记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

注入型勒索病毒Ryuk,伸向x64系统的魔爪

一、背景介绍Ryuk是一款通过垃圾邮件和漏洞利用工具包传播的勒索病毒,最早在2018年8月由国外某安全公司报道,其代码结构与HERMES勒索病毒十分相似;早前,深信服安全团队针对32位的Ryuk勒索病毒进行了详细的技术分析,并密切关注该勒索家族的发展动向,对捕获的针对64位系统版本的Ryuk勒索病毒进行了详细的技术分析。二、信息概述1.勒索病毒的运行流程如图:2.勒索信息如图:3.加密后文件如图:三、详细分析1. 获取系统版本进行判断:2. 线程功能-终止xchange相关进程:3. 线程功能-查找spooler相关服务进行删除:4. 提升进程权限:5. 获取进程的登录用户信息:6. 查找"csrss.exe
发布时间:2019-02-22 12:20 | 阅读:20496 | 评论:0 | 标签:勒索软件 Ryuk 注入

IcedID使用ATSEngine注入面板攻击电子商务网站

作为针对金融服务和电子商务用户的网络犯罪工具的持续研究的一部分,IBM X-Force分析了有组织恶意软件团伙的策略,技术和程序(TTP),暴露他们的内部工作,帮助将可靠的威胁情报传播到安全社区。在最近对IcedID Trojan攻击的分析中,我们的团队调查了IcedID运营商如何针对美国的电子商务供应商,这是该组织的典型攻击。威胁策略是两步注入攻击,旨在窃取受害者的访问凭据和支付卡数据。鉴于攻击是单独运行的,IcedID背后的人要么正在研究不同的货币化方案,要么将僵尸网络租给其他犯罪分子,将其转变为网络犯罪即服务,类似于Gozi Trojan’s的商业模式。一、起源IBM Security于2017年9月发现Iced
发布时间:2019-02-13 17:20 | 阅读:32624 | 评论:0 | 标签:Web安全 恶意软件 注入

深入考察无服务器架构的安全威胁,SLS-1:事件注入

不久前,OWASP Serverless top 10项目刚刚启动,以便为相关从业者和公司介绍最常见的无服务器应用程序安全漏洞所带来的安全隐患,并提供识别和防范这些漏洞的基本技术。其中,排名前十的项目将于2019年第二季度首次正式发布,而且,其排名将根据从实际行业中收集的数据进行公开选拔。即将发布的报告将通过在无服务器环境“演练”著名的OWASP Top 10 project来评估其风险,解释并演示在无服务器环境中,这些攻击途径、防御技术和业务影响会带来哪些变化。本文是我们的系列文章中的第一篇,本文不仅会为读者介绍来自传统的、单体(monolithic)世界中的已知风险,同时,还会为大家介绍我们将面临的一些新的风险。需
发布时间:2019-01-09 12:20 | 阅读:34441 | 评论:0 | 标签:观察 注入

SCP命令注入

我最近正在研究Java文件传输,碰到了一些有趣的问题。这些问题是我在看到一篇博客中的几个示例代码中发现的。这篇文章描述了用Java执行SCP命令的系统,使用的是流行的JSch库。当我通读整个代码之后,我很快就发现了他们代码中的一些问题。  // exec 'scp -f rfile' remotely        String command = "scp -f " +&
发布时间:2018-12-21 12:21 | 阅读:47283 | 评论:0 | 标签:Web安全 scp命令注入 注入

强加密算法下,SQL注入案例

密码学具有各种优点,包括信息的机密性。然而,过度依赖密码学来保护应用程序是一个坏主意。今天我们就通过一个案例研究,来认识一下通过加密的有效载荷识别和利用SQL注入漏洞。SQL注入也许很多人都知道或者使用过,如果没有了解或完全没有听过也没有关系,因为接下来我们将介绍SQL Injection。SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。那SQL
发布时间:2018-12-17 17:20 | 阅读:38382 | 评论:0 | 标签:Web安全 SQL 注入 加密

如何借助COM对Windows受保护进程进行代码注入(第二部分)

概述在之前的文章中,我们讨论了一种将任意代码注入PPL-Windows TCB进程的技术,该技术结合了我此前发现并向Microsoft报告的许多漏洞。由于一些原因,我们之前讨论的技术不适用于具有较强保护的受保护进程(Protected Processes,PP)。本篇文章主要为了解决这一问题,并提供详细信息,说明如何在不具备管理员权限的情况下劫持完整的PP-Windows TCB流程。本文侧重于技术探讨,我们尝试是否能在一个完整的PP中执行代码,因为在PP中通过PPL可以做的事情并不多。首先,我们对上一次攻击实验进行简单回顾,目前我们能够确定一个以PPL运行的进程,并且该进程暴露了一个COM服务。具体来说,该服务是“.
发布时间:2018-12-05 17:20 | 阅读:45581 | 评论:0 | 标签:系统安全 注入

Mac OS SearchPageInstaller广告软件通过mitmproxy拦截流量并注入广告

恶意软件开发者一直在寻找新的方法来避免被检测到,以此来攫取更高的利润,下面我们将介绍一个最近发现的案例。最近,我们仔细研究了SPI恶意广告软件,它利用开源mitmproxy拦截流量并注入广告, mitmproxy是一款http代理工具,即可用于中间人攻击,也可用于html抓包调试。SearchPageInstaller广告软件SearchPageInstaller(SPI)是一个至少从2017年以来,就开始活跃的广告软件。根据我们的研究,它也是第一次使用mitmproxy的。不过,早在2017年12月mac360.com上的一个帖子中,就有人注意到这种联系了,并且通过对一些代码组件的分析表明,这种恶意软件可能是在几个月
发布时间:2018-11-12 12:20 | 阅读:41780 | 评论:0 | 标签:Web安全 mitmproxy 注入

Malwarebytes对Mac恶意软件通过拦截加密流量进行广告注入的分析

上周,Malwarebytes的研究人员Adam Thomas发现了一款有趣的Mac恶意软件,它会进行一些恶意活动,比如拦截加密的网络流量来注入广告。专门负责Mac的Malwarebytes,将该恶意软件检测为OSX.SearchAwesome,让我们看看它是如何安装的,并且了解这种攻击的含义。安装该恶意软件是在一个相当平淡无奇的磁盘图像文件中被发现的,该恶意软件没有任何一般修饰,因此看起来像一个合法的安装程序。当打开该恶意软件时,该应用程序不显示安装程序显示,而是以不可见的方式安装组件。两个身份验证请求是该恶意软件进行任何活动的唯一证据。第一个请求是请求授权对证书信任设置的更改。第二个是允许所谓的spi修改网络配置。
发布时间:2018-11-02 12:20 | 阅读:75757 | 评论:0 | 标签:Web安全 恶意软件 注入 加密

攻击JavaWeb应用[3]-SQL注入[1]

注:本节重点在于让大家熟悉各种SQL注入在JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。 JPA: JPA全称Java Persistence API.JPA通过JDK 5.0注解或XML描述对象-关系表的映射关系,并将运行期的实体对象持久化到数据库中。是一个ORM规范。Hibernate是JPA的具体实现。但是Hibernate出现的时间早于JPA(因为Hibernate作者很狂,sun看不惯就叫他去制定JPA标准去了哈哈)。
发布时间:2018-10-24 18:45 | 阅读:64886 | 评论:0 | 标签:技术控 注入

如何利用DLL注入绕过Win10勒索软件保护

微软在Windows 10操作系统中加入了一个新的勒索软件保护功能——Controlled Folder Access(受控文件夹访问),该功能可用于预防受保护的文件夹中的文件被未知的程序修改。在上周举行的DerbyCon安全会议上,安全研究人员展示了“勒索软件用DLL注入来绕过Controlled Folder Access的勒索软件保护功能”。用DLL注入绕过Controlled Folder AccessControlled Folder Access是win10引入的保护文件夹和文件不被白名单外的应用修改的特征。白名单指用户指定或微软默认的一些应用程序列表。explorer.exe程序就在Controlled
发布时间:2018-10-19 12:20 | 阅读:47805 | 评论:0 | 标签:技术 Dll注入 注入

DLL注入可绕过Windows10勒索软件防护功能

在Windows 10中,微软公司添加了一项名为“受控文件夹访问”的新勒索软件防护功能,该功能可用于防止未知程序修改受保护文件夹中的文件。 在上周举行的DerbyCon安全会议上,一位名为Soya Aoyama的安全研究人员展示了勒索软件如何利用DLL注入来绕过“受控文件夹访问”防护功能。 Soya Aoyama在DerbyCon安全会议上的演示 使用DLL注入绕过“受控文件夹访问” “受控文件夹访问”是Windows 10中新推出的一项功能,允许用户保护文件夹及其中的文件,这样只能由列入白名单的应用程序修改它们。白名单应用程序可以是用户指定的应用程序,也可以是Microsoft默认列入白名单的应用程序。 “受控文件夹访问”功能将explorer.exe程序列入白名单,富士通系统集成实验室有限公司的安全研
发布时间:2018-10-10 18:45 | 阅读:53873 | 评论:0 | 标签:技术控 注入

如何针对Windows中ConsoleWindowClass对象实现进程注入

概述每个窗口对象都支持用户数据(User Data),而用户数据则可以通过SetWindowLongPtr API和GWLP_USERDATA参数进行设置。窗口对象的用户数据通常只有部分内存,用于存储指向类对象的指针。对于控制台程序宿主(Console Window Host,Conhost)进程,其中通常会存储数据结构的地址。在结构中,包含窗口在桌面的当前位置、大小、对象句柄及具有控制控制台窗口行为的方法的类对象。conhost.exe中的用户数据存储在具有可写权限的堆上。这样一来,它就可以用于进程注入,并且其过程非常类似于我之前讨论过的Extra Bytes方法( https://modexp.wordpress.
发布时间:2018-10-06 12:20 | 阅读:64563 | 评论:0 | 标签:技术 ConsoleWindowClass 注入

Windows进程注入:额外的窗口字节

介绍Extra Window Bytes,额外的窗口字节,这种注入方法因在2013年左右出现的Powerloader恶意软件中使用而闻名。没有人确切知道它何时首次用于进程注入,因为自80年代末90年代初以来,被特性已成为Windows操作系统的一部分。Extra Window Bytes的索引零可用于将类对象与窗口相关联。使用SetWindowLongPtr将指向类对象的指针存储在索引零处,并且可以使用GetWindowLongPtr检索一个指针。第一次提到使用“Shell_TrayWnd”作为注射载体可以追溯到WASM论坛上一个名为“Indy(Clerk)”的用户的帖子,在2009年左右有一些关于它的讨论。图1显示了
发布时间:2018-08-31 17:20 | 阅读:84333 | 评论:0 | 标签:系统安全 windows 安全 注入

基于深度学习的智能网格错误数据注入攻击动态检测

摘要现代传感器、计算和通信技术的发展,使得各种智能电网应用程序成为可能。对通信技术的严重依赖凸显出了智能电网对虚假数据注入(FDI)攻击的脆弱性,这种攻击可以绕过不良数据检测机制。电力系统中现有的缓解措施要么侧重于冗余测量,要么就保护一组基本测量。这些方法对FDI攻击作了具体假设,现有缓解措施对现代网络威胁的处理经常是存在一些限制和不足。在已提出的方法中,基于深度学习的框架工作用于检测注入数据测量。我们的时间序列异常检测器采用卷积神经网络(CNN)和一个长短期记忆(LSTM)网络。为了能够有效地估计系统变量,我们的方法进行观察数据测量和网络级特性共同学习系统状态。该系统在IEEE 39-bus测试系统上进行了测试。实验
发布时间:2018-08-20 17:20 | 阅读:72231 | 评论:0 | 标签:技术 注入

Firefox里的未知扩展正在将不需要的代码注入用户访问过的网站

Pinterest堪称图片版的Twitter,网民可以将感兴趣的图片在Pinterest保存,其他网友可以关注,也可以转发图片。Pinterest目前的广告营收或近10亿美元,估值最高150亿美元。由于Pinterest采用的是瀑布流的形式展现图片内容,无需用户翻页,新的图片不断自动加载在页面底端,让用户不断的发现新的图片。所以为了提高用户的使用体验,Firefox浏览器也就添加了一个未命名的浏览器扩展(由用户在Firefox上安装),旨在为用户访问的任何网站提供Pinterest共享图标和功能,以便将网站共享到Pinterest。不过有安全专家发现,这个未命名的扩展会将格式错误的代码注入到浏览器的文本编辑器中。尽管当
发布时间:2018-07-28 12:20 | 阅读:81700 | 评论:0 | 标签:漏洞 firefox 注入

攻击者如何向正在运行的Linux进程注入恶意代码

概述目前,已经有很多详细的技术文章,讲解攻击者是如何将被感染的文件注入到二进制代码中,以便下次启动受感染的程序时执行恶意代码。但是,针对正在运行的进程,攻击者可以采取什么方式实现感染呢?本文将主要介绍攻击者如何在内存中向正在运行的进程实现注入,换而言之,本文主要介绍如何编写自己的调试器。相关研究成果在展开细节之前,我们首先介绍一些相关的基础知识和研究成果。我们的第一个示例与恶意软件无关,而是一个多年来始终在研究的问题:运行时修补(Run-time Patching)。在实际中,有一些系统不能轻易关闭,否则将会造成很大的经济损失。在这种情况下,如何将补丁更新到正在运行的进程(最好是不需要重新启动应用程序)成为了一个热点问
发布时间:2018-07-25 12:20 | 阅读:81521 | 评论:0 | 标签:技术 linux 注入

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云