2015-10-14
/攻击者将木马制作成用户刚需应用,如色情类、生活服务类,或将恶意代码通过二次打包,注入到合法的应用当中,伪装成为合法应用,上传到android市场或某些论坛,诱导用户下载。一旦用户下载运行了此类应用,木马通过云端推送root 工具包,以及恶意应用;通过短信提取动态密码,第一时间发送给木马作者,直接造成财产损失、隐私泄露等;木马创建不死服务,后台root设备,成功root后将 恶意应用植入系统分区,用户即使恢复出厂设置也无法完全卸载木马。具体执行过程如下图:
2015-09-29
/译者按: 这是一篇对 <<DUKES---||-持续七年的俄罗斯网络间谍组织大起底>>文章的补充文章. 披露的是格鲁吉亚CERT在2011年对俄罗斯军方黑客的一次调查. 文章中诸多亮点现在看还是常看常新:比如反制黑客的手段是诱使黑客执行了一个木马. 另外将此篇文章对比最近ThreatCONNECT发布的camerashy报告,让我们不禁感慨的是,政府的反APT实在是比商业公司的反APT纯粹多了,专业多了.
2015-09-28
/在对客户网络内网进行流量监控时发现,一台主机172.25.112.96不断对172.25.112.1/24网段进行TCP445端口扫描,这个行为目的在于探测内网中哪些机器开启了SMB服务,这种行为多为木马的通信特征。
2015-09-28
/在分析恶意软件或对恶意软件进行脱壳的时候,我们经常会遇到重建PE文件的需求。现在大多数自动化的PE重建工具虽然很棒,但并不能针对每一种情况,有时候需要我们自己手动重建PE文件。在这篇博客中,我们将介绍一些重建PE文件的方法。
2015-09-24
/Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X 和 iOS 应用程序的最主流工具。
2015-09-23
/此次XcodeGhost病毒并不仅仅只篡改Xcode的dmg安装文件,百度安全实验室发现Unity3D也同样被插入了恶意代码。Unity是由Unity Technologies开发的用于创建诸如三维视频游戏、实时三维动画等类型互动内容的多平台的综合型游戏开发工具,Unity可发布游戏至Windows、OS X、Wii、iPhone、Windows phone 8和Android平台。但目前安全实验室搜集到的样本只有感染iOS app,还未发现感染安卓或是Windows平台代码
2015-09-23
/Xcode编译器引发的苹果病毒大爆发事件还未平息,又一起严重的网络资源带毒事故出现在PC互联网上。
这是一个名为Killis(杀是)的驱动级木马,该木马覆盖国内二十余家知名下载站,通过各大下载站的下载器或各种热门资源传播,具有云控下发木马、带有数字签名、全功能流氓推广、破坏杀毒软件等特点。根据360安全卫士监测,最近10小时内,Killis木马已经攻击了50多万台电脑。
2015-09-22
/截胡,麻将术语,指的是某一位玩家打出一张牌后,此时如果多人要胡这张牌,那么按照逆时针顺序只有最近的人算胡,其他的不能算胡。现也引申意为断别人财路,在别人快成功的时候抢走了别人的胜利果实。
2015-09-21
/这个植入木马由一个经过篡改的思科IOS镜像组成,能允许攻击者保持匿名性,同时从网络上加载不同的功能模块。这个植入木马还使用了一个秘密的后门密码,能给攻击者提供非限制权限。每个模块都能通过HTTP协议(不是HTTPS)来启用,只需向路由器的接口发送一个特别制作的TCP数据包。这些数据包都使用了非标准的序列号和相应的承认号。而这些模块可以把自己显示成路由器IOS中独立的可执行代码或hook,提供的功能与后门密码类似。后门密码通过控制台,远程登陆协议和权限提升,使用enable命令,能提供对路由器的访问。
2015-09-20
/我们还原了恶意iOS应用与C2服务器的通信协议,从而可以实际测试受感染的iOS应用可以有哪些恶意行为,具体行为见下文。
最后,我们分析了攻击的发起点:Xcode,分析了其存在的弱点,及利用过程,并验证了该攻击方法。
2015-09-16
/近期,安天第三代蜜罐捕风系统捕获到一个下载者样本。该样本运行后访问一个由黑客搭建的轻型文件服务器(Http File Server)。通过使用捕风系统进行追溯与关联分析,分析人员发现目前有很多使用HFS搭建的服务器,通过对其中一个下载服务器进行监控,其在线6天的总点击量近3万次,可见其传播范围极广。该软件的“傻瓜式”教程颇受低水平的攻击者喜爱,同时由于其架设方便,便于传播等特点,已被黑客多次恶意利用。经过安天CERT分析人员进行关联与分析发现,目前这种轻型服务器工具已普遍流行。
2015-09-15
/最近百度X-Team捕获到一个利用SSH弱口令漏洞构建僵尸网络的蠕虫,该蠕虫具有自动扫描、自动传播、并依托公共社交网络服务作为获取Command and Control(后文简称C&C)控制信息等特点;蠕虫作者为保证控制方式的独享性,上线地址的变化性以及隐蔽性做了大量工作,C&C上线地址能够做到每天一换。根据其上线特点,我们将此蠕虫命名为:TruSSH Worm。目前此蠕虫已经在全世界范围内大规模传播。鉴于此蠕虫的编写和控制方式有些特殊,特拿出来和大家分享。
2015-09-10
/根据猎豹安全实验室的云端监控数据显示,近1个月截获的“短信拦截”类样本变种数量超过10万,影响用户数达数百万之多。“短信拦截”木马作为安卓手机病毒中的一类常见样本,近两年来显现出爆发增长的趋势,其背后的黑色产业链也日益发展壮大,“短信拦截马”的日趋泛滥已经成为移动支付、网银财产等各环节的焦点安全问题。