APT研究系统安全 [2021]阴谋论: windows XP中可能带有NSA后门? **这篇文章消息不确定是否属实,仅仅是本人的一个小的想法与思考,请勿当真** 在审计windows XP代码的时候,在数字签名校验部分,PkcsPublicEncrypt、RSAPublicEncrypt这两个函数长这样: RSAPublicEncrypt: ![](https://key08.com/usr/uploads/2021/09/2609714416.png) PkcsPublicEncrypt: ![](https://key08.com/usr/uploads/2021/09/393499675.png) 按道理说,他们应该走标准的Pkcs、RSA加密算法,然而并不,在XP源码下,他们走到了一个叫做BSafeEncPublic的算法中: ![](https://key08.com/usr/uploads/2021/09/3065156119.png) ~~这个BSafeEncPublic源码是不公开的,是一个lib文件~~(有误,不是这个lib文件,但是目前也不知道是哪来的) ![](https://key08.com/usr/uploads/2021/09/1530459164.png) 百思不得其解,在查阅wiki后,发现这个算法挺有意思的: ![](https://key08.com/usr/uploads/2021/09/3832960814.png) > 从 2004 年到 2013 年,BSAFE 中默认的加密安全伪随机数生成器(CSPRNG) 是Dual_EC_DRBG,它包含一个据称来自NSA 的后门,以及一个有偏见且缓慢的 CSPRNG。[4]自 2005 年规范发布后不久,密码学社区就意识到 Dual_EC_DRBG 是一个非常糟糕的 CSPRNG,到 2007 年,很明显 CSPRNG 似乎被设计为包含 NSA 的隐藏后门,只能使用美国国家安全局通过密钥。[5] 2007 年,Bruce Schneier将后门描述为“太明显了,无法欺骗任何人使用它”。[5]后门在斯诺登泄密事件中得到证实在 2013 年,有人暗示 NSA 在 2004 年向 RSA Security 支付了 1000 万美元以默认使用 Dual_EC_DRBG,[3]尽管 RSA Security在 2004 年否认他们知道后门 不过时间有点对不上就是了,按照wiki说的bsafe默认设置为Dual_EC_DRBG的时间是2004年开始,但是微软的bsafe lib是2003年的,那么是真是假只能看微软的那个lib里面用的是啥随机生成算法了 更新: win7 ci.dll里面也有 ![](https://key08.com/usr/uploads/2021/09/1380179034.png) 不知道是故意隐藏代码不给看还是怎么滴,他的数字签名算法都是这玩意 哪怕是win7那时候已经说淘汰bsafe这个算法了还在用,**要么是名字正好重复了**,要么是故意使坏 阅读全文 2021-09-20 huoji 1 条评论
APT研究系统安全二进制安全 [2016]CVE 2016 1503分析 [cve-2016-1503 analysis.pdf](https://key08.com/usr/uploads/2021/06/3569149805.pdf) 阅读全文 2021-06-19 huoji 0 条评论
APT研究系统安全二进制安全 [2016]攻击JavaScript引擎 电子书 看这本书的时候,我注意到几点感兴趣的: ![截图](https://key08.com/usr/uploads/2021/06/1238957372.png) 看起来2021年4月份的Chrome漏洞中的wasm指针利用技术很早很早就有提及了 包括攻击的手法 ![图片上传中(0)...](https://key08.com/usr/uploads/2021/06/993891207.png) 2021年4月份的Chrome漏洞的看起来作者看过这本书? [攻击JavaScript引擎.pdf](https://key08.com/usr/uploads/2021/06/3880401134.pdf) 阅读全文 2021-06-19 huoji 0 条评论
APT研究系统安全 [2021]windows威胁猎捕 (二) 继上一篇 [[2021]windows威胁猎捕 (一)](https://key08.com/index.php/2021/05/30/1118.html "[2021]windows威胁猎捕 (一)") 后,本篇介绍如下内容: 1.BloodHound检测 2.office宏后门检测 3.注册表可疑字符串检测 4.RDPWrapp劫持 5.系统时间变化 ## 1.BloodHound检测 BloodHound是一个域渗透分析工具.BloodHound以用图与线的形式,将域内用户、计算机、组、Sessions、ACLs以及域内所有相关用户、组、计算机、登陆信息、访问控制策略之间的关系更直观的展现在Red Team面前进行更便捷的分析域内情况,更快速的在域内提升自己的权限。它也可以使Blue Team成员对己方网络系统进行更好的安全检测及保证域的安全性。 具体可看: https://www.freebuf.com/sectool/179002.html 特征: 别人扫你的时候,srvsvc、lsarpc、samr会有管道连接 检测: ETW ID为18的事件(pipe connect)和ETW ID为3的(network connect)事件中: > ipport:389 or ipport:636 and ipport:445 and filemod:srvsvc and filemod:lsass EventID-5145 and RelativeTargetName={srvcsvc or lsarpc or samr} 阅读全文 2021-06-05 huoji 0 条评论
APT研究系统安全二进制安全渗透复现 [2021]Office DDE恶意代码执行技术 随着office宏病毒的被检测率提高, Office DDE恶意代码执行技术在这几年开始流行起来.在这里就简单的介绍并且复现一下DDE的技术实现: 打开一个office文档,插入-文档部件-域,选择第一个= (Formula) 然后右键切换域代码来编辑代码,插入你想执行的payload: ![](https://key08.com/usr/uploads/2021/05/3768934303.png) 阅读全文 2021-05-30 huoji 0 条评论