记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

使用贝叶斯网络来识别0day攻击路径

作者:{Esi}@ArkTeam 原文作者:Xiaoyan Sun , Jun Dai, Peng Liu, Anoop Singhal, and John Yen 原文标题:Using Bayesian Networks for Probabilistic Identification of Zero-Day Attack Paths 原文出处:IEEE Transactions on Information Forensics and Security, 2018, 13(10): 2506-2521. 执行各种安全措施(例如入侵检测系统等)可以为计算机网络提供一定程度的保护。但是面对0day攻击,这种安全措施往往不尽如人意。由于攻击者和防御者之间的信息不对称,检测0day攻击仍然是一个挑战。为了
发布时间:2019-03-02 01:15 | 阅读:25343 | 评论:0 | 标签:ArkDemy 论文笔记 0day

软件定义网络中的跨应用投毒

作者:{Fr4nk}@ArkTeam 原文作者:Benjamin E. Ujcich, Samuel Jero, Anne Edmundson, Qi Wang, Richard Skowyra, James Landry, Adam Bates, William H. Sanders, Cristina Nita-Rotaru 原文标题:Cross-App Poisoning in Software-Defined Networking 原文会议: 2018 ACM Conference on Computer and Communications Security 软件定义网络因其在设备控制功能的可编程和可扩展性受到越来越多的欢迎。基于SDN的网络应用蓬勃发展,由于每个应用必须访问或修改共享控制面
发布时间:2019-01-25 18:15 | 阅读:40591 | 评论:0 | 标签:ArkDemy 论文笔记

FANCI: 基于特征的自动NXDomain分类和情报

作者:{LIG}@ArkTeam 原文作者:MSamuel Schu ̈ppen, Dominik Teubert, Patrick Herrmann and Ulrike Meyer 原文标题:FANCI: Feature-based Automated NXDomain Classification and Intelligence. 原文会议:The Proceedings of the 27th USENIX Security Symposium. 现代僵尸网络依靠域名生成算法(DGA)生成的域名与其命令控制(C2)服务器建立连接,而不是使用固定域名或固定IP地址。据DGArchivel,目前已知超过72种不同的DGAs,它的数量不断增加,因为DGA显著提高了僵尸网络抵抗被移除的能力。在之前,
发布时间:2019-01-22 13:15 | 阅读:32039 | 评论:0 | 标签:ArkDemy 论文笔记

基于KVM/QEMU的I/O访问频率感知缓存方法

作者:{Doris}@ArkTeam 原文作者:Vera Rimmer, Davy Preuveneers, Marc Juarez, Tom Van Goethem and Wouter Joosen 原文题目:I/O access frequency-aware cache method on KVM/QEMU 原文来源:Cluster Computing, 2017, 20(8):1-13. 随着IT技术的快速发展,云计算被认为是下一代的计算基础设施。云计算的一个重要组成部分是虚拟机技术,它能够以更好的资源利用率降低数据中心成本。在云计算环境中,由于VDI具有提高资源利用率、保护和整合等优点,因而得到了广泛的应用。通过在同一主机上整合多个来宾虚拟机,VDI可以在虚拟机之间共享主机物理资源,从而提高资源利
发布时间:2019-01-14 13:15 | 阅读:25916 | 评论:0 | 标签:ArkDemy

利用硬件性能计数器(HPCs)中的数据检测恶意软件

作者:{Persist}@ArkTeam 原文作者:Nisarg Patel, Avesta Sasan, Houman Homayoun 原文题目:Analyzing Hardware Based Malware Detectors 原文来源:DAC 2017 在硬件级别检测恶意软件正在成为应对安全威胁增加的有效解决方案。本文是第一次利用各种强大的机器学习方法和HPCs数据来分类良性和恶意软件应用程序。 表格1 Perf 可以获取到的44个HPC事件 通过在两个隔离的环境中分别执行恶意软件和正常程序,分支指令对应的HPC值会产生一个显著的区别,如图所示: 图1 分支指令对应不同的HPC值 这表示,恶意软件和正常程序有着明显不同的分支指令行为。(也适用于其它HPC事件) 利用perf工具
发布时间:2019-01-07 13:15 | 阅读:37244 | 评论:0 | 标签:ArkDemy 论文笔记

NAVEX:针对动态web应用的精确可扩展的漏洞利用生成工具

作者:{wh1t3p1g}@ArkTeam 原文作者:Abeer Alhuzali, Rigel Gjomemo, Birhanu Eshete, and V.N. Venkatakrishnan, University of Illinois at Chicago 原文标题:NAVEX: Precise and Scalable Exploit Generation for Dynamic Web Applications 原文会议:the 27th USENIX Security Symposium 原文链接:https://www.usenix.org/conference/usenixsecurity18/presentation/alhuzali 现代的WEB应用程序多采用动态生成的方式来实现相
发布时间:2018-12-22 01:15 | 阅读:55425 | 评论:0 | 标签:ArkDemy 论文笔记 漏洞

首款UEFI rootkit工具LoJax简述

作者:{Esi}@ArkTeam UEFI rootkit是指在UEFI/BIOS中植入rootkit,该类型工具具有良好的持久化性能,关于这方面的报道曾经有rkloader或面向macOS EFI/UEFI启动植入的DerStarke,以及Hacking Team小组2015年提出的UEFI/BIOS rootkit,但该工具的使用一直停留在理论阶段。今年9月ESET首次公开了第一个用于实战的UEFI rootkit工具——LoJax。根据有关专家分析,该工具有可能来自Sednit团队(APT28)。 LoJax的原型来自Absolute Software的LoJack防盗软件,是一种专有的笔记本电脑盗窃恢复软件。其功能包括远程锁定,删除文件以及在地图上找到被盗笔记本电脑。LoJack使用UEFI
发布时间:2018-11-30 18:15 | 阅读:56693 | 评论:0 | 标签:ArkDemy

浏览器指纹真的有效吗?

作者:{RealWorlds}@ArkTeam 原文作者:Alejandro Gómez-Boix、Pierre Laperdrix、Benoit Baudry 原文标题:Hiding in the Crowd: an Analysis of the Effectiveness of Browser Fingerprinting at Large Scale 原文会议:Proceedings of the 2018 World Wide Web Conference (WWW2018) 下载链接:https://dl.acm.org/citation.cfm?doid=3178876.3186097 自从2010年Eckersley[1]关于浏览器指纹的研究发布以来,关于浏览器指纹能否真正用来追踪的
发布时间:2018-11-26 13:15 | 阅读:47802 | 评论:0 | 标签:ArkDemy 论文笔记

SAQL:基于流查询的实时异常行为检测系统

作者:{Fr4nk}@ArkTeam 原文作者:Peng Gao, Xusheng Xiao, Ding Li, Zhichun Li, Kangkook Jee, Zhenyu Wu, Chung Hwan Kim, Sanjeev R. Kulkarni, Prateek Mittal 原文标题:SAQL: A Stream-based Query System for Real-Time Abnormal System Behavior Detection 原文会议: The 27th USENIX Security Symposium 由一系列漏洞和终端主机组合发起的高级网络攻击严重威胁了受到良好保护企业的安全性。为了应对这些挑战,作者提出了一种基于流的实时查询系统,将来自企业中众多主机聚合的
发布时间:2018-11-19 13:15 | 阅读:46730 | 评论:0 | 标签:ArkDemy 论文笔记

单点登出,你在哪儿?一个基于Web的SSO账户劫持与会话管理的实证分析

作者:{LIG}@ArkTeam 原文作者:Mohammad Ghasemisharif, Amruta Ramesh, Stephen Checkoway, Chris Kanich and Jason Polakis 原文标题:O Single Sign-Off, Where Art Thou? An Empirical Analysis of Single Sign-On Account Hijacking and Session Management on the Web. 原文会议:The Proceedings of the 27th USENIX Security Symposium. SSO(单点登录)的出现使得网络变得紧密相连,使得用户不用为复杂的网站账户注册和管理而费神。然而它的广
发布时间:2018-11-05 01:15 | 阅读:50839 | 评论:0 | 标签:ArkDemy 论文笔记

通过DNSSEC签名的反向区域枚举应用于大型安全扫描的活动IPv6主机

作者:{Doris}@ArkTeam 原文作者:Kevin Borgolte , Shuang Hao , Tobias Fiebig , Giovanni Vigna 原文题目:Enumerating Active IPv6 Hosts for Large-scale Security Scans via DNSSEC-signed Reverse Zones 原文来源:IEEE Computer Society 近年来出现了大量不同程度的互联网安全挑战。互联网上的IPv4安全扫描已经成为现代安全研究的一个组成部分。 然而,IPv4地址的总数是有限的。对于这些地址中的许多,它们的使用通过特殊使用安排进一步受到限制,IPv4地址耗尽问题的公认的长期解决方案被认为是Internet协议版本6(IPv6
发布时间:2018-10-29 13:15 | 阅读:54202 | 评论:0 | 标签:ArkDemy 论文笔记 扫描

利用强化学习来躲避基于机器学习的静态恶意PE文件检测模型

作者:{WJN}@ArkTeam 原文标题:Learning to Evade Static PE Machine Learning Malware Models via Reinforcement Learning 原文作者:Hyrum S. Anderson, Anant Kharkar, Bobby Filar, David Evans, Phil Roth 原文出处:https://arxiv.org/pdf/1801.08917 (前导文章曾在BlakHat会议上展示,链接为https://www.blackhat.com/docs/us-17/thursday/us-17-Anderson-Bot-Vs-Bot-Evading-Machine-Learning-Malware-Detecti
发布时间:2018-09-21 18:15 | 阅读:68024 | 评论:0 | 标签:ArkDemy 论文笔记

使用深度学习的方法对恶意web内容进行快速检测

作者:{Esi}@ArkTeam 原文作者:Joshua Saxe, Richard Harang, Cody Wild, Hillary Sanders 原文标题:A Deep Learning Approach to Fast, Format-Agnostic Detection of Malicious Web Content 原文出处:arXiv preprint arXiv:1804.05020, 2018. 恶意网页内容是当今网络攻击的一个主要因素。这种恶意内容分为两类。第一类是攻击者利用浏览器软件漏洞在用户计算机上实现恶意目的。第二类是网络钓鱼,其目标是欺骗用户泄露财务信息或登录凭据。检测和阻止此类内容存在多种挑战。首先,检测方法必须在用户端和防火墙中使用的商用硬件上快速运行,这样才不会
发布时间:2018-09-16 01:15 | 阅读:67333 | 评论:0 | 标签:ArkDemy 论文笔记

Membrane: 通过内存分页分析检测恶意代码加载的后验检测

作者:{Doris}@ArkTeam 原文作者:G Pék , Z Lázár , Z Várnagy , M Félegyházi , L Buttyán 原文题目:Membrane: A Posteriori Detection of Malicious Code Loading by Memory Paging Analysis 原文来源:European Symposium on Research in Computer Security, 2016 :199-216     恶意软件可以使用各种方法来控制系统并隐藏其存在。由于其多功能性,代码加载通常被当代恶意软件使用,也是恶意软件用于实现持久性的关键技术之一。当恶意软件添加或替换现有代码的功能以执行其自己的组件时,就会发生代码加载。 当前
发布时间:2018-08-24 18:15 | 阅读:76805 | 评论:0 | 标签:ArkDemy 论文笔记

反序列化工具链的自动发掘

作者:{fr4nk}@ArkTeam 原文作者:Ian Haken 原文标题:Automated Discovery of Deserialization Gadget Chains 原文会议:Black Hat USA 2018 近年来反序列化漏洞被持续挖掘来进行网络攻击,2015年Frohoff和Lawrence公布了一个Apache Commons工具集远程代码执行漏洞。随后Java反序列化漏洞飙升,去年Black Hat大会上,Muñoz和Miroshis提出了对危险JSON反序列化库进行的研究。由于很多自动化检测技术都集中在漏洞触发的入口点,很大程度上找到一个可进行漏洞利用的工具链仍然需要大量的手工操作。 在原文中,作者对已有的反序列化漏洞利用工具进行了调研分析,其中ysoserial主要是对某
发布时间:2018-08-24 18:15 | 阅读:81200 | 评论:0 | 标签:ArkDemy 论文笔记

文件上传限制绕过

作者:{Persist}@ArkTeam 本文将讨论Web应用程序如何处理文件上传的方法,以及如何验证发送到服务器的文件以及如何绕过这些验证。 客户端过滤验证 客户端验证是一种在输入内容实际发送到服务器之前进行的验证。它通过JavaScript,VBScript或HTML5属性在Web浏览器上进行。程序员使用此类验证通过在浏览器级别快速响应来提供更好的用户体验。 客户端过滤绕过 通过关闭浏览器上的JavaScript或在请求退出浏览器之后以及在将其发送到服务器之前篡改HTTP请求,可以轻松绕过这种类型的验证。 图1 客户端过滤绕过 我们能够通过浏览器上传常规图像然后通过更改请求来绕过这种类型的验证。在这种情况下,我们重命名该文件并使用.php扩展名而不是.jpeg扩展名,我们还用恶意代码替换
发布时间:2018-08-18 01:15 | 阅读:82964 | 评论:0 | 标签:ArkDemy 安全技术

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词