ESET的研究人员正在积极地检测以嵌入式系统为攻击目标的木马，受影响的有路由器，网关和无线访问点。近期，我们已经发现了一个相关的bot，这个bot整合了Tsunami（也叫作Kaiten）和Gafgyt的功能，并相较于前者做出了一些改进，提供了新的功能。这个新威胁就是Linux/Remaiten。截至目前，我们已经发现了三个版本的Linux/Remaiten，版本号分别是2.0，2.1和2.2。根据其代码来看，木马作者称之为“KTN-Remastered”或“KTN-RM”。

玩CTF的赛棍都知道，PWN类型的漏洞题目一般会提供一个可执行程序，同时会提供程序运行动态链接的libc库。通过libc.so可以得到库函数的偏移地址，再结合泄露GOT表中libc函数的地址，计算出进程中实际函数的地址，以绕过ASLR。这种手法叫return-to-libc。本文将介绍一种不依赖libc的手法。

灵犀一指可攻可守，进攻时也是一指，是天下第一指法，与移花接玉这个天下第一掌法同样都是非兵刃的第一绝技

近些年因伪基站短信诈骗的崛起对用户造成了惨痛的经济损失，如今相关部门严打伪基站短信诈骗行业已取得初步成效，但仍有黑产团伙铤而走险继续作案，导致盗刷事件还是不断涌现。乌云君和行业都曾报道过一些伪基站诈骗手段与影响伪基站 + 钓鱼 = 完美黑产，但还是难以深入背后的产业运作。

有什么东西想拿却拿不出来？不妨开开脑洞。

众所周知，Web应用变得越来越流行，生活，办公，娱乐等等很多都是通过Web，而浏览器是我们访问Web最常使用的工具之一。随着Web功能的强大，浏览器的功能也变得越来越强大。而此文，就是介绍一种通过Chrome插件进行攻击的姿势跟手法。

内存的读、写、执行属性是系统安全最重要的机制之一。通常，如果要改写内存中的数据，必须先确保这块内存具有可写属性，如果要执行一块内存中的代码，必须先确保这块内存具有可执行属性，否则就会引发异常。然而，Windows系统的异常处理流程中存在一些小小的特例，借助这些特例，就可以知其不可写而写，知其不可执行而执行。

上篇文章金融反欺诈-交易基础介绍我们详细介绍了银行卡的相关内容，以及银行卡的可复制的风险。本篇文章主要介绍下海外信用卡欺诈的相关内容，并初步探讨下信用卡反欺诈的方式。

上个月底，德国老牌安全厂商歌德塔发布安全报告，报告中指出出现了一种名为Petya的新型敲诈木马。那么这个新型的敲诈木马到底是怎么回事呢？

Metasploit——渗透测试神器，相信大家应该都用过或听过，drops里也有很多白帽子写过相关的文章，介绍如何使用Metasploit。使用过Metasploit的同学应该知道，Metasploit Framework是高度模块化的，即框架是由多个module组成，我们除了可以使用已有的 module，还可以自行编写module来满足自己的需求，模块化使得框架具有很好的可扩展性，这也是为什么Metasploit Framework这么受欢迎的原因之一。

本文主要是从工业控制网络必备的组件 PLC （可编程控制器）出发，阐明了一种新型后门的实现。本文主要内容是来自 BLACK HAT 2015 上柏林自由大学 scadacs 团队发表的演讲，这是他们的paper原文Internet-facing PLCs - A New Back Orifice。我会滤掉他们论文凑字数的部分，并在他们给出的核心思路上增加一些实现方面的具体技巧和资料。

人在做，天在看。

360天眼实验室一直与各种木马远程做斗争，对手总是试图找到办法使自己处于安全监视者的雷达之外。近期我们看到了一些较新版本的大灰狼木马采用了一种新的上线方式，与利用QQ空间、微博、博客或者网盘等方式上线相似，其通过调用QQ一个获取用户昵称的接口来获取上线地址，又一种通过正常通信渠道进行非正常通信的企图。

在渗透测试的过程中，常常需要向目标主机上传文件，我在最近的学习测试过程中就碰到了这个问题，要求只能通过cmd shell向目标主机（Windows系统）上传文件，所以本文就对该技巧做一下总结。

最近不少网友反映电脑中了敲诈者病毒（又名“Locky勒索软件”），电脑中的文档，图片等重要资料被病毒加密。此类病毒载体为js脚本，由js脚本下载远程服务器的pe文件，并使此pe文件在本地运行，从而完成对受害电脑数据的加密。

本来是和上篇文章一起发的，后来出去，就搁置了。

比较高兴有人参与讨论和吐(B)槽(4)，其实本身也没啥高大上的技术，只是自己在对以前工具做review和重构的时候发现，这些东西很少人在讨论分享，所以也就放出来，算是抛砖引玉。