记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

FakeTelegram木马分析报告

 概述今年3月份,360安全大脑反病毒团队发现了一起伪装成Telegram通讯软件安装包进行的攻击。“安装包”执行后,会下载合法的Telegram安装包进行安装,以掩盖暗中的恶意行为,通过RDP服务实现驻留。
发布时间:2021-04-16 19:08 | 阅读:6187 | 评论:0 | 标签:木马

Janeleiro:巴西新型银行木马

近期研究人员发现了一款新型银行木马Janeleiro,自2019年以来一直瞄准巴西的企业用户,涉及工程、医疗保健、零售、制造、金融、交通和政府等多个行业。Janeleiro主要通过模仿巴西大型银行的网页诱骗用户进行凭据钓鱼,与当地一些较出名的银行木马(Casbaneiro, Grandoreiro, Mekotio, Amavaldo,Vadokrist)目标一致,不同的是Janeleiro是用Visual Basic .NET编写的,而不是该地区威胁行为者已经使用多年的Delphi编程语言。
发布时间:2021-04-14 12:07 | 阅读:7189 | 评论:0 | 标签:木马

华为应用商店中发现伪装上架的的Joker木马,已有超50万台设备感染!

前两天,国外安全公司Doctor Web在发表的帖子中表示,他们在华为应用商店AppGallery中发现了10个包含恶意应用程序Joker的APP。这是继在Google Play商店发现Joker木马后首次在华为应用商店中发现,并且截止他们发现,这些APP已经有超过50万的用户下载安装它们。Doctor Web是一家1990年成立,为各行业提供病毒防护服务的安全公司。他们的病毒分析师在华为应用商店中发现了10个带有Joker木马的应用,这些应用伪装成虚拟键盘、摄像头应用、启动器、在线聊天工具、贴纸收集、着色程序和游戏。
发布时间:2021-04-13 11:46 | 阅读:8116 | 评论:0 | 标签:木马

注意!某知名国产软件被曝携带木马病毒

来自:扩展迷EXTFANS(ID:infinitydaily)据火绒威胁情报系统监测,火绒工程师发现奇客PDF转换器携带恶意代理模块,正在通过下载站下载器进行推广。据了解,近期火绒接到许多用户反馈称电脑会莫名卡顿,CPU占用率高。且进程svchost.exe、FnClientService.exe、FnClientService20.exe之一会访问大量的陌生网址。最终经工程师分析发现,用户电脑出现此现象正是由于安装奇客PDF转换器所导致的。火绒工程师分析发现,奇客PDF转换器主要是通过下载站的下载器进行静默传播推广。
发布时间:2021-04-13 09:10 | 阅读:11746 | 评论:0 | 标签:病毒 木马

8220挖矿木马变种利用多种漏洞入侵扩散,腾讯安全云原生方案全面检测防御

长按二维码关注腾讯安全威胁情报中心一、威胁概述腾讯安全威胁情报中心接到企业客户求助,称腾讯云防火墙有风险告警,请求安全专家协助排查。腾讯安全专家根据腾讯云防火墙捕捉到的攻击流量包分析,该客户正在遭遇8220团伙新变种的攻击,由于发现、处置及时,客户未受损失。
发布时间:2021-04-09 18:28 | 阅读:22459 | 评论:0 | 标签:漏洞 防御 入侵 安全 木马

“FluBot”木马仿冒快递初现西班牙

1. 背景2021年3月初,暗影实验室就发现了几个针对西班牙投放的移动端木马,这些木马从代码结构,到主控地址,到安装名称,再到针对的对象都是极其相似,这是一个有具有针对性的木马传播事件,APP通过仿冒西班牙邮政快递及国际知名快递诱导用户安装使用,从而获取用户设备上的各种敏感信息。本次发现的APP大致分为两类:一类是仿冒西班牙邮政快递(Correos),一类是仿冒国际知名快递(DHL、FedEx)。此类木马针对安卓5.0系统到安卓9.0系统,危害范围比较大。需要注意的是,此类木马在启动后,会诱骗用户开启无障碍辅助服务(AccessibilityService)。
发布时间:2021-03-30 14:02 | 阅读:15578 | 评论:0 | 标签:木马

疯花木马劫持浏览器主页,360安全卫士支持强力查杀

360安全大脑监控到一类通过下载器进行推广,以劫持浏览器主页,推广软件,流氓快捷方式,广告弹窗等方式进行牟利的病毒木马,我们将此类木马命名为“疯花”木马。该木马是典型的云控木马,所有模块均以云端控制,内存加载的方式执行,通过Process Hollowing的注入方式绕过安全软件检测。通过GetSystemMetrics()实现了一个应用层的关机回调,并在关机回调中回写木马文件和注册表,绕过部分杀软的主动防御功能。
发布时间:2021-03-30 13:49 | 阅读:24087 | 评论:0 | 标签:安全 木马

FluBot:一场席卷欧洲的移动银行木马攻击活动

概述3月初,西班牙加泰罗尼亚警方破获一起网络金融诈骗案,作案团伙通过Android恶意软件盗取了1100万用户的电话号码,约占西班牙人口的25%,目前四名犯罪嫌疑人已被警方逮捕。该团伙通过名为“FluBot”的Android恶意软件,发送带有恶意软件下载链接短信的方式,发送至少71,000条垃圾短信,感染60,000台设备,其中97%受害用户是西班牙公民。360烽火实验室追踪发现,尽管犯罪嫌疑人已经被逮捕归案,但“FluBot”恶意软件仍在继续运营,我们发现最新版本已经更新到3.7。“FluBot”最早于2020年底曝光,属于银行木马家族。
发布时间:2021-03-29 21:24 | 阅读:23376 | 评论:0 | 标签:移动 攻击 木马

顽固木马清理专题之蠕虫篇《模糊的月光》

在过去很长一段时间内,我们关注到有一些很古老的木马家族一直都很活跃,其中包括但不仅限于感染型和蠕虫病毒,对此我们计划推出顽固木马彻底清除计划,该计划旨在将用户计算机上(包括信任区当中)可能存在安全隐患的恶意软件进行查杀。随着项目的推进,我们发现,有一些非常经典且活跃,经常有用户反馈的病毒木马也在其中,故而我们计划将这些木马整理成文档,以专题系列的方式披露这些木马的细节,并及时推送查杀策略。广大用户可以持续关注系列文章,以了解更多的木马家族:模糊的月光蠕虫病毒是一类极具传播能力的计算机病毒,可以通过可移动设备,共享目录,系统漏洞,电子邮件等方式进行传播。
发布时间:2021-03-23 21:51 | 阅读:28325 | 评论:0 | 标签:木马

安卓木马伪装成Clubhouse应用程序

点击上方蓝字关注我们ESET研究人员发现发现,网络犯罪分子正试图利用Clubhouse流行软件投递恶意软件。该恶意软件旨在窃取用户在各种在线服务网站上的登录信息。该恶意软件托管在仿冒的Clubhouse网站上,其伪装成安装版的音频聊天软件。该木马被ThreatFabric称为“BlackRock”,并被ESET产品检测为Android/ TrojanDropper.Agent.HLR,至少可以盗取458种在线服务网站的用户登录凭据。目标列表包括著名的金融和购物应用程序,加密货币交换以及社交媒体和消息传递平台。
发布时间:2021-03-19 20:06 | 阅读:15575 | 评论:0 | 标签:木马

使用腾讯安全威胁情报分析:黑灰产工具作者终走向木马开发(新挖矿木马 NicoMiner )

摘要 NicoMiner利用三个漏洞入侵传播: Hadoop Yarn未授权访问漏洞 PostgreSQL未授权漏洞 PostgreSQL提权代码执行漏洞(CVE-2019-9193); 利用漏洞入侵成功后会针对Windows、Linux系统分别投放门罗币矿机; 感染量增长较快,一个月内翻倍,受害服务器约3000台; 针对Windows、Linux两个平台的挖矿木马使用相同的钱包; 关联分析发现疑似作者ID:Nico Jiang; 通过腾讯安图查询历史情报,发现作者疑似从事刷量相关的黑产记录。
发布时间:2021-03-18 13:02 | 阅读:40150 | 评论:0 | 标签:网络安全 网络攻击 黑客 黑客入侵 情报 威胁情报 安全 木马

使用腾讯安全威胁情报分析:黑灰产工具作者终走向木马开发(新挖矿木马NicoMiner)

使用腾讯安全威胁情报分析:黑灰产工具作者终走向木马开发(新挖矿木马NicoMiner)2021-03-18 09:59:31腾讯安全威胁情报中心捕获一起快速增长的挖矿木马NicoMiner。该木马通过Hadoop Yarn未授权访问漏洞、PostgreSQL未授权及提权代码执行漏洞(CVE-2019-9193)攻击传播,根据操作系统不同分别植入Windows和Linux平台的门罗币挖矿木马。近一个月内控制3000台服务器。
发布时间:2021-03-18 10:49 | 阅读:15853 | 评论:0 | 标签:情报 威胁情报 安全 木马

流行窃密类木马分析(下)

#安全分析报告 22个 本篇为“流行窃密类木马”专题报告 下篇。上篇回顾
发布时间:2021-03-17 22:02 | 阅读:15241 | 评论:0 | 标签:木马

chm文档暗藏远控木马,注入微信窃取隐私

概述近期,360政企安全反病毒团队监测到有不法分子通过微信、企业微信传播一个新的远控木马变种。该变种除具有获取系统信息、窃取文件、远程下发执行、截屏等常见的远控功能外,还增加了对微信的监控窃取功能,获取用户微信中的大量个人信息。通过安全大脑追溯发现,该木马有两大主要传播方式:通过微信发送钓鱼链接,诱惑用户点击链接下载恶意程序。通过微信发送诱导性chm文件,如:"牛年发财.chm"、"我的持仓.chm"、"持仓图.chm"等。用户一旦运行接收到的chm文件,便会释放远控木马。
发布时间:2021-03-17 21:29 | 阅读:24499 | 评论:0 | 标签:注入 木马

NanoCore远控木马使用Abobe图标进行伪装

点击上方蓝字关注我们概述近期,网络安全公司Trustwave发现一个新的投递NanoCore远控木马的垃圾邮件活动,NanoCore远控木马使用Adobe图标进行伪装,以诱使受害者点击下载。攻击者通过发送包含“NEW PURCHASE ORDER.pdf*.zipx”恶意附件的电子邮件进行初始入侵。附件是RAR格式的Abobe图像文件,当受害者使用WinRAR或72ip解压该文件时,将感染NanoCore远控木马。
发布时间:2021-03-15 18:09 | 阅读:12712 | 评论:0 | 标签:木马

借鸡生蛋!“驱动人生”挖矿木马使用Outlaw僵尸网络模块进行广泛传播

概述 近日,深信服威胁情报团队监测到“驱动人生”挖矿木马再次进行了大版本的更新,针对Windows、Linux平台都引入了新的攻击模块,并在企业、政府、能源和科研教育等行业进行广泛传播。“驱动人生”挖矿木马,也被称为永恒之蓝木马下载器、蓝茶、黑球、DTLMiner、LemonDuck等,其自2018年12月的供应链攻击事件以来,一直保持着很高的活跃度,并不断优化更新免杀手段、攻击手法和传播方式,成为最活跃的挖矿家族之一。
发布时间:2021-03-13 19:45 | 阅读:26434 | 评论:0 | 标签:僵尸网络 木马 网络

又一款利用CVE-2019-2215漏洞进行攻击的移动端新型木马SociaSpy

一、概述2021年3月,奇安信病毒响应中心移动安全团队在移动端高级威胁分析运营过程中,捕获到Android平台上一款新型间谍木马。基于该家族针对的窃取信息性质,我们将其命名为SociaSpy。SociaSpy木马主要利用CVE-2019-2215漏洞提权后进行信息窃取,这引起了我们的关注。目前未发现SociaSpy木马对国内有影响。CVE-2019-2215漏洞是存在于Android Binder组件中的UAF漏洞,成功利用该漏洞可以造成本地权限提升。该漏洞已被发现到被国外数个APT组织在野攻击利用。
发布时间:2021-03-11 16:06 | 阅读:22039 | 评论:0 | 标签:漏洞 移动 攻击 CVE 木马

Metasploit -- 生成木马(msfvenom)

收录于话题 男孩子都是铁的,你不用考虑他们的感受,他们真的不累,真的,真的不累。。。----  网易云热评作用:生成木马文件1、msfvenom相关
发布时间:2021-03-06 22:49 | 阅读:36076 | 评论:0 | 标签:木马

2020年度安全事件响应观察报告|挖矿病毒再次活跃,云计算/大数据平台成挖矿木马“香饽饽”

收录于话题 全文共1418字,阅读大约需要5分钟。近日,绿盟科技应急响应团队通过对2020年处理的安全事件进行深入整理与分析,并综合国内外重要安全事件,编制《2020年度安全事件响应观察报告》,希望从安全事件的角度分析2020年的安全状况,与安全行业从业者共同探讨网络安全建设的发展方向。 观点1:新冠疫情下,医疗行业成为攻击重点通过对疫情期间网络威胁行为的跟踪与分析,我们发现黑客已将新型冠状病毒肺炎疫情信息融入到互联网黑产攻击链和产业链当中,借此对疫情信息关注者发起攻击,医疗行业成为攻击重点。
发布时间:2021-03-05 21:03 | 阅读:24398 | 评论:0 | 标签:大数据 安全 病毒 木马

WvEWjQ22.hta木马反弹Shell样本分析溯源

I 综述重保时发现WvEWjQ22.hta执行了一个powershell进程,我们团队立即启动应急响应。经分析发现流量经过2次Base64编码+1次Gzip编码,逆向分析调试解码出的ShellCode,为CS或MSF生成的TCP反弹Shell,最终溯源出攻击IP且结束Powershell进程和TCP反弹shell进程。II 攻击手法利用3次编码的WvEWjQ22.ht木马绕过态势感知系统检测预警 执行powershell进程反弹shell。
发布时间:2021-03-05 16:29 | 阅读:22922 | 评论:0 | 标签:shell 木马

《2020挖矿木马年度报告》:挖矿团伙勾结僵尸网络日趋多见

近期,加密货币市场可谓热度十足。数字资产交易网站Crypto.com的一项调查显示,截至2021年1月,全球已有1.06亿加密货币用户。各类数字加密货币价格暴涨是推动用户数增长的主要驱动力。然而,用户数增加的同时,数字货币也引来了黑产的垂涎,过去一年挖矿木马上升趋势显著。在此背景下,腾讯安全近日发布《2020挖矿木马年度报告》(以下简称《报告》),以腾讯安全产品获取的安全事件告警工单数据为基础,从攻击来源、入侵特点、漏洞利用偏好、持久化运行手段等维度,剖析过去一年挖矿木马的攻击形势,并对其演化趋势作了预判。
发布时间:2021-03-05 11:20 | 阅读:18746 | 评论:0 | 标签:僵尸网络 木马

流行窃密类木马分析(上)

收录于话题 #安全分析报告 18个 本篇“流行窃密类木马”专题报告,将分上、下两篇发布。本文为上篇。目录1. 前言2. 窃密木马画像    01.
发布时间:2021-03-04 21:59 | 阅读:23151 | 评论:0 | 标签:木马

Win 10 蓝屏与流氓捆绑罪魁祸首:小易木马

一、概述近期,360安全大脑监测到一类导致蓝屏的驱动木马现身网络,该木马以不正规网站的免费软件下载器作为载体,诱导用户下载安装后入侵受害者电脑,篡改浏览器首页,捆绑安装流氓软件,窃取用户机器信息,并导致win10机器触发“CRITICAL_STRUCTURE_ CORRUPTION”蓝屏。鉴于此类下载器会同时捆绑安装“小易记事本”等流氓软件,并在驱动木马中操作小易记事本相关注册表(Enotepad),故将其命名为“小易木马”。不过广大用户无需担心,360安全卫士即可对此类木马的拦截和查杀。
发布时间:2021-03-04 16:30 | 阅读:29864 | 评论:0 | 标签:木马

腾讯安全发布《 2020 挖矿木马年度报告》:比特币涨 10 倍、门罗币涨 6 倍,挖矿木马同步增长

一、摘要 2020年各类数字加密货币价格迎来暴涨,比特币价格一度超过5万美元/BTC,市值达到9200亿美元,是2019年底的10倍之多,达到了历史最高点。同期挖矿木马最偏好的门罗币价格也同步增长6倍,这意味着黑客通过进行门罗币挖矿,兑现后收益可达到以往收益的6倍。 在如此大利益诱惑之下,黑产团伙已闻风而动,纷纷加入了对主机计算资源的争夺。一个典型现象就是,有大量挖矿木马在运行时,会尝试清除竞争对手木马。 门罗币价格曲线(数据来源:coinmarketcap.com) 根据腾讯安全威胁情报中心的检测数据,2020年挖矿木马上升趋势十分明显。
发布时间:2021-02-26 18:51 | 阅读:31935 | 评论:0 | 标签:网络安全 网络攻击 比特币 安全 木马

腾讯安全发布《2020挖矿木马年度报告》

一、报告背景2020年各类数字加密货币价格迎来暴涨,比特币价格一度超过5万美元/BTC,市值达到9200亿美元,是2019年底的10倍之多,达到了历史最高点。同期挖矿木马最偏好的门罗币价格也同步增长6倍,这意味着黑客通过进行门罗币挖矿,兑现后收益可达到以往收益的6倍。在如此大利益诱惑之下,黑产团伙已闻风而动,纷纷加入了对主机计算资源的争夺,一个典型现象就是,有大量挖矿木马在运行时,会尝试清除竞争对手木马。根据腾讯安全威胁情报中心的检测数据,2020年挖矿木马上升趋势十分明显。
发布时间:2021-02-26 11:57 | 阅读:10709 | 评论:0 | 标签:安全 木马

腾讯安全发布《2020挖矿木马年度报告》:比特币涨10倍、门罗币涨6倍,挖矿木马同步增长

收录于话题 长按二维码关注腾讯安全威胁情报中心一、摘要2020年各类数字加密货币价格迎来暴涨,比特币价格一度超过5万美元/BTC,市值达到9200亿美元,是2019年底的10倍之多,达到了历史最高点。同期挖矿木马最偏好的门罗币价格也同步增长6倍,这意味着黑客通过进行门罗币挖矿,兑现后收益可达到以往收益的6倍。在如此大利益诱惑之下,黑产团伙已闻风而动,纷纷加入了对主机计算资源的争夺。一个典型现象就是,有大量挖矿木马在运行时,会尝试清除竞争对手木马。门罗币币价格曲线(数据来源:coinmarketcap.com)根据腾讯安全威胁情报中心的检测数据,2020年挖矿木马上升趋势十分明显。
发布时间:2021-02-24 20:34 | 阅读:34216 | 评论:0 | 标签:比特币 安全 木马

Kuberneteszao集群遭挖矿木马突袭

文章目录一、事件简介二、事件分析2.1 Kubernetes简介2.2 入侵方式/横向移动2.3  窃密与C&C通信2.4 对抗检测与取证三、总结四、IOC引用关于伏影实验室阅读: 1一、事件简介TeamTNT是一个主要入侵在线容器并通过挖矿和DDoS进行牟利的攻击团伙。2021年年初,该团伙被发现入侵了某Kubernetes集群,通过结合脚本和现有工具,最终在容器内植入挖矿木马。当今,由于环境部署便利性的需求日益旺盛,使得容器技术和容器管理技术应用得越来越多。同时,对服务器负载均衡及高并行的需求,又使得集群技术得以发展壮大。
发布时间:2021-02-23 12:03 | 阅读:29326 | 评论:0 | 标签:安全分享 Docker Kubernetes TeamTNT 容器 木马

黑客运用木马程序Masslogger,窃取用户登录账号与密码

最近两年,意图窃取用户计算机机密的木马程序攻击行动,已有数起,而且开始出现一些较为罕见的手法,来规避安全系统的侦测,例如,新版Agent Tesla木马程序通过Telegram的API向C&C中继站通信,进而将窃得的资料传回给黑客。而在2月初,思科披露的Masslogger攻击行动,黑客锁定土耳其、拉脱维亚,以及意大利等地的计算机下手,并通过Windows应用程序的说明文件文件(CHM)来启动攻击流程。思科也对于黑客在各攻击阶段所使用的工具,如钓鱼邮件、程序代码文件、恶意程序启动器(Loader)等,提供入侵指标(IoC),让网管人员能加以防范。
发布时间:2021-02-21 15:19 | 阅读:31833 | 评论:0 | 标签:安全报 黑客 木马

ld-linux-x86-64挖矿木马实战记录

收录于话题 前言这两年见证了公司从600人发展到1200+的过程,虽然公司在安全投入上还算慷慨,但是人员编制有严格要求,一个人的安全部只能把精力放在基础/重点工作上。其中防病毒这块也是两年前才正式部署了企业版防病毒软件,推广过程中也遇到了很多阻力及各种奇葩的安全理念(比如生产服务器我不敢装防病毒,万一瘫了怎么办;领导的电脑,防病毒还是别装吧,装了会很慢),这期间也遇到多起病毒木马事件,每次我都会借助安全事件,狠狠的推一把防病毒软件,目前为止,已经实现所有PC和Windows服务器防病毒软件的百分百覆盖。现将几起病毒木马的处理过程整理一下跟大家分享,本系列偏向于实战。
发布时间:2021-02-17 10:46 | 阅读:25395 | 评论:0 | 标签:linux 木马

PDF转换器投放木马 将用户终端变为获利工具

收录于话题 #病毒分析报告 68个 【快讯】根据“火绒威胁情报系统”监测,火绒工程师发现一款名为“奇客PDF转换器”的软件携带恶意代理模块,正主要通过下载站下载器全网静默推广。该代理模块可以在不被用户发现的情况下,利用用户电脑访问大量的陌生网址,导致用户电脑CPU占用率变高,变得卡顿。目前,该恶意软件仅单日侵扰用户量就达数万,请大家小心防范。火绒最新版(个人版、企业版)可及时拦截、查杀上述恶意代理模块,且不影响软件正常功能,用户可放心使用。
发布时间:2021-02-09 20:18 | 阅读:28786 | 评论:0 | 标签:木马

公告

❤永久免费的Hackdig,帮你成为掌握黑客技术的英雄

🧚 🤲 🧜

标签云