记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华逐渐演变成大规模传播的广告恶意软件:Wajam恶意软件分析
背景Wajam Internet Technology是一家初创公司,由Martin-Luc Archambault(魁北克的著名企业家)在2008年12月创立,总部位于加拿大的蒙特利尔。该公司的核心产品是一个社交搜索引擎应用程序,允许搜索社交网络上联系人共享的内容。下图展现了Wajam在执行Google搜索时的显示内容示例。该软件自身是免费的,但软件会展示一些相关的广告,从而产生收益。该软件最初可以从Wajam的官方网站下载浏览器扩展程序,直到2014年(如下图所示)。目前,该软件主要使用按此付费(PPI)的分发模型进行分发。根据加拿大隐私专员办公室(OPC)的说法,Wajam在2011至2016年期间与50多个不同
伊朗APT组织MuddyWater加入新的漏洞利用
摘要近期,研究人员发现了关于伊朗APT组织泄露的敏感信息,包括攻击能力、策略和攻击工具。泄露是通过telegram实现的。第一次泄露的内容是APT-34 (OilRig 组织)的攻击框架和webshell。之后的泄露是关于MuddyWater的。Clearsky安全研究人员的分析了该组织的最新漏洞利用使用和TTP。Clearsky检测到了MuddyWater使用的新的高级攻击向量,攻击目标是政府实体和电信行业。TTP包括利用CVE-2017-0199漏洞的诱饵文档作为攻击的第一阶段;攻击的第二阶段是与被黑的C2服务器进行通信,并下载感染了宏的文件。MuddyWater (也叫SeedWorm/Temp.Zagros)是
恶意挖矿软件PCASTLE Zeroes回归,使用多层无文件到达技术
滥用PowerShell来传播恶意软件是一种常见的技术,事实上这也是许多无文件威胁使用的技术。Trend Micro研究人员近期就发现和拦截了此类威胁。Trend Micro安全产品检测到此次攻击活动主要是针对中国的系统。攻击首次出现是在5月17日,到5月22日达到峰值,然后进入稳定期。进一步分析显示这是与之前使用混淆的PowerShell脚本来传播门罗币挖矿恶意软件的活动类似。之前的攻击活动覆盖的区域包括日本、澳大利亚、台湾、越南、香港和印度,此次攻击活动主要是针对中国。此次攻击活动中还加入了一些新的技巧。比如,使用多种传播方法,使用执行不同任务的组件来传播加密货币挖矿机。还使用多层无文件方法使恶意PowerShel
针对Linux的新型恶意软件HiddenWasp
概述Intezer安全机构近日发现了一种针对Linux系统的新型恶意软件,并将其命名为“HiddenWasp”。与常见的Linux恶意软件不同,HiddenWasp并不专注于密码挖掘或DDoS攻击,而是一个纯粹用于目标远程控制的木马,创作者在其中融入了如Mirai、Azazel rootkit等大量开源恶意软件的代码。调查表明,该恶意软件极有可能被用于已经在攻击者控制之下的二次感染。当前,恶意软件仍然活跃,且在所有主要的反病毒系统中检测率为零。此外,该恶意软件与某些来自中国的恶意软件家族也有相似之处,但对其归因的可信度较低。我们对预防和应对这一威胁提出了详细的建议。1. 介绍尽管Linux生态系统充斥着IoT DDoS
6种编程语言的大杂烩:针对Zebrocy恶意软件的分析
一、概述Zebrocy是一个使用俄语的恶意软件,我们在近期的研究中发现,该恶意软件呈现出非常奇怪的特征。为了让各位读者能够迅速了解该恶意组织的历史,我们归纳了以下三个特征,大家可以简单了解:1、Zebrocy恶意软件会对受害者进行分析,并创建访问方式;2、Zebrocy在2013年之前,始终与BlackEnergy共享相同的恶意软件和基础设施,或者与该组织所使用的具有相似之处;3、在过去五年中,Zebrocy所使用的基础设施、恶意软件部署方式、恶意软件目的与Sofacy和BlackEnergy都具有相似性和重叠性,但与此同时,在这段时间之内,它与这两个恶意软件还保持着一定程度上的差异。我们最初是在2015年年末发现了比
BlackSquid恶意软件分析:利用8个臭名昭著的漏洞攻击服务器,并投放挖矿恶意软件
概述如果说,攻击者成功利用未修复的安全漏洞实现攻击的事件,大家已经习以为常。那么,如果有攻击者使用了8个漏洞来获取企业资产数据及客户信息,那么事情就变得不一样了。近期,我们发现了一个新型恶意软件系列,它使用多种Web服务器攻击和暴力攻击方式,针对Web服务器、网络驱动器和可移动驱动器发起攻击。我们根据该恶意软件所创建的注册表名称和主要组件文件名称,将其命名为BlackSquid。根据多个方面,我们综合评估该恶意软件的危险性非常高。恶意软件采用反虚拟化、反调试和反沙箱的方法来确定是否继续安装过程。此外,该恶意软件还具有类似于蠕虫病毒的横向传播行为。恶意软件使用了一些臭名昭著的漏洞,包括EternalBlue、Double
受感染的容器攻击暴露API的Docker主机,并使用Shodan来发现更多受害者
为了监控针对容器的恶意活动,研究人员搭建了一个模拟暴露API的Docker主机作为蜜罐系统,而暴露的API是基于容器的威胁的最常见目标。研究人员的目标是监控蜜罐系统以检测是否有攻击者发现该系统并用它来应用不想要的容器,然后可以追踪溯源。研究人员通过检查蜜罐系统的状态发现容器的单独镜像已经在环境中应用了。通过分析进出蜜罐的日志和流量数据,研究人员发现容器来自于一个名为zoolu2的Docker Hub库。检查和下载库中的内容,研究人员发现其中含有9个包含定制shell、python脚本、配置文件、Shodan和加密货币挖矿软件二进制文件的9个镜像文件。zoolu2库的所有的镜像文件都含有Monero (XMR)加密货币挖
黑客通过Rootkit恶意软件攻击超5万台MS-SQL和PHPMyAdmin服务器
前言Guardicore Labs 的安全研究人员发布了一份报告,在该报告中,Guardicore Labs团队称发现大量MS-SQL和PHPMyAdmin服务器遭到黑客的攻击并将这些服务器用于挖掘乌龟币(TurtleCoin)。此次黑客代号为“Nansh0u”,根据目前的证据,黑客可能来自中国。注:TurtleCoin(乌龟币TRTL)是2017年12月新出的一个区块链项目,指在提供快速安全稳定的数字货币,目前关注的人不多。报告称,5万多台受到攻击的服务器都属于医疗保健、电信、媒体和 IT 公司等在内的 ,一旦受到攻击,目标服务器就会被恶意载荷攻击。另外,黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件
使用新型反检测技术:与MuddyWater相关的BlackWater恶意活动分析
摘要Cisco Talos团队近期发现名为“BlackWater”的恶意活动与可疑的持续威胁组织MuddyWater相关联。在2019年4月,我们开始监测到新型样本,并对其进行分析,结果表明攻击者已经在常规的运营活动中添加了三个不同的步骤,允许恶意软件绕过某些安全控制,并且MuddyWater的策略、技术和流程(TTPs)已经发展到逃避检测阶段。一旦成功,该恶意软件系列会将基于PowerShell的后门安装到受害者的计算机上,从而为威胁参与者提供远程访问的权限。尽管新型恶意活动表明,威胁参与者正在采取措施来提高其运营过程的安全性,并尽可能逃避终端检测,但我们发现其基础代码仍然保持不变。本文中所描述的分析成果将有助于威胁
发现Mirai新变种:使用多达13种漏洞利用攻击目标路由器和其他设备
概述近期,我们发现了Mirai的新变种(检测为Backdoor.Linux.MIRAI.VWIPT),该后门程序总共利用了13种不同的漏洞,几乎所有漏洞都在之前与Mirai相关的攻击中使用过。这是典型的Mirai变种,具有后门和分布式拒绝服务(DDoS)功能。然而,这一变种是我们首次发现在单起恶意活动中同时使用13个漏洞利用的案例。本次攻击发生在我们上次报道Mirai活动的几周后,当时该恶意软件针对各种路由器发动攻击。该变种也使用了在先前攻击中使用过的一些漏洞利用。新的Mirai变种我们最初发现这一Mirai新变种,是来源于我们部署的一个蜜罐,该蜜罐用于发现与物联网(IoT)相关的攻击。随着我们对这一恶意软件进行详细分
LightNeuron与俄罗斯黑客组织Turla有关联
随着操作系统安全性的提升,rootkit的使用近年来逐渐减少。因此,恶意软件开发者尤其是监控组织的恶意软件开发者忙于开发新的隐秘的恶意软件。近期,ESET研究人员发现俄罗斯黑客组织Turla(又名Snake)使用了一个复杂的后门——LightNeuron。该后门从2014年开始就不断攻击Microsoft Exchange邮件服务器,虽然没有发现Linux样本,但是根据Windows版本中的代码段,研究人员相信有Linux变种存在。受害者分布研究人员在分析过程中发现了至少3个不同的受害者组织,如图1所示。图1 – 已知的LightNeuron受害者分布其中两个受害者组织是外交部和地区外交事务组织,与近期分析的Turla
为逃避检测而取消持久性:KPOT v2.0信息窃取恶意软件分析
概述KPOT Stealer是一种信息窃取类型的恶意软件,该恶意软件可以从Web浏览器、即时通信、电子邮箱、VPN、RDP、FTP、加密货币软件和游戏中提取帐户信息和其他数据。Proofpoint的研究人员从2018年8月开始,发现有攻击者开始通过电子邮件活动和漏洞利用工具包分发KPOT Stealer(如下图所示)。此外,Flashpoint Intel的研究人员在2018年9月发现了针对Javv加密货币钱包用户的恶意软件。2018年11月至2019年5月期间,分发KPOT Stealer的漏洞利用工具包动:最近,攻击者开始提供更新版本的恶意软件,本文分析了其中一起恶意活动及在恶意活动中使用的恶意软件。这一较新版本的
滥用HTTPS站点隐藏的/.well-known/目录传播恶意软件
WordPress和Joomla是最流行的内容管理系统(Content Management Systems, CMS),因为其流行性也成为网络犯罪分子攻击的目标。过去几周,ThreatLabZ的安全研究人员就发现多起WordPress和Joomla站点服务于Shade/Troldesh勒索软件、后门和钓鱼页面的情况。CMS站点最常见的威胁就是插件、主题和扩展等引入的漏洞。本文中主要介绍上个月上百个被黑的CMS站点中发现的Shade/Troldesh勒索软件和钓鱼页面。研究人员分析发现被黑的WordPress站点都使用v 4.8.9到5.1.1版本,并且都使用Automatic Certificate Manageme
‘DMSniff’POS恶意软件针对中小型企业
之前仅私下销售的销售点恶意软件已被用于攻击中小型餐饮和娱乐行业。此恶意软件称为DMSniff,它还使用域名生成算法(DGA)来动态创建命令和控制域列表。该技术对攻击者很有价值,因为如果域名被执法部门,技术公司或托管服务提供商屏蔽,恶意软件仍然可以通信和接收命令或共享被盗数据。Flashpoint的研究人员认为,在POS恶意软件领域很少见到使用DGA。POS软件继续困扰着食品服务和酒店等行业,其中老旧和不受支持的系统仍然普遍存在,特别是在中小型公司中。在这些以卡片交易为主的环境中,犯罪分子一直在瞄准这些易受攻击的设备。去年Verizon Data Breach调查报告中的数据显示,销售点终端是数据库服务器背后受攻击次数最
恶意软件如何绕过AMSI检测以逃避检测
前言在本文中,我将详细介绍一种禁用反恶意软件扫描接口(AMSI)的技术。这是在Microsoft Windows中的一个内部功能,用于使用系统上安装的反恶意软件对数据进行扫描。我们举例说明,该特性允许应用程序在将数据写入文件之前,请求扫描下载的数据。如果一个恶意软件可以禁用此接口,那么它就可以逃避反病毒检测。在本文中,我们将对从客户那里拿到的一个恶意样本进行详细分析,并看看样本是如何绕过AMSI的。恶意软件概述在RTF格式的Excel文档中,都包含经过模糊后的宏:通过阅读这个混淆后的代码,我们发现它以混淆后的形式,运行一个位于单元格G135内的命令:经过这些多层次的混淆后,Excel文档宏最终会启动PowerShell
SLUB后门使用Slack等进行通信
研究人员近期发现一个非常有意思的恶意软件。首先,该恶意软件通过水坑攻击进行传播,水坑攻击是指攻击者进入入侵用户要访问的网站,并加入恶意代码,然后用户访问该网站时就会被重定向到受感染的代码。在该攻击活动中,每个访问用户只会重定向一次。感染过程利用了CVE-2018-8174漏洞,该漏洞是VB脚本引擎漏洞,微软已于2018年5月修复了该漏洞。究人员发现很多AV产品仍然无法成功检测该后门。最后,研究人员还发现该恶意软件会连接到Slack平台。Slack是一款与IRC其次,该恶意软件使用多阶段感染的方案。在利用了漏洞之后,会下载一个DLL并在PowerShell中运行。该文件实际上是一个下载器,会下载和执行含有后门的可执行文件
公告
关注公众号hackdig,学习最新黑客技术