记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Cycldek APT使用USBCulprit间谍软件对气密系统的攻击

卡巴斯基(Kaspersky)最新研究结果显示,一名攻击者开发出新的功能来攻击气密系统,以窃取敏感数据进行间谍活动。APT被称为Cycldek,Goblin Panda或Conimes,它使用广泛的工具集在受害者网络中进行横向移动和信息窃取,包括以前未报告的定制工具,策略和程序,用于攻击越南,泰国和老挝的政府机构。“其中一个新发现的工具,被命名为USBCulprit,并已发现以依靠USB介质exfiltrate的攻击数据,这可能表明Cycldek正在尝试到达受害环境中的网络。Cycldek最早在2013年被CrowdStrike观察到,在利用已知漏洞(例如CVE-2012-0158,CVE-2017-11882)诱骗文件中,对东南亚(尤其是越南)的
发布时间:2020-07-04 09:31 | 阅读:1362 | 评论:0 | 标签:apt 攻击

针对RMI服务的九重攻击 - 下

字数:1w5推荐阅读时间:>2h前言再看下RMI反序列化攻击的总结图:如果觉得有什么出入,喷就完事了;同时觉得本文对你有帮助,也请留言、评论、关注、一键三连支持你喜欢的up主!你的点赞是我更新的动力!如果这期点赞超过20w,下篇文章直播开.....咳...在上篇中已经讲述针对已知RMI接口的三种攻击方式与针对RMI层(RMI注册端、RMI服务端)/DGC层,得出了部分结论。而在下篇中将重点讲述绕过JEP290的引入JRMP的利用方式,这就很好玩了,指出了别的老哥的错误之处,找到了别人没提及的骚姿势,复现分析了老外的绕过方式。上下篇的小结论是沿用的,建议配合食用;文中实验代码、环境及工具均已上传github。此外安利下ysomap,如果
发布时间:2020-07-02 11:32 | 阅读:1008 | 评论:0 | 标签:攻击

[原]挖矿病毒攻击的排查处置手册

一、背景 在用户不知情或未经允许的情况下,占用系统资源和网络资源进行挖矿,影响用户的网络和资源,从而获取虚拟币牟利。 为了帮助应对恶意挖矿程序攻击,发现和清除恶意挖矿程序,防护和避免感染恶意挖矿程序,整理了如下针对挖矿活动相关的现状分析和检测处置建议。 二、为什么会感染恶意挖矿程序 通常遇到企业内网主机感染恶意挖矿程序,或者网站、服务器以及使用的云服务被植入恶意挖矿程序的时候,都不免提出“为什么会感染恶意挖矿程序,以及是如何感染的”诸如此类的问题,目前感染恶意挖矿程序的主要方式: 2.1.利用类似其他病毒木 作者:qq_29277155 发表于 2020/07/01 19:46:58 原文链接 [sourcelinkurl]
发布时间:2020-07-01 22:15 | 阅读:2047 | 评论:0 | 标签:攻击

CVSS评分为“10分”的安全漏洞:攻击的复杂度极低

CVE-2020-2021 漏洞分析6月29日,Palo Alto Networks公布了影响PAN-OS的一个SAML 认证绕过漏洞,漏洞CVE编号为CVE-2020-2021,该漏洞CVSS V3.1评分为10分。表明攻击的复杂度非常低,无需复杂的技术能力就可以利用该漏洞,漏洞利用对对机密性、完整性和可用性的影响都是高。美军网络安全司令部发推称黑客可能马上就会利用该PAN-OS安全漏洞了,建议用户尽快修复。从技术层面来看,该漏洞是一个认证绕过漏洞,攻击者利用该漏洞无需提供有效的凭证就可以访问受影响的设备。攻击者利用该漏洞可以修改PAN-OS 设备和特征。修改OS的一些特征看似是无害的,但是因为可以利用这些特征来禁用防火墙或VPN的访问
发布时间:2020-07-01 12:58 | 阅读:2225 | 评论:0 | 标签:漏洞 攻击

针对RMI服务的九重攻击 - 上

字数:1w6推荐阅读时间:>2h前言其实起因是听老哥讲"shiro-721可以用JRMP的payload,短很多,1分钟就可以跑出来",啊!JRMP,RMI学过,我会的我会的.......实际上我会个锤子,YSO-JRMP的模块根本没用过。但实际上本文只是顺道解决了这个问题的原理,如果只是想知道这个原理,可以到下篇的 JRMP服务端打JRMP客户端(ysoserial.exploit.JRMPListener) 中去解答这个疑问,利用方式是同理的。然后有一天看了一波别人攻击RMI服务的工具,瞬间三观崩坏,打脸piapia响!于是.....花了按照月为单位的很长时间洋洋洒洒写了3w字的文整理了针对RMI服务的9种攻击方式,长文少有人能看
发布时间:2020-07-01 12:41 | 阅读:1469 | 评论:0 | 标签:攻击

Docker安全性与攻击面分析

Docker 简介Docker 是一个用于开发,交付以及运行应用程序的开放平台。Docker 使开发者可以将应用程序与基础架构进行分离,从而实现软件的快速交付。借助 Docker,开发者可以像管理应用程序一样管理基础架构。开发者可以通过 Docker 进行快速交付,测试和代码部署,这大大减少了编写代码与在生产环节实际部署代码之间的用时。Docker 提供了在一个独立隔离的环境(称之为容器)中打包和运行应用程序的功能。容器的隔离和安全措施使得使用者可以在给定主机上同时运行多个容器。由于容器直接在主机的内核中运行,而不
发布时间:2020-07-01 11:47 | 阅读:1816 | 评论:0 | 标签:攻击

BIAS:蓝牙冒充攻击

安恒海特实验室对此研究如下文:https://www.anquanke.com/post/id/206624蓝牙(BR/EDR)是用于数十亿设备的无线通信的普遍技术。蓝牙标准包括传统认证过程和安全认证过程,从而允许设备使用长期密钥来相互认证。在配对和安全连接建立期间将使用这些过程,以防止冒充攻击。在本文中证明了蓝牙规范包含一些漏洞,这些漏洞使得可以在建立安全连接期间执行冒充攻击。此类漏洞包括缺乏强制性的相互身份验证,过于宽松的角色切换以及身份验证过程降级。攻击符合蓝牙标准,因此对于任何符合标准的蓝牙设备均有效,无论蓝牙版本、安全模式(例如安全连接)、设备制造商和实施细节如何。攻击是隐性的,因为蓝牙标准不需要通知终端用户有关身份验证过程的结果或缺少相互身份验证。为了
发布时间:2020-06-30 18:25 | 阅读:1779 | 评论:0 | 标签:攻击

美国大通银行被黑客攻击,用户无端收到银行转账;REvil又勒索上詹姆斯了!

第13期你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第13期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。【站内公告】本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周营业周二、周四两天。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!美国大通银行被黑客攻击,用户无端收到银行转账据相关人士爆料,美国大通银行(chase bank)据传被黑客攻击了!目前在推特上美国趋势的热度已经飙到第一。很多用户称收到了大通银行的转账,纷纷发推特表示疑惑
发布时间:2020-06-30 18:25 | 阅读:1390 | 评论:0 | 标签:攻击

利用中印边境冲突为诱饵的攻击活动分析

恶意攻击者随时准备利用时事来最大程度地提高攻击的成功率,Zscaler ThreatLabZ团队最近获取到了一个攻击样本,试图利用当前的中印边境争端诱使受害者打开附加的恶意文档。关键点· 该攻击是无文件的,因为没有在磁盘上写入任何payload,也没有建立持久性。· Shellcode与命令和控制(C&C)服务器通信下载Shellcode时使用伪造的HTTP主机字段。· 用  DKMC框架使用隐写术将通信隐藏。· 使用可扩展的C&C配置文件使用Cobalt Strike传输。 https://github.com/Mr-Un1k0d3r/DKMC0x01 恶意文档攻击者将恶意诱饵文件打包为
发布时间:2020-06-30 14:07 | 阅读:1631 | 评论:0 | 标签:攻击

ThanatosMiner(死神矿工)来了,腾讯安全捕获利用BlueKeep高危漏洞攻击传播的挖矿木马

一、背景腾讯安全威胁情报中心检测到挖矿木马ThanatosMiner(死神矿工)利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe,大范围扫描随机生成的IP地址进行探测和攻击。漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe,然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt,将该挖矿木马命名为ThanatosMiner(死神矿工)。2019年5月15日,微软发布了针对远程桌面服务(Remote Desktop Services )的关键
发布时间:2020-06-30 14:07 | 阅读:1678 | 评论:0 | 标签:漏洞 攻击

6月30日每日安全热点 - 疫情期间Windows RDP暴力攻击次数翻倍

漏洞 VulnerabilityCVE-2020-2021 PAN-OS:SAML身份验证中的身份验证绕过https://security.paloaltonetworks.com/CVE-2020-2021CVE-2020-11996: Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告https://cert.360.cn/warning/detail?id=530ef8a50e2435846f7291157b40c6e4安全研究 Security ResearchJNDI之初探 LDAPhttps://mp.weixin.qq.com/s/Pg2bb6385Sv6ptsXAS22-g浅谈PyYAML反序列化漏洞https://xz.aliyun.
发布时间:2020-06-30 13:51 | 阅读:1224 | 评论:0 | 标签:攻击

CVE-2020-11996:Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告

 0x01 漏洞背景2020年06月29日, 360CERT监测发现 apache 官方 发布了 Tomcat http/2 拒绝服务攻击 的风险通告,该漏洞编号为 CVE-2020-11996,漏洞等级:中危。Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等。通过恶意构造的HTTP/2请求序列可能会在几秒钟内触发高CPU使用率。如果在并发HTTP/2连接上发出足够数量的此类请求,服务器可能会变得无响应
发布时间:2020-06-29 15:00 | 阅读:2787 | 评论:0 | 标签:漏洞 攻击 CVE

针对意大利制造行业的高级攻击,疑似与Gorgon APT相关

5月份,有网络安全公司发现了有一种攻击专门针对在全球范围内从事制造业的意大利公司,其中一些公司还属于汽车生产制造商。该活动背后的团队与研究人员在Roma225、Hagga、Mana、YAKKA中所描述的恶意操作中发现的团队相同。该攻击团队于2018年首次被Unit42(网络安全提供商Palo Alto Networks的攻击情报部门)发现,当时在美国、欧洲和亚洲的科技、零售、制造和地方政府产业的大规模恶意攻击中,该团队首次出现。研究人员还发现该团队与Gorgon APT相关,但没有明确的证据证实这一点。Gorgon APT(高级持久攻击)是一个老牌且高危的在线攻击,由Unit 42研究人员于2018年2月首次发现。自2018年2月首次被发现以来,G
发布时间:2020-06-29 10:42 | 阅读:2044 | 评论:0 | 标签:apt 攻击

6月29日每日安全热点 - WastedLocker:针对美国组织的攻击浪潮

漏洞 VulnerabilityNVIDIA 发布了多个有关 GPU 驱动的安全修复更新https://nvidia.custhelp.com/app/answers/detail/a_id/5031/~/security-bulletin%3A-nvidia-gpu-display-driver—june-2020后门大开:GeoVision(台湾指纹扫描仪和监控技术制造商)产品中发现了关键漏洞https://www.acronis.com/en-us/blog/posts/backdoor-wide-open-critical-vulnerabilities-uncovered-geovision安全工具 Security ToolsBSF: 一款僵尸网络模拟
发布时间:2020-06-29 10:26 | 阅读:2881 | 评论:0 | 标签:攻击

腾讯安全捕获利用BlueKeep高危漏洞攻击传播的挖矿木马

腾讯安全捕获利用BlueKeep高危漏洞攻击传播的挖矿木马2020-06-28 20:09:40腾讯安全威胁情报中心检测到挖矿木马ThanatosMiner(死神矿工)利用BlueKeep漏洞CVE-2019-0708攻击传播,BlueKeep漏洞(CVE-2019-0708)是所有安全厂商都异常重视的高危漏洞。一、背景腾讯安全威胁情报中心检测到挖矿木马ThanatosMiner(死神矿工)利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe,大范围扫描随机生成的IP地址进行探测和攻击。漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe,然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。
发布时间:2020-06-29 00:36 | 阅读:2690 | 评论:0 | 标签:漏洞 攻击

WastedLocker:赛门铁克确定了针对美国组织的攻击浪潮

原文链接:WastedLocker: Symantec Identifies Wave of Attacks Against U.S. Organizations译者:知道创宇404实验室翻译组 Broadcom旗下的赛门铁克发现并警告用户:攻击者试图部署WastedLocker勒索软件,对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构,以要求获得数百万美元的赎金,目前至少有31个组织受到了攻击,这意味着攻击者已经破坏了目标组织的网络,并且正在为勒索软件攻击奠定基础。是一种相对较新的定向勒索软件,在NCC Group发布之前就已被记录,而赛门铁克正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“E
发布时间:2020-06-28 20:36 | 阅读:2965 | 评论:0 | 标签:攻击

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云