3

敲竹杠家族又出新玩法 - 随机化密码、邮件取信

360安全卫士 / 2015-10-23

近期360QVM团队截获到了一批伪装成游戏外挂、QQ刷钻、游戏刷装备等类型的敲诈软件。一旦用户点击运行,用户计算机的管理员账号将被添加或更改密码,造成用户计算机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费,从而达到勒索用户资金的目的。

Linux系统下的HDD Rootkit分析

路人甲 / 2015-10-22

前段时间,卡巴斯基捕获到Winnti网络犯罪组织在Windows下进行APT攻击的通用工具——HDD Rootkit。近期,腾讯反病毒实验室在Linux系统下也捕获到同类工具。Winnti组织利用HDD Rootkit在Windows和Linux系统下进行持续而隐蔽的APT攻击。经分析发现,HDD Rootkit先是篡改系统的引导区,然后在进入Linux系统前利用自带的Ext文件系统解析模块,将隐藏在硬盘深处的后门文件解密出来后加入到开机启动脚本或系统服务里。目前受攻击的系统有Centos和Ubuntu。

3

另类远控:木马借道商业级远控软件的隐藏运行实现

360安全卫士 / 2015-10-20

病毒作者事先在一台电脑上用商业远控配置好受控端,使用批处理来添加同等配置信息;再借助一款窗口隐藏工具,隐藏商业远控端开启时的提示。这样,受害者在不知不觉间,就遭到了攻击者的毒手;而攻击者也无需编写恶意程序,通过合法商业远控的隐藏实现就控制了受害者的电脑。 在此我们提醒广大网友:木马并不只是exe等可执行程序,类似.bat这样的脚本文件同样很危险。如果遇到不熟悉的文件格式或是陌生人发来的可疑文件,切莫轻易点击运行。

WMI Backdoor

三好学生 / 2015-09-01

上篇介绍了如何通过powershell来实现WMI attacks,这次接着介绍一些进阶WMI技巧---WMI Backdoor

N

恶意软件隐身术:把可执行文件隐藏在注册表里

netwind / 2015-08-28

本文主要描述了一个并不多见的恶意软件编写技术:把可执行代码隐藏在windows注册表里。这个技术需要我们把可执行文件的一部分或者入口写进注册表里,然后加载并执行它。这种技术意在隐藏二进制文件潜在的恶意功能,取而代之的是分散在windows注册表里的键值,最终使得恶意二进制文件难以被检测。实际上,键值里的可执行代码被加载的时候,会进行随机次数的编码(重编码),使得特征码扫描更加困难。好的检测策略是监控进程加载数据过程,而不是扫描注册表。

创造tips的秘籍——PHP回调后门

phith0n / 2015-07-20

最近很多人分享一些过狗过盾的一句话,但无非是用各种方法去构造一些动态函数,比如$_GET['func']($_REQUEST['pass'])之类的方法。万变不离其宗,但这种方法,虽然狗盾可能看不出来,但人肉眼其实很容易发现这类后门的。

那么,我就分享一下,一些不需要动态函数、不用eval、不含敏感函数、免杀免拦截的一句话。

太极越狱重大安全后门

路人甲 / 2015-07-01

太极越狱iOS8.1.3-8.4含有重大安全后门,越狱后导致任意APP可以提权到Root,从而影响用户数据的安全。举例来说获取Root权限后可以完全控制系统文件,甚至进一步安装木马等严重威胁用户安全的恶意软件。

聊一聊chkrookit的误信和误用

路人甲 / 2015-06-19

很久不写文章了。BSRC在约稿以及个人最近吐槽模式的开启,索性就借着劲头写点东西缓解缓解。
chkrookit以及rkhunter基本上已经成为类unix系统的应急响应中的标配了。大多数处理安全事件基本上上机器的第一步都是来个两连发。但很多是以失望结束,或者出了结论又不知道如何是好。这篇文章或许能够解决你们的部分困惑。这篇文章主要是讲chkrootkit,rkhunter回头有空再吐槽。

Apple OS X系统中存在可以提升root权限的API后门

路人甲 / 2015-04-10

Apple OS X系统中的Admin框架存在可以提升root权限的API后门,并且已经存在多年(至少是从2011年开始)。我是在2014年的10月发现他可以被用来已任何用户权限提升为root权限,其本意可能是要服务“System Preferences”和systemsetup(命令行工具),但是所有的用户进程可以使用相同的功能。

苹果刚刚发布了OS X 10.10.3解决了此问题,但是OS X 10.9.x以及之前的版本存在此问题,因为苹果决定不对这些版本进行修复了。我们建议所有的用户都升级到10.10.3。

Kippo蜜罐指南

我是壮丁 / 2015-01-12

测试了一下kippo这个ssh蜜罐,算是一篇总结吧

CoolPad backdoor CoolReaper

瘦蛟舞 / 2014-12-19

宇龙酷派是中国第三大以及全球第六大智能手机生产厂商。最近我们研究发现许多高端酷派手机在预装软件均包含一个后门程序,我们将此后门称为:CoolReaper

在看到许多酷派用户反馈手机上的可疑现象后,我们下载了多个中国区发行的官方固件,其中大多数都包含了coolreaper这款后门应用。

D

Mysql Trigger

darksn0w / 2014-10-31

触发器(trigger)是数据库提供给程序员和数据分析员来保证数据完整性的一种方法,它是与表事件相关的特殊的储存过程,它的执行不是由程序调用,也不是手工启动,而是由事件来触发,当对一个表进行操作(insert,delete,update)时就会激活它执行。触发器经常用于加强数据的完整性约束和业务规则等。

.user.ini文件构成的PHP后门

phith0n / 2014-10-30

这个估计很多同学看了不屑,认为是烂大街的东西了:

.htaccess文件构成的PHP后门

那么我来个新的吧:.user.ini。它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastcgi,我的IIS php5.3以上的全部用的fastcgi/cgi,我win下的apache上也用的fcgi,可谓很广,不像.htaccess有局限性。

L

编写基于PHP扩展库的后门

lxj616 / 2014-09-17

今天我们将讨论编写基于PHP扩展库的后门。通常来说,大部分入侵者都会在脚本中留下自定义代码块后门。当然,这些东西很容易通过源代码的静态或动态分析找到。

利用PHP扩展库的好处显而易见:

Volatility FAQ

路人甲 / 2014-08-22

出于检测Linux平台下Rootkit的需要,试了一下很早以前知道,但一直没有用过的工具Volatility.考虑国内服务器的现实情况,选择CentOS 5.5作为实验平台. 一个工具的使用在我想来应该是相当简单的,但实际情况相当曲折,……经过很多实践和教训,写了一些笔记,整理为FAQ,遂成此文,以供同好交流讨论.

投稿

随机分类

硬件与物联网 文章:40 篇
PHP安全 文章:45 篇
Java安全 文章:34 篇
前端安全 文章:29 篇
Web安全 文章:248 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

RSS订阅