记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华skip-2.0:Winnti组织使用的新型Microsoft SQL Server后门
Winnti是一个从2009年起一直活跃至今的黑客组织,其主要攻击目标是网络游戏行业,窃取由合法软件供应商签发的数字证书和知识产权内容,包括在线游戏项目的源代码。得到源代码后再放到中国黑市进行兜售,或是直接用到这些源代码制作山寨游戏来以此获利。2015年开始,Winnti组织的攻击目标已经不再仅限于网络游戏公司,还包括电信和大型制药公司。而最近,ESET的研究人员发现了Winnti组织之前未公开的一个后门程序——skip-2.0,主要针对MSSQL Server 11/12,能让攻击者通过魔术密码秘密连接到任何MSSQL帐户,还能自动从日志中隐藏这些连接,从而让攻击者悄悄复制、修改或删除数据库的内容,例如操纵游戏币来获
威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库
概述近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。该挖矿程序会大肆抢占服务器CPU资源进行门罗币的挖掘,造成服务器卡顿,严重影响正常业务运行,甚至造成业务终端。关于该蠕虫最早曝光于2018年7月,蠕虫自出现后频繁更新,陆续加入多达数十种的的攻击方式,可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。背景介绍BuleheroBulehero挖矿蠕虫最早出现于2018年初,初次曝光于
使用 Ghidra 分析 phpStudy 后门
这次事件已过去数日,该响应的也都响应了,虽然网上有很多厂商及组织发表了分析文章,但记载分析过程的不多,我只是想正儿八经用 Ghidra 从头到尾分析下。1 工具和平台主要工具:· Kali Linux· Ghidra 9.0.4· 010Editor 9.0.2样本环境:· Windows7· phpStudy 201802112 分析过程先在 Windows 7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中。根据网上公开的信息:后门存在于 php_xmlrpc.dll 文件中,里面存在“eval”关键字,文件 MD5 为
苹果CMS/MacCMS V10后门WebShell,第三方下载注意
苹果CMS/MacCMS苹果CMS是国内优秀的开源PHP建站系统,擅长电影程序影视系统这一块,在主流建站系统中特色鲜明,以灵活、小巧、兼容性好、负载强等优点而深受许多站长的喜爱。MacCMS后门Webshell某天始,MacCMS官网因为某些原因停摆。同时在百度搜索苹果CMS或MacCMS出现的排名第一均为一个:www.maccmsv10.com的网址,而真正的官网地址是www.maccms.com。前者使用了一个和maccms官网一模一样的静态首页提供程序下载。最近几天陆续有人发现了从这个网站下载的苹果CMS程序存在后门webshell。体验盒子直接从该第三方站点下载了源码,至今10月14日依然存在后门,所以基本可确信是故意搭建的假冒官网。后门文件路径maccms10extendupyunsrcUpyunA
phpstudy后门漏洞利用
0x00 前言Phpstudy是国内的一款免费的PHP调试环境的程序集成包,其通过集成Apache、PHP、MySQL、phpMyAdmin不同版本软件于一身,一次性安装无需配置即可直接使用,具有PHP环境调试和PHP开发功能。对我这种小白来说简直就是一大神器,但就是这样一个伴随了我多达三年之久的神器,突然爆出被恶意植入远控后门,不多说,含泪测试一下自己。0x01 后门利用poc123456789101112131415161718192021222324252627282930313233# -*-coding:utf-8 -*-import requests import sys import base64def Poc(ip,cmd): cmd = 'system('+cmd+');' poc
phpstudy后门golang利用工具
phpstudy_backdoor
仅供检测 自己的 phpstudy环境,请勿对其他网站使用。
go run phpstudy_backdoor.go http://localhost/index.php "net user"
Active code page: 65001
User accounts for \WIN-25US8G3F849
-------------------------------------------------------------------------------
Administrator Guest
The command completed successfully
发布时间:2019-09-26 00:15 |
阅读:21601 | 评论:0 |
标签:后门
phpStudy后门RCE,复现/批量脚本/修复
phpStudy后门介绍phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。软件作者声明:phpstudy 2016版PHP5.4存在后门。实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门据传漏洞形成原因是官网被入侵后植入后门,嫌疑人已被抓。后门检测方法手动检查后门代码存在于extphp_xmlrpc.dll模块中,phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45phpStudy2016路径phpphp-5.2.1
发布时间:2019-09-24 17:45 |
阅读:18672 | 评论:0 |
标签:后门
Gookit Banking Trojan中的后门利用分析
0x00 前言Gootkit Banking Trojan在2014年被首次发现,最近Daniel Bunce(@ 0verfl0w_)介绍了一些对于Gootkit Banking Trojan的分析,文章地址如下:https://www.sentinelone.com/blog/gootkit-banking-trojan-persistence-other-capabilities/其中,Gootkit Banking Trojan使用的后门启动方法是独有的,所以本文仅在技术研究的角度复现Gootkit Banking Trojan使用的后门启动方法,分析利用思路,给出防御和检测的建议。0x01 简介本文将要介绍以
ArbitraryPHP – 后门姿势,任意PHP代码执行扩展
ArbitraryPHP - 任意PHP代码执行扩展这是一个实验性的PHP扩展,加载这个扩展后,每次请求将可以执行一段自己的PHP代码。可用于:管理目标PHP站点(webshell)HOOK与分析HTTP执行流程在不修改源代码的情况下控制PHP执行结果安装选择对应版本的PHP,下载Releases下的二进制文件安装包,解压并获得相应PHP版本的二进制文件。执行php -i |grep extension_dir,获取扩展目录:将二进制文件arbitraryphp.so移动到扩展目录中,并修改php.ini,开启这个扩展:extension=arbitraryphp.so1extension=arbitraryphp.so 使用请求任意一个PHP,在参数arbitrary_php中增加任意PHP代码,即可执行:A
发布时间:2019-08-30 12:45 |
阅读:17128 | 评论:0 |
标签:后门
Asruex后门变种通过Office和Adobe漏洞感染word和PDF文档
研究人员早在2015年就发现了Asruex后门,而且与DarkHotel监控恶意软件有关联。研究人员最近在PDF文件中发现了Asruex,经过分析发现恶意软件变种通过CVE-2012-0158和CVE-2010-2883漏洞作为感染器来将代码注入word和PDF文件中。使用老的已经修复的漏洞表明该变种的目标是Windows和Mac OS X系统上使用老版本Adobe Reader(versions 9.4之前版本)和Acrobat(v 8.2.5之前版本)的用户。因为其独特的感染能力,安全研究人员可能不会考虑检查Asruex感染的文件,并持续监控后门的能力。了解了新感染方法可以帮助应对此恶意软件变种。技术细节Asrue
捆绑后门的艺术–CobaltStrike backdoor分析
CobaltStrike(以下全部简称为CS)是渗透测试中常用的一个后渗透工具,它可以快速地生成后门并通过其控制目标主机。其中,捆绑型后门是攻击者较为喜欢的一种后门,因为其具有较好的隐蔽性及免杀效果。下面,就来剖析一下该类后门的捆绑及免杀原理。1. 后门制作制作捆绑型后门前,先得创建一个监听器用于与后门通信,点击 Cobalt Strike->Listener创建一个监听器,填上IP和端口号,点击save,就可完成创建。选择端口时,可以使用一些较少为使用的协议端口,好伪装,如下选择的2333端口,是snapp协议的端口。接下来,就可以制作捆绑型的后门,点击 攻击->package->Wind
APT组织PLATINUM使用的两种新后门
2018年6月,卡巴斯基实验室曾在南亚和东南亚的一些国家发现过一组不同寻常的恶意软件样本,以外交、政府和军事实体为攻击目标。此次行动被称为EasternRoppels,最早可追溯到2012年,其幕后推手可能与臭名昭著的PLATINUM APT组织有关。恶意软件的特点是多阶段执行,以及用了一种前所未见的隐写技术来隐藏通信过程。在感染的第一个阶段,攻击者通过WMI订阅功能来运行初始PowerShell下载器,以下载另一个小型的PowerShell后门。我们在收集了许多初始WMI PowerShell脚本后发现,它们的硬编码C2的IP地址、加密密钥、用于加密(以及用于初始加载器)的盐、每天活跃的时间往往都不甚相同。C2地址位
针对中亚地区政府部门的攻击:通过Office漏洞传播新型Hawkball后门
一、概述近期,FireEye Labs观察到针对中亚政府部门的攻击,该攻击利用众所周知的Microsoft Office漏洞CVE-2017-11882和CVE-2018-0802提供新型Hawkball后门。Hawkball是一个后门,攻击者可以利用该后门收集受害者的信息,同时可以提供Payload。Hawkball能够对主机进行信息收集、创建命名管道执行本地Windows命令、终止进程、创建/删除及上传文件、搜索文件、列举驱动器。下图展示了实际攻击中所使用的诱饵文件。诱饵文件doc.rtf(MD5值为:AC0EAC22CE12EAC9EE15CA03646ED70C)包含一个OLE对象,该对象使用公式编辑器将嵌入的
再看Zebrocy:APT28通过Delphi后门执行了哪些命令?
当受害者遭后门入侵并被攻击者控制时会发生什么?这是一个很难回答的问题,即使通过逆向工程代码也难以完全解析。而在本文中,我们将分析Sednit组织在近期行动中发送到目标的命令。Sednit组织,也被称为APT28, Fancy Bear(奇幻熊), Sofacy 或STRONTIUM,是一个自2004年以来运行的攻击组织,其主要目的是窃取目标的机密信息。他们的行动在过去几年中经常成为头条新闻。去年九月,我们披露了一个名为LoJax的UEFI rootkit的存在,并将其归于Sednit组织。UEFI rootkit允许黑客在目标计算机上植入持久性恶意软件,这些恶意软件能在硬盘驱动器擦除后继续存在。此次发现也表明Sedni
黑客组织TA505利用LoLbin和新型后门攻击金融行业
常年混迹网络安全圈,你可能对网络犯罪分子的一些攻击手法早已不陌生,比如他们为了拓展恶意软件的功能或是使其更难以被检测到,而将之与合法软件相结合使用。而最近Cyberreason的研究人员发现,许多Windows系统进程也会被攻击者们恶意劫持以用于达成他们的目标。在本文中,我们将介绍黑客团伙TA505于2019年4月对某金融机构进行的一场精心策划的攻击事件,它是一起具有强针对性的网络钓鱼。恶意软件的持久性可根据环境选择是否创建,攻击还利用到了一个称为ServHelper的复杂后门。TA505的关键特征· 目标明确——只针对企业内部少数特定账户的进行网络钓鱼。· 恶意代码经过签名验证——这是为了避免被发现而采取的
集后门、挖矿机和勒索软件的攻击活动分析
研究人员收到一封邮件,其中有一个链接,点击后就下载了一个pik.zip文件。该zip文件的名字很给奇怪руппа Компаний ПИК подробности заказа,翻译过来就是PIK Group of Companies order details(PIK公司订单详情)。也就是说是伪造的PIK公司的文件,PIK是俄罗斯的一家房地产公司,有超过14000名员工。研究人员分析脚本发现,该脚本使用多种混淆技术进行混淆。在Stage 0阶段有2个主要的混淆流:· 第一个是引入了伪造了静态fork,比如if和cases;· 第二个是从动态构建或分成多个关联步骤的嵌套字符串中动态构建函数区块。Javascr
公告
关注公众号hackdig,学习最新黑客技术