通过对Recorded Future平台索引的所有地下黑客论坛分析2018年5月至2019年5月期间超过390万个帖子,Insikt Group确定了地下黑客论坛中引用的顶级恶意软件变种,Insikt Group还试图找到与这些论坛上更多恶意软件引用相关的真实事件,以及在不同语言的论坛中宣传的恶意软件及工具的差异,以查看是否存在任何差异。
银行恶意软件一直都是我们暗影实验室关注的重点。近期,意大利出现了一种新型的Android恶意软件,研究人员发现它与目前已知的银行木马家族都不相关,命名这款新型的银行木马家族为TeaBot(也有命名为Anatsa)。
时代变了。在管理员工上网行为、给员工电脑杀毒之前,先把DNS解析抓起来才是正经事。
2022 年 5 月,警察联合执法摧毁了 Cabassous 的网络基础设施。与此同时,Anatsa 也逐渐销声匿迹,这都为安卓银行木马留出了市场空白。最初,Hydra 与 ExobotCompact(也称 Octo)填补了这一空白。而 Ermac 后来居上,目前与二者数量不相上下。 2021 年 9 月,研究人员发现了 Ermac 恶意软件家族,脱胎于臭名昭著的 Cerberus 家族。尽管 Hydra 的传播最广,但另外两个家族的传播力也一直保持在高位。 检出的恶意软件家族 Ermac 被其运营方公开
据 securityaffairs 12月30日消息,某个首次发现的 rootkit 病毒(也称为 iLOBleed)正针对惠普企业服务器展开攻击,能够从远程感染设施并擦除数据。
Hacker 取得了我们系统权限后通常会做那些事情?植入 shell、恶意软件、留持久化的后门。在当下的 APT 事件中,远控木马扮演着一个重要的角色,这些木马通常具备着如下功能:远程桌面、键盘记录器、下载和运行程序、文件和注册表等的各种操作,通过远控木马上线记录 Hacker 甚至能知道你什么时间段在做什么事情,听起来是有那么一点不可思议,但事实就是如此。
最近,一款名叫“Simplocker”的Android恶意软件在乌克兰地区流传了开来。据安全公司ESET表示,该恶意软件会扫描受害人存储卡中某些类型的文件——包括图片、PDF和其它文档、以及音频文件—
5月2日,Shodan和Recorded Future联合推出在线恶意软件C&C(命令和控制)服务器搜索引擎-Malware Hunter,该工具被集成在Shodan基础搜索引擎之上,可以极大方便广大安全研究人员进行相关恶意软件感染设备的探测发现。 Malware Hunter技术支持 Malware Hunter通过大量的搜索节点(bot)发现互联网上的僵尸主机。为了准确跟踪和确定C&C服务器位置,搜索节点通过模仿或假装受恶意软件感染主机,向特定C&C服务器发送多种预定义请求,如果对方作出有效响应
最近,美国著名网络安全公司赛门铁克和ESET发现了一种新的恶意软件,该恶意软件被称为HermeticWiper(又名KillDisk.NCV),并且这一恶意软件对于乌克兰网络造成了严重破坏。随后,俄罗斯军队也正式对乌克兰发动了全面的军事行动。
随着微软默认禁用宏代码策略的生效,越来越多的攻击者开始使用 OneNote 文档来分发恶意软件。本文介绍了几个使用 OneNote 文档的案例,展示了攻击者如何使用该类文件进行攻击。 为什么选择 OneNote 由于 OneNote 使用范围很广、用户对该类文件缺乏安全意识和保护措施,OneNote 文档对于攻击者来说已经成为越来越有吸引力的攻击载体。攻击者利用混淆内容与 OneNote 的受信任身份来进行攻击,这种转变的具体原因包括: 安全措施的增强:由于对基于宏代码的攻击认识不断提高,许多组织已经采取了
荷兰安全公司ThreatFabric的研究人员将该种恶意软件命名为Vultur。该恶意软件会在目标应用程序打开时记录屏幕,Vultur 会使用 VNC 屏幕共享将失陷主机的屏幕镜像到攻击者控制的服务器。
在CheckPoint的月度跟踪中,TirckBot在2021年2月的威胁指数超过了 Emotet。TirckBot增大了恶意邮件投递活动的强度,同时Emotet被联手拆除在全球范围内陷入沉寂。使得TirckBot一举跃升为CheckPoint监测的最活跃恶意软件榜单首位。
GuLoader是一个使用VB语言编写的恶意软件下载器,并且常常将最终交付的恶意文件托管到共享网盘上,例如谷歌的Google Drive、微软的OneDrive和MediaFire等。它们常常交付的恶意软件包括LokiBot、Formbook和Agent Tesla等。GuLoader程序本身具有很复杂的流程和对抗功能,以便阻止安全人员进行分析。今年3月份,在国内新冠肺炎严峻的时期,马莲曾经发布过利用“新冠疫情”话题钓鱼邮件传播此恶意软件的文章,另外Gorgon APT组织也利用GuLoader恶意软件下载器下发Formbook窃密木马,并且就两者还做了相关的对比分析,详细见参考信息处链接。
此前的一些报道中已经描述了攻击者如何利用新型冠状病毒的大流行来传播恶意软件或者进行敲诈勒索。这种恐慌仍然在蔓延,利用这种恐慌进行攻击仍然还起作用。
Regin被认为是有史以来最先进的恶意软件,由米国国家安全局(NSA)开发。
相信不少用户都经历过这样恼人的经历:打开常用的浏览器后,突然发现首页大变样,各种导航站铺满全屏,还充斥悬浮广告和各类弹窗,好不容易修改回原有的首页,没过多久却又被“劫持”,难道自己的浏览器不能自己做主吗?事实上,网络中因浏览器被修改、劫持而求助的事例比比皆是,火绒论坛也会每日收到大量相关问题的反馈和求助,并专门为此设立板块帮助大家解决问题。
疫情还没有结束,放假只能猫家里继续分析和研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一下这个样本究竟是个啥,顺便也给大家分享一些关于Linux Rootkit恶意软件方面的相关知识点吧。
2022年3月11日,中国广电发布《5G核心网工程-安全系统项目》招标公告,预算 2.86 亿元。 项目概况:为加快推进安全系统工程建设,确保网络快速部署,现启动中国广电5G核心网工程-安全系统项目。本期拟选聘供应商为中国广电5G核心网工程-安全系统项目提供安全系统各类软硬件设备、工程服务等。 本次采购内容主要包括安全系统各类软硬件及相关服务等。 根据不同的采购内容,将本项目划分成6个标包,具体划分如下: 标包1、网络安全集中运营:预算 2856 万元 网络安全集中运营分析平台采购内容包括软件、硬件,平台
勒索攻击新趋势 2020年通过勒索病毒攻击已经成为网络犯罪分子热崇追捧的一种方式,全球几乎每天都有企业被勒索病毒攻击勒索,而且勒索的金额也越来越高,从几万美元到几千万美元不等,越来越多的黑客组织使用勒索病毒对企业发起攻击,勒索病毒带来的暴利让一些技术高超的老牌的APT黑客组织也流下了口水,通过使用勒索病毒定向攻击企业快速获取暴利,根据统计,2020年的几款流行的勒索病毒家族已经攻陷了全球数百家知名的大型企业,如下所示: 勒索病毒黑客组织的攻击方式已经从以前单一的使用邮件方式直接传播勒索病毒,到现在利用其他
卡巴斯基实验室的安全研究人员最近发现:黑客可以仅仅通过侵入Android车控App轻易解锁汽车,上百万汽车深陷被窃危机。 汽车控制App现在越来越流行了,这些应用可以帮助用户通过手机就能定位车的GPS
Malwarebytes 威胁情报团队发现了一种新的远控木马,命名为 Woody RAT,研究人员发现其在野已经存在至少一年。 攻击者最近利用 Follina 漏洞来针对俄罗斯的实体发起攻击,根据注册的虚假域名推测,攻击目标应该为名为 OAK 的俄罗斯航空航天与国防组织。 分发方式 Woody RAT 使用两种方式进行分发:压缩文件与利用 Follina 漏洞的 Office 文档文件。 早期的样本在 ZIP 文件中,伪装成俄罗斯特组织的文件。当 Follina 漏洞出现时,攻击者也利用其进行分发恶意软件
1.2、密码盗取木马:通过记录用户输入的键盘记录或屏幕截图方式窃取用户的密码或账号信息;
研究人员近日发现了一个 Golang 开发恶意软件,并将其命名为 GoBruteforcer。该恶意软件主要针对 Web 服务,特别是 phpMyAdmin、MySQL、FTP 和 Postgres 服务。 简介 Golang 现在越来越来受到攻击者的欢迎,被用于开发个各种各样的恶意软件,包括勒索软件、窃密木马与远控木马等。 GoBruteforcer 就是一种用 Golang 编写的新型僵尸网络,主要针对 Web 服务,特别是 phpMyAdmin、MySQL、FTP 和 Postgres 服务。 Go
最近暗影安全实验室在日常监测中发现了一款新的木马病毒Ginp,虽然他和前两周发布的反间谍之旅004报告中描述的“Flash Player”木马病毒名称很相似都带有“Flash Player”,但是他们却属于不同病毒家族。
与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。然而,“无文件”攻击的定义已经逐渐扩大化,那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。
微软宣布弃用 VBScript并计划在未来的 Windows 版本中逐步淘汰该脚本语言。“VBScript 在从操作系统中移除之前,将作为按需功能提供。”默认情况下不会安装,但可以在必要时随时添加。
根据“火绒威胁情报系统”监测,火绒工程师发现一款名为“奇客PDF转换器”的软件携带恶意代理模块,正主要通过下载站下载器全网静默推广。该代理模块可以在不被用户发现的情况下,利用用户电脑访问大量的陌生网址,导致用户电脑CPU占用率变高,变得卡顿。
2021年数据泄露成本报告》近日发布,报告显示,数据泄露成本在新冠疫情期间创历史新高,全球20%企业表示,远程办公是导致数据泄露的重要因素,而此类数据泄露会给公司造成高达 496 万美元的损失,比平均水平高出近15%。
伊朗攻击组织 COBALT MIRAGE 的 B 小组使用 .NET 编写的恶意软件 Drokbk,由 Dropper 与 Payload 组成。该恶意软件内置的功能有限,主要就是执行 C&C 服务器的命令。2022 年 2 月,美国政府在针对地方政府网络的入侵攻击中发现了该恶意软件,后续在 VirusTotal 上发现了该样本。
文章看点:本文主要是对勒索软件LockBit中使用的技术进行逆向分析,其中包括以下恶意软件技术。
研究人员近日发现攻击者使用 DBatLoader 分发 Remcos RAT,并且主要针对东欧的机构与企业进行攻击。DBatLoader 通常会滥用公有云基础设施来部署恶意软件,而 Remcos RAT 也是各种网络犯罪分子经常使用的远控木马。 攻击者常常会通过钓鱼邮件分发远控木马,也会利用存储在压缩文件中的 TrickGate 加载程序、恶意 ISO 文件以及嵌入图片中的 VBScript 脚本 URL 进行传播。最近,乌克兰 CERT 披露了有关针对乌克兰国家机构进行攻击的行为,攻击中使用了加密的压缩文
研究人员发现一个未知的攻击组织以亚洲一家材料行业的公司为攻击目标,被命名为 Clasiopa。该组织使用独特的攻击工具,开发了定制化的后门 Atharvan。 Clasiopa 的 TTP 尚不清楚 Clasiopa 的攻击媒介是什么,研究人员猜测是通过对外开放的服务进行暴力破解获取的访问权限。 攻击中还有许多特征: 利用 ifconfig.me/ip 获取失陷主机的 IP 地址 试图通过停止 SepMasterService 来停用 Symantec Endpoint Protection,再利用 s
RedLine、RecordBreaker、ArkeiStealer、Vidar、Satacom、BatLoader 等窃密类恶意软件通常使用恶意软件即服务(MaaS)模式进行销售,并且不断更新升级攻击方式。
上午接到用户反映域控服务器被态势感知设备监测到存在恶意域名解析行为,且被态势感知定义为已失陷并感染病毒对外传播。
虚竹哥有个朋友小五,他是在安全厂家公司工作。小五的大学系主任找他,咨询有没有比较优秀的网络通信安全防护的软件,需要对学校的网络进行安全防护。
本文介绍了日志审计在网络安全中的重要性,详细阐述了日志审计在网络安全等级保护中的作用和意义,并提出了相应的解决方案。同时,本文还介绍了日志易产品,通过系统用户登录行为分析、用户操作行为分析、文件访问行为分析、用户登录域控日志分析、DNS&DHCP日志分析等全方位的内容用户行为分析,帮助用户实现安全行为审计,及时发现内网网络隐患,有效补充内网安全防御薄弱环节,从内到外构建立体化安全防护堡垒。
在实施过程中,企业关注点聚焦于移动办公系统是否能够保障现有业务系统的连续性和稳定性,同时在如何选择终端与应用开始令企业焦虑。 1 保障原有业务系统的稳定与连续性,成移动办公实施阶段的第一大坑 1、
被称为 RomCom 的攻击者正在利用 SolarWinds、KeePass 与 PDF Technologies 等公司的软件作为诱饵,开展一系列的攻击行动。研究人员发现攻击者通过虚假软件针对乌克兰军事机构发起攻击,并且投递 RomComRAT 远控木马。 RomCom 在攻击行动中仿冒了 SolarWinds Network Performance Monitor、KeePass Open-Source Password Manager 与 PDF Reader Pro 这几款软件。 根据恶意网站的服务
Step3:拍摄快照 T2-探索文件后缀名 Setp1:对于文件后缀的个人理解 Step2:常见的文件后缀 Step3:不常见的文件后缀 T3-编译代码并运行 Setp1:Java Step2:Go Step3:C++ Step4:Python
为了提高企业研发与办公效率,降低时间与人力成本,任何一家企业的服务器和办公电脑都离不开第三方的开源或商业软件。通常大多数企业会假设上游供应商安全有保障,或者说大多数情况下无法确认供应商的安全性,即便知道供应商没那么可靠,对其安全也强制不了,但为了满足自身需求也会妥协采用。因此软件供应链攻击的伤害效果注定显著,黑客攻击上游后,控制下游也就水到渠成。这类攻击具有隐蔽性强、影响范围广、投入产出比高等特点,一直是恶意攻击者热衷的渗透打点手段,也是企业、个人及安全保障团队难以完全杜绝的攻击场景。
相信在多数用户的印象里,macOS系统几乎不会受到病毒的影响。一方面,由于Windows市场占有率大,吸引了绝大部分的黑客和病毒攻击,从而显得针对macOS系统的攻击较少;另一方面,得益于苹果商店对软件严格的审核机制,也极大地降低了病毒入侵macOS系统的可能性,有效保证了用户安全。
2020年是新冠疫情构成主旋律的一年,全球经济形势、科技发展乃至人们的日常工作生活都受到疫情影响。在疫情催化各行业数字化转型更加依赖网络世界的同时,互联网安全也受到了前所未有的挑战。从2020年的开年大洞,微软 Windows CryptoAPI验证绕过漏洞CVE-2020-0601,到年末网络管理软件供应商SolarWinds遭供应链攻击,部分版本的Orion Platform更新文件中被植入后门,2020年的网络攻击更加频繁,手段更加多样化。
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
有别于金融、政府环境使用windows及其配套设施,国内互联网公司基础设施独钟情于linux系统,互联网公司遭遇的信息安全事件,如数据泄露,黑客入侵,竞争对手行为等,均有linux恶意文件的身影作祟。
近日,卡巴斯基实验室最近发布的一份报告显示,2017年第二季度,泄露的一批新漏洞利用方案促成了数百万次对流行 APP 的新攻击。报告指出,Shadow Brokers 泄露的工具和据称 NSA 有关的漏洞在本季度造成严重后果。其中 EternalBlue、EternalRomance 之类的漏洞引起了大量的恶意攻击。 说起泄露,除了斯洛登棱镜门、Shadow Brokers 泄露 NSA 数据这种大型泄露之外,维基解密泄露的一系列 CIA 文档也可以算是史上较大规模政府机构信息泄露事件了。
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 值得注意!首个可在Win11上绕过Secure Boot 的恶意软件 来自 ESET 的安全研究人员近日发现了一种劫持 UEFI 的恶意软件,并将其命名为 BlackLotus。该恶意软件被认为是首个可以在 Win11 系统上绕过 Secure Boot 的 UEFI bootkit 恶意软件。 2. 重大供应链威胁!这个
在开篇《安全事件运营SOP【1】安全事件概述》中,介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时,该如何快速处置?以及如何保证不同人员处置的效果都达标?安全事件的种类虽然繁多,但是处理起来并非无据可循。为了解决上述两个问题,同时提升工作效率和降低安全风险。经过大量的运营处置实践,总结出以下常见的处置标准操作程序(SOP)。
日前,火绒安全团队发现,万能压缩、起点PDF阅读器、迷你看图王、新速压缩、值购助手等一批软件内置后门程序,该后门可用来下发任意模块到用户电脑隐秘执行,威胁极大。目前,我们发现其云控下发的模块会投放间谍木马,用以收集用户浏览器历史记录等信息。此外,该木马还会利用QQ登录凭证窃取QQ身份信息。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
