“爱思助手”被爆为iOS木马样本技术分析

“爱思助手”被爆为iOS木马样本技术分析

3个月前 (11-18) 浏览: 33 评论: 0

  0x00 前言 安全公司 palo alto networks 于3月17日发表了 《AceDeceiver:第一款利用DRM设计缺陷感染任何iOS设备的iOS木马》,利用苹果DRM系统设计漏洞传播恶意程序,窃取苹果用户的敏感信息,安全研究人员建议用户立即卸载电脑和手机上安装的爱思助手及其安装的所有iOS应用。 0x01 AceDeceiver 简介 它是第一款利用DRM设计缺陷感染

Xcode编译器里有鬼 – XcodeGhost样本分析

Xcode编译器里有鬼 – XcodeGhost样本分析

3个月前 (11-09) 浏览: 22 评论: 0

0x00 序 事情的起因是@唐巧_boy在微博上发了一条微博说到:一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入。 随后很多留言的小伙伴们纷纷表示中招,@谁敢乱说话表示:”还是不能相信迅雷,我是把官网上的下载URL复制到迅雷里下载的,还是中招了。我说一下:有问题的Xcode6.4.dmg的sh

从一个锁主页木马里挖出的惊天“暗杀黑名单”

从一个锁主页木马里挖出的惊天“暗杀黑名单”

4个月前 (10-27) 浏览: 39 评论: 0

0x00 概况 近日腾讯反病毒实验室拦截到一个非常特殊木马,该木马集成了多种木马的特点和技术,通过多种流氓软件推广传播。其特殊之处在于:如果是普通用户感染了该木马,其行为是主页被锁;如果是黑名单中的用户感染了该木马,则启动“毁灭”模式,直接篡改磁盘MBR,导致电脑无法开机。此外木马还集成了盗号、DDOS攻击等大量功能,虽然当前并未被激活,但中招之后后患无穷,其行为总结如下: 1) 木马使用“白加黑

编写基于PHP扩展库的后门

编写基于PHP扩展库的后门

4个月前 (10-13) 浏览: 24 评论: 0

0x00 前言 今天我们将讨论编写基于PHP扩展库的后门。通常来说,大部分入侵者都会在脚本中留下自定义代码块后门。当然,这些东西很容易通过源代码的静态或动态分析找到。 利用PHP扩展库的好处显而易见: [crayon-58aaadb6e2422639290694/] 但是我们需要有编辑PHP配置文件的能力。 0x01 细节 //【译者注:用linux两条命令搞定了,何必windows费这么大劲】

使用powershell Client进行有效钓鱼

使用powershell Client进行有效钓鱼

4个月前 (10-12) 浏览: 30 评论: 0

0x00 简介 Powershell是windows下面非常强大的命令行工具,并且在windows中Powershell可以利用.NET Framework的强大功能,也可以调用windows API,在win7/server 2008以后,powershell已被集成在系统当中。 除此之外,使用powershell能很好的bypass各种AV,在渗透测试中可谓是一个神器。此次使用的是开源的pow

一只android短信控制马的简单分析

一只android短信控制马的简单分析

5个月前 (09-30) 浏览: 37 评论: 0

0x00 起因 WooYun: 仿冒电信运营商掌上营业厅的大规模钓鱼事件(大量用户银行卡中招CVV2与密码泄露) 然后有大牛在某电信网厅钓鱼站找到一款android app让我看看,就有了接下来的分析。 0x01 观察 拿到应用后先装到测试机上观察下,启动程序后立即监控到其向15501730287号码发送短信,内容为软件已安装,但未被jh。当前手机型号nexus5。 之后跳转到要激活设备管理器吗?

Powershell之MOF后门

Powershell之MOF后门

5个月前 (09-27) 浏览: 24 评论: 0

0x00 MOF Managed Object Format (MOF)是WMI数据库中类和类实例的原始保存形式。具体介绍可以阅读《WMI 的攻击,防御与取证分析技术之防御篇》,Windows 管理规范 (WMI) 提供了以下三种方法编译到WMI存储库的托管对象格式 (MOF) 文件: 方法 1: 使用Mofcomp.exe。 方法 2: 使用 IMofCompiler 接口和$ CompileF

“小龙女”网银被盗案关键恶意程序变形卷土重来

“小龙女”网银被盗案关键恶意程序变形卷土重来

5个月前 (09-26) 浏览: 26 评论: 0

0x00 背景 TeanViewer是全球知名的合法远程控制,一般用于在线远程协助。它的一个定制版服务,已经不是第一次成为其他远控的帮凶了。在2014年的时候因为“小龙女”李若彤经纪人被骗100万轰动一时,现在又重新回到大众的视线。这次TeamViewer不再单单只是TeamViewer了,它变了。这次TeamViewer还携带着灰鸽子 0x01 变种前 变种前,不法分子主要通过广泛收集受害者信息

利用.htaccess文件构成的PHP后门

利用.htaccess文件构成的PHP后门

5个月前 (09-26) 浏览: 85 评论: 0

0x00 .htaccess简介 .htaccess 是Apache HTTP Server的文件目录系统级别的配置文件的默认的名字。它提供了在主配置文件中定义用户自定义指令的支持。 这些配置指令需要在 .htaccess 上下文 和用户需要的适当许可。 平时开发用的最多的就是URL重定向功能。 0x01 开启.htaccess Apache中修改配置文件httpd.conf 1、修改如下内容 O

移花接木大法:新型“白利用”华晨远控木马分析

移花接木大法:新型“白利用”华晨远控木马分析

5个月前 (09-21) 浏览: 26 评论: 0

0x00 前言 “白利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“白利用”木马是通过系统文件rundll32.exe启动一个木马dll文件,之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。 随着安全软件对“白利用”的防御机制日益完善,木马也在花样翻新。近期,360QVM引擎团队发现“华晨同步专家”远控木马家族采用了比较另类的“白利用”技术:该木马利用白文件加载dll文

进击的短信拦截马

进击的短信拦截马

5个月前 (09-20) 浏览: 33 评论: 0

木马利用短信感觉受害者通信录中好友.利用"看你做的好事","看你做的龌龊事"等语句诱导用户安装. 开始分析木马,首先查看其Manifest文件.从其申请短信/联系/联网的权限来看已经可以基本确认这是一款短信拦截马,貌似没啥新意不过可以从中发现一些以前没有的细节.感觉这个木马还是挺用心的。 首先是installLocation属性的设置. [crayon-58aaadb6e69c7289150088

解密方程式组织的Unix后门NOPEN

解密方程式组织的Unix后门NOPEN

5个月前 (09-19) 浏览: 32 评论: 0

解密方程式组织的Unix后门NOPEN 在ShadowBrokers所泄漏的黑客工具中,有一款名为“NOPEN”的工具。NOPEN”实际上是一款针对Unix操作系统的远程管理工具(RAT)。“RAT”这个词通常形容的是那些针对Windows系统和Android设备的恶意软件,攻击者可以利用这些恶意软件来与受感染的目标主机进行网络通信。 前言 不久之前,黑客组织ShadowBrokers(影子经纪人

绿色.并不代表安全,一个隐藏在绿色软件中的木马分析

绿色.并不代表安全,一个隐藏在绿色软件中的木马分析

5个月前 (09-19) 浏览: 59 评论: 0

0x00 背景 “绿色软件”通常指的是那些无需安装即可使用的小软件,这些小软件运行后通常可以直接使用,且使用后不会在注册表、系统目录等残留任何键值和文件,甚至可以直接将其放到U盘、光盘等移动介质中,随时随地使用。同时由于其免安装、解压即可使用,也会给人予安全的感觉,因此深受广大网友的喜爱。然而这些“绿色软件”真的都安全吗? 0x01 木马简介 近期腾讯反病毒实验室捕获到多个带有木马的“绿色软件”压

云、管、端三重失守,大范围挂马攻击分析

云、管、端三重失守,大范围挂马攻击分析

5个月前 (09-16) 浏览: 40 评论: 0

0x00 源起 从3月5日开始,腾讯反病毒实验室监控到大量知名软件客户端存在释放下载器病毒的异常数据,预示着可能存在通过挂马方式大规模攻击知名软件客户端的行为。电脑管家紧急对相关数据进行分析排查,最终发现这是一起综合利用运营商监控缺失、网络广告商审核不严、客户端软件存在安全漏洞等多重因素进行的大规模网络攻击,其攻击方式就多达3种(参见下图)。 0x01 分析过程 1. 攻击方式一(某运营商客户端)

浅析基于用户(角色)侧写的内部威胁检测系统

浅析基于用户(角色)侧写的内部威胁检测系统

5个月前 (09-13) 浏览: 16 评论: 0

从“谍影重重”谈起 最近Jason Bourne再次归来,围绕自己进入“踏脚石计划”的种种内幕,与知晓一切的CIA高层杜威以及头号杀手Asset进行了层层角力,斗智斗勇,为了避免剧透,感兴趣的童鞋可以自行观影:),我们今天所谈的是整个故事的缘起:前CIA特工Nicky使用报废的电脑入侵CIA网络。后斯诺的时代,内部威胁防范早已成为国内外关注的重点,即便如此,如CIA一样的安全堡垒也无法避免内部人N

揭秘Neutrino僵尸网络生成器

揭秘Neutrino僵尸网络生成器

6个月前 (09-06) 浏览: 54 评论: 0

0x01 引言 一般情况下,网络犯罪分子通常都会以产品套装的形式来出售其攻击软件,其中包括: 恶意有效载荷:恶意软件的前端,用于感染用户。 C&C面板:恶意软件的后端部分,通常为LAMP环境下的一个Web应用程序。 生成器:一个应用程序,用来打包有效载荷,并嵌入特定发布者所感兴趣的信息,比如C&C地址、配置信息等。 这些恶意软件套装通常都是在黑市上销售的,尽管如此,有时还是会流入主

一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件

一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件

8个月前 (06-26) 浏览: 11 评论: 0

0x00 前言 以下内容撰写于2014年6月26日上午,由于时间精力关系,当时只写了一半,搁置了大半个月,后来在乌云的一个帖子中发现了一模一样的大规模钓鱼行为(帖子内容见底下)。 在乌云疯狗、长短短等朋友的强烈建议下,将这篇文章整理了出来,由于过了大半个月,有些细节、逻辑已渐渐模糊、混淆,经过了一段时间的整理(可以看到文中穿插有不同时间的点评),进行了收尾完善。 这是一个精心策划的、大规模的、针对

统计史上21大计算机病毒

统计史上21大计算机病毒

4年前 (2013-07-17) 浏览: 143 评论: 2

一谈计算机病毒,足以令人谈“毒”变色。硬盘数据被清空,网络连接被掐断,好好的机器变成了毒源,开始传染其他计算机。中了病毒,噩梦便开始了。有报告显示,仅2008年,计算机病毒在全球造成的经济损失就高达85亿美元。计算机病毒现身江湖已多年,可以追溯到计算机科学刚刚起步之时,那时已经有人想出破坏计算机系统的基本原理。1949年,科学家约翰·冯·诺依曼声称,可以自我复制的程序并非天方夜谭。不过几十年后,黑

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享