记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华亚马逊 S3 存储桶勒索软件攻防详解(下)
S3 勒索软件概述正如本博文的第一部分所阐述的,S3勒索软件是一种可以对公司造成极大影响的攻击。 S3勒索软件是指攻击者能够访问受害者的 S3 存储桶,然后用自身的新副本替换每个对象,但用攻击者的 KMS 密钥进行加密。 受害者将不再能够访问他们自己的 S3对象,需要服从攻击者的要求才能获得这些对象(或者花费额外的时间成本冒着去当局或 AWS 进行事件响应的风险)。方法 # 3: 在你的账户中记录和监控活动你应该始终在你的帐户中启用 AWS CloudTrail。 理想情况下,CloudTrail 应该覆盖所有账户的所有区域,记录读写管理事件,记录 S3 存储桶 和 Lambda 函数的数据事件,启用日志文件加密,并启
亚马逊 S3 存储桶勒索软件攻防详解(上)
攻击向量简介通过我们的云安全研究,我们在犀牛安全实验室(Rhino Security Lab)开发出了一个概念验证的”云勒索软件",该勒索软件使用 KMS 加密亚马逊 S3存储桶内的 AWS 帐户对象。 攻击者利用这个勒索软件获得对受害者系统的访问控制权限,并对受害者系统上的敏感数据进行加密。 与此同时,攻击者还会威胁受害者,告知受害者,如果受害者不在某一时限内付款,就会删除或公开发布数据。 通常,这些攻击的目标是服务器、工作站和类似的设置,但与许多攻击一样,这种攻击也有"云等效"的性质。S3勒索软件是非常具有破坏性的,我们的研究和博客文章并不打算以任何方式协助攻击者实施攻击。 由于这个原
是什么原因让Dridex可以进行如此疯狂的繁衍
前言从2011年被发现至今,Dridex银行木马已经成为最流行的银行木马家族。光在2015年,Dridex造成的损失估计就超过了4000万美元,与其他银行木马家族不同,因为它总是在不断演变并让其变得更加复杂。在2011年首次被发现时,Deidex就已经能够通过充当代理的后端服务器来隐藏其主要的命令与控制(C&C)服务器,从而逃避检测。鉴于Deidex的新版本会完全迭代旧版本,并且每次新的变异都会让Deidex的攻击技术进一步更新,所以我们可以得出结论,Deidex的背后一定有一个固定的研发团队在对其持续的进行更新和维护。而在2016年,Dridex的loader变得更加复杂,加密方式发生了变化,引入了二进制lo
恶意软件Agent Tesla分析:揭密SWEED多年来的恶意活动
概述Cisco Talos团队近期发现了大量正在进行中的恶意软件分发活动,这些活动与我们称之为“SWEED”的威胁行为者相关联,而他们在此前发布了包括Formbook、Lokibot和Agent Tesla等一系列恶意软件。根据我们的研究,SWEED恶意组织自2017年至今以来一直在运营,主要使用窃取工具和远程访问木马针对目标发动攻击。在发送带有恶意附件的鱼叉式网络钓鱼邮件时,SWEED选择了与大多数攻击活动相同的方式。尽管这些攻击活动中包含了大量不同类型的恶意文档,但攻击者主要尝试使用Agent Tesla的加壳版本来感染其受害者,这是一个自2014年以来一直存在的信息窃取工具。SWEED使用的Agent Tesla
发布时间:2019-07-26 12:25 |
阅读:30990 | 评论:0 |
标签:恶意软件
IcedID恶意软件原理分析(一):脱壳、挂钩和进程注入
概述IcedID是一种银行木马,该木马在浏览器上执行Web注入,并作为监测并操纵流量的代理。该木马能够窃取受害者的信息,例如凭据。然后,会将被窃取的信息发送到远程服务器。最近,FortiGuard Labs团队开始对一些IcedID样本进行分析。在本系列文章中,我将详细分析新的IcedID恶意软件样本,本系列将分为三个部分。· 第一部分:脱壳、挂钩和进程注入· 第二部分:IcedID核心Payload分析· 第三部分:子进程分析本文是该系列的第一部分,让我们来逐一突破。0x01 恶意PE可执行文件我们所分析的样本是PE可执行文件,最常见的是受感染的Office文件。下图展现了执行PE文件后
将恶意代码隐藏在图像中:揭秘恶意软件使用的隐写术
概述本周,许多Facebook用户都会发现,一些用户发布图片上出现了原本应该隐藏的图像标签。由此可以证明,图像可以携带大量表面上不可见的数据。实际上,Facebook和Instagram所使用的图片元数据与恶意攻击者制作的特制图像相比显得非常简单,攻击者可以采用复杂的方法,制作出用于传递恶意代码或泄露用户数据的图像。在过去几年中,使用隐写技术和隐写式技巧的野外恶意软件活动有显著增加。攻击者利用这种技术,在图片和其他“载体”文件中嵌入隐藏的信息。在本篇文章中,我们将了解隐写术是什么,以及恶意攻击者是如何使用它的。什么是隐写术?隐写术(Steganography)是一种可以隐藏代码的技术,例如在图像文件中加入隐藏的标签信息
现在的黑客创新圈也开始这么浮躁了吗?明明有实力,却非得走网红路线!
现在的黑客创新圈也开始这么浮躁了吗,明明有实力独创一次引领黑客领域的攻击,却非得大面积抄袭别人的代码!记一次针对克罗地亚政府的定向攻击分析。在2019年4月初,发生一起针对克罗地亚政府的攻击,最近Positive Technologies对此次攻击做了详细研究,发现攻击者在这次攻击中,使用了许多比较新颖的攻击技术,比如攻击链,攻击指标以及使用新的post-exploitation框架,据研究人员的发现,此前还没有攻击者利用过这个新的post-exploitation框架。攻击链在2019年4月2日,在Positive Technologies定期对恶意软件进行审查期间,一份不寻常的Office文件引起了研究人员的注意,
发布时间:2019-07-19 12:25 |
阅读:32474 | 评论:0 |
标签:恶意软件
macOS恶意软件排查实践指南
概述在我们最近的文章《恶意软件如何维持macOS持久性》中,我们讨论了威胁参与者可以确保持久性的方式,一旦威胁参与者攻破了macOS设备,其恶意代码理论上可以在设备注销或重启后仍然存在。但是,持久性仅仅是攻击链中的一个因素。众所周知,一些威胁行为者不仅仅满足于一次性感染或重复利用漏洞后保持隐蔽,他们可能会让恶意软件在实现其目标后进行自动清理,从而确保不留下任何痕迹。显然,仅仅寻找持久化的项目并不足以进行威胁排查。因此,在本文中我们将深入讨论如何在macOS设备上搜寻威胁。收集有关Mac的信息如何在macOS终端上搜索恶意软件,很大程度上取决于我们对设备的访问权限,以及当前在设备上运行的软件类型。我们将假设用户的设备此时
Agent Smith手机恶意软件分析
概述2019年初,Check Point研究人员发现一起在印度攻击安卓用户的恶意软件活动——Agent Smith,其中使用了Janus漏洞。研究人员对样本进行初步分析发现,恶意软件可以隐藏app图标,并声称是Google相关的更新模块。进一步分析发现该应用是恶意的,并且与2016年4月发现的CopyCat恶意软件有相似之处。通过技术分析,研究人员发现完整的Agent Smith感染可以分为3个主要阶段:1. Dropper app引诱受害者安装。初始Dropper使用武器化的Feng Shui Bundle作为加密的assets文件。Dropper变种的功能一般是照相工具、游戏或性相关的app。2. Dropper自
警惕伪装成韩剧Torrent种子的恶意软件:GoBotKR恶意软件分析
概述广大韩剧迷应该留意,目前存在通过Torrent种子传播的恶意软件,这些恶意软件以韩国电影和电视节目作为幌子,允许攻击者将受感染的计算机连接到僵尸网络,并对其进行远程控制。该恶意软件是名为GoBot2的公开后门的修改版本。攻击者对源代码的修改主要是针对韩国的特定规避技术,在本文中对这些技术进行了详细分析。由于该恶意活动明确针对韩国,因此我们将其称为Win64/GoBot2变种GoBotKR。根据ESET的遥测,GoBotKR自2018年3月以来一直活跃。恶意软件检测数量达到数百个,韩国受到的影响最大(80%),其次是中国大陆(10%)和台湾(5%)。恶意软件分布GoBotKR已经通过韩国和中国的Torrent种子网站
黑客用恶意软件Dropper攻击了Pale Moon存档服务器
PaleMoon 是一款基于Firefox(火狐)浏览器优化而成的浏览器,在国外相当热门,它主要是为了提升Firefox的速度而设计。但其中也添加了多种firefox扩展,以使其更美观,功能更多,也更适用于新手。不过,Pale Moon团队今天宣布,他们的Windows存档服务器遭到攻击,黑客在2017年12月27日用恶意软件Dropper感染了Pale Moon 27.6.2及以下的所有存档安装程序。根据Pale Moon目前的分析,浏览器的主要传播渠道不受影响:这从未影响Pale Moon的任何主要传播渠道,并且考虑到存档版本只会在下一个发布周期发生时进行更新,任何当前版本,无论从哪里下载的,都会被感染。不过值得注
使用三星手机的童鞋们注意了!仿冒的三星固件升级APP已欺骗了一千多万安卓用户
超过1000万三星手机用户已经被骗安装了一款名为 "Updates for Samsung" 的仿冒的三星固件升级APP,在下载说明中,该应用会承诺用户,只要用户下载了它就会帮助他们更新手机固件。但实际上,诱骗用户下载后,它会将用户重定向到一个充满广告的网站,并对要升级的固件下载进行收费。CSIS安全集团的恶意软件分析师Aleksejs Kuprins今天在接受ZDNet采访时表示:我已经联系了谷歌Play商店,并要求他们考虑删除这个应用程序。该应用程序的幕后开发者很聪明,由于三星手机固件和操作系统的更新非常不便利,他们利用了用户贪图方便的心理,诱导用户下载,这也是为什么这个应用会在短时间内有如此多
首款利用DoH隐藏网络流量的恶意软件Godlua已经现身
我们知道HTTPS加密安全协议可有效阻止中间人攻击,也可以让中间人或者运营商监测用户实时的访问信息。目前很多运营商会通过流量劫持的方式在用户访问的页面里插入广告,使用HTTPS加密的网页则不会受影响。而在DNS领域此前都是没有加密的,即便网页是HTTPS连接,但运营商依然可以看到用户浏览的网站网页地址。DNS over HTTPS(DoH)是专门为DNS服务器推出的TLS加密功能,从用户发出访问请求开始全程加密阻止运营商查看网页地址。DoH是一个从远程通过HTTPS加密传输来解析网域名称的协议,主要目的是为了改善使用者的隐私与安全,以避免受到监听或操控。目前,DoH正申请成为RFC 8484标准。今年六月,Google
通过暴露的Docker API渗透容器:AESDDoS僵尸网络恶意软件分析
概述在当今的互联网中,错误配置已经不是一个新鲜的话题。然而,网络犯罪分子正持续将其作为一种行之有效的方式来获取组织的计算机资源,并进而将其用于恶意目的,由此导致了一个非常值得关注的安全问题。在本篇文章中,我们将详细介绍一种攻击类型,其中流行的DevOps工具Docker Engine-Community的开源版本中存在一个API配置错误,允许攻击者渗透容器,并运行恶意软件变种。该变种源自Linux僵尸网络恶意软件AESDDoS,由我们部署的蜜罐捕获,检测为“Backdoor.Linux.DOFLOO.AA”。在容器主机上运行的Docker API允许主机接收所有与容器相关的命令,以root权限运行的守护程序将会执行。无
恶意软件ADOBE WORM FAKER:通过LOLBins来“订制”你的专属payload
摘要Cybereason近期发现了一个有趣的恶意软件样本,并将之命名为Adobe Worm Faker,它是一类利用LOLBins进行攻击的蠕虫病毒,能够根据运行的机器动态地改变其行为,以便在每台目标机器上选择最佳的漏洞利用和payload。这种恶意软件潜在的破坏性风险特别高,且能够逃避AV和EDR产品,需要人工检测才能发现一些端倪。Adobe Worm Fakerd的主要特点· Adobe Worm Faker利用LOLBins进行攻击,并能根据所处的环境进行动态更改。· 该恶意软件有五层混淆,无法被AV或EDR在内的安全产品自动解码,人工干预是解码它的必要条件。· 它通过启动程序(ac
逐渐演变成大规模传播的广告恶意软件:Wajam恶意软件分析
背景Wajam Internet Technology是一家初创公司,由Martin-Luc Archambault(魁北克的著名企业家)在2008年12月创立,总部位于加拿大的蒙特利尔。该公司的核心产品是一个社交搜索引擎应用程序,允许搜索社交网络上联系人共享的内容。下图展现了Wajam在执行Google搜索时的显示内容示例。该软件自身是免费的,但软件会展示一些相关的广告,从而产生收益。该软件最初可以从Wajam的官方网站下载浏览器扩展程序,直到2014年(如下图所示)。目前,该软件主要使用按此付费(PPI)的分发模型进行分发。根据加拿大隐私专员办公室(OPC)的说法,Wajam在2011至2016年期间与50多个不同
公告
关注公众号hackdig,学习最新黑客技术