一次被防火墙拦截的挖矿病毒应急处置经历 代码审计

一次被防火墙拦截的挖矿病毒应急处置经历

前言 在应急响应的过程中,客户反馈深信服防火墙AF 报告客户服务器僵尸网络警告,服务器试图解析恶意域名msupdate.info。于是客户使用360,火绒剑等杀毒软件均没有发现异常现象。于是求助我,遂有此文章。 病毒virustotal.com的报告,可以看到很多国内厂商依然无法检出: SHA256: c765ba5eedcd87b6f98eb503df640f5a8b077d3a30f02c6019feec1b5a553981 文件名: cspsvc.exe https://www.virustotal.com/zh-cn/file/...
最新
阅读全文
WordPress Plugin AutoSuggest插件SQL注入复现与分析 代码审计

WordPress Plugin AutoSuggest插件SQL注入复现与分析

前言 由于笔者有个习惯,每天都会去exploit-db网站上去逛逛。最近就看到了一个WordPress插件问题导致的SQL注入漏洞,抱着好奇的心,我就开始这个漏洞的复现与分析。 WP AutoSuggest简介 WP AutoSuggest 这款插件在访问者输入关键字时,插件会在提交搜索查询之前通过AJAX请求在网页中显示一些建议。访问者可以通过按Enter继续搜索,或者访问者可以使用键盘箭头直接访问建议的帖子。 漏洞复现 首先我们得进入exploit-db网站上下载这个存在漏洞的版本的插件源码和本地搭建WordPress网站(本地搭建WordPr...
阅读全文
Smart Greybox Fuzzing:一种功能更强效率更高的Fuzzer模型 渗透测试

Smart Greybox Fuzzing:一种功能更强效率更高的Fuzzer模型

前言 近期,有一群研究人员设计出了一种智能灰盒模糊测试模型,他们声称这种Fuzzer模型在搜寻代码库(解析复杂文件)漏洞方面跟现有Fuzzer相比,新模型的漏洞挖掘效率会更高。 简介 模糊测试是一种寻找软件漏洞的技术,这种技术需要向待测目标发送恶意构造的输入数据,如果程序发生崩溃或没有执行预期行为,这就表明这里有可能存在安全漏洞。目前,模糊测试技术主要有三种类型:黑盒模糊测试,这种情况下测试人员对待测目标的情况一无所知;白盒模糊测试,这种情况下测试人员需要对待测目标的情况了如指掌,测试主要针对的是程序的源代码;灰盒模糊测试,这种情况下测试人员手上只有部分待测...
阅读全文
密码朋克的社会实验(一):开灯看暗网 界内新闻

密码朋克的社会实验(一):开灯看暗网

前言 本年度最严重的几次数据泄漏,都指向了同一个词——「暗网」。在中文的语境里,这是一个犹如「月黑风高夜」般的词汇,透着诡秘和犯罪的气息。而与「暗网」关系最密切的另一个词,则非「黑客」莫属。「黑」与「暗」的组合,意味着高超的匿名和隐身技巧,令人忍不住想揭开它精巧的面纱。 暗网是什么 要解释暗网,先给整个互联网做一个简单的分层定义,如图: 表网(Surface Web) 通常认为,普通用户或者搜索引擎能直接访问的内容属于表网。表现形式为网页或者 APP 提供的内容。 深网(Deep Web) ...
阅读全文
QQ二十年沉浮起落,黑产从未缺席 界内新闻

QQ二十年沉浮起落,黑产从未缺席

“今天是马化腾生日,将此消息转发到五个QQ群,就会送你两个太阳,我试过了,是真的。” “我也试过了,是假的。” 1999年QQ问世,到现在20年了。马化腾的生日到底是什么时候,你知道了吗? 20年,QQ记录了80、90的青涩与青春。曾经追捧过的葬爱家族,偷过的菜,改过的签名,装扮过的空间,花重金买过的QQ秀,都成了一代人的记忆。 20年,QQ发展高潮迭起,一路高歌猛进,打开了即时社交的大门。但与此同时,黑产也嗅着利益的味道向我们走来,在这场网络社交变革的浪潮里,他们迅速的成长壮大起来。 QQ中的那些黑产 ...
阅读全文
kbd-audio:通过麦克风来捕获和分析键盘输入的工具 渗透测试

kbd-audio:通过麦克风来捕获和分析键盘输入的工具

前言 kbd-audio项目是一系列用于捕获和分析音频数据的命令行和GUI工具的集合。其中我认为最有意思的一款工具是keytap,它可以通过麦克风来捕获和分析键盘的输入,从而猜测出按键内容。 有关keytap的更多信息,可以参阅以下博文及演示视频: Keytap: description and some random thoughts 构建说明 相关依赖 SDL2 – 用于捕获音频和打开GUI windows libsdl FFTW3 – 一些辅助工具执行傅里叶变换(Fourier Trans...
阅读全文
技术分析 | 浅析无文件攻击 渗透测试

技术分析 | 浅析无文件攻击

写在前面的话 在信息安全领域中,“无文件攻击”属于一种影响力非常大的安全威胁。攻击者在利用这种技术实施攻击时,不会在目标主机的磁盘上写入任何的恶意文件,因此而得名“无文件攻击”。然而,为了更好地应对“无文件攻击”,我们必须深刻理解这种攻击方式的底层实现技术,这样才能帮助我们在特定的环境下部署更好的防御策略。 虽然有的网络系统部署了类似反病毒产品和应用程序白名单之类的安全控制措施,但是无文件攻击仍然可以结合多种其他的攻击策略来入侵你的网络。接下来,我们一起分析一下无文件攻击所采用的攻击方法以及策略,我们会对无文件攻击所涉及到的特定技术进行介绍,并解释为什么这种攻击方式在大多数情况下不会...
阅读全文
CVE-2018-17612:没想到吧?买个耳机也能遭遇中间人攻击 渗透测试

CVE-2018-17612:没想到吧?买个耳机也能遭遇中间人攻击

前言 当用户在安装森海塞尔的HeadSetup软件时,很少有人知道这个软件还会在“受信任的根证书颁发机构存储库”中安装一个根证书。除此之外,它还会安装一个加密版本的证书私钥,而这是一种非常不安全的行为。 没错,这种证书及其对应的私钥对于任何安装了这款软件的用户来说都是相同的。这样一来,攻击者就可以在成功解密密钥之后,颁发一个其他网站域名下的伪造证书了,而此时,当用户访问了这些网站的时候,攻击者将能够通过执行中间人攻击来嗅探目标用户的网络通信流量。 解构 虽然这些证书文件会在用户卸载HeadSetup软件时被删除,但是可信任的根证书却不会被移除。这...
阅读全文
疑似国内某知名团伙的最新挖矿脚本分析 渗透测试

疑似国内某知名团伙的最新挖矿脚本分析

前言 大佬随手给我一个叫cr.sh的恶意脚本让我分析分析,毕竟是大佬安排的活不想干也要干。原本以为只是个普通的安全事件,定睛一看发现是一个做工精良的挖矿脚本套装,后续跟踪发现可能与国内某知名的挖矿团伙有关系,遂有此文。 0×1 过程分析 cr.sh内容如下: 通过执行系统命令ps ax、netstat、crontab、ps、top收集系统信息保存成tmp2.txt内容后上传到黑客指定的服务器http://46.249.38.186/rep.php 之后定义了curl与wget的命令简单的换成了LDR,检查程序当中是否运行tmp/jav...
阅读全文
SubDomainizer:用于查找页面Javascript文件中隐藏子域的工具 神兵利器

SubDomainizer:用于查找页面Javascript文件中隐藏子域的工具

前言 SubDomainizer是一款用于查找隐藏在页面的内联和引用Javascript文件中子域的工具。除此之外,它还可以为我们从这些JS文件中检索到S3 bucket,云端URL等等。这些对你的渗透测试可能有非常大的帮助,例如具有可读写权限的S3 bucket或是子域接管等。 云存储服务支持 SubDomainizer可以为我们找到以下云存储服务的URL: 1. Amazon AWS services (cloudfront and S3 buckets) 2. Digitalocean spaces 3. Mi...
阅读全文
UPnProxy:一种利用路由器UPnP漏洞的恶意代理系统 神兵利器

UPnProxy:一种利用路由器UPnP漏洞的恶意代理系统

前言 目前,全球大约有350多万台设备部署了UPnP,其中大概有28万台设备存在安全问题。Akamai的研究人员表示,现在已经有接近5万台设备受到了UpNp NAT注入攻击活动的入侵,而这种注入攻击(针对的是SMB所使用的服务端口)会将目标路由器连接的设备暴露在互联网安全风险之中。 背景 今年年初,Akamai的研究人员发现有攻击者开始通过滥用通用即插即用(UPnP)来隐藏恶意流量,并创建恶意代理系统了,这种技术我们将其命名为UPnProxy。在UPnProxy的帮助下,攻击者可以随意控制恶意流量,这绝对是一种严重的安全风险,因为这样的安全漏洞可以应用到多种...
阅读全文
Kali Linux字典生成工具Cewl使用全指南 神兵利器

Kali Linux字典生成工具Cewl使用全指南

Hello,大家好!在这篇文章中,我们将教大家如何使用KaliLinux的字典生成工具-Cewl。这是一份工具使用全指南,希望能给大家带来帮助! Cewl介绍 Cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外,Cewl还提供了命令行工具。 工具源地址:【传送门】 在终端输入“cewl -h”之后,工具会输出所有可接受的选项参数,以及对应的选项描述: SYN...
阅读全文