记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华越简单越好?深入研究巴西金融网络犯罪中使用的恶意软件
远程overlay恶意软件非常多产和通用,它时不时就会出现,但在巴西通常很少发现特殊或复杂的金融恶意软件。而巴西金融网络犯罪分子使用的流行远程覆盖特洛伊木马这个特殊的变体有什么特别之处呢?首先,它使用了并不常见的动态链接库(DLL)劫持技术。更有意思的是,恶意软件的运营商不再只关注银行,他们现在也有兴趣窃取用户的加密货币交换账户,这与金融网络犯罪对加密货币的兴趣日益增长有关。一、通过远程会话感染巴西用户IBM X-Force研究持续跟踪巴西的威胁形势。在最近的分析中,我们的团队观察到远程overlay系列恶意软件的新变种感染了该地区的用户。远程overlay特洛伊木马在针对巴西用户的欺诈中很常见。我们分析的最新变体使用
KingMiner门罗币挖矿恶意软件分析
加密货币挖矿在2018年有了非常快速的增长。由于加密货币的价值,黑客有足够的动力来利用受害者机器的CPU算力进行加密货币挖矿活动。本文分析一种攻击Windows服务器的门罗币挖矿恶意软件。KingMiner恶意软件最早是2018年6月出现的,并且迅速出现2个更新的版本。攻击者在恶意软件开发过程中使用了许多的绕过技术来绕过模拟和检测方法,导致许多的杀软引擎都没有发现。攻击流研究人员发现KingMiner恶意软件会攻击Microsoft服务器(大多是IISSQL)并尝试猜测其密码。然后会在受害者机器上下载Windows Scriptlet文件(.sct)并执行。在执行过程中,有以下步骤:· 检测机器的CPU架构;· 如果有
插入恶意URL到office嵌入视频中
10月底,Cymulate的安全研究人员公布了利用office在线视频特征逻辑漏洞来传播恶意软件的POC。最近,研究人员发现一款利用该漏洞传播URSNIF信息窃取器的在野样本。恶意软件感染链因为这类攻击中使用了刻意伪造的word文档,研究人员假设可以通过其他恶意软件或垃圾邮件中的附件、链接到达用户系统。该漏洞影响Microsoft Word 2013及之后版本。PoC和恶意软件使用了DOCX文件类型,其中可以包含文本、对象、格式、图像等。这些都分别保存在不同的文件中,然后打包为一个ZIP压缩的DOCX文件。图1: PoC(左)和在野样本(右)感染链PoC和在野恶意软件工作原理PoC和在野样本都滥用了office在线视频
Malwarebytes对Mac恶意软件通过拦截加密流量进行广告注入的分析
上周,Malwarebytes的研究人员Adam Thomas发现了一款有趣的Mac恶意软件,它会进行一些恶意活动,比如拦截加密的网络流量来注入广告。专门负责Mac的Malwarebytes,将该恶意软件检测为OSX.SearchAwesome,让我们看看它是如何安装的,并且了解这种攻击的含义。安装该恶意软件是在一个相当平淡无奇的磁盘图像文件中被发现的,该恶意软件没有任何一般修饰,因此看起来像一个合法的安装程序。当打开该恶意软件时,该应用程序不显示安装程序显示,而是以不可见的方式安装组件。两个身份验证请求是该恶意软件进行任何活动的唯一证据。第一个请求是请求授权对证书信任设置的更改。第二个是允许所谓的spi修改网络配置。
恶意软件利用Windows组件WMI和CertUtil攻击巴西
研究人员最近发现一款滥用合法Windows文件wmic.exe 和certutil.exe下载payload到受害者设备上的恶意软件。wmic.exe是Windows命令行工具, certutil.exe是管理Windows证书的程序。恶意软件滥用这些合法Windows服务来进行恶意用途。虽然WMI和CertUtil在之前的攻击活动中就被用过,但这次的攻击活动将这些文件融合到其日常活动,并增加了反检测层。这说明攻击活动背后的网络犯罪分子正在不断发展和进化其工具和技术。 图1: 攻击感染链活动分析攻击是从一个恶意邮件开始的,恶意邮件看似来源于一家巴西的国家邮政公司,邮件内容是通知邮件接收者包
魔高一尺:URSNIF恶意软件新变种通过回复邮件实现传播
一、概述大多数网络钓鱼活动,其本质非常简单,并且易于发现。攻击者往往会发送一些看似合法的电子邮件,并在其文本中嵌入恶意链接,或在邮件中添加恶意附件。然而,我们在今年9月监测到的恶意邮件活动却表明,攻击者正在采取更为复杂的网络钓鱼形式。该恶意活动会盗取电子邮件账户,并对邮箱中已有的邮件内容进行回复,在回复的内容中附带恶意软件。对已有邮件的回复,实际上是连续通信中的一部分,因此这种特殊的钓鱼方式难以被用户发现,也难以检测。通常,受害者都没有意识到他们正在遭受钓鱼邮件的威胁。这些攻击与今年早些时候Talos发现的URSNIF/GOZI恶意邮件活动非常相似,该恶意活动使用暗云僵尸网络中部分被劫持的计算机向已有邮件发送回信,很可
通过iqy文件传播FlawedAmmyy恶意软件
攻击者在不断寻找新的技术来传播恶意软件,最近研究人员发现一种通过iqy文件传播恶意软件的新方法。截止目前,已经发现有通过word文档、脚本文件、Java文件、IQY文件传播恶意软件的案例。图1: 攻击链IQY文件是一种Excel Web Query(excel web查询)文件,用于从互联网下载数据。其中含有通过网络进行查询所需的参数。感染源是垃圾邮件或鱼叉式钓鱼攻击活动,一般含有PDF或IQY附件,用于传播恶意软件。这些文件在攻击者传播FlawedAmmyy RAT(remote access trojan远程访问木马)时都用到了。图2: 垃圾邮件用户在收到含有PDF或iqy文件附件的垃圾邮件后,一旦点击pdf文件,
Microsoft Store中发现一款伪装成Google相册的恶意软件
今天在微软商店中发现了一个名为“Google相册”的恶意应用程序,它把自己的来源伪装成了谷歌公司。这个应用程序假装自己是Google相册的一部分,但实际上是一个广告点击器,它可以在Windows 10中重复打开隐藏的广告。这个免费的“Google相册”声称是由Google LLC创建的,其中包含“一款与您一样聪明的照片应用”的说明。您可以在下面看到它在微软商城页面的图像。由于这是一个广告点击器,所以用户们对它的评论不是很好。其中一篇评论称它是“假应用”,另一篇评论的标题是“这是假的,不要安装”。下面我们将挖掘并解释广告点击器的工作原理,以及它显示的广告类型。谷歌相册广告点击器“Google相册”是一款PWA应用(渐进式
利用虚假的Flash更新来传播加密货币挖矿机
最近出现一些具备伪装性的恶意可执行文件、基于脚本的下载器被用来安装加密货币挖矿机、信息窃取器、勒索软件等恶意软件。如果受害者在有漏洞的Windows主机上运行这种恶意软件,那么受害者很难发现恶意软件的任何可见的活动。Unit42研究人员最近发现一起使用欺骗技术的假Flash更新。2018年8月,一些样本模仿Flash更新通过弹窗通知从官方Adobe下载。假的Flash更新会在用户机器上安装XMRig加密货币挖矿机这类用户并不想要的软件,不过,恶意软件同时也会将受害者的Flash Player更新到最新版本。因为确实Flash已经更新成功,所以一些潜在受害者可能并不会注意到其恶意活动。然而,XMRig加密货币挖矿机或其他
开挂的恶意软件——Part 1:简单的CMD反向shell
序言如果您还没有看过我的免杀技术视频的话,不妨花点时间看一下:1. Windows Cloud ML Defender Evasion2. Kaspersky AV Evasion除了上面视频中的免杀技术之外,我还能够绕过Symantec Endpoint Protection,跟McAfee一样,该防护软件也使用了机器学习技术。不过,这次不打算上传视频,而是决定写一个全新的文章系列,分为3篇:· 开挂的恶意软件,Part 1:简单的CMD反向shell· 开挂的恶意软件,Part 2:在模拟组织环境中绕过反病毒· 开挂的恶意软件,Part 3:绕过机器学习检测 需要说明的是,本系列文章对
移动银行木马程序Asacub的崛起
2015年,我们第一次发现了Trojan-Banker.AndroidOS.Asacub家族,并对其第一个版本的恶意软件进行了检测、分析,然后发现与窃取资金相比,该恶意软件更擅长间谍活动。自那以后,该木马程序在其创造者的大规模发布活动(2017年春夏)的帮助下不断进化,并促使Asacub在去年移动银行木马攻击次数排行榜上拔得头筹,超过了Svpeng和Faketoken等其他家族。因此,我们决定研究Asacub家族的一位现代成员,即最新版本的木马程序。这款木马的设计意图是窃取与俄罗斯最大银行之一的移动银行服务连接的安卓设备用户的资金。Asacub版本木马程序的核心部分是版本号,由两个或三个数字组成,以句号隔开。编号似乎在
在GoogleUserContent上的图片中隐藏恶意软件
在我们之前的博客中写过一篇文章描述了使用EXIF数据隐藏其代码的恶意软件(malware that used EXIF data to hide its code)。此技术仍然有人在使用,让我们来看看最近的一个例子。被污染的Pac-Man此代码是在窃取PayPal安全令牌的恶意脚本的开头找到的。从EXIF数据执行代码如您所见,它从Google服务器上托管的pacman.jpg图片中读取“EXIF数据”,图片可能是使用Blogger或Google+帐户上传的。然后解码并执行该数据的“UserComment”部分。虽然质量非常差,但代码中引用的图片证明是真正的Pac-Man图片。pacman.jpg其EXIF数据
知名压缩软件“快压”传播病毒和多款流氓软件劫持流量
一、概述日前,火绒安全团队发现,知名压缩软件“快压”正在传播木马病毒“Trojan/StartPage.ff”,该木马病毒会劫持被感染电脑浏览器首页;此外,“快压”还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供“快压”软件下载,传播范围极广。建议近期下载过该软件的用户尽快使用安全软件对电脑进行扫描查杀。图1:“快压”给用户电脑强制推广软件用户从下载站下载“快压”并安装时,“快压”会像病毒躲避安全软件查杀一样,判断用户电脑中有没有安全软件,如果没有,则会给用户电脑捆绑安装一款名为“WinHome主页卫士”的软件,该软件携带木马病毒“Trojan/StartPage.f
新的恶意软件——Rakhni,可以用勒索软件或加密货币矿工来感染系统
早在2013年,我们的恶意软件分析人员就发现了与Trojan-Ransom.Win32.Rakhni家族相关的第一批恶意样本。这是这个长期存在的,并且至今仍在运作的特洛伊木马家族的起点。在此期间,恶意软件作者作出了一些改变:· 特洛伊木马获取密钥的方式(从本地生成到从C&C收到)· 使用的算法(仅使用对称算法,到常用的对称+非对称方案,到同时使用18种对称算法)· 加密库(LockBox,AESLib,DCPcrypt)· 分发方法(从垃圾邮件到远程执行)现在,犯罪分子已经决定为他们的作品添加一个新功能——挖矿功能。在本文中,我们描述了一个downloader,它决定如何感染受害
RANCOR使用PLAINTEE和DDKONG恶意软件家族在东南亚进行针对性攻击
在2017年和2018年中,Unit 42一直在跟踪和观察一个针对性很强的攻击(针对东南亚),这是基于我们对KHRAT Trojan的研究。基于证据,这些攻击是由同一组织的攻击者利用以前未知的恶意软件家族进行的。此外,这些攻击对其使用的恶意软件的分发以及所选目标具有高度针对性。基于这些因素,Unit 42认为,这些攻击背后的攻击者正在进行间谍活动。我们相信这个组织之前是未知的,因此我们称之为RANCOR。Rancor组织的攻击使用了两个主要的恶意软件家族,我们将在本博客的后面深入描述命名为DDKONG和PLAINTEE的恶意软件家族。DDKONG在整个行动中都会使用,而PLAINTEE是这些攻击者工具包的新增加部分。U
被植入恶意代码的Emotet Downloader细节分析
我已经对Emotet Downloader进行了剖析,它使用宏和Powershell命令从受攻击的网站下载Emotet。最近他们已经修改了下载器的工作方式,并且已经被上传到了VirusBay。下面我们对其进行分析!MD5哈希值:53ea2608f0e34e3e746801977b778305如下图所示(右侧是新样本,左侧是旧样本),新旧两个文档有一些相似之处,他们均通过呈现一个旧版本的Microsoft Office创建的文档,谎称出现错误,并且为了查看错误受害者需要点击Enable Content(启用内容)。这一操作看起来似乎是合法的,那么让我们看看当点击了Enable Content时会运行什么程序。当打开Mac
公告
关注公众号hackdig,学习最新黑客技术