- 博客(172)
- 收藏
- 关注
RSS订阅转载 Superl-url:一款开源关键词URL采集工具
superl-url是一款开源的,并且功能强大的关键词URL采集工具,可以根据关键词,对搜索引擎内容检索结果的网址内容进行采集。程序主要运用于安全渗透测试项目,以及批量评估各类CMS系统0DAY的影响程度,同时也是批量采集自己获取感兴趣的网站的一个小程序~~本来几年前就写好了,没什么技术含量,没想到小伙伴的使用需求还蛮大的,不敢私藏~~立了flag,git的star过200就一...
2019-05-31 18:04:41
1933
1
转载 AutoSource:整合SonarQube的自动化源代码审计框架
今天给大家介绍的这款开源工具名叫AutoSource,它是一款整合了SonarQube的自动化源代码审计框架。AutoSourceAutoSource是一款整合了SonarQube的自动化源代码审计框架,广大研究人员可以利用该工具来进行静态代码分析与审计。除此之外,在AutoSource的帮助下,我们还可以在SDLC(软件开发生命周期)的各个阶段中对目标项目进行高效率的漏洞扫描。代码扫...
2019-05-31 18:03:47
648
转载 FinalRecon:一款多功能网络侦查OSINT工具
今天给大家介绍的是一款名叫FinalRecon的开源情报收集工具,这是一款多合一的多功能网络侦查工具。该工具采用Python开发,遵循模块化架构,可为广大研究人员的网络侦查活动提供帮助。功能介绍FinalRecon可提供如下所示的详细信息:Header信息WHOIS查询SSL证书细节中国菜刀网络爬虫...
2019-05-31 18:01:13
345
转载 Android静态分析之初级篇
最近瞅着测APP的空档,翻了翻之前买的一本讲Android安全的书,书快要翻完了,但是里面还有实际操作的部分,书里面提到的工具跟目前用到的有一些出入,借着google总算把最简单的一部分搞定了,做个记录~操作系统:win10先从一个很简单的apk包入手,一个假登录页面:点击登录的时候弹出提示:代码用得是Android Studio3.5的版本,Android Studio...
2019-05-31 17:47:22
233
转载 警惕Bizarro Sundown(GreenFlash)漏洞利用工具包传播Seon勒索病毒
背景概述近日,国外安全研究人员捕获到一款名为Seon的勒索病毒,并且发现攻击者通过Bizarro Sundown(GreenFlash)漏洞利用工具包进行传播,该漏洞利用工具包常被用于传播各类勒索病毒如GandCrab、Locky、Hermes等。Seon勒索病毒使用AES算法加密文件,修改文件后缀为 .FIXT,加密完成后弹出hta窗口与用户交互索要赎金。勒索特征1.加密文件后缀.F...
2019-05-31 17:30:42
346
转载 对滥用Windows特权文件操作的研究(上)
本文介绍了如何滥用Windows上的特权进程执行文件,来实现本地权限升级(从用户升级到管理员/系统权限)。除此之外,我还介绍了利用这类漏洞的可用技术、工具和具体过程。特权文件操作漏洞以高权限运行的进程会对所有进程中执行的文件执行操作,这意味着,当高权限进程在没有足够预防措施的情况下,可以访问用户控制的所有文件或目录。因此,从理论上说,这就是一个安全漏洞,因为恶意攻击者有可能会滥用该特权进程...
2019-05-31 17:24:58
264
转载 隐私浏览器DuckDuckGo爆出漏洞,可导致URL欺骗攻击
Android 5.26.0系统中,开源的私人浏览器DuckDuckGo被发现存在漏洞可导致攻击,攻击者可通过该漏洞利用URL欺骗的方式发动攻击,目前该浏览器的安装量已超过500万。安全研究员Dhiraj Mishra将这个漏洞编号为CVE-2019-12329,并通过HackOne平台的漏洞赏金计划向该应用的安全团队通知漏洞的存在。研究人员表示,他通过特定的JavaScript页面欺骗了...
2019-05-30 14:05:20
696
转载 使用Elasticsearch与TheHive构建开源安全应急响应平台
概述通过开源软件可以构建一个安全应急响应平台,该平台可以进行日志整合、告警生成、IoC 丰富与事件管理。在上面的流程图中,作为 HIDS 的 Wazuh 将数据发送回 Wazuh Manager 与 Elasticsearch。ElastAlert 观测到新事件并在 TheHive 中相应生成告警。然后通过 Cortex 与 MISP 查询额外信息丰富该事件,之后自动关闭该事件或提交给...
2019-05-30 13:57:11
2263
转载 Turbinia:一款自动化云端并行数字取证工具
Turbinia是一款专门用于部署、管理和运行分布式取证任务流的开源框架。该工具可以自动化运行常见的数据取整处理工具,例如Plaso、TSK和strings等等,可帮助研究人员对云端环境以及大量账号下的数字证据进行处理,并尽可能地通过并行处理方式来减少响应时间。工作机制Turbinia由客户端、服务器端和业务处理端(Worker)这几种组件组成,这些组件可以在云端环境中运行,也可以在本...
2019-05-30 13:53:52
227
转载 对Anatova勒索软件进行一番深度分析后发现,它可能是新旧两代勒索技术的分水岭!
前言今年1月,迈克菲实验室(McAfee Labs)发现了一款攻击威力远胜于 Ryuk 的勒索软件,该勒索软件通常将自己伪装成流行的游戏或者应用程序欺骗用户下载执行,运行后,它会主动请求管理员权限以便对用户磁盘文件进行加密,之后再索取赎金。根据对Anatova的分析可以发现该勒索软件的开发者是一个经验十足的恶意代码编写者,至今发现的多个样本中包含了不同的密钥和部分不同的函数,该勒索软件还预留了...
2019-05-30 13:53:02
162
转载 关于灰色软件(Grayware)及其危害你了解多少?
灰色软件是一个棘手的安全问题。虽然与高频报道的“恶意软件”和“勒索软件”等术语相比,“灰色软件”略显耳生,但事实上,我们每个人都曾跟它有过亲密接触:例如,许多新系统中所提供的不为人熟知的应用程序,或是具备为人熟知的名称但却非官方提供的应用程序。这些程序通常是在没有得到允许的情况下安装和执行的。它们统统属于“灰色软件”——或“可能不需要的应用程序”——是计算机安全所面临的持续性问题。什么是“...
2019-05-30 13:51:17
5649
转载 伪造的再好也能把你挖出来!如何对Word二进制文档进行分析?
随着计算机技术的普及,犯罪嫌疑人的文档档案、财务报表经常以word电子文档的形式出现在计算机中。所以在电子取证中,Microsoft Word取证分析是数字取证人员经常用于文档分析的方法。由于Microsoft Office的普及,许多重要的商业文档(如合同和备忘录)都是使用Word创建的。在传统的取证对象中,文档通常是纸质的。但电子数据形式多样、载体丰富、位置隐蔽、结构复杂,有重要价值的证据往往...
2019-05-30 13:45:45
773
转载 如何利用Slack客户端漏洞窃取Slack用户下载的所有文件
前言在本文中,我们将主要讨论一个值得关注的功能滥用问题,通过该漏洞,攻击者可以窃取甚至控制Slack用户使用Windows环境的Slack桌面应用程序的下载内容。根据我们的协调披露政策,已经通过HackerOne平台向Slack报告了这一漏洞,并且Slack已经在其最新更新v3.4.0中修复了该漏洞。这一漏洞可能允许远程攻击者在Slack频道中提交精心伪造的链接,一旦受害者点击该链接,那么...
2019-05-30 13:43:58
387
转载 不死的EternalBlue(永恒之蓝)
2017年,Shadow Brokers将从美国国家安全局NSA窃取的软件漏洞利用攻击泄露在网上,之后1个月知名勒索软件WannaCry就席卷全球。现在已经过去2年了,Eternalblue仍然占据着美国的头版头条。本文就Eternalblue和Eternalblue为什么可以不死进行简要分析。EternalblueCVE-2017-0143到CVE-2017-0148漏洞是Windo...
2019-05-30 13:42:10
4276
转载 Chashell:基于DNS的反向Shell
Chashell是一个由Go编写的基于DNS进行通信的反向shell。它可用于绕过防火墙或严格限制的网络。它带有一个名为chaserv的多客户端控制服务器。通信安全每个数据包都使用对称加密(XSalsa20+Poly1305)进行加密,客户端和服务器之间使用共享密钥。我们计划在未来实现非对称加密。中国菜刀协议Chashell使用Protocol Buffers序列化...
2019-05-29 14:24:26
189
转载 MalConfScan:从已知的恶意软件家族中提取配置信息
MalConfScan是一个Volatility插件,可从已知的恶意软件家族中提取配置信息。Volatility则是一个用于事件响应和恶意软件分析的开源内存取证框架。此工具会在内存映像中搜索恶意软件并转储配置数据。此外,它还具有列出恶意代码所引用的字符串的功能。支持的恶意软件家族MalConfScan可以转储以下恶意软件配置数据,已解码的字符串或DGA域:中国菜刀Ursnif...
2019-05-29 14:20:59
361
转载 Office 365出现网络钓鱼,用户需多加注意
近日,一种新形式的钓鱼活动出现在网络中,攻击者会将钓鱼内容伪装成Office 365点警告邮件,并告知用户他们的账户中出现异常数量的文件删除。如下图所示,钓鱼攻击以Office 365警告内容的形式出现,声称用户已触发中级威胁警报,并告知用户在他的账户中发生了大量文件删除行为,诱使用户点击警告框。中国菜刀邮件原文如下:您已触发中级威胁警报账户中存在不正常的文件删除行为...
2019-05-29 14:18:53
599
转载 使用ee-outliers和Elasticsearch检测可疑子进程
通过 ee-outliers 检测可疑子进程也是检测端点恶意活动一种非常有效的方法,例如:检测调用 cmd.exe 的恶意 Microsoft Word 文档检测电子邮件内嵌的 0-day exploit 在 Outlook 中利用 PowerShell收集正确的数据我们依赖于 osquery 来收集端点数据,使用以下查询定期收集有关我们要监控的工作站与服务器的所有信息。...
2019-05-29 14:14:22
272
转载 使用新型反检测技术:与MuddyWater相关的BlackWater恶意活动分析
摘要Cisco Talos团队近期发现名为“BlackWater”的恶意活动与可疑的持续威胁组织MuddyWater相关联。在2019年4月,我们开始监测到新型样本,并对其进行分析,结果表明攻击者已经在常规的运营活动中添加了三个不同的步骤,允许恶意软件绕过某些安全控制,并且MuddyWater的策略、技术和流程(TTPs)已经发展到逃避检测阶段。一旦成功,该恶意软件系列会将基于PowerShe...
2019-05-29 14:10:04
190
转载 CVE-2019-0708漏洞: RDP= Really DO Patch?
CVE-2019-0708是RDP协议的安全漏洞,具有蠕虫功能,因此危害很大。微软快速发布了该漏洞的补丁。但研究人员认为恶意攻击者可能已经将该漏洞武器化,在不久的将来可能就会看到再野漏洞利用了。受影响的操作系统有:·Windows 2003·Windows XP·Windows 7·Windows Server 2008·Windows Server 2008 R...
2019-05-29 14:07:41
310
转载 再看Zebrocy:APT28通过Delphi后门执行了哪些命令?
当受害者遭后门入侵并被攻击者控制时会发生什么?这是一个很难回答的问题,即使通过逆向工程代码也难以完全解析。而在本文中,我们将分析Sednit组织在近期行动中发送到目标的命令。Sednit组织,也被称为APT28, Fancy Bear(奇幻熊), Sofacy 或STRONTIUM,是一个自2004年以来运行的攻击组织,其主要目的是窃取目标的机密信息。他们的行动在过去几年中经常成为头条新闻。...
2019-05-29 14:05:02
249
转载 卡巴斯基实验室:2019Q1 IT威胁发展趋势统计报告
一、季度数据根据卡巴斯基安全网络的统计结果,我们在2019Q1内,共阻止了全球203个国家中在线发生的843096461次攻击。Web反病毒组件将113640221个唯一URL识别为恶意URL。通过在线访问窃取银行账户资金的恶意软件尝试在243604个用户的计算机上发起攻击。在284489个独立用户的计算机上,成功防御勒索软件攻击。文件反病毒产品检测到247907593个独特的...
2019-05-29 14:02:43
1673
转载 对Anatova勒索软件进行一番深度分析后发现,它可能是新旧两代勒索技术的分水岭!
前言今年1月,迈克菲实验室(McAfee Labs)发现了一款攻击威力远胜于 Ryuk 的勒索软件,该勒索软件通常将自己伪装成流行的游戏或者应用程序欺骗用户下载执行,运行后,它会主动请求管理员权限以便对用户磁盘文件进行加密,之后再索取赎金。根据对Anatova的分析可以发现该勒索软件的开发者是一个经验十足的恶意代码编写者,至今发现的多个样本中包含了不同的密钥和部分不同的函数,该勒索软件还预留了...
2019-05-29 13:55:32
228
转载 SWorm勒索病毒变种通过垃圾邮件传播,该勒索病毒已可被解密
近日,腾讯御见威胁情报中心监测到,JSWORM勒索病毒JURASIK变种版本在国内有所传播。JSWORM勒索病毒首次出现于2019年1月,目前已知通过垃圾邮件传播。分析国内变种病毒时间戳信息可知编译时间为2019年5月中旬,加密完成后添加.JURASIK扩展后缀。经分析可知,目前该病毒版本可解密,国外也有安全人员也在2019.5.21发布了对应版本的解密工具(针对国内传播病毒版本使用上需要手动修改...
2019-05-29 13:37:04
532
转载 发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备
概述近期,我们发现了Mirai的新变种(检测为Backdoor.Linux.MIRAI.VWIPT),该后门程序总共利用了13种不同的漏洞,几乎所有漏洞都在之前与Mirai相关的攻击中使用过。这是典型的Mirai变种,具有后门和分布式拒绝服务(DDoS)功能。然而,这一变种是我们首次发现在单起恶意活动中同时使用13个漏洞利用的案例。本次攻击发生在我们上次报道Mirai活动的几周后,当时该恶...
2019-05-28 13:06:46
1117
转载 剥丝抽茧,层层破解!看我如何一步步绕过防火墙直至获取你的支付卡信息
前言此文章介绍了以窃取数据为目标的完整渗透过程,作者首先通过enum4linux对域环境进行信息收集,整理出用户名字典后,然后暴力破解SMB。获得了一个域账号权限后,再使用 Kerberoasting技术获取到域管理员权限,最后通过域管理员下发组策略的方式获取到包含目标数据系统的权限。一步步绕过Windows域中的防火墙获取支付卡敏感数据本文详细介绍了如何绕过防火墙以获取对持卡人数据环...
2019-05-28 13:04:45
497
转载 警惕利用Office漏洞传播商业间谍软件AgentTesla
背景概述AgentTesla原本是一款在2014年发布的简单的键盘记录器,近年来其开发团队为其不断增加了许多新功能,并进行出售。AgentTesla现已成为一个商业化的间谍软件,可通过控制端生成满足功能需求的木马程序。AgentTesla最常见的传播方式是钓鱼邮件,邮件附件中通常会携带恶意文档,通过宏或漏洞利用下载运行恶意程序。近日,深信服安全团队采集到利用CVE-2017-11882传播...
2019-05-28 13:01:31
553
转载 后边界时代骤增的移动安全风险探析
在后边界的网络世界,无论是企业、员工还是网络犯罪分子,都有新的方式来逃脱企业网络防御,且这种情况越来越普遍。网络犯罪分子现在采用“移动优先”的方法来攻击企业。例如,上个月有5亿苹果iOS用户因为Chrome for iOS中的未修补的漏洞而被攻击。骗子设法劫持用户会话,并将流量重新引到植入了恶意软件的恶意网站。中国菜刀这样的攻击证明了利用移动设备的网络犯罪活动的广泛性和有效性。对于那些...
2019-05-28 12:54:26
136
转载 攻击MySQL服务器传播GandCrab勒索软件
研究人员在实验室环境中搭建了一个蜜罐系统,监听着SQL服务器使用的默认端口(TCP/3306端口)。该蜜罐系统发现来自美国机器的攻击。研究人员监控了僵尸网络生成的网络流量和行为,发现该Linux蜜罐下载了一个Windows可执行文件。攻击者首先用SQL数据库命令在上传helper DLL到服务器,然后作为数据库函数调用该DLL来提取IP地址位于加拿大魁北克省的主机上的GandCrab pa...
2019-05-28 12:47:24
312
转载 详细分析Pwn2Own 2019上曝出的Edge的Canvas 2D API漏洞(CVE-2019-0940)利用
Pwn2Own 2019再次向世界证明了世界上没有一个完全安全的系统。黑客通过访问特制的页面,已经成功入侵了macOS上的Safari、Windows 10上的Edge和Firefox浏览器,甚至还从两个虚拟机上逃脱在本地硬件上运行代码。今天我们就以Microsoft Edge浏览器为例,说一说黑客团队是如何发现其中的漏洞,并成功运用它的。该漏洞利用包括两大块:1. Edge的渲染器重复释...
2019-05-28 12:44:56
433
转载 使用新型反检测技术:与MuddyWater相关的BlackWater恶意活动分析
摘要Cisco Talos团队近期发现名为“BlackWater”的恶意活动与可疑的持续威胁组织MuddyWater相关联。在2019年4月,我们开始监测到新型样本,并对其进行分析,结果表明攻击者已经在常规的运营活动中添加了三个不同的步骤,允许恶意软件绕过某些安全控制,并且MuddyWater的策略、技术和流程(TTPs)已经发展到逃避检测阶段。一旦成功,该恶意软件系列会将基于PowerShe...
2019-05-28 12:39:20
176
转载 二维码扫码登录“克星”QRLJacker攻击向量分析及演示
QRLJacker,又名Quick Response Code LoginJacking,这是一种简单但功能强大的攻击向量,大部分拥有二维码扫码登录功能的Web应用程序都会受到这种攻击向量的影响,这种功能本身是为了提升用户账号安全性来设计的,但攻击者可以通过劫持用户会话来破坏这种安全功能。实际上,QRLJacking就是一种新型的社会工程学攻击向量,而我们设计的QRLJacking是一款高...
2019-05-27 11:30:13
1024
转载 Reverie:一款针对Parrot Linux的自动化渗透测试工具
Reverie今天给大家介绍的这款工具名叫reverie,它是一款专门针对Parrot Linux的自动化渗透测试工具。该工具可以帮助我们对目标进行类似信息收集、安全审计和安全报告生成等渗透测试工作,而且所有任务都是自动化完成的。工具使用指南使用下列命令将项目代码克隆至本地:中国菜刀~# git clone https://github.com/baguswiratma...
2019-05-27 11:26:04
313
转载 IBM报告称全球活跃黑客攻击数量下降,安全团队需关注更紧迫的威胁
IBM近日发布一份针对活跃黑客攻击的报告,报告显示,自2015年以来,造成可量化损害的黑客行为攻击数量下降了95%。IBM X-Force威胁情报部门在2015年至2019年期间收集的数据显示,黑客活跃分子发起的攻击的数量从2015年的35起下降到2016年的24起,再到2017年的5起 。2018年,X-Force发现的活跃攻击数量仅为2起,而2019年至今,则尚未检测到类似的攻击事件。当...
2019-05-27 11:21:21
120
转载 身中21世纪六大病毒,这台旧电脑拍卖价高达830万元
我一直觉得只有初代苹果电脑Apple I 这种老古董才会比较值钱,而最近一台身中WannaCry、MyDoom等六种病毒的旧电脑,拍卖价已经接近830万元。要知道,Apple I 最近一台在佳士得拍卖行最终成交价也不过47.1万美元(约人民币325万元)。这台天价旧电脑型号为三星NC10-14GB(蓝色),屏幕尺寸为10.2吋。其本身并没有任何特别支持,关键在于由于其搭载的Windows ...
2019-05-27 11:19:30
265
转载 揭开病毒的面纱:恶意代码自解密技术
分析病毒的时候,常常遇到一种很奇怪的现象,使用查壳工具查看一个样本明明没有加壳,但是反编译或调试时,却不能直观地看到样本的恶意操作,这是为什么呢?很简单,这是因为攻击者采用了自定义的加密方法,在样本运行时实现自解密并执行真正的恶意操作,所以看到的只是样本还没解密的样子,自然分析不出恶意代码的逻辑。下面就通过实例来窥探下恶意代码自解密的技术吧,如下是一个Ammyy病毒的下载器(MD5:28EAE...
2019-05-27 11:16:49
191
转载 拿走不谢!固件逆向分析过程中的工具和技巧(下)
上文,我们讨论了固件逆向分析过程中的部分工具和策略,这篇我们接着介绍如何分析被加密的固件以及分析策略。hex editor的使用hex editor是一款使用简单的十六进制编辑工具,能快速对数字进行十六进制转换操作,它运行于windows平台,它能够编辑xml文件进行修改二进制数据。软件支持Undo、插入、覆盖、搜索、比较等编辑模式。十六进制转换操作是个复杂的过程,在此我们推荐hex ...
2019-05-27 11:13:02
6161
转载 Shade勒索软件“开疆扩土”,将目标转移俄罗斯之外
Shade勒索软件(又名为Troldesh)是一款历史悠久的勒索软件,于2014年底首次出现,攻击目标主要是针对MicrosoftWindows系统的主机,利用恶意垃圾邮件(malspam)和漏洞利用工具包进行传播。最近一篇关于Shade的研究报告中指出,Shade背后的攻击者的侧重于俄语目标,因为载体往往是俄语电子邮件,但实际上Shade也有非常多的通过英语垃圾邮件进行传播的迹象。我们回顾...
2019-05-27 11:10:00
247
转载 CVE-2019-11815:Linux kernel漏洞
Linux kernel中存在漏洞是非常常见的,因为有Linux kernel有大约2600万行代码,单2018年就新添加了338万行,删除了251万行代码。代码的量和复杂性说明了其中必然存在漏洞。2019年5月8日,漏洞数据库NVD(National Vulnerability Database)发布了CVE-2019-11815——Linux kernel漏洞的详情,其CVSS 3.0评分...
2019-05-27 11:07:11
979
转载 GoMet:Go编写的多平台Agent和控制器
GoMet是一个Go编写的多平台Agent和控制器。Agent通过TLS隧道与其控制器通信。构建安装 Go (https://golang.org/dl/).克隆存储库git clone git@github.com:gomet-app/GoMet.git并编译 GoMetcd GoMetgo build ./...go build .基础使用启动 GoMe...
2019-05-27 10:38:40
167
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人