记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

警惕!黑客利用聊天工具发送RAT木马

文章目录一、概述二、技术分析2.1 第一阶段2.2 第二阶段2.3 第三阶段2.4 第四阶段三、总结与建议四、IOCHash:url:C2:阅读: 9一、概述前段时间,伏影实验室发现一起利用聊天工具传播恶意软件的攻击事件。在该次攻击事件中,攻击者利用Skype聊天工具进行恶意代码投递。事件调查显示,攻击者伪装昵称为财务主管,通过即时聊天工具Skype,向目标投递了名称为“七月份公司重要通知.xlxs.exe”的文件。在聊天界面中,完整的后缀并没有显示,同时如果本地开启已知文件后缀隐藏的设置,在本地浏览文件过程中也可能会错误地认为该文件是一个通知文档。
发布时间:2020-09-17 12:50 | 阅读:6290 | 评论:0 | 标签:研究调研 IoC RAT 恶意软件 聊天工具 黑客 木马

伏影实验室:一次定向攻击事件快速分析

文章目录一、事件综述二、诱饵阶段2.1 wwlib.dll(downloader)2.2 rpc(shellcode)2.3 Cobalt Strike Beacon(RAT Trojan)2.4 攻击者分析阅读: 11一、事件综述在9月12日绿盟科技捕获了一起针对某公司的定向钓鱼攻击事件。伏影实验室研究员对此次事件中涉及的钓鱼样本进行了详细分析。攻击样本使用VMP对木马下载器进行加壳处理,极大的提升了分析难度,通过流量还原的方法,成功获取了其攻击payload,完成了对木马功能的完整分析。
发布时间:2020-09-14 00:37 | 阅读:7029 | 评论:0 | 标签:研究调研 Cobalt Strike RAT 海莲花 钓鱼邮件 攻击

人机协作工业机器人安全测试

文章目录一、目标概述1.1 ABB公司简介1.2 中国市场是ABB的第二大市场1.3 人机协作的双臂工业机器人YuMi简介二、ABB机器人安全测试过程2.1 系统整体结构2.2 对系统内部的IP地址进行探测2.3 敏感服务和端口2.4 对发现的IP地址进行端口探测2.5 风险发现与测试验证三、总结阅读: 2随着网络技术与智能控制技术的发展,一些简单的工作逐步被机器人所代替,伴随而来的网络攻击也是不容忽视的,这里以ABB的人机协作双臂机器人Yumi为目标,描述一下机器人的安全评估过程。
发布时间:2020-09-09 03:14 | 阅读:18147 | 评论:0 | 标签:研究调研 ABB 安全评估 工业机器人 安全

APT Group系列——Darkhotel之窃密与RAT篇

文章目录一、手法简述二、窃密组件Nemim2.1 功能性质2.2 安装驱动2.3 收集系统信息2.4 Rootkit收集击键内容2.4.1 获得PS/2键盘击键内容2.4.2 获得Hid-USB键盘击
发布时间:2020-09-09 03:14 | 阅读:20788 | 评论:0 | 标签:研究调研 APT Darkhotel RAT 窃密 apt

工业系统不容忽视的安全风险之设备模拟器安全

文章目录一、背景二、研究方法三、漏洞挖掘3.1 危险接口CVE-2019-189953.2 目录穿越 CNVD-2020-099983.3 空指针解引用 CVE-2019-19789四、总结阅读: 0一、背景在很多上位机组态软件中,为了方便开发人员进行调试分析,往往配有模拟器模拟来模拟真实的PLC或者HMI设备。这些软件一般通过TCP/UDP协议与组态软件进行数据交换,所以有些模拟器会监听指定的端口,甚至端口直接绑定到0.0.0.0这个地址上,使得其他用户可以远程访问。模拟器中可能会和真实的设备使用同一套代码库,使得出现在模拟器中得漏洞也影响到真实的设备。
发布时间:2020-09-07 02:40 | 阅读:9139 | 评论:0 | 标签:研究调研 工控系统 漏洞挖掘 端口 设备模拟器 安全

「云原生技术研究」从bpftrace看如何利用eBPF实现内核追踪

文章目录摘要一、什么是动态追踪二、动态追踪工具三、探针类型3.1 内核动态探针-Kprobes3.2 内核静态探针-Tracepoints3.3 其它探针四、安装部署bpftrace五、如何进行追踪5.1 命令行5.1.1 列出支持的探针5.1.2 Hello World5.1.3 追踪文件打开5.2 追踪脚本5.2.1 文件执行追踪5.2.2 TCP连接追踪5.3 追踪工具5.3.1 网络5.3.2 安全5.3.3 系统六、总结参考资料:阅读: 1摘要bpftrace提供了一种快速利用eBPF实现动态追踪的方法,可以作为简单的命令行工具或者入门级编程工具来使用。
发布时间:2020-08-29 11:32 | 阅读:11419 | 评论:0 | 标签:研究调研 bpftrace DTrace eBPF Kprobes Tracepoints 内核探针 内核追踪 动态追踪

冰蝎全系列有效:针对 HTTPS 加密流量的 webshell 检测研究

文章目录一、背景二、冰蝎3.0三、webshell 加密流量检测1. 数据集2. 特征提取3. 模型训练和测试4. 特征重要性分析四、小结参考链接:阅读: 0webshell 是 Web 攻击中常见的一种木马形式,目前主流的检测方法都是基于 HTTP 请求和响应流量的内容特征,然而在 HTTPS 协议下,很多 webshell 检测机制是无能为力的。冰蝎这类加密型 webshell 的出现更是增加了检测难度,尤其是冰蝎3.0版本采用预共享密钥机制,即使在 HTTP 场景中的检测也是有一定难度的。
发布时间:2020-08-26 12:16 | 阅读:11314 | 评论:0 | 标签:研究调研 https webshell 冰蝎 加密 shell

AISecOps:从DARPA Transparent Computing看终端攻防

文章目录一、DARPA TC 项目概述1.1 项目目标1.2 项目技术领域划分二、DARPA TC 功守道2.1 攻——精细丰富的 APT 场景模拟2.2 守——打开行为“黑箱”三、总结参考文献:阅读: 3安全边界日益模糊,为应对高级持续性威胁,提升各类终端系统的“透明度”尤为关键——通过高效的数据采集与分析技术,以识别、溯源、预测内外部攻击者的细粒度系统级行为及关联其上下文。然而当我们尝试用放大镜观测细粒度的系统行为时,数据质量、分析技术、性能开销、验证理论等多层次的问题接踵而至。
发布时间:2020-08-26 12:16 | 阅读:11053 | 评论:0 | 标签:研究调研 AISecOps APT DARPA 天枢实验室 攻防对抗 终端安全 透明计算 AI 攻防

格物实验室:物联网资产标记方法研究(一)基于先验知识的物联网资产标记实践

文章目录一、引言二、暴露的物联网资产的特征2.1 暴露在互联网的各类资产类型2.2 暴露物联网资产的特征三、物联网资产发现实践3.1 识别流程3.2 标记举例3.3 识别效果四、总结阅读: 5一、引言无论在互联网还是内网场景中,对资产的准确识别一直是一个老生常谈的问题。但实际上随着物联网相关技术的不断发展,有越来越多新的设备类型出现在我们的网络中,所以说资产识别是一个进行时的问题,需要持续关注才能很好的解决。《物联网资产识别方法研究综述》和《物联网资产的6个特征》分别介绍了物联网资产相关的识别方法和开放HTTP服务的物联网资产的一些特征。
发布时间:2020-08-19 18:28 | 阅读:7677 | 评论:0 | 标签:研究调研 UPnP 物联网资产 资产发现 资产标记 物联网

「格物猎踪」关于OpenVPN反射攻击,你还需要知道这些!

文章目录执行摘要一、OpenVPN服务暴露情况分析二、OpenVPN反射攻击分析三、小结参考文献阅读: 2执行摘要OpenVPN 是一个基于 OpenSSL 库的应用层 VPN 实现,其服务端口为1194,2019年9月被发现可被用于UDP反射攻击。借助绿盟威胁情报中心(NTI)的全网测绘数据和绿盟威胁捕获系统的威胁捕获数据,本文对其全网暴露情况、攻击者常用的攻击手法、反射攻击带宽放大因子等进行了分析。本文的关键发现如下:全球有约75万个IP开放了OpenVPN服务,存在被利用进行DDoS攻击的风险。
发布时间:2020-08-18 17:31 | 阅读:11465 | 评论:0 | 标签:研究调研 OpenVPN 全网测绘 反射攻击 威胁捕获 格物实验室 攻击

APT Group系列——Darkhotel 之中间组件篇

文章目录一、手法简述二、中间执行工具2.1 注入器2.1.1 环境检查2.1.2 持久化2.1.3 注入2.2 HTA下载组件三、组件升级工具3.1 微下载器3.1.1 持久化 &&nb
发布时间:2020-08-14 11:56 | 阅读:10765 | 评论:0 | 标签:研究调研 APT Group Darkhotel 中间组件 伏影实验室 感染传播 apt

ADS

标签云