记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

美创科技发布《2022年11月勒索病毒威胁报告》

#勒索病毒威胁报告 18个 勒索病毒是一种极具传播性、破坏性的恶意软件,利用多种密码算法加密用户数据,并恐吓、胁迫用户缴纳高额赎金。本月,勒索病毒攻击形势依旧严峻,企业被勒索病毒攻击的事件层出不穷。勒索病毒状况总览2022年11月 01 受害者所在地区分布美创安全实验室威胁平台显示,11月份国内遭受勒索病毒的攻击中,江苏、上海、浙江、广东、北京最为严重,其它地区也遭受到不同程度的攻击。 02 勒索病毒影响行业分布从行业划分来看,数据价值较高的传统行业、医疗、教育、政府机构等行业仍是感染勒索病毒的重灾区。
发布时间:2022-12-08 11:55 | 阅读:20906 | 评论:0 | 标签:勒索 病毒 勒索病毒

传奇私服暗藏病毒劫持用户流量

近日,火绒安全工程师拦截到一款病毒正通过某传奇私服登录器进行传播。该病毒可通过C&C服务器下发任意恶意模块,还会将病毒服务器设置为代理服务器,通过篡改用户流量来推广病毒作者自家的传奇私服。当用户访问传奇相关的网页时,会被劫持到病毒作者自家传奇私服,如下图所示:病毒作者自家传奇私服火绒安全工程师分析称,该病毒可通过C&C服务器下发任意恶意模块,不排除后续下发其他恶意模块的可能。被下发的恶意模块将长期驻留在中毒用户电脑中,并开机自启动,利用“白加黑”调用恶意代码模块以及注入系统进程的方式来执行恶意行为。
发布时间:2022-12-08 11:40 | 阅读:16335 | 评论:0 | 标签:病毒

记一次DarkKomet synaptics 病毒应急响应事件

 一、准备阶段1.1 基本情况DarkComet (暗黑彗星)是由 Jean-Pierre Lesueur(称为 DarkCoderSc)开发的远程访问木马(称为 RAT),在 2012 年初开始扩散,它用于许多有针对性的攻击,能够通过网络摄像头拍照,通过连接到 PC 的麦克风窃听对话,并获得对受感染机器的完全控制。该 RAT 还以其键盘记录和文件传输功能而闻名,因此,任何远程攻击者都可以将任何文件加载到受感染的机器上,甚至窃取管理员权限、计算机/用户名、语言/国家、操作系统信息、使用的内存、网络摄像头信息、文档等。
发布时间:2022-12-02 19:09 | 阅读:78820 | 评论:0 | 标签:apt 病毒

DarkKomet synaptics 病毒应急响应事件分析

一、准备阶段 1.1 基本情况 DarkComet (暗黑彗星)是由 Jean-Pierre Lesueur(称为 DarkCoderSc)开发的远程访问木马(称为 RAT),在 2012 年初开始扩散,它用于许多有针对性的攻击,能够通过网络摄像头拍照,通过连接到 PC 的麦克风窃听对话,并获得对受感染机器的完全控制。该 RAT 还以其键盘记录和文件传输功能而闻名,因此,任何远程攻击者都可以将任何文件加载到受感染的机器上,甚至窃取管理员权限、计算机/用户名、语言/国家、操作系统信息、使用的内存、网络摄像头信息、文档等。
发布时间:2022-12-02 17:08 | 阅读:82047 | 评论:0 | 标签:DarkComet DarkKomet DarkKomet synaptics Fynloski Krademok 暗黑

DarkKomet synaptics 病毒应急响应事件复盘

一、准备阶段1.1 基本情况DarkComet (暗黑彗星)是由 Jean-Pierre Lesueur(称为 DarkCoderSc)开发的远程访问木马(称为 RAT),在 2012 年初开始扩散,它用于许多有针对性的攻击,能够通过网络摄像头拍照,通过连接到 PC 的麦克风窃听对话,并获得对受感染机器的完全控制。该 RAT 还以其键盘记录和文件传输功能而闻名,因此,任何远程攻击者都可以将任何文件加载到受感染的机器上,甚至窃取管理员权限、计算机/用户名、语言/国家、操作系统信息、使用的内存、网络摄像头信息、文档等。
发布时间:2022-12-02 16:21 | 阅读:60615 | 评论:0 | 标签:apt 病毒

干货 | 记一次DarkKomet synaptics 病毒应急响应事件

一、准备阶段1.1 基本情况DarkComet (暗黑彗星)是由 Jean-Pierre Lesueur(称为 DarkCoderSc)开发的远程访问木马(称为 RAT),在 2012 年初开始扩散,它用于许多有针对性的攻击,能够通过网络摄像头拍照,通过连接到 PC 的麦克风窃听对话,并获得对受感染机器的完全控制。该 RAT 还以其键盘记录和文件传输功能而闻名,因此,任何远程攻击者都可以将任何文件加载到受感染的机器上,甚至窃取管理员权限、计算机/用户名、语言/国家、操作系统信息、使用的内存、网络摄像头信息、文档等。
发布时间:2022-12-02 11:39 | 阅读:69155 | 评论:0 | 标签:apt 病毒

揭秘勒索第6期丨华为3大利器助你防护勒索病毒文件

专家个人简介在上一期文章《华为勒索攻击防御的四层防护网之边界入侵防线》中,我们对勒索攻击常见的入侵方式进行了介绍,入侵是网络攻击的前奏,入侵成功后,攻击者会执行真正的恶意勒索行为。在这个时候,勒索病毒文件就成了主要的攻击载体,这一步也是攻击环节中最重要的一步,攻击者运用开发的勒索病毒文件执行真正的恶意勒索行为,对客户资产造成直接的勒索、破坏。我们可以看到,从2013年起,勒索病毒发展迅速,新的勒索家族不断出现,加密、攻击的手段也在逐步对抗升级。
发布时间:2022-12-02 00:14 | 阅读:76324 | 评论:0 | 标签:勒索 防护 病毒 勒索病毒

十月勒索病毒态势 | 解密"锁得快、偷得快"的LockBit勒索软件

#安全报告 99 个 #勒索病毒态势 1 个 #LockBit 2 个 1概述近日,微步情报局对10月份勒索态势监测发现,自从今年俄乌冲突以来,占据榜首的Conti勒索软件公?
发布时间:2022-11-30 18:23 | 阅读:120001 | 评论:0 | 标签:勒索 态势 解密 病毒 勒索病毒 勒索软件

某比特币勒索病毒分析

面试时拿到的一个勒索病毒样本,结束后整理了一下当时的分析报告来和大家分享一下。该样本比较老,2012年首次在VT上被记录。样本的逆向难度比较简单,没有什么反逆向技术,挺适合新手练手。
发布时间:2022-11-30 17:08 | 阅读:105126 | 评论:0 | 标签:GetLogicalDrives函数 加密算法 勒索病毒 密钥 比特币 逆向 勒索 病毒 分析

Windows64位病毒量大幅上涨 “病毒混淆器”挑战依然严峻

在病毒与安全软件的对抗过程中,“病毒混淆器”一直扮演着重要的角色——为病毒提供外在伪装。实际上,很多病毒的核心特征变化并不大,但依赖不断变化的“病毒混淆器”,就能够轻松产生批量的变形病毒,从而躲避安全软件查杀。根据长期数据统计显示,依赖“病毒混淆器”不断变形的病毒家族样本在2021年进入高速增长期,虽然出现阶段性下降,但总体依然处于上升趋势。与此同时,Win64病毒样本数量也在大幅上涨,2021年全年相较于2020年,Win64病毒样本数量已增长了5倍,且今年单季度样本增速再创历史新高。
发布时间:2022-11-17 11:53 | 阅读:148309 | 评论:0 | 标签:windows 病毒 混淆

积跬步 至千里 | 火绒反病毒引擎“虚拟沙盒”再进阶

#火绒产品动态 46个 据火绒威胁情报系统监测,近几年64位病毒样本数量大有上涨趋势,从2018年至今,64位病毒样本数量已增长了1445%,且今年速度明显加快,如臭名昭著的Emotet病毒、IcedID病毒、Dridex病毒均出现大量64位新变种。火绒安全实验室预测,未来64位病毒数量还会以较快速度逐年递增。2018年-2022年Q3的64位病毒样本量增长趋势由于Win32病毒样本与安全软件对抗的复杂度逐渐增高,以及近年来64位操作系统市场占有率的扩大增长,致使病毒作者开始逐步尝试转向开发基于Win64的恶意代码及病毒混淆器,从而对抗安全厂商的查杀。
发布时间:2022-11-16 21:19 | 阅读:166495 | 评论:0 | 标签:沙盒 病毒

美创科技发布《2022年10月勒索病毒威胁报告》

#勒索病毒威胁报告 17个 勒索软件作为最具破坏性且传播广泛的一种恶意软件,旨在加密目标设备上的文件,阻止目标访问,并索要赎金以换取解密密钥。本月,破坏性勒索事件依旧高发,勒索攻击形势严峻,企业被勒索病毒攻击的事件层出不穷。勒索病毒状况总览2022年10月 01 受害者所在地区分布本月国内遭受勒索病毒攻击的地区分布图如下所示,数字经济发达地区仍是攻击的主要对象,与上个月相比,无较大波动。 02 勒索病毒影响行业分布从行业划分来看,数据价值较高的传统行业、医疗、教育、政府机构遭受攻击较为严重。
发布时间:2022-11-11 11:52 | 阅读:567435 | 评论:0 | 标签:勒索 病毒 勒索病毒

新型勒索病毒Monster正在国内悄然传播!!!

 概        况 近日,美创安全实验室根据勒索病毒威胁情报,观察到Monster勒索病毒的入侵版图不断扩张,在国内已有部分感染!据悉,Monster 勒索软件于 2022 年 7 月初采用 Raas模式在俄罗斯黑客论坛 Ramp 发布。它是一个采用 Delphi 语言编写的跨平台勒索软件,攻击者采用可选命令行参数的方式执行勒索攻击,同时该勒索软件也将图形用户界面(GUI)作为可选的命令行参数(该组织被认为是第一个开发了勒索软件GUI 界面)。
发布时间:2022-11-04 11:35 | 阅读:403856 | 评论:0 | 标签:勒索 病毒 勒索病毒

老不死病毒之独狼篇:带VMP壳的Rootkit分析

熟悉又恶心的首页劫持PART 0101随着互联网的发展,人们的生活逐渐进入流量经济时代,谁有了流量,谁就掌握了创收的法宝,因此各种吸引眼球,导流的方式应运而生。其中当然包括一些引流的黑灰产业链,最普遍的引流方式当属浏览器首页劫持——通过带推广id的首页链接,赚取推广费用:(某导航网站带推广id的页面截图)02为了赚取这部分推广费用,各种“流氓软件”可谓各显神通无所不用其极。近期奇安信病毒响应中心连续收到多例用户反馈,其涉及到的样本采取了内核Rookit的方式,且为了逃避检测使用了VMP这种强力的壳保护程序锁定首页逻辑。
发布时间:2022-11-03 21:02 | 阅读:259779 | 评论:0 | 标签:病毒 分析

如何从零写一个病毒专杀工具

0x00 前言最近有这样一个需求,需要对某病毒写一个专杀工具,针对这款病毒进行查杀。这个病毒样本是今年2月份发现的,该病毒相对来说比较友好,没有采用加密,也没有删除原文件,也没有网络传播行为。只是会感染可执行文件,会将原文件修改名字,生成一个与原文件同名的感染文件,运行后可继续感染其他文件。接下来首先从非专业的角度来简单看一下该病毒是如何运行的。0x01 病毒分析运行病毒文件,一旦找到可感染的可执行文件,病毒会将其复制为 g<原始文件名>.exe,并将其隐藏。
发布时间:2022-10-28 15:12 | 阅读:142481 | 评论:0 | 标签:病毒

病毒分析系列3 | 初步动态分析工具使用

前言接上篇。使用动态分析工具对病毒进行初步分析,可以确定和获取到病毒的相关操作。(文末有这个系列需要的工具包下载链接)Process Explorer使用在进程右键 →查看属性,可以获得关于该进程的信息,如TCP/IP流量信息:捕获异常流量,线程模块:看线程是否异常等。Process Monitor使用Process Monitor 提供了一种方式来监控注册、文件系统、网 络、进程、线程行为,可以获取和监视很多数据。换言之,可以直观看到一个程序执行了什么操作。
发布时间:2022-10-16 20:17 | 阅读:255696 | 评论:0 | 标签:病毒 分析

病毒分析系列2 | 使用PE工具进行初步静态分析

前言接上篇(点击文字即可查看上篇内容)。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行
发布时间:2022-10-13 20:47 | 阅读:267392 | 评论:0 | 标签:病毒 分析

基于容器集群的反病毒模型

摘要近年来,在容器技术流行的同时,基于容器的系统也面临更多安全挑战。传统虚拟机采用反病毒软件来最大限度减少恶意软件造成的损害。然而在容器环境,目前的反病毒技术面临着业务容器耦合度高、静态资源消耗浪费的问题。为解决这些问题,提出了基于容器集群的非侵入式反病毒模型。此模型采用恶意分析、策略分离机制,实现多容器共享恶意分析服务;模型中的容器采用边车挂载策略管理模块,将业务容器和策略管理解耦;此外该模型可以进行动态行为监测,发现恶意特征,实时通知容器集群。
发布时间:2022-10-08 17:47 | 阅读:122537 | 评论:0 | 标签:病毒 容器

实战某高校的一次挖矿病毒的应急处置

0x00 缘起 在风和日丽的周五,我抱着今天搬完砖明天葛优躺的心态开开心心、快快乐乐的工作,没成想刚接到一通电话,电话的那边传来周六需要加班的噩耗,直接打破了周六的葛优躺计划,我周六加班的悲剧故事就此展开。 0x01 信息收集 因为检测和处置的时间安排了明天,在这个时间里可以收集一下信息,这里给大家一个自己总结的信息收集表。 每个项目的信息收集都不是唯一的,需要看项目的需求和背景结合自身经验进行必要的信息收集。 接下来,展示本次信息收集出来的结果。 对于这次信息收集我就很服,看来只能明天到现场再去看了。
发布时间:2022-09-26 19:26 | 阅读:368604 | 评论:0 | 标签:内网渗透 443 80 DTStealer蠕虫病毒 信息收集 内网横向 挖矿病毒 访问矿池 病毒 高校

LockBit勒索病毒生成器被泄露

安全分析与研究专注于全球恶意软件的分析与研究前言 近日,国外某人在社交媒体论坛上宣称,自己的团队入侵了LockBit勒索病毒的服务器,并找到了LockBit Black(3.0)勒索病毒的生成器。
发布时间:2022-09-22 11:37 | 阅读:207883 | 评论:0 | 标签:泄露 勒索 病毒 勒索病毒

“暗黑天使”降临:DarkAngels勒索病毒全揭秘

恶意家族名称: DarkAngels 威胁类型: 勒索病毒 简单描述: 近期捕获了一款新的 ELF 格式的勒索软件,它根据给定的文件夹路径加密 Linux 系统内的文件,该勒索软件与 DarkAngels 勒索软件勒索说明文档完全一致。而DarkAngels 勒索软件于 2021 年 5 月首次被发现,主要攻击 Windows 系统。 恶意文件分析 1.恶意文件描述 近期,深信服深盾终端实验室在运营工作中发现了一种 ELF 格式的勒索软件,该勒索软件近期开始出现,其释放的勒索信中的 Onion 链接似乎已关闭,这表明该勒索软件可能仍在开发中。
发布时间:2022-09-21 16:30 | 阅读:175175 | 评论:0 | 标签:Babuk 勒索软件 DarkAngels Linux 勒索病毒 暗黑天使 勒索 病毒

日本上半年“勒索病毒”受害114起,同比增加8成

随着 AI 翻译工具的进步,曾经因为语言问题而很少受到攻击的地区如日本开始成为勒索软件黑帮的攻击目标。日本警察厅的数据显示,2022 年上半年接到 30 个都道府县共 114 起报告,较上年同期 61 起增加 87%,其中中小企业为 59 起,大企业为 36 起,团体等为 19 起。从行业来看,制造业与服务业居多,但各种规模和行业的企业均有遭受损失的情况。对受害企业等实施的问卷调查显示,调查与恢复费用总额达到 1000 万日元以上的占到 55%。在受害数据留有备份的 48 起中,至少 36 起无法恢复。
发布时间:2022-09-20 12:37 | 阅读:122706 | 评论:0 | 标签:勒索 病毒 勒索病毒

模拟游戏《电脑病毒模拟器》上架 Steam,可安全地体验感染

IT之家 9 月 12 日消息,一款名为《Computer Virus Simulator(电脑病毒模拟器)》的游戏上架了 Steam 商城,发售时间未知,不支持中文。根据介绍,《电脑病毒模拟器》是一款电脑病毒模拟游戏。玩家可以安全地体验模拟计算机病毒,以及各种恶意软件。该游戏可以安全地体验真正的计算机病毒感染,几乎拥有在真正的计算机病毒中可以找到的所有内容:大量错误对话框、错误标记、警告音和哔哔声。该游戏提供了大量的计算机病毒,玩家也可以自由地为游戏创建自己的计算机病毒,或体验其他玩家创建的病毒。IT之家小伙伴可以点此查看 Steam 页面。
发布时间:2022-09-12 14:31 | 阅读:157209 | 评论:0 | 标签:安全 病毒

2022年8月勒索病毒态势分析

 0x01   简述勒索软件传播至今,360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑 针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。
发布时间:2022-09-09 18:27 | 阅读:643189 | 评论:0 | 标签:勒索 态势 病毒 分析 勒索病毒

黑产对抗监测:会自动“繁殖”的寄生虫病毒,致万余网站遭受攻击

以下文章来源于网络安全研究宅基地 ,作者零壹实验室 网络安全研究宅基地 . 一群技术宅 序言     安恒信息中央研究院零壹实验室持续监测暗链植入事件,针对一种被称为“寄生虫”并以脚本文件形式存在的病毒文件进行了分析,与DLL病毒不同(详见《黑产对抗监测:全局暗链植入!对IIS劫持进行暗链植入的病毒样本分析》),寄生虫病毒虽无法进行全局劫持,但其具备的自我繁殖特性却能自动地在短时间内为黑灰产劫持到大量流量,更为严重的是,它意味着网站已经被攻陷,沦为了黑灰产的肉鸡,病毒中携带的后门可以让黑灰产在失陷的主机上肆意妄为,对网络空间造成极大的威胁。
发布时间:2022-09-08 11:47 | 阅读:176669 | 评论:0 | 标签:攻击 自动 病毒 黑产

Windows勒索病毒应急思路及常见问题

以下文章来源于微步在线应急响应团队 ,作者Phobos 微步在线应急响应团队 . 探究和还原事件的本质,您身边坚定的安全守护者! 听说了吗?某某企业被勒索了、员工没办法开机办公,甚至还有某某行业巨头被勒索了,赎金高达成百上千万!时不时,网上就会有这样一些消息被披露出来,被勒索的企业覆盖医疗、制造等行业居多,不乏行业巨头。当然,被勒索企业的入侵手法不尽相同。作为一个常年处在一线的应急响应工程师,日常看到很多应对勒索病毒入侵事件的真实场景,普遍都相对被动,不知所措,每次都觉得非常可惜。本文更偏向一个科普性的文章,是一些常见的Windows勒索病毒应急思路和常见问题的梳理。
发布时间:2022-09-07 17:40 | 阅读:385566 | 评论:0 | 标签:勒索 windows 病毒 勒索病毒

干货 | 2022最全宏病毒文件制作与防范指南

#病毒 1 个 #宏文档木马 1 个 #红队攻防 7 个 一、前言什么是宏?宏语言是一种特殊用途的命令语言, 在各个场景的形式不同,但是目的 都是通过自动化特定应用程序中的 某些序列,减少人工的重复操作。给使用者提供方便,提高效率  文档宏游戏宏什么是宏病毒?宏病毒,即VBA语言嵌入在WORD模板中的病毒,一般为伪装为具有诱导力的文件名引诱受害者打开,并执行内置的宏脚本。
发布时间:2022-09-07 14:44 | 阅读:218475 | 评论:0 | 标签:病毒

警惕!SharkBot Android银行木马假冒防病毒和清洁应用

臭名昭著的Android 银行木马SharkBot再次冒头,这次其伪装成防病毒和清洁应用程序出现在Google Play 商店。据了解,有问题的应用程序 Mister Phone Cleaner 和 Kylhavy Mobile Security被下载了60000+次,主要针对的是西班牙、澳大利亚、波兰、德国、美国和奥地利的用户。安全团队分析称,这个新的dropper不依赖 Accessibility 权限来自动执行dropper Sharkbot 恶意软件的安装,该版本要求受害者安装恶意软件作为防病毒软件的虚假更新,以保持免受威胁。
发布时间:2022-09-06 14:52 | 阅读:632159 | 评论:0 | 标签:Android android 病毒 木马 银行

虚假防病毒和清洁应用程序安装 SharkBot Android 银行木马

Hackernews 编译,转载请注明出处: 臭名昭著的Android银行木马SharkBot,再次伪装成防病毒和清洁应用程序出现在Google Play商店中。 NCC集团的Fox IT在一份报告中说:“这种新的dropper不依赖于可访问权限自动执行dropper Sharkbot恶意软件的安装。相反,新版本要求受害者安装恶意软件作为防病毒软件的虚假更新,以防止受到威胁。” 存在问题的应用程序Mister Phone Cleaner和Kylhavy Mobile Security,总共被安装了6万多次,主要针对西班牙、澳大利亚、波兰、德国、美国和奥地利的用户。
发布时间:2022-09-05 17:47 | 阅读:642013 | 评论:0 | 标签:安全快讯 网络安全 SharkBot Android android 病毒 木马 银行

智利政府Windows、Linux服务器遭新型勒索病毒攻击

智利国家计算机安全和事件响应小组 (CSIRT) 发布消息称,勒索软件攻击影响了该国政府机构的运营和在线服务。据悉,智利国家政府机构运营的Microsoft 和 VMware ESXi 服务器,在上周突遭勒索软件攻击,不法黑客停止了所有正在运行的虚拟机,并以“.crypt”的文件扩展名加密了文件数据。智利 CSIRT 称,这次攻击中使用的恶意软件还具有从 Web 浏览器窃取凭据、列出可移动设备进行加密以及使用执行超时逃避防病毒检测的功能。为了获得赎金,不法黑客向智利 CSIRT 提供了一个沟通渠道,协商支付赎金,防止文件泄露并解锁加密数据。
发布时间:2022-09-02 17:40 | 阅读:154934 | 评论:0 | 标签:linux 攻击 勒索 windows 病毒 勒索病毒

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎营运续持们我助帮↓

标签云 ☁