首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

2021年Linux恶意软件感染数量增长35%

2021年,针对Linux设备的恶意软件感染数量上升了35%,其中最常见的是利用物联网设备进行DDoS(分布式拒绝服务)攻击。...· XorDDoS、Mirai和Mozi僵尸网络是最流行的攻击形式,占 2021年观察到所有针对Linux的恶意软件攻击总量的22%。...恶意软件概述 XorDDoS XorDDoS是一种通用的Linux木马,因对C2 通信使用 XOR加密而得名,可以在从物联网ARM到x64服务器的多种Linux系统架构中运行。...在XorDDoS攻击物联网设备时,它通常通过SSH(安全外壳协议)暴力入侵易感染设备。在 Linux 机器上,它使用端口 2375 获得对主机的无密码 root 访问权限。...例如,网络安全公司Intezer在2020年就通过统计数据发现当年的Linux 恶意软件攻击数量相比于上一年增加了40%。

81310

CC++ 感染标志与空字节感染

C/C++ 通过搜索PE结构中的空隙部分,对指定文件写入感染标志,作用是,如果程序被感染过则不再继续感染,而搜索空字节,则是要将恶意代码动态的填充到可执行文件中,并劫持执行流,以下代码就是这两种代码的具体实现方式...设置文件感染标志: PE文件中有很多字段并没有使用到,我们可以在内部写入参数,实现检查是否被感染....#include #include #include #define VIRUSFLAGS 0xCCCC // 向指定文件写入感染标志..., 0, FILE_BEGIN); WriteFile(hFile, &dwSig, sizeof(DWORD), &dwNum, NULL); return TRUE; } // 检查文件是否被感染...\n"); return -1; } pNtHeader = (PIMAGE_NT_HEADERS)((BYTE*)lpBase + pDosHeader->e_lfanew); // 写入感染标志

24420
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    惊现 Linux 恶意软件 Symbiote:感染“很难被发现”!

    研究人员警告:“对受到感染的机器进行实时取证分析可能发现不了任何问题。”...Intezer的安全研究人员Joakim Kennedy和BlackBerry威胁研究与情报团队近日分析了一个不同寻常的Linux 恶意软件,他们表示这个恶意软件与之前见过的大多数恶意软件不一样,它不是一个独立的可执行文件...研究人员警告,这项研究没有提到最初的感染是如何发生的,不过一旦被感染上,它就“很难被发现”。...研究人员说:“由于Symbiote和Ebury/Windigo或其他任何已知恶意软件之间没有共享代码,我们可以有把握地得出结论,Symbiote是一种新颖的、从未被发现的Linux恶意软件。”...最后,有兴趣的读者可以参阅完整报告(https://www.intezer.com/blog/research/new-linux-threat-symbiote/),报告末尾附有大量的攻陷指标(IoC

    33120

    Linux Redis自动化挖矿感染蠕虫分析及安全建议

    | 导语 自从Redis未授权问题获取Linux系统root权限的攻击方法的披露后,由于其易用性,利用该问题入侵Linux服务进行挖矿、扫描等的黑客行为一直层出不穷;而在众多利用该问题入侵服务器进行黑产行为的案例中...Linux系统root权限的攻击方法的披露后,由于其易用性,利用该问题入侵Linux服务进行挖矿、扫描等的黑客行为一直层出不穷;而在众多利用该问题入侵服务器进行黑产行为的案例中,其中就存在一类利用该问题进行挖矿并且会利用...经过对捕获的事件进行分析,我们发现整个入侵流程大概是包含以下几个环节: 扫描开放6379端口的Linux服务器(后续感染扫描网段为1.0.0.0/16到224.255.0.0/16) 通过redis-cli...而步主要是调用pnscan去扫描子网段1.0.0.0/16到224.255.0.0/16中开放6379端口并且操作系统为Linux的目标,然后利用redis-cli执行.dat中的命令,进行下个目标的感染...)判断是否Linux系统。

    2.3K40

    超过1万台Linux服务器感染了恶意程序

    杀毒软件公司Eset的研究人员披露了一个正在进行中的恶意程序攻击,被取名为Operation Windigo(PDF) 的恶意攻击感染了超过1万台Linux和Unix服务器,这些服务器被用于发送大量垃圾信息...在三年时间内, Windigo感染了超过2.5万台服务器,每天发送3500万垃圾信息,对Windows的访问者发动偷渡下载攻击,向用户展示色情服务横幅广告。...其中 值得一提的是对kernel.org的攻击,至今Linux基金会还没有提供关于此次攻击的完整报告。 ?...Eset的报告称,kernel.org服务器感染 的可能是OpenSSH后门恶意程序Linux/Ebury,Ebury能在被感染的服务器上提供root访问权限,能用于窃取SSH凭证。...除了 Linux/Ebury外,Windigo的其它恶意组件包括Linux/Cdorked,用于重定向访问者到恶意网页的 HTTP后门;Perl/Calfbot,一个Perl脚本,可让被感染的机器发送垃圾信息

    98250

    事件分析 | Linux watchdogs 感染性隐藏挖矿病毒入侵还原录

    攻击者主要利用 Redis 未授权访问入侵服务器并通过内网扫描和 known_hosts 历史登录尝试感染更多机器。...(对此,腾讯云安全团队第一时间发布了病毒预警——预警 | 中招 watchdogs 感染性挖矿病毒,如何及时止损?) 相较于过去发现的挖矿病毒,这次的挖矿病毒隐藏性更高,也更难被清理。...再进一步横向扩展感染,检查本地 ssh 凭证,遍历/root/.ssh/known_hosts文件中的IP地址,利用默认公钥认证方式进行SSH连接,执行恶意命令横向扩展感染; 5....安全研究 | Linux 遭入侵,挖矿进程被隐藏案例分析 进一步分析watchdogs文件,可以清楚看到病毒释放了/usr/local/lib/libioset.so的动态链接库并将路径写入/etc/...最终完成了一个漏洞利用到植入挖矿程序,同时隐藏和横向感染的过程。

    3.4K50

    百万级感染感染型病毒猖狂在哪里?附火绒有效查杀方式

    一、百万级感染量 目前,感染型病毒特别是老旧的家族,在全网的感染量依旧很大。...根据“火绒威胁情报系统”监测和评估,2021年上半年感染型病毒活跃度依旧高涨,其中, Synares、Ramnit两大家族感染终端数量均超过百万。排名前十的感染型病毒家族如下图: ?...(2)感染性强 感染型病毒会迅速感染终端上所有可执行文件,导致安全软件频繁报毒,容易让用户以为是误报而选择信任。此外,感染型病毒还会通过邮件、共享文件夹、U盘等各类方式对外传播。...三、如何辨认感染型病毒 感染型病毒因为具备隐蔽性、潜伏性,可触发性等等各种特征,所以用户往往不能及时分辨出来。这里,火绒就为各位总结了如何判断中招感染型病毒的办法。...2019年,火绒发现感染型病毒Ramnit通过淘宝游戏店铺传播,同时能够感染电脑中所有可执行文件和HTML文件,窃取用户上网信息(譬如浏览器cookies等),并且通过这些被感染文件进行重复传播。

    1.8K30

    Mirai感染监控摄像头过程观察,几十秒就完成感染

    专家调查发现,Mirai僵尸网络是由数万台被感染的IoT设备组成,比如CCTV和DVR等。...于是,Errata Security公司的CEO——Robert Graham,就向我们展示了Mirai感染摄像头的过程。他用推特记录了这一过程。...感染过程 Graham首先买了一台55美元的技德科技监控摄像头。 ?...仅仅98秒的时间,Graham的摄像头就感染了恶意软件。 ? 而且实际情况是,这个摄像头感染了好几个恶意软件——Mirai并不是第一个到达现场的,而是“与之相似的其他恶意程序”。 ?...但是Graham认为,如果设备已经感染了Mirai,改密码这种方法并不适用。 Graham表示,很多Mirai密码是没法改的,所以缓解Mirai感染的正确方法是“将这些设备放在防火墙后”。

    1.2K50

    Agent Tesla新感染链解析

    Agent Tesla 最近一次的攻击部署在 RTF 文件里使用了多个 OLE 对象构建了复杂的感染链,虽然不是新技术手段,但在野利用仍然十分有效。...Deep Instinct 近期发现了 Agent Tesla 新的感染链,该感染链的独特之处是阶段很多且复杂。...感染过程 鱼叉邮件附件 感染链从 RTF 文件开始,该文件作为鱼叉邮件的附件进行发送。受害者执行后会向用户连续显示 5 个启用宏的请求。...通过手动调试这 5 个 VBA 代码片段,可以发现每段代码都负责创建 Powershell 代码的一部分,合起来构成感染的下一个阶段。 ?...结论 本文提到的感染链虽然不是新兴技术,但仍然在野被广泛利用。这种多个阶段的攻击链难以分析而且可以逃避检测。每个阶段只是完整攻击的一小部分,这也让检测完整感染链变得困难。

    1.4K30

    恶意软件Symbiote将感染Linux系统上所有正在运行的进程

    近期,一种新发现的名为Symbiote的Linux恶意软件会感染目标系统上所有正在运行的进程,窃取帐户凭据并为其背后的操作员提供后门访问权限。...据调查,该恶意软件会将自身注入所有正在运行的进程,就像是一个系统里的寄生虫,即使再细致的深入检查期间也不会留下可识别的感染迹象。...这种隐秘的新恶意软件主要通过连接“libc读取”功能从被黑的Linux设备中自动获取证书。...研究人员表示由于恶意软件作为用户级 rootkit 运行,因此在检测是否感染时就很困难。...“网络遥测技术可以用来检测异常的DNS请求,安全工具,如AVs和edr应该静态链接,以确保它们不被用户的rootkits‘感染’,”专家表示,随着大型和有价值的公司网络广泛使用这种架构,这种用于攻击Linux

    1.2K20

    CTF实战22 病毒感染技术

    virus) 蠕虫 其中,蠕虫与病毒相似,是一种能够自我复制的计算机程序 与计算机病毒不同的是,计算机蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行 计算机蠕虫未必会直接破坏被感染的系统...或是被控制而不自知,也有电脑正常运作仅盗窃数据等用户非自发启动的行为 为了方便传播一般文件比较小 一般文件被感染后都会在文件中加入标记位避免重复感染 病毒与木马的区别和相同点 病毒是一种传播技术,而木马是目的实现...,至今仍可破坏计算机硬盘引导记录)传染的计算机病毒 DOS病毒是最早出现的计算机病毒 感染主引导扇区和引导扇区的DOS病毒称为引导型病毒 3....网络病毒 通过计算机网络传播感染网络中的可执行文件,如今大都数的病毒都是这个类型 病毒可能感染的位置 Boot扇区 DOS COM/EXE NE PE/PE64 ARM MIPS ELF 等等 病毒可能的编写语言...电脑都蓝屏了,一般人不是直接开始重装系统,然后病毒白感染了 具体的病毒分析就不列举了,感兴趣的同学可以看看《恶意代码分析实战》

    89820

    企业感染恶意软件的处理建议

    企业网络感染恶意软件可能会造成关键信息系统或数据的破坏,直接威胁正常业务的运行。为了应对这样的情况,企业应该提前做好准备,构建恶意软件的检测和响应能力。...恶意软件一般具备在大型企业网络快速传播的能力,对于企业而言,查清恶意软件的感染途径对于事件处理具有重要作用。...遏制措施包括: 确定所有出现异常行为的系统所感染的恶意软件类型,恶意软件并可能通过以下途径进一步传播: 集中式企业应用程序 集中式文件共享 受感染系统共用的特权用户帐户 网络分区或网络边界 通用DNS服务器...根据恶意软件可能采用传播方式,可以有针对性地实施控制措施,以进一步减少影响: 实施基于网络的访问控制列表ACL,阻断感染的系统或程序与其他系统的通信功能, 立即将特定系统或资源隔离,或通过沙箱进行监控...为特定的IP地址(或IP范围)实施空网络路由—使其无法对外通信并传播恶意软件, 利用企业内部DNS—将所有已感染恶意软件的服务器和应用程序解析为空地址 立即禁用可疑的用户或服务帐户 删除可疑文件共享的访问权限或禁用其共享路径防止其他系统访问

    88020

    阳了后,会重复感染吗?

    但是,上篇文章中没展开的是——奥密克戎突变株会造成很强的免疫逃逸,疫苗接种和感染康复者都无法抵御新突变株的感染[3]。打个比方,感染BA.1后并不一定能防止BA.2和BA.5等后续新突变株的感染。...但是它们却总是忽视大家如此关注国外新毒株的根本原因,是害怕不同的奥密克戎毒株造成重复感染。 3、什么是重复感染? 新冠重复感染是指一个人感染了新冠病毒,康复之后再次或多次被感染的情况。...先得到基础的共识,我们再来探讨大家最关心的:重复感染的概率是多少?多久会重复感染? 4、重复感染的概率是多少?...丹麦科学家证实,BA.2变异株同样可以感染之前被奥密克戎感染过的患者,但感染率比较低。...从上图中可以看到,之前感染过原始毒株或德尔塔毒株的民众的感染风险与从未感染的人基本一致,也就是说毫无抗体。 而若感染了今年以来的奥密克戎毒株,其中1-3个月内重复感染的风险非常小。

    43430
    领券