记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

新的SLUB后门通过Slack进行通信

趋势科技研究人员最近发现了一个新的恶意软件并对其非常感兴趣。首先,研究人员发现它是通过水坑攻击传播的,这种攻击方法要求攻击者在添加代码之前感染网站,访问者会被重定向到感染代码。在这种情况下,每个访问者只被重定向一次。感染是利用CVE-2018-8174完成的,CVE-2018-8174是一个VBScript引擎漏洞, Microsoft在2018年5月修补了该漏洞。 其次,它使用多阶段感染方案。在利用上述漏洞后,它会下载DLL并在PowerShell(PS)中运行它。然后下载并运行包含后门的第二个可执行文件。在第一阶段,下载程序还会检查是否存在不同类型的防病毒软件,然后有则不再运行。被发现时,防病毒软件并未检测出该后门。 除此之外,研究人员还发现恶意软件连接到了Slack平台,Slack平台是一个协作消息系统,
发布时间:2019-03-08 18:45 | 阅读:28178 | 评论:1 | 标签:技术控 后门

使用Seq2Seq自动编码器检测Web攻击

攻击检测一直是信息安全的一部分。已知的首个入侵检测系统(IDS)可追溯到20世纪80年代初,而如今其存在于整个攻击检测行业。 检测产品有许多类型,如IDS、IPS、WAF和防火墙等,其中大多数都提供基于规则的攻击检测。使用统计异常检测在生产中识别攻击的想法已然不够现实,但这个假设是否合理? Web应用异常检测 20世纪90年代初,市场上出现了第一批用于检测Web应用程序攻击的防火墙。从那时起,攻击技术和保护机制都发生了巨大演变,而攻击者总是力争领先一步。 当前大多数Web应用程序防火墙(WAF)都试图以在反向代理中嵌入在某种基于规则的引擎或类似方式来检测攻击,典型的例子如2002年创建的Apache Web服务器的WAF模块“mod_security”。基于规则的检测有一些劣势:无法检测到新型攻击(0day)
发布时间:2019-03-05 18:45 | 阅读:26429 | 评论:0 | 标签:技术控

卡巴斯基杀软与谷歌Chromecast证书冲突

自1月底以来,卡巴斯基反病毒软件的用户在打开Chrome时会显示卡巴斯基多个警报,称“签名证书存在问题,无法保证建立加密连接的域的真实性”,这其实是因为该软件与其网络上的Chromecast设备发生冲突而致。 卡巴斯基的引擎显示这些错误,允许其扫描加密SSL流量以查找恶意内容。 在新Chromium错误报告中,一位Google员工表示,Windows用户的Chromecast发现问题有所增加,且似乎与防病毒软件有关。“设备发现报告突然增加,” bug报告称。“查看这些报告表明它在Windows平台上很常见。对日志的审查显示了投射通道身份验证错误的共性,这通常可归因于反病毒/安全软件。”进一步调查时,他指出卡巴斯基用户自1月底以来一直在抱怨这些问题,这与Chromecast发现报告开始增加的时期相同。谷歌表示
发布时间:2019-03-01 18:45 | 阅读:28407 | 评论:0 | 标签:技术控

动作频繁!Rietspoof携带多种恶意负载

自2018年8月以来,安全研究人员一直在监控名为Rietspoof的新恶意软件家族。Rietspoof是一种新的多阶段恶意软件,具有一些与众不同的特性和功能。当最初开始跟踪Rietspoof时,它会每个月更新一次。但是,在2019年1月,研究人员注意到更新频率变为每日一次。也许,可以认为是该恶意软件开始活跃的迹象。 Rietspoof在多个阶段,结合各种文件格式,提供更多样化的恶意软件。研究数据表明,其第一阶段是通过即时消息客户端(如Skype或Live Messenger)分发的。它提供了一个高度混淆的Visual Basic脚本,其中包含一个硬编码和加密的第二阶段——一个CAB文件。CAB文件扩展为可执行文件,该文件使用有效签名进行数字签名,主要使用Comodo CA。最后, .exe文件在第四阶段安装一
发布时间:2019-02-20 18:45 | 阅读:26388 | 评论:0 | 标签:技术控

Trickbot的新功能——远程窃取应用程序凭证

2018年11月,研究人员曾发现一款Trickbot变种,它附带了一个密码获取模块,能够从众多应用程序中窃取凭据。在2019年1月,我们再次发现Trickbot(被检测为TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD),在其本就已经广泛的功能基础上又添加了新的功能。在最新发现的Trickbot变种中,研究人员发现了pwgrab模块的更新版本,可以远程窃取应用程序凭据。 Trickbot恶意软件 TrickBot于2016年首次被发现,据信它基于Dyreza银行木马。它能够使用webinjects模块定位和感染各种各样的国际银行,在目标Web浏览器中呈现之前将JavaScript和HTML代码注入网站。 TrickBot攻击主要目的是盗取钱财,如银行账号、
发布时间:2019-02-15 18:45 | 阅读:42552 | 评论:0 | 标签:技术控

如何将SSH密钥身份验证集成到KeePassXC

管理员需要登录远程服务器时可能会用到Secure Shell(SSH),SSH身份验证的最佳方法是通过SSH密钥,但更安全的方法是使用密码管理器,如KeePassXC。 本文将介绍一个有效的安全认证工具。 KeePassXC现在可以存储SSH密钥(及其相关密码)并将它们添加到ssh代理工具中,让SSH密钥身份验证变得更为轻松。KeePassXC还可在关闭应用程序、退出计算机或关闭笔记本电脑的非活动时段自动卸载SSH密钥。 准备工作 需要安装最新版本的KeePassXC和一个能生成SSH密钥的帐户。此KeePassXC功能适用于应用程序支持的平台(Linux、Windows、macOS)。本文中将在Elementary OS上进行展示。 生成SSH密钥对 首先,需要生成一个密钥对。在用于登录远程服务器的计算机上
发布时间:2019-01-25 13:45 | 阅读:49899 | 评论:0 | 标签:技术控

如何使用Fedora模块化存储库

Fedora Linux是较具知名度的Linux发行包之一,由Fedora项目社群开发、红帽公司赞助,目标是创建一套新颖、多功能并且自由(开放源代码)的操作系统。使用该系统的人都认为Fedora桌面或服务器在发行上比较困难。对于偏爱这种发行、又想控制进度的人来说,可以进行模块化。通过DNF命令访问一系列流行软件版本模块。与其他软件集不同的是,模块化方法不会并行安装多个版本的软件,系统上只会安装一个版本。话不多说,下面开始展示如何使用模块化存储库在Fedora29上安装MongoDB数据库管理系统。 准备事项 只需在桌面上运行安装Fedora服务器以及一个带sudo特权的账号。 陈列模块 首先要列出可用模块,找出可安装的软件版本。通过以下方法:登录到服务器(或打开种端窗口)、发起命令: dnf module li
发布时间:2019-01-23 18:45 | 阅读:38422 | 评论:0 | 标签:技术控

BYOB,一把新的双刃剑

介绍 在当今的网络安全领域,进行高质量的攻击所需的专业知识与对实际攻击的理解之间的差距越来越小。因为“即插即用”黑客工具包的普及,曾经只有有资助的APT团队才能利用的技术现在可以被初出茅庐的犯罪分子(即“脚本小子”)轻松利用。 当然,网络安全社区也在不断开发工具和技术,提高了成为攻击者和维护者的门槛。但是这些工具不仅可以用于测试、增强防御能力,它们也可用于攻击性目的。 一个很好的例子是最近(2018年7月)发布的BYOB(Build Your Own Botnet)框架,该框架包含了构建僵尸网络所需的所有构建块。该框架是为了改进网络安全防御而开发的。由BYOB创建的僵尸程序具有先进的APT工具级别的复杂功能。虽然提高了防御能力,但也可以被任何具有恶意意图的“脚本小子”利用来进行攻击。 Perception P
发布时间:2019-01-21 18:45 | 阅读:46516 | 评论:0 | 标签:技术控

Google Play 甩不掉的麻烦,“死神”Anubis换上新装再出击

趋势科技研究人员最近在Google Play上发现了两个分发银行恶意软件的应用程序,它们伪装成实用工具,分别名为Currency Converter和BatterySaverMobi。谷歌现已将这两款应用程序从应用商店中下架。 这款电池应用程序在下架之前已被下载过5000多次,73位用户给它的评分是4.5分。然而仔细观察这些评论可以发现好评是刷出来的,一些匿名用户的评论没有逻辑而且很宽泛,没有具体细节。 研究人员仔细分析了这一活动,发现这两个应用程序丢弃了一个恶意负载,所以研究人员可以安全地链接到已知的银行恶意软件Anubis(趋势科技检测为ANDROIDOS_ANUBISDROPPER)。在分析有效载荷后,研究人员注意到该代码与已知的Anubis样本非常相似,还发现它链接到域名为aserogeege.spa
发布时间:2019-01-18 18:45 | 阅读:52024 | 评论:0 | 标签:技术控

动态数据解析器(DDR)——IDA插件

执行摘要 IDA中的静态逆向工程通常出问题。某些数值是运行时计算的,这就很难理解某个基本组块正在做什么。但如果你试着通过调试一个恶意软件来执行动态分析,通常会被恶意软件检测到,其表现也会出现偏差。思科Talos采用动态数据解析器(DDR)作为IDA的新插件,旨在让对恶意软件逆向工程更为简单。 特征 代码流跟踪 (用20种不同颜色显示基本组块的执行次数): 可搜索到的API调用日志记录: (包括出现的所有特定指令,如:调用、jxx等,触摸API地址) 可搜索到的字符串记录: 解析动态值和自动评论: 技术细节 架构和使用 DDR具有图5所示的客户端/服务器架构.DDR IDA插件和DDR服务器为Python脚本。DynamoRIO客户端是用C语言编写的DLL文件,由DynamoRIO工具drrun.exe
发布时间:2019-01-17 18:45 | 阅读:59793 | 评论:0 | 标签:技术控

恶意软件NanoCore利用MS Word传播

就在前几天,Fortinet FortiGuard实验室在野捕获了一个恶意MS Word文档,其中包含可自动执行的恶意VBA代码,可以在受害者的Windows系统上传播和安装NanoCore RAT软件。NanoCore RAT是在.Net框架中开发的,最新版本是“1.2.2.0”。2018年年初,其作者“Taylor Huddleston”被联邦调查局抓获,现于监狱服刑。研究人员捕获的样本使用NanoCore在受害者的系统上执行恶意行为。 恶意Word文档 打开恶意Word文档 捕获的恶意Word文档的名称是“eml _-_ PO20180921.doc”。当它在MS Word中打开时,我们会看到如上图所示的内容,窗口顶部有一条黄色警告消息。 一旦受害者点击黄色按钮“启用内容”,恶意VBA代码就会在后台运行
发布时间:2019-01-17 18:45 | 阅读:50946 | 评论:0 | 标签:技术控

Z—WSP漏洞,网络钓鱼绕过Office 365保护

据云安全公司Avanan的研究发现,最近一些网络钓鱼活动中利用了Office 365的一个漏洞,允许他们使用零宽度空格(Z-WSP)绕过钓鱼保护并向收件人发送恶意邮件。该漏洞与电子邮件原始HTML中的恶意URL中使用的零宽度空格有关。黑客通过分割URL的方法,使得防御系统不能检测到恶意信息。在收到报告后,直到上周微软公司才修复了这一漏洞。 什么是零宽度空格? 零宽度空格,顾名思义即,具有空格的功能,但宽度为零。举个例子来说,我们在word里面按一个空格,然后选中、缩放、调间距,然后就变成了零宽度空格。有五种零宽度空格形式,分别是: ​(Zero-Width Space) ‌(Zero-Width Non-Joiner) ‍(Zero-Width Jo
发布时间:2019-01-14 18:45 | 阅读:55444 | 评论:0 | 标签:技术控 漏洞

Microsoft Windows JET引擎Msrd3x代码执行漏洞

2018年9月,Fortinet FortiGuard实验室的研究人员发现了Windows JET引擎Msrd3x40的代码执行漏洞,根据Fortinet的披露流程研究人员将此漏洞报告给了微软。2019年1月,微软发布了安全公告,修复了该漏洞并将其标识为CVE-2019-0538。 易受攻击的DLL msrd3x40是支持从Windows 7到Windows 10所有Windows版本的组件。研究人员报告的漏洞可以使用精心设计的mdb文件触发。解析mdb PoC文件时,由于释放无效的堆地址而发生堆损坏,这可能导致代码执行漏洞。 分析 有两种方法可以重现此漏洞。 方法1: 通过使用下面的参数用Excel oledb外部数据源加载PoC文件, Excel就会崩溃。该PoC文件可以位于任何本地或smb共享中。 输
发布时间:2019-01-14 18:45 | 阅读:45539 | 评论:0 | 标签:技术控 漏洞

Google Play上的间谍软件分析

趋势科技研究人员发现了一种间谍软件(检测为ANDROIDOS_MOBSTSPY),它伪装成合法的Android应用程序来收集用户的信息。2018年这些应用程序可在Google Play上下载,其中一些应用程序下载次数已经超过100,000次。 研究人员最初研究的应用之一是游戏Flappy Birr Dog,如下图所示。其他应用程序包括FlashLight、HZPermis Pro Arabe、Win7imulator、Win7Launcher和Flappy Bird。自2018年2月以来,其中六分之五的应用程序已从Google Play上下架。截至撰写时,Google已经从Google Play中删除了所有这些应用程序。 Flappy Birr Dog下载页面 信息窃取 MobSTSPY能够窃取用户位置、短信
发布时间:2019-01-04 18:45 | 阅读:59698 | 评论:0 | 标签:技术控

好看有什么用,壁纸App涉嫌广告点击欺诈

趋势科技研究人员在Google Play商店中检测到15个壁纸应用存在广告欺诈行为。在撰写本文时,这些应用程序在Google Play商店中总下载次数高达222,200多次,研究人员的遥测显示感染率最高的是意大利、台湾、美国、德国和印度尼西亚。Google已确认删除所有被发现的应用。 这些应用程序设计有诱人的图标,承诺给用户提供美丽的手机壁纸。这些应用程序下载量很高且好评如潮,但研究人员高度怀疑这些评论是假的,创建这些假评论的目的就是为了提高可信度。 Wild Cats HD Wallpaper App下载量已超10,000次,评分高达4.8分 下载后,应用程序会解码配置的命令和控制(C&C)服务地址。 解码并运行C&C服务地址 为了不被用户发现,整个过程都是静音的。一旦启动应用程序,就会给C&C发送HT
发布时间:2018-12-22 01:45 | 阅读:70282 | 评论:0 | 标签:技术控

LCG工具包:恶意Microsoft Office文档构建器

概观 Proofpoint研究人员在2018年3月发现了LCG Kit——一种武器化文档构建服务。自从研究人员开始跟踪LCG工具包以来,研究人员使用各种形式的Microsoft公式编辑器漏洞CVE-2017-11882进行了观察。最近,它的开发者集成了一个VB Script漏洞,CVE-2018-8174,该漏洞用于电子邮件活动。最后,在11月底,LCG Kit具备了使用Microsoft Word宏的功能。 LCG工具包有点不同寻常,因为其代码使用多态shellcode和线性同余生成器(LCG)(一种生成伪随机数序列的算法)进行高度混淆,以加密最后阶段的代码,包括有效负载位置。由于这一独特功能,研究人员将该工具包命名为LCG。 由于在许多电子邮件活动中都发现了LCG工具包的身影,研究人员认为它可能已在地下论
发布时间:2018-12-19 13:45 | 阅读:61874 | 评论:0 | 标签:技术控

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词