NEWS.ALL
Ruizhao's News Reader

东欧杀手:Gamaredon APT组织定向攻击乌克兰事件分析

东欧杀手:Gamaredon APT组织定向攻击乌克兰事件分析

概述

GamaredonAPT组织是疑似具有东欧背景的APT团伙,该组织攻击活动最早可追溯到2013年,其主要针对乌克兰政府机构官员,反对党成员和新闻工作者,以窃取情报为目的。

根据奇安信红雨滴团队观测从2019年末至今,Gamaredon组织保持高强度的活跃状态,且每

2020-05-30         FreeBuf

一份专供初学者食用的AES加密壳

前言

功能:一个源程序加壳与解壳的过程。

原理:

加壳过程,即在壳文件上加一个新节(加密后的源程序)。

解壳过程,即在加密壳的进程空间中,为解密后的源程序分配空间,再卸载壳程序将控制权交给源程序。

备注:

这里假设读者已经对PE文件的结构有所了解,所以对PE文件的操作不再赘述。

壳和源程序其实都是独立的程序,加载到内存执行都会有自己的4GB空间。

欢迎大佬指正,新人共勉!

符号说明:

src.exe 没有加壳的源程序

shell.exe

2020-05-26         FreeBuf

利用驱动人生升级通道传播的木马溯源

一 、背景介绍

2018年12月14日下午,监控到一批通过 “人生日历”升级程序下发的下载器木马,其具备远程执行代码功能,启动后会将用户计算机的详细信息发往木马服务器,并接收远程指令执行下一步操作。

同时该木马还携带有永恒之蓝漏洞攻击组件,可通过永恒之蓝漏洞攻击局域网与互联网中其它机器。

驱动人生木马在1月24日的基础上再次更新,将攻击组件安装为计划任务、服务并启动。

相关文章:https://www.freebuf.com/column/1

2020-05-26         FreeBuf

红队技巧:仿冒Windows登录

在本文中,我们将使用钓鱼技术来收集凭据。

Metasploit框架:phish_windows_credentials

Metasploit带有内置的后期漏洞利用功能,可帮助我们完成任务。由于它是后渗透的模块,因此只需要输入会话即可:

use post/windows/gather/phish_windows_credentials 

set session 1 

exploit

该模块等待用户开始新的过程。启动该过程

2020-05-25         FreeBuf

Linux流行病毒家族&清除方法集锦

自2020年开始,深信服安全团队监测到Linux恶意软件挖矿事件大量增多,且有持续上升的趋势。

与Windows下五花八门的勒索病毒家族不同,Linux下感染量较大的恶意软件就几个家族。但这几个家族占据了全球大部分的感染主机,几乎呈现出垄断的趋势。本文将介绍Linux环境下7个较常见的流行恶意软件家族,以及其对应的清除步骤。

七大恶意软件家族 BillGates

BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而

2020-05-25         FreeBuf

瞄准“两牙”:新型银行木马攻击葡萄牙和西班牙语用户

近期,研究人员分析了一种新的Android银行木马,该木马似乎针对说西班牙语或葡萄牙语的国家(即西班牙、葡萄牙、巴西和拉丁美洲等地区)。该木马程序基于现有简单程序SMSstealer.BR建立,但是添加了更复杂的功能。这类恶意软件其中部分被称为“Banker.BR”。

目前,恶意软件正通过短信传播,这些短信将用户引导到攻击者控制的

2020-05-21         FreeBuf

随笔之提取Shellcode简单利用本地缓冲区溢出

0×00 工具

基础汇编知识

Windows xp下的VC++6.0

注意力集中的你

勤劳的双手

0×01 前言

在经过一系列的汇编基础训练之后,决定将此次任务目标上升几个档次,(开始奔向pwn一系列的学习)所以这只是一个开端。

前景回忆与复习,本地缓冲区溢出关键在于我们调用函数后的返回地址可以被

2020-05-19         FreeBuf

实战中应急响应溯源思路

一、孽缘之我与病毒

至2017年5月12日起,“勒索病毒”一词以迅雷之势出现在大众眼前,很多管理者谈之色变,令人恐惧的不是病毒,而是加密。大部分计算机使用人员

2020-05-19         FreeBuf

手撕伪YARRAQ勒索病毒

2020 年的勒索病毒愈加猖狂,各种变种层出不穷,对一般企业的威胁非常之大,尤其是现在的定点投放勒索已经不再局限于之前的盲打,除了勒索还泄露资料外,功利性也愈加明显,企业在没有做好基础架构的基础上也是防不胜防。疫情期间为了业务运行也是被迫临时开了很多后门和小道,所以怪不得有文章说暴露在公网的 RDP 是迅猛剧增,给勒索病毒提供了更多的突破口。最近,一个勒索病毒的对抗个人觉得挺有意思,

2020-05-17         FreeBuf

挖矿病毒深度分析

起因

朋友公司遇到了一起挖矿病毒事件,找我帮忙看看。

入侵分析 基本信息检查

当我登录服务器做检测时,top回显并未发现异常进程:top.png但是在crontab中发现一条异常的定时任务:crontab.png通过访问定时任务中的url,发现是一个shell脚本(目前已被黑客删除):image

脚本分析

有了攻击脚本的话,我们就能更加快速的了解他的攻击方式了,所以让我们来分析下脚本到底干了些什么:

创建定时任务,不断检测,确保不被删除

echo "*/10 * 
2020-05-17         FreeBuf

Sodinokibi新变种呈现定制化,疑似团伙连续作案

近日,深信服安全团队连续收到不少用户中了勒索病毒的求助。经过分析排查发现,其中的勒索病毒文件相同,为Sodinokibi家族变种,且攻击痕迹也有相似之处,疑似同一伙黑客团体连续作案。

两次攻击的相似点

都创建了一个“intel”文件夹用于保存病毒文件及黑客工具:

都将病毒命名为“d.exe”并复制到启动目录:

病毒分析

动态获取程序运行所需API地址:

创建互斥量“Global\1DE3C565-E22C-8190-7A66-494816E6C

2020-05-16         FreeBuf

技术讨论 | Glibc中堆管理的变化

前言

在学pwn的道路上,我们大多从linux入手,从栈到堆,各种漏洞利用,都和Glibc或多或少打过交道。我的堆入门应该和很多人一样是从libc2.23开始的,之后又经历

2020-05-13         FreeBuf

Alphanumeric Shellcode:纯字符Shellcode生成指南

alphanumeric shellcode(纯字符shellcode)是比较实用的一项技术,因为有些时候程序会对用户输入的字符进行限制,比如只允许输入可见字符,这时就需要用到纯字符的shellcode了。

原理很简单,就是使用纯字符对应的汇编指令完成shellcode的编写,比如:

ASCII字符 Hex 汇编指令 P 0×50 push %rax Q 0×51 push %rcx R 0×52
2020-05-12         FreeBuf

与ret2shellcode的初相识

0×00 ret2shellcode简介

ret2shellcode,也就是return to shellcode,在执行完某个函数之后,跳到shellcode上,达到get shell的目的。

ret2shellcode关键在于我们找到一个可读可写可执行的缓冲区,接下来把我们的shellcode放到这个缓冲区,然后跳转到我们的shellcode处执行 。

0×01 示例一

先看一个存

2020-05-12         FreeBuf

技术讨论 | Ret2dl_resolve漏洞利用分析

前言

ret2dl_resolve是linux下一种利用linux系统延时绑定(Lazy Binding)机制的一种漏洞利用方法,其主要思想是利用_dl_runtime_resolve()函数写GOT表的操作,改写写入GOT的内容,使其成为getshell的函数值。

背景知识

在了解利用方法之前必须对延时绑定机制详细了解。其具体的方法可以参照《程序员的自我修养——链接、装载与库》一书7.4节。

为了实现少量时间换取大量空间以及方便

2020-05-10         FreeBuf

SystemedMiner再次更新,使用Socket5中转访问C&C

一、概述

最近,深信服安全团队捕获到SystemdMiner挖矿木马最新变种,该家族在2019年被首次发现,起初因其组件都以systemd-<XXX>命名而得名,但慢慢的,它们开始弃用systemd的命名形式,改为了随机名。

深信服安全团队通过C&C域名、脚本、定时任务等特征确认该病毒为SystemdMiner最新变种,本次变种的不同点

2020-05-09         FreeBuf

ret2libc过地址随机化

之前我们运用ret2blic技术时,编译编译一个c文件,开启了栈不可执行关闭地址随机化,那么利用这个溢出时只需找到溢出点的位置,然后将其替换成system等函数和参

2020-05-08         FreeBuf

黑吃黑?NEMTY勒索病毒RAAS服务私有化

勒索病毒已经被公认成为企业最大的安全威胁,通过近几个月时间的监控,2020年针对企业或个人的勒索病毒攻击已经变的越来越频繁,同时随着新冠疫情的影响,一些勒索病毒黑客组织甚至将目标锁定为一些医疗卫生机构,以谋取最大的利润,2020年勒索病毒黑客组织从未停止过运营,在不断更新自己的攻击手法、变种样本和运营模式,NEMTY勒索病毒最近宣布关闭公共RAAS服务平台操作,转变为勒索病毒服务私有化模式

NEMTY勒索病毒是一款新型的流行勒索病毒,首次发现于2019年8月21号,8月24号国外安全研究人员公布了些勒索病毒的相关信息,笔者在第一时间对此勒索病毒1.0版本病毒样本进行了详细分析,在随后几个月的发展过程中,此勒索病毒从最开始的1.0版本发展到了最新的3.1版本,期间经历了1.0,1.4,1.5,1.6,2.0,2.3,2.4,2.5等各种不同的变种版本,此前NEMTY勒索病毒一直在公共的RAAS平台进行分发,该平台由

2020-05-06         FreeBuf

配合格式化字符串漏洞绕过canary保护机制

0×01 起

(这只是一次小白的随笔记录,有些操作不太成熟,欢迎各位看官指出交流)

我们知道,缓冲区溢出漏洞利用的关键处就是溢出时,覆盖栈上保存的函数返回地址来达到攻击效果。于是就有人就设计出了很多保护机制:Canary、PIE、NX等。本文讨论的就是若程序只开启了canary保护机制,我们该怎么应对?该机制是在刚进入函数的时候,在栈底放一个标志位canary(又名金丝雀):

当缓冲区被溢

2020-05-05         FreeBuf

红队技巧:绕过Sysmon检测

一言不合就上GitHub地址

Sysmon和Windows事件日志都是防御者中极为强大的工具。它们非常灵活的配置使他们可以深入了解设备上的活动,从而使检测攻击者的过程变得更加容易。出于这个原因,我将带领您完成击败他们的旅程;)

xpn和matterpreter对此进行了一些出色的研究。他们的解决方案都不错,但是不能完全满足我

2020-05-04         FreeBuf