记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

滥用SettingContent-ms释放基于DeepLink和Icon的payload

微软的SettingContent-ms是最近的一个热点。7月的时候,研究人员就发现有垃圾邮件活动利用嵌入在PDF文件中的恶意SettingContent-ms释放远程访问木马FlawedAmmyy,主要攻击亚洲和欧洲地区的银行。概览SettingContent-ms是新添加到微软软件中的,最早是Windows 10中引入的。其中的内容是XML格式的,一般含有Windows函数的设置内容,比如更新进程、打开某文件类型的默认应用设置等。该文件最常被用做打开Windows控制面板的快捷方式。图1. SettingContent-ms文件扩展和图标 图2. SettingContent DeepLink标签的使用方
发布时间:2018-11-15 12:20 | 阅读:11734 | 评论:0 | 标签:技术 SettingContent-ms

渗透基础——使用Go语言开发socks代理工具

0x00 前言在上篇文章《渗透基础——端口转发与代理》提到了使用go语言分别实现正向和反向socks代理的方法,不仅开发效率高,而且能够很方便的实现跨平台编译。 本文将要进一步介绍Windows系统和Kali系统下使用Go语言开发的完整过程,并基于开源代码,实现一个socks正向和反向代理的工具,记录细节。0x01 简介本文将要介绍以下内容:· Windows系统下Go语言开发环境的搭建· Kali系统下Go语言开发环境的搭建· 工具代码细节· 开源完整实现代码0x02 Windows系统下Go语言开发环境的搭建测试系统: Win7x641、安装Go下载安装:https://golang.
发布时间:2018-11-14 12:20 | 阅读:12980 | 评论:0 | 标签:技术 Go语言

黑客溯源分析技术

0x00、概述现有的网络安全防御体系中,特别是威胁感知系统中,不仅要透视黑客使用哪些手段攻击你,还要知道谁在攻击你。对攻击者的溯源需要从两方面着手,第一,对黑客使用的攻击设备做准确的定位和关联分析。第二,在黑客实施攻击过程中drop的样本做相识度溯源分析。0x01、设备追踪技术1、设备指纹追踪发展历史2、目前厂商使用的比较多的设备追踪技术(1)图片渲染引擎的特征(显卡指纹)深入研究了图片渲染引擎的特征:js没办法直接获取到显卡的设置和驱动,但是通过这种方法,当不同的显卡渲染同一张图片时,因设置不同,渲染出来的图片hash也不同,用这种图片hash作为特征,其实是从侧面得到机器显卡的特征,同一台机器在不同的浏览器上用到同
发布时间:2018-11-13 12:20 | 阅读:10553 | 评论:0 | 标签:技术 溯源技术

加密货币挖矿恶意软件使用Windows installer绕过技术

加密货币挖矿恶意软件开始使用一些包括Windows installer在内的新的绕过技术。加密货币挖矿恶意软件数量不断增长的一个原因是其暴利性,另一个原因是可以在系统中不被检测到,尤其是使用了不同的混淆技术后更难检测。研究人员发现,攻击者在不断的向加密货币挖矿恶意软件中添加混淆技术来绕过AV的检测。安装器行为图1. 恶意软件感染链恶意软件以Windows installer MSI文件的形式到达受害者机器,Windows installer MSI文件是一个用于安装软件的合法应用程序。使用真实的Windows组件可以使其看着不那么可疑,而且可以绕过一些安全过滤器。研究人员分析样本的安装过程发现,恶意MSI文件会将自己安
发布时间:2018-11-13 12:20 | 阅读:8496 | 评论:0 | 标签:技术 Windows installer绕过技术 加密

渗透技巧——Junction Folders和Library Files的后门利用

0x00 前言维基解密公布的CIA Vault 7中涉及到了Windows系统中Junction Folders和Library Files的利用。地址如下:https://wikileaks.org/ciav7p1/cms/page_13763381.html https://wikileaks.org/ciav7p1/cms/page_13763373.htmlJayden Zheng对此做了分析,分享了一个Library Files的后门利用方法,并且详细介绍了如何检测Junction Folders和Library Files的恶意利用。地址如下:https://www.countercept.com
发布时间:2018-11-12 12:20 | 阅读:13348 | 评论:0 | 标签:技术 渗透技巧 后门

对FIMI A3无人机的简要逆向分析

本文是逆向消费产品新系列的开始,主要是为了增强我对产品的使用,同时也可以揭示数据泄漏和漏洞。上周有个产品引起了我的注意。小米支持的一家在深圳的公司FIMI发布了一款无人机。我一向不会购买价格便宜的无人机,因为一分钱一分货,价格便宜往往质量不怎么样。(质量差的相机,糟糕的用户体验……),但FIMI发布的这一个有点不同。这架无人机有一个“DIY”端口。这是一个UART / PWM / GPIO端口,我猜测它可能是两个电源端口。FIMI向用户展示了如何连接烟花点火器或LED,但是我的思绪却联想到了在今年的DEF CON上的这个演示。该项目是关于一架难以拦截的无人机,但演示的作者也展示了无人机的一些攻击用途。理论上,这架无人机
发布时间:2018-11-12 12:20 | 阅读:12482 | 评论:0 | 标签:技术 FIMI A3无人机

如何解决机器学习和安全运营之间的不匹配问题

作者:阿里安全钱盾反诈实验室  刘翔宇、染青阿里安全钱盾反诈实验室高级算法工程师刘翔宇在北京举行的2018 HITB安全峰会演讲随着机器学习取得了一个又一个的技术突破,越来越多的公司开始将机器学习应用于实际的安全解决方案中,比如异常检测、入侵行为检测、风险管理等。但是,这些工作主要侧重在提出新的算法或发现新的应用场景方面,忽略了机器学习的输出结果和安全运营成本之间的分歧。例如,将 1 亿个测试用例输入误报率仅为 0.1% 的模型中,仍然会产生多达 100,000 个误报。但对于安全运营人员而言,他们每天可能至多能够处理 100 个告警。除此之外,考虑到安全面临的攻击手段众多,若针对每种攻击手段单独建模,那么告
发布时间:2018-11-06 17:20 | 阅读:17741 | 评论:0 | 标签:技术 机器学习

通过自动脚本提升Windows权限

一、简介基本上,权限提升是攻击者攻陷受害者机器之后的一个阶段,他试图收集与系统相关的关键信息,如隐藏密码和弱配置服务或应用程序等。所有这些信息都有助于攻击者利用漏洞进行攻击获得更高权限的shell。二、权限提升向量以下信息被视为Windows系统的关键信息:· 操作系统版本· 安装或运行的有漏洞的软件包· 具有完全控制或修改访问权限的文件和文件夹· 映射的驱动器· 潜在的感兴趣文件· 服务路径· 网络信息(接口,arp,netstat)· 防火墙状态和规则· 运行的进程· AlwaysInstallElevated注册表项检查·&
发布时间:2018-11-06 12:20 | 阅读:16148 | 评论:0 | 标签:技术 提升Windows权限

渗透测试及漏洞挖掘技巧干货分享——客户端JavaScript静态分析

JavaScript已经成为现代Web浏览器开发中最普遍的技术之一。使用客户端JavaScript框架(如AngularJS,ReactJS和Vue.js)构建的应用程序已向前端输送了大量功能和逻辑。随着客户端功能和逻辑的增加,客户端的攻击面也在逐渐增加。作为安全测试人员,我们必须了解这些应用程序的攻击面。对我们来说,了解要查找的信息,查找的位置以及如何查找那些能导致在应用程序中发现潜在安全问题的信息都很重要。在这篇博文中,我们将介绍如何对客户端JavaScript代码进行静态分析来发现应用程序中潜在的安全问题。我们特别感兴趣的事情是通过执行静态分析发现安全问题。我们不会深入研究性能分析或功能测试。静态分析是分析代码而
发布时间:2018-11-05 12:20 | 阅读:24338 | 评论:0 | 标签:Web安全 技术 漏洞

通过DARPA的CFAR保护软件免受漏洞利用

今天,我们(Trail of Bits)将要讨论我们正在努力解决的一个问题,这个问题是DARPA网络容错攻击恢复(CFAR)计划的一个组成部分:自动保护软件免受零时差攻击、内存损坏还有许多当前未知的bug。你可能在想为什么要这么麻烦,难道不能只使用堆栈保护,CFG或CFI等漏洞利用缓解来编译代码吗?当然,这些缓解措施是很棒的,但需要源代码和对源代码修改后才能构建过程。在许多情况下,更改构建过程或更改程序源代码是不切实际的。这就是为什么我们的CFAR解决方案可以保护源在不可用/不可编辑状态下的二进制安装。CFAR看似非常直观简单。系统并行运行软件的多个版本或“变体”,并通过比较这些变体来识别某些个版本在行为上何时与其他版
发布时间:2018-11-04 12:20 | 阅读:24500 | 评论:0 | 标签:安全工具 技术 CFAR 漏洞

利用机器学习检测恶意活动

研究人员开始使用无监督机器学习算法来对大量域名信息数据集进行分析,以发现新的威胁并进行拦截。一旦恶意域名开始活跃,机器学习算法就可以快速识别出攻击活动的恶意域名。 背景比如在一类在线的恶意活动中使用了许多个域名,并持续了一段时间。这些活动一般利用像世界杯这类近期的热点事件,域名一般模仿一些合法服务或合法域名,比如c0mpany.com就是模仿合法域名company.com。2017年Equifax数据泄露后,Equifax就搭建了一个网站www.equifaxsecurity2017[.]com来帮助用户确定其是否受影响。然后恶意攻击者就注册了上百个模仿该域名的恶意域名,比如www.equifaxsecuri
发布时间:2018-11-04 12:20 | 阅读:20707 | 评论:0 | 标签:技术 机器学习

使用Empire进行黑客攻击——Empire初级指南

大家好,今天本文为大家准备的是Empire的初级指南。据官网介绍“Empire是纯PowerShell后渗透利用代理”,建立在加密的安全通信和灵活的架构之上。Empire—PowerShell后渗透利用代理Empire实现了无需powershell.exe就可以运行powershell代理的能力,可快速部署后渗透利用模块,从键盘记录器到mimikatz,还有自适应良好的通信机制来绕过网络监测,这些功能都集成在注重实用性的框架上。本教程中,我们会讲解该软件所有你需要了解的知识点,从安装到getshell,甚至是在av毫无察觉的情况下获取admin访问权限。在开始之前,你需要了解下面这4个概念。· Listener:·&n
发布时间:2018-10-29 12:20 | 阅读:18067 | 评论:0 | 标签:技术 Empire Powershell

在Android APK中嵌入Meterpreter

当今世界,移动电话无处不在。我们日常生活中的许多应用程序正在迁移到云部署,从而使前端技术重新回到瘦客户端的时代。我们的瘦客户端可以是任何东西,从JavaScript浏览器框架到支持移动设备的前端,例如Apple iOS上的Objective-C,或基于Android的Java。Apple继续维持范例,审查所有进入iOS应用程序商店的应用程序。即便如此,仍然存在恶意软件蔓延的情况。与Apple不同,Android市场是一种开放的方式,允许任何人为游戏商店做出贡献,而且占据了移动市场份额的大部分江山。此外,还有各种第三方网站可以直接下载Android应用程序包文件(APK)。Metasploit项目允许测试人员使用功能非常
发布时间:2018-10-29 12:20 | 阅读:31087 | 评论:0 | 标签:技术 Android APK Android

Rubeus酷炫的新功能

Rubeus是具备@gentilkiwi的Kekeo工具集部分功能的C#版本,1.1.0版本中已经有了一些新的更新,1.2.0版本中又有了另一个新功能。本文将介绍其主要的新功能以及其他一些更改,并深入探讨酷炫的新功能——基于密码更改的假代理TGT和Kerberos。我想强调@gentilkiwi是这些技术的创始人,而本项目只是他工作的重新实现。我将重新实现Kekeo的部分功能。并且会尽力解释tgt :: deleg / tgtdeleg和misc :: changepw / changepw函数(Kekeo和Rubeus)的内幕,以便每个人都了解Benjamin所实现的内容。首先来看一些背景知识,这有助于澄清一些事情。
发布时间:2018-10-25 12:20 | 阅读:25579 | 评论:0 | 标签:技术 Rubeus

公有云DNS隐藏隧道通讯检测实践

0x00、业务需求伴随着公有云大规模在现代商业数字化转型中的应用,上云后针对于底层的数据无法获取,导致传统安全策略无法部署等云安全问题一直困扰的CSO们,从公有云云安全责任共担模型上看,这就需要公有云提供更强有力的底层安全检测能力。当我们已经把传统的网络入侵检测引擎、威胁情报以及动态行为检测都部署上的时候,我们发现还是有很多云主机中招,而且在持续的泄密,那么,经过hunting Team分析后,我们发现80%高级的入侵手段是通过隐藏隧道方式。而这里使用最多的就是DNS隐藏隧道。0x01、DNS隐藏隧道的前世今生1.DNS协议介绍大家可以上图流程,了解一下DNS请求的流程。当然也可以知道搭建DNS隧道服务器的物理位置。您
发布时间:2018-10-23 12:20 | 阅读:24536 | 评论:0 | 标签:技术

魔高一尺:URSNIF恶意软件新变种通过回复邮件实现传播

一、概述大多数网络钓鱼活动,其本质非常简单,并且易于发现。攻击者往往会发送一些看似合法的电子邮件,并在其文本中嵌入恶意链接,或在邮件中添加恶意附件。然而,我们在今年9月监测到的恶意邮件活动却表明,攻击者正在采取更为复杂的网络钓鱼形式。该恶意活动会盗取电子邮件账户,并对邮箱中已有的邮件内容进行回复,在回复的内容中附带恶意软件。对已有邮件的回复,实际上是连续通信中的一部分,因此这种特殊的钓鱼方式难以被用户发现,也难以检测。通常,受害者都没有意识到他们正在遭受钓鱼邮件的威胁。这些攻击与今年早些时候Talos发现的URSNIF/GOZI恶意邮件活动非常相似,该恶意活动使用暗云僵尸网络中部分被劫持的计算机向已有邮件发送回信,很可
发布时间:2018-10-23 12:20 | 阅读:28715 | 评论:0 | 标签:技术 恶意软件

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云