记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华CronRAT:一种新的Linux恶意软件,计划于2月31日运行
CronRAT:一种新的Linux恶意软件,计划于2月31日运行 研究人员发现了一种新的Linux远程访问木马(RAT),它采用了一种前所未有的隐身技术,该技术涉及通过将其安排在2月31日(一个不存在的日历日)执行来掩盖其恶意行为。Sansec Threat Research表示,这种被称为CronRAT的狡猾恶意软件"使服务器端的Magecart数据盗窃成为可能,从而绕过了基于浏览器的安全解决方案"。这家荷兰网络安全公司表示,它在几家在线商店发现了RAT的样本,其中包括一家未具名的国家最大的商店。
黑客利用恶意软件 Tardigrade 攻击生物制造设施
Hackernews编译,转载请注明出处:
今年,借助一个叫做 Tardigrade 的恶意软件装载器,一个 APT攻击了 两家生物制造公司。
生物经济信息共享与分析中心(BIO-ISAC)发布了一份公告,其中指出,恶意软件正在整个行业中广泛传播,它们的目的可能是盗窃知识产权,保证持续性,并用勒索软件感染系统。
今年春天,一家不知名的生物制造设施被勒索软件攻击,BIO-ISAC 随后开始进行调查。该公司表示,Tardigrade 是一种复杂的恶意软件,具有“高度自主性和变形能力”。2021年10月,这个恶意软件被用来攻击第二个实体。
警惕更加阴险的Android银行恶意软件——BrazKing
据The Hacker News网站报道,一款更加隐蔽的Android恶意程序正紧盯着用户的钱袋子,它能通过窃取双因素身份验证码 (2FA) ,从受感染设备的银行账户中盗取资金。IBM威胁情报平台X-Force将这款恶意软件称为BrazKing,其前身为PixStealer,二者都通过滥用Android无障碍服务对银行应用执行覆盖攻击。以前的PixStealer可检测用户正在打开的应用,并从硬编码URL 中检索虚假屏幕进行替换。
跑分软件 UserBenchmark 被 23 款安全软件误标记为“恶意软件”
反病毒软件主要根据各种病毒特征进行预防、隔离等操作,但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal,这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。
UserBenchmark 是一个轻量级的免费软件,可以测试你的 CPU、GPU、内存、存储驱动器(SSD和/或HDD)和 USB 驱动器。该软件最近的一些版本还包括一个“技能工作台”(Skill Bench),基本上也是为用户提供基准测试。
但是,如上所述,目前有近20种反病毒软件,准确地说,有23种,将该软件标记为恶意软件,其中绝大多数将其识别为木马程序(如下图)。
UserBenchmark被23款安全软件误标记为“恶意软件”
UserBenchmark 是一个轻量级的免费软件,可以测试你的 CPU、GPU、内存、存储驱动器(SSD和/或HDD)和 USB 驱动器。该软件最近的一些版本还包括一个“技能工作台”(Skill Bench),基本上也是为用户提供基准测试。但是,如上所述,目前有近20种反病毒软件,准确地说,有23种,将该软件标记为恶意软件,其中绝大多数将其识别为木马程序(如下图)。这个问题并不完全是新问题,因为像这样的案例是由用户在网上论坛上报告的。微软也在这个反恶意软件的名单中,将UserBenchmark标记为一个恶意的木马。
欧美地区现新型Android系统银行恶意软件
本周一,网络安全公司 Cleafy 和 ThreatFabric 的研究人员公布了一个新型Android恶意软件,它能够窃取用户手机中的银行账户。该软件被称为“SharkBot”,自 2021 年 10 月下旬以来就一直处于活跃状态,其攻击目标是主要是意大利、英国和美国银行的移动端用户。研究人员在一份报告中表示,SharkBot属于新一代移动端恶意软件,能够利用系统中的辅助功能在受感染设备中执行ATS(自动转账系统)攻击。在Android 系统上,ATS是一种相当先进的攻击技术,能使攻击者自动填充合法移动银行应用程序中的字段,并从中触发资金转账操作。
微软警告 NOBELIUM 攻击技术愈加泛滥 谨防 HTML 代码夹带恶意软件
早在 5 月,微软就认定有俄罗斯背景的 NOBELIUM 黑客组织要对持续数月的 SolarWinds 网络攻击事件负责,并同企业、政府和执法机构达成了合作,以遏制此类网络攻击的负面影响。早些时候,微软更进一步地剖析了 NOBELIUM 使用的一套更加复杂的恶意软件传送方法。可知其用于造成破坏,并获得“HTML Smuggling”系统的访问权。
HTML Smuggling 技术概览(图自:Microsoft Security)
微软表示,HTML Smuggling 是一种利用合法 HTML5 和 JavaScript 功能、以高度规避安全系统检测的恶意软件传送技术。
Emotet 垃圾邮件软件在全球范围内攻击邮箱
Hackernews编译,转载请注明出处:
Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。
Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并使用PowerShell将其加载到内存中。
一旦加载,恶意软件将搜索和窃取电子邮件,用于之后的垃圾邮件攻击,并植入额外的有效载荷,如TrickBot或Qbot,这些载荷通常会使设备遭勒索软件感染。
恶意软件Emotet正在重建僵尸网络
网络安全专业人员对 Emotet 恶意软件的明显回归并不感到意外。恶意软件于 2014 年首次作为银行特洛伊木马程序被发现,后来演变为全球网络犯罪分子部署的用于非法访问计算机系统的强大工具。恶意软件的创建者 - APT 组 TA542 - 雇用 Emotet 给其他网络罪犯,他们用它来将恶意软件(如银行木马或勒索软件)安装到受害者的计算机上。作为加拿大、法国、德国、立陶宛、荷兰、联合王国、美国和乌克兰当局协调行动的一部分,Emotet的僵尸网络基础设施于1月被拆除。
阿里云ECS被加密货币挖矿恶意软件劫持
Alibaba ECS实例被劫持用于进行加密货币挖矿。弹性云服务器(Elastic Cloud Server)是一种可随时自动获取、计算能力可弹性伸缩的云服务器,可以为用户提供可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率。Trend Micro研究人员发现有攻击者劫持阿里云ECS实例来安装加密货币挖矿恶意软件,并使用ECS的服务器资源来进行加密货币挖矿。阿里云ECS为保护ECS的安全,ECS都预装了安全代理。因此,攻击者一般会尝试卸载恶意软件。研究人员在该恶意软件中发现了可以创建防火墙规则来丢弃来自属于阿里IP单位的包的代码。
虚假安装程序已经成为了传播恶意软件的新途径
我们最近发现流行软件的虚假安装程序被用来将恶意软件捆绑包传送到受害者的设备上。这些安装程序被广泛使用,诱使用户打开恶意文档或安装不需要的应用程序。众所周知,在网络安全方面,用户的安全操作环节通常被认为是最薄弱的环节。这意味着它们成为攻击的入口并经常成为黑客的常见社会工程目标。通过终端用户,黑客再逐步地发起对企业的攻击。员工有时并不知道是否受到网络攻击,或者不熟悉网络安全最佳实践,而攻击者则确切地知道如何利用这种安全漏洞。攻击者欺骗用户的一种方式是使用未经授权的应用程序或带有恶意载荷的安装程序来发起攻击。我们最近发现其中一些虚假安装程序被用来将恶意软件捆绑包传送到受害者的设备上。
发布时间:2021-11-16 13:14 |
阅读:8965 | 评论:0 |
标签:恶意软件
Zebra2104初始访问代理支持竞争对手的恶意软件团伙和APT
据研究人员称,三个不同的威胁组织都在使用一个共同的初始访问代理(IAB)来发起网络攻击——这一发现揭露了一个由相关攻击基础设施组成的错综复杂的网络,支持不同的(在某些情况下是互相竞争的)恶意软件活动。黑莓研究与情报团队发现,被称为MountLocker和Phobos的勒索软件组织,以及StrongPity高级持续威胁(APT),都与黑莓称之为Zebra2104的IAB威胁参与者合作。IAB通过漏洞利用、凭证填充、网络钓鱼以及其他方式破坏各种组织的网络,然后建立持久的后门以维持访问。接着,他们将访问权出售给各种暗网论坛上出价最高的人。
恶意软件即服务,银行木马使用组件发起定向攻击
阅读:12一、概述DanaBot银行木马最早出现在2018年,主要针对欧美国家,至今已产生多个变种,可组合不同的上线ID。近期,DanaBot活动频繁,在10月和11月两起供应链投毒事件中,两个流行的NPM库UA-Parser-JS和coa被攻击者添加了恶意代码,用于投递ID为40的DanaBot变种木马。伏影实验室检测发现,ID为4的DanaBot变种木马也在活动。从10月中旬开始,攻击者通过投递特定功能组件,控制DanaBot木马网络对俄罗斯某站点发起了DDoS攻击。
Abcbot - 一种新的可进化的蠕虫僵尸网络恶意软件瞄准 Linux
奇虎360的Netlab安全团队的研究人员公布了一种名为"Abcbot"的新型僵尸网络的细节,这种僵尸网络在野外被观察到具有蠕虫般的传播特征,以感染Linux系统,并针对目标发起分布式拒绝服务(DDoS)攻击。虽然僵尸网络的最早版本可追溯到 2021 年 7 月,但最近观察到的 10 月 30 日的新变种已配备其他更新,以攻击密码较弱的 Linux Web 服务器,并且容易受到 N 日漏洞的影响,包括自定义实施 DDoS 功能,表明恶意软件正在不断发展。Netlab的发现也基于趋势科技上月初的一份报告,该报告宣传了针对华为云的攻击,包括加密货币挖掘和加密劫持恶意软件。
Windows 10应用程序安装程序在 BazarLoader 恶意软件攻击中被滥用
TrickBot团伙运营商现在正在滥用Windows 10应用程序安装程序,将其BazarLoader恶意软件部署到目标系统上,这是一场针对性很强的垃圾邮件攻击。
BazarLoader(又名BazarBackdoor、BazaLoader、BEERBOT、KEGTAP和Team9Backdoor)是一种隐秘的后门木马,通常用于破坏高价值的目标网络,并将对受损设备的访问权出售给其他网络罪犯。
它还被用来提供额外的有效载荷,如cobalt strike信标,帮助威胁者访问受害者网络,并最终部署危险的恶意软件,包括但不限于Ryuk勒索软件。
11月12日每日安全热点 - 墨西哥出现Dridex银行恶意软件
漏洞 VulnerabilityCVE-2021-38294: Apache Storm 命令注入漏洞https://seclists.org/oss-sec/2021/q4/44Linux BusyBox 产品多个安全漏洞https://jfrog.com/blog/unboxing-busybox-14-new-vulnerab
Android平台用户小心了,新恶意软件盯上了你们的Instagram账号
据bleepingcomputer网站报道,一种名为MasterFred的新型Android恶意软件正对Instagram 、Netflix和 Twitter用户构成威胁,它通过创建虚假登录界面来窃取用户账号信息。MasterFred首次发现于今年6月,恶意软件分析师Alberto Segura一周前也在网上分享了第二个样本 ,指出它被用来攻击波兰和土耳其的 Android用户。在分析了新版本的恶意软件后,发现它试图使用系统上的辅助功能服务来获得对系统的更高权限。
快讯:利用namesilo Parking和Google的自定义页面来传播恶意软件
摘要
近期,我们发现一个GoELF可疑样本,分析得知是一个downloder,主要传播挖矿。有意思的地方在于传播方式,利用了namesilo的Parking页面,以及Google的用户自定义页面来传播样本及配置,从而可以躲避跟踪。
该样本最开始被友商腾讯安全团队捕获,不过传播链条分析中,对namesilo parking域名的分析不太准确。往往大家以为,域名停靠期间(Domain Parking),页面显示内容是被域名停靠供应商强制限定的,域名实际拥有者并不能修改其页面内容。但在这个案例中,域名停靠供应商允许域名拥有者自定义停靠页面。
欧洲刑警组织宣布已逮捕 7 名 REvil/GandCrab 勒索软件关联嫌疑人
欧洲刑警组织(Europol)今日宣布逮捕了7名嫌疑人,他们以一个大型勒索软件卡特尔组织“会员(affiliates)”(合作伙伴)的身份工作,自2019年初以来帮助实施了7000多次攻击。这些嫌疑人在REvil (Sodinokibi)和GandCrab勒索软件即服务(RaaS)的部分业务中工作。
据信,REvil和GandCrab都是由同一批操作的,他们创建了赎金软件代码以提供给其他网络犯罪分子出租。
这些租赁团体将策划对公司的入侵、部署勒索软件、要求支付赎金,然后跟REvil/GandCrab的编码者分享利润。
黑莓发现初始访问代理链接到3个不同的黑客团体
一个未知初始访问代理被揭露为三个不同的攻击者提供入口点,攻击活动包括利益驱动的勒索软件攻击和网络钓鱼活动。
黑莓的研究和情报团队将这个实体命名为“Zebra2104”,该组织负责为MountLocker和Phobos等勒索软件集团,以及名为StrongPity(又名Promethium)的高级持续威胁(APT)跟踪提供技术手段。
据我们所知,网络威胁领域越来越多地被一类被称为初始访问代理(IABs)的玩家所控制,他们为其他网络犯罪集团提供服务,包括勒索软件附属公司,通过持续进入受害者网络的后门,在不同地区和行业的众多潜在组织中立足,成功地建立了远程访问的定价模型。
深入研究 Snake Keylogger 的新变种恶意软件
译者:知道创宇404实验室翻译组原文链接:https://www.fortinet.com/blog/threat-research/deep-dive-into-a-fresh-variant-of-snake-keylogger-malware前言Fortinet 的 FortiGuard 实验室最近发现了一个用于传播恶意软件的微软 Excel 样本。在研究了它的行为之后,我发现它是 Snake Keylogger 恶意软件的一个新变种。Snake Keylogger是一个模块化的.NET键盘记录器。
发布时间:2021-11-09 10:33 |
阅读:9757 | 评论:0 |
标签:恶意软件
AI赋能windows恶意软件检测
前言作为安全研究人员的基本功之一,我们通过分析程序所有的系统API调用就能大致知道程序的作用,或者至少可以知道程序是正常程序还是恶意软件。因为系统API调用的序列反映出来是软件特定的行为顺序,这可以作为检测恶意软件的依据,所以检测程序是否恶意的关键是要找到一种合适的方法来处理API调用的顺序。在深度学习中有一种方法称为LSTM对于处理时序数据非常有效,本文就是基于LSTM来进行检测。本文会详细介绍样本获取及特征、标签的处理流程,LSTM的原理并通过实战展示如何应用AI技术检测windows恶意软件。 LSTMLSTM是一种特殊的 RNN,能够学习长期依赖性。
报告:Blackmatter恶意软件走向没落
由于执法机关的不断施压,这家前DarkSide网络犯罪集团已被关闭,当局可能已经逮捕了一名关键团队成员。从DarkSide的余烬中崛起的多产勒索软件集团似乎再次陷入黑暗之中。根据其网站上发布的消息,BlackMatter表示,由于执法机关的压力,将于48小时之后关闭所有的基础设施。VX-Underground聚合了一系列恶意软件源代码、样本和各种资源,在其Twitter提要上发布了一张俄语的屏幕截图,同时也发布了相关的英文翻译。“由于当局不断施压,目前的情况我们已无力解决。有部分的团队成员已经无法再参与,所以只能将该项目将关闭,”消息称。
发布时间:2021-11-07 13:16 |
阅读:13434 | 评论:0 |
标签:恶意软件
BlackMatter 勒索软件营运者称因地方当局压力而停业
BlackMatter勒索软件背后的犯罪集团今天宣布计划关闭其业务,理由是来自地方当局的压力。该组织在其 “勒索软件即服 “门户后台发布的一条信息中宣布了其计划,其他犯罪集团通常在这里注册,以获得BlackMatter勒索软件的使用权。
这条消息是由vx-underground信息安全小组的一名成员获得。BlackMatter勒索软件背后的犯罪集团在其中表示,由于某些无法解决的情况,以及来自当局的压力,该项目被关闭。48小时后,整个基础设施将被关闭。
虽然该组织没有解释,但在过去两周发生了三个重大事件。
攻击者利用验证码来隐藏网络钓鱼链接和恶意软件
据研究人员称,网络攻击者正在使用谷歌的reCAPTCHA(又称 "我不是机器人 "功能)和类似CAPTCHA的虚假的服务来伪装各种网络钓鱼攻击和其他犯罪活动。然而,有迹象表明,这些努力可能正在逐渐失去其效力。CAPTCHA是大多数互联网用户熟悉的工具,用来确认用户是人类。这种类似图灵测试的工具通常使用户点击网格中所有包含某种物体的照片,或者输入一个模糊的或者扭曲的字母或者单词。这个工具的作用是为了防止电子商务和在线账户网站上的机器人对网页进行访问,它们对攻击者也有同样的作用。
FBI 发出警告:勒索软件集团正在利用财务信息进一步勒索受害者
FBI日前警告称,勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司,以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出,网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息,如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。
“在最初的侦察阶段,网络犯罪分子会找出非公开的信息,他们威胁要发布这些信息或者在敲诈过程中把这些信息作为筹码诱使受害者遵守赎金要求,”FBI说道,“即将发生的可能影响受害者股票价值的事件如公告、兼并和收购,鼓励勒索软件行为者瞄准一个网络或在建立了访问权的情况下调整勒索的时间表。
深度学习如何广泛用于恶意软件检测和分类
人工智能 (AI) 不断发展,并在过去十年中取得了巨大进步。深度学习(DL, Deep Learning)是机器学习(ML, Machine Learning)领域中一个新的研究方向,深度学习是学习样本数据的内在规律和表示层次,这些学习过程中获得的信息对诸如文字,图像和声音等数据的解释有很大的帮助。它的最终目标是让机器能够像人一样具有分析学习能力,能够识别文字、图像和声音等数据。 深度学习是一个复杂的机器学习算法,在语音和图像识别方面取得的效果,远远超过先前相关技术。
NOBELIUM 恶意软件针对性FoggyWeb后门攻击活动
本文是对新检测到的 NOBELIUM 恶意软件的深入分析,NOBELIUM 采用多种策略来进行凭据盗窃,目的是获得对 Active Directory 联合身份验证服务 ( AD FS ) 服务器的管理员级别访问权限。一旦 NOBELIUM 获得凭据并成功入侵服务器,攻击者就会依赖该访问权限来保持持久性并使用复杂的恶意软件和工具加深其渗透。NOBELIUM 使用 FoggyWeb 远程渗透受感染 AD FS 服务器的配置数据库、解密的令牌签名证书和令牌解密证书,以及下载和执行其他组件。
伪装成防病毒应用, 新型Android恶意软件正在日本传播
据bleepingcomputer网站报道,上周,日本安全研究人员发现了一个新变种的 Android 信息窃取软件——FakeCop,并警告说,恶意APK的传播速度正在加快。日本安全研究员Yusuke Osumi是该恶意软件的发现者,当时这款软件正以网络钓鱼的方式进行传播。在VirusTotal上的62个防病毒引擎中,只有22个检测到了恶意软件,表明FakeCop具有良好的隐蔽性。
超过千万安卓用户成为付费短信诈骗应用的目标
一场在全球范围性欺诈行为被发现,它利用151个恶意Android应用程序,下载量达1050万次,在未经用户同意和知情的情况下将用户拉入付费订阅服务。
名为“Ultimams”的付费短信诈骗活动据信于2021年5月开始,涉及的应用程序涵盖范围广泛,包括输入法、二维码扫描仪、视频和照片编辑器、垃圾邮件拦截程序、摄像头过滤器和游戏,下载了欺诈性应用程序的用户大多来自埃及、沙特阿拉伯、巴基斯坦、巴基斯坦、阿联酋、土耳其、阿曼、卡塔尔、科威特、美国和波兰。
尽管有很大一部分有问题的应用程序已经从Google Play商店中删除,但截至2021年10月19日,其中82个应用程序仍然可以在在线市场上使用。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤