记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

解密在Emotet、Qbot和Dridex中使用的加密器

加密器是一类软件,可以加密、混淆和操纵恶意软件,使其更难以被安全程序检测到。Zscaler ThreatLabZ研究小组发现,Emotet、Qbot和Dridex在近期活动中都使用了一种常见的加密器,该加密器也同样能在一些Ursnif和BitPaymer的活动中检测到。Emotet和Dridex能够存活如此之久的原因之一,就是它们会通过使用各式各样的加密器来逃避检测,加密器会将原始二进制文件封装在内部,使对其的检测和分析变得更为复杂。Emotet是一种模块化恶意软件,主要功能是作为银行木马的下载器或dropper。在过去的四年里Emotet一直很活跃,它也是去年最流行的恶意软件系列之一。Dridex是一种源自Zeus
发布时间:2019-03-21 12:20 | 阅读:8478 | 评论:0 | 标签:技术 Emotet加密器 加密

模拟可信目录的利用技巧扩展

0x00 前言在上篇文章《通过模拟可信目录绕过UAC的利用分析》对通过模拟可信目录绕过UAC的方法进行了分析,本文将结合自己的经验,继续介绍模拟可信目录的另外三种利用技巧,最后给出防御建议。0x01 简介本文将要介绍以下内容:· 利用模拟可信目录绕过Autoruns· 利用模拟可信目录欺骗ShimCache· 利用模拟可信目录伪造正常的UAC弹框0x02 利用模拟可信目录绕过Autoruns绕过原理:Autoruns默认不显示带有微软签名的文件,如果文件包含微软签名,默认不会显示在Autoruns面板。在Windows系统的启动位置写入模拟可信目录下的文件,由于被识别为正常带有微软签名的文件,默认将
发布时间:2019-03-20 00:20 | 阅读:14483 | 评论:0 | 标签:技术 模拟可信目录

如何通过监视器像素颜色值传输数据

假设要将数据从一台计算机传输到另一台计算机。如果使用公共电子邮件服务、FTP或任何其他协议,很容易被诸如DLP(数据丢失防护)之类的软件捕获。因此,可以通过监视器像素颜色值(监视器屏幕作为转换通道)对数据进行传输。数据传输场景:攻击者拥有一台位于印度的Windows 10计算机以及另一台位于美国的运行VMware控制台或VNC的Windows 10计算机。现在假设印度希望向美国发送数据。显示协议(如RDP)被阻止,因此无法传输文件。我们可以使用屏幕接口作为通道进行数据传输。在这(HERE)下载PTP RAT。PTP-RAT是一个概念验证工具,用于在屏幕界面上传输数据,它使用像素颜色值对数据进行编码,并闪烁远程屏幕以发送
发布时间:2019-03-18 12:20 | 阅读:19511 | 评论:0 | 标签:技术

如何应对固态硬盘的突然死机?

在前一篇文章《开启Trim功能后,如何使用工厂访问模式对固态硬盘驱动器进行映像》一文中,我们提到了固态硬盘驱动器的可靠性一面。不过凡事都有两面性,你可能知道,固态硬盘用固态电子存储芯片阵列而制成的硬盘,由控制单元和存储单元(FLASH芯片、DRAM芯片)组成。固态硬盘在接口的规范和定义、功能及使用方法上与普通硬盘的完全相同,在产品外形和尺寸上也完全与普通硬盘一致。被广泛应用于军事、车载、工控、视频监控、网络监控、网络终端、电力、医疗、航空、导航设备等诸多领域。NAND闪存可以支持有限数量的写入操作。当今的消费类固态硬盘驱动器的制造商通常会在保修期结束前保证大约150到1200个写入周期。根据这些事实,我们可以得出这样的
发布时间:2019-03-15 12:20 | 阅读:23324 | 评论:0 | 标签:技术 固态硬盘

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

概述腾讯御见威胁情报中心检测到,不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,包含“Min,Gap Ryong”及其他假冒的发件人约70余个,邮件附件名为“03-11-19.rar"。GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,该病毒在过去一年时间经过5次大版本更新,腾讯威胁情报中心曾多次发布预警,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20
发布时间:2019-03-14 17:20 | 阅读:27469 | 评论:0 | 标签:技术 公安机关 勒索病毒 鱼叉邮件

结合NTLM中继和Kerberos委派实现域成员机器的提权

在上个月发表文章中,我们详细介绍了无约束委派方面的安全问题;在本文中,我们将讨论另一种类型的Kerberos委派:基于资源的约束委派。需要说明的是,本文的内容以Elad Shamir发表的关于Kerberos的相关研究为基础,并结合了我们自己的NTLM研究,提出了一种新型的攻击技术:如果我们与攻击对象位于同一网段中,无需任何凭据,就可以在活动目录中的任意Windows计算机上以SYSTEM权限执行代码。实际上,这只是滥用活动目录不安全的默认配置的另一个示例,并没有利用任何新型的漏洞。攻击过程概述如果攻击者位于本地网络中,无论是物理上还是通过受感染的工作站连接至本地网络,只要网络中尚未使用IPv6协议,他们就可以利用mi
发布时间:2019-03-14 12:20 | 阅读:13303 | 评论:0 | 标签:技术 NTLM中继 提权

通过模拟可信目录绕过UAC的利用分析

0x00 前言从@CE2Wells的博客学到的一个技巧,通过模拟可信目录能够绕过UAC,本文将对结合自己的经验对这个方法进行介绍,添加自己的理解,分享测试中的细节。文章地址:https://medium.com/tenable-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e0x01 简介· 原理介绍· 实现细节· 实际测试· 利用分析0x02 原理介绍1、Long UNC在之前的文章《Catalog签名伪造——Long UNC文件名欺骗》曾介绍过exe文件使用Long UNC后能够欺骗系统,将其识别为另一个文件。
发布时间:2019-03-13 12:20 | 阅读:13245 | 评论:0 | 标签:技术 UAC

软件供应链安全威胁:从“奥创纪元”到“无限战争”

在2018年5月到12月,伴随着阿里安全主办的软件供应链安全大赛,我们自身在设计、引导比赛的形式规则的同时,也在做着反思和探究,直接研判诸多方面潜在风险,以及透过业界三方的出题和解题案例分享,展示了行业内一线玩家对问题、解决方案实体化的思路(参见:篇1、篇2、篇3、篇4、篇5。另外,根据近期的一些历史事件,也做了一些深挖和联想,考虑恶意的上游开发者,如何巧妙(或者说,处心积虑)地将问题引入,并在当前的软件供应链生态体系中,造成远比表面上看起来要深远得多的影响(参见:《深挖CVE-2018-10933(libssh服务端校验绕过)兼谈软件供应链真实威胁》)。以上这些,抛开体系化的设想,只看案例,可能会得到这样的印象:这种
发布时间:2019-03-12 17:20 | 阅读:19332 | 评论:0 | 标签:Web安全 业务安全 安全工具 技术 供应链安全

浅谈RSA公钥非素数问题

前言最近刷题,遇到2道公钥不互素的题目,这里简单记录一下解决方案,主要还是灵活掌握公式推导。例题1题干如下:e = 12p = 58380004430307803367806996460773123603790305789098384488952056206615768274527q = 81859526975720060649380098193671612801200505029127076539457680155487669622867ciphertext = 20608721532369020246787892668194449176
发布时间:2019-03-12 12:20 | 阅读:13897 | 评论:0 | 标签:技术 CTF

通过libFuzzer实现结构敏感型的模糊测试技术(下)

(接上文)针对状态API的模糊测试到目前为止,我们已经讨论了针对使用单个结构化输入的API的模糊测试方法。不过,有些API可能与前面介绍的API差距甚大。例如,有些API不会直接使用数据,相反,它们是由许多函数组成的,并且仅在API处于特定状态时,这些函数才起作用。这种有状态API对于网络软件来说是非常常见的。对于这种API来说,使用protobuf进行模糊测试也很有效。这时,我们只需定义一个描述API调用序列(或跟踪)的protobuf消息,并实现一个函数来执行跟踪。示例:gRPC API Fuzzer虽然gRPC的API Fuzzer并没有使用libFuzzer的自定义mutator或protobuf,但是,它仍然
发布时间:2019-03-11 12:20 | 阅读:16868 | 评论:0 | 标签:技术 libFuzzer

提升树莓派3性能的办法

超频也被认为是DIY玩家技术水平的体现,同时也是DIY厂商研发功底的衡量指标。那对于树莓派,我们应如何超频该设备呢?这就得看具体的设备了,目前市场比较流行的是树莓派3和树莓派2两个型号。由于树莓派3的各方面性能都优于树莓派2,所以我选择详细说说树莓派3。不过由于两个型号的基本技术特性类似,所以在树莓派3的超频技术也适用于树莓派2,但超频的效果就要大打折扣了。简而言之,超频是通过调整多个设备参数来提升树莓派硬件性能的方法。为此,需要额外的硬件和特殊的操作技能。用树莓派能做什么?就像其他任何一台运行Linux系统的台式计算机或者便携式计算机那样,利用Raspberry Pi可以做很多事情。当然,也难免有一点点不同。普通的计
发布时间:2019-03-09 12:20 | 阅读:20841 | 评论:0 | 标签:技术 树莓派

恶意软件如何将External C2和IE COM对象用于命令和控制

背景在Cobalt Strike 3.6中,引入了一项名为External C2(外部C&C)的强大功能,为自定义命令和控制(C&C)通道提供了一个有用的接口。作为一个擅长于利用自定义C&C通道的红方队员,我立即着手探索External C2。在这篇文章中,我将简要介绍External C2规范、IE COM对象,以及它们如何用于命令和控制,最后将介绍如何实际使用。External C2概述如前所述,External C2允许第三方程序作为Cobalt Strike与其信标植入之间的通信信道。External C2共包含如下组件:1、External C2服务器:Cobalt Strike团队服
发布时间:2019-03-08 12:20 | 阅读:23122 | 评论:0 | 标签:技术 恶意软件

渗透技巧——Windows command line process auditing的绕过

0x00 前言command line process auditing是Windows的一项功能,开启该功能后,ID为4688的日志将会记录进程创建时的命令行参数。本文将要介绍通过修改进程参数绕过日志记录的方法,测试开源工具SwampThing,分享实现SwampThing的C语言代码,分析利用思路,给出防御建议。SwampThing的地址:https://github.com/FuzzySecurity/Sharp-Suite/blob/master/SwampThing0x01 简介本文将要介绍以下内容:· 实现原理· 开启command line process auditing的方法· 测
发布时间:2019-03-07 12:20 | 阅读:22026 | 评论:0 | 标签:技术 渗透技巧

更难以检测的逃避机制——Gootkit银行木马新变体分析

为了揭开恶意软件的神秘面纱、让每个人都能更好的了解日常网络威胁,网络安全公司certego决定做一档名为Malware tales的专栏,作为该档专栏开篇文章的介绍对象——Gootkit,certego将对其最近出现的新变体、从代码级别做深入分析。简介:1、威胁2、payload交付3、Gootkit可执行文件4、第一阶段:加壳的Gootkit5、第二阶段:站稳脚跟6、第三阶段:检入阶段7、最后阶段8、额外发现9、总结威胁自2014年夏天问世以来,GootKit木马就被人们广泛认为是现今活跃的最复杂的银行木马之一,它的目标是窃取受害者的可用信息,通过劫持银行账户来执行交易,主要在意大利及欧洲其他地区活动。关于GootK
发布时间:2019-03-07 12:20 | 阅读:19594 | 评论:0 | 标签:Web安全 技术 Gootkit

Node.js原型污染攻击的分析与利用

概述原型污染攻击,顾名思义,就是污染基础对象的原型,有时将会导致远程代码执行。原型污染攻击实际上是由Olivier Arteau完成的一项精彩的研究,他在NorthSec 2018会议中发表了一次演讲。接下来,让我们以Nullcon HackIm 2019 CTF竞赛中“Proton”挑战为例,深入了解这一攻击方式。JavaScript中的对象JavaScript中的对象只是一组键值对,其中每一对都被称为属性(Property)。我们举一个例子来说明,各位读者也可以使用浏览器控制台来自行尝试执行):var obj = {    "name&
发布时间:2019-03-05 12:20 | 阅读:28502 | 评论:0 | 标签:技术 Node.js

对一款窃取Android短信的恶意软件的详细分析

窃取Android短信的恶意软件本文将要分析的恶意Android应用程序,样本可以在Virusbay上找到,也可以使用这个本地镜像。黑客窃取短信可以有各种各样的原因,有的攻击者会探知某个用户的隐私信息(定位信息、上网爱好甚至健康数据),从而找到攻击或诈骗的突破口;而有的攻击者干脆直接从受害者的手机上截获双因素身份验证(2FA)令牌,以假冒用户访问许多隐私帐户。请注意,在当前上下文中给出的代码摘录的名称是可读的。如果可以直接从变量的类型或上下文派生变量的名称,则要对其进行重命名。下面是本文要使用的样本的信息:MD5: a1b5c184d447eaac1ed47bc5a0db4725SHA-1: 98b
发布时间:2019-02-27 12:20 | 阅读:58070 | 评论:0 | 标签:技术 Android

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云