存档

作者存档

也来黑记者:布鲁克林高地外无眠的夜晚(三)

2014年5月14日 没有评论

原文:http://blog.spiderlabs.com/2013/12/hacking-a-reporter-sleepless-nights-outside-a-brooklyn-brownstone-part-3-of-3.html 

翻译:徐文博

该篇是三篇系列中的最后一篇(你可在这阅读第一篇第二篇),该系列深入的介绍了我们对记者Adam Penenberg的黑客情况,Adam也在10月份的潘多省日报上有篇文章对此描述。 前面两部分详细讲述了Josh Grunzweig, Matt Jakuboski和Daniel Chechik所做的用于攻击的恶意软件相关内容。 在这最后的文章里,Garret Picchioni,也就是我了(在前面的文章里,被投票认定来写最后的文章),将更多的讨论下现场和无线攻击部分的细节。

我和Matthew Jakubowski(Jaku), 都专注于蜘蛛实验室的网络渗透测试。当被问及是否有兴趣参与此活动时,我们毫不犹豫的就答应了。

无线攻击

这是此次活动中比较有挑战的部分,与传统的渗透测试有很大区别。通常我们为公司进行无线渗透测试时,都是预先给定了一系列的网络名称(SSIDs)的,所以我们不会浪费时间用于识别目标网络,也不会意外入侵到别人的网络。我们现在所面对的则略有不同:要能定位出Adam家的无线网络名称,同时又不能错误的入侵他人网络。

到达Adam家附[……]

阅读全文

也来黑记者:写个恶意软件玩玩(二)

2014年5月14日 没有评论

原文:http://blog.spiderlabs.com/2013/11/hacking-a-reporter-writing-malware-for-fun-and-profit-part-2-of-3.html 

翻译:徐文博

Mattew Jakubowski(@jaku) 对此文的编写做出了贡献。

该篇是3篇系列中的第2篇(可在此读第1篇)。 第1和2两部分详细的介绍了我们自身团队(Matt Jakubowski, Daniel Chechik和我)所做的用于攻击的恶意软件。 在第3部分,我们的同事Garret Picchioni将发布更多的关于现场和无线攻击部分的技术细节。

简单总结一下第1部分:我们编写了与平台无关的恶意软件,经过几番处理,安装在了Adam妻子的手提电脑上,等待再次与手提电脑建立连接。 最终,那晚深夜,我们再次收到了连接,故事继续着。

An actual image of us writing the malware for this engagement

图1:我们所编写的用于此次行动的恶意软件的图片(当然不是啦,来自热播的电影,《剑鱼行动》(Swordfish))

第3步:进一步的妥协与收获

这次行动整体的目标不是很明确。只是想造成尽可能大的假设性破坏。为此,我们希望尽可能多的获取到Adam的帐号权限、敏感信息。我们进入Adam妻子的手提电脑后,就开始翻查文档目录、下载目录和桌面。不幸的是,整个行动期间,与手提电脑的连接总是很快就丢失[……]

阅读全文

也来黑记者:写个恶意软件玩玩(一)

2014年5月14日 没有评论

原文:http://blog.spiderlabs.com/2013/10/hacking-a-reporter-writing-malware-for-fun-and-profit-part-1-of-3.html

翻译:徐文博

Mattew Jakubowski(@jaku) 对此文的编写做出了贡献。

潘多省日报(Pando Daily)的编辑Adam Penenberg最近发表了一篇文章“我让黑客来调查我,他们的发现让我不寒而栗”,讲述了我和我的小伙伴“骚扰”他生活的事情。 如果你还没读过, 那我强烈建议你去瞅瞅。

本周该日报上又发布了一篇后续文章,“一个记者让我们黑他,我们是怎么做到的呢”,从我们的角度进行了阐述。

我想有些读者朋友可能比较好奇更详细的渗透技术细节。所以我们决定对此发表3篇的系列文章以示阐述。

第一部分和第二部分将详细介绍我们自身团队( Matt Jakubowski, Daniel Chechik,和我)所做的用于本次渗透的恶意软件和钓鱼邮件。下周,我们的同事Garret Picchioni将会展示更多的关于现场和无线入侵的技术细节。

我在蜘蛛实验室(SpiderLabs)的恶意软件分析小组(Malware Analysis Team)作[……]

阅读全文

浅谈linux系统数据恢复

2014年5月9日 没有评论

原创:4ll3n

程序员的误操作造成数据丢失,忙着一个星期的项目,就这样付之东流了。老板的痛斥、经理的训斥接踵而来。接下来就是没休息、加班,甚至忙到凌晨都不能离开那该死的电脑,都有种想屎的感觉呢?

为那些不喜欢备份数据的朋友带来了福音,我们来谈谈数据恢复,这里我们来手把手地教会你如何利用简单的工具来恢复被你删除的数据。

工具: hexedit、fdisk

下文内容操作均在root环境下完成。

hexedit:

data recovery 01

在linux上,经常会使用hexedit来修改程序的16进制代码。而fdisk这里就不介绍了。

现在我们走进磁盘的世界,看看磁盘它对数据做点了什么吧。

首先,在终端下使用root权限,来运行下命令:

Command: fdisk -l

data recovery 02

/dev/sdb1是今天的主角,从图片很清晰地看到一些相关数据,比如磁盘的size,、sector、I/O size等等。

data recovery 03

磁盘格式为ext4,而非MS上的vfat32和NTFS格式,在文章的结尾贴上FAT32的图片。

第一步:

运行fdisk,使用专家模式,来备份Partition table。

data recovery 04

ext4的partition table非常简单,一般备份partition table为ext4.img。备份是为了避免数据恢复中被破坏。

[……]

阅读全文

分类: 电子取证 标签: ,

白砂在涅,方显本色——评《每日新报》所谓“洗白”一说

2014年4月16日 3 条评论

原创:Archer

《每日新报》发表文章《中国黑客 “洗白”不容易》提到 IDF 实验室,并将IDF出现在洗白等词的文章中。经核实其记者确实采访过我实验室,但措辞多有修改,以至于偏离本意、甚有歧议之嫌。就此问题,我代表IDF实验室发表几句个人意见。

ESnow把世人从理想国的幻梦中拉回了现实,某个国内的大型私有企业被爆长达数年不设防,似乎信息安全进入了的新时代。媒体的镁光灯聚焦在安全行业的各类事件上,某个角度上说的确促进了这个行业的发展。但是,今日Archer想说:偏光、红眼、曝光过渡的照片有失记者专业水准,照得不好再PS修得脱离本相更是有悖媒体的职业风范。公众教育这种事情,不知道某些事情问题不大、让他们知情就可以,但是在他人不清楚情况的时候引发歧议、造成客观上的误导的报道,这种事情不如不做。

《每日新报》的报道,将万涛创建益云和IDF实验室的篇幅,放在“黑客教父 转型下海”的标题之下。客观上给读者造成“万涛-黑客教父-转型-洗白”的印象。就此,我发表第一个声明:

IDF没有“黑”过,我们一直是干净的白。

文章暗示IDF洗白成功,而别人却多是碰壁?

IDF实验室从未以损害他人利益为目的从事计算机行为,根本不需要洗白!

何所谓黑客、白客?

“黑客”是文化发展的认知问题。因为中国还没有对hacker一词有正确认知,我倾[……]

阅读全文

0day星期三——新型恶意软件遭遇战

2014年3月27日 2 条评论

原文:http://www.gironsec.com/blog/2013/12/0day-wednesday-newish-malware-that-came-across-my-desk/

翻译:徐文博

可能有人会说这标题很疯狂,但我把它称之为“星期三”。

这款较为新颖的恶意软件是我昨天遇到的,今天就被我搞定了。它是一个老的2012 CVE的java攻击包(可能针对SecurityManager)的负载。压缩与解压缩的在VirusTotal/Malwr上都没有查到,所以这又是一个0day啊。

利用IDA进行初步检测,报出一个错误:

p1

估计制作这家伙的兄弟也知道, 迟早某一天它会被像我这样的人拿来瞅瞅的。确实有许多的修改可以用来搅乱反汇编结果,而丝毫不影响Windows上的运行。

用CFF Explorer来看看,发现NT头部的一个错误在“Data Directories”的“Delay Import Directory RVA”项中。CFF很好的为我们指出0x00000040值是错的。将其清零就可以解决此问题。

p2

保存修改的exe,在IDA中重新打开,之前的错误提示就消失了,一切正常。

在IDA里简单的过一眼就可以知道这是一个MFC程序。我咋知道的呢?在导入表的Library字段很清[……]

阅读全文

分类: 恶意软件 标签: , ,

对门控系统的攻击面检查

2014年3月18日 没有评论

原文:http://www.nccgroup.com/en/blog/2013/09/door-control-systems-an-examination-of-lines-of-attack/

翻译:徐文博

一、引言

近年来,许多企业出于对安全的考虑,开始逐步使用电脑化的门控系统:要求用户拥有中央数据库授权的口令或者刷卡,以确保那些没有授权的人无法进入公司区域或者公司的受限区域。

没有完美的系统,迄今为止大多的尝试都围绕着社工方面(诸如紧随溜进)或者设法占有必要的令牌以绕过该套系统。

但是攻击者通过利用门控系统自身的软硬件弱点也是可以进入的。

在本篇文章里,我们将展示一款在门控系统市场领先产品的严重安全漏洞, 通过它们不仅能够获取安全场所的访问权限,也可以获取所在企业的机密信息。

这些弱点包括,但不限于:缺少默认配置密码,无需认证的控制端口, 硬件缺少认证, 攻击者对数据库的可能拷贝, 利用缓冲区溢出攻击造成的拒绝服务, 硬编码的密钥导致的可能性的欺骗。

为避免厂商解决问题期间可能的恶意攻击, 我们不会指明哪家的门控系统有问题, 有些技术细节也做了处理。 我们期望待厂家解决这些问题之后,再发布一篇完整的文章,包括那些具体的细节。

我们试图概述这些系统的安全问题, 而不是在某个点上深入研究, 所以进一步的研究纲要也是必须的。&nb[……]

阅读全文