记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

检测隐藏在证书文件中的恶意代码(三)

在上一篇文章中,我们解释了证书的内部结构,以及这些结构是如何帮助我们检测伪造证书的。通过开发和使用这种“非良性文件”的白名单检测方法,而不是使用“已知恶意文件”的黑名单检测方法,我们不仅能够检测到已知恶意文件,也能检测出来未知恶意文件。除了YARA规则,我们还创建了Suricata和ClamAV规则,这些规则我下面会讲到。YARA这是开始这项研究的YARA规则:rule certificate_payload{    strings:        $re1 = /---
发布时间:2018-08-09 12:20 | 阅读:16036 | 评论:0 | 标签:系统安全 恶意代码

检测隐藏在证书文件中的恶意代码(二)

在上一篇文章中,我们解释了如何构造具有精妙结构的YARA规则的检测方法,来检验证书里所含有的恶意PowerShell脚本,而AV和IDS通常无法检测到这些含有恶意代码的证书。这是因为,很多证书文件中并没有包含有效的证书,而是一个PowerShell脚本。虽然我们已经发现了各种有效载荷,但包含Windows可执行文件的伪造证书似乎是最常见的。在这篇文章中,我们将分析一个包含PowerShell脚本的证书。攻击者可以将这些包含PowerShell脚本的伪造证书文件用作各种有效载荷的容器,以避免杀毒软件,IDS等检测到有效载荷。在Windows系统上打开证书文件时,有效载荷并不会被激活,它必须由攻击者或恶意软件进行提取。还有
发布时间:2018-08-08 12:20 | 阅读:17247 | 评论:0 | 标签:系统安全 恶意代码

检测隐藏在证书文件中的恶意代码(一)

借助NVISO分析师开发的YARA工具,这是一款识别和分类恶意软件样本的开源工具,利用其精妙的匹配规则,我们发现很多证书文件中并没有包含有效的证书,而是一个PowerShell脚本。本篇文章,我们将解释如何构造精妙的YARA规则。证书Windows中的证书扩展名有好几种,比如.cer和.crt。通常而言,.cer文件是二进制数据,而.crt文件包含的是ASCII数据。但是随着微软程序和工具的不断发展,这些扩展名可以修改转换,并且程序依然能够正确处理证书文件(程序会读取文件内容并进行解析)。 出于本文目的,我们还是使用标准扩展名格式,cer文件包含二进制数据,crt文件包含ASCII数据。cer文件包含依据DE
发布时间:2018-08-07 12:20 | 阅读:16776 | 评论:0 | 标签:系统安全 恶意代码

加密货币劫持是什么鬼?

欺诈犯总能想出新招从合法网站圈钱。这场永远不会终结的欺诈与反欺诈战争中,最新的战术名为“加密货币劫持”。技术宅日渐沉迷加密货币,欺诈犯开始利用分布式账本的复杂性只是时间问题。那么,加密货币劫持是如何运作的呢?加密货币劫持到底是什么?黑客利用用户浏览器挖掘比特币之类加密货币的行为,就是加密货币劫持。加密货币运作在分布式账本基础之上,该账本记录的添加与验证需要用到计算机的计算能力。每一条加入账本的记录都会创造出更多价值。于是,想从加密货币上获取更多金钱,就得拥有更强大的计算能力。对一些加密货币狂热者而言,投入大笔金钱往仓库里堆上强大但昂贵的服务器得不偿失,不如利用众多用户的浏览器来做网络挖矿。那有什么不好的?理论上,网站可让用户选择自身设备是否用于加密货币挖矿。如果真是这样,那么加密货币劫持可被看做网站的另一个经验
发布时间:2018-01-05 15:10 | 阅读:71311 | 评论:0 | 标签:牛闻牛评 加密货币劫持 恶意代码 挖矿 加密

大量节日APP被恶意代码感染 或导致个人信息被窃取

很快又要迎来 “双旦”狂欢时间,网络跨年成了新风尚,下载安装网络上各种节日壁纸APP、跨年倒计时APP、节日主题游戏成为很多人过节的新方式。但是,这些APP可不一定都是善良的,很多不法分子会借此机会将恶意代码植入到APP之中,诱导大家下载,以窃取受害者的个人信息甚至是钱财。趋势科技提醒大家在下载APP时一定要注意APP的安全性,并安装趋势科技PC-cillin云安全软件移动安全版等移动安全软件进行甄别。由于节日气氛的推动,每年的双旦都是节日主题APP下载的高峰期,但是这也成为不法分子传播恶意APP的良机。趋势科技发现,不法分子往往会将目标选为节日期间下载量集中的APP,并将正规的APP重新打包后加入恶意代码,这样的恶意APP虽然在界面、功能上与正规的APP少有差异,很多用户便因此放松了警惕,而丝毫没有觉察到自
发布时间:2017-12-23 03:25 | 阅读:102391 | 评论:0 | 标签:厂商供稿 山寨app 恶意代码 节日

【视频】TechWorld2017热点回顾 | 边缘计算和机器学习在移动威胁对抗中的思考

阅读: 34人工智能解决问题的时候通常是去收敛、去逼近、去寻找拟合,是一个逐步强化的过程。但是对于安全来讲,它是一个发散性的问题,是不收敛的,它的目标就是要通过不收敛的方法去对抗,要绕开你。所以这点上来讲网络安全和当前的整个人工智能大方向就是完全冲突的。但是人工智能范围很大,我们还是可以在安全的整个过程当中使用这些先进的理念、方法和新的意识的东西。但是我觉得不要盲目地使用机器学习或者是这些新的算法。这里,我们需要先弄清楚为什么要用机器去学习前面的认知的过程,然后再讲讲我们怎么用,最后讲讲我们用的姿势和尝试的方法。文章目录一. (WHY)移动威胁的对抗升级PC时代的恶意代码——速度和深度的对抗移动时代的恶意代码——不一样的攻击前提移动时代的恶意代码——广度和个性化长尾上的分布和对抗策略移动威胁和攻击步骤在长尾上的
发布时间:2017-08-28 21:05 | 阅读:92394 | 评论:0 | 标签:技术前沿 TechWorld直播 绿盟 techworld视频 techworld视频 绿盟 安天 移动 恶意代码 机器

机器学习闹出笑话 VT等多家安全公司将Hello World标为恶意代码

CrowdStrike、Cylance、Endgame等安全厂商将 Hello World 标为不安全或恶意。上周,8月10号,昵称“zerosum0x0”的安全研究员在推特上贴出了一张有意思的图片,那是某程序调试版本的代码。该代码就是每个新手程序员入门必练的“Hello World”样例程序。该程序提交到VirusTotal时,多家安全公司都将它当成了问题来标记。安全媒体 Salted Hash 想知道为什么训练代码被认为是恶意的,于是邀请了各大厂商阐述个中缘由。围绕机器学习和人工智能的议论,在安全世界已经喧嚣了一年有余。利用这些技术的厂商竭尽所能地捞钱,并不断提升性能以成为市场上无可争议的王者。zerosum0x0的实验之所以会引发关注,是因为标记该端代码为恶意的厂商都是标榜采用机器学习的先进防御系统。 问
发布时间:2017-08-19 22:25 | 阅读:79072 | 评论:0 | 标签:牛闻牛评 hello world VirusTotal 恶意代码 机器学习 终端安全

警惕!两款工控系统新勒索软件

阅读: 37在对关键基础设施和SCADA/ICS的网络威胁中,一类针对工控系统的勒索软件验证模型,最近正变的流行起来。2017年2月份佐治亚理工学院电气和计算机工程学院的科学家们在有限的范围内模拟了一个概念勒索软件[1](LogicLocker),主要目的是使用勒索软件的攻击手法来攻击关键基础设施、SCADA和工业控制系统。文章目录背景摘要ClearEnergyScythe启示参考链接:声 明关于绿盟科技背景摘要今天我们要说的是此类勒索软件最新的两款:ClearEnergy。2017年4月初,CRITIFENCE发布了勒索软件验证模型:ClearEnergy(中文译名:能源清除)Scythe。4月27日,安全周(Security Week )发布了一篇文章[6],讲解了一个锁住ICS固件来勒索的软件 “Scyt
发布时间:2017-05-04 02:30 | 阅读:108820 | 评论:0 | 标签:威胁通报 ClearEnergy LogicLocker SCADA/ICS Scythe 关键基础设施 勒索软件 工控

Crane恶意代码样本技术分析与防护方案

阅读: 92016年11月出现了一个针对俄罗斯工业部门的恶意代码Crane。该Windows木马被安全公司命名为BackDoor.Crane.1。其主要功能包括获取受害者计算机内的文件列表并窃取文件;通过连接远程服务器下载并执行恶意代码;实施文件上传、配置文件更新、命令执行等操作。文章目录传播途径样本分析文件结构主要功能网络行为持续攻击的方法杀软对抗攻击定位绿盟科技TAC检测结果检测方法绿盟科技检测服务绿盟科技木马专杀解决方案总结关于绿盟科技附件下载传播途径该样本可以通过垃圾邮件、网站挂马、伪装正常软件诱导下载、即时通讯工具文件传输等多种途径传播。部分传播途径 样本分析文件结构从分析结果来看,文件可以通过下载多个恶意模块成为复合文件,目前拿到的样本为主功能执行文件,不包含其他恶意模块。具体的文件列表如

Powershell恶意代码的N种姿势

引言人在做,天在看。技术从来都是中性的,被用来行善还是作恶完全取决于运用它的人。原子能可以用来发电为大众提供清洁能源,也可以用来制造能毁灭全人类的核武器,这不是一个完善的世界,于是我们既有核电站也有了核武器。Powershell,曾经Windows系统管理员的称手工具,在恶意代码制造和传播者手里也被玩得花样百出。由于Powershell的可执行框架部分是系统的组件不可能被查杀,而驱动它的脚本是非PE的而非常难以通过静态方法判定恶意性,同时脚本可以非常小巧而在系统底层的支持下功能却可以非常强大,这使利用Powershell的恶意代码绕过常规的病毒防护对系统为所欲为。因此,360天眼实验室近期看到此类恶意代码泛滥成灾就毫不奇怪,事实上,我们甚至看到所跟踪的APT团伙也开始转向Powershel
发布时间:2016-04-11 15:56 | 阅读:70630 | 评论:0 | 标签:安全管理 数据安全 网络安全 powershell 恶意代码

将木马藏身图片之中的安卓游戏

Google Play上的60多种游戏都有类似木马的功能,可以下载和执行藏身于图片中的恶意代码。该攻击的灵感可能来源于1年前研究人员所展示的一种技术。这些恶意App是被俄罗斯反病毒厂商Doctor Web的研究人员发现的,并且在上周就已报告给了谷歌。该新威胁被命名为Android.Xiny.19.origin。恶意安卓App一直是Google Play平台上的常见现象,直到几年前谷歌开始实行更严格的检查之后才有所好转。这些检查措施中就包含了一种被称为“Bouncer(门卫)”的自动化扫描器,应用的是模拟仿真技术和基于行为的检测。绕过Bouncer的检测并非不可能,但Bouncer足以让大多数恶意软件不得其门而入。如今的绝大多数安卓木马都是通过第三方App商店发布的,目标就是那些允许安装“未知源”App的用户。A
发布时间:2016-02-03 14:15 | 阅读:50900 | 评论:0 | 标签:威胁情报 恶意代码 木马 隐写术

间谍代码植入 Juniper问题缠身

攻击者是谁?怎么进去的?主要IT厂商惨遭破坏性网络攻击的最新例子——Juniper网络设备被深植间谍代码曝光,并引发了很多问题。Juniper上周四称其一款防火墙操作系统被修改,可允许秘密访问,对使用该设备的公司和组织形成了巨大的威胁。安全专家们很好奇这些对Juniper最敏感的源代码的修改是怎么在几年前悄悄进行的。作为IT公司的核心支持产权,这些源代码可都是被公司企业积极保护的。尽管Juniper首席信息官鲍勃·沃雷尔勇敢揭示真相的做法还是广受赞誉的,人们还是希望该公司能尽快披露更多细节。周日,Juniper发言人称该公司没有更多的信息可以提供。“我觉得Juniper做的没错。”安全公司Rapid7研究总监莫尔通过电子邮件称,“我猜测该事件将引发行业内部安全审计并导致Juniper大幅修改其代码审查流程。”脸
发布时间:2015-12-22 16:50 | 阅读:35044 | 评论:0 | 标签:动态 威胁情报 Juniper 恶意代码

恶意代码清除实战

阅读: 338恶意代码清除实战 什么是恶意代码,指令集?是二进制可执行指令?还是脚本语言?字处理宏语言?其他指令集等等……以常见的类型举例,那么如果一台服务器存在恶意代码,windows系列机器的恶意代码一般指的是病毒,蠕虫,木马后门,linux系统机器恶意代码一般就是Rootkit。那么如何快速判断自己的web服务器是否存在恶意代码,是否由于web端的问题导致的内网渗透,或被植入恶意代码作为跳板机、肉鸡等;如何通过手工或者工具的方式快速清除恶意代码,加固系统加固,预防下一次入侵带来的问题。绿盟科技博客邀请安全服务团队的安全工程师从一个实战案例入手,来讲解如何手工清除恶意代码。现在已知有一台服务器表现不太正常,需要我们来排查这个服务器存在什么问题。查看系统日志 前提是该服务器的日志策略,审核策略已经开启。 

解密BadUSB:世界上最邪恶的USB外设

‍‍‍‍‍概述‍‍在2014年美国黑帽大会上,柏林SRLabs的安全研究人员JakobLell和独立安全研究人员Karsten Nohl展示了他们称为“BadUSB”(按照BadBIOS命名)的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。USB背景知识‍‍‍1. USB内部结构‍‍注:BadUSB主要依靠USB驱动器的构建方式,USB通常有一个大容量的可重写的内存芯片用于实际的数据存储,以及一个独立的控制器芯片。控制芯片实际上是一个低功耗计算机,并且与你的笔记本电脑或台式机一样,它通过从内存芯片加载基本的引导程序来启动,类似于笔记本电脑的硬盘驱动器包含一个隐藏的主引导记录(MasterBoot Record)。‍‍2. USB如
发布时间:2014-09-05 13:45 | 阅读:50246 | 评论:0 | 标签:终端安全 BadUSB 恶意代码 黑帽大会2014

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云