记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

FireEye安全报告:Magnitude EK分发新型勒索软件,专注于感染韩国目标

背景介绍 自2016年年底以来,漏洞开发工具包(EK)的使用率一直在下降;然而,某些活动却依然保持着一致的活跃度,Magnitude EK就是典型的例子,它持续不断地感染用户,尤其是亚太地区的。 基于FireEye的动态威胁情报平台(DTI)整理出的2017年3月份的数据,可以看到Magnitude EK在2016年最后三个月和2017年前三个月的活动中感染目标地区分布的情况。 图1: Magnitude EK的分布情况(2016.10~2017.03) 这种趋势一直持续到2017年9月下旬,Magnitude EK的感染目标主要集中在亚太地区,其中有大量是针对韩国的。经过短暂的停歇,自2017年10月15日重新活跃后,Magnitude EK开始专注于韩国。此前Magnitude EK会分发Cerber
发布时间:2017-10-24 05:35 | 阅读:106031 | 评论:0 | 标签:安全报告 EK工具包 FireEye 勒索软件 韩国目标

APT33分析报告:FireEye揭秘瞄准航空航天和能源部门的伊朗网络间谍组织

前情提要 讨论有关中东地区黑客组织的网络攻击行为时,许多人会想到伊朗的间谍组织,例如著名的SHAMOON(又名Disttrack),该组织初期的攻击目标在波斯湾周边地区。然而,在过去的几年中,我们一直在跟踪一个单独但鲜为人知的、具有潜在破坏能力的、被怀疑与伊朗有关的网络间谍组织,我们将其称之为APT33。 分析表明,APT33的活动踪迹至少可以追溯至2013年,该组织很可能是为伊朗政府工作。 瞄准的目标 APT33的攻击目标主要是总部位于重点关注美国、沙特阿拉伯和韩国的组织,这些组织跨越多个行业,观察APT33以往的活动可知,它尤其关注航空航天(包括军事的和商业的)和与石油化工生产有关的能源部门的组织。 从2016年中至2017年初,APT33入侵了美国一家航空航天领域的组织,并试图攻击一个位于沙特阿拉伯的一
发布时间:2017-09-22 05:20 | 阅读:107048 | 评论:0 | 标签:安全报告 APT33 APT攻击 FireEye 伊朗 网络间谍组织

微软零日漏洞CVE-2017-8759检测插件发布

阅读: 42FireEye公司最近发现一份恶意微软Office RTF文档,其中利用到一项SOAP WSDL解析器代码注入漏洞CVE-2017-8759,该.NET框架漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码。目前绿盟远程安全评估系统(NSFOCUS RSAS)已发布CVE-2017-8759漏洞检测插件包(rsas-vulsys-V6.0R02F01.0706.dat),请用户及时下载升级,避免资产遭受损失。该检测插件升级包为例行升级包,共新增漏洞140个,目前漏洞总数为 20839个(系统漏洞19981个,web漏洞858个)。其中CVE-2017-8759漏洞插件采用windows 本地登录检测方式。文章目录一、漏洞影响:二、漏洞危害:三、漏洞原理:四、漏洞利用:一、漏洞影响:C
发布时间:2017-09-18 18:00 | 阅读:144439 | 评论:0 | 标签:威胁通报 cve 2017 8759 修复 cve 2017 8759 补丁 cve 2017 8759利用 cve 2

FireEye视点:为什么朝鲜对比特币如此感兴趣?

前情提要 2016开始,我们观察到疑是有朝鲜政府背景的黑客团体,利用他们的入侵能力进行网络犯罪的行为,目标是银行和全球性的金融体系,这意味着北朝鲜的黑客组织的网络间谍活动与其之前的传统的活动方式有所背离。 鉴于朝鲜的特殊政治形势,该国经济与全球大部分经济体相隔离,且历来就有国家背景的政府部门从事非法经济活动的先例,因此,北朝鲜的黑客们选取金融部门作为攻击目标以谋取利益,并不奇怪。随着朝鲜对其军事和情报能力的控制日趋严格,国际对被朝鲜的经济制裁严重影响了该国的经济发展,因此推测这些网络非法活动很可能是为了资助国家或平壤精英阶层的个人金库。 以虚拟货币为目标,背后由国家资助的网络攻击 目前,我们可能正在目睹这场运动的第二波:政府资助的行动者试图窃取比特币和其他虚拟货币作为逃避制裁、获取硬通货来为政权提供资金的手段
发布时间:2017-09-13 01:00 | 阅读:95832 | 评论:0 | 标签:安全报告 FireEye 朝鲜 比特币 虚拟货币 黑客组织

网络间谍依然健在:APT32对全球企业的威胁(海莲花)

现在被Fireeye命名为APT32(OceanLotus海莲花组织)的网络间谍行动,正在对横跨多个行业的私人企业和外国政府,异议人士和记者进行入侵。Fireeye评估APT32利用独特且功能全面的恶意软件套件与商业渗透工具相结合。开展符合对越南国家利益的有针对性的行动。 广告时间:APT32和Fireeye的社区响应 FireEye的Mandiant事件响应顾问对在越南有商业利益的几家公司进行入侵调查的过程中,发现了入侵活动,并且攻击者控制的基础设施指示了一个重要的入侵活动。2017年3月,为响应FireEye客户的主动定位,该团队发起了社区保护事件(CPE)—就是Mandiant事件响应团队,FireEye即服务(FaaS)FireEye iSight情报和FireEye的产品工程师去保
发布时间:2017-05-21 15:00 | 阅读:124891 | 评论:152 | 标签:网络安全 APT32 fireeye “海莲花”

针对NETFLIX的新型钓鱼攻击的精妙之处

最近,火眼(FireEye)实验室发现了针对Netflix(一家在世界多国提供网络视频点播的公司)的一种新型网络钓鱼攻击,该攻击旨在窃取用户的信用卡数据和其他个人信息。 该新型攻击的精妙之处在于攻击者采用的逃避技术: 1. 钓鱼网页托管在合法但被攻破的Web服务器上。 2. 客户端HTML代码通过AES加密进行混淆,以逃避基于文本的检测。 3. 如果用户IP地址的DNS解析到谷歌或PhishTank(反钓鱼网站)之类的公司,则不向该用户显示钓鱼网页。 攻击流 攻击者先发送电子邮件通知,要求用户更新其Netflix会员详细信息。电子邮件正文中的网络钓鱼链接将收件人定向到模仿Netflix登录页面的页面,如图1所示。 图1:模仿Netflix网站的虚假登录页面 受害者在提交其凭证后被定向到要求提供额外会员详细信
发布时间:2017-01-19 00:05 | 阅读:114965 | 评论:0 | 标签:WEB安全 fireeye Netflix 钓鱼

FireEye:Hancitor(Chanitor)使用多种攻击方法

作者:Ankit Anubhav、Dileep Kumar Jallepalli(威胁研究、高级恶意软件研究 翻译:小王子/棱安全团队 审校:小王子/棱安全团队 前言 通常情况下,攻击者会通过多种攻击方式来确保攻击的成功,使用恶意软件Hancitor(又名Chanitor)来进行攻击的攻击者也不例外,并且会采取三种方式来传播Hancitor,以便窃取受害者数据,其采用的技术包括罕见的API滥用和PowerShell方法。 FireEye在最近的Hancitor攻击中发现,攻击者通过分布在垃圾邮件的附件中来传播Hancitor恶意软件,该恶意软件软件一旦下载并执行,会通过中间payload远程下载小马DLL及Vawtrak网银木马来执行,进而进行数据窃取,并连接到C&C服务器。 第1阶段:电子邮件传送
发布时间:2016-09-30 05:05 | 阅读:184292 | 评论:0 | 标签:网络安全 API滥用 Chanitor FireEye Hancitor PowerShell方法 Vawtrak网银木

Metasploit如何派生一个shell给cobaltstrike

Cobaltstrike作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选,fireeye多次分析过实用cobaltstrike进行apt的案例。 cobaltstrike3新版的已经摒弃了metasploit,重写了所有的功能,但是鉴于metasploit功能的强大,cobaltstrike仍然保留了对metasploit的接口,今天我们不聊其他的, 只聊当我们使用metasploit获取到shell之后如何派生一个新的shell给cobaltstrike。系列参考我在安全脉搏上的:Cobalt strike browser pivot的应用实例   实验环境: 目标机器:windows server 2012  IP:192.168.8
发布时间:2016-08-16 11:50 | 阅读:162764 | 评论:0 | 标签:内网渗透 APT组织 beacon_http Cobaltstrike cobaltstrike3 fireeye me

SlemBunk木马浅析

阅读: 12SlemBunk最初由FireEye发现,后来其他一些安全公司也相继发现,作者有幸拿到该样本,分析该木马发现其设计精妙绝伦,可在此基础上做进一步演变。该样本伪造成其他一些常用android应用,欺骗用户输入信用卡相关敏感信息,下面我们就一步步分析。 1 恶意行为1.1 控制锁屏行为控制电源状态为PARTIAL_WAKE_LOCK,在这个状态下,即使关机,cpu也处在运行状态,直到代码主动释放。javapublic void onCreate() {super.onCreate();this.mWakeLock = this. getSystemService("power" ).newWakeLock (1, "MyWakeLock" ); // in PARTIAL_WAKE_LOCK mode
发布时间:2016-03-10 17:30 | 阅读:107608 | 评论:0 | 标签:漏洞分析 android应用 FireEye SlemBunk SlemBunk木马浅析 恶意行为 敏感信息

FireEye套件惊曝严重安全缺陷

来自谷歌Zero项目安全团队的分析师们已经从FireEye套件当中发现了一项严重安全缺陷,其可能导致恶意人士得以通过单一邮件向企业网络实施垃圾邮件攻击。这项缺陷被命名为“666”,名称源自其在Zero项目所发现漏洞中的排序数字。“666”属于被动监控缺陷,黑客Tavis Ormandy将其描述为一个“噩梦般的场景”。目前相关补丁已经被开发完成,且面向FireEye旗下的NX、FX与AX设备发布。 Ormandy与谷歌公司技术专家Natalie Silvanovich共同在针对主要安全软件漏洞的高危漏洞研究工作当中发现了这一缺陷。他相信FireEye公司能够在两天之内完成漏洞的修复任务。 此次发布的补丁能够完全解决攻击效果。此次曝出的漏洞非常严重,因为相关套件的全部组件都会在其原始状态下受到这项漏洞的影响。根据
发布时间:2015-12-26 08:20 | 阅读:79049 | 评论:0 | 标签:业界 FireEye Ormandy Zero

FireEye:Active PowerShell窃取数据之谜

揭开Active PowerShell如何窃取数据之谜Windows的PowerShell深受管理员的喜爱,它可以让用户有效的在本地和远程系统中进行自动操作和管理任务。然而,它的易用性和广泛性吸引了无数攻击者的目光。研究人员首先开始证明针对PowerShell的攻击始于2010年,攻击者于2011年底改进了PowerShell,使攻击方法变得更加复杂并且出现了PowerShell攻击工具包。PowerShell中逐渐出现了恶意软件货哦的那个,尽管当时它只是被观察用于完成攻击周期的一些步骤。我们多年来一直在研究PowerShell攻击,你可以在这里获得更多的相关信息。最近,我们遇到了一些窃取数据的活动,几乎所有的攻击周期的步骤都设计简单有效的PowerShell命令。其中的一个活动的目标是证
发布时间:2015-12-18 16:00 | 阅读:101867 | 评论:0 | 标签:数据安全 active powershell fireeye

编号666:谷歌发现FireEye设备高危漏洞

FireEye向企业和政府用户销售安全设备,其旗舰产品安装在大型网络的出口点用以监控设备,也就是安装在内部流量通向互联网的地方。简要概述一个组织在其内部网络中安装了FireEye设备,然后连接到一个SPAN或是出口点的镜像端口(这些监控端口内置在专业级网络设备中)FireEye设备之后就被动查看所有网络流量,监控HTTP, FTP, SMTP等常见协议。对于文件传输来说,如果检测到文件传输(例如一个Email附件,HTTP下载)FireEye会提取文件并扫描是否包含恶意软件。原则上,如果用户接收一份恶意Email或者访问恶意网站,FireEye设备观察流量并向网络管理员发送警报。FireEye设备还监控文件服务,Mail Exchanger等。对于部署了FireEye设备的网络,一个被动监
发布时间:2015-12-18 00:55 | 阅读:135388 | 评论:0 | 标签:漏洞 终端安全 fireeye Project Zero 第666个漏洞 谷歌

【FireEye报告】LATENTBOT:有本事你就来抓我啊

FireEye最近捕获了一个代码高度混淆的Bot,命名为LatentBot,从2013年年中就开始活跃。它有能力在不被察觉的情况下监视用户,可以破坏硬盘甚至破坏计算机。根据我们的动态威胁情报(DTI),可以清晰的看到针对美国,英国,南韩,巴西,阿拉伯联合酋长国,新加坡,加拿大,秘鲁和波兰等国多个行业的活动(主要集中在金融服务,和保险行业)。它实现了多层模糊,独特的分发机制,以及成功感染多个组织确实吸引了我们的眼球。下面列出LATENTBOT的一些主要特性:a) 多层混淆b) 内存中解密用的字符串用后即删c) 在不同的桌面影藏应用d) 主引导记录(MBR)清除功能e) 与赎金锁(Ransomlock)类似的锁定桌面功能f) 隐藏VN
发布时间:2015-12-16 18:45 | 阅读:135623 | 评论:0 | 标签:系统安全 终端安全 fireeye LATENTBOT 恶意软件 火眼

FLARE IDA Pro的脚本系列:自动化提取函数参数

很久以前FB发过一篇FLARE高级逆向工程团队的IDA Pro脚本系列上集,这次下集来了。所有的脚本和插件依然都可以从GitHub中下载。自动化重复操作本篇博客所描述的此项工作在逆向分析过程中反复出现:识别出程序中调用某个函数的所有参数。这种情况可能会在你试图做一下操作时出现:识别大小,位置,以及解密恶意软件的恶意代码的密钥。识别用于创建新进程的所有函数指针(即调用CreateThread或_beginthreadex函数的参数)。识别API函数中用作指示器的的静态字符串。识别在运行时被解析的函数(如调用GetProcAddress 的所有参数)。为了帮助遇到类似问题的逆向工程师,我们推出一款新的IDA Python实用工具,它是FLARE IDA脚本的一部分:argtracke
发布时间:2015-12-14 21:30 | 阅读:128257 | 评论:0 | 标签:工具 fireeye FLARE IDA Pro

FireEye:应用程序兼容性缓存的调查

简介Windows应用程序兼容性缓存分析受到一限制:缓存中的数据是唯一在系统关机或重新启动的时候序列化到注册表。为什么这个限制会如此重要?因为为了解析应用程序兼容性缓存如今的工具都依赖于在Windows注册表中找到的序列化高速缓存,这意味着该数据只有在近期重新启动系统时才是最新的。包括美国麦迪安网路安全公司自身的Shim缓存解析器以及内存分析框架都依赖于在内存中找到的Windows注册表副本。目前的工具留给研究者只有两个选择:重新启动系统强制高速缓存——这可能会破坏其他的证据,或在系统重新启动时限制研究者数据分析。解决这个问题的方法就是直接从内核内存分析应用程序兼容性缓存。本文将介绍应用程序兼容性缓存的内存结构,它允许对已经执行的近期最少使用算法(LRU)应用程序进行实时检索。还将引入一个
发布时间:2015-10-29 12:35 | 阅读:102785 | 评论:0 | 标签:网络安全 fireeye windows 应用程序兼容性缓存

Fireeye和f5合作:共同提供针对企业的安全

为了进一步发展,FireEye目前已宣布和F5网络建立全球伙伴关系,Fireeye将和F5强强联手共同部署和支持集成的安全解决方案,帮助企业捍卫世界。 这些天,越来越多的企业不得不应对的云计算和BYOD方面更高的安全性要求,以及本协议的主要针对点是提供全面的综合的安全解决方案,这个安全解决方案结合了来自Fireeye的先进的威胁防护方案,以及来自F5的交付基础架构应用。 据说全面的安全解决方案将包括网络分割,政策管理,SSL检测,入侵防御DDoS攻击防护,还有许多其它的方面,当然还包括,威胁保护,分析和情报。 这将考虑到网络上的任何恶意活动或攻击公司的防御系统,或者可以说这些危险是肯定会有的。 Steve Pataky,Fireeye全球频道和联盟的副总裁说:“我们的合作伙伴F5解决关键业务问题,为我们的客户–
发布时间:2015-10-12 15:20 | 阅读:70389 | 评论:0 | 标签:业界 FireEye

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词