FreeBuF.COM

高质量的全球互联网安全媒体平台

13382人订阅
语言分析发现:WannaCry勒索软件背后的开发者可能是中国人? Flashpoint的两位研究员Jon Condra和John Costello称,从语言的角度分析,WannaCry勒索软件背后的开发者可能来自说中文的国家。 近期Wannacry勒索病毒肆虐全球,由于病毒利用了Windows系统的网络服务(SMB)漏洞,具有主动传播的特性,在全球范围内已经对多家医院、服务机构、学校等进行了勒索攻击,该病毒在全球的广泛传播最近几年实属罕见。 在病毒获得大家关注的同时, 病毒的来源也引发了大家的猜测,病毒爆发后,Google、卡巴斯基和赛门铁克等公司安全研究者相继发布消息称,WannaCry勒索蠕虫与朝鲜黑客组织Lazarus存在联系,他们的分析基于恶意软件代码中的相似性。不过也有人认为,这场攻击并不符合朝鲜的作风,也不符合朝鲜利益。 勒索软件...
语言分析发现:WannaCry勒索软件背后的开发者可能是中国人? Flashpoint的两位研究员Jon Condra和John Costello称,从语言的角度分析,WannaCry勒索软件背后的开发者可能来自说中文的国家。 近期Wannacry勒索病毒肆虐全球,由于病毒利用了Windows系统的网络服务(SMB)漏洞,具有主动传播的特性,在全球范围内已经对多家医院、服务机构、学校等进行了勒索攻击,该病毒在全球的广泛传播最近几年实属罕见。 在病毒获得大家关注的同时, 病毒的来源也引发了大家的猜测,病毒爆发后,Google、卡巴斯基和赛门铁克等公司安全研究者相继发布消息称,WannaCry勒索蠕虫与朝鲜黑客组织Lazarus存在联系,他们的分析基于恶意软件代码中的相似性。不过也有人认为,这场攻击并不符合朝鲜的作风,也不符合朝鲜利益。 勒索软件...
NSA武器库之eternalchampion(永恒冠军)复现 一、准备工作 此次配置环境和上篇差不多 攻击机1 带有漏洞利用工具集的XP,并且此次需要准备好WinHex, IP 172.26.97.35 攻击机2 Kali, IP 172.26.97.226 靶机 Windows Server 2008 SP1 x86, IP 202.X.X.X,已经开启445端口 开启FuzzBunch 不知道怎么运行FuzzBunch的,请参考我的上篇博文,操作方式和上次一样。TargetIP写靶机IP 202.X.X.X,CallBack写运行fb的IP,也就是172.26.97.35,不使用Redirection 二、开始 使用smbtouch探测 use smbtouch execute smbtouch会为我们探测出目标系统适用的漏洞利用程序 在这里我们可以看到,目标系统是32位的,EternalBlue和EternalSynergy不支持攻击靶机,EternalRomance无法攻击,只有EternalChampion...
深信服科技高薪引进安全技术总监、安全攻防、安全售前、安全服务等人才 深信服科技股份是专注于云计算/虚拟化、网络安全领域的IT解决方案服务商,致力于提供创新的IT基础设施云计算、网络安全建设解决方案,推出的众多产品中,其中安全系列产品中国市场占有率第一,在2011年初,公司全面进入云计算、虚拟化行业,目前多个云计算产品入围Gartner魔力象限。 研发实力 公司目前拥有3200多名员工,其中研发投入达1000人,安全和云计算顶尖博士16人,拥有国家级下一代互联网接入安全实验室1个。每年销售收入的20%投入到研发,在全球已设立深圳、北京、硅谷3大研发中心,专注云计算、网络安全领域,交付的产品包含私有云、公有云、超融合、网络安全等解决方案。云计算和网络安全领域共有6款产品进入到Gartner魔力象限,其中...
如何用短信完成XSS? Verizon Messages(Message+)是Verizon推出的一款开放跨平台信息交换应用程序,它允许用户在更多的无线设备中交换和共享信息。目前,该软件客户端支持跨平台使用,包括移动设备、桌面设备和Web端,并提升了VZW文字短信的用户体验度。 Verizon的邮件信息服务是跨平台的,此前只能够通过采用电话拨号的方式进行发送和接收,而新的应用程序将允许用户通过互联网在更多的无线设备上接收消息,并允许用过通过计算机对邮件账户进行管理。此外,跨平台的统一消息的应用程序可能有助于防止客户移动到其他网络,并与其他应用程序如iMessage、黑莓信使和Skype开展竞争,这也有助于提升Verizon的市场竞争力。 但是这款应用除了SMS短消息之外,还提供了一些...
[原创]WannaCry深度详细分析报告(很细很深) 邮箱:anhkgg@163.com 0×00. 前言 最近,WannaCry是火了一把,到处都是分析文章,报告,解决方案等等。 趁着这个热度,我也来跟风一把。 前前后后把WannaCry详细分析了一遍。 从文件释放、启动加密器、文件加密策略、加密算法、到解密过程中所有细节进行了详尽深入的分析。 由于没有拿到初始样本,没有包含漏洞利用部分的分析。 样本信息: MD5:84C82835A5D21BBCF75A61706D8AB549 SHA1: 5FF465AFAABCBF0150D1A3AB2C2E74F3A4426467 CRC32: 4022FCAA 无壳 / Visual C++ 6.0 下面具体看分析内容。 0×01. 概述 1.    样本首先通过资源释放各种文件,包括加密器、解密器、几个辅助程序、桌面背景图、说明文件、语言文件等等。 2.    内存加载...
网卡厂商自动识别工具(附源代码) 在渗透测试过程中,为了推测局域网内主机品牌,一个简单易行的办法就是通过ARP协议获取主机MAC地址列表,再通过互联网手动查询其所属厂商。笔者分享的工具实现了在ARP命令(arp -a)输出文件上自动添加相应厂商信息的功能。工具虽小,但是解决了实际需求。(工具下载地址:Github) 1  基础知识 网卡物理地址(MAC地址)共有6个字节48位组成,前三个字节由网卡制造商从IEEE组织申请获得,后三个字节由网卡制造商自行编制。前三个字节又称为组织唯一标识符(OUI,Organizationally unique identifier),IEEE组织发布的oui.txt文件(下载地址)中记录着世界上所有网卡制造商与MAC地址前三个字节的对应关系。 图 1 oui.txt部分内容 2  实现原理 ...
CNNVD关于“永恒之石”病毒的预警报告 近日,国家信息安全漏洞库(CNNVD)收到关于“永恒之石”(EternalRocks)病毒的分析报告。该病毒与不久前广泛传播的“WannaCry”勒索病毒类似,均利用了今年4月方程式组织泄露的漏洞利用工具进行传播。“永恒之石”感染存在漏洞的主机之后,会潜伏下来,等待远程C&C(命令与控制)服务器的指令,比“WannaCry”病毒更加隐蔽,不易察觉。 国家信息安全漏洞库(CNNVD)对此进行了分析研究,情况如下: 一、“永恒之石”背景 “永恒之石”最早由克罗地亚安全专家Miroslav Stampar发现和命名,并在5月17日通过推特发布相关信息。 “永恒之石”主要借鉴了7款针对微软Windows系统漏洞的利用工具进行传播扩散(见表1)。2017年4月14日,黑客组织Shadow ...
CNNVD新增技术支撑单位暨优秀技术支撑单位颁奖仪式圆满举行 作为“第三届中国大数据安全高层论坛”的重要活动之一,国家信息安全漏洞库(CNNVD)举办了新增技术支撑单位暨优秀技术支撑单位颁奖仪式,对网神信息技术(北京)股份有限公司、杭州安恒信息技术有限公司、上海三零卫士信息安全有限公司和北京神州绿盟科技有限公司等7家表现突出的技术支撑单位进行了表彰,对阿里巴巴(中国)网络技术有限公司、新华三技术有限公司、北京匡恩网络科技有限责任公司等15家新增技术支撑单位进行了授牌。目前CNNVD技术支撑单位总数达到了54家,进一步涵盖国内知名互联网及安全厂商,加强联防联动的协同机制,提高安全保障能力。 本次表彰的优秀技术支撑单位共有7家。在对CNNVD全方位支撑工作方面,2家单位获得本次表...
一张GIF引发的微信崩溃 *本文原创作者:_Y,本文属FreeBuf原创奖励计划,未经许可禁止转载 今早,朋友发了一个表情给我,看下面,就是这个。。