记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华IcedID使用ATSEngine注入面板攻击电子商务网站
作为针对金融服务和电子商务用户的网络犯罪工具的持续研究的一部分,IBM X-Force分析了有组织恶意软件团伙的策略,技术和程序(TTP),暴露他们的内部工作,帮助将可靠的威胁情报传播到安全社区。在最近对IcedID Trojan攻击的分析中,我们的团队调查了IcedID运营商如何针对美国的电子商务供应商,这是该组织的典型攻击。威胁策略是两步注入攻击,旨在窃取受害者的访问凭据和支付卡数据。鉴于攻击是单独运行的,IcedID背后的人要么正在研究不同的货币化方案,要么将僵尸网络租给其他犯罪分子,将其转变为网络犯罪即服务,类似于Gozi Trojan’s的商业模式。一、起源IBM Security于2017年9月发现Iced
Google Play中的韩国公交车应用释放恶意软件
迈克菲移动研究团队最近发现一种新的恶意Android应用程序,伪装成由韩国开发人员开发的交通应用程序系列的插件。该系列App为韩国各个地区提供了一连串信息,例如巴士站位置、巴士抵达时间等。该系列共有四个应用程序,其中三个应用程序自2013年起可从Google Play获得,另一个应用发布于2017年左右。目前,四个应用程序都已从Google Play中移除,而伪装插件本身并未上传到商店。在分析伪插件之时,我们也在寻找初始下载器和其他有效载荷 – 我们发现系列中的每个应用程序的一个特定版本(在同一天上传)将恶意软件释放到安装它们的设备上,这也解释了经过5年的发展它们最终被Google Play移除。
恶意软件通信方式大揭秘:对COM的分析
前言如果各位读者在Twitter上关注我(@0verfl0w_),那么你们可能已经注意到,我最近正在分析Ursnif/Gozi/ISFB的样本,并且困惑于恶意软件如何能在不进行DLL注入和进程Hollowing的情况下,通过一个单独的进程与C&C服务器进行通信。为解决这一问题,我阅读了Mandiant在2010年发表的一篇很棒的文章,其中说明了如何使用COM来控制某个进程(例如:Internet Explorer)执行某些操作。在本文中,我将探讨最新版本的ISFB所使用的COM机制,从而揭秘该恶意软件是如何暗中与命令和控制服务器进行通信的。后续,我还会发表一篇较长的分析文章,详细分析这一ISFB变种,以及在最后
GreyEnergy 2019分析
1月初,InfoSec社区泄露了一个恶意软件样本,研究人员分析发现这可能是GreyEnergy植入。这类威胁与BlackEnergy恶意软件有类似之处,BlackEnergy就是2015年针对乌克兰能源工业发起网络攻击的组织。图1. 可能的GreyEnergy样本背景ESET研究报告称,GreyEnergy恶意软件是BlackEnergy APT组织的新工具。并主要通过两种方式传播:· 周边泄露,比如入侵企业网站;· 鱼叉式钓鱼攻击邮件和恶意附件。GreyEnergy植入也被称为FELIXROOT后门,FireEye研究人员2018年7月份就对传播恶意软件的鱼叉式钓鱼攻击活动进行了分析。整个恶意软件架构是模块
重回视线:详细分析macOS恶意软件OSX.Dok
概述OSX.Dok恶意软件最初发现于2017年,这一恶意软件比大多数针对macOS的恶意软件都更为复杂,因此当我们看到它重新浮出水面时,也完全不会感到惊讶。在本文中,我们将详细分析该恶意软件的工作原理,并对当前恶意软件的感染状况进行描述。故事要起源于圣诞节那天,在2018年12月25日12:48,OSX.Dok的一个新型变种经过有效的开发者ID签名,并发布到网络。我们在1月9日首次发现这一恶意软件,并通过非官方渠道通知了Apple。不久之后,恶意软件开发者的签名被Cupertino公司撤销。尽管如此,该措施并没有阻止攻击者对Mac的持续破坏。关于Dok在OSX.Dok中,包含一个DMG,其文件名为DHL_Dokumen
主动卸载云安全防护以逃避检测:Rocke组织新型恶意软件分析
一、概述Palo Alto Networks Unit 42团队近期捕获了Rocke组织使用的Linux加密货币挖掘恶意软件的新样本,并对其进行了深入分析。该恶意软件家族被怀疑是由Iron网络犯罪组织开发而成的,并且也与我们在2018年9月分析的Xbash恶意软件相关。恶意组织Rocke最初是由Talos团队在2018年8月发现并发布的,并且在他们的博客中,披露了许多引人注意的行为。本文我们所分析的样本,是在2018年10月收集的,在当时,该恶意组织所使用的命令与控制服务器已经关闭。在我们的分析过程中,我们发现Rocke组织所编写的这些样本,都采用了新的代码来卸载五种不同的云安全防护软件,并监控来自受感染Linux服务
使用MS Word文档传播.Net RAT恶意软件
就在几天前,FortiGuard实验室从野外捕获了一个恶意的MS Word文档,其中包含可自动执行的恶意VBA代码,可以在受害者的Windows系统上传播和安装NanoCore RAT软件。NanoCore RAT是在.Net框架中开发的,其最新版本为“1.2.2.0”。它的作者“泰勒·哈德尔斯顿”被联邦调查局抓获并于去年初被送进监狱。我们捕获的样本使用NanoCore在受害者的系统上执行恶意行为。在本博文中,我将展示它如何传播并安装到受害者的系统上。一、恶意Word文档图1.打开的恶意Word文档捕获的Word文档的名为“eml _-_ PO20180921.doc”。当它在MS Word中打开时,我们会看到如图1所
广告恶意软件伪装成游戏、远程控制APP感染900万Google play用户
研究人员在Google play中发现85个活跃的广告恶意软件家族,伪装成游戏、TV和远程控制模拟器APP,感染了超900万Google play用户。广告恶意软件是很烦人的,但是又时常出现,而且无法完全解决。研究人员最近发现一个广告恶意软件家族在Google play中伪装成游戏、TV和远程控制模拟器APP。该广告恶意软件家族可以展示全屏广告、隐藏自己、监控手机设备解锁、后台运行。截止目前,该恶意软件家族的85个APP下载次数已经超过900万次。Google在验证了trendmicro的报告后,已经将这些APP从应用商店删除了。图 1. Google Play中的广告恶意软件APPEasy Universal TV
手机预装恶意软件威胁分析
研究人员有一个大胆的想法,在你新买手机设备时的必须安装系统应用APP中,可能预装了恶意软件。然而事实证明,这并不只是一个大胆的想法,预装的手机恶意软件已经成为了未来主要威胁之一。过去我们在Adups威胁中就遇到过预装的恶意软件(2016年11月,Adups被指向Android设备预装后门,私自收集短信和联系人等;但是删除这些预装软件可能需要ROOT权限)。预装(Pre-installed)意味着恶意软件是以SYSTEM级权限安装在设备上的,因此无法移除,只能禁用。但完全解决预装恶意软件只能通过work-around为当前用户卸载应用程序来实现。该方法包含使用ADB命令行工具将手机设备连接到PC,具体过程参见https:
Talos 2018年恶意软件追踪调查总结
这是网络安全界疯狂的一年。它以一声巨响开始,Olympic Destroyer瞄准2月份的冬季奥运会,试图破坏开幕式。事情变得更加疯狂,加密货币挖矿软件随处可见,而VPNFilter在夏天风靡全球。全年网络安全新闻从未缺席,Talos一直在解析所有这些新闻。随着年末临近,回顾我们发现的最突出的恶意软件以及看到的主要趋势,其中一些预计将持续到2019年。请关注我们的恶意软件年度回顾以及今年发现的主要攻击事件的时间表。Olympic DestroyerOlympic Destroyer今年年初开始爆发。该攻击击首次出现在韩国冬奥会开幕式之夜,令奥运会的票务网站暂时宕机,并感染了举行开幕仪式体育场内的系统。Talos发现了一
越简单越好?深入研究巴西金融网络犯罪中使用的恶意软件
远程overlay恶意软件非常多产和通用,它时不时就会出现,但在巴西通常很少发现特殊或复杂的金融恶意软件。而巴西金融网络犯罪分子使用的流行远程覆盖特洛伊木马这个特殊的变体有什么特别之处呢?首先,它使用了并不常见的动态链接库(DLL)劫持技术。更有意思的是,恶意软件的运营商不再只关注银行,他们现在也有兴趣窃取用户的加密货币交换账户,这与金融网络犯罪对加密货币的兴趣日益增长有关。一、通过远程会话感染巴西用户IBM X-Force研究持续跟踪巴西的威胁形势。在最近的分析中,我们的团队观察到远程overlay系列恶意软件的新变种感染了该地区的用户。远程overlay特洛伊木马在针对巴西用户的欺诈中很常见。我们分析的最新变体使用
KingMiner门罗币挖矿恶意软件分析
加密货币挖矿在2018年有了非常快速的增长。由于加密货币的价值,黑客有足够的动力来利用受害者机器的CPU算力进行加密货币挖矿活动。本文分析一种攻击Windows服务器的门罗币挖矿恶意软件。KingMiner恶意软件最早是2018年6月出现的,并且迅速出现2个更新的版本。攻击者在恶意软件开发过程中使用了许多的绕过技术来绕过模拟和检测方法,导致许多的杀软引擎都没有发现。攻击流研究人员发现KingMiner恶意软件会攻击Microsoft服务器(大多是IISSQL)并尝试猜测其密码。然后会在受害者机器上下载Windows Scriptlet文件(.sct)并执行。在执行过程中,有以下步骤:· 检测机器的CPU架构;· 如果有
插入恶意URL到office嵌入视频中
10月底,Cymulate的安全研究人员公布了利用office在线视频特征逻辑漏洞来传播恶意软件的POC。最近,研究人员发现一款利用该漏洞传播URSNIF信息窃取器的在野样本。恶意软件感染链因为这类攻击中使用了刻意伪造的word文档,研究人员假设可以通过其他恶意软件或垃圾邮件中的附件、链接到达用户系统。该漏洞影响Microsoft Word 2013及之后版本。PoC和恶意软件使用了DOCX文件类型,其中可以包含文本、对象、格式、图像等。这些都分别保存在不同的文件中,然后打包为一个ZIP压缩的DOCX文件。图1: PoC(左)和在野样本(右)感染链PoC和在野恶意软件工作原理PoC和在野样本都滥用了office在线视频
Malwarebytes对Mac恶意软件通过拦截加密流量进行广告注入的分析
上周,Malwarebytes的研究人员Adam Thomas发现了一款有趣的Mac恶意软件,它会进行一些恶意活动,比如拦截加密的网络流量来注入广告。专门负责Mac的Malwarebytes,将该恶意软件检测为OSX.SearchAwesome,让我们看看它是如何安装的,并且了解这种攻击的含义。安装该恶意软件是在一个相当平淡无奇的磁盘图像文件中被发现的,该恶意软件没有任何一般修饰,因此看起来像一个合法的安装程序。当打开该恶意软件时,该应用程序不显示安装程序显示,而是以不可见的方式安装组件。两个身份验证请求是该恶意软件进行任何活动的唯一证据。第一个请求是请求授权对证书信任设置的更改。第二个是允许所谓的spi修改网络配置。
恶意软件利用Windows组件WMI和CertUtil攻击巴西
研究人员最近发现一款滥用合法Windows文件wmic.exe 和certutil.exe下载payload到受害者设备上的恶意软件。wmic.exe是Windows命令行工具, certutil.exe是管理Windows证书的程序。恶意软件滥用这些合法Windows服务来进行恶意用途。虽然WMI和CertUtil在之前的攻击活动中就被用过,但这次的攻击活动将这些文件融合到其日常活动,并增加了反检测层。这说明攻击活动背后的网络犯罪分子正在不断发展和进化其工具和技术。 图1: 攻击感染链活动分析攻击是从一个恶意邮件开始的,恶意邮件看似来源于一家巴西的国家邮政公司,邮件内容是通知邮件接收者包
魔高一尺:URSNIF恶意软件新变种通过回复邮件实现传播
一、概述大多数网络钓鱼活动,其本质非常简单,并且易于发现。攻击者往往会发送一些看似合法的电子邮件,并在其文本中嵌入恶意链接,或在邮件中添加恶意附件。然而,我们在今年9月监测到的恶意邮件活动却表明,攻击者正在采取更为复杂的网络钓鱼形式。该恶意活动会盗取电子邮件账户,并对邮箱中已有的邮件内容进行回复,在回复的内容中附带恶意软件。对已有邮件的回复,实际上是连续通信中的一部分,因此这种特殊的钓鱼方式难以被用户发现,也难以检测。通常,受害者都没有意识到他们正在遭受钓鱼邮件的威胁。这些攻击与今年早些时候Talos发现的URSNIF/GOZI恶意邮件活动非常相似,该恶意活动使用暗云僵尸网络中部分被劫持的计算机向已有邮件发送回信,很可
公告
关注公众号hackdig,学习最新黑客技术