2022年6月,卡巴斯基实验室的研究人员在一个系统进程的内存中发现了一个可疑的shellcode。为此,他们深入分析了shellcode是如何放置到进程中的,以及受感染系统上的威胁隐藏在何处?感染链虽然研究人员无法复制整个感染进程,但他们能够从PowerShell执行的位置重建它,如下图所示。
发布时间:
2023-06-02 12:03 |
阅读:2791 | 评论:0 |
标签:
恶意软件 分析
域名准备选择哪家的云都没问题,这里我选择的TX云,因为之前注册过了,自己拿来做个流量分析不成问题。域名添加解析记录需要准备自己的vps作为DNS
发布时间:
2023-06-02 11:06 |
阅读:4713 | 评论:0 |
标签:
安全 分析 DNS
根据 Numen 链上监控,2023年6月1日10点7分55秒(UTC+8),Cellframe Network(@cellframenet)在 Binance Smart Chain 上因为流动性迁移过程中代币数量计算问题遭到黑客攻击。黑客从中获利76112美元。
发布时间:
2023-06-02 01:27 |
阅读:24555 | 评论:0 |
标签:
攻击 安全 分析
事件背景零时科技区块链安全情报平台监控到消息,北京时间2023年5月30日,Arbitrum链上EDE Finance项目受到黑客攻击,攻击者获利 597,694 USDC及86,222 USDT,攻击者地址为0x80826e9801420e19a948b8ef477fd20f754932dc。攻击者完成攻击后,在链上留言声称为“白帽行为”,目前攻击者已返还EDE FinanceEDE Finance项目333,948 USDC及86,222 USDT,留下部分USDC未转移。零时科技安全团队及时对此安全事件进行分析。
发布时间:
2023-06-01 10:56 |
阅读:17596 | 评论:0 |
标签:
攻击 白帽 分析
作者:K&Nan@知道创宇404高级威胁情报团队 原文链接:https://mp.weixin.qq.com/s/H-ZRvcofbzwZ8Ikyn5Vu4w随着各安全厂商对于APT组织及其应用武器的分析越来越彻底,各活跃APT组织自去年底都开始更新自己的攻击武器库,甚至有组织完全放弃了去年的一整套攻击方法,使用新的攻击方法,因此给分析团队对攻击者组织的确定带来了一定困难,这符合一般网络攻防活动对抗的发展规律,防御和攻击在对抗中一起螺旋上升。
发布时间:
2023-05-31 11:53 |
阅读:20398 | 评论:0 |
标签:
攻击 分析
近期,Mandiant发现并披露了COSMICENERGY恶意软件,一款针对工业控制系统(ICS)的新型恶意软件,该恶意软件可通过IEC 60870-5-104 (IEC-104) 协议与电力设备进行通信/交互,进而造成目标电力中断,这些设备通常用于欧洲、中东和亚洲的输配电业务。本文主要从技术角度,对恶意软件样本进行基本分析。
发布时间:
2023-05-31 10:54 |
阅读:18682 | 评论:0 |
标签:
恶意软件 分析
点击上方"蓝字"关注我们吧!01Akira勒索软件概览近期,安天CERT(CCTGA勒索软件防范应对工作组成员)发现多起Akira勒索软件攻击事件。Akira勒索软件于2023年3月被发现,其攻击载荷暂未发现大规模传播,国外安全厂商发现攻击者通过VPN对受害系统进行初始访问[1],故猜测其背后的攻击组织使用定向攻击模式开展勒索攻击活动。攻击者入侵至受害系统后通过远程桌面协议(RDP)工具或其他工具实现内网传播,勒索软件载荷采用AES+RSA算法对文件进行加密,暂未发现公开的解密工具。
发布时间:
2023-05-31 01:25 |
阅读:34022 | 评论:0 |
标签:
攻击 勒索 分析 勒索软件
--- 知道创宇404高级威胁情报团队K&Nan随着各安全厂商对于APT组织及其应用武器的分析越来越彻底,各活跃APT组织自去年底都开始更新自己的攻击武器库,甚至有组织完全放弃了去年的一整套攻击方法,使用新的攻击方法,因此给分析团队对攻击者组织的确定带来了一定困难,这符合一般网络攻防活动对抗的发展规律,防御和攻击在对抗中一起螺旋上升。我们会持续对各组织的新攻击武器进行分析和总结,继上一篇《PatchWork新攻击武器报告》分析了我们捕获的PatchWork组织新武器后,本文我们继续分享Bitter组织的新攻击工具。
发布时间:
2023-05-31 01:25 |
阅读:31990 | 评论:0 |
标签:
攻击 分析
根据 NUMEN 链上监控显示,May-29-2023 09:38:13 PM +UTC,Arbitrum 链上 EDE Finance 遭到攻击,损失437,948枚 USDC 以及86,222枚 USDT,价值约52万美元。目前攻击者已归还 86,222 枚 USDT 和 333,948 枚 USDC 资金,剩余获利资金价值10万美金。
发布时间:
2023-05-31 01:25 |
阅读:34170 | 评论:0 |
标签:
安全 分析
5月30日,以“持续验证 看见安全”为主题的2023网络安全运营技术峰会(SecOps 2023)上,北京华云安信息技术有限公司产品总监王超分享了“大模型在情报分析和攻防场景的应用”,并将大模型技术应用于灵刃·智能渗透与攻击模拟系统(Ai.Bot)与灵知·互联网威胁监测预警中心(Ai.Radar)上的效果进行演示。众所周知,大语言模型是一种基于深度学习技术的人工智能模型,具有出色的自然语言处理能力。随着GPT的出现,网络安全的应用场景迎来焕新契机。在传统的网络安全应用模式中,往往需要花费大量的人力,用于对数据的清洗和深度分析,面临自动化程度低、数据价值利用率低、研究经验复制难等技术瓶颈。
发布时间:
2023-05-30 20:45 |
阅读:34349 | 评论:0 |
标签:
攻防 情报 分析
2023年4月8日~9日,由InForSec、南方科技大学斯发基斯可信自主系统研究院、清华大学网络科学与网络空间研究院、复旦大学软件学院系统软件与安全实验室、国科学院计算技术研究所处理器芯片全国重点实验室、中国科学院软件研究所可信计算与信息保障实验室、中国科学院大学国家计算机网络入侵防范中心、浙江大学NESA Lab、山东大学网络空间安全学院、百度安全、奇安信集团、蚂蚁集团、阿里安全等单位联合主办的“InForSec 2023年网络空间安全国际学术研究成果分享及青年学者论坛”在南方科技大学成功召开。
发布时间:
2023-05-30 19:58 |
阅读:38408 | 评论:0 |
标签:
安全 分析 域名
最近在做主机侧网络连接相关的调研,发现通过 linux 自带的netlink能实时获取网络连接五元组信息,可以用于网络活动可视化、异常连接检测、安全策略优化以及审计等功能,但网络上找到的相关文章不多,因此在此分析下netlink实时获取网络连接信息的原理。
发布时间:
2023-05-30 17:42 |
阅读:33256 | 评论:0 |
标签:
网络 分析
#威胁情报 8个 CoA矩阵简介我们收集到的每一条情报都应该具有价值和可操作性,可操作性可以是直接使用的(例如:封禁动作),也可以是用于恶意活动归因分析的。这些可操作性的防护手段有的是可以直接在当前组织拥有的设备和技术上直接实现的,而有些则不能。CoA矩阵(Course of Actions Matrix)提供了更为清晰的防护处置方案。发现检测阻止干扰削弱欺骗摧毁侦察武器化投递渗透安装远控达成目标CoA矩阵本质很简单,第一列给出了杀伤链的每个阶段,每一行对应了该杀伤链阶段可以采取的防护措施。
发布时间:
2023-05-29 19:57 |
阅读:48257 | 评论:0 |
标签:
入侵 情报 威胁情报 分析
作者 | 启明星辰ADLab漏洞概述OPC UA .NET Standard Stack是OPC Foundation(OPC基金会)官方维护的OPC UA协议栈的参考实现。该协议栈以.NET语言开发,包含了可移植的OPC UA协议栈和核心库(包含客户端、服务端、配置、复杂类型支持库等),服务端和客户端的参考实现以及客户端和服务端的X.509证书认证等实现。OPC UA协议是工业控制领域中的一种十分流行的通讯协议。
发布时间:
2023-05-29 17:02 |
阅读:99650 | 评论:0 |
标签:
漏洞 分析
小心你的邻居正在偷窥你浏览的网页!背景图形处理单元(GPU)是现代计算机系统的重要组成部分,不仅可用于图形渲染,还可用于进行大量的并行计算。然而,在GPU上运行的许多任务都包含敏感信息,越来越多的学者关注到了其信息泄露问题。Zihao Zhan等人2022年在顶级学术期刊S&P上,提出了一种针对GPU的电磁侧信道攻击,用以恢复用户的网站指纹和推测按键间隔时间。其方案主要利用了GPU的动态电压和频率调节(DVFS)功能产生的漏洞,可发起远程或穿墙攻击,NVIDIA和AMD公司的多款GPU均会受到该漏洞的威胁。
发布时间:
2023-05-29 11:06 |
阅读:24438 | 评论:0 |
标签:
分析
网站中存在的越权漏洞,首先我们来讲一下什么是关键可控参数,也就是说像我们的一些关键参数,例如use ID order by ID就是一些关键的参数,必须是你的这么一个测试者,是能够去对其控制的。如果这个参数已经挟持了,或者说他有固定的这个值。那此时的话就不称为可控参数了。而关键就是你的改动必须能造成这个越权效果的一种称为关键参数。我们一定要快速定位到这种关键可控的这个参数之后,我们才能够更快速的去找到对应的这么一个越权漏洞。 那后面讲的这个坚持参数同变同控原则是什么意思,因为我们在一个请求信息里面可能会出现多个变量,或者说多个参数的这种情况。
发布时间:
2023-05-29 04:41 |
阅读:82074 | 评论:0 |
标签:
漏洞 分析
根据 NUMEN 链上监控显示,May-28-2023 12:24:52 AM +UTC, Arbitrum 链上 JimboController 遭到攻击,损失4,090枚 ETH,价值约750万美元。目前攻击者已将所有 ETH 跨链至 Ethereum。
发布时间:
2023-05-28 22:33 |
阅读:52867 | 评论:0 |
标签:
攻击 分析
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
发布时间:
2023-05-26 11:05 |
阅读:51749 | 评论:0 |
标签:
钓鱼 分析
[Android逆向] 某麦网APK抢票接口加密参数分析及抢票工具开发0x00 概述针对大麦网部分演唱会门票仅能在app渠道抢票的问题,本文研究了APK的抢票接口并编写了抢票工具。本文介绍的顺序为环境搭建、抓包、trace分析、接口参数获取、rpc调用实现,以及最终的功能实现。通过阅读本文,你将学到反抓包技术破解、Frida hook、jadx apk逆向技术,并能对淘系APP的运行逻辑有所了解。本文仅用于学习交流,严禁用于非法用途。关键词: frida, 大麦网, Android逆向先放成功截图:0x01 缘起疫情结束的2023年5月,大家对出去玩都有点疯狂,歌手们也扎堆开演唱会。
发布时间:
2023-05-25 22:32 |
阅读:55416 | 评论:0 |
标签:
加密 分析
原文:https://rce.moe/2023/05/25/Gitlab-CVE-2023-2825/作者:burpheart如有侵权,请联系删除!使用docker 部署漏洞环境docker pull gitlab/gitlab-ce:16.0.0-ce.0poc内容curl -i -s -k -X $'G
发布时间:
2023-05-25 22:32 |
阅读:128620 | 评论:0 |
标签:
漏洞 CVE 分析
1.1 获取和解压固件1.2 流量转发1.3 虚拟环境的各种问题1.4 真机2.1 telnet2.2 password获取3.1 目录梳理4.1 登陆4.1.1 密码泄露4.2 admin后台4.2.1 password.asp4.2.2 所以a
发布时间:
2023-05-25 10:54 |
阅读:106656 | 评论:0 |
标签:
漏洞 分析
本文会分析野外发现的两个rootkit示例:Husky rootkit和Mingloa/CopperStealer rootkit。驱动入口函数DriverEntry让我们从二进制的驱动入口函数DriverEntry开始,在Windows内核驱动程序中,它是DriverEntry。DriverEntry通常包括以下代码块:调用IoCreateDevice和IoCreateSymbolicLink;初始化主要函数数组,其中包含指向各种处理函数的函数指针;为DriverUnload例程分配一个指向处理程序函数的函数指针。
发布时间:
2023-05-24 12:02 |
阅读:49536 | 评论:0 |
标签:
apt 分析
#外挂 2个 背景在网络上获取到一个运动模拟器APP,宣称可以支持对市面上所有运动APP的步数的修改,最终快速实现到你设定的目标步数。下面就开始对运动模拟器APP功能进行分析,解析下该APP如何实现修改步数功能原来,达到最终的作弊效果。在进行解析功能之前先需要了解下xposed基础知识点和传感器知识点。xposed基础Xposed框架(Xposed Framework)是一套应用性非常广的HOOK框架,在Android 高权限模式下运行的框架服务,可以在不修改 APP源码的情况下,修改程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。
发布时间:
2023-05-24 11:08 |
阅读:142372 | 评论:0 |
标签:
app 分析
By: Enze & Zero概览某大户地址私钥泄露被盗,被盗资金被转移到 Wasabi Coinjoin 中。被盗用户寻求 MistTrack 团队(https://misttrack.io/)协助。MistTrack 团队对混入 Wasabi Coinjoin 的被盗资金进行提款分析,成功追踪并重新捕获资金流向。随后,黑客对资金进行跨链交易。MistTrack 团队发现跨链后黑客地址有转移到交易所的历史痕迹,于是协助执法机构与交易所取得联系,申请调证并对相关账户进行风控。
发布时间:
2023-05-24 10:52 |
阅读:42675 | 评论:0 |
标签:
分析
阅读: 11在 今年的RSA 会议上,Akamai 高级副总裁 Rupesh Chokshi 分享了题为Spotlight on latest web application and api attack data的议题,重点介绍了最新的网络应用程序漏洞和 API 攻击趋势。本文将解读该议题,首先从近年来应用漏洞和API攻击数据趋势出发,描述导致数据泄露的主要原因,紧接着将介绍各行业受到攻击的数据统计。最后,从 OWASP API Security Top 10 RC 版本中描述了一些现有风险的更新以及新增的API安全风险。
摘 要在我们的病毒库中,已检测到150+样本,伪装成24个机构相关应用。应用以政府机构为主,延伸到银行、保险、航空、生活服务行业,目标人群覆盖了几乎全部的泰国政府相关人员。关键词:RAT、隐私窃取、泰国第一章 序近日,奇安信病毒响应中心移动安全团队监测到一批伪装成泰国政府机构的新型恶意软件,并通过数据挖掘和分析发现,此恶意软件家族在较短的时间内,呈现爆发式的增长,行业拓展到银行、保险、航空和生活服务等,国家也蔓延到秘鲁和菲律宾等东南亚国家。为了躲避安全检测,家族频繁迭代版本,在我们的病毒库中,已检测到150+样本,伪装成24个机构相关应用。
发布时间:
2023-05-23 17:07 |
阅读:60326 | 评论:0 |
标签:
恶意软件 分析
前言
D-Link DIR-645在实现上存在命令注入及栈缓冲区溢出漏洞,攻击者可利用这些漏洞任意更改内存,以root权限执行任意shell命令或代码。该漏洞是CGI脚本在处理authentication.cgi请求,将请求头的CONTENT_LENGTH值作为read函数读取文件的内容大小,由于该值可控,因此造成read函数的缓冲区溢出。
固件模拟
首先通过attifyos虚拟机进行环境搭建,attifyos虚拟机中集成了常用的固件环境模拟工具。
0x00 前言利用TabShell可以使用普通用户逃避沙箱并在Exchange Powershell中执行任意cmd命令,本文将要介绍利用TabShell执行cmd命令并获得返回结果的方法,分享通过Python编写脚本的细节。
发布时间:
2023-05-23 12:03 |
阅读:44928 | 评论:0 |
标签:
shell 执行 分析
在 今年的RSA 会议上,Akamai 高级副总裁 Rupesh Chokshi 分享了题为Spotlight on latest web application and api attack data的议题,重点介绍了最新的网络应用程序漏洞和 API 攻击趋势。本文将解读该议题,首先从近年来应用漏洞和API攻击数据趋势出发,描述导致数据泄露的主要原因,紧接着将介绍各行业受到攻击的数据统计。
发布时间:
2023-05-23 11:06 |
阅读:45517 | 评论:0 |
标签:
攻击 API 分析
环境准备分析stageless beacon 的http通信过程主要是为了看cs 各个功能是如何实现的以及具体的通信包结构以便自己实现beacon。使用idea 反编译然后导入原jar包作为依赖的方法进行调试跟踪。取出序列化存储在.cobaltstrike.beacon_keys 里的rsa 公私钥。
发布时间:
2023-05-22 11:54 |
阅读:40250 | 评论:0 |
标签:
分析