记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

内核模式的威胁与防御,Part 1

微软近年来在操作系统的安全性上取得了许多进展,比如PatchGuard,Driver Signature Enforcement和SecureBoot,这些保障机制极大缩减了像TDL4和ZeroAccess等曾广泛存在的内核恶意软件的数量。但现如今,高超的攻击者们又找到了避规这些保护措施的手段,并持续使用着那些领先于当前防御机制的内核恶意软件。内核模式威胁通常意味着可以完全控制受影响的计算机,重写操作系统的规则,并且轻松篡改安全软件。APT组织自然能嗅到这当中所存在的巨大利益,所以才会费尽心机的想要破解层出不穷的防御机制。这篇文章出自我们(ENDGAME)最近关于内核模式威胁的Black Hat演讲的总结,分为两个部分
发布时间:2018-11-21 12:21 | 阅读:4717 | 评论:0 | 标签:系统安全 内核威胁 内核安全

15分钟攻破ATM案例集锦

近日Positive Technologies发布了《ATM逻辑攻击:场景2018》的报告,其中介绍了ATM工作原理,攻击场景等。报告显示大多数攻击可以在15分钟完成,有些漏洞和攻击覆盖的范围为100%。ATM工作原理ATM包含两个主要的部分:cabinet和safe。Cabinet也就是ATM的主体部分包括ATM计算机,这是与网络设备、读卡器、键盘、现金出口等设备相连的。Safe部分是由钢筋做成的,含有吐钞口和钞票入口等模块。计算机一般运行的都是Windows系统,不过是一种专门为ATM所设计的嵌入式版本。只有管理员可能访问Windows系统,其他用户是不能访问的。所以用户看到的应用是运行在kiosk模式下的。这些应
发布时间:2018-11-21 12:21 | 阅读:4604 | 评论:0 | 标签:系统安全 攻破ATM

攻击者如何借助授权插件,实现macOS持久化凭据窃取

概述攻击者在目标主机上成功实现权限提升后,要做的第一件事往往就是窃取凭据。随着系统完整性保护(SIP)机制的引入,macOS上的凭证窃取似乎变得更加困难。攻击者无法再使用例如从安全进程中提取主密钥、解密目标用户登录密钥链这样的方法。在这里,展示了一个例子。SIP机制可以防止任何用户(甚至包括root用户)修改系统文件、目录和进程。这样一来,攻击者就开始尝试使用其他方法进行凭证窃取,这些方法包括:记录键盘键入、提示用户输入凭据、获取本地文件系统中以纯文本形式保存的凭据。此外,还有一种被称为“授权插件”(Authorization Plugins)的替代方案。授权插件用于扩展授权服务API,从而实现操作系统本身不支持的机制
发布时间:2018-11-20 17:20 | 阅读:5529 | 评论:0 | 标签:系统安全 凭据窃取

揭秘7大最易忽略的攻击面

背景介绍从纸笔办公到物联网时代,你知道哪些攻击面是攻击者最常利用,而我们又最常忽略的吗?现在,在你的办公室中可能还有一些老旧的传真机或是布满灰尘的打印机,在你的眼中,它们或许只是已经无法用来发送邮件或复印文档的过时技术。你可能也会将收发室/信房视为收集未经请求的垃圾信件的地方,而这些垃圾信件很快就会被你丢进垃圾箱。是的,如此寻常的物件,如此寻常的操作,可能每天都在我们的生活和工作中上演。但是,攻击者却能够从中发现一些不同的东西:漏洞,一些通常会被安全部门忽略的漏洞。要记住,非计算机向量上的网络攻击要比你想象的更常见。例如,今年8月,Check Point公司的研究人员就披露了全球数以亿计传真机所使用的通信协议中存在的两
发布时间:2018-11-19 12:20 | 阅读:12461 | 评论:0 | 标签:Web安全 系统安全

Triton恶意软件率先对工业系统开展新一代的攻击

攻击工业控制系统(ICS)的恶意软件,例如2010年的Stuxnet campaign,是非常严重的威胁。此类网络行为可以监视、扰乱或破坏大规模工业流程的管理系统。该威胁的一个重要危险是它将单纯的数字伤害转变为人身安全伤害。在本文中,我们将回顾ICS恶意软件的历史,简要分析一个ICS框架的运作方式,并就如何应对这些威胁提供建议。ICS恶意软件通常很复杂,需要足够的资源和时间来研究。正如在Stuxnet中看到的那样,攻击者可能受到经济利益、黑客主义或间谍活动以及政治目的的驱使。自Stuxnet以来,研究人员发现了多种工业攻击;每年我们都会遇到比之前更糟糕的威胁。2017年8月发现的一个复杂的恶意软件,专门针对中东的石化设
发布时间:2018-11-13 12:20 | 阅读:11503 | 评论:0 | 标签:系统安全 TRITON

利用metasploit绕过UAC的5种方式

大家好,今天,我们将浅析用户帐户控制(简称UAC)。我们还将了解它如何保护你免受恶意软件的入侵,如若忽略UAC提示,可能会对你的系统造成不良影响。目录· UAC简介· UAC是什么· UAC工作原理5种绕过UAC的方法1.Windows升级UAC保护绕过2.Windows升级UAC保护绕过(内存注入绕过)3.Windows UAC保护绕过(FodHelper注册表键值绕过)4.Windows升级UAC保护绕过(Eventvwr注册表键值绕过)5.Windows升级UAC保护绕过(COM Handler劫持绕过)用户账户控制(UAC)介绍什么是用户账户控制?在Microsoft Windows Vis
发布时间:2018-11-09 12:20 | 阅读:22076 | 评论:0 | 标签:系统安全 bypass UAC

USB驱动器是工业设施破坏性威胁的主要载体

根据霍尼韦尔发布的一份报告显示,针对工业设施的恶意软件攻击,大多都是利用USB移动存储设备。霍尼韦尔的专家分析了使用Secure Media Exchange (SMX)收集的数据,该产品于2017年推出,旨在保护工业设施免受USB传播的威胁。 专家分析了针对能源、石油和天然气、化学制造、纸浆和纸张以及其他行业的攻击,他们从四大洲的50个地点收集数据。在44%的分析位置中,SMX产品至少阻止了一个可疑文件,专家指出,在阻止的威胁中,26%可能导致ICS系统出现重大中断。报告指出,虽然在这项研究中发现的恶意软件数量相对于总样本量来说很小,但恶意软件的威力却很大。在SMX阻止的威胁中,四分之一(26%)有可能对工
发布时间:2018-11-07 12:20 | 阅读:18541 | 评论:0 | 标签:系统安全 USB驱动器

CTF靶机——bounty通关攻略

今天,我们的CTF靶机是bounty。这个靶机来自hack the box漏洞实验室。他们有很多的ctf靶机,渗透测试人员可以进行在线测试,从初级水平到专业级别的靶机都有。我们这个靶机的等级属于中级。靶机的任务是找到user.txt和root.txt文件。注意:因为这些实验都可以进行在线测试,所以他们都有一个静态IP,Bounty靶机的IP是10.10.10.93。通关攻略首先,肯定是扫描神器Nmap开路,用基本的nmap命令来探测开放的端口和服务:nmap -A 10.10.10.93从扫描结果可以看到开启了80端口,运行的服务是IIS7.5.我们来访问一下80端口,在浏览器地址栏中输入IP地址后
发布时间:2018-11-05 12:20 | 阅读:21487 | 评论:0 | 标签:系统安全 CTF靶机 提权

深入解析JIT编译

你知道JIT这个技术术语吗?JIT的全称是Just-In-Time,即时的意思。JIT编译器是执行JIT编译的工具,它是.NET应用程序的一个重要特性,今天我们来深入分析一下。如何让托管应用程序可移植?我们知道.NET Framework和CLR(通用语言运行库)为针对该平台的应用程序提供了很多有用的功能,比如自动内存管理。不过,提出托管运行时的一个主要目的就是实现应用的可移植。那么应用程序是可移植的意味着什么呢?这意味着,首先,它可以在任何类型的硬件上运行。理想情况下,它也应该与软件无关(特别是与操作系统无关),例如微软创建的ans正在积极开发一个多平台的  .NET Core。这种可移植性不仅使应用程序可
发布时间:2018-11-01 12:20 | 阅读:17733 | 评论:0 | 标签:系统安全 jit编译

从Safari恶意扩展,深度剖析macOS新架构Mojave安全性

一、概述本文主要介绍了macOS浏览器扩展所采用的技术,以及恶意插件如何窃取密码、银行信息和其他敏感用户数据。安装浏览器扩展,实际上是用户能对安全系统做出的最为简单的第三方修改之一,但也可能是最为危险的修改之一。许多用户认为扩展就是各种各样的“小型应用程序”,能在浏览网页时提供一些简单有用的附加功能,例如阻止广告内容、允许标记、自动填写表单字段等。但是,有相当一部分用户并没有意识到这些扩展所潜藏的巨大力量。在本文中,我们首先将了解Safari浏览器扩展的安全定义,并对恶意广告软件活动中使用的浏览器扩展进行分析。此后,我们将介绍macOS 10.14 Mojave中针对Safari扩展安全性所做出的改变,以及如何解决其仍
发布时间:2018-10-31 12:20 | 阅读:23298 | 评论:0 | 标签:系统安全 macOS

加密货币价格追踪器在macOS中安装后门

研究人员发现macOS系统中一个伪装为加密货币ticker(股票价格收报机)的木马CoinTicker正在用户设备上安装后门。成功安装后,CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏,以实时更新当前价格,如下图所示。CoinTicker木马应用CoinTicker应用在后台会秘密下载两个后门,这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir,在木马执行时会连接到远程主机,并下载大量的shell和python脚本,python和shell脚本的执行会下载和安装这两个后门。Malwarebyte分析师称:恶意
发布时间:2018-10-31 12:20 | 阅读:23911 | 评论:0 | 标签:系统安全 macOS 后门 加密

USB威胁:从恶意软件到挖矿程序

一、介绍2016年,伊利诺伊大学的研究人员在大学校园内留下了297个未标记的USB闪存,看看会发生什么。98%的驱动器由工作人员和学生捡起,并且至少有一半被插入计算机以查看内容。对于试图感染计算机网络的黑客来说,这是不可抗拒的。USB设备已经存在了将近20年,它提供了一种简单方便的方式,可以在不直接连接到互联网的计算机之间存储和传输数字文件。这种功能已被网络威胁行为者利用,最著名的是2010年的Stuxnet蠕虫,它使用USB设备将恶意软件注入伊朗核设施的网络。如今,像Dropbox这样的云服务在文件存储和传输方面已经承担了很多繁重的工作,并且人们对USB设备相关的安全风险有了更多的认识。它们作为必不可少的商业工具的使
发布时间:2018-10-30 12:20 | 阅读:23227 | 评论:0 | 标签:系统安全

红队渗透测试实验室架构设计(一)

我对我的笔记本电脑配置有很多疑问, 比如“是选择Windows还是Mac?”,以及是否“得有一个首选的以太网网卡芯片组”。实际上,除了第一个问题是“非必须”考虑的之外,大多数情况下电脑配置都会有所不同。本文不是谈论具体的硬件或版本选择,我要谈论的是环境搭建的架构; 在后续的文章中,我将讨论如何实现我设计的基础架构来支持渗透测试的具体方法,但是本文我们将专注于高级别的环境搭建。这种设计对于某些攻击者来说是合理安全,快速且极其灵活的。配置要求让我们从评估笔记本电脑的一些基本要求开始。· 合理且安全· 细粒度的网络控制· 可以访问评估目标公司的域或内部资源,同时可以访问客户端系统· 可
发布时间:2018-10-30 12:20 | 阅读:24817 | 评论:0 | 标签:内网渗透 系统安全 渗透测试

以Predator为例,全面揭秘信息窃取软件的技术细节

一、概述我们主要针对一个窃取用户信息的恶意软件Predator the thief进行深入分析,该软件使用C/C++语言编写。与当今主流的恶意软件一样,该恶意软件可以作为构建器(Builder),也可以通过C&C渠道下载额外的恶意软件。我们对这一恶意软件进行了详细分析,并对其中的一些重点功能模块进行了详细拆解和分析。本文适合初级逆向工程师或恶意软件分析人员阅读,希望通过我们的分析,能让大家轻松了解恶意软件所使用的某些技术或技巧,并掌握应对方法。二、信息窃取软件的典型生命周期对于如今的大多数信息窃取软件来说,其执行顺序几乎相同,但逃避检测技术则根据所使用的C&C通信方式而有所不同。举例来说,在Predat
发布时间:2018-10-26 12:20 | 阅读:32135 | 评论:0 | 标签:系统安全 信息窃取

当前Windows Server 2019和Windows 10 RS5安全基线存在的问题与解决方案

在撰写本文时,这些基线仍然处于“草案”状态。草案版本的基线可以在这里找到。在Microsoft的建议中,仍然存在一些问题,并且可能需要继续进行修订。在本文中,我们按照现有版本进行分析,但对于凭据保护方面我做出了必要的修改。我将在后文中解释为什么必须对其进行修改。问题1当有用户进行错误类型的SMB共享时,我能够捕获多播的哈希值。修复方案:禁用组策略中的“多播名称解析”(Multicast Name Resolution),如下图所示。问题2仍然存在NBT-NS(Netbios)投毒(Poisioning)的问题。我无法使用与问题1中相同的方法捕获到任何哈希值。如果不在网络上使用,则应该将Netbios关闭。修复方案:通过
发布时间:2018-10-24 12:20 | 阅读:28220 | 评论:0 | 标签:系统安全

开小灶:隐藏bash历史命令的小技巧

如果你登录过Linux系统,并敲过一些命令,那你应该知道,bash history会记录你输入的所有命令。这个操作其实是有一定风险的。我个人经常使用Linux,所以我想着研究一番,看看如何隐藏bash history。下面就是我整理的一些方法,仅供大家参考:· exit normally – history记录正常写入· kill<bash process ID> – 服务器端运行-kill bash进程ID后就不会再记录history了。我检查过是否需要加-9参数,不过不用,只需要一个基本的kill命令,就可以杀掉进程并阻止它写入文件。· kill&l
发布时间:2018-10-16 12:20 | 阅读:26298 | 评论:0 | 标签:系统安全 bash history

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云