近日,斯洛伐克国家安全局(NBU)在 Python 官方的第三方软件存储库——PyPI 上发现10个恶意库。 我们对于 typosquatting 其实并不陌生,上一次类似的攻击是出现在 NPM 平台,而这一次攻击者又使用了类似的方法将目标对准了 PyPI。 NBU 专家表示,攻击者使用 typosquatting 的方法来上传这些恶意库到 PyPI 平台上,他们上传的恶意库的名字和那些正常的库的名字非常相似,很容易让人混淆,比如将”urlib” 写成 “urllib”。 当开发者上传一个新库到 PyP
APT组织“ Kimsuky”,据悉最早于2012年开始活动。该组织因为全球性的广泛攻击行动而臭名昭著,主要针对韩国智囊团、美国、俄罗斯和欧洲各个国家。
Mac恶意软件OSX.Proton强势回归,这次他们的袭击目标是Eliteima官网上发布的Elmedia Player应用程序副本。到目前为止,没有人知道这个APP是什么时候受到感染的。 事件原委 Proton早在今年3月份就悄悄潜入Apple XProtect中,但当时知道的人不多,大家也没在意。5月份,噩梦来临。主要负责发布十分受欢迎的Handbrake软件的其中一台服务器遭到攻击,一个受Proton感染的Handbrake连续蔓延4天。 时至今日,Eltima软件公司再次遭到了类似的攻击。 上周
概述: GravityRAT是一款隐秘的间谍软件,从2016年开始就反复被用于针对印度的持续性攻击。在此期间,GravityRAT添加了很多新功能,尤其是文件渗透,远程命令执行,以及反VM技术,使其更难以检测,它可以非常快速地从受感染计算机中窃取大量数据,甚至可以扫描连接到受害设备的外部硬盘驱动器或USB,然后提取这些文件。之前GravityRAT比较注于计算机的恶意攻击,但是研究者发现该木马正增加针对macOS和Android平台的攻击。 近期,恒安嘉新暗影实验室App全景态势与情报溯源挖掘平台监测到一款
pypi 作为python最知名的第三方库,牵扯着全世界python开发者的神经。
作者:PAUL CUCU 译者:java达人 来源:https://heimdalsecurity.com/blog/cyber-attack/(点击阅读原文前往) 译文最后将介绍本人安全强迫症 技术攻击 这类攻击通常针对网络基础设施,如数据库、DNS、过时的软件及其他类似的技术。 恶意广告 恶意广告指通过网络广告传播恶意软件,攻击者既可以用恶意代码感染已经存在的合法广告,也可以放置自己受病毒感染的广告。 恶意广告对恶意黑客来说是非常有利的,因为他不需要担心如何传播恶意软件。广告网络做了所有的艰苦工作,使
相信大家最近一定被 log4j2 的远程代码执行漏洞所刷屏了,各个互联网厂商,开源组织,还有相关企业都瑟瑟发抖,相关研发人员也都是加班加点紧急修复和改正。笔者也看了一些相关文章,感觉不少都是刷屏,刷阅读量,甚至是做相关广告的,详细介绍的少之又少。这里写一篇文章,详细介绍 log4j2 RCE 漏洞复现步骤以及根因,纯粹是以学习为目的。log4j2 RCE 漏洞总体来说是通过 JNDI 注入来完成的,具体的有 RMI 协议的方式和 LDAP 协议等不同方式,这里以 RMI 方式为例子做详细复现步骤和根因分析(不了解 JNDI/RMI/LDAP 等相关概念的同学请自 Google)。
近日,安全研究人员发现 DDoS IRC Bot 恶意样本正伪装成成人游戏通过网盘进行传播。在韩国,Webhards 是恶意软件经常利用的投递渠道,过去发现传播过 njRAT 和 UDP RAT。
xxs 攻击英文全称是 Croess SiteScripting ,意思就是跨站脚本攻击。是一种网站应用程序的安全漏洞攻击。是脚本代码注入的一种。其核心的攻击原理就是注入有攻击行为的脚本代码,通过浏览器的执行从而完成攻击行为。
[漏洞危害] 近日,Android平台上发现了一个高危漏洞 该漏洞允许攻击者冒充任意合法应用,诱导受害者授予恶意应用权限 或者进行恶意钓鱼攻击 由于该漏洞允许恶意软件劫持合法应用的活动,并将自身恶意活动插入在合法活动之前 使得用户并没有意识到自己已经遭到攻击
MalConfScan是一个Volatility插件,可从已知的恶意软件家族中提取配置信息。Volatility则是一个用于事件响应和恶意软件分析的开源内存取证框架。此工具会在内存映像中搜索恶意软件并转储配置数据。此外,它还具有列出恶意代码所引用的字符串的功能。支持的恶意软件家族MalConfScan可以转储以下恶意软件配置数据,已解码的字符串或DGA域:U
冰封三尺非一日之寒,本篇先交付恶意软件前置知识的文件类型与指纹识别,来帮助大家打基础。
最近几个月,我们发现使用恶意Microsoft Excel 加载项(XLL) 文件感染系统的恶意软件活动有所增加。这种技术在 MITRE ATT&CK 中被跟踪为T1137.006。此类加载项背后的想法是它们包含高性能函数,并且可以通过应用程序编程接口 (API) 从 Excel 工作表中调用。与 Visual Basic for Applications (VBA) 等其他脚本接口相比,此功能使用户能够更强大地扩展 Excel 的功能,因为它支持更多功能,例如多线程。但是,攻击者也可以利用这些功能来实现恶意目标。
最近Zimperium 的研究人员发现了一个新的名为“Cloud9”的 Chrome 浏览器僵尸网络,它使用恶意扩展来窃取在线帐户、记录击键、注入广告和恶意 JS 代码,并让受害者的浏览器参与 DDoS 攻击。 Cloud9 浏览器实际上是 Chromium Web 浏览器(包括 Google Chrome 和 Microsoft Edge)的远程访问木马 (RAT),其作用是允许攻击者远程执行命令。 恶意 Chrome 扩展程序在官方 Chrome 网上商店中不可用,而是通过其他渠道传播,例如推送虚假 A
悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获,发现大量的开源组件恶意包投毒攻击事件。在2024年4月份,悬镜供应链安全情报中心在NPM官方仓库(https://www.npmjs.com/)和Pypi官方仓库(https://pypi.org/)上共捕获772个不同版本的恶意组件包,其中NPM仓库投毒占比接近89%, Pypi仓库投毒占比11%;Pypi官方仓库经历3月份遭受集中式投毒后,对新发布组件包进一步加强审查力度,本月Pypi恶意投毒攻击呈现大幅下降趋势。
援引外媒报道,一支有国家背景的正利用现有 macOS 后门对越南地区的 Mac 用户发起攻击。根据趋势科技近日发布的一份最新报告,这款升级版恶意软件能让攻击者访问受感染的 Mac,并监控和窃取敏感信息。
选自GitHub 机器之心编译 参与:Panda 恶意软件可以说是我们现代生活的一大威胁,为了保护我们电子设备中的财产和资料安全,我们往往需要寻求安全软件的帮助。前段时间,来自贝尔法斯特女王大学和亚利
Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播,而且,同一个病毒家族所使用的的恶意脚本往往具有极高相似性,新变种的脚本大部分是在旧变种脚本的基础上进行修改,新增或替换部分关键恶意代码,同时,不同家族之间的恶意脚本也可能出现代码互相借鉴,部分重合的情况。
Sednit组织,也被称为APT28、Fancy Bear、Sofacy或STRONTIUM,从2004年起该组织一直活跃至今,而且只要该组织参与的网络攻击活动一般都会上报纸头条。在2019年8月20日,该组织又发动了一波新的网络攻击活动,而这一波攻击活动针对的也是Sednit组织的老“对象”:东欧和中亚国家的大使馆和外交部。
《当人工智能遇上安全》系列博客将详细介绍人工智能与安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。只想更好地帮助初学者,更加成体系的分享新知识。该系列文章会更加聚焦,更加学术,更加深入,也是作者的慢慢成长史。换专业确实挺难的,系统安全也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
用户手机的第一个病毒从何而来?这篇文章也许能给你答案。 新应用安装概况 在用户下载安装应用之时,Clean Master会对下载的文件进行安全扫描,仅从Clean Master扫描数据来看,几乎每天都
近期,我们注意到了全球范围内国家层次的网络攻击活动频率有着大幅度增加。其中,APT34、Gamaredon和Transparent Tribe是我们在最新的几个攻击活动中发现的样本。而在这篇文章中,我们将深入分析近期一个活动比较频繁的朝鲜APT组织,该组织名为Kimsuky,我们将对其所使用的攻击技术以及样本进行深入分析。
https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
在现代企业应用架构中,Java Naming and Directory Interface (JNDI) 是一个核心组件,它允许应用程序查找并使用分布式系统中的各种资源。然而,这一强大的功能若被恶意利用,则可能成为安全攻击的入口点,特别是当涉及到远程代码执行(RCE)时。本文将深入探讨JNDI注入攻击,特别是如何对JNDI流量数据进行解密,并通过真实案例和代码示例展示其潜在风险及防御策略。
对于浏览器用户来说,访问网络资源只需要一台个人终端,终端有可运行浏览器的操作系统、浏览器应用、连通互联网,互联网连接可用的服务,这便是整体运行环境,其中任何环节被攻击都有可能带来安全问题,根据上诉描述,从微观到宏观、从局部到整体来对安全分类
前一篇从个人角度介绍英文论文实验评估(Evaluation)的数据集、评价指标和环境设置如何撰写。这篇文章将带来USENIXSec21恶意代码分析的经典论文——DeepReflect,它通过二进制重构发现恶意功能,来自于佐治亚理工学院。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!同时文章末尾有我的论文感受和精句摘要,欢迎各位老师和博友批评指正。
最近在Kaggle上微软发起了一个恶意代码分类的比赛,并提供了超过500G的数据(解压后)。有意思的是,取得第一名的队伍三个人都不是搞安全出身的,所采用的方法与我们常见的方法存在很大不同,展现了机器学习在安全领域的巨大潜力。在仔细读完他们的代码和相关的论文后,我简单的进行了一些总结与大家分享。 需要指出的是,(1)比赛的主题是恶意代码的分类,不是病毒查杀(2)比赛采用的方法是纯静态分析的方法,不涉及行为分析等动态分析方法。 因此这不意味着这个方法能够取代现有的方法,但是了解它能够为安全研究人员提供一个崭新的
悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库(https://pypi.org/)上共捕获 675 个不同版本的恶意投毒包,其中 Npm 仓库投毒占比 90.48%, Pypi 仓库投毒占比 9.52%, 从每日捕获的投毒包数据来看,Npm 仓库仍然是开源组件投毒的重灾区。
本文介绍一款名叫IoT-Home-Guard的安全检测工具,广大研究人员可使用该工具来检测物联网设备中的恶意行为。
👋 你好,我是 Lorin 洛林,一位 Java 后端技术开发者!座右铭:Technology has the power to make the world a better place.
当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时,需要快速响应和排查,以阻止进一步的损害。
CryptBot 最早在 2019 年被发现,近期再次爆发。最新版本的 CryptBot 已经显著简化,只包含信息窃取的功能,样本大小相比以前小得多。
微软MS-ADTS(MicroSoft Active Directory Technical Specification)中指出,活动目录是一个依赖于专用服务器架构。域控便是承载此服务的服务器,它托管活动目录对象的数据存储,并与其他的域控互相同步数据,以确保活动目录对象的本地更改在所有域控之间正确的复制。域控间的数据的复制由运行在NTDS服务上一个名为KCC(Knowledge Consistency Checker)的组件所执行。
2018年1月24日,在BlueHat安全会议上,安全研究员Benjamin Delpy 和 Vincent Le Toux 公布了针对微软活动目录域的一种新型攻击技术------DCShaow。利用该攻击技术,具有域管理员权限或企业管理员权限的恶意攻击者可以创建恶意域控,然后利用域控间正常同步数据的功能将恶意域控上的恶意对象同步到正在运行的正常域控上。由于执行该攻击操作需要域管理员权限或企业管理员权限,因此该攻击技术通常用于域权限维持。
说起恶意 URL 请求(Malicious URL request)可能很多老站长们应该都知道,URL 恶意请求对于网站来说是很正常的一种“黑客行为”,大家都知道搜索引擎有“蜘蛛爬虫”(bot),那么反之黑客也有自己的“漏洞蜘蛛爬虫”。简单点说就是一个可以在网络上运行并且不断的“遍历”发现的网站上的程序漏洞并记录反馈给指定的服务器什么的,需要的时候就可以针对网站漏洞进行攻击或者什么的(攻击只是一个统称,把被攻击网站做“肉鸡”用来攻击别人,盗取网站重要资料,木马植入等等算是一种攻击行为)。
0x00 插件背景 — User-Agent Swither 是一款Chrome插件,用户切换访问web时候的User-Agent的,这个插件有51万条安装量。大部分都是前端工作人员或者安全研究人员使
发送恶意请求后,rmi监听的口会收到B主机的连接并读取恶意类,如果没有监听到就代表失败了
Microsoft Management Console (MMC)是微软管理控制台,是一个专门用于管理的控制台。其设计主要用于为Windows管理员提供一个统一的、规范的管理接口和操作平台。近期,Check Point Research研究人员在控制台中发现了多个允许攻击者传输恶意payload的漏洞。漏洞CVE编号为CVE-2019-0948,微软已于6
作为一个加密货币挖矿软件,StripedFly常年隐藏在一个支持Linux和Windows的复杂模块化框架后面。它配备了一个内置的TOR网络隧道,用于与命令控制(C2)服务器通信,同时通过可信服务(如GitLab、GitHub和Bitbucket)进行更新和交付功能,所有这一切都使用自定义加密归档。可以说,创建这个框架所付诸的努力确实十分了不起,同样地,它所披露的真相也相当惊人。
PyPI(Python Package Index)是 Python 的正式第三方软件包的开源软件存储库,它类似于 CPAN(Perl 的存储库)。pip 等一些软件包管理器就是默认从 PyPI 下载软件包。任何用户都可以下载第三方库和上传自己开发的库,目前通过 PyPI 可以下载超过 23.5 万个 Python 软件包。
前一篇介绍分享英文论文审稿意见及应对策略的学习笔记。这篇文章将简单总结Powershell恶意代码检测及混淆的相关论文,并结合开源工具分享抽象语法树提取过程。
目前各个安全厂商都开始积极地挖掘情报数据的价值,研究威胁情报分析与共享技术。越来越多的安全厂商开始提供威胁情报服务,众多企业的安全应急响应中心也开始接收威胁情报,威胁情报的受重视程度日益变高。根据SANS 发布的全球企业的威胁情报调查报告(The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing),94% 的受访企业表示目前已有威胁情报项目,70% 企业采了用威胁情报供应商的商业源。
近日,安全人员发现了一款大规模活跃的恶意软件,并将之命名为“GriftHorse”。目前该恶意软件已经感染了全球1000多万台安卓智能手机,涉及70多个国家。
AVL移动安全团队近日联合LBE发现一款内置于手机ROM的恶意代码模块。由于该恶意代码作者将此恶意模块运行释放的模块称为“Cake”,所以我们将其命名为“PoisonCake(毒蛋糕)”。 在分析过程中,我们还发现该恶意代码中存在明显的恶意代码作者身份标识tjj,ruanxiaozhen,并且其最后编译时间为2014年8月26日10点20分。 该恶意模块恶意行为特点如下: PoisonCake可以单独运行,解密释放相关主体功能模块,在后台监控自身进程并执行以下恶意行为: 1. 注入Phone进程,
根据欧洲执法机构欧洲刑警组织的数据,仅在2019年至2020年之间,赎金支付的数量就增加了300%。网络犯罪分子以供应链、关键基础设施、医院等为目标的几起重大事件表明,成功的勒索软件攻击具有多么大的破坏性。
在 【Android 插件化】VAHunt 引入 | VAHunt 原理 | VAHunt 识别插件化引擎 和 【Android 插件化】VAHunt 检测插件化引擎的具体细节 博客中 , 简单介绍了如何检测插件化引擎 ;
作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔!
数字货币因其技术去中性化和经济价值等属性,逐渐成为大众关注的焦点,同时通过恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径。本文简析通过蜜罐获取的XMR恶意挖矿事件:攻击者通过爆破SSH获取系统权限,配置root用户免密登录,并下载及执行XMR 挖矿程序,及XMR 网页挖矿程序。XMR挖矿程序耗肉鸡CPU/GPU资源,网页挖矿程序耗访问肉鸡服务器JS 网页的客户端资源 。
领取专属 10元无门槛券
手把手带您无忧上云