记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华Joker 恶意软件感染超过 50 万台华为 Android 设备
超过50万名华为用户从该公司的官方Android商店AppGallery下载了感染Joker恶意软件的应用,订阅了高级移动服务。研究人员在AppGallery中发现了10个看似无害的应用,这些应用含有连接到恶意命令和控制服务器以接收配置和附加组件的代码。
反病毒厂商Doctor Web的一份报告指出,这些恶意应用保留了其宣传的功能,但下载的组件可以让用户订阅高级移动服务。为了让用户无法察觉,受感染的应用程序要求访问通知,这使得他们能够拦截订阅服务通过短信传递的确认代码。
据研究人员介绍,该恶意软件最多可以为一个用户订阅五项服务,不过威胁行为人可以随时修改这一限制。
Gigaset Android 更新服务器遭遇黑客攻击 并在用户设备上安装恶意软件
Gigaset 透露,在其 Android 设备上发现的恶意软件感染事件,是由外部更新服务提供商的服务器遭到黑客攻击而导致的。这家德国电信设备制造商表示,此事似乎可追溯到 3 月 27 日,受影响的智能机型号包括 GS100、GS160、GS170、GS180、GS270(plus)、以及 GS370(plus)等系列。
通过与安装的系统更新 App 下载并安装,这批恶意软件的形式也是五花八门。Gigaset 表示已及时向更新服务提供商发出了警告,并在 4 月 7 日阻断了进一步的感染。
Android 恶意软件冒充 Netflix 劫持 WhatsApp 会话
安全研究人员在Google Play上的一款应用中发现了一个新的Android恶意软件变种,该软件通过承诺免费订阅Netflix来吸引受害者。周三,Check Point Research(CPR)表示,这种 蠕虫类移动恶意软件是在Android应用的官方存储库Google Play商店中被发现的。
这款被称为 “FlixOnline “的恶意软件将自己伪装成一个合法的Netflix应用,似乎重点针对WhatsApp消息应用。COVID-19大流行迫使我们许多人长期呆在家里,商店关门,酒吧关闭,允许外出的次数有限,我们转而使用流媒体服务来打发时间。
Android 间谍软件伪装成系统更新
安全研究人员表示,一种强大的新型Android恶意软件伪装成关键的系统更新,可以完全控制受害者的设备,并窃取他们的数据。该恶意软件被发现捆绑在一个名为 “系统更新 “的应用中,必须在Android设备的应用商店Google Play之外安装。
一旦用户安装后,该应用就会隐藏并隐秘地将受害者设备中的数据发送到的自己控制的服务器。发现该恶意应用的移动安全公司Zimperium的研究人员表示,一旦受害者安装了该恶意应用,该恶意软件就会与运营商的Firebase服务器进行通信,用于远程控制设备。
2021年全球RDP攻击创新高
RDP是远程访问Windows服务器或工作站的专有协议,也是当下最受企业欢迎的远程访问协议之一。因此,在疫情导致的远程办公潮流中,网络犯罪分子也迅速注意到了这一点。2020年春季,当许多组织关闭办公室时,针对RDP的攻击开始猛增:卡巴斯基报告说,全球RDP攻击从2月份的9,310万猛增至3月份的2.774亿,增长了197%。研究人员指出,这一趋势全年呈上升和下降趋势,但随着冬季疫情反弹,又出现了一次显著增长。ESET的遥测报告也反映了类似的模式。ESET研究团队报告称,整个2020年RDP攻击“稳定增长”,其中2月和3月变化最快,因为美国和西欧陷入封锁。
2020 年 macOS 恶意软件发展迅速
9to5Mac 报道称:一项针对去年野外发现的新恶意软件的研究表明,macOS 的威胁形势发生了巨大的变化,几乎较 2019 年增加了 1100% 。这项由 Atlas 和 AV-Test 联手开展的调查表明,Mac 用户平均每天面临 1847 个新增威胁。不过结合上下文,可知与同时期 Windows 平台相比,其数量仍不到总威胁的 1% 。
本次调查涉及 Mac 平台的 67 万 4273 个新恶意软件,算是自 2019 年以来的首次大爆发(+1092%)。
使用 Go 编程语言编写的恶意软件数量爆发式增长
根据网络安全公司 Intezer 本周发布的一份报告,自 2017 年以来使用 Go 编程语言编写的恶意软件数量呈现爆发式增长,增幅超过 2000%。从报告中可以看到,恶意软件作者已逐渐从 C/C++ 转向 Go,这是一种由谷歌在 2007 年开发并推出的编程语言。
虽然首个基于 Go 语言开发的恶意软件在 2012 才被检测到,但在短短几年时间里该语言已经在恶意软件领域快速流行起来。Intezer 在报告中说:“在 2019 年之前,发现用 Go 编写的恶意软件更多的是一种罕见的现象,而在 2019 年期间,它变成了一种日常现象”。
Windows注册表分析:跟踪攻击者在Windows系统上的一举一动
本文的目的是与大家一起深入深入考察Windows注册表以及其中蕴藏的信息宝藏。对于今天大部分管理员和取证分析人员来说,注册表可能看起来就像一个黑暗的入口。
实际上,除了配置信息外,Windows注册表还拥有关于最近访问的文件和用户活动的大量信息。
事实上,对于管理员和取证调查人员来说,注册表是一个名副其实的信息金矿。
发布时间:2021-02-25 18:40 |
阅读:21417 | 评论:0 |
标签:Internet Explorer MRU usb windows Windows注册表 应用程序 恶意软件 注册表 硬
微软与 FireEye 敦促国会制定强制性的安全报告披露规则
在调查发现 SolarWinds 黑客攻击事件对美国企业和联邦政府有着极其深远的影响之后,微软和 FireEye 高管于本周二联合敦促国会采取行动,以制定强制性的安全报告披露规则。微软总裁 Brad Smith 在提交给参议院情报委员会的文书中表示:“我们需要让私营机构承担明确、一致的披露义务,否则企业会在遭受黑客入侵时纷纷保持沉默”。
显然,作为 SolarWinds 入侵事件的余波,安全行业对当下的糟糕状况感到十分无奈,因而 Brad Smith 认为大家是时候做出集体的转变。
我们需要用明确、一致性的义务,来代替这种可怕的沉默。只有这样,私营组织才会在遭受到重大事件影响时及时披露信息。
“适配”M1芯片的新型Mac电脑病毒爆发
搭载苹果革命性的M1芯片的Mac电脑已经发售数月,目前依然有大量软件未能完成对M1芯片的适配,但是一款名为Silver Sparrow的恶意软件不但率先完成了“适配”,而且还在过去一周感染了数万个MacOS设备。名为Silver Sparrow的恶意软件由Red Canary的安全研究人员发现,并与Malwarebytes和VMWare Carbon Black的研究人员一起进行了分析。根据Malwarebytes提供的数据,截至2月17日,Silver Sparrow已在153个国家/地区感染了29,139个macOS端点,美国、英国、加拿大、法国和德国检测到大量被感染设备。
加州车辆管理局警告称其承包商数据或遭泄露
加州车辆管理局(DMV)日前警告说,在一个承包商遭遇勒索软件攻击后,可能出现数据泄露。总部位于西雅图的自动资金转移服务(AFTS)表示,自2019年以来,DMV一直用于与国家数据库核实地址变更,本月早些时候受到了一个不明勒索软件的攻击。
DMV在通过电子邮件发送的一份声明中表示,此次攻击可能已经泄露了“过去20个月的加州车辆登记记录,其中包含姓名、地址、车牌号和车辆识别号”。但DMV表示,AFTS无法获取客户的社会安全号码、出生日期、选民登记、移民身份或驾照信息,并没有被泄露。
DMV表示,此后已经停止了所有向AFTS的数据传输,并在此后启动了一项紧急合同,以防止任何宕机。
Linux 恶意软件 Kobalos 曝光
安全公司 ESET 近日放出了一则警告,提醒一款被挂有木马的 OpenSSH 软件,或被用于从 HPC 高性能计算集群中窃取 SSH 证书。这款 Linux 恶意软件被称作 Kobalos,安全研究人员称之“小而复杂”且“诡计多端”。即使攻击规模不大,但 Kobalos 后门还是渗透了一些主要目标,包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商(ISP)的系统。
参考希腊神话中一个顽皮的小动物,ESET 研究人员将这款恶意软件命名为 Kobalos 。
报告称勒索软件赎金在减少
据外媒报道,虽然勒索软件仍是一个祸害,但现在也有一些好消息:受害者支付的平均金额在一年多的大幅增长后在Q4出现了下降。为什么呢?–因为越来越少的公司愿意屈服于赎金要求。来自网络安全公司Coveware公布的最新季度勒索软件报告显示,自2018年Q3以来,勒索软件的平均支付额持续上升,但在去年Q4下降34%,降至15.4108万美元。
与此同时,支付勒索软件费用的中位数也下降了55%,降至49,450美元。
一般来说,任何遭到勒索软件攻击的人都不被建议交出任何密码,因为这并不能保证作案者会交出加密密钥。似乎越来越多的公司开始听从这一建议。
2020 年被勒索软件攻击的组织至少支付了 3.5 亿美元赎金
根据区块链分析公司 Chainalysis 上周发布的统计报告,被勒索软件攻击的机构和组织在 2020 年至少支付了 3.5 亿美元的赎金。该数字是通过追踪与勒索软件攻击相关的区块链地址的交易来编制的。尽管 Chainalysis 拥有加密货币相关网络犯罪最完整的数据集之一,但该公司表示实际金额会超过这个预估值。
在报告中指出,2020 年勒索软件支付的赎金占加密货币总交易金额的 7% 左右。Chainalysis 表示,与 2019 年相比,这一数字增长了 311%,并将这一突然增加的原因归咎于一些新的勒索软件从受害者那里获取了大量的资金,以及一些已经存在的勒索软件提高了赎金金额。
Malvuln:业界首个恶意软件漏洞库
漏洞利用似乎是恶意软件的专利,但是安全专家们开发了一个“以毒攻毒”的漏洞库项目——Malvuln,分类收集恶意软件的漏洞利用信息。Malvuln(https://www.malvuln.com/)的开发者,安全研究员John Page(又名hyp3rlinx)透露,当他在新冠疫情封锁期间感到无聊时,想到了这个主意。Malvuln网站目前有26个条目,描述了与不安全权限有关的可远程利用的缓冲区溢出漏洞和特权提升漏洞。目标恶意软件的列表包括后门和特洛伊木马,以及一种电子邮件蠕虫(Zhelatin)。专家说,绝大多数的缓冲区溢出漏洞都可以用于远程代码执行。
微软发布新版 Sysmon 可用于恶意软件检测
微软发布了新版本的Windows 10 Sysinternals工具Sysmon,该工具可以用来检测黑客将恶意代码注入合法的Windows进程中,以绕过安全措施。Sysmon 13可以监控Windows 10进程的活动,可以检测到通常在任务管理器中看不到的进程掏空或进程herpaderping技术。
进程掏空是指恶意软件在暂停状态下启动合法进程,并用恶意代码替换进程中的合法代码。然后,这个恶意代码就会被进程执行,无论分配给进程的权限是什么。
进程herpaderping是指恶意软件加载后,修改其在磁盘上的映像,改头换面使其看起来像合法软件。
黑客利用特朗普丑闻假视频传播恶意软件
Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动,该活动通过发布美国总统唐纳德·特朗普(Donald Trump)的丑闻假视频来传播远程访问木马(RAT)。
电子邮件的主题为“ GOOD LOAN OFFER !!”,附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档(JAR)文件,一旦被下载,该文件会将Qua或Quaverse RAT(QRAT)安装到系统中。
Trustwave高级安全研究员戴安娜·洛帕(Diana Lopera)在文章中说:“我们怀疑,黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。
从零开始学逆向之x86篇(一)
原文地址:https://0xinfection.github.io/reversing/
在本系列文章中,我们将为读者从头开始介绍x86架构下的逆向工程技术。
第一课:课程目标
众所周知,逆向工程是现代恶意软件分析的基础,而恶意软件分析又是理解和考察响应网络入侵所需信息的基础。
这份简短的教程将从恶意软件逆向工程的基本概念开始,然后逐步介绍汇编语言的入门级基本知识。
可以说,王国的钥匙植根于对各个可疑恶意软件二进制文件的分析,以及如何在网络中找到它并最终对其进行遏制。
新型 Golang 蠕虫传播恶意软件
自12月初以来,一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露,这个多平台的恶意软件还具有蠕虫功能,可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。
自首次发现该蠕虫以来,背后的攻击者一直通过其命令和控制(C2)服务器积极更新该蠕虫的功能,这暗示着该蠕虫依然是一个积极维护的恶意软件。
美国和加拿大银行用户成为黑客目标
黑客正在分发一种新的以AutoHotkey(AHK)脚本语言编写的凭据窃取程序,这是自2020年初开始的攻击活动的一部分。
美国和加拿大银行用户是黑客的主要目标,特别是丰业银行、加拿大皇家银行、汇丰银行、Alterna银行、Capital One、Manulife和EQ Bank、还包括印度银行公司ICICI Bank。
AutoHotkey是Microsoft Windows的一种开源自定义脚本语言,旨在为宏创建和软件自动化提供简单的热键,允许用户在任何Windows应用程序中自动执行重复的任务。
SolarWinds 新漏洞可能使黑客安装 SUPERNOVA 恶意软件
黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞,在目标环境中部署SUPERNOVA恶意软件。
CERT协调中心发布的咨询报告表示,用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞(CVE-2020-10148),该漏洞可能允许黑客执行未经身份验证的攻击API命令,从而导致SolarWinds实例的妥协。
SolarWinds在12月24日发布的安全公告表示,黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止,我们仍不清楚相关漏洞的细节。
微软和 McAfee 等巨头加盟勒索软件特别工作组(RST)
通过加强和政府、执法部门、非营利机构、网络安全保险、业内科技公司的合作,安全与技术研究所(IST)正倡导组建全新的勒索软件特别工作组(RTF)。该工作组的创始成员包括了微软、McAfee等诸多科技公司。
RTF的主要工作内容包括:“RTF 将评估现有解决方案在处理勒索软件方面的级别,寻找其中的差距,并为高层决策者创建一个目标具体、可操作的里程碑式的路线图。为了对最终的路线图做出贡献,RTF将委托专家撰写论文,并让各行业的利益相关者参与进来,围绕经过审核的解决方案进行讨论”。
美科技公司联盟力挺 WhatsApp 诉以色列 NSO Group 间谍软件案
去年,WhatsApp 发现并修补了一个据说被以色列情报机构 NSO Group 利用的漏洞。在某些情况下,受害者或许无法意识到他们已被间谍软件给盯上。几个月后,WhatsApp 方面开始向后者提起诉讼,以披露幕后都有哪些黑手。被告方一再对这些指控提出异议,并且试图以遵从政府指令为由申请法律上的豁免,但未能说服美国法院在今年早些时候撤销该案件。
最新消息是,由微软、谷歌、亚马逊、思科、Facebook、Twitter、VMware 在内的多家科技巨头和互联网协会组成的联盟,已经共同发声支持 WhatsApp,恳请法院驳回 NSO 的主张且不许其受到豁免。
《赛博朋克2077》出手游了?小心,它是勒索软件
伪装成热门游戏进行勒索早已不再是什么新鲜事了,不过这次是热门游戏《赛博朋克2077》的手游版本。不过受害者可以在不支付赎金的情况下解锁设备。当然没有手游版本的《赛博朋克2077》,只不过是黑客利用对这款游戏了解不多的玩家下手而已。
正如卡巴斯基的 Android 恶意软件分析师 Tatyana Shishkova 所指出的那样,不法分子利用部分玩家对游戏的了解程度不够,创建了一个类似于 Google Play 的假网站,让不知情的访问者可以下载手游版《赛博朋克2077》。
该文件实际上是一个名为 CoderWare 的勒索软件,它是 BlackKingdom 勒索软件的变种。
SolarWinds 入侵事件余波:英特尔、英伟达、思科等科技巨头亦躺枪
上周曝出的 IT 管理公司 SolarWinds 遭受黑客入侵事件,又陆续揭示了更多的受害者。据说有俄方背景的黑客组织,对包括美国财政部、商务部、能源部、国土安全部等在内的目标发起了攻击,且据信其中两个可能有邮件失窃。由于 SolarWinds 的客户数量众多,外媒猜测有更多大型科技企业遭到了类似的攻击。
(图 via SeekingAlpha)
《华尔街日报》的最新报道称,包括思科、英特尔、英伟达、贝尔金、VMware 等在内的私企网络,也都被发现感染了同样的恶意软件。
此前 SolarWinds 曾表示,有“少于 18000 家”企业受到了影响。
针对越南政府组织 VGCA 的软件供应链攻击
网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击,该攻击破坏了机构的数字签名工具包,并在系统上安装了后门。
网络安全公司ESET在本月初发现了这种“ SignSight”攻击,其中涉及修改CA网站(“ ca.gov.vn”)上托管的软件安装程序,插入名为PhantomNet或Smanager的间谍软件工具。
勒索软件攻击者使用带有 RAT 和 Tor 代理的 SystemBC 恶意软件
最新研究显示,越来越多的网络犯罪分子利用商品恶意软件和攻击工具,将部署勒索软件的任务外包给其附属机构。
Sophos发布的一项新分析表示,Ryuk和Egregor勒索软件最近的部署涉及使用SystemBC后门横向移动网络并获取额外的有效负载以供进一步利用。
分支机构通常是负责在目标网络中获得初始立足点的攻击者。
Sophos高级威胁研究人员、前Ars Technica国家安全编辑Sean Gallagher说:“SystemBC是最近勒索软件攻击者工具中的常规部分。”
“后门可以与其他脚本和恶意软件结合使用,以自动方式跨多个目标执行发现、过滤和横向移动。
微软将强制隔离带有恶意软件的 SolarWinds Orion 应用
微软宣布将从今天开始,强制屏蔽和隔离已知含有 Solorigate(sunburst)恶意软件的 SolarWinds Orion 应用版本。上周末,多家媒体报道称有俄罗斯政府背景的黑客组织入侵了 SolarWinds,并在网络监控和库存平台 Orion 更迭版本中插入了恶意软件。
在新闻曝光之后 SolarWinds 证实,2020年3月至2020年6月期间发布的 Orion 应用版本 2019.4 至 2020.2.1 版本受到恶意软件的污染。在该公司发表官方声明后,微软是最早确认 SolarWinds 事件的网络安全厂商之一。
Pay2Key 勒索软件组织宣称从英特尔 Habana 实验室盗取了 53 GB 的数据
Pay2Key勒索软件组织周日发布了似乎是从Habana Labs获得的内部文件的细节,Habana Labs是一家位于以色列的芯片初创公司,一年前被英特尔收购。这个被安全公司Check Point与伊朗人联系在一起的黑客组织通过Twitter发布了一张包含Habana Labs的源代码截图,同时还发布了一个Tor浏览器可访问的.onion地址的链接。
该网站包含与Habana Labs的Gerrit代码协作软件、DomainController数据相关的文件名,以及似乎来自这家AI芯片制造商的文件。
在撰写这篇报道时,@pay2key账户因违反Twitter的规则而被暂停。
SoReL-20M:一个由 2000 万个恶意软件样本组成的庞大数据集
12月14日,网络安全公司Sophos和ReversingLabs首次联合发布了面向公众的恶意软件研究数据集,旨在建立有效的防御措施,推动全行业在安全检测和响应方面的改进。
“SoReL-20M”是一个数据集,包含2000万个Windows可移植可执行文件(.PE)的元数据、标签和功能,1000万个已解除防护的恶意软件样本,其目标是设计机器学习方法,以获得更好的恶意软件检测能力。
Sophos AI组织表示:“对网络威胁的开放认识和理解也会导致更具预测性的网络安全。他防御者将能够预见攻击者在做什么,并为下一步行动做好更好的准备。
公告
❤永久免费的Hackdig,帮你成为掌握黑客技术的英雄