记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

知名网络空间普查与网络测绘组织研究报告 第一期-组织名录篇

网络空间普查与网络测绘主要是以TCP、UDP、ICMP等探测技术对网络空间中资产的连通性、网络属性、资产类型、服务返回标识展开大规模主动采集分析,通过收集网络空间中关键基础设施、网络设备、物联网、工业控制系统等各类资产的服务标识情况、运行情况信息,最终得到网络资产详细分布情况、网络流行漏洞分布、基础设施网络基础架构情况。 网络空间资源情报作为重要的战略、情报资源,通过网络空间普查与网络测绘作为情报信息的主要来源,已经成为了一种关键技术,近年网络资源测绘也成为了社区、团队研究全球网络安全威胁趋势的主流分析手段。随着大数据架构、网络空间扫描技术的发展,从事全球的网络服务资源测绘和普查、网络基础架构资源测绘和普查、网络资产暴露面分析逐渐普及。 但目前任何安全研究个人和安全研究团队机构,要开展网络空间普查与

灯塔实验室推出护网专用定制版工控蜜罐产品

工控蜜罐-护网专用(定制)是一款诞生于灯塔实验室安全研究团队内部攻防实战实践,适用于护网的专用工控蜜罐系统,产品可广泛应用于国家重大活动安全保障、集团企业网络安全实战攻防演练过程中的企业级信息安全防护。本产品可以为用户建立主动防御网络,对潜在威胁进行感知与捕获,实现网络攻击事件的实时预警与网络安全威胁转移。 “红队”护网“攻击”检测手段 大规模目标侦查 “红队”为了快速了解蓝方用户系统的类型、设备类型、版本、开放服务类型、端口信息,确定系统和网络边界范围,将会通过Nmap、端口扫描与服务识别工具,甚至是使用ZMap、MASScan等大规模快速侦查工具了解用户网络规模、整体服务开放情况等基础信息,以便展开更有针对性的测试。 口令与常用漏洞测试 “红队”掌握蓝方用户网络规模、主机系统类

认识 JavaAgent –获取目标进程已加载的所有类

之前在一个应用中搜索到一个类,但是在反序列化测试的时出错,错误不是class notfound,是其他0xxx这样的错误,通过搜索这个错误大概是类没有被加载。最近刚好看到了JavaAgent,初步学习了下,能进行拦截,主要通过Instrument Agent来进行字节码增强,可以进行字节码插桩,bTrace,Arthas 等操作,结合ASM,javassist,cglib框架能实现更强大的功能。Java RASP也是基于JavaAgent实现的。趁热记录下JavaAgent基础概念,以及简单使用JavaAgent实现一个获取目标进程已加载的类的测试。 JVMTI与Java Instrument Java平台调试器架构(Java Platform Debugger Architecture,
发布时间:2020-02-09 22:03 | 阅读:27853 | 评论:0 | 标签:安全研究 技术分享 JavaAgent

知风 Zhifeng.io – 一个更精准的物联网与工控资产分析系统

在 “灯塔资讯中心” 工具发布两年之际,我们在Blog中正式宣布发布“知风 Zhifeng.io”系统的 BETA版本,知风的独特设计是来自灯塔实验室在长期安全研究实践过程中提出的,可以做到更精准的物联网与工控资产分析。知风的运用的分析方法是一种创新且独特的自动化快速分析手段,该技术旨在快速清查与定位各种物联网与工控资产使用企业与组件级别暴露面。在这个BETA版本中,您可以在知风系统中更快的定位摄像头、打印机甚至是指纹机等各类物联网资产,在工控方面您可以更快速精准定位全球各种主流品牌的SCADA、PLC软硬件产品,同时利用“知风”积累的企业和系统数据,您还可以分析各个行业和企业资产联网情况。Zhifeng Research Team – Z-0ne “知风”出现的背景 随着网

浅谈威胁诱捕(威胁感知)技术在网络安全保障与蓝队防御过程中的重要应用

目前,针对国家重大事件、活动的网络安全保障屡见不鲜,同时也是保障各应用、系统、网络、企业、行业在特殊时期安全、可靠、稳定、健康运行的重要举措。 在目前的各种网络安全保障中可能会出现两种角色,一是红队安全检测方,另一方面则是蓝队防御用户方,对于用户侧的蓝队防御方来说往往要长期经受来自红方安全检测各方面的自动化安全检测与手工安全渗透测试,从而来验证用户系统安全策略和防护措施的有效性。 威胁诱捕(威胁感知)技术是一种基于应用蜜罐、虚拟系统、虚拟网络等多种方式的主动、积极、欺骗性质的网络安全检测技术,正是由于这种诱捕特性使得使用该技术的安全检测产品具有极高准确的事件的检出效率,并且检出事件极具价值。根据在网络安全保障过程中蓝队防御用户方承担的监测、检测、防御的职能,我们认为威胁诱捕(威胁感知)技术可广泛应用

一种工控系统主动防御技术

6月30日,首届工业互联网安全精英邀请赛颁奖典礼在2018年第二十二届中国国际软件博览会“软件之夜”盛典上隆重举行,灯塔实验室凭借“一种工控系统主动防御技术”的攻防项目展示获得了本届精英邀请赛二等奖。 此次工业互联网安全精英邀请赛是第二十二届软博会重要活动之一,由国家工业信息安全发展研究中心主办、工业信息安全产业发展联盟承办。 本次精英邀请赛中灯塔实验室研究人员针对存在安全漏洞与缺陷的工业控制系统提出了一种全新的主动防御解决方案。灯塔实验室执行合伙人雷承霖(Z-0ne)在攻击者的角度演示了黑客如何渗透工控系统,并通过存在的安全缺陷对工控系统展开攻击,与此同时还展示了由灯塔实验室提出的一种主动防御技术,通过该主动防御技术,实现了对攻击威胁的监测与主动防御。 该主动防御技术是专门针对工业控制系统网络安全威胁进行感知

灯塔实验室助力2018年工业信息安全技能大赛西部赛区

7月5日上午,2018年工业信息安全技能大赛开幕赛,西部赛区初赛启动仪式在四川大学望江校区体育馆正式拉开帷幕。 本次大赛由成都市人民政府指导、国家工业信息安全发展研究中心联合成都市经济和信息化委员会共同主办,是目前全国规格最高、规模最大、影响最广的工业信息安全技能赛事,也是2018国家网络安全宣传周的重要活动之一。灯塔实验室作为技术支持团队全程在比赛平台、赛事环境等方面提供了有力支撑和技术保障。 本届技能大赛分为初赛、复赛、决赛三个环节,与去年首届大赛不同的是,今年大赛首次推出赛区制,华北、东北、华东、华中、西部,五大赛区辐射全国。五大赛区选拔出50支队伍后,复赛中他们将同台竞技,展示各自在工业信息安全领域能力积累,争夺入围决赛的十强名额。作为今年度国家网络安全宣传周的前奏,大赛将进一步提高全社会的工业信息

工控补丁管理

一、前言 这是一篇由灯塔实验室团队在《IEC TR 62443-2-3:2015》标准为基础原型,结合实际国内工控现场进行优化改进的技术分析报告,而非标准,旨在解决工业自动化和控制系统(IACS)安全问题。《IEC TR 62443-2-3:2015》是由ISA99委员会06工作组开发,是IEC 62443系列众多标准中的一个部分。结合根据工作经验和工控现场的特殊需求,本技术报告描述了有关补丁交换过程中,涉及的状态信息和适用性属性,并为工控用户(用户)和供应商(厂商)组织产品规划和建立补丁管理程序提供指导。 1.1 范围 本技术报告推荐了一种通用格式,用于分发从用户到工控厂商有关安全补丁的信息属性,定义与工控厂商开发补丁相关的一些活动信息,以及由用户部署补丁的方式。既可以用于安全相关的补丁信息,也可以适用于与安
发布时间:2017-12-29 06:15 | 阅读:211280 | 评论:0 | 标签:技术分享 工控安全防护技术 工控系统补丁管理 工控补丁

BadRabbit勒索蠕虫样本深入分析

天融信.阿尔法实验室  李喆  李燕春 一、BadRabbit事件描述 1.1. 相关背景 Petya 勒索软件刚过去不久,又出现了新的一款勒索软件BadRabbit,因为其相似性很可能是同一作者, 跟Petya不同的是,它是利用对账号密码硬编码后进行smb暴力破解,并没有用到永恒之蓝漏洞。 另一点不同的是,他们初始化不同,伪装一个假的flash 更新包骗取用户下载,然后执行释放恶意程序。在详细介绍流程之前,先看看一些其他参数。 1.2. 样本md5列表 1.3. 其他情况介绍 二 BadRabbit 复现 2.1 主机重启后的提示: 2.2 磁盘根目录下的文件提示(Readme.txt): 三、BadRabbit 逆向分析
发布时间:2017-10-26 17:00 | 阅读:221838 | 评论:0 | 标签:技术分享

Struts2 S2-052远程代码执行漏洞分析

天融信.阿尔法实验室 李喆,雨夜,张伟业 一、漏洞或事件描述 1.1漏洞背景 2017年9月5日,Apache官方发布了一则公告,该公告称Apache Struts2的REST插件存在远程代码执行的高危漏洞,CVE编号为CVE-2017-9805。   1.2漏洞概述 Struts2 REST插件的XStream组件存在反序列化漏洞,使用带有 XStream实例的 XStreamHandler进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。   二、漏洞复现 点击edit然后submit抓包 修改包内容注意事项: Windows,Content-Type要修改成 application/xml,comma
发布时间:2017-09-07 08:25 | 阅读:321488 | 评论:0 | 标签:技术分享 漏洞分析 漏洞

Petya勒索病毒技术分析

天融信.阿尔法实验室  李喆 李闪 王宇晟 崔伟鹏 李燕春 一、petya事件描述 1.1 漏洞背景   在2016年的三月到4月,petya恶意勒索软件开始传播,相对于其他勒索软件进行一个个文件加密不同的是,它采用了修改Master Boot Record(MBR) 启动引导阻止用户进入系统,并引导进了一个很小的恶意内核系统,然后再进行加密。 在2017年 6月27日晚上,根据国外报道消息,新的变种petya出现了,它在和旧版本的区别是采用了office word文档漏洞(CVE-2017-0199),通过发送邮件的方式进行传播,用户打开恶意邮件触发漏洞后会从 “http ://french-cooking.com/myguy.exe”下载恶意程序执行。然后会通过NSA泄露
发布时间:2017-06-28 23:40 | 阅读:328070 | 评论:0 | 标签:安全动态 安全通报 技术分享 漏洞分析

Linux版“永恒之蓝”远程代码执行漏洞技术分析

天融信阿尔法实验室 李喆 李闪 姜利晓   一、漏洞描述 Samba是一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。这个漏洞使得Samba客户端可以主动上传共享库到Samba服务器同时加载并执行该动态库导出函数。 攻击者利用漏洞可以进行远程代码执行,具体执行条件如下: 1)系统开启了文件/打印机共享端口445 2)共享文件夹拥有写入权限 3)恶意攻击者需猜解Samba服务端共享目录的物理路径 满足以上条件时,由于Samba能够为选定的目录创建网络共享,当恶意的客户端连接上一个可写的共享目录时,通过上传恶意的共享库文件,触发漏洞使samba服务端加载并执行它,从而实现了远程代码执行。根据服务器的配置情况,恶意
发布时间:2017-05-26 07:05 | 阅读:325654 | 评论:0 | 标签:安全通报 技术分享 漏洞

EternalRocks(永恒之石)蠕虫样本深入分析

阿尔法实验室 李喆 李闪 陈思远   一、背景介绍 近日自勒索蠕虫WannaCry之后又有一种新的蠕虫EternalRocks(永恒之石)通过SMB进行了攻击传播,同样是利用了NSA工具,EternalRocks利用了ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY四个NSA的SMB漏洞利用工具,同时具备了漏洞扫描工具SMBTOUCH和ARCHITOUCH ,还有一个后门感染工具DOUBLEPULSAR。 天融信阿尔法实验室经过样本分析判断,虽然蠕虫永恒之石不具备主动恶意破坏功能,但是在会在感染设备上留后门进行贮存,同时相比之前的勒索蠕虫,永恒之石蠕虫利用的技术及方式更加复杂高级,犹如一颗定时炸弹,后续带来不确定性的危害
发布时间:2017-05-24 21:15 | 阅读:292766 | 评论:0 | 标签:安全动态 技术分享

WannaCry 勒索蠕虫变种样本分析报告

阿尔法实验室 李喆 概述: 阿尔法实验室对Wannacry 新出现的变种样本做了进一步分析,本报告主要对比新出现的样本和之前分析过的样本做了功能对比分析。分析新出现的样本是否具备其他恶意功能,是否需要在防护上做进一步处理。上一篇的样本分析可以看这里: http://blog.topsec.com.cn/?p=2230 WannaCry 样本介绍 样本介绍: 在我们之前的分析中,我们分析的是 这次新出现的样本为: 变种1对比分析: 首先我们先拿我们之前分析的样本和变种1 做了一个对比 发现只是修改了一下域名开关: 我们可以看到2E 69后面开始不一样了,我们推测变种1只是在原始样本的基础上修改了二进制而成。所以经过判断,变种1的域名只要保持联通就不
发布时间:2017-05-15 17:20 | 阅读:320196 | 评论:0 | 标签:安全动态 技术分享

WannaCryptor 勒索蠕虫样本深度技术分析_阿尔法实验室

阿尔法实验室 李喆 李燕春 一、 WannaCryptor 是如何传播? WanaCrypotor在几周之前就被发现了,但是这款恶意勒索软件传播速度没那么严重,是什么造成了传播如此之快? ETERNALBLUE ,永恒之蓝,这个是影子经纪人泄露的NSA攻击工具,攻击window的smbv1协议,端口为445,在公网上这个端口基本屏蔽了,但是有些教育网还有内网是开放的。给 WannaCrypotor 带来了便利,因为其功能的影响性影响了很多设备。   二 Wanna Decryptor 是如何加密一个电脑? 2.1 开始工作 当一款电脑被Wanna Decrypor 植入后,这个安装工具会解压缩一个嵌入的文件到安装器的相同目录,这个嵌入的文件是有密码保护的压缩文件
发布时间:2017-05-14 07:30 | 阅读:342563 | 评论:0 | 标签:安全动态 安全通报 技术分享

NSA Fuzzbunch中EaseBee利用方法研究及MDaemon漏洞分析

阿尔法实验室:雨夜 0x01 概述 EaseBee是NSA开发的针对邮件系统MDaemon代码执行漏洞的一个工具,它支持多个版本MDaemon是一款著名的标准SMTP/POP/IMAP邮件服务系统,由美国Alt-N公司开发。它提供完整的邮件服务器功能,保护用户不受垃圾邮件的干扰,实现网页登陆收发邮件,支持远程管理,并且当与MDaemon AntiVirus插件结合使用时,它还保护系统防御邮件病毒。它安全,可靠,功能强大,是世界上成千上万的公司广泛使用的邮件服务器。 0x02 环境搭建 在靶机上安装 MDaemon 9.6.6 如果遇到下图错误 请参考http://www.jb51.net/os/windows/Win2003/85144.html解决,否则MDaemon无法启动
发布时间:2017-05-05 02:40 | 阅读:324353 | 评论:1 | 标签:技术分享 漏洞分析 漏洞

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云