记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

技嘉曝“类后门”安全漏洞,影响约 700 万台设备

The Hacker News 网站披露, Eclypsium 网络安全研究员发现技嘉售出的 271 款,近 700 万片主板中存在”类似后门的“安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件,并以不安全的格式检索更新,以此触发隐藏的更新程序。Eclypsium 指出潜在攻击者可以利用这种机制,在用户不知情的情况下安装恶意程序,且后续难以检测和删除。Eclypsium 声称其在 2023 年 4 月首次检测到该异常现象,之后便通知技嘉,该公司承认并解决了这个问题。
发布时间:2023-06-02 11:06 | 阅读:4293 | 评论:0 | 标签:后门 漏洞 安全

数百个型号的技嘉主板曝出后门

固件和硬件安全公司Eclypsium的研究人员近日发现计算机硬件巨头技嘉(Gigabyte)生产的数百种主板型号包含后门功能,影响数百万计算机设备,可能对企业构成重大安全风险。Eclypsium透露,该后门的发现与技嘉主板功能的异常行为有关,这些异常行为在Eclypsium的平台中触发了警报。研究人员发现许多技嘉主板系统上的固件会丢弃操作系统启动时执行的Windows二进制文件。被丢弃的文件会下载并运行从技嘉服务器获取的另一个有效载荷。该有效载荷通过不安全的连接(HTTP或配置不正确的HTTPS)下载,并且文件的合法性未经验证。
发布时间:2023-06-02 11:06 | 阅读:3977 | 评论:0 | 标签:后门

271 款型号受影响,技嘉主板固件更新机制被爆存在后门漏洞

IT之家 6 月 1 日消息,根据国外科技媒体 Wired 报道,来自 Eclypsium 的网络安全专家发现技嘉售出的 271 款,数百万片主板存在安全漏洞。研究人员在这些主板的固件中发现了一种机制,可以触发隐藏的更新程序。Eclypsium 认为攻击者可以利用这种机制,在用户不知情的情况下安装恶意程序,且后续难以检测和删除。Eclypsium 专家发现该漏洞之外,还发现技嘉的主板固件更新机制存在明显漏洞。相关固件代码可以在没有正确验证身份的情况下下载,且有时候通过 HTTP 连接下载,容易受到 man-in-the-middle 方式攻击。
发布时间:2023-06-01 10:56 | 阅读:41793 | 评论:0 | 标签:后门 漏洞

技嘉主板固件被发现内置了后门

固件安全公司 Eclypsium 的研究人员披露,技嘉出售的主板固件含有一个隐藏的机制。每当计算机重启时,固件代码会启动一个更新程序,然后下载和执行另一个软件。其更新工具的实现是不安全的,有可能被劫持安装恶意程序。271 个型号的技嘉主板受到影响,其数量数以百万计。Eclypsium 的研究人员称,技嘉的更新机制没有正确验证就下载代码到用户计算机上,部分情况下甚至是通过 HTTP 而不是 HTTPS 下载的,这容易遭到中间人攻击。技嘉已经表示它计划修复研究人员发现的问题。
发布时间:2023-05-31 22:37 | 阅读:32867 | 评论:0 | 标签:后门

实锤了?芯片巨头高通的隐蔽后门被发现,私密收集用户数据

德国安全公司NitroKey发布了一份报告,指出在不需要安卓操作系统参与的情况下,带有高通芯片的智能手机会秘密向高通发送个人数据,而且这些数据将会被上传至高通部署在美国的服务器上。令人惊讶的是,这些数据是在未经用户同意、未加密的情况下发送的,甚至在使用无谷歌的 Android 发行版时也是如此。其原因大概是提供硬件支持的专有 Qualcomm 软件也会发送数据。受影响的智能手机包括绝大部分使用高通芯片的 Android 手机以及部分苹果手机。对于该报告的内容,高通表示确实存在数据传输行为,但否认私自收集用户隐私信息,强调该行为符合XTRA 服务隐私政策。
发布时间:2023-05-09 19:50 | 阅读:84610 | 评论:0 | 标签:后门

芯片巨头高通隐蔽后门被曝光,私密收集用户隐私;欧盟警告苹果如限制充电速度,将禁售iPhone;Q房网回应倒闭传言 |雷峰早报

高通芯片被发现用于收集和传输用户信息,全球约30%的手机受影响近日,德国安全公司Nitrokey表示在高通骁龙中发现了未记录的功能,在不需要安卓系统参与的情况下,收集部分手机数据直接发送给高通服务器。itrokey在配备高通骁龙630芯片的索尼Xperia XA2手机上安装了无谷歌服务的安卓版本,且没有插入SIM卡,只能通过WLAN方式联网。Nitrokey使用Wireshark工具进行抓包,发现数据会传输给izatcloud.net 服务器,该服务器属于高通公司。
发布时间:2023-05-08 13:50 | 阅读:62176 | 评论:0 | 标签:后门 phone iphone 欧盟 苹果 隐私

IN7和Ex-Conti组织创建domino后门恶意软件进行攻击

在过去的一个月里,IBM发现了一个被称为 "Domino "的创新型恶意软件家族,它是由ITG14,又称FIN7,这个世界上臭名昭著的网络犯罪团伙之一开发的。Domino中包含了一个不太知名的信息窃取器,该窃取器自2021年12月以来就一直在暗网上通过广告出售,这非常有利于进一步利用被破坏的系统。X-Force团队的研究显示,在5月,当conti团伙被解散时,该威胁攻击者开始使用Domini。据X-Force称,新发现的木马"Domino"自2023年2月以来就一直由Trickbot/Conti团伙ITG23使用。
发布时间:2023-04-29 14:56 | 阅读:133442 | 评论:0 | 标签:后门 攻击 恶意软件

后门病毒伪装成正常文件,正通过微信群大肆传播,小心中招!

日前,国产杀毒软件火绒发文称,火绒威胁情报系统监测到一款名为“DcRat”的后门病毒新变种,正通过伪装成正常文件名的方式在微信群中大肆传播。 经分析,该病毒入侵电脑后,存在收集用户隐私信息、远控用户电脑等危害,这是继“Xidu”病毒后又一款通过伪装来诱导用户,并通过即时通讯软件传播的病毒,用户一不小心就会中招。 据介绍,该黑客团伙将病毒伪装成的各类文件(文档、图片、视频等)发送给微信群聊中的用户,并诱导用户打开,随后实施收集信息等恶意行为。病毒伪装的文件名列表 该病毒运行后,不仅会窃取用户电脑中文件,还会收集用户信息如用户名、操作系统版本,记录键盘、麦克风和摄像头数据。
发布时间:2023-04-10 16:55 | 阅读:111496 | 评论:0 | 标签:后门 病毒 微信

Windows .lib 文件后门注入

本文为看雪论坛优秀文章看雪论坛作者ID:_emmm_lib文件在windows下有两种形式出现,第一种就是普通的静态库,第二种是作为dll的导入库。接下来我来分享一下如何在这两种lib文件中注入后门代码,使程序编译后生成的exe在运行时候自动。执行我们后门,并且不影响正常lib的功能。1. 注入原理首先大致说一下lib的文件格式,用压缩文件可以打开lib文件,里面可以看到许多的obj文件(几个cpp就有几个obj)。lib实际上就是一堆Obj文件打包在了一起,当然还有一些额外的信息,这个之后再说。
发布时间:2023-04-08 01:30 | 阅读:181751 | 评论:0 | 标签:注入 后门 windows

后门病毒伪装成正常文件,正通过微信群大肆传播

火绒威胁情报系统监测到一款名为“DcRat”的后门病毒新变种,正通过伪装成正常文件名的方式在微信群中大肆传播。经分析发现,该病毒入侵电脑后,存在收集用户隐私信息、远控用户电脑等危害。这是继“Xidu”病毒后又一款通过伪装来诱导用户,并通过即时通讯软件传播的病毒,用户一不小心就会中招,短期内火绒已拦截数千台受影响终端,还请广大用户保持警惕。病毒传播趋势图该黑客团伙将病毒伪装成的各类文件(文档、图片、视频等)发送给微信群聊中的用户,并诱导用户打开,随后实施收集信息等恶意行为。
发布时间:2023-04-07 10:52 | 阅读:188088 | 评论:0 | 标签:后门 病毒 微信

D-link DIR 815后门漏洞复现及分析

前言Dlink DIR815型号路由器中,存在默认口令保存在配置文件中,攻击者可以通过该口令登录telnet服务,从而获取路由器的控制权限。固件模拟该固件可通过FirmAE进行模拟,FirmAE部署参考https://github.com/pr0v3rbs/FirmAE说明。
发布时间:2023-04-07 10:52 | 阅读:251091 | 评论:0 | 标签:后门 漏洞 分析

使用 3CX 的加密货币公司被植入了后门

VoIP 软件服务商 3CX 遭朝鲜黑客组织 Lazarus Group 入侵,黑客通过恶意版本 3CX 应用对其客户发动了供应链攻击。安全公司卡巴斯基报告,部分使用 3CX 的加密货币公司被精准植入了后门 Gopuram。Gopuram 是一种模块化的后门,可用于操作 Windows 注册表和服务,执行文件时间戳信息修改以逃避检测,注入恶意负荷到已运行进程,使用开源的 Kernel Driver Utility 加载未签名 Windows 驱动等等。卡巴斯基称,攻击者在不到 10 台被感染的机器上植入了 Gopuram,他们观察到攻击者对加密货币公司有着特殊的兴趣。
发布时间:2023-04-04 19:12 | 阅读:103486 | 评论:0 | 标签:后门 加密 加密货币

劫持PHP内核函数实现后门持久化的研究

01 前言 ‍最近在研究西湖论剑一道WEB题目时,对一道PHP加密的题目很有兴趣,具体驶入如何实现网上检索一番只有PHP-HOOK-EVAL的源码并没有实现整个PHP源码加解密的源码,但是提供了具体实现的思路,就是HOOK-zend_compile_file来实现。具体如何实现我们直接进入主题。02‍ 逆向分析PHP扩展 前期我已经下载了该题目的扩展,我们直接将其放入IDA中反编译,进行代码审计。
发布时间:2023-04-04 16:16 | 阅读:128215 | 评论:0 | 标签:后门 PHP

应急响应 | TeamTNT挖矿木马应急溯源分析

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 在前一周的时间里,客户有遇到被Team***入侵挖矿的案例。但由于客户在没有给被入侵主机做快照的情况下,回滚了之前的快照,导致无法进一步入侵溯源排查。 因此在腾讯云公网上上搭建了redis未授权的漏洞环境并在控制台安全组放行端口。随后很短时间内便收到了云镜的告警通知。 0x01 确定最早入侵时间点 通常根据云镜的告警短信,基本可以确定最早入侵时间点。
发布时间:2023-03-28 12:15 | 阅读:125450 | 评论:0 | 标签:busybox redis未授权 TeamTNT 后门 挖矿木马 木马 分析

劫持资源管理器实现持久性后门

0x01 前言最近看到一篇有关《劫持Explorer.exe实现持久性》的文章,只要用户右键单击文件资源管理器中的文件或文件夹就会触发,简单记录下本地复现过程!0x02 复现过程CobaltStrike或Metasploit生成一个C格式shellcode,将shellcode中的"都替换为空,再用rn将其放在一行,配置好相关参数执行监听。
发布时间:2023-03-27 11:06 | 阅读:126335 | 评论:0 | 标签:后门

r77 Windows Rootkit-无文件的后门、dll劫持、持久性和隐身功能

排版有点乱,轻喷。内容更重要1摘要  r77 Rootkit 是一个无文件的 ring 3 rootkit。它的主要目的是隐藏文件、目录、进程、服务、注册表项等。          此外,rootkit 附带一个在操作系统上保留 r77 的安装程序。安装是完全无文件的,这意味着没有文件写入磁盘。 r77 完全依赖内存操作,并始终保留在系统内存中。安装程序的持久性机制允许它在 Windows 重新启动后继续运行。对于 r77 的部署,只需要一个只需要执行一次的可执行文件。
发布时间:2023-03-25 12:11 | 阅读:321390 | 评论:0 | 标签:后门 windows

跨平台恶意后门 SysJoker 行为分析及解码

  在恶意软件领域中,能够针对多个操作系统发起攻击的跨平台恶意软件是很多的。2020 年 9 月发现的 Vermilion Strike 就是最新的示例。   2021 年 12 月,网络安全公司 Intezer 发现了一个能够对 Windows、Mac 和 Linux 发起攻击的跨平台后门 SysJoker,其 Linux 版本和 Mac 版本的恶意软件在 VirusTotal 上完全没有检出。   SysJoker 是在一家教育机构的 Web 服务器上发现的,该服务器为 Linux 系统。经过进一步调查,发现 SysJoker 也有 Mach-O 和 Windows 版本。
发布时间:2023-03-25 03:44 | 阅读:178785 | 评论:0 | 标签:后门 分析

在模型中植入不可检测后门,「外包」AI更易中招

选自量子杂志,作者:Ben Brubaker,机器之心编译机器学习(ML)正在迎来一个新的时代。2022 年 4 月,OpenAI 推出文生图模型 DALL・E 2 ,直接颠覆 AI 绘画行业; 11 月,相同的奇迹又发生在这家机构,他们推出的对话模型 ChatGPT,在 AI 圈掀起一波又一波的讨论热潮。很多人都对这些模型的出色表现表示不理解,它们的黑箱操作过程更加激发了大家的探索欲。在探索过程中,始终有些问题几乎不可避免地遇到,那就是软件漏洞。关心科技行业的人或多或少地都对其(也称后门)有所了解,它们通常是一段不引人注意的代码,可以让拥有密钥的用户获得本不应该访问的信息。
发布时间:2023-03-21 17:58 | 阅读:158435 | 评论:0 | 标签:后门 AI

后门病毒利用“白加黑”躲避查杀 可随意操控用户电脑

样本分析病毒的执行流程,如下图所示:病毒的执行流程该病毒最早由MSI安装程序来释放部分文件到“C:UsersPublicDocumentsNGLA”目录中,并执行my7z.exe和NNN_
发布时间:2023-03-21 11:58 | 阅读:154752 | 评论:0 | 标签:后门 病毒

Earth Kitsune通过水坑攻击传播新的WhiskerSpy后门

趋势科技研究人员最近发现了一个新的后门,他们将其归因于之前报道过的被称为Earth Kitsune的攻击者。自2019年以来,“Earth Kitsune”一直在向主要对朝鲜感兴趣的个人传播自主开发的后门变体。在我们过去调查的许多示例中,攻击者通过使用了水坑攻击策略,攻击与朝鲜有关的网站,并将浏览器漏洞注入其中。在分析的最新活动中,Earth Kitsune使用了类似的策略,但没有使用浏览器漏洞,而是使用了社会工程。在2022年底,研究人员发现一个亲朝组织的网站被入侵和修改,以传播恶意软件。
发布时间:2023-03-14 14:29 | 阅读:154251 | 评论:0 | 标签:后门 攻击 水坑

TripleCross -具有后门、C2、库注入、执行劫持、持久性和隐身功能

                   TripleCross是一个Linux eBPF rootkit,演示了eBPF技术的攻击性功能。TripleCros
发布时间:2023-03-11 03:39 | 阅读:239040 | 评论:0 | 标签:注入 后门 执行

后门病毒伪装Word文档,利用钓鱼邮件传播

近期,火绒工程师发现针对国内企业投放病毒的威胁事件,经排查分析后,确认为后门病毒,主要通过钓鱼邮件进行传播,其会伪装成Word文档来诱导用户打开。 伪装成Word文档的病毒样本当用户被诱导点击运行病毒后,黑客可通过C&C服务器下发各类指令来执行各种恶意功能,如:恶意代码注入、利用开机自启来进行持久化操作、获取系统进程信息等恶意功能。不仅如此,该病毒还会使用多种手段(控制流混淆、字符串混淆、API混淆)来躲避杀毒软件的查杀。病毒的执行流程,如下图所示:病毒执行流程对此,火绒安全提醒用户不要轻易点击来历不明的邮件附件,火绒安全产品可对该病毒进行拦截查杀。
发布时间:2023-03-10 10:20 | 阅读:154484 | 评论:0 | 标签:后门 钓鱼 病毒

利用常见致远OA后门进行打点

在各种攻防演练中,致远OA通常会成为进入内网的突破口。在我利用漏洞获取webshell的大多数致远OA中,通常在web目录下已经包含了多个websehll。这些webshell一般都是由网络上的扫描器进行漏洞测试遗留下来的。我将其中经常出现的webshell名称收集起来,编写了如下nuclei template,将该template加入扫描队列中,可方便的检测致远OA以前是否被入侵过。
发布时间:2023-03-04 20:22 | 阅读:460630 | 评论:0 | 标签:后门

黑客的新后门程序利用了 MQTT 协议

安全公司 ESET 报告,黑客组织 Mustang Panda aka TA416 和 Bronze President 部署了一种新的后门程序 MQsTTang。恶意程序主要通过钓鱼邮件传播,通过一个 GitHub 软件库下载负荷,它会在注册表增加一个启动时运行的注册表项去实现持久存在。为了躲避监测它利用了 MQTT 协议去进行指令通信。MQsTTang 还会检查主机上是否存在调试器或监控工具,如果有发现,它会相应的改变行为。
发布时间:2023-03-04 02:48 | 阅读:215737 | 评论:0 | 标签:后门 黑客

浅谈路由固件解包打包与后门防御(二)

#路由器 2 个 #路由器相关 4 个 #路由器固件 1 个 #反编译固件 1 个 在前一篇文章中,我们提到了路由器固件的解包和打包操作。利用的工具是binwalk。但是打包的操作相对比较繁琐。今天我们来讲解另外一款工具的使用。环境说明kali 2022.4firmware-mod-kit关于工具firmware-mod-kit工具的功能和binwalk工具的类似,其实firmware-mod-kit工具在功能上有调用binwalk工具提供的功能以及其他的固件解包工具的整合。编译安装目前网络上的安装教程几乎是在ubuntu系统上安装的。而kali的相对比较少。
发布时间:2023-02-26 09:02 | 阅读:242907 | 评论:0 | 标签:后门 防御

路由器固件解包打包与后门防御

路由器已经是我们生活中必不可少的网络设备之一了。有不少的小伙伴喜欢捣腾路由器系统。喜欢在路由器系统中安装各种插件来丰富“网络生活”,但是你知道吗?你的路由固件真的安全吗?本文就让我们一起来看看如何反编译路由器的固件吧。实验环境kali2022.4华硕路由器固件RT-ACRH17Binwalk介绍Binwalk是一款快速、易用,用于分析,逆向工程和提取固件映像的工具。在CTF的MISC类题型和IOT安全的固件解包分析中应用比较广泛。
发布时间:2023-02-24 09:03 | 阅读:219651 | 评论:0 | 标签:后门 防御

黑客们盯上了Dota 2,秘密部署后门

Dota 2的玩家注意了,你使用的游戏模式很可能被黑客盯上了。2月13日消息,未知的威胁行为者为 Dota 2 游戏创建了恶意游戏模式,这些模式可能已经被利用来建立对玩家系统的后门访问。威胁行为者利用了V8 JavaScript 引擎中的一个高危零日漏洞CVE-2021-38003(CVSS 评分8.8),谷歌在2021年10月已修复该漏洞。“由于V8在Dota中没有沙盒化,这个漏洞本身就可以对Dota玩家进行远程代码执行,”Avast研究员Jan Vojtěšek在上周发布的一份报告中说。目前,游戏发行商Valve已经在202年1月12日的更新版本中修复了该漏洞。
发布时间:2023-02-22 11:55 | 阅读:145778 | 评论:0 | 标签:后门 黑客

华硕AC系列固件重打包与后门植入

写在前面:华硕AC系列固件设备数量很多,因此具有一定的固件重打包和后门植入的价值,这篇文章对华硕AC系列固件进行了分析,并研究了其重打包方法。本篇文章以华硕AC3200固件为例。1.固件解包及基本结构解析首先用binwalk对华硕AC3200固件进行扫描:由binwalk扫描发现固件由3部分组成:TRX头、内核以及文件系统构成。
发布时间:2023-02-22 11:43 | 阅读:204589 | 评论:0 | 标签:后门

如何借助eBPF打造隐蔽的后门

如何借助eBPF打造隐蔽的后门eBPF技术简介linux内核本质上是内核驱动的,下图表现了这一过程:图片来自Cilium 项目的创始人和核心开发者在 2019 年的一个技术分享 How to Make Linux Microservice-Aware with Cilium and eBPF在图中最上面,有进程进行系统调用,它们会连接到其他应用,写数据到磁盘,读写 socket,请求定时器等等。这些都是事件驱动的。这些过程都是系统调用。在图最下面,是硬件层。
发布时间:2023-02-16 22:08 | 阅读:206122 | 评论:0 | 标签:后门

黑客创建恶意 Dota 2 游戏模式,秘密部署后门

Dota 2的玩家注意了,你使用的游戏模式很可能被黑客盯上了。 2月13日消息,未知的威胁行为者为 Dota 2 游戏创建了恶意游戏模式,这些模式可能已经被利用来建立对玩家系统的后门访问。 威胁行为者利用了V8 JavaScript 引擎中的一个高危零日漏洞CVE-2021-38003(CVSS 评分8.8),谷歌在2021年10月已修复该漏洞。 “由于V8在Dota中没有沙盒化,这个漏洞本身就可以对Dota玩家进行远程代码执行,”Avast研究员Jan Vojtěšek在上周发布的一份报告中说。 目前,游戏发行商Valve已经在202年1月12日的更新版本中修复了该漏洞。
发布时间:2023-02-14 18:31 | 阅读:195405 | 评论:0 | 标签:黑客事件 Dota 2 游戏 黑客 后门

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

💰¥万百赚万千着跟:由自富财↓💸

❤用费0款退球星,年1期效有员会

🧠富财控掌,知认升提,长成起一💡

标签云 ☁