记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华开源情报(OSINT)侦察指北
社交媒体上的对话; 图片由Ethority提供于2014年慢点,牛仔! 在我们开始讨论红队已经为人所知的爆炸式的“性感时刻”(笑话,笑声)黑客冒险之前,我们还有一些功课要做。 一个专业的渗透测试人员从来不会在没有事先学习或者对他们的目标做“功课”的情况下开始一项工作。 关键的第一步是在操作范围内收集特定目标的信息,这使攻击者能够发现组织防御系统中可能被利用的潜在漏洞和弱点,无论是物理的、社会工程的、逻辑的还是三者的结合。 信息是一种新的交换商品,互联网上几乎可以免费获得的关于任何主题的大量信息。 那么 OSINT 到底是什么意思呢?开源情报(OSINT)是利用公开的资源来收集信息。从包括互联网在内的各种来源收集有关个人
现代无线侦察技术(一):伪基站攻击基本理论篇
引言在过去的几年里,强制无线设备连接到恶意接入点的“微妙艺术”已经有了一些令人兴奋的发展。 在 Dominic White 和 Ian de Villiers 对 MANA 的研究以及 George Chatzisofroniou 的 Lure10和已知信标攻击中,我们已经看到了 karma 风格的攻击手段的复苏,这些攻击可以用来攻击对 karma 免疫的设备[1][2]。我想更深入地研究这些技术,了解它们在技术层面上是如何工作的,并且尝试试图亲自实现这些技术似乎看起来是一个完美的学习机会。 本文最初的目的是用相对简短的篇幅叙述我如何努力重现这些技术,并将其整合到 EAPHammer(见:https://github.
NTLM 中继攻击的几种非主流玩法
在企业组织中的常见的一种安全风险是凭证重用,当攻击者攻击 NT LAN Manager 身份验证协议(以下简称 NTLM 身份验证)时就会出现这样的风险,而这个协议通常会在 微软的 活动目录 中默认启用。NTLM 认证中的不安全性已经被安全研究人员发现超过15年了。该协议可以被滥用,通过一个称为“中继”的过程劫持受害者的会话,该过程通过将受害者的凭证转发到与预期不同的服务来滥用受害者的凭证。在许多情况下,NTLM身份验证仍然受到默认的支持和启用,尽管它已经被更安全的Kerberos取代,成为默认的身份验证方法。在本博文中,我们将演示如何使用NTLMrelayx将凭证中继到LDAP、IMAP和MSSQL,NTLMrela
从远程桌面客户端提取明文凭证的工具RdpThief
介绍远程桌面(RDP)是用于管理Windows Server的最广泛使用的工具之一,除了被管理员使用外,也容易成为攻击者的利用目标。登录到RDP会话的凭据通常用于是具有管理权限的,这也使得它们成为红队行动的一个理想目标。站在传统的角度看,许多人倾向于使用LSASS进行凭据盗窃,但是lsass.exe通常受到EDR和防病毒产品的监视,而且对LSASS的操作通常需要权限访问,于是我们自然就会考虑,有没有一种更容易的替代方案?在本文中,我将描述我编写的一个工具,能使用API钩子从Microsoft RDP客户端提取明文凭据,而且如果是在已经受感染用户的权限下操作(比如网络钓鱼导致),并且该用户已打开RDP会话,则可
云安全:在 AWS 中使用 IAM 角色打破攻击者的斩杀链
在过去的一年里,我看到人们对使用云本地技术处理云内安全事件的具体建议的兴趣大幅上升。 随着组织将其生产工作负载转移到云中,安全专业人员很快就会意识到,基本原理虽然在概念上相似,但在实践中却大相径庭。 其中一个核心概念就是斩杀链,这个术语最早由洛克希德 · 马丁发明,用来描述攻击者的攻击过程。 破坏任何某个链都会破坏攻击,因此这很好地映射到了将深度防御与事件响应的活动组件结合起来。在云部署中,我们有四种主要的攻击类型,每种都有不同的斩杀链:1. 对云平台本身的攻击。这是忽略云提供商的一个根本性的危害(在云客户手中之外) ,这些攻击通常集中在云服务的错误配置上。 如果你将 S3 存储桶公开,未能将授权程序放在 API 网关
授人予渔:你必须知道的 SYSTEM 令牌窃取攻防技术细节
引言这篇博文将描述访问令牌操作的概念,以及如何针对winlogon使用这种技术。从管理员上下文模拟系统访问令牌。该技术可以在 MITRE ATT&CK 技术框架中的 访问令牌操作 中找到。在通过组策略从本地管理员帐户中取消某些特权的情况下,模拟系统访问令牌非常有用。例如,可以从本地管理员组中删除SeDebugPrivilege,以使攻击者更难转储凭据或与其他进程的内存进行交互。但是,不能从系统帐户撤消特权,因为操作系统需要这些特权才能运行。这使得系统访问令牌对于加固环境中的攻击者非常有价值。在介绍了访问令牌操作的概念之后,我将展示如何使用系统访问控制列表(SACL)来审计进程对象来检测恶意的访问令牌操
你不知道的威胁狩猎技巧:Windows API 与 Sysmon 事件的映射
“就像我们知道的那样,有一些事情我们是知道的。有一些事情我们知道我们知道,也有些我们不知道我们知道。也就是说我们知道有些事情我们不知道,但是也有些事情是我们不知道我们不知道。” ——唐纳德 · 拉姆斯菲尔德简介从防御的角度来看,我们应用于安全的最危险的事情之一就是假设。 假设是造成不确定性的盲点。 通过在检测过程中枚举和消除尽可能多的假设,我们限制了攻击面和敌人可以逃避我们检测努力的区域。 虽然总会有盲点,但是知道盲点总比不知道盲点好。 如果我们意识到我们的盲点,我们就可以在我们的检测努力中更有准备和更有效率。问题: 我们如何限制盲点和假设的数量?答: 发现攻击面并理解环境中的攻击向量。 有了这样的认识,我们就可以发现
Windows 安全描述符审计方法探究:审查事件日志安全性
在获得对系统的访问权限后,对于尚未提升特权的攻击者,系统会授予什么级别的访问权限呢?与其在主机上进行试验,最终被系统提示拒绝访问,并在测试过程中会产生嘈杂的日志,不如选择一个更好的策略,那就是首先了解 Windows 授予非特权用户的权限。在 Windows 中,几乎所有的访问权限都由安全描述符控制。 本文的目标就是建立一种审计方法,用于暴露由安全描述符错误配置的潜在风险。 在建立方法之后,我们将把它应用到一个实际的用例中: 在Windows 事件日志中,哪些潜在的可滥用访问权限被授予给了无特权组? 为了回答这些问题,我们应该定义如下两点:· 什么是错误配置?· 什么是“可滥用的”访问权限?在回答这
一文读懂进程重镜像技术(附检测方案)
背景大约三个月前,一种新的攻击技术出现在安全社区,名为「进程重镜像」。 这项技术是由 McAfee 安全团队在一篇标题为“进程重镜像和终端安全解决方案绕过”的博文中发布的,在这种攻击技术发布的几天后,我的一个同事也是朋友—— Dwight ——拿出了概念验证代码(PoC),演示了这种技术,可以在他的 GitHub 上找到。 虽然这项技术还没有映射到 MITRE ATT&CK 中,但我相信它属于防御躲避战术。尽管我写这篇博客文章的目的是展示用于检测这种攻击的方法,但是它假设你已经读过 McAfee 安全团队发布的博客文章并且看过 Dwight 的概念验证代码。 这次攻击的简要概要如下:进程重镜像是一种攻击技术,它
小心伪装成用户调研文档的钓鱼邮件攻击
一、背景腾讯安全御见威胁情报中心捕获到一例伪装成某公司的用户投诉调研文档的钓鱼邮件攻击。黑客在投递的恶意文档中嵌入恶意宏代码,一旦用户在打开文档时选择执行宏,就会在用户电脑上执行一段Powershell,通过多次解码后,执行Poweshell版开源远控木马powerfun。该远控木马采用Powershell实现,可作为控制端段或被控端运行,安装后会搜集系统信息上传,下载安装其他模块,执行任意远程指令。为了掩盖其行动,黑客精心伪装攻击文档内容,使得其与真实的用户调研文档十分相似。同时其中嵌入的恶意Powershell代码经过多层混淆,采用“无文件”的攻击方式来保证攻击过程不易被发现。二、详细分析载荷投递打开文档时micr
浅谈企业 DevSecOps 实践: 安全在 DevOps 中的角色
系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践:安全测试集成系列文章(4):浅谈企业 DevSecOps 实践:构建安全工具链系列文章(5):浅谈企业 DevSecOps 实践:安全计划正如前面提到的,DevOps 并不完全是工具和技术,但它的成功很大程度上取决于人们在这个模型中的工作方式。 我们已经对工具和流程进行了详细的介绍,并且从安全从业者与 DevOps 合作的角度探讨了大部分内容。 由于本文主要是为了帮助安全人员,所以我们在这里概述他们在 DevOps 环境中的作用。 我们
紧急预警:Globelmposter再次攻击医疗行业,爆“十二生肖”2.0新变种
近日,深信服安全团队观察到Globelmposter勒索病毒再次出现最新变种,加密文件后缀以十二生肖+865qq的方式出现,截至目前国内多个省市均发现感染案例,覆盖多行业,其中医疗行业影响最严重,个别省份同一天出现10家以上医院受感染。结合早期Globelmposter勒索病毒特征,深信服安全团队将其命名为“十二生肖”2.0版本。病毒描述“十二生肖”2.0版本勒索信息如下,有两个版本,以下是英文版勒索信息,有对应的中文版勒索信息。Globelmposter“十二生肖”2.0版本加密后缀分别有Pig865qq、Rooster865qq、Tiger865qq、Dragon865qq、Snake865qq、Rat865qq、
威胁预警 | Solr velocity模板注入远程命令执行已加入watchbog武器库
概述近日,阿里云安全团队监测到挖矿团伙watchbog更新了其使用的武器库,增加了最新Solr Velocity 模板注入远程命令执行漏洞的攻击方式,攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否受到影响。值得注意的是,此漏洞利用代码于10月31日被公布,11月2日阿里云安全团队就已发现watchbog团伙利用此漏洞进行入侵,植入木马进行挖矿,漏洞公开不足2日便被挖矿团伙利用进行攻击牟利。可以看到,当新的漏洞被披露出来时,可供企业用户修复的时间窗口越来越短,因此防守方需要及时地关注新披露可利用漏洞,以及采取缓解措施或进行修复,必要时可考虑选用安全产品帮助保障安全。背景介绍watchbog
浅谈企业 DevSecOps 实践: 安全计划
系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成系列文章(4):浅谈企业 DevSecOps 实践: 构建安全工具链本文旨在帮助安全人员为应用程序安全程序创建一个大纲或结构。 我们将回答一些常见的问题,比如“我们如何开始构建应用程序安全策略? ” “我如何开始合并 DevSecOps? ” 及”我应该遵守什么样的应用程式安全标准? ”我将讨论软件开发生命周期(SDLC) ,介绍在实施计划时需要考虑的安全事项,并参考一些应用程式安全标准,作为应采取哪些安全措施的指引。 这
EDR 完全指南:关于 EDR 的那些事儿
随着黑客智能攻击技术的不断提高,即使是最好的攻击手段,用来防御的技术也在不断提高。端点检测与响应(Endpoint Detection & Response,EDR)这样的技术对于企业或托管服务提供商(managed service providers,MSPs)来说是无价的,但是有了这样一个强大的工具,就有许多问题需要回答,以便了解它是如何工作的,它能防止什么,以及它能提供什么。什么是 EDR?端点检测与响应(Endpoint Detection & Response,EDR)是一种主动的安全方法,可以实时监控端点,并搜索渗透到公司防御系统中的威胁。 这是一种新兴的技术,可以更好地了解端点上发生的事情
实现Windows进程注入的7种新方法
简介在这里,我们主要对@hexacorn上周发布的代码注入/进程注入相关的文章进行进一步的分析。在上周,@hexacorn提出了7种新型的攻击方式,以“粉碎式攻击”的方法来实现代码注入或重定向。在本文中,我们将具体讨论这些新型注入方法,并提供一些可用的示例。前五种方法的示例都将使用“Edit”和“Rich Edit”控件,最后两个则使用SysListView32和SysTreeView32。关于Rich Edit控件要进行新型注入方法的尝试,我们可以选择遍历所有窗口,例如EnumWindows,从窗口句柄中检索类的名称,然后将字符串的开始部分与“RICHEDIT”进行比较。除了这种方法之外,我们还可以使用FindWin
公告
关注公众号hackdig,学习最新黑客技术