恶意软件如今已经发展为威胁网络安全的头号公敌,为了逃避安全设施的检测,其制作过程也越来越复杂,其中一个典型做法是在软件中集成DGA(Domain Generation Algorithm)算法,产生速变域名,该方式作为备用或者主要的与C2服务器通信的手段,可以构造更加鲁棒的僵尸网络,做到对感染肉鸡的持续性控制。对应地,针对DGA算法的研究现在也是安全圈讨论的热点话题,学术界和工业界也有大量DGA域名检测的工作,但是在实际使用中存在误报过多的现象。由于传统DNS使用明文进行数据传输,造成严重的用户隐私泄露问题,DoT(DNS-over-TLS)、DoH(DNS-over-http)协议陆续通过RFC标准,用于保护用户隐私,但另一方面,加密DNS的使用将给DGA域名的检测带来新的挑战。
在恶意软件发展的初期,恶意软件编写者会直接将控制服务器的域名或IP直接写在恶意软件中(即使是现在也会有恶意软件遵从这种方式,笔者部署的蜜罐捕获的僵尸网络样本中,很多经过逆向之后发现也是直接将IP写在软件中)。对于这种通信的方式,安全人员可以明确知道恶意软件所通信的对象,可以通过黑名单的方式封锁域名及IP达到破坏恶意软件工作的目的。DGA(Domain generation algorithms),中文名:域名生成算法,其可以生成大量随机的域名来供恶意软件连接C&C控制服务器。恶意软件编写者将采用同样的种子和算法生成与恶意软件相同的域名列表,从中选取几个来作为控制服务器,恶意软件会持续解析这些域名,直到发现可用的服务器地址。这种方式导致恶意软件的封堵更为困难,因此DGA域名的检测对网络安全来说非常重要。
前段时间爆发的利用永恒之蓝进行勒索及xshell等事件,各大厂家都站在不同的角度分析了相应的事件及程序,对于对逆向不了解看着的确很吃力。上段时间看到宫总及袁哥都在讲DNS对于分析这种攻击的可行性。 永
Palo Alto Networks发现,攻击者越来越倾向于提前注册域名备用,利用这类战略性休眠域名的攻击越来越多。例如,SolarWinds事件的攻击者在实际攻击中利用的C&C 域名,在数年前就已注册。
按照惯例,首先放出一张ABC_123绘制的关于Solarwinds供应链攻击事件中Sunburst后门的设计思路及流程图,是从大量的Sunburst后门样本分析文章中归纳整理出来的,接下来依据此图,详细讲解整个后门工作过程。
上一篇文章ABC_123详细介绍过,本期再简单回顾一下。C2服务端的攻击者会通过控制C2域名解析到不同的ip地址段,间接控制Sunburst后门的行为,接下来看一个简单的例子,看看攻击者如何控制Sunburst后门,使其永久退出。
ESET 与巴西联邦警察合作,摧毁 Grandoreiro 僵尸网络。由于 Grandoreiro 僵尸网络通信协议中存在设计缺陷,研究人员利用这种缺陷跟踪受害者。
Bert Hubert 注意到了一个涉及.tickets、.blackfriday、.feedback等顶级域名的 DGA 域名,并将其发布到 Twitter:
用白话来说,就是相当于哈勃那种的东东,你给个网址,它会去这些网站上找这个网址是否是安全的,是否有什么不良历史记录这个意思
今天给大家介绍一款名叫Flightsim的实用工具,该工具可以帮大家生成恶意网络流量,并以此来评估自身的网络安全控制策略。
近期Check Point发现Naikon APT组织正在对亚太地区(APAC)国家政府进行网络攻击活动,使用了名为Aria-body的新后门控制受害者的网络。本报告将详细分析Naikon APT组织在过去5年中使用的战术,技术,程序和基础设施。
在最新的ntopng版本中,为了帮助理解网络和安全问题,警报已经大大丰富了元数据。在这篇文章中,我们重点讨论用于丰富流量警报和标记主机的"攻击者 "和 "受害者 "元数据。具体来说,当一个流量的客户端或服务器很可能是一个或多个安全问题的始作俑者时,它就被标记为 "攻击者"。同样地,当客户端或服务器被认为受到攻击时,它被标记为 "受害者"。对于非安全导向的用例(如严重的丢包),受影响/引起该问题的主机仍然以高分值突出显示,但它们不会被标记为攻击者/受害者,因为这些词只用于安全领域。
4月1日凌晨,火绒安全团队发出警报,部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。
背景: 最近,XShell远程终端工具发现被加入了恶意代码,目前官方就此事也做出了回应,要求使用者尽快下载最新版本。腾讯安全反病毒实验室就此跟进分析,对此次带有后门的XShell工具进行了分析。 技术分析: 概述: 整个恶意过程可以通过下图来展示 整个作恶过程分为3部分,第一部分是被patch的XShell启动后,执行到恶意的shellcode1。shellcode1解密后续数据后,执行该段代码shellcode2。第二部分shellcode2运行后会判断注册表项,如果不存在Data键值,则会收集
Banjori是被发现于2013年并活跃至今的银行木马。其攻击目标主要针对于法国、德国与美国的个人银行网上用户。当用户被感染后,木马会将恶意载荷注入至用户的活动进程实现持久威胁并对用户的信息进行收集。银行木马的盗窃重灾区多位于浏览器,Banjori亦不能免俗。相比IE与Chrome, 该木马尤为青睐于火狐浏览器,大部分被窃取的用户信息均通过对该浏览器的挂钩、数据库文件查询获取。值得一提的,该木马家族自2013年起就使用当年颇为时髦的动态域名算法获取CC服务器地址。这导致杀软传统的黑名单过滤形同虚设,但同时也为摧毁/接管该僵尸网络创造了条件。
《当人工智能遇上安全》系列博客将详细介绍人工智能与安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。只想更好地帮助初学者,更加成体系的分享新知识。该系列文章会更加聚焦,更加学术,更加深入,也是作者的慢慢成长史。换专业确实挺难的,系统安全也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
意在提供一个安全厂商产品清单的概况,来开阔安全圈知识广度,文中提到的知识简介和技术框架,仅针对入门用。
网络攻击的不断增加,要求NTA(网络流量分析)除了传统的监控(即延迟监控、服务可用性…..)外,还要注重安全方面。
构建恶意域名检测引擎,对海量域名进行自动化检测并识别出恶意域名,让威胁情报的检测和运营变得更智能、更高效,以缓解威胁情报分析师分面对海量威胁数据的分析压力。
一、引言 随着人工智能(artificialintelligence, 简称AI)的技术突破,现今的计算技术可从大数据平台中挖掘出有价值的信息,从而为人们在决策制定、任务执行方面提供建议对策与技术支持,将专业分析人员从复杂度高且耗时巨大的工作中释放。 企业与用户每天面临各种安全威胁,无论是钓鱼邮件中的恶意链接还是恶意软件的非法操作等,日新月异的攻击手段给用户安全带来了极大的困扰,造成了严重的安全威胁。由于现有的检测技术与防御系统已渐渐无法应对多变的挑战,而以机器学习(machinelearning,简称ML
这是这个系列最后一篇了,想要看更多内容请大家移步到原网站查看吧,这个系列的翻译可能会存在问题,希望大家可以理解,在实践中遇到问题欢迎与我们交流,有对红蓝对抗感兴趣的同学欢迎联系组长加入组织。
网站上线前需要对网站进行渗透测试,上一节我们Sine安全讲师讲了web的基础知识了解,明白了具体web运行的基础和环境和协议,这一节我们来讨论下域名和DNS工作原理以及http状态码和请求的协议来分析检测中的重点域名收集。
免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
本文用识别由域名生成算法Domain Generation Algorithm: DGA生成的C&C域名作为例子,目的是给白帽安全专家们介绍一下机器学习在安全领域的应用,演示一下机器学习模型的一般流程。机器的力量可以用来辅助白帽专家们更有效率的工作。 本文用到的演示数据集和python演示代码请参见 https://github.com/phunterlau/dga_classifier 关于编码和行文风格过于仓促的问题,请不要在意这些细节,如果有相关问题可以微博上@phunter_lau,大家互相交流进步
在互联网发展的早期,恶意程序采用TCP直连的方式连上受害者的主机。随着局域网的发展,以TCP反弹的方式进行连接。
机器之心报道 机器之心编辑部 GNN 是近年来非常火的一个领域。最近,一篇 Nature 子刊论文提出了一种用 GNN 解决组合优化问题的方法,并声称该 GNN 优化器的性能与现有的求解器相当,甚至超过了现有的求解器。不过,这篇论文引来了一些质疑:有人指出,这个 GNN 的性能其实还不如经典的贪心算法,而且速度还比贪心算法慢得多(对于有一百万个变量的问题,贪心算法比 GNN 快 104 倍)。所以质疑者表示,「我们看不出有什么好的理由用这些 GNN 来解决该问题,就像用大锤砸坚果一样。」他们希望这些论文作者
CAICT数字化治理 ● 点击蓝字关注我们 ● 近年来,数字技术创新和迭代速度明显加快,在提高社会生产力、优化资源配置的同时,也带来一些新问题新挑战,迫切需要对数字化发展进行治理,营造良好数字生态。中央网络安全和信息化委员会近日印发的《“十四五”国家信息化规划》中,明确提出要建立健全规范有序的数字化发展治理体系。这将推动营造开放、健康、安全的数字生态,加快数字中国建设进程。 在数字化时代,不变的是“变化”,新技术、新业务、新模式、新生态层出不穷,企业作为社会治理体系中重要的一环,在数字经济时代加速数字化转型
此文力求比较详细的解释DNS可视化所能带来的场景意义,无论是运维、还是DNS安全。建议仔细看完下图之后的大篇文字段落,希望能引发您的一些思考。
2017年,勒索病毒扩散事件让大家人心惶惶,对WannaCry勒索病毒、Petya勒索病毒、Locky勒索病毒、BadRabbit勒索病毒的传播记忆犹新,而2018年初,GlobeImposter勒索病毒也没闲着,仅18年1月至今,明御APT攻击(网络战)预警平台就检测到华北区域、华南区域、西南区域、华东地区等地数家用户单位感染勒索病毒,主要涉及医疗、房地产、金融等行业。
目前各个安全厂商都开始积极地挖掘情报数据的价值,研究威胁情报分析与共享技术。越来越多的安全厂商开始提供威胁情报服务,众多企业的安全应急响应中心也开始接收威胁情报,威胁情报的受重视程度日益变高。根据SANS 发布的全球企业的威胁情报调查报告(The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing),94% 的受访企业表示目前已有威胁情报项目,70% 企业采了用威胁情报供应商的商业源。
MalConfScan是一个Volatility插件,可从已知的恶意软件家族中提取配置信息。Volatility则是一个用于事件响应和恶意软件分析的开源内存取证框架。此工具会在内存映像中搜索恶意软件并转储配置数据。此外,它还具有列出恶意代码所引用的字符串的功能。支持的恶意软件家族MalConfScan可以转储以下恶意软件配置数据,已解码的字符串或DGA域:U
...8一、智能汽车安全攻防大揭秘 2017年10月23日 360独角兽安全团队(UnicornTeam) (作者), 李均 (作者), 杨卿 (作者), 等 (作者) 本书首先针对汽车研发人员介绍了一些安全基础知识,如加密解密、安全认证、数字签名、常见攻击类型和手段等,然后针对安全研究人员介绍了一些智能汽车的工作原理,如汽车的内网协议、网络架构、X-By-Wire 线控系统原理、常见潜在攻击面等,最后对一些实际的汽车攻击或安全测试案例进行详细分析,并在分析过程中对案例里涉及的漏洞进行防御分析。本书的
目前尚不清楚该恶意软件的幕后黑手是谁,但 Infoblox 的研究人员认为,有4个参与者正在利用和开发该恶意软件来进行具有高度针对性的操作。由于观察到的范围仅限于俄罗斯和东欧地区,似乎该活动与俄乌战争有关。
结巴分词的过程是: 1、根据dict.txt中的词库构建一棵trie树,这棵树的实例只有一个,采取单例模式。 2、每来一次分词构造,就顺着trie树进行分词,这将产生很多种结果,于是就生成了一个DGA,分词的有向无环图,终点是句子的左边或者右边(实际上应该分别以左边和右边为终点来做处理)。 3、利用动态规划,从句子的终点开始,到这算回去(这个在动态规划中很常见,概率dp):对DGA中查找最大的概率的分词路径,路径上的词语就是分词结果。 4、返回分词结果。
笔者最近参加聂君和郭威两位资深安全人士主办的“2021金融业企业安全建设实践群系列论坛暨大型红蓝对抗经验闭门研讨会(深圳站)”学习网络安全建设经验,受益匪浅。会上笔者也分享了隐蔽通信应用及防御的相关内容,很高兴收到不少安全同行反馈说“议题内容对我们安全建设有很大的帮助,有不少信息是之前没有了解过的”。为了让更多企业单位更全面了解攻击者多样化的隐蔽通信手段以及更好的完善防御,笔者也将演讲稿分享出来,这些也是蓝军和红军在十多年的对抗中长期保持调研学习业界案例和经验、总结沉淀并延伸的成果,希望可以给行业带来帮助,也请大家不吝指正。
可能有些朋友还不知道,Oracle 推出了完全免费的 Express 版本,虽然存在一些功能限制,但是这个版本是完全免费的,只要你需要,可以随意适用。
背景知识 由于依赖感染指标(IOCs)的安全方法越来越不可靠,“突破口假设”成为业界公共的表示方法。这种情况经常发生,直到外部主机发现一个缺口并通知机构之前,入侵都没有办法检测到。 作为基于签名的解决方案和从第三方获取问题信息的替代,网络防御者需要来自于已经进入企业内部的未知敌手的“突破口假设”。 给定越来越多攻击者的目标和个人信息,网络防御者必须在已知IOC的基础上扩大搜索范围,并且在他们的网络中寻找未知的突破口。这个系统追踪未知攻击者的方法被叫做网络攻击追踪。 对攻击者的追踪并非没有难度,一些企业(
虚竹哥有个朋友小五,他是在安全厂家公司工作。小五的大学系主任找他,咨询有没有比较优秀的网络通信安全防护的软件,需要对学校的网络进行安全防护。
*原创作者bt0sea,本文属FreeBuf原创奖励计划,未经许可禁止转载 之前在FreeBuf发表的第一篇有关蜜罐文章,引起了业界不小的轰动,但是上篇文章主要是和大家探讨服务型蜜罐的技术
0x00 前言 在讲文章主题之前,我们还是习惯性地聊(che)一(che)聊(dan)。 远程控制木马大家都不陌生,尤其是早期接触黑客技术的人,应该可以发现早在2007-2009年,这段时间内,国内的“黑客技术”正是蓬勃发展的时期,那个时候,可谓是“战乱纷争,万马奔腾”的年代,当时流行各种黑客技术,其中就包括远程控制技术。 各种远程控制木马满天飞,无论是最早葛军编写的“灰鸽子”,还是各种后起之秀的RAT,简直不胜枚举,各种被阉割的xxx专用版,各种新出的xxxRAT。如各类国产远控木马、上兴、PCShare
俄罗斯Fancy Bear APT组织已经重构了后门,改进了加密技术,使其变得更加隐蔽,更难以制止。 根据安全公司ESET的专家发表的一份新报告:俄罗斯Fancy Bear APT组织(又名Sednit,APT28,Sofacy,Pawn Storm和Strontium)所进行的操作更为复杂,难以察觉。 该组织最近翻新了其最受欢迎的后门之一Xagent,通过实施新的功能使其更加隐蔽和更难以阻止。同时,他们重新设计了恶意软件的体系结构,因此很难依据识别以前的感染模式进行检测。 X-Agent后门(也称为Sof
本文深入探讨了我们在真实环境中所发现的域名系统(domain name system,DNS)隧道(Tunneling)技术的全新应用案例。这些技术不局限于命令与控制(command and control,C2)和虚拟私人网络(virtual private network,V*N)的DNS隧道,其应用范围更为广泛。
客户遇到在OEL8安装Oracle缺包问题,使用dnf安装也没有,甚至连oracle-database-preinstall-21c都装不上。本质是DNF配置问题。
首先放出一张ABC_123绘制的关于Solarwinds供应链攻击美国关键基础设施的流程图,是从大量的国内外关于此次攻击事件的报道中归纳整理出来的,接下来依据此流程图,详细讲解整个入侵流程。
2019年底,一家美国智库内部网络遭受入侵,美国安全公司Volexity帮忙做应急处理,很快将攻击者踢出网络,但是攻击者技术明显高超很多,很快又出现在内部网络中。此后每周都多次往返于内部网络中,窃取特定高管、专家和IT员工的邮件,将邮件内容发送到外部服务器。随后安全公司又花了一周的时间将攻击者踢出网络,但是不知道为啥,在2020年6月下旬,攻击者又卷土重来,又从相同的账号中窃取邮件信息。
有一种说法:“大多数的真空清洁机器人看不到周围的环境,吸力有限,不能正确做清洁。它们只是一个噱头。”詹姆士·戴森爵士(以他名字命名的公司是真空吸尘器领域的王者),上周在东京举行了他360 Eye真空清洁机器人的发布仪式。他似乎深谙炒作之道,在360 Eye推出前一周,他在YouTube上发布了一个吸引了超过50万点击的神秘视频。另外在社交网络上也赚足了眼球,大家纷纷讨论这个奇怪的视频和发布的真实日期。 戴森公司的工程师Nick Schneider解释选择日本作为发布地的原因,日本长期以来形成的消费文化,消费
在以前很多人可能听过拓扑排序,但可能认为它太难而不愿接触学习,也不清楚是排啥序的,然而拓扑排序实际很简单,生活中也很常用,面试笔试也会遇到,所以掌握拓扑排序已是必要的!
美国当地时间8月8日,一年一度的Black Hat(黑帽子)大会在拉斯维加斯如期举行。不经意间,这项吸引全球顶级厂商、黑客的大会已走过了21个年头。21年前,当时只有22岁的Jeff Moss(杰夫·莫斯)在创立 Black Hat时,估计做梦也无法想象,如今的会议规模和影响力竟会有如此之大。
领取专属 10元无门槛券
手把手带您无忧上云