APT攻防研究

4 articles

基于taskmgr的应用层进程隐藏技术

 

目前进程隐藏技术网上流程的主要是在驱动层进行挂钩,但是由于win7之后,windows操作系统权限管理之类越来越严格,win7之后加载驱动首先需要管理员权限,另外windows加载驱动同时还需要有微软签发的驱动证书,这对于土八路来说基本是一个无解的难题,基本难以弄到正规公司的签证,同时,逆向windows的签证管理系统工作量太大,目前网上也没有签证伪造技术流传。

 

相对驱动层来说,直接hookssdt表或者直接修改内核函数都较为方便,在应用层的话,其原理也是改写功能实现函数,从思路角度说,可以改写taskmgr.exetxt段,导入表,对dll的[......]

Read more

IOT后门程序Marai样本技术分析

天融信阿尔法实验室 雨夜

最近发生了多起DDOS攻击事件,调查发现攻击源头是大量的物联网设备,大多设备被一款名为“ELF Linux/Mirai”的新型ELF木马后门攻占,全球由其控制的BOT多达500万以上。Mirai能够感染多种存在漏洞的物联网设备,其中包括安保摄像头、DVR以及互联网路由器等。通过恶意感染,这些物联网设备将成为僵尸网络中的肉鸡,并被用于实施大规模DDoS攻击。

 

一、Marai感染IOT设备的方法

  1. 搜索存在弱口令IOT设备
  2. Marai使用61组用户名密码组合暴力破解存在弱口令的IOT设备
  3. 登陆telnet成功以后,远程下载IOT设备架[......]

Read more

HID攻击之TEENSY实战

HID攻击之TEENSY实战

/图 天融信阿尔法实验室 冷风

 

概述

 

从传统意义讲,当你在电脑中插入一张CD/DVD光盘,或者插入一个USB设备时,可以通过自动播放来运行一个包含恶意的文件,不过自动播放功能被关闭时,autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY,你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,利用设备中的微处理器,与存储空间,和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。

    1

 [......]

Read more

以人为本,知己知彼再谈APT攻击与防范

 

图片1

文/图 冷风

为何会有APT?

2013年4月份Verizon发布的《2013年数据破坏调查报告》报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。

在木马病毒泛滥时代的地下经济驱动中,各个国家均是地下经济体系和恶意代码的受害者。而APT出现的最本质原因是国家和政经集团作为“大玩家”直接介入到网络攻防的游戏体系当中,而攻击的对象也变成了他国政府和其他对立的政经体系。

APT得本质是什么?

在这里我们聊一聊APT究竟是什么的问题,有一句俗话这么说,要把问题看透,看透就是说,要找到本质,APT的本质是什么?这里可[......]

Read more