概述: KONNI是一类远控木马病毒,很早之前就由思科Talos团队披露过。在2014年的时候就开始活跃起来了。针对的主要攻击对象有俄罗斯、韩国等地区。在PaloAlto团队的研究中发现此类木马病毒家族与Nokki有很多相似之处,疑似这个与东亚的APT组织存在关联性。此后Konni被当做疑似具有东亚背景的APT组织。 暗影实验室根据捕获的样本发现,此样本仿冒安全软件,以检测用户设备安全情况为诱饵,诱导用户使用此软件。用户安装应用之后向主控地址请求远控命令,获取用户联系人、短信、应用安装列表等信息,将获取的隐
银行恶意软件一直都是我们暗影实验室关注的重点。近期,意大利出现了一种新型的Android恶意软件,研究人员发现它与目前已知的银行木马家族都不相关,命名这款新型的银行木马家族为TeaBot(也有命名为Anatsa)。
不论你的职业是什么,从事互联网工作基本就离不开远程,从远程安装系统到远程搞设计,再到做服务器的调控,都需要靠远程来协助完成。特别是像我们这样的程序员,有谁还会大老远的跑去公司写代码、debug?直接打开远程软件就可以操作了,省时省力。
很不幸,疫情再次出现反复。部分城市、街区被迫放慢脚步,企业只能选择远程办公、居家办公。通过有关新闻,我们看到这样的画面:
天下没有免费的午餐。 这句话也适用于那些想要寻找黑客工具的人。如果你想在网上找个现成的入侵工具的话就要知道,很多号称黑客“瑞士军刀”的工具都是骗人的。 最近,多个地下黑客论坛出现一款免费的远控生成器,这款工具内置了一个后门模块,能够让工具作者获取那些受害者的数据。 这款远控被命名为Cobian,今年2月已经开始传播。软件与njRAT和H-Worm有很多相似点,后两者至少在2013年已经存在。 来自Zscaler的ThreatLabZ研究人员发现这款恶意软件,它可以帮助那些黑客小白轻松制作自己版本的Cob
默认情况下todesk日志文件保存在安装目录同级目录Logs下,在4.7以前的版本中,目录下有以service为首的文件以及以client为首的文件。其中service文件表示是被别人远控的日志。client文件表示是远控别人的日志。在4.7后的版本含4.7中,目录下不再存在以client为首的文件。
大家好,我是码农飞哥,作为一个常年混迹职场的老码农。我在工作和生活中碰到了很多问题,也帮助别人解决了很多问题。前有帮实习生配环境,后有帮同事调BUG,中间还有教老爸如何使用手机。
大家好,我是ABC_123。在2023年写了几篇关于美国国家安全局的TAO(特定入侵行动办公室)APT案例分析,并初步介绍了量子注入攻击手法。国外泄露的关于美国APT组织的文档反复提到一款远控,名叫UnitedRake联合耙,ABC_123一直对其十分感兴趣,但是国内外关于其介绍非常少。于是ABC_123收集了大量资料并仔细研读,最终大致弄明白了它的主要功能和设计思路,今天就把我的理解和分析写出来分享给大家。
导读:何为“间谍”?《说文解字》解释道:“谍,军中反间也。”使用反间计当然需要三寸不烂之舌,这是“谍”的本义。“间”怎么会跟“谍”联系起来了呢?“间”本来写作“闲”,清代文字训诂学家段玉裁为《说文解字》所作的注释说:“开门月入,门有缝而月光可入。”因此“间”的本义就是门缝,泛指缝隙,有缝隙就可以使用反间计了,故称“间谍”。
近日,腾讯安全威胁情报中心检测到有挖矿、远控黑产团伙利用向日葵远控软件RCE漏洞攻击企业主机和个人电脑,已有部分未修复漏洞的主机、个人电脑受害。攻击者利用漏洞入侵后可直接获得系统控制权,受害主机已被用于门罗币挖矿。
Server等服务启动cmd.exe来执行powershell脚本,最终下载运行上述后门病毒程序。而该后门病毒疑似为Quasar
再过几天期末考试了,还有好多要复习。。蛋都快碎了。最近在看老狼的gh0st内核编程,想了很久要不要写文章,最后还是觉得很有必要,原因过一会讲。
前面写向日葵(sunLogin)的时候说到了 hidetoolz 这个进程保护器只能够暂时保护进程,重启后就失效需要重新设置,不过我最近找 win10 关闭 defender 工具的时候偶然又找到了一些好东西。
写这篇文章时,这次的渗透已经完成一周多了,当时也没有想到会要写文章出来,所以有一部截图是后来补上的,为了我的人身安全,有涉及到的敏感信息,我都会打码,请多多包涵。
扶凯,深圳秒点科技CEO。原云帆加速联合创始人&CTO,曾担任蓝汛架构师,土豆网技术经理,国美、音悦台等多家公司技术高管,国网信息产业集团事业部总经理,精通 CDN 网络加速技术、视频编解码技术与大规模对象存储技术等。2021年创立深圳秒点科技有限公司。 吴洪声,人称奶罩,腾讯云中小企业中心总经理,DNSPod创始人,洋葱令牌创始人,网络安全专家,域名及DNS技术专家,知名个人站长,中欧国际工商学院EMBA。 1 吴洪声:你原本从事的是 CDN 及边缘计算,在网络加速、视频解码领域有十多年的技术积累,
当然,所有的实验均是在模拟器上进行,属于局域网.如果实现外网手机远控,可以在服务器上进行.
根据“火绒威胁情报系统”监测,近日,火绒工程师发现多起黑客入侵企业服务器后下载并执行后门病毒的威胁事件。目前,火绒相关防护功能可拦截该攻击,并能扫描查杀该后门病毒。但同时,我们通过排查相关威胁信息发现,上述后门病毒从去年8月份开始,影响范围明显扩大,不排除后续黑客还会尝试其它渗透方式达到入侵的目的。
本来是快乐的周末,突然加入的几个技术群说起来远控安全的问题,非常热闹,我转过来看看。
近期,毒霸监测到一款DDOS木马的感染量呈现出上升趋势,而同时呈现出相同增长趋势的,还有部分流氓软件。经过溯源分析,我们发现上述2类软件均来自上海奇陆网络科技有限公司的一款叫做“钱蜜省钱助手”的软件。
说起远控软件,大家的第一印象是什么?是能实现电脑控制电脑、手机平板控制电脑、或手机电脑控制另外手机的操作需求,还是TeamViewer、ToDesk、向日葵、微软桌面这类的产品名称?
本人为了工作中便于管理手中大量的计算机一直在寻找一款合适的远程控制软件。鉴于网上下载的远程控制软件大多都被不同程度地植入后门,于是萌生了自己打造一款远控的想法,正好借着这个机会重新拾起快要被遗忘了的C++,也借此将源代码与大众网友分享。采用成熟的MFC框架技术来搭建远控客户端和服务端,实现了进程管理、文件管理、服务管理、远程SHELL和屏幕监视功能,层次结构清晰,为日后软件版本的迭代留下了扩展空间。 编程环境 Visual Studio 2010 连接方式 采用反弹型连接方式,被控端主动连接控制端从而能够轻
概述: GravityRAT是一款隐秘的间谍软件,从2016年开始就反复被用于针对印度的持续性攻击。在此期间,GravityRAT添加了很多新功能,尤其是文件渗透,远程命令执行,以及反VM技术,使其更难以检测,它可以非常快速地从受感染计算机中窃取大量数据,甚至可以扫描连接到受害设备的外部硬盘驱动器或USB,然后提取这些文件。之前GravityRAT比较注于计算机的恶意攻击,但是研究者发现该木马正增加针对macOS和Android平台的攻击。 近期,恒安嘉新暗影实验室App全景态势与情报溯源挖掘平台监测到一款
判断当前服务器是否在域内 RDS 如果目标服务器远程桌面服务开启,可尝试进行连接,若在用户名和密码栏下还有一个登录到(L)选项,下拉选项栏如果除了计算机名(此计算机)选项外还有其他选项,则此服务器可能位于域中,且选项名即为域名; net time /domain 执行该命令,有三种情况:第一种如果存在域会从域控返回时间,并在第一行返回域控及域名;第二种如果当前当前服务器在域内但当前用户非域用户,则会返回System error 5就表示权限不够;最后一种就是返回“找不到域WORKGROUP的域控制器
大家好,我是ABC_123。在几个月前,我反复研读国家计算机病毒应急处理中心的多篇报告及360安全公司发布的各种关于该事件的报道,再结合国外对于美国APT研究报告,花了半个多月的时间复盘了美国APT入侵中国西北工业大学的整个流程,详见《第58篇:美国安全局NSA入侵西北工业大学流程图梳理和分析(正式篇)》。随着对美国APT组织和武器库的进一步了解,ABC_123最近又有新的领悟和研究成果,本着“未知攻、焉知防”的道理,今天给大家讲一讲美国APT在入侵西工大过程中,所用到的5款远控后门。
被黑疑似进程(或 svchost.exe 长时间 50%-100%) 因近期网上大规模爆发Windows 漏洞 2003/2008/2012 等系统被黑的情况,且相关黑客工具获取非常容易本次漏洞基本包含了所有 Windows 系统,5 月 13 日 wana Decrypt0r 2.0 勒索软件爆发,大量计算机被黑和植入木马,且有被加密勒索。 通过这个大洞入侵后,勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿
--------------------转载自freebuf 微软的11月份的安全补丁包含了一个隐藏17年之久的Office远程代码执行漏洞(CVE-2017-11882),该漏洞影响目前所有流行的O
近期,360安全卫士监测到了一批通过微信群传播的远控木马,木马针对在网上倒卖微信号的人群定向投放。卖号人的交流群里时常有不同的小号在散播诱导性的木马程序,不知情的卖号人运行木马后,电脑上就被植入后门。
支持:Windows, macOS , iOS , Android , Linux (x86_x64/Arm_v7l/Arm64)且适配各种分辨率屏幕,多屏幕设备。
最近一段时间在面试病毒相关岗位,有的公司会电话、远程面试询问相关知识,有的则会直接发送病毒样本要求分析,写出分析报告。下面要分析的就是面试过程中的某个样本,整理成文,发表出来,供大家参考学习,一起进步!如有不当之处,也希望大佬批评指正,晚辈一定虚心受教。
近日,腾讯洋葱反入侵系统检测发现 PyPI官方仓库被恶意上传了covd 钓鱼包,并通知官方仓库下架处理。由于国内开源镜像站均同步于PyPI官方仓库,所以该问题不仅会通过官方仓库,还可能通过各个开源镜像站影响广大用户,腾讯安全应急响应中心(TSRC)秉承共建安全生态的原则,TSRC在此建议各开源镜像站以及对开源镜像站有依赖的组织和公司,请尽快自查处理,确保恶意库得到清除,保障用户安全。
为追求真实服务器环境,采用阿里云ECS弹性服务器搭建靶场(windows server2012 + phpstudy)
话说3.14号早上,小Z像平常一样来到公司,发现一帮同事在一台电脑前围观,不过各个表情诧异的样子,他也好奇的凑过去看看有啥新奇的,电脑里除了系统文件,无一例外被加了Tiger4444的后缀。中勒索病毒了。小Z心里咯噔一下,明明之前做了很多的防守动作,为什么还是中招了?
https://www.xie-sec.com/detail/l_628764a1e4b01a485201cba3/4
本地帐户Local Accounts存储在本地的服务器上。这些帐户可以在本地服务器上分配权限,但只能在该服务器上分配。默认的本地帐户是内置帐户(如administrator、guest等),在安装Windows时自动创建。Windows安装后,无法删除默认的本地帐户。此外,默认的本地帐户不提供对网络资源的访问。默认的本地帐户用于根据分配给该帐户的权限来管理对本地服务器资源的访问。默认的本地帐户和后期创建的本地帐户都位于“用户”文件夹中。
被称为 RomCom 的攻击者正在利用 SolarWinds、KeePass 与 PDF Technologies 等公司的软件作为诱饵,开展一系列的攻击行动。研究人员发现攻击者通过虚假软件针对乌克兰军事机构发起攻击,并且投递 RomComRAT 远控木马。 RomCom 在攻击行动中仿冒了 SolarWinds Network Performance Monitor、KeePass Open-Source Password Manager 与 PDF Reader Pro 这几款软件。 根据恶意网站的服务
随着数字货币价值不断攀升,盗取用户计算机处理器的计算能力进行挖矿成为一门一本万利的暴利营生。自2017年爆发之后,近年来在挖矿木马全球范围持续活跃,每年都有大量主机和服务器被感染,已成为网络世界最主要的威胁之一。近日,腾讯安全发布《2019年度挖矿木马报告》,对挖矿木马种类、感染趋势、技术特点等进行全面分析,并有针对性地提出相关防御和处置建议。
肉机:被植入木马的电脑或者是服务器等联网设备 软件木马:远控软件的被控端(exe文件) 脚本木马:脚本语言编写的被控端(asp、php…) 拿Webshell(有人也会说是:拿shell):拿到网站的最高权限 服务器:提供计算机服务的设备。 物理服务器:实体的 虚拟服务器:常见的,远程连接的 后门:一栋房子有一扇大门跟一个洞。房子=服务器(个人电脑)、大门=正常权限、洞=后门 IP:代表计算机的一个网络地址 端口:设备与外界通讯交流的出口。(一栋大楼里面有几个房间,房间有几个门 大楼=IP,房间的门=端口
T客汇官网:tikehui.com 撰文 | 杨丽 采访嘉宾:费控宝创始人兼CEO 汪远根 “不做免费软件,不为没有价值的小企业客户提供产品/服务。”采访中,汪远根话里有话。他认为:目前报销领域的竞
物联网这个概念早在十多年前便已提出,其主要依托于移动通讯网络来实现其功能的传输。在过去物联网领域的一些设备控制场景中,我们或多或少都见到过远程控制技术的身影,但受限于当时的网络条件和技术场景,大部分应用都属于对设备的简单操作,并不会同步太多的现场实时信息。随着通讯技术的不断发展,以及5G技术的出现,智能化的生活也离大家越来越近。
物联网这个概念早在十多年前便已提出,其主要依托于移动通讯网络来实现其功能的传输。在过去物联网领域的一些设备控制场景中,我们或多或少都见到过远程控制技术的身影,但受限于当时的网络条件和技术场景,大部分应用都属于对设备的简单操作,并不会同步太多的现场实时信息。随着通讯技术的不断发展,以及5G技术的出现,智能化的生活也离大家越来越近。 5G的出现给移动网络带来了高带宽、低时延、本地分流等新的特性。同时,远程控制作为5G技术的先导,其对于智能化时代具备重要价值,5G可以满足远程控制应用中更多信息的同步需求
网上很少有关于对网吧应急类的文章,正好在今年的工作中处置过一起网吧挖矿的安全事件应急,网吧的网络环境与企业单位的环境都是天差地别的存在,网吧的网络环境杂乱无章各种病毒流氓软件,基本上网吧的网络边界是不会存在流量审计这样的设备,且有两台服务器以上的网吧都算很不错的网吧了,所以在网吧环境下应急提升了不小的难度在此过程中也踩了不少坑也学到了不少,毕竟也是第一次到网吧处置安全事件。
由于无人机具有可超视距工作;数据采集;自主巡航等功能以及其复杂的动力系统,所以需要一种可部分或代替操作手完成飞行器控制的控制系统,一般定义为飞行控制器 ,简称飞控
近期,火绒安全团队发现黑客正通过MSSQL暴破进行大规模网络攻击。一旦黑客攻击成功,其不仅可以远控用户电脑进行任意操作,还可以下发 Mallox 勒索和挖矿软件,并且这些软件都经过了多层混淆加密,进一步增加了杀毒软件的检测难度,对用户构成较大的威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少“网盘不限速神器”或者“播放器VIP破解工具”。不过,这些“神器”既不靠谱更不安全,因为它们已经被木马盯上了。 近日,360安全中心监测到一批伪装成“迅雷9.1尊贵破解版”、“百度网盘不限速”工具的远控木马正大肆传播。为了掩人耳目,木马不仅会添加桌面的快捷方式图标、软件安装的注册表信息,还足足利用了三层白利用才完成安装。最为精妙的是,其中一层白利用中,木马利用了BlueSoleil(一款蓝牙软件)的安装程序,直接修改配
我常用的远程软件 ToDesk和向日葵和Temaviewer,因业务和工作需要经常使用远程软件
这次继续围绕第一篇《第一季从攻击者角度来对抗》做整理与补充。在深入一步细化 demo notepad++。
收到上级通知,单位内网存外连恶意地址的行为,要求排查是否被植入木马。此时正值傍晚下班时间,无疑晚饭是吃不了了,马上进入应急状态。
近期,火绒安全团队截获蠕虫病毒“RoseKernel”。该病毒可通过远程暴力破解密码等多种手段全网传播。病毒入侵电脑后,会同时执行“挖矿”(门罗币)、破坏Windows签名校验机制、传播后门病毒等系列恶意行为。由于病毒会对同一网段的终端同时暴力破解密码,对局域网等机构用户(政府、企业、学校、医院)危害极大,截至到发稿前,已有数万台电脑被感染。目前“火绒产品(个人版、企业版)”最新版即可查杀该病毒。
2022 年 5 月,警察联合执法摧毁了 Cabassous 的网络基础设施。与此同时,Anatsa 也逐渐销声匿迹,这都为安卓银行木马留出了市场空白。最初,Hydra 与 ExobotCompact(也称 Octo)填补了这一空白。而 Ermac 后来居上,目前与二者数量不相上下。 2021 年 9 月,研究人员发现了 Ermac 恶意软件家族,脱胎于臭名昭著的 Cerberus 家族。尽管 Hydra 的传播最广,但另外两个家族的传播力也一直保持在高位。 检出的恶意软件家族 Ermac 被其运营方公开
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
