2019年11月_systemino

原创 Invoke-PowerThIEf利用分析

x00 前言Invoke-PowerThIEf是一个开源的Powershell脚本，不仅能够用来对IE浏览器窗口的内容进行操作，还能通过Hook的方法捕获IE浏览器的凭据。地址如下：https://github.com/nettitude/Invoke-PowerThIEf本文将要对Invoke-PowerThIEf的功能进行测试，分享在Win7 sp1 x64下的使用方法，奇热结...

2019-11-22 19:38:06 259

原创特权提升攻防揭秘：macOS恶意软件如今还需要root提权吗？

一、前言在本篇文章中，我们详细描述关于macOS上的特权提升。首先，我们将介绍安全研究人员在Apple桌面操作系统的最新版本中发现的一些漏洞，其中重点说明已经转化为可靠漏洞利用的一些漏洞。针对这些漏洞，提出面向企业和终端用户的安全建议。随后，我们将视角从研究人员转向攻击者，奇热探讨macOS威胁参与者所使用的的攻击方法，并说明为什么他们采用了与安全研究人员截然不同的方法。二、什么是特权提升...

2019-11-22 19:35:40 665

原创渗透技巧——从远程桌面客户端提取明文凭据

0x00 前言在之前的文章《渗透技巧——获得Windows系统的远程桌面连接历史记录》曾介绍了获得远程桌面连接历史记录的方法。在实际的渗透过程中，如果发现了远程桌面连接的历史记录，奇热那么下一步就需要想办法获取远程桌面连接使用的口令。本文将会结合RdpThief介绍从远程桌面客户端提取明文凭据的方法，分享需要注意的细节。RdpThief地址：https://github.com...

2019-11-22 19:30:13 2547 1

原创现代无线侦察技术（二）：MANA 和已知信标攻击

在本系列文章的第一部分中，我们介绍了802.11的一些基本原理，并描述了如何利用协议的漫游和网络选择特性来执行无线中间人(PITM)攻击。我们还讨论了如何在EAPHammer中执行基本的仿冒接入点攻击(参见:https://github.com/s0lst1c3/eaphammer)。如果你还没有读过本系列文章的第一部分，你可以在这里找到:·https://posts.specte...

2019-11-22 19:19:05 868

原创 code blue CTF 2019 fopen RCE 漏洞的 Writeup

0x01 介绍最近，我在打CODE BLUE CTF 2019决赛，里面有一道题目是通过fopen的第二个参数进行RCE，奇热在这篇文章我会详细说明解这道题目的方法。首先，将下面两个文件放在/home/user目录：gconv-modulesmodulePAYLOAD//INTERNAL../../../../../../../../home/user/pa...

2019-11-22 19:16:47 551

原创一款实用的macOS内核调试工具——LLDBagility

这是Francesco Cagnin有关macOS内核调试的第二篇文章。在上一篇文章中，作者定义了本篇文章中使用的大多数术语，描述了如何为macOS内核实施内核调试，并讨论了可用工具的局限性。本篇文章中，我们就介绍LLDBagility，这是上文中为macOS内核实施内核调试的解决方案，可提供更轻松，更实用的macOS调试体验。在当前情况下，调试macOS内核（XNU）不太实用，尤其是考虑到诸...

2019-11-22 19:12:05 338

原创与Lazarus组织相关的Mac后门分析

MacOS中的网络犯罪活动持续增长，越来越多的恶意软件开发者将矛头转向macOS。Trend Micro研究人员发现一个与Lazarus组织有关的mac后门，使用启用宏的Excel来攻击韩国用户。与Lazarus的相似之处研究人员分析了Twitter用户cyberwar_15发现的恶意样本，奇热发现恶意样本使用了含有嵌入宏的Excel文档，这与Lazarus组织之前的攻击非常相像。...

2019-11-22 19:09:30 292

原创揭秘Emotet恶意软件新变种幕后攻击者的运营模式

概述本文是FortiGuard SE团队关于Emotet威胁攻击者的最新研究成果，Emotet是当前网络环境中威胁较大的一个恶意组织。我们与网络威胁联盟的成员共同编写了一系列关于攻击者的手册，要查看更多信息，可以参考《网络威胁联盟手册》白皮书。此外，在FortiGuard Playbook Viewer中可以详细了解相关恶意活动，并查看MITRE的对抗策略、技术和常识（ATT&CK）模...

2019-11-18 13:26:29 1354

原创 TCP SYN-ACK 反射DDoS攻击活动分析

Radware研究人员在过去一个月内监测到DDOS攻击活动频率增加，受害者包括许多大公司，具体有亚马逊、IBM子公司SoftLayer、Eurobet Italia SRL、韩国电信、HZ Hosting和SK Broadband。10月份，研究人员发现大量看似来自合法源的TCP SYN请求，这表明这是一起正在进行的黑名单期盼或反射性DDoS攻击活动。10月有一个重大的事件就是Eurobet网...

2019-11-18 13:22:30 844

原创不在沉默中爆发就在沉默中死亡，处于沉寂状态的 Emotet 僵尸网络是怎样卷土重来的？（一）

在 2019年大部分时间里处于沉寂状态的 Emotet 僵尸网络又重新爆发了! 研究人员认为，Emotet 可能正是在这段沉寂期间进行的基础设施维护和升级，只要它的服务器重新启动并运行，Emotet 便会携全新增强型威胁函数强势回归。Emotet感染链分析有证据表明，Emotet背后的运营团队Mealybug已经从维护自己的自定义银行木马发展成为了其他组织的恶意软件的分销商。在过去的一两个...

2019-11-18 13:13:53 521

原创浅谈新手入门级红蓝对抗系列之——Sysmon攻防

Sysmon介绍 Sysmon是微软的一款免费的轻量级系统监控工具，最开始是由Sysinternals开发的，后来Sysinternals被微软收购，现在属于Sysinternals系列工具（带有微软代码签名）。它通过系统服务和驱动程序实现记录进程创建，网络连接以及文件创建时间更改的详细信息，并把相关的信息写入并展示在windows的日志事件里。...

2019-11-17 20:00:41 2388

原创只要运营功夫深，大海也能捞到针——IPv6地址扫描实践分享

一、IPv6地址简介随着物联网、5G的发展，网络应用对IP地址的需求呈现爆炸式增长，IPv4地址空间早已分配枯竭，并且分配十分不均匀，美国占全球地址空间的一半左右，中国全国的IPv4地址加起来都没有美国一所大学拥有的地址多。IPv6凭借充足的网络地址和广阔的创新空间，已经成为实现万物互联，促进生产生活数字化、网络化、智能化发展的关键要素，为我国网络设施升级、技术产业创新、经济社会发展提供了重大...

2019-11-17 19:55:03 1411

原创靶场发展态势③美国防部赛博安全靶场（IAR/CSR）

美国国防部在2018年依据美国白宫公布的《国家网络战略》（National CyberStrategy），制定其《国防部网络战略》（Department ofDefense Cyber Strategy），阐明落实网络战略目标的五大路线：建立致命战力、网络空间竞争与吓阻、强化同盟并吸引新合作伙伴、部内组织改革、以及人才培育。依循此路线，美国国防部在其网络战略中，亦明确指出三个作战概念，遂行网络作战...

2019-11-17 19:52:30 2057

原创代码审计工具Fortify 17.10及Mac平台license版本

介绍17.10版本安装指导工具使用云端试用价值介绍 Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测，分析的过程中与其特有的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并整理生成完整的报告。扫描的结果中不但包括详细的安全漏洞的信息，还会有相关的安全知识的说明，并提供相应的修复建议。Forti...

2019-11-17 19:49:40 5804 2

原创使用卷序列号作为加密密钥：APT恶意软件LOWKEY分析

概述在2019年8月，FireEye发布了有关最新发现的威胁组织——APT41的“Double Dragon”报告。APT41是一个与亚洲某国家联系紧密的双重间谍组织，聚焦于财务领域，该恶意组织主要针对游戏、医疗保健、高科技、高等教育、电信和旅游服务等行业。本文主要分析了我们发现的一个复杂、被动型后门，在关于APT41的报告中曾经提到，并且在最近的FireEye Cyber Defense...

2019-11-17 19:46:39 999

原创新型勒索软件PureLocker现身，被Cobalt、FIN6等多个威胁组织使用

Intezer和IBM X-Force研究团队近期发现了一类新的勒索软件——PureLocker，它由一位资深的恶意软件即服务(MaaS)供应商在暗网上出售，并被Cobalt、FIN6等多个威胁组织使用。攻击者利用它对企业的生产服务器发起定向勒索攻击。PureLocker与“more_eggs”后门恶意软件密切相关，它由PureBasic编程语言编写，针对的操作系统包括Windows和Linu...

2019-11-17 19:45:07 202

原创 CVE-2019-3648漏洞分析

SafeBreach Labs安全研究人员在McAfee反病毒软件所有版本中发现了一个新的漏洞。本文将证明如何利用该漏洞来绕过McAfee的自防御机制，并加载任意未签名的DLL到多个以NT AUTHORITY\SYSTEM运行的服务中来实现防御绕过和驻留。注：为成功利用该漏洞，攻击者需要有administrator管理员权限。McAfee Total ProtectionMcAfee ...

2019-11-17 19:40:54 1685

原创卡巴斯基：2019Q3拒绝服务攻击趋势报告

概述在2019Q3中，我们观察到一种新型的DDoS攻击，证实了我们先前有关攻击者正通过Memcached协议进行攻击的假设。正如我们推测的那样，攻击者尝试使用另外一种不常见的协议来放大DDoS攻击。Akamai Technology的专家最近发现他们的一位客户曾遭受攻击，该攻击是借助WS-Discovery多播协议，通过欺骗返回IP地址来实现的。根据其他安全研究人员的说法，网络犯罪分子只是在最...

2019-11-17 19:39:34 385

原创利用 r2 逆向分析框架分析 Windows Minidumps

用Microsoft使用minidump格式存储用户模式的内存转储（dump），它是一种公开记录的文件格式，以前几乎都是在WinDbg进行分析。本文介绍如何使用radare2 mdmp模块进行Minidumps转储文件分析。0x01 文件格式该格式其实很简单，因为基本上都是数据流，这些数据流根据其内容而有所不同奇热。$r2mini.dmp[0x00690efa]>...

2019-11-17 19:37:09 668

原创 NTLM 中继攻击的几种非主流玩法

在企业组织中的常见的一种安全风险是凭证重用，当攻击者攻击 NT LAN Manager 身份验证协议(以下简称 NTLM 身份验证)时就会出现这样的风险，而这个协议通常会在微软的活动目录中默认启用。NTLM 认证中的不安全性已经被安全研究人员发现超过15年了。该协议可以被滥用，通过一个称为“中继”的过程劫持受害者的会话，该过程通过将受害者的凭证转发到与预期不同的服务来滥用受害者的凭...

2019-11-17 19:34:59 2598

原创 Titanium：黑客团伙Platinum使用的新隐形后门

Platinum是亚太地区技术最先进的一类APT组织，于2016年被微软发现。该组织主要针对南亚和东南亚地区，对isp、政府机构、情报机构和国防机构进行鱼叉式网络钓鱼攻击，从攻击目标来看，黑客的动机似乎是国家机密而非金融勒索。2018年6月，卡巴斯基的专家就注意到了Platinum组织对东南亚国家政府和军事实体的攻击，调查后发现，此次行动可能最早始于2012年。在今年6月，Platinum A...

2019-11-15 13:36:54 936 1

原创对 ArabicRSS APK 应用木马样本的分析

水坑攻击(watering hole) 是近些年黑客攻击常用的方式之一，顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。由于此种攻击借助了目标团体所信任的网站，攻击成功率很高，即便是那些对鱼叉攻击或其他形式的钓鱼攻击具有防护能力的团体。其...

2019-11-15 13:23:03 434

原创逃避检测功能加强：Google Play上发现的49个新型广告恶意软件分析

概述近期，我们在Google Play上发现了49个新型广告恶意软件应用程序，它们被伪装成游戏或流行相机。这些应用程序都是典型的广告恶意软件，隐藏在移动设备中，以显示广告内容，同时具有防止卸载和逃避检测的功能。目前，这些应用程序已经下架，但在被Google下架之前，其下载总数已经超过300万。根据最近发生的事件，我们看到了移动端广告类恶意软件的持续增长趋势，这些应用程序也采用独特的技术来逃...

2019-11-15 13:17:58 689

原创从远程桌面客户端提取明文凭证的工具RdpThief

介绍远程桌面（RDP）是用于管理WindowsServer的最广泛使用的工具之一，除了被管理员使用外，也容易成为攻击者的利用目标。登录到RDP会话的凭据通常用于是具有管理权限的，这也使得它们成为红队行动的一个理想目标。站在传统的角度看，许多人倾向于使用LSASS进行凭据盗窃，但是lsass.exe通常受到EDR和防病毒产品的监视，而且对LSASS的操作通常需要权限访问，于是我们自然就会考虑，...

2019-11-15 13:14:08 1735

原创新型勒索软件PureLocker现身，被Cobalt、FIN6等多个威胁组织使用

Intezer和IBM X-Force研究团队近期发现了一类新的勒索软件——PureLocker，它由一位资深的恶意软件即服务(MaaS)供应商在暗网上出售，并被Cobalt、FIN6等多个威胁组织使用。攻击者利用它对企业的生产服务器发起定向勒索攻击。PureLocker与“more_eggs”后门恶意软件密切相关，它由PureBasic编程语言编写，针对的操作系统包括Windows和Linu...

2019-11-15 13:12:13 468

原创容器服务常见的配置错误以及由此造成的泄漏事件

目前市场上总共有40000多个独立的容器托管平台，这些平台具有默认的容器配置，可以快速被识别。 Kubernetes和Docker容器平台各自都有超过20000个独立的容器。但这并不一定意味着这4万多个平台中的每一个容器都容易受到攻击，甚至是敏感数据的泄漏。另外，云服务中看似简单的错误配置可能会对组织造成严重影响。例如，Docker Hub丢失的19万个帐户的密钥和令牌就是攻击者利用云环境中的...

2019-11-15 13:10:13 367 1

原创一文读懂进程重镜像技术（附检测方案）

背景大约三个月前，一种新的攻击技术出现在安全社区，名为「进程重镜像」。这项技术是由McAfee安全团队在一篇标题为“进程重镜像和终端安全解决方案绕过”的博文中发布的，在这种攻击技术发布的几天后，我的一个同事也是朋友—— Dwight ——拿出了概念验证代码（PoC），演示了这种技术，可以在他的GitHub上找到。虽然这项技术还没有映射到MITRE ATT&CK中，但我相...

2019-11-08 14:52:07 756

原创红队渗透测试技术：如何通过鱼叉式网络钓鱼获得攻击机会？

关于红队在渗透测试中使用的网络钓鱼攻击的文章很多，不过大多数的介绍都是不完整的。在本文中，我们将对这个话题进行一次完整的梳理，包括域创建，制作网络钓鱼内容，绕过垃圾邮件过滤器和电子邮件网关，生成不可检测的有效载荷以及绕过Windows保护（例如AMSI）的注意事项。另外，我们还在这篇文章的末尾整理了一份参考文献，如果你感兴趣可以参考。出于安全原因，渗透测试中的客户名称和相关信息已被匿名化。...

2019-11-08 14:50:22 766

原创 Spelevo漏洞利用套件

近日，Cisco Talos团队安全研究人员发现一个新的漏洞利用套件攻击活动——Spelevo。该漏洞利用攻击活动使用被黑的B2B网站来传播Spelevo。在入侵了特定站点后，攻击者会在web页中添加4行代码，这4行代码可以入侵所有的访问者。虽然Angler多年以前使用过Adobe Flash Player的0 day漏洞，但漏洞利用套件主要是依赖于现有的、已修复的漏洞利用。但是如果系统中没有...

2019-11-08 14:48:50 219

原创 Windows 安全描述符审计方法探究：审查事件日志安全性

在获得对系统的访问权限后，对于尚未提升特权的攻击者，系统会授予什么级别的访问权限呢？与其在主机上进行试验，最终被系统提示拒绝访问，并在测试过程中会产生嘈杂的日志，不如选择一个更好的策略，那就是首先了解Windows授予非特权用户的权限。在Windows中，几乎所有的访问权限都由安全描述符控制。本文的目标就是建立一种审计方法，用于暴露由安全描述符错误配置的潜在风险。在建立方法之后...

2019-11-08 14:47:05 4104

原创主机安全之Linux本地提权

0x00、前言Linux本地提权在入侵过程中起到重要的作用。当黑客通过webshell等方式获取到低权限的用户的时候，需要高级权限才能完全控制目标主机，这时候本地提权就起到作用了。在自适应安全横行安全圈的今天，本地提权也是攻击链检测锚点的重要组成部分。0x01、本地提权途径分析1、漏洞提权最主要的提权方式是本地linux漏洞导致的提权。2015年~2019年OSKTV本地提权的...

2019-11-08 14:44:55 1774 1

原创潜在攻击隐患：通过激光控制Alexa、Siri等智能语音助手

研究人员发现了一种破解Alexa、Siri等智能语音助手新方法，只需通过激光就能无声地向语音助手发送一些用户无法察觉的命令，而无需对设备进行物理访问或与用户交互。这类“光指令”利用了智能助手麦克风的设计。此类麦克风也被称为微机电系统（MEMS），通过将声音（语音命令）转换为电信号来工作，但除了声音之外，研究人员还发现MEMSktv麦克风还能对对准它们的光产生反应。研究人员表示，他们能够通过...

2019-11-08 14:38:25 319

原创网络攻击集中在3个TCP端口

中小型企业可以通过保护攻击者最常攻击的端口来保护企业免受部分网络攻击的威胁。在超过13000个网络攻击的目标中，有3个端口非常突出。情报和防护公司Alert Logic的报告中枚举了针对其客户端4000个网络攻击中的弱点。攻击最多的TCP端口该报告指出，最常被攻击的3个端口是22，80和443，对应着SSH（Secure Shell）、HTTP和HTTPS服务。Alert Lo...

2019-11-07 13:30:05 582

原创新型入侵技术：使用WMI编译的“.bmf”文件和CertUtil进行混淆执行

前言这篇文章主要讲述了一个有趣的入侵尝试，FireEye Managed Defense近期阻止了一项利用近期披露漏洞的快速武器化攻击，在该攻击中，攻击者创造性地使用了WMI编译的“.bmf”文件和CertUtil用于混淆执行。这一次对入侵活动的成功监测，为我们积累了许多安全方面的宝贵经验，主要包括：一些攻击者可以迅速响应，甚至比许多安全团队的响应速度还要快。在确保业务连续性的情况下，对复...

2019-11-07 13:27:15 585

原创对 libssh2 整数溢出漏洞 (CVE-2019-17498)的分析

0x01 漏洞挖掘在2019年3月18日，Canonical Ltd.的Chris Coulson披露了libssh2中的九个漏洞（CVE-2019-3855至CVE-2019-3863）。这些漏洞已在libssh2 v1.8.1中修复。当时，我的同事Pavel Avgustinov注意到，修复漏洞的报告在LGTM上引入了多个新告警。这些告警是由于像下面的代码：if((p_len=...

2019-11-07 13:22:39 880

原创一文读懂进程重镜像技术（附检测方案）

背景大约三个月前，一种新的攻击技术出现在安全社区，名为「进程重镜像」。这项技术是由McAfee安全团队在一篇标题为“进程重镜像和终端安全解决方案绕过”的博文中发布的，在这种攻击技术发布的几天后，我的一个同事也是朋友—— Dwight ——拿出了概念验证代码（PoC），演示了这种技术，可以在他的GitHub上找到。虽然这项技术还没有映射到MITRE ATT&CK中，但我相...

2019-11-07 13:17:18 494

原创 CVE-2019-13720：Chrome 0-day 漏洞利用

摘要Kaspersky研究人员近日发现一个Google Chrome浏览器的新的未知漏洞利用。经Google研究人员确认，是一个0 day漏洞，CVE编号为CVE-2019-13720。研究人员将相关攻击活动命名为Operation WizardOpium。目前还无法将该攻击活动与已知的攻击者联系在一起。但研究人员发现部分代码与Lazarus攻击中的代码很相似。从被攻击的站点来看，与早期D...

2019-11-07 13:02:59 1485

原创红队渗透测试技术：如何通过鱼叉式网络钓鱼获得攻击机会？

关于红队在渗透测试中使用的网络钓鱼攻击的文章很多，不过大多数的介绍都是不完整的。在本文中，我们将对这个话题进行一次完整的梳理，包括域创建，制作网络钓鱼内容，绕过垃圾邮件过滤器和电子邮件网关，生成不可检测的有效载荷以及绕过Windows保护（例如AMSI）的注意事项。另外，我们还在这篇文章的末尾整理了一份参考文献，如果你感兴趣可以参考。出于安全原因，渗透测试中的客户名称和相关信息已被匿名化。...

2019-11-07 13:01:12 1025

原创 ATMJaDi恶意软件分析

2019年春，研究人员发现了一个用Java语言编写的ATM恶意软件样本被上传到multiscanner服务。经过初步分析，研究人员发现该恶意软件（ATMJaDi）是一款可以使ATM吐钱。但它使用的并不是标准的XFS、JXFS或CSC库。而是受害者银行ATM软件的Java专用类，也就是说恶意软件攻击的目标只是一小撮ATM。Kaspersky检测到的恶意软件样本为Trojan.Java.Agent...

2019-11-06 10:51:42 202

原创使用Ghidra对WhatsApp VOIP Stack 溢出漏洞的补丁对比分析

0x01 样本对比·存在漏洞的WhatsApp应用程序·版本2.19.133·763ab8444e085bd26336408e72ca4de3a36034d53c3e033f8eb39d8d90997707·使用 9daaa009e08ac55168aeacdc34dd9c1d7a8f8a49048de949ddaf8a61997b324f libwhatsapp.so...

2019-11-06 10:49:50 548

空空如也

空空如也