记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

通过暴露的Docker API渗透容器:AESDDoS僵尸网络恶意软件分析

概述在当今的互联网中,错误配置已经不是一个新鲜的话题。然而,网络犯罪分子正持续将其作为一种行之有效的方式来获取组织的计算机资源,并进而将其用于恶意目的,由此导致了一个非常值得关注的安全问题。在本篇文章中,我们将详细介绍一种攻击类型,其中流行的DevOps工具Docker Engine-Community的开源版本中存在一个API配置错误,允许攻击者渗透容器,并运行恶意软件变种。该变种源自Linux僵尸网络恶意软件AESDDoS,由我们部署的蜜罐捕获,检测为“Backdoor.Linux.DOFLOO.AA”。在容器主机上运行的Docker API允许主机接收所有与容器相关的命令,以root权限运行的守护程序将会执行。无
发布时间:2019-07-02 12:25 | 阅读:35781 | 评论:0 | 标签:恶意软件 僵尸网络 ddos

Outlaw黑客组织通过僵尸网络传播挖矿机和木马

TrendMicro研究人员检测到一个传播含有门罗币挖矿机和Perl后门组件的僵尸网络的URL。研究人员发现这与Outlaw黑客组织之前攻击活动中使用的方法一样。研究人员在分析中发现攻击者使用了一个可执行的SSH后门,而且这些组件以服务的形式安装来为恶意软件提供驻留。基于Perl的后门组件可以启动DDoS攻击,允许犯罪分子通过提供DDoS即服务和加密货币挖矿机来利用僵尸网络获利。但研究人员认为该攻击活动背后的攻击者可能在测试和开发过程,因为还有shell脚本组件在TAR文件中没有执行。截至目前,研究人员监测到了来自中国的感染活动。攻击方法数据显示恶意软件通过SSH暴力破解攻击来获取系统的访问权限,并执行两个可能的命令文
发布时间:2019-07-01 12:25 | 阅读:23893 | 评论:0 | 标签:Web安全 僵尸网络

利用ADB和SSH传播的新型加密货币挖矿僵尸网络现身

趋势科技在最近的研究中发现一种新的加密货币挖矿僵尸网络,它可以通过开放的ADB(Android Debug Bridge)端口进入,并借助SSH传播扩散。这种攻击方法利用了默认情况下打开的ADB端口没有身份验证的设置,类似于之前报告的Satori僵尸网络变体。这个僵尸网络的设计能够让它从受感染的主机传播到任何先前与主机建立SSH连接的系统。利用ADB的做法使得基于Android的设备很容易受攻击。趋势科技在21个不同国家/地区检测到该僵尸网络的活动,在韩国发现的比例最高。技术细节已经发现IP地址45 [.] 67 [.] 14 [.] 179连接到ADB运行设备或系统,然后进行多项活动。图1总结了攻击的感染链。图1.攻
发布时间:2019-06-30 12:25 | 阅读:34635 | 评论:0 | 标签:加密货币 僵尸网络 加密

Mirai变种Echobot僵尸网络有26个漏洞利用

2019年6月,Unit 42研究人员分析了攻击iot设备加入8个漏洞利用的Mirai变种。近期,研究人员发现Echobot僵尸网络用来传播的漏洞利用数量增加到26个。而且大多数漏洞利用的代码主要是用于未进行安全补丁的IoT设备,但企业级应用Oracle WebLogic和VMware SD-Wan也是攻击的目标。Echobot僵尸网络是基于Mirai恶意软件的,据统计,自Mirai源码泄露后,有上百个基于Mirai的僵尸网络变种。6月初,Unit42研究人员分析发现该Mirai变种中新加入了8个漏洞,漏洞利用的总个数增加到18个。IoT设备是主要攻击目标Akamai安全研究人员Larry Cashdollar分析发现
发布时间:2019-06-28 12:25 | 阅读:30609 | 评论:0 | 标签:漏洞 僵尸网络

开源僵尸网络平台LiteHttp源码分析

一、 简介如今,黑客越来越多的通过修改开源的病毒源码来实现快速的病毒开发,如Mirai、qbot等公开了源码的病毒,常被黑客用于二次开发,用以攻击。前不久,一起针对巴基斯坦的APT攻击中,发现黑客所使用的攻击样本是通过开源僵尸网络病毒LiteHttp改造而来的,与后者的行为基本一致。分析开源恶意软件源码,能让我们更直接地了解恶意软件的工作原理,从而设计出更好的防护策略,下面,我们就来本地搭建LiteHttp并对其源码进行简单分析。LiteHttp是一个使用C#编写的开源僵尸网络恶意软件,项目地址:https://github.com/zettabithf/LiteHTTP。项目有3个目录,Bot是病毒程序的代
发布时间:2019-06-04 17:25 | 阅读:40396 | 评论:0 | 标签:Web安全 僵尸网络

针对澳大利亚发动攻击:深入分析Gustuff银行僵尸网络

一、摘要Cisco Talos团队发现了针对澳大利亚金融机构的新型Android恶意活动。随着调查的不断深入,Talos团队发现这项恶意活动与此前在澳大利亚发现的“ChristinaMorrow”短信垃圾邮件骗局有所关联。尽管这种恶意软件的凭据获取机制不是特别复杂,但该系列恶意软件确实具有非常先进的自我保护机制。恶意软件并非传统的远程访问工具(RAT),并且此次的恶意活动似乎主要针对个人用户。除了凭据窃取之外,恶意软件还将窃取用户联系人列表、收集电话号码相关联的人名、收集用户设备上的文件和照片。然而,这一事实并不意味着企业和组织没有受到此次恶意活动的影响。企业和组织仍然需要留意这种类型的木马活动,因为攻击者可能会获取到
发布时间:2019-04-12 12:25 | 阅读:63916 | 评论:0 | 标签:移动安全 僵尸网络

TheMoon僵尸网络最新发展分析

过去一年时间,CenturyLink安全研究人员一直在追踪一个名为TheMoon的IoT僵尸网络。该僵尸网络主要利用网络中路由器的漏洞。从2014年初开始,该僵尸网络不断发展并利用公布的漏洞利用来攻击大量的设备。这些漏洞利用包括Linksys, ASUS, MikroTik, D-Link等厂商生产的大量设备。TheMoon僵尸网络的威胁性在于在感染后可以传播不同功能的恶意模块。研究人员有充足证据相信攻击者出售代理僵尸网络给其他恶意软件攻击者,并用它进行凭证暴力破解、视频广告欺诈、通用流量混淆。TheMoon最早进入人们视野是研究人员发现许多设备在多个主流网站上进行凭证暴力破解攻击。根据被感染设备的IP地址,研究人员发
发布时间:2019-02-03 12:20 | 阅读:89917 | 评论:0 | 标签:Web安全 僵尸网络

Hakai和Yowai僵尸网络使用ThinkPHP漏洞进行传播

近日研究人员发现网络犯罪分子开始利用一个2018年12月修复的ThinkPHP漏洞来进行僵尸网络的传播,传播的这两个僵尸网络是Mirai的变种Yowai和Gafgyt的变种Hakai。攻击者通过默认凭证字典攻击的方法来攻击使用该PHP框架创建的web站点,并获取这些路由器的控制权来发起DDOS攻击。研究人员发现这两个恶意软件类型导致1月11日到17日攻击和感染数据攀升。Yowai研究人员分析发现Yowai有一个与其他Mirai变种类似的配置表。配置表也是用相同的步骤来解密,并在感染入口向量中加入了其他已知的ThinkPHP漏洞利用。Yowai会监听端口6来接收来自C2服务器的命令。在感染路由器后,会用字典攻击来尝试感染
发布时间:2019-01-30 12:20 | 阅读:70527 | 评论:0 | 标签:Web安全 僵尸网络 漏洞

Outlaw组织僵尸网络分析:加密货币挖矿、扫描、暴力破解

研究人员之前曾分析过一个使用Internet Relay Chat (IRC) bot的名为Outlaw的僵尸网络。本文分析研究人员利用IoT蜜罐系统发现的该组织运营的一个僵尸网络。攻击bot使用haiduc工具来搜索网络寻找攻击目标。如果成功利用了一些漏洞,就在受害者主机上运行min.sh脚本。本文分析Outlaw攻击活动的两个变种。Bot主机第一个变种使用的脚本有两个功能:挖矿机和基于Haiduc的dropper。挖矿部分的代码有两个form表单。其中一个是明文bash/perl脚本,另一个是混淆的Perl脚本变种,可以绕过基于内容检测的IPS和防火墙的检测。Bot主机传播的第二个变种代码是用来暴力破解和利用微软R
发布时间:2018-12-03 12:20 | 阅读:90611 | 评论:0 | 标签:Web安全 僵尸网络 加密 暴力破解 扫描

Google Play惊现恶意Voice App,新僵尸网络正在形成中

研究人员发现Google Play中有很多APP伪装成合法的语音消息平台,其中有些应用可以自动弹出伪造的调查文件,有的可以伪造欺骗性的广告点击。这些恶意应用和恶意软件的变种从今年10月开始应用,随后不断进化,加入了绕过技术和多个阶段。分析的样本的模块化能力被标记为version 1.0,研究人员推测攻击者正在开发新的功能,并在之后的恶意活动中进行更新。目前的感染数量还不是很多,但上传和用户下载量非常大,考虑到手机生态的快速开发迭代和传播,研究人员建议持续关注这一威胁。截止目前,大多数的fake应用已经下线了,本文就一部分样本进行分析以显示其通用行为。7个识别的APP ID的样本都含有相同的代码和行为,因此研究人员猜测攻
发布时间:2018-11-29 12:20 | 阅读:91668 | 评论:0 | 标签:Web安全 僵尸网络

快速扩散的BCMUPnP_Hunter僵尸网络

一个新的僵尸网络正大肆蔓延在路由设备之中,截至当前,已有数十万个僵尸网络端点得到了确认,并检测到有大量的垃圾邮件发送行为。据360Netlab telemetry公司称,该僵尸网络于今年9月首次出现,被称为BCMUPnP_Hunter。它得名起因于它让大量启用了BroadCom通用即插即用(UPnP)功能的路由器得到了感染。BCMUPnP_Hunter利用的是该功能中的一个于2013年就被揭露的漏洞。多层代理架构据研究人员称,BCMUPnP_Hunter本质上是一个自建的代理网络,一开始看起来它的作用就是从网络邮件源中推送垃圾邮件的,但这个恶意软件写得很好,可以看得出来作者有深厚的功底,完全不像那些脚本小子的拙劣作品。
发布时间:2018-11-12 12:20 | 阅读:78478 | 评论:0 | 标签:漏洞 僵尸网络

BillGates僵尸网络依然活跃,警惕成为肉机

1. 概述BillGates僵尸网络木马曾经是国内最流行的DDoS攻击病毒之一,被攻击者广泛使用,曾一度在DDoS病毒中占比高达32.33%。近期,深信服EDR安全团队追踪到不少企业用户Linux服务器感染此病毒,BillGates僵尸网络依然较为活跃,提醒广大用户小心。BillGates僵尸网络木马是一个感染性及隐蔽性极强的病毒,它会创建进程来进行C&C通信、病毒监控等操作,同时还会释放很多病毒克隆文件、替换某些系统文件为病毒克隆文件。目前深信服终端检测响应平台(EDR3.2.8)内置Linux杀毒引擎支持检测、清除该病毒,深信服EDR用户可升级该版本进行防御。2. 病毒架构3. 
发布时间:2018-11-01 17:20 | 阅读:70233 | 评论:0 | 标签:Web安全 僵尸网络

Black Rose Lucy:最新俄罗斯MaaS僵尸网络

概览Black Rose Lucy MaaS产品是保护的功能有:· Lucy Loader,远程控制面板,可以控制整个僵尸网络中的设备、主机,还可以应用其他的恶意软件payload;· Black Rose Dropper,攻击安卓收集的释放器,可以收集受害者设备数据、监听远程C&C服务器,并安装来自C&C服务器的其他恶意软件;主流安卓应用都要求用户手动开启敏感功能来激活应用。为了获取设备系统管理权限,应用需要弹窗获取用户同意,或要求用户通过系统设置来授予权限。另外,安卓辅助功能(Accessibility Service)可以模拟用户屏幕点击,恶意软件会滥用这一功能来绕过一些安全限制。Bla
发布时间:2018-09-17 12:20 | 阅读:94090 | 评论:0 | 标签:Web安全 僵尸网络

IoT/Linux僵尸网络Mirai、Gafgyt变种攻击Apache Struts、SonicWall

2018年9月7日,Unit 42的研究人员发现融合了攻击16个单独漏洞利用的Mirai变种。这是第一个已知的Mirai攻击Apache Struts漏洞的实例。另外,研究人员还发现现在为Mirai样本提供主机服务的域名在8月份解析的IP地址为利用CVE-2018-9866漏洞的Gafgyt提供主机服务。利用Apache Struts漏洞的多利用Mirai变种新变种中攻击Apache Struct的是CVE-2017-5638漏洞,是一个通过伪造Content-Type、Content-Disposition、Content-Length HTTP headers来进行任意代码执行的漏洞。格式如图1所示:图1 CVE-
发布时间:2018-09-12 12:20 | 阅读:93822 | 评论:0 | 标签:Web安全 僵尸网络

僵尸网络下载过去一年的发展趋势

研究人员对僵尸网络的认知仅停留在带有恶意软件链接的垃圾邮件和下载其他恶意软件的木马,而这些仅仅是僵尸网络常用的一些场景而已。僵尸网络可能是一个勒索软件,一个银行木马,一个挖矿软件,一个后门……比如今年3月底新发现的Gandcrab变体、6月新发现的Trik僵尸网络、Locky攻击的频繁活动以及Necurs(在过去五年中,Necurs僵尸网络已经发展成为全球最大的垃圾邮件传播组织)的更新迭代。现在,卡巴斯基实验室每天都会拦截发送给各种类型恶意软件和木马家族的大量文件下载命令。在本文,我会以卡巴斯基实验室在2017年下半年和2018年上半年的僵尸网络活动分析结果为例,进行详细说明。统计样本的选择统计数据中不包括由木马下载的
发布时间:2018-09-10 12:20 | 阅读:74930 | 评论:0 | 标签:Web安全 僵尸网络

Hide’N Seek僵尸网络:在更多平台和设备上不断的添加漏洞利用

多年来,安全专家一直在警告消费者智能家居解决方案中的漏洞,而Hide'N Seek(HNS)可能是第一个主动针对这些漏洞的恶意软件。预计到2020年,物联网(IoT)设备的数量将增长到204亿,并且这些设备中的绝大多数专为家庭和企业自动化而设计。虽然这些设备让人们的生活更加轻松,但对于网络罪犯而言,这是一个好消息,因为更多连接的物联网设备意味着更多潜在的漏洞。HNS是一个物联网僵尸网络,它以复杂和去中心化的方式进行通信(使用定制的点对点通信),以实现各种恶意行为。FortiGuard Labs自今年年初首次发现该僵尸网络恶意软件以来,一直在密切关注它。虽然HNS最初针对路由器,IP摄像机和DVR,但现在它也面
发布时间:2018-07-28 12:21 | 阅读:109046 | 评论:0 | 标签:Web安全 僵尸网络 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云