记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华集后门、挖矿机和勒索软件的攻击活动分析
研究人员收到一封邮件,其中有一个链接,点击后就下载了一个pik.zip文件。该zip文件的名字很给奇怪руппа Компаний ПИК подробности заказа,翻译过来就是PIK Group of Companies order details(PIK公司订单详情)。也就是说是伪造的PIK公司的文件,PIK是俄罗斯的一家房地产公司,有超过14000名员工。研究人员分析脚本发现,该脚本使用多种混淆技术进行混淆。在Stage 0阶段有2个主要的混淆流:· 第一个是引入了伪造了静态fork,比如if和cases;· 第二个是从动态构建或分成多个关联步骤的嵌套字符串中动态构建函数区块。Javascr
SLUB后门使用Slack等进行通信
研究人员近期发现一个非常有意思的恶意软件。首先,该恶意软件通过水坑攻击进行传播,水坑攻击是指攻击者进入入侵用户要访问的网站,并加入恶意代码,然后用户访问该网站时就会被重定向到受感染的代码。在该攻击活动中,每个访问用户只会重定向一次。感染过程利用了CVE-2018-8174漏洞,该漏洞是VB脚本引擎漏洞,微软已于2018年5月修复了该漏洞。究人员发现很多AV产品仍然无法成功检测该后门。最后,研究人员还发现该恶意软件会连接到Slack平台。Slack是一款与IRC其次,该恶意软件使用多阶段感染的方案。在利用了漏洞之后,会下载一个DLL并在PowerShell中运行。该文件实际上是一个下载器,会下载和执行含有后门的可执行文件
我是如何通过分析后门JXplorer样本发现其背后的恶意组织
一、概述最近,我在使用VirusTotal Intelligence进行一些动态行为查询时,偶然发现了这个奇怪的PE二进制文件(MD5:7fce12d2cc785f7066f86314836c95ec)。该文件声称是JXplorer 3.3.1.2的安装程序,根据其官网提供的信息,JXplorer是一个基于Java的跨平台LDAP浏览器和编辑器。为什么我会说它非常奇怪呢?因为一个流行的LDAP浏览器,其安装程序应该不会创建计划任务,从而从免费动态DnS提供商托管的子域名下载和执行PowerShell代码:我一开始,本来打算写一篇简短的文章,并专注于分析这个可疑的JXplorer二进制文件。然而,在我分析的过程中才发现,
新的SLUB后门通过Slack进行通信
趋势科技研究人员最近发现了一个新的恶意软件并对其非常感兴趣。首先,研究人员发现它是通过水坑攻击传播的,这种攻击方法要求攻击者在添加代码之前感染网站,访问者会被重定向到感染代码。在这种情况下,每个访问者只被重定向一次。感染是利用CVE-2018-8174完成的,CVE-2018-8174是一个VBScript引擎漏洞, Microsoft在2018年5月修补了该漏洞。
其次,它使用多阶段感染方案。在利用上述漏洞后,它会下载DLL并在PowerShell(PS)中运行它。然后下载并运行包含后门的第二个可执行文件。在第一阶段,下载程序还会检查是否存在不同类型的防病毒软件,然后有则不再运行。被发现时,防病毒软件并未检测出该后门。
除此之外,研究人员还发现恶意软件连接到了Slack平台,Slack平台是一个协作消息系统,
该来的始终要来——WinRAR ACE漏洞被用来安装后门
研究人员近日发现一起传播恶意RAR的垃圾邮件活动,其中恶意的RAR文件就利用了新发现的WinRAR ACE漏洞来安装恶意软件。上周,Checkpoint在博客中介绍了WinRAR UNACEV2.DLL库中潜藏了19年的漏洞,允许伪造的ACE文件在提取文件时可以提取到Windows开始菜单中。这样恶意可执行文件就获得了驻留,当用户再次登陆到Windows中后会自动启动。为了修复该漏洞,WinRAR开发者直接移除了UNACEV2.DLL和ACE文件类型支持。但有超过5亿用户已经安装了WinRAR,恶意软件也会利用这些已经安装而未升级的版本进行发起攻击。360威胁情报中心发推文称发现了一个分发恶意RAR文件的邮件,该文件提
朝鲜APT组织Lazarus使用KEYMARBLE后门攻击俄罗斯
一、简介在过去的几周里,我们一直在监控针对俄罗斯公司的可疑活动,我们观察到朝鲜对俄罗斯实体开展的一次攻击,这个活动暴露了我们之前从未见过的捕食者-猎物关系。虽然将攻击归因于某个威胁组织或其他组织是有问题的,但下面的分析揭示了其与朝鲜APT组织Lazarus使用的战术、技术和工具的内在联系。这一发现来自我们正在跟踪的为俄罗斯受害者专门设计和制作的多个恶意Office文档。通过仔细检查这些文档,我们能够看出它们属于感染链的早期阶段,此感染链的终端是一个多功能Lazarus后门的更新版本,被US-CERT称为KEYMARBLE 。Lazarus有时也被称为Hidden Cobra,是当今世界上最流行和最活跃的APT
Fake Jobs:你收到的offer可能含有恶意后门
概览自2018年中开始,Proofpoint追踪到一起滥用合法消息服务、发放伪造的工作offer、最终通过邮件来传播More_eggs后门的攻击活动——Fake Jobs。这些活动主要攻击位于美国的公司,涵盖零售业、娱乐业以及其他在线支付的工作行业。攻击活动尝试通过滥用领英的私信(直接消息)服务建立与潜在受害者的关系。然后通过邮件,攻击者假装是某公司的职员为受害者发送工作offer。在许多案例中,攻击者为了支持攻击活动还伪造了网站。而恶意payload就在这些网站上。在其他的案例中,攻击者使用一系列恶意附件来传播More_eggs。传播研究人员在调查过程中还发现这些攻击活动的变种,但是大多数都有一些相同的特征。首先攻击
针对APT28 Zebrocy Delphi加载器后门最新变种的分析(V6.02到V7.00)
一、摘要APT28,也称为Sofacy、Fancy Bear、STRONTIUM、Pawn Storm和Sednit,在2018年持续针对各国政府和政治实体开展攻击,并且活动非常活跃。在我们深入研究最新的Zebrocy样本之前,我强烈推荐首先阅读ESET的文章《Sednit: What's going on with Zebrocy?》以及Ralo Alto Unit 42的文章《Dear Joohn: The Sofacy Group’s Global Campaign》。Zebrocy Delphi变种本质上是收集受害者信息的加载器和后门。部分变种会经过UPX加壳,并将它们的配置数据存储在“TForm1”
如何检测并清除WMI持久化后门
概述WMI(Windows Management Instrumentation)事件订阅(Event Subscription)是一种非常流行的终端持久化技术。我们针对Empire的WMI模块( https://github.com/EmpireProject/Empire )进行了尝试,并对其模块进行分析,同时还汇总了可用于查看和删除WMI事件订阅的PowerShell命令。本文将主要阐述如何检测WMI持久化后门并进行移除。“WMI事件订阅”在MITRE ATT&CK技术中的编号为T1084,详情请参见: https://attack.mitre.org/wiki/Technique/T1084 。攻击者可
Drupal web服务器从脏牛到持续后门
本文,我们将讲解一种简短有效而且十分严重的攻击,攻击对象是基于Linux的系统。在这次攻击中,攻击者使用了一系列的漏洞,包括臭名昭著的Drupalgeddon2和脏牛漏洞,还有系统配置错误,对存在漏洞的drupal web服务器进行持久化的攻击,并最终控制用户主机。在以前,对web服务器的远程代码执行(RCE)攻击通常都是一次性的安全事件——攻击者运行恶意代码,服务器执行代码,这样就完了。如果管理员检测到进程并且终止了进程,或者重启了web服务器,这样的攻击也就结束了。而现在,越来越多的攻击者开始进行持续性攻击。持续性意味着如果攻击进程被终止或者服务器重启之后,他们有方法非常轻易的就重新感染web服务器,或者是执行额外
土耳其出现与MuddyWater Tools非常相似的PowerShell后门
MuddyWater是一个著名的威胁攻击组织,自2017年以来一直很活跃。其目标为中东和中亚地区,主要使用带有恶意附件的鱼叉式网络钓鱼电子邮件。最近,他们与3月份针对土耳其、巴基斯坦和塔吉克斯坦机构的行动相关。自2017年Malwarebytes率先报道他们对沙特阿拉伯政府进行精心的间谍攻击以来,该组织已经露出真容。在第一份报告之后,其他安全公司对其进行了广泛的分析。通过这一切,我们只看到他们在使用的工具、技术和程序(TTP)方面发生了很微小的变化。但是,最近我们观察到一些类似于已有MuddyWater TTP的传播文档。这些文档名为Raport.doc或Gizli Raport.doc(标题意为土耳其语“报告”或“秘
使用恶意的InPage文档和老旧版本的VLC媒体播放器实施后门攻击
最近,Office 365安全团队发现,有攻击者以特定语言文字(乌尔都语、波斯语、普什图语和阿拉伯语等)的处理软件为目标,进行攻击,该攻击利用了InPage的一个漏洞。由此可见,我们不仅要防范大规模恶意软件活动,还要防范小规模和本地化的攻击。本次恶意活动的75%的目标都位于巴基斯坦,另外也包含一些欧洲和美国的国家,甚至还包含政府机构。攻击目标的地理分布此前,Palo Alto和Kaspersky的研究人员曾分别发表过关于使用恶意InPage文档发动攻击的分析文章。除了他们发布的文章之外,针对这类攻击的公开研究非常有限。本次攻击是Office 365团队在6月发现的,攻击步骤如下:1.攻击者发出带有恶意InPage文档的
黑吃黑:物联网僵尸网络作者在中兴路由器后门上添加了自己的后门
很多脚本小子正在使用武器化的物联网漏洞利用脚本,利用供应商后门帐户攻击中兴路由器。具有讽刺意味的是,这不是脚本中唯一的后门。Scarface,代码的传播者也部署了自定义后门来黑那些使用该脚本的脚本小子。由于IOT(Paras/Nexus/Wicked)中顶级开发者的名字不为人所知,Scarface/Faraday就是脚本小子购买物联网僵尸网络代码以及武器化利用的开发者的总称。虽然Scarface大多具有良好的可信度,但我们观察到他发布了一个带有后门的武器化中兴ZXV10 H108L路由器漏洞利用,它在运行时会感染脚本小子的系统。该漏洞是已知漏洞,在中兴路由器中使用后门帐户进行登录,然后在manager_dev_ping
渗透技巧——Junction Folders和Library Files的后门利用
0x00 前言维基解密公布的CIA Vault 7中涉及到了Windows系统中Junction Folders和Library Files的利用。地址如下:https://wikileaks.org/ciav7p1/cms/page_13763381.html https://wikileaks.org/ciav7p1/cms/page_13763373.htmlJayden Zheng对此做了分析,分享了一个Library Files的后门利用方法,并且详细介绍了如何检测Junction Folders和Library Files的恶意利用。地址如下:https://www.countercept.com
加密货币价格追踪器在macOS中安装后门
研究人员发现macOS系统中一个伪装为加密货币ticker(股票价格收报机)的木马CoinTicker正在用户设备上安装后门。成功安装后,CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏,以实时更新当前价格,如下图所示。CoinTicker木马应用CoinTicker应用在后台会秘密下载两个后门,这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir,在木马执行时会连接到远程主机,并下载大量的shell和python脚本,python和shell脚本的执行会下载和安装这两个后门。Malwarebyte分析师称:恶意
后门使用粘贴网址来保存payload
网站后门后门是攻击者故意留下用于之后访问站点的恶意软件。黑客喜欢在不同的位置注入代码来增加保持对网站控制权的机会,这样就可以继续感染受害者网站了。今年都在讨论解码含有PHP函数的复杂恶意软件的新方法。常见的PHP函数有:· eval, 把一段字符串当作PHP语句来执行· create_function, 主要用来创建匿名函数· preg_replace, 正则查找替换函数· assert, 断言函数· base64_decode.根据最新的网站被黑报告,过去的一年:· 被黑的网站中有71%隐藏有基于PHP的后门。· 这些后门的有效性来源于大多数网站扫描技术的绕
公告
关注公众号hackdig,学习最新黑客技术