记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华终于有人把各个指令集之间的关系和发展讲清楚了
RISC-VRISC-V(读作“RISC-FIVE”)是一个基于精简指令集(RISC)原则的开源指令集架构(ISA)。与大多数指令集相比,RISC-V指令集可以自由地用于任何目的,允许任何人设计、制造和销售RISC-V芯片和软件。虽然这不是第一个开源指令集,但它具有重要意义,因为其设计使其适用于现代计算设备(如仓库规模云计算机、高端移动电话和微小嵌入式系统)。设计者考虑到了这些用途中的性能与功率效率。该指令集还具有众多支持的软件,这解决了新指令集通常的弱点。RISC-V 的特点有:1.完全开源对指令集使用,RISC-V基金会不收取高额的授权费。开源采用宽松的BSD协议,企业完全自有免费使用,同时也容许企业添加自有指令集
近期中文钓鱼邮件攻击事件分析报告
1、概述2019年2月起,安天CERT发现大量由境外IP向我国用户邮箱发送的钓鱼邮件,邮件主题涉及“发票”、“采购”、“订单”等关键字,并且在邮件中包含同样关键字的恶意附件。经分析,还发现了大量相关类似的钓鱼邮件,但多数以英文“invoice”为邮件关键字。我们认为,该类攻击事件可能是全球范围内进行的黑产活动,其针对不同国家的目标时可能会编写对应语言文字的钓鱼邮件。攻击者通过邮件传播恶意附件,最终载荷为.Net语言编写并进行混淆的“NanoCore”[1]远控木马。“NanoCore”是一款功能强大的远程控制程序(RAT),可以对目标主机的文件、屏幕、进程等进行操作,还支持扩展功能插件。该木马由美国阿肯色州的Taylo
ScarCruft不断进化,引入蓝牙收割机
摘要卡巴斯基安全研究人员最早是在2016年发现ScarCruft组织的攻击活动的,随后一直追踪。ScarCruft的交流语言为韩语,应该是有国家背景的黑客组织,主要攻击朝鲜半岛的组织和企业。近日,研究人员发现了一些关于该组织的攻击活动。分析发现攻击者非常活跃,不断尝试精心制作其攻击攻击。研究人员分析发现了ScarCruft的攻击感染流程。他使用多阶段二进制文件感染来有效地更新每个模块并绕过检测。研究人员还分析了攻击活动的受害者分布,发现其与DarkHotel APT组织的攻击活动有所重合。多阶段二进制感染研究人员发现ScarCruft组织使用常用的恶意软件传播技术,比如鱼叉式钓鱼攻击和Strategic Web Com
攻击观察:通过滥用Windows Installer MSI中的自定义操作来运行恶意JS/VBS/PowerShell脚本
Windows Installer使用Microsoft Software Installation (MSI)包文件来安装程序,每个包文件都有一个关系型数据库,其中包含安装或删除程序所需的指令和数据。趋势科技最近发现了一些恶意MSI文件,它们能绕过传统的安全解决方案,下载并执行其它文件。恶意行为者可以滥用这些文件中的自定义操作来执行恶意脚本,植入恶意软件,并能定位用户电脑中金融应用程序所在位置。分析恶意MSI文件我们在几个恶意.msi文件样本中发现了JScript / VBScript脚本,但脚本文件并不完整,部分代码似乎被截断并放在了文件的其他部分,并且脚本没有直接调用wscript.exe来运行,因为安装程序ms
由浅入深剖析序列化攻击(二)
前言之前写了一篇文章介绍序列化概念和两种常见攻击:1.魔法方法,2.session序列化引擎。本篇文章继续深入,介绍另外方法:原生类序列化问题。原生类同名函数问题引入什么是原生类同名函数攻击漏洞呢?我们不妨看如下代码:class UploadFile { function upload($fakename, $content) { ..... // 你什么也不能做 }
所有开发人员都注意了!苹果将正式采用Notarization机制
本文介绍了苹果将在10.14.5上新引入的App Notarization机制,届时,苹果将要求开发人员上传应用程序之前,将它们提交给苹果,以扫描恶意内容,并查找可能存在的代码签名问题,没有经过苹果检测的应用程序以后可能将不被允许运行。随着macOS 10.14.5的正式发布,苹果首次要求所有开发人员创建一个属于开发者自己的ID证书,以Notarization机制他们的应用程序,并且所有新的和更新的内核扩展都要经过Notarization机制。什么是Notarization机制?代码签名机制是一种对抗恶意软件的重要武器,它能够帮助用户识别已签名App的真实身份,并验证目标应用是否被非法篡改过。代码签名机制基于密码学方法
FIN7 2.0归来:“借尸还魂”的可疑组织们
2018年8月1日,美国司法部宣布逮捕了几名涉嫌与FIN7网络犯罪组织相关的嫌疑人。 FIN7从2015年起开始运营,曾针对数百家公司开展过入侵行动,FIN7的幕后策划者还通过开办假公司,雇佣远程测试人员、开发人员和翻译人员参与他们的恶意业务。其恶意活动的主要目的是窃取公司的金融资产(如借记卡),或取得财务部门的电脑权限和金融数据,进而盗取公司资金。在2018年至2019年期间,卡巴斯基实验室分析了以往与FIN7相同TTPs(战术、技术和过程)的各类行动,得出的结论让研究人员确信:虽然FIN7的相关行为人已被逮捕,但并不意味着FIN7活动的终结。此外,在调查过程中,我们发现了某(些)恶意组织似乎复制了FIN7的套路。最
借助Adidnsdump工具,用普通权限的域帐户即可获取域环境中的所有DNS解析记录
在讲解本文之前,先介绍一下域账户和DNS的几个基本概念。域账户域账户是域是网络对象的分组。例如:用户、组和计算机。域中所有的对象都存储在 Active Directory (AD)下。Active Directory 可以常驻在某个域中的一个或多个域控制器下。什么是DNS?DNS( Domain Name System)是“域名系统”的英文缩写,是一种组织成域层次结构的计算机和网络服务命名系统,它用于TCP/IP网络,它所提供的服务是用来将服务器名和域名转换为IP地址的工作,DNS就是这样的一位“翻译官”。为什么需要DNS解析域名为IP地址?网络通讯大部分是基于TCP/IP的,而TCP/IP是基于IP地址的,所以计算机
绕过nftables/PacketFilter防火墙过滤规则传输ICMP/ICMPv6数据包的漏洞详解(下)
上一篇文章,我们对防火墙过滤规则和ICMP/ICMPv6数据包的传输过程做了充分的介绍,以剖析其中可能出现的攻击风险。本文我就详细解析恶意数据包如何被传送。Nftables的实施和细节Linux是在netfilter conntrack模块中实现的数据包的各种功能,Nftables在netfilter/nf_conntrack_core.c中以函数nf_conntrack_in开始启动,该函数处理在参数skb中发送的每个输入数据包。在nf_conntrack_handle_icmp中处理第4层协议和ICMP和ICMPv6的的提取。unsigned intnf_conntrack_in(struct
虚假Pirate Chick VPN推送AZORult木马
研究人员分析发现有广告恶意软件安装名为Pirate Chick的VPN软件,该VPN软件会连接到远程服务器来下载和安装恶意payload——AZORult信息窃取木马。因为广告恶意软件需要看起来尽可能合法和合理,该恶意软件要求用户同意隐私政策和知情同意,看起来跟真的网站一模一样。下面是Pirate Chick VPN的网站,看起来和其他VPN站点一模一样,还有3个月的免费试用期。Pirate Chick网站恶意软件使用的是一家英国的ATX国际公司的证书进行签名,这样使可执行文件更加可信。研究人员也发现大多数签名的恶意软件都与英国公司相关联。签名的可执行文件研究人员分析该样本发现这是一款伪装成合法VPN软件的木马,会在后
【安全研究】Domain fronting域名前置网络攻击技术
千里百科DomainFronting基于HTTPS通用规避技术,也被称为域前端网络攻击技术。这是一种用来隐藏Metasploit,CobaltStrike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon ,Google,Akamai等大型厂商会提供一些域前端技术服务。下列将会使用Amazon 提供CloudFront (CDN)服务举例。背景在虚拟主机中搭建多个网站服务,为了方便我们区分它们,可以 IP+Port 名称 等方式去访问它们,但是如果是SSL/TLS的话。根据HTTPS的工作原理,浏览器在访问一个HTTPS站点时,先与服务器建立SSL连接。建立连接的第一步就是请求服
绕过nftables/PacketFilter防火墙过滤规则传输ICMP/ICMPv6数据包的漏洞详解(上)
背景知识介绍目前的防火墙总共分四类:包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。应用网关防火墙:不检查IP、TCP标头,不建立连接状态表,网络层保护比较弱。状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。什么是PacketFilter(包过滤)?包过滤是一种内置于Linux内核路由功能之上的防火墙类型,其防火墙工作在网络层。传统的包过滤功能在路由器上常可看到,而专门的防火墙系统一般在此之上加了功能的扩展,如状态检测等,它通过检查单个包
响尾蛇APT组织针对巴基斯坦的定向攻击事件分析
1、概述2019年4月23日,安天CERT发现响尾蛇(SideWinder)APT组织针对巴基斯坦进行的鱼叉式钓鱼邮件攻击事件。该APT组织疑似来自南亚某国,最早活跃可追溯到2012年,主要针对巴基斯坦等国进行攻击,近两年内被安全厂商披露过多次攻击行动/事件,相关攻击事件见下图。图 1‑1响尾蛇(SideWinder)APT组织近期活动事件时间轴本次事件的攻击邮件仿冒巴基斯坦信德省(Sindh)警察局向旁遮普省(Punjab)政府相关人士发送一份标题为《警察紧急威胁等级常设作业程序》和《行动准备颜色代码》为主题的邮件,邮件正文与近期南亚热点问题之一反恐怖主义相关,并在附件中包含存在恶意代码的文档“STANDING&nb
一份来源未知的数据,揭秘了OilRig组织的全部信息(上)
黑客组织OilRig,也被称作APT34或Helix Kitten,于2016年5月首次出现在公众视野中,自那时起便得到了业内人士的广泛研究。OilRig组织在攻击手段上并不是特别复杂,但在追求其任务目标方面极其执着,而且与其他一些从事间谍活动的APT组织不同,他们更愿意偏离现有的攻击方法,使用新技术来达成自己的目标。在对其长时间地跟踪研究后,我们已经熟知他们攻击执行的具体细节、使用工具,甚至能通过他们对VirusTotal的使用痕迹来推测他们的开发周期。不过,由于能访问的数据有限,我们的分析更多地是从被攻击对象的角度出发,也就往往会被限制在表层。最近,一份据称与OilRig活动有关的数据转储数据被不知名人士公开,内容
由浅入深剖析序列化攻击(一)
前言近期因为内部培训有序列化的需求,于是趁此机会由浅入深的剖析一下序列化相关内容。之前也写过由浅入深的xml漏洞系列,欢迎阅读:https://skysec.top/2018/08/17/浅析xml及其安全问题/https://skysec.top/2018/08/18/浅析xml之xinclude-xslt/序列化的概念简单概括来说,序列化即保存对象在内存中的状态,也可以说是实例化变量。在传递一个对象的时候,或是需要把对象保存在文件/数据库中时,就必须用序列化。序列化样例以php官方手册样例为例:<?phpclass SimpleClass{ //&nbs
Inception bar:一种新的钓鱼方法
欢迎来到世界第七大银行汇丰银行!是的,上面图片中的网站并不是hsbc.com,而是我自己开发的网站jameshfisher.com。但是,当你用Chrome移动版浏览器上下滑动浏览这个网站时,会发现除了页面内容不合理,其余都很像hsbc.com,尤其是地址栏,明显就是hsbc.com。本文将介绍这种钓鱼网站是如何产生的以及针对这类钓鱼网站的防御措施。在移动版Chrome浏览器中,当用户向下滚动时,浏览器会自动隐藏URL栏,将URL栏占用的屏幕空间还给网页。而对于大多数用户来说,URL栏的这个位置可以说是浏览器中最可信的部位,如果用户想要判断你正访问网站的网址是什么,大多数人第一时间看看URL栏。因此,浏览器的URL栏也
公告
关注公众号hackdig,学习最新黑客技术