记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

如何创建无法检测的有效载荷

在macOS中进行对有效载荷加密并对传输器(stager)进行编码,就可以创建无法检测的有效载荷。此外,使用一些简单的技巧,就可以很容易的躲过VirusTotal和macOS杀毒软件。本文的目标是找到一个已知且易于被检测到的macOS有效载荷,然后再通过一种方法,允许我们在目标MacBook上执行相同的有效载荷。通过这个测试,我们可以确认所创建的有效载荷在运行时是否可以成功绕过杀毒软件的检测。在本文的测试中,除了在VirusTotal测试我们所创建的恶意文件外,我们还在macOS Mojave(v10.14)中针对流行的杀毒软件(如Avast,AVG,BitDefender,Sophos和ClamXAV)进行了测试。需
发布时间:2018-12-09 12:20 | 阅读:5803 | 评论:0 | 标签:Web安全 macOS

Safari+macOS的全套漏洞利用链

在今年的Pwn2Own 2018比赛中, 有多个针对苹果Safari浏览器的攻击挑战,今天我们就来介绍一下针对Safari的远程代码执行(RCE)、沙箱逃脱、本地特权升级(LPE)和针对macOS 10.13.3内核的漏洞利用。攻击挑战的环境设置安装nasm(全称The Netwide Assembler,是一款基于80×86和x86-64平台的汇编语言编译程序,其设计初衷是为了实现编译器程序跨平台和模块化的特性)和tornado(一种 Web 服务器软件的开源版本):brew install nasmpip3 install tornado如果要更改主机或端口,请检查
发布时间:2018-11-17 12:20 | 阅读:32570 | 评论:0 | 标签:漏洞 macOS Safari

从Safari恶意扩展,深度剖析macOS新架构Mojave安全性

一、概述本文主要介绍了macOS浏览器扩展所采用的技术,以及恶意插件如何窃取密码、银行信息和其他敏感用户数据。安装浏览器扩展,实际上是用户能对安全系统做出的最为简单的第三方修改之一,但也可能是最为危险的修改之一。许多用户认为扩展就是各种各样的“小型应用程序”,能在浏览网页时提供一些简单有用的附加功能,例如阻止广告内容、允许标记、自动填写表单字段等。但是,有相当一部分用户并没有意识到这些扩展所潜藏的巨大力量。在本文中,我们首先将了解Safari浏览器扩展的安全定义,并对恶意广告软件活动中使用的浏览器扩展进行分析。此后,我们将介绍macOS 10.14 Mojave中针对Safari扩展安全性所做出的改变,以及如何解决其仍
发布时间:2018-10-31 12:20 | 阅读:30232 | 评论:0 | 标签:系统安全 macOS

加密货币价格追踪器在macOS中安装后门

研究人员发现macOS系统中一个伪装为加密货币ticker(股票价格收报机)的木马CoinTicker正在用户设备上安装后门。成功安装后,CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏,以实时更新当前价格,如下图所示。CoinTicker木马应用CoinTicker应用在后台会秘密下载两个后门,这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir,在木马执行时会连接到远程主机,并下载大量的shell和python脚本,python和shell脚本的执行会下载和安装这两个后门。Malwarebyte分析师称:恶意
发布时间:2018-10-31 12:20 | 阅读:33228 | 评论:0 | 标签:系统安全 macOS 后门 加密

如何让macOS的用户交互安全屏障瞬间变成“马奇诺防线”(二)

在上一篇文章中,我详细介绍了macOS的用户交互安全屏障的过程,今天我就接着介绍这种防护措施是如何失效的?macOS的用户交互安全是如何被绕过的?在经过一番探索之后,我发现了一个叫做"Mouse Keys"的功能特性。"Mouse Keys"是macOS的一项文档记录功能,正如它的介绍那样,该功能允许用户把键盘当作鼠标用。启用"Mouse Keys"后,如果要将鼠标往右移动,你只需按下O或键盘上的数字6即可。接着按下I或键盘上的数字5,就会确认单击动作完成了。这就引发了一些列安全问题,比如:1.可以通过程序化方式启用"Mouse Keys"
发布时间:2018-10-12 12:20 | 阅读:34978 | 评论:0 | 标签:Web安全 macOS

如何让macOS的用户交互安全屏障瞬间变成“马奇诺防线”(一)

假设你是一个攻击者或正在使用恶意软件发起攻击,那在你成功的获得了对Mac的访问后,你会做什么呢?一般来说,攻击者最想得到的是以下5方面内容:1.转储用户的钥匙串;2.确定攻击设备目前所在的位置,即获取GEO文件;3.枚举用户设备里的联系人;4.加载内核扩展,即获取kext文件,kext文件是一个Mac OS X内核扩展,常见于Hackintosh(PC上的黑Apple)。它们通常用于设备驱动程序,运行于系统的核心基底;5.绕过第三方安全防护措施;不过Apple也意识到了这些问题,所以在最新版本的macOS上,一些新的安全机制会阻止以上这些操作。现在,这些新的安全机制将会针对此类非法操作,向用户发出警报,以提醒用户。根据
发布时间:2018-09-27 12:20 | 阅读:34289 | 评论:0 | 标签:Web安全 macOS

通过模拟点击即可绕开macOS内核代码签名验证

每年的DEF CON大会期间,都会有研究人员指出苹果的漏洞,今年也不例外。来自Digita Security的首席研究官Patrick Wardle就披露了一个macOS中存在的零日漏洞,攻击者可以通过模拟点击绕开macOS内核代码签名验证,加载系统内核扩展。Patrick Wardle发现,只要调整加载内核扩展过程中的两行验证代码,他就可以模拟用户”点击”安全提示,从而在最新High Sierra操作系统上加载内核扩展,获得最高操作访问权限。Mac上的内核访问为攻击者提供了最高的访问权限,可用于完全破坏操作系统。话说,苹果是为了阻止黑客和恶意软件滥用,才从High Sierra操作系统开始,加入的内核扩展操作验证。当
发布时间:2018-09-03 12:20 | 阅读:46881 | 评论:0 | 标签:漏洞 系统安全 macOS

safari沙盒破解

当开发实体软件或设备时,实现系统上的任意代码执行可能仅仅是迈向完全攻击的第一步。对于具有高价值的或安全意识比较强的目标,远程代码执行通常通过沙盒逃逸(或特权升级)及其持久性来完成。每一阶段通常都需要其自身完整实现独特的攻击,使一些武器化的zero-day(零日)成为一系列攻击的“链”。考虑到高风险的消费者软件,现代web浏览器使用软件沙盒来缓解远程攻击事件中的损害。在上一篇文章中利用了Apple Safari之后,本文将注意力转向macOS上实现对系统全面攻击的Safari沙盒逃逸。使用Frida对锁屏上的macOS WindowServer进行模糊测试作为Pwn2Own系列的第五篇博文,本文将讨论我们在macOS上评
发布时间:2018-08-09 12:20 | 阅读:37846 | 评论:0 | 标签:技术 macOS

如何访问macOS上的锁定文件

锁定记录(Lockdown record)或配对记录(Pair Record)技术通常被取证专家用于访问锁定的iOS设备,他们通过使用从嫌疑人计算机中提取的现有锁定记录,进而使用iOS Forensic Toolkit和其他取证工具执行iOS设备的逻辑取证。逻辑取证有助于取证存储在系统备份中的信息,访问共享和媒体文件,甚至可以提取设备里的崩溃日志。但是,由于macOS使用访问权限保护锁定文件,锁定记录可能很难访问并且难以提取。今天,就让我们来看看如何访问macOS系统上的锁定文件。什么是锁定记录?关于锁定记录的其中一个解释是,它只是一个存储在用户计算机上的文件。更严格的说,锁定文件保留了加密密钥,这些密钥用于iOS设备
发布时间:2018-07-19 12:20 | 阅读:45897 | 评论:0 | 标签:技术 macOS

沙盒也挡不住他们的脚步!恶意软件利用macOS API和OCR组合拳窃取隐私信息

简介恶意应用开发者可以悄悄地用macOS API函数来对用户屏幕进行截屏,然后用OCR(Optical Character Recognition,光学字符识别)来读取截屏图形的内容。被恶意应用开发者滥用的函数就是CGWindowListCreateImage,该函数常被app用来截图。CGImageRef CGWindowListCreateImage(CGRect screenBounds, CGWindowListOption listOption, CGWindowID windowID, CGWindowImageOption i
发布时间:2018-02-28 12:20 | 阅读:88826 | 评论:0 | 标签:系统安全 macOS OCR

苹果系统安全大危机:存在15年的Mac OS零日漏洞

在2017年的最后一夜,一名代号为“Siguza”的安全研究人员在没有通知苹果公司相关漏洞信息并完成漏洞修复的情况下,向公众披露了macOS中一个潜伏长达15年之久的零日漏洞概念证明(POC)代码细节。这个将自身描述成“业余爱好者黑客”的研究人员在一份非常详细的书面报告中写道,“在Mac OS系统中发现的这个零日漏洞——IOHIDeous至少已经潜伏了15年的时间,并且会影响所有Mac操作系统。”目前,Siguza已经通过Github公布了该漏洞利用的细节以及PoC代码(https://github.com/Siguza/IOHIDeous/),并补充道,“这是一个基于IOHIDFamily(为人机界面设备设计的内核扩展,如触摸屏或按钮)零日漏洞的macOS内核漏洞利用。”虽然该漏洞造成的影响范围极广,但是作为
发布时间:2018-01-05 15:10 | 阅读:77758 | 评论:0 | 标签:威胁情报 IOHIDeous macOS root权限 提权漏洞 漏洞

macOS平台最新恶意软件HiddenLotus分析

就在前几天,为了对付这个名叫 OSX.HiddenLotus.A 的 macOS 端恶意软件,苹果公司悄悄地给 macOS 的 XProtect 反恶意软件系统增加了一个恶意软件签名。当时,并没有多少人知道 HiddenLotus 到底是什么,但是安全研究专家Arnaud Abbati在不久之后边发现了一个HiddenLotus样本,并将其发布在了Twitter上与社区的其他研究人员共享。 HiddenLotus的“dropper”是一个伪装成pdf文件的应用程序,文件名为Lê Thu Hà (HAEDC).pdf,它使用了一种非常“古老”的伪装技术,即伪装成Adobe Acrobat文件。 当macOS用户下载了这个文件之后,便会激活macOS的文件免疫功能。苹果公司于Mac OS X 10.5引入了这个
发布时间:2017-12-27 17:50 | 阅读:83533 | 评论:0 | 标签:终端安全 HiddenLotus macOS 恶意软件

苹果至今为止最大漏洞:无密码以Root权限登录macOS

macOS High Sierra(macOS 10.13 )惊现易被利用的漏洞,可令用户无需口令便获取管理员权限(以root用户登录)。该安全漏洞通过苹果操作系统的身份验证对话框触发,此对话框会在用户需要进行网络和隐私设置的时候弹出,要求输入管理员用户名及口令。如果在用户名处输入“root”,口令输入框空着,点击“确定”,多点几次解锁,该对话框就会消失,你就获得了管理员权限。而且该操作还可以直接在用户登录界面进行。可以物理接触到该机器的人都可以利用该漏洞登录,做出额外的伤害,安装恶意软件等等。问题没解决前,用户最好别让自己的Mac机无人看管,也不要启用远程桌面访问。虽然这一情况明显不是世界末日——远未达到远程漏洞或磁盘解密技术的级别,但苹果公司出现这种失误,还是真的真的让人大跌眼镜。1天前,程序员乐米·敖汉·
发布时间:2017-11-30 12:05 | 阅读:110102 | 评论:0 | 标签:威胁情报 High Sierra macOS root权限 安全性更新 安全漏洞 漏洞

数秒内破解苹果Mac加密口令

所需仅为PCILeech设备和物理接触到MacBook PCILeech是瑞典渗透测试员为成功获取Mac或MacBook完全控制权而采用的价值仅为300美元的设备。该设备创造者名为乌尔夫·弗雷斯克,秒黑MacBook无压力。 基本上任何苹果笔记本电脑的口令都能被该设备获取,无论电脑是在睡眠状态还是锁定状态。而且,盗取口令的过程仅耗时约30秒。攻击者可轻易解锁任意Mac电脑或笔记本,解密硬盘上存储的所有文件。 弗雷斯克开发的这一技术基于苹果FileVault2全盘加密软件的2个重大却不太为人所知的设计缺陷。在博客帖子中,弗雷斯克详细阐述了他的发现和破解过程。根据他的帖子,通过插入该价值300没有缘雷电(Thunderbolt)接口设备,物理接触到Mac电脑的黑客便可以利用 MacOS FileVault2 获取
发布时间:2016-12-19 17:00 | 阅读:807567 | 评论:0 | 标签:黑极空间 FileVault macOS 口令破解 加密

谷歌为Mac OS打造开源恶意检测系统

谷歌最近正致力于打造一款针对MacOS的恶意检测系统,目前它已经在Github上开源。这个由谷歌Macintosh Operations团队开发的项目名叫Santa,现在已经更新到了0.9.12版本。如谷歌所描述的那样,Santa并不完全是一个杀毒引擎。它会通过黑白名单机制,对MacOS的进程进行控制。当前版本Santa的GUI界面,其实只有一个通知弹窗,而且是在它阻止某个进程运行的时候才会弹出来。这个恶意软件嗅探系统,会扮演一个用户守护进程的角色。它会去主动扫描新出现的进程,并根据自身维护的基于黑白名单的SQLite数据库,判断某个应用是否应该继续运行。两种操作模式该项目在Github的文档中,有两种操作模式:监控(MONITOR)和封锁(LOCKDOWN)。在监控模式中,该系统会借助黑
发布时间:2016-08-26 06:15 | 阅读:66642 | 评论:0 | 标签:工具 google macOS Santa

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云