记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

密室内的枪声!“双枪2”感染过程实录

前言去年7月,360安全中心曾率先曝光国内首例连环感染MBR(磁盘主引导记录)和VBR(卷引导记录)的顽固木马——“双枪”。今年3月初,360安全中心发现“双枪”新变种开始出没,并从其感染行为入手,进行了一次全面分析。与此前爆发的“双枪”木马类似,“双枪2”是以篡改电脑主页为目的,其感染迹象是浏览器主页被篡改为带有“33845”编号的网址导航站。同样地,“双枪2”使用了VBR、MBR驱动进行相互保护,查杀难度碾压“鬼影”“暗云”等顽固木马创新高。与此前不同的是,新变种“双枪2” 主要通过下载站进行传播,它增加了与杀软的对抗策略,会拦截杀软文件创建;同时,还会通过锁定系统注册表HIVE文件,导致正常的服务项无法写入,犹如
发布时间:2018-04-09 00:20 | 阅读:110376 | 评论:0 | 标签:事件 技术 系统安全 木马 病毒分析

Android逆向与病毒分析

本文由同程旅游安全团队对内移动安全培训的PPT整理而来,面向对象为对移动安全感兴趣的研发同事,所以讲的有些宽泛。介绍了入门Android逆向需要掌握的一些知识点, 通过简单的几个案例讲解Android app常用的分析和破解手段, 讲解Android上常见的反调试和对抗逆向的手段,并通过修改系统源码来实现反反调试。 介绍一下常见的病毒特征和预防手段, 最后讲解一些关于Android SubStrate Hook相关的内容。文章最后留了一个CrackMe,据说解出之后会有神奇的事情发生。 0x0 什么是逆向 逆向工程(又称逆向技术),是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出该产品的处理流程、组织结构、功能特性及技术规格等设计要素,以制作出功能相近,但又不完全一样的产品。逆向工
发布时间:2016-12-07 16:15 | 阅读:161762 | 评论:0 | 标签:终端安全 Android 病毒分析 逆向

某僵尸网络被控端恶意样本分析

by 360信息安全部-王阳东(云安全研究员)   0x0. 引子 近期, 部署于360云平台( https://cloud.360.cn )的”360天眼威胁感知系统”发现系统告警某合作伙伴刚开通的云主机存在异常流量,联合排查后发现有恶意攻击者利用redis crackit漏洞入侵服务器并种植了名为unama的恶意程序。 360云安全研究员 –“王阳东”对此恶意程序进行较为深入的分析,此样本可能是billgates僵尸网络的一个变种。 0x1. billgates后门简介 billgates是一个近几年非常活跃的DDoS僵尸网络,此程序组成的僵尸网络遍及世界。网络中bot节点多是一些存在弱口令或软件漏洞的linux主机,攻击者利用ssh爆破、exploit、1day、2day等方式对大量
发布时间:2016-01-06 03:05 | 阅读:109542 | 评论:0 | 标签:病毒分析

新暗云木马分析

近期360安全中心收到大量网友反馈,浏览器主页被改为  ur99.com、zf12.com、m162.com等可疑网址,或者是CPU占用莫名奇妙的高,尤其是svchost.exe消耗大量系统资源。 我们联系求助网友,跟踪样本来源发现,这些现象是一个最新的暗云木马变种作祟。该木马变种使用了多种技术对抗杀毒软件,并在关机时反复写入MBR(主引导记录),原始样本为注入svchost的一个系统服务。以下为详细分析: 木马分析 一、新暗云木马以服务方式启动,注入svchost.exe 在关机过程逃避杀毒软件的拦截写入MBR,木马样本如下: 启动服务为 GPWGames  WebGame  相关字串为 二、关机写入MBR后,该样本支持运行目前所有主流 32位和64位系统。 使用了两次挂钩加载木马代码,第一次挂钩系统的Z
发布时间:2015-07-13 21:45 | 阅读:85093 | 评论:0 | 标签:病毒分析

祸起萧墙:由播放器引爆的全国性大规模挂马分析

事件起因 从5月底开始,360云安全系统监测到一个名为“中国插件联盟”的下载者木马感染量暴涨。令人匪夷所思的是,该木马的下载通道竟然是多款用户量上千万甚至过亿的播放器客户端。 起初,我们怀疑这些播放器的升级文件被木马进行了网络劫持。通过对木马下载重灾区搜狐影音的分析,我们发现搜狐影音对网络下载的运行代码做了完整性校验,但并没有对安全性做校验,比如签名信息等,确实可以被劫持升级种木马。不过从数据分析显示,这一波利用播放器下载的木马分布在全国不同地域、不同运营商,基本可以排除网络劫持的可能性。 真正的问题出在哪里呢?我们在网友反馈中找到“中国插件联盟”的受害者,联系受害者在真实环境中查找线索,力图从源头上遏制该木马的传播,而不仅仅是查杀掉木马。对受害用户调查显示,中招电脑上的搜狐影音通过官方渠道安装,本身没有捆绑木
发布时间:2015-06-26 23:40 | 阅读:76471 | 评论:0 | 标签:病毒分析 挂马

不猜!叔叔,我们不猜!

近日,360安全卫士反病毒组捕获到了一个网购木马的样本,在其伪造的购物页面中,看到了木马作者在页面中的用户名:“SB你猜”…… 遇到这样的质问……我也只能说:“不猜!叔叔,我们不猜!” Faking… 其实说木马是网购木马并不十分准确,木马的主体只是一个下载器(Downloader)。而且程序会判断自己的文件名,除非是“9 刷单要求.exe”,否则就会展示出一副人畜无害的样子,企图用这种方式骗过安全人员。 但一旦文件名正确,木马就真的“转”起来了…… Running… 木马程序加了NSPack的压缩壳——当然,这并没有什么卵用……简单就能解开。 木马会将自身复制到制定的目录下,目录名称好嚣张的样子……(╯`□′)╯(┻━┻ 同时还会创建一个指向木马的快捷方式,复制到系统的“启
发布时间:2015-06-23 23:10 | 阅读:101179 | 评论:0 | 标签:病毒分析

移花接木大法:新型“白利用”华晨远控木马分析

“白利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“白利用”木马是通过系统文件rundll32.exe启动一个木马dll文件,之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。 随着安全软件对“白利用”的防御机制日益完善,木马也在花样翻新。近期,360QVM引擎团队发现“华晨同步专家”远控木马家族采用了比较另类的“白利用”技术:该木马利用白文件加载dll文件后,再次启动白文件并卸载白进程内存空间,然后重新填充病毒代码执行。 这种“移花接木”的手法,使得病毒代码均通过白进程主模块执行,能够绕过多数安全软件的主动防御规则,具有较强的存活能力。以下是对此木马详细的技术分析: 木马分析 该木马伪装成“美女图片”通过社交软件、电子邮件等方式传播,一旦中招,电脑将被黑客发送指令执行摄像头监控、屏幕
发布时间:2015-05-28 00:30 | 阅读:118192 | 评论:0 | 标签:病毒分析 主动防御 华晨 白利用 远控

CTB-LOCKER分析报告

摘     要 CTB-Locker是“比特币敲诈者”系列病毒的一个家族,2015年初传入国内,4-5月呈高发趋势。此病毒主要来自英文邮件附件,如果用户不慎运行,系统中的文档、图片、数据库等重要资料会被病毒高强度加密。 病毒在用户桌面显示勒索信息,要求受害者向病毒作者限期支付一定数目的比特币赎金才能够解密还原文件内容,否则电子数据就会被销毁。 为了防止自身被定位到,获取密钥的过程在Tor网络中进行,由于该网络和比特币交易都是匿名的,病毒作者难以被追踪到。 病毒删除文件卷影副本,数据恢复的希望非常渺茫。 病毒解密需要联网通过ECDH协商产生密钥,在没有密钥的情况下,数据无法还原。 值得关注的是,近期在国外暗网出现了CTB-Locker病毒的“傻瓜化”生成工具,利用该工具,只要简单三步就可以制作出病毒,病毒作者
发布时间:2015-05-28 00:30 | 阅读:96712 | 评论:0 | 标签:病毒分析 CTB-Locker 免疫工具 文档图片防护 比特币敲诈者 比特币病毒

云控攻击之“人生在世”木马分析

摘要   近期一款名为“人生在世”的木马家族异常活跃,它隐藏在“小马激活”、“种子搜索神器迅雷云播版”、“宝宝CF刷枪软件”、“游戏启动器”等软件中,具有较强的免杀能力和大规模传播能力,目前国内仅360安全卫士能够识别查杀该木马家族。 “人生在世”木马的主要特点是纯shellcode类云端控制,木马的云控代码藏在几张美女图片中,图片和代码以“人生在世”这四个字作为“接头暗号”。 此外,该木马组装了“贝壳ARP防火墙”和“ADSafe”的两个程序,通过白利用方式(针对合法软件的DLL劫持)加载木马执行,并采用文件回写、驱动保护、远程注入等多个方式隐藏自身。木马激活后会接受云端控制,向受害者电脑安装大量软件赚取推广费,还会收集受害者信息,从而进一步推送更多恶意程序。   木马分析  
发布时间:2015-05-22 17:00 | 阅读:75493 | 评论:0 | 标签:病毒分析 云控木马 流氓推广

首次现身中国的CTB-Locker“比特币敲诈者”病毒分析

昨天开始,国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密,同时提示受害者在96小时内支付8比特币(约1万元人民币)赎金,否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国,受害者大多是企业高管等商务人士。 这是国内首次出现敲诈比特币的病毒攻击,该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点,对一些具有海外业务的企业造成恶劣影响。360QVM团队第一时间对该病毒进行了深入分析。 摘要 CTB-Locker病毒通过邮件附件传播,如果用户不小心运行,用户系统中的文档、照片等114种文件会被病毒加密。病毒在用户桌面显示勒索信息,要求向病毒作者支付8比特币赎金才能够解密还原文件内容。 由于获取赎金支付信息
发布时间:2015-01-21 16:05 | 阅读:114832 | 评论:0 | 标签:病毒分析

北京诚盟微点信息技术有限公司招聘

工作地点:北京逆向病毒分析师岗位职责:1、鉴定和分析病毒样本2、探索病毒自动识别技术3、针对病毒提供防御、查杀解决方案4、反病毒新技术研究任职要求:1,熟悉x86系列汇编语言,能熟练读懂汇编代码2,能熟练使用IDA、OD等工具进行反汇编3,对木马病毒的行为有深入了解4,熟练使用wireshark渗透测试工程师任职要求:1,熟悉攻防技术以及安全漏洞原理,对sql注入,旁注,上传等常用手法精通2,熟悉服务器的安全检查薪资:视能力4k-15k有意者可以联系QQ:42187792
发布时间:2013-03-13 15:45 | 阅读:87355 | 评论:0 | 标签:招聘 安全招聘 工作 病毒分析

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云