记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

New Threat: B1txor20, A Linux Backdoor Using DNS Tunnel

Background Since the Log4J vulnerability was exposed, we see more and more malware jumped on the wagon, Elknot, Gafgyt, Mirai are all too familiar, on February 9, 2022, 360Netlab's honeypot system cap
发布时间:2022-03-15 23:47 | 阅读:27134 | 评论:0 | 标签:Botnet DNS Tunnel Backdoor linux DNS

新威胁:使用DNS Tunnel技术的Linux后门B1txor20正在通过Log4j漏洞传播

背景 自从Log4J漏洞被曝光后,正所谓"忽如一夜漏洞来,大黑小灰笑开怀”。无数黑产团伙摩拳擦掌加入了这个“狂欢派对”,其中既有许多业界非常熟悉的恶意软件家族,同时也有一些新兴势力想趁着这股东风在黑灰产上分一杯羹。360Netlab作为专注于蜜罐和Botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些僵尸网络利用,期间我们看到了Elknot,Gafgyt,Mirai等老朋友的从不缺席,也见证了一些新朋友的粉墨登场。
发布时间:2022-03-15 12:57 | 阅读:33845 | 评论:0 | 标签:Botnet DNS Tunnel DNS Backdoor 后门 漏洞 linux log4j

窃密者Facefish分析报告

背景介绍 2021年2月,我们捕获了一个通过CWP的Nday漏洞传播的未知ELF样本,简单分析后发现这是一个新botnet家族的样本。它针对Linux x64系统,配置灵活,并且使用了一个基于Diffie–Hellman和Blowfish的私有加密协议。但因为通过合作机构(在中国区有较好网络通信观察视野)验证后发现对应的C2通信命中为0,所以未再深入分析。 2021年4月26号,Juniper发布了关于此样本的分析报告,我们注意到报告中忽略了一些重要的技术细节,所以决定将漏掉的细节分享出来。
发布时间:2021-05-28 15:15 | 阅读:74068 | 评论:0 | 标签:Backdoor Botnet

Analysis report of the Facefish rootkit

Background In Feb 2021, we came across an ELF sample using some CWP’s Ndays exploits, we did some analysis, but after checking with a partner who has some nice visibility in network traffic in some
发布时间:2021-05-27 23:22 | 阅读:50494 | 评论:0 | 标签:Backdoor Botnet

“双头龙”源自海莲花组织?

我们的双头龙blog发布后引起了较大反响,除了媒体转载,一些安全同行还纷纷在我们blog下面留言和提问,其中5月4号的一则留言提到双头龙跟海莲花(OceanLotus)样本的C2行为有联系: 留言所提到的样本为一个zip打包文件,2016年就已出现。该zip可以解压出多个文件,那个名为Noi dung chi tiet(对应中文详细信息)的Mach-O格式可执行文件即是海莲花样本。对比分析显示该样本确实与双头龙样本存在多个相似之处,所以它们或许可以解开双头龙的身世之谜:它极可能是海莲花的Linux版本。本文主要从2进制代码层面介绍这些相似点。
发布时间:2021-05-06 21:58 | 阅读:73655 | 评论:0 | 标签:Botnet RotaJakiro OceanLotus Backdoor Linux APT

RotaJakiro, the Linux version of the OceanLotus

On Apr 28, we published our RotaJakiro backdoor blog, at that time, we didn’t have the answer for a very important question, what is this backdoor exactly for? We asked the community for clues and t
发布时间:2021-05-06 21:58 | 阅读:72131 | 评论:0 | 标签:Botnet RotaJakiro OceanLotus Backdoor Linux APT linux

Blackrota, a heavily obfuscated backdoor written in Go

The most obfuscated Go-developed ELF-formatted malware we've found to date. Overview Recently, a malicious backdoor program written in the Go language that exploits an unauthorized access vulnerabilit
发布时间:2020-11-24 22:28 | 阅读:131843 | 评论:0 | 标签:Backdoor Blackrota

Blackrota, 一个Go开发的高度混淆的后门

概述最近,我们通过 Anglerfish 蜜罐捕获到一个利用 Docker Remote API 未授权访问漏洞来传播的 Go 语言编写的恶意后门程序,鉴于它上线的 C2 为 blackrota.ga ,我们把它命名为 Blackrota。Blackrota 后门程序目前只有 Linux 版,为 ELF 文件格式,支持 x86/x86-64 两种 CPU 架构。
发布时间:2020-11-20 15:24 | 阅读:105479 | 评论:0 | 标签:Backdoor 后门

红队测试之Linux提权小结

这是 酒仙桥六号部队 的第 14 篇文章。 全文共计2885个字,预计阅读时长8分钟。 提权背景 权限提升意味着用户获得不允许他使用的权限。比如从一个普通用户,通过“手段”让自己变为管理员用户,也可以理解为利用操作系统或软件应用程序中的错误,设计缺陷或配置错误来获得对更高访问权限的行为。 为什么需要提权 权限的提升可以让人“知道”更多的事情,特别是攻击者,一旦提权成功后果不堪设想。
发布时间:2020-08-18 15:31 | 阅读:129790 | 评论:0 | 标签:Linux backdoor NFS共享 NFS提权 Sudo 配置错误 Suid 提权 Suid文件 内核漏洞 定时任

包含“Backdoor”字样的英特尔泄露代码的初步分析

1 概述         北京时间2020年8月7日,瑞士软件工程师蒂尔·科特曼(Till Kottmann)发布了英特尔内部文件被泄露的信息[1]。约有20GB的被泄露文件已上传至文件共享网站MEGA,其中部分文件带有“机密”或“受限制的机密”字样的标记。据蒂尔·科特曼称,该信息是由一位匿名黑客提供,此次泄露的文件是一系列文件中的第一部分。
发布时间:2020-08-10 15:15 | 阅读:115029 | 评论:0 | 标签:安全管理 backdoor CPU芯片 Door Bell IOH SR 17 MemoryRas.c RAS Svos

web后门生成工具WeBaCoo和实战

webacoo(web backdoor cookie)是一个web后门脚本工具包,旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具,能够维持对已被拿下的web服务器的权限访问。WeBaCoo可以绕过最新的AV,NIDS,IPS,网络防火墙和应用防火墙的检测,能够在被拿下的服务器中悄无声息的执行系统命令这种混淆的通信是在有效的客户端HTTP请求和服务器响应中利用HTTP头信息cookie字段来完成的。
发布时间:2018-09-03 12:20 | 阅读:208937 | 评论:0 | 标签:Web安全 backdoor getshell webacoo 后门

Schtasks Backdoor:权限维持后门

项目主页 https://github.com/re4lity/Schtasks-Backdoor 简介 一款权限维持后门PowerShell脚本 Author:xiaocheng 小城 Mail:passthru.bug@gmail.com 原理是:schtasks+regsvr32 作用 内网维持权限方法的一种。免杀效果好,重启生效。支持msf反弹,nc反弹,客户端不会用明显异常 自定义执行命令会有弹框(可以自己修改,思路可以使用mshta),一般实战中用nc或者msf。
发布时间:2016-10-18 07:05 | 阅读:445720 | 评论:0 | 标签:工具 Backdoor powershell Schtasks Backdoor 后门 权限维持

技术揭秘:黑客是如何利用Metasploit接管后门和僵尸网络的?

Metasploit Framework中有很多漏洞利用模块,包括缓冲区溢出,浏览器漏洞利用,Web应用程序漏洞,后门利用,僵尸接管工具等。Exploit开发者以及对这个框架有贡献的人已经分享了很多有趣并且有用的东西。这篇文章中,我们将讨论利用Metasploit来攻击并接管常见的后门和僵尸网络的话题。我们不会深入研究所有的模块,但是会提到一些在未来渗透测试或者工作时会用到的模块。我们不会开发Exploit,所以不需要你使用调试器和代码编辑器。
发布时间:2016-04-05 21:30 | 阅读:203716 | 评论:0 | 标签:系统安全 网络安全 Backdoor botnets Metasploit pwnage 后门

飞塔SSH后门 进一步利用方法

from:tools.pwn.ren 昨天FortiGate爆了一个SSH Backdoor ,具体内容可以看这(http://tools.pwn.ren/2016/01/12/ssh-backdoor-for-fortigate-os-version-4-up-to-5-0-7.html) 那我们如何利用了?如何利用这个SSH 后门进入到内网了?好了这就是这篇文章要讲的东西。 这个后门获取到的是防火墙的root权限,就是所有防火墙的操作我们都可以做,这里我们利用防火墙的 vpn服务来进入到内网中 ,从而进行进一步渗透。
发布时间:2016-01-14 02:10 | 阅读:211763 | 评论:0 | 标签:Linux/Unix Backdoor fortigate OS ssh 后门 飞塔

Windows、Linux后门解析

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!本文作者:secdarker操作系统后门学习—Windows篇0×00 准备工作假设用户以管理员权限登录系统,在Windows 7系统上使用netcat 创建一个后门。Netcat 功能比较单一, 缺少了许多我们渗透工作中需要的功能。
发布时间:2016-01-02 16:05 | 阅读:384365 | 评论:0 | 标签:系统安全 Backdoor linux windows 后门

Xcode木马样本分析及被挂马的红包插件

本文作者:360NirvanTeam(涅磐团队)一 受影响app通过我们对Top1000 的扫描,发现以下app版本受影响微信 -6.2.5 滴滴出行 - 4.0.0滴
发布时间:2015-09-19 01:30 | 阅读:162880 | 评论:0 | 标签:终端安全 网络安全 Backdoor Xcode 后门 挂马

BCTF 2015 WEB题目通关攻略(Writeup)

关于bctf: BCTF是由蓝莲花战队举办的网络安全夺旗挑战赛,去年只面向国内,从今年开始,我们将向全世界开放,欢迎全球各地的小伙伴们参加!我们将为优胜者提供奖励。 今年的BCTF也是全国网络安全技术对抗联赛XCTF的分站赛之一,获胜的中国XCTF队伍将直接晋级南京的XCTF总决赛(决赛也由蓝莲花战队命题)。其他参赛的XCTF队伍也将获得积分,来竞争XCTF决赛的其他席位。 2015年战况:217, PPP 和 tomcr00se赢得了前三。
发布时间:2015-03-25 04:50 | 阅读:516373 | 评论:0 | 标签:CTF $ nc 146.148.60.107 6666 $ nc 146.148.79.13 55173 217 ba

渗透测试中密码扫描与破解小结

0x00 前言                 一次测试的过程总会涉及到”密码”与”加解密”。在踩点的过程中,对弱口令的尝试是必不可少的过程,从xx抓鸡到内网哈希批量传递,从个人PC到网络设备/工控设施,只要依旧采用单因素模式的密码认证,密码扫描就不会被遗忘。以下笔者简单分享总结安全测试中密码扫描与破解的技巧,如有疏漏错误,还望 不吝赐教。   0x01 整理一份优秀的字典 想破解密码,要求我们已经”拥有”别人的密码。
发布时间:2014-12-25 07:25 | 阅读:336008 | 评论:1 | 标签:安全文献 backdoor Burp Suite BurpSuite Cupp.py Fcrackzip GPU Has

紧急预警“齐博CMS整站系统(qiboCMS)”后门事件

今日,知道创宇安全团队发现“齐博CMS整站系统(qiboCMS)”官方下载的安装文件包里被植入恶意网站木马文件。当站长用户下载安装后,导致网站被“感染”该恶意后门使网站沦为“肉鸡”。我们立即启动了应急方案,已积极联系齐博CMS官方,并发布紧急预警,请站长们暂停下载安装齐博CMS对于近期下载安装过齐博CMS的朋友,请参考下面的解决方案。 关于“齐博CMS整站系统(qiboCMS)” 齐博CMS系统是国内领先的开源内容管理系统之一,凭借着独创的可视化标签技术优势,使得页面的管理维护与风格的制作的门槛降低到最低程度。因此而深受广大用户喜爱。
发布时间:2014-10-23 16:35 | 阅读:259717 | 评论:0 | 标签:技术分享 backdoor cms php qibocms 后门

一种基于嗅探的UDP后门[附源码]

设计思路:监听34249端口传入的流量并寻找带有特征的数据包。当数据包的特征被匹配的时候,程序会执行这个其中包含的加密的指令。所有的UDP通信数据。如果某 一个数据包中的源端口和port_from_data()返回的端口一致,那么这个数据包的内容将被解密,将其中的指令传入system()调用执行。后门程序需要在root权限下运行,这样才拥有足够的权限利用libcap来监听网络通讯。进程名称:为了隐藏进程不被好事的管理员发现,要做的第一件事就是伪装进程名称。这里用到了一个linux守护进程,不过是放在和通常目录不同的目录下。
发布时间:2013-08-31 15:25 | 阅读:229515 | 评论:0 | 标签:国外神器 backdoor linux 后门

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求投资、赞助、支持💖

标签云