记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

电子邮件安全网关不安全

电子邮件是当今威胁形势中最常见的攻击媒介。超过92%的恶意软件通过电子邮件进行传播,而且2017年,普通用户平均每月收到16封恶意电子邮件。网络犯罪分子滥用电子邮件传播恶意软件、窃取用户凭据和其他敏感数据。由于电子邮件无处不在、攻击面大,所以是一种非常常用的攻击媒介。 这就是为什么公司在安全技术上(包括安全的电子邮件网关)花费数千至数百万美元。但是,声称这些技术可以防止所有威胁是错误的,研究人员发现过无数起绕过电子邮件网关、导致用户帐户受损的网络钓鱼事件。 Proofpoint和Mimecast通常无法处理简单的网络钓鱼攻击 Proofpoint创立于2002年6月,总部位于美国加州桑尼维尔,是一家网络安全服务领导公司,提供电子邮件安全、归档及防止数据丢失整合解决方案。Mimecast是一家为Microsoft
发布时间:2018-10-18 01:45 | 阅读:7166 | 评论:0 | 标签:技术控

丧心病狂!这种远控木马偷图标取假名甚至还有套牌身份证

换身份是谍战片、警匪片中常见的桥段,想要躲避追捕的主角或配角,从黑市买来一套新的身份,改头换面逃之夭夭。而现实生活中,拥有这种偷天换日本事的东西,可能就潜伏在你电脑中!日前,360安全中心监测到有款远控木马试图借用 “网易”官方签名躲避查杀,大肆传播,360安全卫士已经可以查杀这类木马。 程序的身份证:数字签名 “数字签名”实际上就相当于一个程序的身份证,指可以添加到文件的电子安全标记。使用它可以验证文件的发布者以及帮助验证文件自被数字签名后是否发生更改。如果文件没有有效的数字签名,则无法确保该文件确实来自它所声称的源,或者无法确保它在发布后未被篡改。 基于正规厂商和用户之间的信任关系,以及厂商和厂商间的信任关系,大部分安全厂商对有数字签名和正规身份的程序默认是信任的。而不法分子就是盯上了针对这一信任关系,打起
发布时间:2018-10-17 18:45 | 阅读:7139 | 评论:0 | 标签:技术控

勒索软件GandCrab结合加密服务,功能再升级

为了进一步加强恶意软件的隐身功能,勒索软件GandCrab已与crypter服务合作。该恶意软件最近经历了一系列演变,自今年1月被发现以来,GandCrab背后的作者似乎在不断寻找增强恶意软件代码的方法。 GandCrab试图利用安全性较差的远程桌面应用程序,漏洞利用工具包,网络钓鱼,僵尸网络和PowerShell脚本来感染系统。该恶意软件通常作为一个软件包提供,并被许多人视为勒索软件即服务产品。GandCrab已经在全球范围内影响了数千名受害者。一旦系统被感染,GandCrab就会加密并锁定文件,并要求受害者支付几百到几千美元不等的赎金。 上个月,研究人员发现了通过Phorpiex蠕虫传播的GandCrab 第四代,该恶意软件可以通过USB驱动器、可移动存储和垃圾短信传播来感染企业网络。 9月27日,Gand
发布时间:2018-10-16 18:45 | 阅读:11463 | 评论:0 | 标签:技术控 加密

Blackenergy恶意软件工具包

Blackenergy是一个被各种犯罪团伙使用多年的工具,流通在俄罗斯的地下网络,最早能够追溯到2007年。在2014年夏,F-Secure团队发现Blackenergy恶意软件的特定样本开始以乌克兰政府作为目标来收集情报。这些样本被识别出是同一组织的成果,该组织称之为“Quedagh”,历来喜欢把政府作为攻击目标。 鉴于该工具的特点,Blackenergy已被不同团伙用于不同的用途。有些团伙利用它发送垃圾邮件,另一些用来盗取银行凭证。最典型的案例是在2008年俄格冲突期间,该工具被用来对格鲁吉亚实施网络攻击。 BlackEnergy最早版本(BlackEnergy 1)出现于2007年。后续的变种(BlackEnergy 2)于2010年发布。另外还存在一个变种,该变种已被改造为使用不同的格式保存配置数据,且
发布时间:2018-10-16 18:45 | 阅读:11234 | 评论:0 | 标签:技术控

微软商店中伪装成Google相册的恶意广告点击器

微软商店中今天发现了一款名为“Album by Google Photos”的恶意应用程序。此应用程序伪装成Google相册的一部分,但实际上是一个广告点击器,可在Windows 10中反复打开隐藏的广告。 这款免费软件声称是由Google LLC创建的,其中包含一条描述说明:“最后,一款与您一样聪明的照片应用”。下图是其在微软商店中的下载页面。 微软商店截图 由于这一应用实际上是一款广告点击器,因此该应用的评价不是很好,其中一条评论称其为“假应用程序”,另一条则称“假的,千万别安装。” 评论截图 下面我们将深入了解该广告点击器的工作原理及其显示的广告类型。 广告点击器成伪装Google相册专辑 这款Google相册专辑是一款PWA应用(渐进式网络应用),可作为Google相册的前端,但附带捆绑式广告点击器
发布时间:2018-10-15 18:45 | 阅读:10897 | 评论:0 | 标签:技术控

威胁猎人与安全分析师:相辅相成的安全二重奏

孙子兵法:知己知彼,百战不殆。在安全领域,尤其是商业领域,如果能知道攻击者是谁、在什么时候、以何种方式、攻击自己的哪项业务,对企业而言,防御能力将事半功倍。因此,获取威胁情报的能力在企业的网络安全对抗中尤为重要。 以间谍对抗间谍活动,威胁猎人给企业安全团队带来了网络侦察、修复的主动意识,以保护企业的重要数据资产。 市场对威胁猎手求贤若渴 如果您有空的话,不妨去看看LinkedIn、Indeed等其他知名求职网站的职位列表,就会发现数百个威胁猎人的职位空缺,这是几年前是无法想象的。其中许多招聘方为大型银行、国际通信企业和国防承包商,这些大型企业机构的数据安全性至关重要,而其他中小型企业机构也同样如此。 2017年,美国SANS研究所的一份报告显示,越来越多的组织正在展开威胁搜寻计划,但大部分增长仅限于垂直市场,
发布时间:2018-10-15 18:45 | 阅读:10631 | 评论:0 | 标签:技术控 观点

公共云中的网络钓鱼

Netskope Threat Protection最近在Google云端硬盘中发现了一个有趣的PDF。该PDF附件被伪装成丹佛的一家律师事务所的文件。PDF链接到Azure blob存储中托管的Office 365网络钓鱼页面。由于网络钓鱼诱饵托管在Azure blob存储中,因此它具有Microsoft的域名和SSL证书。Microsoft域名,证书和内容的组合使这个诱饵特别有说服力,人们很难将其识别为网络钓鱼。在这篇文章中,我们详细分析了PDF诱饵和网络钓鱼站点。还总结了一些建议,以帮助保护您和您的组织免受类似网络钓鱼活动的攻击。 传统上,PDF诱饵以电子邮件附件的形式发送给受害者。它们精心制作,内容合法,来源合法。一般情况下,附件会保存到云端存储服务器上,例如Google云端硬盘。与其他用户共享这些文档
发布时间:2018-10-12 18:45 | 阅读:18888 | 评论:0 | 标签:技术控

FitMetrix暴露了数百万客户详细信息

安全研究人员发现,大量的FitMetrix用户的数据通过一组ElasticSearch服务器暴露在互联网上。登录该服务器不需要密码,且其允许任何知道其IP地址的人访问大量信息,其中一些信息包含FitMetrix用户的个人数据。 FitMetrix是一家为健身房、工作室、企业健康计划和医疗保健专业人士提供心率监测软件的公司。该公司成立于2013年,今年早些时候被Mindbody收购,Mindbody是一家为健康服务行业提供大量云业务管理软件的公司。 FitMetrix已经暴露了数百万客户的记录,因为他们的云服务器完全开放。在公共访问被关闭之前,网络犯罪分子就访问了数据库。研究人员表示无法确定ElasticSearch服务器中公开的用户详细信息的确切数量,但该数据库大概包含119GB数据和两个不同的索引:platf
发布时间:2018-10-12 18:45 | 阅读:18222 | 评论:0 | 标签:技术控

DLL注入可绕过Windows10勒索软件防护功能

在Windows 10中,微软公司添加了一项名为“受控文件夹访问”的新勒索软件防护功能,该功能可用于防止未知程序修改受保护文件夹中的文件。 在上周举行的DerbyCon安全会议上,一位名为Soya Aoyama的安全研究人员展示了勒索软件如何利用DLL注入来绕过“受控文件夹访问”防护功能。 Soya Aoyama在DerbyCon安全会议上的演示 使用DLL注入绕过“受控文件夹访问” “受控文件夹访问”是Windows 10中新推出的一项功能,允许用户保护文件夹及其中的文件,这样只能由列入白名单的应用程序修改它们。白名单应用程序可以是用户指定的应用程序,也可以是Microsoft默认列入白名单的应用程序。 “受控文件夹访问”功能将explorer.exe程序列入白名单,富士通系统集成实验室有限公司的安全研
发布时间:2018-10-10 18:45 | 阅读:17923 | 评论:0 | 标签:技术控 注入

新报告显示网络威胁增加,用户仍面临高风险

来自加拿大网络安全公司eSentire和美国企业安全服务公司Proofpoint的两份新报告显示,在线网络威胁如今仍然是一个严重的问题,用户在安全性方面还存在很多不足之处。网络威胁带来的危险,以及用户自身缺乏防范可能使个人或企业面临数据或财产严重损失的风险。拥有良好的安全措施,如保持系统更新、使用不同的密码、保持WiFi网络安全以及运行防病毒软件可以帮助改善这些风险。 eSentire 2018年第二季度威胁报告 该威胁报告关注2018年第二季度的漏洞利用活动、网络钓鱼、恶意软件以及端点事件。报告指出最容易遭受网络安全威胁的行业是生物技术,其次是会计服务、房地产、市场营销和建筑等行业。大多数攻击都是为了寻找其中陈旧未更新的漏洞,少数攻击则由于未修补的系统或配置问题而得以成功。 该报告发现针对微软互联网信息
发布时间:2018-10-10 18:45 | 阅读:15754 | 评论:0 | 标签:技术控

8102年了,网络中间件仍然无法在不破坏加密的情况下处理TLS

上个月发布的一项学术研究显示,尽管对网络流量检测设备进行了多年的研究,但这些设备仍然存在问题。 加密流量检测设备(也称为中间件),无论是特殊硬件还是复杂软件,已经在企业网络中使用了二十多年。系统管理员使用此类设备创建中间人TLS代理,该代理可查看HTTPS加密流量、扫描恶意软件或网络钓鱼链接。 这些设备的工作方式都相同,在内部网络上创建TLS服务器,在外部网络上创建TLS客户端。TLS服务器接收来自用户的流量,解密连接,允许设备检查流量,然后通过自己的TLS客户端模仿浏览器,重新加密并中继与目标服务器的连接。 在以前,这没什么问题,主要是因为在开始时,HTTPS连接很容易设置。但是,随着支持TLS流量的技术变得越来越复杂,如果不有意无意的降级HTTPS加密,供应商也越来越难以支持所有类型的连接。 在过去十年中,
发布时间:2018-10-09 18:45 | 阅读:17313 | 评论:0 | 标签:技术控 加密

卡巴斯基解密:Turla和Sofacy攻击活动存在某种关联

卡巴斯基实验室的研究人员最近发现一些线索,证明俄罗斯APT黑客团体Turla和Sofacy的活动有极大关联: 1.两个组织都被发现针对政府研究和军事组织,重点关注中亚。 2.在他们的行动中,都使用了几乎相同版本的KopiLuwak后门。 Turla是俄罗斯最古老,最多产的黑客组织之一,他与其他威胁组织Zebrocy共享恶意软件代码和攻击目标。最近发现两个组织都以政府研究和军事组织为目标,重点关注中亚。Zebrocy被认为是臭名昭著的网络间谍组织APT28(又名Fancy Bear)的一个子集团。 今年3月份在墨西哥坎昆举行的卡巴斯基安全分析峰会期间,首席安全研究员Kurt Baumgartner透露,与Sofacy APT相关的活动似乎与其他网络间谍组织开展的活动有关联。  Baumgartner解释说,So
发布时间:2018-10-09 18:45 | 阅读:15033 | 评论:0 | 标签:技术控

介绍下Linux的路由

本文介绍了Linux计算机的路由,有助于了解简单的Linux网络环境。 连接到网络的每台计算机在离开本地主机时都需要某种类型的网络TCP/IP数据包路由指令。这通常非常简单,因为大多数网络环境非常简单,并且只有两个选项可用于离开数据包。所有数据包都发送到本地网络上的设备或其他远程网络。 我们一定要将“本地”网络定义为逻辑网络,通常也是本地主机所在的物理网络。逻辑上,这意味着为主机分配本地子网IP地址范围之一的子网。物理上这意味着主机连接到一个或多个交换机,这些交换机也连接到本地网络的其余部分。 TCP/IP网络模型 在我们进入路由之前,需要理解数据包如何找到通往网络上正确主机的路径。TCP/IP网络模型定义了一个五层堆栈,描述了将数据包从一个主机传输到另一个主机所需的机制,无论该主机是在本地网络还是在广域网。
发布时间:2018-10-08 18:45 | 阅读:20709 | 评论:0 | 标签:技术控

Fallout Exploit Kit再出手,Kraken Cryptor 勒索软件“上市”

漏洞利用工具Fallout Exploit Kit过去几周一直在推送分发GandCrab勒索软件,但现在它已经开始分发另一款恶意勒索软件Kraken Cryptor。 Kraken Cryptor是一种勒索软件即服务(RaaS),目前正在被不同的恶意行为者们积极分发。Kraken Cryptor攻击活动是由MalwareHunter团队于9月中旬首次发现并报告的。上个月,Kraken Cryptor攻击了Superantispyware.com网站,并将该勒索软件伪装成合法的SuperAntiSpyware反恶意软件安装程序进行分发。 攻击者声称,他们最初计划用勒索软件的可执行文件替换原始的SuperAntiSpyware.exe文件,但出于某种原因,他们并未这样做:“我们原先的计划是用勒索软件替换原始文件,
发布时间:2018-10-08 18:45 | 阅读:18520 | 评论:0 | 标签:技术控 exp

黑客自定义URL以规避检测

黑客有很多方法可以避免被发现。今天,我们来看看他们如何调整URL以绕过防火墙—-以及如何阻止他们成功。 通过组合URL的各种组件以及某些编码和混淆方法,可以滥用OLE对象关系来下载恶意内容,同时避免多种形式的检测。由于不同的操作系统和Mi​​crosoft Office版本以不同方式处理URL,因此黑客可以制作在这些系统中使用相同的静态防火墙规则无法轻易检测到的URL。处理方法的变化可以允许在未经受害者同意或知情的情况下加载恶意内容。 对象关系 Microsoft创建了对象链接和嵌入(OLE)体系结构,以使各种类型的文件能够共享不同类型的信息,例如Word文档或Excel电子表格。共享信息表示为对象。OLE对象与创建它的应用程序之间保有一种关系,该关系可以是静态的,嵌入的或链接的。 黑客可以滥用Op
发布时间:2018-10-08 18:45 | 阅读:18954 | 评论:0 | 标签:技术控

VPNFilter威胁升级,7个新模块被发现

在VPNFilter中发现的七个新模块进一步填补了该恶意软件如何运作的空白,这些模块为恶意软件增加了重要功能,包括数据过滤功能。 在对第三阶段的7个新模块进行逆向工程分析后,思科Talos研究人员表示,该恶意软件包含其他功能—-包括网络映射功能,拒​​绝服务功能和流量混淆技术。其中还包括一种利用本地网络通过已感染设备访问的其他设备的方法。 研究人员在一份报告中说:“由于VPNFilter的复杂性,所有个人和组织都应该紧密追踪其框架。” VPNFilter事件回溯 北京时间 5 月 23 日晚,思科公司发布安全预警称,俄罗斯黑客利用恶意软件,已感染几十个国家的至少50万台路由器和存储设备。攻击中使用了高级模块化恶意软件系统“VPNFilter”,这是思科 Talos 团队与多个部门以及执法机构一直追
发布时间:2018-09-27 18:45 | 阅读:23775 | 评论:0 | 标签:技术控

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词