当前很难在网络中探测攻击者横向渗透,其中原因有很难获取必要的日志和区别正常与恶意行为。本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。 工具: Sysmon + Splunk light 安装配置: sysmon -i -n 本地查看sysmon事件日志,打开事件查看器 - Microsoft - Windows - Sysmon - Operational 如下图可以看到sysmon记录到powershell.exe进程创建: 将下列配置写入inputs.conf文件: [WinEvent…
PentestBox是一款Windows平台下预配置的便携式开源渗透测试环境。 PentestBox不同于运行在虚拟机或者双启动环境的Linux渗透测试发行版。它打包了所有的安全工具,并且可以在Windows系统中原生地运行,有效地降低了对虚拟机或者双启动环境的需求。在新闻报道中有提到该工具,详细请看之前不试你可能会后悔,Windows渗透测试利器Pentest Box 安装 PentestBox安装很简单,首先你需要下载(百度网盘)pentestbox [2g62] 下载完这个文件后,打开提供的安装程序.(建议安…
对于使用Netgear路由器的消费者来说,坏消息这段时间真是接踵而至。新年之际,Netgear路由器又遭遇一起严重安全漏洞,影响范围包括数十种路由器型号。 这个漏洞是Trustwave蜘蛛实验室的研究专家Simon Kenin发现的,因为Netgear路由器的密码恢复流程存在缺陷,入侵者可以利用这个漏洞远程获取Netgear路由器的管理员密码。 据Trustwave的安全专家警告:受这个身份验证漏洞影响的潜在用户超过百万,涉及至少31款不同型号的Netgear路由器。 一步一步感染你的路由器 Kenin发现这个漏洞…
WordPress最近曝出内容注入漏洞,影响到REST API——来自Sucuri的安全研究人员最先发现该漏洞。未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改。REST API是最近添加到WordPress 4.7.0并默认启用的。 鉴于WordPress使用的广泛性,该漏洞的影响还是比较大的。使用 WordPress REST API 是简便高效的通过 JSON 格式传输数据访问或控制 WordPress 站点内容的方法。API 提供了对用户、文章、分类等不同功能的控制,也可以…
央广网北京2月3日消息(记者孙莹)据中国之声《央广新闻》报道,国务院法制办公布的《未成年人网络保护条例(送审稿)》,正在向社会各界征求意见,截止日期是2月6日。送审稿全文共包含六章、三十六条,针对网络信息内容建设、未成年人网络权益保障、预防和干预、法律责任等多个方面进行规定。中国之声对我国未成年人使用网络的现状、专家对条例送审稿有何意见建议展开调查。中国预防青少年犯罪研究会的调研报告指出,网路教唆未成年人参与恐怖、暴力等犯罪大幅增长,预防和减少未成年人网络犯罪,已经成为世界许多国家共同面临的紧迫问题。 公安部网络安…
来自鲁尔高校联盟的一组研究人员已经在历史悠久的PostScript语言中发现一项跨站打印bug E安全2月3日讯 由戴尔、三星、惠普、兄弟Brother、柯尼卡以及利盟Lexmark等知名制造商推出的多款高人气机型受到安全漏洞影响,黑客能够利用此项漏洞窃取密码、从打印任务中提取信息并关闭对应设备。 这一发现源自鲁尔高校联盟的一组研究人员,他们已经根据研究成果发布了一系列建议以及对应的维基信息。 此次影响到多达20种打印机型号的漏洞涉及几类常见打印语言,包括大多数激光打印机所使用的PostScript与PJL。此漏洞…
今天早些时候,美国计算机应急响应小组(US CERT)披露在 SMB 服务中发现了一个新的“零日”安全漏洞,Windows 8.1 和 Windows 10 操作系统的用户均面临被攻击的风险。该安全机构解释到,其安全工程师已经顺利地在打了完整补丁的 Windows 10 / 8.1 计算机上重现了一次拒绝服务(DDoS)攻击。至于能否利用该漏洞来执行任意代码,仍有待进一步解析。 另有报道称,Windows Server(操作系统)也可能受到影响,但目前尚未得到证实。US CERT 写到: 微软 Windows 操作…
黑客攻击和假新闻是2016年美国总统大选后热议的两大话题,为了避免发生类似的事情,荷兰政府宣布将于3月举行的大选将使用手工计票。早在2009年6月4日,荷兰在发现电子投票系统容易入侵之后就宣布禁用电子投票,改用纸和笔的方式投票以及手工形式计票。 但出于效率理由,各地区的计票结果仍然会通过电子方式发送到选举委员会,而选举委员会使用的软件被发现使用了弱加密SHA1哈希算法。安全研究人员认为,手工计票并不意味着安全,整个选举过程仍然包含了不安全的电子系统。 0day
Linux 内核官网 kernel.org 宣布 将在今年 3 月 1 日关闭 FTP 服务器 ftp.kernel.org,12 月 1 日关闭mirrors.kernel.org。 kernel.org 解释了关闭 FTP 服务器的理由: FTP 协议是低效的,需要向防火墙和负载均衡守护进程添加复杂的程序; FTP 服务器不支持缓存和加速器,严重影响性能; 绝大数 FTP 协议的软件实现已经陷入停滞,很少更新。 它因此决定在年底前关闭所有 FTP 服务器,但为了最小化潜在干扰而决定将关闭过程分成两个阶段完成。0…
虽说位于匹兹堡的河流赌场与科技突破这一名词有些不搭,但本周二它确实见证了卡耐基梅隆大学的 AI 系统 Libratus 将四位德州扑克顶级选手斩落马下。Libratus 是卡耐基梅隆大学计算机科学教授尚德洪姆与博士生布朗共同打造的,在为期 20 天的赛程中,它们一共进行了 12 万手牌的比赛,最终 Libratus 战胜了四位人类顶尖高手, “这是 AI 开辟的新疆界,”尚德洪姆在赛后的新闻发布会上说道。“也是 AI 在游戏比赛中获得的里程碑式突破。” Libratus 的成功主要在于不断学习,每结束一天的比赛它都…
刚刚接受美国第 58 届(第 45 任)总统 唐纳德·特朗普 任命的国土安全部长约翰·凯利(John Kelly),已经证实该机构有意分析申请入境访客的社交媒体等历史浏览记录。该政策明确涉及“他们访问的网站”,且会潜在收集“让我们知道其在与谁联络”的信息。显然,这类信息收集涵盖了社交媒体上的帖子、浏览历史记录、以及电话号码。 这场发布会的谈话要点备忘( TPM )如下: 当然,这涉及申请人访问的网站和可能的电话联系人,但这些仍处于早期发展阶段…我们必须给来访美国的人们一个期望中的合理解释,因为我们不知道他们是谁、来…
Netgear路由器在国内高级玩家中拥有非常不错的口碑,相较于华硕的硬件,网件无疑拥有更高的性价比。日前有外媒报道,国外知名的安全研究公司Trustwave在31款Netgear路由器发现了新漏洞,攻击者可以通过这些漏洞获得设备的完全控制权,同时被攻击的路由器还可能成为僵尸网络的一部分,对其他设备发起攻击。 据了解,如果路由器开放了(默认并未开启的)互联网访问权限,那么一名远程攻击者就能够轻易得逞。尽管如此,任何可物理接触到该网络的人,还是可以轻松通过本地途径利用缺陷设备上的该漏洞,包括咖啡馆、图书馆等公共Wi-F…
因对网络“黑客”技术兴趣浓厚,一高中生“自学成才”,通过植入“木马”程序,对国内多家网站进行非法控制。近日,江苏省南通市崇川区检察院以涉嫌非法控制计算机系统罪对叶某提起公诉。 现年18岁的叶某老家在贵州,读高中时就对网络“黑客”技术产生了兴趣,找来很多书看,也在互联网上不断“练手”,逐渐成长为一个网络高手。2015年,叶某高中毕业后来到江苏南通,在一家网络公司担任渗透测试工程师,负责网络安全,帮各个网站查找存在的漏洞,并及时修复。 工作期间,叶某发现很多网站后台都存在漏洞,稍有些这方面技术的人就可以“黑”掉网站,他…
Silent Circle开发的Blackphone是一款以安全和隐私为卖点的Android手机,运行基于Android的Silent OS。Silent Circle最近对从非授权渠道(如eBay)购买的Blackphone手机发出了警告,这一警告随后转变成行动,Silent Circle通过推送系统更新Silent OS 3.0.8将未经授权的Blackphone手机变成了砖头。有用户的手机在变成砖头后联络了Silent Circle,被告知手机不是从它或授权销售渠道购买的,因此不能提供帮助,建议对方联络原始买…
互联网安全公司Imperva日前发布报告称,全球范围内约52%的互联网流量来自“机器人”(bots),即自动化程序,其中大部分为恶意程序。这意味着网站的大部分访问者不是人类,而是机器人,即自动执行任务的程序。它们是互联网上的工蜂和水军,有些会帮你刷新Facebook信息流(feed),有些会帮你提高谷歌搜索结果排名,有些还会模仿人类发动DDoS攻击。 “52%”的流量来自机器人,这一数据意义重大。它代表着机器人再次战胜人类,成为互联网流量的主导者。Imperva从2012年起开始追踪“机器人”的在线活动,直至去年,…
实际上,黑客如果想要对你进行监控的话,他们并不总是需要入侵你的电脑或智能手机。科技高速发展的今天,为了提升人们生活和工作的便捷性,我们每天所能接触到的电子设备几乎都可以接入网络,而其中的安全隐患则不容小觑。 但是,我们可能早就已经忽略了一个非常重要的一点:这些联网设备同样会给我们带来巨大的灾难,因为这些设备将成为企业、黑客、以及政府执法部门的一个攻击切入点,他们不仅可以利用这些设备中的安全缺陷来入侵我们的网络,而且还可以渗透进我们生活中的每一个角落。这些设备将成为执法部门的福音,因为他们可以利用这些设备来监听你的各…
在刚刚过去的一月份,与往年相同,媒体们又在忙着报导过去一年的漏洞统计。同样,CVE Details的小伙伴们也精心准备了基于CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)统计的大把夸张数据。媒体朋友们也照例频频赏光咬饵,发布的都是诸如“安卓当选2016漏洞之王”一类吸引眼球的头条。(看着眼熟?) 尽管这些头条可能每年都会让热衷此类话题的人觉得有趣,但安全研究者Craig Young却认为,在这种表象之下很少被提及的一点是: 这些统计数字几乎毫无意义,也没能就不…
如果你拥有Xbox360ISO.com 或者PSPISO.com网站的账号,那么赶紧重新修改密码吧。上周末披露的细节显示,这两家网站在2015年年底的时候都遭受了匿名黑客的攻击,导致250万网站用户账号被窃,包含电子邮件、IP地址、网站用户名称和密码。这些网站的运营管理人员并没有花费多少精来保护这些字符信息,所有密码只是使用了MD5哈希系统进行加密,而这种防护方式非常容易被攻克。 如果你有这两个网站的账号并想要确认自己的账号是否存在被窃的情况,你可以先访问Troy Hunt的Have I Been Pwned网站。…
E安全2月2日讯 最近几年来,由于硬盘数据删除不当及存储安全水平不足导致的数据泄露事故愈发多见,源代码托管中心GitLab.com就在本周二晚上因为管理员在数据库复制过程中不小心使用了rm -rf命令删除了一个含有300GB活动生产数据的文件夹。根据Blancco技术公司提供的调查结果,目前企业机构在防止存储有敏感性个人及企业信息的固态硬盘(简称SSD)遭受访问或破坏方面面临着大量来自内部与外部的挑战。 根据对美国、加拿大、墨西哥、英国、法国、德国、印度、日本以及中国的超过300名IT专家进行的调查,62%的企业认…
人们对自己的隐私权利越来越看重,对谷歌等浏览器的信任度不像以前那般强,因此像 DuckDuckGo 这样的注重个人隐私的匿名浏览器抓住了机会,自 8 年前这款浏览器推出之日起,其搜索量就一直保持惊人的速度增长,2013 年斯诺登首次向公众披露美国政府对民众的监听计划后,DuckDuckGo 的搜索量更是呈爆炸性增长。 DuckDuckGo 浏览器方面称,至今一共提供了超过 100 亿次的搜索服务,其中仅去年一年就有 40 亿次搜索,增长速度是历年来最高的。在 2017 年 1 月 10 日这一天,该浏览器的搜索次数…
23 日,Google Project Zero 安全专家 Tavis Ormandy 对外表示,Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞,或可诱发大规模攻击事件。 专家发现攻击者可使用包含 magic (魔术)字符串的任意 URL 触发漏洞,从而达到在 WebEx 用户系统上执行任意代码的目的。思科曾试图通过限制 https:// * .webex.com 和 https:// * .webex.com 域来解决这一问题,但并未达到效果。研究员强调,由于 magic 模式内嵌于 <…
据路透社消息,由于越来越多的银行机构遭遇黑客入侵,欧盟正考虑对银行的网络防御能力展开压力测试。最近几年,针对银行机构的网络攻击愈演愈烈,且入侵手段越来越高明。 去年 2 月,孟加拉国央行在美国纽约联邦储备银行开设的账户遭黑客攻击,失窃 8100 万美元。孟加拉国央行怀疑,黑客事先给央行的一台打印机植入木马病毒,造成看似平常的“故障”,导致央行没能及时察觉这起震惊全球金融界的窃案。事件发生后,全球监管部门都加强了对银行的安全需求。虽然如此,复杂的网络攻击仍层出不穷。去年 11 月,英国零售巨擘特易购(Tesco)旗下…
安天安全研究与应急处理中心(Antiy CERT) 报告初稿完成时间:2017年1月13日 16时00分 首次发布时间:2017年1月16日 10时00分 本版本更新时间:2017年1月17日 8时30分 1 背景 对于“方程式组织”,在过去的两年中,安天已经连续发布了三篇分析报告:在《修改硬盘固件的木马——探索方程式(EQUATION)组织的攻击组件》[1] 中,安天对多个模块进行了分析,并对其写入硬盘固件的机理进行了分析验证;在《方程式(EQUATION)部分组件中的加密技巧分析》[2]报告中,…
苹果今天凌晨放出了 macOS Sierra 10.12.3 的正式版,这是 macOS Sierra 自发布以来的第三次升级,macOS 10.12.3 距离上个版本 10.12.2 发布过去了一个多月的时间。 macOS Sierra 10.12.3 目前已经推送给大部分用户,设备符合条件的朋友可以在 Mac App Store 中下载本次更新。在此前的测试版本当中,用户没有在这个版本中发现新功能的加入,苹果只是表示该版本主要是改进稳定性、兼容性和 Mac 的安全性,那么在正式版中又有什么内容呢? 苹果的官方更…
Android恶意程序HummingWhale利用奇虎手机助手团队开发的插件DroidPlugin实现虚拟机功能悄悄在用户设备上安装应用。HummingWhale的传播方法不是通过第三方应用商店,而是隐身于官方应用商店 Google Play,它的大约20款恶意应用被200万到1200万毫无防备的用户下载。这一事件显示,即使官方商店的应用也不能完全信任。Google在接到安全研究人员的通知后已经将恶意应用移除。HummingWhale主要通过两种方法产生收入:展示广告和自动安装应用。它将应用安装在虚拟机里,创建假的…