记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华xHunt的后续追踪报道:对xHunt后门工具的脚本进行分析
几个月以来,Unit42一直在研究针对科威特组织的xHunt攻击活动。最近,该组织又发现了新的证据,之前在xHunt活动中讨论过的创建Sakabota工具的开发人员,曾在2018年7月和2018年8月对Sakabota进行了两次测试活动,测试的目的就是为了逃避检测。这些测试活动涉及了Sakabota的几种变体,对代码库进行轻微更改,然后开发人员将向在线防病毒扫描服务提交每项更改,以确定检测其工具的供应商。 在分析开发人员在这些测试活动中创建的Sakabota样本时,研究人员发现了开发人员在工具中包含的脚本,研究人员怀疑这是为了帮助工具的攻击者在受感染的系统和网络上进行活动。这是研究人员第一次看到恶意软件开发人
持续对抗xHunt:通过DNS隧道检测阻止新型PowerShell后门
摘要在对xHunt活动的持续分析过程中,我们观察到存在与pasta58[.]com域名相关联的多个域名,这些域名与已知的Sakabota命令和控制(C2)活动相关。在2019年6月,我们观察到其中一个重复使用的域名(windows64x[.]com)被用作新的基于PowerShell后门的C2服务器,我们将其命名为CASHY200。该PowerShell后门使用DNS隧道与其C2服务器进行通信,通过向上述域名所对应的攻击者控制的域名服务器发出DNS A查询来实现。CASHY200解析C2服务器在DNS回答中提供的数据,以在系统上运行命令,并将结果通过DNS查询的方式发送回C2。在我们所分析的几个样本中,CASHY200
新型跨平台后门ACBackdoor介绍
介绍Intezer安全研究团队近日检测到了一类新型后门——ACBackdoor,它具有Linux和Windows两种变种,能提供shell命令的任意执行、任意二进制文件执行、持久性和更新功能。目前尚无法将ACBackdoor关联到任何已知的威胁组织。在VirusTotal上,对Linux变种的检测率为0,而Windows变种的检测率要相对高些,如下图所示。 图1.ACBackdoor Linux变种的VirusTotal检测率 图2.ACBackdoor Windows变种的VirusTotal检测率本文将对ACBackdoor做技术分析,区分其两类变种实现上的差异。最终的调查结果表明,该恶意软件背
skip-2.0:Winnti组织使用的新型Microsoft SQL Server后门
Winnti是一个从2009年起一直活跃至今的黑客组织,其主要攻击目标是网络游戏行业,窃取由合法软件供应商签发的数字证书和知识产权内容,包括在线游戏项目的源代码。得到源代码后再放到中国黑市进行兜售,或是直接用到这些源代码制作山寨游戏来以此获利。2015年开始,Winnti组织的攻击目标已经不再仅限于网络游戏公司,还包括电信和大型制药公司。而最近,ESET的研究人员发现了Winnti组织之前未公开的一个后门程序——skip-2.0,主要针对MSSQL Server 11/12,能让攻击者通过魔术密码秘密连接到任何MSSQL帐户,还能自动从日志中隐藏这些连接,从而让攻击者悄悄复制、修改或删除数据库的内容,例如操纵游戏币来获
威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库
概述近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘,造成服务器卡顿,严重影响正常业务运行,甚至造成业务终端。关于该蠕虫最早曝光于2018年7月,蠕虫自出现后频繁更新,陆续加入多达数十种的的攻击方式,可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。背景介绍BuleheroBulehero挖矿蠕虫最早出现于2018年初,初次曝光于
使用 Ghidra 分析 phpStudy 后门
这次事件已过去数日,该响应的也都响应了,虽然网上有很多厂商及组织发表了分析文章,但记载分析过程的不多,我只是想正儿八经用 Ghidra 从头到尾分析下。1 工具和平台主要工具:· Kali Linux· Ghidra 9.0.4· 010Editor 9.0.2样本环境:· Windows7· phpStudy 201802112 分析过程先在 Windows 7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中。根据网上公开的信息:后门存在于 php_xmlrpc.dll 文件中,里面存在“eval”关键字,文件 MD5 为
苹果CMS/MacCMS V10后门WebShell,第三方下载注意
苹果CMS/MacCMS苹果CMS是国内优秀的开源PHP建站系统,擅长电影程序影视系统这一块,在主流建站系统中特色鲜明,以灵活、小巧、兼容性好、负载强等优点而深受许多站长的喜爱。MacCMS后门Webshell某天始,MacCMS官网因为某些原因停摆。同时在百度搜索苹果CMS或MacCMS出现的排名第一均为一个:www.maccmsv10.com的网址,而真正的官网地址是www.maccms.com。前者使用了一个和maccms官网一模一样的静态首页提供程序下载。最近几天陆续有人发现了从这个网站下载的苹果CMS程序存在后门webshell。体验盒子直接从该第三方站点下载了源码,至今10月14日依然存在后门,所以基本可确信是故意搭建的假冒官网。后门文件路径maccms10extendupyunsrcUpyunA
phpstudy后门漏洞利用
0x00 前言Phpstudy是国内的一款免费的PHP调试环境的程序集成包,其通过集成Apache、PHP、MySQL、phpMyAdmin不同版本软件于一身,一次性安装无需配置即可直接使用,具有PHP环境调试和PHP开发功能。对我这种小白来说简直就是一大神器,但就是这样一个伴随了我多达三年之久的神器,突然爆出被恶意植入远控后门,不多说,含泪测试一下自己。0x01 后门利用poc123456789101112131415161718192021222324252627282930313233# -*-coding:utf-8 -*-import requests import sys import base64def Poc(ip,cmd): cmd = 'system('+cmd+');' poc
phpstudy后门golang利用工具
phpstudy_backdoor
仅供检测 自己的 phpstudy环境,请勿对其他网站使用。
go run phpstudy_backdoor.go http://localhost/index.php "net user"
Active code page: 65001
User accounts for \WIN-25US8G3F849
-------------------------------------------------------------------------------
Administrator Guest
The command completed successfully
发布时间:2019-09-26 00:15 |
阅读:38977 | 评论:0 |
标签:后门
phpStudy后门RCE,复现/批量脚本/修复
phpStudy后门介绍phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。软件作者声明:phpstudy 2016版PHP5.4存在后门。实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门据传漏洞形成原因是官网被入侵后植入后门,嫌疑人已被抓。后门检测方法手动检查后门代码存在于extphp_xmlrpc.dll模块中,phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45phpStudy2016路径phpphp-5.2.1
发布时间:2019-09-24 17:45 |
阅读:35318 | 评论:0 |
标签:后门
Gookit Banking Trojan中的后门利用分析
0x00 前言Gootkit Banking Trojan在2014年被首次发现,最近Daniel Bunce(@ 0verfl0w_)介绍了一些对于Gootkit Banking Trojan的分析,文章地址如下:https://www.sentinelone.com/blog/gootkit-banking-trojan-persistence-other-capabilities/其中,Gootkit Banking Trojan使用的后门启动方法是独有的,所以本文仅在技术研究的角度复现Gootkit Banking Trojan使用的后门启动方法,分析利用思路,给出防御和检测的建议。0x01 简介本文将要介绍以
ArbitraryPHP – 后门姿势,任意PHP代码执行扩展
ArbitraryPHP - 任意PHP代码执行扩展这是一个实验性的PHP扩展,加载这个扩展后,每次请求将可以执行一段自己的PHP代码。可用于:管理目标PHP站点(webshell)HOOK与分析HTTP执行流程在不修改源代码的情况下控制PHP执行结果安装选择对应版本的PHP,下载Releases下的二进制文件安装包,解压并获得相应PHP版本的二进制文件。执行php -i |grep extension_dir,获取扩展目录:将二进制文件arbitraryphp.so移动到扩展目录中,并修改php.ini,开启这个扩展:extension=arbitraryphp.so1extension=arbitraryphp.so 使用请求任意一个PHP,在参数arbitrary_php中增加任意PHP代码,即可执行:A
发布时间:2019-08-30 12:45 |
阅读:24912 | 评论:0 |
标签:后门
Asruex后门变种通过Office和Adobe漏洞感染word和PDF文档
研究人员早在2015年就发现了Asruex后门,而且与DarkHotel监控恶意软件有关联。研究人员最近在PDF文件中发现了Asruex,经过分析发现恶意软件变种通过CVE-2012-0158和CVE-2010-2883漏洞作为感染器来将代码注入word和PDF文件中。使用老的已经修复的漏洞表明该变种的目标是Windows和Mac OS X系统上使用老版本Adobe Reader(versions 9.4之前版本)和Acrobat(v 8.2.5之前版本)的用户。因为其独特的感染能力,安全研究人员可能不会考虑检查Asruex感染的文件,并持续监控后门的能力。了解了新感染方法可以帮助应对此恶意软件变种。技术细节Asrue
捆绑后门的艺术–CobaltStrike backdoor分析
CobaltStrike(以下全部简称为CS)是渗透测试中常用的一个后渗透工具,它可以快速地生成后门并通过其控制目标主机。其中,捆绑型后门是攻击者较为喜欢的一种后门,因为其具有较好的隐蔽性及免杀效果。下面,就来剖析一下该类后门的捆绑及免杀原理。1. 后门制作制作捆绑型后门前,先得创建一个监听器用于与后门通信,点击 Cobalt Strike->Listener创建一个监听器,填上IP和端口号,点击save,就可完成创建。选择端口时,可以使用一些较少为使用的协议端口,好伪装,如下选择的2333端口,是snapp协议的端口。接下来,就可以制作捆绑型的后门,点击 攻击->package->Wind
APT组织PLATINUM使用的两种新后门
2018年6月,卡巴斯基实验室曾在南亚和东南亚的一些国家发现过一组不同寻常的恶意软件样本,以外交、政府和军事实体为攻击目标。此次行动被称为EasternRoppels,最早可追溯到2012年,其幕后推手可能与臭名昭著的PLATINUM APT组织有关。恶意软件的特点是多阶段执行,以及用了一种前所未见的隐写技术来隐藏通信过程。在感染的第一个阶段,攻击者通过WMI订阅功能来运行初始PowerShell下载器,以下载另一个小型的PowerShell后门。我们在收集了许多初始WMI PowerShell脚本后发现,它们的硬编码C2的IP地址、加密密钥、用于加密(以及用于初始加载器)的盐、每天活跃的时间往往都不甚相同。C2地址位
针对中亚地区政府部门的攻击:通过Office漏洞传播新型Hawkball后门
一、概述近期,FireEye Labs观察到针对中亚政府部门的攻击,该攻击利用众所周知的Microsoft Office漏洞CVE-2017-11882和CVE-2018-0802提供新型Hawkball后门。Hawkball是一个后门,攻击者可以利用该后门收集受害者的信息,同时可以提供Payload。Hawkball能够对主机进行信息收集、创建命名管道执行本地Windows命令、终止进程、创建/删除及上传文件、搜索文件、列举驱动器。下图展示了实际攻击中所使用的诱饵文件。诱饵文件doc.rtf(MD5值为:AC0EAC22CE12EAC9EE15CA03646ED70C)包含一个OLE对象,该对象使用公式编辑器将嵌入的
公告
关注公众号hackdig,学习最新黑客技术