东方隐侠-千里
一颗初心,护天下安全!
东方隐侠,欢迎您的加入!
欢迎关注团队公众号!
展开
-
使用机器学习做DGA域名识别
域名生成算法(Domain Generation Algorithm, DGA) 是一项古老但一直活跃的技术, 是中心结构僵尸网络赖以生存的关键武器, 该技术给打击和关闭该类型僵尸网络造成了不小的麻烦。研究人员需要快速掌握域名生成算法和输入, 以便对生成的域名及时进行处置。DGA依赖时间、 字典和硬编码的常量动态生成域名。原创 2022-10-17 22:43:51 · 859 阅读 · 0 评论 -
STRIDE威胁建模(面向安全应用程序开发的威胁分析框架)
STRIDE 威胁模型由Microsoft安全研究人员于 1999 年创建,是一种以开发人员为中心的威胁建模方法,通过此方法可识别可能影响应用程序的威胁、攻击、漏洞,进而设计对应的缓解对策,以降低安全风险并满足公司的安全目标。STRIDE为每一种威胁英文的首写字母,Spoofing欺骗、Tampering篡改、Repudiation否认、Information disclosure信息泄露、Denial of Service拒绝服务、Elevation of privilege特权提升。原创 2022-10-15 09:00:36 · 1083 阅读 · 0 评论 -
恶意样本分析手册
图解恶意样本分析的常用方法,你与安全专家的差距只有一篇文章!转载 2022-10-14 23:54:17 · 999 阅读 · 0 评论 -
设置SSH密钥对的必要性
简单来说私钥只有个人拥有,相当于是个人身份的认证,有了它,可以保证只有私钥拥有者才能打开使用匹配公钥加密的数据,从而保证了数据的机密性。创建ssh密钥对就是通过加密的方式生成一对SSH密钥,公钥和私钥,由我们自己保存的是私钥,放在Linux服务器里面的叫做公钥,私钥放在本地的机器中就可以使用SSH命令实现远程连接。因此,ssh密钥对就有很强的应用场景,使用的安全强度比较高,且配置了SSH密钥对以后,就能使用私钥远程连接,不用重复输入密码,比较方便使用。6.设置SSH,打开密钥登录。3.生成新的SSH密钥。原创 2022-10-14 00:01:40 · 843 阅读 · 0 评论 -
如何快速搭建红队练习靶场
如果打造内网隔离状态下的攻防靶场,可以先利用bat脚本,批量前往文件夹下,利用docker-compose build指令,构建完毕所有镜像环境。Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。进入指定漏洞文件夹,使用docker-compose up -d即可拉取镜像、构建环境和生成容器。查看默认储存位置,默认是/var/lib/docker。原创 2022-09-28 00:18:05 · 612 阅读 · 0 评论 -
Sysmon使用方法
日常的应急响应中,经常会遇到一些情况。比如远程上去的时候已经没有了现象,又或是恶意流量每隔几个小时就发一两个包,失分头疼。Sysmon作为强大轻便的监视和记录工具,可以记录系统的各种活动。通过收集系统上发现的事件,可以了解到恶意程序再操作系统上进行了哪些操作。可选择记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作记录。Sysmon同时具有windows版和linux版。原创 2022-09-28 00:14:43 · 594 阅读 · 0 评论 -
“魔盗”窃密木马(FakeCDR)研究
近期,客户被通报存在FakeCDR恶意事件,该病毒家族在互联网上知之甚少,在此进行说明。2022年8月初,CNCER监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行传播的窃密木马。通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1.3万.原创 2022-09-18 23:47:41 · 1649 阅读 · 0 评论 -
解密工具 —— shiro加密数据
实现本地利用112个默认key对shirorememberme数据进行解密,本工具用于蓝队同学对攻击进行研判。原创 2022-09-18 10:04:29 · 947 阅读 · 0 评论 -
暗云III木马技术分析
2017年6月9日,关于一款名为“暗云III”木马的信息在互联网传播,据称此木马具有隐蔽性强、潜在危害大、传播范围广等特点。木马主要通过外挂、游戏辅助、私服登录器等传播,此类软件通常诱导用户关闭安全软件后使用,使得木马得以乘机植入。木马主要通过云控进行任务发布,传播及执行恶意功能时无文件写入磁盘,同时木马所具有的bootkit能力也使得木马的运行更加隐而且难以查杀。首次上传VirusTotal时间。首次上传VirusTotal时间。首次上传VirusTotal时间。...原创 2022-08-25 23:58:21 · 545 阅读 · 0 评论 -
Floxif蠕虫病毒分析与处置
介绍Floxif病毒的技术原理和处置方法原创 2022-08-24 23:41:53 · 1461 阅读 · 0 评论 -
CAD盗图木马分析与处置策略
而AutoCAD木马的加载执行主要利用了AutoCAD软件的两个方面进行,实现打开AutoCAD软件、创建新的图形文件、关闭所有图形文件等操作时触发木马的执行。回传信息:通过GET方式访问C2,提交相关数据,其中涉及CAD软件版本、时间、系统区域,推测攻击者可针对提交的数据返回相应数据,进而有针对性的开展窃密活动。,这里我们在做代码分析时,如遇到lsp文件,即可直接分析,如遇到fas格式文件,则需要进行反编译。,该文件不是通常情况下的可执行文件,无法直接运行,必须使用AutoCAD软件进行加载;原创 2022-08-20 00:11:55 · 940 阅读 · 0 评论 -
H-WORM家族远控木马分析与处置
首先通过读取注册表项+脚本名,判断当前系统是否已感染,接着将目标文件放入注册表项"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\"和"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\"中实现自启动。H-WORM作者ID为Houdini,使用VBS编写以实现远控蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。...原创 2022-08-15 22:51:03 · 2731 阅读 · 3 评论 -
流星加速器木马分析与处置方案
LocalNetwork.exe会通过接收C&C服务器(58.218.92.196)的代理策略,执行代理逻辑转发服务器下发的数据流量,在未经用户允许的情况下占用用户的网络资源,使用户机器沦为帮助其牟取利益的工具。此外,当用户卸载“流星加速器”后,上述病毒模块会依旧驻留用户电脑中,继续作恶。SecurityGuard.exe模块的主要功能就是将自身注册为服务并接收C&C服务器(api.jm.taolop.com)下发的后门命令控制码来执行不同的后门功能,如:更新模块,创建、删除服务,运行远程命令。...转载 2022-08-09 23:17:03 · 1354 阅读 · 0 评论 -
“双枪”木马病毒的进化史
自2017年首次被360安全发现以来,“双枪”木马病毒进行了多次变种,感染了逾10万台电脑设备,直至2020年5月,360安全联合百度捣毁了数十万“肉鸡”构成的僵尸网络,才让我们得知,僵尸网络的规模如此巨大,在我们看不见的地方,正与邪的对抗无时不在激烈的交锋。接下来,小编就盘点一下,“双枪“病毒的三代进化史。...转载 2022-08-08 23:11:18 · 735 阅读 · 0 评论 -
网页挖矿溯源?浏览器浏览历史查看工具Browsinghistoryview
BrowsingHistoryView是一款用于分析windows上浏览器访问历史的实用工具,它支持读取4种不同的Web浏览器(IE浏览器,Mozilla的火狐,谷歌Chrome和Safari)的历史数据,并显示在一个表中的所有这些Web浏览器浏览历史。浏览历史记录表包括以下信息:访问过的URL,标题,访问时间,访问次数,Web浏览器和用户配置文件。...原创 2022-08-08 22:48:30 · 760 阅读 · 0 评论 -
Ramnit感染型病毒分析与处置
详细分析Ramnit感染性病毒原创 2022-08-03 22:50:51 · 4741 阅读 · 0 评论 -
应急响应 >> Windows系统应急
帮助读者掌握windows应急处理手段原创 2022-07-19 19:21:46 · 491 阅读 · 2 评论 -
应急响应 >> Linux系统应急
帮助读者掌握linux系统应急手段原创 2022-07-19 19:13:59 · 292 阅读 · 0 评论 -
应急响应 >> 网络安全应急事件类型和处置办法
掌握应急响应事件类型分类和处置方法,文章所在专栏就是为提供事件处置而存在。原创 2022-07-19 16:35:05 · 1698 阅读 · 0 评论 -
应急响应 >> 基础技能与工具
掌握必备的应急基础知识和工具原创 2022-07-19 15:53:56 · 689 阅读 · 11 评论 -
Ruby On Rails代码执行漏洞(CVE-2020-8163)技术分析与研判防护
RubyonRails5.0.1之前版本存在代码注入漏洞。远程攻击者可利用该漏洞发送特制请求执行任意代码。参考https//github.com/QianliZLP/CVE-2020-8163-即可。RubyonRails是Rails团队的一套基于Ruby语言的开源Web应用框架。system(“【具体指令】”);在研判中较为明显,一般为。......原创 2022-07-18 09:57:44 · 1575 阅读 · 0 评论 -
反爬虫中的识别和处置方法
反爬虫的思路介绍原创 2022-07-15 09:51:14 · 274 阅读 · 0 评论 -
微信支付?一起观摩Safesound勒索病毒的骚操作
该病毒运行后会加密用户文件(文件后缀名为.SafeSound),并要求受害者扫描弹出的微信二维码支付100元赎金获取密钥,这也是继2018年首次出现后(详见文末),第二次出现要求微信支付赎金的勒索病毒。 0a82b37e1a7cb6d8e8379796e929774b30fd93a7438782df2bd6b66cad0626a2 该病毒使用对称加密对文件数据进行加密,相关代码,如下图所示:加密后的文件格式,如下图所示:该病毒会对特定的文件后缀和文件夹名不进行加密外,其余所有文件全部进行加密,不加密的文件后原创 2022-07-12 10:44:05 · 444 阅读 · 0 评论 -
Google发布安全更新,修复Chrome中已被利用的0 day
Google Chrome 是全球主流的免费浏览器之一,用户群体广泛,具有快速、高效、安全等特点。7月4日,Google发布为Windows用户发布Chrome 103.0.5060.114,修复了2022年Chrome中的第4个0 day。该漏洞是WebRTC(Web实时通信)组件中基于堆的缓冲区溢出漏洞(CVE-2022-2294),由Avast的研究团队于7月1日披露。Google透露该漏洞已被在野利用,但并未公开关于攻击的技术细节等信息。攻击者可利用该漏洞,构造恶意数据造成缓冲区溢出攻击,并执行远程原创 2022-07-06 14:38:15 · 254 阅读 · 0 评论 -
针对美国国家安全局“酸狐狸”漏洞攻击武器平台的分析与应对方案建议
文章来源:国家计算机病毒应急处理中心 信息安全摘要以下针对国家计算机病毒应急处理中心的研究报告进行针对性拓展研究。(请查看蓝字) 近日,国家计算机病毒应急处理中心对美国家安全局(NSA)“酸狐狸”漏洞攻击武器平台(FoxAcid)进行了技术分析。该漏洞攻击武器平台是美国国家安全局(NSA)特定入侵行动办公室(TAO,也被称为“接入技术行动处”)对他国开展网络间谍行动的重要阵地基础设施,并成为计算机网络入侵行动队(CNE)的主力装备。该漏洞攻击武器平台曾被用于多起臭名昭著的网络攻击事件。近期,中国多原创 2022-06-30 19:34:26 · 1151 阅读 · 0 评论 -
物联网僵尸网络Gafgyt家族与物联网设备后门漏洞利用
Gafgyt(又称BASHLITE,Qbot,Lizkebab,LizardStresser)是一款基于IRC协议的物联网僵尸网络程序,主要用于发起DDoS攻击。它可以利用内置的用户名、密码字典进行telnet爆破和对IOT设备RCE(远程命令执行)漏洞利用进行自我传播。于2015年泄露源码并被上传至github,此后衍生出多个变种,次年对互联网上的IOT设备的总感染数达到100W。Gafgyt家族曾发起过峰值400Gbps的DDoS攻击。截至2019年底,Gafgyt家族仍是除Mirai家族外的最大活跃物原创 2022-06-30 10:38:43 · 1577 阅读 · 0 评论 -
PHP内存马技术研究与查杀方法总结
内存马是无文件攻击的一种常用手段,随着攻防演练热度越来越高:攻防双方的博弈,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到,内存马使用越来越多。 由客户端发起的Web请求后,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的传统的Webshell原创 2022-06-28 20:37:50 · 895 阅读 · 0 评论 -
详细分析PBot挖矿病毒家族行为和所利用漏洞原理,提供蓝军详细防护建议
近期,360监测到一个挖矿僵尸网络,并对其进行了持续跟踪。其bot模块为GitHub开源的IRCBot(采用Perl语言编写),且病毒脚本中包含perlbot关键字,遂命名为PBot。该僵尸网络正利用Spring4Shell漏洞(CVE-2022-22965)、GitLab CE/EE RCE漏洞(CVE-2021-22205)等漏洞大肆攻击互联网中主机以植入恶意脚本构建僵尸网络、挖矿牟利。目前该病毒家族至少包含7个漏洞利用模块,并收集了上万个脆弱主机IP地址。1)攻击者首先利用Spring4Shell漏洞原创 2022-06-27 16:12:38 · 536 阅读 · 0 评论 -
心脏滴血漏洞(CVE-2014-0160)分析与防护
2014年4月7日,OpenSSL发布安全公告,在OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBleed。其中Heart是指该漏洞位于心跳协议上,Bleed是因为该漏洞会造成数据泄露。即HeartBleed是在心跳协议上的一个数据泄露漏洞,OpenSSL库中用到了该心跳协议。HeartBleed主要存在与OpenSSL的1.0.1版本到1.0.1f版本。Heartbleed 漏洞允许 Internet 上的任何人读取受 O原创 2022-06-25 10:58:40 · 1100 阅读 · 0 评论 -
Spring Security认证绕过漏洞(CVE-2022-22978)研究与防护手段
CVE IDCVE-2022-22978发现时间2022-05-17类 型认证绕过等 级高危远程利用是影响范围攻击复杂度低用户交互无PoC/EXP在野利用Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。5月16日,VMware发布安全公告,修复了Spring Security中的一个认证绕过漏洞(CVE-2022-22978),该漏洞的CVSSv3评分为8.2。在Spring Security 版本5.5.7之前、5.6.4 之前以及不受支持的旧版本中,使用原创 2022-06-17 09:54:16 · 2750 阅读 · 0 评论 -
麻辣香锅病毒分析
Spicy Hot Pot浏览器劫持病毒(麻辣香锅病毒)从2020年初被安全公司监测到,因其病毒模块带有MLXG_KM被安全行业代称麻辣香锅病毒。目前通过各种激活工具传播, 包括暴风激活、小马激活和KMS激活等诸多工具,疑似与下载站进行合作推广此类激活工具。Spicy Hot Pot 是一个浏览器劫持 Rootkit,它会将用户的主页更改为指向恶意软件操作员控制的页面,此外还会将内存转储从机器上传到预定义的服务器,并结合本地更新功能以确保其保持更新。通常浏览器劫持者会通过更改用户主页的恶意可执行文件或注册表原创 2022-06-14 15:08:15 · 3920 阅读 · 0 评论 -
永恒之蓝攻击处置方法
2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。详细介绍:永恒之蓝漏洞与Wannacry勒索病毒https://blog.csdn.net/qq_37865996/article原创 2022-06-09 11:17:18 · 588 阅读 · 1 评论 -
麻辣香锅(Spicy Hot Pot)浏览器劫持病毒应急方法
Spicy Hot Pot浏览器劫持病毒(麻辣香锅病毒)从2020年初被安全公司监测到,因其病毒模块带有MLXG_KM被安全行业代称麻辣香锅病毒。麻辣香锅病毒通过各种激活工具传播, 包括暴风激活、小马激活和KMS激活等诸多工具,疑似已与下载站进行合作推广此类激活工具。参考:激活工具散播锁首病毒“麻辣香锅“ 诱导用户退出安全软件 - 知乎该病毒劫持流程为:阻止浏览器进程加载安全模块,随后进程创建回调,在用户启动浏览器时通过增加命令行的方式劫持浏览器主页。因此当打开浏览器后,出现以下情况,可以判断感染:1.用户原创 2022-06-09 15:53:54 · 5344 阅读 · 1 评论 -
指定路径列表批量拷贝文件+Windows批处理命令大全
一、指定路径列表批量拷贝Windows文件cat.bat@echo offset target = ''mkdir samplessetloacal enabledelayedexpanssionfor /f %%I in (paths.txt) do ( set target = %%I echo start collecting !target! copy /y !target! samples)二、Windows批处理命令大全系统控制Shut原创 2022-04-16 00:34:49 · 3020 阅读 · 0 评论 -
脚本开发·Powershell使用教程
目录一、前言二、Basic PowerShell Cmdlets1. Get-Command2.Get-Help3.Set-ExecutionPolicy4. Get-Service5.ConvertTo-HTML6.Get-EventLog7. Get-Process8.Clear-History9. Where-Object10.Set-AuthenticodeSignature三、PowerShell Commands for Getti......原创 2022-04-23 23:30:23 · 565 阅读 · 0 评论 -
Office宏恶意脚本技术研究
非PE的间接文件:A、基于宏(类型III:Offic文档、PDF文档)原创 2022-05-15 23:31:49 · 532 阅读 · 0 评论 -
蓝队工具:使用VirusTotal API校验样本
VirusTotal,是一个提供免费的可疑文件分析服务的网站。2004年6月由创始人Hispasec Sistemas创立。与传统杀毒软件的不同之处是它通过多种反病毒引擎扫描文件。使用多种反病毒引擎对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染。这样大大减少了杀毒软件误杀或未检出病毒的几率,其检测率优于使用单一产品。其反病毒引擎已经多达40种以上,但是也不能保证该网站扫描通过的文件就彻底无害,毕竟道高一尺,魔高一丈。事实上,没有任何一款软件可以提供100%的病毒和恶原创 2022-06-07 23:37:22 · 1004 阅读 · 0 评论 -
病毒持久化操作方法
攻击者通常需要通过中断来维持对系统的访问,例如系统重启、凭据丢失或其他需要远程访问工具重新启动或备用后门才能重新获得访问权限的故障。以下将详细介绍病毒或木马后门实现持久化的常规手段。...原创 2022-05-05 19:20:04 · 1327 阅读 · 0 评论 -
资源分享·病毒样本下载资源分享
一、微步云沙箱微步在线云沙箱https://s.threatbook.cn/使用病毒sha256即可寻找病毒样本;该站点也可上传可疑文件/可疑URL地址到沙箱中,进行分析 。以永恒之蓝为例,样本sha256是:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa下载样本或流量监控,需要消耗积分:二、AnyRunInteractive Online Malware Analysis Sandbox.原创 2022-04-23 21:42:04 · 14997 阅读 · 0 评论 -
逆向·IDA的使用
一、IDA启动打开后进入页面:New就是新反汇编一个文件,Go就是继续之前工作,Previous则是加载以前的反汇编任务。进入后主界面:菜单栏下有一条彩色块,用于对代码进行定位。其中:蓝色表示代码段、红色表示内核、棕色表示数据段、黑色为输出窗口。左边Funtion windows显示了所有函数列表,双击后可查看详细信息,在右侧主要位置对代码逻辑进行呈现:而在右侧主界面中,,可以显示IDA view-A、十六进制视图、结构体、枚举、输入、输出(在顶部切换即可)...原创 2022-04-25 21:29:02 · 3049 阅读 · 0 评论