记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华疑似Lazarus(APT-Q-1)涉及npm包供应链的攻击样本分析
团伙背景Lazarus是疑似具有东北亚背景的APT组织,奇安信内部跟踪编号APT-Q-1。该组织因2014年攻击索尼影业开始受到广泛关注,其攻击活动最早可追溯到2007年。Lazarus早期主要针对政府机构,以窃取敏感情报为目的,但自2014年后,开始以全球金融机构、虚拟货币交易场等为目标,进行敛财为目的的攻击活动。此外,该组织还针对安全研究人员展开攻击。近年来,Lazarus频繁发起软件供应链攻击,今年上半年披露的3CX供应链攻击事件被认为出自该组织之手。事件概述奇安信威胁情报中心近期发现一批较为复杂的下载器样本,这类样本经过多层嵌套的PE文件加载,最终从C2服务器下载后续载荷并执行。
入侵检测之流量分析--SURICATA应用
前言本想写纯技术文档,但近期私信我的几个读者应该都是刚开始接触网络安全,所以我觉得我还是应该记录的更详细一点,不能说完全记录透彻,但应该能指出一个知识大概是哪一块领域的,方便百度。此文章是我记录流量分析的开篇,所以文字叙述比较多。之后会结合个人经验详细记录检测规则集说明、检测规则的告警分类思路等,并且我会在公网搭建一个离线数据包分析平台供大家使用,兼容市面上的主流规则集和我自己编写的部分规则(其中包含此前分析的一些APT组织样本提取的特征)。对我个人而言,做病毒样本分析实际上是受流量分析的启发。因为加密通讯流量的普及,单纯的流量分析有着很大的局限性。
APT-C-56(透明部落)利用OLE对象部署CrimsonRAT木马的攻击活动分析
APT-C-56 透明部落APT-C-56(透明部落)(Transparent Tribe)又名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,其主要针对印度等周边国家发动网络攻击,善于运用社会工程学进行鱼叉攻击向目标用户投递带宏的doc、ppam和xls等类型诱饵文档,并且还开发出了属于自己的专属木马CrimsonRAT等工具,此外透明部落组织还被发现与SideCopy组织存在基础设施重叠。360高级威胁研究院捕获到了一批针对印度国防、金融、大学等单位的攻击样本。
2023年11月勒索软件流行态势分析
勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。2023年11月,全球新增的活跃勒索软件家族有MEOW LEAKS和Lambda,其中MEOW LEAKS家族采用多重勒索方式运营,而Lambda则采用较为传统的加密勒索方式运营。
云环境网络流量采集和分析解决方案
随着湖南农信互联网金融业务的飞速发展,线上化业务量越来越大,业务系统架构快速更新,业务上云加速推进。运维人员需要一种有效的解决方案,能够对全网的网络流量进行采集和分析,覆盖云上和云下,敏捷应对业务变化,掌握运维的主动性。该解决方案不但能够真实地观测核心业务网络层的运行情况,还能够跨越多种技术架构,云上云下统一视角,并且囊括防火墙和应用交付设备,同时还易于建设和使用。在流量采集层,需要能覆盖underlay、overlay等各层次,具备对物理主机、ECS虚机、K8S、负载均衡等各个环节网络流量的采集能力。
慢雾:朝鲜黑客 Telegram 定点欺诈攻击分析
发表于 #安全技术研究 180个 By: 23pds@慢雾安全团队背景早在 2022 年,慢雾安全团队就通过慢雾 BTI 情报网络发现朝鲜黑客 Lazarus 团伙开启针对加密货币行业的大规模 Telegram 欺诈钓鱼行动,近期朝鲜黑客更是开始冒充知名投资机构,对项目方进行欺诈钓鱼,鉴于影响范围较大,慢雾在此进行分析。
Agent Racoon 新型恶意软件攻击工具分析
原文链接:New Tool Set Found Used Against Organizations in the Middle East, Africa and the US 译者:知道创宇404实验室翻译组安全研究人员观察到针对中东、非洲和美国组织的一系列明显相关的攻击。我们将讨论攻击过程中使用的一组工具,这些工具揭示了有关黑客活动的线索。这些工具用于执行以下活动:建立后门功能 用于命令和控制 (C2) 窃取用户凭据 泄露机密信息 我们评估了风险中的置信度,由于受到损害的组织的性质、观察到的 TTP 以及工具集的定制,该威胁活动集群与民族国家相关的黑客一致。
二进制漏洞分析-17.华为TrustZone Tee_Fido_Main漏洞
二进制漏洞分析-1.华为Security Hypervisor漏洞二进制漏洞分析-2.揭示华为安全管理程序(上)二进制漏洞分析-3.揭示华为安全管理程序(下)二进制漏洞
基于CVE-2023-36884和CVE-2023-36584漏洞链攻击的深度分析
漏洞链攻击从以下诱饵开始:分析时,研究人员观察到一个有趣的Microsoft Word文档(.docx文件)于2023年7月3日首次提交给VirusTotal,名为Overview_of_UWCs_UkraineInNATO_campaign.docx。该活动被社区归因于Storm-0978(也被称为RomCom组织,因为他们使用了RomCom后门)。
OWASP 实战分析 level 3
这篇文章详细介绍了解决OWASP人员(Bernhard Mueller)发布的Androidcrackme程序(owasp uncrackable)的几种方法。题目链接链接:https://pan.baidu.com/s/1VJ7Y3psWoSi5NnlOpaohEw
从一道题分析Invoke-PSImage隐藏webshell到图片
从一道题分析Invoke-PSImage隐藏webshell到图片前言写这篇文章的目的主要是群友给我了一道湖南省赛的一道恶意webshell隐藏到图片的题目,感觉之前没怎么遇到过,正好借助这个题目进行学习一下。
2023 CCF中国软件大会(CCF ChinaSoft) “区块链可靠性分析”论坛成功召开
发表于 2023年12月1日上午,2023年度CCF中国软件大会区块链可靠性分析论坛成功召开。本次论坛由中山大学郑子彬、澳门科技大学张涛、中科院软件所蔡彦和中山大学陈嘉弛四位老师联合组织举办。本论坛重点关注区块链可靠性,邀请了近年来在区块链可靠性研究方面有先进学术成果的研究者和业界专家进行成果交流与问题讨论,包含区块链性能优化、智能合约漏洞检测、区块链交易分析等相关主题报告。本次论坛吸引了相关领域师生与从业人员的广泛关注。✦ +论坛由中山大学陈嘉弛助理教授主持。
GoTitan 僵尸网络针对 Apache ActiveMQ 的持续利用分析
原文链接:GoTitan Botnet - Ongoing Exploitation on Apache ActiveMQ 译者:知道创宇404实验室翻译组受影响的平台:Apache Active MQ 版本低于 5.15.16、5.16.7、5.17.6 和 5.18.3 的所有操作系统 受影响方:所有组织 影响:远程攻击者易获得受攻击系统的控制权 严重性级别:严重 去年10月,Apache发布了一个关于CVE-2023-46604漏洞的报告,该漏洞涉及Apache中不可信数据的反序列化。
恶意软件和威胁新“Turtle”macOS 勒索软件分析
专门研究 Apple 产品的著名网络安全研究员 Patrick Wardle 对一种名为 Turtle 的新 macOS 勒索软件进行了分析。Wardle 的分析表明,Turtle 勒索软件目前并不复杂,但该恶意软件的存在表明网络犯罪分子继续表现出针对 macOS 用户的兴趣。Turtle 勒索软件的版本似乎也是针对 Windows 和 Linux 系统创建的。VirusTotal 上的几家供应商已经将 Turtle 检测为潜在威胁,这对于针对 macOS 的新恶意软件来说并不常见,但可能可以通过与 Windows 版本的相似性来解释,Windows 版本存在众包 YARA 规则。
batsignal macOS本地提权漏洞分析
写在前面的话本文由安全研究人员Gergely发表于他自己的博客,并在文中详细介绍了macOS中的一个本地提权漏洞(CVE-2022-26704)。该漏洞已上报给了苹果安全奖励计划ABS,并在上报后的322天拿到了漏洞奖金,目前苹果已将该漏洞成功修复。关于漏洞这个漏洞名为batsignal,是macOS中的一个本地提权漏洞,该漏洞允许研究人员在Spotlight(聚焦搜索功能)中将非特权用户(包括访客用户在内)提升为root权限。Spotlight介绍Spotlight是macOS系统中的一个搜索服务,它可以对系统中的磁盘内容进行索引,而它本身对于研究人员来说也是非常有意思的一个研究目标。
从漏洞挖掘的角度深入分析shiro反序列化漏洞
前言相信大家在找工作还是hvv面试的时候,shiro反序列化这种标志性的漏洞是最常问的,我们应该大都是通过背漏洞原理来蒙混过关,而且就在上个月也是通过shiro反序列化为入口,成功打穿一个医院的内网,最近恰好小迪老师分析了shiro反序列化漏洞,我也跟着搭建环境,深入的了解了一下这个漏洞的原理。
代码审计:jar-analyzer 分析漏洞 Apache Commons Text RCE
争取B站每周更新!文章投稿来自uname 。Jar Analyzer 是一个分析 Jar 文件的 GUI 工具:支持大 Jar 以及批量 Jars 分析方便地搜索方
首发 | 美国红队建设运用特点及案例分析
发表于 红队是美西方国家的常用术语,泛指站在对立面或第三方立场,对国家安全领域的重要成果、设施、活动等实施独立评估的专业参谋团队。美国较早地开始建设运用红队,成立了首个红队军事院校,颁布了首份红队联合条令,还在诸多国家级的重大安全活动中加以常态化运用,亦留下不少经验教训,值得跟踪研究。美国红队建设运用的主要特点冷战期间,美国总统福特下令组建红队,开创了美国红队建设运用的历史先河。经过长期实践,美国红队建立了稳定的组织体制,界定了清晰的职能任务,规范了明确的运用领域,建设运用特点比较突出。
APT-C-28(ScarCruft)组织针对韩国部署Chinotto组件的活动分析
APT-C-28 ScarCruftAPT-C-28(ScarCruft)亦被称为APT37(Reaper)、Group123等,是一个来自朝鲜半岛的APT组织。该组织自被披露以来,其攻击活动一直持续至今,并维持着较高的活跃度。APT-C-28的主要目标是韩国等亚洲国家,且在多个领域开展网络间谍活动,其中涵盖化学、电子、制造、航空航天、汽车和医疗保健等行业。
Easy Chat Server栈缓冲区溢出漏洞CVE-2023-4494分析与复现
发表于 漏洞概述Easy Chat Server是一款基于Web的在线聊天服务器程序,运行系统为Windows,支持创建多个聊天室,多人在线聊天,该软件曾出现过多个漏洞。近日,安全研究人员发现该软件还存在基于栈溢出的漏洞,漏洞编号CVE-2023-4494。该漏洞源于使用HTTP GET对register.ghp文件进行访问时,未检查用户提交的username值的长度是否超过限制,从而使栈缓冲区溢出,覆盖其他内存空间,可导致任意代码执行。
青骥洞察 l 信息物理系统(CPS)安全洞察分析-第二篇
发表于 #青骥洞察 4个 CPS安全策略与安全保护平台介绍 本篇我们重点介绍CPS安全关注的重点,以及CPS保护平台的一些核心功能项。一、 CPS安全风险是如何影响国家安全战略的?我们再回顾一下上文提到的CPS概念:CPS被设计用于协调感知、计算、控制、网络和分析,以便与物理世界(包括人类)进行交互。它们支撑着跨越网络和物理层面所有智能和互联。
【安全事件】某综合安防管理平台勒索事件分析
发表于 通告编号:NS-2023-00452023-11-22TAG:综合安防管理平台、文件上传漏洞、Nday、locked1、TellYouThePass版本:1.01事件概述近日,绿盟科技CERT监测并处置了多起针对海康威视综合安防管理平台的勒索攻击事件,攻击者利用文件上传漏洞上传Webshell获取系统权限,并执行勒索病毒对文件进行加密,加密文件后缀为locked1,同时生成勒索信息文件README2.html。根据加密后缀、勒索邮箱等信息,这些勒索事件均可关联到TellYouThePass勒索家族,该勒索病毒目前尚无公开的解密方案。
绿盟科技星云实验室参与编制的《中国联通云原生安全威胁分析与能力建设白皮书》正式发布
发表于 11月21日,中国联通网络安全现代产业链共链行动计划暨战新共创启航大会在京召开。联通研究院网络安全研究部围绕战略性新兴产业和未来产业,发布一系列重要的网络安全白皮书,凭借在云原生安全领域的丰富实践及积累,绿盟科技星云实验室作为核心参编单位,深度参与了中国联通研究院牵头的《中国联通云原生安全威胁分析与能力建设白皮书》的编制工作。在数字化转型浪潮中,云计算作为实现科技创新和提高运营效率的关键技术,成为了新一代信息技术的核心引擎。云原生作为云计算深入发展的产物,已经开始在5G、人工智能、大数据等各个技术领域得到广泛应用。随着云原生技术的广泛应用,云原生安全问题给企业发展带来了新型挑战。
首发 | 斯德哥尔摩国际和平研究所新版全球军贸报告分析
发表于 2023年3月13日,瑞典斯德哥尔摩国际和平研究所发布了《2022年全球军贸报告》。该报告基于2018—2022年全球武器贸易实际交付的统计数据,分析了全球军贸的总体发展趋势、主要武器出口国和主要武器进口国的发展变化。全球武器出口规模呈小幅下降2018—2022年,全球武器出口总额相比上一个五年(2013—2017年)下降5.1%,总体呈小幅下降趋势,全球共有63个国家出口武器装备,共有167个国家进口了武器装备。主要出口国分别为美国、俄罗斯、法国、中国、德国;主要进口国分别为印度、沙特阿拉伯、卡塔尔、澳大利亚和中国。
发布时间:2023-11-30 22:54 |
阅读:57278 | 评论:0 |
标签:分析
漏洞分析 CVE-2019-6250
发表于 一软件介绍ZeroMQ(Zero Message Queue) 是一个 C++ 编写的高性能分布式消息队列,是一个非常简单好用的传输层,使得 Socket 编程更加简单、简洁和性能更高效。ZeroMQ 核心引擎是libzmq。
威胁情报 | 海莲花 APT 组织模仿 APT29 攻击活动分析
作者:知道创宇404高级威胁情报团队时间:2023年11月30日1. 概述参考资料2023年11月,知道创宇404高级威胁情报团队成功捕获到海莲花组织最新的攻击样本。该样本以购买BMW汽车为主题,诱导攻击目标执行恶意文件。与此同时,该攻击与今年APT29的诱导主题和木马加载流程有相似之处,初步分析表明这可能是攻击者故意模仿的结果。2. 攻击释放链参考资料攻击释放链3. 样本功能综述参考资料原始样本为“BMW_2023年机构及院士销售价格框架.pdf.lnk”。
伪装成MoviesWatch针对巴基斯坦地区隐蔽攻击活动分析
点击蓝字关注我们1. 背景概述移动威胁情报团队在日常狩猎活动中发现伪装成MoviesWatch的恶意样本攻击活动,该样本基于DogRat开源间谍木马V3版本开发而来,并在DogRat木马的基础上削减了恶意功能模块且攻击者能够直接下达远控指令,以降低受害者的警惕性。一旦安装,样本会窃取受害设备的通讯录、短信、图片、录音、装机应用列表、剪贴板和地理位置等大量隐私数据。攻击者利用Replit服务器搭建的TelegramBot上传受害者数据,并最终将数据存储在该服务器上。通过分析受害者数据,此次攻击活动早于2023年4月发生且目前仍在持续中,已发现受害者130+,主要受害区域为巴基斯坦。
泛微 e-office10 远程代码执行漏洞分析
根据微步描述知道是im服务的洞https://mp.weixin.qq.com/s/4om8iuGpAKWPjEocBB4lKQ2、临时修复方案:1.使用防护类设备对相关资产进行SQL注入、文件包含等攻击的防护;2.在确认不影响业务的情况下可临时关闭im服务,或使用网络ACL策略限制im服务的公网访问。得到nodejs的server路径。没混淆什么的。diff一下知道是getPersonalOfflineRecord的问题socket事件为outline recordLength时触发。
APP逆向入门-某违规app分析
某违规app分析首先,他没有进行加固,这就好的多的多的多安装打开安装后的应用,可以直接使用,我还以为要用vpn,这种是不是可以直接举报了。打开有广告界面,而且我以为会到了时间会直接跳到主界面,没想到一个过去接着是另一个广告,6~. 这里就不放图了,全得打码。通过分析AndroidManifest文件,发现启动activity是Splash0Activity ,还以为广告相关的代码也在这个activity(以往遇到的很多app的广告都是在Splash0Activity),但是看了一圈发现没有。
禅道通用前台RCE利用分析
前面禅道 15-18(具体影响到那个版本我也忘了)都是可以通过 misc-captcha 覆盖session-user的,但当时我提交给wxxb的RCE 应该写的只影响[16.x-17.x],这里主要补充一下低版本(15版本)的利用方式。16-17.x漏洞分析Zentao 的 框架由checkPriv 函数来检查 模块和控制器的权限的。对于没有登录的用户只能调用isOpenMethod() 函数中允许的方法,我叫他白名单。在15.0.1的以后版本里向白名单里增加了一个控制器,misc模块儿的captcha方法。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
客黑业创的万千入年个一
❤用费0款退球星,年1期效有员会
🧠富财控掌,知认升提,长成起一💡