记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Microsoft Teams可被用来执行任意payload
Microsoft Teams是一款基于聊天的智能团队协作工具,可以同步进行文档共享,并为成员提供包括语音、视频会议在内的即时通讯工具。攻击者可以用Microsoft Teams的mock installation文件夹中的真实二进制文件来执行恶意payload。该问题影响大多数使用Squirrel安装和更新框架的Windows桌面APP,该开使用NuGet包。研究人员测试发现受影响的应用包括WhatsApp, Grammarly, GitHub, Slack 和 Discord。易构建包逆向工程师Reegun Richard发现他可以创建一个伪造的Microsoft Teams包,并使用签名的二进制文件来执
警惕:DDG挖矿僵尸网络利用SSH爆破攻击Linux服务器
一、背景腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。在征得客户同意后对客户机器进行远程取证,并结合御界的关键日志进行分析,我们发现这是一起针对SSH服务器弱口令爆破攻击事件,由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。腾讯安全御见威胁情报中心对本次攻击事件展开调查,结果发现,这是由大型挖矿僵尸网络DDGMiner发起的攻击事件。DDGMiner是最早于2017年被发现的挖矿僵尸网络,其特点为扫描攻击 SSH服务、Redis 数据库和OrientDB数据库等服务器,并在攻陷的服务器上植入挖矿木马挖掘门罗币获利。从病毒服务
高危预警:针对MySQL数据库的勒索病毒
近期,深信服安全团队追踪到国内出现了针对MySQL数据库的勒索攻击行为,截至目前已监测到的攻击行为主要体现为对数据库进行篡改与窃取。在此,深信服安全团队提醒广大用户注意防范(特别是数据库管理员),保护好核心数据资产,防止中招,目前在国内已有大型企业与普通用户中招案例。此次勒索攻击行为,与以往相差较大,表现为不在操作系统层面加密任何文件,而是直接登录MySQL数据库,在数据库应用里面执行加密动作。加密行为主要有,遍历数据库所有的表,加密表每一条记录的所有字段,每张表会被追加_encrypt后缀,并且对应表会创建对应的勒索信息。例如,假设原始表名为xx_yy_zz,则加密后的表名为xx_yy_zz_encrypt,同时会新
GlobeImposter攻破某域控制器,局域网内横向扩散致企业损失惨重
一、事件回顾近日,腾讯安全御见威胁情报中心接到某企业求助,称其局域网内8台服务器遭受勒索病毒攻击。工程师现场勘察后,确认该事件为GlobeImposter勒索病毒通过外网爆破入侵该公司域控服务器,随后利用该机器作为跳板机,登录到该公司内其它机器再次进行勒索加密。黑客入侵示意图腾讯安全专家通过排查被攻击公司的染毒机器,可知该公司染毒的第一台服务器为域管理服务器,该机器由于开启了远程桌面且由于其IP地址暴露在外网从而被爆破入侵,由于该服务器为该公司的域控制器,被入侵控制之后出现灾难性后果:攻击者可任意登录局域网内其它机器,通常情况下,域管理员具备登录域内所有计算机的权限。攻击者控制域控制器之后,就有能力在任意一台计算机运行
瞒天过海:某APT组织利用鱼叉邮件渗透多个行业窃取敏感数据
0x0 背景近日,深信服安全团队通过安全感知平台持续跟踪了一个以国内沿海电子制造业、能源行业、大型进出口企业、科研单位等为目标的APT组织,该组织通过鱼叉式钓鱼邮件,在最近的三个月里面持续对国内至少60余个目标发起针对性的攻击。通过伪造office、pdf图标的PE文件迷惑目标,在目标点击之后,释放出AutoIt脚本执行器,然后将高度混淆的AutoIt脚本代码传入脚本执行器执行释放Nanocore RAT窃取受害者主机上面的敏感数据并作为跳板进行内网渗透。 0x1 详细分析该APT组织使用诱饵文档诱使用户点击运行,执行自解压程序,完成攻击和木马的释放。在这个过程中使用一个带有正常数字签名的AutoIt脚本解释
发布时间:2019-09-06 18:10 |
阅读:11261 | 评论:0 |
标签:系统安全
从Web蔓延到内网,BuleHero最新变种来袭
近日,深信服防火墙监测到大量设备请求恶意域名cb.fuckingmy.life,该域名注册于今年8月,经深信服安全团队排查,确认为BuleHero木马最新变种的C&C服务器。安全专家对捕获到的木马文件进行了详细分析,该变种行为与今年6月份的变种行为相似:去掉了LNK模块,更换了C&C域名和一些攻击组件的名字,但比较特别的是,该变种开始通过Web自动化攻击工具进行传播。从深信服防火墙上的攻击日志上来看,拦截了大量的命令注入攻击,分别利用以下2种漏洞进行攻击:structs2远程命令执行漏洞、thinkphp5.X命令执行漏洞。方式1,通过structs2远程命令执行漏洞下载执行病毒母体:http://cb
使用魔多 AWS 检测内网的威胁活动
目标· 回顾一下关于魔多(Mordor)的背景知识· 解释 AWS 对魔多计划的贡献以及它是何等的重要· 解释如何启动 AWS 环境· 解释在这个环境是可用的情况下可能做到的事情背景魔多(Mordor) 是一个由罗伯特·罗德里格斯和他的兄弟 Jose Rodriguez 创建的项目。“ 魔多项目提供预先录制的安全事件,这些事件是由模拟对抗技术以 JSON 文件的形式生成的,以便于研究人员使用。”预先记录的数据按照 ATT&CK 框架定义的平台、对手组、策略和技术进行分类。”魔多项目允许任何人导出模拟对抗技术后生成的数据,并将数据导入任何分析平台。 这可以通过利用
远程进程shellcode注入调试技巧
在病毒分析的过程中,时常会遇到很多病毒为了躲避杀软的检测,使用进程注入的方式,将shellcode注入到系统进程中执行,本文将介绍一些在遇到shellcode注入进程时所使用的调试技巧。 情形一:PE进程远程注入shellcode到其它进程PE类文件在进行进程注入的时候,可能会注入一个PE文件,也有可能是注入一段shellcode,但注入的流程通常是一样的.注入已有进程:OpenProcess —> WriteProcessMemory —> CreateRemoteThread;创建进程注入:CreateProcess —> Wr
WannaMine挖矿木马再活跃,14万台linux系统受攻击,广东省为重灾区
一、背景腾讯安全专家在为某企业客户进行例行安全巡检过程中,发现客户部署的腾讯御界高级威胁检测系统出现了SSH服务失陷感知信息。在征得客户同意后对客户机器进行远程取证,并结合御界的关键日志进行分析,我们发现这是一起针对SSH服务器弱口令爆破攻击事件,由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。腾讯安全御见威胁情报中心展开事件调查,结果发现,这是由大型挖矿僵尸网络WannaMine发起的攻击事件:攻击者利用SSH弱口令爆破成功后会植入shell后门以及brootkit后门程序,并通过SSH在内网横向传播,受害机器接收远程指令安装(包括但不限于)挖矿木马、DDoS攻击模块。SSH代表安全外壳(Secure
ClamAV+Falco,助你高效检测挖矿Docker
近日,深信服安全团队接到客户反馈,发现虚拟机的连接session数突增,很不正常,担心造成网络的拥堵,需要进行排查。远程到问题主机上,发现进程中有许多xmrig进程,这就说明问题了:主机运行了挖矿进程,所以导致主机的session数过高。那么按照惯例,接下来就是杀进程删文件排查有无定时任务之类的,但是,这些挖矿进程的父进程都是docker,这就奇怪了,难道这些docker有问题?百度了一通,发现还真有利用docker挖矿的先例,有些黑客故意将挖矿程序打包成一个恶意镜像,上传到docker hub中,当用户pull下来运行使用时,挖矿进程就在背后偷偷的挖矿。查看该主机的docker镜像,原来挖矿的镜像为patsisson
安全运营中心之自动化攻击溯源
0x00、业务需求早期的安全运营中心,主要的功能就是SIEM把能收集的基础日志、安全日志收集存储到一起,然后把这些简单的做一些规则性的关联分析就叫SOC。伴随着科技的发展,安全产品可以有效的收集更精准的基础数据,例如EDR产品中的,基础进程数据、网络访问数据。NTA产品中的全流量数据。安全日志也不简单的IDS规则产生的告警日志,而是通过机器学习发现的异常网络访问日志,DGA域名访问等高级入侵事件。那么怎样把这些日志有效的关联在一起,形成用户想要的定向攻击事件日志?个人认为云安全产品首先可以在这个方面得到收益,因为日志可以高度集中,和归一化。0x01、图分析应用威胁狩猎成熟模型:level 0:主要依靠自动警报,很少或没
你还在用“加了料”的系统还原工具么?
利用激活软件、系统盘等工具传播病毒和流氓软件已是屡见不鲜的一大乱象,由于此类工具通常都是装机后首先安装的软件,盘踞在上面的病毒和流氓软件便利用介入时机更早的优势各种作恶,捆绑安装、劫持首页甚至与安全软件进行对抗,令普通用户苦不堪言。就在日前,火绒接到用户反馈,称使用U深度U盘启动盘制作工具还原系统之后,安装的火绒安全软件被删除。火绒工程师分析发现,该还原工具可调用病毒程序,根据不同系统环境还原系统时,对指定软件进行删除,并篡改IE浏览器首页。此外,火绒工程师溯源分析,该还原工具早期版本中的病毒程序不仅可以直接执行删除第三方软件(包括火绒)和一些带有首页劫持功能的流氓软件等恶意行为,还会篡改浏览器首页配置、浏览器收藏夹以
发布时间:2019-08-08 12:25 |
阅读:30630 | 评论:0 |
标签:系统安全
安全运营中心之全流量系统建设
0x00、前言企业安全建设一般伴随着安全业务需求而生,安全运营中心建设过程中,应急响应处置流程,在清除阶段,需要查找安全事件产生的根本原因并且提出和实施根治方案,这就对网络层数据的回溯提出个更高的要求。那么如何在公有云上和专有云建设一套行之有效的全流量分析系统呢?下面提出一些方法和大家探讨。0x01、产品调研在自己没有建立这套系统之前,需要做一下产品调研,看看别人家都是怎么做的,当然,要寻找到适合自己的企业的全流量解决方案,首先我们要带着以下几个问题去思考:1.寻找到适合自己网络环境的元数据的存储方案,没有好的数据,你的安全运营团队无法展开调查。2.你的网络入侵检测引擎是否能分析网络异常流量,减少网络回溯的次数3.你建
Android Q:安全与隐私
Android Q是谷歌发布的第10代安卓操作系统,开发的三大主题是:创新、安全、隐私。本文主要介绍安卓Android Q引入的安全和隐私机制和策略。隐私隐私是开发Android Q过程中的首要考虑因素,目前用户对APP和手机收集和使用的信息的控制和透明是非常主要的。Android Q在跨平台改善隐私方面有明显的变化。注:开发者将需要检查新的安全特征并测试开发的APP。根据每个APP的核心功能、目标和其他因素,带来的影响是不同的。设备位置首先看一下设备位置。APP可以要求用户请求访问位置的权限,但是在新版本的Android Q中,用户会看到更多的选项来允许访问位置,如图1所示。用户可以授予APP全部位置数据的访问权限或
下一代安全运营中心之智能安全编排
0x00、前言网络安全市场永远不缺新概念,最近几年Gartner 在安全领域又抛出了MDR、xDR、Next-Gen SOC、MSSP等概念。但是这概念和产品最终的目的是降低我们处理企业安全风险的处理速度和成本。可以通过MTTI(Mean Time to identify)和 MTTR(Mean Time to Response)来衡量其效果。经过公有云线上应急响应的实践得出,发现风险的能力在安全产品化方面已经足够完善(需要提升的地方是关联分析能力),大部分时间都浪费在安全事件响应,也就是MTTR过低。这时,智能的安全编排技术浮出了水面。0x01、竞品分析根据gartner报告:Market Guide for Sec
NSA泄露工具被用来传播加密货币挖矿机
普通网络犯罪和针对性攻击的区别在于:普通网络犯罪会将即时的经济目标作为主要动机,而针对性攻击可能还会有其他的目标,比如窃取知识产权。此外,攻击者的思维模式也是不同的。正常的网络犯罪分子需要考虑如何入侵更多的个人设备,而针对性攻击需要计划如何入侵和获取企业网络的访问权限,并尽可能地隐蔽。除此之外,针对性攻击活动常常包括扩展性的计划以及高度专业化的创建和使用。另一方面,正常的攻击者可能没有能力或资源来规划复杂的攻击活动,他们使用的工具更加通用,而且一般地下市场都有。近期,研究人员发现了一起融合了针对性攻击工具和常规网络犯罪的大规模攻击活动:攻击者使用了之前在针对性攻击中使用的复杂攻击来传播加密货币挖矿机和勒索软件这样的典型
公告
关注公众号hackdig,学习最新黑客技术