近期360QVM团队截获到了一批伪装成游戏外挂、QQ刷钻、游戏刷装备等类型的敲诈软件。一旦用户点击运行，用户计算机的管理员账号将被添加或更改密码，造成用户计算机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费，从而达到勒索用户资金的目的。

前段时间，卡巴斯基捕获到Winnti网络犯罪组织在Windows下进行APT攻击的通用工具——HDD Rootkit。近期，腾讯反病毒实验室在Linux系统下也捕获到同类工具。Winnti组织利用HDD Rootkit在Windows和Linux系统下进行持续而隐蔽的APT攻击。经分析发现，HDD Rootkit先是篡改系统的引导区，然后在进入Linux系统前利用自带的Ext文件系统解析模块，将隐藏在硬盘深处的后门文件解密出来后加入到开机启动脚本或系统服务里。目前受攻击的系统有Centos和Ubuntu。

病毒作者事先在一台电脑上用商业远控配置好受控端，使用批处理来添加同等配置信息；再借助一款窗口隐藏工具，隐藏商业远控端开启时的提示。这样，受害者在不知不觉间，就遭到了攻击者的毒手；而攻击者也无需编写恶意程序，通过合法商业远控的隐藏实现就控制了受害者的电脑。 在此我们提醒广大网友：木马并不只是exe等可执行程序，类似.bat这样的脚本文件同样很危险。如果遇到不熟悉的文件格式或是陌生人发来的可疑文件，切莫轻易点击运行。

上篇介绍了如何通过powershell来实现WMI attacks，这次接着介绍一些进阶WMI技巧---WMI Backdoor

本文主要描述了一个并不多见的恶意软件编写技术：把可执行代码隐藏在windows注册表里。这个技术需要我们把可执行文件的一部分或者入口写进注册表里，然后加载并执行它。这种技术意在隐藏二进制文件潜在的恶意功能，取而代之的是分散在windows注册表里的键值，最终使得恶意二进制文件难以被检测。实际上，键值里的可执行代码被加载的时候，会进行随机次数的编码（重编码），使得特征码扫描更加困难。好的检测策略是监控进程加载数据过程，而不是扫描注册表。

最近很多人分享一些过狗过盾的一句话，但无非是用各种方法去构造一些动态函数，比如$_GET['func']($_REQUEST['pass'])之类的方法。万变不离其宗，但这种方法，虽然狗盾可能看不出来，但人肉眼其实很容易发现这类后门的。

那么，我就分享一下，一些不需要动态函数、不用eval、不含敏感函数、免杀免拦截的一句话。

太极越狱iOS8.1.3-8.4含有重大安全后门，越狱后导致任意APP可以提权到Root，从而影响用户数据的安全。举例来说获取Root权限后可以完全控制系统文件，甚至进一步安装木马等严重威胁用户安全的恶意软件。

很久不写文章了。BSRC在约稿以及个人最近吐槽模式的开启，索性就借着劲头写点东西缓解缓解。
chkrookit以及rkhunter基本上已经成为类unix系统的应急响应中的标配了。大多数处理安全事件基本上上机器的第一步都是来个两连发。但很多是以失望结束，或者出了结论又不知道如何是好。这篇文章或许能够解决你们的部分困惑。这篇文章主要是讲chkrootkit，rkhunter回头有空再吐槽。

Apple OS X系统中的Admin框架存在可以提升root权限的API后门，并且已经存在多年（至少是从2011年开始）。我是在2014年的10月发现他可以被用来已任何用户权限提升为root权限，其本意可能是要服务“System Preferences”和systemsetup（命令行工具），但是所有的用户进程可以使用相同的功能。

苹果刚刚发布了OS X 10.10.3解决了此问题，但是OS X 10.9.x以及之前的版本存在此问题，因为苹果决定不对这些版本进行修复了。我们建议所有的用户都升级到10.10.3。

测试了一下kippo这个ssh蜜罐,算是一篇总结吧

宇龙酷派是中国第三大以及全球第六大智能手机生产厂商。最近我们研究发现许多高端酷派手机在预装软件均包含一个后门程序，我们将此后门称为：CoolReaper

在看到许多酷派用户反馈手机上的可疑现象后，我们下载了多个中国区发行的官方固件，其中大多数都包含了coolreaper这款后门应用。

触发器（trigger）是数据库提供给程序员和数据分析员来保证数据完整性的一种方法，它是与表事件相关的特殊的储存过程，它的执行不是由程序调用，也不是手工启动，而是由事件来触发，当对一个表进行操作（insert，delete，update）时就会激活它执行。触发器经常用于加强数据的完整性约束和业务规则等。

这个估计很多同学看了不屑，认为是烂大街的东西了：

.htaccess文件构成的PHP后门

那么我来个新的吧：.user.ini。它比.htaccess用的更广，不管是nginx/apache/IIS，只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastcgi，我的IIS php5.3以上的全部用的fastcgi/cgi，我win下的apache上也用的fcgi，可谓很广，不像.htaccess有局限性。

今天我们将讨论编写基于PHP扩展库的后门。通常来说，大部分入侵者都会在脚本中留下自定义代码块后门。当然，这些东西很容易通过源代码的静态或动态分析找到。

利用PHP扩展库的好处显而易见：

出于检测Linux平台下Rootkit的需要,试了一下很早以前知道,但一直没有用过的工具Volatility.考虑国内服务器的现实情况,选择CentOS 5.5作为实验平台. 一个工具的使用在我想来应该是相当简单的,但实际情况相当曲折,……经过很多实践和教训,写了一些笔记,整理为FAQ,遂成此文,以供同好交流讨论.