记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华内网公网全覆盖、Win/Linux两开花:深入分析Satan勒索软件的传播技术
一、概述Satan勒索软件自2017年初首次出现,从那时起,威胁行为者不断改进恶意软件,以更加有效地感染受害者,并最大化其利润。例如,FortiGuard实验室发现了一项恶意活动,该恶意活动还利用加密货币恶意软件作为额外的Payload,以最大限度地从受害者身上获取利润。这个文件加密恶意软件,除了同时支持Linux和Windows平台之外,还利用众多漏洞,通过公开和外部网络进行传播。实际上,FortiGuard实验室已经发现了一个新的变种,它所利用的特定漏洞数量再次有所增加。本文详细描述Satan恶意软件如何从内部网络和外部网络中找到新的目标。二、新型漏洞利用该恶意软件的初始传播工具,Windows上的conn.exe
利用反病毒软件开展恶意活动:Dharma勒索软件分析
概述Dharma勒索软件自2016年以来一直存在,该勒索软件持续瞄准全世界范围内的用户和组织,并已经成功实现了大量感染。在2018年11月,勒索软件感染了位于德克萨斯的一家医院,对医院主机中大量存储的记录进行加密,该事件也随即成为一起知名的勒索病毒攻击事件。但幸运的是,医院没有支付赎金,并且成功恢复了所有被破坏的数据。Trend Micro近期使用一种新型技术,发现了新的Dharma勒索软件样本。该样本使用软件安装来分散用户的注意力,从而帮助隐藏恶意活动。Dharma勒索软件攻击者滥用反病毒工具我们对Dharma勒索软件的新样本进行了分析,分析显示,该恶意软件仍然通过恶意邮件实现分发。具体而言,他们使用的是典型的恶意邮
警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种
背景概述近日,深信服安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵服务器,上传Downloader脚本文件,连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联,该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。经深信服安全团队分析,该勒索病毒在功能代码结构上与“侠盗”病毒GandCrab非常相似,同时应用了多种反调试和混淆方式,进行调试时会导致主机蓝屏,且似乎还处于不断调试的阶段,与“侠盗”团队有很大关联,确认是GandCrab勒索病毒最新变种。该勒索病毒使用RSA+A
谨防“神秘人”勒索病毒X_Mister偷袭
一、样本简介近期,国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒,此勒索病毒的某些行为与Globelmposter类似,因联系邮箱中带有x_mister而被命名为X_Mister勒索病毒,该勒索病毒使用RSA+DES算法加密文件,自身不具备横向感染功能,通常由攻击者对目标进行RDP爆破后手动投放,或通过垃圾邮件传播,且加密完成后会进行自删除。深信服安全团队第一时间获取到相应的样本,并对样本进行了详细分析。二、勒索病毒特征1.勒索信息文本文件HOW TO BACK YOUR FILES.txt,如下所示:2.加密后的文件名,[原文件名]+[Mr-X666],如下所示:三、详细分析1. 获取
Stop勒索病毒变种加密机制分析,部分情况下可解密恢复
一、概述近日,腾讯御见威胁情报中心监测到,stop勒索病毒变种(后缀.raldug)在国内有部分感染。分析发现,该版本病毒相比较于18年11月份开始活跃的DATAWAIT版本,在加密算法和病毒模块有了变化,由于该版本的stop勒索病毒在其基础设施工作正常、联网稳定情况下加密后的文件暂无法解密,我们提醒各政企机构注意防范。Stop勒索病毒家族在国内主要通过软件捆绑,垃圾邮件等方式进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档,勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免。Stop勒索病毒还具有以下特性:1. 加密时,禁用任务管
手把手教你解密Planetary勒索病毒
一、 背景概述近日,国外安全研究人员曝光了一种名为Planetary的勒索病毒家族,该勒索病毒家族最早于2018年12月被发现,使用AES-256加密算法加密文件,通常通过RDP爆破或垃圾邮件进行传播,重点攻击对象是使用英语的用户群体,但在中国和日本地区都发现了遭到攻击的用户。该勒索软件家族在2019年进行过几次变种,加密后缀变化如下:2019年4月,EMSISOFT发布出Planetary勒索病毒的解密工具,该工具可以针对".mira", ".yum", ".Neptune", ".Pluto"后缀的变种进行解密。深
警惕!GandCrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击
一、事件概述近日,深信服安全团队接到包括金融行业在内的多家企业反馈,其内部员工收到可疑邮件。邮件发件人显示为“National Tax Service”(译为“国家税务局”),邮箱地址为[email protected],意图伪装成美国政府专用的邮箱地址gov.us,邮件内容是传讯收件人作为被告审讯,详细内容在附件文档中:附件压缩包中包含两个文件,看起来像是跟案件有关的文档文件,后缀为“.docx”。看到这两个文档,想必此时“深陷官司”的收件人一定想点开来一看究竟,却不知这样正好落入不法分子的圈套:当设置取消“隐藏已知文件类型的扩展名”后,两个伪装成文档的文件露出了它的真面目,它们其实是两个exe文件。这两个
勒索攻击猖獗,在云上如何应对这位“破坏分子”?
借助比特币等数字货币的匿名性,勒索攻击在近年来快速兴起,给企业和个人带来了严重的威胁。阿里云安全中心发现,近期云上勒索攻击事件持续发生,勒索攻击正逐渐成为主流的黑客变现方式。一、近期勒索行为数据分析1.云主机被勒索事件上涨阿里云安全中心发现,近期被勒索病毒攻击成功的受害主机数持续上涨。造成勒索事件上涨趋势的原因主要有以下三个方面:· 越来越多的勒索病毒集成了丰富的攻击模块,不再只是传统地爆破弱口令,而是具备了自传播、跨平台和蠕虫的功能,如Lucky、Satan勒索病毒等。· 云环境租户业务的多样性,不断出现的业务场景日趋复杂,使得用户展示给黑客的基础攻击面不断放大,持续面临漏洞的威胁。· 企业安全意
tater勒索病毒分析
一、行为概述近日,深信服安全团队收到客户反馈,其服务器遭到勒索病毒攻击,所有文件数据被加密,加密后缀名为“.tater”。此次攻击的为一种新型的勒索病毒,除了豁免少数几个系统文件夹以外,其会对其他目录的所有后缀的文件进行无差别加密,同时该病毒还加了一层VB程序外壳进行伪装。由于加密算法采用了RSA+AES的方式,暂时无法解密。 二、入侵分析文件加密时间为2019/3/26 6:43左右:排查日志发现,服务器在2019/3/26 6:39:21被远程登录过,登录IP为一个内网IP地址:黑客登陆后放入进程管理工具Process Hacker用来结束系统中的安全软件,然后放入病毒到[email prote
识别使用随机后缀的勒索病毒Golden Axe
背景概述国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒,Golden Axe是一款用go语言编写的勒索病毒,使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。国外安全研究员在曝光Golden Axe勒索病毒时提到,该勒索病毒加密后缀为.UIK1J,但经过深信服安全团队对捕获样本的详细分析,该勒索软件实际上是加密后修改文件后缀为五位随机字符,每一次加密后生成的文件后缀都不相同;尽管不能通过加密后缀来识别该勒索病毒,但Golden Axe勒索病毒的勒索信息文件却具有很高的辨识度,命名为#instructions-ID#.txt/vbs/jpg。勒索特征1.加密后修改文件后缀为五位随机字
集后门、挖矿机和勒索软件的攻击活动分析
研究人员收到一封邮件,其中有一个链接,点击后就下载了一个pik.zip文件。该zip文件的名字很给奇怪руппа Компаний ПИК подробности заказа,翻译过来就是PIK Group of Companies order details(PIK公司订单详情)。也就是说是伪造的PIK公司的文件,PIK是俄罗斯的一家房地产公司,有超过14000名员工。研究人员分析脚本发现,该脚本使用多种混淆技术进行混淆。在Stage 0阶段有2个主要的混淆流:· 第一个是引入了伪造了静态fork,比如if和cases;· 第二个是从动态构建或分成多个关联步骤的嵌套字符串中动态构建函数区块。Javascr
伪造浏览器更新推送的勒索软件和银行木马攻击活动分析
概述最近,我们发现了一个恶意广告软件注入脚本,该脚本可以将伪造的浏览器更新提示推送给网站访问者。下面是典型的伪造更新请求的示例,黑客在网站上伪造了Firefox的更新中心消息并显示:用户将会看到一个消息框,指出这是用户浏览器所对应的“更新中心”。我使用的是Firefox,但同时还有Chrome、Internet Explorer和Edge浏览器对应的提示消息框。在该消息中显示:“由于浏览器使用了过期版本,导致发生验证错误。需要用户尽快更新浏览器”。为了加强“严重错误”的这一误导,恶意软件还会在后台显示出一些乱码的文本内容。恶意软件提示下载并安装更新,以避免“丢失个人数据和存储的数据,发生机密信息泄露和浏览器错误”。该下
注入型勒索病毒Ryuk,伸向x64系统的魔爪
一、背景介绍Ryuk是一款通过垃圾邮件和漏洞利用工具包传播的勒索病毒,最早在2018年8月由国外某安全公司报道,其代码结构与HERMES勒索病毒十分相似;早前,深信服安全团队针对32位的Ryuk勒索病毒进行了详细的技术分析,并密切关注该勒索家族的发展动向,对捕获的针对64位系统版本的Ryuk勒索病毒进行了详细的技术分析。二、信息概述1.勒索病毒的运行流程如图:2.勒索信息如图:3.加密后文件如图:三、详细分析1. 获取系统版本进行判断:2. 线程功能-终止xchange相关进程:3. 线程功能-查找spooler相关服务进行删除:4. 提升进程权限:5. 获取进程的登录用户信息:6. 查找"csrss.exe
Jaff勒索软件分析
Jaff勒索软件最初于2017年春季出现,但它在很大程度上被忽视了,因为当时WannaCry是全球新闻机构的头条。从那时起,Jaff勒索软件潜伏在黑暗中,感染全世界的机器。在FortiGuard Labs这篇分析文章中,我们将研究该恶意软件使用的一些常见技术,以及作为勒索软件它是如何感染的。一、入口点与许多勒索软件一样,Jaff勒索软件通常作为pdf附件发送。打开附件后,它会显示一行文档以及一条弹出消息,询问是否要打开嵌入式文件(参见图1)。图1如果选择打开文件,有趣的事情就开始了。之后,它会启动一个嵌入式文档,其中包含有关如何从文档中移除宏保护的说明(参见图2)。文档顶部的黄色条带包含“启用内容”按钮,可以执行文档中
传播GandCrab和Ursnif的攻击活动分析
概要Carbon Black ThreatSight团队研究人员发现一起攻击活动,如果攻击成功,可以同时感染Ursnif恶意软件和GandCrab勒索软件。整个攻击活动使用多种不同的方法,其中包括红队、大量网络犯罪分子常用的技术。攻击活动最开始通过含有word附件的钓鱼邮件,word附件中嵌入了宏文件,研究人员一共发现了180个变种。宏可以调用编码的PowerShell脚本,然后使用一系列技术来下载和执行Ursnif和GandCrab变种。整个攻击活动的攻击链如图1所示:图1: 攻击概览技术分析承载文件攻击活动中攻击者用.doc格式的word文档进行初始阶段传递。研究人员一共发现大约180个word变种,这些文档最大的
新的LockerGoga勒索软件用于Altran攻击
黑客利用恶意软件感染了Altran Technologies的系统,并通过公司网络传播,影响了一些欧洲国家的运营。为了保护客户数据和自己的资产,Altran决定关闭其网络和应用程序。这次攻击发生在1月24日,但法国工程咨询公司昨天才公布了一份公开声明,并将细节保持在最低限度,声称第三方技术专家和数字取证专家正在审理此案。为了保护我们的客户,员工和合作伙伴,我们立即关闭了我们的IT网络和所有应用程序。客户和数据的安全性始终是我们的首要任务。我们已经动员了全球领先的第三方技术专家和取证专家,我们与他们一起进行的调查没有发现任何被盗取的数据,也没有发现此事件传播给客户。一、Altran遭遇了新的LockerGoga勒索软件A
公告
关注公众号hackdig,学习最新黑客技术