后门_黑客技术

记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

首页

网络安全

移动安全

招聘信息

黑客关键词

海外英文版

Villain - Windows&Linux后门生成器

安装与使用git clone https://github.com/t3l3machus/Villaincd ./Villainpip3 install -r requirements.txt以 root 身份运行：Villain.py [-h] [-p PORT] [-x HOAX_PORT] [-c CERTFILE] [-k KEYFILE] [-u] [-q]Villain 具有内置的自动混淆有效载荷功能，旨在帮助用户绕过 AV 解决方案（针对 Windows 有效载荷）。每个生成的有效负载只会工作一次。已经使用过的有效负载不能重新用于建立会话。

发布时间:2023-01-29 15:16 | 阅读:48356 | 评论:0 | 标签:后门 linux AI windows

Villain：一款针对Windows和Linux的后门生成和多会话处理工具

 关于Villain Villain是一款针对Windows和Linux操作系统设计和开发的后门生成与多会话处理工具，该工具允许广大研究人员与兄弟服务器或其他运行了Villain的设备进行连接，并共享他们的后门会话，以方便广大研究人员和团队之间的协同工作。Villain生成Payload所采用的机制基于HoaxShell实现，也可以说Villain在这方面是HoaxShell的一个升级版本。

发布时间:2023-01-14 18:22 | 阅读:102043 | 评论:0 | 标签:后门 linux AI windows

某Web系统后门分析

某Web系统后门分析CYBER SECURITY某.NET程序代码审计过程中，发现后门并对其进行分析，最终实现后台权限获取。01初步审计    拿到代码后，马上开始审计工作，由于该Web系统是后台系统，在测试过程中并未提供账号密码，于是想着找到一些未鉴权的接口，并利用漏洞获取权限。

发布时间:2023-01-13 11:39 | 阅读:63074 | 评论:0 | 标签:后门分析

基于AD Event日志识别Skeleton Key后门

01、简介Skeleton Key(万能密码)，是一种可以对域内权限进行持久化的操作手法，通过将Skeleton Key注入到lsass进程，无需重启域控即可生效，而且能够在不影响当前域用户正常登录的情况下，让所有域用户使用同一个万能密码进行登录。另外，它只存在于内存中，如果域控制器重启，注入的 Skeleton Key 将会失效。如何发现Skelenton Key的后门行为，基于AD Event日志通过对照攻击方法来寻找入侵痕迹，找出其中的攻击行为，提取攻击特征，以制定告警规则。

发布时间:2023-01-11 21:04 | 阅读:71016 | 评论:0 | 标签:后门日志

StrongPity 黑客分发带有后门的应用程序以瞄准 Android 用户

名为StrongPity的高级持续性攻击 (APT) 组织通过一个冒充名为Shagle的视频聊天服务的虚假网站，以木马化版本的 Telegram 应用程序瞄准 Android 用户。“一个模仿 Shagle 服务的山寨网站被用来分发 StrongPity 的移动后门应用程序，”ESET 恶意软件研究员 Lukáš Štefanko在一份技术报告中说。“该应用程序是开源 Telegram 应用程序的修改版本，使用 StrongPity 后门代码重新打包。

发布时间:2023-01-11 13:24 | 阅读:334484 | 评论:0 | 标签:后门 Android 黑客 android

基于互信息的深度神经网络后门攻击

各位亲爱的观众老爷大家早上中午晚上好现在是刚刚经历大考没有被迫营业的Compasser熊晖时间今天给大家带来的是新鲜热乎的论文Hibernated Backdoor: A Mutual Information Empowered Backdoor Attack to Deep Neural Networks旧道明大学的Rui Ning创作并发表于AAAI，今天我们来了解一些新的后门攻击------------------------------------背景知识上期我们介绍了神经网络逆向工程算法的现状和优劣。这一次我来分享一下我对后门攻击的理解。

发布时间:2023-01-10 08:45 | 阅读:70012 | 评论:0 | 标签:后门攻击网络

俄罗斯 APT 组织 Turla 正搭载已有十年之久的恶意软件部署新的后门

据观察，名为Turla的俄罗斯网络间谍组织搭载了一种已有十年历史的恶意软件使用的攻击基础设施，以乌克兰为目标提供自己的侦察和后门工具。谷歌旗下的 Mandiant 正在跟踪未分类集群名称UNC4210下的操作，称被劫持的服务器对应于 2013 年上传到 VirusTotal的商品恶意软件变体，称为ANDROMEDA （又名 Gamarue）。

发布时间:2023-01-09 18:32 | 阅读:118682 | 评论:0 | 标签:国际动态漏洞事件俄罗斯后门 apt 恶意软件

基于AD Event日志实时检测DSRM后门

01、简介每个域控制器都有一个目录还原模式（DSRM）帐户，它的密码是在安装域控时设置的，实际上它对应的就是sam文件里的本地管理员“administrator”，基本很少会被重置，因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码，就可以使用帐户通过网络登录到域控服务器，从而达到权限维持的目的。域内权限维持的方式有很多，每增加一条安全检测规则，就多一层安全保障。针对DSRM后门，基于AD Event日志能够帮助我们提供什么维度的检测，我们通过一个后门利用实例来看一下。02、利用方式（1）获取域内用户Hash使用mimikatz查看域内用户test的NTLM Hash。

发布时间:2023-01-09 00:02 | 阅读:93691 | 评论:0 | 标签:后门日志

谷歌智能音箱曝后门，可允许黑客窥探对话

日前，Google Home智能音箱中的一个漏洞允许安装一个后门帐户，该帐户可用于远程控制它，并通过访问麦克风馈送将其变成一个窥探设备。据悉，一位安全研究员在试验Google Home 迷你扬声器时，发现使用Google Home应用程序添加的新帐户可以通过云API向其远程发送命令，随后通过Nmap扫描，找到Google Home本地HTTP API端口，并设置了一个代理来捕获加密的HTTPS流量，进而抢夺用户授权令牌。研究人员还发现，向目标设备添加新用户是一个两步过程，需要设备名称、证书和来自其本地API的“云 ID”。有了这些信息，他们就可以向谷歌服务器发送链接请求。

发布时间:2022-12-30 13:21 | 阅读:109867 | 评论:0 | 标签:后门黑客智能

以 Roshtyak 后门为例介绍恶意软件的自保护、逃逸等技巧（三）

变量隐藏一些变量不是以明文形式存储的，而是使用一个或多个算术指令隐藏起来的。这意味着如果 Roshtyak 没有主动使用变量，它将以混淆的形式保留该变量的值。每当Roshtyak需要使用该变量时，它必须在使用它之前先解开它的掩码。相反，在Roshtyak使用该变量后，它会将其转换回掩码形式。这种隐藏方法使调试期间跟踪变量的工作变得复杂，并使搜索内存中已知变量值变得更加困难。循环变换Roshtyak 在一些循环条件下很有创意。

发布时间:2022-12-25 13:29 | 阅读:130777 | 评论:0 | 标签:后门保护恶意软件

Redigo——新的 Redis 后门恶意软件

关键词Redis、恶意软件、漏洞利用1. 概述Aqua Nautilus 发现了针对 Redis 服务器新的基于 Go 的恶意软件。该攻击是在易受CVE-2022-0543攻击的 Redis 蜜罐中捕获的。调查揭示了用 Golang 编写的恶意软件旨在以 Redis 服务器为目标，允许攻击服务器控制受感染的机器。因此，该恶意软件的名称为Redigo。这篇文章研究攻击者如何利用此 Redis 漏洞来运行新的恶意软件。此外，本篇文章还审查了攻击过程并推荐防止未来攻击的方法。2.什么是 Redis？ Redis（远程字典服务器）是一个开源的内存数据库和缓存。

发布时间:2022-12-14 11:42 | 阅读:176692 | 评论:0 | 标签:后门恶意软件

如何在Windows AD域中驻留ACL后门

前言当拿下域控权限时，为了维持权限，常常需要驻留一些后门，从而达到长期控制的目的。Windows AD域后门五花八门，除了常规的的添加隐藏用户、启动项、计划任务、抓取登录时的密码，还有一些基于ACL的后门。 ACL介绍 ACL是一个访问控制列表，是整个访问控制模型（ACM）的实现的总称。常说的ACL主要分为两类，分别为特定对象安全描述符的自由访问控制列表 (DACL) 和系统访问控制列表 (SACL)。对象的 DACL 和 SACL 都是访问控制条目 (ACE) 的集合，ACE控制着对象指定允许、拒绝或审计的访问权限，其中Deny拒绝优先于Allow允许。

发布时间:2022-12-07 17:11 | 阅读:162573 | 评论:0 | 标签:ACL ACM DCSync sid 代理账号安全描述符安全标识符后门 windows

【论文分享】基于风格操纵的语言模型隐藏触发后门攻击

今天分享的论文主题是基于风格操纵的语言模型隐藏触发后门攻击（HiddenTriggerBackdoorAttack）。该工作突破传统基于词（短语）的后门触发模式，提出了使用语言风格转换模型的LISM（LinguisticStyle-MotivatedBackdoorAttack）攻击方法，将隐式的语言风格作为隐藏触发点嵌入语言模型从而获得攻击后门。LISM可以很大程度地保留原始文本语义，并有效避免防御系统检测。作者在多个语言模型、现实安全任务、触发语言风格、潜在防御方法上进行实验，充分验证了LISM的攻击有效性和隐蔽性。

发布时间:2022-12-05 21:03 | 阅读:159670 | 评论:0 | 标签:后门攻击

RotaJakiro后门与Buni后门关联性分析

本文为看雪论坛优秀文章看雪论坛作者ID：guyioo本文将根据360Netlab报告中提到的RotaJakiro后门特点以及微步报告中描述的Buni后门特点对二者关联分析。经分析，两种后门的相似之处如下：1、单一实例RotaJakiro通过文件锁来实现单一实例，具体实现如下图左所示。图右为Buni单一实例实现方式。2、发包与收包RotaJakiro后门将构造上线信息加密发送至C2，其中send函数如下：同样的，recv函数也十分相似。然而，RotaJakiro与Buni的不同之处似乎更多。

发布时间:2022-12-04 21:03 | 阅读:229213 | 评论:0 | 标签:后门分析

隐式超参数的后门遗忘

COMPASS写 /在 /前 /面介绍自己 / 介绍论文来了嗷，今天是一点都不叛逆、不玩内卷游戏、没有被迫营业的COMPASSer熊晖时间。很高兴可以和大家分享论文。今天我分享的这篇论文是来自ICLR 2022的一篇文章：“ADVERSARIAL UNLEARNING OF BACKDOORS VIA IMPLICIT HYPERGRADIENT”这篇文章在我手上已经一年了，我亲自看着它从一篇籍籍无名的论文到ICLR接受，再想到我的科研还在原地踏步我真的哭死。那么这篇“养成系”论文到底有什么出彩之处呢？今天我们就来一起看看。

发布时间:2022-12-03 18:10 | 阅读:165679 | 评论:0 | 标签:后门

以 Roshtyak 后门为例介绍恶意软件的自保护、逃逸等技巧（一）

恶意软件开发者通常会使用各种技巧使分析工作变得更加困难。这些技巧包括使逆向工程复杂化的混淆技巧、逃避沙箱的反沙箱技巧、绕过静态检测的打包技巧等。多年来，各种恶意软件在野外使用的无数欺骗手段都记录了这一点。然而，尽管有许多可用的技巧，但在典型的恶意软件中很少实现这些技巧。本文就以 Roshtyak 后门为例介绍恶意软件的自保护、杀软逃逸技巧。Raspberry Robin于2021年9月首次被发现，通过受感染的USB设备传播。本文的主题是一个我们称为 Roshtyak 的后门，它不是典型的恶意软件。 Roshtyak 反分析设计很多。有些是众所周知的，有些是我们从未见过的。

发布时间:2022-12-03 13:29 | 阅读:198395 | 评论:0 | 标签:后门保护恶意软件

速看！Redis服务器被植入后门

被研究人员称之为Redigo的一种基于Go的新的恶意软件，它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。CVE-2022-0543是Redis（远程字典服务器）软件中的一个关键漏洞，具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后，仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。今天，AquaSec报告说，其易受CVE-2022-0543影响的Redis蜜罐捕获了一个新的恶意软件，该恶意软件并没有被Virus Total上的安全软件检测到。

发布时间:2022-12-02 16:15 | 阅读:173989 | 评论:0 | 标签:后门

新的 Redigo 恶意软件在 Redis 服务器上投放了隐蔽的后门

被研究人员称之为Redigo的一种基于Go的新的恶意软件，它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。 CVE-2022-0543是Redis（远程字典服务器）软件中的一个关键漏洞，具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后，仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。今天，AquaSec报告说，其易受CVE-2022-0543影响的Redis蜜罐捕获了一个新的恶意软件，该恶意软件并没有被Virus Total上的安全软件检测到。

发布时间:2022-12-02 15:33 | 阅读:184851 | 评论:0 | 标签:安全快讯恶意软件 Redigo 恶意软件 Redis 后门

ScarCruft APT组织使用新型Dolphin后门攻击韩国目标

日前，朝鲜背景APT组织ScarCruft使用一个名为Dolphin，此前未被记录的后门攻击韩国目标。ScarCruft黑客组织（又名APT37、Reaper 和 Group123），至少从 2012 年开始活跃，在2018年2月，因利用Adobe Flash Player中的0Day漏洞向韩国用户提供恶意软件，被业内熟知。在攻击目标上，ScarCruft黑客组织主要针对韩国的政府、国防、军队和媒体等组织机构。据悉，Dolphin后门可支持多种间谍功能，包括监控驱动器和便携式设备以及泄露感兴趣的文件、键盘记录和截屏以及从浏览器窃取凭证。

发布时间:2022-12-02 13:19 | 阅读:189237 | 评论:0 | 标签:后门 apt 攻击韩国

疑似OilRig组织Powershell后门分析

1.     概述近期，观成科技安全团队针对疑似OilRig组织恶意文档进行了分析，并还原了该文档释放的恶意Powershell后门与服务器之间的通信过程。该文档通过两个Powershell脚本来分别进行命令获取与执行，命令和执行结果都使用AES-256-CBC算法进行加密，通信使用HTTP隐蔽隧道，将加密后的数据隐藏在HTTP协议载荷部分传输。

发布时间:2022-12-01 20:07 | 阅读:262751 | 评论:0 | 标签:HTTP OilRig组织 Powershell后门分析后门 shell 分析

Worok黑客滥用Dropbox API通过隐藏在图像中的后门窃取数据

捷克网络安全公司Avast表示，PNG文件的目的是隐藏用于促进信息盗窃的有效载荷。“值得注意的是使用Dropbox存储库从受害者的机器中收集数据，以及使用Dropbox API与最后阶段进行通信的攻击者，”该公司表示。最近发现的一个名为Worok的网络间谍组织被发现将恶意软件隐藏在看似无害的图像文件中，证实了威胁行为者感染链中的关键环节。      捷克网络安全公司Avast表示，PNG文件的目的是隐藏用于促进信息盗窃的有效载荷。

发布时间:2022-11-15 15:38 | 阅读:236981 | 评论:0 | 标签:后门黑客 API

通过反序列化利用JDBC后门

前言前几天学习了pyn3rd师傅的从SPI机制到JDBC后门实现一文主要是的思路是利用的SPI机制，进行的RCE, 主要是在DriverManager类中能够通过SPI机制获取classpath�

发布时间:2022-11-14 13:18 | 阅读:210532 | 评论:0 | 标签:后门序列化

VBS后门的免杀方式研究

#星球 3 个 #知识星球 1 个本文来自“白帽子社区红队知识星球”作者：白帽子社区红队-伟大宝宝白帽子社区红队知识星球一个专属于红队的高级威胁技术研究星球星球主要面向高级持续性威胁领域技术的研究。目前已在研究或发表技术成果的主题主要涵盖持久化控制、反溯源、后门传播、免杀、钓鱼伪装技术、Windows系统服务漏洞研究、开源产品漏洞研究等领域，目前已有以下7大板块：【产品漏洞】【内网穿透】【权限维持】【系统提权】【内网渗透】【免杀技术】【技术研究】还可以与嘉宾大佬们接触，在线答疑微信群、互相探讨，不定时进行技术直播分享。01前言本次所涉及的杀毒软件主要为 360，辅助对比使用的是火绒。

发布时间:2022-11-13 15:27 | 阅读:244073 | 评论:0 | 标签:后门

APT 10利用自定义后门LODEINFO向日本各类机构发起攻击

自2019年以来，卡巴斯基一直在跟踪涉及LODEINFO恶意软件家族的活动，寻找迭代版本，并彻底调查利用这些新变体的任何攻击。LODEINFO是一种复杂的无文件恶意软件，最在2020年2月就被发现被命名了。恶意软件被开发人员定期修改和升级，专门针对日本的媒体、外交、政府和公共部门组织和智库。日本可能是LODEINFO的主要目标此后，研究人员继续追踪LODEINFO。JPCERT/CC和Macnica Networks都报道过其迭代版本。卡巴斯基研究人员还在2021 HITCON会议上分享了新发现，涵盖2019年至2020年的LODEINFO活动。

发布时间:2022-11-12 13:27 | 阅读:269128 | 评论:0 | 标签:后门 apt 攻击日本

基于AD Event日志实时检测GPO后门

01、简介在一些勒索病毒的案例中，我们可以看到这样的案例，攻击者通过域控组策略下发勒索病毒加载脚本，从共享服务器下载并执行勒索病毒样本，从而导致内网大规模范围内的病毒感染事件。在域控这种中央集权系统，通过组策略只需要更改一个组策略对象（GPO），就能影响成千上万的计算机，一旦被恶意利用后果不堪设想。基于勒索病毒攻击感染的场景，组策略对象（GPO）的敏感操作需要实时监控，这是保持内网安全所必需的。那么，今天我们来分析一下GPO后门的方式，总结规律，制定对应的检测规则。 02、攻击过程通过域控下发并执行脚本/软件，主要有三种方式，分别是添加启动项脚本、添加计划任务以及软件安装。

发布时间:2022-11-11 17:10 | 阅读:218938 | 评论:0 | 标签:AD Event GPO 后门日志

【安全研究】Linux后渗透常见后门驻留方式分析

↑ 点击上方 关注我们一引言当RedTeam拿下了一台服务器并获取到系统较高权限，但不知道服务器的凭证时，RedTeam会采用怎样的技术获取系统凭证呢？又或者，在RedTeam拿下一台服务器，为达到长久控制的目的而专门定制持久化后门（免杀肯定是必须的）的前提下，他们会如何结合系统自身的某些特性，达到持久化控制的效果？ BlueTeam在应急响应的过程中，又该如何尽早地排查出这些后门？为尽到“知己知彼，百战不殆”，本文将对Linux下常见的权限维持技术和凭据收集技术进行解析，希望能对从事攻防对抗研究的小伙伴有所帮助。

发布时间:2022-11-09 17:09 | 阅读:342930 | 评论:0 | 标签:安全管理 Alias Cron后门 Linux RedTeam SSH软连接 strace SUID Shell后门 w

针对加密货币行业,通过VT0检图片分发GO编写的DNS后门

#病毒分析 45 个 #加密货币 1 个概述:使用Go语言编写的恶意软件变得越来越流行，主要原因为Go在跨平台支持和编译方面非常灵活，可以在包含所有需要�

发布时间:2022-11-05 08:59 | 阅读:286950 | 评论:0 | 标签:后门加密 DNS 加密货币

Usenix Sec22｜基于文本风格的隐式NLP后门攻击

近年来，深度文本表征模型已广泛应用于舆情分析、内容安全、搜索引擎等实际应用场景，很大程度影响着网络生态安全。随着谷歌、OpenAI、百度等大型IT公司发布了多种预训练深度文本表征模型（如BERT、GPT-2等），从公开模型仓库下载、整合并部署预训练模型逐步成为下游服务商青睐的主要应用范式。然而，基于对深度文本表征模型的隐式后门行为进行检测，项目组发现潜在攻击者能利用文本风格实施高隐蔽性后门攻击，使目标文本表征模型被有效注入受特定文本风格（例如，诗歌体）触发的后门功能，并在实际攻击过程中，基于文本迁移技术将违规文本以这种特定风格改写，以绕过注有该后门功能的内容安全系统（图1）。

发布时间:2022-11-04 15:11 | 阅读:228869 | 评论:0 | 标签:后门攻击

美国新闻业遭遇大规模供应链攻击：数百家报纸网站被植入“后门”

前情回顾·新闻业网络威胁形势内鬼作祟！美国百年老报“被黑”，发布大量攻击性政治言论勒索攻击中断印刷系统，德国地方大报被迫暂停纸质版发行网络攻击导致全球最大数字报纸发行平台关闭数天报纸停印！挪威第二大媒体集团遭黑客勒索安全内参11月3日消息，有恶意黑客侵入并操纵某家未公开名字的媒体公司基础设施，在美国数百家报纸的网站上部署了SocGholish JavaScript恶意软件框架（又名FakeUpdates）。美国安全厂商Proofpoint威胁研究与检测副总裁Sherrod DeGrippo向媒体证实，“被黑的是一家主要向新闻机构提供视频和广告内容的媒体公司，一直服务于美国多个市场上的不同企业。

发布时间:2022-11-04 00:21 | 阅读:352071 | 评论:0 | 标签:后门攻击美国

医疗图像后门攻击的解释

COMPASS写 /在 /前 /面介绍自己 / 介绍论文各位观众老爷们新年好，欢迎你们在北京时间自己看现在几点准时点开这个推送。我是一点都不叛逆、不玩内卷游戏、没有被迫营业的COMPASSer熊晖。目前的研究是AI模型后门攻击和防御。今天又轮到我来给大家分享论文。我分享的这篇论文是来自AAAI 2021 “医疗可信AI“Workshop 的一篇文章：“Explainability Matters: Backdoor Attacks on Medical Imaging”作为一篇workshop的文章，它的篇幅比较短。但是对我当前的工作具有很大的启发作用。

发布时间:2022-11-01 21:01 | 阅读:225563 | 评论:0 | 标签:后门攻击医疗