记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

新的SLUB后门通过Slack进行通信

趋势科技研究人员最近发现了一个新的恶意软件并对其非常感兴趣。首先,研究人员发现它是通过水坑攻击传播的,这种攻击方法要求攻击者在添加代码之前感染网站,访问者会被重定向到感染代码。在这种情况下,每个访问者只被重定向一次。感染是利用CVE-2018-8174完成的,CVE-2018-8174是一个VBScript引擎漏洞, Microsoft在2018年5月修补了该漏洞。 其次,它使用多阶段感染方案。在利用上述漏洞后,它会下载DLL并在PowerShell(PS)中运行它。然后下载并运行包含后门的第二个可执行文件。在第一阶段,下载程序还会检查是否存在不同类型的防病毒软件,然后有则不再运行。
发布时间:2019-03-08 18:45 | 阅读:108936 | 评论:1 | 标签:技术控 后门

使用Seq2Seq自动编码器检测Web攻击

攻击检测一直是信息安全的一部分。已知的首个入侵检测系统(IDS)可追溯到20世纪80年代初,而如今其存在于整个攻击检测行业。 检测产品有许多类型,如IDS、IPS、WAF和防火墙等,其中大多数都提供基于规则的攻击检测。使用统计异常检测在生产中识别攻击的想法已然不够现实,但这个假设是否合理? Web应用异常检测 20世纪90年代初,市场上出现了第一批用于检测Web应用程序攻击的防火墙。从那时起,攻击技术和保护机制都发生了巨大演变,而攻击者总是力争领先一步。
发布时间:2019-03-05 18:45 | 阅读:84126 | 评论:0 | 标签:技术控

卡巴斯基杀软与谷歌Chromecast证书冲突

自1月底以来,卡巴斯基反病毒软件的用户在打开Chrome时会显示卡巴斯基多个警报,称“签名证书存在问题,无法保证建立加密连接的域的真实性”,这其实是因为该软件与其网络上的Chromecast设备发生冲突而致。 卡巴斯基的引擎显示这些错误,允许其扫描加密SSL流量以查找恶意内容。 在新Chromium错误报告中,一位Google员工表示,Windows用户的Chromecast发现问题有所增加,且似乎与防病毒软件有关。“设备发现报告突然增加,” bug报告称。“查看这些报告表明它在Windows平台上很常见。对日志的审查显示了投射通道身份验证错误的共性,这通常可归因于反病毒/安全软件。
发布时间:2019-03-01 18:45 | 阅读:126818 | 评论:0 | 标签:技术控

动作频繁!Rietspoof携带多种恶意负载

自2018年8月以来,安全研究人员一直在监控名为Rietspoof的新恶意软件家族。Rietspoof是一种新的多阶段恶意软件,具有一些与众不同的特性和功能。当最初开始跟踪Rietspoof时,它会每个月更新一次。但是,在2019年1月,研究人员注意到更新频率变为每日一次。也许,可以认为是该恶意软件开始活跃的迹象。 Rietspoof在多个阶段,结合各种文件格式,提供更多样化的恶意软件。研究数据表明,其第一阶段是通过即时消息客户端(如Skype或Live Messenger)分发的。它提供了一个高度混淆的Visual Basic脚本,其中包含一个硬编码和加密的第二阶段——一个CAB文件。
发布时间:2019-02-20 18:45 | 阅读:69674 | 评论:0 | 标签:技术控

Trickbot的新功能——远程窃取应用程序凭证

2018年11月,研究人员曾发现一款Trickbot变种,它附带了一个密码获取模块,能够从众多应用程序中窃取凭据。在2019年1月,我们再次发现Trickbot(被检测为TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD),在其本就已经广泛的功能基础上又添加了新的功能。在最新发现的Trickbot变种中,研究人员发现了pwgrab模块的更新版本,可以远程窃取应用程序凭据。 Trickbot恶意软件 TrickBot于2016年首次被发现,据信它基于Dyreza银行木马。
发布时间:2019-02-15 18:45 | 阅读:107427 | 评论:0 | 标签:技术控

如何将SSH密钥身份验证集成到KeePassXC

管理员需要登录远程服务器时可能会用到Secure Shell(SSH),SSH身份验证的最佳方法是通过SSH密钥,但更安全的方法是使用密码管理器,如KeePassXC。 本文将介绍一个有效的安全认证工具。 KeePassXC现在可以存储SSH密钥(及其相关密码)并将它们添加到ssh代理工具中,让SSH密钥身份验证变得更为轻松。KeePassXC还可在关闭应用程序、退出计算机或关闭笔记本电脑的非活动时段自动卸载SSH密钥。 准备工作 需要安装最新版本的KeePassXC和一个能生成SSH密钥的帐户。此KeePassXC功能适用于应用程序支持的平台(Linux、Windows、macOS)。
发布时间:2019-01-25 13:45 | 阅读:102038 | 评论:0 | 标签:技术控

如何使用Fedora模块化存储库

Fedora Linux是较具知名度的Linux发行包之一,由Fedora项目社群开发、红帽公司赞助,目标是创建一套新颖、多功能并且自由(开放源代码)的操作系统。使用该系统的人都认为Fedora桌面或服务器在发行上比较困难。对于偏爱这种发行、又想控制进度的人来说,可以进行模块化。通过DNF命令访问一系列流行软件版本模块。与其他软件集不同的是,模块化方法不会并行安装多个版本的软件,系统上只会安装一个版本。话不多说,下面开始展示如何使用模块化存储库在Fedora29上安装MongoDB数据库管理系统。 准备事项 只需在桌面上运行安装Fedora服务器以及一个带sudo特权的账号。
发布时间:2019-01-23 18:45 | 阅读:99148 | 评论:0 | 标签:技术控

BYOB,一把新的双刃剑

介绍 在当今的网络安全领域,进行高质量的攻击所需的专业知识与对实际攻击的理解之间的差距越来越小。因为“即插即用”黑客工具包的普及,曾经只有有资助的APT团队才能利用的技术现在可以被初出茅庐的犯罪分子(即“脚本小子”)轻松利用。 当然,网络安全社区也在不断开发工具和技术,提高了成为攻击者和维护者的门槛。但是这些工具不仅可以用于测试、增强防御能力,它们也可用于攻击性目的。 一个很好的例子是最近(2018年7月)发布的BYOB(Build Your Own Botnet)框架,该框架包含了构建僵尸网络所需的所有构建块。该框架是为了改进网络安全防御而开发的。
发布时间:2019-01-21 18:45 | 阅读:108985 | 评论:0 | 标签:技术控

Google Play 甩不掉的麻烦,“死神”Anubis换上新装再出击

趋势科技研究人员最近在Google Play上发现了两个分发银行恶意软件的应用程序,它们伪装成实用工具,分别名为Currency Converter和BatterySaverMobi。谷歌现已将这两款应用程序从应用商店中下架。 这款电池应用程序在下架之前已被下载过5000多次,73位用户给它的评分是4.5分。然而仔细观察这些评论可以发现好评是刷出来的,一些匿名用户的评论没有逻辑而且很宽泛,没有具体细节。 研究人员仔细分析了这一活动,发现这两个应用程序丢弃了一个恶意负载,所以研究人员可以安全地链接到已知的银行恶意软件Anubis(趋势科技检测为ANDROIDOS_ANUBISDROPPER)。
发布时间:2019-01-18 18:45 | 阅读:120694 | 评论:0 | 标签:技术控

动态数据解析器(DDR)——IDA插件

执行摘要 IDA中的静态逆向工程通常出问题。某些数值是运行时计算的,这就很难理解某个基本组块正在做什么。但如果你试着通过调试一个恶意软件来执行动态分析,通常会被恶意软件检测到,其表现也会出现偏差。思科Talos采用动态数据解析器(DDR)作为IDA的新插件,旨在让对恶意软件逆向工程更为简单。
发布时间:2019-01-17 18:45 | 阅读:142243 | 评论:0 | 标签:技术控

恶意软件NanoCore利用MS Word传播

就在前几天,Fortinet FortiGuard实验室在野捕获了一个恶意MS Word文档,其中包含可自动执行的恶意VBA代码,可以在受害者的Windows系统上传播和安装NanoCore RAT软件。NanoCore RAT是在.Net框架中开发的,最新版本是“1.2.2.0”。2018年年初,其作者“Taylor Huddleston”被联邦调查局抓获,现于监狱服刑。研究人员捕获的样本使用NanoCore在受害者的系统上执行恶意行为。 恶意Word文档 打开恶意Word文档 捕获的恶意Word文档的名称是“eml _-_ PO20180921.doc”。
发布时间:2019-01-17 18:45 | 阅读:111375 | 评论:0 | 标签:技术控

Z—WSP漏洞,网络钓鱼绕过Office 365保护

据云安全公司Avanan的研究发现,最近一些网络钓鱼活动中利用了Office 365的一个漏洞,允许他们使用零宽度空格(Z-WSP)绕过钓鱼保护并向收件人发送恶意邮件。该漏洞与电子邮件原始HTML中的恶意URL中使用的零宽度空格有关。黑客通过分割URL的方法,使得防御系统不能检测到恶意信息。在收到报告后,直到上周微软公司才修复了这一漏洞。 什么是零宽度空格? 零宽度空格,顾名思义即,具有空格的功能,但宽度为零。举个例子来说,我们在word里面按一个空格,然后选中、缩放、调间距,然后就变成了零宽度空格。
发布时间:2019-01-14 18:45 | 阅读:114852 | 评论:0 | 标签:技术控 漏洞

Microsoft Windows JET引擎Msrd3x代码执行漏洞

2018年9月,Fortinet FortiGuard实验室的研究人员发现了Windows JET引擎Msrd3x40的代码执行漏洞,根据Fortinet的披露流程研究人员将此漏洞报告给了微软。2019年1月,微软发布了安全公告,修复了该漏洞并将其标识为CVE-2019-0538。 易受攻击的DLL msrd3x40是支持从Windows 7到Windows 10所有Windows版本的组件。研究人员报告的漏洞可以使用精心设计的mdb文件触发。解析mdb PoC文件时,由于释放无效的堆地址而发生堆损坏,这可能导致代码执行漏洞。 分析 有两种方法可以重现此漏洞。
发布时间:2019-01-14 18:45 | 阅读:95202 | 评论:0 | 标签:技术控 漏洞

Google Play上的间谍软件分析

趋势科技研究人员发现了一种间谍软件(检测为ANDROIDOS_MOBSTSPY),它伪装成合法的Android应用程序来收集用户的信息。2018年这些应用程序可在Google Play上下载,其中一些应用程序下载次数已经超过100,000次。 研究人员最初研究的应用之一是游戏Flappy Birr Dog,如下图所示。其他应用程序包括FlashLight、HZPermis Pro Arabe、Win7imulator、Win7Launcher和Flappy Bird。自2018年2月以来,其中六分之五的应用程序已从Google Play上下架。
发布时间:2019-01-04 18:45 | 阅读:119263 | 评论:0 | 标签:技术控

好看有什么用,壁纸App涉嫌广告点击欺诈

趋势科技研究人员在Google Play商店中检测到15个壁纸应用存在广告欺诈行为。在撰写本文时,这些应用程序在Google Play商店中总下载次数高达222,200多次,研究人员的遥测显示感染率最高的是意大利、台湾、美国、德国和印度尼西亚。Google已确认删除所有被发现的应用。 这些应用程序设计有诱人的图标,承诺给用户提供美丽的手机壁纸。这些应用程序下载量很高且好评如潮,但研究人员高度怀疑这些评论是假的,创建这些假评论的目的就是为了提高可信度。
发布时间:2018-12-22 01:45 | 阅读:122548 | 评论:0 | 标签:技术控

LCG工具包:恶意Microsoft Office文档构建器

概观 Proofpoint研究人员在2018年3月发现了LCG Kit——一种武器化文档构建服务。自从研究人员开始跟踪LCG工具包以来,研究人员使用各种形式的Microsoft公式编辑器漏洞CVE-2017-11882进行了观察。最近,它的开发者集成了一个VB Script漏洞,CVE-2018-8174,该漏洞用于电子邮件活动。最后,在11月底,LCG Kit具备了使用Microsoft Word宏的功能。 LCG工具包有点不同寻常,因为其代码使用多态shellcode和线性同余生成器(LCG)(一种生成伪随机数序列的算法)进行高度混淆,以加密最后阶段的代码,包括有效负载位置。
发布时间:2018-12-19 13:45 | 阅读:129045 | 评论:0 | 标签:技术控

解密InsaneCrypt 或Everbe 1 类勒索软件的方式

勒索软件InsaneCrypt 或 Everbe 1.0是基于开源项目的勒索软件感染种类。这类勒索软件可能的分发方式是通过垃圾邮件或黑客入侵远程桌面服务,但还不能完全确定。 好在这类勒索软件变种形式可使用 Michael Gillespie and Maxime Meignan所创建的解码器进行解密。为使用解密器,感染者需要一份加密文件和一份相同的、未经加密的文件,可通过Windows样本图片做到。 当前支持加密文件的变种是将以下扩展名附加到加密文件名称的变种。 但这个解密器不会解密Everbe 2.0变种,因为还没发现这种版本的弱点。
发布时间:2018-12-18 13:45 | 阅读:122054 | 评论:0 | 标签:技术控

通过电力线“搞定”物理隔离计算机

什么是电力线攻击技术? 电力线攻击技术是近些年出现的一种新型跨网络攻击技术。相比于传统的基于声、光、电磁、热等媒介的跨网络攻击技术,这种技术构建了一种新型的电(电流)隐蔽通道,攻击者可以通过交流电源线获取物理隔离网络中的信息,其隐蔽性更强,危害更大。在标准计算机上运行恶意软件,通过调节CPU工作负载在电力线上直接生成寄生信号,然后利用接收器等设备对电力线中的电流进行感知、还原等工作,完成信息窃取。
发布时间:2018-12-14 18:45 | 阅读:137988 | 评论:0 | 标签:技术控

不仅仅是银行木马,DanaBot添加新功能

DanaBot似乎已经超出了银行木马的类别。根据ESET的研究,其开发者最近一直在试验电子邮件地址收集和垃圾邮件发送功能,能够滥用现有受害者的网络邮件帐户进行进一步的恶意软件分发。 除了这些新功能之外,研究人员还发现DanaBot开发者与GootKitkaif开发者合作,GootKit是另一种功能强大的特洛伊木马——非典型的独立运营组织。 从受害者的邮箱发送垃圾邮件 在分析用于定位几个意大利网络邮件服务用户的webinjects时,之前未报告的功能引起了研究人员的注意,这是在2018年9月在欧洲发现的DanaBot新功能的一部分。
发布时间:2018-12-10 18:45 | 阅读:111239 | 评论:0 | 标签:技术控

SplitSpectre:一种新型CPU攻击

由三位来自Northeastern University的学者和三位来自IBM的研究人员组成安全团队发现了一个新的基于CPU的漏洞。这个被称为SplitSpectre的漏洞是Spectre CPU漏洞的变种,可通过基于浏览器的代码执行攻击。 根据研究团队发表的论文这个新漏洞也可以归因于现代处理器微体系结构中的设计缺陷,类似于去年发现的Spectre v1漏洞。SplitSpectre是Spectre v1漏洞的一个新变种,对攻击者来说更容易执行,并且依赖于相同的处理器设计缺陷。 Spectre漏洞可以允许用户操作系统上的其他程序访问其程序电脑存储器空间中任意位置。
发布时间:2018-12-06 18:45 | 阅读:121092 | 评论:0 | 标签:技术控

“毒针”行动 – 针对“俄罗斯总统办所属医疗机构”发起的0day攻击

概述 近年来,乌克兰和俄罗斯两国之间围绕领土问题的争执不断,发生了克里米亚半岛问题、天然气争端、乌克兰东部危机等事件。伴随着两国危机事件愈演愈烈之时,在网络空间中发生的安全事件可能比现实更加激烈。2015年圣诞节期间乌克兰国家电力部门受到了APT组织的猛烈攻击,使乌克兰西部的 140 万名居民在严寒中遭遇了大停电的煎熬,城市陷入恐慌损失惨重,而相应的俄罗斯所遭受的APT攻击,外界却极少有披露。 2018年11月25日,乌俄两国又突发了“刻赤海峡”事件,乌克兰的数艘海军军舰在向刻赤海峡航行期间,与俄罗斯海军发生了激烈冲突,引发了全世界的高度关注。
发布时间:2018-12-06 18:45 | 阅读:259976 | 评论:0 | 标签:技术控 漏洞分析 0day

请注意:扬声器、耳机也能窃密了!——Mosquito攻击技术

你所不知道的Mosquito攻击技术 一种名为“蚊子”(Mosquito)的新型攻击技术,在没有网络和移动存储设备时,它可利用扬声器、头戴式耳机或耳塞来窃取物理隔离电脑里的数据。Mosquito攻击方式是通过高频声波进行隐蔽的通信,将不与网络连接的目标电脑中的数据窃取到相邻的另外一台电脑中。在没有任何网络通讯的情况下,利用人耳听不到的超声波完成了数据交换。这种新型的攻击技术可以在人毫无察觉的情况下窃取数据,其已成为黑客窃取文件和信息的利器。
发布时间:2018-12-05 18:45 | 阅读:112871 | 评论:0 | 标签:技术控

计算机电磁泄漏的那些事儿

摘  要 麦克斯韦在150年前告诉我们“时变电流产生的电磁波可被隔空感应”。美国在60年前关注密码设备电磁泄漏现象,实施了TEMPEST(一系列的构成信息安全保密领域的总称)计划。荷兰学者范埃克30年前发表论文并用改装黑白电视机远距离接收计算机显示器内容,首次公开计算机电磁泄漏原理。Inslaw丑闻和斯诺登事件证实美国利用电磁泄漏主动攻击窃密由来已久。世界各国学者电磁泄漏研究方兴未艾。本文告诉你计算机电磁泄漏的那些事儿。 麦克斯韦方程组揭示电磁泄漏原理 150多年前,英国科学家麦克斯韦提出了麦克斯韦方程组,创立了经典电动力学,预言了电磁波的存在。
发布时间:2018-12-05 18:45 | 阅读:123796 | 评论:0 | 标签:技术控 文章

工控系统安全—PLC攻击路径研究

摘    要 PLC(Programmable Logic Controller,可编程逻辑器件)是关键基础设施中的基础控制设备,其安全性涉及到整个控制系统的稳定运行。但是,随着两化融合的不断加深以及工业4.0的推进,工业控制系统在提高信息化水平的同时,其信息安全问题也日益突出。PLC遭受黑客攻击的途径也日益翻新,各种木马和病毒变体数量不断攀升,威胁工业控制系统的安全稳定运行和人员生命财产安全。本文通过介绍常见的几种PCL遭受攻击的途径,为工业控制系统安全敲响警钟。 随着技术的不断进步,PLC在向着智能化的方向发展,接口数量和类型越来越多,功能也日益丰富。
发布时间:2018-12-05 18:45 | 阅读:105238 | 评论:0 | 标签:技术控

你了解牛气冲天的SLAM技术吗?

SLAM概述 SLAM:Simultaneous Localization and Mapping,即时定位与地图构建技术。它指的是:机器人从未知环境的未知地点出发,在运动过程中通过重复观测到的环境特征定位自身位置和姿态,再根据自身位置构建周围环境的增量式地图,从而达到同时定位和地图构建的目的。 SLAM技术的发展推动了定位(Localization)、跟踪(Tracking)以及路径规划(Path Planning)技术的发展,进而对无人机、无人驾驶、机器人等热门研究领域产生重大影响。 我们来看看SLAM技术都在哪些领域发挥作用吧。
发布时间:2018-12-05 18:45 | 阅读:86979 | 评论:0 | 标签:技术控

工控系统安全2——PLC攻击种类研究

PLC(Programmable Logic Controller,可编程逻辑控制器)是关键基础设施中的基础控制设备,其安全性涉及到整个控制系统的稳定运行。但是,随着两化融合的不断加深以及工业4.0的推进,工业控制系统在提高信息化水平的同时,其信息安全问题也日益突出。PLC遭受黑客攻击的途径也日益翻新,各种木马和病毒变体数量不断攀升,威胁工业控制系统的安全稳定运行和人员生命财产安全。上篇我们介绍了常见的几种PCL遭受的攻击路径,本篇再给大家介绍PCL遭受攻击的3个种类,进一步警醒大家:工业控制系统安全防护任重道远。
发布时间:2018-12-05 18:45 | 阅读:81980 | 评论:0 | 标签:技术控

打印机信息安全风险与防范措施

打印机作为常用的信息设备之一,在给我们工作和生活带来诸多便利的同时,由打印所产生的信息泄露等信息安全问题也日趋严峻。本文通过对打印机硬件、软件、通信和耗材等可能涉及信息泄露的风险点进行深入讲解,总结了打印机的安全隐患,并提出了相应的防范措施。 打印机安全风险分析 打印机通常由硬件电路、光学成像结构,固件、驱动程序、审计管理系统和机械结构等部件组成。在打印机工作过程中,任何一个环节都可能存在信息泄露的风险。 1. 打印数据传输泄密风险 用户启动打印作业后,打印数据通过传输介质从用户端下发到打印机,过程如下图所示。在这一过程中存在以下3个泄密风险点。 第一,通信接口泄密。
发布时间:2018-11-22 18:45 | 阅读:122787 | 评论:0 | 标签:技术控 观点

Blind Return Oriented Programming (BROP) Attack – 攻击原理

0x00 写在前面 第一次在WooYun发文章,不知道是否符合众客官口味,望轻拍。 这篇文章翻译至我的这篇博客,主要介绍了一种叫做BROP的攻击,该文章主要介绍原理部分,对该攻击的重现可以参看我的另外一篇博客。 BROP攻击基于一篇发表在Oakland 2014的论文Hacking Blind,作者是来自Standford的Andrea Bittau,以下是相关paper和slide的链接: paper slide。
发布时间:2018-11-17 01:45 | 阅读:119897 | 评论:0 | 标签:技术控

研究者发现TESLA S存在潜在的安全问题

Charlie Miller 和 Chris Valasek 曾经花了几个月拆开丰田Prius ,看看内部有什么漏洞,结果他们找到了很多。现在,另一位研究员已经发现并确定了一些TESLA S的安全问题,包括一个很脆弱的因素身份认证系统的依赖,可以远程打开车门。 Tesla S是一个高端的,全电动汽车,其中包括了一些有趣的功能,包括控制汽车多个系统的中控台触摸屏。还有一个iPhone应用程序,允许用户控制一些汽车的功能,包括锁门,悬挂和制动系统和控制天窗。 Nitesh Dhanjani发现,当新用户注册一个特斯拉网站上的帐号时,他们必须建立一个六个字符的密码。
发布时间:2018-11-13 18:45 | 阅读:99688 | 评论:0 | 标签:技术控

通过伪造乌克兰相关文件进行传播的恶意软件MiniDuke

一年之前,安全研究人员从杀毒厂商卡巴斯基发现了一个复杂的恶意软件,他们称为 MiniDuke,专门收集和窃取战略信息和受到高度保护的政治信息。 现在,MiniDuke病毒再次通过一个与乌克兰相关的PDF文件在传播。 “考虑到当前该地区的危机,这是件很有趣的事情”安全研究公司F-Secure公司的首席技术官Mikko Hypponen在周二写到。 Hacker News一年前报道了该exp利用的CVE-2013-0640。 MiniDuke恶意软件是用汇编编写的,非常小只有20KB,可以劫持Twitter账户。 该恶意软件由三个部分组成: PDF文件, MiniDuke程序和payload。
发布时间:2018-11-13 18:45 | 阅读:88036 | 评论:0 | 标签:技术控

ADS

标签云

本页关键词