记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

基于异常行为的未知勒索软件检测

by 高渐离 ultrain本篇文章感谢todaro@安全狗和宋超提供勒索软件样本。感谢killer总在应用层终止恶意进程方面的指导。感谢PT提供的非常棒的powertool,让我们能很好的分析国外软件的操作。 近年勒索软件形式愈演愈烈,尤其是WannaCry让人印象深刻。近期Badrabbit又肆虐欧洲。目前云主机上的防护大多是云厂商自研的防护软件。企业内部终端安全防护,鉴于信息安全的需要,也不会直接使用个人PC上流行的防护软件。在这些防护软件上,对使用内核模块都保持着较为谨慎的态度。如果要做勒索软件检测模块并尽快上线,最好是提供能在应用层就直接实现的方式。同时,目前大家推崇的态势感知方案其实对勒索软件收效甚微。等看见了,伤害已经造成了。而大多数防护方案则是针
发布时间:2017-10-30 20:00 | 阅读:97882 | 评论:0 | 标签:安全技术 攻防技术

绿盟在现场|不能错过的安全界奥斯卡——Blackhat2017

阅读: 24一年一度的安全界顶级盛会——Blackhat2017——在拉斯维加斯如火如荼得进行着,各路安全界大咖都卯足精神,给世界展示着异彩纷呈的神兵利器。绿盟科技作为受邀嘉宾,也见证了这场盛事。下面我们就来看看绿盟科技首席技术官——赵粮博士在现场发回的第一手新鲜资讯吧!文章目录扣篮诚可贵,盖帽价更高:行业应更加重视安全“基本功”兵者,诡道也——安全实践中的攻防博弈三体猜疑链:增加系统自身独特性附件下载扣篮诚可贵,盖帽价更高:行业应更加重视安全“基本功”在过去的几年时间里,APT高级持续威胁和 零日攻击、高精尖的各种PWN破解大赛占据了很多媒体的头版,眼球和掌声被新漏洞挖掘、未知威胁发现等不客气的统统收编。但是另一方面,各种数据表明,企业和组织中的绝大部分安全事件来自于账号口令补丁等传统项目,数以亿计的恶意软件
发布时间:2017-07-28 02:35 | 阅读:140826 | 评论:0 | 标签:技术前沿 blackhat blackhat2017 攻防技术 黑帽大会

Webshell安全检测篇(1)-基于流量的检测方式

一、概述 笔者一直在关注webshell的安全分析,最近就这段时间的心得体会和大家做个分享。 webshell一般有三种检测方式: 基于流量模式 基于agent模式(实质是直接分析webshell文件) 基于日志分析模式 Webshell的分类笔者总结如下: 前段时间由于工作的需要完成了一个Webshell检测系统,根据当时的需求写了一篇关于使用基于Agent模型和基于日志分析模型来检测服务器上的文件是否是Webshell的文章, 原文可以参见:http://www.sec-un.org/ideas-like-article-espionage-webshell-method.html
发布时间:2015-11-08 21:20 | 阅读:121859 | 评论:0 | 标签:安全任务 安全方案 攻防技术

猥琐的netfilter backdoor

【描述】 主要是在netfilter chains中加入自己的一个filter,例如我每次执行ping的时候就会触发这个代码,并且我在内核态的时候使用call_usermodehelper来调用用户态的程序。 【代码】 #include <linux/kernel.h> #include <linux/module.h> #include <linux/ip.h> #include <linux/version.h> #include <linux/skbuff.h> #include <linux/netfilter.h> #include <linux/netfilter_ipv4.h> #incl
发布时间:2015-10-27 21:10 | 阅读:138443 | 评论:0 | 标签:安全技术 攻防技术

技术算个啥之01篇——APT不是攻击技术,是攻击的心态和模式

借NUKE的宝地,学习做一下自媒体。 做了十五六年信息安全了,懂得越来越少了,打算写几个专题:厂商那点事、技术算个啥、热点瞎琢磨,希望我能坚持写下来。欢迎同时关注我自己的公众号“Kris疯言痴语话安全”,安全圈的娱乐精神要大力发扬!     安全圈子里的新兴技术概念越来越多,着实凸显出信息安全圈的热闹,新兴安全公司都喜欢带着新概念诞生和成长,但这些概念中不乏有的是旧瓶装新酒,有的则纯属做了个精美的月饼盒,盒子里装的还是去年中秋的那个老馅饼。     技术算个啥专题,致力揭开蒙在高大上的技术概念前的面纱,也给真正牛X的新技术点个赞。     当下先得说APT,AP
发布时间:2015-08-03 23:50 | 阅读:97020 | 评论:0 | 标签:安全技术 攻防技术

APT时代-窃密型WebShell检测方法的思考

前段时间由于项目的需要也因为正在负责一个后门检测小工具的项目开发所以恶补了一下Webshell检测技术内容,一路天马行空写下此文和大家分享。小弟才疏学浅如有内容上的问题还请不吝指正。 窃密型WebShell检测方法 1.前言 近年来网站被植入后门等隐蔽性攻击呈逐年增长态势,国家互联网应急中心发布的《2013年我国互联网网络安全态势综述》称2013年国家互联网应急中心共监测发现我国境内6.1万个网站通过境外被植入后门,较2012年增长62.1%。黑客在利用WEB应用漏洞攻击成功后,通常会利用植入Webshell后门实现对应用系统篡改、对操作系统控制以及对数据库中敏感数据的窃取。攻击者通过浏览器或者控制端与被控制的WEB应用系统之间通过开启的合法端口交换数据,隐蔽性很高,传统防
发布时间:2015-06-11 19:10 | 阅读:110773 | 评论:0 | 标签:攻防技术

最近棱镜门爆料-美国棱镜系统2013年预算、编制及工作任务

棱镜门事件已经过去了很长一段时间,但是到现在仍陆续会爆出一些新料。本篇就最新爆料内容做个简单解读。详细内容可自行寻觅原文。 本次爆料内容准确说是 加密分析及利用服务(CRYPTANALYSIS & EXPLOITATION)及针对定点系统分析(ANALYSIS OF TARGET SYSTEM)部分的黑色预算。 这个项目是与美国SIGINT系统集成(就是那个互联网流量、光缆监听和路由控制)一体的,进行监听、植入、解密、分析的项目。实际上这些项目都是由美国一个中心进行的运行,并且在五眼范围内进行共享。 本篇主要摘录其中比较有意思的部分,首先是预算,编制啦。 2011年实际发生费用39.4 $M,也就是大概2.47亿RMB(按当前汇率);2012年略降至35.1
发布时间:2015-03-11 15:50 | 阅读:103372 | 评论:0 | 标签:攻防技术

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云