记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

BYOB,一把新的双刃剑

介绍 在当今的网络安全领域,进行高质量的攻击所需的专业知识与对实际攻击的理解之间的差距越来越小。因为“即插即用”黑客工具包的普及,曾经只有有资助的APT团队才能利用的技术现在可以被初出茅庐的犯罪分子(即“脚本小子”)轻松利用。 当然,网络安全社区也在不断开发工具和技术,提高了成为攻击者和维护者的门槛。但是这些工具不仅可以用于测试、增强防御能力,它们也可用于攻击性目的。 一个很好的例子是最近(2018年7月)发布的BYOB(Build Your Own Botnet)框架,该框架包含了构建僵尸网络所需的所有构建块。该框架是为了改进网络安全防御而开发的。由BYOB创建的僵尸程序具有先进的APT工具级别的复杂功能。虽然提高了防御能力,但也可以被任何具有恶意意图的“脚本小子”利用来进行攻击。 Perception P
发布时间:2019-01-21 18:45 | 阅读:313 | 评论:0 | 标签:技术控

Google Play 甩不掉的麻烦,“死神”Anubis换上新装再出击

趋势科技研究人员最近在Google Play上发现了两个分发银行恶意软件的应用程序,它们伪装成实用工具,分别名为Currency Converter和BatterySaverMobi。谷歌现已将这两款应用程序从应用商店中下架。 这款电池应用程序在下架之前已被下载过5000多次,73位用户给它的评分是4.5分。然而仔细观察这些评论可以发现好评是刷出来的,一些匿名用户的评论没有逻辑而且很宽泛,没有具体细节。 研究人员仔细分析了这一活动,发现这两个应用程序丢弃了一个恶意负载,所以研究人员可以安全地链接到已知的银行恶意软件Anubis(趋势科技检测为ANDROIDOS_ANUBISDROPPER)。在分析有效载荷后,研究人员注意到该代码与已知的Anubis样本非常相似,还发现它链接到域名为aserogeege.spa
发布时间:2019-01-18 18:45 | 阅读:19836 | 评论:0 | 标签:技术控

动态数据解析器(DDR)——IDA插件

执行摘要 IDA中的静态逆向工程通常出问题。某些数值是运行时计算的,这就很难理解某个基本组块正在做什么。但如果你试着通过调试一个恶意软件来执行动态分析,通常会被恶意软件检测到,其表现也会出现偏差。思科Talos采用动态数据解析器(DDR)作为IDA的新插件,旨在让对恶意软件逆向工程更为简单。 特征 代码流跟踪 (用20种不同颜色显示基本组块的执行次数): 可搜索到的API调用日志记录: (包括出现的所有特定指令,如:调用、jxx等,触摸API地址) 可搜索到的字符串记录: 解析动态值和自动评论: 技术细节 架构和使用 DDR具有图5所示的客户端/服务器架构.DDR IDA插件和DDR服务器为Python脚本。DynamoRIO客户端是用C语言编写的DLL文件,由DynamoRIO工具drrun.exe
发布时间:2019-01-17 18:45 | 阅读:23185 | 评论:0 | 标签:技术控

恶意软件NanoCore利用MS Word传播

就在前几天,Fortinet FortiGuard实验室在野捕获了一个恶意MS Word文档,其中包含可自动执行的恶意VBA代码,可以在受害者的Windows系统上传播和安装NanoCore RAT软件。NanoCore RAT是在.Net框架中开发的,最新版本是“1.2.2.0”。2018年年初,其作者“Taylor Huddleston”被联邦调查局抓获,现于监狱服刑。研究人员捕获的样本使用NanoCore在受害者的系统上执行恶意行为。 恶意Word文档 打开恶意Word文档 捕获的恶意Word文档的名称是“eml _-_ PO20180921.doc”。当它在MS Word中打开时,我们会看到如上图所示的内容,窗口顶部有一条黄色警告消息。 一旦受害者点击黄色按钮“启用内容”,恶意VBA代码就会在后台运行
发布时间:2019-01-17 18:45 | 阅读:17587 | 评论:0 | 标签:技术控

Z—WSP漏洞,网络钓鱼绕过Office 365保护

据云安全公司Avanan的研究发现,最近一些网络钓鱼活动中利用了Office 365的一个漏洞,允许他们使用零宽度空格(Z-WSP)绕过钓鱼保护并向收件人发送恶意邮件。该漏洞与电子邮件原始HTML中的恶意URL中使用的零宽度空格有关。黑客通过分割URL的方法,使得防御系统不能检测到恶意信息。在收到报告后,直到上周微软公司才修复了这一漏洞。 什么是零宽度空格? 零宽度空格,顾名思义即,具有空格的功能,但宽度为零。举个例子来说,我们在word里面按一个空格,然后选中、缩放、调间距,然后就变成了零宽度空格。有五种零宽度空格形式,分别是: ​(Zero-Width Space) ‌(Zero-Width Non-Joiner) ‍(Zero-Width Jo
发布时间:2019-01-14 18:45 | 阅读:16839 | 评论:0 | 标签:技术控 漏洞

Microsoft Windows JET引擎Msrd3x代码执行漏洞

2018年9月,Fortinet FortiGuard实验室的研究人员发现了Windows JET引擎Msrd3x40的代码执行漏洞,根据Fortinet的披露流程研究人员将此漏洞报告给了微软。2019年1月,微软发布了安全公告,修复了该漏洞并将其标识为CVE-2019-0538。 易受攻击的DLL msrd3x40是支持从Windows 7到Windows 10所有Windows版本的组件。研究人员报告的漏洞可以使用精心设计的mdb文件触发。解析mdb PoC文件时,由于释放无效的堆地址而发生堆损坏,这可能导致代码执行漏洞。 分析 有两种方法可以重现此漏洞。 方法1: 通过使用下面的参数用Excel oledb外部数据源加载PoC文件, Excel就会崩溃。该PoC文件可以位于任何本地或smb共享中。 输
发布时间:2019-01-14 18:45 | 阅读:12685 | 评论:0 | 标签:技术控 漏洞

Google Play上的间谍软件分析

趋势科技研究人员发现了一种间谍软件(检测为ANDROIDOS_MOBSTSPY),它伪装成合法的Android应用程序来收集用户的信息。2018年这些应用程序可在Google Play上下载,其中一些应用程序下载次数已经超过100,000次。 研究人员最初研究的应用之一是游戏Flappy Birr Dog,如下图所示。其他应用程序包括FlashLight、HZPermis Pro Arabe、Win7imulator、Win7Launcher和Flappy Bird。自2018年2月以来,其中六分之五的应用程序已从Google Play上下架。截至撰写时,Google已经从Google Play中删除了所有这些应用程序。 Flappy Birr Dog下载页面 信息窃取 MobSTSPY能够窃取用户位置、短信
发布时间:2019-01-04 18:45 | 阅读:31776 | 评论:0 | 标签:技术控

好看有什么用,壁纸App涉嫌广告点击欺诈

趋势科技研究人员在Google Play商店中检测到15个壁纸应用存在广告欺诈行为。在撰写本文时,这些应用程序在Google Play商店中总下载次数高达222,200多次,研究人员的遥测显示感染率最高的是意大利、台湾、美国、德国和印度尼西亚。Google已确认删除所有被发现的应用。 这些应用程序设计有诱人的图标,承诺给用户提供美丽的手机壁纸。这些应用程序下载量很高且好评如潮,但研究人员高度怀疑这些评论是假的,创建这些假评论的目的就是为了提高可信度。 Wild Cats HD Wallpaper App下载量已超10,000次,评分高达4.8分 下载后,应用程序会解码配置的命令和控制(C&C)服务地址。 解码并运行C&C服务地址 为了不被用户发现,整个过程都是静音的。一旦启动应用程序,就会给C&C发送HT
发布时间:2018-12-22 01:45 | 阅读:40113 | 评论:0 | 标签:技术控

LCG工具包:恶意Microsoft Office文档构建器

概观 Proofpoint研究人员在2018年3月发现了LCG Kit——一种武器化文档构建服务。自从研究人员开始跟踪LCG工具包以来,研究人员使用各种形式的Microsoft公式编辑器漏洞CVE-2017-11882进行了观察。最近,它的开发者集成了一个VB Script漏洞,CVE-2018-8174,该漏洞用于电子邮件活动。最后,在11月底,LCG Kit具备了使用Microsoft Word宏的功能。 LCG工具包有点不同寻常,因为其代码使用多态shellcode和线性同余生成器(LCG)(一种生成伪随机数序列的算法)进行高度混淆,以加密最后阶段的代码,包括有效负载位置。由于这一独特功能,研究人员将该工具包命名为LCG。 由于在许多电子邮件活动中都发现了LCG工具包的身影,研究人员认为它可能已在地下论
发布时间:2018-12-19 13:45 | 阅读:27031 | 评论:0 | 标签:技术控

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

勒索软件InsaneCrypt 或 Everbe 1.0是基于开源项目的勒索软件感染种类。这类勒索软件可能的分发方式是通过垃圾邮件或黑客入侵远程桌面服务,但还不能完全确定。 好在这类勒索软件变种形式可使用 Michael Gillespie and Maxime Meignan所创建的解码器进行解密。为使用解密器,感染者需要一份加密文件和一份相同的、未经加密的文件,可通过Windows样本图片做到。 当前支持加密文件的变种是将以下扩展名附加到加密文件名称的变种。 但这个解密器不会解密Everbe 2.0变种,因为还没发现这种版本的弱点。 如何解密InsaneCrypt 和Everbe 1.0 C勒索软件 InsaneCrypt或Everbe 1.0的受害者可通过将文件加密、重命名为“.insane”、“.D
发布时间:2018-12-18 13:45 | 阅读:25792 | 评论:0 | 标签:技术控

通过电力线“搞定”物理隔离计算机

什么是电力线攻击技术? 电力线攻击技术是近些年出现的一种新型跨网络攻击技术。相比于传统的基于声、光、电磁、热等媒介的跨网络攻击技术,这种技术构建了一种新型的电(电流)隐蔽通道,攻击者可以通过交流电源线获取物理隔离网络中的信息,其隐蔽性更强,危害更大。在标准计算机上运行恶意软件,通过调节CPU工作负载在电力线上直接生成寄生信号,然后利用接收器等设备对电力线中的电流进行感知、还原等工作,完成信息窃取。 图 1 电力线攻击技术 这种攻击有什么独到之处? 电力线攻击技术主要有以下几个特点: ①隐蔽性强:恶意软件通过调节CPU工作负载线程在电力线上生成寄生信号,由于很多合法进程使用影响处理器工作负载的CPU密集型计算,因此这种攻击将传输线程注入这些合法进程中,从而绕过安全检测; ②攻击距离远:在目标计算机所处的主配电网
发布时间:2018-12-14 18:45 | 阅读:35823 | 评论:0 | 标签:技术控

不仅仅是银行木马,DanaBot添加新功能

DanaBot似乎已经超出了银行木马的类别。根据ESET的研究,其开发者最近一直在试验电子邮件地址收集和垃圾邮件发送功能,能够滥用现有受害者的网络邮件帐户进行进一步的恶意软件分发。 除了这些新功能之外,研究人员还发现DanaBot开发者与GootKitkaif开发者合作,GootKit是另一种功能强大的特洛伊木马——非典型的独立运营组织。 从受害者的邮箱发送垃圾邮件 在分析用于定位几个意大利网络邮件服务用户的webinjects时,之前未报告的功能引起了研究人员的注意,这是在2018年9月在欧洲发现的DanaBot新功能的一部分。 根据研究,注入目标网络邮件服务页面的JavaScript可以分为两个主要特征: 1.DanaBot从现有受害者的邮箱中收集电子邮件地址。这种功能是通过在受害者登录后将恶意脚本注入目
发布时间:2018-12-10 18:45 | 阅读:26986 | 评论:0 | 标签:技术控

SplitSpectre:一种新型CPU攻击

由三位来自Northeastern University的学者和三位来自IBM的研究人员组成安全团队发现了一个新的基于CPU的漏洞。这个被称为SplitSpectre的漏洞是Spectre CPU漏洞的变种,可通过基于浏览器的代码执行攻击。 根据研究团队发表的论文这个新漏洞也可以归因于现代处理器微体系结构中的设计缺陷,类似于去年发现的Spectre v1漏洞。SplitSpectre是Spectre v1漏洞的一个新变种,对攻击者来说更容易执行,并且依赖于相同的处理器设计缺陷。 Spectre漏洞可以允许用户操作系统上的其他程序访问其程序电脑存储器空间中任意位置。它不是单个易于修复的漏洞,而是一类潜在漏洞的总和。它们都利用了一种现代微处理器为降低内存延迟、加快执行速度的常用方法“预测执行”的副作用。具体而言,
发布时间:2018-12-06 18:45 | 阅读:34262 | 评论:0 | 标签:技术控

“毒针”行动 – 针对“俄罗斯总统办所属医疗机构”发起的0day攻击

概述 近年来,乌克兰和俄罗斯两国之间围绕领土问题的争执不断,发生了克里米亚半岛问题、天然气争端、乌克兰东部危机等事件。伴随着两国危机事件愈演愈烈之时,在网络空间中发生的安全事件可能比现实更加激烈。2015年圣诞节期间乌克兰国家电力部门受到了APT组织的猛烈攻击,使乌克兰西部的 140 万名居民在严寒中遭遇了大停电的煎熬,城市陷入恐慌损失惨重,而相应的俄罗斯所遭受的APT攻击,外界却极少有披露。 2018年11月25日,乌俄两国又突发了“刻赤海峡”事件,乌克兰的数艘海军军舰在向刻赤海峡航行期间,与俄罗斯海军发生了激烈冲突,引发了全世界的高度关注。在2018年11月29日,“刻赤海峡”事件后稍晚时间,360高级威胁应对团队就在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是此次攻击相关样本来
发布时间:2018-12-06 18:45 | 阅读:36580 | 评论:0 | 标签:技术控 漏洞分析 0day

请注意:扬声器、耳机也能窃密了!——Mosquito攻击技术

你所不知道的Mosquito攻击技术 一种名为“蚊子”(Mosquito)的新型攻击技术,在没有网络和移动存储设备时,它可利用扬声器、头戴式耳机或耳塞来窃取物理隔离电脑里的数据。Mosquito攻击方式是通过高频声波进行隐蔽的通信,将不与网络连接的目标电脑中的数据窃取到相邻的另外一台电脑中。在没有任何网络通讯的情况下,利用人耳听不到的超声波完成了数据交换。这种新型的攻击技术可以在人毫无察觉的情况下窃取数据,其已成为黑客窃取文件和信息的利器。 图1 Mosquito攻击技术 与众不同的Mosquito攻击 1) 能抵抗电磁干扰: 由于声波是纵波,电磁波是横波,因此声信道的传输特性与电磁通信不同,不会出现相同的频段内几种通信相互干扰的情况。 2
发布时间:2018-12-05 18:45 | 阅读:30571 | 评论:0 | 标签:技术控

计算机电磁泄漏的那些事儿

摘  要 麦克斯韦在150年前告诉我们“时变电流产生的电磁波可被隔空感应”。美国在60年前关注密码设备电磁泄漏现象,实施了TEMPEST(一系列的构成信息安全保密领域的总称)计划。荷兰学者范埃克30年前发表论文并用改装黑白电视机远距离接收计算机显示器内容,首次公开计算机电磁泄漏原理。Inslaw丑闻和斯诺登事件证实美国利用电磁泄漏主动攻击窃密由来已久。世界各国学者电磁泄漏研究方兴未艾。本文告诉你计算机电磁泄漏的那些事儿。 麦克斯韦方程组揭示电磁泄漏原理 150多年前,英国科学家麦克斯韦提出了麦克斯韦方程组,创立了经典电动力学,预言了电磁波的存在。 英国爱丁堡圣安德鲁广场麦克斯韦和他的狗的塑像,塑像下面
发布时间:2018-12-05 18:45 | 阅读:35788 | 评论:0 | 标签:技术控 文章

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词