记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

用于异常检测的几种图划分算法

在安全领域,“图分析”广泛应用在账户交易异常、不同事件关联等各种场景下。与其他机器学习算法类比较, 其特有的优点在于分析方法符合人的思维方式,分析过程能直观地可视化。举例来说,下图是把瀚思某客户企业中几类安全事件 : 登陆、使用USB盘、检测到病毒、机器IP、 用户使用机器 - 综合到一起做关联分析。图中“边”代表发生过事件;点(机器、用户、IP、病毒、USB盘五类之一) 的大小代表事件多少。一张图上我们可以快速定位爆发次数最多的病毒、哪些用户违规使用同台机器、哪些机器使用过同一个USB盘。下图是另一类例子,瀚思帮银行客户做的交易异常分析:点大小与出度成正比, 颜色随着入度大小按蓝色⇒白色⇒红色方向变化。用金融术语来说:出度过大的叫火山,入度过大的叫黑洞。这类情况往往和诈骗洗钱相关。但是,图一旦变大,分析过程会
发布时间:2015-11-20 00:55 | 阅读:121258 | 评论:0 | 标签:安全警报 牛工具 瀚思科技 算法

国产苹果恶意软件XcodeGhost阴魂不散,新变种感染大量欧美企业

自由邦是苹果App Store中发现的第一例被XcodeGhost变种感染的应用 安全公司FireEye近日的调查显示,一个月前震惊中外,危及全球iPhone用户隐私和数据安全的苹果恶意开发软件XcodeGhost并未偃旗息鼓,相反出现了更加高级和隐蔽的新变种。FireEye的最新调查主要有三点发现:1.XcodeGhost已经感染了大量美国用户(企业)2.XcodeGhost的命令控制服务器依然有漏洞可被利用,僵尸网络也处于活跃状态3.出现了新变种XcodeGhost S,可适应iOS9,并可躲避静态安全检查工具在最XcodeGhost持续追踪监测四周后,FireEye的安全研究人员观察到210家企业的内部网络中有人员运行被XcodeGhost感染的应用,并向XcodeGhost命令控制服务器发起超
发布时间:2015-11-05 18:10 | 阅读:79330 | 评论:0 | 标签:动态 安全警报 XcodeGhost XcodeGhost S 移动安全

新鲜出炉:Xcode木马样本分析及被挂马的红包插件

一,受影响app通过我们对app安装包的扫描,发现包括国内知名app在内的多款应用程序版本受影响,具体版本如下:微信 -6.2.5 滴滴出行 – 4.0.0 滴滴打车 – 3.9.7 联通手机营业厅 – 3.2 高德地图 – 7.3.8.2037 铁路12306 – 2.1 同花顺 – 9.26.03 同花顺- 9.26.01 自由之战 – 1.0.9 我叫MT – 4.6.2 我叫MT 2 – 1.8.5 电话归属地助手 – 3.6.3 夫妻床头话 – 2.0.1 穷游 – 6.4.1 网易云音乐 – 2.8.3 简书 – 2.9
发布时间:2015-09-19 07:50 | 阅读:94476 | 评论:0 | 标签:动态 安全警报 挂马

PortMapper被滥用进行大规模DDoS攻击

又一种DDoS攻击,服务器管理员需要做更多工作。2012年,网络罪犯们想出了如何滥用DNS来进行大规模DDoS反射攻击,我们可以将其理解为利用非常少的输入创造大量流量。2013年,他们转而利用网络时间协议(Network Time Protocol,NTP)和简单网络管理协议(Simple Network Management Protocol,SNMP),其次不久则使用了简单服务发现协议(Simple Service Discovery Protocol,SSDP)。发现规律了没?DDoS攻击涌入那些配置失当的服务器,情景十分壮观,也让人担忧。管理员赶忙修复漏洞,但网络犯罪分子每次都会从某个新的协议或服务上发现可趁之机,让过程重演。DDoS攻击防御公司现在会定期警告所有使用普遍、但很少被管理员考虑到的协议。如
发布时间:2015-08-29 12:50 | 阅读:83865 | 评论:0 | 标签:动态 安全警报 DDoS level 3 PortMapper ddos

DEFCON 23:通用汽车ONStar手机应用被黑客破解,可远程发动引擎打开车门

继菲亚特克莱斯勒因为黑客攻击漏洞而紧急召回140万辆汽车后,通用汽车的汽车联网娱乐系统也被黑客攻破。安全研究人员近日警告部分通用汽车车主不要下载使用OnStar汽车通讯系统的手机客户端应用。根据本周四白帽子黑客Samy Kamkar在网上发布的一段视频,Kamkar已经找到办法来拦截RemoteLink手机应用与安装了OnStar系统的汽车之间的通讯,不但能定位、解锁还能远程启动汽车。Kamkar计划在8月初拉斯维加斯的DEFCON黑客大会上公布破解的技术细节,安全牛记者届时将从现场为大家发回更多相关报道。通用汽车发言人Terrence Rhadigan在接受路透社采访时透露公司将在数天内紧急修补RemoteLink应用的漏洞。通用汽车OnStar系统爆出的安全漏洞还引起了美国国家公路交通安全管理局的重视,在约
发布时间:2015-08-01 14:30 | 阅读:90799 | 评论:0 | 标签:DEF CON 23 安全警报 Defcon 汽车网络安全 通用汽车

又一零日漏洞被APT28利用攻击各国政府及军方机构

一个以政府、军方和媒体机构为目标的网络间谍组织,使用了甲骨文一个没有补丁的Java漏洞发动攻击。  这个零日漏洞的利用程序最近被趋势科技的研究人员发现,该程序用来攻击北约一个成员国的军队和美国国防机构。这个名为APT28或 Pawn Storm的网络间谍组织,至少从2007年起就开始活动。一些安全厂商认为,这个组织是由俄罗斯操纵的,并与该国的情报机关有联系。该组织以欧洲、亚洲和中东地区的政府、北约成员国、国防承包商及媒体机构为目标,这些受攻击的目标均收到了鱼叉式钓鱼邮件,其中包含指向这个零日漏洞的恶意链接。 最新发现的利用程序感染Java运行时间环境最新的版本Java 8,该版本于今年4月发布。令人奇怪的是,此利用程序并不感染之前的版本Java 7和Java 6,而这两个版本已经不
发布时间:2015-07-15 16:10 | 阅读:86039 | 评论:0 | 标签:动态 安全警报 apt28 Java 8 Pawn Storm 零日漏洞 漏洞

即使换硬盘也无法删除Hacking Team的远程控制软件

Hacking Team的远程控制软件,结合了UEFI(统一可扩展固件接口),能在主板BIOS中隐藏自身,别说重装系统,就算是换硬盘都无济于事。  趋势科技的研究人员发现,虽然Hacking Team的远程控制系统(RCS)主要针对的是Insyde的主板BIOS,但AMI的主板BIOS也可能受到影响。 网上泄露出来的400G文档中包含了恶意软件源代码、客户列表、漏洞利用程序、零日漏洞等信息,趋势人员正是从中分析到了这个超级RCS。Hacking Team的一份PPT文档显示,安装这个UEFI工具需要物理接触目标计算机,攻击者需要重启系统进入UEFI的shell,提取固件信息,把工具写入dump出的镜像并刷回BIOS,然后重新引导目标系统。趋势研究人员表示,远程安装的可能性也不能排除
发布时间:2015-07-15 16:10 | 阅读:100460 | 评论:0 | 标签:安全警报 牛工具 BIOS攻击 Hacking Team

黑客公司“军火库”被劫 阿里云已着手防范

意大利黑客公司Hacking Team被黑客攻击引发了系列问题。由于泄露的400G内部数据包含了多个0Day漏洞,可被黑客们利用于攻击。对此,阿里云表示安全团队已经着手研究上述漏洞,并在借由云盾安骑士进行防御查杀恶意文件,目前阿里云平台及客户不受影响。黑客公司通常储备了大量的未公开的漏洞,这也被称之为0Day漏洞。而随着该公司被攻击,这一堪称“军火库”的漏洞散落民间。 从目前公布的信息来看,暴露的Hacking Team文件中包含了至少2个0day,一个是flash bytearray uaf漏洞,另一个是windows内核字体提权漏洞,是否还有其他的0day尚不得知。以flash 0day为例,可以对IE、Chrome、Office系列进行触发利用,由于Flash漏洞的利用天然优势性,导致可以直接B
发布时间:2015-07-09 00:40 | 阅读:96725 | 评论:0 | 标签:动态 安全警报 0day漏洞 Hacking Team 阿里云盾

超级安卓漏洞 “寄生兽”影响数千万手机应用

一个被研究人员命名为“寄生兽”的安全漏洞影响市面上数以千万的APP,包括互联网巨头BAT等厂商的众多流行移动产品。利用该漏洞,攻击者可以直接在用户手机中植入木马,盗取用户的短信照片等个人隐私,盗取银行、支付宝等账号密码等。发现该漏洞的360手机安全研究团队VulpeckerTeam向安全牛表示,寄生兽属于APK缓存代码劫持漏洞,他们已经向补天漏洞响应平台提交了这个漏洞。目前补天已经将相关详情通知给各大厂商的安全响应中心(src),请各厂商及时自查和修复。漏洞原理由于安卓应用的升级都需要重新安装程序,为了避免频繁升级给用户体验和开发都带来了不便,所以现在市面上的app大都使用插件机制来做到无缝升级和扩展功能,APP只需要引入相应的插件文件即可完成升级。但这种做法却隐藏了不为人知的安全隐患。VulpeckerTea
发布时间:2015-07-01 04:10 | 阅读:94225 | 评论:0 | 标签:动态 安全警报 360 apk代码缓存 寄生兽 漏洞

Stegoloader--可隐藏在PNG图片直接进驻内存的木马

一种最早出现在2012年名叫Stegoloader的木马,在最近几个月里死灰复燃,主要以美国的医疗组织为攻击目标。这是一种将恶意代码隐藏在PNG图片文件内部的计算机木马,使用数字隐写技术绕过计算机和网络防御系统。据戴尔安全工作室(Dell SecureWorks)最近的一份报告显示,尽管该木马主要是用来从被感染的系统中窃取文件、信息和密码,但却包含着能够进行功能扩展的扩展模块。在Stegoloader感染过程中,临时部署组件会从互联网上下载一个功能性的PNG文件。在PNG文件的像素内部,隐藏着少量可以提取出来用于重建木马主模块的加密代码。PNG图像和木马主模块都不会保存在磁盘上,整个过程只是在计算机的内存中进行,木马也是直接加载到内存中。近几年来,包括网络间谍组织在内的恶意软件作者越来越多地开始使用无文件组件技
发布时间:2015-06-29 23:05 | 阅读:86060 | 评论:0 | 标签:安全警报 牛工具 "密写“技术 Stegoloader

如何利用一个面包偷取计算机密钥(附:边信道攻击大全)

以色列的安全研究人员声称,他们研制出一个快速且低成本的盗取计算机密钥的方法,使用一个圆面包即可。这种方法基于计算机在运行时发出的电磁信号,通过对电磁信号的分析可以推断出计算机使用者的击键、运行的应用程序,或者是加密文件或电子邮件的密钥。这种攻击方法通常被称为“边信道”。研究人员已经证实可以从运行GnuPG 1.x的笔记本电脑上捕获密钥,GnuPG是一种开源的加密程序,使用RSA和ElGamal加密算法。研究人员表示已经通知了相关厂商。能够收集计算机发出的电磁信号的设备可以藏进一个圆面包里,收集范围可达50米。研究人员把这个收集设备戏称为“皮塔饼”(PITA,一种可撕开填馅的圆面包)。它包括一个非屏蔽铜环天线、一个拾取1.7赫兹的电容,这个频段泄露了密钥信息。收集到的信号储存在一个microSD卡中,然后通过分析
发布时间:2015-06-23 22:05 | 阅读:130343 | 评论:0 | 标签:动态 安全警报 密钥 电磁信号 边信道

苹果XARA漏洞 90%官方APP可泄露敏感信息

尽管安全研究人员在九个月之前就警告了苹果的零日漏洞,但iPhone手机和Mac电脑至今还存在这些严重的漏洞。美国两所大学和中国北京大学在他们的联合发表的论文中表示,在iOS和Mac OS X中存在的漏洞可以被利用来盗取密码。研究人员先把恶意软件上传到苹果商店公开发售,苹果的扫描机制不会发出警报并阻止。这些恶意应用能够盗取并发送设备中的各种密码,包括iCloud,邮件以及存在谷歌Chrome中的所有密码。“OS X中的应用沙箱设计是有漏洞的,它把应用本身的目录暴露给被沙盒过的恶意软件,而这个恶意软件劫持了苹果Bundle ID。因此,像Evernote中的笔记、联系人以及微信中的照片等敏感用户数据,就都被暴露给恶意程序了。从根本上来说,这些问题是缺乏应用到应用,应用到操作系统的认证造成的。”“每一个安卓应用都被赋
发布时间:2015-06-19 16:30 | 阅读:120568 | 评论:0 | 标签:动态 安全警报 漏洞

在线密码管理器LastPass被黑

在线密码管理器LastPass公司在上周五公布了其网络被黑事件,LastPass用户将会看到建议修改主密码的弹出框。经过深入调查公司安全团队检测到的“可疑活动”,LastPass公司在周一发布的一篇博客帖子中透露了此次遭受攻击事件。调查并未发现有任何迹象显示攻击者盗取了用户密码库中的加密数据,LastPass用户账户也并未被侵入者染指。即便如此,攻击者依然偷取了账户电子邮件地址、密码提示信息、用户服务器salt值和身份认真散列值。后两种信息使得攻击者有可能破解出任何弱口令的主密码,尽管LastPass公司首席执行官乔·西格里斯特说LastPass的保护措施(包括在服务器端实施了10万次PBKDF2-SHA256循环)足以“挫败任何高性能计算机对被盗散列值的破解。”西格里斯特在对本次入侵事件的解释中说道:“我们相
发布时间:2015-06-17 06:30 | 阅读:88847 | 评论:0 | 标签:动态 安全警报 lastpass 密码管理器

主板固件漏洞被企业忽略 成攻击者天堂

一篇新的研究论文表示,由于对计算机BIOS(基本输入输出系统)和UEFI(统一可扩展固件接口)固件漏洞打补丁的忽略,数以千万计的企业处于危险之中。BIOS和UEFI中的代码大量的复用,这意味着感染BIOS是非常可行的,并且能够自动化。对计算机主板固件的利用,在攻击者眼中是一个天堂。它可以在计算机启动时安装恶意软件,而且无影无形,哪怕你无数次重装系统也无济于事。这种情况的出现主要照片于大多数企业或机构对BIOS相关漏洞打补丁的漠视,为了提醒业界,论文的作者,研究人员科华与凯伦伯格还提供了POC(概念性验证)代码。(回复“bios”获得论文下载地址)“我们希望唤起对这些问题的关注,至少可以让机构采取最低的措施把厂商已经做好的补丁打上。”研究人员还表示,用户应该对那些漠视给固件打补丁的供应商施加压力。科华和凯伦伯格还
发布时间:2015-06-16 01:30 | 阅读:86573 | 评论:0 | 标签:动态 安全警报 BIOS 固件漏洞 漏洞

无线广播可以毁灭物联网安全:信号干扰器及犯罪

我们已经听过了很多关于物联网的说法,在物联网中,各种物理设备也会深度接入互联网。不过,在这些设备接入互联网的同时,它们之间也会互相建立基于不同广播频率的深度连接。这些无线广播频率(RF)通常使用专有或不安全的协议,而进行入侵往往不需要拦截信号,阻止信号的传播即可。英国曼彻斯特最近发生的一起事件说明了我们对RF通信的依赖是多么不可靠。在这起事件中,小偷使用了一个简单的车锁干扰器,本意是开锁偷车,但却导致了整个停车场的混乱,没有人能无线锁上、解锁车,这一过程还触发了几次警报。北美的车锁运行在315MHz频段,在欧洲和亚洲的车锁则是433MHz频段。尽管信号干扰器在大多数国家中都属于非法设备,仍有很多地方会售卖能够干扰这两种频率的设备,价格根据设备的制作质量和影响范围,大约在50至200美元之间。车锁干扰器双频车锁干
发布时间:2015-06-13 00:55 | 阅读:96351 | 评论:0 | 标签:安全警报 牛工具 RF广播 无线干扰 硬件设备

都什么年代了 看个视频还会中毒?

Adobe Flash恶意软件攻击一如继往的呈上升趋势,报告显示今年第一季度利用没打补丁的Flash漏洞的恶意软件激增了317%。迈克菲实验室将其归为如下几个因素:· 该技术应用的普遍性· 用户打补丁的延迟性· 漏洞利用新方法的出现· 移动设备对Flash文件兼容性的增加· 某些漏洞难以检测 像Flash这种在全球广泛应用的产品,任何问题和漏洞都会威胁到亿万用户。两天前,Adobe初步修复了42个提交到漏洞库的新鲜Flash漏洞。这些漏洞被CTB-Locker、Teslacrypt、CryptoWall、TorrentLocker、BandarChor、Angler等恶意软件大量利用。其中最为值得关注的是CTB-Locker,它使用高级逃逸技术以躲避安全软件的检测,并且使用高质量的钓鱼邮件诱使用户点击
发布时间:2015-06-13 00:55 | 阅读:103075 | 评论:0 | 标签:动态 安全警报 Flash漏洞 补丁

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云