PHP Malware Finder是一款针对主机安全和PHP安全的强大检测工具,在该工具的帮助下,广大研究人员可以轻松检测其主机或服务器中可能存在的潜在恶意PHP文件。
这是在github上找到的做恶意软件分析的资料,已经非常全面了,希望对做恶意软件检测的同学有帮助。
当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。
据Security affairs 9月7日消息,AT&T Alien Labs 的研究人员发现了一种新型隐形 Linux 恶意软件 Shikitega,它以端点和物联网设备为目标实施多阶段感染,以达到能够完全控制系统并执行其他恶意活动,包括加密货币挖掘。
萧箫 发自 凹非寺 量子位 | 公众号 QbitAI 继电脑和手机后,挖矿病毒也盯上了IoT设备。 无论是智能冰箱、彩电还是洗衣机,但凡有点算力的(物联网和端侧)设备都可能被这种病毒感染,用于挖掘加密货币等。 AT&T Alien Labs新发现的Linux恶意软件Shikitega就是一例。 相比之前的一些IoT设备,Shikitega更加隐蔽,总共只有376字节,其中代码占了300字节。 那么,这个新型恶意软件究竟是如何感染设备的? 利用加壳技术“隐身” 具体来说,Shikitega核心是一个很小的E
功能描述:此工具能在域内和域外(有域账号密码)进行密码喷射攻击的工具,通过LDAP自动收集用户名和用户密码策略自动爆破。
微软表示,Windows 11具有旨在通过使用硬件隔离、无密码身份验证和云安全等技术来保护用户免受在线攻击的功能。这就是该公司表示新的Windows 11更新可以将恶意软件减少60%的原因。
据The Hacker News网站报道,一个名为“ SysJoker ”的新型恶意软件正对Windows、Linux 和 macOS 操作系统构成威胁,可利用跨平台后门来从事间谍活动。
根据网络安全公司 CrowdStrike 发布的一份报告,与一年前相比,2021 年的 Linux 恶意软件增加了 35%。该报告称针对各种物联网(IoT)和移动设备的 Linux 恶意软件激增,其中一些恶意软件使用物联网来产生大规模的僵尸网络大军以执行分布式拒绝服务 (DDoS )攻击。
尽管我们试图积极主动地处理信息安全,IT规划或项目管理,但我们会分心或拖延。这些信息安全备忘单,清单和模板旨在帮助IT专业人员处理困难的情况。
俄罗斯杀毒软件公司 Dr.Web 近日公开了一个被称为 Linux.BtcMine.174 的新型木马,相比传统恶意 Linux 病毒,它更加复杂,同时也包含了大量恶意功能。
6. IBM Security AppScan Mobile Analyzer – 非免费
据悉,Malware Next-Gen 可用于检查恶意软件样本中是否存在可疑项目。它最初设计的目的是允许美国联邦、州、地方、部落和地区政府机构提交可疑文件,并通过静态和动态分析工具接收自动恶意软件分析。Malware Next-Gen允许CISA通过自动分析新发现的恶意软件和加强网络防御工作,更有效地支持其合作伙伴。 Malware Next-Gen 通过在一个可扩展的平台上提供先进可靠的分析,处理不断增长的网络威胁分析工作量,该平台具有多级遏制功能,可自动分析潜在的恶意文件或URL。 CISA 网络安全执行助理主任 Eric Goldstein 认为,此次更新的平台升级版有助于加强国家网络安全和关键基础设施。
前一篇是RAID 2019的Android数据泄露分析的译文,是对真实移动设备用户网络流量的实证评估,预测用户兴趣点(POI)的位置。这篇文章将带来S&P21的离地攻击(Living-Off-The-Land)系统分析,这是一篇非常经典的论文,并且系统性分析文章是另一种讲故事的方式。一方面自己英文太差,只能通过最土的办法慢慢提升,另一方面是自己的个人学习笔记,并分享出来希望大家批评和指正。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!
5月2日,Shodan和Recorded Future联合推出在线恶意软件C&C(命令和控制)服务器搜索引擎-Malware Hunter,该工具被集成在Shodan基础搜索引擎之上,可以极大方便广大安全研究人员进行相关恶意软件感染设备的探测发现。 Malware Hunter技术支持 Malware Hunter通过大量的搜索节点(bot)发现互联网上的僵尸主机。为了准确跟踪和确定C&C服务器位置,搜索节点通过模仿或假装受恶意软件感染主机,向特定C&C服务器发送多种预定义请求,如果对方作出有效响应
Amnesty International 的专家发现了针对埃及民间组织的监视活动,使用了新版本的 FinSpy恶意软件,新版 FinSpy 主要针对 Linux 和 macOS 系统。
NTSTATUS Ioctl_DeviceControl(__in PDEVICE_OBJECT pDeviceObject, __in PIRP pIrp)
Shellcode是一个有趣的东西,我一直想使用miasm来学习很久了(因为几年前我在SSTIC上看到了第一次演讲),现在,我终于可以在这个新冠的夜晚里学习了。
用户点击病毒程序之后,该病毒就会释放并执行恶意文件,随后黑客可以远程控制用户电脑。除此之外,该黑客团伙在开发过程中疑似主机环境被Synares蠕虫病毒感染或有意捆绑,致使释放的子文件中存在着蠕虫的特征,增加了破坏性。执行流程如下图所示:
相对Windows来说,CentOS是很少有病毒和木马的,但是随着挖矿行为的兴起,服务器也越来越容易成为黑客的攻击目标,一方面我们需要加强安全防护,另外如果已经中毒,则需要使用专业工具进行查杀。ClamAV是开源的专业病毒、木马、恶意软件的查杀工具,支持多种Linux发行版,包括CentOS。 安装ClamAV sudo yum install epel-release sudo yum install clamav clamav-update clamav-scanner-systemd clama
最近发现基于Windows的勒索软件IceFire现在开始针对多个领域的Linux企业网络。 SentinelLabs的研究人员发现了IceFire勒索软件新的Linux版本。该勒索软件最初只针对基于Windows的系统,主要是针对技术公司。IceFire于2022年3月首次被MalwareHunterTeam的研究人员发现,但该组织自2022年8月起便开始活跃在暗网上。 专家们观察到IceFire利用IBM Aspera Faspex文件共享软件(CVE-2022-47986,CVSS评分:9.8)的
有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行为等,均有linux恶意文件的身影作祟。
Security Affairs 网站披露,Sonatype 研究人员发现了一个名为“secretslib”的新 PyPI 包,旨在将无文件加密矿工投放到 Linux 机器系统的内存中。 据悉,该软件包将自身描述成“轻松匹配和验证秘密”,自 2020 年 8 月 6 日以来,已经有了 93 次下载。 网络安全专家发帖子表示,secretslib PyPI 包将自己描述为“使秘密匹配和验证变得容易”。但经过仔细分析观察,该软件包在用户 Linux 机器上暗中运行加密矿工(直接从用户的 RAM 中),这种技术
1 容器云安全的现状评估和未来发展趋势研判 容器云作为软件基础设施的引入和应用微服务容器化的改造,由于技术架构的改变势必伴生出了新的安全问题,广义上可分为应用安全和业务安全。本文重点关注前者,主要围绕三个方面介绍:容器云当前面临哪些安全威胁、容器云安全体系的建设思路、以及容器云安全的发展趋势。 https://mp.weixin.qq.com/s/ZZxd0sYmMljHeWX1_O13tw 2 微软:Kinsing 通过容器、PostgreSQL 瞄准 Kubernetes 微软发现一种针对 Linux
首先给大家介绍一下蜜罐,蜜罐最为重要的功能是对系统中所有操作和行为进行监视和记录,他可以帮助我们追踪溯源。简单的说蜜罐就是一个“假目标”,故意暴露一个网络中的弱点给攻击者,攻击者会对这个“假目标”发起攻击,在攻击的过程中殊不知自己的IP地址和操作等信息都被一一记录下来。过研究和分析这些信息,可以分析出攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息。在企业内部在不同网络内搭建多个蜜罐诱捕节点可以大大帮助我们提高攻击追踪溯源的能力。蜜罐的作用大小取决于蜜罐的真实性,越“真”越能欺骗到攻击者“上当”。
笔者在上一篇文章《Serverless安全研究— Serverless安全风险》中介绍了责任划分原则。对于开发者而言, Serverless因其服务端托管云厂商安全能力强的特点,实际上降低了总体的安全风险。
近期,微软表示在过去六个月中,一种用于入侵Linux设备并构建DDoS僵尸网络的隐秘模块化恶意软件的活动量大幅增加了254%。该恶意软件从2014年开始活跃,也被称为XorDDoS或XOR DDoS,因为它在与命令和控制(C2)服务器通信时使用基于XOR的加密,并被用于发起分布式拒绝服务(DDoS)攻击。正如该公司透露的那样,僵尸网络的成功可能是由于其广泛使用各种规避和持久性策略,使其能够保持隐秘且难以清除。
2021年,针对Linux设备的恶意软件感染数量上升了35%,其中最常见的是利用物联网设备进行DDoS(分布式拒绝服务)攻击。
fireELF是一个开源的跨平台无文件Linux恶意代码框架,它允许用户轻松的创建和管理payloads。默认情况下附带了'memfd_create',这是一种从内存中完全运行linux elf可执行文件的新方法。
3DSCTF Malware 3道题 writeup tags: - Reverse - malware ---- 这个ctf有个Malware的题型,其实也算是Re的子分类吧 下载链接
博雯 萧箫 发自 凹非寺 量子位 | 公众号 QbitAI 不安装任何杀毒软件,“悬丝诊脉”也能揪出计算机病毒? 而且准确率达99.82%,杀毒软件看了都汗颜。 先请出我们的“患者”,一个经过特殊处理后化身微型计算机的树莓派: 病毒入侵、服务中断、后台进程活动等无数个正常和非正常的行为正在这台微型计算机中发生。 然后让AI与这个蓝白相间的示波器相连,伸出一根探针“悬丝”搭在CPU上: 很快啊,AI就发现了这台计算机上的恶意软件! 明明是在树莓派体内的病毒,怎么探针隔空一放(没直接接触)就被发现了? 答案
近期,一种新发现的名为Symbiote的Linux恶意软件会感染目标系统上所有正在运行的进程,窃取帐户凭据并为其背后的操作员提供后门访问权限。据调查,该恶意软件会将自身注入所有正在运行的进程,就像是一个系统里的寄生虫,即使再细致的深入检查期间也不会留下可识别的感染迹象。它使用 BPF(柏克莱封包过滤器)挂钩功能来嗅探网络数据包并隐藏自己的通信通道以防止安全工具的检测。 BlackBerry和 Intezer Labs 的研究人员发现并分析了这种新型威胁,他们在一份详细的技术报告中揭示了该新恶意软件的详细信息
确实,Ngrok挖矿僵尸网络在过去两年中一直都非常活跃,但不同的是,新活动主要针对配置错误的Docker服务器,并利用它们在受害者的基础架构上运行带有加密矿工的恶意容器。
冰封三尺非一日之寒,本篇先交付恶意软件前置知识的文件类型与指纹识别,来帮助大家打基础。
通过哈希比较非常基本的恶意软件扫描程序 有时在事件响应时可能需要这样做。 如果您在响应时发现了新文件或可疑文件,则需要检查这些文件在系统中的位置,那么你可能需要这样的工具,这是一个演示版本。不完整。您必须更改和修改代码并使其成为您的。 # pip install requests # python main.py 用法 # python .\main.py ▌║█║▌│║▌│║▌║▌█║ Simple Basic Malware Scanner ▌│║▌║▌│║║▌█║▌║█ usage
通过哈希比较非常基本的恶意软件扫描程序 有时在事件响应时可能需要这样做。 如果您在响应时发现了新文件或可疑文件,则需要检查这些文件在系统中的位置,那么你可能需要这样的工具,这是一个演示版本。不完整。您必须更改和修改代码并使其成为您的。 # pip install requests # python main.py 用法 # python .\main.py ▌║█║▌│║▌│║▌║▌█║ Simple Basic Malware Scanner ▌│║▌║▌│║║▌█║▌║█ usa
——那些年困扰Linux的蠕虫、病毒和木马 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威胁却变得越来越多、越来越严重。个中原因包括,手
Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。
分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件,研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。
【导读】专知内容组整理了最近六篇深度强化学习( Deep Reinforcement Learning)相关文章,为大家进行介绍,欢迎查看! 1. VR Goggles for Robots: Real-to-sim Domain Adaptation for Visual Control(机器人VR眼镜:用于视觉控制的Real-to-sim域自适应) ---- ---- 作者:Jingwei Zhang,Lei Tai,Yufeng Xiong,Ming Liu,Joschka Boedecker,Wol
AutoRuns是一款项目管理工具,它可以查看“资源管理器”,“IE浏览器”,“计划任务”,“驱动等等”,
DroidDetective是一款功能强大的Python工具,该工具可以帮助广大研究人员分析Android应用程序(APK)中潜在的与恶意软件相关的行为或配置。我们只需要给DroidDetective提供一个应用程序APK文件路径,DroidDetective将会使用其机器学习模型来对目标应用程序进行分析和判断。
https://blog.xpnsec.com/protecting-your-malware/
以前在做网维行业的时候,会用很多监控工具用来监控文件或进程的创建过程,以此来协助解决一些问题。比如 Malware Defender、Process Moniter 等工具,这些工具功能强大但有一些局限性。比如 Malware Defender 不支持 64 位系统、Process Moniter 干扰信息太多等。所以最近自己刚好做 Hook 这块工作,学习着做了一个应用曾下监控文件及进程创建的工具,虽然是应用层监控,但是 Hook 的一些关键函数与 Malware Defender 是同样的。所以监控的效果是差不多的,且支持 64 位系统。但目前只能通过 DebugView 来查看输出的信息,后期我会做一个界面来查看输出信息。以下是效果截图:
进程占CPU 700%,进程名字是类似XY2Arv的6位随机大小写字母+数字的字符串。最终发现是一个叫systemd或trump的病毒,是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币。
据BleepingComputer12月16日消息,一种名为“MCCrash”的新型跨平台恶意软件僵尸网络正在感染 Windows、Linux 和物联网设备,对《我的世界》(Minecraft)游戏服务器进行分布式拒绝服务(DDoS)攻击。
Bleeping Computer 网站披露,Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动,Linux 服务器上的 Docker API 成为其主要攻击目标。
日前,思科公司(Cisco)宣布修补了一项远程代码执行漏洞,该漏洞的追踪编号为CVE-2022-20649,发现于公司旗下StarOS软件冗余配置管理器(RCM)中。
如果你的工作或者生活与网络安全有关,你就知道它使用了自己独特的、不断发展的语言。术语和缩略语受到网络安全专家的喜爱。因此,我们创建了一个全面的网络安全词汇表,解释了常用的网络安全术语、短语和技术。我们设计此列表是为了揭开安全专业人员在描述安全工具、威胁、流程和技术时使用的术语的神秘面纱。我们会定期更新它,希望你会发现它是有用的。
在Win10 x64环境下替换正常的进程,是一个比较高超的技术。使用该技术,可以内存执行病毒、木马。在文件层面实现免杀。可以把一个木马使用DES加密,放在资源里。执行时,从资源里释放出来,在内存里进行DES解密,注入到一个系统的进程中。
领取专属 10元无门槛券
手把手带您无忧上云
