记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Mac OS SearchPageInstaller广告软件通过mitmproxy拦截流量并注入广告

恶意软件开发者一直在寻找新的方法来避免被检测到,以此来攫取更高的利润,下面我们将介绍一个最近发现的案例。最近,我们仔细研究了SPI恶意广告软件,它利用开源mitmproxy拦截流量并注入广告, mitmproxy是一款http代理工具,即可用于中间人攻击,也可用于html抓包调试。SearchPageInstaller广告软件SearchPageInstaller(SPI)是一个至少从2017年以来,就开始活跃的广告软件。根据我们的研究,它也是第一次使用mitmproxy的。不过,早在2017年12月mac360.com上的一个帖子中,就有人注意到这种联系了,并且通过对一些代码组件的分析表明,这种恶意软件可能是在几个月
发布时间:2018-11-12 12:20 | 阅读:13058 | 评论:0 | 标签:Web安全 mitmproxy 注入

Malwarebytes对Mac恶意软件通过拦截加密流量进行广告注入的分析

上周,Malwarebytes的研究人员Adam Thomas发现了一款有趣的Mac恶意软件,它会进行一些恶意活动,比如拦截加密的网络流量来注入广告。专门负责Mac的Malwarebytes,将该恶意软件检测为OSX.SearchAwesome,让我们看看它是如何安装的,并且了解这种攻击的含义。安装该恶意软件是在一个相当平淡无奇的磁盘图像文件中被发现的,该恶意软件没有任何一般修饰,因此看起来像一个合法的安装程序。当打开该恶意软件时,该应用程序不显示安装程序显示,而是以不可见的方式安装组件。两个身份验证请求是该恶意软件进行任何活动的唯一证据。第一个请求是请求授权对证书信任设置的更改。第二个是允许所谓的spi修改网络配置。
发布时间:2018-11-02 12:20 | 阅读:29098 | 评论:0 | 标签:Web安全 恶意软件 注入 加密

攻击JavaWeb应用[3]-SQL注入[1]

注:本节重点在于让大家熟悉各种SQL注入在JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。 JPA: JPA全称Java Persistence API.JPA通过JDK 5.0注解或XML描述对象-关系表的映射关系,并将运行期的实体对象持久化到数据库中。是一个ORM规范。Hibernate是JPA的具体实现。但是Hibernate出现的时间早于JPA(因为Hibernate作者很狂,sun看不惯就叫他去制定JPA标准去了哈哈)。
发布时间:2018-10-24 18:45 | 阅读:31749 | 评论:0 | 标签:技术控 注入

如何利用DLL注入绕过Win10勒索软件保护

微软在Windows 10操作系统中加入了一个新的勒索软件保护功能——Controlled Folder Access(受控文件夹访问),该功能可用于预防受保护的文件夹中的文件被未知的程序修改。在上周举行的DerbyCon安全会议上,安全研究人员展示了“勒索软件用DLL注入来绕过Controlled Folder Access的勒索软件保护功能”。用DLL注入绕过Controlled Folder AccessControlled Folder Access是win10引入的保护文件夹和文件不被白名单外的应用修改的特征。白名单指用户指定或微软默认的一些应用程序列表。explorer.exe程序就在Controlled
发布时间:2018-10-19 12:20 | 阅读:23109 | 评论:0 | 标签:技术 Dll注入 注入

DLL注入可绕过Windows10勒索软件防护功能

在Windows 10中,微软公司添加了一项名为“受控文件夹访问”的新勒索软件防护功能,该功能可用于防止未知程序修改受保护文件夹中的文件。 在上周举行的DerbyCon安全会议上,一位名为Soya Aoyama的安全研究人员展示了勒索软件如何利用DLL注入来绕过“受控文件夹访问”防护功能。 Soya Aoyama在DerbyCon安全会议上的演示 使用DLL注入绕过“受控文件夹访问” “受控文件夹访问”是Windows 10中新推出的一项功能,允许用户保护文件夹及其中的文件,这样只能由列入白名单的应用程序修改它们。白名单应用程序可以是用户指定的应用程序,也可以是Microsoft默认列入白名单的应用程序。 “受控文件夹访问”功能将explorer.exe程序列入白名单,富士通系统集成实验室有限公司的安全研
发布时间:2018-10-10 18:45 | 阅读:31697 | 评论:0 | 标签:技术控 注入

如何针对Windows中ConsoleWindowClass对象实现进程注入

概述每个窗口对象都支持用户数据(User Data),而用户数据则可以通过SetWindowLongPtr API和GWLP_USERDATA参数进行设置。窗口对象的用户数据通常只有部分内存,用于存储指向类对象的指针。对于控制台程序宿主(Console Window Host,Conhost)进程,其中通常会存储数据结构的地址。在结构中,包含窗口在桌面的当前位置、大小、对象句柄及具有控制控制台窗口行为的方法的类对象。conhost.exe中的用户数据存储在具有可写权限的堆上。这样一来,它就可以用于进程注入,并且其过程非常类似于我之前讨论过的Extra Bytes方法( https://modexp.wordpress.
发布时间:2018-10-06 12:20 | 阅读:37649 | 评论:0 | 标签:技术 ConsoleWindowClass 注入

Windows进程注入:额外的窗口字节

介绍Extra Window Bytes,额外的窗口字节,这种注入方法因在2013年左右出现的Powerloader恶意软件中使用而闻名。没有人确切知道它何时首次用于进程注入,因为自80年代末90年代初以来,被特性已成为Windows操作系统的一部分。Extra Window Bytes的索引零可用于将类对象与窗口相关联。使用SetWindowLongPtr将指向类对象的指针存储在索引零处,并且可以使用GetWindowLongPtr检索一个指针。第一次提到使用“Shell_TrayWnd”作为注射载体可以追溯到WASM论坛上一个名为“Indy(Clerk)”的用户的帖子,在2009年左右有一些关于它的讨论。图1显示了
发布时间:2018-08-31 17:20 | 阅读:55323 | 评论:0 | 标签:系统安全 windows 安全 注入

基于深度学习的智能网格错误数据注入攻击动态检测

摘要现代传感器、计算和通信技术的发展,使得各种智能电网应用程序成为可能。对通信技术的严重依赖凸显出了智能电网对虚假数据注入(FDI)攻击的脆弱性,这种攻击可以绕过不良数据检测机制。电力系统中现有的缓解措施要么侧重于冗余测量,要么就保护一组基本测量。这些方法对FDI攻击作了具体假设,现有缓解措施对现代网络威胁的处理经常是存在一些限制和不足。在已提出的方法中,基于深度学习的框架工作用于检测注入数据测量。我们的时间序列异常检测器采用卷积神经网络(CNN)和一个长短期记忆(LSTM)网络。为了能够有效地估计系统变量,我们的方法进行观察数据测量和网络级特性共同学习系统状态。该系统在IEEE 39-bus测试系统上进行了测试。实验
发布时间:2018-08-20 17:20 | 阅读:49731 | 评论:0 | 标签:技术 注入

Firefox里的未知扩展正在将不需要的代码注入用户访问过的网站

Pinterest堪称图片版的Twitter,网民可以将感兴趣的图片在Pinterest保存,其他网友可以关注,也可以转发图片。Pinterest目前的广告营收或近10亿美元,估值最高150亿美元。由于Pinterest采用的是瀑布流的形式展现图片内容,无需用户翻页,新的图片不断自动加载在页面底端,让用户不断的发现新的图片。所以为了提高用户的使用体验,Firefox浏览器也就添加了一个未命名的浏览器扩展(由用户在Firefox上安装),旨在为用户访问的任何网站提供Pinterest共享图标和功能,以便将网站共享到Pinterest。不过有安全专家发现,这个未命名的扩展会将格式错误的代码注入到浏览器的文本编辑器中。尽管当
发布时间:2018-07-28 12:20 | 阅读:58392 | 评论:0 | 标签:漏洞 firefox 注入

攻击者如何向正在运行的Linux进程注入恶意代码

概述目前,已经有很多详细的技术文章,讲解攻击者是如何将被感染的文件注入到二进制代码中,以便下次启动受感染的程序时执行恶意代码。但是,针对正在运行的进程,攻击者可以采取什么方式实现感染呢?本文将主要介绍攻击者如何在内存中向正在运行的进程实现注入,换而言之,本文主要介绍如何编写自己的调试器。相关研究成果在展开细节之前,我们首先介绍一些相关的基础知识和研究成果。我们的第一个示例与恶意软件无关,而是一个多年来始终在研究的问题:运行时修补(Run-time Patching)。在实际中,有一些系统不能轻易关闭,否则将会造成很大的经济损失。在这种情况下,如何将补丁更新到正在运行的进程(最好是不需要重新启动应用程序)成为了一个热点问
发布时间:2018-07-25 12:20 | 阅读:52621 | 评论:0 | 标签:技术 linux 注入

注入系列——DLL注入

目的我最近看到一个帖子,大家也可以看看,说的是最新发布的win10 Build1709有个新版的Windows Defender,标记了Invoke-shellcode模块(这不仅是Empire才有的问题,Metasploit和其他流行框架也都被标记了,它们开始变得越来越过时了)。这意味着从红队攻击的角度来看,我们需要新的shellcode注入技术,需要在绕过AV方面更具创造性。所以我想开始搞这个系列文章,关于不同的注入技巧,希望最终能形成一个完整的操作指南。我想从DLL注入和在内存中映射和执行DLL的不同技术开始,因为我经常听到这个技术,而且非常有兴趣,不过一直没机会深入探索。我们首先从定义DLL并理解它们的组件开始
发布时间:2018-07-24 12:20 | 阅读:55199 | 评论:0 | 标签:技术 Dll注入 注入

服务器端模板注入(SSTI)

为什么需要服务器端模板(SST)?首先解释一下为什么HTML代码和应用程序逻辑混合在一起不好,看下面的例子你就知道了。假如你使用下面的代码为你的用户提供服务:这不仅仅是静态HTML代码。用户名是从cookie里获取并且自动填写的。这样一来,只要你之前登录过该网站,你就无需再次输入。但是这有一个问题,那就是你必须通过某种形式将值插入到HTML文档中,有两种方法可以实现,一种是正确的,一种是有危害的。不过我们要先问一下,为什么要这么做。下图展示了解决该问题的完全错误的方法:这段代码有很多问题,作者不仅仅没有对用户的输入进行处理,HTML代码和PHP代码复杂的混合在一起,非常难以理解。部分HTML代码分布在多个函数中,这还不
发布时间:2018-07-23 12:20 | 阅读:50449 | 评论:0 | 标签:技术 SSTI 注入

Windows进程注入:如何将有效负载部署到目标进程的内存空间中执行

介绍本文的目的是探讨如何将有效负载部署到目标进程的内存空间中执行。可以使用传统的Win32 API完成该任务,大家对Win32 API已经比较熟悉。但是也有可能创造性的使用非传统的方法,例如,我们可以使用API执行它们最初不打算执行的读写操作,这可能有助于规避检测。有许多种方式部署和执行有效负载,但不是所有的方法用起来比较简单。首先关注的是传统的API,尽管它相对较容易检测,但在威胁行动者中仍然很流行。下面是sysinternals提供的VMMap屏幕截图,显示了我将要处理的系统(Windows 10)的内存类型。该内存的某些部分可能用于有效负载的存储。分配虚拟内存每个进程都有自己的虚拟地址空间。进程之间存在共享内存,
发布时间:2018-07-22 12:20 | 阅读:50378 | 评论:0 | 标签:技术 windows 注入

从移动应用看微信支付SDK XML实体注入漏洞

一周前,嘶吼报道了《微信支付曝“0元购”漏洞,官方称已修复,实际风险隐患巨大》的事件。这个漏洞是首发在Seclists上,在被爆出的那几天,国内有很多安全厂商对这件事进行了及时的跟进与相应。嘶吼联系了在移动互联网安全领域领先的盘古实验室,他们也对这个漏洞在技术方面进行了下面严谨的分析:从该漏洞的技术细节看,漏洞的利用需要2个先决条件,1)攻击者必须获取有效的商户服务器的notify_url(异步通知接口)以实施攻击。例如漏洞发布者提到的momo和vivo商户服务器:Momo:https://pay.immomo.com/weixin/notifyVivo:https://pay.vivo.com.cn/webpay/w
发布时间:2018-07-14 17:20 | 阅读:87463 | 评论:0 | 标签:事件 漏洞 微信XXE 注入 移动

Synode:检测并自动防止Node.js上的注入攻击

作者:{Esi}@ArkTeam 原文作者:Cristian-Alexandru Staicu, Michael Pradel, Ben Livshits 原文标题:Synode: Understanding and Automatically Preventing Injection Attacks on Node.js 原文会议:Network and Distributed System Security (NDSS). 2018. JavaScript是Web应用程序客户端最广泛使用的编程语言,为当今90%以上的网站提供支持。最近,JavaScript越来越流行于浏览器之外的平台,比如使用Node.js,移动编程(Apache Cordova / Phone-Gap)的服务器端和桌面应用程序,
发布时间:2018-07-06 18:15 | 阅读:77037 | 评论:0 | 标签:ArkDemy 论文笔记 注入

RIG Exploit Kit使用PROPagate注入技术传播Monero Miner

一、介绍通过FireEye动态威胁情报(DTI),我们观察到RIG漏洞利用工具包(EK)增添了一个新功能代码:使用PROPagate注入技术来注入、下载并执行Monero矿工(类似的活动已经被Trend Micro报告)。除了利用鲜为人知的注入技术之外,攻击链还有一些其他有趣的特色,我们将在文中谈到。二、攻击链攻击链始于用户访问受感染网站时,其iframe中将加载RIG EK登录页面。RIG EK使用各种技术来分发NSIS(Nullsoft脚本安装系统)Loader,该Loader利用PROPagate注入技术将shellcode注入explorer.exe。shellcode执行下一个有效载荷,下载并执行Monero
发布时间:2018-07-03 12:20 | 阅读:65057 | 评论:0 | 标签:技术 PROPagate注入 注入 exp

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云