大家好,我是ABC_123。在几个月前,我反复研读国家计算机病毒应急处理中心的多篇报告及360安全公司发布的各种关于该事件的报道,再结合国外对于美国APT研究报告,花了半个多月的时间复盘了美国APT入侵中国西北工业大学的整个流程,详见《第58篇:美国安全局NSA入侵西北工业大学流程图梳理和分析(正式篇)》。随着对美国APT组织和武器库的进一步了解,ABC_123最近又有新的领悟和研究成果,本着“未知攻、焉知防”的道理,今天给大家讲一讲美国APT在入侵西工大过程中,所用到的5款远控后门。
再过几天期末考试了,还有好多要复习。。蛋都快碎了。最近在看老狼的gh0st内核编程,想了很久要不要写文章,最后还是觉得很有必要,原因过一会讲。
天下没有免费的午餐。 这句话也适用于那些想要寻找黑客工具的人。如果你想在网上找个现成的入侵工具的话就要知道,很多号称黑客“瑞士军刀”的工具都是骗人的。 最近,多个地下黑客论坛出现一款免费的远控生成器,这款工具内置了一个后门模块,能够让工具作者获取那些受害者的数据。 这款远控被命名为Cobian,今年2月已经开始传播。软件与njRAT和H-Worm有很多相似点,后两者至少在2013年已经存在。 来自Zscaler的ThreatLabZ研究人员发现这款恶意软件,它可以帮助那些黑客小白轻松制作自己版本的Cob
2012年以来,安天针对南亚次大陆方向的网络攻击进行了持续的跟踪与分析,追踪其攻击行动、溯源其幕后团伙,多年以来持续曝光相关攻击活动,震慑印方攻击组织。安天于2016年7月发布报告“白象的舞步——来自南亚次大陆的网络攻击”[1];2017年12月发布报告“潜伏的象群—来自印方的系列网络攻击组织和行动”[2];2019年5月发布报告“响尾蛇(SideWinder)APT组织针对南亚国家的定向攻击事件”[3];2020年1月发布报告“折纸行动:针对南亚多国军政机构的网络攻击”[4]。
安全10月24日讯 新型安卓远程管理工具“AhMyth Android RAT”的源码出现在GitHub上,用户可在GitHub下载并测试这款RAT。今天就体验一下这款安卓远控木马
2、在 Kali 终端输入以下命令在 Kali 虚拟机/root路径下生成远控文件520.apk:
在学习攻击渗透的过程中,不免会接触远控工具。远控工具一般包含服务端和客户端,服务端运行在攻击者的VPS主机上,客户端运行在被攻击机器上。服务端向客户端发送指令,客户端执行指令并将结果回传给服务端,从而达到通过网络远程控制被攻击主机的效果。
PS:本文仅用于技术讨论与交流,严禁用于任何非法用途,违者后果自负 在学习攻击渗透的过程中,不免会接触远控工具。远控工具一般包含服务端和客户端,服务端运行在攻击者的VPS主机上,客户端运行在被攻击机器上。服务端向客户端发送指令,客户端执行指令并将结果回传给服务端,从而达到通过网络远程控制被攻击主机的效果。 现有的远控工具很多,从大名鼎鼎的冰河到CHAOS。但是直接使用现有的远控工具,一方面会担心工具被人加入了后门在运行的过程中自己反而成了被控制方,另一方面只会使用工具也会沦为“脚本小子”而不知道其背后的原理
眨眼间,2018 年的上半年就这样飞逝而过,在上半年的工作中,接触最常规的安全事件就是服务器或者办公主机被远控作为肉鸡挖矿来获取利益或者对其它网站进行 DDoS 攻击,今天分享一下如何利用 Linux 常规的 SSH 弱口令爆破 Linux 服务器并利用该服务器进行挖矿及对其它网站进行 DDoS 攻击,攻击即分析流程较为简单,如有不适之处,欢迎斧正。
在红蓝对抗中,我们经常会碰到需要对Linux主机进行长期远控的情况。对于Windows主机,我们可以使用CobaltStrike,那么自然我们会想问,CobaltStrike能否对Linux主机进行长期远控呢?
默认情况下todesk日志文件保存在安装目录同级目录Logs下,在4.7以前的版本中,目录下有以service为首的文件以及以client为首的文件。其中service文件表示是被别人远控的日志。client文件表示是远控别人的日志。在4.7后的版本含4.7中,目录下不再存在以client为首的文件。
持续性的挖矿、远控后门等事件可以通过直接排查发现,但是在实际工作中,很多恶意行为(访问恶意域名、连接恶意IP)只集中出现了几次,无法直接通过网络连接找到恶意进程及文件或者有些恶意程序处置结束后,无法确定是否已经清理完整,所以需要有一个专门的章节来处理这类事件,我们将它命名为非持续性事件
有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行为等,均有linux恶意文件的身影作祟。
1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
被黑疑似进程(或 svchost.exe 长时间 50%-100%) 因近期网上大规模爆发Windows 漏洞 2003/2008/2012 等系统被黑的情况,且相关黑客工具获取非常容易本次漏洞基本包含了所有 Windows 系统,5 月 13 日 wana Decrypt0r 2.0 勒索软件爆发,大量计算机被黑和植入木马,且有被加密勒索。 通过这个大洞入侵后,勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿
很不幸,疫情再次出现反复。部分城市、街区被迫放慢脚步,企业只能选择远程办公、居家办公。通过有关新闻,我们看到这样的画面:
不知道你有没有遇到过马上线却不能操作的情况,我猜当你网络卡或马写得不好时会出现这个问题,但是人为的你可能没遇到过,首先要欺骗你的远控,得分析你的协议,如果你的马根本不是公开的。网络又是好的,你刚往人家机器里种马,发现马只能上线不能操作,绝对是马有问题,不能甩锅我。人家都不知道你的马的通信原理,流量特征,不可能事先准备好一个程序,让你一发就欺骗你的马。 本文主要研究CS这个APT很喜欢用的马,当然TCP的也一样原理,只要构造对应的数据包就可欺骗
一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言,其语法类似BASIC。 使用 Au3 开发的程序,能够具有以下功能: 模拟击键和鼠标移动操作; 对窗口和进程进行操作; 与所有标准的 Windows 控件进行交互。 编译的独立可执行文件无需安装任何运行环境。 可创建图形用户界面( GUI ); 支持 COM ; 支持正则表达式; 可直接调用外部 DLL 和 Windows API
Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。
说起远控软件,大家的第一印象是什么?是能实现电脑控制电脑、手机平板控制电脑、或手机电脑控制另外手机的操作需求,还是TeamViewer、ToDesk、向日葵、微软桌面这类的产品名称?
支持:Windows, macOS , iOS , Android , Linux (x86_x64/Arm_v7l/Arm64)且适配各种分辨率屏幕,多屏幕设备。
新知系列课程第二季来啦!我们将为大家带来全真互联时代下新的行业趋势、新的技术方向以及新的应用场景分享。本期我们邀请了腾讯云音视频专家工程师——白松灵,为大家分享5G远控技术创新探索以及腾讯云在超低延时传输上的技术实践。 5G是当前的新趋势。传统4G满足不了的很多需要更大带宽、更低延时的需求,比如云游戏、VR/AR、4K/8K、全景直播等需要超大带宽的应用,在4G下无法实现,通过5G则可以满足;而远程手术、远程会议、远程会诊、自动驾驶等超低延时的应用场景,在5G加持下也有了实现可能。 从下面的图表中也能看出
本文章或工具仅供安全研究使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,极致攻防实验室及文章作者不为此承担任何责任。
// 编者按:随着自动驾驶技术和5G行业应用的发展,5G远程实时操控类应用逐渐兴起,用于满足高危行业/恶劣场景远程作业、自动驾驶异常情况下远程介入等需求。相比直播、会议等传统实时音视频场景,由于操控的复杂性和车辆的移动性,远程实时操控对音视频传输的时延和可靠性提出了更高的要求。 本次分享将介绍5G远程实时操控行业应用场景对音视频传输的要求,以及腾讯云音视频针对5G远程实时操控场景的音视频传输优化和应用落地实践。 文/毛峻岭 整理/LiveVideoStack 我是来自腾讯的毛峻岭,今天很高兴能够给
2017年5月12日,WannaCry蠕虫在全球大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry,在数小时内横扫了近150个国家的政府机关、高校、医院等。红色的背景“桌面”席卷全球,致使多个国家的政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受到了前所未有的破坏。
当下的局势,移动办公已经成为主流,远程控制工具也成为了我们日常办公不可或缺的软件。
概述: KONNI是一类远控木马病毒,很早之前就由思科Talos团队披露过。在2014年的时候就开始活跃起来了。针对的主要攻击对象有俄罗斯、韩国等地区。在PaloAlto团队的研究中发现此类木马病毒家族与Nokki有很多相似之处,疑似这个与东亚的APT组织存在关联性。此后Konni被当做疑似具有东亚背景的APT组织。 暗影实验室根据捕获的样本发现,此样本仿冒安全软件,以检测用户设备安全情况为诱饵,诱导用户使用此软件。用户安装应用之后向主控地址请求远控命令,获取用户联系人、短信、应用安装列表等信息,将获取的隐
随着数字货币价值不断攀升,盗取用户计算机处理器的计算能力进行挖矿成为一门一本万利的暴利营生。自2017年爆发之后,近年来在挖矿木马全球范围持续活跃,每年都有大量主机和服务器被感染,已成为网络世界最主要的威胁之一。近日,腾讯安全发布《2019年度挖矿木马报告》,对挖矿木马种类、感染趋势、技术特点等进行全面分析,并有针对性地提出相关防御和处置建议。
这次继续围绕第一篇《第一季从攻击者角度来对抗》做整理与补充。在深入一步细化 demo notepad++。
我们(Buffer)早在 2016 年就开始使用 Kubernetes 了。我们使用 kops 对 Kubernetes 集群进行管理,其中包含了大约 60 个运行在 AWS 的节点,运行着 1500 个左右的容器。我们的微服务迁移之路充满坎坷。在和 Kubernetes 相处多年以后,我们还是会时不时遭到它的毒打。本文接下来要讨论的案例就是这样——CPU Limit 是一头披着狼皮的羊。
某日午睡迷迷糊糊梦到Metasploit里有个Java平台的远控载荷,梦醒后,打开虚拟机,在框架中搜索到了这个载荷
本次更新主要有四项,其中较大的改动是加入了拷贝取证、进程启动文件检查 全盘拷贝常规情况都需要关闭受害主机,此时会失去进程以及内存信息 ,进程拷贝需要保证系统不变,更改系统后,进程无法恢复
前天,我写了一篇《赚了20亿美元GandCrab勒索病毒家族的故事》,其实里面还有很多内容我没有提及,在文章的最后,我留下了两段话:
远程控制的安全性已经算半个老生常谈的问题了,作为常年远程办公的人,这里我只想说一句,无论你用什么软件都会有安全上的隐患,做不到百分百的安全,但相对安全,咱们还是可以自主把控的。
大家好,我是码农飞哥,作为一个常年混迹职场的老码农。我在工作和生活中碰到了很多问题,也帮助别人解决了很多问题。前有帮实习生配环境,后有帮同事调BUG,中间还有教老爸如何使用手机。
今天主要是推荐一些比较好的golang安全项目,帮助大家取好好学习怎么自己写一个NB的安全工具。
远程桌面软件对于职场人来说并不陌生,可以说是必备的办公软件之一。在经历过新冠疫情后,大家对于远程办公的认识越来越深入,也就在这段期间,远程桌面软件大范围的应用起来,真正走进大众视野并融入我们的工作和生活。
在听过某网安教育关于浅谈的公开课后,结合本人学过的东西,以及自己实践过的经历。在此分享下木马对我们的影响。
扶凯,深圳秒点科技CEO。原云帆加速联合创始人&CTO,曾担任蓝汛架构师,土豆网技术经理,国美、音悦台等多家公司技术高管,国网信息产业集团事业部总经理,精通 CDN 网络加速技术、视频编解码技术与大规模对象存储技术等。2021年创立深圳秒点科技有限公司。 吴洪声,人称奶罩,腾讯云中小企业中心总经理,DNSPod创始人,洋葱令牌创始人,网络安全专家,域名及DNS技术专家,知名个人站长,中欧国际工商学院EMBA。 1 吴洪声:你原本从事的是 CDN 及边缘计算,在网络加速、视频解码领域有十多年的技术积累,
近日,腾讯安全威胁情报中心检测到有挖矿、远控黑产团伙利用向日葵远控软件RCE漏洞攻击企业主机和个人电脑,已有部分未修复漏洞的主机、个人电脑受害。攻击者利用漏洞入侵后可直接获得系统控制权,受害主机已被用于门罗币挖矿。
Ares远控 前言 本文介绍一个比较有意思的基于Python的远程控制工具Ares。Ares远控采用B/S架构,基于Python2,Server端使用Flask进行开发,整体在浏览器就
在维基解密曝光的CIA-Vault7文档中,包含了一堆晦涩难懂的名词、行话,以及一些不完整的描述和注册链接,这些信息非常有趣,但很多术语却让人很难理解。所以,在遍历了所有Vault7文档之后,我根据真实意思和一些可以查询到的结果,尽可能多地对其中涉及的黑客工具作了解释,以供参考研究,欢迎大家指正交流。 以下内容中,有些是根据提及的测试设备、开发者注释等信息得出的比较贴合实际意思的解释;而一些商业性工具(如洛克希德马丁的DART软件)、文档中涉及的注册链接和运行代号,在此就不作罗列。让我们随着Freebu
大家都知道,在PC端有着微软称霸,而移动端的就是安卓比较牛逼,但是PC端和移动端却是各管各的,互不干扰互不相通。
大家好,我是愚公代码,一个始终关注技术发展和应用实践的编程爱好者。相信很多人无论是出门办公、还是下班后在家学习,都曾面临过不想携带笔记本电脑的情况。在这样的时刻,远程桌面控制软件就展现出了其独特的价值,它能让我们在任何地点,只要有网络连接,就能远程操作自己的电脑,既省心又省力。
在之前的文章中,我推荐过很多“还不错”的应用软件,虽然评价褒贬不一,但也是尽量中立客观,而这次,我列举的软件则是我在日常工作生活中所使用的。 注意:本文不涉及正版话题,请自行理解。
物联网这个概念早在十多年前便已提出,其主要依托于移动通讯网络来实现其功能的传输。在过去物联网领域的一些设备控制场景中,我们或多或少都见到过远程控制技术的身影,但受限于当时的网络条件和技术场景,大部分应用都属于对设备的简单操作,并不会同步太多的现场实时信息。随着通讯技术的不断发展,以及5G技术的出现,智能化的生活也离大家越来越近。
物联网这个概念早在十多年前便已提出,其主要依托于移动通讯网络来实现其功能的传输。在过去物联网领域的一些设备控制场景中,我们或多或少都见到过远程控制技术的身影,但受限于当时的网络条件和技术场景,大部分应用都属于对设备的简单操作,并不会同步太多的现场实时信息。随着通讯技术的不断发展,以及5G技术的出现,智能化的生活也离大家越来越近。 5G的出现给移动网络带来了高带宽、低时延、本地分流等新的特性。同时,远程控制作为5G技术的先导,其对于智能化时代具备重要价值,5G可以满足远程控制应用中更多信息的同步需求
领取专属 10元无门槛券
手把手带您无忧上云