展开

关键词

第一起 | 国内用伪基传播Android

根据外媒报道称,中国的开发者正在使用伪基(BTS)发送包含Android链接的短信。? 这是开发者使用基传播的第一起案例,也是Avast 2014年发布的趋势预测中的一种可能,只是直至目前才得以实现。 通过假基传播Swearing木马利用这种方式传播的Android名为“Swearing”,之所以称为“Swearing”是因为它的源代码中包含很多中国骂人的话。 虽然去年中国当局已经逮捕了Swearing团伙中的部分成员,但是之后,攻击者使用Swearing和蜂窝基的攻击事还是时有发生。 这家以色列安全公司还援引了HummingBad的案例,去年 2 月,Check Point 监测到了 HummingBad 的存在,它是一个以下载量为驱动的,感染之后,用户在使用手机浏览页的时候可能会被跳转到色情内容

470100

10万WordPress沦陷:SoakSoak来了

而现在,一款广泛传播的已经感染了100,000多个WordPress,而且数字仍在增加。 Google将超过11,000个域名纳入黑名单消息先是周日早上在WordPress社区传播,起因是Google将超过11,000域名列入黑名单,这些都被一款最新的攻击,来源于SoakSoak.ru ,所以起名为SoakSoak 。 由于现在互联上有超过7亿使用WordPress,所以这样的影响巨大。一经感染,就会出现异常行为,包括重定向到SoakSoak.ru。访问的用户也可能会自动下载程序。 Google已经将11,000个可能已经感染病毒的列入黑名单。 分析SoakSoak会修改wp-includestemplate-loader.php文

31970
  • 广告
    关闭

    云产品限时秒杀

    云服务器1核2G首年50元,还有多款热门云产品满足您的上云需求

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    分析–

    依存关系以下是代码中已观察到的依赖性以及执行所需的用户交互。据观察,当受害者打开文档并启用宏时,此提供了“自动运行自动执行”功能。被感染的计算机会自动建立文创建和CnC连接。 该的设计与Windows环境兼容。 以下是此攻击的完整流程图。 通过分析发现行为以下是此的行为:当受害者打开文档并启用宏时,受害者将看到以下消息框。 在后台,随后通过在端口80上运行rundll32.exe托管的sqmap.dll,在IP地址185.141.61 120上进行公共通信,如下所示:进一步的分析证实,它每30秒左右对C2服务器进行一次轮询 禁用Bat扩展文执行。密切监视rundll32.exe进程是否存在任何可疑活动。密切监视URL字符串异常和长度异常的URL。与EDR和端点控上的该相关联的块哈希。 如果您有任何需要分析的样本和二进制文,请与我们联系。结论分析后得出结论,示例excel文充当信标。它使用Microsoft Excel的宏功能建立与命令和控制服务器的连接。

    8210

    印度核电络上发现朝鲜

    Kudankulam核电(KNPP)可能已经感染了危险的这一消息最开始是在Twitter上流传,10月30号,印度核电公司(NPCIL)证实核电络确实感染了,并且是有朝鲜政府背景的黑客所为 特定的样本包括了KNPP内部络的硬编码凭据,这表明该是经过专门编译以便在核电的IT络内部传播和运行。 与朝鲜拉撒路集团有关的Singh的言论很快就在上疯传,而就在几天前,Kudankulam核电外关闭了一座反应堆,许多用户将这两个不相关的事归为一个。 声明是这么说的:“ NPCIL系统中的识别是正确的。”但是该仅感染了其管理络,未到达其关键的内部络,而内部络正是用于控制核电的核反应堆。 因此,友认为是导致Kudankulam核电关闭反应堆是不正确的,这是2事情。

    21710

    Aveo分析

    Aveo 家族与 ForrmerFirstRAT 家族有密切的联系,二者都针对日语用户。Aveo 会伪装成 Microsoft Excel 文档,并在执行时抛出诱饵文。 Aveo 家族Aveo 会在开始运行一个安装程序,该程序会复制自身到以下位置:%APPDATA%MMCMMC.exe如果因为某种原因,%APPDATA%MMC 目录不能被创建,Aveo 自身复制完成后,将会在新的进程中以原文名为参数执行 MMC.exe。当执行时,如果提供了这单个参数,将会删除掉制定路径内的文。 Aveo 对注册表进行以下设置,以指向的路径,从而保证重新启动后仍然可以持久工作:HKCUsoftwaremicrosoftwindowscurrentversionrunmsnetbridge 正如前面讨论的 FormerFirstRAT 样本,这个家族看起来也是针对日语用户。使用自解压文的 WinRAR 释放诱饵文档和 Aveo 的副本以及清理脚本。

    32760

    Linux简史

    ——那些年困扰Linux的蠕虫、病毒和木马虽然针对Linux的并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威胁却变得越来越多、越来越严重。 但早在2000年之前,Linux就以某种形式出现在我们周围了。让我们一起来回顾一下吧。Staog(1996)? 首个公认的Linux是Staog,一种试图将自身依附于运行中的可执行文并获得root访问权限的基本病毒。 Windigo是针对成千上万的Linux服务器而进行的一场复杂而大规模的络犯罪活动。Windigo造成服务器生成垃圾邮、中转并重定向链接。 研究人员本周早些时候发现了一场来自俄罗斯的大型络间谍活动,使用的特拉史诗(Epic Turla)间谍是一款基于早在2000年就出现的名为cd00r的全方位后门访问程序。

    80170

    Adwind家族

    JCONTLPROadwind家族最后一个已知的jconnectproinfo于2016年12月10日注册。该点有助于记录家族的联系和演变,如图13所示。 运营商使用一种称为“crypting”的技术来避免基于签名的防病毒检测。该技术将修改二进制文,使其具有新的、唯一的哈希值,而不改变其功能。 破解版尽管Adwind显然不再在上或论坛上出售adwind rat,Adwind家族的破解版本已经流传了好几年,一直到图16所示的Unknow rant的破解版本。? C████████ M█████City: C███████State: T██████Country: Mexico 攻击仍在持续自2012年起,Adwind Rat家族的销售已经导致了数以万计的样本在野外和数以百万计的攻击 在过去的八年里,Adwind Andres一直试图隐藏自己作为这个的作者的身份,但没有成功。时至今日,他仍在继续开发这一,并从出售中获利。

    28500

    又现新型:针对大利用户的AndroidOscorp

    跟其他的Android一样,Oscorp会想办法欺骗用户授予访问Android设备辅助功能服务的权限。 来自大利CERT的研究人员在其发布的安全报告中提到:“由于无法访问其他应用程序的私有文,这些应用程序的行为“仅限于”通过络钓鱼页面来实现凭证窃取、锁定屏幕(设备)以及捕捉和记录音频和视频信息等行为 Oscorp的代码每八秒便会重新打开一次设置界面,并强制用户授予所请求的访问权限以及设备使用统计信息。 启用辅助功能服务之后,将能够实现下列操作:启用键盘记录功能;自动获取所需的权限和功能;卸载应用程序;拨打电话;发送短信;窃取加密货币;窃取Google的双因素PIN码;在研究人员对这款样本进行分析时 而在跟远程C2服务器进行通信时,使用的是HTTP POST请求。当用户打开Oscorp针对的某个应用程序时,代码将显示一个仿冒页,并要求用户提供自己的用户名和密码。

    11930

    浅谈八大顶尖

    Cyphort分析了黑客使用的八个破坏银行和电子支付的,这些金融侵害和威胁了数以百万计的用户。 八大金融1、Zeus:自2007年问世以来,Zeus成功感染了全球数以百万计的电脑,可以说是最成功的电子银行杀手。金融服务业的人士认为,这款从功能来讲是对电子银行最具威胁的。 8、Dyre:Dyre也是一款依靠钓鱼进行攻击的,通常黑客会根据特定版本的Adobe Reader的漏洞,发送的PDF附后,利用漏洞自动下载执行并执行Dyre。 金融的防护为了保护您的单位或者您个人免受金融的危害,您需要:保证您的系统和应用程序及时更新补丁,以免感染上病毒。而现在大多数程序和系统,都提供了自动更新。 您平时上需要注频繁弹窗的,使用非Windows平台能减少您感染病毒的几率,毕竟Windows还是主流系统,黑客不太会花太多精力在其他系统上。

    40650

    络安全 Google Play分析

    多个变体或负载。 根据分析,3000个变体或有效负载会下载到设备上,伪装成设备启动程序或程序列表上不显示图标的系统程序。 注册完成后Speed Clean将开始向用户推送广告,广告内容和木马程序将显示在应用程序的“推荐页面”下。???图6为流量。 与2017年检测到的安卓家族之一ANDROIDS TOASTAMIGO相同,Speed Clean应用程序可以下载变体或有效载荷,从而执行不同的广告欺诈。 从变体以及与此攻击活动相关的有效载荷中获取信息如下:?还注到受感染最严重的国家或地区是日本、中国台湾、美国、印度和泰国。?

    33210

    Black Kingdom分析

    在2019年发现了针对Microsoft Exchange Server 漏洞的勒索Black Kingdom ,该由python编码。 今年再次发现其活动,该勒索利用 Microsoft Exchange 漏洞 (CVE-2021-27065)进行传播。 技术分析传播方式该勒索集团在目标上成功利用该漏洞后,会在受感染的系统中安装 webshell。webshell 使攻击者能够执行任命令,例如下载和运行 Black Kingdom 可执行文会生成一个 64 个字符的伪随机字符串,然后获取字符串的 MD5 哈希值并将其用作 AES-256 加密的密钥。 如果没有任何参数传入,将会枚举系统文,然后多进程对文进行加密。?Black Kingdom 还会枚举各种驱动器号并对其进行加密,并在每个加密目录留下勒索信息。?

    17930

    Nanocore RAT分析

    该信息也旨在使SecOps团队可以利用此报告中的情报,以便为所分析的设置预防措施。对于这种的受害者,可以使用此分析来了解的影响(横向移动,数据泄漏,凭证收集等)。 5.还观察到另一个络活动,该络活动声明受感染的属于Nanocore RAT家族,它正在端口39791的IP 185.140.53.196上发起请求,如下所示:TCP请求后面的URL是“ meti.duckdns.org Rewterz团队持续监控不断发展的高级,并开发模式以检测在不同播放器上的执行情况。 根据该行为,它正在对未知的公共IP地址和URL发起请求,但在分析了整个之后,发现该属于RAT家族Nanocore,有助于创建出于目的的远程连接。 该吹嘘该具有以下功能:通过远程桌面,远程络摄像头和音频提要进行远程监视。反向代理连接功能。可负担性,价格为25美元。插支持。247支持。

    12440

    MacOSShlayer分析

    近两年来,Shlayer木马一直是MacOS平台上最常见的,十分之一的MacOS用户受到它的攻击,占该操作系统检测到攻击行为的30%。 技术细节从技术角度来看,Shlaye是一个相当普通的。在所有变体中,只有最新的木马下载程序OSX.Shlayer.e与众不同。此的变体是用Python编写的,其算法也有不同。 首先,它在Safari中安装一个扩展,将操作系统安全通知隐藏在伪造窗口后。单击通知中的按钮,用户就会同安装扩展。? 传播传播是其生命周期的重要组成部分,Shlayer为了解决这个问题制定了很多方案:在找你最喜欢的电视节目的最新一集吗?想看足球比赛的直播吗? 在大多数情况下广告登陆页面把用户带到精心制作的假页面,在Flash播放器更新提示下安装。?在YouTube视频描述中发现了指向下载的链接:?文章脚注中的Shlayer:?

    39810

    新型Anatova分析

    Anatova概述Anatova一般会使用游戏或者常见应用的图标来欺骗用户下载,然后请求获取管理员权限:?Anatova勒索是一款64位应用程序,编译日期为2019年1月1日。 3、 当我们在IDA Pro中查看代码并对功能函数进行分析时,IDA Pro一直报错,我们不确定这是IDA Pro的Bug还是开发者有而为之的。? 首先会获取“kernel32.dll”来作为模块处理库,并使用函数“GetProcAddress”来从处理库中获取29个功能函数。? 如果无法获取kernel32模块处理库,而且也无法获取其他的功能函数,它将会退出执行。 如果出现这样的情况,会清空内存,我们之后会详细介绍这部分。?

    26120

    新型勒索VirLock

    近日,研究人员发现勒索家族又添新成员,一个可自我复制的版本VirLock(又称VirRansom)。VirLock的攻击范围很大,多种类型的文都受到影响,如文档、图片、音频、视频、压缩文。 VirLock与以往的勒索不一样,它不仅会对文进行加密,同时还会使用让计算机“锁屏”的劣手段。当屏幕处于锁屏状态时,VirLock会终止exploer.exe的进程以进行操作。 VirLock这款病毒的传染方式比较简单,一旦其在受害者电脑上被执行,它就会进行一系列感染行为,比如感染可执行性文(包括exe和dll等)、图片文和视频文。 与其他勒索一样,一旦感染了这种程序,攻击者就会以侵犯著作权为由向受害者索要0.652个比特币(大约216美元)。

    39040

    Glupteba变种分析

    最近发现了glupteba的络攻击行为。它是一个旧的,曾在名为“windigo”的行动中出现过,并通过漏洞传播给windows用户。 在研究了近期发现的glupteba变体之后,我们发现glupteba之外的两个未经记录的组:1、浏览器窃取程序,它可以从浏览器中窃取敏感数据,例如浏览历史记录、cookies、帐户名和密码 攻击者仍在改进他们的,并试图将他们的代理络扩展到物联设备。??Glupteba下载分析下载的二进制文由一个自定义打包程序打包,用go编程语言编写,并编译为可执行文。 C&C更新能力后门有大部分标准功能,该可以通过discoverdomain功能通过区块链更新其c&c服务器地址。discoverdomain函数可以通过发送后门命令运行,也可以由自动运行。 安全建议是一种广泛存在的威胁,会影响用户和企业。从关、端点、络和服务器,多层的安全方法非常重要。在设置路由器时,安全性应该是首要考虑的问题,因为大多数家庭和办公室的设备都连接到这些设备上。

    46230

    MacOS CryptoMining的崛起

    Store也被卷入进来,上架了一个带有隐秘挖矿程序的app,这些情况都说明,分析师之间的对抗是永无止境的。 把自己包装成一个正版的Firefox浏览器,其在伪装的时候,甚至还能进行更新。 在这里,可执行文(标为红色)是,并且正版Firefox(标为绿色)的路径被包含在的Resources文夹中:? 尽管我们认为Cryptominers并不像其他那样会特别的危险,但它们可能会导致您的终端和络出现性能问题,而且它们可能会消耗的电量,从而导致成本的上升。 在这方面,非常让人讨厌的Cryptominers与任何其他类型的一样,没有任何区别,就应当像对待一样对待它。

    25830

    macOS 分析过程

    植入 shell、、留持久化的后门。 ,如有不适之处,请斧正:)----来自卡巴斯基实验室的研究人员发现了一种名为 Calisto 的,它似乎是 Proton macOS 的前身。? 该早在 2016 年就被上传到 VirusTotal,很可能是在创建它的同一年。 为了便于说明,我们将与从官方下载的 Mac Internet Security X9 版本进行比较。??它看起来相当有诱惑力。如果他之前没有使用过该应用程序 用户不太可能注到差异。 将自己添加到启动是 macOS 的一种经典技术,可以通过在 LibraryLaunchAgentsfolder 中创建一个带有链接的 .plist 文来完成:??

    42900

    QBot深度解析

    它最初被称为金融,旨在窃取用户凭据和键盘记录来对政府和企业进行金融欺诈。近期在野捕获的Office Word文档中发现QBot变体,但未发现其传播方式。 QBot文档Word文档中包含一个宏,打开文后将要求受害者单击黄色按钮,如图1.1(左侧)所示。右侧的图像显示了单击“启用内容”按钮后的内容, 它让受害者误以为文档正在努加载数据。? 实际情况是宏(VBA代码)在后台执行,并调用Document_Open函数,在“C:UsersPublic”中创建“tmpdir”文夹。然后将QBot有效负载下载到此文夹中。 主文夹的名称是随机生成的,然后它将file1.exe复制到主文夹中,并将其重命名为“ mavrihvu.exe”,文名是根据受害者的用户名生成的。? 总结本报告第一部分中详细说明了Office Word文档如何通过宏下载QBot变体,以及它如何使用复杂的技术隐藏和保护自己。

    39630

    Rudeminer&Blacksquid&Lucifer分析

    写在前面的话Lucifer是一款Windows加密货币及DDoS,就在三个月前,研究人员发布了一份报告并详细介绍了该的活动。 早期的Lucifer只是一个以Windows系统为目标的能够自我传播的挖矿,但现在它已经进化成了一个针对Linux和物联设备的多平台多体系架构的了。 图中的Windows设备在受感染之后会继续向内以及外设备传播:?下面给出的是中一些有趣的字符串序列:? 我们认为这个字符串跟一款名叫“Rude”的有关,这也表明该活动背后的攻击者已经活跃超过一年半了,而且一直在升级和更新代码库。 Linux、ARM和MIPS版本的还没有删除掉调试符号,因此我们通过研究之后,我们将代码跟一款名为“Storm Attack Tool VIP 2009”的中文版DDoS联系起来,而这款是可以直接在很多中文开源中直接获取到的

    26840

    相关产品

    • 静态网站托管

      静态网站托管

      静态网站托管(WH)是由腾讯云开发提供的便捷、稳定、高拓展性的托管服务。您无需自建服务器,自带CDN加速,一键即可部署网站应用。同时,通过JS SDK可直接操作数据库、云函数等,将静态网站扩展为带有后台服务端的全栈网站。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券