记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

伏影实验室:一次定向攻击事件快速分析

文章目录一、事件综述二、诱饵阶段2.1 wwlib.dll(downloader)2.2 rpc(shellcode)2.3 Cobalt Strike Beacon(RAT Trojan)2.4 攻击者分析阅读: 11一、事件综述在9月12日绿盟科技捕获了一起针对某公司的定向钓鱼攻击事件。伏影实验室研究员对此次事件中涉及的钓鱼样本进行了详细分析。攻击样本使用VMP对木马下载器进行加壳处理,极大的提升了分析难度,通过流量还原的方法,成功获取了其攻击payload,完成了对木马功能的完整分析。
发布时间:2020-09-14 00:37 | 阅读:7981 | 评论:0 | 标签:研究调研 Cobalt Strike RAT 海莲花 钓鱼邮件 攻击

调查:电子邮件账户劫持成为一门大生意

93%的被劫持电子邮件账户并未被立刻用于发送钓鱼电子邮件,而是被作为“商品”交易。梭子鱼近日发布了有关网络罪犯攻击和利用电子邮件账户方式的报告,揭示了围绕电子邮件账户接管而兴起的“专业经济”,并深入研究了组织面临的威胁以及需要采取的防御策略的类型。报告重点发现:· 研究人员分析的被盗账户中,有超过三分之一的攻击者在该账户中驻留了至少一个多星期。· 在一次密码数据泄露事件中至少20%的被劫持电子邮件账户被暴露,这表明网络罪犯正在利用员工个人和组织账户中的凭据。· 在31%的此类攻击中,一组攻击者专注于入侵账户,然后将账户访问权出售给另一组专注于通过被劫持账户获利的网络犯罪分子。
发布时间:2020-07-28 15:24 | 阅读:8276 | 评论:0 | 标签:牛闻牛评 首页动态 电子邮件账户劫持 网络犯罪 钓鱼邮件

性勒索欺诈活动为犯罪分子净赚50万美元

所谓性勒索欺诈(Sextortion)是指攻击者向受害者批量发送邮件,宣称掌握了受害者的性爱站点的浏览记录,需要向指定加密货币地址支付一定数量的加密货币来避免数据曝光。随着新冠疫情期间P站大打免费抗疫牌,此类敲诈活动开始逐渐猖獗。通常,“性勒索”欺诈活动是一种支付率很低的黑客活动,但是近来的一次活动居然为参与的各个团体赚了50万美元。根据网络安全公司Sophos近日发布的一份分析报告,当敲诈者在发给受害者的邮件附上正确的用户名和密码,同时威胁要透露受害者的在线色情习惯,可以大大提高敲诈的成功率。
发布时间:2020-05-06 19:47 | 阅读:18096 | 评论:0 | 标签:牛闻牛评 首页动态 性勒索 钓鱼邮件

小心伪装成用户调研文档的钓鱼邮件攻击

一、背景腾讯安全御见威胁情报中心捕获到一例伪装成某公司的用户投诉调研文档的钓鱼邮件攻击。黑客在投递的恶意文档中嵌入恶意宏代码,一旦用户在打开文档时选择执行宏,就会在用户电脑上执行一段Powershell,通过多次解码后,执行Poweshell版开源远控木马powerfun。该远控木马采用Powershell实现,可作为控制端段或被控端运行,安装后会搜集系统信息上传,下载安装其他模块,执行任意远程指令。为了掩盖其行动,黑客精心伪装攻击文档内容,使得其与真实的用户调研文档十分相似。同时其中嵌入的恶意Powershell代码经过多层混淆,采用“无文件”的攻击方式来保证攻击过程不易被发现。
发布时间:2019-11-06 18:10 | 阅读:44949 | 评论:0 | 标签:系统安全 钓鱼邮件

Invoice钓鱼邮件姿势多,进出口企业机密信息易泄漏

0x0 背景近日,深信服安全团队接到某大型进出口企业反馈,根据安全感知平台提示,内网部分邮箱遭受到恶意邮件的攻击。通过安全研究人员分析发现,该恶意邮件包含一个疑似lokibot恶意软件的附件,主要是用于窃取用户各类账号密码等机密信息。通过过程中的一些数据分析确定这是一起针对特定行业的定向攻击事件。0x1 过程通过对安全感知平台里面的安全日志分析可以发现,客户的部分邮箱收到了很多恶意邮件,发件人地址主要是[email protected] (maybank:马来西亚银行),maybank迷惑用户取得信任。
发布时间:2019-08-01 12:25 | 阅读:62591 | 评论:0 | 标签:Web安全 钓鱼邮件

近期中文钓鱼邮件攻击事件分析报告

1、概述2019年2月起,安天CERT发现大量由境外IP向我国用户邮箱发送的钓鱼邮件,邮件主题涉及“发票”、“采购”、“订单”等关键字,并且在邮件中包含同样关键字的恶意附件。经分析,还发现了大量相关类似的钓鱼邮件,但多数以英文“invoice”为邮件关键字。我们认为,该类攻击事件可能是全球范围内进行的黑产活动,其针对不同国家的目标时可能会编写对应语言文字的钓鱼邮件。攻击者通过邮件传播恶意附件,最终载荷为.Net语言编写并进行混淆的“NanoCore”[1]远控木马。“NanoCore”是一款功能强大的远程控制程序(RAT),可以对目标主机的文件、屏幕、进程等进行操作,还支持扩展功能插件。
发布时间:2019-05-20 12:25 | 阅读:107132 | 评论:0 | 标签:Web安全 钓鱼邮件

在MS Outlook中进行SMB哈希劫持和用户追踪

简要描述在受害者打开或查看电子邮件后,攻击者可能会滥用微软(Microsoft)的Outlook向外部发送SMB握手。即使SMB端口被阻塞,也能向外发送WebDAV请求。当SMB哈希被发送到外部时,攻击者可以用其来破解受害者的密码,或者攻击者也可以利用其收到关于受害者查看邮件的通知。这个问题在2017年7月得到了部分修补(CVE-2017-8572[1])。根据微软安全响应中心(MSRC),在2017年12月发布的CVE-2017-11927[2]中也对一些有效载荷进行了修补。该补丁于2018年5月更新,以解决本报告中提到的其他问题。
发布时间:2018-05-22 12:20 | 阅读:123631 | 评论:0 | 标签:Web安全 钓鱼邮件

探秘丨平昌冬奥会是怎样被黑客入侵的?

导语: 悟以往之不谏,知来者之可追。——《归去来兮辞》 关键词:钓鱼邮件、邮件安全、APT、重大活动保障 摘要: 以史为镜,看看2018年平昌冬奥会的安全防线,是怎样被黑客攻破的? 平昌冬奥会惨遭黑客攻击 2018年平昌冬奥会终于落下帷幕,回顾这一届奥运会,风波不断。 作为安全从业人员,印象深刻的除了中国队选手屡遭裁判“毒手”被判犯规出局,便是平昌冬奥会开幕式当天奥组委服务器遭遇黑客攻击,引发一片混乱。
发布时间:2018-03-06 18:45 | 阅读:200767 | 评论:0 | 标签:网络安全 APT 邮件安全 重大活动保障 钓鱼邮件

【专题策划】知己知彼,百战不殆——网络钓鱼面面观(置顶)

阅读: 28钓鱼套路深,安全要认真!要想玩得转,还得功夫深!什么是网络钓鱼?2017年网络钓鱼现状?反钓鱼思路和解决方案?一步一步教你成为网钓老司机!文章目录网络钓鱼最强学习手册所谓“知己知彼,百战不殆”,击败敌人的首要前提是要了解敌人。那究竟什么是网络钓鱼呢?网络钓鱼的现状:危机四伏2017年第二季度重点关注:反钓鱼思路与方案事前预警 事中防御 事后整改绿盟科技解决方案网络钓鱼最强学习手册所谓“知己知彼,百战不殆”,击败敌人的首要前提是要了解敌人。
发布时间:2017-09-13 19:25 | 阅读:219324 | 评论:0 | 标签:安全分享 2017年Q2垃圾邮件与网络钓鱼分析报告 APT APT攻击 Backdoor.Java.QRat DoS攻击

网络钓鱼大讲堂 Part4 | 网络钓鱼攻击战术

阅读: 123要防护网络钓鱼攻击并制定相应计划,深入了解攻击者很关键,需要更多地了解此类攻击过程,包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生,再到提交诱饵并收集数据 这些信息不仅可以帮助企业和组织对不可避免的攻击做到有备无患,在他们制定对抗攻击的关键步骤时还能提供重要的参考,有时甚至可以预防攻击。尽管无法保证攻击者不攻击您或您的企业,但请记住“凡事预则立”。文章目录计划与准备收集信息 — 第一步钓鱼网络下饵与信息搜集上钩免责声明计划与准备像任何军事活动一样,网络钓鱼攻击都是从很多琐碎的工作开始的。发起攻击前,需要进行大量的研究和细致的计划与准备。很多情况下,这些都不是一蹴而就的。

电子邮件欺诈增长2370% 自动化成唯一出路

鉴于其商业世界基础性地位,电子邮件安全技术采纳率几近100%丝毫不令人惊讶。然而,虽然几乎每家公司都有此投入,信息泄露案发率依然在增长。针对性网络钓鱼,已成为当今世界最有效的攻击形式,攻击者对社会工程战术的重视,让云通信平台防护,成为了任一网络安全策略的重要构件。2017年5月初发布的一份FBI公共安全声明,描绘出了该问题的重要性:BEC/EAC诈骗持续增长进化,中小企业和大型企业皆为其目标。2015年1月到2016年12月的2年间,已确认数据暴露损失增长了2370%。全美50个州和世界131个国家都报告了此类诈骗。
发布时间:2017-08-17 02:45 | 阅读:150924 | 评论:0 | 标签:行业动态 BEC 电邮欺诈 社会工程 自动化 钓鱼邮件

【公益译文】网络钓鱼攻击

阅读: 5要防护网络钓鱼攻击并制定相应计划,深入了解攻击者很关键,需要更多地了解此类攻击过程,包括从初始计划及准备阶段到钓鱼网络如何协助攻击发生,再到提交诱饵并收集数据 这些信息不仅可以帮助企业和组织对不可避免的攻击做到有备无患,在他们制定对抗攻击的关键步骤时还能提供重要的参考,有时甚至可以预防攻击。尽管无法保证攻击者不攻击您或您的企业,但请记住“凡事预则立”。文章目录计划与准备收集信息 — 第一步钓鱼网络下饵与信息搜集上钩免责声明计划与准备像任何军事活动一样,网络钓鱼攻击都是从很多琐碎的工作开始的。发起攻击前,需要进行大量的研究和细致的计划与准备。很多情况下,这些都不是一蹴而就的。
发布时间:2017-08-02 18:00 | 阅读:168528 | 评论:0 | 标签:威胁通报 绿盟 钓鱼 网络钓鱼 钓鱼 钓鱼攻击 钓鱼网站 钓鱼邮件

金融行业邮件安全解决之道

阅读: 2邮件是一个对个人和机构信息安全影响巨大的应用。个人往往容易收到各类垃圾邮件和精心伪装的网络钓鱼邮件,比如下面这封:钓鱼邮件往往使用诸如账号被盗、紧急等字眼,给收件人施加一定的压力以诱骗其掉入其精心布置的陷阱。钓鱼方式通常有如下几种:诱骗点击恶意链接诱骗输入个人敏感信息提供伪造登录界面以获取登录名/密码诱骗下载具有恶意病毒的附件……而邮件接收者往往出于好奇、害怕、紧张、贪婪等人为因素而上当受骗。根据统计,在互联网中每125封邮件中就有1封邮件含有恶意软件。在2016年中,垃圾邮件及内含恶意软件的垃圾邮件数量都有上升。

永恒之蓝再次肆虐 勒索病毒变种在多国大规模爆发

昨日,乌克兰等地遭受大规模勒索攻击,多国政府机构、银行、运营商、机场和企业都受到了不同程度的影响。不同于传统勒索软件针对文件进行加密的行为,此次勒索攻击采用磁盘加密(早期版本只对MBR和磁盘分配表进行加密)的方式进行敲诈。某安全厂商数据显示,全球目前有约2,000名用户遭到这种勒索软件的攻击。其中,俄罗斯和乌克兰的企业和组织遭受影响最为严重。此外还在波兰、意大利、英国、德国、法国、美国等国记录到相关攻击。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款。
发布时间:2017-06-28 21:50 | 阅读:164519 | 评论:0 | 标签:威胁情报 Petya 勒索病毒 永恒之蓝 磁盘加密 钓鱼邮件

针对银行钓鱼事件的分析

相信不少人都有收到过钓鱼邮件的经历。然而,随着反垃圾邮件技术的更进,大多数这类邮件都会被系统自动屏蔽,而无法发送到用户邮箱。但是,大多数并不代表全部。下面的这个例子就是个很好的说明。 这封邮件的主题是用巴西葡萄牙语写的,主要内容是针对Santander银行“溢价”账户持有人的警告。不难看出,这是一封典型的钓鱼邮件。 附件诱骗钓鱼 对于普通用户而言,多数收到这类邮件的人,都只会通过简单的发件人信息来判断邮件的可信度,或者直接将其拖放到垃圾箱。但是对于安全分析师而言,我们希望深入了解附件包含的内容和消息的真正来源。
发布时间:2017-03-19 00:10 | 阅读:161270 | 评论:0 | 标签:WEB安全 钓鱼邮件

克林顿基金雇火眼防黑

在可能被黑了之后,克林顿基金雇佣外部网络安全公司检查其服务器。知情人向福克斯新闻证实,该基金雇佣的网络安全公司是火眼。 黑客登录克林顿基金系统的方式,似乎与民主党国会竞选委员会(DCCC)和民主党全国委员会(DNC)被黑的方式类似。8月17日,路透社首先报道了雇佣火眼的决定,并同时指出:希拉里和比尔·克林顿的组织尚未有文件浮出水面。 接近克林顿基金的消息人士还透露给福克斯新闻称,并没有证据表明基金的系统确实被入侵了,基金也尚未收到司法部门的事件通告。但有人告知路透社,黑客可能使用“鱼叉式网络钓鱼”技术接触到基金的系统。 希拉里的总统竞选兼该党国会筹款委员会的DNC,也是被类似的技术黑掉的。
发布时间:2016-08-23 15:15 | 阅读:151948 | 评论:0 | 标签:牛闻牛评 希拉里 火眼 钓鱼邮件

安全专业人士也会上当的钓鱼邮件

近期召开的黑帽大会上,一名IT专家就黑客使用诈骗邮件的最有效方式进行了演讲,最令人惊讶的发现是:即使深知所有花招的高手,也会落入邮件陷阱。辛奈达·贝嫩森博士呈现了她对网络钓鱼攻击的两项研究结果——即便不认识发信人,人们也常常会点击其中的“毒”链接或运行其中包含的恶意软件。辛奈达·贝嫩森博士而且,即便是具备计算机知识,清楚未知链接暗藏危险,深知邮件发送地址可被伪造的那些人,照样跳坑没商量。博士的研究发现,所有这些因素都“没什么卵用”。我们知道,人类本身就是最大的漏洞,他们总是掉进同一个坑。
发布时间:2016-08-13 22:05 | 阅读:188217 | 评论:0 | 标签:牛闻牛评 钓鱼邮件 黑帽大会

芭比娃娃生产商美泰遭钓鱼 差点把300万美元汇给温州银行

全球最大的玩具公司之一美泰(Mattel),由于被黑客精心伪造的钓鱼邮件所欺骗,将一笔约300万美金的汇款发给了中国温州银行。幸亏事发当天银行正处于休息日,这笔巨款才得以保住并被退回。这封钓鱼邮件,伪造成出于美泰新任CEO辛克莱尔之手,除此之外黑客还伪造了另一位财务高管的汇款同意签名。这两人都是大笔款项汇出的签署人。以生产芭比娃娃而闻名世界的美泰公司,将此事告知了FBI,FBI派出一名反欺诈调查人员调查此事。据警方调查,攻击者通过从公共平台上收集企业员工的信息来了解企业的组织机构和财务流程。
发布时间:2016-04-08 02:55 | 阅读:106917 | 评论:0 | 标签:牛闻牛评 钓鱼邮件

这家公司模拟攻击受害者 以寻找安全风险

攻击者使用多种工具和技术入侵某机构。一家名为SafeBreach的安全公司尝试使用自动化技术确定安全风险。要想了解企业是否存在安全风险,一个可行的方法是尝试入侵它。这正是SafeBreach的目标, 该公司近日刚刚发布了其多功能安全平台。SafeBreach公司CEO兼联合创始人盖伊·本杰拉诺(Guy Bejerano)对媒体表示:SafeBreach的重大意义在于,让机构认识到不需要只是坐等入侵事件发生。本杰拉诺将SafeBreach平台上运行的程序称为“黑客剧本”。它是关于黑客的进攻性知识。黑客剧本包括各种技术和行动。比如:试图窃取信用卡数据、激活恶意软件、暴力破解密码。
发布时间:2016-02-02 23:00 | 阅读:119223 | 评论:0 | 标签:牛闻牛评 安全公司 安全风险 钓鱼邮件

黑客是这样让乌克兰70万户家庭断电的

黑客上个月切断了乌克兰大约70万家庭的电力。后果虽然非常可怕,但使用的方法却极其简单。黑客仅仅是在电子邮件之外使用了一些小手段,就在机构的系统上种植了黑色能量(blackenergy)木马。PhishMe公司CEO罗西特·贝兰尼(Rohyt Belani)说:“它是一封针对性的钓鱼邮件,附带excel表格。”攻击者将电子邮件发送给机构员工,并引诱其点击恶意软件。具体流程是这样的:攻击者研究目标机构的员工,分辨哪些人会打开钓鱼邮件,并使用假冒的电子邮箱地址向其发送含excel表格的邮件。用户打开excel之后,软件称文档是在更新版本的excel中创建的,必须启用宏才能正常显示。
发布时间:2016-01-22 12:30 | 阅读:182962 | 评论:0 | 标签:动态 威胁情报 钓鱼邮件 黑暗能量

钓鱼邮件初探:黑客是如何进行邮件伪造的?

本文原创作者:dontshoot免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!现如今的钓鱼邮件都是通过注册相似的邮箱,或者设置邮箱的显示名称,盼着被害人有看走眼的那一刻,轻信邮件的内容。这种方法需要一定的社工技巧,以及诱导性的语言来诱使被害人上钩。但是对于有一定的经验以及眼力的人来说,还是可以识破骗子的伎俩。下面我要介绍的这款工具可以最大程度的欺骗你的邮箱,更不要提你的眼睛。当然,此方法不是适用于任何邮箱,毕竟每种邮箱的过滤机制都不相同。gmail在这方面就做的不错。
发布时间:2016-01-07 16:35 | 阅读:150680 | 评论:0 | 标签:工具 网络安全 SWAK 邮件伪造 钓鱼邮件

针对典型钓鱼攻击的溯源与反控制

作者:天融信阿尔法实验室 Prophecy 近来,我们收到了一些针对天融信公用邮箱的长矛式定点攻击邮件,这些邮件五花八门,但是最终的目的还是要诱骗出邮箱的登录口令,从这一点来看,就可以轻松识别出钓鱼邮件。
发布时间:2015-12-31 19:05 | 阅读:169164 | 评论:0 | 标签:网络安全 典型 反控制 溯源 钓鱼邮件

又一例钓鱼邮件社会工程骗术剖析

如果企业或机构能够采取措施仔细检查一些要求财务转账的电子邮件,像2014和2015年针对Centrify员工发起的那种社会工程骗局就可以避免。身份识别管理公司Centrify首席执行官肯普在他的博客中详细叙述了针对他的公司发起的电子邮件骗局。“财务管理人员会接到首席财务官(CFO)或首席执行官发来的电子邮件,以看起来切实的商业理由让他们将钱款电汇到某个账户中。”肯普写道。“作为一个重视CFO或CEO的好员工,他们当然依命行事——始终相信是CEO让他们做这件事的而没意识到他们其实是将钱转给了骗子。”骗子的第一次尝试是在2014年2月12日。
发布时间:2015-11-09 13:10 | 阅读:298851 | 评论:0 | 标签:牛观点 社会工程 钓鱼邮件

ADS

标签云