记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

The Pitfall of Threat Intelligence Whitelisting: Specter Botnet is 'taking over' Top Legit DNS Domains By Using ClouDNS

Abstract In order to reduce the possible impact of false positives, it is pretty common practice for security industry to whitelist the top Alexa domains such as www.google.com, www.apple.com, www.qq.
发布时间:2021-11-18 23:33 | 阅读:21366 | 评论:0 | 标签:DNS RAT Botnet AI

白名单之殇:Specter僵尸网络滥用ClouDNS服务,github.com无辜躺枪

摘要 威胁情报的应用,始终存在着“漏报”和“误报”的平衡,为了减少可能的误报带来的业务影响,你的威胁情报白名单中是否静静的躺着 www.apple.com、www.qq.com、www.alipay.com 这样的流行互联网业务域名呢?你的机器学习检测模型,依照历史流量,是否会自动对 .qq.com、.alipay.com 这样的流量行为增加白权重呢? 但安全是对抗,白帽子想“判黑”,黑客想“洗白”。我们看到的白,不一定是真的白,可能只是黑客想让我们以为的白。
发布时间:2021-11-18 12:48 | 阅读:23411 | 评论:0 | 标签:DNS RAT WHITELIST-ABUSE 僵尸网络 网络

Ghost in action: the Specter botnet

Background On August 20, 2020, 360Netlab Threat Detect System captured a suspicious ELF file (22523419f0404d628d02876e69458fbe.css)with 0 VT detection. When we took a close look, we see a new botnet t
发布时间:2020-09-25 22:19 | 阅读:151017 | 评论:0 | 标签:Botnet RAT chacha20

幽灵在行动:Specter分析报告

背景 2020年8月20日,360Netlab未知威胁检测系统捕获了一个通过漏洞传播可疑ELF文件(22523419f0404d628d02876e69458fbe.css),其独特的文件名,TLS网络流量以及VT杀软0检出的情况,引起了我们的兴趣。 经过分析,我们确定它是一个配置灵活,高度模块化/插件化,使用TLS,ChaCha20,Lz4加密压缩网络通信,针对AVTECH IP Camera / NVR / DVR 设备的恶意家族,我们捕获的ELF是Dropper,会释放出一个Loader,而Loader则会通过加密流量向C2请求各种Plugin以实现不同的功能。
发布时间:2020-09-25 17:12 | 阅读:122302 | 评论:0 | 标签:IoT Malware RAT chacha20 Botnet

警惕!黑客利用聊天工具发送RAT木马

文章目录一、概述二、技术分析2.1 第一阶段2.2 第二阶段2.3 第三阶段2.4 第四阶段三、总结与建议四、IOCHash:url:C2:阅读: 9一、概述前段时间,伏影实验室发现一起利用聊天工具传播恶意软件的攻击事件。在该次攻击事件中,攻击者利用Skype聊天工具进行恶意代码投递。事件调查显示,攻击者伪装昵称为财务主管,通过即时聊天工具Skype,向目标投递了名称为“七月份公司重要通知.xlxs.exe”的文件。在聊天界面中,完整的后缀并没有显示,同时如果本地开启已知文件后缀隐藏的设置,在本地浏览文件过程中也可能会错误地认为该文件是一个通知文档。
发布时间:2020-09-17 12:50 | 阅读:67483 | 评论:0 | 标签:研究调研 IoC RAT 恶意软件 聊天工具 黑客 木马

伏影实验室:一次定向攻击事件快速分析

文章目录一、事件综述二、诱饵阶段2.1 wwlib.dll(downloader)2.2 rpc(shellcode)2.3 Cobalt Strike Beacon(RAT Trojan)2.4 攻击者分析阅读: 11一、事件综述在9月12日绿盟科技捕获了一起针对某公司的定向钓鱼攻击事件。伏影实验室研究员对此次事件中涉及的钓鱼样本进行了详细分析。攻击样本使用VMP对木马下载器进行加壳处理,极大的提升了分析难度,通过流量还原的方法,成功获取了其攻击payload,完成了对木马功能的完整分析。
发布时间:2020-09-14 00:37 | 阅读:124100 | 评论:0 | 标签:研究调研 Cobalt Strike RAT 海莲花 钓鱼邮件 攻击

APT Group系列——Darkhotel之窃密与RAT篇

文章目录一、手法简述二、窃密组件Nemim2.1 功能性质2.2 安装驱动2.3 收集系统信息2.4 Rootkit收集击键内容2.4.1 获得PS/2键盘击键内容2.4.2 获得Hid-USB键盘击?
发布时间:2020-09-09 03:14 | 阅读:123999 | 评论:0 | 标签:研究调研 APT Darkhotel RAT 窃密 apt

如何在工业领域中使用RAT进行攻击

前言在进行代码审计、渗透测试和漏洞调查时,研究人员经常遇到安装在工业企业操作技术(OT)网络上的个人电脑的合法远程管理工具(remote administration tool,RAT)。在卡巴斯基研究人员调查的一些安全事件中,攻击者经常使用RAT攻击各种工业组织。在某些情况下,攻击者会在受害目标的计算机上偷偷安装RAT,而在另一些情况下,他们能够巧妙利用组织已经安装的RAT。这些观察结果,使得研究人员认为分析在ICS中使用RAT进行的攻击,显得非常必要,包括RAT在工业网络上的发生概率以及发生的原因。
发布时间:2018-10-20 12:20 | 阅读:168824 | 评论:0 | 标签:Web安全 RAT

一个持续6年的针对多国政府机构的网络间谍活动 — “美人鱼行动”

美人鱼行动是境外APT组织主要针对政府机构的攻击活动,持续时间长达6年的网络间谍活动,已经证实有针对丹麦外交部的攻击。相关攻击行动最早可以追溯到2010年4月,最近一次攻击是在2016年1月。截至目前360追日团队总共捕获到恶意代码样本284个,C&C域名35个。2015年6月,360追日团队首次注意到美人鱼行动中涉及的恶意代码,并展开关联分析,由于相关恶意代码在中国地区并不活跃,所以当时无法判断其载荷投递的方式和攻击针对目标和领域。
发布时间:2016-06-01 05:35 | 阅读:163458 | 评论:0 | 标签:威胁情报 RAT 中东地区 美人鱼行动

老式后门之美:五种复古远程控制工具(含下载)

目前,高级的rootkit技术可以帮助你在渗透中拿到一个shell后进行持久性控制。此外,还有供应商故意提供了一些植入后门,但那就是截然不同的故事了。尽管各式花样翻新的技术与代码层出不穷,可你还记得曾经用过的那些后门吗?本文介绍了5种远程控制工具(Remote Administration Tools)RAT ,又称“后门”,这完全是根据作者个人喜好挑选的。这是我进行合法渗透测试时所使用的工具,它们对于验证渗透的持久性与测量防御手段的有效性提供了重要的帮助。
发布时间:2015-09-11 02:30 | 阅读:191537 | 评论:0 | 标签:工具 系统安全 RAT 木马 后门

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求打赏·赞助·支持💖

标签云