Petya变种样本技术分析
2017年6月27日晚,多个企业遭遇勒索软件,导致业务中断。此次事件最初在乌克兰发现,后来逐步扩大,包括巴西、德国、俄罗斯、美国等多个国家。此次事件影响范围极广,造成的影响极大,绿盟科技对此次事件进行了高度关注,并在第一时间获取样本进行分析。
恶意样本分析手册——反调试篇(下)
使用Windows API函数检测调试器是否存在是最简单的反调试技术。Windows操作系统中提供了一些这样的API,应用程序可以通过调用这些API来探测自己是否正在被调试。这些API有些是专门用来探测调试器的存在的。而另外一些API是处于其他目的而设计的,但也可以被改造用来探测调试器的存在。
Win32 Industroyer技术分析与防护方法
2017年6月8日,安全公司ESET发现了针对工控系统的恶意软件Win32/Industroyer,并提前向Dragos公司做了通过,Dragos通过对ESET分析结果进行验证后,6月12日公布了Win32/Industroyer的hash信息以及分析报告。
恶意样本分析手册——文件封装篇
加壳器属于一种封装工具,它可以对反病毒软件,复杂的恶意代码分析过程隐藏恶意代码的存在,另外,能缩小恶意代码可执行文件的大小,因此它们在恶意代码编写者中很受欢迎。大部分加壳器都是免费且易于使用的。基础静态分析技术对加壳后的程序毫无办法,要想进行静态分析,必须先将加壳的恶意代码脱壳,这就给恶意样本分析增加了很大的难度。
CVE-2017-7494 Samba 远程代码执行漏洞分析
5月24 日,Samba官方发布消息,Samba服务器软件存在远程执行代码漏洞。攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录,会导致服务器加载并执行指定的库文件。
EternalRocks(永恒之石)技术分析与防护方案
继“永恒之蓝”勒索病毒后,近日,我们发现了最新病毒“永恒之石”(EternalRocks)。该病毒属于网络蠕虫,具有自我复制的功能,并利用MS17-010漏洞进行传播。与WannaCry不同,“永恒之石”利用更多近期泄露的NSA黑客工具,其中包括多种漏洞攻击工具。
永恒之石EternalRocks蠕虫病毒处置手册
近期,安全研究人员发现了一款新的恶意软件。这款恶意软件与 WannaCry勒索软件一样,通过利用Windows SMB文件共享协议中的漏洞自行传播,但是与后者不同的是,它使用了近期泄露的美国国家安全局(NSA)的多种黑客工具,而Wannacry仅使用了2种!
绿盟科技的安全专家在对其进行分析之后发现,EternalRocks具有病毒的特征,而且能够进行自我传播,其危害性需要引起各单位的重视,本文即是对该蠕虫病毒给出了企业内的应急处置方案。
Analysis on Exposed IoT Assets in China
With the maturity of sensing, computing, and communication technologies, the Internet of Things (IoT) will be more and more widely used in various industries. Gartner, a market research agency, predicts that endpoints of the IoT will grow at a 33% CAGR from 2015 through 2020, reaching an installed base of 20.4 billion units, with almost two-thirds of them consumer applications. Spending on networked consumer and business endpoints will displace non-networked, growing at a 20% CAGR to $2.9 trillion.
Traceback Analysis of WannaCry Ransomware
Since May 12, 2017, WannaCry has spread on a massive scale around the world, causing significant impacts. Therefore, security firms start to analyze and prevent the spread of this ransomware. Technical personnel of NSFOCUS also analyzed the sample immediately and released a detailed analysis report.
Analysis Report on the WannaCry Sample
The sample exploits the ETERNALBLUE SMB vulnerability or DOUBLEPULSAR backdoor for propagation and infection of the ransomware. The sample first connects to the domain name http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, to test network connectivity. If the network is reachable, the sample exits; otherwise, the sample carries out subsequent behaviors. Therefore, a reachable domain name can be registered to stop further attacks.