记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华不破不立:软件供应链的威胁与方案
近三年来软件供应链安全概念持续升温,新型威胁仍层出不穷,从Log4j漏洞到node-ipc组件投毒,近年来自软件供应链安全威胁涌现,企业违反GPL许可证的案例也屡见不鲜。
供应链安全事件爆发的频次和影响面都在持续扩大,供应链安全已经成为企业开展经营活动不得不面对的一个隐患,也是所有安全厂商致力于要解决的问题。开源是更安全还是更不安全?
王福维:《概念之下的开源软件供应链安全真实威胁》
此前,很多的对源供应链问题阐述,都会引入DevOps的流程,以这个模型来作为软件供应链安全模型,我们认为这样的模型实际上是有所欠缺的。
博览安全圈(周盘点):美国国安局顶级后门曝光 中国外交部发声!
近年来,我国企业和公民对于网络安全的重视程度稳步提升,为了响应国家号召,加强全民网络安全意识,IT168企业级会以周、月为时间节点,为大家奉上最具代表性的安全事件。接下来让我们看看本周网络安全圈都发生了哪些新鲜事儿: 1、中国研究员曝光美国国安局顶级后门,涉及45个国家和地区 持续十几年 2月23日,北京奇安盘古实验室科技有限公司(以下简称“盘古实验室”)发布报告,披露了来自美国的后门——“电幕行动”(Bvp47)的完整技术细节和攻击组织关联。
疑似伊朗APT34 使用新后门针对约旦政府发起新一轮攻击
4 月 26 日,Malwarebytes 发现一封针对约旦外交部官员进行攻击的恶意邮件。该邮件携带一个恶意 Excel 文档,其中包含一个名为 Saitama的新后门。研究人员经过分析,确认该攻击来源于疑似与伊朗有关的攻击组织 APT 34。APT34 也被称为 OilRig/COBALT GYPSY/IRN2/HELIX KITTEN,被认为是来自伊朗的攻击组织。该组织从 2014 年来一直保持活跃,针对中东国家的金融、政府、能源、化学和电信行业发起定向攻击。
攻击者部署后门,窃取 Exchange 电子邮件
网络安全研究人员将该 APT 组织追踪为 UNC3524,并强调在某些情况下,该组织可以对受害者环境进行超过 18 个月的访问,展示了其 “先进 “的隐匿能力。
在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。
黑客利用关键的VMware RCE漏洞安装后门
调查发现,高级黑客正在积极利用影响VMware Workspace ONE Access(以前称为 VMware Identity Manager)的关键远程代码执行(RCE)漏洞CVE-2022-22954。庆幸的是,该问题已在20天前的安全更新中得到解决,不过另外两个编号为RCE - CVE-2022-22957和CVE-2022-22958的漏洞也会影响VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud Foundation 和vRealize Suite生命周期管理控制台。
棱镜门从未消失 服务器后门威胁该如何应对?
尽管棱镜门事件已经过去了近8年,但数据守卫的战争从未停止,服务器数据窃取及其罪魁祸首“后门程序”仍在肆虐。 关于棱镜门 棱镜计划(PRISM)是由美国国家安全局自2007年起开始实施的绝密电子监听计划,2013年6月被前中情局(CIA)职员爱德华·斯诺登向多家媒体曝光,涉及多个国家、多个领域的机密数据窃听。 在棱镜门事件中,跟大众最息息相关的是斯诺登向美国《华盛顿邮报》披露的服务器数据窃听事件,根据斯诺登提交的资料,2007年-2013年6年间,美国国家安全局和联邦调查局通过进入多家网络巨头的服务器,监控公民的秘密资料,影响人数过亿。
发布时间:2022-04-15 15:13 |
阅读:18999 | 评论:0 |
标签:后门
BadNL: 语义保持改进的NLP模型后门攻击
#论文笔记 154 个 #对抗学习 2 个 #安全学术圈 49 个 原文标题:BadNL: Backdoor Attacks against NLP Models with Semantic-preserving Improvements原文作者:Xiaoyi Chen, Ahmed Salem
记一次从后门开展的应急响应溯源
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
文章来源:先知社区(羊羊)
原文地址:https://xz.aliyun.com/t/11103
0x01 背景
一般安全厂商都会有针对web后门的扫描工具,此次拿到了一批网站被植入后门的攻击线索,由于疫情原因,现场排查取证条件比较苛刻,所以此次溯源是在开局一个后门情况下开展,大致思路是连接后门->查看日志->漏洞溯源。
黑客利用WPS Office漏洞注入后门
黑客利用WPS Office漏洞在目标系统中注入后门。Avast研究人员发现有黑客利用WPS Office漏洞在目标系统中注入后门。CVE-2022-24934——WPS office漏洞WPS Office 是一个跨平台的office套件,安装量超过12亿。用户主要分布在中国和中国香港地区,是第一个支持中文语言word处理工具。CVE-2022-24934是WPS Office更新工具中的一个安全漏洞。要利用该漏洞,需要修改HKEY_CURRENT_USER 下的一个注册表,攻击者完成这一操作后可以在系统上实现驻留,控制更新过程。
数百个 GoDaddy 托管的网站,短时间内被部署了后门
数百个 GoDaddy 托管的网站,短时间内被部署了后门 Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。2022 年 2 月 11 日,Wordfenc 安全团队首次观察到此次恶意活动。
发布时间:2022-03-21 23:34 |
阅读:31927 | 评论:0 |
标签:后门
GoDaddy 托管的数百个网站,短时间内被部署了后门
Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。2022 年 2 月 11 日,Wordfenc 安全团队首次观察到此次恶意活动。
发布时间:2022-03-17 15:56 |
阅读:39567 | 评论:0 |
标签:后门
新威胁:使用DNS Tunnel技术的Linux后门B1txor20正在通过Log4j漏洞传播
背景
自从Log4J漏洞被曝光后,正所谓"忽如一夜漏洞来,大黑小灰笑开怀”。无数黑产团伙摩拳擦掌加入了这个“狂欢派对”,其中既有许多业界非常熟悉的恶意软件家族,同时也有一些新兴势力想趁着这股东风在黑灰产上分一杯羹。360Netlab作为专注于蜜罐和Botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些僵尸网络利用,期间我们看到了Elknot,Gafgyt,Mirai等老朋友的从不缺席,也见证了一些新朋友的粉墨登场。
金融机构中的攻防战:三台设备落地高级威胁检测,秒捉新型WebShell后门
MITRE | ATT&CK技战术知识库的凭证访问攻击策略中,有密码猜解、密码破解、密码喷洒,撞库四种攻击手段。黑客会根据攻击成本和已掌握资源情况对自身的攻击手段进行灵活调整,即便是安全防护水平较高的大型金融类机构,也难逃其扰。一场风波三个月前,陈星(化名)和团队经历了一次重大的安全风波。周五临近下班时间,他突然收到一封来自微步在线威胁感知平台TDP的告警邮件:有IP正进行内网横移,在企业内快速大面积渗透,搜索高价值数据及文件。事发突然,但陈星非常清楚,为避免出现更大范围不可估量的损失,必须快速止损。紧接着,陈星团队立即登录安全设备,了解攻击破坏的最新状况。
聊一聊《Bvp47 美国NSA方程式的顶级后门》中的BPF隐藏信道
收录于话题 #网络安全 2 个 #Bvp47 1 个 #BPF 1 个 #eBPF 5 个 #rootkit 1 个 背景Bvp47的BPF使用上周看了盘古实验室发表的《Bvp47 美国NSA方程式的顶级后门》的文章,里面提到后门使用BPF技术做通信信道的隐藏,本身不监听端口,通过特定SYN包唤醒后门。而且,此后门隐藏近二十年之久,至今才被发现。Bvp47 直接利用 BPF 的这个特性作为隐蔽信道环节中在 Linux 内核层面的高级技巧,避免直接的 内核网络协议栈HOOK被追踪者检测出来。
【火绒安全周报】美国国安局顶级后门被中国研究员首次曝光/白宫认为俄黑客攻击乌克兰
#火绒安全周报 162个 安全周报PART.01美国国安局顶级后门被中国研究员曝光据报道,美国国安局顶级后门——“电幕行动”(Bvp47)被中国研究员首次曝光,据悉,该后门在全球已肆虐十余年,广泛入侵中国、俄罗斯、日本、德国、西班牙、意大利等45个国家和地区,涉及287个重要机构目标。其中日本还被利用作为跳板对其他国家目标发起攻击。这是中国研究员首次公开曝光来自美国“方程式”组织APT(高级可持续威胁攻击)攻击的完整技术证据链条。
中国研究员曝光美国国安局顶级后门涉及45个国家和地区持续十几年
北京奇安盘古实验室今日发布报告,披露了来自美国的后门——“电幕行动”(Bvp47)的完整技术细节和攻击组织关联。盘古实验室称,这是隶属于美国国安局(NSA)的超一流黑客组织——“方程式”所制造的顶级后门,用于入侵后窥视并控制受害组织网络,已侵害全球45个国家和地区。这是中国研究员首次公开曝光来自美国方程式组织APT“电幕行动”攻击的完整技术证据链条。 报告显示,“电幕行动”(Bvp47)在全球已肆虐十余年,广泛入侵中国、俄罗斯、日本、德国、西班牙、意大利等45个国家和地区,涉及287个重要机构目标。
中国研究员曝光美国国安局顶级后门 涉及45个国家和地区 持续十几年
2月23日,北京奇安盘古实验室科技有限公司(以下简称“盘古实验室”)发布报告,披露了来自美国的后门——“电幕行动”(Bvp47)的完整技术细节和攻击组织关联。盘古实验室称,这是隶属于美国国安局(NSA)的超一流黑客组织——“方程式”所制造的顶级后门,用于入侵后窥视并控制受害组织网络,已侵害全球45个国家和地区。
机器学习会成为数据安全新威胁和后门吗?
机器学习算法已成为一项重要的网络安全技术,目前它主要用于识别恶意软件、将经过筛选的警告呈现在安全分析员面前,以及确定漏洞优先级以打上补丁。研究机器学习和人工智能系统安全的专家警告称,未来这类系统可能被专业的攻击者所利用。研究人员在去年发表的一篇研究论文中表示,神经网络的冗余特性可以让攻击者将数据隐藏在常见的神经网络文件中,占文件20%的大小,而不显著影响模型的性能。2019年的另一篇论文表明,受感染的训练服务可能会在神经网络中植入实际持续存在的后门,即使该网络接受训练以处理其他任务。
伊朗黑客攻击活动曝新Marlin后门
第217期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、伊朗黑客攻击活动曝新Marlin后门网络安全公司ESET发布消息称,一伊朗背景黑客组织在名为“Out to Sea”的攻击活动中,更新的恶意软件工具涉及一个名为Marlin的新后门。据ESET介绍,在黑客组织OilRig 名为“Out to Sea”的攻击活动中,攻击目标主要是以色列、突尼斯和阿拉伯联合酋长国的外交组织、科技公司和医疗组织。
反后门攻击
前言本文的标题是反后门攻击,在进一步读下去之前,我们自然要先知道什么是后门学习。后门攻击,一般指通过毒化训练集的方式在由该数据集训练出的模型上植入后门,关于后门攻击的文章,在安全客上也有很多了,大家可以去了解详情。本文要介绍的反后门攻击,其面临的场景和后门学习是一样的—攻击者给了毒化数据集,但是却希望能够在这个数据集上训练得到一个没有后门的模型,因为是在毒化数据上训练出干净模型,所以我们将其称之为反后门攻击。这个工作来自于AI顶会NeurIPS 2021。这个技术的提出是有一定意义的。
知名软件被利用,小心主机被开后门
背景概述
近日,深信服终端安全研究团队中捕获到了一个木马程序,攻击者通过网络钓鱼的手段诱导受害者点击运行邮件中附带的木马程序,结合正常的Adobe CEF Helper程序进行攻击;在局域网内通过共享目录进行传播,并在用户主机上留下后门程序进行窃密或者其他恶意行为。
研究人员发现一个杀毒软件无法识别的跨平台后门
安全公司 Intezer 的研究人员发现了一个几乎所有杀毒软件都无法识别的跨平台后门 SysJoker。跨平台恶意程序相当罕见,绝大部分都是为特定平台如 Windows 开发的。SysJoker 是从头开始开发的,使用了 4 个独立的指令控制服务器,显示背后的攻击者投入了大量资源。其 Windows 和 macOS 版本的后缀是 .ts,表明它伪装成 Type script 应用通过 npm JS 库传播。 .ts 扩展名也可能意味着它伪装成视频流内容。研究人员发现,几乎所有的杀毒软件引擎都未能将其识别出来。
发布时间:2022-01-17 15:03 |
阅读:33049 | 评论:0 |
标签:后门
新的跨平台 “SysJoker” 后门同时影响 macOS、Windows、Linux
据报道,新的”SysJoker”后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。
这一发现是不寻常的,因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下,恶意软件只为攻击一个平台的特定漏洞而生成,而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析,SysJoker被认为是在2021年下半年的一次攻击中启动的。
伊朗APT35黑客组织利用Log4j漏洞部署新型PowerShell后门
2022年1月,美国Check Point软件技术有限公司的研究人员表示,APT35组织正在利用Log4Shell漏洞进行攻击并在Windows PowerShell中植入一种新型后门。APT35组织又被称为‘Charming Kitten(迷人的小猫)’或者‘Phosphorus(磷)’,一个被普遍认定为归属于伊朗国家政府的黑客组织。研究显示,APT35是第一批利用Log4Shell漏洞的组织之一。该组织往往在目标更新安全补丁之前就能够扫描出易受攻击的系统。他们近日部署的新型模块化后门名为“CharmPower”。
伊朗黑客利用Log4j漏洞部署PowerShell后门
伊朗黑客利用Log4j漏洞部署PowerShell后门 一名伊朗国家赞助的参与者被观察到扫描并试图在公开暴露的Java应用程序中滥用Log4Shell漏洞,以部署迄今为止未记录的基于PowerShell的模块化后门,称为"CharmPower",用于后续开发后。"参与者的攻击设置显然是匆忙的,因为他们使用基本的开源工具进行开发,并将他们的操作基于以前的基础设施,这使得攻击更容易检测和归因,"Check Point的研究人员在本周发表的一份报告中说。
警惕!APT35组织正利用 Log4j 漏洞分发新型模块化后门
引言 APT35是疑似伊朗国家支持的APT组织,又名 Charming Kitten、TA453 或 Phosphorus。1月11日,研究人员披露,该组织正利用Log4Shell漏洞,释放新的模块化PowerShell后门。简况 APT35组织在目标应用安全更新之前率先利用该漏洞扫描易受攻击的系统。模块化有效载荷名为CharmPower,可以处理 C2 通信、执行系统枚举,并最终接收、解密和加载其他模块。
如何保护深度学习系统-后门防御
前言后门攻击是AI安全领域目前非常火热的研究方向,其涉及的攻击面很广,在外包阶段,攻击者可以控制模型训练过程植入后门,在协作学习阶段,攻击者可以控制部分参与方提交恶意数据实现攻击,甚至在模型训练完成后,对于训练好的模型也能植入后门模块,或者在将其部署于平台后也可以进行攻击,比如通过hook技术、row hammer技术等。
【技术原创】渗透基础——利用VMware Tools实现的后门
0x00 前言在渗透测试中,我们经常会碰到Windows虚拟机,这些虚拟机往往会安装VMware Tools,利用VMware Tools的脚本执行功能可以实现一个开机自启动的后门。关于这项技术的文章:https://bohops.com/2021/10/08/analyzing-and-detecting-a-vmtools-persistence-technique/https://www.hexacorn.com/blog/2017/01/14/beyond-good-ol-run-key-part-53/本文将要在参考资料的基础上,分析利用思路,给出防御建议。
【技术原创】渗透基础——Exchange一句话后门的进一步实现
0x00 前言在之前的文章《渗透基础——Exchange一句话后门的实现》和《渗透基础——Exchange一句话后门的扩展》介绍了通过Webshell内存加载.net程序集的方法。如果同其他技术相结合,可以达到意想不到的效果。本文仅在技术研究的角度点到为止,开源一份简单的测试代码,结合利用思路给出防御建议。
联邦学习中的后门攻击
背景联邦学习这几年比较火,它主要用于解决在不直接访问各种训练数据的情况下训练机器学习模型的问题,特别是对于数据隐私比较敏感的任务。在联邦学习中利用参与者(即各方)的局部训练数据,帮助训练一个共享的全局模型,提高性能。尽管联邦学习能够聚合由不同方提供的分散(通常是受限的)信息来训练更好的模型,但它的分布式学习方法以及跨不同参与方的固有异构(即非独立同分布)的数据分布可能无意中为新的攻击提供了可能。本文将会介绍并分析对联邦学习进行后门攻击的技术方案,主要是两种类型的工作,一种是Bagdasaryan等人提出的集中式后门攻击,一种是Xie等人提出的分布式后门攻击。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤