2016-06-24
/人在做,天在看。
利用Powershell执行攻击由于其绕过现有病毒查杀体系的有效性,已经成为目前日益泛滥的攻击手段,不论普遍撒网的勒索软件还是定向的针对性攻击都有可能采用。360天眼实验室一直对此类样本做持续的监测, 5月份以来,我们注意到一类比较特别的样本,发现其有两个比较鲜明的特点。
2016-06-22
/你永远叫不醒一个装睡的人。但,快递小哥可以!
虽说是一句戏言,但确实多少反映出了快递在大家心中的重要性。如果你收到一个带有快递公司发来的电子邮件通知,你会不会也希望快点打开看看是不是哪个朋友给你寄了什么东西等着你去取呢?最近我们就收到了这样的一个带有“快递单号”的电子邮件附件。唯一有些水土不服的就是——在中国用FedEx的确实并不很多……大写的PITY……
2016-06-17
/在病毒查杀过程中,一直存在着攻与防的技术对立,恶意程序会采用各种方法躲避杀毒引擎的检测,增加分析难度。360QEX团队之前分别对JS敲诈者和宏病毒的隐藏与反混淆分享过相关内容,这次则分享一些AnglerEK的Flash样本解密方法。
Angler EK攻击包是当前最为著名的一个攻击包,从出现至今,已经被大量用于网页挂马。由于Angler EK能够整合最新被修复的漏洞利用代码,甚至偶尔会出现0day的利用代码,因而被视为最先进的漏洞攻击包。
2016-06-15
/人在做,天在看。
近期360天眼实验室捕获到一例针对印度的定向攻击样本,样本利用了沙虫漏洞的补丁绕过漏洞CVE-2014-6352,经分析确认后我们认为这是趋势科技在今年三月份发布的名为“Operation C-Major”APT攻击活动的新样本。关于C-Major行动的相关内容,有兴趣的读者可以在文后的参考链接中查看。
2016-06-06
/作为一类古老的病毒,宏病毒随着勒索软件的兴起而卷土重来。尤其是在2016年,以Locky为代表的勒索软件利用Office宏肆虐传播,宏病毒也成为目前最活跃的病毒品种之一。
2016-06-02
/近期,360烽火实验室发现一类潜藏两年之久的Android木马,被利用专门从事私彩赌博、短信诈骗活动。该木马集远程控制、中间人攻击、隐私窃取于一身,能够在受害者不知情的情况下,拦截并篡改任意短信,监控受害者的一举一动。通过对该类木马的追踪发现,常见的社交类软件也在攻击中被利用。
2016-06-02
/近期,孟加拉国、厄瓜多尔、越南、菲律宾等多个国家的银行陆续曝出曾经遭遇黑客攻击并试图窃取金钱事件,这些事件中黑客都瞄准了SWIFT银行间转账系统,对相关银行实施攻击和窃取。360追日团队深入分析了截获的黑客攻击越南先锋银行所使用的恶意代码样本,并由此对此次事件中的黑客攻击技术进行了初步探索。
2016-05-17
/人在做,天在看。
2015年5月底360天眼实验室发布了海莲花APT组织的报告,揭露了一系列长期对我国的关键部门进行针对性攻击窃取机密数据的攻击活动。
相关的报告:
2016-05-13
/360天眼实验室追日团队持续发现与跟踪APT活动,相关的样本、IP、域名等数据只要一出现就会立即进入我们的视线。5月10日VirusTotal上有人提交了一个样本,安博士标记为DarkHotel相关。
2016-05-11
/在2015年我们监控到一个针对朝鲜语系国家的组织,涉及政府、交通、能源等行业攻击的APT组织。通过我们深入分析暂未发现该组织与Lazarus组织之间有联系。进一步我们将该组织2013年开始持续到2015年发动的攻击,命名为“洋葱狗”行动(Operation OnionDog),命名主要是依据2015年出现的木马主要依托onion city【6】作为C&C服务,以及恶意代码文件名有dog.jpg字样。相关恶意代码最早出现在2011年5月左右。至今至少发起过三次集中攻击。分别是2013年、2014年7月-8月和2015年7月-9月,在之后我们捕获到了96个恶意代码,C&C域名、IP数量为14个。
2016-05-09
/人在做,天在看。
勒索软件,飘荡在互联网上越来越浓的一片片乌云,从中爆发出的闪电随时可能击中一般的用户。基于比特币的匿名支持体系使勒索软件这个商业模式轻松完成了闭环,各种数字绑票生意开始蓬勃兴起,而Locky勒索软件家族可能是其中最贪婪粗放的一个,漫天撒网以期最大范围地捞取不义之财。
2016-04-29
/由于杀软对商业壳比较敏感,并且商业壳检测,脱壳技术比较成熟,病毒作者一般不会去选择用商业的壳来保护自己的恶意代码,所以混淆壳成为了一个不错的选择.混淆壳可以有效对抗杀软,因为这种壳一般不存在通用的检测方法,并且很难去静态的脱壳,所以其恶意代码就不会被发现,从而使自己长时间的存在.对于恶意代码分析者来说,分析这种带混淆壳的样本往往会花费很大精力,甚至有时候会使分析变得不可能。本文主要几种常见的混淆手段,不涉及样本本身功能分析。
2016-04-28
/继上个星期国内知名果粉社区威锋网(上周事件一出,威锋网已修复)遭黑客挂马事件后,360安全卫士再度发现该黑客还在其他网站论坛进行挂马。从3月开始,360互联网安全中心检测到该样本的零星打点记录,此情况从4月11日呈上升趋势,多个论坛内大量帖子被插入Flash漏洞攻击程序。因威锋网是国内最大的苹果用户中文论坛,每天有百万级浏览量,360安全卫士对威锋挂马攻击的拦截量因此急剧增加。后续我们还在小七论坛以及游戏藏宝湾等论坛发现该样本的踪迹。
2016-04-26
/诈骗,跟生物的历史一样长,而且永远都会存在。每当人类拓展出一片新的生存环境,诈骗也立即随之而来生根发芽。如今,有了网络,由于不受地域和时间的限制,诈骗更能玩得花样百出,让人叹为观止,挑战的只有人的想像力,360天眼实验室的前一篇文章分析的巧妙操纵受害者的电信补卡攻击即为一例。但是,不管方法手段如何,利用的始终都是人性的弱点:恐惧和贪婪。
2016-04-26
/2015年末爆发了感染量过百万的“百脑虫”手机病毒,经过360移动安全团队深入的跟踪和分析,我们又发现了病毒的另一核心模块,此模块包括3个ELF系统文件configpppm、configpppi、configpppl和一个伪装成系统应用的核心apk文件以及一个configpppl.jar文件。我们发现这些模块都使用之前发现的conbb(configopb)执行命令。在新发现的模块中,病毒使用了更高超的技术,可以在用户毫无察觉的情况下修改短信内容恶意扣费,从而非法获益。