针对MySQL数据库的勒索病毒预警 渗透测试

针对MySQL数据库的勒索病毒预警

近期,深信服安全团队追踪到国内出现了针对MySQL数据库的勒索攻击行为,截至目前已监测到的攻击行为主要体现为对数据库进行篡改与窃取。在此,深信服安全团队提醒广大用户注意防范(特别是数据库管理员),保护好核心数据资产,防止中招,目前在国内已有大型企业与普通用户中招案例。 此次勒索攻击行为,与以往相差较大,表现为不在操作系统层面加密任何文件,而是直接登录MySQL数据库,在数据库应用里面执行加密动作。加密行为主要有,遍历数据库所有的表,加密表每一条记录的所有字段,每张表会被追加_encrypt后缀,并且对应表会创建对应的勒索信息。例如,假设原始表名为xx_yy_zz,则加密后的表名为xx_yy_zz...
最新
阅读全文
未授权访问漏洞总结 渗透测试

未授权访问漏洞总结

未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 常见的未授权访问漏洞 1.MongoDB 未授权访问漏洞 2.Redis 未授权访问漏洞 3.Memcached 未授权访问漏洞CVE-2013-7239 4.JBOSS 未授权访问漏洞 5.VNC 未授权访问漏洞 6.Docker 未授权访问漏洞 7.ZooKeeper 未授权访问漏洞 8.Rsyn...
阅读全文
基于E-Mail的隐蔽控制:机理与防御 渗透测试

基于E-Mail的隐蔽控制:机理与防御

前言 命令与控制(command andcontrol),是远程控制的一种表现形式,更是目前网络攻击常用手段中不可或缺的一环。而邮箱作为收发信息的仓库,既能作为恶意代码传播的平台,亦可作为命令与控制的信道。本文介绍了邮箱在恶意代码传播和命令与控制两个方面的应用。 一、邮箱在恶意代码传播中的应用 1.1 恶意代码传播手段 恶意代码传播过程可利用多种手段,目前已知的手段有: 1.定向鱼叉攻击邮件投放 2.垃圾邮件批量投放传播 3.网页挂马 4.利用优盘、移动硬盘等移动介质传播 5.捆绑、隐藏在一些破解、激...
阅读全文
揭密黑产“暴力勒索、毁尸灭迹”运作一条龙 渗透测试

揭密黑产“暴力勒索、毁尸灭迹”运作一条龙

处理勒索病毒应急响应事件的时候,会发现了一些有趣的事情,分享给大家,看看现在的勒索病毒运营团伙是如何“暴力勒索、毁尸灭迹”运作一条龙。 现在大部分的勒索病毒都没有自主传播的能力,不像之前WannaCry可以通过永恒之蓝进行自主传播,主动感染其它存在漏洞的主机,现在流行的一些勒索病毒,像GandCrab、Globelmpsoter、CrySiS等勒索病毒都是单一的加密主机,不具备自主传播能力,需要人工植入,但不同的勒索病毒会使用不同的渠道进行传播感染。 应急响应发现现在勒索病毒大多数使用RDP爆破的方式进入企业,然后再通过各种安全工具,进行内网传播,黑产的运作流程又是如何的?一般会使用...
阅读全文
应急响应系列之OA被入侵挖矿分析报告 渗透测试

应急响应系列之OA被入侵挖矿分析报告

一 基本情况 1.1  简要 此事件是去年应急处置时完成的报告,距今有半年时间了。一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端。 对于 Linux 安全检查,个人上段时间写了个 shell 用于一键进行 Linux 安全检查,本文对 Linux 的检查使用相关脚本均可实现,相关链接如下: https://mp.weixin.qq.com/s/S0OmDRU6uQo8LBBK-GUAaQ https://github.com/T0xst/linux 1.2 情况简介 ...
阅读全文
印象笔记扩展被曝严重漏洞,可泄露数百万用户的敏感信息 界内新闻

印象笔记扩展被曝严重漏洞,可泄露数百万用户的敏感信息

印象笔记 Web Clipper Chrome 扩展中被曝存在一个严重缺陷,可导致潜在攻击者访问用户存储在第三方网络服务中的敏感信息。 发现该漏洞的安全公司 Guardio 表示,“由于印象笔记广为流行,该问题可能影响使用该扩展的客户和企业,在发现之时它的用户量为460万左右。” 全局跨站点脚本缺陷 该问题是一个全局跨站点脚本 (UXSS) 漏洞,编号为 CVE-2019-12592,源自一个印象笔记 Web Clipper 逻辑编程错误,使其可能“绕过浏览器的同源策略,导致攻击者能够在印象笔记域名以外的内联框架中获得代码执行权限。” 一旦 Ch...
阅读全文
重庆网安部门侦破系列涉外网络黑客案,涉案金额高达2千余万元 界内新闻

重庆网安部门侦破系列涉外网络黑客案,涉案金额高达2千余万元

日前,在“净网2019”专项行动中,荣昌区公安局在重庆市公安局网安总队的指导下,成功破获系列网络黑客案件。 2018年3月,荣昌警方接上级公安机关线索:荣昌籍黑客许某涉嫌在国外通过网络入侵我国境内网站服务器,以获取服务器权限并出售获利。在市公安局网安总队的指导下,荣昌区公安局迅速成立专案组,展开案侦工作。由于许某长期在菲律宾一带活动,境外侦查难度重重。经过近一年的侦查,专案民警确定了以许某、张某、李某、郭某为骨干的网络黑客犯罪团伙。 2018年12月,该团伙成员陆续回到国内。为防止其成员再次出境从事违法犯罪活动,2019年2月27日,重庆市公安局网安总队、荣昌区公安局调...
阅读全文
Freddy:一款基于活动被动扫描方式的Java&.NET应用程序漏洞扫描工具 神兵利器

Freddy:一款基于活动被动扫描方式的Java&.NET应用程序漏洞扫描工具

今天给大家介绍的是一款名叫Freddy的开源工具,该工具的功能基于主动/被动式扫描,在Freddy的帮助下,研究人员可以快速查找Java和.NET应用程序中的反序列化安全问题。 Freddy介绍 工具引入了一款Burp Suite插件来检测并利用目标引用程序中序列化库/ API中的安全漏洞。 早在2017年美国Black Hat黑客大会以及DEF CON25上,研究人员Alvaro Muñoz和Oleksandr Mirosh曾发布过一份标题为《Fridaythe 13th: JSON Attacks》的研究报告。研究人员在报告中指出,他们对大量Java和....
阅读全文
浅谈入侵溯源过程中的一些常见姿势 渗透测试

浅谈入侵溯源过程中的一些常见姿势

0×0 背景 攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性,就能更好地控制后果。 说人话:被黑了就要知道为什么被黑了怎么被黑的,不能这么不明不白。 0×1 主体思路 溯源的过程当中的时候除开相关的技术手段之外,首先还是需要确认一个整体的思路。对异常点进行一个整体的分析并根据实际环境给出几种可能的方案,这样处理起问题相对就可以游刃有余心里有谱,手上就不慌了。 常规出现的、容易被用户...
阅读全文
通过Thinkphp框架漏洞所发现的安全问题 代码审计

通过Thinkphp框架漏洞所发现的安全问题

前言 在一次偶然的机会发现公司某个网站存在thinkphp的远程命令执行漏洞,自此对这个漏洞爱不释手。这究竟是为什么呢?主要原因有2点:第一,如果网站存在这个漏洞,我们可以去执行各种各样的系统命令来进行测试观察,尤其要是还有管理员权限就更舒服了;第二点,只要发现对应版本的thinkphp,漏洞利用步骤较为简单。(主要还是笔者太懒,hhh!!!)关于这个漏洞分析笔者就不在这里献丑了,主要是介绍下如何来去挖掘这个漏洞,以及笔者相关的一些思路。希望能给刚入安全圈的新人一点灵感。 0×01 漏洞简介 在2018年12月9日,thinkphp官方发布了一个重要的安全更新,修复了一个...
阅读全文
奇淫技巧之Metasploit远程代码执行“冲击波” 渗透测试

奇淫技巧之Metasploit远程代码执行“冲击波”

最近在整理各种漏洞的利用技巧,我在Freebuf上每天都能获取很多干货,为了回馈freebuf和各位小伙伴,希望我的文章能帮到大家,希望大家能将这种分享精神发扬光大! 本文仅用于安全教育和技术研究学习,切勿违法使用。 一、经典漏洞复现(MS08-067) 非常感谢John Lambert在几年前发表的MS08-067漏洞事件回忆录,它帮我们认识到,即使身处今天这样复杂的攻击威胁下,MS08-067漏洞事件仍然具有参考和借鉴意义。 Conficker蠕虫利用了MS08-067漏洞,加入了NetBIOS感染方式,对当时全球大量组织机构造成了破坏性影响,成为了所...
阅读全文
VPN如何提高您的安全性和隐私

VPN如何提高您的安全性和隐私

在这篇文章中,您可以获得满足您需求的最佳VPN。   信息是渗透的指明灯。做为一名称职的黑客,要时刻关注国外的最新的讯息,不断学习技能。对于常年跨域搜索的黑客来说,稳定可靠的VPN一种必要的选择。 在此列表中,您可以获得满足您需求的最佳VPN。   NordVPN通过公共网络扩展专用网络,并使用户能够跨个人网络,共享网络或公共网络发送和接收数据。NordVPN已建立了包括美国,欧洲和亚洲在内的全球VPN网络,并很快扩展到更多国家。大多数服务器都可以免费使用,可以随时更改服务器。高速服务器均经过加速优化,实现无掉线稳定连接,自带的...
阅读全文
漏洞分析:解析Windows XP版永恒之蓝中的一个Bug 提权教程

漏洞分析:解析Windows XP版永恒之蓝中的一个Bug

背景 黑掉Windows 7已经没什么挑战了,我这一次打算重新回顾一下那个针对Windows XP永恒之蓝漏洞的漏洞利用代码,之前这份Exploit就没成功过,而且我尝试了各种版本的补丁和服务包,但这份漏洞利用代码要么无法工作,要么就让设备蓝屏。因此我打算继续研究一下,因为FuzzBunch有太多没有被挖掘出来的“潜力”了。 但是在一次针对其他Windows XP设备的渗透测试过程中,我本来对FuzzBunch没抱希望的,但可怕的是,它竟然能用… 所以我问自己,为什么它能用到外界的Windows XP设备上,却没办法在我的实验环境中使用呢?(长话短说:因为单核/多核/PA...
阅读全文
密码朋克的社会实验(一):开灯看暗网 界内新闻

密码朋克的社会实验(一):开灯看暗网

前言 本年度最严重的几次数据泄漏,都指向了同一个词——「暗网」。在中文的语境里,这是一个犹如「月黑风高夜」般的词汇,透着诡秘和犯罪的气息。而与「暗网」关系最密切的另一个词,则非「黑客」莫属。「黑」与「暗」的组合,意味着高超的匿名和隐身技巧,令人忍不住想揭开它精巧的面纱。 暗网是什么 要解释暗网,先给整个互联网做一个简单的分层定义,如图: 表网(Surface Web) 通常认为,普通用户或者搜索引擎能直接访问的内容属于表网。表现形式为网页或者 APP 提供的内容。 深网(Deep Web) ...
阅读全文
疑似国内某知名团伙的最新挖矿脚本分析 渗透测试

疑似国内某知名团伙的最新挖矿脚本分析

前言 大佬随手给我一个叫cr.sh的恶意脚本让我分析分析,毕竟是大佬安排的活不想干也要干。原本以为只是个普通的安全事件,定睛一看发现是一个做工精良的挖矿脚本套装,后续跟踪发现可能与国内某知名的挖矿团伙有关系,遂有此文。 0×1 过程分析 cr.sh内容如下: 通过执行系统命令ps ax、netstat、crontab、ps、top收集系统信息保存成tmp2.txt内容后上传到黑客指定的服务器http://46.249.38.186/rep.php 之后定义了curl与wget的命令简单的换成了LDR,检查程序当中是否运行tmp/jav...
阅读全文
作为黑客的你应该拥有的10个小工具 神兵利器

作为黑客的你应该拥有的10个小工具

本文我将为大家列举10个作为黑客的你最值得拥有的小工具。这些工具非常适合作为你无聊时的调剂品,或是作为生日圣诞礼物送给你的白帽朋友。当然,文中提及的某些项目可能并不适合所有的渗透测试人员。譬如无线爱好者可能会对下面的天线感兴趣,因为它能够通过无线方式捕获到击键,类似于WPA2握手包的抓取。而对四轴飞行器(Quadrotor)感兴趣的人可能会更关注无人机,因为它们能够在不丢失信号的情况下飞行1-2英里,并可携带Wi-Fi Pineapple和Raspberry Pi等附加硬件。 一、Mousejack Hacking 2016年,安全公司Bastille Networks(巴士底狱)安...
阅读全文
Zebrocy新组件渗透过程详细解析 渗透测试

Zebrocy新组件渗透过程详细解析

在2018年8月,Sednit的运营者部署了两个新的Zebrocy组件,从那时起我们看到Zebrocy部署的增长,它的目标是中亚以及中欧和东欧国家,特别是这些国家的大使馆、外交部和外交官员。 Sednit组织自2004年以来一直在运营,并且在过去几年中经常成为头条新闻:它被认为是主要的,高调的攻击背后的组织。例如,美国司法部为在2016年美国大选之前对民主党全国委员会(DNC)进行的黑客攻击而将该组织命名。该组织还被认为是全球电视网TV5Monde、世界反兴奋剂机构(WADA)电子邮件泄密以及许多其他攻击的背后组织。该组织在其武器库中拥有各种各样的的恶意软件,我们已在2016年的Sednit白皮...
阅读全文
WEB安全入门系列之文件上传漏洞详解 渗透测试

WEB安全入门系列之文件上传漏洞详解

内容大纲: 一、文件解析漏洞 二、上传本地验证绕过 三、上传服务器端验证绕过 四、漏洞高级玩法 五、上传漏洞修复 一、文件解析漏洞 概念: 黑客将恶意文件上传到服务器中解析漏洞主要说的是一些特殊文件被iis、apache、nginx在某种情况下解释成脚本文件格式的漏洞 1.1、IIS6.0解析漏洞 1.目录解析 --创建/xx.asp/,上传图片马,即路径为:/xx.asp/xx.jpg,打开图片会被当着脚本来解析 ,其目录内的任何扩展名...
阅读全文
从某电商钓鱼事件探索黑客“一站式服务” 渗透测试

从某电商钓鱼事件探索黑客“一站式服务”

深信服EDR安全团队,整理分析了一起某电商钓鱼事件,通过关联信息,发现背后可能存在一个“产业链齐全”的黑客团伙,研究发现其具备“一站式服务”的黑客攻击手段。 黑客攻击手段包括但不限于钓鱼邮件、漏洞利用、挖矿病毒、勒索病毒、无文件攻击、远控木马、键盘记录器、密码破解等,是一次完整而全套的“服务”。 最开始,可能仅仅是一封精心构造的邮件触发的,经过信息收集和远程控制,在闲时挖矿榨干主机性能,当窃取到足够机密,又最后“卸磨杀驴”“杀鸡取卵”,执行勒索操作。 0×01 定向撒网捞鱼:钓鱼邮件 XX公司已经被黑客盯上了,黑客通过社工拿到该公司...
阅读全文
利用Drupal漏洞进行传播的挖矿僵尸病毒分析 渗透测试

利用Drupal漏洞进行传播的挖矿僵尸病毒分析

一、事件背景 在对服务器进行例行性检查的时候,在一台ngix服务器的日志文件access.log里面发现了一些奇怪的访问记录,如下表所示。备注,这台Ngix 服务器安装windows10企业版操作系统,web服务器是nginx/1.12.2。 来源IP 时间 数据 85.248.227.163 16/Oct/2018:13:14:41 +0800 “POST /...
阅读全文