记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

使用卷序列号作为加密密钥:APT恶意软件LOWKEY分析

概述在2019年8月,FireEye发布了有关最新发现的威胁组织——APT41的“Double Dragon”报告。APT41是一个与亚洲某国家联系紧密的双重间谍组织,聚焦于财务领域,该恶意组织主要针对游戏、医疗保健、高科技、高等教育、电信和旅游服务等行业。本文主要分析了我们发现的一个复杂、被动型后门,在关于APT41的报告中曾经提到,并且在最近的FireEye Cyber Defense Summit会议上与大家进行了分享。我们观察到,LOWKEY被用于一些针对性非常强的实际攻击之中,并利用仅能在特定系统上运行的Payload。文章中还使用了其他恶意软件家族名称,并进行了简要描述。有关APT41使用的恶意软件的完整概
发布时间:2019-11-13 13:10 | 阅读:5066 | 评论:0 | 标签:恶意软件 技术 加密

如何借助ViewState在ASP.NET中实现反序列化漏洞利用

概述ASP.NET Web应用程序使用ViewState来维护页面状态,并在Web表单中保留数据。ViewState参数是Base64序列化后的餐胡,通常会在POST请求中通过名为“__VIEWSTATE”的隐藏参数发送。在服务器端,将对这个参数进行反序列化,并检索数据。通常可以在Web服务器上运行可以伪造有效ViewState的代码。这一过程可以在禁用MAC验证功能或掌握以下内容的情况下进行:1、.NET Framework 4.5版本之前的验证密钥及其算法;2、.NET Framework 4.5或更高版本中的验证密钥、验证算法、解密密钥和解密算法。为了防止操纵攻击,.NET Framework可以签署并加密已经使
发布时间:2019-11-09 13:10 | 阅读:5707 | 评论:0 | 标签:业务安全 技术 漏洞利用 漏洞

Windows 安全描述符审计方法探究:审查事件日志安全性

在获得对系统的访问权限后,对于尚未提升特权的攻击者,系统会授予什么级别的访问权限呢?与其在主机上进行试验,最终被系统提示拒绝访问,并在测试过程中会产生嘈杂的日志,不如选择一个更好的策略,那就是首先了解 Windows 授予非特权用户的权限。在 Windows 中,几乎所有的访问权限都由安全描述符控制。 本文的目标就是建立一种审计方法,用于暴露由安全描述符错误配置的潜在风险。 在建立方法之后,我们将把它应用到一个实际的用例中: 在Windows 事件日志中,哪些潜在的可滥用访问权限被授予给了无特权组? 为了回答这些问题,我们应该定义如下两点:· 什么是错误配置?· 什么是“可滥用的”访问权限?在回答这
发布时间:2019-11-08 13:10 | 阅读:6593 | 评论:0 | 标签:二进制安全 技术 系统安全 windows

新型入侵技术:使用WMI编译的“.bmf”文件和CertUtil进行混淆执行

前言这篇文章主要讲述了一个有趣的入侵尝试,FireEye Managed Defense近期阻止了一项利用近期披露漏洞的快速武器化攻击,在该攻击中,攻击者创造性地使用了WMI编译的“.bmf”文件和CertUtil用于混淆执行。这一次对入侵活动的成功监测,为我们积累了许多安全方面的宝贵经验,主要包括:一些攻击者可以迅速响应,甚至比许多安全团队的响应速度还要快。在确保业务连续性的情况下,对复杂的软件环境开展漏洞修复,也许难以跟上攻击者利用漏洞的步伐,特别是当攻击者将这些漏洞与针对操作系统自身功能而创造的新型混淆方法相结合,并进行快速利用的时候,人们往往会措手不及。持续监测在我们对客户提供持续监测服务的过程中,FireEy
发布时间:2019-11-06 13:10 | 阅读:4230 | 评论:0 | 标签:技术 入侵技术

Covenant利用分析

0x00 前言Covenant是一个.NET开发的C2(command and control)框架,使用.NET Core的开发环境,不仅支持Linux,MacOS和Windows,还支持docker容器。最特别的地方是支持动态编译,能够将输入的C#代码上传至C2 Server,获得编译后的文件并使用Assembly.Load()从内存进行加载。本文仅在技术研究的角度,介绍Covenant的细节,分析特点。0x01 简介本文将要介绍以下内容:· Covenant的启动方法· Covenant的功能介绍· Covenant的优点· Covenant的检测0x02 Covenant
发布时间:2019-11-04 13:10 | 阅读:4249 | 评论:0 | 标签:技术 Covenant

利用 Ocular 工具挖掘 C & C++ 程序内存分配相关漏洞

0x01  前言C / C++主要使用 malloc,calloc,zalloc,realloc和专门版本kmalloc来进行内存分配。例如,malloc具有void *malloc(size_t size) 签名,可以从堆中申请任何数量的字节,该函数会返回一个指针。然后使用释放内存函数free()。即使在2019年,这些函数仍然是黑客进行漏洞利用的入口点。例如,最近在WhatsApp中出现的UAF漏洞,我将在后续文章中讨论。我的朋友Alexei提供了一个非常酷的基于Ghidra的脚本来发现常见的malloc漏洞。我从中得到启发,并使用名为Ocular的工具编写了一些简单的查询,该工具可以帮助更快地发现此类问
发布时间:2019-10-31 13:10 | 阅读:7533 | 评论:0 | 标签:技术 C 漏洞

挖掘 OSINT 金矿——实习生和社交媒体

话说我看到了一个绝佳的机会: 某个员工正在进入安全工作区域。 当我试图跟着他时,他转过身来,看着我问道: “我可以看看你的工牌吗? ” ,我带着自信的微笑,把手伸进钱包,掏出一个工牌给他看。 当我戴着假冒的员工工牌进入安全工作区时,他笑了笑,向我表示感谢,然后走开了。这一切都要感谢他们公司的一名实习生在社交媒体上发布的一个帖子。我是怎么走到这一步的? 让我从头说起。黑掉人类,暴露安全盲点我是 X-Force 红队的一名“专门黑人的黑客” ,这是 IBM 安全团队内部的一个由资深黑客组成的自治团队,受雇闯入各个组织,揭露犯罪分子可能为了个人利益而利用的安全风险。 我收集公司或员工无意中在网上暴露的信息,利用社会
发布时间:2019-10-29 13:10 | 阅读:6484 | 评论:0 | 标签:内网渗透 技术 系统安全 OSINT

硬件学习之通过树莓派操控 jtag

最近在搞路由器的时候,不小心把CFE给刷挂了,然后发现能通过jtag进行救砖,所以就对jtag进行了一波研究。最开始只是想救砖,并没有想深入研究的想法。救砖尝试变砖的路由器型号为:LinkSys wrt54g v8CPU 型号为:BCM5354Flash型号为:K8D6316UBM首先通过jtagulator得到了设备上jtag接口的顺序。正好公司有一个jlink,但是参试了一波失败,识别不了设备。随后通过Google搜到发现了一个工具叫: tjtag-pi可以通树莓派来控制jtag,随后学习了一波树莓派的操作。树莓派Pins我使用的是rpi3,其接口编号图如下:或者在树莓派3中可以使用gpio readal
发布时间:2019-10-25 18:10 | 阅读:9646 | 评论:0 | 标签:技术 树莓派

从内存加载.NET程序集(Assembly.Load)的利用分析

0x00 前言在之前的文章《从内存加载.NET程序集(execute-assembly)的利用分析》介绍了"execute-assembly"的实现方法和利用思路,能够从内存中加载.NET程序集。这个功能不需要向硬盘写入文件,十分隐蔽。与此相似的方法还有一个是Assembly.Load,同样能够从内存中加载.NET程序集。本文将会结合三个开源工程,介绍Assembly.Load的实现方法,分析利用思路。0x01 简介本文将要介绍以下内容:· 基础知识· SharpCradle的利用分析· SharpShell的利用分析· SharpCompile的利用分析0x02 基础
发布时间:2019-10-24 13:10 | 阅读:2911 | 评论:0 | 标签:技术

使用 Ghidra 分析 phpStudy 后门

这次事件已过去数日,该响应的也都响应了,虽然网上有很多厂商及组织发表了分析文章,但记载分析过程的不多,我只是想正儿八经用 Ghidra 从头到尾分析下。1 工具和平台主要工具:· Kali Linux· Ghidra 9.0.4· 010Editor 9.0.2样本环境:· Windows7· phpStudy 201802112 分析过程先在 Windows 7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中。根据网上公开的信息:后门存在于 php_xmlrpc.dll 文件中,里面存在“eval”关键字,文件 MD5 为
发布时间:2019-10-22 18:10 | 阅读:9241 | 评论:0 | 标签:技术 Ghidra 后门

SharpGen利用分析

0x00 前言SharpGen是我认为特别棒的一个工具,它能够用来对其他.Net程序集进行整合、重组并加密,二次编译后可生成一个全新的工具。本文将要研究SharpGen的细节,介绍调用其他开源库的详细方法,分析利用思路。参考链接:https://github.com/cobbr/SharpGenhttps://cobbr.io/SharpGen.html0x01 简介本文将要介绍以下内容:· .NET Core开发环境搭建· 功能介绍· 调用其他开源库的方法· 利用思路0x02 .NET Core开发环境搭建SharpGen使用.NET Core,优点是支持多平台(Linux,M
发布时间:2019-10-21 13:10 | 阅读:8480 | 评论:0 | 标签:技术 SharpGen

低成本无人机检测:方案研究与经验之谈

无人机(小型无人机系统 SUAS)和反无人机系统的扩散军备竞赛丝毫没有减缓的迹象。 尽管军用无人机构成了最明显的威胁,但更常见的威胁则是来自人们可以在超市里购买到的消费级无人机。背景消费级无人机经常被用于监视、走私和侵入受限制的区域。最近在叙利亚的冲突中,低成本的无人机被用来发射高精度的改装过的爆炸性有效载荷,对人们造成了可怕的心理冲击。 例如,叙利亚的一所培训学校曾大量教授了这种技能,因此必须假定修改消费者无人驾驶飞机所需的专业知识和经验对于那些需要它的人来说是可行的。使用无人机的网络随着使用无人机的网络战成为现实,网络安全和反无人机领域之间的差距正在缩小。 2011年2月,攻击者首次公开提出威胁,认为攻击者可以在不
发布时间:2019-10-21 13:10 | 阅读:9582 | 评论:0 | 标签:技术 系统安全 无人机

V8 Bug Hunting之V8引擎编译及调试环境的搭建

免责声明:这个只是我做的学习记录,内容可能有点混乱,如果你发现了错误请指出来。相关介绍到目前为止,我一直在挖掘web漏洞,但是我做的越多,我就越觉得我只是停留在表面上。我想深入挖掘软件层漏洞并深入了解二进制文件。在观察一段时间后,我认为我需要专注于某些事情。为了达到这一点,我选择了Web浏览器作为挖掘对象,或者更确切地说是选择了Javascript引擎。大约在同一时间,LiveOverflow开始发布有关该主题的精彩视频:https://www.youtube.com/watch?v=5tEdSoZ3mmE(部分0x00)https://www.youtube.com/watch?v=yJewXMwj38s(部分0x0
发布时间:2019-10-18 13:10 | 阅读:10446 | 评论:0 | 标签:技术 V8 Bug Hunting

Hidden Bee感染链分析(一):stegano

Hidden Bee与常见的工具集不同,有着复杂和多层的内部结构。在1年的发展中不断更新,近期,研究人员从一个恶意可执行文件开始分析其感染链。本文介绍从Underminer Exploit Kit开始的感染过程中使用的一个加载器。释放的payloads:概述研究人员首先是从一个flash利用中开始发现Hidden Bee的感染的。它下载和注入了2个WASM扩展的元素,实际上这是自定义格式的可执行文件模块。 WASM扩展的文件这些元素是初始的加载器,负责初始化最终安装挖矿机的感染链。在最近的攻击活动中,这些元素发生了一些变化。最近释放的元素中已经找不到WASM扩展,取而代之的是不同种类的多媒体文件,包括WAV、
发布时间:2019-10-17 13:10 | 阅读:8377 | 评论:0 | 标签:技术 Stegano

对物联网出勤设备的渗透测试总结

渗透测试在一次红队攻击测试中,我有机会对生物识别考勤设备进行了渗透测试,该设备被用来标记考勤情况并用于限制进入特定的房间。这是我正在测试的设备的照片。我发现设备已连接到了网络中,并且能够从设备的网络设置中获取其IP地址。我对设备的IP进行了端口扫描,发现远程主机上运行着telnet和Web服务。这里唯一的攻击面是攻击目标上运行的Telnet或Web服务,但是,我无法对Telnet版本进行指纹识别。通过尝试使用默认口令强行破解telnet服务,但没有任何效果。然后,我继续按照Web服务的目录进行操作。目标在端口80上运行ZK Web Server 3.0通过查看用户手册,知道了ZK Web服务3.0的运行方式,我很快发现
发布时间:2019-10-15 13:10 | 阅读:9306 | 评论:0 | 标签:技术 渗透测试

GadgetToJScript利用分析

0x00 前言GadgetToJScrip能够将.Net程序封装在js或vbs脚本中,相比于James Forshaw开源的DotNetToJScript,修改了反序列化调用链,能够绕过AMSI,添加了绕过.Net 4.8+阻止Assembly.Load的功能。本文用来记录研究细节,分析利用思路,简要修改原工程,更便于测试Payload,分享同SILENTTRINITY结合的方法。0x01 简介本文将要介绍以下内容:· GadgetToJScript的代码分析和实现逻辑· 为了便于测试Payload的修改方法· 利用分析· 同SILENTTRINITY结合的方法0x02 Gadg
发布时间:2019-10-14 13:10 | 阅读:7177 | 评论:0 | 标签:技术 GadgetToJScript

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云