记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华【技术原创】利用TelemetryController实现的后门分析
0x00 前言我从ABUSING WINDOWS TELEMETRY FOR PERSISTENCE学到了一种利用TelemetryController实现的自启动后门方法,在Win10下测试没有问题,但在Win7和Server2012R2下测试遇到了不同的结果。本文将要记录我的学习心得,分析利用方法,给出防御建议。
真实的谎言——2月31日的任务与黑客的后门
第166期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、真实的谎言——2月31日的任务与黑客的后门安全研究员发现CronRAT利用骚操作逃避检测——把计划任务设置在不存在的一天。虽然它只是针对电商网站的广撒网恶意软件,但该黑客组织创新性极强,时至今日都有很多杀毒软件没法检测出他们的最新样本。最近,他们又研究出了新花样,把payload设置在计划任务的2月31日。
耸人听闻的“后门”?美国《安全设备法》简评
作者: 通力律师事务所 潘永建 | 黄文捷 | 左嘉玮美国当地时间11月11日, 美国总统乔·拜登签署了《安全设备法》(Secure Equipment Act), 该法将阻止联邦通信委员会(“FCC”)向被视为“安全威胁”的公司发放电信设备许可证。业界认为, 该法是针对华为、中兴等中国科技企业的最新贸易限制措施。通过本文, 通力合规团队将简要解读《安全设备法》的来龙去脉及对相关企业带来的影响。
澳大利亚供水设施被植入后门长达9个月,直到年审才发现
澳大利亚地方审计署的年度财务审计报告,国有供水商SunWater遭到网络入侵长达9个月,自己却始终毫无察觉;被入侵服务器存放了客户数据,但攻击者似乎无意查看,只是植入了一个视频刷量的恶意软件;年审报告称,再次发现多个供水商信息系统存在控制缺陷,网络攻击仍然构成重大风险。黑客在存放昆士兰州供水运营商客户数据的服务器上潜伏达9个月,再次凸显出关键基础设施存在严重的网络安全隐患。作为澳大利亚国有供水运营商,SunWater公司负责运营19处主要水坝、80个泵站及总长1600英里的输水管道。据澳大利亚昆士兰州审计署日前发布的年度财务审计报告,SunWater公司遭遇入侵长达9个月,自己却始终毫无察觉。
发布时间:2021-11-12 12:25 |
阅读:9918 | 评论:0 |
标签:后门
盗版真的带毒 泄露IDA内含朝鲜黑客后门
第155期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、盗版真的带毒 泄露IDA内含朝鲜黑客后门安全圈又遭社工攻击,泄露IDA PRO竟带后门,朝鲜黑客再得一分。ESET安全研究员发现Lazarus在传播盗版IDA PRO,仔细分析发现,其中内含后门,这版IDA传播极广,中招者不计其数。
11月5日每日安全热点 - 分析KIMSUKY组织的新后门APPLESEED
robots漏洞 VulnerabilityMozilla Thunderbird 安全更新http://www.mozilla.org/en-US/security/advisories/mfsa2021-50/Grafana XSS 漏洞安全更新https://seclists.org/oss-sec/2021/q4/96高通芯?
基于管道实现简单的shell后门
robots 最近在分析恶意代码的过程中,遇到了基于管道的后门,于是就学习了一下基于管道的shell后门原理,自己动手写了一个简单的shell后门。分享一下,供大家交流,如有错误之处,欢迎指出。声明:本内容仅供用于分析恶意代码时参考相关原理,请自觉遵守相关法律,严禁使用相关技术进行任何非法目的。否则,自行承担后果。 原理本次实现的是一个正向的shell,被控者作为服务器,在本地监听一个端口,hacker作为客户端,通过网络来连接。
攻击技术研判|SolarWinds事件幕后黑手新型后门FoggyWeb技术研判
情报背景继今年3月和5月后,微软又发布了新的关于SolarWinds背后攻击者的文章,该文章中详细分析了一个新的复杂定制化后门,从中我们看到SolarWinds的攻击者保持了一贯的高水平能力。
利用Exchange漏洞入侵安插后门,小心数据泄露
背景概述
近日,深信服终端安全团队发现一起有针对性的黑产攻击事件,攻击者利用Exchange邮件服务漏洞入侵服务器,并通过部署恶意服务下载后门模块,获取用户信息、远程命令执行恶意程序、进行文件管理等,以此完成对受害主机的控制。
攻击流程分析
攻击者利用Exchange邮件服务漏洞上传webshell,随后部署恶意服务。恶意服务会隔一段时间访问一次后台,若后台开放则下载后门模块。并且攻击者自己实现了PE文件加载器,通过该加载器解密、修复并运行后门模块。
NOBELIUM 恶意软件针对性FoggyWeb后门攻击活动
本文是对新检测到的 NOBELIUM 恶意软件的深入分析,NOBELIUM 采用多种策略来进行凭据盗窃,目的是获得对 Active Directory 联合身份验证服务 ( AD FS ) 服务器的管理员级别访问权限。一旦 NOBELIUM 获得凭据并成功入侵服务器,攻击者就会依赖该访问权限来保持持久性并使用复杂的恶意软件和工具加深其渗透。NOBELIUM 使用 FoggyWeb 远程渗透受感染 AD FS 服务器的配置数据库、解密的令牌签名证书和令牌解密证书,以及下载和执行其他组件。
AI中的后门攻击及防御-实战篇
robots 前言师傅们看题目是否会觉得奇怪,AI系统中还能有后门?现在的AI系统不是基本上都基于Pytorch、TensorFlow等成熟的机器学习库调API就可以了吗,怎么会存在后门呢,就算存在后门,大部分系统也就几百行代码,简单的代码审计不就可以检测到后门进而清除了吗?如果确实有这些疑惑,可以继续看下去,自然就明白其中的道理了。
编写插桩ASP.NET MVC程序的CLR Profiler后门
robots 前言在之前某次渗透测试中,发现一个ASP.NET的站点,通过数据库权限提权拿下系统之后发现站点的密码是经过几次编码和不可逆加密算法存储的。导致无法通过管理员的账号密码登录系统(因为当时是个比较重要的系统,因此需要账号密码来登录后台),因此最后的解决办法就是通过加密算法生成一个新的密码,再写入数据库中来登录。但之后接触到了CLR Profiler,于是想起用这种方式来获取管理员的账号密码,本次文章仅介绍思路以供研究学习,切勿用于非法用途。
发布时间:2021-10-25 10:39 |
阅读:11790 | 评论:0 |
标签:后门
使用MSF入侵win7并生成后门控制
攻击主机系统:kali Linux 192.168.102.16目标主机系统:win7 192.168.102.17两台主机均在虚拟机,同一局域网内互通。首先启动Metasploit命令 MsfconsoleMsf启动后会发现很多模块,对于win7的话我们先尝试永恒之蓝漏洞来入侵,通过命令查找MS17_010漏洞相关的信息:Search ms17_010输入命令后查找结果如图所示,找到了四个模块。其中有探测板块和利用板块。先探测一下有哪些主机存在漏洞。
ssh 软连接后门使用
通过软连接建立一个ssh后门:
ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort=12345
说明:建立软连接到/usr/local/su 文件,也可以在其他目录,su文件名字不能变,变了就无法登录。当然可以通过其他设置,更改su名字也是可以的。
Linux软连接ssh后门之我见
0x00 前言
学习了Sevck发表Linux软连接后门的《一条命令引发的思考》,还是存在几个疑惑点,仔细探究之后就有了这篇文章
0x01简单回顾
一、Linux经典软?
FIN7黑客使用Windows 11主题文件植入Javascript后门
最近的一波“鱼叉式网络钓鱼”活动利用带有Visual Basic宏的武器化Windows 11 Alpha主题Word文档,针对位于美国的销售点(PoS)服务提供商投放恶意负载,包括植入JavaScript程序。据网络安全公司Anomali研究人员称,这些攻击发生在2021年6月下旬至7月下旬之间,被认为是出于经济动机的威胁行为者FIN7。Anomali Threat Research在9月2日发布的技术分析中表示:“Clearmind域的特定目标与FIN7的首选作案手法十分吻合。”该组织的目标似乎是提供FIN7至少从2018年就开始使用的JavaScript后门的变体。
Turla APT组织使用新后门攻击阿富汗、德国和美国
与俄罗斯有关的网络间谍组织Turla,再次成为新闻焦点,该APT组织在最近一波攻击中采用了一个新的后门Turla APT组织使用新后门攻击阿富汗、德国和美国9月22日,security affair网站披露,思科Talos团队(Cisco Talos)研究人员发现,至少从2020年开始,俄罗斯Turla APT组织使用了一个名为TinyTurla的新后门,对美国、德国和阿富汗进行了一系列攻击。在塔利班接管该国政府以及美国及其盟国的所有军队撤出之前,威胁者攻击了阿富汗实体,因此Talos推测,此次攻击目标可能是阿富汗政府。
阿富汗动乱后,Turla APT开始种植新的后门
研究人员报告说,Turla高级持续性威胁(APT)组织又回来了,他们使用了一个新的后门来感染阿富汗、德国和美国的系统。研究人员说,他们已经发现了可能是Turla集团(又名Snake、Venomous Bear、Uroburos和WhiteBear)--一个俄罗斯籍的APT组织的攻击行为。他们指出,这些攻击很可能会使用一个隐蔽的second-chance后门来维持被感染的设备的访问权限。"second-chance "的含义是指,它很难被清除,即使被感染的机器清除了主要的恶意软件,攻击者也能继续保持对系统的访问。
【漏洞学习】FTP后门漏洞复现(含有漏洞的vsftpd2.3.4)
网安教育培养网络安全人才技术交流、学习咨询FTP后门漏洞复现01漏洞简述vsftpd-2.3.4 手工触发漏洞:当进行FTP认证时,如果用户名USER中包含:),那么直接就触发监听6200端口的连接的shell。
利用安全描述符隐藏服务后门进行权限维持
宽字节安全 Author oulaa 宽字节安全 . 二十年专注安全研究,漏洞分析 本文来自宽字节安全第一期学员oulaa投稿。第二期线下培训预计十一月底开班,欢迎咨询。通过注册服务创建后门将后门程序注册为自启动服务是我们常用的一种进行权限维持的方法,通常可以通过sc或者powershell来进行创建。
针对恶意软件分类器的可解释性后门投毒攻击
robots 用基于机器学习 (ML) 的恶意软件分类的训练通常依赖于众包威胁源,从而暴露自然攻击注入点。在本文中研究了基于特征的 ML 恶意软件分类器对后门投毒攻击的敏感性,特别关注攻击者无法控制样本标记过程的“干净标签”攻击。建议使用可解释机器学习的技术来指导相关特征和值的选择,从而以与模型无关的方式创建有效的后门触发器。使用多个用于恶意软件分类的参考数据集,包括 Windows PE 文件、PDF 和 Android 应用程序,展示了针对各种机器学习模型的有效攻击,并评估了对攻击者施加的各种约束的影响。
警惕:暗藏后门的USB-C to Lightning数据充电线将大规模生产销售
由名为MG的安全研究人员设计,看似普通的USB-C to Lightning充电线实际上带有芯片、WiFi和键盘记录器。一个允许它监视任何类型设备并访问所有命令的秘密。这一类似当年美国NSA高级网络间谍工具水蝮蛇1号的恶意线缆,眼下只需要100多美元,而水蝮蛇1号当时的报价是2万美元。关键是攻击能力的大幅扩展提高,水蝮蛇1号恐已望尘莫及!该型号包含一个芯片,能够恢复在键盘上输入的多达 650,000 个口令。(来源:Hak5)数据充电线上的超级“后门”现在,用户可能想不到USB-C to Lightning充电线也可以用来监视设备。
发布时间:2021-09-06 08:18 |
阅读:37918 | 评论:0 |
标签:后门
APT组织SparklingGoblin使用的SideWalk后门的分析
ESET研究人员最近发现了一种新的未被公开的模块化后门,SideWalk,正在被一个APT小组使用,研究人员将其命名为sparlinggoblin,这个后门最近攻击一家美国电脑零售公司,这个后门与该组织使用的另一个后门 CROSSWALK 有很多相似之处。SideWalk是一个模块化后门,可以动态加载从其C&C服务器发送的额外模块,使用Google Docs 作为dead drop resolver,并使用Cloudflare worker作为C&C服务器。
8月27日每日安全热点 - SideWalk后门瞄准美国计算机零售业务
robots漏洞 VulnerabilityCVE-2021-26084: Confluence Server and Data Center远程代码执行漏洞https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.htmlVMware V
全新 SideWalk 后门攻击针对美国电脑零售业务
一家位于美国的电脑零售公司成为SideWalk攻击的目标,这种攻击以前从未被发现,是一个中国高级黑客组织最近开展的活动一部分,该组织主要以专门针对东亚和东南亚实体的网络攻击而闻名。
斯洛伐克网络安全公司ESET在持续跟踪名为SparklingGoblin的高级威胁过程当中发现了这个攻击,被认为与Winnti umbrella组织有关,并指出其与另一个被称为Crosswalk的后门相似,后者在2019年被同一黑客组织使用。
模型安全性——图神经网络后门的攻守道
阅读: 3一、摘要图模型因其强大的表示能力在现实中有着广泛的应用,如欺诈检测、生物医学、社交网络等。由于图结构不具有平移不变性,每一个节点的上下文结构有较大的差异,因此传统的深度学习模型就无法直接应用到图模型上。图神经网络(GNN)可以从图数据中提取相应特征,在尽可能的保证图结构特征的情况下把图数据映射到向量空间中。随着GNN的应用越来越广泛,其安全性也越来越被关注。比如说在信用评分系统中,欺诈者可以伪造与几个高信用客户的联系以逃避欺诈检测模型;垃圾邮件发送者可以轻松地创建虚假的关注者,向社交网络添加错误的信息,以增加推荐和传播重大新闻的机会,或是操控在线评论和产品网站。
模型安全性|图神经网络后门的攻守之道
绿盟科技研究通讯 Author 天枢实验室 绿盟科技研究通讯 绿盟科技研究通讯-绿盟研究成果发布地,创新、孵化、布道,只玩最酷的安全技术 全文共4173字,阅读大约需要8分钟。当前图神经网络的广泛应用使其安全性成为关注的焦点。本文介绍了GNN模型的后门攻击方法以及相关的防御策略。一摘要图模型因其强大的表示能力在现实中有着广泛的应用,如欺诈检测、生物医学、社交网络等。由于图结构不具有平移不变性,每一个节点的上下文结构有较大的差异,因此传统的深度学习模型就无法直接应用到图模型上。图神经网络(GNN)可以从图数据中提取相应特征,在尽可能的保证图结构特征的情况下把图数据映射到向量空间中。
【AI模型安全性专题】模型安全性——图神经网络后门的攻守道
阅读: 3一、摘要图模型因其强大的表示能力在现实中有着广泛的应用,如欺诈检测、生物医学、社交网络等。由于图结构不具有平移不变性,每一个节点的上下文结构有较大的差异,因此传统的深度学习模型就无法直接应用到图模型上。图神经网络(GNN)可以从图数据中提取相应特征,在尽可能的保证图结构特征的情况下把图数据映射到向量空间中。随着GNN的应用越来越广泛,其安全性也越来越被关注。比如说在信用评分系统中,欺诈者可以伪造与几个高信用客户的联系以逃避欺诈检测模型;垃圾邮件发送者可以轻松地创建虚假的关注者,向社交网络添加错误的信息,以增加推荐和传播重大新闻的机会,或是操控在线评论和产品网站。
对AI发动后门攻击
robots 前言后门一词师傅们应该很熟悉了,后门本意是指一座建筑背面开设的门,通常比较隐蔽,为进出建筑的人提供方便和隐蔽。在安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。方便以后再次秘密进入或者控制系统。其最大的特点在于隐蔽性,平时不用的时候因为不影响系统正常运行,所以是很难被发现的。
怎么清理webshell木马后门文件
Webshell实际上是一个能够执行恶意功能的PHP代码文件。Webshell要执行恶意功能,其代码结构主要由两部分组成:数据传递部分和数据执行部分。在webshell中,数据传递部分是指webshell中用来接收外部输入数据的部分,webshell可以根据外部输入数据动态地交互执行恶意功能。在webshell中,数据执行部分指的是webshell中的system函数,用于执行代码执行和执行命令等命令。在基本的webshell中,数据传递主要通过诸如$_GET、$_POST、$_COOKIES等变量传递或直接写入代码,数据执行主要是通过eval或assert,或者直接调用函数来执行。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤