- 综合排序
- 最热优先
- 最新优先
- 来自专栏安恒信息
近期APT攻击事件频发—安恒信息再次成功检测到APT攻击样本
>>>> 前言 乌克兰电力系统受到APT攻击事件,给国内外企业和用户都敲响了警钟,与此同时,安恒信息在国内也监控到了多次APT攻击。 近期,安恒信息APT威胁分析设备在某用户网络中发现了一个APT攻击样本,这是一个由EncapsulatedPostScript(EPS) filter模块(32bit下模块为EPSIMP32.FLT)中一个 该样本可在多种环境下触发成功,使攻击成功率大大增强,且该样本中的ROP技巧使用了一种较新的方法,该方法可以绕过EMET等防护软件的检测,攻击具有极强的指向性和隐蔽性,属于典型的针对性的APT攻击。 >>>> 结语 该漏洞及利用样本的威胁程度非常高,可以在多种环境下成功利用,并且其构造的ROP链及shellcode能够绕过多款安全性增强工具的检测,所以需要做好防范工作。
99350发布于 2018-04-11 - 来自专栏玄魂工作室
Hacker基础之工具篇 APT2
这里大家注意不是关于apk的(这个工具好像在新版的Kali中被舍弃了) apt2 APT2是一个自动渗透测试工具包 该工具将执行Nmap扫描,或从Nexpose,Nessus或Nmap导入扫描结果 处理结果将用于根据可配置的安全级别和枚举的服务信息启动漏洞利用和枚举模块 所有模块结果都存储在本地主机上,并且是APT2知识库(Knowledge Base)的一部分 Knowledge Base可从应用程序内访问,并允许用户查看利用模块的收集结果 要运行这个命令,直接在Terminal 中输入apt2就可以了 如果新版本中没有预装,可以在这里下载 https://github.com/MooseDojo/apt2 如果是自己下载需要自行安装这些库 pip install python-nmap 来调用msf apt2 -s 0 --ip 192.168.1.233 其中,这里的-s的意思是SAFE_LEVEL的等级,0代表了UNSAFE 之后的-b的意义是<绕过菜单并从命令行参数运行> 之后的 --ip 192.168.1.233就是代表了我们的目标IP 如果打算直接利用nmap的结果 可以这样 apt2 -f <nmap.xml> 本文完
56530发布于 2018-07-25 - 来自专栏安恒信息
HT工具泄露 安恒APT产品无需升级即可检测
这些工具和漏洞有可能被其他恶意攻击者利用进行APT攻击,将对用户所在的网络环境造成不可预估的损失与破坏。 安恒信息研究院在获取到相关讯息后,通过“明御APT攻击(网络战)预警平台”对其中所有的攻击代码、0day漏洞和网络攻击工具进行了恶意文件静态行为技术监测、动态沙箱分析等技术分析,最终结果显示“明御APT 攻击(网络战)预警平台”在未升级策略的情况下能够全面检测出所有利用攻击代码、0day漏洞和网络攻击工具,并进行告警。 可能会被恶意攻击者进行改造利用,安恒信息研究院将Hacking Team泄漏的0day漏洞和攻击代码进行了多种方式的修改汇编和加密,模拟真实黑客的攻击手法对“明御攻防实验室”网络靶机进行实验攻击,结果依然被“明御APT 攻击(网络战)预警平台”检测到并告警。
1.2K80发布于 2018-04-11 - 来自专栏Python和安全那些事
APT分析报告:04.Kraken新型无文件APT攻击利用Windows错误报告服务逃避检测
这篇文章将介绍一种新型无文件APT攻击Kraken,它会利用Windows错误报告服务逃避检测。其中,DllMain函数反分析检查,以确保它不在分析/沙箱环境或调试器中运行非常值得我们学习。 如果不等于2,则程序退出,因为标识着它正在被调试。创建线程代码如下图所示。 (2) VM检测 在此函数中,它将通过提取显示驱动程序注册表项的提供程序名称来检查其是否在VMWare或VirtualBox中运行。 前文分享: [译] APT分析报告:01.Linux系统下针对性的APT攻击概述 [译] APT分析报告:02.钓鱼邮件网址混淆URL逃避检测 [译] APT分析报告:03.OpBlueRaven揭露APT 组织Fin7/Carbanak(上)Tirion恶意软件 [译] APT分析报告:04.Kraken - 新型无文件APT攻击利用Windows错误报告服务逃避检测 2020年8月18新开的“娜璋AI安全之家
1.5K30编辑于 2021-12-03 - 来自专栏Python和安全那些事
APT分析报告:02.钓鱼邮件网址混淆URL逃避检测
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。 前文分享了Linux系统下针对性的APT攻击及技术要点,这篇文章将介绍钓鱼邮件网址混淆URL逃避检测,钓鱼是APT攻击中常用的手段,它究竟怎么实现混淆呢? 但检测购买是否有任何产品发货不属于本研究的范围。 五.结论 垃圾邮件发送者正在不断改进他们逃避垃圾邮件检测系统的方法,从而将垃圾邮件传递给受害者。 APT组织中广泛使用钓鱼邮件,比如海莲花、摩诃草、蓝宝菇等,下一步作者会总结常见的钓鱼方法。 http://0[x]455e8c6a/0s1dbd6d7s18s2fas56fs49e3s92c3s4s1dcbc02 前文分享: [译] APT分析报告:01.Linux系统下针对性的APT攻击概述
90910编辑于 2021-12-03 - 来自专栏ops技术分享
apt和apt-get的区别
您可能想知道apt-get和apt之间的区别是什么?如果他们有类似的命令结构,那么新的apt命令需要什么?您可能还在考虑apt是否比apt-get更好? apt包含apt-get和apt-cache中一些最广泛使用的功能,除了模糊和很少使用的功能。它还可以管理apt.conf文件。 使用apt,您无需从apt-get命令到apt-cache。 apt默认启用它们并消除痛苦。 apt和apt-get命令之间的区别 虽然apt确实有一些与apt-get类似的命令选项,但它并不与apt-get向后兼容。 这意味着如果只是用apt替换apt-get命令的apt-get部分,它将不会始终有效。让我们看看哪个apt命令替换了apt-get和apt-cache命令选项 我应该使用apt还是apt-get? 最后,总结一下apt与apt-get的争论: apt是apt-get和apt-cache命令的子集,为包管理提供必要的命令 虽然apt-get不会被弃用,但作为普通用户,您应该更频繁地开始使用apt
3.3K20发布于 2021-05-26 - 来自专栏许唯宇
apt 和 apt-get 的区别
背景 apt 命令的引入就是为了解决命令过于分散的问题,它包括了 apt-get 命令出现以来使用最广泛的功能选项,以及 apt-cache 和 apt-config 命令中很少用到的功能。 在使用 apt 命令时,用户不必再由 apt-get 转到 apt-cache 或 apt-config,而且 apt 更加结构化,并为用户提供了管理软件包所需的必要选项。 简单来说就是:apt = apt-get、apt-cache 和 apt-config 中最常用命令选项的集合。 apt和apt-get命令之间的区别 虽然 apt 与 apt-get 有一些类似的命令选项,但它并不能完全向下兼容 apt-get 命令。 apt 命令 取代的命令 命令的功能 apt install apt-get install 安装软件包 apt remove apt-get remove 移除软件包 apt purge apt-get
1.6K20编辑于 2022-03-29 - 来自专栏Android开发与分享
【Android】APT
2、apt-processor(注解处理器) (重点部分) 在Module中添加依赖 dependencies { implementation 'com.google.auto.service :auto-service:1.0-rc2' implementation project(':apt-annotation') } Android Studio升级到3.0以后,Gradle (后面会说到) 介绍下依赖库auto-service 在使用注解处理器需要先声明,步骤: 1、需要在 processors 库的 main 目录下新建 resources 资源文件夹; 2、在 //省略部分代码... /** * 创建Java代码 * @return */ public TypeSpec generateJavaCode2( JavaFile javaFile = JavaFile.builder(proxyInfo.getPackageName(), proxyInfo.generateJavaCode2(
1.3K90发布于 2018-05-18 - 来自专栏Khan安全团队
Active APT
链接到 Gamaredon 并在本博文中讨论的工具被 ESET 的产品检测为 MSIL/Pterodo、Win32/Pterodo 或 Win64/Pterodo 的变体。 与其他 APT 团体相反,Gamaredon 团体似乎不遗余力地试图保持低调。 image.png 图 2. 如图 2 所示,VBA 代码构建电子邮件正文并将恶意文档附加到电子邮件中。我们已经看到.docx和.lnk文件都被用作附件。 image.png 图 9.包含后门文档文件扫描结果的示例inject.txt文件 该软件包还包含名为1.log、2.log、3.log、4.log和5.log的加密脚本文件。
10.9K00编辑于 2022-01-17 - 来自专栏技术篇
APT攻击
APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。 从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。 利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。 而这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是把"被控主机"当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物,所以这种APT攻击模式, 实质上是一种"恶意商业间谍威胁"。
98140编辑于 2021-12-18 - 来自专栏Java EE 企业级开发工作日志
Linux 答疑:Linux 中 apt 与 apt-get 命令有何区别,我们该选择 apt 还是 apt-get?
文章目录 前言 一、apt 与 apt-get 命令的背景分析 二、apt 与 apt-get 之间的区别 三、apt 和 apt-get 命令区别对比表 四、apt-get 是否已弃用? 五、我们应该使用 apt 还是 apt-get? 那么,apt-get 与 apt 命令之间到底有什么区别呢?如果它们有类似的命令结构,为什么还需要新的 apt 命令呢?是否 apt 真的比 apt-get 更好? 简单来说就是:apt = apt-get、apt-cache 和 apt-config 中最常用命令选项的集合。 三、apt 和 apt-get 命令区别对比表 虽然 apt 与 apt-get 有一些类似的命令选项,但它并不能完全向下兼容 apt-get 命令。
3.1K60编辑于 2022-05-08 - 来自专栏iOSDevLog
ubuntu 16.04 安装 llvm方式1 bin方式2 apt测试
export PATH=$PATH:...clang+llvm-6.0.1-x86_64-linux-gnu-ubuntu-16.04/bin $ source ~/.bashrc $ clang 方式2 xenial-wsl.html $ wget -O - https://apt.llvm.org/llvm-snapshot.gpg.key | sudo apt-key add - $ sudo apt-add-repository "deb http://apt.llvm.org/xenial/ llvm-toolchain-xenial-6.0 main" $ sudo apt-get update $ sudo apt-get install -y clang-6.0 参考:2 https://www.linuxhelp.com/how-to-install-llvm-6-on-ubuntu-17-04 llvm源:http (apt.llvm.org)... 151.101.198.49 Connecting to apt.llvm.org (apt.llvm.org)|151.101.198.49|:443... connected
4.6K20发布于 2018-09-20 - 来自专栏Seebug漏洞平台
apt apt-get 中的远程执行代码
原文:Remote Code Execution in apt/apt-get 作者:Max Justicz 译者:Nanako@知道创宇404实验室 TL,DR: 我在apt中发现了一个漏洞 例如,在一台机器上运行 apt install cowsay并用http请求下载相应包的时候,apt将提供/usr/lib/apt/methods/http目录,并返回100 Capabilities消息 3_all.deb Filename: /var/cache/apt/archives/partial/cowsay_3.03+dfsg2-3_all.deb Expected-SHA256: 858d5116a60ba2acef9f30e08c057ab18b1bd6df5ca61c233b6b7492fbf6b831 3_all.deb Filename: /var/cache/apt/archives/partial/cowsay_3.03+dfsg2-3_all.deb Size: 20070 Last-Modified 2007%20Mar%202017%2000%3A29%3A01%20%2B0000%0AMD5-Hash%3A%2027967ddb76b2c394a0714480b7072ab3%0AMD5Sum-Hash
1.1K30发布于 2019-02-26 - 来自专栏Linux兵工厂
Linux中apt、apt-get命令用法汇总
以下是对这两个命令的详细解释: apt-get 命令: 安装软件包: sudo apt-get install package_name 例如,安装 vim 编辑器: sudo apt-get install apt 命令: apt 是 apt-get 的高级包装,提供了更简洁和用户友好的接口。它的语法更为一致和直观。 升级已安装的软件包: sudo apt upgrade 与 apt-get upgrade 类似。 更新软件包列表: sudo apt update 与 apt-get update 类似。 搜索软件包: apt search package_name 与 apt-get search 类似。 清理无用的依赖关系: sudo apt autoremove 与 apt-get autoremove 类似。 总体来说,apt 是对 apt-get 的改进和扩展,提供了更好的用户体验。
1.6K10编辑于 2024-02-27 - 来自专栏Python和安全那些事
08.基于溯源图的APT攻击检测安全顶会论文总结
基于可疑信息流的实时APT检测。 文章目录: 一.背景知识 二.APT攻击检测研究 1.APT攻击检测相关研究 2.基于异常检测的方法 3.基于溯源图的方法 SLEUTH [USENIX’17] Poirot [CCS’19 2.APT攻击的特点 上图的表格展示了APT攻击和普通攻击的区别。 另外,基于异常检测的方法图中也列举了部分方法。 2.基于异常检测的方法 基于异常检测的方法这里简单例举了利用C&C域名、数学模型、恶意流量和恶意行为实现APT攻击检测的框架图,如下图所示。 是算APT攻击正确识别数量,还是实体识别数量,还是溯源图中子图匹配数量呢? 问题2:如何去鉴别一个APT攻击,这点也非常重要。是将进程、文件、通信等不同对象标注成不同类别,构建相互之间的关联呢?
2.8K30发布于 2021-12-01 - 来自专栏安恒信息
紧急预警 | “永恒之蓝”勒索病毒爆发,安恒APT产品可检测
“ 明御APT攻击(网络战)预警平台早在4月份就已经支持通过解析SMB协议分析出恶意的攻击数据包,并检测到MS17-010远程溢出漏洞的利用攻击。 ” ? 目前安恒信息的明御APT攻击(网络战)预警平台已经支持对“永恒之蓝”勒索病毒的检测。建议APT产品用户升级到V2.0.29或之后版本,同时开启云端,在线实时更新安全策略。 请APT产品用户关注MS17-010的 “SMB远程溢出攻击” 和 “SMB远程溢出攻击成功”的 两个告警,尤其是“SMB远程溢出攻击成功”的告警。
1.2K60发布于 2018-04-11 - 来自专栏安恒信息
网络安全事件检测新高度 ——便携式APT预警平台
近来很多单位在出现网络安全事件后选用明御APT攻击(网络战)预警平台来检测事件发生的原因和源头,APT预警平台全面强大的攻击发现能力帮助用户解决了一次又一次的网络安全事件,基于此需求,我们推出了便携式 APT预警平台。 便携式型号与其他型号具备相同的检测能力,使用深度威胁检测技术,发现流量中的恶意攻击,除常规攻击手段外,还可发现零日漏洞利用、未知恶意代码等高级攻击手段,能检测到传统安全设备无法检测的攻击,提供全面的检测能力 ,可应用于突发事件安全检测、风险评估管理、应急处置等场景。
74820发布于 2018-07-24 - 来自专栏安恒信息
邮箱安全服务专题第5期 | 邮箱APT检测分析关键技术
之前几期内容介绍的由于人的因素、邮箱系统本身的安全因素,发现和检测方法,本期我们将为大家介绍利用邮箱APT预警检测平台的分析角度。 ? 图:看看这里有没有你常用的邮箱弱口令 邮件高级威胁检测平台 1 邮箱欺骗检测技术 伪造发件人进行欺骗攻击是邮件欺骗攻击非常常见的一个手段。 2 Webmail邮箱跨站检测技术 Webmail跨站目前是最常见的邮件攻击手段之一。项目采用两种技术手段来分析邮箱跨站。 2、动态模拟环境虚拟执行,并捕获恶意代码行为并进行分析。 恶意文件分析技术,可定位利用文件进行攻击的攻击进行,包括各种0day的攻击。 图:邮件APT预警检测系统部署方法 采用旁路部署方式,在连接目标机器的交换机上做端口镜像,将目标邮件服务器的进出流量通过端口镜像复制出来 。通过镜像流量对目标邮箱服务器进行威胁分析。
1.2K60发布于 2018-04-10 - 来自专栏全栈程序员必看
apt 与 dpkg
常用命令 1)安装软件 命令行:dpkg -i <.deb file name> 示例:dpkg -i avg71flm_r28-1_i386.deb 2)安装一个目录下面所有的软件包 命令行: clear-avail 12)查找只有部分安装的软件包信息 命令行:dpkg -C 13)比较同一个包的不同版本之间的差别 命令行:dpkg –compare-versions ver1 op ver2 -s package-name 示例:dpkg -s ssh 23)显示一个包安装到系统里面的文件目录信息 命令行:dpkg -L package-Name 示例:dpkg -L apache2 2、有的时候,用“新力得”下载完成以后,没有配置,系统会提示用“dpkg –configure -all”来配置,具体为什么也可以从上面看到。 3、现在Edgy里面可以看到Deb的信息。 参考文档 1.https://blog.csdn.net/somewhere117/article/details/4421965 2.https://blog.csdn.net/sunjiajiang
2.1K20编辑于 2022-11-09 - 来自专栏网络安全攻防
APT-GUID
项目地址 https://github.com/Al1ex/APT-GUID 项目介绍 整理APT领域的一些资料,涉及但不仅限于以下几个方面 APT攻击工具 APT分析报告 APT攻击技巧 工具整理 https://github.com/danielbohannon/Invoke-CradleCrafter Invoke-DOSfuscation cmd.exe命令混淆生成器和检测测试工具。 https://github.com/Cn33liz/StarFighters nps_payload 该脚本将生成payload,以避免基本的入侵检测。它利用了来自多个不同来源的公开展示的技术。 obscuritylabs/RAI Red Baron https://github.com/byt3bl33d3r/Red-Baron EvilURL 为IDN同形文字攻击生成unicode邪恶的域名并对其进行检测 /leoloobeek/LAPSToolkit PingCastle https://www.pingcastle.com/download RiskySPNs是PowerShell脚本的集合,专注于检测和查询
2.6K20编辑于 2022-12-22
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号