新的勒索軟件被發現可以利用虛擬機發動攻擊

據外媒，近日賽門鐵克威脅獵手團隊表示，網絡犯罪分子正在通過虛擬機運行勒索軟件攻擊。該團隊攔截了一次網絡攻擊后發現，該攻擊是通過在一些被攻擊的電腦上創建的VirtualBox虛擬機執行的。與RagnarLocker攻擊使用Windows XP的虛擬機不同，新的威脅似乎是運行Windows 7。

此外，根據賽門鐵克威脅獵手團隊的Dick O'Brien的說法，該虛擬機是通過一個惡意的可執行程序部署的，該程序在行動的偵察和橫向移動階段就已經被預先安裝。 到目前為止，研究人員無法確定虛擬機中的惡意軟件載荷是Mount Locker還是Conti勒索軟件。后者在Endpoint安全軟件被檢測到，需要一個用戶名和密碼組合，這是以前Conti勒索軟件活動的特征。

在滲透測試過程中，我們的起始攻擊點可能在一臺虛擬機里或是一個Docker環境里，甚至可能是在K8s集群環境的一個pod里，我們應該如何快速判斷當前是否在容器環境中運行呢？當然，以上這兩種都是比較主觀的判斷。接下來，我們再來盤點下比較常用的幾種檢測方式。

但是最終因為我們的主機名與固件中的主機名不同所以無法獲取到IP地址。這里我們可以通過hostname命令查看本機名，然后以我的本機名為例修改squashfs-root/etc/hosts中的內容echo?驗證成功，可以看到程序崩潰信息。但是要構造ROP還需要一些gadget，使用ropper搜索

編譯make x86_64_defconfig # 加載默認configmake menuconfig # 自定義config. 編譯選項添加調試信息， 需要以下幾行[*] Compile the kernel with debug info [*] Generate dwarf4 debuginfo [*] Provide GDB scripts for kernel debugging. 由于本虛擬機是只有很基本的環境，在調試漏洞之前還需要做一些操作, 創建/etc/passwd,?漏洞原理在調試之前首先根據補丁來簡單了解一下漏洞造成的原因。Exp分析根據exp分析漏洞利用的細節，刪除了部分檢測利用條件、備份密碼等漏洞利用不相關代碼。const unsigned pipe_size = fcntl; static char buffer[4096];for { unsigned n = r > sizeof ?int main() { const char *const path = "/etc/passwd";const int fd = open; if { perror; return EXIT_FAILU

Dissect是一款功能強大的事件響應和數字取證框架，廣大研究人員和企業安全專家可以使用該工具實現快速訪問和分析各種磁盤和文件格式的取證數據。

0x01 前言最近在改寫 yso，覺得自己基礎太差了，想先閱讀一下 sqlmap、冰蝎以及一些其他工具的開發思路。0x03 冰蝎的使用與流量分析冰蝎的使用我們看冰蝎的客戶端界面，對于 shell 其實是沒有輸入密碼模塊的，其實在冰蝎當中 shell 是通過傳輸協議配置的。這一傳輸協議的加密函數是用 Java 寫的，并且 key 是默認的，不需要自己修改，我們點擊生成服務端，則會生成三個 shell 文件，分別為?這種加密方式的攻防性），代碼如下，此處代碼和 v3.0 的相當不一樣。

BTC挖礦讓英偉達飛起來了，當然也與英偉達在并行計算機領域的強大技術能力有關。這次國外黑客把英偉達的代碼公開給大家。讓中國人有機會一睹英偉達的顯卡驅動的芳容。

eBPF是一項革命性的技術，起源于 Linux 內核，可以在操作系統內核等特權上下文中運行沙盒程序。它可以安全有效地擴展內核的功能，而無需更改內核源代碼或加載內核模塊。比如，使用ebpf可以追蹤任何內核導出函數的參數，返回值，以實現kernel hook 的效果；通過ebpf,還可以在網絡封包到達內核協議棧之前就進行處理，這可以實現流量控制，甚至隱蔽通信。

一、前言 這篇文章可能出現一些圖文截圖顏色或者命令端口不一樣的情況，原因是因為這篇文章是我重復嘗試過好多次才寫的，所以比如正常應該是訪問6443，但是截圖中是顯示大端口比如60123這種，不影響閱讀和文章邏輯，無需理會即可，另外k8s基礎那一欄。。。本來想寫一下k8s的鑒權，后來想了想，太長了，不便于我查筆記，還不如分開寫，所以K8S基礎那里屬于湊數？？？寫了懶得刪（雖然是粘貼的：））