记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华关于多租户容器间安全隔离的思考
顾名思义,多租户就是很多人来租用容器平台的资源来实现自己的应用托管运维需求。有了资源,那么谁来管理运维分配使用这些资源?多租户很重要的一点是资源的安全隔离。即便是专用容器,也需要考虑相应的安全和业务隔离需求。从多租户的角度考虑,租户租用容器云平台的资源来托管、开发、部署运维自己的应用、服务。容器云平台需要提供、维护保障租户能正常使用这些资源,同时给租户托管的应用提供服务注册、服务发现、服务配置、日志、监控、预警告警、弹性伸缩、负载均衡、安全等能力。我们要明白的是租户只是租用这些能力,他们并不负责维护。那么谁来管理运维分配使用这些资源?那么容器云中什么是资源?资源该由谁来管理?如何分配?谁来运维这些资源?谁来使用这些资源
‘DMSniff’POS恶意软件针对中小型企业
之前仅私下销售的销售点恶意软件已被用于攻击中小型餐饮和娱乐行业。此恶意软件称为DMSniff,它还使用域名生成算法(DGA)来动态创建命令和控制域列表。该技术对攻击者很有价值,因为如果域名被执法部门,技术公司或托管服务提供商屏蔽,恶意软件仍然可以通信和接收命令或共享被盗数据。Flashpoint的研究人员认为,在POS恶意软件领域很少见到使用DGA。POS软件继续困扰着食品服务和酒店等行业,其中老旧和不受支持的系统仍然普遍存在,特别是在中小型公司中。在这些以卡片交易为主的环境中,犯罪分子一直在瞄准这些易受攻击的设备。去年Verizon Data Breach调查报告中的数据显示,销售点终端是数据库服务器背后受攻击次数最
利用凭证转储、网络钓鱼和遗留邮件协议绕过MFA入侵云账户的攻击分析
概述在最近对主要云服务租户进行的为期六个月的研究中,Proofpoint研究人员观察到利用遗留协议和凭证转储的大规模攻击,可以提高大规模暴力破解程序的速度和效率。使用IMAP对Office 365和G Suite云账户的攻击很难通过多因素身份验证来防范,其中服务账户和共享邮箱特别容易受到攻击。与此同时,有针对性的智能化暴力攻击为传统的密码喷射带来了一种新方法,即采用大型凭据转储中暴露的用户名和密码的常见变体来破坏账户。此外,复杂的网络钓鱼活动可以欺骗收件人披露身份验证凭据,为攻击者提供进入企业账户的额外途径。Proofpoint在数百万个受监控的云用户账户中分析了超过10万次未经授权的登录,发现:· 72%的租户至少被
API渗透测试基础
API渗透测试概述API渗透测试是一种常见的攻击面,攻击者可以通过它来进一步获取应用程序或者服务器的访问权限。本篇文章中,我会讲到API渗透测试的一些基础知识。本文分为下面三部分:1. API渗透测试是什么?2. API请求和响应的结构?3. 渗透测试的方法,工具和案例?API渗透测试详情API渗透测试与web应用程序渗透测试方法相同。虽然测试方法类似,但是在攻击上还是有一些变化的,因此,我们要找出API的一些标准漏洞,就跟Web中的Owasp Top10一样,包括:注入,访问控制,信息泄露,IROR(不安全的对象直接引用),XSS等。API安全认证基础API认证和会话管理当我们开始查看A
剖析NETWIRE网络钓鱼行动中对Process Hollowing的运用
介绍无文件攻击是当前较为常见的一种攻击手段,恶意软件通过其payload来逃避检测,而无需在磁盘上编写可执行文件。无文件执行最常见的技术之一是代码注入——攻击者不需要直接执行恶意软件,而是将恶意软件代码注入另一个进程的内存中去执行。PowerShell在所有Windows 7及以上的版本中都含有,而且支持的特性非常多,因此PowerShell已经成为攻击者最常利用的工具之一。FireEye曾经在多个报告中提及过PowerShell用于恶意软件初始传递期间或后漏洞利用阶段的事迹。利用PowerShell,攻击者能方便地与其他Windows组件进行交互,进而隐秘快速地执行他们的活动。本篇文章探讨的是在2019年2月观察到的
通过Web缓存欺骗攻击实现用户信息泄漏
概述几天前,通过Web缓存欺骗攻击,我发现了一些用户信息泄漏的漏洞。在我们深入研究PoC之前,我想首先解释一下这些攻击方法及其影响。Web缓存欺骗攻击是一种攻击方式,原因在于Web应用程序在使用缓存的过程中没有正确验证,从而允许攻击者实现缓存泄漏攻击。在这样的场景中,后台的Web应用程序通常倾向于使用代理、CDN和其他服务来使用缓存功能。借助于这样的功能,可以减少服务器的响应时间,或者减少延迟,但在这一功能中并没有进行正确的验证。我们假设有一个类似于www.example.com/home.php的网站,攻击者在这个URL的末尾尝试了一个额外的扩展,例如www.example.com/home.php/a.jpg。如果
针对亚洲游戏行业的新型供应链攻击分析
犯罪团伙攻击游戏行业也不是什么新鲜事了,其惯用手法是在游戏的构建环境中插入后门,然后将恶意软件作为合法软件分发出去。卡巴斯基实验室就曾报道过某款在2011年很受欢迎的游戏被Winnti组织植入了后门的事件。最近,ESET的研究人员注意到了一起针对游戏行业的新型供应链攻击,此次攻击行动涉及两款游戏和一个游戏平台应用程序。考虑到攻击主要针对亚洲地区和游戏行业这两个特性,我们有理由推测此次攻击仍有可能是Winnti组织所为。三起案例,相同后门在我们观察到的三起案例中,攻击者分别就不同的对象采取了不同配置的恶意软件,但其包含后门代码是相同的,并且使用了相同的启动机制。当前,三款产品中有两款已不再包含后门,但还有一款产品的开发商
Web缓存控制策略详解
Cache-Control管理Web缓存的最常用和最有效的方法之一是通过Cache-Control HTTP标头,由于此标头适用于Web页面的缓存,这意味着我们页面上的所有内容都可以具有非常精细化的缓存策略。通过各种自定义策略,我们控制的策略就可以变得非常复杂和强大。Cache-Control标头可能如下所示:Cache-Control: public, max-age=31536000Cache-Control是标头,public和max-age=31536000都是指令。 Cache-Control标头可以接受一个或多个指令,我想在本文中讨论的就是这些指令,比如它们的真正含义以及它们的最佳用例。
SLUB后门使用Slack等进行通信
研究人员近期发现一个非常有意思的恶意软件。首先,该恶意软件通过水坑攻击进行传播,水坑攻击是指攻击者进入入侵用户要访问的网站,并加入恶意代码,然后用户访问该网站时就会被重定向到受感染的代码。在该攻击活动中,每个访问用户只会重定向一次。感染过程利用了CVE-2018-8174漏洞,该漏洞是VB脚本引擎漏洞,微软已于2018年5月修复了该漏洞。究人员发现很多AV产品仍然无法成功检测该后门。最后,研究人员还发现该恶意软件会连接到Slack平台。Slack是一款与IRC其次,该恶意软件使用多阶段感染的方案。在利用了漏洞之后,会下载一个DLL并在PowerShell中运行。该文件实际上是一个下载器,会下载和执行含有后门的可执行文件
SimBad: Google Play中的广告恶意攻击活动分析
本文介绍Check Point研究人员在Google Play中发现的一起广告恶意软件攻击活动。Check Point研究人员近期在Google Play应用商店中发现一起新的广告恶意软件攻击活动。研究人员发现攻击活动中共有206个应用程序,总下载量达1.5亿次。目前,Google已经从Google Play应用商店中移除了受感染的应用程序。SDK恶意软件位于RXDrioder的SDK中,这是addroider[.]com提供的,但是实际上是一个广告相关的SDK。研究人员相信恶意开发者想诱骗用户和开发者使用恶意SDK,而不管其内容,因此该活动并不是攻击某个特定的国家。因为大多数受感染的应用的都是模拟器游戏,因此该恶意软
针对意大利政坛的Pistacchietto网络攻击行动
介绍过去几周,一起新的网络威胁行动搅乱了意大利政坛,该行动被称为“Pistacchietto行动”,Pistacchietto这个名字来自Github上一个疑似涉及此次行动的账户名。研究人员在对该行动初步研究后表示,攻击者似乎是意大利人,因为从文件名和脚本中发现的一些意大利单词(“pistacchietto”、“bonifico”等)可以证明这一点。图1.服务器所在地。经过初步分析,Cybaz-Yoroi ZLAB实验室发现该行动有一些独到之处,TTP(Tactics、Techniques、Procedures战术、技术和过程)中也有一些有趣的地方,因此决定进一步挖掘更多与这个神秘黑客相关的样本信息。技术分析样本有一定
Chafer使用的新的基于Python的有效载荷MechaFlounder
2018年11月,Chafer威胁小组针对土耳其政府重新利用他们在2018年早些时候使用的基础设施(Clearsky报道的活动中),特别是域名win10-update [.] com。虽然我们没有见到此攻击的初始交付机制,但我们确实在185.177.59 [.] 70上观察到托管的辅助有效载荷,此IP是该域名在攻击活动时解析的地址。Unit 42从2016年开始观察到Chafer活动,但Chafer自2015年以来一直活跃。这个新的辅助有效载荷是基于Python的,并使用PyInstaller编译成可执行文件。这是Unit 42识别这些运营者使用的第一个基于Python的有效载荷。我们还发现其代码与OilRig的Cla
针对APAC地区Windows服务器的信息窃取行动
恶意软件开发者也在不断创新方式方法以绕过安全产品的检测。在分析过程中,研究人员发现一起攻击APAC地区的Windows服务器的攻击活动,其中会上传包括Windows登陆凭证、操作系统版本、内外网IP地址这样的敏感信息。研究人员发现攻击者使用了Squiblydoo、download cradle和WMI Event Subscription等多种驻留漏洞利用来运行恶意内容。恶意软件将恶意行为隐藏在合法的Windows进程之后来绕过AV的检测。目前,VirusTotal的数据显示安全产品对该恶意软件的检测率还非常低。在分析的过程中,研究人员发现一起主要攻击亚洲国家的攻击活动。其中,攻击者会使用Mimikatz从Window
使用DFA攻击硬件的AES算法,并从PlayStation Vita中提取硬件密钥
在过去的几个月里,我一直试图从PlayStation Vita中提取硬件密钥。为此我还专门写了一篇论文,里面详细介绍了我所使用过的所有的技术细节和理论依据,感兴趣的读者可以点此详细了解。本文是对具体的操作过程进行讲解,为大家提供一个直观地理解。注:PlayStation®VITA是索尼的一代掌机,简称PS Vita、Vita或PSV,以下我会将PlayStation Vita统称为PSV。DFADFA全称为:Deterministic Finite Automaton,即确定有穷自动机。其特征为:有一个有限状态集合和一些从一个状态通向另一个状态的边,每条边上标记有一个符号,其中一个状态是初态,某些状态是终态。但不同于不
软件供应链安全威胁:从“奥创纪元”到“无限战争”
在2018年5月到12月,伴随着阿里安全主办的软件供应链安全大赛,我们自身在设计、引导比赛的形式规则的同时,也在做着反思和探究,直接研判诸多方面潜在风险,以及透过业界三方的出题和解题案例分享,展示了行业内一线玩家对问题、解决方案实体化的思路(参见:篇1、篇2、篇3、篇4、篇5。另外,根据近期的一些历史事件,也做了一些深挖和联想,考虑恶意的上游开发者,如何巧妙(或者说,处心积虑)地将问题引入,并在当前的软件供应链生态体系中,造成远比表面上看起来要深远得多的影响(参见:《深挖CVE-2018-10933(libssh服务端校验绕过)兼谈软件供应链真实威胁》)。以上这些,抛开体系化的设想,只看案例,可能会得到这样的印象:这种
基础事件响应中的Volatility工作流程
最近,我发现自己需要对完整内存转储进行一些调查。经过一段时间的搜索,我发现了Volatility-Labs的这篇文章,根据其中的指导方法,我可以很好的来评估内存转储。当然,你可能会有更好、更深度的内存恶意软件分析技术,但对内存转储进行基本的分析却是必不可少的。首先,我们需要收集内存转储。具体如何选择相关工具,请点此。在这篇文章的测试中,我选择使用了DumpIt,DumpIt 是一款绿色免安装的windows内存镜像取证工具。利用它我们可以轻松的将一个系统的完整内存镜像下来,并用于后续的调查取证工作。将可执行文件加载到闪存驱动器后,我将其附加到系统进行调查。在本文,我使用带有/ T标志的命令,以RAW格式复制内存。.Du
公告
关注公众号hackdig,学习最新黑客技术