NEWS.ALL
Ruizhao's News Reader

Oski Stealer窃密木马,盗取美国地区用户的浏览器和加密钱包数据

Oski Stealer窃密木马,盗取美国地区用户的浏览器和加密钱包数据

最近国外安全研究人员发现一款新型的窃密木马Oski Stealer正在地下黑客论坛进行广告宣传,其中包含一些俄罗斯黑客论坛,该恶意软件旨在收集敏感信息,例如浏览器登录凭据、信用卡数据、钱包帐户数据等,并且已经窃取了50000多个密码,主要通过垃圾邮件网络钓鱼进行传播感染,针对Windows 7、8、8.1和10的x86和x64版本,并且可以在没有管理员权限的

2020-01-25         FreeBuf

BetterBackdoor:一个专为渗透测试人员设计的多功能后门程序

BetterBackdoor

BetterBackdoor是一款多功能的后门工具,广大安全研究人员可以利用BetterBackdoor来获取目标设备的远程访问权限。

一般来说,后门工具会利用类似NetCat这样的实用工具来实现两大主要功能:使用cmd或bash来实现控制命令的远程传

2020-01-24         FreeBuf

全勤矿工systemdMiner最新变种利用暗网代理下载恶意模块

近日,深信服安全团队捕获到一款新型的Linux挖矿木马,该木马通过bash命令下载执行多个功能模块,通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散,且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。

感染现象

被感染的Linux服务器上,可以明显看到一个CPU占用率很高的进程,名字为随机字符:

查看进程对应的可执行文件,是以

2020-01-24         FreeBuf

技术研究 | 如何绕过杀毒软件自我保护

0×0 -自我保护原理

在WIN7 X64位系统后杀毒软件的自我保护一般都是通过OBOperationRegistration实现:

VOID InstallCallBacks() { NTSTATUS NtHandleCallback = STATUS_UNSUCCESSFUL; NTSTATUS NtThreadCallback = STATUS_UNSUCCESSFUL; OB_OPERATION_REGISTRATION
2020-01-23         FreeBuf

等保测评2.0:Windows身份鉴别

一、说明

本篇文章主要说一说windows系统中身份鉴别控制点中相关测评项的相关内容和理解,a、b测评项都比较基础和简单(但很繁琐),而c、d测评项则涉及到一点点密码方面的知识。

二、测评项

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; 

c)当进行远程管理时,应采取必

2020-01-23         FreeBuf

Windows身份认证及利用思路

一、Windows身份认证基础 1、认证过程

a、本地用户认证

在进行本地登录认证时操作系统会使用用户输入的密码作为凭证去与系统中的密码进行对比验证。

在系统内部运行流程如下

winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证)

首先用户注销、重启、锁屏后操作系统会让winlogon显示

2020-01-22         FreeBuf

论单位或个人应急演练的重要性

一、应急演练和攻防演练的区别是什么

把应用系统安全作为比较对象,分析应急演练和攻防演练的区别。

应急演练和攻防演练是为两种不同类型的演练类型,应急演练偏向通过模拟异常情况以发现不足之处;

而攻防演练则偏向于攻击和防守方之间的技能竞技,攻方最终单维度拿下目标、守方尽可能发现/抵御攻击。

以下内容仅针对一个演练对象中的两个应急演练模块进行说明,从而做到以点概面的体现。

二、那么单位为什么要进行应急演练?

网络安全法对应急预案、

2020-01-21         FreeBuf

血债黑站偿?美国斩首行动后伊朗民间报复性黑客活动的技术分析

伊拉克时间1月3日凌晨,其首都巴格达国际机场附近遭到三枚导弹袭击,两部车辆被烧毁,造成至少7人死亡。在袭击中,伊拉克人民动员组织领导人阿布·迈赫迪·穆罕迪斯与伊朗***革命卫队领导人卡西姆·苏莱马尼身亡。这场“暗杀”行动,就此引爆中东地区局势。

苏莱曼尼,伊朗革命卫队下属王牌部队圣城旅的最高指挥官,直接向伊朗最高领袖哈梅内伊负责,被称为中东谍王,多次在叙利亚、伊拉克等国境内策划针对美国的行动。

而伊朗方面近日也做出快速应对措施,宣布进入中止履行伊核协议的第

2020-01-19         FreeBuf

“软件供应链污染”新案例:FlashFXP破解版遭投毒攻击

一、概述

近期毒霸安全团队通过“捕风”威胁感知系统监控到一起特殊的窃密后门攻击事件, 网络中广泛流传的“FlashFXP”破解版被黑客恶意篡改植入盗号后门,目前正在通过百度SEM诱导安装和定向钓鱼等方式广泛传播。从整个攻击流程来看,属于针对分发渠道进行劫持攻击的“软件供应链污染”典型案例。作为知名的 FTP远程管理工具,“FlashFXP”&nb

2020-01-18         FreeBuf

千万不要打开XML!利用vscode构造RCE利用链分析

LSP4XML是一个XML文件解析库,被VSCode/Eclipse/Theia等知名编辑器中使用,如vscode的VSCode-XML扩展、Eclipse的 wildwebdeveloper扩展,Theia的theia-xml扩展等等, 可以实现XXE攻击 (CVE-2019-18213) 导致RCE攻击 (CVE-2019-18212) ,这仅仅只需要打开一个XML文件。

起源

2019年似乎是XXE的一年:在最

2020-01-18         FreeBuf

“正版”监控软件被黑产利用,输出把关不严或成另一个TeamViewer?

概述

近日,奇安信病毒响应中心在日常跟踪黑产团伙过程中,发现了一个利用正规监控软件窃取用户信息,甚至监控聊天记录的黑客团伙,由于正规监控软件带有数字签名,杀软一般不会对其进行查杀,从而达到免杀的效果。

样本在执行过程中会在从远程服务器下载远控客户端安装程序,通过消息操作实现客户端自动化安装,安

2020-01-16         FreeBuf

Kali Linux认证专家考前培训指南

前言

本文是结合笔者多年网络安全工作经验,并参照这本Kali Linux官方教程《Kali Linux Revealed》,献给信息安全爱好者及想参加Kali Linux Certified Professional (KLCP) Kali Linux认证专家考试的同学。

一、什么是Kali Linux认证专家(KLCP) 1.1认证概述

Kali-Linux认证专家(KLCP)是一个信息安全专业认证。KLCP证书的持有者可以证明其对Kali-Linux渗透测试平台的透彻理解。持有此证书的个人已

2020-01-16         FreeBuf

MultiScanner:一款功能强大的模块化文件扫描与分析框架

MultiScanner介绍

MultiScanner是一款功能强大的文件分析框架,可帮助用户自动化对大量文件集进行分析,并聚合输出分析结果。MultiScanner**了自定义构建的Python脚本、Web API以及多个软件工具,而这些工具组件可以在MultiScanner中以模块的形式进行功能和并。

这些模块可以允许开发人员快速完成自定义配置,并且可以轻松集成到框架之中。当前该项目

2020-01-13         FreeBuf

智能门铃背后的安全风险

虽然“黑色星期五”和“网络星期一”已经结束,但更大的购物浪潮还在后面——圣诞节,一年中可以让快递包裹在门口和走廊堆积如山的时候。

有些公司认为,保护这些包裹免遭盗窃是很正常的,而恰巧的是,他们有防护装备——智能门铃。智能门铃配备了摄像头并时时连网,即使用户外出或者在床上睡觉,也可以看到门口24小时的监控情况。

据称,某些门铃可以区分门口是快递员还是一只山羊(确实

2020-01-12         FreeBuf

不给钱就撕票!论现代勒索软件的野蛮进化史

概述

年末已至,奇安信病毒响应中心在对本年度勒索软件相关线索、情报和新闻整理和研判的过程中,发现了勒索软件在未来两个值得关注的趋势。第一是勒索软件攻击的定向化、攻击手法朝着APT攻击转变。第二勒索软件在攻击过程中开始窃取文件数据,并以此来要挟相关企业支付赎金,否则将会公开窃取的文件数据。本文将结合相关案例从多个角度来进行阐述。

攻击定向化

在之前发表的文章《披露:导致一个自动化设备生产商全球的系统宕机一周的罪魁祸首》中,我们提

2020-01-08         FreeBuf

应急响应系列之Linux库文件劫持技术分析

一、我与库文件劫持的前世今生 0×01 菜逼阶段

Linux库文件劫持这种案例在今年的9月份遇到过相应的案例,当时的情况是有台服务器不断向个可疑IP发包,尝试建立连接,后续使用杀软杀出木马,重启后该服

2020-01-06         FreeBuf

行走的漏洞利用机器人:僵尸网络病毒携71个EXP占领高地

前言

僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击

2019-12-30         FreeBuf

404 Keylogger最新木马,盗取受害者浏览器网站帐号和密码

近日深信服安全团队捕获到一个最新的404 Keylogger木马变种,通过OFFICE文档嵌入恶意宏代码进行传播,盗取受害者浏览器的网站帐号和密码,深信服安全团队对此样本进行了详细分析,并获取到了黑客FTP服务器的帐号和密码,请大家提高安全意识,不要轻易打开未知的邮件附件及文档等。

样本是一个RTF文档,里面嵌套了OLE对象,包含恶意宏代码,如下所示:

恶意宏代码,会启动PowerShell进程,从

2019-12-29         FreeBuf

挖洞经验 | AirDoS攻击能远程让附近的iPhone或iPad设备无法使用

如果你一走进某个房间就能让里面的所有iPhone或iPad设备无法使用,会怎么样?是不是听起来非常邪恶?有什么好的方法让那些老是低头刷苹果手机的人停下来?

最近作者发现了一个存在于iOS系统中的DoS问题,暂且把它命名为AirDoS(隔空DoS),该bug能让攻击者一直用AirDrop共享弹出窗口向附近

2019-12-28         FreeBuf

一款“僵尸网络挖矿” 攻击分析

一、背景

随着虚拟货币市场的疯狂炒作,挖矿已经成为一种额外的经济来源,越来越多的人参与其中。从2019年安全态势来看,攻击者将企业、政府和教育行业作为挖矿的主要目标,通过弱口令爆破、社会工程和钓鱼等方式对计算机进行攻击,利用他人计算机CPU和GPU的计算能力挖取虚拟货币获利,导致计算资源被耗尽严重影响本地服务正常使用。

二、事件概述

今日,在单位测试环境中发现一个挖矿木马样本。经溯源分析,该挖矿病毒具有蠕虫属性,攻击者

2019-12-28         FreeBuf