记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华微软和火眼又分别发现SolarWinds 供应链攻击的新后门
收录于话题 聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队火眼和微软再次发现SolarWinds 供应链攻击事件中的新后门。火眼发现一个新后门 Sunshuttle火眼从其中一个受陷组织机构的服务器上发现了一个新的“复杂的第二阶段后门”,被称为 “Sunshuttle”,由“一家位于美国的实体在2020年8月上传到恶意软件公开库“。火眼公司的研究员 Lindsay Smith、Jonathan Leathery 和 Ben Read 认为 Sunshuttle 和 SolarWinds 供应链攻击事件的幕后黑手有关。
IoT设备漏洞复现到固件后门植入
作者:维阵漏洞研究员—km1ng一、简述本次分析的漏洞为cve-2019-17621,是一个远程代码执行漏洞(无需身份验证,一般处于局域网)。因为网上多是对Dlink-859的分析并且Dlink859已有补丁,所以这里采用对Dlink822进行分析。网上的文章多是分析完毕证明有这个漏洞就结束,本篇文章还将介绍如何仿真路由器,在证明漏洞存在后,如何更改固件、刷新固件并且长久驻留的一个解决方案。UPNP(Universal Plug and Play)即通用即插即用协议,是为了实现电脑与智能的电器设备对等网络连接的体系结构。
成功入侵BC赌博站点植入后门
收录于话题 最近来了点任务,做BC站,以前没做过只能碰碰运气!确定目标主站:通过旁站:信息收集通过信息收集发现是个tp v5.0.9,此版本存在tp-rce漏洞。
管理员请注意 一条后门病毒攻击链正在针对服务器发起入侵
收录于话题 【快讯】根据“火绒威胁情报系统”监测,近日,火绒工程师发现多起黑客入侵企业服务器后下载并执行后门病毒的威胁事件。目前,火绒相关防护功能可拦截该攻击,并能扫描查杀该后门病毒。但同时,我们通过排查相关威胁信息发现,上述后门病毒从去年8月份开始,影响范围明显扩大,不排除后续黑客还会尝试其它渗透方式达到入侵的目的。 火绒查杀图 火绒拦截图火绒工程师溯源发现,黑客通过弱口令等方式入侵服务器后,然后通过SQL Server等服务启动cmd.exe来执行powershell脚本,最终下载运行上述后门病毒程序。
是后门,还是大意?Furucombo遭黑客攻击事件分析
事件背景Furucombo推出于2020年3月份,支持Uniswap交易,Compound供应功能,还提供闪电贷的用户界面,使得普通用户也可以使用闪电贷策略。零时科技监控到消息,北京时间2021年2月28日早7时,Furucombo官方发推称Furucombo代理遭到攻击者攻击,1500万美元受到影响,并说明取消相关组件授权,受到攻击的合约地址0x17e8Ca1b4798B97602895f63206afCd1Fc90Ca5,随后零时科技安全团队立刻对该安全事件进行复盘分析。
PAM后门小研究
收录于话题 Editor's Note 佳哥牛逼 F1uYu4n Author F1uYu4n F1uYu4n hacking for fun 0x00在渗透某目标的过程中,发现目标服务器已被植入后门,具体表现是在/tmp/.p目录下,存在以日期为后缀的pass.txt文件,内容为记录 SSH 登录 IP、用户名和密码。当时想简单做个应急响应,无奈没找到后门文件所在,再加上自己是公钥方式登录 SSH,不在乎被记录密码,就放在一边。
发布时间:2021-02-26 13:50 |
阅读:5611 | 评论:0 |
标签:后门
制作linux键盘记录后门
收录于话题 #渗透学习 2个 愿中国青年都摆脱冷气,只是向上走, 不必听自暴自弃者流的话。能做事的做事,能发声的发声。有一分热,发一分光。—鲁迅介绍strace是一个动态跟踪工具,它可以跟踪系统调用的执行。我们可以把他当成一个键盘记录的后门,来扩大我们的信息收集范围使用场景通过其他方式拿到shell,通过history、流量抓包、或者本地没有翻到密码的情况。我们想要获取当前主机的密码,或者通过这台主机连接到其他主机的密码。
权限维持 | Centos Linux环境变量后门
收录于话题 #权限维持 4个 0x00 前言虽然是周日,但小黑今天还是个光荣的打工人,要爬起来去上班,所以写文章的时间就压缩了很多,这周的文章就简单介绍一种linux后门吧。本文使用centos linux系统做实验,对其他版本linux不保证可用性。0x01--0x04部分是原理,想看利用可以直接跳到0x05。0x01 环境变量文件分类Linux系统在每个用户登陆或打开一个新shell时,都会去加载执行一些环境变量文件(shell语言)。我们可以考虑用这个特性去留后门作为权限维持的一种手段。由上述原理可以想象,这个后门应该是管理员做类似登陆的操作才会触发。
勒索病毒再进化:新型Awesome勒索不仅加密还留后门!
收录于话题 #病毒文件分析 7个 背景概述近日,深信服终端安全团队捕获到一款使用Go语言编写的勒索病毒。此次捕获的样本有勒索及后门两个功能,并且能指定目录和文件进行加密,其加密模块改写于开源的加密项目代码,并将加密模块重命名为awesomeProject_world,因此深信服终端安全团队将其命名为Awesome勒索病毒。Go语言作为一门非常年轻的语言,简单易上手、支持多平台让其受到攻击者青睐。编译时全静态链接和独特的栈管理方式大大增加了安全人员研究分析和检测难度。使用Go语言开发的恶意样本大都集中于后门、挖矿两大类,勒索病毒相当的罕见。
全球超级计算机的“通用后门”曝光,来自一个小型恶意软件
Kobalos恶意软件的代码库很小,但它瞄准的对象却是全球超级计算机。显然,这是一个此前未被记录的恶意软件,被发现后,该恶意软件被命名为Kobalos——来自希腊神话中的一个小精灵,喜欢恶作剧和欺骗凡人。受感染组织的行业和区域分布Kobalos的活动可以追溯到2019年末,并且在2020年持续活跃。从某种意义上说,Kobalos是一个通用的后门,因为它包含了广泛命令,也因此无法得知攻击者的真正意图。不过,至少可以确认,目前攻击者并没有利用受感染的超级计算机进行加密货币挖掘。
发布时间:2021-02-03 13:21 |
阅读:7839 | 评论:0 |
标签:后门
CobalStrike 4.0 生成后门几种方式 及 主机上线后基础操作
本文作者:BlackCat(Ms08067内网安全小组成员)步骤:Attacks—〉Packages—〉如下:HTML Application 生成恶意的HTA木马文件MS Office Macro 生成office宏病毒文件Payload Gene rator 生成各种语言版本的payload;Windows Executable 生成可执行exe木马;Windows Executable⑸ 生成无状态的可执行exe木马。
发布时间:2021-02-01 17:39 |
阅读:11793 | 评论:0 |
标签:后门
如何通过pDNS寻找SUNBURST后门的受害者
收录于话题 概述SunburstDomainDecoder工具现在已经可以识别SUNBURST后门的受影响用户了,只需要给该工具提供针对avsvmcloud.com子域名的被动DNS(pDNS)数据,即可识别用户是否受到了攻击者的SUNBURST感染。如果公司和组织的计算机设备安装了包含SUBURST后门的SolarWinds Orion更新,那么设备将会向avsvmcloud.com子域名发送看似随机的DNS查询请求。其中的某些DNS请求将会包含目标设备的内部AD域,并会将其编码至子域名中。
发布时间:2021-01-31 23:06 |
阅读:13539 | 评论:0 |
标签:后门
渗透贯穿始终下篇
目录
应急响应
分析具体安全事件
异常点排查
查看日志
D盾查杀
追踪溯源
溯源的思维导图
常用的网址
排错
参考链接
应急响应
分析具体安全事件
常见
【宙斯计划第二期】持久化后门挑战赛
收录于话题 活动介绍安全是一个动态的过程,攻防对抗无处不在。随着安全产业的发展,网络安全愈加与每一个用户息息相关,攻防对抗也越来越频繁。阿里云安全拥有丰富的攻防场景,在多个攻防对抗的领域都有深入的研究。阿里云云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,结合主机智能内核的多种AI检测技术,提供更深入的分析识别能力,保护云上资产和本地主机。2020年6月,阿里云云安全中心推出“阿里云安全-宙斯计划”,围绕恶意文本检测、持久化技术流量检测、恶意行为分析等多个方向,用挑战赛、论文共创、研讨会等多种形式,与广大安全产业及学术专家群体一起探索业内前沿技术。
发布时间:2021-01-22 18:11 |
阅读:14936 | 评论:0 |
标签:后门
Sysrv-hello 僵尸网络集木马、后门、蠕虫于一身,攻击 Linux、Windows 主机挖矿
一、概述
腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。
Sysrv-hello僵尸网络挖矿前,恶意脚本还会尝试结束占用系统资源较多的进程,以独占系统资源,这一行为可能造成企业正常业务中断。
Netgear固件分析与后门植入
收录于话题 #物联网安全 2 #IOT 2 #路由器 1 #打包固件 1 #netgear 1 本篇文章由ChaMd5安全团队IOT小组投稿,主要介绍netgear某些版本的无线路由器固件的详细格式,以及如何在固件中放置后门并进行重打包的操作,并且在最后逆向分析了官方的打包工具。Netgear介绍netgear意译成中文为网件,该公司长期致力于为中小规模企业用户与 SOHO 用户提供简便易用并具有强大功能的网络综合解决方案。总部设在美国加州硅谷圣克拉拉市,业务遍及世界多个国家和地区。今天要分析的就是netgear的家用无线路由器产品。
发布时间:2021-01-17 09:43 |
阅读:28595 | 评论:0 |
标签:后门
可以实现隐蔽持久性的Outlook后门
收录于话题 2019年,我一直在研究新的隐蔽持久性技术。这些技术(误)用目标计算机上的程序插件,激发了我的灵感。比较有趣的目标是浏览器,电子邮件客户端和发消息的app,因为它们通常在系统启动后启动。浏览其他人的文章时,我发现@bohops写了一篇叫《VSTO:可能破坏应用程序白名单规则的有效载荷安装程序》(https://bohops.com/2018/01/31/vsto-the-payload-installer-that-probably-defeats-your-application-whitelisting-rules/)的文章。
发布时间:2021-01-15 11:28 |
阅读:9832 | 评论:0 |
标签:后门
腾讯安全截获TeamTNT挖矿木马最新变种,失陷主机被安装IRC后门,攻击者可实现任意目的
腾讯安全截获TeamTNT挖矿木马最新变种,失陷主机被安装IRC后门,攻击者可实现任意目的2021-01-14 17:27:12腾讯安全威胁情报中心也监测到TeamTNT 变种利用IRC进行通信控制肉鸡服务器组建僵尸网络,此次使用的IRC 采用的是github开源的oragono,暂未检测到后门有执行拒绝服务(DoS)功能。除了利用肉鸡服务器挖矿,攻击者还可能利用已失陷的服务器横向传播,以攻占更多其他主机,得手后会在失陷主机安装IRC后门实现远程控制。
用维阵还原 Zyxel 后门漏洞
作者:km1ng@极光无限原文链接:https://mp.weixin.qq.com/s/Ol3B3PFLLXLFF8ThA9nxEg一、简介荷兰网络安全公司Eye Control的安全研究人员发现,超过10万个合勤科技(Zyxel)公司的防火墙、接入点控制器和VPN网关产品中存在管理员级后门账户。这些在二进制代码中硬编码的管理员级别账户使攻击者可通过Web管理面板或SSH界面获得对设备的root访问权限。合勤科技(Zyxel)是一家位于中国台湾新竹的网络设备制造商。
红队视角看Sunburst后门中的TTPs
针对SolarWinds供应链攻击简介最近FireEye披露的UNC2452黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大,SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-SUNBURST,十分隐蔽和具有迷惑性,分析认为攻击者对SolarWinds Orion产品理解程度很深。有证据表明,早在2019年10月,UNC2452黑客组织就一直在研究通过添加空类来插入代码的能力。因此将恶意代码插入原始SolarWinds.Orion.Core.BusinessLayer.dll的时间可能很早,甚至可能是在软件构建编译之前。
发布时间:2021-01-05 18:27 |
阅读:24394 | 评论:0 |
标签:后门
红队视角看 Sunburst 后门中的 TTPs
作者:蓝军高级威胁团队@深信服千里目安全实验室原文链接:https://mp.weixin.qq.com/s/wtEbawfOd1g_T2ovp1SaGg1.针对SolarWinds供应链攻击简介最近FireEye披露的UNC2452黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大,SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-Sunburst,十分隐蔽和具有迷惑性,分析认为攻击者对SolarWinds Orion产品理解程度很深。
发布时间:2021-01-05 13:07 |
阅读:21414 | 评论:0 |
标签:后门
【高级持续性威胁跟踪】红队视角看Sunburst后门中的TTPs
针对SolarWinds供应链攻击简介
最近FireEye披露的UNC2452黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大,SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-SUNBURST,十分隐蔽和具有迷惑性,分析认为攻击者对SolarWinds Orion产品理解程度很深。
有证据表明,早在2019年10月,UNC2452黑客组织就一直在研究通过添加空类来插入代码的能力。
发布时间:2021-01-04 20:05 |
阅读:25335 | 评论:0 |
标签:.NET assembly c# C2通信(Command and Control) cobalt strike DGA
10万+合勤科技Zyxel安全产品曝出管理员级别后门
近日,荷兰网络安全公司Eye Control的安全研究人员发现,超过10万个合勤科技(Zyxel)公司的防火墙、接入点控制器和VPN网关产品中存在管理员级后门账户。这些在二进制代码中硬编码的管理员级别账户使攻击者可通过Web管理面板或SSH界面获得对设备的root访问权限。合勤科技(Zyxel)是一家位于中国台湾新竹的网络设备制造商。可被轻松利用的漏洞Zyxel固件中发现的后门被称为关键固件漏洞,CVE编号CVE-2020-29583,得分为7.8 CVSS。虽然CVSS评分看似不是很高,但却不可小觑。研究人员表示,这是一个极为严重的漏洞,所有者必须立即更新其系统。
全球超过十万个Zyxel设备被曝存在后门
超过10万个Zyxel 防火墙、VPN等设备包含一个硬编码的管理员级别帐户,该帐户可以使攻击者通过 SSH或Web管理面板对设备进行访问。荷兰安全研究人员发现了该后门,并建议设备所有者在允许的情况下尽快更新系统。安全专家表示:“从 DDoS僵尸网络运营商到国家资助的黑客组织和勒索软件,任何人都可能滥用此后门帐户来访问存在漏洞的设备,进入内部网络展开其他攻击”。受影响的产品受影响的包括许多企业级设备,甚至还有 Zyxel 的顶级产品,这些产品通常部署在私营企业和政府网络中。
发布时间:2021-01-04 11:30 |
阅读:18781 | 评论:0 |
标签:后门
应急响应之Windows权限维持--后门篇
在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者便如入无人之境。本文将对常见的window服务端自启动后门技术进行解析,知己知彼方能杜绝后门。1、 注册表自启动通过修改注册表自启动键值,添加一个木马程序路径,实现开机自启动。
1月4日每日安全热点 - 因SolarWinds后门Microsoft源代码遭泄露
漏洞 VulnerabilityCVE-2020-35728:FasterXML jackson-databind 2.x RCE漏洞https://github.com/Al1ex/CVE-2020-35728Dubbo 2.7.8多个远程代码执行漏洞https://xz.aliyun.com/t/8917安全工具
Zyxel防火墙和VPN存在后门账户;黑客在暗网泄露欧洲EMA有关Covid-19疫苗的文件
收录于话题 维他命安全简讯03星期日2021年01月【威胁情报】新的凭证窃取恶意软件针对美国和加拿大的银行https://securityaffairs.co/wordpress/112895/malware/credent
多个Zyxel防火墙、VPN产品中发现秘密后门账户
收录于话题 Zyxel发布了一个补丁,以解决其固件中的一个关键漏洞,涉及一个未记录的硬编码秘密账户,可被攻击者滥用管理权限登录并控制其网络设备。此漏洞被追踪为CVE-2020-29583 (CVSS评分7.8),影响到Zyxel广泛设备的4.60版本,包括Unified Security Gateway (USG)、USG FLEX、ATP和VPN防火墙产品。EYE研究员Niels Teusink于11月29日向Zyxel报告了该漏洞,随后该公司于12月18日发布了固件补丁(ZLD V4.60 Patch1)。
Linux系统后门初步研究
本文作者:奇安信集团安全服务子公司教育产品部-彭瑞。操作目的和应用场景最近正在研究与Linux系统应急响应相关的技术,想通过这篇文章简述一下Linux系统后门的创建方法。网上关于Linux后门创建的文章很多,本文也有所借鉴,并会通过详细的步骤对后门的创建和利用方法进行描述。在本文介绍的例子中,被攻击者一般都是虚拟机中的CentOS或ubuntu系统,攻击一般从宿主机的manjaro系统发起。
美国关键基础设施大规模感染SolarWinds后门
过去一周,业界对SolarWinds黑客攻击的关注主要集中在美国联邦政府部门,但是根据工控系统安全公司Dragos的最新报告,SolarWinds恶意软件还感染了电气、石油和制造行业的十多个关键基础设施公司,这些公司也都在运行SolarWinds公司的软件。Dragos公司首席执行官罗伯·李说,除了关键的基础设施公司之外,SolarWinds软件还感染了为这些公司提供服务的三家设备制造商。威力巨大的“双供应链攻击”黑客在SolarWinds Orion植入木马化后门的做法本身属于软件供应链攻击,这种攻击威力巨大,可以“以点带面”,辐射数以万计的政府部门和企业。
发布时间:2020-12-29 10:55 |
阅读:31180 | 评论:0 |
标签:后门
公告
❤人人都能成为掌握黑客技术的英雄⛄️