自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

原创 Invoke-PowerThIEf利用分析

x00 前言 Invoke-PowerThIEf是一个开源的Powershell脚本,不仅能够用来对IE浏览器窗口的内容进行操作,还能通过Hook的方法捕获IE浏览器的凭据。 地址如下: https://github.com/nettitude/Invoke-PowerThIEf 本文将要...

2019-11-22 19:38:06

阅读数 15

评论数 0

原创 特权提升攻防揭秘:macOS恶意软件如今还需要root提权吗?

一、前言 在本篇文章中,我们详细描述关于macOS上的特权提升。首先,我们将介绍安全研究人员在Apple桌面操作系统的最新版本中发现的一些漏洞,其中重点说明已经转化为可靠漏洞利用的一些漏洞。针对这些漏洞,提出面向企业和终端用户的安全建议。随后,我们将视角从研究人员转向攻击者,奇热探讨macOS威...

2019-11-22 19:35:40

阅读数 14

评论数 0

原创 渗透技巧——从远程桌面客户端提取明文凭据

0x00 前言 在之前的文章《渗透技巧——获得Windows系统的远程桌面连接历史记录》曾介绍了获得远程桌面连接历史记录的方法。 在实际的渗透过程中,如果发现了远程桌面连接的历史记录,奇热那么下一步就需要想办法获取远程桌面连接使用的口令。 本文将会结合RdpThief介绍从远程桌面客户端提取...

2019-11-22 19:30:13

阅读数 97

评论数 1

原创 现代无线侦察技术(二):MANA 和已知信标攻击

在本系列文章的第一部分中,我们介绍了802.11的一些基本原理,并描述了如何利用协议的漫游和网络选择特性来执行无线中间人(PITM)攻击。我们还讨论了如何在EAPHammer中执行基本的仿冒接入点攻击(参见:https://github.com/s0lst1c3/eaphammer)。如果你还没有...

2019-11-22 19:19:05

阅读数 20

评论数 0

原创 code blue CTF 2019 fopen RCE 漏洞的 Writeup

0x01 介绍 最近,我在打CODE BLUE CTF 2019决赛,里面有一道题目是通过fopen的第二个参数进行RCE,奇热在这篇文章我会详细说明解这道题目的方法。 首先,将下面两个文件放在/home/user目录: gconv-modules modulePAYLOAD//INTER...

2019-11-22 19:16:47

阅读数 29

评论数 0

原创 一款实用的macOS内核调试工具——LLDBagility

这是Francesco Cagnin有关macOS内核调试的第二篇文章。在上一篇文章中,作者定义了本篇文章中使用的大多数术语,描述了如何为macOS内核实施内核调试,并讨论了可用工具的局限性。本篇文章中,我们就介绍LLDBagility,这是上文中为macOS内核实施内核调试的解决方案,可提供更轻...

2019-11-22 19:12:05

阅读数 19

评论数 0

原创 与Lazarus组织相关的Mac后门分析

MacOS中的网络犯罪活动持续增长,越来越多的恶意软件开发者将矛头转向macOS。Trend Micro研究人员发现一个与Lazarus组织有关的mac后门,使用启用宏的Excel来攻击韩国用户。 与Lazarus的相似之处 研究人员分析了Twitter用户cyberwar_15发现的恶意样本...

2019-11-22 19:09:30

阅读数 8

评论数 0

原创 全球首次捕获哈萨克斯坦APT攻击 揭秘中亚国家如何改变网络战格局

近几年,拉撒路、摩诃草、海莲花等全球APT攻击日益活跃,然而国家级APT组织,仅仅是世界列强的禁脔和专利吗?事实并非如此。近日,360安全大脑所捕获的黄金雕组织(APT-C-34),正是中亚内陆国也能构建国家级网络部队,并挑起网络战争的现实写照。 自2015年至今,一个外界从不知晓的俄语系APT...

2019-11-22 19:07:11

阅读数 24

评论数 0

原创 揭秘Emotet恶意软件新变种幕后攻击者的运营模式

概述 本文是FortiGuard SE团队关于Emotet威胁攻击者的最新研究成果,Emotet是当前网络环境中威胁较大的一个恶意组织。我们与网络威胁联盟的成员共同编写了一系列关于攻击者的手册,要查看更多信息,可以参考《网络威胁联盟手册》白皮书。此外,在FortiGuard Playbook V...

2019-11-18 13:26:29

阅读数 54

评论数 0

原创 TCP SYN-ACK 反射DDoS攻击活动分析

Radware研究人员在过去一个月内监测到DDOS攻击活动频率增加,受害者包括许多大公司,具体有亚马逊、IBM子公司SoftLayer、Eurobet Italia SRL、韩国电信、HZ Hosting和SK Broadband。 10月份,研究人员发现大量看似来自合法源的TCP SYN请求,...

2019-11-18 13:22:30

阅读数 18

评论数 0

原创 不在沉默中爆发就在沉默中死亡,处于沉寂状态的 Emotet 僵尸网络是怎样卷土重来的?(一)

在 2019年大部分时间里处于沉寂状态的 Emotet 僵尸网络又重新爆发了! 研究人员认为,Emotet 可能正是在这段沉寂期间进行的基础设施维护和升级,只要它的服务器重新启动并运行,Emotet 便会携全新增强型威胁函数强势回归。 Emotet感染链分析 有证据表明,Emotet背后的运营...

2019-11-18 13:13:53

阅读数 18

评论数 0

原创 浅谈新手入门级红蓝对抗系列之——Sysmon攻防

Sysmon介绍 Sysmon是微软的一款免费的轻量级系统监控工具,最开始是由Sysinternals开发的,后来Sysinternals被微软收购,现在属于Sysinternals系列工具(带有微软代码签名)。它通过系统服务和驱动程序实现记录进程创建,网络连接以及文件创...

2019-11-17 20:00:41

阅读数 140

评论数 0

原创 只要运营功夫深,大海也能捞到针——IPv6地址扫描实践分享

一、IPv6地址简介 随着物联网、5G的发展,网络应用对IP地址的需求呈现爆炸式增长,IPv4地址空间早已分配枯竭,并且分配十分不均匀,美国占全球地址空间的一半左右,中国全国的IPv4地址加起来都没有美国一所大学拥有的地址多。IPv6凭借充足的网络地址和广阔的创新空间,已经成为实现万物互联,促进...

2019-11-17 19:55:03

阅读数 13

评论数 0

原创 靶场发展态势③美国防部赛博安全靶场(IAR/CSR)

美国国防部在2018年依据美国白宫公布的《国家网络战略》(National CyberStrategy),制定其《国防部网络战略》(Department ofDefense Cyber Strategy),阐明落实网络战略目标的五大路线:建立致命战力、网络空间竞争与吓阻、强化同盟并吸引新合作伙伴、...

2019-11-17 19:52:30

阅读数 51

评论数 0

原创 代码审计工具Fortify 17.10及Mac平台license版本

介绍17.10版本安装指导工具使用云端试用价值 介绍 Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测,分析的过程中与其特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并整理生成完整的报告。扫描的...

2019-11-17 19:49:40

阅读数 295

评论数 0

原创 使用卷序列号作为加密密钥:APT恶意软件LOWKEY分析

概述 在2019年8月,FireEye发布了有关最新发现的威胁组织——APT41的“Double Dragon”报告。APT41是一个与亚洲某国家联系紧密的双重间谍组织,聚焦于财务领域,该恶意组织主要针对游戏、医疗保健、高科技、高等教育、电信和旅游服务等行业。 本文主要分析了我们发现的一个复杂...

2019-11-17 19:46:39

阅读数 12

评论数 0

原创 新型勒索软件PureLocker现身,被Cobalt、FIN6等多个威胁组织使用

Intezer和IBM X-Force研究团队近期发现了一类新的勒索软件——PureLocker,它由一位资深的恶意软件即服务(MaaS)供应商在暗网上出售,并被Cobalt、FIN6等多个威胁组织使用。攻击者利用它对企业的生产服务器发起定向勒索攻击。 PureLocker与“more_eggs...

2019-11-17 19:45:07

阅读数 12

评论数 0

原创 CVE-2019-3648漏洞分析

SafeBreach Labs安全研究人员在McAfee反病毒软件所有版本中发现了一个新的漏洞。本文将证明如何利用该漏洞来绕过McAfee的自防御机制,并加载任意未签名的DLL到多个以NT AUTHORITY\SYSTEM运行的服务中来实现防御绕过和驻留。 注:为成功利用该漏洞,攻击者需要有ad...

2019-11-17 19:40:54

阅读数 5

评论数 0

原创 卡巴斯基:2019Q3拒绝服务攻击趋势报告

概述 在2019Q3中,我们观察到一种新型的DDoS攻击,证实了我们先前有关攻击者正通过Memcached协议进行攻击的假设。正如我们推测的那样,攻击者尝试使用另外一种不常见的协议来放大DDoS攻击。Akamai Technology的专家最近发现他们的一位客户曾遭受攻击,该攻击是借助WS-Di...

2019-11-17 19:39:34

阅读数 18

评论数 0

原创 利用 r2 逆向分析框架分析 Windows Minidumps

用Microsoft使用minidump格式存储用户模式的内存转储(dump),它是一种公开记录的文件格式,以前几乎都是在WinDbg进行分析。 本文介绍如何使用radare2 mdmp模块进行Minidumps转储文件分析。 0x01 文件格式 该格式其实很简单,因为基本上都是数据流,这些...

2019-11-17 19:37:09

阅读数 7

评论数 0

原创 NTLM 中继攻击的几种非主流玩法

在企业组织中的常见的一种安全风险是凭证重用,当攻击者攻击 NT LAN Manager 身份验证协议(以下简称 NTLM 身份验证)时就会出现这样的风险,而这个协议通常会在 微软的 活动目录 中默认启用。 NTLM 认证中的不安全性已经被安全研究人员发现超过15年了。该协议可以被滥用,通过一...

2019-11-17 19:34:59

阅读数 47

评论数 0

原创 Titanium:黑客团伙Platinum使用的新隐形后门

Platinum是亚太地区技术最先进的一类APT组织,于2016年被微软发现。该组织主要针对南亚和东南亚地区,对isp、政府机构、情报机构和国防机构进行鱼叉式网络钓鱼攻击,从攻击目标来看,黑客的动机似乎是国家机密而非金融勒索。 2018年6月,卡巴斯基的专家就注意到了Platinum组织对东南亚...

2019-11-15 13:36:54

阅读数 15

评论数 0

原创 对 ArabicRSS APK 应用木马样本的分析

水坑攻击(watering hole) 是近些年黑客攻击常用的方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。 由于此种攻击借助...

2019-11-15 13:23:03

阅读数 21

评论数 0

原创 逃避检测功能加强:Google Play上发现的49个新型广告恶意软件分析

概述 近期,我们在Google Play上发现了49个新型广告恶意软件应用程序,它们被伪装成游戏或流行相机。这些应用程序都是典型的广告恶意软件,隐藏在移动设备中,以显示广告内容,同时具有防止卸载和逃避检测的功能。目前,这些应用程序已经下架,但在被Google下架之前,其下载总数已经超过300万。...

2019-11-15 13:17:58

阅读数 11

评论数 0

原创 从远程桌面客户端提取明文凭证的工具RdpThief

介绍 远程桌面(RDP)是用于管理WindowsServer的最广泛使用的工具之一,除了被管理员使用外,也容易成为攻击者的利用目标。登录到RDP会话的凭据通常用于是具有管理权限的,这也使得它们成为红队行动的一个理想目标。站在传统的角度看,许多人倾向于使用LSASS进行凭据盗窃,但是lsass.e...

2019-11-15 13:14:08

阅读数 63

评论数 0

原创 新型勒索软件PureLocker现身,被Cobalt、FIN6等多个威胁组织使用

Intezer和IBM X-Force研究团队近期发现了一类新的勒索软件——PureLocker,它由一位资深的恶意软件即服务(MaaS)供应商在暗网上出售,并被Cobalt、FIN6等多个威胁组织使用。攻击者利用它对企业的生产服务器发起定向勒索攻击。 PureLocker与“more_eggs...

2019-11-15 13:12:13

阅读数 33

评论数 0

原创 容器服务常见的配置错误以及由此造成的泄漏事件

目前市场上总共有40000多个独立的容器托管平台,这些平台具有默认的容器配置,可以快速被识别。 Kubernetes和Docker容器平台各自都有超过20000个独立的容器。但这并不一定意味着这4万多个平台中的每一个容器都容易受到攻击,甚至是敏感数据的泄漏。另外,云服务中看似简单的错误配置可能会对...

2019-11-15 13:10:13

阅读数 5

评论数 0

原创 一文读懂进程重镜像技术(附检测方案)

背景 大约三个月前,一种新的攻击技术出现在安全社区,名为「进程重镜像」。这项技术是由McAfee安全团队在一篇标题为“进程重镜像和终端安全解决方案绕过”的博文中发布的,在这种攻击技术发布的几天后,我的一个同事也是朋友—— Dwight ——拿出了概念验证代码(PoC),演示了这种技术,可以在他的...

2019-11-08 14:52:07

阅读数 26

评论数 0

原创 红队渗透测试技术:如何通过鱼叉式网络钓鱼获得攻击机会?

关于红队在渗透测试中使用的网络钓鱼攻击的文章很多,不过大多数的介绍都是不完整的。在本文中,我们将对这个话题进行一次完整的梳理,包括域创建,制作网络钓鱼内容,绕过垃圾邮件过滤器和电子邮件网关,生成不可检测的有效载荷以及绕过Windows保护(例如AMSI)的注意事项。另外,我们还在这篇文章的末尾整理...

2019-11-08 14:50:22

阅读数 32

评论数 0

原创 Spelevo漏洞利用套件

近日,Cisco Talos团队安全研究人员发现一个新的漏洞利用套件攻击活动——Spelevo。该漏洞利用攻击活动使用被黑的B2B网站来传播Spelevo。 在入侵了特定站点后,攻击者会在web页中添加4行代码,这4行代码可以入侵所有的访问者。虽然Angler多年以前使用过Adobe Flash...

2019-11-08 14:48:50

阅读数 27

评论数 0

原创 Windows 安全描述符审计方法探究:审查事件日志安全性

在获得对系统的访问权限后,对于尚未提升特权的攻击者,系统会授予什么级别的访问权限呢? 与其在主机上进行试验,最终被系统提示拒绝访问,并在测试过程中会产生嘈杂的日志,不如选择一个更好的策略,那就是首先了解Windows授予非特权用户的权限。 在Windows中,几乎所有的访问权限都由安全描述符控...

2019-11-08 14:47:05

阅读数 54

评论数 0

原创 主机安全之Linux本地提权

0x00、前言 Linux本地提权在入侵过程中起到重要的作用。当黑客通过webshell等方式获取到低权限的用户的时候,需要高级权限才能完全控制目标主机,这时候本地提权就起到作用了。在自适应安全横行安全圈的今天,本地提权也是攻击链检测锚点的重要组成部分。 0x01、本地提权途径分析 1、漏洞...

2019-11-08 14:44:55

阅读数 35

评论数 0

原创 潜在攻击隐患:通过激光控制Alexa、Siri等智能语音助手

研究人员发现了一种破解Alexa、Siri等智能语音助手新方法,只需通过激光就能无声地向语音助手发送一些用户无法察觉的命令,而无需对设备进行物理访问或与用户交互。 这类“光指令”利用了智能助手麦克风的设计。此类麦克风也被称为微机电系统(MEMS),通过将声音(语音命令)转换为电信号来工作,但除了...

2019-11-08 14:38:25

阅读数 14

评论数 0

原创 网络攻击集中在3个TCP端口

中小型企业可以通过保护攻击者最常攻击的端口来保护企业免受部分网络攻击的威胁。在超过13000个网络攻击的目标中,有3个端口非常突出。 情报和防护公司Alert Logic的报告中枚举了针对其客户端4000个网络攻击中的弱点。 攻击最多的TCP端口 该报告指出,最常被攻击的3个端口是22,...

2019-11-07 13:30:05

阅读数 41

评论数 0

原创 新型入侵技术:使用WMI编译的“.bmf”文件和CertUtil进行混淆执行

前言 这篇文章主要讲述了一个有趣的入侵尝试,FireEye Managed Defense近期阻止了一项利用近期披露漏洞的快速武器化攻击,在该攻击中,攻击者创造性地使用了WMI编译的“.bmf”文件和CertUtil用于混淆执行。 这一次对入侵活动的成功监测,为我们积累了许多安全方面的宝贵经验...

2019-11-07 13:27:15

阅读数 22

评论数 0

原创 对 libssh2 整数溢出漏洞 (CVE-2019-17498)的分析

0x01 漏洞挖掘 在2019年3月18日,Canonical Ltd.的Chris Coulson披露了libssh2中的九个漏洞(CVE-2019-3855至CVE-2019-3863)。这些漏洞已在libssh2 v1.8.1中修复。当时,我的同事Pavel Avgustinov注意到,修...

2019-11-07 13:22:39

阅读数 100

评论数 0

原创 一文读懂进程重镜像技术(附检测方案)

背景 大约三个月前,一种新的攻击技术出现在安全社区,名为「进程重镜像」。这项技术是由McAfee安全团队在一篇标题为“进程重镜像和终端安全解决方案绕过”的博文中发布的,在这种攻击技术发布的几天后,我的一个同事也是朋友—— Dwight ——拿出了概念验证代码(PoC),演示了这种技术,可以在他的...

2019-11-07 13:17:18

阅读数 19

评论数 0

原创 CVE-2019-13720:Chrome 0-day 漏洞利用

摘要 Kaspersky研究人员近日发现一个Google Chrome浏览器的新的未知漏洞利用。经Google研究人员确认,是一个0 day漏洞,CVE编号为CVE-2019-13720。 研究人员将相关攻击活动命名为Operation WizardOpium。目前还无法将该攻击活动与已知的攻...

2019-11-07 13:02:59

阅读数 564

评论数 0

原创 红队渗透测试技术:如何通过鱼叉式网络钓鱼获得攻击机会?

关于红队在渗透测试中使用的网络钓鱼攻击的文章很多,不过大多数的介绍都是不完整的。在本文中,我们将对这个话题进行一次完整的梳理,包括域创建,制作网络钓鱼内容,绕过垃圾邮件过滤器和电子邮件网关,生成不可检测的有效载荷以及绕过Windows保护(例如AMSI)的注意事项。另外,我们还在这篇文章的末尾整理...

2019-11-07 13:01:12

阅读数 135

评论数 0

原创 ATMJaDi恶意软件分析

2019年春,研究人员发现了一个用Java语言编写的ATM恶意软件样本被上传到multiscanner服务。经过初步分析,研究人员发现该恶意软件(ATMJaDi)是一款可以使ATM吐钱。但它使用的并不是标准的XFS、JXFS或CSC库。而是受害者银行ATM软件的Java专用类,也就是说恶意软件攻击...

2019-11-06 10:51:42

阅读数 9

评论数 0

提示
确定要删除当前文章?
取消 删除