移花接木大法:新型“白利用”華晨遠控木馬分析

移花接木大法:新型“白利用”華晨遠控木馬分析

漏洞播報 4天前 中國互聯安全響應中心

0x00 前言 “白利用”是木馬對抗主動防御類軟件的一種常用手法。國內較早一批“白利用”木馬是通過系統文件rundll32.exe啟動一個木馬dll文件,之后又發展出劫持合法軟件的dll組件來加載木馬dll的攻擊方式。 隨著安全軟件對“白利用”的防御機制日益完善,木馬也在花樣翻新。近期,360QVM引擎團隊發現“華晨同步專家”遠控木馬家族采用了比較另類的“白利用”技術:該木馬利用白文件加載dll文

惡意傳播之——社工+白+黑

惡意傳播之——社工+白+黑

滲透注入 4天前 中國互聯安全響應中心

0x00 背景 日前實驗室捕獲一個樣本。遠遠望去,像是搜狗輸入法,在測試機中點開一看,彈出一款游戲的物價表,再看PE文件屬性,還帶正常著數字簽名,一副人畜無害的樣子。經過一番認真分析后。發現遠沒有這么簡單,這里就分析過程記錄一下,希望其他安全工作者有些許幫助。 先介紹一下所謂白名單免殺。隨著病毒與殺軟之間的斗爭,殺軟的手段不斷地增多、增強,由早期傳統的特征碼匹配算法發展到目前虛擬機技術、實時監控技

打造自己的php半自動化代碼審計工具

打造自己的php半自動化代碼審計工具

固若金湯 5天前 中國互聯安全響應中心

0x00 PHP擴展進行代碼分析(動態分析) 一.基礎環境 二.使用PHPTracert 編輯php.ini,增加: 三.測試 CLI apache 四.phptrace分析 執行的代碼如下: 執行順序是: 參數含義: 名稱 值 意義 seq int|執行的函數的次數 type 1/2 1是代表調用函數,2是代表該函數返回 level -10 執行深度,比如a函數調用b,那么a的level就是1,

小米路由器劫持用戶瀏覽器事件回顧

小米路由器劫持用戶瀏覽器事件回顧

漏洞播報 5天前 中國互聯安全響應中心

0x00 概述 小米路由器開發版固件(并非穩定版固件,不會影響大多數用戶,如果你不明白這是什么意思,它不會影響到你)使用黑客技術劫持用戶瀏覽器向用戶投送廣告,該技術在黑客界廣泛用于偷取用戶密碼甚至可能控制用戶電腦和手機,目前小米已經回應該事件,稱該事件為“借機炒作惡意煽動”,并解釋“所謂的廣告”是友好的新功能提示。目前小米官方已經做出相應調整,該功能已經暫時失效。 2015年6月初,有用戶舉報說最

第五季極客大挑戰writeup

第五季極客大挑戰writeup

滲透注入 4周前 (09-18) 中國互聯安全響應中心

0x01 misc too young too simple 一個叫flag.bmp的文件,但是無法打開。文件頭42 4D確實是bmp文件的頭,但是文件尾?49 45 4E 44 AE 42 60 82卻是png文件的尾。 另外文件頭中的IHDR也能確信這是一個png圖片。將文件頭的?42 4D E3 BF 22 00 00 00修改為png頭?89 50 4E 47 0D 0A 1A 0A,順利

繞過 Cisco TACACS+ 的三種攻擊方式

繞過 Cisco TACACS+ 的三種攻擊方式

滲透注入 4周前 (09-18) 中國互聯安全響應中心

原文地址:3 attacks on cisco tacacs bypassing 在這篇文章中,作者介紹了繞過 Cisco 設備的 TACACS 的三種方式。 No.1 利用 DoS 攻擊繞過 Cisco TACACS+ No.2 本地爆破 PSK 繞過 Cisco TACACS+ No.3 利用中間人攻擊 繞過 Cisco TACACS+ 一般來說,在一個大型網絡中會有很多網絡設備,如何管理這些

細數Android系統那些DOS漏洞

細數Android系統那些DOS漏洞

漏洞播報 4周前 (09-18) 中國互聯安全響應中心

0x00 前言 Android系統存在一些漏洞可導致系統重啟,當然讓系統重啟只是一種現象,這些漏洞有的還可以權限提升、執行代碼等。本文以重啟這個現象為分類依據,牽強的把這些漏洞放在一塊來看。下面對這些漏洞的成因和本質進行簡單的分析,并盡量附上編譯好的poc和漏洞利用演示視頻。 0x01 Nexus 5 <=4.4.2 本地dos https://labs.mwrinfosecurity.co

網絡暗黑世界的“域影”攻擊:運營商劫持LOL等客戶端海量級掛馬

網絡暗黑世界的“域影”攻擊:運營商劫持LOL等客戶端海量級掛馬

滲透注入 4周前 (09-18) 中國互聯安全響應中心

0x00 起因 從上周末開始,360互聯網安全中心監控到一批下載者木馬傳播異常活躍。到3月7號,攔截量已經超過20W次,同時網頁掛馬量的報警數據也急劇增加。在對木馬的追蹤過程中,我們發現木馬的傳播源頭竟然是各家正規廠商的軟件,其中來自英雄聯盟和QQLive的占了前三天傳播量的95%以上。而在受感染用戶分布中,河南竟占到了72%。 木馬傳播源TOP: 網上的用戶反饋: 0x01 掛馬過程分析 在對數

網絡資源重污染:超過20家知名下載站植入Killis木馬

網絡資源重污染:超過20家知名下載站植入Killis木馬

漏洞播報 4周前 (09-18) 中國互聯安全響應中心

Xcode編譯器引發的蘋果病毒大爆發事件還未平息,又一起嚴重的網絡資源帶毒事故出現在PC互聯網上。 這是一個名為Killis(殺是)的驅動級木馬,該木馬覆蓋國內二十余家知名下載站,通過各大下載站的下載器或各種熱門資源傳播,具有云控下發木馬、帶有數字簽名、全功能流氓推廣、破壞殺毒軟件等特點。根據360安全衛士監測,最近10小時內,Killis木馬已經攻擊了50多萬臺電腦。 0x01 Killis木馬

網絡間諜-目標:格魯吉亞政府(Georbot Botnet)

網絡間諜-目標:格魯吉亞政府(Georbot Botnet)

滲透注入 4周前 (09-17) 中國互聯安全響應中心

譯者按: 這是一篇對 <<DUKES---||-持續七年的俄羅斯網絡間諜組織大起底>>文章的補充文章. 披露的是格魯吉亞CERT在2011年對俄羅斯軍方黑客的一次調查. 文章中諸多亮點現在看還是常看常新:比如反制黑客的手段是誘使黑客執行了一個木馬. 另外將此篇文章對比最近ThreatCONNECT發布的camerashy報告,讓我們不禁感慨的是,政府的反APT實在是比商業公

羊年內核堆風水: “Big Kids’ Pool”中的堆噴技術

羊年內核堆風水: “Big Kids’ Pool”中的堆噴技術

固若金湯 4周前 (09-17) 中國互聯安全響應中心

0x00 前言 作者:Alex Lonescu 題目:Sheep Year Kernel Heap Fengshui: Spraying in the Big Kids’ Pool 地址: http://www.alex-ionescu.com/?p=231 前幾天看到Twitter上推薦的一篇Alex lonescu寫的博文,是關于兩個新的內核堆噴射技術的,感覺很有啟發,這個大牛寫文章有點隨意,

“道有道”的對抗之路

“道有道”的對抗之路

固若金湯 1個月前 (09-12) 中國互聯安全響應中心

0x00 背景 今年央視3.15晚會曝光了道有道科技公司通過推送惡意程序,使手機用戶被莫名扣費的問題,引起了廣大手機用戶的高度關注。 360移動安全團隊對道有道廣告SDK進行了分析與研究。截至2016年3月底,嵌入道有道廣告SDK的應用軟件累計達到80萬個,從月增樣本數量統計可以看出,在去年年中的一個月內就收錄了近10萬個。 0x01 廣告形式 在道有道的官網上,介紹了其廣告SDK的展現形式包括插

切換注冊

登錄

忘記密碼 ?

您也可以使用第三方帳號快捷登錄

切換登錄

注冊

掃一掃二維碼分享
青海11选5开奖结果走势图