大家好,我是ABC_123。在几个月前,我反复研读国家计算机病毒应急处理中心的多篇报告及360安全公司发布的各种关于该事件的报道,再结合国外对于美国APT研究报告,花了半个多月的时间复盘了美国APT入侵中国西北工业大学的整个流程,详见《第58篇:美国安全局NSA入侵西北工业大学流程图梳理和分析(正式篇)》。随着对美国APT组织和武器库的进一步了解,ABC_123最近又有新的领悟和研究成果,本着“未知攻、焉知防”的道理,今天给大家讲一讲美国APT在入侵西工大过程中,所用到的5款远控后门。
被黑疑似进程(或 svchost.exe 长时间 50%-100%) 因近期网上大规模爆发Windows 漏洞 2003/2008/2012 等系统被黑的情况,且相关黑客工具获取非常容易本次漏洞基本包含了所有 Windows 系统,5 月 13 日 wana Decrypt0r 2.0 勒索软件爆发,大量计算机被黑和植入木马,且有被加密勒索。 通过这个大洞入侵后,勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿
在红蓝对抗中,我们经常会碰到需要对Linux主机进行长期远控的情况。对于Windows主机,我们可以使用CobaltStrike,那么自然我们会想问,CobaltStrike能否对Linux主机进行长期远控呢?
1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
持续性的挖矿、远控后门等事件可以通过直接排查发现,但是在实际工作中,很多恶意行为(访问恶意域名、连接恶意IP)只集中出现了几次,无法直接通过网络连接找到恶意进程及文件或者有些恶意程序处置结束后,无法确定是否已经清理完整,所以需要有一个专门的章节来处理这类事件,我们将它命名为非持续性事件
有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行为等,均有linux恶意文件的身影作祟。
默认情况下todesk日志文件保存在安装目录同级目录Logs下,在4.7以前的版本中,目录下有以service为首的文件以及以client为首的文件。其中service文件表示是被别人远控的日志。client文件表示是远控别人的日志。在4.7后的版本含4.7中,目录下不再存在以client为首的文件。
很不幸,疫情再次出现反复。部分城市、街区被迫放慢脚步,企业只能选择远程办公、居家办公。通过有关新闻,我们看到这样的画面:
大家都知道,在PC端有着微软称霸,而移动端的就是安卓比较牛逼,但是PC端和移动端却是各管各的,互不干扰互不相通。
在听过某网安教育关于浅谈的公开课后,结合本人学过的东西,以及自己实践过的经历。在此分享下木马对我们的影响。
在之前的文章中,我推荐过很多“还不错”的应用软件,虽然评价褒贬不一,但也是尽量中立客观,而这次,我列举的软件则是我在日常工作生活中所使用的。 注意:本文不涉及正版话题,请自行理解。
恕我直言,cs 无论是马或者源文件都被分析烂了,且 cs 的行为太明显了,必 须要大改特改才能满足现在的红蓝对抗,但是想大改谈何容易,所以最快的方 法是寻找一款新的 c2 框架,说白了,远控自己都能写一个出来,执行一些简单 操作还是可以的。
随着数字货币价值不断攀升,盗取用户计算机处理器的计算能力进行挖矿成为一门一本万利的暴利营生。自2017年爆发之后,近年来在挖矿木马全球范围持续活跃,每年都有大量主机和服务器被感染,已成为网络世界最主要的威胁之一。近日,腾讯安全发布《2019年度挖矿木马报告》,对挖矿木马种类、感染趋势、技术特点等进行全面分析,并有针对性地提出相关防御和处置建议。
不知道你有没有遇到过马上线却不能操作的情况,我猜当你网络卡或马写得不好时会出现这个问题,但是人为的你可能没遇到过,首先要欺骗你的远控,得分析你的协议,如果你的马根本不是公开的。网络又是好的,你刚往人家机器里种马,发现马只能上线不能操作,绝对是马有问题,不能甩锅我。人家都不知道你的马的通信原理,流量特征,不可能事先准备好一个程序,让你一发就欺骗你的马。 本文主要研究CS这个APT很喜欢用的马,当然TCP的也一样原理,只要构造对应的数据包就可欺骗
新知系列课程第二季来啦!我们将为大家带来全真互联时代下新的行业趋势、新的技术方向以及新的应用场景分享。本期我们邀请了腾讯云音视频专家工程师——白松灵,为大家分享5G远控技术创新探索以及腾讯云在超低延时传输上的技术实践。 5G是当前的新趋势。传统4G满足不了的很多需要更大带宽、更低延时的需求,比如云游戏、VR/AR、4K/8K、全景直播等需要超大带宽的应用,在4G下无法实现,通过5G则可以满足;而远程手术、远程会议、远程会诊、自动驾驶等超低延时的应用场景,在5G加持下也有了实现可能。 从下面的图表中也能看出
在维基解密曝光的CIA-Vault7文档中,包含了一堆晦涩难懂的名词、行话,以及一些不完整的描述和注册链接,这些信息非常有趣,但很多术语却让人很难理解。所以,在遍历了所有Vault7文档之后,我根据真实意思和一些可以查询到的结果,尽可能多地对其中涉及的黑客工具作了解释,以供参考研究,欢迎大家指正交流。 以下内容中,有些是根据提及的测试设备、开发者注释等信息得出的比较贴合实际意思的解释;而一些商业性工具(如洛克希德马丁的DART软件)、文档中涉及的注册链接和运行代号,在此就不作罗列。让我们随着Freebu
近日,腾讯安全威胁情报中心检测到有挖矿、远控黑产团伙利用向日葵远控软件RCE漏洞攻击企业主机和个人电脑,已有部分未修复漏洞的主机、个人电脑受害。攻击者利用漏洞入侵后可直接获得系统控制权,受害主机已被用于门罗币挖矿。
支持:Windows, macOS , iOS , Android , Linux (x86_x64/Arm_v7l/Arm64)且适配各种分辨率屏幕,多屏幕设备。
Cobaltstrike 是一款优秀的后渗透测试工具,一般用来做内网渗透,集成很多内网渗透攻击与命令。与MSF相似,曾经是MSF的一个模块,现在已经作为独立的平台使用,因此可与MSF联合使用。C/S架构,它分为客户端和服务端,服务端只要一个,客户端可有多个,可与多人团队进行分布式协团操作。Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、socket代理、office宏代码生成、远控木马等,几乎覆盖了APT攻击链中所使用到的各个技术环节。
Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。
本文介绍了一种从攻防两个维度研究分析网络安全对抗技术的方法。该方法基于Sysmon日志、ATT&CK标签日志、操作系统日志的分析实践,通过几种典型攻防对抗技术示例,着重介绍和分析攻击在主机层面特征,为蓝队人员“看得见”“看得清”网络威胁,提供了一种简单易学的技术修炼方法。也借此抛砖引玉,希望在安全规则优化或威胁狩猎的专家能有更多此方面技术分享。 “左右互搏术” 这里的“左右互搏术”,喻意为安全人员一边模拟红队或入侵者或企业内恶意人员的攻击,一边作为防守方从网络、主机等多层面检测和分析攻击,有助于安全人员
写这篇文章时,这次的渗透已经完成一周多了,当时也没有想到会要写文章出来,所以有一部截图是后来补上的,为了我的人身安全,有涉及到的敏感信息,我都会打码,请多多包涵。
1、远控免杀专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
在学习攻击渗透的过程中,不免会接触远控工具。远控工具一般包含服务端和客户端,服务端运行在攻击者的VPS主机上,客户端运行在被攻击机器上。服务端向客户端发送指令,客户端执行指令并将结果回传给服务端,从而达到通过网络远程控制被攻击主机的效果。
PS:本文仅用于技术讨论与交流,严禁用于任何非法用途,违者后果自负 在学习攻击渗透的过程中,不免会接触远控工具。远控工具一般包含服务端和客户端,服务端运行在攻击者的VPS主机上,客户端运行在被攻击机器上。服务端向客户端发送指令,客户端执行指令并将结果回传给服务端,从而达到通过网络远程控制被攻击主机的效果。 现有的远控工具很多,从大名鼎鼎的冰河到CHAOS。但是直接使用现有的远控工具,一方面会担心工具被人加入了后门在运行的过程中自己反而成了被控制方,另一方面只会使用工具也会沦为“脚本小子”而不知道其背后的原理
2、在 Kali 终端输入以下命令在 Kali 虚拟机/root路径下生成远控文件520.apk:
当下的局势,移动办公已经成为主流,远程控制工具也成为了我们日常办公不可或缺的软件。
说起远控软件,大家的第一印象是什么?是能实现电脑控制电脑、手机平板控制电脑、或手机电脑控制另外手机的操作需求,还是TeamViewer、ToDesk、向日葵、微软桌面这类的产品名称?
现实生活中有前门后门之分,前门一般守卫严格,难以突破,然而后门计较隐蔽,部位广大人们所知道,所以守卫比较松懈基本无人问津,所以后门的安全性很弱不能跟前门相比。在网络的世界也存在后门之说,后门的产生有些是自己人为了方便管理留下的,也有的是别有用心之人在获得目标权限之后故意留在隐蔽的地方只有自己知道,主家对其一无所知,以便别有用心之人方便进入公司内部窃取资料。
// 编者按:随着自动驾驶技术和5G行业应用的发展,5G远程实时操控类应用逐渐兴起,用于满足高危行业/恶劣场景远程作业、自动驾驶异常情况下远程介入等需求。相比直播、会议等传统实时音视频场景,由于操控的复杂性和车辆的移动性,远程实时操控对音视频传输的时延和可靠性提出了更高的要求。 本次分享将介绍5G远程实时操控行业应用场景对音视频传输的要求,以及腾讯云音视频针对5G远程实时操控场景的音视频传输优化和应用落地实践。 文/毛峻岭 整理/LiveVideoStack 我是来自腾讯的毛峻岭,今天很高兴能够给
Quasar是一种公开可用的开源远程访问木马(RAT),主要针对Windows操作系统,它通过恶意附件在网络钓鱼电子邮件中分发,改项目最初是由GitHub用户MaxXor开发,用于合法用途,然而该工具此后被黑客用于各种网络间谍活动
近期,火绒安全团队截获蠕虫病毒“RoseKernel”。该病毒可通过远程暴力破解密码等多种手段全网传播。病毒入侵电脑后,会同时执行“挖矿”(门罗币)、破坏Windows签名校验机制、传播后门病毒等系列恶意行为。由于病毒会对同一网段的终端同时暴力破解密码,对局域网等机构用户(政府、企业、学校、医院)危害极大,截至到发稿前,已有数万台电脑被感染。目前“火绒产品(个人版、企业版)”最新版即可查杀该病毒。
2012年以来,安天针对南亚次大陆方向的网络攻击进行了持续的跟踪与分析,追踪其攻击行动、溯源其幕后团伙,多年以来持续曝光相关攻击活动,震慑印方攻击组织。安天于2016年7月发布报告“白象的舞步——来自南亚次大陆的网络攻击”[1];2017年12月发布报告“潜伏的象群—来自印方的系列网络攻击组织和行动”[2];2019年5月发布报告“响尾蛇(SideWinder)APT组织针对南亚国家的定向攻击事件”[3];2020年1月发布报告“折纸行动:针对南亚多国军政机构的网络攻击”[4]。
前面写向日葵(sunLogin)的时候说到了 hidetoolz 这个进程保护器只能够暂时保护进程,重启后就失效需要重新设置,不过我最近找 win10 关闭 defender 工具的时候偶然又找到了一些好东西。
各位老司机在日常的渗透过程中,都会有自己趁手的工具集合,有开源的有私有的,不管什么样的工具组合,能够达到最佳的渗透效果就是好工具,老司机分享一点自己在内网渗透中惯用的开源工具和平台。
参考链接: https://blog.csdn.net/weixin_44727454/article/details/125605281 下面附上思维导图
0x01 情况概述监控软件监控到服务器存在异常的访问请求,故对此服务器进行安全检查。通过提供的材料发现内网机器对某公网网站存在异常的访问请求,网络环境存在着异常的网络数据的访问情况。针对其服务器进行综合分析发现了病毒文件两例,内网扫描器两例,通过以上的发现证实服务器已被黑客入侵。0x02 取证情况2.1 目标网络情况下文中的内网内ip以及公网ip为替换后的脱
为追求真实服务器环境,采用阿里云ECS弹性服务器搭建靶场(windows server2012 + phpstudy)
最近在某国外论坛上流出一款安卓远控spynote3.2版本,以前freebuf上有人发过spynots2.4版的,不过现在已经升级了,功能变得更加强大,危害更严重。 和以前的几个android远控
大家好,我是愚公代码,一个始终关注技术发展和应用实践的编程爱好者。相信很多人无论是出门办公、还是下班后在家学习,都曾面临过不想携带笔记本电脑的情况。在这样的时刻,远程桌面控制软件就展现出了其独特的价值,它能让我们在任何地点,只要有网络连接,就能远程操作自己的电脑,既省心又省力。
新型BuleHero挖矿蠕虫变种利用端口爆破攻击 腾讯安全率先捕获近日,腾讯安全御见威胁情报中心再次监测到一款全新变种的BuleHero挖矿蠕虫。结合对该病毒发展轨迹的梳理发现,与以往披露的多个历史变种不同,这一BuleHero挖矿蠕虫“新成员”新增了 4899 端口(即iis7远程桌面管理工具,批量管理服务器,批量保存账号密码)爆破攻击和“永恒浪漫”及“永恒冠军”等NSA新武器。其内网横向感染传播能力更为强大。
近日,卡巴斯基实验室最近发布的一份报告显示,2017年第二季度,泄露的一批新漏洞利用方案促成了数百万次对流行 APP 的新攻击。报告指出,Shadow Brokers 泄露的工具和据称 NSA 有关的漏洞在本季度造成严重后果。其中 EternalBlue、EternalRomance 之类的漏洞引起了大量的恶意攻击。 说起泄露,除了斯洛登棱镜门、Shadow Brokers 泄露 NSA 数据这种大型泄露之外,维基解密泄露的一系列 CIA 文档也可以算是史上较大规模政府机构信息泄露事件了。 📷
2023 年 8 月 17 日,业界披露了 WinRAR 的远程代码执行漏洞,编号为 CVE-2023-40477。该漏洞细节发布四天后,一个名为 halersplonk 的攻击者在 GitHub 上部署了一个虚假的 PoC 脚本。该虚假的 PoC 脚本基于公开公用的 PoC 脚本(CVE-2023-251157),该脚本利用名为 GeoServer 的应用程序中的 SQL 注入漏洞进行攻击。在分析了该虚假 PoC 脚本后,研究人员发现该脚本最终会安装 VenomRAT 远控木马。
远程桌面软件对于职场人来说并不陌生,可以说是必备的办公软件之一。在经历过新冠疫情后,大家对于远程办公的认识越来越深入,也就在这段期间,远程桌面软件大范围的应用起来,真正走进大众视野并融入我们的工作和生活。
远程控制的安全性已经算半个老生常谈的问题了,作为常年远程办公的人,这里我只想说一句,无论你用什么软件都会有安全上的隐患,做不到百分百的安全,但相对安全,咱们还是可以自主把控的。
不同于市面上其他远控工具,虽然支持各项协议的远控如dns、https、tcp、smtp层出不穷,但是一、各种对Cobra Strike 、冰蝎、恶意dns的流量检测技术逐步完善,从协议的隐蔽性和对抗性来说还远远不够;二、云环境下的渗透测试的目标环境会设置严格的安全组或者在vpc内,不能对外出入流量;三、出入的流量均会经过云安全厂商的检测,存在暴露风险。
Administrator/Admin@123、vulntarget.com\win2016/Admin#123
大家好,我是码农飞哥,作为一个常年混迹职场的老码农。我在工作和生活中碰到了很多问题,也帮助别人解决了很多问题。前有帮实习生配环境,后有帮同事调BUG,中间还有教老爸如何使用手机。
领取专属 10元无门槛券
手把手带您无忧上云