记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Apple Mail明文保存加密邮件

苹果公司IT专家Bob Gendler今年早些时间发现macOS上的Apple Mail app以明文的形式将加密邮件保存在snippets.db数据库中,目前还没有被修复。Gendler早在今年7月就将该问题告诉了公司,截至目前苹果公司还没有官方发布漏洞修复的时间轴,但据The Verge的消息,补丁即将修复。APPLE MAIL + SIRI = BAD该漏洞的来源是因为Siri的一个允许苹果语音助手提供联系人信息的功能。Gendler说,Siri使用了一个名为suggestd的进程来为不同的app提供通讯录信息。不管进程发现了什么都会保存在snippets.db文件中,以防用户想要使用联系人推荐的功能。研究发现如
发布时间:2019-11-11 13:10 | 阅读:2777 | 评论:0 | 标签:Web安全 Apple Mail 加密

红队渗透测试技术:如何通过鱼叉式网络钓鱼获得攻击机会?

关于红队在渗透测试中使用的网络钓鱼攻击的文章很多,不过大多数的介绍都是不完整的。在本文中,我们将对这个话题进行一次完整的梳理,包括域创建,制作网络钓鱼内容,绕过垃圾邮件过滤器和电子邮件网关,生成不可检测的有效载荷以及绕过Windows保护(例如AMSI)的注意事项。另外,我们还在这篇文章的末尾整理了一份参考文献,如果你感兴趣可以参考。出于安全原因,渗透测试中的客户名称和相关信息已被匿名化。根据红色团队参与的复杂程度和持续时间,你需要衡量你在以下每个项目上花费了多少时间和精力。1.邮件来源:1.1 使用脚本从本地主机(例如你的笔记本电脑)发送邮件;1.2 标头中的IP是否可信;2. 最近启用的VPS,没有发件人历史记录;
发布时间:2019-11-07 13:10 | 阅读:4921 | 评论:0 | 标签:Web安全 渗透测试 网络钓鱼

浅谈企业 DevSecOps 实践: 安全在 DevOps 中的角色

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践:安全测试集成系列文章(4):浅谈企业 DevSecOps 实践:构建安全工具链系列文章(5):浅谈企业 DevSecOps 实践:安全计划正如前面提到的,DevOps 并不完全是工具和技术,但它的成功很大程度上取决于人们在这个模型中的工作方式。 我们已经对工具和流程进行了详细的介绍,并且从安全从业者与 DevOps 合作的角度探讨了大部分内容。 由于本文主要是为了帮助安全人员,所以我们在这里概述他们在 DevOps 环境中的作用。 我们
发布时间:2019-11-06 13:10 | 阅读:3882 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

skip-2.0:Winnti组织使用的新型Microsoft SQL Server后门

Winnti是一个从2009年起一直活跃至今的黑客组织,其主要攻击目标是网络游戏行业,窃取由合法软件供应商签发的数字证书和知识产权内容,包括在线游戏项目的源代码。得到源代码后再放到中国黑市进行兜售,或是直接用到这些源代码制作山寨游戏来以此获利。2015年开始,Winnti组织的攻击目标已经不再仅限于网络游戏公司,还包括电信和大型制药公司。而最近,ESET的研究人员发现了Winnti组织之前未公开的一个后门程序——skip-2.0,主要针对MSSQL Server 11/12,能让攻击者通过魔术密码秘密连接到任何MSSQL帐户,还能自动从日志中隐藏这些连接,从而让攻击者悄悄复制、修改或删除数据库的内容,例如操纵游戏币来获
发布时间:2019-11-06 13:10 | 阅读:4397 | 评论:0 | 标签:Web安全 skip-2.0 Winnti组织 后门

警惕来自节假日的祝福:APT攻击组织”黑格莎(Higaisa)”攻击活动披露

一、概述腾讯安全御见威胁情报中心曾经在2019年年初捕获到一次有意思的攻击活动,该攻击活动一直持续到现在。根据对该组织活动中所使用的攻击技术、被攻击人员背景等分析研判,我们认为该攻击组织为来自朝鲜半岛的一个具有政府背景的APT攻击组织。根据腾讯安全御见威胁情报中心的大数据分析发现,该组织的攻击活动至少可以追溯到2016年,而一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸
发布时间:2019-11-05 13:10 | 阅读:3974 | 评论:0 | 标签:Web安全 APT攻击组织

隐藏的Excel变量是如何被用于恶意邮件攻击的?

在过去的几个月里,FortiGuard SE团队一直在利用和增强Fortinet机器学习系统来检测新出现的威胁。最近,其中一台机器检测到一个异常的峰值,正是根据这个结果,我们发现了一个恶意软件活动,该活动在过去一段时间曾专门针对日本用户。与大多数钓鱼活动一样,这种攻击从一封试图欺骗收件人打开附件的电子邮件开始,在本文的示例中,附件是一个恶意的Excel文档,其中包含恶意宏。然而,在这次调查中,我们发现了这些攻击者使用的反分析技术,以及一个Excel变量(目前没有文档记录)。FortiGuard机器学习系统发现的异常峰值观察到的流量主要集中在日本攻击活动分析该攻击由发送给收件人的垃圾邮件组成,其中邮件的上下文包含相同邮件
发布时间:2019-11-02 13:10 | 阅读:5958 | 评论:0 | 标签:Web安全 恶意邮件

浅谈企业 DevSecOps 实践: 安全计划

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成系列文章(4):浅谈企业 DevSecOps 实践: 构建安全工具链本文旨在帮助安全人员为应用程序安全程序创建一个大纲或结构。 我们将回答一些常见的问题,比如“我们如何开始构建应用程序安全策略? ” “我如何开始合并 DevSecOps? ” 及”我应该遵守什么样的应用程式安全标准? ”我将讨论软件开发生命周期(SDLC) ,介绍在实施计划时需要考虑的安全事项,并参考一些应用程式安全标准,作为应采取哪些安全措施的指引。 这
发布时间:2019-11-01 13:10 | 阅读:6333 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

Emotet银行木马再次通过大量群发钓鱼邮件攻击国内企业

一、概述腾讯安全御见威胁情报中心监测到多家企业收到钓鱼邮件攻击,钓鱼邮件附件是一个Office文档,运行后宏病毒会下载Emotet银行木马执行。数据显示近期Emotet木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。腾讯电脑管家、腾讯御点均可拦截可疑文档中的宏代码执行PowerShell下载恶意程序的行为。腾讯御点拦截宏代码执行PowerShell下载病毒部分受攻击企业如下:根据腾讯安全御见威胁情报中心统计数据,Emotet针对国内的钓鱼邮件攻击最严重地区为广东、北京、浙江、上海等地。该病毒影响的地区分布如下:二、详细分析感染执行流程感染执行过程如下:群发钓鱼邮件,运行附件后do
发布时间:2019-10-31 18:10 | 阅读:6306 | 评论:0 | 标签:Web安全

电商思路用于恶意软件售卖?用服务口碑抢占市场的Raccoon间谍软件介绍

介绍Raccoon恶意软件是2019年地下经济中最流行的十大恶意软件之一,它既不复杂也不创新,但在出现不到一年的时间内已感染了全球成千上万的设备,吸引了众多网络犯罪分子使用。Raccoon的流行也表明,恶意软件商品化的趋势正变得越来越强,恶意软件创作者从亲力亲为逐渐转型为供应商的角色。本文将重点关注两个方面:一是介绍Raccoon的背景,包括起源、团队成员、商业模式、营销方式、欢迎程度、竞争关系等;二是Raccoon存在的一些技术缺陷和未来可能的发展方向。图1.2019年1至7月,Recorded Future统计的十大恶意软件发展情况要点· Raccoon间谍软件:Cybereason Nocturnus团队自201
发布时间:2019-10-31 13:10 | 阅读:5235 | 评论:0 | 标签:Web安全 Raccoon间谍软件

浅谈企业 DevSecOps 实践: 构建安全工具链

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践:安全如何与研发协同工作系列文章(3):浅谈企业 DevSecOps 实践: 安全测试集成在本文中,我们将向 你展示如何在 你的 DevOps 自动化框架中集成安全性。 我们将要解决的问题是“我们希望将安全测试集成到开发管道中,并将从静态分析开始。 我们该怎么做? ” 、“我们理解“左移” ,但这些工具有效吗? ” 以及“ 你建议我们从哪些工具开始,以及如何集成这些工具? ” . 由于 DevOps 鼓励在开发和部署的所有阶段进行测试,我们将讨论构建的管道会是什么样,以及适合不同阶段的工具。 安全测试通常与质量
发布时间:2019-10-30 13:10 | 阅读:5046 | 评论:0 | 标签:Web安全 业务安全 系统安全 DevSecOps

TransparentTribe APT组织最新样本分析报告

TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要通过鱼叉式钓鱼邮件对特定国家政府、军事目标发起攻击,该组织活动最早可以追溯到2012年,并于2016年被proofpoint首次披露,此前深信服安全团队首发布过一篇《来自TransparentTribe APT组织的窃密》的报告,近期又获取到一例TransparentTribe APT组织的最新变种样本,此样本的诱饵文档为日历型电子表格,通过执行表格中宏代码释放恶意程序,窃取受害者主机的敏感信息。样本执行整体流程图:分析诱饵文档文件1.打开诱饵表格文档。2.文档里面包含恶意的宏代码,执行宏代码,表
发布时间:2019-10-30 13:10 | 阅读:4034 | 评论:0 | 标签:Web安全 TransparentTribe APT

疑似Group123(APT37)针对中韩外贸人士的攻击活动分析

一、 事件概述腾讯安全御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动。经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动。Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司、在华外企高管,甚至政府部门。该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马捆绑和伪装。二、 技术细节分析1、 初始攻击本次攻击活动虽然未获取到相关攻击邮件,但是从相关日志来进行分析,可以确定是一次邮件钓鱼攻击,使用的诱饵名字包括제안서.rar、BN-190820.rar、list of d
发布时间:2019-10-29 13:10 | 阅读:4389 | 评论:0 | 标签:Web安全 Group123

DorkBot僵尸网络近期活跃情况报告

背景介绍DorkBot是一个臭名昭著的僵尸网络,使用的攻击手段包括后门植入,密码窃取等恶意行为。传播方式也各式各样,包括移动U盘、即时通讯软件、社交网络、电子邮件等。主要攻击目的就是盗取用户密码,以及各种能够识别个人身份的信息。去年7月,深信服安全团队在应急响应工作中发现DorkBot的一个变种。近几个月,通过深信服安全云脑的监控数据发现Dorkbot又开始活跃。下图可以看到该僵尸网络的活跃指数逐月升高。僵尸网络一般都是作为网络攻击的载体,勒索软件、挖矿木马等很多恶意软件目前都通过僵尸网络分发。从感染位置来看,东南沿海、京津冀和西南地区受灾较为严重。其中广东省、山东省、山西省分列感染量前三,出人意料的是青海感染量位居第
发布时间:2019-10-28 13:10 | 阅读:4391 | 评论:0 | 标签:Web安全 Dorkbot僵尸网络

iPhone取证的通用方法

我们都知道智能手机中存储的数据对我们有多重要,对黑客们或商家来说更是如此,当然对于执法机构来说,也成为极好的证据来源。然而,数据保存和获取并不像听起来那么容易。到目前为止,还没有什么百试不爽和放之四海而皆准的办法能帮我们在任何型号的设备上获取证据。在本文中,我们将以iPhone机型为例,说明如何提取数据并尽可能介绍一个通用的提取方法。数据保存了解数据保存是进行数据提取的前提,你必须确保所有型号的iPhone在数据提取时,处于相同的提取界面,并且在你持有该取证设备期间没有数据被修改或丢失。所以我们需要进行以下统一操作:1.如果可能的话,激活飞行模式(即使设备被锁定,也要如此);2.如有必要,检查并手动关闭Wi-Fi和蓝牙
发布时间:2019-10-28 13:10 | 阅读:4274 | 评论:0 | 标签:Web安全 iPhone phone

游戏外挂捆绑驱动木马,已劫持上万台电脑浏览器

一、概述腾讯安全御见威胁情报中心检测到一名为updataxx.rar的驱动型木马捆绑在流行游戏外挂中传播。该木马频繁更新躲避杀毒软件查杀,木马内置多个网址提供自更新服务。该木马的主要危害是进行主页劫持,劫持的网址列表从云端配置文件获取。但由于每次开机启动都会进行自更新,不排除后期拉取其他恶意功能的代码执行,潜在危害较大。该木马近期活跃性上升,疑与电商购物节之前劫持用户浏览器导流获利有关。腾讯安图关联数据显示,该系列木马驱动的多个自更新网址注册时间都是2018年年底,如yun.521drive.com、go.gengxinsys.com注册时间为2018年12月;bb.niuqudong.com注册时间为2018年11月
发布时间:2019-10-28 13:10 | 阅读:6147 | 评论:0 | 标签:Web安全 木马 外挂

安卓银行木马Gustuff回归,目标再度锁定澳大利亚

概要今年3月份,网络安全公司Group-IB发现了一款针对安卓用户的新型恶意软件Gustuff,它瞄准了澳大利亚市场上超过100款金融程序与32款加密货币程序,除了窃取使用者的金融凭证之外,还能自动执行交易。Gustuff通过访问受感染手机的联系人列表,并分发带有其APK安装文件链接的短信,传播到其他移动设备,使用辅助功能服务与其他应用程序窗口的元素进行交互,包括加密货币钱包、在线银行应用程序、即时通讯软件等,旨在感染大规模用户设备获取最大利润。在被曝光后,Gustuff的运营方式也在发生改变,除了分发恶意软件的主机改动外,运营人员还禁用了其命令和控制(C2)设备,对恶意软件的管理则通过基于SMS的次级管理通道进行。与
发布时间:2019-10-28 13:10 | 阅读:4738 | 评论:0 | 标签:Web安全 Gustuff 银行木马

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云