记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华移动银行木马程序Asacub的崛起
2015年,我们第一次发现了Trojan-Banker.AndroidOS.Asacub家族,并对其第一个版本的恶意软件进行了检测、分析,然后发现与窃取资金相比,该恶意软件更擅长间谍活动。自那以后,该木马程序在其创造者的大规模发布活动(2017年春夏)的帮助下不断进化,并促使Asacub在去年移动银行木马攻击次数排行榜上拔得头筹,超过了Svpeng和Faketoken等其他家族。因此,我们决定研究Asacub家族的一位现代成员,即最新版本的木马程序。这款木马的设计意图是窃取与俄罗斯最大银行之一的移动银行服务连接的安卓设备用户的资金。Asacub版本木马程序的核心部分是版本号,由两个或三个数字组成,以句号隔开。编号似乎在
在GoogleUserContent上的图片中隐藏恶意软件
在我们之前的博客中写过一篇文章描述了使用EXIF数据隐藏其代码的恶意软件(malware that used EXIF data to hide its code)。此技术仍然有人在使用,让我们来看看最近的一个例子。被污染的Pac-Man此代码是在窃取PayPal安全令牌的恶意脚本的开头找到的。从EXIF数据执行代码如您所见,它从Google服务器上托管的pacman.jpg图片中读取“EXIF数据”,图片可能是使用Blogger或Google+帐户上传的。然后解码并执行该数据的“UserComment”部分。虽然质量非常差,但代码中引用的图片证明是真正的Pac-Man图片。pacman.jpg其EXIF数据
知名压缩软件“快压”传播病毒和多款流氓软件劫持流量
一、概述日前,火绒安全团队发现,知名压缩软件“快压”正在传播木马病毒“Trojan/StartPage.ff”,该木马病毒会劫持被感染电脑浏览器首页;此外,“快压”还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供“快压”软件下载,传播范围极广。建议近期下载过该软件的用户尽快使用安全软件对电脑进行扫描查杀。图1:“快压”给用户电脑强制推广软件用户从下载站下载“快压”并安装时,“快压”会像病毒躲避安全软件查杀一样,判断用户电脑中有没有安全软件,如果没有,则会给用户电脑捆绑安装一款名为“WinHome主页卫士”的软件,该软件携带木马病毒“Trojan/StartPage.f
新的恶意软件——Rakhni,可以用勒索软件或加密货币矿工来感染系统
早在2013年,我们的恶意软件分析人员就发现了与Trojan-Ransom.Win32.Rakhni家族相关的第一批恶意样本。这是这个长期存在的,并且至今仍在运作的特洛伊木马家族的起点。在此期间,恶意软件作者作出了一些改变:· 特洛伊木马获取密钥的方式(从本地生成到从C&C收到)· 使用的算法(仅使用对称算法,到常用的对称+非对称方案,到同时使用18种对称算法)· 加密库(LockBox,AESLib,DCPcrypt)· 分发方法(从垃圾邮件到远程执行)现在,犯罪分子已经决定为他们的作品添加一个新功能——挖矿功能。在本文中,我们描述了一个downloader,它决定如何感染受害
RANCOR使用PLAINTEE和DDKONG恶意软件家族在东南亚进行针对性攻击
在2017年和2018年中,Unit 42一直在跟踪和观察一个针对性很强的攻击(针对东南亚),这是基于我们对KHRAT Trojan的研究。基于证据,这些攻击是由同一组织的攻击者利用以前未知的恶意软件家族进行的。此外,这些攻击对其使用的恶意软件的分发以及所选目标具有高度针对性。基于这些因素,Unit 42认为,这些攻击背后的攻击者正在进行间谍活动。我们相信这个组织之前是未知的,因此我们称之为RANCOR。Rancor组织的攻击使用了两个主要的恶意软件家族,我们将在本博客的后面深入描述命名为DDKONG和PLAINTEE的恶意软件家族。DDKONG在整个行动中都会使用,而PLAINTEE是这些攻击者工具包的新增加部分。U
被植入恶意代码的Emotet Downloader细节分析
我已经对Emotet Downloader进行了剖析,它使用宏和Powershell命令从受攻击的网站下载Emotet。最近他们已经修改了下载器的工作方式,并且已经被上传到了VirusBay。下面我们对其进行分析!MD5哈希值:53ea2608f0e34e3e746801977b778305如下图所示(右侧是新样本,左侧是旧样本),新旧两个文档有一些相似之处,他们均通过呈现一个旧版本的Microsoft Office创建的文档,谎称出现错误,并且为了查看错误受害者需要点击Enable Content(启用内容)。这一操作看起来似乎是合法的,那么让我们看看当点击了Enable Content时会运行什么程序。当打开Mac
对银行木马DanaBot的Javascript Downloader分析
本文分析的downloader(下载器)被用于将DanaBot(银行木马)安装到用户系统上。普通的Javascript downloader并不难分析,但是DanaBot的Javascript Downloader使用了有很多混淆技术,而且我从未在普通downloader或dropper见过如此多的混淆。研究了静态分析部分之后,我选择在没有网络连接的VM上运行downloader,并且发现Powershell正在被执行。本文并没有对该downloader进行完整全面的分析,只是对其功能以及实现功能的方式进行了解释。MD5哈希:51 e18ac9715e924b76bbcfaa68a54e98第1个函数的分析打开文件,首
通过Joe Sandbox Linux沙箱对VPNFilter的分析报告
随着越来越多的恶意软件将Linux操作系统作为攻击目标,Linux恶意软件正成为安全新闻头条的热门话题。在2018年,有超过110亿的嵌入式设备具有网络功能(Gartner),因此,以物联网(IoT)为目标的bot前景一片大好。而Mirai和VPNFilter只是最近的一些例子。几个月来,我们一直在研究一种新产品,以分析针对Linux的恶意软件。近期,我们发布了Joe Sandbox Linux,这是一款恶意软件深层分析引擎,用于对抗Ubuntu和CentOS上存在的威胁。通过在Linux上添加分析,Joe Sandbox是现在市面上唯一可利用的恶意软件分析系统,它可以分析Windows、MacOS、Linux、And
使用grep解析VPNFilter IoC的Syslog
Talos Intelligence发现了一个名为“VPNFilter”的重大恶意软件爆发事件,如果您像我们一样是网络管理员,那么您需要检查网络系统日志以了解IoC的情况。这个快速而肮脏的步骤向您展示了如何根据从思科发布的相关IoC解析网络系统日志。要求:IoC IP [从Talos Intelligence获得]您的网络原始系统日志数据获取ICO IP打开一个终端,从这里https://blog.talosintelligence.com/2018/05/VPNFilter.html获取相关的IoC IP,并将其粘贴到临时文件中,将该文件保存到:/tmp/vpnfilterc2.txt与VPNFilter
极具破坏性的Roaming mantis多次涉猎挖矿和网络钓鱼
2018年4月,卡巴斯基实验室发布了一篇名为“Roaming Mantis使用DNS劫持来感染Android智能手机”的博客blogpost。Roaming Mantis使用Android恶意软件,旨在通过DNS劫持进行传播并以Android设备为目标。根据我们的遥测数据,该活动主要集中在亚洲(韩国,孟加拉国和日本)。潜在的受害者被DNS劫持重定向到一个恶意网页,恶意网页发布了一个伪装成Facebook或Chrome的特洛伊应用程序,然后由用户手动安装。该应用程序实际上包含一个Android木马银行。它引起了我们的注意,在我们发布后不久,其他研究人员也专注于这个恶意软件家族。我们发布了博客之后又发了另一份出版物。我们想
新型恶意软件—— Grizzly攻击Telegram
简介在过去的一个半月里,Talos观察到了一种新型恶意软件,它收集端到端加密即时消息服务Telegram的缓存和密钥文件。这款恶意软件最早于2018年4月4日发布,于4月10日出现第二个变种。尽管第一个版本只能窃取浏览器凭证和cookie,以及系统上找到的所有文本文件,但第二个版本添加了收集Telegram桌面缓存和密钥文件的功能,以及Steam网站的登录信息。Talos情报研究已经识别出了该恶意软件背后的作者。作者发布了几个YouTube视频,其中包含关于如何使用Telegram收集文件、劫持Telegram会话以及如何打包发布。此恶意软件的运营者使用几个pcloud.com硬编码帐户来存储泄露信息。这些信息没有加密
Google Play上出现了针对移动设备的恶意软件
今年早些时候,McAfee研究人员在迈克菲移动威胁报告McAfee Mobile Threat Report中预测,由于移动设备无处不在的增长以及恶意软件作者使用的复杂策略,针对移动设备的攻击数量将会增加。去年,我们首家发布了移动领域运营的Lazarus组织的博客。在报告发布几周后,最近又在Google Play上发现了RedDawn行动,证明专门针对移动设备的攻击依然存在。RedDawn是今年看到的Sun Team黑客组织的第二个行动。今年1月,McAfee Mobile Research Team撰写了针对北韩叛逃者和记者的Android恶意软件。迈克菲研究人员最近发现了由相同人员开发的新恶意软件,这些恶意软件在G
新的恶意软件——Vega Stealer,可从受感染的计算机中窃取敏感文档
一、概述最近,Proofpoint观察到一项针对营销/广告/公共关系和零售/制造行业的攻击活动,名为Vega Stealer的新恶意软件。该恶意软件具备针对Chrome和Firefox浏览器中保存的凭据和信用卡的窃取功能,以便从受感染的计算机中窃取敏感文档。Vega是August Stealer的一个变体,并有一部分重要的新功能。二、传播和目标2018年5月8日,Proofpoint观察并阻止了一个小批量的电子邮件攻击行动,其中包括“需要在线商店开发人员”等主题。有些电子邮件已发送给个人,而其他电子邮件已发送到分发名单,包括info @,clientservice @和publicaffairs @+目标域名,这是一种
Maikspy间谍软件伪装成成人游戏,攻击Windows和安卓用户
研究人员发现一个名为Maikspy的恶意软件家族,这是一个可以窃取用户隐私数据的多平台间谍软件。该间谍软件攻击目标为Windows和安卓用户,最开始会伪装成一个以美国著名成人电影女演员命名的成人游戏。Maikspy将成人电影女演员的名字和间谍软件融合在一起,从2016年开始活动。研究人员对最新的Maikspy变种进行了分析,发现用户是从hxxp://miakhalifagame[.]com/获取的该间谍软件,而该网站是专门分发恶意app的,还可以连接到C2服务器来上传从被感染的机器上收集的数据。多个Twitter账号在推送一个叫做Virtual Girlfriend的成人游戏,并通过短链接的方式分析恶意域名。Figur
Armor for Android似乎卷土重来:虚假Android AV重现
早在2013年初,一个名为Armor for Android的新型移动杀毒软件公司就出现在移动安全软件行业,这让所有人都感到困惑。因为其杀毒软件看起来像被称为Fake AV的恶意软件,甚至有人直接给它贴上这种标签。作为一名年轻的移动研究人员,我是给它贴上这样一个标签的人之一,并将它添加到恶意软件检测列表中。不久之后,Armor for Android便联系了我当时工作的安全公司,要求移除对其杀毒软件的检测。我写了一个博客进行反击,证明这家AV公司不可能是合法的——尽管它们的产品正在Google Play中上架。但我并没有把该博客发表,因为我被同行的行为啪啪打脸了:AV公司是由一家著名的反病毒测试公司测试的。更令人不快的
不断改变的Necurs:可通过internet快捷方式躲避垃圾邮件检测
自2012年以来一直存在的僵尸网络恶意软件Necurs已经得到改进,因为攻击者希望能够更好的击败网络安全措施,所以它被发现使用.URL文件发展其第二层感染(远程脚本下载程序被趋势科技检测为MAL_CERBER- JS03D,MAL_NEMUCOD-JS21B,VBS_SCARAB.SMJS02和MAL_SCARAB-VBS30)。作为一种模块化的恶意软件,Necurs及其变种具有发送垃圾邮件、信息窃取以及禁用安全服务和元素的功能。自2012年以来一直存在,并通过Necurs僵尸网络在野外传播。在2017年,它推出了Locky——一个勒索软件家族,其中一个变种是24小时内通过2300万封电子邮件发布的(通过一个仅有URL
公告
关注公众号hackdig,学习最新黑客技术