记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马新变种,约8000台服务器受控挖矿

腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马新变种,约8000台服务器受控挖矿2020-10-27 17:22:00腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马最新变种对云主机的攻击,该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机,然后下载文件名为“watohdog”的门罗币挖矿木马。一、背景腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马最新变种对云主机的攻击,该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机,然后下载文件名为“watohdog”的门罗币挖矿木马。
发布时间:2020-10-27 19:19 | 阅读:4589 | 评论:0 | 标签: 安全 木马

谨防垃圾邮件,小心感染Emotet银行木马

收录于话题 家族背景Emotet银行木马是于2014年首次发现的银行木马,惯用手法是通过垃圾邮件传播恶意脚本、恶意链接或恶意宏文档,当用户点击后会自动下载执行Emotet的恶意程序,窃取受害主机信息发送到C&C服务器,并从服务器接收加密功能模块。近日,深信服安全团队检测到Emotet银行木马针对国内企业的攻击活动呈活跃趋势,会窃取受害主机上的outlook信息,再伪装钓鱼邮件不定时发送到受害者通讯录;Emotet使用失陷站点作为恶意PE的下载链接,下载执行后恶意PE又连接到指定的C&C地址。
发布时间:2020-10-27 19:04 | 阅读:4631 | 评论:0 | 标签:木马

腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马新变种,利用Apache Flink漏洞攻击云主机

收录于话题 长按二维码关注腾讯安全威胁情报中心一、概述腾讯主机安全(云镜)捕获WatchBogMiner挖矿木马最新变种对云主机的攻击,该变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机,然后下载文件名为“watohdog”的门罗币挖矿木马。该挖矿木马最初的版本是针对Linux服务器利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击。根据其最初下载的挖矿木马文件名,将其命名为“Watchbog”挖矿木马。
发布时间:2020-10-27 19:04 | 阅读:2381 | 评论:0 | 标签:漏洞 攻击 安全 木马

500余万部手机植入木马程序 获利33万被判刑

2018年下半年以来,孙某(上海宏路数据技术股份有限公司副总经理)与苏某(北京亿量科技有限公司法定代表人)商议合作开展锁屏拉起广告业务(通过在用户手机上植入带有木马程序的SDK,可控制手机在锁屏状态下自动在后台开启指定的APP广告),各自利用所在公司掌握的媒体流量资源、广告投放技术,实现流量变现。双方口头约定前者分得获利的70%,后者分得获利的30%,由后者将获利款项汇入前者指定的个人银行账户。后双方各自利用自身技术条件,共同进行研发调试。
发布时间:2020-10-27 11:10 | 阅读:2449 | 评论:0 | 标签:木马

由垃圾邮件投递的白加黑远控木马分析

前言上一周,捕获到一个最新攻击的诱饵文件,通过分析后发现:诱饵文件由垃圾邮件投递,文件名为“中转银行卡出入明细.exe”,该诱饵文件再字符串及功能上表面看上去是一个自写的浏览器,但实际作为病毒下载器来下载后续的远控组件。
发布时间:2020-10-21 17:00 | 阅读:3251 | 评论:0 | 标签:木马

伪冒国内银行的新窃取木马“BYL”

收录于话题 奇安信病毒响应中心 Author 病毒响应中心 奇安信病毒响应中心 奇安信病毒响应中心官方公众号 事件概要近期,奇安信威胁情报中心移动安全团队关注到国外开源情报揭露了一款伪冒国内银行应用的的信息窃取木马,这是一个新型的木马家族,因此我们对其做了进一步的跟进分析。通过分析发现,自2020年7月13号开始,该家族共伪冒国内4家银行。通过奇安信数据监测雷达我们发现到该家族木马至今仍在影响着国内正常用户,影响量级为千级,为避免更多用户个人财产受到损失,我们对其该家族进行详细跟踪分析并对该家族实现了全面的查杀。
发布时间:2020-10-20 12:10 | 阅读:5293 | 评论:0 | 标签:木马

腾讯安全威胁事件月报(2020年9月):勒索病毒稍降,挖矿木马、僵尸网络依旧活跃

收录于话题 01威胁态势分析2020年9月,腾讯安全大数据显示,恶意病毒家族活跃趋势比较稳定。9月最活跃的病毒家族top10为: 如图所示,挖矿木马、僵尸网络病毒在top10中占绝对优势。9月活跃的病毒家族影响的地区分布如下图所示,依然是经济活跃地区的病毒木马威胁比其他地区要严重。9月上旬勒索病毒感染趋势达到本月峰值,主要原因为Crysis(Phobos),Sodinokibi、Stop、Nemty、Avaddon等家族活跃导致。9月中旬开始勒索整体感染趋势有所下降逐渐趋于平稳,主要为各勒索家族活跃度降低导致。
发布时间:2020-10-17 12:16 | 阅读:8062 | 评论:0 | 标签:僵尸网络 勒索 安全 病毒 木马

网络安全主题诱饵,配合新型后门木马WinClouds肆虐南亚地区

概述近日,奇安信病毒响应中心在日常样本分析过程中发现了一款新型的后门木马,用于针对巴基斯坦的网络攻击,基于PDB文件,我们将该型木马命名为:WinCloudsRat,经过推测本次攻击活动可能与南亚某大国有关。WinClouds Rat通过恶意宏文档或者带有漏洞的RTF文档进行投递,且诱饵内容与流行商贸信类型,启用宏后会弹出Data Format Error的提示框来迷惑用户,该手法与我们之前发布的报告《提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击》中使用的手法类似。新型木马WinClouds免杀效果较好,功能较为轻便,具有文件管理、命令执行等常用功能。
发布时间:2020-10-15 13:56 | 阅读:3644 | 评论:0 | 标签:后门 网络安全 安全 木马

木马隐藏技巧

收录于话题 前言未知攻,焉知防,在红蓝对抗中,我们在拿下一个服务器之后该如何让权限维持的久一些而不被管理员轻易的发现 ,就需要在我们上传的木马动点手脚想办法不被管理员以及检测工具快速的发现。
发布时间:2020-10-13 18:05 | 阅读:3483 | 评论:0 | 标签:木马

小心!新型远控木马搭载“鱼叉钓鱼攻击”,竟会定期访问黑客站点

近期,亚信安全截获一款新型远控木马,该木马通过鱼叉钓鱼攻击传播,其附件为HTML文件,运行后会自动下载DOC文档,窃取计算机基本信息及OutLook邮箱账号密码等,除此之外,该木马还会定期访问黑客站点,根据黑客指令运行任意命令或文件。垃圾邮件一直是黑客投放恶意软件或工具的主要途径之一,我们曾遇到多起安全事件的感染源头是通过垃圾邮件进入的,因此培养员工的安全意识是企业安全的重中之重,亚信安全的DDEI产品可以自动分析并拦截携带恶意附件的垃圾邮件,大幅度降低恶意文件的落地可能性,在本次事件中,垃圾邮件携带的恶意附件可被DDEI识别。
发布时间:2020-10-13 15:34 | 阅读:4763 | 评论:0 | 标签:安全报 攻击 黑客 钓鱼 木马

利用一个完全安全的C#文件下载远程木马到内存进行执行

收录于话题 #免杀 2 #远程木马 1 原创作者:Shanfenglan7,一个刚步入安全行业的人,乐意分享技术,乐意接受批评,乐意交流。希望自己能把抽象的技术用尽量具体的语言讲出来,让每个人都能看懂,并觉得简单。最后希望大家可以关注我的博客:shanfenglan.blog.csdn.net目录前言免杀效果执行效果代码详解原理解释前言拿到一台主机的shell后,我们一般会想办法“升级”shell,最常见的是上传一个CS的木马,这样对我们的后渗透工作会十分方便。
发布时间:2020-10-06 11:31 | 阅读:13015 | 评论:0 | 标签:内存 远程 执行 安全 木马

10月1日每日安全热点 - 一款通过0day传播的IoT远控木马

漏洞 VulnerabilityDPDK 多个高危漏洞通告https://cert.360.cn/warning/detail?id=c79a0e0e6c96d05d935ec0bf66b279a1CVE‑2020‑5981:NVIDIA D3D10驱动程序nvwgf2umx_cfg.dll nvwg MOV代码执
发布时间:2020-10-02 21:02 | 阅读:21317 | 评论:0 | 标签:0day 安全 木马

Ttint: 一款通过2个0-day漏洞传播的IoT远控木马

本文作者:涂凌鸣,马延龙,叶根深 背景介绍 从2019年11月开始,360Netlab未知威胁检测系统Anglerfish蜜罐节点相继监测到某个攻击者使用2个腾达路由器0-day漏洞传播一个基于Mirai代码开发的远程控制木马(RAT)。 常规的Mirai变种基本都是围绕DDoS做文章,而这个变种不同,在DDoS攻击之外,它针对路由器设备实现了Socket5代理,篡改路由器DNS,设置iptables,执行自定义系统命令等多达12个远程控制功能。
发布时间:2020-09-30 12:24 | 阅读:16710 | 评论:0 | 标签:0-day Tenda Ttint WebSocket over TLS Router IoT 漏洞 木马

警告 :从银行木马到分布式僵尸网络的Emotet卷土重来

Emotet是一款具有全球影响力的恶意软件,2014年以银行木马的形式出现。今年7月以来,研究人员已在全球多个国家(包括美国、英国、加拿大、奥地利、德国、巴西、意大利、西班牙等)记录了至少80万条与该恶意软件相关的垃圾邮件。Emotet从银行木马逐渐发展为成熟的僵尸网络,并且享有独特的声誉。美国网络安全和基础设施安全局(CISA)在一月份发布有关僵尸网络的警告时指出:Emotet仍然是影响部分地区政府的成本最高且破坏性最大的恶意软件之一。其蠕虫特征使它在网络中感染其它机器并迅速蔓延。Emotet感染使每起事件的补救费用高达100万美元。
发布时间:2020-09-27 13:57 | 阅读:13982 | 评论:0 | 标签:Emotet 安芯网盾 僵尸网络 木马

透明部落APT组织的木马分析

收录于话题 情报链接推特推特情报大佬公开了透明部落组织的攻击载体,笔者尝试进行下载分析和溯源关联。该样本主要采用了doc文档的宏进行主要载体的下发和执行。详细分析1.   Doc文档自身的宏代码创建%ALLUSERSPROFILE%Drmdsia 文件夹。这是存储在窗体中的数据。根据系统版本,也就是以win8为版本界限进行不同载荷的分发。获取数据后,遍历数据都转换为byte型。进行字符拼接添加”xe”,形成exe后缀.进行二进制字节写入,头部刚好为4D5A。然后运行该exe文件,并带入参数(4)。进行主页文字的更改,替换成textbox2的值。
发布时间:2020-09-26 23:37 | 阅读:13799 | 评论:0 | 标签:apt 木马

善用沙盒虚拟机,测试有风险的程序让你无视木马病毒

电脑木马病毒常常善于伪装,经常潜伏在各种知名工具中通过各大下载站分发传播,比较多见的就是各种破解工具,一般使用的时候那些破解工具会提示让添加杀毒软件白名单,这里很大一部分原因是由于国内的一般杀毒软件宁可错杀不可放过,代码稍微有点问题,就会导致高的误报率,久而久之用户已经习惯了放任不管,所以给了很多木马病毒可乘之机。虽然现在能见到的病毒屈指可数,但是各种鱼目混珠的手法偶尔也会让你中招,这样情况下,除了选择一款比较正规的杀毒软件之外,日常使用中我们也应该有辨别病毒的能力。最有效的方法就是安装一些类似于虚拟机的工具,下面来跟大家讨论一下目前的一些解决方案和工具。
发布时间:2020-09-25 11:51 | 阅读:9993 | 评论:0 | 标签:杀毒安全 沙盒 病毒 木马

新型内幕交易犯罪:用木马窥视基金交易指令12年,法院这么判

近日,辽宁省高级人民法院公开审理了一则新型内幕交易案件。被告人朱某海,制作“木马病毒”入侵多家基金公司、证券公司的系统,盗取交易指令和内幕信息,非法获利约180万元。该案是证券类新型犯罪,此前比较少见,案件审理过程也一波三折。一审结果是朱某海被判刑三年一个月,并罚款1800余万元。对此,朱某海提出上诉,而检方也提起抗诉,认为情节严重,三年刑期应改为五年以上。对此,辽宁省高院认为案件疑难、复杂,宣布将择期宣判。操控2400多台计算机 非法获利逾百万本案经葫芦岛中院一审查明:2004至2016年间,被告人朱某海制作并使用木马病毒非法侵入、控制他人计算机信息系统,非法获取相关计算机存储的数据。
发布时间:2020-09-23 03:23 | 阅读:24358 | 评论:0 | 标签:木马

Dridex木马新变种来袭,小心来历不明的邮件!

背景概述网络安全宣传的时候经常都会强调不要随意打开来历不明的邮件或者文件,这又是为什么呢?因为很多时候一些木马病毒的入侵就是通过钓鱼邮件来进行的,深信服安全团队近期捕获的Dridex木马病毒新变种就是通过这种入侵方式来入侵受害者系统并窃取信息。Dridex是目前全球活跃且技术比较先进的银行木马之一,其又被称为BUGAT和Cridex,主要目的是从受感染机器的用户那里窃取网上银行和系统信息,进行欺诈性交易,该病毒样本会安装键盘侦听器并执行注入攻击。
发布时间:2020-09-22 12:51 | 阅读:12832 | 评论:0 | 标签:木马

从钓鱼邮件到窃密木马

收录于话题 0x00 前言在做样本分析的时候,通常都是针对恶意软件进行分析。这种属于样本分析,是安全分析中的一部分,但也是比较关键的一部分。样本分析是安全分析人员与恶意软件开发/投放人员沟通最直接的桥梁。但是很明显,攻击并不是直接就是从恶意软件开始的。我们拿到的恶意软件,可能是鱼叉类钓鱼邮件攻击精准投放,也有可能是水坑类攻击下发。作为分析人员,除了分析看到的这个恶意样本,也应该关注整个攻击事件和攻击背景的分析。
发布时间:2020-09-21 20:47 | 阅读:14199 | 评论:0 | 标签:钓鱼 木马

9月18日每日安全热点 - 拍卖失败后黑客开源Cerberus木马

漏洞 Vulnerability[更新1.0:EXP公开]CVE-2020-0618: 微软 SQL Server 报表服务远程代码执行漏洞通告https://cert.360.cn/warning/detail?id=db4e53f33917e70eee2cd937ca29710fCVE-2020-0729
发布时间:2020-09-20 01:50 | 阅读:10162 | 评论:0 | 标签:黑客 安全 木马

Cerberus银行木马的源代码惊现于暗网黑客论坛

Cerberus是一款臭名昭著的银行木马,而它的开发者在经历了最后一次源代码拍卖失败之后,竟然直接将该恶意软件的源代码发布在了地下黑客论坛上。拍卖失败,怒发源码!在今年的七月份,臭名昭著的Cerberus Android银行木马程序其背后的开发人员对外以五万美元的起拍价拍卖Cerberus银行木马项目的源代码,不过当时参与拍卖的买家本来可以以十万美元的最终价格成交的,鬼知道最终因为什么原因导致了“流标”?整个Cerberus银行木马项目包括组件的源代码(恶意APK文件、后台管理面板和C2服务器端源码)、安装指南、安装脚本工具、具有活动许可证的客户列表以及客户和潜在买家的联系方式。
发布时间:2020-09-19 12:17 | 阅读:13393 | 评论:0 | 标签:黑客 木马

快报!Cerberus银行木马的源代码惊现于地下论坛

 前言Cerberus是一款臭名昭著的银行木马,而它的开发者在经历了最后一次源代码拍卖失败之后,竟然直接将该恶意软件的源代码发布在了地下黑客论坛上。 拍卖失败,怒发源码!在今年的七月份,臭名昭著的Cerberus Android银行木马程序其背后的开发人员对外以五万美元的起拍价拍卖Cerberus银行木马项目的源代码,不过当时参与拍卖的买家本来可以以十万美元的最终价格成交的,鬼知道最终因为什么原因导致了“流标”?整个Cerberus银行木马项目包括组件的源代码(恶意APK文件、后台管理面板和C2服务器端源码)、安装指南、安装脚本工具、具有活动许可证的客户列表以及客户和潜在买家的联系方式。
发布时间:2020-09-18 16:33 | 阅读:9598 | 评论:0 | 标签:木马

警惕!黑客利用聊天工具发送RAT木马

文章目录一、概述二、技术分析2.1 第一阶段2.2 第二阶段2.3 第三阶段2.4 第四阶段三、总结与建议四、IOCHash:url:C2:阅读: 9一、概述前段时间,伏影实验室发现一起利用聊天工具传播恶意软件的攻击事件。在该次攻击事件中,攻击者利用Skype聊天工具进行恶意代码投递。事件调查显示,攻击者伪装昵称为财务主管,通过即时聊天工具Skype,向目标投递了名称为“七月份公司重要通知.xlxs.exe”的文件。在聊天界面中,完整的后缀并没有显示,同时如果本地开启已知文件后缀隐藏的设置,在本地浏览文件过程中也可能会错误地认为该文件是一个通知文档。
发布时间:2020-09-17 12:50 | 阅读:11137 | 评论:0 | 标签:研究调研 IoC RAT 恶意软件 聊天工具 黑客 木马

“THIEF BOT”银行木马,针对土耳其银行的恶意攻击

 概述:最近我们在国外一个名为ThiefBot黑客论坛上发现了一则宣传新型android银行木马的广告。该银行木马主要针对土耳其目标银行应用进行页面覆盖攻击以窃取用户的登录凭证信息。同时该木马还窃取了用户设备联系人列表、短信列表、应用列表等隐私信息,通过群发短信传播自身恶意代码。该恶意程序不仅具有银行木马性质,还对用户设备进行锁屏,删除用户联系人信息、加密用户文件,威胁用户发送唯一ID至攻击者邮箱。
发布时间:2020-09-16 10:55 | 阅读:6715 | 评论:0 | 标签:攻击 木马

Dridex木马新变种来袭,小心来历不明的电子邮件!

收录于话题 背景概述网络安全宣传的时候经常都会强调不要随意打开来历不明的邮件或者文件,这又是为什么呢?因为很多时候一些木马病毒的入侵就是通过钓鱼邮件来进行的,深信服安全团队近期捕获的Dridex木马病毒新变种就是通过这种入侵方式来入侵受害者系统并窃取信息。Dridex是目前全球活跃且技术比较先进的银行木马之一,其又被称为BUGAT和Cridex,主要目的是从受感染机器的用户那里窃取网上银行和系统信息,进行欺诈性交易,该病毒样本会安装键盘侦听器并执行注入攻击。
发布时间:2020-09-14 20:03 | 阅读:11856 | 评论:0 | 标签:木马

原创 | “THIEF BOT”银行木马,针对土耳其银行的恶意攻击

收录于话题 作者 | 暗影实验室 恒安嘉新(北京)科技股份公司概述:最近我们在国外一个名为ThiefBot黑客论坛上发现了一则宣传新型android银行木马的广告。该银行木马主要针对土耳其目标银行应用进行页面覆盖攻击以窃取用户的登录凭证信息。同时该木马还窃取了用户设备联系人列表、短信列表、应用列表等隐私信息,通过群发短信传播自身恶意代码。该恶意程序不仅具有银行木马性质,还对用户设备进行锁屏,删除用户联系人信息、加密用户文件,威胁用户发送唯一ID至攻击者邮箱。
发布时间:2020-09-14 17:30 | 阅读:5094 | 评论:0 | 标签:攻击 木马

“THIEF BOT”银行木马,针对土耳其银行的恶意攻击

收录于话题 作者 | 暗影实验室 恒安嘉新(北京)科技股份公司概述:最近我们在国外一个名为ThiefBot黑客论坛上发现了一则宣传新型android银行木马的广告。该银行木马主要针对土耳其目标银行应用进行页面覆盖攻击以窃取用户的登录凭证信息。同时该木马还窃取了用户设备联系人列表、短信列表、应用列表等隐私信息,通过群发短信传播自身恶意代码。该恶意程序不仅具有银行木马性质,还对用户设备进行锁屏,删除用户联系人信息、加密用户文件,威胁用户发送唯一ID至攻击者邮箱。
发布时间:2020-09-14 17:30 | 阅读:9616 | 评论:0 | 标签:攻击 木马

WannaMine挖矿木马手工处理

收录于话题 #养生 2 #网络安全 2 前言别问, 问就是搞杀毒的!从前,有一段时间里,总有跨行业朋友或是身边人问我,到底是做什麽工作的?很无奈,老说是搞网络安全的吧,他们总是一脸嫌弃的看着我,好像我做的什么不正经的工作。在后来,我遇到创业者就回答,我是名艺术家,画人体的那种;遇到设计师就回答,我是位自由写作人;遇到某些人,且就只能说是个慌乱收拾自己,却总不知故去的人。关于病毒及木马的问题,都说老生常谈的了,这里就不讲逆向分析的东西,网上毕竟太多。就写一下WannaMine2.0到4.0的手工处理操作。确实,很多时候都被问的烦了。
发布时间:2020-09-13 10:53 | 阅读:23233 | 评论:0 | 标签:木马

电子邮件中的“木马之战”

收录于话题 微信又改版了,为了我们能一直相见你的加星和在看对我们非常重要点击“长亭安全课堂”——主页右上角——设为星标
发布时间:2020-09-09 17:33 | 阅读:21897 | 评论:0 | 标签:木马

黑吃黑!这伙人竟然用木马病毒盗窃赌博网站资金!

收录于话题 为了谋取暴利,有些不法分子开设境外线上赌场,然而,“螳螂捕蝉,黄雀在后”。近日,在净网2020专项行动中,宿迁市沭阳网警捣毁一专门利用木马病毒“薅羊毛”入侵赌博网站,获取平台管理控制权限,进而给自己注册的账号充值资金、提现获利的重大盗窃犯罪团伙。今年6月,沭阳网警接到上级移交的线索,在侦办一起制作木马病毒团伙案过程中,发现在青岛路派出所辖区有名嫌疑人涉嫌非法控制计算机信息系统。
发布时间:2020-09-08 21:08 | 阅读:17406 | 评论:0 | 标签:安全 病毒 木马

ADS

标签云