FBI警告:东京奥运会面临恶意网络攻击威胁 安全新闻

FBI警告:东京奥运会面临恶意网络攻击威胁

关注我们带你读懂网络安全图片作者:Ryunosuke Kikuno美国联邦调查局(FBI)发布警告,恶意攻击者很可能将矛头指向即将召开的东京奥运会,尽管目前尚未发现关于恶意行动的确切证据;东京奥运会之所以更吸引恶意攻击者的“关注”,是因为在新冠疫情的影响下,这是全球首届专门以数字平台或电视广播为载体的体育盛会。美国联邦调查局(FBI)发布警告称,恶意攻击者很可能将矛头指向即将召开的2020年东京夏季奥运会(延期举办,但名称保持不变),尽管目前尚未发现关于恶意行动的确切证据。在本周一发布的一份内部行业通报中,FBI指出,“截至目前,FBI并未发现针对本届奥运会的任何具体网络威胁行为,但我们呼吁各奥运会合作方保持警惕,在网络及数字环境中遵循最佳实践。”FBI认为,犯罪分子或民族国家攻击者可能会向东京奥运会发动多种攻击,包括分布式拒绝服务(DDoS)攻击、勒索软件攻击、社会工程、网络钓鱼活动或内部威胁等。这些攻击可能影响甚至中断赛事直播,入侵IT系统、渗漏其中的敏感数据并进行加密,或者冲击用于支持奥运会运营的数字基础设施。攻击者们的最终目标很可能是“获取经济收益、散播混乱、为自身博取名声、诋毁对手并达成某些意识形态目标。”今年举办的东京奥运会之所以更有可能吸引恶意攻击者的“关注”,是因为在新冠疫情的影响下,这是全球首届专门以数字平台或电视广播为载体的体育盛会。值得一提的是,2020年东京奥组委的数据至少已经泄露过一次。FBI称,“2021年5月下旬,日本IT厂商富士通公布了一起涉及多家企业及政府客户数据的泄露事件,其中就包括东京2020奥组委以及日本国土交通省。”东京奥运会已成为网络钓鱼“诱饵”2019年12月,东京2020年夏季奥运会工作人员就曾经发出警告,提醒各方警惕冒东京奥运会与残奥会组委会之名进行的网络钓鱼行为。这已经不是攻击者第一次将2020年东京奥运会选为掩护烟雾。2019年9月,美国及日本都有人员收到过关于本届奥运会的钓鱼邮件。根据KYODO NEWS的报道,威胁情报厂商Antuit是在监控一个黑客组织在暗网上的讨论时发现这些攻击活动的。此外,日本奥委会在上个月披露,在2020年4月底,东京奥运会宣布延期举办约1个月后,日本奥委会遭到疑似勒索软件攻击,被迫暂停业务。秘书处约100台服务器中,大约70%可能感染病毒的服务器不得不被更换,耗费约3000万日元。往届奥运会曾被直接针对去年,美国司法部指控六名来自俄罗斯情报总局(GRU)的情报人员,认为他们属于俄罗斯支持的黑客组织Sandworm的成员,曾对平昌冬奥会发动过黑客攻击。2017年12月至2018年2月期间,据称这六位嫌犯不仅组织过鱼叉式网络钓鱼攻击,还开发出针对韩国公民、官员、奥运会运动员、各合作方、游客以及国际奥委会官员的恶意移动应用。他们还面对一项入侵2018年平昌冬奥会计算机系统的指控,使用名为Olympic Destroyer的恶意软件,对2018年2月的奥运会开幕式发动破坏性攻击。FBI还提到,“俄罗斯攻击者还模仿朝鲜黑客组织使用的代码以混淆恶意软件的真实来源,增加了安全研究人员做出错误归因的可能性。”在这轮破坏性攻击的影响下,身在现场报道开幕式的记者所使用的互联网及电视系统出现故障。鉴于之前发生的一系列事件,FBI建议“审查或制定安全政策、用户协议及修复计划,用以应对来自恶意攻击者的当前威胁。”FBI还发布了一份最佳实践清单,用于缓解乃至遏止针对2020年东京夏季奥运会官员或IT基础设施的各类潜在攻击活动。参考来源:BleepingComputer.com 本文始发于微信公众号(互联网安全内参):FBI警告:东京奥运会面临恶意网络攻击威胁
阅读全文
黑客诱骗微软签署了他们的恶意程序 安全新闻

黑客诱骗微软签署了他们的恶意程序

在最近的一篇报道中,微软已经承认他们签名了一个恶意驱动程序,现在它正在游戏环境中进行管理。经调查得知,该公司已签名的驱动程序为恶意Windows Rootkit,并持续针对游戏环境。G DATA恶意软件分析师Karsten Hahn首先发现了恶意rootkit,他确认威胁行为者的目标是用户,特别是在东亚国家的一些用户。微软公司已经注意到这次攻击,他们认为攻击者使用恶意驱动程序来欺骗他们的地理位置,以便欺骗系统并从任何地方玩游戏。无证书暴露迹象该公司已内置检测,正在连同Zero Trust和分层防御安全态势尽最大努力尽快阻止此驱动程序。除此之外,该公司还试图找出通过Microsoft Defender for Endpoint链接的文件。但是他们也表明还没有任何证据显示WHCP签名证书被暴露,其基础设施也没有收到黑客的破坏。这次攻击中使用的所有方法都发生在漏洞利用之后,然而这种恶意软件允许威胁行为者在游戏中获得优势,并且他们可以通过一些常用工具(如键盘记录器)的帮助来接管其他玩家的帐户。微软签署了一个Rootkit经过长时间的调查,研究人员了解到该驱动程序已被发现与某些国家的C&C IP正在进行通信,并且所有这些IP都令人怀疑,因为它们根本没有提供任何合法的功能。不过有消息称,从Windows Vista开始,任何在内核模式下运行的代码都需要在公开发布之前进行测试和签名,以确保操作系统的稳定性。默认情况下无法安装没有Microsoft证书的驱动程序。但是,对Netfilter 的C&C基础设施进行的URL的分析清楚地表明,第一个URL返回一组备用路由(URL),由(“|”)分隔,所有这些都用于特定目的。◾“hxxp://110.42.4.180:2081/p”–以此结尾的URL与代理设置相链接。◾“hxxp://110.42.4.180:2081/s”–规定编码的IP地址转发。◾“hxxp://110.42.4.180:2081/h?”–专用于获取CPU-ID。◾“hxxp://110.42.4.180:2081/c”–生成根证书。◾“hxxp://110.42.4.180:2081/v?”–链接到自动恶意软件更新功能。第三方账户被暂停在得知恶意驱动程序后,微软表示将展开强有力的调查。调查结束后不久,该公司得知黑客已经通过Windows硬件兼容性计划(WHCP)放弃了驱动程序的认证。但是,微软已经通过传播该帐户立即暂停了恶意驱动程序,并检查了黑客提交的恶意软件的进一步活动迹象。微软承认签署了恶意驱动程序目前看来没有证据证明被盗的代码签名证书已经被使用,但是黑客已经针对游戏行业开始了攻击。同时可以明确的一点是这种错误签名的二进制文件以后可能会被黑客滥用,并且很容易产生大规模的软件供应链攻击。除此之外,微软正在尽最大努力阻止此类攻击,并找出所有细节和关键因素,从而更好地了解威胁行为者的主要动机和整个行动计划。参考及来源:https://gbhackers.com/hackers-trick-microsoft-into-signing-a-malicious-netfilter-rootkit/ 本文始发于微信公众号(嘶吼专业版):黑客诱骗微软签署了他们的恶意程序
阅读全文
恶意联网程序的逆向分析 逆向工程

恶意联网程序的逆向分析

扫一扫关注公众号,长期致力于安全研究前言:针对联网程序的逆向分析0x01 前期搜集首先查看是否加壳。壳卒~        查看导入表发现几个有意的函数,这些函数都是一些实现网络功能的APIInternetReadFileInternetCloseHandleInternetOpenUrlAInternetOpenA为了进一步验证,用nc和apateDNS监听看一下,当恶意程序运行之后,成功看到了GET /cc.htm HTTP/1.1User-Agent: Internet Explorer 7.5/pmaHost: www.practicalmalwareanalysis.com0x02 IDA分析既然可以确定这是一个联网的恶意程序,那就用IDA分析一下。进入主函数之后,首先检查是否存在可用的internet连接        当存在可用的inter连接后,进入401040这个函数里面,跟进去继续分析    可以看到执行了InternetOpenA和InternetOpenUrlA这两个api,    InternetOpenA设置User-Agent字段    InternetOpenUrlA 用来打开一个句柄    通过push传参的注释,可以清楚的看到User-Agent和URL内容        继续分析,在代码最后有一个cmp,用来判断是否执行成功。    (如果执行失败就跳到左下角的地方了,直接close关闭句柄)    当执行成功的时候,就会跳到40109D处,开始执行InternetReadFile函数    而参数lpBuffer就是保存内容,之后就在4010E5处开始比较前几个字节是否等于<!--,如果不相等就跳出去。    之返回main函数,进行printf输出打印的%c就是html注释中解析的字符最后将0xEA60 push进去了,执行了Sleep。0x03 总结该程序检查internet连接是否可用,之后下载了一个<!--开头的网页,这是HTML注释开头,这种通过注释隐藏指令的方法通常被攻击者利用,而普通用户打开的时候看起来就像一个正常的网页。11111微信搜索关注 "安全族" 长期致力于安全研究下方扫一下扫,即可关注 本文始发于微信公众号(安全族):恶意联网程序的逆向分析
阅读全文
NPM包可窃取浏览器密码 安全文章

NPM包可窃取浏览器密码

更多全球网络安全资讯尽在邑安全近日,研究人员发现官方NPM库中的软件包可以从Chrome web浏览器窃取保存的密码。NPM 是Node.js的包管理器,共有超过150万个包,每个月的下载量超过300亿次。研究人员分析发现,NPM中包含不同类型的可执行文件,包括PE、ELF、MachO等。研究人员分析发现nodejs_net_server包的多个版本中都具有恶意行为。通过这些包的metadata数据分析发现该文件的原始名为a.exe,位于lib文件夹中。研究人员进一步分析发现a.exe是一个ChromePass工具,用来恢复Chrome web浏览器中保存的密码。图1: ChromePass工具该工具本身并不是恶意的,但是可以用于恶意目的。比如,该包使用它来执行恶意密码窃取和凭证窃取。虽然该密码恢复工具有图形用户接口,但是恶意软件作者好像更喜欢用命令行工具。图2: nodejs_net_server NPM包NPM的 nodejs_net_server包页面表明该包的最新版本为v1.1.2,大约6个月前发布。该包的URL主页指向一个GitHub地址。该包的开发者为chrunlee,是GitHub的活跃开发者,GitHub账号中含有一个web链接:hxxps://chrunlee.cn 。图3: chrunlee的 github页面NPM版本历史表明该包一共发布了12个版本,总下载次数为1283次。表 1: nodejs_net_server版本有意思的是发布的1.1.1和1.1.2版本中包含了测试ChromePass工具的结果。这些登录凭证信息保存在相同文件夹的a.txt文件中, 因为密码恢复工具名为a.exe。文本文件中包含2020年3月到2020年12月创建的282个登录凭证信息。图4可以看出恶意软件作者并没有遵循密码的最佳安全实践。图4: 恶意软件作者从浏览器中恢复的密码另外,恶意软件作者还通过类似单词(typosquatting)诱使受害者执行恶意包。恶意软件作者使用与主流包类似名的包来诱使用目标安装包。本例中,恶意软件作者使用了不同的方式来滥用npm包的配置选项。NPM包在package.json 配置文件中的bin 域来PATH路径安装一个或多个可执行文件。包安装后,NPM会将该文件软链到prefix/bin文件夹(全局安装)或./node_modules/.bin/ 文件夹(本地安装)。这些可执行文件可能会被分配给任意名,如果相同名字的模块存在,就会覆写和映射到恶意软件提供的脚本。NPM下载数据表明该包已经被下载超过3.5万次数。该包在Node.js开发者社区也是非常流行的,在过去7天内下载量超过1000次。该包车位劫持目标的另外一个原因是测试执行时是以命令行形式而非JS文件模块的形式。图 5: 滥用package.json中的bin域来执行劫持包安装和成功劫持后,恶意软件还会通过将 lib/test.js 脚本安装为Windows服务的形式来实现驻留。图6: 驻留Windows服务安装该服务会打开一个socket来监听7353端口的命令。支持的命令包括逆向host和端口配置、目录内容监听、文件查询、文件上传、shell命令执行、屏幕和摄像头录制。浏览器密码窃取是通过之前下面的ChromePass 工具的shell命令执行实现的。图7: 创建监听socket该包的主页和GitHub仓库链接目前都指向不存在的web页面。查看恶意软件开发者chrunlee发布的其他NPM包发现了一个同样没有链接的包。该包名为tempdownloadtempfile,只在2019年6月发布过1个版本。其中只包含 package.json 和file/test.js文件。file/test.js文件实现了nodejs_net_server 包中实现的相同的远程shell功能,但该包并不执行劫持也没有驻留机制。原文来自: 4hou.com原文链接: https://blog.secure.software/groundhog-day-npm-package-caught-stealing-browser-passwords欢迎收藏并分享朋友圈,让五邑人网络更安全欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!推荐文章1新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现2重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP)  本文始发于微信公众号(邑安全):NPM包可窃取浏览器密码
阅读全文
MirrorBlast:TA505组织针对金融行业的恶意活动 安全新闻

MirrorBlast:TA505组织针对金融行业的恶意活动

点击上方蓝字关注我们   概述Morphisec Labs研究人员发现针对金融服务组织的新攻击活动 “MirrorBlast”,并将该活动归因于俄罗斯威胁组织TA505。此次活动始于9月初,通过网络钓鱼邮件发送MirrorBlast,其中包含恶意链接,可下载带有嵌入式宏的武器化Excel文档,并且VirusTotal检测率较低,这对依赖基于检测的安全性和沙箱的组织来说是比较危险的。该活动针对多个国家,包括加拿大、美国、香港和欧洲。攻击详情初始攻击链以恶意电子邮件附件开始,该附件通过SharePoint和OneDrive诱饵更改为Google feedproxy URL,该诱饵以文件共享请求的形式出现。这些URL指向被攻击者用来逃避检测的SharePoint或虚假的OneDrive站点,以及有助于规避沙箱的登录请求(SharePoint)。带有SharePoint诱饵主题的网络钓鱼电子邮件如下图所示:这些被感染的SharePoint和伪造的OneDrive网站共享一个武器化Excel文档,其中包含一个极其轻量级的宏代码,由于与ActiveX对象的兼容性问题(ActiveX控件兼容性),该宏代码只能在32位版本的Office上执行。宏代码通过检查以下查询是否为true来执行反沙箱:计算机名为用户域。用户名为admin或administrator。研究人员观察到该诱饵文档具有不同变体。在第一个变体中,没有任何反沙箱,宏代码隐藏在语言和代码文档信息属性后。之后的变体中宏代码移到了工作表单元格中,此外代码在之前的混淆之上又添加了一个混淆层。宏代码执行后,该命令会执行JScript,从而生成负责下载和安装MSI包的 msiexec.exe进程。研究人员观察到MSI安装程序的两个变体——KiXtart和REBOL——它们是使用Windows Installer XML 工具集 (WiX)生成的。研究人员表明,Rebol变体是一种跨平台数据交换语言和多范式动态编程语言,其第一阶段Rebol脚本是base64编码的。然后,它通过发送代表用户域、用户名、操作系统版本、体系结构,以及Rebol脚本内部版本号的base64编码GET请求来窃取目标信息。C2服务器会发送与受害机器关联的通用唯一标识符,并等待进一步的命令。收到响应后,它会执行Powershell命令,该命令将下载存档文件并将其内容提取到名为archive的文件夹中,在该文件夹中执行Rebol脚本的下一阶段。KiXtart是一种自由格式的脚本语言,具有丰富的内置功能,可轻松编写脚本,它将受害者的机器信息(域、计算机名称、用户名、进程列表)发送到C2,C2通过进一步的进程做出响应,类似于Rebol变体。归因研究人员将攻击活动归因于TA505组织,原因如下:感染链由电子邮件→XLS→MSI(Rebol/KiXtart加载器)组成。MSI组件与TA505的Get2(GetandGo)加载器非常相似。使用SharePoint/OneDrive诱饵主题使用cdn*dl*fileshare、*onedrive* 或 *dropbox* 作为域名的一部分。其中一封SharePoint诱饵主题电子邮件指向以下页面:详细信息窗格中的MD5与Excel文档的MD5不匹配。在与TA505相关的攻击中发现了这个特定的哈希值。下一阶段的 Rebol 脚本会部署与TA505相关联的 FlawedGrace RAT总结TA505是目前活跃的以经济为动机的威胁组织之一,MirrorBlast攻击活动在VirusTotal具有低检测率,这表明大多数团队目前都已将重点放在规避检测的解决方案上。金融组织历来是威胁行为者最针对的目标之一,这是由于金融部门持有大量客户数据,以及支付大笔资金,因此金融组织必须始终保持警惕,以应对威胁组织的攻击。END好文!必须在看 原文始发于微信公众号(SecTr安全团队):MirrorBlast:TA505组织针对金融行业的恶意活动
阅读全文
捕获一起恶意入侵事件的攻击溯源 安全文章

捕获一起恶意入侵事件的攻击溯源

0x0 背景    近日发现NTA提示有恶意的CC访问连接报警访问恶意域名down.mysxxx.xyz达到了1057次、访问my2018.zxy达到了490次主机直接被标记为了已失陷,经过较多的杀毒软件查杀均未查杀出异常,后续经过相关的排查发现服务器存在较大的安全隐患与Myking团伙有较大的关联。0x1总体情况    多方面的分析发现,客户本地存在较多的恶意脚本与病毒文件根据现象情况梳理与日志分析、结合对一些进程内存的分析等多方面检测定义为多次恶意入侵的安全事件。    简单梳理出攻击流程如下:0x2 进程检查    进程当中发现了大量恶意的wscript.exe的进程数量约为30多个调用,均为最高权限通过系统命令调用参数文件为C:userspublicdocuments1.vbs的执行脚本,且该进程的父进程为本地运行sqlserver.exe数据库进程。    打开1.vbs的内容进行代码分析发现此脚本是通过调用本地的wscript.exe 从互联网上下载恶意的挖矿组件进行虚拟挖矿的程序。    核心代码如下    url路径为http://q.112adfdae.tk/&wenjian    powered.exe为挖矿的主要进程      config.json为挖矿的配置文件    之前有分析过类似的文件这里不多做介绍。0x3 开机启动项    通过对开机启动项目的检查也通用发现了一个叫fuckyoumm2_consumerde 的WMI项目    启动内容如下主要是从http://down.mys2018.xyz:280/psa.jpg下载内容并保存为指定路径下C:windowsps.exe并执行。    在注册表里面的开机启动项目发现了一个clean.vbs的异常项目    通过对内容的分析发现次为一个针对redis入侵的一个payload    通过对注册表的检查一个诡异的bat文件出现在眼前,路径为    C:windowssystem32wbem123.bat    主要内容如下主要功能也是从远端下载样本回来并执行0x4 攻击溯源    通过对sqlserver的检查发现该数据库一直遭受到来自互联网的暴力破解攻击主要用户为sa且xp_shell功能已经处于开启状态,由于日志不全面暂时无法确认是具体时间点开启。    同时在web系统的目录下面发现了一个多功能的大马webshell为sqzr.jsp上传时间为2018年6月6日。    在redis的目录下面也发现黑客上传的SSH登录的Key,这个操作可以说很6了毕竟这是windows系统。    通过对本地的端口开放情况进行检查发现redis的进程一直保持着较多的通信,同时检查了配置文件发现未开启授权访问。0x5 清理    删除系统目录下的1.vbs  123.bat  clean.vbs等恶意脚本    删除web系统目录下的helloworld.jar 与helloworld目录的webshell后门    删除黑客上传的root文件    删除fuckyoumm2_consumerde、clean.vbs、123.bat的开机启动项0x6 加固与建议    添加redis的访问密码、同时设置redis的访问控制    修复Openfire的安全漏洞升级到最新版本或者更新补丁包    添加sqlserver的安全加固设置强密码策略与访问控制策略,关闭危险的xp_shell的命令执行功能团队网络安全技术方向公众号,给个关注 本文始发于微信公众号(LemonSec):捕获一起恶意入侵事件的攻击溯源
阅读全文
过去一年,超200万封恶意邮件绕过安全网关 未分类

过去一年,超200万封恶意邮件绕过安全网关

点击蓝字 关注我们 根据Tessian最新发布的数据,2020年7月至2021 年7月间,全球有超过200万封恶意电子邮件绕过了传统电子邮件防御,例如电子邮件安全网关。 谁是目标,如何定位? 图1 重点行业员工平均每年受恶意邮件攻击的次数(数据来源:Tessian) 从Tessian发布的数据(见图1)可以看出,零售、制造、食品、科技、研发和房地产行业是恶意邮件攻击的重灾区。 其中,零售行业是受攻击较严重的行业,该行业的员工平均每年会收到49封恶意电子邮件,明显高于每位用户每年收到14封恶意电子邮件的总体平均值。制造业员工也是被攻击的主要目标,平均每位员工每年会收到31封恶意电子邮件。 动机是什么? 虽然包含附件的电子邮件曾经是一种诱使人们下载恶意软件的流行方法,但在Tessian此次调查的恶意邮件中只有24%包含附件,这表明攻击者不再使用典型的攻击手段。 不过,有44%的恶意电子邮件包含URL,链接仍然被证明是一种流行且有效的载体。 如今,凭证盗窃在网络犯罪中越来越流行,但与“电汇”相关的关键字多于“凭证”,这表明这些攻击的背后动机仍然主要集中在经济利益上。 何时发起攻击? 研究人员透露,大多数恶意电子邮件都是在下午2点和6点左右发送,攻击者选择在下午晚些时候发送网络钓鱼电子邮件,期望能够突破疲惫或分心的员工。 攻击者还会利用一年中的特定时间,例如在黑色星期五前后,发送恶意电子邮件,因为在此期间,许多人对来自电商的邮件警惕性下降。此外,攻击者还可以利用“好得令人难以置信”的交易机会,作为骗局中的诱饵,对目标进行攻击。 如何阻止威胁? 相关报告指出:大规模的垃圾邮件和网络钓鱼攻击的日子已经一去不复返了,而高度针对性的鱼叉式网络钓鱼电子邮件将继续存在,但问题是这些类型的攻击每天都在演变。网络犯罪分子总是想方设法绕过检测并到达员工的收件箱,指望每个员工都能识别每一次复杂的网络钓鱼攻击而不中招,是不现实的。即使经过培训,人们也会犯错误或被欺骗。企业还需要更先进的电子邮件安全方法来阻止正在蔓延的威胁。 相关阅读 防范恶意邮件攻击的五项最佳实践 调查︱2016年恶意邮件数量飙升七倍 邮件诈骗者居然被自己的恶意软件感染导致被捕 合作电话:18311333376 合作微信:aqniu001 投稿邮箱:[email protected] 相关推荐: 安全工程师最详细学习和职业规划路线(书籍推荐和导图下载) 作者:华章尹老师 来源:大数据DT(ID:hzdashuju) 网络安全行业热火朝天,但我们很少看到这个领域相关职业路线的规划,这一方面是由于这个行业还比较年轻,还没有完全建立职业路径,另一方面也是因为高端职位以前比较少,很少有人到达顶峰,所以难以总结。 但随…
阅读全文
XSS攻击讲解(三) 安全闲碎

XSS攻击讲解(三)

简介XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。使用过ASP的同学一定见过这样的代码:Hello, &nbsp;假如我传入的name的值为:<script>x=documenert(x);</script>这样就可以直接盗取用户的cookie。所以我就可以发送一条链接地址让别人去点:http://www.xxx.com/reg.asp?name=<script>x=document.cookie;alert(x);</script>当然这样做没有一点隐蔽性,虽然前面的xxx.com瞒过了少数人,但大多数人可以辨认出后面的javascript代码,所以,我只需要将后面的javascript代码转换成URL的16进制,如:http://www.xxx.com/reg.asp?name=%3C%73%63%72%69%70%74%3E%78%3D%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%61%6C%65%72%74%28%78%29%3B%3C%2F%73%63%72%69%70%74%3E上面的URL你还认得吗?除非你把它转换出来。(进制转换可以使用Napkin工具,哎,太坏了。。有人问Napkin的下载地址,贴在这里好了:http://www.0x90.org/releases/napkin/Napkin-1.0-Windows.zip)根本原因1. 没有对输入进行约束,没有对输出进行编码2. 没有严格区分“数据”和“代码”示例发现大名鼎鼎的淘宝网也存在这样的漏洞,我们在搜索框中输入:"/><div style="position:absolute;left:0px;top:0px;"><iframe src="http://www.baidu.com" FRAMEBORDER=0 width=1000 height=900/></div><a href="这样,我们已经修改了淘宝原有的页面,在下面嵌入了百度的首页。效果如图:图片是2008年的效果界面,现在再测试淘宝当然做了防御啦:使用时机我尝试在各种不同网站寻找 XSS漏洞, baidu, amazon.cn, youku.com, dangdang.com等等。结果,我发现XSS漏洞非常普遍!其实XSS利用的是网页的回显,即,接收用户的输入,然后再在页面显示用户的输入。总结 一下几个可能会出现漏洞的地方:搜索引擎留言板错误页面通过在上面那些类型的页面输入一些特殊的字符(包括< > / "),如:</?jjkk>,然后在结果页中的源码处搜索是否存在原样的:</?jjkk>,如果存在,恭喜你,发现了一个XSS漏洞。分类1. DOM-based cross-site scripting页面本身包含一些DOM对象的操作,如果未对输入的参数进行处理,可能会导致执行恶意脚本。如下面一些DOM操作: 举个例子,假如某个脆弱的页面的代码如下: 攻击者使用如下的URL访问时,则非常危险: 试了一下,貌似IE、FireFox等浏览器默认对<script>alert(document.cookie)</script>进行了编码,阻止了脚本的执行。但是对于DOM操作还是要更加谨慎啊,比如把上面的页面修改一下,安全性就增强了不少:2. Reflected cross-site scripting        也被称为None-Persistent cross-site scripting,即,非持久化的XSS攻击,是我们通常所说的,也是最常用,使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接菜能引起。 3. Persistent cross-site scripting        持久化XSS攻击,指的是恶意脚本代码被存储进被攻击的数据库,当其他用户正常浏览网页时,站点从数据库中读取了非法用户存入非法数据,恶意脚本代码被执行。这种攻击类型通常在留言板等地方出现。实施方式我们来试一把Reflected cross-site scripting。当我们在某网站输入参数XXX,发现参数XXX原样的出现在了页面源码中: OK,可以开始做文章了,我们将XXX替换为:abc"/><script>alert('haha')</script><a href=",返回的HTML代码如下:这样,<script>alert('haha')</script>被执行了。这里再举例一些XSS攻击行为:更加详细的列表请参见 5危害盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力盗窃企业重要的具有商业价值的资料非法转账强制发送电子邮件网站挂马控制受害者机器向其它网站发起攻击防范必须明确:一切输入都是有害的,不要信任一切输入的数据。缓和XSS问题的首要法则是确定哪个输入是有效的,并且拒绝所有别的无效输入。替换危险字符,如:"&", "<", ">", ""","'", "/", "?",";", ":", "%", "<SPACE>", "=", "+"。各种语言替换的程度不尽相同,但是基本上能抵御住一般的XSS攻击。1.python的cgi.escape函数:2.ASP中的Server.HTMLEncode:3.ASP.NET的Server.HtmlEncode及Server.UrlEncode:4.PHP的htmlspecialchars方法: 5.JAVA中的java.net.URLEncode.encode:4.有些网站使用过滤javascript关键字的办法来防止XSS,其实是很不明智的,因为XSS有时候根本就不需要javascript关键字或者对javascript关键字进行格式变化来躲过过滤。5.为所有的标记属性加上双引号。应该说这也不是万全之策,只是在转义了双引号的前提下的一道安全保障。比如:不加双引号时,onclick被执行了:加上了双引号,onclick不会被执行:6.将数据插入到innerText属性中,脚本将不会被执行。如果是innerHTML属性,则必须确保输入是安全的。如ASP.NET中:7.使用IE6.0SP1的cookie选项HttpOnly,注意,HttpOnly只能阻止恶意脚本读取cookie,并不能阻止XSS攻击。比如在ASP.NET中:8.使用IE的<IFrame>的Security属性,设置为restricted后,frame中的脚本将不能执行(仅限于IE)。如:9.ASP.NET中的ValidateRequest配置选项。默认情况下,这个功能是开启的,这个功能将会检查用户是否试图在cookie、查询字符串以及HTML表格中设置HTML或脚本。如果请求包含这种潜在的危险输入,就会抛出一个HttpRequestValidationException异常。我在尝试试探当当网的XSS漏洞时发现这个异常信息,可以说当当网使用了ValidateRequest这个选项,或者从另一方面说,也许是无意中启用了这一选项,同时,将错误信息抛出给用户是非常不安全的。    1.给一个页面设置ValidateRequest选项:    2.在Machine.config中设置全局ValidateRequest选项,注意,如果在Web.config中重新设置,不会覆盖Machine.config中的这一设置:     3.让我们来目睹当当网给我们带来的这一盛况:10.在一些必须使用到HTML标签的地方,比如公告栏,可以使用其他格式的标示代替,比如论坛中广泛使用的BBCode,用...
阅读全文
WannaMiner 挖矿木马手工检测笔记 安全博客

WannaMiner 挖矿木马手工检测笔记

发现可疑进程:外部扫描: 该木马通常会开启65531-65533 端口 nmap -p65531-65533 --open -oG d:\result1.txt 10.230.12.1/16 过滤出受影响IP:grep -oE "\b({1,3}\.){3}{1,3}\b" 230-result1.txt 恶意端口对应进程:恶意进程对应服务:对应服务名:snmpstorsrv 恶意服务详情 服务加载模块 加载dll:snmpstorsrv.dll 加载恶意模块位置 dll位置:C:\Windows\system32\snmpstorsrv.dll dll模块对应的md5 MD5:42A12DE5A2B8CFF827407877DBD66B16360威胁情报查看确实有相应的威胁情报信息,并有相关安全报道 查看文件创建日期Get-Item C:\Windows\system32\snmpstorsrv.dll 2009/7/14 9:39 修改过文件时间不准确 导出注册表查看服务创建日期服务创建日期:2018/11/16 - 18:17 更详细快捷的查杀建议使用pchunter 火绒剑 auturuns等安全工具 Source:wolvez.club | Author:wolvez
阅读全文
深度学习之Keras检测恶意流量 安全文章

深度学习之Keras检测恶意流量

Keras介绍Keras是由 Python 编写的神经网络库,专注于深度学习,运行在 TensorFlow 或 Theano 之上。TensorFlow和Theano是当前比较流行的两大深度学习库,但是对初学者来说相对有些复杂。Keras 使用简单,结构清晰,底层计算平台可基于 TensorFlow 或 Theano 之上,功能强大。Keras 可运行于 Python 2.7 或 3.5 环境,完美结合于 GPU 和 CPU,基于 MIT license 发布。Keras 由 Google 工程师François Chollet开发和维护。安全能力&感知攻击如何监控感知一个安全的应用边界,提升边界的安全感知能力尤为重要,那么常见七层流量感知能力又有哪些?静态规则检测方式,来一条恶意流量使用规则进行命中匹配,这种方式见效快但也遗留下一些问题,举例来说,我们每年都会在类似 WAF、NIDS 上增加大量的静态规则来识别恶意攻击,当检测规则达到一定数量后,后续新来的安全运营同学回溯每条规则有效性带来巨大成本、规则维护的不好同样也就暴露出了安全风险各种被绕过的攻击未被安全工程师有效识别、规则数量和检测效果上的冗余也降低了检测效率、海量的攻击误报又让安全运营同学头大,想想一下每天你上班看到好几十页的攻击告警等待确认时的表情 凸 (艹皿艹) 凸。如何使用多引擎的方式对数据交叉判断,综合权重计算形成报告,提升安全运营通过对七层恶意流量的感知能力同时攻击降低漏报率,其中是有很多种引擎或方案可以考虑的,比如最近几年流行的语义识别、AI 识别等等,本文主要说一下通过其中一种 AI 方式进行补充交叉识别恶意攻击。常见攻击&XSS在 Web 漏洞中常见的数量最多的漏洞应该是 XSS 了,XSS 跨站脚本 (Cross Site Script),在 Web 页面中,导致攻击者可以在 Web 页面中插入恶意 JavaScript 代码 (也包括 VBScript 和 ActionScript 代码等),用户浏览此页面时,会执行这些恶意代码,从而使用户受到攻击。有的安全同学可能非常不屑,认为这是垃圾洞有些 src 确实也这么认为的看到 xss 直接忽略,说 xss 垃圾的理由很多,比如什么现在都上 https、http-only。你是打不到我的核心 Cookies 的一样没用,其实想想笔者也在刚入行的时候在某 SRC 日夜审洞,一边审核一边骂这些都是垃圾洞没鸟用。等到笔者真正在进行渗透的时候发现一个垃圾 XSS 洞也可以有很多种高级玩法,比如可以用 XSS 嗅探内网用 XSS 获取 redis-shell、struts-shell、后渗透等。实现思路用神经网络搭建一个 XSS 攻击感知器,一般我们说达到 3 层的神经网络才称为深度神经网络,而组成神经网络的就是感知器,本次使用输入的 XSSplayload 预测使用二分类的方式判断是否为 xss。进入正文,使用 AI 模型达到的效果,测试结果在测试集与验证集上准确率和召回率都达到 95% 以上,预测效果:恶意流量:/examples/jsp/jsp2/el/search=<SCript>alert('xss')</scRIpt>恶意流量:/iajtej82.dll?<img src='javascript:alert(cross_site_scripting.nasl);'>恶意流量:/examples/jsp/jsp2/el/search=<prompt>alert(/1/)</prompt>恶意流量:/cgi-bin/index.php?gadget=glossary&action=viewterm&term=<script>alert('jaws_xss.nasl');</script>恶意流量:/fmnveedu.htm?a=<marquee loop=1 width=0 onfinish=confirm(1)>0</marquee>数据集结构,准备了两个文本文档,黑白样本各 10+万,其中恶意样本内容如下,每行代表一个 xss 的 playload。<script>cou006efiru006d`1`</script><ScRiPt>cou006efiru006d`1`</ScRiPt><img src=x onerror=cou006efiru006d`1`><svg/onload=cou006efiru006d`1`><iframe/src=javascript:cou006efiru006d%28 1%29><h1 onclick=cou006efiru006d(1)>Clickme</h1><a href=javascript:prompt%28 1%29>Clickme</a><a href="javascript:cou006efiru006d%28 1%29">Clickme</a><textarea...
阅读全文
代码审计第四节-XSS基础知识 代码审计

代码审计第四节-XSS基础知识

代码审计第四节主要是讲解XSS的一些基础知识。跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其中Web里面的javaScript代码会被执行,从而达到恶意攻击用户的特殊目的。目前xss可分为3类,存储型、反射型、还有Dom型。相对来说反射型的漏洞会多一些,但是存储型也会很多,危害不用多说,大部分xss漏洞都是用来盗取cookie,进行后台登陆,造成企业非常大的危害。对于xss,wooyun上面也是特别多实例来介绍xss。http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E7%98%A6%E5%AD%90/type/1/page/1你可以参考大牛文章进行学习,来进行挖掘。其实xss危害也是非常大的,我在wooyun上面进行搜索如下:所以为了互联网安全,我们开始学习xss基础吧。首先写点简单代码,来给大家认识一下,什么叫xss弹框。前提是你有一个环境,我们采用wamp这个环境来运行一下代码。123456789101112131415161718<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>XSS</title></head><body> <form action="" method="get"><input type="text" name="xss"><input type="submit"></form>  <hr> <?php $xss = $_GET; echo '你输入的字符为 '.$xss; ?></body></html>这个是显示的结果。那么我们在看看源代码有什么变化没有。我们输入的123是不是原样显示在源代码里面了。如果在cms源代码里面会怎么样呢,没有经过任何过滤,会发生什么呢?为了证明我们猜想,我们输入<script>alert(1)</script>我们想要的框框出来了。其实我们的代码就原样显示在源代码中了。恶意破坏者或者是白帽子主要是来进行获取管理员的cookie,那么我们来进行尝试一下看看能不能获取到管理员cookie呢?这是我们一个xss登陆平台。这个是需要插入到有缺陷的地方,来查看结果。这是我们获取到cookie,那么利用cookie就可以进行后台登陆了。这是没有过滤的情况下,那么还有下面的情况:123456789101112131415161718192021222324252627282930313233343536<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>XSS利用输出的环境来构造代码</title></head><body><center> <h6>把我们输入的字符串 输出到input里的value属性里</h6>  <form action="" method="get"> <h6>请输入你想显现的字符串</h6> <input type="text" name="xss_input_value" value="输入"><input type="submit"></form>  <hr> <?php$xss = $_GET;if(isset($xss)){echo '<input type="text" value="'.$xss.'">';}else{echo '<input type="type" value="输出">';}?></center></body></html>这次如果你直接输入是不能弹框的,你所有的内容都输入在value这个标签里面,所以不会造成弹框。那么如果我们把value进行闭框(闭合),会怎么样呢? 那么聪明的你肯定猜到了,这样是可以弹框的。那么除了这样的方式还有没有别的方式来进行弹框了,当然有了呢,我们还可以采取事件,时间都有哪些呢,onclick单击事件,onload页面加载事件Onmousemove鼠标移动就触发等。有时候有一些平台会把我们的语句过滤,会怎么办呢,一个是来进行查看源代码,一点一点绕过过滤,另外一种就是直接找一些语句,一句一句来进行测试,说不准哪一句就成功了。1234567<img scr=1 onerror=alert('xss')>当找不到图片名为1的文件时,执行alert('xss') <a href=javascrip:alert('xss')>s</a> 点击s时运行alert('xss') <iframe src=javascript:alert('xss');height=0 width=0 /><iframe>利用iframe的scr来弹窗 <img src="1" onerror=eval("x61x6cx65x72x74x28x27x78x73x73x27x29")></img>过滤了alert来执行弹窗这节基础讲完以后,下一结就给大家讲解代码实例挖掘,会给大家介绍工具挖掘,还有手工挖掘。第五讲主要是介绍一下DVWA高中低三种xss漏洞,然后会简单说一下bwapp相关xss漏洞,最后给大家进行挖掘CMS具体xss漏洞。谢谢大家,每次文章最后都会在本人博客发表www.sec-redclub.com本文作者:whitecell-club.org  redBu11文章欢迎转载,但请务必保留作者与出处! 本文始发于微信公众号(WhiteCellClub):代码审计第四节-XSS基础知识
阅读全文
API接口手工防御被恶意调用和接口被攻击 安全文章

API接口手工防御被恶意调用和接口被攻击

通常情况下的api接口防护有如下几种:使用HTTPS防止抓包,使用https至少会给破解者在抓包的时候提高一些难度接口参数的加解密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均传到后台,后台规定一个有效时长,如果在该时长内,且解密后的数据与原数据一致,则认为是正常请求;也可以采用aes/des之类的加密算法,还可以加入客户端的本地信息作为判断依据本地加密混淆,以上提到的加解密数据和算法,不要直接放在本地代码,因为很容易被反编译和破解,建议放到独立模块中去,并且函数名称越混淆越难读越安全。User-Agent 和 Referer 限制api防护的登录验证,包括设备验证和用户验证,可以通过检查session等方式来判断用户是否登录api的访问次数限制,限制其每分钟的api调用次数,可以通过session或者ip来做限制定期监测,检查日志,侦查异常的接口访问在开发web端程序时,如果你的服务是放在外网的,你是无法完全阻止别人模拟客户端来调用你的web api的。因为你的所有前端代码用户都能直接或间接的看到。而在开发小程序项目时,前端的小程序代码是上传到微信服务器的,其他人想要直接看到或拿到源代码的难度较大,因此小程序端相对安全些;为什么要做接口防护和权限校验?有时候,黑客通过抓包或者其他方式即可获得到后台接口信息,如果不做权限校验,黑客就可以随意调用后台接口,进行数据的篡改和服务器的攻击。因此,为了防止恶意调用,后台接口的防护和权限校验非常重要。小程序如何进行接口防护?要进行小程序的接口防护,首先需要了解小程序的登录过程,如下图所示整个的流程如下:小程序端通过wx.login()获取到code后发送给后台服务器后台服务器使用小程序的appid、appsecret和code,调用微信接口服务换取session_key和openid(openid可以理解为是每个用户在该小程序的唯一识别号)后台服务器自定义生成一个3rd_session,用作openid和session_key的key值,后者作为value值,保存一份在后台服务器或者redis或者mysql,同时向小程序端传递3rd_session小程序端收到3rd_session后将其保存到本地缓存,如wx.setStorageSync(KEY,DATA)后续小程序端发送请求至后台服务器时均携带3rd_session,可将其放在header头部或者body里后台服务器以3rd_session为key,在保证3rd_session未过期的情况下读取出value值(即openid和session_key的组合值),通过openid判断是哪个用户发送的请求,再和发送过来的body值做对比(如有),无误后调用后台逻辑处理返回业务数据至小程序端ps:会话密钥session_key 是对用户数据进行加密签名的密钥。为了应用自身的数据安全,开发者服务器不应该把会话密钥下发到小程序,也不应该对外提供这个密钥。session_key主要用于wx.getUserInfo接口数据的加解密,如下图所示什么是sessionId?在微信小程序开发中,由wx.request()发起的每次请求对于服务端来说都是不同的一次会话。啥意思呢?就是说区别于浏览器,小程序每一次请求都相当于用不同的浏览器发的。即不同的请求之间的sessionId不一样(实际上小程序cookie没有携带sessionId)。如下图所示:实际上小程序的每次wx.request()请求中没有包含cookie信息,即没有sessionId信息。那么我们能否实现类似浏览器访问,可以将session保存到后台服务器呢?答案是肯定的。我们可以在每次wx.request()中的header里增加## java的写法,Jsessionid只是tomcat的对sessionId的叫法,其实就是sessionId header:{'Cookie': 'JSESSIONID=' + sessionId}## thinkjs3.0 的写法 header:{'Cookie': 'thinkjs=' + sessionId}效果如下图所示:在thinkjs3.0的后台代码中,sessionId被保存到了cookie里,可以通过const session_id = this.cookie('thinkjs')提取到sessionId的值具体ThinkJS的实现代码首先创建sever端的代码,如下图所示(cd到根目录,运行:thinkjs new server创建后台代码 本文始发于微信公众号(飓风网络安全):API接口手工防御被恶意调用和接口被攻击
阅读全文