记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

NSAMsdMiner利用永恒之蓝攻击企业内网,窃取机密挖矿牟利双管齐下

概述近期腾讯安全御见威胁情报中心捕获到新的挖矿木马家族,该木马使用NSA武器的永恒之蓝、永恒浪漫、永恒冠军、双脉冲星4个工具进行攻击传播。攻击者可完全控制中毒电脑,窃取企业机密信息,并利用中毒电脑资源运行门罗币挖矿程序,该病毒还同时具有劫持其他挖矿木马工作成果的能力。腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。攻击者利用漏洞攻陷目标机器后,playload从位于某云服务器下载Windowsd.exe(攻击模块)、work.exe(远程控制模块)、mm.exe(门罗币挖矿模块,32位系统下载的是XMR-NOSSL-x86.exe)到C:programdata目录下,以子进程方式运行。由于此次的木马特点为使用NS
发布时间:2019-05-30 12:25 | 阅读:42425 | 评论:0 | 标签:加密货币 永恒之蓝

永恒之蓝下载器木马升级更新没完没了

腾讯安全御见威胁情报中心于2019年3月8日发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。此次更新仍然在于攻击模块,但是其特点在于,攻击模块不再由此前植入的母体PE文件进行释放,而是转为由感染后机器上安装的Powershell后门进行下载。通过分析发现,此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载,导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。通过对比分析还发现“永恒之蓝”木马下载器黑产团伙使用的Powershell攻击代码与腾讯安全御见威胁情报中心2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处,因此推测两者具有某种联系。“永恒之蓝”木马
发布时间:2019-03-12 00:20 | 阅读:115249 | 评论:0 | 标签:系统安全 永恒之蓝

360发布2017年度挖矿木马研究报告 “永恒之蓝”成挖矿攻击利器

日前,星巴克某店wifi和知名激活工具KMS相继爆出被植入挖矿木马,将这个新兴的网络安全杀手推向热潮。面对逐渐肆虐的挖矿木马,360发布2017年度挖矿木马研究报告,对本年度挖矿木马的种类、发展趋势、危害进行全面分析,并提出了相关防范措施。“寄生虫”吸血方式揭秘 “永恒之蓝”成挖矿木马助攻神器报告详细介绍了挖矿木马的前世今生:数字货币的发行直接导致了挖矿木马的出现。由于数字货币并非由特定的货币发行机构发行,而是由挖矿机程序依据特定算法通过大量运算所得,不法分子将挖矿机程序植入受害者的计算机中,利用受害者计算机的运算力进行挖矿,这种用户不知情的挖矿机程序就是挖矿木马。随着数字货币交易价格的走高,挖矿木马数量近年来急剧增加。比特币2013年-2017年交易价格变化趋势如果将明目张胆的勒索软件比喻成威胁网络安全的恶魔
发布时间:2017-12-21 04:05 | 阅读:121337 | 评论:0 | 标签:行业动态 僵尸网络 挖矿木马 永恒之蓝

Petya和NotPetya的关键技术性区别

阅读: 1有关Petya和NotPetya的文章这段时间已经铺天盖地了。大家都知道Petya和NotPetya是利用了永恒之蓝的漏洞,修改用户主引导记录(MBR),从而实现文件的加密。可是它们之间的具体区别是什么呢?本篇文章着重从技术角度分析了Petya和NotPetya的关键不同点。文章目录区别点1:XOR key区别点2:Mini-Kernel的责任区别点3:重启风格区别点4:骷髅显示区别点5:勒索信息区别点1:XOR keyPetya和NotPetya都是读取MBR并用一个简单的XOR key对其进行加密。唯一的区别在于Petya使用了0x37作为key,而NotPetya使用0x07作为key。Petya使用0x37图示NotPetya使用0x07图示区别点2:Mini-Kernel的责任Petya通过
发布时间:2017-07-10 16:00 | 阅读:126628 | 评论:0 | 标签:安全分享 安全意识 技术前沿 MBR勒索病毒 NotPetya Petya Petya 技术分析 勒索病毒 永恒之蓝

永恒之蓝漏洞(MS17-010)图形化扫描器-Eternal Blues

近期,国外安全研究者针对永恒之蓝漏洞开发出了一款名为Eternal Blues的免费图形化漏洞扫描器,能让你一键上手,快速识别内网存在MS17-010漏洞的主机。从WannaCry到Petya,永恒之蓝漏洞(MS17-010)的威力持续演变发酵,NSA武器库的曝光只是漏洞世界里的冰山一角,对于我们这些屌丝IT人士,只能望其项背,跟随在后默默地打补丁、堵漏洞。 虽说有各种Python或Metasploit版本,但Eternal Blues算是支持Windows系统,针对MS17-010漏洞的第一个公开版扫描软件。 Eternal Blues特点: 自动识别系统所在网络 SCAN一键扫描 快速识别大量主机MS17-010漏洞 探测主机系统SMBv1服务开放情况 可适用于大型组织机构的MS17-010漏洞扫描识别
发布时间:2017-07-06 07:10 | 阅读:244237 | 评论:0 | 标签:专栏 永恒之蓝 扫描 漏洞

永恒之蓝再次肆虐 勒索病毒变种在多国大规模爆发

昨日,乌克兰等地遭受大规模勒索攻击,多国政府机构、银行、运营商、机场和企业都受到了不同程度的影响。不同于传统勒索软件针对文件进行加密的行为,此次勒索攻击采用磁盘加密(早期版本只对MBR和磁盘分配表进行加密)的方式进行敲诈。某安全厂商数据显示,全球目前有约2,000名用户遭到这种勒索软件的攻击。其中,俄罗斯和乌克兰的企业和组织遭受影响最为严重。此外还在波兰、意大利、英国、德国、法国、美国等国记录到相关攻击。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款。目前得到国内外多家安全厂商交叉确认的是,此次勒索软件的传播采用了邮件、下载器和蠕虫的组合方式,并利用了此前5月份爆发的WannaCry所使用的“永恒之蓝”漏洞。电脑在感染勒索病毒Petya的变种后,病毒会修改系统的MBR引导扇区,当电脑重启
发布时间:2017-06-28 21:50 | 阅读:122002 | 评论:0 | 标签:威胁情报 Petya 勒索病毒 永恒之蓝 磁盘加密 钓鱼邮件

警惕“永恒之蓝”抓鸡工具包里的后门

0×00 背景  前几天晚上闲来无事,朋友给了我一个445批量工具,可能有后门程序,让我分析一下。经过分析我发现后门位于dll文件中,抓鸡大牛们要小心了。 0×01 分析过程 文件结构如下:   程序的运行过程很简单,运行bat文件,就是扫描445端口,然后利用eternalblue攻击,再加载payload的dll文件。那么后门在哪呢?   在这个dll文件中,大鱼吃小鱼。好,分析一下这个dll文件,没加壳。看下dll入口函数:   这是dllmain函数:   我们可以看到调用了sub_10001160()这个函数,跟一下看看:   这是什么意思呢?增加账号可以理解,下边的Sleep,WinExec这是要干什么?
发布时间:2017-06-06 16:40 | 阅读:133121 | 评论:0 | 标签:系统安全 WannaCry 永恒之蓝 后门

360:国内出现冒充“王者荣耀辅助”勒索病毒 影响安卓手机

五月中旬勒索病毒“想哭”席卷全球事件让大家心有余悸,不少互联网人士表示,一旦勒索病毒从PC端转攻移动端,带来的损失将更为惨重。然而,就在6月2日,360手机卫士就发现了一款冒充时下热门手游《王者荣耀》辅助工具的手机勒索病毒,该勒索病毒被安装进手机后,会对手机中照片、下载、云盘等目录下的个人文件进行加密,并索要赎金。360手机卫士对此发布安全预警:该勒索病毒是国内第一款文件加密型勒索病毒,有爆发迹象,会威胁几乎所有安卓平台的手机,用户一旦中招,可能丢失个人重要信息。目前,360手机卫士已经率先支持对该勒索病毒的拦截和查杀,同时对已感染勒索病毒的用户,提供了勒索病毒解密工具,帮助受影响用户恢复文件,挽回损失。 图1:勒索病毒伪装成“王者荣耀辅助”诱导用户安装 图2:勒索病毒通过加密文件向用户敲诈勒索 据360
发布时间:2017-06-03 23:00 | 阅读:110704 | 评论:0 | 标签:技术控 手机勒索病毒 永恒之蓝 王者荣耀辅助

“永恒之蓝”漏洞勒索专题——用户案例&解决方案

  《齐向东:勒索病毒事件的八大反思》 用户故事: 《从 “永恒之蓝”蠕虫攻击事件的响应处置 看态势感知的价值》 《大快人心!看乌鲁木齐海关技术专家如何把“勒索者”病毒怼回去!》 《提前应对“勒索”病毒,嘉兴移动全力保障政府数据安全 》 《40个U盘,让“永恒之蓝”远离了这个部委》 解决方案: 《“永恒之蓝”实战考验终端漏洞运维有效性》 《终端准入控制让“永恒之蓝”到此为止》 《看得见才能防的住!永恒之蓝后企业安全检测能力建设》 《从“永恒之蓝”看边界防护的管理智慧》 《别让虚拟化成为“永恒之蓝”的下一个攻击目标》 《从“永恒之蓝”看企业桌面安全管理的挑战》 《躲过了“永恒之蓝”的工控系统并非高枕无忧 》  
发布时间:2017-05-21 23:45 | 阅读:83561 | 评论:0 | 标签:厂商供稿 360企业安全 勒索攻击 安全漏洞 永恒之蓝 用户案例 解决方案 漏洞

全球爆发勒索病毒攻击 中国校园网大面积感染

昨日英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。据360安全卫士紧急公告,不法分子使用NSA泄漏的黑客武器攻击Windows漏洞,把ONION、WNCRY等勒索病毒在校园网快速传播感染,建议电脑用户尽快使用360“NSA武器库免疫工具”进行防御。 NSA黑客武器搭载的勒索病毒感染现象 据360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。 由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用
发布时间:2017-05-14 05:40 | 阅读:101056 | 评论:0 | 标签:牛闻牛评 445端口 NSA武器库 中国校园网 勒索软件 永恒之蓝 赎金

全球爆发勒索病毒“永恒之蓝” 解决方案在此

昨日英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。据360安全卫士紧急公告,不法分子使用NSA泄漏的黑客武器攻击Windows漏洞,把ONION、WNCRY等勒索病毒在校园网快速传播感染,建议电脑用户尽快使用360“NSA武器库免疫工具”进行防御。 NSA黑客武器搭载的勒索病毒感染界面 据360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁(MS17-010),无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。 微软MS17-010安全补丁信息: http
发布时间:2017-05-14 05:40 | 阅读:92064 | 评论:0 | 标签:威胁情报 勒索软件 响应措施 永恒之蓝

针对“永恒之蓝”攻击紧急处置手册 (蠕虫 WannaCry)

第1章 隔离网主机应急处置操作指南 首先确认主机是否被感染 被感染的机器屏幕会显示如下的告知付赎金的界面: 如果主机已被感染: 则将该主机隔离或断网(拔网线)。若客户存在该主机备份,则启动备份恢复程序。 如果主机未被感染: 则存在四种方式进行防护,均可以避免主机被感染。针对未感染主机,方式二是属于彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一效率最高。 从响应效率和质量上,360 建议首先采用方式一进行抑制,再采用方式二进行根除。 方式一:启用蠕虫快速免疫工具 免疫工具的下载地址:http://dl.b.360.cn/tools/OnionWormImmune.exe 请双击运行 OnionWormImmune.exe 工具,并检查任务管理器中的状态。 方式二:针对主机进行补丁升级 请
发布时间:2017-05-14 05:40 | 阅读:116787 | 评论:0 | 标签:术有专攻 wannacry 应急处置 永恒之蓝 蠕虫

又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析

早在2015年,FireEye曾发布过两次关于Office的Encapsulated PostScript (EPS)图形文件的漏洞攻击的研究分析,其中一次属于零日漏洞攻击。今年3月开始,FireEye再一次在微软Office产品中陆续发现三个新的零日漏洞,发现时这些漏洞已被野外利用。第一个漏洞出现在今年的3月下旬,CVE-2017-0261中描述了Office远程代码执行漏洞(RCE)漏洞,FireEye认为该漏洞已被Turla和一个未知的专门针对金融行业的黑客组织利用过。其中,对该漏洞的利用已经涉及到未进行最新更新的系统中了,而且该漏洞还被用于部署其他恶意软件的受损的JavaScript脚本。第二个漏洞和第三个漏洞分别出现在4月和5月, CVE-2017-0262中详细描述了Office RCE漏洞,CVE
发布时间:2017-05-13 21:30 | 阅读:106726 | 评论:0 | 标签:技术 永恒之蓝 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云