记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

小心伪装成用户调研文档的钓鱼邮件攻击

一、背景腾讯安全御见威胁情报中心捕获到一例伪装成某公司的用户投诉调研文档的钓鱼邮件攻击。黑客在投递的恶意文档中嵌入恶意宏代码,一旦用户在打开文档时选择执行宏,就会在用户电脑上执行一段Powershell,通过多次解码后,执行Poweshell版开源远控木马powerfun。该远控木马采用Powershell实现,可作为控制端段或被控端运行,安装后会搜集系统信息上传,下载安装其他模块,执行任意远程指令。为了掩盖其行动,黑客精心伪装攻击文档内容,使得其与真实的用户调研文档十分相似。同时其中嵌入的恶意Powershell代码经过多层混淆,采用“无文件”的攻击方式来保证攻击过程不易被发现。二、详细分析载荷投递打开文档时micr
发布时间:2019-11-06 18:10 | 阅读:10065 | 评论:0 | 标签:系统安全 钓鱼邮件

浅谈企业 DevSecOps 实践: 安全在 DevOps 中的角色

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践:安全测试集成系列文章(4):浅谈企业 DevSecOps 实践:构建安全工具链系列文章(5):浅谈企业 DevSecOps 实践:安全计划正如前面提到的,DevOps 并不完全是工具和技术,但它的成功很大程度上取决于人们在这个模型中的工作方式。 我们已经对工具和流程进行了详细的介绍,并且从安全从业者与 DevOps 合作的角度探讨了大部分内容。 由于本文主要是为了帮助安全人员,所以我们在这里概述他们在 DevOps 环境中的作用。 我们
发布时间:2019-11-06 13:10 | 阅读:8947 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

紧急预警:Globelmposter再次攻击医疗行业,爆“十二生肖”2.0新变种

近日,深信服安全团队观察到Globelmposter勒索病毒再次出现最新变种,加密文件后缀以十二生肖+865qq的方式出现,截至目前国内多个省市均发现感染案例,覆盖多行业,其中医疗行业影响最严重,个别省份同一天出现10家以上医院受感染。结合早期Globelmposter勒索病毒特征,深信服安全团队将其命名为“十二生肖”2.0版本。病毒描述“十二生肖”2.0版本勒索信息如下,有两个版本,以下是英文版勒索信息,有对应的中文版勒索信息。Globelmposter“十二生肖”2.0版本加密后缀分别有Pig865qq、Rooster865qq、Tiger865qq、Dragon865qq、Snake865qq、Rat865qq、
发布时间:2019-11-06 13:10 | 阅读:14417 | 评论:0 | 标签:系统安全 紧急预警

威胁预警 | Solr velocity模板注入远程命令执行已加入watchbog武器库

概述近日,阿里云安全团队监测到挖矿团伙watchbog更新了其使用的武器库,增加了最新Solr Velocity 模板注入远程命令执行漏洞的攻击方式,攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否受到影响。值得注意的是,此漏洞利用代码于10月31日被公布,11月2日阿里云安全团队就已发现watchbog团伙利用此漏洞进行入侵,植入木马进行挖矿,漏洞公开不足2日便被挖矿团伙利用进行攻击牟利。可以看到,当新的漏洞被披露出来时,可供企业用户修复的时间窗口越来越短,因此防守方需要及时地关注新披露可利用漏洞,以及采取缓解措施或进行修复,必要时可考虑选用安全产品帮助保障安全。背景介绍watchbog
发布时间:2019-11-05 18:10 | 阅读:12721 | 评论:0 | 标签:系统安全 威胁预警 注入

浅谈企业 DevSecOps 实践: 安全计划

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成系列文章(4):浅谈企业 DevSecOps 实践: 构建安全工具链本文旨在帮助安全人员为应用程序安全程序创建一个大纲或结构。 我们将回答一些常见的问题,比如“我们如何开始构建应用程序安全策略? ” “我如何开始合并 DevSecOps? ” 及”我应该遵守什么样的应用程式安全标准? ”我将讨论软件开发生命周期(SDLC) ,介绍在实施计划时需要考虑的安全事项,并参考一些应用程式安全标准,作为应采取哪些安全措施的指引。 这
发布时间:2019-11-01 13:10 | 阅读:10079 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

EDR 完全指南:关于 EDR 的那些事儿

随着黑客智能攻击技术的不断提高,即使是最好的攻击手段,用来防御的技术也在不断提高。端点检测与响应(Endpoint Detection & Response,EDR)这样的技术对于企业或托管服务提供商(managed service providers,MSPs)来说是无价的,但是有了这样一个强大的工具,就有许多问题需要回答,以便了解它是如何工作的,它能防止什么,以及它能提供什么。什么是 EDR?端点检测与响应(Endpoint Detection & Response,EDR)是一种主动的安全方法,可以实时监控端点,并搜索渗透到公司防御系统中的威胁。 这是一种新兴的技术,可以更好地了解端点上发生的事情
发布时间:2019-11-01 13:10 | 阅读:11986 | 评论:0 | 标签:系统安全 EDR

实现Windows进程注入的7种新方法

简介在这里,我们主要对@hexacorn上周发布的代码注入/进程注入相关的文章进行进一步的分析。在上周,@hexacorn提出了7种新型的攻击方式,以“粉碎式攻击”的方法来实现代码注入或重定向。在本文中,我们将具体讨论这些新型注入方法,并提供一些可用的示例。前五种方法的示例都将使用“Edit”和“Rich Edit”控件,最后两个则使用SysListView32和SysTreeView32。关于Rich Edit控件要进行新型注入方法的尝试,我们可以选择遍历所有窗口,例如EnumWindows,从窗口句柄中检索类的名称,然后将字符串的开始部分与“RICHEDIT”进行比较。除了这种方法之外,我们还可以使用FindWin
发布时间:2019-11-01 13:10 | 阅读:14865 | 评论:0 | 标签:系统安全 windows 注入

国外安全研究人员在社交网站发现疑似某APT组织的后台

事件追踪近日,深信服安全团队关注到,国外安全研究人员Misterch0c在twitter上发现疑似某APT组织的后台,时间节点在2019年10月27日。28日,另外一名安全研究员跟推,指出有部分中国用户被控制。关于此次事件的重要C2服务器lmhostsvc.net,深信服安全云脑威胁情报显示,只有极少数的访问记录,访问时间在2019年10月29号,并非关键核心部门,是一些学院性质的学校,疑似是twitter曝光lmhostsvc.net后,一些在校安全研究人员在研究和访问。样本分析该次事件所关联的样本母体是一个.msi文件,这个病毒以钓鱼邮件附件的方式分发到被攻击的目标。病毒运行后,会弹出一个提示框提示用户等待安装,来
发布时间:2019-10-31 13:10 | 阅读:12108 | 评论:0 | 标签:系统安全

浅谈企业 DevSecOps 实践: 构建安全工具链

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成在本文中,我们将向 你展示如何在 你的 DevOps 自动化框架中集成安全性。 我们将要解决的问题是“我们希望将安全测试集成到开发管道中,并将从静态分析开始。 我们该怎么做? ” 、“我们理解“左移” ,但这些工具有效吗? ” 以及“ 你建议我们从哪些工具开始,以及如何集成这些工具? ” . 由于 DevOps 鼓励在开发和部署的所有阶段进行测试,我们将讨论构建的管道会是什么样,以及适合不同阶段的工具。 安全测试通常与质量
发布时间:2019-10-30 13:10 | 阅读:9908 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

威胁检测之SSH暴力破解

0x00、前言暴力破解攻击是公有云最常见的攻击方式,根据某公有云统计数据发现,暴力破解占主机威胁数据的56%以上。平均到每个月大约有250万次之多,与此同时,再对比统计暴力破解成功的事件量,平均每月2500次,暴力破解成功率在0.1%。如果以主机为维度统计,暴力破解成功率就明显的提高了,大约在11%。通过上述数据分析,在公有云环境中,威胁检测产品需要对暴力破解攻击有足够的技术识别与防范。然后,我们再从攻击者的角度分析:分别从国家和城市两个维度分析,我们发现黑客暴力破解基础设施大部分分布在中国(44%)、美国(20%)和荷兰(7%)。城市分布:绍兴(10.1%)、纽约(8.8%)、阿姆斯特丹(5.6%)、北京(5.6%)
发布时间:2019-10-30 13:10 | 阅读:14284 | 评论:0 | 标签:系统安全 SSH 暴力破解

挖掘 OSINT 金矿——实习生和社交媒体

话说我看到了一个绝佳的机会: 某个员工正在进入安全工作区域。 当我试图跟着他时,他转过身来,看着我问道: “我可以看看你的工牌吗? ” ,我带着自信的微笑,把手伸进钱包,掏出一个工牌给他看。 当我戴着假冒的员工工牌进入安全工作区时,他笑了笑,向我表示感谢,然后走开了。这一切都要感谢他们公司的一名实习生在社交媒体上发布的一个帖子。我是怎么走到这一步的? 让我从头说起。黑掉人类,暴露安全盲点我是 X-Force 红队的一名“专门黑人的黑客” ,这是 IBM 安全团队内部的一个由资深黑客组成的自治团队,受雇闯入各个组织,揭露犯罪分子可能为了个人利益而利用的安全风险。 我收集公司或员工无意中在网上暴露的信息,利用社会
发布时间:2019-10-29 13:10 | 阅读:11882 | 评论:0 | 标签:内网渗透 技术 系统安全 OSINT

公有云内网安全感知解决方案

0x00、前言伴随着越来越多的企业上公有云,特别是大型企业,核心业务上云之后,云上企业安全建设思路没有因为公有云的开放性而妥协,大部分企业的建设思路都是把公有云改造成专有云,使用VPC隔离公有云网络,内部系统上网都通过NATGateway,运维使用windows堡垒机,对外的业务系统直接限制在DMZ区。这样公有云原生安全解决方案就有些不适应,有的需要做架构方面调整,有的需要开发新的安全功能。本次就和大家讨论如何提高这种场景的安全解决方案。0x01、解决方案1、要做解决方案我们先要了解网络架构首先我们先借鉴政务云的建设思路:@1、把业务划分到不同的区域,通过VPC来隔离。VPC之间是有通过ACL来控制,实现网闸隔离的效果
发布时间:2019-10-28 13:10 | 阅读:14838 | 评论:0 | 标签:系统安全 公有云

从零开始学威胁狩猎:手把手教你用 Jupyter Notebook 分析安全事件(二)

利用 Apache Spark 查询 Elasticsearch在前一篇文章中,我介绍了使用 DataFrames 以表格格式表示和分析安全事件日志的概念,并向你展示了如何在名为 Pandas 的 python 库的帮助下实现这一点。在本文中,我将向你展示如何直接使用 Elasticsearch 数据库中的安全事件日志,并将它们保存到一个 DataFrame 中,并通过 Apache Spark Python API 和 SparkSQL 模块执行一些查询。要求· 本文假设你已经阅读了前一篇文章,部署了 HELK 服务器,并且理解了通过 Python DataFrames 进行数据处理的基础知识。让我们回顾一下这篇文章
发布时间:2019-10-26 13:10 | 阅读:18238 | 评论:0 | 标签:内网渗透 安全工具 系统安全 Jupyter Notebook

浅谈企业 DevSecOps 实践: 安全测试集成

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践: 安全测试集成 在本文中,我们将向你展示如何在你的 DevOps 自动化框架中集成安全性。我们将要解决的问题是“我们希望将安全测试集成到开发管道中,并将从静态分析开始。我们该怎么做? ”、“我们理解“左移” ,但这些工具有效吗? ”以及“ 你建议我们从哪些工具开始,以及如何集成这些工具? 。由于 DevOps 鼓励在开发和部署的所有阶段进行测试,我们将讨论构建的管道会是什么样,以及适合不同阶段的工具。安全测试通常与质量保证团队可能已经部署的功能测试和回归测试并列。除了这些典型的在构建之后的测试点之外
发布时间:2019-10-25 13:10 | 阅读:8137 | 评论:0 | 标签:Web安全 安全工具 移动安全 系统安全 DevSecOps

僵尸网络XorDDoS的原理分析与清除

家族背景以及现状介绍XorDDoS僵尸网络家族从2014年一直存活至今,因其解密方法大量使用Xor而被命名为XorDDoS,该僵尸网络家族目前活跃程度仍旧较高,主要是攻击者对其C2一直持续进行更新,下图是深信服云脑中对XorDDoS网络请求趋势分析,从访问情况来看较为稳定。下图为该僵尸网络家族在国内的感染分布图,可以看到主要存在广东以及江浙一带。防护原理分析深信服安全团队对XorDDos家族的防护原理进行详细分析,并对其做清除处理。主要进程的执行流程如下:cron.hourly下的bash文件,其中包含了其比较明显的特征名称,曾经出现过以下几种(可能还有更多)· /etc/cron.hourly/udev.sh =&g
发布时间:2019-10-24 13:10 | 阅读:10960 | 评论:0 | 标签:系统安全 僵尸网络 ddos

从零开始学威胁狩猎:手把手教你用 Jupyter Notebook 分析安全事件(一)

当涉及到威胁检测,有多少次你听到有人说: “答案就在我的头脑中,如果你有任何问题,只问我就够了! ” 或者“只有 TA 或者他们知道怎么做! ” ,像这样的情况有很多次,不是吗? 没有对如何分析数据以检测网络中潜在的入侵的过程作记录、标准化或与人分享的问题要比你想象的更常见,特别是从技术和专业知识的角度来看当团队变得非常多样化的时候。 它不仅会影响你的检测策略,还会影响你的团队的动态。现在,有多少次你想过用一种更有效、更直观或更有创造性的方法来分析你的组织收集的安全事件,但是你会因为只能使用一个语言相关的搜索栏而感到有局限性?这篇文章是本系列文章的一部分,这个系列文章将介绍如何利用 Jupyter Notebook 以
发布时间:2019-10-23 13:10 | 阅读:7308 | 评论:0 | 标签:业务安全 系统安全 Jupyter Notebook

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云