NEWS.ALL
Ruizhao's News Reader

解密L0rdix RAT的C&C流量

解密L0rdix RAT的C&C流量

本文介绍了 L0rdix 的控制面板与构建组件,并发现了控制面板中硬编码的密钥 3sc3RLrpd17。根据该密钥计算的 SHA-256 值用于加密/解密 C&C 流量的 AES 密钥,样本构建时也可以指定该密钥。本文也详细介绍了 L0rdix 的 C&C 通信中使用的加密/解密函数的更多细节,还会讨论如何使用 Python 在 PCAP 文件中自动识别、解密、提取 L0rdix 的 C&C 流量。

L0rdix 是一

2020-05-22         FreeBuf

Ursnif针对意大利公司的新攻击

介绍

Ursnif 是十分活跃的威胁之一,通常针对意大利和欧洲多个行业发起垃圾邮件攻击。

最近,发现了一种针对意大利公司的新 Ursnif 变种。垃圾邮件使用 Avviso di Pagamento_xxxx_date 为标题的附件(xxxx 是数字,date 是 dd-mm-yyyy 格式的日期),比如 Avviso di Pagamento_14326_15_04_2020。我们

2020-05-15         FreeBuf

AgentTesla新变种窃取WiFi密码

AgentTesla 是一个基于 .NET 的信息窃密恶意软件,能够从失陷主机的不同应用程序(浏览器、FTP 客户端和下载工具等)中窃取数据。该恶意软件的维护者不断添加新的模块为 AgentTesla 升级维护,最新添加的模块是为了窃取 WiFi 配置文件。

2014 年 AgentTesla 首次出现后就别网络犯罪分子在各种恶意活动中广为使用。在 2020 年 3 月到 4 月期间,AgentTesla 通过多种格

2020-05-13         FreeBuf

Nexus Repository Manager 3几次表达式解析漏洞

Nexus Repository Manager 3最近曝出两个el表达式解析漏洞,编号为CVE-2020-10199,CVE-2020-10204,都是由Github Secutiry Lab团队的@pwntester发现。由于之前Nexus3的漏洞没有去跟踪,所以当时diff得很头疼,并且Nexus3 bug与安全修复都是混在一起,更不容易猜到哪个可能是漏洞位置了。后面与@r00t4dm师傅一起复现出了CVE-2020-10204,CVE-2020-10204是CVE-2018-16621的绕过,之后又有师傅弄出了CVE-2020-10199,这三个漏洞的根源是一样的,其实并不止这三处,官方可能已经修复了好几处

2020-05-11         FreeBuf

谁动了我的宽带?记一次HTTP劫持的发现过程

日常遇到的劫持一般为DNS劫持,可在路由器里强制指定公共DNS解决。本文记录了自己家用宽带HTTP劫持的发现过程。相比DNS劫持,HTTP劫持则更为流氓,解决起来也比较棘手。

近来在家上网时,iPhone Safari网页里经常弹出“在手机淘宝中打开连接吗?”的提示框,如下图:

作为一名iOS码农,很自然的知道这是网页在调用淘宝app的 URL Scheme tbopen:// ,这是干什么的呢?当然是淘宝客的推广链接,点了之后打开淘宝去领券,如果

2020-05-04         FreeBuf

Pekraut:近期新出现的RAT

最近新出现了一个功能丰富的 RAT 名为 Pekraut,经过分析后推测可能来源于德国。

在日常通过可疑路径检索新兴恶意软件时,一个在%APPDATA%/Microsoft中伪装 svchost.exe 的样本引起了我们的注意。该样本是ConfuserEx加壳的 .NET 程序。名为netRat.exe的该文件已上传到 VirusTotal。文件版本信息中的InternalName与Origin

2020-05-03         FreeBuf

使用FakeNet-NG改进动态恶意软件分析

实际上 FakeNet-NG 有许多有用的功能,但通常很多人都不知道。本文将会展示一些使用 FakeNet-NG 的案例,使得 FakeNet-NG 成为网络分析的好帮手。

自从 2016 年发布以来,FakeNet-NG 进行了数次改进,新增包括支持 Linux 平台与基于内容的协议检测等新功能。最近我们又更新了 FakeNet-NG,包括 HTTP 和二进制协议的自定义响应。

在开始之前提供关于配置 FakeNet-NG

2020-04-25         FreeBuf

一个例子引出的PLT与GOT姐妹花

最近刚刚接触到PLT与GOT,所以就想以此篇文章来巩固一下我对于这对姐妹花的理解啦!刚刚接触,理解不深,还请大佬轻喷!

环境:ubantu 16.04

一、程序运行过程

首先我们对于程序运行来有一个基本的概念,程序运行起来应经过四个步骤:预处理、编译、汇编和链接,过程如下。

汇编过程调用汇编器as来完成,是用于将汇编代码转

2020-04-22         FreeBuf

在Linux上狩猎Netwire RAT

如今攻击者可以选择多种 RAT,现在的这些 RAT 不仅针对 Windows 而是跨平台的(如 CrossRAT、Pupy 与 Netwire)。尽管此前有大量的研究针对 Windows 与 macOS 版本的 Netwire,但是 Linux 版本的 Netwire 却鲜为人知。

Netwire 简介

Netwire 是由 World Wired Labs 开发并销售的 RAT。它支持远程访问 Windows、macOS、L

2020-04-12         FreeBuf

缓冲区溢出之Strcpy和Memcpy

问题:定义三个函数fu’n1,fun2,fun3,不使用嵌入式汇编调用和函数调用,仅仅字符串的操作按顺序调用他们。

这个是今天老师抛出来的一个问题,似乎有着似曾相识的感觉。想到之前老师用strcpy()溢出实现过三个函数的调用,折回去看了一下之前的思路,然后按照题意进行分析。

方法一:strcpy()函数:易发生\x00截断

strcpy()的文章请查看:Strcpy()函数之缓冲区溢出

1、strcpy溢
2020-04-12         FreeBuf

对抗中的主动防御:攻防演练和小规模网络对抗的战术分析

一、序言

2016年4月,总书记在网络安全和信息化工作座谈会上发表重要讲话指出,“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量。”同年,《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。

自此实战化的“攻防演练行动”成为惯例。结合四年来攻防演练

2020-04-11         FreeBuf

暗网卖口罩,推特卖厕纸,疫情下的海外黑灰产

疫情期间,极验时刻关注黑产动向并发布《疫情下2020 线上流量迁移 与黑产攻击趋势报告》。如报告介绍,此次新冠疫情期间,黑产异常活跃。随着疫情逐渐蔓延,我们发现,境外黑产也开始忙碌起来……

暗网热词:「新冠病毒」

随着国内疫情逐渐控制,大家目光开始转向全球。据英国安全厂商Digital Shadows提供的监测数据,仅在过去的三个月,暗网与CO

2020-04-08         FreeBuf

玩转Vulnhub靶场 ——第一期-Me and My Girlfriend

前言

Vulnhub是一个提供各种漏洞环境的靶场,每个镜像会有破解的目标,挑战的目标是通过网络闯入系统获取root权限和查看flag。

说明

靶场下载链接:https://drive.google.com/file/d/15QiLTp5tsvwkjIMYjY4zJSyMVbulU8jc/view

个人建议在vmware运行靶场环境,再使用kali作为攻击主机,同时要注意在同一网卡下,否则是无法进行通信的。

2020-04-07         FreeBuf

文件解压引发的Getshell

声明

本文仅供学习和研究,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海青实验室及文章作者不承担任何责任。

安全狗海青实验室拥有此文章的修改和解释权,如欲转载或传播,必须保证此文的完整性,包括版权声明在内的全部内容,未经海青实验室同意,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

攻击者可以快速的从文件上传功能点获得一个网站服务器的权限,所以一直是红蓝对抗中的“兵家必争之地”。而

2020-04-06         FreeBuf

一例门罗币矿工Downloader的DGA解析

Bert Hubert 注意到了一个涉及 .tickets、.blackfriday、.feedback 等顶级域名的 DGA 域名,并将其发布到 Twitter:

1.jpg

Paul Melson 揭露了其中一个域名与某个门罗币矿工的关联:

2.jpg

产生该域名的样本相关信息如下所示:

属性 值 MD5 39c8620827ab6005e57e9e9f172d47ff SHA1 239a7a6ea5155b1863815f595841d00cb0feec46
2020-03-26         FreeBuf

跟踪sLoad十个月再回顾

介绍

sLoad(TH-163)是自从 2018 年第三季度开始针对意大利、英国和加拿大发起持续不断攻击的主角,Proofpoint的分析报告也揭露了这一行动。sLoad 以采用复杂的感染链传播其他恶意软件而闻名。十个月前,我们撰写了相关文章披露有关 sLoad 攻击行动的细节。今天,我们将会继续介绍其最新的样本来揭示该威胁的演变历程。

技术分析

根据 CERT-PA 的分析,该恶意软件最近使用合法的电子邮件进行投

2020-03-21         FreeBuf

从OilRig APT攻击分析恶意DNS流量阻断在企业安全建设中的必要性

Part 1:OilRig攻击的DNS隧道行为简介

OilRig也被称为APT34 (Crambus,“人面马”组织,Cobalt Gypsy),是一个来自于伊朗的APT组织,该组织从2014年开始活动,主要针对中东地区,攻击范围主要针对政府、金融

2020-03-13         FreeBuf

云原生之容器安全实践

笔者主要负责美团内部操作系统安全、云原生安全、重大高危漏洞应急响应。10+年安全行业经验,熟悉多个安全领域,涉及渗透测试、Web安全、二进制安全、Iot安全、Linux/Android内核安全等,6+年的时间到至今,长期专注于Linux内核安全及开源软件安全。21岁时受邀在第一届中国互联网安全领袖峰会(CSS)演讲,知名Linux/Android内核远程漏洞CVE-2017-8890发现者。

概述:
2020-03-04         FreeBuf

如何编写一个Android inline hook框架

Android Inline_Hook

https://github.com/GToad/Android_Inline_Hook_ARM64

有32和64的实现,但是是分离的,要用的话还要自己把两份代码合并在一起。

缺点:1、不支持函数替换(即hook后不执行原函数),现在只能修改参数寄存器,无法修改返回值。2

2020-02-23         FreeBuf

渗透痕迹分析随笔

网上,关于入侵痕迹分析的文章很多,在此将个人工作中常用的一些方法技巧(班门弄斧了),以及爬过的坑总结如下(当然,其中有些方法也是从各位前辈的经验中学习

2020-02-16         FreeBuf