记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Sodinokibi勒索病毒分析

#勒索 1 个内容 #病毒分析 17 个内容 IOC病毒名称:Sodinokibi勒索病毒样本名称:CDHFUN.exeMD5: ea4cae3d6d8150215a4d90593a4c30f2SHA1: 8dcbcbefaedf5675b170af3fd44db93ad864894eSHA25
发布时间:2021-09-25 16:31 | 阅读:751 | 评论:0 | 标签:勒索 病毒 分析

【收藏】10大常用恶意软件检测分析平台

#恶意软件检测 1 个内容 #检测分析平台 1 个内容 #信息安全 4 个内容 #安全 5 个内容 加群交流在后台回复“加群”,添加小编微信,小编拉你进去后台回复“724”获取入门资料一、VirSCAN:https://www.virscan.orgVirSCAN.org 是一个非盈利性的免费为广大网友服务的网站,它通过多种不同厂家提供的最新版本的病毒检测引擎对您上传的可疑文件进行在线扫描,并可以立刻将检测结果显示出来,从而提供给您可疑程度的建议。二、VirusTotal:https://www.virustotal.com是一个提供免费的可疑文件分析服务的网站。
发布时间:2021-09-25 16:31 | 阅读:627 | 评论:0 | 标签:恶意软件 分析

对银行木马——Numando的分析

Numando是一个专门针对拉丁美洲银行进行攻击的木马。根据追踪分析,这个恶意软件家族背后的研发者至少自 2018 年以来就一直活跃在一线。尽管它不像 Mekotio 或 Grandoreiro 那样活跃,但自从研究人员开始跟踪它以来,就一直在攻击位于拉丁美洲的银行,例如使用看似无用的 ZIP 文件或将有效载荷与钓鱼 BMP 图像捆绑在一起。从地理分布上看,它几乎只专注于巴西的攻击目标,很少在墨西哥和西班牙开展活动。Mekotio是一类拉丁美洲的银行木马,主要针对巴西、智利、墨西哥、西班牙、秘鲁和葡萄牙地区发动攻击。
发布时间:2021-09-24 20:38 | 阅读:2493 | 评论:0 | 标签:木马 银行 分析

AWS WorkSpaces RCE漏洞 (CVE-2021-38112) 分析

概述本文详细介绍了Rhino安全实验室在AWS WorkSpaces桌面客户端中发现的一个漏洞,追踪为CVE-2021-38112,如果受害者从他们的浏览器中打开恶意的WorkSpacesURI,则可以利用该漏洞远程执行命令。Rhino向Amazon报告了该漏洞,并立即对其进行了修复。3.1.9之前的AWS WorkSpaces桌面客户端版本受该漏洞影响。利用此AWS WorkSpaces漏洞能够在已安装WorkSpace客户端的系统上远程执行代码。
发布时间:2021-09-24 16:27 | 阅读:3077 | 评论:0 | 标签:漏洞 CVE 分析 RCE

加密流量检测分析丨观成科技获泰岳梧桐战略融资

近日,观成科技宣布获得新一轮战略融资,本轮投资方为泰岳梧桐资本,这是继今年2月份完成Pre-A轮融资后的又一次融资。观成科技表示:本轮融资完成后,观成科技将加快完善产品布局,加大力度投入政企市场拓展。随着政企网络中加密业务占比日益上升和攻防对抗的持续升级,政府、金融等行业在基于加密流量的安全管控和威胁检测需求日益迫切。观成科技目前发布了两款核心产品:    瞰云-加密威胁智能检测系统(ENS)是观成科技将人工智能与安全检测技术相结合的创新型安全产品,可针对恶意软件、黑客工具、非法应用等加密威胁进行有效检测。
发布时间:2021-09-23 18:57 | 阅读:2547 | 评论:0 | 标签:加密 分析

【安全告警分析之道:三】异常处理篇

一、引言“攻击是异常,异常不一定是攻击”,安全领域大部分的误报都可以用这句话来解释,这也是安全领域异常检测、UEBA等方法无法完全落地的重要原因,随着互联网用户网络行为的复杂化,企业业务、架构的快速更迭,海量的异常行为对于真实攻击的检测造成了巨大干扰。本期文章我们将浅析这些异常,并以内网横向移动为例,介绍一种处理这些异常找到真实攻击的方法。
发布时间:2021-09-23 18:57 | 阅读:2998 | 评论:0 | 标签:安全 分析

连载《Chrome V8 原理讲解》第五篇 V8语法分析器源码讲解

robots 1.摘要本次是第五篇,剖析V8语法分析(parser)的源码和工作流程,讲解V8语法分析的核心源码、主要工作流程以及重要数据结构。本文将沿用第四篇文章的“测试样例代码”。 2.语法分析概述语法分析是词法分析(scanner)的下一阶段,词法分析输出(out)的token字是语法分析的输入(in),语法分析在工作时会频繁使用词法分析器生成token。本文把词法分析器当作黑盒功能使用,直接给出词法分析的token字结果,词法分析器原理参见第四篇文章。
发布时间:2021-09-23 17:05 | 阅读:2872 | 评论:0 | 标签:分析

CNCERT:医疗器械行业网络安全分析报告

一、医疗器械存在巨大的网络安全隐患近年来,随着精准医疗国家战略的不断推进,医疗器械从封闭、笨重走向开放、移动,医疗器械智能化和云化成为未来的发展方向。但是,随着智能可穿戴设备和大数据医疗的高速发展,医疗器械所面临的网络安全威胁也在与日俱增。医疗器械作为一个信息实体,包括医疗器械现场设备和医疗信息系统两部分。医疗器械既包括胰岛素泵等可穿戴医疗设备,也包括核磁共振仪等大型医疗器械。医疗信息系统既包括部署在医院的医疗器械控制系统和医疗器械管理系统,也包括部署在云端的医疗器械数据采集与监控系统。
发布时间:2021-09-23 16:24 | 阅读:3270 | 评论:0 | 标签:网络安全 安全 网络 分析

W13SCAN-漏扫插件分析篇~backup_file

前言:插件位于.W13SCANscannersPerFilebackup_file.py每个插件类的内部最多有两个方法:def _check(self, content):    #对内,可能有def audit(self):     #对外,一定有?
发布时间:2021-09-22 17:03 | 阅读:5808 | 评论:0 | 标签:插件 分析

对仿冒美国Chase银行钓鱼网站的分析

介绍2021 年 3 月,研究人员发现了仿冒美国银行 Chase 钓鱼页面的 URL 和一批与之相似的页面。钓鱼网站使用 JQuery 和 Ajax 窃取凭据和信用卡信息。左侧是钓鱼网站,右侧是合法网站。钓鱼网站使用了几乎完全相同的样式、登录表单、配色方案、背景图像等。除了 URL 不同,两个页面看起来非常相似,钓鱼网站很难引起怀疑。仍然可以通过该网站使用与 Chase 银行相同的图标和页面标题进行检测。而且,攻击者的表单是通过 HTTP 传输的,但 Chase 服务是使用 HTTPS 的。通过 HTTP 协议传输表单数据是钓鱼网站的一个特征。
发布时间:2021-09-22 17:03 | 阅读:4576 | 评论:0 | 标签:钓鱼 美国 银行 分析

CVE-2017-6074 DCCP拥塞控制协议Double-Free提权分析

robots 影响版本:Linux v2.6.14 – v4.9.13。 v4.9.13已修补,v4.9.12未修补。 评分7.8分。 隐藏时间超过10年,从2005年10月的v2.6.14开始。测试版本:Linux-v4.9.12 exploit及测试环境下载地址—https://github.com/bsauce/kernel-exploit-factory编译选项: CONFIG_IP_DCCP=y CONFIG_INET_DCCP_DIAG=y 以及与DCCP相关的选项。在编译时将.config中的CONFIG_E1000和CONFIG_E1000E,变更为=y。
发布时间:2021-09-22 14:21 | 阅读:3058 | 评论:0 | 标签:提权 CVE 分析

专题研究 | Palantir 大数据能力分析研究

前言Palantir公司名称来源于《指环王》,palantir是“seeing-stone”,可穿越时空、洞悉世间一切。公司于2003年5月注册成立,总部设在美国科罗拉多州的丹佛,专门从事大数据分析。2020年9月29日登陆纽交所,估计潜在市场超过千亿美元。公司强大的大数据能力能够帮助客户从所获取的数据中产生实时准确决策并产生正确的行动,并且在数据使用过程中保护数据安全。其客户包括CIA、DHS、NSA、FBI、海军陆战队、空军和特种作战司令部等。最出名的案例是以大数据能力帮助美国军方成功定位和击毙基地组织首脑本拉登。
发布时间:2021-09-21 16:13 | 阅读:4816 | 评论:0 | 标签:大数据 分析

【Office Word 0day】CVE-2021-40444 漏洞深入分析

Seebug漏洞平台 Author 404实验室 Seebug漏洞平台 . Seebug,原 Sebug 漏洞平台,洞悉漏洞,让你掌握第一手漏洞情报! 前言随着cve-2021-40444的披露,随机引爆了全球的网络安全,虽然最近微软发布了补丁,但是cve-2021-40444的利用却越发猖狂,本人深入分析了这个漏洞。
发布时间:2021-09-21 03:23 | 阅读:5432 | 评论:0 | 标签:0day 漏洞 CVE 分析

对Paradise勒索软件生成工具的研究分析

当今的恶意软件生成工具越来越多,新的恶意软件变种也越来越多。2017 年,Paradise 勒索软件首次通过钓鱼邮件开始攻击,包含下载安装勒索软件的恶意 IQY 附件。勒索软件的第一个版本包含一些缺陷,安全研究人员利用该缺陷构建了免费解密工具,旧版勒索软件可以恢复文件解密。随后,攻击者更新恶意软件,通过 RSA 进行加密,这样在没有私钥的情况下就无法解密。正如 BleepingComputer 在 2021 年夏天报道的,Paradise 勒索软件源码在 XSS.IS 黑客论坛上被泄露。恶意软件生成工具是 .NET 写的,可以在本地和虚拟化环境中运行。
发布时间:2021-09-21 00:22 | 阅读:5352 | 评论:0 | 标签:勒索 分析

CWE-58:EmptySynchronized Block空的同步块缺陷漏洞分析

由于CWE对源代码缺陷描述的准确性和权威性,源代码缺陷检测厂家逐渐在产品和服务中引用CWE中的相关信息。CWE(Common Weakness Enumeration,通用缺陷枚举)是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。CVE(Common Vulnerabilities & Exposures,常用漏洞和风险)。CVE是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它的使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。 接下来为大家主要讲解CWE-585空的同步块缺陷漏洞分析,有想法的同学可以一起加入讨论。
发布时间:2021-09-20 16:22 | 阅读:4371 | 评论:0 | 标签:漏洞 分析

【技术原创】ProxyShell利用分析3——添加用户和文件写入

0x00 前言本文将要介绍ProxyShell中添加用户和文件写入的细节,分析利用思路。0x01 简介本文将要介绍以下内容:◼添加用户的方法◼文件写入的方法◼利
发布时间:2021-09-20 11:52 | 阅读:4554 | 评论:0 | 标签:shell 分析

对Paradise勒索软件生成工具的分析

当今的恶意软件生成工具越来越多,新的恶意软件变种也越来越多。2017 年,Paradise 勒索软件首次通过钓鱼邮件开始攻击,包含下载安装勒索软件的恶意 IQY 附件。勒索软件的第一个版本包含一些缺陷,安全研究人员利用该缺陷构建了免费解密工具,旧版勒索软件可以恢复文件解密。随后,攻击者更新恶意软件,通过 RSA 进行加密,这样在没有私钥的情况下就无法解密。正如 BleepingComputer 在 2021 年夏天报道的,Paradise 勒索软件源码在 XSS.IS 黑客论坛上被泄露。恶意软件生成工具是 .NET 写的,可以在本地和虚拟化环境中运行。
发布时间:2021-09-20 11:46 | 阅读:5792 | 评论:0 | 标签:勒索 分析

安全运维|wireshark作为安全分析工具的基本使用

1、介绍网络安全流量分析领域中,wireshark和csnas是取证、安全分析的好工具,包括很多研究安全规则、APT及木马流量特征的小伙伴,也会常用到两个工具。这两款流量嗅探、分析软件,今天先介绍wireshark作为安全分析工具的基本使用。2、基本使用Wireshark对pcap包分析过程中常用的功能基本上包括:数据包筛选、数据包搜索、流还原、流量提取等。
发布时间:2021-09-19 16:15 | 阅读:6640 | 评论:0 | 标签:安全 分析 运维

Sodinokibi/REvil勒索组织近期活动梳理与最新样本分析

点击上方"蓝字"关注我们吧!01概述近日,安天CERT监测到消失约两个月的Sodinokibi(又名Revil)勒索组织重新活跃的迹象。2019年6月,安天在《勒索软件Sodinokibi运营组织的关联分析》[1]报告中提到,该勒索组织是一个不断套用、利用其他现有恶意工具作为攻击载体,传播勒索软件、挖矿木马以及窃密程序的具有一定规模的黑产组织,并在全球范围内实施普遍性、非针对性勒索、挖矿、窃密攻击。自2019年以来,Sodinokibi勒索组织采取“威胁曝光企业数据+加密数据勒索”的双重勒索模式,在全球范围内发起攻击,目前已经成为了最流行的勒索病毒之一。
发布时间:2021-09-19 11:09 | 阅读:6731 | 评论:0 | 标签:勒索 分析

【干货】通过命名管道分析检测 Cobalt Strike

文章来源:黑白天实验室基本分析Cobalt Strike 在执行其某些命令时会使用一种称为“Fork-n-Run”的特定模式。“Fork-n-Run”模式包括产生一个新进程(也称为牺牲进程)并将shellcode注入其中。这种模式提供了许多好处,一个是能够执行长时间运行的任务,例如:“键盘记录器”,不会阻塞主 Beacon 线程。一般来说都是由反射 DLL 实现的。在Cobalt Strike的最新版本 在如何自定义能力注入过程方面为红队提供了极大的灵活性。我们应该更加关注一些没有太大变化的东西。更具体地说,一个保持不变的特性是能够检索注入模块的输出。
发布时间:2021-09-19 11:08 | 阅读:5316 | 评论:0 | 标签:分析 Cobalt Strike

Brim:网络数据包分析神器

相信各位做流量分析和应急响应的朋友经常需要使用WireShark进行网络流量包分析,比如NTA的全流量包,但不得不说,一旦数据包过大,日志条目过多,加载就变得异常缓慢,分析起来也是特别麻烦,WireShark也会显得力不从心。而最近,我了解到Brim神器,在试用过之后,觉得真是懒人的福音,所以特来介绍给大家。Brim的官方网站:https://www.brimsecurity.com/Brim被打包成桌面应用,和Slack一样用Electron构建,免费,开源。安装后,你可以用Brim打开一个PCAP包,它将把PCAP包转换成ZNG格式的Zeek日志。
发布时间:2021-09-19 11:08 | 阅读:5557 | 评论:0 | 标签:网络 分析

安全运维|wireshark网络安全流量分析基础

1、介绍网络安全流量分析领域中,wireshark和csnas是取证、安全分析的好工具,包括很多研究安全规则、APT及木马流量特征的小伙伴,也会常用到两个工具。这两款流量嗅探、分析软件,今天先介绍wireshark作为安全分析工具的基本使用。2、基本使用Wireshark对pcap包分析过程中常用的功能基本上包括:数据包筛选、数据包搜索、流还原、流量提取等。
发布时间:2021-09-19 11:08 | 阅读:4870 | 评论:0 | 标签:网络安全 安全 网络 分析 运维

【创宇小课堂】URLDNS链分析

Author:d4m1tsURLDNS链利用先来看看用ysoserial工具怎么利用的。# 生成序列化Payloadjava-jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS http://urldns.epraqr.dnslog.cn/ >
发布时间:2021-09-18 19:07 | 阅读:5123 | 评论:0 | 标签:分析 DNS

【应急响应】应急响应之挖矿木马分析

铭记九一八,永志不忘,奋勇向前!!一、事件描述最近遇到过一个挖矿木马,在应急的时候没有能做到快速响应,尽快定位恶意文件位置,所以事后进行重新整理分析,以便在发生类似事件时进行尽快锁定恶意文件。某台主机被安全设备监测到一直在向另外一台服务器发送dns的请求数据,在请求的数据包中发现一个疑似矿池地址的域名,于是猜测该主机感染挖矿木马,随后对该主机开展应急工作。首先对系统服务、端口连接情况、开机启动项、任务计划等常规内容进行排查,并没有发现异常的程序。
发布时间:2021-09-18 19:07 | 阅读:7816 | 评论:0 | 标签:木马 分析

取证分析 | Volatility工具使用

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。1.Volatility功能介绍Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。该工具是由python开发的,目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。
发布时间:2021-09-18 19:06 | 阅读:7667 | 评论:0 | 标签:分析

CVE-2021-26084:Confluence Webwork Ognl表达式注入漏洞分析

robots 0x00 前言本文主要讲述了在复现以及分析CVE-2021-26084过程的遇到的一些疑惑。其次,本文对该漏洞进行了一个相对完整的漏洞链的分析。由于笔者初次分析Confluence的漏洞,难免有所不足,恳请各位看官老爷斧正。Confluence是一个团队协作软件,用于知识分享(WIKI)和团队协作。Confluence将工作的环境称为空间,比如为每个项目创建一个空间,设置用户权限,通过pages添加wiki、想法、事件等等。[^1]该漏洞有多个触发点,但不需要授权的触发点位于:pages/createpage-entervariables.vm,本文将围绕该触发点进行分析。
发布时间:2021-09-18 17:01 | 阅读:6095 | 评论:0 | 标签:注入 漏洞 CVE 分析

CVE-2021-40444 漏洞深入分析

#原创Paper 90 个内容 #漏洞分析 1 个内容 作者:sunglin@知道创宇404实验室前言随着cve-2021-40444的披露,随机引爆了全球的网络安全,虽然最近微软发布了补丁,但是cve-2021-40444的利用却越发猖狂,本人深入分析了这个漏洞。
发布时间:2021-09-18 16:14 | 阅读:12054 | 评论:0 | 标签:漏洞 CVE 分析

重磅 | 汽车数据出境态势分析报告(第一期)

随着新一代能源技术、物联网技术、通讯技术和人工智能技术的发展,全球汽车行业开启了向“电动化、智能化、网联化、共享化”方向的转型。数据成为驱动智能网联汽车发展的重要因素,汽车数据安全的重要性日益凸显。近期《数据安全法》《个人信息保护法》先后发布,结合2016年通过的《网络安全法》和2020年通过的《网络安全审查办法》,国家在数据跨境传输安全方面的管理制度框架初步成型,而今年10月1日即将试行的《汽车数据安全管理若干规定(试行)》也为汽车数据出境做出了明确规制。在此背景下,CNCERT依托宏观数据,联合智联出行研究院(ICMA)对15类主流车型近期的数据出境情况进行分析,结果如下。
发布时间:2021-09-18 13:47 | 阅读:6405 | 评论:0 | 标签:态势 分析

微软字体解析服务远程代码执行漏洞分析

作者:yyjb, redrain原文链接:http://noahblog.360.cn/cve-2020-0687_analysis/3月23日,微软公司发布了一份编号ADV200006的紧急漏洞通告,通告表示有在野攻击行动使用了位于Adobe Type Manager Library中的两个远程代码执行0Day漏洞,由于漏洞严重,发布该通告指导用户在补丁发布前规避风险。
发布时间:2021-09-18 11:48 | 阅读:4400 | 评论:0 | 标签:漏洞 远程 执行 分析 微软

Glibc-2.23 源码分析——free部分下

robots 前言终于抽出时间对glibc动态内存管理部分源码进行初略的探究,试着从源码和动调来分析free函数执行过程和一些pwn的攻击技巧,分析的不是很全面,有错误的地方望提出指正,共同进步。
发布时间:2021-09-18 11:40 | 阅读:3985 | 评论:0 | 标签:分析

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云