记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

一种工控系统主动防御技术

6月30日,首届工业互联网安全精英邀请赛颁奖典礼在2018年第二十二届中国国际软件博览会“软件之夜”盛典上隆重举行,灯塔实验室凭借“一种工控系统主动防御技术”的攻防项目展示获得了本届精英邀请赛二等奖。 此次工业互联网安全精英邀请赛是第二十二届软博会重要活动之一,由国家工业信息安全发展研究中心主办、工业信息安全产业发展联盟承办。 本次精英邀请赛中灯塔实验室研究人员针对存在安全漏洞与缺陷的工业控制系统提出了一种全新的主动防御解决方案。灯塔实验室执行合伙人雷承霖(Z-0ne)在攻击者的角度演示了黑客如何渗透工控系统,并通过存在的安全缺陷对工控系统展开攻击,与此同时还展示了由灯塔实验室提出的一种主动防御技术,通过该主动防御技术,实现了对攻击威胁的监测与主动防御。 该主动防御技术是专门针对工业控制系统网络安全威胁进行感知

灯塔实验室助力2018年工业信息安全技能大赛西部赛区

7月5日上午,2018年工业信息安全技能大赛开幕赛,西部赛区初赛启动仪式在四川大学望江校区体育馆正式拉开帷幕。 本次大赛由成都市人民政府指导、国家工业信息安全发展研究中心联合成都市经济和信息化委员会共同主办,是目前全国规格最高、规模最大、影响最广的工业信息安全技能赛事,也是2018国家网络安全宣传周的重要活动之一。灯塔实验室作为技术支持团队全程在比赛平台、赛事环境等方面提供了有力支撑和技术保障。 本届技能大赛分为初赛、复赛、决赛三个环节,与去年首届大赛不同的是,今年大赛首次推出赛区制,华北、东北、华东、华中、西部,五大赛区辐射全国。五大赛区选拔出50支队伍后,复赛中他们将同台竞技,展示各自在工业信息安全领域能力积累,争夺入围决赛的十强名额。作为今年度国家网络安全宣传周的前奏,大赛将进一步提高全社会的工业信息

工控补丁管理

一、前言 这是一篇由灯塔实验室团队在《IEC TR 62443-2-3:2015》标准为基础原型,结合实际国内工控现场进行优化改进的技术分析报告,而非标准,旨在解决工业自动化和控制系统(IACS)安全问题。《IEC TR 62443-2-3:2015》是由ISA99委员会06工作组开发,是IEC 62443系列众多标准中的一个部分。结合根据工作经验和工控现场的特殊需求,本技术报告描述了有关补丁交换过程中,涉及的状态信息和适用性属性,并为工控用户(用户)和供应商(厂商)组织产品规划和建立补丁管理程序提供指导。 1.1 范围 本技术报告推荐了一种通用格式,用于分发从用户到工控厂商有关安全补丁的信息属性,定义与工控厂商开发补丁相关的一些活动信息,以及由用户部署补丁的方式。既可以用于安全相关的补丁信息,也可以适用于与安
发布时间:2017-12-29 06:15 | 阅读:91244 | 评论:0 | 标签:技术分享 工控安全防护技术 工控系统补丁管理 工控补丁

BadRabbit勒索蠕虫样本深入分析

天融信.阿尔法实验室  李喆  李燕春 一、BadRabbit事件描述 1.1. 相关背景 Petya 勒索软件刚过去不久,又出现了新的一款勒索软件BadRabbit,因为其相似性很可能是同一作者, 跟Petya不同的是,它是利用对账号密码硬编码后进行smb暴力破解,并没有用到永恒之蓝漏洞。 另一点不同的是,他们初始化不同,伪装一个假的flash 更新包骗取用户下载,然后执行释放恶意程序。在详细介绍流程之前,先看看一些其他参数。 1.2. 样本md5列表 1.3. 其他情况介绍 二 BadRabbit 复现 2.1 主机重启后的提示: 2.2 磁盘根目录下的文件提示(Readme.txt): 三、BadRabbit 逆向分析
发布时间:2017-10-26 17:00 | 阅读:112485 | 评论:0 | 标签:技术分享

Struts2 S2-052远程代码执行漏洞分析

天融信.阿尔法实验室 李喆,雨夜,张伟业 一、漏洞或事件描述 1.1漏洞背景 2017年9月5日,Apache官方发布了一则公告,该公告称Apache Struts2的REST插件存在远程代码执行的高危漏洞,CVE编号为CVE-2017-9805。   1.2漏洞概述 Struts2 REST插件的XStream组件存在反序列化漏洞,使用带有 XStream实例的 XStreamHandler进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。   二、漏洞复现 点击edit然后submit抓包 修改包内容注意事项: Windows,Content-Type要修改成 application/xml,comma
发布时间:2017-09-07 08:25 | 阅读:142792 | 评论:0 | 标签:技术分享 漏洞分析 漏洞

Petya勒索病毒技术分析

天融信.阿尔法实验室  李喆 李闪 王宇晟 崔伟鹏 李燕春 一、petya事件描述 1.1 漏洞背景   在2016年的三月到4月,petya恶意勒索软件开始传播,相对于其他勒索软件进行一个个文件加密不同的是,它采用了修改Master Boot Record(MBR) 启动引导阻止用户进入系统,并引导进了一个很小的恶意内核系统,然后再进行加密。 在2017年 6月27日晚上,根据国外报道消息,新的变种petya出现了,它在和旧版本的区别是采用了office word文档漏洞(CVE-2017-0199),通过发送邮件的方式进行传播,用户打开恶意邮件触发漏洞后会从 “http ://french-cooking.com/myguy.exe”下载恶意程序执行。然后会通过NSA泄露
发布时间:2017-06-28 23:40 | 阅读:177409 | 评论:0 | 标签:安全动态 安全通报 技术分享 漏洞分析

Linux版“永恒之蓝”远程代码执行漏洞技术分析

天融信阿尔法实验室 李喆 李闪 姜利晓   一、漏洞描述 Samba是一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。这个漏洞使得Samba客户端可以主动上传共享库到Samba服务器同时加载并执行该动态库导出函数。 攻击者利用漏洞可以进行远程代码执行,具体执行条件如下: 1)系统开启了文件/打印机共享端口445 2)共享文件夹拥有写入权限 3)恶意攻击者需猜解Samba服务端共享目录的物理路径 满足以上条件时,由于Samba能够为选定的目录创建网络共享,当恶意的客户端连接上一个可写的共享目录时,通过上传恶意的共享库文件,触发漏洞使samba服务端加载并执行它,从而实现了远程代码执行。根据服务器的配置情况,恶意
发布时间:2017-05-26 07:05 | 阅读:199893 | 评论:0 | 标签:安全通报 技术分享 漏洞

EternalRocks(永恒之石)蠕虫样本深入分析

阿尔法实验室 李喆 李闪 陈思远   一、背景介绍 近日自勒索蠕虫WannaCry之后又有一种新的蠕虫EternalRocks(永恒之石)通过SMB进行了攻击传播,同样是利用了NSA工具,EternalRocks利用了ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY四个NSA的SMB漏洞利用工具,同时具备了漏洞扫描工具SMBTOUCH和ARCHITOUCH ,还有一个后门感染工具DOUBLEPULSAR。 天融信阿尔法实验室经过样本分析判断,虽然蠕虫永恒之石不具备主动恶意破坏功能,但是在会在感染设备上留后门进行贮存,同时相比之前的勒索蠕虫,永恒之石蠕虫利用的技术及方式更加复杂高级,犹如一颗定时炸弹,后续带来不确定性的危害
发布时间:2017-05-24 21:15 | 阅读:158544 | 评论:0 | 标签:安全动态 技术分享

WannaCry 勒索蠕虫变种样本分析报告

阿尔法实验室 李喆 概述: 阿尔法实验室对Wannacry 新出现的变种样本做了进一步分析,本报告主要对比新出现的样本和之前分析过的样本做了功能对比分析。分析新出现的样本是否具备其他恶意功能,是否需要在防护上做进一步处理。上一篇的样本分析可以看这里: http://blog.topsec.com.cn/?p=2230 WannaCry 样本介绍 样本介绍: 在我们之前的分析中,我们分析的是 这次新出现的样本为: 变种1对比分析: 首先我们先拿我们之前分析的样本和变种1 做了一个对比 发现只是修改了一下域名开关: 我们可以看到2E 69后面开始不一样了,我们推测变种1只是在原始样本的基础上修改了二进制而成。所以经过判断,变种1的域名只要保持联通就不
发布时间:2017-05-15 17:20 | 阅读:183559 | 评论:0 | 标签:安全动态 技术分享

WannaCryptor 勒索蠕虫样本深度技术分析_阿尔法实验室

阿尔法实验室 李喆 李燕春 一、 WannaCryptor 是如何传播? WanaCrypotor在几周之前就被发现了,但是这款恶意勒索软件传播速度没那么严重,是什么造成了传播如此之快? ETERNALBLUE ,永恒之蓝,这个是影子经纪人泄露的NSA攻击工具,攻击window的smbv1协议,端口为445,在公网上这个端口基本屏蔽了,但是有些教育网还有内网是开放的。给 WannaCrypotor 带来了便利,因为其功能的影响性影响了很多设备。   二 Wanna Decryptor 是如何加密一个电脑? 2.1 开始工作 当一款电脑被Wanna Decrypor 植入后,这个安装工具会解压缩一个嵌入的文件到安装器的相同目录,这个嵌入的文件是有密码保护的压缩文件
发布时间:2017-05-14 07:30 | 阅读:218359 | 评论:0 | 标签:安全动态 安全通报 技术分享

NSA Fuzzbunch中EaseBee利用方法研究及MDaemon漏洞分析

阿尔法实验室:雨夜 0x01 概述 EaseBee是NSA开发的针对邮件系统MDaemon代码执行漏洞的一个工具,它支持多个版本MDaemon是一款著名的标准SMTP/POP/IMAP邮件服务系统,由美国Alt-N公司开发。它提供完整的邮件服务器功能,保护用户不受垃圾邮件的干扰,实现网页登陆收发邮件,支持远程管理,并且当与MDaemon AntiVirus插件结合使用时,它还保护系统防御邮件病毒。它安全,可靠,功能强大,是世界上成千上万的公司广泛使用的邮件服务器。 0x02 环境搭建 在靶机上安装 MDaemon 9.6.6 如果遇到下图错误 请参考http://www.jb51.net/os/windows/Win2003/85144.html解决,否则MDaemon无法启动
发布时间:2017-05-05 02:40 | 阅读:174242 | 评论:1 | 标签:技术分享 漏洞分析 漏洞

先知白帽子大会感悟之Gr36

天融信阿尔法实验室 李喆 这次的白帽大会干货很多,从每个人的演讲中都能学到或者感悟到一些东西,无论是技术也好,还是经验也好,真的都很有用。在这里我能做的事把自己的一些理解和领悟告诉大家,无论是对的还是错的,都希望能帮助到大家。具体的细节还是可以看视频或者看新出炉的ppt等。   先从Gr36_开始说起,大神有多厉害就不再这里说了,技术细节可以看这里 http://mp.weixin.qq.com/s/rWdHrlkEHQOW4SUY1rKP6A?from=timeline   Gr36的一些思路总结: 信息搜集大家都知道很重要,但是信息搜集传统的就不说了,如何能扩散下思路呢? Gr36给我们介绍的是微信公众号,那该挖什么呢?IP,域名,账号,邮
发布时间:2017-03-27 20:40 | 阅读:121751 | 评论:0 | 标签:交流互动 安全动态 技术分享

抓住“新代码”的影子 —— 基于GoAhead系列网络摄像头多个漏洞分析

Author :知道创宇404安全实验室 Date:2017年03月19日 (注:本文首发自 paper.seebug.org)  PDF 版本下载:抓住“新代码”的影子 —— 基于GoAhead系列网络摄像头多个漏洞分析   一、漏洞背景 GoAhead作为世界上最受欢迎的嵌入式Web服务器被部署在数亿台设备中,是各种嵌入式设备与应用的理想选择。当然,各厂商也会根据不同产品需求对其进行一定程度的二次开发。 2017年3月7日,Seebug漏洞平台收录了一篇基于GoAhead系列摄像头的多个漏洞。事件源于Pierre Kim在博客上发表的一篇文章,披露了存在于1250多个摄像头型号的多个通用型漏洞。作者在文章中将其中一个验证绕过漏洞归类为GoAhead服务器漏洞,但事后证明,该漏洞却是由厂商二次开发G
发布时间:2017-03-22 07:25 | 阅读:155388 | 评论:0 | 标签:安全研究 技术分享 漏洞

ICS/SCADA虚拟化的安全性影响:调查和未来趋势

本文来源于ECCWS 2016 – 第15届欧洲网络战争和安全会议,本文为非官方中文译文,由灯塔实验室翻译,作者联系邮箱:{tjcruz, rqueiroz, psimoes, edmundo}@dei.uc.pt,作者信息: T. Cruz, R. Queiroz, P. Simões, E. Monteiro University of Coimbra, Portugal ICS/SCADA虚拟化的安全性影响:调查和未来趋势 摘要:近年来,由于安全性和可管理性问题,工业控制系统(ICS,Industrial Control System)的监控和数据采集系统(SCADA, Supervisory Control and Data Acquisition)–一种用于控制工业过程、电厂或

利用GDB、KGDB调试应用程序及内核驱动模块

阅读: 9这几天看了一下linux内核提权的一个漏洞,里面涉及到了驱动程序漏洞及驱动调试内容,由于各类linux操作系统版本的不同,如果不能在自己机器上亲自调试驱动程序,可以说即使给了漏洞利用的POC源码也根本无法成功利用。因为内核漏洞的利用涉及到指令集的POC构造,不同内核版本模块加载指令地址不同,导致即使有POC也根本无法利用,只有在自己系统中亲自调试,才能做出相应的修改,达到内核漏洞利用的效果。这样就要求我们对linux内核驱动的调试过程,调试方法有个深入了解。经过两天的各处查找,配置,调试,终于弄清楚了内核调试的基本方法,为之后内核调试,漏洞分析提供技术支持。文章目录目标基础环境搭建1.1资源环境1.2安装vmware虚拟机及ubuntu操作系统编译内核2.1配置内核参数2.2编译内核配置双机通信3.1

硬件盒子在云中获取网络流量的方法

阅读: 1虚拟化安全漏洞、虚拟机之间流量不可见和虚拟机逃逸等安全问题给企业带来了不安。如何最大程度利用已部署的“硬件盒子”覆盖云端安全,降低企业安全投入成本,为新一轮的安全布局争取更长的过渡期,是企业正在面临的问题。文章目录概述常见方法获取流量示例方法描述具体配置流程概述随着云计算和虚拟化技术的优势显现,越来越多企业开始部署云环境。在新技术和新服务模式带来利益的同时,黑客对云端资源的觊觎以及攻击手段的不断升级,也引发了新的安全风险和挑战。虚拟化安全漏洞、虚拟机之间流量不可见和虚拟机逃逸等安全问题给企业带来了不安。如何最大程度利用已部署的“硬件盒子”覆盖云端安全,降低企业安全投入成本,为新一轮的安全布局争取更长的过渡期,是企业正在面临的问题。提及云安全,“硬件盒子”在云环境下有些不适应,由于这些“硬件盒子”在传统

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云