S

不修改加密文件名的勒索软件TeslaCrypt 4.0

SwordLea / 2016-04-08

安天安全研究与应急处理中心(Antiy CERT)近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0,它具有多种特性,例如:加密文件后不修改原文件名、对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等。

S

首例具有中文提示的比特币勒索软件“LOCKY”

SwordLea / 2016-02-22

安天安全研究与应急处理中心(安天CERT)发现一款新的勒索软件家族,名为“Locky”,它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。经过安天CERT研究人员分析发现,这是一类利用垃圾邮件进行传播的勒索软件,是首例具有中文提示的比特币勒索软件。

S

【安天】Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述

SwordLea / 2015-09-24

Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X 和 iOS 应用程序的最主流工具。

S

【安天CERT】大量HFS搭建的服务器被黑客利用进行恶意代码传播

SwordLea / 2015-09-16

近期,安天第三代蜜罐捕风系统捕获到一个下载者样本。该样本运行后访问一个由黑客搭建的轻型文件服务器(Http File Server)。通过使用捕风系统进行追溯与关联分析,分析人员发现目前有很多使用HFS搭建的服务器,通过对其中一个下载服务器进行监控,其在线6天的总点击量近3万次,可见其传播范围极广。该软件的“傻瓜式”教程颇受低水平的攻击者喜爱,同时由于其架设方便,便于传播等特点,已被黑客多次恶意利用。经过安天CERT分析人员进行关联与分析发现,目前这种轻型服务器工具已普遍流行。

S

【安天CERT】利用路由器传播的DYREZA家族变种分析

SwordLea / 2015-09-01

安天CERT(安全研究与应急处理中心)近期收到大量用户反馈,称其收到带有可疑附件的邮件,经过安天CERT研究人员分析发现,这是一类利用垃圾邮件进行传播和下载的木马家族Dyreza的变种,其目的是窃取银行账号和比特币。该变种通过Upatre下载者进行下载,下载Dyreza变种的服务器均为路由器。攻击者将入侵的路由器作为Dyreza变种的传播服务器,在路由器中存放的文件均为加密文件。此外,该变种还具有反虚拟机功能。在分析过程中,安天CERT研究人员发现大量的路由器被植入了Dyreza的最新变种。

S

ROVNIX攻击平台分析 -利用WordPress平台传播的多插件攻击平台

SwordLea / 2015-07-27

近期,安天安全研究与应急处理中心(安天CERT)的安全研究人员在跟踪分析HaveX家族样本的过程中,意外地发现了Rovnix家族(Trojan/Win32.Rovnix)在建立其恶意代码下载服务器时,也开始使用类似HaveX的方式,即:使用WordPress搭建的网站,或入侵第三方由WordPress搭建的正常网站(HaveX的C&C服务器地址都是通过入侵由WrdPress搭建的网站得到的)。因此,安天CERT 的研究人员对Rovnix家族展开分析。

S

一例针对中国政府机构的准APT攻击中所使用的样本分析

SwordLea / 2015-05-28

安天近期发现一例针对中国政府机构的准APT攻击事件,在攻击场景中,攻击者依托自动化攻击测试平台Cobalt Strike生成的、使用信标(Beacon)模式进行通信的Shellcode,实现了对目标主机进行远程控制的能力。这种攻击模式在目标主机中体现为:无恶意代码实体文件、每60秒发送一次网络心跳数据包、使用Cookie字段发送数据信息等行为,这些行为在一定程度上可以躲避主机安全防护检测软件的查杀与防火墙的拦截。鉴于这个攻击与Cobalt Strike平台的关系,我们暂时将这一攻击事件命名为APT-TOCS(TOCS,取Threat on Cobalt Strike之意。)

S

SwordLea

安天第一副总工程师

twitter weibo github wechat

随机分类

Windows安全 文章:88 篇
Python安全 文章:13 篇
Android 文章:89 篇
业务安全 文章:29 篇
木马与病毒 文章:125 篇

最新评论

Yukong

🐮皮

H

HHHeey

好的,谢谢师傅的解答

Article_kelp

a类中的变量secret_class_var = "secret"是在merge

H

HHHeey

secret_var = 1 def test(): pass

H

hgsmonkey

tql!!!