记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

深入了解离地攻击策略

无文件攻击通常包括对 Microsoft Windows 众多内建工具的滥用。这些工具使得攻击者轻松地从一个阶段“跳转”到另一个阶段,无需执行任何编译的二进制可执行文件,这种攻击方式被称为“离地攻击”。 什么是离地攻击? “离地攻击”是网络犯罪分子用来进行网络攻击的策略之一,一旦攻击者的恶意代码能与本地程序进行交互,那么攻击者就有可能利用系统的原生工具进行下一步攻击,包括下载附带的其他恶意代码,启动程序,执行脚本,窃取数据,横向扩展,维持访问等等。 攻击者为达到这些目的而调用的工具包括 regsvr32.exe、rundll32.exe 、certutil.exe和schtasks.exe。
发布时间:2019-03-04 18:45 | 阅读:91146 | 评论:0 | 标签:文章

Jigsaw勒索软件王者归来

想玩游戏吗?Jigsaw勒索软件想和你玩,玩的代价就是你要付400美元或者从网上下载免费的解密器。Jigsaw首次出现于2016年,它不仅会加密受害者的文件,还以不断增加的速率删除文件直到攻击者确认钱已到账。如今,Jigsaw再一次出现,这一次Jigsaw通过骗局策略分发。 分发 每封电子邮件都以一个关于威胁行为者如何危害受害者财务账户的策略开始。恐吓受害者之后,这些电子邮件伪装成一个被盗的银行对账单欺骗他们点击下载链接。此下载链接使用缩短的链接来逃避检测,然后将用户信息到有效负载服务器,最终在名为Statement.pdf.msi的文件的幌子下下载恶意软件。
发布时间:2019-01-24 18:45 | 阅读:86971 | 评论:0 | 标签:文章

Paypal账户双因素验证又怎样?Android木马照窃不误

2018年首次检测到了一种Andorid木马,该木马混合远程控制银行木马和新型Android辅助功能的误用,针对的是PayPal应用程序用户。恶意软件伪装成电池优化工具,并通过第三方应用商店分发。 运行方式 恶意程序在启动后不提供任何功能,并将图标隐藏,之后,其功能可分为两个主要部分,描述如下: 针对PayPal的恶意访问服务 该恶意软件的首要功能是从受害者的PayPal账户上窃取钱财,因此需激活恶意访问服务。如图所示,该请求会呈现给用户的是“启用统计”服务。 如受感染设备上安装过官方PayPal应用程序,恶意软件会提示用户启动该程序。
发布时间:2019-01-14 18:45 | 阅读:238212 | 评论:0 | 标签:文章 Android

计算机电磁泄漏的那些事儿

摘  要 麦克斯韦在150年前告诉我们“时变电流产生的电磁波可被隔空感应”。美国在60年前关注密码设备电磁泄漏现象,实施了TEMPEST(一系列的构成信息安全保密领域的总称)计划。荷兰学者范埃克30年前发表论文并用改装黑白电视机远距离接收计算机显示器内容,首次公开计算机电磁泄漏原理。Inslaw丑闻和斯诺登事件证实美国利用电磁泄漏主动攻击窃密由来已久。世界各国学者电磁泄漏研究方兴未艾。本文告诉你计算机电磁泄漏的那些事儿。 麦克斯韦方程组揭示电磁泄漏原理 150多年前,英国科学家麦克斯韦提出了麦克斯韦方程组,创立了经典电动力学,预言了电磁波的存在。
发布时间:2018-12-05 18:45 | 阅读:123796 | 评论:0 | 标签:技术控 文章

暗网系列之:暗网威胁中常见的技术与战术(一)

背景介绍 暗网是与公开可访问的地面网络相对的、仅能通过加密链接访问的网络。暗网以其大量从事非法交易的市场和社区而备受执法机关和媒体的关注。 事实上,暗网上的内容纷繁复杂,混迹其中的角色除了注重隐私或逃避当局监测的自由派人士之外,还包括了形形色色的边缘人物,如企图购买假冒商品的商贩、毒贩和网络犯罪分子。本文讲述的重点是暗网中的网络犯罪态势,通过一些具体的案例,探索一下暗网中网络犯罪分子常用的技术和战术,从中我们可能会更加清楚这些威胁行为者是如何在暗网中开展业务的。了解对手使用的新的技术和战术,可以帮助我们更好的制定并实施有效的防护措施。
发布时间:2017-12-05 12:25 | 阅读:172513 | 评论:0 | 标签:文章 观点 企业安全 安全威胁 安全情报 暗网系列

暗网系列之:新兴市场管理员经验不足,大量交易站点的真实IP地址暴露

背景介绍 今年夏天,美国、俄罗斯、荷兰的执法部门撤除了暗网上排名前三的非法交易市场,之后执法人员又陆续跟踪并清除了多个活跃的暗网市场,这些暗网站点服务器由于配置不当致使服务器的真实IP泄露。在暗网环境下,泄露真实的IP地址意味着执法人员可以跟踪到具体的服务器,并进一步追查到网站的经营者及大部分用户的真实身份。 研究人员喜欢追踪暗网入口 在过去的两个月中,一个安全研究员(化名“Sh1ttyKids”)发现暗网市场中的一些网站暴露了自己真实的IP地址,其中一些是从事违法交易的站点。
发布时间:2017-11-18 23:45 | 阅读:176637 | 评论:0 | 标签:文章 观点 信息泄露 暗网市场 犯罪形势

大鱼吃小鱼:地下论坛分享的GoAhead漏洞利用脚本中被植入了后门程序

背景介绍 大量的观察表明,整个网络空间威胁领域中物联网安全威胁是当下发展最快的,攻击方式从简单的密码猜测,逐渐演进到更为先进的漏洞利用,例如最近广受关注的IoTroop/Reaper僵尸网络。随着物联网的快速普及,各种物联网产品和系统的安全漏洞也相继被披露,越来越多的脚本小子、业务黑客企图利用复制/粘贴等方式,跳上了物联网漏洞利用的快车,在各种地下论坛中,能看到越来越多的关于物联网漏洞利用工具的分享和出售。 根据对地下论坛的观察,网络犯罪分子们进来似乎很热衷于利用有漏洞的GoAhead版本(*GoAhead是一个开源、简易的、功能强大且能在多个平台运行的嵌入式Web服务器)。
发布时间:2017-11-11 06:05 | 阅读:242436 | 评论:0 | 标签:文章 IoT安全 僵尸网络 后门程序 物联网安全 后门 漏洞

【重磅推出】ISC大会补天漏洞情报服务发布会:英雄,你准备好了吗?

万物皆变需积极防御 补天推出情报精准推送 2017年9月11日-13日中国互联网安全大会在国家会议中心隆重召开。本次大会中13日的发布会中,补天漏洞响应平台推出了全新的补天漏洞情报服务。 在万物皆变的网络安全环境当中,技术不断升级,威胁愈演愈烈,如何让企业预知安全,提前防御,最大限度降低风险,是许多企业共同面临的问题。今年5月爆发的勒索病毒“Wannna Cry”事件更是引发全社会对于网络安全,以至漏洞安全的高度关注。 漏洞被业内人士习惯地称为网络武器和军火,经常引发黑客攻击,导致企业大量数据泄露。
发布时间:2017-09-13 18:05 | 阅读:126501 | 评论:0 | 标签:文章 活动 安全情报服务 漏洞风险预警 补天 漏洞

【ISC2017精彩剪辑】生物黑客:植入芯片变身“半机械人”

  世界黑客大会DEFCON是全球安全圈最神秘最前沿的黑客大派对,以360为代表的中国团队近年来在DEFCON也多有斩获,但是能亲临现场仍然是众多白帽黑客的梦想。作为国内最早获得官方授权的DEECON GROUP沙龙,DC010一直致力于提供自由灵活的分享平台,黑客炫技舞台。 9月12日,来自荷兰的世界顶级生物黑客、Patrick Paumen在DC010依靠体内的植入芯片展示“特异功能”,让在场观众大开眼界。
发布时间:2017-09-13 01:00 | 阅读:118954 | 评论:0 | 标签:人物 文章 ISC 生物黑客

最大的比特币交易所 BTC-E 被关闭:涉嫌违规洗钱40亿美元、处理了95%的勒索软件比特币赎金

BTC-E,曾经是比特币行业最大的比特币交易所,如今已经正式被关闭,平台在上周被六个美国执法机构查封。BTC-E被指控参与从现在已经关闭的比特币交易所Mt. Gox和Bitcoinica盗窃22亿1000万美元。 BTC-E的创始人Alexander Vinnick在希腊被捕,被指控通过比特币交易所洗钱超过40亿美元。洗钱的资金来源除了从Mt. Gox和Bitcoinica盗窃的超过24亿美元之外,还包括95%的勒索软件比特币赎金(Google和区块链分析公司Chainanalysis在2017年的美国黑帽安全大会上称,它们已经通过BTC-E成功兑现了)。
发布时间:2017-08-16 20:00 | 阅读:143320 | 评论:0 | 标签:文章

Ursnif新变种使用鼠标移动进行逃逸和解密

前情提要 2016年1月,Forcepoint安全实验室报告了一个通过垃圾邮件进行分发的银行木马 Ursnif,其在初始的HTTP请求中使用“Range”特征来规避检测。 2017年7月,我们在一个恶意电子邮件中提取到了一个Ursnif的新变种,邮件附件是一个加密的Word文档,解密密码在邮件正文中。 我们有几份2017年4月份以来的Ursnif相关的活动记录,该文档中包含了几个被混淆过的VBS文件,通过VMI加载恶意的DLL文件。
发布时间:2017-07-26 20:10 | 阅读:179342 | 评论:0 | 标签:代码审计 文章 移动

勒索软件解密工具大全

文章共55个勒索软件解密工具,篇幅比较长,可直接检索勒索软件的名字或关键字进行查找。 前言 在这里我们几乎收集了所有已经发布的勒索软件解密工具,并且会依然持续不断的收集更新。但依然不能保证一定能解开您被加密的数据。解密工具能被开发出来,是因为勒索软件作者水平太差,导致在加密过程中密钥泄露。但随着勒索软件作者水平的不断提高,今后开发解密工具将会越来越困难。
发布时间:2017-02-26 01:55 | 阅读:1186440 | 评论:0 | 标签:工具 文章 勒索 勒索家族 勒索软件 解密工具

OPPO安全中心招聘

OPPO是广东欧珀移动通信有限公司旗下品牌,成立于2004年,是一家全球性的智能终端和移动互联网公司,致力于为客户提供最先进和最精致的智能手机、高端影音设备和移动互联网产品与服务,业务覆盖中国、美国、俄罗斯、欧洲、东南亚等广大市场! OPPO在深圳市南山区卓越后海中心成立了OS产品中心事业部,主要从事与手机软件相关的研发工作,包括其线上系统。
发布时间:2017-02-03 23:10 | 阅读:230521 | 评论:0 | 标签:招聘 文章 OPPO安全中心 OPPO安全招聘 OPPO招聘

前端黑魔法:使用JS检测远程用户的杀毒软件

我工作中经常使用的操作系统是Windows 7,为了保证安全性,我安装了卡巴斯基。有一天,浏览一个网页,我注意到一段非常有趣的代码。在我看来,这不应该出现在该页面上。 为什么FaceBook要使用卡巴斯基的JavaScript代码?我立即意识到我的杀软发起了MITM流量(http和https),并注入了代码来跟踪页面的活动。为什么不创造一个特殊的页面监控JavaScript脚本,并了解客户端计算机上的任何杀毒软件,包括KIS。
发布时间:2016-11-03 01:35 | 阅读:156952 | 评论:0 | 标签:Web安全 文章 Avira Chrome扩展 DrWeb MITM Norton 卡巴斯基 检测杀软

【初审通过,可编辑】【原创】[原创]论如何在CTF比赛中搅屎

论如何在CTF比赛中搅屎 0×00 前言 不能搅屎的CTF不是好CTF,不能搅屎的题目不是好题目。 我很赞成phithon神的一句话,“比赛就是和他人竞争的过程,通过各种手段阻止对手拿分我觉得也是一种能力。” 你能够做到别人做不到的,那就是你的本事。 本文所说的搅屎是在GETSHELL的情况下才能进行的!!!遇到phithon师傅的《CTF主办方指南之对抗搅屎棍》就GG了 0×01 预备知识 大多数能够搅屎的题目基本上是PHP且需要getshell的。
发布时间:2016-10-30 15:30 | 阅读:165721 | 评论:0 | 标签:文章

基于浏览器的指纹识别: 影响和缓解措施

更新于10/11/2016: 微软修复了其它指纹识别漏洞. 我们之前提到它“未修复”, 对应 CVE-2016-3298。现在任何指纹识别的尝试都会返回成功的标志(onreadystatechange/onload fire anyway) 即使相关资源并不存在。 实际上,这个补丁是确保内容来自于资源节,除了res://ieframe.dll没有被加载,反而地址栏设置成了默认的 about:blank 页面。 修复信息泄漏漏洞仍然是一个持续的问题。
发布时间:2016-10-15 14:40 | 阅读:164674 | 评论:0 | 标签:Web安全 文章 CVE-2013-7331 CVE-2015-2413 CVE-2016-3298 CVE-2016-

Windows域横向渗透

环境拓扑 我们的目的是获取redhook.DA域的一个可用的账户,当前攻击者已在公司网络内,但并未在同一个子网。 Compromising Client 1 假设我们已经获取到了Client1的登陆凭据,如果网络足够大,你可以发现存储在某处网络共享上面的其他凭据(通过批量的脚本:vbs,ps1,.net等等)。关于怎么访问网络,你可以使用Cobalt Strike框架。 我们可以这样做: 我们可以通过批量的脚本快速的获得NETBIOS的信息。 在win上,可以用命令nbtstat -A IP获得相同的信息,可以看到机器名是WIN7-ENT-CLI1,属于REDHOOK域。
发布时间:2016-09-20 21:35 | 阅读:262004 | 评论:0 | 标签:内网渗透 文章 exploit Incognito metasploit mimikatz PowerSploit 信息

全国高校网安联赛X-NUCA·2016赛季大幕开启

              为了密切配合高校网安人才培养体系,为了更大范围内的发现、储备、培养网络安全人才,为了吸引更多学子热爱、从事网安事业,全国高校网安联赛(National University Cybersecurity Association,简称X-NUCA)正式拉开帷幕!全国高校网安联赛(X-NUCA)由中国网络空间安全协会竞评演练工作委员会和教育部高等学校信息安全专业教学指导委员会联合指导,中国科学院大学网络空间安全学院主办,湖南合天智汇信息技术有限公司承办。
发布时间:2016-07-25 08:00 | 阅读:152132 | 评论:0 | 标签:文章

Imagetragick 补丁绕过再次命令执行

##心情杂谈 哎哎哎,老司机一言不合就爆洞啊,这个洞在之前分析CVE-2016-3714的时候也发现了,结果被捂烂了…心塞塞~那我就写一下当时是怎么发现怎么这个
发布时间:2016-05-31 13:45 | 阅读:150324 | 评论:0 | 标签:文章 CVE-2016-3714 ImageMagick imagemagick命令执行 imagemagick漏洞 i

ImageMagick 远程命令执行漏洞(CVE-2016-3714)安全预警

5月3日,ImageMagick官方披露称,目前程序存在一处远程命令执行漏洞(CVE-2016–3714),当其处理的上传图片带有攻击代码时,可被远程执行任意代码,进而可能控制服务器。 ImageMagick 是一款开源图片处理库,支持PHP、Ruby、NodeJS和Python等多种语言,使用非常广泛。包括PHP imagick、Ruby rmagick和paperclip以及NodeJS imagemagick等多个图片处理插件都依赖它运行。 Mail.Ru安全团队在4月21日发现了CVE-2016–3714。
发布时间:2016-05-06 01:25 | 阅读:149177 | 评论:0 | 标签:文章 CVE-2016-3714 ImageMagick ImageMagick 远程命令执行漏洞 imagick pa

Hacking Team的drive-by攻击被曝光

根据周一发表的研究表明,一个正在持续的drive-by攻击会强迫 Android 机上的勒索软件利用高危漏洞,这个漏洞存在于百万使用旧版本 Google 操作系统用户的手机上。攻击结合了至少两种高危漏洞,该漏洞存在于 Android 4.0 到 4.3中。其中包括一个名为 Towelroot 的漏洞,这个漏洞提供给攻击者不受任何约束就可以使用 root 权限访问受攻击用户的手机。该攻击代码似乎大量借鉴了去年7月意大利的 Hacking Team 泄漏的Android攻击脚本,但是它并没有直接复制该脚本。
发布时间:2016-05-03 08:55 | 阅读:134593 | 评论:0 | 标签:文章

Struts2方法调用远程代码执行漏洞(CVE-2016-3081)分析

0x00 漏洞简述 2016年4月21日Struts2官方发布两个CVE,其中CVE-2016-3081官方评级为高。主要原因为在用户开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。从我自己搜索的情况来看,国内开启这个功能的网站不在少数,所以这个“Possible Remote Code Execution”漏洞的被打的可能性还是很高的。
发布时间:2016-04-26 14:00 | 阅读:157120 | 评论:0 | 标签:文章 cleanupActionName CVE-2016-3081 DefaultActionMapper.java

“僵尸之手”:一种伪装成正常应用的恶意病毒

最近,安天AVL移动安全和猎豹移动安全实验室共同截获病毒“僵尸之手”——一种伪装成正常应用,并通过远程指令控制中毒手机,实施恶意行为的病毒。该病毒通常伪装成正常的工具类应用或娱乐类应用进行传播(如下图所示)。“僵尸之手”在用户未察觉其为病毒的情况下安装进入用户手机,成功绕开部分杀毒软件的查杀后,进而联网下载实际发挥恶意作用的程序并诱导用户安装。一旦实现远程控制中毒用户手机,“僵尸之手”将强制手机下载更多其他病毒软件并尝试安装。
发布时间:2016-04-19 19:55 | 阅读:117884 | 评论:0 | 标签:文章 终端安全 恶意行为 扣费 远程控制

Linux系统审计工具 Lynis 新版本发布

Lynis是一个为系统管理员提供的 Linux和Unix的审计工具 。 Lynis扫描系统的配置,并创建概述系统信息与安全问题所使用的专业审计,同时它也是一款开源审计工具,Lynis能够运行在几乎所有的Unix版本上,例如可在AIX、FreeBSD、HP-UX、Linux、Mac OS、NetBSD、OpenBSD、Solaris等系统环境下运行。甚至还可以运行在Raspberry Pi(树莓派)或者QNAP的存储设备上。值得注意的是,该工具由一系列的shell脚本构成,并具备通用性公开许可证(GPL)。
发布时间:2016-04-02 01:00 | 阅读:98455 | 评论:0 | 标签:工具 文章 Lynis 安全审计

HID高级攻击姿势:利用PowerShell脚本进行文件窃取

0×01 引言又到了期中考试了,我又要去偷答案了,一直发现远程下载运行exe的方式不太好,容易报毒所以这里打算用ps脚本。0×02 关于HIDHID是Human Interface Device的缩写,由其名称可以了解HID设备是直接与人交互的设备,例如键盘、鼠标与游戏杆等。不过HID设备并不一定要有人机接口,只要符合HID类别规范的设备都是HID设备。一般来讲针对HID的攻击主要集中在键盘鼠标上,因为只要控制了用户键盘,基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中,当用户将含有攻击向量的鼠标或键盘,插入电脑时,恶意代码会被加载并执行。
发布时间:2016-03-25 23:55 | 阅读:137120 | 评论:0 | 标签:文章 HID 文件窃取

2016 RSA议题:云计算当道,企业该如何阻止恶意软件?

有数据表明,储存于云端应用中的每100个文件中就有4个含恶意软件。HR:小心引狼入室假设你是一名HR,现在有一个职位出现空缺,需要你尽快找到合适的人选。那么,你会怎么做呢?不用犹豫,你肯定会去各大招聘网站发招聘讯息,然后你的邮箱便会被若干求职简历挤爆,你决定将这些简历同步到云上的文件夹中以便团队其他成员可以访问它们。“自动同步”无疑让分享变得高效、便捷,但是这里存在一个问题。其中有一个简历包含恶意软件,那么现在你团队中的所有成员都被感染了。“欢迎来到恶意软件的天堂!”Netskope首席科学家Krishna Narayanaswamy在RSA大会云安全联盟峰会上如是说。
发布时间:2016-03-10 15:55 | 阅读:119715 | 评论:0 | 标签:文章 RSA 云计算 恶意软件

逆向在线游戏:创建一个包记录器和编辑器

免责声明:逆向猎龙游戏完全出于学习目的,我反对本文提供的信息被用于任何恶意行为,并且目前发现的所有漏洞已提交至Aeria游戏或已经被修复。0×01 概述在这篇博客中,我准备向大家展示如何逆向在线游戏猎龙,为其创建一个包记录器和编辑器。而在后续的博客中我可能还会展示如何发送我们自己的数据包。 从数据包着手,可以做你想做的任何事情,包括寻找漏洞,相关功能函数。猎龙是一款Aeria Games开发的大型多人在线游戏。
发布时间:2016-02-26 21:15 | 阅读:129496 | 评论:0 | 标签:文章 包记录器 游戏 逆向

Tor 的匿名性真的和你想象中一样强?

目前Tor已经获得了相当大的关注,尤其在两个星期前,使用该项目的人数又翻了两倍并创下历史新高。那么Tor的匿名性到底怎么样呢?Tor的由来以及发展Tor(洋葱网络)是互联网上用于保护您隐私最有力的工具之一,但是时至今日仍有不少人往往认为Tor是一个终端加密工具。而事实上,Tor是用来匿名浏览网页和邮件发送(并非是邮件内容加密)的。洋葱网络最开始是由Michael G. Reed, Paul F. Syverson, and David M. Goldschlag发展起来,之后美国海军申请了专利,专利号为US Patent No. 6266704 (1998)。
发布时间:2016-02-26 21:15 | 阅读:148125 | 评论:0 | 标签:数据安全 文章 网络安全 tor 匿名性

YARA:抗击恶意代码的神兵利器

0×00 简介YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。这款工具配备一个短小精悍的命令行搜索引擎,它由纯C语言编写,优化了执行的效率。该引擎可以跨平台使用,能够运行Windows,Linux及Mac OS X系统上。同时,这款工具提供python扩展,允许通过python脚本访问搜索引擎。最后,也是最重要的一点,该引擎也可以扫描正在运行的进程。YARA规则类似于C代码,通常由两部分组成:脚本定义和布尔表达式(condition)。
发布时间:2016-02-24 23:15 | 阅读:129539 | 评论:0 | 标签:工具 文章 YARA 恶意代码特征提取

PHP 使用 rand() 函数生成令牌安全吗?

Web 应用经常需要创建一个难以被猜解的令牌,例如,会话令牌、CSRF 令牌或者在忘记密码功能中用于邮件重置密码使用的令牌。这些令牌本应该被进行加密保护,但实际中却经常被使用多次调用 rand 函数并转换输出为字符串来表示。本文将展示预测使用 rand 产生的令牌其实并不那么困难。rand 是如何工作的在 PHP 中,函数 rand 用于产生伪随机数,而初始化随机数的种子是由 srand 产生的。如果用户不选择调用 srand,那么 PHP 会将一个非常难以猜测的数字作为随机数生成器的种子。由 srand 产生的种子将完全决定了 rand 函数生成的随机数。
发布时间:2016-02-21 18:35 | 阅读:142491 | 评论:0 | 标签:文章 网络安全 php

ADS

标签云