记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

从ATT&CK V11版发布看ATT&CK的更新历程

阅读:192022年4月26日ATT&CK V11如约而至,这次的版本的更新主要集中在三个方面。通过分析ATT&CK 版本的更新历程,我们可以梳理出ATT& CK的三条发展路线。一、ATT&CK V 11版更新内容2022 年 4 月26日,ATT&CK (v11)版本正式更新。现在访问 https://attack.mitre.org/ 主页,看到的将是最新的V11版本。ATT&CK 版本(V11)这次一如既往的更新了企业、移动和 ICS 的技术、组和软件。
发布时间:2022-05-24 19:41 | 阅读:23616 | 评论:0 | 标签:技术产品 ATT&CK 安全技术

让windbg反”反调试”

阅读:12进入x64时代后,windbg一直没有现成的反”反调试”插件,但windbg可以借助其他工具实现反”反调试”。参看https://github.com/x64dbg/ScyllaHideScyllaHide没有现成的windbg插件,但ScyllaHide有独立运行版本,理论上可与任意调试器配合使用,实现反”反调试”。
发布时间:2022-04-29 10:58 | 阅读:32296 | 评论:0 | 标签:技术产品 WinDbg 反调试 安全技术

DPKI的崛起之路——分布式数字身份(DID)

阅读:1一、引言互联网的出现和普及使得传统身份有了另一种表现形式,即数字身份,除自然人以外,机构组织、智能设备、虚拟网络都可以作为实体并拥有数字身份,这些实体作为数字化社会的重要组成部分,共同构建了数字生态,数字社会身份体系如下图所示。图1 数字社会身份体系我们一般认为,数字身份的演进可分为三个阶段,第一阶段是由单一权威机构进行管理和控制的中心化身份,不同机构之间身份数据互不相通;第二阶段是由多机构或者联盟进行管理和控制的联盟身份,在该体系下,用户的身份数据具备了一定的可移植性,第三阶段以用户为中心,身份信息由用户自主掌控授权,身份管理走向去中心化。
发布时间:2022-04-27 10:58 | 阅读:46123 | 评论:0 | 标签:安全分享 DID DPKI 安全技术 数据安全 分布式 身份

NTFS Alternate Data Streams简介

阅读:9一、前言本文在Win10企业版2016 LTSB 1607(OS Build 14393.4704)上测试。NTFS ADS (Alternate Data Streams)当年是为了兼容Macintosh Hierarchical File System (HFS)而出场的,NT 3.1开始引入ADS。文件、目录、根目录都可以有ADS。ADS与”main stream”共用DACLs,无权访问”main stream”时,也无权访问附在其上的ADS。
发布时间:2022-04-14 10:57 | 阅读:31505 | 评论:0 | 标签:技术产品 MSDN NTFS 安全技术

俄乌热战背景下的Node-ipc供应链投毒攻击

阅读:42一、情报背景Node-ipc是使用广泛的npm开源组件,其作者出于其个人政治立场在代码仓库中进行了投毒,添加的恶意js文件会在用户桌面创建反战标语。根据进一步的深挖,该作者还曾在仓库中加入将俄罗斯与白俄罗斯区域用户数据抹除的恶意代码,但在随后改为看起来更温和的手段。目前各大开源组件托管商(例如npmmirror)已采取行动封杀恶意版本。Vue.js生态中的vue-cli包、开发工具Unity Hub也受到了该事件的波及,并通过更新进行处理。该事件是继color.js事件后又一开发者发起的供应链攻击事件,已经被分配CVE编号CVE-2022-23812,事件影响还在继续中。
发布时间:2022-03-22 16:22 | 阅读:60095 | 评论:0 | 标签:安全分享 Node-ipc 供应链安全 俄乌网络战 安全技术 攻击

Unix系列(11)–git源码查错技巧

阅读:7一、背景介绍参[3],Max Kellermann介绍”Dirty Pipe”漏洞时提到”git bisect”。我不是git用户,属于水货程序员,但我有审阅源码的需求,比如想知道哪次commit引入BUG。为此查看”git bisect”帮助手册,参[2],顺道学习了几种git源码查错技巧。
发布时间:2022-03-22 13:40 | 阅读:50045 | 评论:0 | 标签:安全分享 git源码 Unix 安全技术 网络安全

Win10创建匿名共享

阅读:26服务端是Win10企业版2016 LTSB,winver显示1607(OS Build 14393.4704)假设C/S两侧都是Win10,只开一个匿名只读共享,不想提供user/pass就访问到,很多Win9x年代过来的会比较怀念那种匿名共享。Win10时代达到那种效果要比想像的复杂一些。
发布时间:2022-03-03 16:18 | 阅读:35217 | 评论:0 | 标签:技术产品 Win10 匿名共享 安全技术

Lighthouse/DynamoRIO/Coverage Diff入门

阅读:13一、原始需求Win10的calc与Win7的calc不一样,前者是个Store App,对应Calculator.exe。启动Win10的calc,切换到”程序员模式”,切换到16进制模式,依次输入51201314 * 41414141 =得到乘法运算结果0x14add2aaaa10ec14原始需求是,寻找前述算术运算相关代码。
发布时间:2022-02-25 18:59 | 阅读:32316 | 评论:0 | 标签:技术产品 安全技术

SDN系列(46)——WinDbg Preview TTD入门

阅读:10一、安装WinDbg PreviewWinDbg Preview与传统的WinDbg不是一个东西。可以从Microsoft Store安装WinDbg Preview,可能需要先登录,匿名时可能搜不到WinDbg Preview。在cmd中执行windbgx,即可打开WinDbg Preview尽管官方要求从Microsoft Store安装WinDbg Preview,但安装结束后可以用Process Explorer找出WinDbg Preview安装目录,将之复制到别处仍可使用。
发布时间:2022-02-21 19:03 | 阅读:52052 | 评论:0 | 标签:技术产品 sdn TTD 安全技术

攻击技术研判|在野Web注入及证书透明度检测规避手法分析

阅读:25一、情报背景自2016年至今,TrickBot已经成为最具威胁和流行的银行木马,以包含各种模块的攻击工具而闻名,对浏览器和HTTPS的攻击有着深入的研究。最近kryptoslogic团队发现了TrickBot更新了一些模块中的攻击技术,以规避证书透明度检查,本文将对其中的亮点攻击技术进行分析研判。攻击者在对浏览器完成进程注入后,自建自签名证书,利用HOOK技术和劫持修改请求响应头的方式对浏览器证书透明度检测进行削弱,完成后续对WEB内容的javascript注入等场景的攻击需求。
发布时间:2022-02-15 18:58 | 阅读:37316 | 评论:0 | 标签:安全分享 安全技术 攻击技术 攻防演练 证书透明度 注入 攻击 分析

利用AppInfo RPC服务的UAC Bypass技术详解

阅读:16一、技术背景在我们先前的攻击技术研判中曾介绍了一种较新的UAC Bypass在野利用手法,本文将再次对其技术细节进行深入分析。该方法最初由Project Zero的研究员披露,并在随后被UACME项目的维护者完成武器化并在项目中公开。该UAC Bypass手法目前仍未被微软修复,具有较大的研究与实战价值。
发布时间:2022-01-11 10:53 | 阅读:148249 | 评论:0 | 标签:技术产品 AppInfo RPC 安全技术 app

攻击技术研判|CVE-2021-40444漏洞在野利用新手法

阅读:16一、情报背景继今年9月,微软发布一系列针对CVE-2021-40444 MSHTML远程代码执行的缓解措施,原有依赖CAB文件的利用链被阻断。对在野攻击事件进行研判时,我们发现攻击者使用了新的漏洞利用方式来突破缓解措施和补丁保护。本文将对CVE-2021-40444的在野攻击链及涉及的攻击技术进行技术研判。二、攻击技术分析在CVE-2021-40444 漏洞利用的初始版本中,需要利用CAB来存储释放恶意的PE载荷,新的利用链巧妙利用RAR文件特性构造新的利用链。
发布时间:2022-01-07 19:00 | 阅读:67371 | 评论:0 | 标签:安全分享 安全技术 安全漏洞 攻击技术 漏洞 攻击 CVE

2022年,哪些安全技术创新值得期待?

网络安全一直都是由新技术驱动发展的行业,随着安全初创企业和传统安全厂商不断竞争带来的技术革新,以解决现有和新涌现的安全问题, 2022 年仍将是行业值得期待的一年。许多令人兴奋的技术都围绕着人工智能( AI )、数据共享和数字生态系统而展开,它们是安全数字化转型的核心。2022 年,让我们一起关注以下创新技术的发展与突破。1. 隐私增强计算( PEC )的兴起2020年,咨询公司 Gartner 就已经将“隐私增强计算”( PEC )技术纳入其“ 2021 年九大重要战略科技趋势”。
发布时间:2022-01-07 16:50 | 阅读:60302 | 评论:0 | 标签:安全技术 安全

安全知识图谱 | Log4j事件云端数据分析

阅读:17Log4j漏洞攻击影响范围深远,为了有效观测、识别相关漏洞的攻击情况,绿盟科技通过监测与跟踪分析云端数据,洞察事件攻击态势,挖掘攻击模式,加速关键攻击事件的定位与研判。以下为基于绿盟云监测进行分析得到的数据,时间截止至2022年1月4日零时。一、 态势观测:Log4j攻击趋势从图1可以看出,绿盟云端监测到的Log4j攻击事件在漏洞曝光之初即呈现爆炸式增长的态势。随着政策响应、防护策略与攻击目标、攻击技战术的博弈,攻击事件爆发初期出现波动但持续增长,于12月19日达到攻击顶峰,随后呈现整体下降的态势。
发布时间:2022-01-07 10:52 | 阅读:69756 | 评论:0 | 标签:安全分享 Apache Log4j 安全技术 安全漏洞 安全知识图谱 知识图谱 云端 安全 分析 log4j

安全知识图谱 | 深挖两安融合,加强风险防控

阅读:19本文为安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》精华解读系列第八篇,介绍了基于知识图谱的安全风险融合分析。一、两安融合的工业安全风险分析挑战工业4.0时代以来,生产效率需求的提升推动了工业物理环境的互联互通,然而,网络环境的连接也带来了信息安全风险和一系列新的安全挑战。工业安全内涵也由单一的功能安全Safety或信息安全Security演变为两者的融合。安全是风险控制的结果,传统工业中的IT和OT环境相对隔离,信息层和物理层各自的安全风险来源比较单一,可以单独地根据对应的分析方法和技术得到。
发布时间:2021-12-31 10:52 | 阅读:58761 | 评论:0 | 标签:安全分享 两安融合 安全技术 安全知识图谱 知识图谱 安全

调试services.exe进程

阅读:14一、ServicesPipeTimeout本文在Win10企业版2016 LTSB 1607(OS Build 14393.4704)上测试。Windows的SCM(Service Control Manager)启动某个服务时缺省等待30秒,超时则认为启动失败,会有其他动作,比如杀掉目标进程重启服务。假设需要调试服务启动阶段代码,断点命中后的交互式调试很容易导致服务启动阶段超时被杀,可能上一步还在kpn,下一步发现目标进程不在了。这很影响调试,幸好有注册表设置这个超时。
发布时间:2021-12-28 10:52 | 阅读:49690 | 评论:0 | 标签:技术产品 安全技术

从供应链角度看Log4j2 0day漏洞

阅读:16Log4j2漏洞甫一爆发,便在全球掀起轩然大波,影响范围之广,危害性之大无出其右。Log4j2事件是一场典型的开源软件导致的供应链事件,上游软件提供商的漏洞殃及下游产业的产品提供者,依赖关系的错综复杂使影响范围扩大,最终遍及整个网络空间。Log4j2事件为安全厂商与网络安全从业者敲响了警钟,必须警惕开源软件的供应链中暗藏的危机,并采取有效行动。本文将从软件供应链角度审视Log4j2漏洞如何被引入,并在整个软件生命周期造成深远的影响。通过对开源组件中Log4j2二级传播的分析,我们将理清Log4j2漏洞的感染路径,并基于此思考可能的攻击场景。
发布时间:2021-12-17 18:56 | 阅读:57009 | 评论:0 | 标签:安全分享 Apache Log4j2 供应链 威胁防护 安全技术 安全漏洞 0day 漏洞 log4j

安全知识图谱 | 威胁建模助力企业“建防御 抓运营”

阅读:9本文为安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》精华解读系列第六篇——威胁建模技术,重点介绍基于知识图谱的威胁建模应用。如何做好威胁建模  如今,随着技术的变化,攻防技术不对等和攻防双方关注面不同,让企业面临的威胁复杂多样化、多元化,传统的防御手段无法抵御新兴威胁,也无法有效地应对内外风险。威胁建模需要解决的问题是应该如何构建合理的安全体系,从而降低企业资产和业务面临的风险。
发布时间:2021-12-17 10:51 | 阅读:65973 | 评论:0 | 标签:安全分享 威胁建模 安全技术 安全知识图谱 知识图谱 防御 安全

从微软符号服务器下载PE文件

阅读:12假设有_NT_SYMBOL_PATH=srvX:symhttp://msdl.microsoft.com/download/symbols在”X:sym”下发现除了PDB文件,还有些PE文件。比如:X:symntoskrnl.exe6180891781b00
发布时间:2021-12-17 10:51 | 阅读:70490 | 评论:0 | 标签:威胁通告 安全技术 微软 服务器

Log4j2 0day 攻击面分析

阅读:15一、漏洞背景Apache Log4j2  是对 Log4j 的升级,它比前身 Log4j 1.x 版本的功能更加强大,该组件被广泛用于日常的开发、测试和生产环境中,根据MVN Repository显示有接近7000的项目引用了 Log4j2。而本次漏洞造成的主要原因就是 Log4j2 提供的 ”Property Support“ 特性所造成的,利用该特性可以在打印日志的时候引用配置好的属性,并替换到日志当中,支持从配置文件、系统变量、环境变量、线程Context以及事件中存在的数据中引用所需的变量到日志中,功能十分强大。
发布时间:2021-12-17 10:51 | 阅读:76192 | 评论:0 | 标签:安全分享 Apache Log4j2 威胁防护 安全技术 安全漏洞 0day 攻击 分析 log4j

基于规则向量化的HTTP资产识别方法探索

阅读:41一、背景简介在资产探测识别当中,基于应用层协议的报文信息,利用知识规则按照特定方式对报文信息进行规则匹配来获取资产信息,是目前资产探测识别的主要手段。而基于HTTP协议层报文信息规则匹配的方法,是目前云计算、物联网、移动互联等场景下进行资产识别比较基础和常用的一种资产识别技术。从整体上来看,基于HTTP协议报文进行资产识别,主要是基于特定HTTP请求的响应报文所进行的规则匹配。按照所关注匹配的响应报文的侧重不同来讲,基于HTTP协议的资产识别方法可以进一步被分为基于头部字段顺序差异与语法差异的识别方法、基于服务标识(Banner)的识别方法,以及基于处理方式差异的识别方法等[1]。
发布时间:2021-12-14 16:13 | 阅读:52710 | 评论:0 | 标签:技术产品 HTTP 安全技术 规则向量化 资产识别

windbg禁止在ibp处设置硬件断点

阅读:9一、背景介绍在A、B两个测试环境中分别执行C:tempcdb.exe -noinh -snul -hd -o -G notepad.exe由于未指定-g,cdb断在ibp(初始化断点)。A环境中无法在ibp处ba设置硬件断点,会报错,这符合预期。
发布时间:2021-12-08 10:50 | 阅读:54300 | 评论:0 | 标签:技术产品 WinDbg 安全技术

上下文资产信息(Context Asset Data)助力OT环境的SOAR

阅读:6一、背景近些年,工业控制领域的安全问题逐渐得到大家的关注,讨论通常围绕着如何保护OT环境。虽然在某些情况下,大多数人会关注OT设备,如可编程逻辑控制器(PLC)、远程终端单元(RTU)或安全仪表系统(SIS),但了解IT和OT基础设施和系统的监控同样重要是至关重要的。由于缺乏对这些环境的可见性,因此几乎不可能知道如何保护整个OT系统。大多数OT环境的主要关注点是安全可靠地运行进程。正如过去所证明的那样,新技术的引入会直接影响这些系统的安全性和可靠性。例如,扫描软件已被证明会对PLC、SCADA系统和其他设备产生负面影响。
发布时间:2021-12-07 21:37 | 阅读:95257 | 评论:0 | 标签:安全分享 安全技术 资产

调试Windows服务

阅读:13一、调试Windows服务知识点汇总若服务源码是自己开发的,可在被调试代码逻辑中主动调用DebugBreak(),以此呼叫”Just-In-Time Debugging”;也可通过命令行参数让被调试代码逻辑以普通控制台进程方式运行,这种没法调试SCM相关的代码。一般调试Windows服务,并非服务源码可控的情形。通常分两种情况,一种是被调试代码逻辑可以在Attach之后触发,一种是被调试代码逻辑只在服务启动时触发。第一种情况和普通调试一样,第二种情况相对复杂些,要做些特别设置。以前没有过第二种需求,只知道大概思路,未实践过。
发布时间:2021-12-06 13:33 | 阅读:55214 | 评论:0 | 标签:技术产品 Windows 安全技术 windows

绕过EDR实时注入检测逻辑

介绍 今天,我想分享绕过任何基于内存分配的逻辑有多么容易。到今天,我们还将绕过线程初始化警报,这组合在一起为我们提供了MDATP和许多其他EDR无法检测到的技术。 暴露这样的检测差距非常重要,这不仅是为了迫使安全供应商改善防御,而且主要是要围绕这些解决方案的固有局限性以及内部安全研发计划的需要,或者至少使用精心设计的方法来建立意识。托管的检测服务可提供更完整的覆盖范围。 查阅我以前的有关使用内核ETW检测进程注入的文章。 T1055对比EDR 首先,让我们看一下独立评估可以告诉我们有关流程注入的信息,以及是否还有任何要绕过的内容。
发布时间:2021-05-09 01:39 | 阅读:141558 | 评论:0 | 标签:安全 安全技术 注入

Bypassing EDR real-time injection detection logic

Introduction In the previous post we discussed how solutions which use reliable, kernel-based sources for remote memory allocation events can use these to identify many of the in-the-wild injections w
发布时间:2021-05-08 23:01 | 阅读:97599 | 评论:0 | 标签:安全 安全技术

微软宣布使用Intel TDT技术检测挖矿木马

英特尔威胁检测技术(TDT)可以和安全软件共享启发式检测和遥测技术,安全软件可以使用这些书检测与恶意代码相关的行为活动。TDT技术会利用机器学习来分析CPU的性能监视单元(PMU)产生的低级硬件遥测数据,在运行时检测恶意软件执行的“指纹”。TDT技术在任何支持Intel vPro技术的第六代与后续高版本的Intel CPU中都会得到支持。 微软将将英特尔威胁检测技术(TDT)集成到Microsoft Defender for Endpoint中,该功能可以增强对加密货币矿工的检测能力。
发布时间:2021-05-01 21:51 | 阅读:145489 | 评论:0 | 标签:安全 推荐 安全技术 木马

再谈技术与管理

停笔半年,顺带着也想了不少问题,虽然大多数还没结果。那就先讲讲有结果的事情,虽然可能也挺有争议。 这半年当中,听到很多这样的言论:“安全领域,能用技术解决的,就尽量用工具或系统解决”;“三分技术、七分管理不太适用了,现在应该是七分技术、三分管理,至少也是对半开”;“你还是要钻研技术啊,这才是立家之本,最终都是需要靠技术去落地的”,促使我重新去审视技术和管理的关系。难道我以前的认知有错?技术和管理到底是什么关系?以下是我的思考所得,说的不对之处,请多多指正。 观点一、技术和管理都是为了目标服务,在这个维度看,两者是平等的。
发布时间:2021-05-01 16:34 | 阅读:101875 | 评论:0 | 标签:安全 推荐 安全技术

安全技术 | 一次众测实战sql注入绕过

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。本文由锦行科技的安全研究团队提供,旨在帮助客户理解sql注入绕过的问题。 测试背景 在一次测试过程中,发现登陆框的用户名处存在延时注入。
发布时间:2020-12-23 12:43 | 阅读:102843 | 评论:0 | 标签:ASCII码 dnslog平台 Payload sql延时注入 SQL注入 substr 安全技术 注入 SQL 安全

美团红队安全招聘人才!

美团红队安全招聘 1. 岗位要求: a. 统招本科或以上学历,至少2年以上的安全从业经验,能适应运营和运维工作; b. 具备扎实的计算机及安全技术基础(网络、系统、漏洞利用技术原理等方面); c. 具备网络攻防及应急响应的经验,具备较强的分析能力; d. 至少熟练掌握一门编程语言,并针对安全漏洞、防御绕过具备较强的exploit自制能力; e. 务实、自驱,具备良好的协调推动、沟通、团队合作能力。

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁

本页关键词 💎