记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华使用UnhookMe分析恶意软件中未受监控的系统调用问题
关于UnhookMeUnhookMe是一款通用的Windows API动态解析工具,可以帮助广大研究人员分析和处理恶意软件中未受监控的系统调用问题。在这个侵入式反病毒产品和EDR产品盛行的年代,很多网络攻击者必须拥有强大的工具来绕过这些安全防御工具。而动态导入解析器能够在运行中取消已用函数的钩子,这也是增强攻击者攻击能力的又一方法。而UnhookMe可以帮助广大研究人员在编译的可执行文件的PE头中保持可视性。
利用深度学习检测恶意软件和钓鱼网站。
二进制可视化和机器学习的结合在网络安全方面已经展示了巨大潜力,恶意软件和钓鱼网站检测就是其中的热点领域,本文我们将介绍该领域的两大创新应用进展。一、用深度学习检测恶意软件检测恶意软件的传统方法是在文件中搜索恶意负载的已知签名。恶意软件检测器拥有一个包含病毒操作码序列或代码片段的数据库,它可搜索被检测的新文件中是否存在这些签名。但恶意软件开发人员可以使用不同的技术轻松规避此类检测方法,例如混淆检测代码或使用多态技术在运行时改变他们的代码。虽然动态分析工具可尝试在运行时检测恶意行为,但速度较慢,并且需要设置沙箱环境来测试可疑程序。近年来,研究人员尝试了一系列机器学习技术来检测恶意软件。
安全帮®每周资讯:Microsoft MSHTML 远程代码执行漏洞安全风险通告;俄罗斯在售低价手机预装恶意软件
安全帮®每周资讯【09.06-09.10】【POC已公开】Microsoft MSHTML 远程代码执行漏洞安全风险通告近日,微软紧急发布Microsoft MSHTML 远程代码执行漏洞通告,漏洞编号为CVE-2021-40444。Microsoft MSHTML引擎存在远程代码执行漏洞,攻击者可通过制作带有恶意 ActiveX 控件的Microsoft Office文档并诱导用户打开此文档来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
功能机中也有恶意软件
研究人员在俄罗斯销售的便宜功能机中发现了预安装的恶意软件。俄罗斯安全研究人员ValdikSS在俄罗斯销售的4款低价功能机中发现了预安装的恶意软件。这四款功能分别是DEXP SD2810、Itel it2160、Irbis SF63和 F+ Flip 3。研究人员发现许多功能机中含有一些用户并不想要的功能,比如自动发送SMS消息、传输购买数据或手机信息,如IMEI、SIM卡IMSI等。通过深入分析,研究人员发现了其中内置的木马恶意软件可以发送付费SMS信息给一些短号码,其他设备中包含有发送收到的SMS消息给攻击者控制的服务器的后门。
发布时间:2021-09-09 14:26 |
阅读:4822 | 评论:0 |
标签:恶意软件
小心!功能机中也有恶意软件
研究人员在俄罗斯销售的便宜功能机中发现了预安装的恶意软件。俄罗斯安全研究人员ValdikSS在俄罗斯销售的4款低价功能机中发现了预安装的恶意软件。这四款功能分别是DEXP SD2810、Itel it2160、Irbis SF63和 F+ Flip 3。研究人员发现许多功能机中含有一些用户并不想要的功能,比如自动发送SMS消息、传输购买数据或手机信息,如IMEI、SIM卡IMSI等。通过深入分析,研究人员发现了其中内置的木马恶意软件可以发送付费SMS信息给一些短号码,其他设备中包含有发送收到的SMS消息给攻击者控制的服务器的后门。
发布时间:2021-09-09 13:44 |
阅读:3448 | 评论:0 |
标签:恶意软件
IoT 恶意软件进化谱系研究
收录于话题 #IoT ,2 #恶意软件 ,6 #谱系 ,1 工作来源IEEE Internet of Things Journal(March 2021)工作背景由于很多物联网恶意软件披露了源代码,这导致相关的变种快速增长,且这些变种在大多数情况下包含多个家族的特征,这给分类、标记、谱系分析和作者归属带来了挑战。(注:恶意软件谱系是指原始家族与其后代、版本或变种之间的家族演化关系。)已有研究多针对特定 IoT 恶意软件展开,都忽略了每个家族的系统演化情况,导致对恶意软件发展趋势的分析不完整不是全局视野。研究需要挖掘家族之间的血缘关系,形成对恶意软件的家族归类和谱系推断的能力。
发布时间:2021-09-09 11:11 |
阅读:9026 | 评论:0 |
标签:恶意软件
9月8日每日安全热点 - 俄罗斯在售廉价手机发现预装恶意软件
robots漏洞 Vulnerability2021-09: 高通补丁日安全更新September 2021 Security Bulletin | Qualcommbraktooth 多款蓝牙设备漏洞安全通告ASSET Research Group: BrakTooth安全事件 Sec
TrickBot恶意软件团伙成员在韩被捕
robots第114期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。【安全头条公告】安全头条主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周二、周四营业。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! TrickBot恶意软件团伙成员在韩被捕提起TrickBot恶意软件团伙,你可能并不陌生,这个有着俄罗斯背景的黑客团伙,在圈内可谓十足的臭名昭著。
发布时间:2021-09-07 16:58 |
阅读:6161 | 评论:0 |
标签:恶意软件
TricBot恶意软件的俄罗斯开发人员在韩国机场被逮捕
一名俄罗斯男子离境韩国时在机场被逮捕,该男子被控为TrickBot恶意软件团伙的开发人员。TrickBot网络犯罪团伙通过各种针对Windows和Linux设备的复杂恶意软件,获得对受害者网络的访问,窃取数据,并部署其他恶意软件,如赎金软件破坏设备。9月6日,The Record报道称该名俄罗斯男子自2020年2月以来因COVID-19限制滞留在韩国首尔,护照在滞留期间过期,在等待俄罗斯大使馆更换护照期间,他试图再次离开韩国,但由于美国的引渡要求,他在机场被捕。首尔高等法院指控,该男子在2016年居住在俄罗斯时曾担任TrickBot团伙的网络浏览器开发人员,计划将他引渡到美国。
发布时间:2021-09-07 14:19 |
阅读:5724 | 评论:0 |
标签:恶意软件
针对恶意软件分类器的可解释性后门投毒攻击
robots 用基于机器学习 (ML) 的恶意软件分类的训练通常依赖于众包威胁源,从而暴露自然攻击注入点。在本文中研究了基于特征的 ML 恶意软件分类器对后门投毒攻击的敏感性,特别关注攻击者无法控制样本标记过程的“干净标签”攻击。建议使用可解释机器学习的技术来指导相关特征和值的选择,从而以与模型无关的方式创建有效的后门触发器。使用多个用于恶意软件分类的参考数据集,包括 Windows PE 文件、PDF 和 Android 应用程序,展示了针对各种机器学习模型的有效攻击,并评估了对攻击者施加的各种约束的影响。
OWASP移动审计 - Android APK 恶意软件分析应用程序
MobileAudit - 针对 Android 移动 APK 的 SAST 和恶意软件分析 Mobile Audit 不仅关注安全测试和防御用例,该项目的目标是成为 Android APK 的完整认证,其中包括:静态分析 (SAST):它将执行 APK 的完整反编译并提取它的所有可能信息。它报告了按不同类别分组的源代码中的不同漏洞和发现。此外,它完全支持查找分类(更改状态和重要性)。
2021年恶意软件AdLoad绕过了苹果XProtect的防护
研究人员说,MacOS设备中的AdLoad恶意软件绕过了苹果设备上的恶意软件扫描器。该攻击活动使用了大约150个独特的样本,其中一些是由苹果公司的公证服务签署的。AdLoad是一个著名的苹果攻击软件,已经出现了很多年。它本质上就是一个特洛伊木马,它会在受感染的系统上打开一个后门,下载和安装广告软件或客户所不需要的程序(PUPs)。它还能够收集和传输受害者的机器信息,如用户名和计算机名称。它还会劫持搜索引擎的搜索结果,并在网页中注入大量广告。该软件最近改变了攻击战术,更新了一个新的功能来逃避主机上的安全软件。
新的AdLoad恶意软件变种可以通过苹果的XProtect防御
美国网络安全公司SentinelOne跟踪发现一种新的AdLoad恶意软件变种,正在通过Apple基于YARA签名的XProtect内置防病毒技术感染Mac。 AdLoad是一种针对macOS平台的广泛木马 ,至少自 2017年末以来用于部署各种恶意负载,包括广告软件和潜在不需要的应用程序(PUAs),该恶意软件还可以获取系统信息,随后发送到其运营商控制的远程服务器。 七月以来越来越活跃 根据SentinelOne威胁研究员的说法,这些大规模和持续的攻击最早在2020年11月就开始了,从今年7月、8月初开始活动增加。
卡巴斯基:Kanye West 的《Donda》新专辑就像是“网络诈骗磁铁”
网络犯罪分子正在发起一个新的骗局,利用Kanye West的《Donda》专辑的发行,在互联网上分发包含恶意软件的假专辑。网络安全公司卡巴斯基研究了这一事件,以了解威胁者是否在互联网上传播任何恶意软件。他们强调,其中一个骗局是针对备受期待的媒体(电影、音乐)的发布,因为他们可以将恶意代码放在可以轻易下载的假文件中。
这个特殊的骗局尝试涉及将假的恶意文件上传到互联网上,这些文件与电影《黑寡妇》问世前的文件相似。Kanye的粉丝会得到一个下载专辑的链接,然后被要求参与一项调查,以确认他们不是机器人,之后,客户被重定向到一个提供几个比特币生成骗局的网站。
手段不断升级!新的恶意软件Chaos兼具勒索软件和擦除器功能
这种危险的恶意软件自6月以来发展迅速,可能很快就会被释放到野外。 目前发现了一种名为Chaos的正在建设中的恶意软件,它正在地下论坛上做广告宣传可供测试。尽管它自称为勒索软件,但一项分析表明实际上更像是一个擦除器。 Chaos自6月开始存在并不断更新 根据趋势科技研究员Jesus的说法,Chaos自6月以来一直存在,并且已经循环了四个不同的版本,最后一个版本于8月5日发布。这种快速发展可能意味着它很快就会为黄金时段做好准备,但到目前为止没有用于实际攻击。 Chaos 一开始声称是Ryuk 勒索软件的 .NET 版本——它一直在使用一个诡计,在其GUI上加上Ryuk品牌。
Synology警告恶意软件通过暴力攻击用勒索软件感染NAS设备
台湾NAS制造商Synology警告客户称,StealthWorker僵尸网络正在对他们的网络连接存储设备进行暴力攻击,导致勒索软件感染。 根据Synology安全团队表示,NAS设备在这些攻击中被破坏,随后被用于进一步试图破坏更多的Linux系统。 Synology在一份安全建议中说:“这些攻击利用一些已经受感染的设备,试图猜测常见的管理凭证,如果成功将访问系统安装恶意负载,其中可能包括勒索软件。” 受感染的设备可能会对其他基于Linux的设备进行额外的攻击,包括Synology NAS。
Raccoon盗号者通过使用谷歌搜索引擎传播恶意软件
Raccoon Stealer平台幕后的犯罪分子已经更新了他们的服务,包括从目标计算机中盗窃加密货币的工具,以及用于投放恶意软件和窃取文件的远程访问功能。这个服务平台的使用者通常是新秀黑客,该平台可以提供偷窃浏览器存储的密码和认证cookies的服务。根据Sophos实验室在周二公布的研究内容中,该平台目前已经发布了很多重要的功能更新,其中包括新的攻击工具和分发网络,同时也提高了对目标攻击的成功率。首先,Raccoon Stealer已经从基于收件箱的感染方式转向利用谷歌搜索进行传播的感染方式。据Sophos称,攻击者现在已经能够熟练地对恶意网页进行了优化,使其在谷歌搜索的结果中排名靠前。
发布时间:2021-08-21 12:17 |
阅读:9093 | 评论:0 |
标签:恶意软件
【火绒安全周报】恶意软件开发者自我感染,暴露犯罪活动/17岁少年攻击航司系统获刑4年
01恶意软件开发者自我感染,意外暴露犯罪活动近日,恶意软件开发人员在测试窃取程序的一个变种时感染了自己的系统,此举直接触发了数据流向命令和控制 (C2) 服务器,并进一步流向网络犯罪论坛。据悉,该程序名为Raccoon,是一种信息窃取程序,其可以从数十个应用程序中收集数据。该人员的受感染系统是通过Cavalier 平台发现的,该平台是一个监控受感染机器的网络犯罪情报数据库。从自我感染系统收集的数据表明,该人员测试了恶意软件从谷歌浏览器中提取密码的能力,不过,这是任何信息窃取软件的基本属性,这些不足以确定开发者的身份。
遭遇勒索软件攻击已成为企业和机构第二常见的网络安全事件
CybSafe对报告给英国信息专员办公室(ICO)的事件的分析显示,2021年上半年,勒索软件攻击占所有报告的网络安全事件的22%。这比2020年上半年的11%有所上升。网络钓鱼仍然领先,占向ICO报告的所有网络安全案件的40%,比前一年的44%略有下降,但勒索软件现在已经挤到了第二位。
教育是受影响最严重的部门,在2021年上半年,勒索软件占了该领域32%的攻击事件比例,而前一年只有11%。随着许多学校急于过渡到远程学习,越来越多的攻击导致学校丢失课程作业、财务记录甚至COVID-19测试数据。
零售业和制造业也继续成为网络攻击的主要目标,在2021年上半年的所有报告事件中占20%。
平均每家公司阻止恶意软件数增长超30%!技术、医疗保健和金融最有针对性
网络安全公司Radware的一份报告显示,第二季度被阻止的DDoS攻击量与2020年同期相比增长了40%以上。该报告按行业以及跨应用程序和攻击类型概述DDoS攻击趋势。值得注意的要点:平均而言,一家公司在2021年第二季度每月必须检测和阻止近5,000个恶意事件和 2.3TB 的流量。2021 年第二季度,平均每家公司被阻止的恶意事件数量增长了30%以上,每家公司的平均阻止量比2020年第二季度增长了40%以上。2021 年上半年,与位于亚太地区 ( APAC )的公司相比,位于美洲或欧洲、中东和非洲 (EMEA)的公司平均需要阻止两倍的数量。
恶意软件开发者自我感染,意外暴露犯罪活动
robots第108期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。【安全头条公告】安全头条主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周二、周四营业。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 恶意软件开发者自我感染,意外暴露犯罪活动害人终害己。
发布时间:2021-08-17 17:44 |
阅读:13577 | 评论:0 |
标签:恶意软件
Android恶意软件“FlyTrap”劫持Facebook账户
研究人员发现了一种名为FlyTrap的新型Android木马,该木马通过第三方应用商店中被操纵的应用、侧载应用和被劫持的Facebook帐户导致10,000多名用户收到攻击。在周一发布的一份报告中,Zimperium的zLabs移动威胁研究团队写道,自3月以来,FlyTrap已通过Google Play商店和第三方应用程序市场传递的恶意应用程序传播到至少144个国家或地区。研究人员表示,该恶意软件是一系列特洛伊木马的一部分,它可以利用社交工程接管Facebook账户。现在研究人员已经追踪到了在越南工作的运营商。会话劫持活动最初是通过Google Play和第三方应用商店发布的。
研究团队称勒索团伙Magniber武器化PrintNightmare;黑莓发布新恶意软件Ficker Stealer的分析报告
#安全简讯 64 #数据泄露 40 维他命安全简讯14星期六2021年08月【威胁情报】研究团队称勒索团伙Magniber武器化PrintNightmarehttps://therecord.media/printnightmare-vulnera
8月13日每日安全热点 - Chaos 恶意软件介于勒索软件和 Wiper 之间
robots漏洞 VulnerabilityCVE-2021-36958: Windows Print Spooler打印机漏洞https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36958CVE-2021-3050: PAN-OS命令注入漏洞安全?
研究发现 FlyTrap 恶意软件破坏了数千个 Facebook 账户
安全研究人员发现,自2021年3月以来,一个代号为FlyTrap的新安卓木马已经袭击了至少140个国家,并通过社交媒体劫持、第三方应用商店和侧载应用程序传播给超过10000多名受害者。
Zimperium的zLabs移动威胁研究团队最近使用Zimperium的z9恶意软件引擎和设备上的检测,发现了以前没有被检测到的恶意软件。经过他们的取证调查,zLabs团队确定这个以前未被检测到的恶意软件是一个木马家族的一部分,它采用社会工程的技巧来破坏Facebook账户。
这个活跃的Android木马攻击已经命名为FlyTrap,安全研究人员指出自2021年3月以来,来自越南的黑客团队在运营这个木马活动。
对 APT28/SOFACY 使用的名为 SKINNYBOY 的新型恶意软件的逐步分析
恶意软件使用 systeminfo 命令提取有关它感染的设备的配置信息,然后通过生成 tasklist 进程来检索进程列表。以下目录的内容以及进程的输出都是 base64 ?
超过5000个安装!新的Android恶意软件利用VNC监视和窃取受害者密码
一种以前未记录的基于android的远程访问木马(RAT)被发现利用屏幕记录功能窃取设备上的敏感信息,包括银行凭证,并为设备欺诈打开大门。 这款名为“Vultur”的手机恶意软件利用虚拟网络计算(VNC)的远程屏幕共享技术,来完全了解目标用户。恶意软件通过官方谷歌PlayStore传播,并伪装成一款名为“protectGuard”的应用程序,吸引了超过5000个安装。来自意大利、澳大利亚和西班牙实体的银行和加密钱包应用程序是主要目标。 网络安全研究人员在分享的一篇文章中称:“我们首次看到一种以屏幕记录和键盘记录为主要策略,以自动和可扩展的方式获取登录凭据的Android银行木马。
勒索软件 eCh0raix 衍生出新变种:可感染 QNAP 和群晖 NAS 设备
根据安全公司 Palo Alto Networks 的最新报告,知名勒索软件 eCh0raix(也称 QNAPCrypt)近日衍生出一个新变种,现在可以感染 QNAP 以及 Synology 网络附加存储(NAS)设备。
去年 9 月,Palo Alto Networks 就发现了这种新型 eCh0raix 变种,该勒索软件活动的项目名称为“rct_cryptor_universal”,表明该恶意软件可以影响任何供应商。
安卓恶意软件FlyTrap席卷超百个国家和地区
近日,一种名为FlyTrap的新型Android木马,攻击了一百多个国家/地区的10,000多名受害者。根据安全公司Zimperium的报告,自3月以来,这个被命名为FlyTrap的木马已经通过社交媒体劫持、第三方应用程序商店进行广泛传播。Zimperium的zLabs移动威胁研究团队首先确定了该恶意软件,并发现该恶意软件通过感染Android设备来劫持Facebook等社交媒体帐户,允许攻击者从受害者那里收集信息,例如Facebook ID、位置、电子邮件地址和IP地址以及与用Facebook帐户相关联的cookie和令牌。
StrongPity APT 组织首次部署了 Android 恶意软件
趋势科技的研究人员最近对出现在叙利亚电子政务网站上的恶意 Android 恶意软件示例进行了调查,他们认为该示例可能是 StrongPity APT 组织研发的。据研究人员所知,这是该组织首次被公开观察到使用恶意 Android 应用程序作为其攻击的一部分。StrongPityAPT组织最早在2016年被发现,当时它已经开始针对加密软件(如TrueCrypt 和WinRAR)用户发起攻击。该组织在过去几年就开始一直活跃,但是它主要使用零日漏洞对目标实施攻击或监视用户及其行为。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤