Exploit Kit作为传播犯罪软件的重要工具,一直深受网络犯罪分子喜爱。俗话说知己知彼百战百胜,面对与时俱进,不断升级更新的Exploit Kit,我们必须要完全的了解和分析他们,才能实现有效的防
利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。 概要 8月初,我们接收到了一类大量感染利比亚国内安卓手机
WordPress是一款使用PHP语言开发的博客平台,用户架设属于自己的博客,也可以把 WordPress当作一个内容管理系统(CMS)来使用。近几个月,WordPress安全漏洞事件频发,包括 免费主题暗藏后门,波及WordPress等知名CMS系统,WordPress 4.0以下版本存在跨站脚本漏洞。而现在,一款广泛传播的恶意软件已经感染了100,000多个WordPress网站,而且数字仍在增加。 Google将超过11,000个域名纳入黑名单 消息先是周日早上在WordPress社区传播,起因是
近日,研究人员检测出了一种新的蠕虫正在通过SMB传播,但与WannaCry勒索软件的蠕虫有所不同,这种蠕虫病毒使用了7种NSA工具,而WannaCry仅使用了两种,这是否意味着该蠕虫将为全球网络带来更为严重的冲击? 据悉,该蠕虫由安全研究人员Miroslav Stampar(克罗地亚政府CERT成员,以及用于检测和利用SQL注入漏洞的sqlmap工具的开发者)于上周三(5月17日)在自己搭建的SMB蜜罐中发现。 EternalRocks使用了7种NSA工具 该蠕虫被Stampar命名为“Eternal
最近,基于word文档的电子邮件攻击愈发猛烈。邮箱收到一封电子邮件,包含如下的WORD附件。文档打开后,显示如下图。内容就是一幅图片,提示要查看具体的传真内容要求用户启动宏。不言而喻,这是一个带有宏的word文档。
现在的你是调查员且拥有记录Moneymany女士与网站互动的网络截图(PCAP)文件,您的任务是了解Moneymany女士点击链接后她的系统可能会发生什么情况,您的分析将从PCAP文件开始并揭示一个恶意的可执行文件,这是这个谜题的网络捕获文件,这个PCAP文件的MD5哈希是c09a3019ada7ab17a44537b069480312,请使用正式提交表格提交您的答案 1.作为感染过程的一部分,Moneymany女士的浏览器下载了两个Java小程序,这两个程序的名字是什么?实现这些小程序的jar文件? 2.Moneymany女士在被感染的Windows系统上的用户名是什么? 3.这个事件的起始网址是什么?换句话说Moneymany女士可能点击了哪个网址? 4.作为感染的一部分一个恶意的Windows可执行文件被下载到了Moneymany的系统中,文件的MD5哈希是什么?提示:以"91ed"结尾 5.用于保护恶意Windows可执行文件的打包程序的名称是什么?提示:这是"主流"恶意软件中最流行的免费打包程序之一 6.恶意Windows可执行文件的解压缩版本的MD5哈希是什么? 7.恶意可执行文件试图使用硬编码的IP地址连接到互联网主机(没有DNS查找),那个互联网主机的IP地址是什么?
原作者 MalwareTech 编译 CDA 编译团队 本文为 CDA 数据分析师原创作品,转载需授权 前言 上周全球爆发电脑勒索病毒,“疫情”已波及 99 个国家。包括中国、俄罗斯、英国、美国在内的众多国家,都被该病毒搅得鸡犬不宁。 除英国国家医疗服务体系(NHS)、美国联邦快递、西班牙电信公司外,俄罗斯内政部的1000 多台电脑也纷纷“中招”,受到严重影响。而据俄罗斯RT新闻网报道,最新的数据统计显示,全球范围内已有超过 10 万台电脑被攻击。 但就在这场损伤巨大的全球“浩劫”中,一位“意外的英雄
安全研究人员又发现了超过2000个WordPress站点,感染了被加载到WordPress后端登录页面的键盘记录器,研究人员将这些新发现的感染地点与 2017年12月初发生的类似行动联系起来。 回顾: 2017年12月发生的事件: 在将近5500个受感染的WordPress网站上发现了键盘记录器 将近5500个WordPress站点被恶意脚本所感染,这些脚本记录键盘敲击,有时还会使浏览器加载加密的程序。 恶意脚本从“cloudflare.solutions ”的域名加载,它与Cloudflare没有任
这篇文章来自老应急师@沉默树人老哥投稿,同时也给大家分享一个学习流量包分析和恶意文件分析的网站:https://www.malware-traffic-analysis.net/
上午接到用户反映域控服务器被态势感知设备监测到存在恶意域名解析行为,且被态势感知定义为已失陷并感染病毒对外传播。
网络犯罪分子其实都是机会主义者,随着各类操作系统的应用范围越来越广泛,他们也在不断地丰富自己的工具和技术。与此同时,为了尽可能地在网络犯罪活动中谋取更多的经济利益,犯罪分子们在选择受攻击目标时也呈现出一种多样化的趋势。这也是恶意软件的价值主张,现在越来越多的恶意软件已经实现了跨平台感染,如果能够配合一种专门的商业模式来向其他的坏人兜售这些恶意软件的话,那么这些恶意软件的影响范围还会进一步扩大。 今天的主角是Adwind/jRAT,趋势科技将其标识为JAVA_ADWIND。这是一款跨平台的远程访问木马(RAT
攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难。
红队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击;通过实现系统提权、控制业务、获取数据等目标,来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。
1.2、密码盗取木马:通过记录用户输入的键盘记录或屏幕截图方式窃取用户的密码或账号信息;
目前各个安全厂商都开始积极地挖掘情报数据的价值,研究威胁情报分析与共享技术。越来越多的安全厂商开始提供威胁情报服务,众多企业的安全应急响应中心也开始接收威胁情报,威胁情报的受重视程度日益变高。根据SANS 发布的全球企业的威胁情报调查报告(The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing),94% 的受访企业表示目前已有威胁情报项目,70% 企业采了用威胁情报供应商的商业源。
根据2021年2月中旬的一项发现,Anomali威胁研究公司(Anomali Threat Research)评估称,至少自2020年6月4日以来,APT网络间谍组织Bahamut一直在对多个目标进行恶意攻击活动。在研究恶意文件时,来自Anomali的研究人员分析了一个.docx文件(List1.docx),该文件包含一个与另一个.docx文件共享的捆绑组件,该文件可以通过模板注入来与lobertica.info域名进行通信,这个域名之前归属于Bahamut。接下来,我们会对这个文件以及后续的感染链进行深入分析。
RAT 简介 远程访问木马(RAT,remote access Trojan)是一种恶意程序,其中包括在目标计算机上用于管理控制的后门。通常攻击者会将远程访问木马捆绑在正常软件上提供到互联网或者利用计算机漏洞入侵电脑植入远程访问木马,普通用户在浏览网页下载的正常程序软件时不易发现(如游戏程序,办公软件等)也可以通过电子邮件附件发送远程访问木马。一旦主机被植入远程访问控制木马,入侵者可以利用它来向其他易受感染的计算机分发远程访问木马,从而建立僵尸网络。 因为远程访问木马能进行管理控制,入侵者几乎可以在目标
通过墨者安全网络攻击监测数据显示:2019年1月,国内感染网络病毒的终端数为近75万个。其中,近51万个IP地址对应的主机被木马或僵尸程序控制,与上月的近54万个相比下降5.0%。下面是详细的网络攻击监测数据报告:
近期WordPress安全事件最近频发,上次出了一个恶意软件SoakSoak,现在又出现一个与其有关的恶意软件感染事件—WPcache-Blogger。这次事件由一个被恶意软件控制的网站wpcache-blogger.com命名,虽然同样由于RevSlider漏洞引起,但是攻击手法迥异。在过去几天里,已有5万Wordpress网站受到影响。 与上次介绍的恶意软件SoakSoak不同,这次的主角WPcache-Blogger由三个感染控制体系组成了一个感染集群。以下是详细分析: 1.wpcache-blogg
除此之外,它还会部署一种名为Ares RAT的Linux变种(一个开源代理),研究人员在其Stager Payload中发现了与威胁组织Transparent Tribe (APT36) 相关的代码,表明SideCopy和APT36使用相同的诱饵和命名约定同时进行多平台攻击,共享基础设施和代码,以攻击印度目标。
前段时间,我们的专家调查了一款他们称为Roaming Mantis的恶意软件。当时,受影响的人主要来自日本,韩国,中国,印度和孟加拉国的用户,所以我们没有在其他地区讨论恶意软件,这似乎是一个针对威胁。
2017年,勒索病毒扩散事件让大家人心惶惶,对WannaCry勒索病毒、Petya勒索病毒、Locky勒索病毒、BadRabbit勒索病毒的传播记忆犹新,而2018年初,GlobeImposter勒索病毒也没闲着,仅18年1月至今,明御APT攻击(网络战)预警平台就检测到华北区域、华南区域、西南区域、华东地区等地数家用户单位感染勒索病毒,主要涉及医疗、房地产、金融等行业。
Banjori是被发现于2013年并活跃至今的银行木马。其攻击目标主要针对于法国、德国与美国的个人银行网上用户。当用户被感染后,木马会将恶意载荷注入至用户的活动进程实现持久威胁并对用户的信息进行收集。银行木马的盗窃重灾区多位于浏览器,Banjori亦不能免俗。相比IE与Chrome, 该木马尤为青睐于火狐浏览器,大部分被窃取的用户信息均通过对该浏览器的挂钩、数据库文件查询获取。值得一提的,该木马家族自2013年起就使用当年颇为时髦的动态域名算法获取CC服务器地址。这导致杀软传统的黑名单过滤形同虚设,但同时也为摧毁/接管该僵尸网络创造了条件。
思科Talos安全团队最近发现一款Powershell恶意程序,用DNS进行双向通信。 前言 DNS是企业网络中最常用的Internet应用层协议。DNS提供域名解析,这样用户就可以通过域名而非IP地址来访问网络资源。许多企业会严格监控web流量,但对基于DNS的威胁的防护就比较少。攻击者也注意到了这点,经常将其他协议封装进DNS协议中来躲避安全监测。 攻击者利用DNS协议一般都是要获取信息。思科Talos团队最近分析了一个很有趣的恶意程序样本,利用DNS TXT记录查询和响应来创建双向的C2通道。攻击者可
据报道,Cryptolocker劫持软件已经感染约25万台PC。Cryptolocker这款劫持软件恶意加密用户数据,然后索要一定的费用,否则一定时间过后用户的数据将永远损毁无法恢复。美国和英国受影响最严重。网络罪犯现在开始针对家庭互联网用户,最初这种软件只针对专业人士。 劫持软件从1989年就已经存在。但是这个最新的恶意软件影响广泛是因为它是文件无法访问的特殊方式。“这款软件没有像许多其他恶意软件一样使用自定义的加密方式,Cryptolocker使用微软强大的第三方认证C
近期WordPress安全事件最近频发,上次出了一个恶意软件SoakSoak,现在又来了一个与其有关的恶意软件感染事件——WPcache-Blogger。这场事件由一个被恶意软件控制的网站wpcache-blogger.com命名,虽然同样由于RevSlider漏洞引起,但是攻击手法迥异。在过去几天里,已有5万Wordpress网站受到影响。 FreeBuf小科普 RevSlider是一款WordPress幻灯片插件,攻击者可能利用了该插件的任意文件下载漏洞获取了大量的WordPress的wp-conf
当一个公司被高级恶意软件感染,一个正确的应急响应应该是去识别恶意软件和修复系统,建立更好的安全控制体系来防止未来此类 事故的发生。在这篇文章中会介绍使用“内存取证”技术来检测高级的恶意软件感染,并且学会如何使用内存取证工具比如Volatility在真实的环境中检测恶意软件。 内存技术是指从运行的电脑中取出内存镜像来进行分析的技术,其在应急响应和调查中扮演一个很重要的角色。它能够从计算机内存中提取取证线索,比如运行的进程,网络连接,加载的模块等等 ,同时他能够帮助脱壳,Rootkit检测和逆向工程。 内存
近期,安全公司 Sucuri 发现一个名为 Sign1 的未知恶意软件感染了 39000 多个 WordPress 网站,致使网站访问人员看到了很多“强制性”的重定向链接和弹出式广告。
概述 DorkBot是一种已知的恶意软件,最早可以追溯到2012年。它被认为通过社会媒体链接、即时消息应用程序或受感染的可移动设备等多种方式进行传播。尽管它是众所周知的恶意软件家族中的一员,但我们相信
Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。感染会自动将站点的访问者重定向到包含恶意内容,即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站,以产生非法流量。这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中,包括合法的核心WordPress文件,例如:
近日,腾讯洋葱反入侵系统检测发现 PyPI官方仓库被恶意上传了request 钓鱼包,由于国内开源镜像站均同步于PyPI官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户,腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,TSRC在此建议各开源镜像站以及对开源镜像站有依赖的公司,请尽快自查处理,确保恶意库得到清除,保障用户安全。
初始感染可以有三种方式。攻击者发送恶意软件电子邮件给一个组织内部的收件人。例如,Cryptolocker就是一种感染方式,它也称为勒索软件,其攻击目标是Windows个人电脑,会在看似正常的电子邮件附件中伪装。一旦收件人打开附件,Cryptolocker就会在本地磁盘上加密文件和映射网络磁盘。如果你不乖乖地交赎金,恶意软件就会删除加密密钥,从而使你无法访问自己的数据。
近期,安全厂商Minerva发现了新型的Emotet变种活动,而这种以“圣诞快乐”(Emotet Grinch)为主题的Emotet变种正在酝酿新年里的第一波攻击。 目前,网络犯罪分子正在积极利用新型
恶意软件设计和部署的关键之处,在于将自己伪装成合法的APP,欺骗用户用户下载和运行恶意文件,以此感染目标设备和系统。为了更好地进行伪装,恶意软件制作者在设计之初就会使用各种技巧和方法。 例如将恶意软件可执行文件伪装成合法应用程序,使用有效证书对其进行签名,或破坏可信赖的站点以将其用作分发点等。 据免费的可疑文件分析服务安全平台 VirusTotal的数据,恶意软件的伪装技巧比我们想象的要大的多。VirusTotal根据每天提交的 200 万份文件编制了一份恶意软件报告,展示了从 2021年1月到2022年7
近期,研究人员发现了一种新型的技术支持诈骗技术,攻击者可以利用这种技术来劫持Google Chrome用户的浏览会话。
DDoS被称为最恐怖的网络攻击,不只是因为防御DDoS成本相对DDoS攻击的成本而言较高,还因其攻击性和破坏性也很强,因此经常被网络黑客利用。目前最大的DDoS攻击事件是美国知名安全研究人员Brian Krebs的安全博客遭遇的DDoS攻击,攻击峰值达到665G。
在互联网发展的早期,恶意程序采用TCP直连的方式连上受害者的主机。随着局域网的发展,以TCP反弹的方式进行连接。
近期,一种新发现的名为Symbiote的Linux恶意软件会感染目标系统上所有正在运行的进程,窃取帐户凭据并为其背后的操作员提供后门访问权限。据调查,该恶意软件会将自身注入所有正在运行的进程,就像是一个系统里的寄生虫,即使再细致的深入检查期间也不会留下可识别的感染迹象。它使用 BPF(柏克莱封包过滤器)挂钩功能来嗅探网络数据包并隐藏自己的通信通道以防止安全工具的检测。 BlackBerry和 Intezer Labs 的研究人员发现并分析了这种新型威胁,他们在一份详细的技术报告中揭示了该新恶意软件的详细信息
IP.Board CMS是一款著名的CMS系统,它允许用户很容易地创建和管理在线社区。而最近Sucuri的研究员最近发现了一个针对IP.Board的重定向。经过分析,研究员们发现这种攻击已经持续了2年
本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,三星手机因锁屏APP闰月bug无限重启;StrandHogg 2.0安卓漏洞影响超过10亿台设备;泰国移动运营商泄露83亿互联网记录;360百度联合行动,追踪打击“双枪”恶意木马。想要了解详情,来看本周的BUF大事件吧!
Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统一的应急响应处理流程。
安全公司赛门铁克在自己的官方博客上发表文章,称首度发现 6 款因为 Android“主密钥”漏洞而受到感染的应用,均来自中国,且为同一攻击者,但是博客并未透露具体是在哪个应用市场发现的。 这种所谓的“主密钥”漏洞即是本月早些时候移动安全公司 Bluebox 披露的一个威胁99%Android设备的漏洞。该漏洞可令黑客在不改变应用密钥签名的情况下篡改 APK(安装包)代码,从而读取设备上任意手机应用的数据(电子邮件、短信、文档等),获取保存在手机上的所有账号和密码,接管并控制手机的
ESET的安全研究员发表了一篇技术报告,报告中详细分析了一个新的蠕虫Linux/Moose。它的攻击对象主要是调制解调器、家用路由器和其他嵌入式计算机,可将这些设备变成一个代理网络,然后创建伪造的社交账号实施欺诈行为。 该恶意程序是由Olivier Bilodeau和Thomas Dupuy发现的,它会感染基于Linux的路由器和其他基于Linux系统的设备。如果它发现有其他的恶意程序和它争夺路由器的有限资源,会将其清除,然后继续寻找下一个感染目标。 Moose蠕虫不会利用路由器上存在的任何漏洞,它
近日,美国FBI逮捕了一名中国公民,FBI宣称他参与的黑客组织曾成功入侵美国人事管理办公室(OPM)。这名黑客名为于平安(Yu Pingan,音译),来自中国上海。这周,于平安参加完美国的会议后,在洛
用白话来说,就是相当于哈勃那种的东东,你给个网址,它会去这些网站上找这个网址是否是安全的,是否有什么不良历史记录这个意思
近期,深信服安全团队接到客户反馈,内网中出现了大量伪造成文件夹的可疑exe文件,删掉以后仍会反复。经深信服安全团队分析发现,这是一个蠕虫病毒FakeFolder,该病毒会通过U盘及共享文件夹进行传播,一旦主机感染了该病毒,文件系统中的文件夹都会被隐藏,取而代之的是一个伪装的病毒文件,当用户运行病毒文件时,也会弹出对应文件夹的窗口,因此不易被察觉;只要系统中还残留着一个FakeFolder病毒文件,就会对主机进行反复感染。
Avast 公司的威胁情报小组今天发布了上周 CCleaner 后门事件的新细节。 研究显示,CCleaner 黑客用于存储受感染主机数据的数据库空间不足,因此在 9 月 12 日将该数据库删除。这意味着受害者信息现在已经丢失、无法追查,且感染第二阶段后门 payload 的计算机数量可能比最初预估的更大。 CCleaner 后门可以收集用户信息并将其发送给受攻击者控制的服务器,该服务器已经在 9 月 15 日关闭。整个后门事件中,在 8 月 15 日至 9 月 12 日期间下载受感染的 CCleaner
过去一年里,发生了一连串开源软件遭受供应链攻击的事件,并且态势愈演愈烈。就在最近,甚至发现2个独立的后门漏洞进入了数十万服务器管理员下载的库中。
2022年底,卡巴斯基报告了BlueNoroff的最近活动,这是一个以窃取加密货币而闻名的经济驱动型威胁团伙。该组织通常利用Word文档,使用快捷方式文件进行初始入侵。然而,该组织最近采用了新的方法来传播其恶意软件。
DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问或访问的是假网址。
领取专属 10元无门槛券
手把手带您无忧上云