记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

TA505:利用Get2恶意下载工具传播新型SDBbot远程访问木马

一、概述在2019年9月,Proofpoint的研究人员观察到一个非常活跃的威胁参与者TA505持续发送电子邮件,尝试传播并诱导安装新型恶意下载工具Get2。我们观察到,Get2下载了FlawedGrace、FlawedAmmyy、Snatch和SDBbot(一种新型Rat)作为辅助Payload。在本文中,Proofpoint将详细介绍与这些最新恶意活动相关的策略、技术和过程(TTP),并提供对Get2下载工具和SDBbot RAT的详细分析。这些新的发展是一种既有模式的延续,从2018年以来,Proofpoint研究人员观察到众多威胁行为者越来越多地分发下载程序、后门程序、信息窃取程序、远程访问木马(RAT)以及更
发布时间:2019-10-30 13:10 | 阅读:6515 | 评论:0 | 标签:恶意软件 Get2 木马

游戏外挂捆绑驱动木马,已劫持上万台电脑浏览器

一、概述腾讯安全御见威胁情报中心检测到一名为updataxx.rar的驱动型木马捆绑在流行游戏外挂中传播。该木马频繁更新躲避杀毒软件查杀,木马内置多个网址提供自更新服务。该木马的主要危害是进行主页劫持,劫持的网址列表从云端配置文件获取。但由于每次开机启动都会进行自更新,不排除后期拉取其他恶意功能的代码执行,潜在危害较大。该木马近期活跃性上升,疑与电商购物节之前劫持用户浏览器导流获利有关。腾讯安图关联数据显示,该系列木马驱动的多个自更新网址注册时间都是2018年年底,如yun.521drive.com、go.gengxinsys.com注册时间为2018年12月;bb.niuqudong.com注册时间为2018年11月
发布时间:2019-10-28 13:10 | 阅读:6147 | 评论:0 | 标签:Web安全 木马 外挂

病毒团伙利用phpStudy RCE漏洞批量抓鸡,下发四个远控木马

一、简介近期,腾讯安全御见威胁情报中心监测到团伙利用phpStudy RCE(远程代码执行)漏洞批量抓“肉鸡”,该团伙手握四大远控木马:Nitol、大灰狼、魑魅魍魉、Gh0st,入侵后完全控制采用phpStudy搭建的服务器,并下发DDoS攻击指令,对目标计算机进行网络攻击。监测数据表明,受该病毒团伙影响的受害服务器数量正在增加,受害服务器主要位于广东(24.9%)、四川(8.1%)、山东(6.8%)。有多个企业租用的云服务器因phpStudy组件漏洞被入侵控制。 二、详细分析黑客入侵成功后下发后门Nitol远控:fuck.exe、0.exe木马除了会上报电脑基本信息外,还会上报用户当前的活动进程,
发布时间:2019-09-29 18:10 | 阅读:23830 | 评论:0 | 标签:系统安全 木马 漏洞

腾讯安全威胁感知系统截获网银大盗木马,提醒网友注意陌生邮件安全

概述腾讯安全御见威胁感知系统聚类出T-F-278915恶意家族,经分析该家族样本会窃取多种虚拟货币、窃取多国(包含中文、日文、希腊语)银行账户登录凭证,删除用户的浏览器信息,并利用用户电脑进行IQ虚拟货币挖矿等行为。该木马感染后监测到用户进行网银、支付相关的操作时,会复制剪贴板信息、截屏、进行键盘记录,将中毒电脑隐私信息上传,通过创建任务计划、添加启动项实现开机自动加载,病毒在做这些操作时,顺便利用中毒机器的算力挖矿。目前该网银大盗木马在国内已散在出现,其传播渠道主要依靠钓鱼欺诈类邮件。腾讯安全专家提醒用户小心点击来历不明的邮件附件及邮件提供的网址。详细分析1、 原始样本使用C#编写,其中的Class1类解密
发布时间:2019-08-28 18:10 | 阅读:28109 | 评论:0 | 标签:移动安全 木马

探寻木马进化趋势:APT32多版本远控木马Ratsnif的横向分析

一、概述OceanLotus恶意组织(又名APT32、CobaltKitty)正在使用一系列名为“Ratsnif”的远程访问木马来实现新的网络攻击功能。Blackberry Cylance的威胁研究人员对Ratsnif木马进行了分析,发现该木马使用了一种名副其实的瑞士军刀网络攻击技术。该恶意木马自2016年以来就不断更新,目前已经结合了数据包嗅探、网关和设备ARP投毒、DNS毒化、HTTP注入和MAC欺骗等功能。我们总共深入研究了四个不同的Ratsnif样本,其中前三个在2016年开发完成,第四个在2018年下半年创建。二、恶意样本12.1 基本信息MD5:516ad28f8fa161f086be7ca122351ed
发布时间:2019-07-08 12:25 | 阅读:41500 | 评论:0 | 标签:逆向破解 木马

吃鸡辅助远控木马分析

近期360安全卫士拦截到带木马的荒野求生辅助通过论坛、QQ、YY大量传播。木马运行后,黑客可以远程控制用户电脑,进行任意操作,并将中招电脑作为傀儡机,进行DDOS攻击,严重危害个人信息安全和网络秩序。一、主要流程带木马的荒野求生辅助以免费形式发布在布衣论坛中                                          图1带木马的荒野求生辅助运行后界面如下图2该荒野求生辅助被用户下载运行后会
发布时间:2018-04-24 12:20 | 阅读:113872 | 评论:0 | 标签:系统安全 木马

密室内的枪声!“双枪2”感染过程实录

前言去年7月,360安全中心曾率先曝光国内首例连环感染MBR(磁盘主引导记录)和VBR(卷引导记录)的顽固木马——“双枪”。今年3月初,360安全中心发现“双枪”新变种开始出没,并从其感染行为入手,进行了一次全面分析。与此前爆发的“双枪”木马类似,“双枪2”是以篡改电脑主页为目的,其感染迹象是浏览器主页被篡改为带有“33845”编号的网址导航站。同样地,“双枪2”使用了VBR、MBR驱动进行相互保护,查杀难度碾压“鬼影”“暗云”等顽固木马创新高。与此前不同的是,新变种“双枪2” 主要通过下载站进行传播,它增加了与杀软的对抗策略,会拦截杀软文件创建;同时,还会通过锁定系统注册表HIVE文件,导致正常的服务项无法写入,犹如
发布时间:2018-04-09 00:20 | 阅读:115974 | 评论:0 | 标签:事件 技术 系统安全 木马 病毒分析

新型“敲竹杠”木马设置障眼法反侦察 360巧破天书密码

最近,以锁定电脑并勒索钱财著称的“敲竹杠”木马又出新花招,它伪装为Timi科技飞车辅助大肆泛滥, 360安全中心已经接到多起用户求助,称受诱导退出安全软件运行木马后,电脑被强锁,且被索要百余元赎金。 360安全专家在破译解锁密码的过程中发现,该木马具有很强的反侦察能力,它使用了障眼法故布疑阵,研究人员分析出的解锁密码“⒈”并非数字,而是特殊符号,经过紧急分析后,研究者发现中招者需要输入Alt+162再Alt+177 (数字在小键盘输入然后回车)才能解密。 电脑被“敲竹杠”木马锁定 这款“敲竹杠”木马通过网盘链接、论坛、贴吧等多个渠道大规模扩散,木马谎称是游戏辅助的内部试用版,诱导玩家加入所谓的“TiMi内部辅助QQ群”以获取开启密码,实际上,输入这个开启密码后,“敲竹杠”木马已经悄悄运行了。 “敲竹杠”木
发布时间:2017-09-30 16:45 | 阅读:85960 | 评论:0 | 标签:社会工程 360安全 勒索 技术支持诈骗 木马 社会工程学

一个钓鱼木马的分析(二)

            上次讲到此木马在内存里有个加密的pe文件存在,接下来我们就来讲解这个从内存里扣出来的pe文件到底怎么工作的。               在入口点,通过hash对比去查找ntdll.dll,kernel32.dll的模块句柄,而不是通过我们常用的方法GetMoudleHanlde()的方法去获取句柄,           看看serverlog_search_moudle这个函数的实现,在函数内部使用了[[[FS:[30]+0xc]+0xc]+0×30]的方法去获取模块的名字,在ring3层FS寄存器指向的是线程环境块,0×30的偏移即指向PEB(进程环境块),PEB的0xc就是指向LDR表,后面的偏移就是
发布时间:2017-08-06 03:40 | 阅读:81434 | 评论:0 | 标签:专栏 木马

细节揭秘:Google Play Store上的恶意软件,如何借助广告网络完成“病毒式”传播

摘要:本文由卡巴斯基实验室安全研究员经一年多的观察研究总结而成,主要阐述了Google Play Store上一类广告恶意软件的传播和感染方式与途径,项目起因在于一个“Guide for Pokémon Go”恶意软件的发现,作者好奇这类恶意软件的传播速度如此之快,每天的新增用户下载量数以万计,事情的转折点是用户评论区的一些评论内容…… 1.“Guide for Pokémon Go”分析 2016年底,我们向Google报告了一个Google Play store上的新发现的恶意程序:“Guide for Pokémon Go”。(注:“Pokémon Go”,即口袋妖怪GO,是由任天堂、Pokémon公司和谷歌的Niantic Labs公司联合制作开发的现实增强(AR)宠物养成对战
发布时间:2017-06-05 08:50 | 阅读:109256 | 评论:0 | 标签:安全报告 恶意软件 木马 病毒式

2017第一季度安卓短信扣费木马研究:七成扣费木马擅长以”用户的名义”骗取话费

一、摘要 1.1 话费作为的最便捷的支付,比较适合“闷声发大财”。 隐藏在话费背后的SP服务可以很方便的帮助不怀好意的人将用户话费放到自己的口袋,少则扣费几十元,多则可能消费几百元积少成多累计起来也是暴力。比如前段时间首起恶意扣费软件案影响设备数600万台,非法获利6726余万元。 1.2 短信扣费类木马分为两大流派。 势力最大的一派以暗扣类游戏为主(占据市场份额最大),它们深谙用户用户心理,利用用户操作习惯,设置陷阱诱骗用户点击通过订阅SP服务进行变现。另外一派则以后台无图标应用为主,通过ROOT恶意木马,ROM预装等方式偷偷潜伏进去用户设备,后台自动发送SP扣费短信进行变现。 1.3 从SP扣费信息来源看,分成本地硬编码和云端平台获取两种。 本地硬编码含有几个或者几十个扣费通道,云端平台是一种无穷无尽的扣费
发布时间:2017-04-29 12:45 | 阅读:148130 | 评论:0 | 标签:安全报告 终端安全 Android 木马 短信

“敲诈者”黑产研究报告

导读 一封短短的邮件,却可以被不法分子用来远程加密受害者文件,敲诈比特币赎金。 本来用于自动运行操作方便用户的宏命令,却成为了木马的“帮凶”。 敲诈木马的背后,是成熟运转的黑色产业链。从恶意服务器的注册和建设,到木马的制作、邮件的发送,都能从受害者支付的赎金中分得一杯羹。 不法分子还会利用宏发动什么样的攻击?面对这样的木马又应该如何防范?本报告将带你了解以上内容,挖掘“敲诈者”及其背后的黑色产业。 一、愈演愈烈的敲诈风暴 只需一封邮件,便能锁定电脑重要文件进行敲诈 席卷全球的敲诈风暴,公司被迫支付赎金 北京的汪为(化名)周一上班后,和往常一样开始处理手头的工作。 汪为所在的公司是一家互联网企业,汪为日常的工作是在网上与客户进行联系,维护产品销售渠道。最近,公司准备出国参加一场展销会,汪为正跟几家快递公司通
发布时间:2017-03-10 11:15 | 阅读:140472 | 评论:0 | 标签:行业动态 勒索敲诈 木马 黑产

不法分子借情人节话题传播恶意程序 伺机盗取用户机密信息

又到了一年一度朋友圈“撒狗粮”的日子了,玫瑰花、恩爱照、示爱信又将开启霸屏模式。当然,也有少不了适合“单身汪”的漂流瓶、网络趣图、情趣小游戏等等。但是,这些以“爱”之名的“诱饵”很多却是不法分子精心设计的“爱情”陷阱。一旦点击了其中携带的恶意链接或是附件,就可能导致账号、密码等个人信息被窃,甚至还有可能成落入不法分子精心布局的网络诈骗之中。趋势科技提醒大家,情人节猎奇更要注意网络链接及内容的安全性,切忌勿因好奇害死猫。 很多“情人节红包”其实都是网络陷阱 利用情人节这个绝佳机会伺机而动的不法分子不在少数,在已经监测到的事件中,不法分子会以“情人节红包大赠送”、“你收到了一个新的表白信息”等标题作为噱头,向用户发送包含恶意链接或附件的垃圾邮件。一旦点击,其潜藏的木马病毒就会感染受害者的操作系统,继而盗取受害者的
发布时间:2017-02-11 03:45 | 阅读:124561 | 评论:0 | 标签:厂商供稿 恶意软件 情人节 木马 趋势科技

Dridex木马使用前所未有的手段规避UAC

Flashpoint安全研究人员警告:最近观测到的Dridex投放行动利用了新的UAC(用户账户控制)规避方法。 Dridex最先于2014年被发现,因其使用了 GameOver ZeuS (GoZ) 恶意软件点对点架构改进版来保护其命令与控制(C&C)服务器,而被认为是GoZ的继任者。Dridex作为最流行的银行木马家族冒头,但其最近的活动相比2014和2015年时的还是有所平缓。 最近观察到的Dridex活动比较小型,针对英国金融机构,采用了前所未见的UAC规避方法——利用Windows默认恢复光盘程序recdisc.exe。该恶意软件还被观测到通过伪装的SPP.dll来加载恶意代码,利用svchost和spoolsrv来与第一级C&C服务器和其他节点进行通信。 与其他恶意软件类似,Dri
发布时间:2017-02-07 00:15 | 阅读:94119 | 评论:0 | 标签:威胁情报 Dridex 木马 用户账户控制

Android系统中也存在Web注入吗?

有一类专门针对浏览器的攻击,被称为浏览器中间人(MITB)攻击。想要实现这类攻击,方式也非常的多,像恶意 DDL 注入,扩展欺骗或将一些特制的恶意代码注入到浏览器页面中,欺骗代理服务器等。MITB攻击的目的,相比那些较常见的中间人攻击也有所不同。一般的中间人攻击,例如链路劫持投放一些商业性广告,或窃取某些用户量较大网站,用户账户里的虚拟财产为攻击目的。相关报道,可参见 Lurk case。 当MITB类攻击的目标为网上银行时,通常会使用 web 注入攻击。这种攻击,会将一段恶意代码注入到网上银行服务页面中,以此来拦截一次性SMS消息,收集用户信息,欺骗银行详情等。例如,我们巴西的同事发布了一篇,关于用户打印 Boletos 的,条形码欺骗攻击的长篇报告。这篇报告同时也成为了非常受欢迎的银行文档,并被巴西银行和
发布时间:2017-01-25 21:55 | 阅读:152092 | 评论:0 | 标签:数据安全 终端安全 Android 安卓 木马 移动安全 注入

用树莓派搭建小型honeynet

前言 树莓派小巧且耗费的电量非常少,如果你有一两个备用的,你可以使用他们来搭建蜜罐。 温馨提示:尽管蜜罐软件通常与底层操作系统隔离,但是也有存在错误以及发生事故的可能,所以不应该在托管蜜罐软件的系统上运行任何服务。 不建议在共享网络环境中运行无人值守的蜜罐。即使是低端的路由器现在也有某种DMZ选项可用于此活动,但更好的选择是使用具有严格和带宽限制的专用IP网络。 蜜罐及其环境应始终被视为已经沦陷的,下载到蜜罐的文件和脚本可能有危险,不应在其他地方运行。如果你已经厌倦了对入侵蜜罐的人的观察分析,可以彻底擦除它,完全重新安装。 安装 我的一个蜜罐实验室包括两个树莓派。一个处理SSH和Telnet连接,而另一个处理HTTP、SMTP、POP3和IRC。如下所述,在必要的时候,他们之间还可以进行通信。 路由器上的端口转
发布时间:2016-12-20 19:25 | 阅读:232628 | 评论:0 | 标签:网络安全 Cowrie honeynet InetSim Kippo rootkit 僵尸网络 木马 树莓派 蜜罐

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云