记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华使用MS Word文档传播.Net RAT恶意软件
就在几天前,FortiGuard实验室从野外捕获了一个恶意的MS Word文档,其中包含可自动执行的恶意VBA代码,可以在受害者的Windows系统上传播和安装NanoCore RAT软件。NanoCore RAT是在.Net框架中开发的,其最新版本为“1.2.2.0”。它的作者“泰勒·哈德尔斯顿”被联邦调查局抓获并于去年初被送进监狱。我们捕获的样本使用NanoCore在受害者的系统上执行恶意行为。在本博文中,我将展示它如何传播并安装到受害者的系统上。一、恶意Word文档图1.打开的恶意Word文档捕获的Word文档的名为“eml _-_ PO20180921.doc”。当它在MS Word中打开时,我们会看到如图1所
病毒利用安全产品模块 劫持流量、攻击其他安全软件
一、概述火绒安全团队发现,病毒团伙正利用"远景"论坛的系统镜像文件传播后门病毒"WenkPico"。该病毒入侵用户电脑后,会劫持导航站、购物网站以及软件安装包流量,牟取暴利。同时该病毒还利用国内某安全厂商的产品功能模块,攻击其它安全软件,让部分安全软件的"云查杀"功能失效,使用户电脑失去安全防护。火绒工程师分析发现,病毒团伙将病毒嵌入在系统镜像文件中,当用户从"远景"论坛中下载安装这些系统镜像文件后,就会运行病毒。建议近期下载该系统镜像文件的用户,尽快查看电脑C:windowssystem32drivers目录,如果出现名为EaseFlt.
新型读取加密数据的侧信道攻击背后透露的安全隐患
近日,一组研究人员发表了一种新型侧信道攻击的研究,该类攻击针对的是操作系统而非芯片,它采用了一种与硬件无关的、基于操作系统的方法,能绕过特定的芯片,让犯罪分子有机会获取企业系统的密钥。此类攻击具有严重的威胁性,它利用了现代操作系统的一个基本特性来访问私密数据。对该类攻击的研究发表在一篇名为“页面缓存攻击”的论文中。文献指出,该类攻击对Windows和Linux(可能还有其他操作系统)是有效的。此外,它不依赖于对硬件的模糊或格式错误的指令,而是通过操作系统中相对低权限的用户帐户的简单系统调用。这个新漏洞的强大之处在于,它可以检查整个缓存页面上的数据,然后从中提取数据。这些数据存在的时间长达数毫秒,而由于攻击数据检查本身只
Subgraph操作系统绝非你想象的那么安全
Subgraph操作系统是目前第一款为GNU/Linux桌面安全而打造的操作系统,Subgraph OS可以帮助用户应对网络风险异常行为,并满足用户的安全需求,其防御措施主要是深度防御策略,来帮助用户抵御网络攻击。同时Subgraph操作系统集成了很多安全特性,包括:1.使用OZ沙盒技术做了沙盒隔离;2.集成了Tor浏览器以及OpenPGP邮件加密;3.使用PaX/Grsecurity进行了内核加固;4.使用GNOME3桌面环境等;Subgraph OS运行的硬件需求:1.64位机(酷睿2或以上);2.2GB的内存(4GB推荐);3.至少20G的硬盘空间;下载时需要下载三个文件:镜像文件、shasum、GPG操作-签名
ICS/SCADA系统的对比
工业控制系统(ICS)自二十世纪六十年代后期投入使用后,在工业和现代生活的各个领域都普遍存在。无论在公用事业,能源,制造业还是其他各种应用领域,工业控制系统管理着我们大部分的生活。由于模块化数字控制器(MODICON,Modular Digital Controller)的发明,从1968年至90年代中期的这段时间,ICS网络几乎是与外部网络分开运行的,可以说就是在被隔离的状态下运行的。不过随着技术的升级,电脑软硬件的普及化,Microsoft Windows,Active Directory和标准化的兴起,企业内部的网络现在也可以从传统ICS网络以外的网络接收和处理数据以及微调操作。尽管在现代的网络环境中企业仍在努力
手机预装恶意软件威胁分析
研究人员有一个大胆的想法,在你新买手机设备时的必须安装系统应用APP中,可能预装了恶意软件。然而事实证明,这并不只是一个大胆的想法,预装的手机恶意软件已经成为了未来主要威胁之一。过去我们在Adups威胁中就遇到过预装的恶意软件(2016年11月,Adups被指向Android设备预装后门,私自收集短信和联系人等;但是删除这些预装软件可能需要ROOT权限)。预装(Pre-installed)意味着恶意软件是以SYSTEM级权限安装在设备上的,因此无法移除,只能禁用。但完全解决预装恶意软件只能通过work-around为当前用户卸载应用程序来实现。该方法包含使用ADB命令行工具将手机设备连接到PC,具体过程参见https:
自动化系统再次绕过Google reCAPTCHA
unCaptcha系统于2017年4月创建,目标是谷歌的reCAPTCHA和类似的安全系统。这些系统旨在保护网站免受垃圾邮件和滥用,并能够以高精度击败这些攻击。在马里兰大学(UM)的计算机科学专家发布该系统后不久,谷歌更新了其安全服务以减轻攻击,但unCaptcha已更新从而绕过缓解措施。unCaptcha系统旨在针对reCAPTCHA提出的音频挑战,但设计它的安全专家表明它也可以击败其他系统,包括BotDetect,Yahoo和PayPal图像挑战,所有这些都具备高精度。为了缓解攻击,谷歌改进了reCAPTCHA的浏览器自动化检测,并从口头数字切换到口头短语,这两项重大变化成功的防止了原来的unCaptcha攻击。然
通过web应用中的文件下载漏洞窃取NTLMv2哈希
大家好,本篇文章我们将会演示利用文件下载漏洞来窃取NTLMv2哈希值。在这个演示的场景中,web应用部署在Windows AD域的其中一台主机上,并允许用户在不检查其路径的情况下下载文件。攻击者可以利用这个文件下载漏洞来触发对攻击者控制的服务器发出请求,而攻击者控制的服务器中安装并运行着“Responder”工具,可以从服务器中窃取NTLMv2哈希值。“Responser”工具的“SMB认证服务器”功能会强制获取目标服务器的NTLMv2的哈希值,有了这个哈希值之后,可以用来做如下事情:1.对任何“SMB签名已禁用”的Windows主机执行中继攻击。2.攻击者可以利用哈希破解工具如hashcat来破解这个值。我们先从存在
如何绕过卡巴斯基终端安全11
简介在最近,我获得了一台没有安装渗透测试工具的Windows平板电脑,并且要求我测试其安全性,以及尝试能够在多大程度上实现对该计算机的渗透。我有自己的笔记本电脑,但并不允许我直接连接到内部网络。但是,如果我成功攻陷平板电脑,那么就可以将其作为C&C服务器。长话短说,要获得原始Shell,比拥有网络更加困难,因为这一过程需要绕过反病毒软件。部署环境1、Windows 10操作系统,已安装全部安全补丁;2、最新版本的卡巴斯基终端安全11(Kaspersky Endpoint Security 11);3、以kiosk/PoS模式运行的Google Chrome;4、C&C上的PowerShell Empir
发布时间:2018-12-29 12:20 |
阅读:36203 | 评论:0 |
标签:系统安全
还在用工具激活系统?小心被当做矿机!
1、现象描述近日,深信服EDR安全团队捕获到一个伪装成激活软件Windows Loader的病毒样本。经分析,该样本并没有激活功能,其主要功能是安装广告软件以及挖矿程序。挖矿程序会拉起系统进程并在其中注入挖矿代码,并循环监控taskmgr.exe进程,如果检测到taskmgr.exe进程则终止挖矿,使得受害者比较难以察觉。2、行为分析2.1 病毒母体病毒母体图标伪装成Windows Loader:其实是用CreateInstall制作的安装包:安装界面:释放如下几个文件到C:Program Files (x86)KMSPico 10.2.1 Final目录并运行脚本WINLOADER_SETUP.BAT。WINLOAD
发布时间:2018-12-26 17:21 |
阅读:28840 | 评论:0 |
标签:系统安全
靶机渗透之Raven实战
大家好,今天的CTF挑战靶机是Raven,这是一个boot2root的靶机环境,有两种方法可以提权到root,本文我们将会对这两种方法进行演示。目录(方法一)· 端口扫描和IP发现· 访问80端口,发现cms是WordPress· 使用wpscan扫描网站发现两个用户· 暴力破解22端口· 使用LinEnum脚本枚举活动进程· 发现运行MySQL· 从wp-config.php文件获取数据库用户名和密码· 使用MySQL创建一个UDF(用户自定义函数)动态库· 将UDF exp编译成共享库程序· 在靶机中运行UDF共享库程序·&n
渗透测试靶机fowsniff通关攻略
介绍大家好,今天我们的靶机是fowsniff,这是一个boot2root的挑战,目的是获取root权限。靶机下载地址在这里。废话不多说,直接进入实际操作。目录· 端口扫描和IP发现· 测试80端口· 在pastebin上找到哈希值· 解码哈希· 暴力破解pop3登录· 连接到pop3· 找到ssh用户名和密码· 找到提权的方法· 利用系统配置不当· 获取root权限· 获取flag实战过程我们先开始进行端口扫描,使用netdiscover命令:netdiscover发现目标IP地址是192.168.1.29接下来用nma
渗透测试技巧:绕过SQL Server登录触发器限制
在渗透测试中,对直接连接到SQL Server数据库的双层桌面应用程序进行渗透测试是很常见的一种情况。偶尔我们会遇到一个SQL Server后端,但它只允许来自预先定义好的的主机名或应用程序列表的连接。一般来说,这些限制是通过登录触发器强制执行的。在这篇博文中,我将展示如何通过使用鲜为人知的连接字符串属性欺骗主机名和应用程序名称来绕过这些限制。本文有两个示例,分别是SSMS和PowerUpSQL。这可能对于使用传统桌面应用程序的渗透测试人员和开发人员非常有用。什么是登录触发器?登录触发器本质上是一个存储过程,在连接SQL Server成功验证后执行,但在登录会话创建之前,实际上已经完全建立了登录触发器。它们通常用于以编
浅析红蓝对抗中攻击方基础设施的日志聚合和监控
在红蓝对抗中,已经证明,监控我们用于攻击所使用的基础设施与我们所实施的攻击一样重要。在防御方开始调查时快速隐藏攻击方意味着可以保持我们的交互式命令和控制(C2)会话与销毁我们的基础设施之间的差异。如果你已经阅读过史蒂夫和我写的红队基础设施Wiki文档,那么你就知道我们是热衷于使用大量分布式基础架构的忠实粉丝,并且在任何方面我们都会使用到重定向器。当我们拥有包含基础设施的资产多于20个时,监控就变得越来越困难。幸运的是,这个问题在很久以前就可以用rsyslog解决了。在这篇文章中,我们将介绍如何使用rsyslog监视分布式的攻击基础架构,来帮助我们实现更快的反应动作。设计方案Rsyslog遵循服务器/客户端架构。我们将配
发布时间:2018-12-13 12:20 |
阅读:30291 | 评论:0 |
标签:系统安全
融合多种病毒家族功能特点的MiraiXMiner物联网僵尸网络
近日,深信服安全团队跟踪到一新型的物联网僵尸网络,其融合了多种已知病毒家族的特点,包括Mirai物联网僵尸网络病毒、MyKings僵尸网络病毒、远控木马、挖矿等,传播方式包括永恒之蓝漏洞、闭路电视物联网设备漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等。
0 day漏洞:多种方法绕过macOS Mojave Sandbox限制
概述在本文中,我们详细介绍一个看上去微不足道的隐私问题,尽管Apple试图阻止这一问题,但该漏洞还是允许沙箱应用程序暗中监视普通用户,即使是在最新版本的macOS上也同样存在这一漏洞。该漏洞在Objective-See的Mac安全大会“Objective by the Sea”上首次披露,本文将深入探讨该漏洞的技术细节。会议上演示的PPT:https://objectivebythesea.com/talks/OBTS_v1_Wardle.pdf背景从安全和隐私的角度考虑,沙箱是一个非常好的实现方案。如果一个沙箱被正确设计和实现,那么应用程序会在很大程度上受到各种限制。例如,不能任意访问用户文件,不能捕获击键记录,不能
公告
关注公众号hackdig,学习最新黑客技术