原创文章

36 articles

关注利用伪基站+钓鱼网站获取受害者信息的攻击

0×0 什么是伪基站

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

骗子通常利用伪基站把自己伪装成运营商(电信、移动 10086 、联通 10010)甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分,可兑换xx现金,要求用户通过手机登陆某个网站、进行积分查询和兑换。最近在我们公司附近,就出现了多次利用伪基站发送钓鱼网址的情形,以下是昨天下午我们对该类一事件的跟踪和分析。

0×1 Fa[......]

Read more

互联网典型恶意域名跟踪思路探索

 

1 缘起

经过多年对互联网上的恶意域名解析对应地址的跟踪,发现有的单个IP地址对应的恶意域名数量非常巨大,达到数百上千,在每周的大陆和海外单个IP地址对应恶意域名数量前10位地址列表中就可以清晰的反映出来。这个列表一般的变化不大,但是一旦出现了变化,就代表目前互联网上出现了新的集中爆发的恶意行为,因此大陆和海外单个IP地址对应恶意域名数量前10位地址变化跟爆发性的互联网恶意行为的关联度很大,这是一个深入分析和探究恶意地址变化规律的突破口。通过对这个列表的排名变化的持续跟踪,可以直观的发现互联网的恶意行为的爆发,持续和迁移的全生命周期过程。

如果再采用一些创新思路,比如考虑到[......]

Read more

Safing multimedia with help of ASAN

 

文/ 阿尔法实验室 陈钦

当你在视频,音频,文本等的海洋或天空中遨游和飞翔的时一定不想遇见臭虫和鲨鱼。如你所愿。我们最近对解码器做了一些测试。

Openjpeg是一款jpeg解码器,ASAN是内存错误检测工具。内存错误包含缓冲区溢出,堆溢出等。

valgrind,boundschecker等也都是高效的工具。论文下载:AddressSanitizer

 

在过去的一段时间的动静态测试中(2015.12月),我们发现了openjpeg 整形溢出(已修复)

https://github.com/uclouvain/openjpeg/[......]

Read more

Glibc’s DNS getaddrinfo 函数错误(CVE-2015-7547)

文/ 阿尔法实验室 陈钦

A.概述

Glibc被广泛使用在Debian,Red Hat,CentOS以及更多其它 Linux 发行版.漏洞可导致通过恶意构造的DNS包使linux主机或客户端被远程代码执行.

发现的过程如下:Google工程师发现他们的ssh客户端每次试图连接到一个特别的主机时都会段错误,通过深入的分析和与REDHAT工程师的合作.发现了这段2008年引入的错误代码。与2015年的Glibc的GHOST漏洞所在函数gethostbyname不同,这次的问题出在getaddrinfo函数.

topsec

 

B.成因和攻击界面

网络攻击界面[......]

Read more

IE漏洞攻防编年简史

本文对历史上的微软IE 浏览器的影响较大0day做了梳理,讨论了IE漏洞在攻击防御技术上的进化,以及记录了此类漏洞前人们在历史上遗留下来的对抗经验和足迹。在IE浏览器攻防已经白热化的进入到第三个阶段的时候笔者才进入到IE浏览器攻防方面的研究学习。此时代号’Project Spartan’的微软的Edge浏览器从IE11手中接过windows默认浏览器的重担,使得服役将近20年的IE浏览器定格11这个历史的大版本号上面,自觉对IE浏览器漏洞的历史研究应有一篇简记,可供后来的初入行的安全研究者有所参考,故成此文,疏漏之处再所难免,敬请指正。

更新记录

2016年01月08日 – 撰写初[......]

Read more

阿尔法实验室针对典型钓鱼攻击的溯源与反控制

近来,我们收到了一些针对天融信公用邮箱的鱼叉式定点攻击邮件,这些邮件五花八门,但是最终的目的还是要诱骗出邮箱的登录口令,从这一点来看,就可以轻松识别出钓鱼邮件。以下是钓鱼邮件的实例:

一、钓鱼邮件

 

图片1

识别要点:

  1. 发件人并非本公司的邮箱;
  2. 收件人的邮箱与收件人不匹配,仔细观察,发现管理员administrator,成为了admlnistnator,这也是一个钓鱼邮件的细节;
  3. 更重要的是这里出现了要求填写个人各种信息的内容,更加明确了这就是一封垃圾邮件。

图片2_meitu_1

这封邮件的欺骗程度更高!

  1. 仔细观察发件人的邮箱是某地方银行监督委员会的,它对于某[......]

Read more

AlphaFuzzer内存fuzz框架即将发布

背景:

按照fuzz形式而言,传统的fuzzer工具分为二种,一种是文件格式的fuzz测试, 一种是网络协议的fuzz测试。Alphafuzzer已经同时支持了这2种形式的fuzz。但是在有些时候,传统的fuzz是应用效率并不是很高。比如:
当程序对输入次数有限制(比如输入错误3次程序就自动关闭)。我们无法对程序持续的进行fuzz测试的时候。
当程序运行需要解压,载入很多很庞大的库文件,我们无法高效的进行fuzz测试时候。
当程序(如网络协议)传输过程有数据加密,而我们并不知道加密方式。无法构造有效的数据包进行fuzz测试的时候。
当目标程序有非常多的函数,我们只关注某一个函数,而又[......]

Read more

TrueCrypt与CryptSetup双系统全盘加密(图文)

By kernux TopSec α-lab

选取无系统硬盘进行说明。

1. 首先在硬盘上安装Windows系统,过程简单,直接光盘启动电脑,或者PE安装,都可以。

2. 安装完成Windows后,开始安装Kali Linux。同样光盘启动电脑,或者U盘启动,进入安装后,具体分区过程如下:

1.0

选择Manual后

1.1.1

第一个是Windows分区,后面是空闲空间,在这里建立一个boot分区

1

再建立一个加密分区,选择Configure encryted  volumes

2

3

1

5

7

8

然后开始擦出分区信息,如果是新硬盘[......]

Read more

用alphafuzzer挖掘网络协议漏洞

AlphaFuzzer挖掘某通讯软件的内存破坏漏洞
AlphaFuzzer是一款多功能的漏洞挖掘框架,截止到1.3版本,AlphaFuzzer只包含了文件格式的漏洞挖掘框架。从1.4版本开始,AlphaFuzzer增加了网络协议漏洞挖掘框架。
图片1
如上图为测试版网络协议框架的界面,数据窗口用于定义数据包的文件格式,与文件格式挖掘框架使用相同的解析引擎。行为窗口用来定义测试时候需要的一些网络行为,支持的api语句有:
Recv:接受数据。
SendAll:发送数据窗口构建的数据。
SendHex:发送指定的二进制数据。
SendTxt:发送指定的文本型数据。
Sleep:系统等待一[......]

Read more

AlphaFuzzer(更新至1.6)

AlphaFuzzer1.6

更新记录:

2016年6月8日 1.6

2015年12月17日 1.5(支持内存fuzz)

2015年9月23日 1.4

2015年8月20日  1.3

2015年7月30日  1.2

2015年7月23日  1.1

2015年7月13日  1.0

软件简介:

AlphaFuzzer是一款多功能的漏洞挖掘工具,到现在为止,该程序以文件格式为主。
1.0版本主要包含了:一个智能文件格式的漏洞挖掘框架。一个通用文件格式的fuzz模块。此外,他还包含了一个ftp服务器程序的fuzz模块。一个程序参数的fuzz模块。一些shellcode处理的小[......]

Read more