Python实战社群
Java实战社群
长按识别下方二维码，按需求添加
扫码关注添加客服
进Python社群▲
扫码关注添加客服
进Java社群▲
来源丨安全牛
https://mp.weixin.qq.com/s/wxo5xeRjUK9hr8_KHrhaoQ
众所周知，APT团体和网络犯罪分子以及红队经常使用相同的攻击性安全工具。根据Recorded Future最新发布的《2020对手基础设施研究报告》，防御者应当高度重视对攻击性安全工具的检测，因为无论是红队还是APT小组的精英操作员、人工勒索软件团伙或普通网络罪犯都越来越多地使用攻击性安全工具来削减成本。
报告显示，Cobalt Strike和Metasploit是2020年最常用于托管恶意软件命令与控制（C2）服务器的进攻性安全工具。TOP10榜单如下：
Cobalt Strike和Metasploit为何如此流行？
去年，Insikt Group的研究人员在记录了80个恶意软件家族的超过1万多台C2服务器信息。其中1,441台C2服务器使用了Cobalt Strike，1122台使用了Metasploit，加起来，二者占C2服务器总数的25％。检测到未更改的Cobalt Strike部署占已确定的C2服务器的13.5％。
攻击性安全工具（也称为渗透测试工具和红队工具）近年来已成为攻击者工具包的一部分。其中一些工具模仿了攻击者的活动，攻击小组也都开始尝试整合渗透测试技术。
在C2基础结构中发现的几乎所有攻击性安全工具都与APT或高级金融黑客相关。Cobalt Strike是越南APT组织海莲花（Ocean Lotus）和网络犯罪团伙FIN7的最爱。Metasploit则在APT集团Evilnum和Turla（与俄罗斯有联系的隐形APT集团）中很受欢迎。
Recorded Future的高级情报分析师Greg Lesnewich指出：“有趣的是，Metasploit在成熟的间谍团体Turla和以公司间谍活动为目标的雇佣军团体Evilnum中都广受欢迎。”
报告指出，研究人员检测到的攻击性安全工具中，有40％以上是开源的。这些工具的可访问性和维护性吸引了各种技能和水平的攻击者。其中Metasploit是Rapid7开发的维护良好的开源进攻工具。而Cobalt Strike虽然不是开放源代码项目，但在源代码泄漏后，互联网上出现了多个Cobalt Strike版本。红队通常会购买该工具，但实际上任何人都可以使用它，网络上还有大量入门指南。
Lesnewich解释说：“无论在初始访问还是利用后阶段，Metasploit和Cobalt Strike都可以做很多工作，最主要的是一点是，这两个工具在整个攻击周期中可以大大减少甚至避免开发工作，而且还不容易从大量使用者中被识别出来（难以归因）。”
如何让尖矛变利盾？
攻击性安全工具对网络安全战场上的所有人都有利。低技能的攻击者可以很快上手操作，而高技能的攻击者也可以与公司的进攻性安全实践相融合，从这些工具优良的功能中受益。
但是在有些场景中，攻击小组未必需要这些工具。例如，任务很单一不需要动用太多功能，或者针对的是个人而不是企业，不需要完全检查目标设备。
Cobalt Strike和Metasploit对于“紫色团队”也非常友好。尽管两者都在逃避检测方面做了很多工作，但他们也向防御者充分展示了如何检测和跟踪其部署。Recorded Future报告中所列举的这10种最常用的攻击性安全工具，可用于通知C2，或基于主机和基于网络的检测。
他解释说：“尽管上述所有小组都可以开发自己的利用后框架或C2框架，但对于防御者而言，攻击性安全工具的效能取决于编写了多少文档来检测这些问题。”
有了检测文档，蓝队可以练习分析清单上这些有着类似开源代码但并不常见的载荷，例如跟踪一些不是很流行的恶意软件家族。
Lesnewich建议安全团队分析以前的威胁报告，创建优先级列表。推荐使用的工具包括用于终结点威胁的开源检测工具Yara和等效于网络检测的Snort。
其次，建议安全团队仔细研究公司的SIEM和SOAR平台以发现异常行为，例如，两个原本应该与服务器通信的端点相互之间通信。
总之，跟踪攻击性安全工具的恶意使用只是防御性安全流程的一个步骤，也是帮助防御者熟悉如何检测并观察工具开发来龙去脉的一种有效方法。在此基础上，安全团队可以开始跟踪其他威胁，包括Emotet和Trickbot，以及任何其他在环境中产生噪音的威胁。
程序员专栏 扫码关注填加客服 长按识别下方二维码进群

近期精彩内容推荐：  
 几句话，离职了
 中国男性的私密数据大赏，女生勿入！
 为什么很多人用“ji32k7au4a83”作密码？
 一个月薪 12000 的北京程序员的真实生活 ！

在看点这里好文分享给更多人↓↓
                

                    

                    

                    
                    
                    
Python实战社群
Java实战社群
长按识别下方二维码，按需求添加
扫码关注添加客服
进Python社群▲
扫码关注添加客服
进Java社群▲
来源丨安全牛
https://mp.weixin.qq.com/s/W-oXCIjJW6KvJ69sXhzoWw
内盖夫本·古里安大学（BGU）的研究人员最近发现了一种端到端的网络生化攻击——DNA注入攻击（是的你没看错，不是DNS注入），可欺骗不知情的生物学家在实验室中制造危险的毒素甚至未知的病毒。
生物黑客的远程DNA注入攻击
研究者在《自然》上发表的论文“网络生物安全，合成生物工程面临远程DNA注入威胁”（下载链接在文末）指出，过去人们认为生物黑客需要与危险物质物理接触才能生产有毒物质和病毒，但如今恶意软件或生物黑客通过“远程DNA注入攻击”可以很容易地替换生物工程师计算机上的DNA片段，通过篡改DNA序列排序，创建一个能产生毒素的DNA序列，甚至一个全新的病毒。
BGU复杂网络分析实验室负责人Rami Puzis说：“为了规范有意和无意产生的危险物质（病毒），大多数合成基因提供者会检查筛选DNA序列，这是目前针对此类攻击最有效的防线。加州是2020年第一个引入基因购买法规的州。”
“然而，在加州以外，生物恐怖分子可以从不筛选DNA序列的公司那里购买危险的DNA。”Puzis说。不幸的是，筛选指南尚未适应合成生物学和网络战的最新发展。
美国卫生与人类服务部（HHS）对DNA提供者的指导存在缺陷，因此使用通用混淆程序可以规避筛查方案，这使得筛查软件难以检测到能产生毒素的DNA。
“使用这种技术，我们的实验表明，50个混淆的DNA样本中，采用HHS指南进行筛选有16个没有检测出来。”Puzis说。
合成DNA供应链需要安全加固
DNA注入攻击在NDA合成流程中的攻击点
研究人员还发现，鉴于合成基因工程工作流程的可访问性和自动化性，加上网络安全控制不足，恶意软件可以干扰实验室的生物流程，篡改并利用DNA分子（DNA注射攻击）。
DNA注入攻击是恶意代码改变生物工程流程的重大新威胁。攻击者可在生物工程工作流程的三个层面（软件、生物安全筛选和生物协议）中利用多个漏洞，这也凸显了在生物安全和基因编码等新环境中应用网络安全技术的机会和必要性。
软件方面，用于设计和管理DNA合成项目的软件容易受到浏览器内攻击，这些攻击可用于将任意DNA片段注入基因序列，也就是所谓的“端到端网络生物学攻击”。例如，远程黑客可能使用恶意浏览器插件“将混淆的致病DNA注入在线合成基因序列中”。
在一次概念验证攻击案例中，研究小组使用恶意软件将Cas9蛋白序列转化为活性病原体。据研究小组说，Cas9蛋白在使用CRISPR协议时，可在宿主细胞内分离出恶意DNA。
对于一个对网络安全一窍不通的生物科学家来说，DNA序列被篡改可能意味着意外产生危险物质，包括合成病毒或有毒物质。
“这种潜在攻击场景突出表明，业界迫切需要对合成DNA供应链进行安全加固防范网络生物威胁。”Puzis说道：“为了解决这些威胁，我们提出了一种改进的筛选算法，该算法考虑到体内基因编辑。我们希望，当全球地方法规实施生物安全筛查时，对DNA注入攻击的研究将为稳健、韧性DNA序列筛查以及合成基因生产的网络安全加固提供了一个研究基础。”
参考资料
《网络生物安全，合成生物工程面临远程DNA注入威胁》：
https://www.nature.com/articles/s41587-020-00761-y.epdf
程序员专栏 扫码关注填加客服 长按识别下方二维码进群

近期精彩内容推荐：  
 再见！深圳！再见！腾讯！
 疯传朋友圈的 Pony 马化腾的讲话
 SpringBoot 实现并发登录人数控制
 异步 Python 比同步 Python 快在哪里？

在看点这里好文分享给更多人↓↓
                

                    

                    

                    
                    
                    
Python实战社群
Java实战社群
长按识别下方二维码，按需求添加
扫码关注添加客服
进Python社群▲
扫码关注添加客服
进Java社群▲
大数据文摘出品
来源：gizmodo
编译：周熙
 
一种新的名为“Air-Fi”的理论层漏洞，可以将一台安全的气隙电脑变成一个wifi发射器，帮助黑客泄露安全数据。
 
气隙电脑是指与任何网络完全断开的计算机。以色列内盖夫Ben-Gurion大学的研究人员Mordechai Guri表示：“许多空隙机器都除去了所有可能的网络组件，从wifi到蓝牙，但这个漏洞能让黑客利用DDR SDRAM（双倍数据流-同步动态随机存取内存）总线在2.4GHz WiFi频段产生电磁辐射，并借此对二进制数据进行编码。”
 
Guri在一封电子邮件中说：“这种技术在设计和实施上都需要攻击者有很高的技术水平。然而，在外界的传统IT环境中，还有更简单的隐蔽泄漏渠道。这个漏洞的重点是在传统的基于网络的隐蔽渠道失效的地方，从气隙计算机上泄露数据。”
 
他还提到：“以这样一种非常规的方式使用Wi-Fi媒介，是我在过去一年中一直在研究的事情。”
 
这些传输是其他设备看不到的，只有黑客才能通过专门准备的软件和硬件来接收。
 
他写到：
作为渗透阶段的一部分，攻击者可能会从被入侵的计算机中收集数据。这些数据可以是文件、密钥记录、凭证、加密密钥等。一旦收集到数据，恶意软件就会启动AIR-FI秘密通道。它对数据进行编码，并利用DDR SDRAM总线产生的电磁辐射将数据传输到空中（以2.4 GHz的Wi-Fi频段）。
 
Guri在安全领域内以设法攻击气隙计算机而闻名。2019年，他利用屏幕亮度和电源线来传输安全电脑的数据，2018年，他还能利用简单的电脑扬声器通过超声波音频文件传输数据。
 
在这个漏洞中，Guri能够强制DDR SDRAM总线传输信号到被入侵的笔记本电脑和智能手机等具有wifi功能的设备。他用这个漏洞入侵了四台工作站，每台工作站都配备安装了类似的4GB DIMM DDR4或DDR3内存条。其余的硬件都是拙劣的标准配置，运行的是Ubuntu操作系统。
 
该漏洞要求黑客要能够访问计算机的操作系统，这意味着黑客必须在开始发送数据之前感染机器。此外，一旦计算机通过其内存总线进行传输，黑客必须在距离机器不超过几英尺的地方安装一个接收器，以捕获wifi信号，从而使这一漏洞变得更有趣而不是危险。
 
Guri说：“有趣的是，在过去，我们已经成功演示了通过显示器产生的隐蔽调频无线电信号进行渗透，然后我们介绍了攻击者如何从计算机中产生蜂窝频率来泄露数据。下一个候选者自然是Wi-Fi。这个也是最具挑战性的。”
 
相关报道：
https://gizmodo.com/computer-memory-can-be-made-to-speak-in-wifi-researche-1845897596
程序员专栏 扫码关注填加客服 长按识别下方二维码进群

近期精彩内容推荐：  
 又一个程序员，被抓捕！（真实事件）
 程序员有个可爱女朋友是种什么体验？
 “12306”的架构到底有多牛逼？
 csv文件读写乱码问题的一个简单解决方法

在看点这里好文分享给更多人↓↓
                

                    

                    

                    
                    
                    
Python实战社群
Java实战社群
长按识别下方二维码，按需求添加
扫码关注添加客服
进Python社群▲
扫码关注添加客服
进Java社群▲
作者丨Caesar
来源丨手机电脑双黑客（heikestudio）
我们讲的是攻击过程中用到的代码，不是你攻击过程中准备的软件代码。
我们讲的是现在应当能成功攻击的。不是你已经装好后门你去连接了，像菜刀服务端、跨站代码等。
真正的dir溢出
医科圣手，在某乎上举过例子。在简体中文版 Windows 2000 SP4 的命令提示符下执行这条 dir 命令会导致系统锁屏：
dir
aux.AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA蛺矣
这是他早年做安全编程培训讲缓冲区溢出的时候，制作的一个演示例子。这里的溢出的意思是把函数调用的返回地址给覆写了，和整数溢出的概念并不相同。
虽然“dir 溢出”是个流传已久的笑话，但其实 dir 真的可以溢出，直到 Windows XP 都还可以。
汉字“蛺矣”的 Unicode 内码是 FA 86 E3 77。而在 Windows 2000 SP4 上，0x77E386FA 是 USER32!LockWorkStation 的地址。原理很简单，效果还是很酷的。
还有比上边代码更简单的，黑客攻击还能用到的攻击代码吗？
有的
就是5下shift键！
在很多黑客黑了服务器之后，会装一个shift后门。
许多网络渗透者检测一台服务器开3389端口后，往往会在登陆界面上按5下shift键，看看有没有别人装的后门，黏贴键有没有被别的黑客改动过，从而来捡一个大便宜。
这绝对算是攻击的一种方式，也是最短的代码了，只有5下shift键。
同理还有放大镜后门。彻底删除shift后门的方法：
方法一：
直接删除C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache这两个目录的sethc.exe文件,(注意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐藏受系统保护的操作系统文件"的选择取消才能看得到).这种方法不能完全解除，当服务器重启后，还是会出现后门。
方法二：
使用权限来约束这两个文件C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache这两个目录的sethc.exe文件 。操作：找到对应文件：【文件】选卡，点击”高级“，去掉“允许父项的继承权限传播到该对象和所有子对象”的勾选选项。
声明：本人分享该教程是希望大家，通过这个教程了解信息安全并提高警惕！本教程仅限于教学使用，不得用于其他用途触犯法律，本人一概不负责，请知悉！
免责声明：本文旨在传递更多市场信息，不构成任何投资建议和其他非法用途。文章仅代表作者观点，不代表手机电脑双黑客立场。以上文章之对于正确的用途，仅适用于学习
程序员专栏 扫码关注填加客服 长按识别下方二维码进群

近期精彩内容推荐：   有个程序员老公，是种什么样的感觉 程序员写了一款手游，全公司被抓！ 厌倦了if.else的你，考虑下换种选择结构？ Spring Boot 项目脚本

在看点这里好文分享给更多人↓↓