systemino的博客

私信 关注
systemino
码龄2年
  • 505,512
    被访问量
  • 370
    原创文章
  • 5,768
    作者排名
  • 198
    粉丝数量
  • 于 2019-04-14 加入CSDN
获得成就
  • 获得139次点赞
  • 内容获得49次评论
  • 获得580次收藏
荣誉勋章
兴趣领域
  • #安全
    #安全架构#系统安全#web安全
  • 最近
  • 文章
  • 资源
  • 问答
  • 课程
  • 帖子
  • 收藏
  • 关注/订阅

内核漏洞利用之CVE-2020-17382篇(上)

在本文中,我们将以CVE-2020-17382漏洞为例来介绍内核漏洞如何被武器化的。序言——为何驱动程序仍然是一个有价值的目标?毫无疑问,内核是一个非常复杂的软件,即使Windows操作系统也不例外。由于缺乏源代码和无正式文档说明的API,它一直是最难审查的对象之一;现在,由于研究社区的巨大努力,相关的资料已经越来越丰富了。令人遗憾的是,近来内核不仅在复杂性上有所增加,同时,其缓解方式也有所改进。那为,攻击者什么要攻击驱动程序呢?除了Microsoft附带的驱动程序之外,第三方驱动程序也是第三方将代
原创
100阅读
0评论
0点赞
发布博客于 4 月前

Ragnar Locker勒索软件团伙在Facebook上刊登Campari黑客的广告

Ragnar Locker勒索软件运营商已经开始在Facebook上利用广告迫使受害者支付赎金。在2019年11月,勒索软件运营商已开始采用一种新的双重勒索策略,该策略首先由迷宫团伙(Maze gang)使用,即在加密受感染的系统之前,威胁参与者还窃取未加密的文件。然后,攻击者威胁说,如果不支付赎金,就释放被盗的文件。勒索软件运营商正在采取多种手段向受害者施压,例如发布有关其攻击的新闻稿。Ragnar Locker勒索软件运营商正在改进他们的勒索技术,并开始在Facebook上发布广告,以向受害
原创
73阅读
0评论
0点赞
发布博客于 4 月前

出现在网络上的SMTP漏洞

SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务,主要用于系统之间的邮件信息传递,并提供有关来信的通知。SMTP独立于特定的传输子系统,且只需要可靠有序的数据流信道支持,SMTP的重要特性之一是其能跨越网络传输邮件,即“SMTP邮件中继”。使用SMTP,可实现相同网络处理进程之间的邮件传输,也可通过中继器或网关实现某处理进程与其他网络之间的邮件传输。不过SMTP标准通常是用于在网络之间传递电子邮件的通常基于明文的基于文本的标准。截止目前研究人员总共
原创
437阅读
0评论
0点赞
发布博客于 4 月前

JavaScriptCore内部原理(一):从JS源码到字节码的追踪

一、概述事实证明,在Fuzzing Webkit的过程中,使用Fuzzilli对JavaScriptCore(JSC)进行Fuzzing会非常成功,随着时间的推移,会产生大量崩溃。但是,一旦出现崩溃,由于不熟悉WebKit代码库,同时又缺少代码库相关的查询文档,要验证一处崩溃是否可以被漏洞利用,往往需要花费相当长的时间。正因如此,我们希望通过这一系列文章,深入研究JSC的内部原理,希望能扩展这部分知识。这一系列文章还针对安全研究人员,可以有助于引擎漏洞研究的过程。第一部分主要探讨如何将源代码进行解析
原创
143阅读
0评论
0点赞
发布博客于 4 月前

云防火墙进化论

0x00、产品需求在安全运营数智化的今天,越来越多的新基建项目要求使用云原生的安全解决方案,同时,新基建有两个发展方向,激进一些的解决方案是直接在公有云上构建多云场景,完全使用云原生的解决方案;保守一些的解决方案通过x-stack专有云形式对用户输出。但是无论哪种解决方案,防火墙将帮助企业构建云上网络边界安全防护能力的需求也依然没有改变,只是形式发生了变化。针对不同用户的业务场景,对防火墙的需求也有所不同,针对大型的企业集团公司的使用场景、金融云场景以及公有云中小企业用户,其业务安全诉求强度不尽相同
原创
85阅读
0评论
0点赞
发布博客于 4 月前

CVE-2020-17053:IE UAF漏洞分析

研究人员在分析CVE-2020-1380 IE 0 day漏洞的根源时发现了另一个触发类似的UAF漏洞的方法。该漏洞CVE编号为CVE-2020-17053,微软已在11月的补丁日修复了该漏洞。将Item设置为TypedArray在CVE-2020-1380漏洞的PoC中,代码段中有“arr[0] = value1”,这些JIT代码生成的代码会通过调用覆写的valueOf 回调函数来触发UAF漏洞:图 1. CVE-2020-1380PoC部分JIT 引擎会执行操作将item 设置为Type
原创
102阅读
0评论
0点赞
发布博客于 4 月前

【组件攻击链】ThinkCMF 高危漏洞分析与利用

一、组件介绍1.1 基本信息ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的完成自己的任务,也可通过系统调用其他应用进行协同工作。在这种运行机制下,该系统的用户无需关心开发SNS应用是如何工作的,但他们之间又可通过系统本身进行协调,大大的降低了开发成本和沟通成本。普通的CMS(内容管理系统)一般不能完成所有的需求,而因为CMS在ThinkCMF内部
原创
70阅读
0评论
0点赞
发布博客于 4 月前

TP-Link Archer A7路由器命令注入漏洞的分析与利用

这篇文章将详细分析和实现CVE-2020-10882远程代码执行的漏洞的利用,此漏洞是在Pwn2Own 2019中TP-Link Archer C7上的命令注入漏洞。此漏洞使网络附近的攻击者可以在TP-Link Archer A7 AC1750路由器的受影响版本上安装执行任意代码,利用此漏洞不需要任何身份验证。漏洞成因是tdpServer服务中存在特定缺陷,该服务默认情况下侦听UDP端口20002。解析slave_mac参数时,该过程在使用用户执行的系统调用之前未正确验证用户提供的字符串,攻击者可以
原创
255阅读
1评论
0点赞
发布博客于 4 月前

Microsoft Windows Win32k本地提权漏洞分析

漏洞信息1漏洞简介漏洞名称:Microsoft Windows Win32k本地提权漏洞漏洞编号:CVE-2015-2546漏洞类型:UAF影响范围:Windows 7 Service Pack 1 Windows Vista SP2 Windows Server 2008 sp2 Windows Server 2008 r2 x64 sp1CVSS3.0:N/A...
原创
126阅读
0评论
0点赞
发布博客于 4 月前

IBM发展了用于混合云控制的自动化和数据功能

IBM在继续增强其核心的Cloud Pak混合云软件产品。本周IBM加强了自动化和数据功能,这些功能将简化客户从软件配置和修补到数据发现和文档处理的所有工作。IBM Cloud Paks是Red Hat基于Kubernetes的OpenShift容器平台与Red Hat Linux以及各种连接技术的捆绑包,使企业客户可以根据自己选择的私有或公共基础架构部署和管理容器平台,包括AWS,Microsoft Azure,Google Cloud和阿里巴巴。Cloud Paks背后的核心思想是简化构建、..
原创
43阅读
0评论
0点赞
发布博客于 4 月前

武器化开源软件用于定向攻击

木马化的开源软件是很难发现的,因为它利用了合法的、非恶意的软件,因此对定向攻击非常有用。但是,进一步调研发现了暴露恶意意图的可疑行为。调查分析研究人员在一次事件的分析中发现了一个名为notepad.exe 的文件。因为 Notepad 是一款知名的合法应用程序。因此,一些恶意软件作者通过使用合法软件的名字来对恶意文件进行伪装以绕过检测。图 1. 可疑的notepad.exe 文件notepad.exe 文件是通过ntoskrnl.exe 可执行文件来释放的,这是Windows NT 操作
原创
49阅读
0评论
0点赞
发布博客于 4 月前

TA416 APT使用新的Golang版本的PlugX恶意软件加载程序进行钓鱼攻击

TA416 APT使用新的Golang版本的PlugX恶意软件加载程序,对从梵蒂冈到非洲的外交官等一系列受害者进行了鱼叉式网络钓鱼攻击。TA416高级持续威胁(APT)攻击者又回来了,在经历了一个月的沉寂后,该小组被发现使用从未见过的PlugX恶意软件加载程序Golang变体发动鱼叉式网络钓鱼攻击。TA416,也称为“Mustang Panda”或 “RedDelta”,最近在针对与梵蒂冈和中国建交的外交部以及缅甸外交部的活动中被发现,最近还发现该组织针对非洲外交部。在对这些攻击的进一步分析..
原创
81阅读
0评论
0点赞
发布博客于 4 月前

2020年第三季度的垃圾邮件和网络钓鱼攻击分析

垃圾邮件和网络钓鱼攻击的花样百出如今,许多公司通过在线平台发布营销新闻,在功能方面,此类平台的功能非常多样化:它们发出广告和信息性消息、收集统计数据(例如,有关电子邮件中点击的链接的信息)等。与此同时,此类服务同时吸引了垃圾邮件发送者和黑客。垃圾邮件发送者利用这些服务发送邮件,而黑客通常通过网络钓鱼来获取用户账户。因此,攻击者也掌握了用户创建的邮件列表,这使他们能够传播大规模广告或网络钓鱼信息,过滤系统有时会让这些信息通过。因此在第三季度,研究人员记录了使用Sendgrid平台发送的消息数量的增加。
原创
353阅读
0评论
0点赞
发布博客于 4 月前

Docker化自动采集&模拟恶意软件环境

概述一个真实的Linux恶意软件入侵环境,往往包含有病毒文件、病毒进程、恶意启动项、网络通信流量等病毒项,若我们只获得单一的病毒文件,很难还原出恶意软件的整个攻击环境,从而不便于对攻击链进行全面的研究分析,以及产品安全能力测试。下面,介绍一种基于Docker的方法,可以自动化地采集及还原恶意软件的整个攻击场景,以最大程度地模拟主机中毒的环境,方便后续对恶意软件进行研究与分析。该方法的原理是,使用bash脚本自动化收集中毒主机上的病毒项,然后打包成容器环境,最后通过Docker在本地模拟运行,这时生成
原创
65阅读
0评论
0点赞
发布博客于 4 月前

Muhstik僵尸网络木马来袭,挖矿、攻击两不误

背景概述近日,深信服安全团队捕获到一款Muhstik僵尸网络木马,多个国内的服务器被爆破登录,在主机执行恶意代码以下载Muhstik僵尸木马和挖矿病毒,从而利用服务器进行挖矿,以及进行DDos攻击。情报分析攻击者主要会在爆破登录成功后用wget下载shell脚本 Virus MD5 1sh 861c40811b98780ce8eba0c572dfaa9b 2sh bfc9066
原创
198阅读
0评论
0点赞
发布博客于 4 月前

关于Windows上地址空间布局随机化防御机制的分析(下)

将32位程序重新编译为64位程序,以使地址空间布局随机化更有效尽管Windows的64位版本已经成为主流十多年了,但32位版本的使用者仍然很多。有些程序确实需要保持与第三方插件的兼容性,比如web浏览器。有时,开发团队认为程序所需的内存远远少于4 GB,因此32位代码可以节省空间。甚至Visual Studio在支持构建64位应用程序之后,在一段时间内还仍然支持32位应用程序。实际上,从32位代码切换到64位代码会产生很小但可观察到的安全性好处。原因是随机化32位地址的能力是有限的。至于具体原因,奇
原创
76阅读
0评论
0点赞
发布博客于 4 月前

内核漏洞利用之CVE-2020-17382篇(下)

在本文中,我们将以CVE-2020-17382漏洞为例来介绍内核漏洞是如何被武器化的。在上一篇文章中,我们首先解释了攻击者为什么会以驱动程序为攻击目标,然后,分析了驱动程序的组成部分,最后,讲解了驱动程序的逆向分析和调试方法。在本文中,我们将以CVE-2020-17382漏洞为例为读者介绍内核漏洞的利用过程。攻击MSIO64.sys现在,我们知道了如何在Ring0中获得指令指针的控制权,接下来,我们将为读者演示如何开发不同的POC。我们将要使用的shellcode是一个标准的Token Stea
原创
153阅读
0评论
0点赞
发布博客于 4 月前

特斯拉Powerwall网关可能受到黑客攻击

Tesla Powerwall是一种家用能源存储产品,它使用电池来存储太阳能电池板或电网的电力,从而确保用户即使在停电期间仍能继续供电。该产品的备份网关组件旨在提供能源管理和监视,并负责控制与电网的连接,检测中断并切换到备用电源。本文旨在提高用户对将设备连接到互联网的隐私和安全风险的认识,我会在本文介绍特斯拉备份网关,并确定了特斯拉可以提高安全性和隐私性以帮助客户保护自己的一些关键领域。与这些设备相关的安全风险先前已由其他研究人员进行了探索,如下所述我们对此进行了进一步研究。最新研究表明,有97个活
原创
84阅读
0评论
0点赞
发布博客于 4 月前

Platypus攻击可从Intel CPU中窃取数据

近日,研究人员发现一种名为Platypus的新的攻击活动,可以对Intel 处理器的RAPL接口进行攻击。RAPL 表示运行平均功率限制(Running Average Power Limit)是一个允许固件或软件应用监控CPU和DRAM 电量消耗的组件。RAPL 可以使固件和软件APP 读取CPU 执行任务所消耗的电量,被广泛应用于追踪和调试应用和硬件性能。通过Intel RAPL 窃取加密密钥研究人员分析发现Platypus 攻击可以通过 RAPL 接口的值来确定CPU 内处理的数据。奇热...
原创
67阅读
1评论
0点赞
发布博客于 4 月前

Pwn2Own Tokyo 2020 用于挑战的Mobile和IOT设备清单

在过去的几年中,Pwn2Own比赛一直在日本东京的PacSec应用安全会议上举行。今年,PacSec将线上举行,因此我们开始研究如何线上进行Pwn2Own Tokyo,类似于我们举办春季比赛的方式。https://www.zerodayinitiative.com/blog/2020/3/20/pwn2own-day-two-results-and-master-of-pwnPwn2Own Tokyo专注于移动手机设备,电视,智能通信设备和无线路由器等设备,这些物理设备使完全线上举办成为问题。但是
原创
3693阅读
0评论
0点赞
发布博客于 4 月前

Windows MVSC编译器实现Xtended Flow Guard(XFG)保护机制的原理分析

一、前言近期,微软正在开发Xtended Flow Guard(XFG),这是Control Flow Guard(控制流防护,CFG)的演进版本,作为其自身的控制流完整性实现。XFG通过不同类型函数原型的哈希值,限制间接控制流的转移。在这篇文章中,深入讨论了MSVC编译器是如何生成XFG函数的原型哈希值。二、概述2014年,微软推出了名为“Control Flow Integrity”(控制流防护,CFG)的控制流完整性(CFI)解决方案。在此前,已经有很多研究人员对CFG展开了广泛的研究。随
原创
105阅读
0评论
0点赞
发布博客于 4 月前

Emotet进化史:从银行木马到恶意软件分发器

Emotet在2014年出现时只是一款银行木马,经过近几年的发展,Emotet的功能不断扩展,已经进化成为完整的恶意软件分发服务。 Emotet发展史 Emotet 恶意软件第一个版本出现于2014年,通过拦截互联网流量来窃取银行凭证信息。当时,Emotet恶意软件的攻击目标是德国和奥地利的银行奇热。 很快,第二个版本出现了,并增加了一些额外的模块,比如转账、垃圾邮件、DDoS和地址簿窃取模块。Emotet 第三版出现于2015年,主要升级了反绕过功能,并将瑞士的银行加入了潜在攻击目标列表。 ..
原创
59阅读
0评论
0点赞
发布博客于 4 月前

Windows 系统第三方服务开发者可以借助 WSH (Windows Service Hardening) 机制提高安全性

Windows服务帐户是特权升级的首选攻击面之一,如果你能够盗用此类帐户,则获得最高特权非常容易,这主要是由于操作系统默认将强大的模拟特权授予服务。即使Microsoft引入了WSH(Windows Service Hardening),你也无法“降低”标准Windows服务的能力,但如果你需要构建或部署第三方服务,则可以通过使用WSH。在这篇文章中,我将向你展示一些有用的技巧。利用虚拟帐户显然,服务必须使用特定帐户运行,有一些内置的Windows帐户,例如Local Service和Netwo
原创
35阅读
0评论
0点赞
发布博客于 4 月前

Joker恶意软件的最新攻击技巧:使用Github隐藏有效载荷

Joker(又名Bread)恶意软件在几个月时间里,就感染了数百万设备,而且需要手动干预删除,才能最终实现设备对恶意软件的全部清除。早在7月份的时候,谷歌安全研究人员就发现被Joker感染的问题。据调查,这款恶意软件,早在3月份就开始活跃,截止目前,已经成功感染了将近数百万台的设备。通过分析,Joker是个技术简单却很难防御的恶意软件,所以导致了众多设备的感染,其实Joker早在三年前就首次被发现。详细分析研究人员最近在Google Play的样本中检测到了一个恶意软件Joker的新版本,此更新
原创
117阅读
0评论
0点赞
发布博客于 4 月前

Fastjson 1.2.24远程代码执行漏洞(com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl)

1.漏洞信息1.1 漏洞简介·漏洞名称:Fastjson 1.2.24远程代码执行漏洞(com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl)·漏洞编号:无·漏洞类型:远程代码执行·CVSS评分:无·漏洞危害等级:高危1.2 组件概述Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的...
原创
192阅读
0评论
0点赞
发布博客于 4 月前

Pwn2Own 2020 利用 Oracle VirtualBox 网卡、USB 设备驱动实现虚拟机逃逸的细节

本文将介绍在Pwn2Own 2020中的Oracle VirtualBox逃逸漏洞,这两个漏洞会影响Oracle VirtualBox 6.1.4和更低的版本。0x01 漏洞分析漏洞利用链包括2个漏洞:·英特尔PRO 1000 MT桌面(E1000)网络适配器-越界读取漏洞https://www.zerodayinitiative.com/advisories/ZDI-20-581/·开放主机控制器接口(OHCI)USB控制器-未初始化变量漏洞https://www.zeroda..
原创
81阅读
0评论
0点赞
发布博客于 4 月前

MICROSOFT TEAMS MACOS版本本地权限提升漏洞

Offensive Security安全研究人员在Microsoft Teams的XPC 服务中发现了一个安全漏洞,并将漏洞报告给了MSRC,微软确认了该漏洞但决定不立即修复。漏洞根源分析漏洞是两个不同问题引发,当这两个问题组合在一起时就会引发漏洞利用场景:·不安全的XPC 连接验证;·安装包用户控制和包签名验证不充分;XPC 服务是由/Library/LaunchDaemons/com.microsoft.teams.TeamsUpdaterDaemon.plist 文件启动的。..
原创
84阅读
0评论
0点赞
发布博客于 4 月前

关于Windows上地址空间布局随机化防御机制的分析(上)

地址空间配置随机加载(Address space layout randomization,缩写ASLR,又称地址空间配置随机化、地址空间布局随机化)是一种防范内存损坏漏洞被利用的计算机安全技术。详细一点,就是地址空间配置随机加载是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。所以对于攻击者来说,绕过地址空间布局随机化的防御体系是他们执行所有内存攻击漏洞的先决条件。这意味
原创
66阅读
0评论
0点赞
发布博客于 5 月前

如何构建完美的Dropbox(下)

自动化攻击方案这还可以自动区分上面提到的两种场景,通过监控 /sys/class/net/lan/carrier和/sys/class/net/wan/carrier,我们可以检测LAN和WAN接口是否有一个或两个连接。如果你希望自动化网络配置,一个选项是监控这些文件,如果LAN接口是活动的,则假定这是一个处于中间位置的人的场景,而如果LAN接口没有载体,则继续执行“未使用的端口”场景。如下所示:while[`cat/sys/class/net/wan/carrier`==0];d...
原创
71阅读
0评论
0点赞
发布博客于 5 月前

Evilnum恶意组织使用新的基于Python的木马攻击金融公司

在过去的几个月中,Cybereason Nocturnus团队一直在调查了Evilnum恶意组织发起的攻击活动。该组织最初成立于2018年,针对英国和欧盟范围内的公司的几次攻击活动都与这个组织有关。目前,Evilnum开发的恶意工具采用了许多新的技术,根据最近的研究分析,这些恶意软件攻击活动涉及使用JavaScript和C#编写的后门程序,以及通过从恶意软件服务提供商Golden Chickens购买的工具。与常见的网络钓鱼操作不同,该组织的业务目标似乎很高,主要针对金融科技市场,滥用“了解你的客户规则
原创
93阅读
0评论
0点赞
发布博客于 5 月前

二维码骗局卷土重来

就在我们认为二维码时代已经一去不复返的时候,疫情的迅速扩散又导致了这种可扫描快捷方式的回归。COVID-19的到来意味着我们需要找到与实体存在的东西等效的数字产品,就像菜单、旅游导览或是其他一些文件。许多地方都已采用二维码来帮助解决此问题。与此同时,一些犯罪活动也在开始酝酿。这些网络犯罪活动要么已经摆脱了惯用花招,开始采用一些新的诈骗手段,奇热要么在网络上找到了其他诈骗领域。重温:二维码是什么?给之前错过的读者快速回顾一下,Quick Response(QR)代码只不过是二维条形码。这种类型的代..
原创
116阅读
0评论
0点赞
发布博客于 5 月前

实例讲解基于Volatility的内存分析技术Part 1

欢迎各位阅读基于Volatility的内存分析系列文章。为了顺利阅读本系列文章,读者最好具备Windows内部运行机制方面的基础知识。准确来说,读者需要了解内存在Windows中运行机制方面的基础知识,为此,我们将给出详尽的介绍。除此之外,不管你有什么不懂的知识,都不会影响您理解本文的内容!阅读清单:·内核模式·用户模式·虚拟内存·Windows进程一点背景知识:内存取证(有时称为内存分析)是指对计算机内存转储中易失性数据进行的一种分析。信息安全专业人员可以通过内存取证,...
原创
160阅读
0评论
0点赞
发布博客于 5 月前

对 Viper RGB 驱动多个缓冲区溢出漏洞的分析

0x01 漏洞信息漏洞类型:基于堆栈的缓冲区溢出[CWE-121],暴露的IOCTL(访问控制不足)[CWE-782] 影响:代码执行允许特权提升 远程可利用:否 本地可利用:是 CVE名称: CVE-2019-194520x02 漏洞描述Patriot Memory是一家总部位于美国的技术公司,设计和制造内存模块,闪存驱动器,移动配件和游戏设备。在处理IoControlCode 0x80102040时,在Viper驱动程序RGB 1.1版中发现缓冲区溢出漏洞。本地攻击者可以利用此...
原创
139阅读
0评论
0点赞
发布博客于 5 月前

在.NET中隐藏带有只读Web路径的Web shell

在最近一次渗透测试中,我发现了一个容易受到CVE-2020-1147影响的SharePoint实例。我被要求在不运行任何命令的情况下构建Web Shell,以避免任何可能部署在主机上的EDR解决方案。由于目标SharePoint服务器以最小的特权在IUSR用户下运行,因此我们不能简单地通过利用反序列化漏洞(CVE-2020-1147)在Web目录中创建Web Shell。我记得以前在运行PowerShell命令时,攻击很容易被发现,所以需要更隐蔽的方法!这篇文章说明了当我们存在代码执行漏洞但Web目录.
原创
40阅读
0评论
0点赞
发布博客于 5 月前

T-RAT 2.0: 通过智能手机进行控制的恶意软件

俄语论坛(lolz.guru)的广告研究人员 @3xp0rtblog 发现一款使用智能手机和Telegram app进行控制的恶意软件——T-RAT 2.0。其中一个广告如下所示:俄语文本表明T-RAT 使用起来非常方便,因为可以通过安装有Telegram app的智能手机进行控制。感染链和驻留目前已知的感染的第一个阶段是下载器。它会从hxxps://hgfhhdsf.000webhostapp.com/1DJjnw(dot)jpg 获取一个加密的文件,奇热并保存为%TEMP%/gf
原创
100阅读
0评论
0点赞
发布博客于 5 月前

顶不住攻击的压力,Zoom为用户推出了端到端加密

新冠肺炎疫情期间,视频会议软件使用量激增,其中表现最为抢眼的就是Zoom了。Zoom最吸引人的地方就在于“简单好用”,但“简单好用”的代价就是安全漏洞太多,隐私问题无法保障。2020年4月,美国国家安全局前研究员帕特里克·杰克逊(Patrick Jackson)向华盛顿邮报爆料,Zoomp存在重大安全漏洞:数以万计的私人Zoom视频被上传至公开网页,任何人都可在线围观!在重重压力之下,3月底,Zoom承认,虽然它使用了标准的网络浏览器数据加密,但并没有使用行业标准的端到端加密,该公司随后宣布冻结新功能开
原创
300阅读
1评论
0点赞
发布博客于 5 月前

ZeroLogon(CVE-2020-1472) 漏洞的攻击与防御策略(上)

本文将从攻防角度对CVE-2020-1472进行一个简单的介绍,并对如何检测和修复ZeroLogon提出具体建议。什么是ZeroLogon?Netlogon远程协议(也称为MS-NRPC)是一个远程进程调用(RPC)接口,仅由连接到域的设备使用。 MS-NRPC包括身份验证方法和建立Netlogon安全通道的方法。这些更新强制指定的Netlogon客户端行为,以便在成员计算机和Active Directory (AD)域控制器(DC)之间使用带有Netlogon安全通道的安全RPC。Zero..
原创
458阅读
1评论
0点赞
发布博客于 5 月前

对波音787飞机持续运行51天会导致丢失飞行数据的研究

几周前,国际监管机构发布信息,波音787运营商在运行51天之时,必须不间断地完全关闭飞机的电源。美国联邦航空局发布了详细说明该问题的适航指令,我很好奇这份文件中包含了哪些细节。我发现FAA指令中一些可用信息,有足够的信息使我步入正题以了解问题的根本原因。这篇博客文章将利用FAA指令中有趣的信息来获得有关某些航空电子概念的知识。首先,我们需要介绍与该问题相关的787架构和系统的各个部分。FAA指令明确使用了诸如CDN或CCS之类的首字母缩写词,然后才需要进行根本原因分析。0x01 通用核心系统介绍
原创
204阅读
0评论
1点赞
发布博客于 6 月前

解密DeathStalker

由国家支持的黑客和复杂的攻击经常受到关注,这些攻击所涉及的创新技术、先进的恶意软件平台和零日漏洞的利用都会让安全防御者为之紧张。如今的企业面临着一系列更为直接的网络安全威胁,从勒索软件和客户信息泄漏,到从事不道德商业行为的竞争对手,而有国家支持的黑客不属于企业的常规防护范围。在这篇文章中,我们会解密“DeathStalker”,它是一个独特的威胁组织,其目标似乎是律师事务所和金融领域的相关公司。经过追踪分析,DeathStalker攻击的目的并不是经济利益而是奔着窃取信息去的。为什么这么说呢,因为Dea..
原创
260阅读
1评论
0点赞
发布博客于 6 月前

开发人员成功从泄露的Windows源码编译出操作系统

9月底,有研究人员爆出Windows XP源码泄露(https://www.4hou.com/posts/WmJX)事件,当时BleepingComputer联系了微软以确定泄露代码的真实性和合法性,但未收到回复。泄露的43G文件中包括Windows XP、Server 2003、MS DOS 3.30、MS DOS 6.0、Windows 2000、Windows CE 3、Windows CE 4、Windows CE 5、Windows NT 4等。美国 IT 技术人员NTDEV(Tw...
原创
232阅读
0评论
0点赞
发布博客于 6 月前

ZeroLogon(CVE-2020-1472) 漏洞的攻击与防御策略(下)

上文我们介绍了攻击原理,本文我们将详细介绍可以发起的攻击种类和防御措施。攻击种类计算机/设备帐户本质上与用户帐户相同,如果配置错误,可能同样危险。因此,可以利用计算机帐户密码/哈希值进行一些其他攻击:1.银票攻击;2.金票攻击;3.过时的DNS条目;4.攻击的替代方法。金票和银票攻击通过利用Kerberos票据授予服务(TGS)来伪造票据。金票和银票攻击的主要区别在于银票只允许攻击者伪造特定服务的TGS票。这两者都可以被利用,因为Zerologon允许攻击者更改计算机帐户密码..
原创
480阅读
0评论
0点赞
发布博客于 6 月前

对 Chamberlain MyQ 车库门智能开关的安全性分析

智能硬件的发展使得可以远程控制车库门并确认在家中物品的安全,这些IOT设备中许多提供的便利性通常使消费者不再考虑可能的安全问题。McAfee Advanced Threat Research最近调查了Chamberlain的MyQ Hub,这是一款通用车库门自动化平台。Chamberlain使该设备通用的方式是通过集线器,该集线器充当新的车库门启动器,类似于在车上安装的那种。这使MyQ Hub可以与各种车库门一起使用。我发现Chamberlain在保护该设备方面做得相当不错,奇热这在物联网设备中通常
原创
1263阅读
0评论
0点赞
发布博客于 6 月前

如何在Excel中更好地隐藏恶意宏代码

你可能会问,为什么不简单地使用实际上不涉及工作簿的代码,以及主要原因是避免网络流量。当然,你可以简单地添加宏,这些宏会将每行代码添加到一个新文件中,以避免网络流量,但是这样做会使活动对于任何分析文档的人来说都是显而易见的,他们会在查看时立即看到新的代码行宏。使用这种方法,它使得对恶意文档的分析稍微困难一些,但是当然不是很多。注意:仅对文档运行oledump或olevba之类的工具将返回宏。此时你会看到,该宏正在从特定列中提取代码并使用Shell()执行该代码,但该代码显然非常可疑:而且,如果我们
原创
114阅读
0评论
0点赞
发布博客于 6 月前

Metasploit Framework 4.17.0 本地提权漏洞分析

存在漏洞的msf版本:Metasploit框架-Rapid7(Windows)4.17.0测试用操作系统:Windows 10 1909(x64)漏洞描述:Metasploit Framework 4.17.0 (Windows)通过Windows XP 安装Metasploit框架时,存在本地提权漏洞 (不受信任的搜索路径),该安装创建了4个服务。默认情况下,Metasploit Windows服务会自动运行(奇热服务会通过重新启动来启动/停止)。服务正在自动运行。然后用pr.
原创
41阅读
0评论
0点赞
发布博客于 6 月前

黑客宣称可以越狱苹果T2安全芯片

近日,有黑客宣称利用checkm8漏洞利用和Blackbird漏洞这两个越狱iPhone的漏洞利用对使用苹果最新T2 安全芯片的Mac电脑和MacBook 笔记本设备进行越狱。因为这两个漏洞利用都非常复杂,将两个漏洞利用结合起来的方法分别在推特和reddit上公开了,有多名苹果安全和越狱研究专家对方法进行了验证和确认。成功融合这两个漏洞利用并成功利用后,用户或攻击者可以完全控制用户设备修改核心的操作系统行为,或提取隐私或加密数据,甚至植入恶意软件。苹果T2 芯片苹果T2 芯片是主流苹果计算机和笔
原创
156阅读
0评论
0点赞
发布博客于 6 月前

一文了解如何有效的防护DDoS攻击

想象一下有人使用不同的电话号码一遍又一遍地打电话给你,而你也无法将他们列入黑名单。最终你可能会选择关闭手机,从而避免骚扰。这个场景就是常见的分布式拒绝服务(DDoS)攻击的样子。乔布斯(Steve Jobs)推出第一款iPhone之前,DDoS攻击就已经存在了。它们非常受黑客欢迎,因为它们非常有效,易于启动,并且几乎不会留下痕迹。那么如何防御DDoS攻击呢?你能否确保对你的web服务器和应用程序提供高级别的DDoS攻击防护?在本文中,我们将讨论如何防止DDoS攻击,并将介绍一些特定的DDoS保护和预
原创
83阅读
1评论
0点赞
发布博客于 6 月前

Shield——一个防止在macOS上进行进程注入的应用程序

最近有开发人员开发了一个基于Apple的Endpoint Security框架的应用程序(该应用程序的代码托管在GitHub上),可以防止macOS上的某些进程注入技术。但由于开发人员至今仍然没有获得生产端点安全性授权,因此无法发布已签名的版本。如果你想使用它,你至少需要获得开发端点安全授权。在过去的两年中,研究人员开始深入研究macOS安全性问题,随着研究的愈加深入,该研究人员发现除了内存损坏漏洞之外,macOS的首要问题是在其他应用程序的上下文中运行代码。奇热其原因在于macOS的安全模型(实际上也
原创
509阅读
0评论
0点赞
发布博客于 6 月前

Apache被曝3个安全漏洞

Google Project Zero研究人员Felix Wilhelm 近日在Apache web服务器中发现了多个安全漏洞,分别是CVE-2020-9490、CVE-2020-11984和CVE-2020-11993。攻击者利用这些漏洞可以执行任意代码,在特定情境下还可以引发奔溃或拒绝服务攻击。CVE-2020-11984CVE-2020-11984 漏洞是mod_uwsgi 模块的缓冲区溢出引发的远程代码执行漏洞,攻击者利用该漏洞可以查看、修改和删除敏感数据,具体根据运行在服务器上的应用...
原创
177阅读
0评论
0点赞
发布博客于 6 月前

通过加密是否可以保护数据免受中间人攻击?

根据Domo 的“ Data Never Sleeps 6.0”报告,每天有超过250亿字节的数据被创建并上传到互联网上。这些数据很多都是保密的:个人信息,银行转帐,文件,凭证。在网络端点之间安全地传输这些数据是很重要的。TCP/IP是目前应用最广泛的数据传输协议,具有很高的兼容性。然而,TCP/IP漏洞对黑客来说是众所周知的。TCP协议使用开放通道进行数据传输,攻击者可以滥用此通道来访问、监听和修改流量。网络犯罪分子可以使用多种类型的攻击来拦截传输中的数据,这些攻击的模式、目标和部署各不相同。在这
原创
199阅读
1评论
0点赞
发布博客于 6 月前

2020-10-10

近日,intezer研究人员在Microsoft Azure发现了2个安全漏洞。漏洞存在于Azure App Services 云服务中,主要影响Linux 服务器。攻击者利用第一个漏洞可以访问云服务器,并完全控制App Service的git库,并植入可以通过Azure Portal 访问的钓鱼页面。攻击者利用第二个漏洞可以利用一个SSRF 漏洞来提权到APP Service的完全代码执行,触发第一个漏洞。PoC视频如下所示:Azure App ServicesAzure App Servic..
原创
20阅读
0评论
0点赞
发布博客于 6 月前

Alexa上排名靠前的网站基本上都受到了CoinMiner挖矿病毒、恶意外部链接、Web skimmer攻击

Unit 42最近在Alexa上启动了一项针对全球前一万网站的威胁搜索活动,Alexa排名基于访问者的互动和访问次数来衡量网站的受欢迎程度。如表1所示,研究人员发现了四个受影响的网站。在随后的分析中,研究人员会更详细地描述这些恶意活动,其中就包括了CoinMiner挖矿病毒,它们劫持了CPU资源来挖矿加密货币。早在2017年CoinMiner就被发现,它是一款无文件的恶意软件,它会利用WMI(Windows Management Instrumentation)在感染的系统上运行命令,专家称,这款软件很..
原创
424阅读
1评论
0点赞
发布博客于 6 月前

Linux内核(x86)入口代码模糊测试指南Part 2 (上篇)

在本系列的第一篇文章中,我们介绍了Linux内核入口代码的作用,以及如何进行JIT汇编和调用系统调用。在本文中,我们将为读者更进一步介绍标志寄存器、堆栈指针、段寄存器、调试寄存器以及进入内核的不同方法。更多标志(%rflags)方向标志只是我们众多感兴趣的标志之一。维基百科上关于%rflags的文章列出了我们感兴趣的其他一些标志:·bit 8:陷阱标志(用于单步调试)·bit 18:对齐检查大多数与算术相关的标志(进位标志等)并不是我们感兴趣的对象,因为它们在普通代码的正常运行过程中..
原创
27阅读
0评论
0点赞
发布博客于 6 月前

Linux内核(x86)入口代码模糊测试指南Part 1

在本系列文章中,我们将为读者分享关于内核代码模糊测试方面的见解。简介对于长期关注Linux内核开发或系统调用模糊测试的读者来说,很可能早就对trinity(地址:https://lwn.net/Articles/536173/)和syzkaller(地址:https://lwn.net/Articles/677764/)并不陌生了。近年来,安全研究人员已经利用这两个工具发现了许多内核漏洞。实际上,它们的工作原理非常简单:向内核随机抛出一些系统调用,以期某些调用会导致内核崩溃,或触发内核代码中可检测的
原创
54阅读
0评论
0点赞
发布博客于 6 月前

活跃9年的XDSpy APT组织分析

ESET 研究人员近日发现了一个新的APT 组织——XDSpy,该组织从2011 年开始活跃,主要攻击东欧和塞尔维亚的政府组织并从中窃取敏感文件。XDSpy APT 组织从2011年开始活跃,但直到近日才被发现,很少有APT 组织能够活跃9年而不被发现。目标XDSpy APT组织的攻击目标主要位于东欧和塞尔维亚,受害者主要是军事、外交相关的政府机构以及少量的私营企业。图1 是已知的受害者分布情况:图 1. XDSpy 受害者地图归属研究人员经过仔细分析仍然没有发现XDSpy APT组
原创
91阅读
0评论
0点赞
发布博客于 6 月前

二维码:一种隐秘的安全威胁

去年就有研究人员发现了一种新的网络钓鱼活动,该活动利用二维码将受害者重定向到网络钓鱼登陆页面,有效规避了旨在阻止此类攻击的安全解决方案和控制措施。比如去年针对法国的网络钓鱼攻击背后的攻击者就是使用了二维码编码的URL来绕过分析和阻止可疑的安全软件。由于二维码发布没有任何限制,二维码生成器又随时可从网上获得,因此很容易被一些不法分子利用,发布虚假信息进行欺诈。目前二维码骗局主要包括三种形式1.收款二维码。攻击者在正规二维码旁边贴上贴上攻击者收款的二维码。用户一旦没有辨别清楚扫到假的二维码,就会跳转..
原创
279阅读
0评论
0点赞
发布博客于 6 月前

Project Zero 关于 Fuzzing ImageIO 的研究

这篇博客文章讨论了在新的上下文中的图像格式解析器中的漏洞:流行的Messenger应用程序中的无交互代码路径。这项研究的重点是Apple生态系统及其提供的图像解析API:ImageIO框架。我们发现了图像解析代码中的多个漏洞,并将其报告给Apple或相应的开源图像库维护者,然后进行了修复。在这项研究期间,针对闭源二进制文件的轻量级且开销低的引导Fuzzing方法得以实施,并与本博文一起发布。整个博客中描述的漏洞可以通过Messenger来访问,但不属于其代码库。因此,供应商需要修复它们。0x01 .
原创
112阅读
0评论
0点赞
发布博客于 7 月前

新型恶意软件Bazar 的出现(下)

使用CryptCreateHash API调用中设置的MD5算法对从受感染设备收集的数据进行哈希处理,方法是将ALG_ID设置为0x8003,然后附加到互斥锁名称中。收集和哈希有关受感染设备的数据成功采集数据后,Bazar后门连接到C2服务器。如果连接失败,它将继续重试。这个版本的另一个有趣的方面是它如何使用本地地址从服务器获取数据。独步考虑到这是早期的开发版本,开发者可能是为了测试目的而使用这种方法。Bazar开发者可能的测试环境成功收集数据并连接到C2服务器后,后门将解析在H
原创
404阅读
0评论
0点赞
发布博客于 7 月前

勒索软件的预防诀窍:如何减少攻击面

SentinelOne最近发布了一份关于企业的安全报告——《了解企业中的勒索软件》,这是一份全面的企业安全指南,可帮助组织理解、计划、响应和防范这种目前普遍存在的威胁。这篇文章就是选取了其中的部分章节,还原了一个关于如何减少攻击面的示例。随着网络办公成为一种常态,勒索软件攻击也呈现了上升态势,事实上,勒索即服务(Raas)和其相关产业所带来的好处(低风险和丰厚回报)表明,在可预见的未来,勒索软件将继续发展,独步并变得越来越复杂。勒索软件即服务模式是指,勒索软件编写者开发出恶意代码,并提供给其..
原创
156阅读
0评论
0点赞
发布博客于 7 月前

CertiK:SushiSwap智能合约漏洞事件分析

北京时间8月28日,CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况独步下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。技术解析MasterChief.sol:131图片来源:https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterC...
原创
222阅读
0评论
1点赞
发布博客于 7 月前

请及时打补丁 | 80%的漏洞利用公开时间早于CVE编号获得时间

Exploit DatabaseExploit Database 是最大的公开漏洞利用库。截至目前,Exploit Database中有45450个漏洞利用。图1左是按照漏洞利用类型分类的漏洞利用数和公布时间,图1右是按照平台分布的漏洞利用。统计数据表明web应用是2003之后最流行的漏洞利用。图1(左)按照漏洞利用类型分类的漏洞利用数和公布时间(右)按照平台分布的漏洞利用图2是CVSS 2.0评分和漏洞利用的严重等级。49%的漏洞利用为严重等级为high(CVSS >=7),45%的
原创
126阅读
0评论
0点赞
发布博客于 7 月前

Cisco IOS XR 0 day漏洞利用预警

上周末,思科官方发布安全公告称攻击者正在尝试利用Cisco IOS XR软件中的一个高危内存耗尽DoS 漏洞。Cisco IOS XR软件是运行在运营商级路由器上的。IOS XR网络操作系统部署在多个路由器平台上,包括NCS 540 、560、 NCS 5500、8000和ASR 9000系列路由器。漏洞分析该漏洞CVE编号为CVE-2020-3566,存在于IOS XR软件中的距离向量多播路由协议(Distance Vector Multicast Routing Protocol,DVMRP..
原创
141阅读
0评论
0点赞
发布博客于 7 月前

沙盒逃逸编年史:对CVE-2019-0880漏洞的深入分析

0x01 漏洞分析这篇文章描述了splwow64.exe中的一个可利用的任意指针取消引用漏洞。此漏洞可以从Internet Explorer渲染器进程触发,并允许沙盒逃逸。该漏洞允许通过将特定的LPC消息制作到splwow64.exe进程,从而从低完整性进程中任意写入splwow64.exe的地址空间。该漏洞已经在Windows 7 x64和Windows 10 x64计算机上进行了测试。在本文中,我将描述该漏洞的位置以及如何利用该漏洞从Internet Explorer沙盒中实现完整的沙盒
原创
117阅读
0评论
0点赞
发布博客于 7 月前

APT黑客组织使用Autodesk 3ds Max软件的恶意插件来入侵公司系统

近期,APT黑客组织利用传统3D计算机图形Autodesk软件中的一个漏洞,开始对国际建筑和视频创作公司的系统进行新的网络间谍攻击。研究人员已经检测到了这个漏洞,并确认了是一个未知的黑客组织将恶意软件隐藏在3Ds Max插件中,攻击了来自世界各地的企业。该组织通过使用一个用于Autodesk 3ds Max软件的恶意插件进行间谍活动。独步而且经确定,APT雇佣组织还向出价最高者提供帮助,扩大针对目标受害者的复杂攻击和网络间谍工具。目标根据该报告,威胁参与者始终以与房地产开发商合作的公司...
原创
130阅读
0评论
0点赞
发布博客于 7 月前

Operation PowerFall攻击活动中的IE和Windows 0day漏洞

研究人员在Operation PowerFall攻击活动中发现了一个0 day漏洞——CVE-2020-1380。该漏洞是一个JS中的UAF漏洞,补丁已于2020年8月11日发布。IE 11远程代码执行漏洞利用最近发现的在野IE 0 day漏洞利用主要是依赖JavaScript 引擎jscript.dll中CVE-2020-0674、CVE-2019-1429、CVE-2019-0676和 CVE-2018-8653等漏洞。而CVE-2020-1380是jscript9.dll中的漏洞,从IE 9开
原创
44阅读
0评论
0点赞
发布博客于 7 月前

注意!多款智能家居Hub存在远程代码执行漏洞

近日,有研究团队在三个不同的家庭集线器– Fibaro Home Center Lite,Homematic中央控制单元(CCU2)和eLAN-RF-003中发现了许多严重的安全漏洞。这些设备用于监视和控制欧洲及其他地区数以千计的家庭和公司中的智能家居。这些漏洞的潜在后果包括完全访问这些受监视系统中的中央和外围设备以及它们包含的敏感数据,未经身份验证的远程代码执行以及中间人(MitM)攻击。这些集线器主要用于家庭和小型办公室环境,但它们也为企业打开了潜在的攻击载体。如今,随着越来越多的员工在家工作,这一趋势
原创
102阅读
0评论
0点赞
发布博客于 7 月前

提升远程办公安全性“三步曲

由于当前的全球疫情危机,许多企业已转变为远程办公模式。当我们面对未知的时代时,这种新的工作方式给企业带来了各方面的挑战,比如:生产力,公司士气、运营等方面。重要的一点是,企业领导者应该意识到采取远程团队工作时可能面临的潜在安全问题。福布斯指出,远程工作的方式会给您的企业带来风险,因为您的远程工作人员可能在工作时没有采取良好的网络安全措施。为了保护您的企业和远程团队,您应该考虑以下三种网络安全实践。评估风险在提高团队的安全性之前,您应该首先了解远程操作所面临的潜在威胁。通过这种方式,...
原创
57阅读
0评论
0点赞
发布博客于 7 月前

邮件服务器安全性:潜在漏洞和保护方法

本文将讨论电子邮件服务器的安全性。这里介绍的安全措施将使您能够大大提高电子邮件服务器的保护级别,并防止任何攻击。1.简介1.1服务器安全性的挑战随着信息技术的不断发展,网络安全的作用越来越大。无法想象没有网络通信的世界会变成什么样子,现代世界几乎所有价值数据都以各种形式存储在服务器上,所以说整个系统的稳定性取决于服务器。这就是为什么服务器成为攻击目标的原因。1.2电子邮件服务器安全性电子邮件服务器的安全性尤为重要,因为电子邮件是最流行的通信和开展业务方式之一。尤其对于企业而言,丢失机
原创
409阅读
0评论
0点赞
发布博客于 7 月前

OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(上)

语:OilRig,又名Helix Kitten或NewsBeef ,是一个主要活动于中东地区的APT组织。OilRig,又名Helix Kitten或NewsBeef ,是一个主要活动于中东地区的APT组织。据信该组织成立于2015年,并得到了伊朗政府的支持。该组织曾建立了一个虚假的VPN 门户网站,用于并传播具有合法数字签名的恶意软件,其攻击目标涵盖了沙特阿拉伯、以色列、阿联酋、黎巴嫩、科威特、卡塔尔、美国和土耳其等多个国家的政府机构、金融机构以及科技公司。Palo Alto Networks
原创
123阅读
1评论
0点赞
发布博客于 7 月前

Windows 组策略(Group Policy Object)机制的漏洞分析

Windows 组策略(Group Policy Object)机制的漏洞类大约有60个,专门针对策略更新步骤,允许域环境中的标准用户执行文件系统攻击,进而使恶意用户可以逃避反恶意软件解决方案,绕过安全性强化并可能导致对Windows 2000的严重攻击。组织的网络。这些漏洞会影响任何Windows计算机(2008或更高版本),并在域环境中提升其特权。如果你对这项研究的其他发现感兴趣,请查阅详细信息(第1部分和第2部分)。GPSVC使所有加入域的Windows计算机暴露给一个特权升级(EoP)漏..
原创
235阅读
0评论
0点赞
发布博客于 7 月前

OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)

接上文使用隐写术隐藏数据有效载荷将从电子邮件附件中的C2接收数据,或将数据泄漏到C2,特别是在使用隐写术将图像隐藏在图像中的BMP图像中。有效载荷从BMP图像提取数据以从C2接收数据的方法与其隐藏数据以进行渗漏的方法相同,尽管研究人员没有观察到使用此方法发送命令的C2,但研究人员能够分析有效载荷以确定其如何发送消息并从系统中窃取数据。要使用此C2通道发送数据,有效载荷将读取以下默认安装的Windows上可用的图像:C:\ProgramData\Microsoft\UserAccoun...
原创
82阅读
1评论
0点赞
发布博客于 7 月前

破解LastPass:即时解锁密码库

Lastpass是一个在线密码管理器和页面过滤器,采用了强大的加密算法,自动登录/云同步/跨平台/支持多款浏览器。LastPass的功能有:1. 创建强密码,只需用主密码登录一次;2. 自动填写表格,节省你的时间;3. 你经常访问的网站只需一次点击 ,无需重复输入密码;4. 无缝访问和管理来自多台计算机的数据;5. 与朋友分享登录和让别人分享你的登录信息;6. 使用一次性密码,屏幕和键盘时,可保持你的连接安全;7. 支持IE浏览器,并将与使用的其他浏览器保持同步,支持多台..
原创
212阅读
0评论
0点赞
发布博客于 7 月前

错误配置致数十家公司源代码泄露

由于基础设施的错误配置导致数十家公司源代码泄露,涵盖科技、金融、零售、食品、电商和制造业。泄露代码的公开库中包括微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、Mediatek、通用、任天堂、Roblox、迪斯尼、强生等,而且泄露列表仍在更新中。代码泄露是由逆向工程师Tillie Kottmann 从不同渠道以及错误配置的devop工具中获取的。Bank Security称,一位关注银行威胁和欺诈的研究人员发现该gitlab库中有超过50家企业的代码。虽然并不是所有的文件夹都进行计数了,但研究
原创
121阅读
0评论
0点赞
发布博客于 7 月前

自动化逆向辅助利器 -- Capa工具介绍

概述近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa,其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。工具运行的结果如下,它显示了当前样本的恶意行为,奇热以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。安装使用命令:git clone --recurse-su
原创
336阅读
0评论
0点赞
发布博客于 7 月前

再度升级:深入分析针对金融科技公司的Evilnum恶意软件及组件

ESET团队详细分析了Evilnum恶意组织的运作方式及其部署的工具集,该工具集会针对金融科技行业中精心选择的目标发动攻击。0x00 概述ESET详细分析了Evilnum恶意组织的运作方式,Evilnum是Evilnum恶意软件背后的APT恶意组织,此前曾经针对金融科技类公司发动攻击。自2018年以来,该恶意组织就已经进入到人们的事业中,并且曾有研究人员对其分析,但是,此前却从没有研究过其背后的恶意组织以及运行模式。在本文中,我们将不同点结合起来,详细分析Evilnum的恶意活动。该恶意组织所针
原创
319阅读
0评论
0点赞
发布博客于 7 月前

对通过 Web API 触发的 SharePoint RCE 漏洞的分析

近日,Microsoft发布了一个补丁程序,以修复 CVE-2020-1181 的Microsoft SharePoint Server版本中的远程代码执行漏洞,此文章更深入地研究了此漏洞的根本原因。在此补丁程序可用之前,SharePoint Server允许经过身份验证的用户在SharePoint Web应用程序服务帐户的上下文和权限中在服务器上执行任意.NET代码。为了使攻击成功,攻击者应在SharePoint网站上具有“ 添加和自定义页面”权限。但是,SharePoint的默认配置允许经过身份验证
原创
823阅读
0评论
0点赞
发布博客于 7 月前

D-Link 5个安全漏洞

7月早些时间,研究人员爆出D-link 路由器固件镜像泄露了用来加密专用固件二进制文件的密钥。近日,又有ACE 团队研究人员爆出D-Link路由器的5个严重安全漏洞,攻击者利用这些漏洞可以实现网络入侵。此外,由于部分设备已经不再更新,因此无法修复。漏洞概述这些漏洞包括反射型XSS攻击、缓冲区溢出漏洞、认证绕过和任意代码执行,分别是:CVE-2020-15892CVE-2020-15892漏洞是基于栈的缓冲区溢出漏洞,漏洞位于ssi 二进制文件中,可能会引发任意命令执行。CVE-2020-
原创
388阅读
0评论
0点赞
发布博客于 7 月前

如何阻止烦人的广告?2020年最佳广告软件删除工具Top5

广告软件删除工具是比较实用的程序之一,用于阻止或删除网站上的烦人广告。浏览器已成为我们互联网之旅的重要组成部分,我们在网上寻找的所有内容都要通过浏览器进行引导。网上有很多免费软件可供使用,人们很可能会出于自己的原因下载它们,但是有些人并不知道一些软件并不是单独存在的。有的软件可能会包含恶意软件、间谍软件和广告软件,奇热下载安装后将成为用户系统中的寄生虫,从而导致不必要的崩溃和破坏。网络罪犯使用广告软件非法产生收入,广告软件可在计算机和移动设备上运行,通常以弹出窗口的形式出现。广告软件..
原创
170阅读
0评论
0点赞
发布博客于 7 月前

近期针对工业企业和工控行业的APT攻击分析

有研究员发现了对不同国家/地区组织的一系列攻击。截至2020年5月上旬,日本,意大利,德国和英国已出现针对性的攻击案例。多达50%的攻击目标是各个工业部门的组织,攻击受害者包括工业企业的设备和软件供应商,攻击者使用恶意的Microsoft Office文档,PowerShell脚本以及各种使难以检测和分析恶意软件的技术。网络钓鱼电子邮件(用作初始攻击媒介)是使用每个特定国家/地区的语言使用文本自定义的。仅当操作系统的本地化与网络钓鱼电子邮件中使用的语言匹配时,此攻击中使用的恶意软件才会继续运行。例如,在
原创
109阅读
0评论
0点赞
发布博客于 7 月前

Advanced Practices:一款新型恶意监测工具的改进过程

2019年10月,亚伦·斯蒂芬斯(Aaron Stephens)在年度FireEye网络防御峰会上发表了“Scan't Touch This”演讲(幻灯片可在他的Github上找到)。他讨论了如何使用网络扫描数据进行外部检测,并提供了有关如何为犯罪和情报组织织使用的各种利用后框架构架命令和控制(C2)服务器的示例。但是,这些技术的手动应用无法扩展。如果您的角色只集中在一个或两个小组织上,可能会奏效,但是Advanced Practices范围要广泛得多。Advanced Practices需要一种能够使Ad
原创
47阅读
0评论
0点赞
发布博客于 7 月前

BootHole漏洞影响数十亿Windows和Linux设备

近日,研究人员在Secure Boot(安全启动)过程的核心组件中发现一个安全漏洞——BootHole,CVE编号为CVE-2020-10713。攻击者利用该漏洞可以修改启动加载过程。启动加载过程是在真实操作系统启动之前进行的,这一过程主要依靠启动加载器(bootloader),负责加载所有操作系统之上运行的计算机硬件组件的固件。BootHole是当下最流行的加载启动器组件GRUB2中的安全漏洞。GRUB2是大多数Linux 发行版的首选启动加载器,也是部分Windows、macOS和BSD系统的启..
原创
43阅读
0评论
0点赞
发布博客于 7 月前

Tor被曝多个0 day漏洞,官方给出回应!

安全研究人员Neal Krawetz 在7月23日和30日分别公布了2个影响Tor网络和浏览器的0 day漏洞技术细节,并称近期会发布其他3个漏洞的细节。有专家确认,利用这些漏洞中的1个可以对Tor服务器进行去匿名,获取真实的IP 地址。漏洞概述漏洞1在7月23日的博文中,研究人员描述了企业和互联网服务提供商如何通过扫描包签名的网络连接来拦截用户连接到Tor网络,因为Tor流量的包签名是独特的可以作为特征来识别的。更多技术细节参见:https://www.hackerfactor.c..
原创
78阅读
0评论
0点赞
发布博客于 7 月前

Open Banking安全性前瞻

近两年来,Open Banking(Open Banking服务)已经悄然成为金融科技热点,如果说推动金融与科技的融合是金融科技发展的1.0阶段,那么,Open Banking背后的金融数据共享,足以将金融科技带入到2.0时代。可以预见的是,金融数据共享必将推动银行和金融科技企业更深层次的协作和竞争,并重塑整个金融生态,从而引发全球金融巨变。但与此同时,Open Banking也给金融与科技的融合发展、行业监管、行业竞争态势带来全新的挑战。目前,Context已经与许多组织合作,帮助它们安全地与Op..
原创
153阅读
0评论
0点赞
发布博客于 7 月前

内核数据保护KDP:防止数据损坏的一种新平台安全技术

0x00 前言对于攻击者来说,随着像代码完整性(CI)、控制流防护(CFG)这样防止内存损坏的安全技术不断出现,他们开始将目光转向数据损坏这一方面。攻击者利用数据破坏技术,可以修改系统安全策略、提升特权、篡改安全证明、修改“一次初始化”数据结构等。内核数据保护(Kernel Data Protection,KDP)是一项新技术,可以通过基于虚拟化的安全性(VBS)保护部分Windows内核和驱动程序。KDP是一组API,可以将某些内核内存标记为只读,从而防止攻击者修改受保护的内存。例如,我们已经发现
原创
353阅读
0评论
0点赞
发布博客于 7 月前

如何手动提取易失性数据

在本文中,我们将运行几个CLI命令,这些命令可帮助取证调查人员尽可能多地从系统收集易失性数据。注意,我们在本文中使用的命令不是完整的命令列表。在桌面上创建一个名为“case”的文件夹,并在里面创建另一个名为“case01”的子文件夹,然后使用一个空文件“volatile.txt”,以保存将要提取的输出内容。在本文的示例中,我将所有输出保存在/SKS19/prac/notes.txt中,它可以帮助我们创建一个调查报告。什么是易失性数据?计算机取证中收集的数据有两种类型:持久性数据和易失性数据。
原创
481阅读
0评论
0点赞
发布博客于 7 月前

适用于Android设备的十大应用程序锁

现如今的智能手机非常个人化,其中的应用程序确实会携带不同形式的个人数据,例如图片,消息,银行应用程序等。应用锁也称为隐私锁,它是所有移动用户最关注的隐私问题之一。可以保护应用程序免受陌生人或在智能手机中寻找信息的攻击者的侵害。智能手机上一些数据的安全性和隐私性通常受到用户的重视,但要做到这一点,奇热他们需要为他们的设备和应用程序使用移动锁应用程序采取适当的安全措施。应用程序锁有什么作用?Android手机提供了安装大量应用程序的兼容性,有时甚至是不受信任的第三方应用程序或安卓恶意软件都可..
原创
591阅读
0评论
0点赞
发布博客于 7 月前

Ensiko:含有勒索软件功能的Webshell

Ensiko是一款攻击包括Linux、Windows、macOS和其他安装了PHP 的平台的含有勒索软件功能的PHP Web Shell。恶意软件可以远程控制系统和接收命令来在受感染的机器上执行恶意活动。此外,还可以在受感染的系统上执行shell命令,并通过Php逆向shell 发送执行结果给攻击者。技术细节Webshell认证恶意软件使用了密码进行保护。对于认证,奇热恶意软件展示了一个含有隐藏登陆表单的NOT Found页面,如图1和图2所示:图 1. Not Found页面和隐藏的登陆表
原创
66阅读
0评论
0点赞
发布博客于 7 月前

如何阻止烦人的广告?2020年最佳广告软件删除工具Top5

广告软件删除工具是比较实用的程序之一,用于阻止或删除网站上的烦人广告。浏览器已成为我们互联网之旅的重要组成部分,我们在网上寻找的所有内容都要通过浏览器进行引导。网上有很多免费软件可供使用,人们很可能会出于自己的原因下载它们,奇热但是有些人并不知道一些软件并不是单独存在的。有的软件可能会包含恶意软件、间谍软件和广告软件,下载安装后将成为用户系统中的寄生虫,从而导致不必要的崩溃和破坏。网络罪犯使用广告软件非法产生收入,广告软件可在计算机和移动设备上运行,通常以弹出窗口的形式出现。广告软件..
原创
158阅读
0评论
0点赞
发布博客于 7 月前

近期针对工业企业和工控行业的APT攻击分析

有研究员发现了对不同国家/地区组织的一系列攻击。截至2020年5月上旬,日本,意大利,德国和英国已出现针对性的攻击案例。多达50%的攻击目标是各个工业部门的组织,攻击受害者包括工业企业的设备和软件供应商,攻击者使用恶意的Microsoft Office文档,PowerShell脚本以及各种使难以检测和分析恶意软件的技术。网络钓鱼电子邮件(用作初始攻击媒介)是使用每个特定国家/地区的语言使用文本自定义的。仅当操作系统的本地化与网络钓鱼电子邮件中使用的语言匹配时,此攻击中使用的恶意软件才会继续运行。例如,在
原创
88阅读
0评论
0点赞
发布博客于 7 月前

Jenkins服务器漏洞致敏感信息泄露

Jenkins是一个开源的自动化服务器软件。近日,Jenkins发布安全公告称Jetty web服务器中存在安全漏洞,攻击者利用该漏洞可以引发内存破坏和机密信息泄露。该漏洞CVE编号为CVE-2019-17638,CVSS 评分为9.4,影响Eclipse Jetty 9.4.27.v20200227 到 9.4.29.v20200521版本。Eclipse Jetty是一个提供Java HTTP服务器和软件框架中使用的web容器的全特征工具。Jenkins绑定了Winstone-Jetty,使用...
原创
355阅读
0评论
0点赞
发布博客于 7 月前

你必须知道的密码学理论:随机预言模型(四)

这是关于随机预言模型系列文章的第四部分。 点击下面的链接查看以前的文章:第一部分: 介绍第二部分: ROM 的形式化,方案和证明简介第三部分: 我们如何滥用 ROM 来使我们的安全证明工作这是关于随机预言模型的倒数第二篇文章。我最初希望的是,这篇文章要简短、整洁,对于那些对密码学家的工作感兴趣的非专业人士来说,这篇文章很容易理解。 更重要的是,我期望现在确实已经是这样了。但是终点已经在眼前,我觉得只剩下几件事情我想说了。更妙的是,其中一个主题非常实用,这是本博客的主题一致。具体来说:
原创
419阅读
1评论
0点赞
发布博客于 7 月前

ABSynthe : 侧信道攻击加密函数窃取密钥

0x00 前言这篇文章是发表在NDSS2020上,有关于微架构侧信道攻击的一篇文章。一作来自于英特尔公司,先前在硬件和底层上有比较多的研究。文章标题中的几个关键词,也在文章中有一定的体现,比如自动化、黑盒,合成等,这些都与一些现有的工作有比较大的差异。0x01背景知识CPU组件存在大量的侧信道攻击,但现有的每一种侧信道攻击方式,几乎都基于白盒分析的方法。通常情况下,需要3步来完成:·首先需要能够识别出这一特定的CPU组件。·然后需要在特定的微架构上对其做逆向分析。·最后通过逆...
原创
174阅读
0评论
0点赞
发布博客于 7 月前

WastedLocker的一次攻击让上千万用户“停跑”

7月23号晚上,越来越多Garmin(佳明)智能手表的用户突然发现,自己的智能手表无法与手机上的配套APP“Garmin Connect”同步,APP本身也无法更新数据,就连之前的一些运动轨迹也无法查看。当他们想要联系佳明官方时,却发现佳明的呼叫中心同样受到了影响,无论是电话、发送电子邮件还是在网页上在线咨询,奇热都无法正常运行。经过调查, Garmin(佳明)是遭到勒索软件 WastedLocker 攻击了,导致 Garmin Connect Mobile、Garmin Connect 网站以..
原创
120阅读
0评论
0点赞
发布博客于 8 月前

PayPal网络钓鱼电子邮件攻击案例分享

在过去的几周中,大量伪造的PayPal电子邮件在不断传播,他们将FOMO(错失恐惧症)强加于钓鱼邮件中,从而提高攻击的成功率。这是网络攻击者最常用的伎俩之一,以正确的方式施加一点压力通常可以为他们带来满意效果。邮件中可能声称您将失去某些东西,要么是逾期会产生费用,要么会错过一些重要的服务,从而使得受害者产生不安的情绪。下面将概述这些电子邮件声称的内容、来源、试图伪造什么、奇热以及它们会来的那种恐慌感(这只是几个例子,还有很多其他的例子)。共同点我们看到的大多数邮件都声称是从Secure(AT)i
原创
226阅读
0评论
0点赞
发布博客于 8 月前

CVE-2020-7699:NodeJS模块代码注入

研究人员在下载量超700万的Node.js 模块中发现其存在安全漏洞,攻击者利用该漏洞可以发起DoS 攻击或完全获取远程shell 访问权限。该漏洞CVE编号为CVE-2020-7699,位于express-fileupload npm组件中,该组件从npm处下载量超过730万,其中不含有从GitHub、镜像网站和其他克隆库中下载的。该漏洞属于Prototype Pollution(原型污染)漏洞类型,这是JS代码中的常见漏洞类型。因为JS是基于原型的语言,语言中的每个对象、函数和数据结构都有P..
原创
299阅读
0评论
0点赞
发布博客于 8 月前

Pwn2own Miami:通过漏洞利用链实现对Ignition工控系统的代码执行

020年1月,在S4会议上举行了首届Pwn2Own Miami比赛,目标是工业控制系统(ICS)产品。在比赛中,佩德罗·里贝罗(Pedro Ribeiro)和拉德克·多曼斯基(Radek Domanski)的团队使用了信息泄漏和反序列化漏洞,以在Inductive Automation Ignition 系统上执行代码。他们在比赛第一天赢得了25,000美元。现在可以从供应商处获得补丁程序,他们已经分享了以下漏洞利用代码和演示视频。这篇文章描述了Pedro Ribeiro(@ pedrib1337)和R
原创
161阅读
0评论
0点赞
发布博客于 8 月前

智能门锁与网关:海康萤石智能门锁的网关分析(二)

1.简介本篇是胖猴小玩闹专题的第十一篇,我们将继续分析海康萤石的智能网关,其思路是先从简单的地方着手,把不需要逆向分析的,可以直接就能观察到的输出和文件都看一看,然后再深入的研究某个细节。在本专题的上一篇文章中,我们已经获取了电路板上Flash存储的固件内容,同时对MCU的UART引脚进行测试,确认该引脚与软排线接口连通。那么就下来,我们就想办法连上软排线的接口。2. 网关分析2.1 串口分析为了接通软排线,我们需要购买一段20pin的软排线,淘宝可以买到,奇热楼下手机店可能也有。软排线
原创
1010阅读
1评论
0点赞
发布博客于 8 月前

保障密码安全的7个小提示

做好个人网络安全的第一步是要学会创建一个安全性高的密码。脆弱的密码会给您带来不必要的麻烦,一旦密码被破解,攻击者可以通过破坏重要帐户来泄露您的所有个人信息,如果您一次又一次的在各个账户使用相同的密码,那么您会面临更麻烦的问题。其实创建一个高安全性的密码并不困难,在本指南中,我们将介绍七个技巧,奇热以帮助改善密码安全性并确保您的个人信息安全。1.不要使用个人信息作为密码使用个人信息作为密码似乎是一种非常受欢迎的密码设置方式,因为大多数人认为,在密码中使用个人信息,很便于记忆。比如:名字和生日...
原创
288阅读
0评论
0点赞
发布博客于 8 月前

分析DLL搜索顺序劫持的原理

Context的智能和响应团队已经看到DLL搜索命令被滥用,作为在真实环境中进行网络入侵的一种手段。滥用DLL搜索顺序并利用这种机制来加载一个流氓DLL而不是合法的被称为DLL预加载,或者在MITRE ATT&CK框架中劫持。在这篇文章中,你将了解更多关于DLL搜索顺序的基本原理,以及合法的二进制文件如何被武器化,并介绍一个通过DLL劫持自动发现适合有效载荷执行的二进制文件的工具。关于动态链接库动态链接库(DLL)是一个模块,它包含可以被另一个模块(应用程序或DLL)使用的函数和数据..
原创
169阅读
0评论
0点赞
发布博客于 8 月前

对智能门禁系统的安全研究

对于许多攻击类型,需要物理访问计算机,例如插入“ Rubber Ducky”或插入物理键盘记录程序。由于通常限制对服务器和计算机的访问,因此通常通过“当攻击者已经进入房间时,无论如何我们都会被攻击”的角度来处理这些威胁向量。但是,如果相反的话怎么办?如果服务器,计算机和软件取决于物理安全性,但是物理安全性取决于计算机的安全性呢?对于所有不同类型的智能门锁,情况就是如此。我们研究了网关系统,这些系统增加了门铃解决方案,使用户可以通过网络(甚至Internet)对其进行控制。对于其中两个分别由Siedle...
原创
87阅读
0评论
0点赞
发布博客于 8 月前

别慌,这回你有SOAR——关于PyPI仓库遭投毒事件的自动化应急响应

SOAR是Security Orchestration, Automation and Response(安全编排、自动化和响应)的缩写,近年来备受业界关注。前情还记得此前的Putty后门、XShell后门以及XCode Ghost事件吗?今天,腾讯安全应急响应中心及时发布安全通知【pypi 官方仓库遭遇request恶意包投毒】,将业界视角重新拉回【软件供应链安全】这一关键领域。以下为引用:近日,腾讯洋葱反入侵系统检测发现 PyPI官方仓库被恶意上传了request 钓鱼包,由于国内
原创
367阅读
0评论
0点赞
发布博客于 8 月前