记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

新的勒索软件被发现可以利用虚拟机发动攻击

据赛门铁克威胁猎手团队称,网络犯罪分子正在通过虚拟机运行越来越多的恶意载荷。Help Net Security调查了一次尝试性的勒索软件攻击,该攻击是通过在一些被攻击的电脑上创建的VirtualBox虚拟机执行的。与记录的RagnarLocker攻击使用Windows XP的虚拟机不同,新的威胁似乎是运行Windows 7。 此外,根据赛门铁克威胁猎手团队的Dick O’Brien的说法,该虚拟机是通过一个恶意的可执行程序部署的,该程序在行动的侦察和横向移动阶段就已经被预先安装。
发布时间:2021-06-25 11:07 | 阅读:13477 | 评论:0 | 标签:恶意软件 VirtualBox 虚拟机 攻击 勒索

『免杀系列』免杀技术(1)

『免杀系列』免杀技术(1) 日期: 2021-03-18 作者: Mr-hello 介绍: 免杀,一个老生常谈的领域,但是当你真正了解之后,你会发现想要入门其实也还算容易。但是真正有所成就还是需要下一番功夫。 0x00 前言 作为一个刚刚踏入免杀领域的小菜鸡,我还有很多的知识需要学习,接下来的篇幅就目前我所接触到的知识,给大家做一个简单的分享,错误之处欢迎指正。 0x01 杀毒原理浅析 360、腾讯电脑管家、火绒剑、金山毒霸、瑞星等等,这几个杀毒软件领头羊,现在的杀毒软件都无法脱离三个部分,扫描器、病毒库、虚拟机。

百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击

背景概述 近日,深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件,攻击者通过MSSQL的xp_cmdshell执行系统命令,从C&C服务器下载并执行勒索病毒。执行的相关命令如下:     经安全专家分析,攻击者所使用的程序均通过.NET进行Gzip压缩封装,最终将C++编写的PE解压后注入到CasPol.exe进程(.NET的码访问安全性策略工具)执行,经分析为Remcos远控和GlobeImposter勒索病毒。
发布时间:2020-12-18 14:32 | 阅读:62802 | 评论:0 | 标签:.net C ClassLibrary3.dll GlobeImposter GzipStream类 MSSQL Web

OALabs-VM:全自动化的虚拟机分析平台

OALabs-VM的灵感来源Windows虚拟机(VM)是分析恶意软件最重要的工具之一,虚拟机允许分析人员灵活的调试恶意软件,而不必担心感染主机。如果虚拟机受到感染,可以快速的恢复到原来的系统,继续进行分析。传统上,恶意软件分析人员必须在自己的虚拟机中使用一系列配套的分析工具,相当麻烦,不过在2017年,FLARE-VM的出现,让虚拟机的使用不再那么复杂。FLARE VM是一款以Windows为基础的免费开源的虚拟机,专为逆向分析工程师、恶意软件分析研究员、事件响应人员、安全取证人员以及渗透测试者设计。
发布时间:2018-07-24 12:20 | 阅读:163188 | 评论:0 | 标签:技术 虚拟机

微软警告:小心云端虚拟机的武器化

微软放出了坏消息,公司企业在云端找到安全天堂的美梦破灭。如今,IT部门不断增加的网络安全问题列表中,可以添加上武器化云虚拟机这一条了。微软日前发布了其安全情报报告第22卷。该报告经由2017年第1季度收集到的威胁数据编译而成。毫无意外,攻击者继续跟着目标的脚步走,而如今,战场延伸到了云端。在云武器化威胁场景中,攻击者通过入侵控制一个或多个虚拟机,在云基础设施里建立桥头堡。然后,攻击者便可利用这些虚拟机发起攻击,比如针对其他虚拟机的暴力破解攻击,用于网络钓鱼邮件攻击的垃圾邮件行动、端口扫描之类的新攻击目标侦察行动,以及其他恶意活动。
发布时间:2017-08-26 23:45 | 阅读:153578 | 评论:0 | 标签:行业动态 发动攻击 微软Azure 虚拟机

恶意样本分析手册-虚拟机检测篇(上)

阅读: 313每台虚拟机的组成要素:虚拟机的os,应用程序需要的各种包,应用程序。而每一台虚拟机都是在Hypervisor的基础上建立起来的。下面来看一下什么是Hypervisor。
发布时间:2017-08-15 11:30 | 阅读:195965 | 评论:0 | 标签:安全报告 Hypervisor 半虚拟化 绿盟科技 虚拟化技术 虚拟机

SR-IOV VF在KVM下Intel 82599ES的应用

阅读: 105SR-IOV 技术是一种基于硬件的虚拟化解决方案,可提高性能和可伸缩性。SR-IOV 标准允许在虚拟机之间高效共享 PCIe(Peripheral Component Interconnect Express,快速外设组件互连)设备,并且它是在硬件中实现的,可以获得能够与本机性能媲美的 I/O 性能。SR-IOV 规范定义了新的标准,根据该标准,创建的新设备可允许将虚拟机直接连接到 I/O 设备。
发布时间:2017-08-09 02:45 | 阅读:185269 | 评论:0 | 标签:安全分享 Intel 82599ES SR-IOV 技术 SR-IOV 标准 虚拟化解决方案 虚拟机

虚拟机比容器更安全?

理论上,是的。实际上,也许。 我们常说,“HTTPS安全”,或者“HTTP不安全”。但我们真正的意思是,“HTTPS更难以窃听,难以进行中间人攻击”,或者“电脑小白都能偷听HTTP通信”。 然而,HTTPS已经被黑过了,而某些情况下,HTTP已足够安全。而且,一旦在支持HTTPS的常用实现中发现可利用的缺陷(想想OpenSSL和心脏滴血),HTTPS就会在该实现被修正之前都被当成入侵的门道。 HTTP和HTTPS是IETF(互联网工程任务组) RFC 7230-7237和2828中定义的协议。HTTPS被设计成HTTP的安全版本,但说HTTPS安全而HTTP不安全,却隐藏了重要的例外情况。
发布时间:2017-05-24 19:25 | 阅读:155052 | 评论:0 | 标签:术有专攻 安全性 安全漏洞 容器 虚拟机

内存去重 黑客的好朋友

第33届混沌通信大会(33C3)上,安东尼奥·巴雷西和埃里克·柏斯曼拿出了3个基于虚拟机内存去重漏洞利用的黑客方法演示。 内存去重是多虚拟机设置的禁果,即危险又诱人。想象一下你环境中托管了很多虚拟机,这些机器当中很多台在同一时刻内存中的东西都是一样的。或许我们都在看猫咪视频,那就完全可以只保存一个副本到全局内存中,每台用到该视频的虚拟机到共享内存块中自取即可。理论上隔离的机器其实是共享物理内存的。这里面存在什么漏洞呢? 基本上,当内存去重的时候,想要访问那块内存,所花的时间会稍长一些,因为虚拟机(VM)得去查找自身以外的内存地址。
发布时间:2017-02-07 16:50 | 阅读:167484 | 评论:0 | 标签:黑极空间 CAIN攻击 rowhammer 内存去重 安全漏洞 虚拟机

恶意活动隐匿新去处:虚拟机

网络罪犯发现了在被感染机器上隐藏自身罪恶活动的新方法——使用虚拟机。 2016年7月,SecureWorks团队观测到一名攻击者在被感染计算机上创建了一台虚拟机(VM),并试图使用这台VM来规避检测。该事件,是在SecureWorks为曾受到针对性攻击的某客户监视进程创建活动的时候被发现的。 研究人员还发现,攻击者已经取得了被感染环境一定程度的权限,可以通过终端服务客户端与Windows资源管理器shell互动。攻击者使用微软管理控制台(MMC),来启动Hyper-V虚拟机管理器。
发布时间:2016-09-02 16:35 | 阅读:124553 | 评论:0 | 标签:威胁情报 MMC VM 恶意活动 虚拟机

17条网络安全守则 成就高安全防护水平的公司

觉得自己没那么容易被黑?非也!黑客眼里,绝大多数人都是毫不设防的小绵羊。想维持安全状态,以下几个秘密不可不看。被请去做计算机安全实践评估的时候,会看到公司整体实践中哪些有用而哪些根本就是摆设。一名从事信息安全咨询20余年的顾问,每年都会分析20~50家大大小小的公司,他基于这么多年的评估经验能出一个结论:成功的安全策略不在于工具——在于团队。只要在正确的地方配置对的人,有支持性管理和执行良好的防护过程,无论你使用的是什么工具,你的公司都会非常安全。了解计算机安全的重要性,把安全作为业务关键部分,而不仅仅是罪恶之源来看待的公司,也是最不容易遭受灾难性数据泄露的公司。
发布时间:2016-06-08 07:10 | 阅读:127190 | 评论:0 | 标签:术有专攻 培训 网络安全守则 虚拟机 隔离

Shellcode分析工具PyAna

背景介绍Shellcode分析非常重要。然而,静态分析效果不佳,并且很容易失败。另外,静态分析工具通常不是免费的。而动态分析需要在适当的环境中,将shellcode加载到另一个进程中,通常是一个虚拟机。PyAna原理本文中我们将介绍一款新工具PyAna,该工具旨在使得分析shellcode更容易。PyAna使用Unicorn框架来模拟CPU,并创建一个虚拟的Windows进程,shellcode就是注入到该进程中来分析的。这使得它能够做到自动化分析,并能够提供一个灵活的轻量级环境,而不需要一个虚拟机。在未来,PyAna将可以应用于其他领域的安全研究,如fuzzing或漏洞利用检测。
发布时间:2016-01-14 15:25 | 阅读:161758 | 评论:0 | 标签:工具 系统安全 PyAna shellcode 注入 虚拟机

“破天”:Xen虚拟化平台虚拟机逃逸漏洞分析

Xen是领先的开源虚拟化平台,支撑着亚马逊云、阿里云等众多知名的公有云服务的基础建设,因此,保证虚拟化基础设施的安全性具有重要意义。阿里云安全漏洞研究团队致力于云安全威胁的研究与追踪,近日,我们发现并提交了一处Xen平台下的虚拟机逃逸漏洞,漏洞编号为XSA-148/CVE-2015-7835,鉴于该漏洞利用简单且威力强大,我们将它命名为“破天(Dome Breaking)”漏洞。“破天”漏洞详情“破天”漏洞从Xen 3.4版本开始引入,后续版本包括最新发布的Xen 4.6都受该漏洞的影响。
发布时间:2015-10-30 18:55 | 阅读:192986 | 评论:0 | 标签:无线安全 漏洞 破天 虚拟机

PANDA:下一代动态分析平台

PANDA简介:PANDA是构建于顶级QEMU系统上的新一代动态分析平台[1],这使得他可以访问所有正在执行的代码并且可在客户虚拟机操作所有数据,PANDA支持所有基于Qemu体系的模拟器,所以在LLVM IR中每一条指令都能被有效执行。PANDA提供了许多用于有效分析软件的特性!记录和回放:提供记录功能,记录下系统所有的指令方便后面的回放以及后续的分析工作,这个功能独特且十分强大,目前支持i386, x86_64 以及 ARM架构。插件体系:可以简单轻松的写一个插件,这样你就可以随着自己的需求扩展PANDA。
发布时间:2015-09-04 23:50 | 阅读:218614 | 评论:0 | 标签:安全管理 工具 linux PADNA QEMU 分析平台 虚拟机

如何用TOR搭建软路由

尽管文中介绍的方法同样适用于Tor浏览器之外的其他匿名代理,但我们还是专注于介绍如何在研究环境中建立安全的Tor。通过Tor通信的VM正如大多安全研究者所经历的,在VM(Virtual Machine虚拟机)中分析恶意软件或者exp的时候都需要做一个重要决定,而大多数人更愿意选择在离线环境中进行逆向,但是如果你是在监控C&C通信或者一个exp工具包,那离线环境就不可行了。
发布时间:2015-08-28 01:30 | 阅读:275075 | 评论:0 | 标签:其他 tor 虚拟机 软路由

虚拟机危险!一个存在11年的缓冲区溢出漏洞--毒液

CrowdStrike的研究人员昨日声称,他们发现当今大多数最流行的虚拟机平台软件中,都存在一个缓冲区溢出漏洞,该漏洞能够潜在的导致攻击者访问主机。雪上加霜的是,即使管理员禁止访问虚拟软盘驱动代码(话说这年代谁还用软盘?),另一个完全无关的漏洞,仍然允许该代码被访问。由于害怕媒体放大漏洞危害而引起恐慌,研究人员在建立了介绍及修补“毒液”漏洞的网站之后才通知了媒体。研究人员将这个漏洞称为“毒液”(VENOM,虚拟环境忽略运行处理),因为它利用了被长时间忽略的代码,虚拟软盘控制器。
发布时间:2015-05-14 23:45 | 阅读:147053 | 评论:0 | 标签:动态 安全警报 毒液 虚拟机 溢出 漏洞

在Mac上安裝Windows7 – VirtualBox篇

導言VirtualBox、VMware Fusion 跟 Parallels Desktop for Mac 是在 Mac上最知名的虛擬機軟體。其中昇陽公司出的 VirtualBox 更是這三大軟體裡,唯一一個免費的。可別因為它是免費的就小看它耶,一些該有的設定,像是檔案夾分享、無縫模式、滑鼠整合等等,它都沒少。尤其日前昇陽公 司被全球第二大軟體公司甲骨文所併購,若是該公司願意繼續對此軟體提供開發,那將來功能超越另外兩個虛擬機軟體也不無可能(只是希望那時別變得要收費就好 了)。
发布时间:2013-10-05 16:35 | 阅读:154950 | 评论:0 | 标签:虚拟机 virtualbox

优化VMware提高虚拟机运行速度的技巧

vmware虚拟机如何设置不当的话会造成运行速度慢,并影响主机运行,甚至会出现死机。1 修改preference中的选项(全局设置)a 进入设置界面的方法如下图所示:b 修改虚拟机内存的使用方式(关键)这步也是关键步骤之一,否则也会因为读硬盘而导致虚拟机速度明显下降(同时硬盘狂叫,读硬盘是虚拟机速度慢的主要原因)。选中“Fit all virtual machinememory into reserved host RAM”。如下图所示,这样虚拟机就只使用物理内存,不会读硬盘了,当然了,要保证宿主机物理内存有足够的空余供虚拟机使用,否则会出现争用。
发布时间:2013-09-26 19:45 | 阅读:183598 | 评论:0 | 标签:虚拟机 VmWare

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云

本页关键词