记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华macOS恶意软件排查实践指南
概述在我们最近的文章《恶意软件如何维持macOS持久性》中,我们讨论了威胁参与者可以确保持久性的方式,一旦威胁参与者攻破了macOS设备,其恶意代码理论上可以在设备注销或重启后仍然存在。但是,持久性仅仅是攻击链中的一个因素。众所周知,一些威胁行为者不仅仅满足于一次性感染或重复利用漏洞后保持隐蔽,他们可能会让恶意软件在实现其目标后进行自动清理,从而确保不留下任何痕迹。显然,仅仅寻找持久化的项目并不足以进行威胁排查。因此,在本文中我们将深入讨论如何在macOS设备上搜寻威胁。收集有关Mac的信息如何在macOS终端上搜索恶意软件,很大程度上取决于我们对设备的访问权限,以及当前在设备上运行的软件类型。我们将假设用户的设备此时
看我如何通过帮助服务台轻松黑掉数百家公司
更新: The Next Web 写了一篇我发现的这个漏洞的文章。引言几个月前,我发现一个黑客可以轻松访问目标公司的内部通信网络的漏洞。 这个漏洞只需要点击几下,就可以访问企业内部网络、 Twitter 等社交媒体账户,以及最常见的 Yammer 和 Slack 团队账户。这个漏洞到目前依然存在。这并不是一个可以马上可以修复的漏洞。在过去的几个月里,我主动联系了几十家公司,并把它们作为 bug 赏金计划的一部分,来修复它们因为错误配置所导致的这个漏洞。但由于受该漏洞影响的公司数量很大,我不可能联系到每一个公司。所以根据我的一些安全同行的建议,以及受影响的供应商的允许,我发布了这篇博文,这样每个受该漏洞影响的
感染数万设备!警惕ZombieBoy挖矿木马“丧尸式”传播
近日,深信服安全团队监测到一款名为ZombieBoy的木马悄然感染了国内外各个行业的用户主机。该木马包含了内网扫描、“永恒之蓝”漏洞利用、“双脉冲星”后门、挖矿工具等多个恶意模块,是一款集传播、远控、挖矿功能为一体的混合型木马。该木马的结构类似于“MassMine”,由于释放第一个恶意DLL文件时使用了一个名为ZombieBoy的工具,因此被命名为ZombieBoy挖矿木马。ZombieBoy木马最早出现于2017年底,国外安全网站于2018年跟踪报道了该木马的相关分析,2018年下旬,安全媒体报道被该木马控制的主机多达七万台。日前,经深信服安全云脑数据监测发现,该木马在各个行业中迅速扩散,其中,安全防护较为薄弱的企业
OEM软件使笔记本电脑处于危险中
本文介绍如何利用该漏洞来加载任意未签名的DLL到SYSTEM权限运行的服务中,来实现权限提升和驻留。PC-Doctor允许SupportAssist访问敏感低级硬件的组件是由PC-Doctor公司开发的。该公司主要开发硬件诊断软件。下面主要介绍PC-Doctor公司开发的组件来描述漏洞,然后说明如何利用该漏洞来访问物理内存这样的低级硬件。Dell SupportAssistDell SupportAssist是大多数Dell电脑预装的软件。该软件可以检查系统硬件和软件的健康。健康检查需要高权限级别的权限。为了以高级权限运行动作,签名的驱动会安装以及多个以SYSTEM运行的服务。漏洞分析研究人员首先关注的是Dell Ha
探索 Mimikatz 神器之 WDigest
自从 Mimikatz 出现以来,我们很多人已经对这个工具进行过封装,也尝试过注入,或者是使用 powershell 实现类似的功能。现在我们决定给这个工具添加一个内存 dump 的功能,无论我们如何封装使用 Mimikatz,它仍然是 Windows 系统中从 lsass 进程中提取凭证的首选工具。 当然,这是因为微软引入的每一个新的安全措施,GentilKiwi 总会有对应的“诡计”。 如果你曾经看过 Mimikatz 所付出的努力,你会觉得那绝非易事,因为它支持所有的 Windows x86和 x64版本(最近还增加了支持 ARM 上 Windows 的功能)。 当然,随着 Mimikatz 多年来的成功,Blu
WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密
近日,腾讯安全御见威胁情报中心发现假冒GlobeImposter勒索病毒正在传播,攻击者疑通过MS SQL爆破入侵服务器,通过网络下载恶意脚本代码,继而执行加密和勒索流程。令人惊叹的是,这个所谓的“勒索病毒”执行极为简单,只是利用WinRAR加密压缩用户文件,之后再将一封GlobeImposter的勒索消息邮件修改后恐吓用户,通过邮箱联系索取酬金。腾讯安全提醒大家,如遇到此病毒,不要着急着缴纳赎金。该病毒加密压缩的密码明文写在病毒配置信息中,使用这个密码解压缩,文件就能完全恢复。分析被勒索服务器疑似被通过MSSQL爆破入侵成功,之后执行以下相关命令行进一步下载执行恶意代码:1)bitsadmin
域渗透技术解析:Roasting AS-REP
去年11月,我发表了一篇名为"没有 Mimikatz 的 Kerberoast 攻击利用"的文章,详细介绍了PowerView和Tim Medin提出的Kerberoasting 攻击的最新研究进展。这使我开始更仔细地研究 Kerberos。 几周前,我的同事Lee Christensen发现Exumbra Operations的Geoff Janjua做了一个有趣的演讲,题为"武器化 Kerberos 协议漏洞(Kerberos Party Tricks: Weaponizing Kerberos Protocol Flaws)",幻灯片和工具包可以在这里找到。Geoff提到的
从Kekeo到Rubeus:高级域渗透之Kerberoast的简化利用详解
译者注:本文由丝绸之路翻译,如有谬误,请在文本本文评论处指出,谢谢!关于Rubeus 功能介绍可参考:Rubeus酷炫的新功能Kekeo是继 mikatz 之后 Benjamin Delpy 的另一个大项目,是一个拥有一系列优秀特性且令人敬畏的代码库。 正如本杰明所说,它位于 Mimikatz 代码库之外,因为"我讨厌编写与网络相关的代码; 它在内部使用了一个外部的商业 ASN. 1库。" Kekeo 提供了(功能列表未完成) :· 能够从用户的哈希 (rc4_hmac/aes128_cts_hmac_sha1/aes256_cts_hmac_sha1)请求票证授予票证(TGT)
态势感知之漏洞运营
0x00、前言漏洞管理是每个企业安全建设中首先要完成并且不可或缺的安全能力。它能帮助企业预防有可能发生的入侵事件。当然漏洞管理工作也需要和其它安全组件配合才能提前它的安全价值。在安全预防方面,需要和主机合规基线、网络威胁漏洞扫描程序配合,在入侵检测方面,需要和EDR、NIDS等产品配合。通过这些安全组件的配合才能从简单的漏洞管理level 0 升级成漏洞运营管理 level 1 。0x01、漏洞运营解决方案个人理解的漏洞运营大致可分为4个阶段· 线下人工漏洞运营阶段企业安全建设初级阶段,一穷二白的情况,没有任何漏洞管理工具,一般都使用开源的漏洞扫描攻击导出excel表格,然后去找业务方去修复,有时业务方不重视安全,整个
写给蓝军的滥用 DPAPI 操作指南(下)
(上篇文章)证书管理器和 Windows Vault提醒一下: 我没有想出下面所要描述的任何内容,我只是记录下来,并尽我所能解释它。 下面所有的荣誉都归功于本杰明在这个领域的杰出工作。从 Windows 7开始,凭证管理器允许用户存储网站和网络资源的凭证。 凭据文件存储在C:Users<USER>AppDataLocalMicrosoftCredentials for users 和 %systemroot%System32configsystemprofileAppDataLocalMicrosoftCredentials中。 这些文件由用户(或系统)指定的 DPAPI 主密钥保护。与之相关的是 Wind
写给蓝军的滥用DPAPI操作指南(上)
我以前谈到过 DPAPI (数据保护应用程序编程接口) ,包括 KeePass 如何使用 DPAPI 作为其"Windows 用户帐户"关键选项。 最近,我深入研究了 Benjamin Delpy 在 DPAPI 方面所做的一些令人惊叹的工作,并且想要记录一些关于与 Mimikatz 一起滥用 DPAPI 的操作记录。注意: 在这篇文章中,我关注的是基于用户的 DPAPI 滥用问题,但在某种程度上,我也打算深入研究机器的 DPAPI 密钥滥用问题。 如果我能够理解这些特定的弊端,我会起草一个后续的博文。另一个注意事项: 我没有提出这些滥用原语,也没有编写用于滥用它们的工具。 这些都是本杰明和其他人在
云原生账号安全管理
0x00、业务需求在公有云建设早期,账号安全管理主要是依赖云自身的管理。等到公有云建设中期的时候,公有云可以通过云产品基线对账号系统进行检查,例如:云主账号开启双因素认证,密码策略轮换,监控AK泄露等安全相关的基线来完成监督。主机层面会使用主机安全基线做账号以及密码相关的检查。但是,我们会发现云端管理好用户特权账号,只是账号安全管理生命中的一小部分,很多特权账号散落在用户登录云管端的笔记本电脑中,很多开发期间的应用程序连接账号密码都硬编码到了配置文件等地方…,特权账号使用静态密码,对账号缺乏有效的管理、监控、企业很容易遭受攻击,同时很多合规检查也要求对企业特权账号要监督。· 无法可视化管理,很难知道有多少账号
云查杀:云安全不可或缺的安全组件
0x01、摘要在公有云安全框架中,根据统计结果,大约有84%的恶意程序是可以通过杀毒软件查杀隔离的,在云端构建杀毒软件集群服务是云安全不可或缺的重要安全组件。为了更好的满足安全业务需求,我们需要了解包括传统的防病毒检查、动态分析、工具输出结果聚合和分类方法,以及如何搭建一个易部署、更可靠的、更灵活的恶意软件分析集群框架。0x02、背景针对云端的恶意软件主要包含,rookit、DDoS木马、特洛伊木马。恶意软件分析可以大致分为静态和动态分析,在本节中,我们提供背景有关恶意软件分析和分类的信息,包括分析类型、分析限制,和分类,以及他们的优缺点。大体分类:1、静态分析不执行样本,而是检查静态代码。· 整体精度高。无法检测包括
警惕针对SQL的爆破攻击,入侵者会完全控制服务器,挖矿只是小目标
一、概述近期腾讯安全御见威胁情报中心捕获到通过SQL服务器爆破传播的挖矿木马,挖矿团伙将恶意程序保存在HFS服务器,并且将木马程序伪装成为某安全软件。SQL爆破成功后首先通过VBS脚本植入主体程序,主体程序继续下载挖矿程序以及执行各种远控指令。最终导致受害企业遭遇严重信息泄露,而挖矿不过是入侵者的小目标。腾讯御点终端安全管理系统可拦截查杀该病毒。该木马的攻击行动具有如下特点:1.木马主程序伪装成某安全软件及SQL Server相关组件2.木马会获取中毒主机的一般信息,包括:IP地址、操作系统版本、用户名、CPU、内存、磁盘、摄像头、安全软件等基本信息,并将这些信息发送到远程服务器3.木马具有检举计算机帐户,检举会话、获
腾讯安全御见威胁情报中心截获粗鲁的矿工,三种方式猛攻企业网络
一、背景腾讯安全御见威胁情报中心捕获到一个利用多种方式在内网攻击传播的挖矿木马SpreadMiner。该木马会利用永恒之蓝漏洞(MS17-010)攻击内网;利用Lnk漏洞(CVE-2017-8464)通过共享目录和移动存储设备感染传播;同时还对MS SQL服务器进行弱口令爆破攻击。被攻陷的机器会执行Payload植入挖矿木马。因病毒作者在代码多处用词、命名十分粗鲁,腾讯安全专家将其命名为“粗鲁的矿工”。“永恒之蓝”漏洞(MS17-010)自从被黑客组织公开后,一直是最受病毒传播者最青睐的攻击工具,曾被WannaCry等多种著名病毒使用,大多数用户已经修复了此漏洞,但遗憾的是,仍有一部分未修复漏洞的用户(主要是企业用户)
污水(MuddyWater)近期针对塔吉克斯坦、土耳其等地的攻击活动汇总
一、背景污水(MuddyWater)APT组织是一个疑似来自伊朗的攻击组织,该组织主要针对中东地区、前苏联国家、土耳其等中亚国家的政府部门进行攻击。该组织是目前全球最活跃的的APT攻击组织之一,腾讯安全御见威胁情报中心也曾多次披露该组织的攻击活动。近期,腾讯安全御见威胁情报中心又持续监测到该组织在中亚、中东地区的一些攻击活动,攻击目标放在了塔吉克斯坦、土耳其等地。并且该组织也更新了其攻击TTPs,如宏代码拼接内置硬编码字符串写入VBE;利用注册表,自启动文件夹启动VBE等,此外在受害者选择上也更为精确,通过第一阶段后门反馈的受害者信息挑选目标进行下一步持久化等。本文为对近期一些活动的攻击总结,此外腾讯安全御见威胁情报中
公告
关注公众号hackdig,学习最新黑客技术