记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

近期,深信服安全团队捕获到DDG挖矿木马最新变种5028,较之前的变种5023,新版本的DDG挖矿木马更新了C&C地址及挖矿地址,同时已弃用传统的i.sh驻留方式。经深信服云脑数据反馈,该木马在短短一个月时间已有大量拦截数据,且每日攻击次数还呈递增的趋势。 0x0 威胁数据 根据云脑数据显示,截止2020年6月20号,全网已监测到近大量来自DDG v5028变种的流量攻击。 攻击数据拦截地区的分布大致如下,其中天津和北京的拦截数据量最大。 0x1 版本简介 自2020年开始,DDG已开始启用v5版本号,从以往的Memberlist开源P2P通信方式改为了自研的P2P通信方式。 在v5023中有较大更新,木马会在 /var/lib/ 或 /usr/local/下生成随机
发布时间:2020-06-23 14:36 | 阅读:6099 | 评论:0 | 标签:系统安全 CVE-2017-11610 CVE-2019-7238 DDG家族 DDG挖矿木马 Nexus Reposi

合法软件沦为勒索工具,深信服EDR提供防御方案

近日,深信服安全团队发现一款合法的磁盘加密软件BestCrypt Volume Encryption被黑客利用作为勒索工具。黑客通过RDP暴破等方式远程登录目标服务器后,人工运行BestCrypt Volume Encryption进行勒索加密。由于用于加密的是正规软件而非病毒,通过文件查杀的方式通常无法防御。 现象描述 深信服安全团队近日收到一起特殊的勒索求助。不同于通常的勒索病毒对文件进行加密并修改文件后缀,而是直接对磁盘进行了加密,加密后的磁盘无法打开,如下图所示: 并在桌面等目录存在如下勒索信息txt文件:   排查过程 通过对系统近期创建文件进行排查,发现C盘根目录近期被放入了一个可疑程序“best.exe”,如下: 经验证,“best.exe”是一个合法的商用加密软件BestCr
发布时间:2020-06-12 13:35 | 阅读:7466 | 评论:0 | 标签:系统安全 best.exe BestCrypt Volume Encryption RDP暴破 勒索工具 远程桌面 防御

GlobeImposter勒索病毒新变种C4H东山再起

0x0 背景介绍 随着疫情的缓解,各地企业纷纷复工,而勒索病毒家族也并没有停下他们的脚步。近期深信服安全团队就收到多个地区关于用户主机遭受大面积.**H勒索病毒入侵的求助,经过安全团队分析,确认为GlobeImposter勒索病毒家族的最新变种。 GlobeImposter家族首次出现的时间为2017年5月,随后在2018与2019年出现不同系列的变种,如:以特征字符“.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444”等的“十二生肖”系列,与以“希腊十二主神 + 666”为特征的“十二主神”系列等。 攻击者常常通过暴力破解服务器密码,对内网服务器发起扫描并人工投放GlobeImposter勒索病毒进行勒索。 0x1 变种概述 病毒变种版本:
发布时间:2020-05-18 15:00 | 阅读:15089 | 评论:0 | 标签:系统安全 AES bat脚本 C3H C4H encrypt函数 GlobeImposter勒索病毒 RSA RSA+A

汉化远控木马下发挖矿程序,利用肉鸡资源捞金

0x0 背景介绍  近日,深信服安全团队排查定位到一款伪装为Windows系统帮助文件的远控木马,攻击者通过远控木马下发挖矿程序到被害主机,占用主机资源进行挖矿。 0x1 威胁关联分析 通过威胁分析发现,该木马连接的域名 fuck88.f3322.net和r.nxxxn.ga是已经被开源威胁情报收录的两个恶意域名,同时用于Kryptik木马的控制端:   查询域名fuck88.f3322.net的whois信息,可以看到注册者使用名为“peng yong”,并且该注册者同时注册了多个具有欺骗性的动态域名:     通过深信服云脑查询恶意域名相关信息,在最近一个月内攻击次数均较为平稳:   服务DLL文件Remote.hlp是一个伪装成W
发布时间:2020-05-14 19:36 | 阅读:14572 | 评论:0 | 标签:系统安全 dll文件 Kryptik木马 windows系统 XXNBbin1 挖矿程序 服务DLL 汉化远控木马 肉鸡

在线检测你的密码是否被泄露

在互联网上,每天都有网站遭受黑客攻击,用户数据被窃取,这些数据通常包含用户名、密码(加密字段,甚至可能是明文)、电子邮件地址、IP地址等,用户的隐私安全将受到极大的威胁。 今天给大家推荐几个工具网站,检测一下你的用户名、密码、电子邮箱地址是否已被泄漏? 1、Google密码管理器 登录Google账号,访问如下链接进行密码安全检查,即可知道你保存在 Google 帐号中的密码是否安全,了解这些密码是否已外泄、安全系数如何以及您是否重复使用了某些密码。 在线检测地址:passwords.google.com 2、Firefox Monitor 输入电子邮件地址,搜索自2007年起的公开数据外泄事件当中,是否包含您的电子邮件地址。 在线检测地址:http://monitor.firefox.com/ 3、ha
发布时间:2020-05-09 20:48 | 阅读:17109 | 评论:0 | 标签:系统安全 Aleph checkusernames dehashed Firefox Monitor Google密码管

MySQL注入点写入WebShell的几种方式

在工具化日益成熟的今天,手工注入的能力越来越被忽视了。当你掌握了一款工具的使用时,应更深入的去了解工具帮你做了什么,把工具所产生的影响控制在自己可控的范围内。 比如:当面对一个MySQL注入点,通过使用SQLmap的--os-shell命令选项,便可轻松一键获取Webshell,但是非正常退出时,便会在网站目录中存留SQLmap临时上传的Webshell文件。 一个MySQL注入点写入Webshell,需要满足哪些条件呢?简单来说,需要了解secure_file_priv是否支持数据导出、还有当前数据库用户权限,当然,root用户数据库的全部权限,但写入Webshell 并不需要一定是root用户。 接下来,本文将通过构造一个注入点,分享几种Webshell写入的技巧。 0x01 构造一个注入点 1、在默认数
发布时间:2020-04-30 17:27 | 阅读:24025 | 评论:0 | 标签:系统安全 FILE权限 log mysql注入 Union select webshell 分隔符 注入

Linux流行病毒家族&清除方法集锦

自2020年开始,深信服安全团队监测到Linux恶意软件挖矿事件大量增多,且有持续上升的趋势。 与Windows下五花八门的勒索病毒家族不同,Linux下感染量较大的恶意软件就几个家族。但这几个家族占据了全球大部分的感染主机,几乎呈现出垄断的趋势。 本文将介绍Linux环境下7个较常见的流行恶意软件家族,以及其对应的清除步骤。   常见的流行病毒家族 BillGates BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装。 主机中毒现象: [1] 在/tmp/目录下存在gates.lod、moni.lod文件。 [2] 出现病毒文
发布时间:2020-04-27 11:59 | 阅读:17462 | 评论:0 | 标签:系统安全 BillGates DDG ddos Gates Linux流行病毒 P2P协议 RainbowMiner S

DLink RCE漏洞CVE-2019-17621分析

上一篇文章分了一下ARM系统的路由器漏洞,本次打算尝试一下MIPS系统,于是选了最近DLink路由器的漏洞CVE-2019-17621作为目标。同样一路走来各种踩坑不断,“纸上得来终觉浅,绝知此事要躬行”,对整个过程做一下梳理。 1、环境搭建 运行环境安装配置之前须了解你所使用的Linux系统的版本以及Qemu的版本,因为这直接影响着你后续选择安装各种依赖包、mips qemu镜像等的版本,各种版本都对应上,最终系统才能正确运行。本次漏洞分析的基础环境为前期的Ubuntu18.04虚拟机和基于qemu-4.0.0源码编译安装的Qemu运行环境: 从站点https://people.debian.org/~aurel32/qemu/mips/下载debianmips qemu镜像,由于虚拟机是Ubuntu li
发布时间:2020-03-21 11:27 | 阅读:38837 | 评论:0 | 标签:漏洞 系统安全 CVE-2019-17621 DLink RCE 漏洞分析 CVE

权限维持及后门持久化技巧总结

一、前言 在攻击者利用漏洞获取到某台机器的控制权限之后,会考虑将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。本文从Windows持久化,Linux持久化和Web持久化对现有技术进行了总结,对于持久化的攻击形式,主要是靠edr、av等终端产品进行检测。 二、Windows后门 2.1辅助功能镜像劫持 为了使电脑更易于使用和访问,Windows 添加了一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征,一些恶意软件无需登录到系统,通过远程桌面协议就可以执行恶意代码。 一些常见的辅助功能如: C:WindowsSystem32sethc.exe    粘滞键   
发布时间:2020-03-19 10:50 | 阅读:26177 | 评论:0 | 标签:系统安全 linux windows 后门

境外黑产团伙也复工,针对国内相关单位发起钓鱼攻击

概述 近日,奇安信病毒响应中心在日常样本监控过程中发现境外黑客团伙以国内某银行的名义向相关单位发送钓鱼邮件诱导收件人打开附件,从而运行恶意程序,导致单位信息、机密文件被窃取。 样本使用目前流行的混淆器,在执行过程中多次内存加载,最终运行NanoCore远控,连接远程服务器上传敏感数据。 通过奇安信大数据平台监测,已有国内相关单位中招,为防止威胁进一步扩散,病毒响应中心负责任地对相关样本进行披露和分析。  邮件分析 其发件人高仿中航船舶的邮件系统(@avicships.com),而中航船舶真实的邮箱地址为@avicship.com,差一个”s”,非常具有迷惑性。 附件内容如下: 从附件名称可以判断该黑客团伙似乎
发布时间:2020-03-17 10:13 | 阅读:24277 | 评论:0 | 标签:系统安全 邮件 钓鱼 黑产 攻击

RobbinHood勒索软件另辟渠道,通过驱动漏洞干翻杀毒软件

概述 2月初,奇安信病毒响应中心在日常样本监控过程中发现了一款名为“RobbinHood”的勒索软件通过使用“另类”的方式关闭并删除杀软,经分析,在执行过程中会释放并加载带有漏洞的技嘉驱动程序,之后会对该驱动程序进行漏洞利用,关闭Windows DSE机制,一旦利用成功便会迅速加载没有签名的Rootkit,Rootkit主要功能为结束并删除指定的进程和杀软,上述操作完成后开始加密。 威胁细节 在以往的勒索软件中,Nemty勒索使用Taskkill来结束指定的进程和服务,Snatch勒索会进入安全模式来加密文件,Sodinokibi勒索会使用CVE-2018-8453内核提权漏洞来提升自己的权限结束相关进程和服务。而本文的主角“RobbinHood”结束进程和服务的方式要比上述“残暴”不少。 RobbinHood
发布时间:2020-03-14 11:31 | 阅读:30855 | 评论:0 | 标签:系统安全 RobbinHood 勒索软件 驱动漏洞 漏洞

更新:补丁发布 | Microsoft Windows SMBv3.0服务远程代码执行漏洞(CVE-2020-0796)通告

文档信息 编号 QiAnXinTI-SV-2020-0008 关键字 SMB CVE-2020-0796 发布日期 2020年03月11日 更新日期 2020年03月12日 TLP WHITE 分析团队 奇安信威胁情报中心 通告背景 2020年3月11日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为Critical的SMB服务远程代码执行漏洞(CVE-2020-0796),攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。此漏洞主要影响支持SMBv3.0的设备,理论上存在蠕虫化的可
发布时间:2020-03-13 17:50 | 阅读:26149 | 评论:0 | 标签:系统安全 Microsoft SMBv3.0 windows 漏洞 CVE

技术分析:针对gMSA密码的NTLM中继攻击

概述 gMSA,英文全称为“Group Managed Service Accounts”,即活动目录AD中的组托管服务账户。gMSA账户会将它们的密码存储在一个名叫“msDS-ManagedPassword”的LDAP属性中,DC每隔三十天就会自动对这个值进行重置,授权管理员以及安装它们的服务器都可以检索到这些密码。msDS-ManagedPassword是一个加密的数据块,名为“MSDS-MANAGEDPASSWORD_BLOB”,并且只有当连接是安全的时候(LDAPS或认证类型为‘Sealing&Secure’)才可以被检索到。 其实在此之前,我个人对gMSA了解的并不多,但是在观看了由Wald0和CptJesus主办的《Bloodhound 3.0》网络研讨会之
发布时间:2020-03-13 13:25 | 阅读:25230 | 评论:0 | 标签:漏洞 系统安全 gMSA NTLM 中继攻击 攻击

看我如何绕过Windows 10的用户组策略

在这篇文章中,我们将教大家如何利用Windows系统中的一个功能来绕过Windows 10的用户组策略。虽然绕过用户组策略并不意味着就是“世界末日”了,但是这毕竟是一种违规的危险操作,而且根据不同的用户组策略配置,这种绕过行为也会产生不同的安全后果。目前,我们已在Windows 7和Windows 10 64位企业版(10.18363 1909)中进行了测试,而且利用过程不需要管理员权限。这种技术跟系统在用户登录时对用户账号注册表的加载过程有关,因此我们首先需要了解Windows账号的登录过程。 用户登录 当用户登录一个Windows账号时会发生很多事情,其中一个就是为该账号加载用户定义的设置。这些设置是从用户的注册表配置单元中加载的,也就是HKEY_CURRENT_USER下的子项。这个注册表项中包含的都是
发布时间:2020-03-12 15:19 | 阅读:24968 | 评论:0 | 标签:系统安全 Windows 10 用户组策略

网空威胁情报(CTI)日益成熟: 2020年SANS CTI调查结果解读

一、报告核心观点 2020年2月份,SANS如期公布了《2020 SANS Cyber Threat Intelligence(CTI) Survey》,报告中首先强调了一下CTI的定义:网空威胁情报(CTI)是分析关于满足利益相关方特定需求的对手的能力、机会和意图的信息。组织利用网空威胁情报项目来聚焦于他们所面临的威胁,并提供具体的信息来帮助组织抵御这些威胁。 2020年的这篇报告受访组织数高达1006,几乎是2019年受访者的2倍。相比2019年,在2020年的调查报告中SANS听到了受访者们更多成熟的回答。SANS研究所在本次调研报告中,探讨了网空威胁情报在过去一年中的发展,下面摘录了《2020 SANS Cyber Threat Intelligence (CTI) Survey
发布时间:2020-03-11 13:01 | 阅读:21614 | 评论:0 | 标签:系统安全 2020 CTI SANS

如何使用Frida绕过Android网络安全配置

写在前面的话 在这篇文章中,我们将演示如何利用Frida脚本来绕过Android的网络安全配置,这是一种绕过网络安全配置的新技术。除此之外,我们还将演示如何在其他场景来测试该脚本,并分析脚本的运行机制。 在之前的一次Android应用程序安全审计过程中,首先我们要做的就是准备渗透测试的环境,并配置应用程序来绕过网络安全配置。由于我个人比较喜欢Frida,因此它也就成为了我的首选工具。 当时我下载了两到三个脚本,但是当我在Android 7.1.0中运行脚本时,没有一个可以成功的。这也就是为什么我想研究网络安全配置的运行机制,并且如何用Frida绕过它们。 我所做的第一件事就是生成不同的测试用例,我尝试选择了几款比较常见的: 1、OKHttp 2、HttpsURLConnection 3、WebView 接下
发布时间:2020-03-09 16:49 | 阅读:30550 | 评论:0 | 标签:漏洞 系统安全 Android Frida

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云