记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Anubis银行木马利用运动传感器来绕过检测

近日,Trend Micro安全研究人员在Google Play中发现两款释放银行木马的恶意应用程序。这两个应用程序伪装为手机常用工具,分别是汇率转化Currency Converter和电池管家BatterySaverMobi。目前,Google已经将这两款APP从应用商店中移除了。电池管家APP在下架前的下载次数已经超过5000次,评分为4.5分,共有73个用户评论。现在看来这些评论可能并不是有效的评论,一些评论是匿名的,还有的评论内容是不合逻辑和缺乏细节的。研究人员分析发现这些APP回释放一个链接到银行恶意软件Anubis的恶意payload。对payload做进一步分析发现,其中的代码与Anubis样本非常相像
发布时间:2019-01-21 12:20 | 阅读:1932 | 评论:0 | 标签:Web安全 Anubis银行木马

通过被黑的广告供应链开展新的Magecart攻击

1月1日,我们检测到一直在跟踪的web skimmer群体的活动显着增加。在此期间,我们发现他们的恶意skimming代码(由趋势科技检测为JS_OBFUS.C。)加载在277个电子商务网站上,提供票务,旅游和航班预订服务以及来自名牌化妆品、医疗保健和名牌服装的自托管购物网站。趋势科技的机器学习和行为检测技术在发现时主动阻止了恶意代码(检测为Downloader.JS.TRX.XXJSE9EFF010)。这些活动很不寻常,因为该组织以将代码注入一些受到侵害的电子商务网站而闻名,然后在我们的监控过程中保持低调。对这些活动的进一步研究表明,skimming代码并未直接注入电子商务网站,而是直接注入法国在线广告公司Adver
发布时间:2019-01-20 12:20 | 阅读:8509 | 评论:0 | 标签:Web安全 Magecart攻击

通过广告软件传播新.tro变种的Djvu勒索软件

2018年12月,一款名为Djvu的新勒索软件悄悄出现在了公众视野里。Djvu疑似是STOP勒索病毒的一类变种,它主要通过隐藏在捆绑广告软件的各类破解版软件包中进行传播推广。起初,Djvu中加密文件的后缀名为.djvu,但最近检测到其当中的一个变体已经衍生出了.tro的文件后缀。Djvu刚出来那会儿,我们并不知道该软件的运作模式,也找不到主安装程序的示例。后来在与论坛和其他报告感染的众多受害者进行探讨后,我们注意到一个明确的线索:大多数受害者表示,他们是在下载了一个软件的破解版后感染上该病毒的。从受害者的数量上来看,此次攻击行动是成功的,从受害者每天向ID-Ransomware上报的趋势上也能体现这一点。上报数量趋势图
发布时间:2019-01-20 12:20 | 阅读:8928 | 评论:0 | 标签:Web安全 Djvu勒索软件

云上挖矿大数据:黑客最钟爱门罗币

2018年,区块链项目在这一年上演着冰与火之歌,年初火爆的比特币在一年时间内跌去八成。除了巨大的市场波动之外,区块链领域本身的安全问题也逐渐凸显,与之相关的社会化问题不断显现。“勒索”、“盗窃”、“非法挖矿”是区块链项目数字加密货币的三大安全威胁,其中云主机用户面临的首要安全问题是非法挖矿。非法挖矿一般分为基于文件的挖矿和基于浏览器的挖矿。由于云主机用户一般不使用浏览器访问网页,故基于浏览器的挖矿在公有云上并非较大的威胁。反之,云上基于木马文件的入侵挖矿事件层出不穷,黑客通过用户云主机上的通用安全问题入侵并进行挖矿来直接获取利益,使得用户 CPU 等资源被耗尽,正常业务受到影响。这些被黑客利用的通用问题往往是由于用户缺
发布时间:2019-01-18 12:20 | 阅读:20716 | 评论:0 | 标签:Web安全 门罗币

2019 Emotet再度来袭

在这段假期以来,Emotet进入了活动的低谷期。假期过后,Emotet携带新的payload通过恶意垃圾邮件活动再度来袭。垃圾邮件信息会诱使使用多种不同语言的目标用户打开一个含有恶意代码的附件文档,代码运行后会安装恶意软件。一些垃圾邮件中含有到恶意软件的直接链接信息,如下图所示:Emotet进一步发展Emotet恶意软件一直在不断的进化中,该新变种会检查接收者或受害者的IP地址是否在黑名单中,或者是否在Spamhaus, SpamCop, SORBS等服务维护的垃圾邮件列表中。通过检查攻击者就可以绕过垃圾邮件过滤器,向受害者成功发送更多的垃圾邮件。为了能够更成功的绕过垃圾邮件检测,Emotet还可以修改发送的垃圾邮件主
发布时间:2019-01-18 12:20 | 阅读:19389 | 评论:0 | 标签:Web安全 Emotet

分析HNS僵尸网络

Hide and Seek(HNS)是一种恶意蠕虫,主要感染基于Linux的物联网设备和路由器。此类恶意软件会通过暴力破解SSH / Telnet凭证以和利用一些已知的CVE进行传播。HNS的独特之处在于没有命令和控制服务器,而是使用从受感染设备创建的自定义的P2P网络接收更新。僵尸网络的连通性每个受HNS感染的设备会在端口上运行一个UDP服务器,该端口要么在感染时提供要么随机分配。新感染的设备会被给予IP和端口组合的列表,对应于其他的HNS感染设备(称为对等点)。受感染的设备会保有一个包含其他对等设备的列表,这些对等点的大小基于可用的RAM(通常在512左右)。在对等点列表已满之前,设备将向列表中的对等点发送请求消息
发布时间:2019-01-17 12:21 | 阅读:19330 | 评论:0 | 标签:Web安全 HNS僵尸网络

Gradle Plugin Portal:结合点击劫持和CSRF漏洞实现帐户接管

一、点击劫持漏洞1.1 关于点击劫持点击劫持,也称为“用户界面纠正攻击(UI Redress Attack)”,是指攻击者使用多个透明或不透明层,诱使用户在打算点击顶层页面时,点击到其他页面上的按钮或链接。因此,攻击者“劫持”针对其页面的点击,并将其跳转到另一个页面,而该页面很可能是由另一个应用程序或域名所持有。使用类似的技术,也同样可以劫持击键。通过精心设计的样式表、iframe和文本框组合,用户以为自己是在输入电子邮件或银行帐户的密码,但实际上可能是在键入由攻击者控制的隐形框架。1.2 漏洞发现最近,我对于软件安全CTF挑战比较感兴趣。在观看YouTube时,我偶然发现了Mr. Robot CTF Hacking
发布时间:2019-01-17 12:20 | 阅读:11947 | 评论:0 | 标签:Web安全 CSRF漏洞 点击劫持 CSRF 漏洞

PowerShell无文件持久化技术与常用的防御绕过技术

目前为止,PowerShell仍然是网络安全专家进行防御和黑客进行攻击的首选工具。原因很简单,PowerShell具有很好的可扩展性,支持能力以及适应各种编程语言。如PowerShell Empire,PowerSploit等,都被安全研究人员以及黑客所使用。这两天,就有安全平台检测出了有恶意软件利用PowerShell所进行的攻击,该攻击可以进行持久性攻击并绕过传统安全防护的检测。恶意软件会诱骗用户对网站上的Adobe Flash浏览器插件进行更新,然后使用一个称为mshta.exe的HTA攻击方法。 MSHTA.exe是一个合法的Microsoft二进制文件,可以在任何浏览器中被调用,用于执行.HTA文件。不过在大
发布时间:2019-01-15 12:20 | 阅读:17428 | 评论:0 | 标签:Web安全 Powershell

钓鱼新姿势:全屏API伪装浏览器界面方式分析

概述目前,涉及到加密货币的许多网站,特别是需要用户输入机密信息的平台,都会建议用户检查URL地址栏,从而查看是否包含正确的SSL证书(有些平台中,会特定为EV证书)和正确的URL。因此,许多用户对这一点记忆深刻,并将其作为第一项检查的内容。但近期,我们发现了一种新型钓鱼方式,如果用户访问攻击者特制的页面,可能会产生一种虚假的“安全感”。我们首先要强调,本文所描述的钓鱼方式,与涉及到的任何产品(包括MyCrypto、Binance、Google Chrome、Firefox、Brave)中的漏洞无关。相反,攻击者创建了一个虚假的网站,并使用户相信他们访问的是合法的网站。作为用户,应该始终保持警惕,特别是在处理加密货币的过
发布时间:2019-01-15 12:20 | 阅读:17904 | 评论:0 | 标签:Web安全 网络钓鱼

TA505将新的ServHelper Backdoor和FlawedGrace RAT添加到其军火库中

一、简介在2018年的大部分时间里,我们观察到威胁行为者越来越多的传播下载器、后门程序、信息窃取程序、远程访问特洛伊木马程序(RAT)等,因为他们放弃了勒索软件作为其主要载荷。2018年11月,作为这一趋势最前沿的多产攻击者TA505开始传播一个名为“ServHelper”的新后门。ServHelper有两种变体:一种侧重于远程桌面功能,另一种主要用作下载器。此外,我们观察到下载器变体下载了我们称之为“FlawedGrace”的恶意软件。FlawedGrace是我们在2017年11月首次观察到的全功能RAT。TA505在传播这些恶意软件系列时主动针对银行、零售企业和餐馆。这些目标与我们在2018年早些时候报道的其他活动
发布时间:2019-01-15 12:20 | 阅读:15570 | 评论:0 | 标签:Web安全 TA505

解密WhatsApp备份的新方法

虽然经历过几次信息安全事件,但WhatsApp目前仍然是最受欢迎的即时通讯工具之一。WhatsApp拥有超过15亿用户和大约5亿的日活跃用户,每天发送超过1000亿条消息。WhatsApp的安全得益于端到端加密,使得被截获的消息无法解密。虽然这对消费者和隐私维权人士来说是个好消息,但对执法部门来说也是个坏消息,除非公司同意提供后门,让他们访问嫌疑人的WhatsApp通讯记录,否则执法人员将面临加密问题。那除了使用后门和密码外,是否还有其他选项可以访问WhatsApp会话?目前,我们至少知道两个。第一种选择是从任何一方的设备直接捕获消息数据库,另一种选择是通过云端。WhatsApp并不像Telegram那样,有专属于自己
发布时间:2019-01-14 12:20 | 阅读:10826 | 评论:0 | 标签:Web安全 WhatsApp

Sundown攻击套件的升级

Exploit Kit行业目前正在发生新的调整,原先许多具有攻击性的漏洞攻击套件或者消失,或者市场份额减少,比如Nuclear EK和AnglerEK这样的行业大鳄几乎在同一时间消失了,我们推测这可能与相关的俄罗斯黑客组织被捕有关。目前网络上,被黑客利用最多的是Neutrino,RIG和Sundown,它们被用于勒索软件传播等黑客攻击。什么是Sundown?Sundown是近两年才异军突起的漏洞利用套件,填补了Angler和Nuclear这些大鳄的空缺。早在2015年,安全研究人员就已经发现了Sundown,但当时Sundown还并不是很起眼。现在随着Sundown EK的兴起,其开发者也对这个套件进行了不断的升级,以
发布时间:2019-01-12 12:20 | 阅读:22601 | 评论:0 | 标签:Web安全 Sundown

六种通过钥匙串破解iPhone密码的方法

在苹果的封闭系统世界,钥匙串是macOS、iOS及其衍生产品watchOS和tvOS的核心和最安全的组件之一。钥匙串旨在保护用户最有价值的隐私信息,这包括对身份验证令牌、加密钥匙、信用卡数据等的保护。通常来讲,终端用户是非常熟悉钥匙串常用的一个特定功能的:存储各种密码的能力,这包括网站(Safari和第三方网络浏览器)、邮件账户、社交网络、即时通讯工具、银行账户以及几乎所有其他所有内容的密码,某些记录(如Wi-Fi密码)是要通过系统访问的,而某些记录只能通过各自的应用程序访问。iOS 12进一步开发了密码自动填写功能,允许用户在许多第三方应用程序中使用存储在Safari中的密码。如果可以访问保存在钥匙串中的信息,则可以
发布时间:2019-01-11 12:20 | 阅读:24794 | 评论:0 | 标签:Web安全 移动安全 iPhone phone

广告恶意软件伪装成游戏、远程控制APP感染900万Google play用户

研究人员在Google play中发现85个活跃的广告恶意软件家族,伪装成游戏、TV和远程控制模拟器APP,感染了超900万Google play用户。广告恶意软件是很烦人的,但是又时常出现,而且无法完全解决。研究人员最近发现一个广告恶意软件家族在Google play中伪装成游戏、TV和远程控制模拟器APP。该广告恶意软件家族可以展示全屏广告、隐藏自己、监控手机设备解锁、后台运行。截止目前,该恶意软件家族的85个APP下载次数已经超过900万次。Google在验证了trendmicro的报告后,已经将这些APP从应用商店删除了。图 1. Google Play中的广告恶意软件APPEasy Universal TV
发布时间:2019-01-11 12:20 | 阅读:24694 | 评论:0 | 标签:Web安全 恶意软件

从RFI到meterpreter shell

多年来,我们参加了很多的coding论坛和讨论平台。我们发现的一个最大的问题是他们是使用include,include_once,require,require_once语句的时候,都会使用$_GET或者是其他未经过滤的变量,这就是一个主要的安全风险。在我们渗透测试过程中,我们能挖掘到的最危险的漏洞之一就是远程文件包含(RFI)。RFI漏洞让我们可以以服务器当前的用户身份在服务器上进行代码执行。利用这一点,我们可以生成shell,包含其他代码,也可以通过后渗透测试直接进行提权。这种攻击通常也会导致其他资源遭到破坏和入侵,因为我们可以利用当前已经被攻陷的web服务器去攻击其他主机。我们再来进一步分析一下RFI究竟是什么,
发布时间:2019-01-10 12:21 | 阅读:23331 | 评论:0 | 标签:Web安全 meterpreter shell RFI

iOS应用与Golduck恶意软件C2服务器通信

虽然苹果公司一直对苹果应用商店的APP审核机制引以为豪,但研究人员发现一些经过审核的APP虽然不是恶意应用,但也会有一些有风险的恶意行为。近期,研究人员就在苹果应用商店中发现许多iOS应用程序会将数据转移到Golduck加载器恶意软件使用的C2服务器。Golduck加载器2017年底,Appthority发现Google play应用商店中多个应用程序中存在Golduck恶意软件,恶意软件开发者将Golduck作为恶意广告传播平台,还有一些设备入侵功能。恶意软件加载器常被用于构建僵尸网络,之后可以被用在多阶段感染链条中释放2-3阶段payload,作为恶意软件即服务MaaS的一部分。虽然恶意软件加载器在许多时候都作为d
发布时间:2019-01-10 12:20 | 阅读:20133 | 评论:0 | 标签:Web安全 Golduck恶意软件 iOS

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云