记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华极具破坏性的Roaming mantis多次涉猎挖矿和网络钓鱼
2018年4月,卡巴斯基实验室发布了一篇名为“Roaming Mantis使用DNS劫持来感染Android智能手机”的博客blogpost。Roaming Mantis使用Android恶意软件,旨在通过DNS劫持进行传播并以Android设备为目标。根据我们的遥测数据,该活动主要集中在亚洲(韩国,孟加拉国和日本)。潜在的受害者被DNS劫持重定向到一个恶意网页,恶意网页发布了一个伪装成Facebook或Chrome的特洛伊应用程序,然后由用户手动安装。该应用程序实际上包含一个Android木马银行。它引起了我们的注意,在我们发布后不久,其他研究人员也专注于这个恶意软件家族。我们发布了博客之后又发了另一份出版物。我们想
新型恶意软件—— Grizzly攻击Telegram
简介在过去的一个半月里,Talos观察到了一种新型恶意软件,它收集端到端加密即时消息服务Telegram的缓存和密钥文件。这款恶意软件最早于2018年4月4日发布,于4月10日出现第二个变种。尽管第一个版本只能窃取浏览器凭证和cookie,以及系统上找到的所有文本文件,但第二个版本添加了收集Telegram桌面缓存和密钥文件的功能,以及Steam网站的登录信息。Talos情报研究已经识别出了该恶意软件背后的作者。作者发布了几个YouTube视频,其中包含关于如何使用Telegram收集文件、劫持Telegram会话以及如何打包发布。此恶意软件的运营者使用几个pcloud.com硬编码帐户来存储泄露信息。这些信息没有加密
Google Play上出现了针对移动设备的恶意软件
今年早些时候,McAfee研究人员在迈克菲移动威胁报告McAfee Mobile Threat Report中预测,由于移动设备无处不在的增长以及恶意软件作者使用的复杂策略,针对移动设备的攻击数量将会增加。去年,我们首家发布了移动领域运营的Lazarus组织的博客。在报告发布几周后,最近又在Google Play上发现了RedDawn行动,证明专门针对移动设备的攻击依然存在。RedDawn是今年看到的Sun Team黑客组织的第二个行动。今年1月,McAfee Mobile Research Team撰写了针对北韩叛逃者和记者的Android恶意软件。迈克菲研究人员最近发现了由相同人员开发的新恶意软件,这些恶意软件在G
新的恶意软件——Vega Stealer,可从受感染的计算机中窃取敏感文档
一、概述最近,Proofpoint观察到一项针对营销/广告/公共关系和零售/制造行业的攻击活动,名为Vega Stealer的新恶意软件。该恶意软件具备针对Chrome和Firefox浏览器中保存的凭据和信用卡的窃取功能,以便从受感染的计算机中窃取敏感文档。Vega是August Stealer的一个变体,并有一部分重要的新功能。二、传播和目标2018年5月8日,Proofpoint观察并阻止了一个小批量的电子邮件攻击行动,其中包括“需要在线商店开发人员”等主题。有些电子邮件已发送给个人,而其他电子邮件已发送到分发名单,包括info @,clientservice @和publicaffairs @+目标域名,这是一种
Maikspy间谍软件伪装成成人游戏,攻击Windows和安卓用户
研究人员发现一个名为Maikspy的恶意软件家族,这是一个可以窃取用户隐私数据的多平台间谍软件。该间谍软件攻击目标为Windows和安卓用户,最开始会伪装成一个以美国著名成人电影女演员命名的成人游戏。Maikspy将成人电影女演员的名字和间谍软件融合在一起,从2016年开始活动。研究人员对最新的Maikspy变种进行了分析,发现用户是从hxxp://miakhalifagame[.]com/获取的该间谍软件,而该网站是专门分发恶意app的,还可以连接到C2服务器来上传从被感染的机器上收集的数据。多个Twitter账号在推送一个叫做Virtual Girlfriend的成人游戏,并通过短链接的方式分析恶意域名。Figur
Armor for Android似乎卷土重来:虚假Android AV重现
早在2013年初,一个名为Armor for Android的新型移动杀毒软件公司就出现在移动安全软件行业,这让所有人都感到困惑。因为其杀毒软件看起来像被称为Fake AV的恶意软件,甚至有人直接给它贴上这种标签。作为一名年轻的移动研究人员,我是给它贴上这样一个标签的人之一,并将它添加到恶意软件检测列表中。不久之后,Armor for Android便联系了我当时工作的安全公司,要求移除对其杀毒软件的检测。我写了一个博客进行反击,证明这家AV公司不可能是合法的——尽管它们的产品正在Google Play中上架。但我并没有把该博客发表,因为我被同行的行为啪啪打脸了:AV公司是由一家著名的反病毒测试公司测试的。更令人不快的
不断改变的Necurs:可通过internet快捷方式躲避垃圾邮件检测
自2012年以来一直存在的僵尸网络恶意软件Necurs已经得到改进,因为攻击者希望能够更好的击败网络安全措施,所以它被发现使用.URL文件发展其第二层感染(远程脚本下载程序被趋势科技检测为MAL_CERBER- JS03D,MAL_NEMUCOD-JS21B,VBS_SCARAB.SMJS02和MAL_SCARAB-VBS30)。作为一种模块化的恶意软件,Necurs及其变种具有发送垃圾邮件、信息窃取以及禁用安全服务和元素的功能。自2012年以来一直存在,并通过Necurs僵尸网络在野外传播。在2017年,它推出了Locky——一个勒索软件家族,其中一个变种是24小时内通过2300万封电子邮件发布的(通过一个仅有URL
解析针对巴西用户的恶意软件及垃圾邮件行动
FireEye实验室最近发现了几起针对巴西公司的大范围masepam(恶意软件垃圾邮件)行动,旨在传播银行木马。我们将这些行动称为Metamorfo。在行动的各个阶段中,我们观察到使用多种策略和技术来逃避检测并提供恶意payload。本文中,我们剖析了两个主要的行动,并解释了其工作原理。一、行动#1kill链以包含HTML附件的电子邮件开始,该附件带有使用Google短URL为目标的刷新标记。图1显示了一个示例电子邮件,图2显示了HTML文件的内容。图1:带HTML附件的恶意电子邮件图2:HTML文件的内容加载URL后,它会将受害者重定向到一个云存储站点,例如GitHub,Dropbox或Google Drive以下载
Android间谍软件和银行木马——XLoader,可通过DNS欺骗进行传播
一、简介3月初以来,我们发现了新一轮的网络攻击,目前针对日本,韩国,中国,台湾和香港。这些攻击使用DNS(域名系统)缓存中毒/ DNS欺骗,应用诸如暴力或字典攻击等技术来分发和安装恶意Android应用。趋势科技将其检测为ANDROIDOS_XLOADER.HRX。这些恶意软件伪装成合法的Facebook或Chrome应用程序。它们是从受污染的DNS域名分发的,这些域名向未知的受害者设备推送通知。恶意应用程序可以窃取个人身份信息和财务数据并安装其他应用程序。XLoader还可以通过设备管理员权限劫持受感染的设备(即发送短信)和维持自我保护/持久性机制。图1. 伪装的Facebook和Chrome应用的屏幕截图(突出显示
恶意软件分析之——勒索即服务(Raas)
一、简介多年来,暗网的传播创造了新的非法商业模式。除了毒品和支付卡数据等典型的非法商品外,地下黑市还出现了其他服务,包括黑客服务和恶意软件开发。新平台允许没有任何技术的骗子创建自己的勒索软件并将其传播。勒索软件是感染受害者的机器并锁定文件或加密文件的恶意代码,要求支付赎金。当勒索软件安装在受害者机器上时,它会搜索并定位敏感文件和数据,包括财务数据,数据库和个人文件。勒索软件可以让受害者的机器无法使用。用户只有两种选择:在没有获取原始文件的保证的情况下支付赎金或将PC从互联网断开。二、历史第一起勒索软件诞生于1989年,当时20,000张软盘被派发为“艾滋病信息介绍软盘”,在90次重启后,该软件隐藏了目录,并在客户的计算
深度分析一款基于python的恶意软件——PBot
最近研究人员发现一个利用套件释放的基于python的样本。虽然该样本伪装成MinerBlocker,但是和挖矿机没有任何共同点。事实上,它是一个基于python的广告软件:PBot/PythonBot。除了俄语论坛的一些发布的消息外,没有任何详细的信息。研究人员对该样本的特征进行了分析,发现它执行MITB(man-in-the-browser)攻击并注入不同的脚本到合法网站中。根据传播的意图,该恶意软件的功能可能不止简单的广告注入。样本分析· 5ffefc13a49c138ac1d454176d5a19fd – EK释放的下载器· b508908cc44a54a841ede7214d34aff3 –恶意安装器
Hide’N Seek Bot:重用Mirai代码
一、介绍在主流软件开发中重用互联网上提供的代码是一种常见做法。这种做法与恶意软件开发没有什么不同。许多恶意软件源代码已经泄露,这样就使许多恶意黑客和恶意软件作者能够学习并打造自己的恶意软件。2016年9月,Mirai源代码在黑客社区Hackforums上泄露。据了解,Mirai已被用于通过大规模分布式拒绝服务(DDoS)攻击暂时瘫痪高端服务。自从在线发布此代码以来,许多人都试图对其进行修改,结果出现了许多变体和派生体,占据物联网威胁的一角。 2018年3月3日,我的同事Dario Durando在西班牙马德里的RootedCon安全会议上介绍了对这些变体的研究,我们确定其源自Mirai源代码。从简单的修改(例如将更多证
Early Bird代码注入可绕过杀毒软件检测
代码注入恶意软件是避免被检测到的一种常用技术,是向合法进程中注入代码。这样,合法的进程就会成为恶意代码的伪装,反恶意软件产品看到运行的是一个合法的进程,这样就可以达到混淆恶意代码的目的。研究人员对一种新的代码注入技术进行了研究,它允许恶意代码中进程的主线程入口点之前就运行,所以如果安全产品的hook放在主函数线程执行复原前,这种注入就可以绕过安全产品的检测。但是在线程代码执行前,异步过程调用会首先执行。研究人员在不同的恶意软件中都发现了这种注入技术的踪迹,包括APT 33的后门TurnedUp。恶意代码注入工作流如下:· 创建一个处于suspend状态的(合法Windows)进程;· 向该进程中分配
虚假软件更新滥用NetSupport远程访问工具
过去几个月,FireEye跟踪了一场利用受感染网站传播虚假更新的野外攻击活动。在某些情况下,payload是NetSupport Manager RAT(远程访问工具)。 NetSupport Manager是一种商用RAT,可供系统管理员合法使用,用于远程访问客户端计算机。然而,恶意攻击者在受害者不知情的情况下将其安装到受害者系统,滥用此程序来获得未授权访问他们机器的行为。本博客介绍了在payload为NetSupport RAT的情况下,对其使用的JavaScript和相关组件的详细分析。一、感染向量这些攻击行动背后的运营者使用受感染的网站来传播伪装成Adobe Flash,Chrome和FireFox更
FAUXPERSKY恶意软件分析
攻击者在不断地寻找新的方式来在Windows系统上执行文件。其中一个技巧将是使用AutoIT或者AutoHotKey。比如,AutoHotKey (AHK)允许用户在写入与Windows交互的代码,从Windows中读取代码,发送键盘中断消息给其他应用。AHK还允许用户创建含有原来代码的编译过的exe文件。所以对黑客来说,AHK是一个很好的工具,可以用来写一些简单高效的证书窃取工具。研究人员发现了伪装为Kaspersky反病毒软件的用AHK编写的密码窃取器,并通过感染USB驱动传播。研究人员将其命名为Fauxpersky。研究人员在用户环境中发现了4个释放的文件。每个文件都与Windows系统文件类似:· E
恶意软件QuantLoader深度分析
本文将介绍恶意软件的行动流程、运行和网络功能,其中包括分析恶意软件如何运行以及如何与C2连接和通信,还有恶意软件的一些有趣的调用,比如调用和执行netsh命令来改变本地防火墙的规则。最新的QuantLoader版本是服务钓鱼活动,该活动开始的时候以钓鱼邮件来向用户传播JS下载器。该恶意软件使用的SMB协议而不是常用的HTTP协议,可能的原因是为绕过一些代理和防火墙的检测。分析首先,该活动的流图为:Phish > JS downloader > QuantLoader (> C2) > Payload&nbs
公告
关注公众号hackdig,学习最新黑客技术