记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

探寻木马进化趋势:APT32多版本远控木马Ratsnif的横向分析

一、概述OceanLotus恶意组织(又名APT32、CobaltKitty)正在使用一系列名为“Ratsnif”的远程访问木马来实现新的网络攻击功能。Blackberry Cylance的威胁研究人员对Ratsnif木马进行了分析,发现该木马使用了一种名副其实的瑞士军刀网络攻击技术。该恶意木马自2016年以来就不断更新,目前已经结合了数据包嗅探、网关和设备ARP投毒、DNS毒化、HTTP注入和MAC欺骗等功能。我们总共深入研究了四个不同的Ratsnif样本,其中前三个在2016年开发完成,第四个在2018年下半年创建。二、恶意样本12.1 基本信息MD5:516ad28f8fa161f086be7ca122351ed
发布时间:2019-07-08 12:25 | 阅读:28446 | 评论:0 | 标签:逆向破解 木马

吃鸡辅助远控木马分析

近期360安全卫士拦截到带木马的荒野求生辅助通过论坛、QQ、YY大量传播。木马运行后,黑客可以远程控制用户电脑,进行任意操作,并将中招电脑作为傀儡机,进行DDOS攻击,严重危害个人信息安全和网络秩序。一、主要流程带木马的荒野求生辅助以免费形式发布在布衣论坛中                                          图1带木马的荒野求生辅助运行后界面如下图2该荒野求生辅助被用户下载运行后会
发布时间:2018-04-24 12:20 | 阅读:105374 | 评论:0 | 标签:系统安全 木马

密室内的枪声!“双枪2”感染过程实录

前言去年7月,360安全中心曾率先曝光国内首例连环感染MBR(磁盘主引导记录)和VBR(卷引导记录)的顽固木马——“双枪”。今年3月初,360安全中心发现“双枪”新变种开始出没,并从其感染行为入手,进行了一次全面分析。与此前爆发的“双枪”木马类似,“双枪2”是以篡改电脑主页为目的,其感染迹象是浏览器主页被篡改为带有“33845”编号的网址导航站。同样地,“双枪2”使用了VBR、MBR驱动进行相互保护,查杀难度碾压“鬼影”“暗云”等顽固木马创新高。与此前不同的是,新变种“双枪2” 主要通过下载站进行传播,它增加了与杀软的对抗策略,会拦截杀软文件创建;同时,还会通过锁定系统注册表HIVE文件,导致正常的服务项无法写入,犹如
发布时间:2018-04-09 00:20 | 阅读:107427 | 评论:0 | 标签:事件 技术 系统安全 木马 病毒分析

新型“敲竹杠”木马设置障眼法反侦察 360巧破天书密码

最近,以锁定电脑并勒索钱财著称的“敲竹杠”木马又出新花招,它伪装为Timi科技飞车辅助大肆泛滥, 360安全中心已经接到多起用户求助,称受诱导退出安全软件运行木马后,电脑被强锁,且被索要百余元赎金。 360安全专家在破译解锁密码的过程中发现,该木马具有很强的反侦察能力,它使用了障眼法故布疑阵,研究人员分析出的解锁密码“⒈”并非数字,而是特殊符号,经过紧急分析后,研究者发现中招者需要输入Alt+162再Alt+177 (数字在小键盘输入然后回车)才能解密。 电脑被“敲竹杠”木马锁定 这款“敲竹杠”木马通过网盘链接、论坛、贴吧等多个渠道大规模扩散,木马谎称是游戏辅助的内部试用版,诱导玩家加入所谓的“TiMi内部辅助QQ群”以获取开启密码,实际上,输入这个开启密码后,“敲竹杠”木马已经悄悄运行了。 “敲竹杠”木
发布时间:2017-09-30 16:45 | 阅读:77501 | 评论:0 | 标签:社会工程 360安全 勒索 技术支持诈骗 木马 社会工程学

一个钓鱼木马的分析(二)

            上次讲到此木马在内存里有个加密的pe文件存在,接下来我们就来讲解这个从内存里扣出来的pe文件到底怎么工作的。               在入口点,通过hash对比去查找ntdll.dll,kernel32.dll的模块句柄,而不是通过我们常用的方法GetMoudleHanlde()的方法去获取句柄,           看看serverlog_search_moudle这个函数的实现,在函数内部使用了[[[FS:[30]+0xc]+0xc]+0×30]的方法去获取模块的名字,在ring3层FS寄存器指向的是线程环境块,0×30的偏移即指向PEB(进程环境块),PEB的0xc就是指向LDR表,后面的偏移就是
发布时间:2017-08-06 03:40 | 阅读:72597 | 评论:0 | 标签:专栏 木马

细节揭秘:Google Play Store上的恶意软件,如何借助广告网络完成“病毒式”传播

摘要:本文由卡巴斯基实验室安全研究员经一年多的观察研究总结而成,主要阐述了Google Play Store上一类广告恶意软件的传播和感染方式与途径,项目起因在于一个“Guide for Pokémon Go”恶意软件的发现,作者好奇这类恶意软件的传播速度如此之快,每天的新增用户下载量数以万计,事情的转折点是用户评论区的一些评论内容…… 1.“Guide for Pokémon Go”分析 2016年底,我们向Google报告了一个Google Play store上的新发现的恶意程序:“Guide for Pokémon Go”。(注:“Pokémon Go”,即口袋妖怪GO,是由任天堂、Pokémon公司和谷歌的Niantic Labs公司联合制作开发的现实增强(AR)宠物养成对战
发布时间:2017-06-05 08:50 | 阅读:99484 | 评论:0 | 标签:安全报告 恶意软件 木马 病毒式

2017第一季度安卓短信扣费木马研究:七成扣费木马擅长以”用户的名义”骗取话费

一、摘要 1.1 话费作为的最便捷的支付,比较适合“闷声发大财”。 隐藏在话费背后的SP服务可以很方便的帮助不怀好意的人将用户话费放到自己的口袋,少则扣费几十元,多则可能消费几百元积少成多累计起来也是暴力。比如前段时间首起恶意扣费软件案影响设备数600万台,非法获利6726余万元。 1.2 短信扣费类木马分为两大流派。 势力最大的一派以暗扣类游戏为主(占据市场份额最大),它们深谙用户用户心理,利用用户操作习惯,设置陷阱诱骗用户点击通过订阅SP服务进行变现。另外一派则以后台无图标应用为主,通过ROOT恶意木马,ROM预装等方式偷偷潜伏进去用户设备,后台自动发送SP扣费短信进行变现。 1.3 从SP扣费信息来源看,分成本地硬编码和云端平台获取两种。 本地硬编码含有几个或者几十个扣费通道,云端平台是一种无穷无尽的扣费
发布时间:2017-04-29 12:45 | 阅读:141445 | 评论:0 | 标签:安全报告 终端安全 Android 木马 短信

“敲诈者”黑产研究报告

导读 一封短短的邮件,却可以被不法分子用来远程加密受害者文件,敲诈比特币赎金。 本来用于自动运行操作方便用户的宏命令,却成为了木马的“帮凶”。 敲诈木马的背后,是成熟运转的黑色产业链。从恶意服务器的注册和建设,到木马的制作、邮件的发送,都能从受害者支付的赎金中分得一杯羹。 不法分子还会利用宏发动什么样的攻击?面对这样的木马又应该如何防范?本报告将带你了解以上内容,挖掘“敲诈者”及其背后的黑色产业。 一、愈演愈烈的敲诈风暴 只需一封邮件,便能锁定电脑重要文件进行敲诈 席卷全球的敲诈风暴,公司被迫支付赎金 北京的汪为(化名)周一上班后,和往常一样开始处理手头的工作。 汪为所在的公司是一家互联网企业,汪为日常的工作是在网上与客户进行联系,维护产品销售渠道。最近,公司准备出国参加一场展销会,汪为正跟几家快递公司通
发布时间:2017-03-10 11:15 | 阅读:133679 | 评论:0 | 标签:行业动态 勒索敲诈 木马 黑产

不法分子借情人节话题传播恶意程序 伺机盗取用户机密信息

又到了一年一度朋友圈“撒狗粮”的日子了,玫瑰花、恩爱照、示爱信又将开启霸屏模式。当然,也有少不了适合“单身汪”的漂流瓶、网络趣图、情趣小游戏等等。但是,这些以“爱”之名的“诱饵”很多却是不法分子精心设计的“爱情”陷阱。一旦点击了其中携带的恶意链接或是附件,就可能导致账号、密码等个人信息被窃,甚至还有可能成落入不法分子精心布局的网络诈骗之中。趋势科技提醒大家,情人节猎奇更要注意网络链接及内容的安全性,切忌勿因好奇害死猫。 很多“情人节红包”其实都是网络陷阱 利用情人节这个绝佳机会伺机而动的不法分子不在少数,在已经监测到的事件中,不法分子会以“情人节红包大赠送”、“你收到了一个新的表白信息”等标题作为噱头,向用户发送包含恶意链接或附件的垃圾邮件。一旦点击,其潜藏的木马病毒就会感染受害者的操作系统,继而盗取受害者的
发布时间:2017-02-11 03:45 | 阅读:116442 | 评论:0 | 标签:厂商供稿 恶意软件 情人节 木马 趋势科技

Dridex木马使用前所未有的手段规避UAC

Flashpoint安全研究人员警告:最近观测到的Dridex投放行动利用了新的UAC(用户账户控制)规避方法。 Dridex最先于2014年被发现,因其使用了 GameOver ZeuS (GoZ) 恶意软件点对点架构改进版来保护其命令与控制(C&C)服务器,而被认为是GoZ的继任者。Dridex作为最流行的银行木马家族冒头,但其最近的活动相比2014和2015年时的还是有所平缓。 最近观察到的Dridex活动比较小型,针对英国金融机构,采用了前所未见的UAC规避方法——利用Windows默认恢复光盘程序recdisc.exe。该恶意软件还被观测到通过伪装的SPP.dll来加载恶意代码,利用svchost和spoolsrv来与第一级C&C服务器和其他节点进行通信。 与其他恶意软件类似,Dri
发布时间:2017-02-07 00:15 | 阅读:87916 | 评论:0 | 标签:威胁情报 Dridex 木马 用户账户控制

Android系统中也存在Web注入吗?

有一类专门针对浏览器的攻击,被称为浏览器中间人(MITB)攻击。想要实现这类攻击,方式也非常的多,像恶意 DDL 注入,扩展欺骗或将一些特制的恶意代码注入到浏览器页面中,欺骗代理服务器等。MITB攻击的目的,相比那些较常见的中间人攻击也有所不同。一般的中间人攻击,例如链路劫持投放一些商业性广告,或窃取某些用户量较大网站,用户账户里的虚拟财产为攻击目的。相关报道,可参见 Lurk case。 当MITB类攻击的目标为网上银行时,通常会使用 web 注入攻击。这种攻击,会将一段恶意代码注入到网上银行服务页面中,以此来拦截一次性SMS消息,收集用户信息,欺骗银行详情等。例如,我们巴西的同事发布了一篇,关于用户打印 Boletos 的,条形码欺骗攻击的长篇报告。这篇报告同时也成为了非常受欢迎的银行文档,并被巴西银行和
发布时间:2017-01-25 21:55 | 阅读:145194 | 评论:0 | 标签:数据安全 终端安全 Android 安卓 木马 移动安全 注入

用树莓派搭建小型honeynet

前言 树莓派小巧且耗费的电量非常少,如果你有一两个备用的,你可以使用他们来搭建蜜罐。 温馨提示:尽管蜜罐软件通常与底层操作系统隔离,但是也有存在错误以及发生事故的可能,所以不应该在托管蜜罐软件的系统上运行任何服务。 不建议在共享网络环境中运行无人值守的蜜罐。即使是低端的路由器现在也有某种DMZ选项可用于此活动,但更好的选择是使用具有严格和带宽限制的专用IP网络。 蜜罐及其环境应始终被视为已经沦陷的,下载到蜜罐的文件和脚本可能有危险,不应在其他地方运行。如果你已经厌倦了对入侵蜜罐的人的观察分析,可以彻底擦除它,完全重新安装。 安装 我的一个蜜罐实验室包括两个树莓派。一个处理SSH和Telnet连接,而另一个处理HTTP、SMTP、POP3和IRC。如下所述,在必要的时候,他们之间还可以进行通信。 路由器上的端口转
发布时间:2016-12-20 19:25 | 阅读:221635 | 评论:0 | 标签:网络安全 Cowrie honeynet InetSim Kippo rootkit 僵尸网络 木马 树莓派 蜜罐

“成人影集”样本分析(下篇)

声明:本文由expsky@MS509Team原创,仅用于技术交流分享,禁止将相关技术应用到不当途径。  上文《这个19KB的“成人影集”到底做了什么?》 对这个样本进行追踪分析的过程中,发现了至少上千的域名和IP与之有关联,这个木马影响面不小,但样本涉及到的大马下载链接,以及情报关联到的大马下载链接最近都失效,继续分析受阻… 功夫不负有心人,大马样本还是被找到,经过对大马的深入分析后,发现背后是一个庞大的僵尸网络,活跃了相当长时间,而最近一两个月更是异常活跃加速传播。大马的功能非常丰富,并继续通过发送包含木马的色情邮件进行蠕虫式扩散传播,并且运用到了很多加密反调试的手段,给逆向分析带来了很大的难度。该样本的深入分析国内还鲜有报道,看完下面的样本分析后,相信对样本以及此僵尸网络都会有个全面
发布时间:2016-11-14 19:15 | 阅读:99799 | 评论:0 | 标签:安全报告 系统安全 成人影集 木马

过期签名“红颜”木马分析

上个月在中秋来临之际,360白名单分析组即时发布了冒用数字签名的木马分析报告,在持续的跟踪对抗过程中,我们发现该作案团伙不断的对数字签名做各种尝试,并且为了在被感染用户的机器上扎根存活不断改进其木马框架。 本文对捕获到的最新木马“红颜”进行分析,这次的重点将放在木马的行为框架上,其主要的流程如下图所示: 图 1 木马行为框架流程图 一、 签名过期的主程序 在最新捕获的木马样本中,出现了一些具有过期证书的数字签名,木马的主程序就签发了如下签名: 图 2木马文件签发过期证书 可以看出其数字证书的有效期是到2015年5月,导致系统验证数字签名时提示不在有效期。经试验,把系统的时间修改到有效期内,将看到数字签名校验显示正常,可以想象作者试图以此来对抗杀毒软件的检测。 图 3修改系统时间后过期数字签名校验有效
发布时间:2016-10-25 22:25 | 阅读:110834 | 评论:0 | 标签:系统安全 木马 红颜 过期签名

“杀手”木马:一个浏览器恶意插件行为分析

近期,腾讯反病毒实验室发现一款通过浏览器插件作恶的木马程序大量传播,经分析,该木马能够静默安装IE、Chrome两种类型的多款浏览器插件,通过这些恶意插件实现篡改导航网站、搜索引擎的推广ID获利,同时篡改购物网站的商品链接,以返利网站跳转实现推广获利,影响数十万用户。根据其源码注释,我们得知该木马代号——“杀手”。 “杀手”木马的部分注释,本文所有代码相关注释均为木马作者所写 概况 “杀手”木马的功能主要通过浏览器插件实现,安装过程较为复杂,绕过了系统和浏览器的很多安全机制,能够在系统和浏览器默认安全等级下实现静默安装恶意插件。该木马支持X86、X64两种操作系统,支持IE、Chrome以及多种国产改装版浏览器,影响广泛,危害严重。 木马安装流程 “杀手”木马以插件形式工作,但是主要功能是由
发布时间:2016-10-20 22:20 | 阅读:117391 | 评论:0 | 标签:WEB安全 木马

赛门铁克发现中国Android 勒索软件正在使用伪随机密码和双锁屏攻击

赛门铁克安全团队最近发现,Android.Lockscreen(锁屏恶意软件)的新变种正在通过伪随机密码,阻止受害者在不支付赎金的情况下解锁设备。此前,这类勒索软件的早期版本使用硬编码密码锁定屏幕。然而,安全专业人士能够对代码进行反向工程,为受害者提供密码解锁设备。此外,攻击者通过结合自定义锁屏和设备锁屏来增加解锁难度。赛门铁克过去针对类似移动威胁的监测显示,此类木马程序能够在传播前,直接在移动设备上进行创建。经过分析,赛门铁克安全团队发现在中国出现的此类安全威胁为Android.Lockscreen(锁屏恶意软件)。  伪随机密码 一旦移动设备感染木马,这类恶意软件便会创建一个自定义的“系统错误”窗口,强行覆盖在感染设备每一个可见的UI之上。此时,恶意软件会在窗口中显示恐吓消息,告知受害者通过联系攻击者才能获
发布时间:2016-09-29 03:50 | 阅读:93458 | 评论:0 | 标签:威胁情报 android 勒索软件 木马 Android

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云