记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(下)
评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(上)预警和检测策略开发随着我们对可用事件日志、它们的上下文和限制的新理解,我们的CIRT工程师现在可以在构建警报和检测策略时使用这些信息。以下是一些假设的样本,这些假设被开发用来作为潜在的警报/威胁搜索查询的基础,这些查询被漏洞利用防御缓解机制分解。非微软官方的二进制加载此 WDEG 缓解记录由微软签名的进程加载非微软签名模块的任何尝试。 这可以作为一个潜在的有价值的数据源,而不是将应用程序作为白名单的审计或实施。范围系统级别。 与某些文档相反,这种缓解措施可以应用于所有进程。 可以在全系统范围内应用的审计日志非常理想,可以用来识别误报,
评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(上)
Windows Defender 漏洞利用防护(WDEG)是一套预防和侦查控制,用于识别和减少针对 Windows 主机的主动攻击尝试。 基于先前增强的缓解经验工具包(EMET)的成功经验,WDEG 不仅提供了一系列广泛的攻击缓解方案,而且还通过提供与异常事件相关的丰富的上下文事件日志充当调查资源。Palantir 的计算机应急响应小组(CIRT)在端点遥测和检测能力方面严重依赖于安全供应商产品,而调查和开发新的与安全相关的数据源是我们成功的基础。 这篇博客文章分析了将“漏洞利用防御”作为一个新的数据源,包括警报和检测策略(ADS)。 我们还将详细介绍企业配置和转出策略,并提供检测假设的抽样。我们提供了一个新的 Git
xHunt的后续追踪报道:对xHunt后门工具的脚本进行分析
几个月以来,Unit42一直在研究针对科威特组织的xHunt攻击活动。最近,该组织又发现了新的证据,之前在xHunt活动中讨论过的创建Sakabota工具的开发人员,曾在2018年7月和2018年8月对Sakabota进行了两次测试活动,测试的目的就是为了逃避检测。这些测试活动涉及了Sakabota的几种变体,对代码库进行轻微更改,然后开发人员将向在线防病毒扫描服务提交每项更改,以确定检测其工具的供应商。 在分析开发人员在这些测试活动中创建的Sakabota样本时,研究人员发现了开发人员在工具中包含的脚本,研究人员怀疑这是为了帮助工具的攻击者在受感染的系统和网络上进行活动。这是研究人员第一次看到恶意软件开发人
LokiBot用隐写术隐藏踪迹
LokiBot首次出现是作为信息窃取器和keylogger,随着这些年的发展,LokiBot不断加入了一些新的功能。该恶意软件的最新活动表明它滥用Windows Installer进行安装,并引入含有恶意ISO文件附件的垃圾邮件的新传播方法。研究人员对该LokiBot变种进行分析发现它更新了驻留机制,并使用隐写术来隐藏恶意代码。图 1. 含有LokiBot附件的垃圾邮件样本示例分析邮件样本邮件样本中有多个元素。第一个也就最明显的就是sender name和邮件签名不匹配,表明这可能是一个恶意消息。第二个是sense of urgency:邮件的发送时间是7月1日,但邮件内容告知接收者订购的产品会在7月中旬送到。也就是说
Monero官网Linux二进制文件被植入恶意软件
事件回顾Monero Project项目目前正在调查官网被黑事件。事件的起因在于从官网下载页下载的Linux 64-bit command line (CLI) Monero二进制文件中发现一个偷币的恶意软件。Monero团队在推特上说,CLI二进制文件的下载地址为http://getmonero.org,该站点在过去24小时内可能被黑了。GitHub, Reddit和Twitter上多个用户报告并确认了,Monero官网可能在传播哈希值不匹配的恶意二进制文件超过30分钟。目前,所有的二进制文件都已被清理,而且是安全的。Monero建议用户验证二进制文件的真实性,并确认是由Fluffypony的GPG密钥签名的。关于检
揭秘Emotet恶意软件新变种幕后攻击者的运营模式
概述本文是FortiGuard SE团队关于Emotet威胁攻击者的最新研究成果,Emotet是当前网络环境中威胁较大的一个恶意组织。我们与网络威胁联盟的成员共同编写了一系列关于攻击者的手册,要查看更多信息,可以参考《网络威胁联盟手册》白皮书。此外,在FortiGuard Playbook Viewer中可以详细了解相关恶意活动,并查看MITRE的对抗策略、技术和常识(ATT&CK)模型。关于EMOTETEmotet在2014年首次被发现,当时还是一个用于窃取财务数据的“简单”银行木马。之所以用双引号把“简单”二字括起来,是因为随着时间的流逝,这个木马不仅已经演变成僵尸网络,并且还增强了模块化,具有借助类似于蠕
发布时间:2019-11-18 13:25 |
阅读:11674 | 评论:0 |
标签:恶意软件
不在沉默中爆发就在沉默中死亡,处于沉寂状态的 Emotet 僵尸网络是怎样卷土重来的?(一)
在 2019年大部分时间里处于沉寂状态的 Emotet 僵尸网络又重新爆发了! 研究人员认为,Emotet 可能正是在这段沉寂期间进行的基础设施维护和升级,只要它的服务器重新启动并运行,Emotet 便会携全新增强型威胁函数强势回归。Emotet感染链分析有证据表明,Emotet背后的运营团队Mealybug已经从维护自己的自定义银行木马发展成为了其他组织的恶意软件的分销商。在过去的一两个月中,研究人员已经确定了许多组织和政府机构受到了新一代Emotet的银行木马恶意软件的影响。除了恶意垃圾邮件活动之外,研究人员还看到Emotet用于安装其他形式的恶意软件(例如MegaCortex)或部署勒索软件病毒(例如Ryuk)。
发布时间:2019-11-18 13:25 |
阅读:17541 | 评论:0 |
标签:恶意软件
恶意软件与政治斗争
就像人们通过艺术表达他们的政治观点一样,恶意软件开发人员也会通过他们的途径来表达他们的政治思想和希望。在调查最近的一次恶意垃圾邮件活动时,思科Talos团队检测到有很多以政治人物姓名为主题的恶意程序,如Trump.exe,于是他们便开始研究其他包含政治人物的恶意程序,并找到了数百个示例。Talos集团在其报告中解释说:“在过去的几年中,我们通过调查这些数据制定了一份名单,列出了各个政治人物名字、术语和图片,这些人物都是在整个政治领域引起高度关注的。然后,我们在各种恶意软件存储库中进行搜索,令人惊讶的是,我们发现不仅有这些以政治人物命名的恶意软件普遍存在,而且已经产生了各种各样的威胁。”以下是Talos以及Bleepin
发布时间:2019-11-15 13:10 |
阅读:20440 | 评论:0 |
标签:恶意软件
对 ArabicRSS APK 应用木马样本的分析
水坑攻击(watering hole) 是近些年黑客攻击常用的方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。 由于此种攻击借助了目标团体所信任的网站,攻击成功率很高,即便是那些对鱼叉攻击或其他形式的钓鱼攻击具有防护能力的团体。其针对的目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,并入侵其中一个或多个,植入恶意软件,最后,达到感染该组目标中部分成员的目的。包含木马载荷的水坑应用程序尽管受害者在使用其设
发布时间:2019-11-14 13:10 |
阅读:11011 | 评论:0 |
标签:恶意软件
使用卷序列号作为加密密钥:APT恶意软件LOWKEY分析
概述在2019年8月,FireEye发布了有关最新发现的威胁组织——APT41的“Double Dragon”报告。APT41是一个与亚洲某国家联系紧密的双重间谍组织,聚焦于财务领域,该恶意组织主要针对游戏、医疗保健、高科技、高等教育、电信和旅游服务等行业。本文主要分析了我们发现的一个复杂、被动型后门,在关于APT41的报告中曾经提到,并且在最近的FireEye Cyber Defense Summit会议上与大家进行了分享。我们观察到,LOWKEY被用于一些针对性非常强的实际攻击之中,并利用仅能在特定系统上运行的Payload。文章中还使用了其他恶意软件家族名称,并进行了简要描述。有关APT41使用的恶意软件的完整概
你不知道的威胁狩猎技巧:Windows API 与 Sysmon 事件的映射
“就像我们知道的那样,有一些事情我们是知道的。有一些事情我们知道我们知道,也有些我们不知道我们知道。也就是说我们知道有些事情我们不知道,但是也有些事情是我们不知道我们不知道。” ——唐纳德 · 拉姆斯菲尔德简介从防御的角度来看,我们应用于安全的最危险的事情之一就是假设。 假设是造成不确定性的盲点。 通过在检测过程中枚举和消除尽可能多的假设,我们限制了攻击面和敌人可以逃避我们检测努力的区域。 虽然总会有盲点,但是知道盲点总比不知道盲点好。 如果我们意识到我们的盲点,我们就可以在我们的检测努力中更有准备和更有效率。问题: 我们如何限制盲点和假设的数量?答: 发现攻击面并理解环境中的攻击向量。 有了这样的认识,我们就可以发现
BianLian恶意软件分析
分析乍一看,恶意APK样本是严重混淆过的,并使用了之前从未见过的一种技术。但并不是说他就使用了一种极其复杂的技术。它主要以来生成各种随机函数的方法来隐藏样本的真实功能。在初步检查分析过程中,研究人员发现了生成函数的一些代码,然后用APK沙箱分析系统进行了静态和动态分析。沙箱分析结果从沙箱中获取的结果可以帮助我们更好地理解样本。首先,在dex operation区域,动态加载的文件有两条记录。第一个是与主应用加载函数相关,第二个引用了名为payload.apk的样本,这意味着样本在执行过程中可能会安装其他的应用。和信息窃取、连接初始化一样,最有趣的调用是在第一个应用的代码中执行的。根据这些信息和近期活跃的其他恶意软件家族
ATMJaDi恶意软件分析
2019年春,研究人员发现了一个用Java语言编写的ATM恶意软件样本被上传到multiscanner服务。经过初步分析,研究人员发现该恶意软件(ATMJaDi)是一款可以使ATM吐钱。但它使用的并不是标准的XFS、JXFS或CSC库。而是受害者银行ATM软件的Java专用类,也就是说恶意软件攻击的目标只是一小撮ATM。Kaspersky检测到的恶意软件样本为Trojan.Java.Agent.rs。技术分析首先,与其他ATM恶意软件类似,攻击者必须找到一种方法来在目标ATM上安装恶意软件。恶意软件无法通过ATM键盘或触屏来控制,因为它运行的是自己伪造的HTTP服务器web接口。所以犯罪分子必须要有目标ATM的网络访问
IcedID恶意软件原理分析(二)
上文,我们已经就如何解压缩IcedID恶意软件,IcedID使用的挂钩和进程注入技术,以及如何执行IcedID有效载荷进行了研究,在这部分,我们会继续来研究关于IcedID有效载荷分析(父进程)的问题。有效载荷分析以下是有效载荷的入口函数,它首先解钩函数RtlExitUserProcess。核心函数在函数sub_0x27FE()中实现。成功执行核心模块后,程序将进入无限循环,以确保svchost.exe进程不会退出。有效载荷的入口函数接下来,让我们看一下函数sub_0x27FE()。函数sub_0x27FE()接下来,我将向你展示该函数的作用。两个注入的内存区域正如你在第一部分的图15中所看到的,svchost.exe
TA505:利用Get2恶意下载工具传播新型SDBbot远程访问木马
一、概述在2019年9月,Proofpoint的研究人员观察到一个非常活跃的威胁参与者TA505持续发送电子邮件,尝试传播并诱导安装新型恶意下载工具Get2。我们观察到,Get2下载了FlawedGrace、FlawedAmmyy、Snatch和SDBbot(一种新型Rat)作为辅助Payload。在本文中,Proofpoint将详细介绍与这些最新恶意活动相关的策略、技术和过程(TTP),并提供对Get2下载工具和SDBbot RAT的详细分析。这些新的发展是一种既有模式的延续,从2018年以来,Proofpoint研究人员观察到众多威胁行为者越来越多地分发下载程序、后门程序、信息窃取程序、远程访问木马(RAT)以及更
【ATT & CK】ATT & CK中的进程注入三部曲
内容概要本文详细介绍分析了Mitre ATT&CK矩阵中的三种进程注入手法:经典的进程注入、Process Hollowing和Process Doppelgänging。并对相应的手法趋势作出总结。恶意软件使用进程注入的主要目的大致是为了躲避杀软的检测或者进行提权操作。这里我们将主要针对第一种情况下的3种手段进行详细的讨论。第一曲:轻快童谣–经典的进程注入(DLL注入)这是最为经典的手段,流程也十分简洁明了即:OpenProcess -> VirtualAllocEx -> WriteProcessMemory -> C
公告
关注公众号hackdig,学习最新黑客技术