记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Monero官网Linux二进制文件被植入恶意软件

事件回顾Monero Project项目目前正在调查官网被黑事件。事件的起因在于从官网下载页下载的Linux 64-bit command line (CLI) Monero二进制文件中发现一个偷币的恶意软件。Monero团队在推特上说,CLI二进制文件的下载地址为http://getmonero.org,该站点在过去24小时内可能被黑了。GitHub, Reddit和Twitter上多个用户报告并确认了,Monero官网可能在传播哈希值不匹配的恶意二进制文件超过30分钟。目前,所有的二进制文件都已被清理,而且是安全的。Monero建议用户验证二进制文件的真实性,并确认是由Fluffypony的GPG密钥签名的。关于检
发布时间:2019-11-21 13:25 | 阅读:3920 | 评论:0 | 标签:恶意软件 linux

揭秘Emotet恶意软件新变种幕后攻击者的运营模式

概述本文是FortiGuard SE团队关于Emotet威胁攻击者的最新研究成果,Emotet是当前网络环境中威胁较大的一个恶意组织。我们与网络威胁联盟的成员共同编写了一系列关于攻击者的手册,要查看更多信息,可以参考《网络威胁联盟手册》白皮书。此外,在FortiGuard Playbook Viewer中可以详细了解相关恶意活动,并查看MITRE的对抗策略、技术和常识(ATT&CK)模型。关于EMOTETEmotet在2014年首次被发现,当时还是一个用于窃取财务数据的“简单”银行木马。之所以用双引号把“简单”二字括起来,是因为随着时间的流逝,这个木马不仅已经演变成僵尸网络,并且还增强了模块化,具有借助类似于蠕
发布时间:2019-11-18 13:25 | 阅读:6407 | 评论:0 | 标签:恶意软件

不在沉默中爆发就在沉默中死亡,处于沉寂状态的 Emotet 僵尸网络是怎样卷土重来的?(一)

在 2019年大部分时间里处于沉寂状态的 Emotet 僵尸网络又重新爆发了! 研究人员认为,Emotet 可能正是在这段沉寂期间进行的基础设施维护和升级,只要它的服务器重新启动并运行,Emotet 便会携全新增强型威胁函数强势回归。Emotet感染链分析有证据表明,Emotet背后的运营团队Mealybug已经从维护自己的自定义银行木马发展成为了其他组织的恶意软件的分销商。在过去的一两个月中,研究人员已经确定了许多组织和政府机构受到了新一代Emotet的银行木马恶意软件的影响。除了恶意垃圾邮件活动之外,研究人员还看到Emotet用于安装其他形式的恶意软件(例如MegaCortex)或部署勒索软件病毒(例如Ryuk)。
发布时间:2019-11-18 13:25 | 阅读:6212 | 评论:0 | 标签:恶意软件

恶意软件与政治斗争

就像人们通过艺术表达他们的政治观点一样,恶意软件开发人员也会通过他们的途径来表达他们的政治思想和希望。在调查最近的一次恶意垃圾邮件活动时,思科Talos团队检测到有很多以政治人物姓名为主题的恶意程序,如Trump.exe,于是他们便开始研究其他包含政治人物的恶意程序,并找到了数百个示例。Talos集团在其报告中解释说:“在过去的几年中,我们通过调查这些数据制定了一份名单,列出了各个政治人物名字、术语和图片,这些人物都是在整个政治领域引起高度关注的。然后,我们在各种恶意软件存储库中进行搜索,令人惊讶的是,我们发现不仅有这些以政治人物命名的恶意软件普遍存在,而且已经产生了各种各样的威胁。”以下是Talos以及Bleepin
发布时间:2019-11-15 13:10 | 阅读:7433 | 评论:0 | 标签:恶意软件

对 ArabicRSS APK 应用木马样本的分析

水坑攻击(watering hole) 是近些年黑客攻击常用的方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。 由于此种攻击借助了目标团体所信任的网站,攻击成功率很高,即便是那些对鱼叉攻击或其他形式的钓鱼攻击具有防护能力的团体。其针对的目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,并入侵其中一个或多个,植入恶意软件,最后,达到感染该组目标中部分成员的目的。包含木马载荷的水坑应用程序尽管受害者在使用其设
发布时间:2019-11-14 13:10 | 阅读:5023 | 评论:0 | 标签:恶意软件

使用卷序列号作为加密密钥:APT恶意软件LOWKEY分析

概述在2019年8月,FireEye发布了有关最新发现的威胁组织——APT41的“Double Dragon”报告。APT41是一个与亚洲某国家联系紧密的双重间谍组织,聚焦于财务领域,该恶意组织主要针对游戏、医疗保健、高科技、高等教育、电信和旅游服务等行业。本文主要分析了我们发现的一个复杂、被动型后门,在关于APT41的报告中曾经提到,并且在最近的FireEye Cyber Defense Summit会议上与大家进行了分享。我们观察到,LOWKEY被用于一些针对性非常强的实际攻击之中,并利用仅能在特定系统上运行的Payload。文章中还使用了其他恶意软件家族名称,并进行了简要描述。有关APT41使用的恶意软件的完整概
发布时间:2019-11-13 13:10 | 阅读:10013 | 评论:0 | 标签:恶意软件 技术 加密

你不知道的威胁狩猎技巧:Windows API 与 Sysmon 事件的映射

“就像我们知道的那样,有一些事情我们是知道的。有一些事情我们知道我们知道,也有些我们不知道我们知道。也就是说我们知道有些事情我们不知道,但是也有些事情是我们不知道我们不知道。” ——唐纳德 · 拉姆斯菲尔德简介从防御的角度来看,我们应用于安全的最危险的事情之一就是假设。 假设是造成不确定性的盲点。 通过在检测过程中枚举和消除尽可能多的假设,我们限制了攻击面和敌人可以逃避我们检测努力的区域。 虽然总会有盲点,但是知道盲点总比不知道盲点好。 如果我们意识到我们的盲点,我们就可以在我们的检测努力中更有准备和更有效率。问题: 我们如何限制盲点和假设的数量?答: 发现攻击面并理解环境中的攻击向量。 有了这样的认识,我们就可以发现
发布时间:2019-11-11 13:10 | 阅读:11095 | 评论:0 | 标签:二进制安全 恶意软件 系统安全 威胁狩猎

BianLian恶意软件分析

分析乍一看,恶意APK样本是严重混淆过的,并使用了之前从未见过的一种技术。但并不是说他就使用了一种极其复杂的技术。它主要以来生成各种随机函数的方法来隐藏样本的真实功能。在初步检查分析过程中,研究人员发现了生成函数的一些代码,然后用APK沙箱分析系统进行了静态和动态分析。沙箱分析结果从沙箱中获取的结果可以帮助我们更好地理解样本。首先,在dex operation区域,动态加载的文件有两条记录。第一个是与主应用加载函数相关,第二个引用了名为payload.apk的样本,这意味着样本在执行过程中可能会安装其他的应用。和信息窃取、连接初始化一样,最有趣的调用是在第一个应用的代码中执行的。根据这些信息和近期活跃的其他恶意软件家族
发布时间:2019-11-10 13:10 | 阅读:6538 | 评论:0 | 标签:恶意软件 BianLian

ATMJaDi恶意软件分析

2019年春,研究人员发现了一个用Java语言编写的ATM恶意软件样本被上传到multiscanner服务。经过初步分析,研究人员发现该恶意软件(ATMJaDi)是一款可以使ATM吐钱。但它使用的并不是标准的XFS、JXFS或CSC库。而是受害者银行ATM软件的Java专用类,也就是说恶意软件攻击的目标只是一小撮ATM。Kaspersky检测到的恶意软件样本为Trojan.Java.Agent.rs。技术分析首先,与其他ATM恶意软件类似,攻击者必须找到一种方法来在目标ATM上安装恶意软件。恶意软件无法通过ATM键盘或触屏来控制,因为它运行的是自己伪造的HTTP服务器web接口。所以犯罪分子必须要有目标ATM的网络访问
发布时间:2019-11-05 13:10 | 阅读:7778 | 评论:0 | 标签:恶意软件 ATMJaDi

IcedID恶意软件原理分析(二)

上文,我们已经就如何解压缩IcedID恶意软件,IcedID使用的挂钩和进程注入技术,以及如何执行IcedID有效载荷进行了研究,在这部分,我们会继续来研究关于IcedID有效载荷分析(父进程)的问题。有效载荷分析以下是有效载荷的入口函数,它首先解钩函数RtlExitUserProcess。核心函数在函数sub_0x27FE()中实现。成功执行核心模块后,程序将进入无限循环,以确保svchost.exe进程不会退出。有效载荷的入口函数接下来,让我们看一下函数sub_0x27FE()。函数sub_0x27FE()接下来,我将向你展示该函数的作用。两个注入的内存区域正如你在第一部分的图15中所看到的,svchost.exe
发布时间:2019-10-31 13:10 | 阅读:14224 | 评论:0 | 标签:恶意软件 IcedID

TA505:利用Get2恶意下载工具传播新型SDBbot远程访问木马

一、概述在2019年9月,Proofpoint的研究人员观察到一个非常活跃的威胁参与者TA505持续发送电子邮件,尝试传播并诱导安装新型恶意下载工具Get2。我们观察到,Get2下载了FlawedGrace、FlawedAmmyy、Snatch和SDBbot(一种新型Rat)作为辅助Payload。在本文中,Proofpoint将详细介绍与这些最新恶意活动相关的策略、技术和过程(TTP),并提供对Get2下载工具和SDBbot RAT的详细分析。这些新的发展是一种既有模式的延续,从2018年以来,Proofpoint研究人员观察到众多威胁行为者越来越多地分发下载程序、后门程序、信息窃取程序、远程访问木马(RAT)以及更
发布时间:2019-10-30 13:10 | 阅读:13978 | 评论:0 | 标签:恶意软件 Get2 木马

【ATT & CK】ATT & CK中的进程注入三部曲

内容概要本文详细介绍分析了Mitre ATT&CK矩阵中的三种进程注入手法:经典的进程注入、Process Hollowing和Process Doppelgänging。并对相应的手法趋势作出总结。恶意软件使用进程注入的主要目的大致是为了躲避杀软的检测或者进行提权操作。这里我们将主要针对第一种情况下的3种手段进行详细的讨论。第一曲:轻快童谣–经典的进程注入(DLL注入)这是最为经典的手段,流程也十分简洁明了即:OpenProcess -> VirtualAllocEx -> WriteProcessMemory -> C
发布时间:2019-10-29 13:10 | 阅读:9060 | 评论:0 | 标签:恶意软件 注入

罕见恶意软件Nodersok通过多阶段无文件技术快速传播

无文件恶意软件特征之一是滥用本地合法工具进行恶意活动,这类工具通常被称为“LOLBin”(living-off-the-land binaries),借助它们恶意软件能保持持久性、横向移动或用于其他恶意目的。但当攻击者需要的功能超出标准LOLBins功能时会发生什么呢? 近期,Microsoft的研究人员发现了一款名为Nodersok的新型恶意软件。它的特殊之处在于,攻击者不单使用本机LOLBins,还将两个外部LOLBins引入到恶意活动中,包含如下两个工具:· Node.exe,Node.js框架的Windows实现,使用它的Web应用程序数不胜数· WinDivert,一款功能强大的网络数据包捕获及处理
发布时间:2019-10-24 13:10 | 阅读:8882 | 评论:0 | 标签:恶意软件 Nodersok

遗传恶意软件分析的用例(以政府机构为例)

遗传恶意软件分析(Genetic Malware Analysis)技术基于识别与已知软件的代码相似性,可帮助政府机构应对以下网络安全挑战:1.威胁情报:自动提供对未知文件的逆向工程级别的分析,包括恶意软件家族分类,YARA签名,相关样本和其他上下文。2.归因:事实证明,遗传恶意软件分析可以准确地检测并归因于威胁行为者的复杂APT和恶意软件。3.加快事件响应速度:通过自动执行文件和内存分析过程,政府机构可以减少误报,并立即对大规模的网络事件进行优先级划分,调查和响应。网络对关键基础设施的威胁 政府机构负责保护重要的基础设施,也就是对国家经济和社会福祉至关重要的资产。例如,在美国,有16个部门被指定为关键基础设
发布时间:2019-10-22 13:10 | 阅读:11134 | 评论:0 | 标签:恶意软件

从SharPersist思考恶意软件持久化检测

持久化(Persistence)是一个攻击链周期中非常重要的环节,攻击者会利用各种技术确保恶意软件在系统上驻留的时间更加长久,即使在设备重启、凭据修改或其他可能破坏当前恶意活动的操作发生后,也能够重新拉起和保持恶意的行为。建立持久化又分为持久化注入和持久化触发两个部分。持久化注入通常指植入恶意payload,通常包括进程注入、EXE文件注入、动态链接库(DLL)注入、HTML应用程序(HTA)注入、脚本注入等;而持久化触发则包括添加自启动项、服务、计划任务等。国外安全研究人员在九月发布了一个用C#编写的持久化工具包SharPersist,主要用于实现Windows下的各类持久化操作,该项目的开源地址为:https://
发布时间:2019-10-21 13:10 | 阅读:9109 | 评论:0 | 标签:恶意软件

以macOS.GMERA恶意软件为例,揭秘macOS环境下行为检测的原理及优势

概述上周,Trend Micro的研究人员在野外发现了一个新型的macOS恶意软件,该恶意软件会对真正的股票交易应用程序进行欺骗,开启后门,并运行恶意代码。在本文中,我们主要分析该恶意软件的工作原理,并以这一恶意软件为示例,讨论不同的检测和响应策略,特别重点说明在macOS上进行行为检测的原理和优势。GMERA恶意软件概述首先,让我们看一下这个新型macOS恶意软件的技术细节。研究人员最初发现了两个变种,并将其识别为GMERA.A和GMERA.B。在本文中,我们将重点介绍GMERA.B样本中与检测和响应有关的关键环节。我们所分析的样本哈希值是:d2eaeca25dd996e4f34984a0acdc4c2a1dfa3b
发布时间:2019-10-09 13:10 | 阅读:10740 | 评论:0 | 标签:恶意软件 技术 GMERA恶意软件 macOS

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云