记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

新型Office攻击使用浏览器“双杀”漏洞 360全球首家捕获

近日,360安全中心在全球范围内率先监测到一例使用0day漏洞的APT攻击,经分析发现,该攻击是全球首个使用浏览器0day漏洞的新型Office文档攻击。只要打开恶意文档就可能中招,被黑客植入后门木马甚至完全控制电脑。 通过分析溯源,360已完整捕获黑客攻击过程,第一时间向微软报告浏览器0day漏洞细节,并将该漏洞命名为“双杀”漏洞。“双杀”漏洞可影响最新版本的IE浏览器及使用IE内核的应用程序。目前,360正紧急推进该漏洞的补丁发布。在此期间提醒相关用户,请勿随意打开陌生的Office文档,同时使用安全软件防护可能出现的攻击。 黑客是通过投递内嵌恶意网页的Office文档的形式实施此次APT攻击,中招者打开文档后,所有的漏洞利用代码和恶意荷载都通过远程的服务器加载。攻击的后期利用阶段使用了公开的UAC绕过技术
发布时间:2018-04-20 18:45 | 阅读:2439 | 评论:0 | 标签:技术控 漏洞

Bondat蠕虫再度来袭!控制PC构建挖矿僵尸网络

近日,360互联网安全中心监测到流行蠕虫家族Bondat的感染量出现一轮小爆发。在这次爆发中,Bondat利用受害机器资源进行门罗币挖矿,并组建一个攻击WordPress站点的僵尸网络。根据360网络安全研究院对此次Bondat蠕虫爆发时使用的控制端域名bellsyscdn.com和urchintelemetry.com的监控数据来看,Bondat蠕虫此次爆发至少影响15000台个人电脑。 图1 Bondat蠕虫控制端域名bellsyscdn.com和urchintelemetry.com访问量变化趋势 Bondat蠕虫最早出现在2013年,是一个能够执行控制端下发的任意指令的“云控”蠕虫家族。Bondat蠕虫一般通过可移动磁盘传播,并依靠一个JS脚本完成信息收集、自我复制、命令执行、构建僵尸网络等多项任务。
发布时间:2018-04-18 18:45 | 阅读:8359 | 评论:0 | 标签:技术控

双枪2驱动分析

前言 前段时间360安全卫士发表了一篇对双枪2感染释放驱动行为的分析报告,报告地址: http://www.freebuf.com/articles/web/167776.html 相比于双枪一代,它增加了HIVE文件保护,新增了WFP网络功能拦截,还有保护了自身的 系统回调不被修改,并且针对部分查杀驱动摘除了所有的关机回调,该驱动木马从一代后一直在更新活跃。 接下来我们将对该驱动进行再一次全面的分析,揭露它难以查杀的详细原因。 1、驱动初始化部分 1.1驱动入口函数 主要为判断初始化一些变量,然后开启初始化线程工作。 入口函数所有代码: 先获取Nt基地址,后续生成设备名,随机化线程地址和获取注册表操作函数用: 然后初始化一些必要函数后续用于注入DLL模块: 从Ntdll函数中取出SSDTIndex,在K
发布时间:2018-04-17 01:45 | 阅读:7921 | 评论:0 | 标签:技术控

预防RottenSys恶意攻击 可从用户自查系统做起

前不久,CheckPoint公司向大众披露了一款名为“RottenSys”(堕落的系统)的恶意软件,该软件会在入侵用户手机之后,伪装成“系统Wi-Fi服务”等应用,并通过不定期给用户推送广告或指定的APP来获取利益,这一非法行为轻则导致手机出现卡顿现象,重则甚至侵害到用户信息安全。随后,移动安全联盟(MSA)成员单位360、安天对此事件进行了追踪及详细技术分析。360安全团队表示,确认“RottenSys”主要是通过“刷机”或APP(再root)的方式,在手机到达用户手中前,在目标上安装部分RottenSys应用程序,从而达到感染传播的效果。 对此,360安全团队对“RottenSys”进行技术分析,并出具了《RottenSys事件分析报告》。报告中,360安全专家指出,该软件的主要伪装有多种类型,其中以“系统
发布时间:2018-03-26 18:45 | 阅读:21052 | 评论:0 | 标签:技术控

一个都不放过!Zenis病毒诠释勒索加密最强等级

近期,360安全中心监测到一款名为“Zenis”的勒索病毒,其命名源自病毒作者的名字。与其他加密常见文件的勒索病毒不同,该病毒运行后,会对设备中超过200种格式的文件进行加密,另外非系统盘符下的所有格式文件也都将被锁,就连exe可执行程序都不会放过。同时,病毒还会删除系统中的备份文件,以避免中招用户恢复重要数据,可谓杀伤力惊人。 以下是对该病毒的详细分析。 病毒初始化工作 首先,病毒在执行时会先判断执行条件: 判断程序文件名是否为exe 判断注册表的HKCUSOFTWAREZenisService项中,是否存在Active值。 当文件名不为iis_agent32.exe或者注册表键值已经存在则直接退出不进行加密操作: 执行条件满足后,会执行以下命令来删除卷影副本、禁用启动修复和清除系统事件日志(一般通过
发布时间:2018-03-24 01:45 | 阅读:33737 | 评论:0 | 标签:技术控 加密

CobaltStrike-用“混淆”绕过Windows防火墙

对所有红队成员来说,在不惊动组织的情况下传输载荷是项永恒的挑战。像所有其他安全方案一样,Windows防火墙利用CobaltStrike工具后也在检测通用有效载荷方面效果更明显了。 在这个例子中,我们将探讨用Cobalt Strike生成一个Pwershell,并展示我们如何对其操控,让其执行绕过Windows10电脑的防火墙。但这还不是从Windows防火墙中隐藏自己载荷最优雅或简单的方案,只能说是办法之一,且行之有效。 创建载荷的过程如下: 截屏时间:3月14日16:50:50 这样就生成了带有一个Powershell命令的载荷文本。 如果在感染者电脑上运行该命令,Windows防火墙会将其视为威胁,发出警告内容。 为了绕过Windows防火墙,我们需要首先理解CobaltStrike生成载荷的原理,然
发布时间:2018-03-21 01:45 | 阅读:20333 | 评论:0 | 标签:技术控 防火墙

RDP劫持 – 如何透明地劫持RDS和RemoteApp会话以在组织中移动

如何使用远程桌面服务轻松地通过网络获得横向移动,而无需使用外部软件 – 以及如何防范。 Alexander Korznikov演示了使用Sticky Keys和tscon访问管理员RDP会话 – 甚至不需要登录到服务器。 有关RDP会话连接的简要背景 如果您以前使用过远程桌面服务,或者终端服务(如果您和我一样年纪),则会知道有一个功能可以连接到另一个用户的会话 -  如果您知道密码。你知道你也可以劫持没有用户密码的会话吗?阅读。 您可以右键单击任务管理器中的用户,使用tsadmin.msc或使用命令tscon.exe。它会要求输入密码,如果你不能以用户身份进行验证,将会弹出一个窗口: 一些技巧允许无证书会话劫持 这是交易。正如2011年由Benjamin Delpy(Mimikatz
发布时间:2018-03-20 18:45 | 阅读:36204 | 评论:0 | 标签:技术控 移动

渗透技巧—获得Windows系统的远程桌面连接历史记录

0x00 前言 在渗透测试中,远程桌面连接的历史记录不可忽视,根据历史记录往往能定位出关键的服务器。 前几天有一篇文章介绍了如何清除记录,那么这篇文章就来介绍一下如何导出历史记录。 清除记录的文章地址如下: http://woshub.com/how-to-clear-rdp-connections-history/#h2_3 最开始的设想是通过枚举注册表就能够完成,但深入研究发现,想要获得所有用户的历史记录,需要逐个获得用户的NTUSER.DAT文件,通过注册表加载配置单元,导入用户配置信息,再进行枚举才能够实现。 0x01 简介 本文将要介绍以下内容: 获得历史记录的思路 导出登录用户的历史记录 导出所有用户的历史记录 两种方法的实现思路和脚本编写细节 0x02 获得远程桌面连接历史记录的思路 1、获得
发布时间:2018-03-16 18:45 | 阅读:37956 | 评论:0 | 标签:技术控

配置Additional LSA Protection监控Password Filter DLL

0x00 前言 针对文章《Password Filter DLL在渗透测试中的应用》中wyzzoo的回复,提醒注意高版本系统上考虑的问题,地址如下: https://github.com/3gstudent/feedback/issues/13#issuecomment-371694931 于是我对这部分内容进行研究,整理成文 0x01 简介 本文将要介绍以下内容: 如何配置额外的LSA保护 如何获得监控结果 补充一个Password Filter DLL的利用思路 利用Additional LSA Protection的检测效果 0x02 配置额外的LSA保护 参考官方文档: https://docs.microsoft.com/en-us/windows-server/security/credenti
发布时间:2018-03-16 18:45 | 阅读:31360 | 评论:0 | 标签:技术控

勒索软件“假面”系列——免流软件

勒索中的“免流” 勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,360烽火实验室始终密切关注勒索软件发展动向,并持续对勒索软件新技术新形式、勒索软件黑产、以及Android新版本系统在对抗勒索软件方面的新特性进行了深入研究。在对勒索软件的长期跟进中我们发现,勒索软件是一类非常擅长伪装自己的软件,为了诱导用户下载安装运行,勒索软件通常会伪装成各种极具诱惑力、通过不正规手段牟利的软件,例如游戏外挂、代刷、盗版应用、WIFI密码破解、抢红包等等,这些软件拥有一定的用户群与传播途径,勒索软件正是利用了其易吸引用户、传播快的特点玩起了“假面游戏”。 一、勒索软件擅于伪装后传播 截止到2018年2月,360烽火实验室共捕获到Android
发布时间:2018-03-15 18:45 | 阅读:52283 | 评论:0 | 标签:安全报告 技术控

高清无码!比鬼片还刺激!且听“诡娃”远控的这首惊魂曲

近日,360云安全系统发现一款名为“诡娃”的远控木马,正通过钓鱼软件、网页挂马等多渠道扩散。“诡娃”除了能进行操控中招电脑等行为外,还会通过控制指令让中招机器弹出惊悚的鬼怪flash动画,再加上动画里突如其来的尖叫声,骇人程度不输恐怖大片! 经分析,”诡娃”是基于Njrat 0.7修改。(Njrat,又称Bladabindi,该木马家族使用C#编写,是一个典型的RAT类程序,通过控制端可以操作受控端的文件、进程、服务、注册表内容、键盘记录等,也可以盗取受控端的浏览器里保存的密码信息等内容。此外,还具有远程屏幕抓取,木马客户端升级等功能。Njrat采用了插件机制,通过使用不同的插件来扩展新的木马功能。) 被控端木马程序的总体代码结构如下图所示: 创建互斥体,保证只运行进程的一个实例,在这里互斥体名称为:Wind
发布时间:2018-03-02 18:45 | 阅读:39811 | 评论:0 | 标签:技术控

Memcache UDP反射放大攻击技术分析

Memcache UDP 反射放大攻击(以下简称MemcacheDRDoS)在最近的一周里吸引了安全社区的较多注意。以下介绍我们对该类型攻击观察到的情况。 在PoC 2017 会议上的原始报告 MemcacheDRDoS,由360信息安全部0kee Team在2017-06 附近首先发现,并于 2017-11 在 PoC 2017 会议上做了公开报告。会议报告在 这里,其中详细介绍了攻击的原理和潜在危害。 在这份文档中,作者指出这种攻击的特点: memcache放大倍数超高,至少可以超过50k; memcache服务器(案例中的反射点)数量较多,2017-11时估算全球约有 60k 服务器可以被利用,并且这些服务器往往拥有较高的带宽资源。 基于以上特点,作者认为该攻击方式可以被利用来发起大规模的DDoS攻击
发布时间:2018-03-02 13:45 | 阅读:39016 | 评论:0 | 标签:技术控

数千知名国内网站被挂挖矿原来竟是广告联盟监守自盗

日前,360云安全系统监测到,国内的璧合科技DSP广告平台被嵌入了挖矿脚本,该脚本随广告平台投放的广告一起插入到了网页中,进而传播。当该嵌入了挖矿脚本的广告代码被加载起来,无论用户是否点击查看广告,均会自动触发挖矿代码的执行。该挖矿页面单日访问量逾百万次,多家知名站点受到影响,中招机器CPU资源会被大量占用,直接影响系统正常运行。 如今,Web挖矿攻击已不满足于单个网站挖矿,而是将目标对准流量更大、渠道更广的大型平台系统,如CRM系统、广告平台系统等;我们分析发现该广告平台,通过deepMiner自建了矿池,而不只是使用常见的coinhive,这样可以省去矿池的佣金,但是必须要保证有足够的算力才会有收益,由此也可见平台的覆盖范围比一般的挖矿攻击要大很多。下面就以该广告平台中植入挖矿脚本过程进行简要分析: 广告位
发布时间:2018-02-08 18:45 | 阅读:79068 | 评论:0 | 标签:技术控

是谁悄悄偷走了我的电:利用DNSMon批量发现被挂挖矿代码的域名

在360网络安全研究院,我们持续的分析海量的DNS流量。基于此,我们建立了DNSMon检测系统,能够对 DNS 流量中的各种异常和关联关系予以分析。 在之前的 文章 中,我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后,我们进一步利用DNSMon对整个互联网上网页挖矿进行分析,本文描述我们目前看到情况。 当前我们可以看到: 2% 的网站在首页嵌入了Web挖矿代码:Alexa Top 10万的网站中,有 241 (0.24%) ; Alexa Top 30万的网站中,有 629 (0.21%) 色情相关网站是主体,占据了这些网站的49%。其它还有诈骗(8%)、广告(7%)、挖矿(7%)、影视(6%)等类别 10+ 挖矿网站提供挖矿能力支撑,其中最大的是是com,占据了大约 57% 的
发布时间:2018-02-08 18:45 | 阅读:72909 | 评论:0 | 标签:技术控

浅谈侧信道攻击 – 什么是数字时代的隔空取“数”?

2016年以来,以解决“最后一公里”为出发点的共享单车在国内如雨后春笋般快速发展起来,而截止2016年底,全国共享单车用户量已达到1880万,预计2017年底将超过5000万。共享单车为人们的日常出行带来巨大便利的同时,也出现了一些不容忽视的问题。2017年5月13日,一段昆明小学生“听声音”徒手解开ofo共享单车密码锁的视频流传于网络,视频中该小学生通过不断扭动密码轮盘来尝试解锁,仅用17秒便成功解开了车锁。该情景不禁让人联想起谍战电影中“听音解锁”的密码破解高手,而通过“声音”破解密码最经典的案例莫过于二战中盟军破解Enigma密码机。实际上,虽然上述密码破解方法可以看作一类特殊的“侧信道攻击”,但真正的侧信道攻击远不止这些,其威力也更加强大。那么,什么才是真正的侧信道攻击?它对实际应用中的密码系统的安全性
发布时间:2018-01-13 09:05 | 阅读:49076 | 评论:0 | 标签:技术控

应对猖獗“内鬼”——美国在防御架构上的努力

引言 今年3月份,公安部破获了一起特大窃取贩卖公民个人信息的案件,案中京东泄露50亿条公民信息,包括京东和QQ上的物流信息、交易信息、个人身份信息等敏感信息。而犯罪嫌疑人却是京东网络安全部的员工,长期监守自盗,并与外部黑客长期勾结,是一起典型的内部威胁犯罪案例,对公民的信息安全、财产安全甚至人身安全造成严重危害。 近年来,内部威胁盛行,并呈现有增无减的趋势,其破坏程度和影响范围也不断扩大,已经成为组织机构信息的重要威胁。并且,由于内部人员熟悉组织内部的管理制度、信息资源,实施违法或破坏行为所需的代价极低,如果没有有效的防御及监测手段,可以“神不知、鬼不觉”地窃取内部信息或者对信息系统造成致命的破坏。 美国重大内部威胁案例 内部威胁行为非常隐蔽并且危害性强,即使是信息安
发布时间:2018-01-13 09:05 | 阅读:55804 | 评论:0 | 标签:安全报告 技术控

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云