记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Blackrota:一个Go开发的高度混淆的后门

 概述最近,我们通过 Anglerfish 蜜罐捕获到一个利用 Docker Remote API 未授权访问漏洞来传播的 Go 语言编写的恶意后门程序,鉴于它上线的 C2 为 blackrota.ga ,我们把它命名为 Blackrota。Blackrota 后门程序目前只有 Linux 版,为 ELF 文件格式,支持 x86/x86-64 两种 CPU 架构。
发布时间:2020-11-25 11:39 | 阅读:3464 | 评论:0 | 标签:后门

话题讨论 | 面对特殊情况,企业应不应该为加密应用程序产品 “开后门”?

当年,FBI曾因为调查枪击案而要求苹果为其“开后门”,自此,科技巨头和执法机构之间关于个人隐私的博弈,至今仍是值得探讨热议的话题。在不同的情境下,个人隐私应处在何种位置,不同企业应该如何处理信息,这些问题今天想和大家一起来聊一聊。以下内容是本次群内讨论的一些精彩观点,经整理后以供分享。基本立场:不开 vs 开@米怀特加密聊天软件会给政府开放后门。在使用条款之中有明确的告知。毕竟需要受到当地政府的监管,对于违法犯罪要督察。目前IDOR导致隐私泄露的案例太多了。
发布时间:2020-11-20 15:43 | 阅读:6368 | 评论:0 | 标签:后门 加密

Blackrota, 一个Go开发的高度混淆的后门

概述最近,我们通过 Anglerfish 蜜罐捕获到一个利用 Docker Remote API 未授权访问漏洞来传播的 Go 语言编写的恶意后门程序,鉴于它上线的 C2 为 blackrota.ga ,我们把它命名为 Blackrota。Blackrota 后门程序目前只有 Linux 版,为 ELF 文件格式,支持 x86/x86-64 两种 CPU 架构。
发布时间:2020-11-20 15:24 | 阅读:8004 | 评论:0 | 标签:Backdoor 后门

绕过VPN和防火墙?苹果给自家APP留后门

近日,苹果公司新推出的macOS操作系统版本Big Sur的一项“新功能”引起了安全人士的关注和担忧。该功能允许某些(约50个)Apple应用程序绕过内容过滤器和VPN。安全专家们认为这是一种危险的做法,攻击者可以利用这项新功能来绕过防火墙,访问人们的系统并暴露其敏感数据。功能性漏洞?值得注意的是,这个“漏洞”是苹果有意保留的“功能”。早在今年10月份,Big Sur Beta版用户Maxwell(@mxswd)就在Twitter上指出了这个问题,尽管安全专家对此表示担忧和质疑,但苹果公司还是在11月12日正式发布的Big Sur中保留了这一“功能”。
发布时间:2020-11-19 13:16 | 阅读:9605 | 评论:0 | 标签:后门 防火墙 app

CTF web题型总结 第七课 CTF WEB实战练习(三)

继上一篇总结: CTF web题型总结-第五课 CTF WEB实战练习(二) 以下也是我在bugku练习的解题过程。 以下内容大多是我在Bugku自己操作练习,有部分来源于网
发布时间:2020-11-18 20:48 | 阅读:8973 | 评论:0 | 标签:CTF bugku ctf fuzzing phpcmsV9 pyscript Web WireShark 信息收集

内网渗透 day15-empire提权和后门植入

empire(usestager用法、提权、持久化后门)本章前提:已成功设置监听器(如何设置监听器请看day14篇)1. usestager的几种用法windows/launcher_sct:介绍:Regsv(r)32命令用于注册COM组件,是Windows系统提供的用来向系统注册控件或者卸载控件的命令,以命令行方式运行。WinXP及以上系统的regsv(r)32.exe在windowssystem32文件夹下;2000系统的regsv(r)32.exe在winntsystem32文件夹下。
发布时间:2020-11-18 19:56 | 阅读:6630 | 评论:0 | 标签:后门 提权 渗透

内网渗透 day8-linux提权和后门植入

linux提权和后门植入1. 脏牛漏洞复现(1) 去网页上把dirty.c中的代码复下来,制然后touch(创建)一个.c文件,vi或者vim打开将代码复制进去保存(不能在kali上直
发布时间:2020-11-16 16:23 | 阅读:12116 | 评论:0 | 标签:后门 提权 linux 渗透

内网渗透 day6-msf后门植(windows)

后门植入1. 持续化后门在提权后的meterpreter下执行persistence命令run persistence -i 5 -U -X-A 自动匹配监听器连接用户-S 系统开启的时候作为服务自动运行,反
发布时间:2020-11-16 13:49 | 阅读:10927 | 评论:0 | 标签:后门 渗透 windows

某一次排查源码后门的过程

源码藏后门这种事情,屡见不鲜了。文件包含,文件调用,拼接,大小马,htaccess文件做手脚等等………不过今天我就遇到个奇葩,藏了后门还不承认,非说是程序自带的。给大家看看程序结构先。我检查了我所知道的一切后门方式。也用扫描器查找了一般,以为安全了直接上服务器部署好了,域名解析开始使用。第二天,莫名其妙登录日志有其他人了。也没太在意,觉得应该是自己登录路径和密码设的不够复杂,被人试出来了。改了一下就没管他了,因为工作原因过了两三天才有空去看看网站。
发布时间:2020-11-13 10:31 | 阅读:10837 | 评论:0 | 标签:取证分析 后门

【11.12】安全帮®每日资讯:微软发布2020年11月安全更新;xHunt利用两个后门攻击Microsoft Exchange

收录于话题 安全帮®每日资讯微软发布2020年11月安全更新11月11日,微软官方发布2020年11月安全更新,本次更新发布了112个漏洞的补丁,涉及Windows、Office、IE、Edge、Exchenge、Azure、Visual Studio Code、SharePoint等组件。其中包含严重级别17个,重要级别93个。从漏洞性质分类,有34个远程代码执行漏洞,4个拒绝服务漏洞,37个权限提升漏洞以及20个信息泄露漏洞。
发布时间:2020-11-12 11:16 | 阅读:7608 | 评论:0 | 标签:后门 攻击 安全

xHunt 黑客组织利用两个后门攻击了 Microsoft Exchange

Palo Alto Networks安全专家在调查在Kuwait发生的对Microsoft Exchange服务器的网络攻击事件时,发现了两个前所未有的Powershell后门。 专家将这次网络攻击归因于xHunt(又名Hive0081),该黑客组织于2018年首次被发现。在最近的攻击活动中,黑客使用了两个新型后门,分别为“ TriFive”和“ Snugy”,后者是基于PowerShell后门(CASHY200)的变体。 专家分析:“ TriFive和Snugy后门是PowerShell脚本,它们使用不同的命令和控制(C2)通道与黑客进行通信,从而提供对受害Exchange服务器的访问。
发布时间:2020-11-11 17:07 | 阅读:7840 | 评论:0 | 标签:网络攻击 Microsoft 黑客入侵 后门 攻击 黑客

新型后门木马WinClouds伪装成网络安全文件肆虐南亚地区

概述近日,奇安信病毒响应中心在日常样本分析过程中发现了一款新型的后门木马,用于针对巴基斯坦的网络攻击,基于PDB文件,我们将该型木马命名为:WinCloudsRat,经过推测本次攻击活动可能与南亚某大国有关。WinClouds Rat通过恶意宏文档或者带有漏洞的RTF文档进行投递,且诱饵内容与流行商贸信类型,启用宏后会弹出Data Format Error的提示框来迷惑用户,该手法与我们之前发布的报告《提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击》中使用的手法类似。新型木马WinClouds免杀效果较好,功能较为轻便,具有文件管理、命令执行等常用功能。
发布时间:2020-11-08 17:25 | 阅读:10313 | 评论:0 | 标签:后门 网络安全 安全 木马

干货|实战分析菜刀及隐藏后门

收录于话题 0x00 前言今日在web课程中看到了分析菜刀后门的实验,然后就跟着实验做了一遍,正好可以学习一下如何分析软件的后门。0x01 基本知识中国菜刀中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理!在非简体中文环境下使用,自动切换到英文界面。
发布时间:2020-11-06 10:58 | 阅读:9086 | 评论:0 | 标签:后门

新式水坑攻击——利用浏览器错误,悄悄安装后门!

收录于话题 网络安全研究人员披露了关于水坑攻击的细节,该攻击利用谷歌浏览器和IE浏览器的漏洞,部署恶意软件进行间谍活动。这一攻击使用了SLUB(即SLack和githUB)恶意软件和两个新的后门——dneSpy和agfSpy——来窃取系统信息,并获得对受损机器的额外控制。据这家网络安全公司说,这些攻击发生在3月、5月和9月。水坑攻击通过破坏一个精心挑选的网站,插入漏洞,获得访问受害者的设备并让它感染恶意软件,从而危及目标企业。据称,“地球Kitsune行动”已将间谍软件样本部署在与朝鲜有关的网站上,尽管来自韩国IP地址的用户被禁止访问这些网站。
发布时间:2020-11-03 23:42 | 阅读:8805 | 评论:0 | 标签:后门 攻击 水坑

美人鱼(Infy)APT组织的归来——使用最新的Foudre后门进行攻击活动的分析

收录于话题 Gcow安全团队 Author 追影小组 Gcow安全团队 Gcow是当前国内为数不多的民间网络信息安全研究团队之一。本着“低调发展,自信创新,技术至上
发布时间:2020-11-02 19:21 | 阅读:14367 | 评论:0 | 标签:后门 apt 攻击

黑客利用浏览器漏洞在目标计算机上安装2个新后门

网络安全研究人员披露了一项针对韩国侨民的新的Watering Hole攻击的细节,该攻击利用谷歌Chrome和Internet Explorer等浏览器的漏洞,部署恶意软件进行间谍活动。 Trend Micro称其为“Operation Earth Kitsune”,该活动包括使用SLUB(用于SLack和githUB)恶意软件和两个新的后门(dneSpy和agfSpy)来过滤系统信息并获得对受损机器的额外控制。 网络安全公司称,这些攻击发生在3月、5月和9月。 Watering Hole允许攻击者通过插入漏洞攻击(意图访问受害者的设备并用恶意软件感染)来危害精心选择的网站,从而危害目标企业。
发布时间:2020-11-02 16:39 | 阅读:8929 | 评论:0 | 标签:网络攻击 黑客事件 漏洞 后门 黑客

正向后门reGeorg的使用

收录于话题 0x00 使用工具所使用工具reGeorg ProxifierreGeorg gethub地址https://github.com/sensepost/reGeorg.git0x01 操作假设拿下一个主机的权限发现3389端口只能内网访问,使用常规的lcx等反弹工具也会被各种安全软件拦截,尝试各自提权无果的时候就需要使用一款内网代理和端口转发工具,来突破防火墙的规则限制。reGeorg该文件下支持php,asp,jsp,aspx将脚本上传到服务器端,这里是php服务器,所以我们上传tunnel.nosocket.php。
发布时间:2020-10-26 12:09 | 阅读:7916 | 评论:0 | 标签:后门

你的"中国菜刀"是否包含后门shell?教你如何分析并反杀!

前言“中国菜刀”对于渗透测试者来说耳熟能详,但是大家用的菜刀真的安全吗?你能保证你所使用的工具不会被别人偷偷的塞入后门吗?如果菜刀中被塞入后门 那我们岂不是成了别人的苦力。辛辛苦苦拿下的shell就这样不知不觉的被别人窃取,怎能好意思说自己是一名”小黑客”呢!所以极度安全从网上分别找到两个带有HTTP后门及TCP后门的菜刀,教给大家如何去分析及防范提权工具中的后门。1、HTTP后门菜刀HTTP后门是最容易发现的后门了,我们只需要抓一个包,再对数据包的内容进行解密,及可得到幕后黑手的后门地址。
发布时间:2020-10-24 11:02 | 阅读:21346 | 评论:0 | 标签:后门 shell

今年最严重 Windows 漏洞之一:有黑客利用 Zerologon 植入服务器后门

安全研究人员本周五发布警告称,2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用,从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”,能让攻击者访问活动目录,以管理员身份创建、删除和管理网络账号。 在黑客攻击中会掌控 Active directories 和域控制器,允许攻击者使用执行代码对所有连接到该网络的计算机发起攻击。微软在今年 8 月补丁星期二活动日发布的累积更新中,已经修复了这个编号为 CVE-2020-1472 的漏洞。
发布时间:2020-10-20 17:11 | 阅读:13195 | 评论:0 | 标签:漏洞 黑客事件 Windows 黑客 后门 windows

外交部赵立坚回应:“五眼联盟”竟要求多国科技企业设置“后门”?虚伪!

收录于话题 关键词五眼联盟、政治动机、情报不懂就问,什么是五眼联盟?前不久搞疫情起源调查时,澳大利亚就曾拿着一份自称是“五眼联盟”的内部文件,想以此来抹黑中国,美国国务卿蓬佩奥更在一旁煽风点火,但事后证明所谓的文件根本就是杜撰的。不过文件虽然是假的,“五眼联盟”却仍在发挥作用,并在最近又有了新的动作。针对有报道称“五眼联盟”公开要求科技企业安装“后门”,外交部发言人赵立坚13日表示,“五眼联盟”有关做法是典型的双重标准,充分暴露了这些国家的虚伪性。
发布时间:2020-10-15 21:44 | 阅读:17858 | 评论:0 | 标签:后门 安全

网络安全主题诱饵,配合新型后门木马WinClouds肆虐南亚地区

概述近日,奇安信病毒响应中心在日常样本分析过程中发现了一款新型的后门木马,用于针对巴基斯坦的网络攻击,基于PDB文件,我们将该型木马命名为:WinCloudsRat,经过推测本次攻击活动可能与南亚某大国有关。WinClouds Rat通过恶意宏文档或者带有漏洞的RTF文档进行投递,且诱饵内容与流行商贸信类型,启用宏后会弹出Data Format Error的提示框来迷惑用户,该手法与我们之前发布的报告《提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击》中使用的手法类似。新型木马WinClouds免杀效果较好,功能较为轻便,具有文件管理、命令执行等常用功能。
发布时间:2020-10-15 13:56 | 阅读:9374 | 评论:0 | 标签:后门 网络安全 安全 木马

网络安全主题诱饵,配合新型后门WinClouds肆虐南亚地区

收录于话题 奇安信病毒响应中心 Author 病毒响应中心 奇安信病毒响应中心 奇安信病毒响应中心官方公众号 概述近日,奇安信病毒响应中心在日常样本分析过程中发现了一款新型的后门木马,用于针对巴基斯坦的网络攻击,基于PDB文件,我们将该型木马命名为:WinCloudsRat,经过推测本次攻击活动可能与南亚某大国有关。WinClouds Rat通过恶意宏文档或者带有漏洞的RTF文档进行投递,且诱饵内容与流行商贸信类型,启用宏后会弹出Data Format Error的提示框来迷惑用户,该手法与我们之前发布的报告《提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击》中使用的手法类似。
发布时间:2020-10-15 11:28 | 阅读:10018 | 评论:0 | 标签:后门 网络安全 安全

“五眼联盟”、日本和印度呼吁科技公司为其设置“后门”

收录于话题 更多全球网络安全资讯尽在E安全官网 www.easyaq.com   E安全10月13日讯   近日,情报共享联盟“五眼”(Five Eyes)的成员——美国、英国、澳大利亚、新西兰和加拿大,以及日本和印度发表联合声明,呼吁科技公司拿出一个解决方案,让执法部门能够访问端到端的加密通信。据了解,由美国、英国、加拿大、澳大利亚和新西兰组成的“五眼联盟”,分别在2018年和2019年向科技巨头们发出了类似的呼吁。与以往一样,政府官员要求科技公司在加密的应用程序中插入“后门”,让其执法机构获得所谓监控网络犯罪的权限。
发布时间:2020-10-13 15:31 | 阅读:9348 | 评论:0 | 标签:后门

五眼联盟与印度、日本发布联合声明,要求科技公司在产品中植入后门

收录于话题 点击蓝字关注我们近日,五眼安全联盟国家——澳大利亚、加拿大、新西兰、美国、英国以及日本和印度,上周发布联合声明,呼吁科技公司在其产品设计中,出于公共安全的考虑,为政府和执法部门访问加密内容预留“后门”。声明表示:“我们签名人支持强大的加密,它在保护个人数据、隐私、知识产权、商业秘密和网络安全方面发挥着至关重要的作用。加密是数字世界中信任基石,我们不支持那些会实质性削弱或限制安全系统的适得其反的危险方法。”但是声明接着指出:“加密技术的特殊实现对公共安全构成了重大挑战,包括对我们社会中极易受伤害的成员,例如遭受性利用的儿童等。
发布时间:2020-10-13 12:57 | 阅读:21223 | 评论:0 | 标签:后门

以“公众安全”为由?五眼联盟联合印度日本呼吁科技公司开加密后门

上周末,多国情报联盟“五眼联盟”(Five Eyes)联合印度和日本发表了一份声明,呼吁科技公司为执法调查提供一种解决方案,以访问端到端加密通信。同时,该声明还表示科技公司不应该开发那些会助长犯罪分子或是危害公众安全的产品或服务,包括端到端加密技术。该声明是五眼联盟呼吁科技公司“开后门”的又一举措。由美国、英国、加拿大、澳大利亚和新西兰组成的五眼联盟分别于2018年 和 2019年向科技巨头发出了类似呼吁 ,要求“开后门”,访问加密数据。五眼联盟给出的说辞是,科技公司必须允许执法机构访问加密数据,以防犯罪分子利用,数据加密不应以牺牲公众安全为代价。
发布时间:2020-10-12 14:27 | 阅读:9714 | 评论:0 | 标签:后门 加密 安全

初识MSF后门技术

0x01 前言后门技术一直是渗透测试中十分重要的一个环节,初次接触后门技术还了解的比较浅显,本篇文章只是一次学习记录,没有涉及免杀和权限维持的相关内容,大佬勿喷。
发布时间:2020-10-10 11:03 | 阅读:10080 | 评论:0 | 标签:后门

黑白鉴定入门之一款后门的分析思路

收录于话题 本文为看雪论坛优秀文章看雪论坛作者ID:SSH山水画文章简介这是一篇针对初学小白的文章, 楼主也刚刚进入安全行业实习,本篇文章主要记录分析过程,思想方法,如有不对不足,欢迎指出。分析思路样本hash:3c8ba5a38cd1e4048c969464ab86591d9b08cba9在拿到一个样本之后,第一件事拖入PEID查壳:没壳,区段正常。 分析一下字符串,选出一些有用的字符串: LoadLibraryAGetProcAddressReadFileCreateFileW 剩下的都是大片的乱码:没什么有用的信息。
发布时间:2020-10-05 12:28 | 阅读:7977 | 评论:0 | 标签:后门

10月3日每日安全热点 - 惠普后门使攻击者可控制Windows系统

安全研究 Security ResearchESET:XDSpy网络间谍组织运营达九年之久https://www.bleepingcomputer.com/news/security/xdspy-cyber-espionage-group-operated-discretely-for-nine-years/记一次VM
发布时间:2020-10-03 22:38 | 阅读:29380 | 评论:0 | 标签:后门 攻击 windows 安全

Netscout发布2020年上半年DDoS攻击态势分析报告;HP设备管理器存在严重的后门

收录于话题 维他命安全简讯01星期四2020年10月【分析报告】Netscout发布2020年上半年DDoS攻击态势分析报告https://www.helpnetsecurity.com/2020/09/30/4-83-million-ddos-att
发布时间:2020-10-01 08:36 | 阅读:11969 | 评论:0 | 标签:ddos 后门 攻击 态势

内网渗透 | 红蓝对抗:Windows利用WinRM实现端口复用打造隐蔽后门

收录于话题 目录WinRM端口复用原理端口复用配置新增80端口监听修改WinRM默认监听的端口远程连接WinRMWinRM端口复用原理该端口复用的原理是使用Windows的远程管理服务WinRM,结合 HTTP.sys 驱动自带的端口复用功能,一起实现正向的端口复用后门。关于WinRM服务,传送门:WinRM远程管理工具的使用 而HTTP.sys驱动是IIS的主要组成部分,主要负责HTTP协议相关的处理,它有一个重要的功能叫Port Sharing(端口共享)。所有基于HTTP.sys驱动的HTTP应用都可以共享同一个端口,只需要各自注册的URL前缀不一样。
发布时间:2020-09-25 19:29 | 阅读:20686 | 评论:0 | 标签:后门 渗透 windows

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云