“大黄蜂”远控挖矿木马分析与溯源

“大黄蜂”远控挖矿木马分析与溯源

5天前 浏览: 16

事件背景: 近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器来实现自己利益的最大化。通过哈勃同源系统的分析发现,木马作者还在频繁的更新木马功能、感染用户量也在迅速增加,值得引起我们足够 的关注。下面我们会从感染后现象、影响范围、技术分析及溯源上做详细介绍和分析。 现象与危害:

如何制作基础认证钓鱼页面

如何制作基础认证钓鱼页面

5天前 浏览: 6

写在前面的话 在此之前,我们曾给大家介绍过一款名叫Responder的工具,当用户在Web浏览器中输入了无效的域名地址之后,这款工具将可以利用基础认证弹窗来收集目标用户的凭证信息。Responder所使用的方法非常好,它不仅可以捕获到很多有意思的数据,而且还可以响应现存域名的DNS请求,但是我认为将基础认证用于网络钓鱼技术也许会更加有效果。 我觉得基础认证的一个非常吸引我的特点就是用户永远不知道是

图片后门捆绑利用工具 – FakeImageExploiter

图片后门捆绑利用工具 – FakeImageExploiter

4个月前 (05-12) 浏览: 96 评论: 0

在这里,要向大家推荐一款名为“Fake Image Exploiter”的黑客工具,该工具可以在图片文件中捆绑隐藏的恶意.bat或.exe程序,方便钓鱼或社工攻击过程中的入侵控制。如果受害者点击该恶意图片文件后,将会向控制主机反弹一个管理控制会话。以下是其使用视频: https://www.youtube.com/watch?v=4dEYIO-xBHU 配置使用 首先,打开Kali终端,执行下载安

Android欺诈僵尸网络Chamois的检测和清除

Android欺诈僵尸网络Chamois的检测和清除

6个月前 (03-21) 浏览: 31 评论: 0

前言 一直以来,Google都在致力于为各种设备和环境中的用户提供全面的保护,其中就包括设法让用户免受潜在有害应用程序(PHAs)的侵害,因此,我们就有机会观察针对我们的生态系统的各种类型的威胁。例如,我们的安全团队最近发现了一个针对我们的广告和Android系统的新型PHA家族,我们将其命名为Chamois。同时,我们也迅速为用户提供了相应的防护措施。Chamois是一个Android PHA家

“木马下载器”伪装成Adobe Flash Player升级程序,攻击安卓用户

“木马下载器”伪装成Adobe Flash Player升级程序,攻击安卓用户

7个月前 (02-24) 浏览: 135 评论: 0

根据ESET研究所最新研究成果,发现了一种伪装成Adobe Flash Player升级程序的安卓恶意软件下载器。 尽管早在2011年Adobe就表示将停止为移动设备开发 Flash Player,2012年,Flash Player正式退出 Android 平台。但是仍然无法避免网络犯罪分子滥用它,来诱使不知情的用户下载并安装他们的恶意程序。通常情况下,攻击者主要通过一个精心设计、高度仿真的外观

“爱思助手”被爆为iOS木马样本技术分析

“爱思助手”被爆为iOS木马样本技术分析

10个月前 (11-18) 浏览: 113 评论: 0

  0x00 前言 安全公司 palo alto networks 于3月17日发表了 《AceDeceiver:第一款利用DRM设计缺陷感染任何iOS设备的iOS木马》,利用苹果DRM系统设计漏洞传播恶意程序,窃取苹果用户的敏感信息,安全研究人员建议用户立即卸载电脑和手机上安装的爱思助手及其安装的所有iOS应用。 0x01 AceDeceiver 简介 它是第一款利用DRM设计缺陷感染

Xcode编译器里有鬼 – XcodeGhost样本分析

Xcode编译器里有鬼 – XcodeGhost样本分析

10个月前 (11-09) 浏览: 49 评论: 0

0x00 序 事情的起因是@唐巧_boy在微博上发了一条微博说到:一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入。 随后很多留言的小伙伴们纷纷表示中招,@谁敢乱说话表示:”还是不能相信迅雷,我是把官网上的下载URL复制到迅雷里下载的,还是中招了。我说一下:有问题的Xcode6.4.dmg的sh

从一个锁主页木马里挖出的惊天“暗杀黑名单”

从一个锁主页木马里挖出的惊天“暗杀黑名单”

11个月前 (10-27) 浏览: 118 评论: 0

0x00 概况 近日腾讯反病毒实验室拦截到一个非常特殊木马,该木马集成了多种木马的特点和技术,通过多种流氓软件推广传播。其特殊之处在于:如果是普通用户感染了该木马,其行为是主页被锁;如果是黑名单中的用户感染了该木马,则启动“毁灭”模式,直接篡改磁盘MBR,导致电脑无法开机。此外木马还集成了盗号、DDOS攻击等大量功能,虽然当前并未被激活,但中招之后后患无穷,其行为总结如下: 1) 木马使用“白加黑

编写基于PHP扩展库的后门

编写基于PHP扩展库的后门

11个月前 (10-13) 浏览: 133 评论: 0

0x00 前言 今天我们将讨论编写基于PHP扩展库的后门。通常来说,大部分入侵者都会在脚本中留下自定义代码块后门。当然,这些东西很容易通过源代码的静态或动态分析找到。 利用PHP扩展库的好处显而易见: 很难寻找 绕过disable_functions选项 有能力控制所有的代码 访问代码执行的API 但是我们需要有编辑PHP配置文件的能力。 0x01 细节 //【译者注:用linux两条命令搞定了,

使用powershell Client进行有效钓鱼

使用powershell Client进行有效钓鱼

11个月前 (10-12) 浏览: 111 评论: 0

0x00 简介 Powershell是windows下面非常强大的命令行工具,并且在windows中Powershell可以利用.NET Framework的强大功能,也可以调用windows API,在win7/server 2008以后,powershell已被集成在系统当中。 除此之外,使用powershell能很好的bypass各种AV,在渗透测试中可谓是一个神器。此次使用的是开源的pow

一只android短信控制马的简单分析

一只android短信控制马的简单分析

12个月前 (09-30) 浏览: 148 评论: 0

0x00 起因 WooYun: 仿冒电信运营商掌上营业厅的大规模钓鱼事件(大量用户银行卡中招CVV2与密码泄露) 然后有大牛在某电信网厅钓鱼站找到一款android app让我看看,就有了接下来的分析。 0x01 观察 拿到应用后先装到测试机上观察下,启动程序后立即监控到其向15501730287号码发送短信,内容为软件已安装,但未被jh。当前手机型号nexus5。 之后跳转到要激活设备管理器吗?

Powershell之MOF后门

Powershell之MOF后门

12个月前 (09-27) 浏览: 49 评论: 0

0x00 MOF Managed Object Format (MOF)是WMI数据库中类和类实例的原始保存形式。具体介绍可以阅读《WMI 的攻击,防御与取证分析技术之防御篇》,Windows 管理规范 (WMI) 提供了以下三种方法编译到WMI存储库的托管对象格式 (MOF) 文件: 方法 1: 使用Mofcomp.exe。 方法 2: 使用 IMofCompiler 接口和$ CompileF

“小龙女”网银被盗案关键恶意程序变形卷土重来

“小龙女”网银被盗案关键恶意程序变形卷土重来

12个月前 (09-26) 浏览: 113 评论: 0

0x00 背景 TeanViewer是全球知名的合法远程控制,一般用于在线远程协助。它的一个定制版服务,已经不是第一次成为其他远控的帮凶了。在2014年的时候因为“小龙女”李若彤经纪人被骗100万轰动一时,现在又重新回到大众的视线。这次TeamViewer不再单单只是TeamViewer了,它变了。这次TeamViewer还携带着灰鸽子 0x01 变种前 变种前,不法分子主要通过广泛收集受害者信息

利用.htaccess文件构成的PHP后门

利用.htaccess文件构成的PHP后门

12个月前 (09-26) 浏览: 200 评论: 0

0x00 .htaccess简介 .htaccess 是Apache HTTP Server的文件目录系统级别的配置文件的默认的名字。它提供了在主配置文件中定义用户自定义指令的支持。 这些配置指令需要在 .htaccess 上下文 和用户需要的适当许可。 平时开发用的最多的就是URL重定向功能。 0x01 开启.htaccess Apache中修改配置文件httpd.conf 1、修改如下内容 O

移花接木大法:新型“白利用”华晨远控木马分析

移花接木大法:新型“白利用”华晨远控木马分析

1年前 (2016-09-21) 浏览: 50 评论: 0

0x00 前言 “白利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“白利用”木马是通过系统文件rundll32.exe启动一个木马dll文件,之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。 随着安全软件对“白利用”的防御机制日益完善,木马也在花样翻新。近期,360QVM引擎团队发现“华晨同步专家”远控木马家族采用了比较另类的“白利用”技术:该木马利用白文件加载dll文

登录

忘记密码 ?

切换登录

注册

扫一扫二维码分享