记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

别慌,这回你有SOAR——关于PyPI仓库遭投毒事件的自动化应急响应

SOAR是Security Orchestration, Automation and Response(安全编排、自动化和响应)的缩写,近年来备受业界关注。前情还记得此前的Putty后门、XShell后门以及XCode Ghost事件吗?今天,腾讯安全应急响应中心及时发布安全通知【pypi 官方仓库遭遇request恶意包投毒】,将业界视角重新拉回【软件供应链安全】这一关键领域。以下为引用:近日,腾讯洋葱反入侵系统检测发现 PyPI官方仓库被恶意上传了request 钓鱼包,由于国内开源镜像站均同步于PyPI官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户,腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,TSR
发布时间:2020-08-06 12:35 | 阅读:837 | 评论:0 | 标签:自动化

深入研究SOAR的核心能力——安全编排与自动化

1 SOAR的内涵随着网络空间安全对抗的持续升级,当前企业和组织的安全运营工作在人员组织、告警处置、快速响应、知识沉淀、整合协作诸多方面面临的挑战越来越突出。为了应对挑战,顺应安全运营未来发展的新趋势,SOAR(Security Orchestration, Automation and Response,安全编排自动化与响应)应运而生。Gartner最新将SOAR定义为一种从各种来源获取输入,并应用工作流来处理各种安全过程与规程,从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排(通过与其它技术的集成)并自动执行以达成预期结果,譬如分诊管理,事件响应,威胁情报,合规性管理和威胁猎捕。结合业界的定义,以及一年多来的深入实践
发布时间:2020-08-04 14:50 | 阅读:1258 | 评论:0 | 标签:自动化

自动化逆向辅助利器 -- Capa工具介绍

概述近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa,其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。工具运行的结果如下,它显示了当前样本的恶意行为,以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。安装使用命令:git clone --recurse-submodules https://github.com/fireeye/capa.git下载capa项目,其中包含了capa-rules子项目,该路径下包含了所有类型的检测
发布时间:2020-07-28 18:20 | 阅读:1798 | 评论:0 | 标签:逆向 自动化

自动化逆向辅助利器 — Capa工具介绍

概述  近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa,其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。 工具运行的结果如下,它显示了当前样本的恶意行为,以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。   安装 使用命令:git clone --recurse-submodules https://github.com/fireeye/capa.git下载capa项目,其中包含了capa-rules子项目,该路径下包含了所有类型的检测规则。  
发布时间:2020-07-28 15:18 | 阅读:2293 | 评论:0 | 标签:工具 ATT&CK向量 C&C连接 capa Dtrack后门 IDA插件 字符串 导入函数 恶意代码 持久化驻留 汇编

腾讯安全自研曝光APP漏洞风险,腾讯Apkpecker提供自动化应用检测服务

央视315曝光SDK事件,应用开发者如何避坑?7月16日晚,央视3·15晚会拉开大幕,再次敲响了消费领域的警钟。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。日前,工信部已要求严厉查处涉事企业,并责成国内主要应用商店展开“地毯式”排查,及时通知APP运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。第三方SDK泄露隐私问题的暴露,意味着安全风险检测在应用开发与运营过程中非常关键,APP需要全方位、全生命周期的安全检测与管理,以确保广大用户的信息安全。腾讯安全自研的自动化Android应用漏洞扫描系统——ApkPecker,能够进行高效的安全漏洞扫描
发布时间:2020-07-21 21:50 | 阅读:6366 | 评论:0 | 标签:漏洞 app 自动化

探索DLL搜索顺序劫持的原理和自动化侦查方法

 一、前言在本篇文章中,将描述动态链接库(DLL)搜索顺序劫持的改建,以及攻击者可能如何将其用于Windows系统上的用户态持久性。这种技术可以对应到MITRE ATT&CK框架中的T1038:DLL搜索顺序劫持。由于种种原因,DLL劫持对于攻击者来说很有帮助,但本文将重点介绍与自动启动应用程序结合使用的持久化用法。例如,在默认情况下,Slack和Microsoft Teams会在系统启动时运行,因此如果能将其中一个应用程序的DLL进行劫持,每当用户登录系统时,攻击者就可以持久访问其目标。在介绍DLL、DLL搜索顺序和DLL劫持的概念之后,我们将探讨自动化DLL劫持侦查的方法。在这篇文章中,我们将介绍在Slack、Microsoft Teams和Visua
发布时间:2020-07-03 19:32 | 阅读:9753 | 评论:0 | 标签:自动化

自动化能否“杀死”安全分析师?

一个不可否认的现实是,我们已经进入了自动化时代,随之而来的就是诸多有关人工智能(AI)、机器学习(ML)和深度学习(DL)的讨论。同样地,关于自动化将如何影响安全从业者工作未来的猜测也是越来越多,包括对新的远程劳动力的影响。自动化能否“杀死”安全分析师的角色?近日,由DomainTools赞助Ponemon Institute机构针对1,027名美国和英国IT及IT安全从业人员进行的一项最新研究结果显示,情况正恰恰相反。该研究的重要意义在于,自动化和IT安全人员必须携手合作,以实现最大的效率。自动化永远不会取代市场对于“人为因素”的需求,尤其是对于那些有能力管理这些新技术知识的安全专业人员的需求。实际上,有68%的受访者表示,他们认为自动化应用过程
发布时间:2020-07-01 12:58 | 阅读:6136 | 评论:0 | 标签:自动化

Jsonp漏洞简析及自动化漏洞挖掘脚本编写

Jsonp漏洞被广泛的应用到渗透测试的信息搜集环节,攻击者在搞定一个站点之后,可以通过xss等形式插入jsonp漏洞利用代码,从而获取到浏览网站的用户的私人信息,本篇文章重点对jsonp漏洞利用原理进行阐述并提供一种jsonp漏洞自动化挖掘脚本的编写思路。Jsonp跨域原理解析为什么要跨域为了用户的信息安全,浏览器在很早以前就引用了同源策略,同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。如果两个页面的协议,端口和域名都相同,则两个页面具有相同的源。下表给出了相对http
发布时间:2020-06-18 08:31 | 阅读:15342 | 评论:0 | 标签:漏洞 自动化

调查:自动化能否杀死安全分析师?

我们已经进入了自动化时代,随之而来的是有关人工智能(AI)、机器学习(ML)和深度学习(DL)的讨论。关于自动化将如何影响安全人才的未来的猜测也越来越多,包括对新的远程劳动力的影响。自动化能否杀死安全分析师的角色?近日,由Ponemon Institute进行的,由DomainTools赞助的对1,027名美国和英国IT和IT安全从业人员的最新研究表明,情况恰恰相反。该研究的重要意义在于,自动化和IT安全人员必须携手并进,以实现最大的效率。自动化永远不会取代对“人为因素”的需求,特别是对于具有管理这些新技术知识的安全专业人员而言。实际上,有68%的受访者表示,他们认为人类的参与对自动化至关重要。分析师认为,自动化不但不是安全工作的威胁,反而是催化剂。以下是五个技巧,可帮助安全分析师在安全自动化时代领先一步:精通
发布时间:2020-06-08 18:19 | 阅读:9512 | 评论:0 | 标签:牛闻牛评 首页动态 安全分析师 自动化

全链路自动化监控平台的探索与实践

1前言互联网技术普及过程中,数据的监控对每个公司都很重要。近些年,随着一些优秀监控工具(比如Zabbix、Graphite、Prometheus)的成熟,每个公司都会搭建自己的监控体系,来分析整体业务流量和应对异常报警。但随着系统复杂性的提高,微服务的成熟,监控又有了新的问题需要解决,如上下文的链路关系、跨系统的故障定位等相关问题。为减轻公司业务线资源和开发的监控压力,爱奇艺技术产品团队研发了一套全链路自动化监控平台,可以提供统一的监控标准和基础的监控能力,增强故障定位和深度分析能力,提升监控准确性和透明性,本文将
发布时间:2020-05-29 22:31 | 阅读:13059 | 评论:0 | 标签:自动化

浅谈基于开源工具的威胁情报自动化生产

作者:果胜本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送! 投稿邮箱:paper@seebug.org威胁情报在攻防中的地位在IoT,云计算,基于容器的弹性计算大量铺开的趋势面前,目前的信息资产和相关漏洞出现了爆炸式的增长。基于人工的告警响应-审计已经不可能满足安全防御的需要。由于必须将有限的资源和工时向易于受到攻击的薄弱环节集中。当前的安全工作已经开始逐步向情报驱动的智能安全发展。同时,对于红队和渗透测试人员来说,获取更多的漏洞情报,将自己的基础设施和工具链条隐藏在已知威胁情报之外也是提高行动成功率的重要措施。故而具备更强的威胁情报和反情报能力是攻防活动中的一个重点。威胁情报的本地生产在当前的安全市场中,国内外都已经出现了大量的威胁情报平台和软件供应商,
发布时间:2020-05-18 17:39 | 阅读:13050 | 评论:0 | 标签:自动化

在Windows中使用Vagrant自动化系统内核调试工作

所有参与过Windows内核测试的人员都知道,设置和管理用于内核调试的虚拟机可能很耗时。vagrant是一个工具,用于创建和部署虚拟化开发环境的。拿VirtualBox举例,VirtualBox会开放一个创建虚拟机的接口,Vagrant会利用这个接口创建虚拟机,并且通过Vagrant来管理,配置和自动安装虚拟机。总之,Vagrant是一个免费的开源工具,可自动创建和自动化VM。本文将向你介绍Vagrant,以及如何利用其功能自动执行内核调试设置。Vagrant允许你将虚拟机视为“一次性(disposable)”,因为可以自动删除它们并重新创建它们。然后,你可以轻松地在多台计算机上设置一致的VM,与其他人共享它们,甚至将你的虚拟机部署到AWS等云提供
发布时间:2020-05-10 13:33 | 阅读:15336 | 评论:0 | 标签:自动化

半自动化挖掘 request 实现多种中间件回显

作者:c0ny1 原文链接:https://mp.weixin.qq.com/s/uWyHRexDZWQwp81lWjmqqw0x01 前言本文献给永远的Avicii,严格意义上我不算是一个reaver。但并不妨碍我深深的喜欢你的作品,它们陪伴着我度过了无数个编程的夜晚,十分感谢。今天不同人用不同的方式怀念你,我不会作曲,也不敢纹身。能给你分享的是我所热爱的事,在我看来这是最有质感的东西。R.I.P0x02 背景最近圈子里各位师傅都在分享shiro回显的方法,真是八仙过海过海各显神通。这里我也分享下自己针对回显的思考和解决方案。师傅们基本都是考虑中间件为Tomcat,框架为Shiro的反序列化漏洞如何回显。这里我从更大的层面来解决回显问题。也就是在任意中间件下,任意框架下可执行任意代码的
发布时间:2020-04-20 14:11 | 阅读:13694 | 评论:0 | 标签:自动化

半自动化挖掘request实现多种中间件回显

0x01 前言本文献给永远的Avicii,严格意义上我不算是一个reaver。但并不妨碍我深深的喜欢你的作品,它们陪伴着我度过了无数个编程的夜晚,十分感谢。今天不同人用不同的方式怀念你,我不会作曲,也不敢纹身。能给你分享的是我所热爱的事,在我看来这是最有质感的东西。R.I.P0x02 背景最近圈子里各位师傅都在分享shiro回显的方法,真是八仙过海过海各显神通。这里我也分享下自己针对回显的思考和解决方案。师傅们基本都是考虑中间件为Tomcat,框架为Shiro的反序列化漏洞如何回显。这里我从更大的层面来解决回显问题。也就是在任意中间件下,任意框架下可执行任意代码的漏洞如何回显?0x03 基本思路回显的方式有很多种类,通过获取request对象来回显应该是最优雅通用的方法。而之前师傅们获取requst的方式基本都
发布时间:2020-04-20 04:18 | 阅读:28083 | 评论:0 | 标签:自动化

FUSE & 文件上传漏洞自动化探测工具

前言这次介绍的是一篇发表在安全顶会NDSS 2020上的一篇paper,其针对文件上传漏洞的场景,实现了一款动态fuzz的工具FUSE,并利用其发现了现有33个CMS的15 CVE。背景介绍首先提几个关键的缩写含义,对于漏洞分类上,可以大致为两类,即:UFU:为Unrestricted File Upload的缩写,含义即任意文件上传。UEFU:为Unrestricted Executable File Upload的缩写,含义即任意可执行文件上传。但这两类可能有一个子集的包含关系,UEFU应该为UFU的子集,因为我们上传的文件未必是可执行的。然后是对于上传的恶意文件,我们也可以分为两类:CE:为code execution的缩写,含义即为代码执行
发布时间:2020-03-31 11:15 | 阅读:17100 | 评论:0 | 标签:漏洞 自动化

NAVEX & Web漏洞自动化挖掘介绍

前言这次介绍的是一篇发表在安全顶会2018 USENIX Security的paper,文章旨在自动化挖掘web漏洞,同时生成对应的exp,其比同类的工具拥有更高的准确度,由于其动静结合的特性,对代码也有更好的覆盖率。背景介绍首先我们从如下这样一个例子切入,来简单介绍一下web漏洞自动挖掘和通常一些静态分析的工具的做法。例如如下3个代码片段:selectBooks.php用于选择你想要借的书,代码如下:hold.php用于额外的check输入,并引导用户到下一步操作,代码如下:checkout.php用于结算,代码如下:我们可以看到,在这样一个简单的功能实现上,其实出现了不少潜在的漏洞函数,例如selectBooks.php中的mysql_quer
发布时间:2020-03-27 14:26 | 阅读:17742 | 评论:0 | 标签:漏洞 自动化

公告

学习黑客技术,传播黑客文化

推广

工具

标签云