今年年初，卡巴斯基实验室在安全扫描过程中，检测到了几个影响了自家内部系统的网络入侵行为。

接着我们大范围调查了这些入侵事件。我们分析发现了一个全新的木马平台，这个平台出自Duqu APT小组之手。Duqu APT小组是世界上最神秘，水平最高的APT小组。这个小组从2012年开始销声匿迹，直到今天又卷土重来。我们分析了这新一轮攻击，结果表明这是2011年Duqu木马的升级版，怀疑与Stuxnet木马有关。我们把这个新木马和相关的平台命名为"Duqu 2.0"。

近来, Cyphort Labs已收到多种针对于亚洲某金融机构的恶意软件,由于某进行中的研究,我们将匿名该公司.
来源已经表明,攻击的起始入口为其中一名雇员打开了某收到的鱼叉式钓鱼邮件,攻击涉及到了多种后门和用于窃取信息的木马。一些恶意软件具有反沙盒属性且含有对抗heuristic signatures（一般被反病毒公司使用）的保护.多种恶意软件样本也展示了某种一般性的主题,例如:将自身安装到%ProgramFiles%或%UserProfile%文件夹（取决于用户是否有admin特权）中.此外,多数的恶意软件样本是用Borland Delphi编译的,它们带有已加密的字符串和API字符串（被混淆或被分为多个字符串）作为保护以对抗heuristic signatures技术.除了某个样本外,其它样本都没被加壳。

脚本先锋系列第四章，也是最后一章。将介绍对Shellcode的调试，以及SWF、PDF漏洞的利用文件的简单处理过程。

2012年4月起至今，某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播特种木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料。

安天近期发现一例针对中国政府机构的准APT攻击事件，在攻击场景中，攻击者依托自动化攻击测试平台Cobalt Strike生成的、使用信标（Beacon）模式进行通信的Shellcode，实现了对目标主机进行远程控制的能力。这种攻击模式在目标主机中体现为:无恶意代码实体文件、每60秒发送一次网络心跳数据包、使用Cookie字段发送数据信息等行为，这些行为在一定程度上可以躲避主机安全防护检测软件的查杀与防火墙的拦截。鉴于这个攻击与Cobalt Strike平台的关系，我们暂时将这一攻击事件命名为APT-TOCS（TOCS，取Threat on Cobalt Strike之意。）

白利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“白利用”木马是通过系统文件rundll32.exe启动一个木马dll文件，之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。

我们正在遭受github历史上最大的DDOS(分布式拒绝服务)攻击，攻击从3月26号，周四下午两点开始，攻击手段组合了多种攻击方式，从一些老式的攻击手段到新式，通过浏览器让毫不相干的围观群众参与到对github攻击流量的贡献，根据我们收到的报告推断，我们相信攻击的目的是让我们删除某些特定的内容。

北京时间2015年5月12日， 微软推送了5月的补丁日补丁，包含IE、Windows内核、Windows内核驱动、Office等多个组件的安全更新。   本月修复的两个0day漏洞

这个简短的报告介绍了一系列针对以色列和巴勒斯坦的攻击行为，通过恶意文件为传播源对大量的具有影响或者政治相关的组织，通过我们的调查，之前并无行为上与此相同的apt记录。不过还是可以找到一些相似的攻击行为。link to (1](2]

马Zero Access到目前为止已经在世界范围内感染了过亿的计算机，嗯，ZA(Zero Access)能够发展到这一个级别我想其中一个原因是因为恶意广告的点击，和泛滥的比特币挖掘。一旦ZA感染系统就会开始下载各种不同类型的恶意软件，总的来说无论是个人还是组织一旦遭受感染最后的损失肯定不会小。

ASIACCS 2015 全称为10th ACM Symposium on Information, Computer and Communications Security。因为ASIACCS在ACM还有个兄弟会议叫CCS (ACM Conference on Computer and Communications Security), 又因为会议举办地点几乎都在亚洲，于是缩写就变成了ASIACCS。今年的会议一共有269篇paper投稿，48篇被accepted，中稿率为18%。

APT30非常擅长执行长期的网络攻击活动，并且从2005年开始，这个黑客组织就一直成功地维护着相关的攻击工具，攻击策略和基础设施。

木马的主要攻击目标是位于东南亚和印度的组织机构，我们怀疑这个网络间谍活动是一次地区性的攻击活动。通过分析木马，我们发现这次间谍活动已经持续了数十年，受攻击的目标大多是政府和商业组织；黑客想要窃取这些组织所掌握的地区性政治，经济和军事情报。

从CVE编号就可以看出这个漏洞已经有一些年头了 (1)。 由于这个漏洞发生在Flex SDK里，而非Flash Player上。所以对于开发者而言，只要他们使用了具有该缺陷的Flex SDK来编译FLASH，那么其所生成的FLASH文件也会相应的存在缺陷。一方面，开发者可能并不会及时更新自己的Flex开发工具，这会在之后的开发中继续发布新的具有缺陷的FLASH文件；另一方面，即使开发者更新了自己的开发工具，但是其之前所开发的FLASH文件依然处于缺陷状态。

正因如此，时至今日，网上依然存在诸多具有缺陷的FLASH文件。根据《THE OLD IS NEW, AGAIN. CVE-2011-2461 IS BACK!》中的统计数据(2)，连Alexa排名前10的站点也躺枪了。这不，随后（2015-3-30）他们又发表了一篇名为《Exploiting CVE-2011-2461 on google.com》的博文来证明CVE-2011-2461的影响 (3_。那么一起来看看CVE-2011-2461到底是个什么情况吧～～

腾讯反病毒实验室近期捕获了“黑狐”木马的最新变种,这已经是该木马从 2014 年初首次发现以来的第三个大变种,本次全国感染量近百万。本文通过对“黑狐”木马多个版 本的分析对比,来探究当前主流木马在对抗杀软技术、传播渠道、获利方式上的一些特征 和线索,也为预知和防御新的变种寻找思路。

在我们调查过的多数案子中都出现了相似的行为模式，我们叫它攻击生命周期。
安全就像猫捉老鼠，安全团队加了些新的防御措施，然后攻击者换了种攻击方式，绕过你的防御体系。在2014年里还是这样。我们发现更多攻击使用了VPN来连接受害方的网络。同时也出现了许多很聪明的新方法来绕过检测，新工具和技巧从已攻下的环境中传出信息。