记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华Malvuln:业界首个恶意软件漏洞库
漏洞利用似乎是恶意软件的专利,但是安全专家们开发了一个“以毒攻毒”的漏洞库项目——Malvuln,分类收集恶意软件的漏洞利用信息。Malvuln(https://www.malvuln.com/)的开发者,安全研究员John Page(又名hyp3rlinx)透露,当他在新冠疫情封锁期间感到无聊时,想到了这个主意。Malvuln网站目前有26个条目,描述了与不安全权限有关的可远程利用的缓冲区溢出漏洞和特权提升漏洞。目标恶意软件的列表包括后门和特洛伊木马,以及一种电子邮件蠕虫(Zhelatin)。专家说,绝大多数的缓冲区溢出漏洞都可以用于远程代码执行。
微软发布新版 Sysmon 可用于恶意软件检测
微软发布了新版本的Windows 10 Sysinternals工具Sysmon,该工具可以用来检测黑客将恶意代码注入合法的Windows进程中,以绕过安全措施。Sysmon 13可以监控Windows 10进程的活动,可以检测到通常在任务管理器中看不到的进程掏空或进程herpaderping技术。
进程掏空是指恶意软件在暂停状态下启动合法进程,并用恶意代码替换进程中的合法代码。然后,这个恶意代码就会被进程执行,无论分配给进程的权限是什么。
进程herpaderping是指恶意软件加载后,修改其在磁盘上的映像,改头换面使其看起来像合法软件。
黑客利用特朗普丑闻假视频传播恶意软件
Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动,该活动通过发布美国总统唐纳德·特朗普(Donald Trump)的丑闻假视频来传播远程访问木马(RAT)。
电子邮件的主题为“ GOOD LOAN OFFER !!”,附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档(JAR)文件,一旦被下载,该文件会将Qua或Quaverse RAT(QRAT)安装到系统中。
Trustwave高级安全研究员戴安娜·洛帕(Diana Lopera)在文章中说:“我们怀疑,黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。
从零开始学逆向之x86篇(一)
原文地址:https://0xinfection.github.io/reversing/
在本系列文章中,我们将为读者从头开始介绍x86架构下的逆向工程技术。
第一课:课程目标
众所周知,逆向工程是现代恶意软件分析的基础,而恶意软件分析又是理解和考察响应网络入侵所需信息的基础。
这份简短的教程将从恶意软件逆向工程的基本概念开始,然后逐步介绍汇编语言的入门级基本知识。
可以说,王国的钥匙植根于对各个可疑恶意软件二进制文件的分析,以及如何在网络中找到它并最终对其进行遏制。
新型 Golang 蠕虫传播恶意软件
自12月初以来,一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露,这个多平台的恶意软件还具有蠕虫功能,可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。
自首次发现该蠕虫以来,背后的攻击者一直通过其命令和控制(C2)服务器积极更新该蠕虫的功能,这暗示着该蠕虫依然是一个积极维护的恶意软件。
美国和加拿大银行用户成为黑客目标
黑客正在分发一种新的以AutoHotkey(AHK)脚本语言编写的凭据窃取程序,这是自2020年初开始的攻击活动的一部分。
美国和加拿大银行用户是黑客的主要目标,特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。
AutoHotkey是Microsoft Windows的一种开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动执行重复的任务。
SolarWinds 新漏洞可能使黑客安装 SUPERNOVA 恶意软件
黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞,在目标环境中部署SUPERNOVA恶意软件。
CERT协调中心发布的咨询报告表示,用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞(CVE-2020-10148),该漏洞可能允许黑客执行未经身份验证的攻击API命令,从而导致SolarWinds实例的妥协。
SolarWinds在12月24日发布的安全公告表示,黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止,我们仍不清楚相关漏洞的细节。
微软和 McAfee 等巨头加盟勒索软件特别工作组(RST)
通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作,安全与技术研究所(IST)正倡导组建全新的勒索软件特别工作组(RTF)。该工作组的创始成员包括了微软、McAfee等诸多科技公司。
RTF的主要工作内容包括:“RTF 将评估现有解决方案在处理勒索软件方面的级别,寻找其中的差距,并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献,RTF将委托专家撰写论文,并让各行业的利益相关者参与进来,围绕经过审核的解决方案进行讨论”。
美科技公司联盟力挺 WhatsApp 诉以色列 NSO Group 间谍软件案
去年,WhatsApp 发现并修补了一个据说被以色列情报机构 NSO Group 利用的漏洞。在某些情况下,受害者或许无法意识到他们已被间谍软件给盯上。几个月后,WhatsApp 方面开始向后者提起诉讼,以披露幕后都有哪些黑手。被告方一再对这些指控提出异议,并且试图以遵从政府指令为由申请法律上的豁免,但未能说服美国法院在今年早些时候撤销该案件。
最新消息是,由微软、谷歌、亚马逊、思科、Facebook、Twitter、VMware 在内的多家科技巨头和互联网协会组成的联盟,已经共同发声支持 WhatsApp,恳请法院驳回 NSO 的主张且不许其受到豁免。
《赛博朋克2077》出手游了?小心,它是勒索软件
伪装成热门游戏进行勒索早已不再是什么新鲜事了,不过这次是热门游戏《赛博朋克2077》的手游版本。不过受害者可以在不支付赎金的情况下解锁设备。当然没有手游版本的《赛博朋克2077》,只不过是黑客利用对这款游戏了解不多的玩家下手而已。
正如卡巴斯基的 Android 恶意软件分析师 Tatyana Shishkova 所指出的那样,不法分子利用部分玩家对游戏的了解程度不够,创建了一个类似于 Google Play 的假网站,让不知情的访问者可以下载手游版《赛博朋克2077》。
该文件实际上是一个名为 CoderWare 的勒索软件,它是 BlackKingdom 勒索软件的变种。
SolarWinds 入侵事件余波:英特尔、英伟达、思科等科技巨头亦躺枪
上周曝出的 IT 管理公司 SolarWinds 遭受黑客入侵事件,又陆续揭示了更多的受害者。据说有俄方背景的黑客组织,对包括美国财政部、商务部、能源部、国土安全部等在内的目标发起了攻击,且据信其中两个可能有邮件失窃。由于 SolarWinds 的客户数量众多,外媒猜测有更多大型科技企业遭到了类似的攻击。
(图 via SeekingAlpha)
《华尔街日报》的最新报道称,包括思科、英特尔、英伟达、贝尔金、VMware 等在内的私企网络,也都被发现感染了同样的恶意软件。
此前 SolarWinds 曾表示,有“少于 18000 家”企业受到了影响。
针对越南政府组织 VGCA 的软件供应链攻击
网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击,该攻击破坏了机构的数字签名工具包,并在系统上安装了后门。
网络安全公司ESET在本月初发现了这种“ SignSight”攻击,其中涉及修改CA网站(“ ca.gov.vn”)上托管的软件安装程序,插入名为PhantomNet或Smanager的间谍软件工具。
勒索软件攻击者使用带有 RAT 和 Tor 代理的 SystemBC 恶意软件
最新研究显示,越来越多的网络犯罪分子利用商品恶意软件和攻击工具,将部署勒索软件的任务外包给其附属机构。
Sophos发布的一项新分析表示,Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。
分支机构通常是负责在目标网络中获得初始立足点的攻击者。
Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说:“SystemBC是最近勒索软件攻击者工具中的常规部分。”
“后门可以与其他脚本和恶意软件结合使用,以自动方式跨多个目标执行发现、过滤和横向移动。
微软将强制隔离带有恶意软件的 SolarWinds Orion 应用
微软宣布将从今天开始,强制屏蔽和隔离已知含有 Solorigate(sunburst)恶意软件的 SolarWinds Orion 应用版本。上周末,多家媒体报道称有俄罗斯政府背景的黑客组织入侵了 SolarWinds,并在网络监控和库存平台 Orion 更迭版本中插入了恶意软件。
在新闻曝光之后 SolarWinds 证实,2020年3月至2020年6月期间发布的 Orion 应用版本 2019.4 至 2020.2.1 版本受到恶意软件的污染。在该公司发表官方声明后,微软是最早确认 SolarWinds 事件的网络安全厂商之一。
Pay2Key 勒索软件组织宣称从英特尔 Habana 实验室盗取了 53 GB 的数据
Pay2Key勒索软件组织周日发布了似乎是从Habana Labs获得的内部文件的细节,Habana Labs是一家位于以色列的芯片初创公司,一年前被英特尔收购。这个被安全公司Check Point与伊朗人联系在一起的黑客组织通过Twitter发布了一张包含Habana Labs的源代码截图,同时还发布了一个Tor浏览器可访问的.onion地址的链接。
该网站包含与Habana Labs的Gerrit代码协作软件、DomainController数据相关的文件名,以及似乎来自这家AI芯片制造商的文件。
在撰写这篇报道时,@pay2key账户因违反Twitter的规则而被暂停。
SoReL-20M:一个由 2000 万个恶意软件样本组成的庞大数据集
12月14日,网络安全公司Sophos和ReversingLabs首次联合发布了面向公众的恶意软件研究数据集,旨在建立有效的防御措施,推动全行业在安全检测和响应方面的改进。
“SoReL-20M”是一个数据集,包含2000万个Windows可移植可执行文件(.PE)的元数据、标签和功能,1000万个已解除防护的恶意软件样本,其目标是设计机器学习方法,以获得更好的恶意软件检测能力。
Sophos AI组织表示:“对网络威胁的开放认识和理解也会导致更具预测性的网络安全。他防御者将能够预见攻击者在做什么,并为下一步行动做好更好的准备。
Mount Locker 勒索软件向黑客提供双重勒索方案
研究发现,一种新的勒索软件可以扩大目标范围,躲避安全软件的检测,发动双重勒索攻击。
MountLocker勒索软件在2020年7月开始出现,它在加密前窃取文件,并且要求数百万赎金,这种策略被称为双重勒索。
BlackBerry Research and Intelligence Team的研究人员表示,“MountLocker背后的攻击者显然只是在热身。从7月份开始,他们的勒索要求越来越高。”
“与MountLocker相关联的公司效率很高,能够快速过滤敏感文档,在几个小时内对目标进行加密。
CISA 和 FBI 警告针对 K12 教育的勒索软件攻击增多
在周四发布的联合安全警报中,美国网络基础设施安全局及联邦调查局表示:针对美国K-12教育的勒索软件网络攻击的数量有所增加,这些网络攻击活动通常会导致数据泄露和远程学习的中断。
警报写道:“截至2020年12月,FBI、CISA和MS-ISAC持续收到来自K-12教育机构的网络攻击报告。” “黑客可能将学校视为攻击目标,预计这类攻击将持续到2020/2021学年。”
勒索软件攻击
CISA和FBI表示:“ 针对K-12教育机构的今年所有网络攻击中,勒索软件一直是最重大的威胁。MS-ISAC数据显示2020学年开始之际,针对K-12教育的勒索软件事件的百分比有所增加。
俄罗斯 APT28 黑客组织使用 COVID-19 作为诱饵传递 Zebrocy 恶意软件
一个以恶意软件活动著称的俄罗斯黑客组织再次利用COVID-19作为网络钓鱼诱饵进行恶意攻击。
网络安全公司Intezer将这一行动与APT28(又名Sofacy、Sednit、Fancy Bear或STRONTIUM)联系起来,并表示,这些以COVID-19为主题的网络钓鱼电子邮件被用来传播Zebrocy(或Zekapab)恶意软件的Go版本。这些活动是上个月底观察到的。
Zebrocy主要通过网络钓鱼进行攻击,该攻击包含有宏和可执行文件附件的Microsoft Office文档诱饵。
该恶意软件的幕后攻击者于2015年被发现,并与GreyEnergy有所联系。
富士康墨西哥工厂遭勒索软件攻击 黑客要求 3400 万美元赎金
感恩节的周末,富士康位于墨西哥的一家工厂遭受勒索软件攻击。攻击者在对设备加密之前已经窃取了大量未加密的文件。富士康是全球最大的电子制造公司之一,2019 年的营业收入达到了 1720 亿美元,在全球拥有超过 80 万名员工。富士康的子公司包括 Sharp Corporation,Innolux,FIH Mobile 和 Belkin。
援引外媒 Bleeping Computer 报道,位于墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,并在暗网上出售窃取的文件。据悉窃取的文件包括常规的业务文档和报告,但不包含任何财务信息或者员工的个人信息。
黑客组织使用 Raccoon 信息窃取器来盗取数据
今年早些时候,一个以电子商务网站为目标的网络犯罪组织发起了一场“多阶段恶意活动”,目的是散布信息窃取器和基于JavaScript的支付窃取器。
新加坡网络安全公司Group-IB在今天发布的一份新报告中,将这一行动归因于同一个组织,该组织与另一次针对网商的攻击有关。该攻击使用窃取密码的恶意软件,用伪造的JavaScript-sniffers(JS-sniffers)感染他们的网站。
这项活动从2月开始到9月结束,共分四波进行。攻击者利用钓鱼网页和带有恶意宏的诱饵文件,将Vidar和Raccoon信息窃取器下载到受害者系统上。
伊朗 RANA Android 恶意软件监视即时通讯
12月7日,研究人员公布了一个安卓间谍软件的功能。该软件由一个受制裁的伊朗黑客组织开发,可以让攻击者从流行的即时通讯应用程序中监视私人聊天,强迫Wi-Fi连接,自动接听特定号码的来电,以窃听通话。
今年9月,美国财政部对伊朗黑客组织APT39(又名Chaffer、ITG07或Remix Kitten)实施制裁。在制裁的同时,美国联邦调查局(FBI)发布了一份威胁分析报告,描述了Rana Intelligence Computing公司使用的几种工具,该公司充当了APT39组织进行恶意网络活动的幌子。
FBI正式将APT39的活动与Rana联系起来,详细列出了8套独立且不同的恶意软件。
因涉嫌为勒索组织洗钱 BTC-e 创始人 Alexander Vinnik 被判有期徒刑5年
援引法国 ZDNet 报道,法国法院近日宣判已破产的 BTC-e 加密货币交易所创始人有期徒刑 5 年,并处以 10 万欧元的罚款。罪名是为包括勒索软件组织在内的网络犯罪分子洗钱。 现年 41 岁的亚历山大·温尼克(Alexander Vinnik)是俄罗斯人,在法国检察院未能证明 BTC-e 创始人直接参与了 Locky 的创建和发行之后做出了如上宣判。Locky 是肆虐于 2016-2017 年的勒索软件。
网络犯罪团伙 Clop 声称已从 E-Land 窃取了 200 万张信用卡
Clop黑客声称从E-Land公司窃取了200万张信用卡。
E-Land 是一家韩国企业集团,总部位于韩国首尔麻浦区昌田洞。其业务包括零售商场、饭店、主题公园、酒店建筑和时尚服装业务,并通过其子公司E-Land World在全球开展业务。
Clop勒索软件声称在过去12个月中从E-Land Retail窃取了200万张信用卡信息。
上个月,被CLOP勒索软件感染之后,该公司被迫关闭了23家NC百货商店和New Core。
该公司表示,已在相关服务器上进行了加密,并通知了有关当局。
“我们正在努力迅速恢复损失并使业务正常化,全国大多数分支机构都采取紧急措施,可进行基本的交易活动。
专家发现俄罗斯恶意软件“Crutch”用于 APT 攻击达 5 年之久
网络安全研究人员发现了一个之前没有文件记录的后门和文件窃取者,该窃取者在2015年至2020年初针对特定目标进行了部署。
该恶意软件被ESET研究人员命名为“Crutch”,被归咎于Turla,这是一家总部位于俄罗斯的高级黑客组织,通过各种水坑和鱼叉钓鱼活动对政府、大使馆和军事组织发动广泛攻击。
网络安全公司的分析报告显示:“这些工具旨在将敏感文件和其他文件泄露给Turla运营商控制的Dropbox账户中。”
这些后门植入程序被秘密安装在欧盟一个未透露国家名称的外交部的几台机器上。
黑客组织利用黑匣子攻击技术从意大利 ATM 机中盗走了 80 万欧元
黑客组织利用黑匣子攻击技术从至少35台意大利ATM机中盗窃了80万欧元。
意大利人Carabinieri证实该黑客组织有12人,其中6人已经被捕,3人目前在波兰被押制,1人在被逮捕之前返回摩尔多瓦,还有2人可能已离开意大利。
据当地媒体报道,该团伙在米兰、蒙扎、博洛尼亚、摩德纳、罗马、维泰博、曼托瓦、维琴察和帕尔马省设有众多后勤基地。
黑匣子 攻击技术旨在通过“黑匣子”设备发送命令强制ATM分配现金。在此攻击中,黑匣子设备(移动设备或Raspberry)物理连接到ATM以向计算机发送命令。
没有采取良好保护措施的ATM更容易遭受此类攻击,因为黑客很容易就连接上移动设备。
针对 DNA 供应链的攻击可导致病毒生成
周一,内盖夫本古里安大学的学者描述了生物学家和科学家如何成为生物科学领域网络攻击的受害者。
在全球科学家正研发COVID-19疫苗的时候,本·古里安的研究小组表示,黑客不再需要物理接触“危险”物质即可生产“病毒”。相反,黑客可以通过网络攻击诱骗科学家合成病毒。
该研究报告《网络生物安全性:合成生物学中的远程DNA注射威胁》最近发表在学术期刊《自然生物技术》上。
该报告描述了恶意软件如何替换DNA测序中的生物学家计算机上的子字符串。具体而言,合成双链DNA和统一筛选协议v2.0系统提供者的筛选框架指南中的弱点可以混淆程序。
TMT 网络犯罪集团三名成员在尼日利亚被捕
据国际刑警组织周三报道,三名涉嫌参与一个网络犯罪集团的尼日利亚人在尼日利亚首都拉各斯被捕,该集团在全球范围内使数万人受害。安全公司Group-IB在一份披露参与调查的报告中称,这三名嫌疑人是他们自2019年以来一直追踪的TMT网络犯罪集团的成员。
Group-IB表示,该集团主要通过发送大量含有恶意软件文件的电子邮件垃圾邮件活动进行运作。
为了发送他们的电子邮件垃圾邮件,该团伙使用Gammadyne Mailer和Turbo-Mailer电子邮件自动化工具,然后依靠MailChimp追踪收件人受害者是否打开了他们的邮件。
恶意软件 WAPDropper 滥用 Android 设备进行 WAP 欺诈
安全研究人员发现,目前有一种新的Android恶意软件正在广泛传播,主要针对东南亚的用户。该新恶意软件名为 WAPDropper ,目前通过第三方应用商店上托管的恶意应用进行传播。
Check Point表示,一旦恶意软件感染了用户,它就会开始为他们注册高级电话号码,从而为各种类型的服务收取高额费用。
最终结果是,所有被感染的用户每个月都会收到大笔电话账单,直到他们取消订阅保费号码或向其移动提供商报告问题为止。
Stantinko 僵尸网络正在瞄准 Linux 服务器以隐藏代理
至少自2012年以来,一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标,目前已将目光投向了Linux服务器。
Intezer的分析报告指出,该木马伪装成Linux服务器上常用的HTTPd程序,它是一个新版本恶意软件,被跟踪为Stantinko。
早在2017年,ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络,它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件,安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器,以加密挖矿的形式从他们控制的计算机中获利。
公告
❤人人都能成为掌握黑客技术的英雄⛄️