记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Kuberneteszao集群遭挖矿木马突袭

文章目录一、事件简介二、事件分析2.1 Kubernetes简介2.2 入侵方式/横向移动2.3  窃密与C&C通信2.4 对抗检测与取证三、总结四、IOC引用关于伏影实验室阅读: 1一、事件简介TeamTNT是一个主要入侵在线容器并通过挖矿和DDoS进行牟利的攻击团伙。2021年年初,该团伙被发现入侵了某Kubernetes集群,通过结合脚本和现有工具,最终在容器内植入挖矿木马。当今,由于环境部署便利性的需求日益旺盛,使得容器技术和容器管理技术应用得越来越多。同时,对服务器负载均衡及高并行的需求,又使得集群技术得以发展壮大。
发布时间:2021-02-23 12:03 | 阅读:9843 | 评论:0 | 标签:安全分享 Docker Kubernetes TeamTNT 容器 木马

APT组织Lazarus既往攻击工具Torisma与DRATzarus分析

文章目录概述Torisma木马来源主要功能监控宿主机驱动器数量的变化监控活动RDP会话数量的变化收集本机信息并连接CnC获取并执行CnC发送的Shellcode向CnC发送指定命名管道中获得的数据通信模式上线通信指令获取发送命名管道信息DRATzarus木马来源基本框架主要功能通信模式上线流量CnC回复格式IoC阅读: 2概述在今年1月由Google披露的一起APT攻击活动中,朝鲜APT组织Lazarus对世界各国的安全研究人员进行了长期的渗透攻击。伏影实验室对该事件中出现的攻击载荷进行了深入分析,并将主体木马程序命名为STUMPzarus。
发布时间:2021-02-23 12:03 | 阅读:6331 | 评论:0 | 标签:安全分享 APT DRATzarus Lazarus Torisma apt 攻击

疑似Mustang Panda PlugX新插件CrimsonIAS出没

文章目录简介CrimsonIAS分析总结IoC阅读: 8简介Mustang Panda威胁组织主要针对亚太国家的⾮政府组织,常利⽤Poison Ivy、PlugX和Cobalt Strike有效载荷等共享恶意软件来收集情报。PlugX是使⽤模块化插件的远程访问⼯具(RAT),已被多个威胁组织使⽤。CrimsonIAS为Delphi编程语⾔开发的后⻔程序。能够上传,下载⽂件及执⾏指令。虽然功能相对单⼀,但已满⾜作为RAT的基础要求,并可⼆次扩展。与常规RAT不同的是,CrimsonRAT不会主动上线,⽽是等待控制服务器连接。经分析,我们认为CrimsonIAS的⽬标为:1. 公⽹部署服务的主机。
发布时间:2021-02-08 17:01 | 阅读:12097 | 评论:0 | 标签:安全分享 CrimsonIAS Mustang Panda PlugX 亚太 插件 非政府组织

透明部落——新组件USBWorm活动分析

文章目录组织简介攻击流程分析攻击流程总览鱼叉邮件投递过程邮件内容解读隐藏文件释放CrimsonRAT分析功能摘要CrimsonRAT组件之USBWorm环境检测对抗性持久性工作原理CrimsonRAT组件之KeyLogger功能分析总结IoC阅读: 14组织简介透明部落(又名PROJECTM和MYTHIC LEOPARD)是与巴基斯坦政府相关的网络间谍组织。自2013年开始活跃,该组织主要针对印度军事和政府人员。2019年,他们攻击了诸多阿富汗目标。但他们的目标似乎不止于此,在大约30个国家中同样发现了他们的恶意踪迹。透明部落常使用.NET开发自定义远程访问木马,并为特定的活动设计新程序。
发布时间:2021-02-07 17:54 | 阅读:8939 | 评论:0 | 标签:安全分享 USBWorm 组件

加密恶意流量优秀检测思路分享

文章目录3.1 包长分布分类器3.2 证书主体分类器和签发机构分类器3.3 通信IP地址分类器3.4 流级多维特征分类器3.5 主机级多维特征分类器阅读: 1摘要近年来,随着机器学习、深度学习等人工智能技术的迅猛发展,其在图像识别、语音识别和自然语言处理等领域已经得到大规模应用,可以为传统方法很难解决或无法适用的问题提供有效的方案,也已经成为网络安全领域中的热门研究方向,比如将人工智能应用于恶意加密流量的检测就是一种行之有效的方法。
发布时间:2021-02-06 18:47 | 阅读:14289 | 评论:0 | 标签:安全分享 加密流量检测 加密

【格物猎踪】压缩?base64?10个漏洞?攻击物联网设备愈发隐蔽!

文章目录执行摘要1.  攻击手法分析2.  相关漏洞2.1CVE-2020-59022.2CVE-2014-83612.3CVE-2020-109872.4CVE-2017-63342.5EDB-ID:405002.6CVE-2017-172152.7Shellshock3. &nb
发布时间:2021-02-04 20:33 | 阅读:11710 | 评论:0 | 标签:安全分享 structs2 格物 漏洞 物联网 攻击

认识STUMBzarus——APT组织Lazarus近期定向攻击组件深入分析

文章目录一.  事件背景二、Lazarus Group介绍三、恶意文件分析3.1样本关系3.2攻击阶段3.2.1 Stage1: 4c3499f3cc4a4fdc7e67417e055891c78540282dccc57e37a01167dfe351b2443.2.
发布时间:2021-01-29 23:17 | 阅读:15857 | 评论:0 | 标签:安全分享 APT Lazarus STUMBzarus apt 攻击

2021.01.27-揭秘Lazarus组织最新活动中的新型间接命令执行攻击技术

文章目录2.1 间接命令执行2.2 利用Build Events特性于visual studio工程编译过程执行恶意命令2.2.1 攻击技法揭秘2.2.2 技术改进预测,命令行独立
发布时间:2021-01-28 13:54 | 阅读:10668 | 评论:0 | 标签:安全分享 APT Lazarus twittter 间接命令执行 攻击 执行

随机子域名攻击防护建议

文章目录一、背景概述二、还原随机子域名攻击过程三、防护难点:四、随机子域名攻击防护建议阅读: 7一、背景概述近日,金融行业客户和IDC租户相继反馈,遭遇随机子域名攻击。随机子域名攻击,RSD(random sub domain),也可称为 P(Pseudo)RSD,因为使用的随机算法是“伪随机算法”。 随机子域名攻击是一种针对ISP的DNS缓存服务器和针对客户本地的授权服务器的双重攻击策略,攻击者通过控制的主机大量发送非法子域名请求,不仅使 DNS缓存服务器和授权服务器产生大量进出流量,堵满带宽,同时耗尽DNS缓存服务器和授权服务器资源,导致宕机。
发布时间:2021-01-20 18:21 | 阅读:23475 | 评论:0 | 标签:安全分享 抗d 金融行业 随机子域名攻击 攻击 防护

k0otkit:Hack K8s in a K8s Way

文章目录简介Kubernetes环境下的一般渗透过程基本思路基本功能实现迭代一:删除敏感词迭代二:替换Shell为Meterpreter迭代三:无文件化迭代四:分离Payload迭代五:动态容器注入迭代六:解决镜像依赖迭代七:无文件攻击总结攻击者角度防守者角度参考文献往期回顾阅读: 2简介本文涉及到的技术仅供教学、研究使用,禁止用于非法用途。
发布时间:2021-01-11 18:33 | 阅读:17275 | 评论:0 | 标签:安全分享 Kubernetes 渗透测试 hack

爬虫利器——火车采集器

阅读: 35还在自己写爬虫吗?省省力吧!今天介绍一款爬虫利器——火车采集器。它是一款互联网数据抓取、处理、分析和挖掘软件。可以灵活迅速地抓取网页上的信息,并通过内置处理功能,准确抓取出所需数据。项目背景:支持某项目对互联网提供的大量的具有特征信息的内容进行爬取,并对信息进行分析研究。收集提供了220左右个网站的网址,每个网址按照16个关键字进行信息检索和信息爬取。第一步那就是要爬取信息了,自己写爬虫?还是别了吧,有个工具叫火车采集器(原来叫火车头采集器)在这个前提下能满足我们需求了哦,下面就简单介绍下如何使用,方便后来的同学有类似需求提供一个解决问题的工具。
发布时间:2018-06-13 15:05 | 阅读:184749 | 评论:0 | 标签:安全分享 火车采集器 爬虫

开源流量分析系统 Apache Spot 概述

阅读: 101Apache Spot 是一个基于网络流量和数据包分析,通过独特的机器学习方法,发现潜在安全威胁和未知网络攻击能力的开源方案。Apache Spot 利用开源且被优化过的解码器接入二进制网络流量数据和数据包,利用机器学习的方法(主要是LDA 算法)从网络流量中分离出可疑流量,以及特征化独特的网络流量行为。经过上下文增强、噪声过滤、白名单和启发式算法等等一系列手段,最终产生少量且准确的安全威胁事件呈现给用户。
发布时间:2018-06-08 15:05 | 阅读:173549 | 评论:0 | 标签:安全分享 Apache Spot 流量分析 流量分析工具 网络流量分析

发包开源工具TRex在IPS测试中的应用

阅读: 31对于网络设备而言,一款好的发包工具至关重要,而目前像IXIA, Sprient等仪表厂商的发包仪表虽然好用,但是价格昂贵,那么是否有一款在功能和性能上能与仪表相当,却又是开源的工具呢,思科的TRex的给出了答案。
发布时间:2018-06-06 15:05 | 阅读:190501 | 评论:0 | 标签:安全分享 trex 发包 测试

【安全测试】性能测试进阶(Part4-并发测试的方法2)

阅读: 21上篇文章中,我们介绍了并发测试的方法1:用新建来测试并发。今天继续介绍方法2:用并发的方式来测试并发,边建立边拆除。相关阅读:【安全测试】性能测试进阶(Part1-基本概念)【安全测试】性能测试进阶(Part2-新建测试的方法)【安全测试】性能测试进阶(Part3-并发测试的方法1)首先我们来回顾一下并发测试的四种方法文章目录并发测试的方法并发测试方法2:用并发的方式来测试并发,边拆边建立测试场景(该方法适合于测试最好值)要点测试用例3:验证系统是否可以达到100w的并发测试用例4:测试系统可以达到多大的并发并发测试的方法并发有4种测试方法。
发布时间:2018-05-31 15:05 | 阅读:125291 | 评论:0 | 标签:安全分享 性能测试 测试

【安全测试】性能测试进阶(Part5-并发测试的方法3)

阅读: 14上两篇文章中,我们介绍了并发测试的方法1和方法2:【安全测试】性能测试进阶(Part3-并发测试的方法1)【安全测试】性能测试进阶(Part4-
发布时间:2018-05-31 15:05 | 阅读:151563 | 评论:0 | 标签:安全分享 性能测试 测试

【数据安全】GDPR正式生效 企业如何建设隐私数据安全防护?

阅读: 36隐私保护一直都是信息安全领域的一个内容。随着《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)的正式实施,隐私保护与伴随而来的数据安全成为了企业必须面对的课题。本文针对隐私保护和数据安全方面的内容,展现一个相对全面,客观的视角,帮助企业更深入的了解和理解当下隐私保护和数据安全的前沿态势,以及如何落地该法案。
发布时间:2018-05-28 15:05 | 阅读:280165 | 评论:0 | 标签:安全分享 GDPR 一般数据保护条例 保护个人隐私 数据安全 隐私保护

【安全测试】性能测试进阶(Part1-基本概念)

阅读: 31本系列文章对性能测试中容易混淆的概念,方法进行总结。作为性能测试进阶版本,本文假设使用者已经会使用各种仪表,不会对基本配置进行描述。
发布时间:2018-05-25 15:05 | 阅读:187652 | 评论:0 | 标签:安全分享 性能测试 测试

【安全测试】性能测试进阶(Part2-新建测试的方法)

阅读: 14本系列文章对性能测试中容易混淆的概念,方法进行总结。作为性能测试进阶版本,本文假设使用者已经会使用各种仪表,不会对基本配置进行描述。相关阅读:【安全测试】性能测试进阶(Part1-基本概念)【安全测试】性能测试进阶(Part3-并发测试的方文章目录新建测试的方法要点测试用例1:如何测试系统的最大新建第一轮测试第二轮测试扩展说明新建测试的方法要点单位可以使用connections/sec,simusers/sec在希望可以测试出理论上的最大新建的时候,不能配置think time或者是latency测试用例1:如何测试系统的最大新建测试系统最大新建, 一般会测试两轮或多轮。
发布时间:2018-05-25 15:05 | 阅读:140718 | 评论:0 | 标签:安全分享 性能测试 测试

【安全测试】性能测试进阶(Part3-并发测试的方法)

阅读: 13本系列文章对性能测试中容易混淆的概念,方法进行总结。作为性能测试进阶版本,本文假设使用者已经会使用各种仪表,不会对基本配置进行描述。相关阅读:【安全测试】性能测试进阶(Part1-基本概念)【安全测试】性能测试进阶(Part2-新建测试的方法)文章目录并发测试的方法方法1:用新建来测试并发测试用例2:验证系统能否在新建为3000的情况下,达到并发为100w补充说明并发测试的方法并发有4种测试方法。主要的差异点就是在并发测试的时候,是否会有连接的拆除。简单总结如下:方法1:用新建来测试并发——只有在拆除阶段的时候,会有连接的拆除。
发布时间:2018-05-25 15:05 | 阅读:116716 | 评论:0 | 标签:安全分享 性能测试 测试

Xpath定位经验总结

阅读: 21在使用自动化测试工具RobotFramework编写web界面操作用例时,我们用到最多的就是click element、input text等,这些关键字的参数都是locator,一般使用”xpath=”的形式来表述,先为大家介绍xpath定位的几种方式及使用中常见问题处理的方法。
发布时间:2018-05-24 15:05 | 阅读:124327 | 评论:0 | 标签:安全分享 xpath xpath定位

勒索软件——JS邮件恶意脚本分析

阅读: 31在互联网发展越来越壮大的同时,网络安全也面临着各种挑战与机遇。在过去数年,基于脚本的恶意软件的大幅增加让企业、用户等面临着更多勒索软件的威胁。众所周知,勒索病毒等新型恶性病毒,常通过邮件来传播。“邮件欺诈——病毒下载器——恶性病毒”是目前最常见的传播方式。“脚本类”下载者病毒(TrojanDownloader)呈现激增的趋势。病毒制作者经常将这两种病毒作为邮件附件并将其赋以诱惑性的文字发送给受害者。其运行后会下载勒索病毒等高危病毒,使用户造成严重的经济损失。文章目录JavaScript传播方式JavaScript恶意脚本形式1.随机变量名及函数名。2.添加垃圾代码。3.等效替换。
发布时间:2018-05-22 20:05 | 阅读:237004 | 评论:0 | 标签:安全分享 javascript 勒索软件 勒索邮件 恶意脚本 恶意邮件

PDF中的Javascript利用

阅读: 24Pdf文件是应用广泛的一种文件格式,发展至今已经到了2.0版本,其功能也得到了不断丰富,很多鲜为人知的功能可能会被利用实施恶意行为。本文将简单介绍在pdf文件中嵌入Javasript脚本的利用方式。文章目录一、PDF中的Javascript利用二、pdf中的Javascript规范1、文件夹级脚本2、文档级脚本3、页面级脚本4、域级脚本三、潜在可利用内容1、app.launchURL()函数功能为访问远程url。2、app.media.getURLdata()函数功能为打开url指定的多媒体文件。3、app.alert()函数功能为弹出一个警示对话框。
发布时间:2018-05-22 15:05 | 阅读:223908 | 评论:0 | 标签:安全分享 pdf JavaScript pdf 漏洞 pdf攻击

路由器漏洞分析入门:D-Link Service.Cgi远程命令执行漏洞

阅读: 69在正在到来的物联网时代,路由器是一个家庭里面的核心,连接着各种智能设备,路由器会被更多的黑客盯上,用于发动DDos,传播木马、病毒、挖矿软件等。本文以D-Link路由器的一个远程命令执行漏洞为例带你入门路由器漏洞分析。
发布时间:2018-05-16 15:05 | 阅读:244283 | 评论:0 | 标签:安全分享 路由器 路由器漏洞 远程命令执行漏洞 漏洞

PXE引导启动拷机测试镜像

阅读: 10PXE是Inter公司开发的最新技术,基于C/S模式,可以实现主机通过网络从远程服务器下载系统映像,并由此支持通过网络启动操作系统。具体的工作流程如下:将要安装的设备设置成PXE引导方式,启动后设备会向同一二层交换机下的DHCP服务器请求一个IP用作网络连接,再用TFTP协议请求下载软件启动包到本机内存执行,这个启动包可以被用来引导和安装服务器中的终端操作系统。文章目录1.   PXE服务器的搭建1.1 环境搭建1.2   配置环境时遇到的坑2.   验证1.   PXE服务器的搭建1.1 环境搭建每台设备出厂时,生产中心都会对设备做严格的测试,比如平台测试,拷机测试。
发布时间:2018-05-15 20:05 | 阅读:170451 | 评论:0 | 标签:安全分享 pxe

Server在kvm上的性能优化

阅读: 6Server在kvm上的性能提升,主要是分为两方面,一方面保证执行环境干净,不会被干扰;二是保证kvm虚拟中的模拟设备性能最优。下面主要是围绕这两个方面做一些优化。保证程序运行环境的干净,这里主要是保证server运行环境干净:1 kvm使用的cpu从宿主机系统调度中隔离。
发布时间:2018-05-15 15:05 | 阅读:189504 | 评论:0 | 标签:安全分享 KVM 服务器优化

用docker+elastic打造属于自己的网络探针

阅读: 1网络探针,就是一个用于捕获、分析网络数据包的组件。目前有一些捕获、分析网络数据包的开源组件,比如Yaf、bro、packetbeat等,但是这些组件的核心在于流量的采集,而流量日志的存储、界面展示则没有。所以我们会希望拥有自己的网络探针,捕获、分析数据包,并以界面的形式展示查询。这篇文章告诉你如何用docker打造你专属的网络探针。一个完全使用开源组件的解决方案是,使用packetbeat来监听网络流量,而将流量日志存储在elasticsearch中,使用kibana读取elasticsearch中的日志并以日志检索、统计图表等形式提供界面查询。
发布时间:2018-05-10 15:05 | 阅读:234853 | 评论:0 | 标签:安全分享 流量分析 网络探针 网络流量分析

敏感数据明文传输引发的全新攻击

阅读: 136敏感数据的安全传输是网络安全技术的一个重要的组成部分,但是敏感数据(有且但不限于用户登录账户及密码)明文传输却是一个很常见的漏洞,而这个漏洞因为利用难度大而被评为一个中危风险——绝大多数扫描器或者人工渗透。关于明文传输漏洞的解决方案,众所周知只有https是最佳实践,虽然ssl证书的价格需要考虑,以及https也不是绝对安全的,当遭受中间人劫持攻击的时候也会获取到传输中的明文数据,具体攻击详情见文章《HTTPS连接过程以及中间人攻击劫持》,但是这篇文章也说了,使用中间人攻击手段必须让客户端信任中间人的证书,否则攻击无效。因此这种攻击方式可以放弃,难度大且不方便隐藏攻击。
发布时间:2018-05-09 15:05 | 阅读:293728 | 评论:0 | 标签:安全分享 https https加密 敏感数据传输 明文传输 网络安全

Spartacus勒索软件技术分析报告

阅读: 39安全厂商malwarebytes发布了Spartacus勒索软件的分析报告,Spartacus在2018年首次出现,使用C#编写,该勒索软件使用基于AES的Rijndael算法实现生成加密密钥。然后该密钥被静态RSA加密,这个勒索软件是离线操作,没有链接C2服务器,需要受害者向攻击者发送电子邮件才能获得解密工具。Spartacus勒索软件是一个在2018年流传的新样本,用C#编写。原始样本被混淆,我们将其提取到可读状态。Spartacus是一个相对直接的勒索软件样本,并使用了一些我们过去见过的类似的技术和代码,如ShiOne,Blackheart和Satyr。
发布时间:2018-05-09 15:05 | 阅读:159947 | 评论:0 | 标签:安全分享 malwarebytes Ransomware Spartacus 勒索 勒索软件

新型Necurs恶意垃圾邮件——利用网络快捷方式“.url”绕过安全检测

阅读: 33Necurs僵尸网络仍然是最高产的恶意垃圾邮件发布者之一,它们会精心制作附件用于下载恶意软件。我们跟踪的大部分恶意垃圾邮件广告系列都针对Microsoft Office,其中包含宏或有漏洞的文档。我们还会看到许多其他类型的压缩脚本(.VBS,.JS等)的恶意附件 – 实际上是最终payload的下载器。但是在最近发现的一种新技术中,Necurs通过避免上述格式并使用不同的文件类型——恶意的.URL文件(Internet Shortcut)。攻击原理此攻击依赖file://协议从samba(SMB)共享中加载和执行远程脚本。
发布时间:2018-05-09 15:05 | 阅读:160241 | 评论:0 | 标签:安全分享 Necurs僵尸网络 垃圾邮件 恶意邮件

利用Drupal远程代码执行漏洞(CVE-2018-7600)挖矿技术分析

阅读: 51Drupal站点再一次被利用,这次是为了挖掘加密货币。据安全公司Imperva Incapsula的研究人员称,这个被称为“Kitty”加密货币挖矿恶意软件的恶意脚本利用Drupal中已知的严重远程代码执行漏洞(CVE-2018-7600)不仅针对服务器,还针对浏览器。相关阅读:【漏洞分析】CVE-2018-7600 Drupal 7.x 版本代码执行【漏洞分析】Drupal远程代码执行漏洞(CVE-2018-7600)分析攻击原理在服务器上,攻击者安装一个挖矿程序 – “kkworker” – 挖掘xmrig(XMR)Monero加密货币。
发布时间:2018-05-09 15:05 | 阅读:249660 | 评论:0 | 标签:安全分享 CVE-2018-7600 drupal漏洞 加密货币 加密货币挖矿 挖矿 漏洞

公告

❤人人都能成为掌握黑客技术的英雄⛄️

🧚 🤲 🧜

标签云