记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

以彼之道还施彼身 利用IDS特征码绕过IDS

罗马尼亚的首都布加勒斯特举行的DefCamp 2017上,入侵检测系统(IDS)的特征码,被利用以绕过IDS本身。DefCamp 2017安全大会的一场演讲中,基里尔·什普林,Positive Technologies 安全研究员,阐述了IDS特征码是如何被用来致瘫其本身的防御的。他还宣称,对性能及安全的破坏,可创造出绕过防御的机会。基于特征码的IDS,依赖发现特定模式来检测攻击,要么查找网络流量中的字节序列,要么找寻恶意软件使用的已知恶意指令序列。此类系统的主要局限,在于无法检测没有可用特征模式的攻击。而且,从新威胁被发现,到其特征码开始应用到IDS上的时间差,也可供攻击者利用来毫无顾忌地入侵系统,丝毫不用惧怕IDS会检测到自己的入侵行为。目前已有很多特征码被创建出来,用以保护系统不受公开漏洞利用程序的侵害;
发布时间:2017-11-22 09:05 | 阅读:112463 | 评论:0 | 标签:牛闻牛评 IDS suricata 拒绝服务攻击 特征码

从无文件恶意软件来理解威胁多样化

采纳了数字化的公司企业不仅仅更加敏捷,还大幅优化了预算,提升了竞争力。但在整体表现上升的同时,这些新技术的采纳,也扩大了攻击界面,让网络罪犯可以利用来部署威胁,破坏公司整体安全状态。传统威胁要么作为独立应用,在受害者机器上悄悄运行;要么破坏现有应用完整性,改变它们的行为。此类威胁通常被称为基于文件的恶意软件,传统终端防护解决方案已经集成了磁盘文件扫描功能,可以在文件执行之前加以阻断。基于文件 vs 无文件最常见的几种攻击技术里,受害者可能会下载恶意程序,该恶意程序就在后台静默执行,跟踪用户行为;或者利用主机上常见软件的漏洞,以便可以秘密下载额外的组件,在受害者毫无所觉的情况下执行之。传统威胁在执行恶意代码之前,必须将代码写入受害主机磁盘。基于特征码的检测就是基于此而存在的,因为该技术可发现已知恶意程序,并阻止其
发布时间:2017-11-08 22:00 | 阅读:100833 | 评论:0 | 标签:牛闻牛评 投放机制 无文件恶意软件 机器学习 特征码

别把精力都集中在恶意软件上 60%的入侵与之无关

尽管难以准确测定,一些研究估计,约60%的入侵毫不涉及恶意软件。信息安全业内很多人对这60%的关注度都还太低了。 攻击者是怎么在不用任何恶意软件的情况下如此成功地侵入的呢?这个问题问得好!想要深入细致恰当地回答,还真得拿出点儿干货来。但从较高层次看,答案与这几年我们在信息安全界看到的一个趋势有关。 虽然攻击者依然经常使用恶意代码,他们已经越来越不依赖这些难以编写的东西了。入侵之路千万条,但攻击者似乎钟爱偷凭证、用合法工具、伪装合法用户这一条。结果表明,通过各种各样的技术,他们这条路走得真是万分轻松惬意。 信息安全社区无论从技术层面还是从运营层面都有许多可以切入的论述点。比如,采用层次化检测方法如何帮助公司跟上攻击者行为进化脚步,诸如此类。 从技术层面看,大量公司仅仅专注于打造更好的恶意软件陷阱这一现象就十分令
发布时间:2017-04-08 18:45 | 阅读:98671 | 评论:0 | 标签:术有专攻 威胁检测 无文件恶意软件 沙箱 特征码

VirTest5.0特征码定位器(开源)

以前向无花果大婶要的一份源代码,未经过他老人家的允许,特此斗胆献给大家.目前比较常有名气的特征码定位器主要有CCL与MYCCL,他们都采用文件分块定位的办法,定位效果带有运气成份,且可能每次定位出的位置都不尽相同,这个免杀带来了困难。研究杀毒软件特征代码时日渐久,慢慢认识到这样一个事实:杀毒软件在判断特征代码时,一般会解析文件格式,例如PE文件,大致过程可以认为检查这些关键项目MZ -> PE - >CODE->DATA->IMPORT TABLE->EXPORT TABLE->RESOURCE...等,我们可以这样假设报毒过程,如果检测文件是PE,如果在CODE位置存在 标志A,在DATA位置存在标
发布时间:2014-08-13 13:45 | 阅读:71184 | 评论:0 | 标签:工具 VirTest 特征码

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云