新的勒索软件被发现可以利用虚拟机发动攻击

据外媒，近日赛门铁克威胁猎手团队表示，网络犯罪分子正在通过虚拟机运行勒索软件攻击。该团队拦截了一次网络攻击后发现，该攻击是通过在一些被攻击的电脑上创建的VirtualBox虚拟机执行的。与RagnarLocker攻击使用Windows XP的虚拟机不同，新的威胁似乎是运行Windows 7。

此外，根据赛门铁克威胁猎手团队的Dick O'Brien的说法，该虚拟机是通过一个恶意的可执行程序部署的，该程序在行动的侦察和横向移动阶段就已经被预先安装。 到目前为止，研究人员无法确定虚拟机中的恶意软件载荷是Mount Locker还是Conti勒索软件。后者在Endpoint安全软件被检测到，需要一个用户名和密码组合，这是以前Conti勒索软件活动的特征。

在渗透测试过程中，我们的起始攻击点可能在一台虚拟机里或是一个Docker环境里，甚至可能是在K8s集群环境的一个pod里，我们应该如何快速判断当前是否在容器环境中运行呢？当然，以上这两种都是比较主观的判断。接下来，我们再来盘点下比较常用的几种检测方式。

但是最终因为我们的主机名与固件中的主机名不同所以无法获取到IP地址。这里我们可以通过hostname命令查看本机名，然后以我的本机名为例修改squashfs-root/etc/hosts中的内容echo?验证成功，可以看到程序崩溃信息。但是要构造ROP还需要一些gadget，使用ropper搜索

编译make x86_64_defconfig # 加载默认configmake menuconfig # 自定义config. 编译选项添加调试信息， 需要以下几行[*] Compile the kernel with debug info [*] Generate dwarf4 debuginfo [*] Provide GDB scripts for kernel debugging. 由于本虚拟机是只有很基本的环境，在调试漏洞之前还需要做一些操作, 创建/etc/passwd,?漏洞原理在调试之前首先根据补丁来简单了解一下漏洞造成的原因。Exp分析根据exp分析漏洞利用的细节，删除了部分检测利用条件、备份密码等漏洞利用不相关代码。const unsigned pipe_size = fcntl; static char buffer[4096];for { unsigned n = r > sizeof ?int main() { const char *const path = "/etc/passwd";const int fd = open; if { perror; return EXIT_FAILU

Dissect是一款功能强大的事件响应和数字取证框架，广大研究人员和企业安全专家可以使用该工具实现快速访问和分析各种磁盘和文件格式的取证数据。

0x01 前言最近在改写 yso，觉得自己基础太差了，想先阅读一下 sqlmap、冰蝎以及一些其他工具的开发思路。0x03 冰蝎的使用与流量分析冰蝎的使用我们看冰蝎的客户端界面，对于 shell 其实是没有输入密码模块的，其实在冰蝎当中 shell 是通过传输协议配置的。这一传输协议的加密函数是用 Java 写的，并且 key 是默认的，不需要自己修改，我们点击生成服务端，则会生成三个 shell 文件，分别为?这种加密方式的攻防性），代码如下，此处代码和 v3.0 的相当不一样。

BTC挖矿让英伟达飞起来了，当然也与英伟达在并行计算机领域的强大技术能力有关。这次国外黑客把英伟达的代码公开给大家。让中国人有机会一睹英伟达的显卡驱动的芳容。

eBPF是一项革命性的技术，起源于 Linux 内核，可以在操作系统内核等特权上下文中运行沙盒程序。它可以安全有效地扩展内核的功能，而无需更改内核源代码或加载内核模块。比如，使用ebpf可以追踪任何内核导出函数的参数，返回值，以实现kernel hook 的效果；通过ebpf,还可以在网络封包到达内核协议栈之前就进行处理，这可以实现流量控制，甚至隐蔽通信。

一、前言 这篇文章可能出现一些图文截图颜色或者命令端口不一样的情况，原因是因为这篇文章是我重复尝试过好多次才写的，所以比如正常应该是访问6443，但是截图中是显示大端口比如60123这种，不影响阅读和文章逻辑，无需理会即可，另外k8s基础那一栏。。。本来想写一下k8s的鉴权，后来想了想，太长了，不便于我查笔记，还不如分开写，所以K8S基础那里属于凑数？？？写了懒得删（虽然是粘贴的：））