分类目录归档:Windows
【转】【漏洞预警】蓝牙协议漏洞:BlueBorne攻击影响数十亿蓝牙设备
简介
Armis Labs披露了一个攻击向量,使得搭载主流移动,桌面,IoT操作系统包括Android, iOS, Windows, Linux系统的设备均受其影响。
它通过空气(airborne)即可传播,然后通过蓝牙(Bluetooth)协议发起攻击。BlueBorne由此得名。
[环境部署] Windows 2008 sstp vpn配置[转]
首先,在windows 2008服务器上添加网络策略和访问服务的角色
安装成功后,在服务器管理中展开角色,按照下图配置并启用路由和远程访问
启用成功后
先设置ipv4地址池
然后需要将服务端证书copy到客户端
按照如下步骤将服务端证书导出
与系统版本有关下面这一步可能部分计算机没有,没有的话直接略过执行后面步骤即可。
导出后,桌面上就会有sstpvpn.p7b的证书,将证书复制到客户端
然后创建名为sstpvpn的账户…
Dridex木马使用前所未有的手段规避UAC【转】
Flashpoint安全研究人员警告:最近观测到的Dridex投放行动利用了新的UAC(用户账户控制)规避方法。
Dridex最先于2014年被发现,因其使用了 GameOver ZeuS (GoZ) 恶意软件点对点架构改进版来保护其命令与控制(C&C)服务器,而被认为是GoZ的继任者。Dridex作为最流行的银行木马家族冒头,但其最近的活动相比2014和2015年时的还是有所平缓。
最近观察到的Dridex活动比较小型,针对英国金融机构,采用了前所未见的UAC规避方法——利用Windows默认恢复光盘程序recdisc.exe。该恶意软件还被观测到通过伪装的SPP.dll来加载恶意代码,利用svchost和spoolsrv来与第一级C&C服务器和其他节点进行通信。
与其他恶意软件类似,Dridex通过带Word文档附件的垃圾邮件进行投送,附件中就隐藏有可下载并执行恶意软件的恶意宏。最先释放的模块用于下载主Dridex负载。感染后,该木马会从当前位置移动到%TEMP%文件夹。
恶意软件感染后,Dridex令牌抢夺和Web注入模块能使欺诈操作者快速获得搞定身份验证和授权问题所需的额外信息,让这些反欺诈系统和金融机构的安全措施毫无用武之地。黑客还能创建自定义的对话窗口,伪装成来自银行的调查,诱使受害者自己填入所需信息。
在被感染的机器上,Dridex利用Windows默认恢复光盘程序recdisc.exe,来加载伪造的SPP.dll,并绕过 …
【威胁预警】AtomBombing内存注入技术影响全部Windows系统【转】
EnSilo网络安全公司的研究团队发现了一个可以绕过Windows查杀机制的方法,可以Bypass所有Windows的杀毒软件和安全机制,他们把这个方法叫做AtomBombing内存注入。
前言
在Windows有一个功能叫做Atom Tables,而这个功能主要可以用于进程和进程之间的通信,线程和线程之间的通信。而enSilo网络安全公司的研究团队利用这个功能的设计缺陷,成功的将一个恶意代码注入到一个合法的进程当中,并且不会被杀毒软件查杀。这个缺陷影响了所有的Windows系统。非常不幸的是,这个缺陷没办法修复,因为它不属于某个代码的漏洞,而是Atom Tables在设计之初就存在这个功能了,它属于Windows底层系统的一个机制。如果要修复这个缺陷,只能重新开发一个Atom Tables的替代品,或者重新编写Atom Tables的运行机制,而这样将会对Windows系统的内核进行大规模的调整。所以正如标题所示,这个不是漏洞预警,是威胁预警!
原理预览
实际上,这个技术的原理并没有多复杂,但是影响却非常的显著。比如我要运行一个shellcode.exe,而这个可执行程序中内置的恶意代码。Windows杀毒的查杀机制会检查这个软件的签名证书,运行行为等等,从而达到一个查杀的效果。但是,如果我们能够说服用户双击这个shellcode.exe,在利用AtomBombing技术后,它可以和其它的合法进程建立一个不会被查杀的通讯。比如我们可以让Chrome.exe和shellcode.exe进行通信,而windows的进程列表里面只会出现Chrome.exe的进程,同时杀毒软件会认为chrome是一个合法程序,不会对其进行查杀。
UAC攻击剖析【转】
Windows 10累积更新KB3194798产生3.99TB可删除垃圾【转】
时间:2016.10.15 来源:cnbeta.com
日前有部分用户报告他们无法安装Windows 10累积更新KB3194798。但另一方面,一些实际安装成功的用户报告了一个截然不同的错误。他们表示,Windows 10自带的磁盘清理程序Disk Cleanup运行之后,汇报KB3194798更新在磁盘行产生了3.99 TB大小的垃圾文件,可以进行删除。
这些用户声称无论他们的C盘实际容量有多少,安装此此累积更新后,Disk Cleanup都显示KB3194798产生的可删除垃圾文件是3.99TB。一位用户表示,他有3台电脑,一台是笔记本电脑只有一个250 GB的SSD驱动器,一个是台式机PC,有256 …
创建一个VPN连接但不使用VPN的网络
1 首先打开网络->属性
2 设置新的连接或网络
3 下一步
4 否,创建新连接
5 使用我的internet连接(VPN)…
黑暗幽灵(DCM)木马详细分析[转]
1、背景
只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点:
1)木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。
2)木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。
3)木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。
4)木马通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。
5)木马攻击范围较小,针对性强,且持续时间长达数年,符合APT攻击的特性。
