记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

知名网络空间普查与网络测绘组织研究报告 第一期-组织名录篇

网络空间普查与网络测绘主要是以TCP、UDP、ICMP等探测技术对网络空间中资产的连通性、网络属性、资产类型、服务返回标识展开大规模主动采集分析,通过收集网络空间中关键基础设施、网络设备、物联网、工业控制系统等各类资产的服务标识情况、运行情况信息,最终得到网络资产详细分布情况、网络流行漏洞分布、基础设施网络基础架构情况。 网络空间资源情报作为重要的战略、情报资源,通过网络空间普查与网络测绘作为情报信息的主要来源,已经成为了一种关键技术,近年网络资源测绘也成为了社区、团队研究全球网络安全威胁趋势的主流分析手段。

灯塔实验室推出护网专用定制版工控蜜罐产品

工控蜜罐-护网专用(定制)是一款诞生于灯塔实验室安全研究团队内部攻防实战实践,适用于护网的专用工控蜜罐系统,产品可广泛应用于国家重大活动安全保障、集团企业网络安全实战攻防演练过程中的企业级信息安全防护。本产品可以为用户建立主动防御网络,对潜在威胁进行感知与捕获,实现网络攻击事件的实时预警与网络安全威胁转移。

认识 JavaAgent –获取目标进程已加载的所有类

之前在一个应用中搜索到一个类,但是在反序列化测试的时出错,错误不是class notfound,是其他0xxx这样的错误,通过搜索这个错误大概是类没有被加载。最近刚好看到了JavaAgent,初步学习了下,能进行拦截,主要通过Instrument Agent来进行字节码增强,可以进行字节码插桩,bTrace,Arthas 等操作,结合ASM,javassist,cglib框架能实现更强大的功能。Java RASP也是基于JavaAgent实现的。趁热记录下JavaAgent基础概念,以及简单使用JavaAgent实现一个获取目标进程已加载的类的测试。
发布时间:2020-02-09 22:03 | 阅读:44726 | 评论:0 | 标签:安全研究 技术分享 JavaAgent

知风 Zhifeng.io – 一个更精准的物联网与工控资产分析系统

在 “灯塔资讯中心” 工具发布两年之际,我们在Blog中正式宣布发布“知风 Zhifeng.io”系统的 BETA版本,知风的独特设计是来自灯塔实验室在长期安全研究实践过程中提出的,可以做到更精准的物联网与工控资产分析。知风的运用的分析方法是一种创新且独特的自动化快速分析手段,该技术旨在快速清查与定位各种物联网与工控资产使用企业与组件级别暴露面。在这个BETA版本中,您可以在知风系统中更快的定位摄像头、打印机甚至是指纹机等各类物联网资产,在工控方面您可以更快速精准定位全球各种主流品牌的SCADA、PLC软硬件产品,同时利用“知风”积累的企业和系统数据,您还可以分析各个行业和企业资产联网情况。

浅谈威胁诱捕(威胁感知)技术在网络安全保障与蓝队防御过程中的重要应用

目前,针对国家重大事件、活动的网络安全保障屡见不鲜,同时也是保障各应用、系统、网络、企业、行业在特殊时期安全、可靠、稳定、健康运行的重要举措。 在目前的各种网络安全保障中可能会出现两种角色,一是红队安全检测方,另一方面则是蓝队防御用户方,对于用户侧的蓝队防御方来说往往要长期经受来自红方安全检测各方面的自动化安全检测与手工安全渗透测试,从而来验证用户系统安全策略和防护措施的有效性。 威胁诱捕(威胁感知)技术是一种基于应用蜜罐、虚拟系统、虚拟网络等多种方式的主动、积极、欺骗性质的网络安全检测技术,正是由于这种诱捕特性使得使用该技术的安全检测产品具有极高准确的事件的检出效率,并且检出事件极具价值。

一种工控系统主动防御技术

6月30日,首届工业互联网安全精英邀请赛颁奖典礼在2018年第二十二届中国国际软件博览会“软件之夜”盛典上隆重举行,灯塔实验室凭借“一种工控系统主动防御技术”的攻防项目展示获得了本届精英邀请赛二等奖。 此次工业互联网安全精英邀请赛是第二十二届软博会重要活动之一,由国家工业信息安全发展研究中心主办、工业信息安全产业发展联盟承办。 本次精英邀请赛中灯塔实验室研究人员针对存在安全漏洞与缺陷的工业控制系统提出了一种全新的主动防御解决方案。

灯塔实验室助力2018年工业信息安全技能大赛西部赛区

7月5日上午,2018年工业信息安全技能大赛开幕赛,西部赛区初赛启动仪式在四川大学望江校区体育馆正式拉开帷幕。 本次大赛由成都市人民政府指导、国家工业信息安全发展研究中心联合成都市经济和信息化委员会共同主办,是目前全国规格最高、规模最大、影响最广的工业信息安全技能赛事,也是2018国家网络安全宣传周的重要活动之一。灯塔实验室作为技术支持团队全程在比赛平台、赛事环境等方面提供了有力支撑和技术保障。 本届技能大赛分为初赛、复赛、决赛三个环节,与去年首届大赛不同的是,今年大赛首次推出赛区制,华北、东北、华东、华中、西部,五大赛区辐射全国。

工控补丁管理

一、前言 这是一篇由灯塔实验室团队在《IEC TR 62443-2-3:2015》标准为基础原型,结合实际国内工控现场进行优化改进的技术分析报告,而非标准,旨在解决工业自动化和控制系统(IACS)安全问题。《IEC TR 62443-2-3:2015》是由ISA99委员会06工作组开发,是IEC 62443系列众多标准中的一个部分。结合根据工作经验和工控现场的特殊需求,本技术报告描述了有关补丁交换过程中,涉及的状态信息和适用性属性,并为工控用户(用户)和供应商(厂商)组织产品规划和建立补丁管理程序提供指导。
发布时间:2017-12-29 06:15 | 阅读:262115 | 评论:0 | 标签:技术分享 工控安全防护技术 工控系统补丁管理 工控补丁

BadRabbit勒索蠕虫样本深入分析

天融信.阿尔法实验室  李喆  李燕春 一、BadRabbit事件描述 1.1. 相关背景 Petya 勒索软件刚过去不久,又出现了新的一款勒索软件BadRabbit,因为其相似性很可能是同一作者, 跟Petya不同的是,它是利用对账号密码硬编码后进行smb暴力破解,并没有用到永恒之蓝漏洞。 另一点不同的是,他们初始化不同,伪装一个假的flash 更新包骗取用户下载,然后执行释放恶意程序。在详细介绍流程之前,先看看一些其他参数。
发布时间:2017-10-26 17:00 | 阅读:233896 | 评论:0 | 标签:技术分享

Struts2 S2-052远程代码执行漏洞分析

天融信.阿尔法实验室 李喆,雨夜,张伟业 一、漏洞或事件描述 1.1漏洞背景 2017年9月5日,Apache官方发布了一则公告,该公告称Apache Struts2的REST插件存在远程代码执行的高危漏洞,CVE编号为CVE-2017-9805。   1.2漏洞概述 Struts2 REST插件的XStream组件存在反序列化漏洞,使用带有 XStream实例的 XStreamHandler进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
发布时间:2017-09-07 08:25 | 阅读:379740 | 评论:0 | 标签:技术分享 漏洞分析 漏洞

Petya勒索病毒技术分析

天融信.阿尔法实验室  李喆 李闪 王宇晟 崔伟鹏 李燕春 一、petya事件描述 1.1 漏洞背景   在2016年的三月到4月,petya恶意勒索软件开始传播,相对于其他勒索软件进行一个个文件加密不同的是,它采用了修改Master Boot Record(MBR) 启动引导阻止用户进入系统,并引导进了一个很小的恶意内核系统,然后再进行加密。
发布时间:2017-06-28 23:40 | 阅读:352371 | 评论:0 | 标签:安全动态 安全通报 技术分享 漏洞分析

Linux版“永恒之蓝”远程代码执行漏洞技术分析

天融信阿尔法实验室 李喆 李闪 姜利晓   一、漏洞描述 Samba是一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件。这个漏洞使得Samba客户端可以主动上传共享库到Samba服务器同时加载并执行该动态库导出函数。
发布时间:2017-05-26 07:05 | 阅读:339902 | 评论:0 | 标签:安全通报 技术分享 漏洞

EternalRocks(永恒之石)蠕虫样本深入分析

阿尔法实验室 李喆 李闪 陈思远   一、背景介绍 近日自勒索蠕虫WannaCry之后又有一种新的蠕虫EternalRocks(永恒之石)通过SMB进行了攻击传播,同样是利用了NSA工具,EternalRocks利用了ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、以及ETERNALSYNERGY四个NSA的SMB漏洞利用工具,同时具备了漏洞扫描工具SMBTOUCH和ARCHITOUCH ,还有一个后门感染工具DOUBLEPULSAR。
发布时间:2017-05-24 21:15 | 阅读:306987 | 评论:0 | 标签:安全动态 技术分享

WannaCry 勒索蠕虫变种样本分析报告

阿尔法实验室 李喆 概述: 阿尔法实验室对Wannacry 新出现的变种样本做了进一步分析,本报告主要对比新出现的样本和之前分析过的样本做了功能对比分析。分析新出现的样本是否具备其他恶意功能,是否需要在防护上做进一步处理。
发布时间:2017-05-15 17:20 | 阅读:339728 | 评论:0 | 标签:安全动态 技术分享

WannaCryptor 勒索蠕虫样本深度技术分析_阿尔法实验室

阿尔法实验室 李喆 李燕春 一、 WannaCryptor 是如何传播? WanaCrypotor在几周之前就被发现了,但是这款恶意勒索软件传播速度没那么严重,是什么造成了传播如此之快? ETERNALBLUE ,永恒之蓝,这个是影子经纪人泄露的NSA攻击工具,攻击window的smbv1协议,端口为445,在公网上这个端口基本屏蔽了,但是有些教育网还有内网是开放的。给 WannaCrypotor 带来了便利,因为其功能的影响性影响了很多设备。
发布时间:2017-05-14 07:30 | 阅读:362464 | 评论:0 | 标签:安全动态 安全通报 技术分享

NSA Fuzzbunch中EaseBee利用方法研究及MDaemon漏洞分析

阿尔法实验室:雨夜 0x01 概述 EaseBee是NSA开发的针对邮件系统MDaemon代码执行漏洞的一个工具,它支持多个版本MDaemon是一款著名的标准SMTP/POP/IMAP邮件服务系统,由美国Alt-N公司开发。它提供完整的邮件服务器功能,保护用户不受垃圾邮件的干扰,实现网页登陆收发邮件,支持远程管理,并且当与MDaemon AntiVirus插件结合使用时,它还保护系统防御邮件病毒。它安全,可靠,功能强大,是世界上成千上万的公司广泛使用的邮件服务器。
发布时间:2017-05-05 02:40 | 阅读:345908 | 评论:1 | 标签:技术分享 漏洞分析 漏洞

先知白帽子大会感悟之Gr36

天融信阿尔法实验室 李喆 这次的白帽大会干货很多,从每个人的演讲中都能学到或者感悟到一些东西,无论是技术也好,还是经验也好,真的都很有用。在这里我能做的事把自己的一些理解和领悟告诉大家,无论是对的还是错的,都希望能帮助到大家。具体的细节还是可以看视频或者看新出炉的ppt等。
发布时间:2017-03-27 20:40 | 阅读:239614 | 评论:0 | 标签:交流互动 安全动态 技术分享

抓住“新代码”的影子 —— 基于GoAhead系列网络摄像头多个漏洞分析

Author :知道创宇404安全实验室 Date:2017年03月19日 (注:本文首发自 paper.seebug.org)  PDF 版本下载:抓住“新代码”的影子 —— 基于GoAhead系列网络摄像头多个漏洞分析   一、漏洞背景 GoAhead作为世界上最受欢迎的嵌入式Web服务器被部署在数亿台设备中,是各种嵌入式设备与应用的理想选择。当然,各厂商也会根据不同产品需求对其进行一定程度的二次开发。 2017年3月7日,Seebug漏洞平台收录了一篇基于GoAhead系列摄像头的多个漏洞。
发布时间:2017-03-22 07:25 | 阅读:371757 | 评论:0 | 标签:安全研究 技术分享 漏洞

ICS/SCADA虚拟化的安全性影响:调查和未来趋势

本文来源于ECCWS 2016 – 第15届欧洲网络战争和安全会议,本文为非官方中文译文,由灯塔实验室翻译,作者联系邮箱:{tjcruz, rqueiroz, psimoes, edmundo}@dei.

利用GDB、KGDB调试应用程序及内核驱动模块

阅读: 9这几天看了一下linux内核提权的一个漏洞,里面涉及到了驱动程序漏洞及驱动调试内容,由于各类linux操作系统版本的不同,如果不能在自己机器上亲自调试驱动程序,可以说即使给了漏洞利用的POC源码也根本无法成功利用。因为内核漏洞的利用涉及到指令集的POC构造,不同内核版本模块加载指令地址不同,导致即使有POC也根本无法利用,只有在自己系统中亲自调试,才能做出相应的修改,达到内核漏洞利用的效果。这样就要求我们对linux内核驱动的调试过程,调试方法有个深入了解。经过两天的各处查找,配置,调试,终于弄清楚了内核调试的基本方法,为之后内核调试,漏洞分析提供技术支持。

硬件盒子在云中获取网络流量的方法

阅读: 1虚拟化安全漏洞、虚拟机之间流量不可见和虚拟机逃逸等安全问题给企业带来了不安。如何最大程度利用已部署的“硬件盒子”覆盖云端安全,降低企业安全投入成本,为新一轮的安全布局争取更长的过渡期,是企业正在面临的问题。文章目录概述常见方法获取流量示例方法描述具体配置流程概述随着云计算和虚拟化技术的优势显现,越来越多企业开始部署云环境。在新技术和新服务模式带来利益的同时,黑客对云端资源的觊觎以及攻击手段的不断升级,也引发了新的安全风险和挑战。虚拟化安全漏洞、虚拟机之间流量不可见和虚拟机逃逸等安全问题给企业带来了不安。

Struts2 S2-045漏洞态势分析报告

事件回顾 3月7日,来自安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:CVE-2017-5638),并定级为高危风险。 该漏洞的影响范围: Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10。 漏洞形成的原因是因为基于Jakarta Multipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。
发布时间:2017-03-11 14:25 | 阅读:309778 | 评论:0 | 标签:工具分享 技术分享 态势感知 漏洞

修复OPENVAS扫描任务无法启动问题

常在河边走哪有不湿鞋,要想不湿鞋,记得穿套鞋。由于经常使用OPENVAS,安装就不说了,基本上是Kali的命令行傻瓜化安装,网上大把。今天要说的是一个OPENVAS的无法启动的问题,在频繁使用了OPENVAS以后,你可能出现一个十分诡异的问题,那就是OPENVAS的任务无法启动。 具体表现就是创建等等没有问题,但是无法启动扫描任务。具体问题表现为,在按下启动按钮以后,浏览器一直在转圈等待,而不是在几秒后刷新显示任务开始执行,这时候如果你想结束相关服务,抱歉,无法结束,甚至在关机的时候都会因为这个扫描服务的原因等待个1分30秒然后强制退出。
发布时间:2017-03-08 12:25 | 阅读:308923 | 评论:0 | 标签:技术分享 网络安全 扫描

Kali每周最新版本下载地址

Kali现在每周会更新一个版本的镜像,就不要下载完更新个半天了,特别是国内的网络,相当无语,地址如下: http://cdimage.kali.org/kali-weekly/ 对于一般的用户,就直接按照64位和32位选择不同第三个或者第四个链接下载就好了,W10表示第10周的镜像文件。
发布时间:2017-03-08 12:25 | 阅读:195704 | 评论:0 | 标签:技术分享 网络安全 资源分享

软件定义安全白皮书PPT解读

阅读: 22015年绿盟科技发布了《2015绿盟科技软件定义安全SDS白皮书》[1],阐述了软件定义安全的起源与发展。那么2016年业界在软件定义安全领域发生了什么变化,又有什么新的动态呢?本文将以去年的白皮书作为背景,重点阐述了2016年软件定义安全这一理念在行业内的发展情况,以及具体在落地过程中的实践。《软件定义安全白皮书2016》:http://blog.nsfocus.net/software-defined-security-whitepaper-2/软件定义安全已越过了技术成熟度曲线的最高点,国内外的关注度会越来越多。

RSA2017浅谈下一代应用及IT基础设施的安全管理模式——DevSecOps

阅读: 461DevSecOps是2017年美国RSA大会新出现的一个概念,大会甚至专门为这个概念和方向设置的议题和讨论会。DecSecOps是一种全新的安全理念与模式,从DecOps的概念延伸和演变而来,其核心理念安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发和运营整个业务生命周期每一个环节才能提供有效保障。
发布时间:2017-02-24 01:30 | 阅读:285702 | 评论:0 | 标签:技术分享 DevSecOps DevSecOps 内容 DevSecOps 应用 DevSecOps 核心理念 RSA2

RSA2017 安全趋势预测

阅读: 428网络犯罪因其低投入高回报和技术便捷性,正逐年高速增长。回顾2016年,勒索软件、mirai、工控平台攻击等安全事件频现,给广大用户造成巨大损失的同时,也一次次刷新着安全从业者的认知。(Mcafee的2016安全事件线)根据Mcafee和juniper研究预测,到2019年网络攻击事件造成的损失将到超过21000亿美元,较2015年增长5倍,并涉及经济、商务、医疗、公共服务等关系国计民生的重要行业。(Mcafee的网络攻击影响行业统计)综合RSA2017近三天各安全专家的分析和观点,可以预见在未来的网络犯罪将呈现以下发展趋势:勒索软件仍将持续增长。
发布时间:2017-02-24 01:30 | 阅读:196472 | 评论:0 | 标签:技术分享 Mcafee 网络攻击 Mirai RSA2017 RSA2017 安全趋势预测 勒索软件 工控 攻击 绿盟科

RSAC 2017抗DDoS面面观

阅读: 132016年10月21日,Mirai botnet对域名服务商Dyn发动了大规模的DdoS攻击,造成了如Twitter、Amazon、Box等知名应用无法提供正常服务。这只是去年DdoS攻击的一个案例,近两年来,随着越来越多的公共网络基础设施被利用来进行反射放大攻击流量和最近成为热点的IoT行业安全漏洞的暴露,发起大流量DDoS攻击的成本大大降低,以至于DDoS攻击的趋势逐渐向大流量型攻击倾斜。由于客户带宽大小通常只与业务相关,而业务流量大小并不一定随着业务的重要程度而增大,所以大部分客户的带宽资源很容易成为瓶颈,也自然流量型DDoS攻击的目标。
发布时间:2017-02-24 01:30 | 阅读:177717 | 评论:0 | 标签:技术分享 Amazon Arbor Networks Spectrum Box DDoS DDoS清洗 NSFOCUS

RSA2017火爆的勒索软件Ransomware防御领域

阅读: 35DATA,2017年USA RSA会议最热门词(参见下图)。每年RSA会议的热门词会由组委会根据参会组织所属领域、发言人提报议题内容,包含最多的领域提炼出来。DATA、CLOUD、THREAT、INTELLIGENCE等一直是近几年的热点领域,今年DATA一跃成为最热门领域。提到DATA,既有利用大数据的SIEM,又有数据的安全防护,还有进行广泛数据分析的INTELLGENCE,而今年最重要的是多了一大热点——Ransomware(勒索软件)。Ransomware指黑客通过各种锁定控制并锁定了公司、个人电脑中的数据,并向其所有人索要赎金的一类威胁。
发布时间:2017-02-16 11:05 | 阅读:200158 | 评论:0 | 标签:技术分享 Ransomware Ransomware事件 Ransomware防御领域 RSA2017 勒索软件 勒索软

RSA2017创新沙盒冠军unifyid 安全又易用,老树开新花

阅读: 122017年RSA大会的创新沙盒在选出的十家短名单的基础上,经过激烈的演讲问答环节,选出了最后的获胜者 UNIFYID。下面一起看看他们的创新点,有哪些可以学习借鉴的。身份认证不能说是新领域。我们基本上每天都需要认证登录。也经常有用户密码泄露,盗用身份的安全事件。在这种传统技术领域,结合新技术一样绽放无限光芒。首先它利用现在越来越丰富的各种传感器获取用户的数据。比如,手机里的陀螺仪,加速器,GPS,周围光感应,WIFI,蓝牙等等,对pc可以包括击键间隔,鼠标的移动和滚轮的滚动,触摸板的移动,周边WIFI,蓝牙等等。总共号称有一百种维度。
发布时间:2017-02-16 11:05 | 阅读:155063 | 评论:0 | 标签:技术分享 RSA2017创新沙盒 RSA2017创新沙盒冠军unifyid 冠军unifyid 机器学习算法 SaaS

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云