最近几周，360核心安全团队发现了一种新型锁主页木马。该木马会恶意篡改和锁定用户浏览器主页牟利，使用户无法设置想要的浏览器主页。 经过分析，该种木马一般通过钓鱼下载站传播，藏身于系统装机软件或者常用软件的安装包中，通过拦截进程和网络来修改启动参数，以达...

2018-10-24 08:44:29

近期，几位F-Secure安全研究人员发现了一种冷启动攻击的新变种，可以窃取计算机上的密码、密钥或是一些加密信息，即便是在计算机断电之后同样可以破解，并且这种攻击对多数现代计算机都适用。 RAM(随机存取存储器)以断电时能够短暂的保留数据而为人称道，在低温条件下...

2018-10-24 08:44:29

本文主要讨论一项用于红队的被称之为LAME的新横向渗透技术及其缓解措施。简单来说，LAME技术就是利用受信任的SSL证书，在内部网络中建立加密通信信道的一项技术。在今年的8月份，Deloitte Greece道德黑客团队成员vangelos Mourikis和Nikos Karouzos，在都柏林举办的实...

2018-10-24 08:44:27

概述： 病毒伪装成一个DLL文件，QQ游戏启动的同时，病毒DLL也会被加载启动。病毒加载之后，会在内存中释放出远控模块，通过建立本地端口映射的方式，意图绕过某些安软的网络拦截，从而控制目标计算机。 病毒目录文件如下： 整体流程如下： 详细分析： 1、启动方式： 首...

2018-10-24 08:44:26

第一章 样本背景介绍 Emotet是一种银行木马恶意软件程序，它通过将计算机代码注入受感染计算机的网络堆栈来获取财务信息。 [1]允许通过传输窃取敏感数据。 [2] Emotet恶意软件还将自身插入到软件模块中，然后软件模块可以窃取地址簿数据并对其他系统执行拒绝服务攻击。...

2018-10-24 08:44:26

ZooPark是一个针对中东的APT组织，截至2017年，已经发展到了4.0版本，本次分析的主要版本是V1-V3，由于第四版本比较复杂，放在后面单独分析。这次的分析，主要也是一个熟悉静态分析的过程，不涉及脱壳、动态调试、反混淆等，可以是一个入门篇章吧。 工具：JEB1.5 V1 分...

2018-10-24 08:44:25

一、事件背景 近期深信服EDR安全团队接到客户应急需求，称服务器被勒索病毒加密，经过深入分析，提取到相关的样本信息，发现此样本为SamSam勒索病毒最新的变种样本，加密的流程与之前发现的SamSam的变种基本一致。 SamSam勒索病毒最早于2016年4月左右被首次发现，主要...

2018-10-24 08:44:19

一、背景 最近一段时间国外安全研究人员在相关安全社交网站上公布了多个Emotet银行木马最新的变种样本，深信服EDR安全团队对此事进行了相关跟进，获取到了相应的样本，并对其中一个最新的变种样本进行了详细分析。 Emotet银行木马首次发现是在2014年6月份，此银行木马...

2018-10-24 08:44:23

最近，我发现了一种非常有趣的可用来绕过UAC，并以High Mandatory Level启动进程的方法。下面，让我来重现这个过程。 1. 以常规用户身份启动cmd.exe。 2. 确认完整性级别： C:\testWHOAMI /Groups | FIND S-1-16 Mandatory Label\Medium Mandatory Level Label S-1-16-...

2018-10-24 08:44:21

近日，瑞星威胁情报平台发现多起国内用户感染撒旦Satan勒索病毒事件。据瑞星安全研究人员介绍，该病毒运行后会加密受害者计算机文件，加密完成后会用中英韩三国语言索取1个比特币作为赎金，并威胁三天内不支付将不予解密。与以往常见的勒索病毒不同，撒旦不仅会对感染...

2018-10-24 08:44:18