记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

记一次Emotet木马处理案例

0x00、前言 用户的安全意识相对薄弱,面对来历不明的链接和附件,容易被诱导从而遭受木马的入侵。在日常使用过程中,有时电脑中病毒后会遇到木马查杀不掉的情况,应该是如何处理呢?下面分享一个Emotet木马处理的案例,希望对你有所帮助。 0x01、案例说明 从流量侧监控到多个用户终端频繁发送邮件,涉及大量收件人与发件人并带有附件,疑似感染木马,用户手动杀软查杀无果。 0x02、原因分析 既然杀软无法处理,那就只能手工来分析排查了,依靠系统运维的经验,首先需要对当前的异常现象进行分析,重点关注进程、启动项、网络等的异常情况。 这里,我们使用火绒自带的安全分析工具--火绒剑,进行手工分析排查。
发布时间:2022-06-30 18:26 | 阅读:4354 | 评论:0 | 标签:Emotet 木马 邮件 链接 附件

针对近期活跃的 Glupteba 木马病毒的分析

 Glupteba 木马是一种具有信息窃取和流量路由功能的加载程序,其最早于 2011 年在野外被发现,人们起初认为它主要用于在受感染的主机上安装其他病毒,但是现在看来它可以做的远不止如此。在经过不断地更新后,它成为了一种危险且需要防范的病毒。近期,360威胁情报中心和360沙箱云监测到 Glupteba 木马病毒的活跃信息,在这篇文章中对此木马进行详细分析。
发布时间:2022-06-30 17:31 | 阅读:4389 | 评论:0 | 标签:病毒 木马 分析

重磅披露!中国上百个重要信息系统被美国植入木马程序

28日,国家计算机病毒应急响应中心和360公司分别发布专题调研报告,同日披露了另一款网络攻击利器“酸狐”漏洞攻击武器平台(以下简称“酸狐平台”)属于 美国国家安全局(NSA)。“酸狐平台”是美国国家安全局计算机网络入侵小组的主战装备。此次袭击覆盖全球,主要目标是中国和俄罗斯。针对中国和俄罗斯,“酸狐狸平台”设置专用服务器近日,国内多家科研机构相继发现“验证者”木马程序的活动痕迹。根据美国 NSA 可研究的机密文件:“Authenticator”是一种小型植入木马,可以远程或手动部署在任何 Windows 系统上,从 Windows 98 到 Windows Server 2003。
发布时间:2022-06-30 16:40 | 阅读:7674 | 评论:0 | 标签:木马 美国 中国

“验证器”(Validator)— 美国国家安全局NSA(APT—C—40)的木马尖兵

背景在360前期发布的“量子”(Quantum)攻击行动报告《Quantum(量子)攻击系统–美国国家安全局“APT-C-40”黑客组织高端网络攻击武器技术分析报告(一)》中,我们利用360安全大脑,对具有美国官方背景的黑客组织“APT-C-40”的量子注入攻击实例进行技术分析,揭示了美国情治部门利用先进网络武器,对中国和世界各国的政府机构、重要组织和信息基础设施实施复杂、精密、持续性APT攻击行动的事实。
发布时间:2022-06-29 11:41 | 阅读:11593 | 评论:0 | 标签:apt 安全 木马 美国 Tor 国家安全

警惕!挖矿木马WatchDog开始针对Docker 和 Redis 服务器

据外媒报道,自去年曝光最活跃的黑客组织 WatchDog 正在利用先进的黑客技术、恶意软件和安全规避技术开展新的加密劫持活动。WatchDog攻击Docker引擎API端点和REDIS服务器,并从一个受影响的系统迅速传播到整个网络。据发现恶意活动的CADO实验室专家称,该组织的目标是利用不受保护的服务器资源挖掘加密货币,从而获得经济利益。如何进行攻击首先,WatchDog通过端口2375破解配置不当的Docker引擎API端点来启动攻击,使黑客能够访问出厂设置中的保护进程。攻击者就可以创建列表并修改容器,并运行任意命令。
发布时间:2022-06-08 18:32 | 阅读:19342 | 评论:0 | 标签:木马

快速定位挖矿木马 !

一、挖矿木马是啥玩意儿? 这里以比特币为例,所谓“挖矿”就是,将一段时间内比特币系统中发生的交易进行确认,并记录在区块链上,形成新的区块,挖矿的人叫做矿工。简单来说,挖矿就是记账的过程,矿工是记账员,区块链就是版本。比特币系统的记账权利是去中心化的,也就是每个矿工都有记账的权利,只要成功抢到记账权,矿工就能获得系统新生成的比特币奖励。从这个意义上来说,挖矿就是生产比特币的过程。 那么挖矿木马就是攻击者利用各种手段将挖矿程序植入计算机中,利用其计算机的算力进行挖矿,从而获取利益。
发布时间:2022-06-07 03:10 | 阅读:23249 | 评论:0 | 标签:木马

移动端恶意软件总趋势下降木马却比例飙升

第292期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、移动端恶意软件总趋势下降木马却比例飙升卡巴斯基发布移动端恶意软件分析报告,2020年底开始移动端恶意软件呈总体下降趋势,但木马占恶意软件的比例却逐步上升。虽然总体趋势的下降令人欣慰,但这不过是站在原始的视角得出的结论。考虑到木马趋势的变化,其实更大可能是黑客大多转向了收益更高的方式去追求极致的产出比。
发布时间:2022-06-01 10:49 | 阅读:102366 | 评论:0 | 标签:移动 木马 恶意软件

利用msfvenom生成木马文件

当我们需要往目标机上传木马文件时,我们就可以利用msfvenom生成一个木马文件,并用metersploit进行监听,就能够反弹回shell。  我们制作的木马文件有没有免杀功能,可以在virscan中进行扫描检测一下。或者在本地用一些杀毒软件进行检测。常规利用  1. 生成windows木马程序。   生成一个windows的木马应用程序:back.exe,并反弹shell至192.168.91.132:8836端口。
发布时间:2022-05-28 05:46 | 阅读:33929 | 评论:0 | 标签:木马

微软警告 Linux 木马 XorDdos 攻击激增,主要针对云、物联网

微软发现,被称为XorDdos的Linux木马的网络犯罪活动正在增加,该报告发现,在过去六个月中,针对 Linux 端点使用该恶意软件的恶意活动增加了 254%,主要针对云、物联网。 该木马由安全研究组织 MalwareMustDie 于2014年首次发现,以其使用基于XOR的加密以及聚集僵尸网络执行分布式拒绝服务攻击的事实而得名。“XorDdos 描绘了恶意软件越来越多地针对基于Linux的操作系统的趋势,这些操作系统通常部署在云基础设施和物联网 (IoT) 设备上,”Redmond警告说。
发布时间:2022-05-26 15:23 | 阅读:24526 | 评论:0 | 标签:木马 Linux木马 XorDdos ddos linux 攻击 物联网 微软

手机订阅中的木马攻击

账单欺诈(Billing fraud)是攻击者最常见的收入来源之一。目前有一些已知的移动木马专门秘密订阅用户付费服务。他们通常以用户的名义为合法服务付费,而诈骗者则从收费中抽成。这类型的订阅费往往是从手机余额中收取的。真正想要订阅某项服务的用户通常需要访问内容提供商的网站并点击“订阅”。由于木马应用程序能够模拟点击这个图标,服务提供商有时需要在文本信息中发送确认码来完成订阅。在其他情况下,市场试图通过使用验证码(CAPTCHA)使订阅自动化变得更加困难,而其他市场则使用反欺诈解决方案分析流量并阻止订阅欺诈。然而,有些类型的恶意软件至少可以绕过部分保护措施。
发布时间:2022-05-22 13:35 | 阅读:99328 | 评论:0 | 标签:攻击 木马 手机

“白菜价”木马或将引发恶意软件价格战

远程访问木马(RAT)通常都是网络犯罪和国家黑客组织武器库中价格不菲的“高精尖武器”。但近日,一个名为Dark Crystal的远程访问木马(又名DCRat)在地下黑市标出了5美元的“白菜价”,震碎了网络安全人士的三观,同时也引发了业界广泛的焦虑。据悉,该木马由一个独立开发人员完成编码,使用一种非常冷门的Web语言。研究人员认为如此内卷的超低价格可能会引发恶意软件的价格战,同时还标志着新的、颠覆性的恶意软件开发商正在进入网络犯罪市场。
发布时间:2022-05-17 15:26 | 阅读:28657 | 评论:0 | 标签:木马 恶意软件

Electron木马通过Microsoft Store大肆传播

背景介绍“Temple Run(《神庙逃亡》)”或“Subway Surfer”等热门游戏被发现存在恶意攻击行为;攻击者可以使用安装的恶意软件作为后门,以完全控制受害者的设备;受害者大多分布在瑞典、保加利亚、俄罗斯、百慕大和西班牙;Check Point Research (CPR) 发现了正在通过微软官方 Store传播的新恶意软件。已经有超过 5000 台设备受到影响,恶意软件不断执行攻击者命令,例如控制 Facebook、Google 和 Sound Cloud 上的社交媒体帐户。该恶意软件可以注册新帐户、登录、评论和关注其他帖子。
发布时间:2022-05-10 13:30 | 阅读:36633 | 评论:0 | 标签:木马 Tor

会“说话”的银行木马

1. 概述恶意软件尤其是银行木马的花招总是日新月异。此前有伪造目标银行的登录界面以窃取登录凭证的Thief Bot,有基于记录键盘输入信息以窃取密钥的 Loki Bot,有监控用户屏幕并获取用户短信验证消息的Tea Bot。近期出现了一种名为Fakecalls的新型银行木马,除了常见的隐私窃取功能外,它还可以通过拦截银行与用户之间的通话从而冒充银行员工进行诈骗和窃取。
发布时间:2022-05-09 18:54 | 阅读:37016 | 评论:0 | 标签:木马 银行

木马化DeFi应用程序被用于传播恶意软件

对于 Lazarus组织来说,经济利益是主要动机之一,尤其是加密货币业务。随着加密货币价格的飙升,以及不可替代的代币(NFT)和去中心化金融(DeFi)业务的普及,Lazarus组织的金融行业目标也在不断发展。研究人员最近发现了一个木马化的 DeFi 应用程序,该应用程序于 2021 年 11 月被编译。该应用程序包含一个名为 DeFi Wallet 的合法程序,该程序可以保存和管理加密货币钱包,但在执行时还会植入恶意文件。该恶意软件是一个功能齐全的后门,包含很多的功能来控制受攻击的受害者。在研究了这个后门的功能后,研究人员发现与 Lazarus 组织使用的其他工具有许多重叠之处。
发布时间:2022-05-06 18:48 | 阅读:40942 | 评论:0 | 标签:木马 恶意软件

记一次新型变种QakBot木马分析

背景年初单位邮箱收到了一篇钓鱼邮件还有一个附件xlsb的文档,将宏命令提取出来,发现会从远程下载一个文件下载后将文件上传到杀毒网开始查杀,51个杀软也就10个左右报毒了,很明显是有点问题的。2病毒分析通过前期的分析从文件中dump出一个可疑的PE文件,当然你可以用OD的工具去Load,写了一个加载程序,然后在下断LoadLiarbryA,加载成功后名为:hello.dll入口处之前跟过发现存在很多花指令分析起来也挺耗时间,调用函数是来回跳来跳去,要么就是来回赋值做一些没用的操作,这里就不从头开始分析了,剑走偏锋直接从FindResourceA开始。
发布时间:2022-05-01 17:54 | 阅读:48452 | 评论:0 | 标签:木马 分析

美政府提醒区块链行业警惕 Lazarus Group 加密货币木马应用程序

在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT)的公司,以及参与其中的个人。 CryptAIS 网站截图 几天前,美官员刚刚将疑似与朝鲜方面有关联的 Lazarus Group 黑客组织,与最近从 Ronin 窃取的价值 6.25 亿美元的加密货币事件联系起来。 作为一个基于 ETH 的侧链,它有被用于盈利类游戏 Axie Infinity 。
发布时间:2022-04-20 12:34 | 阅读:37699 | 评论:0 | 标签:木马 Lazarus Group 区块链 木马应用程序 加密

XHtmlTreeTest中的木马dll分析

概述该样本是来自于VirusShare网站提供,于2022年3月15日在VirusTotal上被首次提交。拿到样本时只有一个dll文件,查看其资源节,发现有“XHtmlTreeTest.exe”等字符串信息,经网上搜索后怀疑其是在一个叫XHtmlTreeTest的XML和HTML解析工具上附带的木马dll。详细分析从该木马dll(因为该dll的原本名字未知,就先怎么称呼了)的DllMain函数开始分析,其通过sub_1007B390函数获取“kernel32.dll”、“ntdll.dll”,以及“msvcrt.dll”三个dll库的基址。
发布时间:2022-04-18 09:44 | 阅读:33496 | 评论:0 | 标签:木马 分析

黑客使用木马化的加密货币应用传播恶意软件

朝鲜黑客组织Lazarus使用木马化的DeFi APP传播恶意软件。Lazarus是知名的朝鲜黑客组织,经济利益是其首要目标,尤其是加密货币相关的业务。随着NFT和Defi的不断发展,Lazarus黑客组织在经济领域的攻击目标也在不断地发展。近日,研究人员发现一款朝鲜黑客组织Lazarus使用的木马化的DeFi应用,其编译时间为2021年11月。该应用中含有一个合法的 DeFi 钱包,用于保存和管理加密货币钱包,同时在执行时会植入一个恶意文件。注入的恶意软件是一个功能齐全的后门。
发布时间:2022-04-13 13:27 | 阅读:40429 | 评论:0 | 标签:加密 黑客 木马 恶意软件

TeaBot 木马再次出现在 Google Play 商店

来自Cleafy的研究人员发现,TeaBot银行木马,也被称为 "Anatsa",目前已经在Google Play商店中被发现。该恶意软件,其主要攻击方式是拦截不知情的用户的短信和登录凭证。其报告声称,目前已经影响了400多个银行和金融应用程序的用户,这其中包括了来自俄罗斯、中国和美国的银行应用程序。这并不是TeaBot第一次攻击安卓用户。TeaBot还没有死亡TeaBot是去年首次被发现的。这是一个相对简单的恶意软件,其攻击目的是为了从受感染的设备中窃取银行、联系人、短信和其他类型的私人数据。
发布时间:2022-04-12 13:21 | 阅读:36414 | 评论:0 | 标签:木马 Google

借壳防病毒软件,SharkBot银行木马在Google Play传播

据Security Affairs网站消息,Check Point Research (CPR) 团队的研究人员发布报告称,在谷歌官方 Google Play 商店中发现了几个恶意 Android 应用程序,这些应用程序伪装成防病毒软件,用于传播 SharkBot 银行木马。
发布时间:2022-04-11 13:17 | 阅读:49076 | 评论:0 | 标签:病毒 木马 银行 Google

新的FFDroider木马 ​专注于窃取社交媒体帐户

第255期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、新的FFDroider木马专注于窃取社交媒体帐户一个名为FFDroider的新信息窃取者出现了,他窃取浏览器中存储的凭证和cookie,劫持受害者的社交媒体账户。社交媒体账户,尤其是经过验证的账户,是黑客的一个有吸引力的目标,因为威胁参与者可以利用它们进行各种恶意活动,包括进行加密货币诈骗和分发恶意软件。
发布时间:2022-04-08 10:31 | 阅读:33017 | 评论:0 | 标签:木马

商业窃密木马综合分析报告

1.概述商业窃密木马是一类在利益驱使下形成的商品化、市场化的窃密木马。商业窃密木马会收集目标系统的重要数据(包括但不限于密码凭据、隐私信息、重要文件、数字资产等),并将收集到的数据回传至攻击者服务器,给用户造成隐私泄露、经济损失等严重后果。因此,安天CERT全面剖析了典型商业窃密木马家族,归纳了商业窃密木马攻击活动中的攻击流程和常用技术手段,阐述了商业窃密木马的活动现状,总结了有效的防护建议,帮助用户免受商业窃密木马的侵害。目前,商业窃密木马已形成了一条完整的窃密产业链,主要包含制作、混淆、销售、传播、获利等环节。
发布时间:2022-03-17 16:03 | 阅读:52816 | 评论:0 | 标签:木马 分析

挖矿木马VsphereMiner盯上VMware虚拟机

 0x01   概述VMware vSphere是VMware公司推出的一整套虚拟化解决方案,可以十分方便地创建与管理虚拟机和虚拟设备。近日360安全大脑监测到一款针对VMware vSphere虚拟化平台的挖矿木马,将其命名为VsphereMiner。此挖矿木马会在入侵虚拟机后下载xmrig挖矿程序进行牟利,使用rootkit技术隐藏自身行为,同时借助SSH连接实现横向移动传播。
发布时间:2022-03-17 13:13 | 阅读:59749 | 评论:0 | 标签:木马

2021年度热门挖矿木马——JavaXminer

 0x01   简述随着近十年来加密货币的兴起和相应数字货币价值的持续走高,这个新领域逐渐地吸引了各方关注,这其中自然也包括黑产行业,一个新的恶意软件类型——挖矿木马应运而生。一旦机器被入侵并被植入了挖矿木马,那只要木马还在运行,便可以为黑客带来源源不断的收益。也因此在短短几年内就催生出一大批的挖矿木马家族,与之一起增加的还有对各个平台机器的大量攻击。挖矿木马一般需要控制大量设备来实施挖矿,才能保证可观的收益,所以我们经常可以看到挖矿木马与“僵尸网络”相伴而生。而入侵的方式多种多样,比如软件捆绑、服务器类漏洞攻击、口令爆破等。
发布时间:2022-03-17 10:31 | 阅读:47239 | 评论:0 | 标签:java 木马

新一代银行木马SharkBot正通过Play Store传播 — vulsee.com

SharkBot是一种银行木马,它能够绕过多因素身份验证机制窃取银行账户凭据,自2021年10月以来就一直处于活跃的状态。 近日,专家在Google Play官方商店中发现了SharkBot木马的精简版,它包含了最低要求的功能,例如自动传输系统ATS系统,允许其安装木马的完整版本。 SharkBot 能够通过ATS 执行未经授权的交易,这是一种在 Android 恶意软件中不常见的高级攻击技术。 该恶意软件作为假冒的防病毒软件通过 Google Play商店传播,它滥用安卓系统的“直接回复”功能发送回复通知与消息,其中就包含了下载假冒防病毒应用程序的消息。
发布时间:2022-03-17 05:09 | 阅读:44952 | 评论:0 | 标签:金融 antivirus ats com play sharkbot store 应用程序 恶意软件 新一代银行木马Sh

Linux挖矿木马NtpClient事件分析

 0x01   事件简述360安全大脑监测发现最新的NtpClient挖矿木马攻击。该木马利用Drupal、WebLogic、Confluence、MongoDB等众多流行框架漏洞进行传播,入侵机器后占用系统资源进行挖矿,严重影响主机上的正常业务运转。由于其最终投递的木马文件名为ntpclient,遂将其命名为NtpClient挖矿木马。
发布时间:2022-03-16 15:56 | 阅读:38228 | 评论:0 | 标签:linux 木马 分析

当心,安卓银行木马Escobar 正伺机而动

继著名僵尸网络Emotet在近期卷土从来,另一安卓银行木马Aberebot也有抬头之势。据Bleeping Computer网站消息,Aberebot正化身“Escobar”的名义重返,并迭代了新功能,包括窃取 Google Authenticator 多因素身份验证代码。今年2月,Bleeping Computer在一个俄语黑客论坛上发现,Aberebot 开发人员以“Escobar Bot Android Banking Trojan”的名义宣传他们的新版本恶意软件。
发布时间:2022-03-14 15:58 | 阅读:59449 | 评论:0 | 标签:木马 银行

乌克兰在被入侵前的几小时被FoxBlade木马病毒袭击

人道主义作者Andreas Harsono总结说,当坦克开进乌克兰时,恶意软件也开始对乌克兰进行了攻击。周一,该公司报告说,其威胁情报中心(MSTIC)在俄罗斯的坦克和导弹开始袭击乌克兰的前几个小时,就已经检测到了针对该国数字基础设施发起的网络攻击。微软安全研究人员表示,在2月24日发射导弹的前几个小时,微软的威胁情报中心(MSTIC)就已经检测到了针对乌克兰数字基础设施的新一轮进攻性和破坏性的网络攻击。我们立即向乌克兰政府通报了这一情况,我们确认攻击者使用了一个新的恶意软件包,我们称之为FoxBlade,并就防止恶意软件的攻击提供了技术性的建议。
发布时间:2022-03-09 13:21 | 阅读:53231 | 评论:0 | 标签:入侵 病毒 木马

新一代银行木马SharkBot正通过Play Store传播

SharkBot是一种银行木马,它能够绕过多因素身份验证机制窃取银行账户凭据,自2021年10月以来就一直处于活跃的状态。近日,专家在Google Play官方商店中发现了SharkBot木马的精简版,它包含了最低要求的功能,例如自动传输系统ATS系统,允许其安装木马的完整版本。SharkBot 能够通过ATS 执行未经授权的交易,这是一种在 Android 恶意软件中不常见的高级攻击技术。该恶意软件作为假冒的防病毒软件通过 Google Play商店传播,它滥用安卓系统的“直接回复”功能发送回复通知与消息,其中就包含了下载假冒防病毒应用程序的消息。
发布时间:2022-03-09 00:01 | 阅读:35726 | 评论:0 | 标签:木马 银行

Microsoft Teams正针对可接管终端用户电脑的木马

研究人员发现,威胁行为者正通过在聊天线程中植入恶意文档来针对Microsoft Teams用户,这些恶意文档执行木马程序,最终可以接管终端用户的电脑。据一份报告称,1月份,Check Point公司Avanan的研究人员开始跟踪该活动,该活动会在Teams对话中删除恶意可执行文件,用户点击这些文件后,这些文件最终会接管用户的电脑。Avanan Jeremy Fuchs 的网络安全研究员和分析师在一篇文章中写道:“使用可执行文件或包含系统执行指令的文件,黑客可以安装DLL文件并允许程序自我管理和控制计算机。”“通过将文件附加到Teams攻击中,黑客找到了一种轻松瞄准数百万用户的新方法。
发布时间:2022-03-04 13:21 | 阅读:35269 | 评论:0 | 标签:木马

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁