记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华针对Android智能机的高级短信钓鱼攻击
介绍Check Point的研究人员调查发现,在如三星(Samsung)、华为(Huawei)、LG和索尼(Sony)等某些品牌的android手机上,高级网络钓鱼攻击事件很容易发生。攻击者可以通过远程代理欺骗用户更改手机设置,截获用户所有的互联网流量。这类攻击方法利用的是一种称为OTA(空中下载)的技术,网络运营商正是利用此技术才能将特定网络设置部署到用户手机上,然而问题在于,任何人都可以发送OTA配置消息。OTA配置的行业标准是开放移动联盟客户端配置(OMA CP),涵盖的认证方法数量有限,收件人无法验证接收的建议设置是来自官方的网络操作人员,还是顶替的冒名者。我们发现,三星、华为、LG和索尼等品牌手机(占到了50
腾讯安全威胁感知系统截获网银大盗木马,提醒网友注意陌生邮件安全
概述腾讯安全御见威胁感知系统聚类出T-F-278915恶意家族,经分析该家族样本会窃取多种虚拟货币、窃取多国(包含中文、日文、希腊语)银行账户登录凭证,删除用户的浏览器信息,并利用用户电脑进行IQ虚拟货币挖矿等行为。该木马感染后监测到用户进行网银、支付相关的操作时,会复制剪贴板信息、截屏、进行键盘记录,将中毒电脑隐私信息上传,通过创建任务计划、添加启动项实现开机自动加载,病毒在做这些操作时,顺便利用中毒机器的算力挖矿。目前该网银大盗木马在国内已散在出现,其传播渠道主要依靠钓鱼欺诈类邮件。腾讯安全专家提醒用户小心点击来历不明的邮件附件及邮件提供的网址。详细分析1、 原始样本使用C#编写,其中的Class1类解密
iPhone蓝牙流量泄露手机号码等重要信息
如果你的苹果设备蓝牙是开启的状态,那么附近的所有人都可以获取你的设备状态,观看设备名、WiFi状态、操作系统版本、电池信息,甚至可以获取你的手机号。简介Apple设备以互联生态而著称:即在一个设备上使用一个APP后可以再另一个设备上可以继续使用该APP。同时可以再离线的情况下访问你的文件。这好像与苹果的“What happens on your iPhone, stays on your iPhone”策略是相悖的,但是吗?首先看一下苹果的隐私策略是如何工作的。Wireless. Wireless everywhere.如果你想与朋友分享照片,iPhone是如何知道它设备是否在你附近呢?你的MacBook是怎么知道你的
新版FinSpy政府间谍软件分析,曾涉及20个国家的iOS和Android用户
FinSpy是由德国Gamma Group公司制造的间谍软件,通过其在英国的子公司Gamma Group International向全球的政府和执法机构出售,被用于在各类平台上收集用户的私人信息。维基解密在2011年对用于桌面设备的FinSpy植入程序做了首次分析,次年分析了用于移动设备的FinSpy。从那时起,卡巴斯基开始不断检测到FinSpy在野新版本的出现。遥测数据显示,在过去的一年里,有几十种类型的移动设备都遭到过FinSpy的感染,而最近一次活动记录是在缅甸,于2019年6月发现。2018年年末,卡巴斯基研究了最新版本的FinSpy植入程序(于2018年年中时创建),主要是iOS和Android版
美公共警报系统曝漏洞 专家:警惕预警系统上演狼来了
不久前,四川宜宾市长宁县发生6.0级地震,通过电台广播、手机短信、电视等途径发出的地震预警为公众赢得了最长达61秒的逃生时间。无独有偶,大洋彼岸的美国也有预报地震、海啸等的无线紧急警报系统——WEA系统,不过近期科罗拉多学发布的一份研究报告显示,美国WEA系统可能会向成千上万的手机发送虚假警报。“无线紧急警报”(Wireless Emergency Alerts,WEA),是由美国联邦通信委员会(FCC)、联邦应急管理署(FEMA)和无线运营商共同推出的一种针对“紧急情况”设置的预警系统。其可以向特定地区发布警报,包括极端天气预警和安伯警报(儿童劫持警报)等。但是这种全国性预警系统可能会受到黑客攻击。研究人员称,从政府
Riltok手机银行木马分析
Riltok是一款使用标准功能和传播方法的手机银行木马。为了攻击欧洲用户,银行木马做了一些小的修改来适应欧洲市场(用户)。受害者中有90%位于俄罗斯,4%位于法国,还有意大利、乌克兰和英国等。Riltok银行木马的全球分布研究人员最早是在2018年3月检测到Riltok银行木马家族的。与其他银行木马类似,该银行木马伪装成俄罗斯的免费广告服务app。恶意软件是通过SMS在受感染的设备上传播的,传播的形式为“%USERNAME%, I’ll buy under a secure transaction. youlabuy[.]ru/7*****3”或“%USERNAME%, accept 25,000 on Youla y
使用QBDI分析Android原生库
使用 QBDI 分析 Android 原生库这篇博文讨论了 QBDI,以及如何使用 QBDI 来逆向一个安卓 JNI 库。引言在过去的几个月里,我们在 QBDI 中改进了对 ARM 的支持。更准确地说,我们增强了 QBDI 的引擎,以支持 Thumb 和 Thumb2 指令以及 Neno 寄存器。开发仍在进行中,与 x86-64支持相比,我们需要清理代码并添加非回归测试。为了添加 Thumb 和 Thumb2 支持,我们对著名的模糊处理器(如 Epona, O-LLVM 或 Arxan)进行了 DBI 测试,因为我们期待拥有良好的指令覆盖率、边角用例以及良好的用例。原生代码来自嵌入在不同 APK 中的 And
后边界时代骤增的移动安全风险探析
在后边界的网络世界,无论是企业、员工还是网络犯罪分子,都有新的方式来逃脱企业网络防御,且这种情况越来越普遍。网络犯罪分子现在采用“移动优先”的方法来攻击企业。例如,上个月有5亿苹果iOS用户因为Chrome for iOS中的未修补的漏洞而被攻击。骗子设法劫持用户会话,并将流量重新引到植入了恶意软件的恶意网站。这样的攻击证明了利用移动设备的网络犯罪活动的广泛性和有效性。对于那些移动办公人员越来越多的企业而言,不断升级的移动攻击媒介极大地恶化了威胁形势,迫使企业要重新考虑其安全要求。1、持续增长的高度流动性企业在不断加强对移动办公的支持。根据《牛津经济学》2018年的一项调查,80%的受访者表示,如果没有移动设备,公司员
关于海莲花组织针对移动设备攻击的分析报告
海莲花是什么?"海莲花"(又名APT-TOCS、APT32、OceanLotus),被认为是来自中南半岛某国的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。安天及其他安全厂商在之前已经发布过多份关于海莲花的分析报告,报告的内容主要集中在PC端,攻击手段往往以鱼叉攻击和钓鱼攻击为主,移动端的攻击并不多见。然而,随着移动互联网的发展,一方面人们的手机逐渐出现两用性,除了包含使用者的个人隐私外,也往往会带有其社会属性,另一方面,智能手机的无线通信可以绕过内部安全监管设备,故而针对移动端的攻击也成为了整个攻击链条中的
入侵win10电脑(上):设置payload
即使你的win10笔记本关机,3分钟之内,也可以被入侵。只需要在键盘上执行某些操作,就能移除电脑中的杀毒软件,创建一个后门,捕获网络摄像头图像和密码,以及其他比较敏感的个人数据。你现在可能会有疑惑,为什么攻击者要入侵我的个人电脑呢?答案很简单,任何计算机或者在线账户都是有价值的。虽然很多人觉得他们没什么东西可丢失或者可隐藏的,但是黑客的想法谁知道呢,可能他们就是想黑你,所以不要低估他们。通过入侵你的win10电脑,攻击者可以在你的电脑上搭建web服务器用来钓鱼,传播恶意软件,垃圾邮件,或者存储和发布其他的恶意内容。他们还可以收集你的联系人信息,以你的名义给他们发送垃圾邮件,获取虚拟商品,破坏你的名声,获取你所有的账户凭
LightNeuron与俄罗斯黑客组织Turla有关联
随着操作系统安全性的提升,rootkit的使用近年来逐渐减少。因此,恶意软件开发者尤其是监控组织的恶意软件开发者忙于开发新的隐秘的恶意软件。近期,ESET研究人员发现俄罗斯黑客组织Turla(又名Snake)使用了一个复杂的后门——LightNeuron。该后门从2014年开始就不断攻击Microsoft Exchange邮件服务器,虽然没有发现Linux样本,但是根据Windows版本中的代码段,研究人员相信有Linux变种存在。受害者分布研究人员在分析过程中发现了至少3个不同的受害者组织,如图1所示。图1 – 已知的LightNeuron受害者分布其中两个受害者组织是外交部和地区外交事务组织,与近期分析的Turla
所有开发人员都注意了!苹果将正式采用Notarization机制
本文介绍了苹果将在10.14.5上新引入的App Notarization机制,届时,苹果将要求开发人员上传应用程序之前,将它们提交给苹果,以扫描恶意内容,并查找可能存在的代码签名问题,没有经过苹果检测的应用程序以后可能将不被允许运行。随着macOS 10.14.5的正式发布,苹果首次要求所有开发人员创建一个属于开发者自己的ID证书,以Notarization机制他们的应用程序,并且所有新的和更新的内核扩展都要经过Notarization机制。什么是Notarization机制?代码签名机制是一种对抗恶意软件的重要武器,它能够帮助用户识别已签名App的真实身份,并验证目标应用是否被非法篡改过。代码签名机制基于密码学方法
针对澳大利亚发动攻击:深入分析Gustuff银行僵尸网络
一、摘要Cisco Talos团队发现了针对澳大利亚金融机构的新型Android恶意活动。随着调查的不断深入,Talos团队发现这项恶意活动与此前在澳大利亚发现的“ChristinaMorrow”短信垃圾邮件骗局有所关联。尽管这种恶意软件的凭据获取机制不是特别复杂,但该系列恶意软件确实具有非常先进的自我保护机制。恶意软件并非传统的远程访问工具(RAT),并且此次的恶意活动似乎主要针对个人用户。除了凭据窃取之外,恶意软件还将窃取用户联系人列表、收集电话号码相关联的人名、收集用户设备上的文件和照片。然而,这一事实并不意味着企业和组织没有受到此次恶意活动的影响。企业和组织仍然需要留意这种类型的木马活动,因为攻击者可能会获取到
新型Android间谍软件Exodus(下)
如前所述,我们的测试设备从第一阶段到第二阶段都是自动被收集数据的。例如,手机使用的WiFi网络的密码使用文件名格式DD_MM_2019_HH_mm_ss_XXXXXXXXXXXXX.txt.crypt(IMEI后面的日期时间)存储在文件夹/storage/emulated/0/.lost+found/0BBDA068-9D27-4B55-B226-299FCF2B4242/中。最后,我们观察到代理将我们的测试手机中的WiFi密码泄露给了C&C服务器:PUT /7d2a863e-5899-4069-9e8e-fd272896d4c7/A35081BD-4016-4C35-AA93-38E09AF77DB
新型Android木马Gustuff已影响上百家银行应用程序
近日,Group-IB的安全专家检测到了一种名为Gustuff的移动Android木马的攻击活动,其目标涵盖了国际知名银行的潜在客户、使用加密货币服务的用户,以及一些热门的电子商务网站。Gustuff是一种新型的Android银行木马,之前从未被报道过。它具有完全自动化的功能,能同时从用户帐户中窃取虚拟货币和非虚拟货币。对Gustuff样本的分析显示,此次攻击行动涉及到了5个主要国家在内的上百家银行,其中美国和波兰被波及的数目最多,分别为27家和16家,其余的三个国家为:澳大利亚(10),德国(9),印度(8);而受影响的银行包括:美国银行,苏格兰银行,摩根大通,富国银行,Capital One,TD银行,PNC银行等
便携式移动网络的快速搭建方法
在用户高峰时段,常用的移动网络很容易堵塞,不堪重负。所以,关键时刻能够建立安全可靠的通信,是非常重要的。在本案例中,我用的移动通信系统是GSM协议,为了能够将GSM协议广播出去,我使用了BladeRF。需要的设备1.树莓派,本文使用的是树莓派3;2.Micro SD卡,本文使用的是32 GB的;3.Nuand BladeRF,本文使用的是BladeRF x40;4.在树莓派上启用SSH,为了便于使用,终端也可以正常运行;5.一部兼容GSM和SIM卡的手机;6.SIM卡(sysmoSIM-GR2);7.一根网线;树莓派的设置译者注:BladeRF是由树莓派使用YateBTS控制的,YateBTS是实现手机访问网络和GSM
公告
关注公众号hackdig,学习最新黑客技术