记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华如何构建公有云DDoS溯源系统
0x00、引子今天在网上看到北京昌平区网侦中队破获黑客网络犯罪案件,刘先生开发的饭店、酒吧提供点餐、互动平台服务被DDoS,导致数百家合作商户无法进行结账互动,直接经济损失上千万。溯源过程:警方经过近半年的侦查,层层跳转,确定了其中一个攻击源,民警立即来到江苏省某市开展侦查。不得不说这样调查溯源的太浪费人力物力了。曾经听过阿里的同僚说,目前溯源收费标准50万/单。那么如何构建高效的溯源系统,为用户提供高附加值的DDOS溯源服务呢?0x01、业务需求需求点1:攻击源实时分析:做威胁情报系统的同事都清楚,黑客基础设施一般寿命都不长,伴随着时间的推移,证据的有效性就无法保证。需求点2:不是每一起DDoS攻击事件都能溯源的,溯
另辟蹊径:利用活动目录的复制元数据检测域内恶意活动
随着 BloodHound 最近发布的 ACL 攻击路径更新,以及@wald0和我自己对活动目录中的 DACL 后门的研究(请点击这里查阅白皮书) ,我开始从防御的角度研究基于 ACL 的攻击路径。 Sean Metcalf 在活动目录威胁检测方面做了一些很棒的工作(参见他在2017年 BSides Charm上的"Detecting the elive: Active Directory Threat Hunting"的演讲) ,在本文中我想展示复制元数据如何帮助检测这种类型的恶意活动。此外,在这篇文章起草之后,Grégory LUCAND 向我指出了他在同一主题领域写的一篇广泛的文章(法语) ,
全盘加密又咋地!只要启动闪存,即可将其破解并提取其中的密码
何为全盘加密全盘加密(Full-disk encryption)对取证取证专家来说是个非常大的挑战。Android 的安全性问题一直备受关注,Google在Android系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。在Android的安全加密方面,加密分全盘加密和文件级加密(Android 7.0 引入)全盘加密在 Android 4.4中引入,在Android 5.0中做了比较大的更新。本文论述的就是全盘加密,以及如何通过启动一个闪存(flash drive)来破解这种加密方式。对于一般人来讲,全盘加密也许并不必要;然而,如果你需要处理像商业机密和不希望被其他人看见的隐私的话,那么全盘加密
挖矿蠕虫肆虐,详解云防火墙如何轻松“制敌”
根据阿里云安全团队发布的《2018年云上挖矿分析报告》显示,过去一年中,每一波热门0 Day的出现都伴随着挖矿蠕虫的爆发性传播,挖矿蠕虫可能因为占用系统资源导致业务中断,甚至还有部分挖矿蠕虫同时会捆绑勒索病毒(如XBash等)给企业带来资金与数据的损失。如何提升企业的安全水位,抵御挖矿蠕虫的威胁成为每个企业都在思考的问题。本文以云上环境为例,从挖矿蠕虫的防御、检测和入侵后如何迅速止血三方面来阐述阿里云云防火墙如何全方位抵御挖矿蠕虫。1.挖矿蠕虫的防御1.1 挖矿蠕虫的传播方式据阿里云安全团队观察,云上挖矿蠕虫主要利用网络上普遍存在的通用漏洞和热门的0 Day/N Day漏洞进行传播。1.1.1 通用漏洞利用过去一年挖矿
绕过杀软!SQL Server Transact-SQL的无文件攻击姿势
背景概述近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破SQL Server服务器后,利用sqlserver Transact-SQL存储C#编译恶意代码,通过MSSQL作业定时执行存储过程,在受害主机下载恶意程序。排查过程排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行: 排查注册表启动项,存在一个BGClients,执行c:windowssystem32wbem123.bat,看起来十分可疑:查看123.bat的内容,其中
发布时间:2019-05-08 12:25 |
阅读:15841 | 评论:0 |
标签:系统安全
高级域渗透技术之再谈Kerberoast攻击
Rebeus是一个用C#编写Kerberos 滥用工具包,最初是由@gentilkiwi 编写的 Kekeo 工具包中的一个端口,这个工具包从那时起就在不断发展。要了解更多关于 Rubeus 的信息,请查看"从 Kekeo 到 Rubeus"这篇文章后续的"Rubeus ——Now With More keo"或最近修订的 Rubeus README.md。我最近对 Rubeus 做了一些改进,其中包括重新审查了它的 kerberos 实现。 这导致了对 Rubeus 的 Kerberoast 方法的一些修改,也解释了我们之前在这个领域看到的一些"奇怪"的行为
腾讯安全揪出年度最大病毒团伙,高峰时控制近4000万台电脑
一、概述2018年至今,国内先后有多家安全厂商分别发现幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族,这些木马利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播,在用户电脑上安装Rootkit后门,通过多种流行的黑色产业变现牟利:包括,云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。自诞生以来,这个超大的病毒团伙和国内众多杀毒厂商斗智斗勇,一个团伙在安全软件联合打击下消退,很快就有一个新的团伙取而代之。腾讯安全御见威胁情报中心通过多个维度分析幽虫、独狼、双枪、紫狐、贪狼等病毒木马的技术特点、病毒代码的同源性分析、C2服务器注册、托管等线索综合分析,最终判断这5个影响恶劣的病毒团伙
高级域渗透技术之传递哈希已死-LocalAccountTokenFilterPolicy万岁
高级域渗透技术之传递哈希已死-LocalAccountTokenFilterPolicy万岁来源:https://posts.specterops.io/pass-the-hash-is-dead-long-live-localaccounttokenfilterpolicy-506c25a7c167大约三年前,我写了一篇名为"传递哈希已死: 长久的哈希传递方法介绍"的文章,详细阐述了微软 KB2871997补丁的一些操作含义。 在安全建议中有一句特别的话,"这个功能的改变包括: 防止网络登录和使用本地帐户远程交互登录到加入域的机器… …"使我相信(在过去
LAZARUS APT利用恶意word文档攻击MAC用户
上个月,Kaspersky研究人员发布报告称Lazarus APT组织Lazarus进军macOS平台和加密货币行业。Lazarus APT组织又称为Hidden Cobra,是来自朝鲜的APT组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁。该组织最早的攻击活动可以追溯到2007年。据国外安全公司的调查显示,Lazarus组织与2014 年索尼影业遭黑客攻击事件,2016 年孟加拉国银行数据泄露事件,2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。研究人员感兴趣的是一个适用于macOS和Windows系统的恶意word文档。该恶意伪
域渗透之在活动目录中搜寻: 不受限制的委派和林信任
在这篇文章中,我将针对威尔的文章中解释的攻击变量提供初步的侦查指导,主要关注一些通常由强制机器帐户认证方法生成的安全事件。 我还会提供一些具体的指标,说明 Rubeus 监控 TGTs 所产生的 Windows 安全事件,以及 Lee Christensen 开发的唯一公开的概念验证代码 SpoolSample ("printer bug")的执行情况。 SpoolSample 用于强制授权到一个无约束的服务器。 还有数百台 RPC 服务器尚未进行分析,比如 SpoolSample 代码中使用的 打印机服务器。 因此,我们不能假设攻击者总是使用 RPC 打印机服务器来执行这种攻击。 此外,重要的是要
警惕!利用Confluence最新漏洞传播的Linux挖矿病毒seasame
一、现象描述近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasame。感染该木马后现象如下,可以看到一个CPU占用异常高的vmlinuz进程以及3个采用7位随机字符拼凑的进程。另外,还会出现无法使用wget和curl命令,以及无法打开浏览器等问题。该病毒目前的传播途径主要是利用Confluenc
微软Live Tile Service攻击POC
安全研究人员Hanno Böck发现微软无法控制用于传递内容到Windows Live Tiles(又称为Windows Start Screen tiles,Windows开始屏幕平铺)的子域。Live Tiles服务是Windows 8中引入的在RSS feeds帮助下用来从notifications.buildmypinnedsite.com接收新的内存更新的服务。通过特殊的基于XML的文件格式,web页面可以控制tiles的内容,比如可以显示最近的新闻。为了让web页面可以更简单的提供这项功能,微软运行了一个可以自动将RSS feeds转换为特殊XML格式的服务。源于Mail.ru的Windows Live T
海莲花APT组织2019年第一季度针对中国的攻击活动技术揭秘
一、背景"海莲花"(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。在2019年第一季度,腾讯御见威胁情报中心持续的检测到该组织针对中国大陆的政府、海事机构、商务部门、研究机构的攻击活动。此外该组织还在不断的更新他们的攻击武器库,无论是钓鱼的诱饵形式、payload的加载、横向移动等。尤其值得注意的是,我们发现该组织针对不同的机器下发不同的恶意模块,使得即便恶意文件被安全厂商捕捉到,也因为无相关机器特征而无法解密最终的payload,无法知晓后续的相关活
Windows x86 Shellcode开发:寻找Kernel32.dll地址
前言针对一个已经学习了Linux Shellcode开发,并开始在Windows上尝试的研究人员来说,这一过程可能要比想象的更加艰难。Windows内核与Linux完全不同。尽管如此,但Linux内核要比Windows更容易理解,原因在于其开源的特性,并且与Windows相比,Linux只具有相当少的功能。另一方面,Windows在过去几年中进行了重大的改进,由于这一改进,新版本与老版本相比已经发生了许多变化。在本文中,我们将专注于对Windows 10 x86进行分析,但其他旧版本可能与之相比没有太多的不同。目前,已经有很多关于PEB LDR的博客文章,但我们还没有看到有任何文章中展现了完整的逻辑,并阐述其本质原因的
真假文件夹?FakeFolder病毒再次捣乱企业内网
1. 背景概述近期,深信服安全团队接到客户反馈,内网中出现了大量伪造成文件夹的可疑exe文件,删掉以后仍会反复。经深信服安全团队分析发现,这是一个蠕虫病毒FakeFolder,该病毒会通过U盘及共享文件夹进行传播,一旦主机感染了该病毒,文件系统中的文件夹都会被隐藏,取而代之的是一个伪装的病毒文件,当用户运行病毒文件时,也会弹出对应文件夹的窗口,因此不易被察觉;只要系统中还残留着一个FakeFolder病毒文件,就会对主机进行反复感染。深信服安全团队提取了该蠕虫病毒文件,并对其进行了详细的技术。2. 病毒原理[1] 病毒首先会创建一个子进程并注入恶意代码进行核心操作,从而避开杀软的查杀。[2
DDoS攻击新趋势:海量移动设备成为新一代肉鸡
近期,阿里云安全团队观察到数十起大规模的应用层资源耗尽式DDoS攻击(应用层CC攻击)。阿里云DDoS高防实现智能防护全程自动化检测并清洗,未对用户侧业务产生任何影响,这类攻击存在一些共同的特征,阿里云安全团队对此做了跟踪分析。几经溯源发现,这些攻击事件源于大量用户在手机上安装了某些伪装成正常应用的恶意APP,该APP在动态接收到攻击指令后便对目标网站发起攻击。根据阿里云安全团队监测的数据显示,近两个月,已经有五十余万台移动设备被用来当做黑客的攻击工具,达到PC肉鸡单次攻击源规模。不难看出,伪装成正常应用的恶意APP已让海量移动设备成为新一代肉鸡,黑灰产在攻击手法上有进一步升级趋势。海量移动肉鸡下的DDoS攻击有哪些新
公告
关注公众号hackdig,学习最新黑客技术