记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华如何逃逸Sysmon工具对DNS的监控
Sysmon是微软的一款轻量级的系统监控工具,最开始是由Sysinternals开发的,后来Sysinternals被微软收购,现在属于Sysinternals系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。最近Sysmon的开发人员又对Sysmon进行了改进,在其中加入了一项新功能,允许Sysmon记录DNS事件。虽然这为安全管理人员提供了一个很好的事件追踪方式,但任何事物都有其两面性,如果我们作为攻击者,这意味着如果我们植入的恶意软件或有效载荷尝试通过DNS进行通信,则Sysmon就会出现许多DNS攻击的监控指标,攻击者就可以使用
FunkyBot:针对日本的新型Android恶意软件家族
2018年,FortiGuard安全实验室发现了一场针对日本用户的恶意软件行动,攻击者通过将自己伪造成一家物流公司来传播Android恶意软件“FakeSpy”。FortiGuard一直对此行动保持密切关注,直到最近,攻击者创建的钓鱼网站中开始出现了新的Android恶意payload。此次出现的payload像往常一样,由封装程序和payload组成,但这两者与我们以往遇到的都不同。以我们的经验来看,这是一类新的恶意软件,很可能是由活动背后的同一个人开发,用以替代他们已经“太过出名”的FakeSpy恶意软件。根据在payload的持久性机制中找到的日志字符串(如图7),我们决定将这个新的恶意软件系列称为FunkyBo
Ostap:超过34,000行的JavaScript下载器用于TrickBot分发活动中
介绍威胁行为者在危害系统时,通常需要考虑如何进入目标网络才能避免被检测到,而传递恶意附件的网络钓鱼邮件往往就充当了初始感染媒介的角色。此外,攻击者还需要一种方法,在安全监控产品的眼皮底下执行代码。最常见的一种代码执行技术就是使用解释脚本语言,可以在操作系统上运行而不需要额外的依赖关系。以Windows为例,受到攻击者青睐的语言包括PowerShell、VBScript、JScript、VBA,以及滥用cmd.exe来执行指令。攻击者和防御者的关系就像猫和老鼠,在进步的道路上不断追逐。我们经常看到恶意行为者为了增加入侵的成功率,花了很多心思在工具改进上,尤其是最开始破坏系统的下载器上。2019年8月初,我们注意到传播Tr
Windows shellcode执行技术入门指南
本文旨在介绍如何在进程的内存空间中执行shellcode的基本技术,之所以要专门拿出一篇文章来单独讨论这个技术,是因为每天都会出现实现隐身代码执行的新技术。不过要将这些新概念完全理解则没有那么简单。本文将介绍以下四种执行技术:1.动态内存分配;2.函数指针的执行3..TEXT-Segment执行;4.RWX-Hunter执行;其中前两种技术是众所周知的,大多数人应该熟悉这些,然而,后两种技术可能比较新,大多数人并不是很熟悉。这些技术都描述了在不同内存部分中执行代码的方法,因此有必要先说一说进程内存布局。进程内存布局首先需要理解的概念是,整个虚拟内存空间分为两个相关部分:为用户进程预留的虚拟内存空间(用户空间)和为系统进
使用osquery进行远程取证
Osquery是一个SQL驱动操作系统检测和分析工具,它由Facebook创建,支持像SQL语句一样查询系统的各项指标,可以用于OSX和Linux操作系统。另外,osquery是一个多平台软件,可以安装在Linux,Windows,MacOS和FreeBSD上。它允许我们使用基于SQL的查询来处理操作系统的配置文件、性能和安全检查等。另外,系统管理员使用osquery可以对端口进行远程控制和日常监控,安全管理员也可以使用它来寻找系统上潜藏的攻击指标。现在,取证人员也开始注意到osquery了。虽然osquery 的核心服务非常适合远程查询各种系统级数据,但通过取证的方法将使其能够检查更深层的数据结构和元数据,而一般情况
实现系统调用的几种方法
本文,我们将讨论在x86上实现用户到内核转换的许多方法,即系统调用。让我们首先快速回顾一下实际需要完成哪些系统调用。在现代操作系统中,用户模式(执行普通应用程序代码)和内核模式(能够接触系统配置和设备)是有区别的。系统调用是应用程序从操作系统内核请求服务并弥合它们之间差距的一种方法。为了实现这一点,CPU需要为应用程序提供一种机制,使其能够安全地从用户模式转换到内核模式。所以在这样的运行环境中,安全是最重要的,意味着应用程序不能跳转到任意的内核代码。否则,这将允许应用程序在系统上做它想做的任何事情,留下安全隐患。内核必须能够配置定义的入口点,而处理器的系统调用机制必须强制执行这些入口点。在处理系统调用之后,操作系统还需
九年后“中国菜刀”依然锋利:China Chopper三起攻击案例分析
介绍过去发现的威胁常常会随着时间的推移而逐渐退出于公众视野中,但China Chopper却保持了长久的生命力。在过去两年的时间里,思科Talos团队观察到China Chopper大量活动的踪迹,有数个威胁组织将China Chopper融入到其行动中,这表明,即使距China Chopper首次发现已经过了九年,对部分威胁行为者而言它却依然能起到关键的作用。本文将选择其中最活跃的三次行动来分析。China Chopper是一种web shell,能让攻击者通过包含控制目标所需所有逻辑的客户端应用程序保留对受感染系统的访问权限。China Chopper是广泛可用的,几乎任何人都可以使用它。这也意味着,仅以China
提取字符串方法在恶意软件分析中的应用
目前逆向工程师、安全分析人员和事件响应人员在分析恶意软件二进制文件时,已经拥有了大量成熟的工具。在进行恶意软件分析时,为了逐步收集有关二进制文件功能的线索,设计对应的检测方法,并确定最终的环境措施,他们会相继应用这些工具。最常用的初始步骤便是通过字符串程序检查它的可打印字符。如果二进制文件执行诸如打印错误消息、连接到URL、创建注册表项或将文件复制到特定位置等操作,那么它通常会包含一些有助于未来分析的字符串。注:字符串程序在NT和Win2K上工作时,意味着可执行文件和目标文件会多次嵌入UNICODE字符串,使用标准ASCII字符串或grep程序无法轻松查看。字符串只扫描你传递的文件,以获取默认长度为3或更多UNICOD
flare-emu的分析功能被进一步拓展
IDAPython 库 flare-emu团队新开发的一个库,这个库是依赖于 IDA Pro 和 Unicorn 模拟框架,并为让逆向工程师可以通过脚本对代码的功能进行模拟,Unicorn 支持 x86, x86_64, ARM 以及 ARM64 架构。flare-emu为用户的脚本模拟提供了一个易于使用并且灵活的接口,旨在为不同的体系架构设置灵活且健壮的模拟器的所有基础工作,这样你就可以专注于解决代码分析的问题。5个不同的接口它目前提供了5个不同的接口来处理你的代码模拟需求,而且它还有一系列相关的帮助和工具函数。1.emulateRange这个API能够在用户指定的上下文中模拟一系列指令或函数,对于用户定义的钩子,它
理解网络安全领域的纵深防御策略
网络安全领域的发展速度太快,隔一段时间就会有一些流行语和技术术语冒出来。如果你有一段时间不关注该领域,则感觉已经跟不上时代了。“纵深防御”(Defence-in-Depth, DiD)就是这样一个技术术语。那么为什么会出现这个术语呢?简单地说,DiD要求将安全性应用于多个层,其工作原理是为每个层提供不同类型的保护,以便为提供阻止攻击的最佳手段。这些层也可以防止不同的问题,全方位覆盖多个不同问题。那么,我们如何使用该策略呢?简单地说,我们将不同的安全措施分组到不同的功能类别中并应用它们。这与传统的物理安全的实现方式或分组方式没有太大区别。纵深防御的思路事实上,任何负责任的安全专家都会告诉你,绝对没有办法100%保护你的I
瞄准Chrome凭据的新威胁已现身
CyberArk最近捕获了一个有趣的恶意软件样本。它与常规的盗窃凭证恶意软件,如Pony或Loki的不同之处在于,它只针对最常见的浏览器——谷歌Chrome。该恶意样本没有被混淆,但却能够逃避大多数反病毒软件(AV)的检测,这是由于它所使用的一种不常见的逃避技术。隐藏在资源里——Dropper分析图1.Dropper的VirusTotal评分在我们开始之前,让我们先讨论一下负责程序植入和执行payload来收集凭据的dropper。当我们发现这个恶意软件时,VirusTotal (VT)的得分只有11/71(图1),现在它的得分是33/71,仍然较低。事实上,这个dropper真的很基础。它首先在当前路径中创建一个 t
ARM架构上用来替代JTAG的调试协议SWD
对于嵌入式开发人员和专门攻击硬件的黑客来说,JTAG 实际上是调试和访问微处理器寄存器的标准。该协议已使用多年,至今仍在使用,JTAG调试接口必须使用VCC、GND电源信号,以及TMS、TCK、TDI、TDO四根调试信号,另外TRST、RESET复位信号和RTCK(同步时钟)信号也在可选项里。现在,设备变得越来越小,微处理器的可用引脚数也越来越少,这些复杂的信号,已经阻碍了协议的正常使用。为了解决这个问题,ARM创建了一个名为SWD(串行线调试)的替代调试接口。相对于JTAG接口,SWD使用了更少的信号。它只使用两个信号(SWDCLK和SWDIO),这个接口及其相关协议现在几乎可以在所有的Cortex-[A,R,M]处
钓鱼攻击姿势老套,不明真相还是上当
近日,深信服安全团队捕获到一起高度个性化的钓鱼攻击事件,攻击者针对用户企业伪造了多份带有专业内容的攻击文档,通过邮件发送到目标邮箱,企图诱导用户打开附件中的文档。经安全专家分析,该文档其实为带有漏洞利用的恶意文件,其利用了一个较老的Office漏洞CVE-2012-0158,该漏洞常被用于APT攻击,通常以RTF文件或MIME文件为载体,影响的众多Office版本。文档分析打开该文档,内容上没有任何破绽,带有用户企业的页眉图标,内容也十分专业:不过,表面的伪装蒙混不过研究人员的眼睛,通过监控行为发现winword.exe运行后创建了一个PE文件rundll32.exe:进程: c:program filesmicros
针对Linux桌面用户的罕见间谍软件EvilGnome
介绍近期,Intezer Labs的研究人员发现一种新的Linux恶意软件EvilGnome,该恶意软件会伪装成Gnome拓展,但其实际上为Linux后门植入程序。EvilGnome主要针对Linux桌面用户,这点很罕见,毕竟Linux服务器占总Linux使用组成的70%,而桌面作业系统仅只有2%。过去在Linux上发现的加密矿工或是DDoS僵尸网络等恶意工具,通常都是瞄准服务器进行攻击的。另外有证据表明该恶意软件可能跟俄罗斯APT组织Gamaredon有关。目前,所有主要的安全解决方案都没有检测到此恶意软件。图1:VirusTotal对EvilGnome样本的检测我们传到VirusTotal的样本可能是一个测试版本,
实测一款IoT路由的安全性如何?从web到硬件,我们进行了全面的漏洞挖掘和分析(下)
上一篇文章,我们讲了IoT路由的设备在理论上的安全性和可能的安全漏洞,本文,我们就来实测一下。NAND闪存转储在经历了最初的挫折之后,我们把NAND闪存的焊接都给拆了,并把它和DATAMAN读卡器相连。几分钟后,我们成功地进行了一次Flash转储。为了正确起见,我们转储了两次,结果都是相同的。现在我们已经成功进行了NAND转储,这意味着我们可以开始提取固件并开始分析文件的结构了。首先,我们下载了转储工具,它非常棒,是任何NAND转储的首选工具。我们在网上搜索了一些关于NAND 闪存芯片组MT29F1G08ABADA的信息。尽管该芯片的说明书上写的是1G的存储空间,但实际上,读卡器的NAND转储量为138.4 MB。然后
2019网络与信息安全领域专项赛Web Writeup
前言前段时间坐了5个小时的高铁,在车上顺便打了个比赛,以下是web题解。Game拿到题发现是个老虎机= =,本能的查看JS:http://4c7add9a08cb4acda1bec9c7693bf7d121100f86cdf74096.changame.ichunqiu.com/js/cqg.js发现:随机直接给score.php发包:import requestsurl = 'http://4c7add9a08cb4acda1bec9c7693bf7d121100f86cdf74096.changame.ichunqiu.com/score.php'data
公告
关注公众号hackdig,学习最新黑客技术