记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

借助ProcessHollowing和代码注入感染合法进程:信息窃取恶意软件FormBook分析

概述FormBook是一个信息窃取类型的恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。当然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有许多变种可以通过多种方式接收Payload。在过去的一年中,威胁行为者最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-2017-8570漏洞。具体而言,攻击者会使用包含恶意代码的.RTF格式文件来利用这一漏洞。在本文中,我将重点关注恶意Payload,并详细分析该恶意软件的行为和IoC。FormBook使用的反分析技术首先,我们先从FormBook如何阻
发布时间:2019-05-16 12:25 | 阅读:13114 | 评论:0 | 标签:技术 FormBook 注入

IE XXE注入0 day漏洞

概述安全研究人员John Page近日发布了关于IE浏览器的可扩展标记语言XML(eXtensible Markup Language)外部实体(external entity)(XXE)注入0 day漏洞。攻击者可以利用该漏洞从受害者计算机中窃取机密信息或本地文件。下面分析如何利用该漏洞的攻击链。XXE注入是利用了XML分析器的不合适的限制XML外部实体引用(CWE-611),用来访问非授权的内容。XXE注入利用了错误配置的文件类型定义(CWE-827),文件类型定义用来为描述xml这类标记语言的文件类型。比如,攻击者可以用含有外部实体引用的恶意XML文件,滥用file://协议来访问本地文件,或滥用http://来
发布时间:2019-04-22 12:25 | 阅读:27274 | 评论:0 | 标签:漏洞 0 day 注入

Apache Struts OGNL注入漏洞原理与示例

概述通过本篇文章,我们主要了解如何在Apache Struts中实现OGNL注入。我们将举例阐述Struts中的两个关键漏洞:CVE-2017-5638(Equifax信息泄露)和CVE-2018-11776。Apache Struts是一个免费的开源框架,用于创建现代的Java Web应用程序。Apache Struts中有许多严重的漏洞,它的一个特性是支持OGNL(对象图导航语言),这也是许多漏洞的主要原因。其中的一个漏洞(CVE-2017-5638)直接导致了2017年的Equifax信息泄露,暴露了超过1.45亿美国公民的个人信息。尽管该公司的年收入超过30亿美元,但他们仍然没有逃过Apache Struts
发布时间:2019-03-29 12:20 | 阅读:45784 | 评论:0 | 标签:Web安全 Apache Struts 注入 漏洞

注入型勒索病毒Ryuk,伸向x64系统的魔爪

一、背景介绍Ryuk是一款通过垃圾邮件和漏洞利用工具包传播的勒索病毒,最早在2018年8月由国外某安全公司报道,其代码结构与HERMES勒索病毒十分相似;早前,深信服安全团队针对32位的Ryuk勒索病毒进行了详细的技术分析,并密切关注该勒索家族的发展动向,对捕获的针对64位系统版本的Ryuk勒索病毒进行了详细的技术分析。二、信息概述1.勒索病毒的运行流程如图:2.勒索信息如图:3.加密后文件如图:三、详细分析1. 获取系统版本进行判断:2. 线程功能-终止xchange相关进程:3. 线程功能-查找spooler相关服务进行删除:4. 提升进程权限:5. 获取进程的登录用户信息:6. 查找"csrss.exe
发布时间:2019-02-22 12:20 | 阅读:49895 | 评论:0 | 标签:勒索软件 Ryuk 注入

IcedID使用ATSEngine注入面板攻击电子商务网站

作为针对金融服务和电子商务用户的网络犯罪工具的持续研究的一部分,IBM X-Force分析了有组织恶意软件团伙的策略,技术和程序(TTP),暴露他们的内部工作,帮助将可靠的威胁情报传播到安全社区。在最近对IcedID Trojan攻击的分析中,我们的团队调查了IcedID运营商如何针对美国的电子商务供应商,这是该组织的典型攻击。威胁策略是两步注入攻击,旨在窃取受害者的访问凭据和支付卡数据。鉴于攻击是单独运行的,IcedID背后的人要么正在研究不同的货币化方案,要么将僵尸网络租给其他犯罪分子,将其转变为网络犯罪即服务,类似于Gozi Trojan’s的商业模式。一、起源IBM Security于2017年9月发现Iced
发布时间:2019-02-13 17:20 | 阅读:55386 | 评论:0 | 标签:Web安全 恶意软件 注入

深入考察无服务器架构的安全威胁,SLS-1:事件注入

不久前,OWASP Serverless top 10项目刚刚启动,以便为相关从业者和公司介绍最常见的无服务器应用程序安全漏洞所带来的安全隐患,并提供识别和防范这些漏洞的基本技术。其中,排名前十的项目将于2019年第二季度首次正式发布,而且,其排名将根据从实际行业中收集的数据进行公开选拔。即将发布的报告将通过在无服务器环境“演练”著名的OWASP Top 10 project来评估其风险,解释并演示在无服务器环境中,这些攻击途径、防御技术和业务影响会带来哪些变化。本文是我们的系列文章中的第一篇,本文不仅会为读者介绍来自传统的、单体(monolithic)世界中的已知风险,同时,还会为大家介绍我们将面临的一些新的风险。需
发布时间:2019-01-09 12:20 | 阅读:52176 | 评论:0 | 标签:观察 注入

SCP命令注入

我最近正在研究Java文件传输,碰到了一些有趣的问题。这些问题是我在看到一篇博客中的几个示例代码中发现的。这篇文章描述了用Java执行SCP命令的系统,使用的是流行的JSch库。当我通读整个代码之后,我很快就发现了他们代码中的一些问题。  // exec 'scp -f rfile' remotely        String command = "scp -f " +&
发布时间:2018-12-21 12:21 | 阅读:61932 | 评论:0 | 标签:Web安全 scp命令注入 注入

强加密算法下,SQL注入案例

密码学具有各种优点,包括信息的机密性。然而,过度依赖密码学来保护应用程序是一个坏主意。今天我们就通过一个案例研究,来认识一下通过加密的有效载荷识别和利用SQL注入漏洞。SQL注入也许很多人都知道或者使用过,如果没有了解或完全没有听过也没有关系,因为接下来我们将介绍SQL Injection。SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。那SQL
发布时间:2018-12-17 17:20 | 阅读:63628 | 评论:0 | 标签:Web安全 SQL 注入 加密

如何借助COM对Windows受保护进程进行代码注入(第二部分)

概述在之前的文章中,我们讨论了一种将任意代码注入PPL-Windows TCB进程的技术,该技术结合了我此前发现并向Microsoft报告的许多漏洞。由于一些原因,我们之前讨论的技术不适用于具有较强保护的受保护进程(Protected Processes,PP)。本篇文章主要为了解决这一问题,并提供详细信息,说明如何在不具备管理员权限的情况下劫持完整的PP-Windows TCB流程。本文侧重于技术探讨,我们尝试是否能在一个完整的PP中执行代码,因为在PP中通过PPL可以做的事情并不多。首先,我们对上一次攻击实验进行简单回顾,目前我们能够确定一个以PPL运行的进程,并且该进程暴露了一个COM服务。具体来说,该服务是“.
发布时间:2018-12-05 17:20 | 阅读:60714 | 评论:0 | 标签:系统安全 注入

Mac OS SearchPageInstaller广告软件通过mitmproxy拦截流量并注入广告

恶意软件开发者一直在寻找新的方法来避免被检测到,以此来攫取更高的利润,下面我们将介绍一个最近发现的案例。最近,我们仔细研究了SPI恶意广告软件,它利用开源mitmproxy拦截流量并注入广告, mitmproxy是一款http代理工具,即可用于中间人攻击,也可用于html抓包调试。SearchPageInstaller广告软件SearchPageInstaller(SPI)是一个至少从2017年以来,就开始活跃的广告软件。根据我们的研究,它也是第一次使用mitmproxy的。不过,早在2017年12月mac360.com上的一个帖子中,就有人注意到这种联系了,并且通过对一些代码组件的分析表明,这种恶意软件可能是在几个月
发布时间:2018-11-12 12:20 | 阅读:55243 | 评论:0 | 标签:Web安全 mitmproxy 注入

Malwarebytes对Mac恶意软件通过拦截加密流量进行广告注入的分析

上周,Malwarebytes的研究人员Adam Thomas发现了一款有趣的Mac恶意软件,它会进行一些恶意活动,比如拦截加密的网络流量来注入广告。专门负责Mac的Malwarebytes,将该恶意软件检测为OSX.SearchAwesome,让我们看看它是如何安装的,并且了解这种攻击的含义。安装该恶意软件是在一个相当平淡无奇的磁盘图像文件中被发现的,该恶意软件没有任何一般修饰,因此看起来像一个合法的安装程序。当打开该恶意软件时,该应用程序不显示安装程序显示,而是以不可见的方式安装组件。两个身份验证请求是该恶意软件进行任何活动的唯一证据。第一个请求是请求授权对证书信任设置的更改。第二个是允许所谓的spi修改网络配置。
发布时间:2018-11-02 12:20 | 阅读:99471 | 评论:0 | 标签:Web安全 恶意软件 注入 加密

攻击JavaWeb应用[3]-SQL注入[1]

注:本节重点在于让大家熟悉各种SQL注入在JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。 JPA: JPA全称Java Persistence API.JPA通过JDK 5.0注解或XML描述对象-关系表的映射关系,并将运行期的实体对象持久化到数据库中。是一个ORM规范。Hibernate是JPA的具体实现。但是Hibernate出现的时间早于JPA(因为Hibernate作者很狂,sun看不惯就叫他去制定JPA标准去了哈哈)。
发布时间:2018-10-24 18:45 | 阅读:91214 | 评论:0 | 标签:技术控 注入

如何利用DLL注入绕过Win10勒索软件保护

微软在Windows 10操作系统中加入了一个新的勒索软件保护功能——Controlled Folder Access(受控文件夹访问),该功能可用于预防受保护的文件夹中的文件被未知的程序修改。在上周举行的DerbyCon安全会议上,安全研究人员展示了“勒索软件用DLL注入来绕过Controlled Folder Access的勒索软件保护功能”。用DLL注入绕过Controlled Folder AccessControlled Folder Access是win10引入的保护文件夹和文件不被白名单外的应用修改的特征。白名单指用户指定或微软默认的一些应用程序列表。explorer.exe程序就在Controlled
发布时间:2018-10-19 12:20 | 阅读:62132 | 评论:0 | 标签:技术 Dll注入 注入

DLL注入可绕过Windows10勒索软件防护功能

在Windows 10中,微软公司添加了一项名为“受控文件夹访问”的新勒索软件防护功能,该功能可用于防止未知程序修改受保护文件夹中的文件。 在上周举行的DerbyCon安全会议上,一位名为Soya Aoyama的安全研究人员展示了勒索软件如何利用DLL注入来绕过“受控文件夹访问”防护功能。 Soya Aoyama在DerbyCon安全会议上的演示 使用DLL注入绕过“受控文件夹访问” “受控文件夹访问”是Windows 10中新推出的一项功能,允许用户保护文件夹及其中的文件,这样只能由列入白名单的应用程序修改它们。白名单应用程序可以是用户指定的应用程序,也可以是Microsoft默认列入白名单的应用程序。 “受控文件夹访问”功能将explorer.exe程序列入白名单,富士通系统集成实验室有限公司的安全研
发布时间:2018-10-10 18:45 | 阅读:68691 | 评论:0 | 标签:技术控 注入

如何针对Windows中ConsoleWindowClass对象实现进程注入

概述每个窗口对象都支持用户数据(User Data),而用户数据则可以通过SetWindowLongPtr API和GWLP_USERDATA参数进行设置。窗口对象的用户数据通常只有部分内存,用于存储指向类对象的指针。对于控制台程序宿主(Console Window Host,Conhost)进程,其中通常会存储数据结构的地址。在结构中,包含窗口在桌面的当前位置、大小、对象句柄及具有控制控制台窗口行为的方法的类对象。conhost.exe中的用户数据存储在具有可写权限的堆上。这样一来,它就可以用于进程注入,并且其过程非常类似于我之前讨论过的Extra Bytes方法( https://modexp.wordpress.
发布时间:2018-10-06 12:20 | 阅读:78459 | 评论:0 | 标签:技术 ConsoleWindowClass 注入

Windows进程注入:额外的窗口字节

介绍Extra Window Bytes,额外的窗口字节,这种注入方法因在2013年左右出现的Powerloader恶意软件中使用而闻名。没有人确切知道它何时首次用于进程注入,因为自80年代末90年代初以来,被特性已成为Windows操作系统的一部分。Extra Window Bytes的索引零可用于将类对象与窗口相关联。使用SetWindowLongPtr将指向类对象的指针存储在索引零处,并且可以使用GetWindowLongPtr检索一个指针。第一次提到使用“Shell_TrayWnd”作为注射载体可以追溯到WASM论坛上一个名为“Indy(Clerk)”的用户的帖子,在2009年左右有一些关于它的讨论。图1显示了
发布时间:2018-08-31 17:20 | 阅读:98802 | 评论:0 | 标签:系统安全 windows 安全 注入

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云