记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Outlaw组织僵尸网络分析:加密货币挖矿、扫描、暴力破解

研究人员之前曾分析过一个使用Internet Relay Chat (IRC) bot的名为Outlaw的僵尸网络。本文分析研究人员利用IoT蜜罐系统发现的该组织运营的一个僵尸网络。攻击bot使用haiduc工具来搜索网络寻找攻击目标。如果成功利用了一些漏洞,就在受害者主机上运行min.sh脚本。本文分析Outlaw攻击活动的两个变种。Bot主机第一个变种使用的脚本有两个功能:挖矿机和基于Haiduc的dropper。挖矿部分的代码有两个form表单。其中一个是明文bash/perl脚本,另一个是混淆的Perl脚本变种,可以绕过基于内容检测的IPS和防火墙的检测。Bot主机传播的第二个变种代码是用来暴力破解和利用微软R
发布时间:2018-12-03 12:20 | 阅读:19855 | 评论:0 | 标签:Web安全 僵尸网络 加密 暴力破解 扫描

2019年即将来临,加密货币将何去何从?

引言——2018年的重大事件 2018年,加密货币成为许多人生活中不可或缺的一部分,也是全球网络犯罪分子的攻击目标。从某种程度上说,加密货币的恶意开采甚至超过了过去几年的主要威胁:勒索软件。 然而,在2018年下半年,区块链和加密货币行业面临着重大的挑战:加密货币价格下跌。整个行业都受到了影响,公众利益迅速下降,加密社区和从事相关交易的人员的活跃度都在迅速下降,网络犯罪分子的相关活动也是如此。 虽然这些情况肯定会影响研究人员对2019年的预测,但我们先回顾一下研究人员对2018年的预测与实际情况有哪些出入。 勒索软件攻击迫使用户购买加密货币 事实证明这一预测部分正确。在2018年,虽然恶意使用加密货币挖矿机的人数在增加,但加密器的普及率在下降。据了解,攻击者对受感染设备进行秘密挖矿比勒索赎金更安全。但是,将加
发布时间:2018-11-27 18:45 | 阅读:20363 | 评论:0 | 标签:观点 加密

利用burp插件Hackvertor绕过waf并破解XOR加密

我最近在开发一个burp插件Hackvertor,你们可能不知道。它的特点是基于标签转码,比burp内置的decoder强大得多。基于标签转码的原理是通过标签对它的内容进行转码,然后将转码后的内容传递给外层标签继续转码,这让你可以轻易的进行多重转码。比如,如果你想对字符串进行base64编码,那么你可以使用base64标签,如下所示:<@base64_0>test<@/base64_0>当然,你可以进行多重编码,比如,你想先对字符串进行hex编码,然后再进行base64编码,那么你就可以先用hex标签,然后外层再使用base64标签将它包起来,如下所示:<@base64_1><
发布时间:2018-11-27 12:20 | 阅读:16934 | 评论:0 | 标签:安全工具 burp插件 rot编码 XOR加密 加密

厉害了!Linux加密货币挖矿机可删除杀毒软件

Doctor Web安全研究人员发现了一种专门用于提取加密货币的木马,它可以感染其他网络设备并删除系统中运行的防病毒软件。该木马被命名为Linux.BtcMine.174,是一个用shell语言编写的脚本,包含1000多行代码。恶意软件由多个组件组成。在启动时,木马首先会检查C2服务器的可用性,然后从C2服务器下载其他需要的模块,并在磁盘上搜索具有写入权限的文件夹,然后加载这些模块。之后,脚本将移动到先前选择的名为diskmanagerd的文件夹,并作为守护程序重新启动。该木马会使用nohup程序。如果nohup不在系统中,木马就会自动下载并安装包含nohup的coreutils实用程序包。在设备上的安装成功后,恶意脚
发布时间:2018-11-26 12:20 | 阅读:23296 | 评论:0 | 标签:系统安全 linux 加密

​错误配置的Docker服务被用于加密货币挖矿

攻击者在寻求一种容易的方式来进行加密货币挖矿,所以目标锁定为公开暴露的Docker服务。攻击者使用一个可以扫描网络的恶意脚本来搜索有漏洞的主机并入侵主机。攻击入口是TCP 2375/2376端口,这两个端口是通过REST管理API远程到达Docker服务的默认端口,允许创建、开启和停止容器。除非进行其他配置,否则这两个端口都提供非加密和非认证的通信。living off the landDocker容易在实践中使用非常广泛,因为允许在操作系统级实现虚拟化。允许在轻量级的虚拟环节中运行应用,完成所有需要的依赖。Juniper Networks的研究人员发现网络犯罪分析正利用错误配置的Docker服务来添加运行Monero
发布时间:2018-11-18 12:20 | 阅读:25481 | 评论:0 | 标签:Web安全 加密货币挖矿 加密

大族激光:创新变革,加密加持!

改革创新是现在很多制造业的必经之路,大族激光正是通过不断变革,由一家销售激光打标机企业一跃成为全球激光装备行业龙头。 大族激光是主要从事中高功率激光切割装备、焊接装备、3D打印装备、自动化生产线、激光器、数控系统及功能部件的研发、生产与销售的高新技术产品供应商。产品广泛应用于轨道交通、汽车制造、工程机械、电梯制造、农业机械等行业,在国内及五大洲都拥有广泛的客户群体。 转型升级,创新让业务激涨  对于大族激光的发展历程,其总经理陈焱就表示“创新”是大族激光持续发展的驱动力。大族激光每年保持高比例的研发投入,研发投入占年销售收入的8%以上,现在大族激光拥有3000余项技术专利,所有产品严格依据国际标准与质量体系生产制造。高质量的产品、快速优质的服务,给用户提供了优异的使用价值。 现在全球的制造业都面临转型升级,大
发布时间:2018-11-15 18:10 | 阅读:29083 | 评论:0 | 标签:成功经验 企业加密软件,企业文件加密 加密

加密货币挖矿恶意软件使用Windows installer绕过技术

加密货币挖矿恶意软件开始使用一些包括Windows installer在内的新的绕过技术。加密货币挖矿恶意软件数量不断增长的一个原因是其暴利性,另一个原因是可以在系统中不被检测到,尤其是使用了不同的混淆技术后更难检测。研究人员发现,攻击者在不断的向加密货币挖矿恶意软件中添加混淆技术来绕过AV的检测。安装器行为图1. 恶意软件感染链恶意软件以Windows installer MSI文件的形式到达受害者机器,Windows installer MSI文件是一个用于安装软件的合法应用程序。使用真实的Windows组件可以使其看着不那么可疑,而且可以绕过一些安全过滤器。研究人员分析样本的安装过程发现,恶意MSI文件会将自己安
发布时间:2018-11-13 12:20 | 阅读:24441 | 评论:0 | 标签:技术 Windows installer绕过技术 加密

Malwarebytes对Mac恶意软件通过拦截加密流量进行广告注入的分析

上周,Malwarebytes的研究人员Adam Thomas发现了一款有趣的Mac恶意软件,它会进行一些恶意活动,比如拦截加密的网络流量来注入广告。专门负责Mac的Malwarebytes,将该恶意软件检测为OSX.SearchAwesome,让我们看看它是如何安装的,并且了解这种攻击的含义。安装该恶意软件是在一个相当平淡无奇的磁盘图像文件中被发现的,该恶意软件没有任何一般修饰,因此看起来像一个合法的安装程序。当打开该恶意软件时,该应用程序不显示安装程序显示,而是以不可见的方式安装组件。两个身份验证请求是该恶意软件进行任何活动的唯一证据。第一个请求是请求授权对证书信任设置的更改。第二个是允许所谓的spi修改网络配置。
发布时间:2018-11-02 12:20 | 阅读:39648 | 评论:0 | 标签:Web安全 恶意软件 注入 加密

加密货币价格追踪器在macOS中安装后门

研究人员发现macOS系统中一个伪装为加密货币ticker(股票价格收报机)的木马CoinTicker正在用户设备上安装后门。成功安装后,CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏,以实时更新当前价格,如下图所示。CoinTicker木马应用CoinTicker应用在后台会秘密下载两个后门,这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir,在木马执行时会连接到远程主机,并下载大量的shell和python脚本,python和shell脚本的执行会下载和安装这两个后门。Malwarebyte分析师称:恶意
发布时间:2018-10-31 12:20 | 阅读:34055 | 评论:0 | 标签:系统安全 macOS 后门 加密

以区块链为例,看看开源加密与闭源加密哪个更安全

根据一般的经验,开源加密的安全性要低于闭源加密,但事实上确实如此吗?根据Linus's Law,开源软件(OSS)比闭源软件(CSS)具有更少的漏洞。由于更多的人可以访问OSS及其代码,因此,更多的人会使用该软件,阅读其源代码,发现其中的漏洞,并报告此类漏洞。这篇文章是在加密漏洞的背景下讨论的,加密漏洞是加密组件中的软件或逻辑漏洞。注:Linus's Law,是1999年 Eric Steven Raymond在他出版的讨论软件工程方法的著名文集《大教堂和市集》中描述的一个观点:given enough eyeballs, all bugs are shallow。只要有足够多的眼睛,就可让所有问题
发布时间:2018-10-26 12:20 | 阅读:41972 | 评论:0 | 标签:Web安全 web安全 加密

勒索软件GandCrab结合加密服务,功能再升级

为了进一步加强恶意软件的隐身功能,勒索软件GandCrab已与crypter服务合作。该恶意软件最近经历了一系列演变,自今年1月被发现以来,GandCrab背后的作者似乎在不断寻找增强恶意软件代码的方法。 GandCrab试图利用安全性较差的远程桌面应用程序,漏洞利用工具包,网络钓鱼,僵尸网络和PowerShell脚本来感染系统。该恶意软件通常作为一个软件包提供,并被许多人视为勒索软件即服务产品。GandCrab已经在全球范围内影响了数千名受害者。一旦系统被感染,GandCrab就会加密并锁定文件,并要求受害者支付几百到几千美元不等的赎金。 上个月,研究人员发现了通过Phorpiex蠕虫传播的GandCrab 第四代,该恶意软件可以通过USB驱动器、可移动存储和垃圾短信传播来感染企业网络。 9月27日,Gand
发布时间:2018-10-16 18:45 | 阅读:38753 | 评论:0 | 标签:技术控 加密

GandCrab勒索软件的最新版本中开始引入加密和混淆功能

众所周知,勒索软件如今的迭代速度非常快,不过像Crypter如此之快的迭代速度也不多见。Crypter是在今年1月份首次被发现的,如今它已经更新换代到第5版(10月发现的版本已经到了5.0.2版本)了,且加入了crypter(加密和混淆软件)技术。在这篇文章中,McAfee实验室的研究人员将对Crypter最新版本进行仔细分析和研究,包括开发者如何改进代码(虽然在某些情况下这些代码还是会出现错误)。 不过目前,McAfee网关和安全终端产品能够保护用户免受已知变种的攻击。GandCrab开发者的研发和纠错能力是很强的,他们已迅速采取行动改进那些容易出错的代码,并添加了用户评论,以激发安全机构、执法机构等组织对它的持续研
发布时间:2018-10-16 17:20 | 阅读:45536 | 评论:0 | 标签:勒索软件 GandCrab 加密

利用虚假的Flash更新来传播加密货币挖矿机

最近出现一些具备伪装性的恶意可执行文件、基于脚本的下载器被用来安装加密货币挖矿机、信息窃取器、勒索软件等恶意软件。如果受害者在有漏洞的Windows主机上运行这种恶意软件,那么受害者很难发现恶意软件的任何可见的活动。Unit42研究人员最近发现一起使用欺骗技术的假Flash更新。2018年8月,一些样本模仿Flash更新通过弹窗通知从官方Adobe下载。假的Flash更新会在用户机器上安装XMRig加密货币挖矿机这类用户并不想要的软件,不过,恶意软件同时也会将受害者的Flash Player更新到最新版本。因为确实Flash已经更新成功,所以一些潜在受害者可能并不会注意到其恶意活动。然而,XMRig加密货币挖矿机或其他
发布时间:2018-10-14 12:20 | 阅读:38635 | 评论:0 | 标签:Web安全 恶意软件 加密

8102年了,网络中间件仍然无法在不破坏加密的情况下处理TLS

上个月发布的一项学术研究显示,尽管对网络流量检测设备进行了多年的研究,但这些设备仍然存在问题。 加密流量检测设备(也称为中间件),无论是特殊硬件还是复杂软件,已经在企业网络中使用了二十多年。系统管理员使用此类设备创建中间人TLS代理,该代理可查看HTTPS加密流量、扫描恶意软件或网络钓鱼链接。 这些设备的工作方式都相同,在内部网络上创建TLS服务器,在外部网络上创建TLS客户端。TLS服务器接收来自用户的流量,解密连接,允许设备检查流量,然后通过自己的TLS客户端模仿浏览器,重新加密并中继与目标服务器的连接。 在以前,这没什么问题,主要是因为在开始时,HTTPS连接很容易设置。但是,随着支持TLS流量的技术变得越来越复杂,如果不有意无意的降级HTTPS加密,供应商也越来越难以支持所有类型的连接。 在过去十年中,
发布时间:2018-10-09 18:45 | 阅读:38458 | 评论:0 | 标签:技术控 加密

针对Kodi媒体播放器第三方插件被用于加密货币挖矿活动的分析

概述如果你使用Kodi媒体播放器,那么你可能注意到,最近该播放器因为版权问题关闭了荷兰的第三方组件库XvBMC。在关闭之后,我们发现该组件库中的部分插件与2017年12月的加密货币恶意活动有所关联,可能是第三方组件在不知情的情况下被植入了恶意代码。这是发现的第二起通过Kodi媒体播放器附加组件实现大规模恶意软件分发的情况,同时也是披露的第一起借助Kodi平台发起的加密恶意活动。有趣的是,该恶意活动会将Linux或Windows语言的二进制文件推送到Kodi用户的计算机上。对于那些不熟悉Kodi的人来说,Kodi播放器自身并没有太多亮点,但用户可以通过安装官方Kodi组件库和众多第三方组件库中的各种附加组件,来扩展软件的
发布时间:2018-09-19 12:20 | 阅读:41471 | 评论:0 | 标签:技术 Kodi 加密

CroniX利用Apache Struts 2漏洞(CVE-2018-11776)进行加密货币挖矿

Apache Struts 2的远程代码执行漏洞(CVE-2018-11776)才被公开,近日,F5的研究人员就发现了利用该漏洞进行加密货币挖矿的恶意软件CroniX。· CVE-2018-11776 Apache Struts 2命名空间漏洞可以进行非认证的远程代码执行;· 在门罗币挖矿活动中,注入点位于URL内;· 攻击目标:Linux系统;· 漏洞发现两周后的首次在野攻击;· F5的研究人员之前发现过该威胁单元;· 因为使用了cron和Xhide技术,所以将攻击活动命名为CroniX。攻击分析与Apache Struts 2的其他漏洞一样,攻击者利用CVE-201
发布时间:2018-09-10 12:20 | 阅读:44877 | 评论:0 | 标签:漏洞 CVE-2018-11776 加密

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云