记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

从头开始了解和使用Hypervisor(第1部分)

毫不夸张地说,学习完本文,你完全可以创建自己的虚拟环境,并且可以了解VMWare,VirtualBox,KVM和其他虚拟化软件如何使用处理器的函数来创建虚拟环境。Intel和AMD都在其现代CPU中支持虚拟化,Intel于2005年11月13日在奔腾4系列中推出了代号为“Vanderpool”的VT-x技术,VT-x是intel运用Virtualization虚拟化技术中的一个指令集。VT-x函数的CPU标志是“vmx”,代表虚拟机扩展。另一方面,AMD开发了代号为“Pacifica”的第一代虚拟化扩展,并最初以AMD安全虚拟机(SVM)的形式发布,但后来以AMD Virtualization的商标销售,缩写为AMD-
发布时间:2019-12-04 13:25 | 阅读:8970 | 评论:0 | 标签:Web安全 Hypervisor

假冒Steam皮肤赠品网站窃取登录凭证

近日,犯罪分子创建了一个假冒的Steam皮肤赠品网站,该网站声称每天都会提供新皮肤,但实际上,它只是借此窃取您的登录凭证。最初该网络钓鱼网站是由研究人员nullcookies发现的,他在Twitter上发布了有关该网站的警告。在nullcookies告诉我们Steam钓鱼网站通常是直接在Steam上推广后,我们进行了相关搜索,发现这个骗局是通过对Steam个人资料的评论来宣传的。这些评论说:“亲爱的赢家!您的SteamID被选为“每周赠品”的赢家。请在giveavvay.com上获取你的Karambit | Doppler.在Steam个人资料上推广钓鱼网站这时,如果用户访问推荐网站,他们会看到一个假装成“ 30,00
发布时间:2019-12-04 13:25 | 阅读:9472 | 评论:0 | 标签:Web安全 Steam

RevengeHotels活动从全球酒店前台窃取客户信用卡数据

RevengeHotels是一款主要针对巴西酒店业的网络犯罪恶意软件,其目标是获取酒店系统中存储的客人的信用卡数据,以及从诸如Booking.com之类的在线旅行社(OTA)接收的信用卡数据。卡巴斯基已确认有超过20家酒店成为此次行动的受害者,它们分布在巴西的八个州,另外还有其他一些国家或地区受到影响,包括南美的阿根廷、玻利维亚、智利、哥斯达黎加,欧洲的法国、意大利、墨西哥、葡萄牙、西班牙,以及亚洲的泰国和土耳其等国家。RevengeHotels通过带有恶意附件的钓鱼邮件感染受害者,其中一些版本利用了漏洞CVE-2017-0199,该漏洞是2017四月FireEye公布的一个OFFICE 0day,在无需用户交互的情况
发布时间:2019-11-30 13:25 | 阅读:10786 | 评论:0 | 标签:Web安全 RevengeHotels

代码注入技术之Shellcode注入

代码注入是指在应用程序中注入任意外部代码的行为,有两种类型的代码注入:1.注入易受攻击的程序;2.注入不易受攻击的程序;如果代码注入是在易受攻击的应用程序中完成的,则可以通过利用在处理无效数据时发生的漏洞来实现。在这种情况下,代码注入的程度就取决于应用程序中的错误,我们也将其称为“漏洞”。但问题在于,应用程序应该具有可以被利用来获得代码执行的漏洞。本系列针对第二种情况,即不希望或不需要该应用程序具有漏洞。正如所预料的那样,这为应用程序提供了一个非常广泛的领域,同时也为滥用操作系统提供了机会。恶意软件通常使用此方法,因为执行代码注入之前不需要满足任何条件,并且操作系统本身也完全支持该方法。所有主要的操作系统都提供ABI和
发布时间:2019-11-29 13:25 | 阅读:16829 | 评论:0 | 标签:Web安全 代码注入 注入

针对SQL弱口令的爆破攻击再度袭来,KingMiner矿工已控制上万电脑

一、背景腾讯安全御见威胁情报中心检测到KingMiner变种攻击,KingMiner是一种针对Windows服务器MSSQL进行爆破攻击的门罗币挖矿木马。该木马最早于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测,导致一些反病毒引擎无法准确检测。当前版本KingMiner具有以下特点:1. 针对MSSQL进行爆破攻击入侵;2. 利用WMI定时器和Windows计划任务进行持久化攻击;3. 关闭存在CVE-2019-0708漏洞机器上RDP服务防止其他挖矿团伙入侵,以独占已控制的服务器资源;4. 使用base64和特定
发布时间:2019-11-28 13:25 | 阅读:16388 | 评论:0 | 标签:Web安全 KingMiner矿工

微软披露加密劫持恶意软件Dexphot,已感染近80000台设备

2018年10月,微软检测到恶意挖矿软件Dexphot的大规模分发行动。Dexphot使用了各种复杂的方法来逃避安全解决方案,包括多层混淆、加密和随机文件名来隐藏安装过程,利用无文件技术在内存中直接运行恶意代码,劫持合法的系统进程来掩盖恶意活动。Dexphot最终目的是在设备上运行加密货币挖掘程序,当用户试图删除恶意软件时,监控服务和预定任务会触发二次感染。微软表示自2018年10月以来不断有Windows设备受到感染,并在今年6月中旬达到峰值的8万多台,自微软部署提高检测率的相关策略和攻击阻止后,每天感染的设备数量开始逐渐下降。复杂的攻击链Dexphot感染的早期阶段涉及许多文件和步骤。在执行阶段,Dexphot首先
发布时间:2019-11-28 13:25 | 阅读:13894 | 评论:0 | 标签:Web安全 Dexphot 恶意挖矿软件 exp 加密

反作弊游戏如何破解,看看《黑色沙漠》逆向分析过程:使用 IDAPython 和 FLIRT 签名恢复 IAT

《黑色沙漠》是PearlAbyss Corp开发的一款 MMOARPG 网络游戏,是款在电玩游戏中的动作和战斗的基础上添加大规模攻城战,不动产使用、交易和雇佣等模拟要素的MMORPG。于2013年10月17开启第一次测试。在这篇文章开始之前,你有必要先看一下如何使用Scylla和x64dbg转储黑色沙漠(BlackDesert64.exe)的过程。我们将在这篇文章中看到我为了简化静态逆向分析而转储过程时所做的一些事情。黑色沙漠二进制文件的开发者很早就预料到了,会有人对他们的游戏进行逆向分析,因此早已经使用了Themida进行了预防。Themida是一个强劲的保护系统, 专为了那些想保护自己的软件不被先进的逆向工程和黑客
发布时间:2019-11-27 13:25 | 阅读:14934 | 评论:0 | 标签:Web安全 逆向分析

从 0 开始入门 Chrome Ext 安全(一) — 了解一个 Chrome Ext

在2019年初,微软正式选择了Chromium作为默认浏览器,并放弃edge的发展。并在19年4月8日,Edge正式放出了基于Chromium开发的Edge Dev浏览器,并提供了兼容Chrome Ext的配套插件管理。再加上国内的大小国产浏览器大多都是基于Chromium开发的,Chrome的插件体系越来越影响着广大的人群。在这种背景下,Chrome Ext的安全问题也应该受到应有的关注,《从0开始入门Chrome Ext安全》就会从最基础的插件开发开始,逐步研究插件本身的恶意安全问题,恶意网页如何利用插件漏洞攻击浏览器等各种视角下的安全问题。第一部分我们就主要来聊聊关于Chrome Ext的一些基础。获取一个插件的
发布时间:2019-11-26 18:25 | 阅读:14535 | 评论:0 | 标签:Web安全

暴利营生的背后:揭秘Phorpiex僵尸网络的赚钱体系

介绍不久前,Checkpoint研究团队对Phorpiex僵尸网络的大规模性勒索邮件活动进行了介绍(可参见《肆虐的性勒索邮件,躺赚的Phorpiex botnet幕后人员》一文)。Phorpiex既像蠕虫病毒又像文件病毒,它能通过漏洞利用工具包和其他恶意软件传播,迄今为止已经感染了一百多万台Windows电脑。据Checkpoint的测算,Phorpiex僵尸网络每年产生的犯罪收入约为50万美元。当然,要维护如此庞大的僵尸网络,需要一个可靠的命令与控制(C&C)基础设施。对于范围较小的恶意软件来说,最常使用的是虚拟专用服务器(VPS)。VPS托管服务可以从合法的公司购买,且许多VPS供应商不对使用者进行身份验证
发布时间:2019-11-26 13:25 | 阅读:12738 | 评论:0 | 标签:Web安全 观察 Phorpiex botnet

追溯朝鲜APT组织Lazarus的攻击历程

最近,朝鲜声名狼藉的APT组织Lazarus又开始活跃起来,先是入侵印度核电站,导致其紧急关闭一座反应堆,然后又向韩国、意大利等国发送大量钓鱼邮件进行攻击,加上今年年初的数字货币交易所入侵事件,Lazarus今年可谓是很“高产”了。鉴于我国也曾在Lazarus的攻击范围之内,下面就来了解下Lazarus组织的攻击手法,以及学习如何对其进行追踪。APT组织概述Lazarus别名APT38、Guardians of Peace,是隶属于朝鲜的一个APT组织。据一位叛逃到韩国的朝鲜计算机科学教授透露,该组织的成员主要来源于朝鲜RGB海外情报机构的Unit 180部队,主要负责以获得外汇为目的的攻击。Lazarus组织自200
发布时间:2019-11-25 18:25 | 阅读:14738 | 评论:0 | 标签:Web安全

新型跨平台后门ACBackdoor介绍

介绍Intezer安全研究团队近日检测到了一类新型后门——ACBackdoor,它具有Linux和Windows两种变种,能提供shell命令的任意执行、任意二进制文件执行、持久性和更新功能。目前尚无法将ACBackdoor关联到任何已知的威胁组织。在VirusTotal上,对Linux变种的检测率为0,而Windows变种的检测率要相对高些,如下图所示。 图1.ACBackdoor Linux变种的VirusTotal检测率 图2.ACBackdoor Windows变种的VirusTotal检测率本文将对ACBackdoor做技术分析,区分其两类变种实现上的差异。最终的调查结果表明,该恶意软件背
发布时间:2019-11-24 13:25 | 阅读:13298 | 评论:0 | 标签:Web安全 ACBackdoor 后门

自动调节AWS的步骤

为了在Yelp上将整体应用程序分解为微服务,我们一直在使用AWS Step Functions将多个业务流程迁移到现代架构。亚马逊宣布发布的AWS Step Functions集成,包括他们的计算、数据库、消息传递、分析和机器学习服务,这使得用户可以把这些服务作为状态机工作流中的步骤。借助AWS Step Functions,亚马逊提供了一种抽象的方法来连接和协调活动,充分利用高度可伸缩的运行时,可视化工作流表示,并且内置了重试、监控和日志机制。由于Yelp的交易订购涵盖了多种垂直领域,包括食品(送货/外卖订单),订票,上门服务等等。这些订单通过“Step Functions”进行处理,其中每个步骤都表示工作流的执行实
发布时间:2019-11-20 13:25 | 阅读:12289 | 评论:0 | 标签:Web安全 AWS

又到一年报税季,TA2101对德意美三国广撒网钓鱼

概述Proofpoint研究团队近期发现了数起针对当地公司企业的恶意攻击事件,波及德国、意大利和美国三个国家,所有事件均由TA2101所为,其手法是假冒当地的大型公司或政府机构,为目标群体发送钓鱼邮件,并在受害者机器上安装后门恶意软件。他们所选择的攻击对象没有针对特定的垂直行业,但偏重于商业、IT服务、制造业以及医疗保健行业的人群。Case 1:德国2019年10月16日至23日,Proofpoint注意到有数百封冒充德国联邦财政部的钓鱼邮件,其附件带有恶意Microsoft Word文档,内容是要求收件人提交退还税款的申请(使用附件表单),并在三天内进行处理。这些邮件批量小,主要针对IT服务公司。 图1:钓
发布时间:2019-11-19 13:25 | 阅读:10294 | 评论:0 | 标签:Web安全 钓鱼攻击

间谍软件Agent Tesla再换“新衣”,能有效绕过传统反病毒系统

概要2019年1月开始,思科Talos开始跟踪一系列间谍软件的分发活动,攻击者所用到的恶意软件一般是耳熟能详的Agent Tesla、Loki-bot等,通过定制dropper将最终恶意软件注入到公共进程中,一旦感染成功,便能从多类浏览器或邮件客户端中窃取用户信息。这些注入技术并不新鲜,早就存在多年了,但随着攻击者在感染链上的改进,传统的反病毒系统也很难检测到嵌入的恶意软件。在本文中,我们将介绍其中一起行动,攻击者是如何利用dropper在不同阶段隐藏恶意软件的。任何互联网用户都有可能成为这类恶意软件的目标,如果遭到感染,自己的隐私就有可能完全暴露在攻击者面前。技术概述此次活动以典型的钓鱼邮件的方式开展: 图
发布时间:2019-11-18 13:25 | 阅读:10563 | 评论:0 | 标签:Web安全 Agent Tesla

容器服务常见的配置错误以及由此造成的泄漏事件

目前市场上总共有40000多个独立的容器托管平台,这些平台具有默认的容器配置,可以快速被识别。 Kubernetes和Docker容器平台各自都有超过20000个独立的容器。但这并不一定意味着这4万多个平台中的每一个容器都容易受到攻击,甚至是敏感数据的泄漏。另外,云服务中看似简单的错误配置可能会对组织造成严重影响。例如,Docker Hub丢失的19万个帐户的密钥和令牌就是攻击者利用云环境中的密钥和令牌存储的弱安全配置的结果。还有-Ladders(美国最受欢迎的招聘网站)在今年发生了超过1370万用户信息被泄露的事件,原因就是基本容器配置错误。在本文的研究中,研究人员能够使用简单的搜索词轻松地在全球找到20353个Ku
发布时间:2019-11-15 13:10 | 阅读:11767 | 评论:0 | 标签:Web安全

以X-VPN为例,说说为什么要少用VPN进行上网?

很多注重隐私的用户都会在上网时使用VPN,他们自以为这样就会减少信息泄漏,其实这样做有时会造成更大的安全风险。今天我们就来说一说,那些绕过安全检测的VPN客户端是如何给你带来灾难性风险的?palo alto networks (派拓网络)威胁情报团队unit 42的研究人员近日专门调查了X-VPN的安全性,该软件会使用各种绕过安全检测的技术。X-VPN是一种虚拟专用网(VPN),可以用来绕过互联网审查和流量测试,这对网络运营商以及VPN用户构成了巨大的风险。X-VPN是目前市场上重视隐私,信息安全和在线自由的VPN客户端之一,借助X-VPN,您可以隐藏IP,在世界任何地方设置虚拟位置,以及在办公室,学校和国外取消阻止流
发布时间:2019-11-14 13:10 | 阅读:14877 | 评论:0 | 标签:Web安全 VPN

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云