后门_黑客技术

记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

黑吃黑：物联网僵尸网络作者在中兴路由器后门上添加了自己的后门

很多脚本小子正在使用武器化的物联网漏洞利用脚本，利用供应商后门帐户攻击中兴路由器。具有讽刺意味的是，这不是脚本中唯一的后门。Scarface，代码的传播者也部署了自定义后门来黑那些使用该脚本的脚本小子。由于IOT（Paras/Nexus/Wicked）中顶级开发者的名字不为人所知，Scarface/Faraday就是脚本小子购买物联网僵尸网络代码以及武器化利用的开发者的总称。虽然Scarface大多具有良好的可信度，但我们观察到他发布了一个带有后门的武器化中兴ZXV10 H108L路由器漏洞利用，它在运行时会感染脚本小子的系统。该漏洞是已知漏洞，在中兴路由器中使用后门帐户进行登录，然后在manager_dev_ping

发布时间:2018-11-19 12:20 | 阅读:9203 | 评论:0 | 标签:Web安全物联网后门

渗透技巧——Junction Folders和Library Files的后门利用

0x00 前言维基解密公布的CIA Vault 7中涉及到了Windows系统中Junction Folders和Library Files的利用。地址如下：https://wikileaks.org/ciav7p1/cms/page_13763381.html https://wikileaks.org/ciav7p1/cms/page_13763373.htmlJayden Zheng对此做了分析，分享了一个Library Files的后门利用方法，并且详细介绍了如何检测Junction Folders和Library Files的恶意利用。地址如下：https://www.countercept.com

发布时间:2018-11-12 12:20 | 阅读:13348 | 评论:0 | 标签:技术渗透技巧后门

加密货币价格追踪器在macOS中安装后门

研究人员发现macOS系统中一个伪装为加密货币ticker（股票价格收报机）的木马CoinTicker正在用户设备上安装后门。成功安装后，CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏，以实时更新当前价格，如下图所示。CoinTicker木马应用CoinTicker应用在后台会秘密下载两个后门，这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir，在木马执行时会连接到远程主机，并下载大量的shell和python脚本，python和shell脚本的执行会下载和安装这两个后门。Malwarebyte分析师称：恶意

发布时间:2018-10-31 12:20 | 阅读:23236 | 评论:0 | 标签:系统安全 macOS 后门加密

后门使用粘贴网址来保存payload

网站后门后门是攻击者故意留下用于之后访问站点的恶意软件。黑客喜欢在不同的位置注入代码来增加保持对网站控制权的机会，这样就可以继续感染受害者网站了。今年都在讨论解码含有PHP函数的复杂恶意软件的新方法。常见的PHP函数有：· eval, 把一段字符串当作PHP语句来执行· create_function, 主要用来创建匿名函数· preg_replace, 正则查找替换函数· assert, 断言函数· base64_decode.根据最新的网站被黑报告，过去的一年：· 被黑的网站中有71%隐藏有基于PHP的后门。· 这些后门的有效性来源于大多数网站扫描技术的绕

发布时间:2018-10-04 12:20 | 阅读:46987 | 评论:0 | 标签:技术 payload 后门

web后门生成工具WeBaCoo和实战

webacoo(web backdoor cookie)是一个web后门脚本工具包，旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具，能够维持对已被拿下的web服务器的权限访问。WeBaCoo可以绕过最新的AV，NIDS，IPS，网络防火墙和应用防火墙的检测，能够在被拿下的服务器中悄无声息的执行系统命令这种混淆的通信是在有效的客户端HTTP请求和服务器响应中利用HTTP头信息cookie字段来完成的。使用WeBaCoo生成PHP后门文件的命令如下：webacoo -g -o /root/backdoor.php只要攻击者将恶意代码发送到某个网站以便访问

发布时间:2018-09-03 12:20 | 阅读:37652 | 评论:0 | 标签:Web安全 backdoor getshell webacoo 后门

还有多少个X站在被后门、webshell寄生？

事件回顾近日，国内某知名二次元视频网站（以下简称X站）遭遇黑客攻击，近千万条用户数据外泄，其中包括用户 ID、昵称、" 加密存储 " 的密码等信息。同时在某群、github上也出现了黑客的贩卖及勒索信息。黑客入侵分析根据曝光的信息初步判断，黑客应该是利用X站某台互联网服务器上的应用漏洞上传后门或webshell，成功穿过防火墙等安全设备并getshell，之后通过东西向流动渗透内网，成功窃取近千万条用户数据并控制内网主机。根据黑客的描述，目前该后门仍未被清除，如果不及时处理不仅仅是数据泄露的问题，黑客还有可能进行锁死服务器、清除数据等极端操作。也许你的安全已经做到了90分，但干掉你的往往是剩下那个

发布时间:2018-08-20 12:20 | 阅读:49070 | 评论:0 | 标签:事件后门

后门混淆和反检测技术

后门是一种绕过认证或系统加密的方法。有时开发人员会出于某原因，为自己的程序构建后门程序。例如，为了提供简单的维护，开发人员引入了一个后门，可以恢复设备厂商的默认密码。而另一方面，攻击者则会将后门注入到有漏洞的服务器来接管服务器，执行攻击和上传恶意payload。比如，攻击者会注入后门来获取代码执行或上传文件的权限。后门的类型后门有许多类型，是由不同编程语音编写的。比如，PHP语言编写的后门可以运行在PHP服务器上，用ASP编写的后门可以运行在.NET服务器上。后门的作用也是不同的，比如webshell可以用在受感染的系统上执行后门，从而使攻击者上传和执行文件。Github上有很多开源的后门，黑客可以选择注入一些知名的后

发布时间:2018-08-04 12:20 | 阅读:56952 | 评论:0 | 标签:技术反检测技术后门混淆后门

Office漏洞被用于传播FELIXROOT后门

攻击活动详情2017年9月，FireEye的研究人员发现针对乌克兰的工具活动中使用FELIXROOT后门作为payload，该攻击活动中包括恶意的乌克兰银行文档，该文档中含有可以下载FELIXROOT的宏文件。近期，研究人员发现该后门被用于一起新的攻击活动中。这次，声称含有研讨会信息的武器化的诱饵文档利用了Office CVE-2017-0199（WORD/RTF嵌入OLE调用远程文件执行漏洞）和CVE-2017-11882（Office远程代码执行漏洞）两个漏洞在受害者机器上释放和执行后门二进制文件。图1: 攻击概览恶意软件通过用Office漏洞武器化的恶意文档进行传播，如图2所示。恶意文档名称是“Seminar.r

发布时间:2018-08-01 12:20 | 阅读:57468 | 评论:0 | 标签:二进制安全漏洞 Office漏洞后门

通过USB调试安装固件后门以实现 “邪恶女仆” 攻击

调试机制被攻击者反利用应该说调试机制是目前几乎所有软件运行平台上用来跟踪故障根源的标准组件，调试机制主要用于监控平台上的软件运行，但也经常用于维护和修复以前的漏洞。比如，当开发商写完全部代码后，如果不了解网络基础设施，也没有操作系统的任务调度需要考虑，那么就可以利用这些调试方法使一个应用程序运行起来。最常见的调试问题可以大致划分为如下5类： 1.同步问题；2.内存和寄存器讹误；3.与中断相关的问题；4.固件配置问题；5.异常情况；这样安全研究人员使用调试功能随时提前预判攻击，包括定位和使用JTAG（Joint Test Action Group，联合测试工作组，是一种国际标准测试协议，主要用于芯片内部测试），

发布时间:2018-08-01 12:20 | 阅读:48026 | 评论:0 | 标签:系统安全 USB调试后门

恶意宏劫持桌面快捷方式传播后门

宏文件是一种比较古老的技术了，但黑客还在使用恶意宏文件来传播恶意软件，只不过传播的方式更加高效也更加创新了。最近的一起案例中，攻击者就以一种间接的方式使用了宏文件，首先在用户系统中搜索特定的快捷方式文件，然后用下载的恶意软件的位置去替换该快捷方式。当用户点击修改的桌面快捷方式时，下载的恶意软件就会执行。恶意软件执行后，会恢复原始的快捷方式文件来打开正确的应用。然后，恶意软件会组合其payload。恶意软件会从互联网上，下载常用的工具如WinRAR、Ammyy Admin来收集信息并通过SMTP发送回服务器。宏和下载的恶意软件并不复杂，攻击者使用的方法也有一些继续的标记，可能是还没有开发完成。图1. 恶意软件感染链文档攻

发布时间:2018-07-10 12:20 | 阅读:55280 | 评论:0 | 标签:Web安全恶意宏后门

微信支付爆“0元购”后门，真的没风险了吗

7月3日，一位名为1024rosecode的疑似外国安全人员在Twitter上联系360Netlab及趋势科技，并公开了一篇名为《微信支付SDK中的XXE漏洞》（XXE in WeChat Pay Sdk ( WeChat leave a backdoor on merchant websites)）的文章。在文章中，该安全人员称：在使用微信支付时，商家需要提供一个接收通知的网址，用来接受异步付款信息。不过，在此时的Java版SDK中，有一个XXE漏洞。此次曝光的漏洞一旦被利用，可根据需要窃取商家服务器的任何信息。一旦攻击者获得商家的关键安全密钥（md5-key和merchant-Id等），甚至可以通过发送

发布时间:2018-07-05 12:20 | 阅读:48813 | 评论:0 | 标签:漏洞微信支付漏洞后门

供应链污染！Python官方软件包被植入后门

作者：{whiteater}@ArkTeam SSH-Decorator是一个github开源项目，以更加友好的接口提供SSH client功能，可以从PIP下载安装。本月5号，有人在github上质问SSH-Decorator的开发者Uri Goren，为什么要保存用户隐私信息并且这段代码没有在github上公开。Uri Goren表示无辜，并且迅速做出了应对——重传一份干净的代码。图1 mowshon和urigoren在github上的问答 SSH-Decorator里的这段后门代码还是比较光明磊落、简单粗暴的，并不屑于加密、混淆，直接就把SSH服务器的用户名、密码、IP地址、端口、私钥发给了ssh-decorate.cf这个站点。ssh-decorate.cf的whois信息做了

发布时间:2018-05-11 18:15 | 阅读:93264 | 评论:0 | 标签:ArkView 后门

[原]Linux后门入侵检测工具，附bash漏洞解决方法

0x00 rootkit简介rootkit是Linux平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用root权限登录到系统。rootkit主要有两种类型：文件级别和内核级别，下面分别进行简单介绍。0x01 文件级别rootkit 文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。通常容易被rootkit替换

发布时间:2018-04-20 01:05 | 阅读:67279 | 评论:0 | 标签:后门漏洞

黑客组织“海莲花”打造的全新macOS后门

前言趋势科技于上周三（4月4号）宣称，一种新型的MacOS后门程序（目前趋势科技已将其定义为OSX_OCEANLOTUS.D ）正被黑客组织“海莲花”所使用，而其攻击目标是那些安装有Perl语言编程软件的Mac用户。传播过程分析海莲花（OceanLotus，又名Cobalt Kitty、SeaLotus、APT-C-00和APT 32）是高度组织化的、专业化的境外国家级黑客组织。自2012年4月起针对中国政府的海事机构、海域建设部门、科研院所和航运企业,展开了精密组织的网络攻击,很明显这是一个有国外政府支持的APT(高级持续性威胁)行动。趋势科技的研究人员认为，这个全新macOS后门是“海莲花”所使用的最新的攻击工具。

发布时间:2018-04-11 12:20 | 阅读:77651 | 评论:0 | 标签:Web安全 web安全后门

Chaos：Linux后门卷土重来

本文描述了一个在我们的SSH蜜罐中发现的后门，它生成了一个完全加密和完整性检查的反向shell，并在蒙特利尔的GoSec 2017上展示过。我们将该后门命名为Chaos，与攻击者在系统中给出的名称一致。经过进一步研究，我们发现该后门是2013年左右活跃的sebd rootkit的一部分。因为无法找到任何关于此后门技术细节的文档，我们决定自己来！一、导语今年夏天，我们有一个项目是在FreeBSD系统中寻找恶意软件，或者至少评估是否存在。为此，我们使用了FreeBSD jails，它被描述为“chroot on steroids”。我们的想法是仅使用jails来模拟Intranet结构，这是可行的，因为jails可以在主机

发布时间:2018-03-06 12:20 | 阅读:83444 | 评论:0 | 标签:技术后门