近日，FireEye 安全公司的高级逆向工程团队（FLARE）发布了一份标题为《 WMI 攻击，防御与取证分析技术 》的 PDF 文档，该文档页数多达 90 页，文档内容主要从攻击，防御和取证分析这三个角度分篇对 WMI 技术做了详细的描述。其中不乏有很多值得学习思考的地方。于是，我利用业余时间翻译整理了此文档，拿出来与大家共分享 :），如有纰漏，望各位不吝赐教。

9月初360安全团队披露bt天堂网站挂马事件，该网站被利用IE神洞CVE-2014-6332挂马，如果用户没有打补丁或开启安全软件防护，电脑会自动下载执行大灰狼远控木马程序。

鉴于bt天堂电影下载网站访问量巨大，此次挂马事件受害者甚众，360QVM引擎团队专门针对该木马进行严密监控，并对其幕后真凶进行了深入调查。

在当下全球网络威胁活动中，国外攻击者主要使用Zeus、CryptoWall、Bedep、各类常见RAT工具等作为恶意负载，但在最近我们监控恶意威胁的过程中，发现个别高级样本攻击中使用了较为少见的BetaBot木马，关于此木马很少有相关的分析资料。在进一步了解、分析后发现，该木马还是具有很强的危害和对抗手段。为了方便监控BetaBot木马恶意攻击活动，所以记录相关分析结果，以供参考。

LTE正逐渐发展为当今的主导蜂窝网络技术，开始从电路交换网络转向与互联网更相似的分组交换网络。为了让LTE网络支持语音通话，运营商引入了VoLTE语音服务。无论是从用户设备还是基础设施的角度来看，这项技术大大地改变了语音通话的处理方式。我们发现，这次突然的转型给攻击活动敞开了大门，引出了大量此前未经研究过的攻击途径。为了呼吁人们关注这一问题，我们系统性地分析了VoLTE语言服务的安全性。

这篇文章总结了一些我在安全工作里见到过的千奇百怪的C&C控制服务器的设计方法以及对应的侦测方法，在每个C&C控制服务先介绍黑帽部分即针对不同目的的C&C服务器设计方法，再介绍白帽部分即相关侦测办法，大家来感受一下西方的那一套。这里的白帽部分有一部分侦测方法需要一些数据和统计知识，我也顺便从原理上简单讨论了一下用数据进行安全分析的方法，从数学和数据原理上思考为什么这么做，可以当作数据科学在安全领域的一些例子学习一下。

近日腾讯反病毒实验室拦截到一个非常特殊木马，该木马集成了多种木马的特点和技术，通过多种流氓软件推广传播。其特殊之处在于：如果是普通用户感染了该木马，其行为是主页被锁；如果是黑名单中的用户感染了该木马，则启动“毁灭”模式，直接篡改磁盘MBR，导致电脑无法开机。此外木马还集成了盗号、DDOS攻击等大量功能，虽然当前并未被激活，但中招之后后患无穷，其行为总结如下：

本文详细地介绍了Dridex木马在受感系统上运行并上线后，所使用的通讯信道，P2P网络，加密方法以及相关的C2基础设施。我们主要研究了木马的CC通讯方法，并且确定了木马用于支持监控功能的协议上都存在哪些漏洞。

本文中没有记录木马的传播机制，也没有详细介绍受感染系统上的木马行为，而只是谈到了木马的网络通讯以及支持这些通讯的各种操作（比如，加密操作）。与Dridex相关的botnet感染扩散情况并不在本文的范围内。

最近安全界关注的焦点WormHole是一类不安全的开发习惯所导致的，在PC上类似问题也毫不罕见，只不过很多风险被微软默认自带的防火墙缓解了。希望本文和众多关于WormHole的讨论能获多或少地提高一些开发人员的安全意识。

下面要介绍的问题可导致的后果和WormHole非常类似：影响上亿用户、访问一个端口发送一条指令就可以让目标系统下载一个程序并执行。

在今年的黑帽大会上James Kettle讲解了《Server-Side Template Injection: RCE for the modern webapp》，从服务端模板注入的形成到检测，再到验证和利用都进行了详细的介绍。本文在理解原文内容的基础上，结合更为具体的示例对服务端模板注入的原理和扫描检测方法做一个浅析。

iOS被XcodeGhost血洗一把之后，Android又被WormHole暴揍一顿。正当大家打算歇一歇的时候，FireEye的Zhaofeng等人又发表了一篇报告叫《iBackDoor: High-Risk Code Hits iOS Apps》。报告中指出FireEye的研究员发现了疑似”后门”行为的广告库mobiSage在上千个app中，并且这些app都是在苹果官方App Store上架的应用。通过服务端的控制，这些广告库可以做到：

由于网上很多文章乱而不全或者过期了 所以打算噜这篇来做个笔记～ 方便自己以后查阅:)

最近WormHole这个洞炒的比较火，今天看了几篇漏洞分析文章，都很详尽，笔者在这里再补充一些发现。

之前在《导出当前域内所有用户hash的技术整理》中测试了5种导出域内所有用户hash的方法，经过这一段时间的学习和实践，找到了新的方法，也很有效，分享给大家。

本文主要以Cisco IOS为测试案例，讲解了如何对固件镜像进行修改。大多数人认为，做这样的一件事需要掌握一些尖端的知识，或者需要一些国家级别的资源，而事实上，这是一种普遍的误解。我认为，人们之所以这样想的一个主要原因是没有文章或教程完整地介绍过这一过程，也没有说明写一个rootkit都需要哪些资源。但是，本文的出现改变了这一现状。围绕这一主题，本文中提供了一些非常完善的方法，并完整地介绍了整个过程，同时也提供了相关的所需知识。如果读者能看完全文，他们最后就能写出一个基础的，但是能发挥作用的固件rootkit工具。一旦你理解了所有的基本思路和代码，并结合一个工作模型的话，那么你自己就能够轻松地写出一个加载器代码，并通过动态的，内存贮存的模块来扩展核心加载器的功能。不过，本文不会探究这么深，首先，文中证明了如何通过修改IOS镜像中的某个字节，来允许除真正密码以外的任意密码来登录路由器。第二，文章说明了如何覆盖原有的函数调用，从而调用你自己的代码，这里用到的例子是一个登录进程木马，能允许你指定一个秘密的二级登录密码。只要你完全理解了本文，用不了一个月的时间，你就可以根据本文中的知识来创建一个在功能上比SYNful Knock型rootkit更强大的rootkit工具。实际上，写一个类似的rootkit并不需要国家级的资源或上百万美元的投入，也不需要高科技智囊团的参与。接下来你会发现，在这几十年中，地下论坛上到处都能看到木马固件的身影。

随着移动安全越来越火，各种调试工具也都层出不穷，但因为环境和需求的不同，并没有工具是万能的。另外工具是死的，人是活的，如果能搞懂工具的原理再结合上自身的经验，你也可以创造出属于自己的调试武器。因此，笔者将会在这一系列文章中分享一些自己经常用或原创的调试工具以及手段，希望能对国内移动安全的研究起到一些催化剂的作用。