记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华如何检测并清除WMI持久化后门
概述WMI(Windows Management Instrumentation)事件订阅(Event Subscription)是一种非常流行的终端持久化技术。我们针对Empire的WMI模块( https://github.com/EmpireProject/Empire )进行了尝试,并对其模块进行分析,同时还汇总了可用于查看和删除WMI事件订阅的PowerShell命令。本文将主要阐述如何检测WMI持久化后门并进行移除。“WMI事件订阅”在MITRE ATT&CK技术中的编号为T1084,详情请参见: https://attack.mitre.org/wiki/Technique/T1084 。攻击者可
Drupal web服务器从脏牛到持续后门
本文,我们将讲解一种简短有效而且十分严重的攻击,攻击对象是基于Linux的系统。在这次攻击中,攻击者使用了一系列的漏洞,包括臭名昭著的Drupalgeddon2和脏牛漏洞,还有系统配置错误,对存在漏洞的drupal web服务器进行持久化的攻击,并最终控制用户主机。在以前,对web服务器的远程代码执行(RCE)攻击通常都是一次性的安全事件——攻击者运行恶意代码,服务器执行代码,这样就完了。如果管理员检测到进程并且终止了进程,或者重启了web服务器,这样的攻击也就结束了。而现在,越来越多的攻击者开始进行持续性攻击。持续性意味着如果攻击进程被终止或者服务器重启之后,他们有方法非常轻易的就重新感染web服务器,或者是执行额外
土耳其出现与MuddyWater Tools非常相似的PowerShell后门
MuddyWater是一个著名的威胁攻击组织,自2017年以来一直很活跃。其目标为中东和中亚地区,主要使用带有恶意附件的鱼叉式网络钓鱼电子邮件。最近,他们与3月份针对土耳其、巴基斯坦和塔吉克斯坦机构的行动相关。自2017年Malwarebytes率先报道他们对沙特阿拉伯政府进行精心的间谍攻击以来,该组织已经露出真容。在第一份报告之后,其他安全公司对其进行了广泛的分析。通过这一切,我们只看到他们在使用的工具、技术和程序(TTP)方面发生了很微小的变化。但是,最近我们观察到一些类似于已有MuddyWater TTP的传播文档。这些文档名为Raport.doc或Gizli Raport.doc(标题意为土耳其语“报告”或“秘
使用恶意的InPage文档和老旧版本的VLC媒体播放器实施后门攻击
最近,Office 365安全团队发现,有攻击者以特定语言文字(乌尔都语、波斯语、普什图语和阿拉伯语等)的处理软件为目标,进行攻击,该攻击利用了InPage的一个漏洞。由此可见,我们不仅要防范大规模恶意软件活动,还要防范小规模和本地化的攻击。本次恶意活动的75%的目标都位于巴基斯坦,另外也包含一些欧洲和美国的国家,甚至还包含政府机构。攻击目标的地理分布此前,Palo Alto和Kaspersky的研究人员曾分别发表过关于使用恶意InPage文档发动攻击的分析文章。除了他们发布的文章之外,针对这类攻击的公开研究非常有限。本次攻击是Office 365团队在6月发现的,攻击步骤如下:1.攻击者发出带有恶意InPage文档的
黑吃黑:物联网僵尸网络作者在中兴路由器后门上添加了自己的后门
很多脚本小子正在使用武器化的物联网漏洞利用脚本,利用供应商后门帐户攻击中兴路由器。具有讽刺意味的是,这不是脚本中唯一的后门。Scarface,代码的传播者也部署了自定义后门来黑那些使用该脚本的脚本小子。由于IOT(Paras/Nexus/Wicked)中顶级开发者的名字不为人所知,Scarface/Faraday就是脚本小子购买物联网僵尸网络代码以及武器化利用的开发者的总称。虽然Scarface大多具有良好的可信度,但我们观察到他发布了一个带有后门的武器化中兴ZXV10 H108L路由器漏洞利用,它在运行时会感染脚本小子的系统。该漏洞是已知漏洞,在中兴路由器中使用后门帐户进行登录,然后在manager_dev_ping
渗透技巧——Junction Folders和Library Files的后门利用
0x00 前言维基解密公布的CIA Vault 7中涉及到了Windows系统中Junction Folders和Library Files的利用。地址如下:https://wikileaks.org/ciav7p1/cms/page_13763381.html https://wikileaks.org/ciav7p1/cms/page_13763373.htmlJayden Zheng对此做了分析,分享了一个Library Files的后门利用方法,并且详细介绍了如何检测Junction Folders和Library Files的恶意利用。地址如下:https://www.countercept.com
加密货币价格追踪器在macOS中安装后门
研究人员发现macOS系统中一个伪装为加密货币ticker(股票价格收报机)的木马CoinTicker正在用户设备上安装后门。成功安装后,CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏,以实时更新当前价格,如下图所示。CoinTicker木马应用CoinTicker应用在后台会秘密下载两个后门,这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir,在木马执行时会连接到远程主机,并下载大量的shell和python脚本,python和shell脚本的执行会下载和安装这两个后门。Malwarebyte分析师称:恶意
后门使用粘贴网址来保存payload
网站后门后门是攻击者故意留下用于之后访问站点的恶意软件。黑客喜欢在不同的位置注入代码来增加保持对网站控制权的机会,这样就可以继续感染受害者网站了。今年都在讨论解码含有PHP函数的复杂恶意软件的新方法。常见的PHP函数有:· eval, 把一段字符串当作PHP语句来执行· create_function, 主要用来创建匿名函数· preg_replace, 正则查找替换函数· assert, 断言函数· base64_decode.根据最新的网站被黑报告,过去的一年:· 被黑的网站中有71%隐藏有基于PHP的后门。· 这些后门的有效性来源于大多数网站扫描技术的绕
web后门生成工具WeBaCoo和实战
webacoo(web backdoor cookie)是一个web后门脚本工具包,旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具,能够维持对已被拿下的web服务器的权限访问。WeBaCoo可以绕过最新的AV,NIDS,IPS,网络防火墙和应用防火墙的检测,能够在被拿下的服务器中悄无声息的执行系统命令这种混淆的通信是在有效的客户端HTTP请求和服务器响应中利用HTTP头信息cookie字段来完成的。使用WeBaCoo生成PHP后门文件的命令如下:webacoo -g -o /root/backdoor.php只要攻击者将恶意代码发送到某个网站以便访问
最新的Turla后门利用电子邮件PDF附件作为C&C机制
来自ESET的恶意软件研究人员发布了一份关于Turla后门最新变种的详细报告,该后门利用电子邮件PDF附件作为C&C。
来自ESET的恶意软件研究人员对与俄罗斯相关的APT Turla 在有针对性的间谍活动中使用的后门进行了新的分析。
新分析揭示了一系列以前不为人知的知名受害者。
Turla是俄罗斯网络间谍APT集团(也称为Waterbug,毒蛇和KRYPTON)的名称,自2007年以来一直活跃于政府组织和私营企业之中。
以前已知的受害者名单很长,其中还包括瑞士国防公司RUAG,美国国务院和美国中央司令部。
Turla的武器库由复杂的黑客工具和Turla (Snake 和 Uroburos rootkit),Epic Turla(Wipbot和Tavdig)和Gloog Turla的之类的恶意软件组
还有多少个X站在被后门、webshell寄生?
事件回顾近日,国内某知名二次元视频网站(以下简称X站)遭遇黑客攻击,近千万条用户数据外泄 ,其中包括用户 ID、昵称、" 加密存储 " 的密码等信息。同时在某群、github上也出现了黑客的贩卖及勒索信息。黑客入侵分析根据曝光的信息初步判断,黑客应该是利用X站某台互联网服务器上的应用漏洞上传后门或webshell,成功穿过防火墙等安全设备并getshell,之后通过东西向流动渗透内网,成功窃取近千万条用户数据并控制内网主机。根据黑客的描述,目前该后门仍未被清除,如果不及时处理不仅仅是数据泄露的问题,黑客还有可能进行锁死服务器、清除数据等极端操作。也许你的安全已经做到了90分,但干掉你的往往是剩下那个
后门混淆和反检测技术
后门是一种绕过认证或系统加密的方法。有时开发人员会出于某原因,为自己的程序构建后门程序。例如,为了提供简单的维护,开发人员引入了一个后门,可以恢复设备厂商的默认密码。而另一方面,攻击者则会将后门注入到有漏洞的服务器来接管服务器,执行攻击和上传恶意payload。比如,攻击者会注入后门来获取代码执行或上传文件的权限。后门的类型后门有许多类型,是由不同编程语音编写的。比如,PHP语言编写的后门可以运行在PHP服务器上,用ASP编写的后门可以运行在.NET服务器上。后门的作用也是不同的,比如webshell可以用在受感染的系统上执行后门,从而使攻击者上传和执行文件。Github上有很多开源的后门,黑客可以选择注入一些知名的后
Office漏洞被用于传播FELIXROOT后门
攻击活动详情2017年9月,FireEye的研究人员发现针对乌克兰的工具活动中使用FELIXROOT后门作为payload,该攻击活动中包括恶意的乌克兰银行文档,该文档中含有可以下载FELIXROOT的宏文件。近期,研究人员发现该后门被用于一起新的攻击活动中。这次,声称含有研讨会信息的武器化的诱饵文档利用了Office CVE-2017-0199(WORD/RTF嵌入OLE调用远程文件执行漏洞)和CVE-2017-11882(Office远程代码执行漏洞)两个漏洞在受害者机器上释放和执行后门二进制文件。图1: 攻击概览恶意软件通过用Office漏洞武器化的恶意文档进行传播,如图2所示。恶意文档名称是“Seminar.r
通过USB调试安装固件后门以实现 “邪恶女仆” 攻击
调试机制被攻击者反利用应该说调试机制是目前几乎所有软件运行平台上用来跟踪故障根源的标准组件,调试机制主要用于监控平台上的软件运行,但也经常用于维护和修复以前的漏洞。比如,当开发商写完全部代码后,如果不了解网络基础设施,也没有操作系统的任务调度需要考虑,那么就可以利用这些调试方法使一个应用程序运行起来。最常见的调试问题可以大致划分为如下5类: 1.同步问题;2.内存和寄存器讹误;3.与中断相关的问题;4.固件配置问题;5.异常情况;这样安全研究人员使用调试功能随时提前预判攻击,包括定位和使用JTAG(Joint Test Action Group,联合测试工作组,是一种国际标准测试协议,主要用于芯片内部测试),
恶意宏劫持桌面快捷方式传播后门
宏文件是一种比较古老的技术了,但黑客还在使用恶意宏文件来传播恶意软件,只不过传播的方式更加高效也更加创新了。最近的一起案例中,攻击者就以一种间接的方式使用了宏文件,首先在用户系统中搜索特定的快捷方式文件,然后用下载的恶意软件的位置去替换该快捷方式。当用户点击修改的桌面快捷方式时,下载的恶意软件就会执行。恶意软件执行后,会恢复原始的快捷方式文件来打开正确的应用。然后,恶意软件会组合其payload。恶意软件会从互联网上,下载常用的工具如WinRAR、Ammyy Admin来收集信息并通过SMTP发送回服务器。宏和下载的恶意软件并不复杂,攻击者使用的方法也有一些继续的标记,可能是还没有开发完成。图1. 恶意软件感染链文档攻
微信支付爆“0元购”后门,真的没风险了吗
7月3日,一位名为1024rosecode的疑似外国安全人员在Twitter上联系360Netlab及趋势科技,并公开了一篇名为《微信支付SDK中的XXE漏洞 》(XXE in WeChat Pay Sdk ( WeChat leave a backdoor on merchant websites))的文章。在文章中,该安全人员称:在使用微信支付时,商家需要提供一个接收通知的网址,用来接受异步付款信息。不过,在此时的Java版SDK中,有一个XXE漏洞。此次曝光的漏洞一旦被利用,可根据需要窃取商家服务器的任何信息。一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),甚至可以通过发送
公告
关注公众号hackdig,学习最新黑客技术