记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

无视AWS云服务器防火墙的恶意软件Cloud Snooper

近期,SophosLabs安全团队在Amazon Web Services(AWS)云服务器中发现了一起复杂的恶意软件感染事件,攻击者采用了独特的技术组合来逃避检测,能让恶意软件无视防火墙与C2服务器自由通信。此次攻击虽然在AWS上发生,但并不是AWS本身的问题,攻击者滥用合法流量(例如普通Web流量)来承载C2流量,这种方法可以绕过大多防火墙的限制。该恶意软件被命名为Cloud Snooper,受感染的系统同时运行Linux和Windows EC2实例。鉴于攻击的复杂性和对APT工具的使用,该恶意软件背后的可能是APT组织团伙在运营。异常流量报警AWS安全组(SG)检测到异常流量后进行了适当的调优,设置为仅允许入站HTTP或HTTPS流量,但受感
发布时间:2020-03-02 13:39 | 阅读:5973 | 评论:0 | 标签:防火墙

利用IIS的模块功能绕过防火墙

0x00 前言在之前的文章《利用IIS的端口共享功能绕过防火墙》曾介绍了如下问题的解决方法: Windows服务器开启了IIS服务,防火墙仅允许80或443端口进行通信,那么如何在不使用webshell的前提下,实现对该服务器的远程管理?更进一步,如果只有低权限,有没有办法呢? 本文将介绍以上问题的另一种解决方法:利用IIS的模块功能绕过防火墙。0x01 简介本文将要介绍以下内容:· IIS的模块功能· 使用c++开发模块· 使用c#开发模块· IIS-Raid测试· 利用分析· 防御检测0x02 IIS的模块功能自IIS7开始,开发人员可以通过模块功能(Module)来扩展II
发布时间:2020-02-28 10:32 | 阅读:6342 | 评论:0 | 标签:防火墙

VMware发布服务定义防火墙,为虚机安全提供原生保护

至顶网安全频道 04月10日 综合消息: 安全问题一直是IT的关注重点。为了确保IT系统的安全,数据中心一般需要部署各种安全产品,包括防火墙、IPS、WAF等等,这些产品虽然能起到一定作用,但不足也显而易见:大部分安全产品和设备都是面向传统IT环境的,并不能很好地适应以虚拟化为主的云环境;其次,这些产品以硬件产品为主,成本高还不够灵活。日前,VMware对外发布了一个新的安全产品:服务定义防火墙。这是一款面向云环境的原生的防火墙,以软件形式部署,可以给虚拟化环境带来主动的安全防护,引起了安全行业的关注。VMware推出的服务定义防火墙依托VMware的两个产品NSX Data Center和AppDefense实现。其中,NSX是VMware的网络虚拟化产品,它与
发布时间:2020-02-10 19:51 | 阅读:5746 | 评论:0 | 标签:防火墙

WindowsFirewallRuleset:一套针对Windows防火墙规则集的PowerShell脚本

WindowsFirewallRuleset 该工具根据下列因素,已将Windows防火墙规则组织成为了单独的PowerShell脚本: 1、规则组 2、流量方向 3、IP版本(IPv4/IPv6) 4、根据程序和服务进行进一步分类 例如: 1、ICMP流量 2、浏览器规则 3、Windows系统规则 4、存储的应用程序 5、Windows服务 6、微软程序 7、第三方程序 8、广播流量 9、等等… 你可以根据
发布时间:2020-02-02 17:45 | 阅读:8675 | 评论:0 | 标签:防火墙

Fragscapy:通过协议Fuzz的方法探测IDS/防火墙检测规则的漏洞

Fragscapy是一个可以测试防火墙保护能力的工具,旨在通过模糊通过防火墙发送的网络消息来检测防火墙和IDS中的漏洞,该开源项目可从Amossys的Github获得。什么是所谓的“ Fragscapy”?我们经常分析防火墙和IDS,测试它们的配置可能很耗时。当然,开发了一些基本工具和脚本来自动化这些测试。Fragscapy旨在对这些工具进行现代化和改进,它用自动化,模块化,可扩展和高级的Python 3项目代替了它们。顾名思义,Fragscapy基于Scapy进行网络数据包处理。简而言之,Fragscapy是一种可以针对防火墙的保护运行连续测试的工具,其背后的原理实际上非常简单。Fragscapy的一般原理Frags
发布时间:2019-10-25 13:10 | 阅读:19731 | 评论:0 | 标签:安全工具 Fragscapy 防火墙 漏洞

利用IIS的端口共享功能绕过防火墙

0x00 前言我最近在思考这样一个问题:Windows服务器开启了IIS服务,防火墙仅允许80或443端口进行通信,那么如何在不使用webshell的前提下,实现对该服务器的远程管理?更进一步,如果只有低权限,有没有办法呢?0x01 简介本文将要介绍以下内容:· HTTP.sys和端口共享· WinRM服务· HTTP Server API· 针对80和443端口的利用方法· 针对高权限和低权限的利用方法· 检测方法0x02 基本概念1.HTTP.sys和端口共享微软在Windows 2003 Server加入了内核驱动程序(Http.sys),用于侦听http流量并根
发布时间:2019-08-23 13:10 | 阅读:68025 | 评论:0 | 标签:技术 绕过防火墙 防火墙

使用Microsoft.com域来绕过防火墙并执行有效载荷

Microsoft.com是互联网上最广泛的域名之一,目前拥有数千个注册的子域名。 Windows 10将每小时对这些子域进行数百次ping操作,这对防火墙和监控操作系统发出的所有请求构成了安全挑战,攻击者可以使用这些子域来提供有效载荷以逃避网络防火墙。最近,当我试图在社交媒体上分享一篇文章时,Twitter阻止我在tweet窗口中输入一个简单的PowerShell命令。之后,Twitter显示了一条错误消息,说明该推文无法提交。我突然想到,黑客过去一直在twitter上发布PowerShell命令,目的是将该服务用作一个有效的载荷托管系统。这个概念并不新鲜,让我想到了可以类似使用的其他流行域名,以及该活动对攻击可能带
发布时间:2019-08-04 12:25 | 阅读:56492 | 评论:0 | 标签:Web安全 Microsoft.com域 绕过防火墙 防火墙

剥丝抽茧,层层破解!看我如何一步步绕过防火墙直至获取你的支付卡信息

前言此文章介绍了以窃取数据为目标的完整渗透过程,作者首先通过enum4linux对域环境进行信息收集,整理出用户名字典后,然后暴力破解SMB。获得了一个域账号权限后,再使用 Kerberoasting技术获取到域管理员权限,最后通过域管理员下发组策略的方式获取到包含目标数据系统的权限。一步步绕过Windows域中的防火墙获取支付卡敏感数据本文详细介绍了如何绕过防火墙以获取对持卡人数据环境(cardholder data environment,CDE)的访问权限,并最终提取支付卡数据。如果你要存储、传输或处理支付卡数据,那么就必须要确保支付卡数据在你的内部网络中保持高度安全,内部网络环境必须符合PCI数据安全标准(PC
发布时间:2019-05-27 12:25 | 阅读:69161 | 评论:0 | 标签:系统安全 支付卡 防火墙

绕过nftables/PacketFilter防火墙过滤规则传输ICMP/ICMPv6数据包的漏洞详解(下)

上一篇文章,我们对防火墙过滤规则和ICMP/ICMPv6数据包的传输过程做了充分的介绍,以剖析其中可能出现的攻击风险。本文我就详细解析恶意数据包如何被传送。Nftables的实施和细节Linux是在netfilter conntrack模块中实现的数据包的各种功能,Nftables在netfilter/nf_conntrack_core.c中以函数nf_conntrack_in开始启动,该函数处理在参数skb中发送的每个输入数据包。在nf_conntrack_handle_icmp中处理第4层协议和ICMP和ICMPv6的的提取。unsigned intnf_conntrack_in(struct 
发布时间:2019-05-13 12:25 | 阅读:70420 | 评论:0 | 标签:Web安全 防火墙 漏洞

挖矿蠕虫肆虐,详解云防火墙如何轻松“制敌”

根据阿里云安全团队发布的《2018年云上挖矿分析报告》显示,过去一年中,每一波热门0 Day的出现都伴随着挖矿蠕虫的爆发性传播,挖矿蠕虫可能因为占用系统资源导致业务中断,甚至还有部分挖矿蠕虫同时会捆绑勒索病毒(如XBash等)给企业带来资金与数据的损失。如何提升企业的安全水位,抵御挖矿蠕虫的威胁成为每个企业都在思考的问题。本文以云上环境为例,从挖矿蠕虫的防御、检测和入侵后如何迅速止血三方面来阐述阿里云云防火墙如何全方位抵御挖矿蠕虫。1.挖矿蠕虫的防御1.1 挖矿蠕虫的传播方式据阿里云安全团队观察,云上挖矿蠕虫主要利用网络上普遍存在的通用漏洞和热门的0 Day/N Day漏洞进行传播。1.1.1 通用漏洞利用过去一年挖矿
发布时间:2019-05-09 17:25 | 阅读:67940 | 评论:0 | 标签:系统安全 挖矿蠕虫 防火墙

绕过nftables/PacketFilter防火墙过滤规则传输ICMP/ICMPv6数据包的漏洞详解(上)

背景知识介绍目前的防火墙总共分四类:包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。应用网关防火墙:不检查IP、TCP标头,不建立连接状态表,网络层保护比较弱。状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。什么是PacketFilter(包过滤)?包过滤是一种内置于Linux内核路由功能之上的防火墙类型,其防火墙工作在网络层。传统的包过滤功能在路由器上常可看到,而专门的防火墙系统一般在此之上加了功能的扩展,如状态检测等,它通过检查单个包
发布时间:2019-05-09 12:25 | 阅读:93394 | 评论:0 | 标签:Web安全 防火墙 漏洞

MikroTik RouterOS未经认证可绕过防火墙访问NAT内部网络(CVE-2019-3924)

设计缺陷在针对MikroTik进行漏洞研究时,我在RouterOS中发现了一个未公开的漏洞,该漏洞的编号为CVE-2019-3924。该漏洞允许远程攻击者在未经身份验证的情况下通过路由器的Winbox端口代理特制的TCP和UDP请求。该代理请求甚至可以绕过路由器的防火墙,到达LAN主机。这个代理行为看上去很简洁,但对我而言,最有趣的一个地方是WAN上的攻击者可以向局域网中经过防火墙保护的主机进行攻击。本文将主要介绍这种攻击方法。如果各位读者对复杂的概念验证过程比较感兴趣,建议首先观看下面的视频:https://youtu.be/CxyOtsNVgFg部署为了证明这个漏洞,我首先需要选择一个攻击的目标。我没有选择太远的目
发布时间:2019-02-28 12:20 | 阅读:113276 | 评论:0 | 标签:漏洞 CVE-2019-3924 防火墙

虚拟防火墙的前世今生

虚拟防火墙的缘起 从古至今,火攻战术层出不穷,从孙子兵法的火攻计到三国时期的火烧赤壁,甚至现代战争二战期间的李梅火攻(美军针对日本东京的战略轰炸),火的攻击艺术被展现得淋漓尽致。而对于这类攻击的防护,最常见的莫过于筑建深沟高垒,通过纵深防御体系进行阻击。 时至IT时代,人们为了防御来自于外部网络的各种攻击,也在网络世界“筑”起了一道墙,这就是网络防火墙。 网络防火墙历经三十年发展,在网络安全领域里有着不可替代的地位。但随着计算机科学技术的不断发展,硬件防火墙已经越来越不能满足企业的需求了。 其一,跨地域的全国性超大企业集团和机构的业务规模及管理复杂度都在急剧增加,传统的管理运营模式已经不能适应业务发展需求。企业信息化成为解决目前业务发展的关键,得到各企业和机构的重视。 其二,随着
发布时间:2018-11-22 18:45 | 阅读:89141 | 评论:0 | 标签:观点 防火墙

解析现代防火墙如何分析网络流量

作为一种安全工具,防火墙已经证明了它们能够有效保护网络免受恶意攻击者的入侵。正确配置的防火墙可以显著降低感染恶意软件或泄露敏感数据的风险。本文介绍了现代防火墙如何分析网络流量,基于主机的防火墙是必备的安全解决方案。我们仔细研究了基于主机的防火墙体系结构,并用真实案例解释了防火墙背后的原理。一、现代防火墙如何分析网络流量安装在主机上的防火墙,其目的是控制网络流量。基于主机的现代防火墙执行多层次的流量分析,其中包括开放系统互连(OSI)模型各层的数据包分析。在网络层和传输层执行基本过滤。防火墙检查MAC和IP地址以及数据包源和目标端口,以确定是否允许数据包通过。更高级的检查是使用多种状态过滤方法来分析包序列。状态过滤器保存
发布时间:2018-07-08 12:20 | 阅读:105356 | 评论:0 | 标签:Web安全 防火墙

Get新技能,不用SSH端口转发绕过防火墙

我们中的大多数人都面临着一个常见的问题:不能访问办公电脑(office PC)或任何本地设备,因为这些设备都具有某种非常严格的企业防火墙,或者是其路由器作为硬件防火墙。对大多数人来说,我们办公电脑防火墙是连接互联网的。这里的问题是,默认情况下,它不会允许任何来自互联网的传入流量进入内部网络。也就是说,您可以通过连接到办公室内部网络的办公室PC连接Internet上的远程主机,但远程设备无法连接到你的办公电脑。如果你必须从你家庭网络中访问你办公电脑(Office PC)里的文件和其他材料,这将是一个巨大的麻烦。那么存在解决方案吗?事实上有很多方法可以连接到路由器/防火墙后面的设备。1)添加一个防火墙规则,允许从一个特定远
发布时间:2018-04-02 12:20 | 阅读:126491 | 评论:0 | 标签:技术 路由器 防火墙

CobaltStrike-用“混淆”绕过Windows防火墙

对所有红队成员来说,在不惊动组织的情况下传输载荷是项永恒的挑战。像所有其他安全方案一样,Windows防火墙利用CobaltStrike工具后也在检测通用有效载荷方面效果更明显了。 在这个例子中,我们将探讨用Cobalt Strike生成一个Pwershell,并展示我们如何对其操控,让其执行绕过Windows10电脑的防火墙。但这还不是从Windows防火墙中隐藏自己载荷最优雅或简单的方案,只能说是办法之一,且行之有效。 创建载荷的过程如下: 截屏时间:3月14日16:50:50 这样就生成了带有一个Powershell命令的载荷文本。 如果在感染者电脑上运行该命令,Windows防火墙会将其视为威胁,发出警告内容。 为了绕过Windows防火墙,我们需要首先理解CobaltStrike生成载荷的原理,然
发布时间:2018-03-21 01:45 | 阅读:153531 | 评论:0 | 标签:技术控 防火墙

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云