今天早些时候,我写OLE Package还是packager.dll的时候,一个Windows特性回溯到Windows 3.1,在之后的Windows版本中也存在,它允许在文档中嵌入任何内容!...但是,如果你将该邮件保存为.msg文件,然后将其作为邮件的附件,用户就可以打开这个包了!...然后新建一个邮件,告诉用户记得查看附件,将testing.msg作为附件增加到邮件中,并发送给公司的员工。...Outlook自身对于OLE Packages也会忽略危险文件类型,并故作从容的允许它轻松的打开。...然后将消息类型换回HTML(重要),然后保存邮件: 在上面的例子中,通过安全提醒盲目的你打开了Invoice.docx,之后弹出了Firefox安装程序 保护 3个途径: 其一便是应用白名单,然而对于嵌入的签名的带参数可执行文件要非常小心了
一、具体特征: 目前发现的样本主要以诱骗用户主动下载运行的可执行文件为主,有明显带.exe可执行文件后缀的恶意文件(比如:冠状病毒.exe、逃离武汉.exe),也有带.zip的压缩包诱导用户解压执行(比如...根据恶意文件格式大类型来看,未来可能会出现文本文件类型(比如DOC、PDF等)或脚本类型(JS、VBS等)的附件,建议提高警惕谨慎点击。...该病毒可突破绝大多数防火墙到达内部网络,可在后台悄悄控制键盘、鼠标、监视电脑屏幕、窃听电脑声音,观看视频以及发送电脑上的任意文件,甚至可实现远程开关机。 该系列病毒中还有一些会发动更加恶劣的攻击行为。...三、防范措施: (1)不要打开来历不明的电子邮件或下载不明来源的文件; (2)不要启用Office宏,除非文档来自可信来源; (3)及时更新杀毒软件程序并保证随时开启; 最重要的是不要下载或打开文件名中带有...:“武汉肺炎疫情”、“新型冠状病毒”等相关名称,但文件扩展名又为*.exe后缀,或相关名称的zip、rar等压缩包中为*.exe后缀的可执行文件。
2015-2018年间活动 Mydoom的传播方法是通过使用电子邮件。分析过程中将包含mydoom附件的电子邮件与包含其他类型恶意软件附件的电子邮件进行了比较。...为什么Mydoom电子邮件的百分比要比Mydoom附件的百分比低得多?因为许多恶意的电子邮件活动都会向成百上千的收件人传递相同的恶意软件样本。...这些mydoom电子邮件的附件是可执行文件,或者是包含可执行文件的zip压缩包。...在Windows7主机上,mydoom在用户的appdata\local\temp目录中将自己复制为lsass.exe,但该恶意软件在Windows注册表中不会一直存在。...在Windows XP主机上,mydoom可执行文件在c:\windows\lsass.exe处生成自身副本,并通过hkey_local_machine hive中的Windows注册表持久存在,并在software
接下来,我们一起分析一下无文件攻击所采用的攻击方法以及策略,我们会对无文件攻击所涉及到的特定技术进行介绍,并解释为什么这种攻击方式在大多数情况下不会被安全防御系统发现。...在这种场景下,攻击者需要使用到恶意文档(例如电子邮件附件),目的有以下几种: 1、 文档作为携带其他文件的容器,灵活性更好。...比如说,攻击者可以在Microsoft Office文档中嵌入恶意JavaScript文件,喜欢社工技术的攻击者还可以诱导目标用户双击文件后执行嵌入的脚本等等。...其他类型的文档还可以携带PDF和RTF等类型的文件,这种功能属于应用程序的一种特性,所以反病毒技术一般不会干扰其使用。 2、 文档还可以携带漏洞利用代码或Payload。...总结 无文件攻击的实现得益于某些应用程序和操作系统所特有的性质,它利用了反恶意软件工具在检测和防御方面的缺陷。
令人意外的是,该木马使用了多重反逆向分析技术,而且最终的payload是用Delphi编写的,而Delphi在银行木马中并不常见。...感染传播Infection Vector 垃圾邮件 与大多数银行木马活动类似,该木马首先利用恶意垃圾邮件进行传播。...攻击者使用的邮件是用葡萄牙语写的,看起来更加真实,收到恶意邮件的人更容易打开恶意附件。 ? 该邮件含有一个名为BOLETO2248.html的附件,BOLETO是巴西使用的一种发票。...下面的debug字符串是我们在样本中发现的,这些字符串是葡萄牙语的: ? 当受感染的主机执行特定操作的时候,这些字符串就会被发送给C2服务器。...C2的配置在i.dk纯文本文件中,该文件使用AES256加密。包含有日期,IP和其他配置项目,如下: ? 结论 银行木马也是安全威胁的一部分,而且在不断发展。
譬如在邮件服务器上直接拦截所有勒索欺诈类邮件,而对于一般的推广营销类邮件,则移入用户邮件的垃圾箱中。 为实现上述差异化的邮件过滤策略,请参赛选手分析邮件日志数据,设计分类模型,实现针对邮件类型的分类。...Office类型邮件附件的文档信息 sender 发信人 dwlistcnt 命中域名自动白名单的rcpt数量 subject 邮件的主题 from 信头的from信息 url 邮件中包含的URL链接...提交规则 请各参赛队伍自行设计算法,区分邮件日志的不同类型,将邮件的编号以及所属类型写入指定的文件中,即/home/jovyan/result2.csv。...请注意:同一个邮件日志不会同时属于两个及以上的类型,参赛选手提交的文件中若某个邮件日志同时包含在多个类型之中,评分时将以文件中第一条出现的结果为准。选手在本次竞赛的持续时间内,每日提交次数不限。...最后,我们仅仅将异常(邮箱停用、邮箱警报等)类型分为钓鱼邮件,但其实还可以通过HTML、链接点击进行深入划分,比如设置颜色背景的、下载附件exe或者引诱你点击的很大程度就是钓鱼邮件,这里可以结合另外两道题目的思路进行优化
不看不知道,一看吓一跳呀~ 因为文件后缀是.dll 、 .exe 的,所以敏感的推断很可能是病毒!...验证我的推断 接下来,用了最简单的方式,验证我的推断: 用记事本打开 “相册.exe”,然后在内容中查找“http” [在这里插入图片描述] (为什么要查找“http”呢?...怎样才能知道盗号者到底把盗来的帐号记录在哪里? 在实在无计可施的情况下,为了能找到它真正的地址 我尝试改写他的跳板文件,然后在服务端记录他提交上来的参数!...而这种邮件通常由盗号者手动发出,而且这种邮件会取一个有针对性的邮件标题,从而诱骗你下载附件打开! 而盗号者在盗取到新的帐号后,再使用新帐号对里面的好友们群发邮件,从而使病毒不断扩散!...目前该病毒使用过的标题有: “相片”、“公司账单请查收” 、“同学联系方式”、“帐号”等! 而目前起码已经有上万个帐号(可能还远远不止)已经受害了! 所以,如果有一天你也收到这类型邮件!
但国内要申请作反向解析比较困难,所以我们可以使用中继服务器转发,例如: 可以申请个免费邮箱(比如Sina),邮件系统外发递送 中设置递送失败后启用中继递送,中继服务器: smtp.sina.com.cn...这是因为收件人所在的邮件服务器使用RBL过滤垃圾邮件,而您的邮件服务器IP地址在RBL列表中,因此被拒绝了。...作为预防可能存在的病毒的一种安全手段,Gmail 不允许用户接收可能包含破坏性可执行代码的可执行文件(例如文件名以 .exe 结束的文件)。...如果有任何这种类型的邮件发送到了您的 Gmail 帐户,该邮件会退回发送方。 解决办法:将exe文件改名,或者将压缩文件改名。...比如test.ex_,或者test.zip_ 九.为什么发往21cn的邮件会被退回?
钓鱼邮件看似威胁性不大,可一旦账号密码被钓,攻击者即可能透过开放的远程工作对外服务,及单一账号认证服务 (SSO,Single sign-on) 合法使用企业开放的服务,而形成入侵企业的破口。 ?...钓鱼及诈骗邮件在第二季非常盛行 连外下载的恶意 Office 文件 第二季,我们发现许多恶意的 Office 文件样本。...以订单作为社交工程的手段,诱骗受害者开启恶意文件 这种连外开文件的恶意 Office 文件样本,多半以 docx 的方式夹在电子邮件的附件中,少数用 xls 及ppam 的方式做夹带。...恶意文件被执行后,会向中继主机抓取 vbc.exe 或 reg.exe 并执行,接着成为常驻的后门程序。 双扩展名的恶意文档 第二季出现不少双重扩展名的攻击性电子邮件。...玄机藏在网页的原始码中,恶意程式的编码文件,被放在俗称「网站时光机」archive.org 的合法服务内 ?
在我们看到的活动中,带有恶意 XLL 附件或链接的电子邮件被发送给用户。双击附件打开 Microsoft Excel,提示用户安装并激活加载项。 图 1 – 打开 XLL 文件时向用户显示的提示。...但是,XLL 文件是可移植的可执行文件,遵循许多电子邮件网关已经阻止的动态链接库 (DLL) 的格式。我们建议组织考虑以下缓解措施: 配置您的电子邮件网关以阻止包含 XLL 附件的入站电子邮件。...出售 XLL 恶意软件 XLL 攻击的增加促使我们搜索地下论坛,以评估使用这种文件格式的工具和服务的流行程度。我们反复遇到来自一个威胁参与者的广告,他们声称正在销售一种创建 XLL 滴管的构建器。...我们看到的最常见的恶意 XLL 文件类型是使用名为Excel-DNA的合法软件项目生成的文件。查看遵循此结构的 XLL 恶意软件样本,您可以看到它包含多个大型资源(图 4)。...然后,恶意软件使用解析后的 API 函数从 Web 服务器下载有效负载,将其存储在本地,然后执行。
FortiGuard Labs 最近捕获了新的网络钓鱼邮件活动,其中包括特制的 Excel 文档附件。...Dridex 钓鱼邮件 带有 Excel 附件的 Dridex 钓鱼邮件如下所示: 钓鱼邮件伪装成向客户发送的进口关税数据,要求用户打开 Excel 附件(HF7.TRANS 2021.08.09.xlsb...Macro1是一个隐藏的工作表,包含并执行 Excel 4.0 宏代码,在文件 xl\workbook.xml中定义。...该文件也硬编码在 VBScript 代码中,当 Dridex 下载成功后会执行 wmic.exe来创建一个新的 rundll32.exe进程。...,通过 API 哈希调用 所有常量字符串都是加密的,在使用前解密 某些 API 通过触发异常(0x80000003)在异常处理函数中捕获异常进行调用 加密数据包 Dridex 将从失陷主机窃取的敏感数据加密发送到
守内安与 ASRC 研究中心整理出的特殊攻击样本如下: 网络服务使用依赖,导致钓鱼风险大增 钓鱼邮件在第一季样貌多元,除了传统常见宣称电子邮件有问题、验证与重启账户、要求变更密码…等,也发现了许多钓鱼邮件的巧妙心思...,例如:利用疫情期间网络服务使用频繁的假冒快递、各种影音串流服务、工作招聘等的各种钓鱼,目标在钓取电子邮件账号密码、各种在线服务的登入信息;或诱骗受害人开启邮件中的恶意文件、恶意链接,以便进一步取得受害者计算机的控制权...图标伪装为 WORD 文件,并以长串文字命名,让人不易察觉扩展名为.exe 大量恶意的Office 文件,通过远程加载恶意样本躲避扫描 在第一季我们发现大量的恶意 Office 文件被散播。...恶意文件中,远程加载的恶意样本 这个恶意样本被放置于 ColoCrossing 虚拟主机上,最终会下载一个 vbc.exe 并在宿主端运行,伺机窃取宿主主机的机密文件。...这类型的恶意邮件在 2021 年第一季大量被观察到,若就这类恶意文件来做检查,本身并没有明显的VBA或恶意代码包含在其内,因此有机会躲过某些扫描机制。 ?
根据折线图,可见钓鱼邮件分发量的趋势上升一直持续到了今年年初,Unit42 分析师在 2024 年 1 月底至 2 月初又记录到了大规模的活动。...用德语书写的发票主题电子邮件 (图源:Unit42) 据统计,该恶意软件的大多数攻击目标都锁定了 "高科技 "领域运营,其次是金融、法律服务、制造、政府、公用事业和能源、保险和建筑等行业。...以前,电子邮件会附上包含 .lnk 快捷方式和 HTML 文件的 .ISO 文件,利用多语言调用 "rundll32.exe "并执行恶意软件有效载荷。...最新的感染链则使用了 ZIP 附件将 JScript 文件植入受害者系统。执行时,脚本会投放一个批处理文件和一个解码为 DLL 的 base64 编码文件。...StrelaStealer 的主要功能保持不变:从常用的电子邮件客户端窃取电子邮件登录信息,并将其发送到攻击者的指挥和控制(C2)服务器。
除了经济损失之外,这些攻击还会导致受害企业敏感数据的泄露。 网络钓鱼电子邮件 在大多数案例中,网络钓鱼电子邮件的内容都与财务相关,其附件的命名也体现了这一点。...有些电子邮件没有附件,在这些案例中,电子邮件的正文旨在引诱收件人点击一个指向外部资源的链接,而恶意对象就会从这些资源下载。...以下是针对某些企业的攻击中所使用的网络钓鱼电子邮件的示例: 网络钓鱼电子邮件的屏幕截图 这封电子邮件声称自己是由一家知名的工业企业发出的。...发送该电子邮件的服务器的域名与该企业官方网站的域名确实非常相似。电子邮件附带有一个受密码保护的存档文件,而这个密码可以在电子邮件的正文中找到。...为了不让用户怀疑他们为什么没有获取到在钓鱼电子邮件中提到的采购招标信息,恶意程序所安装的这个Seldon 1.7软件实质上是一个恶意版本。
Rootkit Rootkit 旨在隐藏系统中的某些对象或活动。通常,它们的主要目的是防止检测到恶意程序,以延长程序在受感染计算机上运行的期限。...在这样做的过程中,犯罪分子使用不同的程序,有时甚至是整个恶意软件链。他们是怎么做到的?一个例子可能是通过受感染的电子邮件附件在计算机上安装的后门未被注意到。...为了遏制这种危险,除了拥有最新的软件之外,还应在Word和Excel中停用宏,并且不应从来自未知发件人的电子邮件中打开任何附件。 搭载到终端设备上 特洛伊木马程序不仅存在于电子邮件附件中。...包括: 电子邮件:在作为电子邮件附件发送的文件内携带 互联网:通过受感染网站的链接;通常隐藏在网站的HTML中,因此在页面加载时会触发感染 下载和FTP服务器:最初可以在下载的文件或单个FTP文件中启动...或任何其他类型的ICQ或IRC消息 P2P/文件共享:通过 P2P 文件共享网络以及任何其他共享驱动器或文件(如 U 盘或网络服务器)进行传播 网络:通常隐藏在网络数据包中;尽管它们可以通过共享访问网络上的任何设备
门罗币的算法通过计算机CPU和GPU即可进行运算,不需要其他特定的硬件支持; 4. 互联网上开源的门罗币挖矿项目很多,方便使用; 5. 暗网支持门罗币交易。 为什么会中挖矿木马?...垃圾邮件:用户运行了钓鱼邮件中的附件。 软件捆绑:用户下载运行来历不明的破解软件 漏洞传播:用户没有及时修补漏洞,目前大部分挖矿木马都会通过漏洞传播。...定位挖矿 普通开源挖矿程序 如果感觉主机突然出现明显的卡顿,可以打开任务管理器,查看CPU使用率,中了挖矿木马时,用任务管理器可能会看到存在奇怪的进程,CPU占用率较高,比如下图中,LogonUI.exe...目录是Windows系统下用于存放字体文件的目录,有一些病毒会将自身的程序隐藏在该目录下,例如Explorer一键挖矿,正常使用资源管理器在Fonts目录下无法查看到木马文件,需要借助PCHunter工具查看...、ProcessExtended.dll,并且释放一个快捷方式用于带参数启动wuauc1t.exe: 同时会在temp目录下释放随机字符命名的驱动文件,并通过注册成服务hy5.5,对应的注册表键值如下
维持权限 Kimsuky通过使用恶意浏览器扩展,修改系统进程,操纵执行,使用远程桌面协议(RDP)以及更改应用程序的默认文件关联等手段,从而获取登录名和密码信息,或在某些应用程序允许列表解决方案之外启动恶意软件...特权提升 在特权提升方面,Kimsuky使用的是众所周知的方法:将脚本放入Startup文件夹,创建和运行新服务,更改默认文件关联以及注入恶意代码。...防御规避 包括禁用安全工具,删除文件以及使用Metasploit等。 凭证访问 Kimsuky使用合法工具和网络嗅探器从Web浏览器、文件和键盘记录器中收集相关凭证。 ?...发送嵌入BabyShark恶意软件的电子邮件 新的恶意组件 近几个月来,Kimsuky被归因于许多以冠状病毒为主题的邮件攻击活动,以邮件中包含的武器化Word文档为其感染媒介,在受害者计算机上发起恶意软件攻击...除此之外,KGH_SPY后门还可以从C2服务器下载辅助负载,通过cmd.exe或PowerShell执行任意命令,甚至可以从Web浏览器,Windows凭据管理器,WINSCP和邮件客户端中获取凭据。
比如初中时候很流行的给DVBBS上传个改了拓展名的ASP web shell,尽管给web服务器上传可执行文件在2020年已经基本绝迹了,但依然存在隐患,就好比就算你家里请了007当保镖也是需要夜间锁好门...这在某些场景下会导致自己数据中心里巨大的带宽消耗,也就意味着别人使用我们的图片,我们要为此付钱。...自己博客实现附件下载的坏处有: 大文件 不同的Web服务器及防火墙产品对文件尺寸的限制不同,而部署博客的用户很可能无权管理这些限制,就会导致大附件无法提供下载。...域及IP黑名单 某些公司或组织(特别是安全规范较高的软件公司)会屏蔽非白名单域的文件下载,尽管你可以用浏览器正常打开该域的网页,但无法下载文件(防火墙只允许HTML/CSS/JS等,而不允许ZIP、EXE...而采用三方文件下载(如GitHub、OneDrive)的好处有: √ 你的文件不仅可以分享到博客文章中,也可以分享到别的位置; √ 这些三方服务有自己的CDN,而不用担心消耗你自己的钱包; √ 许多文件托管服务有完整的管理功能
邮件伪装美国法院的传票,并会要求受害者打开邮件的附件(一个加密的word文档)了解详细的信息。 ?...大体的分析出了以下的攻击步骤: 受害者接收钓鱼邮件,打开邮件附件的word文档,并执行宏脚本。 宏脚本下载执行一个名为background的恶意文件,并弹出系统不兼容的提示框。...使用密码解压taskwgr.exe文件,释放出install.sql和svchost.exe。从扩展名上看install.sql是个数据文件。...在加密完系统中的文件后,会放出勒索信息,同时向服务端发送相应的信息 ? 勒索信息 ? ? ? ? ? ? 七、后续和总结 我们将此次涉及到的恶意ip在我们自有的恶意情报平台进行查询。...但还是要提醒各位读者,不要随便点击来路不明的邮件附件,请使及时对计算机中的重要资料进行备份,防止不必要的损失。 我们会对此次事件进行持续追踪和关注。
如果你以为使用BAT文件来进行攻击有点过时了,那我得请你想好再说了。在监控我们的安全邮件网关云服务时,我们发现了多个针对巴西用户的可疑的垃圾邮件。...接下来,我们就给大家分析一下这个使用BAT文件来实施攻击的巴西恶意软件样本。 下图显示的就是我们所捕捉到的垃圾邮件信息,它们会诱使目标用户去打开邮件中的附件: ?...下面给出的是邮件内容: 邮件主题:附件为São Paulo的财务记录,N – 7632630091 邮件内容:附件为我们提供服务的发票… 附件:Nota Fiscal - Pauline City Hall.zip...附件是一个ZIP压缩文档,其中包含了一个批处理文件,它使用了UTF-16编码。...在对批处理文件进行了深入分析之后,我们发现了如下所示的恶意行为: 1. 在初始化过程中,它会在目标主机中创建目录C:\{随机目录名称}; ? 2.
领取专属 10元无门槛券
手把手带您无忧上云