记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Emotet银行木马宏样本分析

一、简介 Emotet银行木马首次发现是在2014年6月份,此银行木马主要通过垃圾邮件的方式进行传播感染目标用户,是一款比较著名且复杂的银行木马。     二、样本运行流程 三、分析 邮件附件DOC样本(重命名为2021-1-13-Emotet.doc),如下所示: 打开文档之后,如下: 3.1宏代码分析 使用oletools 套件的olevba,查看里面包含宏代码,如下: 3.2动态调试 从上面中我们隐约可以看到调用了WMI和一堆混淆。 我们这里直接去该文档的VBA编辑器,动态的调试,看到到底发生了什么。
发布时间:2021-01-19 21:02 | 阅读:1336 | 评论:0 | 标签:Windows 安全实践 木马

Cobalt Strike4.0远控木马分析

收录于话题 本文为看雪论坛优秀文章看雪论坛作者ID:快乐鸡哥‍‍一、概述Cobalt Strike是渗透测试神器,其功能简介就不用多说了,4.0版本更新已有一段时间了,这里分析一下,若有错误的地方望大伙指出,谢谢。
发布时间:2021-01-15 19:10 | 阅读:6713 | 评论:0 | 标签:木马

比特币暴涨引发挖矿木马成倍增长,企业如何冲破“木马围城”?

受比特币暴涨影响,各类数字虚拟币市值均有大幅增长。而虚拟货币繁荣背后,黑色数字产业链却早已将方向转向“挖矿”领域,挖矿木马仍是企业服务器被攻陷后植入的主要木马类型。近日,腾讯安全威胁情报中心态势感知系统提供的数据结果显示,针对云主机的挖矿木马样本量明显上涨,挖矿团伙控制的IP、Domain广度以及云上挖矿威胁数量也有较大程度上涨,挖矿木马整体呈现成倍增长趋势,给企业用户云主机安全带来严重威胁。虚拟币暴涨背后 新老挖矿家族合力加大攻击力度受利益驱使,挖矿木马视更多企业用户为攻击目标。
发布时间:2021-01-15 14:38 | 阅读:4605 | 评论:0 | 标签:比特币 木马

腾讯安全截获TeamTNT挖矿木马最新变种,失陷主机被安装IRC后门,攻击者可实现任意目的

腾讯安全截获TeamTNT挖矿木马最新变种,失陷主机被安装IRC后门,攻击者可实现任意目的2021-01-14 17:27:12腾讯安全威胁情报中心也监测到TeamTNT 变种利用IRC进行通信控制肉鸡服务器组建僵尸网络,此次使用的IRC 采用的是github开源的oragono,暂未检测到后门有执行拒绝服务(DoS)功能。除了利用肉鸡服务器挖矿,攻击者还可能利用已失陷的服务器横向传播,以攻占更多其他主机,得手后会在失陷主机安装IRC后门实现远程控制。
发布时间:2021-01-14 20:18 | 阅读:6037 | 评论:0 | 标签:后门 攻击 安全 木马

缘于盗号木马,曲折渗透实战

收录于话题 Editor's Note 团队师傅的文章,推一波!!! 珂技知识分享 Author 珂字辈 珂技知识分享 分享自己的安全技术,渗透实例,IT知识,拒绝转载,坚持原创。 在某个论坛看到有人说网站含有QQ盗号木马。www.oxxxxx.com点进去看了一眼很炫的背景,很简单的静态网页,几个用易语言写的小病毒,用了加速器外挂之类的进行伪装欺骗。病毒分析咱不会,看看能不能搞了网站,先手工看看网站吧。在域名后面随便加点东西让它报错。IIS 10.0,愚蠢的爆出了绝对路径,freehost,是星外主机。
发布时间:2021-01-14 14:55 | 阅读:4471 | 评论:0 | 标签:渗透 木马

比特币爆涨,打响挖矿木马围攻云主机的发令枪,SupermanMiner 冲上来了

一、概述 受近期比特币爆涨带动数字虚拟币整体市值飙升影响,挖矿木马十分活跃。腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务,下载用golang语言编写的挖矿木马下载器superman,根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。 腾讯安全近期已捕获较多利用golang语言编写的各类脚本木马,这些木马利用多个不同linux服务器组件的高危漏洞或弱密码入侵云服务器挖矿。对这些挖矿木马进行分析溯源,发现分属不同的黑产团伙控制,有点“千军万马一窝蜂携漏洞武器弱口令武器抢占云主机挖矿淘金”的意思。
发布时间:2021-01-13 13:07 | 阅读:5330 | 评论:0 | 标签:网络安全 比特币 木马

木马围城:比特币爆涨刺激挖矿木马一拥而上哄抢肉鸡资源

木马围城:比特币爆涨刺激挖矿木马一拥而上哄抢肉鸡资源2021-01-12 17:44:09受比特币暴涨影响,各类数字虚拟币市值均有大幅增长,在如此大利益诱惑之下,通过传播挖矿木马来获取数字加密货币(以挖取门罗币最为普遍)的黑产团伙闻风而动,纷纷加入对主机计算资源的争夺之战。一、背景云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用,传统安全边界逐渐模糊,网络环境中的主机资产盲点成倍增加,黑客入侵、数据泄露、病毒木马攻击风险随之增加。
发布时间:2021-01-12 19:30 | 阅读:8683 | 评论:0 | 标签:比特币 木马

木马围城:比特币爆涨刺激挖矿木马一拥而上围猎肉鸡资源

收录于话题 长按二维码关注腾讯安全威胁情报中心一背景云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用,传统安全边界逐渐模糊,网络环境中的主机资产盲点成倍增加,黑客入侵、数据泄露、病毒木马攻击风险随之增加。与此同时,各类数字加密货币价格迎来暴涨,2020年初至今,比特币价格一度超过了4万美元/BTC,是2019年底的10倍之多,达到了历史最高点,比特币一度摘取2020年度最佳持有资产的头衔。
发布时间:2021-01-12 19:15 | 阅读:6175 | 评论:0 | 标签:比特币 木马

SolarWinds事件恶意代码与俄罗斯组织常用木马相关

2020年1月11日,著名俄罗斯安全公司卡巴斯基发布报告称,SolarWinds供应链攻击事件中的Sunburst后门代码与俄罗斯APT组织常用木马Kazuar后门存在代码重叠。因此,可以结合此前美国联合发布报告称,SolarWinds供应链事件可能来自俄罗斯的结论来看本文。Kazuar是.NET平台的后门程序,由PaloAlto于2017年首次报告并将Kazuar与APT组织Turla关联起来,卡巴斯基称在过去几年,Turla组织经常使用Kazuar木马。而Sunburst和Kazuar在几个不常用的模块中存在代码重叠或相似性。
发布时间:2021-01-12 11:27 | 阅读:4222 | 评论:0 | 标签:木马

比特币爆涨,打响挖矿木马围攻云主机的发令枪,SupermanMiner冲上来了

收录于话题 长按二维码关注腾讯安全威胁情报中心一、概述受近期比特币爆涨带动数字虚拟币整体市值飙升影响,挖矿木马十分活跃。腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接写入计划任务,下载用golang语言编写的挖矿木马下载器superman,根据挖矿算力推测该团伙已控制约1万台失陷系统进行门罗币挖矿。腾讯安全近期已捕获较多利用golang语言编写的各类脚本木马,这些木马利用多个不同linux服务器组件的高危漏洞或弱密码入侵云服务器挖矿。对这些挖矿木马进行分析溯源,发现分属不同的黑产团伙控制,有点“千军万马一窝蜂携漏洞武器弱口令武器抢占云主机挖矿淘金”的意思。
发布时间:2021-01-11 17:34 | 阅读:5333 | 评论:0 | 标签:比特币 木马

腾讯安全威胁事件月报(2020年12月):挖矿木马有较明显上升

收录于话题 01威胁态势分析从2020年12月恶意病毒木马家族活跃趋势看,12月份恶意病毒木马感染有上升势头。本月活跃的病毒木马影响地区如下:从病毒木马活跃地区分布看,经济活跃、人口更多的沿海地区领先于全国其他地区。2020年12月最活跃的病毒家族top10:从本月最活跃的病毒家族排名看,感染型病毒、蠕虫病毒、僵尸网络病毒明显抬头,这与感染型病毒有较强的自传播特性有关。2020年12月份勒索病毒感染情况:从12月勒索病毒感染趋势看,月初为本月峰值,随后勒索病毒攻击趋势渐渐平稳。
发布时间:2021-01-08 20:13 | 阅读:10406 | 评论:0 | 标签:安全 木马

挖矿木马防御方法+应急处理大全

收录于话题 #木马 2 #挖矿 1 #防火墙 2 #漏洞 5 #安全 9 一、为什么会有挖矿木马挖矿机程序运用计算机强大的运算力进行大量运算,由此获取数字货币。由于硬件性能的限制,数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币,因此,一些不法分子通过各种手段将挖矿机程序植入受害者的计算机中,利用受害者计算机的运算力进行挖矿,从而获取利益。这类在用户不知情的情况下植入用户计算机进行挖矿的挖矿机程序就是挖矿木马。以比特币为例,如果没有人挖矿,就生成不了新的区块,区块链就不会增加,那么比特币就没法进行交易,无法进行流通。
发布时间:2021-01-08 12:31 | 阅读:6691 | 评论:0 | 标签:防御 木马

【01.06】安全帮®每日资讯:TOPMiner挖矿木马被截获,受害服务器约1.5万台;PayPal遭受短信网络钓鱼活动

收录于话题 安全帮®每日资讯腾讯主机安全截获 TOPMiner 挖矿木马,受害服务器约 1.5 万台腾讯主机安全(云镜)检测到挖矿木马TopMiner近期攻击十分活跃,该木马通过SSH弱口令爆破进行攻击入侵,会清除竞品挖矿木马,同时会使用爆破工具在内网横向传播。据估算,约有1.5万台服务器被该团伙控制挖矿。TopMiner挖矿团伙针对SSH弱口令进行爆破攻击,成功后执行命令下载恶意shell脚本,并将启动脚本写入crontab定时任务进行持久化,shell脚本继续下载挖矿木马nginx、top启动挖矿。
发布时间:2021-01-06 11:44 | 阅读:6078 | 评论:0 | 标签:安全 钓鱼 木马

分析思路分享-银行木马Gozi第二阶段loader样本分析

 背景好久没分析样本了,最近闲暇之余有时间又刷了一下Bazzar.abuse.ch,下载并分析了一些最近上传的样本,其中有一个被标记为了Gozi的样本比较有意思,在这里分享给大家。以后关于恶意样本的分析文章,主要是分为总结类和思路分享类,在思路分享类文章中,笔者会尝试将分析中遇到的一些实际问题、猜想和解决思路分享给大家。在总结类文章中中,主要是尝试用更为精干的语言写出有质量的报告。文章难免出错,欢迎和感谢各位大佬对其进行斧正。
发布时间:2021-01-05 10:36 | 阅读:7099 | 评论:0 | 标签:木马

你的充电宝可能被植入木马而且还在窃听你的信息

想象一下,你和闺蜜的悄悄话,和家人的谈话以及在工作会议中的发言,都被人偷听了。这是什么恐怖的体验?而且,这个窃听器非常隐蔽,一般人还发现不了,是不是更恐怖了。据央视新闻报道,近日他们发现有人把充电宝搞成了窃听设备,既能定位又能窃听的那种。甚至还搞出了一条窃听黑色产业链。可怕可怕。而这个用来窃听的设备,其实就是我们经常见到的 GPS 定位器。经过这群人的一番改装之后,这个 GPS 定位器不仅能定位,还可以远程录音。此外,据央视记者亲身试验,这个录音的效果非常不错,不管说话的声音多大,就像打电话一样清晰…目前受害者几乎遍布全国。
发布时间:2021-01-01 10:50 | 阅读:13933 | 评论:0 | 标签:木马

腾讯云防火墙捕获H2Miner挖矿木马利用XXL-JOB相关漏洞攻击云主机

腾讯云防火墙捕获H2Miner挖矿木马利用XXL-JOB相关漏洞攻击云主机2020-12-28 16:22:49腾讯安全云防火墙检测到H2Miner挖矿木马使用XXL-JOB未授权命令执行漏洞对云主机发起攻击,攻击成功后执行恶意脚本进而植入门罗币挖矿后门模块进行挖矿操作,该挖矿木马运行时会删除其他竞争对手挖矿木马创建的文件和计划任务。一、概述腾讯安全云防火墙检测到H2Miner挖矿木马使用XXL-JOB未授权命令执行漏洞对云主机发起攻击,攻击成功后执行恶意脚本进而植入门罗币挖矿后门模块进行挖矿操作,该挖矿木马运行时会删除其他竞争对手挖矿木马创建的文件和计划任务。
发布时间:2020-12-28 19:55 | 阅读:13534 | 评论:0 | 标签:防火墙 漏洞 攻击 木马

腾讯云防火墙捕获H2Miner挖矿木马利用XXL-JOB未授权命令执行漏洞攻击云主机

收录于话题 长按二维码关注腾讯安全威胁情报中心一、概述腾讯安全云防火墙检测到H2Miner挖矿木马使用XXL-JOB未授权命令执行漏洞对云主机发起攻击,攻击成功后执行恶意脚本进而植入门罗币挖矿后门模块进行挖矿操作,该挖矿木马运行时会删除其他竞争对手挖矿木马创建的文件和计划任务。腾讯安全专家建议XXL-JOB管理任务的政企用户及时加固系统配置、修补漏洞,避免遭遇更多的黑产攻击。用户可参考腾讯安全产品响应清单指引,及时检测、清理恶意威胁。腾讯云防火墙检测到相关攻击的日志:复现相关攻击命令可植入恶意挖矿脚本XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。
发布时间:2020-12-28 19:41 | 阅读:12489 | 评论:0 | 标签:防火墙 漏洞 攻击 执行 木马

PyMICROPSIA:AridViper开发的新型信息窃取木马

研究人员近日发现了一个新的Windows信息窃取木马,名为PyMICROPSIA。该木马与AridViper组织有关,该组织正在迅速发展以瞄准其他平台。AridViper是一个阿拉伯相关的APT组织,至2011年开始活跃于中东。研究人员之所以将其命名为PyMICROPSIA,是因为它是使用Python构建的。下图1概述了PyMICROPSIA恶意程序家族的功能以及与以前的AridViper活动所观察到的相似之处。在研究PyMICROPSIA的功能时,研究人员发现了攻击者基础结构中托管的另外两个示例,这些示例在PyMICROPSIA部署期间下载并使用,其他示例提供了持久性和键盘记录功能。
发布时间:2020-12-28 12:41 | 阅读:10097 | 评论:0 | 标签:木马

伪冒银行木马“BYL”持续入侵

收录于话题 奇安信病毒响应中心 Author 病毒响应中心 奇安信病毒响应中心 奇安信病毒响应中心官方公众号 事件概要2020年10月,奇安信威胁情报中心移动安全团队发布报告首次揭露了一个伪冒国内银行应用的的信息窃取木马新家族”BYL”。2020年12月12日,奇安信威胁情报中心移动安全团队发现到攻击者开始更换网络资产展开新一轮传播,通过奇安信数据监测雷达我们发现到该木马家族短短四天(截至到2020年12月16日)国内影响量级已为千级,为避免更多用户个人财产受到损失,我们对其再次披露。
发布时间:2020-12-21 15:35 | 阅读:12385 | 评论:0 | 标签:入侵 木马

“日爆木马”攻入管理美国核武器库存的国家核安全局

随着调查的深入,SolarWinds“日爆木马”(SUNBURST)供应链APT攻击持续发酵,据Politico报道,知情官员近日透露,美国能源部(DOE)和负责管理美国核武器储备的国家核安全局(NNSA)有证据表明,其网络已经遭到黑客入侵,这些入侵活动属于SolarWinds日爆木马大规模间谍活动的一部分,该间谍活动已经影响了至少六个联邦机构。上周五,美国能源部和国家核安全局的官员在听取DOE首席信息官Rocky Campione的情况通报后,向国会监督机构通报了有关黑客攻击的通知。
发布时间:2020-12-21 12:55 | 阅读:10628 | 评论:0 | 标签:安全 木马

微软承认内部感染Solarwind木马,但客户未受影响

今天路透社报道称,微软在被黑客入侵之后,其资产被操纵从而参与了针对Solarwinds的攻击,有超过1.8万家公司和政府机构被感染了一个后门,这个后门将允许黑客(很可能是来自俄罗斯的黑客)自由访问他们的网络。微软表示,他们已经在公司内部检测到了SolarWinds软件的恶意版本,但同时也表示,到目前为止,其调查没有显示出黑客利用微软系统攻击客户的证据。官方声明称:和其他SolarWinds客户一样,我们一直在积极寻找这个行为者的特征,并可以确认我们在环境中检测到了恶意的SolarWinds二进制文件,我们现在已经对其进行了隔离和删除,但没有发现访问生产服务或客户数据的证据。
发布时间:2020-12-18 12:58 | 阅读:10956 | 评论:0 | 标签:木马

免杀系列-CS木马shellcode分离免杀上线

收录于话题 NOVASEC Author 好梦 NOVASEC NOVA SEC 新星安全 萌新启蒙之路 愿大家都能成为最闪耀的星。 10月13日CS木马shellcode分离免杀上线最近在学习CS怎么去
发布时间:2020-12-18 00:14 | 阅读:24807 | 评论:0 | 标签:shellcode shell 木马

腾讯主机安全捕获Ks3_Miner木马通过爆破SSH入侵云服务器挖矿

收录于话题 长按二维码关注腾讯安全威胁情报中心一、概述腾讯主机安全(云镜)捕获Ks3挖矿木马攻击云服务器,攻击团伙通过扫描网络中大量开放的SSH服务,对其进行爆破攻击。成功后植入挖矿恶意脚本进行门罗币挖矿。因挖矿木马主脚本名为ks3,腾讯安全将其命名为Ks3_Miner,腾讯安全全系列产品已支持对Ks3挖矿木马的检测和查杀。该挖矿木马作业时,会大量占用服务器资源,使云服务器无法提供正常的网络服务。同时,该木马也会结束其他挖矿木马进程,删除其他挖矿木马文件,以独占服务器资源。
发布时间:2020-12-16 17:21 | 阅读:14143 | 评论:0 | 标签:入侵 SSH 安全 木马

木马化开源软件的针对性攻击

译者:知道创宇404实验室翻译组原文链接:https://www.trendmicro.com/en_us/research/20/k/weaponizing-open-source-software-for-targeted-attacks.html 前言由于采用了合法的非恶意软件的外观,木马开源软件隐蔽且有效的攻击很难被发现。但通过仔细调查可发现其可疑行为,从而暴露其恶意意图。开源软件如何木马化?我们如何检测到它们?为了回答这些问题,让我们看一下最近的相关调查。调查我们发现一个名为notepad.exe的文件。众所周知,记事本是合法的应用程序。
发布时间:2020-12-16 12:42 | 阅读:16185 | 评论:0 | 标签:攻击 木马

TeamTNT挖矿团伙升级优化木马模块,木马持续改进有危害扩大迹象

TeamTNT挖矿团伙升级优化木马模块,木马持续改进有危害扩大迹象2020-12-15 17:08:3411月份,腾讯主机安全(云镜)检测到TeamTNT挖矿木马攻击云服务器挖矿。本周,腾讯安全威胁情报中心再次发现TeamTNT挖矿木马变种更新,新变种对数据回传和横向移动的模块代码进行升级优化,表明该黑产团伙正在继续改进木马功能模块,有危害扩大迹象。一、概述 11月份,腾讯主机安全(云镜)检测到TeamTNT挖矿木马攻击云服务器挖矿。
发布时间:2020-12-15 18:23 | 阅读:15074 | 评论:0 | 标签:木马

重磅!昔日手机巨头曾植入木马程序拉活赚钱,逾2000万用户成了“肉鸡”?

收录于话题 每日经济新闻综合红星新闻、中国裁判文书网、每经APP等“金品质,立天下”的广告语还在我们耳边回响,然而“金立”这个曾经的国产手机第一品牌却已经物是人非。2018年年底,深圳市中级人民法院正式受理债权人提出的对金立的破产清算申请。在法院依法裁定进行破产清算后,金立也曾发布新机,但并未引起多少关注。不过,12月5日媒体的一则报道再次将金立拉入了公众视线。据红星新闻报道,金立参股的一子公司,曾通过和其他公司合作,将木马程序植入到约2652万台金立手机中,以“拉活”的方式赚钱。
发布时间:2020-12-15 10:25 | 阅读:12633 | 评论:0 | 标签:木马

操纵钓鱼诈骗“庄家”出现,利用木马“黑吃黑”反杀

 随着二手交易市场的兴起,越来越多的人通过二手平台转卖闲置物品,而这也让黑灰产人员嗅到“商机”。一方面利用仿冒的二手交易平台钓鱼网站以低价商品吸引“鱼儿”上钩,一方面贩卖含后门的钓鱼网站源码,套取他人“诈骗“果实。近期收录到一款仿冒二手电商平台的钓鱼网站源码进行诈骗的案件,复现过程发现了钓鱼网站的原理(盗取个人身份信息的同时骗取资金),同时还发现其源码存在“黑吃黑“的现象。 诈骗流程还原①通过钓鱼网站管理后台的“商品采集“功能,抓取指定的电商平台商品信息,生成钓鱼网站商品页面。②将商品的钓鱼链接发给受害人,用户访问后会跳转至假冒的二手平台账号登录页面。
发布时间:2020-12-15 00:40 | 阅读:23099 | 评论:0 | 标签:钓鱼 木马

APT28利用新冠疫苗话题投递Zebrocy木马

收录于话题  1简介今年以来已有多个攻击组织利用新冠疫情话题进行攻击,而随着新冠疫苗逐渐成为新的热点话题,已经有攻击者开始利用新冠疫苗话题进行网络攻击了。就在今年11月份,Intezer公司的研究人员捕获到了疑似APT28组织(也称为Sofacy,Sednit,Fancy Bear和STRONTIUM),利用新冠疫苗话题进行攻击的钓鱼文件,这些诱饵被用来投递Go版本的Zebrocy木马。Zebrocy木马此前被发现用于攻击外交机构和商业组织。
发布时间:2020-12-14 21:31 | 阅读:22490 | 评论:0 | 标签:apt 木马

年轻人不讲武德,居然在简历中藏木马!

收录于话题 小白学黑客 Author 小白 小白学黑客 小白也能看懂的网络安全教程 +神秘邮件前几天,公司HR在群里发来了一条消息,说收到一封非常可疑的简历邮件。不枉公司三令五申的信息安全意识培养,咱们的HR小姐姐能有这样的敏锐意识,得给她点个赞!最近部门确实在进行人员招聘,也进行了大量的招聘宣传,每天都要收到不少的简历邮件,但这封邮件却透露着些许古怪。
发布时间:2020-12-14 11:12 | 阅读:10276 | 评论:0 | 标签:木马

记一次阿里云木马排查过程

收录于话题 作者:无名大盗,文章来源:https://blog.csdn.net/dreamer2020问题描述接到阿里云报警邮件,说是一台ECS有恶意进程。查看阿里云的安全详情,发现有恶意进程(云查杀)-自变异木马:登录到服务器上检查/bin目录,发现该文件确实不对,大小变成的1.1M,类似的还有netstat。如下图:正常ubuntu系统下的ps才96K,netstat大小为117K,上述命令文件被恶意窜改了。检查根据手动分析的结果发现,有多处系统文件被感染。通过lastlog等命令查看系统登录及操作,并未发现有被入侵的痕迹。
发布时间:2020-12-13 12:00 | 阅读:26472 | 评论:0 | 标签: 木马

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云