前言 近期,FireEye检测到了一种利用漏洞CVE-2017-0199的恶意OfficeRTF文档——本周早前FreeBuf也报道了这一漏洞,在无需启用Word宏的情况下,打开恶意RFT文档就可感染恶意程序。当用户打开嵌入了漏洞利用代码的恶意文档之后,这个漏洞将允许攻击者在目标设备中下载并执行一个包含PowerShell命令的Visual Basic脚本,而FireEye所发现的这个恶意Office文档正是利用了漏洞CVE-2017-0199来在受感染设备上下载并执行恶意Payload。 目前,Fir
在此,火绒工程师提醒大家时刻注意群聊中发送的陌生文件,如有必要先使用安全软件扫描后再使用。火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
充分的了解是打击网络犯罪的最佳武器。了解不同团伙的运作方式及其使用的工具有助于建立有效的防御和取证流程。本报告详细介绍了Cuba组织的历史,以及他们的攻击战术、技术和程序(TTP),旨在帮助组织在类似的威胁面前领先一步。
Palo Alto Networks Unit 42 的安全研究员发现了一种基于 Linux 平台的加密货币挖掘僵尸网络,该僵尸网络利用 PostgreSQL 远程代码执行(RCE)漏洞来攻陷数据库。
概述 DorkBot是一种已知的恶意软件,最早可以追溯到2012年。它被认为通过社会媒体链接、即时消息应用程序或受感染的可移动设备等多种方式进行传播。尽管它是众所周知的恶意软件家族中的一员,但我们相信
国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种恶意木马程序变种Trojan_ Wapomi.A。该变种会使得受感染操作系统中的隐私信息数据、网银账号和密码等遭到窃取和泄露。 该变种运行后,它会终止受感染操作系统中系统文件的保护,随即向系统中浏览器IE发送消息运行其自身。与此同时,该变种终止操作系统中防病毒软件的进程文件,并删除操作系统注册表中相关键值项,使其无法正常进入安全模式。 另外,该变种还会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器,下载其他木马、病毒等恶意程序。 专
近日,火绒收到多位用户反馈,电脑频繁报毒、网页被劫持等问题,经排查发现是传奇私服捆绑Rootkit病毒导致。该病毒通过篡改用户流量来推广自己的传奇私服,不仅使用多种对抗手段,还伪装成系统驱动等来隐藏自身,对用户构成较大的威胁。
9月10日下午,又一起规模化利用Redis未授权访问漏洞攻击数据库的事件发生,此次黑客以勒索钱财作为目的,猖狂至极,甚至直接删除数据库数据。由于腾讯云早在17年就发现过Redis这个漏洞,有个预案,所以这一次更是第一时间启动全网通知提醒,周知腾讯云用户进行防范,同时给出防范和应对措施。
写在前面的话 在之前的文章中,我们给大家介绍了基于Web的挖矿恶意软件的相关内容。通过观察发现,越来越多的攻击者开始使用臭名昭著的Coinhive服务(允许网站使用目标用户硬件资源挖门罗币)来实施攻击
透明部落(又称PROJECTM和MYTHIC LEOPARD)是一个十分活跃的APT组织,其活动可以追溯到2013年。
最近新出现了一个功能丰富的RAT名为Pekraut,经过分析后推测可能来源于德国。
在第一部分中,我提供了 PowerShell 的高级概述及其对网络的潜在风险。 当然,如果我们有追踪机制,那么只能缓解一些 PowerShell 攻击,假设我们已经开启了如下模块:
AVL移动安全团队近日联合LBE发现一款内置于手机ROM的恶意代码模块。由于该恶意代码作者将此恶意模块运行释放的模块称为“Cake”,所以我们将其命名为“PoisonCake(毒蛋糕)”。 在分析过程中,我们还发现该恶意代码中存在明显的恶意代码作者身份标识tjj,ruanxiaozhen,并且其最后编译时间为2014年8月26日10点20分。 该恶意模块恶意行为特点如下: PoisonCake可以单独运行,解密释放相关主体功能模块,在后台监控自身进程并执行以下恶意行为: 1. 注入Phone进程,
最近,安全研究人员发现 AnonymousFox 在攻击中使用新的定时任务。本文将会介绍其中一个恶意定时任务,讲解其功能以及如何进行识别与删除。
Backstab是一款功能强大的安全研究工具,在该工具的帮助下,广大研究人员可以轻松终止那些受反恶意软件产品保护的进程。
5月8日,火绒实验室截获新型后门病毒。该病毒破坏性极强,入侵用户电脑后会执行多种病毒模块,以窃取用户比特币、门罗币等主流虚拟货币的数据信息,同时利用用户电脑疯狂挖矿(生产“门罗币”),并且还会通过远程操控伺机对用户进行勒索。
这是作者新开的一个专栏,主要翻译国外知名安全厂商的APT报告,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了Rampant Kitten攻击活动,包括Windows信息窃取程序、Android后门和电报网络钓鱼页面。这篇文章将介绍APT组织拉撒路(Lazarus)使用的两款恶意软件,并进行详细分析。个人感觉这篇文章应该是韩国或日本安全人员撰写,整体分析的深度距安全大厂(FireEye、卡巴斯基、360)的APT报告还有差距,但文章内容仍值得我们学习。
随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、Weblogic WLS组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象 。
概要 Unit 42安全小组已经发现了一种新的恶意软件家族,并将其命名为“Reaver”。研究人员表示,这一新型恶意软件与在2016年针对中国台湾地区的黑客攻击活动中所使用的恶意软件SunOrcal存在一定的联系。 根据记录在案的证据显示,SunOrcal恶意软件至少从2013年便已经开始活动。而根据某些C2元数据显示,该恶意软件甚至可能早在2010年就已经开始活跃。而到了2016年下半年,新的恶意软件家族开始呈现疯狂发展状态。经过对Reaver进行了全面分析后,我们共发现了属于三种不同版本恶意代码的十个完
Java 是一种广泛应用于各种类型的软件开发的编程语言,而与 Java 紧密相关的一个概念就是进程。本篇博客将从基础开始,详细介绍 Java 进程的概念、创建、管理以及一些实际应用场景。无论您是初学者还是有一定经验的开发者,都能从本文中获取有关 Java 进程的有用信息。
RapperBot 是一个主要针对 IoT 设备的恶意软件家族,自从 2022 年 6 月以来一直保持活跃。此前以爆破攻击为主进行扩张,攻击者驱动僵尸网络发起 DDoS 攻击。研究人员近期发现,Rap
Trickbot曾经是一个简单的银行木马,已经走过了漫长的道路。随着时间的推移,我们已经看到网络犯罪分子如何继续为此恶意软件添加更多功能。
我们的持续集成服务器搭建在AWS上的一个EC2的虚拟机中。采用Jenkins 2.46.1并且只有一个Master实例来运行所有的任务。且采用持续部署——团队每天要在开发环境自动部署10+个版本。整个过程由Jenkins内部构建的流水线触发。代码提交,测试,构建,部署一气呵成。
Ke3chang组织也被称为APT15,该组织的攻击行为于2012年第一次被曝光,该组织当时利用远程后门攻击全世界的高价值目标。该组织活动最早可以追溯到2010年,在火眼2013年报告中显示该组织当时针对目标为欧洲外交组织。2012-2015年记录显示该组织攻击者更新了TidePool恶意软件,后来2016-2017年RoyalCLI和RoyalDNS等工具被一同发现用于攻击英国政府。2018年,Ke3chang组织使用新版Mirage RAT以及精简版的MirageFox等工具。我们一直在跟踪与该组织相关的恶意攻击行为,并有很多有价值的发现。
F5研究员发现了一种新型Apache Struts 漏洞利用。这种恶意行动利用NSA EternalBlue 和 EternalSynergy两种漏洞,运行于多个平台,目标为内部网络。 研究人员将其命名为“Zealot”,因为其zip文件中包含有NSA所发布的python脚本。随着研究的深入,此文章会进一步更新,目前我们所知道的有: 新型Apache Struts 目标为Windows和Linux系统 Zealot的攻击复杂,多平台,且及其模糊 Zealot利用的服务器均有以下两种漏洞 CVE-2017
网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
三次握手(Three-way Handshake)其实就是指建立一个TCP连接时,需要客户端和服务器总共发送3个包。进行三次握手的主要作用就是为了确认双方的接收能力和发送能力是否正常、指定自己的初始化序列号为后面的可靠性传送做准备。实质上其实就是连接服务器指定端口,建立TCP连接,并同步连接双方的序列号和确认号,交换TCP窗口大小信息。
一般来说,勒索软件攻击分为多个阶段。只有充分了解各阶段活动,组织才能有备无患,应对自如。需要注意的是,勒索软件是软件代码,在攻陷兼容计算机后执行,对本地存储、网络或云中的可访问数据进行操控。此外,还可能利用网络访问权限和互联网与命令控制(C2)服务器(攻击者的基础设施)通信。攻击受害人应料到勒索软件会利用强加密算法加密数据且只有联系勒索软件组织才能获得解密秘钥。受害人支付赎金后,攻击者提供的解密工具和秘钥可能无法正常使用,导致某些数据仍无法解密和访问。
写在前面的话 当各个组织正忙于应对全球疫情的时候,新一波的勒索软件攻击又悄悄开始了。这款名为ProLock的勒索软件,是2019年底出现的PwndLocker勒索软件的变种版本。PwndLocker的传播时间非常短,主要是因为很多用户发现解密文件所需的密钥可以从恶意软件本身来获取,这样就无需支付赎金了。但是,今年三月份出现的ProLock正好相反,因为目标用户在支付了赎金之后,接收到的却是一个存在问题的解密工具,而这个解密工具将会损坏目标用户设备中已被勒索软件加密的数据。 这种错误可能与ProLock加密文
很多客户网站服务器被入侵,被攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站被篡改,被跳转,首页内容被替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序,以及网站被上传webshell的安全提醒,包括腾讯云提示服务器有木马文件,客户网站被攻击的第一时间,是需要立即处理的,降损失降到最低,让网站恢复正常的访问,由于每个客户找到我们SINE安全都是比较着急的,安全的处理时间也需要尽快的处理,根据我们的处理经验,我们总结了一些服务器被攻击,被黑的排查办法,专门用来检查服务器第一时间的安全问题,看发生在哪里,服务器是否被黑,是否被攻击,那些被篡改等等。
4.Cobaltstrike生成宏病毒代码 一键生成宏代码后,新建一个文档或者用已经有的文档构建。(以word为例)步骤如下: 选择 "视图" -> 宏 -> 查看宏 -> 创建,填入生成的宏代码即可
忽然间,Dark Power 浮出水面,并且试图快速成为业内有话语权的犯罪团伙。本文讨论了 Dark Power 勒索软件的细节,包括攻击者披露的相关被窃数据与受害者信息。根据分析人员的观察,该团伙并不针对特定部门或者地区进行攻击。 样本文件 【勒索软件样本文件】 Nim 是一种晦涩难懂的编程语言,攻击者越来越多地将其应用于开发恶意软件中,看中了它开发方便且原生跨平台的能力。 加密密钥初始化 勒索软件 Dark Power 会创建一个随机的 64 字符长的小写 ASCII 字符,主要用于初始化加密
在上述情况中,你可以想象CGI通常有多慢。每一个Web请求PHP都必须重新解析php.ini、重新载入全部扩展并重初始化全部数据结构。使用FastCGI,所有这些都只在进程启动时发生一次。一个额外的好处是,持续数据库连接(Persistent database connection)可以工作。
Banjori是被发现于2013年并活跃至今的银行木马。其攻击目标主要针对于法国、德国与美国的个人银行网上用户。当用户被感染后,木马会将恶意载荷注入至用户的活动进程实现持久威胁并对用户的信息进行收集。银行木马的盗窃重灾区多位于浏览器,Banjori亦不能免俗。相比IE与Chrome, 该木马尤为青睐于火狐浏览器,大部分被窃取的用户信息均通过对该浏览器的挂钩、数据库文件查询获取。值得一提的,该木马家族自2013年起就使用当年颇为时髦的动态域名算法获取CC服务器地址。这导致杀软传统的黑名单过滤形同虚设,但同时也为摧毁/接管该僵尸网络创造了条件。
文章首发与:奇安信攻防社区 https://forum.butian.net/share/2126 前言 在一个阳光明媚的下午和群里的兄弟在吹牛,然后甲方爸爸突然发了一张截图~ 📷 分析与处置 1.立马通知现场的同事先对服务器进行断网 2.此告警为防火墙与EDR联动之后由防火墙推送过来的,查看防火墙上的告警,发现受害主机在每天的0点、8点、14点、16点左右均会访问恶意域名down.b591.com和down.1226bye.pw,初步判断可能是入侵者配置的定时任务触发告📷 3.上机排查系统计划任务,计划任
说明:百度的应急文章很多,在此不在介绍如何按照手册进行排查,只针对实战进行分析和排查。
为了可以处理多个客户的请求,我们之前一直使用多进程TCP并发服务器,socket()监听一个套接口,accept()多个用户,父进程监听listenfd,子线程们在connfd上进行应答处理。
FortiGuard 实验室在2020年 5 月底左右获得了 EKANS 样本进行分析。
近期收到某友方 SRC 发来的邮件,反馈站点中存在可被 Dos 的风险, 复测后发现确实存在此类风险。
网络安全公司CrowdStrike发布了《2020全球威胁态势报告》,其研究结果显示“无文件恶意软件”攻击的趋势增加,无文件恶意软件的攻击数量超过了恶意软件的攻击数量。2019年,51%的攻击使用了无文件恶意软件技术,而在2018年,只有40%的攻击使用了无文件恶意软件技术。
大多数受攻击的服务器是由程序执行的,这些攻击者会滥用服务器,只要能正常访问,他们几乎不采取任何预防措施隐藏他们正在做的事。
为了给大家提供更加安全的游戏运行环境,2024年1月30日至2024年2月29日新创建的腾讯云轻量应用服务器Lighthouse实例将获赠【2个月主机安全旗舰版】防护能力。
jieluTox 是一个 P2P 型的无中心服务器消息传递系统,使用 NaCl 进行加解密。由于没有中心服务器,类似 BitTorrent,会使用 UDP 与 DHT 来查找在线端点。这表明该方法能够保持很好的匿名性,每个用户都有一个表明自己身份的 ID。 此前也发现过 Tox 被攻击者用于进行通信,本次是 Uptycs 威胁研究团队发现了使用 Tox 协议的 ELF 样本文件。 技术概览 在野发现的二进制文件尽管是 stripped 的,但仍然可以顺利地进行反编译。文件是使用 C 语言进行编写的,只静态
这一年是2012年.PHP和Ruby on Rails作为渲染Web应用程序的最高服务器端技术而备受瞩目。但是,一个大胆的新竞争者掀起了一场风暴 - 一个能够处理1M并发连接的人。这项技术不过是Node.js,从那以后一直稳步增长。
语义化是指根据内容的结构化(内容语义化),选择合适的标签(代码语义化)。通俗来讲就是用正确的标签做正确的事情。
paradoxiaRAT是一款功能强大的本地Windows远程访问工具,该工具可以给广大研究人员提供如下表所示的功能:
这个世界上从来都不缺Android恶意软件,但我们却很少能够遇到像GhostCtrl后门这种功能如此之多的Android安全威胁。 根据趋势科技的研究人员透露的信息,这款恶意软件已经更新到了第三代版本
在渗透测试中,提升自己的权限是经常遇到的问题,往往在渗透中最容易获取的权限就是一个webshell,如果网站是架设在Windows系统上的,这时就可能遇到这样的问题,还有一种情况是在做横向渗透的时候,收集到一些可以远程连接桌面的帐号,这是也需要,在实际的渗透中有很多的地方会需要这个操作,这个系列就主要介绍各种提权的方式。
领取专属 10元无门槛券
手把手带您无忧上云