记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

恶意宏劫持桌面快捷方式传播后门

宏文件是一种比较古老的技术了,但黑客还在使用恶意宏文件来传播恶意软件,只不过传播的方式更加高效也更加创新了。最近的一起案例中,攻击者就以一种间接的方式使用了宏文件,首先在用户系统中搜索特定的快捷方式文件,然后用下载的恶意软件的位置去替换该快捷方式。当用户点击修改的桌面快捷方式时,下载的恶意软件就会执行。恶意软件执行后,会恢复原始的快捷方式文件来打开正确的应用。然后,恶意软件会组合其payload。恶意软件会从互联网上,下载常用的工具如WinRAR、Ammyy Admin来收集信息并通过SMTP发送回服务器。宏和下载的恶意软件并不复杂,攻击者使用的方法也有一些继续的标记,可能是还没有开发完成。图1. 恶意软件感染链文档攻
发布时间:2018-07-10 12:20 | 阅读:14996 | 评论:0 | 标签:Web安全 恶意宏 后门

微信支付爆“0元购”后门,真的没风险了吗

7月3日,一位名为1024rosecode的疑似外国安全人员在Twitter上联系360Netlab及趋势科技,并公开了一篇名为《微信支付SDK中的XXE漏洞 》(XXE in WeChat Pay Sdk ( WeChat leave a backdoor on merchant websites))的文章。在文章中,该安全人员称:在使用微信支付时,商家需要提供一个接收通知的网址,用来接受异步付款信息。不过,在此时的Java版SDK中,有一个XXE漏洞。此次曝光的漏洞一旦被利用,可根据需要窃取商家服务器的任何信息。一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),甚至可以通过发送
发布时间:2018-07-05 12:20 | 阅读:15070 | 评论:0 | 标签:漏洞 微信支付漏洞 后门

供应链污染!Python官方软件包被植入后门

作者:{whiteater}@ArkTeam SSH-Decorator是一个github开源项目,以更加友好的接口提供SSH client功能,可以从PIP下载安装。本月5号,有人在github上质问SSH-Decorator的开发者Uri Goren,为什么要保存用户隐私信息并且这段代码没有在github上公开。Uri Goren表示无辜,并且迅速做出了应对——重传一份干净的代码。 图1 mowshon和urigoren在github上的问答 SSH-Decorator里的这段后门代码还是比较光明磊落、简单粗暴的,并不屑于加密、混淆,直接就把SSH服务器的用户名、密码、IP地址、端口、私钥发给了ssh-decorate.cf这个站点。ssh-decorate.cf的whois信息做了
发布时间:2018-05-11 18:15 | 阅读:39599 | 评论:0 | 标签:ArkView 后门

[原]Linux后门入侵检测工具,附bash漏洞解决方法

0x00 rootkit简介rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统。rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍。0x01 文件级别rootkit    文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换
发布时间:2018-04-20 01:05 | 阅读:39479 | 评论:0 | 标签:后门 漏洞

黑客组织“海莲花”打造的全新macOS后门

前言趋势科技于上周三(4月4号)宣称,一种新型的MacOS后门程序(目前趋势科技已将其定义为OSX_OCEANLOTUS.D )正被黑客组织“海莲花”所使用,而其攻击目标是那些安装有Perl语言编程软件的Mac用户。传播过程分析海莲花(OceanLotus,又名Cobalt Kitty、SeaLotus、APT-C-00和APT 32)是高度组织化的、专业化的境外国家级黑客组织。自2012年4月起针对中国政府的海事机构、海域建设部门、科研院所和航运企业,展开了精密组织的网络攻击,很明显这是一个有国外政府支持的APT(高级持续性威胁)行动。趋势科技的研究人员认为,这个全新macOS后门是“海莲花”所使用的最新的攻击工具。
发布时间:2018-04-11 12:20 | 阅读:44001 | 评论:0 | 标签:Web安全 web安全 后门

Chaos:Linux后门卷土重来

本文描述了一个在我们的SSH蜜罐中发现的后门,它生成了一个完全加密和完整性检查的反向shell,并在蒙特利尔的GoSec 2017上展示过。我们将该后门命名为Chaos,与攻击者在系统中给出的名称一致。经过进一步研究,我们发现该后门是2013年左右活跃的sebd rootkit的一部分。因为无法找到任何关于此后门技术细节的文档,我们决定自己来!一、导语今年夏天,我们有一个项目是在FreeBSD系统中寻找恶意软件,或者至少评估是否存在。为此,我们使用了FreeBSD jails,它被描述为“chroot on steroids”。我们的想法是仅使用jails来模拟Intranet结构,这是可行的,因为jails可以在主机
发布时间:2018-03-06 12:20 | 阅读:55034 | 评论:0 | 标签:技术 后门

利用VSTO实现的office后门

0x00 前言最近看了一篇文章《VSTO: The Payload Installer That Probably Defeats Your Application Whitelisting Rules》,介绍了利用VSTO实现Office后门的方法,我在之前的文章《Use Office to maintain persistence》和《Office Persistence on x64 operating system》曾对Office的后门进行过学习,本文将结合自己的研究心得,对该方法进行复现,分析利用思路,分享实际利用方法,最后介绍如何识别这种后门。文章地址:https://bohops.com/2018/01
发布时间:2018-03-05 17:20 | 阅读:79665 | 评论:0 | 标签:系统安全 VSTO 插件 渗透测试 后门

来自后方世界的隐匿威胁:后门与持久代理(二)

*本文原创作者:2cat,本文属FreeBuf原创奖励计划,未经许可禁止转载 继上一篇后门与持久代理内容后,我个人继续带来第二篇基础类内容分享。 上篇中,我提到了Telnet和GUI两种建立后门持久链接的技巧方式。下面,我们再来讨论关于Netcat利用原始TCP和UDP数据包建立持久后门的技术分享。 Netcat作为一种支持网络连接中完成对数据读写操作的便利工具,与Telnet和FTP服务所形成的数据包又有不同,原因是Netcat所生成的数据包是不具备包头和其它特殊信道的信息。 整体通信信道比较简化,可以使用大部分通信信道。Netcat具备众多功能,如端口扫描、识别服务、端口重定向和代理、数据取证、远程备份、后门及代理等。 通常在使用Netcat时,我们会将名为nc.exe的执行文件上传到要被攻击的目标系统当中
发布时间:2018-01-15 10:10 | 阅读:65190 | 评论:0 | 标签:系统安全 代理 后门

后门之王:谈一谈加密算法中的数学后门

政府和情报机构力图控制或绕过对数据及通信的加密防护,而给加密算法开个后门,被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞,但却不会投入太多精力在查找数学后门上。在加密防护上,研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔,法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为,只有在协议/实现/管理层面的后门实现被普遍考虑到了,而在查找数学后门或设计后门上投入的努力,还远远不够。上周举行的欧洲黑帽大会上,菲利奥尔和他的同事阿诺德·般涅尔做了演讲,题为“加密系统设计后门——我们能信任外国加密算法吗?”,阐述了设计数学后门的可能性。演讲中,两位研究人员提出了BEA-1块加密算法。该算法类似AES,但含有一个可供进行有效密码分析的数学后门。
发布时间:2018-01-05 15:10 | 阅读:47354 | 评论:0 | 标签:黑极空间 加密算法 后门 加密

Captcha插件后门分析和修复

0×00 前言 近日看到网上爆出wordpress官方插件captcha出现后门,大惊,本人当初千辛万苦找验证码插件,在十几个插件中选了这款,感觉还挺好用,竟然爆后门,赶紧去博客 排查,还好由于安装比较早,并没发现后门,发文纪念一下这次差点中招…… 0×01 概述 据说这个后门是偶然被发现的,是因为含后门版本的作者对使用wordpress商标的问题,接着wordpress把captcha下架,继而wordfence(为wordpress提供waf的厂商)检查发现插件后门。 这个后门是更新触发,从4.3.6版本开始(本人安装的版本)就有后门,执行插件更新就会加入后门代码。这个后门利用userID(admin)创建会话,设置认证cookie,接着
发布时间:2017-12-27 17:50 | 阅读:59048 | 评论:0 | 标签:WEB安全 Captcha 后门

网站页面竟是”病毒生成器” “58联盟”肆意传播后门病毒

通过对一系列病毒事件的研究和追踪,火绒团队挖掘出一个名为"58联盟"的黑色产业链--众多下游渠道从这里领取"任务",向用户电脑植入后门病毒"Backdoor/Barhera"。该病毒通过锁首、设桌面图标、游戏退弹、暗刷流量等多种方式来牟取暴利,然后给下游渠道分成。
发布时间:2017-12-20 02:55 | 阅读:49043 | 评论:0 | 标签:Web安全 后门

Tizi分析报告:针对非洲国家的后门间谍程序,专门窃取用户社交媒体APP上的敏感信息

背景介绍 谷歌威胁分析团队的工程师们不断的通过努力试图改善我们的系统,保护用户免受潜在的有害的应用程序(Potentially Harmful Applications,PHAs)的威胁。 一般来说,PHA的制作者都企图使他们开发的有害的应用程序尽可能的感染更多的设备。然而,也有一些PHA的制作者话费了大量的精力、时间和金钱,只针对特定的目标,企图在个别设备上创建和安装他们的有害应用程序。 本文所要介绍的Tizi就是专门特定目标开发出来的一种有害的应用程序,它是一种具有root能力的后门程序,出现在一些专门针对非洲国家的有针对性的网络攻击活动中,攻击范围包括:肯尼亚、尼日利亚和坦桑尼亚。 Tizi是什么? Tizi是一个全功能的后门程序,具备间谍软件的功能,可疑从流行的社交媒体应用程序上窃取敏感数据。研究人员
发布时间:2017-11-29 12:20 | 阅读:73852 | 评论:0 | 标签:安全报告 Google安全 Tizi后门程序 后门

【技术分享】“夭折”的供应链攻击 - Defraggler被植入后门代码分析

2017-11-28 11:30:42 阅读:5922次 点赞(0) 收藏 来源: 安全客
发布时间:2017-11-29 03:15 | 阅读:38390 | 评论:0 | 标签:后门

【技术分享】手把手教你在PE文件中植入无法检测的后门(上)

2017-11-23 14:00:42 阅读:10033次 点赞(0) 收藏 来源: haiderm.com
发布时间:2017-11-25 10:50 | 阅读:55467 | 评论:0 | 标签:后门

【国际资讯】维基解密公布CIA蜂巢(Hive)后门武器源码(含下载)

【国际资讯】维基解密公布CIA蜂巢(Hive)后门武器源码(含下载) 2017-11-10 14:14:23 阅读:7676次 点赞(0) 收藏 来源: wikileaks.org
发布时间:2017-11-11 06:30 | 阅读:134693 | 评论:0 | 标签:后门

大鱼吃小鱼:地下论坛分享的GoAhead漏洞利用脚本中被植入了后门程序

背景介绍 大量的观察表明,整个网络空间威胁领域中物联网安全威胁是当下发展最快的,攻击方式从简单的密码猜测,逐渐演进到更为先进的漏洞利用,例如最近广受关注的IoTroop/Reaper僵尸网络。随着物联网的快速普及,各种物联网产品和系统的安全漏洞也相继被披露,越来越多的脚本小子、业务黑客企图利用复制/粘贴等方式,跳上了物联网漏洞利用的快车,在各种地下论坛中,能看到越来越多的关于物联网漏洞利用工具的分享和出售。 根据对地下论坛的观察,网络犯罪分子们进来似乎很热衷于利用有漏洞的GoAhead版本(*GoAhead是一个开源、简易的、功能强大且能在多个平台运行的嵌入式Web服务器)。黑客们利用诸如CVE-2017–8225此类的漏洞可以攻破大量的网络摄像机厂商的产品,IoTroop/Reaper僵尸网络也成功的利用了
发布时间:2017-11-11 06:05 | 阅读:143795 | 评论:0 | 标签:文章 IoT安全 僵尸网络 后门程序 物联网安全 后门 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云