恶意软件如今已经发展为威胁网络安全的头号公敌,为了逃避安全设施的检测,其制作过程也越来越复杂,其中一个典型做法是在软件中集成DGA(Domain Generation Algorithm)算法,产生速变域名,该方式作为备用或者主要的与C2服务器通信的手段,可以构造更加鲁棒的僵尸网络,做到对感染肉鸡的持续性控制。对应地,针对DGA算法的研究现在也是安全圈讨论的热点话题,学术界和工业界也有大量DGA域名检测的工作,但是在实际使用中存在误报过多的现象。由于传统DNS使用明文进行数据传输,造成严重的用户隐私泄露问题,DoT(DNS-over-TLS)、DoH(DNS-over-http)协议陆续通过RFC标准,用于保护用户隐私,但另一方面,加密DNS的使用将给DGA域名的检测带来新的挑战。
用白话来说,就是相当于哈勃那种的东东,你给个网址,它会去这些网站上找这个网址是否是安全的,是否有什么不良历史记录这个意思
按照惯例,首先放出一张ABC_123绘制的关于Solarwinds供应链攻击事件中Sunburst后门的设计思路及流程图,是从大量的Sunburst后门样本分析文章中归纳整理出来的,接下来依据此图,详细讲解整个后门工作过程。
在恶意软件发展的初期,恶意软件编写者会直接将控制服务器的域名或IP直接写在恶意软件中(即使是现在也会有恶意软件遵从这种方式,笔者部署的蜜罐捕获的僵尸网络样本中,很多经过逆向之后发现也是直接将IP写在软件中)。对于这种通信的方式,安全人员可以明确知道恶意软件所通信的对象,可以通过黑名单的方式封锁域名及IP达到破坏恶意软件工作的目的。DGA(Domain generation algorithms),中文名:域名生成算法,其可以生成大量随机的域名来供恶意软件连接C&C控制服务器。恶意软件编写者将采用同样的种子和算法生成与恶意软件相同的域名列表,从中选取几个来作为控制服务器,恶意软件会持续解析这些域名,直到发现可用的服务器地址。这种方式导致恶意软件的封堵更为困难,因此DGA域名的检测对网络安全来说非常重要。
近期Check Point发现Naikon APT组织正在对亚太地区(APAC)国家政府进行网络攻击活动,使用了名为Aria-body的新后门控制受害者的网络。本报告将详细分析Naikon APT组织在过去5年中使用的战术,技术,程序和基础设施。
网络攻击的不断增加,要求NTA(网络流量分析)除了传统的监控(即延迟监控、服务可用性…..)外,还要注重安全方面。
ESET 与巴西联邦警察合作,摧毁 Grandoreiro 僵尸网络。由于 Grandoreiro 僵尸网络通信协议中存在设计缺陷,研究人员利用这种缺陷跟踪受害者。
本文用识别由域名生成算法Domain Generation Algorithm: DGA生成的C&C域名作为例子,目的是给白帽安全专家们介绍一下机器学习在安全领域的应用,演示一下机器学习模型的一般流程。机器的力量可以用来辅助白帽专家们更有效率的工作。 本文用到的演示数据集和python演示代码请参见 https://github.com/phunterlau/dga_classifier 关于编码和行文风格过于仓促的问题,请不要在意这些细节,如果有相关问题可以微博上@phunter_lau,大家互相交流进步
Palo Alto Networks发现,攻击者越来越倾向于提前注册域名备用,利用这类战略性休眠域名的攻击越来越多。例如,SolarWinds事件的攻击者在实际攻击中利用的C&C 域名,在数年前就已注册。
一、引言 随着人工智能(artificialintelligence, 简称AI)的技术突破,现今的计算技术可从大数据平台中挖掘出有价值的信息,从而为人们在决策制定、任务执行方面提供建议对策与技术支持,将专业分析人员从复杂度高且耗时巨大的工作中释放。 企业与用户每天面临各种安全威胁,无论是钓鱼邮件中的恶意链接还是恶意软件的非法操作等,日新月异的攻击手段给用户安全带来了极大的困扰,造成了严重的安全威胁。由于现有的检测技术与防御系统已渐渐无法应对多变的挑战,而以机器学习(machinelearning,简称ML
俄罗斯Fancy Bear APT组织已经重构了后门,改进了加密技术,使其变得更加隐蔽,更难以制止。 根据安全公司ESET的专家发表的一份新报告:俄罗斯Fancy Bear APT组织(又名Sednit,APT28,Sofacy,Pawn Storm和Strontium)所进行的操作更为复杂,难以察觉。 该组织最近翻新了其最受欢迎的后门之一Xagent,通过实施新的功能使其更加隐蔽和更难以阻止。同时,他们重新设计了恶意软件的体系结构,因此很难依据识别以前的感染模式进行检测。 X-Agent后门(也称为Sof
前段时间爆发的利用永恒之蓝进行勒索及xshell等事件,各大厂家都站在不同的角度分析了相应的事件及程序,对于对逆向不了解看着的确很吃力。上段时间看到宫总及袁哥都在讲DNS对于分析这种攻击的可行性。 永
免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
意在提供一个安全厂商产品清单的概况,来开阔安全圈知识广度,文中提到的知识简介和技术框架,仅针对入门用。
Bert Hubert 注意到了一个涉及.tickets、.blackfriday、.feedback等顶级域名的 DGA 域名,并将其发布到 Twitter:
构建恶意域名检测引擎,对海量域名进行自动化检测并识别出恶意域名,让威胁情报的检测和运营变得更智能、更高效,以缓解威胁情报分析师分面对海量威胁数据的分析压力。
Banjori是被发现于2013年并活跃至今的银行木马。其攻击目标主要针对于法国、德国与美国的个人银行网上用户。当用户被感染后,木马会将恶意载荷注入至用户的活动进程实现持久威胁并对用户的信息进行收集。银行木马的盗窃重灾区多位于浏览器,Banjori亦不能免俗。相比IE与Chrome, 该木马尤为青睐于火狐浏览器,大部分被窃取的用户信息均通过对该浏览器的挂钩、数据库文件查询获取。值得一提的,该木马家族自2013年起就使用当年颇为时髦的动态域名算法获取CC服务器地址。这导致杀软传统的黑名单过滤形同虚设,但同时也为摧毁/接管该僵尸网络创造了条件。
本周一,网络安全公司 Cleafy 和 ThreatFabric 的研究人员公布了一个新型Android恶意软件,它能够窃取用户手机中的银行账户。
上一篇文章ABC_123详细介绍过,本期再简单回顾一下。C2服务端的攻击者会通过控制C2域名解析到不同的ip地址段,间接控制Sunburst后门的行为,接下来看一个简单的例子,看看攻击者如何控制Sunburst后门,使其永久退出。
背景知识 由于依赖感染指标(IOCs)的安全方法越来越不可靠,“突破口假设”成为业界公共的表示方法。这种情况经常发生,直到外部主机发现一个缺口并通知机构之前,入侵都没有办法检测到。 作为基于签名的解决方案和从第三方获取问题信息的替代,网络防御者需要来自于已经进入企业内部的未知敌手的“突破口假设”。 给定越来越多攻击者的目标和个人信息,网络防御者必须在已知IOC的基础上扩大搜索范围,并且在他们的网络中寻找未知的突破口。这个系统追踪未知攻击者的方法被叫做网络攻击追踪。 对攻击者的追踪并非没有难度,一些企业(
目前尚不清楚该恶意软件的幕后黑手是谁,但 Infoblox 的研究人员认为,有4个参与者正在利用和开发该恶意软件来进行具有高度针对性的操作。由于观察到的范围仅限于俄罗斯和东欧地区,似乎该活动与俄乌战争有关。
网站上线前需要对网站进行渗透测试,上一节我们Sine安全讲师讲了web的基础知识了解,明白了具体web运行的基础和环境和协议,这一节我们来讨论下域名和DNS工作原理以及http状态码和请求的协议来分析检测中的重点域名收集。
今天给大家介绍一款名叫Flightsim的实用工具,该工具可以帮大家生成恶意网络流量,并以此来评估自身的网络安全控制策略。
背景: 最近,XShell远程终端工具发现被加入了恶意代码,目前官方就此事也做出了回应,要求使用者尽快下载最新版本。腾讯安全反病毒实验室就此跟进分析,对此次带有后门的XShell工具进行了分析。 技术分析: 概述: 整个恶意过程可以通过下图来展示 整个作恶过程分为3部分,第一部分是被patch的XShell启动后,执行到恶意的shellcode1。shellcode1解密后续数据后,执行该段代码shellcode2。第二部分shellcode2运行后会判断注册表项,如果不存在Data键值,则会收集
这是这个系列最后一篇了,想要看更多内容请大家移步到原网站查看吧,这个系列的翻译可能会存在问题,希望大家可以理解,在实践中遇到问题欢迎与我们交流,有对红蓝对抗感兴趣的同学欢迎联系组长加入组织。
据Security Affairs网站消息,Check Point Research (CPR) 团队的研究人员发布报告称,在谷歌官方 Google Play 商店中发现了几个恶意 Android 应用程序,这些应用程序伪装成防病毒软件,用于传播 SharkBot 银行木马。
《当人工智能遇上安全》系列博客将详细介绍人工智能与安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。只想更好地帮助初学者,更加成体系的分享新知识。该系列文章会更加聚焦,更加学术,更加深入,也是作者的慢慢成长史。换专业确实挺难的,系统安全也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~
0x00 前言 在讲文章主题之前,我们还是习惯性地聊(che)一(che)聊(dan)。 远程控制木马大家都不陌生,尤其是早期接触黑客技术的人,应该可以发现早在2007-2009年,这段时间内,国内的“黑客技术”正是蓬勃发展的时期,那个时候,可谓是“战乱纷争,万马奔腾”的年代,当时流行各种黑客技术,其中就包括远程控制技术。 各种远程控制木马满天飞,无论是最早葛军编写的“灰鸽子”,还是各种后起之秀的RAT,简直不胜枚举,各种被阉割的xxx专用版,各种新出的xxxRAT。如各类国产远控木马、上兴、PCShare
机器之心报道 机器之心编辑部 GNN 是近年来非常火的一个领域。最近,一篇 Nature 子刊论文提出了一种用 GNN 解决组合优化问题的方法,并声称该 GNN 优化器的性能与现有的求解器相当,甚至超过了现有的求解器。不过,这篇论文引来了一些质疑:有人指出,这个 GNN 的性能其实还不如经典的贪心算法,而且速度还比贪心算法慢得多(对于有一百万个变量的问题,贪心算法比 GNN 快 104 倍)。所以质疑者表示,「我们看不出有什么好的理由用这些 GNN 来解决该问题,就像用大锤砸坚果一样。」他们希望这些论文作者
4月1日凌晨,火绒安全团队发出警报,部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。
本文提供一个简单的方式让大家可以轻松记住一个账户和密码,来得到对每个不同的网站有一个对应的密码。
此文力求比较详细的解释DNS可视化所能带来的场景意义,无论是运维、还是DNS安全。建议仔细看完下图之后的大篇文字段落,希望能引发您的一些思考。
笔者最近参加聂君和郭威两位资深安全人士主办的“2021金融业企业安全建设实践群系列论坛暨大型红蓝对抗经验闭门研讨会(深圳站)”学习网络安全建设经验,受益匪浅。会上笔者也分享了隐蔽通信应用及防御的相关内容,很高兴收到不少安全同行反馈说“议题内容对我们安全建设有很大的帮助,有不少信息是之前没有了解过的”。为了让更多企业单位更全面了解攻击者多样化的隐蔽通信手段以及更好的完善防御,笔者也将演讲稿分享出来,这些也是蓝军和红军在十多年的对抗中长期保持调研学习业界案例和经验、总结沉淀并延伸的成果,希望可以给行业带来帮助,也请大家不吝指正。
目前各个安全厂商都开始积极地挖掘情报数据的价值,研究威胁情报分析与共享技术。越来越多的安全厂商开始提供威胁情报服务,众多企业的安全应急响应中心也开始接收威胁情报,威胁情报的受重视程度日益变高。根据SANS 发布的全球企业的威胁情报调查报告(The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing),94% 的受访企业表示目前已有威胁情报项目,70% 企业采了用威胁情报供应商的商业源。
...8一、智能汽车安全攻防大揭秘 2017年10月23日 360独角兽安全团队(UnicornTeam) (作者), 李均 (作者), 杨卿 (作者), 等 (作者) 本书首先针对汽车研发人员介绍了一些安全基础知识,如加密解密、安全认证、数字签名、常见攻击类型和手段等,然后针对安全研究人员介绍了一些智能汽车的工作原理,如汽车的内网协议、网络架构、X-By-Wire 线控系统原理、常见潜在攻击面等,最后对一些实际的汽车攻击或安全测试案例进行详细分析,并在分析过程中对案例里涉及的漏洞进行防御分析。本书的
在最新的ntopng版本中,为了帮助理解网络和安全问题,警报已经大大丰富了元数据。在这篇文章中,我们重点讨论用于丰富流量警报和标记主机的"攻击者 "和 "受害者 "元数据。具体来说,当一个流量的客户端或服务器很可能是一个或多个安全问题的始作俑者时,它就被标记为 "攻击者"。同样地,当客户端或服务器被认为受到攻击时,它被标记为 "受害者"。对于非安全导向的用例(如严重的丢包),受影响/引起该问题的主机仍然以高分值突出显示,但它们不会被标记为攻击者/受害者,因为这些词只用于安全领域。
本文深入探讨了我们在真实环境中所发现的域名系统(domain name system,DNS)隧道(Tunneling)技术的全新应用案例。这些技术不局限于命令与控制(command and control,C2)和虚拟私人网络(virtual private network,V*N)的DNS隧道,其应用范围更为广泛。
美人鱼(又称infy,Prince of Persia,Foudre)APT组织其主要针对政府机构进行攻击活动,由unit42以及360威胁情报中心首先于2016年5月进行披露,其最早的攻击活动可以追溯到2010年,并且期间一直没有长时间的间断.该组织背后的来源为中东地区.其使用的后门由于其C2的请求中带有infy的路径,故此被名为infy后门,在2017年,unit42发布报告披露了其使用了更新的后门,名为Foudre。不过其单独披露了版本1和版本2的后门。在2018年,Intezerlab发布报告披露了关于Foudre后门的第八版本.在本次的攻击活动中,我们发现了其使用的第21版本与第22版本
短网址(Short URL) ,顾名思义就是在形式上比较短的网址。在Web 2.0的今天,不得不说,这是一个潮流。目前已经有许多类似服务,借助短网址您可以用简短的网址替代原来冗长的网址,让使用者可以更容易的分享链接。
Lazarus跨平台框架 攻击者正在不断开发自己的TTP(战术,技术和程序)和工具集。但是,多平台恶意工具集很少见,7月报告了Lazarus开发的多平台恶意软件框架。研究人员在2018年4月发现该框架的第一批样本(称为“ MATA”)。从那时起,Lazarus不断开发MATA, 现有适用于Windows,Linux和macOS操作系统的版本。 MATA框架由几个组件组成,包括加载器,协调器(一旦设备被感染,负责管理和协调进程),一个C&C服务器和各种插件。 Lazarus已使用MATA渗透到世界各地的组织
*原创作者bt0sea,本文属FreeBuf原创奖励计划,未经许可禁止转载 之前在FreeBuf发表的第一篇有关蜜罐文章,引起了业界不小的轰动,但是上篇文章主要是和大家探讨服务型蜜罐的技术
列生成算法 (Column Generation) 01 列生成算法的背景 多年来,寻找大规模的、复杂的优化问题的最优解一直是决策优化领域重要的研究方向之一。列生成算法通常被应用于求解大规模整数规划问题的分支定价算法(branch-and-price algorithm)中,其理论基础是由Danzig等于1960年提出。当求解一个最小化问题时,列生成算法主要的作用是为每个搜索树节点找到一个较优的下界(lower bound)。本质上而言,列生成算法就是单纯形法的一种形式,是用来求解线性规划问题
2017年,勒索病毒扩散事件让大家人心惶惶,对WannaCry勒索病毒、Petya勒索病毒、Locky勒索病毒、BadRabbit勒索病毒的传播记忆犹新,而2018年初,GlobeImposter勒索病毒也没闲着,仅18年1月至今,明御APT攻击(网络战)预警平台就检测到华北区域、华南区域、西南区域、华东地区等地数家用户单位感染勒索病毒,主要涉及医疗、房地产、金融等行业。
学习打卡计划是信安之路知识星球开启的 “每天读书一小时,挑战打卡一百天” 主题活动,能够坚持学习打卡 100 天的同学可以获得信安之路提供的百分成就徽章和证书,学习书籍可以自选,主要目的是养成每日读书学习的好习惯,并将自己的学习心得分享出来供大家学习。
● 攻防速度不对等:攻击者突破防线、偷走数据的速度远远快于防守方发现攻击、阻断攻击的速度,防守方的响应速度不够快。
异常检测在工业生产有着广泛的应用,如攻击 / 入侵检测、系统运维检测、异常行为分析等等。近年来,基于深度学习的异常检测算法被提出并展现了良好的性能,相较于传统的异常检测算法,其主要优势是可以从更多的数据中更好地学习非线性的复杂特征。然而,缺乏可解释性仍旧是在实践中采用深度学习模型的重大障碍之一。现有的解释方法通常用于监督学习模型,而无监督的深度学习模型通常无法满足异常检测的可解释需求。
这几天勤奋的小编一直在精确算法的快乐学习之中不能自拔。到列生成算法这一块,看了好几天总算把这块硬骨头给啃下来了。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
