更多全球网络安全资讯尽在E安全官网
E安全7月17日讯 如今,网络犯罪活动正日益趋于商业化,甚至凭借着对各类黑客工具与技术——包括漏洞利用工具乃至勒索软件——进行大规模出租以帮助潜在恶意人士建立威胁并发动攻击。
过去几年以来,我们已经见证了恶意软件即服务(简称MaaS)普及度的不断提升。如今,地下黑市中的此类业务仍在蓬勃发展,并开始提供勒索软件即服务、DDoS即服务以及网络钓鱼即服务等更多服务选项。
近期两组安全研究人员又发现了两项新的此类服务,而我们则将在本文中对其进行深入剖析。
这款新型凭证窃取恶意软件主要面向各类主流网络浏览器,其在俄语网站上销售且价格仅为51元人民币(450卢布)。这意味着任何人——无论是否拥有技术知识——皆将借此获得入侵目标计算机的能力。
这款被称为Ovidiy Stealer的恶意软件在上个月刚刚出现,但其俄罗斯开发者正在进行定期更新,并被众多网络犯罪分子所积极采用。
根据发现并分析Ovidiy Stealer的Proofpoint公司的安全研究人员的恶意软件分析结论,Ovidiy Stealer目前拥有多个版本,且分别针对包括英国、荷兰、印度以及俄罗斯的具体攻击目标。
而更令人惊讶的要数Ovidiy Stealer低廉的使用成本。
根据安全研究人员们所言,这款轻量化、易上手且极具实效的恶意软件产品的单一定制化版本只需要450到750卢布(约合人民币51元到88元)。
尽管价格低廉,但该恶意软件所构建的可执行文件仍然经过加密,这意味着更难被检测及分析。不过报告指出,目前已经一部分反病毒产品已经能够根据其行为而检测出Ovidiy Stealer。
以下是在过去一个月内用于分发Ovidiy Stealer的文件名列表:
litebitcoin-qt.zip
HideMiner.zip
VkHackTool.zip
update_teamspeak3.5.1.exe
WORLD OF TANKS 2017.txt.exe
dice_bot.exe
cheat v5.4.3 2017.exe
Vk.com BulliTl.exe
这款以.NET编写而成的凭证窃取恶意软件能够指向多种应用程序及浏览器,具体包括谷歌Chrome、Opera、FileZilla、Amigo、Kometa、Torch以及Orbitum等等。而买家们也可选择购买仅适用于某款单一浏览器的特定版本。
该恶意软件能够通过多种方式进行分发,包括恶意邮件附后、恶意下载链接、由各文件托管网站提供的伪造软件或者工具甚至是被嵌入至软件包之内。
Ovidiy Stealer本身并不能算特别强大或者先进,因为其中并不包含任何能够在设备重启之后继续确保恶意软件在设备上驻留的机制; 然而,其却拥有着广泛传播的可观潜能。
Ovidiy Stealer采用SSL/TLS连接以实现同指挥与命令服务器间的安全通信,此服务器托管在某俄罗斯域名之上——其作者也使用同一域名进行该恶意软件的宣传与销售。
分析报告总结写到:
“这是一款轻量化、易于上手且极具实效的产品,加上频繁的更新与稳定的支持系统,意味着Ovidiy Stealer极有可能引发更为广泛的安全威胁。
Ovidiy Stealer的出现证明,网络犯罪市场正呈现出以创新作为驱动力的发展态势,而网络安全保护方的新进入者及挑战组织必须全力跟上用户、用户数据以及用户系统所面临的新兴威胁变化速度。”
由Netskope威胁研究实验室的研究人员们发现的另一项犯罪软件即服务则属于一套网络钓鱼即服务(简称PhaaS)平台,其能够为新手欺诈分子提供成本低廉的自动化解决方案,帮助其完成恶意活动并骗取受害者的凭证信息。
这套PhaaS平台被命名为Hackshit,其通过提供免费试用帐户吸引新用户,并为新手提供一系列黑客教程与技巧以帮助其轻松获取不义之财。
Netskope公司研究人员阿什温·瓦姆什指出:
“该市场已经成为提供服务购买与销售渠道,从而实现各类网络钓鱼攻击的门户。
攻击者随后可通过页面/生成器链接生成一套钓鱼页面,并登录至攻击受害者的邮件帐户,查看全部联系人信息进而发布更多包含钓鱼链接的恶意邮件。”
Hackshit允许各类黑客(订阅用户)面向多种服务生成独特的钓鱼页面,具体包括雅虎、Facebook以及谷歌Gmail等等。
研究人员们指出,该钓鱼页面利用数据URI模式立足“某个拥有.moe顶级域名的安全HTTPS网站提供base64编码内容,从而规避传统安全扫描工具”。
研究人员们根据观察到的其中一段视频教程表示,攻击者可以使用Perfect Money或者比特币从市场上购买到已遭入侵之受害者的登录帐户。
此外,Hackshit网站还利用Let’s Encrypt(专门为Web服务器提供免费SSL/TLS凭证的开放证书颁发机构)颁发的SSL证书帮助人们更轻松地实现HTTPS。
这些犯罪软件即服务方案的出现无疑构成了新的安全挑战——其不仅允许恶意人士利用其它网络犯罪资源实施攻击,还为网络犯罪世界引入了更多“有心无力”的潜在参与人员。
17
个人网络黑客联系电话是多少(靠谱网络黑客联系电话)攻击就是最好是的防御力,他们一样适用网络信息安全的全球。这儿列举了19个合理合法的来训练网站渗透的网址,无论你是一名开发者、注安师、编码注册会计师、网站渗透测试工作人员,持续的训练会使你变成一个出色安全性科学研究工作人员。下列网址期待能给诸位安全性小伙伴们产生协助!若有别的的填补和强烈推荐,热烈欢迎给我留言板留言(下列排行分不清依次)
海外
1、bWAPP
完全免费和开源系统的web应用程序流程安全性新项目。它有利于安全性发烧友及科学研究工作人员发觉和避免 web系统漏洞。
详细地址:
2、Damn Vulnerable iOS App (DVIA)
DVIA是一个iOS安全性的运用。它的关键总体目标给终端安全发烧友学习培训iOS的网站渗透测试方法出示一个合理合法的服务平台。APP包含了全部普遍的iOS网络安全问题,它完全免费并开源论坛,系统漏洞检测和解决方法遮盖到iOS 10版本号。
详细地址:
3、Damn Vulnerable Web Application (DVWA)
根据 php 和 mysql 的虚似 Web 运用,“内嵌”普遍的 Web 系统漏洞,如 SQL 引入、xss 这类,能够构建在自身的电脑
详细地址:
4、Game of Hacks
根据手机游戏的方法来检测你的安全生产技术,每一个每日任务题型出示了很多的编码,在其中很有可能有也很有可能沒有网络安全问题!
详细地址:
5、Google Gruyere
一个看上去很low的网站地址,但充满了系统漏洞,目地是为了更好地协助这些刚开始学习应用软件安全系数的工作人员。
详细地址:
6、HackThis!!
致力于教你如何破解、数据归档和修改,及其维护网址的网络黑客方法,出示超出50种不一样的难度系数水准。
详细地址:
7、Hack This Site
是一个合理合法和安全性的检测网络黑客专业技能的网址,并包括网络黑客新闻资讯、文章内容、社区论坛和实例教程,致力于协助你学习培训网站渗透。
详细地址:
8、Hellbound Hackers
出示了各式各样的安全性实践活动方式和挑戰,目地是教你如何识别进攻和编码的补丁包提议。主题风格包括运用程序加密和破译,社会工作者和rooting。小区有贴近十万的会员注册,也是较大的一个网络黑客小区之一。
详细地址:
9、McAfee HacMe Sites
麦咖啡出示的各种网络黑客及安全性检测工具
详细地址:
10、Mutillidae
mutillidaemutillidae是一个完全免费,开源系统的Web应用软件,出示专业被容许的安全性测试和侵入的Web应用软件。在其中包括了丰富多彩的网站渗透测试新项目,如SQL引入、跨站脚本制作、clickjacking、本地文件包括、远程控制代码执行等.
详细地址:
11、OverTheWire
根据手机游戏的使你学习培训安全生产技术和定义的黑客论坛
详细地址:
12、Peruggia
一个出示安全性、合理合法进攻的黑客论坛
详细地址:
13、Root Me
根据超出200名网络黑客的挑戰和50个虚拟器来提升你网络黑客方法和网络信息安全专业知识的网址
详细地址:
14、Try2Hack
最历史悠久的黑客论坛之一,出示多种多样安全性挑戰。
详细地址:
15、Vicnum
OWASP新项目之一,简易架构,对于不一样的要求,并根据手机游戏的方法来正确引导安全性开发人员学习培训安全生产技术。
详细地址:
16、WebGoat
最火爆的OWASP新项目,出示了一个真正的安全性教学环境,具体指导客户设计方案繁杂的应用软件安全隐患
详细地址:
中国
1、i春秋
中国比较好的安全常识网上学习服务平台,把繁杂的电脑操作系统、专用工具和网络空间详细的在网页页面开展再现,为学生出示彻底接近具体自然环境的试验服务平台,
详细地址:
2、XCTF_OJ 训练服务平台
XCTF-OJ (X Capture The Flag Online Judge)是由XCTF主办方机构开发设计并朝向XCTF公开赛参赛选手出示的网络信息安全技术性公开赛训练服务平台。XCTF-OJ服务平台将汇聚世界各国CTF网络信息安全比赛的考试真题试题,并适用对一部分可获得线上题型互动自然环境的再现修复,XCTF公开赛事后比赛在比赛之后也会把赛题离线文件和线上互动自然环境归纳至XCTF-OJ服务平台,产生现阶段全世界CTF小区唯一一个出示赛题再现总结训练自然环境的网站資源。
详细地址:
3、互联网网络信息安全防御在线学习平台
出示基本知识考察、系统漏洞实战演练演习、实例教程等材料。实战演练演习以 Web 题为主导,包括基本关、脚本制作关、引入关、提交关、破译关、综合性关等。
图片查看:
查询分类: 执行服务比特币
用户提问: 黑客服务平台
状态: 已解决
调查用时: 541小时
黑客定位找人是真的吗
黑客手机定位是真的。对方可以通过掌握常用手机APP的0day exploit,也就是代码执行漏洞
就可以入侵使用的手机设备。
黑客是一个中文词语,皆源自英文hacker,随着灰鸽子的出现,灰鸽子成为了很多假借黑客
名义控制他人电脑的黑客技术,于是出现了“骇客”与"黑客"分家。2012年电影频道节目中
心出品的电影《骇客(Hacker) 》也已经开始使用骇客一词,显示出中文使用习惯的趋同。实
际上,黑客(或骇客)与英文原文Hacker、Cracker等含义不能够达到完全对译,这是中英文
语言词汇各自发展中形成的差异。Hacker一词,最初曾指热心于计算机技术、水平高超的电
脑专家,尤其是程序设计人员,逐渐区分为白帽、灰帽、黑帽等,其中黑帽(black hat)实
际就是cracker。在媒体报道中,黑客一词常指那些软件骇客(software cracker),而与黑
客(黑帽子)相对的则是白帽子。
黑客手机定位是真的。对方可以通过掌握常用手机APP的0day exploit,也就是代码执行漏洞 778375///878+就可以入侵使用的手机设备。 黑
其他问题提问
相关问题回答
黑客怎么找人 发布iphone引擎
黑客在线接单大全 公民费用系统
如何找一个黑客师傅 收费专业正规
寻找黑客高手破QQ 通话学习自学
最便宜黑客在线接单 生活价格seo
