记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Zeppelin:攻击欧美科技和医疗公司的俄罗斯勒索软件

介绍Zeppelin是一款基于Delphi的“恶意软件即服务”(RaaS),其前身为勒索软件Vega(VegaLocker),两者在代码和功能上多有重合,但Zeppelin所涉及的攻击场景则与Vega明显不同。Vega样本于2019年初首次发现,曾在俄罗斯在线广告网站Yandex.Direct上与其他金融恶意软件捆绑分发,主要针对俄语用户,目标广泛没有强针对性。在这一年中,Vega也出现了几个新变种,每个版本都有不同的名称(Jamper,Storm,Buran等),其中一些有在地下论坛上出售。Zeppelin是Vega的最新变种,首批观测到的Zeppelin样本编译时间戳在2019年11月6日之后,其目标是欧洲和美国的
发布时间:2019-12-25 13:25 | 阅读:10713 | 评论:0 | 标签:Web安全 Zeppelin

做完这9大步,Android手机的安全性检查便可明明白白!

Android手机的安全性始终是一个热门话题,好像只要是Android系统,就意味着你的手机迟早会被人攻击。不过现实情况是Google拥有适用于Android的一些非常先进的保护方法,只要你利用这些保护方法,就可以让自己的设备安全。其实很多Android手机的安全性并非来自系统本身,而是用户自己的设备和账户的安全,其实每年仅需20分钟即可确保设置是否正确无误。第1步:查看与你的帐户关联的所有应用和服务随着时间的推移,你可能已授予无数应用程序访问Google帐户的权限,通常情况下,这没什么大不了的,但对于任何你不再使用的应用程序来说,关闭连接是一个明智的主意。在Google的安全设置中访问此页面,以查看所有已授权内容及其
发布时间:2019-12-24 13:25 | 阅读:31013 | 评论:0 | 标签:Web安全 Android手机 Android

Waterbear回归,使用API钩子来逃避安全产品检测

BlackTech间谍组织是一支针对东亚地区进行网络攻击的犯罪团伙,其主要目的是窃取机密信息。自2012年以来,BlackTech已经针对多个国家的政府机构和私营机构进行了大量攻击,他们发起的行动中,有三类最为出名,代号分别为Waterbear、PLEAD和Shrouded Crossbow。本文将主要介绍Waterbear的新攻击动向。“Waterbear”的命名源自攻击行动中使用的恶意软件功能。Waterbear采用了模块化的处理方式,加载模块执行后将会连接到C&C服务器下载主后门程序,随后将后门程序加载到内存中。之后发现的版本利用服务器应用程序作为加载模块,主后门程序通过加密文件加载,或者从C&C服务器下载。然而
发布时间:2019-12-23 18:25 | 阅读:8165 | 评论:0 | 标签:Web安全 Waterbear

如何基于checkra1n Exploit搭建一个iOS 13的App逆向分析环境

本文的目的是帮你进入移动应用程序渗透测试,虽然在Android上起步相对容易,但在iOS上起步就难了。例如,虽然Android有Android虚拟设备和其他一些第三方模拟器,但iOS只有一个Xcode的iOS模拟器,它模拟的是iPhone的程序环境,而不是硬件。因此,iOS应用渗透测试需要一个实际的操作系统设备。而且,即使绕过SSL证书固定等基本操作也很麻烦。 Portswigger的Burp Suite Mobile Assistant需要安装到越狱设备上,并且只能在iOS 9及更低版本上使用。很长一段时间以来,iOS 渗透测试指南都建议在eBay上购买带有不支持的iOS版本的旧iPhone。比如Yogendra J
发布时间:2019-12-22 13:25 | 阅读:33644 | 评论:0 | 标签:Web安全 iOS 13 逆向 exp iOS

人工智能在网络安全领域的四大应用场景

人工智能在安全方面的应用为人们提供了四个独特的安全优势,本文我们就将详细了解机器学习的进步是如何改变传统的威胁检测和预防方法的。网络安全可能是当今任何组织面临的最大威胁,尽管这算不上什么挑战,但系统、数据、云技术、应用程序、设备和分布式终端的激增只会加剧网络安全威胁。这意味着组织必须比以往任何时候都更加努力地工作,以保护他们的资产和客户。其实这已经超出了自动化对策的范围,它现在要求信息安全专业人员积极主动地检测,以先发制人地避免或阻止威胁。目前,有的组织已经寻求AI的帮助来增强安全性和保护其业务资产。具体来说,如今的安全软件使用机器学习、深度学习、机器推理和一系列相关技术来审查大量数据,其目的是加速对正常与异常的理解,
发布时间:2019-12-18 13:25 | 阅读:9516 | 评论:0 | 标签:Web安全 人工智能

绕过WDATP获取LSASS进程数据

最近,我对Windows Defender Advanced Threat Protection(WDATP)如何通过统计探测从LSASS进程中读取的数据量来检测凭证转储产生了浓厚的兴趣。但是,首先需要有一点背景知识:在受WDATP保护的主机上,执行诸如mimikatz之类的标准凭据转储程序时,它会触发如下警报。这个警报很可能是由于mimikatz在尝试访问LSASS进程时使用MiniDumpWriteDump触发的,而LSASS进程又使用ReadProcessMemory作为将数据从一个进程地址空间复制到另一个进程地址空间的方法。接下来,ReadProcoessMemory(RPM)通过NtReadVirtualMe
发布时间:2019-12-16 13:25 | 阅读:8736 | 评论:0 | 标签:Web安全 LSASS WDATP

从头开始了解和使用Hypervisor(第3部分)

从头开始了解和使用Hypervisor(第1部分)从头开始了解和使用Hypervisor(第2部分)虚拟机器控制数据结构(VMCS)逻辑处理器在VMX操作中时会使用虚拟机控制数据结构(VMCS),它们管理进出VMX非根操作(VM项和VM出口)的转换,以及VMX非根操作中的处理器行为,该结构由新指令VMCLEAR,VMPTRLD,VMREAD和VMWRITE操作。上图演示了VMCS区域上的生命周期VMX操作。初始化VMCS区域VMM可以使用不同的VMCS区域,因此你需要设置逻辑处理器关联性并多次运行初始化例程。VMCS所在的位置称为“VMCS区域”。VMCS区域的特点如下:1、4 KB(位11:0必须为零);2、必须与4
发布时间:2019-12-16 13:25 | 阅读:9203 | 评论:0 | 标签:Web安全 Hypervisor

小白带你读论文 & Prototype pollution attack in NodeJS

前言本篇paper来自于 NSEC 2018 :Prototype pollution attack in NodeJS application,写summary的原因因为本篇文章介绍的攻击点和实际问题密切相关,同时在CTF各大比赛中经常出现。背景知识为了介绍什么是原型链污染漏洞,我们得先有一些前置知识,首先观察一段代码:a={};a.__proto__.test2 = '456';b={};console.log(a.test2);console.log(b.test2);b.__proto__.test2 = '789';console
发布时间:2019-12-15 13:25 | 阅读:8774 | 评论:0 | 标签:Web安全 NodeJs web

一次成功利用了相似域的精准BEC攻击

9月9日,汽车零部件制造商丰田纺织(Toyota Boshoku Corporation)报告了一起BEC诈骗(商业邮件诈骗,Business Email Compromise,简称BEC),其中一家欧洲子公司损失了超过3700万美元。BEC攻击非常容易成功,因为欺诈者通常会谨慎选择攻击目标,例如可靠的业务合作伙伴或公司的CEO。BEC攻击主要依赖于社会工程学,向特定目标发送钓鱼邮件,达到攻击目的。想象一下,如果你是一家初创公司的老板,正在等待一百万美元的种子轮融资,但它却从未出现在你的银行账户上。再或者,假如你是一家风险投资公司的老板,你认为自己已经将投资基金转到投资合作中的另一家初创公司,但这些资金却从未出现在对方
发布时间:2019-12-13 13:25 | 阅读:11657 | 评论:0 | 标签:Web安全 BEC

GLUPTEBA使用LOLBINS和CRYPTOMINER扩展操作和工具包

到目前为止,Cybereason Nocturnus团队在2019年已经发现了Glupteba木马的几种变体。 Glupteba最初于2011年被发现为恶意代理,它会在受感染设备生成垃圾邮件和点击欺诈流量。从那时起,它已通过几种不同的方法进行传播并用于多种攻击,包括直到2018年的Windigo行动。这些年来,该恶意软件已经成熟,成为了自己的僵尸网络的一部分,并通过广告软件进行传播。Cybereason Nocturnus小组发现,最近的Glupteba变种在战术,技术和程序上与以前已知的有所不同。这些变体使用Golang编写,Golang是Google在2009年发布的一种开放源代码编程语言,它将多个感染层与各种攻击
发布时间:2019-12-11 13:25 | 阅读:11377 | 评论:0 | 标签:Web安全 CRYPTOMINER Glupteba LOLBINS

瞄准乌克兰政府和军事网络,俄罗斯APT黑客团体再发新攻击

【导读】近日,威胁情报公司Anomali发报告称:自今年10月中以来,俄罗斯APT组织Gamaredon使用武器化文件,对乌克兰发动针对性网络攻击。而攻击目标则是乌克兰的各外交官、政府和军事官员以及执法部门人员。值得注意的是,有专家推测:此举将预示着APT黑客团体将对实体构成巨大威胁与挑战。因为全球各国政府都在利用战役达到战略目的,而就俄罗斯而言,它的网络行动有时是为了配合武装部队的活动。俄APT组织Gamaredon再爆活跃,攻击目标瞄准乌克兰政府军事官员近日,威胁情报公司Anomali发布一则报告,称其发现一个新的恶意活动。该活动至少始于今年10月,攻击目标不受限制,但其最终目标为乌克兰政府和军事官员。研究人员将恶
发布时间:2019-12-10 18:25 | 阅读:10370 | 评论:0 | 标签:Web安全 APT

TrickBot的演变历程

一、背景TrickBot银行木马首次出现在2016年,主要是通过挂马网页、钓鱼邮件的方式进行传播,最终进行窃取网银账号密码等操作。在此之前,深信服安全团队就对TrickBot银行木马进行跟踪,并发布了分析文章《TrickBot银行木马归来袭击全球金融机构》与《TrickBot银行木马下发Ryuk勒索病毒企业损失惨重》,鉴于该家族近期较为活跃,我们从其演变历程的角度给大家揭晓TrickBot银行木马背后那些事。二、初出江湖2016年9月TrickBot银行木马在针对澳大利亚银行和金融服务客户时首次被发现,开始进入安全研究员的视线,并且发现TrickBot与Dyre有非常多的相似之处,具有许多相同的功能,不同之处在于编码方
发布时间:2019-12-09 18:25 | 阅读:10244 | 评论:0 | 标签:Web安全

猜一猜,一部苹果手机总共需要设置几层密码?

一部iPhone,总共需要设置几层密码? 1.屏幕锁定密码(打开iPhone的密码);2.iCloud密码(苹果账号密码);3.iTunes备份密码(保护电脑上的备份);4.屏幕时间密码(同时保护你的设备和帐户)5.一次性密码(双因素身份验证需要用到)屏幕锁定密码这是最重要、最复杂的密码。默认情况下,屏幕锁定密码的长度为6位。虽然你可以在不设置密码的情况下使用你的设备,但这样做会限制你使用iPhone的一些功能,比如Apple Pay。没有屏幕锁定密码,你就无法将网站密码、信息和健康数据同步到iCloud。如果忘记你的屏幕锁定密码,该怎么办?如果你是一个普通用户,你将无法解锁你的iPhone。不过,你可以重置
发布时间:2019-12-08 13:25 | 阅读:31512 | 评论:0 | 标签:Web安全 苹果手机

通过异步迭代简化Node.js流程

如果我们使用异步迭代,那么使用Node.js流程将更加高效。异步迭代和异步生成器异步迭代是用于异步检索数据容器内容的协议,这也意味着当前“任务”可以在检索项目之前被暂停。异步生成器有助于异步迭代,如下所示,就是一个异步生成器函数:/** * @returns an asynchronous iterable */async function* asyncGenerator(asyncIterable) {  for await (const item of as
发布时间:2019-12-07 13:25 | 阅读:9877 | 评论:0 | 标签:Web安全 Node.js

新型恶意软件Phoenix键盘记录器

介绍Phoenix键盘记录器于2019年7月首次出现,短时间内便在网络犯罪分子中快速流传开来,它具有许多信息窃取的功能,这些功能甚至已经超出了按键记录的范畴,所以有人倾向于将其归类为间谍软件。要点· 多来源数据窃取:Phoenix采用的是“恶意软件即服务”(MaaS)的模式,能从近20个浏览器、4个的邮件客户端,以及FTP客户端和通讯客户端中窃取个人数据。· 试图绕过80多种安全产品:Phoenix拥有多个防御和规避机制来避免分析和检测,其中一个反av模块会试图杀死超过80种安全产品和分析工具的进程。· 目标遍及各大洲:虽然Phoenix发布还不到半年时间,但扩散速度很快,北美、英国、法国
发布时间:2019-12-06 13:25 | 阅读:13258 | 评论:0 | 标签:Web安全 Phoenix键盘记录器

“海莲花”(OceanLotus)2019年针对中国攻击活动汇总

一、 概述"海莲花"(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国大陆的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动最活跃的APT攻击组织,甚至没有之一。腾讯安全御见威胁情报中心曾在2019年上半年发布过海莲花组织2019年第一季度攻击活动报告,在报告发布之后一直到现在,我们监测到该组织针对中国大陆的攻击持续活跃。该组织的攻击目标众多且广泛,包括中国大陆的政府部门、海事机构、外交机构、大型国企、科研机构以及部分重要的私营企业等。并且我们监测到,有大量的国内目标被该组织攻击而整个内网都沦陷,且有大量的机密资料、企业服
发布时间:2019-12-05 18:25 | 阅读:12743 | 评论:0 | 标签:Web安全 海莲花

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云