记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华集后门、挖矿机和勒索软件的攻击活动分析
研究人员收到一封邮件,其中有一个链接,点击后就下载了一个pik.zip文件。该zip文件的名字很给奇怪руппа Компаний ПИК подробности заказа,翻译过来就是PIK Group of Companies order details(PIK公司订单详情)。也就是说是伪造的PIK公司的文件,PIK是俄罗斯的一家房地产公司,有超过14000名员工。研究人员分析脚本发现,该脚本使用多种混淆技术进行混淆。在Stage 0阶段有2个主要的混淆流:· 第一个是引入了伪造了静态fork,比如if和cases;· 第二个是从动态构建或分成多个关联步骤的嵌套字符串中动态构建函数区块。Javascr
伪造浏览器更新推送的勒索软件和银行木马攻击活动分析
概述最近,我们发现了一个恶意广告软件注入脚本,该脚本可以将伪造的浏览器更新提示推送给网站访问者。下面是典型的伪造更新请求的示例,黑客在网站上伪造了Firefox的更新中心消息并显示:用户将会看到一个消息框,指出这是用户浏览器所对应的“更新中心”。我使用的是Firefox,但同时还有Chrome、Internet Explorer和Edge浏览器对应的提示消息框。在该消息中显示:“由于浏览器使用了过期版本,导致发生验证错误。需要用户尽快更新浏览器”。为了加强“严重错误”的这一误导,恶意软件还会在后台显示出一些乱码的文本内容。恶意软件提示下载并安装更新,以避免“丢失个人数据和存储的数据,发生机密信息泄露和浏览器错误”。该下
注入型勒索病毒Ryuk,伸向x64系统的魔爪
一、背景介绍Ryuk是一款通过垃圾邮件和漏洞利用工具包传播的勒索病毒,最早在2018年8月由国外某安全公司报道,其代码结构与HERMES勒索病毒十分相似;早前,深信服安全团队针对32位的Ryuk勒索病毒进行了详细的技术分析,并密切关注该勒索家族的发展动向,对捕获的针对64位系统版本的Ryuk勒索病毒进行了详细的技术分析。二、信息概述1.勒索病毒的运行流程如图:2.勒索信息如图:3.加密后文件如图:三、详细分析1. 获取系统版本进行判断:2. 线程功能-终止xchange相关进程:3. 线程功能-查找spooler相关服务进行删除:4. 提升进程权限:5. 获取进程的登录用户信息:6. 查找"csrss.exe
Jaff勒索软件分析
Jaff勒索软件最初于2017年春季出现,但它在很大程度上被忽视了,因为当时WannaCry是全球新闻机构的头条。从那时起,Jaff勒索软件潜伏在黑暗中,感染全世界的机器。在FortiGuard Labs这篇分析文章中,我们将研究该恶意软件使用的一些常见技术,以及作为勒索软件它是如何感染的。一、入口点与许多勒索软件一样,Jaff勒索软件通常作为pdf附件发送。打开附件后,它会显示一行文档以及一条弹出消息,询问是否要打开嵌入式文件(参见图1)。图1如果选择打开文件,有趣的事情就开始了。之后,它会启动一个嵌入式文档,其中包含有关如何从文档中移除宏保护的说明(参见图2)。文档顶部的黄色条带包含“启用内容”按钮,可以执行文档中
传播GandCrab和Ursnif的攻击活动分析
概要Carbon Black ThreatSight团队研究人员发现一起攻击活动,如果攻击成功,可以同时感染Ursnif恶意软件和GandCrab勒索软件。整个攻击活动使用多种不同的方法,其中包括红队、大量网络犯罪分子常用的技术。攻击活动最开始通过含有word附件的钓鱼邮件,word附件中嵌入了宏文件,研究人员一共发现了180个变种。宏可以调用编码的PowerShell脚本,然后使用一系列技术来下载和执行Ursnif和GandCrab变种。整个攻击活动的攻击链如图1所示:图1: 攻击概览技术分析承载文件攻击活动中攻击者用.doc格式的word文档进行初始阶段传递。研究人员一共发现大约180个word变种,这些文档最大的
新的LockerGoga勒索软件用于Altran攻击
黑客利用恶意软件感染了Altran Technologies的系统,并通过公司网络传播,影响了一些欧洲国家的运营。为了保护客户数据和自己的资产,Altran决定关闭其网络和应用程序。这次攻击发生在1月24日,但法国工程咨询公司昨天才公布了一份公开声明,并将细节保持在最低限度,声称第三方技术专家和数字取证专家正在审理此案。为了保护我们的客户,员工和合作伙伴,我们立即关闭了我们的IT网络和所有应用程序。客户和数据的安全性始终是我们的首要任务。我们已经动员了全球领先的第三方技术专家和取证专家,我们与他们一起进行的调查没有发现任何被盗取的数据,也没有发现此事件传播给客户。一、Altran遭遇了新的LockerGoga勒索软件A
anatova勒索软件来袭
在不断寻找新威胁期间,我们发现了一个新的勒索软件系列,称之为Anatova(基于赎金条的名称)。Anatova是在一个私有的点对点(p2p)网络中被发现的。经过初步分析,为确保我们的客户受到保护,我们决定将此发现公之于众。尽管Anatova相对较新,但我们已在全球范围内发现都检测到我们认为Anatova可能成为一个严重的威胁,因为它的代码是为模块化扩展做准备的。此外,它还将检查网络共享是否已连接,并将加密这些共享上的文件。根据我们的评估,Anatova背后的开发人员/攻击者是熟练的恶意软件作者。我们得出这个结论,是因为每个样本都有自己独特的密钥,以及我们在勒索软件系列中经常看不到一些功能。本文将解释Anatova的技术
GandCrab最新样本分析
研究人员之前已经对GandCrab及其变种进行了分析。近期,研究人员又发现新的GandCrab样本协木马恶意软件出现。最新的GandCrab样本并不依赖PowerShell进行加密。在该变种中,PowerShell主要用于传播第一阶段恶意软件到终端用户。除此之外,恶意软件的操作通过多个进程进行传播。 图1: 攻击概览GandCrab是一个高级的攻击活动,提供给技术实力一般的一些威胁单元让他们可以自己发起勒索软件活动。图2: Sand Blast Agent Forensics报告的攻击鸟瞰图 以PowerShell作为入口点根据SandBlast Agent提供的取证报告,发现攻击是用命
Ryuk勒索软件完全报告
虽然圣诞节前夕全家在一起聚餐很快乐,但还是有很多企业在此期间陷入了困境。没有任何防备,对于Tribune出版社和Data Resolution的人来说,一场悄无声息的攻击正在通过他们的网络慢慢传播——加密数据和终止操作。而这次攻击来自一个相当新的名为Ryuk的勒索软件家族。Ryuk于2018年8月首次亮相,与我们分析的许多其他勒索软件家族不同,不是因为功能,而是它感染系统的方式很新颖。让我们来看看这个难以捉摸的新威胁。什么是Ryuk?是什么让它与其他勒索软件攻击不同?企业如何在未来阻止它以及类似威胁?一、何为Ryuk?Ryuk首次出现于2018年8月(August 2018),虽然在全球范围内并不是非常活跃,但至少有三
FilesLocker2.1圣诞特别版勒索病毒与早期版本解密工具
近日,深信服EDR安全团队跟踪到多个客户感染了FilesLocker勒索病毒,其中最新版本的已更新到了FilesLocker2.1,这是一个专门为了庆祝圣诞节而设计命名的版本,中招客户除了系统被加密破坏之外,还有来自勒索作者的节日问候。FilesLocker是一款代理型勒索软件,勒索病毒制造者只负责制作勒索病毒本身,传播方式通过招中间代理的方式来实现,故传播方式多种多样。其中,最新版本的FilesLocker2.1版本最后会在桌面生成中英文的勒索信息提示文件,并弹出勒索窗口。并且还会从https://i.loli.net/2018/12/31/5c29eac523516.bmp 下载一张图片设置为桌面壁纸,画面颇为欢乐
发布时间:2019-01-07 12:20 |
阅读:34122 | 评论:0 |
标签:勒索软件
JungleSec勒索软件通过IPMI远程控制台感染受害者
自11月初以来,名为JungleSec的勒索软件通过不安全的IPMI(智能平台管理接口)卡感染受害者。在11月初的报道中,受害者使用的操作系统有Windows、Linux和Mac,但报道并未透露具体感染过程。自那以后,BleepingComputer已与多个受害者联系,他们的Linux服务器均感染了JungleSec勒索软件。根据反馈,这些服务器均通过不安全的IPMI设备感染。IPMI是内置于服务器主板中的管理接口(或作为附加卡安装),允许管理员远程管理计算机、打开和关闭计算机电源、获取系统信息以及访问提供远程控制台访问权限的KVM。这对于管理服务器非常有用,尤其是在租用其他公司服务器时。但是,如果未正确配置IPMI接
揭秘勒索界海王如何横扫中国
一、谁是勒索界当之无愧的海王?2018年是一个勒索病毒高发的年度,可谓百(can)花(bu)争(ren)艳(du),勒索家族变种、传播方式层出不穷,所谓你方唱罢我登台,直接把CHINA当作了屠宰场,年初宰到了年尾,明年估计形势会更不乐观。但大家是否会好奇,勒索病毒这么多,到底哪一家“强”呢?深信服EDR安全团队,综合了2018年一整年的数据(感染案例,实际数据会更多),得出这位最终的勒索届年度海王为:GandCrab勒索病毒,中文外号咸水国巨蟹。下图,是这只巨蟹横行过的区域,包括新疆、广东、安徽、青海、江西、福建、浙江、山西、吉林、贵州、天津、北京、上海、河北、山东、辽宁、江苏、四川等,基本覆盖大半个中国,以东部沿海最
GhostPetya骷髅头勒索病毒袭卷半导体行业
近日,国内半导体行业爆发勒索病毒,造成业务大面积瘫痪,深信服安全团队率先接到情报并进行处置,发现其攻击手段与早期Petya勒索病毒有相似之处,但又有很大不同,其攻击方式包括控制域控服务器、钓鱼邮件、永恒之蓝漏洞攻击和暴力破解,威力巨大,可在短时间内造成内网大量主机瘫痪并弹出骷髅头!深信服已将其命名为GhostPetya骷髅头勒索病毒,并且制定了完善的防御措施和解决方案。中招主机,其勒索信息如下,黑客索要0.1个比特币赎金。病毒分析1.以读写的模式,打开主机\.PhysicalDrive0、\.PhysicalDrive1、\.PhysicalDrive2、\.PhysicalDrive3、\.I等磁盘,如下所示:2.然
“微信支付”勒索病毒已被破解
一、概述前天(12月1日)突发的"微信支付"勒索病毒,已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具,还原被加密的文件。据火绒安全团队分析,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。此外,该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件, 包括"腾讯游戏、英雄联盟、tmp、rtl、program",而且不会感染使用gif、exe、tmp等扩展名的文件。值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。"火绒安全软件"已紧急升级,可拦截、查杀该病毒。
Oracle数据库勒索病毒自检工具
一、事件背景近日,Oracle数据库勒索病毒又活跃了,其实这并非新病毒,早在2年前,即2016年11月就发现了,深信服一直持续关注此病毒。我们提醒用户,无需过渡恐慌,只要不要乱下载PL/SQL破解版工具就不会中招!不确认是否中招的用户,我们这里率先提供简单!有效!的自检工具,一键运行,无需安装,即可快速判断是否感染了Oracle数据库勒索病毒。话不多说,直接上Oracle勒索病毒自检工具:http://edr.sangfor.com.cn/tool/SfCheckPLSQL.zip中毒截图证明如下:深信服安全团队早在5月28号就接到多起Oracle数据库被勒索的案例,中毒之后数据库显示如下勒索信息:提取到相应的样本之后
发布时间:2018-11-21 12:21 |
阅读:47333 | 评论:0 |
标签:勒索软件
警惕“黑心”勒索病毒再度来袭
一、样本简介BlackHeart(黑心)勒索病毒家族是一款使用NET语言进行编写的勒索病毒,之前深信服EDR安全团队已经报道过它的变种家族样本捆绑知名的远程软件AnyDesk进行传播,此次深信服EDR安全团队发现的是它的一个家族的最新的变种,加密算法仍然使用AES+RSA,加密后的文件无法还原,加密后的文件后缀名为mariacbc。BlackHeart(黑心)勒索病毒也是SF勒索病毒家族成员之一,SF家族的勒索病毒,一共有如下几类:· Spartacus(斯巴达克斯勒索病毒)· Satyr(萨克斯勒索病毒)· BlackRouter(BlackRouter勒索病毒)· BlackHeart
发布时间:2018-11-07 17:20 |
阅读:55100 | 评论:0 |
标签:勒索软件
公告
关注公众号hackdig,学习最新黑客技术