记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华谷歌从 Play Store 中删除了 21 个恶意 Android 应用
谷歌已从Play Store中删除了几款Android应用程序,原因是这些应用被发现投放了侵入性广告。
捷克网络安全公司Avast周一报道了这一发现,称21个恶意应用(从此处列出)从Google应用市场下载了近800万次。
这些应用伪装成无害的游戏应用,并带有HiddenAds恶意软件,该恶意软件是一个臭名昭著的木马,以在应用外部投放侵入性广告而闻名。攻击者依靠社交媒体渠道吸引用户下载应用程序。
今年6月初,Avast发现了类似的HiddenAds广告活动,其中涉及47个游戏应用程序,下载量超过1500万次,用于显示设备范围内的入侵广告。
Boyne Resorts 遭到 WastedLocker 勒索软件攻击
Boyne Resorts是一家经营度假活动服务的企业,WastedLocker勒索软件攻击了其网络系统,导致顾客无法进行网上预订业务。
据BleepingComputer报道,勒索软件通过添加“ .easy2lock”扩展名重命名文件,侵入了公司办公室网络并横向感染了IT系统,以至于公司被迫关闭部分网络进而防止勒索软件的传播。
7月,Smartwatch和设备制造商Garmin在遭到WastedLocker勒索软件的网络攻击后不得不关闭部分服务器。6月,安全专家报告,WastedLocker勒索软件已锁定对美国至少31个组织进行网络攻击。
利用数字证书的攻击五年内飙升了700%
根据Venafi最新报告《机器身份驱动企业攻击面的快速扩大》的数据显示,过去五年中利用“机器身份”进行网络攻击的数量猛增了700%以上。报告还显示,仅从2018年到2019年,此类攻击就激增了433%,而滥用机器身份的商品化恶意软件的使用增加了一倍。机器身份是指使用数字证书和加密密钥(即SSL/TLS、SSH)来验证和保护彼此连接的计算机和设备。近年来,尽管物联网和数字化转型导致企业中此类机器的使用激增,但安全性未能跟上。由于许多CISO不知道他们必须管理多少台计算机,因此并不清楚攻击面的大小,这可能导致证书过期而导致计划外的系统中断。
美财政部宣布对 Triton 恶意软件幕后开发者实施制裁
在 2018 年的一份报告中,FireEye 推测俄罗斯 CNIIHM(又名 TsNIIKhM)就是 Triton 恶意软件的幕后开发者。经过长时间的深入调查,美方现已决定对该机构实施制裁。据悉,Triton 恶意软件又被称作 Trisis 或 HatMan,能够有针对性地向特定类型的工业控制系统发起攻击,比如施耐德电气的 Triconex 安全仪表系统(SIS)控制器。
网页截图(来自:US Treasury)
FireEye、Dragos、赛门铁克等机构的技术分析报告表明,Triton 类恶意软件主要通过网络钓鱼的形式进行诱骗传播。
Windows GravityRAT 恶意软件现在开始攻击 Android 和 macOS
GravityRAT是一种以检查Windows计算机的CPU温度以检测虚拟机或沙箱而闻名的恶意软件,现在已经成为多平台的间谍软件,因为它现在也可以用来感染Android和macOS设备。GravityRAT远程访问木马(RAT)至少从2015年开始就被看似巴基斯坦的黑客组织积极开发,并被部署在针对印度军事组织的定向攻击中。
虽然恶意软件的作者之前专注于针对Windows机器,但卡巴斯基研究人员去年发现的一个样本显示,他们现在正在增加对macOS和Android的攻击。他们现在还使用数字签名来签署他们的代码,使他们的诱杀应用看起来合法。
恶意软件 Emotet 活动升级:伪装成 Windows Update 邮件分发
臭名昭著的 Emotet 恶意软件活动再次升级。在本次活动中,该恶意软件通过声称是来自“Windows Update”的电子邮件进行分发,并告诉用户应该升级微软 Word 。援引外媒 Bleeping Computer 的说法,在这些电子邮件中包含恶意的 Word/Excel 文档,或者下载链接。当用户点击之后,附件会提示用户“启用内容”从而允许宏命令运行,从而安装 Emotet 木马程序。
相信 cnBeta 的大部分读者都能识别这样的恶意电子邮件,但对于那些不太懂技术的用户来说就非常容易受骗了。
微软提醒安卓用户当心一款新型勒索软件
微软警告称,一种新型手机勒索软件利用来电通知和安卓的Home按钮锁定设备进行勒索。
这一发现涉及到一个名为“MalLocker.B”的安卓勒索软件家族的变体,该软件现在以新技术重新出现,包括在受感染设备上传递赎金需求的新方法,以及逃避安全解决方案的模糊机制。
在这一事态发展之际,针对关键基础设施的勒索软件攻击激增,过去三个月勒索软件攻击的日均次数比上半年增加了50%,攻击者越来越多地将双重勒索纳入他们的行动计划。
MalLocker被称为恶意网站,它通过伪装成流行应用程序、破解游戏或视频播放器等各种诱饵在在线论坛上传播。
新的“ MosaicRegressor” UEFI Bootkit 恶意软件在野外活跃
网络安全研究人员发现了一种罕见的具有潜在危险性的恶意软件,它针对计算机的启动过程来删除持续存在的恶意软件。
该活动涉及使用一个包含恶意植入物的受损UEFI(或统一可扩展固件接口),这是第二个已知的公开案例,其中UEFI Rootkit已被广泛使用。
根据卡巴斯基的说法,这些恶意UEFI固件映像被修改为包含几个恶意模块,然后这些模块被用来在受害者计算机上投放恶意软件,这些模块针对来自非洲、亚洲和欧洲的外交官和非政府组织成员发动了一系列有针对性的网络攻击。
过去10年中,滥用机器身份的恶意软件攻击增长了8倍
根据Venafi最新发布的威胁分析报告,利用机器身份的恶意软件活动正在极速增加。例如,从2018年到2019年,使用机器身份进行的恶意软件攻击增加了一倍,其中包括备受瞩目的攻击活动,例如TrickBot、Skidmap、Kerberods和CryptoSink。研究人员通过分析公共领域中的安全事件和第三方报告,收集了有关滥用机器身份的数据。总体而言,在过去十年中,利用机器身份进行的恶意软件攻击增长了八倍,其中最近五年的增长更快。Venafi威胁情报研究员指出:不幸的是,机器身份正越来越多地被“商业化”恶意软件所用。
伊朗黑客组织开发 Android 恶意软件用于窃取双因素验证短信
安全公司Check Point表示,它发现了一个伊朗黑客组织开发的特殊Android恶意软件,能够拦截和窃取通过短信发送的双因素验证(2FA)代码。该恶意软件是该公司昵称为Rampant Kitten的黑客组织开发的黑客工具库的一部分。
伪装成欧盟驾照培训辅助应用的App
Check Point表示,该组织至少活跃了6年,一直在从事针对伊朗少数族裔、反对组织和抵抗运动的持续监视行动。
这些活动涉及使用广泛的恶意软件系列,包括四种Windows信息窃取工具的变种和伪装在恶意应用程序中的Android后门。
德医院遭遇勒索软件攻击:一名患者或因此死亡
据外媒报道,一名生命垂危的患者因勒索软件攻击被迫去了更远的医院,不幸的是,这位患者最终没能被救回来。当地时间9月10日,德国杜塞尔多夫大学医院遭遇勒索软件攻击,而正是因为这个攻击他们的IT系统中断进而导致门诊治疗和紧急护理无法正常进行。
于是,那些寻求紧急护理的人只能被转移到更远的医院接受治疗。
德国媒体报道称,警方通过赎金说明联系了勒索软件运营商并解释说他们的目标是一家医院。
据悉,留在医院加密服务器上的勒索信息显示,其原本的攻击对象是杜塞尔多夫大学而非杜塞尔多夫大学医院。
在警方联系了勒索软件攻击者并解释说他们加密了一家医院之后,攻击者撤回了赎金要求并提供了解密密钥。
警惕!黑客利用聊天工具发送RAT木马
文章目录一、概述二、技术分析2.1 第一阶段2.2 第二阶段2.3 第三阶段2.4 第四阶段三、总结与建议四、IOCHash:url:C2:阅读: 9一、概述前段时间,伏影实验室发现一起利用聊天工具传播恶意软件的攻击事件。在该次攻击事件中,攻击者利用Skype聊天工具进行恶意代码投递。事件调查显示,攻击者伪装昵称为财务主管,通过即时聊天工具Skype,向目标投递了名称为“七月份公司重要通知.xlxs.exe”的文件。在聊天界面中,完整的后缀并没有显示,同时如果本地开启已知文件后缀隐藏的设置,在本地浏览文件过程中也可能会错误地认为该文件是一个通知文档。
新的 Linux 恶意软件从 VoIP 软交换系统窃取通话详细信息
网络安全研究人员发现了一种名为“ CDRThief”的全新Linux恶意软件,该恶意软件针对IP语音(VoIP)软交换,旨在窃取电话元数据。ESET研究人员在周四的分析中说:“该恶意软件的主要目标是从受感染的软交换中窃取各种私人数据,包括呼叫详细记录(CDR)。” “要窃取此元数据,恶意软件会查询软交换使用的内部MySQL数据库。因此,攻击者充分了解了目标平台的内部体系结构。”
软交换(软件交换机的缩写)通常是VoIP服务器,允许电信网络提供对语音、传真、数据和视频流量以及呼叫路由的管理。
美国禁令的“恐惧红利”?间谍软件假冒TikTok
近日Zscaler的研究人员发现了一个新的Android间谍软件,该软件化名TikTok Pro假冒TikTok应用程序的专业版,利用美国年轻用户对TikTok美国禁令的恐惧传播。该恶意软件可以接管基本的收集设备功能,例如获取照片、阅读和发送SMS消息、拨打电话和启动应用程序以及使用网络钓鱼策略来窃取受害者的Facebook账户。Zscaler CISO和VP副总裁Shivang Desai表示,攻击者已经开始推广名为TikTok Pro的流氓应用程序,该推广活动通过短信和WhatsApp消息敦促用户从特定网址下载最新版本的TikTok。
苹果错误批准恶意软件在 macOS 上运行 回应:已撤销
根据信息安全研究员的一份最新报告,苹果意外批准了伪装成Adobe Flash播放器更新的常见恶意软件在macOS系统上运行。
信息安全研究员帕特里克·沃德尔(Patrick Wardle)指出,苹果批准的一款应用中包含知名恶意软件Shlayer中使用的代码。Shlayer是一款木马下载器,通过伪装成其他应用来传播,用户中招后会遭到大量广告的轰炸。反病毒公司卡巴斯基2019年表示,Shlayer是Mac电脑面临的“最常见威胁”。
沃德尔说,这是在苹果启动新的应用认证流程后,他首次听说苹果错误认证了恶意软件。
为精准用户画像,恶意 npm 软件包窃取浏览器文件
据科技媒体 ZDNet 的报道,npm 安全团队近日发现了一个恶意的 JavaScript 库,该库旨在从受感染用户的浏览器和 Discord 应用程序中窃取敏感文件。
这个名为 “fallguys” 的 JavaScript 库声称提供了 “Fall Guys: Ultimate Knockout” 游戏的 API 接口。但实际上它附带恶意程序,用户在运行后即被感染。
根据 npm 安全团队的说法,此代码将尝试访问五个本地文件,读取其内容,然后利用 Discord Webhook 将数据发布到 Discord 通道内。
俄公民因意图向美国公司植入恶意软件而被捕
即使没有可利用的软件漏洞,黑客也总是会找到入侵的方法。
FBI逮捕了一名俄罗斯公民,他最近前往美国,并向目标公司的一名员工行贿100万美元,以帮助他将恶意软件手动安装到该公司的计算机网络中。
8月1日至8月21日,27岁的Egor Igorevich Kriuchkov作为一名游客进入美国,他曾多次与内华达一家未透露姓名的公司的雇员会面,讨论这起阴谋,之后在洛杉矶被捕。
法庭文件提到: “大约在7月16日左右,Egor Igorevich Kriuchkov用他的WhatsApp帐户联系了受害公司的雇员,并安排亲自去内华达州探望。
FBI、CISA 对企业虚拟专有网访问凭据攻击“Vishing”带来的威胁发出警告
美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)周四发布联合预警,警告针对公司的语音钓鱼或 “vishing “攻击的威胁越来越大。在发布深入研究一个提供服务的犯罪集团后不到24小时,KrebsOnSecurity就发表了一篇文章,该集团提供的服务是人们可以在COVID-19大流行期间雇用他们从远程工作的员工那里窃取VPN凭证和其他敏感数据。
PE Tree:一个恶意软件逆向工程分析开源工具
近日,由BlackBerry Research and Intelligence团队开发的PE Tree——一种恶意软件逆向工程开源工具,现已向网络安全社区免费提供。PE Tree允许恶意软件分析人员使用pefile(可解析和使用PE文件的多平台Python模块)以及PyQt5(可用于创建图形用户界面)在树状视图中查看可移植可执行(PE)文件。“PE Tree用Python开发,支持Windows、Linux和Mac操作系统。它可以作为独立应用程序或IDAPython插件安装和运行。”BlackBerry威胁研究人员Tom Bonner解释说。
美国网络司令部曝光朝鲜恶意软件源码
近日,据安全技术专家Schneier在博客透露,美国网络司令部已将朝鲜黑客组织的恶意软件样本上传到VirusTotal病毒样本存储库,并将其添加到2月份上传的恶意软件样本中。第一个新的恶意软件变体COPPERHEDGE被描述为“远程访问工具(RAT)”,“由高级持续威胁(APT)网络参与者使用,用于锁定加密货币交易所和相关实体。”该RAT以帮助威胁行为者执行系统侦察,在受感染系统上运行任意命令以及窃取被盗数据的能力而闻名。被公布的第二个恶意软件TAINTEDSCRIBE是一种木马程序,具有命令模块的功能齐全的信标植入程序,旨在伪装成Microsoft的讲述人。
STAMINA:把恶意软件转换成图像的深度神经网络
近日,微软和英特尔合作开发了一个全新的检测和分类恶意软件的人工智能研究项目——STAMINA。STAMINA(STAtic Malware-as-Image Network Analysis)能够将恶意软件样本转换为灰度图像,然后扫描识别获取特定恶意软件样本的纹理和结构模式。STAMINA的实际运作方式英特尔和微软研究团队表示,整个过程遵循几个简单步骤。第一个步骤包括获取输入文件并将其二进制代码转换为原始像素数据流。然后,研究人员将这些一维的像素流转换为二维照片,以便使用常规图像分析算法对其进行分析。
新冠疫情期间最活跃的恶意软件:Trickbot
根据微软的最新数据,臭名昭著的恶意软件Trickbot是新冠病毒相关网络钓鱼电子邮件中最“热门”的恶意软件。Microsoft安全情报部门在Twitter上发文指出:基于Office 365的ATP数据,Trickbot是使用新冠病毒主题钓鱼攻击中最常被使用的恶意软件,本周的攻击活动中使用了数百个不同的电子邮件文档附件,这些邮件冒充非营利组织提供免费新冠病毒测试。根据微软的观测,攻击似乎集中在电子邮件和社会工程/网络钓鱼的经典组合上,以收集用户凭据,传播恶意软件并尝试敲诈和BEC(商业电子邮件攻击)。
区块链中的网络钓鱼攻击汇总
区块链中的网络钓鱼攻击汇总
感谢 CDra90n 大表哥的投稿
本文回顾和分类区块链项目中最著名的欺诈案件,描述实施攻击的方法、现有保护方法以及发展网络钓鱼防护的必要方向。
所有网络钓鱼攻击都可以分为两种类型:社会工程方案和技术方案。社会工程是基于欺骗和随后受害者的错误行为,而技术计钓鱼利用了漏洞以及软件和基础架构的缺陷。
1
0x01 Phishing Attacks
A.社会工程
这种方案的特殊性是网络用户直接参与其中。攻击是向用户发送虚假信息,并在户户执行某些操作(打开邮件,移动链接或下载恶意附件)后激活,根据研究有4%的用户会单击网络钓鱼链接。为了使攻击者进入系统,只需单击一下即可。
过去二十年最危险的数字供应链攻击
“古老”的供应链攻击为何成为2020年业界公认的六大新兴威胁之一?除了华硕“影锤”、苹果“Xcode”、CCleaner这些令人闻风丧胆的切尔诺贝利和福岛级别的供应链攻击以外,过去十年在数字(软件)供应链领域,我们还经历了哪些已经发生,并且很可能依然在持续泄露或者“辐射”,值得我们反思和复盘,预防“毁灭性喷发”可能性的供应链攻击事件?根据ESG和Crowstrike的2019年供应链安全报告:16%的公司购买了被做过手脚的IT设备。90%的公司“没有做好准备”应对供应链网络攻击。
黑客利用Zoom传播恶意软件
新冠疫情引发了全球远程办公热潮,视频会议软件Zoom无疑是最大的赢家之一。自2020年初以来,Zoom的每月活跃用户数量如火箭般攀升,仅2020年一季度就获取了约222万新增用户,超过2019年全年的新增用户数(199万)。Zoom现在每月有超过1,290万活跃用户,Bernstein Research分析师上个月表示,自去年年底以来,其用户增长了约21%。但不幸的是,Zoom最近成了黑客活动的理想目标和温床。根据CheckPoint的最新报告,自年初以来,与Zoom相关的域名注册数量飙升,有4%都存在可疑特征。
MacOS恶意软件Shlayer分析
近两年来,Shlayer木马一直是Mac OS平台上最常见的恶意软件,十分之一的Mac OS用户受到它的攻击,占该操作系统检测到攻击行为的30%。第一批样本发现于2018年2月,此后收集了近32000个不同的木马恶意样本,并确定了143个C&C服务器。
自Shlayer首次被发现以来,其使用的算法几乎没有变化,活动行为保持平稳。
技术细节
从技术角度来看,Shlaye是一个相当普通的恶意软件。在所有变体中,只有最新的木马下载程序OSX.Shlayer.e与众不同。此恶意软件的变体是用Python编写的,其算法也有不同。
2019年移动威胁态势报告:恶意软件数量创记录下滑
根据RiskIQ的2019年移动威胁态势报告,在开放网络上扩散的恶意移动应用程序的数量已减少了20%。在对120多家移动应用商店进行的分析中,RiskIQ表示,全球移动APP数量增长18%的同时,对恶意应用的防御能力也已大大提高。该结论基于2019年被列入黑名单或经过过滤的应用程序的数量,以及业界针对这些应用程序所采取的多方面努力。2019 Google Play商店的恶意应用程序数量的急剧下降,被列入黑名单的应用同比减少了76%,从2018年的108770个锐减到2019年的25647个,降幅超过九成。
Google Play恶意软件分析
最近在Google Play上发现了多个恶意应用程序(由Trend Micro检测为AndroidOS_BadBooster.HRX),它们能够访问远程恶意广告配置服务器、进行广告欺诈并下载多达3000多个恶意软件变体或恶意负载。这些恶意应用程序通过清理、组织和删除文件来提高设备性能,已被下载超过47万次。该攻击活动自2017年以来一直很活跃,Google Play已经从商店中删除了恶意应用程序。
根据分析,3000个恶意软件变体或恶意有效负载会下载到设备上,伪装成设备启动程序或程序列表上不显示图标的系统程序。
评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(下)
评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(上)预警和检测策略开发随着我们对可用事件日志、它们的上下文和限制的新理解,我们的CIRT工程师现在可以在构建警报和检测策略时使用这些信息。以下是一些假设的样本,这些假设被开发用来作为潜在的警报/威胁搜索查询的基础,这些查询被漏洞利用防御缓解机制分解。非微软官方的二进制加载此 WDEG 缓解记录由微软签名的进程加载非微软签名模块的任何尝试。 这可以作为一个潜在的有价值的数据源,而不是将应用程序作为白名单的审计或实施。范围系统级别。 与某些文档相反,这种缓解措施可以应用于所有进程。
评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(上)
Windows Defender 漏洞利用防护(WDEG)是一套预防和侦查控制,用于识别和减少针对 Windows 主机的主动攻击尝试。 基于先前增强的缓解经验工具包(EMET)的成功经验,WDEG 不仅提供了一系列广泛的攻击缓解方案,而且还通过提供与异常事件相关的丰富的上下文事件日志充当调查资源。Palantir 的计算机应急响应小组(CIRT)在端点遥测和检测能力方面严重依赖于安全供应商产品,而调查和开发新的与安全相关的数据源是我们成功的基础。 这篇博客文章分析了将“漏洞利用防御”作为一个新的数据源,包括警报和检测策略(ADS)。 我们还将详细介绍企业配置和转出策略,并提供检测假设的抽样。