记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

深入了解离地攻击策略

无文件攻击通常包括对 Microsoft Windows 众多内建工具的滥用。这些工具使得攻击者轻松地从一个阶段“跳转”到另一个阶段,无需执行任何编译的二进制可执行文件,这种攻击方式被称为“离地攻击”。 什么是离地攻击? “离地攻击”是网络犯罪分子用来进行网络攻击的策略之一,一旦攻击者的恶意代码能与本地程序进行交互,那么攻击者就有可能利用系统的原生工具进行下一步攻击,包括下载附带的其他恶意代码,启动程序,执行脚本,窃取数据,横向扩展,维持访问等等。 攻击者为达到这些目的而调用的工具包括 regsvr32.exe、rundll32.exe 、certutil.exe和schtasks.exe。Windows 管理规范(WMI),是 Windows 系统内建工具,为攻击者提供了“平地起飞”的绝好机会。WMI 借助
发布时间:2019-03-04 18:45 | 阅读:39803 | 评论:0 | 标签:文章

Jigsaw勒索软件王者归来

想玩游戏吗?Jigsaw勒索软件想和你玩,玩的代价就是你要付400美元或者从网上下载免费的解密器。Jigsaw首次出现于2016年,它不仅会加密受害者的文件,还以不断增加的速率删除文件直到攻击者确认钱已到账。如今,Jigsaw再一次出现,这一次Jigsaw通过骗局策略分发。 分发 每封电子邮件都以一个关于威胁行为者如何危害受害者财务账户的策略开始。恐吓受害者之后,这些电子邮件伪装成一个被盗的银行对账单欺骗他们点击下载链接。此下载链接使用缩短的链接来逃避检测,然后将用户信息到有效负载服务器,最终在名为Statement.pdf.msi的文件的幌子下下载恶意软件。 恶意软件 400美元,Jigsaw这一次要求赎金比以往多多了,不过除了赎金不一样其余的都差不多。和以前一样,先弹出一个华而不实的对话框然后慢慢输入它
发布时间:2019-01-24 18:45 | 阅读:41869 | 评论:0 | 标签:文章

Paypal账户双因素验证又怎样?Android木马照窃不误

2018年首次检测到了一种Andorid木马,该木马混合远程控制银行木马和新型Android辅助功能的误用,针对的是PayPal应用程序用户。恶意软件伪装成电池优化工具,并通过第三方应用商店分发。 运行方式 恶意程序在启动后不提供任何功能,并将图标隐藏,之后,其功能可分为两个主要部分,描述如下: 针对PayPal的恶意访问服务 该恶意软件的首要功能是从受害者的PayPal账户上窃取钱财,因此需激活恶意访问服务。如图所示,该请求会呈现给用户的是“启用统计”服务。 如受感染设备上安装过官方PayPal应用程序,恶意软件会提示用户启动该程序。一旦用户打开并登录用户,恶意的辅助功能服务(如用户已启用) 便会模仿用户点击,将钱打入攻击者的PayPal地址,全过程只要5秒。 恶意软件并不依赖窃取PayPal登录凭证,而
发布时间:2019-01-14 18:45 | 阅读:190335 | 评论:0 | 标签:文章 Android

计算机电磁泄漏的那些事儿

摘  要 麦克斯韦在150年前告诉我们“时变电流产生的电磁波可被隔空感应”。美国在60年前关注密码设备电磁泄漏现象,实施了TEMPEST(一系列的构成信息安全保密领域的总称)计划。荷兰学者范埃克30年前发表论文并用改装黑白电视机远距离接收计算机显示器内容,首次公开计算机电磁泄漏原理。Inslaw丑闻和斯诺登事件证实美国利用电磁泄漏主动攻击窃密由来已久。世界各国学者电磁泄漏研究方兴未艾。本文告诉你计算机电磁泄漏的那些事儿。 麦克斯韦方程组揭示电磁泄漏原理 150多年前,英国科学家麦克斯韦提出了麦克斯韦方程组,创立了经典电动力学,预言了电磁波的存在。 英国爱丁堡圣安德鲁广场麦克斯韦和他的狗的塑像,塑像下面
发布时间:2018-12-05 18:45 | 阅读:67739 | 评论:0 | 标签:技术控 文章

暗网系列之:暗网威胁中常见的技术与战术(一)

背景介绍 暗网是与公开可访问的地面网络相对的、仅能通过加密链接访问的网络。暗网以其大量从事非法交易的市场和社区而备受执法机关和媒体的关注。 事实上,暗网上的内容纷繁复杂,混迹其中的角色除了注重隐私或逃避当局监测的自由派人士之外,还包括了形形色色的边缘人物,如企图购买假冒商品的商贩、毒贩和网络犯罪分子。本文讲述的重点是暗网中的网络犯罪态势,通过一些具体的案例,探索一下暗网中网络犯罪分子常用的技术和战术,从中我们可能会更加清楚这些威胁行为者是如何在暗网中开展业务的。了解对手使用的新的技术和战术,可以帮助我们更好的制定并实施有效的防护措施。 *资料来源:Recorded Future 出售泄露的数据,尤其是用户凭据 由于黑客攻击和数据泄漏是如此普遍,某些暗网市场已经成为交易泄露数据和用户凭据的代名词。不择手段的诈骗
发布时间:2017-12-05 12:25 | 阅读:118737 | 评论:0 | 标签:文章 观点 企业安全 安全威胁 安全情报 暗网系列

暗网系列之:新兴市场管理员经验不足,大量交易站点的真实IP地址暴露

背景介绍 今年夏天,美国、俄罗斯、荷兰的执法部门撤除了暗网上排名前三的非法交易市场,之后执法人员又陆续跟踪并清除了多个活跃的暗网市场,这些暗网站点服务器由于配置不当致使服务器的真实IP泄露。在暗网环境下,泄露真实的IP地址意味着执法人员可以跟踪到具体的服务器,并进一步追查到网站的经营者及大部分用户的真实身份。 研究人员喜欢追踪暗网入口 在过去的两个月中,一个安全研究员(化名“Sh1ttyKids”)发现暗网市场中的一些网站暴露了自己真实的IP地址,其中一些是从事违法交易的站点。 例如新发现的一个名为“ElHerbolario”的商店是专门销售业务的,跟踪到与这个网站相关的两个荷兰的IP地址(188.209.52.177和185.61.138.73),使用了乌克兰知名的防弹主机提供商BlazingFast的服务
发布时间:2017-11-18 23:45 | 阅读:107202 | 评论:0 | 标签:文章 观点 信息泄露 暗网市场 犯罪形势

大鱼吃小鱼:地下论坛分享的GoAhead漏洞利用脚本中被植入了后门程序

背景介绍 大量的观察表明,整个网络空间威胁领域中物联网安全威胁是当下发展最快的,攻击方式从简单的密码猜测,逐渐演进到更为先进的漏洞利用,例如最近广受关注的IoTroop/Reaper僵尸网络。随着物联网的快速普及,各种物联网产品和系统的安全漏洞也相继被披露,越来越多的脚本小子、业务黑客企图利用复制/粘贴等方式,跳上了物联网漏洞利用的快车,在各种地下论坛中,能看到越来越多的关于物联网漏洞利用工具的分享和出售。 根据对地下论坛的观察,网络犯罪分子们进来似乎很热衷于利用有漏洞的GoAhead版本(*GoAhead是一个开源、简易的、功能强大且能在多个平台运行的嵌入式Web服务器)。黑客们利用诸如CVE-2017–8225此类的漏洞可以攻破大量的网络摄像机厂商的产品,IoTroop/Reaper僵尸网络也成功的利用了
发布时间:2017-11-11 06:05 | 阅读:194644 | 评论:0 | 标签:文章 IoT安全 僵尸网络 后门程序 物联网安全 后门 漏洞

【重磅推出】ISC大会补天漏洞情报服务发布会:英雄,你准备好了吗?

万物皆变需积极防御 补天推出情报精准推送 2017年9月11日-13日中国互联网安全大会在国家会议中心隆重召开。本次大会中13日的发布会中,补天漏洞响应平台推出了全新的补天漏洞情报服务。 在万物皆变的网络安全环境当中,技术不断升级,威胁愈演愈烈,如何让企业预知安全,提前防御,最大限度降低风险,是许多企业共同面临的问题。今年5月爆发的勒索病毒“Wannna Cry”事件更是引发全社会对于网络安全,以至漏洞安全的高度关注。 漏洞被业内人士习惯地称为网络武器和军火,经常引发黑客攻击,导致企业大量数据泄露。可以说,漏洞威胁是企业发展的巨大安全隐患,但由于无法及时掌握漏洞信息,不能高效地响应和修复漏洞,严重危害企业的数据与财物,以及品牌声誉。 漏洞风险预警 补天漏洞情报助力安全能力落地 在网络安全法制化的背景下,针对企
发布时间:2017-09-13 18:05 | 阅读:90632 | 评论:0 | 标签:文章 活动 安全情报服务 漏洞风险预警 补天 漏洞

【ISC2017精彩剪辑】生物黑客:植入芯片变身“半机械人”

  世界黑客大会DEFCON是全球安全圈最神秘最前沿的黑客大派对,以360为代表的中国团队近年来在DEFCON也多有斩获,但是能亲临现场仍然是众多白帽黑客的梦想。作为国内最早获得官方授权的DEECON GROUP沙龙,DC010一直致力于提供自由灵活的分享平台,黑客炫技舞台。 9月12日,来自荷兰的世界顶级生物黑客、Patrick Paumen在DC010依靠体内的植入芯片展示“特异功能”,让在场观众大开眼界。 据了解,海外DEFCON GROUP 的常规规模在30人左右,今年为了更多的人体验DEFCON魅力,加上与ISC联动,此次中国区DC010参与人数将达到500人次,创造了全球DEFCON GROUP的最大规模。 生物黑客展示特异功能  33岁的Patrick Paumen并不像脾气古怪,不修边幅的黑客
发布时间:2017-09-13 01:00 | 阅读:73781 | 评论:0 | 标签:人物 文章 ISC 生物黑客

最大的比特币交易所 BTC-E 被关闭:涉嫌违规洗钱40亿美元、处理了95%的勒索软件比特币赎金

BTC-E,曾经是比特币行业最大的比特币交易所,如今已经正式被关闭,平台在上周被六个美国执法机构查封。BTC-E被指控参与从现在已经关闭的比特币交易所Mt. Gox和Bitcoinica盗窃22亿1000万美元。 BTC-E的创始人Alexander Vinnick在希腊被捕,被指控通过比特币交易所洗钱超过40亿美元。洗钱的资金来源除了从Mt. Gox和Bitcoinica盗窃的超过24亿美元之外,还包括95%的勒索软件比特币赎金(Google和区块链分析公司Chainanalysis在2017年的美国黑帽安全大会上称,它们已经通过BTC-E成功兑现了)。 根据法律规定,几乎所有地区(不包括那些尚未监管其比特币市场的地区,如印度)的比特币交易所和交易平台都必须遵守严格的“充分了解你的客户”(Know your
发布时间:2017-08-16 20:00 | 阅读:99474 | 评论:0 | 标签:文章

Ursnif新变种使用鼠标移动进行逃逸和解密

前情提要 2016年1月,Forcepoint安全实验室报告了一个通过垃圾邮件进行分发的银行木马 Ursnif,其在初始的HTTP请求中使用“Range”特征来规避检测。 2017年7月,我们在一个恶意电子邮件中提取到了一个Ursnif的新变种,邮件附件是一个加密的Word文档,解密密码在邮件正文中。 我们有几份2017年4月份以来的Ursnif相关的活动记录,该文档中包含了几个被混淆过的VBS文件,通过VMI加载恶意的DLL文件。 然而,新版本的Ursnif表现出一些新的特性,包括在躲避沙盒环境和自动化虚拟机(VM)方面玩出了新花样,能够通过鼠标移动来检测是否是真实用户在与计算机进行交互,结合鼠标的位置和文件的时间戳来解密内部数据,从电子邮件客户端Thunderbird中窃取数据。 分析 本次发现的Ursn
发布时间:2017-07-26 20:10 | 阅读:128952 | 评论:0 | 标签:代码审计 文章 移动

勒索软件解密工具大全

文章共55个勒索软件解密工具,篇幅比较长,可直接检索勒索软件的名字或关键字进行查找。 前言 在这里我们几乎收集了所有已经发布的勒索软件解密工具,并且会依然持续不断的收集更新。但依然不能保证一定能解开您被加密的数据。解密工具能被开发出来,是因为勒索软件作者水平太差,导致在加密过程中密钥泄露。但随着勒索软件作者水平的不断提高,今后开发解密工具将会越来越困难。我们建议您在中了勒索软件之后,如果被加密的数据非常紧急重要(例如财务数据、程序代码之类),试了解密工具解不开后,可以考虑选择交赎金(虽然交赎金也不一定能保证您找回数据),而如果被加密的是一些不常用的照片、视频之类的话,可以选择等待,随着时间的推移,密钥有可能被放出。您需要注意的是,一旦中了勒索软件之后,您就陷入了极其被动的境况,没有人可以保证一定能解开您被加密的
发布时间:2017-02-26 01:55 | 阅读:980042 | 评论:0 | 标签:工具 文章 勒索 勒索家族 勒索软件 解密工具

OPPO安全中心招聘

OPPO是广东欧珀移动通信有限公司旗下品牌,成立于2004年,是一家全球性的智能终端和移动互联网公司,致力于为客户提供最先进和最精致的智能手机、高端影音设备和移动互联网产品与服务,业务覆盖中国、美国、俄罗斯、欧洲、东南亚等广大市场! OPPO在深圳市南山区卓越后海中心成立了OS产品中心事业部,主要从事与手机软件相关的研发工作,包括其线上系统。现诚招以下优秀人才: 网络架构师 职位描述: 对于公司的所有网络提供整体规划,制定网络规范和运营体系,包括设计、使用、安全、管理等; 制定和执行网络设计、搭建、配置、优化、调整的实施方案; 根据网络运行规范,负责网络的日常运行维护工作; 一般性网络调整和故障处理,并能够对深度网络技术故障进行分析、快速定位、并提出解决问题的建议或办法; 网络运行规范和技术手册的编写,机房
发布时间:2017-02-03 23:10 | 阅读:172387 | 评论:0 | 标签:招聘 文章 OPPO安全中心 OPPO安全招聘 OPPO招聘

前端黑魔法:使用JS检测远程用户的杀毒软件

我工作中经常使用的操作系统是Windows 7,为了保证安全性,我安装了卡巴斯基。有一天,浏览一个网页,我注意到一段非常有趣的代码。在我看来,这不应该出现在该页面上。 为什么FaceBook要使用卡巴斯基的JavaScript代码?我立即意识到我的杀软发起了MITM流量(http和https),并注入了代码来跟踪页面的活动。为什么不创造一个特殊的页面监控JavaScript脚本,并了解客户端计算机上的任何杀毒软件,包括KIS。 在服务器上创建的第一个页面:iframe.html 并使用此HTML代码创建第二个页面:index.html 当打开index.html页面时,它将加载iframe.html并注入JS代码。在下面的图片我们可以看到更改的iframe页面代码。 准备检测,卡巴斯基杀软需要从ifra
发布时间:2016-11-03 01:35 | 阅读:107858 | 评论:0 | 标签:Web安全 文章 Avira Chrome扩展 DrWeb MITM Norton 卡巴斯基 检测杀软

【初审通过,可编辑】【原创】[原创]论如何在CTF比赛中搅屎

论如何在CTF比赛中搅屎 0×00 前言 不能搅屎的CTF不是好CTF,不能搅屎的题目不是好题目。 我很赞成phithon神的一句话,“比赛就是和他人竞争的过程,通过各种手段阻止对手拿分我觉得也是一种能力。” 你能够做到别人做不到的,那就是你的本事。 本文所说的搅屎是在GETSHELL的情况下才能进行的!!!遇到phithon师傅的《CTF主办方指南之对抗搅屎棍》就GG了 0×01 预备知识 大多数能够搅屎的题目基本上是PHP且需要getshell的。所以,必备的PHP语法基本只是必须要懂~ 接下来是介绍一些特殊的PHP内置函数 ignore_user_abort() 设置客户端断开连接时是否中断脚本的执行 PHP以命令行脚本执行时,当脚本终端结束,脚本不会被立即中止,除非设置 value
发布时间:2016-10-30 15:30 | 阅读:131352 | 评论:0 | 标签:文章

基于浏览器的指纹识别: 影响和缓解措施

更新于10/11/2016: 微软修复了其它指纹识别漏洞. 我们之前提到它“未修复”, 对应 CVE-2016-3298。现在任何指纹识别的尝试都会返回成功的标志(onreadystatechange/onload fire anyway) 即使相关资源并不存在。 实际上,这个补丁是确保内容来自于资源节,除了res://ieframe.dll没有被加载,反而地址栏设置成了默认的 about:blank 页面。 修复信息泄漏漏洞仍然是一个持续的问题。事实上,到Windows更新推送修复漏洞数小时的时间内,[Manuel Caballero](https://twitter.com/magicmac2000)发现了绕过方法。 更新于09/19/2016: Manuel Caballero 已经绕过了 CVE-201
发布时间:2016-10-15 14:40 | 阅读:126052 | 评论:0 | 标签:Web安全 文章 CVE-2013-7331 CVE-2015-2413 CVE-2016-3298 CVE-2016-

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云