记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

手工搭建建议的Linux恶意脚本分析系统

概述 Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播,而且,同一个病毒家族所使用的的恶意脚本往往具有极高相似性,新变种的脚本大部分是在旧变种脚本的基础上进行修改,新增或替换部分关键恶意代码,同时,不同家族之间的恶意脚本也可能出现代码互相借鉴,部分重合的情况。 该如何揭示病毒家族中恶意脚本之间的关系呢?接下来,我们就通过手工搭建一个简易的恶意脚本分析系统,来实现对恶意脚本之间关系的研究。 系统功能 系统的功能如下,主要为3个: [1] 使用yara检测脚本对应的病毒家族。 [2] 计算脚本与样本库中每个样本的相似度。
发布时间:2020-08-21 10:57 | 阅读:10629 | 评论:0 | 标签:系统安全 check_similarity函数 H2Miner新变种 Linux parse_modification函

使用AutoHotkey和Excel中嵌入的恶意脚本来绕过检测

Trend Micro研究人员发现一个使用合法脚本引擎AutoHotkey和恶意脚本文件的攻击活动。该文件以邮件附件的形式传播,并伪装成合法文件Military Financing.xlsm。用户需要启用宏来完全打开文件,使用AutoHotkey来加载恶意脚本文件以绕过检测。然后恶意软件会窃取特定的信息,甚至下载TeamViewer来获取对系统的远程访问权限。如果用户启用宏来打开xlsm文件,就会合法的脚本引擎AutoHotkey和恶意脚本文件。一旦AutoHotkey加载恶意脚本文件,恶意软件就会连接到C2服务器来下载和执行其他脚本文件来响应来自服务器的命令。
发布时间:2019-04-21 12:25 | 阅读:68623 | 评论:0 | 标签:Web安全 恶意脚本

复制自KORKERDS的挖矿脚本移除了KORKERDS相关的所有挖矿机和服务

研究人员在进行程序日志检查时发现,蜜罐钟有恶意脚本下载恶意二进制文件。进一步分析之后,研究人员发现该脚本可以删除大量已知的Linux恶意软件、挖矿脚本和其他挖矿服务相关的端口和链接,而且该脚本与Xbash和KORKERDS有相似和关联。该恶意脚本会下载加密货币挖矿恶意软件并植入到系统中,使用crontab来确保系统重启和删除后的驻留问题。图1. 从域名下载的脚本,蜜罐中的日志信息恶意脚本分析该恶意脚本会下载二进制文件,分析之后发现它是KORKERDS的变种,是对2018年11月的KORKERDS收集的样本的修改版本,对该恶意软件做出了适当的添加和删除。
发布时间:2019-03-19 12:20 | 阅读:82589 | 评论:0 | 标签:二进制安全 恶意脚本

勒索软件——JS邮件恶意脚本分析

阅读: 31在互联网发展越来越壮大的同时,网络安全也面临着各种挑战与机遇。在过去数年,基于脚本的恶意软件的大幅增加让企业、用户等面临着更多勒索软件的威胁。众所周知,勒索病毒等新型恶性病毒,常通过邮件来传播。“邮件欺诈——病毒下载器——恶性病毒”是目前最常见的传播方式。“脚本类”下载者病毒(TrojanDownloader)呈现激增的趋势。病毒制作者经常将这两种病毒作为邮件附件并将其赋以诱惑性的文字发送给受害者。其运行后会下载勒索病毒等高危病毒,使用户造成严重的经济损失。文章目录JavaScript传播方式JavaScript恶意脚本形式1.随机变量名及函数名。2.添加垃圾代码。3.等效替换。
发布时间:2018-05-22 20:05 | 阅读:216775 | 评论:0 | 标签:安全分享 javascript 勒索软件 勒索邮件 恶意脚本 恶意邮件

Hacking JasperReports:隐藏的SHELL特征

前言 不久前,我的同事跟我在对一个客户端进行渗透测试。我们确实发现的一件事是,他们留下了几个联网JasperReports服务器。寻找默认管理帐户的用户名并没有花费太多的精力。 也没有用多久我们就猜解出密码是“jasperadmin” 我从前听过JasperReports但从来没有碰到过要对它进行渗透测试。一个快速的google搜索也没有对前期工作产生多大的作用。尽管这个管理界面很不常见但是它也没有摆脱以某种方式来执行代码,所以顺利成章的我们开始在渗透旅程中把JasperReports渗透测试添加进“容易成功”的列表。
发布时间:2016-10-18 07:05 | 阅读:149693 | 评论:0 | 标签:Web安全 JasperReports JRXML 反弹shell 恶意脚本 隐藏Shell特征

ADS

标签云