记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

威胁预警 | Solr velocity模板注入远程命令执行已加入watchbog武器库

概述近日,阿里云安全团队监测到挖矿团伙watchbog更新了其使用的武器库,增加了最新Solr Velocity 模板注入远程命令执行漏洞的攻击方式,攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否受到影响。值得注意的是,此漏洞利用代码于10月31日被公布,11月2日阿里云安全团队就已发现watchbog团伙利用此漏洞进行入侵,植入木马进行挖矿,漏洞公开不足2日便被挖矿团伙利用进行攻击牟利。可以看到,当新的漏洞被披露出来时,可供企业用户修复的时间窗口越来越短,因此防守方需要及时地关注新披露可利用漏洞,以及采取缓解措施或进行修复,必要时可考虑选用安全产品帮助保障安全。背景介绍watchbog
发布时间:2019-11-05 18:10 | 阅读:11921 | 评论:0 | 标签:系统安全 威胁预警 注入

Android平台挖矿木马研究报告

360烽火实验室 摘    要 手机挖矿木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。 电子加密货币是一种匿名性的虚拟货币,由于不受政府控制、相对匿名、难以追踪的特性,电子加密货币常被用来进行非法交易,也成为犯罪工具、或隐匿犯罪所得的工具。 2014年3月首个Android平台挖矿木马被曝光。 从2013年开始至2018年1月,360烽火实验室共捕获Android平台挖矿木马1200余个,其中仅2018年1月Android平台挖矿木马接近400个。 从Android平台挖矿木马伪装应用类型看,工具类(20%)、下载器类(17%)、壁纸类(14%)是最常伪装的应用类型。 从样本来源来看,除了被曝光的在Google play中发现的十多个挖矿木马外,我们在第三方下载站点捕获
发布时间:2018-01-25 20:10 | 阅读:205659 | 评论:0 | 标签:威胁预警 黑产研究 Android

New Office 0day (CVE-2017-11826) Exploited in the Wild

On September 28, 2017, Qihoo 360 Core Security (@360CoreSec) detected an in-the-wild attack that leveraged CVE-2017-11826, an office 0day vulnerability. This vulnerability exists in all the supported office versions. The attack only targeted limited customers. The attacker embedded malicious .docx in the RTF files. Through reversing analysis of the sample C&
发布时间:2017-10-22 10:30 | 阅读:163565 | 评论:0 | 标签:威胁预警 漏洞分析 0day exp

最新Office 0day漏洞(CVE-2017-11826)在野攻击通告

2017年9月28日,360核心安全事业部高级威胁应对团队捕获了一个利用Office 0day漏洞(CVE-2017-11826)的在野攻击。该漏洞几乎影响微软目前所支持的所有office版本,在野攻击只针对特定的office版本。攻击者以在rtf文档中嵌入了恶意docx内容的形式进行攻击。通过对攻击样本的C&C进行追踪溯源分析,我们发现攻击者从8月中旬开始筹备攻击,在9月底真正发动攻击,该漏洞在这段时间内为无补丁的0day状态。 360核心安全团队是第一家向微软分享该0day漏洞细节的安全厂商,我们一直与微软保持积极沟通,一起推进该0day漏洞在一周内发布安全补丁,让漏洞得到妥善解决后再披露漏洞信息。 最新版本的360安全产品可以检测并防止此0day漏洞的攻击,我们建议用户及时更新10月的微软安全补丁
发布时间:2017-10-22 10:30 | 阅读:166552 | 评论:0 | 标签:威胁预警 漏洞分析 0day 漏洞

关于“WireX Botnet”事件Android样本分析报告

360烽火实验室 WireX家族病毒基本上都会在内部硬编码存放两个URL地址(部分变种的URL经过加密),变种A在内部硬编码了如下两个URL http://u.*******.store/?utm_source=tfikztteuic http://g.*******.store/?utm_source=tfikztteuic 这些URL地址是病毒的C&C Server的地址,用于返回要攻击的网站的信息,不同之处在于,对这两个URL返回的信息,处理方式不同,执行的恶意行为也不同。 UDP Flood攻击 对于以u开头的URL地址,比如http://u.*******.store/?utm_source=tfikztteuic(实际测试不能正常返回数据,以下是根据代码逻辑进行描述的),返回数据分为两部分,
发布时间:2017-08-29 20:25 | 阅读:119772 | 评论:0 | 标签:威胁预警 Android

【视频】TechWorld2017热点回顾 | 机器学习在安全攻防的实践

阅读: 20TechWorld 2017的圆桌论坛中我们讨论了机器学习在网络安全的应用,那机器学习在安全攻防的具体实践有哪些呢?如何利用机器学习对安全事件进行回溯及预警?机器学习、全流量威胁分析、攻击链、时序关联这些热点词你都懂吗?读完这篇文章你就离老司机不远了!文字不过瘾?直接点击文末视频链接近距离感受机器学习的神秘魔力吧!文章目录网络安全现状及发展方向机器学习在流量分析方面的实践高级威胁的检测之道全流量威胁分析方案流量威胁分析过程基于DNS数据实现僵尸网络发现机器学习发现蠕虫传播行为机器学习发现隐蔽信道机器学习在日志分析方面的实践传统日志分析之殇基于攻击链的安全分析事件理解模型时序关联分析攻击时序分析——数据特征化机器学习实践——攻击过程归纳攻击过程分析实际安全场景分析机器学习实践——攻防场景预警及回溯未来
发布时间:2017-08-23 05:40 | 阅读:227757 | 评论:0 | 标签:技术前沿 TechWorld直播 绿盟 techworld视频 techworld视频 绿盟 僵尸网络 全流量威胁分析

内网穿透——Android木马进入高级攻击阶段(二)

360烽火实验室 一.概述    移动互联网时代的到来,企业内部数据越来越有价值。近年来,黑客以移动设备为跳板,入侵企业内网,窃取企业数据资产的趋势愈发明显。近日,360烽火实验室发现一批感染了一种名为“MilkyDoor”的恶意代码,这是继去年6月份首次出现的“DressCode”[1]恶意代码后,又一种利用移动设备攻击企业内网的木马。然而,与“DressCode”不同的是,“MilkyDoor”不仅利用SOCKS代理实现从攻击者主机到目标内网服务器之间的数据转发,而且利用SSH(Secure Shell)协议穿透防火墙,加密传输数据,进而实现数据更隐蔽的传输。 SSH协议[2]又称为安全外壳协议,其使用的传输机制是TCP/IP,通常使用的都是服务器的TCP端口22,并对经过连接传输的数据进行加解密操作。可以
发布时间:2017-05-25 13:25 | 阅读:140263 | 评论:0 | 标签:威胁预警 Android

手机勒索软件又现新手段

360烽火实验室        手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件。这类大多伪装成系统类、色情类以及各式外挂类等软件诱导用户安装。尽管它们的锁屏样式、方式以及解锁方式不尽相同,但这类软件的目的却是一样的——谋财。 图1 360烽火实验室持续关注手机勒索软件        2016年360烽火实验室共捕获手机勒索软件约17万个,与2015年度相较环比增长160%。制马人通过解锁设备直接勒索用户钱财,解锁费用通常为20元以上,那么制作更多的手机勒索软件就能带来更大的收益。面对利益诱惑,制马人不断地“推陈出新”,近期我们发现了两种新型的解锁方式:语音解锁与二维码解锁。 语音解锁        该手机勒索软件在感染设备之后弹出一个无法取消的全屏置顶悬浮
发布时间:2017-03-23 14:55 | 阅读:198886 | 评论:0 | 标签:威胁预警

BadLock威胁预警通告

阅读: 101发布时间:2016年3月28日2016年4月12日,关于 Microsoft Windows平台和Samba服务软件中存在的一个严重等级的安全漏洞将会被披露,定名为BadLock。 此漏洞由International Samba Core Team成员Stefan Metzmacher发现,并提交给Microsoft和Samba相关的部门。目前,Microsoft和Samba的工程师们正在合作修复问题,补丁将会于2016年4月12日发布。什么是Samba?Samba是一个实现SMB(Server Message Block,服务信息块)/CIFS(Common Internet File System,通用网络文件系统)网络文件共享协议的免费开源软件,可以运行在大多数的操作系统上,包括Windo
发布时间:2016-03-29 06:10 | 阅读:116672 | 评论:0 | 标签:安全报告 BadLock Microsoft Samba NSFOCUS Samba服务软件 威胁预警 绿盟科技 预警通

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词