记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华权限维持及后门持久化技巧总结
一、前言
在攻击者利用漏洞获取到某台机器的控制权限之后,会考虑将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。本文从Windows持久化,Linux持久化和Web持久化对现有技术进行了总结,对于持久化的攻击形式,主要是靠edr、av等终端产品进行检测。
二、Windows后门
2.1辅助功能镜像劫持
为了使电脑更易于使用和访问,Windows 添加了一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征,一些恶意软件无需登录到系统,通过远程桌面协议就可以执行恶意代码。
一些常见的辅助功能如:
C:WindowsSystem32sethc.exe 粘滞键
深入分析Spark后门的多个版本,逐步揭秘Molerats恶意组织活动轨迹
一、摘要2019年10月至12月期间,Unit 42团队观察到多次网络钓鱼攻击活动,这些攻击可能与名为Molerats的威胁组织(又名Galer Hackers Team或Gaza Cybergang)有关,攻击活动针对位于六个不同国家的八个组织,这些组织涉及政府、电信、保险和零售业,其中的后两个行业非常值得关注。此次攻击者针对保险和零售业的攻击目标是非常独特的,不符合该恶意组织此前一贯攻击的目标范围。在针对这些特殊的目标发起攻击时,恶意组织所使用的电子邮件和附件文件名称与攻击政府组织时使用的标题类似。由于攻击者没有针对特定行业或目标而定制社会工程学标题,因此可能会降低成功攻击的概率,并进一步迷惑研究人员关于为何要攻击这些组织的分析过程。所有这些攻
发布时间:2020-03-10 11:39 |
阅读:5954 | 评论:0 |
标签:后门
【安全帮】伊朗黑客入侵VPN服务器,意图在世界各地的公司植入后门
工业和信息化部办公厅关于做好疫情防控期间信息通信行业网络安全保障工作的通知为切实做好疫情防控和经济社会运行的网络安全支撑保障工作,确保疫情防控期间网络基础设施安全,防止发生重大网络安全事件,工业和信息化部发文要求各相关单位重点做好保障重点地区重点用户网络系统安全、加强信息安全和网络数据保护、进一步强化责任落实和工作协同等三方面工作。参考来源:http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057728/c7681604/content.html 伊朗黑客入侵VPN服务器,意图在世界各地的公司植入后门2019
BetterBackdoor:一个专为渗透测试人员设计的多功能后门程序
BetterBackdoor
BetterBackdoor是一款多功能的后门工具,广大安全研究人员可以利用BetterBackdoor来获取目标设备的远程访问权限。
一般来说,后门工具会利用类似NetCat这样的实用工具来实现两大主要功能:使用cmd或bash来实现控制命令的远程传递并接收响应信息。这种方式实现起来很容易,但是也会受到各种因素的限制。而BetterBackdoor成功克服了这种限制,并引入了击键注入、获取屏幕截图、传输文件以及其他的渗透任务。
功能介绍
BetterBackdoor可以直接帮助渗透测试人员创建并控制一个后门。
BetterBackdoor创建的后门工具可以实现下列功能:
1、运行终端命令行控制指令
2、运行PowerShell脚本
3、运行DuckyScripts来注入键盘击键
发布时间:2020-01-24 17:20 |
阅读:15177 | 评论:0 |
标签:后门
xHunt的后续追踪报道:对xHunt后门工具的脚本进行分析
几个月以来,Unit42一直在研究针对科威特组织的xHunt攻击活动。最近,该组织又发现了新的证据,之前在xHunt活动中讨论过的创建Sakabota工具的开发人员,曾在2018年7月和2018年8月对Sakabota进行了两次测试活动,测试的目的就是为了逃避检测。这些测试活动涉及了Sakabota的几种变体,对代码库进行轻微更改,然后开发人员将向在线防病毒扫描服务提交每项更改,以确定检测其工具的供应商。 在分析开发人员在这些测试活动中创建的Sakabota样本时,研究人员发现了开发人员在工具中包含的脚本,研究人员怀疑这是为了帮助工具的攻击者在受感染的系统和网络上进行活动。这是研究人员第一次看到恶意软件开发人
持续对抗xHunt:通过DNS隧道检测阻止新型PowerShell后门
摘要在对xHunt活动的持续分析过程中,我们观察到存在与pasta58[.]com域名相关联的多个域名,这些域名与已知的Sakabota命令和控制(C2)活动相关。在2019年6月,我们观察到其中一个重复使用的域名(windows64x[.]com)被用作新的基于PowerShell后门的C2服务器,我们将其命名为CASHY200。该PowerShell后门使用DNS隧道与其C2服务器进行通信,通过向上述域名所对应的攻击者控制的域名服务器发出DNS A查询来实现。CASHY200解析C2服务器在DNS回答中提供的数据,以在系统上运行命令,并将结果通过DNS查询的方式发送回C2。在我们所分析的几个样本中,CASHY200
新型跨平台后门ACBackdoor介绍
介绍Intezer安全研究团队近日检测到了一类新型后门——ACBackdoor,它具有Linux和Windows两种变种,能提供shell命令的任意执行、任意二进制文件执行、持久性和更新功能。目前尚无法将ACBackdoor关联到任何已知的威胁组织。在VirusTotal上,对Linux变种的检测率为0,而Windows变种的检测率要相对高些,如下图所示。 图1.ACBackdoor Linux变种的VirusTotal检测率 图2.ACBackdoor Windows变种的VirusTotal检测率本文将对ACBackdoor做技术分析,区分其两类变种实现上的差异。最终的调查结果表明,该恶意软件背
skip-2.0:Winnti组织使用的新型Microsoft SQL Server后门
Winnti是一个从2009年起一直活跃至今的黑客组织,其主要攻击目标是网络游戏行业,窃取由合法软件供应商签发的数字证书和知识产权内容,包括在线游戏项目的源代码。得到源代码后再放到中国黑市进行兜售,或是直接用到这些源代码制作山寨游戏来以此获利。2015年开始,Winnti组织的攻击目标已经不再仅限于网络游戏公司,还包括电信和大型制药公司。而最近,ESET的研究人员发现了Winnti组织之前未公开的一个后门程序——skip-2.0,主要针对MSSQL Server 11/12,能让攻击者通过魔术密码秘密连接到任何MSSQL帐户,还能自动从日志中隐藏这些连接,从而让攻击者悄悄复制、修改或删除数据库的内容,例如操纵游戏币来获
威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库
概述近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘,造成服务器卡顿,严重影响正常业务运行,甚至造成业务终端。关于该蠕虫最早曝光于2018年7月,蠕虫自出现后频繁更新,陆续加入多达数十种的的攻击方式,可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。背景介绍BuleheroBulehero挖矿蠕虫最早出现于2018年初,初次曝光于
使用 Ghidra 分析 phpStudy 后门
这次事件已过去数日,该响应的也都响应了,虽然网上有很多厂商及组织发表了分析文章,但记载分析过程的不多,我只是想正儿八经用 Ghidra 从头到尾分析下。1 工具和平台主要工具:· Kali Linux· Ghidra 9.0.4· 010Editor 9.0.2样本环境:· Windows7· phpStudy 201802112 分析过程先在 Windows 7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中。根据网上公开的信息:后门存在于 php_xmlrpc.dll 文件中,里面存在“eval”关键字,文件 MD5 为
苹果CMS/MacCMS V10后门WebShell,第三方下载注意
苹果CMS/MacCMS苹果CMS是国内优秀的开源PHP建站系统,擅长电影程序影视系统这一块,在主流建站系统中特色鲜明,以灵活、小巧、兼容性好、负载强等优点而深受许多站长的喜爱。MacCMS后门Webshell某天始,MacCMS官网因为某些原因停摆。同时在百度搜索苹果CMS或MacCMS出现的排名第一均为一个:www.maccmsv10.com的网址,而真正的官网地址是www.maccms.com。前者使用了一个和maccms官网一模一样的静态首页提供程序下载。最近几天陆续有人发现了从这个网站下载的苹果CMS程序存在后门webshell。体验盒子直接从该第三方站点下载了源码,至今10月14日依然存在后门,所以基本可确信是故意搭建的假冒官网。后门文件路径maccms10extendupyunsrcUpyunA
phpstudy后门漏洞利用
0x00 前言Phpstudy是国内的一款免费的PHP调试环境的程序集成包,其通过集成Apache、PHP、MySQL、phpMyAdmin不同版本软件于一身,一次性安装无需配置即可直接使用,具有PHP环境调试和PHP开发功能。对我这种小白来说简直就是一大神器,但就是这样一个伴随了我多达三年之久的神器,突然爆出被恶意植入远控后门,不多说,含泪测试一下自己。0x01 后门利用poc123456789101112131415161718192021222324252627282930313233# -*-coding:utf-8 -*-import requests import sys import base64def Poc(ip,cmd): cmd = 'system('+cmd+');' poc
phpstudy后门golang利用工具
phpstudy_backdoor
仅供检测 自己的 phpstudy环境,请勿对其他网站使用。
go run phpstudy_backdoor.go http://localhost/index.php "net user"
Active code page: 65001
User accounts for \WIN-25US8G3F849
-------------------------------------------------------------------------------
Administrator Guest
The command completed successfully
发布时间:2019-09-26 00:15 |
阅读:58921 | 评论:0 |
标签:后门
phpStudy后门RCE,复现/批量脚本/修复
phpStudy后门介绍phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。软件作者声明:phpstudy 2016版PHP5.4存在后门。实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门据传漏洞形成原因是官网被入侵后植入后门,嫌疑人已被抓。后门检测方法手动检查后门代码存在于extphp_xmlrpc.dll模块中,phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45phpStudy2016路径phpphp-5.2.1
发布时间:2019-09-24 17:45 |
阅读:46261 | 评论:0 |
标签:后门
Gookit Banking Trojan中的后门利用分析
0x00 前言Gootkit Banking Trojan在2014年被首次发现,最近Daniel Bunce(@ 0verfl0w_)介绍了一些对于Gootkit Banking Trojan的分析,文章地址如下:https://www.sentinelone.com/blog/gootkit-banking-trojan-persistence-other-capabilities/其中,Gootkit Banking Trojan使用的后门启动方法是独有的,所以本文仅在技术研究的角度复现Gootkit Banking Trojan使用的后门启动方法,分析利用思路,给出防御和检测的建议。0x01 简介本文将要介绍以
ArbitraryPHP – 后门姿势,任意PHP代码执行扩展
ArbitraryPHP - 任意PHP代码执行扩展这是一个实验性的PHP扩展,加载这个扩展后,每次请求将可以执行一段自己的PHP代码。可用于:管理目标PHP站点(webshell)HOOK与分析HTTP执行流程在不修改源代码的情况下控制PHP执行结果安装选择对应版本的PHP,下载Releases下的二进制文件安装包,解压并获得相应PHP版本的二进制文件。执行php -i |grep extension_dir,获取扩展目录:将二进制文件arbitraryphp.so移动到扩展目录中,并修改php.ini,开启这个扩展:extension=arbitraryphp.so1extension=arbitraryphp.so 使用请求任意一个PHP,在参数arbitrary_php中增加任意PHP代码,即可执行:A
发布时间:2019-08-30 12:45 |
阅读:31599 | 评论:0 |
标签:后门
公告
九层之台,起于累土;黑客之术,始于阅读