记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

隐藏的Excel变量是如何被用于恶意邮件攻击的?

在过去的几个月里,FortiGuard SE团队一直在利用和增强Fortinet机器学习系统来检测新出现的威胁。最近,其中一台机器检测到一个异常的峰值,正是根据这个结果,我们发现了一个恶意软件活动,该活动在过去一段时间曾专门针对日本用户。与大多数钓鱼活动一样,这种攻击从一封试图欺骗收件人打开附件的电子邮件开始,在本文的示例中,附件是一个恶意的Excel文档,其中包含恶意宏。然而,在这次调查中,我们发现了这些攻击者使用的反分析技术,以及一个Excel变量(目前没有文档记录)。FortiGuard机器学习系统发现的异常峰值观察到的流量主要集中在日本攻击活动分析该攻击由发送给收件人的垃圾邮件组成,其中邮件的上下文包含相同邮件
发布时间:2019-11-02 13:10 | 阅读:14803 | 评论:0 | 标签:Web安全 恶意邮件

勒索软件——JS邮件恶意脚本分析

阅读: 31在互联网发展越来越壮大的同时,网络安全也面临着各种挑战与机遇。在过去数年,基于脚本的恶意软件的大幅增加让企业、用户等面临着更多勒索软件的威胁。众所周知,勒索病毒等新型恶性病毒,常通过邮件来传播。“邮件欺诈——病毒下载器——恶性病毒”是目前最常见的传播方式。“脚本类”下载者病毒(TrojanDownloader)呈现激增的趋势。病毒制作者经常将这两种病毒作为邮件附件并将其赋以诱惑性的文字发送给受害者。其运行后会下载勒索病毒等高危病毒,使用户造成严重的经济损失。文章目录JavaScript传播方式JavaScript恶意脚本形式1.随机变量名及函数名。2.添加垃圾代码。3.等效替换。4.利用自定义算法加密原始代码数据。计算机感染机制总结JavaScript传播方式用户在访问恶意网站或恶意电子邮件附件时可
发布时间:2018-05-22 20:05 | 阅读:175206 | 评论:0 | 标签:安全分享 javascript 勒索软件 勒索邮件 恶意脚本 恶意邮件

新型Necurs恶意垃圾邮件——利用网络快捷方式“.url”绕过安全检测

阅读: 33Necurs僵尸网络仍然是最高产的恶意垃圾邮件发布者之一,它们会精心制作附件用于下载恶意软件。我们跟踪的大部分恶意垃圾邮件广告系列都针对Microsoft Office,其中包含宏或有漏洞的文档。我们还会看到许多其他类型的压缩脚本(.VBS,.JS等)的恶意附件 – 实际上是最终payload的下载器。但是在最近发现的一种新技术中,Necurs通过避免上述格式并使用不同的文件类型——恶意的.URL文件(Internet Shortcut)。攻击原理此攻击依赖file://协议从samba(SMB)共享中加载和执行远程脚本。这是值得注意的,因为通常附件会用作下载程序,但在这里我们会看到一个额外的步骤,该功能通过.url快捷方式将该功能进一步推进一级。通过不将恶意脚本直接放入附件中,攻击者也
发布时间:2018-05-09 15:05 | 阅读:111015 | 评论:0 | 标签:安全分享 Necurs僵尸网络 垃圾邮件 恶意邮件

个人防范勒索软件的6个办法及自测

阅读: 11从目前的案例来看,勒索软件主要传播渠道有两种:网络蠕虫病毒和恶意邮件。堵住这两种渠道后,对个人用户来说暂时可以不用怕勒索软件了。本文用5分钟告诉你这些防范小知识,然后用10道题目自测一下。近年来,勒索软件在国内大肆横行,给个人和企业单位造成了无法估量的损失。作为一个普通的互联网用户,如何防范勒索软件的侵害呢?勒索软件在被安装和实施文档加密操作后,可以认为是无法回退的,所以事前防范是重点,那我们事前防范的目的是什么呢?就是防止勒索软件在自己的电脑上被执行。从目前的案例来看,勒索软件主要传播渠道有两种:网络蠕虫病毒和恶意邮件。堵住这两种渠道后,对个人用户来说暂时可以不用怕勒索软件了。文章目录勒索软件主要传播方式通过网络蠕虫病毒通过恶意邮件勒索软件个人防范措施及时打补丁干掉弱口令开启防火墙安装杀毒软件谨慎

调查︱2016年恶意邮件数量飙升七倍

随着勒索攻击的持续泛滥,邮件中的恶意JavaScript文件已取代传统恶意文档成为主流。 恶意邮件活动的数目在2016年第四季度骤然飙升,比过去最多的季度足足多出七倍——勒索攻击的盛行导致了邮件搭载的恶意攻击的大爆发。 而邮件中的恶意JavaScript文件已取代传统恶意文档(如安全缺陷很多的PDF)成为主流,其数目可达到后者的4至6倍。 这只是proofpoint最新发布的2016年第四季度&全年《威胁总结》中的两个结论。 勒索威胁的主要工具是Locky系列勒索软件,该软件通过压缩文件和发送恶意JavaScript代码安装到宿主的机器里。该报告指出,“和使用嵌入恶意宏的文档附件的早期攻击策略相比,Locky是新攻击途径的转折点。 除了Locky,Proofpoint还警告说,使用Cerber和Cry
发布时间:2017-02-18 01:40 | 阅读:101588 | 评论:0 | 标签:行业动态 Proofpoint 勒索软件 商务电子邮件诈骗 恶意邮件

FireEye:Hancitor(Chanitor)使用多种攻击方法

作者:Ankit Anubhav、Dileep Kumar Jallepalli(威胁研究、高级恶意软件研究 翻译:小王子/棱安全团队 审校:小王子/棱安全团队 前言 通常情况下,攻击者会通过多种攻击方式来确保攻击的成功,使用恶意软件Hancitor(又名Chanitor)来进行攻击的攻击者也不例外,并且会采取三种方式来传播Hancitor,以便窃取受害者数据,其采用的技术包括罕见的API滥用和PowerShell方法。 FireEye在最近的Hancitor攻击中发现,攻击者通过分布在垃圾邮件的附件中来传播Hancitor恶意软件,该恶意软件软件一旦下载并执行,会通过中间payload远程下载小马DLL及Vawtrak网银木马来执行,进而进行数据窃取,并连接到C&C服务器。 第1阶段:电子邮件传送
发布时间:2016-09-30 05:05 | 阅读:188770 | 评论:0 | 标签:网络安全 API滥用 Chanitor FireEye Hancitor PowerShell方法 Vawtrak网银木

网络钓鱼者钓到威胁情报公司的身上 黑客惨遭溯源

黑客和互联网诈骗未必总是复杂高端的。域名中一个小小的迷惑性拼写错误,黑客就可以伪装成高管给员工下令转账。这种诈骗形式被称为钓鲸或商业电子邮件攻击。诈骗者研究管理钱款的员工,用公司惯用语言针对那些通常与国外供应商合作,或者经常进行电汇付款的公司下手。过程不复杂,但网络罪犯们用起来非常有效。FBI声称,过去3年间,钓鲸给公司企业带来的损失超过了23亿美元。自2015年1月起,FBI见证了已确认受害者和已披露损失高达270%的增长。执法部门收到了来自美国各个州和至少79个国家的投诉,这一现象已蔓延到了全球范围。公司员工要被提醒注意电子邮件的细节,尤其是那些涉及款项的邮件。黑客会在邮件URL上耍花招,比如说,把“i’s”写成“1’s”或“I’s”。如果员工收到这样的邮件,应该立即与公
发布时间:2016-05-24 13:35 | 阅读:92413 | 评论:0 | 标签:术有专攻 恶意邮件 钓鲸

PhishReporter:一款内嵌到Outlook客户端的恶意邮件报告工具(附下载)

美国密苏里州大学的安全研究员Josh Rickard近日开发了一个微软Outlook邮件客户端的内嵌钓鱼邮件报告工具PhishReporter,PhishReporter可以帮助用户将疑似诈骗邮件或者钓鱼邮件一键发送到预先设定的收件人邮箱(可以是公司的安全研究人员的或者事件响应小组),以便能最大限度地保存钓鱼邮件现场数据,从而使得安全人员可以更好地对疑似邮件进行分析,及时作出合理判断及处置。PhishReporter的使用该内嵌工具是以在Outlook操作菜单上增加了一个新的按钮。用户可以在 Outlook邮件客户端上,将他们认为是钓鱼攻击的邮件或者是垃圾邮件一键进行转发操作,将之发送到公司安全人员处进行分析。主要界面如下图,PhishReporter内嵌工具,带来的好处是通过联动用户,保
发布时间:2015-11-13 11:20 | 阅读:99072 | 评论:0 | 标签:工具 系统安全 phishing PhishReporter 恶意邮件 钓鱼

恶意邮件里的doc文件解析

有些恶意软件经常通过垃圾邮件作为进入电脑的途径。通常他们会先部署简单的陷阱:将打包好的可执行文件发送到伪装的doc文件里。这样的手段能欺骗一些不注意用户,不过观察仔细的用户仍然会注意到文件的真实扩展名是“.exe”,这代表它是一个可执行程序,而不是它所说的文档。但是就算它是一个真正的文件,也并不意味着它是无害的。那么,我们来看看垃圾邮件中所发送的DOC文件的真正使命吧!样品分析(523)-Invoice 7500005791.doc – md5: 370751889f591000daa40c400d0611f2提取宏在这里我们使用oledump ,解剖文档用这个软件非常方便。首先,让我们来看看在doc文档文件里有些什么:./oledump.py “(523)-Invoice&nb
发布时间:2015-10-25 17:35 | 阅读:109490 | 评论:0 | 标签:文章 网络安全 恶意邮件

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云