背景概述
Sekhmet勒索病毒于今年三月份出现,已有一家跨境IT服务公司的数据被该勒索病毒团伙在博客上公布了近百G的数据。
攻击者采用先窃取再加密的方式实施勒索行为。该勒索病毒和“大名鼎鼎”的Sodinokibi勒索病毒一样使用了随机加密后缀。勒索提示文档告知受害者若三天内不缴纳赎金,攻击者将在其搭建的网站上公布受害者的机密信息。
Sekhmet勒索病毒暂无公开解密方式。
概述
Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播,而且,同一个病毒家族所使用的的恶意脚本往往具有极高相似性,新变种的脚本大部分是在旧变种脚本的基础上进行修改,新增或替换部分关键恶意代码,同时,不同家族之间的恶意脚本也可能出现代码互相借鉴,部分重合的情况。
该如何揭示病毒家族中恶意脚本之间的关系呢?接下来,我们就通过手工搭建一个简易的恶意脚本分析系统,来实现对恶意脚本之间关系的研究。
系统功能
系统的功能如下,主要为3个:
[1] 使用yara检测脚本对应的病毒家族。
[2] 计算脚本与样本库中每个样本的相似度。
这是 酒仙桥六号部队 的第 11 篇文章。
全文共计2216个字,预计阅读时长8分钟。
背景
话说平时部门里面的老哥们一个个都不声不响的,开了公众号后才发现一个个都是人才,说话还好听,呜呼~~
小弟不才,简单讲解下我会的一项小技能,希望能帮到阅读文章的师傅们。
观前提示:
无相关基础的老哥看到winhex自动数据恢复,基本就满足大部分需要了。后面可能有点难理解,只会增加一些奇怪的知识。
有一定基础的老哥可以尝试手工恢复,好久之前学习到的技能了,写的不好希望大佬们轻喷(嘤嘤嘤)。
一、漏洞概要
2020年8月12日(北京时间),微软发布2020年8月份安全更新,共发布了120个CVE的补丁程序,涵盖了Internet Explorer(IE)、Office、Microsoft Edge、Windows Media等众多组件和软件。
在漏洞安全等级方面,有17个被微软官方标记为“Critical”,103个被标记为“Important”。
在漏洞类型方面,有33个远程代码执行漏洞,3个拒绝服务漏洞,60个权限提升漏洞以及15个信息泄露漏洞。
0x0概述
近年来,老式勒索病毒依旧活跃,而新型勒索病毒花样百出,深信服安全云脑就捕获到一款具有“地方特色”的勒索病毒,其加密后缀为.beijing。
该病毒会加密指定后缀文件,在系统盘加密用户目录下的文件,并生成勒索提示文档(!RECOVER.txt),要求用户通过邮箱联系黑客,使用比特币支付赎金来解密个人文件。
1. 什么是 UAC
用户帐户控制 (UAC) 是 Windows Vista 和 Windows Server 2008 开始引入的一种访问控制功能。借助 UAC,应用和任务将始终在非管理员帐户的安全上下文中运行,除非管理员专门授予管理员级别的访问系统权限。 UAC 可阻止自动安装未经授权的应用并防止意外更改系统设置。
我们在运行非微软官方的软件时,即使我们的账号是属于本地管理员组的,也会以普通用户的权限来运行软件。
7月23日,导航设备和智能设备制造商Garmin遭受了大规模的服务中断,随后官方确认受到了网络攻击。截至7月29日,受影响的线上服务还未完全恢复。研究人员分析后发现,攻击者使用了一个木马WastedLocker,本文对该木马进行技术分析。
命令行参数
研究人员分析发现WastedLocker使用了命令行接口,可以处理多个控制运行方式的参数。
-p <directory-path>
优先处理:木马首先会加密指定的目录,然后将其加入到排除的列表中来避免再次二次处理,然后加密设备上剩余的其他目录。
2020年7月29日,Eclypsium研究人员在GRUB2引导程序中发现了一个漏洞并将其命名为“BootHole”(CVE-2020-10713),利用该漏洞可在启动进程中执行任意代码。攻击者可利用该漏洞安装持久且隐秘的bootkit或恶意引导程序来控制设备。目前绝大多数linux发行版系统受影响。深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。
GRUB2介绍
GRUB2全称GRand Unified Bootloader 2,统一引导加载程序,是来自GNU项目的操作系统启动程序。用于加载操作系统内核,然后将控制权转移到该内核。
1 OpenSSH介绍
OpenSSH是用于使用SSH协议进行远程登录的一个开源实现。通过对交互的流量进行加密防止窃听,连接劫持以及其他攻击。OpenSSH由OpenBSD项目的一些开发人员开发, 并以BSD样式的许可证提供,且已被集成到许多商业产品中。
2 漏洞描述
研究人员Chinmay Pandya在openssh的scp组件中发现了一个命令注入漏洞。OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。
2.1 scp命令简介
scp 是 secure copy 的缩写。
1. Metasploit (免费)
2. Wifiphisher(免费)
1. John the Ripper (免费)
2. THC Hydra (免费)
3. Aircrack (免费)
1. Nmap (免费?
漏洞概要
2020年7月15日(北京时间),微软发布2020年7月份安全更新,共发布了123个CVE的补丁程序,涵盖了DNS、RDP Client、Internet Explorer(IE)、Office、Microsoft Edge等众多组件和软件。
在漏洞安全等级方面,有20个被微软官方标记为“Critical”,103个被标记为“Importent”;在漏洞类型方面,有32个远程代码执行漏洞,2个拒绝服务漏洞,64个权限提升漏洞以及18个信息泄露漏洞。
近期,深信服安全团队捕获到DDG挖矿木马最新变种5028,较之前的变种5023,新版本的DDG挖矿木马更新了C&C地址及挖矿地址,同时已弃用传统的i.sh驻留方式。经深信服云脑数据反馈,该木马在短短一个月时间已有大量拦截数据,且每日攻击次数还呈递增的趋势。
0x0 威胁数据
根据云脑数据显示,截止2020年6月20号,全网已监测到近大量来自DDG v5028变种的流量攻击。
攻击数据拦截地区的分布大致如下,其中天津和北京的拦截数据量最大。
0x1 版本简介
自2020年开始,DDG已开始启用v5版本号,从以往的Memberlist开源P2P通信方式改为了自研的P2P通信方式。
近日,深信服安全团队发现一款合法的磁盘加密软件BestCrypt Volume Encryption被黑客利用作为勒索工具。黑客通过RDP暴破等方式远程登录目标服务器后,人工运行BestCrypt Volume Encryption进行勒索加密。由于用于加密的是正规软件而非病毒,通过文件查杀的方式通常无法防御。
现象描述
深信服安全团队近日收到一起特殊的勒索求助。
0x0 背景介绍
随着疫情的缓解,各地企业纷纷复工,而勒索病毒家族也并没有停下他们的脚步。近期深信服安全团队就收到多个地区关于用户主机遭受大面积.**H勒索病毒入侵的求助,经过安全团队分析,确认为GlobeImposter勒索病毒家族的最新变种。
GlobeImposter家族首次出现的时间为2017年5月,随后在2018与2019年出现不同系列的变种,如:以特征字符“.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444”等的“十二生肖”系列,与以“希腊十二主神 + 666”为特征的“十二主神”系列等。
0x0 背景介绍
近日,深信服安全团队排查定位到一款伪装为Windows系统帮助文件的远控木马,攻击者通过远控木马下发挖矿程序到被害主机,占用主机资源进行挖矿。
在互联网上,每天都有网站遭受黑客攻击,用户数据被窃取,这些数据通常包含用户名、密码(加密字段,甚至可能是明文)、电子邮件地址、IP地址等,用户的隐私安全将受到极大的威胁。
今天给大家推荐几个工具网站,检测一下你的用户名、密码、电子邮箱地址是否已被泄漏?
1、Google密码管理器
登录Google账号,访问如下链接进行密码安全检查,即可知道你保存在 Google 帐号中的密码是否安全,了解这些密码是否已外泄、安全系数如何以及您是否重复使用了某些密码。
在工具化日益成熟的今天,手工注入的能力越来越被忽视了。当你掌握了一款工具的使用时,应更深入的去了解工具帮你做了什么,把工具所产生的影响控制在自己可控的范围内。
比如:当面对一个MySQL注入点,通过使用SQLmap的--os-shell命令选项,便可轻松一键获取Webshell,但是非正常退出时,便会在网站目录中存留SQLmap临时上传的Webshell文件。
自2020年开始,深信服安全团队监测到Linux恶意软件挖矿事件大量增多,且有持续上升的趋势。
与Windows下五花八门的勒索病毒家族不同,Linux下感染量较大的恶意软件就几个家族。但这几个家族占据了全球大部分的感染主机,几乎呈现出垄断的趋势。
本文将介绍Linux环境下7个较常见的流行恶意软件家族,以及其对应的清除步骤。
常见的流行病毒家族
BillGates
BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装。
上一篇文章分了一下ARM系统的路由器漏洞,本次打算尝试一下MIPS系统,于是选了最近DLink路由器的漏洞CVE-2019-17621作为目标。同样一路走来各种踩坑不断,“纸上得来终觉浅,绝知此事要躬行”,对整个过程做一下梳理。
1、环境搭建
运行环境安装配置之前须了解你所使用的Linux系统的版本以及Qemu的版本,因为这直接影响着你后续选择安装各种依赖包、mips qemu镜像等的版本,各种版本都对应上,最终系统才能正确运行。
一、前言 在攻击者利用漏洞获取到某台机器的控制权限之后,会考虑将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。本文从Windows持久化,Linux持久化和Web持久化对现有技术进行了总结,对于持久化的攻击形式,主要是靠edr、av等终端产品进行检测。 二、Windows后门 2.1辅助功能镜像劫持 为了使电脑更易于使用和访问,Windows 添加了一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征,一些恶意软件无需登录到系统,通过远程桌面协议就可以执行恶意代码。
概述 近日,奇安信病毒响应中心在日常样本监控过程中发现境外黑客团伙以国内某银行的名义向相关单位发送钓鱼邮件诱导收件人打开附件,从而运行恶意程序,导致单位信息、机密文件被窃取。 样本使用目前流行的混淆器,在执行过程中多次内存加载,最终运行NanoCore远控,连接远程服务器上传敏感数据。 通过奇安信大数据平台监测,已有国内相关单位中招,为防止威胁进一步扩散,病毒响应中心负责任地对相关样本进行披露和分析。 邮件分析 其发件人高仿中航船舶的邮件系统(@avicships.com),而中航船舶真实的邮箱地址为@avicship.com,差一个”s”,非常具有迷惑性。
发布时间:
2020-03-17 10:13 |
阅读:65196 | 评论:0 |
标签:
系统安全 邮件 钓鱼 黑产 攻击
概述
2月初,奇安信病毒响应中心在日常样本监控过程中发现了一款名为“RobbinHood”的勒索软件通过使用“另类”的方式关闭并删除杀软,经分析,在执行过程中会释放并加载带有漏洞的技嘉驱动程序,之后会对该驱动程序进行漏洞利用,关闭Windows DSE机制,一旦利用成功便会迅速加载没有签名的Rootkit,Rootkit主要功能为结束并删除指定的进程和杀软,上述操作完成后开始加密。
文档信息 编号 QiAnXinTI-SV-2020-0008 关键字 SMB CVE-2020-0796 发布日期 2020年03月11日 更新日期 2020年03月12日 TLP WHITE 分析团队 奇安信威胁情报中心 通告背景 2020年3月11日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为Critical的SMB服务远程代码执行漏洞(CVE-2020-0796),攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。
概述 gMSA,英文全称为“Group Managed Service Accounts”,即活动目录AD中的组托管服务账户。gMSA账户会将它们的密码存储在一个名叫“msDS-ManagedPassword”的LDAP属性中,DC每隔三十天就会自动对这个值进行重置,授权管理员以及安装它们的服务器都可以检索到这些密码。msDS-ManagedPassword是一个加密的数据块,名为“MSDS-MANAGEDPASSWORD_BLOB”,并且只有当连接是安全的时候(LDAPS或认证类型为‘Sealing&Secure’)才可以被检索到。
在这篇文章中,我们将教大家如何利用Windows系统中的一个功能来绕过Windows 10的用户组策略。虽然绕过用户组策略并不意味着就是“世界末日”了,但是这毕竟是一种违规的危险操作,而且根据不同的用户组策略配置,这种绕过行为也会产生不同的安全后果。目前,我们已在Windows 7和Windows 10 64位企业版(10.18363 1909)中进行了测试,而且利用过程不需要管理员权限。这种技术跟系统在用户登录时对用户账号注册表的加载过程有关,因此我们首先需要了解Windows账号的登录过程。
一、报告核心观点 2020年2月份,SANS如期公布了《2020 SANS Cyber Threat Intelligence(CTI) Survey》,报告中首先强调了一下CTI的定义:网空威胁情报(CTI)是分析关于满足利益相关方特定需求的对手的能力、机会和意图的信息。组织利用网空威胁情报项目来聚焦于他们所面临的威胁,并提供具体的信息来帮助组织抵御这些威胁。 2020年的这篇报告受访组织数高达1006,几乎是2019年受访者的2倍。相比2019年,在2020年的调查报告中SANS听到了受访者们更多成熟的回答。
写在前面的话
在这篇文章中,我们将演示如何利用Frida脚本来绕过Android的网络安全配置,这是一种绕过网络安全配置的新技术。除此之外,我们还将演示如何在其他场景来测试该脚本,并分析脚本的运行机制。
在之前的一次Android应用程序安全审计过程中,首先我们要做的就是准备渗透测试的环境,并配置应用程序来绕过网络安全配置。由于我个人比较喜欢Frida,因此它也就成为了我的首选工具。
当时我下载了两到三个脚本,但是当我在Android 7.1.0中运行脚本时,没有一个可以成功的。这也就是为什么我想研究网络安全配置的运行机制,并且如何用Frida绕过它们。