记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华遗传恶意软件分析的用例(以政府机构为例)
遗传恶意软件分析(Genetic Malware Analysis)技术基于识别与已知软件的代码相似性,可帮助政府机构应对以下网络安全挑战:1.威胁情报:自动提供对未知文件的逆向工程级别的分析,包括恶意软件家族分类,YARA签名,相关样本和其他上下文。2.归因:事实证明,遗传恶意软件分析可以准确地检测并归因于威胁行为者的复杂APT和恶意软件。3.加快事件响应速度:通过自动执行文件和内存分析过程,政府机构可以减少误报,并立即对大规模的网络事件进行优先级划分,调查和响应。网络对关键基础设施的威胁 政府机构负责保护重要的基础设施,也就是对国家经济和社会福祉至关重要的资产。例如,在美国,有16个部门被指定为关键基础设
发布时间:2019-10-22 13:10 |
阅读:1904 | 评论:0 |
标签:恶意软件
从SharPersist思考恶意软件持久化检测
持久化(Persistence)是一个攻击链周期中非常重要的环节,攻击者会利用各种技术确保恶意软件在系统上驻留的时间更加长久,即使在设备重启、凭据修改或其他可能破坏当前恶意活动的操作发生后,也能够重新拉起和保持恶意的行为。建立持久化又分为持久化注入和持久化触发两个部分。持久化注入通常指植入恶意payload,通常包括进程注入、EXE文件注入、动态链接库(DLL)注入、HTML应用程序(HTA)注入、脚本注入等;而持久化触发则包括添加自启动项、服务、计划任务等。国外安全研究人员在九月发布了一个用C#编写的持久化工具包SharPersist,主要用于实现Windows下的各类持久化操作,该项目的开源地址为:https://
发布时间:2019-10-21 13:10 |
阅读:2433 | 评论:0 |
标签:恶意软件
以macOS.GMERA恶意软件为例,揭秘macOS环境下行为检测的原理及优势
概述上周,Trend Micro的研究人员在野外发现了一个新型的macOS恶意软件,该恶意软件会对真正的股票交易应用程序进行欺骗,开启后门,并运行恶意代码。在本文中,我们主要分析该恶意软件的工作原理,并以这一恶意软件为示例,讨论不同的检测和响应策略,特别重点说明在macOS上进行行为检测的原理和优势。GMERA恶意软件概述首先,让我们看一下这个新型macOS恶意软件的技术细节。研究人员最初发现了两个变种,并将其识别为GMERA.A和GMERA.B。在本文中,我们将重点介绍GMERA.B样本中与检测和响应有关的关键环节。我们所分析的样本哈希值是:d2eaeca25dd996e4f34984a0acdc4c2a1dfa3b
无文件形式的恶意软件:了解非恶意软件攻击(2)
上篇文章,我们介绍了非恶意软件如何工作?在攻击中使用非文件恶意软件的原因,以及PowerShell,什么是POWERSHELL合法使用?为什么要使用POWERSHELL进行无文件攻击?本篇文章,我们将继续介绍indows管理工具(WMI),以及为什么要使用WMI进行无文件攻击?另外还对.NET框架以及为什么要使用.NET进行无文件攻击都做了介绍。Windows管理工具(WMI)Windows Management Instrumentation(WMI)是Microsoft标准,用于访问有关企业环境中设备的管理信息。自Windows NT 4.0和Windows 95以来,WMI已深深嵌入到Windows操作系统中。W
发布时间:2019-10-07 13:10 |
阅读:5272 | 评论:0 |
标签:恶意软件
无文件形式的恶意软件:了解非恶意软件攻击(一)
与基于文件的攻击不同,无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲,Windows是反对自己的。没有可执行文件,杀毒软件就无法检测到签名,这就是无文件攻击如此危险的原因,因为它们能够轻松逃避防病毒产品。利用MITRE ATT&CK框架防御这些攻击,MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战术及技术的公共知识库),引起了业界广泛注意。MITRE ATT&CK深入研究对手行为,安全分析师可利用该信息在网络攻防战中占据有利地位,可以通过五个步骤使用ATT&CK创建闭环安全过程。无文件攻击使用一种称为“陆地生存(living-o
发布时间:2019-10-06 13:10 |
阅读:7565 | 评论:0 |
标签:恶意软件
看我如何一步步将基于堆的 AMSI 绕过做到接近完美
这篇博文描述了如何在 Excel 中实现使用 VBA (Visual Basic for Applications) 绕过微软的AMSI (Antimalware Scan Interface)。 与其他的绕过思路不同的是,这种方法不使用硬编码的偏移量或操作码,而是识别堆上的关键数据并对其进行修改。 其他研究人员以前也提到过基于堆的绕过,但在撰写本文时,还没有可用的公共 PoC。 这篇博文将为读者提供关于 AMSI 实现的一些见解,以及一种绕过它的通用方法。引言自从微软推出 AMSI 实现以来,已经发布了许多关于绕过其实现机制的文章。 白色代码(Code White)安全团队实施红队的使用场景,其中网络钓鱼扮演了重要角
新WhiteShadow下载器用Microsoft SQL提取恶意软件
攻击活动分析2019年8月,Proofpoint研究人员发现了一系列的传播含有WhiteShadow下载器VB宏的word和Excel附件的恶意邮件活动。图1: AWhiteShadow攻击活动中的恶意邮件WhiteShadow是一种恶意软件交付服务,其中包含Microsoft SQL Server实例来保存下载器提取的主机payload。下面是攻击活动的概览:表 1: WhiteShadow攻击活动2019年8月和9月的顺序表下载器分析WhiteShadow用SQLOLEDB连接器来连接远程Microsoft SQL Server服务器实例,执行查询,并将结果保存为zip可执行文件的形式。SQLOLEDB连接器是来自
追踪Trickbot:近期发现的Trickbot Payload的简要分析
概述提到恶意软件家族Trickbot,最早可以追溯到2016年。在最近几个月,我们与行业中的其他研究人员持续观察到Trickbot恶意活动的“觉醒”。在最初,Trickbot是专门的银行木马,但随着多年来的不断发展,这一系列恶意软件变得更为强大。针对很多方面而言,Trickbot都在通过其模块化和可扩展的体系结构满足现代威胁(例如:Emotet)所需的发展。在本文中,我们将重点介绍最近截获的Trickbot样本,重点关注该恶意样本是如何持续加强逃避检测的能力的,我们还将研究与分析的样本一同安装的当前模块套件。Trickbot:恶意样本的基本信息Trickbot以多种方式进行分发。我们经常会看到Trickbot与Emot
恶意软件开发档案解密之根据PDB路径和其他调试细节来推测相关的恶意活动(下)
在上一篇文章中,我们介绍了PDB路径是如何生成的以及其中包含的信息。今天,我们讲接着讨论通过PDB路径展示出的异常和其他恶意行为。PDB路径展示:异常和其他恶意行为互联网是一个奇怪的地方,在足够大的范围内,你最终会看到你从未想过你会看到的内容。比如那些偏离常规的事情,那些逃避标准的事情,那些完全无法解释的事情等。我们期望PDB路径以某种方式显示,但是我们遇到过几个没有这样做的示例,而且我们并不总是确定发生的原因。下面的许多示例可能是错误、损坏、混淆或各种形式的故意操作的结果。我们在这里演示它们是为了说明,如果你正在尝试PDB路径解析或检测,你需要了解各种各样的路径,并为各种各样的恶意行为做好准备。以下示例中的每一个都来
发布时间:2019-09-18 13:10 |
阅读:11123 | 评论:0 |
标签:恶意软件
恶意软件开发档案解密之根据PDB路径和其他调试细节来推测相关的恶意活动(上)
你是否想过恶意软件开发者在开发时的最初想法是什么?他们如何构建他们的工具?他们如何组织他们的开发项目?他们使用什么样的计算机和软件?通过探索恶意软件调试信息,我们尝试回答其中的一些问题。首先,我们发现恶意软件开发人员为所开发的文件夹和代码所起的名称,通常都明确的表明了其所包含的功能。因此,当使用符号调试信息编译恶意软件项目时,这些描述性名称将显示在PDB路径中。通过调试信息可以让我们深入了解恶意软件开发环境,虽然这些信息不显眼,但只要最够细心,我们可以使用PDB路径和其他调试细节来检测相关的恶意活动。人机协议数字存储系统彻底改变了我们的世界,但为了利用我们存储的数据并以有效的方式检索它,我们必须合理地组织它。为此,用户
发布时间:2019-09-16 13:10 |
阅读:12684 | 评论:0 |
标签:恶意软件
对GOOTKIT木马有效载荷的分析
本文是对GOOTKIT木马研究的第3部分——检索最终的有效载荷,前两部分,我们分别介绍了《深入分析Gootkit木马的反分析能力》和《对GOOTKIT木马的持久性攻击和其他恶意功能的探索》。在这篇文章中,我们将逆向Gootkit执行的例程以下载和执行Node.js最终有效载荷。我们还将看到如何从可执行文件中提取JS脚本,并简要介绍一些有趣的脚本。本文使用的样本的MD5:0b50ae28e1c6945d23f59dd2e17b5632-vwxyz参数如前所述,Gootkit包含几个参数,这些参数可能影响流程的执行,也可能不影响流程的执行。这个示例中最有趣的参数是——vwxyz,在执行时,Gootkit将重新执行,并将-v
提取字符串方法在恶意软件分析中的应用
目前逆向工程师、安全分析人员和事件响应人员在分析恶意软件二进制文件时,已经拥有了大量成熟的工具。在进行恶意软件分析时,为了逐步收集有关二进制文件功能的线索,设计对应的检测方法,并确定最终的环境措施,他们会相继应用这些工具。最常用的初始步骤便是通过字符串程序检查它的可打印字符。如果二进制文件执行诸如打印错误消息、连接到URL、创建注册表项或将文件复制到特定位置等操作,那么它通常会包含一些有助于未来分析的字符串。注:字符串程序在NT和Win2K上工作时,意味着可执行文件和目标文件会多次嵌入UNICODE字符串,使用标准ASCII字符串或grep程序无法轻松查看。字符串只扫描你传递的文件,以获取默认长度为3或更多UNICOD
对GOOTKIT木马的持久性攻击和其他恶意功能的探索
在上一篇文章,我们分析了GOOTKIT木马的强大反分析能力,本文,我们继续探索GOOTKIT木马的持久性攻击和其他恶意功能。Gootkit银行木马于2014年被发现,它利用Node.JS库执行一系列恶意任务,通过网站注入并获取密码,更绝的是它还有视频录制和远程VNC功能。自2014年Gootkit被发现以来,Gootkit背后的开发者一直在不断更新代码库,以减缓安全人员的分析并阻止自动沙箱的检查。本文研究的样本是MD5: 0b50ae28e1c6945d23f59dd2e17b5632运行配置在讨论持久性和C2通信例程之前,让我们先看一下设备配置及其存储方式。你可以在前一篇文章中介绍的反分析机制中,查看第一次在示例中提
深入分析Gootkit木马的反分析能力
Gootkit恶意软件自2014年曝光之后,已经持续活跃5年。它利用Node.JS库执行一系列恶意任务,并且通过不断更新代码库多次升级和迭代,运用加密、混淆、反调试等手法对软件进行保护,增加其逆向过程中的复杂度,并且检测其运行环境,如果碰到可疑环境,沙箱检测则立即停止运行。凭借以上优势,其恶意代码也是在各大杀软平台查杀率最低的恶意软件之一,一度成为现今最活跃和复杂的木马之一。不过就目前而言,他的流行范围并不是很广,具有明显的定向攻击的特性。比如,从2019年3月末开始,就有研究人员发现许多针对意大利政府敏感单位的持续性钓鱼邮件攻击,并且在4月初达到高峰。经过研究人员的分析和取证,发现这些邮件包含了经过精心构造的诱饵内容
使用魔多 AWS 检测内网的威胁活动
目标· 回顾一下关于魔多(Mordor)的背景知识· 解释 AWS 对魔多计划的贡献以及它是何等的重要· 解释如何启动 AWS 环境· 解释在这个环境是可用的情况下可能做到的事情背景魔多(Mordor) 是一个由罗伯特·罗德里格斯和他的兄弟 Jose Rodriguez 创建的项目。“ 魔多项目提供预先录制的安全事件,这些事件是由模拟对抗技术以 JSON 文件的形式生成的,以便于研究人员使用。”预先记录的数据按照 ATT&CK 框架定义的平台、对手组、策略和技术进行分类。”魔多项目允许任何人导出模拟对抗技术后生成的数据,并将数据导入任何分析平台。 这可以通过利用
使用高度混淆的JS文件:最新Trickbot恶意活动分析
概述一段时间以来,我们持续在追踪Trickbot银行木马恶意活动。近期,我们发现了一个恶意软件变种,Trend Micro将其检测为TrojanSpy.Win32.TRICKBOT.TIGOCDC,该恶意软件使用分布式垃圾邮件分发,在附件中带有包含恶意宏的Microsoft Word文档。在用户单击打开文档之后,将会投放一个经过严重混淆后的JS文件(JavaScript),下载Trickbot作为其Payload。该恶意软件还会检查受影响计算机中正在运行的进程数量,如果它检测到恶意软件自身运行在一个进程非常有限的环境之中,恶意软件将会认为它可能正在虚拟环境中运行,不会再继续执行其例程。除了信息窃取功能之外,恶意软件还会
发布时间:2019-08-22 13:10 |
阅读:18375 | 评论:0 |
标签:恶意软件
公告
关注公众号hackdig,学习最新黑客技术