记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华滥用HTTPS站点隐藏的/.well-known/目录传播恶意软件
WordPress和Joomla是最流行的内容管理系统(Content Management Systems, CMS),因为其流行性也成为网络犯罪分子攻击的目标。过去几周,ThreatLabZ的安全研究人员就发现多起WordPress和Joomla站点服务于Shade/Troldesh勒索软件、后门和钓鱼页面的情况。CMS站点最常见的威胁就是插件、主题和扩展等引入的漏洞。本文中主要介绍上个月上百个被黑的CMS站点中发现的Shade/Troldesh勒索软件和钓鱼页面。研究人员分析发现被黑的WordPress站点都使用v 4.8.9到5.1.1版本,并且都使用Automatic Certificate Manageme
‘DMSniff’POS恶意软件针对中小型企业
之前仅私下销售的销售点恶意软件已被用于攻击中小型餐饮和娱乐行业。此恶意软件称为DMSniff,它还使用域名生成算法(DGA)来动态创建命令和控制域列表。该技术对攻击者很有价值,因为如果域名被执法部门,技术公司或托管服务提供商屏蔽,恶意软件仍然可以通信和接收命令或共享被盗数据。Flashpoint的研究人员认为,在POS恶意软件领域很少见到使用DGA。POS软件继续困扰着食品服务和酒店等行业,其中老旧和不受支持的系统仍然普遍存在,特别是在中小型公司中。在这些以卡片交易为主的环境中,犯罪分子一直在瞄准这些易受攻击的设备。去年Verizon Data Breach调查报告中的数据显示,销售点终端是数据库服务器背后受攻击次数最
恶意软件如何绕过AMSI检测以逃避检测
前言在本文中,我将详细介绍一种禁用反恶意软件扫描接口(AMSI)的技术。这是在Microsoft Windows中的一个内部功能,用于使用系统上安装的反恶意软件对数据进行扫描。我们举例说明,该特性允许应用程序在将数据写入文件之前,请求扫描下载的数据。如果一个恶意软件可以禁用此接口,那么它就可以逃避反病毒检测。在本文中,我们将对从客户那里拿到的一个恶意样本进行详细分析,并看看样本是如何绕过AMSI的。恶意软件概述在RTF格式的Excel文档中,都包含经过模糊后的宏:通过阅读这个混淆后的代码,我们发现它以混淆后的形式,运行一个位于单元格G135内的命令:经过这些多层次的混淆后,Excel文档宏最终会启动PowerShell
SLUB后门使用Slack等进行通信
研究人员近期发现一个非常有意思的恶意软件。首先,该恶意软件通过水坑攻击进行传播,水坑攻击是指攻击者进入入侵用户要访问的网站,并加入恶意代码,然后用户访问该网站时就会被重定向到受感染的代码。在该攻击活动中,每个访问用户只会重定向一次。感染过程利用了CVE-2018-8174漏洞,该漏洞是VB脚本引擎漏洞,微软已于2018年5月修复了该漏洞。究人员发现很多AV产品仍然无法成功检测该后门。最后,研究人员还发现该恶意软件会连接到Slack平台。Slack是一款与IRC其次,该恶意软件使用多阶段感染的方案。在利用了漏洞之后,会下载一个DLL并在PowerShell中运行。该文件实际上是一个下载器,会下载和执行含有后门的可执行文件
SOC第二防御阶段–理解威胁基本情况
在SOC第一防御阶段中,我们对攻击链有了最基本的了解并知道了采取必要的步骤来打破攻击链。现在我们进入SOC第二防御阶段,提升保护企业安全的水平。早些年,当我们谈到“病毒”时,通常都是指“exe”可执行程序和一些弹窗。大部分的病毒都是由脚本小子创建的,他们不会对任何PC造成太大的损害。但是现在,这些恶意软件可不是脚本小子写的,而是有的公司为了盈利而开发的,每个恶意软件的背后都是有特定的目的和计划安排的。恶意软件系列分为病毒/蠕虫/PUP/间谍软件/广告软件/多态病毒/FakeAV/屏幕保护程序病毒。其实这些都没有什么太大的危害,也没有什么商业目的和动机。但是现在,恶意软件系列变得十分庞大而且更加广泛,具有独特的编码方式,
恶意攻击——Pirate matryoshka
使用torrent跟踪器传播恶意软件是一种常见的做法; 网络犯罪分子将其伪装成流行的软件、电脑游戏、媒体文件以及其他广受欢迎的内容。我们在今年早些时候发现了一个这样的攻击活动,The Pirate Bay(TPB)跟踪器充斥着分发恶意软件的有害文件,均以付费程序的破解副本为幌子。TPB中的恶意种子我们注意到,跟踪器包含从许多不同帐户创建的恶意种子,其中一些账户在TBP上注册已有一段时间了。恶意 torrent的描述Torrent内容下载到用户计算机的文件不是预期的软件,而是木马,其基本逻辑由SetupFactory安装程序实现。我们的安全解决方案将该恶意软件检测为Trojan-Downloader.Win32.Pira
恶意软件如何将External C2和IE COM对象用于命令和控制
背景在Cobalt Strike 3.6中,引入了一项名为External C2(外部C&C)的强大功能,为自定义命令和控制(C&C)通道提供了一个有用的接口。作为一个擅长于利用自定义C&C通道的红方队员,我立即着手探索External C2。在这篇文章中,我将简要介绍External C2规范、IE COM对象,以及它们如何用于命令和控制,最后将介绍如何实际使用。External C2概述如前所述,External C2允许第三方程序作为Cobalt Strike与其信标植入之间的通信信道。External C2共包含如下组件:1、External C2服务器:Cobalt Strike团队服
Docker Control API和社区镜像被用来传播加密货币挖矿恶意软件
研究人员通过搭建容器蜜罐收集的数据进行分析来监控威胁,并且发现了一起利用使用Docker Hub上发布的容器镜像的伪造容器进行非授权的加密货币挖矿的恶意活动。该镜像被用来传播加密货币挖矿恶意软件。对于安全公司和安全研究人员来说,搭建没有任何安全防护措施和没有预装安全软件的蜜罐是常用的收集恶意样本的方式。但docker是有最佳实践和建议来防止这类错误的、不安全的配置的。蜜罐获取的流量和活动是为了获取针对容器平台本身的攻击而不是容器应用的。研究人员发现的这起攻击活动是不依赖于任何漏洞利用,也不依赖于某种docker版本的。发现错误配置和暴露的容器镜像是攻击者感染更多相关主机唯一需要做的。暴露后,Docker API会让用户
Fake Jobs:你收到的offer可能含有恶意后门
概览自2018年中开始,Proofpoint追踪到一起滥用合法消息服务、发放伪造的工作offer、最终通过邮件来传播More_eggs后门的攻击活动——Fake Jobs。这些活动主要攻击位于美国的公司,涵盖零售业、娱乐业以及其他在线支付的工作行业。攻击活动尝试通过滥用领英的私信(直接消息)服务建立与潜在受害者的关系。然后通过邮件,攻击者假装是某公司的职员为受害者发送工作offer。在许多案例中,攻击者为了支持攻击活动还伪造了网站。而恶意payload就在这些网站上。在其他的案例中,攻击者使用一系列恶意附件来传播More_eggs。传播研究人员在调查过程中还发现这些攻击活动的变种,但是大多数都有一些相同的特征。首先攻击
Trickbot加入远程应用凭证窃取功能
2018年11月,Trend Micro研究人员发现一个含有密码窃取模块的Trickbot变种,该密码窃取模块可以从大量的应用中窃取凭证。2019年1月,研究人员发现一个加入了多个功能的Trickbot变种,但恶意软件开发者并没有更新Trickbot,而是使用了一个更新了可以窃取远程应用凭证的pwgrab模块。感染链图1. 恶意软件感染链技术分析恶意软件是通过伪装为来自主要金融服务公司的税收激励通知的邮件进行传播的。邮件含有一个启用宏的Excel附件,其中含有税收激励的细节。附件中的宏文件是恶意的,应用激活后会在用户机器上下载和应用Trickbot。 图2. 含有启用了恶意宏的附件的垃圾邮件 图3.
恶意软件的自我保护之监控PageHeap的开启
对于黑客来说,漏洞是最有价值的资产,所以一旦发现个漏洞并开发了针对该漏洞的攻击技术,则黑客们就希望能够尽可能长时间的利用该漏洞。所以对于黑客们来说,如何能够防止他们所利用的攻击工具不被发现就显得非常重要了。一般来说,黑客们会在以下4种情况下利用漏洞时会被发现: 1.和其他已经被检测出的恶意软件的功能或原理有重叠部分;2.因为本身的攻击性能不稳定而被检测到;3.在漏洞利用时,由于其恶意程序被安全产品模拟的虚拟运行环境所诱骗,从而被发现,例如安全产品所使用的蜜罐技术;4.恶意软件的开发者自己将漏洞公开了;本文我们会把重点放在第3点上,即如何防止恶意运行程序被PageHeap监控到。PageHeap的工作原理Pag
IcedID使用ATSEngine注入面板攻击电子商务网站
作为针对金融服务和电子商务用户的网络犯罪工具的持续研究的一部分,IBM X-Force分析了有组织恶意软件团伙的策略,技术和程序(TTP),暴露他们的内部工作,帮助将可靠的威胁情报传播到安全社区。在最近对IcedID Trojan攻击的分析中,我们的团队调查了IcedID运营商如何针对美国的电子商务供应商,这是该组织的典型攻击。威胁策略是两步注入攻击,旨在窃取受害者的访问凭据和支付卡数据。鉴于攻击是单独运行的,IcedID背后的人要么正在研究不同的货币化方案,要么将僵尸网络租给其他犯罪分子,将其转变为网络犯罪即服务,类似于Gozi Trojan’s的商业模式。一、起源IBM Security于2017年9月发现Iced
Google Play中的韩国公交车应用释放恶意软件
迈克菲移动研究团队最近发现一种新的恶意Android应用程序,伪装成由韩国开发人员开发的交通应用程序系列的插件。该系列App为韩国各个地区提供了一连串信息,例如巴士站位置、巴士抵达时间等。该系列共有四个应用程序,其中三个应用程序自2013年起可从Google Play获得,另一个应用发布于2017年左右。目前,四个应用程序都已从Google Play中移除,而伪装插件本身并未上传到商店。在分析伪插件之时,我们也在寻找初始下载器和其他有效载荷 – 我们发现系列中的每个应用程序的一个特定版本(在同一天上传)将恶意软件释放到安装它们的设备上,这也解释了经过5年的发展它们最终被Google Play移除。
恶意软件通信方式大揭秘:对COM的分析
前言如果各位读者在Twitter上关注我(@0verfl0w_),那么你们可能已经注意到,我最近正在分析Ursnif/Gozi/ISFB的样本,并且困惑于恶意软件如何能在不进行DLL注入和进程Hollowing的情况下,通过一个单独的进程与C&C服务器进行通信。为解决这一问题,我阅读了Mandiant在2010年发表的一篇很棒的文章,其中说明了如何使用COM来控制某个进程(例如:Internet Explorer)执行某些操作。在本文中,我将探讨最新版本的ISFB所使用的COM机制,从而揭秘该恶意软件是如何暗中与命令和控制服务器进行通信的。后续,我还会发表一篇较长的分析文章,详细分析这一ISFB变种,以及在最后
GreyEnergy 2019分析
1月初,InfoSec社区泄露了一个恶意软件样本,研究人员分析发现这可能是GreyEnergy植入。这类威胁与BlackEnergy恶意软件有类似之处,BlackEnergy就是2015年针对乌克兰能源工业发起网络攻击的组织。图1. 可能的GreyEnergy样本背景ESET研究报告称,GreyEnergy恶意软件是BlackEnergy APT组织的新工具。并主要通过两种方式传播:· 周边泄露,比如入侵企业网站;· 鱼叉式钓鱼攻击邮件和恶意附件。GreyEnergy植入也被称为FELIXROOT后门,FireEye研究人员2018年7月份就对传播恶意软件的鱼叉式钓鱼攻击活动进行了分析。整个恶意软件架构是模块
重回视线:详细分析macOS恶意软件OSX.Dok
概述OSX.Dok恶意软件最初发现于2017年,这一恶意软件比大多数针对macOS的恶意软件都更为复杂,因此当我们看到它重新浮出水面时,也完全不会感到惊讶。在本文中,我们将详细分析该恶意软件的工作原理,并对当前恶意软件的感染状况进行描述。故事要起源于圣诞节那天,在2018年12月25日12:48,OSX.Dok的一个新型变种经过有效的开发者ID签名,并发布到网络。我们在1月9日首次发现这一恶意软件,并通过非官方渠道通知了Apple。不久之后,恶意软件开发者的签名被Cupertino公司撤销。尽管如此,该措施并没有阻止攻击者对Mac的持续破坏。关于Dok在OSX.Dok中,包含一个DMG,其文件名为DHL_Dokumen
公告
关注公众号hackdig,学习最新黑客技术