卡巴斯基实验室的安全专家们首次发现了恶意程序Turla的新变种,它的主要攻击目标是Linux系统,因此又被叫做企鹅Turla(Penquin Turla)。当该恶意程序已经上传并出现在在线安全检测平台上之后,研究人员才注意到它并开始调查。 史上最复杂的APT(高级持续性威胁)间谍软件 间谍软件是恶意程序的一种,能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用历史、隐私和系统安全的物质控制能力;使用用户的系统资源,包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的
导语: 近日,腾讯云发布2018上半年安全专题系列研究报告,该系列报告围绕云上用户最常遭遇的安全威胁展开,用数据统计揭露攻击现状,通过溯源还原攻击者手法,让企业用户与其他用户在应对攻击时有迹可循,并
维基解密CIA文件基本分析 一句话概括:维基解密泄露的文件是CIA的黑客工具库,针对的是外国政府和国内外的公民。 数据库名称:Vault 7。这是一系列泄露Year Zero(“元年”)的第一部分。 来源:美国弗吉尼亚州兰利市CIA情报中心。 数量:7818个网页,943份附件。据维基解密消息,全部材料包括数亿行代码,预计比斯诺登泄露的要多(未证实)。 目的:维基解密的消息源发布声明称,他们想要引导公众对“网络武器的安全、创造、使用、扩散和民主控制”进行讨论。 与斯诺登事件的差别:斯诺登公开的是NSA对
加密一直都是保护用户通讯隐私的重要特性,可如果恶意程序在传播过程中也加密的话,对这样的流量做拦截感觉就麻烦了很多。谈到加密,TLS(Transport Layer Security Protocol,
还记得 2016 年那个著名的 Linux 内核级漏洞 Dirty Cow(脏牛)吗?2016 年 10 月,研究人员发现 Linux 内核的内存子系统在处理写时拷贝(Copy-on-Write)时存
大量的恶意软件/程序攻击给用户带来了极大的困扰。国内外的研究人员检测恶意程序的技术主要分为:基于程序结构、文件数据特征等恶意程序静态识别技术,基于程序运行时函数行为调用序列、函数参数信息等恶意程序动态识别技术[1]。目前,基于规则等检测技术以及基于机器学习等检测技术均存在相关问题。当未知恶意异常程序进行检测时,基于规则(YARA等)检测技术需要靠追加规则来实现,无法应对未知恶意异常程序的检测。此外,由于设备产生的数据量巨大,存在线索难以调查的问题,导致有效攻击线索淹没在背景数据中,基于机器学习检测技术通常具有较高的误报率和漏报率,难以快速识别。构建溯源图,能够作为威胁狩猎的关键资源,为威胁的识别、评估、关联提供丰富的上下文。《Provenance Mining:终端溯源数据挖掘与威胁狩猎》[2]一文,介绍了终端溯源数据(Provenance)以及溯源图(Provenance Graph)的概念,并介绍了如何在溯源数据完整有效采集的情况下,通过溯源图的后向追溯(backward-trace)和前向追溯(forward-trace),实现攻击事件的溯源与取证。为了检测未知恶意程序,相关研究人员[3]提出MatchGNet,通过数据驱动的方法进行检测,利用图神经网络来学习表示以及相似性度量,捕获不同实体之间的关系,利用相似性学习模型在未知程序与现有良性程序之间进行相似性评分,发现行为表示与良性程序有区分的未知恶意程序,最终,通过实验证明了有效性。随着异常程序检测技术的发展,攻击者躲避检测的方式也越来越多。本文将分析属性图在检测异常程序的应用。
Palo Alto Networks公司的多名安全研究专家对恶意挖矿行为进行了深入研究,发现5%的Monero加密货币是通过恶意程序开采出来的,而且每日大约2%的算力(hashrate)来自于感染加密货币恶意程序的设备。
当服务器发生病毒入侵,使用杀毒软件检测到一个恶意程序,你删除了它。但是过了几天又发生了同样的安全事件,很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。
在过去的 20 年里,我们看到成百上千的电影中,秘密间谍或银行抢劫者通过劫持监控摄像机,让监控录制停止或开始无限循环,随后秘密行动悄无声息地开始,不会留下任何痕迹。 每当我在电影中看到这样的场景,我都在询问自己:这是否发生在现实生活中? 相信我,至少中情局 CIA 的特工们确实是这样做的。 维基解密 8 月 3 日发布了 CIA VAULT 7 系列所属的工具 Dumbo 的八个文档。这款工具的项目原来是由中情局网络智能中心(CCI)的特殊分支机构——中情局物理接入组(PAG)负责。该中心的职责主要在于获
2014年我们所知的所有网络攻击,实际上还只是冰山一角,未来的网络空间将出现更多错综复杂、有组织性甚至是由敌对国家发起的网络袭击。APT攻击事件目前趋于爆发式增长,有些黑客秘密潜入重要系统窃取重要情报,而且这些网络间谍行动往往针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等;有些则属于商业黑客犯罪团伙入侵企业网络,搜集一切有商业价值的信息。 警惕利用Bash漏洞的IRC-BOT (1)Bash安全漏洞 继2014年4月的“Openssl心脏流血”漏洞之后,另一个重大互联网威胁于2014年9月2
2016年12月发生过一起针对乌克兰电网的黑客袭击事件,造成其首都基辅断电超一小时,数百万户家庭被迫供电中断。 最近安全专家经调查发现,侵入乌克兰工控系统的罪魁祸首可能是——Win32 / Indu
概述: GravityRAT是一款隐秘的间谍软件,从2016年开始就反复被用于针对印度的持续性攻击。在此期间,GravityRAT添加了很多新功能,尤其是文件渗透,远程命令执行,以及反VM技术,使其更难以检测,它可以非常快速地从受感染计算机中窃取大量数据,甚至可以扫描连接到受害设备的外部硬盘驱动器或USB,然后提取这些文件。之前GravityRAT比较注于计算机的恶意攻击,但是研究者发现该木马正增加针对macOS和Android平台的攻击。 近期,恒安嘉新暗影实验室App全景态势与情报溯源挖掘平台监测到一款
冰封三尺非一日之寒,本篇先交付恶意软件前置知识的文件类型与指纹识别,来帮助大家打基础。
APT29是威胁组织,已被归于俄罗斯政府情报组织,APT29至少从2008年开始运作,具有YTTRIUM、The Dukes、Cozy Duke、Cozy Bear、Office Monkeys等别名。主要攻击目标为美国和东欧的一些国家。攻击目的是为了获取国家机密和相关政治利益,包括但不限于政党内机密文件,操控选举等。与APT28,同属于俄罗斯政府的APT28相互独立,但在某种程度上会联合行动。APT29是东欧地区最为活跃的APT组织之一。该APT的许多组件均通过伪造的Intel和AMD数字证书进行签名。
悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库,结合程序动静态分析方法对潜在风险的开源组件包进行分析和监测,捕获大量开源组件恶意包投毒攻击事件。2024 年 1 月份,悬镜供应链安全情报中心在 Npm 官方仓库(https://www.npmjs.com/)和 Pypi 官方仓库(https://pypi.org/)上共捕获 675 个不同版本的恶意投毒包,其中 Npm 仓库投毒占比 90.48%, Pypi 仓库投毒占比 9.52%, 从每日捕获的投毒包数据来看,Npm 仓库仍然是开源组件投毒的重灾区。
① 攻击方式 : 使用 互联网 大量网站 集中攻击一个网站 , 称为 分布式拒绝服务 DDos 攻击 ;
Mac恶意软件OSX.Proton强势回归,这次他们的袭击目标是Eliteima官网上发布的Elmedia Player应用程序副本。到目前为止,没有人知道这个APP是什么时候受到感染的。 事件原委 Proton早在今年3月份就悄悄潜入Apple XProtect中,但当时知道的人不多,大家也没在意。5月份,噩梦来临。主要负责发布十分受欢迎的Handbrake软件的其中一台服务器遭到攻击,一个受Proton感染的Handbrake连续蔓延4天。 时至今日,Eltima软件公司再次遭到了类似的攻击。 上周
近两年来,恶意软件大肆传播,其复杂度也越来越高,给网络安全造成了巨大威胁,所有行业更加重视恶意软件的预防、检测、取证、关联分析等工作,国家也颁布相关法律法规针对恶意软件的检测与防治,例如《网络安全法》提及不得设置恶意程序和不得提供恶意程序等明文条款;《网络安全等级保护条例》也对防范恶意代码提出了明确要求。
这次跟大家说说新型Android应用漏洞,不仅能让银行卡余额消失,还会偷拍监听的那种。
近日发现一款名为Kronos的新金融恶意程序,该恶意程序发布于俄罗斯犯罪地下论坛,和过去著名的Zeus金融木马同样是在网页后台执行,用来窃取用户银行网站的登录帐户密码和各种金融信息。 这款知名网络银行恶意程序Zeus自2006年首次现身,通过木马病毒感染电脑并在用户开启银行网页时,利用浏览器漏洞在银行网页后台执行,让用户输入个人金融帐号与密码,进而取得个人银行帐户资料,过去也成为不少网络犯罪集团或黑客的金融攻击手段。 根据安全专家表示,近日在俄罗斯犯罪地下论坛
下载拷贝需提防,各种木马来隐藏。 恶意肆虐如何防,病毒检测替您扛。 近日,腾讯云数据万象 CI 推出了云端病毒检测功能,针对上传到对象存储 COS 中的文件,利用先进的查毒引擎进行病毒扫描。 常见病毒入侵种类 一般来说,我们使用软件都会通过搜索关键词去找到心仪的软件,搜索结果比比皆是,各种新旧的版本星罗棋布,各样的下载源鳞次栉比,看起来可以说是纷乱错杂,密密麻麻。 在此同时,病毒也将慢慢入侵您的计算机。常见的病毒入侵方式大致如下: 一、高速下载陷阱 举个例子,想给小朋友下载一款免费的单机小游戏:
微软昨天发布了安全公告——微软自家的恶意程序防护引擎出现高危安全漏洞。影响到包括MSE、Windows Defender防火墙等在内的产品,危害性还是相当严重的。微软当前已经提供了升级以修复漏洞,并表
近日,腾讯云数据万象 CI 推出了云端病毒检测功能,针对上传到对象存储 COS 中的文件,利用先进的查毒引擎进行病毒扫描。
总结 你是否下载安装过体积很大但是UI或者功能很少的Android应用程序?最近,FireEye实验室移动安全研究人员发现了一种新型的手机恶意软件,在看起来普通的应用下内嵌着加密过的附件程序,很好的隐藏了其进行恶意活动。 恶意app程序会伪装成Google Play商店,尤其是其图标完全模仿了主屏幕上Google Play的图标。一旦安装成功,黑客使用一个动态的DNS服务器和通过SSL协议的Gmail来搜集Android设备上的文本信息、签名证书和银行密码。 下面是主程序、附件程序、恶意代码之间的关系图:
近日深信服安全团队捕获到一个最新的404 Keylogger木马变种,通过OFFICE文档嵌入恶意宏代码进行传播,盗取受害者浏览器的网站帐号和密码,深信服安全团队对此样本进行了详细分析,并获取到了黑客FTP服务器的帐号和密码,请大家提高安全意识,不要轻易打开未知的邮件附件及文档等。
中国有句老话:“你有张良计,我有过墙梯。”在如今,网络安全环境越来越被人们所重视,黑客们也在想更高的招数来入侵你的电脑。
1. 报告摘要 近期,神州网云依靠高级威胁检测引擎并结合天际友盟的威胁情报,精确发现了多起高级威胁组织的攻击,通过快速有效的一键溯源确定了攻击行为及影响。 Struts2的安全漏洞从2010年开始陆续被披露存在远程代码执行漏洞,从2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及2017年3月初Struts2披露的S045漏洞,每一次的漏洞爆发随后互联网都会出现Struts2扫描攻击活动。 近期发现并确认了两个威胁组
在互联网发展的早期,恶意程序采用TCP直连的方式连上受害者的主机。随着局域网的发展,以TCP反弹的方式进行连接。
本周,维基解密发布了新一款 CIA 工具 AngelFire。AngelFire 是一款框架植入工具,可以作为永久后门留存在被感染系统的分区引导扇区中,对目标系统进行永久远程控制。泄露的用户手册显示,
一般服务器被入侵的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡)、服务器资源被耗尽(挖矿程序)、不正常的端口连接(反向shell等)、服务器日志被恶意删除等。那么既然是入侵检测,首先要判断的是服务器是否被入侵,必须排除是管理员操作不当导致的问题,因此入侵检测的第一项工作就是询问管理员服务器的异常现象,这对之后入侵类型的判断非常重要。
最近Check Point发布了一份非常详细的报告,谈到一款名为HummingBad的Android恶意程序。此恶意程序在行为方式上和先前一些相当霸道的Android恶意程序类似,不过它有几大亮点:
ESET的安全研究员发表了一篇技术报告,报告中详细分析了一个新的蠕虫Linux/Moose。它的攻击对象主要是调制解调器、家用路由器和其他嵌入式计算机,可将这些设备变成一个代理网络,然后创建伪造的社交账号实施欺诈行为。 该恶意程序是由Olivier Bilodeau和Thomas Dupuy发现的,它会感染基于Linux的路由器和其他基于Linux系统的设备。如果它发现有其他的恶意程序和它争夺路由器的有限资源,会将其清除,然后继续寻找下一个感染目标。 Moose蠕虫不会利用路由器上存在的任何漏洞,它
据The Hacker News网站报道,一种名为CryptBot的恶意程序正伪装成时下热门的Windows系统第三方激活工具——KMSPico。
软件实现的缺陷 微软开发人员的单体测试缺陷从超过25个缺陷/千行代码显著降低到7个缺陷/千行代码
病毒我们通常称为感染式的恶意程序,它最大的特点就是通过感染其他正常文件的方式来进行传播。感染正常文件有很多种不同的情况,比如说可能把恶意的程序写在正常程序的后边,或者说把正常成把恶意程序写在正常程序的开始的部分,也可能写到中间,有一些恶意程序,甚至把他的恶意代码分成不同的部分,写到正常文件的不同的企业的空白区里边,这几种情况都是有的。
近日,微软发布CVE-2020-0601漏洞公告,修补了Windows加密库中的CryptoAPI欺骗漏洞。该漏洞可被利用对恶意程序签名,从而骗过操作系统或安全软件的安全机制,使Windows终端面临被攻击的巨大风险,主要影响Windows 10以及Windows Server 2016和2019,Win10以下版本不受影响。
近期,我一直在研究macOS上的一些持久化技术,尤其是如何利用低等级用户权限来修改文件以影响用户交互。对于macOS终端用户来说,交互最频繁的当属Dock了。
谷歌上周五宣布BinDiff开源——这是给安全研究人员用于进行二进制文件分析和对比的工具。早在2011年的时候,谷歌就收购了Zynamics,也就成为了BinDiff的东家,那个时候这款工具就已经很流行了。BinDiff当时是需要商业授权的,只不过谷歌在收购Zynamics之后调低了其价格。
利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。 概要 8月初,我们接收到了一类大量感染利比亚国内安卓手机
分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件,研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。
你相信只要从官方应用商店下载一个 App 就能保护自己免受恶意软件攻击吗? 你要是信了,就得好好想想了。 来自 Akamai、Cloudflare,、Flashpoint、谷歌、Oracle Dyn、RiskIQ、Team Cymru 等公司研究员组成的安全团队发现了一种新的僵尸网络 WireX。WireX 包含数万台 Android 手机僵尸,大肆进行 DDoS 攻击。WireX 最早在 8 月初出现,利用第三方商店、甚至谷歌官方 Play Store 中感染了恶意程序的 App 进行传播,主要感染 An
维基解密的年度大戏Vault 7虽然还没到周更的程度,但更新频率也已经相当频繁,所以后续CIA泄露工具和手册的出现已经让人见怪不怪了。本周Vault 7系列更新也算比较有看点,虽然早在今年3月份,维基
近日,卡巴斯基实验室最近发布的一份报告显示,2017年第二季度,泄露的一批新漏洞利用方案促成了数百万次对流行 APP 的新攻击。报告指出,Shadow Brokers 泄露的工具和据称 NSA 有关的漏洞在本季度造成严重后果。其中 EternalBlue、EternalRomance 之类的漏洞引起了大量的恶意攻击。 说起泄露,除了斯洛登棱镜门、Shadow Brokers 泄露 NSA 数据这种大型泄露之外,维基解密泄露的一系列 CIA 文档也可以算是史上较大规模政府机构信息泄露事件了。 📷
杀毒软件公司Eset的研究人员披露了一个正在进行中的恶意程序攻击,被取名为Operation Windigo(PDF) 的恶意攻击感染了超过1万台Linux和Unix服务器,这些服务器被用于发送大量垃圾信息,重定向用户到恶意网页。Windigo的活跃至少始于 2011年,入侵的系统包括了属于Linux基金会的kernel.org和cPanel Web的服务器。 在三年时间内, Windigo感染了超过2.5万台服务器,每天发送3500万垃圾信息,对Windows的访问者发动偷渡下载攻击,向用户
本周三(7 月 19 日),维基解密照例披露了 CIA Vault 7 系列文件,不过与以往直接披露的工具有所不同,这次主要披露的是 CIA 的“阴影”(UMBRAGE)项目以及 在项目中 CIA 承
在计算机系统中被广泛使用。然而,恶意攻击者也利用了LNK文件的特性,进行伪装和实施攻击。
《2019年国务院政府工作报告》提出,新旧动能接续转换包括传统产业升级和新兴产业的规模化,是中国未来发展的重点目标之一,这其中使当前的安全趋势发生了变化。
根据我们接触到了前期入侵越南组织机构的间谍程序捕获样本,入侵活动涉及7月底对越南两大机场的攻击事件,攻击中使用的恶意软件用于窃取越南航空公司40万会员信息。 这些入侵活动中使用的攻击载荷是伪装成杀毒软件McAfee的Korplug RAT变种。本文描述了从隐藏软件中提取最终攻击载荷的过程。 1 分析样本 884d46c01c762ad6ddd2759fd921bf71 – McAfee.exe c52464e9df8b3d08fc612a0f11fe53b2 - McUtil.dll(she
连接到服务器,首先通过ps auxef 和 netstat -tulnp两个命令查看异常进程信息,果然发现了两个异常进程 xmp 和 [atd]
领取专属 10元无门槛券
手把手带您无忧上云