一款结合破壳(Shellshock)漏洞利用的Linux远程控制恶意软件Linux-XOR.DDoS 深入解析

路人甲 / 2014-04-04

昨天又是忙碌的一天,因为我获知近期有破壳漏洞利用攻击,所以我们团队集合起来对所有近期的捕获到的互联网交叉流量中的ELF文件威胁 (ELF threats)进行检测。我查看了一套shell脚本的命令部分,立刻就知道它基本上就是Linux/XOR.DDoS木马。我又检查了payload,并且深入查看了细节。最终确定这就是Linux/XOR.DDoS

Powershell tricks--Code Execution & Process Injection

路人甲 / 2014-04-04

写这篇文章有两个原因,一是想介绍一下powershell的高级使用技巧,二是我在测试一些powershell脚本时发现了很多bug,提交给作者后更新的也不及时,于是就有了自己维护代码的想法. 接下来我会陆续把在drops上发的代码上传到github,大家共同学习,共同进步。 地址如下:https://github.com/3gstudent

Zabbix SQL Injection-RCE – CVE-2013-5743

路人甲 / 2014-04-04

该漏洞于2013年9月11号提交,9月23号得到确认,10月2号发布补丁。
新出的0day,可以通过sql注入直接进入后台,并执行系统命令。
该漏洞已有metasploit利用模块,请使用Zabbix的公司注意及时打补丁。

Bashlite恶意软件阴魂未散-智能设备面临新考验

路人甲 / 2014-04-04

早在2014年,Shell Shock(CVE-2014-6721)便作为一个高达10级的漏洞受到极大的关注,而利用Shell Shock疯狂作案的Bashlite恶意软件在当时已对不少设备造成了威胁,这其中包括了路由器、手机、可穿戴设备等。近日,360 QVM团队又捕获了该恶意程序的最新变种,并追踪到了相关多个平台的恶意程序,相比老版的bashlite,新版支持的平台更多,且成功率更高,多种智能设备将受到Bashlite恶意软件影响。

靜態分析詐欺術- Windows x86下IDA Pro混淆技巧

路人甲 / 2014-04-04

此文為我在台灣駭客年會2015社群場中以TDOHacker社群名義發表的「欺騙IDA Pro Hex Rays插件!讓逆向分析者看見完全不同的結果 」(http://hitcon.org/2015/CMT/agenda)這邊把我在HITCON上發表的一些觀念、技巧整理成簡單入門的文章方便以後的人想學比較好入門,拓展了些有趣的觀念。

Json hijacking-Json劫持漏洞

路人甲 / 2014-04-04

JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成。它基于JavaScript Programming Language, Standard ECMA-262 3rd Edition - December 1999的一个子集。 JSON采用完全独立于语言的文本格式,但是也使用了类似于C语言家族的习惯(包括C, C++, C#, Java, JavaScript, Perl, Python等)。这些特性使JSON成为理想的数据交换语言。

无处不在的监控- Hacking Team-WP8 监控代码分析

路人甲 / 2014-04-04

最近Hacking Team被黑客入侵,近400GB的资料泄漏,在安全界炒的沸沸扬扬.其中泄漏的资料包括:源代码,0day,资料入侵项目相关信息,相关的账户密码,数据及音像资料,办公文档,邮件及图片。

Hacking Team在意大利米兰注册了一家软件公司,主要销售入侵及监视功能的软件。其远程控制系统可以监测互联网用户的通讯,解密用户的加密,文件及电子邮件,记录各种通信信息,也可以远程激活用户的麦克风及摄像头。其产品在几十个国家使用

恶意软件Linux-Mumblehard分析

路人甲 / 2014-04-04

我们发现Linux/ Mumblehard的原因来自于某天某网管联系我们,他的服务器因为不断发送垃圾邮件被列入了黑名单。我们dump了服务器上其中一个奇怪进程的内存,这玩意连接到了一个不同的SMTP服务器,并发送垃圾邮件。dump下来的内存显示这玩意是一个,唔,perl解释器,随之我们在/tmp目录发现了一个相关的可执行文件,并且立即开始着手分析,为了方便我们给这玩意起名Mumblehard

SSL-TLS协议安全系列:SSL-TLS概述

路人甲 / 2014-04-04

SSL/TLS协议是网络安全通信的重要基石,本系列将简单介绍SSL/TLS协议,主要关注SSL/TLS协议的安全性,特别是SSL规范的正确实现。 本系列的文章大体分为3个部分:

逆向基础 Finding important-interesting stuff in the code (二)

路人甲 / 2014-04-04

调用assert

有时,assert()宏的出现也是有用的:通常这个宏会泄漏源文件名,行号和条件。

Hacking Team攻击代码分析Part 3 - Adobe Font Driver内核驱动权限提升漏洞

路人甲 / 2014-04-04

今天上午@360Vulcan 共享了我们针对Hacking Team泄露的 Flash 0day漏洞的技术分析(http://blogs.360.cn/blog/hacking-team-part2/和http://blogs.360.cn/blog/hacking-team-flash-0day/),为了在IE和Chrome上绕过其沙盒机制完全控制用户系统,Hacking Team还利用了一个Windows中的内核驱动: Adobe Font Driver(atmfd.dll)中存在的一处字体0day漏洞,实现权限提升并绕过沙盒机制。

Fishing for Hackers- Analysis of a Linux Server Attack

路人甲 / 2014-04-04

几天前我偶然看到一篇经典的博文,文章介绍了加强一个全新Linux服务安全性的常规做法,其中包括安装fail2ban,禁用SSH密码认证,随机化SSH端口,配置iptables等内容。这让我联想到,假如我与其背道而驰会发生什么?当然,最常见的结果就是使其沦陷成为一个僵尸网络的受害者,僵尸网络就是在不停地扫描大范围的公网IP地址,以期望通过暴力破解(SSH或Wordpress等)的方式找到一些配置不当的服务。但是当你成为这些简单攻击的受害者时,实际上发生了什么?攻击者又做了些什么?本篇文章就使用sysdig捕获分析我们服务器上实际攻击的例子,进而解答以上提出的问题。所以让我们钓起鱼儿来!

Exploiting CVE-2015-0311, Part II- Bypassing Control Flow Guard on Windows 8.1

路人甲 / 2014-04-04

作者:Francisco Falcón

地址:https://blog.coresecurity.com/2015/03/25/exploiting-cve-2015-0311-part-ii-bypassing-control-flow-guard-on-windows-8-1-update-3/

三月初我们发布了一篇分析CVE-2015-0311(Flash Player的UAF)的博文,我们概述了如何在Windows 7 SP1上进行利用。我们在博文的末尾提到,该博文叙述的利用过程并不适用于较新版本的Windows,如Windows 8.1 Update 3,原因是新操作系统平台所采用的的漏洞利用缓解技术---|控制流防护(CFG)

SSL-TLS协议安全系列:CBC 模式的弱安全性介绍(一)

路人甲 / 2014-04-04

在SSL的一些版本中,使用CBC分组模式对数据进行加密,而CBC分组模式在使用中常会出现一些问题。本文对CBC分组模式中Padding Oracle Attack做基本介绍,主要包括Padding Oracle Attack的背景知识、在多种填充模式下的攻击原理以及现实场景应用。

GSM HACK的另一种方法-RTL-SDR

路人甲 / 2014-04-04

Sdr:软件定义的无线电(Software Defined Radio,SDR) 是一种无线电广播通信技术,它基于软件定义的无线通信协议而非通过硬连线实现。

Rtl-sdr:原身就是Realtek RTL2832U(瑞昱的一款电视棒)。原本就只是一个电视棒,一天某大牛买了这款电视棒,想在linux下看看动作片,然而官方只有Windows版本的驱动,心急火燎的他便开始着手编写linux下的电视棒驱动,过程中发现这款电视棒允许原始I/O采样的传输,可用于DAB/DAB+/FM解调。于是他拉起裤子,开始了进一步的研究...

投稿

随机分类

其他 文章:95 篇
Python安全 文章:13 篇
MongoDB安全 文章:3 篇
网络协议 文章:18 篇
数据分析与机器学习 文章:12 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

godown

NB

Article_kelp

抱歉有一段时间没有关注过tttang了所以没有看到评论,这里做出下回答(有疑问可

1

123456lala

师傅,你好,<模块名>.__spec__.__init__.__globals_

D

DRKING

牛!感谢

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

RSS订阅