APT攻防研究

10 articles

基于taskmgr的应用层进程隐藏技术

 

目前进程隐藏技术网上流程的主要是在驱动层进行挂钩,但是由于win7之后,windows操作系统权限管理之类越来越严格,win7之后加载驱动首先需要管理员权限,另外windows加载驱动同时还需要有微软签发的驱动证书,这对于土八路来说基本是一个无解的难题,基本难以弄到正规公司的签证,同时,逆向windows的签证管理系统工作量太大,目前网上也没有签证伪造技术流传。

 

相对驱动层来说,直接hookssdt表或者直接修改内核函数都较为方便,在应用层的话,其原理也是改写功能实现函数,从思路角度说,可以改写taskmgr.exetxt段,导入表,对dll的[......]

Read more

攻防对抗之杀软穿透驱动揭秘

天融信阿尔法实验室 李明政

1 穿透驱动的引出定义和历史

2 穿透驱动的实现原理简介

3 对抗杀软的驱动防御

1.1 穿透驱动的引出定义和历史

最早国内的杀软市场还是瑞星、金山、江民三分天下,借助PC时代红利的爆发。最鼎盛时瑞星一年靠软件能卖7亿元,个人级产品几乎垄断当时的市场。没有金刚钻不揽瓷器活,作为杀毒软件在与病毒木马后门搏斗的过程中打的过对方的保证便是率先加载于系统之中的底层驱动,这些底层驱动中有一个通用的驱动组件叫穿透驱动。

杀毒软件为了达到清理恶意软件的目的也需要对进程文件注册表进程做相对应的强制性的操作。这些对应的强制性的操作一般通过Ring3[......]

Read more

关注利用伪基站+钓鱼网站获取受害者信息的攻击

0×0 什么是伪基站

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

骗子通常利用伪基站把自己伪装成运营商(电信、移动 10086 、联通 10010)甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分,可兑换xx现金,要求用户通过手机登陆某个网站、进行积分查询和兑换。最近在我们公司附近,就出现了多次利用伪基站发送钓鱼网址的情形,以下是昨天下午我们对该类一事件的跟踪和分析。

0×1 Fa[......]

Read more

IE漏洞攻防编年简史

本文对历史上的微软IE 浏览器的影响较大0day做了梳理,讨论了IE漏洞在攻击防御技术上的进化,以及记录了此类漏洞前人们在历史上遗留下来的对抗经验和足迹。在IE浏览器攻防已经白热化的进入到第三个阶段的时候笔者才进入到IE浏览器攻防方面的研究学习。此时代号’Project Spartan’的微软的Edge浏览器从IE11手中接过windows默认浏览器的重担,使得服役将近20年的IE浏览器定格11这个历史的大版本号上面,自觉对IE浏览器漏洞的历史研究应有一篇简记,可供后来的初入行的安全研究者有所参考,故成此文,疏漏之处再所难免,敬请指正。

更新记录

2016年01月08日 – 撰写初[......]

Read more

阿尔法实验室针对典型钓鱼攻击的溯源与反控制

近来,我们收到了一些针对天融信公用邮箱的鱼叉式定点攻击邮件,这些邮件五花八门,但是最终的目的还是要诱骗出邮箱的登录口令,从这一点来看,就可以轻松识别出钓鱼邮件。以下是钓鱼邮件的实例:

一、钓鱼邮件

 

图片1

识别要点:

  1. 发件人并非本公司的邮箱;
  2. 收件人的邮箱与收件人不匹配,仔细观察,发现管理员administrator,成为了admlnistnator,这也是一个钓鱼邮件的细节;
  3. 更重要的是这里出现了要求填写个人各种信息的内容,更加明确了这就是一封垃圾邮件。

图片2_meitu_1

这封邮件的欺骗程度更高!

  1. 仔细观察发件人的邮箱是某地方银行监督委员会的,它对于某[......]

Read more

TrueCrypt与CryptSetup双系统全盘加密(图文)

By kernux TopSec α-lab

选取无系统硬盘进行说明。

1. 首先在硬盘上安装Windows系统,过程简单,直接光盘启动电脑,或者PE安装,都可以。

2. 安装完成Windows后,开始安装Kali Linux。同样光盘启动电脑,或者U盘启动,进入安装后,具体分区过程如下:

1.0

选择Manual后

1.1.1

第一个是Windows分区,后面是空闲空间,在这里建立一个boot分区

1

再建立一个加密分区,选择Configure encryted  volumes

2

3

1

5

7

8

然后开始擦出分区信息,如果是新硬盘[......]

Read more

隐藏在windbg下面的攻防对抗

1 关于驱动底层操作的监控调试

一般在进行常规的ring0级别的windows调试的时候都会使用windbg。但是有的时候windbg中断过于频繁,比方说经常会出现这样的场景,需要追踪一个特定的被删除的文件backdoor.exe,backdoor.exe被杀毒软件删除掉了,想观察到backdoor.exe被删除的完整的栈回溯。这个时候使用ollydbg进行追踪下断或者使用官方的监控工具procmon.exe往往是徒劳的。一般来说杀毒软件都是通过deviceiocontrol下发相关的iocode,ring0层的穿越驱动通过解析iocode和它的buffer来确定删除的文件。国内杀毒软件的穿[......]

Read more

HID攻击之TEENSY实战

HID攻击之TEENSY实战

/图 天融信阿尔法实验室 冷风

 

概述

 

从传统意义讲,当你在电脑中插入一张CD/DVD光盘,或者插入一个USB设备时,可以通过自动播放来运行一个包含恶意的文件,不过自动播放功能被关闭时,autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY,你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,利用设备中的微处理器,与存储空间,和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。

    1

 [......]

Read more

以人为本,知己知彼再谈APT攻击与防范

 

图片1

文/图 冷风

为何会有APT?

2013年4月份Verizon发布的《2013年数据破坏调查报告》报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。

在木马病毒泛滥时代的地下经济驱动中,各个国家均是地下经济体系和恶意代码的受害者。而APT出现的最本质原因是国家和政经集团作为“大玩家”直接介入到网络攻防的游戏体系当中,而攻击的对象也变成了他国政府和其他对立的政经体系。

APT得本质是什么?

在这里我们聊一聊APT究竟是什么的问题,有一句俗话这么说,要把问题看透,看透就是说,要找到本质,APT的本质是什么?这里可[......]

Read more