记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华从某电商钓鱼事件探索黑客“一站式服务”
深信服EDR安全团队,整理分析了一起某电商钓鱼事件,通过关联信息,发现背后可能存在一个“产业链齐全”的黑客团伙,研究发现其具备“一站式服务”的黑客攻击手段。黑客攻击手段包括但不限于钓鱼邮件、漏洞利用、挖矿病毒、勒索病毒、无文件攻击、远控木马、键盘记录器、密码破解等,是一次完整而全套的“服务”。最开始,可能仅仅是一封精心构造的邮件触发的,经过信息收集和远程控制,在闲时挖矿榨干主机性能,当窃取到足够机密,又最后“卸磨杀驴”“杀鸡取卵”,执行勒索操作。0x01 定向撒网捞鱼:钓鱼邮件XX公司已经被黑客盯上了,黑客通过社工拿到该公司的各种邮件账号,并给这些账号发送了钓鱼邮件。员工A收到一份邮件,这是一份包含了doc附件(实际上
Firefox Syncde的安全功能介绍
什么是Firefox Sync,为什么要使用它?一直在使用Firefox的用户,其中一个比较重要的原因是习惯了它的书签同步功能,不过在新版的Firefox,有些用户会发现原来习惯的书签同步功能竟然被取消了,这是怎么回事?原来用的火狐通行证即将停止服务,新版本的Firefix更是直接去除了这个功能,取而代之是Firefox Sync服务,而两者之间是没办法直接互通的。所以,首先得在原来的设备上升级新版Firefox,然后断开火狐通行证,登录到新版内置的“同步”,然后在别的设备上再使用同一账号登录到“同步”就可以实现多设备间自动同步书签等信息了。这里特别要注意一点的是,登录到同步时,有“全球服务”和“本地服务”之分,服务器
插入恶意URL到office嵌入视频中
10月底,Cymulate的安全研究人员公布了利用office在线视频特征逻辑漏洞来传播恶意软件的POC。最近,研究人员发现一款利用该漏洞传播URSNIF信息窃取器的在野样本。恶意软件感染链因为这类攻击中使用了刻意伪造的word文档,研究人员假设可以通过其他恶意软件或垃圾邮件中的附件、链接到达用户系统。该漏洞影响Microsoft Word 2013及之后版本。PoC和恶意软件使用了DOCX文件类型,其中可以包含文本、对象、格式、图像等。这些都分别保存在不同的文件中,然后打包为一个ZIP压缩的DOCX文件。图1: PoC(左)和在野样本(右)感染链PoC和在野恶意软件工作原理PoC和在野样本都滥用了office在线视频
揭秘7大最易忽略的攻击面
背景介绍从纸笔办公到物联网时代,你知道哪些攻击面是攻击者最常利用,而我们又最常忽略的吗?现在,在你的办公室中可能还有一些老旧的传真机或是布满灰尘的打印机,在你的眼中,它们或许只是已经无法用来发送邮件或复印文档的过时技术。你可能也会将收发室/信房视为收集未经请求的垃圾信件的地方,而这些垃圾信件很快就会被你丢进垃圾箱。是的,如此寻常的物件,如此寻常的操作,可能每天都在我们的生活和工作中上演。但是,攻击者却能够从中发现一些不同的东西:漏洞,一些通常会被安全部门忽略的漏洞。要记住,非计算机向量上的网络攻击要比你想象的更常见。例如,今年8月,Check Point公司的研究人员就披露了全球数以亿计传真机所使用的通信协议中存在的两
黑吃黑:物联网僵尸网络作者在中兴路由器后门上添加了自己的后门
很多脚本小子正在使用武器化的物联网漏洞利用脚本,利用供应商后门帐户攻击中兴路由器。具有讽刺意味的是,这不是脚本中唯一的后门。Scarface,代码的传播者也部署了自定义后门来黑那些使用该脚本的脚本小子。由于IOT(Paras/Nexus/Wicked)中顶级开发者的名字不为人所知,Scarface/Faraday就是脚本小子购买物联网僵尸网络代码以及武器化利用的开发者的总称。虽然Scarface大多具有良好的可信度,但我们观察到他发布了一个带有后门的武器化中兴ZXV10 H108L路由器漏洞利用,它在运行时会感染脚本小子的系统。该漏洞是已知漏洞,在中兴路由器中使用后门帐户进行登录,然后在manager_dev_ping
错误配置的Docker服务被用于加密货币挖矿
攻击者在寻求一种容易的方式来进行加密货币挖矿,所以目标锁定为公开暴露的Docker服务。攻击者使用一个可以扫描网络的恶意脚本来搜索有漏洞的主机并入侵主机。攻击入口是TCP 2375/2376端口,这两个端口是通过REST管理API远程到达Docker服务的默认端口,允许创建、开启和停止容器。除非进行其他配置,否则这两个端口都提供非加密和非认证的通信。living off the landDocker容易在实践中使用非常广泛,因为允许在操作系统级实现虚拟化。允许在轻量级的虚拟环节中运行应用,完成所有需要的依赖。Juniper Networks的研究人员发现网络犯罪分析正利用错误配置的Docker服务来添加运行Monero
ColdFusion最新任意文件上传漏洞的利用活动分析(CVE-2018-15961)
概述Volexity最近观察到野外存在对Adobe ColdFusion中新修复漏洞的利用,该漏洞目前在网上不存在任何公开细节或概念验证(PoC)代码。在Volexity检测到的攻击中,一个自称是来自中国的APT组织直接上传了“China Chopper WebShell”以破坏受漏洞影响的ColdFusion服务器,该服务器仅仅缺少两周前发布的Adobe安全更新。在2018年9月11日,Adobe发布了安全公告APSB18-33,该公告中修复了一些漏洞,其中包括未经身份验证的文件上传漏洞。根据公告内容,该漏洞已经被编号为CVE-2018-15961,影响ColdFusion 11(Update 14及此前版本)、Co
Persian Stalker攻击Instagram和Telegram的伊朗用户
一、简介那些具有国家背景的攻击者拥有许多不同的技术可以远程访问社交媒体和安全消息应用程序。从2017年开始到2018年,思科Talos已经观察到多种不同的技术被用来攻击用户并窃取私人信息。这些技术包括使用假登录页面、伪装成合法对手的恶意应用程序和BGP劫持,专门针对安全消息应用程序Telegram和社交媒体Instagram的伊朗用户。Telegram在伊朗已经成为灰色软件的热门目标,该应用程序估计有4000万用户。虽然它主要用于日常交流,但抗议组织过去也曾用它来组织针对伊朗政府的示威活动,特别是在2017年12月。在少数情况下,伊朗政府要求Telegram关闭某些“促进暴力”的频道。自2017年以来,本文中概述的策略
针对巴西的Metamorfo银行木马的攻击活动分析
前言早在今年的4月,FireEye实验室就公布了几起针对巴西公司的垃圾邮件攻击,旨在传播银行木马。由于在实施攻击的各个阶段,攻击者使用多种技术规避检测并传播恶意payload,使得研究人员难以完整的分析这类型攻击。例如,火眼实验室检测发现,某次攻击首先发送含有HTML附件的邮件,其中的附件重定向至一个谷歌短URL,而后者又将受害者重定向至云存储站点如GitHub、Dropbox或Google Drive下载一个ZIP文件,用户必须解压缩该文档并双击可执行文件,才能使感染链继续发挥作用。鉴于此,研究人员将针对巴西企业的金融恶意软件活动,统称为 “Metamorfo (变形)”。最近Metamorfo银行木马又开始活跃了,
区块链应用于安全的7种方式
区块链技术可以被用作安全工具,如果你还没有计划去使用它,现在你可能需要重新考虑一下了!背景介绍如今,区块链的分布式分类账已经在从加密货币到供应链等许多领域得到了应用。区块链的主要应用归功于它作为一种固有安全技术的声誉。但是,这种固有的安全性是否可以应用于安全领域呢?在越来越多的案例中,其答案是肯定的。安全专业人员发现,区块链所带来的质量解决方案可以有效地保护数据、网络、身份以及关键基础设施等。与其他新兴技术一样,最大的问题不在于区块链是否可用于安全领域,而是在哪些应用程序中最适合使用。如今,区块链技术已被用于许多安全应用程序,从记录保存到作为活动数据基础设施的一部分,未来还可能会有更多发展的选择。不过,尽管市场对区块链
匿名枚举Azure文件资源
近年来,我们看到Microsoft Azure服务在云服务市场中占据了更大的市场份额。虽然并没有看到AWS的应用,但我们遇到了更多使用Microsoft Azure服务进行运维的客户端。如果一切都正确的配置,这将是极好的事情,但是完全安全的环境是非常罕见的(这就是我们进行安全测试的原因)。鉴于Azure使用量的增加,我们希望能够深入了解如何将标准的Azure测试任务自动化,包括公开的可用文件的枚举。在本博文中,我们将介绍不同类型的Azure文件存储以及我们该如何枚举和访问公开可用的“Blob”文件。存储帐户我们在Azure环境中发现一个用户可以通过存储帐户公开的暴露文件。这些问题非常类似于公共S3存储桶的问题(这里有一
Mac OS SearchPageInstaller广告软件通过mitmproxy拦截流量并注入广告
恶意软件开发者一直在寻找新的方法来避免被检测到,以此来攫取更高的利润,下面我们将介绍一个最近发现的案例。最近,我们仔细研究了SPI恶意广告软件,它利用开源mitmproxy拦截流量并注入广告, mitmproxy是一款http代理工具,即可用于中间人攻击,也可用于html抓包调试。SearchPageInstaller广告软件SearchPageInstaller(SPI)是一个至少从2017年以来,就开始活跃的广告软件。根据我们的研究,它也是第一次使用mitmproxy的。不过,早在2017年12月mac360.com上的一个帖子中,就有人注意到这种联系了,并且通过对一些代码组件的分析表明,这种恶意软件可能是在几个月
浅谈大型互联网企业入侵检测及防护策略
前言如何知道自己所在的企业是否被入侵了?是没人来“黑”,还是因自身感知能力不足,暂时还无法发现?其实,入侵检测是每一个大型互联网企业都要面对的严峻挑战。价值越高的公司,面临入侵的威胁也越大,即便是Yahoo这样的互联网鼻祖,在落幕(被收购)时仍遭遇全量数据失窃的事情。安全无小事,一旦互联网公司被成功“入侵”,其后果将不堪想象。基于“攻防对抗”的考量,本文不会提及具体的入侵检测模型、算法和策略,那些希望直接照搬“入侵策略”的同学可能会感到失望。但是我们会将一部分运营思路分享出来,请各位同行指点,如能对后来者起到帮助的作用,那就更好了,也欢迎大家跟我们交流探讨。入侵的定义典型的入侵场景:黑客在很远的地方,通过网络远程控制目
用于保护Web服务的基本HTTP标头介绍
如何在Web服务器上配置HTTP标头,也是提高其安全性的重要一环。在本文中,我们将详细介绍每个标头所起的作用,以及攻击者可以利用哪些错误配置实施哪些攻击。以下是我们本文将讨论的一些HTTP标头的类型(总共两大类):防止攻击的服务器标头1.HTTP严格安全传输(HTTP Strict Transport Security,通常简称为HSTS),它是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源,而不是HTTP。2.网页安全政策(Content Security Policy,缩写 CSP),CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览
勒索软件Kraken Cryptor RaaS分析
背景Kraken Cryptor勒索软件最早是2018年8月中旬出现在地下论坛。9月中旬,被放在了SuperAntiSpyware的网站上,伪装成安全解决方案来感染想要下载防监听软件的用户系统。9月下旬,研究人员nao_sec发现Fallout Exploit Kit开始传播Kraken。Insikt组织通过分析将Kraken Cryptor勒索软件与ThisWasKraken相关联。ThisWasKraken是暗网的新用户,于2018年8月12日注册,只活跃于俄罗斯犯罪论坛。ThisWasKraken主要用俄语和英语进行交流,但研究人员分析发现他的母语应该既不是英语,也不是俄语。他应该是使用了自动翻译工具,因为有许多
弃用的网络应用中所遗留的安全隐患应得到重视
High-Tech Bridge在对英国《金融时报》所列出的世界五百强企业的调查后发现,在这些企业停止使用的网络应用中,往往会存在可利用的漏洞。被弃用的网络应用一旦没有得到妥善的处置,就会为企业日后埋下严重的安全隐患。在一份名为《废弃的网络应用:世界五百强企业的致命要害》的报告中就有写道,尽管这些企业每年的安全支出都在不断增加,但被其弃用或遗留的网络应用却没有得到重视,而它们是破坏企业网络安全的主要来源之一。报告称,英国《金融时报》列出的世界500强企业中,70%企业的部分网站的进入权限,都有在互联网黑市上出售,另外还有92%的外部网络应用具有可利用的安全缺陷。欧美500强企业中,基于外部网络的攻击面对比报告同时写道,
公告
关注公众号hackdig,学习最新黑客技术