数警察使用的是自行车或马匹)、手机和蜂鸣器的创造性用途的一部分人。现如今,他们已成为攻击互联网、利用洋葱网络、使用加密和现在流行的比特币的先锋人
发布时间:2018-11-20 17:20 | 阅读:64785 | 评论:0 | 标签:二进制安全 比特币

IOT渗透测试一

在本系列文章中,我们将会使用工具进行IOT安全评估的基本步骤。本文是第一篇,你需要一个设备固件的二进制文件才能继续。工具file这款工具能够检测文件类型。file通过检查属性和(对于普通文件)读取文件初始部分来来猜测每个文件参数的类型。file通过命令行将每个文件与系统维护的magic文件进行对比来确定文件类型。详情请参考:https://linux.die.net/man/1/filexddxdd可以执行hexdump或者逆向。xdd会生成给定文件或者标准输入的十六进制格式,也可以将十六进制格式转换回原始的二进制格式。详情请参考:https://linux.die.net/man/1/xxdbinwalk这是一个固件
发布时间:2018-11-19 12:20 | 阅读:88188 | 评论:0 | 标签:二进制安全 IOT工具

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词