记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华又到一年报税季,TA2101对德意美三国广撒网钓鱼
概述Proofpoint研究团队近期发现了数起针对当地公司企业的恶意攻击事件,波及德国、意大利和美国三个国家,所有事件均由TA2101所为,其手法是假冒当地的大型公司或政府机构,为目标群体发送钓鱼邮件,并在受害者机器上安装后门恶意软件。他们所选择的攻击对象没有针对特定的垂直行业,但偏重于商业、IT服务、制造业以及医疗保健行业的人群。Case 1:德国2019年10月16日至23日,Proofpoint注意到有数百封冒充德国联邦财政部的钓鱼邮件,其附件带有恶意Microsoft Word文档,内容是要求收件人提交退还税款的申请(使用附件表单),并在三天内进行处理。这些邮件批量小,主要针对IT服务公司。 图1:钓
间谍软件Agent Tesla再换“新衣”,能有效绕过传统反病毒系统
概要2019年1月开始,思科Talos开始跟踪一系列间谍软件的分发活动,攻击者所用到的恶意软件一般是耳熟能详的Agent Tesla、Loki-bot等,通过定制dropper将最终恶意软件注入到公共进程中,一旦感染成功,便能从多类浏览器或邮件客户端中窃取用户信息。这些注入技术并不新鲜,早就存在多年了,但随着攻击者在感染链上的改进,传统的反病毒系统也很难检测到嵌入的恶意软件。在本文中,我们将介绍其中一起行动,攻击者是如何利用dropper在不同阶段隐藏恶意软件的。任何互联网用户都有可能成为这类恶意软件的目标,如果遭到感染,自己的隐私就有可能完全暴露在攻击者面前。技术概述此次活动以典型的钓鱼邮件的方式开展: 图
容器服务常见的配置错误以及由此造成的泄漏事件
目前市场上总共有40000多个独立的容器托管平台,这些平台具有默认的容器配置,可以快速被识别。 Kubernetes和Docker容器平台各自都有超过20000个独立的容器。但这并不一定意味着这4万多个平台中的每一个容器都容易受到攻击,甚至是敏感数据的泄漏。另外,云服务中看似简单的错误配置可能会对组织造成严重影响。例如,Docker Hub丢失的19万个帐户的密钥和令牌就是攻击者利用云环境中的密钥和令牌存储的弱安全配置的结果。还有-Ladders(美国最受欢迎的招聘网站)在今年发生了超过1370万用户信息被泄露的事件,原因就是基本容器配置错误。在本文的研究中,研究人员能够使用简单的搜索词轻松地在全球找到20353个Ku
发布时间:2019-11-15 13:10 |
阅读:3427 | 评论:0 |
标签:Web安全
以X-VPN为例,说说为什么要少用VPN进行上网?
很多注重隐私的用户都会在上网时使用VPN,他们自以为这样就会减少信息泄漏,其实这样做有时会造成更大的安全风险。今天我们就来说一说,那些绕过安全检测的VPN客户端是如何给你带来灾难性风险的?palo alto networks (派拓网络)威胁情报团队unit 42的研究人员近日专门调查了X-VPN的安全性,该软件会使用各种绕过安全检测的技术。X-VPN是一种虚拟专用网(VPN),可以用来绕过互联网审查和流量测试,这对网络运营商以及VPN用户构成了巨大的风险。X-VPN是目前市场上重视隐私,信息安全和在线自由的VPN客户端之一,借助X-VPN,您可以隐藏IP,在世界任何地方设置虚拟位置,以及在办公室,学校和国外取消阻止流
Apple Mail明文保存加密邮件
苹果公司IT专家Bob Gendler今年早些时间发现macOS上的Apple Mail app以明文的形式将加密邮件保存在snippets.db数据库中,目前还没有被修复。Gendler早在今年7月就将该问题告诉了公司,截至目前苹果公司还没有官方发布漏洞修复的时间轴,但据The Verge的消息,补丁即将修复。APPLE MAIL + SIRI = BAD该漏洞的来源是因为Siri的一个允许苹果语音助手提供联系人信息的功能。Gendler说,Siri使用了一个名为suggestd的进程来为不同的app提供通讯录信息。不管进程发现了什么都会保存在snippets.db文件中,以防用户想要使用联系人推荐的功能。研究发现如
红队渗透测试技术:如何通过鱼叉式网络钓鱼获得攻击机会?
关于红队在渗透测试中使用的网络钓鱼攻击的文章很多,不过大多数的介绍都是不完整的。在本文中,我们将对这个话题进行一次完整的梳理,包括域创建,制作网络钓鱼内容,绕过垃圾邮件过滤器和电子邮件网关,生成不可检测的有效载荷以及绕过Windows保护(例如AMSI)的注意事项。另外,我们还在这篇文章的末尾整理了一份参考文献,如果你感兴趣可以参考。出于安全原因,渗透测试中的客户名称和相关信息已被匿名化。根据红色团队参与的复杂程度和持续时间,你需要衡量你在以下每个项目上花费了多少时间和精力。1.邮件来源:1.1 使用脚本从本地主机(例如你的笔记本电脑)发送邮件;1.2 标头中的IP是否可信;2. 最近启用的VPS,没有发件人历史记录;
浅谈企业 DevSecOps 实践: 安全在 DevOps 中的角色
系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践:安全测试集成系列文章(4):浅谈企业 DevSecOps 实践:构建安全工具链系列文章(5):浅谈企业 DevSecOps 实践:安全计划正如前面提到的,DevOps 并不完全是工具和技术,但它的成功很大程度上取决于人们在这个模型中的工作方式。 我们已经对工具和流程进行了详细的介绍,并且从安全从业者与 DevOps 合作的角度探讨了大部分内容。 由于本文主要是为了帮助安全人员,所以我们在这里概述他们在 DevOps 环境中的作用。 我们
skip-2.0:Winnti组织使用的新型Microsoft SQL Server后门
Winnti是一个从2009年起一直活跃至今的黑客组织,其主要攻击目标是网络游戏行业,窃取由合法软件供应商签发的数字证书和知识产权内容,包括在线游戏项目的源代码。得到源代码后再放到中国黑市进行兜售,或是直接用到这些源代码制作山寨游戏来以此获利。2015年开始,Winnti组织的攻击目标已经不再仅限于网络游戏公司,还包括电信和大型制药公司。而最近,ESET的研究人员发现了Winnti组织之前未公开的一个后门程序——skip-2.0,主要针对MSSQL Server 11/12,能让攻击者通过魔术密码秘密连接到任何MSSQL帐户,还能自动从日志中隐藏这些连接,从而让攻击者悄悄复制、修改或删除数据库的内容,例如操纵游戏币来获
警惕来自节假日的祝福:APT攻击组织”黑格莎(Higaisa)”攻击活动披露
一、概述腾讯安全御见威胁情报中心曾经在2019年年初捕获到一次有意思的攻击活动,该攻击活动一直持续到现在。根据对该组织活动中所使用的攻击技术、被攻击人员背景等分析研判,我们认为该攻击组织为来自朝鲜半岛的一个具有政府背景的APT攻击组织。根据腾讯安全御见威胁情报中心的大数据分析发现,该组织的攻击活动至少可以追溯到2016年,而一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸
隐藏的Excel变量是如何被用于恶意邮件攻击的?
在过去的几个月里,FortiGuard SE团队一直在利用和增强Fortinet机器学习系统来检测新出现的威胁。最近,其中一台机器检测到一个异常的峰值,正是根据这个结果,我们发现了一个恶意软件活动,该活动在过去一段时间曾专门针对日本用户。与大多数钓鱼活动一样,这种攻击从一封试图欺骗收件人打开附件的电子邮件开始,在本文的示例中,附件是一个恶意的Excel文档,其中包含恶意宏。然而,在这次调查中,我们发现了这些攻击者使用的反分析技术,以及一个Excel变量(目前没有文档记录)。FortiGuard机器学习系统发现的异常峰值观察到的流量主要集中在日本攻击活动分析该攻击由发送给收件人的垃圾邮件组成,其中邮件的上下文包含相同邮件
浅谈企业 DevSecOps 实践: 安全计划
系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成系列文章(4):浅谈企业 DevSecOps 实践: 构建安全工具链本文旨在帮助安全人员为应用程序安全程序创建一个大纲或结构。 我们将回答一些常见的问题,比如“我们如何开始构建应用程序安全策略? ” “我如何开始合并 DevSecOps? ” 及”我应该遵守什么样的应用程式安全标准? ”我将讨论软件开发生命周期(SDLC) ,介绍在实施计划时需要考虑的安全事项,并参考一些应用程式安全标准,作为应采取哪些安全措施的指引。 这
Emotet银行木马再次通过大量群发钓鱼邮件攻击国内企业
一、概述腾讯安全御见威胁情报中心监测到多家企业收到钓鱼邮件攻击,钓鱼邮件附件是一个Office文档,运行后宏病毒会下载Emotet银行木马执行。数据显示近期Emotet木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。腾讯电脑管家、腾讯御点均可拦截可疑文档中的宏代码执行PowerShell下载恶意程序的行为。腾讯御点拦截宏代码执行PowerShell下载病毒部分受攻击企业如下:根据腾讯安全御见威胁情报中心统计数据,Emotet针对国内的钓鱼邮件攻击最严重地区为广东、北京、浙江、上海等地。该病毒影响的地区分布如下:二、详细分析感染执行流程感染执行过程如下:群发钓鱼邮件,运行附件后do
发布时间:2019-10-31 18:10 |
阅读:8673 | 评论:0 |
标签:Web安全
电商思路用于恶意软件售卖?用服务口碑抢占市场的Raccoon间谍软件介绍
介绍Raccoon恶意软件是2019年地下经济中最流行的十大恶意软件之一,它既不复杂也不创新,但在出现不到一年的时间内已感染了全球成千上万的设备,吸引了众多网络犯罪分子使用。Raccoon的流行也表明,恶意软件商品化的趋势正变得越来越强,恶意软件创作者从亲力亲为逐渐转型为供应商的角色。本文将重点关注两个方面:一是介绍Raccoon的背景,包括起源、团队成员、商业模式、营销方式、欢迎程度、竞争关系等;二是Raccoon存在的一些技术缺陷和未来可能的发展方向。图1.2019年1至7月,Recorded Future统计的十大恶意软件发展情况要点· Raccoon间谍软件:Cybereason Nocturnus团队自201
浅谈企业 DevSecOps 实践: 构建安全工具链
系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成在本文中,我们将向 你展示如何在 你的 DevOps 自动化框架中集成安全性。 我们将要解决的问题是“我们希望将安全测试集成到开发管道中,并将从静态分析开始。 我们该怎么做? ” 、“我们理解“左移” ,但这些工具有效吗? ” 以及“ 你建议我们从哪些工具开始,以及如何集成这些工具? ” . 由于 DevOps 鼓励在开发和部署的所有阶段进行测试,我们将讨论构建的管道会是什么样,以及适合不同阶段的工具。 安全测试通常与质量
TransparentTribe APT组织最新样本分析报告
TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要通过鱼叉式钓鱼邮件对特定国家政府、军事目标发起攻击,该组织活动最早可以追溯到2012年,并于2016年被proofpoint首次披露,此前深信服安全团队首发布过一篇《来自TransparentTribe APT组织的窃密》的报告,近期又获取到一例TransparentTribe APT组织的最新变种样本,此样本的诱饵文档为日历型电子表格,通过执行表格中宏代码释放恶意程序,窃取受害者主机的敏感信息。样本执行整体流程图:分析诱饵文档文件1.打开诱饵表格文档。2.文档里面包含恶意的宏代码,执行宏代码,表
疑似Group123(APT37)针对中韩外贸人士的攻击活动分析
一、 事件概述腾讯安全御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。二、 技术细节分析1、 初始攻击本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括제안서.rar、BN-190820.rar、list of d
公告
关注公众号hackdig,学习最新黑客技术