记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

知名压缩软件“快压”传播病毒和多款流氓软件劫持流量

一、概述日前,火绒安全团队发现,知名压缩软件“快压”正在传播木马病毒“Trojan/StartPage.ff”,该木马病毒会劫持被感染电脑浏览器首页;此外,“快压”还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供“快压”软件下载,传播范围极广。建议近期下载过该软件的用户尽快使用安全软件对电脑进行扫描查杀。图1:“快压”给用户电脑强制推广软件用户从下载站下载“快压”并安装时,“快压”会像病毒躲避安全软件查杀一样,判断用户电脑中有没有安全软件,如果没有,则会给用户电脑捆绑安装一款名为“WinHome主页卫士”的软件,该软件携带木马病毒“Trojan/StartPage.f
发布时间:2018-07-12 12:20 | 阅读:15730 | 评论:0 | 标签:Web安全 恶意软件

新的恶意软件——Rakhni,可以用勒索软件或加密货币矿工来感染系统

早在2013年,我们的恶意软件分析人员就发现了与Trojan-Ransom.Win32.Rakhni家族相关的第一批恶意样本。这是这个长期存在的,并且至今仍在运作的特洛伊木马家族的起点。在此期间,恶意软件作者作出了一些改变:· 特洛伊木马获取密钥的方式(从本地生成到从C&C收到)· 使用的算法(仅使用对称算法,到常用的对称+非对称方案,到同时使用18种对称算法)· 加密库(LockBox,AESLib,DCPcrypt)· 分发方法(从垃圾邮件到远程执行)现在,犯罪分子已经决定为他们的作品添加一个新功能——挖矿功能。在本文中,我们描述了一个downloader,它决定如何感染受害
发布时间:2018-07-10 12:20 | 阅读:15135 | 评论:0 | 标签:技术 恶意软件 加密

RANCOR使用PLAINTEE和DDKONG恶意软件家族在东南亚进行针对性攻击

在2017年和2018年中,Unit 42一直在跟踪和观察一个针对性很强的攻击(针对东南亚),这是基于我们对KHRAT Trojan的研究。基于证据,这些攻击是由同一组织的攻击者利用以前未知的恶意软件家族进行的。此外,这些攻击对其使用的恶意软件的分发以及所选目标具有高度针对性。基于这些因素,Unit 42认为,这些攻击背后的攻击者正在进行间谍活动。我们相信这个组织之前是未知的,因此我们称之为RANCOR。Rancor组织的攻击使用了两个主要的恶意软件家族,我们将在本博客的后面深入描述命名为DDKONG和PLAINTEE的恶意软件家族。DDKONG在整个行动中都会使用,而PLAINTEE是这些攻击者工具包的新增加部分。U
发布时间:2018-06-30 12:20 | 阅读:25907 | 评论:0 | 标签:Web安全 恶意软件

被植入恶意代码的Emotet Downloader细节分析

我已经对Emotet Downloader进行了剖析,它使用宏和Powershell命令从受攻击的网站下载Emotet。最近他们已经修改了下载器的工作方式,并且已经被上传到了VirusBay。下面我们对其进行分析!MD5哈希值:53ea2608f0e34e3e746801977b778305如下图所示(右侧是新样本,左侧是旧样本),新旧两个文档有一些相似之处,他们均通过呈现一个旧版本的Microsoft Office创建的文档,谎称出现错误,并且为了查看错误受害者需要点击Enable Content(启用内容)。这一操作看起来似乎是合法的,那么让我们看看当点击了Enable Content时会运行什么程序。当打开Mac
发布时间:2018-06-22 12:20 | 阅读:33599 | 评论:0 | 标签:技术 恶意软件

对银行木马DanaBot的Javascript Downloader分析

本文分析的downloader(下载器)被用于将DanaBot(银行木马)安装到用户系统上。普通的Javascript downloader并不难分析,但是DanaBot的Javascript Downloader使用了有很多混淆技术,而且我从未在普通downloader或dropper见过如此多的混淆。研究了静态分析部分之后,我选择在没有网络连接的VM上运行downloader,并且发现Powershell正在被执行。本文并没有对该downloader进行完整全面的分析,只是对其功能以及实现功能的方式进行了解释。MD5哈希:51 e18ac9715e924b76bbcfaa68a54e98第1个函数的分析打开文件,首
发布时间:2018-06-18 12:20 | 阅读:31019 | 评论:0 | 标签:技术 恶意软件

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

随着越来越多的恶意软件将Linux操作系统作为攻击目标,Linux恶意软件正成为安全新闻头条的热门话题。在2018年,有超过110亿的嵌入式设备具有网络功能(Gartner),因此,以物联网(IoT)为目标的bot前景一片大好。而Mirai和VPNFilter只是最近的一些例子。几个月来,我们一直在研究一种新产品,以分析针对Linux的恶意软件。近期,我们发布了Joe Sandbox Linux,这是一款恶意软件深层分析引擎,用于对抗Ubuntu和CentOS上存在的威胁。通过在Linux上添加分析,Joe Sandbox是现在市面上唯一可利用的恶意软件分析系统,它可以分析Windows、MacOS、Linux、And
发布时间:2018-06-12 12:20 | 阅读:27339 | 评论:0 | 标签:技术 linux 恶意软件 物联网

使用grep解析VPNFilter IoC的Syslog

Talos Intelligence发现了一个名为“VPNFilter”的重大恶意软件爆发事件,如果您像我们一样是网络管理员,那么您需要检查网络系统日志以了解IoC的情况。这个快速而肮脏的步骤向您展示了如何根据从思科发布的相关IoC解析网络系统日志。要求:IoC IP  [从Talos Intelligence获得]您的网络原始系统日志数据获取ICO IP打开一个终端,从这里https://blog.talosintelligence.com/2018/05/VPNFilter.html获取相关的IoC IP,并将其粘贴到临时文件中,将该文件保存到:/tmp/vpnfilterc2.txt与VPNFilter
发布时间:2018-05-27 12:20 | 阅读:42567 | 评论:0 | 标签:技术 grep VPNFilter IoC 恶意软件

极具破坏性的Roaming mantis多次涉猎挖矿和网络钓鱼

2018年4月,卡巴斯基实验室发布了一篇名为“Roaming Mantis使用DNS劫持来感染Android智能手机”的博客blogpost。Roaming Mantis使用Android恶意软件,旨在通过DNS劫持进行传播并以Android设备为目标。根据我们的遥测数据,该活动主要集中在亚洲(韩国,孟加拉国和日本)。潜在的受害者被DNS劫持重定向到一个恶意网页,恶意网页发布了一个伪装成Facebook或Chrome的特洛伊应用程序,然后由用户手动安装。该应用程序实际上包含一个Android木马银行。它引起了我们的注意,在我们发布后不久,其他研究人员也专注于这个恶意软件家族。我们发布了博客之后又发了另一份出版物。我们想
发布时间:2018-05-21 12:20 | 阅读:39385 | 评论:0 | 标签:Web安全 移动安全 Roaming mantis 恶意软件

新型恶意软件—— Grizzly攻击Telegram

简介在过去的一个半月里,Talos观察到了一种新型恶意软件,它收集端到端加密即时消息服务Telegram的缓存和密钥文件。这款恶意软件最早于2018年4月4日发布,于4月10日出现第二个变种。尽管第一个版本只能窃取浏览器凭证和cookie,以及系统上找到的所有文本文件,但第二个版本添加了收集Telegram桌面缓存和密钥文件的功能,以及Steam网站的登录信息。Talos情报研究已经识别出了该恶意软件背后的作者。作者发布了几个YouTube视频,其中包含关于如何使用Telegram收集文件、劫持Telegram会话以及如何打包发布。此恶意软件的运营者使用几个pcloud.com硬编码帐户来存储泄露信息。这些信息没有加密
发布时间:2018-05-20 12:20 | 阅读:42957 | 评论:0 | 标签:系统安全 恶意软件

Google Play上出现了针对移动设备的恶意软件

今年早些时候,McAfee研究人员在迈克菲移动威胁报告McAfee Mobile Threat Report中预测,由于移动设备无处不在的增长以及恶意软件作者使用的复杂策略,针对移动设备的攻击数量将会增加。去年,我们首家发布了移动领域运营的Lazarus组织的博客。在报告发布几周后,最近又在Google Play上发现了RedDawn行动,证明专门针对移动设备的攻击依然存在。RedDawn是今年看到的Sun Team黑客组织的第二个行动。今年1月,McAfee Mobile Research Team撰写了针对北韩叛逃者和记者的Android恶意软件。迈克菲研究人员最近发现了由相同人员开发的新恶意软件,这些恶意软件在G
发布时间:2018-05-19 12:20 | 阅读:65910 | 评论:0 | 标签:移动安全 恶意软件 移动

新的恶意软件——Vega Stealer,可从受感染的计算机中窃取敏感文档

一、概述最近,Proofpoint观察到一项针对营销/广告/公共关系和零售/制造行业的攻击活动,名为Vega Stealer的新恶意软件。该恶意软件具备针对Chrome和Firefox浏览器中保存的凭据和信用卡的窃取功能,以便从受感染的计算机中窃取敏感文档。Vega是August Stealer的一个变体,并有一部分重要的新功能。二、传播和目标2018年5月8日,Proofpoint观察并阻止了一个小批量的电子邮件攻击行动,其中包括“需要在线商店开发人员”等主题。有些电子邮件已发送给个人,而其他电子邮件已发送到分发名单,包括info @,clientservice @和publicaffairs @+目标域名,这是一种
发布时间:2018-05-17 12:20 | 阅读:42929 | 评论:0 | 标签:系统安全 Vega Stealer 恶意软件

Maikspy间谍软件伪装成成人游戏,攻击Windows和安卓用户

研究人员发现一个名为Maikspy的恶意软件家族,这是一个可以窃取用户隐私数据的多平台间谍软件。该间谍软件攻击目标为Windows和安卓用户,最开始会伪装成一个以美国著名成人电影女演员命名的成人游戏。Maikspy将成人电影女演员的名字和间谍软件融合在一起,从2016年开始活动。研究人员对最新的Maikspy变种进行了分析,发现用户是从hxxp://miakhalifagame[.]com/获取的该间谍软件,而该网站是专门分发恶意app的,还可以连接到C2服务器来上传从被感染的机器上收集的数据。多个Twitter账号在推送一个叫做Virtual Girlfriend的成人游戏,并通过短链接的方式分析恶意域名。Figur
发布时间:2018-05-16 12:20 | 阅读:56869 | 评论:0 | 标签:系统安全 恶意软件

Armor for Android似乎卷土重来:虚假Android AV重现

早在2013年初,一个名为Armor for Android的新型移动杀毒软件公司就出现在移动安全软件行业,这让所有人都感到困惑。因为其杀毒软件看起来像被称为Fake AV的恶意软件,甚至有人直接给它贴上这种标签。作为一名年轻的移动研究人员,我是给它贴上这样一个标签的人之一,并将它添加到恶意软件检测列表中。不久之后,Armor for Android便联系了我当时工作的安全公司,要求移除对其杀毒软件的检测。我写了一个博客进行反击,证明这家AV公司不可能是合法的——尽管它们的产品正在Google Play中上架。但我并没有把该博客发表,因为我被同行的行为啪啪打脸了:AV公司是由一家著名的反病毒测试公司测试的。更令人不快的
发布时间:2018-05-11 12:20 | 阅读:47610 | 评论:0 | 标签:移动安全 恶意软件 Android

不断改变的Necurs:可通过internet快捷方式躲避垃圾邮件检测

自2012年以来一直存在的僵尸网络恶意软件Necurs已经得到改进,因为攻击者希望能够更好的击败网络安全措施,所以它被发现使用.URL文件发展其第二层感染(远程脚本下载程序被趋势科技检测为MAL_CERBER- JS03D,MAL_NEMUCOD-JS21B,VBS_SCARAB.SMJS02和MAL_SCARAB-VBS30)。作为一种模块化的恶意软件,Necurs及其变种具有发送垃圾邮件、信息窃取以及禁用安全服务和元素的功能。自2012年以来一直存在,并通过Necurs僵尸网络在野外传播。在2017年,它推出了Locky——一个勒索软件家族,其中一个变种是24小时内通过2300万封电子邮件发布的(通过一个仅有URL
发布时间:2018-05-03 12:20 | 阅读:46330 | 评论:0 | 标签:勒索软件 僵尸网络 恶意软件

解析针对巴西用户的恶意软件及垃圾邮件行动

FireEye实验室最近发现了几起针对巴西公司的大范围masepam(恶意软件垃圾邮件)行动,旨在传播银行木马。我们将这些行动称为Metamorfo。在行动的各个阶段中,我们观察到使用多种策略和技术来逃避检测并提供恶意payload。本文中,我们剖析了两个主要的行动,并解释了其工作原理。一、行动#1kill链以包含HTML附件的电子邮件开始,该附件带有使用Google短URL为目标的刷新标记。图1显示了一个示例电子邮件,图2显示了HTML文件的内容。图1:带HTML附件的恶意电子邮件图2:HTML文件的内容加载URL后,它会将受害者重定向到一个云存储站点,例如GitHub,Dropbox或Google Drive以下载
发布时间:2018-04-30 12:20 | 阅读:82636 | 评论:0 | 标签:技术 垃圾邮件 恶意软件

Android间谍软件和银行木马——XLoader,可通过DNS欺骗进行传播

一、简介3月初以来,我们发现了新一轮的网络攻击,目前针对日本,韩国,中国,台湾和香港。这些攻击使用DNS(域名系统)缓存中毒/ DNS欺骗,应用诸如暴力或字典攻击等技术来分发和安装恶意Android应用。趋势科技将其检测为ANDROIDOS_XLOADER.HRX。这些恶意软件伪装成合法的Facebook或Chrome应用程序。它们是从受污染的DNS域名分发的,这些域名向未知的受害者设备推送通知。恶意应用程序可以窃取个人身份信息和财务数据并安装其他应用程序。XLoader还可以通过设备管理员权限劫持受感染的设备(即发送短信)和维持自我保护/持久性机制。图1. 伪装的Facebook和Chrome应用的屏幕截图(突出显示
发布时间:2018-04-26 12:20 | 阅读:68148 | 评论:0 | 标签:Web安全 恶意软件 Android

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词