记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华“天堂”竟然伸出恶魔之手?Paradise勒索病毒再度席卷
警惕!Paradise(天堂)勒索病毒再度来袭。一、样本简介近日,深信服安全团队接到客户反馈,主机被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为Paradise勒索病毒的变种版本,并对此勒索病毒样本进行深入的分析。Paradise(天堂)勒索病毒最早出现在2018年七月份左右,感染多家企业。此次的变种借用了CrySiS家族的勒索信息,代码结构也跟早期版本有了很大的区别。勒索信息弹窗: 勒索信息文件:加密后的文件名:[原文件名]_[随机字符串]_{[email protected]}.p3rf0rm4二、详细分析1. 勒索病毒母体样本,使用UPX加壳,如下所示:2.获取函数Creat
逃避手段再开花——从一个能逃避AppLocker和AMSI检测的Office文档讲起
介绍几天前,Cybaze-Yoroi ZLAB团队遇到了一个十分“异类”的Office文档,它当中包含的一些特性引起了研究人员的兴趣。文档中携带的payload能绕过Microsoft现今一些高级别的安全机制,如AppLocker(应用程序控制策略),或是较新版本的防恶意软件扫描接口AMSI——这是一个与供应商无关的安全接口,可以对运行的脚本、宏代码甚至内存块进行反病毒控制,旨在解决混淆和无文件威胁。因此,Cybaze-Yoroi ZLAB决定对检测样本进行更进一步的分析。技术分析表1.样本信息初始文档界面如下图所示,表面上是提示用户启用宏以显示文档的实际内容,实际上感染链已在后台悄悄启动。图1.初始文档界面几秒钟后,
恶意软件如何绕过AMSI检测以逃避检测
前言在本文中,我将详细介绍一种禁用反恶意软件扫描接口(AMSI)的技术。这是在Microsoft Windows中的一个内部功能,用于使用系统上安装的反恶意软件对数据进行扫描。我们举例说明,该特性允许应用程序在将数据写入文件之前,请求扫描下载的数据。如果一个恶意软件可以禁用此接口,那么它就可以逃避反病毒检测。在本文中,我们将对从客户那里拿到的一个恶意样本进行详细分析,并看看样本是如何绕过AMSI的。恶意软件概述在RTF格式的Excel文档中,都包含经过模糊后的宏:通过阅读这个混淆后的代码,我们发现它以混淆后的形式,运行一个位于单元格G135内的命令:经过这些多层次的混淆后,Excel文档宏最终会启动PowerShell
Emotet新模块分析
研究人员通过持续监测Emotet C2服务器的连接后,从C2服务器上接收到3个新模块。本文就对这3个新模块在受害者系统上的运行情况进行分析。当受感染的系统发送受害者机器和运行的进程列表等相关信息时,C2服务器会响应一个响应包。响应数据是加密的,解密后研究人员发现3个模块,分别是模块1,模块2和模块3。图1是解密后3个模块的数据部分。图1. 三个模块的数据段红框中的数据是flag或sub-flag。蓝色划线的数据是utf8格式的模块数据,蓝色划线数据之后的数据是模块数据。研究人员分析发现模块1和模块2都是dll文件,会在新创建的进程中执行。模块3是一个exe文件,会在新进程中执行。Module 1该模块并不是一个全新的模
Windows NTFS文件系统目录大小写敏感导致的安全问题
概述早在2018年2月,微软就发表过一篇有趣的博客文章,该文章介绍了NTFS文件系统中每个目录的大小写敏感问题。微软一直致力于为WSL提供更加强大的支持,并且开始打通Linux与Windows之间的边界。特别值得注意的是,传统的类Unix文件系统和Windows NTFS之间具有不同的语义。我一直密切关注着新的Windows功能,并寻找是否可能存在安全风险。显然,目录大小写敏感的问题引起了我的注意。现在,我觉得是时机写一篇关于目录大小写敏感的简短文章,并列举一下其中的安全隐患。并且,既然我要分析这一方面,那么我觉得可以从Windows NT开始,分析一下多年以来的大小写敏感性问题。早期版本从Windows NT的第一个
VRVNAC软件携带恶意程序 公安等行业用户可能受影响
一、概述近期有公安、气象等行业若干单位反馈,他们使用“火绒安全软件”检测出VRVNAC“桌面监控”软件携带恶意程序,请火绒确认。经分析,该产品所使用的功能组件(AdvancedAll.dll)遭Ramnit病毒感染,恶意代码被包含在文件的资源数据中。火绒团队早在2015年就发现该产品组件携带恶意代码,并告知过该公司,但问题至今未被解决。火绒团队推测,这可能是供应链污染造成的,该组件的编写者开发环境被病毒感染,导致相关组件带毒。虽然这段恶意代码激活条件比较苛刻,也不会造成大面积扩散,但的确是潜在风险。 据了解,这款被病毒污染的VRVNAC 软件广泛应用于公安等行业单位,火绒强烈建议该产品供应商尽快排查开发供应链
BuleHero变种2019
背景腾讯安全御见威胁情报中心3月9日检测到BuleHero蠕虫病毒最新变种攻击,该变种延续了以往版本的多个漏洞利用攻击方式,包括永恒之蓝漏洞(MS-17-010)、Apache Struts2远程代码执行漏洞(CVE-2017-5638)、WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)、Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)利用攻击和ipc$爆破攻击,同时新增了thinkphp5漏洞(CNVD-2018-24942)利用攻击。木马在攻陷的电脑植入挖矿木马挖矿门罗币,同时下载扫描攻击模块对针对局域网以及外网IP进行扩散攻击。BuleHero变种攻击流程Dow
永恒之蓝下载器木马升级更新没完没了
腾讯安全御见威胁情报中心于2019年3月8日发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。此次更新仍然在于攻击模块,但是其特点在于,攻击模块不再由此前植入的母体PE文件进行释放,而是转为由感染后机器上安装的Powershell后门进行下载。通过分析发现,此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载,导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。通过对比分析还发现“永恒之蓝”木马下载器黑产团伙使用的Powershell攻击代码与腾讯安全御见威胁情报中心2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处,因此推测两者具有某种联系。“永恒之蓝”木马
态势感知产品进化论
0x00、前言RSA Conference 2019正在美国拉开帷幕,代表全球顶尖的安全盛宴,作为安全行业中人也小小的研究了一下。今年的主题是better,从0到1的安全产品目前没怎么看到,大部分的微创新创新都来自于已经固化的产品形态。态势感知做为这两年新出来的产品形态,我想也应该吸收一下大会的精髓。· 1、云原始安全产品将逐步扩大自己的安全产品线,以满足云上用户对安全的需求,做到传统安全无缝迁移到云安全。· 2、所有的产品都要支持多公有云、混合云、专有云环境。态势感知更加明显,例如:不能把鸡蛋放一个篮子里的多公有云数据融合,ToG专有政务云、电子政务外网和互联网区的安全数据融合、以及现在炒的很火的城市云大业
Linux容器安全探索
0x01、业务需求Linux容器技术通过共享主机操作系统内核,实现轻量的资源虚拟化和隔离,近年来在 DevOps、微服务、公有云服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了更真实的了解容器方面的安全场景以及应对手段,做了以下技术探讨。在日常的安全工作当中,在态势感知平台,全流量检测系统中,我们发现有外联DGA域名、C2地址、挖矿的情况的资产地址并非云主机本身,而是云主机上运行的docker镜像或者k8s环境上的docker镜像。根据以上发现,我们做了深入研究。入侵场景:我们发现越来越多的web中间件都部署到docker容器中,在容器中没有太多
利用ElasticSearch漏洞挖矿案例分析
0x00、前言在开两会的前期,保证国家各个方面的稳定的事都提到日程上来,政府部门对互联网公司的监控也进入了严打阶段。在这样的大背景下,公司内部也对包括公共安全信息泄露做了一次大的排查,在此过程中,发现了一些案例,分享给大家。0x01、入侵手段对于mongodb、redis等数据库的攻击已经讲的非常多了,今天给大家分享的是针对不安全的Elasticsearch集群的攻击。这些攻击利用CVE-2014-3120和CVE-2015-1427。这两种攻击仅存在于旧版本的Elasticsearch中,并利用将脚本传递给搜索查询的能力。把有效攻击载荷存储在里面并且执行。态势感知-网络入侵防护系统中,对相关的入侵有检测功能,策略如下
紧急预警!WatchDogsMiner挖矿蠕虫大量感染Linux服务器
近日,深信服安全团队追踪到公有云上及外部Linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务。多个用户邀请深信服安全专家远程排查,最终经过分析确认,用户Linux服务器被植入新型恶意挖矿蠕虫,且较难清理。深信服安全团队将其命名为WatchDogsMiner,并紧急发布预警,提醒企业用户及时开展自查修复,防范WatchDogsMiner挖矿蠕虫。· 病毒名称:WatchDogsMiner· 病毒性质:挖矿蠕虫· 影响范围:国内不少用户受感染,包括公有云用户· 危害等级:
态势感知——服务器安全策略探索
0x00、业务需求企业IT架构数字化转型的大潮中,往往会面临各种各样的安全威胁,包括:系统和应用软件漏洞利用攻击,APT攻击,数据泄露,云服务器滥用,DDoS攻击等。同时为了应对速度越来越快的网络犯罪攻击,以及针对性攻击的多态化。为我们安全人员提出了更高的要求。在做应急响应安全事件过程的过程中,确认攻击痕迹一般从以下几个方面:0x01、服务器安全告警在态势感知产品中,在服务器上部署EDR终端是一个很好的服务器安全量化的一个过程。因为我们在服务器上可以收集进程、端口、账号、软件以及文件目录基础的安全数据。通过这些基础数据通过后台大数据分析加工形成我们感知到威胁。上篇文章主要是从网络层阐述如何检测,本篇主要从服务器端做检测
如何在Windows AppCotainer中创建进程
概述AppContainer是通常用于UWP进程(也称为Metro、Store、Modern)的沙箱。AppContainer中的进程以低完整性级别(Intergrity Level)运行,这实际上意味着它几乎无法访问所有内容,因为对象(例如:文件)的默认完整性级别为中。这意味着,在AppContainer内运行的代码由于缺乏访问权限,而无法对系统产生任何重大的损害。此外,从对象管理器的角度来看,AppContainer创建的命名对象基于称为AppContainer SID的标识符,存储在其自身的对象管理器目录下。这意味着,一个AppContainer不能干扰另一个对象。例如,如果不在AppContainer中的进程,
通过RDP隧道绕过网络限制
远程桌面服务是Microsoft Windows的一个组件,各个公司都使用它来为系统管理员、工程师和远程员工提供便利。另一方面,远程桌面服务,特别是远程桌面协议(RDP),在目标系统感染期间为远程威胁行为者提供了同样的便利。 当先进的威胁行为者建立立足点并获得充足的登录凭据时,他们可能会从后门切换到使用直接RDP会话进行远程访问。 当恶意软件从目标机中移除时,入侵变得越来越难以检测。一、RDP可避开规则与非图形后门相比,威胁行为者更喜欢RDP的稳定性和功能性优势,但这可能会在系统上留下不必要的痕迹。由此,FireEye观察到使用本机Windows RDP程序的威胁行为者在受感染环境中跨系统进行横向连接。从历史上看,受防
攻击Tomcat的多种姿势
大家好,本文我想分享一下我的经验,如果你的Tomcat应用设置的是默认登陆凭证时(Tomcat:Tomcat)如何进行利用?当我在打CTF时,很多次我都发现目标主机上的Tomcat应用都是配置的默认登陆凭证,这有助于我们拿到主机的远程shell。因此,我感觉应该记录一下所有攻击Tomcat应用并获取远程主机webshell的方法。目录· Tomcat经过身份验证的上传代码执行· 生成.war格式的后门· Tomcat war部署脚本· 生成JSP webshell首先使用nmap进行扫描,看看8080端口是否运行着Tomcat服务nmap -sV -p8080 192.168.1.101从
公告
关注公众号hackdig,学习最新黑客技术