记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

NSA泄露工具被用来传播加密货币挖矿机

普通网络犯罪和针对性攻击的区别在于:普通网络犯罪会将即时的经济目标作为主要动机,而针对性攻击可能还会有其他的目标,比如窃取知识产权。此外,攻击者的思维模式也是不同的。正常的网络犯罪分子需要考虑如何入侵更多的个人设备,而针对性攻击需要计划如何入侵和获取企业网络的访问权限,并尽可能地隐蔽。除此之外,针对性攻击活动常常包括扩展性的计划以及高度专业化的创建和使用。另一方面,正常的攻击者可能没有能力或资源来规划复杂的攻击活动,他们使用的工具更加通用,而且一般地下市场都有。近期,研究人员发现了一起融合了针对性攻击工具和常规网络犯罪的大规模攻击活动:攻击者使用了之前在针对性攻击中使用的复杂攻击来传播加密货币挖矿机和勒索软件这样的典型
发布时间:2019-07-24 12:25 | 阅读:37446 | 评论:0 | 标签:系统安全 加密货币 加密

17年的XHide被用于传播shellbot和XMRig

Trend Micro蜜罐系统检测到扫描开放端口、暴力破解弱凭证、安装门罗币加密货币挖矿和基于Perl的IRC后门作为final payload。挖坑过程使用XHide Process Faker来进行隐藏,这是一个有17年历史的开源工具用来伪造进程名。研究人员分析发现攻击者通过发布命令到有漏洞的机器来下载和安装后门和挖矿机。安装的后门为Shellbot,可以扫描开放端口、下载文件、执行UDP洪泛攻击,并且可以远程执行shell命令。用2个payload来感染设备盈利可能性更高,因此恶意攻击者可以用shellbot和挖矿机来进行获利。受影响到区域包括日本、巴西、中国、土耳其等。Routine恶意软件会扫描开放端口和弱凭
发布时间:2019-07-23 12:25 | 阅读:17069 | 评论:0 | 标签:加密货币 加密货币挖矿

2019上半年恶意挖矿趋势报告

上一期,深信服安全团队对勒索病毒进行2019半年度总结,主要盘点了高发勒索家族、受灾区域分布、勒索病毒发展走向等。本期深信服安全团队对另一流行病毒类型——挖矿木马进行深入分析,给大家揭秘2019上半年挖矿木马的所作所为。一、2019上半年恶意挖矿数据统计近来加密货币价格走势如过山车般跌宕起伏,截至6月比特币成功翻身,价格重返五位数,几人欢喜几人悲伤,这其中最欢喜莫过于恶意挖矿黑产从业者,由于其隐匿性、低成本、无中间商赚差价,导致挖矿木马是近年来最流行的病毒类型之一,而企业的服务器则成为黑产眼中的盛宴。1.1恶意挖矿活跃度呈增长趋势据深信服安全云脑统计,2019上半年里挖矿木马拦截数达到54亿次,整体呈增长的趋势,三月份
发布时间:2019-07-16 12:25 | 阅读:25154 | 评论:0 | 标签:加密货币

Burimi挖矿蠕虫攻击超3300万个邮箱,发送欺诈邮件勒索比特币

简介腾讯安全御见威胁情报中心捕获到一例挖矿蠕虫病毒攻击事件,黑客通过VNC爆破服务器弱口令,得手后先下载门罗币挖矿木马,同时在被感染的电脑上分别验证超过3300万个邮箱帐号密码,若验证成功就向该邮箱发送欺诈勒索邮件。邮件中威胁:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。”我们根据病毒的验证任务系统推测已知受害邮箱帐户超过3300万个,包括Yahoo、Google、AOL、微软在内的邮件服务均在被攻击之列。由于主模块编写者为“Burimi”,且具有内网传播能力,腾讯安全专家将其命名为“Burimi”挖矿蠕虫。详细分析:木马启动后
发布时间:2019-07-09 17:25 | 阅读:26735 | 评论:0 | 标签:加密货币 Burimi

利用ADB和SSH传播的新型加密货币挖矿僵尸网络现身

趋势科技在最近的研究中发现一种新的加密货币挖矿僵尸网络,它可以通过开放的ADB(Android Debug Bridge)端口进入,并借助SSH传播扩散。这种攻击方法利用了默认情况下打开的ADB端口没有身份验证的设置,类似于之前报告的Satori僵尸网络变体。这个僵尸网络的设计能够让它从受感染的主机传播到任何先前与主机建立SSH连接的系统。利用ADB的做法使得基于Android的设备很容易受攻击。趋势科技在21个不同国家/地区检测到该僵尸网络的活动,在韩国发现的比例最高。技术细节已经发现IP地址45 [.] 67 [.] 14 [.] 179连接到ADB运行设备或系统,然后进行多项活动。图1总结了攻击的感染链。图1.攻
发布时间:2019-06-30 12:25 | 阅读:34249 | 评论:0 | 标签:加密货币 僵尸网络 加密

安天蜜网捕获“利用ElasticSearch Groovy漏洞进行门罗币(Dog)挖矿”事件分析

1、概述2019年6月13日,安天蜜网捕获到利用CVE-2015-1427(ElasticSearch Groovy)远程命令执行漏洞的攻击行为。该漏洞原理是Elaticsearch将groovy作为脚本语言,并使用基于黑白名单的沙盒机制限制危险代码执行,但该机制不够严格,可以被绕过,从而导致出现远程代码执行的情况。安天对此次事件进行了详细的样本分析,并给出预防及修复建议。2 、样本分析2.1 关键攻击载荷从攻击载荷来看,攻击者通过groovy作为脚本语言,向_search?pretty页面发送一段带有恶意链接为http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的jso
发布时间:2019-06-26 12:25 | 阅读:40146 | 评论:0 | 标签:加密货币 门罗币 漏洞

一次基于GAO报告的暗网追踪比特币枪支销售的OSINT调查

介绍去年11月,GAO (美国美国政府责任署管理局)和 ATF (美国烟酒枪支及爆炸物管理局)发布了关于互联网枪支销售的报告。 调查包括试图在 Surface Web 和 Dark Web 上购买武器的报道。 7次尝试中的2次都成功了。 基于不同的 OSINT 技术,我试图找到哪些市场代理商购买了枪支,如果可能的话我会继续跟踪交易。 剧透警告——我认为这是不可能的。图片由Jens Lelie 发布于 Unsplash我真的很鼓励你阅读整个报告,我在阅读中学到了很多有趣的东西。https://www.gao.gov/assets/690/688535.pdfhttps://www.gao.gov/product
发布时间:2019-06-19 12:25 | 阅读:54832 | 评论:0 | 标签:加密货币 技术 GAO OSINT 比特币

Pacha和Rocke组织竞争云端资源进行加密货币挖矿

Pacha组织是Intezer研究人员2019年2月发现的一个加密货币挖矿威胁单元,该组织主要攻击Linux服务器,并且应用了多种高级绕过和驻留技术。研究人员持续监控该组织攻击活动发现Pacha组织也在攻击云环境并尝试破坏和干扰其他加密货币挖矿组织,其中包括攻击云环境的Rocke组织。研究人员认为云环境未来将成为更多攻击者的目标。技术分析在监控Pacha组织时,研究人员发现于之前变种共享代码的新的Linux.GreedyAntd变种样本。虽然与之前变种共享了接近30%的代码量,但Pacha组织新变种的检测率仍然很低——1/60。主要的恶意软件基础设施与之前pacha组织攻击活动所使用的相同。Roche组织是Cisco
发布时间:2019-06-01 12:25 | 阅读:41622 | 评论:0 | 标签:加密货币 加密货币挖矿 加密

NSAMsdMiner利用永恒之蓝攻击企业内网,窃取机密挖矿牟利双管齐下

概述近期腾讯安全御见威胁情报中心捕获到新的挖矿木马家族,该木马使用NSA武器的永恒之蓝、永恒浪漫、永恒冠军、双脉冲星4个工具进行攻击传播。攻击者可完全控制中毒电脑,窃取企业机密信息,并利用中毒电脑资源运行门罗币挖矿程序,该病毒还同时具有劫持其他挖矿木马工作成果的能力。腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。攻击者利用漏洞攻陷目标机器后,playload从位于某云服务器下载Windowsd.exe(攻击模块)、work.exe(远程控制模块)、mm.exe(门罗币挖矿模块,32位系统下载的是XMR-NOSSL-x86.exe)到C:programdata目录下,以子进程方式运行。由于此次的木马特点为使用NS
发布时间:2019-05-30 12:25 | 阅读:41958 | 评论:0 | 标签:加密货币 永恒之蓝

Razy恶意软件攻击浏览器扩展,窃取加密货币

Kaspersky研究人员在2018年发现一个在受害者计算机中安装恶意浏览器扩展或感染已安装的扩展的恶意软件。恶意软件可以关闭已安装的扩展的完整性检查,并为目标浏览器自动更新。Kaspersky安全产品检测到该恶意软件为Razy,通过恶意广告拦截模块进行传播,并伪装成合法软件在免费文件主机服务上进行分发。Razy的目的有很多,主要是与窃取加密货币相关。其主要工具是main.js脚本,可以:· 搜索网站上的加密货币钱包的地址,并将其替换为攻击者的钱包地址;· 伪造指向钱包的二维码图片;· 修改加密货币交易页面;· 欺骗Google和Yandex搜索结构。感染Razy木马工作在Google C
发布时间:2019-01-31 12:20 | 阅读:100732 | 评论:0 | 标签:Web安全 加密货币 加密

看!研究人员演示如何攻破加密货币硬件钱包的安全防线

最近,一组安全研究人员为我们展示了某些加密货币硬件钱包的安全性是何等的脆弱。其中,这些专家针对Trezor One、Ledger Nano S和Ledger Blue进行了供应链攻击和侧信道攻击方面的安全测试,发现其中存在芯片和固件级的安全漏洞。实际上,这项研究工作是Dmitry Nedospasov、Thomas Roth和AD Josh Datko于今年6月着手进行的,最终,他们找到了多种可以突破目标加密货币钱包的安全防线的攻击方法。上周四,他们在Chaos Communication Congress大会上,展示了相关的攻击手法,例如在这些设备到达最终用户手中之前对其进行篡改,或直接用“赝品”替换它们。真的是原包
发布时间:2019-01-04 17:21 | 阅读:78740 | 评论:0 | 标签:漏洞 加密货币 加密

2018加密货币安全大事记

从加密货币交易遭黑客攻击的次数,到被盗资产的数量,再到有史以来最大的一次交易遭黑客攻击,加密技术创造了许多记录。2018加密货币垃圾邮件、网络攻击等事件层出不穷,下面分月列出相关事件。1月· BlackWallet.co是一款基于Web的Stellar Lumen币(XLM)钱包应用。一个或多个未知的黑客攻击BlackWallet并劫持了其DNS服务器,并其用户账户中窃取了超过40万美金。· 开发商 Arnau 发布了一个名为 CoffeeMiner 的PoC项目,证明攻击者可以在未经用户同一的情况下利用连接到公共 Wi-Fi 网络的设备进行加密货币挖矿活动。· 日本最大的加密货币交易所C
发布时间:2019-01-03 12:20 | 阅读:77743 | 评论:0 | 标签:观察 加密货币 加密

利用Drupal远程代码执行漏洞(CVE-2018-7600)挖矿技术分析

阅读: 51Drupal站点再一次被利用,这次是为了挖掘加密货币。据安全公司Imperva Incapsula的研究人员称,这个被称为“Kitty”加密货币挖矿恶意软件的恶意脚本利用Drupal中已知的严重远程代码执行漏洞(CVE-2018-7600)不仅针对服务器,还针对浏览器。相关阅读:【漏洞分析】CVE-2018-7600 Drupal 7.x 版本代码执行【漏洞分析】Drupal远程代码执行漏洞(CVE-2018-7600)分析攻击原理在服务器上,攻击者安装一个挖矿程序 – “kkworker” – 挖掘xmrig(XMR)Monero加密货币。但攻击者也正在寻找使用名为me0w.js的挖掘脚本来扩展他们对web应用程序访问者的挖掘工作。他们通过将恶意JavasSript(me0
发布时间:2018-05-09 15:05 | 阅读:146054 | 评论:0 | 标签:安全分享 CVE-2018-7600 drupal漏洞 加密货币 加密货币挖矿 挖矿 漏洞

如何利用GitHub进行信息窃取?(part 2:加密货币矿工和信用卡信息窃取)

阅读: 7几天前, 我们报告了 被攻击的Magento 网站利用伪装的 Flash 更新来植入信息窃取恶意软件。在本篇文章中, 我们将揭示一种攻击,其和最近非常热门的话题相关——加密货币和挖矿。文章目录信息窃取分析网站分析开始相关感染Magento 恶意软件中的常见功能恶意链接中的路径模式默认Apache2 Debian页面api2.checkingsite.siteCryptojacking 360º这不是新的战役在 Magento 中查找恶意软件信息窃取分析我们发现的恶意软件二进制文件中挤满了 Themida, 因此文件分析没有提供很多有用的信息。快速活动分析显示为典型的信息窃取行为。最初的猜测是: 它是一个 Lokibot。上周阅读了我们的帖子后, 恶意软件研究员 Paul Burbage识别出了一个与
发布时间:2018-03-22 20:05 | 阅读:201182 | 评论:0 | 标签:安全分享 GitHub magento 信息窃取 加密货币 恶意软件 矿工 加密

十年遭劫12亿美元:黑客盗走14%的加密货币

虽然为计算机安全公司创造了新的盈利市场,数字货币及跟踪这些货币的软件却也成为了网络罪犯眼中诱人的目标。独立咨询公司 Autonomous Research 全球金融科技战略总监雷克斯·索科林称,不到10年的时间里,黑客就已盗取了价值12亿美元的比特币和以太币。鉴于2017年末加密货币的一波猛涨,这笔钱的价值如今已比此数字高出太多。加密货币黑产似乎是个岁入2亿美元的暴利行业。黑客已攫取了14%的比特币和以太币供应。市场研究与分析公司 WinterGreen Research 首席执行官苏珊·尤斯提斯则称,涉及加密货币的黑客活动通过加密货币买卖和非法交易的方式,已致政府和公司企业损失了总额高达113亿美元的潜在税收和收益。所谓的区块链生态系统,也就是跟踪记录加密货币交易的去中心化分布式账本,同样会被黑。随着越来越多
发布时间:2018-01-26 11:15 | 阅读:217456 | 评论:0 | 标签:牛闻牛评 加密货币 区块链 安全漏洞 黑客 加密

看我如何利用OSINT技术黑掉加密货币挖矿工具

在实施攻击之前,公开资源情报计划(OSINT)是我们收集信息的首选技术。在此之前,也有很多使用OSINT实现攻击的事例。随着物联网设备的不断发展,我们现在可以在公共网站中收集到大量的关键数据了。那么在这篇文章中,我们将会跟大家介绍如何收集与加密货币挖矿工具(比特币–Antminer和以太坊–Claymore)有关的关键数据。 很多加密货币挖矿工具以及软件都需要通过网络来发送或接收数据。因此,这也给攻击者提供了可乘之机。 针对Antminer的网络侦察 目前最受欢迎的比特币ASIC矿机当属AntminerS9/S7了,矿机的硬件使用的是“lighttpd/1.4.32” Web服务器,而这类服务器中某些还拥有开放的SSH端口,本文所介绍的漏洞利用技术针对的是“Lighttpd 1.4.3
发布时间:2017-11-26 11:30 | 阅读:133213 | 评论:0 | 标签:系统安全 OSINT 加密货币 加密

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云