记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

针对澳大利亚发动攻击:深入分析Gustuff银行僵尸网络

一、摘要Cisco Talos团队发现了针对澳大利亚金融机构的新型Android恶意活动。随着调查的不断深入,Talos团队发现这项恶意活动与此前在澳大利亚发现的“ChristinaMorrow”短信垃圾邮件骗局有所关联。尽管这种恶意软件的凭据获取机制不是特别复杂,但该系列恶意软件确实具有非常先进的自我保护机制。恶意软件并非传统的远程访问工具(RAT),并且此次的恶意活动似乎主要针对个人用户。除了凭据窃取之外,恶意软件还将窃取用户联系人列表、收集电话号码相关联的人名、收集用户设备上的文件和照片。然而,这一事实并不意味着企业和组织没有受到此次恶意活动的影响。企业和组织仍然需要留意这种类型的木马活动,因为攻击者可能会获取到
发布时间:2019-04-12 12:25 | 阅读:21823 | 评论:0 | 标签:移动安全 僵尸网络

TheMoon僵尸网络最新发展分析

过去一年时间,CenturyLink安全研究人员一直在追踪一个名为TheMoon的IoT僵尸网络。该僵尸网络主要利用网络中路由器的漏洞。从2014年初开始,该僵尸网络不断发展并利用公布的漏洞利用来攻击大量的设备。这些漏洞利用包括Linksys, ASUS, MikroTik, D-Link等厂商生产的大量设备。TheMoon僵尸网络的威胁性在于在感染后可以传播不同功能的恶意模块。研究人员有充足证据相信攻击者出售代理僵尸网络给其他恶意软件攻击者,并用它进行凭证暴力破解、视频广告欺诈、通用流量混淆。TheMoon最早进入人们视野是研究人员发现许多设备在多个主流网站上进行凭证暴力破解攻击。根据被感染设备的IP地址,研究人员发
发布时间:2019-02-03 12:20 | 阅读:66856 | 评论:0 | 标签:Web安全 僵尸网络

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

近日研究人员发现网络犯罪分子开始利用一个2018年12月修复的ThinkPHP漏洞来进行僵尸网络的传播,传播的这两个僵尸网络是Mirai的变种Yowai和Gafgyt的变种Hakai。攻击者通过默认凭证字典攻击的方法来攻击使用该PHP框架创建的web站点,并获取这些路由器的控制权来发起DDOS攻击。研究人员发现这两个恶意软件类型导致1月11日到17日攻击和感染数据攀升。Yowai研究人员分析发现Yowai有一个与其他Mirai变种类似的配置表。配置表也是用相同的步骤来解密,并在感染入口向量中加入了其他已知的ThinkPHP漏洞利用。Yowai会监听端口6来接收来自C2服务器的命令。在感染路由器后,会用字典攻击来尝试感染
发布时间:2019-01-30 12:20 | 阅读:50566 | 评论:0 | 标签:Web安全 僵尸网络 漏洞

Outlaw组织僵尸网络分析:加密货币挖矿、扫描、暴力破解

研究人员之前曾分析过一个使用Internet Relay Chat (IRC) bot的名为Outlaw的僵尸网络。本文分析研究人员利用IoT蜜罐系统发现的该组织运营的一个僵尸网络。攻击bot使用haiduc工具来搜索网络寻找攻击目标。如果成功利用了一些漏洞,就在受害者主机上运行min.sh脚本。本文分析Outlaw攻击活动的两个变种。Bot主机第一个变种使用的脚本有两个功能:挖矿机和基于Haiduc的dropper。挖矿部分的代码有两个form表单。其中一个是明文bash/perl脚本,另一个是混淆的Perl脚本变种,可以绕过基于内容检测的IPS和防火墙的检测。Bot主机传播的第二个变种代码是用来暴力破解和利用微软R
发布时间:2018-12-03 12:20 | 阅读:67023 | 评论:0 | 标签:Web安全 僵尸网络 加密 暴力破解 扫描

Google Play惊现恶意Voice App,新僵尸网络正在形成中

研究人员发现Google Play中有很多APP伪装成合法的语音消息平台,其中有些应用可以自动弹出伪造的调查文件,有的可以伪造欺骗性的广告点击。这些恶意应用和恶意软件的变种从今年10月开始应用,随后不断进化,加入了绕过技术和多个阶段。分析的样本的模块化能力被标记为version 1.0,研究人员推测攻击者正在开发新的功能,并在之后的恶意活动中进行更新。目前的感染数量还不是很多,但上传和用户下载量非常大,考虑到手机生态的快速开发迭代和传播,研究人员建议持续关注这一威胁。截止目前,大多数的fake应用已经下线了,本文就一部分样本进行分析以显示其通用行为。7个识别的APP ID的样本都含有相同的代码和行为,因此研究人员猜测攻
发布时间:2018-11-29 12:20 | 阅读:69982 | 评论:0 | 标签:Web安全 僵尸网络

快速扩散的BCMUPnP_Hunter僵尸网络

一个新的僵尸网络正大肆蔓延在路由设备之中,截至当前,已有数十万个僵尸网络端点得到了确认,并检测到有大量的垃圾邮件发送行为。据360Netlab telemetry公司称,该僵尸网络于今年9月首次出现,被称为BCMUPnP_Hunter。它得名起因于它让大量启用了BroadCom通用即插即用(UPnP)功能的路由器得到了感染。BCMUPnP_Hunter利用的是该功能中的一个于2013年就被揭露的漏洞。多层代理架构据研究人员称,BCMUPnP_Hunter本质上是一个自建的代理网络,一开始看起来它的作用就是从网络邮件源中推送垃圾邮件的,但这个恶意软件写得很好,可以看得出来作者有深厚的功底,完全不像那些脚本小子的拙劣作品。
发布时间:2018-11-12 12:20 | 阅读:54417 | 评论:0 | 标签:漏洞 僵尸网络

BillGates僵尸网络依然活跃,警惕成为肉机

1. 概述BillGates僵尸网络木马曾经是国内最流行的DDoS攻击病毒之一,被攻击者广泛使用,曾一度在DDoS病毒中占比高达32.33%。近期,深信服EDR安全团队追踪到不少企业用户Linux服务器感染此病毒,BillGates僵尸网络依然较为活跃,提醒广大用户小心。BillGates僵尸网络木马是一个感染性及隐蔽性极强的病毒,它会创建进程来进行C&C通信、病毒监控等操作,同时还会释放很多病毒克隆文件、替换某些系统文件为病毒克隆文件。目前深信服终端检测响应平台(EDR3.2.8)内置Linux杀毒引擎支持检测、清除该病毒,深信服EDR用户可升级该版本进行防御。2. 病毒架构3. 
发布时间:2018-11-01 17:20 | 阅读:53364 | 评论:0 | 标签:Web安全 僵尸网络

Black Rose Lucy:最新俄罗斯MaaS僵尸网络

概览Black Rose Lucy MaaS产品是保护的功能有:· Lucy Loader,远程控制面板,可以控制整个僵尸网络中的设备、主机,还可以应用其他的恶意软件payload;· Black Rose Dropper,攻击安卓收集的释放器,可以收集受害者设备数据、监听远程C&C服务器,并安装来自C&C服务器的其他恶意软件;主流安卓应用都要求用户手动开启敏感功能来激活应用。为了获取设备系统管理权限,应用需要弹窗获取用户同意,或要求用户通过系统设置来授予权限。另外,安卓辅助功能(Accessibility Service)可以模拟用户屏幕点击,恶意软件会滥用这一功能来绕过一些安全限制。Bla
发布时间:2018-09-17 12:20 | 阅读:68791 | 评论:0 | 标签:Web安全 僵尸网络

IoT/Linux僵尸网络Mirai、Gafgyt变种攻击Apache Struts、SonicWall

2018年9月7日,Unit 42的研究人员发现融合了攻击16个单独漏洞利用的Mirai变种。这是第一个已知的Mirai攻击Apache Struts漏洞的实例。另外,研究人员还发现现在为Mirai样本提供主机服务的域名在8月份解析的IP地址为利用CVE-2018-9866漏洞的Gafgyt提供主机服务。利用Apache Struts漏洞的多利用Mirai变种新变种中攻击Apache Struct的是CVE-2017-5638漏洞,是一个通过伪造Content-Type、Content-Disposition、Content-Length HTTP headers来进行任意代码执行的漏洞。格式如图1所示:图1 CVE-
发布时间:2018-09-12 12:20 | 阅读:72193 | 评论:0 | 标签:Web安全 僵尸网络

僵尸网络下载过去一年的发展趋势

研究人员对僵尸网络的认知仅停留在带有恶意软件链接的垃圾邮件和下载其他恶意软件的木马,而这些仅仅是僵尸网络常用的一些场景而已。僵尸网络可能是一个勒索软件,一个银行木马,一个挖矿软件,一个后门……比如今年3月底新发现的Gandcrab变体、6月新发现的Trik僵尸网络、Locky攻击的频繁活动以及Necurs(在过去五年中,Necurs僵尸网络已经发展成为全球最大的垃圾邮件传播组织)的更新迭代。现在,卡巴斯基实验室每天都会拦截发送给各种类型恶意软件和木马家族的大量文件下载命令。在本文,我会以卡巴斯基实验室在2017年下半年和2018年上半年的僵尸网络活动分析结果为例,进行详细说明。统计样本的选择统计数据中不包括由木马下载的
发布时间:2018-09-10 12:20 | 阅读:60117 | 评论:0 | 标签:Web安全 僵尸网络

Hide’N Seek僵尸网络:在更多平台和设备上不断的添加漏洞利用

多年来,安全专家一直在警告消费者智能家居解决方案中的漏洞,而Hide'N Seek(HNS)可能是第一个主动针对这些漏洞的恶意软件。预计到2020年,物联网(IoT)设备的数量将增长到204亿,并且这些设备中的绝大多数专为家庭和企业自动化而设计。虽然这些设备让人们的生活更加轻松,但对于网络罪犯而言,这是一个好消息,因为更多连接的物联网设备意味着更多潜在的漏洞。HNS是一个物联网僵尸网络,它以复杂和去中心化的方式进行通信(使用定制的点对点通信),以实现各种恶意行为。FortiGuard Labs自今年年初首次发现该僵尸网络恶意软件以来,一直在密切关注它。虽然HNS最初针对路由器,IP摄像机和DVR,但现在它也面
发布时间:2018-07-28 12:21 | 阅读:87676 | 评论:0 | 标签:Web安全 僵尸网络 漏洞

新Mirai和Gafgyt IoT/Linux僵尸网络出现

研究人员在2018年5月发现一起利用公开的Mirai和Gafgyt恶意软件公开代码,并融合了多个影响IoT设备的已知漏洞的3个攻击活动,分别是Omni、Okane和Hakai。研究人员在其中一个样本中发现了超过11个漏洞利用,而IoT Reaper中也才只有9个漏洞利用。在最新的进化中,样本还利用D-Link DSL-2750B操作系统命令注入漏洞。研究人员还发现,该攻击活动支持DDoS方法,这是之前的Mirai变种从未使用过的。Omni2018年5月,Mirai的变种Omni僵尸网络利用了2个影响Dasan GPON路由器的漏洞,分别是CVE-2018-10561(认证绕过)和CVE-2018-1562(命令注入)。
发布时间:2018-07-24 12:20 | 阅读:72574 | 评论:0 | 标签:Web安全 僵尸网络

Trik垃圾邮件僵尸网络泄露4300万电子邮件地址

近日,来自Vertek公司的一名安全研究人报告称,已经有超过4300万个电子邮件地址从垃圾邮件僵尸网络的命令和控制(C&C)服务器中泄露。据悉,Vertek公司的这名威胁情报分析师是在研究最近发布的一个Trik木马版本恶意软件活动时,发现了这一大规模的数据泄露现象。据研究人员介绍,这个最近发布的Trik木马版本通过第二阶段的有效载荷——即GandCrab 3 勒索软件,来感染用户。Vertek研究人员发现,Trik和GandCrab能够下载恶意文件,并从位于俄罗斯某个IP地址上的网络服务器感染用户系统。但是,实施该操作背后的恶意人员错误配置了其服务器,所以,才会导致服务器内容可供任何能够直接访问该IP地址的人员
发布时间:2018-06-18 12:20 | 阅读:104290 | 评论:0 | 标签:Web安全 僵尸网络

快速进击的挖矿僵尸网络:单日攻击破10万次

背景2017年9月,360互联网安全中心首家发现了利用msSQL进行大规模入侵并释放挖矿木马的僵尸网络。木马先期通过永恒之蓝漏洞进行传播,后期转为对msSQL进行弱口令攻击传播,入侵成功后释放挖矿木马,获利达数百万之多。相关分析详见我们在2017年发布的报告:《悄然崛起的挖矿机僵尸网络:打服务器挖价值百万门罗币》。近日,360互联网安全中心又发现了一批使用msSQL进行传播的挖矿木马的新型变种。此次木马攻击主要利用“白利用”这一通常出现在远控或盗号木马上的隐藏手段,说明此类木马已经具有了与安全软件对抗的意识。并且利用自身在扩散形式上的优势快速传播,出现仅6天,单日攻击次数就突破了10万次。另外,该木马早期曾出现过一个仅
发布时间:2018-05-25 12:20 | 阅读:74143 | 评论:0 | 标签:其他 僵尸网络

第一个能在设备重启后继续存活的僵尸网络

4月30日,罗马尼亚的安全商Bitdefender的研究人员对外发布了他们所检测到的一种僵尸网络,该僵尸网络是第一个能在设备重启后继续存活的僵尸网络。目前,研究人员已将它命名为“Hide and Seek(HNS)”,这个名字起得也很有意思,翻译成中文就是“躲猫猫”,不过这也符合其行为模式。简单来说,该僵尸网络有两个世界第一。首先,它是世界上第一个通过点对点(peer-to-peer,简称P2P)架构进行通信的僵尸网络。其次,它也是第一个能在设备重启后继续存活的僵尸网络。“Hide and Seek”的迭代攻击过程HNS于2018年1月10日初次现身,在1月20日携大量“肉鸡”强势出现。1月25日,HNS的僵尸网络数量
发布时间:2018-05-18 12:20 | 阅读:111074 | 评论:0 | 标签:Web安全 僵尸网络

不断改变的Necurs:可通过internet快捷方式躲避垃圾邮件检测

自2012年以来一直存在的僵尸网络恶意软件Necurs已经得到改进,因为攻击者希望能够更好的击败网络安全措施,所以它被发现使用.URL文件发展其第二层感染(远程脚本下载程序被趋势科技检测为MAL_CERBER- JS03D,MAL_NEMUCOD-JS21B,VBS_SCARAB.SMJS02和MAL_SCARAB-VBS30)。作为一种模块化的恶意软件,Necurs及其变种具有发送垃圾邮件、信息窃取以及禁用安全服务和元素的功能。自2012年以来一直存在,并通过Necurs僵尸网络在野外传播。在2017年,它推出了Locky——一个勒索软件家族,其中一个变种是24小时内通过2300万封电子邮件发布的(通过一个仅有URL
发布时间:2018-05-03 12:20 | 阅读:105010 | 评论:0 | 标签:勒索软件 僵尸网络 恶意软件

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云