Ghidra Software Reverse Engineering Framework逆向工具分析

Ghidra是由NSA的研究理事会为NSA的网络安全任务开发的软件逆向工程(SRE)框架。 主要用于分析恶意代码和病毒等恶意软件,并可以让网络安全专家更好地挖掘网络和系统中潜在的安全漏洞。美国国家安全局(NSA)在今年3月举行的2019年RSA会议上首次公开,将Ghidra作为开源项目发布给公众。

阅读全文 “Ghidra Software Reverse Engineering Framework逆向工具分析” »

【公益译文】摧毁智能合约僵尸网络(一)

私有区块链上智能合约的分布式弹性是一种与僵尸网络成员保持通信的有效方法,吸引了很多“僵尸牧人”(Bot Herder)。本文探讨了这种僵尸网络管理方法中的固有缺陷。若执法人员或恶意软件研究人员处理得当,这些缺陷可能会限制僵尸网络的功能和效力。缺陷不同,处理结果也不同:僵尸网络可能会被部分或完全拆除。

阅读全文 “【公益译文】摧毁智能合约僵尸网络(一)” »

【公益译文】安全意识专题 | 企业员工常见的安全威胁以及如何有效避免恶意软件

人类可从错误中吸取教训,但在网络安全领域,小小的错误或缺乏基础意识可能会对基础设施造成严重损害。随着加密和网络安全的进步,现代系统理应不太容易被渗透和攻击,但黑客群体的攻击技术日益精湛,对系统发动攻击并不困难。可以说,接入互联网的任何电子设备无法百分百地避免外界干扰。然而,部署了完善的安全防护措施的企业不会让试图造成破坏的黑客轻易得逞。避免最常见的安全威胁是现代基础设施工程师应优先考虑的事情,因为若您不锁好前门实际上就是在暗中帮助犯罪分子。 本文介绍缺乏网络安全意识的实体面临的最常见威胁以及如何通过安全意识培训有效避免恶意软件。

阅读全文 “【公益译文】安全意识专题 | 企业员工常见的安全威胁以及如何有效避免恶意软件” »

NuggetPhantom分析报告

近期,绿盟威胁情报中心(NTI)在一次应急响应中,发现一起使用模块化恶意工具集“NuggetPhantom(掘金幽灵)”的安全事件。据我们观测,本次安全事件背后的组织最早出现于2016年底,其曾在2016年底的“天翼校园客户端蓝屏事件”以及2017年底的“天翼校园客户端挖矿程序事件”中有所行动。攻击者获知用户计算机存在EternalBlue漏洞后,利用该漏洞向用户计算机发送Eternal_Blue_Payload载荷,该载荷及其所释放的各模块皆通过访问下载服务器来获取加密后的各用途模块文件,并在内存中动态解密这些模块代码,执行模块对应的恶意功能。

阅读全文 “NuggetPhantom分析报告” »

VPNFilter III:恶意软件中“瑞士军刀”的增强工具包

VPNFilter是一个多阶段模块化的恶意软件,已经感染了全球数十万的网络设备。之前的报告中介绍过VPNFilter的三个阶段,近日思科Talos又发现了另外7个第三阶段模块。这些模块为恶意软件新增的功能包括扩展在网络端点之间横向移动的能力、数据过滤和多个加密隧道功能用以掩护C2通信及数据泄漏流量。

阅读全文 “VPNFilter III:恶意软件中“瑞士军刀”的增强工具包” »

【事件分析】No.9 潘多拉魔盒般的Webshell上传

近年来,Web应用程序是攻击者利用安全漏洞进行攻击的最常见目标之一。在成功渗透进Web站点后,攻击者会使用Webshell维持对目标长久的访问权限。尽管Webshell在实践中普遍存在,并且严重涉及Web安全问题,但它从未成为任何研究的直接主题。相反,Webshell经常被视为需要检测和删除的恶意”软件”,而不是需要分析和详细了解的恶意代码,久而久之给企业等网站带来巨大的危害。今天就为大家带来平台事件规则解读系列第九篇——潘多拉魔盒般的Webshell上传。

阅读全文 “【事件分析】No.9 潘多拉魔盒般的Webshell上传” »