记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

macOS 平台的一款后门样本(TinyTim)的分析

本文将分析的样本是OSX.TinyShell的变种:TinyTim。早在2018年,我就发现有攻击者正在使用Tiny SHell的改良版。这个后门(Tiny SHell,是开放源码的)的运行方式类似于SSH的可疑版本。虽然我已经有一段时间没有遇到新的示例了,但是我完全相信攻击者仍然在使用它。目前,尚未有专门的文章讨论讨论有关该恶意软件的技术细节。这可能是因为实际上,它相对于其开源形式几乎没有什么变化,但是这些修改的确使我们能够通过多种方式检测其独特性。由于该恶意软件已被恶意行为者修改,因此称其为Tiny SHell似乎并不准确。因此,我将这个特定的修改版本称为“TinyTim”(因为我开始尝试在假期前后撰写此博客文章,并将发布拖到现在为止)。本文中
发布时间:2020-06-09 10:57 | 阅读:8152 | 评论:0 | 标签:后门

Loncom封装器——从后门攻击到Cobalt Strike渗透测试神器都用到了它

上一篇文章我们描述了一种不寻常的攻击方式,就是有攻击者会伪装成更新过期安全证书,来传播恶意软件。研究出来后,我们对所获得的样本进行了详细的分析,并得出了一些有趣的发现。就是我们检查出的所有恶意软件都是由同一个封装器封装的,我们将其命名为Trojan-Dropper.NSIS.Loncom。该恶意软件使用合法的NSIS软件封装和加载Shellcode,并使用Microsoft Crypto API解密最终的有效载荷。就像以前的发现一样,这一次也发现了很多惊喜,因为其中一个封装的样本包含了APT小组使用的软件。初步分析Loncom利用NSIS运行包含在文件中的Shellcode,该文件的名称由数字组成。在我们的示例中,文件名为485101134:NSI
发布时间:2020-06-06 14:25 | 阅读:10375 | 评论:0 | 标签:后门 攻击 渗透

深入分析已出现在APT攻击样本中的一个有趣的macOS后门

早在2018年,我就针对Mac遇到的各种APT攻击进行了一次总结。其中,我专门提到了攻击者正在使用的后门,它是Tinyshell的修改版。 Tiny Shell是一款轻量级的标准远程Shell工具,可以提供远程执行命令(包括:Rlogin,Telnet,Ssh等)和文件传输功能(上传、下载),支持单字节,完全支持pseudo-Terminal Pairs(pty/tty)等伪终端,其运行方式类似于SSH的一个未知版本。由于该恶意软件已经被恶意行为者修改,因此称其为Tinyshell似乎并不准确。因此,我将这个特定的修改版本称为TinyTim,本文中使用的样本可以在VirusTotal 上找到。SHA256:8029e7b12742d67fe13fc
发布时间:2020-05-27 12:15 | 阅读:8444 | 评论:0 | 标签:后门 apt 攻击

如果你是黑客,会利用Windows后门来做些什么?

最近,安全研究人员发现了一个新版本的Windows恶意软件,该恶意软件可打开Windows PC上的RDP端口,以便进行远程访问。SentinelOne的安全研究员Jason Reaves透露,这种新版本的恶意软件被称为``Sarwent'',自2018年以来一直在使用。目前,这种新版本的Sarwent恶意软件已经引起了众多安全专家的关注。安全研究员Vitali Kremez在今年(2020年)年初发送了一条twitter,他在推文中提到了有关这个Sarwent恶意软件的一些信息。安全专家说,到目前为止还不能确定Sarwent是如何分发的,可能是通过其他恶意软件传播的。此外,Sarwent的早期版本是为了在受损的PC上安装额外的恶意
发布时间:2020-05-26 13:24 | 阅读:8025 | 评论:0 | 标签:后门

雄迈 IPC 摄像头后门漏洞分析

 作者:H4lo@海特实验室前言2020年2月4日,有外国研究人员发表了一篇文章:基于Xiongmai的DVR,NVR和IP摄像机的固件后门漏洞。最新的固件版本虽然默认禁用了Telnet访问和调试端口(9527/tcp),但打开了9530/tcp端口,攻击者可以利用这个端口发送一个特殊的命令来启动Telnet守护进程,并使用固定密码访问shell。参考文章见文末链接一。其实这个漏洞疑似是一个海思摄像头组件的历史漏洞,关于详细的漏洞分析可以查看文末参考链接二。安恒信息「物联网安全监测平台」已集成相关漏洞探测规则。 漏洞测试环境设备:XMJP IPC 摄像头型号:XM530官网固件下载:https://download.xm030.cn/d/MDAwMDAwNjM=设
发布时间:2020-05-22 13:10 | 阅读:15741 | 评论:0 | 标签:后门 漏洞

Winrm远程命令/端口复用后门/Windows密码爆破

简介WinRM是WindowsRemoteManagementd(win远程管理)的简称。基于Web服务管理(WS-Management)标准,使用80端口或者443端口。这样一来,我们就可以在对方有设置防火墙的情况下远程管理这台服务器了。Server2008R2及往上的系统中默认中都开启该服务,从Server2012系统后开始,该WinRM服务便被设置为默认开启。Win7系统中却默认安装此WinRM服务,但是默认为禁用状态,Win8系统和Win10系统也都默认开启WinRM服务。PS:WIN7或2008需要手动开户WINRM默认端口5985/tcp (HTTP)5986/tcp (HTTPS)端口复用后门对于Windows Server 2012以上的服务器操作系统中,WinRM服务默认启动
发布时间:2020-05-19 02:31 | 阅读:11660 | 评论:0 | 标签:后门

椭圆曲线加密与 NSA 后门考古

作者:evilpan 原文链接:https://mp.weixin.qq.com/s/BMXzOZ3yxhfl2JOe61EnNA 本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送! 投稿邮箱:paper@seebug.org本文主要介绍椭圆曲线的基本原理以及基于椭圆曲线的密码学实现,包括ECC加密、ECDH秘钥交换以及ECDSA签名算法,并介绍其中潜在的一些安全问题。其中分析了两个ECC实现相关的真实案例,分别是索尼PS3的签名问题和美国国家安全局NSA留下的椭圆曲线后门。前言上周写过一篇关于RSA实现的介绍文章。相对于RSA对称加密,椭圆曲线加密要复杂得多,以至于多数的介绍文章都难免涉及大量的数学理论和公式。作为一个非密码学专业的业余爱好者,我的
发布时间:2020-05-18 13:05 | 阅读:15933 | 评论:0 | 标签:后门 加密

远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70)

本专题文章导航 1、远控免杀专题文章(1)-基础篇:https://www.secpulse.com/archives/123295.html 2、远控免杀专题文章(2)-msfvenom隐藏的参数:https://www.secpulse.com/archives/123300.html 3、远控免杀专题文章(3)-msf自带免杀(VT免杀率35/69):https://www.secpulse.com/archives/123315.html 4、远控免杀专题文章(4)-Evasion模块(VT免杀率12/71):https://www.secpulse.com/archives/123339.html 5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://www.secpulse
发布时间:2020-05-14 19:36 | 阅读:14954 | 评论:0 | 标签:脉搏文库 msfvenom编码 ps1-exe TheFatRat 免杀 后门 远控免杀

使用修改后的Tinyshell:深入分析macOS后门TinyTim

 前言早在2018年的时候,我就在一些小型会议上发表了名为Macdoored的演讲。在演讲中,我针对Mac遇到的各种APT攻击进行了分享。在分享过程中,我用了一些时间来说明攻击者目前正在使用的后门,它是Tinyshell的修改版本。Tinyshell是一个开源工具,其运行方式类似于修改后的SSH。从遇到这个新版本开始已经有一段时间了,但是我完全有理由相信,攻击者仍然在使用这个后门。如果大家观看了名为Macdoored的主题演讲,就会了解到,攻击者目前正在使用这个工具发动攻击。但是,目前还没有人研究过该恶意软件本身的技术细节。可能原因在于,恶意软件与开源版本相比,其代码的变化比较小。然而,这些修改可以让我们通过多种方式对其进行有效检测。由于该恶意软件已经被恶意行为者
发布时间:2020-04-27 19:17 | 阅读:12685 | 评论:0 | 标签:后门

持久化后门之加密工具TrueCrypt DLL却持

简介TrueCrypt,是一款免费开源的加密软件,同时支持Windows Vista,7/XP, Mac OS X, Linux 等操作系统。TrueCrypt不需要生成任何文件即可在硬盘上建立虚拟磁盘,用户可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。TrueCrypt 提供多种加密算法,包括:AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish,其他特性还有支持FAT32和NTFS分区、隐藏卷标、热键启动等。 软件荣誉FBI在经过一年的尝试后,还是未能破译被巴西执法机构指控金融犯罪的巴西银行家的加密文件。巴西一家葡萄牙语报纸报道(葡萄牙语),巴西联邦警察在2008年7
发布时间:2020-04-23 05:39 | 阅读:13919 | 评论:0 | 标签:后门 加密

持久化后门之微软Visual Studio开发工具DLL却持

DLL却持&白加黑DLL却持在白加黑里最常见,07、08年开始在国内才开始起步,但主要是写病毒用到的较多,什么LPK.DLL、USP10.DLL都是当时流行的U盘病毒木马最喜欢用的却持方式,因为它们可以却持99%的EXE,10年后渗透圈才开始懂利用,常见的只是单纯用于提权而已。很多人在很多方面不懂举一反三,能执行添加用户命令,你就不懂让它执行远控上线了吗?一定要登3389?目前还不能完全避免此漏洞,特别是应用软件们的,通过DLL劫持来绕过安全软件主动防御的保护被称为“白加黑”,因为加载的主程序是正常的软件,主动防御可能会放过它,允许它启动,而恶意DLL则通过该软件的漏洞或替换正常的同名文件(对应用软件的文件保护似乎并不象对系统文件保护那样严密,而且并不是一直运行状态,被替换还是比较容易的
发布时间:2020-04-23 05:39 | 阅读:13893 | 评论:0 | 标签:后门

Speculoos后门分析:利用CVE-2019-19781漏洞进行传播

背景3月25日,FireEye发布了一篇关于APT41组织近期攻击活动的文章。该攻击活动日期为1月20日——3月11日,主要利用近期公布的安全漏洞利用来攻击Citrix、Cisco、Zoho等网络应用。根据WildFire和AutoFocus数据,研究人员获得了攻击Citrix的payload样本,是运行在FreeBSD上编译的可执行文件。研究人员使用该数据发现了受害者遍布全球,位于医疗、高等教育、支付和技术服务等领域,包括北美、南美和欧洲。本文分析攻击活动中的基于FreeBSD 的payload——Speculoos。研究人员从数据集中一共发现了5个样本,文件大小几乎一样,但也有一些差异。这些细微的差异表明这些样本来源于同一开发者,样本可能被重新
发布时间:2020-04-15 12:03 | 阅读:11695 | 评论:0 | 标签:后门 漏洞 CVE

权限维持及后门持久化技巧总结

一、前言 在攻击者利用漏洞获取到某台机器的控制权限之后,会考虑将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。本文从Windows持久化,Linux持久化和Web持久化对现有技术进行了总结,对于持久化的攻击形式,主要是靠edr、av等终端产品进行检测。 二、Windows后门 2.1辅助功能镜像劫持 为了使电脑更易于使用和访问,Windows 添加了一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征,一些恶意软件无需登录到系统,通过远程桌面协议就可以执行恶意代码。 一些常见的辅助功能如: C:WindowsSystem32sethc.exe    粘滞键   
发布时间:2020-03-19 10:50 | 阅读:26177 | 评论:0 | 标签:系统安全 linux windows 后门

深入分析Spark后门的多个版本,逐步揭秘Molerats恶意组织活动轨迹

一、摘要2019年10月至12月期间,Unit 42团队观察到多次网络钓鱼攻击活动,这些攻击可能与名为Molerats的威胁组织(又名Galer Hackers Team或Gaza Cybergang)有关,攻击活动针对位于六个不同国家的八个组织,这些组织涉及政府、电信、保险和零售业,其中的后两个行业非常值得关注。此次攻击者针对保险和零售业的攻击目标是非常独特的,不符合该恶意组织此前一贯攻击的目标范围。在针对这些特殊的目标发起攻击时,恶意组织所使用的电子邮件和附件文件名称与攻击政府组织时使用的标题类似。由于攻击者没有针对特定行业或目标而定制社会工程学标题,因此可能会降低成功攻击的概率,并进一步迷惑研究人员关于为何要攻击这些组织的分析过程。所有这些攻
发布时间:2020-03-10 11:39 | 阅读:17507 | 评论:0 | 标签:后门

【安全帮】伊朗黑客入侵VPN服务器,意图在世界各地的公司植入后门

工业和信息化部办公厅关于做好疫情防控期间信息通信行业网络安全保障工作的通知为切实做好疫情防控和经济社会运行的网络安全支撑保障工作,确保疫情防控期间网络基础设施安全,防止发生重大网络安全事件,工业和信息化部发文要求各相关单位重点做好保障重点地区重点用户网络系统安全、加强信息安全和网络数据保护、进一步强化责任落实和工作协同等三方面工作。参考来源:http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057728/c7681604/content.html 伊朗黑客入侵VPN服务器,意图在世界各地的公司植入后门2019
发布时间:2020-02-19 13:54 | 阅读:25302 | 评论:0 | 标签:后门 入侵

BetterBackdoor:一个专为渗透测试人员设计的多功能后门程序

BetterBackdoor BetterBackdoor是一款多功能的后门工具,广大安全研究人员可以利用BetterBackdoor来获取目标设备的远程访问权限。 一般来说,后门工具会利用类似NetCat这样的实用工具来实现两大主要功能:使用cmd或bash来实现控制命令的远程传递并接收响应信息。这种方式实现起来很容易,但是也会受到各种因素的限制。而BetterBackdoor成功克服了这种限制,并引入了击键注入、获取屏幕截图、传输文件以及其他的渗透任务。 功能介绍 BetterBackdoor可以直接帮助渗透测试人员创建并控制一个后门。 BetterBackdoor创建的后门工具可以实现下列功能: 1、运行终端命令行控制指令 2、运行PowerShell脚本 3、运行DuckyScripts来注入键盘击键
发布时间:2020-01-24 17:20 | 阅读:24321 | 评论:0 | 标签:后门

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云