通讯安全

1、前言

信息通信(包括浏览网站和IM即时消息等),是构建互联网通讯的地基,安全性一直是开发者所需要考虑的问题,然而一款成功的应用到底要加密什么东西、怎么加密等都是需要在性能、体验和真正的安全性上做好权衡和规划。

2、零级通信安全:信息裸传


正如上图所示,很多即时通讯的初级开发者都很少注意到需要为他们的IM或推送服务进行通信加密——直接使用明文在socket中进行收发。
此阶段的通信安全特点:
主要特点:在网络上传递明文;
安全评估:网络上传递的数据是不安全的,属网络于黑客公共场所,能被截取;
导致后果:传递明文无异于不穿衣服裸奔;
改进方案:先加密,再在网络上传输。

[……]

Read more

Powershell之MOF后门

0x00 MOF

Managed Object Format (MOF)是WMI数据库中类和类实例的原始保存形式。具体介绍可以阅读《WMI 的攻击,防御与取证分析技术之防御篇》,Windows 管理规范 (WMI) 提供了以下三种方法编译到WMI存储库的托管对象格式 (MOF) 文件:

  • 方法 1: 使用Mofcomp.exe。
  • 方法 2: 使用 IMofCompiler 接口和$ CompileFile方法。
  • 方法 3: 拖放到%SystemRoot%\System32\Wbem\MOF文件夹的 MOF 文件。

第三种方法仅为向后兼容性与早期版本(win2003)的 WMI 提[……]

Read more

WMI Backdoor

0x00 前言

上篇介绍了如何通过powershell来实现WMI attacks,这次接着介绍一些进阶WMI技巧—WMI Backdoor

配图为Mandiant在M-Trends 2015报告中提到的“How threat actors use WMI to maintain persistence”(即上篇提到的隐蔽定时启动程序)

0x01 简介

结合上篇WMI attacks的基础知识来设计WMI Backdoor

特点:

不在Client和Server留下任何文件
不改动注册表
仅使用powershell实现

0x02 测试环境

CLIENT:

192.1[......]

Read more

域渗透——Security Support Provider

0x00 前言

在之前的文章中介绍了一些域环境中的渗透方法和技巧,所以这次接着介绍一个用来维持域控权限的方法——SSP.

0x01 简介

SSP:

Security Support Provider,直译为安全支持提供者,又名Security Package.

简单的理解为SSP就是一个DLL,用来实现身份认证,例如:

#!bash
NTLM
Kerberos
Negotiate
Secure Channel (Schannel)
Digest
Credential (CredSSP)

SSPI:

Security Support Provider Interface,直[……]

Read more

Fireeye Mandiant 2014 安全报告 Part2

0x00 进化中的攻击生命周期

在我们调查过的多数案子中都出现了相似的行为模式,我们叫它攻击生命周期。

安全就像猫捉老鼠,安全团队加了些新的防御措施,然后攻击者换了种攻击方式,绕过你的防御体系。在2014年里还是这样。我们发现更多攻击使用了VPN来连接受害方的网络。同时也出现了许多很聪明的新方法来绕过检测,新工具和技巧从已攻下的环境中传出信息。

0x01 VPN劫持

获取了目标网络的VPN登录权限给了攻击者两个非常有利的优势。首先他们可以在不用部署后门的情况下持续连接到目标网络内。其次他们可以像正常用户那样登录内部网络。

在最近几年中,我们发现一些组织在内网站住脚之后,立刻瞄准了VP[……]

Read more

Fireeye Mandiant 2014 安全报告 Part1

0x00 case study 1

美国最大的实体零售连锁店是如何在3个月内被窃取几百万笔信用卡资料的

[page 8]

这次攻击和2014年的多次针对零售业的攻击类似,都是通过利用合法的账号远程登录受害方的系统,内网渗透之后在POS机系统上装盗取信用卡的恶意软件.直到被美国政府部门通知后他们才发现自己已经被攻击了。

0x01 切入点

攻击者首先使用合法账号登录了零售商的虚拟应用服务器。这个虚拟服务器给了攻击者一个权限有限的虚拟化桌面环境(目测是Citrix,传说中的透明计算吗?)。我们没有发现失败登录的记录,说明攻击者在攻击之前就已经获得合法账号(当前证据没有显示攻击者是如何获取到[……]

Read more

WMI Defense

0x00 前言

前两篇分别介绍了WMI Attacks & WMI Backdoor,侧重于攻击,所以这篇介绍一下WMI Defense,攻防结合,便于大家更清楚认识WMI.

0x01 简介

本篇侧重于介绍如何通过Powershell调用WMI监视自身系统、记录入侵行为,并对WMI的检测工具做具体测试。

0x02 测试环境

Win8 x86 powershell v3(win8默认安装) 开启Winmgmt服务,支持WMI

0x03 监视系统

*注: 以下均为Powershell代码

1、监视进程创建

 $filterName = 'BotFilter48'[......]

Read more

WMI Attacks


Matt Graeber在Blackhat中介绍了如何使用WMI并展示其攻击效果,但细节有所保留,所以这一次具体介绍如何通过powershell来实现WMI attacks。

0x01 说明

WMI在内网渗透中最常见的是wmiexec 之前在/tips/?id=7358中有提到 因此Remote WMI不做重点介绍

参考链接: https://www.blackhat.com/docs/us-15/materials/us-15-Graeber-Abusing-Windows-Management-Instrumentation-WMI-To-Build-A-Persistent[……]

Read more

WMI 的攻击,防御与取证分析技术之防御篇

近日,FireEye 安全公司的高级逆向工程团队(FLARE)发布了一份标题为《 WMI 攻击,防御与取证分析技术 》的 PDF 文档,该文档页数多达 90 页,文档内容主要从攻击,防御和取证分析这三个角度分篇对 WMI 技术做了详细的描述。其中不乏有很多值得学习思考的地方。于是,我利用业余时间翻译整理了此文档,拿出来与大家共分享 :),如有纰漏,望各位不吝赐教。

为了对原文档内容进行全面的翻译和解读,我按照文章的分析角度对原文档进行了分段式的翻译,本篇文章是分段式里面的第二篇,其余两篇译文的标题分别为:

Read more