NEWS.ALL
Ruizhao's News Reader

初窥卡巴斯基ARK读取MBR

初窥卡巴斯基ARK读取MBR

*本文原创作者:wrmsr,本文属FreeBuf原创奖励计划,未经许可禁止转载

背景

LONG LONG LONG AGO就发现通过Hook磁盘端口驱动程序中的IRP_MJ_SCSI派遣函数方式过不了KB了,最近又遇到这个问题就想借此机会分析一下,看看万能的KB是如何绕过Hook读取MBR的。

作为一款商用软件的KB,出于兼容性、稳定性等原因应该不会使用太特

2018-07-06         FreeBuf

利用通配符进行Linux本地提权

本文我将为大家介绍一种非常有趣而又古老的UNIX黑客技术“通配符注入”。虽说这已不是什么新技术了,但在后渗透利用中仍可能成为你手中的一把制胜利器。相信阅读本文后,你将会对通配符有更加全面及深入的认识。好了,话不多说让我们开始吧!

通配符

通配符是一种特殊语句,主要有型号(*)和问号(?),用来对字符串进行模糊匹配(

2018-07-05         FreeBuf

新手科普 | CTF PWN堆溢出总结

学习汇总 序言

自从加入RTIS交流群, 在7o8v师傅,gd大佬的帮助下,PWN学习之路进入加速度。下面是八周学习的总结,基本上是按照how2heap路线走的。由于八周内容全写,篇幅太长,这里只讲述每道PWN题所用到的一个知识点。

第一节(fastbin_dup_into_stack)

知识点

利用fastbin之间,单链表的连接的特性, 溢出修改下一个free chunk的地址, 造成任意地址写.

例子: 0CTF

2018-07-05         FreeBuf

藏匿在邮件里的“坏小子”

*本文原创作者:JustPlay,本文属FreeBuf原创奖励计划,未经许可禁止转载

不知从什么时候开始,我的垃圾邮件开始暴增,而且主题千奇百怪,有“再也不用去澳门赌博”、“免保人、免抵押”…等推广主题;有“南北方压岁钱差距有多大?”、“爱过才知道什么是痛”…的段子主题;也有“+我微信 dw178gg”、“加扣扣 2848116852”…的交友主题。

这些大部分都能从标题就能判断出来是垃圾邮件,像

2018-07-05         FreeBuf

PowerShell恶意利用攻击频繁,企业须做好安全防范

近期,腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统受信任程序的特点,达到系统应用白进程执行恶意代码,从而使受害者难以发现。

另外PowerShell结合 .NET 实施的“无文件”攻击,也让此类威胁活动混合在正常的网络流量,系统工作内,致使威

2018-07-04         FreeBuf

闲聊Windows系统日志

* 本文作者:TomKing,本文属FreeBuf原创奖励计划,未经许可禁止转载

前言

最近遇到不少应急都提出一个需求,能不能溯源啊?这个事还真不好干,你把证据,犯案时间都确定的时候,要求翻看监控(日志)对应犯罪嫌疑

2018-07-03         FreeBuf

新病毒威胁单位局域网用户,伪装正常软件很难清除

一、概述

近日,火绒安全团队截获新蠕虫病毒”SyncMiner” ,该病毒在政府、企业、学校、医院等单位的局域网中具有很强的传播能力。该病毒通过网络驱动器和共享资源目录(共享文件夹)迅速传播,入侵电脑后,会利用被感染电脑挖取”门罗币”,造成CPU占用率高达100%,并且该病毒还会通过远程服务器下载其他病毒模块,不排除盗号木马、勒索病毒等。

根据火绒安全团队分析发现,蠕虫病毒”SyncMiner”会将自己复制到网络驱动器和共享资源目录,并伪装成视频文件夹,诱使用户点击病毒

2018-07-02         FreeBuf

抽丝剥茧:Agent Telsa最新变种脱壳分析

* 本文作者:Voraka,本文属FreeBuf原创奖励计划,转载请注明来自FreeBuf.COM

近日,我们检测到大量经过相同加壳混淆过的.NET 恶意木马文件,经过进一步深入分析发现,该木马是带隐私窃取功能的后门木马 Agent Tesla。从2014年起至今,Agent Tesla已经由一个键盘记录器变身成为一款专业的商业间谍软件。本文主要介绍如何将Agent Tesla 间谍软件抽丝剥茧出来。

样本分析 0×1
2018-07-02         FreeBuf

基于Tor网络的钓鱼邮件分析

一、背景

五月十一日,我们的蜜罐系统捕获到来自xxxxxxxxx@uscourtsgov.com邮箱的钓鱼邮件。其中uscourtsgov就已经是一个很唬人的服务器名称了。邮件伪装美国法院的传票,并会要求受害者打开邮件的附件(一个加密的word文档)了解详细的信息。

image.png

这个钓鱼邮件很有意思,作者对文档进行加密,可以有效的防止各个

2018-07-01         FreeBuf

通过可写文件获取Root权限的多种方式

1.png

写在前面的话

在Linux系统中,任何东西都是以文件形式存在的,包括目录和设备在内,它们都拥有读取、写入和执行权限(需配置)。当管理员在设置文件权限时,必须根据Linux用户的具体情况来进行设置。

在这篇文章中,我们将跟大家讨论如何通过可写文件/脚本来实现Linux下的提权。接下来,我们直奔主题。

打开你的电脑,然后入侵目标系统,我们直接进入到提权环节。假

2018-06-30         FreeBuf

敛财百万的挖矿蠕虫HSMiner活动分析

背景

永恒之蓝漏洞自从2017年4月NSA黑客工具公布之后,越来越多被用于非法网络活动。从勒索病毒WannaCry、NotPetya,到挖矿病毒Powershell Miner、NrsMiner无不利用这一工具大肆活动。

而在近日,360企业安全天擎团队监测到一种新的利用NSA黑客工具进行传播的挖矿病毒(挖取XMR/门罗币),该病毒家族在最近两

2018-06-29         FreeBuf

技术分享 | 如何使用Cron Jobs实现Linux提权

1.png

写在前面的话

今天给各位渗透测试同行们提供一种Linux提权方法,在这篇文章中,我们将介绍如何使用Cron Jobs来实现Linux下的权限提升,并获取远程主机的root访问权。

Cron Jobs能做什么?

Cron Jobs可以在服务器端完成一系列计划任务(设定时间自动执行命令等等),一般

2018-06-28         FreeBuf

天台人满为患,不如来看下这个Ramnit蠕虫分析

*本文原创作者:gechengyu,本文属FreeBuf原创奖励计划,未经许可禁止转载

今年的世界杯越来越看不懂,想去天台吹吹风都不一定有位置,心凉了,事儿还得做,先从网上抓个可疑样本压压惊!上手分析才发现并没有我想得那么简单……

一、基本信息 MD5 ff5e1f27193ce51eec318714ef038bef  文件大小  55 KB  运行环境  Windows 
2018-06-28         FreeBuf

一起利用“永恒之蓝”系列漏洞传播的黑产木马事件揭秘

一、背景

近期监测到一起利用“永恒之蓝”系列漏洞传播恶意软件的事件,通过对事件与样本的分析,该事件可以定性为一起攻击者通过购买恶意软件(主要包括远控、组建僵尸网络、用于DDoS的恶意软件以及挖矿木马等)来搞事情牟利的威胁事件。近期这一类攻击较多,本文将从分析与溯源的两个过程对本次威胁事件进行分析,供同行参考。

二、样本分析

在该事件中一共涉及5个样本,样本1作为一个“抓鸡”工具利用永恒之蓝漏洞对指定IP段进行扫描(利用样本2),对于存在漏洞的445端口便植入一个downloader(样本3),

2018-06-26         FreeBuf

技术讨论 | 一次详细的Kerberoast攻击演示

简单直白的说Kerberoast攻击,就是攻击者为了获取目标服务的访问权限,而设法破解Kerberos服务票据并重写它们的过程。这是红队当中非常常见的一种攻击手法,因为它不

2018-06-26         FreeBuf

刷量神器藏漏洞攻击陷阱,数十万自媒体电脑沦为肉鸡

一、背景

近日腾讯御见威胁情报中心监控发现,一款名为“流量宝流量版”的软件,在运行时会自动请求带有CVE-2018-8174漏洞(浏览器高危漏洞)的URL,URL在软件的内置IE浏览器中触发CVE-2018-8174漏洞并执行shellcode,然后下载天罚DDoS木马、远程控制木马,控制电脑成为肉鸡。该漏洞攻击URL日累计访问次数最高达30多万次。

据了解,流量宝软件为网站流量刷量(作弊)工具,多用于自媒体文章阅读量及网店流量

2018-06-26         FreeBuf

安全研究 | Linux 遭入侵,挖矿进程被隐藏案例分析

一、背景

云鼎实验室曾分析不少入侵挖矿案例,研究发现入侵挖矿行为都比较粗暴简单,通过 top 等命令可以直接看到恶意进程,挖矿程序与进程不会被刻意隐藏;而现在,我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿程序而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。

二、入侵分析

本次捕获案例的入侵流程与以往相比,没有特

2018-06-26         FreeBuf

双枪3暴力来袭,360率先查杀

近日,360安全中心接到用户反馈,在安装某装机盘系统后,主页被恶意篡改,无法设置用户需要的主页。我们在远程用户提取相关文件后发现恶意锁定用户主页为“双枪”木马的一个最新变种。

去年7月,360安全中心发现了连环感染MBR和VBR的新型木马——“双枪”木马,今年4月,“双枪”

2018-06-25         FreeBuf

任意代码保护与内核代码注入的那些事儿

严正声明:本文仅限于技术探讨,严禁用于其他用途。

1.png任意代码保护与内核代码注入的那些事儿

写在前面的话

类似 WannaCry 和 Slingshot 这样的恶意软件最常用的一种攻击技术就是内核代码注入,在近期刚刚发布的 Windows 10 Creators 更新中,微软引入了一种针对远程代码执行的新型缓解技术-任意代码守护卫士(ArbitraryCode Guard)。在这篇文章中,我们将详细介绍Arbitrary Code Guard的工作机制,并利用内

2018-06-24         FreeBuf

追踪Satan勒索病毒家族

一、家族简介

撒旦(Satan)病毒是一款恶意勒索程序,首次出现2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种,并且提供CHM和带宏脚本Word文档的下载器生成脚本进行传播。

Satan勒索病毒主要用于针对服务器的数据库文件进行加密,非常具有针对性,当文件的后缀名为:

mdf、ldf、myd、myi、frm、dbf、bak、sql、rar、zip、dmp

时,则加密相应

2018-06-23         FreeBuf