VPNFilter III:恶意软件中“瑞士军刀”的增强工具包
VPNFilter是一个多阶段模块化的恶意软件,已经感染了全球数十万的网络设备。之前的报告中介绍过VPNFilter的三个阶段,近日思科Talos又发现了另外7个第三阶段模块。这些模块为恶意软件新增的功能包括扩展在网络端点之间横向移动的能力、数据过滤和多个加密隧道功能用以掩护C2通信及数据泄漏流量。
Turla变种针对Microsoft Outlook后门发起C&C攻击
近日,ESET研究人员发布了关于APT组织Turla(或称Snake或Uroburos)所使用后门的研究报告,该后门用于获取至少三个欧洲国家当局的敏感通信。
【事件分析】No.9 潘多拉魔盒般的Webshell上传
近年来,Web应用程序是攻击者利用安全漏洞进行攻击的最常见目标之一。在成功渗透进Web站点后,攻击者会使用Webshell维持对目标长久的访问权限。尽管Webshell在实践中普遍存在,并且严重涉及Web安全问题,但它从未成为任何研究的直接主题。相反,Webshell经常被视为需要检测和删除的恶意”软件”,而不是需要分析和详细了解的恶意代码,久而久之给企业等网站带来巨大的危害。今天就为大家带来平台事件规则解读系列第九篇——潘多拉魔盒般的Webshell上传。
全新恶意软件VPNFilter控制全球至少50万台网络设备
近日,有一款名为VPNFilter的恶意软件被发现感染了至少50万的网络设备,Talos团队在近几个月来一直在与各威胁情报厂商和执法机构合作,通过研究后发现,这款恶意软件十分先进,可能是由国家资助或与国家级别的攻击者发起的,是一种先进的模块化恶意软件系统(modular malware system)。 本文揭示了该恶意软件的技术细节并提出了防护措施。
如何利用GitHub进行信息窃取?(part 2:加密货币矿工和信用卡信息窃取)
几天前, 我们报告了 被攻击的Magento 网站利用伪装的 Flash 更新来植入信息窃取恶意软件。
在本篇文章中, 我们将揭示一种攻击,其和最近非常热门的话题相关——加密货币和挖矿。
如何利用GitHub进行信息窃取?(Part1:信息窃取)
几个月前, 我们报道了犯罪分子如何使用 GitHub 在被攻击的网站上加载各种加密货币矿工。我们现在发现,同样的方法也可以被用来将二进制 “信息窃取” 恶意软件推送到 Windows 计算机上。
SSnatchLoader恶意软件更新分析
SnatchLoader是一种“downloader”类型的恶意软件专门用于将恶意软件分发(或加载)到受感染的计算机系统上。 我们在2017年1月左右发现了该恶意软件的网络攻击活动,该攻击活动一直持续了几个月的时间才慢慢消失。最近,我们的研究人员发现该恶意软件又开始发起新一轮的网络攻击活动了.
IoT机顶盒恶意软件应急处置手册(更新了威胁情报和追踪溯源部分)
绿盟科技DDoS态势感知平台监控到某客户的网络带宽流量存在异常情况,经分析确认为对外发起DDOS攻击导致,攻击类型多样,包括TCP Flood、HTTP Flood、DNS Flood等。
新型自我保护USB木马能够躲避检测(译)
目前,在USB设备中发现了一种独特的窃取数据木马,它和其他典型的窃取数据的恶意软件并不相同。这个木马程序的每个实例都依赖于它所在的特定USB设备,并且在被感染的系统上不会留下证据。此外,它使用了一个非常特殊的机制来保护自己不被复制,这使得它更加难以检测。
恶意代码清除实战
恶意代码清除实战 什么是恶意代码,指令集?是二进制可执行指令?还是脚本语言?字处理宏语言?其他指令集等等……以常见的类型举例,那么如果一台服务器存在恶意代码,windows系列机器的恶意代码一般指的是病毒,蠕虫,木马后门,linux系统机器恶意代码一般就是Rootkit。
那么如何快速判断自己的web服务器是否存在恶意代码,是否由于web端的问题导致的内网渗透,或被植入恶意代码作为跳板机、肉鸡等;如何通过手工或者工具的方式快速清除恶意代码,加固系统加固,预防下一次入侵带来的问题。
绿盟科技博客邀请安全服务团队的安全工程师从一个实战案例入手,来讲解如何手工清除恶意代码。现在已知有一台服务器表现不太正常,需要我们来排查这个服务器存在什么问题。
恶意文件分析系统中的数字签名验证
恶意文件分析系统中的数字签名验证
安全研究部 李志昕
摘要:本文主要介绍了Linux环境下的PE文件数字签名验证的相关技术,着重介绍了从PE文件中解析数字签名,并应用Openssl库进行证书信任链的验证。最后,对在恶意文件分析系统中对数字签名的信任策略问题,提出一些讨论和思考。
关键词:恶意文件分析 数字签名 Openssl
- 1
- 2