记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华美国网络司令部曝光朝鲜恶意软件源码
近日,据安全技术专家Schneier在博客透露,美国网络司令部已将朝鲜黑客组织的恶意软件样本上传到VirusTotal病毒样本存储库,并将其添加到2月份上传的恶意软件样本中。第一个新的恶意软件变体COPPERHEDGE被描述为“远程访问工具(RAT)”,“由高级持续威胁(APT)网络参与者使用,用于锁定加密货币交易所和相关实体。”该RAT以帮助威胁行为者执行系统侦察,在受感染系统上运行任意命令以及窃取被盗数据的能力而闻名。被公布的第二个恶意软件TAINTEDSCRIBE是一种木马程序,具有命令模块的功能齐全的信标植入程序,旨在伪装成Microsoft的讲述人。该木马“从命令和控制(C2)服务器下载其命令执行模块,然后具有下载、上载、删除和执行文件;启用Windows CLI访问权限;创建和终止进程;以及执行目标
STAMINA:把恶意软件转换成图像的深度神经网络
近日,微软和英特尔合作开发了一个全新的检测和分类恶意软件的人工智能研究项目——STAMINA。STAMINA(STAtic Malware-as-Image Network Analysis)能够将恶意软件样本转换为灰度图像,然后扫描识别获取特定恶意软件样本的纹理和结构模式。STAMINA的实际运作方式英特尔和微软研究团队表示,整个过程遵循几个简单步骤。第一个步骤包括获取输入文件并将其二进制代码转换为原始像素数据流。然后,研究人员将这些一维的像素流转换为二维照片,以便使用常规图像分析算法对其进行分析。通过下面这张换算表根据文件大小来确定图像宽度、图像高度是动态的,通过将原始像素流除以所选宽度值得到。图片来源:英特尔,微软在将原始像素流组合成二维图像后,研究人员随后将生成的照片调整为较小的尺寸。英特尔和微软团队表
新冠疫情期间最活跃的恶意软件:Trickbot
根据微软的最新数据,臭名昭著的恶意软件Trickbot是新冠病毒相关网络钓鱼电子邮件中最“热门”的恶意软件。Microsoft安全情报部门在Twitter上发文指出:基于Office 365的ATP数据,Trickbot是使用新冠病毒主题钓鱼攻击中最常被使用的恶意软件,本周的攻击活动中使用了数百个不同的电子邮件文档附件,这些邮件冒充非营利组织提供免费新冠病毒测试。根据微软的观测,攻击似乎集中在电子邮件和社会工程/网络钓鱼的经典组合上,以收集用户凭据,传播恶意软件并尝试敲诈和BEC(商业电子邮件攻击)。Trickbot最初是一个银行木马,但经常被攻击者用来投放其他恶意软件,例如勒索软件,VNC客户端和远程访问恶意软件。但是,虽然新闻报道不断,但微软本月早些时候声称,新冠病毒大流行并未导致总体网络犯罪水平飙升。黑帽
区块链中的网络钓鱼攻击汇总
区块链中的网络钓鱼攻击汇总
感谢 CDra90n 大表哥的投稿
本文回顾和分类区块链项目中最著名的欺诈案件,描述实施攻击的方法、现有保护方法以及发展网络钓鱼防护的必要方向。
所有网络钓鱼攻击都可以分为两种类型:社会工程方案和技术方案。社会工程是基于欺骗和随后受害者的错误行为,而技术计钓鱼利用了漏洞以及软件和基础架构的缺陷。
1
0x01 Phishing Attacks
A.社会工程
这种方案的特殊性是网络用户直接参与其中。攻击是向用户发送虚假信息,并在户户执行某些操作(打开邮件,移动链接或下载恶意附件)后激活,根据研究有4%的用户会单击网络钓鱼链接。为了使攻击者进入系统,只需单击一下即可。
方案
项目
简介
克隆攻击
Blockchain.info,
过去二十年最危险的数字供应链攻击
“古老”的供应链攻击为何成为2020年业界公认的六大新兴威胁之一?除了华硕“影锤”、苹果“Xcode”、CCleaner这些令人闻风丧胆的切尔诺贝利和福岛级别的供应链攻击以外,过去十年在数字(软件)供应链领域,我们还经历了哪些已经发生,并且很可能依然在持续泄露或者“辐射”,值得我们反思和复盘,预防“毁灭性喷发”可能性的供应链攻击事件?根据ESG和Crowstrike的2019年供应链安全报告:16%的公司购买了被做过手脚的IT设备。90%的公司“没有做好准备”应对供应链网络攻击。在安全牛“供应链安全五大数字风险”一文中,“企业或者供应商软件漏洞”和“被植入恶意软件的软硬件”占据了两席,软件(包括固件)供应链正在成为黑客实施供应链攻击的重要突破口,而且此类攻击往往能够“突破一点,打击一片”,危害性极大,甚至很多网
黑客利用Zoom传播恶意软件
新冠疫情引发了全球远程办公热潮,视频会议软件Zoom无疑是最大的赢家之一。自2020年初以来,Zoom的每月活跃用户数量如火箭般攀升,仅2020年一季度就获取了约222万新增用户,超过2019年全年的新增用户数(199万)。Zoom现在每月有超过1,290万活跃用户,Bernstein Research分析师上个月表示,自去年年底以来,其用户增长了约21%。但不幸的是,Zoom最近成了黑客活动的理想目标和温床。根据CheckPoint的最新报告,自年初以来,与Zoom相关的域名注册数量飙升,有4%都存在可疑特征。研究人员最近还发现了zoom-us-zoom_############.exe命名格式的恶意文件,该文件在执行时将启动InstallCore安装程序(下图),尝试安装可能有害的第三方应用程序或恶意载荷,
MacOS恶意软件Shlayer分析
近两年来,Shlayer木马一直是Mac OS平台上最常见的恶意软件,十分之一的Mac OS用户受到它的攻击,占该操作系统检测到攻击行为的30%。第一批样本发现于2018年2月,此后收集了近32000个不同的木马恶意样本,并确定了143个C&C服务器。
自Shlayer首次被发现以来,其使用的算法几乎没有变化,活动行为保持平稳。
技术细节
从技术角度来看,Shlaye是一个相当普通的恶意软件。在所有变体中,只有最新的木马下载程序OSX.Shlayer.e与众不同。此恶意软件的变体是用Python编写的,其算法也有不同。具体分析如下(样本MD5:4d86ae25913374cfcb80a8d798b9016e):
感染第一阶段
安装此DMG映像后,将提示用户运行“安装”文件,安装程序是Python脚本
2019年移动威胁态势报告:恶意软件数量创记录下滑
根据RiskIQ的2019年移动威胁态势报告,在开放网络上扩散的恶意移动应用程序的数量已减少了20%。在对120多家移动应用商店进行的分析中,RiskIQ表示,全球移动APP数量增长18%的同时,对恶意应用的防御能力也已大大提高。该结论基于2019年被列入黑名单或经过过滤的应用程序的数量,以及业界针对这些应用程序所采取的多方面努力。2019 Google Play商店的恶意应用程序数量的急剧下降,被列入黑名单的应用同比减少了76%,从2018年的108770个锐减到2019年的25647个,降幅超过九成。根据报告,Android恶意应用程序的最大集散地是Android游戏门户9Game.com,其中有61,669个应用程序被列入黑名单。该商店还是消费者最有可能下载恶意应用程序的地方。第三方应用市场,包括华为的V
Google Play恶意软件分析
最近在Google Play上发现了多个恶意应用程序(由Trend Micro检测为AndroidOS_BadBooster.HRX),它们能够访问远程恶意广告配置服务器、进行广告欺诈并下载多达3000多个恶意软件变体或恶意负载。这些恶意应用程序通过清理、组织和删除文件来提高设备性能,已被下载超过47万次。该攻击活动自2017年以来一直很活跃,Google Play已经从商店中删除了恶意应用程序。
根据分析,3000个恶意软件变体或恶意有效负载会下载到设备上,伪装成设备启动程序或程序列表上不显示图标的系统程序。攻击者可以使用受影响的设备发表有利于恶意应用的虚假评论,并通过点击弹出的广告来进行广告欺诈。
技术分析
攻击活动中名为Speed Clean的程序具有提升移动设备性能的功能。使用时应用程序会弹出广告,看
评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(下)
评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(上)预警和检测策略开发随着我们对可用事件日志、它们的上下文和限制的新理解,我们的CIRT工程师现在可以在构建警报和检测策略时使用这些信息。以下是一些假设的样本,这些假设被开发用来作为潜在的警报/威胁搜索查询的基础,这些查询被漏洞利用防御缓解机制分解。非微软官方的二进制加载此 WDEG 缓解记录由微软签名的进程加载非微软签名模块的任何尝试。 这可以作为一个潜在的有价值的数据源,而不是将应用程序作为白名单的审计或实施。范围系统级别。 与某些文档相反,这种缓解措施可以应用于所有进程。 可以在全系统范围内应用的审计日志非常理想,可以用来识别误报,
评估一个新的安全数据源的有效性: Windows Defender 漏洞利用防护(上)
Windows Defender 漏洞利用防护(WDEG)是一套预防和侦查控制,用于识别和减少针对 Windows 主机的主动攻击尝试。 基于先前增强的缓解经验工具包(EMET)的成功经验,WDEG 不仅提供了一系列广泛的攻击缓解方案,而且还通过提供与异常事件相关的丰富的上下文事件日志充当调查资源。Palantir 的计算机应急响应小组(CIRT)在端点遥测和检测能力方面严重依赖于安全供应商产品,而调查和开发新的与安全相关的数据源是我们成功的基础。 这篇博客文章分析了将“漏洞利用防御”作为一个新的数据源,包括警报和检测策略(ADS)。 我们还将详细介绍企业配置和转出策略,并提供检测假设的抽样。我们提供了一个新的 Git
xHunt的后续追踪报道:对xHunt后门工具的脚本进行分析
几个月以来,Unit42一直在研究针对科威特组织的xHunt攻击活动。最近,该组织又发现了新的证据,之前在xHunt活动中讨论过的创建Sakabota工具的开发人员,曾在2018年7月和2018年8月对Sakabota进行了两次测试活动,测试的目的就是为了逃避检测。这些测试活动涉及了Sakabota的几种变体,对代码库进行轻微更改,然后开发人员将向在线防病毒扫描服务提交每项更改,以确定检测其工具的供应商。 在分析开发人员在这些测试活动中创建的Sakabota样本时,研究人员发现了开发人员在工具中包含的脚本,研究人员怀疑这是为了帮助工具的攻击者在受感染的系统和网络上进行活动。这是研究人员第一次看到恶意软件开发人
LokiBot用隐写术隐藏踪迹
LokiBot首次出现是作为信息窃取器和keylogger,随着这些年的发展,LokiBot不断加入了一些新的功能。该恶意软件的最新活动表明它滥用Windows Installer进行安装,并引入含有恶意ISO文件附件的垃圾邮件的新传播方法。研究人员对该LokiBot变种进行分析发现它更新了驻留机制,并使用隐写术来隐藏恶意代码。图 1. 含有LokiBot附件的垃圾邮件样本示例分析邮件样本邮件样本中有多个元素。第一个也就最明显的就是sender name和邮件签名不匹配,表明这可能是一个恶意消息。第二个是sense of urgency:邮件的发送时间是7月1日,但邮件内容告知接收者订购的产品会在7月中旬送到。也就是说
Monero官网Linux二进制文件被植入恶意软件
事件回顾Monero Project项目目前正在调查官网被黑事件。事件的起因在于从官网下载页下载的Linux 64-bit command line (CLI) Monero二进制文件中发现一个偷币的恶意软件。Monero团队在推特上说,CLI二进制文件的下载地址为http://getmonero.org,该站点在过去24小时内可能被黑了。GitHub, Reddit和Twitter上多个用户报告并确认了,Monero官网可能在传播哈希值不匹配的恶意二进制文件超过30分钟。目前,所有的二进制文件都已被清理,而且是安全的。Monero建议用户验证二进制文件的真实性,并确认是由Fluffypony的GPG密钥签名的。关于检
揭秘Emotet恶意软件新变种幕后攻击者的运营模式
概述本文是FortiGuard SE团队关于Emotet威胁攻击者的最新研究成果,Emotet是当前网络环境中威胁较大的一个恶意组织。我们与网络威胁联盟的成员共同编写了一系列关于攻击者的手册,要查看更多信息,可以参考《网络威胁联盟手册》白皮书。此外,在FortiGuard Playbook Viewer中可以详细了解相关恶意活动,并查看MITRE的对抗策略、技术和常识(ATT&CK)模型。关于EMOTETEmotet在2014年首次被发现,当时还是一个用于窃取财务数据的“简单”银行木马。之所以用双引号把“简单”二字括起来,是因为随着时间的流逝,这个木马不仅已经演变成僵尸网络,并且还增强了模块化,具有借助类似于蠕
发布时间:2019-11-18 13:25 |
阅读:26399 | 评论:0 |
标签:恶意软件
不在沉默中爆发就在沉默中死亡,处于沉寂状态的 Emotet 僵尸网络是怎样卷土重来的?(一)
在 2019年大部分时间里处于沉寂状态的 Emotet 僵尸网络又重新爆发了! 研究人员认为,Emotet 可能正是在这段沉寂期间进行的基础设施维护和升级,只要它的服务器重新启动并运行,Emotet 便会携全新增强型威胁函数强势回归。Emotet感染链分析有证据表明,Emotet背后的运营团队Mealybug已经从维护自己的自定义银行木马发展成为了其他组织的恶意软件的分销商。在过去的一两个月中,研究人员已经确定了许多组织和政府机构受到了新一代Emotet的银行木马恶意软件的影响。除了恶意垃圾邮件活动之外,研究人员还看到Emotet用于安装其他形式的恶意软件(例如MegaCortex)或部署勒索软件病毒(例如Ryuk)。
发布时间:2019-11-18 13:25 |
阅读:38628 | 评论:0 |
标签:恶意软件
公告
学习黑客技术,传播黑客文化